369 169 5MB
German Pages 818 Year 2014
Thorsten B. Behling, Ralf B. Abel (Hrsg.) Praxishandbuch Datenschutz im Unternehmen De Gruyter Praxishandbuch
Praxishandbuch Datenschutz im Unternehmen Herausgegeben von Dr. iur. Thorsten B. Behling, Rechtsanwalt, Datenschutzbeauftragter, Partner, WTS Legal Rechtsanwaltsgesellschaft mbH, Köln Prof. Dr. iur. Ralf B. Abel, Rechtsanwalt, Datenschutzbeauftragter, Hochschullehrer a. D., Hamburg Bearbeitet von Prof. Dr. iur. Ralf B. Abel, Rechtsanwalt, Datenschutzbeauftragter, Hochschullehrer a.D., Hamburg; Torge Albrecht, Rechtsanwalt, KPMG Rechtsanwaltsgesellschaft mbH, Hamburg; Dr.-Ing. Amir Alsbih, Haufe Gruppe, Freiburg; Sven Bastek, Richter im Bezirk des Oberlandesgerichts Hamm; Dr. iur. Thorsten B. Behling, Rechtsanwalt, Datenschutzbeauftragter, Partner, WTS Legal Rechtsanwaltsgesellschaft mbH, Köln; Tobias Brauner, Rechtsanwalt, Datenschutzbeauftragter, KPMG AG Wirtschaftsprüfungsgesellschaft, Berlin; Alexander Filip, Oberregierungsrat, Referatsleiter beim Bayerischen Landesamt für Datenschutzaufsicht, Ansbach; Rüdiger Giebichenstein, Dipl.Wirt.-Inf., Partner, WTS Steuerberatungsgesellschaft mbH, Köln; Prof. Peter Gola, Hochschullehrer a.D., Königswinter; Hauke Hintze, Rechtsanwalt, Dipl.-Betriebswirt (FH), Geschäftsführer, WTS Legal Rechtsanwaltsgesellschaft mbH, Köln; Dr. iur. Jörg Hladjk, LL.M., Rechtsanwalt, Hunton & Williams LLP, Brüssel; Dr. rer. oec. Frank Hülsberg, Wirtschaftsprüfer und Steuerberater, Warth & Klein Grant Thornton AG, Düsseldorf; Dr. iur. Jens Jacobi, Regierungsdirektor, Referent beim Landesbeauftragten für den Datenschutz Baden-Württemberg, Stuttgart; Nicolas Kölsch, Dipl.-Kfm., Commerz Business Consulting GmbH, Frankfurt am Main; Martin Kynast, Regierungsoberrat, stv. Referatsleiter beim Sächsischen Datenschutzbeauftragten, Dresden; Jörg Meyer, Dipl.-Mathematiker, Holtzbrinck Publishing Group, Stuttgart; Raik Mickler, Justiziar, Datenschutzbeauftragter, Haufe Gruppe, Freiburg; Jana Post, Rechtsanwältin, WTS Legal Rechtsanwaltsgesellschaft mbH, Düsseldorf; Maik Ringel, Rechtsanwalt, KPMG Rechtsanwaltsgesellschaft mbH, Leipzig; Carsten Alexander Schirp, Dipl.-Ing., WTS Steuerberatungsgesellschaft mbH, Köln
Zitiervorschlag: Behling/Abel/Bearbeiter, Kap. 6 Rn 34. Hinweis: Alle Angaben in diesem Werk sind nach bestem Wissen unter Anwendung aller gebotenen Sorgfalt erstellt worden. Trotzdem kann von dem Verlag und den Autoren keine Haftung für etwaige Fehler übernommen werden.
ISBN 978-3-11-030161-8 e-ISBN (PDF) 978-3-11-030189-2 e-ISBN (EPUB) 978-3-11-038922-7 Bibliografische Information der Deutschen Nationalbibliothek Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über http://dnb.d-nb.de abrufbar. © 2014 Walter de Gruyter GmbH & Co. KG, Berlin/Boston Einbandabbildung: maxkabakov/iStock/Thinkstock Datenkonvertierung/Satz: fidus Publikations-Service GmbH, Nördlingen Druck: CPI books GmbH, Leck ♾ Gedruckt auf säurefreiem Papier Printed in Germany www.degruyter.com
Vorwort Der Datenschutz, noch bis vor wenigen Jahren in der Wirtschaft eher als ein lästiges Randthema betrachtet, hat sich mittlerweile als eine sehr wesentliche Fragestellung für Unternehmen etabliert. Datenschutz tritt in allen Aspekten unternehmerischen Handelns auf. Intern geht es um den richtigen und angemessenen Umgang mit Kunden-, Lieferanten- und Mitarbeiterdaten sowie um Fragen einer angemessenen technisch-organisatorischen Sicherheit, Letzteres nicht zuletzt auch vor dem Hintergrund einer zunehmenden Konkurrenten- und Wirtschaftsspionage. Interne Aufsichtspflichten der Unternehmensleitung zur Vermeidung von Compliance-Verstößen erfordern zudem Kontroll- und Ermittlungsmaßnahmen, die sorgfältig mit den Persönlichkeitsrechten der betroffenen Mitarbeiter in Einklang zu bringen sind. Intern geht es aber auch um die datenschutzrechtliche Seite der Zusammenarbeit mit verbundenen Unternehmen oder Kooperationspartnern im In- und Ausland. So stellen sich gerade konzerninterne und -externe internationale Datenflüsse zunehmend als datenschutzrechtlich herausfordernd dar. Nach außen machen Geschäftspartner immer häufiger einen überzeugenden Datenschutz zur Voraussetzung für Vertragsabschlüsse. Bei diesen und nicht zuletzt auch bei Kunden sowie in der Öffentlichkeit wirkt ein überzeugendes Datenschutzkonzept als vertrauensbildender Faktor und wesentlicher Reputationsbaustein. Darüber hinaus ist der Datenschutz mittlerweile selbst als wesentliche Compliance-Anforderung zu qualifizieren, was dessen Beachtung nicht zuletzt bei börsennotierten Gesellschaften und im regulierten Bereich unentbehrlich macht. Es gibt also genügend Gründe, die Implementierung des Datenschutzes im Unternehmen ernst zu nehmen und voranzutreiben. Auf der anderen Seite wird immer deutlicher, dass die Datenschutz-Gesetzgebung, die den regulatorischen Rahmen setzt, mit der rasanten Entwicklung der Informationstechnologie und der Geschäftsmodelle vielfach nicht Schritt hält. Die bestehenden Regelungswerke passen nur begrenzt und nach Meinung mancher immer weniger auf die konkreten Lebenssachverhalte in den Unternehmen. Dadurch kommt es immer wieder zu offenen Fragen und Unsicherheiten beim Umgang mit personenbezogenen Daten. Das Ziel des vorliegenden Handbuchs liegt darin, in einem möglichst kompakten Kompendium insbesondere den für den Datenschutz Verantwortlichen im Unternehmen Hilfestellung bei der Lösung der vielfachen datenschutzrechtlichen Fragestellungen zu geben. Bei den Bearbeitern des Handbuchs handelt es sich zum einen um wissenschaftlich ausgewiesene Autoren, die für ihre Sachkenntnis und Gründlichkeit bekannt sind. Zum anderen verbindet sie die Nähe zur Praxis, sei es aus der rechtlichen und technischen Beratung oder aus der konkreten Tätigkeit in der Aufsichtsbehörde oder als betrieblicher oder behördlicher Datenschutzbeauftragter heraus. Den Beiträgen geht es einerseits um einen Problemaufriss, andererseits um die Darstellung des nicht selten uneinheitlichen oder gar kontroversen Meinungsstandes und – durch zahlreiche eingeflochtene Praxistipps – um wichtige Praxishinweise für
VI
Vorwort
den Nutzer. Dabei wurde auf größtmögliche Aktualität geachtet, wobei der Bearbeitungsstand des Handbuchs August 2014 ist. Berücksichtigt ist neben dem geltenden Recht auch der Entwurf für eine Europäische Datenschutz-Grundverordnung, der weite Teile des jeweils geltenden nationalen Datenschutzrechts in der EU ersetzen wird. Der Entwurf befand sich bei Drucklegung noch im Gesetzgebungsverfahren. Gleichwohl halten es die Herausgeber für notwendig, sich mit den wesentlichen Vorschlägen auseinanderzusetzen, um sich auf zukünftige Entwicklungen rechtzeitig einstellen zu können. Kurzum: Das vorliegende Handbuch soll trotz seines Umfanges noch als handliches, verlässliches und hilfreiches Werkzeug im Unternehmensalltag dienen. Für jede Form der Resonanz, Anregungen und Hinweise sind wir stets dankbar. Sie erreichen uns unter [email protected] und [email protected]. Köln und Hamburg, im September 2014 Die Herausgeber
Inhaltsübersicht Abkürzungsverzeichnis XXXV Literaturverzeichnis XLIII Bearbeiterverzeichnis LI Kapitel 1 Datenschutz im Unternehmen – Von lästiger Pflicht zur grundlegenden Organisationsaufgabe des Compliance-Managements A. Entwicklung 1 B. Anforderungen an eine Datenschutzorganisation C. Sanktionen 24
3
Kapitel 2 Grundlagen des Datenschutzes im Unternehmen A. B. C. D. E. F. G. H. I. J. K.
Zur Ausgangslage 31 Der Schutzanspruch der Betroffenen 32 Die europarechtlichen Vorgaben 34 Die datenschutzrechtlichen Grundprinzipien 35 Bereichsspezifische Regelungen 37 Datenschutz und unlauterer Wettbewerb 38 Normadressaten und Verantwortlichkeiten 40 Die gesetzlichen Kontrollorgane 41 Vermögensrechtliche Haftung 42 Ordnungs- und strafrechtliche Sanktionen 44 Zertifizierung und Vorteil im Wettbewerb 44
Kapitel 3 Der betriebliche Datenschutzbeauftragte – Verantwortlichkeiten, Aufgaben und Status A. Verantwortlichkeiten – Allgemeines B. Aufgaben 58 C. Status 82
47
Kapitel 4 Outsourcing datenschutzkonform ausgestalten A. Outsourcing und Datenschutz 93 B. Auftragsdatenverarbeitung und Outsourcing
98
VIII C. D. E. F. G.
Inhaltsübersicht
Bereichsausnahmen, Subsidiarität, Compliance Outsourcingnehmer im Ausland 126 Auftraggeber im Drittland 148 EU Datenschutz-Grundverordnung 148 Outsourcing und Cloud Computing 151
117
Kapitel 5 Datenverarbeitung im (internationalen) Konzern A. Einwilligung, Rechtsvorschriften und Datenschutzrichtlinien (Betriebsvereinbarungen; BCR) 181 B. Problem der grenzüberschreitenden E-Discovery 254 Kapitel 6 Telekommunikation im Unternehmen – Was ist erlaubt, was ist verboten? A. Einleitung 283 B. Zugriffsgründe und -arten C. Zulässigkeit von Zugriffen
283 285
Kapitel 7 Die Website – Datenschutzerklärung, Impressum & Co. A. Einleitung 323 B. Datenschutzerklärung C. Impressum 341
323
Kapitel 8 Umgang mit Beschäftigtendaten – Von der Bewerbung bis zur Kündigung A. Einführung 353 B. Datenschutz im Anbahnungsverhältnis 359 C. Datenschutz im Beschäftigungsverhältnis 395 D. Verarbeitung bei und nach Beendigung des Beschäftigungsverhältnisses 428 E. Datenverarbeitungen durch den Betriebsrat 435 Kapitel 9 Unternehmensinterne Ermittlungen datenschutzkonform ausgestalten A. Rechtlicher Rahmen und operatives Vorgehen
441
Inhaltsübersicht
B. Zusammenfassende rechtliche Einordnung von Einzelermittlungsmaßnahmen 476 Kapitel 10 Nutzung von Kundendaten – Werbung, Kundenbetreuung und CRM on- und offline rechtssicher gestalten A. Werbung 486 B. Customer Relationship Management
566
Kapitel 11 Datenschutz im Credit Management A. Einleitung 571 B. Prozesse vor der Entstehung von Forderungen 572 C. Maßnahmen während bestehender Kundenbeziehungen D. Datenverwendung nach Vertragsbeendigung 607 E. Transparenzpflichten 610
590
Kapitel 12 Die technisch-organisatorischen Maßnahmen des Datenschutzes – von der Theorie zur Praxis A. Anwendbarkeit des BDSG und Einordung der technisch-organisatorischen Maßnahmen 617 B. Datenschutz und Informationssicherheit 618 C. Technisch-organisatorische Maßnahmen 625 D. Umsetzung der technisch-organisatorischen Maßnahmen 657 E. Zusammenfassung 670 Kapitel 13 Zertifizierungen – Arten und Nutzen A. Motivation und Zielsetzung 673 B. Rechtlicher Rahmen 675 C. Begriffsklärung 677 D. Anforderungen an Zertifikate 680 E. Unternehmenszertifizierungen 682 F. Produktzertifizierungen 698 G. Fazit und Ausblick 699
IX
X
Inhaltsübersicht
Kapitel 14 Ausblick A. Mögliche gesetzgeberische Entwicklungen B. Fazit 711 Stichwortverzeichnis
713
701
Inhaltsverzeichnis Abkürzungsverzeichnis XXXV Literaturverzeichnis XLIII Bearbeiterverzeichnis LI Kapitel 1 Datenschutz im Unternehmen – Von lästiger Pflicht zur grundlegenden Organisationsaufgabe des Compliance-Managements A. Entwicklung 1 B. Anforderungen an eine Datenschutzorganisation 3 I. Vorgaben des BDSG 4 1. Datenschutzbeauftragter und -koordinatoren 5 2. Vorabkontrolle sowie allgemeine Prüfungs- und Meldeprozesse 6 3. Melde- und Prüfprozesse für den Fall rechtswidriger Datenabflüsse 8 4. Auskunfts-, Unterrichtungs- und Benachrichtigungsprozesse 9 5. Berichtigungs-, Lösch- und Sperrprozesse 12 6. Schulungen 14 7. Aufsichtsbehördliche Anforderungen 15 II. Allgemeine Compliance-Vorgaben 16 1. Berichterstattung 16 2. Aufdeckung und Sanktionen 16 III. Vorgaben mit Blick auf den aktuellen EU-Parlamentsvorschlag für eine Datenschutz-Grundverordnung (DS-GVO-V) 17 1. „Privacy by design“ und „privacy by default“ 17 2. Datenschutz-Risikoanalyse, -Folgenabschätzung und -ComplianceReview 18 3. Recht auf Vergessenwerden 21 4. Recht auf Datenübertragbarkeit 23 C. Sanktionen 24 I. Behördliche Sanktionspraxis 24 II. Sanktionsrahmen im Einzelnen und sonstige Konsequenzen 25 1. Zivilrechtliche Haftung 25 2. Straf- bzw. ordnungswidrigkeitsrechtliche Haftung 26 3. Wettbewerbsrecht und Verbraucherschutz 29 Kapitel 2 Grundlagen des Datenschutzes im Unternehmen A. Zur Ausgangslage
31
XII B. C. D. E. F. G. H. I. J. K.
Inhaltsverzeichnis
Der Schutzanspruch der Betroffenen 32 Die europarechtlichen Vorgaben 34 Die datenschutzrechtlichen Grundprinzipien 35 Bereichsspezifische Regelungen 37 Datenschutz und unlauterer Wettbewerb 38 Normadressaten und Verantwortlichkeiten 40 Die gesetzlichen Kontrollorgane 41 Vermögensrechtliche Haftung 42 Ordnungs- und strafrechtliche Sanktionen 44 Zertifizierung und Vorteil im Wettbewerb 44
Kapitel 3 Der betriebliche Datenschutzbeauftragte – Verantwortlichkeiten, Aufgaben und Status A. Verantwortlichkeiten – Allgemeines 47 I. Wer muss einen Datenschutzbeauftragten bestellen? 47 1. Einzelunternehmen 47 2. Ausnahmen im nicht-öffentlichen Bereich 48 a) Private Datenverarbeitung 48 b) Anzahl der Mitarbeiter 48 c) Welche Personen zählen? 48 d) Zeitpunkt 49 3. Nationale Konzerne 49 4. Internationale Konzerne 50 II. Auswahl und Bestellung 52 1. Notwendige Qualifikation 52 2. Formalien der Bestellung 53 a) Befristung 54 b) Haupt- oder nebenamtlich 55 3. Ausstattung und Größe der Datenschutzabteilung 56 III. Pflichten der verantwortlichen Stelle 56 1. Unterstützung bei den Aufgaben des Datenschutzbeauftragten 56 2. Benachteiligungsverbot 57 3. Fort- und Weiterbildung 57 4. Verfahrensverzeichnis 58 B. Aufgaben 58 I. Hinwirken auf den Datenschutz 58 1. Ansprechpartner für das Unternehmen und die Mitarbeiter 58 2. Verpflichtung auf das Datengeheimnis 60 3. Datenschutzrechtliche Regelwerke 60 II. Überwachung der Datenverarbeitungsprogramme 61
Inhaltsverzeichnis
XIII
61 1. Vorabkontrollen 2. Verfahrensmeldung/Verfahrensverzeichnis 63 3. Interne Prüfungen 64 4. Zusammenarbeit mit dem Betriebsrat und dem Fachbereich ITSicherheit 65 a) Betriebsrat 65 b) Fachbereich IT-Sicherheit 67 5. Einbindung von Dritten/Outsourcing 68 a) Begründung einer Auftragsdatenverarbeitung 69 b) Regelmäßige Kontrollen der Auftragsdatenverarbeiter 70 III. Schulung der Mitarbeiter 71 1. Schulungsinstrumente 72 2. Schulungen für neue Mitarbeiter 73 3. Regelmäßigkeit der Schulungen 73 IV. Auskunftsersuchen von Betroffenen 74 V. Zusammenarbeit mit der Aufsichtsbehörde 74 1. Einzelanfragen 75 a) Allgemeine Anfragen 75 b) Konkrete Anfragen zu bestimmten Datenverarbeitungen 76 c) Datenschutzverstöße 76 2. Genehmigungsverfahren und Abstimmungen 77 3. Betriebsprüfungen 79 4. Auskunfts- und Einsichtsrecht 79 5. Aussageverweigerungsrecht 81 6. Anordnungen der Aufsichtsbehörde 81 VI. Erstellung eines Datenschutzberichts 82 C. Status 82 I. Stellung als interner Datenschutzbeauftragter 82 II. Stellung als externer Datenschutzbeauftragter 83 III. Organisatorische Stellung im Unternehmen 84 IV. Weisungsrechte 86 V. Verschwiegenheitspflicht 86 VI. Zeugnisverweigerungsrecht/Beschlagnahmeverbot 87 VII. Haftung 87 1. Arbeits- oder allgemein zivilrechtliche Schadensersatzansprüche 88 2. Strafrechtliche Verantwortung 89 VIII. Abberufung des Datenschutzbeauftragen 90 Kapitel 4 Outsourcing datenschutzkonform ausgestalten A. Outsourcing und Datenschutz
93
XIV
Inhaltsverzeichnis
I. Einleitung 93 II. Verbreitung und Bedeutung 95 B. Auftragsdatenverarbeitung und Outsourcing 98 I. Einleitung 98 II. Abgrenzungsfragen 100 1. Auftragsdatenverarbeitung vs. Funktionsausgliederung 100 2. Datenschutzrechtliche Anforderungen an ein Outsourcing mittels Funktionsausgliederung 103 3. Mehrfache oder überschneidende Zweckbestimmung 106 III. Vertragliche Grundlagen einer Auftragsdatenverarbeitung 106 1. Schriftformerfordernis 107 2. Vertragliche Anforderungen an eine zulässige und wirksame Auftragsdatenverarbeitung 107 IV. Pflichten des Auftraggebers 108 1. Auswahl- und Kontrollpflichten 109 2. Vor-Ort-Kontrolle beim Auftragnehmer 110 3. Dokumentation 111 4. Verantwortlichkeit und Zuständigkeit 112 V. Pflichten des Auftragnehmers 112 VI. Vertragliche Gestaltung 114 1. Mindestinhalt 114 2. Weitergehende Duldungs- und Mitwirkungspflichten des Auftraggebers 114 3. Sonstige zentrale Regelungsgegenstände 115 VII. Technische und organisatorische Maßnahmen 115 VIII. Unterbeauftragung 115 IX. Prüfung und Wartung automatisierter Verfahren 116 X. Rechtsfolgen 116 1. Wirksame Auftragsdatenverarbeitung 116 2. Unwirksame Auftragsdatenverarbeitung 117 XI. Landesrecht 117 C. Bereichsausnahmen, Subsidiarität, Compliance 117 I. Steuerberater, Rechtsanwälte, Wirtschaftsprüfer, Ärzte 118 II. Banken, Finanzsektor 120 III. Öffentlicher Sektor, Gesundheits- und Krankenhauswesen 121 1. Kernbereichstheorie 121 2. Sonderregelungen 122 IV. Versicherungen 124 V. Telekommunikation 124 VI. Exportbeschränkungen und weitere Compliance-Anforderungen 125 D. Outsourcingnehmer im Ausland 126 I. Allgemein: EU/EWR contra Drittstaaten 128
Inhaltsverzeichnis
XV
129 1. Auftragnehmer mit Sitz in EU/EWR 2. Auftragnehmer mit Sitz in „sicheren Drittstaaten“ 129 a) Angemessenheit des Datenschutzniveaus 129 b) Sonderfall USA: Safe-Harbor-Abkommen und PRISM 132 c) Erlaubnisvorbehalt 135 3. Auftragnehmer mit Sitz in „unsicheren Drittstaaten“ 135 a) Binding Corporate Rules 136 aa) Ebene des Auftraggebers 136 bb) Ebene des Auftragsdatenverarbeiters 136 b) EU-Standardverträge 137 aa) Abänderungen der Standardvertragsklauseln 139 bb) Standardvertragsklauseln „Controller-to-Controller, Set I“ und „Set II“ 142 cc) Standardvertragsklauseln Controller-to-Processor 144 II. Auftragsdatenverarbeitung im (internationalen) Konzern 146 III. Datenschutzbeauftragter beim Auftragsdatenverarbeiter 147 IV. Cloud Computing 147 E. Auftraggeber im Drittland 148 F. EU Datenschutz-Grundverordnung 148 G. Outsourcing und Cloud Computing 151 I. Hintergrund, Entwicklung 153 II. Ebenen und Organisationsformen des Cloud Computings 155 1. Ebenen des Cloud Computings 155 2. Private Cloud, Community Cloud, Public Cloud, Hybrid Cloud 156 III. Wesentliche Risiken des Cloud Computings 157 IV. Vertrags- und Zivilrecht 158 1. Vertragstypologie und Vertragsgestaltung 158 2. Anwendbares Recht 160 V. Datenschutzrecht 160 1. Anwendbares Datenschutzrecht 161 2. Reine EU-Clouds 162 3. Clouds (auch) in Drittstaaten 162 4. EU Datenschutz-Grundverordnung 163 5. Datenübermittlung oder Auftragsdatenverarbeitung 164 6. Anforderungen an ein zulässiges Outsourcing in die Cloud 165 7. Outsourcing in Drittländer-Clouds 168 a) Cloud-Anbieter mit Sitz in EU/EWR 170 b) Cloud-Anbieter mit Sitz in „sicheren Drittstaaten“ 170 aa) Safe Harbor-Abkommen 171 bb) EU-Standardvertragsklauseln 173 cc) Binding Corporate Rules 173 (a) Ebene des Cloud-Anwenders 173
XVI
Inhaltsverzeichnis
(b) Ebene des Cloud-Anbieters 173 c) Cloud-Anbieter mit Sitz in „unsicheren Drittstaaten“ 174 d) Rechtfertigung 174 e) EU Datenschutz-Grundverordnung 175 f) Datensicherheit 176 8. Bereichsspezifische Nutzung 176 a) Nutzung durch die öffentliche Hand 176 aa) Auslagerung in die Cloud durch Behörden 176 bb) Gesundheitswesen und Sozialleistungen 176 cc) Vergaberecht 176 b) Berufsrecht, elektronische Handakte 177 c) Finanzsektor, MaRisk 177 d) Versicherungsbranche 178 e) Telekommunikation 178 Kapitel 5 Datenverarbeitung im (internationalen) Konzern A. Einwilligung, Rechtsvorschriften und Datenschutzrichtlinien (Betriebsvereinbarungen; BCR) 181 I. Einwilligung, Betriebsvereinbarung und Rechtsvorschriften als Grundlage konzerninterner Datentransfers 181 1. Konzerninterner Austausch personenbezogener Daten: „Auftragsdatenverarbeitung“ oder „Übermittlung“ 181 2. Beispiele und Grenzen der Auftragsdatenverarbeitung im Konzern 185 a) Konzernweites Rechenzentrum 185 b) Personalverwaltung, Personalinformationssysteme 185 c) Lohn- und Gehaltsabrechnung 187 d) Werkschutz 187 e) Kundenbetreuung durch konzerneigenes Call-Center 187 f) Reisemanagement und Reisekostenabrechnung 188 g) Grenzen der Auftragsdatenverarbeitung im Konzern 188 3. Konzerninterne Übermittlungen personenbezogener Daten 189 a) Einwilligung: Taugliche Rechtsgrundlage für konzerninterne Übermittlungen? 192 b) Betriebsvereinbarung als Rechtsgrundlage für Übermittlungen 194 aa) Betriebsvereinbarung als „Rechtsvorschrift“ gem. § 4 Abs. 1 BDSG 194 bb) Betriebsvereinbarungen: praxistaugliche Rechtsgrundlage für Übermittlungen innerhalb eines Konzerns? 196
Inhaltsverzeichnis
XVII
c) Übermittlungen auf der Grundlage gesetzlicher Vorschriften bei nicht-sensitiven personenbezogenen Daten 198 aa) Zentralisierung von Aufgaben der Personalverwaltung 201 bb) Konzernweites Namens-, Telefon-, E-Mail-Verzeichnis 204 cc) „Konzernbezogene Beschäftigungsverhältnisse“ und MatrixStrukturen 205 dd) „Skill-Datenbanken“ 207 ee) Konzerninterne Übermittlung von Kundendaten 207 d) Übermittlungen auf der Grundlage gesetzlicher Vorschriften bei sensitiven personenbezogenen Daten gem. § 3 Abs. 9 BDSG 208 4. Zusätzliche Anforderungen für Übermittlungen in Drittstaaten 210 a) Drittstaaten mit angemessenem Datenschutzniveau 210 b) Sonderfall USA: Safe Harbor 211 c) Ausnahmetatbestände gem. § 4c Abs. 1 BDSG 213 d) EU-Standardvertragsklauseln 214 e) Individuelle Verträge zur Erbringung ausreichender Datenschutzgarantien 215 f) Binding Corporate Rules 215 g) Zusammenfassung 216 II. Binding Corporate Rules 217 1. Sinn und Zweck von BCR 217 2. Vorüberlegungen zur Einführung von BCR in einer Unternehmensgruppe 220 a) Sind BCR überhaupt das passende Instrument? 220 b) BCR liefern keine Rechtsgrundlage für die „erste Stufe“ der Datenübermittlung 221 3. Anerkennung der BCR als angemessene Datenschutzgarantien sowie Genehmigungserteilung für Datenexporte auf der Grundlage von BCR 222 a) Schritt 1: Verfahren zur Anerkennung der BCR als ausreichende Garantien 222 aa) Auswahl der federführenden Behörde; Sprache der BCR 222 bb) Weiterer Ablauf des BCR-Anerkennungsverfahrens 225 b) Schritt 2: Einholung von Genehmigungen für die einzelnen Datenexporte 226 4. Inhaltliche und weitere Anforderungen an BCR 228 a) Verbindlichkeit der BCR; Haftung 230 aa) Interne Verbindlichkeit gegenüber den Gruppenmitgliedern 230 (1) Vertragliche Regelungen 231
XVIII
Inhaltsverzeichnis
(2) Gestaltung als unternehmensinterne Regelungen (z. B. Konzernrichtlinien) 232 (3) Einseitige Erklärungen 233 bb) Interne Verbindlichkeit gegenüber den Mitarbeitern 234 cc) Externe Verbindlichkeit (rechtliche Durchsetzbarkeit von außen) 236 dd) Haftung 238 b) Definition des Anwendungsbereichs 238 c) Beschreibung der Datenverarbeitungen und -übermittlungen 240 d) Datenschutzgrundsätze 241 aa) Transparenz und Fairness gegenüber den Betroffenen 242 bb) Zweckbeschränkung und Erforderlichkeit 243 cc) Datenqualität 243 dd) Datensicherheit 243 ee) Verhältnis zu Auftragsdatenverarbeitern, die der Unternehmensgruppe angehören 244 ff) Rechtsgrundlage für die Datenverarbeitung 244 gg) Rechte auf Auskunft, Berichtigung, Löschung, Sperrung und Widerspruch 245 hh) Beschränkung des Datentransfers an gruppenfremde Stellen 245 e) Nachweis der praktischen Wirksamkeit in der Unternehmensgruppe 247 aa) Einsetzung eines Mitarbeiterstabs 247 bb) Schulung 248 cc) Audit 248 dd) Beschwerdeverfahren 249 f) Nachweis der Zusammenarbeit mit den EWRDatenschutzbehörden 250 g) Nachweis eines Systems zur Aktualisierung der BCR und des Kreises der an die BCR gebundenen Unternehmen 250 h) Vorgehen im Falle von in Drittstaaten geltenden Rechtsvorschriften, die der Einhaltung der BCR entgegenstehen 251 i) Erklärung zum Verhältnis zwischen den BCR und nationalen Rechtsvorschriften 251 5. BCR für Auftragsdatenverarbeiter 251 B. Problem der grenzüberschreitenden E-Discovery 254 I. Verfahren der Pre-Trial Discovery 254 II. Unterschiede zu anderen Rechtsordnungen 255 1. Common Law – USA und Großbritannien 256 2. Kontinentaleuropa 256
Inhaltsverzeichnis
III. IV. V. VI.
257 3. Blocking Statutes Gegenstand der Pre-Trial Discovery 258 Sanktionen bei Nichtvorlage von Daten 258 Leitlinien der Artikel 29-Datenschutzgruppe 259 Rechtmäßigkeit der US e-Discovery nach BDSG 259 1. Anwendbarkeit des BDSG 260 2. Datenverarbeitung zum Zweck der e-Discovery 261 a) Unterschiedliche Verarbeitungsphasen 261 b) Zweistufige Prüfung 261 3. Allgemeine Zulässigkeit der Datenverarbeitung 262 a) Rechtsgrundlage 262 aa) Einwilligung 262 bb) Erlaubnistatbestände des BDSG 264 cc) Schutz berechtigter Unternehmensinteressen 265 dd) Berechtigtes Unternehmensinteresse 265 ee) Abwägung mit schutzwürdigem Interesse der Betroffenen 266 ff) Erforderlichkeit 266 gg) Kein entgegenstehendes Betroffeneninteresse 269 b) Besonderheiten bei Beschäftigtendaten 270 4. Zulässigkeit der Datenübermittlung in die USA 271 a) Haager Beweisübereinkommen 272 b) Grundsätze des sicheren Hafens („Safe Harbor“) 273 c) EU-Standardvertragsklauseln 274 d) Binding Corporate Rules 274 e) Ausnahmetatbestand des § 4c Abs. 1 Nr. 4 BDSG 275 5. Beteiligung des Betriebsrats 276 6. Einbeziehung des Datenschutzbeauftragten 278 7. Information der Betroffenen 278 8. Rechte auf Auskunft, Berichtigung und Löschung 278 9. Einschaltung eines e-Discovery-Dienstleisters 279 10. Datensicherheit 281
Kapitel 6 Telekommunikation im Unternehmen – Was ist erlaubt, was ist verboten? A. Einleitung 283 B. Zugriffsgründe und -arten 283 I. Zugriffsgründe 283 II. Zugriffsarten 284 C. Zulässigkeit von Zugriffen 285
XIX
XX
Inhaltsverzeichnis
I. Internationale Anwendbarkeit sowie Abgrenzung von TKG und TMG zu BDSG 285 II. Zulässigkeitsmaßstab bei ausschließlich dienstlicher Nutzung 287 1. Folge für Zugriffe im Bereich telefonischer Kommunikation 287 2. Folge für Zugriffe in den Bereichen E-Mail, Internet und Intranet 288 III. Zulässigkeit bei Duldung oder Gestattung der auch privaten Nutzung 289 1. Erlaubnis durch Duldung? 289 2. Zulässigkeitsmaßstab bei gestatteter Privatnutzung 290 a) Vorliegen eines Telekommunikationsdienstes 291 b) Übermittlungsvorgang 292 c) Arbeitgeber als Diensteanbieter 294 aa) Auffassung der noch herrschenden Meinung im Schrifttum 295 bb) Im Vordringen befindliche Gegenauffassung 295 d) Zusammenfassung 296 IV. Zulässigkeit von Einzelmaßnahmen 297 1. Welche Daten dürfen erhoben und verarbeitet werden? 297 2. Zulässigkeit der Datenverarbeitung im Einzelnen 298 a) Zugriffe auf E-Mail-Daten 298 aa) Der Meinungsstand 298 bb) Zugriffe auf betriebliche Webmailinterfaces 299 cc) Zugriffe auf E-Mail-Daten im betrieblichen Alltag 299 dd) E-Mail-Zugriffe zur Verhaltenskontrolle 301 b) Spamfilter und Antivirenprogramme 305 aa) Erforderlichkeit risikominimierender Maßnahmen 305 bb) Einwilligung des Arbeitnehmers 305 cc) Betriebsvereinbarung 306 dd) Einwilligung des Kommunikationspartners 306 ee) Entbehrlichkeit einer Einwilligung 306 c) E-Mail-Archivierungen 307 d) Löschen von E-Mail-Konten und -Nachrichten nach Ausscheiden 310 e) Telefonie einschließlich Mobilfunk 310 aa) Mit- und Abhören 311 bb) Zugriff auf Verkehrsdaten 311 cc) Nutzung von Geo- bzw. Standortdaten 312 f) TK-Outsourcing/Zentralisierung 314 aa) Allgemeine Anforderungen 314 bb) Auftragsdatenverarbeitung 314 cc) Drittstaatentransfer 314 dd) Besondere Verpflichtung des Dienstleisters 315
Inhaltsverzeichnis
315 ee) Herausforderungen für Berufsgeheimnisträger g) Social Media 316 h) Intranetspezifischer Datenschutz 317 V. Gestaltungshinweise 318 a) Striktes Verbot der privaten Nutzung 318 b) Qualifiziertes Verbot der privaten Nutzung 318 c) Einholung von Einwilligungen 319 d) Betriebsvereinbarungen als Ausnahme von § 88 Abs. 3 S. 3 TKG Kapitel 7 Die Website – Datenschutzerklärung, Impressum & Co. A. Einleitung 323 B. Datenschutzerklärung 323 I. Ausgangslage 323 II. Intention und Rechtsgrundlagen 324 III. Adressaten 325 1. Diensteanbieter 325 2. Telemedium 326 IV. Formale Anforderungen 327 V. Inhaltliche Gestaltung 328 1. Zwingende gesetzliche Anforderungen 328 a) Allgemeine inhaltliche Gestaltungsanforderungen 328 b) Darstellung einzelner Datenverarbeitungen 330 c) Cookies, Web-Bugs und ähnliche Verfahren 332 d) Tracking und Tracing 334 e) Retargeting/Online Behavioural Advertising 337 f) Social Media 338 2. Fakultative Informationen 339 VI. Haftungsrisiken bei fehlerhafter Datenschutzerklärung 340 C. Impressum 341 I. Ausgangslage 341 II. Adressaten 342 1. Adressaten des § 5 TMG 342 a) Geschäftsmäßigkeit und Entgeltlichkeit 343 b) Bereithalten zur Nutzung 343 2. Adressaten des § 6 TMG 344 III. Formale Anforderungen 344 1. Leicht erkennbar 345 2. Unmittelbar erreichbar 345 3. Ständig verfügbar 346 IV. Inhalt 346
XXI
321
XXII
Inhaltsverzeichnis
1. Anbieterkennzeichnungspflicht für natürliche Personen 347 2. Anbieterkennzeichnungspflicht für juristische Personen und Personengesellschaften 348 3. Besondere Informationspflichten für bestimmte Diensteanbieter 350 V. Haftungsrisiken 351 Kapitel 8 Umgang mit Beschäftigtendaten – Von der Bewerbung bis zur Kündigung A. Einführung 353 I. Die Rechtsquellen 353 1. Das Arbeitsrecht 353 2. Das BDSG 353 3. Keine Ausschließlichkeit 354 4. „Beschäftigungsfremde“ Verarbeitungszwecke 354 II. Die Rechtspositionen des Beschäftigten 355 1. Einwilligung des Beschäftigten 355 2. Transparenz 355 3. Korrekturrechte 356 III. Datenschutz im kollektiven Arbeitsrecht 357 1. Die Schutzfunktion der Mitarbeitervertretung 357 2. Betriebsvereinbarungen 358 IV. Ausblick 358 B. Datenschutz im Anbahnungsverhältnis 359 I. Rechtliche Grundlagen 359 II. Das Fragerecht des Arbeitgebers 360 1. Allgemeines 360 a) Grundlagen 360 b) Erweiterung des Fragerechts durch Einwilligung, ungefragte Offenbarungen 361 c) Rechtsfolgen unzulässiger Fragen 362 2. Fallgruppen 364 a) Stammdaten 364 b) Familienverhältnisse, Informationen über Angehörige 364 c) Angaben zur Verfügbarkeit 365 d) Ausbildung, Qualifikationen und Berufserfahrung 365 e) Staatsangehörigkeit, Aufenthalts- und Arbeitserlaubnis, Geburtsort 367 f) Gesundheitsdaten (Krankheiten, Behinderung, Drogen) 368 g) Schwerbehinderteneigenschaft 370 h) Schwangerschaft, Kinderwunsch, Familienplanung 371
Inhaltsverzeichnis
XXIII
i) Vorstrafen, Ermittlungsverfahren, gerichtliche Strafverfahren, Haftstrafen 372 j) Eintragungen im Verkehrszentralregister und Erziehungsregister, Disziplinarstrafen, Bußgeldentscheidungen 372 k) Vermögensverhältnisse 373 l) Religion, Konfession und Weltanschauung 374 m) Scientology und Verfassungstreue 374 n) MfS-Mitarbeit, SED-Mitgliedschaft 375 o) Partei- und Gewerkschaftsangehörigkeit, Berufsfachverband 376 p) Nebentätigkeiten, Konkurrenz 377 q) Freizeitbeschäftigungen, Mitgliedschaft in Vereinen, Ehrenamt 377 r) Wehrdienst, Ersatzdienst 378 s) Sonstige diskriminierungsrelevante Merkmale: Alter, Geschlecht, Rasse und ethnische Herkunft, Sexualität 378 t) Fragerecht in der Leiharbeitsbranche 379 III. Offenbarungspflichten des Arbeitnehmers 379 IV. Sonstige Datenerhebungen durch Arbeitgeber 379 1. Erhebung allgemein zugänglicher Daten, insbesondere Internetrecherchen 379 2. Arbeitgeberauskunft 383 3. Ärztliche Untersuchungen 383 4. Psychologische Untersuchungen und Persönlichkeitstests, Graphologische Untersuchung 388 5. Anforderung sonstiger Unterlagen vom Bewerber 389 a) Lebenslauf, Zeugnisse, Lichtbild, Aufenthaltstitel 389 b) Polizeiliches Führungszeugnis, Auskünfte der Polizei oder Nachrichtendienste 389 c) Bonitätsauskünfte 391 d) Auszug aus dem Gewerbezentralregister 391 e) Namensabgleich mit Antiterrorlisten und sonstigen Sanktionslisten 392 V. Nutzung, Speicherung und Übermittlung von Bewerberdaten 392 VI. Einschaltung Dritter in das Bewerbungs- und Auswahlverfahren durch Arbeitgeber 394 C. Datenschutz im Beschäftigungsverhältnis 395 I. Rechtliche Grundlagen 395 1. Verarbeitungsgrundsätze 395 2. Technisch-organisatorischer Datenschutz 396 3. Folgen rechtswidrigen Verarbeitungshandelns 396 II. Allgemeine Verarbeitungen 397
XXIV
Inhaltsverzeichnis
1. Weitere Verarbeitung der Daten aus dem Anbahnungsverhältnis 397 2. Grundlegende Personaldaten 398 3. Private Verhältnisse 399 4. Private Telefonnummern, E-Mail-Adressen, Soziale Netzwerke 400 5. Urlaubsabsichten 401 6. Arbeitszeiterfassung 401 7. Entgeltabrechnung 402 8. Schutz der Betriebsstätte 402 9. Identifikation und Legitimation 403 10. Gesundheitsdaten 404 a) Rechtliche Grundlagen 404 b) Fehlzeiten wegen Erkrankung 405 c) Betriebliches Eingliederungsmanagement 406 d) Krankenrückkehrgespräche 406 e) Arbeitsmedizinische Untersuchungen 407 f) Schwangerschaft 408 11. Innerbetriebliche Aushänge 409 12. Verarbeitungsbezogene Rechte des Beschäftigten 410 III. Besondere Verarbeitungen zur Beschäftigtenkontrolle 410 1. Grundsätze zur Kontrolle Beschäftigter 411 2. Aufklärung von Straftaten Beschäftigter 412 3. Personenkontrollen, Testkäufe, Detektive 413 4. Besonderheiten bei Aufenthalts- und Bewegungskontrollen 413 5. Videoüberwachung am Arbeitsplatz 414 a) Offene Beobachtung öffentlich zugänglicher Bereiche 416 b) Offene Beobachtung allein betriebsöffentlicher Bereiche 417 c) Interessenabwägung 417 d) Heimliche Beobachtung 418 e) Attrappen 419 6. Kontrolle betrieblicher Kommunikation (Telefon, PC, Internet, Mail) 419 7. Mitarbeiterscreening 420 IV. Sonstiges Verarbeitungsinteresse des Arbeitgebers 421 1. Innerbetriebliche Mitteilungen, Erhebungen, Umfragen und Statistiken 421 2. Außendarstellung und Öffentlichkeitsarbeit 422 3. Fürsorge, Eigen- und Fremdwerbung 424 a) Freiwillige (soziale) Angebote 424 b) Versicherungen 424 c) Eigen- und Fremdwerbung 425 4. Nutzung und Verarbeitung von Beschäftigtendaten durch externe Wirtschaftsprüfer 425
Inhaltsverzeichnis
5. Datenübermittlung an potenzielle Unternehmenskäufer 6. (e-)Discovery 427 D. Verarbeitung bei und nach Beendigung des Beschäftigungsverhältnisses 428 I. Allgemeines 428 II. Erstellung von Zeugnissen 430 III. Befragung über den Grund des Ausscheidens 432 IV. Betriebsübergang 432 V. Das Verarbeiten nach Beendigung des Arbeitsverhältnisses E. Datenverarbeitungen durch den Betriebsrat 435 I. Allgemeines 435 II. Der Betriebsrat als „unabhängiger“ Teil des Betriebs 436 III. Die technische Infrastruktur 436 IV. Personenbezogene Informationsansprüche 437 V. Eigene Personaldateien 438
XXV
426
434
Kapitel 9 Unternehmensinterne Ermittlungen datenschutzkonform ausgestalten A. Rechtlicher Rahmen und operatives Vorgehen 441 I. Anlass und Ausgangssituation 441 II. Rechtlicher Rahmen im Inland 442 1. Anwendbares Recht 442 2. Anwendbarkeit des TKG 442 3. Unterscheidung unternehmens- und personenbezogener Daten 443 4. § 32 BDSG als zentrale Erlaubnisnorm 445 5. Einbindung von Mitarbeitervertretung, Datenschutzbeauftragten und Aufsichtsbehörde 447 a) Betrieblicher Datenschutzbeauftragter oder Datenschutzaufsicht 447 b) Betriebsrat und Sprecherausschuss 448 6. Fehlen eines Beschäftigungsbezugs und Nicht-Beschäftigte 449 7. Einwilligung und Widerspruch des Beschäftigten 450 a) Einwilligung 450 b) Widerspruch 450 8. Auslandsbezug 451 a) Innereuropäische Sachverhalte 451 b) Sachverhalte mit Drittstaatenbezug 452 III. Anlassbezogene unternehmensinterne Ermittlungen 454 1. Auslösende Momente 454 2. Situationsbewertung und Zuständigkeiten 455 IV. Ermittlungsdurchführung 456
XXVI
Inhaltsverzeichnis
1. 2. 3. 4.
Zentrale Ermittlungstätigkeiten 456 Herausgabe von Daten und Dokumenten 461 Durchführung von Hintergrund-Checks 462 Durchführung von Interviews 464 a) Auskunftspflicht im Interview 464 b) Beteiligung des Betriebsrats am Interview 465 c) Beteiligung eines Rechtsanwalts am Interview 465 d) Belehrungspflichten 466 e) Anfertigung von Aufzeichnungen/Datenerhebung 467 f) Aushändigung von Aufzeichnungen/Einsichtsrecht des Arbeitnehmers 468 g) Beweisverwertung im Strafverfahren/Interviews im Beisein staatlicher Ermittler 468 5. Analyse von IT-Ressourcen und Mobile Devices 469 a) Vorbereitung und Ausgangslage 469 aa) Einzel-PCs 469 bb) Mehrere Beteiligte 470 cc) Sonderfall: E-Discovery 472 b) Betroffene Datenarten als personenbezogene Daten 473 c) Sicherstellung und technische Datenaufbereitung 474 d) Entlöschen von Daten 475 B. Zusammenfassende rechtliche Einordnung von Einzelermittlungsmaßnahmen 476 I. Auswertung von Telefon-Verbindungsdaten (sog. Verkehrsdaten) 476 II. Abhören/Mitschneiden von Telefonaten und Gesprächen in Büros, Besprechungsräumen und in Firmenwagen 476 III. Laufende E-Mail- und Netzwerküberwachung zur Erfassung weiterer Tatbestände 478 IV. Internetüberwachung, bei der aufgerufene Websites gelistet und rekonstruiert werden 478 V. Nutzung sog. Keylogger auf den Endgeräten von Verdächtigten 479 VI. Videoüberwachung in nichtöffentlich zugänglichen Räumen 480 VII. Videoüberwachung in öffentlich zugänglichen Räumen 481 VIII. Standortüberwachung/Erstellen von Bewegungsprotokollen durch Technologien wie GPS, RFID und Standortdaten 481 IX. Detektiveinsatz 482 X. Fahrzeugregisterauskunft 482 XI. Einsicht in Kontodaten und Kreditkartenabrechnungen 483 XII. Grundbucheinsicht 483 XIII. Datenabgleich mit Terror- und Sanktionslisten 484
Inhaltsverzeichnis
XXVII
Kapitel 10 Nutzung von Kundendaten – Werbung, Kundenbetreuung und CRM on- und offline rechtssicher gestalten A. Werbung 486 I. Grundlagen 486 II. Widerspruchsrecht und Unterrichtungspflichten 487 1. Inhalt der Unterrichtung 488 a) Information über das Widerspruchsrecht und dessen Ausübung 488 b) Angabe der verantwortlichen Stelle 490 c) Weitere Angaben zur Herkunft der Kundendaten 491 2. Form der Unterrichtung 491 3. Zeitpunkt der Unterrichtung 492 4. Pflichten nach Ausübung des Widerspruchsrechts 493 III. Ohne Einwilligung zulässige Werbung 496 1. Listendaten 496 2. Zulässige Werbemaßnahmen 499 a) Werbung für eigene Angebote 499 b) Berufsbezogene Werbung 504 c) Spendenwerbung 506 3. Werbung für fremde Angebote 507 4. Berücksichtigung schutzwürdiger Interessen der Betroffenen 5. Freundschaftswerbung 510 IV. Voraussetzungen wirksamer Einwilligungen 511 1. Freie Entscheidung des Betroffenen 511 2. Inhaltliche Anforderungen 511 3. Opt-in oder Opt-out 514 4. Vorformulierte Einwilligungserklärungen 515 5. Formelle Anforderungen 516 6. Kopplungsverbot 518 7. Einwilligung Minderjähriger 519 8. Einwilligung durch Bevollmächtigte oder Vertreter 520 9. Widerruf der Einwilligung 521 10. Anfechtbarkeit der Einwilligung 522 11. Wirkungsdauer einer Einwilligung 523 V. Online-Shops und andere Telemediendienste 524 1. Anwendungsbereich des TMG 524 2. Notwendigkeit einer Einwilligung in die werbliche Verwendung personenbezogener Daten 527 3. Voraussetzungen einer elektronischen Einwilligung 528 a) Bewusst und eindeutig erteilte Einwilligung 528
509
XXVIII
Inhaltsverzeichnis
b) c) d) e)
Darstellung der Einwilligungserklärung 529 Gesonderte Erklärung 530 Ausgestaltung als Opt-in 530 Protokollierung, jederzeitige Abrufbarkeit und Widerrufbarkeit 531 4. Verhaltensbasierte Online-Werbung 531 a) Zulässige Bildung von Nutzungsprofilen 532 b) Nutzungsprofile ohne Verwendung von Pseudonymen 535 c) Einsatz von Cookies 535 VI. Werbung durch die Anbieter von Telekommunikationsdiensten 536 1. Anwendungsbereich des TKG 537 2. Werbliche Verwendung von Teilnehmerdaten 537 a) Werbliche Verwendung von Bestandsdaten 537 b) Werbliche Verwendung von Verkehrsdaten 539 3. Zulässigkeit einer elektronisch erteilten Einwilligung 539 VII. Social Media Marketing 539 1. Unternehmenspräsenz in sozialen Netzwerken 540 2. Social Plugins 542 VIII. Wettbewerbsrechtliche Beschränkungen 543 1. Briefkasten- und Briefwerbung 544 2. Werbung mittels elektronischer Fernkommunikation 546 a) Notwendigkeit einer vorherigen ausdrücklichen Einwilligung 546 b) Zufriedenheitsbefragungen 549 c) Empfehlungs-E-Mails 550 d) Wettbewerbswidrige Werbung in sozialen Netzwerken 551 e) Verbot der Rufnummernunterdrückung 552 f) Nachweis der Einwilligung – Double-Opt-in-Verfahren 552 g) Widerruf der Einwilligung 554 h) Wirksamkeitsdauer der Einwilligung 554 3. Wettbewerbsrechtlich zulässige Werbung ohne (ausdrückliche) Einwilligung 555 a) Telefonwerbung 555 b) Werbung mittels elektronischer Post 556 4. Reaktionsmöglichkeiten von Wettbewerbern 560 IX. Werbung unter Verwendung fremder Daten 561 1. Nutzung von Kundendaten im Konzern 561 2. Adresshandel 562 a) Adresshandel mit Listendaten 563 b) Geschäftsmäßiger Adresshandel 563 3. Melderegisterdaten 565 B. Customer Relationship Management 566
Inhaltsverzeichnis
567 I. Grundlagen II. Gesetzliche Erlaubnis 567 III. Notwendigkeit von Einwilligungen der Betroffenen
XXIX
569
Kapitel 11 Datenschutz im Credit Management A. Einleitung 571 I. Begrifflichkeit 571 II. Bedeutung des Datenschutzes für das Credit Management 571 III. Datensicherheit 572 B. Prozesse vor der Entstehung von Forderungen 572 I. Überprüfung der Kreditwürdigkeit zukünftiger Kunden 572 1. Informationsbeschaffung und -validierung 572 a) Allgemeines 572 b) Direkterhebung 573 c) Verwendung eigener Erkenntnisse 574 aa) Exkurs: Aufbewahrungsfristen für eigene Datenbestände 574 bb) Plausibilitätsprüfung 575 d) Verwendung von Informationen aus externen Quellen 576 aa) Allgemeines 576 bb) Einwilligung 576 cc) Gesetzliche Verarbeitungsgrundlage 577 dd) Bereichsspezifische Normen für die Kreditwirtschaft 577 e) Auskünfte aus dem persönlichen Umfeld und aus dem Internet 578 f) Statistische Erkenntnisse über Geschäftskunden 579 g) Informationen aus besonderen Quellen (Banken, Behörden, Sozialdaten) 579 aa) Banken 579 bb) Behörden 580 cc) Sozialdaten 581 2. Informationsbewertung 581 a) Scoring 581 aa) Umfang der Anwendbarkeit des § 28b BDSG 582 bb) Zulässigkeit vertragsbezogenen Scorings 583 cc) Für Scoring verwendete Daten 583 dd) Verhältnis zu § 10 Abs. 1 KWG 585 ee) Sanktionen 587 b) Automatisierte Entscheidungssysteme 587 aa) Verfahren und Rechtsfolgen gem. § 6a BDSG 588
XXX
Inhaltsverzeichnis
bb) Verhältnis § 28b zu § 6a BDSG 588 II. Limitsteuerung 589 C. Maßnahmen während bestehender Kundenbeziehungen 590 I. Monitoring bei bestehenden Kundenbeziehungen 590 II. Maßnahmen bei notleidenden Vertragsverhältnissen 591 1. Forderungsrealisierung 591 a) Mahnwesen 591 b) Inkasso 592 c) Factoring 593 2. Einmeldung offener Forderungen und vertragswidrigen Handelns 594 a) In Auskunfteien 595 aa) Anwendbare Bestimmungen 595 bb) Feste Tatbestände („Fünferkatalog“) statt Interessenabwägung 595 cc) Einmeldungsempfänger: Auskunftei 596 dd) Einmeldebefugnis 596 ee) Fälligkeit der Forderung 597 ff) Erforderlichkeit der Einmeldung 598 gg) Tatbestandsvoraussetzungen für eine Einmeldung offener Forderungen an Auskunfteien („Fünferkatalog“) 599 (1) Amtlich festgestellte Zahlungsunfähigkeit und Anerkenntnis (Abs. 1 Nr. 1 – 3) 599 (a) Übermittlung aufgrund eines Urteils oder eines Titels (Nr. 1) 600 (b) Übermittlung aufgrund Feststellung im Insolvenzverfahren (Nr. 2) 601 (c) Übermittlung aufgrund Anerkenntnisses (Nr. 3) 601 (2) Übermittlung bei sonstigen Forderungen (Nr. 4 und 5) 601 (a) Forderungen im Mahnstadium (Nr. 4) 601 (b) Schriftliche Mahnungen 602 (c) Vier-Wochen-Frist 602 (d) Unterrichtung über die bevorstehende Einmeldung 602 (e) Unbestrittene Forderung 604 (3) Forderungen, die zur fristlosen Kündigung berechtigen (Nr. 5) 604 hh) Nachmeldepflicht (§ 28a Abs. 3 BDSG) 605 b) Einmeldung in Warndateien 605 III. Setzen von Liefersperren/Kündigung 606 D. Datenverwendung nach Vertragsbeendigung 607
Inhaltsverzeichnis
607 I. Ordnungsgemäße Vertragsbeendigung II. Vertragsbeendigung bei Zahlungsstörungen 609 1. Beendigung nach Forderungsausgleich 609 2. Beendigung nach Zahlungsausfall 609 E. Transparenzpflichten 610 I. Benachrichtigung 610 II. Selbstauskunft 611 1. Allgemeines 611 2. Identitätsprüfung 611 3. Missbräuchliches Auskunftsverlangen 613 4. Form und Frist der Selbstauskunft 613 5. Inhalt der Selbstauskunft 614 III. Mitteilungspflichten bei sog. Datenpannen 615 Kapitel 12 Die technisch-organisatorischen Maßnahmen des Datenschutzes – von der Theorie zur Praxis A. Anwendbarkeit des BDSG und Einordung der technisch-organisatorischen Maßnahmen 617 B. Datenschutz und Informationssicherheit 618 I. Daten und Informationen 618 II. Datenschutz 618 III. Informationssicherheit 619 IV. Technische und organisatorische Anforderungen an Datenschutz und Informationssicherheit 621 1. Arten von Anforderungen 621 2. Technische und organisatorische Anforderungen an den Datenschutz 622 3. Anforderungen an die Informationssicherheit 622 V. Gemeinsamkeiten und Unterschiede von Datenschutz und Informationssicherheit 623 C. Technisch-organisatorische Maßnahmen 625 I. Zutrittskontrolle 627 1. Allgemeine Beschreibung 627 2. Beispiele aus der Praxis 627 II. Zugangskontrolle 630 1. Allgemeine Beschreibung 630 2. Beispiele aus der Praxis 631 III. Zugriffskontrolle 634 1. Allgemeine Beschreibung 634 2. Beispiele aus der Praxis 635
XXXI
XXXII
Inhaltsverzeichnis
IV. Weitergabekontrolle 636 1. Allgemeine Beschreibung 636 2. Beispiele aus der Praxis 637 V. Eingabekontrolle 643 1. Allgemeine Beschreibung 643 2. Beispiele aus der Praxis 643 VI. Auftragskontrolle 646 1. Allgemeine Beschreibung 646 2. Beispiele aus der Praxis 647 VII. Verfügbarkeitskontrolle 650 1. Allgemeine Beschreibung 650 2. Beispiele aus der Praxis 651 VIII. Trennungsgebot 655 1. Allgemeine Beschreibung 655 2. Beispiele aus der Praxis 655 D. Umsetzung der technisch-organisatorischen Maßnahmen 657 I. Plan-Phase – Maßnahmenplanung und -umsetzung 659 1. Initialisierung der Umsetzung der TOMs 659 2. Ermittlung des Status quo und Durchführung einer Gap-Analyse 3. Maßnahmenplanung und -priorisierung 666 II. Do-Phase – Umsetzung des priorisierten Maßnahmenplans 666 III. Check-Phase – Überprüfung des Umsetzungserfolgs 668 IV. Act-Phase – Verstetigung im Regelbetrieb 668 V. KVP – kontinuierlicher Verbesserungsprozess 670 E. Zusammenfassung 670 Kapitel 13 Zertifizierungen – Arten und Nutzen A. Motivation und Zielsetzung 673 B. Rechtlicher Rahmen 675 C. Begriffsklärung 677 I. Standards und Normen 677 II. Zertifikate, Prüf-/Gütesiegel und Testate 678 1. Zertifikat und Prüfbericht 678 2. Testat 679 3. Prüf- und Gütesiegel 679 D. Anforderungen an Zertifikate 680 E. Unternehmenszertifizierungen 682 I. ISO/IEC 29100:2011 und ISO/IEC 29101:2013 682 II. ISO/IEC 27001:2013 684 III. IT-Grundschutz 687
661
Inhaltsverzeichnis
691 IV. ISAE 3000 V. Datenschutzaudit beim ULD 692 VI. Datenschutz-Audit der TÜV Rheinland i-sec F. Produktzertifizierungen 698 G. Fazit und Ausblick 699 Kapitel 14 Ausblick A. Mögliche gesetzgeberische Entwicklungen I. Auf nationaler Ebene 701 II. Auf europäischer Ebene 707 B. Fazit 711 Stichwortverzeichnis
713
701
695
XXXIII
Abkürzungsverzeichnis % Prozent € Euro § Paragraph a. A. anderer Ansicht a. E. am Ende a. F. alte Fassung ABl. Amtsblatt Abs. Absatz ADV Auftragsdatenverarbeitung AES Advanced Encryption Standard AEUV Vertrag über die Arbeitsweise der Europäischen Union AG Arbeitsgericht AGB Allgemeine Geschäftsbedingungen AGG Allgemeines Gleichbehandlungsgesetz AiB Arbeitsrecht im Betrieb (Zeitschrift) AkkStelleG Akkreditierungsstellengesetz AktG Aktiengesetz Alt. Alternative Amtsbl. Schl.-H. Amtsblatt Schleswig-Holstein AnwBl. Anwaltsblatt (Zeitschrift) AO Abgabenordnung ArbG Arbeitsgericht ArbGG Arbeitsgerichtsgesetz ArbMedVV Arbeitsmedizinische Vorsorge-Verordnung ArbRAktuell Arbeitsrecht Aktuell (Zeitschrift) ArbuR Arbeit und Recht (Zeitschrift) Art. Artikel ASiG Arbeitssicherheitsgesetz ASP Application Service Providing AtG Atomgesetz AuA Arbeit und Arbeitsrecht (Zeitschrift) Aufl. Auflage AuR Arbeit und Recht (Zeitschrift) Az. Aktenzeichen AZRG Ausländerzentralregistergesetz B2C Business-to-Consumer BaFin Bundesanstalt für Finanzdienstleistungsaufsicht BAG Bundesarbeitsgericht Bundesarbeitsgericht Entscheidungssammlung BAGE BayDSG Bayerisches Datenschutzgesetz BayLDA Bayerisches Landesamt für Datenschutzaufsicht BayVGH Bayerischer Verwaltungsgerichtshof Betriebsberater (Zeitschrift) BB BBG Bundesbeamtengesetz BBiG Berufsbildungsgesetz
XXXVI
Abkürzungsverzeichnis
Zeitschrift für Bilanzierung, Rechnungswesen und Controlling BC Binding Corporate Rules BCR Binding Corporate Rules for Processors BCRP BDatG Beschäftigtendatenschutzgesetz BDSG Bundesdatenschutzgesetz BDSG-E Bundesdatenschutzgesetz-Entwurf ber. berichtigt Beschl. Beschluss BetrVG Betriebsverfassungsgesetz Bundesbeauftragter für den Datenschutz und die Informationsfreiheit BfDI BFH Bundesfinanzhof Bürgerliches Gesetzbuch BGB BGB-InfoV BGB-Informationspflichten-Verordnung BGBl. Bundesgesetzblatt BGH Bundesgerichtshof BioStoffV Biostoffverordnung BKAG Bundeskriminalamtgesetz Bank- und Kapitalmarktrecht (Zeitschrift) BKR BMG Bundesmeldegesetz Bundesministerium des Innern BMI Bundesministerium der Justiz BMJ Berufsordnung der Rechtsanwälte BORA Berufsordnung der Bundessteuerberaterkammer BOStB BPersVG Bundespersonalvertretungsgesetz Business Process Outsourcing BPO BRAO Bundesrechtsanwaltsordnung Bundesamt für Sicherheit in der Informationstechnik BSI Bundesbeauftragter für die Stasi-Unterlagen BStU BT-Drucks. Bundestags-Drucksache Buchst. Buchstabe BurlG Bundesurlaubsgesetz BVerfG Bundesverfassungsgericht BZRG Bundeszentralregistergesetz bzw. beziehungsweise Communications as a Service CaaS Compliance Berater (Zeitschrift) CB Cloud Computing; Common Criteria CC Common Criteria Editorial Board CCEA Common Criteria Recognition Arrangement CCRA Corporate Compliance Zeitschrift CCZ CMMI Capability Maturity Model Integration COBIT Control Objectives for Information and Related Technology Code of Conduct CoC Computer und Recht (Zeitschrift) CR CRM Customer-Relationship-Management d. h. DAkks
das heißt Deutsche Akkreditierungsstelle
Abkürzungsverzeichnis
DB Der Betrieb (Zeitschrift) DDR Deutsche Demokratische Republik DruckluftV Druckluftverordnung DSA Datenschutzaudit DSB Datenschutzbeauftragter; Datenschutz-Beauftragter (Zeitschrift) DS-GVO Datenschutz-Grundverordnung DS-GVO-E Datenschutz-Grundverordnung-Entwurf DS-GVO-V Datenschutz-Grundverordnung-Vorschlag DSMS Datenschutz-Managementsystem DS-RL Datenschutz-Richtlinie Deutsches Steuerrecht (Zeitschrift) DStR Datenschutz und Datensicherheit (Zeitschrift) DuD Elektronische Datenverarbeitung EDV Einführungsgesetz zum Bürgerlichen Gesetzbuch EGBGB EntgFG Entgeltfortzahlungsgesetz ERP Enterprise-Resource-Planning Electronically Stored Information ESI EStG Einkommensteuergesetz et cetera etc. Europäische Union EU EU-DatSchRL EU-Datenschutzrichtlinie Europäischer Gerichtshof EuGH European Privacy Seal EuroPriSe Europäische Zeitschrift für Wirtschaftsrecht EuZW EVPG Energieverbrauchsrelevante-Produkte-Gesetz Europäischer Wirtschaftsraum EWR folgende f. / ff. FamFG Familienverfahrensgesetz FeV Fahrerlaubnis-Verordnung Foreign Intelligence Surveillance Act FISA Fn Fußnote FRCP Federal Rules of Civil Procedure FTD Financial Times Deutschland g. F. geltende Fassung GBO Grundbuchordnung GC Grid Computing GDD Gesellschaft für Datenschutz und Datensicherheit Gesamtverband der Deutschen Versicherungswirtschaft GDV GefStoffV Gefahrenstoffverordnung gem. gemäß GenDG Gendiagnostikgesetz GenG Genossenschaftsgesetz GenTSV Gentechnik-Sicherheitsverordnung GewO Gewerbeordnung ggf. gegebenenfalls ggü. gegenüber
XXXVII
XXXVIII
Abkürzungsverzeichnis
Gesellschaft mit beschränkter Haftung-Gesetz GmbHG Grundsätze ordnungsmäßiger Buchführung GoB Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme GoBS Gewerblicher Rechtsschutz und Urheberrecht-Rechtsprechungs-Report GRUR-RR GwG Geldwäschegesetz herrschende Meinung h. M. Hardware as a Service HaaS Haager Beweisübereinkommen HBÜ Hessischer Landesdatenschutzbeauftragter HessLDSB HGB Handelsgesetzbuch HIS Hinweis-Informationssystem Hamburgischer Beauftragter für Datenschutz und Informationsfreiheit HmbBfDI Hamburgisches Datenschutzgesetz HmbDSG Human Resources HR Hs. Halbsatz Hypertext Markup Language HTML Hyper Text Transfer Protocol Secure HTTPs in der Fassung i. d. F. in der Regel i. d. R. im Ergebnis i. E. im Sinne des / der i. S. d. i. V. m. in Verbindung mit Infrastructure as a Service IaaS Institut der Wirtschaftsprüfer IDW International Federation of Accountants IFAC IfSG Infektionsschutzgesetz Internes Kontrollsystem IKS InsO Insolvenordnung Information Security Management System ISMS IT Informationstechnologie IT-Sich-G-E IT-Sicherheitsgesetz-Entwurf IT-Rechts-Berater (Zeitschrift) ITRB Information und Kommunikation IuK JA
Juristische Arbeitsblätter (Zeitschrift)
Kap. Kapitel KG Kammergericht Key Performance Indicator KPI KSchG Kündigungsschutzgesetz KUG Kunsturheberrechtsgesetz Kontinuierlicher Verbesserungsprozess KVP KWG Kreditwesengesetz LAG Landesarbeitsgericht Landesbeauftragter für Datenschutz und Informationsfreiheit NordrheinLDI NRW Westfalen
Abkürzungsverzeichnis
LDSB Landesdatenschutzbeauftragter LDSG Landesdatenschutzgesetz LDSG BW Landesdatenschutzgesetz Baden-Württemberg LDSG SH Landesdatenschutzgesetz Schleswig-Holstein LfD BW Landesbeauftragter für den Datenschutz Baden-Württemberg LfDI Landesbeauftragter für Datenschutz und Informationsfreiheit LG Landgericht lit. litera LKV Landes- und Kommunalverwaltung (Zeitschrift) LT-Drucks. Landtagsdrucksachen LuftSiG Luftsicherheitsgesetz LuftVZO Luftverkehrszulassungsgesetz mit Anmerkung m. Anm. mit weiteren Nachweisen m. w. N. mit Wirkung vom m. W. v. Mindestanforderungen an das Risikomanagement MaRisk Musterberufsordnung-Ärztinnen und Ärzte MBO-Ä Medizinrecht (Zeitschrift) MedR Ministerium für Staatssicherheit MfS Mio. Millionen MITM Man-in-the-middle MultiMedia und Recht (Zeitschrift) MMR mutual recognition MR Mrd. Milliarde MuSchG Mutterschutzgesetz NJOZ NJW NJW-RR NÖB NSA NStZ NTP NZA NZA Beil. NZA-RR NZWiSt
Neue Juristische Online Zeitschrift Neue Juristische Wochenschrift Neue Juristische Wochenschrift-Rechtsprechung-Report Nicht öffentlicher Bereich National Security Agency Neue Zeitschrift für Strafrecht Network Time Protocol Neue Zeitschrift für Arbeitsrecht Neue Zeitschrift für Arbeitsrecht Beilage Neue Zeitschrift Arbeitsrecht Rechtsprechungsreport Neue Zeitschrift für Wirtschafts-, Steuer- und Unternehmensstrafrecht
o. ä. oder ähnlich oben genannt o. g. öAT Zeitschrift für das öffentliche Arbeits- und Tarifrecht OBA Online Behavioural Advertising OFAC Office of Foreign Assets Control offene Handelsgesellschaft oHG OLG Oberlandesgericht On Site Management OSM OVG Oberverwaltungsgericht OwiG Ordnungswidrigkeitengesetz
XXXIX
XL
Abkürzungsverzeichnis
PartGG Partnerschaftsgesellschaftsgesetz PAuswG Personalausweisgesetz Personal Computer PC Plan Do Check Act PDCA PflVG Pflichtversicherungsgesetz Pretty Good Privacy PGP PLZ Postleitzahl Recht der Datenverarbeitung (Zeitschrift) RDV rechte Spalte re. Sp. Radio-frequency identification RFID RL Richtlinie Rn Randnummer Rom-I-VO Rom-I-Verordnung Rom-II-VO Rom-II-Verordnung RöV Röntgenverordnung Rs. Rechtssache Rivest, Shamir und Adleman RSA RStV Rundfunkstaatsvertrag Rz. Randziffer S. Satz s. siehe siehe oben s. o. siehe unten s. u. Sächsischer Datenschutzbeauftragter SächsDSB SCEAG SCE-Ausführungsgesetz Security Development Lifecycle SDL SEAG SE-Ausführungsgesetz Sozialistische Einheitspartei Deutschlands SED SGB Sozialgesetzbuch Sozialgesetzbuch I – Allgemeiner Teil SGB I Sozialgesetzbuch V – Gesetzliche Krankenversicherung SGB V Sozialgesetzbuch VIII – Kinder- und Jugendhilfe SGB VIII Sozialgesetzbuch IX – Rehabilitation und Teilhabe behinderter Menschen SGB IX Sozialgesetzbuch X – Verwaltungsverfahren und Sozialdatenschutz SGB X SigG Signaturgesetz Short Message Service SMS Simple Network Time Protocol SNTP SO Scientology-Organisation so genannte / r sog. SPD Sozialdemokratische Partei Deutschlands SprAuG Sprecherausschussgesetz Sozialrecht aktuell (Zeitschrift) SRa Shared Service-Center SSC Solide State Drive SSD Secure Sockets Layer SSL StGB Strafgesetzbuch StPO Strafprozessordnung
Abkürzungsverzeichnis
str. strittig StrlSchV Strahlenschutzverordnung StUG Staatssicherheitsdienst-Unterlagengesetz StVG Straßenverkehrsgesetz SÜFV Sicherheitsüberprüfungsfeststellungsverordnung TDDSG Teledienstedatenschutzgesetz ThürDSG Thüringer Datenschutzgesetz TKG Telekommunikationsgesetz TMG Telemediengesetz Technische und organisatorische Maßnahmen TOM The Sedona Conference TSC Tarifvertrag für den Öffentlichen Dienst der Länder TV-L TzBfG Teilzeitbefristungsgesetz unter anderem u. a. unseres Erachtens u. E. und vieles andere u. v. a. und vieles mehr u. v. m. UKlaG Unterlassungsklagegesetz Unabhängiges Landeszentrum für Datenschutz ULD UmwG Umweltgesetz Urteil vom Urt. v. US-$ US-Dollar United States of America USA unterbrechungsfreie Stromversorgung USV und so weiter usw. Gesetz gegen den unlauteren Wettbewerb UWG von / vom v. VAG Versicherungsaufsichtsgesetz Versicherungsrecht (Zeitschrift) VersR VG Verwaltungsgericht VGH Verwaltungsgericht vgl. vergleiche VO Verordnung VoIP Voice over Internet Protocol Virtual Private Network VPN VuR Verbraucher und Recht (Zeitschrift) VwVfG Verwaltungsverfahrensgesetz WBT Web Based Training wistra Zeitschrift für Wirtschafts- und Steuerstrafrecht WLAN Wireless Local Area Network WP Working Paper WpHG Wertpapierhandelsgesetz Wettbewerb in Recht und Praxis (Zeitschrift) WRP XaaS Anything-as-a-Service z. B.
zum Beispiel
XLI
XLII
Abkürzungsverzeichnis
zum Teil z. T. Zeitschrift für Datenschutz ZD Zeitschrift für Datenschutz (Newsdienst) ZD-Aktuell Zeitschrift für Datenschutz-Beilage ZD-Beil. Ziff. Ziffer ZPO Zivilprozessordnung Zeitschrift für Urheber- und Medienrecht ZUM Zeitschrift für Urheber- und Medienrecht Rechtsprechungsdienst ZUM-RD
Literaturverzeichnis Abel, Horst, Praxiskommentar zum Bundesdatenschutzgesetz, 5. Aufl., Kissing 2009 (zit.: Abel/ Bearbeiter) Adomeit, Klaus/Mohr, Jochen, Allgemeines Gleichbehandlungsgesetz, 2. Aufl., Stuttgart 2011 (zit.: Adomeit/Mohr) Artikel-29-Datenschutzgruppe, WP 12, Übermittlungen personenbezogener Daten an Drittländer: Anwendung von Artikel 25 und 26 der Datenschutzrichtlinie der EU v. 24.7.1998 (zit.: Artikel-29Datenschutzgruppe, WP 12) Artikel-29-Datenschutzgruppe, WP 48, Stellungnahme 8/2001 zur Verarbeitung personenbezogener Daten von Beschäftigten v. 13.9.2001 (zit.: Artikel-29-Datenschutzgruppe, WP 48) Artikel-29-Datenschutzgruppe, WP 74, Übermittlung personenbezogener Daten in Drittländer: Anwendung von Artikel 26 Absatz 2 der EU-Datenschutzrichtlinie auf verbindliche unternehmensinterne Vorschriften für den internationalen Datentransfer v. 3.6.2003 (zit.: Artikel-29-Datenschutzgruppe, WP 74) Artikel-29-Datenschutzgruppe, WP 106, Bericht der Artikel-29-Datenschutzgruppe über die Pflicht zur Meldung bei den nationalen Kontrollstellen, die bestmögliche Nutzung der Ausnahmen und der Vereinfachung und die Rolle der Datenschutzbeauftragten in der Europäischen Union v. 18.1.2005 (zit.: Artikel-29-Datenschutzgruppe, WP 106) Artikel-29-Datenschutzgruppe, WP 107, Festlegung eines Kooperationsverfahrens zwecks Abgabe gemeinsamer Stellungnahmen zur Angemessenheit der verbindlich festgelegten unternehmensinternen Datenschutzgarantien v. 14.4.2005 (zit.: Artikel-29-Datenschutzgruppe, WP 107) Artikel-29-Datenschutzgruppe, WP 108, Muster-Checkliste für Anträge auf Genehmigungen verbindlicher unternehmensinterner Datenschutzregelungen v. 14.4.2005 (zit.: Artikel-29Datenschutzgruppe, WP 108) Artikel-29-Datenschutzgruppe, WP 114, Arbeitspapier über eine gemeinsame Auslegung des Artikels 26 Absatz 1 der Richtlinie 95/46/EG vom 24. Oktober 1995 v. 25.11.2005 (zit.: Artikel-29Datenschutzgruppe, WP 114) Artikel-29-Datenschutzgruppe, WP 117, Stellungnahme 1/2006 zur Anwendung der EU-Datenschutzvorschriften auf interne Verfahren zur Meldung mutmaßlicher Missstände in den Bereichen Rechnungslegung, interne Rechnungslegungskontrollen, Fragen der Wirtschaftsprüfung, Bekämpfung von Korruption, Banken- und Finanzkriminalität v. 1.2.2006 (zit.: Artikel-29-Datenschutzgruppe, WP 117) Artikel-29-Datenschutzgruppe, WP 133, Recommendation 1/2007 on the Standard Application for Approval of Binding Corporate Rules for the Transfer of Personal Data v. 10.1.2007 (zit.: Artikel29-Datenschutzgruppe, WP 133) Artikel-29-Datenschutzgruppe, WP 136, Stellungnahme 4/2007 zum Begriff „personenbezogene Daten“ v. 20.6.2007 (zit.: Artikel-29-Datenschutzgruppe, WP 136) Artikel-29-Datenschutzgruppe, WP 153, Arbeitsdokument mit einer Übersicht über die Bestandteile und Grundsätze verbindlicher unternehmensinterner Datenschutzregelungen (BCR) v. 24.6.2008 (zit.: Artikel-29-Datenschutzgruppe, WP 153) Artikel-29-Datenschutzgruppe, WP 154, Rahmen für verbindliche unternehmensinterne Datenschutzregelungen (BCR) v. 24.6.2008 (zit.: Artikel-29-Datenschutzgruppe, WP 154) Artikel-29-Datenschutzgruppe, WP 155, Arbeitsdokument zu „Häufig gestellten Fragen“ über verbindliche unternehmensinterne Datenschutzregelungen (BCR) v. 8.4.2009 (zit.: Artikel-29Datenschutzgruppe, WP 155)
XLIV
Literaturverzeichnis
Artikel-29-Datenschutzgruppe, WP 158, Arbeitsunterlage 1/2009 über Offenlegungspflichten im Rahmen der vorprozessualen Beweiserhebung bei grenzübergreifenden zivilrechtlichen Verfahren (pre-trial discovery) v. 11.2.2009 (zit.: Artikel-29-Datenschutzgruppe, WP 158) Artikel-29-Datenschutzgruppe, WP 169, Stellungnahme 1/2010 zu den Begriffen „für die Verarbeitung Verantwortlicher“ und „Auftragsverarbeiter“ v. 16.2.2009 (zit.: Artikel-29Datenschutzgruppe, WP 169) Artikel-29-Datenschutzgruppe, WP 176, Häufig gestellte Fragen zu bestimmten Aspekten im Zusammenhang mit dem Inkrafttreten des Beschlusses 2010/87/EU der Kommission vom 5. Februar 2010 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern nach der Richtlinie 95/46/EG v. 12.7.2010 (zit.: Artikel29-Datenschutzgruppe, WP 176) Artikel-29-Datenschutzgruppe, WP 195, Arbeitsdokument 02/2012 mit einer Übersicht über die Bestandteile und Grundsätze verbindlicher unternehmensinterner Datenschutzregelungen (BCR) für Auftragsverarbeiter v. 6.6.2012 (zit.: Artikel-29-Datenschutzgruppe, WP 195) Artikel-29-Datenschutzgruppe, WP 195a, Recommendation 1/2012 on the Standard Application form for Approval of Binding Corporate Rules for the Transfer of Personal Data for Processing Activities v. 17.9.2012 (zit.: Artikel-29-Datenschutzgruppe, WP 195a) Artikel-29-Datenschutzgruppe, WP 196, Stellungnahme 05/2012 zum Cloud Computing v. 1.7.2012 (zit.: Artikel-29-Datenschutzgruppe, WP 196) Artikel-29-Datenschutzgruppe, WP 204, Erläuterndes Dokument zu verbindlichen unternehmensinternen Datenschutzregelungen für Auftragsverarbeiter v. 19.4.2013 (zit.: Artikel-29-Datenschutzgruppe, WP 204) Artikel-29-Datenschutzgruppe, WP 205, Stellungnahme 4/2013 zum Muster für die Datenschutzfolgenabschätzung („Muster“) für intelligente Netze und intelligente Messsysteme, erstellt durch die Sachverständigengruppe 2 der Taskforce der Kommission für intelligente Netze v. 22.4.2013 (zit.: Artikel-29-Datenschutzgruppe, WP 205) Ascheid, Reiner/Preis, Ulrich/Schmidt, Ingrid, Kündigungsrecht, 4. Aufl., München 2012 (zit.: Ascheid/Preis/Schmidt/Bearbeiter) Auer-Reinsdorff, Astrid/Conrad, Isabell, Beck’sches Mandatshandbuch IT-Recht, München 2011 (zit.: Auer-Reinsdorff/Conrad/Bearbeiter) Bahr, Martin, Recht des Adresshandels, Berlin 2011 (zit.: Bahr) Bäumler, Helmut/von Mutius, Albert, Datenschutz als Wettbewerbsvorteil, Heidelberg 2012 (zit.: Bäumler/von Mutius/Bearbeiter) Bausewein, Christoph, Legitimationswirkung von Einwilligung und Betriebsvereinbarung im Beschäftigtendatenschutz, Oldenburg 2011 (zit.: Bausewein) Beck’scher Online-Kommentar Arbeitsrecht, 32. Edition, München, Stand: 1.6.2014 (zit.: BeckOK Arbeitsrecht/Bearbeiter) Beck’scher Online-Kommentar BDSG, 7. Edition, München, Stand: 1.11.2013 (zit.: BeckOK BDSG/ Bearbeiter) Beck’scher Online-Kommentar Datenschutzrecht, 7. Edition, München, Stand: 1.2.2014 (zit.: BeckOK DatenSR/Bearbeiter) Beck’scher Online-Kommentar OWiG, 4. Edition, München, Stand: 1.2.2014 (zit.: BeckOK OWiG/ Bearbeiter) Beck’scher Online-Kommentar Strafprozessordnung, 18. Edition, München, Stand: 24.3.2014 (zit.: BeckOK StPO/Bearbeiter) Becker, Annette, Compliance unter dem Aspekt des Whistleblowings, München 2013 (zit.: Becker) Behling, Thorsten B., Der Zugang elektronischer Willenserklärungen in modernen Kommunikationssystemen, Baden-Baden 2007 (zit.: Behling)
Literaturverzeichnis
XLV
Bergmann, Lutz/Möhrle, Roland/Herb, Armin, Datenschutzrecht, Loseblatt, Stuttgart, Stand: 4/2013 (zit.: Bergmann/Möhrle/Herb) Berliner Kommentar zum Telekommunikationsgesetz, 3. Aufl., Berlin 2013 (BerlK-TKG/Bearbeiter) Bohnert, Joachim, OWiG, 3. Aufl., München 2010 (zit.: Bohnert) Boos, Karl-Heinz/Fischer, Reinfrid/Schulte-Mattler, Hermann, Kreditwesengesetz, 4. Aufl., München 2012 (zit.: Boos/Fischer/Schulte-Mattler/Bearbeiter) Böttger, Marcus, Wirtschaftsstrafrecht in der Praxis, Münster 2011 (zit.: Böttger/Bearbeiter) Bräutigam, Peter, IT-Outsourcing, 2. Aufl., Berlin 2009 (zit.: Bräutigam/Bearbeiter) Bull, Hans Peter, Netzpolitik, Freiheit und Rechtsschutz im Internet, Baden-Baden 2013 (zit.: Bull) Büllesbach, Achim, Transnationalität und Datenschutz, Baden-Baden 2008 (zit.: Büllesbach) Bürkle, Jürgen, Compliance in Versicherungsunternehmen, München 2009 (zit.: Bürkle/Bearbeiter) Chrissis, Mary Beth/Konrad, Mike/Shrum, Sandy, CMMI: Richtlinien für Prozess-Integration und Produkt-Verbesserung (Zertifizierungen), München 2009 (zit.: Chrissis/Konrad/Shrum) Christians, Uwe, Performance Management und Risiko: Strategieumsetzung mit risikointegrierter Balanced Scorecard, Wissensbilanzen und Werttreibernetzen, Berlin 2006 (zit.: Christians) Däubler, Wolfgang, Gläserne Belegschaften, 5. Aufl., Köln 2009 (zit.: Däubler) Däubler, Wolfgang/Bertzbach, Martin, Allgemeines Gleichbehandlungsgesetz, 3. Aufl., Baden-Baden 2013 (zit.: Däubler/Bertzbach/Bearbeiter) Däubler, Wolfgang/Hjort, Jens Peter/Schubert, Michael/Wolmerath, Martin, Arbeitsrecht, 3. Aufl., Baden-Baden 2013 (zit. Däubler/Hjort/Schubert/Wolmerath/Bearbeiter) Däubler, Wolfgang/Kittner, Michael/Klebe, Thomas/Wedde, Peter, BetrVG – Betriebsverfassungsgesetz: Mit Wahlordnung und EBR-Gesetz, 14. Aufl., Frankfurt a. M. 2014 (zit.: DKKW/Bearbeiter) Däubler, Wolfgang/Klebe, Thomas/Wedde, Peter/Weichert, Thilo, Bundesdatenschutzgesetz, 4. Aufl., Frankfurt a. M. 2014 (zit.: Däubler/Klebe/Wedde/Weichert) Dauner-Lieb, Barbara/Langer, Werner, Bürgerliches Gesetzbuch: Schuldrecht, 2. Aufl., Baden-Baden 2012 (zit.: Dauner-Lieb/Langer/Bearbeiter) Dauses, Manfred A., Handbuch des EU-Wirtschaftsrechts, Loseblatt, München, Stand: 2/2014 (zit.: Dauses/Bearbeiter) Düwell, Franz Josef, Betriebsverfassungsgesetz, 4. Aufl., Baden-Baden 2014 (zit.: Düwell/Bearbeiter) Erbs, Georg/Kohlhaas, Max, Strafrechtliche Nebengesetze, Loseblatt, München, Stand: 4/2014 (zit.: Erbs/Kohlhaas/Bearbeiter) Erfurter Kommentar zum Arbeitsrecht, 14. Aufl., München 2014 (zit.: ErfK/Bearbeiter) Eschenbacher, Michael, Datenerhebung im arbeitsrechtlichen Vertragsanbahnungsverhältnis, Frankfurt a. M. 2008 (zit.: Eschenbacher) Eul, Harald/Eul, Petra, Datenschutz International, Heidelberg 2011 (zit.: Eul/Eul) Fitting, Karl, Betriebsverfassungsgesetz: BetrVG, 27. Aufl., München 2014 (zit.: Fitting) Forgó, Nikolaus/Helfrich, Marcus/Schneider, Jochen, Betrieblicher Datenschutz, München 2014 (zit.: Forgó/Helfrich/Schneider/Bearbeiter) Fuchs, Andreas, Wertpapierhandelsgesetz, München 2009 (zit.: Fuchs/Bearbeiter) Geppert, Martin/Schütz, Raimund, Beck’scher TKG-Kommentar, 4. Aufl., München 2013 (zit.: Geppert/Schütz/Bearbeiter) Gloy, Wolfgang/Loschelder, Michael/Erdmann, Willi, Handbuch des Wettbewerbsrechts, 4. Aufl., München 2010 (zit.: Gloy/Loschelder/Erdmann/Bearbeiter) Göhler, Erich, Gesetz über Ordnungswidrigkeiten: OWiG, 16. Aufl., München 2012 (zit. Göhler/ Bearbeiter) Gola, Peter, Datenschutz am Arbeitsplatz, 4. Aufl., Heidelberg 2012 (zit.: Gola) Gola, Peter/Reif, Yvette, Kundendatenschutz, 3. Aufl., Bonn/Berlin 2011 (zit.: Gola/Reif)
XLVI
Literaturverzeichnis
Gola, Peter/Schomerus, Rudolf, Bundesdatenschutzgesetz, 11. Aufl., München 2012 (zit.: Gola/ Schomerus) Gola, Peter/Wronka, Georg, Handbuch Arbeitnehmerdatenschutz, 6. Aufl., Frechen 2013 (zit.: Gola/ Wronka) Götting, Horst-Peter/Nordemann, Axel, UWG Handkommentar, 2. Aufl., Baden-Baden 2013 (zit.: Götting/Nordemann/Bearbeiter) Grobys, Marcel/Panzer, Andrea, Stichwortkommentar Arbeitsrecht, Baden-Baden 2013 (zit.: Grobys/ Panzer/Bearbeiter) Hammer, Volker/Schuler, Karin, Leitlinie zur Entwicklung eines Löschkonzepts mit Ableitung von Löschfristen für personenbezogene Daten, Version 1.0.2, Stand: 25.10.2013, abrufbar unter https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Hilfsmittel/Extern/ Leitlinie_zur_Entwicklung_eines_Loeschkonzepts.pdf?__blob=publicationFile (zit.: Hammer/ Schuler) Hanau, Peter/Thau, Jens/Westermann, Harm Peter, Gegen den Strich – Arbeitsrecht und anderes kritisch gesehen: Festschrift für Klaus Adomeit, Köln 2008 (Bearbeiter in: FS Adomeit) Harte-Bavendamm, Henning/Henning-Bodewig, Frauke, Gesetz gegen den unlauteren Wettbewerb, 3. Aufl., München 2013 (zit.: Harte-Bavendamm/Henning-Bodewig/Bearbeiter) Härting, Niko, Internetrecht, 5. Aufl., Köln 2014 (zit.: Härting) Hartmann, Matthias H., Internationale E–Discovery und Information Governance, Berlin 2011 (zit.: Hartmann/Bearbeiter) Hauschka, Christoph E., Corporate Compliance: Handbuch der Haftungsvermeidung im Unternehmen, 2. Aufl., München 2010 (zit.: Hauschka/Bearbeiter) Heidrich, Jörg/Forgó, Nikolaus/Feldmann, Thorsten, Heise Online-Recht: Der Leitfaden für Praktiker & Juristen, Loseblatt, Hannover, Stand: 10/2011 (zit.: Heidrich/Forgó/Feldmann/Bearbeiter) Henssler, Martin/Willemsen, Heinz Josef/Kalb, Heinz-Jürgen, Arbeitsrecht Kommentar, 6. Aufl., Köln 2014 (zit.: Hennsler/Willemsen/Kalb/Bearbeiter) Hoeren, Thomas, Internet- und Kommunikationsrecht, 2. Aufl., Köln 2012 (zit.: Hoeren) Hoeren, Thomas/Sieber, Ulrich/Holznagel, Bernd, Handbuch Multimediarecht, Loseblatt, München, Stand: 3/2014 (zit.: Hoeren/Sieber/Holznagel/Bearbeiter) Hofmann, Friedrich/Kralj, Nenad, Handbuch der betriebsärztlichen Praxis, Loseblatt, Heidelberg, Stand: 7/2014 (zit.: Hofmann/Kralj) Hopt, Klaus J./Wohlmannstetter, Gottfried, Handbuch Corporate Governance von Banken, München 2011 (zit.: Hopt/Wohlmannstetter/Bearbeiter) Hümmerich, Klaus/Boecken, Winfried/Düwell, Franz Josef, AnwaltKommentar Arbeitsrecht, 2. Aufl., Baden-Baden 2010 (zit.: Hümmerich/Boecken/Düwell/Bearbeiter) Hümmerich, Klaus/Reufels, Martin, Gestaltung von Arbeitsverträgen, 2. Aufl., Baden-Baden 2011 (zit.: Hümmerich/Reufels/Bearbeiter) Junker, Abbo, Electronic Discovery gegen deutsche Unternehmen, Frankfurt a. M. 2008 (zit.: Junker) juris PraxisKommentar Internetrecht, 4. Aufl., Saarbrücken 2014 (zit.: jurisPK-Internetrecht/ Bearbeiter) Kartmann, Norbert/Ronellenfitsch, Michael, Compliance – Eine besondere Form der Rechtstreue, Baden-Baden 2013 (zit.: Kartmann/Ronellenfitsch/Bearbeiter) Kazemi, Robert/Leopold, Anders, Datenschutzrecht in der anwaltlichen Beratung, Bonn 2011 (zit.: Kazemi/Leopold) Kilian, Wolfgang/Heussen, Benno, Computerrechts-Handbuch, Loseblatt, München, Stand: 8/2013 (zit.: Kilian/Heussen/Bearbeiter) Kindhäuser, Urs/Neumann, Ulfrich/Paeffgen, Hans-Ullrich, Strafgesetzbuch, 4. Aufl., Baden-Baden 2013 (zit.: Kindhäuser/Neumann/Paeffgen/Bearbeiter)
Literaturverzeichnis
XLVII
Kittner, Michael/Zwanziger, Bertram/Deinert, Olaf, Arbeitsrecht, 7. Aufl., Köln 2013 (zit.: Kittner/ Zwanziger/Deinert/Bearbeiter) Klopp, Thorben, Der Compliance-Beauftragte, Berlin 2012 (zit.: Klopp) Koch, Holger, Der betriebliche Datenschutzbeauftragte, 6. Aufl., Frechen 2006 (zit.: Koch) Köhler, Helmut/Bornkamm, Joachim, Gesetz gegen den unlauteren Wettbewerb, 32. Aufl., München 2014 (zit.: Köhler/Bornkamm/Bearbeiter) Küttner, Wolfdieter, Personalhandbuch 2014, 21. Aufl., München 2014 (zit.: Küttner/Bearbeiter) Kütz, Martin, Kennzahlen in der IT: Werkzeuge für Controlling und Management, 4. Aufl., Heidelberg 2010 (zit.: Kütz) Langenbucher, Katja/Bliesener, Dirk/Spindler, Gerald, Bankrechts-Kommentar, München 2013 (zit.: Langenbucher/Bliesener/Spindler/Bearbeiter) Lehmann, Michael/Meents, Geert, Handbuch des Fachanwalts – Informationstechnologierecht, 2. Aufl., Köln 2011 (zit.: Lehmann/Meents/Bearbeiter) Leupold, Andreas/Glossner, Silke, Münchener Anwaltshandbuch IT-Recht, 3. Aufl., München 2013 (zit.: Leupold/Glossner/Bearbeiter) Martinek, Michael/Semler, Franz-Jörg/Habermeier, Stefan/Flohr, Eckard, Handbuch des Vertriebsrecht, 3. Aufl., München 2010 (zit.: Martinek/Semler/Habermeier/Flohr/Bearbeiter) Maunz, Theodor/Düring,Günter, Grundgesetz-Kommentar, Loseblatt, München, Stand: 12/2013 (zit.: Maunz/Düring/Bearbeiter) McClure, Stuart/Scambray, Joel/Kurtz, George, Hacking Exposed: Network Security Secrets & Solutions, 7. Aufl., New York 2012 (zit.: McClure/Scambray/Kurtz) Meinel, Gernod/Heyn, Judith/Herms, Sascha, Allgemeines Gleichbehandlungsgesetz: AGG, 2. Aufl., München 2010 (zit.: Meinel/Heyn/Herms) Mengel, Anja, Compliance und Arbeitsrecht, München 2009 (zit.: Mengel) Meyer, Jörg, Forensische Datenanalyse, Berlin 2012 (zit.: Meyer) Milthaler, Alida, Das Fragerecht des Arbeitgebers nach den Vorstrafen des Bewerbers, Frankfurt a. M. 2005 (zit.: Milthaler) Moll, Wilhelm, Münchener Anwaltshandbuch Arbeitsrecht, 3. Aufl., München 2012 (zit.: Moll/ Bearbeiter) Moos, Flemming, Datennutzungs- und Datenschutzverträge, Köln 2013 (zit.: Moos/Bearbeiter) Moosmayer, Klaus, Compliance – Praxisleitfaden für Unternehmen, 2. Aufl., München 2012 (zit.: Moosmayer/Bearbeiter) Müller-Broich, Jan D., Telemediengesetz, Baden-Baden 2012 (zit.: Müller-Broich) Münchener Handbuch zum Arbeitsrecht, München 2009 (zit.: MünchArbR/Bearbeiter) Münchener Kommentar zum Aktiengesetz, 3. Aufl., München 2008 (zit.: MüKo-AktG/Bearbeiter) Münchener Kommentar zum Bürgerlichen Gesetzbuch, 6. Aufl., München 2012 (zit.: MüKo-BGB/ Bearbeiter) Münchener Kommentar zum Handelsgesetzbuch, 3. Aufl., München 2013 (zit.: MüKo-HGB/ Bearbeiter) Münchener Kommentar zum Strafgesetzbuch, Band 4, 2. Aufl., München 2012 (zit.: MüKo-StGB/ Bearbeiter) Münchener Kommentar zum Strafgesetzbuch, Band 5, 2. Aufl., München 2014 (zit.: MüKo-StGB/ Bearbeiter) Müthlein, Thomas/Heck, Jürgen, Outsourcing und Datenschutz, 3. Aufl., Berlin 2005 (zit.: Müthlein/ Heck) Noorda, Catrien/Hanloser, Stefan, E-Discovery and Data Privacy – A Practical Guide, Alphen 2010 (zit.: Noorda/Hanloser) Oetker, Hartmut, Kommentar zum Handelsgesetzbuch, 3. Aufl., München 2013 (zit.: Oetker/ Bearbeiter)
XLVIII
Literaturverzeichnis
Orantek, Kerstin, Datenschutz im Informationszeitalter – Herausforderungen durch technische, politische und gesellschaftliche Entwicklungen, Chemnitz 2008 (zit.: Orantek) Palandt, Otto, Bürgerliches Gesetzbuch, 73. Aufl., München 2014 (zit.: Palandt/Bearbeiter) Plath, Kai-Uwe, Bundesdatenschutzgesetz, Köln 2013 (zit.: Plath/Bearbeiter) Proebster, Walter, Rechnernetze: Technik, Protokolle, Systeme, Anwendungen, München 2001 (zit.: Proebster) Prowell, Stacy, Seven Deadliest Network Attacks, Burlington 2009 (zit.: Prowell) Redeker, Helmut, Handbuch der IT-Verträge, Loseblatt, Köln, Stand: 6/2012 (zit.: Redeker/ Bearbeiter) Redeker, Helmut, IT-Recht, 5. Aufl., München 2012 (zit.: Redeker) Richardi, Reinhard, Betriebsverfassungsgesetz: BetrVG, 14. Aufl., München 2014 (zit.: Richardi/ Bearbeiter) Ringleb, Michael-Henrick/Kremer,Thomas/Lutter, Marcus/v. Werder, Axel, Kommentar zum Deutschen Corporate Governance Kodex, 5. Aufl., München 2014 (zit.: Ringleb/Kremer/Lutter/v. Werder/Bearbeiter) Rogosch, Patricia Maria, Die Einwilligung im Datenschutzrecht, Baden-Baden 2013 (zit.: Rogosch) Roßnagel, Alexander, Beck’scher Kommentar zum Recht der Telemediendienste, München 2013 (zit.: Roßnagel/Bearbeiter) Roßnagel, Alexander, Handbuch Datenschutzrecht, 2003 (zit.: Roßnagel/Bearbeiter, Handbuch Datenschutzrecht) Saenger, Ingo, Zivilprozessordnung, 5. Auflage, Baden-Baden 2013 (zit.: Saenger/Bearbeiter) Schaffland, Hans-Jürgen/Wiltfang, Noeme, Bundesdatenschutzgesetz, Loseblatt, Berlin, Stand: 2014 (zit.: Schaffland/Wiltfang) Schaub, Günter, Arbeitsrechts-Handbuch, 15. Aufl., München 2013 (zit.: Schaub/Bearbeiter) Schleusener, Aino/Suckow, Jens/Voigt, Burkhard, AGG, 4. Aufl. 2013 (zit.: Schleusener/Suckow/ Voigt/Bearbeiter) Schönke, Adolf/Schröder, Horst, Strafgesetzbuch, 29. Aufl., München 2014 (zit.: Schönke/Schröder/ Bearbeiter) Schröder, Georg, Datenschutzrecht für die Praxis, München 2012 (zit.: Schröder) Seiffert, Evelyn, Datenschutzprüfung durch die Aufsichtsbehörden, 2. Aufl., Frechen 2009 (zit.: Seiffert) Selig, Ralf, Arbeitnehmerdatenschutz: Das Datenschutzrecht im Spannungsverhältnis von Mitarbeiterkontrolle und Arbeitnehmerinteressen, Berlin 2011 (zit.: Selig) Simitis, Spiros, Bundesdatenschutzgesetz, Kommentar, 8. Aufl., Baden-Baden 2014 (zit.: Simitis/ Bearbeiter) Spindler, Gerald/Schuster, Fabian, Recht der elektronischen Medien, 2. Aufl., München 2011 (zit.: Spindler/Schuster/Bearbeiter) Splittgerber, Andreas, Praxishandbuch Rechtsfragen Social Media, Berlin 2014 (zit.: Splittgerber/ Bearbeiter) Szech, Marthe, Die Anfechtung des Arbeitsvertrages durch den Arbeitgeber und das Allgemeine Gleichbehandlungsgesetz, Baden-Baden 2012 (zit.: Szech) Taeger, Jürgen, Die Welt im Netz – Folgen für Wirtschaft und Gesellschaft, DSRI-Tagungsband, Oldenburg 2011 (zit.: Taeger/Bearbeiter, DSRI-Tagungsband 2011) Taeger, Jürgen, IT und Internet – mit Recht gestalten, DSRI-Tagungsband, Oldenburg 2012 (zit.: Taeger/Bearbeiter, DSRI-Tagungsband 2012) Taeger, Jürgen, Law as a Service (LaaS) – Recht im Internet- und Cloud-Zeitalter (Band 2), DSRI-Tagungsband, Oldenburg 2013 (zit.: Taeger/Bearbeiter, DSRI-Tagungsband 2013 (Band 2)) Taeger, Jürgen, Rechtsfragen Virtueller Welten, DSRI-Tagungsband, Oldenburg 2010 (zit.: Taeger/ Bearbeiter, DSRI-Tagungsband 2010)
Literaturverzeichnis
XLIX
Taeger, Jürgen/Gabel, Detlev, Kommentar zum BDSG und den einschlägigen Vorschriften des TMG und TKG: und zu den Datenschutzvorschriften des TKG und TMG, 2. Aufl., Frankfurt a. M. 2014 (zit.: Taeger/Gabel/Bearbeiter) Tamm, Marina/Tonner, Klaus, Verbraucherrecht, Baden-Baden 2012 (zit.: Tamm/Tonner/Bearbeiter) Thüsing, Gregor, Beschäftigtendatenschutz und Compliance, 2. Aufl., München 2014 (zit.: Thüsing/ Bearbeiter) Tinnefeld, Marie-Theres/Buchner, Benedikt/Petri, Thomas, Einführung in das Datenschutzrecht, 5. Aufl., München 2012 (zit.: Tinnefeld/Buchner/Petri) Tinnefeld, Marie-Theres/Gerling, Rainer/Ehmann, Eugen, Einführung in das Datenschutzrecht, 4. Aufl., München 2004 (zit.: Tinnefeld/Gerling/Ehmann) Tschöpe, Ulrich, Anwalts-Handbuch Arbeitsrecht, 8. Aufl., Köln 2013 (zit.: Tschöpe/Bearbeiter) v. Westphalen, Friedrich Graf/Thüsing, Gregor, Vertragsrecht und AGB-Klauselwerke, Loseblatt, München, Stand: 2/2014 (zit.: v. Westphalen/Thüsing/Bearbeiter) Vahldiek, Wolfgang, Datenschutz in der Bankpraxis, München 2012 (zit.: Vahldiek/Bearbeiter) Wächter, Michael, Datenschutz im Unternehmen, 4. Aufl., München 2014 (zit.: Wächter) Woerz, Anja, Arbeitnehmerdatenschutz beim Betriebsübergang, Baden-Baden 2011 (zit.: Woerz) Wolff, Heinrich Amadeus/Brink, Stefan, Datenschutzrecht in Bund und Ländern, München 2013 (zit.: Wolff/Brink/Bearbeiter)
Bearbeiterverzeichnis Ralf B. Abel, Prof. Dr. iur., Jg.1948; ist heute Rechtsanwalt in Hamburg und beschäftigt sich in seiner beratenden und gutachtlichen Tätigkeit schwerpunktmäßig mit Informations- und Datenschutzrecht. Er ist Sprecher des Präsidiums der GDD-Datenschutz-Akademie, Beirat des Fachinformationsdienstes „Datenschutz-Berater“, Mitherausgeber der Fachzeitschrift ‚Recht der Datenverarbeitung’ (RDV) und unabhängiger Verbandsbeauftragter für den Datenschutz beim Bundesverband Deutscher InkassoUnternehmen (BDIU). Bis 2011 war er Inhaber des Lehrstuhls für Öffentliches Recht, Informationsund Datenschutzrecht an der Fakultät Wirtschaftsrecht der FH Schmalkalden. Prof. Abel verfügt über langjährige Praxiserfahrung u. a. in der anwaltlichen Beratung, als Datenschutzbeauftragter seiner Hochschule, als Sachverständiger bei politischen Gremien und als akkreditierter Sachverständiger beim Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein für IT-Produkte (rechtlich) und als Legal Expert für das European Privacy Seal (EuroPriSe). Torge Albrecht, Jg. 1981; ist seit 2008 Rechtsanwalt bei der KPMG Rechtsanwaltsgesellschaft mbH in Hamburg, seit 2011 als Manager und Prokurist. Seit 2009 berät er nationale und internationale Unternehmen zu IT- und datenschutzrechtlichen Fragen, u. a. in den Bereichen Outsourcing, E-Commerce und bei Fragen der Datenschutzorganisation und Compliance. Neben datenschutzrechtlichen Mandaten berät er nationale und internationale Unternehmen in allen Bereichen des Gesellschaftsrechts und bei Transaktionen. Er hat in Hamburg Rechtswissenschaften studiert und sein Referendariat absolviert. Amir Alsbih, Dr.-Ing., Jg. 1982; leitet als Chief Information Security Officer den Bereich Information Security bei der Haufe Gruppe. Er ist CISSP-ISSMP, CISSP sowie GCFA. Zu seinen Aufgaben gehören sowohl technische als auch organisatorische Aspekte der Informationssicherheit. Dazu gehören etwa Risiko- und Sicherheitsanalysen, Sicherheitsabnahmen, der Aufbau von InformationssicherheitsManagement-Systemen aber auch Themen wie Penetrationstests, Forensik und Incident Management. Dr. Amir Alsbih lehrt als externer Postdoktorand an der Universität in Freiburg in den Bereichen der angewandten Informationssicherheit und der digitalen Forensik und ist zudem Autor diverser Artikel in Fachzeitschriften. Sven Bastek, Jg. 1983; Richter im Bezirk des Oberlandesgerichts Hamm; zuvor als Rechtsanwalt bei der WTS Legal Rechtsanwaltsgesellschaft mbH am Standort Düsseldorf tätig. Thorsten B. Behling, Dr. iur., Jg. 1976; ist Partner und Rechtsanwalt der WTS Legal Rechtsanwaltsgesellschaft mbH und überdies Datenschutzbeauftragter der WTS-Gruppe. Daneben ist er Lehrbeauftragter der Juristischen Fakultät der Ruhr-Universität Bochum und Autor verschiedener Fachveröffentlichungen zum Datenschutz- und IT-Recht. Weiter ist Herr Behling Mitglied des Instituts für Sicherheit im E-Business der Ruhr-Universität Bochum und der AG Rechtsrahmen der Trusted Cloud Initiative des BMWi. Er berät nationale und internationale Mandanten zu allen Fragen des Datenschutz- und IT-Rechts und stellt für diese verschiedentlich den betrieblichen Datenschutzbeauftragten. Herr Dr. Behling wirkte bei der Aufklärung prominenter Datenschutzskandale der jüngeren Vergangenheit mit und ist ausgebildeter ISO/IEC 27001 Lead Auditor. Tobias Brauner, Jg. 1976; Studium der Rechtswissenschaften an der Freien Universität Berlin. Er ist seit 2005 Rechtsanwalt im Quality & Risk Management und seit 2009 zugleich Datenschutzbeauftragter der KPMG AG Wirtschaftsprüfungsgesellschaft sowie ihrer Tochtergesellschaften. Datenschutzrechtliche Schwerpunkte seiner Tätigkeit liegen unter anderem im internationalen Datentransfer und IT-Outsourcing. Neben den datenschutzrechtlichen Aufgaben beschäftigt er sich vorwiegend mit
LII
Bearbeiterverzeichnis
Fragen des nationalen und internationalen Unabhängigkeitsrecht der Wirtschaftsprüfer sowie allgemeinen zivilrechtlichen Fragestellungen aus der Rechtsbeziehung zu Mandanten. Alexander Filip Jg. 1972; seit 2009 Beamter beim Bayerischen Landesamt für Datenschutzaufsicht (Ansbach) tätig und dort Referatsleiter für Internationalen Datenverkehr, Industrie, Handel, Gewerbe, Dienstleistungen, Vereine und Verbände, Vermietung und Wohneigentum sowie für die Bußgeldstelle. Er ist Jurist und hat seine beiden Staatsexamina 2000 und 2002 in Bayern abgelegt. Von 2002 bis 2006 war er Abteilungsleiter am Landratsamt in der bayerischen Verwaltung, von 2006 bis 2009 innen- und rechtspolitischer Referent bei einer Fraktion im Deutschen Bundestag. Er ist Autor bzw. Mitautor verschiedener datenschutzrechtlicher Veröffentlichungen, insbesondere zum Internationalen Datenverkehr Rüdiger Giebichenstein, Dipl.-Wirt.-Inf., Jg. 1968; ist als Partner im Consultingbereich der WTS Steuerberatungsgesellschaft mbH mit Schwerpunkten in Informationssicherheit, Risikomanagement, Datenschutz, IT-Compliance und Prozesse tätig. Er ist seit über 20 Jahren im Prüfungs- und Beratungsumfeld tätig und war von 2007 bis 2013 zuletzt als Senior Manager und Prokurist bei der KPMG AG WPG in Köln und davor in der Industrie tätig. Er studierte Wirtschaftsinformatik an der Universität zu Köln und ist u. a. Mathematisch-technischer Assistent, zertifizierter Datenschutzbeauftragter und ISO/IEC 27001 Lead Auditor. Peter Gola, Prof., Jg. 1940; nach Beendigung der juristischen Ausbildung war Peter Gola zunächst in der Verwaltung einer Großforschungseinrichtung des Bundes u. a. als Personalleiter tätig. Sodann vertrat er bis zum Eintritt in den Ruhestand als Professor an der Verwaltungsfachhochschule in Wiesbaden das Fach Dienstrecht. Nebenamtlich nahm er jeweils auch die Aufgabe des Datenschutzbeauftragten wahr. Von 2006 bis 2012 war er Vorsitzender der GDD. Er ist Mitverfasser eines BDSGKommentars und zahlreicher Veröffentlichungen zum Datenschutzrecht sowie Mit-Herausgeber und Chefredakteur der Zeitschrift „Recht der Datenverarbeitung“. Hauke Hintze, Dipl.-Betriebswirt (FH), Jg. 1971; Studium der Rechtswissenschaften an der FriedrichWilhelms-Universität Bonn und der Betriebswirtschaftslehre an der Fachhochschule der Deutschen Bundesbank; Rechtsanwalt und Geschäftsführer bei der WTS Legal Rechtsanwaltsgesellschaft mbH in Köln; berät in den Bereichen Handels- und Gesellschaftsrecht sowie Compliance, seine praktische Erfahrung umfasst die Beratung bei der Einrichtung von Compliance Management Systemen, die juristische Leitung von großen forensischen Sonderuntersuchungen sowie die anwaltliche Vertretung in Haftungs- und Regressprozessen aufgrund von Compliance-Verstößen sowohl auf Unternehmensseite als auch auf Seiten von in Haftung genommenen Geschäftsleitern und Beschäftigten. Jörg Hladjk, Dr. iur., LL.M.; ist Rechtsanwalt und Counsel in der Praxisgruppe Global Privacy & Cybersecurity im Brüsseler Büro der internationalen Anwaltssozietät Hunton & Williams. Er berät internationale Unternehmen in allen Fragen des internationalen, europäischen und deutschen Datenschutzrechts. Schwerpunkte seiner Tätigkeit sind globale Datenschutz-Compliance Projekte sowie die Entwicklung von Datentransfer-Strategien und deren Umsetzung durch EU-Standardvertragsklauseln, Binding Corporate Rules und Safe Harbor. Er hat zudem umfassende Erfahrung bei streitigen Datenschutzangelegenheiten und vertritt Unternehmen vor den deutschen Aufsichtsbehörden. Herr Hladjk hält regelmäßig Vorträge und veröffentlicht zum deutschen und europäischen Datenschutzrecht. Er ist Vorsitzender des Advisory Boards der Initiative „Trust in Digital Life“ (TDL). Frank Hülsberg, Dr. rer. oec., Jg. 1966; ist Wirtschaftsprüfer und Steuerberater. Seit März 2014 ist er als Senior Partner bei Warth & Klein Grant Thornton für den Bereich Governance, Risk & Compli-
Bearbeiterverzeichnis
LIII
ance verantwortlich. Zuvor war er für Big Four-Unternehmen in der Prüfung und Beratung sowie in der Industrie tätig. Seine Schwerpunkte liegen in der Beratung von Aufsichtsräten und Vorständen zu deren Sorgfaltspflichten, aktienrechtlichen Sonderuntersuchungen, in der Prävention und Aufdeckung von Wirtschaftskriminalität, Compliance Management-Systemen, Internen Kontrollsystemen und Risikomanagement-Systemen. Dr. Hülsberg ist in zahlreichen Gremien zu diesen Themen vertreten, u. a. im Arbeitskreis „Externe und Interne Überwachung der Unternehmung“ der SchmalenbachGesellschaft, als Vorstand des Verbands für Sicherheit in der Wirtschaft NW e. V., als Vorstand der Financial Experts Association (FEA) sowie als Mitglied des Arbeitskreises Governance, Risk & Compliance beim Institut der Wirtschaftsprüfer (IDW). Jens Jacobi, Dr. iur., Jg. 1973; nach Tätigkeiten als Zivilrichter und bei einem Landratsamt, einem Regierungspräsidium und dem Innenministerium Baden-Württemberg seit 2011 Referent beim Landesbeauftragten für den Datenschutz Baden-Württemberg; dort zuständig für Grundsatzangelegenheiten, Europäischen und Internationalen Datenschutz sowie Beschäftigtendatenschutz. Nicolas Kölsch, Dipl.-Kfm., Jg. 1986; Senior Consultant bei der Commerz Business Consulting GmbH (Commerzbank-Gruppe) in Frankfurt am Main und Studium an den Universitäten Exeter und Gießen. Seit 2011 ist Nicolas Kölsch als Berater für internationale und nationale Unternehmen tätig. Ein besonderer Fokus der Beratungstätigkeit liegt auf der Ausgestaltung von Prozessen, Organisationsstrukturen und eingesetzter Technologie bei Fragestellungen rund um IT-Governance, Datenschutz und Informationssicherheit. Zuletzt war Nicolas Kölsch bei der KPMG AG WPG und bei der WTS Steuerberatungsgesellschaft mbH im Consulting tätig. Er ist zudem Autor verschiedener Fachveröffentlichungen. Martin Kynast, Jg. 1977; ist seit 2010 Beamter beim Sächsischen Datenschutzbeauftragten, als stellvertretender Referatsleiter derzeit zuständig für die Datenschutzaufsicht im nicht-öffentlichen Bereich. Zuvor war er beim stellvertretenden Ministerpräsidenten und Sächsischen Staatsminister für Wirtschaft, Arbeit und Verkehr Referent für Bundesrats- und Europaangelegenheiten sowie in den Jahren 2005 bis 2008 innenpolitischer Referent einer Fraktion des Sächsischen Landtags. Studiert hat er an der Juristischen Fakultät der Gottfried Wilhelm Leibniz Universität in Hannover. Seine beiden Staatsexamen legte er 2001 und 2005 in Niedersachsen ab. Jörg Meyer, Dipl.-Mathematiker; Studium an der RWTH Aachen, Leiter Datenverarbeitung bei einer mittelständischen Unternehmensgruppe; forensischer Sonderuntersucher mit Schwerpunkt Unterschlagungsprüfung und forensische Datenanalyse bei einer großen Wirtschaftsprüfungsgesellschaft; Autor des Standardwerkes zur Forensischen Datenanalyse; seit 2011 Leiter Interne Revision bei einer internationalen Verlagsgruppe. Raik Mickler, Jg. 1972; ist Justiziar der Haufe Gruppe in Freiburg. Er ist interner und externer Datenschutzbeauftragter nationaler und internationaler Tochterunternehmen der Haufe Gruppe. Er hat Rechtswissenschaften in Potsdam, Berlin und Lausanne studiert. Jana Post, Jg. 1984; ist Rechtsanwältin bei der WTS Legal Rechtsanwaltsgesellschaft mbH in Düsseldorf. Sie berät nationale und internationale Unternehmen zu IT- und datenschutzrechtlichen Fragen, u. a. in den Bereichen IT-Outsourcing, Cloud Computing, E-Commerce und bei Fragen der Datenschutzorganisation. Frau Post hat in Heidelberg und Münster Rechtswissenschaften studiert und ihr Referendariat in Düsseldorf absolviert. Maik Ringel, Jg. 1972; ist Rechtsanwalt und Manager bei der KPMG Rechtsanwaltsgesellschaft mbH in Leipzig. Er berät Behörden sowie Unternehmen der öffentlichen Hand und der Privatwirtschaft
LIV
Bearbeiterverzeichnis
in datenschutzrechtlichen Angelegenheiten, insbesondere zu Fragen des Kundendatenschutzes, des Datenschutzes im Zusammenhang mit Privatisierungsvorhaben und des bereichsspe-zifischen Datenschutzes (Gesundheitssektor). Er ist Mitglied der GDD e. V. Außer in datenschutzrechtlichen Angelegenheiten berät er Gebietskörperschaften, Unternehmen der öffentlichen Hand und der Privatwirtschaft umfassend zu Fragen des Öffentlichen Wirtschaftsrechts und des Gesellschaftsrechts. Carsten Alexander Schirp, Dipl.-Ing., Jg. 1973; ist als Senior Manager und Prokurist im Consultingbereich der WTS Steuerberatungsgesellschaft mbH mit Schwerpunkten in Informationssicherheit, Risikomanagement, Datenschutz und IT-Compliance tätig. Er ist seit über 14 Jahren im Prüfungs- und Beratungsumfeld tätig und war von 2002 bis 2013 zuletzt als Senior Manager und Prokurist bei der KPMG AG WPG in Düsseldorf tätig. Er studierte Ingenieurwissenschaften an der BUGH Wuppertal und ist u. a. zertifizierter Datenschutzbeauftragter, ISO/IEC 27001 Lead Auditor, lizenzierter Audit Teamleiter auf der Basis von IT-Grundschutz, IT-Service Manager (ITIL) sowie Certified Information Systems Auditor (CISA).
Kapitel 1 Datenschutz im Unternehmen – Von lästiger Pflicht zur grundlegenden Organisationsaufgabe des Compliance-Managements A. Entwicklung Datenschutz ist wesentliche Compliance-Anforderung. Denn Compliance meint 1 nichts anderes als die Pflicht zu gesetzeskonformem oder rechtmäßigem Verhalten.1 Hierbei werden alle externen, aber auch unternehmensinternen Bestimmungen einbezogen, folglich auch die des Datenschutzes.2 Datenschutz und Compliance stellen also keinen Widerspruch dar, sondern sind als Einheit zu verstehen.3 Freilich ist zu attestieren, dass der Datenschutz bis zum Jahre 2008, als in den 2 Medien über verschiedene Datenskandale namhafter deutscher Unternehmen berichtet worden ist, ein Schattendasein fristete.4 Dies änderte sich zum einen aufgrund der Dichte der in der Folgezeit aufgedeckten Datenschutzverstöße und zum anderen auch aufgrund des Umstandes, dass der erste große deutsche Datenschutzskandal mit dem Rücktritt des Vorstandsvorsitzenden des betroffenen Logistikunternehmens endete.5 Dies führte zur nötigen „Management-Attention“ bei deutschen Unternehmen und insbesondere dazu, dass gerade große Unternehmen den Datenschutz als für sich wesentliche Compliance-Anforderung identifizierten und diesen in der Folge entweder einzelnen Vorstandsressorts zuordneten oder sogar eigene Vorstandsressorts hierfür schufen. Aber auch auf legislativer Ebene erhielt der Datenschutz eine zunehmend größere 3 Bedeutung. Reagierte der Gesetzgeber auf die damaligen Datenschutzskandale über die sog. BDSG-Novelle II6 noch mit der wenig ausgegorenen Vorschrift des § 32 BDSG und die seinerzeitige Regierung mit dem nach wie vor nicht in Kraft getretenen „Entwurf eines Gesetzes zur Regelung des Beschäftigtendatenschutzes“,7 hat der Datenschutz nunmehr jedenfalls auf europäischer Ebene nachhaltig an Bedeutung gewonnen. So veröffentlichte die Europäische Kommission im Jahre 2012 den
1 Küttner/Kreitner, Compliance, A. Rn 1. 2 Hopt/Wohlmannstetter/Auerbach/Jost, S. 652; vgl. auch Ringleb/Kremer/Lutter/v. Werder/Ringleb, Rn 587 Fn 39. 3 Vgl. auch Moosmayer/Moosmayer, S. 51. 4 Vgl. Maschmann, NZA-Beil. 2012, 50, 51. 5 Möller/Feidt, MMR 2009, XVI. 6 BT-Drucks. 16/13657 v. 1.7.2009, S. 9 f. 7 BT-Drucks. 17/4230 v. 15.12.2010.
Behling
2
Kapitel 1 Datenschutz im Unternehmen
Entwurf zu einer Datenschutz-Grundverordnung8 (im Folgenden „DS-GVO-E“), der zahlreiche Neuerungen im Vergleich zum deutschen Modell vorsieht, wenngleich dieses ganz offensichtlich Vorbild war.9 Neben dem Umstand, dass dieser eine Anwendbarkeit der Datenschutz-Grundverordnung auch für bestimmte Verarbeitungen außerhalb des EWR vorsieht,10 ist auch bereits in dieser Entwurfsfassung eine erhebliche Erhöhung der Bußgelder auf bis zu 1 Mio. € bzw. 2 % des weltweiten Jahresumsatzes vorgesehen. Stellte dies schon eine erhebliche Verschärfung der möglichen Sanktionen dar – in Deutschland sind bislang Bußgelder möglich, die im Grundsatz 300.000 € pro Verstoß nicht übersteigen –, wurde der Entwurf, beeindruckt von den offenkundig gewordenen Spionageaktivitäten der USA, diesbezüglich nochmals nachhaltig verschärft. So verabschiedete das Europäische Parlament nach nur erster Lesung auf Grundlage des sog. LIBE-Entwurfs am 10.3.2014 einen Vorschlag für eine Datenschutz-Grundverordnung11 (im Folgenden „DS-GVO-V“), in dem aktuell Bußgelder von bis zu 100 Mio. € bzw. 5 % des weltweiten Jahresumsatzes für Datenschutzverstöße vorgesehen sind.12 Das Thema des Beschäftigtendatenschutzes wird in dem DS-GVO-V geson4 dert aufgegriffen. In der derzeitigen Fassung ist vorgesehen, dass eine Regelung des Beschäftigtendatenschutzes auf Ebene der Mitgliedstaaten erfolgt; die DatenschutzGrundverordnung (im Folgenden „DS-GVO“) soll nach derzeitiger Lesart nur die Mindeststandards vorgeben.13 Der zuvor erwähnte deutsche Gesetzesentwurf zum Beschäftigtendatenschutz wurde jedenfalls im Februar 2013 (vorläufig) von der vormaligen Bundesregierung gestoppt.14 Ob dieser von der aktuellen Bundesregierung nochmals aufgegriffen wird, darf zumindest bezweifelt werden, da die SPD bereits in der letzten Legislaturperiode einen im Vergleich zum besagten Entwurf verbesserten Beschäftigtendatenschutz geregelt in einem gesonderten Gesetz forderte.15 Solange der Altentwurf jedenfalls nicht wieder aufgegriffen wird, ist er unter dem Aspekt der sachlichen Diskontinuität als verfallen und damit hinfällig zu betrachten. Dass die DS-GVO gleichwohl überwiegend unmittelbar regelnden Charakter 5 in den Mitgliedstaaten haben wird, ist verordnungstypisch. Dies ist ein wesentlicher
8 KOM(2012) 11 v. 25.1.2012. 9 Vgl. eco – Nachrichten aus der Wirtschaft, MMR-Aktuell 2012, 331099. 10 Vgl. hierzu Kap. 14 Rn 20 ff. 11 Vgl. Legislative Entschließung des Europäischen Parlaments v. 12.3.2014 zu dem Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (allgemeine Datenschutzverordnung) (KOM(2012) 11 – C7-0025/2012 – 2012/0011(COD)) (Ordentliches Gesetzgebungsverfahren: erste Lesung), P7_TA-PROV(2014)0212, A7-0402/2013. 12 Art. 79 Abs. 2a lit. c DS-GVO-V. 13 Art. 82 DS-GVO-V. 14 Vgl. dpa-Pressemitteilung v. 26.2.2013 „Gestoppt! Bundesregierung zieht Notbremse beim Beschäftigtendatenschutz“. 15 BT-Drucks. 17/7176 v. 27.11.2011.
Behling
B. Anforderungen an eine Datenschutzorganisation
3
Unterschied zur geltenden Rechtslage, die es den Mitgliedstaaten über die EU-Datenschutzrichtlinie 95/46/EG lediglich auferlegt, die dort getroffenen datenschutzrechtlichen Mindeststandards in nationales Recht umzusetzen. Auch wenn noch unklar ist, welche Veränderungen der derzeitige Vorschlag für 6 eine DS-GVO im weiteren Gesetzgebungsverfahren nehmen wird, macht dies deutlich, dass der Datenschutz voraussichtlich zu einer der bedeutendsten Compliance-Anforderungen aufsteigen wird. Ist Datenschutz gerade im B2C-Bereich bereits heute schon insbesondere unter Reputationsgesichtspunkten eine Compliance-Anforderung von grundsätzlicher wirtschaftlicher Bedeutung, wird dies mit der DS-GVO für sämtliche Unternehmen innerhalb ihres Anwendungsbereichs gelten. Denn bereits die Höhe eines Bußgeldes kann existenzgefährdende Wirkung für das Unternehmen haben. Dies wird deutlich, wenn man sich vor Augen führt, dass ein wesentliches Bemessungskriterium für die Höhe eines Bußgeldes Grad und Ausmaß der Gefährdung bzw. Beeinträchtigung der geschützten Rechtsgüter sind; die wirtschaftlichen Verhältnisse des Täters – hier also des datenschutzverletzenden Unternehmens – treten demgegenüber in den Hintergrund: Ein Bußgeld muss den Täter stets spürbar treffen.16 Dies bedeutet, dass bei einem möglichen Bußgeld von bis zu 100 Mio. € Bußgelder von 1 Mio. bis 10 Mio. € eher den Ausnahmefall darstellen werden, wesentlich höhere Bußgelder indes die Regel. Das macht deutlich, warum es bereits zum jetzigen Zeitpunkt unentbehrlich ist, 7 eine effektive Datenschutzorganisation vorzuhalten. Denn wird die DS-GVO endgültig verabschiedet, verbleibt nach jetzigem Stand eine Übergangsfrist von nur zwei Jahren.17 Dies ist deutlich zu wenig Zeit, falls ein Unternehmen erst nach Inkrafttreten der DS-GVO beginnen möchte, eine hinreichende Datenschutzorganisation zu etablieren, die die Anforderungen der DS-GVO hinreichend berücksichtigt. Praxistipp Insbesondere vor dem Hintergrund der anstehenden DS-GVO sollten Unternehmen bereits heute ihre Datenschutzorganisation auf eine hinreichende Ausgestaltung hin überprüfen. Hierbei sollte auch untersucht werden, ob die Anforderungen der DS-GVO, wie sie sich nunmehr abzeichnen, bereits aktuell oder jedenfalls in einer Zeitspanne von höchstens zwei Jahren umgesetzt werden können.
B. Anforderungen an eine Datenschutzorganisation Aktuell ergeben sich die Anforderungen an eine hinreichende Datenschutzorgani- 8 sation aus den geltenden Datenschutzgesetzen, in Deutschland also insbesondere aus dem Bundesdatenschutzgesetz („BDSG“, dazu sogleich I.). Da der Datenschutz
16 BeckOK OWiG/Sackreuther, § 17 Rn 41, 83. 17 Vgl. Art. 91 Abs. 2 DS-GVO-V.
Behling
4
Kapitel 1 Datenschutz im Unternehmen
aber, wie ausgeführt, auch wesentliche Compliance-Anforderung ist, muss die Datenschutzorganisation auch den allgemeinen Anforderungen an eine hinreichende Compliance-Organisation genügen (dazu sogleich II.). Schließlich sollte sie aus den genannten Gründen auch bereits die Rechtsentwicklungen um die DS-GVO berücksichtigen (dazu sogleich III.).
I. Vorgaben des BDSG 9 Allgemein formuliert das BDSG in Satz 1 der Anlage zu § 9 S. 1 BDSG, dass bei der
automatisierten Verarbeitung oder Nutzung von personenbezogenen Daten die innerbetriebliche Organisation so zu gestalten ist, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Diese unter dem Stichwort der „Organisationskontrolle“ zusammengefasste Anforderung wird nicht näher spezifiziert. Satz 2 der Anlage macht aber deutlich, dass jedenfalls hinreichende technisch-organisatorische Maßnahmen zur Zutritts-, Zugangs-, Zugriffs-, Weitergabe-, Eingabe-, Auftrags-, Verfügbarkeits- und Trennungskontrolle zu treffen sind. Hierbei handelt es sich überwiegend um Maßnahmen zur Datensicherheit. Was dies im Einzelnen bedeutet, wird an anderer Stelle noch detailliert erläutert werden.18 Die Organisationskontrolle setzt jedenfalls eine hinreichende Aufbau- und 10 Ablauforganisation voraus, wobei die Aufbauorganisation eine Verteilung der Verantwortlichkeiten auf die einzelnen Gliederungen im Unternehmen (Fachbereiche, Abteilungen, Funktionen) voraussetzt und die Ablauforganisation Prozesse und Informationsflüsse erfasst.19 Zu beachten ist hierbei, dass die Organisationskontrolle ein fortlaufender und kontinuierlicher Prozess ist, worauf die Ablauforganisation entsprechend auszurichten ist; erforderlich sind auf Datenschutzkonformität ausgerichtete fortlaufende Kontrollen sowie ein dahingehendes kontinuierliches Monitoring.20 Sollte bereits ein Informationssicherheitsmanagementsystem im Unternehmen implementiert sein, empfiehlt es sich deshalb, den Datenschutz in dieses weitestmöglich zu integrieren, da sich Informationssicherheitsmanagementsysteme u. a. dadurch auszeichnen, dass sie einen Ansatz der ständigen Kontrolle und Verbesserung verfolgen.21
18 Vgl. Kap. 12 Rn 29 ff. 19 Vgl. BeckOK DatenSR/Karg, Anlage zu § 9 S. 1 Rn 8, 10, 12. 20 BeckOK DatenSR/Karg, Anlage zu § 9 S. 1 Rn 11. 21 Vgl. auch sogleich den Praxistipp unter Rn 19.
Behling
B. Anforderungen an eine Datenschutzorganisation
5
1. Datenschutzbeauftragter und -koordinatoren Anhaltspunkte dafür, welche Anforderungen an eine hinreichende Organisationskon- 11 trolle im Übrigen zu stellen sind, sind dem BDSG überwiegend nur aus dem Zusammenhang zu entnehmen. Ein wesentlicher Aspekt ist die Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten gem. § 4f Abs. 1 BDSG. Die sehr missverständliche Regelung macht die Pflicht zur Bestellung zunächst von der Anzahl der mit der Verwendung von personenbezogenen Daten Beschäftigten abhängig; den weiteren Regelungen dieser Vorschrift ist allerdings zu entnehmen, dass die Pflicht zur Bestellung unabhängig von dieser Anzahl besteht, wenn die jeweilige verantwortliche Stelle (Unternehmen) automatisierte Verarbeitungen vornimmt, die der Vorabkontrolle (§ 4d Abs. 5 BDSG) unterliegen. Da dies bereits auf nahezu jedes mittelständische Unternehmen kleineren Zuschnitts in der Regel zutrifft, ist davon auszugehen, dass nahezu jedes deutsche Unternehmen von gewisser Größe zur Bestellung eines betrieblichen Datenschutzbeauftragten verpflichtet ist.22 Agiert der Datenschutzbeauftragte als zentraler, sog. Konzerndatenschutzbe 12 auftragter,23 ist er überdies auf sog. Datenschutz-Koordinatoren angewiesen, die in den einzelnen Konzernbetrieben bzw. Betriebsteilen als Ansprechpartner für den Datenschutz zur Verfügung stehen und die dahingehenden Informationen für den Konzerndatenschutzbeauftragten sammeln und an ihn weiterleiten.24 Organisatorisch ist der Datenschutzbeauftragte in dieser Funktion der Geschäfts- 13 leitung unmittelbar zu unterstellen und insoweit weisungsfrei, § 4f Abs. 3 S. 1 und 2 BDSG. Letzteres beantwortet auch die in der Praxis häufig aufkommende Frage, dass nebenamtliche Datenschutzbeauftragte bezüglich ihrer hauptamtlichen Tätigkeit selbstverständlich weisungsabhängig bleiben dürfen und insoweit auch nicht der Geschäftsleitung unterstellt sein müssen. Gleichwohl darf das Amt des Datenschutzbeauftragten nicht mit dessen hauptamtlicher Tätigkeit kollidieren, was immer dann anzunehmen ist, wenn er sich in seiner Funktion als Datenschutzbeauftragter bezüglich seiner hauptamtlichen Tätigkeit selbst kontrollieren müsste.25 Auch darf deshalb nicht die Geschäftsleitung selbst oder der Betriebsinhaber zum Datenschutzbeauftragten bestellt werden.26 Dem Datenschutzbeauftragten ist die Möglichkeit zur Fortbildung zu geben und ihm ist eine hinreichende Datenschutzorganisation einzurichten, § 4f Abs. 5 BDSG.27 Seine Bestellung muss schriftlich erfolgen, § 4f Abs. 1 S. 1 BDSG.
22 Vgl. hierzu auch Kap. 3 Rn 20 ff. 23 Vgl. dazu Kap. 3 Rn 8 ff. 24 Gola/Schomerus, § 4f Rn 8. 25 Gola/Schomerus, § 4f Rn 26 ff. 26 Gola/Schomerus, § 4f Rn 26. 27 Gola/Schomerus, § 4f Rn 54 f.
Behling
6
14
Kapitel 1 Datenschutz im Unternehmen
Entgegen einer immer wieder anzutreffenden Auffassung28 unterliegt der Datenschutzbeauftragte, da er gem. § 4g Abs. 1 S. 1 BDSG lediglich auf den Datenschutz hinzuwirken hat, keiner eigenen strafrechtlichen Garantenpflicht (§ 13 StGB) gerichtet auf die Verhinderung von datenschutzbezogenen Straftaten gegenüber Dritten.29
2. Vorabkontrolle sowie allgemeine Prüfungs- und Meldeprozesse 15 Der Aspekt der Vorabkontrolle ist ein weiterer wesentlicher Baustein innerhalb der Datenschutzorganisation. So ist gem. § 4d Abs. 5 und 6 S. 1 BDSG vorgesehen, dass der betriebliche Datenschutzbeauftragte eine Vorabkontrolle bezüglich neuer automatisierter Verarbeitungsverfahren durchzuführen hat, wenn diese besondere Risiken für die Rechte und Freiheit der von der Verarbeitung Betroffenen aufweisen. Dies ist nach dem Inhalt der Vorschrift insbesondere der Fall, wenn besondere Arten von personenbezogenen Daten i. S. v. § 3 Abs. 9 BDSG verarbeitet werden oder die Verarbeitung der Bewertung der Persönlichkeit einschließlich der Fähigkeits-, Leistungs- und Verhaltensbewertung dient. Hierdurch wird deutlich, dass nahezu jedes Unternehmen zur Durchführung von Vorabkontrollen verpflichtet ist. So werden etwa bei der Personalabrechnung zu steuerlichen Zwecken in der Regel auch Angaben zur Religionszugehörigkeit verarbeitet, die ihrerseits als besondere personenbezogene Daten i. S. v. § 3 Abs. 9 BDSG zu qualifizieren sind. Erfolgt dies – wie regelmäßig – automatisiert, besteht bereits die Pflicht zur Durchführung zur Vorabkontrolle. Werden auf den Internetseiten Cookies zum Zwecke verwendet, die den Nutzer verfolgen, um besser nachvollziehen zu können, für was sich Besucher der eigenen Website noch interessieren (sog. Reichweitenanalyse), dient dies der Verhaltensbewertung, sodass auch unter diesem Aspekt eine Vorabkontrolle angezeigt ist. Dasselbe gilt bei der Verwendung verschiedener sog. Social Plugins. Vorabkontrollen sind daher als wesentlicher Bestandteil einer funktionierenden 16 Datenschutzorganisation zu qualifizieren, weshalb entsprechende Meldeprozesse obligatorisch sind. Dies wiederum macht verbindliche Schnittstellen insbesondere zu den Fachbereichen IT, Personal, Compliance, Revision, Informationssicherheit und Marketing erforderlich. Auch empfiehlt sich wegen der zum Teil kongruenten Kontroll- bzw. Hinwirkungsfunktion eine Schnittstelle zum Betriebsrat, vgl. § 4g Abs. 1 S. 3 Nr. 1 BDSG einerseits und § 80 Abs. 1 Nr. 1 BetrVG andererseits. Dabei gilt es zu berücksichtigen, dass es sich bei der Vorabkontrolle um keine Holschuld des Datenschutzbeauftragten, sondern um eine Bringschuld des Unternehmens handelt. Dies folgt aus § 4f Abs. 5 BDSG, wobei verantwortlich für die Erfüllung dieser Schuld die Geschäftsleitung ist.30 Entsprechend sind dem Datenschutzbeauftragten neue
28 Vgl. exemplarisch Thüsing/Thüsing/Granetzny, § 19 Rn 18. 29 Vgl. dezidiert Bongers/Krupna, ZD 2013, 594, 598. 30 Vgl. Gola/Schomerus, § 4f Rn 54.
Behling
B. Anforderungen an eine Datenschutzorganisation
7
Verfahren frühzeitig und unaufgefordert zu melden. Dabei empfiehlt es sich, dies in einer Datenschutzrichtlinie unter Darlegung der Meldewege und Verantwortlichkeiten verbindlich festzulegen. Praxistipp Aufgrund des Umstands, dass Vorabkontrollen häufig als umständlich und zum Teil auch störend von Unternehmen empfunden werden, ist mitunter die Tendenz zu beobachten, dass Unternehmen von der Bestellung eines Datenschutzbeauftragten eher absehen möchten. Hierbei wird allerdings übersehen, dass Meldepflichten dann nicht vollständig entfallen würden. Im Gegenteil sind bei Fehlen eines betrieblichen Datenschutzbeauftragten alle Verarbeitungsverfahren der zuständigen Datenschutzaufsicht zu melden, § 4d Abs. 1 und 2 BDSG. Es ist deshalb auch unter rationellen Gesichtspunkten von grundsätzlicher Bedeutung, einen Datenschutzbeauftragten zu bestellen und durch ihn die Vorabkontrolle durchführen zu lassen. Dies wird sich nach jetzigem Stand auch nicht mit dem Inkrafttreten der DS-GVO ändern.31
Aber auch wenn keine Pflicht zur Durchführung von Vorabkontrollen besteht, ist 17 der Datenschutzbeauftragte über alle datenschutzrelevanten Vorgänge und Projekte frühzeitig in Kenntnis zu setzen. Dies wiederum setzt ein aktives Handeln der verantwortlichen Stelle voraus und folgt aus der Unterstützungspflicht der verantwortlichen Stelle aus § 4f Abs. 5 BDSG.32 Dieses Vorgehen sollte wiederum in Datenschutzrichtlinie und/oder Arbeitsan- 18 weisung unter Festlegung der Meldewege und Verantwortlichkeiten verbindlich festgelegt und mit der Pflicht zur Meldung neuer Verfahren an das sog. Verfahrensverzeichnis (vgl. hierzu Kap. 3 Rn 36, 53 ff.) zweckmäßigerweise verbunden werden. Zu beachten ist hierbei, dass das Gesetz nicht vorsieht, dass das Verfahrensverzeichnis vom Datenschutzbeauftragten erstellt oder geführt werden muss; vielmehr ist ihm ein solches seitens der verantwortlichen Stelle zur Verfügung zu stellen, damit dieser bestimmte Angaben daraus jedermann auf Antrag verfügbar machen kann, § 4g Abs. 2 BDSG. Damit besteht de facto die Pflicht zur Führung eines sog. öffentlichen Verfahrensverzeichnisses. Schließlich ist sicherzustellen, dass, falls mit konzerninternen oder externen 19 Dienstleistern Auftragsdatenverarbeitungen (§ 11 BDSG) vereinbart werden sollen, die entsprechenden Dienstleister auf Grundlage der bei diesen getroffenen technischorganisatorischen Maßnahmen sorgfältig auszuwählen sind (§ 11 Abs. 2 S. 1 BDSG), was entsprechend dokumentierte Auswahlprozesse voraussetzt. Vor Beginn der Datenverarbeitung und sodann auch regelmäßig sind die Auftragsdatenverarbeiter bezüglich der bei diesen getroffenen technisch-organisatorischen Maßnahmen zu kontrollieren, wobei das Ergebnis wiederum zu dokumentieren ist (§ 11 Abs. 2 S. 4 und 5 BDSG). Wird die Pflicht zur Erstkontrolle eines Auftragsdatenverarbeiters ver-
31 Vgl. Art. 34 DS-GVO-V. 32 Gola/Schomerus, § 4f Rn 54.
Behling
8
Kapitel 1 Datenschutz im Unternehmen
letzt, kann dies mit einem Bußgeld, das im Grundsatz 50.000 € nicht übersteigt, geahndet werden, § 43 Abs. 1 Nr. 2b mit Abs. 3 BDSG. Praxistipp Aufgrund der Erforderlichkeit der regelmäßigen Kontrolle von Auftragsdatenverarbeitern empfiehlt es sich, solche Kontrollen in ggf. bestehende Informationssicherheitsmanagementsysteme (z. B. nach ISO/IEC 27001) zu integrieren. So sind solche Managementsysteme aufgrund des Ansatzes der stetigen Kontrolle und Verbesserung (sog. PDCA-Zyklus)33 und ihrem Fokus auf die Informationssicherheit besonders gut geeignet, auch regelmäßige Kontrollverpflichtungen nach § 11 Abs. 2 S. 4 BDSG aufzugreifen und abzubilden.
3. Melde- und Prüfprozesse für den Fall rechtswidriger Datenabflüsse 20 Für den Fall, dass bestimmte Datenarten unrechtmäßig Dritten zur Kenntnis gelangt sind, schreibt § 42a BDSG die Einhaltung bestimmter Meldepflichten vor. Dies namentlich dann, wenn folgende Datenarten (sog. Risikodaten) betroffen sind: – besondere Arten personenbezogener Daten (§ 3 Abs. 9 BDSG), – personenbezogene Daten, die einem Berufsgeheimnis unterliegen, – personenbezogene Daten, die sich auf strafbare Handlungen oder Ordnungswidrigkeiten oder den Verdacht strafbarer Handlungen oder Ordnungswidrigkeiten beziehen, oder – personenbezogene Daten zu Bank- oder Kreditkartenkonten34 und schwerwiegende Beeinträchtigungen für die Rechte und schutzwürdigen Interessen der Betroffenen drohen (Prognoseentscheidung der verantwortlichen Stelle).35 Dann sind Aufsichtsbehörde und Betroffene grundsätzlich unverzüglich, d. h. ohne schuldhaftes Zögern, in Kenntnis zu setzen. Hierbei müssen die Betroffenen über Art der unrechtmäßigen Kenntniserlangung und Empfehlungen zur Minderung in Betracht kommender nachteiliger Folgen genauso in Kenntnis gesetzt werden, wie die Aufsichtsbehörde zusätzlich über die möglichen nachteiligen Folgen selbst sowie über ergriffene Gegenmaßnahmen. Ist die Information jedes Betroffenen insbesondere aufgrund der Vielzahl der betroffenen Fälle nicht möglich, tritt an deren Stelle die Information der Öffentlichkeit durch Anzeigen in mindestens zwei bundesweit erscheinenden Tageszeitungen, wobei die Anzeigen mindestens eine halbe Seite umfassen müssen; alternativ kann auch eine andere, in ihrer Wirksamkeit hinsichtlich der Information der Betroffenen gleich geeignete Maßnahme ergriffen werden. Da ein Verstoß gegen diese Pflicht mit einem Bußgeld, das 300.000 € grundsätz21 lich nicht übersteigt, geahndet werden kann und überdies auch erhebliche Scha-
33 Vgl. dazu Kap. 12 Rn 128. 34 Vgl. dazu auch Kap. 11 Rn 161 ff. 35 Gola/Schomerus, § 42a Rn 4.
Behling
B. Anforderungen an eine Datenschutzorganisation
9
densersatzforderungen der Betroffenen drohen können, ist die Implementierung reibungsloser Melde- und Prüfprozesse für den Fall eines rechtswidrigen Datenabflusses unerlässlich. Neben der Durchführung entsprechender Mitarbeiterschulungen empfiehlt sich deshalb auch der Erlass einer § 42a-BDSG-Richtlinie, in der Verantwortlichkeiten und Meldewege verbindlich festgelegt werden sollten. Praxistipp Aufgrund der besonderen Bedeutung der Meldepflichten nach § 42a BDSG ist die Festlegung der Verantwortlichkeiten in einer entsprechenden Richtlinie oder Arbeitsanweisung von besonderer Wichtigkeit. Neben dem, dass jeder, der im Unternehmen mit den in § 42a BDSG genannten Risikodaten umgeht, im Falle ihres Verlustes unverzüglich Meldung machen muss, muss auch festgelegt werden, welcher Meldeweg hierbei einzuhalten ist. Zentrale Anlaufstelle ist hierbei idealerweise der Datenschutzbeauftragte, da dieser dann unverzüglich die erste Vorprüfung hinsichtlich des Bestehens einer Meldepflicht vornehmen kann. Der Datenschutzbeauftragte seinerseits sollte verpflichtet werden, weitere Stellen einzubinden. Soweit vorhanden sind dies insbesondere die Compliance- und Rechtsabteilung, die Informationssicherheitsbeauftragten (CISO), die Abteilung für Öffentlichkeitsarbeit und schließlich auch die Geschäftsleitung. Insgesamt ist zu beachten, dass eine Meldung nach § 42a BDSG nicht durch den Datenschutzbeauftragten zu machen ist, sondern vielmehr durch die Geschäftsleitung als Oberverantwortliche für die Datenschutzorganisation.36
4. Auskunfts-, Unterrichtungs- und Benachrichtigungsprozesse Nach § 34 Abs. 1 S. 1 und Abs. 8 S. 1 BDSG müssen Unternehmen Betroffenen gegen- 22 über grundsätzlich unentgeltlich Auskunft erteilen über – die zu seiner Person gespeicherten Daten, auch soweit sie sich auf die Herkunft dieser Daten beziehen, – den Empfänger oder die Kategorien von Empfängern, an die Daten weitergegeben werden, und – den Zweck der Speicherung, wobei auch eine Negativauskunft zu erteilen ist, falls keine Daten zu dem Betroffenen gespeichert sind.37 Ob die Kopie eines Personalausweises zum Identitätsnachweis des Betroffenen vor Auskunftserteilung verlangt werden darf, ist mit Blick auf die §§ 14, 20 PAuswG umstritten und sollte deshalb allenfalls dann in Betracht gezogen werden, wenn eine hinreichende Identitätsüberprüfung, die im Übrigen datenschutzrechtlich durchaus angezeigt ist,38 nicht anders erfolgen kann und die entsprechende Kopie nach Auskunftserteilung wieder unverzüglich vernichtet wird; dann allerdings sollte der Betroffene im Vorfeld darauf hingewiesen werden, dass er
36 Gola/Schomerus, § 42a Rn 10. 37 BeckOK DatenSR/Schmidt-Wudy, § 34 Rn 14. 38 Simitis/Dix, § 34 Rn 43.
Behling
10
Kapitel 1 Datenschutz im Unternehmen
alle zu seiner Identifizierung nicht erforderlichen Daten auf der Kopie selbstverständlich streichen darf.39 All dies sollte dokumentiert werden. Wird Auskunft über Scoring-Daten verlangt, bestehen erweiterte Auskunfts23 pflichten, u. a. zu den erhobenen oder erstmaligen Wahrscheinlichkeits- (Score-) Werten, den zu deren Berechnung gespeicherten Datenarten und zum Zustandekommen und der Bedeutung der Wahrscheinlichkeitswerte (vgl. hierzu auch Kap. 11 Rn 146 ff.). Entsprechende Auskunftsprozesse sind zu implementieren, zumal die Auskunft 24 unverzüglich zu erfolgen hat40 und ein Verstoß mit bis zu 50.000 € geahndet werden kann. Unverzüglich bedeutet dabei zwar nicht sofort, sondern es muss der beauskunftenden Stelle noch die Möglichkeit zur Informationssammlung und -bereitstellung gegeben werden.41 Umgekehrt müssen die Prozesse aber so ausgestaltet sein, dass die Informationsbeschaffung nicht unverhältnismäßig lange dauert und deshalb als Organisationsverschulden zu werten ist. Weiter ist zu beachten, dass die Auskunft grundsätzlich (nur) in Textform (§ 34 25 Abs. 6 BDSG) erfüllt zu werden braucht, wobei zu beachten ist, dass sich die gesetzliche Definition der Textform mit Umsetzung der sog. Verbraucherrechterichtlinie 2011/83/EU des Europäischen Parlaments und des Rates vom 25.10.201142 in § 126b BGB geändert hat. Danach muss zur Erfüllung der Textform nunmehr eine lesbare Erklärung, in der die Person des Erklärenden (hier also der beauskunftenden Stelle) genannt ist, auf einem dauerhaften Datenträger abgegeben werden. Eine eigenhändige Unterschrift der Auskunftserteilung ist indes nicht erforderlich.43 Ein dauerhafter Datenträger ist dabei jedes Medium, das – es dem Empfänger ermöglicht, eine auf dem Datenträger befindliche, an ihn persönlich gerichtete Erklärung so aufzubewahren oder zu speichern, dass sie ihm während eines für ihren Zweck angemessenen Zeitraums zugänglich ist, und – geeignet ist, die Erklärung unverändert wiederzugeben. 26 Mit der Begründung des deutschen Umsetzungsgesetzes sollte mit dieser Formu-
lierung eine inhaltliche Änderung des vormaligen Begriffs der Textform zwar nicht herbeigeführt werden.44 Dennoch ist es wichtig zu wissen, was der Gesetzgeber als dauerhaften Datenträger in diesem Sinne versteht. Danach müsse der Datenträger es ermöglichen,
39 Vgl. BeckOK DatenSR/Schmidt-Wudy, § 34 Rn 28.1 ff. mit Verweis auf Stellungnahmen verschiedener Aufsichtsbehörden. 40 Gola/Schomerus, § 34 Rn 16. 41 Gola/Schomerus, § 34 Rn 16. 42 BT-Drucks. 17/12637 v. 6.3.2013. 43 Gola/Schomerus, § 34 Rn 13. 44 BT-Drucks. 17/12637 v. 6.3.2013, S. 44.
Behling
B. Anforderungen an eine Datenschutzorganisation
11
„dass der Empfänger die an ihn gerichtete Erklärung so aufbewahren und speichern kann, dass sie ihm während des für ihren Zweck angemessenen Zeitraums zugänglich ist. Zudem muss der dauerhafte Datenträger die Erklärung unverändert wiedergeben können. Derzeit erfüllen insbesondere Papier, Vorrichtungen zur Speicherung digitaler Daten (USB-Stick, CD-ROM, Speicherkarten, Festplatten) und auch E-Mails diese Voraussetzungen. Dagegen reicht es regelmäßig nicht aus, wenn die Erklärung auf einer herkömmlichen Internetseite zur Verfügung gestellt wird (vgl. EuGH, Urteil vom 5. Juli 2012, Rechtssache C-49/11, Nummer 50). Denn hier hat es weder der Empfänger in der Hand, die Erklärung aufzubewahren oder zu speichern, noch ist sichergestellt, dass die Erklärung für einen bestimmten Zeitraum unverändert zugänglich ist.“45
Zweckmäßigerweise erfolgt die Koordination der Beauskunftung über den betrieb- 27 lichen Datenschutzbeauftragten, der die erforderlichen Informationen bei den Fachabteilungen abfragt.46 Diese Rolle wird ihm zweckmäßigerweise in der Datenschutzrichtlinie zugewiesen und über die Bestellungsmodalitäten verbindlich festgelegt. Entsprechende Schnittstellen zu den Fachabteilungen (insbes. zu Marketing, Kundenbetreuung und Vertragsmanagement) sind daher unabdingbare Voraussetzung. Ein in der Praxis zu beobachtendes Phänomen sind Auskunftsersuchen bezüglich 28 Verstorbener über Dienstleister, deren Geschäftszweck auf ein postmortales Identitätsmanagement im Online-Bereich gerichtet ist und die offenbar von Angehörigen im Zuge der Bestattungsmodalitäten beauftragt werden. Hierzu ist zu sagen, dass es bereits zweifelhaft ist, ob bezüglich Verstorbener überhaupt ein Auskunftsanspruch geltend gemacht werden kann, da Verstorbene grundsätzlich keine Persönlichkeitsrechte mehr besitzen.47 Zutreffend dürfte aber sein, dass bei Glaubhaftmachung eines berechtigten Interesses die Erben einen solchen Auskunftsanspruch geltend machen können, wobei insoweit ein einheitliches Auftreten aller Erben erforderlich ist, mithin alle Erben die Auskunftserteilung gemeinschaftlich, also als Erbengemeinschaft, begehren müssen.48 Ob vor diesem Hintergrund bezüglich des sehr praxisrelevanten Themas von Aus- 29 kunftsersuchen, die darauf gerichtet sind, zu erfahren, ob Verstorbene Accounts bei E-Commerce-Anbietern besitzen, ein Auskunftsanspruch zu bejahen ist, erscheint äußerst fraglich. Denn es ist bereits zweifelhaft, dass überhaupt ein berechtigtes Interesse an der Auskunftserteilung seitens der Erben(-gemeinschaft) geltend gemacht werden kann, da aus dem bloßen Bestehen eines solchen Accounts keine unmittelbaren Verpflichtungen für die Erben(-gemeinschaft) resultieren.
45 BT-Drucks. 17/12637 v. 6.3.2013, S. 44. 46 Gola/Schomerus, § 34 Rn 13. 47 Kilian/Heussen/Polenz, 1. Abschnitt, Teil 13 Rn 8. 48 Kilian/Heussen/Polenz, 1. Abschnitt, Teil 13 Rn 8.
Behling
12
Kapitel 1 Datenschutz im Unternehmen
Praxistipp Aber selbst wenn man ein berechtigtes Interesse der Erben an einer Auskunftserteilung im E-Commerce-Umfeld noch bejahen wollte, so muss berücksichtigt werden, wie solche Auskunftsersuchen üblicherweise erfolgen. Wie bereits erwähnt, ist in der Regel ein externer Dienstleister zwischengeschaltet, der im Rahmen der Bestattungsmodalitäten beauftragt worden ist, das postmortale Identitätsmanagement des Verstorbenen zu übernehmen. Jeweils in Kopie fügt dieser seinem Auskunftsersuchen dann die Vollmacht sowie in der Regel auch eine Sterbeurkunde bei. Weiter wird der Hinweis erteilt, dass es sich bei dem bevollmächtigenden Angehörigen um Ehepartner, Kind o. Ä. des Verstorbenen handele, der seinerseits aufgrund einer bestehenden Erbenstellung oder aufgrund einer Bevollmächtigung durch den Erben berechtigt sei, um Auskunft zu ersuchen. Dies alles genügt allerdings nicht, um die verantwortliche Stelle zur Auskunft zu verpflichten oder auch nur zu berechtigen. Denn die stets für die Auskunftserteilung zu prüfende (Allein-) Erbenstellung lässt sich nur durch Erbschein hinreichend überprüfen; der bloße Hinweis, dass es sich um einen Angehörigen handelt, der gesetzlicher oder gewillkürter Erbe sei, genügt hierfür nicht, und dies selbst dann nicht, falls ein Testament vorgelegt wird. Denn insoweit wäre unklar, ob das Testament überhaupt noch wirksam ist oder nicht unlängst widerrufen (§§ 2253 ff. BGB) oder angefochten worden ist (§§ 2078 ff. BGB). Überdies ist zu beachten, dass bei Auskunftsersuchen über zwischengeschaltete Dritte (hier externe Dienstleister) die verantwortliche Stelle verpflichtet ist, die Bevollmächtigung zu überprüfen.49 Wird die entsprechende Vollmacht dem Auskunftsersuchen, wie üblich, nicht gleich im Original (z. B. nur per Fax oder E-Mail-Scan) beigefügt, sollte diese deshalb solange mit Verweis auf § 174 BGB seitens der verantwortlichen Stelle unverzüglich zurückgewiesen werden, bis die Vollmacht im Original nachgewiesen wird. 30 Neben Prozessen, die sicherstellen, dass das Unternehmen als verantwortliche
Stelle seiner Auskunftspflicht nachkommt, muss auch sichergestellt werden, dass bestehende Unterrichtungs- und Benachrichtigungspflichten erfüllt werden. Zu nennen sind hierbei insbesondere die Verpflichtung zur Unterrichtung über bestehende Widerrufsrechte, z. B. bezüglich der Verwendung von Kundendaten zu Werbezwecken (§ 28 Abs. 4 BDSG). Auch können besondere schriftliche Bestätigungs- (§ 28 Abs. 3a BDSG) oder allgemeine Benachrichtigungspflichten bestehen (§ 33 Abs. 1 S. 1 BDSG), wobei die Einzelheiten hierzu in den nachfolgenden themenspezifischen Kapiteln näher erläutert werden.
5. Berichtigungs-, Lösch- und Sperrprozesse
31 Weiter sind zwingend Prozesse einzuführen, die sicherstellen, dass das Unternehmen
seinen Berichtigungs-, Lösch- und Sperrpflichten gem. § 35 BDSG nachkommt. Demnach sind unrichtige personenbezogene Daten (unverzüglich) zu korrigieren. Bezüglich Löschen und Sperren greift der Grundsatz, dass personenbezogene 33 Daten unverzüglich zu löschen sind, wenn diese für den ursprünglichen Erhebungszweck nicht mehr benötigt werden und auch keine legitime Zweckänderung die
32
49 Vgl. Simitis/Dix, § 34 Rn 43.
Behling
B. Anforderungen an eine Datenschutzorganisation
13
Weiterverwendung legitimiert. An die Stelle der Löschung tritt die Sperrung, falls gesetzliche, satzungsmäßige oder vertragliche Aufbewahrungsfristen einer Löschung entgegenstehen. Ein hinreichendes Lösch- und Sperrkonzept stellt eine der wesentlichen Herausforderungen von Unternehmen dar. Zum einen ist es häufig schwierig, alle Datenarten zu erfassen und klar definierten Lösch- bzw. Sperrklassen zuzuordnen.50 Zum anderen ist gerade im Zusammenhang mit namhaften ERP-Systemen bekannt, dass eine vollständige Datenlöschung häufig überhaupt nicht möglich ist. Hier gilt es daher, einen interessengerechten Ausgleich insbesondere zwischen den gesetzlich bestehenden Aufbewahrungspflichten und der tatsächlichen Möglichkeit zur Durchführung von Löschungen zu finden.51 Dabei gilt es zu beachten, dass auch Archive und Sicherheitskopien („Backups“) in die Konzeptionierung von Löschen und Sperren zwingend mit einzubeziehen sind.52 Dies gilt es auch bei der Erstellung entsprechender Archivordnungen53 zu berücksichtigen. Sollen Backups auch für die Kontrolle von Mitarbeitern zur Verfügung stehen, ist bei der Erstellung des Löschund Sperrkonzepts mit der jüngsten Rechtsprechung54 darauf zu achten, dass diese nicht nur für die Datensicherung gewidmet werden. Denn andernfalls sind sie für die Nutzung anderer Zwecke wegen § 31 BDSG gesperrt, was deren Nutzung etwa bei internen Ermittlungen unmöglich machen würde. Praxistipp Ein Lösch- und Sperrkonzept sollte praktikabel aufgesetzt werden. Hierzu empfiehlt es sich, Datenarten zu bilden, die handhabbaren Löschklassen und -regeln zugeordnet werden können.55 Auf dieser Grundlage sollten dann unter Berücksichtigung der bestehenden Aufbewahrungsfristen wiederum Standardlöschfristen gebildet werden, denen die verschiedenen Löschklassen zugeordnet werden können.56 Dabei ist darauf zu achten, dass die Standardlöschfristen nicht so mannigfaltig ausgestaltet werden, dass sie de facto nicht mehr operabel sind. Falls insoweit Unsicherheiten bestehen sollten, empfiehlt es sich, die Abstimmung mit der zuständigen Datenschutzaufsicht zu suchen.57
Insgesamt ist es unabdingbar, ein Lösch- und Sperrkonzept zu implementieren, da 34 anderenfalls Bußgelder, die im Grundsatz 300.000 € nicht übersteigen, drohen58
50 Vgl. hierzu auch Hammer/Schuler, Leitlinie Löschkonzept, abrufbar unter https://www.bsi.bund. de/SharedDocs/Downloads/DE/BSI/Grundschutz/Hilfsmittel/Extern/Leitlinie_zur_Entwicklung_ eines_Loeschkonzepts.pdf?__blob=publicationFile. 51 Hammer/Schuler, Rn 113. 52 Vgl. Hammer/Schuler, Rn 65 ff. 53 Vgl. hierzu Bergmann/Möhrle/Herb, Anlage zu § 9 S. 1 Rn 3. 54 VG Karlsruhe, Urt. v. 27.5.2013 – 2 K 3249/12 – Beck RS 2013, 51537; bestätigt durch VGH BadenWürttemberg, Urt. v. 30.7.2014 – 1 S 1352/13 – zum Redaktionsschluss noch nicht veröffentlicht und rechtskräftig. 55 Hammer/Schuler, Rn 150 ff. 56 Hammer/Schuler, Rn 150 ff. 57 Hammer/Schuler, Rn 113. 58 Simitis/Dix, § 35 Rn 69.
Behling
14
Kapitel 1 Datenschutz im Unternehmen
und sich gerade im Zeitalter von Big Data auch erhebliche Reputationsrisiken nicht ausschließen lassen, falls personenbezogene Daten ohne Befristung undifferenziert aufbewahrt werden. Ohnehin sieht der DS-GVO-V in Art. 17 Abs. 8a die Verpflichtung vor, Vorkehrungen zu treffen, „um sicherzustellen, dass die Fristen für die Löschung personenbezogener Daten und/oder die regelmäßige Überprüfung der Notwendigkeit ihrer Speicherung eingehalten werden.“ Damit soll de lege ferenda nicht nur die Löschpflicht als solche bestehen, sondern verantwortliche Stellen sollen auch dazu angehalten sein, entsprechende Vorkehrungen, wie z. B. die Implementierung von Löschprozessen, zu treffen. Es empfiehlt sich daher, frühzeitig die Implementierung entsprechender Prozesse anzustoßen. Personenbezogene Daten nicht unbegrenzt lange aufzubewahren, empfiehlt sich aber auch aus allgemein wirtschaftlichen Erwägungen, weil kontinuierlich zunehmende Datenbestände auch stets wachsende ITRessourcen erfordern.
6. Schulungen
35 Eine in jedem Fall zwingende Pflicht, regelmäßige Datenschutzschulungen im Unter-
nehmen durchführen zu müssen, ist dem BDSG nicht zu entnehmen. So sieht das BDSG lediglich vor, dass der Datenschutzbeauftragte die bei der Verarbeitung personenbezogener Daten tätigen Personen mit dem BDSG und sonstigen (maßgeblichen) Datenschutzvorschriften sowie mit den besonderen Erfordernissen des Datenschutzes vertraut zu machen hat, § 4g Abs. 1 S. 3 Nr. 2 BDSG. Dies setzt aber nicht zwingend die Durchführung von Schulungen voraus. Vielmehr kommen auch sonstige Veranstaltungen, Seminare, die Herausgabe allgemeiner Lehr- und Schulungsunterlagen sowie arbeitsplatzbezogener Informationen in Betracht, vorausgesetzt die jeweilige Einzelmaßnahme ist geeignet, alle, die personenbezogene Informationen im Unternehmen verarbeiten, hinreichend für Bedeutung und Notwendigkeit des Datenschutzes zu sensibilisieren.59 Im Umkehrschluss bedeutet dies, dass Schulungen zwingend durchzuführen sind, wenn nur diese – etwa aufgrund der Komplexität der Datenverarbeitung – geeignet sind, ein hinreichendes Verständnis für den Datenschutz zu schaffen. Eine Verpflichtung auf das Datengeheimnis gem. § 5 S. 2 BDSG genügt in jedem Falle nicht.60 Insgesamt empfiehlt es sich, entsprechende Schulungen oder vergleichbare Maßnahmen mindestens alle zwei Jahre durchzuführen.61
59 Gola/Schomerus, § 4g Rn 20 f. 60 Gola/Schomerus, § 4g Rn 21. 61 Vgl. Hauschka/Lampert, § 9 Rn 31.
Behling
B. Anforderungen an eine Datenschutzorganisation
15
7. Aufsichtsbehördliche Anforderungen Unter dem Aspekt der allgemeinen Organisationskontrolle erwarten die Auf- 36 sichtsbehörden mitunter noch weitergehende Maßnahmen. Hierbei empfiehlt sich nach Auffassung des Bayerischen Landsamtes für Datenschutzaufsicht (BayLDA) die Berücksichtigung der Prüfpunkte gemäß folgender Checkliste. Checkliste62 – „IT-Sicherheitskonzept: Bestehen schriftliche Regelungen über den Betrieb und die Abläufe der Datenverarbeitung sowie zu den verschiedenen Datensicherheitsmaßnahmen (z. B. Richtlinien, Arbeitsanweisungen, Stellenbeschreibungen)? Erfolgen Sicherungen des Datenbestandes nach festgelegtem Schema? – Standards: Wird auf etablierte Standards für die IT-Sicherheit bzw. zur Abwicklung von IT-Projekten zurückgegriffen (IT-Grundschutz, ISO 27001, etc.)? – Revision: Findet eine Revision der Datenverarbeitung statt? Besteht eine interne Revisionsabteilung? Werden Protokollierungen und Log-Dateien ausgewertet (z. B. stichprobenartig)? Werden im Falle der Mitbenutzung der Anlagen durch Fremdfirmen auch hier entsprechende Überprüfungen durchgeführt? Finden auch gelegentlich unvermutete Kontrollen der Einhaltung von Datenschutz- und Datensicherungsmaßnahmen statt? – Mitarbeiter: Ist im Urlaub- und Krankheitsfall für eine Vertretung gesorgt (z. B. Vertreterregelungen, Freigaben, Berechtigungen)? Werden die Mitarbeiter über den sicheren Umgang mit den Daten entsprechend geschult? Gibt es regelmäßige Hinweise und Ermahnungen, um das Problembewusstsein zu fördern? Werden mobile Datenträger der Mitarbeiter standardmäßig verschlüsselt? Besteht eine ausreichende Funktionstrennung? Findet bei wichtigen Datenverarbeitungen das „Vier-Augen-Prizip“ Anwendung?“
Da die Aufsichtsbehörden im Rahmen von anlassbezogenen Kontrollen häufig auch 37 nach schriftlichen Festlegungen zu Videoüberwachungen fragen,63 sollten dahingehende Richtlinien und/oder Arbeitsanweisungen ebenfalls vorgehalten werden. Da mitunter auch nach der allgemeinen Datenschutzrichtlinie oder Notfallplänen für den Fall eines rechtswidrigen Datenabflusses nach § 42a BDSG gefragt wird,64 empfiehlt es sich, auch diese Dokumente vorzuhalten.
62 BayLDA, Checkliste: Datensicherheit, Ziff. 9, abrufbar unter http://www.lda.bayern.de/lda/datenschutzaufsicht/lda_daten/BayLDA_Checkliste_Datensicherheit.pdf. 63 Vgl. „Fragebogen zur Prüfung der Datenschutzorganisation“, den das BayLDA zur Durchführung einer anlasslosen Kontrolle am 19.2.2014 an verschiedene Unternehmen in Bayern versandt hat. 64 Vgl. etwa das Anschreiben zur Aufsichtsbehördlichen Kontrolle nach § 38 BDSG des BayLDA, das das BayLDA an verschiedene Unternehmen zum Zwecke der anlasslosen Kontrolle im Jahre 2013 an verschiedene Unternehmen in Bayern versandt hat.
Behling
16
Kapitel 1 Datenschutz im Unternehmen
II. Allgemeine Compliance-Vorgaben 38 Unter dem Aspekt der allgemeinen Anforderungen an eine hinreichende Compliance-
Organisation sind weitere Maßnahmen umzusetzen.
1. Berichterstattung 39 So muss die Einhaltung der Datenschutz-Compliance etwa überwacht werden. Dies umfasst nicht nur die bereits angesprochenen regelmäßigen Kontrollen und das fortlaufende Monitoring. Vielmehr ist auch eine regelmäßige Unterrichtung der Geschäftsleitung erforderlich, damit diese ihrer Compliance-Verantwortlichkeit nachkommen und bei Fehlentwicklungen Gegenmaßnahmen einleiten kann.65 Wird die Berichterstattung an die Geschäftsleitung bei bloßer Berücksichtigung des BDSG zwar als zweckmäßig, nicht aber verpflichtend angesehen,66 ist sie unter dem Aspekt der allgemeinen Compliance-Verantwortlichkeit als unentbehrlich zu qualifizieren. Die Berichterstattung sollte dabei zweckmäßigerweise durch den Daten40 schutzbeauftragten erfolgen.67 Dieser muss bei seiner Berichterstattung allerdings darauf achten, dass er die Identität von Betroffenen nur offenlegen darf, wenn diese ihn insoweit von der Verschwiegenheit entbunden haben; dasselbe gilt für die Offenlegung von Umständen, die Rückschlüsse auf den Betroffenen zulassen, § 4f Abs. 4 BDSG.68
2. Aufdeckung und Sanktionen
41 Eine hinreichende Compliance-Organisation setzt überdies voraus, dass mögliche
Datenschutzverstöße konsequent aufgeklärt und auch (arbeitsrechtlich) sanktioniert werden.69 Anderenfalls ist dem Unternehmen möglicherweise ein Organisationsverschulden anzulasten, wenn aufgrund fehlender Aufklärung oder Sanktionierung weitere Datenschutzverstöße aus ihm heraus begangen werden. Außerdem ist bei der Festlegung von Bußgeldern auch das sog. Nachtatverhalten zu berücksichtigen,70 weshalb es sich in aller Regel auch unter diesem Aspekt positiv auswirkt, wenn das Unternehmen Datenschutzverstöße aktiv und zielgerichtet aufklärt und künftig zu vermeiden versucht, nachdem es von solchen Kenntnis erlangt hat.
65 Vgl. Hauschka/Lampert, § 9 Rn 34. 66 Vgl. etwa Simitis/Simitis, § 4g Rn 94. 67 Gola/Schomerus, § 4g Rn 9. 68 Vgl. auch Simitis/Simitis, § 4g Rn 96. 69 Vgl. Hauschka/Lampert, § 9 Rn 33. 70 BeckOK OWiG/Bücherl, § 47 Rn 8.
Behling
B. Anforderungen an eine Datenschutzorganisation
17
III. Vorgaben mit Blick auf den aktuellen EU-Parlamentsvorschlag für eine Datenschutz-Grundverordnung (DS-GVO-V)71 Der DS-GVO-V wird im Falle seines Inkrafttretens in organisatorischer Hinsicht vor 42 allem prozessuale Auswirkungen, also Auswirkungen auf die Ablauforganisation haben. Neben strengeren Einwilligungserfordernissen gerade im Zusammenhang mit der Verarbeitung von Daten, die Kinder und Jugendliche betreffen, gilt es in prozessualer Hinsicht vor allem folgende Themen zu berücksichtigen: – „Privacy by design“ und „privacy by default“ (Art. 23 DS-GVO-V), – Datenschutzrisikoanalyse, -folgenabschätzung sowie -Compliance-Review (Art. 32a, 33, 33a DS-GVO-V), – das Recht auf Vergessenwerden (Art. 17 DS-GVO-V) und – das Recht auf Datenübertragbarkeit (Art. 15 Abs. 2a DS-GVO-V).
1. „Privacy by design“ und „privacy by default“ Unter „privacy by design“ ist nach dem DS-GVO-V zu verstehen, dass unter Berück- 43 sichtigung neuester technischer Errungenschaften, des Stands der Technik, bewährter internationaler Verfahren und den von der Datenverarbeitung ausgehenden Risiken sowohl zum Zeitpunkt der Festlegung der Verarbeitungszwecke und -mittel als auch zum Zeitpunkt der Datenverarbeitung selbst geeignete und verhältnismäßige technisch-organisatorische Maßnahmen sowie Verfahren zu implementieren sind, durch die sichergestellt wird, dass die Verarbeitung den Anforderungen der DS-GVO genügt und die Betroffenenrechte gewahrt werden. Im Fokus stehen dabei die in Art. 5 DS-GVO-V festgelegten Grundsätze der 44 Datenverarbeitung, namentlich, dass diese rechtmäßig, fair und transparent zu erfolgen hat, die Grundsätze der Zweckbindung sowie der Datenminimierung, -aktualität und -richtigkeit beachtet werden, die Datenintegrität sowie die Wahrung der Betroffenenrechte sichergestellt sind und jederzeit der Nachweis erbracht werden kann, dass die Vorschriften der DS-GVO eingehalten werden. Letzteres macht deutlich, dass neue Verarbeitungsverfahren streng datenschutzkonform zu entwickeln sind und dies auch jederzeit beweisbar sein muss. Entsprechend ist die gesamte Prozesskette von der Entwicklung bis zur Implementierung und Nutzung eines neuen Verarbeitungsverfahrens im Unternehmen genauestens hinsichtlich der vorgenommenen datenschutzrechtlichen Abwägungen und Festlegungen zu doku-
71 Vgl. Legislative Entschließung des Europäischen Parlaments v. 12.3.2014 zu dem Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (allgemeine Datenschutzverordnung) (KOM(2012) 11 – C7-0025/2012 – 2012/0011(COD)) (Ordentliches Gesetzgebungsverfahren: erste Lesung), P7_TA-PROV(2014)0212, A7-0402/2013.
Behling
18
Kapitel 1 Datenschutz im Unternehmen
mentieren. Damit dürfte es künftig sehr schwierig werden, Datenschutz nur noch über ggf. nicht gelebte Richtlinien o. Ä. umzusetzen. Dies gilt ganz besonders vor dem Hintergrund, dass Art. 23 Abs. 1a DS-GVO-V vorsieht, dass die Implementierung von „privacy by design“ Voraussetzung für die Teilnahme an öffentlichen Ausschreibungen sein soll. Mit „privacy by default“ meint der DS-GVO-V dagegen, dass die eingesetzten 45 Verarbeitungsverfahren – per Voreinstellung – sicherstellen müssen, dass sowohl in zeitlicher als auch in quantitativer Hinsicht nur so viele personenbezogene Daten erhoben, behalten und verbreitet werden, wie dies gemessen am jeweiligen Verarbeitungszweck unbedingt erforderlich ist. Grundsätzlich sollen Verarbeitungsverfahren nach dem DS-GVO-V daher so ausgestaltet sein, dass personenbezogene Daten nicht einer unbestimmten Vielzahl von natürlichen Personen zugänglich gemacht werden und die Betroffenen jederzeit in der Lage sind, die Verarbeitung ihrer Daten zu kontrollieren. Praxistipp Da sich voraussichtlich auch bereits implementierte Verarbeitungsverfahren bei einem Inkrafttreten des DS-GVO-V am Grundsatz von „privacy by design“ messen lassen müssen, sollte dieser – einschließlich der damit verbundenen Dokumentationspflichten – bereits heute beachtet werden. Dies empfiehlt sich auch vor dem Hintergrund, dass die in dem DS-GVO-V zum Nachweis der DatenschutzCompliance vorgesehene Datenschutzzertifizierung, das sog. Europäische Datenschutzsiegel, dann leichter erlangt werden kann.72
2. Datenschutz-Risikoanalyse, -Folgenabschätzung und -Compliance-Review 46 Neue Verarbeitungsverfahren sind nach dem DS-GVO-V zunächst dahingehend zu analysieren, ob spezifische datenschutzrechtliche Risiken bestehen, was vor dem Hintergrund von „privacy by design“ und „privacy by default“ auch nur konsequent ist. Derart spezifische Datenschutzrisiken seien nach dem DS-GVO-V bei folgenden Verarbeitungsvorgängen wahrscheinlich: (a) Verarbeitung von personenbezogenen Daten von mehr als 5.000 Betroffenen innerhalb eines Zeitraums von zwölf aufeinanderfolgenden Monaten; (b) Verarbeitung von besonderen Kategorien personenbezogener Daten (Art. 9 DSGVO-V, wonach mehr Datenarten erfasst sind als im heutigen § 3 Abs. 9 BDSG), Standortdaten, Daten über Kinder oder Arbeitnehmerdaten in groß angelegten Ablagesystemen; (c) Profiling, das als Grundlage für Maßnahmen dient, welche Rechtswirkungen gegenüber der betroffenen Person entfalten oder ähnlich erhebliche Auswirkungen für diese mit sich bringen;
72 Vgl. dazu auch Kap. 13 Rn 11 ff.
Behling
B. Anforderungen an eine Datenschutzorganisation
19
(d) Verarbeitung personenbezogener Daten für die Erbringung von Gesundheitsdiensten, für epidemiologische Studien oder für Erhebungen über Geisteskrankheiten oder ansteckende Krankheiten, wenn die betreffenden Daten in großem Umfang im Hinblick auf Maßnahmen oder Entscheidungen verarbeitet werden, welche sich auf spezifische Einzelpersonen beziehen sollen; (e) automatisierte weiträumige Überwachung öffentlich zugänglicher Bereiche; (f) sonstige Verarbeitungsvorgänge, bei denen gem. Art. 34 Abs. 2 lit. b DS-GVO-V vorab der Datenschutzbeauftragte oder die Aufsichtsbehörde anzuhören ist; (g) Datenverarbeitungen, bei denen die Wahrscheinlichkeit besteht, dass die Verletzung des Schutzes personenbezogener Daten zu negativen Auswirkungen auf den Schutz der personenbezogenen Daten, die Privatsphäre, die Rechte oder die legitimen Interessen der betroffenen Person führt; (h) Datenverarbeitungen, wenn die Kerntätigkeit des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihres Wesens, ihres Umfangs und/ oder ihrer Zwecke eine regelmäßige und systematische Beobachtung von betroffenen Personen erforderlich machen; (i) wenn personenbezogene Daten einer großen Zahl von Personen zugänglich gemacht werden, von der vernünftigerweise nicht erwartet werden kann, dass sie begrenzt wird. Sind solche „Risikoverarbeitungen“ festzustellen, knüpft der DS-GVO-V hieran spe- 47 zifische Handlungspflichten, die die verantwortliche Stelle bzw. der Auftragsdatenverarbeiter umsetzen müssen: – Bei Verarbeitungsvorgängen der Arten (a) und (b) müssen verantwortliche Stellen, die keine Niederlassung in der Europäischen Union („EU“) haben, gemäß den Voraussetzungen des Art. 25 DS-GVO-V einen Vertreter in der EU benennen. – Bei Verarbeitungsvorgängen der Arten (a), (b) oder (h) müssen verantwortliche Stellen gemäß den Voraussetzungen und Ausnahmen in Art. 35 DS-GVO-V einen Datenschutzbeauftragten ernennen. – Bei Verarbeitungsvorgängen der Arten (a), (b), (c), (d), (e), (f), (g) oder (h) müssen verantwortliche Stellen bzw. Auftragsdatenverarbeiter eine Datenschutz-Folgenabschätzung (dazu sogleich) durchführen. – Bei Verarbeitungsvorgängen der Art (f) muss die verantwortliche Stelle den Datenschutzbeauftragten konsultieren oder, falls ein solcher nicht ernannt worden ist, die zuständige Datenschutzaufsicht zu Rate ziehen. Die Risikoanalyse muss mindestens einmal jährlich oder unverzüglich überprüft 48 werden, wenn sich Wesen, der Umfang oder der Zweck der jeweiligen Datenverarbeitungsvorgänge wesentlich ändern. Entsprechende Prozesse sind daher verbindlich zu implementieren.
Behling
20
49
Kapitel 1 Datenschutz im Unternehmen
Ist eine Datenschutz-Folgenabschätzung vorzunehmen, sind die Konsequenzen der fraglichen Verarbeitungsvorgänge für die Rechte und Freiheiten der Betroffenen, insbesondere für das Recht auf Schutz ihrer personenbezogenen Daten, zu prüfen. Diese Prüfung soll sich auf das gesamte Lebenszyklusmanagement personenbezogener Daten, d. h. von der Erhebung über die Verarbeitung bis zur Löschung, beziehen und mindestens Folgendes umfassen: – eine systematische Beschreibung der geplanten Verarbeitungsvorgänge, die Verarbeitungszwecke und ggf. die von der verantwortlichen Stelle verfolgten berechtigten Interessen; – eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck; – eine Bewertung der in Bezug auf die Rechte und Freiheiten der betroffenen Personen bestehenden Risiken, einschließlich des Diskriminierungsrisikos, das mit dem Vorgang verbunden ist oder durch diesen erhöht wird; – eine Beschreibung der geplanten Abhilfemaßnahmen und Maßnahmen zur Minimierung der Menge der verarbeiteten personenbezogenen Daten; – eine Aufstellung der Garantien, Sicherheitsvorkehrungen und Verfahren – wie die Pseudonymisierung –, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht werden soll, dass die Bestimmungen der DS-GVO eingehalten werden, wobei den Rechten und den berechtigten Interessen der von der Datenverarbeitung betroffenen Personen und sonstiger Betroffener Rechnung getragen wird; – eine allgemeine Angabe der Löschfristen für die verschiedenen Datenkategorien; – eine Erklärung zu den Maßnahmen, die bezüglich „privacy by design“ und „privacy by default“ umgesetzt wurden; – eine Aufstellung der Empfänger oder Kategorien von Empfänger der verschiedenen Datenkategorien; – ggf. eine Liste mit Angaben über geplante Datenübermittlungen in Drittländer oder an internationale Organisationen, einschließlich deren Namen, sowie in bestimmten Fällen Belege dafür, dass geeignete Sicherheitsgarantien vorgesehen wurden; – eine Bewertung des Zusammenhangs der Datenverarbeitung.
50 Sofern ein Datenschutzbeauftragter bestellt ist, ist er bei der Datenschutz-Folgenab-
schätzung einzubeziehen. Die gesamte Datenschutz-Folgenabschätzung ist zu dokumentieren, wobei auch ein Plan für regelmäßige Überprüfungen der Einhaltung der Datenschutzbestimmungen im Rahmen sog. Datenschutz-Compliance-Reviews gem. Art. 33a Abs. 1 DS-GVO-V festzulegen ist. Ergibt ein Datenschutz-ComplianceReview mögliche Unstimmigkeiten bezüglich der Erfüllung der datenschutzrechtlichen Anforderungen, ist die Datenschutzfolgenabschätzung unverzüglich zu aktualisieren. Auf Verlangen ist die Datenschutzfolgenabschätzung der zuständigen Datenschutzaufsicht verfügbar zu machen. Behling
B. Anforderungen an eine Datenschutzorganisation
21
Nach der Durchführung der Datenschutzfolgenabschätzung ist spätestens 51 nach zwei Jahren die Einhaltung der Datenschutzbestimmungen durch die verantwortliche Stelle bzw. den für sie handelnden Auftragsdatenverarbeiter im Rahmen eines Datenschutz-Compliance-Reviews zu überprüfen. Dabei korrespondiert der zweijährige Prüfungsrhythmus mit dem Prüfungsrhythmus, der in dem Referentenentwurf für ein IT-Sicherheitsgesetz vom 18.8.201473 (im Folgenden „IT-Sich-G-E“) auch bezüglich Schutzmaßnahmen für sog. „Kritische Infrastrukturen“ vorgesehen ist. Betreiber kritischer Infrastrukturen sollten, wenn sie sich auf den DS-GVO-V vorbereiten, die prozessualen Implikationen des IT-Sich-G-E zweckmäßigerweise mit berücksichtigen, da sich dann Synergien nutzen lassen dürften. Hinsichtlich der Einzelheiten soll insoweit auf Kap. 1474 verwiesen werden. Sofern ein DatenschutzCompliance-Review Unstimmigkeiten bezüglich der Einhaltung der Datenschutzbestimmungen aufzeigen sollte, soll dieser auch Empfehlungen enthalten, wie eine vollständige Einhaltung der datenschutzrechtlichen Anforderungen erreicht werden kann. Ändert sich die spezifische Risikolage der infrage stehenden Verarbeitungsvorgänge, ist der Compliance-Review unverzüglich durchzuführen, ansonsten genügt ein zweijähriger Prüfungszyklus. Die Durchführung der Reviews ist wiederum zu dokumentieren und auf Verlangen der zuständigen Datenschutzaufsicht verfügbar zu machen. Auch bei der Durchführung der Datenschutz-Compliance-Reviews ist der Datenschutzbeauftragte zu beteiligen. Praxistipp Bereits heute stellen Datenschutzrisikoanalyse, -folgenabschätzung und Compliance-Review gute Maßnahmen dar, um auf eine hinreichende Datenschutz-Compliance im Unternehmen hinzuwirken. So basieren auch diese Maßnahmen auf dem Ansatz der ständigen Kontrolle und Verbesserung und entsprechen damit auch heute schon gängigen Good-Practice-Ansätzen für das Datenschutz- und Compliance-Management. Wird eine Datenschutzorganisation neu aufgesetzt, ist deshalb zu empfehlen, diese Maßnahmen zu implementieren. Dies hat überdies den Vorteil, bereits bestmöglich auf die DS-GVO vorbereitet zu sein. Betreiber kritischer Infrastrukturen i. S. d. IT-Sich-G-E sollten wegen möglicher Synergien die prozessualen Anforderungen des IT-Sich-G-E zumindest berücksichtigen, um so frühzeitig größtmögliche Synergien nutzen zu können.
3. Recht auf Vergessenwerden Das im Kommissionsentwurf noch ausdrücklich so benannte „Recht auf Verges- 52 senwerden“ ist mit dem DS-GVO-V in ein Recht auf Löschung umgestaltet und im
73 (Referenten-)Entwurf eines Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme des Bundesministeriums des Inneren v. 18.8.2014, abrufbar unter http://www.bmi.bund.de/ SharedDocs/Downloads/DE/Gesetzestexte/Entwuerfe/Entwurf_IT-Sicherheitsgesetz.pdf;jsessionid= 0C5430C6663A97AB6339A560B969F4CC.2_cid295?__blob=publicationFile. 74 Dort Rn 11 ff.
Behling
22
Kapitel 1 Datenschutz im Unternehmen
Vergleich zur Vorfassung damit deutlich abgeschwächt worden, Art. 17 DS-GVO-V. War ursprünglich noch vorgesehen, dass eine verantwortliche Stelle, die personenbezogene Daten erstmals erhoben hat und dann zu löschen verpflichtet ist, stets alles unternehmen muss, dass auch Dritte diese Daten löschen müssen, falls die ersterhebende Stelle die fraglichen Daten öffentlich gemacht hat, wurde diese Verpflichtung stark eingeschränkt. So soll die ersterhebende Stelle nunmehr nur noch dann verpflichtet sein, bei Bestehen eigener Löschpflichten auch auf die Löschung bei Dritten – im Rahmen des Zumutbaren – hinzuwirken, wenn die ersterhebende Stelle die fraglichen Daten einst ohne Erlaubnistatbestand (Erlaubnisnorm oder Einwilligung) öffentlich gemacht hat. Sind personenbezogene Daten auch an Dritte gelangt, soll dem Betroffenen im 53 Falle bestehender Löschpflichten der ersterhebenden Stelle grundsätzlich nur noch die Möglichkeit verbleiben, die Löschung auch von den Dritten zu verlangen. Dies ist in der jetzigen Fassung von Art. 17 Abs. 1 DS-GVO-V nunmehr ausdrücklich vorgesehen, dürfte für die meisten Betroffenen allerdings schon wegen der in der Regel festzustellenden Betroffenheit der verschiedenen Rechtsordnungen kaum umsetzbar sein. So erscheint es wenig wahrscheinlich, dass ein Betroffener, über den etwa Informationen im Internet veröffentlicht worden sind, bei einer Vielzahl von weltweit verteilten Website-Anbietern und Suchmaschinenbetreibern erfolgreich Löschansprüche nach europäischem Datenschutzrecht durchsetzen kann. Darüber hinaus wird ihm häufig auch nicht umfänglich klar sein, an welche Empfänger seine Daten überhaupt in Folge einer Veröffentlichung oder sonstigen Weitergabe gegangen sind. Damit wird das einst vorgesehene Recht auf Vergessenwerden faktisch abgeschwächt. Ganz obsolet scheint dieses Recht damit allerdings noch nicht zu sein. So hat der 54 EuGH mit seinem Urteil vom 14.5.201475 ein Recht auf Nichtauffindbarkeit bezogen auf Suchmaschinen geschaffen. Mit diesem Urteil verpflichtete der EuGH Google Inc. als Suchmaschinenbetrei55 berin, alles Erforderliche umzusetzen, um bei einer Suche mit dem Namen einer bestimmten Person alle Links aus der Ergebnisliste auf bestimmte Internetseiten, auf denen Informationen über diese Person durch einen Dritten veröffentlicht worden sind, zu entfernen und den Zugang zu ihnen in Zukunft zu verhindern.76 Dies gelte auch dann, wenn es sich um wahrheitsgemäße Informationen handelt.77 Denn nicht allein die sachliche Unrichtigkeit von personenbezogenen Daten stelle nach Auffassung des EuGH78 eine Unvereinbarkeit mit der Europäischen Datenschutzrichtlinie (Richtlinie 95/46/EG) dar, sondern eine solche sei u. a. auch dann festzustellen, wenn die infrage stehenden Daten nicht mehr „den Zwecken der Verarbeitung ent-
75 C-131/12, abrufbar unter http://curia.europa.eu/juris/. 76 Jandt, MMR-Aktuell 2014, 358242. 77 Vgl. EuGH, Urt. v. 14.5.2014 – C-131/12 – Abs. 92, abrufbar unter http://curia.europa.eu/juris/. 78 Urt. v. 14.5.2014 – C-131/12 – Abs. 94, abrufbar unter http://curia.europa.eu/juris/.
Behling
B. Anforderungen an eine Datenschutzorganisation
23
sprechen, dafür nicht erheblich sind oder darüber hinausgehen, nicht auf den neuesten Stand gebracht sind oder länger als erforderlich aufbewahrt werden, es sei denn, ihre Aufbewahrung ist für historische, statistische oder wissenschaftliche Zwecke erforderlich.“ Aus den Anforderungen der Europäischen Datenschutzrichtlinie, so der EuGH79 56 weiter, ergebe sich, „dass auch eine ursprünglich rechtmäßige Verarbeitung sachlich richtiger Daten im Laufe der Zeit nicht mehr den Bestimmungen der Richtlinie entsprechen kann, wenn die Daten für die Zwecke, für die sie erhoben oder verarbeitet worden sind, nicht mehr erforderlich sind. Das ist insbesondere der Fall, wenn sie diesen Zwecken in Anbetracht der verstrichenen Zeit nicht entsprechen, dafür nicht oder nicht mehr erheblich sind oder darüber hinausgehen. Wird somit […] festgestellt, dass die Einbeziehung von Links zu von Dritten rechtmäßig veröffentlichten Internetseiten, die wahrheitsgemäße Informationen zu ihrer Person enthalten, in die Ergebnisliste, die im Anschluss an eine anhand ihres Namens durchgeführte Suche angezeigt wird, zum gegenwärtigen Zeitpunkt nicht mit Art. 6 Abs. 1 Buchst. c bis e der [Europäischen Datenschutz-] Richtlinie vereinbar ist, weil sich herausstellt, dass die Informationen in Anbetracht aller Umstände des Einzelfalls den Zwecken der in Rede stehenden Verarbeitung durch den Suchmaschinenbetreiber nicht entsprechen, dafür nicht oder nicht mehr erheblich sind oder darüber hinausgehen, müssen die betreffenden Informationen und Links der Ergebnisliste gelöscht werden.“
Streng genommen betont diese Entscheidung des EuGH daher nicht ein Recht auf 57 Vergessenwerden im Sinne des einstigen DS-GVO-E.80 Vielmehr wird hierdurch vor allem die heute aus § 35 Abs. 2 S. 1 Nr. 3 BDSG folgende Löschverpflichtung hervorgehoben, die grundsätzlich besteht, wenn der ursprüngliche Erhebungszweck von personenbezogenen Daten weggefallen ist. Entsprechend gilt es, diese Löschverpflichtung auch vor dem Hintergrund des erläuterten EuGH-Urteils ernst zu nehmen und umzusetzen.
4. Recht auf Datenübertragbarkeit Hat ein Betroffener personenbezogene Daten zur Verfügung gestellt und werden diese 58 sodann, z. B. in einem sozialen Netzwerk, elektronisch verarbeitet, kann der Betroffene verlangen, dass ihm eine Kopie dieser Daten in einem interoperablen gängigen elektronischen Format und in einer Weise zur Verfügung gestellt wird, dass er seine Daten ohne Behinderung weiterverwenden kann. Soweit dies technisch machbar und verfügbar ist, kann der Betroffene auch verlangen, dass seine Daten direkt an eine andere verantwortliche Stelle, z. B. ein anderes soziales Netzwerk, übertragen werden.
79 Urt. v. 14.5.2014 – C-131/12 – Abs. 93 f., abrufbar unter http://curia.europa.eu/juris/. 80 Vgl. Jandt, MMR-Aktuell 2014, 358242.
Behling
24
59
Kapitel 1 Datenschutz im Unternehmen
Dieser unter dem Begriff des Rechts auf Datenübertragbarkeit zusammengefasste Anspruch ist, wie auch die Beispiele zeigen, vor allem im Kontext sozialer Netzwerke zu sehen. Streng genommen kann dieser aber auch an jeder anderen Stelle greifen, wo Betroffene ihre personenbezogenen Daten in elektronische Datenverarbeitungssysteme übertragen. Dies gilt es gerade im Unternehmensumfeld zu beachten, wenn Beschäftigte die betreffenden Angaben in die unternehmenseigenen Systeme einpflegen (z. B. Zeiterfassung, Urlaubstage etc.). Hier wird sich künftig die Frage stellen, ob auch solche Daten dem Beschäftigten oder einem künftigen Arbeitgeber in einem lesbaren Format zur Verfügung zu stellen sind, wenn der Beschäftigte dies verlangt. Praxistipp Vor dem Hintergrund des geplanten Rechts auf Datenübertragbarkeit sollte bei der Implementierung neuer Verarbeitungssysteme stets darauf geachtet werden, dass diese über eine Exportfunktion bezüglich solcher personenbezogenen Daten verfügen, die von Betroffenen (z. B. Kunden, Beschäftigten, Geschäftspartnern oder Lieferanten) ihre eigene Person betreffend dort eingegeben werden können. Hierbei ist darauf zu achten, dass das Format der Ausgabedatei interoperabel und gängig sein muss.
C. Sanktionen 60 Darauf, dass mit einem Inkrafttreten der DS-GVO erheblich schärfere Sanktionen
drohen, als dies derzeit der Fall ist, wenn die datenschutzrechtlichen Anforderungen nicht erfüllt werden, wurde bereits ausgiebig hingewiesen.81 Wie ausgeführt sind in dem DS-GVO-V Bußgelder von bis zu 100 Mio. € bzw. 5 % des weltweiten Jahresumsatzes vorgesehen. Sollte dieser Bußgeldrahmen tatsächlich Gesetz werden, können datenschutzrechtliche Verstöße selbst für große Unternehmen künftig existenzgefährdende Auswirkungen haben. Spätestens dann ist der Datenschutz für jedes Unternehmen auch in wirtschaftlicher Hinsicht als wesentliche Compliance-Anforderung zu qualifizieren.
I. Behördliche Sanktionspraxis 61 Aber auch unter Berücksichtigung des Status quo stellen Datenschutzverstöße längst
keine Bagatelldelikte mehr dar. Auch wenn kein Bußgeldkatalog existiert, verstand etwa der Berliner Datenschutzbeauftragte das Bußgeldverfahren bereits im Jahre 2009 als „ein Instrument zum Schutz der informationellen Selbstbestimmung“, das zukünftig
81 Vgl. oben Rn 3.
Behling
C. Sanktionen
25
stärker seitens dieser Aufsichtsbehörde genutzt werde.82 Dies macht das unglückliche Spannungsfeld zwischen Beratungsfunktion der Aufsichtsbehörden einerseits und Bußgeldstelle andererseits leider sehr deutlich. Belegt wird dies exemplarisch durch den 24. Tätigkeitsbericht des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit für die Jahre 2012/13.83 Auch wenn hierin betont wird, dass im Vordergrund der aufsichtsbehördlichen Tätigkeit nicht die Verhängung von Bußgeldern stehe, wird sodann offengelegt, dass solche im Berichtszeitraum gleichwohl bis zu einer Höhe von 145.000 € festgesetzt worden seien.84 Hierdurch wird deutlich, dass der mögliche Bußgeldrahmen von derzeit bis 62 zu 300.000 € zwar nicht unbedingt immer ausgeschöpft wird, aber doch durchaus erhebliche Nachteile drohen, wenn die datenschutzrechtlichen Anforderungen nicht erfüllt werden. Dabei sind nicht immer nur Geldbußen möglich. So legt der Hamburgische Datenschutzbeauftragte in seinem o. g. Tätigkeitsbericht offen, dass auch Anordnungen nach § 38 Abs. 5 BDSG getroffen worden seien.85 Dies bedeutet, dass Maßnahmen zur Beseitigung festgestellter Verstöße bei der Datenverwendung oder technisch-organisatorischer Mängel angeordnet worden sind. Wurden schwerwiegende Verstöße oder Mängel festgestellt, die trotz Festsetzung eines Zwangsgeldes nicht abgestellt worden sind, könnte auch die Untersagung von Verarbeitungsverfahren angeordnet worden sein.
II. Sanktionsrahmen im Einzelnen und sonstige Konsequenzen Bei Verstößen gegen die datenschutzrechtlichen Pflichten eines Unternehmens 63 drohen allerdings nicht nur Bußgelder nach dem BDSG. Vielmehr sind auch die möglichen Konsequenzen des Wettbewerbs- und Verbraucherrechts sowie des Zivilrechts zu berücksichtigen. Sogar Freiheitsstrafen sind ggf. möglich. Im Einzelnen:
1. Zivilrechtliche Haftung Laut § 7 S. 1 BDSG sind die Unternehmen gegenüber den Betroffenen zum Ersatz 64 des Schadens verpflichtet, der diesen aufgrund einer unzulässigen oder unrichtigen Erhebung, Verarbeitung oder Nutzung ihrer personenbezogenen Daten entsteht. Immaterielle Schäden sind gestützt auf diese Vorschrift nicht ersatzfähig.86 Solche
82 Vgl. Nachweise bei Simitis/Ehmann, § 43 Rn 89. 83 Abrufbar unter https://www.datenschutz-hamburg.de. 84 HmbBfDI, 24. Tätigkeitsbericht 2012/13, S. 249, abrufbar unter https://www.datenschutz-hamburg. de/uploads/media/24._Taetigkeitsbericht_Datenschutz_2012 – 2013.pdf. 85 HmbBfDI, 24. Tätigkeitsbericht 2012/13, S. 250, abrufbar unter https://www.datenschutz-hamburg. de/uploads/media/24._Taetigkeitsbericht_Datenschutz_2012 – 2013.pdf. 86 Simitis/Simitis, § 7 Rn 32; Gola/Schomerus, § 7 Rn 19.
Ringel
26
Kapitel 1 Datenschutz im Unternehmen
Schäden können aber etwa gem. § 823 Abs. 1 BGB i. V. m. der Verletzung des allgemeinen Persönlichkeitsrechts aus Art. 1 Abs. 1, Art. 2 Abs. 1 GG zu ersetzen sein. Dies gilt ausdrücklich nicht nur für Verstöße gegen die Bestimmungen des BDSG, 65 sondern auch für Verstöße gegen andere Vorschriften über den Datenschutz. Erfasst wird der gesamte Bereich des materiellen Datenschutzrechts einschließlich der datenschutzrechtlichen Bestimmungen des Telekommunikationsgesetzes (TKG) und des Telemediengesetzes (TMG).87
2. Straf- bzw. ordnungswidrigkeitsrechtliche Haftung
66 In der Praxis weitaus bedeutsamer als die zivilrechtlichen Haftungsrisiken sind die im
Straf- und Ordnungswidrigkeitsrecht geregelten Sanktionen. Diese können nicht nur die rechtswidrig handelnden Personen, sondern auch das Unternehmen als solches treffen. Werden personenbezogene Daten entgegen den Bestimmungen des BDSG etwa 67 für werbliche Zwecke verwendet und/oder die zu beachtenden Unterrichtungspflichten nicht hinreichend erfüllt, kann dies gem. § 43 Abs. 1 Nr. 3, 3a, 4, Abs. 2 Nr. 1, 5a und 5b BDSG ordnungswidrig sein. Diese Ordnungswidrigkeiten können gem. § 43 Abs. 3 BDSG im Falle von Verstößen gegen eine der in § 43 Abs. 1 genannten Bestimmungen mit einer Geldbuße in Höhe von bis zu 50.000 € und im Falle eines Verstoßes gegen eine der in § 43 Abs. 2 BDSG genannten Bestimmungen mit einer Geldbuße in Höhe von bis zu 300.000 € bestraft werden. Mit den Geldbußen sollen die wirtschaftlichen Vorteile, die aus den Verstößen erlangt wurden, abgeschöpft werden. Reichen die genannten Beträge hierzu nicht aus, sollen sie gem. § 34 Abs. 3 S. 3 BDSG auch überschritten werden können. Wird gegen die in § 43 Abs. 2 BDSG genannten Vorschriften gegen Entgelt oder in 68 der Absicht verstoßen, sich oder einen anderen zu bereichern oder einen anderen zu schädigen, liegt gem. § 44 Abs. 1 BDSG eine Straftat vor, die mit einer Geldstrafe oder einer Freiheitsstrafe von bis zu zwei Jahren bestraft werden kann. Laut § 44 Abs. 2 BDSG wird eine solche Straftat nur auf Antrag verfolgt, wobei antragsberechtigt der Betroffene selbst, aber auch die verantwortliche Stelle oder die Datenschutzaufsichtsbehörden sind. Ob die §§ 43, 44 BDSG auch auf Verstöße gegen die bereichsspezifischen Daten69 schutzbestimmungen des TMG und des TKG Anwendung finden, die ihrerseits gerade im Online-Kontext zu beachten sind, ist streitig. Unter Hinweis darauf, dass das BDSG gem. § 1 Abs. 4 S. 1 nur soweit subsidiär ist, wie die bereichsspezifischen Regelungen reichen, hält die wohl überwiegende Auffassung im Schrifttum die §§ 43, 44 BDSG im Anwendungsbereich des TMG und TKG zumindest in den Fällen für
87 Plath/Becker, § 7 Rn 7.
Ringel
C. Sanktionen
27
anwendbar, in denen diese Gesetze keine Sanktionen vorsehen.88 Hinsichtlich des verfassungsrechtlichen Bestimmtheitsgebotes des Art. 103 Abs. 2 GG können Bedenken gegen eine solche Ausweitung der Sanktionsnormen des BDSG nicht gänzlich abgestritten werden. Für den Praktiker verbleibt es bis zu einer höchstrichterlichen Klärung bei dem Risiko, dass die zuständigen Behörden und Gerichte einen Verstoß gegen das Bestimmtheitsgebot mit der Begründung ablehnen, dass sich die Anwendbarkeit der §§ 43, 44 BDSG durch Auslegung ermitteln lässt und damit hinreichend vorhersehbar ist.89 Aus Sicht der Unternehmen sind zudem die Sanktionsmöglichkeiten der §§ 30, 130 70 OWiG von Bedeutung. Laut § 30 OWiG kann gegen ein Unternehmen eine Geldbuße verhängt werden, wenn deren vertretungsberechtigte Organe bzw. deren Mitglieder oder sonstige Leitungspersonen eine Straftat oder Ordnungswidrigkeit (Anknüpfungstat) begangen haben, durch die entweder Pflichten des Unternehmens verletzt wurden oder die zu dessen Bereicherung geführt haben oder führen sollten.90 Eine in der Praxis relevante Anknüpfungstat ist die Verletzung der in § 130 OWiG näher bestimmten Aufsichtspflicht.91 Tathandlung dieses Auffangtatbestands92 ist insoweit das Unterlassen der Aufsichtsmaßnahmen, die erforderlich sind, um im Unternehmen Zuwiderhandlungen gegen Pflichten – hier des Datenschutzrechts – zu verhindern. Diese Aufsichtspflicht trifft den Inhaber und über § 9 OWiG auch die Organe, Vertreter und Beauftragte des Unternehmens, mithin auch die Geschäftsleitung. Eine Verletzung dieser Pflicht kann auch mit einer gegen die Geschäftsleitung selbstverhängten Strafe oder Geldbuße geahndet werden. Zweck des § 130 OWiG ist es, dass ein Unternehmensträger für das Fehlverhalten seiner Mitarbeiter verantwortlich bleibt, wenn er durch Arbeitsteilung und Organisation seine Aufgaben und Pflichten auf diese überträgt.93 Zu den relevanten Aufsichtsmaßnahmen gehört auch eine sachgerechte Organisation der Arbeitsabläufe und Aufgabenverteilung sowie eine angemessene Aufklärung der Mitarbeiter über Pflichten und Aufgaben sowie eine ausreichende Überwachung.94 Dies gilt uneingeschränkt auch mit Blick auf die Pflicht eines Unternehmens zur Einhaltung des Datenschutzes. Denn dieses ist als verantwortliche Stelle Adressat der datenschutzrechtlichen Vorgaben.95
88 So Simitis/Ehmann, § 43 Rn 19; Gola/Schomerus, § 43 Rn 18; BeckOK DatenSR/Holländer, § 43 Rn 4; a. A. dagegen Plath/Becker, § 43 Rn 2. 89 Dazu, dass eine Strafbarkeit trotz Analogieverbots im Wege einer Auslegung verfassungsgemäß sein kann, BVerfG, Beschl. v. 12.12.2000 – 2 BvR 1290/99 – NJW 2001, 1848, 1849 f. 90 Eingehend dazu Corell/von Saucken, wistra 2013, 297 ff. 91 Göhler/Gürtler, § 30 Rn 17 m. w. N. 92 Dazu Göhler/Gürtler, § 130 Rn 25 f. 93 Böttger/Tsambikakis/Kretschmer, Kap. 14 Rn 41. 94 Corell/von Saucken, wistra 2013, 297. 95 Vgl. dazu auch Plath/Becker, § 43 Rn 6.
Ringel
28
Kapitel 1 Datenschutz im Unternehmen
Die möglichen Geldbußen können empfindlich hoch ausfallen.96 Laut §§ 30 Abs. 3, 17 Abs. 4 S. 1 OWiG sollen sie den wirtschaftlichen Vorteil, den das Unternehmen aus der Ordnungswidrigkeit erlangt hat, übersteigen. Reichen hierzu die gesetzlich bestimmten Höchstbeträge nicht aus, können sie gem. § 17 Abs. 4 S. 2 OWiG überschritten werden. Die Abschöpfung der wirtschaftlichen Vorteile ist Zweck der in § 30 OWiG geregelten Unternehmensgeldbuße.97 Diese kann gem. § 30 Abs. 4 OWiG selbstständig, also auch dann, wenn gegen die Leitungspersonen ein Verfahren nicht eingeleitet oder eingestellt wird, festgesetzt werden. Notwendig, aber auch ausreichend ist die Feststellung, dass eine Leitungsperson die Zuwiderhandlung schuldhaft begangen hat. Wer von mehreren Leitungspersonen vorwerfbar gehandelt hat, muss hingegen nicht abschließend geklärt sein.98 Hohe Geldbußen oder Strafzahlungen bergen für die Mitglieder der Geschäfts72 leitung des betreffenden Unternehmens schließlich auch das Risiko einer Strafbarkeit wegen Untreue gem. § 266 StGB in sich. Zivilrechtliche Ersatzansprüche des Unternehmens wegen Sorgfaltspflichtverletzungen stellen grundsätzlich keinen Vermögensvorteil dar, der einen mit den Zahlungen einhergehenden Vermögensnachteil kompensieren könnte.99 Zahlungen als Gegenleistung für Dienstleistungen, die das unbefugte Verarbeiten personenbezogener Daten zum Gegenstand haben, können nach dem BGH ebenfalls eine strafbare Untreue begründen.100 Auf solche Dienstleistungen gerichtete Verträge seien gem. § 134 BGB nichtig mit der Konsequenz, dass hierauf entfallende Vergütungen rechtsgrundlos geleistet würden.101 Der mit der Zahlung verbundene Vermögensnachteil könne nicht durch das Erlöschen einer nichtigen Forderung ausgeglichen werden.102 Weil die Strafbarkeit nicht aus dem Primärverstoß, sondern aus der rechtsgrundlosen Zahlung folge, komme es auch nicht darauf an, ob sich der Primärverstoß gegen eine vermögensschützende Vorschrift gerichtet habe.103 71
96 Siehe dazu §§ 30 Abs. 2, 130 Abs. 3 OWiG. 97 Böttger/Tsambikakis/Kretschmer, Kap. 14 Rn 48. 98 Göhler/Gürtler, § 30 Rn 40 m. w. N. 99 MüKo-StGB/Dierlamm, § 266 Rn 209. 100 BGH, Urt. v. 10.10.2012 – 2 StR 591/11 – NStZ 2013, 165, 166. 101 Auch einen bereicherungsrechtlichen Anspruch lehnte das Gericht ab. BGH, Urt. v. 10.10.2012 – 2 StR 591/11 – NStZ 2013, 165, 166. 102 BGH, Urt. v. 10.10.2012 – 2 StR 591/11 – NStZ 2013, 165, 166. 103 BGH, Urt. v. 10.10.2012 – 2 StR 591/11 – NStZ 2013, 165, 166; kritisch zu den Überlegungen des BGH hinsichtlich der fehlenden Kompensation durch die erlangte Gegenleistung Cornelius, NZWiSt 2013, 166 ff.
Ringel
C. Sanktionen
29
3. Wettbewerbsrecht und Verbraucherschutz Verstöße gegen die Bestimmungen des Datenschutzrechts gewinnen zunehmend 73 eine wettbewerbsrechtliche Relevanz. Die obergerichtliche Rechtsprechung geht verstärkt dazu über, die Bestimmungen des BDSG oder des bereichsspezifischen Datenschutzes insbesondere im werblichen Kontext als Marktverhaltensnormen i. S. d. § 4 Nr. 11 UWG bzw. als verbraucherschützende Normen i. S. d. § 2 Abs. 1 UKlaG104 zu werten oder Datenschutzverstöße sonst als wettbewerbsrelevant einzustufen. So entschied beispielsweise das OLG Naumburg bereits im Jahre 2003, dass ein Verstoß gegen §§ 28, 35 BDSG auch einen Verstoß gegen § 1 UWG begründe.105 Das OLG Stuttgart wertete im Falle einer Weitergabe von Daten für Werbezwecke § 28 BDSG als Marktverhaltensnorm i. S. d. § 4 Nr. 11 UWG.106 Ihm folgten das OLG Köln mit Blick auf §§ 4, 28 BDSG107 und das OLG Karlsruhe.108 Das OLG Hamburg setzte diese Linie für einen Verstoß gegen die Unterrichtungspflichten des § 13 TMG fort.109 Ablehnend stehen dem bisher nur das OLG Frankfurt a. M.110 und das OLG München111 gegenüber. Jüngst wertete das LG Frankfurt a. M. die bereichsspezifische Datenschutzvorschrift des § 15 Abs. 3 TMG als marktverhaltensregelnde Vorschrift i. S. d. § 4 Nr. 11 UWG.112 Eine höchstrichterliche Klärung dieser Frage steht noch aus. Im Schrifttum wird die Anwendung des Wettbewerbsrechts neben dem Datenschutzrecht teilweise befürwortet,113 teilweise trifft sie auf Ablehnung.114 Für beide Sichtweisen werden gute Argumente vorgetragen. Erwartet wird, dass sich der BGH, so er denn dazu die Gelegenheit erhält, für eine Anwendbarkeit des Wettbewerbs-
104 Gesetz über Unterlassungsklagen bei Verbraucherrechts- und anderen Verstößen v. 27.8.2002, BGBl. I 2002, 4346; dies ist für Vereinbarungen relevant, die auch ohne AGB zu seien, gegen datenschutzrechtliche Bestimmungen verstoßen. 105 OLG Naumburg, Urt. v. 10.10.2003 – 1 U 17/03 – NJW 2003, 3566 für den Rückruf auf eine Adressliste, deren Herkunft nicht geklärt werden konnte. Der BGH hat diese Entscheidung zwar aufgehoben. Allerdings stellte er nur darauf ab, dass den Klägern prozessual etwas zugestanden worden sei, was sie nicht beantragt hätten. Mit den wettbewerbsrechtlichen Folgen eines Datenschutzverstoßes hat er sich folglich nicht auseinandersetzen müssen; BGH, Urt. v. 29.6.2006 – I ZR 235/03 – GRUR 2006, 960. 106 OLG Stuttgart, Urt. v. 22.2.2007 – 2 U 132/06 – GRUR-RR 2007, 330. 107 OLG Köln, Urt. v. 14.8.2009 – 6 U 70/09 – GRUR-RR 2010, 34; OLG Köln, Urt. v. 19.11.2010 – 6 U 73/10 – CR 2011, 680. 108 OLG Karlsruhe, Urt. v. 9.5.2012 – 6 U 38/11 – ZD 2012, 432. 109 OLG Hamburg, Urt. v. 27.6.2013 – 3 U 26/12 – ZD 2013, 511. 110 OLG Frankfurt a. M., Urt. v. 30.6.2005 – 6 U 168/04 – MMR 2005, 696; zur Ablehnung von § 4 BDSG als verbraucherschützende Norm i. S. d. § 2 Abs. 1 UKlaG. 111 OLG München, Urt. v. 12.1.2012 – 29 U 3929/11 – ZD 2012, 330, zur Ablehnung der §§ 4, 28 Abs. 1, Abs. 3, § 35 Abs. 2, Abs. 3 als Marktverhaltensnormen i. S. d. § 4 Nr. 11 UWG. 112 LG Frankfurt a. M., Urt. v. 18.2.2014 – 3-10 O 86/12 – CR 2014, 266, 268 f. 113 Linsenbarth/Schiller, WRP 2013, 576, 580; im Ergebnis wohl auch Schröder, ZD-Aktuell 2012, 03110. 114 Zech, WRP 2013, 1434; für § 13 TMG Plath/Hullen/Roggenkamp, § 13 Rn 12 m. w. N.
Ringel
30
Kapitel 1 Datenschutz im Unternehmen
rechts bei Verstößen gegen das Datenschutzrecht aussprechen wird.115 In diese Richtung zeigt auch der vom Bundesministerium der Justiz und für Verbraucherschutz im Juni 2014 vorgestellte (Referenten-) „Entwurf eines Gesetzes zur Verbesserung der zivilrechtlichen Durchsetzung von verbraucherschützenden Vorschriften des Datenschutzrechts“,116 wonach in § 2 Abs. 2 des Unterlassungsklagegesetzes (UKlaG) eine Nummer 11 angefügt werden soll, die regelt, dass es sich bei „Vorschriften, die für die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten eines Verbrauchers durch einen Unternehmer gelten“, um Verbraucherschutzgesetze handelt; nach der Entwurfsbegründung könnten solche Vorschriften als Marktverhaltensvorschriften zu qualifizieren sein und in den Anwendungsbereich des § 4 Nr. 11 UWG fallen, wobei zur Begründung auf die zuvor erläuterte Rechtsprechung verwiesen wird.117 Die Praxis wird sich daher darauf einzustellen haben, dass neben Aufsichtsbe74 hörden auch Verbraucherschutzverbände und Wettbewerber versuchen werden, gegen datenschutzrechtliche Verstöße etwa im Wege der Abmahnung vorzugehen. Hinzu tritt das bereits erläuterte Risiko nicht unerheblicher Bußgelder. Aus Sicht des einzelnen Unternehmens ist diese Gefahr häufig als weitaus bedeutsamer einzuschätzen als das Risiko der Beschwerden einzelner Betroffener, etwa Kunden. Praxistipp Dies zeigt, dass ein hinreichendes Datenschutzmanagement bereits heute im wesentlichen Eigeninteresse eines jeden Unternehmens und seiner Geschäftsleitung liegen sollte. Entsprechend empfiehlt es sich, dem Datenschutz die notwendige Bedeutung beizumessen. Vor diesem Hintergrund ist gerade größeren Unternehmen zu empfehlen, dem Datenschutz eine Stabstellenfunktion zuzuweisen.118
115 Zech, WRP 2013, 1434. 116 Abrufbar unter http://www.brak.de/w/files/newsletter_archiv/berlin/2014/238anlage.pdf. 117 Vgl. S. 10 des Referentenentwurfs sowie Kap. 14 Rn 9 ff. 118 Bergmann/Möhrle/Herb, § 4f Rn 116; Schaffland/Wiltfang, § 4f Rn 29.
Ringel
Kapitel 2 Grundlagen des Datenschutzes im Unternehmen A. Zur Ausgangslage Datenschutzrecht ist ein relativ „modernes“ Rechtsgebiet. Allein schon der Begriff 1 ist verhältnismäßig neu – in Lexika aus dem Anfang der 1970er Jahre fand sich das Wort noch nicht. Andererseits ist die Zielrichtung datenschutzrechtlicher Regelungen keineswegs neu. Dass – jedenfalls bei bestimmten Lebenssachverhalten – Daten nur für den von dem Betroffenen gewollten Zweck verwendet werden dürfen und eine Zweckentfremdung seiner Einwilligung bedarf, war schon lange Gegenstand zahlreicher, bisweilen sogar strafrechtlich sanktionierter „Vertraulichkeitsregelungen“. Hierzu gehören die ärztliche Schweigepflicht ebenso wie das Brief- oder Fernmeldegeheimnis oder u. a. im UWG oder in Tarifverträgen enthaltene Schweigepflichten für Arbeitnehmer. Rechtspositionen wie das „Recht am eigenen Bild“ oder das „Recht am gesprochenen Wort“ spiegeln, abgeleitet aus dem Persönlichkeitsrechtsschutz, den Anspruch des Einzelnen auf informationelle Selbstbestimmung bei Erhebungen und Verwendungen seine Person betreffender Daten und Informationen wider. Auslöser für die nicht nur spezielle Lebenssachverhalte, sondern generell die 2 Verwendung von Informationen über einen Einzelnen regelnde Datenschutzgesetzgebung, waren Anfang der 1970er Jahre die seinerzeit mehr erahnten als existenten Gefährdungen des Persönlichkeitsrechts durch die damalige Großrechnertechnologie mit ihren hinsichtlich Menge, Schnelligkeit und Entfernung geschaffenen Möglichkeiten unbegrenzter Datenverarbeitung. Inzwischen ist die personenbezogene Datenverarbeitung allgegenwärtig und die Risiken für die Betroffenen haben sich potenziert. Die automatisierte Datenverarbeitung und -nutzung stellt in Wirtschaft und Verwaltung den „Normalfall“ des „Umgangs“ mit personenbezogenen Daten dar und erfasst nahezu alle Lebensbereiche. Die Auswertung der immer weiter zunehmenden Menge von Daten ermöglicht die Erstellung aussagekräftiger Persönlichkeitsprofile, wobei staatliche wie wirtschaftliche Interessen an der Gewinnung von möglichst umfassenden Erkenntnissen über Betroffene vielfältig sind. Der momentane Modebegriff der „Big Data“ weist auf diese Entwicklung hin. Hinzu kommt, dass der internationale Austausch personenbezogener Informationen in der globalisierten und vernetzten Welt immer selbstverständlicher wird und nationaler Gesetzgebung kaum noch zugänglich ist. Zudem unterliegt die Datenverarbeitung im Unternehmen aufgrund der rasanten 3 Fortentwicklung der Informations- und Kommunikationstechnik einer ständigen Veränderung, aus der sich auch immer wieder Anforderungen an die betriebliche Organisation ergeben. Deutlich wird die Bandbreite durch die Datenverarbeitung im Rahmen
Gola
32
Kapitel 2 Grundlagen des Datenschutzes im Unternehmen
externen Cloud-Computings1 einerseits und unter Einsatz des privaten „Device“ des Mitarbeiters2 andererseits. Die den Einsatz der Kommunikationstechnik regelnde Organisation wird zunächst zwingend geboten durch die Gewährleistung der im Interesse des Unternehmens liegende Datensicherheit, d. h. der Vermeidung von Datenverlust, -fälschung, oder -diebstahl. Zumindest gleichrangig daneben steht der zu erfüllende Schutzanspruch der Betroffenen, d. h. derjenigen, über die Informationen verarbeitet werden.
B. Der Schutzanspruch der Betroffenen 4 Sowohl die Anlässe für einen Zugriff einschließlich etwaiger Kontrollen seitens des 5
Arbeitgebers als auch die Arten des möglichen Zugriffs sind vielfältig. Nach Aussage des BVerfG3 setzt die freie Entfaltung der Persönlichkeit unter den Bedingungen moderner Datenverarbeitung den Schutz des Einzelnen gegen unbegrenzte Erhebung, Speicherung, Verwendung und Weitergabe seiner persönlichen Daten voraus. Das BDSG formuliert seine Aufgabe demgemäß dahingehend, dass es den Schutz des Betroffenen vor Beeinträchtigungen seines Persönlichkeitsrechts zu gewährleisten hat. Datenschutz hat somit entgegen dem Wortlaut des Begriffs nicht – jedenfalls nicht primär – den technischen Schutz von Daten oder den Besitz an Daten zum Gegenstand. Diese Aufgabenstellung beschreibt der Begriff der Datensicherung. Geschützt werden soll vielmehr derjenige, dessen Daten verarbeitet werden. Es geht um den verfassungsrechtlich geschützten Anspruch des Betroffenen auf eine unantastbare Sphäre privater Lebensgestaltung; d. h., wie das BVerfG zur Beschreibung des „Rechts auf informationelle Selbstbestimmung“ formuliert, um die Gewährleistung der Befugnis des Einzelnen grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu entscheiden. Sollen abweichend von dem Selbstbestimmungsrecht personenbezogene Daten ohne oder gegen den Willen des Betroffenen verarbeitet werden, so bedarf dieser Eingriff in das Grundrecht einer gesetzlichen Ermächtigung (vgl. u. a. § 4 Abs. 1 BDSG, § 11 Abs. 1 TMG). Dieser Vorbehalt einer Eingriffsermächtigung besteht unabhängig davon, ob staatliche oder private datenverarbeitende Stellen betroffen sind. An diesem Konzept des „Verbots mit Erlaubnisvorbehalt“ hält – trotz mancher Forderung nach der Abschaffung dieser
1 Vgl. AK Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder, Orientierungshilfe – Cloud Computing der AK Technik und Medien der Datenschutzaufsichtsbehörden; u. a. in HessLDSB, 40. TB, Materialien 11.1. 2 Zur Lösung in der betrieblichen Praxis siehe BITKOM, Bring your own Device, 2013, abrufbar unter http://www.bitkom.org/files/documents/20130404_LF_BYOD_2013_v2.pdf. 3 BVerfG, Urt. v. 15.12.1983 – 1 BvR 209, 269 – BVerfGE 65, 1 = NJW 1984, 419.
Gola
B. Der Schutzanspruch der Betroffenen
33
für das Zivilrecht atypischen Freiheitseinschränkung4 – auch der in der Beratung befindliche Entwurf der EU-Datenschutz-Grundverordnung (DS-GVO)5 fest. Die Ausübung dieses Rechts auf Selbstbestimmung setzt voraus, dass der Betrof- 6 fene überschauen kann, welches Wissen andere für welche Zwecke über ihn ansammeln und auswerten. Demgemäß formuliert das BVerfG weiterhin: „Wer nicht mit hinreichender Sicherheit überschauen kann, welche ihn betreffenden Informationen in bestimmten Bereichen seiner sozialen Umwelt bekannt sind, und wer das Wissen möglicher Kommunikationspartner nicht einigermaßen abzuschätzen vermag, kann in seiner Freiheit wesentlich gehemmt werden, aus eigener Selbstbestimmung zu planen oder zu entscheiden. Mit dem Recht auf informationelle Selbstbestimmung wären eine Gesellschaftsordnung und eine diese ermöglichende Rechtsordnung nicht vereinbar, in der Bürger nicht mehr wissen können, wer was wann bei welcher Gelegenheit über sie weiß.“
Der Einzelne soll selbst entscheiden, welche Daten er über sich in welcher Rolle und in welcher Kommunikation preisgibt. Diesem Transparenzanspruch tragen umfangreiche Informations- und Auskunftspflichten Rechnung, die u. a. das BDSG den Unternehmen auferlegt. Das Recht auf informationelle Selbstbestimmung ist jedoch nicht schran- 7 kenlos gewährt. Die Verarbeitung und Nutzung personenbezogener Informationen ist zum gemeinschaftlichen Zusammenleben unerlässlich. Der Staat benötigt Daten der Bürger zur Erfüllung seiner Aufgaben. Die Privatwirtschaft ist auf Daten angewiesen, um z. B. Vertragsverhältnisse einzugehen und abzuwickeln. Insofern sind bereits die Datenschutzgesetze gleichzeitig auch Datenverarbeitungsermächtigungsgesetze, indem sie die Kriterien aufstellen, unter denen personenbezogene Daten auch ohne oder ggf. sogar gegen den Willen des Betroffenen verarbeitet werden dürfen. Gegenstand jeder Erlaubnisnorm ist die Festlegung des den Eingriff in das Selbstbestimmungsrecht legitimierenden Zwecks. Eine ohne Einwilligung des Betroffenen stattfindende Datenverarbeitung ist damit nur erlaubt, wenn für sie ein vom Gesetz anerkannter berechtigter Zweck besteht und nur soweit wie sie zur Erreichung dieses Zwecks erforderlich ist. Die Festlegung auf einen bestimmten Zweck bestimmt die Rechtmäßigkeit der Datenerhebung und der nachfolgenden Verarbeitung. Zweckänderungen, d. h. eine nachfolgende Verarbeitung der Daten zu anderen als den ursprünglichen Zwecken, bedürfen – sofern sie nicht generell untersagt sind – einer erneuten Erlaubnis. Dabei ist nicht zu verkennen, dass die Ausweitung der allgegenwärtigen und 8 immer weiter den Alltag durchdringenden Erfassung und Verarbeitung personenbezogener Daten dazu verführt, diese jeweils für einen bestimmten Zweck erhobenen Daten über ihren ursprünglichen Zweck hinaus zu weiteren, zunächst unbestimm-
4 Vgl. z. B. Bull, S. 136. 5 Gola/Schulz, RDV 2013, 1.
Gola
34
Kapitel 2 Grundlagen des Datenschutzes im Unternehmen
ten bzw. erst im Nachhinein auftauchenden Zwecken vorrätig zu halten und auszuwerten. Geschieht dieses Zusammentragen der für unterschiedliche konkrete Zwecke erhobenen Einzeldaten zuerst nach der Erhebung der Daten sich ergebenden Informationsbedürfnissen ohne Wissen und Willen des Betroffenen, steht dies nicht nur im Konflikt mit dem Grundsatz der Transparenz, sondern nimmt dem Einzelnen auch die Möglichkeit, seine Rolle, die er in verschiedenen sozialen Situationen spielen will, selbst zu bestimmen. Schließlich ist zu beachten, dass diese Anreicherung von Daten mit Informationen aus anderen Quellen zu einer verfassungswidrigen vollständigen Registrierung der Persönlichkeit der Betroffenen führen kann. So wie der Staat nicht befugt ist, den Menschen zwangsweise in seiner Persönlichkeit zu registrieren und zu katalogisieren,6 können auch private Stellen keine wirtschaftlichen Interessen für derartige Eingriffe geltend machen.
C. Die europarechtlichen Vorgaben 9 Vorgabe für den Gesetzgeber bei der Gestaltung datenschutzrechtlicher Normen ist
einerseits der verfassungsrechtliche Schutzanspruch des Bürgers zur Gewährleistung seines Rechts auf informationelle Selbstbestimmung. Parallel ist europäisches Recht zu berücksichtigen.7 Nach Art. 8 Abs. 1 der Europäischen Grundrechtecharta hat jeder das Recht 10 auf Schutz der ihn betreffenden personenbezogenen Daten. Daraus folgt nach Abs. 2 die Vorgabe, dass Daten nur nach „Treu und Glauben“ und „für festgelegte Zwecke und mit Einwilligung der betroffenen Person oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage“ verarbeitet werden dürfen. Art. 16 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) 11 normiert Gleichlautendes verbunden mit einer Zuständigkeitszuweisung für den Erlass der hierzu erforderlichen Vorschriften. Die Begründung der Gemeinschaftskompetenz ergibt sich zum einen aus der 12 Aufgabe der Union zur Schaffung datenschutzrechtlicher Garantien für die Betroffenen und zum anderen aus der Pflicht zur Gewährleistung eines freien Datenverkehrs innerhalb des gemeinsamen europäischen Markts. Nationale Grenzen innerhalb der EU und unterschiedliche nationale Datenschutznormen sollen den für das Wirtschaftsleben erforderlichen Datenverkehr nicht beeinträchtigen. Detaillierte Regelungen dazu gibt u. a. die Datenschutzrichtlinie EG/95/46 den EU-Mitgliedstaaten für ihre nationale Gesetzgebung vor.8 Die 1995 verabschiedete Richtlinie hat das bis dahin schon seit 20 Jahren u. a. im BDSG geschaffene Datenschutzrecht nicht auf den
6 BVerfG, Beschl. v. 16.7.1969 – 1 BvL 19/63 – BVerfGE 27, 1 (Mikrozensusentscheidung). 7 Vgl. im Einzelnen Forgó/Helfrich/Schneider/Forgó, S. 49 ff. 8 Weitere Richtlinien betreffen den Datenschutz bei der Telekommunikation.
Gola
D. Die datenschutzrechtlichen Grundprinzipien
35
Kopf gestellt, sondern weitgehend europäisiert. Gleichwohl gab es Neuerungen, die zu Novellierungen des deutschen Datenschutzrechts, d. h. des Bundesgesetzes und der Landesdatenschutzgesetze und weiterer bereichsspezifischer Regelungen führten. Da die einzelnen EU-Staaten die Richtlinie jedoch im Rahmen einer gewissen Gestaltungsfreiheit umgesetzt haben und die Richtlinie nach 20 Jahren Modernisierungsbedarf aufzeigt, befindet sich zurzeit der Entwurf einer EU-Datenschutz-Grundverordnung9 im EU-Gesetzgebungsverfahren. Diese Verordnung würde bei Inkrafttreten unmittelbar gelten und den Nationalstaaten – soweit keine Öffnungsklauseln bestehen10 – die gesetzgeberische Datenschutzkompetenz nehmen. Das BDSG, das zurzeit die Grundnorm datenschutzrechtlicher Verpflichtungen und Befugnisse für die Privatwirtschaft ist, wäre dann weitgehend Makulatur. Bedingt durch die Gesetzgebungskompetenzverteilung zwischen Bund und 13 Ländern regelt das BDSG den Datenschutz im öffentlichen Dienst des Bundes und in der Privatwirtschaft. Für die Behörden auf Landesebene gelten die Landesdatenschutzgesetze. Daneben bestehen für bestimmte Sachverhalte sog. bereichsspezifische Regelungen, so u. a. in dem TKG, dem TMG oder dem SGB.
D. Die datenschutzrechtlichen Grundprinzipien Insgesamt stellt sich insbesondere die Frage nach der Möglichkeit von gemeinsamen Grundprinzipen der allgemeinen Datenschutzgesetze und der diesen ggf. vorrangigen bereichsspezifischen Regelungen. Insoweit kann Folgendes festgehalten werden: 1. Geregelt wird die Erhebung und Verwendung personenbezogener11 Daten. Auf die „Sensibilität“ der Angabe kommt vom Grundsatz her nicht an, wenngleich sensible Informationen (§ 3 Abs. 9 BDSG) besonderen Schutz genießen und bereits allgemein zugängliche Daten großzügiger zur Datenverarbeitung freigegeben sind (§ 28 Abs. 1 S. 1 Nr. 3 BDSG). 2. Die Schutznormen greifen bei Datenverarbeitungen der Privatwirtschaft regelmäßig erst, wenn diese automatisiert oder zumindest in oder aus nicht automatisierten Dateien (Karteien etc.) erfolgt (§§ 1 Abs. 2 Nr. 3, 27 Abs. 1 S. 1 BDSG). Eine Ausnahme gilt für die Zulässigkeit der Verarbeitung von Beschäftigtendaten (§ 32 Abs. 2 BDSG). 3. Die Verarbeitung und Nutzung von personenbezogenen Daten ist auf der Grundlage des Zweckbindungsgebots nur zulässig, wenn der Betroffene nach entsprechender Information freiwillig zugestimmt hat (§ 4a Abs. 1 S. 1 BDSG) oder
9 Hornung, ZD 2012, 99. 10 Dies ist u. a. für die Regelung des Beschäftigtendatenschutzes vorgesehen; vgl. Gola, RDV 2012, 60. 11 Eine Ausnahme enthält § 3 Nr. 14 TKG mit dem Einbezug juristischer Personen.
Gola
14
15
16
17
36
18 4.
19 5.
20 6.
21 7.
22 8.
Kapitel 2 Grundlagen des Datenschutzes im Unternehmen
eine Rechtsvorschrift diese gestattet (Verbot mit Erlaubnisvorbehalt, § 4 Abs. 1 BDSG). In Betracht zu ziehen sind zunächst spezielle Sachverhalte regelnde Gesetze, Rechtsverordnungen, Satzungen oder auch Tarifverträge und Betriebsvereinbarungen. Die Regelungen verdrängen die Zulässigkeitsbestimmungen des BDSG jedoch nur, wenn sie hinreichend bestimmt sind.12 Eine Regelung, die einer bestimmten Stelle eine Aufgabe zuweist, die Datenverarbeitung voraussetzt, genügt nicht.13 Mangels solcher Regelungen ist dann auf die Zulässigkeitsbestimmungen des BDSG zurückzugreifen. Die Zulässigkeit der Verarbeitung wird von den Datenschutznormen im Rahmen des für einen legitimen Zweck Erforderlichen erlaubt, wobei regelmäßig das aus der Zweckerfüllung abgeleitete Informationsinteresse mit schutzwürdigen Interessen des Betroffenen abzuwägen ist. Maßgebend ist der Grundsatz der Verhältnismäßigkeit. Besondere Restriktionen gelten für international tätige Unternehmen, wenn personenbezogene Daten in sog. Drittländer, d. h. Staaten außerhalb des Europäischen Wirtschaftsraums (EWR) übermittelt werden sollen. Sofern das ohne die Einwilligung des Betroffenen erfolgen soll, muss sichergestellt werden, dass mangels hinreichender Datenschutzregelung im Empfängerland keine Datenschutzeinbußen für den Betroffenen eintreten. Der Betroffene soll aufgrund von Anzeige- und Benachrichtigungspflichten bzw. Registereinsichts- und Auskunftsrechten Informationen dazu erhalten, wer welche Art von Daten für welche Zwecke über ihn verarbeitet. Grundsätzlich sind Daten daher beim hierüber zu informierenden Betroffenen selbst zu erheben (Grundsatz der Direkterhebung, § 4 Abs. 3 BDSG). Werden nicht bei dem Betroffenen erhobene Daten gespeichert, ist er hierüber zu benachrichtigen (§ 33 BDSG). Detaillierte Auskünfte sind in der Regel erst zu erteilen, wenn der Betroffene entsprechend nachfragt. Unrichtige Daten müssen berichtigt werden; unzulässig gespeicherte, nicht mehr benötigte oder bestrittene Daten müssen gelöscht oder gesperrt wer den. Die Korrekturansprüche des Betroffenen ergeben sich aus dem BDSG (§ 35 BDSG) und parallel weiterhin aus dem allgemeinen Zivilrecht. Die Daten müssen vor Missbrauch durch Dritte und Verlust oder Zerstörung gesichert werden. Das BDSG zeigt hierzu acht Kontroll- bzw. Organisationverfahren auf, mit denen bestimmte Kontrollziele beschrieben werden, wobei die konkreten Umsetzungsmaßnahmen dem Unternehmen überlassen bleiben. Gelangen gleichwohl unberechtigt personenbezogene Daten in die Hände Unbefugter, so ist das ggf. den Betroffenen und der staatlichen Aufsichtsbehörde offenzulegen (§ 42a BDSG).
12 Wolff/Brink/Bäcker, § 4 Rn 6 f. 13 Gola/Schomerus, § 4 Rn 7 ff.
Gola
E. Bereichsspezifische Regelungen
37
9. Zur Einhaltung der Datenschutznormen ist die verantwortliche Stelle internen 23 und externen Kontrollinstanzen nachweispflichtig. Vorrang hat im Regelfall das Prinzip der Selbstkontrolle durch den betrieblichen Datenschutzbeauftragten. 10. Unzulässige Verarbeitungen und sonstige Verstöße gegen datenschutzrechtliche 24 Verpflichtungen können als Ordnungswidrigkeiten oder Straftaten sanktioniert werden (§§ 43, 44 BDSG). Dem Betroffenen stehen eigenständige datenschutzrechtliche Haftungsansprüche zu (§ 7 BDSG).14
E. Bereichsspezifische Regelungen Neben bzw. ggf. vorrangig vor dem BDSG sind aber auch spezielle Tatbestände 25 regelnde Normen zu berücksichtigen, die dem BDSG vorgehen oder seine Zulässigkeitsregelungen gestalten. Dazu zählen das Telekommunikationsgesetz (TKG) oder das Telemediengesetz (TMG) ebenso wie das Allgemeine Gleichstellungsgesetz (AGG) oder das Gesetz gegen den unlauteren Wettbewerb (UWG).15 Das TKG mit seinem strafrechtlich abgesicherten Fernmeldegeheimnis (§ 88 26 TKG; § 206 StGB) hat der Unternehmer bereits zu beachten, wenn er Dritten Telekommunikationsdienstleistungen anbietet, seien es die Gäste in seinem Hotel oder die die betriebliche Kommunikationstechnik erlaubterweise für private Zwecke nutzenden Mitarbeiter. Letzteres ist allerdings nicht unumstritten. So verneint eine im Vordringen befindliche Gegenauffassung die Anwendbarkeit des Fernmeldegeheimnisses in Beschäftigungsverhältnissen mit der Begründung mangelnder Vergleichbarkeit mit einem klassischen Diensteanbieter-Nutzerverhältnis per se.16 Praxistipp In der betrieblichen Praxis wird die Problematik in der Regel durch eine Betriebsvereinbarung geregelt, die die Nutzungsbedingungen festlegt und die der Mitarbeiter im Rahmen der eventuell erlaubten privaten Nutzung akzeptieren muss.
Das TMG ist bei dem Auftritt des Unternehmens im Internet und dem Online Com- 27 merce relevant. Das AGG untersagt diskriminierende Benachteiligungen (§ 1 AGG) von Beschäf- 28 tigten (§ 6 Abs. 1 AGG) und, abhängig von dem Leistungsangebot (§ 2 Abs. 1 Nr. 8 AGG), von Kunden. Wenn z. B. die Rasse, die ethnische Herkunft, das Geschlecht oder eine Behinderung bei der Entscheidung über einen Vertragsabschluss keine Rolle spielen dürfen, so dürfen diesbezügliche Angaben zu dieser Zweckbestimmung auch nicht
14 Vgl. nachstehend Rn 44 ff. 15 Vgl. hierzu nachstehend Rn 31. 16 Vgl. dazu Kap. 6.
Gola
38
Kapitel 2 Grundlagen des Datenschutzes im Unternehmen
erhoben und gespeichert werden. Je nach der Branche, in der das Unternehmen tätig ist, unterliegen die Kundendaten besonderen, zum Teil straf- oder berufsrechtlichen Geheimhaltungspflichten (u. a. § 203 StGB). Diese ergänzen die Zulässigkeitstatbestände des BDSG (§ 1 Abs. 3). Andererseits ist das Unternehmen umfangreich verpflichtet, Daten seiner Kunden und Beschäftigten im Interesse staatlicher Stellen zu speichern und ggf. an diese zu übermitteln. Soweit die Verarbeitung im Rahmen solcher steuer-, handels-, gewerbe- oder sozialrechtlicher Regelungen geschieht, stellen sich datenschutzrechtliche Fragen für das Unternehmen nicht. Soweit es aber darum geht, die Informationen auch für andere Zwecke zu verwenden, greift, sofern nicht ein Zweckbindungsgebot besteht, das BDSG.
F. Datenschutz und unlauterer Wettbewerb 29 Datenschutz- und Wettbewerbsrecht weisen enge Verknüpfungen auf. Keine Frage
ist, dass sich ein Unternehmen, das sich nicht an Datenschutzvorschriften hält, auf unlautere Weise Vorteile gegenüber Mitbewerbern erzielen kann. Wer bei einer Datenerhebung den Betroffenen bewusst nicht darüber informiert, für welche Zwecke die erbetenen Daten verwendet werden sollen, wird ggf. eher die gewünschten Daten erhalten als ein sich an die gesetzlichen Informationspflichten haltender Konkurrent. Ein unlauteres Handeln kann auch darin liegen, dass Dienstleistungen angeboten werden, deren Durchführung einen Datenschutzverstoß indiziert. So räumte das OLG Düsseldorf17 einem Wettbewerber einen Unterlassungsanspruch gegenüber einem Unternehmen ein, der die Archivierung von Patientendaten durch Personen anbietet, die außerhalb der Untersuchungs- und Behandlungsstätte tätig sind, und dabei nicht darauf hinweist, dass vorab die Zustimmungserklärungen der betroffenen Patienten eingeholt werden müssen. Zudem hat das Gesetz gegen den unlauteren Wettbewerb inzwischen weitgehend 30 den Charakter eines Verbraucherschutzgesetzes. Unlauter handelt nach § 3 UWG derjenige, dessen geschäftliche Handlungen geeignet sind, die Interessen von Mitbewerbern, Verbrauchern oder sonstigen Marktteilnehmern spürbar zu beeinträchtigen. Der Sachverhalt ist u. a. gegeben, wenn Marktteilnehmer in unzumutbarer Weise belästigt werden (§ 7 Abs. 1 UWG). Eine derartige Belästigung liegt insbesondere bei unerbetener elektronischer Werbung per Telefon, Fax oder E-Mail vor. Ein derartiges Verhalten verstößt nicht nur gegen das UWG, sondern auch gegen das BDSG; und dies aufgrund der in diesem Zusammenhang stattfindenden Erhebung oder Nutzung von personenbezogenen Daten der Beworbenen zu rechtswidrigen Zwecken. Ein weiteres Beispiel paralleler datenschutz- und wettbewerbsrechtlicher Ver31 stöße bildet auch die Gewinnung von Kunden (-daten) im Rahmen sog. Laien- oder
17 Urt. v. 20.8.1996 – 20 U 139/95 – CR 1997, 536.
Gola
F. Datenschutz und unlauterer Wettbewerb
39
Freundschaftswerbung. Kunden zur Gewinnung neuer Kunden anzuleiten, ist zwar nicht generell unzulässig und datenschutzrechtlich in Ordnung, wenn der gewonnene Kunde in die Weitergabe seiner Daten einwilligt. Erbittet ein Finanzberater von seinem Kunden die Benennung von eventuellen weiteren Interessenten, verstößt die Verwendung der hinter dem Rücken des Betroffenen mitgeteilten Daten zu Werbezwecken gegen das BDSG (§ 28 Abs. 3). Dies ergibt sich daraus, dass der potenzielle Kunde über die Zweckbestimmung der Datenerhebung nicht informiert bzw. durch die Art und Weise der Datenerhebung in seinem Persönlichkeitsrecht verletzt wird. Ob in der datenschutzwidrigen Werbemaßnahme auch ein Verstoß gegen das UWG liegt, ist nach der Verweisungsregelung des § 4 Nr. 11 UWG zu entscheiden. Danach liegt ein unlauteres Handeln dann vor, wenn einer gesetzlichen Vorschrift zuwidergehandelt wird, „die auch dazu bestimmt ist, im Interesse der Marktteilnehmer das Marktverhalten zu regeln“. Ob und inwieweit die Normen des BDSG neben dem Persönlichkeitsrechtschutz auch verbraucherschützenden Charakter haben, wird in Literatur18 und Rechtsprechung19 unterschiedlich beurteilt. Der Schutzzweck des BDSG, das Persönlichkeitsrecht des Einzelnen vor Beeinträchtigungen durch den Umgang mit seinen Daten zu schützen, deckt sich nicht mit dem Schutzzweck des UWG, im Wettbewerb unlauteres Handeln zu vermeiden. Jedoch kann der verletzten Norm des BDSG eine sekundäre wettbewerbsbezogene Schutzfunktion innewohnen. Diese Situation ist gegeben, wenn die Erhebung, Nutzung oder Verarbeitung von Daten zu Zwecken des Wettbewerbs erfolgt, wie es bei der geschilderten Freundschaftswerbung der Fall ist. Demgemäß ist eine solche sekundäre Funktion des Verbraucherschutzes den datenschutzrechtlichen Informationspflichten gegenüber dem Betroffenen (z. B. nach § 4 Abs. 3 BDSG, § 13 TMG) zuzusprechen, insbesondere weil diese weitgehend mit den Informationspflichten beim Fernabsatz (§ 312c Abs. 1 Nr. 1 BGB a. F. und § 312d Abs. 1 BGB n.F.20) korrespondieren.21 Das OLG Köln22 sieht in dem Verbot des § 4 Abs. 1 BDSG, personenbezogene 32 Angaben ohne gesetzliche Erlaubnis oder Einwilligung des Betroffenen zu nutzen – insoweit eine das Marktverhalten regelnde Bestimmung i. S. d. § 4 Nr. 11 UWG, als es die Möglichkeiten der Marktteilnehmer betrifft – für ihre Produkte zu werben. Damit ist nicht zu verkennen, dass Druck zur Einhaltung des Datenschutz- 33 rechts insoweit auch von Wettbewerbern oder klageberechtigten Verbänden ausgeübt werden kann und wird. Mit der Verbandsklage des § 8 Abs. 3 UWG und dem vor-
18 Bäumler/von Mutius/Müller, S. 20; Weichert, DuD 2001, 264. 19 Fallbezogen zustimmend OLG Stuttgart, Urt. v. 22.2.2007 – 7 O 43/96 –; OLG Karlsruhe, Urt. v. 9.5.2012 – 6 U 38/11 –; KG Berlin, Urt. v. 24.1.2014 – 5 U 42/12 –; OLG Hamburg, Urt. v. 26.6.2013 – 3 U26/12 – zu Hinweispflichten nach § 13 TMG, ablehnend OLG München, Urt. v. 12.1.2012 – 29 U 3926/11 –. 20 Gemäß „Gesetz zur Umsetzung der Verbraucherrechterichtlinie und zur Änderung des Gesetzes zur Regelung der Wohnungsvermittlung“ v. 20.9.2013, BGBl. I 2013 Nr. 58 S. 3642, in Kraft seit 13.6.2014. 21 Vgl. OLG Frankfurt a. M., Urt. v. 2.2.2001 – 13 U 204/98 –; vgl. auch Gola/Reif, RDV 2009, 104 f. 22 Urt. v. 14.8.2009 – 6 U 70/09 – und Urt. v. 19.11.2010 – 6 U 73/10 -.
Gola
40
Kapitel 2 Grundlagen des Datenschutzes im Unternehmen
geschalteten Abmahnwesen stellt das Wettbewerbsrecht wirksame und auch effektiv genutzte Sanktionen bereit, auf die sich ein Unternehmen einzustellen hat.23
G. Normadressaten und Verantwortlichkeiten 34 Die Verpflichtung zur Umsetzung der datenschutzrechtlichen Normen betrifft die
35
36
37
38
„Verantwortliche Stelle“, d. h. jede natürliche oder juristische Person, die die Datenverarbeitung für sich betreibt oder durch andere im Auftrag für sich vornehmen lässt (§ 3 Abs. 7 BDSG). Verantwortliche Stellen sind also auch Personen und Stellen, die selbst keine Daten verarbeiten, sondern hiermit andere beauftragt haben. Auftragsdatenverarbeitung kann z. B. vorliegen bei der Einschaltung eines Rechenzentrums zur Gehaltsabrechnung, eines Call Centers zur Kundenbetreuung oder eines Entsorgungsunternehmens zur Vernichtung von Belegen. Der Auftraggeber bleibt als Herr der Daten für die Beachtung der datenschutzrechtlichen Vorgaben für die von ihm veranlassten Verarbeitungen verantwortlich (§ 11 BDSG). Handlungspflichtig und für die Umsetzung der Datenschutzanforderungen verantwortlich sind jedoch konkret der Inhaber, Geschäftsführer oder Vorstand des Unternehmens. Aufgrund ihrer Organisationspflichten obliegt ihnen sodann die Delegation der Verantwortlichkeiten unter Berücksichtigung der unternehmensspezifischen Strukturen. Dazu bedarf es einer Datenschutzorganisation, deren Aufgabe es ist, die sich aus einem Datenschutzkonzept für den rechtskonformen Umgang mit personenbezogenen Daten ergebenden Maßnahmen umzusetzen und nachfolgend deren Einhaltung zu kontrollieren (§ 9 BDSG und Anlage zu § 9 S. 1). Mit dieser Kontrollpflicht verbunden ist der Begriff der „Compliance“. Er umfasst „die Gesamtheit der Maßnahmen, die das rechtliche Verhalten eines Unternehmens, seiner Organe und Mitarbeiter im Hinblick auf alle gesetzlichen und unternehmenseigenen Gebote und Verbote gewährleisten soll.“24 Compliance begründet also keine besondere Pflicht der Beschäftigten, Gesetze einzuhalten. Vielmehr geht es um die in der Verantwortung der Unternehmensleitung liegende, mit dieser Zielrichtung ausgerichtete Organisation des Unternehmens. Code of Conducts und Ethikregelungen können Mitarbeitern diesbezügliche Verhaltenspflichten der Mitarbeiter konkretisieren. Somit kann das Datenschutzmanagement Teil eines umfassenden Compliance-Managements25 sein. Compliance
23 Zur anstehenden Erweiterung der datenschutzrechtlichen Kompetenz der Verbraucherverbände (Referentenentwurf des BMJV vom Juni 2014) vgl. Reif, RDV 2014, 193. 24 Thüsing/Thüsing, 1. Aufl., Rn 9 m. w. N. der Literatur. 25 Simitis/Scholz, § 3a Rn 44.
Gola
H. Die gesetzlichen Kontrollorgane
41
und Datenschutz stehen zwar, was die Kontrolle des Mitarbeiterverhaltens angeht, in einem Spannungsfeld,26 gleichwohl ist Datenschutz als Inhalt und nicht als Schranke der Compliance zu verstehen.27 Die Notwendigkeit eines solchen „Sicherstellungssystems“ kann sich zum 39 einen aus bereichsspezifischen gesetzlichen Vorgaben ergeben (vgl. §§ 93 Abs. 1 S. 1, 91 Abs. 2 AktG, 43 Abs. 3 GmbHG, 317 Abs. 4 HGB). Als generelle Norm ist § 130 OWiG von Gewicht. Verletzt der Unternehmer schuldhaft seine Pflicht zur Verhinderung von gegen den Betrieb gerichteten Straftaten oder Ordnungswidrigkeiten, handelt er selbst ebenfalls ordnungswidrig, wenn die Zuwiderhandlung bei gehöriger Aufsicht verhindert oder wesentlich erschwert worden wäre. Die Datenschutzorganisation dient daher auch der Vermeidung von Sanktionen, 40 die bei datenschutzrechtlichen Verstößen als Bußgeld oder Geld- bzw. Freiheitsstrafe (§§ 43, 44 BDSG)28 oder in Form vermögensrechtlicher Haftungsansprüche (§ 7 BDSG) drohen. Praxistipp Die Koordination bzw. Kontrolle der Compliance wird häufig einem „Compliancebeauftragten“ übertragen.29 Mangels gesetzlicher Regelung – eine Ausnahme bildet § 34d WpHG i. V. m. der WpHGMitarbeiteranzeigenverordnung – sollte seine Position ähnlich der des betrieblichen Datenschutzbeauftragten ausgestaltet sein. Eine Personalunion mit dem betrieblichen Datenschutzbeauftragten verträgt sich jedoch wegen Interessenkollision nicht.
H. Die gesetzlichen Kontrollorgane Die Ausführung der Datenschutznormen obliegt im Übrigen gesetzlich vorgege- 41 benen Kontrollorganen (§ 38 BDSG). Staatliche Kontrolle wird durch die von den Bundesländern eingerichteten Datenschutzaufsichtsbehörden ausgeübt. Sie haben Auskunfts- und Kontrollrechte vor Ort und können Maßnahmen zur Beseitigung festgestellter Mängel anordnen und ggf. durch Verhängung von Zwangsgeld durchsetzen. Daneben sind sie in der Regel zuständig für die Ahndung datenschutzrechtlicher Ordnungswidrigkeiten nach § 43 BDSG. Der Schwerpunkt der Kontrolle soll nach dem Willen des Gesetzgebers jedoch 42 nicht auf Kontrolle von außen liegen. Vorrang hat das Prinzip der Selbstkontrolle. Realisiert wird diese durch die Pflicht zur Bestellung eines unabhängigen betrieblichen Datenschutzbeauftragen (§§ 4f, 4g BDSG).30 Dessen Aufgabe beschreibt das
26 Maschmann, NZA Beil. 2012, 50. 27 Vgl. insgesamt Kartmann/Ronellenfitsch. 28 Zur Datenschutzkonformität als Wettbewerbsvorteil siehe nachstehend Rn 52. 29 Vgl. Klopp. 30 Zur Bestellpflicht im Einzelnen Gola/Schomerus, § 4f Rn 7 ff.; zum Ganzen vgl. auch Kap. 3.
Gola
42
Kapitel 2 Grundlagen des Datenschutzes im Unternehmen
Gesetz, allein schon im Hinblick darauf, dass er keine Weisungsbefugnisse hat, als „Hinwirkungsfunktion“. Seine Kontrollfunktion ändert nämlich nichts an der ureigensten und unmittelbaren Verantwortlichkeit der Unternehmensführung. Zur Konkretisierung der sich für ihn ergebenden Aufgabe nennt das Gesetz einige Beispiele, um die sich der DSB „insbesondere“ zu kümmern hat. Dazu gehört an erster Stelle die Überwachung der ordnungsgemäßen Verarbeitung personenbezogener Daten. Insoweit von besonderem Gewicht ist die ihm zugewiesene Aufgabe der Vorabkontrolle (§ 4d Abs. 5 und 6 BDSG), die vor dem Einsatz von Verfahren, von denen besondere Gefahren für den Betroffenen ausgehen, vorgeschrieben ist. Eine weitere ausdrücklich genannte Aufgabe ist die der Schulung und Sensibilisierung der bei der Datenverarbeitung eingesetzten Mitarbeiter, wobei dies die Beratung in konkreten Einzelfällen einschließt. Im Übrigen ist er „Anwalt der Betroffenen“, da jeder Mitarbeiter, Kunde etc., der ein datenschutzrechtliches Anliegen hat, sich an ihn wenden kann, was inzidenter bedingt, dass er – unter Beachtung seiner Verschwiegenheitspflicht (§ 4f Abs. 4 BDSG) – der Sache auch nachzugehen hat. Praxistipp Als Datenschutzbeauftragter kann ein externer Dienstleister oder ein Mitarbeiter des Unternehmens bestellt werden. Nimmt der Mitarbeiter die Aufgabe im „Nebenamt“, d. h. neben anderer Tätigkeit wahr, dürfen keine Interessenkonflikte dadurch entstehen, dass ihm zusätzliche Aufgaben übertragen sind, die gleichzeitig seiner Kontrolle unterliegen.
I. Vermögensrechtliche Haftung 43 Das BDSG enthält eine eigenständige vermögensrechtliche Haftungsnorm bei
schuldhaften Datenschutzverstößen (§ 7 BDSG). Der Schaden des Betroffenen muss ausgelöst worden sein durch eine unzulässige oder unrichtige Erhebung, Verarbeitung oder Nutzung seiner personenbezogenen Daten. Die Rechtswidrigkeit der Erhebung oder Verwendung der Daten kann beruhen auf einem Verstoß gegen das BDSG oder gegen eine andere Vorschrift über den Datenschutz. Auch Verstöße gegen Rechtmäßigkeitsvoraussetzungen des TKG und des TMG werden – mangels eigenständiger Haftungsnorm in diesen Gesetzen – durch § 7 BDSG erfasst.31 Die Haftung entfällt, wenn die verantwortliche Stelle vorträgt und beweisen 44 kann, dass sie die erforderliche Sorgfalt beachtet hat, d. h., dass der Umstand, durch den der Schaden verursacht wurde, ihr nicht angelastet werden kann. Damit besteht eine Umkehr der Beweislast, d. h. bei rechtswidrigem Umgang mit den Daten wird zunächst schuldhaftes Handeln unterstellt; der verantwortlichen Stelle steht jedoch die Möglichkeit der Exkulpation, d. h. des Entlastungsbeweises offen.
31 Simitis/Simitis, § 7 Rn 16 und 19.
Gola
I. Vermögensrechtliche Haftung
43
Diese Datenschutzhaftungsnorm ist keine abschließende und ausschließliche 45 Regelung. Sie gewährt einen „Mindestschutz“. Sofern z. B. vertragliche Haftungsansprüche bestehen (§ 280 Abs. 1 S. 1 BGB i. V. m. § 241 Abs. 2 BGB), werden diese nicht verdrängt, wobei davon auszugehen ist, dass der sorgsame, gesetzeskonforme Umgang mit den personenbezogenen Daten des Vertragspartners sich regelmäßig auch als eine Nebenpflicht vertraglicher Beziehungen darstellt. Ist die Verarbeitung der personenbezogenen Daten selbst Gegenstand eines Vertrags zwischen dem Betroffenen und der speichernden Stelle, so kann eine unzulässige Verwendung einen Verstoß gegen die Hauptpflicht des Vertrages darstellen mit der Konsequenz, dass ein Schadensersatzanspruch wegen Nichterfüllung ausgelöst wird. Zu beachten ist allerdings, dass im Falle einer Auftragsdatenverarbeitung (§ 11 BDSG) in der Regel allein der Auftraggeber sowohl zivilrechtlich (über § 278 BGB) als auch datenschutzrechtlich (über § 3 Abs. 7 BDSG) im Außenverhältnis haftbar ist. Dies erlangt insbesondere dann Relevanz, wenn etwa IT-Dienstleister aufgrund ihrer Marktmacht datenschutzrechtlich ungünstige Auftragsbedingungen an ihre Kunden (Unternehmen) weitergeben und diese dann über die Konstruktion der Auftragsdatenverarbeitung Dritten gegenüber haftbar sind. Dies gilt es gerade im Umfeld mit Cloud ComputingDienstleistungen mit Drittstaatenbezug zu beachten. Auch deliktische Ansprüche aus § 823 Abs. 1 und Abs. 2 BGB sind nicht ausge- 46 schlossen. Ist der Schaden durch einen Verrichtungsgehilfen verursacht worden, so haftet die verantwortliche Stelle jedoch nur, sofern es ihr nicht gelingt, sich durch den Nachweis zu entlasten, den Bediensteten, der den Schaden verursacht hat, sorgfältig ausgewählt zu haben (§ 831 BGB).32 In Großbetrieben wird der Entlastungsbeweis nur durch Nachweis einer entsprechenden Datenschutzorganisation zu führen sein.33 Bei unzulässiger Datenverarbeitung, die allein auf rein persönlichen Motiven eines Mitarbeiters beruht, ist dagegen kein Grund ersichtlich, dem Unternehmen die Entlastungsmöglichkeit des § 831 Abs. 1 S. 2 BGB zu verwehren. Einen Schadensersatzanspruch nach § 823 Abs. 2 BGB kann durch die Verletzung von Datenschutznormen ausgelöst werden. Der Ausgleich immaterieller Schäden in Geld, d. h. Zahlung von Schmerzens- 47 geld aufgrund einer in dem Datenschutzverstoß liegenden Verletzung des Persönlichkeitsrechts, wird von § 7 BDSG nicht geregelt, auch nicht ausgeschlossen. Immaterielle Schädigungen werden jedoch nur dann durch Geld ausgeglichen, wenn die Verletzung des Persönlichkeitsrechts schwerwiegend ist und eine Genugtuung anders nicht angemessen gewährt werden kann.34 Ansonsten greift die Grundsatzregelung des § 253 Abs. 1 BGB.
32 Thüsing/Thüsing, 1. Aufl., Rn 521; Forst, AuR 2010, 106. 33 Vgl. Simitis/Simitis, § 7 Rn 61. 34 Gola/Schomerus, § 7 Rn 19.
Gola
44
Kapitel 2 Grundlagen des Datenschutzes im Unternehmen
J. Ordnungs- und strafrechtliche Sanktionen 48 Die Nichterfüllung der wesentlichen Pflichten des BDSG kann nach § 43 BDSG als Ord-
nungswidrigkeit geahndet werden. Dabei ist zu trennen zwischen Verstößen gegen Verfahrensvorschriften (§ 43 Abs. 1 Nr. 1 bis 11 BDSG) einerseits und gegen materielle Schutzvorschriften (§ 43 Abs. 2 Nr. 1 bis 7 BDSG) andererseits. Während im erstgenannten Fall eine Geldbuße bis zu 50.000 € ausmachen kann, kommen im Falle des Abs. 2 bis zu 300.000 € in Betracht.35 Reicht der Betrag nicht aus, um den wirtschaftlichen Vorteil auszugleichen, der den Rechtsverstoß erzielt wurde, so kann der Betrag auch höher angesetzt werden. Nach § 44 Abs. 1 BDSG werden die Bußgeldtatbestände des § 43 Abs. 2 BDSG unter 49 den genannten verschärfenden Tatbeständen zu Straftatbeständen. Strafbewehrtes Unrecht sind die Tatbestände des § 43 Abs. 2 BDSG dann, wenn sie vorsätzlich, gegen Entgelt oder in der Absicht, sich oder einen anderen zu bereichern oder einen anderen zu schädigen, begangen werden. Der „Andere“ kann der Betroffene, die verantwortliche Stelle oder ein Dritter sein. Aus dem Begriff „Absicht“ folgt, dass die Tat insoweit mit direktem Vorsatz begangen werden muss. Bedingter Vorsatz reicht nicht aus. Die Verfolgung der Tat setzt einen Strafantrag voraus. Das Antragsrecht steht 50 neben dem Betroffenen auch dem Unternehmen und der Aufsichtsbehörde zu. Dass auch der verantwortlichen Stelle ein Antragsrecht eingeräumt ist, kann dazu führen, dass ein Verfahren auch ggf. gegen den Willen des Betroffenen eingeleitet wird.
K. Zertifizierung und Vorteil im Wettbewerb 51 Audits und Zertifizierungen bieten der Unternehmensleitung sowohl sich selbst als
auch gegenüber ihren Kunden die Möglichkeit, die Datenschutzkonformität ihres Handels und ihrer Produkte nachzuweisen. Angeboten wird die Vergabe solcher Datenschutzsiegel von öffentlichen und privaten Stellen.36 In dem aktuellen Vorschlag einer DS-GVO37 ist in Art. 39 Abs. 1e auch ein „Europäisches Datenschutzsiegel“ vorgesehen. Insoweit bleibt allerdings zunächst das weitere Gesetzgebungsverfahren abzuwarten.
35 Zur Bußgeldpraxis hinsichtlich der einzelnen Tatbestände vgl. Wolff/Brink/Holländer, § 43 Rn 10 ff. 36 Feik/von Lewinski, ZD 2014, 59. 37 Bei der Schlussredaktion dieses Handbuchs wurde die DS-GVO gem. Legislativer Entschließung des Europäischen Parlaments v. 12.3.2014 zu dem Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (allgemeine Datenschutzverordnung) (COM(2012)0011 – C7-0025/2012 – 2012/0011(COD)) (Ordentliches Gesetzgebungsverfahren: erste Lesung), P7_TAPROV(2014)0212, A7-0402/2013 zugrunde gelegt.
Gola
K. Zertifizierung und Vorteil im Wettbewerb
45
Ein bekanntes und anerkanntes Gütesiegel kann als unterscheidendes und wer- 52 bendes Element für Produkte und Dienstleistungen eingesetzt werden. Es erleichtert Kunden die Entscheidung zwischen verschiedenen Angeboten und stärkt zudem Vertrauen in neue Technologien. So kann z. B. die von § 11 BDSG vorgegebene sorgfältige Auswahl eines Auftragsdatenverarbeiters und die vorgeschriebene routinemäßige Nachkontrolle erleichtert bzw. ersetzt werden durch Vorlage eines durch eine externe, unabhängige Prüfinstanz erstellten Zertifikats. Datenschutz kann daher durchaus ein Wettbewerbsvorteil sein, d. h. die Beachtung des Datenschutzes, also der sorgsame Umgang mit Kunden- und Beschäftigtendaten muss nicht primär als Belastung empfunden werden. Er kann von einem Unternehmen auch in wirtschaftlicher Hinsicht als Vorteil genutzt werden, was eine offensive Datenschutzstrategie nach außen bedingt.
Gola
Kapitel 3 Der betriebliche Datenschutzbeauftragte – Verantwortlichkeiten, Aufgaben und Status A. Verantwortlichkeiten – Allgemeines Obwohl das Thema Datenschutz in den Medien und der allgemeinen Öffentlichkeit in 1 den vergangenen Jahren eine ungeahnte Renaissance erhalten hat, werden die Bestellung und Tätigkeit des Datenschutzbeauftragten weiterhin oftmals im Rahmen von behördlichen Prüfungen bemängelt. So hat das Bayrische Landesamt für Datenschutzaufsicht (BayLDA) im Jahr 2013 eine Prüfung auf Basis von Fragebögen durchgeführt. Dieser Fragebogen wurde an 150 im Rahmen einer Stichprobe ausgewählte Unternehmen geschickt und beinhaltete u. a. detaillierte Fragen zu der (notwendigen) Bestellung, Tätigkeit und Qualifikation des betrieblichen Datenschutzbeauftragten. Neben diversen anderen Themen ist die mangelhafte Bestellung und Tätigkeit des Datenschutzbeauftragten, z. B. durch nicht vertretbare Interessenkollisionen, ein immer wiederkehrendes Prüfungsergebnis gewesen.1 Durch die korrekte Bestellung eines fachkundigen Datenschutzbeauftragten können also alle Unternehmen unnötige Diskussionen mit den Aufsichtsbehörden vermeiden, zudem ein Verstoß auch eine Ordnungswidrigkeit gem. § 43 Abs. 1 Nr. 2 BDSG darstellen kann.
I. Wer muss einen Datenschutzbeauftragten bestellen? 1. Einzelunternehmen Nach § 4f Abs. 1 BDSG müssen öffentliche und nicht-öffentliche Stellen, die personen- 2 bezogene Daten automatisiert verarbeiten, einen Beauftragten für den Datenschutz schriftlich bestellen. Das Gleiche gilt unter bestimmten weiteren Voraussetzungen, wenn personenbezogene Daten auf andere Weise erhoben, verarbeitet oder genutzt werden. Praxistipp Als nicht-öffentliche Stelle gelten nicht nur juristische Personen wie eine Aktiengesellschaft oder eine GmbH, verpflichtet sind ggf. auch: – Personengesellschaften (z. B. Kommanditgesellschaft, Gesellschaft bürgerlichen Rechts),
1 Ilgenfritz, RDV 2013, 265 ff.
Brauner/Mickler
48
Kapitel 3 Der betriebliche Datenschutzbeauftragte
– nicht rechtsfähige Vereinigungen (z. B. Gewerkschaften, politische Parteien), – natürliche Personen (z. B. Rechtsanwälte, Steuerberater, Wirtschaftsprüfer, Ärzte).2 3 Soweit nicht-öffentliche Stellen automatisierte Verarbeitungen vornehmen, die einer
Vorabkontrolle unterliegen (vgl. § 4d Abs. 5 BDSG), oder personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung automatisiert verarbeiten, haben sie unabhängig von der Anzahl der mit der automatisierten Verarbeitung beschäftigten Personen einen Beauftragten für den Datenschutz zu bestellen.
2. Ausnahmen im nicht-öffentlichen Bereich a) Private Datenverarbeitung 4 Das BDSG findet gemäß dessen § 1 Abs. 2 Nr. 3 keine Anwendung, soweit nichtöffentliche Stellen Daten ausschließlich für persönliche oder familiäre Tätigkeiten erheben, verarbeiten oder nutzen.
b) Anzahl der Mitarbeiter 5 Ein Datenschutzbeauftragter muss nicht bestellt werden, wenn bei der verantwortlichen Stelle weniger als 10 Personen ständig mit der automatisierten Erhebung, Verarbeitung oder Nutzung beschäftigt sind oder weniger als 20 Personen mit einer manuellen Verarbeitung von personenbezogenen Daten beschäftigt sind.
c) Welche Personen zählen?
6 Die Personen müssen „in der Regel“ und „ständig“ mit der automatisierten Verar-
beitung personenbezogener Daten beschäftigt sein. Neben den regulär auf Vollzeit tätigen Mitarbeitern sind zweifelsohne auch Teilzeitkräfte, Praktikanten und Studenten in die Gesamtzahl der bei der Datenverarbeitung beschäftigten Personen aufzunehmen. Nicht möglich dürfte hier eine Reduzierung auf sog. FTE (Full Time Equivilants) sein, d. h. zwei Teilzeitkräfte, die je zu 50 % tätig sind, zählen trotzdem nicht nur als eine Person im Sinne des BDSG. Ausnahmen liegen lediglich dann vor, wenn eine Person nur höchst selten in Kontakt mit personenbezogenen Daten kommt und ansonsten völlig losgelöst davon arbeitet (z. B. ein Bandmitarbeiter, der einen Tag im Büro aushilft oder aber zwecks „Anlernen“ ein Auszubildender, der im Bereich der Datenverarbeitung tätig ist).3
2 Zu weiteren Informationen siehe „Die Datenschutzbeauftragten in Behörde und Betrieb“, BfDI-Info v. 15.11.2011, abrufbar unter http://www.bfdi.bund.de. 3 Gola/Schomerus, § 4f Rn 12.
Brauner/Mickler
A. Verantwortlichkeiten – Allgemeines
49
Praxistipp Aufgrund der weiten Verbreitung von unternehmenseigenen IT-Devices (PC, Laptop, Smartphone, Tablets usw.) ist im Zweifel davon auszugehen, dass praktisch jedes Unternehmen, welches zehn oder mehr Mitarbeiter beschäftigt, davon ausgehen sollte, einen Datenschutzbeauftragten bestellen zu müssen.
d) Zeitpunkt Nicht-öffentliche Stellen sind zur Bestellung eines Datenschutzbeauftragten spätes- 7 tens innerhalb eines Monats nach Aufnahme ihrer Tätigkeit verpflichtet.
3. Nationale Konzerne Ein in der Praxis weitverbreitetes Problem ist die Tatsache, dass es im deutschen 8 Datenschutzrecht keinen Konzerndatenschutzbeauftragten gibt. Der Begriff „Konzern“ wird gesetzlich wie folgt definiert: „Sind ein herrschendes und ein oder mehrere abhängige Unternehmen unter der einheitlichen Leitung des herrschenden Unternehmens zusammengefasst, so bilden sie einen Konzern, die einzelnen Unternehmen sind Konzernunternehmen.“ (§ 18 Abs. 1 AktG) Praxistipp Prüfen Sie für jede einzelne verantwortliche Stelle innerhalb des Konzerns, ob die Bestellung eines Datenschutzbeauftragten notwendig ist.
Es stellt sich je nach Größe des Konzerns die Frage, ob die Tätigkeit des Datenschutz- 9 beauftragten durch eine oder mehrere Personen ausgeübt werden sollte. Praxistipp Die Aufteilung der Aufgaben des Datenschutzbeauftragten auf mehrere Personen ist nicht zulässig.4 Natürlich kann und, insbesondere bei größeren verantwortlichen Stellen, muss der Datenschutzbeauftragte auch durch weiteres Personal unterstützt werden. Die Bestellung eines Vertreters ist nicht notwendig, jedoch ratsam – z. B. zur Urlaubs- oder Krankheitsvertretung.
Wird der Datenschutzbeauftragte der Muttergesellschaft auch zum externen Daten- 10 schutzbeauftragten der Tochtergesellschaften bestellt, so spricht man üblicherweise von einem Konzerndatenschutzbeauftragten, der jedoch in den Tochtergesellschaften Ansprechpartner für datenschutzrechtliche Fragestellungen implementieren sollte, die als sog. Datenschutzkoordinatoren fungieren.5 Die Datenschutzkoordi-
4 Wohlgemuth, AuA 2003, 26 ff. 5 Gola/Wronka, 2.2.1 Rn 1409.
Brauner/Mickler
50
Kapitel 3 Der betriebliche Datenschutzbeauftragte
natoren sollten idealerweise aus allen relevanten Bereichen – auch der Konzernobergesellschaft – kommen. Insbesondere im Bereich Personal, Vertrieb und Marketing sollten Mitarbeiter zu Datenschutzkoordinatoren ernannt werden. Der Konzerndatenschutzbeauftragte sollte bei der Geschäftsführung darauf hinwirken, dass den Datenschutzkoordinatoren genügend Zeit für ihre Tätigkeit eingeräumt wird. Eventuelle kritische Fälle müssen die Datenschutzkoordinatoren jedoch 11 schnellstmöglich an den Konzerndatenschutzbeauftragten melden, da nur dieser die gesetzlichen Rechte und Pflichten seiner Rolle entsprechend ausüben kann und die Datenschutzkoordinatoren auch gesetzlich kein entsprechendes Schutzniveau für sich beanspruchen können. Gemäß den jeweiligen Gegebenheiten des Konzerns ergeben sich im Hinblick auf 12 die Einrichtung eines solchen Konzerndatenschutzbeauftragten bestimmte Vor- und Nachteile, wie z. B.: Vorteil Konzerndatenschutzbeauftragter
Nachteil Konzerndatenschutzbeauftragter
Ein zentraler Ansprechpartner
Informationsfluss aus Tochtergesellschaften nicht immer sichergestellt
Starke Stellung im Konzern
Notwendigkeit, in den einzelnen Töchtern Datenschutzkoordinatoren zu bestimmen
Bündelung der Fachkunde
Fachkunde kann in größeren Konzernen nur schwer durch eine Person vermittelt werden
Die verantwortlichen Stellen haben nicht diverse Mitarbeiter im Konzern, die die Privilegien des Datenschutzbeauftragten haben (z. B. Kündigungsschutz)
Der Konzerndatenschutzbeauftragte muss seine Verantwortlichkeit und Haftung mit jeder Tochter einzeln vereinbaren
4. Internationale Konzerne 13 Im Rahmen von internationalen Konzernen stellt sich zunächst die Frage, ob und inwieweit in anderen Ländern regulatorisch verpflichtend betriebliche Datenschutzbeauftragte zu bestellen sind. Dies ist üblicherweise nicht der Fall, da der betriebliche Datenschutzbeauftragte zwar in Deutschland eine lange Tradition hat, in anderen Ländern jedoch zum Teil erst jetzt diskutiert wird. Das geltende EU-Recht in Form der EU-Datenschutzrichtlinie 95/46/EG von 1995 sieht die Bestellung eines Datenschutzbeauftragten nicht zwingend vor.6 Diverse EU-Staaten sehen jedoch die Möglichkeit der Bestellung eines Datenschutzbeauftragten vor und bieten dies den Unternehmen als eine Alternative zur Meldepflicht für Datenverarbeitungsverfahren an, so z. B. in
6 Weber, DuD 1995, 698 f.
Brauner/Mickler
A. Verantwortlichkeiten – Allgemeines
51
Frankreich, Luxemburg und den Niederlanden.7 Die Prüfung der jeweiligen nationalen Anforderungen und Möglichkeiten kann naturgemäß nur mit Unterstützung der lokalen Tochtergesellschaft und ggf. unter Hinzuziehung lokaler Rechtsberater durchgeführt werden. Sofern in multinationalen Konzernen tatsächlich ein internationaler Konzern- 14 datenschutzbeauftragter geschaffen werden soll, so übt er in seiner Rolle eine überwiegend koordinierende Tätigkeit aus. Eine solche Bestellung spiegelt einerseits die Globalisierung der Wirtschaft und den damit ebenfalls globalen Datentransfer zwischen den Konzerngesellschaften wider und trägt zudem dem Umstand Rechnung, dass datenschutzrechtliche und dazugehörige regulatorische Vorschriften von Land zu Land differieren.8 In der Praxis hat sich insbesondere in größeren Konzernen eine solche koordinie- 15 rende Stelle sehr bewährt. Gerade aus deutscher Sicht bestehen bei der Einführung von multinationalen Datenverarbeitungssystemen meist höhere Anforderungen als in anderen Ländern. Sofern jedoch das Design solcher Systeme im Ausland stattfindet, werden die jeweiligen nationalen Anforderungen gerne von den Entwicklern vergessen. Noch umfangreichere Diskussionen und vertraglich zu regelnde Bereiche entste- 16 hen mit der Einbindung von konzernfremden Dritten. Aus Kostengründen möchten die zuständigen IT-Verantwortlichen oftmals Entwicklungs- oder Supportdienstleistungen outsourcen. So hat sich etwa Indien einen guten Namen mit der Erbringung derartiger Dienstleistungen gemacht. Möglich sind aber natürlich auch reine Cloud-Lösungen, bei denen Speicher- und Rechenkapazitäten angemietet werden. Sofern personenbezogene Daten hier durch mehrere verantwortliche Stellen oder Auftragsdatenverarbeiter sowohl innerhalb als auch außerhalb der EU verarbeitet werden, müssen die rechtlichen Anforderungen vertraglich dezidiert abgebildet und eingehalten werden. Dies lässt sich durch nationale Ansprechpartner für Datenschutz – so man sie nicht explizit zu einem „Data Privacy Officer“ der jeweiligen Landesgesellschaft ernennen möchte – wesentlich leichter umzusetzen. Praxistipp Um Zeit und Geld zu sparen, sollten vor der Entwicklung von globalen Systemen immer alle jeweils anwendbaren nationalen Vorgaben und Anforderungen bei den Konzerngesellschaften abgefragt und berücksichtigt werden. Spätere Änderungen sind normalerweise mit einem deutlich höheren zeitlichen und finanziellen Aufwand verbunden.
Zusätzlich zu einem konkreten, projektbedingten Austausch zwischen den Daten- 17 schutzverantwortlichen sollte ein regelmäßiger Informationsaustausch sichergestellt
7 Für weitere Informationen siehe Artikel-29-Datenschutzgruppe, WP 106. 8 Simitis/Simitis, § 4f Rn 37.
Brauner/Mickler
52
Kapitel 3 Der betriebliche Datenschutzbeauftragte
sein, z. B. ein bis zwei Mal pro Jahr mittels einer Telefonkonferenz und zusätzlich unterstützt durch Informationen im unternehmensinternen Intranet.
II. Auswahl und Bestellung 1. Notwendige Qualifikation 18 § 4f Abs. 2 S. 1 BDSG gibt zur Thematik der Qualifikation nur grundlegend vor, dass der Datenschutzbeauftragte die zur Erfüllung seiner Aufgabe erforderliche Fachkunde und Zuverlässigkeit besitzen muss. Was genau unter dem Merkmal der „erforderlichen Fachkunde“ zu verstehen ist, haben sowohl die Datenschutzbehörden als auch die Gerichte praxisbezogen ausgestaltet. Der Beschluss der obersten Aufsichtsbehörden zu den Mindestanforderungen an Datenschutzbeauftragte sei hier als Auszug hervorgehoben und in Form der nachfolgenden Checkliste zum eigenen Abgleich aufgeführt:9 Checkliste 1. Datenschutzrecht allgemein – unabhängig von der Branche und der Größe der verantwortlichen Stelle – Grundkenntnisse zu verfassungsrechtlich garantierten Persönlichkeitsrechten der Betroffenen und Mitarbeiter der verantwortlichen Stelle und – umfassende Kenntnisse zum Inhalt und zur rechtlichen Anwendung der für die verantwortlichen Stellen einschlägigen Regelungen des BDSG, auch technischer und organisatorischer Art, – Kenntnisse des Anwendungsbereiches datenschutzrechtlicher und einschlägiger technischer Vorschriften, der Datenschutzprinzipien und der Datensicherheitsanforderungen, insbesondere nach § 9 BDSG. 2. Branchenspezifisch – abhängig von der Branche, Größe oder IT-Infrastruktur der verantwortlichen Stelle und der Sensibilität der zu verarbeitenden Daten – umfassende Kenntnisse der spezialgesetzlichen datenschutzrelevanten Vorschriften, die für das eigene Unternehmen relevant sind, – Kenntnisse der Informations- und Telekommunikationstechnologie und der Datensicherheit (physische Sicherheit, Kryptographie, Netzwerksicherheit, Schadsoftware und Schutzmaßnahmen etc.), – betriebswirtschaftliche Grundkompetenz (Personalwirtschaft, Controlling, Finanzwesen, Vertrieb, Management, Marketing etc.), – Kenntnisse der technischen und organisatorischen Struktur sowie deren Wechselwirkung in der zu betreuenden verantwortlichen Stelle (Aufbau- und Ablaufstruktur bzw. Organisation der verantwortlichen Stelle) und
9 Beschluss der obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich (Düsseldorfer Kreis) vom 24./25.11.2010 über „Mindestanforderungen an Fachkunde und Unabhängigkeit des Beauftragten für den Datenschutz nach § 4f Abs. 2 und 3 Bundesdatenschutzgesetz (BDSG)“, abrufbar unter http://www.bfdi.bund.de/.
Brauner/Mickler
A. Verantwortlichkeiten – Allgemeines
53
– Kenntnisse im praktischen Datenschutzmanagement einer verantwortlichen Stelle (z. B. Durchführung von Kontrollen, Beratung, Strategieentwicklung, Dokumentation, Verzeichnisse, LogfileAuswertung, Risikomanagement, Analyse von Sicherheitskonzepten, Betriebsvereinbarungen, Videoüberwachungen, Zusammenarbeit mit dem Betriebsrat etc.).
In der Praxis hat sich eine große Vielfalt von gleichzeitig mit dem Amt des nebenamt- 19 lichen Datenschutzbeauftragten ausgeübten Tätigkeiten im Unternehmen ergeben. Zum Teil stellen sie eine sinnvolle Ergänzung dar, wenn juristische oder technische Fähigkeiten im Amt genutzt werden können. Eventuelle Interessenkonflikte können allerdings zur mangelnden Zuverlässigkeit des Bestellten führen.10 Hiervon wird immer dann auszugehen sein, wenn der nebenamtliche Datenschutzbeauftragte sich aufgrund seiner weiteren Aufgaben selbst kontrollieren müsste. Dies ist nach der herrschenden Meinung überwiegend bei Leitern der Abteilungen IT, Personal, Recht, Marketing/Vertrieb und Revision zu bejahen.11
2. Formalien der Bestellung Nach § 4f Abs. 1 BDSG ist ab einer Anzahl von zehn Mitarbeitern, die ständig mit 20 der automatisierten Datenverarbeitung beschäftigt sind, oder ab einer Anzahl von zwanzig Mitarbeitern, die in anderer Form (z. B. Papier) eine solche Beschäftigung ausüben, ein Datenschutzbeauftragter zu bestellen.12 Im heutigen Zeitalter der Computerarbeitsplätze gibt es bei dieser Vorgabe immer 21 weniger Unternehmen, die gar keine Bestellung vornehmen müssen. Eine Lockerung bei den Voraussetzungen der Bestellung könnte der geplante Art. 35 der EU-Datenschutz-Grundverordnung (DS-GVO)13 mit sich bringen. Dessen Abs. 1b knüpfte die Pflicht zur Bestellung – relativ mittelstandsfreundlich – zunächst an eine Gesamtbelegschaft von mindestens 250 Mitarbeitern, und dies unabhängig davon, ob diese Mitarbeiter direkt mit der Datenverarbeitung beschäftigt sind oder nicht. Dies ist mit der vom Europäischen Parlament am 12.3.2014 in erster Lesung verabschiedeten Fassung nunmehr obsolet. So ist jetzt in Art. 35 Abs. 1b DS-GVO14 vorgesehen, dass ein
10 Siehe u. a. LAG Hamm, Beschl. v. 8.4.2011 – 13 TaBV 92/10 – DuD 2011, 737 ff. 11 Siehe neben der Sicht des BfDI in BfDI-Info 4, S. 13, abrufbar unter http://www.bfdi.bund.de/ SharedDocs/Publikationen/Infobroschueren/INFO4.pdf und LfD BW, S. 6, abrufbar unter http:// www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2014/06/Der-betriebliche-Beauftragte-f%C3 %BCr-den-Datenschutz.pdf; LAG Hamm, Beschl. v. 8.4.2011 – 13 TaBV 92/10 – DuD 2011, 737 ff.; sowie darüber hinaus die umfangreichen Nachweise von behördlichen und gerichtlichen Bewertungen in den Fn 184 – 196 bei Simitis/Simitis, § 4f sowie BeckOK DatenSR/Moos, § 4f Rn 54. 12 Die Nichtbestellung stellt nach § 43 Abs. 1 Nr. 2 i. V. m. Nr. 3 BDSG eine bußgeldbewerte Ordnungswidrigkeit dar; vgl. auch oben unter Rn 3. 13 Vgl. KOM(2012) 11 v. 25.1.2012. 14 Bei der Schlussredaktion dieses Handbuchs wurde die DS-GVO gem. der Legislativen Entschließung des Europäischen Parlaments v. 12.3.2014 zu dem Vorschlag für eine Verordnung des
Brauner/Mickler
54
Kapitel 3 Der betriebliche Datenschutzbeauftragte
Datenschutzbeauftragter dann von einer juristischen Person zu bestellen ist, wenn die von dieser durchgeführte Datenverarbeitung sich innerhalb eines zwölfmonatigen Zeitraums auf mehr als 5.000 Betroffene bezieht. Besteht die Kerntätigkeit des Unternehmens in der systematischen Überwachung bzw. Beobachtung von Betroffenen oder in der Verarbeitung von besonderen Arten von personenbezogenen Daten, ist hiervon unabhängig ein Datenschutzbeauftragter zwingend zu bestellen.
a) Befristung
22 Eine nur befristete Bestellung eines internen oder externen Datenschutzbeauftrag-
ten ist durchaus zulässig, da das BDSG hinsichtlich der Dauer der Bestellung nach § 4f BDSG keine konkreten zeitlichen Vorgaben aufstellt.15 Unternehmen, die vielleicht insbesondere wegen des besonderen Kündigungsschutzes der Datenschutzbeauftragten nach § 4f Abs. 3 S. 5 und 6 BDSG an eine befristete Bestellung denken, sollten die Vorgaben der jeweils zuständigen Landesdatenschutzbehörden in Erfahrung bringen und ihrer Entscheidung zugrunde legen. Die Landesdatenschutzbehörden stellen hinsichtlich des Bestellungszeitraums oft konkrete Vorgaben auf. So beträgt z. B. in Baden-Württemberg der vorgegebene Zeitraum bei einem internen Datenschutzbeauftragten mindestens fünf Jahre.16 Praxistipp In Zweifelsfällen sollte eine Verkürzung des Zeitraums im Vorfeld unter Nennung eines zwingenden Grundes mit der Aufsichtsbehörde abgestimmt werden.
23 Der aktuelle Entwurf der DS-GVO schlägt im Übrigen für den Datenschutzbeauf-
tragten in Art. 35 Abs. 7, anders als ursprünglich vorgesehen, keinen einheitlichen Bestellungszeitraum von mindestens zwei Jahren mehr vor.17 Vielmehr wird in dem vom Europäischen Parlament am 12.3.2014 nunmehr verabschiedeten Entwurf differenziert: Wird ein Angestellter des Unternehmens zum Datenschutzbeauftragten bestellt, soll der Bestellungszeitraum mindestens vier Jahre, im Falle externer Datenschutzbeauftragter mindestens zwei Jahre betragen.
Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (allgemeine Datenschutzverordnung) (COM(2012)0011 – C7-0025/2012 – 2012/0011(COD)) (Ordentliches Gesetzgebungsverfahren: erste Lesung), P7_TA-PROV(2014)0212, A7-0402/2013 zugrunde gelegt. 15 BeckOK DatenSR/Moos, § 4f Rn 22. 16 Siehe IM BW, 31. Tätigkeitsbericht 2005, S. 12 f., abrufbar unter http://www.baden-wuerttemberg. datenschutz.de/wp-content/uploads/2013/02/3.-T%C3 %A4tigkeitsbericht-des-Innenministeriums- 2005.pdf. Dazu aktuell aus arbeitsrechtlicher Sicht auch Reinhard, NZA 2013, 1049, 1054. 17 Vgl. KOM(2012) 11 v. 25.1.2012.
Brauner/Mickler
A. Verantwortlichkeiten – Allgemeines
55
b) Haupt- oder nebenamtlich Das BDSG trifft keine Unterscheidung zwischen einem hauptamtlichen Datenschutzbeauftragten in Vollzeit oder einem nebenamtlichen Datenschutzbeauftragten, der diese Aufgaben lediglich neben seiner Hauptbeschäftigung im Unternehmen ausübt. Auch eine feste Regel, ab welcher Unternehmensgröße ein hauptamtlicher Datenschutzbeauftragter im Unternehmen benötigt wird, lässt sich bei allen interessanten Berechnungsversuchen18 letztlich nur schwer aufstellen. So hängt dies stark von der jeweiligen Geschäftstätigkeit des Unternehmens ab und kann z. B. auch nicht anhand von PC-Arbeitsplätzen hochgerechnet werden.19 Unternehmen, die über die normalen internen Verfahren (ERP-System, Lohnbuchhaltung, Kommunikation) hinaus Dienstleistungen im EDV-Umfeld oder IT-Lösungen mit Kundendaten anbieten oder betreiben, sollten nach vorliegenden Erfahrungswerten und Empfehlungen ab einer Mitarbeiterzahl von 1.000 bis 2.000 einen hauptamtlichen Datenschutzbeauftragten beschäftigen.20 Nur bei ausreichender zeitlicher Kapazität kann die nach § 4f Abs. 2 BDSG erforderliche Zuverlässigkeit bei der Erfüllung der Aufgaben des Datenschutzbeauftragten bejaht werden. Daher ist Zeitmangel bei Datenschutzbeauftragten bei jedem Unternehmer als Alarmsignal durchaus ernst zu nehmen, da hier unmittelbar einer konkreten gesetzlichen Verpflichtung nicht nachgekommen wird.
24
25
26
27
Praxistipp Um den behördlichen Anforderungen zu genügen, sollte im Zweifel auf eine konkrete vertragliche Vereinbarung bezüglich eines angemessenen Zeitbudgets geachtet werden.21
Insbesondere müssen den nebenamtlichen Datenschutzbeauftragten neben ihren 28 sonstigen Tätigkeiten ausreichende zeitliche Kapazitäten zur ordnungsgemäßen Erfüllung ihrer gesetzlichen Aufgaben in ihrer Funktion als Datenschutzbeauftragter eingeräumt werden. Es empfiehlt sich hier, mit festen Prozentanteilen einer Freistellung zu arbeiten.
18 Eine kurze Übersicht findet sich bei Kongehl, Datenbank Datenschutz-Management Online, HI1606816. 19 So auch die Einschätzung der Aufsichtsbehörde in Baden-Württemberg, siehe IM BW, 31. Tätigkeitsbericht 2005, S. 13, abrufbar unter http://www.baden-wuerttemberg.datenschutz.de/wp-con tent/uploads/2013/02/3.-T%C3 %A4tigkeitsbericht-des-Innenministeriums-2005.pdf. 20 Kongehl, Datenbank Datenschutz-Management Online, HI1606816. 21 Zur Sicht der Aufsichtsbehörden siehe III. 4 des Beschlusses der obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich (Düsseldorfer Kreis) vom 24./25.11.2010 über „Mindestanforderungen an Fachkunde und Unabhängigkeit des Beauftragten für den Datenschutz nach § 4f Abs. 2 und 3 Bundesdatenschutzgesetz (BDSG)“, abrufbar unter http://www.bfdi.bund.de/.
Brauner/Mickler
56
Kapitel 3 Der betriebliche Datenschutzbeauftragte
3. Ausstattung und Größe der Datenschutzabteilung
29 Der Datenschutzbeauftragte sollte mit einem eigenen Budget ausgestattet werden.
Dies empfiehlt sich u. a. bereits wegen der umfangreichen umzusetzenden Pflichten und Vorgaben der verantwortlichen Stelle auf dem Gebiet des Datenschutzes. Dabei muss das Budget nicht die umzusetzenden Maßnahmen selbst tragen, aber regelmäßige Aufwendungen abdecken, wie etwa Reisekosten (Vorabkontrollen und regelmäßige Audits nach § 11 Abs. 2 S. 4 BDSG), Teilnahmegebühren für Fortbildungsveranstaltungen, Kosten für Fachinformationen und Mitarbeiterschulungsunterlagen sowie für die Vergabe von einzelnen Aufträgen nach außen (Security-Prüfungen; Rechtsberatung). Anderenfalls kann der Datenschutzbeauftragte seine gesetzlich zugewiesenen Aufgaben im Unternehmensalltag in der Regel nicht umfänglich eigenverantwortlich umsetzen, was seine gesetzlich geforderte Zuverlässigkeit infrage stellt und damit mit den Anforderungen der Aufsichtsbehörden konfligieren kann.22 Praxistipp Ein fehlendes Budget des Datenschutzbeauftragten kann die gesetzlich geforderte Unabhängigkeit und Stellung des Datenschutzbeauftragten gefährden. Da diese Aufgaben aber ohnehin durch das Unternehmen als verantwortliche Stelle zu erfüllen sind, empfiehlt es sich, den Datenschutz von vornherein in die jährliche Budgetplanung in Abstimmung mit dem Datenschutzbeauftragten aufzunehmen. Hierbei gilt, dass besonders die Datenschutzbeauftragten mit regelmäßigen Kapazitätsengpässen, wie sie insbesondere bei einer nur nebenamtlichen Bestellung auftreten können, auf eigene Budgets angewiesen sind, um auch in Spitzenzeiten weiterhin die gesetzlich vorgeschriebene zeitliche Zuverlässigkeit gewährleisten zu können.
III. Pflichten der verantwortlichen Stelle 1. Unterstützung bei den Aufgaben des Datenschutzbeauftragten 30 Der Unterstützungsauftrag der verantwortlichen Stelle gegenüber dem Datenschutzbeauftragten ergibt sich unmittelbar aus § 4f Abs. 5 BDSG und wird hinsichtlich Personal, Räume, Einrichtungen, Geräten und Mittel auch exemplarisch im Gesetz benannt. Die Unterstützung durch das Unternehmen muss sich zusätzlich jederzeit an dem Merkmal der Erforderlichkeit messen lassen. Auf die Einräumung der erforderlichen ausreichenden zeitlichen Kapazitäten, 31 auch dies eine der gesetzlich geforderten Unterstützungspflichten, wurde bereits eingegangen.23 Aber selbst wenn der Datenschutzbeauftragte umfassend mit zeitlichen und sons32 tigen Ressourcen ausgestattet ist, kann er im Unternehmensalltag nur dann effektiv tätig werden, wenn ihm umfassende Informations-, Einsichts- und Zutrittsrechte
22 Ilgenfritz, RDV 2013, III. 5. 23 Siehe dazu oben unter Rn 24.
Brauner/Mickler
A. Verantwortlichkeiten – Allgemeines
57
gewährt werden. Diese Rechte und die damit korrespondierenden Pflichten der verantwortlichen Stelle ergeben sich zwingend aus den Vorgaben des BDSG (z. B. § 4g Abs. 2 S. 1 und § 4g Abs. 1 S. 3 Nr. 1). Ohne diese Rechte sind dem Datenschutzbeauftragten z. B. Tätigkeiten zum Thema Verfahrensverzeichnisse unmöglich.24 Praxistipp An dieser Stelle sei ergänzend auch auf § 38 Abs. 1 S. 2 BDSG hingewiesen. Datenschutzbeauftragte können zusätzlich auch die Beratung und Unterstützung der jeweiligen Aufsichtsbehörde wahrnehmen. Diese erschöpft sich bei Weitem nicht in Schulungsaktivitäten, Prüfungen oder der Kommunikation der verfassten Tätigkeitsberichte, sondern kann und sollte auch die bilaterale Beratung in schwierigen Problemsituationen umfassen.25
2. Benachteiligungsverbot Nach § 4f Abs. 3 S. 3 ff. BDSG dürfen Datenschutzbeauftragte im Zusammenhang mit 33 der Erfüllung ihrer Aufgaben in Hinblick auf ihr sonstiges Beschäftigungsverhältnis nicht benachteiligt werden. Dies gilt ausdrücklich auch für den Fall des Widerrufs der Bestellung.26 Eine Abberufung ist nur unter dem erhöhten Maßstab eines wichtigen Grundes 34 i. S. v. § 626 BGB möglich.27 Bei betrieblichen Datenschutzbeauftragten greift, da die Abberufung zumindest als Änderungskündigung zu qualifizieren ist,28 der besondere Kündigungsschutz des § 4f Abs. 3 BDSG, der – mit Ausnahme des nachwirkenden Kündigungsschutzes – in ähnlicher Form auch in Art. 35 Abs. 6 S. 3 DS-GVO vorgesehen ist.
3. Fort- und Weiterbildung Die Fort- und Weiterbildung wird zur laufenden Erhaltung der zur Erfüllung seiner 35 Aufgaben erforderlichen Fachkunde als unverzichtbar angesehen und den verantwortlichen Stellen hinsichtlich zeitlicher und finanzieller Aufwendungen eindeutig zugewiesen. Dem Datenschutzbeauftragten ist nach § 4f Abs. 3 S. 7 BDSG vor und nach der Bestellung regelmäßig die Teilnahme an Fort- und Weiterbildungsveranstaltungen zu ermöglichen. Die dabei entstehenden Kosten sind zu übernehmen. Die Datenschutzbehörden erwarten im Übrigen eine ständige Weiterbildung, damit der Datenschutzbeauftragte laufende Entwicklungen in Gesetzgebung, Rechtsprechung und Literatur überschauen und das Unternehmen hierauf einstellen kann.
24 Details siehe Rn 35. 25 Vgl. Details unten Rn 91 ff. 26 Vgl. Details unten Rn 137 ff. 27 BAG, Urt. v. 23.3.2011 – 10 AZR 562/09 – BB 2011, 2683 ff. 28 Gola/Schomerus, § 4f Rn 39.
Brauner/Mickler
58
Kapitel 3 Der betriebliche Datenschutzbeauftragte
Praxistipp Die Aufsichtsbehörden lassen sich bei Prüfungen auch die Teilnahmebestätigung der Weiterbildungsmaßnahmen nachweisen. Hier ist auf eine aussagekräftige und vor allem aktuelle Dokumentation durch den Datenschutzbeauftragten zu achten.
4. Verfahrensverzeichnis 36 Ganz im Gegensatz zu der oft festgestellten Praxis ist die Erstellung von Verfahrensverzeichnissen durch § 4g Abs. 2 S. 1 BDSG der verantwortlichen Stelle zugewiesen. In vielen Unternehmen tun sich die Fachabteilungen mit der Abwicklung dieses gesetzlichen Auftrags schwer. Daher sind viele Datenschutzbeauftragte dazu übergegangen, diese Verfahrensverzeichnisse der Einfachheit halber unter Verwendung der Auskünfte der Fachabteilung selbst zu erstellen. Sie sehen diese Tätigkeit als Unterstützungsleistung an, um ihrer nachgelagerten Verpflichtung zur Bereitstellung eines „öffentlichen“ Verfahrensverzeichnisses nach § 4g Abs. 2 S. 2 i. V. m. § 4e BDSG nachkommen zu können. Da sich Fachabteilungen in der Regel mit der Lieferung von Übersichten über zugriffsberechtigte Personen und einer kurzen formlosen Vorabinformation über neue Verfahren leichter tun, kann dieser Ablauf bei Einrichtung von manuellen oder elektronischen Workflows durch die verantwortliche Stelle sogar erfolgreicher sein als die gesetzgeberische Idealvorstellung. Ob dies in der Praxis zu einer Vermeidung von Kapazitätsengpässen bei den Datenschutzbeauftragten führt, ist indes deutlich zu bezweifeln. Praxistipp Wenn die zuvor erläuterten Prozesse zur Aktualisierung des Verfahrensverzeichnisses im Unternehmen implementiert sind, sollte der Datenschutzbeauftragte seine Entwürfe neuer Verfahrensbeschreibungen zwingend durch die Fachabteilung der verantwortlichen Stelle prüfen lassen. Nur so kann die Verantwortung für diese Dokumentation am Ende des Erstellungsprozesses wieder der verantwortlichen Stelle zugewiesen werden.
B. Aufgaben I. Hinwirken auf den Datenschutz 1. Ansprechpartner für das Unternehmen und die Mitarbeiter
37 Das BDSG weist dem Datenschutzbeauftragten in § 4g letztlich überwiegend eine
Beratungsrolle zu. Dies wird im Unternehmensalltag gelegentlich als Umsetzungsauftrag umgedeutet. Auch durchaus größere Unternehmen erwarten dann fälschlicherweise von ihrem – ggf. sogar nur nebenamtlich bestellten – Datenschutzbeauftragten die Umsetzung konkreter Maßnahmen. Einer solchen in der Regel eher nicht umsetzbaren Erwartungshaltung sollte der Datenschutzbeauftragte im eigenen und
Brauner/Mickler
B. Aufgaben
59
Unternehmensinteresse konsequent entgegentreten, da die Implementierung von Maßnahmen, Kontrollen und Prozessen eine Organisationsaufgabe ist, die allein durch den Datenschutzbeauftragten nicht umgesetzt werden kann. Hierbei bedarf es regelmäßig vielmehr der Unterstützung verschiedener Fachabteilungen, weshalb solche Maßnahmen nicht selten Projektcharakter haben und gesonderte Budgetzuweisungen erfordern. Allerdings ist in den Fachabteilungen der Unternehmen ein hoher Bedarf an konkreter Beratung zum Datenschutz zu beobachten. Diese sollte ein Datenschutzbeauftragter in der Tat stets anbieten. Er sollte dabei bezüglich einzelner Problemstellungen auch konkrete Maßnahmen erarbeiten und erläutern können. Häufig lassen sich die erforderlichen Maßnahmen dann auch reibungsloser durch die betroffene Fachabteilung umsetzen, was die Beratung letztlich effizienter macht. Für die Akzeptanz im Unternehmen und die Erfüllung des gesetzlichen Auftrages ist für viele Datenschutzbeauftragte entscheidend, die Anforderungen des Beschäftigten- und des Unternehmensdatenschutzes in einen angemessenen Ausgleich zu bringen. Auch wenn bei Unternehmen, die mittelbar oder unmittelbar im B2CBereich tätig sind, dem Kundendatenschutz naturgemäß eine große Bedeutung zukommt, dürfen die weiteren Aufgaben – nicht zuletzt mit Blick auf die gesetzliche Verpflichtung aus § 4f Abs. 5 S. 2 BDSG – keinesfalls vernachlässigt werden. Um dies zu gewährleisten, empfiehlt es sich, die mittelbare und unmittelbare Aufgabenzuweisung und Risikobetrachtung des BDSG29 konsequent als Leitlinie für die Bestimmung der eigenen Tätigkeit zu nutzen. Hierbei empfiehlt es sich, risikoorientiert im Sinne eines Risikomanagements vorzugehen.30 Dieses sollte Art, Sensibilität und Umfang der Verarbeitungsvorgänge im Unternehmen ebenso berücksichtigen wie Risiken für Betroffenenrechte und die Art der Geschäftstätigkeit des Unternehmens als verantwortliche Stelle. Hierbei hat es sich bewährt, einzelnen Datenarten Risikokategorien zuzuordnen, um das datenschutzrechtliche Risikomanagement operabel zu machen und auch angemessene Schutzmaßnahmen empfehlen zu können. Dem Beschäftigtendatenschutz kommt in der Regel auch eine stets zu berücksichtigende Größe zu. Hierbei stehen vor allem Schwerpunktthemen im Fokus, wie etwa die datenschutzrechtliche Erst- und Regelschulung von Mitarbeitern sowie deren Verpflichtung nach § 5 BDSG. Darüber hinaus sollte der Datenschutzbeauftragte, soweit vorhanden, eine intensive und kollegiale Zusammenarbeit mit dem Betriebsrat pflegen, da dieser wegen § 80 Abs. 1 Nr. 1 BetrVG ebenfalls auf den Beschäftigtendatenschutz hinzuwirken hat.
29 Siehe u. a. § 3 Abs. 9, § 4b Abs. 3, § 9 S. 2, § 28 Abs. 1 Nr. 2 BDSG. 30 Grundsätzlich dazu Thoma, ZD, 578 ff.
Brauner/Mickler
38
39
40
41
60
Kapitel 3 Der betriebliche Datenschutzbeauftragte
Praxistipp Der Datenschutzbeauftragte sollte mit dem Betriebsrat einen regelmäßigen Informationsaustausch bezüglich Vorabkontrollen pflegen, sofern Verarbeitungsverfahren mit Mitarbeiterdaten betroffen sind (z. B. elektronische Zeiterfassungs- und/oder Zutrittssysteme, Videoüberwachungsanlagen). In der Regel schätzen Betriebsräte das Know-how des Datenschutzbeauftragten und nehmen seine Feststellungen gerne auf.
2. Verpflichtung auf das Datengeheimnis 42 Die Verpflichtung nach § 5 BDSG ist keine originäre Aufgabe des Datenschutzbeauftragten, sondern eine der verantwortlichen Stelle und damit der Geschäftsleitung. Da der Datenschutzbeauftragte aufgrund seiner Überwachungsfunktion allerdings die Verpflichtungen der Mitarbeiter kontrollieren bzw. auf diese hinwirken muss, empfiehlt es sich, sich in den Prozess der Verpflichtung auf das Datengeheimnis einzubringen. Dies sollte durchaus aktiv erfolgen. Der Prozess bietet in der Regel eine gute Möglichkeit, gleichzeitig aufzuklären oder zu schulen. Mitarbeiter sind anlässlich der Durchführung der Verpflichtung nach § 5 BDSG sehr an weitergehenden Erläuterungen interessiert. Die Praxis vieler Unternehmen, dies als unbegleitete Routinemaßnahme in Form der Übergabe eines Informationsblattes mit Hinweisen zu Geld- oder Freiheitstrafen nach § 44 BDSG auszugestalten, irritiert Mitarbeiter häufig eher, als diese für den Datenschutz zu sensibilisieren. Es empfiehlt sich daher, die Verpflichtung nach § 5 BDSG mit einer Erstschulung zu kombinieren. In jedem Falle sollte die Verpflichtung auf das Datengeheimnis von den Abtei43 lungen Personal (Neueinstellungen) und ggf. Einkauf (Lieferanten) nach konkreten Vorgaben/Formulierungen des Datenschutzbeauftragten organisiert werden. Hierbei sollte auch auf eine ordnungsgemäße Dokumentation der Verpflichtung geachtet werden, wobei Verpflichtungserklärungen zweckmäßigerweise in der Personalakte des jeweiligen Mitarbeiters abzulegen sind. Praxistipp Es ist zu beachten, dass auch freie Mitarbeiter gem. § 5 BDSG zu verpflichten sind. Auch kann die Verpflichtung von Dienstleistern oder Lieferanten erforderlich sein, weshalb sich hierzu allgemeinverbindliche Verpflichtungsprozesse im Unternehmen empfehlen. Dies gilt es vor allem vor dem Hintergrund sicherzustellen, dass die Personalabteilung bezüglich solcher zu verpflichtender Personen häufig nicht eingebunden ist und daher als zentrale Verpflichtungsstelle ausscheidet.
3. Datenschutzrechtliche Regelwerke
44 Um auf die Einhaltung des Datenschutzes effektiv hinwirken zu können, empfiehlt
es sich, ab einer gewissen Unternehmensgröße für bestimmte Themen verbindliche Richtlinien, Arbeitsanweisungen usw. zu erstellen und durch die Unternehmensleitung in Kraft setzen zu lassen. So kann der Datenschutz einem größeren Kreis effektiv nähergebracht werden, zumal gerade in großen Organisationen der Erlass solcher Brauner/Mickler
B. Aufgaben
61
Regelwerke bereits aus Compliance-Gründen und unter dem Aspekt der Organisationskontrolle31 (S. 1 der Anlage zu § 9 S. 1 BDSG) zwingend erforderlich sein dürfte. Dies zeigt auch der Umstand, dass verbindliche datenschutzrechtliche Regelwerke seitens Kunden und Aufsichtsbehörden häufig als zwingender Bestandteil einer hinreichenden Datenschutzorganisation angesehen werden. Überdies kommt solchen Regelwerken eine unter Compliance-Aspekten (positive) Dokumentationswirkung zu, dies jedenfalls dann, wenn auch deren Umsetzung hinreichend dokumentiert ist. Praxistipp Der Datenschutzbeauftragte ist in der Regel nicht allein für die Erstellung datenschutzrechtlicher Regelwerke verantwortlich. Insoweit ist vielmehr häufig eine Zusammenarbeit mit weiteren Fachabteilungen erforderlich, wobei vor allem die IT-, Sicherheits-, Arbeitsschutz- und/oder Personalabteilungen zu nennen sind. Letztlich ist auch die Geschäftsleitung mit einzubeziehen, da diese die datenschutzrechtliche Compliance-Verantwortung trägt und in dieser Funktion Richtlinien, Arbeitsanweisungen usw. in Kraft setzen muss.
Branchenübergreifend kommt neben dem Erlass einer allgemeinen Datenschutz- 45 richtlinie, eines Datensicherheits- und Notfallvorsorgekonzepts sowie einer Richtlinie für Vorfälle nach § 42a BDSG vor allem der von Richtlinien gemäß folgender Checkliste in Betracht: Checkliste – Einsatz von E-Mail, Internet und Telefon, – Einsatz von IT-Technik (PC, Laptop), – Nutzung von mobilen Endgeräten (Firmen-Handy, Bring Your Own Device-Geräte), – WLAN-Nutzung, – Virenschutz, – Löschen und Sperren von personenbezogenen Daten.
II. Überwachung der Datenverarbeitungsprogramme 1. Vorabkontrollen Die Vorabkontrollen stellen eine durch § 4d Abs. 6 i. V. m. Abs. 5 BDSG zugewiesene 46 unmittelbare Aufgabe des Datenschutzbeauftragten dar. Diese ist in der Wahrnehmung der Arbeit des Datenschutzbeauftragten wohl eine der wichtigsten. Dadurch, dass dem Datenschutzbeauftragten nach § 4d Abs. 6 BDSG bereits die 47 Entscheidung, ob überhaupt vor Beginn der Verarbeitung eine Vorabkontrolle notwendig ist, zukommt, wird diese Tätigkeit im Unternehmen als sehr aktive Verantwortlichkeit empfunden.
31 Vgl. BayLDA, „Die 10 Kontrollen des BayDSG“, abrufbar unter https//www.datenschutz-bayern.de.
Brauner/Mickler
62
48
49
50
51
52
Kapitel 3 Der betriebliche Datenschutzbeauftragte
Um dem Datenschutzbeauftragten Vorabkontrollen zu ermöglichen und dem oben bereits beschriebenen Unterstützungsauftrag als verantwortliche Stelle gerecht zu werden, sollten die Unternehmen den Datenschutzbeauftragten frühzeitig über neue Verfahren informieren. Idealerweise erfolgt das bereits vorbereitend in der Planungs- oder Projektierungsphase. Besonders bewährt haben sich Projektorganisationsformen, die „privacy by design“32 umsetzen. Hier besteht für Unternehmen die realistische Chance, kostspielige Fehlinvestitionen zu vermeiden. Die Voraussetzungen, bei denen eine Vorabkotrolle durchzuführen ist, können aus den Beispielen von Abs. 5 des § 4d BDSG abgeleitet werden.33 Im Grundsatz gilt danach, dass eine Vorabkontrolle durchzuführen ist, wenn sich nicht ausschließen lässt, dass das fragliche Verarbeitungsverfahren mit besonderen Risiken für die Freiheiten und Rechte der Betroffenen verbunden ist. Da dies von der Fachabteilung in der Regel nicht beurteilt werden kann, sollten im Grundsatz jedes neue Verarbeitungsverfahren sowie wesentliche Änderungen bereits bestehender Verarbeitungsverfahren dem Datenschutzbeauftragten zur Vorabkontrolle vorgelegt werden. Der Datenschutzbeauftragte sollte die gesamte Prüfung schriftlich dokumentieren. Es sind dafür vielfältige Vorlagen verfügbar.34 Nur mittels einer solchen Dokumentation kann im Unternehmen selbst, gegenüber der Datenschutzaufsicht oder auch bei Kundenanfragen ein überzeugender Nachweis der Vorabkontrolle geführt werden. Die in der Kontrolle dokumentierten Ergebnisse eignen sich häufig auch als Ergänzung des internen Verfahrensverzeichnisses. In Abs. 5 S. 2 des § 4d BDSG werden die Tatbestände für die Befreiung von der Notwendigkeit einer Vorabkontrolle definiert. Ob eine Ausnahme vorliegt, sollte, wie ausgeführt, allein der Entscheidung des Datenschutzbeauftragten überlassen werden. Gelegentlich werden in der Praxis etwas ungenau auch Erstkontrollen nach § 11 Abs. 2 S. 4 BDSG beim Auftragsdatenverarbeiter als Vorabkontrollen bezeichnet. Insoweit ist zu beachten, dass der Prüfungsmaßstab bei einer Erstkontrolle nach § 11 Abs. 2 S. 4 BDSG und einer Vorabkontrolle nach 4d Abs. 5 BDSG voneinander differieren, weshalb eine synonyme Verwendung der Begrifflichkeiten vermieden werden sollte. Praxistipp Wenn in Verfahren Mitarbeiterdaten verarbeitet werden, sollte der Datenschutzbeauftragte, ggf. nach Rücksprache mit der Unternehmensleitung, Ergebnisse seiner Vorabkontrollen aktiv auch einem ggf. existierenden Betriebsrat übergeben. In der Regel wird dies dort gern zur Kenntnis genommen, da der
32 Überblick bei Grimme, Datenbank Datenschutz-Management Online, HI2848223. 33 Ein praxistauglicher Überblick unter Nennung der jeweiligen europarechtlichen Bezüge der wesentlichen „besonderen Risiken“ findet sich bei BeckOK DatenSR/Meltzian, § 4d Rn 34 – 37. 34 Beispiel für ein umfangreiches praxistaugliches Muster in der Datenbank Datenschutz-Management Online, Redaktion, HI1496026.
Brauner/Mickler
B. Aufgaben
63
Betriebsrat hierdurch eigene Überprüfungen kürzer halten oder sogar gänzlich unterlassen kann. Auf einen kollegialen Umgang mit der Arbeitnehmervertretung ist im Sinne eines effektiven Mitarbeiterdatenschutzes daher stets besonderes Augenmerk zu legen.
2. Verfahrensmeldung/Verfahrensverzeichnis Für die verantwortliche Stelle besteht vor der Inbetriebnahme von automatisierten 53 Datenverarbeitungen nach § 4d Abs. 1 BDSG eine Meldepflicht gegenüber der zuständigen Datenschutzaufsicht.35 Diese Meldepflicht entfällt gem. § 4d Abs. 2 BDSG bei Bestellung eines betrieblichen Datenschutzbeauftragten, an dem die Meldung dann ersatzweise zu richten ist. Die Bestellung eines Datenschutzbeauftragten erweist sich daher unabhängig von einer etwaigen Bestellungspflicht nach § 4f Abs. 1 BDSG in der Regel als zweckmäßig. Anderenfalls bestünden Meldepflichten gegenüber staatlichen Stellen, die in der Regel bereits unter Effizienzgesichtspunkten nicht erwünscht sind. Die Inhalte der Meldung an Datenschutzbeauftragten respektive Aufsichtsbe- 54 hörde werden durch einen Verweis von § 4g Abs. 2 S. 1 auf § 4e S. 1 BDSG näher konkretisiert. Sie sind deckungsgleich mit den Mindestabgaben des von der verantwortlichen Stelle zu erstellenden internen Verfahrensverzeichnisses (auch Verfahrensübersicht genannt).36 Die herrschende Meinung betont dabei, dass auch Angaben über Datenverarbeitungen, die keine automatisierten Verfahren darstellen, in das interne Verfahrensverzeichnis aufzunehmen sind. Diese Angaben hätten dem Datenschutzbeauftragten die Einschätzung der gesamten Datenschutzsituation zu ermöglichen,37 weshalb zu empfehlen ist, sämtliche personenbezogenen Verarbeitungsverfahren als von der Meldepflicht umfasst anzusehen. Überdies ist zu beachten, dass allein die verantwortliche Stelle die Pflicht zur Ver- 55 fahrensmeldung trifft. Eine Delegation dieser Pflicht auf den Datenschutzbeauftragten ist daher rechtlich nicht möglich. Unabhängig davon, wie sich die gelebte Praxis im Unternehmen letztlich darstellt, verbleibt die Meldeverantwortlichkeit daher stets bei der Unternehmensleitung. Praxistipp Sollten Datenschutzbeauftragte in ihren Unternehmen auf freiwilliger Basis die Verfahrensmeldung bzw. Verfahrensverzeichnisse selbst erstellen, so sind diese umfassend mit den dafür notwendigen Unterlagen und Informationen zu unterstützen. Dies gilt insbesondere für eine ausführliche Dokumentation der technisch-organisatorischen Maßnahmen nach § 9 BDSG und der zugriffsberechtigten Personen. Sollten diese Informationen nicht zur Verfügung gestellt werden, empfiehlt es sich, die Unternehmensleitung um eine Abstimmung zu ersuchen und hierbei auf die erörterten Verantwortlichkeiten hinzuweisen.
35 Es sei denn, § 4d Abs. 3 BDSG liegt vor. 36 BeckOK DatenSR/Moos, § 4g Rn 25 – 26. 37 Simitis/Simitis, § 4g Rn 67; BeckOK DatenSR/Moos, § 4g Rn 26.
Brauner/Mickler
64
Kapitel 3 Der betriebliche Datenschutzbeauftragte
56 Im Gegensatz zur Erstellung des internen Verfahrensverzeichnisses ist die Verfügbar-
machung des öffentlichen Verfahrensverzeichnisses nach § 4g Abs. 2 S. 2 BDSG allein Aufgabe des Datenschutzbeauftragten. Um diese zu erfüllen, bedient er sich den von der verantwortlichen Stelle im Rahmen der Verfahrensmeldung bereitgestellten Angaben und Unterlagen. Diese stellt er – in der Regel unter Verzicht auf Details zu technischen und organisatorischen Maßnahmen – auf Antrag jedermann zur Verfügung. Die Möglichkeit der reduzierten Bereitstellung von Informationen nach § 4g Abs. 2 57 S. 2 BDSG mit Angaben nach § 4e S. 1 Nr. 1 bis 8 BDSG an jedermann ist allerdings strikt zu unterscheiden von Auskünften an Betroffene i. S. v. § 34 BDSG.38 Praxistipp Insbesondere gegenüber Kunden ist die hinreichende Dokumentation der getroffenen technisch-organisatorischen Maßnahmen einschließlich weiterer Maßnahmen zur Datensicherheit häufig nachzuweisen. Jenseits bestehender Dokumentationspflichten, z. B. aufgrund vertraglicher Verpflichtung bei der Auftragsdatenverarbeitung, erscheinen die entsprechenden Dokumentationen daher ohnehin zweckmäßig. Dies auch deshalb, um der Datenschutzaufsicht im Falle von Kontrollen leicht nachweisen zu können, dass die gesetzlichen Anforderungen an den technisch-organisatorischen Datenschutz eingehalten werden. Insoweit bietet sich in der Regel neben reinen Textdokumenten auch die Erstellung von Checklisten an. Hierbei sollte beachtet werden, dass die Dokumentationslage in der Regel die Entscheidung für oder gegen eine Beauftragung des eigenen Unternehmens beeinflussen wird, falls Kunden solche Dokumentationen im Vorfeld anfordern. Bereits unter betriebswirtschaftlichen Aspekten empfiehlt es sich daher häufig, auf eine hinreichende Dokumentation der technischorganisatorischen Maßnahmen zu achten.
3. Interne Prüfungen
58 Die Aufgabe des Datenschutzbeauftragten, eine Überwachung der „ordnungsgemä-
ßen Anwendung der Datenverarbeitungsprogramme“ (§ 4g Abs. 1 S. 4 Nr. 1 BDSG) vorzunehmen, erfordert regelmäßige anlassabhängige aber auch anlassunabhängige Überprüfungen. Der Datenschutzbeauftragte darf sich auf die einmal bereitgestellten Angaben der verantwortlichen Stelle39 nicht dauerhaft verlassen. Die gemachten Angaben zu den Verfahren sind zum einen unter Umständen fortlaufenden Änderungen unterworfen, zum anderen sollte der Datenschutzbeauftragte auch die Richtigkeit der Angaben stichprobenartig (z. B. unmittelbar an den Arbeitsplätzen) überprüfen. Praxistipp Bei den internen Prüfungen in größeren Unternehmensorganisationen sollte bei Bedarf und, soweit vorhanden, mit weiteren Ansprechpartnern für den Datenschutz („Datenschutzkoordinatoren“) zu-
38 Siehe dazu nachfolgend Rn 88 ff. 39 Siehe oben unter Rn 52.
Brauner/Mickler
B. Aufgaben
65
sammengearbeitet werden. Nur so kann in der Regel bei Unternehmen mit verschiedenen Standorten eine für die Mitarbeiter wahrnehmbare Kontrolle stattfinden, die die Gegebenheiten „vor Ort“ hinreichend berücksichtigt.
Auch die Informationen über Zugriffsberechtigungen sollten regelmäßig zur Über- 59 prüfung von der verantwortlichen Stelle eingefordert werden. Hinsichtlich seiner Prüfungen ist der Datenschutzbeauftragte frei. Er kann ins- 60 besondere ohne vorherige Ankündigung tätig werden.40 Ihm obliegt auch allein die Entscheidung über Prüfungsumfang und -verfahren.41 In der Regel empfiehlt sich aber zumindest eine Abstimmung mit der Geschäftsleitung, um die Akzeptanz des Datenschutzbeauftragten in der Organisation langfristig nicht zu gefährden. Praxistipp Alle Kontrollen mit Beanstandungen und Schlussfolgerungen sollten schriftlich dokumentiert erfolgen und mit der Unternehmensleitung abgestimmt werden. Nur so kann der Datenschutzbeauftragte ein nachhaltiges Tätigwerden sowie die Umsetzung seiner Pflichten im Unternehmensalltag nachweisen. Darüber hinaus kann eine Dokumentation im Bedarfsfall (z. B. gegenüber der Aufsichtsbehörde) als Beleg für die eigene Zuverlässigkeit dienen.
Die verantwortliche Stelle hat den Datenschutzbeauftragten gem. § 4f Abs. 5 BDSG bei 61 der Erfüllung dieser Prüfungen zu unterstützen. Dies hat z. B. durch die Einräumung von Zugangs- und Zutrittsrechten zu geschehen,42 aber vor allem dadurch, dass er in alle datenschutzrelevanten Vorgänge frühzeitig einbezogen wird.43
4. Zusammenarbeit mit dem Betriebsrat und dem Fachbereich IT-Sicherheit Der Datenschutzbeauftragte sollte im Interesse eines effektiven Datenschutzes jeder- 62 zeit intensiv und kooperativ mit dem Betriebsrat und der Abteilung IT-Sicherheit zusammenarbeiten. Dies ist beim Datenschutz als Querschnittsaufgabe im Unternehmensalltag besonders wegen der teilweise übereinstimmenden Ziele, der zusätzlichen Durchsetzungskraft und des sich ideal ergänzenden Know-hows zweckmäßig.
a) Betriebsrat Die Kontrolle der Datenverarbeitung des Betriebsrats durch den Datenschutzbeauf- 63 tragten ist nicht zulässig. Die noch herrschende Meinung ist seit einem entsprechen-
40 BeckOK DatenSR/Moos, § 4g Rn 17. 41 So auch Grimme, Datenbank Datenschutz-Management Online, HI3731091. 42 Zur Sicht der Aufsichtsbehörden siehe Fn 9. 43 Gola/Schomerus, § 4f Rn 54.
Brauner/Mickler
66
Kapitel 3 Der betriebliche Datenschutzbeauftragte
den Beschluss des BAG aus dem Jahre 1997,44 trotz zunehmender bzw. seit Beginn an bestehender Zweifel,45 nach wie vor dieser Auffassung. Praxistipp Die fehlende Kontrollmöglichkeit sollte im Alltag die Tätigkeit des Datenschutzbeauftragten nicht negativ beeinflussen, da der Betriebsrat seiner selbstverständlich bestehenden Verpflichtung zur Einhaltung der Vorschriften des BDSG regelmäßig nachkommt. Aufgrund der bestehenden kollektiven Kontrolle seiner Mitglieder untereinander und unter Glaubwürdigkeitsgesichtspunkten hinsichtlich seiner eigenen Aktivitäten beim Arbeitnehmerdatenschutz sind Abweichungen relativ selten feststellbar. Als Arbeitnehmer kann der Datenschutzbeauftragte im Übrigen die Mitglieder jederzeit durch seine Schulungen erreichen und dauerhaft sensibilisieren. 64 Ohnehin sollte der Datenschutzbeauftragte auf den intensiven Austausch mit dem
Betriebsrat setzen. Hier bietet sich, wie oben beschrieben,46 insbesondere die Kommunikation über Kontrollen des Datenschutzbeauftragten bei Systemen, die Mitarbeiterdaten betreffen, an. Der Betriebsrat ist ebenso wie der Datenschutzbeauftragte zur Überwachung der Vorschriften des Arbeitnehmerdatenschutzes verpflichtet. Für den Betriebsrat ergibt sich diese Aufgabe aus der allgemeinen Regelung des § 80 Nr. 1 BetrVG. Darüber hinaus ist der Betriebsrat auch im Rahmen von § 87 Abs. 1 Nr. 6 BetrVG mit der Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung zu überwachen (z. B. elektronische Zeiterfassungs- und/oder Zutrittssysteme, Videoüberwachungsanlagen), zwingend mit dem Datenschutz befasst. Somit können Datenschutzbeauftragter und Betriebsrat durch eine Zusammen65 arbeit im Bereich des Arbeitnehmerdatenschutzes die wechselseitige Effizienz steigern. Der Betriebsrat kann insbesondere datenschutzrelevante Betriebsvereinbarungen abschließen, die ihrerseits datenschutzrechtliche Prüfungen und Freigaben durch den Datenschutzbeauftragten erleichtern können. So können auch Betriebsvereinbarungen Erlaubnistatbestände i. S. v. § 4 Abs. 1 BDSG darstellen und damit die Erhebung, Verarbeitung und Nutzung von personenbezogenen Mitarbeiterdaten legitimieren.47 Das Instrument der Betriebsvereinbarung ist insbesondere dann zweckmäßig, wenn bei Arbeitnehmern ein hohes Interesse an der Datenverarbeitung besteht. Vor allem führt der Abschluss einer Betriebsvereinbarung in der Regel zu einer erhöhten Akzeptanz der darin getroffenen Regelungen bei der Belegschaft, was die Handhabung einzelner Verarbeitungsarten wesentlich erleichtern kann. Dies gilt vor allem für solche Verarbeitungsarten, bezüglich derer die Rechtslage nicht abschließend geklärt ist (z. B. Auswertung von E-Mail-Nachrichten und Internetver-
44 BAG, Urt. v. 11.11.1997 – 1 ABR 21/97 – NZA 1998, 385. 45 Gola/Schomerus, § 4g Rn 11; BeckOK DatenSR/Moos, § 4g Rn 5. 46 Siehe Rn 36. 47 Simitis/Sokol, § 4 Rn 11; BeckOK DatenSR/Bäcker, § 4 Rn 13.
Brauner/Mickler
B. Aufgaben
67
kehrsdaten im Zuge unternehmensinterner Ermittlungen). Mit dieser Vorgehensweise kann daher eine erhöhte Rechtssicherheit zu Datenschutzfragen der entsprechenden Verarbeitungsverfahren herbeigeführt werden.
b) Fachbereich IT-Sicherheit Eine vertrauensvolle und intensive Zusammenarbeit mit dem Fachbereich IT-Sicher- 66 heit stellt, insbesondere für Unternehmen, die in größerem Umfang Kundendaten verarbeiten oder Serviceleistungen auf dem Gebiet der Datenverarbeitung für Dritte anbieten, eine unverzichtbare Anforderung an den Datenschutzbeauftragten dar. Die Anforderungen von Kunden an die Datensicherheit ihrer Dienstleister sind in 67 den letzten Jahren deutlich gestiegen. Neben der Umsetzung konkreter Maßnahmen werden umfassende Erläuterungen/Dokumentationen abgefragt, wobei nicht selten kundeneigene Checklisten zur Anwendung gelangen oder entsprechende Themen zum Gegenstand von Vor-Ort-Audits gemacht werden. Um den gestiegenen Erwartungen professionell und marktgerecht entsprechen zu können, ist eine Abstimmung mit dem Fachbereich IT-Sicherheit häufig unentbehrlich. Die Tätigkeiten des Fachbereiches bieten darüber hinaus vielfältige thematische 68 Anknüpfungspunkte, was gerade für den Bereich der technisch-organisatorischen Maßnahmen (§ 9 BDSG) gilt. Ein regelmäßiger Austausch sollte daher obligatorisch sein, zumal dieser dem Datenschutzbeauftragten die Möglichkeit gibt, auf aus datenschutzrechtlicher Sicht erforderliche Maßnahmen unmittelbar hinzuwirken (z. B. bauliche/infrastrukturelle Maßnahmen, bei den Themen Identifikation, Authentisierung oder Rechteverwaltung). Praxistipp Bereits bei der allgemeinen Schutzbedarfs- und Risikoanalyse des Unternehmens und der generellen Klassifizierung der Daten sollte sich der Datenschutzbeauftragte aktiv einbringen. Darüber hinaus ist der Fachbereich IT-Sicherheit ein wichtiger Partner bei der Initiierung/Erstellung von Unternehmensrichtlinien.48
Darüber hinaus können mit dem Know-how des Fachbereichs IT-Sicherheit Kunden 69 und Partner überzeugende Dokumentationen der z. B. im Rahmen der Auftragsdatenverarbeitung nach § 11 BDSG zwingenden technischen und organisatorischen Maßnahmen erstellt werden. Auch im Rahmen der dort notwendigen Kontrolle nach § 11 Abs. 2 S. 4 BDSG kann durch den Austausch von Prüfkatalogen und gemeinsam durchgeführten Prüfungen eine deutliche Qualitäts- und Effizienzsteigerung erreicht werden.
48 Zu den Themen siehe die Checkliste unter Rn 44.
Brauner/Mickler
68
Kapitel 3 Der betriebliche Datenschutzbeauftragte
Praxistipp Die getroffenen Maßnahmen zur Datensicherheit sind in der Regel in einem sog. Sicherheitskonzept niedergelegt. Dieses Konzept wird schwerpunktmäßig durch die Abteilung IT-Sicherheit erstellt. Oft gibt es Überschneidungen mit Themen, die auch Gegenstand eines Datenschutzkonzepts sind, weshalb der Datenschutzbeauftragte bei der Erstellung des Sicherheitskonzepts stets beteiligt werden sollte. Nur der Austausch ermöglicht hier eine enge Verzahnung der beiden Konzepte.
5. Einbindung von Dritten/Outsourcing 70 Wie bereits dargestellt, gehören die Überwachung der Datenverarbeitungsprogramme sowie die Vorabkontrolle zu den Kernaufgaben des betrieblichen Datenschutzbeauftragten. Gerade im Zusammenhang mit Outsourcing- und Zentralisierungsvorhaben kommt dem Datenschutzbeauftragten eine wichtige Beraterrolle zu. Zwar wird auch heute noch ein Großteil der Verarbeitung von personenbezoge71 nen Daten durch interne Datenverarbeitungssysteme abgewickelt, jedoch werden diese internen Systeme zunehmend durch den Einsatz von Cloud-basierten Lösungen oder die Einbindung von externen IT-Dienstleistern ersetzt. 34 % der deutschen Unternehmen benutzten im Jahre 2012 eine sog. Private Cloud, worunter CloudLösungen zu verstehen sind, die mehrheitlich mittels eigener IT-Infrastruktur betrieben werden. Jedoch schon 10 % der Unternehmen nutzen eine „Public Cloud“ eines Drittanbieters,49 was insgesamt häufig mit großen datenschutzrechtlichen Herausforderungen verbunden ist. Hier sollte der Datenschutzbeauftragte möglichst frühzeitig einbezogen werden, um insbesondere die Gefahr von Rechtverstößen und Fehlinvestitionen zu verringern. Neben diesen neuen Trends in der IT bestehen bei verantwortlichen Stellen 72 natürlich auch vielfältige Geschäftsbeziehungen zu Dritten, die mehr oder minder einer klassischen Auftragsdatenverarbeitung i. S. v. § 11 BDSG entsprechen. Mangels einer Legaldefinition des Auftragsdatenverarbeiters kann die Abgrenzung zur Funktionsübertragung im Einzelfall schwierig und umstritten sein.50 Schon vor diesem Hintergrund empfiehlt es sich, den Datenschutzbeauftragten auch bei klassischen Zentralisierungsvorhaben einzubinden. Denn je nachdem, ob eine Auftragsdatenverarbeitungssituation gegeben ist oder nicht, sind im Vorhinein Rechtspflichten, insbesondere Audit-Pflichten, zu erfüllen, weshalb das Unternehmen sicher einschätzen können muss, welche Art von Auftragsverhältnis gegeben ist. Praxistipp Der Datenschutzbeauftragte sollte den mit Outsourcing-Projekten betrauten Abteilungen Muster-Auftragsdatenverarbeitungsverträge sowie begleitende Anforderungskataloge und Prüflisten zur Verfü-
49 Vgl. zu weiteren Informationen BITKOM/KPMG, Studie Cloud Monitor 2013, abrufbar unter http:// www.kpmg.com/DE/de/Documents/Cloud-Monitor-2013-KPMG-version-2.pdf. 50 Nur beispielhaft Gola/Schomerus, § 11 Rn 6 ff. und Simitis/Simitis, § 11 Rn 22 ff.
Brauner/Mickler
B. Aufgaben
69
gung stellen. Insbesondere im Bereich der IT-Sicherheit sollte im Vorfeld einer Auslagerung eng mit der IT-Fachabteilung oder externen Beratern zusammengearbeitet werden, um bei allen Auftragsdatenverarbeitungen ein einheitliches Mindestschutzniveau sicherstellen zu können.
a) Begründung einer Auftragsdatenverarbeitung Sofern eine Auftragsdatenverarbeitung gem. § 11 BDSG vorliegt, ist die verantwortliche Stelle gem. § 11 Abs. 2 S. 1 und 4 BDSG zu einer sorgfältigen Auswahl und Überprüfung des Auftragnehmers verpflichtet. Die Kontrollpflicht besteht daher zunächst einmal für die verantwortliche Stelle selbst und nur mittelbar für den betrieblichen Datenschutzbeauftragten. In der Praxis wird man jedoch häufig Konstellationen antreffen, in denen diese Kontrollpflichten auf den betrieblichen Datenschutzbeauftragten entweder ganz oder teilweise verlagert werden. Es ist jedoch nicht statthaft, den Datenschutzbeauftragten mit dieser Prüfung allein zu beauftragen, sofern er nicht die notwendige personelle, technische oder monetäre Ausstattung zur Durchführung oder Fremdbeauftragung dieser Prüfungen hat. Soll ein Auftragsdatenverarbeiter eingeschaltet werden, so ist zunächst einmal durch den betrieblichen Datenschutzbeauftragten zu prüfen, ob die Notwendigkeit einer Vorabkontrolle gem. § 4d Abs. 5 BDSG besteht.51 Nur der Umstand, dass die verantwortliche Stelle einen Auftragsdatenverarbeiter einschaltet, lässt per se noch nicht auf besondere Risiken für die Rechte und Freiheiten der Betroffenen schließen. Dies gilt insbesondere für die Einschaltung von Auftragsdatenverarbeiter mit Sitz in Deutschland oder der EU. Etwas anders kann gelten, wenn der Auftragnehmer seinen Sitz außerhalb der EU hat, selbst wenn der Staat als sicheres Drittland von der EU angesehen wird.52 Dies gilt unabhängig vom Sitz des Auftragnehmers auch dann, wenn jedenfalls die Datenverarbeitung als solche in einem Drittstaat ganz oder zum Teil erfolgt, z. B. weil ein Unterauftragnehmer die Datenverarbeitung operativ durchführt und seinerseits außerhalb von EU oder EWR belegen ist. Selbst wenn man für die konkrete Datenverarbeitung die Notwendigkeit einer Vorabkontrolle als nicht gegeben ansieht, ist die Einbindung des betrieblichen Datenschutzbeauftragten notwendig, da meistens nur er die hierzu erforderliche datenschutzrechtliche Fachkunde hat und generell auf die Einhaltung der datenschutzrechtlichen Vorschriften hinzuwirken hat.53 Eine Kontrolle von Auftragsdatenverarbeitern im In- oder Ausland kann einen Vor-Ort-Besuch beim Auftragnehmer erforderlich machen. Es ist im Hinblick auf die
51 Siehe oben unter Rn 45. 52 Vgl. Kort, RDV 2011, 79 ff., der eine generelle Vorabkontrolle lediglich aufgrund der Tatsache eines Auftragsdatenverarbeiters im „sicheren“ Drittstaat ablehnt. 53 Koch, 3.8.1, S. 108.
Brauner/Mickler
73
74
75
76
77
70
Kapitel 3 Der betriebliche Datenschutzbeauftragte
jeweilige Datenverarbeitung und die besonderen Risiken für die Betroffenen jeweils abzuwägen, ob der betriebliche Datenschutzbeauftragte an einer solchen Vor-OrtKontrolle teilnehmen sollte. Gleichwohl muss man konstatieren, dass die persönliche Vor-Ort-Kontrolle in der Praxis eher die Ausnahme ist. Vielfach wird ein sog. Desktop-Review anhand von bereitgestellten Unterlagen des Auftragsdatenverarbeiters vorgenommen. Die Qualität dieser Unterlagen schwankt jedoch erheblich und eine reine Zusicherung, „die datenschutzrechtlichen Regeln würden eingehalten“, ist nicht ausreichend, um eine hinreichende technisch-organisatorische Sicherheit annehmen zu können.54 Praxistipp Ein Testat eines Sachverständigen, z. B. einer Wirtschaftsprüfungsgesellschaft, kann weitere eigene Kontrollhandlungen der verantwortlichen Stelle und des betrieblichen Datenschutzbeauftragten ersetzen, soweit dieses die aus datenschutzrechtlicher Sicht erforderlichen technisch-organisatorischen Maßnahmen abdeckt. Es ist deshalb wichtig, den Prüfungsstandard und den tatsächlichen Prüfungsgegenstand beim Auftragsdatenverarbeiter zu kennen. Nicht jedes Testat deckt die im konkreten Einzelfall notwendigen technischen und organisatorischen Anforderungen ab.
b) Regelmäßige Kontrollen der Auftragsdatenverarbeiter
78 Laut § 11 Abs. 2 S. 4 BDSG muss sich die verantwortliche Stelle nicht nur vor Beginn
der Datenverarbeitung von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen überzeugen, sondern hat dies auch regelmäßig nach Auftragserteilung zu tun. Diese Prüfungen und das Ergebnis sind zudem entsprechend zu dokumentieren. Zwar ist ein Verstoß gegen die regelmäßige Prüfungsverpflichtung – anders als 79 ein Verstoß gegen die Pflicht zur Erstkontrolle – nicht bußgeldbewährt, jedoch trotzdem rechtswidrig, was im Rahmen einer aufsichtsbehördlichen Prüfung zu einer Beanstandung oder Anordnung führen kann.55 Das BDSG legt keinen Zeitraum fest, in dem die regelmäßigen Überprüfungen 80 stattfinden müssen. Die verantwortliche Stelle sollte mit Unterstützung des Datenschutzbeauftragten für jedes Auftragsdatenverarbeitungsverhältnis – je nach betroffenen Daten und Gefährdungslage – einen Prüfungszyklus festlegen. Sofern sich die Art der Datenverarbeitung nicht wesentlich verändert hat, kann sich die Folgeprüfung an der Erstprüfung orientieren. Neben einer Auftragsänderung können aber natürlich geänderte Umstände, wie z. B. technische Weiterentwicklungen, die beim Auftragnehmer auf Wunsch der verantwortlichen Stelle umgesetzt werden sollen, zu einem erweiterten Prüfungsumfang führen.
54 Handreichung des BfDI v. 8.10.2010 zu § 11 BDSG, abrufbar unter http://www.bfdi.bund.de/. 55 Handreichung des BfDI v. 8.10.2010 zu § 11 BDSG, abrufbar unter http://www.bfdi.bund.de/.
Brauner/Mickler
B. Aufgaben
71
Praxistipp Der betriebliche Datenschutzbeauftragte sollte zur Sicherstellung des Prüfungszyklus eine Liste aller Auftragsdatenverarbeitungsverhältnisse und der zugrundeliegenden Prüfungshandlungen der verantwortlichen Stelle führen. Ausgehend vom Startdatum der Datenverarbeitung (und der letzten Kontrolle) sollte nach spätestens drei Jahren entweder eine neue selbstständige Prüfung erfolgen oder aber ein neuer Prüfungsnachweis des Auftragnehmers angefordert werden. Möglich ist auch eine interne Anlage zum Verfahrensverzeichnis.
III. Schulung der Mitarbeiter Die Aufgabe des Datenschutzbeauftragten nach § 4g Abs. 1 S. 4 Nr. 2 BDSG besteht 81 darin, alle mit der Datenverarbeitung im Unternehmen betrauten Mitarbeiter mit dem BDSG und anderen Vorschriften über den Datenschutz und auch mit den besonderen Erfordernissen des Datenschutzes „vertraut zu machen“. Bei der Ausgestaltung der dafür erforderlichen – in der Regel persönlich von ihm durchzuführenden – Schulung ist der Datenschutzbeauftragte frei. Dies soll ihm vor allem die Anpassung der Schulung an die konkreten Voraussetzungen im Unternehmen ermöglichen. Er kann sich grundsätzlich bei der Durchführung seiner Schulungen auch externer Unterstützung bedienen. Dies muss natürlich nach den allgemeinen Grundsätzen und Abläufen (z. B. Budget, Raumplanung) mit der verantwortlichen Stelle vorab geklärt werden. Praxistipp Die Einbeziehung des Betriebsrats sollte vor einer geplanten Schulungsmaßnahme nicht vergessen werden. Hier genügt erfahrungsgemäß, ohne die Ausübung weitergehender Rechte,56 eine einfache Information. Dies sollte darüber hinaus ohnehin zu der oben57 erläuterten Zusammenarbeit gehören.
Insbesondere kann der Datenschutzbeauftragte die Art und Weise, den Umfang, die 82 Schulungsinstrumente und den Rhythmus seiner Schulungen eigenständig ausgestalten. Bei der inhaltlichen Gestaltung kann und sollte er seine Freiheit zur Bildung von unternehmensspezifischen Schwerpunkten nutzen. Praxistipp Diese Schwerpunkte ergänzt um typische Praxisbeispiele aus dem eigenen Unternehmensalltag erhöhen die Aufmerksamkeit der Mitarbeiter. Allgemeine Ausführungen und vor allem eine Wiedergabe von Gesetzestexten sollten unterbleiben. Mit abstrakten Schulungen wird eine Chance zur Aufklärung und Umsetzung von Standards vertan.
56 §§ 96 bis 98 BetrVG. 57 Siehe Rn 61 ff.
Brauner/Mickler
72
Kapitel 3 Der betriebliche Datenschutzbeauftragte
Bei Präsenz-Schulungen sollte ausreichend Zeit für Fragen eingeplant werden. Es besteht so die Chance, mit einem relativ großen Kreis von Mitarbeitern ins Gespräch zu kommen. Diese stellen frisch geschult erfahrungsgemäß sehr konkrete Fragen zur Umsetzung an ihrem Arbeitsplatz. Die dort erarbeiteten Antworten sollten in die Update-Schulungen einfließen. So verbessert sich der Bezug zu den Arbeitsplätzen der Mitarbeiter von Schulung zu Schulung. Allein wegen dieser Gesprächsmöglichkeit sollte jeder Datenschutzbeauftragte bemüht sein, auch persönlich zu schulen. Entscheidend für den Datenschutzbeauftragten ist die Etablierung einer Kultur des Fragens. Dies bedeutet, dass alle Mitarbeiter im Unternehmen wissen sollten, dass ihre Fragen zum Datenschutz stets beantwortet werden. Dafür ist es entscheidend, dass der Datenschutzbeauftragte auf vielen Wegen gleichzeitig erreichbar ist. Seine Telefonnummer, E-Mail-Adresse und der interne Bürostandort sind umfassend zu kommunizieren. Besonders bei Mitarbeiterschulungen müssen sich Datenschutzbeauftragte auch um verständliche, konkrete und klare Antworten bemühen. Wird ausschließlich mit Verboten, Verneinungen oder „Auswahlantworten“ gearbeitet, bleibt eine der wichtigsten direkten Einflussmöglichkeiten auf Fragen des praktischen Datenschutzes weitgehend ungenutzt.
1. Schulungsinstrumente
83 Auch hinsichtlich der Schulungsinstrumente besteht Wahlfreiheit. Die Vorzüge einer
persönlichen Präsenzschulung durch den Datenschutzbeauftragten wurden bereits hervorgehoben. Wenn eine hohe Mitarbeiteranzahl geschult werden muss oder wegen vieler 84 dezentraler Standorte eine persönliche Betreuung durch den Datenschutzbeauftragten nicht gewährleistet werden kann, ist unter Umständen eine Online-Schulung sinnvoll. Praxistipp Am Markt sind von hochprofessionellen mehrsprachigen und individualisierbaren Learning Management- oder Learning Content Management-Systemen sowie Lernprogrammen (WBT/CBT) über sofort einsetzbare standardisierte e-Training-Produkte58 bis hin zu einfachen Präsentationen59 eine Vielzahl60 von Angeboten verfügbar. 85 Der Datenschutzbeauftragte kann aber jederzeit auch selbstentworfene Schulungs-
unterlagen, Merkblätter, Poster, Intranet-Meldungen, Newsletter, Beiträge in einem Mitarbeitermagazin oder Richtlinien entwerfen und zur Schulung verwenden.61 Auf diesem einfachen Weg ist auch jederzeit die Berücksichtigung von Besonderheiten des jeweiligen Unternehmens möglich.
58 Beispiele: http://e-training.haufe.de/datenschutz oder http://shop.weka.de/mitarbeiterschulunggrundlagen-des-datenschutzes-cbt. 59 Beispiel: http://shop.weka.de/datenschutzunterweisung-kompakt. 60 Anbieterübersicht E-Learning-Software: http://www.anbietercheck.de/Personal/Software/eLearning. 61 Vgl. nur Gola/Schomerus, § 4g Rn 21.
Brauner/Mickler
B. Aufgaben
73
2. Schulungen für neue Mitarbeiter Für neue Mitarbeiter ist es beim Eintritt in ein Unternehmen sinnvoll, sich möglichst 86 zu Beginn der Tätigkeit mit den bestehenden besonderen Datenschutzthemen des neuen Unternehmens vertraut zu machen. So lassen sich Risiken, die aus Unkenntnis über relevante Situationen mit Datenschutzbezug entstehen können, vermeiden. Für eine grundlegende Datenschutzschulung ist es – regelmäßige Wiederholungen vorausgesetzt – ausreichend, wenn neue Mitarbeiter beim nächsten Termin für alle Mitarbeiter eingeplant werden. Insbesondere allgemeine Schulungen aus Anlass des Eintritts ins Unternehmen sind nicht zielführend.62 Etwas Anderes gilt mit Blick auf die Verpflichtung auf das Datengeheimnis 87 nach § 5 S. 2 BDSG. Diese hat unmittelbar mit der Aufnahme der Tätigkeit zu erfolgen. Mit der Verpflichtung sind nähere Erläuterungen zum Datenschutz zu verbinden.63 Die Details zum Ablauf und der Zusammenarbeit mit anderen Abteilungen wurden bereits beschrieben.64 Praxistipp Die weiteren Erläuterungen könnten auch in Form einer Erstschulung erfolgen. Die Verpflichtung auf das Datengeheimnis lässt sich damit gut verbinden. Alternativ kann mit einem Merkblatt oder Erläuterungsschreiben des Datenschutzbeauftragten anlässlich der Verpflichtung gearbeitet werden. Letzteres ersetzt allerdings dann keine Schulung.
3. Regelmäßigkeit der Schulungen Hinsichtlich der Häufigkeit von Schulungen bestehen keine ausdrücklichen gesetz- 88 lichen Vorgaben. Eine Regelmäßigkeit und die daraus folgenden Schulungswiederholungen sind allerdings bereits deshalb zwingend, da sonst z. B. im Fall von Gesetzesänderungen Mitarbeiter nicht mehr i. S. d. § 4g Abs. 1 S. 4 Nr. 2 BDSG mit den Vorschriften des BDSG vertraut wären. Darüber hinaus kann ohne regelmäßige Wiederholungen weder eine dauerhafte Sensibilisierung noch die bereits angesprochene Kultur des Fragens erreicht werden. Praxistipp Unter Umständen sind bei der Festlegung des Schulungsturnus auch die Erwartungen von Kunden des eigenen Unternehmens zu berücksichtigen. Diese werden insbesondere bei Situationen der Auftragsdatenverarbeitung regelmäßige Schulungen einfordern. In der Praxis hat sich daher überwiegend der Trend zu einem jährlichen Schulungsrhythmus etabliert. Größere Abstände könnten bei Audits der Kunden negativ im Vergleich zum Wettbewerb hervortreten.
62 So im Ergebnis auch die Sicht des BfDI in: BfDI-Info 4, S. 30, abrufbar unter http://www.bfdi.bund. de/SharedDocs/Publikationen/Infobroschueren/INFO4.pdf. 63 Gola/Schomerus, § 4g Rn 21 und § 5 Rn 12. 64 Siehe dazu Rn 41.
Brauner/Mickler
74
Kapitel 3 Der betriebliche Datenschutzbeauftragte
IV. Auskunftsersuchen von Betroffenen 89 Der Datenschutzbeauftragte ist nach § 4g Abs. 1 S. 1 i. V. m. § 34 BDSG für die Erfüllung
der Pflicht zur Auskunftserteilung an Betroffene verantwortlich. Insoweit unterstützt er allerdings grundsätzlich nur die Leitung des Unternehmens. An dieses selbst als verantwortliche Stelle richtet sich der Auskunftsanspruch nach § 34 BDSG. In der Praxis lässt sich beobachten, dass viele Datenschutzbeauftragte die Aus90 künfte selbst erteilen. Dies ist hinsichtlich der bei ihnen vorhandenen Expertise und Sensibilität grundsätzlich sehr empfehlenswert. Auch scheinen Aufsichtsbehörden dies gelegentlich zu erwarten.65 Der Datenschutzbeauftragte sollte vor Übernahme dieser freiwilligen Aufgabe 91 seine zeitlichen Kapazitäten gründlich überprüfen. In der Literatur und von Aufsichtsbehörden66 werden zum Teil recht kurze Fristen67 für die Bearbeitung ab dem Zugang des Auskunftsersuchens angenommen.
Praxistipp Es kann in Betracht gezogen werden, den Datenschutzbeauftragten den gesamten Prozess68 der Bearbeitung von Auskunftsersuchen entwerfen zu lassen. Dies ist insbesondere hinsichtlich der Inhalte und der Form von Auskunftserteilungen zu empfehlen und kann etwa durch den Entwurf von Musterantwortschreiben geschehen. Daneben empfiehlt es sich, die auskunftserteilende Fachabteilung bei der Erstellung einer Antwort zu unterstützen, was im Besonderen gilt, falls ein standardisiertes Vorgehen aufgrund des Geschäftszwecks des Unternehmens eher ausscheidet. Diese Vorgehensweise erscheint insbesondere bei Unternehmen, die im Massengeschäft mit vielen Kundendaten in Berührung kommen, von großem Vorteil. Nur durch ein standardisiertes Vorgehen lässt sich die bestehende Erwartung an kurze Bearbeitungszeiten zur Zufriedenheit der Kunden, aber auch der Aufsichtsbehörden rationell erfüllen.
V. Zusammenarbeit mit der Aufsichtsbehörde 92 Während in der Vergangenheit die Zusammenarbeit des Datenschutzbeauftragten
mit der Aufsichtsbehörde – ob nun freiwillig oder unfreiwillig – tendenziell eher selten vorkam, ist eine solche Zusammenarbeit in der Praxis in den letzten Jahren häufiger anzutreffen. Dies ist hauptsächlich auf die deutlich gestiegene Bedeutung
65 HmbBfDl, 23. Tätigkeitsbericht, S. 195, abrufbar unter https://www.datenschutz-hamburg.de/fileadmin/user_upload/documents/23._Taetigkeitsbericht_Datenschutz_2010 – 2011.pdf. 66 Nach schriftlicher Auskunft des LfD BW v. 20.12.2012 – „zwei Wochen im Regelfall, drei Wochen in begründeten Ausnahefällen – etwa in Stoßzeiten“. 67 Simitis/Dix, § 34 Rn 42 fordert Unverzüglichkeit; a. A. BeckOK DatenSR/Schmidt-Wudy, § 4g Rn 5 (4 Wochen). 68 Die Einrichtung eines Beschwerdemanagements empfiehlt auch Forgó/Helferich/Schneider/ Haag, S. 141.
Brauner/Mickler
B. Aufgaben
75
des Themas Datenschutz in der öffentlichen Wahrnehmung und die nicht zuletzt dadurch gestiegene personelle Ausstattung der Aufsichtsbehörden zurückzuführen. Diese erweiterte Ausstattung ermöglicht den Behörden u. a. eine sehr viel intensivere Betreuung und auch Kontrolle der verantwortlichen Stellen. Die jeweilige Zuständigkeit der Aufsichtsbehörde ergibt sich aus § 38 Abs. 6 BDSG.
1. Einzelanfragen Nach § 4g Abs. 1 S. 2 BDSG kann sich der Datenschutzbeauftragte in Zweifelsfällen an 93 die für die Datenschutzkontrolle bei der verantwortlichen Stelle zuständige Behörde wenden. Zudem kann sich der Datenschutzbeauftragte gem. § 4g Abs. 1 S. 2 BDSG i. V. m. § 38 Abs. 1 S. 2 BDSG von der Aufsichtsbehörde beraten und unterstützen lassen. Die Behörde hat in diesem Zusammenhang die typischen Bedürfnisse der verantwortlichen Stelle und des Datenschutzbeauftragten zu berücksichtigen. Praxistipp Es besteht für den Datenschutzbeauftragten nicht nur ein Beratungsrecht im Hinblick auf die Aufsichtsbehörden, sondern gem. § 4d Abs. 6 S. 3 BDSG auch eine Beratungs- bzw. Konsultationspflicht, wenn im Rahmen der Vorabkontrolle Zweifel an der Rechtmäßigkeit der Datenverarbeitung bestehen.
Die Einschaltung der Aufsichtsbehörde muss in jedem Fall vorab geprüft und abge- 94 wogen werden. Der Datenschutzbeauftragte muss insbesondere zwischen dem Beratungsrecht der Aufsichtsbehörde und seiner eigenen Treuepflicht gegenüber dem Arbeitgeber bzw. Auftraggeber im Falle eines externen Datenschutzbeauftragten abwägen.69 Hierbei sind z. B. folgende Fallkonstellationen denkbar:
a) Allgemeine Anfragen Sofern keine konkrete Datenverarbeitung besprochen werden soll, sondern nur 95 Fragen z. B. im Hinblick auf Verfahrensverzeichnis, Datenschutzorganisation oder Schulungspflichten zu erörtern sind, so liegt einer solchen Anfrage oftmals keine innerbetriebliche Uneinigkeit zugrunde. Die Anfrage sollte dennoch vorab mit den zuständigen Bereichen der verantwortlichen Stelle und nicht zuletzt dem Leiter der verantwortlichen Stelle (vgl. § 4f Abs. 3 S. 1 BDSG) abgestimmt werden. Bei vielen Aufsichtsbehörden können solche Fragen informell per Telefon geklärt werden, was regelmäßig auch vorzugswürdig ist, um eventuelle Überraschungen auszuschließen. Daneben ist natürlich die Kommunikation per E-Mail sowie eine schriftliche Anfrage ebenfalls möglich.
69 Gola/Schomerus, § 4d Rn 18.
Brauner/Mickler
76
Kapitel 3 Der betriebliche Datenschutzbeauftragte
b) Konkrete Anfragen zu bestimmten Datenverarbeitungen
96 Sofern nicht von der zuvor erörterten Konsultationspflicht des Datenschutzbeauftrag-
ten im Rahmen einer Vorabkontrolle ausgegangen werden muss, gibt es in der Praxis häufig Situationen, in denen der Datenschutzbeauftragte gerne die Meinung der Aufsichtsbehörde einholen möchte. Sofern dieser Konsultation eine konkret geplante oder bereits stattfindende Datenverarbeitung zugrunde liegt, muss die Anfrage bei der Aufsichtsbehörde wohlüberlegt sein. Im ungünstigsten Fall nimmt die Aufsichtsbehörde diese Anfrage und den damit verbundenen Hinweis auf potenziell rechtswidrige Datenverarbeitungen zum Anlass, bei der verantwortlichen Stelle eine behördliche Kontrolle gem. § 38 Abs. 4 BDSG einzuleiten. Praxistipp Die Einschaltung eines externen Rechtsanwalts bietet sich zur Lösung derartiger Situationen an. Zum einen kann der Rechtsanwalt den Sachverhalt zunächst selbst prüfen und den Datenschutzbeauftragten und die Verantwortlichen der datenverarbeitenden Stelle entsprechend beraten. Zum anderen kann der Rechtsanwalt bei der Aufsichtsbehörde eine anonyme Anfrage stellen, um den Sachverhalt zunächst einmal ohne Offenlegung seines Mandanten zu diskutieren. Aufgrund der Verschwiegenheitspflichten des Rechtsanwalts kann die Behörde auf diesem Weg keine weitergehenden Informationen verlangen.70
c) Datenschutzverstöße
97 Ob in Fällen von festgestellten Datenschutzverstößen eine Pflicht des Daten-
schutzbeauftragten zur Einschaltung der Aufsichtsbehörde besteht, ist in der Literatur umstritten. Es wird vertreten, dass bei Verstößen gegen Datenschutzregeln grundsätzlich 98 die Aufsichtsbehörde einzuschalten sei, da Zuwiderhandlungen keine interne Angelegenheit der verantwortlichen Stellen seien. Sofern der Datenschutzbeauftragte erfolglos bei der Leitung der verantwortlichen Stelle um Abhilfe gebeten hat oder aber ein für die schutzwürdigen Interessen der Betroffenen besonders schwerwiegender Verstoß vorliegt, soll der Datenschutzbeauftragte keine andere Wahl haben, als die Aufsichtsbehörde einzuschalten – ansonsten verletzte auch der Datenschutzbeauftragte seine Kontrollpflichten. Es sei nicht Aufgabe des Datenschutzbeauftragten, Konsequenzen im Hinblick auf den Datenschutzverstoß für die verantwortliche Stelle zu verhindern.71 Demgegenüber wird aus praktischer Sicht überzeugender vertreten, dass der 99 Datenschutzbeauftragte bei der Feststellung eines Datenschutzverstoßes zunächst alle internen Möglichkeiten ausschöpfen muss, um den Gesetzesverstoß zu
70 Vgl. KG Berlin, Beschl. v. 20.8.2010 – 1 Ws (B) 51/07 – 2 Ss 23/07 = NJW 2011, 324. 71 Simitis/Simitis, § 4g Rn 23 f.
Brauner/Mickler
B. Aufgaben
77
beenden und die Folgen zu beseitigen, was in aller Regel auch die Unterrichtung der Geschäftsleitung einschließt.72 Aufgrund der gestiegenen Sensibilität für datenschutzrechtliche Fragen wird die Geschäftsleitung einen Datenschutzverstoß in aller Regel auch selbst abstellen wollen. Der Datenschutzbeauftragte könnte sich zu diesem Zweck zusätzlich auch an den Compliance-Beauftragten wenden, soweit ein solcher im Unternehmen bestellt worden ist. Nur soweit tatsächlich intern keine Abhilfe zu schaffen ist, muss sich der Datenschutzbeauftragte an die Aufsichtsbehörde wenden. Aufgrund seiner Treuepflichten ist dies aber der verantwortlichen Stelle bzw. der Geschäftsleitung vorab anzuzeigen.
2. Genehmigungsverfahren und Abstimmungen Aufgrund der fortschreitenden Globalisierung entstehen immer mehr internationale Geschäftsbeziehungen oder Konzerne. Damit einher geht natürlich auch ein entsprechender Datentransfer, der regelmäßig nicht bloß strukturierte, nicht-personenbezogene, sondern auch personenbezogene Daten enthält. Sofern diese Datenübermittlungen lediglich innerhalb der EU oder des EWR stattfinden oder an sichere Drittstaaten erfolgen, ist bei der Berücksichtigung der Anforderungen des BDSG regelmäßig keine Genehmigung durch die Aufsichtsbehörden erforderlich. Sofern jedoch auch sog. unsichere Drittstaaten in die Datenübermittlung und -verarbeitung einbezogen werden sollen, ist oftmals eine Genehmigung durch die Aufsichtsbehörden unumgänglich, da die in § 4c Abs. 1 BDSG normierten Ausnahmen einen nur sehr eingeschränkten Anwendungsbereich haben. Dies gilt jedenfalls dann, wenn sich keine hinreichenden Maßnahmen zur Sicherstellung eines angemessenen Datenschutzniveaus i. S. v. § 4b Abs. 2 S. 2 BDSG treffen lassen, wobei insoweit insbesondere der Abschluss von EU-Standardvertragsklauseln in Betracht kommt. Sollte ein Verarbeitungsbezug zu den USA bestehen, kann sich auch beim Abschluss von EU-Standardvertragsklauseln zumindest eine Abstimmung mit den Aufsichtsbehörden empfehlen, da diese die Legitimationswirkung der EU-Standardvertragsklauseln aufgrund der offenkundig gewordenen Spionageaktivitäten der USA anzweifeln; dasselbe gilt, falls eine Safe Harbor-Zertifizierung als Nachweis eines angemessenen Datenschutzniveaus von Datenempfängern in den USA herangezogen werden soll.73 In der Praxis hat sich gezeigt, dass der frühzeitige Kontakt zu den Aufsichtsbehörden sehr positiv aufgenommen wird. Eventuelle Probleme und Übergangslösungen lassen sich wesentlich konstruktiver diskutieren, wenn der Datenschutz-
72 Gola/Schomerus, § 4g Rn 15; Schaffland/Wiltfang, 4g Rn 5. 73 Vgl. Pressemitteilung der Konferenz der Datenschutzbeauftragten des Bundes und der Länder „Geheimdienste gefährden massiv den Datenverkehr zwischen Deutschland und außereuropäischen Staaten“ v. 24.7.2013, abrufbar unter http://www.bfdi.bund.de/.
Brauner/Mickler
100
101
102
103
78
Kapitel 3 Der betriebliche Datenschutzbeauftragte
beauftragte der verantwortlichen Stelle eigeninitiativ auf die entsprechenden Ansprechpartner zugeht. Der Datenschutzbeauftragte wird von den Behörden gerne als erster Ansprechpartner bei der verantwortlichen Stelle angesehen, er sollte immer beim Kontakt mit Aufsichtsbehörden zugegen sein, auch wenn die Geschäftsleitung selbst den Kontakt mit der Behörde sucht. Ein initialer Kontakt per Telefon verhilft dem Datenschutzbeauftragten regel104 mäßig dazu, zu erfahren, welche Informationen die Aufsichtsbehörde (in welcher Form) für die Genehmigung benötigt bzw. welche Rechtsauffassung sie zu einzelnen Fragestellungen vertritt. Verbindliche Auskünfte erhält man gleichwohl in der Regel nur nach einer schriftlichen Anfrage, wobei für eine Beantwortung stets eine gewisse Bearbeitungszeit einkalkuliert werden sollte. Nicht zuletzt bei langwierigen behördlichen Genehmigungsverfahren, wie z. B. 105 der Genehmigung von Binding Corporate Rules, hat sich auch die persönliche Kontaktaufnahme zu den Aufsichtsbehörden bewährt. Bei den in diesem Zusammenhang stattfindenden Präsenztreffen kann man den Hintergrund der Anfrage und den Sachverhalt umfassend darstellen und diskutieren. Praxistipp In internationalen Konzernen werden genehmigungspflichtige Datenschutzvereinbarungen oftmals von globalen Stellen verabschiedet. Der Datenschutzbeauftragte sollte diesen internationalen Gremien die besonders hohen deutschen Anforderungen erläutern und auf seine frühzeitige Einbindung hinwirken. Erste Entwürfe derartiger Datenschutzvereinbarungen können der Aufsichtsbehörde als Entwurf mit der Bitte um Stellungnahme zugeleitet werden. Die entsprechenden Hinweise, die seitens der Aufsichtsbehörde erteilt werden, sollten umgesetzt werden, da dies der verantwortlichen Stelle langwierige Verhandlungen und ggf. Auseinandersetzungen im Rahmen eines Genehmigungsverfahrens erspart. 106 In den Aufsichtsbehörden gibt es regelmäßig einen Geschäftsverteilungsplan,
sodass die für den internationalen Datentransfer zuständigen Beamten oftmals auch direkt angesprochen werden können – dies gilt es, für den Datenschutzbeauftragten herauszufinden. Praxistipp Die jeweilige Internet-Homepage der Landesdatenschutzbeauftragten enthält viele nützliche Informationen und insbesondere auch Kontaktmöglichkeiten bezüglich der zuständigen Ansprechpartner.
107 Datenschutzrechtliche Genehmigungsverfahren sind in einigen Bundesländern, z. B.
Berlin, kostenpflichtig. Der Datenschutzbeauftragte sollte dies daher vorab prüfen und über die Geschäftsleitung ein entsprechendes Budget bereitstellen lassen.
Brauner/Mickler
B. Aufgaben
79
3. Betriebsprüfungen Die Aufsichtsbehörde kontrolliert gem. § 38 Abs. 1 BDSG die Ausführung bzw. Einhal- 108 tung der Anforderungen des BDSG sowie anderer Vorschriften über den Datenschutz, soweit diese die automatisierte Verarbeitung personenbezogener Daten oder die Verarbeitung oder Nutzung personenbezogener Daten in oder aus nicht automatisierten Dateien regeln, einschließlich des Rechts der EU-Mitgliedstaaten in den Fällen des § 1 Abs. 5 BDSG (also in den Fällen, in denen das BDSG nicht anwendbar ist).74 Die Prüfung kann sich sowohl auf einen konkreten Anlass beziehen, als auch im Rahmen einer allgemeinen Stichprobe erfolgen. Die Betriebsprüfung bezieht sich regelmäßig auch auf den Datenschutzbeauf- 109 tragten selbst, d. h., es wird überprüft, ob er die Anforderungen an seine Rolle erfüllt. Im Rahmen der Prüfung kann auch die Fachkunde und Zuverlässigkeit des Datenschutzbeauftragten geprüft werden. Auch mögliche Interessenkonflikte (z. B. der Anti-Korruptions- oder Geldwäschebeauftragte ist gleichzeitig Datenschutzbeauftragter) sind immer wieder Gegenstand von Diskussionen.75 Wie auch im Rahmen von Genehmigungsverfahren ist der Datenschutzbeauf- 110 tragte bei Betriebsprüfungen der Aufsichtsbehörde gem. § 38 BDSG regelmäßig der erste Ansprechpartner, obgleich sich die Prüfung primär auf die verantwortliche Stelle bezieht. Praxistipp Erfährt der Datenschutzbeauftragte von einer anstehenden Betriebsprüfung, muss er die Leitung der verantwortlichen Stelle sofort informieren. Dabei sollten die Aufgabenverteilung bei der Abarbeitung der behördlichen Anforderungen und eine grundsätzliche Strategie abgestimmt werden. Zu einer solchen Strategie kann es z. B. gehören, sich im Rahmen des Verfahrens anwaltlich vertreten zu lassen. Dies ist jedoch nicht in jedem Fall ratsam, da es teilweise hilfreich ist, wenn der Datenschutzbeauftragte als erster Ansprechpartner der Behörde weiterhin nach außen alleine auftritt, zumal bei anwaltlicher Vertretung die Korrespondenz stets zwischen Aufsichtsbehörde und Rechtsanwalt abläuft. In jedem Falle empfiehlt es sich aber, sich bei Kontrollhandlungen der Aufsichtsbehörde zumindest im Hintergrund von einer spezialisierten Rechtsanwaltskanzlei beraten zu lassen, da diese in der Regel umfassendere Erfahrungen im Umgang mit solchen Situationen haben wird.
4. Auskunfts- und Einsichtsrecht Das BDSG räumt den Aufsichtsbehörden umfassende Auskunfts- und Einsichts- 111 rechte ein (vgl. §§ 38 Abs. 3 S. 1 und Abs. 4 BDSG). Üblicherweise wird die Aufsichtsbehörde die verantwortliche Stelle zunächst zu einer schriftlichen Stellungnahme auffordern. Die Aufsichtsbehörde versendet hierzu oftmals auch Fragenkataloge, aus denen Gegenstand und Umfang der Prüfung hervorgehen. Neben der materiel-
74 Vgl. hierzu Kap. 9 Rn 29 ff. 75 Gola, RDV 2013, 244.
Brauner/Mickler
80
Kapitel 3 Der betriebliche Datenschutzbeauftragte
len Kontrolle, ob bestimmte Datenverarbeitungen rechtlich zulässig sind, werden folgende Bereiche häufig mitüberprüft: – Fachkunde des Datenschutzbeauftragten/mögliche Interessenkollisionen, – Verfahrensverzeichnis gem. § 4g Abs. 2 BDSG, – Verpflichtung der Mitarbeiter auf das Datengeheimnis gem. § 5 BDSG, – eventuelle Meldepflichten nach § 4d BDSG, – Auftragsdatenverarbeitungen gem. § 11 BDSG, – technisch-organisatorische Maßnahmen nach § 9 BDSG.76 Praxistipp Die Möglichkeit zur Stellungnahme sollte keinesfalls verpasst werden, anderenfalls sind weitergehende Maßnahmen der Aufsichtsbehörde, wie z. B. Vor-Ort-Prüfungen, möglich. Der Inhalt der Stellungnahme muss jedoch sehr sorgfältig abgewogen, qualitätsgesichert und mit der Geschäftsleitung abgestimmt werden. Da sich die Geschäftsleitung für die Einhaltung des Datenschutzes verantwortlich zeichnet, sollten Stellungnahmen möglichst auch von ihr mitunterzeichnet sein; in jedem Falle ist sicherzustellen, dass der Datenschutzbeauftragte bei eigener Stellungnahme die hierfür erforderliche Vertretungsbefugnis (z. B. eingeräumt über von der Geschäftsleitung erlassene Datenschutzrichtlinien) besitzt. Es ist sehr empfehlenswert, die zur Prüfung durch die Aufsichtsbehörde anstehenden Bereiche schon vorab intern zu überprüfen, um eventuelle Mängel eigeninitiativ mit der Behörde besprechen zu können.77 Vor jeder Form der Auskunft ist durch den Datenschutzbeauftragten und der verantwortlichen Stelle zu prüfen, ob eventuelle berufsrechtliche Verschwiegenheitspflichten eine Aussage gegenüber der Behörde unmöglich machen (so z. B. bei Ärzten, Wirtschaftsprüfern, Steuerberatern, Anwälten).78 Die Pflicht zur Verschwiegenheit zählt bei den entsprechend verpflichteten Berufsgruppen zu den berufsrechtlichen Grundwerten. Die Schweigepflicht besteht grundsätzlich gegenüber jedermann, auch gegenüber Behörden, Gerichten und anderen Stellen.79 Das BDSG räumt zwar der Aufsichtsbehörde in § 38 gegenüber nicht-öffentlichen Stellen bestimmte Kontrollrechte ein. Diese finden allerdings gem. § 1 Abs. 3 BDSG ihre Grenzen in der gesetzlichen Verschwiegenheitspflicht.80 Eine mögliche Lösung ist das Schwärzen von entsprechenden Mandats- oder Patienteninformationen. In jedem Fall sollte dieses Thema vorab mit der Behörde besprochen und abgestimmt werden. 112 Eine Vor-Ort-Prüfung der Aufsichtsbehörde erfolgt nicht in jedem Fall. Sofern eine
Vor-Ort-Prüfung stattfindet, so jedenfalls regelmäßig erst nach der schriftlichen Stellungnahme der verantwortlichen Stelle. Die Behörde darf zu diesem Zweck während
76 Seiffert, Kap. III Nr. 2 mit vielen weiteren Hinweisen aus der Praxis. 77 Eine Checkliste liefert Seiffert, Kap. III Nr. 2 mit vielen weiteren Hinweisen aus der Praxis, Kap. V. 78 KG Berlin, Beschl. v. 20.8.2010 – 1 Ws (B) 51/07 – 2 Ss 23/07 = NJW 2011, 324. 79 BGH, Urt. v. 20.4.1983 – VIII ZR 46/82 – BeckRS 1983, 31387163. 80 Entsprechend hat auch das Kammergericht (siehe KG Berlin, Beschl. v. 20.8.2010 – 1 Ws (B) 51/07 – 2 Ss 23/07 = NJW 2011, 324.) für den anwaltlichen Bereich ausgeführt, dass das behördliche Auskunftsrecht nach § 38 Abs. 3 S. 1 BDSG seine Schranke gem. § 38 Abs. 3 S. 2 BDSG jedenfalls dort findet, wo die Erfüllung des Auskunftsbegehrens den Auskunftserteilenden „der Gefahr strafgerichtlicher Verfolgung oder eines Verfahrens nach dem Gesetz über Ordnungswidrigkeiten aussetzen würde“.
Brauner/Mickler
B. Aufgaben
81
der üblichen Betriebs- und Geschäftszeiten Grundstücke und Geschäftsräume der verantwortlichen Stelle betreten. Praxistipp Der tatsächliche Prüfungsgegenstand sollte vorab mit der Aufsichtsbehörde besprochen werden, um den Aufwand auf beiden Seiten zu minimieren. So bietet es sich an, den Beamten z. B. eigene Räumlichkeiten vor Ort bereitzustellen, in dem Unterlagen und Computer mit den zu prüfenden Informationen eingesehen werden können.
5. Aussageverweigerungsrecht Das BDSG räumt jedoch in § 38 Abs. 3 S. 2 und 3 auch den geprüften Stellen Rechte 113 ein. Der Auskunftspflichtige – dies schließt den Datenschutzbeauftragten regelmäßig ein – darf die Auskunft auf solche Fragen verweigern, deren Beantwortung ihn selbst oder einen anderen der in § 383 Abs. 1 Nr. 1 bis 3 ZPO bezeichneten Angehörigen der Gefahr der strafrechtlichen Verfolgung oder eines Verfahrens nach dem OWiG aussetzen würde. Vor einer Prüfung ist der Auskunftspflichtige auf dieses Recht hinzuweisen.
6. Anordnungen der Aufsichtsbehörde Die Aufsichtsbehörde kann Anordnungen gem. § 38 Abs. 5 BDSG treffen. So kann 114 z. B. angeordnet werden, dass ein Mangel abzustellen ist – möglich ist jedoch auch die gleichzeitige Anordnung, wie der konkrete Mangel zu beheben ist. Wird der Mangel nicht behoben, wird seitens der Aufsichtsbehörde eine entsprechende Frist, einschließlich Androhung eines Zwangsgeldes, gesetzt. Ein sofortiges Verbot einer Datenverarbeitung wird die Aufsichtsbehörde nur im Ausnahmefall anordnen.81 Praxistipp Sofern nicht der Datenschutzbeauftragte selbst von der Anordnung betroffen ist und abberufen wird, sollte er einen Projektplan für die Umsetzung der behördlichen Anforderungen erstellen. Dieser Projektplan sollte entsprechende Meilensteine bzw. Fristen enthalten und mit der Geschäftsleitung der verantwortlichen Stelle abgestimmt werden. Der Datenschutzbeauftragte sollte die Umsetzung dieses Plans überwachen und überprüfen.
81 Gola/Schomerus, § 38 Rn 26.
Brauner/Mickler
82
Kapitel 3 Der betriebliche Datenschutzbeauftragte
VI. Erstellung eines Datenschutzberichts 115 Es besteht für Datenschutzbeauftragte keine gesetzliche Verpflichtung, einen Bericht
zu erstellen. Diese Verpflichtung trifft, in der Regel alle zwei Jahre, ausschließlich die Beauftragten für den Datenschutz in Bund (§ 26 Abs. 1 BDSG) und Ländern (z. B. § 31 Abs. 2 LDSG BW). Gleichwohl ist die Erstellung eines Datenschutzberichtes zu empfehlen. Ihm 116 kommt – einen gewissen Umfang und eine gewisse Detailierungstiefe vorausgesetzt – eine wichtige Dokumentations- und Außenwirkungsfunktion zu, was gerade mit Blick auf die eigene Compliance-Verantwortung des Datenschutzbeauftragten von grundsätzlicher Bedeutung für ihn und die verantwortliche Stelle ist. Gleichzeitig kann dieser ggf. herangezogen werden, um Kunden der Unternehmensleitung und den Aufsichtsbehörden einen aktuellen Überblick über die Aktivitäten des Datenschutzbeauftragten zu verschaffen. Besonders auf Kundenseite hat die Erwartung hinsichtlich der Erstellung eines Datenschutzberichtes deutlich zugenommen, wenngleich stets darauf geachtet werden sollte, dass über den Datenschutzbericht keine geheimhaltungsbedürftigen Tatsachen an Kunden gelangen (z. B. bezüglich der technisch-organisatorischen Sicherheit im Unternehmen oder dem Berufsgeheimnis unterliegende Tatsachen). Hinsichtlich der Form sind verschiedene Gestaltungen, z. B. als Tätigkeitsbericht oder Handlungsempfehlung, denkbar. Praxistipp Um den Erstellungsaufwand etwas zu senken, sollten unterjährig erstellte Dokumentationen, Stellungnahmen oder Auskünfte eingearbeitet werden. Der Bericht soll ja gerade die aktuell bearbeiteten Themen darstellen. 117 Für die Erstellung stehen Datei-Muster und Handlungsempfehlungen verschiedens-
ter Autoren zur Verfügung.82
C. Status I. Stellung als interner Datenschutzbeauftragter 118 Als interner Datenschutzbeauftragter gelten Mitarbeiter, die sich in einem regulären
Arbeitsverhältnis mit der verantwortlichen Stelle befinden. Die Tätigkeit kann in Vollzeit oder aber Teilzeit ausgeübt werden, dies richtet sich regelmäßig nach der Größe der verantwortlichen Stelle sowie insbesondere auch der Quantität und Qualität der tatsächlich verarbeiteten personenbezogenen Daten. Der interne Datenschutzbeauf-
82 Beides beispielhaft zu finden bei Grimme, Datenschutz-Management Online, HI2859310.
Brauner/Mickler
C. Status
83
tragte ist in der überwiegenden Anzahl der deutschen Unternehmen weiterhin der Regelfall. So hat eine aktuelle Umfrage ergeben, dass 58 % der Unternehmen mit bis zu 50 Beschäftigten und sogar 71 % der Unternehmen mit mehr als 50.000 Beschäftigten einen internen Datenschutzbeauftragten bestellt haben.83 Neben den persönlichen Anforderungen an die Fachkunde und Zuverlässigkeit 119 (siehe oben) besitzt der Datenschutzbeauftragte Privilegien, die seine besondere Rolle im Unternehmen unterstreichen. Hier ist beim internen Datenschutzbeauftragten insbesondere das Benachteiligungsverbot nach § 4f Abs. 3 S. 2 BDSG und der Kündigungsschutz gem. § 4f Abs. 3 S. 5 BDSG zu nennen.84
II. Stellung als externer Datenschutzbeauftragter Der externe Datenschutzbeauftragte ist kein Mitarbeiter der verantwortlichen Stelle. 120 Externe Datenschutzbeauftragte nehmen ihre Kontrollfunktionen regelmäßig bei verschiedenen verantwortlichen Stellen wahr. Eine Exklusivität ist angesichts der teilweise kleinen Aufträge nicht möglich, sodass vielfach auch Berufsgruppen, die mit ihren Leistungen einen entsprechenden Kreis der Adressaten ansprechen, ihr Angebot um die Aufgaben eines Datenschutzbeauftragten ergänzen, so z. B. Rechtsanwälte oder Unternehmensberater.85 Praxistipp Soll ein externer Datenschutzbeauftragter eingesetzt werden, muss dessen Qualifikation umfassend vorab geprüft werden, da die Leitung der verantwortlichen Stelle diesen oftmals vorher nicht kennt. Im Rahmen dieser Prüfung sollten auch mögliche Interessenkonflikte ausgeschlossen werden, wenn die fragliche Person z. B. schon bei einem Konkurrenten bestellt wurde oder aber sein Anstellungsunternehmen bereits IT-Dienstleistungen für das eigene Unternehmen erbringt.
Es ist in der Literatur umstritten, ob auch eine juristische Person zum externen 121 Datenschutzbeauftragten bestellt werden kann. So könne die Fachkunde und Zuverlässigkeit sowie die gem. § 4f Abs. 3 S. 1 BDSG geforderte Unterstellung unter die Leitung der verantwortlichen Stelle nur von einer natürlichen Person verwirklicht werden.86 Demgegenüber steht jedoch die Auffassung, dass § 4f Abs. 2 S. 3 BDSG ausdrücklich nur von einer „Person“ außerhalb der verantwortlichen Stelle spricht und damit die Bestellung einer juristischen Person dem Wortlaut nach nicht ausgeschlossen ist. Hierfür wird auch angeführt, dass Fachkunde und Zuverlässigkeit
83 Belke/Neumann/Zier, DuD 2013, 578. 84 Vgl. Einzelheiten zur allgemeinen organisatorischen Stellung des Datenschutzbeauftragten sowie zum Widerruf der Bestellung unten in III. bzw. VIII. 85 Simitis/Simitis, § 4f Rn 46. 86 Gola/Schomerus, § 4f Rn 19; Schaffland/Wiltfang, § 4f Rn 45.
Brauner/Mickler
84
Kapitel 3 Der betriebliche Datenschutzbeauftragte
keine Eigenschaften seien, die nur natürlichen Personen vorbehalten seien.87 Dabei erschließt sich allerdings nicht ohne Weiteres, wie eine juristische Person, die ausschließlich durch Organe und sonstige Vertreter rechtsverbindlich am Rechtsverkehr teilnehmen kann, über eine eigene Fachkunde verfügen soll. Praxistipp Sofern eine juristische Person bestellt werden soll, so sollte im Vertrag gleichwohl ein zentraler Mitarbeiter benannt werden, der die Aufgaben des Datenschutzbeauftragten wahrnimmt. Die verantwortliche Stelle sollte einen Genehmigungsvorbehalt vereinbaren, sofern dieser Mitarbeiter durch die juristische Person ausgetauscht werden soll. 122 Der Vertrag mit dem externen Datenschutzbeauftragten muss so ausgestaltet
sein, dass die Aufgaben des Datenschutzbeauftragten tatsächlich auch unabhängig wahrgenommen werden können. Hierzu bedarf es der Regelungen zu angemessenen Vertragslaufzeiten, Kündigungsrechten, Zahlungsmodalitäten, Haftungsbegrenzungen und Dokumentationspflichten.88
Praxistipp Empfehlenswert ist eine drei- bis vierjährige Bestellung, bei Erstverträgen kann diese auch kürzer sein.89
III. Organisatorische Stellung im Unternehmen 123 Voraussetzung für eine erfolgreiche Arbeit des Datenschutzbeauftragten ist neben
der persönlichen Qualifikation seine Unterstützung und Einbettung in die Prozesse der verantwortlichen Stelle. Die herausgehobene Stellung des Datenschutzbeauftragten wird u. a. durch § 4f Abs. 3 S. 1 BDSG deutlich. Danach ist er dem Leiter der verantwortlichen Stelle unmittelbar zu unterstellen. Trotz dieser Stellung verbleibt die Verantwortung für die Einhaltung der datenschutzrechtlichen Vorgaben bei der Unternehmensleitung und kann nicht auf den Datenschutzbeauftragten verlagert werden.90
87 Simitis/Simitis, § 4f Rn 48 ff.; vgl. auch ULD in „Der Auftragnehmer als externer betrieblicher Datenschutzbeauftragter?“, abrufbar unter https://www.datenschutzzentrum.de/wirtschaft/auftrag nehmer.htm, das diesbezüglich auch auf eine Abstimmung im Düsseldorfer Kreis verweist. 88 Beschluss der obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich (Düsseldorfer Kreis) v. 24./25.11.2010, II. 2., abrufbar unter http://www.bfdi.bund.de/. 89 Siehe zu internen Datenschutzbeauftragten Rn 22. 90 Gola/Schomerus, § 4f Rn 47.
Brauner/Mickler
C. Status
85
Praxistipp Regelmäßige Treffen mit der Unternehmensleitung sollten vorab vereinbart werden, um datenschutzrechtliche Themen an dieser Stelle regelmäßig thematisieren zu können und eine entsprechende „Datenschutz-Awareness“, d. h. eine Kultur des Datenschutzes, zu fördern. Bei externen Datenschutzbeauftragten kann sich die Einrichtung eines unternehmensinternen Datenschutzkoordinators empfehlen, der als Schnittstelle zwischen Geschäftsleitung und Datenschutzbeauftragten fungiert. Dabei muss es aber auch dem externen Datenschutzbeauftragten möglich bleiben, bei Bedarf jederzeit unmittelbar an die Geschäftsleitung heranzutreten. Zusätzlich sollte auch ein regelmäßiger Austausch mit anderen relevanten Leitungsbereichen unterhalb der Geschäftsführung erfolgen, insbesondere mit dem Leiter der IT, HR sowie auch mit dem Betriebsrat. Es bietet sich auch an, diesbezüglich ein gemeinsames Gremium zu schaffen, welches mit Vertretern der Arbeiter- und Arbeitnehmerseite sowie dem Datenschutzbeauftragten besetzt ist.
Der Beschluss der obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentli- 124 chen Bereich (Düsseldorfer Kreis) am 24./25.11.2010 präzisiert die erforderlichen Rahmenbedingungen innerhalb der verantwortlichen Stelle zusätzlich wie folgt: „1. Die Prüfpflichten der Datenschutzbeauftragten (vgl. § 4g BDSG) setzen voraus, dass ihnen die zur Aufgabenerfüllung erforderlichen Zutritts- und Einsichtsrechte in alle betrieblichen Bereiche eingeräumt werden. 2. Datenschutzbeauftragte müssen in alle relevanten betrieblichen Planungs- und Entscheidungsabläufe eingebunden werden. Sie führen das Verfahrensverzeichnis (§ 4g Abs. 2 BDSG) und haben hierfür die erforderlichen Unterlagen zu erhalten. 3. Zur Erhaltung der zur Erfüllung seiner Aufgaben erforderlichen Fachkunde haben die verantwortlichen Stellen den Datenschutzbeauftragten die Teilnahme an Fort- und Weiterbildungsveranstaltungen zu ermöglichen und deren Kosten zu übernehmen. Bei der Bestellung von externen Datenschutzbeauftragten kann die Fortbildung Bestandteil der vereinbarten Vergütung sein und muss nicht zusätzlich erbracht werden. 4. Internen Datenschutzbeauftragten muss die erforderliche Arbeitszeit zur Erfüllung ihrer Aufgaben und zur Erhaltung ihrer Fachkunde zur Verfügung stehen. Bei Bestellung eines externen DSB muss eine bedarfsgerechte Leistungserbringung gewährleistet sein. Sie muss in angemessenem Umfang auch in der beauftragenden verantwortlichen Stelle selbst erbracht werden. Ein angemessenes Zeitbudget sollte konkret vereinbart und vertraglich festgelegt sein. 5. Die verantwortlichen Stellen haben Datenschutzbeauftragte bei der Erfüllung ihrer Aufgaben insbesondere durch die zur Verfügung Stellung von Personal, Räumen, Einrichtung, Geräten und Mitteln zu unterstützen (§ 4f Abs. 5 BDSG).“
Das BDSG trifft keine Aussagen über die Hierarchiestufe des Datenschutzbeauf- 125 tragten. Trotzdem muss der Rolle des Datenschutzbeauftragten durch eine angemessene hierarchische Einordnung der bestellten Person Rechnung getragen werden, um die Aufgaben auch mit der notwendigen Autorität durchführen zu können.91
91 Vgl. hierzu Simitis/Simitis, § 4f Rn 117, der von einem Bereichs-, Hauptabteilungsleiter oder Abteilungsdirektor ausgeht.
Brauner/Mickler
86
Kapitel 3 Der betriebliche Datenschutzbeauftragte
IV. Weisungsrechte 126 Der Datenschutzbeauftragte ist in Ausübung seiner Fachkunde auf dem Gebiet des
Datenschutzes weisungsfrei (§ 4f Abs. 3 S. 2 BDSG). Diese Weisungsfreiheit ist Teil der notwendigen Unabhängigkeit des Datenschutzbeauftragten, die eine Beeinträchtigung der Amtsführung durch die verantwortliche Stelle ausschließen soll.92 Diese Weisungsfreiheit erstreckt sich auch auf eventuell vorhandene Mitarbeiter des Datenschutzbeauftragten; gleichwohl ist der Datenschutzbeauftragte damit nicht gänzlich frei, sondern kann auch selbst, z. B. durch die interne Revision, überprüft werden.93 Umgekehrt hat der Datenschutzbeauftragte selbst auch keine Weisungsrechte, 127 d. h. ein eventuell von ihm festgestellter Datenschutzverstoß kann nicht durch ihn selbst beendet werden. Er kann immer nur auf die Einhaltung des Datenschutzes hinwirken und im Zweifel an die Geschäftsleitung berichten, die den Verstoß im Eigeninteresse in der Regel abstellen wird. Praxistipp Sollte der unmittelbar für die Datenverarbeitung Verantwortliche die Datenverarbeitung auch auf Aufforderung des Datenschutzbeauftragten nicht auf ein datenschutzkonformes Niveau anpassen, so sollte dies stets in nachweisbarer Weise an die Geschäftsleitung eskaliert werden.
V. Verschwiegenheitspflicht 128 Der Datenschutzbeauftragte ist gem. § 4f Abs. 4 BDSG zur Verschwiegenheit im Hin-
blick auf die Identität des Betroffenen verpflichtet, sowie über Umstände, die Rückschlüsse auf den Betroffenen zulassen, soweit er nicht vom Betroffenen von seiner Verschwiegenheitspflicht befreit wird. Die Verschwiegenheitspflicht gilt umfassend und gegenüber jedermann, auch gegenüber der verantwortlichen Stelle, deren Leiter und ggf. weiteren in der eigenen Unternehmensgruppe bestellten Datenschutzbeauftragten.94 Praxistipp Wenn sich ein Betroffener an den Datenschutzbeauftragten wendet, so sollte schon im ersten Gespräch geklärt werden, ob die Identität offengelegt werden darf. Sofern dies nicht gewünscht ist, müssen mit dem Betroffenen die unter Umständen eingeschränkten Möglichkeiten der Aufklärung oder Abhilfe bei der Nutzung lediglich anonymisierter Daten besprochen werden.
92 Hallermann, DuD 2012, 123. 93 Gola/Schomerus, § 4f Rn 48; zu den besonderen Verschwiegenheitspflichten des Datenschutzbeauftragten siehe Rn 127 ff. 94 Beschluss der obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich (Düsseldorfer Kreis) v. 24./25.11.2010, II. 3, abrufbar unter http://www.bfdi.bund.de/.
Brauner/Mickler
C. Status
87
Unternehmensinterne Abläufe müssen dieser Verschwiegenheitspflicht Rechnung tragen, z. B. keine zentrale Postöffnung von Briefen oder E-Mail-Nachrichten, die an die Person des Datenschutzbeauftragten gerichtet sind. Zudem sollte der Datenschutzbeauftragte ein Einzelbüro haben.
Zusätzlich gilt eine strafbewährte Verschwiegenheitspflicht, die sich aus § 203 129 Abs. 2a StGB ergibt, wenn der Datenschutzbeauftragte unbefugt ein fremdes Geheimnis im Sinne dieser Vorschrift offenbart, das einem zur beruflichen Verschwiegenheit Verpflichteten (z. B. Ärzten oder Rechtsanwälten) in dessen beruflicher Eigenschaft anvertraut worden oder sonst bekanntgeworden ist und von dem der Datenschutzbeauftragte in dieser Funktion Kenntnis erlangt hat.
VI. Zeugnisverweigerungsrecht/Beschlagnahmeverbot Soweit der Datenschutzbeauftragte bei seiner Tätigkeit Kenntnis von Daten erhält, 130 für die dem Leiter oder einer bei der verantwortlichen Stelle beschäftigten Person aus beruflichen Gründen ein Zeugnisverweigerungsrecht zusteht, steht dieses Recht gem. § 4f Abs. 4a S. 1 BDSG auch dem Datenschutzbeauftragten und dessen Hilfspersonal zu. Über die Ausübung dieses Rechts entscheidet die Person, der das Zeugnisverweigerungsrecht aus beruflichen Gründen zusteht, es sei denn, dass diese Entscheidung in absehbarer Zeit nicht herbeigeführt werden kann. Soweit das Zeugnisverweigerungsrecht des Datenschutzbeauftragten reicht, 131 unterliegen seine Akten und andere Schriftstücke einem Beschlagnahmeverbot (§ 4f Abs. 4a S. 3 BDSG). Praxistipp Es empfiehlt sich für Datenschutzbeauftragte in den Fällen eines eventuell vorliegenden Zeugnisverweigerungsrechts unbedingt die Einschaltung eines Fachanwaltes für Strafrecht. Soweit dieser Rechtsrat nicht hausintern verfügbar ist, sollte er extern eingeholt werden.
VII. Haftung In der Praxis scheinen viele Datenschutzbeauftragte dem Thema persönliche Ver- 132 antwortlichkeit entweder keine oder aber zumindest wenig Beachtung zu schenken. Gleichwohl sollten sich alle bereits bestellten, aber insbesondere auch alle zukünftigen Datenschutzbeauftragten bewusst sein, dass es grundsätzlich das Risiko einer persönlichen Haftung gibt. Diese kann sich sowohl auf den arbeits- oder allgemein zivilrechtlichen, aber auch auf den strafrechtlichen Bereich erstrecken.
Brauner/Mickler
88
Kapitel 3 Der betriebliche Datenschutzbeauftragte
1. Arbeits- oder allgemein zivilrechtliche Schadensersatzansprüche
133 Der Datenschutzbeauftragte haftet aus § 280 BGB für Schäden, die er im Rahmen
seiner Tätigkeit der verantwortlichen Stelle unmittelbar oder mittelbar zugefügt hat. Der interne Datenschutzbeauftragte unterliegt jedoch einer arbeitsrechtlichen Haftungsprivilegierung, d. h., es gelten die Grundsätze des innerbetrieblichen Schadensausgleichs. Leicht oder normal fahrlässig herbeigeführte Schäden sind in der Höhe begrenzt, während bei grob fahrlässigen Schäden eine uneingeschränkte Haftung des Datenschutzbeauftragten vorliegen kann. Eine unbeschränkte Haftung ist regelmäßig bei vorsätzlichem Handeln gegeben. Selbstverständlich müssen für einen Haftungsanspruch alle Umstände des Einzelfalls geprüft und bewertet werden. Praxistipp Steht ein eventueller Haftungsanspruch gegen den Datenschutzbeauftragen infrage, sollte er sich unbedingt rechtlich beraten lassen und ggf. den Betriebsrat einschalten, sofern dieser für ihn zuständig ist. Externe Datenschutzbeauftragte unterliegen dieser Haftungsprivilegierung nicht. Sie haften daher uneingeschränkt, weshalb sich der Abschluss einer Berufshaftpflichtversicherung mit hinreichendem Deckungsschutz empfiehlt. Auch konzernintern müssen sich Datenschutzbeauftragte vor Haftungsansprüchen schützen, soweit sie als externe Datenschutzbeauftragte von Tochtergesellschaften bestellt sind. Hierzu empfiehlt sich eine schriftliche Zusatzvereinbarung, die pro Bestellung abzuschließen ist und mindestens folgende Bereiche abdecken sollte: – Aufgaben DSB, – Aufgaben verantwortliche Stelle, – zeitlicher Aufwand/Verfügbarkeit, – Vergütung, – Dauer/Befristung der Bestellung, – Haftungsbegrenzung.
134 Bei der Haftung des Datenschutzbeauftragten gegenüber einem Betroffenen kommt
in aller Regel kein vertraglicher, sondern nur ein deliktischer Anspruch gem. § 823 BGB in Betracht. Ein solcher Anspruch kann sich aus § 823 Abs. 1 BGB ergeben, falls Datenschutzbeauftragte, die gegen ihre Pflichten verstoßen, damit das informationelle Selbstbestimmungsrecht des Betroffenen und damit das gesetzlich geschützte Persönlichkeitsrecht verletzen.95 Weiterhin möglich ist die Haftung gem. § 823 Abs. 2 BGB in Verbindung mit Schutznormen, soweit man §§ 4f und 4g BDSG als solche ansieht.96 Bei einer Pflichtverletzung der zugewiesenen Aufgaben muss gleichwohl die Ursächlichkeit und Vorwerfbarkeit für den Datenschutzbeauftragten intensiv geprüft werden – in diesem Zusammenhang ist zu berücksichtigen, dass der Daten-
95 Simitis/Simitis, § 4g Rn 104. 96 Simitis/Simitis, § 4g Rn 106 m. w. N.
Brauner/Mickler
C. Status
89
schutzbeauftragte nicht selbst verantwortlich ist und lediglich beratend im Unternehmen tätig ist.97 Praxistipp Haftungsansprüche von Betroffenen direkt gegenüber Datenschutzbeauftragten sind selten und eher von untergeordneter Bedeutung.
2. Strafrechtliche Verantwortung Verletzt ein Datenschutzbeauftragter durch ein aktives Tun, also in der Regel vorsätz- 135 lich, Strafgesetze, so kann dies in ein Strafverfahren mit entsprechender Verurteilung münden. Denkbar sind hier Straftaten im Bereich der §§ 202a ff. StGB, wenn der Datenschutzbeauftragte z. B. Daten unrechtmäßig kontrolliert. Wesentlich bedeutsamer jedoch dürfte der Bereich der Strafbarkeit durch 136 Unterlassen sein. Die entsprechende Diskussion in der Literatur wurde durch die Rechtsprechung des BGH zum „Compliance Officer“ befeuert.98 In diesem Fall hatte der Leiter der Innenrevision eines Unternehmens betrügerische Handlungen im Unternehmen gekannt, diese aber nicht unterbunden und wurde daher wegen Beihilfe zum Betrug durch Unterlassen verurteilt. Voraussetzung für eine Täterschaft durch Unterlassen i. S. d. § 13 StGB ist eine 137 sog. Garantenstellung. Eine solche Garantenpflicht erscheint auch für den Datenschutzbeauftragten möglich, da er eine gesetzliche Verpflichtung hat, auf die Einhaltung aller Datenschutzvorschriften hinzuwirken.99 Unterlässt er es pflichtwidrig, seinen gesetzlichen Pflichten nachzukommen, obwohl dies zumutbar und geboten ist, so kann auch den Datenschutzbeauftragten der Vorwurf einer Beihilfe durch Unterlassen zu einer von Mitarbeitern oder der Unternehmensleitung begangenen vorsätzlichen Straftat treffen, wenngleich aufgrund der bloßen Hinwirkungspflicht des Datenschutzbeauftragten an eine Verurteilung bereits per se erhöhte Anforderungen zu stellen sind.100 Zudem muss das Unterlassen des Datenschutzbeauftragten für den strafrechtlich sanktionierten Erfolg auch kausal gewesen sein. Letztlich kommt eine Strafbarkeit damit allenfalls in Betracht, wenn ein unterlassenes Einschreiten des Datenschutzbeauftragten den Datenschutzverstoß zumindest erschwert hätte und er beim Unterlassen seines Einschreitens die Rechtsverletzung des Dritten zumindest billigend in Kauf genommen hat.101 Letzteres setzt praktisch gänzliches Nichteinschreiten trotz vollständiger Kenntnis der Tatsachenlage und tatsächlicher
97 Gola/Schomerus, § 4g Rn 33. 98 BGH, Urt. v. 17.7.2009 – 5 StR 394/08 – NJW 2009, 3173 ff. 99 Vgl. Gola/Schomerus, § 4g Rn 36, der diese Frage offenlässt. 100 Barton, RDV 2010, 248, der diese Problematik ausführlich darstellt. 101 Barton, RDV 2010, 248.
Brauner/Mickler
90
Kapitel 3 Der betriebliche Datenschutzbeauftragte
Möglichkeit zum Einschreiten voraus, was nur sehr selten dem zweifelsfreien Beweis zugänglich sein dürfte. Praxistipp Die mögliche strafrechtliche Verantwortung des Datenschutzbeauftragten sollte mit der Geschäftsleitung diskutiert werden. Es gilt hier effiziente Prozesse im Unternehmen zu schaffen, die Rechtsverstöße rechtzeitig aufdecken und Abhilfe schaffen können. In jedem Falle sollte der Datenschutzbeauftragte stets auf mögliche Risiken bei der Datenverarbeitung dokumentiert hinweisen, um eventuelle Strafbarkeitsrisiken so gering wie möglich zu halten.
VIII. Abberufung des Datenschutzbeauftragen 138 Der Datenschutzbeauftragte kann von der verantwortlichen Stelle nur sehr einge-
schränkt gegen seinen Willen abberufen werden. Nach § 4f Abs. 3 S. 4 BDSG kann die Bestellung in entsprechender Anwendung von § 626 BGB nur widerrufen werden, wenn auch eine fristlose Kündigung möglich wäre oder dies die Aufsichtsbehörde verlangt. Die Aufsichtsbehörde kann bei festgestellten Mängeln, d. h., wenn der Daten139 schutzbeauftragte die zur Erfüllung seiner Aufgaben erforderliche Fachkunde oder Zuverlässigkeit nicht besitzt, eine entsprechende Anordnung treffen (§ 38 Abs. 5 BDSG). Von diesem Recht wird in der Praxis zwar selten Gebrauch gemacht, jedoch gibt es dokumentierte Fälle, in denen Datenschutzbeauftragte wegen offensichtlicher Ungeeignetheit abberufen worden sind. Deutlich relevanter für die Praxis sind jedoch die Fälle, in denen sich die verant140 wortliche Stelle ohne Einbindung der Aufsichtsbehörde vom Datenschutzbeauftragten trennen will. Laut § 626 Abs. 1 BGB kann das Arbeitsverhältnis von jedem Vertragsteil aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist gekündigt werden, wenn Tatsachen vorliegen, aufgrund derer dem Kündigenden unter Berücksichtigung aller Umstände des Einzelfalles und unter Abwägung der Interessen beider Vertragsteile die Fortsetzung des Arbeitsverhältnisses bis zum Ablauf der Kündigungsfrist oder bis zu der vereinbarten Beendigung des Arbeitsverhältnisses nicht zugemutet werden kann. Allgemein sind die Anforderungen an eine solche Kündigung bzw. hier Widerruf 141 der Bestellung sehr hoch und setzen gravierende Pflichtverletzungen voraus. Die notwendigen Tatsachen können sich aus der Tätigkeit des Datenschutzbeauftragten oder, soweit er nur nebenamtlich bestellt ist, auch aus seinem sonstigen Beschäftigungsverhältnis ergeben.102 Ein wichtiger Grund zur Abberufung des Datenschutzbeauftragten liegt nach Ansicht des BAG vor, wenn dem Datenschutzbeauftragten eine
102 Gola/Schomerus, § 4f Rn 38.
Brauner/Mickler
C. Status
91
weitere Ausübung der Tätigkeit unmöglich oder diese zumindest erheblich gefährdet ist, etwa wenn der Datenschutzbeauftragte die gesetzlich geforderte Zuverlässigkeit wegen drohender Interessenskollisionen, eines Geheimnisverrats oder der dauerhaften Verletzung von Kontrollpflichten nicht mehr besitzt.103 Zudem gilt für interne Datenschutzbeauftragte ein erweiterter Kündigungs- 142 schutz gem. § 4f Abs. 3 S. 5 BDSG. Auch hier gelten die oben dargestellten Voraussetzungen, d. h., der Arbeitgeber muss zu einer Kündigung aus wichtigem Grund berechtigt sein. Praxistipp Im Rahmen von Unternehmensübernahmen oder Fusionen kann die Situation entstehen, dass plötzlich zwei Personen zum Datenschutzbeauftragten bestellt sind. Solange zwei getrennte juristische Personen bestehen bleiben, kann dies auch fortbestehen. Bei einer Verschmelzung jedoch geht ein Rechtsträger unter. Das BAG hat entschieden, dass bei der Fusion zweier gesetzlicher Krankenkassen das Amt des Datenschutzbeauftragten bei der geschlossenen Krankenkasse erlischt.104
103 BAG, Urt. v. 23.3.2011 – 10 AZR 562/09 – NZA 2011, 1036 ff. 104 BAG, Urt. v. 29.9.2010 – 10 AZR 588/09 – NJW 2011, 476 ff.
Brauner/Mickler
Kapitel 4 Outsourcing datenschutzkonform ausgestalten A. Outsourcing und Datenschutz I. Einleitung Beim Outsourcing lagert ein Unternehmen (der Outsourcinggeber) einzelne Aufgaben, Teilbereiche oder ganze Geschäftsprozesse an einen Dritten (den Outsourcingnehmer oder Service Provider) zur Leistungserstellung aus, klassischerweise, nachdem die Tätigkeit zunächst intern erbracht wurde.1 Allgemeiner Kostendruck, der Zwang zur Effizienzsteigerung, Optimierung und Standardisierung von Geschäftsprozessen, Fokussierung auf das Kerngeschäft, Zugang zu neuen Technologien, lokaler Fachkräftemangel, bessere Skalierbarkeit, vorübergehende Spitzenbelastung, Verringerung der Kapitalbindung u. v. m.2 legen es oftmals nahe, nicht für sämtliche Tätigkeiten und Funktionen dauerhaft Personal und Ressourcen vorzuhalten, insbesondere wenn manche Aufgaben nicht permanent, sondern nur in Intervallen oder selten benötigt werden. In einer arbeitsteiligen und vernetzten Welt bietet die Einbindung Dritter in Unternehmenstätigkeiten und -prozesse auch die Möglichkeit, den Wettbewerb im Markt für sich zu nutzen – sei es auch nur zum Zweck des Benchmarkings. Die zentralisierte Personalabteilung am Standort der deutschen Konzernmuttergesellschaft, ein Shared Service-Center (SSC) im europäischen Ausland oder das Offshoring von Call Centern, der gesamten IT oder Wertpapiertransaktionen nach Indien sind keine Seltenheit. Bei der Frage, ob es wirtschaftlich vorteilhaft ist, Tätigkeiten und Funktionen auf spezialisierte Dritte auszulagern, steht ein Unternehmen vor einer Vielzahl an Herausforderungen. In rechtlicher Hinsicht spielen z. B. allgemein vertragliche, gesellschafts-, arbeits-, steuer-, datenschutz-, urheber-, aufsichtsrechtliche oder branchenspezifische Aspekte eine Rolle.3 All diese Gesichtspunkte sind bereits vor der Aufnahme der Zusammenarbeit mit Dritten zu bedenken und miteinander in Einklang zu bringen. Auf den Schutz personenbezogener Daten als auch von Betriebs- und Geschäftsgeheimnissen muss dabei ein besonderes Augenmerk gelegt werden. Dies erklärt sich
1 Etwa Klingebiel/Andreas, DStR 2005, 981; speziell zum IT-Outsourcing Bräutigam/Kechler, Teil I Rn 31. 2 Vgl. allgemein zu den Motiven und zu nationalen Unterschieden des Outsourcings die Studie vom Outsourcing-Journal v. 22.4.2013, abrufbar unter http://www.outsourcing-journal.org/markets2/884why-american-firms-are-more-progressive-with-outsourcing-than-the-europeans-and-asians. 3 Vgl. ISO SPEC 1041:2010-05, S. 63 ff.
Albrecht
1
2
3
4
94
Kapitel 4 Outsourcing datenschutzkonform ausgestalten
schon daraus, dass der ursprünglich wohl häufigste Fall von Outsourcing IT-Dienstleistungen (z. B. Rechenzentrumsleistungen, IT-Infrastruktur) betraf4 und IT-Dienstleister üblicherweise mit unterschiedlichem Firmenwissen in Kontakt kamen. Doch muss der Schutz von Geheimnissen und Informationen auch bei anderen Arten von Dienstleistungen beachtet werden. Beispielhaft seien Inbound- und Outbound-Call Center oder die Auslagerung von Lohnbuchhaltung und Rechnungswesen erwähnt.5 Betriebs- und Geschäftsgeheimnisse werden beim Outsourcing typischerweise 5 durch Geheimhaltungsklauseln mit Erlaubnisvorbehalten, speziell beschriebenen Ausnahmetatbeständen und Strafklauseln vertraglich geschützt. Daneben tritt die Verpflichtung, personenbezogene Daten von Mitarbeitern, Kunden und Lieferanten zu schützen, die dem Datenschutz und insbesondere dem BDSG unterfallen. Für das Datenschutzrecht muss man sich jedoch vom klassischen Outsourcing-Begriff lösen. Denn das Datenschutzrecht unterscheidet nicht danach, ob Leistungen, die die Übermittlung personenbezogener Daten umfassen, jemals intern, d. h. originär selbst durch ein Unternehmen als verantwortliche Stelle nach § 3 Abs. 7 BDSG, erbracht worden sind oder von Anfang an Dritten überantwortet werden. Outsourcing ist daher kein datenschutzrechtlicher Begriff, und man darf nicht der Annahme verfallen, dass nur eine solche Übertragung von Aufgaben, die dem klassischen OutsourcingBegriff entspricht, nach Datenschutzkonformität verlangt. Praxistipp Gleichzeitig ist nicht jeder Fall des Outsourcings auch aus datenschutzrechtlicher Sicht relevant. Die Verlagerung von Produktionsstätten auf Dritte – sei es mit Sitz im Inland oder im Ausland, sei es auf externe Anbieter oder auf Konzernunternehmen – kann so ein Fall sein. Werden dabei aber auch Informationen über Mitarbeiter, deren Arbeitsplätze beispielsweise mit ausgelagert werden, oder über Kunden, deren Anschriften zur Direktbelieferung benötigt werden, ausgetauscht, kann das Datenschutzrecht wieder zu beachten sein. 6 Mit dem Outsourcing begibt sich ein Unternehmen in komplexe Abhängigkeiten
zu seinem Dienstleister. Aus operativer Sicht betrifft dies vor allem Fragen der Verfügbarkeit und Qualität von Leistungen. Aus datenschutzrechtlicher Sicht muss der Unternehmer gewährleisten, dass jede Erhebung, Verarbeitung oder Nutzung personenbezogener Daten des Unternehmens durch den Service Provider einem datenschutzrechtlichen Erlaubnistatbestand genügt und sich der Service Provider dem geltenden Datenschutzregime, dem das auslagernde Unternehmen unterliegt, unterwirft.
4 Redeker/Heymann/Lensdorf, 5.4 Rn 2. 5 Zum Outsourcing des Rechnungswesens allgemein Schmitt, BC 2007, 284; Klingbiel/Andreas, DStR 2005, 981.
Albrecht
A. Outsourcing und Datenschutz
95
Ein Blickwinkel, der in der rechtlichen Auseinandersetzung mit der Auslagerung 7 von Datenverarbeitung oft wenig oder gar keine Beachtung findet, darf dabei nicht vergessen werden: Auch aus Sicht des Service Providers ist es wichtig, dass der Datenschutz eingehalten wird. Denn entweder ist der Service Provider „Dritter“ i. S. d. § 3 Abs. 8 S. 2 BDSG als Person oder Stelle außerhalb der verantwortlichen Stelle. Oder der Service Provider erhebt, verarbeitet oder nutzt nach § 3 Abs. 8 S. 3 BDSG personenbezogene Daten im Auftrag der verantwortlichen Stelle und gilt dann – für Zwecke des BDSG – nicht als Dritter. Nach dem Wortlaut des § 3 Abs. 8 S. 3 BDSG ist eine Stelle in einem Drittland (d. h. außerhalb der EU und des EWR) immer „Dritte“ und niemals Auftragsdatenverarbeiter. In datenschutzrechtlicher Hinsicht steht jedes Outsourcingvorhaben damit vor der Frage, ob eine Auftragsdatenverarbeitung nach § 11 BDSG vorliegt, die die Verlagerung von Datenverarbeitungsprozessen leichthin rechtfertigen kann, oder ob der Service Provider im Rahmen Erhebung, Verarbeitung oder Nutzung von Daten einer gesonderten Erlaubnis bedarf. Nicht nur der Unternehmer als datenschutzrechtlich verantwortliche Stelle muss 8 sich diese Frage stellen, sondern auch der Service Provider. Denn für beide Seiten bedeuten Datenverarbeitungen, die nicht über § 4 BDSG i. V. m. speziellen Erlaubnisvorbehalten als zulässig anzusehen sind, den nicht gerechtfertigten Datenumgang und können ggf. die Verwirklichung von Ordnungswidrigkeiten- oder Straftatbeständen nach §§ 43, 44 BDSG zur Folge haben. Praxistipp Auch ein Service Provider – z. B. auch im Konzern oder bei grenzüberschreitender Zusammenarbeit – muss demnach auf die Einhaltung des Datenschutzes achten. Als Teil seines – ggf. zertifizierten – Compliance Management-Systems kann er dies als Siegel seiner Reputation und Zuverlässigkeit am Markt hervorheben.
II. Verbreitung und Bedeutung Outsourcing begegnet heutzutage in vielen Bereichen und Varianten unternehmeri- 9 scher und administrativer Betätigung. Unterscheiden kann man Outsourcing-Vorgänge z. B. nach den Inhalten der 10 Dienstleistungen, der Art der Zusammenarbeit und dem Ort der Erbringung der Dienstleistungen. Neben IT-Dienstleistungen (IT Operation Outsourcing – ITO) werden z. B. auch 11 andere Services ausgelagert, soweit sie nicht aus zwingenden operativen Gründen In-House verbleiben müssen. Die Leitungsfunktion des Vorstandes einer AG verpflichtet diesen, die sich aus seiner Organstellung ergebende Leitungsfunktion selbst wahrzunehmen. Es besteht insofern eine nicht delegierbare Führungsverantwortung des Vorstandes. Kernfunktionen sind u. a. die Unternehmensplanung, -koordination und das -controlling, die Errichtung eines Risikomanagementsystems, die Besetzung Albrecht
96
Kapitel 4 Outsourcing datenschutzkonform ausgestalten
von Führungsstellen sowie die Vornahme von Geschäften mit außergewöhnlichem Charakter oder besonders hohem Risiko. Sofern der Geschäftsleiter wohlerwogen und eigenverantwortlich entscheidet, kann er jedoch vorbereitende oder Hilfsfunktionen sowie ausführende Tätigkeiten delegieren.6 Zu den allgemein delegierbaren Unternehmensaufgaben zählen dagegen z. B. 12 Lohnbuchhaltung, Reisebüro, Recruiting und andere Personalverwaltungsfunktionen, Rechnungswesen, Logistik, Call Center-Dienste und Kundenbefragungen, Lettershops, Entsorgung von Akten und Daten, Archivierung, Werkschutz, Wartung und Service. Besondere Arten der Kooperation finden sich z. B. in Konzernen bei der Grün13 dung von „Shared Services“-Einheiten, die der Kostenersparnis und Vereinheitlichung von Prozessen dienen. Gerade im Bereich der öffentlichen Verwaltung trifft man vielfach auf privat-öffentliche Zusammenschlüsse (ÖPP) oder Partnerschaften zwischen öffentlichen Trägern wie Krankenkassen oder Sozialversicherungsträgern, die in einer gemeinsamen Organisation z. B. Sozialdaten nach SGB I und SGB X verarbeiten.7 Daneben gibt es eine schier endlose Vielzahl an Spielarten des Outsourcings. Großer und wachsender Bedeutung erfreuen sich etwa8 – Business Process Outsourcing (BPO) bezeichnet die Abgabe ganzer Geschäftsprozesse an externe Dienstleister ohne kapitalmäßige Verflechtung. Beispielsweise verhandelt ein Service Provider für den Outsourcinggeber günstige Konditionen bei der Beschaffung oder übernimmt das gesamte Payroll-Management.9 – On Site Management (OSM), bei dem der Service Provider im Unternehmen des Outsourcinggebers vor Ort arbeitet und vorhandene Ressourcen nutzt. – Application Service Providing (ASP), das die Nutzung von Anwendungen über das Internet ermöglicht, ohne dass die benötigte Software auf der lokalen Festplatte oder im lokalen Netzwerk installiert werden muss.10 – Cloud Computing (CC), ein professionelles Hosting-Angebot mit der Nutzung externer – und häufig an verschiedenen Orten physisch unterschiedlich unter-
6 MüKo-AktG/Spindler, § 76 Rn 19; Hauschka/Schmidt-Husson, § 7 Rn 13 ff. (dort auch zur GmbH); eine Besonderheit ergibt sich bei Betriebsführungsverträgen nach § 292 Abs. 1 Nr. 3 AktG analog, vgl. Hauschka/Schmidt-Husson, § 7 Rn 7. 7 Als Beispiele sei etwa genannt die GUSO GbR, ein Zusammenschluss mehrerer gesetzlicher Unfallversicherungen zur Erbringung von IT-Dienstleistungen. 8 Zu aktuellen Trends vgl. etwa den 1Q13 Global ISG Outsourcing Index der ISG, abrufbar unter http:// www.isg-one.com/web/media-center/press/130411-US.asp. 9 Redeker/Redeker, Rn 801g; Klingebiel/Andreas, DStR 2005, 981; zu Beispielen für das BPO nach Indien vgl. Stauder, ZD 2014, 188. 10 Leupold/Glossner/von dem Bussche/Schelinski, Teil 1 Rn 19.
Albrecht
A. Outsourcing und Datenschutz
97
gebrachter – Rechen- und Speicherressourcen mit virtuellem, über IP-basierte Vernetzung gesteuertem Verbund.11 – Grid Computing (GC), ein Cluster lose gekoppelter Computer, bei dem über das Internet miteinander verbundene Rechner zu einem weltweit verteilten virtuellen Großrechner zusammengeschlossen werden, dem Grid („Gitter“) oder auch Supercomputer. Das GC ist ein globales, temporäres Ressourcen-Sharing und ermöglicht Nutzern den bedarfsgerechten direkten Zugriff auf externe Computer, Software, Daten und andere Ressourcen für eine verteilte Problembearbeitung.12 Anders als beim CC, dessen Ressourcen zumeist flexibel bereitgestellt werden, sind Rechner beim Grid üblicherweise statisch gekoppelt.13 Diese Outsourcingvarianten haben besondere datenschutzrechtliche Implikationen, da der Service Provider Zugriff auf Bürger-, Mitarbeiter- und/oder Kundendaten hat (z. B. BPO, OSM) bzw. Daten auf fremden Rechnern gespeichert und verarbeitet werden (z. B. ASP, CC, GC). In räumlicher Hinsicht können speziell das Cloud und Grid Computing sowie das Offshoring und Nearshoring14 datenschutzrechtliche Herausforderungen aufwerfen, da Daten im Ausland, ggf. außerhalb der EU bzw. des EWR, gespeichert und verarbeitet werden. Exemplarisch stellt sich beim Cloud Computing die Frage, ob zu jederzeit genau ermittelt werden kann, auf welchem Rechner in welchem Land die Daten jeweils gespeichert werden. Leistungen, Arten und Orte der externen Datenverarbeitung sind nahezu beliebig kombinierbar. Aus datenschutzrechtlicher Sicht weniger bedeutsam ist dagegen die Differenzierung nach internem oder externem Outsourcing.15 Auch wenn beim internen Outsourcing die Datenverarbeitung oftmals durch andere (Zentral-)Stellen innerhalb eines Unternehmens erfolgt und damit andere Mitarbeitergruppen eingebunden und Berichtswege vorgesehen sind, bleibt die Datenverarbeitung weiterhin in der Zuständigkeit derselben verantwortlichen Stelle i. S. d. § 3 Abs. 7 BDSG. Für den Schutz der Daten der Betroffenen nach dem BDSG ändert sich dadurch grundsätzlich nichts. Der Begriff des internen Outsourcings ist daher im datenschutzrechtlichen Zusammen-
11 BeckOK BDSG/Spoerr, § 11 Rn 79; vgl. auch eingehend NIST Cloud Computing Reference Architecture, SP 500-292, September 2011, abrufbar unter http://www.nist.gov/customcf/get_pdf.cfm?pub_ id=909505; näher zu Cloud Computing und Datenschutz siehe Rn 175. 12 Leupold/Glossner/Stögmüller, 2. Aufl., Teil 5 Rn 272. 13 Weiterführend Weichert, Cloud Computing und Datenschutz, abrufbar unter https://www.datenschutzzentrum.de/cloud-computing/20100617-cloud-computing-und-datenschutz.html. 14 Offshoring bedeutet die Verlagerung von Unternehmensteilen in weiter entferntes Ausland, etwa nach Asien; Nearshoring hat die Verlagerung von Unternehmensteilen in das benachbarte Ausland zum Gegenstand; vgl. etwa Hergenröder, RdA 2007, 218. 15 Vgl. etwa Müthlein/Heck, S. 30 Ziff. 3.2.
Albrecht
14
15
16 17
98
Kapitel 4 Outsourcing datenschutzkonform ausgestalten
hang nicht zielführend und zu vermeiden. Datenschutzrechtlich etwas anderes ist es gleichwohl, wenn Aufgaben der Datenverarbeitung auf Tochter- oder sonst konzernangehörige Gesellschaften ausgegliedert werden, an denen das ausgliedernde Unternehmen kapitalmäßig mit der Möglichkeit der direkten Einflussnahme beteiligt ist.16 Auch diese Substitutionsformen des Outsourcings sind für das BDSG relevant, da eine andere verantwortliche Stelle über die Daten herrscht.
B. Auftragsdatenverarbeitung und Outsourcing I. Einleitung 18 Immer dann, wenn die verantwortliche Stelle die Verarbeitung von personenbezo-
genen Daten auslagern will, muss sichergestellt sein, dass ein Erlaubnistatbestand vorliegt, der die Auslagerung der Datenverarbeitung rechtfertigt. Natürlich wäre es denkbar, die Einwilligung der Betroffenen nach § 4a BDSG zu erbitten, jedoch wird dies in einer Vielzahl von Konstellationen aufgrund der Datenmengen und der hohen Anzahl von Betroffenen weder praktisch umsetzbar noch kostenschonend möglich sein. Auch andere Rechtfertigungsnormen wie §§ 28, 29, 32 BDSG greifen oftmals zu kurz oder sind aufgrund ihrer Voraussetzungen zu ungewiss und des Abwägungsbedarfs zu sperrig.17 Der Gesetzgeber hat dieses Problem schon frühzeitig erkannt und daher das Institut der Auftragsdatenverarbeitung geschaffen. Detaillierte Regelungen hierzu sind in § 11 BDSG sowie – hinsichtlich bestimmter Fälle der Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch öffentliche Stellen der Länder – den entsprechenden landesgesetzlichen Bestimmungen18 verankert. Danach ist der Auftraggeber für die Einhaltung der Vorschriften des BDSG und anderer Vorschriften über den Datenschutz verantwortlich, wenn personenbezogene Daten im Auftrag durch andere Stellen erhoben, verarbeitet oder genutzt werden. Auftragsdatenverarbeitung kennzeichnet dabei, dass der Auftraggeber eine andere Stelle mit der Durchführung bestimmter Datenverarbeitungsvorgänge beauftragt, die in den Tätigkeitsoder Aufgabebereich des Auftraggebers fallen.19 Entspricht die Beauftragung dem Anforderungsprofil an eine datenschutzrechtlich ordnungsgemäße und vollständige Auftragsdatenverarbeitung nach § 11 BDSG, ist der Service Provider nicht als Dritter
16 Vgl. zu den wirtschaftlichen Hintergründen und vertraglichen Gestaltungen Klingebiel/Andreas, DStR 2005, 981; zum Outsourcing im Konzern vgl. Kap. 5. 17 Vgl. u. a. die Diskussion zum alten § 11 BDSG im Arbeitsbericht der Ad-hoc-Gruppe „Konzerninterner Datentransfer“, erstellt am 11.1.2005 vom RP Darmstadt (redaktionelle Änderungen am 25.10.2006), abrufbar unter http://www.datenschutz.hessen.de/?page=bd001#entry3700. 18 Z. B. Art. 6 BayDSG, § 3 HmbDSG, § 8 ThürDSG; zur Abgrenzung des Anwendungsbereichs des BDSG gegenüber den einzelnen LDSG vgl. Kap. 12 Rn 1. 19 Simitis/Petri, § 11 Rn 1.
Albrecht
B. Auftragsdatenverarbeitung und Outsourcing
99
im Sinne des BDSG anzusehen. Dies hat die praktische Folge, dass die Beauftragung der anderen Stelle keine „Übermittlung“ personenbezogener Daten i. S. d. § 3 Abs. 4 S. 3 Nr. 3 i. V. m. § 3 Abs. 8 S. 3 BDSG beinhaltet. Voraussetzung ist allerdings, dass der Auftragnehmer die Daten in der EU oder im EWR verarbeitet.20 Das Konstrukt der Auftragsdatenverarbeitung ermöglicht dadurch – im Rahmen des für den konkreten Auftrags Erforderlichen – den freien Datenverkehr zwischen Auftraggeber und Auftragnehmer.21 Die verantwortliche Stelle ist und bleibt Herrin der Daten und damit zuständig für Rechtmäßigkeit, Datenschutz und Datensicherheit der Verarbeitung im Verhältnis zu den Betroffenen (Arbeitnehmer, Kunden etc.).22 Gleichzeitig ist der Auftragnehmer, obwohl juristisch eine separate Person, aus datenschutzrechtlicher Sicht bloß ein verlängerter Arm des Auftraggebers.23 Mit den Worten des Outsourcings: Die Aufgabe der Datenverarbeitung wird auf vertraglicher Basis tatsächlich von dem Service Provider wahrgenommen, verbleibt datenschutzrechtlich aber in der Verantwortungssphäre des Outsourcinggebers. Praxistipp Für den Auftragnehmer wirkt die ordnungsgemäße Beauftragung einer Auftragsdatenverarbeitung privilegierend, da sie die Verarbeitung der Daten durch den Auftragnehmer als auch den Daten(rück) transfer vom Auftragnehmer zum Auftraggeber ohne weitere Einschränkungen gestattet. Der Auftragnehmer kann daher ein eigenes Interesse daran haben, entsprechend den Vorgaben des § 11 BDSG – unter Beachtung ggf. bestehender Sonderregelungen wie z. B. § 80 SGB X – beauftragt zu werden. Bei der ordnungsgemäßen Beauftragung mittels eines korrekt titulierten und mit rechtlichen Inhalten befüllten Vertrags über die Auftragsdatenverarbeitung darf es aber gleichwohl nicht sein Bewenden haben. Wie schon die Pflicht des Auftraggebers zu wiederholten Kontrollen beim Auftragnehmer nach § 11 Abs. 2 S. 4 BDSG zeigt, müssen die Parteien der beauftragten Datenverarbeitung permanent die Einhaltung der Vorgaben des § 11 BDSG sicherstellen.
Dies hat eine doppelte Wirkung. Erstens: Wenn der Auftraggeber zu einem Datenver- 19 arbeitungsvorgang befugt ist, erstreckt sich diese Befugnis grundsätzlich auch auf den Auftragnehmer.24 Zweitens: Muss der Auftraggeber spezielle Einschränkungen beachten und hinnehmen – z. B. bei der Verarbeitung von besonderen Arten personenbezogener Daten oder Sozialdaten –, gelten diese Beschränkungen auch für den Auftragnehmer. Gegebenenfalls kann die Einbindung eines Dritten im Wege der Auftragsdatenverarbeitung auch gänzlich verboten sein, wie z. B. nach einigen Landeskrankenhausgesetzen oder bei Amts- und Berufsgeheimnisträgern.25
20 Gola/Schomerus, § 11 Rn 4. 21 BeckOK BDSG/Spoerr, § 11 Rn 4. 22 Schröder, 5.2. 23 Gola/Schomerus, § 11 Rn 4; Spindler/Schuster/Spindler, § 11 BDSG Rn 3; Simitis/Petri, § 11 Rn 20 m. w. N. 24 BeckOK BDSG/Spoerr, § 11 Rn 4; Simitis/Petri, § 11 Rn 43. 25 Vgl. zu Details Rn 71 ff.; außerdem BeckOK BDSG/Spoerr, § 11 Rn 13 ff.
Albrecht
100
Kapitel 4 Outsourcing datenschutzkonform ausgestalten
II. Abgrenzungsfragen 1. Auftragsdatenverarbeitung vs. Funktionsausgliederung 20 Da der Outsourcinggeber im Falle einer Auftragsdatenverarbeitung für die Datenverarbeitung verantwortlich bleibt, ist es von besonderer Bedeutung zu klären, ob ein Outsourcingvorhaben für datenschutzrechtliche Zwecke tatsächlich von einer Auftragsdatenverarbeitung unterlegt werden kann. Die Auftragsdatenverarbeitung hat sich in der Praxis als ein sehr beliebtes und weitverbreitetes Instrumentarium herauskristallisiert. Dies liegt sicherlich daran, dass man für die Begründung der vertraglichen Grundlagen der Auftragsdatenverarbeitung leicht auf verbreitete Mustervorlagen zurückgreifen kann. Auch in technischer Hinsicht ist dies attraktiv, da die technischen (Mindest-)Anforderungen sich stets wiederholen oder jedenfalls ähnlich sind. Außerdem erleichtert das Vorliegen einer Auftragsdatenverarbeitungskonstellation die schnelle Umsetzung sowie dauerhafte Durchführung von Outsourcingprojekten und vermeidet sowohl den Zwang zur Offenlegung gegenüber Dritten als auch zur datenschutzrechtlichen Abwägung und Rechtfertigung. Das mag dazu geführt haben, dass Aufsichtsbehörden mit einigem Argwohn auf die Inflation von Auftragsdatenverarbeitungsvereinbarungen reagiert und aus ihrer Sicht zu beachtende Orientierungshilfen aufgestellt haben.26 Daher sollte man sich stets die Frage stellen: Was eigentlich ist Auftragsdatenver21 arbeitung? Und wie behilft sich ein Unternehmen, wenn ein Outsourcingvorhaben nicht mithilfe einer Auftragsdatenverarbeitung umgesetzt werden kann? Die Auftragsdatenverarbeitung ist dabei von der sog. bloßen Funktionsaus22 gliederung oder Funktionsübertragung abzugrenzen. Eine Auftragsdatenverarbeitung liegt nur vor, wenn der Auftraggeber nicht nur rechtlich, sondern zumindest prinzipiell auch tatsächlich in der Lage ist, dem Auftragnehmer jeden Arbeitsschritt vorzuschreiben und letztlich auch die korrekte Durchführung des Datenumgangs zu kontrollieren.27 Keine Auftragsdatenverarbeitung liegt vor, wenn neben der Datenverarbeitung auch die zugrundeliegende Aufgabe übertragen wird.28 Es ist ganz überwiegend anerkannt und zu befürworten, dass man als ausschlaggebendes Kriterium für die Grenzziehung auf die Entscheidungsbefugnis über die Daten und die datenschutz-
26 Vgl. etwa Bayerisches Landesamt für Datenschutzaufsicht, Auftragsdatenverarbeitung nach § 11 BDSG, Häufige Fragen, Stand: August 2011, S. 2, abrufbar unter http://www.lda.bayern.de/lda/ datenschutzaufsicht/lda_daten/auftragsdatenverarbeitung.pdf; Handreichung des BfDI, Datenschutzrechtliche Grundlagen bei Auftragsdatenverarbeitung-Outsourcing in der öffentlichen Verwaltung, Stand Oktober 2008, S. 1 f., abrufbar unter http://www.bfdi.bund.de/SharedDocs/Publikatio nen/Arbeitshilfen/AuftragsdatenverarbeitungOutsourcing.html?nn=409924; vgl. auch Abel/Ehmann, BDSG, S. 230. 27 Gola/Schomerus, § 11 Rn 9; Schröder, 5.2; Simitis/Petri, § 11 Rn 20; Müthlein/Heck, S. 36 f. 28 BT-Drucks. 11/4306 S. 43; BeckOK BDSG/Spoerr, § 11 Rn 2; Simitis/Petri, § 11 Rn 20.
Albrecht
B. Auftragsdatenverarbeitung und Outsourcing
101
rechtliche Verantwortlichkeit abstellt.29 Liegen diese Rechte beim Auftraggeber, kann eine Auftragsdatenverarbeitung angenommen werden. Der Auftragnehmer darf zudem keine eigenen Befugnisse und Korrekturrechte hinsichtlich der Daten haben, sondern muss jegliche Bearbeitung der Daten einschließlich Auskünften gegenüber den Betroffenen nach genau definierten Vorgaben des Auftraggebers vornehmen.30 Dem Auftragnehmer verbleibt typischerweise lediglich die tatsächliche technische Ausführung der Datenverarbeitung als technische Hilfestellung.31 Nach dem Bayerischen Landesamt für Datenschutzaufsicht32 handelt es sich bei 23 einer Auftragsdatenverarbeitung nach § 11 BDSG um Hilfstätigkeiten bzw. datenverarbeitungstechnische Unterstützungen, wenn diese – als Dienstleistungen für einen weiterhin für die bestimmte Aufgabe/Funktion verantwortlichen und hierzu allumfassend weisungsberechtigten Auftraggeber ausgestaltet sind, und – im Kern die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten betreffen und nicht Dienstleistungen anderer Art. Praxistipp Die potenziellen Vertragsparteien müssen sich zur Abgrenzung also zwei Grundfragen stellen: – Hat sich der Auftraggeber die Entscheidungsbefugnis vorbehalten oder steht dem Dienstleister irgendein inhaltlicher Bewertungs- und Ermessensspielraum hinsichtlich des Umgangs mit den Daten zu? – Liegt der Fokus des Auftrags des Dienstleisters lediglich auf der technischen Handhabung/Verwaltung der Daten des Auftraggebers?
Fälle der Auftragsdatenverarbeitung sind regelmäßig, d. h. in einer Vielzahl von 24 Fällen z. B.33
29 BeckOK BDSG/Spoerr, § 11 Rn 6.5; Kilian/Heussen/Polenz, § 11 Rn 48; Simitis/Petri, § 11 Rn 9; Schaffland/Wiltfang, § 11 Rn 7; vgl. auch für die öffentliche Verwaltung Handreichung des BfDI, Datenschutzrechtliche Grundlagen bei Auftragsdatenverarbeitung-Outsourcing in der öffentlichen Verwaltung, Stand Oktober 2008, S. 2, abrufbar unter http://www.bfdi.bund.de/SharedDocs/Publikati onen/Arbeitshilfen/AuftragsdatenverarbeitungOutsourcing.html?nn=409924; kritisch hinsichtlich der Komponente der Weisungsbefugnis Redeker, D Rn 953 ff. 30 Schröder, 5.2; Gola/Schomerus, § 11 Rn 9; Schaffland/Wiltfang, § 11 Rn 7. 31 Auch Redeker, D Rn 953. 32 Bayerisches Landesamt für Datenschutzaufsicht, Auftragsdatenverarbeitung nach § 11 BDSG, Häufige Fragen, Stand: August 2011, S. 2, abrufbar unter http://www.lda.bayern.de/lda/datenschutzaufsicht/lda_daten/auftragsdatenverarbeitung.pdf. 33 Bayerisches Landesamt für Datenschutzaufsicht, Auftragsdatenverarbeitung nach § 11 BDSG, Häufige Fragen, Stand: August 2011, S. 2, abrufbar unter http://www.lda.bayern.de/lda/datenschutz aufsicht/lda_daten/auftragsdatenverarbeitung.pdf.
Albrecht
102
Kapitel 4 Outsourcing datenschutzkonform ausgestalten
– datenverarbeitungstechnische Arbeiten für die Lohn- und Gehaltsabrechnungen oder die Finanzbuchhaltung,34 – Durchführung der Lohnbuchhaltung, – Werbeadressenverarbeitung, – Auslagerung eines Teils des eigenen Telekommunikationsanlagenbetriebs (soweit nicht TKG), – Auslagerung der E-Mail-Verwaltung oder von Datendiensten zu Websites, – Datenerfassung, Mikroverfilmung oder Datenkonvertierung, – Konzerndatenverarbeitung, wenn Weisungsrechte zugunsten der Outsourcinggeber-Gesellschaften klar geregelt sind,35 – Backup-Sicherheitsspeicherung, – Datenträgerentsorgung und Aktenvernichtung,36 – Durchführung von Werbeleistungen (z. B. Call Center, Lettershops,37 Telefonmarketing), – Autorisierungs- oder Sperrzentralen für Kreditkarten,38 – Outsourcing von CRM-Systemen, – E-Shop-Hosting,39 – Housing, wenn dem Rechenzentrumsbetreiber keine Zugriffsrechte auf die Daten zustehen,40 – Cloud Computing innerhalb EU/EWR,41 – Einsatz von ASP-Anbietern (Application Service Providern), die personenbezogene Daten verarbeiten.
34 Je nach Aufgabenübertragung aber auch eine Funktionsübertragung, vgl. exemplarisch Schaffland/Wiltfang, § 11 Rn 7. 35 Vgl. Simitis/Petri, § 11 Rn 35; eingehend zur Auftragsdatenverarbeitung im Konzern vgl. Kap. 5. 36 Spindler/Schuster/Spindler, § 11 BDSG Rn 8; Hoeren, DuD 2010, 688, 689; Arbeitspapier des Arbeitskreises Grundsatzfragen der Verwaltungsmodernisierung (AK GdV) der Konferenz der Datenschutzbeauftragten des Bundes und der Länder, Datenschutzrechtliche Grundlagen beim Auftragsdatenverarbeitung/Outsourcing in der öffentlichen Verwaltung, Oktober 2008, S. 5, abrufbar unter http://www.lfd.niedersachsen.de/download/32303/Datenschutzrechtliche_Grundlagen_bei_Auf trags datenverarbeitung_Outsourcing_in_der_oeffentlichen_Verwaltung.pdf; abzulehnende a. A. BeckOK BDSG/Spoerr, § 11 Rn 36 mit dem Hinweis darauf, dass Datensicherheit und Datenschutz der Aktenvernichtung nicht das Gepräge gäben. Dies ist jedoch gerade der Fall. 37 Vgl. näher Gola/Schomerus, § 11 Rn 12, u. a. mit dem Hinweis, dass personenbezogene Daten gem. § 28 Abs. 3 BDSG auch ohne Einwilligung der Betroffenen weiterhin zulässig listenmäßig erhoben und verarbeitet werden können. 38 Spindler/Schuster/Spindler, § 11 Rn 10. 39 BeckOK BDSG/Spoerr, § 11 Rn 78 ff. 40 Simitis/Petri, § 11 Rn 33. 41 Vgl. dazu Rn 203 ff.
Albrecht
B. Auftragsdatenverarbeitung und Outsourcing
103
Üblich und charakteristisch für eine Auftragsdatenverarbeitung ist dabei bei Kunden- 25 kontakt oftmals, dass der Dienstleister die Kommunikation mit den Betroffenen nur nach klar vorgegebenen Kriterien und ohne eigenen Entscheidungsspielraum – bis hin zu einer expliziten Nutzungsuntersagung – durchführen darf.42 Ob eine Auftragsdatenverarbeitung oder eine Funktionsübertragung anzunehmen 26 ist, hängt stets von den im Einzelfall getroffenen vertraglichen Vereinbarungen oder – in Ermangelung solcher43 – von den tatsächlichen Inhalten der Beauftragung des Outsourcingnehmers ab.44 Die tatsächlich vom Outsourcingnehmer ausgeführten Tätigkeiten werden auch dann maßgeblich sein, wenn der Outsourcingnehmer vertragswidrig über die getroffenen vertraglichen Vereinbarungen hinausgeht45 und der Outsourcinggeber dies duldet. Entscheidend zur Abgrenzung ist somit, danach zu fragen, ob die Aufgabenerledigung durch den Dritten von der Datenverarbeitung oder von der oder den eventuell daneben tretenden sonstigen Dienstleistungen geprägt wird.46 Ein weiteres verbreitet herangezogenes Kriterium, das zum Ausschluss einer Auf- 27 tragsdatenverarbeitung führt, ist das mögliche Eigeninteresse des Outsourcingnehmers an den Daten, z. B. wenn er die Daten zur Erfüllung materieller vertraglicher Leistungen verwendet.47 Bei Bestehen eines Eigeninteresses an den Daten (nicht am Geschäft) kann nicht mehr davon ausgegangen werden, dass der Outsourcingnehmer insofern vom Outsourcinggeber weisungsabhängig ist.48
2. Datenschutzrechtliche Anforderungen an ein Outsourcing mittels Funktionsausgliederung Eine über die Auftragsdatenverarbeitung hinausgehende Funktionsübertragung liegt 28 vor, wenn einem Unternehmen eine Aufgabe zur weitgehend eigenverantwortlichen Erledigung übertragen wird.49 Es handelt sich hier um die Ausgliederung von ganzen
42 Simitis/Petri, § 11 Rn 29; vgl. zu Details und Abgrenzungshilfen Müthlein/Heck, S. 36 f. Ziff. 4.1. 43 Fehlt die Angabe zum Gegenstand des Auftrags (§ 11 Abs. 2 S. 2 Nr. 1 BDSG) in der Leistungsbeschreibung einer Auftragsdatenverarbeitung, ist die Auftragserteilung als „nicht vollständig“ i. S. d. § 43 Abs. 1 Nr. 2b) BDSG bußgeldbewährt. 44 Artikel-29-Datenschutzgruppe, WP 169, S. 12 ff.; vgl. auch Müthlein/Heck, S. 39 f. Ziff. 4.1; zweifelhaft und abzulehnen zu der Möglichkeit, es der vertraglichen Gestaltung der Parteien zu überlassen, ob sie im Wege einer Auftragsdatenverarbeitung oder einer Funktionsübertragung zusammenarbeiten wollen, Fasbender, RDV 1994, 12, 14. 45 Vgl. hierzu Artikel-29-Datenschutzgruppe, WP 169, S. 13 f. 46 BeckOK BDSG/Spoerr, § 11 Rn 37. 47 Kilian/Heussen/Polenz, § 11 Rn 48; Simitis/Petri, § 11 Rn 22. 48 Vgl. BeckOK BDSG/Spoerr, § 11 Rn 47; Simitis/Petri, § 11 Rn 22; a. A. Gola/Schomerus, § 11 Rn 7a. 49 Spindler/Schuster/Spindler, § 11 BDSG Rn 10; Müthlein/Heck, S. 35 Ziff. 4.1; Gola/Schomerus, § 11 Rn 9; Gola/Wronka, Rn 877; Abel/Ehmann, BDSG, S. 229; Tinnefeld/Ehmann/Gerling, S. 405 Ziff. 9.4.2; ausführlich zu diesem und weiteren Abgrenzungskriterien Kramer/Hermann, CR 2003, 938, 939 ff.
Albrecht
104
Kapitel 4 Outsourcing datenschutzkonform ausgestalten
Funktionen, die von dem ausführenden Unternehmen in eigener Verantwortung durchgeführt werden.50 Der Schwerpunkt der zu übertragenden Aufgaben liegt dabei nicht in der reinen Datenverarbeitung, die lediglich eine praktische Notwendigkeit zur Erfüllung der Funktion darstellt. Die Datenverarbeitung ist ein bloßer Annex zu der übertragenen Funktion.51 Fälle des Outsourcings, die als Funktionsübertragung gelten, sind dadurch zu 29 identifizieren, dass der Outsourcingnehmer die ausgelagerten Aufgaben selbstständig erledigen soll und darf und hierbei frei in der Bestimmung der Art der zu speichernden und zu verarbeitenden Daten ist.52 Dazu gehören z. B.53 – Outsourcing der Personalverwaltung, – Lohn- und Gehaltsabrechnung oder die Finanzbuchhaltung, wenn nicht nur technische Unterstützung erbracht wird, sondern etwa auch Löhne und Gehälter errechnet und ausgezahlt werden,54 – Mitarbeiterrekrutierung, – Vertragskundenbetreuung, – Zentralisierung der gesamten Personalverwaltung im Konzern,55 – Finanz-, Rechts-, Steuer- und/oder Unternehmensberatung, – Wirtschaftsprüfung, – Inkassotätigkeit für ein anderes Unternehmen, – Factoring,56 – eigenständige Marktumfrage durch ein Meinungsforschungsinstitut,57 – Reinigungsunternehmen,58 – bloße Transporte von personenbezogenen Daten,59 – Bewachungsdienste, Werkschutz,60 – Post- und Kurierdienste.
50 Schaffland/Wiltfang, § 11 Rn 7. 51 Müthlein/Heck, S. 35 Ziff. 4.1. 52 Schaffland/Wiltfang, § 11 Rn 7; Müthlein/Heck, S. 36 Ziff. 4.1. 53 Bayerisches Landesamt für Datenschutzaufsicht, Häufige Fragen, Stand: August 2011, S. 3, abrufbar unter http://www.lda.bayern.de/lda/datenschutzaufsicht/lda_daten/Auftragsdatenverarbei tung_ Par11_Fragen.pdf; Tätigkeitsbericht der bayerischen Datenschutzaufsichtsbehörde für den nicht-öffentlichen Bereich 2009/2010, Rn 5.2, abrufbar unter http://www.lda.bayern.de/lda/daten schutzaufsicht/lda_daten/dsa_Taetigkeitsbericht_2010.pdf. 54 Schaffland/Wiltfang, § 11 Rn 7. 55 Spindler/Schuster/Spindler, § 11 BDSG Rn 10. 56 BeckOK BDSG/Spoerr, § 11 Rn 49; vgl. ausführlich Jandt/Roßnagel, MedR 2013, 17. 57 Spindler/Schuster/Spindler, § 11 BDSG Rn 10. 58 A. M. Hoeren, DuD 2010, 688, 689. 59 Spindler/Schuster/Spindler, § 11 BDSG Rn 8. 60 Gola/Schomerus, § 11 Rn 13; eine Ausgestaltung als Auftragsdatenverarbeitung, insbesondere mit Blick auf die Videoüberwachung, scheint aber möglich, vgl. Gola/Klug, RDV 2004, 65.
Albrecht
B. Auftragsdatenverarbeitung und Outsourcing
105
Wie gesehen ist die Einstufung einer Outsourcingmaßnahme als Fall einer Funkti- 30 onsausgliederung kein Verdikt der endgültigen datenschutzrechtlichen Unzulässigkeit der Auslagerung. Der Outsourcingnehmer ist in diesem Fall allerdings genauso wie der Outsourcinggeber eine selbstständige verantwortliche Stelle im Sinne des BDSG und verarbeitet die Daten in seinem Verantwortungsbereich eigenständig im Verhältnis zu den Betroffenen. Daher bedarf es dann eines Umweges, um die Auslagerung datenschutzkonform auszugestalten, da ein sonstiger Erlaubnistatbestand nach § 4 Abs. 1 BDSG vorliegen muss.61 Oftmals wird ein Outsourcinggeber in einem solchen Fall versuchen, die Einwilligung von den Betroffenen nach § 4a Abs. 1 BDSG im Rahmen des Vertragsschlusses einzuholen. Wenn dies weder möglich noch opportun ist, muss in der Regel der Weg über § 28 BDSG bemüht werden, insbesondere § 28 Abs. 1 S. 1 Nr. 2 BDSG ist hier oftmals Anknüpfungspunkt. Die Interessenlage der Betroffenen und die Zweckbindung der Datenverwendung 31 müssen auch vom Outsourcingnehmer berücksichtigt werden. Dies muss der Outsourcinggeber vertraglich sicherstellen, und da es bei der Funktionsausgliederung keine gesetzliche Schriftform gibt, sollte der Outsourcinggeber auf eine schriftliche Vereinbarung drängen. Insbesondere sind folgende Punkte regelungsbedürftig:62 – Der Outsourcingnehmer muss sämtliche geltenden Datenschutzbestimmungen beachten. – Der Outsourcinggeber muss den Outsourcingnehmer auf die Zweckbindung der übermittelten Daten hinweisen (§ 28 Abs. 5 BDSG). – Eine Verarbeitung oder Nutzung der Daten zu anderen als den festgelegten Zwecken sollte ausgeschlossen sein. – Bestellung eines Datenschutzbeauftragten durch den Outsourcingnehmer. – Der Outsourcinggeber sollte sich Weisungs- und Kontrollrechte gegenüber dem Outsourcingnehmer vorbehalten. – Eine Verpflichtung auf das Datengeheimnis nach § 5 BDSG muss der Outsourcinggeber dem Outsourcingnehmer stets, d. h. auch bei einer Funktionsausgliederung auferlegen.63 – Der Outsourcingnehmer ist Adressat der Rechte der Betroffenen und Haftungsobjekt. Praxistipp Aus Sicht des Outsourcinggebers bietet es sich weitergehend an, die Verpflichtung des Outsourcingnehmers zu technisch-organisatorischen Maßnahmen nach dem Vorbild des § 11 Abs. 2 BDSG in den
61 Tätigkeitsbericht der bayerischen Datenschutzaufsichtsbehörde für den nicht-öffentlichen Bereich 2009/2010, Rn 5.2, abrufbar unter http://www.lda.bayern.de/lda/datenschutzaufsicht/lda_ daten/dsa_Taetigkeitsbericht_2010.pdf. 62 Vgl. eingehend Müthlein/Heck, S. 127 Ziff. 7.3. mit Regelungsvorschlägen. 63 Schröder, 2.
Albrecht
106
Kapitel 4 Outsourcing datenschutzkonform ausgestalten
Vertrag aufzunehmen.64 Dies dient einerseits der einfacheren Handhabung der (oder aller) Outsourcingbeziehungen, gleichviel ob im Wege einer Auftragsdatenverarbeitung oder einer Funktionsausgliederung, und erleichtert damit das Controlling. Außerdem bilden diese technisch-organisatorischen Maßnahmen die gesetzlichen Leitlinien einer „Good Practice“ des Outsourcinggebers.
3. Mehrfache oder überschneidende Zweckbestimmung 32 Verarbeitet der Outsourcingnehmer Daten sowohl für Zwecke des Outsourcinggebers als auch für eigene (vertragliche) Zwecke, ist zu unterscheiden: Der erste Fall – Datenverarbeitung für Zwecke des Outsourcinggebers – ist als Auftragsdatenverarbeitung nach § 11 BDSG auszugestalten. Auch die §§ 29, 30 BDSG können helfen.65 Soweit die Datenverarbeitung dagegen für eigene Zwecke erfolgt, liegt eine Funktionsausgliederung vor und bedarf es einer gesonderten Rechtfertigung für die Datenübermittlung zwischen Outsourcinggeber und -nehmer über die §§ 28 ff. BDSG.66 Teils wird argumentiert, dass bei einer mehrfachen Zweckbestimmung auf den 33 Schwerpunkt der Zweckbestimmung – eigene Zwecke/fremde Zwecke – abgestellt werden kann, wenn der andere Zweck nur ganz unbedeutsam ist.67 Mit dieser Argumentation sollte allerdings vorsichtig umgegangen werden, da es für das Überwiegen des einen Zwecks bei ein und denselben Daten keine klaren Parameter gibt. Hierbei besteht das Risiko, dass man zu schnell auf § 11 BDSG zurückgreift. Das gilt in ähnlicher Weise bei Gleichwertigkeit der Zwecke.68
III. Vertragliche Grundlagen einer Auftragsdatenverarbeitung 34 Eine Auftragsdatenverarbeitung ist ein faktischer Vorgang, der jedoch einer vertragli-
chen Grundlage bedarf. Es kann sich dabei um einen (unentgeltlichen) Auftrag, einen Dienstvertrag, einen Werkvertrag oder einen Geschäftsbesorgungsvertrag handeln. Auch andere Gestaltungen z. B. im Rahmen von Konzernstrukturen sind denkbar.69 Öffentlich-rechtliche Verträge kommen ebenso in Betracht. Im Bereich des IT-Outsourcings sind Service Level Agreement typisch, die meist aus verschiedenen Vertragstypen zusammengesetzt sind (Dienst-, Werk-, Mietvertrag u. a.).
64 Vgl. auch Müthlein/Heck, S. 39 Ziff. 4.1. 65 Schaffland/Wiltfang, § 11 Rn 2 m. w. N. 66 Schaffland/Wiltfang, § 11 Rn 2; davon geht wohl auch Simitis/Petri, § 11 Rn 19, aus. 67 Schaffland/Wiltfang, § 11 Rn 2. 68 Insofern zweifelhaft Schaffland/Wiltfang, § 11 Rn 2. 69 Gola/Schomerus, § 11 Rn 6; als Auftrag (§§ 662 ff. BGB) oder Geschäftsbesorgungsvertrag dürfte der Vertrag allerdings selten zu qualifizieren sein, vgl. BeckOK BDSG/Spoerr, § 11 Rn 41.
Albrecht
B. Auftragsdatenverarbeitung und Outsourcing
107
1. Schriftformerfordernis Die Vereinbarung unterliegt nach § 11 Abs. 2 S. 2 BDSG dem Schriftlichkeitsgebot 35 (§ 126 BGB). Es sprechen gute teleologische Argumente dafür, einen Verstoß gegen das Schriftformerfordernis entgegen § 125 BGB (bzw. für Verwaltungsverträge entgegen § 57 VwVfG) nicht als ex tunc zur Nichtigkeit einer Auftragsdatenverarbeitungsvereinbarung führend anzusehen.70 Denn schon nach Art. 17 der EU-DatSchRL dient die Schriftlichkeit „Zwecken der Beweissicherung“, nicht aber zwingend den weiteren Zwecken der Warn- und Beratungsfunktion. Auch auf das Sicherheitsniveau für die Belange und Daten der Betroffenen ist die Schriftlichkeit des Auftrags grundsätzlich ohne Einfluss, solange alle maßgeblichen Inhalte vereinbart sind. Gleichwohl spricht sich die überwiegende Ansicht in einem solchen Falle weiterhin für Nichtigkeit der Auftragsdatenverarbeitungsvereinbarung aus.71 Aufgrund der Folge einer bußgeldbewährten Ordnungswidrigkeit nach § 43 Abs. 1 Nr. 2b BDSG sollte der Outsourcinggeber hier möglichst nicht experimentieren und auf der Einhaltung der Schriftform bestehen. Praxistipp Dies gilt gleichermaßen für bestehende Vertragsbeziehungen, bei denen die Regelungen über die Auftragsdatenverarbeitung bisher nicht oder nicht ausreichend verschriftlicht worden sind. Holen Sie die Schriftlichkeiten nach, damit jedenfalls für die Zukunft die weitere Zusammenarbeit zwischen Outsourcinggeber und -nehmer mit § 11 BDSG konform verläuft.
2. Vertragliche Anforderungen an eine zulässige und wirksame Auftragsdatenverarbeitung In der – schriftlichen – Vereinbarung über die Auftragsdatenverarbeitung müssen 36 sich die verantwortliche Stelle und der Auftragnehmer über die Detailregelungen des § 11 BDSG i. V. m. der Anlage zu § 9 BDSG einigen. Der Regelungskatalog des § 11 Abs. 2 S. 2 Nr. 1 – 10 BDSG setzt die Mindestinhalte fest, ist aber nicht abschließend („insbesondere“). Es dürfen demnach auch weitere Regelungsinhalte aufgenommen und zusätzliche Sicherheits- und Schutzmaßnahmen getroffen werden.72 Reichen etwa die technischen und organisatorischen Maßnahmen gemäß Anlage zu § 9 BDSG im
70 BeckOK BDSG/Spoerr, § 11 Rn 90; Funke/Wittmann, ZD 2013, 221, 225 f., je m. w. N. 71 Gola/Schomerus, § 11 Rn 17; Spindler/Schuster/Spindler, § 11 BDSG Rn 15; Simitis/Petri, § 11 Rn 64; Spindler/Schuster/Spindler, § 11 BDSG Rn 15 ziehen die Ersetzbarkeit durch die elektronische Form des § 126a BGB in Betracht, so auch Funke/Wittmann, ZD 2013, 221, 225; Pötters, NZA 2013, 1055, 1057, plädiert für das Ausreichen der Textform. 72 Vgl. Simitis/Petri, § 11 Rn 65; Abel/Ehmann, BDSG, S. 230.
Albrecht
108
Kapitel 4 Outsourcing datenschutzkonform ausgestalten
Einzelfall nicht aus, um einen angemessenen Datenschutz zu gewährleisten, gehören ergänzende Regelungen und Maßnahmen sogar zum Pflichtenprogramm.73 37 Neben diesen vertraglich zu fixierenden Mindestinhalten muss auch die sorgfältige Auswahl des Outsourcingnehmers durchgeführt worden sein, damit die Auftragsdatenverarbeitungsvereinbarung als rechtswirksam angesehen werden kann.74 Vorbehaltlicher der Geltung speziellerer Regelungen (z. B. § 80 SGB X) gelten 38 diese Vorgaben ausnahmslos. Es gibt insbesondere kein Konzernprivileg.75 Unternehmen jeder Rechtsform, Größe und Branche müssen die Mindestinhalte nach § 11 Abs. 2 S. 2 Nr. 1 – 10 BDSG vertraglich regeln und bei der Ausführung der Datenverarbeitung im Auftrag einhalten bzw. überwachen. Praxistipp Der Regelungskatalog des § 11 Abs. 2 S. 2 Nr. 1 – 10 BDSG ist mit der BDSG-Reform zum 1.9.2009 in das Gesetz aufgenommen worden. Soweit in sog. Altverträgen aus der Zeit vor dem 1.9.2009 diese gesetzlich verlangten Mindestinhalte in der Auftragsdatenverarbeitungsvereinbarung noch nicht geregelt waren, vertreten Stimmen in der Literatur, dass eine Anpassung der Altverträge nicht verpflichtend sei.76 Dies wird mit dem Zeitpunkt des Inkrafttretens des Gesetzes (vgl. § 3 OWiG) und dem Wortlaut in § 43 Abs. 1 Nr. 2b BDSG („erteilt“) begründet. Bußgeldverfahren für Altverträge werden auf dieser Grundlage nicht befürchtet.77 Allerdings erwarten verschiedene Aufsichtsbehörden eine Anpassung auch von Altverträgen.78 Soweit möglich sollte der Bestand an Altverträgen überprüft und sukzessive ergänzt werden. Der Auftraggeber kann sich seiner Weisungsbefugnis bedienen und den Auftragnehmer anweisen, entsprechend dem neuen Regelungskatalog des § 11 Abs. 2 S. 2 Nr. 1 – 10 BDSG die Daten zu verarbeiten.79 Die Weisungen sollten schriftlich erfolgen.
IV. Pflichten des Auftraggebers 39 Primär trifft den Auftraggeber die Pflicht, einen schriftlichen Vertrag über die Auf-
tragsdatenverarbeitung mit dem Auftragnehmer abzuschließen, der die Regelungsinhalte des § 11 Abs. 2 S. 2 Nr. 1 – 10 BDSG widerspiegelt. Diese Regelungsinhalte sind
73 Vgl. detailliert Müthlein/Heck, S. 101 ff. Ziff. 7 und S. 109 ff. Ziff. 7.2; ferner Abel/Ehmann, BDSG, S. 231 f. 74 Vgl. etwa Funke/Wittmann, ZD 2013, 221, 226. 75 Vgl. eingehend dazu Kap. 5; ferner Müthlein/Heck, S. 52 ff. Ziff. 4.5, die allerdings die gesellschaftsund konzernrechtlichen Begriffe Zweigstelle und Tochtergesellschaft teilweise durcheinanderbringen. 76 Etwa Hanloser, MMR 2009, 597. 77 Spindler/Schuster/Spindler, § 11 BDSG Rn 16; Gola/Schomerus, § 11 Rn 28. 78 Vgl. etwa Handreichung des BfDI zu § 11 BDSG, Tz. 1., Stand: 8.10.2010, abrufbar unter http://www. bfdi.bund.de/SharedDocs/Publikationen/Arbeitshilfen/Handreichung11BDSG.html?nn=409924; 23. Bericht der Landesregierung über die Tätigkeit der für den Datenschutz im nicht öffentlichen Bereich in Hessen zuständigen Aufsichtsbehörde vom 28.9.2010, LT-Drucks. 18/2942, Ziff. 10. 79 Vgl. Gola/Schomerus, § 11 Rn 17.
Albrecht
B. Auftragsdatenverarbeitung und Outsourcing
109
so genau und individualisiert wie möglich aufzuführen.80 Insbesondere ist es bei Nr. 3 (technische und organisatorische Maßnahmen) nicht ausreichend, schlicht den Wortlaut des § 9 BDSG abzuschreiben. Daneben treffen den Auftraggeber weitere Pflichten, die er teils vor Abschluss des 40 Vertrages, teils während der Vertragsdauer erfüllen muss.
1. Auswahl- und Kontrollpflichten Im Rahmen der Auftragsvergabe hat der Auftraggeber den Auftragnehmer sorgfäl- 41 tig auszuwählen. Dabei muss er insbesondere die technischen und organisatorischen Maßnahmen, die der Auftragnehmer zum Zwecke des Datenschutzes und der Datensicherheit anbietet, prüfen und in seine Auswahl der Beauftragung einbeziehen.81 Er darf einen Auftragnehmer nur dann mit der Datenverarbeitung beauftragen, wenn dessen Datensicherungsmaßnahmen denen entsprechen, die der Auftraggeber selbst treffen müsste, würde er die Datenverarbeitung nicht ausgliedern.82 Nicht jeder Auftrag zur Datenverarbeitung ist identisch, sodass sich kein allge- 42 mein-abstraktes Anforderungsprofil an die technischen und organisatorischen Maßnahmen und den Auftragnehmer als solchen stellen lässt. Es kommt vielmehr auf die konkret-individuelle Beauftragung an. Zu hinterfragen hat der Auftraggeber u. a. – Dauer und Umfang der Beauftragung, – Gefährdungspotenzial und Bedeutung der Daten für den Auftraggeber, – Kompetenz und Erfahrung des Auftragnehmers, – eigene Kompetenzen des Auftraggebers.83 Neben den technischen und organisatorischen Maßnahmen nach § 9 BDSG muss sich 43 der Auftraggeber insbesondere auch von der Verpflichtung der Beschäftigten auf das Datengeheimnis (§ 5 BDSG) sowie von der etwaigen Bestellung und von der Tätigkeit des Datenschutzbeauftragten (§§ 4f, 4g BDSG) vergewissern.84 Nach § 11 Abs. 2 S. 4 Hs. 1 BDSG hat der Auftraggeber eine Erst- oder Vorabkon- 44 trolle des Auftragnehmers vor Beginn der Datenverarbeitung durchzuführen, um sich von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. Dies schließt Erneuerungen und Umstel-
80 Details bei Simitis/Petri, § 11 Rn 66 ff.; Beispiele bei Bayerisches Landesamt für Datenschutzaufsicht, Auftragsdatenverarbeitung nach § 11 BDSG, Stand Mai 2013, abrufbar unter http://www.lda. bayern.de/lda/datenschutzaufsicht/lda_daten/auftragsdatenverarbeitung.pdf. 81 Schröder, 5.3 a). 82 Gola/Schomerus, § 11 Rn 20. 83 BeckOK BDSG/Spoerr, § 11 Rn 93. 84 BeckOK BDSG/Spoerr, § 11 Rn 93.
Albrecht
110
Kapitel 4 Outsourcing datenschutzkonform ausgestalten
lungen der Datenverarbeitung mit ein.85 Anders als es der Gesetzeswortlaut des § 11 Abs. 2 S. 4 BDSG nahelegt, greift die Pflicht zur Vorabkontrolle auch vor Beginn einer möglichen Erhebung oder Nutzung.86 Die Missachtung dieser Pflicht ist bußgeldbewehrt. Während der laufenden Auftragsdatenverarbeitung muss der Auftraggeber zudem 45 Regelkontrollen beim Auftragnehmer durchführen (§ 11 Abs. 2 S. 4 Hs. 2 BDSG). In der Praxis der Aufsichtsbehörden wird ein Prüfungsintervall von einem bis drei Jahren üblicherweise als ausreichend angesehen.87 Kürzere Prüfungszeiträume können sich z. B. bei sensiblen Daten i. S. d. § 3 Abs. 9 BDSG oder hohem Gefährdungspotenzial aufdrängen.88 Regelkontrollen sind auch bei Auftragsdatenverarbeitungen, die vor dem 1.9.2009 46 beauftragt worden sind, durchzuführen.89
2. Vor-Ort-Kontrolle beim Auftragnehmer 47 Bei der Auftragsvergabe wie bei der Vorab- und den Regelkontrollen kommt immer wieder die Frage nach der Pflicht des Auftraggebers zur persönlichen und unmittelbaren Vor-Ort-Kontrolle des Betriebs und der Sicherheitsmaßnahmen des Auftragnehmers auf.90 In der aufsichtsbehördlichen Praxis wird dies – mit Einschränkungen – verlangt.91 Der Gesetzgeber dagegen hat ausdrücklich von der Normierung einer persönlichen und unmittelbaren Vor-Ort-Kontrollpflicht des Auftraggebers Abstand genommen, da diese oftmals zu aufwändig und mit einem Verlust an Flexibilität verbunden sei. Ausreichend sei beispielsweise die Einholung eines Testats eines Sachverständigen oder einer schriftlichen Auskunft des Auftragsnehmers.92 Die Literatur schließt sich der Gesetzesbegründung weitgehend an und lässt neben der – natürlich möglichen – Betriebsbesichtigung unterschiedliche Arten des „Sich-Über-
85 Handreichung des BfDI zu § 11 BDSG, Tz. 3., Stand: 8.10.2010, abrufbar unter http://www.bfdi. bund.de/SharedDocs/Publikationen/Arbeitshilfen/Handreichung11BDSG.html?nn=409924. 86 BeckOK BDSG/Spoerr, § 11 Rn 94; Hanloser, MMR 2009, 594, 597. 87 Tätigkeitsbericht der bayerischen Datenschutzaufsichtsbehörde für den nicht-öffentlichen Bereich 2009/2010, Rn 5.1.2, abrufbar unter http://www.lda.bayern.de/lda/datenschutzaufsicht/lda_ daten/dsa_Taetigkeitsbericht_2010.pdf; fünf Jahre sind dagegen nicht mehr „regelmäßig“, vgl. Handreichung des BfDI zu § 11 BDSG, Tz. 4., Stand: 8.10.2010, abrufbar unter http://www.bfdi.bund.de/ SharedDocs/Publikationen/Arbeitshilfen/Handreichung11BDSG.html?nn=409924. 88 Schröder, 5.3 a) cc). 89 Vgl. Handreichung des BfDI zu § 11 BDSG, Tz. 4, Stand: 8.10.2010, abrufbar unter http://www.bfdi. bund.de/SharedDocs/Publikationen/Arbeitshilfen/Handreichung11BDSG.html?nn=409924. 90 BeckOK BDSG/Spoerr, § 11 Rn 95. 91 Handreichung des BfDI zu § 11 BDSG, Tz. 2., Stand: 8.10.2010, abrufbar unter http://www.bfdi. bund.de/SharedDocs/Publikationen/Arbeitshilfen/Handreichung11BDSG.html?nn=409924; zustimmend bei der erstmaligen Beauftragung Abel/Ehmann, BDSG, S. 231. 92 BT-Drucks. 16/13657, 18.
Albrecht
B. Auftragsdatenverarbeitung und Outsourcing
111
zeugens“ zu: Fragebögen und Interviews, Entgegennahme schriftlicher Erklärungen oder eines Sicherheitskonzepts, Vorlage von Prüfergebnissen oder Zertifikaten durch externe Prüfer – ggf. unter gleichzeitiger Überprüfung der Eignung des Auditors.93 Der Auftraggeber sollte eine persönliche Vor-Ort-Kontrolle allerdings dann vor- 48 nehmen, wenn er Zweifel an der Zuverlässigkeit des Auftragnehmers haben muss.94 Dabei ist insbesondere danach zu unterscheiden, ob es sich bei dem Auftragnehmer um ein dem Auftraggeber gut bekanntes Unternehmen der Datenverarbeitungsbranche handelt oder um einen Neuauftrag.95 Praxistipp Der Auftraggeber darf es mit dem Abschluss einer Vereinbarung zur Auftragsdatenverarbeitung nicht bewenden lassen. Die Verpflichtungen, die § 11 BDSG dem Outsourcinggeber als dem Auftraggeber auferlegt, sind auch praktisch ernst zu nehmen. Der Auftraggeber muss sich also z. B. vor Beauftragung des Outsourcingnehmers im Rahmen der Erstkontrolle davon überzeugen, dass der Auftragnehmer die vereinbarten technischen und organisatorischen Maßnahmen tatsächlich vorhält, und dies dokumentieren. Je nach Bedeutung und Dauer der Auftragsdatenverarbeitung kann er dies selbst durchführen, fachkundige Dritte damit beauftragen, eine schriftliche Auskunft des Auftragnehmers einholen oder sich vom Auftragnehmer Testate (z. B. nach ISO 9001-200) vorlegen lassen, die belegen, dass fachkundige Dritte die Maßnahmen geprüft, bewertet und datenschutzrechtlich für geeignet und angemessen befunden haben.96 Die Vorlage einer bloßen schriftlichen Erklärung oder eines Sicherheitskonzeptes des Auftragnehmers ist zumindest mit Vorsicht zu genießen.
Ergänzt werden muss das Kontrollsystem durch anlassbezogene Überprüfungen 49 beim Auftragnehmer vor Ort, wenn es Beanstandungen von Betroffenen gab oder der Auftraggeber sonst Grund zur Annahme hat, dass die Datenverarbeitung durch den Auftragnehmer nicht ordnungsgemäß erfolgt. Auch bei aufsichtsbehördlichen Ermittlungen beim Auftragnehmer sollte dies der Auftraggeber erwägen.
3. Dokumentation Der Auftraggeber hat das Ergebnis seiner Vorab- und Regelkontrollen zu dokumen- 50 tieren. Form, Inhalt und Tiefe der Dokumentation sind aufgrund der Vielfältigkeit der Auftragsdatenverarbeitungen und Kontrollmöglichkeiten nicht vorgegeben. In jedem
93 BeckOK BDSG/Spoerr, § 11 Rn 93; Gola/Schomerus, § 11 Rn 21; Schröder/Haag, ZD 2011, 147, 149; Robrecht, ZD 2011, 23, 25; Weichert, DuD 2010, 679, 680; Heidrich/Wegener, MMR 2010, 803, 806. 94 Vgl. eingehend Hallermann, RDV 2012, 226, 227. 95 Gola/Schomerus, § 11 Rn 21; Tätigkeitsbericht der bayerischen Datenschutzaufsichtsbehörde für den nicht-öffentlichen Bereich 2009/2010, Rn 5.1.2, abrufbar unter http://www.lda.bayern.de/lda/da tenschutzaufsicht/lda_daten/dsa_Taetigkeitsbericht_2010.pdf. 96 BeckOK BDSG/Spoerr, § 11 Rn 95; Hallermann, RDV 2012, 226, 227.
Albrecht
112
Kapitel 4 Outsourcing datenschutzkonform ausgestalten
Fall sollten das Datum der Kontrolle, der Gegenstand der Kontrolle, der Durchführungsweg und das ermittelte Ergebnis niedergelegt werden.97 51 Geeignete Dokumentationsmittel sind auch die Zertifikate externer Prüfer und eingesetzte Fragebögen.98
4. Verantwortlichkeit und Zuständigkeit 52 Der Auftraggeber bleibt als „Herr der Daten“ für die Daten gegenüber den Betroffenen und den Aufsichtsbehörden weiterhin verantwortlich (§ 11 Abs. 1 Abs. 1 BDSG). Folgende Pflichten und Rechte treffen daher unverändert ihn und mangels Selbstständigkeit nicht den Auftragnehmer:99 – Löschung und Berichtigung der Daten, – Erteilung von Auskünften an Betroffene, – Weitergabe von Daten an Dritte, – Adressat des Widerspruchsrechts gegenüber Verarbeitungen zum Zwecke der Werbung nach §§ 28 Abs. 4, 29 Abs. 4 BDSG, – Führung des Verfahrensverzeichnisses nach § 4e BDSG. 53 Der Auftraggeber kann dem Auftragnehmer aber natürlich im Rahmen der Auftrags-
erteilung oder mittels Einzelweisungen aufgeben, diese Aufgaben zu übernehmen. Dies muss dann gegenüber den Betroffenen in den AGB und/oder Datenschutzbestimmungen entsprechend kenntlich gemacht werden.
V. Pflichten des Auftragnehmers 54 Der Auftragnehmer hat die Daten nur den Weisungen des Auftraggebers entspre-
chend zu erheben und zu verarbeiten. Dies bedeutet eine strikte Bindung der Datenverarbeitung an die schriftlich vom Auftraggeber fixierten Zwecke.100 Grundsätzlich ist der Auftragnehmer weder zur Weitergabe an Dritte, zur Auskunftserteilung an Betroffene noch zur Nutzung zu eigenen Zwecken berechtigt. Die Weisungen können sich dabei als Pflichten aus der Auftragsdatenverarbei55 tungsvereinbarung ergeben oder konkrete Einzelweisungen sein. Widersetzt sich der Auftragnehmer den Weisungen oder verstößt er dagegen, muss der Auftraggeber seine vertraglichen Rechte ausüben und ihn zur Befolgung der Weisungen anhalten.
97 Handreichung des BfDI zu § 11 BDSG, Tz. 5., Stand: 8.10.2010, abrufbar unter http://www.bfdi. bund.de/SharedDocs/Publikationen/Arbeitshilfen/Handreichung11BDSG.html?nn=409924. 98 BeckOK BDSG/Spoerr, § 11 Rn 98. 99 Gola/Schomerus, § 11 Rn 4. 100 Simitis/Petri, § 11 Rn 85.
Albrecht
B. Auftragsdatenverarbeitung und Outsourcing
113
Gegebenenfalls kommen weitergehende vertragliche Maßnahmen (Kündigung, Rücktritt etc.) und die Einschaltung der Aufsichts- oder übergeordneten Behörde nach § 38 BDSG in Betracht.101 Praxistipp (Einzel-)Weisungen können auch mündlich erfolgen. Dies dürfte im Geschäftsalltag auch ein häufiger Weg der Weisungen sein. Gleichwohl ist zu bedenken, dass die Haftungsnormen §§ 7, 8 BDSG Beweislastumkehrungen hinsichtlich der Verschuldensmaßstäbe zulasten der verantwortlichen Stelle vorsehen. Es sollte daher erwogen werden, vertraglich festzulegen, dass nur Weisungen in Schrift- oder Textform zugelassen sind und mündliche Weisungen kurzfristig nachträglich schriftlich oder textlich bestätigt werden müssen.
Ist der Auftragnehmer der Meinung, eine Weisung verstoße ganz oder teilweise gegen 56 Datenschutzvorschriften, trifft ihn eine Hinweispflicht gegenüber dem Auftraggeber (§ 11 Abs. 3 S. 2 BDSG). Dies umfasst auch hier die vertraglichen Festlegungen zur Erhebung, Verarbeitung oder Nutzung von Daten. Der Auftraggeber muss dem Hinweis allerdings nicht nachgehen und kann vom Auftragnehmer unverändert die Umsetzung der Weisung verlangen. Seine Grenzen findet dies dort, wo sich der Auftragnehmer bei Befolgung der Weisung an einer strafbaren Handlung beteiligen oder selbst schadensersatzpflichtig gegenüber Betroffenen machen würde.102 Dann muss er der vermeintlich rechtswidrigen Weisung nicht Folge leisten. Ansonsten ist allein der Auftraggeber als verantwortliche Stelle Haftungsad- 57 ressat gegenüber Betroffenen (vgl. §§ 7, 8 BDSG) oder Behörden für Datenschutzverstöße, die im Rahmen einer weisungsgemäßen Auftragsdatenverarbeitung zustande kommen. Setzt sich der Auftragnehmer jedoch über die Zweckbindung hinweg oder weiß oder vermutet er, dass eine Weisung rechtswidrig ist und befolgt sie gleichwohl, haftet er neben dem Auftraggeber.103
101 Ein Bußgeldrisiko trifft den Auftragnehmer dagegen nur ausnahmsweise, vgl. Simitis/Petri, § 11 Rn 88 f.; zu diesbezüglichen Änderungen aufgrund der Datenschutz-Grundverordnung vgl. Art. 77, 79 der Datenschutz-Grundverordnung (Stand: Legislative Entschließung des Europäischen Parlaments v. 12.3.2014 zu dem Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (allgemeine Datenschutzverordnung) (COM(2012)0011 – C7-0025/2012 – 2012/0011(COD)) (Ordentliches Gesetzgebungsverfahren: erste Lesung), P7_TA-PROV(2014)0212, A7-0402/2013) und unten Rn 173. 102 Gola/Schomerus, § 11 Rn 25. 103 Gola/Schomerus, § 11 Rn 26.
Albrecht
114
Kapitel 4 Outsourcing datenschutzkonform ausgestalten
VI. Vertragliche Gestaltung 1. Mindestinhalt 58 Zunächst müssen sich die Parteien über die obligatorischen Mindestinhalte des Katalogs nach § 11 Abs. 2 S. 2 BDSG einigen und diese vertraglich festlegen.
2. Weitergehende Duldungs- und Mitwirkungspflichten des Auftraggebers
59 Den Auftraggeber trifft eine Reihe statutarischer Pflichten im Falle einer Auftragsda-
tenverarbeitung, z. B. die unveränderte Zuständigkeit zur Führung eines Verfahrensverzeichnisses. Genauso resultieren aus dem Gesetz Pflichten des Auftragnehmers, z. B. Befolgung von Weisungen oder Mitwirkung gegenüber den Aufsichtsbehörden. Problematisch und oftmals unbeachtet ist dabei die Frage, ob den Auftragnehmer Duldungs- und Mitwirkungspflichten gegenüber dem Auftraggeber treffen, die den gesetzlichen Pflichten und Verantwortlichkeiten des Auftraggebers korrespondieren, und ob der Auftraggeber sich unmittelbar auf die aus dem Gesetz resultierenden Pflichten des Auftragnehmers berufen kann. Könnte der Auftraggeber z. B. auf der Grundlage von § 11 Abs. 3 S. 1 BDSG gegen den Auftragnehmer vor den ordentlichen Gerichten einen Titel auf Weisungsbefolgung erstreiten und diesen Titel zudem nach §§ 887, 888 ZPO vollstrecken? Dies hängt davon ab, ob man diese Pflichten als solche zivilrechtlicher Natur betrachtet, also als inter partes anspruchsbegründend. Dies ist vollkommen unklar. Einige dieser Pflichten sind im Rahmen des § 11 BDSG geregelt (z. B. in Abs. 3), was eventuell für einen zivilrechtlichen Charakter spräche, da § 11 BDSG die vertraglichen Grundlagen für eine zulässige Auftragsdatenverarbeitung festlegt. Allerdings zeigt schon der Katalog des § 11 Abs. 2 S. 2 BDSG, dass die Details der Auftragsdatenverarbeitung den Parteien überlassen bleiben sollen (Stichworte: Eigenverantwortung und Problemadäquanz104). Andere allgemeinere Pflichten sind außerhalb von § 11 BDSG (z. B. §§ 4e, 38 Abs. 3, 42a BDSG) niedergeschrieben, sind jedoch auch für ein Auftragsdatenverarbeitungsverhältnis relevant. Vor diesem Hintergrund ist es den Parteien – insbesondere dem Auftraggeber – dringend angeraten, die genannten gesetzlichen Pflichten explizit in den Vertrag über die Auftragsdatenverarbeitung aufzunehmen.105 Dies umfasst vor allem: – Verwendung der Daten nur nach Weisungen (Zweckbindung), – Hinweispflicht bei vermeintlich rechtswidrigen Weisungen, – Pflicht zur Bestellung eines und Benennung des Datenschutzbeauftragten, – Mitteilung bei (aufsichts-)behördlichen Ermittlungen, – Informationspflicht bei unrechtmäßiger Kenntniserlangung nach § 42a BDSG,
104 BeckOK BDSG/Spoerr, § 11 Rn 105. 105 Vgl. hierzu z. B. die Musterverträge für Auftragsdatenverarbeitungen der GDD oder des BITKOM.
Albrecht
B. Auftragsdatenverarbeitung und Outsourcing
115
– Übermittlung der verfahrensbezogenen Informationen, die für das Verfahrensverzeichnis des Auftraggebers von Bedeutung sind, nebst Mitteilung von Änderungen, – Recht zur Durchführung von (Vor-Ort-)Kontrollen beim Auftragnehmer und Mitwirkungspflichten.
3. Sonstige zentrale Regelungsgegenstände Darüber hinaus gibt es weitere Punkte, die unter datenschutzrechtlichen Aspekten 60 von den Parteien üblicherweise zu regeln sind, z. B. – Regelungen zur Einhaltung des Datengeheimnisses nach § 5 BDSG, – wechselseitige Vertraulichkeitspflichten, – Kündigungsrechte bei Datenschutzverstößen, – Haftung, – (Un-)Zulässigkeit von Datenübermittlungen in sog. Drittstaaten nach §§ 4b, 4c BDSG.106
VII. Technische und organisatorische Maßnahmen Die technischen und organisatorischen Maßnahmen nach § 9 BDSG bilden den daten- 61 sicherheitsrelevanten Kern einer jeden Auftragsdatenverarbeitung. Hierzu müssen sich die Parteien im Detail auf diejenigen Maßnahmen und Konzepte einigen, die für das konkret-individuelle Auftragsdatenverarbeitungsverhältnis zum Schutze der zu verarbeitenden Daten von Bedeutung sind. Es reicht insbesondere nicht aus, schlicht die Anlage zu § 9 BDSG zu zitieren.107
VIII. Unterbeauftragung § 11 Abs. 2 S. 2 Nr. 6 BDSG verlangt von den Parteien einer Auftragsdatenverarbeitung, 62 die Berechtigung zur Erteilung von Unteraufträgen zu regeln. Hintergrund dieser Vorgabe ist, dass bei der Auftragsdatenverarbeitung Unterbeauftragungen grundsätzlich verboten sind.108 Die zu treffende Regelung kann Unteraufträge pauschal erlauben, nur zugunsten 63 bestimmter aufzuführender Unterauftragnehmer gestatten, unter den Erlaubnisvorbehalt des Auftraggebers stellen oder kategorisch verbieten. Der Auftraggeber sollte
106 Zu allem Simitis/Petri, § 11 Rn 83 m. w. N. 107 Vgl. zu Einzelheiten Kap. 12 Rn 29 ff. 108 BeckOK BDSG/Spoerr, § 11 Rn 117.
Albrecht
116
Kapitel 4 Outsourcing datenschutzkonform ausgestalten
von seinem Auftragnehmer in jedem Fall vertraglich verlangen, dass auch das Vertragsverhältnis zwischen Auftragnehmer und Unterauftragnehmer den Anforderungen des § 11 BDSG genügt, dass die Unterauftragnehmer stets mindestens das Schutzund Sicherheitsniveau einhalten, das der Auftragnehmer einzuhalten hat, und dass der Auftraggeber gegenüber den Unterauftragnehmern die gleichen Rechte hat (Kontrolle, Auskunft, Einsicht, Betreten etc.) wie gegenüber dem Auftragnehmer.109
IX. Prüfung und Wartung automatisierter Verfahren 64 Prüfung oder Wartung automatisierter Verfahren oder von Datenverarbeitungsan-
lagen durch andere Stellen werden kraft Gesetzes (§ 11 Abs. 5 BDSG) als Auftragsdatenverarbeitung nach § 11 BDSG eingeordnet, wenn bei diesen Tätigkeiten ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann. Hiermit soll dem Schutzbedarf Rechnung getragen werden, auch wenn nur beiläufig Kontakt mit personenbezogenen Daten zustande kommt und nicht zu Verarbeitungszwecken.110 Ein Outsourcinggeber muss also auch einen Prüfungs- oder Wartungsauftrag für seine Datenverarbeitungssysteme nach den Maßstäben des § 11 Abs. 1 – 4 BDSG erteilen, d. h. u. a. sorgfältige Auswahl des Outsourcingnehmers und Vorbehalt von Kontrollrechten. Besonders wichtig dürfte dabei sein, dass im Bereich der Prüfung auch die 65 externe Systemkontrolle von Datenverarbeitungsanlagen, z. B. durch eine RemoteOnline-Überwachung, und bei der Wartung die Fernwartung umfasst sind.111 Auch die Prüfung oder Wartung von defekten Geräten wie Laptops oder Smartphones muss entsprechend ausgestaltet werden, die hierbei die Geräte, die zurückgegeben und ggf. ausgetauscht werden, noch personenbezogene Daten enthalten (können).
X. Rechtsfolgen 1. Wirksame Auftragsdatenverarbeitung 66 Im Falle einer wirksamen Auftragsdatenverarbeitung liegt keine Datenübermittlung vor und ist der Auftragnehmer kein Dritter i. S. d. BDSG. Die Datenbewegungen zwischen Auftraggeber und Auftragnehmer sind dementsprechend – im Rahmen der Zweckbindung – hinreichend legitimiert.
109 Simitis/Petri, § 11 Rn 76. 110 Gola/Schomerus, § 11 Rn 14 ff. 111 Gola/Schomerus, § 11 Rn 15; Spindler/Schuster/Spindler, § 11 BDSG Rn 13.
Albrecht
C. Bereichsausnahmen, Subsidiarität, Compliance
117
2. Unwirksame Auftragsdatenverarbeitung Seit der Datenschutzreform 2009 ist der Verstoß gegen § 11 BDSG mit einem Bußgeld 67 von bis zu 50.000 € belegt (§ 43 Abs. 1 S. 2 b) BDSG). Das Bußgeldrisiko ist abstrakt gesehen als relativ hoch einzuschätzen, da die Vereinbarungen von Auftragsdatenverarbeitungen durch die Aufsichtsbehörden besonders häufig geprüft und beanstandet werden.112 Haftungsrisiken ergeben sich für den Auftraggeber zudem gegenüber den Betrof- 68 fenen, d. h. Kunden, Arbeitnehmern etc., wenn Daten rechtswidrig an den Auftragnehmer übermittelt werden. Einen erhöhten Aufwand kann es überdies bedeuten, wenn der Auftraggeber infolgedessen z. B. vermehrt Auskünfte über die übermittelten Daten erteilen und die Datenlöschung beim Auftragnehmer bewirken muss. Neben der nicht richtig, nicht vollständig oder nicht in der vorgeschriebenen 69 Weise erteilten Auftragsdatenverarbeitung ist auch die Nichtdurchführung der Vorabkontrolle ein Bußgeldtatbestand. Im Umkehrschluss gilt dies dann nicht für das Unterlassen der Regelkontrollen. Der BfDI weist gleichwohl darauf hin, dass das Unterlassen der Regelkontrollen rechtswidrig ist und zu einer Beanstandung führen kann.113 Auch zur Vermeidung von Haftungsrisiken sollten die Regelkontrollen nicht vernachlässigt werden.114
XI. Landesrecht Die Regelungen zur Auftragsdatenverarbeitung in den Landesdatenschutzgesetzen, 70 die die Datenverarbeitung öffentlicher Stellen regeln, sind im Wesentlichen mit denjenigen des BDSG inhaltlich identisch. Einige Landesdatenschutzgesetze verlangen als Besonderheit, dass die auftraggebende Behörde, sollte der Auftragnehmer nicht vom jeweiligen Landesdatenschutzrecht erfasst werden, mit diesem vereinbaren muss, dass er das Landesdatenschutzgesetz befolgt und sich der Kontrolle durch den Landesdatenschutzbeauftragten unterwirft.115
C. Bereichsausnahmen, Subsidiarität, Compliance Nicht immer ist es ausreichend oder erforderlich, eine Auftragsdatenverarbeitung 71 nach § 11 BDSG zu vereinbaren, um einen externen Dienstleister mit der Datenver-
112 Vgl. Schröder, 5.1. 113 Handreichung des BfDI zu § 11 BDSG, Tz. 4., Stand: 8.10.2010, abrufbar unter http://www.bfdi. bund.de/SharedDocs/Publikationen/Arbeitshilfen/Handreichung11BDSG.html?nn=409924. 114 Gola/Schomerus, § 11 Rn 28. 115 Vgl. etwa § 3 Abs. 3 HmbDSG; § 11 Abs. 3 DSG NRW.
Albrecht
118
Kapitel 4 Outsourcing datenschutzkonform ausgestalten
arbeitung zu betrauen. Einige Sondervorschriften beschränken oder verbieten gänzlich die Weitergabe von Daten an Dritte, andere erleichtern hingegen die beauftragte Datenverarbeitung durch Dritte. Es ist wichtig, rechtzeitig zu klären, in welchem Verhältnis diese Regelungen zum BDSG im Allgemeinen und – bei der Auftragsdatenverarbeitung – zu § 11 BDSG im Besonderen stehen. Dazu muss der Aufraggeber den Auftragnehmer darüber informieren, welche Anforderungen und Einschränkungen oder sonstigen Besonderheiten für ihn gelten, damit sich der Auftragnehmer darauf einstellen kann.116
I. Steuerberater, Rechtsanwälte, Wirtschaftsprüfer, Ärzte 72 Steuerberater und Rechtsanwälte sind Angehörige freier Berufe und unabhängige
Organe der (Steuer-)Rechtspflege (§ 1 BOStB, § 43 a Abs. 1 BRAO sowie § 1 BORA). Genauso wie Wirtschaftsprüfer haben sie ihren Beruf u. a. unabhängig und eigenverantwortlich durchzuführen. Demzufolge kann bei diesen Berufen grundsätzlich keine Rede von einer weisungsabhängigen Tätigkeit sein.117 Ihre Dienstleistung erschöpft sich nicht in der Verarbeitung von Daten, sondern richtet sich etwa auf die Führung eines Prozesses, die Fertigung einer Steuererklärung oder die Übernahme der Lohnund Gehaltsabrechnung.118 Das gilt in entsprechender Weise für Ärzte. Angehörige dieser Berufe sind daher keine Auftragsdatenverarbeiter nach § 11 BDSG im Verhältnis zu ihren Mandanten/Kunden/Patienten. Dienstleister (Freiberufler) und Prinzipal (Mandant, Patient etc.) stehen daher 73 vor der Aufgabe, die Arbeit des Dienstleisters in anderer Art und Weise datenschutzkonform auszugestalten. Hier kann in einigen Fällen auf § 28 Abs. 1 S. 1 Nr. 2 BDSG rekurriert werden, denn der Dienstleister erbringt besondere intellektuelle Leistungen, die der Dienstleister einzukaufen berechtigt ist.119 Eine andere Frage ist es, ob Angehörige dieser Berufe selbst Auftraggeber einer 74 Auftragsdatenverarbeitung sein können, soweit es die Daten ihrer Mandanten und Kunden betrifft. Hier stellt § 1 Abs. 3 S. 2 BDSG ein allgemeines Verbot auf, das § 11
116 Vgl. BSI, Eckpunktepapier Sicherheitsempfehlungen für Cloud Computing Anbieter, Februar 2012, S. 75, abrufbar unter https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Mindestanforderungen/Eckpunktepapier-Sicherheitsempfehlungen-CloudComputing-Anbieter.pdf?__ blob=publicationFile. 117 Oetterich, DStR 2012, 1771, 1772; Kirsch, ZD-Aktuell 2012, 03047, S. 2; Aßmus, MMR 2009, 599, 601; außer dann, wenn es sich um untergeordnete, eher unbedeutende Tätigkeiten handelt, z. B. das bloße Zurverfügungstellung von Programmen wie DATEV, mittels derer der Auftraggeber seine Steuerbelastung selbstständig ermitteln kann. 118 Gola/Schomerus, § 11 Rn 11. 119 Vgl. Oetterich, DStR 2012, 1771, 1772; Gola/Schomerus, § 28 Rn 5.
Albrecht
C. Bereichsausnahmen, Subsidiarität, Compliance
119
BDSG vorgeht,120 soweit es um die Wahrung von Geheimhaltungspflichten geht.121 Gesetzliche oder berufliche Geheimhaltungspflichten müssen neben dem BDSG gewahrt werden, was u. a. auch den Schutz von Prozessgegnern und sonstigen „NichtMandanten“ umfasst.122 Die Privilegierungswirkung der Voraussetzungen nach § 11 BDSG kann nicht eingreifen, wenn und soweit das Outsourcing der Datenverarbeitung eine unzulässige Offenbarung eines Geheimnisses nach § 203 StGB ist.123 Ein Outsourcing ist hier aber dann möglich und zulässig, wenn die Datenübertragung keine solche Offenbarung darstellt, insbesondere wenn der Outsourcingnehmer als „Gehilfe“ i. S. d. § 203 StGB angesehen werden kann. Ob externe Dienstleister als Gehilfen qualifizieren können, ist strittig und wird u. a. mit Blick auf das strafrechtliche Analogieverbot momentan noch weitgehend abgelehnt.124 Denn bei einem weiten Verständnis des Gehilfen-Begriffes werde im Umkehrschluss der Täterkreis des § 203 StGB ganz erheblich erweitert.125 In Anbetracht der arbeitsteiligen Welt und zur Entlastung dieser Berufsgruppen sollte hier de lege ferenda eine Bereichsausnahme erwogen werden.126 Bis dahin ist das Outsourcing von geheimnisrelevanten Dienstleistungen durch Berufsgeheimnisträger allerdings mit Vorsicht zu behandeln. Der Abschluss einer Vereinbarung, die allen formellen und materiellen Anforderungen an eine ordnungsgemäße Auftragsdatenvereinbarung gerecht wird, kann den Dienst-
120 BeckOK BDSG/Spoerr, § 11 Rn 13. 121 Vgl. zum Verhältnis eingehend Leutheusser-Schnarrenberger, AnwBl. 2012, 477; Schwintowski, VersR 2012, 1325, 1327. 122 Vgl. KG, Urt. v. 20.8.2010 – 1 Ws (B) 51/07 – NJW 2011, 324. 123 Simitis/Petri, § 11 Rn 44; näher zum Begriff des Offenbarens Spatschek, AnwBl. 2012, 478; vgl. außerdem OLG Köln, Urt. v. 4.7.2000 – Ss 254/00 – zur Abwägung von berufsrechtlicher Schweigepflicht gegenüber einem höherwertigen Rechtsgut. 124 Vgl. OLG Düsseldorf, Urt. v. 20.8.1996 – 20 U 139/95 – CR 1997, 536, 537 (Archivierung von Patientendaten); Simitis/Petri, § 11 Rn 45 f. mit de lege ferenda-Vorschlägen; Jandt/Nebel, NJW 2013, 1570, 1575 zum Outsourcing von Scan-Dienstleistungen; die Gehilfen-Eigenschaft befürwortend, solange die Gehilfen hinreichender, effektiver Steuerungsmacht unterliegen, BeckOK BDSG/Spoerr, § 11 Rn 23; Szalai/Kopf, ZD 2012, 462, 466 ff.; Jahn/Palm, Rechtsgutachten ebuero AG, S. 22, abrufbar unter http:// www.rakberlin.de/site/DE/int/PDF_Mitglieder_Skripten/280610_Rechtsgutachten_ProfJahn.pdf; Heghmanns/Niehaus, NStZ 2008, 57, 60 ff.; Hoenike/Hülsdunk, MMR 2004, 788, 789; ferner Lensdorf/ Mayer-Wegelin/Mantz, CR 2009, 62; vgl. auch Conrad/Fechtner, CR 2013, 137, 144, die die Urteile des EuGH (Urt. v. 22.11.2012 – C-119/12 – NJW 2013, 989) sowie des BGH (Urt. v. 7.2.2013 – III ZR 200/11 – MMR 2013, 471) betreffend die Einschaltung von Inkassounternehmen durch TK-Dienstleister zur Forderungseinziehung im Wege des echten Factoring als übertragbar auf das IT-Outsourcing durch Anwaltskanzleien u. a. einstufen; kritisch dagegen und mit einem sehr weiten Verständnis u. a. Oetterich, DStR 2013, 2482, 2484 m. w. N. 125 Z. B. Buchner, MedR 2013, 337, 339. 126 Jandt/Nebel, NJW 2013, 1570, 1575; vgl. zu dem Primat der Einführung von Qualitätsstandards für Rechtsanwälte Schwintowski, VersR 2012, 1325, 1328 ff.; Buchner, MedR 2013, 337, 338 spricht von einem offensichtlichen Wertungswiderspruch zwischen Datenschutzrecht und ärztlicher Schweigepflicht.
Albrecht
120
Kapitel 4 Outsourcing datenschutzkonform ausgestalten
leister allerdings einem Berufshelfer i. S. v. § 203 Abs. 3 S. 2 StGB annähern.127 Idealerweise sollten daher ggf. die datenschutzrechtliche Einwilligung der Betroffenen als auch die Entbindung von der Schweigepflicht eingeholt werden, was in praxi beim Massengeschäft unmöglich sein dürfte, ggf. aber auch nicht konkludent unterstellt werden kann.128
II. Banken, Finanzsektor 75 Das Bankgeheimnis ist das legitime Interesse von Bankkunden, dass Banken die kun-
denbezogenen Tatsachen und Wertungen, von denen sie Kenntnis erlangen, Dritten nicht offenbaren und auch vor dem Zugriff durch Externe in geeigneter Weise schützen. Es ist zwar nicht explizit gesetzlich normiert, wird aber an verschiedenen Stellen vorausgesetzt (z. B. §§ 30a AO, 12 GwG) und ist seit Langem allgemein anerkannt. Das Bankgeheimnis wirkt extern als auch intern, d. h., auch innerhalb einer Bank ist die Weitergabe von Kundendaten grundsätzlich nur zulässig, wenn dies für den ordnungsgemäßen Geschäftsbetrieb notwendig ist.129 Bankdienstleistungen werden in der Praxis vielfach ausgelagert. Dabei können 76 Auslagerungen, soweit sie personenbezogene Daten von natürlichen Personen umfassen, grundsätzlich im Wege einer Auftragsdatenverarbeitung nach § 11 BDSG erfolgen.130 Begründet wird dies damit, dass nach § 25a Abs. 2 KWG das Institut seine Verantwortung nicht delegieren darf, es ein Risikomanagement gewährleisten muss und auch die Kontrollrechte der BaFin bestehen bleiben müssen.131 Insbesondere der obligatorische Verbleib der Verantwortung beim Institut dürfte für eine Auftragsverarbeitung und gegen die Möglichkeit einer Funktionsauslagerung sprechen.132 Das Bankgeheimnis steht der Auslagerung von Bankdienstleistungen qua Auftragsverarbeitung nicht per se entgegen.133 Seit längerer Zeit hält sich aber auch die Ansicht, dass das Outsourcing bestimm77 ter Tätigkeiten, wie etwa die Abwicklung des gesamten Wertpapiergeschäftes über ein selbsttätiges Wertpapierhaus, nur schwierig zu realisieren sein dürfte, da das
127 Vgl. hierzu Kap. 6 Rn 73. 128 Vgl. Oetterich, DstR 2013, 2482, 2484; Jandt/Nebel, NJW 2013, 1570, 1572; Simitis/Petri, § 11 Rn 47; dazu und zu den Anforderungen an eine wirksame Einwilligung des Patienten allerdings im Falle eines Zahnarztes, der seine Forderungen gegen eine Patientin AGB-mäßig an die ZA Zahnärztliche Abrechnungsgesellschaft abgetreten hat, BGH, Urt. v. 10.10.2013 – III ZR 325/12 – NJW 2014, 141, 142. 129 Vgl. eingehend BeckOK BDSG/Spoerr, Syst. J Rn 8 ff.; ferner Nr. 2 Abs. 1 der AGB-Banken. 130 Scherp/Stief, BKR 2009, 404; Hoeren, DuD 2002, 736, 737. 131 Vgl. Braun, Der Syndikus 2003, 14, 17. 132 Dazu Steding/Meyer, BB 2001, 1693, 1699. 133 Erbs/Kohlhaas/Ambs, BDSG, § 11 Rn 3; Schaffland/Wiltfang, § 11 Rn 7; kritisch wohl Steding/ Meyer, BB 2001, 1693.
Albrecht
C. Bereichsausnahmen, Subsidiarität, Compliance
121
Wertpapierhaus eigenständige Dispositionen über die personenbezogenen Daten der Kunden treffen muss.134 Eine Rechtfertigung der Auslagerung derartiger Bankdienste über das Konstrukt der Funktionsauslagerung i. V. m. § 28 Abs. 1 S. 1 Nr. 1 oder Nr. 2 BDSG wird verneint und scheint auch aufgrund der Organisationspflichten nach § 25a Abs. 2 KWG problematisch.135 Die Einholung der Einwilligung der Bankkunden dürfte nicht praktikabel sein. In jedem Fall einer Auslagerung sind die bereichsspezifischen organisatorischen 78 Pflichten nach § 25a Abs. 2 KWG zu beachten und vertraglich abzusichern. Das Bankgeheimnis muss auch der Outsourcingnehmer wahren.136 Für die Teilnahme an Kreditauskunftssystemen lässt es § 28a Abs. 2 BDSG als 79 Sonderregelung jedoch zu, dass Kreditinstitute bestimmte Informationen an Auskunfteien weitergeben. Weder das Bankgeheimnis noch das BDSG statuieren ein vertragliches Abtre- 80 tungsverbot nach § 399 Alt. 2 BGB. Banken steht die Abtretung insbesondere von Darlehensforderungen an Dritte (oder sonstige Geltendmachung durch Dritte) daher nach einem richtungsweisenden Urteil des BGH aus 2007 frei.137
III. Öffentlicher Sektor, Gesundheits- und Krankenhauswesen 1. Kernbereichstheorie Bei der Auslagerung hoheitlicher Aufgaben ist zunächst zwischen dem Outsourcing 81 an öffentliche138 und demjenigen an nicht-öffentliche Stellen zu unterscheiden. Bei Letzterem sind verfassungsrechtliche Grenzen zu beachten (Art. 33 Abs. 4 GG). Hier sollte mit einer verbreiteten Ansicht darauf abgestellt werden, ob die Datenverarbeitung (auch) den Kernbereich der hoheitlichen Tätigkeit berührt. Wenn dem so ist und es nicht ohnehin abweichende Sonderregelungen gibt, ist eine Auslagerung auf nicht-öffentliche Externe – gleichviel ob im Wege einer Auftragsdatenverarbeitung oder mittels Funktionsauslagerung – unzulässig.139 Dann und soweit muss sich das Outsourcing auf öffentliche Stellen beschränken. Explizit gesetzlich geregelt ist die
134 Vgl. Steding/Meyer, BB 2001, 1693, 1698. 135 Braun, Der Syndikus 2003, 14, 17; Hoeren, DuD 2002, 736, 737; Steding/Meyer, BB 2001, 1693, 1700. 136 Vgl. Hoeren, DuD 2002, 736, 737. 137 BGH, Urt. v. 27.2.2007 – XI ZR 195/05 – NJW 2007, 2106. 138 Detailliert zur Auslagerung von Aufgaben durch die öffentliche Verwaltung und relevanten Fallkonstellationen vgl. Handreichung des BfDI, Datenschutzrechtliche Grundlagen bei Auftragsdatenverarbeitung-Outsourcing in der öffentlichen Verwaltung, Stand Oktober 2008, S. 5 ff., abrufbar unter http://www.bfdi.bund.de/SharedDocs/Publikationen/Arbeitshilfen/AuftragsdatenverarbeitungOut sourcing.html?nn=409924. 139 Simitis/Petri, § 11 Rn 10 f. mit verschiedenen Einzelfallbeispielen.
Albrecht
122
Kapitel 4 Outsourcing datenschutzkonform ausgestalten
(zulässige) hoheitliche Vergabe der Auftragsdatenverarbeitung an öffentliche bzw. nicht-öffentliche Stellen z. B. dagegen in: – § 2 Abs. 5 BKAG, – § 1 Abs. 1 und 2 AZRG, – § 387 FamFG, – § 126 Abs. 3 GBO, – § 41 Abs. 1 BDSG, – einigen Landeskrankenhausgesetzen.140 82 Bei derartigen bereichsspezifischen Regelungen ist stets zu beachten, ob sie die
Voraussetzungen einer zulässigen Auftragsdatenverarbeitung abschließend regeln oder nur vereinzelt Sonderregelungen wie Einschränkungen oder Erleichterungen aufstellen. So z. B. untersagt § 126 Abs. 3 GBO die Auftragsvergabe an nicht-öffentliche Stellen, während nach § 1 Abs. 2 AZRG das Bundesamt für Migration und Flüchtlinge die Zuverlässigkeit des Auftragnehmers nicht zu überprüfen braucht.141
2. Sonderregelungen
83 Für das Amtsgeheimnis, allgemein normiert in § 30 VwVfG und in verschiedenen
Spezialnormen wie §§ 30 AO, 67 BBG näher ausgeprägt, gelten grundsätzlich dieselben Maßstäbe wie für die vorgenannten Berufsgeheimnisse. Auch hier muss ein Offenbaren von Geheimnissen i. S. d. § 203 Abs. 2 StGB an externe Auftraggeber vermieden werden. Das Gehilfenprivileg gilt per se nicht für Amtsgeheimnisse.142 Hinsichtlich der Steuerdatenverarbeitung ist weitgehend unstreitig, dass diese in Eigenregie der Steuerverwaltung zu erfolgen hat. Dies kann aus dem Steuergeheimnis nach § 30 AO, den gesetzlichen Bestimmungen der §§ 17 Abs. 3, 2 Abs. 2 FVG oder daraus gefolgert werden, dass Rechenzentrumsdienstleistungen zum Kernbereich hoheitlicher Aufgabenerfüllung zählen. Hier kommt daher eine Verarbeitung nur durch öffentliche Stellen in Betracht.143 Sozialleistungsträger haben für personenbezogene Sozialdaten die spezielle84 ren Bestimmungen in § 80 SGB X zu beachten, die strengere Anforderungen als § 11 BDSG an die Auftragsdatenverarbeitung aufstellen und § 11 BDSG daher vorgehen.144 Sozialdaten sind Informationen, die nach § 35 SGB I dem Sozialgeheimnis unterliegen, was gem. § 35 Abs. 4 und 5 SGB I auch Betriebs- und Geschäftsgeheimnisse sowie Sozialdaten Verstorbener einschließt. § 80 Abs. 5 SGB X stellt zusätzliche Hürden auf,
140 Details bei BeckOK BDSG/Spoerr, § 11 Rn 24 ff. 141 Zu Einzelheiten Simitis/Petri, § 11 Rn 15. 142 BeckOK BDSG/Spoerr, § 11 Rn 17.1. 143 BeckOK BDSG/Spoerr, § 11 Rn 30; Simitis/Petri, § 11 Rn 11. 144 Gola/Schomerus, § 11 Rn 2.
Albrecht
C. Bereichsausnahmen, Subsidiarität, Compliance
123
wonach die Erhebung, Verarbeitung oder Nutzung von Sozialdaten im Auftrag durch nicht-öffentliche Stellen nur zur Störungsvermeidung oder aus erheblichen Kostengründen und bei Speicherung nicht des gesamten Datenbestandes zulässig ist.145 Doch auch § 80 SGB X regelt die Auftragsdatenverarbeitung im Sozialdaten- 85 schutzbereich nicht abschließend. Etwaige sozialdatenschutzrechtliche Sonderregelungen gelten vorrangig, vgl. z. B. § 137f Abs. 6 SGB V. Der Datenschutz im Gesundheits- und Krankenhauswesen ist ein Flicken- 86 teppich. Zunächst ist festzuhalten, dass aufgrund von § 203 Abs. 1 Nr. 6 StGB auch Angehörige „eines Unternehmens der privaten Kranken-, Unfall- oder Lebensversicherung oder einer privatärztlichen, steuerberaterlichen oder anwaltlichen Verrechnungsstelle“ einer gesetzlichen, strafbewehrten Verschwiegenheitspflicht unterliegen. Für sie gelten vergleichbare Schranken und Beschwerlichkeiten bei der Auslagerung wie für Träger freier Berufe (vgl. oben Rn 72 ff.).146 Allgemeiner Konsens dürfte überdies sein, dass Krankenhäuser in öffentlicher Trägerschaft nach den jeweiligen Landeskrankenhausgesetzen (bzw. entsprechenden Regelungsgebilden) Datenschutz zu betreiben haben.147 Bei Krankenhäusern in privater Trägerschaft ist das Meinungsbild gespalten. Eine überwiegende Ansicht argumentiert, dass die Landeskrankenhausgesetze den Anwendungsbereich explizit auf private Krankenhäuser erstrecken, da die bundesgesetzlichen Regelungen dazu schweigen, das BDSG damit verdrängen und damit Auftragsdatenverarbeitung ggf. nur unter den dort geregelten Einschränkungen statthaft ist.148 Einzelne Stimmen halten die Gesetzgebung durch den Bund in § 28 Abs. 7 BDSG für abschließend und damit das BDSG für maßgeblich, was – je nach Bundesland – zu ganz unterschiedlichen Erleichterungen bei der Auftragsvergabe durch Krankenhäuser in privater Trägerschaft führen würde.149
145 Vgl. hierzu aus der Praxis etwa die von Berufsgenossenschaften und Unfallversicherungsträgern der öffentlichen Hand gegründeten IT-Servicegesellschaften (GUSO, Phoenics); zum Verbot der Weitergabe von Patientendaten an private Abrechnungsstellen vgl. BSG, MMR 2009, 434; vorläufige (bis 1.7.2011 gegoltene, vgl. BGBl. I 2010, 983, 986) Rechtsgrundlage §§ 120 Abs. 6 und 295 Abs. 1b SGB V; zur Begründung eines Auftragsverhältnisses nach § 295 Abs. 1b S. 1 und 4 SGB V vgl. Schleswig-Holsteinisches OVG, Beschl. v. 12.1.2011 – 4 MB 56/10 –. 146 Vgl. allgemein zu der Problematik des § 203 Abs. 1 Nr. 6 StGB Lensdorf/Mayer-Wegelin/Mantz, CR 2009, 62 ff.; eine überwiegende Meinung plädiert dafür, dass die Datenschutzregelungen der Landeskrankenhausgesetzen anders als § 11 BDSG als „Befugnisnormen“ i. S. d. § 203 StGB angesehen werden können. Dabei sind die individuellen Anforderungen jeden Landes zu beachten, vgl. Menzel, RDV 2013, 59, 62 m. w. N. 147 Paul/Gendelev, ZD 2012, 315, 316 f. 148 Statt vieler Jandt/Roßnagel/Wilke, NZS 2011, 641, 643; Jandt/Roßnagel, MedR 2011, 140, 143; Einschränkungen sind z. B. das Erfordernis einer erheblichen Kostenersparnis oder der Genehmigungsvorbehalt seitens der Aufsichtsbehörde. 149 Paul/Gendelev, ZD 2012, 315, 316, 318, m. w. N. zum Streitstand: einschließlich Krankenhäusern in öffentlicher Trägerschaft, die im privaten Wettbewerb stehen.
Albrecht
124
Kapitel 4 Outsourcing datenschutzkonform ausgestalten
Praxistipp Letztere Ansicht hat den Charme, dass mit ihrer Hilfe auf der Grundlage des § 28 Abs. 7 S. 2 BDSG („die einer entsprechenden Geheimhaltungspflicht unterliegen“) auch Geheimhaltungsvereinbarungen zwischen dem Krankenhaus und dem Outsourcingnehmer möglich sind, die gleichwertig neben die gesetzlichen Schweigepflichten treten und ein unbefugtes Offenbaren nach § 203 StGB vermeiden helfen würden.150 Derartige Geheimhaltungsvereinbarungen werden beim IT-Outsourcing durch andere Geheimnisträger derzeit noch nicht als ausreichend angesehen.151 Allerdings ist es zweifelhaft, ob sich diese Meinung durchsetzen wird. Im Ergebnis dürften die besonderen landesgesetzlichen Voraussetzungen (z. B. erhebliche Kostenersparnis durch Outsourcing) oftmals ohnehin angestrebt werden. In jedem Fall ist die Situation im jeweiligen Bundesland gesondert zu untersuchen.
IV. Versicherungen 87 Auch Versicherungen (der Privatwirtschaft) unterfallen als verantwortliche Stellen
dem BDSG. Neben den klassischen Vertrags-/Kundendaten spielen bei vielen Versicherungsarten Gesundheitsdaten nach § 3 Abs. 9 BDSG eine Rolle. Oftmals vom Outsourcing betroffene Geschäftsbereiche sind Kundenkontakt, Vertragsverwaltung, Leistungsregulierung, aber auch der IT-Betrieb oder das Mahn- und Inkassowesen. Je nach vertraglicher Ausgestaltung und wirtschaftlicher Zielsetzung kann das Outsourcing als Auftragsdatenverarbeitung oder Funktionsauslagerung durchgeführt werden.152 Wie Angehörige freier Berufe können sich Angehörige von privaten Versiche88 rungsunternehmen nach § 203 Abs. 1 Nr. 6 StGB wegen unbefugten Offenbarens strafbar machen. Hier stellen sich insbesondere zum Gehilfenbegriff die identischen Fragen wie bei den freien Berufen.153 Daneben gilt es, die aufsichtsrechtlichen Anforderungen an das Outsourcing durch Versicherungsunternehmen nach dem VAG zu beachten (z. B. §§ 64a, 80d VAG).154
V. Telekommunikation 89 Telekommunikationsdatenschutz155 ist sektorspezifischer Datenschutz i. S. v. § 1 Abs. 3
BDSG. Auf die den §§ 91 ff. TKG unterfallenden Sachverhalte ist das BDSG grundsätz-
150 Paul/Gendelev, ZD 2012, 315, 316 f. 151 Jandt/Nebel, NJW 2013, 1570, 1575 m. w. N. 152 Vgl. zu den im Einzelnen zu treffenden Maßnahmen zum Schutz sämtlicher Betroffener Bürkle/ Darf, § 11 Rn 37; ferner Hartung, VersR 2012, 400. 153 Vgl. zu Vorschlägen speziell für die Versicherungswirtschaft Bürkle/Darf, § 11 Rn 38; Hoenike/ Hülsdunk, MMR 2004, 788 ff. 154 Vgl. hierzu Gabel/Steinhauer, VersR 2010, 177; ferner DIN SPEC 1041, Stand: Mai 2010, S. 63. 155 Einzelheiten hierzu in Kap. 6 Rn 9 ff. und Rn 68 ff.
Albrecht
C. Bereichsausnahmen, Subsidiarität, Compliance
125
lich subsidiär anwendbar. Dies bedeutet, dass zwar die Erlaubnistatbestände der §§ 91 ff. diejenigen des BDSG verdrängen. Mangels entsprechender Regelung im TKG ist jedoch § 11 BDSG über die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Auftrag durch andere Stellen anwendbar. Explizit geregelt ist dies etwa für die Entgeltermittlung und Entgeltabrechnung in § 97 Abs. 1 S. 4 TKG. Dabei muss sichergestellt werden, dass die speziellen datenschutzrechtlichen Anforderungen des TKG (insbesondere das Telekommunikationsgeheimnis) beachtet werden. Beispielsweise ist der Einsatz von Webanalysetools durch externe Dienstleistungsunternehmen regelmäßig an § 11 BDSG zu messen.156 Der TK-Diensteanbieter oder Netzbetreiber selbst ist aber grundsätzlich nicht Auf- 90 tragsdatenverarbeiter i. S. d. § 11 BDSG.157 Will er allerdings Zusatzdienste (allgemeine IT-Dienste) erbringen, wird hierfür eine Auftragsdatenverarbeitung zu vereinbaren sein und bedarf es einer hinreichenden technischen und vertraglichen Trennung.158 EuGH und BGH haben überdies entschieden, dass aufgrund des Fernmeldege- 91 heimnisses die Abtretung von Entgeltforderung für TK-Leistungen grundsätzlich nur auf der Grundlage einer Auftragsdatenverarbeitung, die die in § 11 BDSG – bzw. im EU-Ausland in den entsprechenden Regelungen – niedergelegten Mindestinhalte enthält, zulässig ist.159
VI. Exportbeschränkungen und weitere Compliance-Anforderungen Nach § 146 Abs. 2 S. 2 Nr. 3 AO darf der Steuerpflichtige seine elektronischen Bücher 92 auch im Ausland aufbewahren, wenn eine digitale Außenprüfung i. S. v. § 147 Abs. 6 AO uneingeschränkt möglich ist. Sowohl bei einer Verlagerung außerhalb von EU/ EWR als auch einer Verlagerung in EU-/EWR-Staaten muss geprüft werden, ob hierdurch die Besteuerung beeinträchtigt wird. Diese steuerverfahrensrechtlichen Anforderungen treten zu den allgemeinen datenschutzrechtlichen Erfordernissen insbesondere nach § 11 BDSG hinzu.160 Auch die allgemeinen handelsrechtlichen Aufbewahrungsregeln und -fristen 93 nach § 257 HGB sind zu beachten. So muss der Auftraggeber deren Einhaltung durch den Auftragnehmer vertraglich sicherstellen. Werden Funktionen von einer verantwortlichen Stelle im Inland im Wege von 94 gesellschafts- oder umwandlungsrechtlichen Maßnahmen – grenzüberschreitend –
156 Geppert/Schütz/Braun, § 91 Rn 7; Simitis/Petri, § 11 Rn 39. 157 BeckOK BDSG/Spoerr, § 11 Rn 27. 158 Schmitz, ZD 2011, 104, 107. 159 EuGH, Urt. v. 22.11.2012 – C-119/12 – ZD 2013, 77; BGH, Urt. v. 7.2.2013 – III ZR 200/11 – ZD 2013, 229; dazu näher Vander, ZD 2013, 492 ff. 160 Außerdem sind die „Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen“ (GDPdU) einzuhalten.
Albrecht
126
Kapitel 4 Outsourcing datenschutzkonform ausgestalten
ausgelagert (z. B. Verschmelzung oder Spaltung), liegt in der eintretenden Gesamtrechtsnachfolge weder eine „Übermittlung“ noch eine andere im BDSG geregelte Form des Datenumgangs.161 Nach § 74 Abs. 2 GmbHG beschließen die Gesellschafter einer GmbH vor deren 95 Löschung, wer die Bücher der Gesellschaft nach der Löschung in Verwahrung nehmen soll. Nach § 273 Abs. 2 AktG bestimmt dies das Gericht. Eine solche Verwahrung wird in der Regel auch personenbezogene Daten z. B. von Kunden und Mitarbeitern betreffen und oftmals werden die Unterlagen der liquidierten Gesellschaft an deren (ausländische) Gesellschafter/Aktionäre zur Verwahrung herausgegeben. Es stellt sich die Frage, ob die Übergabe personenbezogener Daten in diesem Fall einer Rechtfertigung nach dem BDSG bedarf. Soweit ersichtlich, ist dieser Punkt bisher nicht beleuchtet worden. Die Satzungen von juristischen Personen des Privatrechts sind keine Rechtsvorschriften i. S. v. § 4 Abs. 1 BDSG, sodass eine darin getroffene Aufbewahrungsregelung keine rechtfertigende Wirkung hätte.162 Man wird daher daran zweifeln müssen, dass Normen wie die §§ 74 Abs. 2 GmbHG, 273 Abs. 2 AktG eigenständige Erlaubnistatbestände i. S. v. § 4 Abs. 1 BDSG darstellen, die das BDSG verdrängen. Denn nach herrschender Meinung kann das BDSG nicht von Normen verdrängt werden, die zwar Verarbeitungsvorgänge, insbesondere Übermittlungen, voraussetzen, aber personenbezogene Datenverarbeitung nicht ausdrücklich erwähnen.163 Am ehesten scheint es hier möglich, einen Übermittlungsvorgang in der Variante des Weitergebens (§ 3 Abs. 4 Nr. 3a) BDSG) abzulehnen, da die Daten nicht aktiv weitergegeben werden, sondern als bloße Rechtsfolge der Löschung der Gesellschaft dem Verwahrer zufallen. Bei der (Konzern-)Abschlussprüfung ist insbesondere mit Mitarbeiterdaten vor96 sichtig umzugehen. Zwar bietet § 320 Abs. 2 S. 1 HGB dem Wirtschaftsprüfer eine Legitimation für die Herausgabe der Daten von unternehmensangehörigen Mitarbeitern, verdrängt das BDSG jedoch nicht. Gleichwohl sollte eine Rechtfertigung im Rahmen des Erforderlichen nach § 28 Abs. 1 S. 1 Nr. 2 BDSG ohne Weiteres möglich sein.164
D. Outsourcingnehmer im Ausland 97 Neben den oben genannten Branchenbesonderheiten und Einschränkungen im
öffentlichen Recht gibt es für die Privilegierungswirkung der Auftragsdatenverarbeitung nach § 11 BDSG auch territoriale Grenzen. Denn die privilegierende Wirkung
161 Vgl. Simitis/Dammann, § 3 Rn 144. 162 BeckOK BDSG/Bäcker, § 4 Rn 16. 163 Simitis/Dix, § 1 Rn 170; Aßmus, MMR 2009, 599, 601. 164 Vgl. etwa Aßmus, MMR 2009, 599 ff.; zum Internen Kontrollsystem (IKS) beim Outsourcing von Buchführung vgl. Wagner/Blaufuß, BB 2012, 1751, 1754.
Albrecht
D. Outsourcingnehmer im Ausland
127
des § 11 BDSG können nur Auftragnehmer mit Sitz im Inland oder innerhalb der EU/ EWR erfahren. Dies wird e contrario aus § 3 Abs. 8 S. 3 BDSG deutlich, nach dem Personen und Stellen, die in einem Mitgliedstaat der EU oder Vertragsstaat des EWR personenbezogene Daten im Auftrag erheben, verarbeiten oder nutzen, nicht „Dritte“ sind. Hintergrund dieser Gleichstellung mit der inländischen Situation ist die durch die Datenschutzrichtlinie 95/46/EG bewirkte Vollharmonisierung. Wenn sich ein deutscher Auftraggeber eines Datenverarbeiters bedient, der innerhalb von EU/EWR ansässig ist, findet § 11 BDSG demzufolge unmittelbar Anwendung.165 Außerhalb von EU/EWR ansässige Auftragnehmer werden dagegen von der herrschenden Meinung als „Dritte“ eingestuft166 und unterfallen nicht § 11 BDSG, der somit auch keine eine Datenübermittlung zwischen Outsourcinggeber und Outsourcingnehmer ausschließende Wirkung entfalten kann. Denn ein Auftragsdatenverarbeiter in einem Drittstaat nach § 3 Abs. 8 S. 3 BDSG ist kein Dritter und kann somit keine Einheit mit der verantwortlichen Stelle bilden (§ 3 Abs. 8 S. 2 BDSG).167 Das bedeutet, dass selbst eine zum Zwecke der Auftragsdatenverarbeitung durchgeführte Datenweitergabe unter dem Verbot mit Erlaubnisvorbehalt des § 4 Abs. 1 BDSG steht. Die die Datenübermittlung in Drittstaaten außerhalb von EU/EWR regelnden ergänzenden Erlaubnisnormen sind die § 4b, 4c BDSG. Danach müssen Datenverarbeiter in sog. Drittstaaten ein angemessenes Datenschutzniveau sicherstellen (§ 4b BDSG). Fehlt im Drittstaat ein angemessenes Datenschutzniveau, können die Parteien ausnahmsweise auf EU-Standardvertragsklauseln oder verbindliche Unternehmensregelungen zurückgreifen, die legitimierende Wirkung für die Datenübermittlungen zwischen Auftraggeber und Auftragnehmer haben (§ 4c BDSG). Im September 2013 hat der Düsseldorfer Kreis168 dazu wiederholt festgehalten, dass bei Datenübermittlungen in einen Drittstaat, also einen Staat außerhalb von EU/ EWR, Datenschutzfragen auf zwei Stufen zu prüfen und positiv festzustellen sind: Der Persönlichkeitsschutz darf bei grenzüberschreitendem Datentransfer nicht schwächer sein als bei Übermittlungen, die sich an inländische Stellen richten. Daher erfordert es die erste Stufe, dass die Datenübermittlung durch eine Einwilligung der betroffenen Person oder eine Rechtsvorschrift gerechtfertigt ist. Hierbei gelten die allgemeinen Datenschutzvorschriften (z. B. §§ 28 und 32 BDSG) mit der Besonderheit,
165 Vgl. 23. Bericht der Landesregierung über die Tätigkeit der für den Datenschutz im nicht öffentlichen Bereich in Hessen zuständigen Aufsichtsbehörde v. 28.9.2010, LT-Drucks. 18/2942, Ziff. 11.1. 166 Taeger/Gabel/Gabel, § 4b Rn 16; Simitis/Simitis, § 4b Rn 17; Gola/Schomerus, § 4b Rn 5 m. w. N. zum Streitstand. 167 Vgl. zu dem Einheitsgedanken bereits oben Rn 7 ff. 168 Beschluss der Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich (Düsseldorfer Kreis am 11./12.9.2013), abrufbar unter http://www.bfdi.bund.de/SharedDocs/Publikationen/ Entschliessungssammlung/DuesseldorferKreis/12092013DatenuebermittlungInDrittstaaten.pdf?__ blob=publicationFile.
Albrecht
98
99
100
101
102
128
Kapitel 4 Outsourcing datenschutzkonform ausgestalten
dass trotz Vorliegens einer Auftragsdatenverarbeitung die Datenübermittlung nach § 4 Abs. 1 BDSG zulässig sein muss (vgl. § 3 Abs. 8 BDSG). Bei der Auftragsdatenverarbeitung ist der Prüfungsmaßstab in der Regel § 28 Abs. 1 S. 1 Nr. 2 BDSG, bei sensitiven Daten ist § 28 Abs. 6 ff. BDSG zu beachten. Bereichsspezifische Sonderregelungen (z. B. § 80 ff. SGB X) sind ebenfalls zu beachten.169 Auf der zweiten Stufe ist zu prüfen, ob im Ausland ein angemessenes Daten103 schutzniveau besteht oder die Ausnahmen nach § 4c BDSG vorliegen. Auf der ersten Stufe kann dabei im Rahmen der Interessenabwägung nach § 28 104 Abs. 1 Nr. 2 BDSG die Erfüllung der Voraussetzungen des § 11 BDSG – unter Anpassung der EU-Standardvertragsklauseln – als Bewertungskriterium herangezogen werden.170 Im Schrifttum wird die Meinung vertreten, § 11 Abs. 2 BDSG sei in diesen Fällen unanwendbar und es bedürfe daher auch keiner Anpassung der EU-Standardvertragsklauseln zur Auftragsdatenverarbeitung.171
I. Allgemein: EU/EWR contra Drittstaaten 105 Schaltet ein inländischer Auftraggeber einen Auftragnehmer im Ausland zu Zwecken
der Datenverarbeitung ein, muss zwischen Auftragnehmern mit Sitz innerhalb von EU/EWR und solchen mit Sitz in einem sog. Drittstaat differenziert werden: – § 4b Abs. 1 BDSG: Auftragnehmer mit Sitz innerhalb von EU/EWR sind solchen mit Sitz im Inland gleichgestellt und können demnach als Auftragsdatenverarbeiter nach § 11 BDSG privilegiert beauftragt werden. – § 4b Abs. 2 BDSG: Auftragnehmer mit Sitz in einem Drittstaat dürfen nur beauftragt werden, wenn der Betroffene kein schutzwürdiges Interesse an dem Ausschluss der Übermittlung hat. Insbesondere kommt ihre Beauftragung in Betracht, wenn sie ein angemessenes Datenschutzniveau gewährleisten.172 Ohne angemessenes Datenschutzniveau scheidet eine privilegierte Beauftragung als Auftragsdatenverarbeiter nach § 11 BDSG für diese Auftragnehmer allerdings aus. – § 4c Abs. 2 BDSG: Hiernach können die Parteien einzelne Datenübermittlungen durch eigene Maßnahmen legitimieren, die das fehlende Datenschutzniveau ausgleichen. Hierzu können sie die von der Kommission erarbeiteten und fortentwickelten EU-Standardvertragsklauseln verwenden, sich auf verbindliche,
169 Zur ersten Stufe etwa Simitis/Simitis, § 4b Rn 38 ff.; Taeger/Gabel/Gabel, § 4b Rn 9. 170 Gola/Schomerus, § 11 Rn 16; in diesem Sinne auch das Bayerische LDA (http://www.lda.bayern. de/lda/datenschutzaufsicht/lda_11bdsg_drittstaaten.htm). 171 Vgl. Scholz/Lutz, CR 2011, 424; Wybitul/Patzak, RDV 2011, 11, 17; vermittelnd dazu BeckOK BDSG/ Spoerr, § 11 Rn 129; Giesen, CR 2007, 543, 546. 172 Dies schließt auch solche EU/EWR-interne Übermittlungen ein, für die weiterhin ausschließlich nationales Recht gilt, d. h. vor allem im Bereich der Sicherheits- und Strafverfolgungsbehörden, vgl. dazu Gola/Schomerus, § 4b Rn 1 m. w. N.
Albrecht
D. Outsourcingnehmer im Ausland
129
genehmigungsbedürftige Unternehmensregelungen des Auftraggebers (Binding Corporate Rules) berufen oder andere ausreichende Garantien installieren. – § 4c Abs. 1 BDSG: Fehlt es bei dem Auftragnehmer mit Sitz in einem Drittstaat an einem angemessenen Datenschutzniveau, darf er nur dann beauftragt werden, wenn ein Ausnahmefall des § 4c Abs. 1 Nr. 1 – 6 BDSG erfüllt ist.173
1. Auftragnehmer mit Sitz in EU/EWR Für sie gelten die gleichen Anforderungen wie für einen inländischen Auftragnehmer. 106 Denn Art. 1 Abs. 2 EU-DatSchRL verbietet es den Mitgliedstaaten, den freien Verkehr personenbezogener Daten zwischen den Mitgliedstaaten aus Gründen des Datenschutzes zu beschränken oder zu untersagen. Nur auf der ersten Stufe ist bei diesen Auftragnehmern daher zu prüfen, ob die Datenweitergabe und -verarbeitung durch sie nach den auch für inländische Verarbeiter geltenden datenschutzrechtlichen Bestimmungen gerechtfertigt sein können. Dies kann mittels § 11 BDSG im Wege einer Auftragsdatenverarbeitung erfolgen, denn auch ein in einem EU/EWR-Staat domizilierter Datenverarbeiter ist nach § 3 Abs. 8 BDSG nicht „Dritter“, oder aber – wie im Falle einer Funktionsausgliederung – nach einem allgemeinen Erlaubnistatbestand nach § 4 Abs. 1 BDSG, inklusive der Einwilligung der Betroffenen und spezialgesetzlicher Regelungen. Auch § 32 BDSG kann herangezogen werden.174
2. Auftragnehmer mit Sitz in „sicheren Drittstaaten“ a) Angemessenheit des Datenschutzniveaus Aus datenschutzrechtlicher Sicht kann ein Auftragsdatenverarbeiter mit Sitz im 107 Ausland dann als „sicher“ angesehen werden, wenn ein angemessenes Datenschutzniveau i. S. d. § 4b Abs. 2 BDSG vorliegt. Nach § 4b Abs. 2 S. 2 BDSG muss das Datenschutzniveau bei der datenempfangenden Stelle selbst angemessen sein, während die EU-DatSchRL ein angemessenes Datenschutzniveau im Drittstaat verlangt. Nach richtiger, weil wertungsgerechter Ansicht muss für die Ermittlung des angemessenen Datenschutzniveaus auf die datenempfangende Stelle selbst abgestellt werden. Zwar geben ihr das Land, von dem aus sie operiert, und dessen Recht ihren Aktionsspielraum vor. Dennoch muss der Schutz unmittelbar bei der empfangenden Stelle hinlänglich sein, allein schon im Hinblick auf nur für den spezifischen Übermittlungsadressaten geltenden Regeln, ebenso wie mit Rücksicht auf seine Verarbeitungspläne
173 Zu den Ausnahmefällen der Nr. 1 – 6 sowie deren Rangverhältnis zum angemessenen Datenschutzniveau vgl. Artikel-29-Datenschutzgruppe, WP 114, S. 10 f.; BeckOK BDSG/Schantz, § 4c Rn 5 ff. Zur Systematik vgl. Gola/Schomerus, § 4b Rn 6. 174 Allgemeine Ansicht, vgl. Gola/Schomerus, § 4b Rn 3; Simitis/Seifert, § 32 Rn 120; Wybitul/Patzak, RDV 2011, 11.
Albrecht
130
Kapitel 4 Outsourcing datenschutzkonform ausgestalten
oder zentrale, seine organisatorische und rechtliche Struktur kennzeichnenden Merkmale.175 108 Der gesetzliche Orientierungsmaßstab für die Angemessenheit des Datenschutzniveaus ist dabei das Interesse der Betroffenen an dem Ausschluss der Übermittlung ihrer Daten. Wann das Datenschutzniveau als angemessen angesehen werden kann, definiert das Gesetz nicht. Als Erstes kann insofern auf die Liste der sicheren Staaten, die die EU-Kommission herausgibt, zurückgegriffen werden. Nach Art. 25 Abs. 6 EU-DatSchRL kann die EU-Kommission im Rahmen des in Art. 31 Abs. 2 EUDatSchRL geregelten Verfahrens für die Mitgliedstaaten verbindlich feststellen, dass ein Drittland aufgrund seiner innerstaatlichen Rechtsvorschriften oder internationaler Verpflichtungen ein angemessenes Datenschutzniveau aufweist. Outsourcingnehmer in diesen Ländern176 können auf der Grundlage dieser Feststellung einfacher beauftragt werden, da für sie lediglich noch die Prüfung auf der ersten Stufe – Übermittlungsvoraussetzungen nach dem BDSG (insbesondere §§ 28 ff. BDSG) – erforderlich ist. Die Angemessenheit des Schutzniveaus muss nicht mehr hinterfragt werden. Praxistipp Im Rahmen der Diskussionen um den Gesetzesentwurf der Bundesregierung zum Beschäftigtendatenschutz177 wurde eine Ergänzung des § 3 Abs. 8 S. 3 BDSG um eine Nr. 4 ins Spiel gebracht. Hiermit wird vorgeschlagen, dass Auftragsdatenverarbeiter aus Drittländern jedenfalls dann nicht mehr als „Dritte“ gelten, wenn für das betreffende Drittland durch die EU-Kommission gem. Art. 25 Abs. 6 der EU-DatSchRL ein angemessenes Schutzniveau festgestellt wurde. Sollte diese Regelung Gesetz werden, würden Auftragsdatenverarbeiter aus derartig anerkannten Drittländern zukünftig unmittelbar unter die Regelungen zur Auftragsdatenverarbeitung gem. § 11 BDSG fallen und müssten (nur) diese erfüllen.178 Am 26.2.2013 hat die Bundesregierung das Gesetzesvorhaben jedoch vorläufig gestoppt.179 Sollte der Gesetzesentwurf wieder aufgenommen werden oder das Thema „Kommissionsfeststellung“ in die EU-Datenschutz-Grundverordnung entsprechend Einzug finden, sollte die weitere Entwicklung aufmerksam verfolgt werden.180 109 Findet sich ein Land nicht auf dieser Liste der EU-Kommission, gibt es kein zwischen-
staatliches Abkommen (wie z. B. das Safe-Harbor-Abkommen) und kann auch der Weg über EU-Standardvertragsklauseln oder Binding Corporate Rules nicht gegangen
175 Gola/Schomerus, § 4b Rn 7; Spindler/Schuster/Spindler, § 4b BDSG Rn 10; Simitis/Simitis, § 4b Rn 46; kritisch u. a. Weiße, CR 2003, 142, 147, der eine ungenügende Richtlinienumsetzung beanstandet. Dies dürfte in der Praxis oftmals ohne Folgen bleiben. Vorsichtshalber sollte aber analysiert werden, ob – auch – das Datenschutzrecht des Drittstaates eine hinlängliche Wertigkeit aufweist. 176 Vgl. die Aufstellung bei Gola/Schomerus, § 4b Rn 14; ferner zum – noch nicht angemessenen – Datenschutzniveau in Indien als wichtigem Handelspartner der EU Stauder, ZD 2014, 188 ff. 177 BT-Drucks. 17/4230. 178 Vgl. DAV, Stellungnahme Nr. 6/2013, S. 3 f. mit weiterführenden Regelungsvorschlägen, abrufbar unter http://anwaltverein.de/downloads/Stellungnahmen-11/DAV-Stellungnahme-6-13.pdf. 179 Vgl. zur Historie http://gesetzgebung.beck.de/node/1002468. 180 Vgl. Entschließung des Bundesrates v. 28.6.2013, BR-Drucks. 552/13.
Albrecht
D. Outsourcingnehmer im Ausland
131
werden, muss anhand des Einzelfalles die Angemessenheit des Datenschutzniveaus ermittelt werden. § 4b Abs. 3 BDSG legt zunächst beispielhaft181 einige Kriterien für die Prüfung der 110 Angemessenheit fest. Das sind: – die Art der Daten, – die Zweckbestimmung der Verarbeitung, – die Dauer der geplanten Verarbeitung, – das Herkunfts- und das Endbestimmungsland, – die für den betreffenden Empfänger geltenden Rechtsnormen sowie die für ihn geltenden Standesregeln und Sicherheitsmaßnahmen. Entscheidend ist aber nicht das Vorliegen eines Kriteriums allein, sondern eine 111 Abwägung aller Umstände von Fall zu Fall.182 Denn die Vielzahl der Daten und ihre unterschiedlichen Verwendungen und Zwecke haben individuell verschiedene Auswirkungen, die auch die Schutzwürdigkeit variieren lassen. Erst die Kenntnis der spezifischen Umstände des Einzelfalles erlaubt es, das individuell für die Betroffenen erforderliche Schutzniveau zu beurteilen. Dies kann anhand der zwei Grundelemente festgestellt werden, die die Artikel-29-Datenschutzgruppe im Jahre 1998 für eine sinnvolle Analyse des angemessenen Datenschutzniveaus aufgestellt hat: – den Inhalt der im Drittland geltenden Vorschriften und – die Mittel zur Sicherung ihrer wirksamen Anwendung.183 Zu den inhaltlichen Grundsätzen zählen die Beschränkung der Zweckbestimmung, 112 Datenqualität, Transparenz, Datensicherheit, Rechte der Betroffenen und Beschränkungen der Weiterübermittlung. Verfahrensrechtliche Mechanismen sind eine hohe Befolgungsrate, Rechtsdurchsetzungsmittel und Kompensationsmöglichkeiten.184 Diese Grundsätze und Mechanismen sind in der Regel, aber nicht zwingend stets zu analysieren. Das Anforderungsspektrum mag im Einzelfall größer oder geringer sein. Angemessenheit bedeutet dabei indes nicht Gleichwertigkeit. Das Schutzniveau 113 im Drittland ist dann als angemessen anzusehen, wenn der betroffenen Person dort in Bezug auf die Verarbeitung ihrer Daten ein Schutz zuteilwird, der dem Kernbestand der Schutzprinzipien der EU-DatSchRL im Wesentlichen gerecht wird. Wann dies der Fall ist, ist anhand eines Vergleiches zu ermitteln. Abstriche bei einzelnen Schutzin-
181 Vgl. Simitis/Simitis, § 4b Rn 49. 182 Spindler/Schuster/Spindler, § 4b BDSG Rn 9. 183 Artikel-29-Datenschutzgruppe, WP 12, S. 5. 184 Artikel-29-Datenschutzgruppe, WP 12, S. 6 ff.; erläuternd Simitis/Simitis, § 4b Rn 53 ff.
Albrecht
132
Kapitel 4 Outsourcing datenschutzkonform ausgestalten
strumenten sind ebenso möglich wie eine gewisse Minderung des Schutzniveaus im Ganzen.185 114 Mit der Feststellung der Angemessenheit des Datenschutzniveaus sind die Interessen und Rechte der Betroffenen allerdings nicht abschließend hinreichend geschützt bzw. gegenüber der Übermittlung ins Ausland nachrangig. Das angemessene Datenschutzniveau ist lediglich ein Regelbeispiel („insbesondere“), sodass auch sonstige Belange von Betroffenen einer Übermittlung gerade ins Ausland entgegenstehen könnten. Klassisches Beispiel ist hier die Gehaltsabrechnung durch Dienstleister in einem Drittstaat, die sensible Daten gem. § 3 Abs. 9 BDSG umfasst (z. B. Religionszugehörigkeit, Schwerbehindertenstatus).186
b) Sonderfall USA: Safe-Harbor-Abkommen und PRISM
115 Eine spezielle Entscheidung nach Art. 25 Abs. 6 EU-DatSchRL hat die EU-Kommission
nach mehrjährigen Verhandlungen über Datenübermittlungen in die USA getroffen. Danach gewährleistet das mit dem US-Handelsministerium ausgehandelte „Safe Harbor“-Paket einen angemessenen Datenschutz. Danach bietet ein in den USA ansässiger Datenempfänger/-verarbeiter einen angemessenen Datenschutz, wenn er sich durch Erklärung gegenüber der zuständigen US-Behörde zur Einhaltung bestimmter Datenschutzprinzipien verpflichtet. Das Safe-Harbor-Abkommen187 enthält überdies Sonderregelungen für den Datentransfer von Personaldaten. Die Safe-Harbor-Prinzipien werden durch eine Liste „Häufig gestellter Fragen“ (FAQ) ergänzt, die als Leitlinien für die Anwendung der Prinzipien dienen sollen.188 Ein Outsourcinggeber muss daher vorab prüfen, ob und inwieweit der Datenemp116 fänger sich dem Safe Harbor unterworfen hat.189 Unter Umständen ist der US-Datenempfänger dazu anzuhalten, dem Safe Harbor beizutreten. Das Safe-Harbor-Abkommen regelt die Fragen der Angemessenheit in vielen 117 Detailpunkten. Allerdings bleibt es dabei relativ oberflächlich und hinter dem Angemessenheitsniveau europäischer Fasson deutlich zurück, weswegen es auch nicht unkritisiert geblieben ist.190 Beispielsweise brauchen Unternehmen, die für sich die Vorteile der Safe-Harbor-Prinzipien in Anspruch nehmen wollen, lediglich zu erklä-
185 Gola/Schomerus, § 4b Rn 12; leicht anders nuanciert Simitis/Simitis, § 4b Rn 52 ff., der Gleichwertigkeit verlangt, sich aber dennoch am „harten Kern“ sowie den Grundprinzipien des europäischen Datenschutzes (z. B. Art. 8 der Charta der Grundrechte der EU) orientiert. Deckungsgleichheit fordert auch er nicht; gegen die Zulassung von Minderungen Spindler/Schuster/Spindler, § 4b BDSG Rn 11. 186 Zu Lösungsmöglichkeiten und weiteren Beispielen Gola/Schomerus, § 4b Rn 8. 187 ABl. EG v. 25.8.2000, Nr. L 215/7. 188 Vgl. dazu Simitis/Simitis, § 4b Rn 70. 189 Safe Harbor List abrufbar unter http://www.export.gov/safeharbor. 190 Kritisch z. B. Erd, K&R 2010, 624; näher zu dem Abkommen Simitis/Simitis, § 4b Rn 75, der die einzelnen Punkte des Abkommens als für den Angemessenheitstest unzureichend hält.
Albrecht
D. Outsourcingnehmer im Ausland
133
ren, dass sie bereit sind, die Grundsätze als verbindlich anzuerkennen.191 Ob sie die dafür erforderlichen Voraussetzungen, etwa im Bereich der Datensicherheit, tatsächlich erfüllen, wird nicht weiter geprüft. Eine Selbstzertifizierung genügt. Der Düsseldorfer Kreis hat daher beschlossen, dass Daten exportierende Unter- 118 nehmen mindestens klären müssen, ob die Safe-Harbor-Zertifizierung des Importeurs noch gültig ist. Außerdem hat sich das Daten exportierende Unternehmen nachweisen lassen, wie das importierende Unternehmen seinen Informationspflichten nach Safe Harbor gegenüber den von der Datenverarbeitung Betroffenen nachkommt.192 Bei verbleibenden Zweifeln an der Einhaltung der Safe-Harbor-Kriterien durch das US-Unternehmen sollten bevorzugt EU-Standardvertragsklauseln oder BCR zur Gewährleistung eines angemessenen Datenschutzniveaus beim Datenimporteur eingesetzt werden.193 Eine weitere datenschutzrechtliche Herausforderung bei der Einschaltung US- 119 amerikanischer Outsourcingnehmer stellt der USA Patriot Act nebst weiteren USGesetzen dar. Danach stehen einigen US-Behörden umfangreiche, teils unbegrenzte Eingriffsermächtigungen zu, die sich auch auf die Herausgabe von personenbezogenen Daten beziehen können und gegenüber denen ausländischen Betroffenen keine oder kaum Rechte zustehen.194 Aufgrund der weitreichenden Befugnisse der US-Behörden wird teils kritisch hinterfragt, ob US-Dienstleister überhaupt noch in Konformität mit deutschem/europäischem Datenschutz beauftragt werden dürfen, da diese Eingriffsbefugnisse einem angemessenen Datenschutzniveau entgegenstünden.195 Der USA Patriot Act ermöglicht dabei nicht nur den Zugriff auf in den USA gespei- 120 cherte Daten durch US-Behörden, sondern, aufgrund seiner extensiven Auslegung durch US-Gerichte und US-Behörden, wonach es bloß auf die faktische Möglichkeit des Zugriffs ankomme, auch auf außerhalb der USA gespeicherte Daten (z. B. bei EUKonzerngesellschaften oder auf europäischen Servern).196 US-Behörden können also
191 Anhang II, FAQ 6, abrufbar unter http://export.gov/safeharbor/eu/eg_main_018493.asp. 192 Beschluss des Düsseldorfer Kreises v. 28./29.4.2010, abrufbar unter http://www.bfdi.bund.de/ SharedDocs/Publikationen/Entschliessungssammlung/DuesseldorferKreis/290410_SafeHarbor. html. 193 Vgl. dazu auch die Empfehlung im 19. Bericht der Landesregierung über die Tätigkeit der für den Datenschutz im nicht-öffentlichen Bereich in Hessen zuständigen Aufsichtsbehörde v. 16.8.2006 – LTDrucks. 16/5892, Ziff. 11.1. 194 Vgl. zum USA Patriot Act allgemein z. B. Schuppert/von Reden, ZD 2013, 210, 216 ff.; Voigt/Klein, ZD 2013, 16. 195 Studie der Universität Amsterdam, „Cloud Computing in Higher Education and Research Institutions and the USA Patriot Act” v. 27.11.2012 (Update: 13.6.2013), abrufbar unter http://papers.ssrn.com/ sol3/papers.cfm?abstract_id=2181534&download=yes. 196 Vgl. dazu Voigt/Klein, ZD 2013, 16, 17; Wagner/Blaufuß, BB 2012, 1751, 1752; Barnitzke, MMR-Aktuell 2011, 321103.
Albrecht
134
Kapitel 4 Outsourcing datenschutzkonform ausgestalten
bei Mutter- bzw. Tochtergesellschaften mit Sitz in den USA mittelbar Druck auf verbundene Unternehmen etwa in Deutschland zur Datenpreisgabe ausüben. Allerdings ist die praktische als auch rechtliche Relevanz des USA Patriot Acts 121 in den vergangenen Jahren zurückgedrängt worden. Dies liegt einerseits an den Einschränkungen der Befugnisse der Behörden (Richtervorbehalt), andererseits aber auch an den strikten Eingriffsvoraussetzungen (z. B. Terrorismusbekämpfung). Auch anerkannt das US-Justizministerium die Existenz von Blockadegesetzen (blocking statutes), die ein Unternehmen daran hindern können, einer gerichtlichen Anordnung Folge zu leisten. Dies kann das BDSG einschließen.197 Zudem sehen auch andere Länder – auch in EU/EWR – teils weitreichende hoheitliche Eingriffsbefugnisse vor, sodass man nicht umhinkommt, zu vergleichen, ob die Kompetenzen unter dem USA Patriot Act tatsächlich schwerer wiegen als nach deutschen oder europäischen Gesetzen (z. B. AO, StPO).198 Nur wenn dem im Einzelfall so wäre, könnte man dem USA Patriot Act derzeit ein Gewicht beimessen, das den Abschluss einer Vereinbarung zur Auftragsdatenverarbeitung oder sonstigen Datenverarbeitung mit einem US-Auftragnehmer verbieten könnte. Dies scheint allerdings – vorbehaltlich der folgenden Randnummern – nicht angezeigt zu sein.199 Eine neue Dimension scheint die Diskussion um die Eingriffsbefugnisse und 122 -möglichkeiten US-amerikanischer Behörden jedoch im Zuge des PRISM-Skandals erreicht zu haben. Die National Security Agency (NSA) der USA und andere ausländische Geheimdienste haben umfassend und anlasslos ohne Einhaltung der Grundsätze der Erforderlichkeit, Verhältnismäßigkeit und Zweckbindung auf personenbezogene Daten zugegriffen, die von Unternehmen in Deutschland (und in anderen Ländern) an Stellen in den USA übermittelt werden. Die deutschen Aufsichtsbehörden haben daher im Juli 2013 angekündigt, die Aussetzung von Übermittlungen personenbezogener Daten in die USA auf der Basis von Safe Harbor und EU-Standardvertragsklauseln zu prüfen.200 In der Literatur wird jedoch zu Recht darauf hingewiesen, dass den deutschen 123 Aufsichtsbehörden keine entsprechenden Kompetenzen zustehen, vielmehr nur die
197 Vgl. Restatement (Third) of the Foreign Relations Law of the United States § 442 note 10 (1986), abrufbar unter http://internationalcriminallaw.org/Restatement(Third)_of_Foreign_Relations_Law/ RSecs334_401-04_411_432_442.PDF; näher Voigt/Klein, ZD 2013, 16, 20. 198 Vgl. eingehend Schuppert/von Reden, ZD 2013, 210 ff.; Voigt/Klein, ZD 2013, 16 ff. 199 Kritisch dazu (zum Cloud Computing): Studie des Directorate General for Internal Policies des Europäischen Parlaments, Fighting cyber crime and protecting privacy in the cloud, 2012, abrufbar unter http://www.europarl.europa.eu/RegData/etudes/etudes/join/2012/462509/IPOL-LIBE_ ET%282012 %29462509_EN.pdf; Studie der Universität Amsterdam, „Cloud Computing in Higher Education and Research Institutions and the USA Patriot Act” v. 27.11.2012 (Update: 13.6.2013), abrufbar unter http://papers.ssrn.com/sol3/papers.cfm?abstract_id=2181534&download=yes. 200 Pressemitteilung der Konferenz der Datenschutzbeauftragten des Bundes und der Länder vom 24.7.2013, abrufbar unter http://www.datenschutz-bremen.de/sixcms/detail.php? gsid = bre men236.c.9283.de.
Albrecht
D. Outsourcingnehmer im Ausland
135
EU-Kommission oder der Ausschuss nach Art. 31 DS-RL Safe Harbor oder die EU-Standardklauseln einseitig suspendieren könnten.201 Die EU-Kommission hat sich einen Zeitraum zur Prüfung von Safe Harbor202 bis Ende 2013 vorbehalten.203 Die weitere Entwicklung in dieser Frage sollte sorgfältig verfolgt werden. Solange es gegen die Zugriffe der NSA u. a. keine durchgehend verschlüsselten 124 Verarbeitungsmöglichkeiten gebe, ist laut dem Hessischen Datenschutzbeauftragten derzeit allenfalls eine Speicherung in den USA bzw. im Ausland möglich, bei der der Schlüssel unter alleiniger Kontrolle des Unternehmens in Deutschland ist. Für bestehende Verträge, auf deren Basis bereits personenbezogene Daten im Ausland verarbeitet werden, bestehe allerdings ein Vertrauens-/Bestandsschutz.204
c) Erlaubnisvorbehalt Neben dem angemessenen Datenschutzniveau muss die Auslagerung der Datenver- 125 arbeitung auf den im Drittstaat ansässigen Auftragsverarbeiter auch i. S. d. § 4 Abs. 1 BDSG gerechtfertigt sein (erste Stufe).
3. Auftragnehmer mit Sitz in „unsicheren Drittstaaten“ Weist der Datenverarbeiter nach alledem kein angemessenes Schutzniveau für die 126 Datenübermittlung auf, sollte der Auftraggeber prüfen, ob die Verwendung des § 4c Abs. 2 BDSG möglich wäre, d. h., ob z. B. EU-Standardvertragsklauseln oder verbindliche Unternehmensregelungen ausreichende Garantien bieten würden. Nur wenn dies nicht zweckmäßig und/oder unmöglich ist, sind die Ausnahmen § 4c Abs. 1 Nr. 1 – 6 BDSG in Erwägung zu ziehen.205 Die Artikel-29-Datenschutzgruppe erwartet im Übrigen insbesondere von multinationalen Konzernen oder öffentlichen Behörden, die die Übermittlung von Daten in ein Drittland in großem Umfang planen, dass die für die wiederholte, massenhafte oder routinemäßige Übermittlung personenbezogener Daten wegen dieser Merkmale der Übermittlung möglichst einen spezifischen
201 Statt vieler Schuppert/von Reden, ZD 2013, 210, 212; Spies, ZD 2013, 535, 536, mit dem Hinweis, dass die deutschen Aufsichtsbehörden allerdings BCR sowie individualvertragliche genehmigungspflichtige Vereinbarungen gem. § 4c Abs. 2 BDSG untersagen könnten. 202 Mit Spies, ZD 2013, 535, 538 ist es fraglich, wie dagegen die nicht registrierten EU-Standardverträge überhaupt einer Untersagung zugänglich gemacht werden könnten. 203 http://europa.eu/rapid/press-release_MEMO-13-710_en.htm; zu Rechtsschutzmöglichkeiten von betroffenen Unternehmen gegen durch eine Landesaufsichtsbehörde untersagte Datenübermittlungen in die USA vgl. Spies, ZD 2013, 535, 536. 204 Stellungnahme abrufbar unter http://www.frankfurt-main.ihk.de/presse/meldungen/ 2013/ 14873/index.html. 205 Artikel-29-Datenschutzgruppe, WP 114, S. 10 f.
Albrecht
136
Kapitel 4 Outsourcing datenschutzkonform ausgestalten
Rechtsrahmen schaffen (also EU-Standardverträge oder BCR) und sich nicht auf eine der engen Ausnahmen nach Nr. 1 – 6 zurückziehen.206
a) Binding Corporate Rules aa) Ebene des Auftraggebers 127 Sogenannte Binding Corporate Rules („BCR“)207 des Auftraggebers können nach § 4c Abs. 2 S. 1 BDSG als ausreichende Garantien hinsichtlich des Schutzes des Persönlichkeitsrechts und der Ausübung der damit verbundenen Rechte dienen. Dies hat besonders für internationale Konzerne Bedeutung, wenn einzelne ihrer Firmen in Ländern ohne angemessenes Datenschutzniveau angesiedelt sind. In diesen Fällen können konzernweit geltende BCR ein umfangreiches Vertragsmanagement entbehrlich machen. Gegenstand der „ausreichenden Garantien“ sind der Schutz der Grundrechte, die Persönlichkeitsrechte und speziell die damit verbundenen Ausübungsrechte.208 Klassischer Anwendungsbereich für BCR ist etwa der gesamte Bereich der Perso128 nalverwaltung, der im Konzern zentralisiert ist. Mit ihnen soll sichergestellt werden, dass personenbezogene Daten, die zwar das Territorium von EU/EWR verlassen, aber innerhalb desselben Konzernverbundes verbleiben, weiterhin durch ein Datenschutzregime geschützt werden, das den europäischen Datenschutzbestimmungen entspricht. Sie sind teilweise die Antwort auf das fehlende Konzernprivileg im Datenschutzrecht.209
bb) Ebene des Auftragsdatenverarbeiters
129 Neuerdings wird die Etablierung von BCR auch auf Ebene des Auftragsdatenverarbei-
ters210 vermehrt diskutiert. Hintergrund dieser aufkommenden Diskussion ist, dass es Unternehmensgruppen gibt, die nach ihrem Geschäftsgegenstand typischerweise als Auftragsdatenverarbeiter tätig sind und die dabei zu verarbeitenden personenbezogenen Daten aus dem EWR an Gruppenmitglieder außerhalb des EWR übermitteln möchten und daher Bedarf an einem wenig aufwändigen datenschutzrechtlichen Instrument haben. Es geht also um konzerninterne Unterauftragsverhältnisse des Auftragnehmers mit konzernangehörigen Unternehmen. Hier helfen EU-Standardvertragsklauseln zwar, um das Vertragsverhältnis zwischen dem Outsourcinggeber
206 Artikel-29-Datenschutzgruppe, WP 114, S. 11. 207 Vgl. zu den Binding Corporate Rules im Detail Kap. 5 Rn 102 ff.; kommentierte BCR finden sich bei Moos/Abel/Schulte, S. 881 ff. 208 Vgl. Gola/Schomerus, § 4c Rn 10, auch zur Möglichkeit der Verbindlicherklärung von Betriebsvereinbarungen. 209 Vgl. BeckOK BDSG/Schantz, § 4c Rn 56. 210 Zu BCR für Auftragsdatenverarbeiter vgl. auch Kap. 5 Rn 204 ff.
Albrecht
D. Outsourcingnehmer im Ausland
137
im Inland und dem Outsourcingnehmer im Drittstaat datenschutzrechtskonform auszugestalten.211 Eine Anwendung der Standardvertragsklauseln für die Auftragsverarbeitung soll allerdings nicht zulässig sein, wenn ein in EU/EWR niedergelassener Auftragsverarbeiter seinerseits einen Unterauftrag an einen Drittstaatler erteilt.212 Daher wurde über einige Zeit hinweg mit vertraglichen Hilfskonstruktionen ver- 130 sucht zu arbeiten, die allerdings alle Schwächen hatten.213 Angesichts der Praxisschwierigkeiten erkennt daher die Artikel-29-Datenschutzgruppe grundsätzlich an, dass derartige Auftragsdatenverarbeitungs-Unternehmensgruppen Binding Corporate Rules for Processors („BCRP“) sind und bietet nun einen inhaltlichen Vorschlag für die Schaffung an.214 Seit dem 1.1.2013 können BCRP grundsätzlich in einem vergleichbaren Verfahren wie herkömmliche BCR den europäischen Datenschutzbehörden zur Abstimmung vorgelegt werden. Die BCRP müssen dabei Bestimmungen zur Organisation, Dokumentation und 131 insbesondere zur Durchsetzung von Rechten der Betroffenen enthalten, außerdem einige Datenschutzgrundsätze enthalten. Welche Auswirkungen der Vorschlag letztendlich auf die tatsächliche aufsichtsrechtliche Praxis haben wird, kann bisher nicht beurteilt werden. Es ist allerdings zu hoffen, dass hierdurch ein erster Beitrag für die Schaffung eines transparenten und praktikablen Systems geschaffen wurde.215 Praxistipp Die Diskussion um BCRP steht noch am Anfang. Auftragnehmer, die erwägen, BCRP zu implementieren, müssen darauf achten, dass der Auftraggeber weiterhin die „verantwortliche Stelle“ i. S. d. § 3 Abs. 7 BDSG ist. Seine datenschutzrechtliche Verantwortlichkeit muss also unverändert sichergestellt werden, d. h. auch im Verhältnis zu den Unterauftragnehmern aus dem Processor-Konzern.216 Hierzu existieren bisher noch keine gefestigten Erkenntnisse. Die Artikel-29-Datenschutzgruppe plant allerdings weitere Arbeitspapiere zum Thema BCRP.
b) EU-Standardverträge217 Sofern im Zuge von Outsourcingmaßnahmen personenbezogene Daten in Drittstaaten 132 transferiert werden sollen, die kein angemessenes Datenschutzniveau i. S. v. Art. 25 Abs. 2 der RL 95/46/EU aufweisen,218 ist dies nach europäischem Datenschutzrecht
211 Zuzüglich der zumindest entsprechenden Geltung der Anforderungen des § 11 BDSG, vgl. Rn 151. 212 Vgl. die Nachweise bei BeckOK BDSG/Spoerr, § 11 Rn 131. 213 Vgl. zu den Vertragsmodellen Filip, ZD 2013, 51, 58 ff.; BeckOK BDSG/Spoerr, § 11 Rn 131 f.; kommentierte Vorschläge für BCR finden sich bei Moos/Abel/Schulte, S. 881 ff. 214 Artikel-29-Datenschutzgruppe, WP 195. 215 BeckOK BDSG/Spoerr, § 4c Rn 133; Filip, ZD 2013, 51. 216 Siehe zur Einbindung von Unterauftragnehmern in Auftragsdatenverarbeitungen Filip, ZD 2013, 51. 217 Vgl. auch Kap. 5 Rn 92 ff. 218 Im Folgenden: „unsichere Drittstaaten“.
Albrecht/Filip
138
Kapitel 4 Outsourcing datenschutzkonform ausgestalten
nur zulässig, sofern besondere Maßnahmen ergriffen werden. Zwar enthält Art. 26 Abs. 1 der RL 95/46/EU – bzw. in der Umsetzung ins deutsche Recht § 4c Abs. 1 BDSG – einen Katalog von Ausnahmen, bei deren Eingreifen der Transfer personenbezogener Daten in unsichere Drittstaaten zulässig ist. Diese Zulässigkeitstatbestände sind jedoch sehr eng formuliert und daher für viele Situationen, in denen Unternehmen Bedarf an Datenexporten in sog. unsichere Drittstaaten sehen – nicht zuletzt in zahlreichen Fällen von Cloud Computing und sonstigem Outsourcing – nicht einschlägig. Jedoch können Exporte personenbezogener Daten in unsichere Drittstaaten gem. 133 Art. 26 Abs. 2 der RL 95/46/EG genehmigt werden, wenn der Datenexporteur ausreichende Garantien hinsichtlich des Schutzes der Privatsphäre, der Grundrechte und der Grundfreiheiten der Personen sowie hinsichtlich der Ausübung der damit verbundenen Rechte219 erbringt, wobei sich solche Garantien insbesondere aus entsprechenden Vertragsklauseln ergeben können. Art. 26 Abs. 4 der RL 95/46/EG eröffnet der EU-Kommission die Möglichkeit, für bestimmte, sog. Standardvertragsklauseln verbindlich festzustellen, dass hierdurch „ausreichende Garantien“ in diesem Sinne erbracht werden. Die Mitgliedstaaten müssen bei Vorliegen einer Kommissionsentscheidung gem. Art. 26 Abs. 4 der RL 95/46/EG „die gebotenen Maßnahmen treffen“, was letztlich bedeutet, dass für sie diese Entscheidung verbindlich ist und sie derartige Datenexporte daher genehmigen müssen, sofern auch die übrigen im Einzelfall bestehenden Anforderungen an den Datentransfer erfüllt sind. Für das deutsche Datenschutzrecht ist Art. 26 Abs. 2 der RL 95/46/EG durch § 4c 134 Abs. 2 S. 1 BDSG umgesetzt, wonach Übermittlungen personenbezogener Daten in unsichere Drittstaaten genehmigt werden können, wenn die verantwortliche Stelle ausreichende Garantien hinsichtlich des Schutzes des Persönlichkeitsrechts und der Ausübung der damit verbundenen Rechte vorweist, wobei sich solche Garantien insbesondere aus Vertragsklauseln oder verbindlichen Unternehmensregelungen ergeben können. Mit den Standardvertragsklauseln bietet die EG-Datenschutzrichtlinie internati135 onal tätigen Unternehmen ein praxistaugliches Instrument, das den Verfahrens aufwand zur datenschutzrechtlichen Absicherung von Übermittlungen personenbezogener Daten in sog. unsichere Drittstaaten begrenzen soll. Für Unternehmen, die die Standardvertragsklauseln verwenden, entfällt die Notwendigkeit, im Einzelfall datenschutzrechtliche Vertragsklauseln für den Datenexport zu entwerfen, bei denen zudem ungewiss sein kann, ob sie von der zuständigen Datenschutzbehörde als „angemessene Datenschutzgarantien“ i. S. v. Art. 26 Abs. 2 der RL 95/46/EG anerkannt werden würden. Darin liegt der große praktische Vorteil der Standardvertragsklauseln gegenüber individuell erarbeiteter Vertragstexte für Datenexporte in unsichere Drittstaaten.
219 Im Folgenden soll insoweit zur sprachlichen Vereinfachung von „ausreichenden Datenschutzgarantien“ gesprochen werden.
Filip
D. Outsourcingnehmer im Ausland
139
Ein weiterer damit zusammenhängender Vorteil liegt darin, dass bei Anwen- 136 dung der unveränderten Standardvertragsklauseln die darauf beruhenden Datenexporte nach Ansicht – soweit ersichtlich – aller deutschen Datenschutzaufsichtsbehörden keiner Genehmigung durch die Aufsichtsbehörde bedürfen.220 Hierüber haben sich die deutschen Aufsichtsbehörden verständigt, auch wenn Standardvertragsklauseln unter § 4c Abs. 2 S. 1 BDSG einzuordnen sind und Datenexporte nach dem Wortlaut dieser Vorschrift an sich genehmigungsbedürftig wären. Der Grund für diese Praxis der Aufsichtsbehörden liegt darin, dass angesichts der für die Mitgliedstaaten verbindlichen Wirkung der Anerkennung der Standardvertragsklauseln durch Kommissionsentscheidungen i. S. v. Art. 26 Abs. 4 BDSG die Erteilung einer förmlichen Datenexportgenehmigung in Fällen, in denen die unveränderten Standardvertragsklauseln verwendet werden, letztlich eine überflüssige Förmlichkeit wäre.221 Dies ist der zentrale Vorteil der EU-Standardvertragsklauseln gegenüber 137 der Verwendung individuell gestalteter Datenschutzverträge.222 Denn im Falle der Verwendung eines individuell gestalteten Vertrags muss die Datenschutzaufsichtsbehörde stets anhand des individuellen Vertrags prüfen, ob durch den Vertrag „angemessene Datenschutzgarantien“ – gemessen am Maßstab der EG-Datenschutzrichtlinie – erbracht werden und daher nach § 4c Abs. 2 S. 1 BDSG die Genehmigung für den Datenexport erteilt werden kann.
aa) Abänderungen der Standardvertragsklauseln Sofern an den Standardvertragsklauseln lediglich Änderungen zum Vorteil der 138 datenschutzrechtlichen Situation der Betroffenen vorgenommen werden, sind auch solche Datenexporte – soweit für den Autor ersichtlich – nach Auffassung der
220 Grundlegend dazu der 15. Bericht der Hessischen Landesregierung über die Tätigkeit der für den Datenschutz im nicht-öffentlichen Bereich in Hessen zuständigen Aufsichtsbehörden, LTDrucks. 15/4659 v. 26.11.2002, Nr. 7.2 unter Hinweis darauf, dass dies die Auffassung des „Düsseldorfer Kreises“ (d. h. der deutschen Datenschutzaufsichtsbehörden für den nicht-öffentlichen Bereich) sei; bestätigt durch den Beschluss des Düsseldorfer Kreises v. 19./20.4.2007 (Positionspapier zum Internationalen Datenverkehr), Nr. III.4, abrufbar unter http://www.bfdi.bund.de/SharedDocs/Publikationen/Entschliessungssammlung/ErgaenzendeDokumente/PositionspapierApril2007.html;jsessionid =3B35D33E877B339588BE7BC94AB4B975.1_cid344?nn=409242; vgl. auch Simitis/Simitis, § 4c Rn 51; Gola/Schomerus, § 4c Rn 14. 221 Weitere Voraussetzung für die Zulässigkeit des Datenexports ist aber stets, dass auch die Anforderungen der sog. ersten Stufe des Datenumgangs erfüllt sind, d. h. die auch für Datentransfers innerhalb des EWR geltenden Anforderungen gem. §§ 4 Abs. 1, 28 ff. BDSG bzw. gemäß etwaiger nach § 1 Abs. 3 BDSG vorrangiger Vorschriften. 222 Häufig auch „Ad-hoc-Verträge“ genannt.
Filip
140
Kapitel 4 Outsourcing datenschutzkonform ausgestalten
deutschen Aufsichtsbehörden genehmigungsfrei.223 Allerdings kann dies nur gelten, sofern keinerlei Zweifel daran bestehen, dass sich die Änderungen ausschließlich zum Vorteil der Betroffenen auswirken können. Die Datenschutzaufsichtsbehörden haben erklärt, dass im Falle von Abänderungen der Standardvertragsklauseln eine Rückfrage bei der zuständigen Aufsichtsbehörde erforderlich ist, um zu klären, ob der Datenexport als genehmigungsfrei angesehen werden kann.224 Darüber noch hinausgehend verlangen zumindest einige der deutschen Auf139 sichtsbehörden bei jeder Verwendung der (unveränderten oder veränderten) Standardvertragsklauseln die Vorlage des datenschutzrechtlichen Vertrages. Unternehmen sollten im Zweifel bei der zuständigen Aufsichtsbehörde nachfragen, ob und ggf. in welchen Fällen diese die Vorlage von Verträgen verlangt.225 Ebenfalls nicht zur Genehmigungsbedürftigkeit der Datenübermittlungen führen 140 solche Ergänzungen der Standardvertragsklauseln, die eindeutig lediglich die geschäftliche Beziehung der Vertragsparteien (Datenexporteur und Datenimporteur) betreffen und keinerlei Auswirkungen auf die Datenschutzrechte der Betroffenen haben. Solche rein geschäftsbezogenen Klauseln können somit einem Standardvertrag hinzugefügt werden, ohne dass dies die Notwendigkeit einer Datenexportgenehmigung nach sich ziehen würde. So besagt Erwägungsgrund 4 des Kommissionsbeschlusses 2010/87/EG über Standardvertragsklauseln für Übermittlungen an Auftragsdatenverarbeiter ausdrücklich, dass Datenexporteur und -importeur geschäftsbezogene Klauseln aufnehmen dürfen, sofern diese nicht im Widerspruch zu den Standardvertragsklauseln stehen. Eine identische Aussage findet sich im Erwägungsgrund 5 der Kommissionsentscheidung 2001/497/EG. Im Ergebnis bedeuten die Standardvertragsklauseln eine enorme praktische 141 Vereinfachung für Unternehmen, die personenbezogene Daten in unsichere Drittstaaten übermitteln. Folgerichtig spielen sie in der Praxis international tätiger Unternehmen eine große Rolle. Man darf davon ausgehen, dass Standardvertragsklauseln das mit Abstand am häufigsten verwendete Rechtsinstrument zur Erfüllung der
223 Beschluss des Düsseldorfer Kreises v. 19./20.4.2007 (Positionspapier zum Internationalen Datenverkehr), Nr. II.4, abrufbar unter http://www.bfdi.bund.de/SharedDocs/Publikationen/Entschliessungssammlung/ErgaenzendeDokumen-te/PositionspapierApril2007.html;jsessionid=3B35D33E877B 339588BE7BC94AB4B975.1_cid344?nn=409242; Hillenbrand-Beck, RDV 2007, 231, 234. 224 Beschluss des Düsseldorfer Kreises v 19./20.4.2007 (Positionspapier zum Internationalen Datenverkehr), Nr. II.4, abrufbar unter http://www.bfdi.bund.de/SharedDocs/Publikationen/Entschlies sungssammlung/ErgaenzendeDokumente/PositionspapierApril2007.html?nn=409242; Taeger/Gabel/Gabel, § 4c Rn 27; Hillenbrand-Beck, RDV 2007, 231, 234. 225 Bekannt ist dies dem Autor z. B. im Hinblick auf die Berliner Aufsichtsbehörde; so auch die Hamburgische Aufsichtsbehörde, vgl. HmbBfDI, 23. Tätigkeitsbericht, 14.2 (S. 113), abrufbar unter https:// www.datenschutz-hamburg.de/fileadmin/user_upload/documents/23._Taetigkeitsbericht_Datenschutz_2010 – 2011.pdf: „… entspricht es unserer ständigen Praxis, dass regelmäßig eine Vorabprüfung von Verträgen mit Standardvertragsklauseln durch uns als Aufsichtsbehörde … erforderlich ist.“; Näheres bei Gola/Schomerus, § 4c Rn 14.
Filip
D. Outsourcingnehmer im Ausland
141
datenschutzrechtlichen Anforderungen beim Export personenbezogener Daten aus der EU in sog. unsichere Drittstaaten sind. Machen Unternehmen von den EU-Standardvertragsklauseln Gebrauch, ist freilich zu beachten, dass die deutschen Datenschutzaufsichtsbehörden im Rahmen ihrer Zuständigkeit selbstverständlich jederzeit die Möglichkeit haben, zu überprüfen, ob die sich aus den Standardvertragsklauseln ergebenden Verpflichtungen von den Unternehmen in der Praxis befolgt werden. Auch gegenüber den Binding Corporate Rules226 haben die Standardvertrags- 142 klauseln den Vorteil des deutlich geringeren Verfahrensaufwands: Denn BCR müssen stets individuell formuliert werden, da die EG-Datenschutzrichtlinie – anders als für Standardvertragsklauseln in Art. 26 Abs. 4 – kein vergleichbares Verfahren zur Bereitstellung von „Standard-BCR“ enthält. Zudem müssen BCR, anders als die Standardvertragsklauseln, durch umfangreiche Maßnahmen der praktischen Umsetzung (u. a. Schulungen, regelmäßige Audits, Bildung eines Netzwerks von mit dem Datenschutz befassten Personen u. a.) flankiert werden, was ebenfalls für die Unternehmen mit signifikantem Aufwand verbunden ist. Hinzuweisen ist allerdings darauf, dass die deutschen Aufsichtsbehörden vor 143 dem Hintergrund der Presseberichterstattung über den Verdacht unverhältnismäßiger Datenzugriffe durch US-Behörden (Stichwort „PRISM“) im Juli 2013 angekündigt haben, die Aussetzung von Übermittlungen personenbezogener Daten in die USA auf der Basis (u. a.) von EU-Standardvertragsklauseln zu prüfen. Die weitere Entwicklung in dieser Frage sollte laufend sorgfältig beobachtet werden.227 Was den Einsatz der Standardvertragsklauseln in der Praxis betrifft, so besteht 144 für Unternehmen die erste Aufgabe darin, den für den Einzelfall passenden Standardvertrag zu wählen. Gegenwärtig stehen zwei Musterverträge („Sets“) mit Standardvertragsklauseln für Übermittlungen an verantwortliche Stellen sowie ein „Set“ für Übermittlungen an Auftragsdatenverarbeiter zur Verfügung, im Einzelnen: – für Datenexporte an „verantwortliche Stellen“ wahlweise die Standardvertragsklauseln gemäß Kommissionsbeschluss 2001/497/EG („Set I“)228 oder die Standardvertragsklauseln gemäß Kommissionsbeschluss 2004/915/EG („Set II“);229 – für Datenexporte zum Zweck der Auftragsdatenverarbeitung die Standardvertragsklauseln gemäß Kommissionsbeschluss 2010/87/EU.230
226 Zu Binding Corporate Rules vgl. ausführlich Kap. 5 Rn 102 ff. 227 Pressemitteilung der Konferenz der Datenschutzbeauftragten des Bundes und der Länder v. 24.7.2013, abrufbar unter http://www.datenschutz-bremen.de/sixcms/detail.php?gsid=bremen236.c. 9283.de; näheres unter Rn 122 und Kap. 5 Rn 86. 228 Entscheidung der Kommission Nr. 2001/497/EG v. 15.6.2001 – K(2001) 1539. 229 Entscheidung der Kommission Nr. 2004/915/EG v. 27.12.2004 – K(2004) 5271, auch „alternative Standardvertragsklauseln“ genannt. 230 Beschluss der Kommission Nr. 2010/87/EU v. 5.2.2012 – K(2010) 593, ABl. EU 2010 L 39, 5.
Filip
142
Kapitel 4 Outsourcing datenschutzkonform ausgestalten
145 In der Terminologie der Standardvertragsklauseln wird die Stelle, die die Daten in
den unsicheren Drittstaat übermittelt, als Datenexporteur bezeichnet, der Datenempfänger im Drittstaat als Datenimporteur.231 Im konkreten Outsourcing-Fall, wie generell bei jedem Export personenbezogener 146 Daten in einen Drittstaat, muss die verantwortliche Stelle daher zu allererst klären, ob der Datenempfänger die Daten zum Zwecke einer Auftragsdatenverarbeitung (in der englischen Terminologie der EU-Datenschutzrichtlinie: als „Processor“) oder aber für eigene Zwecke – d. h. als verantwortliche Stelle (in der englischen Terminologie: als „Controller“) – erhält. „Verantwortliche Stelle“ ist nach Art. 2 Buchst. d der EU-Datenschutzrichtlinie eine Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet, während Auftragsdatenverarbeiter gem. Art. 2 Buchst. e der EU-Datenschutzrichtlinie eine Stelle ist, welche personenbezogene Daten im Auftrag einer verantwortlichen Stelle verarbeitet.232 Die Abgrenzung kann im Einzelfall durchaus schwierig sein.
bb) Standardvertragsklauseln „Controller-to-Controller, Set I“ und „Set II“
147 Bei Übermittlungen an eine verantwortliche Stelle (Controller) stehen grundsätz-
lich zwei Musterverträge zur Verfügung: die Klauseln gemäß Kommissionsbeschluss 2001/497/EG („Set I“) sowie gemäß Kommissionsbeschluss 2004/915/EG („Set II“ oder „alternativer Standardvertrag“). Zwischen diesen können die beteiligten Unternehmen grundsätzlich frei wählen, allerdings dürfen Klauseln der beiden Musterverträge nicht miteinander kombiniert werden.233 „Set II“ geht auf einen Entwurf zurück, der gemeinsam von mehreren Wirtschaftsverbänden vorgelegt wurde234 und nach umfangreichen Beratungen unter Einbeziehung der Artikel-29-Datenschutzgruppe von der EU-Kommission anerkannt wurde.235 Der signifikanteste Unterschied zwischen „Set I“ und „Set II“ betrifft die Rege148 lung der Haftung für Schäden gegenüber Betroffenen: „Set I“ sieht die gesamtschuldnerische Haftung von Datenexporteur und Datenimporteur vor,236 sodass der Betroffene Schadensersatzansprüche wegen Schäden, die der Datenimporteur verursacht hat, stets (auch) gegen den Datenexporteur geltend machen kann. An dieser
231 Klausel 1 Buchst. b und c der Entscheidung der Kommission Nr. 2001/497/EG v. 15.6.2001 – K(2001) 1539; entsprechende Definitionen sind auch in den anderen beiden StandardvertragsklauselSets enthalten. 232 Zur Abgrenzung der Auftragsdatenverarbeitung insbesondere von der sog. Funktionsausgliederung vgl. unter Rn 20 ff. 233 Erwägungsgrund 3 der Kommissionsentscheidung 2004/915/EG. 234 Erwägungsgrund 2 der Kommissionsentscheidung 2004/915/EG. 235 Zur Entstehungsgeschichte von „Set II“ Kuner/Hladjk, RDV 2005, 193 ff. 236 Klausel 6 der Kommissionsentscheidung 2001/497/EG.
Filip
D. Outsourcingnehmer im Ausland
143
Regelung hatten die Wirtschaftsverbände von Anfang an massive Kritik geübt.237 In „Set II“ haben sie eine davon abweichende Regelung erreicht: Nach der Haftungsregelung in „Set II“ haftet der Datenimporteur für von ihm verursachte Schäden selbst,238 jedoch kann der Betroffene die Ansprüche vor den Gerichten im Sitzland des Datenexporteurs geltend machen.239 Daneben gibt es noch einige weitere – allerdings weniger einschneidende – Unterschiede zwischen „Set I“ und „Set II“.240 Für Datenexporteure dürfte die Verwendung von „Set II“ insbesondere aufgrund 149 der Haftungsregelung häufig attraktiver sein. Allerdings vertreten die deutschen Datenschutzaufsichtsbehörden die Auffassung, dass „Set II“ für die Übermittlung jedenfalls von Arbeitnehmerdaten für sich alleine gesehen nicht ausreichend, sondern vielmehr ergänzungsbedürftig ist.241 Damit sollen Wertungswidersprüche zu den Anforderungen des deutschen Datenschutzrechts betreffend die sog. erste Stufe des Datenumgangs (d. h. die Anforderungen, die auch für Übermittlungen ins Inland bzw. innerhalb des EWR gelten) vermieden werden.242 Denn für die Übermittlung von Arbeitnehmerdaten haben die deutschen Aufsichtsbehörden darauf hingewiesen, dass es nicht ohne Weiteres hingenommen werden kann, dass sich der Arbeitgeber den Anforderungen des BDSG und des deutschen Arbeitsrechts durch Übermittlung der Daten an eine andere Stelle entziehen könne, dies vielmehr nur dann hinnehmbar sei, wenn bestimmte Kompensationsmaßnahmen getroffen werden.243 Vor diesem Hintergrund verlangen die Aufsichtsbehörden beim Export
237 Kuner/Hladjk, RDV 2005, 193, 197. 238 Klausel III.a) S. 4 der Kommissionsentscheidung 2004/915/EG; Kuner/Hladjk, RDV 2005, 193, 197. 239 Klausel III.b) S. 1, zweiter Halbsatz der Kommissionsentscheidung 2004/915/EG. 240 Übersicht bei Kuner/Hladjk, RDV 2005, 193, 200. 241 Beschluss des Düsseldorfer Kreises v. 19./20.4.2007 (Positionspapier zum Internationalen Datenverkehr), Nr. II.2 und II.3, abrufbar unter http://www.bfdi.bund.de/SharedDocs/Publikationen/ Entschliessungssammlung/ErgaenzendeDokumente/PositionspapierApril2007.html?nn=409242; näheres und grundlegend dazu der 22. Bericht der Hessischen Landesregierung über die Tätigkeit der für den Datenschutz im nicht-öffentlichen Bereich in Hessen zuständigen Aufsichtsbehörden, LT-Drucks. 18/1015 v. 1.9.2009, Nr. 11, S. 31 f.; vgl. auch Hillenbrand-Beck, RDV 2007, 231, 234; Taeger/ Gabel/Gabel, § 4c Rn 24. 242 Die Geltung der Anforderungen der „ersten Stufe“ zusätzlich zu den Standardverträgen für Übermittlungen an „Controller“ folgt daraus, dass der Standardvertrag lediglich Regelungen zur Erbringung von „ausreichenden Datenschutzgarantien“ für den Datenexport in Drittstaaten enthält; nach Erwägungsgrund 7 der Kommissionsentscheidung Nr. 2001/497/EG v. 15.6.2001 – K(2001) 1539 bleibt die Geltung der übrigen Anforderungen des Datenschutzrechts des jeweiligen EU-Mitgliedstaats hiervon unberührt. 243 Arbeitsbericht einer Ad-hoc-Arbeitsgruppe „Arbeitnehmerdaten im Konzern“ des „Düsseldorfer Kreises“, abrufbar etwa unter www.lda.bayern.de/lda/datenschutzaufsicht/lda_daten/Arbeitspapier_konzerninterner_Datenverkehr.pdf, Nr. 3.2 (S. 8 – 9).
Filip
144
Kapitel 4 Outsourcing datenschutzkonform ausgestalten
von Arbeitnehmerdaten unter Verwendung der Standardvertragsklauseln „Set II“ in mehreren Punkten zusätzliche Maßnahmen:244 – „Set II“ sieht in Klausel I.d vor, dass vereinbart werden kann, dass der Datenimporteur die Auskunftserteilung an die Betroffenen übernimmt. Dies ist für Arbeitnehmerdaten aus Sicht der Aufsichtsbehörden nicht akzeptabel, vielmehr müsse diese Pflicht stets beim Arbeitgeber (Datenexporteur) verbleiben. Daher müsse in einer Fußnote zu Klausel I.d von „Set II“ kenntlich gemacht werden, dass von dieser Option kein Gebrauch gemacht wird. Alternativ dazu könne der Arbeitgeber eine Garantieerklärung abgeben, wonach er weiterhin zur Erfüllung der datenschutzrechtlichen Ansprüche der Betroffenen verpflichtet bleibt. – Nicht akzeptabel sei bei Arbeitnehmerdaten ferner die alleinige Haftung des Datenimporteurs für von ihm verursachte Schäden. Daher müsse der Arbeitgeber (Datenexporteur) eine Garantieerklärung gegenüber den Betroffenen abgeben, wonach er auch weiterhin haftet. Eine solche Erklärung könne auch in einer Betriebsvereinbarung abgegeben werden. – Nicht akzeptabel sei schließlich, dass der Standardvertrag bei Werbung lediglich ein Widerspruchsrecht vorsieht. Will der Datenimporteur die Daten von Arbeitnehmern für werbliche Zwecke verwenden, sei vielmehr die Einwilligung der Arbeitnehmer erforderlich. Dieses Problem besteht im Übrigen auch beim Mustervertrag „Set I“; es müsse somit gleichermaßen bei Verwendung von „Set I“ wie von „Set II“ gelöst werden. 150 Diese Anforderungen der deutschen Aufsichtsbehörden mögen möglicherweise den
Unternehmen mitunter nicht bekannt sein. Es ist nach Einschätzung des Autors jedoch davon auszugehen, dass dies nach wie vor Position der deutschen Aufsichtsbehörden ist. Bei Controller-to-Controller-Datenexporten unter Verwendung von „Set II“ muss der Datenexporteur daher, sofern es sich um Daten von Arbeitnehmern handelt, erwägen, ob er diese zusätzlichen Anforderungen etwa durch Abgabe einer Garantieerklärung erfüllt oder aber stattdessen den Mustervertrag „Set I“ verwendet (für den allerdings die dritte der dargestellten Anforderungen ebenfalls gilt).
cc) Standardvertragsklauseln Controller-to-Processor
151 Für Datenexporte zum Zweck der Auftragsdatenverarbeitung steht der Mustervertrag
gemäß Kommissionsbeschluss 2010/87/EU zur Verfügung. Besonders praxisrelevant ist dabei die Frage der Einschaltung von Unter-Auftragnehmern. Klausel 11 Abs. 1 des Standardvertrags erlaubt die Vergabe von Unteraufträgen durch den Datenimpor-
244 22. Bericht der Hessischen Landesregierung über die Tätigkeit der für den Datenschutz im nichtöffentlichen Bereich in Hessen zuständigen Aufsichtsbehörden, LT-Drucks. 18/1015 v. 1.9.2009, Nr. 11, S. 31 f.
Filip
D. Outsourcingnehmer im Ausland
145
teur im eigenen Namen, wenn auch (selbstverständlich) nur mit vorheriger schriftlicher Einwilligung des Datenexporteurs. Die Möglichkeit der Unterauftragsvergabe durch den Datenimporteur geht auf langjähriges, massives Drängen der Wirtschaft zurück, nachdem der frühere Standardvertrag zur Auftragsdatenverarbeitung245 diese Möglichkeit nicht vorgesehen hatte und damit früher stets ein Direktvertrag zwischen Datenexporteur und (Unter-)Auftragnehmer erforderlich war. Eine für die Unternehmen sehr praxisrelevante Erleichterung besteht hierbei 152 darin, dass es ausreicht, wenn die gemäß Klausel 11 Abs. 1 vorher zu erteilende schriftliche Einwilligung des Datenexporteurs zur Unterauftragserteilung an den Datenimporteur zunächst lediglich „in allgemeiner Form“ erteilt wird, d. h. als allgemeine Erlaubnis, Unteraufträge zu vergeben. Dies hat die Artikel-29-Datenschutzgruppe der Datenschutzbehörden der EU-Mitgliedstaaten in ihrem Arbeitspapier Nr. 176 ausdrücklich festgehalten.246 Diese Möglichkeit kann in der Praxis insbesondere dann wichtig sein, wenn nicht bereits bei Abschluss des Hauptauftrags alle späteren Unterauftragnehmer bekannt sind; solche Fälle kommen z. B. beim Cloud Computing häufig vor. Allerdings gilt auch in solchen Fällen stets, dass die Daten nicht gegen den Willen des Auftraggebers (des Datenexporteurs) an den jeweiligen Unterauftragnehmer fließen dürfen. Denn nur so kann der Auftraggeber seiner datenschutzrechtlichen Verantwortung nach europäischem und deutschem Datenschutzrecht (vgl. § 11 Abs. 1 BDSG) gerecht werden. Daher hat die Artikel-29-Datenschutzgruppe in einem späteren Arbeitspapier ausdrücklich betont, dass im Falle einer derartigen, zunächst „allgemein“ erteilten Einwilligung zur Unterauftragserteilung der Datenimporteur (d. h. der „erste“ in der Auftragskette eingeschaltete Auftragnehmer) den Datenexporteur über die Identität jedes konkreten ins Auge gefassten Unterauftragnehmers informieren muss, bevor die Daten an Letzteren fließen, und dem Datenexporteur eine ausreichend bemessene Frist zur Verfügung stehen muss, um der Einschaltung jedes einzelnen Unterauftragnehmers widersprechen oder den Vertrag beenden zu können.247 Zu beachten ist bei Verwendung des Standardvertrags für Auftragsverarbeiter 153 ferner, dass nach Ansicht der deutschen Aufsichtsbehörden einige Ergänzungen erforderlich sind, um auch die für Auftragsdatenverarbeitung geltenden Anforderungen nach § 11 BDSG zu erfüllen. Diese Forderung beruht darauf, dass, obwohl ein in einem Drittstaat ansässiger Auftragsdatenverarbeiter gem. § 3 Abs. 8 S. 3 BDSG als „Dritter“ gilt, dennoch der Sache nach ein Verhältnis der Auftragsdatenverarbei-
245 Kommissionsentscheidung 2002/16/EG v. 27.12.2001; diese Standardvertragsklauseln wurden durch den Kommissionsbeschluss 2010/87/EU v. 5.2.2010 über die neuen Standardvertragsklauseln für Auftragsverarbeiter aufgehoben. 246 Artikel-29-Datenschutzgruppe, WP 176, S. 6 (Nr. II.1.). 247 Artikel-29-Datenschutzgruppe, WP 196, S. 12 (Nr. 3.3.2) und 16 (Nr. 3.4.2, Ziff. 7). Das WP 196 enthält zwar vor allem Aussagen zum Cloud Computing, dieser wichtige Grundsatz gilt jedoch allgemein für alle Fälle der Unterbeauftragung.
Filip
146
Kapitel 4 Outsourcing datenschutzkonform ausgestalten
tung vorliegt und daher die Anforderungen des § 11 BDSG zumindest entsprechende Geltung beanspruchen. Somit gelten auch hier insbesondere die in § 11 Abs. 2 S. 2 BDSG enthaltenen inhaltlichen Anforderungen an den Auftrag.248 Die deutschen Aufsichtsbehörden haben eine Gegenüberstellung zwischen den Anforderungen nach § 11 BDSG und dem Standardvertrag erstellt.249 Daraus wird erkennbar, dass ein Großteil der Anforderungen des § 11 BDSG im Text des Standardvertrags ohnehin bereits erfüllt ist oder jedenfalls durch Ausfüllung der Anhänge des Standardvertrags erfüllt werden muss. So müssen z. B. die wegen § 11 Abs. 2 S. 2 Nr. 3 BDSG zwingend zu treffenden Regelungen über technisch-organisatorische Maßnahmen ohnehin im Anhang 2 des Standardvertrags vorgenommen werden. Jedoch muss auch denjenigen Anforderungen des § 11 Abs. 2 S. 2 BDSG nachgekommen werden, zu denen der Standardvertrag keine Entsprechung enthält und bei denen auch nicht ohne Weiteres naheliegt, dass sie ohnehin durch Ausfüllen der Anhänge des Standardvertrags erfüllt werden; dies sind nur noch wenige der in im Anforderungskatalog des § 11 Abs. 2 S. 2 BDSG genannten Punkte, so z. B. die nach § 11 Abs. 2 S. 2 Nr. 9 BDSG erforderliche Präzisierung des Umfangs der Weisungen, die sich der Auftraggeber vorbehält.250 Zusammenfassend kann festgehalten werden, dass die EU-Standardvertragsklau154 seln ein praxistaugliches und häufig verwendetes Instrument zur Erfüllung der Anforderungen an Datenexporte in sog. unsichere Drittstaaten sind. Die Standardvertragsklauseln erreichen aber insbesondere dort ihre Grenzen, wo eine große Anzahl von Datenexporteuren und Datenimporteuren agiert und/oder eine Vielzahl unterschiedlicher Arten und Kategorien von Daten exportiert wird. In solchen Fällen können – jedenfalls soweit es um Datentransfers innerhalb eines Konzerns geht – u. U. BCR das vorzugswürdige Instrument sein.
II. Auftragsdatenverarbeitung im (internationalen) Konzern 155 § 4b Abs. 2 und 3 BDSG hat insbesondere bei Datenübermittlungen innerhalb interna-
tionaler Konzerne Bedeutung. Dies ist eindeutig im Falle der Übermittlung zwischen rechtlich selbstständigen Unternehmen, die im Verhältnis zueinander Dritte sind
248 Vgl. Gola/Schomerus, § 4c Rn 13. 249 „Abgleich der Vorgaben des neuen § 11 BDSG mit denen der neuen und alten EU-Standardvertragsklauseln/Auftragsdatenverarbeitung“ (auf Initiative der AG „Internationaler Datenverkehr“ des Düsseldorfer Kreises im Februar 2010)“ – im Folgenden: „Abgleich Auftragsdatenverarbeitung“, abrufbar z. B. unter www.lda.bayern.de/lda/datenschutzaufsicht/lda_daten/Abgleich_Standardvertragsklauseln-11.pdf. 250 Vgl. die Gegenüberstellung „Abgleich Auftragsdatenverarbeitung“ der AG „Internationaler Datenverkehr“ des Düsseldorfer Kreises.
Albrecht
D. Outsourcingnehmer im Ausland
147
(§ 3 Abs. 8 S. 2 BDSG). Ein Konzernprivileg kennt das BDSG nicht.251 Einen rechtlich unselbstständigen Unternehmensteil, z. B. eine Filiale, Zweigstelle oder Niederlassung, müsste man nach dem Gesetzeswortlaut allerdings nicht als Dritten ansehen, sodass es an einer Übermittlung gem. § 3 Abs. 4 S. 2 Nr. 3 BDSG fehlen würde. Dies würde durch die Hintertür doch wieder zu einem teilweisen Konzernprivileg führen. Die §§ 4b, 4c BDSG sind dennoch anwendbar; anderenfalls könnten personenbezogene Daten ohne jede Prüfung aus dem Schutzbereich des EU-Datenschutzes hinaus exportiert werden.252 Da Konzernunternehmen im Verhältnis zueinander Dritte sind, sind Outsour- 156 cingvorhaben, die mittels Funktionsauslagerung stattfinden, nach §§ 4, 28 ff. BDSG erlaubnisbedürftig. Bei internationalen Konzernen müssen auch in einem solchen Fall die §§ 4b, 4c BDSG berücksichtigt werden.253
III. Datenschutzbeauftragter beim Auftragsdatenverarbeiter Nach §§ 11 Abs. 4 Nr. 2, 4f BDSG hat ein Auftragsdatenverarbeiter mit Sitz im Inland 157 einen eigenen Datenschutzbeauftragten zu bestellen. Nach wohl herrschender Auffassung muss der Outsourcinggeber einen Outsourcingnehmer mit Sitz im Ausland, der Daten nach § 11 BDSG verarbeitet, nur dann – entsprechend zu §§ 11 Abs. 4 Nr. 2, 4f BDSG – verpflichten, einen Datenschutzbeauftragten zu bestellen, wenn es nach dem geltenden ausländischen Recht die Funktion des Datenschutzbeauftragten gibt.
IV. Cloud Computing Auch das Cloud Computing,254 das im Kern die flexible und dynamische Bereitstel- 158 lung von Hard- und Software als Serviceleistung beinhaltet, wird in der Regel als Auftragsdatenverarbeitung eingestuft.255
251 Taeger/Gabel/Gabel, BDSG, § 4b Rn 15; Schulz, BB 2011, 2552; Binding Corporate Rules bilden dazu aber einen gewissen Ausgleich. 252 Düsseldorfer Kreis, Positionspapier zum Internationalen Datenverkehr v. 12./13.2.2007, Ziff. I.2., abrufbar unter https://www.ldi.nrw.de/mainmenu_Service/submenu_Entschliessungsarchiv/Inhalt/ Beschluesse_Duesseldorfer_Kreis/Inhalt/2007/20070419_Internationaler_Datenverkehr/Positionspa pier.pdf; BeckOK BDSG/Schantz, § 4b Rn 12; Gola/Schomerus, § 3 Rn 53; Simitis/Simitis, § 4b Rn 15. 253 Vgl. dazu näher Kap. 5 Rn 21, 26, 78 ff. 254 Eingehend zum Cloud Computing siehe Rn 175 ff. 255 Vgl. Gola/Schomerus, § 11 Rn 8; Schuster/Reichl, CR 2010, 38; Schulz, MMR 2010, 75; Niemann/ Paul, K&R 2009, 444, 449; Pohle/Ammann, CR 2009, 273; kritisch Engels, K&R 2011, 548; zur datenschutzkonformen Gestaltung und Nutzung von Cloud Computing allgemein vgl. Entschließung der 82. Konferenz der Datenschutzbeauftragten des Bundes und der Länder am 28./29.9.2011, RDV 2011, 316 f.
Albrecht
148
Kapitel 4 Outsourcing datenschutzkonform ausgestalten
E. Auftraggeber im Drittland 159 Nicht anwendbar sind die §§ 4b, 4c BDSG auf Datenübermittlungen vom Ausland in
das Inland.256 Nach den allgemeinen Regeln ist zu beurteilen, nach welchen Maßstäben diese Daten im Inland verwendet werden dürfen.257 Auftraggeber im Drittland müssen das BDSG nach § 1 Abs. 5 S. 2 bei der Verar160 beitung durch den deutschen Auftragnehmer berücksichtigen, wenn der Auftraggeber auf automatisierte Mittel zur Datenverarbeitung in Deutschland zurückgreift. Bei der Rückübertragung der Daten in das Drittland gelten die §§ 4b, 4c BDSG nicht, weil nach § 3 Abs. 8 S. 3 BDSG der Auftragnehmer in Deutschland nicht Dritter im Verhältnis zur verantwortlichen Stelle ist (keine Übermittlung).258
F. EU Datenschutz-Grundverordnung 161 Die EU-Kommission hat am 25.1.2012 einen Entwurf einer neuen Datenschutz-
Grundverordnung mit den Zielen der Vollharmonisierung und Modernisierung des Datenschutzrechts veröffentlicht.259 In den federführenden Ausschuss für bürgerliche Freiheiten, Justiz und Inneres (LIBE) des Europäischen Parlaments sind daraufhin zahlreiche Änderungsvorschläge von EU-Abgeordneten eingebracht worden.260 Am 21.10.2013 hat der LIBE-Ausschuss sodann über den Bericht zum Vorschlag der Kommission zur Datenschutz-Grundverordnung abgestimmt und eine überarbeitete Version des Entwurfs beschlossen.261 Der Europäische Rat hat daraufhin zweimal ergebnislos über den LIBE-Vorschlag beraten. In seiner Legislativen Entschließung vom 12.3.2014262 hat das Europäische Parlament sodann dem LIBE-Vorschlag mit großer Mehrheit ohne Änderungsanträge zugestimmt und den LIBE-Ausschuss mit der Verhandlungsführung gegenüber der EU-Kommission und dem Europäischen Rat beauftragt. Wann die Datenschutz-Grundverordnung in Kraft treten wird, ist vor
256 Vgl. BAG, Urt. v. 25.1.2005 – 9 AZR 620/03 – NJOZ 2005, 4974, 4976. 257 Vgl. BeckOK BDSG/Schantz, § 4b Rn 11. 258 Abgestimmte Position der Aufsichtsbehörden in der AG „Internationaler Datenverkehr“ am 12./13.2.2007 mit weiterführenden Erläuterungen; vgl. hierzu auch Hillenbrand-Beck, RDV 2008, 231 ff. 259 Abrufbar unter http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2012:0011:FIN:DE: HTML. 260 Abrufbar unter http://www.europarl.europa.eu/committees/de/libe/home.html. 261 Vgl. etwa die Meldung unter http://www.janalbrecht.eu/themen/datenschutz-und-netzpolitik/ abstimmung-eu-datenschutzreform.html; der inoffizielle Verordnungstext nach der LIBE-Sitzung ist abrufbar unter http://www.janalbrecht.eu/fileadmin/material/Dokumente/DPR-Regulation-inofficial-consolidated-LIBE.pdf. 262 Abrufbar unter http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+TA+P7TA-2014-0212+0+DOC+XML+V0//DE.
Albrecht
F. EU Datenschutz-Grundverordnung
149
dem Hintergrund der Neuwahlen zum Europäischen Parlament im Mai 2014 und der bisher ausgebliebenen Positionierung des Europäischen Rates ungewiss. Der Entwurf der Datenschutz-Grundverordnung sowie die überarbeitete LIBEVersion äußern sich auch zur Datenverarbeitung im Auftrag. Ihr ist mit Kapitel IV ein eigenes und zugleich umfangreiches Kapitel gewidmet (Art. 22 – 39), in dem es um die Rollen, Aufgaben und Verantwortlichkeiten des „für die Verarbeitung Verantwortlichen“ und des „Auftragsverarbeiters“ geht. Erwägungsgrund 62 des Entwurfs bestimmt die klare Zuteilung der Verantwortlichkeiten zwischen Auftraggeber und Auftragnehmer dabei als eines der Ziele der Verordnung. Einige der zentralen Punkte des Entwurfs sind die Folgenden: Art. 26 Abs. 2 des Entwurfs: Bestimmte Regelungsinhalte für den der Auftragsdatenverarbeitung zugrundeliegenden Rechtsakt/Vertrag sollen obligatorisch festgeschrieben werden. Diese Inhalte ähneln weitestgehend denjenigen des § 11 Abs. 2 S. 2 BDSG. Art. 26 Abs. 3 (Anweisungen des Auftraggebers) als auch Art. 28 des Entwurfes (in ihre Zuständigkeit fallende Verarbeitungsvorgänge) belegen sowohl den Auftraggeber als auch Auftragsverarbeiter mit Dokumentationspflichten. Die hierdurch entstehende doppelte Dokumentationspflicht sollte überdacht werden.263 Der Terminus „Dokumentieren“ belegt aber auch, dass es hier zu einer Aufweichung des deutschen Schriftlichkeitsgebots nach § 11 Abs. 2 S. 2 BDSG kommen kann. Auch eine „andere angemessene Form“ wäre dann zulässig.264 Dies dürfte insbesondere im Bereich des Cloud Computings zu erheblichen praktischen Erleichterungen führen.265 Art. 30 des Entwurfs: Im Unterschied zur jetzigen Regelung in § 11 BDSG sieht Art. 30 des Entwurfs vor, dass nicht nur der Auftraggeber, sondern auch der Auftragnehmer technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten ergreifen muss. Hierbei handelt es sich um eine gewollte Ausweitung der Verantwortung, wie Erläuterung 3.4.4.2 des Entwurfes belegt. Damit wird die Grundlage dafür geschaffen, Auftragsverarbeiter stärker unmittelbar in das aufsichtliche Überwachungsrechtsverhältnis einzubeziehen, was der Bedeutung der Auftragsverarbeitung in einer arbeitsteiligen Informationsgesellschaft entspricht.266 Art. 24 des Entwurfes: Mit Art. 24 des Entwurfes gibt es erstmals konkrete EU-Vorgaben zur Ausgestaltung einer Joint-Control-Vereinbarung.
263 Kritisch Dehmel/Hullen, ZD 2013, 147, 152. 264 Vgl. dazu auch Artikel-29-Datenschutzgruppe, WP 196, S. 25. 265 Vgl. Leupold/Glossner/Haag, Teil 4 Rn 52. 266 BeckOK BDSG/Spoerr, § 11 Rn 141 ff.
Albrecht
162
163
164
165
166
150
167
168
169
170
171
Kapitel 4 Outsourcing datenschutzkonform ausgestalten
Art. 39 des Entwurfes: Der Entwurf schlägt hier die Vergabe eines „Europäischen Datenschutz-Gütesiegels“ vor, das das Vertrauen von Nutzern in entsprechend zertifizierte Dienste sowie die Rechtssicherheit für Dienstleister erhöhen soll.267 Darüber hinaus regelt Kapitel V die Übermittlung personenbezogener Daten insbesondere in Drittländer. Nach Art. 41 des Entwurfes soll es weiterhin eine Liste sicherer Drittstaaten geben, die die EU-Kommission herausgibt. Auch soll die EUKommission ermächtigt werden, eine Liste unsicherer Drittstaaten zu erstellen, die gerade keinen angemessenen Datenschutz bieten. Datenübermittlungen in Staaten aus dieser Liste haben grundsätzlich zu unterbleiben, wobei es ein Konsultationsverfahren mit den entsprechenden Drittstaaten geben soll, um Abhilfe zu schaffen. In beiden Fällen kann sich die Entscheidung der Kommission auch bloß auf ein(en) „Gebiet oder Verarbeitungssektor” dieses Landes oder eine internationale Organisation beziehen. Der territoriale Anwendungsbereich wird damit erweitert bzw. konkretisiert. Nach Art. 42 – 44 des Entwurfes sind Maßnahmen zur Überwindung des unangemessenen Datenschutzes weiterhin möglich. (Allgemeingültig erklärte) Standardvertragsklauseln, BCR sowie genehmigte Vertragsklauseln können ein angemessenes Datenschutzniveau herstellen. Die LIBE-Version hat dazu in Art. 42 Abs. 1 klargestellt, dass diese Maßnahmen nicht ausreichend sein sollen, wenn der Datenempfänger/ Datenverarbeiter in einem Land ansässig ist, das in der Liste unsicherer Drittstaaten aufgeführt ist.268 Art. 43 des Entwurfes macht nähere und detailliertere Vorgaben zu BCR, die eine deutliche Aufwertung erfahren, und Art. 44 des Entwurfes ähnelt in Teilen dem § 4c BDSG. Art. 43a des Entwurfs in der LIBE-Version ist – inhaltlich wieder269 – neu hinzugekommen. Dieser zielt insbesondere darauf ab, Telekommunikations- und Internetkonzerne daran zu binden, dass sie nur auf der Grundlage europäischen Rechts oder vergleichbarer Abkommen Daten an Behörden in Drittstaaten übermitteln dürften. Gerichts- oder Behördenentscheidungen von Drittstaaten, die einen Auftraggeber oder Auftragsverarbeiter in einem Mitgliedstaat zur Herausgabe von personenbezogenen Daten verpflichten, sollen demnach nur verbindlich sein, wenn es ein entspre-
267 Vgl. dazu auch die Pressemittelung des ULD v. 14.11.2013 über die Gründung der EuroPrise GmbH, abrufbar unter https://www.datenschutzzentrum.de/presse/20131114-europrise.html, sowie das Factsheet zu EuroPriSe 2.0 – European Privacy Seal, https://www.datenschutzzentrum.de/ europrise/20131114-factsheet.pdf; ferner das Modellvorhaben eines Datenschutzsiegels in NordrheinWestfalen, abrufbar unter https://www.ldi.nrw.de/mainmenu_Datenschutz/submenu_Datenschutzrecht/Inhalt/Wirtschaft/Inhalt/Modellvorhaben_Datenschutzsiegel/Modellvorhaben_Datenschutzsiegel.pdf. 268 Vgl. auch Hornung, ZD 2012, 99, 102. 269 Vgl. zu der früheren Fassung eines dann im Kommissionsentwurf gestrichenen Art. 42 Hornung, ZD 2012, 99, 102 m. w. N.; ferner die European Digital Rights-Vereinigung, abrufbar unter http://www. edri.org/US-DPR.
Albrecht
G. Outsourcing und Cloud Computing
151
chendes Amtshilfe- oder sonstiges internationales Abkommen gibt. Außerdem sollen („shall“) Auftraggeber oder Auftragsverarbeiter unverzüglich ihre Aufsichtsbehörde informieren und deren Erlaubnis zur Herausgabe der Daten einholen. Art. 3 des Entwurfes: Hierin erfährt der europäische Datenschutz Neuerungen 172 zum räumlichen Anwendungsbereich. Neben der Anwendung auf Verantwortliche in der Union soll die Grundverordnung auch auf Verantwortliche in Drittstaaten Anwendung finden, wenn es um personenbezogene Daten von in der Union ansässigen Personen geht und die Datenverarbeitung entweder dem Angebot von Waren oder Dienstleistungen „in der Union” oder der „Beobachtung des Verhaltens” der Betroffenen dient.270 Letzteres zielt auf das Profiling ab, das u. a. verschiedene soziale Netzwerke von außerhalb der Mitgliedstaaten anstellen (insbesondere aus den USA heraus).271 Damit vergrößert sich der Anwendungsbereich des europäischen Datenschutzrechts im Verhältnis zu § 1 Abs. 5 BDSG. Die Privilegierungswirkung einer Auftragsdatenverarbeitung kann nunmehr grundsätzlich auch dann eintreten, wenn – anders als noch im BDSG – Auftraggeber oder Auftragsverarbeiter seinen Sitz in einem Drittland hat.272 Eine Besonderheit ist darin zu sehen, dass neben der verantwortlichen Stelle 173 nun grundsätzlich auch der Auftragsdatenverarbeiter gegenüber den Betroffenen auf Schadensersatz haftet (Art. 77). Daneben kann die zuständige Aufsichtsbehörde gegen den Auftragsdatenverarbeiter auch unterschiedlich belastende Sanktionen verhängen (Art. 79 Abs. 2a).273 Die endgültige Fassung der Artikel zur Auftragsverarbeitung kann zwar noch 174 nicht abgesehen werden. Die LIBE-Fassung hat aus Sicht der Auftragsdatenverarbeitung die meisten Regelungen weitestgehend unverändert gelassen. Die Aufnahme des Art. 43a dürfte dagegen von politischer Sprengkraft gerade im Verhältnis zu den USA sein, sodass hier mit Änderungen zu rechnen sein wird.
G. Outsourcing und Cloud Computing „Cloud Computing“ steht für „Datenverarbeitung in der Wolke“. Die Wolke 175 beschreibt eine über Netze, vor allem über das Internet angeschlossene Rechnerlandschaft, in die die eigene Datenverarbeitung ausgelagert wird. Ziel ist es, informationstechnische (IT-)Dienstleistungen dynamisch und skalierbar nutzen zu können, d. h. externe Hard- und Software sowie Know-how im Interesse des Einsparens von Ressourcen zu nutzen. Im Idealfall soll es dem Nutzer egal sein können, ob gerade der
270 Vgl. Hornung, ZD 2012, 99, 102. 271 Vgl. näher zum räumlichen Anwendungsbereich Hornung, ZD 2012, 99, 102. 272 Vgl. ob der Praktikabilität zu Recht kritisch Koós/Englisch, ZD 2014, 276, 278. 273 Hierzu näher Koós/Englisch, ZD 2014, 276, 283 f.
Albrecht
152
Kapitel 4 Outsourcing datenschutzkonform ausgestalten
eigene oder ein weit entfernter Computer eine Aufgabe löst. Teilweise werden ganze Verfahren in die Cloud verlagert; teilweise geht es auch nur darum, Bedarfsspitzen abzudecken, mit denen die eigene IT-Infrastruktur überfordert ist. Bezahlt wird regelmäßig neben einer Grundgebühr skaliert für die jeweilige Nutzung und Dienstleistung, zumeist nach Rechenleistung und Rechenzeit. Denkbar ist auch die Bezahlung pauschaler Flatrates.274 Schon anhand dieses kurzen Abrisses zeigt sich, dass sich Cloud Computing für 176 Outsourcingvorhaben grundsätzlich hervorragend eignen kann. Weder muss eigene Hard- und Software in dem sonst üblichen Maße vorgehalten werden, noch sind die User beim Zugriff auf (sämtliche) Unternehmensinformationen und -quellen räumlich beschränkt, da die Cloud weltweite Zugriffe erlaubt. Cloud-Dienste können zugekauft werden, wenn es besondere Belastungsspitzen gibt, und wieder abgestoßen werden, wenn nur geringer Bedarf und Auslastung bestehen. Beim Outsourcing in die Cloud spielen auch die Vertraulichkeit der betroffenen 177 Informationen und der Schutz der Daten der privaten wie gewerblichen Nutzer eine große Rolle. Unternehmen lagern z. B. ihre Personalverwaltung oder ihre Finanzbuchhaltung in die Cloud aus oder nutzen eine Cloud als Mittel zur E-Mail-Archivierung. Damit werden immer auch personenbezogene Daten von Mitarbeitern, Kunden und sonstigen Dritten in die Cloud übertragen. Das Risiko für den Datenschutz und die Vertraulichkeit steht umso mehr auf dem Spiel, wenn man sich vergegenwärtigt, dass die meisten Cloud-Services von Dienstleistern mit Sitz im Ausland, vor allem in den USA angeboten werden. Einige der größten Cloud Computing-Anbieter sind Google, Microsoft, Amazon, IBM oder Apple vorwiegend mit Serverfarmen in den USA. Nicht selten befinden sich die eingesetzten Ressourcen aber auch auf weltweit verstreuten Serverfarmen.275 Die weltweit jederzeitige Verfügbarkeit und Vernetzung von CloudServices stellt deutsche (und europäische) Unternehmen und Behörden bei der Nutzung der Cloud auch vor erhebliche datenschutzrechtliche Herausforderungen, da die Cloud-Services vielfach entweder aus einem bestimmten Staat als Drittstaat i. S. d. §§ 4b, 4c BDSG oder sogar gleichzeitig bzw. für den Nutzer unbewusst aus verschiedenen Drittstaaten heraus angeboten und erbracht werden.
274 Vgl. Orientierungshilfe – Cloud Computing der Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder, Version 1.0, Stand 26.9.2011, abrufbar unter http://www.datenschutz-bayern.de/technik/orient/oh_cloud.pdf; siehe auch Weichert, Cloud Computing und Datenschutz, abrufbar unter https://www.datenschutzzentrum.de/cloudcomputing/20100617-cloud-computing-und-datenschutz.html. 275 Vgl. hierzu Pohle/Ammann, CR 2009, 273.
Albrecht
G. Outsourcing und Cloud Computing
153
I. Hintergrund, Entwicklung Bisher konnte sich für den Begriff Cloud Computing keine Definition als allgemein- 178 gültig durchsetzen. In Publikationen oder Vorträgen werden häufig Definitionen verwendet, die sich zwar meist ähneln, aber die doch immer wieder variieren. Eine Definition, die in Fachkreisen meist herangezogen wird, ist die Definition der USamerikanischen Standardisierungsstelle NIST (National Institute of Standards and Technology),276 die auch von der ENISA (European Network and Information Security Agency)277 genutzt wird: „Cloud Computing ist ein Modell, das es erlaubt bei Bedarf, jederzeit und überall bequem über ein Netz auf einen geteilten Pool von konfigurierbaren Rechnerressourcen (z. B. Netze, Server, Speichersysteme, Anwendungen und Dienste) zuzugreifen, die schnell und mit minimalem Managementaufwand oder geringer Serviceprovider-Interaktion zur Verfügung gestellt werden können.“
Gemäß NIST-Definition278 charakterisieren folgende fünf Eigenschaften einen Cloud 179 Service: – On-demand Self Service: Die Provisionierung der Ressourcen (z. B. Rechenleistung, Storage) läuft automatisch ohne Interaktion mit dem Service Provider ab. – Broad Network Access: Die Services sind mit Standard-Mechanismen über das Netz verfügbar und nicht an einen bestimmten Client gebunden. – Resource Pooling: Die Ressourcen des Anbieters liegen in einem Pool vor, aus dem sich viele Anwender bedienen können (Multi-Tenant Modell). Dabei wissen die Anwender nicht, wo die Ressourcen sich befinden, sie können aber vertraglich den Speicherort, also z. B. Region, Land oder Rechenzentrum, festlegen. – Rapid Elasticity: Die Services können schnell und elastisch zur Verfügung gestellt werden, in manchen Fällen auch automatisch. Aus Anwendersicht scheinen die Ressourcen daher unendlich zu sein. – Measured Services: Die Ressourcennutzung kann gemessen und überwacht werden und entsprechend bemessen auch den Cloud-Anwendern zur Verfügung gestellt werden.
276 The NIST Definition of Cloud Computing, SP 800-145, September 2011, abrufbar unter http://csrc. nist.gov/publications/nistpubs/800-145/SP800-145.pdf. 277 ENISA, Cloud Computing – Report on Benefits, Risks and Recommendations for Information Security, November 2009, abrufbar unter http://www.enisa.europa.eu/activities/risk-management/ files/deliverables/cloud-computing-risk-assessment; ähnlich BSI, Eckpunktepapier Sicherheitsempfehlungen für Cloud Computing Anbieter, Februar 2012, S. 15 f., abrufbar unter https://www.bsi.bund. de/SharedDocs/Downloads/DE/BSI/Mindestanforderungen/Eckpunktepapier-Sicherheitsempfeh lungen-CloudComputing-Anbieter.pdf?__blob=publicationFile. 278 NIST Cloud Computing Reference Architecture, SP 500-292, September 2011, abrufbar unter http://www.nist.gov/customcf/get_pdf.cfm?pub_id=909505.
Albrecht
154
Kapitel 4 Outsourcing datenschutzkonform ausgestalten
180 Diese Definition gibt die Vision von Cloud Computing wieder, wobei davon abgese-
hen werden sollte, die einzelnen Punkte zu dogmatisch zu sehen. So wird z. B. eine ubiquitäre Verfügbarkeit bei Private Clouds eventuell gar nicht angestrebt. Die Punkte stehen eher Pate für die Möglichkeiten, die Cloud Computing bieten kann. Nach der Cloud Security Alliance (CSA), einer Non-Profit-Organisation, die es 181 sich zur Aufgabe gemacht hat, Best Practices für den sicheren Umgang mit Cloud Computing Services zu fördern und Aus- und Fortbildungsmaßnahmen hierzu anzubieten, hat Cloud Computing neben der eben erwähnten Elastizität und dem Self Service noch folgende Eigenschaften:279 – Service orientierte Architektur (SOA), – mandantenfähige Cloud-Umgebung, – Pay per Use Model.
182 Nach alledem kann die Dienstleistung Cloud Computing in technologischer Hinsicht
wie folgt beschrieben werden: Wesentlich bei einer Cloud-Lösung ist die dynamisch skalierbare Ressourcenverteilung, die mittels der sog. Virtualisierung vollzogen wird. Hierbei ermöglicht die Entkopplung von Hardware und Software den Aufbau und die parallele Nutzung einer Vielzahl von gezielt vernetz- und abschirmbaren virtuellen Softwareumgebungen auf einer physischen Hardwarestruktur. Die physischen Ressourcen der Hardwarestruktur werden dabei durch anbieterseitig eingesetzte Steuerungssoftware entsprechend dem konkreten Bedarf der Nutzer den virtuellen Maschinen zugewiesen. So kann einem Nutzer etwa kurzfristig eine immense Prozessorleistung oder umfangreicher Speicherplatz basierend auf einer Vielzahl an Servern des Cloud-Netzwerks zur Verfügung gestellt werden. Sobald der jeweilige Nutzer die angefragten Ressourcen nicht mehr benötigt, werden sie wieder freigegeben und stehen für andere Nutzer bereit. Eine Cloud-Lösung ist damit der Oberbegriff für eine reale Hardwareplattform, auf der in Abhängigkeit vom Bedarf der Nutzer unterschiedlich viele und sich verändernde virtuelle Maschinen betrieben werden. Die Hardwareplattform kann man sich als (globalen) Verbund unterschiedlicher Server oder Serverfarmen vorstellen. Das Outsourcing der Daten findet damit auf ein Netzwerk statt, welches die Daten, verteilt auf unterschiedlichen miteinander verbundenen Systemen, verarbeitet. Im Vorfeld eines Datenumgangs ist hierbei weder dem Nutzer noch dem Anbieter klar, welche konkreten Ressourcen der verteilten Systeme des Netzwerks zum Einsatz kommen werden, da sich die beschriebene dynamisch skalierbare Ressourcenverteilung des Cloud Computing gerade am tatsächlichen Bedarf aller Nutzer orientiert und dieser variabel ist. Darin liegt aus technischer Perspektive der entscheidende Unterschied zur lokalen Datenverarbeitung oder zu klassischen Outsourcing-Technologien, wo im Gegensatz zum Cloud Computing einem Nutzer
279 Vgl. https://www.bsi.bund.de/DE/Themen/CloudComputing/Grundlagen/Grundlagen_node. html; siehe ferner https://cloudsecurityalliance.org.
Albrecht
G. Outsourcing und Cloud Computing
155
zumeist eine dedizierte Infrastruktur mit festen physikalischen Ressourcen zugewiesen wird.280 Von herkömmlichen Outsourcing oder Application Service Provider (ASP)-Model- 183 len unterscheidet sich das Cloud Computing damit vor allem durch den Verzicht auf eine feste Zuordnung bestimmter physikalischer Infrastrukturen zu einem konkreten Kunden.281
II. Ebenen und Organisationsformen des Cloud Computings 1. Ebenen des Cloud Computings Das Cloud Computing wird grundsätzlich in drei Ebenen von Cloud-Services unter- 184 teilt, denen sich auch andere Servicemodelle zuordnen lassen (Anything as a Service – XaaS):282 – Infrastructure as a Service (IaaS): IaaS beschreibt das Angebot zur Nutzung von Hardware und Systemsoftware.283 Bei IaaS wird IT-Infrastruktur angeboten, wobei es sich z. B. um die Ressourcen zum Betrieb eines virtuellen Systems, um Speicherplatz, um Netzwerkbandbreite oder um eine Mischung aus diesen einzelnen Komponenten handeln kann.284 Ein Cloud-Kunde mietet z. B. Rechenleistung, Arbeitsspeicher und Datenspeicher an und nutzt diese als Grundlage seiner eigenen Anwendungssoftware.285 Die reine „Miete“ von Hardware und Systemsoftware dürfte allerdings ein seltener Fall sein. Oftmals wird der Cloud-Anbieter auch die technische Betreuung der Server übernehmen.286
280 Funke/Wittmann, ZD 2013, 221, 222; Nägele, ZUM 2010, 281; Pohle/Ammann, CR 2009, 273. 281 Grünwald/Döpkens, MMR 2011, 287. 282 Vgl. ausführlich den Leitfaden Cloud Computing des BITKOM, abrufbar unter www.bitkom.org/ files/documents/BITKOM-Leitfaden-CloudComputing_Web.pdf (Stand: 5/2010), S. 22 ff. 283 Redeker/Redeker, D Rn 1127. 284 Heidrich/Wegener, MMR 2010, 803, 804. 285 BSI, Eckpunktepapier Sicherheitsempfehlungen für Cloud Computing Anbieter, Februar 2012, S. 17, abrufbar unter https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Mindest anforderungen/Eckpunktepapier-Sicherheitsempfehlungen-CloudComputing-Anbieter.pdf?__ blob=publicationFile; The NIST Definition of Cloud Computing, SP 800-145, September 2011, abrufbar unter http://csrc.nist.gov/publications/nistpubs/800-145/SP800-145.pdf; Schulz/Rosenkranz, ITRB 2009, 232, 233; ein Unterfall der IaaS ist Hardware as a Service (HaaS), bei der ausschließlich Hardware beansprucht wird, vgl. Wicker, MMR 2012, 783; ein weiterer Unterfall der IaaS dürfte Communication as a Service (CaaS) sein, bei der über das Internet Infrastrukturressourcen und Softwareanwendungen zur Verfügung gestellt werden, die eine integrierte Verwaltung der Unternehmenskommunikation (E-Mail, VoIP, Audio- und Video-Conferencing, Instant Messaging) ermöglichen, vgl. Grünwald/Döpkens, MMR 2011, 287. 286 Vgl. die Darstellung bei Kroschwald, ZD 2013, 388, 390.
Albrecht
156
Kapitel 4 Outsourcing datenschutzkonform ausgestalten
– Platform as a Service (PaaS): Zusätzlich zu Hardware und Hypervisor stellt ein PaaS-Provider eine komplette Infrastruktur bereit und bietet dem Kunden auf der Plattform standardisierte Schnittstellen an, die von Diensten des Kunden genutzt werden. So kann die Plattform z. B. Mandantenfähigkeit, Skalierbarkeit, Zugriffskontrolle, Datenbankzugriffe etc. als Service zur Verfügung stellen. Der Kunde kann auf der Plattform eigene Anwendungen laufen lassen, für deren Entwicklung der Service Provider in der Regel eigene Werkzeuge anbietet.287 Oftmals nutzen Anwendungsentwickler PaaS-Dienste. – Software as a Service (SaaS): Beim SaaS bieten Unternehmer ihren Nutzern an, Software-Applikationen auf ihre Rechner auszulagern. Das SaaS geht damit noch über IaaS und PaaS hinaus. Beispiele sind Kontaktdatenmanagement, Finanzbuchhaltung, Textverarbeitung oder Kollaborationsanwendungen.288 Der Nutzer ruft die gewählten Programme über seinen Internet-Browser auf und verarbeitet mithilfe der zur Verfügung gestellten Applikationen seine Daten. Auch E-MailArchivierung wird als SaaS-Service angeboten.289 185 Dem Pay per Use Model entsprechend werden für die genannten IaaS-Services in der
Regel nutzungsabhängige Vergütungen fällig. Bei IaaS und PaaS basiert dies zumeist auf dem genutzten Speichervolumen sowie daneben dem abgehenden und ankommenden Datenvolumen, bei SaaS auf der Nutzung einzelner Softwaremodule, ggf. in Kombination mit der Nutzung von Speicherplatz.290
2. Private Cloud, Community Cloud, Public Cloud, Hybrid Cloud
186 Neben den Ebenen, auf denen Cloud-Services angeboten werden, gibt es auch unter-
schiedliche Organisationsformen des Cloud Computings, die sich auf die Zugänglichkeit für verschiedene Nutzergruppen beziehen:291
287 BSI, Eckpunktepapier Sicherheitsempfehlungen für Cloud Computing Anbieter, Februar 2012, S. 17, abrufbar unter https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Mindestanforderungen/Eckpunktepapier-Sicherheitsempfehlungen-CloudComputing-Anbieter.pdf?__blob=publication File; The NIST Definition of Cloud Computing, SP 800-145, September 2011, abrufbar unter http:// csrc.nist.gov/publications/nistpubs/800-145/SP800-145.pdf; Schuster/Reichl, CR 2010, 38. 288 BSI, Eckpunktepapier Sicherheitsempfehlungen für Cloud Computing Anbieter, Februar 2012, S. 18, abrufbar unter https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Mindest anforderungen/Eckpunktepapier-Sicherheitsempfehlungen-CloudComputing-Anbieter.pdf?__ blob=publicationFile; The NIST Definition of Cloud Computing, SP 800-145, September 2011, abrufbar unter http://csrc.nist.gov/publications/nistpubs/800-145/SP800-145.pdf; Leupold/Glossner/Stögmüller, Teil 6 Rn 351. 289 Vgl. Heidrich/Wegener, MMR 2010, 803, 804. 290 Leupold/Glossner/Stögmüller, Teil 6 Rn 354; Bierekoven, ITRB 2010, 42, 43. 291 BSI, Eckpunktepapier Sicherheitsempfehlungen für Cloud Computing Anbieter, Februar 2012, S. 16, abrufbar unter https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Mindestanforderun
Albrecht
G. Outsourcing und Cloud Computing
157
– In einer Private Cloud wird die Cloud-Infrastruktur nur für eine Institution betrieben. Sie kann von der Institution selbst oder einem Dritten organisiert und geführt werden und kann dabei im Rechenzentrum der eigenen Institution oder einer fremden Institution stehen. Der Zugriff erfolgt in der Regel über das Intranet oder VPN. Die Private Cloud steht unter der Kontrolle der entsprechenden Institution und die Daten verlassen die institutionsspezifische Wolke nicht. – Von einer Public Cloud wird gesprochen, wenn die Services von der Allgemeinheit oder einer großen Gruppe, wie beispielsweise einer ganzen Industriebranche, genutzt werden können und die Services von einem Anbieter zur Verfügung gestellt werden. Der Zugriff erfolgt über das Internet. – In einer Community Cloud wird die Infrastruktur von mehreren Institutionen geteilt, die ähnliche Interessen haben. Eine solche Cloud kann von einer dieser Institutionen oder einem Dritten betrieben werden. – Werden mehrere Cloud Infrastrukturen, die für sich selbst eigenständig sind, über standardisierte Schnittstellen gemeinsam genutzt, wird dies Hybrid Cloud genannt. Hierbei handelt es sich um Nutzungskombinationen von Private Clouds, Public Clouds und gewöhnlicher IT-Umgebung.292 – Die Ausgestaltung nach der einen oder anderen Organisationsform hat auch auf die rechtliche, insbesondere datenschutzrechtliche Bewertung Einfluss.293
III. Wesentliche Risiken des Cloud Computings Cloud Computing bietet Unternehmen und Behörden nicht zu überschätzende Vor- 187 teile und Gelegenheiten. Der Cloud Computing-Markt wächst seit Jahren überdimensional, allein für Deutschland gehen Prognosen von Umsätzen rund um die Cloud in Höhe von 7,8 Mrd. € aus (Unternehmen und Privatkunden). Prognosen lassen auch in Zukunft jährliche Wachstumsraten von bis zu 50 % erwarten.294 Schätzungen für den
gen/Eckpunktepapier-Sicherheitsempfehlungen-CloudComputing-Anbieter.pdf?__blob=p ublication File. 292 Zu allem Leitfaden Cloud Computing des BITKOM, abrufbar unter www.bitkom.org/files/docu ments/BITKOM-Leitfaden-CloudComputing_Web.pdf (Stand: 5/2010), S. 29 ff.; Orientierungshilfe – Cloud Computing der Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder, Version 1.0, Stand 26.9.2011, S. 6. 293 Leupold/Glossner/Stögmüller, Teil 6 Rn 356 f.; dazu im Folgenden unter Rn 212 ff. 294 Etwa https://www.bitkom.org/de/markt_statistik/64086_75301.aspx; http://www.computerwoche.de/a/hart-umkaempfter-cloud-markt,2536207; http://www.experton-group.de/research/ictnews-dach/news/article/aktuelle-marktzahlen-zum-deutschen-cloud-computing-markt-5-prozenthuerde-erreicht.html.
Albrecht
158
Kapitel 4 Outsourcing datenschutzkonform ausgestalten
globalen Public Cloud Computing-Markt im Jahre 2017 schwanken zwischen 107 und 244 Mrd. US-Dollar an Umsatz.295 188 Wesentliche Vorteile des Cloud Computings liegen u. a. in der Reduktion selbst vorzuhaltender Infrastruktur und des Bedarfs an eigenem IT-Fachpersonal, damit einhergehend in der Vermeidung von Risiken der Über- und Unterkapazitäten sowie in einer besseren Übersichtlichkeit der Kosten der Datenverarbeitung. Risiken und Nachteile darf man gleichfalls nicht verkennen. Hier sind, auch und 189 gerade vor dem Hintergrund der aktuellen Diskussionen um NSA, PRISM, TEMPORA, MUSCULAR u. a. zu nennen: – Komplexität, – Compliance-Anforderungen an die Datenverarbeitung, zu denen Datenschutz und Informationssicherheit, aber auch die Kontrollierbarkeit, Transparenz und Beeinflussbarkeit gehören, insbesondere in der Public Cloud,296 – Gefährdung der Vertraulichkeit, Integrität, Datenverfügbarkeit, Revisionssicherheit, – starke Dominanz des weltweiten Marktes durch US-amerikanische Cloud-Anbieter, – Multi-Tenancy-Architektur.297
IV. Vertrags- und Zivilrecht 1. Vertragstypologie und Vertragsgestaltung 190 Die Vertragstypologie und Vertragsgestaltung sind wichtig für die richtige Einordnung der verschiedenen Fälle des Cloud Computings. Denn sie dienen als Grundlage für die Frage, wie der Datenschutz beim Cloud Computing ausgestaltet werden muss. Bei einem Cloud-Serviceangebot stehen stets mindestens zwei Parteien in Rede: 191 der Cloud-Anbieter und der Anwender (User). Denkbar sind auch Gestaltungen, in denen mehrere Cloud-Anbieter nebeneinander (i. S. v. Joint Control) oder unabhän-
295 Vgl. http://www-03.ibm.com/press/de/de/pressrelease/42397.wss; http://www.crn.com/news/ cloud/240160873/second-phase-of-public-cloud-estimated-to-reach-107b-in-2017-study.htm; https:// www.gartner.com/doc/2598217; zu den Erwartungen und Annahmen der EU-Kommission hinsichtlich des Wachstums des Cloud-Marktes vgl. das Staff Working Accompanying Document [SWD(2012) 271 final], 27.9.2012, abrufbar unter http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=SWD:201 2:0271:FIN:EN:PDF. 296 Vgl. zu den Vor- und Nachteilen Orientierungshilfe – Cloud Computing der Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder, Version 1.0, Stand 26.9.2011, S. 25, abrufbar unter https://www.datenschutz-bayern.de/technik/orient/oh_cloud. pdf; http://www-03.ibm.com/press/de/de/pressrelease/42397.wss; http://clouduser.de/analysen/umfrage-das-vertrauen-in-die-cloud-europa-ist-der-sichere-hafen-end-to-end-verschlusselung-schafftvertrauen-20588; Spies, MMR 2009, XI. 297 Vgl. im Einzelnen Leupold/Glossner/Leupold, Teil 4 Rn 26 ff.
Albrecht
G. Outsourcing und Cloud Computing
159
gig voneinander Dienste gegenüber dem Anwender erbringen. Auch kann ein CloudAnbieter Subauftragnehmer einbinden und es liegt in der Natur des Cloud Computings, dass der Anwender diese Einbindung eines Subcontractors normalerweise nicht bemerken wird.298 Die vertragstypologische Erfassung der Rechtsverhältnisse beim Cloud Compu- 192 ting ist sowohl für die Bestimmung des anzuwendenden Haftungsrechts als auch hinsichtlich der Klauselkontrolle nach den §§ 305 ff. BGB von erheblicher Bedeutung. Die Vertragsbeziehungen zwischen Cloud-Anbieter und Anwender können indes ganz unterschiedlich ausgestaltet sein, je nachdem welche Service gefragt sind. Die einzelnen Erscheinungsformen des Cloud Computing zeichnen sich regelmäßig dadurch aus, dass es sich um Verträge handelt, die sich aus mehreren, häufig verschiedenartigen Leistungsbestandteilen zusammensetzen und zu einem einheitlichen Vertrag zusammengefasst werden (typengemischter Vertrag). Es treffen miet-, dienst- und/ oder werkvertragliche Elemente in Erscheinung.299 Maßgeblich ist für jeden Vertragsteil der rechtliche oder wirtschaftliche Schwerpunkt. Danach ergibt sich folgende Einordnung: – Das Zur-Verfügung-Stellen von Speicherkapazität ist auch dann als Miete zu qualifizieren, wenn es in einer Cloud erfolgt. – Die Bereitstellung einer bestimmten Rechenleistung ist dagegen als Dienstleistung einzuordnen; weitere dienstvertragliche Elemente sind die Pflege der Software und die Unterstützung bei der Nutzung der Cloud. – Werkvertraglich einzuordnen sind Installation, Implementierung und Anpassungsleistungen der Applikationssoftware. Zusätzlich sind die Service Level Agreements (SLA) stets sorgfältig auszuarbeiten, 193 insbesondere wo es um Verfügbarkeit, Eskalation, Notfall- und Exit-Management sowie Haftung geht.300 Der Cloud-Anbieter muss darüber hinaus auf die Vertragsgestaltung in Leistungsketten bzw. Zulieferverhältnissen achtgeben.301 Hierbei geht es insbesondere darum, bereits vorab sicherzustellen, dass Applikationssoftware von Drittanbietern geeignet und rechtzeitig integriert werden kann, der Cloud-Anbieter Drittanbieter auch auszutauschen berechtigt ist und die Drittanbieter ebenfalls das jeweils maßgebliche Datenschutzrecht einzuhalten verpflichtet sein müssen.
298 Fehlende Transparenz für den Anwender ist ein wesentliches (negatives) Charakteristikum des Cloud Computings, vgl. Artikel-29-Datenschutzgruppe, WP 196. 299 Vgl. Leupold/Glossner/von dem Bussche/Schelinski, Teil 1 Rn 384 f.; ferner die Darstellung und Beispiele bei Redeker/Redeker, Rn 1128 ff.; Nägele/Jacobs, ZUM 2010, 281, 283 f.; Schulz/Rosenkranz, ITRB 2009, 232. 300 Vgl. näher Schulz/Rosenkranz, ITRB 2009, 232, 234. 301 Vgl. dazu Nägele/Jacobs, ZUM 2010, 281, 284.
Albrecht
160
Kapitel 4 Outsourcing datenschutzkonform ausgestalten
2. Anwendbares Recht
194 Bei einer gewerblich genutzten Cloud ist für das zugrunde liegende Vertragsver-
hältnis eine Rechtswahl gem. Art. 3 Rom-I-VO302 möglich. Sofern keine Rechtswahl getroffen wurde, ist an die Vermutungsregelungen des Art. 4 Rom-I-VO anzuknüpfen. Nach Art. 4 Abs. 1 lit. b) oder Abs. 2 Rom-I-VO wird hier in der Regel der gewöhnliche Aufenthaltsort des Dienstleisters einschlägig sein, da der Art. 4 Rom-I-VO Cloud Service Provider die vertragscharakteristische Leistung erbringt.303 Im Verhältnis zu Verbrauchern ist gem. Art. 6 Abs. 1 Rom-I-VO auf das Recht ihres 195 gewöhnlichen Aufenthaltsortes abzustellen. Deliktische Ansprüche, die z. B. bei der Schädigung von in der Cloud gespeicherten Daten entstehen können, richten sich gem. Art. 4 Rom-II-VO nach dem Recht des Erfolgsorts, sofern nicht Anbieter und Nutzer im selben Staat residieren.304
V. Datenschutzrecht 196 Die korrekte rechtliche Einordnung von Cloud-Services sowie den verschiedenen
Ebenen und Organisationsformen305 ist auch aus datenschutzrechtlicher Perspektive von zentraler Bedeutung. Die technischen Möglichkeiten des Cloud-Computings – ubiquitäre Verfügbar197 keit, dynamischer Einsatz, Skalierbarkeit – stellen den Anwender vor Probleme. Dem Nutzer ist einerseits grundsätzlich nicht bekannt, wo genau oder mit welchem Teil der Hardware die Datenverarbeitung zu einem bestimmten Zeitpunkt erfolgt. So weiß er etwa nicht, ob Kettenverarbeitungen durch weitere Unterauftragnehmer erfolgen und an welchen geografischen Standorten jeweils die Server stehen. Andererseits fehlen dem Nutzer, sobald sich seine Daten in der vernetzten Cloud befinden, regelmäßig auch die technischen und organisatorischen Möglichkeiten, um selbst die ausschließliche Kontrolle über seine Daten zu bewahren. Aus diesen technischen Merkmalen des Cloud-Computing folgen typische daten198 schutzrechtliche Risiken. Die Artikel-29-Datenschutzgruppe beschreibt zwei aus ihrer Sicht wesentliche Charakteristika, und zwar die fehlende Kontrolle und die fehlende Transparenz.306
302 VO (EG) Nr. 593/2008 des Europäischen Parlaments und des Rates v. 17.6.2008 über das auf vertragliche Schuldverhältnisse anzuwendende Recht (Rom I), L 177/6. 303 Vgl. auch Nordmeier, MMR 2010, 151, 152. 304 Näher zum anwendbaren Recht gegenüber Verbrauchern und bei Delikt Nägele/Jacobs, ZUM 2010, 281, 283; Schulz/Rosenkranz, ITRB 2009, 232, 236; Nordmeier, MMR 2010, 151, 152 f. 305 Siehe Rn 184 ff. 306 Artikel-29-Datenschutzgruppe, WP 196; ferner Pötters, NZA 2013, 1055.
Albrecht
G. Outsourcing und Cloud Computing
161
1. Anwendbares Datenschutzrecht Im Rahmen der datenschutzrechtlichen Betrachtung des Cloud Computing ist die Identifizierung des anwendbaren Datenschutzregimes nach wie vor besonders schwierig. Deutsches und europäisches Datenschutzrecht gehen grundsätzlich davon aus, dass sich stets feststellen lässt, wo sich die Daten auf den Rechnern und Speichern befinden. Dies ist beim Cloud Computing nicht mehr gewährleistet, da sich die Datensätze je nach verfügbarer Rechen- und Speicherkapazität des Cloud-Anbieters mal in einem Land, mal in einem anderen Land befinden können.307 Möglicherweise sind die Datensätze derart auf verschiedene Server aufgespalten, dass sie als Einzelteile keine persönlichen Daten darstellen, wohl aber im zusammengesetzten Zustand. Auch die Cloud-Anbieter selbst können in der Regel kaum feststellen, auf welchem Server sich die Daten zu welchem Zeitpunkt befinden.308 Strafrechtliche Überwachung als auch die Ermittlung gerichtlicher und behördlicher Zuständigkeiten werden hierdurch erheblich erschwert. Das BDSG beruht auf dem Territorialprinzip. Regelmäßig unterliegt dem BDSG jede verantwortliche Stelle, die personenbezogene Daten in Deutschland („im Inland”) erhebt, verarbeitet oder nutzt. Dabei ist ohne Belang, ob die Daten etwa aus den USA oder aus Deutschland stammen. Ausnahmsweise gilt das Recht des Landes, an dem das verarbeitende Unternehmen seinen Sitz hat (Sitzprinzip), wenn eine verantwortliche Stelle in einem anderen EU-Mitgliedstaat oder im EWR personenbezogene Daten im Inland erhebt (§ 1 Abs. 5 S. 1 BDSG). Eine Rückausnahme besteht, wenn dieses Unternehmen die Daten durch eine Niederlassung im Inland erhebt, verarbeitet oder nutzt. Auch im Verhältnis zu Drittstaaten wird das Territorialprinzip herangezogen. Hier gelten die § 1 Abs. 5 S. 2 – 4 BDSG. Das BDSG findet also Anwendung, wenn personenbezogene Daten im Inland erhoben, verarbeitet oder genutzt werden. Zusammengefasst sind personenbezogene Daten i. S. d. § 3 BDSG demnach dann geschützt, wenn datenschutzrechtlich relevante Handlungen im Inland vorgenommen werden, unabhängig davon, woher diese Daten stammen. Es können und müssen demzufolge Cloud-Services mit einer Infrastruktur, die sich ausschließlich in der EU bzw. dem EWR befindet, von internationalen Clouds, die Speicherkapazitäten auch außerhalb von EU bzw. EWR anbieten, unterschieden werden.
199
200
201
202
2. Reine EU-Clouds Ein Cloud-Anbieter, der allein mit Servern in der EU bzw. im EWR arbeitet, muss sich 203 damit grundsätzlich nur nach dem Datenschutzrecht seines Sitzstaates orientieren.
307 Vgl. Spies, MMR 2009, XI; Jotzo, MMR 2009, 232, 233. 308 Vgl. Nägele/Jacobs, ZUM 2010, 281, 289.
Albrecht
162
Kapitel 4 Outsourcing datenschutzkonform ausgestalten
Verfügt der Anbieter über eine Niederlassung in Deutschland, gilt für diese Niederlassung dann wieder deutsches Datenschutzrecht (§ 1 Abs. 5 S. 1 BDSG a. E.). Auch wenn es dadurch bei rein europäischen Clouds somit zur parallelen Geltung 204 verschiedener nationaler Datenschutzregime kommen kann, dürfte dies in Anbetracht der weitgehenden Harmonisierung durch die Datenschutzrichtlinie 95/46/ EG – und die anstehende Erweiterung der Harmonisierung durch die DatenschutzGrundverordnung – zu weitestgehend einheitlichen Schutzstandards führen. Lagert ein deutscher Outsourcinggeber etwa seine IT-Infrastruktur in eine von 205 ihm betriebene Private EU-Cloud aus, bedeutet dies aus Sicht des Datenschutzrechts, dass er primär an die Vorgaben des deutschen Datenschutzrechts gebunden ist.309 Eine zusätzliche Niederlassung im EU-Ausland würde dazu führen, dass die Datenschutzgesetze beider Länder zu beachten wären.310
206
207
208
209
3. Clouds (auch) in Drittstaaten Die großen internationalen Cloud-Anbieter sind mehrheitlich in den USA beheimatet, von wo aus sie auch agieren und wo viele ihre Server stehen. Zu nennen sind etwa Dropbox, Google Drive, Microsoft SkyDrive oder Microsoft Outlook.com. Auch bei internationalen Clouds kann europäisches Datenschutzrecht Anwendung finden, etwa dann, wenn sich der Sitz des Cloud-Anwenders als verantwortliche Stelle im Anwendungsbereich der EU-Datenschutzrichtlinie 95/46/EG befindet. Bei internationalen Clouds kommt ebenfalls das Territorialprinzip ins Spiel. Das BDSG findet gem. § 1 Abs. 5 S. 2 BDSG Anwendung, sofern eine ausländische verantwortliche Stelle personenbezogene Daten „im Inland“ erhebt, verarbeitet oder nutzt.311 Anzuwenden ist dann das nationale Recht seines Sitzlandes. Als Ausnahme statuiert § 1 Abs. 5 S. 4 BDSG, dass EU-Recht nicht gilt, sollten Datenträger „ausschließlich zum Zweck des Transits durch das Inland“ eingesetzt werden. Diese Ausnahme soll sicherstellen, dass personenbezogene Daten, die auf einem Router oder Server in Deutschland zwischengespeichert werden, nicht dem BDSG unterfallen. Für einen Verantwortlichen, der seinen Hauptsitz im Ausland hat, gilt also das BDSG, wenn eine Datenverarbeitung „im Inland“ i. S. v. § 1 Abs. 5 S. 2 BDSG vorliegt. Wie eng Datenverarbeitung „im Inland“ zu verstehen ist, ist allerdings noch vollkommen ungeklärt: – In der Literatur reicht nach einer Ansicht eine Nutzung einer Cloud-Anwendung „von Deutschland aus“, selbst bei im Ausland stehenden Servern.312 Wenn sich
309 Leupold/Glossner/Stögmüller, Teil 5 Rn 199; Pötters, NZA 2013, 1055, 1056. 310 Vgl. Pötters, NZA 2013, 1055, 1056. 311 Becker/Nikoleva, CR 2012, 170, 173. 312 Jotzo, MMR 2009, 232, 236 f.; Leupold/Glossner/Stögmüller, Teil 6 Rn 347; zweifelnd Nägele/Jacobs, ZUM 2010, 281, 290.
Albrecht
G. Outsourcing und Cloud Computing
163
der Verantwortliche mit seinen Leistungen an einen Kunden in Deutschland richtet, sei das BDSG anwendbar (Adressatengedanke). – Nach Ansicht der Artikel-29-Datenschutzgruppe kann auch dann europäisches Datenschutzrecht zur Anwendung kommen, wenn sich weder Cloud-Anwender noch Cloud-Anbieter im EWR befinden, die Daten aber teilweise im europäischen Raum verarbeitet werden (z. B. durch lediglich einen im EWR stehenden Server).313 – In der Rechtssache Google und Google Spain äußert sich der Generalanwalt Jääskinen zur Frage der Anwendbarkeit von Datenschutzrechten auf die Vermarktung und den Verkauf von Online-Werbeflächen durch eine Niederlassung eines ausländischen Anbieters. Für die Anwendbarkeit des Datenschutzrechts eines Mitgliedstaats komme es danach nicht auf das Zielpublikum an. Auch der Ort des technischen Datenverarbeitungsvorgangs oder der personenbezogenen Daten ist für den Generalanwalt belanglos. Jedoch soll entscheidend sein, dass ein ausländisches Unternehmen über eine Niederlassung ein Produkt anbietet, das sich an Einwohner des entsprechenden Staats richtet.314 Das Urteil des EuGH steht aus.
4. EU Datenschutz-Grundverordnung Mit der EU-Datenschutz-Grundverordnung wird u. a. eine One Stop Shop-Lösung 210 angestrebt. Findet die Verarbeitung personenbezogener Daten im Rahmen der Tätigkeiten der Niederlassung eines für die Verarbeitung Verantwortlichen oder Auftragsverarbeiters in der Union statt, wobei der für die Verarbeitung Verantwortliche oder Auftragsverarbeiter Niederlassungen in mehr als einem Mitgliedstaat hat, ist nach Art. 51 Abs. 2 des Kommissionsvorschlags315 die Aufsichtsbehörde des Mitgliedstaats, in dem sich die Hauptniederlassung des für die Verarbeitung Verantwortlichen oder Auftragsverarbeiters befindet, für die Aufsicht über dessen Verarbeitungstätigkeit in allen Mitgliedstaaten zuständig. Die EU-Kommission verspricht sich hierdurch eine einheitliche und verlässliche Anwendbarkeit des Datenschutzrechts unabhängig vom Sitz des Cloud-Anbieters.316 Herausgefordert durch das Bestehen oftmals auf einen konkreten Cloud-Anbieter 211 zugeschnittener Technologien (sog. Vendor Lock-In) setzt die EU-Kommission zudem
313 Artikel-29-Datenschutzgruppe, WP 196, S. 9; kritisch Leupold/Glossner/Haag, Teil 4 Rn 38. 314 Schlussanträge des Generalanwalts Jääskinen, EuGH, 25.6.2013, Rs. C‑131/12 (Google und Google Spain) Rn 55, 67, 68. 315 Bzw. Art. 54a Abs. 1 des inoffiziellen Verordnungstextes nach der LIBE-Sitzung vom 21.10.2013, abrufbar unter http://www.janalbrecht.eu/fileadmin/material/Dokumente/DPR-Regulation-inofficial-consolidated-LIBE.pdf. 316 Vgl. EU-Kommission, Staff Working Accompanying Document [SWD(2012) 271 final], 27.9.2012, S. 25, abrufbar unter http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=SWD:2012:0271:FIN:EN: PDF.
Albrecht
164
Kapitel 4 Outsourcing datenschutzkonform ausgestalten
auf Interoperabilität und Datenportabilität, die für Anwender von elementarer Bedeutung sind, wenn sie Informationen mit Stellen austauschen, die von anderen Anbietern verwaltete Cloud-Dienste nutzen, oder mit ihren Datensätzen und Anwendungen den Anbieter wechseln wollen (Art. 18 der EU-Datenschutz-Grundverordnung gemäß Kommissionsvorschlag bzw. Art. 15 des LIBE-Vorschlages). In diesem Zusammenhang ist es auch zu sehen, wenn Art. 23 der Vorschläge die Prinzipien von Data Protection by Design and by Default festlegt, d. h. das Verringern des Datenverarbeitungen immanenten Gefahrenpotenzials durch das Zusammenwirken proaktiver Technikgestaltung und organisatorischer Vorkehrungen sowie das standardisierte systemseitige Einrichten datensparsamer Grundeinstellungen.317
5. Datenübermittlung oder Auftragsdatenverarbeitung
212 Bei der Frage, wie Cloud Computing datenschutzrechtlich in zulässiger Weise ausge-
staltet werden kann, steht wiederum die Frage im Raum, ob es beim Cloud Computing um eine Auftragsdatenverarbeitung nach § 11 BDSG oder um eine Datenübermittlung i. S. d. § 3 Abs. 4 BDSG handelt. Ausgehend von der obigen Definition des Cloud Computing ist zunächst fest213 zuhalten, dass die in die Cloud gegebenen Daten die Sphäre des Dateneigentümers verlassen, mithin auch seinem unmittelbaren Zugriff entzogen werden, und über ein- oder mehrstufige Auftragsverhältnisse in einem größeren geografischen Rahmen (bis hin zur internationalen „Ortslosigkeit“) von Rechenzentrum zu Rechenzentrum verschoben werden können. Damit findet eine Lockerung der tatsächlichen Eingriffsmöglichkeiten des Dateneigentümers statt, die es ihm erschweren könnte, seiner juristischen Verantwortung in Bezug auf die Daten nachzukommen. Das Cloud Computing, bei dem personenbezogene Daten in der Cloud erhoben, 214 verarbeitet oder genutzt werden, wird von der ganz überwiegenden Ansicht grundsätzlich als Auftragsdatenverarbeitung eingestuft.318 Die einzelnen Übermittlungsvorgänge zwischen Cloud-Anbieter und Verwender stellen daher keine rechtfertigungsbedürftigen Tatbestände i. S. d. § 4 Abs. 1 BDSG dar. Grund für diese Einstufung ist, dass der Verwender den Zweck und die Mittel der Datenverarbeitung bestimmt und die Entscheidungshoheit über die Daten und den Umgang mit diesen behält und
317 Vgl. BeckOK BDSG/Schulz, § 3a Rn 60, 66; ferner Corrales, ZD-Aktuell 2012, 03228. 318 BeckOK BDSG/Schild, § 3 Rn 111; Gola/Schomerus, § 11 Rn 8, § 4b Rn 5; Leupold/Glossner/von dem Bussche/Schelinski, Teil 1 Rn 402; Pötters, NZA 2013, 1055, 1057; Schröder/Haag, ZD 2011, 147, 148; Splittgerber/Rockstroh, BB 2011, 2179, 2181; Schulz, MMR 2010, 75; Nägele/Jacobs, ZUM 2010, 281, 290; Schuster/Reichl, CR 2010, 38; Pohle/Ammann, CR 2009, 273; Niemann/Paul, K&R 2009, 444, 449; kritisch Engels, K&R 2011, 548; stark differenzierend und eine kollektive Verantwortung von Nutzer und Anbieter befürwortend Kroschwald, ZD 2013, 388, 390 ff., der das Nutzer-Anbieter-Verhältnis hinsichtlich der vom Nutzer vorgegebenen Datenverarbeitung allerdings auch als Fall einer Auftragsdatenverarbeitung einstuft.
Albrecht
G. Outsourcing und Cloud Computing
165
behalten will.319 Eine Funktionsausgliederung wird weder beabsichtigt noch zweckmäßig sein. Die Artikel-29-Datenschutzgruppe betont, dass auch dann die Verantwortung für 215 die Einhaltung des Datenschutzrechts beim Nutzer liegt, wenn der Cloud-Anbieter eine erhebliche Marktmacht hat und nur standardisierte Anwendungen ohne Möglichkeit eines Aushandelns einzelner Vertragsbedingungen offeriert.320 An der pauschalen Einstufung von Cloud-Services als Auftragsdatenverarbeitung 216 wird allerdings Kritik angebracht. So sei in bestimmten Fällen, die auch außerhalb des Cloud Computings bisher nicht als Auftragsdatenverarbeitungsverhältnis anzusehen waren, ein Daten bezogenes Weisungsverhältnis nicht gegeben. Zu denken ist hier insbesondere an die Anmietung von Rechenkapazität auf externen Servern, bei der der Dienstleister, der die Rechenkapazitäten anbietet, keinerlei Funktionsherrschaft über den Datenverarbeitungsvorgang hat.321 Diese Grundsätze zum Hosting könnten auf das Cloud Computing übertragen werden: Beim SaaS etwa nutzt der Anwender die vom Anbieter zur Verfügung gestellte Software eigenständig, gibt dort Daten ein und erhält Resultate. Er erteilt hierzu keine Weisungen gegenüber dem Cloud-Anbieter, sondern handelt nur von dessen Technik unterstützt. Ebenso greift ein Nutzer beim IaaS bei den von ihm initiierten Speichervorgängen lediglich unterstützend auf die Technik des Anbieters zurück und erteilt keinerlei Weisung. Es ist aber gerade nicht entscheidend, auf wessen Hardware die Vorgänge durchgeführt werden. Der Auftrag bezieht sich in diesen Konstellationen gerade nicht auf eine Erhebung, Verarbeitung oder Nutzung personenbezogener Daten durch den Cloud-Anbieter.322 Praxistipp Diese Ansicht unterscheidet scharfsinnig anhand der Kriterien der Entscheidungshoheit, Weisungsbefugnis und Zweckbestimmung. Gleichwohl wird oftmals neben der bloßen Zurverfügungstellung von Hard- und/oder Software der Cloud-Anbieter beim SaaS auch durch den Nutzer generierte Daten speichern (Inhaltsdaten). Ist dem so, ist der Cloud-Anbieter Auftragsverarbeiter nach § 11 BDSG.323 Auch sollte bedacht werden, dass ggf. ein Fall des § 11 Abs. 5 BDSG (Prüfung oder Wartung von Datenverarbeitungsanlagen durch den Cloud-Anbieter) vorliegen könnte.
6. Anforderungen an ein zulässiges Outsourcing in die Cloud Der Vertrag mit dem Cloud-Anbieter ist nach § 11 Abs. 2 S. 2 BDSG schriftlich zu fassen 217 und hat dabei die Mindestinhalte nach § 11 Abs. 2 S. 2 Nr. 1 – 10 BDSG zu enthalten.
319 Vgl. eingehend Funke/Wittmann, ZD 2013, 221, 223 ff., 227. 320 Artikel-29-Datenschutzgruppe, WP 196, S. 10. 321 BeckOK BDSG/Spoerr, § 11 Rn 60 f.; Spindler/Schuster/Spindler, § 11 BDSG Rn 7; Funke/Wittmann, ZD 2013, 221, 227; Engels, K&R 2011, 548, 549. 322 Vgl. dazu auch weiter differenzierend Kroschwald, ZD 2013, 388, 390 f. 323 Vgl. Pohle/Ammann, K&R 2009, 625, 630.
Albrecht
166
218
219
220
221
Kapitel 4 Outsourcing datenschutzkonform ausgestalten
Der Anwender hat Vorab- und laufende Kontrollen nach § 11 Abs. 2 S. 4 BDSG durchzuführen. Hierzu gilt das weiter oben324 Gesagte grundsätzlich entsprechend. Einige, nicht abschließende Besonderheiten, die beim Cloud Computing eine Rolle spielen können, folgen: Eine persönliche Vor-Ort-Kontrolle dürfte, gerade bei Public Clouds, allenfalls in seltenen Fällen überhaupt realistisch in Betracht gezogen werden können. Das „Dilemma des Cloud Computing“325 liegt ja u. a. darin, dass die Server des Anbieters weltweit verstreut sind und er den Nutzern zudem niemals Zugang oder Zutritt zu seinen IT-Systemen gewähren wird. Die regelmäßige Abfrage gültiger externer Zertifikate kann jedenfalls bei unterem bis mittlerem Gefährdungsniveau ein angemessenes und ausreichendes Mittel der Kontrolle sein.326 Eigenzertifikate allein reichen nicht aus.327 Eine Beteiligung des betrieblichen Datenschutzbeauftragten insbesondere an den regelmäßigen Kontrollen ist empfehlenswert, aber nicht zwingend, arg. e § 4g BDSG.328 Das strenge Schriftformerfordernis dürfte in eine Vielzahl von Fällen beim Cloud Computing an der Realität und den Machbarkeiten vorbeigehen. Die Artikel29-Datenschutzgruppe lässt neben der Schriftform aber auch eine „andere angemessene Form“ zu.329 Insbesondere bei SaaS-Angeboten oder anderen Diensten, die kurzfristig online gebucht werden können, stößt das Schriftformgebot an seine praktischen Grenzen. Nach Art. 26 Abs. 3 der EU-Datenschutz-Grundverordnung (Stand: LIBE-Vorschlag) ist vorgesehen, nur noch eine „Dokumentation“ zu verlangen.330 Die daraus folgende Aufweichung und Erleichterung des deutschen Schriftlichkeitsgebots wäre zu befürworten. Dem Cloud-Anwender als Auftraggeber obliegt die Verpflichtung, personenbezogene Daten nach den §§ 19, 20, 34, 35 BDSG zu berichtigen, zu löschen, zu sperren und auf Verlangen des Betroffenen Auskünfte vor allem zu den zu seiner Person gespeicherten Daten und zur Herkunft der Daten zu erteilen. Das Thema Unterbeauftragung spielt beim Cloud Computing dabei eine zentrale Rolle. Da dieser Punkt nach § 11 Abs. 2 S. 2 Nr. 6 BDSG im Vertrag über die Auftragsdatenverarbeitung geregelt werden muss, ist zu bedenken, dass der Anwender oftmals nicht die Marktmacht haben wird, sich bei der Beauftragung Dritter für Unter- und
324 Vgl. Rn 41 ff., 47 ff. 325 Vgl. dazu Schuster/Reichl, CR 2010, 38, 42. 326 Schröder/Haag, ZD 2011, 147, 149; Weichert, DuD 2010, 679, 680; Heidrich/Wegener, MMR 2010, 803, 806. 327 ULD, „Datenschutzkonformes Cloud Computing ist möglich“, 13.7.2012, abrufbar unter https:// www.datenschutzzentrum.de/presse/20120713-datenschutzkonformes-cloud-computing.htm. 328 Robrecht, ZD 2011, 23, 25. 329 Artikel-29-Datenschutzgruppe, WP 196, S. 25; dies begrüßend Leupold/Glossner/Haag, Teil 4 Rn 52. 330 Vgl. zur EU-Datenschutz-Grundverordnung Rn 161 ff.
Albrecht
G. Outsourcing und Cloud Computing
167
Teildienstleistungen ein Mitspracherecht vorzubehalten. Gleichwohl ist die Einbindung Dritter in Cloud-Services gang und gäbe und Cloud-Anbieter beauftragen Dritt anbieter weltweit, ohne von vornherein abschließend zu wissen, welche Drittanbieter eines Tages eingeschaltet werden. Nach der Artikel-29-Datenschutzgruppe darf der Cloud-Anbieter Subunternehmer nur einschalten, wenn die Zustimmung des CloudKunden vorliegt. Diese kann allgemein erteilt werden, wenn der Kunde jeweils über Änderungen zu den eingeschalteten Subunternehmern informiert wird und die Liste der aktuellen Subunternehmer einsehen kann.331 Da der Cloud-Anwender nur einen sehr eingeschränkten administrativen, ope- 222 rativen und kontrollierenden Zugriff auf die Infrastruktur des Cloud Computing hat, sollte er gegenüber dem Cloud-Anbieter bestimmte Grundsätze und Garantien festlegen, die u. a. die Datenschutzbeauftragten des Bundes und der Länder sowie die Artikel-29-Datenschutzgruppe für zwingend halten, damit im Bereich des Cloud Computings nicht die Anwender als verantwortliche Stellen außerstande geraten, die Verantwortung für die eigene Datenverarbeitung zu tragen. Dies sind aus deutscher und europäischer Sicht:332 – transparente und detaillierte Information der Cloud-Anbieter über die technischen, organisatorischen und rechtlichen Rahmenbedingungen der angebotenen Dienstleistungen inklusive des Sicherheitskonzepts, inklusive Auskunft über Unterauftragnehmer auf Verlangen, – transparente, detaillierte und eindeutige vertragliche Regelungen zur Cloudgestützten Datenverarbeitung, insbesondere zum Ort der Datenverarbeitung, zu Benachrichtigung über Ortswechsel, Portabilität und Interoperabilität, inklusive Protokollierung der Verarbeitungen, – Beschränkung grenzüberschreitender Datenübermittlungen auf vom Anwender ausgewählte bzw. angemessene Drittländer, – Umsetzung der abgestimmten Sicherheits- und Datenschutzmaßnahmen, – aktuelle und aussagekräftige Nachweise über die Infrastruktur, – vertragsstrafenbewährte Weisungsrechte, die eine Erfüllung der Betroffenenrechte gewährleisten und dem Anbieter zusätzlich die Verpflichtung auferlegen, gegenüber Unteranbietern dieselben Rechte einzuräumen.
331 Vgl. Artikel-29-Datenschutzgruppe, WP 196, S. 25. 332 Artikel-29-Datenschutzgruppe, WP 196, S. 25 ff.; Orientierungshilfe – Cloud Computing der Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder, Version 1.0, Stand 26.9.2011, S. 8 mit Hinweisen zur sicheren Ausgestaltung von Cloud ComputingAngeboten (S. 13 ff.), abrufbar unter https://www.datenschutz-bayern.de/technik/orient/oh_cloud. pdf; Entschließung anlässlich der 82. Konferenz der Datenschutzbeauftragten des Bundes und der Länder, RDV 2011, 316, 317; mit Erläuterungen und Hinweisen zur Vertragsgestaltung Schuppert/von Reden, ZD 2013, 210, 213 f.; Schröder/Haag, ZD 2012, 495, 497; im Detail kritisch Leupold/Glossner/ Haag, Teil 4 Rn 52 ff.
Albrecht
168
Kapitel 4 Outsourcing datenschutzkonform ausgestalten
223 Im Großen und Ganzen ähneln diese Anforderungen stark denjenigen, die nach § 11
BDSG bei einer „klassischen“ Auftragsdatenverarbeitung einzuhalten sind. Erwähnenswert scheint, dass der Cloud-Anwender die Betroffenen nicht nur über die verantwortliche Stelle (sich selbst), sondern auch über den Cloud-Anbieter und sämtliche Unterauftragnehmer informieren soll.333 Es steht zu erwarten, dass die – deutschen – Aufsichtsbehörden diese Kriterien 224 zur Bewertung der Eignung und Angemessenheit von Datenschutz- und Datensicherheitsmaßnahmen des – inländischen – Auftraggebers (Cloud-User) und bei der Auslegung der gesetzlichen Anforderungen heranziehen werden.334 Überdies sollte das Bestreben der EU-Kommission, einheitliche Cloud-Standard225 verträge zu entwickeln, aufmerksam verfolgt werden.335 Praxistipp Diese Vielzahl von Anforderungen – angefangen bei den Grundlagen des § 11 BDSG und weiter über die Kriterien der verschiedenen Datenschutzgruppierungen – dürfte es aus rechtlicher Sicht auch weiterhin schwierig machen, Cloud Computing im Wege von Auftragsdatenverarbeitungen wirksam einzusetzen. Schriftlichkeit, Kontrolldurchführungen und Einfluss-/Beherrschungsmöglichkeiten sind rechtliche Instrumentarien, die mit den Realitäten des Cloud Computings und der Marktdominanz US-amerikanischer Provider nicht immer Schritt halten können. Hier ist abzuwarten, inwieweit es zumindest auf europäischer Ebene gelingen wird, sich auf geeignete Regelungen zu einigen.
7. Outsourcing in Drittländer-Clouds
226 Cloud Computing in seiner gegenwärtigen Form erfolgt typischerweise grenzüber-
schreitend. Die großen Anbieter residieren in den USA und ihre Serverfarmen sind global verteilt. Deswegen ist es für den Cloud-Anwender schwierig zu ermitteln, an welchem „Ort“ im jeweiligen Augenblick die Verarbeitung erfolgt. Dies kann und wird sich sekündlich ändern, insbesondere in Abhängigkeit von dem Ressourcenvolumen, das der Anwender jeweils benötigt. Für die datenschutzrechtliche Betrachtung ist es daher wichtig zu erfassen, wo die Cloud-Anbieter und ihre Subanbieter tätig werden. Die Datenschutzbeauftragten des Bundes und der Länder fordern daher, dass der Anwender über sämtliche möglichen Verarbeitungsorte vorab informiert wird. EU-Recht ist in diesem Zusammenhang bereits dann anwendbar, „wenn der CloudAnwender als im Regelfall für die Verarbeitung verantwortliche Stelle im Rahmen der Tätigkeiten einer in der EU gelegenen Niederlassung personenbezogene Daten verar-
333 Artikel-29-Datenschutzgruppe, WP 196, S. 25. 334 Vgl. z. B. Pressemitteilung des ULD v. 13.7.2012, abrufbar unter https://www.datenschutzzentrum. de/presse/20120713-datenschutzkonformes-cloud-computing.htm. 335 Abrufbar unter http://ec.europa.eu/information_society/activities/cloudcomputing/docs/com/ com_cloud.pdf.
Albrecht
G. Outsourcing und Cloud Computing
169
beitet oder wenn die für die Verarbeitung verwendeten Mittel im Hoheitsgebiet der EU gelegen sind.“336 Es gibt derzeit kein „Cloud-Datenschutzrecht“ in Deutschland oder Europa. Die 227 allgemeinen Anforderungen des BDSG – einschließlich der Grundlagen der Datenschutzrichtlinie 95/46/EG – gelten somit auch für Cloud-Dienste. Da viele CloudAnbieter außerhalb des EWR angesiedelt sind oder jedenfalls Ressourcen außerhalb Europas nutzen, sind demzufolge die Voraussetzungen der §§ 4b, 4c BDSG für das Cloud Computing von besonderer Relevanz.337 Auf der Grundlage des Zwei-StufenModells des Düsseldorfer Kreises338 muss die verantwortliche Stelle, sofern sie sich für die Einschaltung eines Cloud-Anbieters außerhalb des EWR entscheidet, – erstens die Datenübermittlung auf eine gesetzliche Rechtfertigung stützen können und – zweitens sicherstellen, dass die übermittelten Daten im Land des Cloud-Anbieters einem adäquaten Datenschutzniveau unterliegen. Aufgrund des oftmals grenzüberschreitenden Charakters von Cloud Computing- 228 Systemen wurde in letzter Zeit auch auf internationaler Ebene versucht, einheitliche Handlungsempfehlungen zu entwickeln. Die entsprechenden Papiere enthalten Anforderungen an eine aus Datenschutzsicht sichere Etablierung und Anwendung von Cloud Computing-Angeboten. Hier sind u. a. zu nennen: – Im September 2011 hat die Konferenz der Datenschutzbeauftragten des Bundes und der Länder eine Orientierungshilfe zum Cloud Computing vorgestellt.339 – Das BSI hat im Februar 2012 ein „Eckpunktepapier – Sicherheitsempfehlungen für Cloud Computing Anbieter“ veröffentlicht und stellt darin auch datenschutzrechtliche Forderungen auf.340 – Die International Working Group on Data Protection in Telecommunications (Berlin Group) hat in einer am 24.4.2012 veröffentlichten Stellungnahme „Sopot Memorandum” Empfehlungen für die datenschutzgerechte Nutzung von CloudDienstleistungen gegeben (Best Practice Empfehlungen).341
336 Orientierungshilfe – Cloud Computing der Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder, Version 1.0, Stand 26.9.2011, S. 9 f., abrufbar unter https://www.datenschutz-bayern.de/technik/orient/oh_cloud.pdf. 337 Vgl. Leupold/Glossner/Haag, Teil 4 Rn 37. 338 Vgl. Rn 101 ff. 339 Abrufbar unter http://www.datenschutz-bayern.de/technik/orient/oh_cloud.pdf. 340 Abrufbar unter https://www.bsi.bund.de/DE/Themen/CloudComputing/Eckpunktepapier/Eckpunktepapier_node.html. 341 Abrufbar unter http://datenschutz-berlin.de/content/nachrichten/datenschutznachrichten/%2027-april-2012; erläuternd dazu Schröder/Haag, ZD 2012, 362.
Albrecht
170
Kapitel 4 Outsourcing datenschutzkonform ausgestalten
– Die 34. Internationale Konferenz der Beauftragten für den Datenschutz und für die Privatsphäre (25.-26.10.2012) hat ähnliche Empfehlungen ausgesprochen.342 Zentrale Empfehlungen dieser Gruppierungen und Institutionen wurden bereits vorstehend unter Rn 187 ff. dargestellt.
a) Cloud-Anbieter mit Sitz in EU/EWR
229 Cloud-Services von Cloud-Anbietern mit Sitz in EU/EWR sind aufgrund der Gleich-
stellung mit inländischen Anbietern im Rahmen einer Auftragsdatenverarbeitung (§ 3 Abs. 8 S. 2 BDSG) für Anwender aus Deutschland datenschutzrechtskonform nutzbar. Europa ist sozusagen tatsächlich ein Safe Harbor für Cloud-User.
b) Cloud-Anbieter mit Sitz in „sicheren Drittstaaten“ 230 Cloud-Anbieter mit Sitz außerhalb von EU/EWR können nicht automatisch als sichere Drittstaaten angesehen werden. Sie müssen, damit ein in Deutschland ansässiger Cloud-Anwender ihre Services, bei denen die Daten außerhalb des EWR verarbeitet werden, im Rahmen einer Auftragsdatenverarbeitung in Anspruch nehmen darf, nach § 4b Abs. 2 BDSG ein angemessenes Datenschutzniveau aufweisen. Insofern ist zunächst die Liste der sicheren Staaten der EU-Kommission zurate zu ziehen. Diese gilt auch für Cloud-Anbieter mit Sitz in einem sicheren Staat. Insofern gelten die zum allgemeinen Outsourcing gemachten Anmerkungen zum 231 Outsourcing von Datenverarbeitungsprozessen in sichere Drittstaaten grundsätzlich entsprechend.343 Die zentralen Vehikel, die auch bei Cloud Computing dazu führen können, dass ein Cloud-Anbieter als sicher einzustufen ist, sind auch hier – EU-Standardvertragsklauseln, – Binding Corporate Rules, – Safe Harbor-Abkommen. 232 Aufgrund der Tatsache, dass die Mehrzahl der Cloud-Anbieter in den USA ansässig ist
bzw. von dort aus operiert, dürfte dem Safe Harbor-Abkommen im Kontext des Cloud Computings die größte Bedeutung zufallen:
342 Abrufbar unter http://www.bfdi.bund.de/SharedDocs/Publikationen/Entschliessungssammlung/IntDSK/2012IntDSKCloudComputing.pdf?__blob=publicationFile. 343 Vgl. Rn 107.
Albrecht
G. Outsourcing und Cloud Computing
171
aa) Safe Harbor-Abkommen Will sich ein Cloud-Anwender eines Cloud-Anbieters, der personenbezogene Daten in 233 den USA verarbeitet, bedienen, muss er – prüfen, ob der Anbieter dem Safe Harbor-Abkommen beigetreten ist; – die vom Cloud-Anbieter garantierten Maßnahmen überprüfen, insbesondere sich nachweisen lassen, wie das importierende Unternehmen seinen etwaigen Informationspflichten nach Safe Harbor gegenüber den von der Datenverarbeitung Betroffenen nachkommt; Wird der Cloud-Anbieter jedoch als reiner Auftragsdatenverarbeiter für den Cloud-Nutzer tätig (und verarbeitet die Daten ausschließlich gemäß den Weisungen der in der EU ansässigen verantwortlichen Stelle) und besteht somit keine direkte Beziehung mit den Datensubjekten, deren Daten er verarbeitet, findet die Verpflichtung zur Information der Datensubjekte keine Anwendung. Der CloudNutzer muss sich dann die notwendigen Informationen vom Cloud-Anbieter besorgen, um die ihm obliegenden Informationspflichten gegenüber den Datensubjekten zu erfüllen. – Nachweise für deren Einhaltung verlangen.344 Für die Nachweise kommen insbesondere unterschiedliche von staatlichen Behörden 234 oder anerkannten privaten Stellen vergebene Zertifikate in Betracht.345 Auf der Basis des Arbeitspapiers der EU-Kommission „Freisetzung des Cloud-Computing-Potenzials in Europa“, KOM (2012) 529 vom 27.9.2012 346 arbeiten die EU-Kommission, das ETSI und die ENISA an einer europäischen Landkarte der Standards für Informationssicherheit, Interoperabilität und Portabilität von Cloud Services mit dem Ziel, freiwillige EU-weite Zertifizierungsschemata für vertrauenswürdige Cloud-Services zu entwickeln.347 Am 31.7.2013 hat die Task Force IT des Bundesministeriums für Wirtschaft und 235 Technologie „10 Punkte für einen sicheren Umgang mit Unternehmensdaten im Internet“ veröffentlicht. Unter Punkt 7 heißt es: „Bei Cloud-Service-Providern aus anderen Staaten kann ein angemessenes Schutzniveau dadurch gewährleistet werden, dass der Cloud-Service-Provider mindestens am Safe Harbor-Programm teilnimmt.“348
344 Vgl. Artikel-29-Datenschutzgruppe, WP 196, S. 17; Beschluss des Düsseldorfer Kreises v. 28./29.4.2010, abrufbar unter http://www.bfdi.bund.de/SharedDocs/Publikationen/Entschliessungssammlung/DuesseldorferKreis/290410_SafeHarbor.html. 345 Vgl. zu den verschiedenen derzeit diskutierten Zertifikaten Leupold/Glossner/Doubrava/Münch, Teil 4 Rn 62 ff. 346 Abrufbar unter http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2012:0529:FIN:DE :PDF. 347 Vgl. Leupold/Glossner/Doubrava/Münch, Teil 4 Rn 71. 348 Abrufbar unter http://www.bmwi.de/BMWi/Redaktion/PDF/0-9/10-punkte-fuer-einen-sicherenumgang-mit-unternehmensdaten-im-internet,property=pdf,bereich=bmwi2012,sprache=de,rwb=tr
Albrecht
172
Kapitel 4 Outsourcing datenschutzkonform ausgestalten
Zur Erfüllung der Datenschutzanforderungen auf erster Stufe sollte mit den dem Safe Harbor-Abkommen beigetretenen Anbietern zudem eine Vereinbarung zur Auftragsdatenverarbeitung geschlossen werden. Im Zuge der Schaffung und Erweiterung des USA Patriot Act wurde u. a. auch der 237 Foreign Intelligence Surveillance Act (FISA) geändert. Hierin wurden Rechtsgrundlagen für geheimdienstliche Zugriffe auf jede Art von Daten und Kommunikationsprotokolle geschaffen. Voraussetzungen für einen Zugriff sind lediglich die Erforderlichkeit zum Zwecke der Terrorismusbekämpfung oder anderen geheimdienstlichen Zwecken. Der Zugriff steht dabei unter dem Vorbehalt eines entsprechenden Gerichtsbeschlusses und es kann nur auf Daten zugegriffen werden, die physisch in den USA verarbeitet werden. Um auf Daten eines Cloud-Anbieters zugreifen zu dürfen, reicht es jedoch aus, dass dieser zumindest auch in den USA geschäftlich tätig ist. Dies trifft auf die Global Player des Cloud Computing-Marktes in der Breite zu. Dann dürfen US-Geheimdienste auch auf Daten zugreifen, die außerhalb der USA verarbeitet werden.349 In Ergänzung ist darauf hinzuweisen, dass ein US-Cloud-Anbieter Daten, die 238 bereits z. B. in den USA bei einem dort tätigen Cloud-Anbieter liegen und dort entsprechenden Zugriffen von US-Behörden ausgesetzt sind, nach FAQ 10 der Safe Harbor-Regelungen an Dritte insoweit weiterzugeben berechtigt ist, als Erfordernisse der nationalen Sicherheit, des öffentlichen Interesses oder der Durchführung von Gesetzen dies erfordern. Dies bestätigt auch das Sopot-Memorandum und das WP 196 der Artikel-29-Datenschutzgruppe beanstandet dies nicht. Daraus kann gefolgert werden, dass Cloud-Anbieter auch außerhalb des EWR und auch bei Nutzung der Safe HarborRegelungen, und auch unter Beachtung von ausländischen Regelungen zur Strafverfolgung oder zur nationalen Sicherheit, im Einklang mit EU-Datenschutzrecht stehen können.350 Vor dem Hintergrund der Ankündigung der deutschen Aufsichtsbehörden aus 239 Juli 2013, die Aussetzung von Übermittlungen personenbezogener Daten in die USA auf der Basis von Safe Harbor und EU-Standardvertragsklauseln zu prüfen, und der abwartenden Haltung der zuständigen EU-Justizkommissarin sind auch mit Blick auf die Nutzung von Cloud-Angeboten aus den USA weiterhin Zurückhaltung und Vorsicht geboten. Die weitere Entwicklung ist aufmerksam zu verfolgen. Notfalls könnte 236
ue.pdf. 349 Vgl. zu allem Leupold/Glossner/Haag, Teil 4 Rn 44; ferner Schuppert/von Reden, ZD 2013, 210 ff., die die Eingriffsbefugnisse US-amerikanischer Behörden als weniger gravierend einstufen, verbunden mit dem Hinweis, dass auch europäische Behörden Eingriffs- und Durchsuchungsbefugnisse besitzen und Rechtshilfeabkommen mit den USA bestehen. 350 Schuppert/von Reden, ZD 2013, 210, 214; dazu auch Schröder/Haag, ZD 2012, 362, 363.
Albrecht
G. Outsourcing und Cloud Computing
173
man sich vorübergehend mit genehmigten BCR behelfen, wie vereinzelt vorgeschlagen wird.351
bb) EU-Standardvertragsklauseln Auch können EU-Standardvertragsklauseln verwendet werden, um ein angemessenes Datenschutzniveau zu schaffen. Über die bereits gemachten Ausführungen352 hinaus sind hier drei allgemeine Punkte von Interesse:353 Auch beim Cloud Computing wird teilweise der zusätzliche Abschluss eines Auftragsdatenverarbeitungsvertrages nach § 11 BDSG für erforderlich gehalten. Der Einsatz von Subunternehmern durch den Cloud-Anbieter ist streng reglementiert: Jeder Unterauftragnehmer bedarf einer expliziten Zustimmung des Auftraggebers und der Auftragnehmer muss für sämtliche Handlungen seiner Subauftragnehmer vollständig einstehen. Die Aufnahme der zahlreichen Empfehlungen und Best Practice-Anforderungen des Düsseldorfer Kreises, der Artikel-29-Datenschutzgruppe und weitere Institutionen kann es im Einzelfall erforderlich machen, die EU-Standardvertragsklauseln der EUKommission, die eigentlich genehmigungsfrei sind, wenn sie unverändert übernommen werden, entsprechend anzupassen und dann zur Genehmigung vorzulegen.354
240
241 242
243
cc) Binding Corporate Rules (a) Ebene des Cloud-Anwenders Binding Corporate Rules stoßen – wie oben bereits erläutert – an ihre rechtlichen 244 Grenzen, da sie grundsätzlich nur im Konzern einsetzbar sind.355
(b) Ebene des Cloud-Anbieters Ist der Cloud-Anbieter innerhalb des EWR domiziliert, setzt er aber Subauftragneh- 245 mer in Drittstaaten ein (oftmals für das Datenhosting), ist – wie oben bereits geschildert356 – der Abschluss von EU-Standardvertragsklauseln zwischen Cloud-Anwender und Cloud-Anbieter in diesem Fall ausgeschlossen bzw. nicht zielführend.357 Binding
351 Vgl. Weichert, abrufbar unter https://www.datenschutzzentrum.de/cloud-computing/20100617cloud-computing-und-datenschutz.html. 352 Vgl. Rn 132 ff. 353 Vgl. Weber/Voigt, ZD 2011, 74, 77 f. 354 Dazu sowie zu weiteren von der Artikel-29-Datenschutzgruppe empfohlenen Regelungsgegenständen Schuppert/von Reden, ZD 2013, 210, 213 f. 355 Zu Binding Corporate Rules vgl. ausführlich Moos/Abel/Schulte, S. 881 ff. 356 Vgl. Rn 132 ff. 357 Vgl. auch Filip, ZD 2013, 51 ff.
Albrecht
174
Kapitel 4 Outsourcing datenschutzkonform ausgestalten
Corporate Rules for Processors sind auch im Umfeld einer Cloud-Dienstleistung denkbar.
c) Cloud-Anbieter mit Sitz in „unsicheren Drittstaaten“
246 Sollen Cloud-Anbieter außerhalb von EU/EWR als Dienstleister genutzt werden,
bieten diese Anbieter jedoch kein angemessenes Datenschutzniveau, kommt es zwangsläufig zu einer Datenübermittlung in einen unsicheren Drittstaat. Daher gibt es für derartige Cloud-Dienste in Drittstaaten keine datenschutzrechtliche Legitimation und sie sind grundsätzlich unzulässig.358 Aufgrund der oftmals globalen Vernetzung der Cloud-Angebote der großen US247 Anbieter scheint, auch wenn der jeweilige Anbieter den Safe-Harbor-Anforderungen genügt oder andere geeignete Mittel ergriffen hat, der Einsatz eines US-Cloud-Anbieters aus Sicht deutscher und europäischer Unternehmen und Behörden daher weiterhin unzulässig zu sein. Dasselbe gilt, wenn – wie in der Regel – Serverfarmen auch in anderen, nämlich unsicheren Drittstaaten stehen und Daten auch auf diesen Servern gespeichert werden, z. B. weil der User kurzfristig zusätzliche Prozessorleistungen oder Speicherplätze benötigt. Einzelne internationale Cloud-Anbieter sollen ihren Nutzern die Möglichkeit 248 einräumen, eine Datenverarbeitung ausschließlich innerhalb des EU/EWR-Raumes durchführen zu lassen.359
d) Rechtfertigung
249 Datenübermittlungen an Cloud-Anbieter in Drittstaaten (d. h. Staaten außerhalb von
EU/EWR) – gleichviel, ob diese Drittstaaten als „sicher“ oder „unsicher“ zu bewerten sind – bedürfen einer Daten bezogenen Rechtfertigung nach § 4 Abs. 1 BDSG.360 Es wird weithin bezweifelt, ob § 28 BDSG als Ermächtigungsgrundlage in Betracht kommen kann; denn bloße Kostenersparnis des Datenübermittlers stelle auch im
358 Wagner/Blaufuß, BB 2012, 1751, 1752; Weichert, abrufbar unter https://www.datenschutzzentrum. de/cloud-computing/20100617-cloud-computing-und-datenschutz.html; Heidrich/Wegener, MMR 2010, 803, 805. 359 Vgl. Weichert, abrufbar unter https://www.datenschutzzentrum.de/cloud-computing/20100617cloud-computing-und-datenschutz.html. 360 Vgl. Beschluss der Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich (Düsseldorfer Kreis am 11./12.9.2013), abrufbar unter http://www.bfdi.bund.de/SharedDocs/Publikationen/Entschliessungssammlung/DuesseldorferKreis/12092013DatenuebermittlungInDrittstaaten. pdf?__blob=publicationFile.
Albrecht
G. Outsourcing und Cloud Computing
175
Rahmen des Cloud Computing keine hinreichende Rechtfertigung dar.361 Das BSI hält die Anwendung von § 28 Abs. 1 S. 1 Nr. 2 BDSG allerdings für möglich.362 § 11 BDSG kann zur Rechtfertigung zwar nicht unmittelbar herangezogen werden 250 (e contrario § 3 Abs. 8 S. 3 BDSG); wie bei sonstigen Outsourcingmaßnahmen, die personenbezogene Daten betreffen, kann der Abschluss einer den Anforderungen des § 11 BDSG gerecht werdenden Vereinbarung zur Auftragsdatenverarbeitung allerdings als Argumentationshilfe für die gerechtfertigte Datenübermittlung dienen. Die Einholung der Einwilligung der Betroffenen nach § 4a BDSG dürfte mangels 251 Praktikabilität beim Cloud Computing erst recht ausscheiden.
e) EU Datenschutz-Grundverordnung Wie erwähnt, führt Art. 3 des Entwurfes der geplanten EU-Datenschutz-Grundver- 252 ordnung zu einer räumlichen Expansion des Anwendungsbereiches des europäischen Datenschutzrechts. Dies hat zum Schutz der EU-Bürger unmittelbare Auswirkungen auf Nicht-EU-Unternehmen, die auf dem europäischen Markt agieren. Zwar bleibt primärer räumlicher Anknüpfungspunkt für die Anwendung der Verordnung die Niederlassung der Unternehmen in der EU. Daneben gilt die Verordnung aber auch in dem Fall, dass es um die Verarbeitung personenbezogener Daten von in der Union ansässigen betroffenen Personen durch einen nicht in der Union niedergelassenen für die Verarbeitung Verantwortlichen geht, wenn die Datenverarbeitung – dazu dient, diesen Personen in der Union Waren oder Dienstleistungen anzubieten, oder – der Beobachtung ihres Verhaltens dient (Online-Tracking, Profiling), unabhängig vom Bestehen einer Niederlassung in der EU. Eine reine Aktivität auf dem EU-Markt führt somit zur Geltung von EU-Recht. Das Primat des Niederlassungsprinzips wird damit aufgeweicht. Europäisches (und damit deutsches) Datenschutzrecht kann daher selbst dann gelten, wenn ein Cloud-Dienstleister ausschließlich vom Nicht-EU-Ausland aus und nur mit dortigen Servern personenbezogene Daten verarbeitet, soweit er Kunden im EWR seine Dienste anbietet.363
361 Vgl. Nägele/Jacobs, ZUM 2010, 281, 290; a. A. Niemann/Paul, K&R 2009, 444, 449; zu § 32 BDSG als Rechtfertigungsgrundlage im Arbeitsverhältnis vgl. Pötters, NZA 2013, 1055, 1058. 362 Vgl. BSI, Eckpunktepapier Sicherheitsempfehlungen für Cloud Computing Anbieter, Februar 2012, S. 73 f., abrufbar unter https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Mindestanforderungen/Eckpunktepapier-Sicherheitsempfehlungen-CloudComputing-Anbieter.pdf?__ blob=publicationFile. 363 Wagner/Blaufuß, BB 2012, 1751, 1752; Giurgiu, CCZ 2012, 226, 226 f.
Albrecht
176
Kapitel 4 Outsourcing datenschutzkonform ausgestalten
f) Datensicherheit
253 Das Thema Datensicherheit (Passwörter, anonyme Credentials, Sicherheitsintermedi-
äre etc.) wird in Kapitel 12 näher behandelt.
8. Bereichsspezifische Nutzung a) Nutzung durch die öffentliche Hand aa) Auslagerung in die Cloud durch Behörden 254 Aus dem Amtsgeheimnis nach § 30 VwVfG lässt sich folgern, dass Behörden solche Amtsgeheimnisse entweder gar nicht in die Cloud auslagern dürfen oder nur bei Einsatz angemessener Technologien zum Schutz der ausgelagerten Daten. Eine explizite Pflicht zur Verschlüsselung besteht allerdings nur für Finanzbehörden in Bezug auf die elektronische Übermittlung von Daten, die dem Steuergeheimnis unterliegen (§ 87a Abs. 1 S. 3 AO).364
bb) Gesundheitswesen und Sozialleistungen
255 Im gesetzlichen Gesundheitswesen sowie bei der Erbringung von Sozialleistungen
gilt gem. § 35 SGB I das Sozialgeheimnis. Dieses gilt auch intern, sodass die Sozialdaten nur Befugten, die mit den Sozialdaten umgehen müssen, zugänglich sein dürfen. Auf der Basis von Ziff. 4 der Anlage zu § 78a SGB X verlangt etwa der Hessische Datenschutzbeauftragte, dass eine Übermittlung von Sozialdaten nur verschlüsselt per E-Mail via Internet zulässig ist. Daher hat er die Sozialhilfeträger aufgefordert, Sozialdaten nicht unverschlüsselt per E-Mail zu übermitteln. Dies setzt bei der Auslagerung von Sozialdaten in die Cloud eine entsprechende Verschlüsselungstechnologie voraus.365
cc) Vergaberecht
256 Cloud Computing hat auch eine vergaberechtliche Dimension. Will ein öffentlicher
Auftraggeber Cloud-Dienste nutzen, handelt es sich um einen öffentlichen Auftrag, der öffentlich auszuschreiben ist und bei denen in der Regel das wirtschaftlichste Angebot den Vorzug erhalten muss. Fraglich ist aber, wie sich der Umstand auswirkt, dass Cloud-Dienstleistungen partiell auch im Wettbewerb zu anderen „klassischen” IT-Angeboten stehen.366 Beim Einkauf von Serverkapazitäten, Soft- oder Hardware kann etwa eine Gemeinde neben anderen nicht virtuellen Angeboten auch
364 Leupold/Glossner/Stögmüller, Teil 6 Rn 377 f. 365 33. Tätigkeitsbericht des Hessischen Datenschutzbeauftragten v. 31.12.2004, Nr. 5.9.3.; Leupold/ Glossner/Stögmüller, Teil 6 Rn 379. 366 Zum Vergaberecht Schulz, MMR 2010, 75, 79.
Albrecht
G. Outsourcing und Cloud Computing
177
die Nutzung virtualisierter Serverkapazitäten in einer Cloud in Betracht ziehen. Aufgrund des Gleichwertigkeitsgedankens müssen je nach Umständen des Einzelfalls auch Cloud-Angebote zugelassen werden, wobei datenschutzrechtliche Bedenken durch entsprechende vertragliche Vertragsklauseln abgemildert werden könnten.367 Sichert ein Anbieter von Cloud-Dienstleistungen z. B. zu, nur innereuropäische 257 Server zu nutzen, und schließt er Unterauftragsverhältnisse aus bzw. richtet diese ebenfalls an den strengen Vorgaben aus, bestehen keine rechtlichen Bedenken gegen den Einsatz in der öffentlichen Verwaltung, sodass Cloud-Anbieter aufgrund ihrer oftmals sicherlich wirtschaftlichsten Angebotsstruktur leichthin den Zuschlag erhalten könnten.
b) Berufsrecht, elektronische Handakte Hinsichtlich der berufsrechtlichen Verschwiegenheitspflichten und der Frage nach 258 der Gehilfenstellung gem. § 203 StGB gelten die bereits gemachten Ausführungen368 entsprechend. Die Verbringung in die Cloud scheint derzeit noch nicht ohne Weiteres zulässig, durch eine formell und materiell korrekte Auftragsdatenverarbeitung aber gestaltbar. Mit Einwilligung des Mandanten/Patienten einschließlich der Darlegung der mit dem Cloud Computing verbundenen Gefahren dürfte die Teilnahme am Cloud Computing in jedem Fall zuzulassen sein.369 Auch sind technische Lösungen denkbar, die eine Preisgabe von Patientendaten an den Cloud-Anbieter ausschließen, wie z. B. das Pseudonymisieren oder eine hochwertige technische Verschlüsselung.370 Die Einwilligung Dritter, deren Daten etwa in der anwaltlichen Handakte auftauchen, ist wegen der Sonderregelung in § 33 Abs. 2 Nr. 3 BDSG nicht erforderlich. Eine geeignete Verschlüsselung ist aber in jedem Fall zwingend.371
c) Finanzsektor, MaRisk Bank- und andere Finanzdienstleistungen sind nur sehr begrenzt in eine Cloud ausla- 259 gerbar. Neben § 25a KWG sind auch die Mindestanforderungen an das Risikomanagement (MaRisk) der BaFin372 zu beachten, die konkrete Vorgaben dazu enthalten, wie Banken ihre IT-Systeme im Hinblick auf Integrität, Verfügbarkeit, Authentizität sowie Vertraulichkeit aufzustellen haben. Da hier besondere Pflichten auch und gerade im Hinblick auf die Überwachung des Cloud-Providers gelten und aufgrund der Vielzahl
367 Vgl. dazu Schulz, MMR 2010, 75 ff., 79. 368 Vgl. Rn 72 ff. sowie Kap. 6 Rn 73. 369 Schwintowski, VersR 2012, 1325, 1329. 370 Buchner, MedR 2013, 337, 340; Hartung, VersR 2012, 401, 405 f. 371 Vgl. Wagner/Blaufuß, BB 2012, 1751, 1753. 372 Stand: 14.12.2012, abrufbar unter http://www.bafin.de/SharedDocs/Veroeffentlichungen/DE/ Rundschreiben/rs_1210_marisk_ba.html.
Albrecht
178
Kapitel 4 Outsourcing datenschutzkonform ausgestalten
an Kunden wird vom Einsatz von Cloud-Angeboten – zumindest bei Nutzung einer Public Cloud – in solchen Sonderfällen grundsätzlich abgeraten.373 Der Einsatz eines dediziert vereinbarten Rechenzentrums dürfte aber zulässig sein, genauso die Verwendung von Private Clouds oder spezialisierten Public Clouds.374
d) Versicherungsbranche 260 Für Versicherungsunternehmen gelten beim Outsourcing in die Cloud die gleichen Anforderungen wie außerhalb von Cloud-Services. Die Restriktionen des § 203 StGB sind genauso zu beachten wie diejenigen, die bei besonderen Arten personenbezogener Daten nach § 3 Abs. 9 BDSG eingreifen. e) Telekommunikation375
261 Ein Cloud-Anbieter ist in der Regel kein Diensteanbieter im Sinne des TKG. Denn es
fehlt an „Diensten“, die „ganz oder überwiegend” dem „Übertragen von Signalen über TK-Dienste” dienen. Der Cloud-Anbieter wird in den seltensten Fällen selbst Signale übertragen und wenn, dann ist diese Leistung nur eine Nebenleistung.376 Den Anbieter treffen daher weder telekommunikationsrechtliche Melde- noch 262 Datenschutz- und Geheimhaltungspflichten.377 Das TMG könnte dagegen eher auf einen Cloud Service Provider Anwendung 263 finden.378 Das BDSG ist neben den Bestimmungen des TMG allerdings weiterhin einschlägig, da das TMG nur das Verhältnis des Telemedienanbieters zum Nutzer regelt. Das Datenschutzrecht des TMG betrifft jedoch ausschließlich Bestandsdaten (z. B. Name, Adresse, Passwort, § 14 TMG) und Nutzungsdaten (z. B. IP-Adresse, § 15 TMG); insofern gehen die in den §§ 11 ff. TMG enthaltenen Datenschutzregelungen den Vorschriften des BDSG vor. Hinsichtlich Inhaltsdaten, die vom TMG nicht erfasst sind, bleibt das BDSG aber maßgeblich.379 Inhaltsdaten sind insbesondere solche perso-
373 Wagner/Blaufuß, BB 2012, 1751, 1754; Leupold/Glossner/Stögmüller, Teil 6 Rn 381. 374 Dazu Niemann/Paul, K&R 2009, 444, 451. 375 Zum Telekommunikationsrecht vgl. Kap. 6. 376 Heidrich/Wegener, MMR 2010, 803, 805 m. w. N. 377 Leupold/Glossner/von dem Bussche/Schelinski, Teil 1 Rn 404; Grünwald/Döpkens, MMR 2011, 287, 289; Schuster/Reichl, CR 2010, 38, 43; eingehend zur Eigenschaft als TKG-Anbieter sowie zur Meldepflicht nach § 6 Abs. 1 TKG von Cloud Service-Anbietern, insbesondere bei CaaS-Diensten vgl. Grünwald/Döpkens, MMR 2011, 287, 288 ff. 378 Vgl. dazu Kap. 6 sowie OLG Düsseldorf, Urt. v. 27.4.2010 – I-20 U 166/09 – MMR 2010, 483, 486. 379 Boos/Kroschwald/Wicker, ZD 2013, 205, 207.
Albrecht
G. Outsourcing und Cloud Computing
179
nenbezogenen Daten, die online übertragen werden, um ein durch einen Telemediendienst begründetes Leistungs- und Rechtsverhältnis zu erfüllen.380
380 Boos/Kroschwald/Wicker, ZD 2013, 205, 207 m. w. N. und Erläuterungen zur Einordnung unterschiedlicher XaaS-Cloud-Dienste.
Albrecht
Kapitel 5 Datenverarbeitung im (internationalen) Konzern A. Einwilligung, Rechtsvorschriften und Datenschutzrichtlinien (Betriebsvereinbarungen; BCR) I. Einwilligung, Betriebsvereinbarung und Rechtsvorschriften als Grundlage konzerninterner Datentransfers 1. Konzerninterner Austausch personenbezogener Daten: „Auftragsdatenverarbeitung“ oder „Übermittlung“ Für Konzerne und Unternehmensgruppen besteht im Rahmen ihrer geschäftlichen 1 Aktivitäten häufig in erheblichem Maße Bedarf, personenbezogene Daten – etwa von Mitarbeitern, Kunden, Lieferanten bzw. von Mitarbeitern von Kunden oder Lieferanten – unter den einzelnen gruppenangehörigen Gesellschaften auszutauschen. Den Hintergrund hiervon bilden meist Gründe der Arbeitsteilung und Konzentration von Arbeitsprozessen. Oft geht es dabei um eine vollständige oder partielle Zentralisierung der Personalverwaltung oder um konzernweite Zugriffe auf Daten von Beschäftigten für verschiedenste Geschäftszwecke im Rahmen von „Human Ressources“-Systemen.1 Häufig anzutreffen ist auch die Übermittlung von Beschäftigtendaten an die Muttergesellschaft zur dortigen Wahrnehmung typischer zentraler „Konzernzwecke“ wie z. B. zur Verwaltung konzernweiter Personalentwicklungs- oder Talentmanagement-Programme, zur Durchsetzung konzerneinheitlicher Entlohnungsgrundsätze u. v. m. Ein weiterer typischer Fall ist die „Teamarbeit“ unter Mitwirkung mehrerer konzernangehöriger Gesellschaften im Rahmen konkreter Projekte.2 Sofern für die entsprechenden Arbeitsprozesse – wie sehr häufig – personenbe- 2 zogene Daten benötigt werden, wird die Frage virulent, inwieweit diese Daten unter den gruppenangehörigen Gesellschaften übermittelt werden dürfen. Insbesondere die Übermittlung von Beschäftigtendaten innerhalb einer Unternehmensgruppe besitzt daher in der Praxis von Unternehmensgruppen erhebliche Bedeutung.3 Laut § 2 Abs. 4 BDSG sind einzelne juristische Personen, Personengesellschaften 3 und andere Rechtsträger, sofern sie Daten zu eigenen Zwecken erheben, nutzen oder verarbeiten, jeweils als eigenständige Stellen und damit als eigenständige „verantwortliche Stellen“ i. S. v. § 3 Abs. 7 BDSG anzusehen. Einzelne verantwortliche Stellen sind gem. § 3 Abs. 8 S. 2 BSDG im Verhältnis zueinander grundsätzlich „Dritte“. Eine Ausnahme besteht gem. § 3 Abs. 8 S. 3 BDSG lediglich für die Einschaltung von Auf-
1 Gola/Wronka, Rn 800. 2 Zu diesen und weiteren Beispielfällen vgl. Schmidl, DuD 2009, 364, 365. 3 Vgl. auch Simitis/Seifert, § 32 Rn 116.
Filip
182
Kapitel 5 Datenverarbeitung im (internationalen) Konzern
tragsdatenverarbeitern in Staaten des Europäischen Wirtschaftsraums; diese gelten gegenüber der verantwortlichen Stelle nicht als „Dritte“. Konsequenz dieser Rechtslage ist, dass außer im Falle der Einschaltung von Auf4 tragsdatenverarbeitern im Europäischen Wirtschaftsraum4 die Weitergabe personenbezogener Daten aus dem Inland an einen anderen Rechtsträger – selbst innerhalb desselben Konzerns – gem. § 3 Abs. 4 S. 1 und S. 2 Nr. 3 BDSG eine „Übermittlung“ und somit eine „Verarbeitung“ personenbezogener Daten darstellt.5 Damit ist auf den Datentransfer § 4 Abs. 1 BDSG anzuwenden. Laut § 4 Abs. 1 BDSG dürfen personenbezogene Daten nur übermittelt werden, wenn dies durch eine Rechtsvorschrift erlaubt oder angeordnet wird oder der Betroffene eingewilligt hat. Der Umstand, dass das datenübermittelnde und das datenempfangende Unternehmen demselben Konzern angehören, führt zu keiner anderen rechtlichen Bewertung. Das BDSG und die EUDatenschutzrichtlinie kennen mithin keine Erleichterungen für die Übermittlung personenbezogener Daten an Empfänger innerhalb desselben Konzerns im Vergleich zu sonstigen Übermittlungen. Dieser Befund wird üblicherweise unter dem Schlagwort zusammengefasst, wonach das europäische Datenschutzrecht „kein Konzernprivileg“ kenne.6 Zu beachten ist, dass schon die Einräumung einer Möglichkeit zum Einsehen 5 oder zum Abruf personenbezogener Daten an eine andere Gesellschaft gem. § 3 Abs. 4 S. 2 Nr. 3 Buchst. b BDSG zu einer Übermittlung personenbezogener Daten führt, sobald die andere Gesellschaft die Daten tatsächlich zu eigenen Zwecken (§ 3 Abs. 7 BDSG) einsieht oder abruft. Dies ist z. B. der Fall, wenn innerhalb eines Konzerns andere Konzerngesellschaften auf eine Datenbank zugreifen können, die bei einer bestimmten Konzerngesellschaft geführt wird.7 Die Übermittlung personenbezogener Daten ist zu unterscheiden von der Auf6 tragsdatenverarbeitung i. S. v. § 11 BDSG. Ein Auftragsdatenverarbeiter im Inland oder einem Staat des Europäischen Wirtschaftsraums ist gegenüber dem Auftraggeber kein „Dritter“,8 der Datentransfer an einen solchen Auftragsdatenverarbeiter ist daher gerade keine Datenübermittlung i. S. d. § 3 Abs. 4 S. 2 Nr. 3 BDSG.9 Daher ist hierfür keine Rechtsgrundlage gem. § 4 Abs. 1 BDSG (Einwilligung oder Rechtsvorschrift) erforderlich, vielmehr sind lediglich die Anforderungen des § 11 BDSG zu
4 Der Europäische Wirtschaftsraum (EWR) besteht aus den Mitgliedstaaten der Europäischen Union sowie Island, Liechtenstein und Norwegen, vgl. das Abkommen über den Europäischen Wirtschaftsraum, ABl. L 1 v. 3.1.1994, S. 3–522. 5 Däubler, Rn 450; Simitis/Simitis, § 2 Rn 142; Gola/Schomerus, § 3 Rn 55. 6 Gola/Schomerus, § 2 Rn 21; Simitis/Seifert, § 32 Rn 116; Simitis/Simitis, § 2 Rn 143 ff.; Däubler, Rn 451; Schmidl, DuD 2009, 364, 366; Arbeitsbericht der Ad-hoc-Arbeitsgruppe „Konzerninterner Datentransfer“ der deutschen Datenschutzbehörden (sog. Darmstädter Papier), Nr. 1 und 3.2. 7 Vgl. auch Rn 62. 8 Rn 3. 9 Vgl. Rn 4.
Filip
A. Einwilligung, Rechtsvorschriften und Datenschutzrichtlinien
183
erfüllen. Somit erlaubt die Auftragsdatenverarbeitung die Weitergabe personenbezogener Daten unter erleichterten materiellen Voraussetzungen („Privilegierung“ der Auftragsdatenverarbeitung10). Vor diesem Hintergrund besitzt die Abgrenzung zwischen Auftragsdatenverar- 7 beitung und Datenübermittlung eine entscheidende praktische Bedeutung gerade auch für den Datenaustausch unter konzernangehörigen Gesellschaften. Zwar sind Fälle der Auftragsdatenverarbeitung – auch innerhalb von Konzernen – in der Praxis häufig anzutreffen. Allerdings kann keineswegs gesagt werden, dass die Auftragsdatenverarbeitung der häufigere oder gar der Regelfall wäre. Die Auftragsdatenverarbeitung muss insbesondere von der sog. Funktionsübertragung abgegrenzt werden, mit der sie in der Praxis – jedenfalls in den meisten Fällen – auch nicht beliebig austauschbar ist. Allerdings mag es auch einige Fälle geben, in denen die beteiligten Unternehmen einen gewissen Spielraum haben, eine bestimmte Weitergabe personenbezogener Daten entweder als Auftragsdatenverarbeitung oder aber als Funktionsübertragung auszugestalten.11 Auftragsdatenverarbeitung i. S. v. § 11 BDSG zeichnet sich dadurch aus, dass 8 sich der Auftraggeber – d. h. die verantwortliche Stelle i. S. v. § 3 Abs. 7 BDSG – einer anderen Stelle bedient, die gemäß den Vorgaben des Auftraggebers für Letzteren personenbezogene Daten erhebt, verarbeitet oder nutzt.12 Nach der früher wohl herrschenden Meinung soll Auftragsdatenverarbeitung im Wesentlichen nur in Betracht kommen, wenn lediglich datenverarbeitungstechnische Unterstützungs- bzw. Hilfsdienste ausgelagert werden.13 Der Dienstleister dürfe beim Umgang mit den personenbezogenen Daten keinerlei inhaltlichen Bewertungs- oder Ermessensspielraum haben.14 Wird dagegen nicht nur die Datenverarbeitung als solche ausgelagert, sondern auch die Funktion bzw. Aufgabe, zu deren Wahrnehmung die Datenverarbeitung dient, handele es sich nicht mehr um Auftragsdatenverarbeitung, sondern um eine sog. Funktionsübertragung und damit um eine Datenübermittlung.15 Inzwischen gibt es jedoch gewichtige Stimmen, die der Auftragsdatenverarbei- 9 tung einen etwas größeren Anwendungsbereich einräumen: Der Auftragsdatenverarbeiter dürfe durchaus einen gewissen – begrenzten – Gestaltungsspielraum besitzen, sofern vertraglich seine strenge Unterworfenheit unter die Weisungen
10 Simitis/Petri, § 11 Rn 43. 11 So auch Gola/Wronka, Rn 272; Arbeitsbericht der Ad-hoc-Arbeitsgruppe „Konzerninterner Datentransfer“ der deutschen Datenschutzbehörden, Nr. 6.2, im Falle von Auslagerung/Zentralisierung von Diensten bzw. Aufgaben der Personalverwaltung. 12 Gola/Wronka, Rn 262. 13 Ähnlich Simitis/Petri, § 11 Rn 22. 14 Gola/Schomerus, § 11 Rn 9; Simitis/Petri, § 11 Rn 20; so auch die Meinung eines Teils der deutschen Datenschutzbehörden im Jahr 2007, vgl. Arbeitsbericht der Ad-hoc-Arbeitsgruppe „Konzerninterner Datentransfer“ der deutschen Datenschutzbehörden, S. 4. 15 Gola/Wronka, Rn 267 f.; Gola/Schomerus, § 11 Rn 9; Simitis/Petri, § 11 Rn 22.
Filip
184
Kapitel 5 Datenverarbeitung im (internationalen) Konzern
des Auftraggebers geregelt ist.16 Diese Auffassung verdient Zustimmung, da eine Beschränkung der Rechtsfigur der Auftragsdatenverarbeitung auf bloße datenverarbeitende Hilfsdienste wohl weder dem BDSG noch der EG-Datenschutzrichtlinie zu entnehmen ist.17 Zudem sind die Betroffenen ausreichend geschützt, wenn die umfassende Weisungsbindung des Dienstleisters eindeutig vertraglich geregelt ist und damit die alleinige Verantwortung des Auftraggebers für den Datenumgang erhalten bleibt. Unter der Voraussetzung strenger Weisungsbindung ist daher davon auszugehen, dass nicht nur datenverarbeitungstechnische (Hilfs-)Dienste im Wege der Auftragsdatenverarbeitung ausgegliedert werden können, sondern zumindest in begrenztem Umfang auch weisungsgebundene Hilfsleistungen anderer Art wie z. B. die Organisation von Dienstreisen oder Versetzungen.18 Bei der Funktionsübertragung wird im Unterschied zur Auftragsdatenverar10 beitung nicht lediglich die Datenverarbeitung (ggf. verbunden mit einer begrenzten Hilfsleistung anderer Art) an eine andere Gesellschaft ausgelagert, sondern eine gesamte Aufgabe bzw. Funktion zur eigenverantwortlichen Wahrnehmung übertragen.19 Die personenbezogenen Daten werden zum Zwecke der Wahrnehmung dieser Funktion an den „Funktionsübernehmer“ transferiert. Letzterer agiert aufgrund seiner Eigenverantwortlichkeit als verantwortliche Stelle i. S. v. § 3 Abs. 7 BDSG und damit als „Dritter“ im datenschutzrechtlichen Sinne (§ 3 Abs. 8 S. 2 BDSG). Daher stellt der Datentransfer an ihn – im Unterschied zur Auftragsdatenverarbeitung – eine Übermittlung personenbezogener Daten i. S. v. § 3 Abs. 4 S. 2 Nr. 3 BDSG dar.20 Eine allein unter § 11 BDSG einzuordnende Auftragsdatenverarbeitung scheidet 11 ferner dann aus, wenn die Daten zum Zweck der Auftragsdatenverarbeitung an einen Datenempfänger außerhalb des Europäischen Wirtschaftsraums – mithin in einen sog. Drittstaat21 – transferiert werden. Denn Auftragsdatenverarbeiter außerhalb des
16 Vgl. das Papier „Auftragsdatenverarbeitung nach § 11 BDSG – Gesetzestext mit Erläuterungen“ des BayLDA, S. 2 unten, abrufbar unter http://www.lda.bayern.de/lda/datenschutzaufsicht/lda_daten/ auftragsdatenverarbeitung.pdf; Taeger/Gabel/Gabel, § 11 Rn 17; Sutschet, RDV 2004, 97, 102; Räther, DuD 2005, 461, 465; in dieselbe Richtung bereits die Meinung einiger Datenschutzaufsichtsbehörden im Arbeitsbericht der Ad-hoc-Arbeitsgruppe „Konzerninterner Datentransfer“, S. 4 unten. 17 Taeger/Gabel/Gabel, § 11 Rn 15; Sutschet, RDV 2004, 97, 100; Räther, DuD 2005, 461, 465. 18 Papier „Auftragsdatenverarbeitung nach § 11 BDSG – Gesetzestext mit Erläuterungen“ des BayLDA, S. 2 unten, abrufbar unter http://www.lda.bayern.de/lda/datenschutzaufsicht/lda_daten/auftragsdatenverarbeitung.pdf. 19 Gola/Schomerus, § 11 Rn 9; Simitis/Petri, § 11 Rn 22; Überblick über die unterschiedlichen vertretenen Ansätze zur Abgrenzung zwischen Auftragsdatenverarbeitung und Funktionsübertragung bei Taeger/Gabel/Gabel, § 11 Rn 14. 20 Vgl. Rn 6. 21 Unter „Drittstaaten“ versteht man alle Staaten außerhalb des Europäischen Wirtschaftsraums (vgl. § 4b Abs. 2 S. 1 i. V. m. Abs. 1 BDSG, wo die für das BDSG entscheidende Differenzierung zwischen Übermittlungen an Stellen innerhalb des EWR und Übermittlungen an Stellen außerhalb des EWR getroffen wird).
Filip
A. Einwilligung, Rechtsvorschriften und Datenschutzrichtlinien
185
EWR, die Daten aus dem Inland erhalten, gelten gemäß einem Umkehrschluss aus § 3 Abs. 8 S. 3 BDSG kraft Gesetzes als „Dritte“.22 Obwohl es bei solchen Datentransfers „in der Sache“ um Auftragsdatenverarbeitung geht, liegen daher Datenübermittlungen vor, sodass (auch) die gesetzlichen Anforderungen an Übermittlungen erfüllt werden müssen. Allerdings sind in diesem Fall – nicht zuletzt nach Auffassung der deutschen Datenschutzbehörden – zusätzlich auch die Anforderungen des § 11 BDSG an die Auftragsdatenverarbeitung jedenfalls entsprechend anzuwenden.23 Praxistipp Bei jedem Transfer personenbezogener Daten an eine andere Konzerngesellschaft muss zunächst geklärt werden, ob es sich um Auftragsdatenverarbeitung oder um eine Übermittlung handelt.
2. Beispiele und Grenzen der Auftragsdatenverarbeitung im Konzern a) Konzernweites Rechenzentrum Häufig findet in Konzernen eine Zentralisierung von Datenverarbeitungs- bzw. IT- 12 Dienstleistungen bei einem bestimmten Konzernunternehmen statt. Sofern lediglich technisch geprägte Datenverarbeitungs-(Hilfs-)Dienste ausgelagert werden, wird man Auftragsdatenverarbeitung annehmen können.24 Allerdings ist stets anhand der konkreten Gegebenheiten zu prüfen, ob bei genauer Betrachtung zusätzlich zu bloßen Rechenzentrums- bzw. Datenverarbeitungs-Dienstleistungen auch bestimmte Funktionen ausgelagert werden sollen. Gerade in den sehr praxisrelevanten Fällen der konzernweiten Zentralisierung der Speicherung von Personaldaten bei der Muttergesellschaft wird die Muttergesellschaft häufig neben der bloßen technischen Durchführung der Speicherung auch eigene Zwecke (häufig zentrale Konzernleitungszwecke) verfolgen; in solchen Fällen ist der Rahmen einer Auftragsdatenverarbeitung überschritten und es liegt eine Funktionsübertragung vor.25
b) Personalverwaltung, Personalinformationssysteme Bisweilen ist in datenschutzrechtlichen Veröffentlichungen davon die Rede, dass Auf- 13 gaben der Personalverwaltung nicht nur im Wege der Funktionsübertragung, sondern auch als Auftragsdatenverarbeitung auf eine andere konzernangehörige Gesellschaft ausgelagert werden könnten.26 Diese Aussage ist zumindest missverständlich:
22 Näheres zu diesem Fall unter Rn 21, 22. 23 Rn 22. 24 Gola/Wronka, Rn 806; Simitis/Simitis, § 2 Rn 151; Gola/Schomerus, § 11 Rn 6; Sutschet, RDV 2004, 97. 25 Näher dazu sogleich unter Rn 13. 26 Arbeitsbericht der Ad-hoc-Arbeitsgruppe „Konzerninterner Datentransfer“ der deutschen Datenschutzbehörden, Nr. 2 und Nr. 6.2.
Filip
186
Kapitel 5 Datenverarbeitung im (internationalen) Konzern
Denn die Gestaltung als Auftragsdatenverarbeitung kommt nur in Betracht, wenn unzweifelhaft ist, dass der Arbeitgeber, der die Daten seiner Beschäftigten an eine andere Konzerngesellschaft transferiert, in vollem Umfang zuständig für die betreffenden (Personal-)Entscheidungen bleibt; ansonsten liegt eine Funktionsübertragung vor.27 Sorgfältiger Betrachtung bedürfen vor allem die sehr praxisrelevanten Fälle, in denen Beschäftigtendaten aller Konzerngesellschaften zentral an die Konzernmuttergesellschaft fließen sollen. Wenn die Muttergesellschaft ein Rechenzentrum betreibt, in welchem die Beschäftigtendaten für den gesamten Konzern gespeichert werden sollen, kann zwar auf den ersten Blick an Auftragsdatenverarbeitung gedacht werden. Häufig möchte die Muttergesellschaft jedoch bestimmte Daten darüber hinausgehend auch für bestimmte eigene Zwecke bzw. für typische zentrale Konzernlenkungszwecke verwenden. So dient die Zentralisierung der Vorhaltung bestimmter Datenbestände im Konzern häufig Zwecken der einheitlichen Leitung des Konzerns, wie z. B. einem einheitlichen Personalmanagement oder der übergeordneten Kontrolle der Geschäftstätigkeit der konzernangehörigen Gesellschaften durch die Muttergesellschaft.28 In solchen Fällen liegt die Entscheidung über die Zwecke der Datenverarbeitung gerade nicht mehr bei den einzelnen Gesellschaften, die die Daten an die Muttergesellschaft transferiert haben, sondern bei der Muttergesellschaft. Es liegt daher keine Auftragsdatenverarbeitung vor, sondern jeweils Datenübermittlungen, die gem. § 4 Abs. 1 BDSG nur zulässig sind, wenn sie auf eine Rechtsvorschrift oder auf Einwilligungen gestützt werden können.29 Um einen solchen Fall handelt es sich häufig auch bei der Einführung konzernweiter Personalinformationssysteme bzw. -datenbanken.30 Praxistipp Im Falle der Zentralisierung der Verarbeitung insbesondere von Beschäftigtendaten im Konzern ist in jedem Einzelfall zu prüfen, ob es sich um Auftragsdatenverarbeitung oder bereits um Funktionsübertragung handelt. Gerade in Fällen der Zentralisierung bei der Muttergesellschaft wird häufig Funktionsübertragung vorliegen. Eine vorschnelle Annahme von Auftragsdatenverarbeitung verbietet sich daher.
27 Gola/Schomerus, § 11 Rn 9; Arbeitsbericht der Ad-hoc-Arbeitsgruppe „Konzerninterner Datentransfer“ der deutschen Datenschutzbehörden, Nr. 2. 28 So zu Recht Gola/Wronka, Rn 806. 29 Rn 4; vgl. auch Gola/Wronka, Rn 807. 30 Hamburgischer Datenschutzbeauftragter, 18. Tätigkeitsbericht 2000/2001, Nr. 28.1, abrufbar unter https://www.datenschutz-hamburg.de/uploads/media/18._Taetigkeitsbericht_2000-2001.pdf; Hessische Landesregierung, 13. Bericht über die Tätigkeit der für den Datenschutz im nicht-öffentlichen Bereich zuständigen Aufsichtsbehörden, Nr. 10.2, abrufbar unter http://www.datenschutz.hessen.de/ taetigkeitsberichte.htm; Taeger/Gabel/Gabel, § 11 Rn 23.
Filip
A. Einwilligung, Rechtsvorschriften und Datenschutzrichtlinien
187
c) Lohn- und Gehaltsabrechnung Häufig wird in Konzernen die Erstellung der Lohn- und Gehaltsabrechnungen an eine 14 bestimmte Konzerngesellschaft delegiert. Man wird dies in der Regel als Fall der Auftragsdatenverarbeitung einstufen können. Dies dürfte nicht nur dann gelten, wenn lediglich die hierfür erforderlichen datenverarbeitungstechnischen Arbeiten ausgelagert werden; vielmehr dürfte es möglich sein, auch noch die Errechnung der Löhne bzw. Gehälter entsprechend den anwendbaren Tarifverträgen, die Erstellung entsprechender Steuererklärungen und die Auszahlung der Löhne und Gehälter als Auftragsdatenverarbeitung zu gestalten. Denn der Ermessens- oder Gestaltungsspielraum des Dienstleisters ist in diesen Fällen typischerweise sehr begrenzt, sodass der Rahmen einer Auftragsdatenverarbeitung nicht überschritten wird.31
d) Werkschutz Bei Ausgliederung des Werkschutzes kann eine vom Werkschutz betriebene Video- 15 überwachung des Betriebsgeländes entweder als Auftragsdatenverarbeitung oder aber als Funktionsübertragung gestaltet werden.32
e) Kundenbetreuung durch konzerneigenes Call-Center Auch in diesem Fall wird eine Gestaltung als Auftragsdatenverarbeitung in aller 16 Regel möglich sein. Problemlos ist dies jedenfalls dann der Fall, wenn das Call-Center keinen größeren eigenen Ermessens- und Bewertungsspielraum besitzt, sondern einen ausdifferenzierten, vorgegebenen Entscheidungsbaum zu befolgen hat.33 Nach oben Gesagtem kann Auftragsdatenverarbeitung aber auch noch angenommen werden, wenn das Call-Center in bestimmten Fragen gewisse, insgesamt jedoch begrenzte Entscheidungsspielräume besitzt, sofern es vertraglich unmissverständlich zur umfassenden Befolgung der Weisungen des jeweiligen Auftraggebers verpflichtet ist.34
31 Breinlinger, RDV 1995, 211, 213; Taeger/Gabel/Gabel, § 11 Rn 19; Arbeitsbericht der Ad-hoc-Arbeitsgruppe „Konzerninterner Datentransfer“ der deutschen Datenschutzbehörden, Nr. 2; a. A. Simitis/ Simitis, § 2 Rn 155. 32 Gola/Wronka, Rn 805. 33 Arbeitsbericht der Ad-hoc-Arbeitsgruppe „Konzerninterner Datentransfer“ der deutschen Datenschutzbehörden, Nr. 2. 34 Vgl. Rn 9; Papier „Auftragsdatenverarbeitung nach § 11 BDSG – Gesetzestext mit Erläuterungen“ des BayLDA, S. 2 unten, abrufbar unter http://www.lda.bayern.de/lda/datenschutzaufsicht/lda_ daten/auftragsdatenverarbeitung.pdf.
Filip
188
Kapitel 5 Datenverarbeitung im (internationalen) Konzern
f) Reisemanagement und Reisekostenabrechnung
17 Auch bei diesem Service handelt es sich um Dienstleistungen, die über bloße daten-
verarbeitungstechnische Hilfsdienste hinausgehen, da z. B. Verkehrsmittel und Hotelzimmer zu buchen sind, Auslagen entsprechend einschlägiger Erstattungsregelungen zu erstatten sind usw. Sofern eine klare Unterwerfung unter die Weisungen des jeweiligen Arbeitgebers vorliegt, wird man allerdings die Gestaltung als Auftragsdatenverarbeitung akzeptieren können.35
g) Grenzen der Auftragsdatenverarbeitung im Konzern
18 Zusammenfassend ergeben sich für die Möglichkeit der Gestaltung konzerninterner
Datenflüsse als Auftragsdatenverarbeitung Grenzen in mehrerlei Hinsicht: Keine Auftragsdatenverarbeitung liegt vor, wenn nicht nur die datenverarbeitungstechnische Durchführung von Diensten ausgelagert wird, ggf. verbunden mit einem begrenzten Ermessensspielraum bei strenger Weisungsunterworfenheit,36 sondern darüber hinaus die zugrunde liegende Aufgabe als solche zur eigenverantwortlichen Wahrnehmung übertragen wird („Funktionsübertragung“). In solchen Fällen liegt eine Datenübermittlung i. S. v. § 3 Abs. 4 S. 2 Nr. 3 BDSG vor. Werden z. B. in einem Konzern Produktion und Vertrieb auf verschiedene konzernangehörige Gesellschaften aufgeteilt, handelt es sich um Funktionsübertragung.37 Datenübermittlungen i. S. v. § 3 Abs. 4 S. 2 Nr. 3 DBSG liegen ferner vor, wenn die 20 datenempfangende Konzerngesellschaft die Daten für originär eigene Zwecke verwenden möchte. Dies ist etwa der Fall, wenn die datenempfangende Konzernmuttergesellschaft die Daten für zentrale Konzernzwecke verwendet, insbesondere zur einheitlichen Leitung des Konzerns, etwa zur Durchsetzung konzerneinheitlicher Leitlinien für Personalführung oder Entlohnung usw.38 Von Übermittlung auszugehen ist daher auch beim Austausch von Kundendaten zwischen konzernangehörigen Unternehmen für Zwecke des sog. Cross-Sellings, da hierbei das empfangende Unternehmen ein originäres Eigeninteresse an der Datenverwendung hat.39 „Reine“ Auftragsdatenverarbeitung i. S. v. § 11 BDSG scheidet ferner dann aus, 21 wenn die Daten an Datenempfänger in Staaten außerhalb des Europäischen Wirtschaftsraumes („Drittstaaten“) fließen. Denn gem. § 3 Abs. 8 S. 3 BDSG sind solche Datenempfänger auch dann „Dritte“, wenn sie in der Sache Auftragsdatenverarbeitung betreiben. Daher stellen solche Datentransfers stets Übermittlungen dar (§ 3 19
35 Papier „Auftragsdatenverarbeitung nach § 11 BDSG – Gesetzestext mit Erläuterungen“ des BayLDA, S. 2 unten, abrufbar unter http://www.lda.bayern.de/lda/datenschutzaufsicht/lda_daten/ auftragsdatenverarbeitung.pdf. 36 Rn 9. 37 Simitis/Simitis, § 2 Rn 154; Gola/Wronka, Rn 807. 38 Rn 13. 39 Taeger/Gabel/Gabel, § 11 Rn 23.
Filip
A. Einwilligung, Rechtsvorschriften und Datenschutzrichtlinien
189
Abs. 4 S. 2 Nr. 3 BDSG).40 In solchen Fällen müssen daher die Voraussetzungen an Datenübermittlungen erfüllt werden, d. h. – zum einen ist für die Übermittlung eine Rechtsgrundlage gem. § 4 Abs. 1 BDSG (Einwilligung oder Rechtsvorschrift) erforderlich (sog. erste Stufe der Datenübermittlung41); – zusätzlich müssen die spezifischen für den Datenexport in Drittstaaten geltenden Voraussetzungen der §§ 4b, 4c BDSG erfüllt werden (angemessenes Datenschutzniveau gem. § 4b Abs. 2, Abs. 3 BDSG oder ein Ausnahmetatbestand gem. § 4c Abs. 1 BDSG oder ausreichende Datenschutzgarantien gem. § 4c Abs. 2 BDSG; sog. zweite Stufe der Datenübermittlung42). Sofern ein Transfer personenbezogener Daten in einen Drittstaat zum Zweck der 22 Auftragsverarbeitung erfolgt, gelten – obwohl es sich formal nach § 3 Abs. 4 S. 2 Nr. 3 BDSG um eine Übermittlung handelt – nach Auffassung der deutschen Datenschutzaufsichtsbehörden zusätzlich auch die Anforderungen des § 11 BDSG zumindest in entsprechender Anwendung. Denn die in § 11 BDSG geregelten Anforderungen an die Auftragsdatenverarbeitungen dienen dem Schutz der Betroffenen; bei einer Nichtanwendung des § 11 BDSG stünden die Betroffenen beim Datentransfer zwecks Auftragsdatenverarbeitung in einen Drittstaat daher zumindest teilweise schlechter als bei „echter“ (d. h. im EWR stattfindender) Auftragsdatenverarbeitung.43 Somit müssen in diesen Fällen sowohl die Anforderungen an Datenübermittlungen in Drittstaaten als auch diejenigen des § 11 BDSG erfüllt werden. Praxistipp Beim Datentransfer zwecks Auftragsdatenverarbeitung in einen Nicht-EWR-Staat handelt es sich (auch) um eine Übermittlung. Daher ist hierfür stets eine Rechtsgrundlage erforderlich. Zusätzlich gelten die Anforderungen des § 11 BDSG zumindest entsprechend.
3. Konzerninterne Übermittlungen personenbezogener Daten Weiter oben wurde bereits festgestellt, dass außer im Falle von Auftragsdatenverar- 23 beitung jeder Transfer personenbezogener Daten an eine andere Gesellschaft inner-
40 Rn 11; Gola/Schomerus, § 11 Rn 16. 41 Vgl. Rn 26. 42 Vgl. Rn 26. 43 Hessische Landesregierung, 19. Tätigkeitsbericht über die Tätigkeit der für den Datenschutz im nicht-öffentlichen Bereich in Hessen zuständigen Aufsichtsbehörden, Nr. 11, abrufbar unter http:// www.datenschutz.hessen.de/taetigkeitsberichte.htm; vgl. auch Papier „Abgleich der Vorgaben des neuen § 11 BDSG mit denen der neuen und alten EU Standardvertragsklauseln/Auftragsdatenverarbeitung“, abrufbar unter http://www.lda.bayern.de/lda/datenschutzaufsicht/lda_daten/Abgleich_ Standardvertragsklauseln-11.pdf.
Filip
190
Kapitel 5 Datenverarbeitung im (internationalen) Konzern
oder außerhalb des EWR, selbst innerhalb desselben Konzerns, eine Übermittlung und somit eine Verarbeitung personenbezogener Daten darstellt.44 Damit dürfen konzerninterne Datenübermittlungen an andere Gesellschaften gem. § 4 Abs. 1 BDSG nur mit Einwilligung der Betroffenen oder auf Grundlage einer Rechtsvorschrift erfolgen, die die Übermittlung erlaubt oder anordnet. Sofern personenbezogene Daten aus Deutschland an einen Datenempfänger in 24 einem Drittstaat transferiert werden, handelt es sich – wie oben dargestellt45 – wegen § 3 Abs. 8 S. 3 und Abs. 4 S. 2 Nr. 3 BDSG sogar dann um eine Übermittlung, wenn der Transfer zum Zwecke der Auftragsdatenverarbeitung erfolgt. Auch in diesen Fällen ist daher der Datentransfer gem. § 4 Abs. 1 BDSG (zusätzlich zur zumindest entsprechenden Geltung der Anforderungen des § 11 BDSG46) nur mit Einwilligung oder aufgrund einer Rechtsvorschrift zulässig. Praxistipp Für jede Datenübermittlung i. S. v. § 3 Abs. 4 S. 2 Nr. 3 BDSG an eine andere konzernangehörige Gesellschaft besteht die Herausforderung, dass eine Einwilligung des Betroffenen oder eine Rechtsvorschrift erforderlich ist, um die Übermittlung zu legitimieren. Es ist Aufgabe des übermittelnden Unternehmens – als „verantwortliche Stelle“ im datenschutzrechtlichen Sinne –, im konkreten Fall zu prüfen, ob die Übermittlung auf eine Rechtsvorschrift gestützt werden kann bzw. anderenfalls entsprechende (rechtswirksame!) Einwilligungen der Betroffenen einzuholen. Bei Bedarf ist interner oder externer (datenschutz-)rechtlicher Rat einzuholen, etwa durch Einschaltung der Rechtsabteilung und/oder des Datenschutzbeauftragten. Auch eine Beratungsanfrage an die Datenschutzaufsichtsbehörde wäre ggf. in Erwägung zu ziehen. 25 Eine verantwortliche Stelle innerhalb des EWR, die personenbezogene Daten an eine
Stelle in einem Drittstaat ohne angemessenes Datenschutzniveau transferiert, wird in den EU-Standardvertragsklauseln als Datenexporteur bezeichnet, die im unsicheren Drittstaat ansässige datenempfangende Stelle als Datenimporteur.47 Die Begriffe „Datenexporteur“ und „Datenimporteur“ werden im vorliegenden Kapitel in diesem Sinne verwendet. Bei einem Datenimporteur, der die Daten zum Zwecke der Auftragsdatenverarbeitung erhält, spricht man gemäß der Begrifflichkeit der EU-Standard-
44 Rn 4. 45 Rn 11. 46 Rn 22. 47 Art. 3 Buchst. c und d der Entscheidung der Kommission Nr. 2001/497/EG v. 15.6.2001 – K(2001) 1539; Begriffsbestimmungen b und c unter Anhang II der Entscheidung der Kommission Nr. 2004/915/ EG v. 27.12.2004 – K(2004) 5271; Art 3 Buchst. c und d des Beschlusses der Kommission Nr. 2010/87/EU v. 5.2.2012 – K(2010) 593.
Filip
A. Einwilligung, Rechtsvorschriften und Datenschutzrichtlinien
191
vertragsklauseln von einem „Processor“.48 Erhält der Datenimporteur die Daten für eigene Zwecke, ist er hingegen „Controller“.49 Bei jeder Übermittlung personenbezogener Daten aus dem Inland an einen Emp- 26 fänger in einem Drittstaat (Controller oder Processor) muss eine datenschutzrechtliche Zwei-Stufen-Prüfung durchgeführt werden:50 – zum einen sind die an Übermittlungen im Inland (oder innerhalb des EWR) gestellten Anforderungen gem. § 4 Abs. 1, §§ 28 ff. BDSG zu erfüllen (sog. erste Stufe des Umgangs mit personenbezogenen Daten); – zusätzlich sind die Anforderungen der § 4b Abs. 2 bis 6, § 4c BDSG zu erfüllen (sog. zweite Stufe des Datenumgangs). Nach alledem lassen sich Transfers personenbezogener Daten aus dem Inland an 27 andere Konzerngesellschaften in folgende vier Kategorien aufteilen: – Datentransfers zwecks Auftragsdatenverarbeitung an Empfänger im Inland bzw. im EWR: Es gilt § 11 BDSG; – echte Übermittlungen i. S. v. § 3 Abs. 4 S. 2 Nr. 3 BDSG aus dem Inland an andere konzernangehörige Gesellschaften im Inland bzw. im EWR: Hierfür müssen die Voraussetzungen gem. §§ 4 Abs. 1, 28 ff. BDSG erfüllt werden; – echte Übermittlungen aus dem Inland an konzernangehörige Gesellschaften in Drittstaaten zu deren eigenen Zwecken (d. h. an einen „Controller“): Hierfür gelten die §§ 4 Abs. 1, 28 ff. BDSG und zusätzlich §§ 4b, 4c BDSG; – Datentransfers aus dem Inland zwecks Auftragsdatenverarbeitung an Empfänger in Drittstaaten (d. h. an einen „Processor“): Es gelten die §§ 4 Abs. 1, 28 ff. BDSG, die §§ 4b, 4c BDSG und zusätzlich (jedenfalls in entsprechender Anwendung) § 11 BDSG. Sofern kein Fall der Auftragsdatenverarbeitung im EWR vorliegt, stellt sich für Kon- 28 zerne somit die Frage, mithilfe welcher rechtlichen Instrumente Übermittlungen personenbezogener Daten aus dem EWR an konzernangehörige Gesellschaften (im EWR sowie ggf. außerhalb des EWR) jeweils auf die gem. § 4 Abs. 1 BDSG erforderliche Rechtsgrundlage (Einwilligung oder Rechtsvorschrift) gestellt werden können. Im Folgenden werden die einzelnen hierfür in Betracht kommenden Rechtsinstrumente näher untersucht. Unter anderem gerät dabei, jedenfalls im Hinblick auf Beschäftigtendaten, auch das Instrument der Betriebsvereinbarung ins Blickfeld, da
48 Dies ist die englische Bezeichnung für einen Auftragsdatenverarbeiter, vgl. Klausel 1 Buchstabe c der Kommissionsentscheidung Nr. 2010/87/EU v. 5.2.2010 in der englischen Sprachfassung. 49 Dies ist die englische Bezeichnung für eine verantwortliche Stelle, vgl. Klausel 1 Buchstabe c der Kommissionsentscheidung Nr. 95/46/EG in der englischen Sprachfassung sowie Klausel 1 Buchstabe c der Kommissionsentscheidung 2001/497/EG in der englischen Sprachfassung. 50 Vgl. Rn 21 sowie zu Einzelheiten Rn 79 f.
Filip
192
Kapitel 5 Datenverarbeitung im (internationalen) Konzern
Betriebsvereinbarungen eine weitverbreitete und grundsätzlich flexible Möglichkeit zur betriebs- bzw. konzerninternen Regelung verschiedenster Angelegenheiten sind. Soweit personenbezogene Daten an konzernangehörige Empfänger in Drittstaaten transferiert werden sollen, besteht zusätzlich das Erfordernis, die hierfür geltenden Anforderungen gem. §§ 4b, 4c BDSG erfüllen zu müssen.
a) Einwilligung: Taugliche Rechtsgrundlage für konzerninterne Übermittlungen?
29 Laut § 4 Abs. 1 BDSG ist die Einwilligung (auf der sog. ersten Stufe des Datenum-
gangs51) eine der beiden denkbaren Rechtsgrundlagen für die Übermittlung personenbezogener Daten. Nach § 4c Abs. 1 S. 1 Nr. 1 BDSG bildet die Einwilligung zudem auch einen der Ausnahmetatbestände, die – auf der sog. zweiten Stufe des Datenumgangs52 – die Übermittlung personenbezogener Daten in einen unsicheren Drittstaat legitimieren können. Für den im vorliegenden Kapitel interessierenden Austausch personenbezogener Daten zwischen konzernangehörigen Gesellschaften stellt die Einwilligung jedoch im Ergebnis häufig keine tragfähige Lösung dar, was im Folgenden erläutert werden soll. Ein Großteil der konzerninternen Übermittlungen personenbezogener Daten 30 betrifft Daten von Beschäftigten i. S. v. § 3 Abs. 11 BDSG. Gerade bei Beschäftigtendaten scheidet die Einwilligung jedoch als Rechtsgrundlage häufig aus. Denn gem. § 4a Abs. 1 S. 1 BDSG setzt die Einwilligung eine freie Entscheidung des Betroffenen voraus. Dies beruht auf Art. 2 Buchst. h RL 95/46/EG, wonach unter Einwilligung nur eine Willensbekundung „ohne Zwang“ verstanden werden kann. Im datenschutzrechtlichen Schrifttum wird vor diesem Hintergrund darauf hingewiesen, dass an der Freiwilligkeit der Einwilligung in Beschäftigungsverhältnissen jedenfalls in vielen Fällen Zweifel angebracht sind.53 Diese Zweifel werden auch von der Artikel-29-Datenschutzgruppe der Datenschutzbehörden der EU-Mitgliedstaaten geteilt.54 Grund hierfür ist das Abhängigkeitsverhältnis bzw. das Verhältnis „struktureller Unterlegenheit“,55 in dem sich der Beschäftigte gegenüber seinem Arbeitgeber befindet. Das Schrifttum verweist z. B. darauf, dass die Einwilligung durch den Beschäftigten häufig u. U. nur deshalb erteilt werde, weil ihre Verweigerung vom Arbeitgeber als Illoyalität ausgelegt werden würde.56 Es gibt jedoch auch Fälle, wo auch im Beschäftigungsverhältnis von einer freiwillig abgegebenen Einwilligung ausgegangen werden kann. Voraussetzung ist aber, dass die Beschäftigten eine echte Wahl zwischen Abgabe und Verwei-
51 Zur Zweistufigkeit der Prüfung bei Datenübermittlungen in Drittstaaten vgl. Rn 21, 26 und 79 ff. 52 Vgl. Rn 21, 26 und 79 ff. 53 Däubler, Rn 152 ff.; vgl. auch Simitis/Simitis, § 4a Rn 62; Taeger/Gabel/Taeger, § 4a Rn 64. 54 Artikel-29-Datenschutzgruppe, WP 114, Nr. 2.1. 55 Taeger/Gabel/Taeger, § 4a Rn 61. 56 Däubler, RDV 1999, 243, 249.
Filip
A. Einwilligung, Rechtsvorschriften und Datenschutzrichtlinien
193
gerung der Einwilligung haben und die Erklärung jederzeit widerrufen können. Dies wird man z. B. dann annehmen können, wenn sie ihre Interessen durch den konkret geplanten Umgang mit ihren Daten nicht negativ berührt sehen.57 Daher wird man wirksame datenschutzrechtliche Einwilligungen in Beschäftigungsverhältnissen zwar nicht schlechthin ausschließen können,58 jedoch sind an die Freiwilligkeit und damit Wirksamkeit der Einwilligung eines Beschäftigten in jedem Falle hohe Anforderungen zu stellen.59 Bei näherer Betrachtung zahlreicher typischer Umgänge mit personenbezoge- 31 nen Daten in Beschäftigungsverhältnissen ist festzustellen, dass häufig zumindest gewisse Zweifel an der Freiwilligkeit der Einwilligungen von Beschäftigten verbleiben.60 Kritisch werden von einigen Autoren z. B. generell Einwilligungen zur Übermittlung von Beschäftigtendaten in Drittstaaten ohne angemessenes Datenschutzniveau beurteilt, jedenfalls soweit die Übermittlungen nicht hinreichend transparent sind.61 Die Artikel-29-Datenschutzgruppe der Datenschutzbehörden der EU-Mitgliedstaaten rät Arbeitgebern vor dem Hintergrund derartiger häufig nicht auszuräumender Zweifel insgesamt, bei der Übermittlung von Daten ihrer Beschäftigten nicht in großem Umfang vom Instrument der Einwilligung Gebrauch zu machen.62 Die Artikel-29-Datenschutzgruppe verweist auch auf die kaum lösbaren praktischen Probleme, die entstehen, wenn einzelne Beschäftigte ihre zunächst erteilten Einwilligungen widerrufen.63 Vor diesem Hintergrund halten die Datenschutzaufsichtsbehörden der EU-Mitgliedstaaten die Einwilligung jedenfalls für wenig tragfähig, um wiederholte bzw. kontinuierliche Übermittlungen personenbezogener Daten einer großen Anzahl von Beschäftigten in Unternehmensgruppen bzw. Konzernen zu legitimieren, zumal wenn die Übermittlungen für die vorgesehene Verarbeitung unabdingbar sind, wie etwa im Falle der Schaffung zentraler Human-RessourcesDatenbanken, welche kontinuierlich durch Datenübermittlungen aus verschiedenen Ländern gespeist werden sollen.64 Nach einer Äußerung der deutschen Datenschutzaufsichtsbehörden scheidet 32 eine Einwilligung als Rechtsgrundlage für die Übermittlung von Beschäftigtendaten aus den o. g. Gründen zumindest häufig oder gar „in der Regel“ aus. Anders sei es nur in Ausnahmefällen, etwa wenn die Datenübermittlung dem Zweck der Teilnahme an Aktienoptionsprogrammen oder Bonussystemen dient, im letztgenannten Fall aller-
57 Taeger/Gabel/Taeger, § 4a Rn 62. 58 Vgl. stellvertretend für viele andere Stimmen Däubler, Rn 154. 59 Taeger/Gabel/Taeger, § 4a Rn 64. 60 Vgl. die bei Däubler, Rn 156 ff. aufgeführten Fälle. 61 Däubler, Rn 166. 62 Artikel-29-Datenschutzgruppe, WP 114, Nr. 2.1. 63 Artikel-29-Datenschutzgruppe, WP 114, Nr. 2.1. 64 Artikel-29-Datenschutzgruppe, WP 114, Nr. 2.1.
Filip
194
Kapitel 5 Datenverarbeitung im (internationalen) Konzern
dings nur, wenn die Teilnahme am Bonussystem für den Betroffenen nicht die einzige Chance ist, um überhaupt eine berufliche Aufstiegsmöglichkeit zu haben.65 33 Den Zweifeln an der Eignung der Einwilligung als Rechtsgrundlage für die Übermittlung von Beschäftigtendaten wird man sich im Ergebnis jedenfalls für zahlreiche Fallgestaltungen anschließen müssen. Insgesamt sind somit in Beschäftigungsverhältnissen zwar Fälle denkbar, in denen Raum für eine datenschutzrechtliche Einwilligung besteht. Für den an dieser Stelle interessierenden Bedarf an Übermittlungen von Beschäftigtendaten zwischen konzernangehörigen Gesellschaften wird die Einwilligung jedoch aus den genannten Gründen häufig keine tragfähige Basis bilden. Dies gilt in der Regel auch für die sehr praxisrelevanten Fälle der Zentralisierung von Teilen der Personalverwaltung oder für andere „wiederholte“ bzw. „routinemäßige“ Übermittlungen im Konzern. Für die meisten Fälle müssen Konzerne den Blick daher über die Einwilligung hinaus auf andere Rechtsinstrumente richten, um konzerninterne Übermittlungen von Beschäftigtendaten legitimieren zu können. Dabei soll zunächst die Betriebsvereinbarung betrachtet werden. Anschließend 34 soll geprüft werden, inwieweit konzerninterne Datenflüsse aufgrund von Rechtsvorschriften gem. § 4 Abs. 1 BDSG zulässig sein können. Schließlich werden noch die spezifischen Rechtsinstrumente zur Legitimierung von Übermittlungen in Staaten außerhalb des Europäischen Wirtschaftsraums betrachtet.
b) Betriebsvereinbarung als Rechtsgrundlage für Übermittlungen aa) Betriebsvereinbarung als „Rechtsvorschrift“ gem. § 4 Abs. 1 BDSG 35 Das BAG erkennt in ständiger Rechtsprechung an, dass Betriebsvereinbarungen (jedenfalls deren sog. normativer Teil i. S. v. § 77 Abs. 4 S. 1 BetrVG) eine „andere Rechtsvorschrift“ i. S. v. § 4 Abs. 1 BDSG und somit eine Rechtsgrundlage für die Verarbeitung personenbezogener Daten sein können. Gleiches gilt für den Spruch der Einigungsstelle, der eine Betriebsvereinbarung ersetzt.66 Damit gilt es zunächst festzuhalten, dass für Konzerne grundsätzlich die Möglich36 keit besteht, durch Regelungen in Betriebsvereinbarungen Rechtsgrundlagen i. S. v. § 4 Abs. 1 BDSG für den Umgang mit personenbezogenen Daten von Beschäftigten zu schaffen. Auf den ersten Blick erscheint es daher denkbar, u. a. für die Übermittlungen von Beschäftigtendaten unter konzernangehörigen Gesellschaften Regelungen insbesondere in Konzernbetriebsvereinbarungen zu treffen.
65 Arbeitsbericht der Ad-hoc-Arbeitsgruppe „Konzerninterner Datentransfer“ der deutschen Datenschutzbehörden, Nr. 2. 66 BAG, Beschl. v. 30.8.1995 – 1 ABR 4/95 – RDV 1996, 30; BAG, Beschl. v. 27.5.1986 – 1 ABR 48/84 – NJW 1987, 674; BAG, Urt. v. 12.12.2006 – 1 AZR 96/06 – BAGE 120, 308; BAG, Beschl. v. 26.8.2008 – 1 ABR 16/07 – BAGE 111, 173.
Filip
A. Einwilligung, Rechtsvorschriften und Datenschutzrichtlinien
195
Fraglich ist aber, ob für Betriebsvereinbarungen insoweit Regelungsgrenzen 37 aufgrund höherrangigen Rechts gelten. In einer Einzelentscheidung aus dem Jahr 198667 hatte das BAG noch die Ansicht geäußert, dass Betriebsvereinbarungen von den gesetzlichen Datenschutzvorschriften auch in einer für die Betroffenen nachteiligen Weise abweichen dürfen. Diesen Regelungsspielraum der Betriebsparteien hat das BAG allerdings in späte- 38 ren Entscheidungen erheblich eingeschränkt: So betont das BAG inzwischen die in § 75 Abs. 2 S. 1 BetrVG geregelte Pflicht der Betriebsparteien, die freie Entfaltung der Persönlichkeit der Beschäftigten zu schützen und zu fördern. Daraus folge, dass die Betriebsparteien das allgemeine Persönlichkeitsrecht der Beschäftigten (Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG) zu beachten haben. Diese Verpflichtung stellt eine Schranke für den Inhalt von Regelungen zum Umgang mit personenbezogenen Daten in Betriebsvereinbarungen dar.68 Allerdings ist nach Ansicht des BAG nicht jede Betriebsvereinbarung unzulässig, die das allgemeine Persönlichkeitsrecht einschränkt;69 vielmehr fordert das BAG eine auf den Einzelfall bezogene Abwägung zwischen dem allgemeinen Persönlichkeitsrecht des Beschäftigten und den schutzwürdigen Interessen des Arbeitgebers.70 Das zulässige Maß einer Beschränkung des allgemeinen Persönlichkeitsrechts durch Betriebsvereinbarungen bestimmt sich dabei nach dem Grundsatz der Verhältnismäßigkeit.71 Hierbei kommt der Intensität des Eingriffs in das Persönlichkeitsrecht entscheidende Bedeutung zu, wofür insbesondere Dauer und Art des Eingriffs eine Rolle spielen, ferner die Art der betroffenen Daten sowie die möglichen Nachteile, die den Beschäftigten drohen können.72 Bei alledem betont das BAG stets die für die Betriebsparteien aufgrund von § 75 Abs. 2 S. 1 BetrVG erwachsende Pflicht zum Schutz des allgemeinen Persönlichkeitsrechts der Beschäftigten.73 Eine auf den ersten Blick engere Linie verfolgen die deutschen Datenschutz- 39 aufsichtsbehörden: Danach dürften Betriebsvereinbarungen von den gesetzlichen Vorschriften des Datenschutzrechts nur insoweit abweichen, als sie die gesetzlichen Regelungen durch Schutzregelungen ersetzen, die den konkreten Beschäftigungsverhältnissen spezifischer angepasst, jedoch mindestens ebenso weitreichend sind.
67 BAG, Beschl. v. 27.5.1986 – 1 ABR 48/84 – NZA 1986, 643. 68 BAG, Urt. v. 21.8.1990 – 1 AZR 567/89 – NZA 1991, 154; BAG, Beschl. v. 29.6.2004 – 1 ABR 21/03 – BAGE 111, 173; BAG, Beschl. v. 26.8.2008 – 1 ABR 16/07 – NZA 2008, 1187. 69 BAG, Beschl. v. 29.6.2004 – 1 ABR 21/03 – BAGE 111, 173; BAG, Urt. v. 21.8.1990 – 1 AZR 567/89 – NZA 1991, 154; BAG, Beschl. v. 19.1.1999 – 1 AZR 499/98 – BAGE 90, 316, 323. 70 BAG, Urt. v. 27.3.2003 – 2 AZR 51/02 – BAGE 105, 356; BAG, Beschl. v. 29.6.2004 – 1 ABR 21/03 – BAGE 111, 173; BAG, Beschl. v. 26.8.2008 – 1 ABR 16/07 – BAGE 127, 276. 71 BAG, Beschl. v. 29.6.2004 – 1 ABR 21/03 – BAGE 111, 173; BAG, Urt. v. 12.12.2006 – 1 AZR 96/06 – BAGE 120, 308; BAG, Beschl. v. 26.8.2008 – 1 ABR 16/07 – BAGE 127, 276; vgl. zusammenfassend die Darstellung bei Däubler, Rn 796 ff. 72 BAG, Beschl. v. 29.6.2004 – 1 ABR 21/03 – BAGE 111, 173. 73 BAG, Beschl. v. 29.6.2004 – 1 ABR 21/03 – BAGE 111, 173; BAG, Beschl. v. 19.1.1999 – 1 AZR 499/98 – BAGE 90, 316.
Filip
196
Kapitel 5 Datenverarbeitung im (internationalen) Konzern
Mithin dürfe durch Betriebsvereinbarung der gesetzlich vorgesehene Schutz der informationellen Selbstbestimmung präzisiert und ausgebaut, nicht jedoch unterschritten werden.74 In der Literatur werden hierzu z. T. differenziertere Auffassungen vertreten. 40 Einige Autoren formulieren etwa, dass durch Betriebsvereinbarung zwar echte (neue) Rechtsgrundlagen für Umgänge mit personenbezogenen Daten geschaffen werden dürften, jedoch dabei nicht die Substanz der gesetzlich ausgestalteten Datenschutzrechte der Betroffenen berührt oder deren Verfahrens- und Kontrollrechte (z. B. Zuständigkeit des betrieblichen Datenschutzbeauftragten; Rechte auf Auskunft, Löschung usw.) eingeschränkt werden dürften.75 Andere Autoren wiederum sehen einen Spielraum für Regelungen durch Betriebsvereinbarungen nur, soweit diese das allgemeine Persönlichkeitsrecht des Beschäftigten nicht unbillig einschränken.76 In der Praxis dürften die Rechtsprechung des BAG und die hier dargestellten 41 Auffassungen der Datenschutzbehörden sowie der Literatur in den meisten Fällen zu denselben Ergebnissen führen. Fälle, in denen eine ansonsten nach dem BDSG bzw. sonstigen einschlägigen gesetzlichen Vorschriften unzulässige Verarbeitung von Beschäftigtendaten durch Betriebsvereinbarung legitimiert werden könnte, erscheinen nur schwer denkbar,77 da nach allen hier dargestellten Ansichten stets eine umfassende Interessenabwägung vorzunehmen ist, im Zuge derer weitestgehend dieselben Wertungen zu berücksichtigen sind.
bb) Betriebsvereinbarungen: praxistaugliche Rechtsgrundlage für Übermittlungen innerhalb eines Konzerns? 42 Aus den vorangegangenen Ausführungen folgt, dass Betriebsvereinbarungen zwar grundsätzlich als Instrument verwendet werden können, um die Übermittlung von Beschäftigtendaten an andere Gesellschaften desselben Konzerns zu regeln. Fest steht jedoch, dass die Betriebsparteien hierbei das Recht der Beschäftigten auf informationelle Selbstbestimmung zu beachten haben und daher nur eingeschränkten Regelungsspielraum besitzen. Die bisweilen auf Unternehmensseite anzutreffende Erwartung, durch Betriebsvereinbarungen die Übermittlung von Beschäftigtendaten unter konzernangehörigen Gesellschaften deutlich erleichtern zu können, dürfte damit unrealistisch sein. Entscheidend ist, dass im Ergebnis das allgemeine Persönlichkeitsrecht der Beschäftigten einschließlich seiner Ausprägung in den gesetzlichen
74 Arbeitsbericht der Ad-hoc-Arbeitsgruppe „Konzerninterner Datentransfer“ der deutschen Datenschutzbehörden, unter Nr. 5; zustimmend Simitis/Simitis, § 2 Rn 160; Simitis/Sokol, § 4 Rn 17; Bergmann/Möhrle/Herb, § 4 Rn 25, 26; Brandt, DuD 2010, 213, 215. 75 Taeger/Gabel/Taeger, § 4 Rn 38, 41 m. w. N. 76 Sassenberg/Bamberg, DuD 2006, 226, 229. 77 So auch Gola/Schomerus, § 4 Rn 10.
Filip
A. Einwilligung, Rechtsvorschriften und Datenschutzrichtlinien
197
Vorschriften des Datenschutzrechts durch Betriebsvereinbarungen nicht unterlaufen werden darf. Angesichts dieses Befunds kann nur von Fall zu Fall entschieden werden, ob 43 und ggf. für welche Fälle Regelungen zur Übermittlung personenbezogener Daten innerhalb eines Konzerns in einer (Konzern-)Betriebsvereinbarung rechtswirksam getroffen werden können und sinnvoll sind. Im Wesentlichen werden nur Regelungen in Betracht kommen, die die Fälle möglicher konzerninterner Datenübermittlungen präzisieren, indem sie auf die spezifischen Verhältnisse innerhalb des Konzerns zugeschnitten sind, insbesondere indem die Übermittlungszwecke, relevanten Datenkategorien und betroffenen Beschäftigtengruppen benannt werden. Eine Reduzierung des Schutzes der Betroffenen mittels (Konzern-)Betriebsvereinbarungen im Sinne einer Absenkung der materiellen Anforderungen an die Zulässigkeit von Datenübermittlungen gegenüber den gesetzlichen Vorschriften ist hingegen nicht hinnehmbar. Praxistipp Konzernbetriebsvereinbarungen können zwar Regelungen zur konzerninternen Übermittlung von Beschäftigtendaten treffen. Das in den gesetzlichen Datenschutzvorschriften zum Ausdruck kommende materielle Schutzniveau darf dabei jedoch nicht unterschritten werden.
So wichtig in der Praxis Betriebsvereinbarungen für die Regelung betrieblicher Ange- 44 legenheiten sein können, dürfen an dieses Instrument im Falle seiner Verwendung zur Regelung des Austauschs von Beschäftigtendaten im Konzern damit keine überzogenen Erwartungen gestellt werden, da die zwingenden Wertungen und Anforderungen der gesetzlichen Datenschutzvorschriften dennoch gewahrt werden müssen. Dies gilt auch, wenn Beschäftigtendaten auch an Empfänger in unsichere Dritt- 45 staaten übermittelt werden sollen. In diesem Falle sind zusätzlich zu den Anforderungen der „ersten Stufe“ des Datenumgangs auch die besonderen für den Drittstaatentransfer geltenden Anforderungen nach §§ 4b, 4c BDSG zu erfüllen („zweite Stufe“ des Datenumgangs).78 Die Hamburgische Datenschutzbeauftragte hat es in einer früheren Aussage als „zweifelhaft“ bezeichnet, ob Betriebsvereinbarungen die Übermittlung personenbezogener Daten in Drittstaaten überhaupt legitimieren können.79 Später haben die deutschen Aufsichtsbehörden erklärt, dies sei denkbar unter der Voraussetzung, dass sich die in Drittstaaten ansässigen datenempfangenden Gesellschaften der Betriebsvereinbarung „unterwerfen“.80 Nach der hier vertre-
78 Rn 21, 26; Einzelheiten zur sog. zweiten Stufe unter Rn 79 ff. 79 Hamburgischer Datenschutzbeauftragter, 18. Tätigkeitsbericht 2000/2001, Nr. 28.1 (S. 196), abrufbar unter https://www.datenschutz-hamburg.de/uploads/media/18._Taetigkeitsbericht_2000-2001. pdf; auch veröffentlicht in RDV 2002, 211, 212. 80 Hillenbrand-Beck, RDV 2007, 231, 233.
Filip
198
Kapitel 5 Datenverarbeitung im (internationalen) Konzern
tenen Auffassung ist ein differenzierter Ansatz sachgerecht: Sofern die Unternehmensgruppe durch eine (Konzern-)Betriebsvereinbarung erklärtermaßen auch die datenschutzrechtlichen Anforderungen der „zweiten Stufe“81 erfüllen möchte – d. h., ohne daneben auf zusätzliche datenschutzrechtliche Instrumente zurückzugreifen –, wird man an die Betriebsvereinbarung dieselben inhaltlichen und verfahrensmäßigen Anforderungen wie an Binding Corporate Rules (BCR)82 stellen müssen. In diesem Falle müsste die Unternehmensgruppe somit u. a. die zweifelsfreie Verbindlichkeit der Konzern-Betriebsvereinbarung für die gesamte Gruppe gemessen an den für BCR geltenden Anforderungen nachweisen,83 und die Vereinbarung müsste von allen betroffenen Datenschutzaufsichtsbehörden im EWR geprüft werden.84 Denkbar ist aber auch, dass durch die (Konzern-)Betriebsvereinbarung nur die Anforderungen der sog. ersten Stufe erfüllt werden sollen. In diesem Fall müsste die Unternehmensgruppe die Erfordernisse der „zweiten Stufe“ durch den Einsatz zusätzlicher einschlägiger datenschutzrechtlicher Instrumente erfüllen, z. B. durch den Abschluss von EUStandardvertragsklauseln.85 Praxistipp Sollen durch Konzernbetriebsvereinbarungen auch Datentransfers an Konzerngesellschaften in unsichere Drittstaaten geregelt werden, müssen solche Vereinbarungen entweder die für Binding Corporate Rules (BCR) geltenden Anforderungen erfüllen, oder es müssten zusätzliche Instrumente für die Erfüllung der Anforderungen an den Drittstaatsexport (z. B. der Abschluss von EU-Standardvertragsklauseln) zum Einsatz gebracht werden.
c) Übermittlungen auf der Grundlage gesetzlicher Vorschriften bei nicht-sensitiven personenbezogenen Daten 46 Laut § 4 Abs. 1 BDSG bilden Rechtsvorschriften – neben der Einwilligung – grundsätzlich die zweite Möglichkeit zur Legitimierung einer Verarbeitung (z. B. einer Übermittlung) personenbezogener Daten auf der sog. ersten Stufe des Datenumgangs. Da die Übermittlung eine Form der „Verarbeitung“ personenbezogener Daten ist (vgl. § 3 Abs. 4 S. 1 BDSG), müssen an dieser Stelle diejenigen Rechtsvorschriften einer Betrachtung unterzogen werden, die als Rechtsgrundlagen für die Verarbeitung von personenbezogenen Daten einschlägig sein können. Dabei ist zwischen besonderen Arten personenbezogener Daten i. S. v. § 3 Abs. 9 BDSG (sog. sensitive Daten) und
81 Zu den „zwei Stufen“ der Anforderungen bei Übermittlungen personenbezogener Daten in sog. unsichere Drittstaaten vgl. Rn 21, 26. 82 Zu Binding Corporate Rules vgl. Rn 103 ff. 83 Vgl Rn 136 ff. 84 Vgl. Rn 117 ff. 85 Zu den verschiedenen Möglichkeiten zur Erfüllung der Anforderungen der „zweiten Stufe“ vgl. Rn 79 ff.
Filip
A. Einwilligung, Rechtsvorschriften und Datenschutzrichtlinien
199
sonstigen (nicht-sensitiven) personenbezogenen Daten zu unterscheiden. Vorliegend werden zunächst die Rechtsvorschriften erörtert, die für nicht-sensitive Daten anwendbar sind; die für sensitive Daten einschlägigen Rechtsvorschriften werden im Anschluss gesondert dargestellt.86 Sofern die Daten an (konzernangehörige) Empfänger in Drittstaaten übermittelt 47 werden, müssen zusätzlich zur „ersten Stufe“ auch die Anforderungen der „zweiten Stufe“ des Datenumgangs (§§ 4b, 4c BDSG) erfüllt werden,87 d. h. – beim Datenempfänger bzw. im Zielland muss gem. § 4b Abs. 2, Abs. 3 BDSG ein angemessenes Datenschutzniveau bestehen; oder – die Übermittlung muss auf einen der Ausnahmetatbestände gem. § 4c Abs. 1 BDSG gestützt werden können; oder – es müssen gem. § 4c Abs. 2 BDSG angemessene Garantien hinsichtlich des Schutzes des Persönlichkeitsrechts und der Ausübung der damit verbundenen Rechte88 erbracht werden.89 Ein Großteil der Übermittlungen personenbezogener Daten innerhalb von Konzernen 48 betrifft Beschäftigtendaten. Hierzu ist vorauszuschicken, dass seit Inkrafttreten des § 32 BSDG g. F. zum 1.9.2009 die Rechtslage im Hinblick auf die Zulässigkeit der Übermittlung von Beschäftigtendaten innerhalb eines Konzerns leider als nicht vollends befriedigend geklärt bezeichnet werden muss. Fraglich ist insbesondere, inwieweit die Übermittlung von Beschäftigtendaten zu Zwecken der Konzentration bestimmter Unternehmensfunktionen noch auf § 28 Abs. 1 S. 1 Nr. 2 oder Abs. 2 Nr. 1 oder Nr. 2 Buchstabe a BDSG gestützt werden kann. Im Einzelnen: Für die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten von 49 Beschäftigten enthält das Gesetz mit § 32 BDSG eine spezielle Erlaubnisvorschrift. § 32 BDSG ist nicht nur anwendbar auf Arbeitnehmer im arbeitsrechtlichen Sinne, sondern nach seinem Wortlaut weitestgehend auf alle in einem abhängigen Beschäftigungsverhältnis stehenden Personen („Beschäftigte“, vgl. die Definition in § 3 Abs. 11 BDSG). Unterschiedliche Auffassungen gibt es in der Frage, inwieweit beim Umgang mit 50 Beschäftigtendaten neben § 32 BDSG noch Raum für die allgemeinen Erlaubnistatbestände des § 28 BDSG besteht. Es ist in der Tat nicht einfach, das Verhältnis zwischen § 32 BDSG und § 28 BDSG zu bestimmen. Diese Frage war denn auch nach Inkrafttreten des § 32 BDSG zum 1.9.2009 Gegenstand erheblicher Kontroversen in der
86 Rn 74 ff. 87 Rn 21, 26. 88 Im Folgenden sollen die in § 4c Abs. 2 BDSG genannten Garantien aus Gründen der sprachlichen Vereinfachung als „angemessene Datenschutzgarantien“ bezeichnet werden. 89 Zu den Anforderungen der sog. zweiten Stufe vgl. im Einzelnen Rn 79 ff.
Filip
200
Kapitel 5 Datenverarbeitung im (internationalen) Konzern
Fachliteratur.90 Für die im vorliegenden Kapitel interessierende Frage der Übermittlung von Beschäftigtendaten zwischen Gesellschaften eines Konzerns ist insbesondere zu klären, inwieweit seit dem Inkrafttreten des § 32 BDSG g. F. eine Übermittlung von Beschäftigtendaten noch durch „berechtigte Interessen“ des Arbeitgebers oder eines Dritten, z. B. der Konzernmuttergesellschaft gem. § 28 Abs. 1 S. 1 Nr. 2 oder Abs. 2 Nr. 1 oder Nr. 2 Buchstabe a BDSG legitimiert werden kann. Nach seinem Wortlaut erfasst § 32 Abs. 1 S. 1 BDSG die Erhebung, Verarbeitung 51 und Nutzung von Beschäftigtendaten „für Zwecke des Beschäftigungsverhältnisses“. Gemäß der Vorschrift ist die Datenerhebung, -verarbeitung oder -nutzung für Zwecke des Beschäftigungsverhältnisses zulässig, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach dessen Begründung für seine Durchführung oder Beendigung erforderlich ist. Nach der Gesetzesbegründung91 soll § 32 BDSG den gesamten § 28 Abs. 1 BDSG verdrängen, soweit Beschäftigtendaten für Zwecke des Beschäftigungsverhältnisses erhoben, genutzt oder verarbeitet werden. Erfolgt der Datenumgang hingegen für einen anderen Zweck, sollen auch weiterhin andere Rechtsvorschriften anwendbar sein, darunter – wie die Gesetzesbegründung ausdrücklich aufführt – § 28 Abs. 1 S. 1 Nr. 2 BDSG zur Wahrung berechtigter Interessen des Arbeitgebers oder § 28 Abs. 3 S. 1 Nr. 1 BDSG a. F.92 zur Wahrung berechtigter Interessen eines Dritten.93 Zugleich wird in der Gesetzesbegründung betont, dass durch die Einführung des § 32 BDSG nicht beabsichtigt sei, die von der Rechtsprechung erarbeiteten Grundsätze des Datenschutzrechts im Beschäftigungsverhältnis zu ändern, sondern diese Grundsätze in der neuen Vorschrift lediglich zusammengefasst werden sollen.94 Damit kommt es maßgeblich darauf an, wann ein Datenumgang – im hier inte52 ressierenden Zusammenhang: die Übermittlung von Beschäftigtendaten an andere konzernangehörige Gesellschaften – „für Zwecke des Beschäftigungsverhältnisses“ erfolgt bzw. wann er hingegen einem anderen Zweck dient. Datenumgänge für Zwecke des Beschäftigungsverhältnisses sind gem. § 32 Abs. 1 S. 1 BDSG nur unter der engen Voraussetzung der dort genannten „Erforderlichkeit“ für das Beschäftigungsverhältnis zulässig, während dagegen Datenumgänge zu anderen Zwecken gem. § 28 Abs. 1 S. 1 Nr. 2 oder Abs. 2 Nr. 1 oder Nr. 2 Buchst. a BDSG bereits als Ergebnis einer Interessenabwägung erlaubt sein können. Die Zuordnung eines Datenumgangs als „Umgang zum Zweck des Beschäfti53 gungsverhältnisses“ oder aber „Umgang zu einem anderen Zweck“ kann schwierig sein; die gleichzeitige Verfolgung mehrerer Zwecke dürfte keine Seltenheit sein. In der
90 Vgl. Rn 56, 57. 91 BT-Drucks. 16/13657, S. 20 re. Sp. 92 Dem entspricht § 28 Abs. 2 Nr. 2 Buchst. a BDSG in der seit 1.9.2009 geltenden Fassung. 93 BT-Drucks. 16/13657, S. 21 li. Sp. 94 BT-Drucks. 16/13657, S. 20 re. Sp.
Filip
A. Einwilligung, Rechtsvorschriften und Datenschutzrichtlinien
201
Literatur wurden hierzu unterschiedliche Ansätze geäußert.95 Die deutschen Datenschutzaufsichtsbehörden haben sich im sog. Darmstädter Papier aus dem Jahr 200796 mit typischen Fällen konzerninterner Datentransfers beschäftigt und dabei die Auffassung vertreten, dass Übermittlungen personenbezogener Daten an andere Gesellschaften desselben Konzerns in einer Reihe von Fällen aufgrund berechtigter Interessen der übermittelnden Gesellschaft und/oder der empfangenden Gesellschaft (z. B. Muttergesellschaft) nach § 28 Abs. 1 S. 1 Nr. 2 oder § 28 Abs. 3 Nr. 1 BDSG a. F.97 zulässig sein können. Vor dem Hintergrund dieser Aussage sollen nunmehr einige praxistypische Fallgestaltungen konzerninterner Übermittlungen personenbezogener Daten näher betrachtet werden. Hierbei liegt der Schwerpunkt – entsprechend der Situation in der Praxis – auf der Übermittlung von Beschäftigtendaten.98 Daneben wird auch die konzerninterne Übermittlung von Kundendaten angesprochen.99
aa) Zentralisierung von Aufgaben der Personalverwaltung Ein häufiger Fall betrifft die Zentralisierung der Personalverwaltung oder von 54 Teilbereichen hiervon. Hier ist zunächst zu unterscheiden, ob es sich um eine Auftragsdatenverarbeitung gem. § 11 BDSG handelt oder aber – im Gegensatz dazu – um eine Datenübermittlung nach § 3 Abs. 4 S. 2 Nr. 3 BDSG (insbesondere eine sog. Funktionsübertragung).100 Beide Fälle sind in tatsächlicher Hinsicht zwar vorstellbar,101 jedoch darf nicht vorschnell von Auftragsdatenverarbeitung ausgegangen werden. Denn Auftragsdatenverarbeitung liegt nur vor, wenn die Verantwortlichkeit des Arbeitgebers, der die Daten seiner Beschäftigten an eine andere (konzernangehörige) Gesellschaft transferiert, nicht infrage gestellt ist.102 Auftragsdatenverarbeitung kann daher nur angenommen werden, wenn die datenempfangende Gesellschaft lediglich als Dienstleister fungiert, etwa bei der Einstellung, Gehaltsabrechnung, Personalverwaltung und/oder -entwicklung.103 Erhält die datenempfangende (konzernangehörige) Gesellschaft hingegen eine 55 eigene rechtliche Zuständigkeit oder tatsächliche – nicht nur ganz marginale – Ent-
95 Vgl. etwa Gola/Jaspers, RDV 2009, 212, 213, 214; Gola/Wronka, Rn 667 f.; Schmidt, RDV 2009, 193 ff.; Däubler, Rn 185; Taeger/Gabel/Taeger, § 32 Rn 6; vgl. auch (allerdings vor Inkrafttreten des § 32 BDSG g. F.) Ehmann, RDV 1999, 12, 13. 96 Arbeitsbericht der Ad-hoc-Arbeitsgruppe „Konzerninterner Datentransfer“ der deutschen Datenschutzbehörden. 97 Entspricht § 28 Abs. 2 Nr. 2 Buchst. a BDSG in der geltenden Fassung. 98 Dazu Rn 54 ff. 99 Rn 72, 73. 100 Zur Abgrenzung zwischen Auftragsdatenverarbeitung und Funktionsübertragung Rn 8 ff. 101 Arbeitsbericht der Ad-hoc-Arbeitsgruppe „Konzerninterner Datentransfer“ der deutschen Datenschutzbehörden, Nr. 6.2; Simitis/Seifert, § 4 Rn 117 f.; Eul/Eul, S. 19; Gola/Wronka, Rn 1077 ff. 102 So auch Eul/Eul, S. 19. 103 Eul/Eul, S. 19.
Filip
202
Kapitel 5 Datenverarbeitung im (internationalen) Konzern
scheidungskompetenzen, ist der Rahmen einer Auftragsdatenverarbeitung überschritten und es liegt eine Funktionsübertragung und damit eine Datenübermittlung vor.104 Somit ist in solchen Fällen gem. § 4 Abs. 1 BDSG eine Rechtsgrundlage für die Übermittlung erforderlich. In Konzernen kann dem Grunde nach zwar ein berechtigtes Interesse an einer zentralen Personalsteuerung und einheitlichen Maßstäben in der Personalpolitik anerkannt werden.105 Allerdings bedarf es näherer Betrachtung, inwieweit das Gesetz eine konzerninterne Übermittlung von Beschäftigtendaten für diese Zwecke tatsächlich zulässt. Damit stellt sich die Frage, welche Rechtsvorschriften hierfür als Rechtsgrundlage überhaupt in Betracht kommen können. Seit Inkrafttreten des § 32 BDSG g. F. mit Wirkung zum 1.9.2009 vertreten einige 56 Autoren die Auffassung, dass eine Datenübermittlung innerhalb eines Konzerns für Zwecke der Zentralisierung von Aufgaben der Personalverwaltung – jedenfalls im Ergebnis – kaum bzw. nur noch „ausnahmsweise“ in Betracht komme.106 Argumentiert wird, dass in solchen Fällen die Übermittlung an eine andere Konzerngesellschaft für Zwecke einer zentralen Personalverwaltung in aller Regel nicht i. S. v. § 32 Abs. 1 S. 1 BDSG „für das Beschäftigungsverhältnis erforderlich“ sei.107 Diese Auffassung gründet letztlich darauf, dass diese Autoren die Zentralisierung von Aufgaben der Personalverwaltung ausschließlich als einen Fall des § 32 Abs. 1 S. 1 BDSG ansehen und neben dieser Vorschrift eine Anwendung von § 28 Abs. 1 S. 1 Nr. 2 BDSG für unzulässig halten.108 Es gibt jedoch gewichtige Stimmen, die auch nach Inkrafttreten des § 32 BDSG 57 Raum dafür sehen, die Übermittlung von Beschäftigtendaten zum Zweck der Zentralisierung der Personalverwaltung auf § 28 Abs. 1 S. 1 Nr. 2 BDSG zu stützen. Die Vertreter dieser Auffassung argumentieren im Wesentlichen, dass § 32 BDSG nur insoweit Sperrwirkung gegenüber anderen möglichen Rechtsgrundlagen entfalte, als der Umgang mit Beschäftigtendaten einem beschäftigungsvertraglichen Zweck im engeren Sinne diene, nicht jedoch für jeglichen Datenumgang, der in (irgend-) einem Zusammenhang mit dem Beschäftigungsverhältnis stehe.109 Andere Autoren argumentieren – im Ergebnis ähnlich –, dass § 28 Abs. 1 S. 1 Nr. 2 BDSG anwendbar sei, sobald auch ein nicht aus dem Vertragszweck des Beschäftigungsverhältnisses herrührendes Interesse verfolgt wird.110 In der Konsequenz halten diese Autoren für das Outsourcing bzw. die Zentralisierung von Aufgaben der Personalverwaltung im
104 Gola/Wronka, Rn 267 f.; vgl. auch Rn 12, 13. 105 Gola/Wronka, Rn 815. 106 Simitis/Seifert, § 32 Rn 118. 107 Simitis/Seifert, § 32 Rn 117 f. 108 Simitis/Seifert, § 32 Rn 117 f.; Däubler, Rn 451. 109 Gola/Schomerus, § 32 Rn 33. 110 Taeger/Gabel/Zöll, § 32 Rn 6.
Filip
A. Einwilligung, Rechtsvorschriften und Datenschutzrichtlinien
203
Konzern auch nach Inkrafttreten des § 32 BDSG eine Rechtfertigung gem. 28 Abs. 1 S. 1 Nr. 2 BDSG und § 28 Abs. 2 Nr. 2 Buchst. a BDSG für möglich.111 Diese Auffassung haben auch die deutschen Datenschutzaufsichtsbehörden 58 jedenfalls im Jahre 2007, d. h. vor Inkrafttreten des neuen § 32 BDSG, vertreten, indem sie in ihrem sog. Darmstädter Papier das Bedürfnis an einer Konzentration bestimmter Aufgaben der Personalverwaltung im Konzern ausdrücklich als legitim anerkannt haben.112 Die Aufsichtsbehörden haben aber in diesen Fällen folgende zusätzliche Maßnahmen verlangt: – Der Arbeitgeber muss umfassend Ansprechpartner für seine Beschäftigten bleiben und – zusätzlich zum empfangenden Konzernunternehmen, d. h. auch, soweit es um die Datenumgänge beim empfangenden Unternehmen geht – auch weiterhin zur Erfüllung der Datenschutzrechte seiner Beschäftigten auf Auskunft, Löschung, Berichtigung, Sperrung ihrer personenbezogenen Daten sowie auf Schadensersatz verpflichtet bleiben; – die beteiligten Konzernunternehmen müssen entsprechende Regelungen rechtsverbindlich vereinbaren, etwa durch Verträge oder Unternehmensregelungen; und – eine solche Regelung muss gegenüber den Beschäftigten verbindlich gemacht werden, z. B. durch Vertrag zugunsten Dritter, als Garantievertrag oder mittels Betriebsvereinbarung.113 Die Aufsichtsbehörden haben somit im Jahr 2007 Übermittlungen zum Zwecke der 59 Zentralisierung der Personalverwaltung ausdrücklich nicht unter § 28 Abs. 1 S. 1 Nr. 1 BDSG gefasst, sondern insoweit § 28 Abs. 1 S. 1 Nr. 2 bzw. Abs. 2 Nr. 2 Buchst. a BDSG für einschlägig erachtet. Es sprechen gute Gründe dafür, dass die Einführung des § 32 BDSG insoweit zu keiner Änderung der Rechtslage geführt hat und somit für solche Übermittlungen nach wie vor § 28 Abs. 1 S. 1 Nr. 2 oder Abs. 2 Nr. 2 Buchst. a BDSG als Rechtsgrundlagen grundsätzlich anwendbar sind.114 Es gibt jedoch Hinweise, dass einige Aufsichtsbehörden diese Frage seit Inkrafttreten des § 32 BDSG möglicherweise anders und damit im Ergebnis strenger beurteilen könnten. Bei Zugrundelegung der strengeren Auffassung115 wäre der Spielraum für solche Übermittlungen deutlich enger; denkbar wäre in diesem Fall nach der Meinung einiger dieser Autoren
111 Gola/Wronka, Rn 817; Taeger/Gabel/Zöll, § 32 Rn 6; Gola/Schomerus, § 32 Rn 33; Eul/Eul, S. 20; wohl auch Bergmann/Möhrle/Herb, § 32 Rn 104. 112 Arbeitsbericht der Ad-hoc-Arbeitsgruppe „Konzerninterner Datentransfer“ der deutschen Datenschutzbehörden, Nr. 3.2 und Nr. 6.2. 113 Arbeitsbericht der Ad-hoc-Arbeitsgruppe „Konzerninterner Datentransfer“ der deutschen Datenschutzbehörden, Nr. 3.2. 114 Dies entspricht auch dem Willen des Gesetzgebers, vgl. die Gesetzesbegründung in BT-Drucks. 16/13657, S. 20 re. Sp. 115 Rn 56; zur strengeren Auffassung vgl. etwa Däubler, Rn 451; Simitis/Seifert, § 32 Rn 118.
Filip
204
Kapitel 5 Datenverarbeitung im (internationalen) Konzern
allenfalls noch, Rechtsgrundlagen für solche Übermittlungen im Wege von Konzernbetriebsvereinbarungen zu schaffen.116 Insgesamt verbleiben infolge der Einführung des § 32 BDSG und der daran 60 anknüpfenden Fachdiskussion leider Unklarheiten in der Frage, inwieweit die Übermittlung117 von Beschäftigtendaten zwecks Zentralisierung von Personalverwaltungsaufgaben im Konzern überhaupt noch zulässig sein kann. Für eine Bejahung dieser Frage sprechen zwar, wie soeben dargestellt, gute Argumente. Welche Meinung einzelne Datenschutzaufsichtsbehörden in dieser Frage gegenwärtig vertreten, ist jedoch nicht ganz leicht abschätzbar. Da, soweit ersichtlich, auch keine spezifische Rechtsprechung vorhanden ist, kann auf die Problematik an dieser Stelle lediglich hingewiesen werden. Mehr Klarheit im Hinblick auf die Auffassung einzelner Datenschutzaufsichtsbehörden dürfte wohl nur durch entsprechende Anfragen zu erzielen sein. Zu bedenken ist, dass, sofern die Daten in einen sog. unsicheren Drittstaat über61 mittelt werden, stets auch die Anforderungen der „zweiten Stufe“ der Datenübermittlung (§§ 4b, 4c BDSG)118 erfüllt werden müssen, etwa durch den Abschluss von EU-Standardvertragsklauseln oder durch sog. Binding Corporate Rules.119
bb) Konzernweites Namens-, Telefon-, E-Mail-Verzeichnis
62 Häufig möchten Konzerne ein konzernweites Verzeichnis mit den Kontaktdaten aller
Mitarbeiter zur Verfügung stellen, auf das möglichst alle Mitarbeiter Zugriff haben sollen. Beim Zugriff durch einen Mitarbeiter einer jeweils anderen konzernangehörigen Gesellschaft liegt grundsätzlich eine Übermittlung von Beschäftigtendaten vor.120 Denkbar ist zum einen, dass entsprechende Übermittlungen auf § 32 Abs. 1 S. 1 BDSG gestützt werden können. Dies ist dann der Fall, wenn es für die Arbeitsleistung grundsätzlich jedes Mitarbeiters im Konzern erforderlich sein kann, dass er auf die dienstlichen Kontaktdaten aller anderen Beschäftigten zugreifen kann. Diese Voraussetzung dürfte jedoch nicht immer vorliegen. Unter der Voraussetzung, dass man – wie hier vertreten – auch nach Inkrafttreten 63 des § 32 BDSG für derartige Datenverwendungszwecke die Erlaubnisvorschriften der § 28 Abs. 1 S. 1 Nr. 2 und Abs. 2 Nr. 2 Buchst. a BDSG für anwendbar hält,121 kann auch eine Rechtfertigung der Übermittlung nach diesen Vorschriften in Betracht kommen.
116 Däubler, Rn 453. 117 Zur (von der Übermittlung zu unterscheidenden) Situation in Fällen von Auftragsdatenverarbeitung vgl. Rn 12 ff. 118 Zur Zweistufigkeit der Prüfung bei Datenübermittlungen in Drittstaaten vgl. Rn 21, 26 und speziell zur „zweiten Stufe“ Rn 78 ff. 119 Zu Binding Corporate Rules vgl. Rn 103 ff. 120 § 3 Abs. 4 S. 2 Nr. 3 Buchst. b BDSG, „Einsehen“ bzw. „Abruf“ bereitgehaltener Daten. 121 Vgl. Rn 57 ff.
Filip
A. Einwilligung, Rechtsvorschriften und Datenschutzrichtlinien
205
Dies wäre z. B. möglich, wenn zumindest grundsätzlich ein Bedürfnis nach Kommunikation zwischen den Beschäftigten aller konzernangehörigen Gesellschaften bestehen kann.122 Sofern jeweils nur die Kommunikation zwischen bestimmten konzernangehörigen Gesellschaften erforderlich ist, wäre zwar an eine entsprechende Beschränkung der gegenseitigen Zugriffsrechte auf jeweils die Beschäftigten der entsprechenden Gesellschaften zu denken. Angesichts der verhältnismäßig geringen Sensibilität der Kontaktdaten erscheint indessen auch in solchen Fällen ein einheitliches Gesamtverzeichnis im Konzern akzeptabel, sofern den Betroffenen vorher die Möglichkeit eingeräumt wird, etwaige in ihrem Einzelfall gegen die Aufnahme in das Verzeichnis sprechende Gründe vorzubringen.123 Sofern auch konzernangehörige Gesellschaften bzw. deren Beschäftigte aus unsi- 64 cheren Drittstaaten Zugriff auf die Daten nehmen können, müssen freilich auch die Anforderungen der zweiten Stufe der Datenübermittlung (§§ 4b, 4c BDSG) erfüllt werden,124 etwa durch Abschluss der EU-Standardvertragsklauseln oder Binding Corporate Rules.125
cc) „Konzernbezogene Beschäftigungsverhältnisse“ und Matrix-Strukturen Für Übermittlungen von Beschäftigtendaten im Falle sog. konzernbezogener 65 Beschäftigungsverhältnisse haben die Datenschutzaufsichtsbehörden im „Darmstädter Papier“ von 2007126 im Einklang mit weiten Teilen der Literatur eine weitere datenschutzrechtliche Rechtfertigungsmöglichkeit anerkannt: Danach können Übermittlungen an andere konzernangehörige Gesellschaften nach § 32 Abs. 1 S. 1 BDSG127 zulässig sein, wenn das Beschäftigungsverhältnis bereits bei seiner Begründung einen deutlich erkennbaren Konzernbezug aufweist, insbesondere wenn für den Beschäftigten erkennbar ist, dass er auch in anderen Konzernunternehmen tätig
122 Arbeitsbericht der Ad-hoc-Arbeitsgruppe „Konzerninterner Datentransfer“ der deutschen Datenschutzbehörden, Nr. 6.1; Eul/Eul, S. 29. 123 Arbeitsbericht der ad-hoc-Arbeitsgruppe „Konzerninterner Datentransfer“ der deutschen Datenschutzbehörden, Nr. 6.1. 124 Darauf weisen zu Recht Eul/Eul, S. 30 hin. 125 Zur sog. zweiten Stufe vgl. Rn 79 ff. 126 Vgl. Rn 58. 127 Dem entsprach zum Zeitpunkt der Veröffentlichung des „Darmstädter Papiers“ die Vorschrift des § 28 Abs. 1 S. 1 Nr. 1 BDSG.
Filip
206
Kapitel 5 Datenverarbeitung im (internationalen) Konzern
werden soll.128 Ist dies gewollt, sollte der Beschäftigte bei Abschluss des Arbeitsvertrages in eindeutiger Weise entsprechend informiert werden.129 66 Zwar mag sich auch hier die Frage stellen, inwieweit einzelne Aufsichtsbehörden auch noch nach Inkrafttreten des § 32 BDSG an dieser ihrer 2007 vertretenen Ansicht festhalten. Jedoch dürfte bei Arbeitsverhältnissen mit Konzernbezug § 32 Abs. 1 S. 1 BDSG unschwer zu bejahen sein, da die Übermittlung in diesen Fällen als „erforderlich“ für die Durchführung des Beschäftigungsverhältnisses angesehen werden kann. Ein etwas anderer Fall – der aber im Ergebnis von der herrschenden Meinung 67 ebenfalls zu den „Beschäftigungsverhältnissen mit Konzernbezug“ gezählt wird – ist bei Mitarbeitern gegeben, die einer spezifisch an den zentralen Konzerninteressen, insbesondere der zentralen Steuerung des Konzerns, ausgerichteten Tätigkeit nachgehen.130 „Konzernbezogene Beschäftigungsverhältnisse“ bestehen häufig im Rahmen 68 sog. Matrixstrukturen. Bei Matrixstrukturen werden Mitarbeiter typischerweise abwechselnd in unterschiedlichen konzernangehörigen Gesellschaften eingesetzt bzw. arbeiten unterschiedlichen konzernangehörigen Gesellschaften zu und haben dementsprechend mehrere Fach- und u. U. auch Personalvorgesetzte. Ist diese Organisationsstruktur für den Mitarbeiter bereits bei Begründung des Arbeitsverhältnisses erkennbar, so ist die Datenübermittlung an das Unternehmen, dem der jeweilige Matrix-Vorgesetzte angehört, gem. § 32 Abs. 1 S. 1 BDSG zulässig, da das Arbeitsverhältnis in solchen Fällen Konzernbezug aufweist.131 Wird eine Matrixstruktur erst nach Eingehung des Arbeitsverhältnisses gebildet oder erkennbar, ist § 32 Abs. 1 S. 1 BDSG dagegen nur anwendbar, wenn eine ausdrückliche entsprechende Ergänzung des Arbeitsvertrags vorgenommen wird, sodass der Konzernbezug nachträglich dokumentiert wird.132 Fehlt es an einer solchen ausdrücklichen Ergänzung, können entsprechende Übermittlungen von Beschäftigtendaten u. U. nach § 28 Abs. 1 S. 1 Nr. 2 oder Abs. 2 Buchst. a BDSG rechtfertigbar sein, was aber einer Prüfung im Einzelfall bedarf.133 Eine Rechtfertigung kommt z. B. in Betracht, sofern sich eine Matrixstruktur
128 Arbeitsbericht der Ad-hoc-Arbeitsgruppe „Konzerninterner Datentransfer“ der deutschen Datenschutzbehörden, Nr. 3.1; Schmidl, DuD 2009, 364, 367; Gola/Wronka, Rn 811 ff.; Gola/Schomerus, § 4b Rn 8; die Rechtsfigur des „konzernbezogenen Arbeitsverhältnisses“ ist auch in der arbeitsgerichtlichen Rechtsprechung anerkannt, vgl. BAG, Urt. v. 27.11.1991 – 2 AZR 255/91 – NZA 1992, 644. 129 Schmidl, DuD 2009, 364, 367 f., der auch ein Beispiel für einen entsprechenden Informationstext formuliert. 130 Simitis/Simitis, § 2 Rn 147; Däubler, Rn 454; Arbeitsbericht der Ad-hoc-Arbeitsgruppe „Konzerninterner Datentransfer“ der deutschen Datenschutzbehörden, Nr. 3.1. 131 Rn 65; Gola/Schomerus, § 4b Rn 8; Schmidl, DuD 2009, 364, 367 spricht in solchen Fällen von „anfänglichem Konzernbezug“. 132 Arbeitsbericht der Ad-hoc-Arbeitsgruppe „Konzerninterner Datentransfer“ der deutschen Datenschutzbehörden, Nr. 3.1 (S. 7 oben). 133 Arbeitsbericht der Ad-hoc-Arbeitsgruppe „Konzerninterner Datentransfer“ der deutschen Datenschutzbehörden, Nr. 3.1 (S. 7) und Nr. 6.3; Gola/Schomerus, § 4b Rn 8.
Filip
A. Einwilligung, Rechtsvorschriften und Datenschutzrichtlinien
207
angesichts des Inhalts der konkreten Tätigkeit aufdrängt, z. B. weil die betreffenden konzernangehörigen Gesellschaften aufgrund ihrer Aufgaben bzw. Tätigkeiten typischerweise (z. B. im Rahmen von Projektarbeit) zusammenarbeiten.134 Zu beachten ist, dass Matrixstrukturen bzw. „konzernbezogene Beschäftigungs- 69 verhältnisse“ keine freie Übermittlung jeglicher Daten des betreffenden Mitarbeiters an die entsprechende(n) andere(n) konzernangehörige(n) Gesellschaft(en) zu rechtfertigen vermögen. Vielmehr ist anhand des jeweiligen Arbeitsvertrags und der daraus erwachsenden arbeitsvertraglichen Verpflichtungen des Arbeitnehmers zu prüfen, inwieweit Übermittlungen tatsächlich erforderlich sind.135 Denkbar sind auch „Übergangssachverhalte“ zwischen Matrix-Strukturen und 70 der Verlagerung von Aufgaben der Personalverwaltung auf andere konzernangehörige Gesellschaften.136
dd) „Skill-Datenbanken“ Als weiterer Fall zulässiger Übermittlung von Beschäftigtendaten im Konzern wird 71 häufig der Aufbau sog. Skill-Datenbanken genannt.137 Dies sind konzernweit zentralisierte Datenbanken, in denen Qualifikationen, besondere Fähigkeiten oder Kenntnisse von Mitarbeitern aufgeführt sind. Sie dienen der Optimierung der konzernweiten Rekrutierung von Mitarbeitern zur Besetzung freier Stellen oder generell der Vergabe von Beförderungsstellen im Konzern. Eine Rechtfertigung der Übermittlung kommt insoweit gem. § 28 Abs. 1 S. 1 Nr. 2 bzw. Abs. 2 Nr. 2 Buchst. a BDSG in Betracht. Alternativ hierzu ist aber auch eine Rechtfertigung mittels Einwilligung der Beschäftigten denkbar, sofern diese frei entscheiden können, ob ihre entsprechenden Daten in die Skill-Datenbank aufgenommen werden.138
ee) Konzerninterne Übermittlung von Kundendaten Neben den zahlreichen typischen Bedarfen an konzerninternen Übermittlungen von 72 Beschäftigtendaten besteht in einigen Fällen der Wunsch, personenbezogene Daten
134 Arbeitsbericht der Ad-hoc-Arbeitsgruppe „Konzerninterner Datentransfer“ der deutschen Datenschutzbehörden, Nr. 6.3 (S. 14). 135 Arbeitsbericht der Ad-hoc-Arbeitsgruppe „Konzerninterner Datentransfer“ der deutschen Datenschutzbehörden, Rn. 3.1 (S. 7). 136 Zu Letzterer vgl. Rn 13. 137 Gola/Schomerus, § 4a Rn 8; Arbeitsbericht der Ad-hoc-Arbeitsgruppe „Konzerninterner Datentransfer“ der deutschen Datenschutzbehörden, Nr. 6.4; nach Simitis/Seifert, § 32 Rn 118 hingegen sollen zunächst allenfalls anonymisierte bzw. pseudonymisierte Daten in solch eine Datenbank übermittelt werden dürfen. 138 Arbeitsbericht der Ad-hoc-Arbeitsgruppe „Konzerninterner Datentransfer“ der deutschen Datenschutzbehörden, Nr. 6.4.
Filip
208
Kapitel 5 Datenverarbeitung im (internationalen) Konzern
von Kunden an andere Konzernunternehmen zu übermitteln. Dies ist etwa der Fall, wenn der Kontakt zum Kunden durch ein anderes Konzernunternehmen hergestellt wird als dasjenige, das die Vertragsbeziehung zum Kunden eingehen soll. So wird z. B. im Banken- oder Versicherungsbereich die Vertragsbeziehung häufig von der Muttergesellschaft eingegangen, nachdem ein anderes Konzernunternehmen den Kundenkontakt vermittelt hat.139 In diesem Fall ist die Übermittlung der Kundendaten an die Muttergesellschaft für vertragliche Zwecke gem. § 28 Abs. 1 S. 1 Nr. 1 BDSG erforderlich.140 Ein weiterer denkbarer Fall betrifft Übermittlungen von Kundendaten zum 73 Zwecke der zentralen Kundenbetreuung. Diese ist jedoch abzugrenzen von der bloßen technischen Verwaltung einer zentralisierten Kundendatenbank, die als Auftragsdatenverarbeitung einzuordnen wäre.141 Auch die zentrale Kundenbetreuung durch ein konzerneigenes Call-Center wird man meist noch als Auftragsdatenverarbeitung gestalten können, jedenfalls soweit der Entscheidungsspielraum des datenempfangenden Call-Center-Unternehmens hinreichend beschränkt ist.142 Daneben mögen auch Fälle bestehen, in denen die Kundenbetreuung im Wege einer Funktionsübertragung ausgelagert wird, sodass Datenübermittlungen vorliegen. Generelle Aussagen zur Zulässigkeit der Übermittlung von Kundendaten in solchen Fällen sind kaum möglich, vielmehr kann diese Frage nur im Wege einer Interessenabwägung im konkreten Einzelfall beurteilt werden.143
d) Übermittlungen auf der Grundlage gesetzlicher Vorschriften bei sensitiven personenbezogenen Daten gem. § 3 Abs. 9 BDSG 74 Für die Erhebung, Verarbeitung und Nutzung sensitiver Daten i. S. v. § 3 Abs. 9 BDSG enthält das Gesetz in § 28 Abs. 6 ff. BDSG spezielle Erlaubnisvorschriften. Die allgemeinen Erlaubnisvorschriften, insbesondere § 28 Abs. 1 S. 1 Nr. 1, Nr. 2 und Nr. 3 und Abs. 2 BDSG sind daneben nicht anwendbar, ebenso wenig § 32 BDSG. Dies hat erhebliche Konsequenzen: Da die in § 28 Abs. 6 ff. BDSG enthaltenen Ausnahmetatbestände nur wenige, besondere Fälle umfassen, wäre damit in vielen Fällen der Datenumgang allenfalls auf Grundlage einer Einwilligung des Betroffenen zulässig, an deren Wirksamkeit jedoch in Beschäftigungsverhältnissen vielfach Zweifel bestehen.144 Damit wäre jedoch die Übertragung von Funktionen der Personalverwaltung auf 75 eine andere Konzerngesellschaft in zahlreichen Fällen unmöglich, da hierbei häufig
139 Eul/Eul, S. 25. 140 Unbeschadet dessen ist der Betroffene selbstverständlich nach § 4 Abs. 3 S. 1 Nr. 3 BDSG über den Empfänger zu informieren. 141 Zur Abgrenzung vgl. allgemein Rn 6 ff. 142 Vgl. Rn 9. 143 So auch Eul/Eul, S. 26. 144 Rn 31 ff.
Filip
A. Einwilligung, Rechtsvorschriften und Datenschutzrichtlinien
209
auch Angaben zu Krankheitstagen („Gesundheitsdaten“ i. S. v. § 3 Abs. 9 BDSG) sowie zur Religionszugehörigkeit und somit sensitive Daten benötigt werden. Die deutschen Datenschutzaufsichtsbehörden gehen (jedenfalls im sog. Darmstädter Papier145) davon aus, dass ein derart weitgehendes Verbot vom Gesetzgeber nicht beabsichtigt war, da der Gesetzesbegründung zu entnehmen ist, dass sensitive Daten i. S. v. § 3 Abs. 9 BDSG auch weiterhin im Rahmen der Grundsätze des allgemeinen arbeitsrechtlichen Daten- und Informationsschutzes verarbeitet werden dürfen.146 Jedenfalls nach der 2007 geäußerten Ansicht der Aufsichtsbehörden ist daher die 76 Übermittlung sensitiver Beschäftigtendaten im Rahmen einer Funktionsübertragung auf eine andere Konzerngesellschaft im erforderlichen Umfang nach § 28 Abs. 6 Nr. 3 BDSG zulässig, soweit es sich um eine der oben dargestellten Fallgestaltungen handelt, bei denen die Übermittlung personenbezogener Daten im Rahmen einer konzerninternen Funktionsübertragung dem Grunde nach akzeptiert wird.147 Die Aufsichtsbehörden haben diese Auffassung überzeugend mit einem Vergleich zum Rechtsinstitut des Betriebsübergangs i. S. v. § 613a BGB begründet: Beim Betriebsübergang geht quasi die gesamte Funktion des Arbeitgebers auf den Betriebsübernehmer über, und die damit einhergehende Übermittlung von Beschäftigtendaten wird allgemein als zulässig angesehen, mithin auch die Übermittlung sensitiver Daten. Daher muss dies auch für die o. g. Fälle der konzerninternen Funktionsübertragung gelten, bei denen lediglich einzelne Arbeitgeber-Funktionen auf eine andere Gesellschaft übergehen.148 Auf der Grundlage dieser Gesetzesauslegung können auch besondere Arten von 77 Beschäftigtendaten im Rahmen konzerninterner Funktionsübertragungen in dem Umfang übermittelt werden, der zur Wahrnehmung der übertragenen Funktion – etwa der Zentralisierung bestimmter Aufgaben der Personalverwaltung – erforderlich ist. Es sei angemerkt, dass es sich hierbei um eine großzügige Gesetzesauslegung handelt, die den praktischen Bedürfnissen nach konzerninterner Arbeitsteilung entgegenkommt. Zudem ist festzuhalten, dass die Aufsichtsbehörden diese Aussage strikt auf konzerninterne Übermittlungen beschränkt haben, sodass sie nicht auf Übermittlungen sensitiver Daten an konzernfremde Stellen übertragen werden darf.
145 Vgl. Rn 58. 146 Arbeitsbericht der Ad-hoc-Arbeitsgruppe „Konzerninterner Datentransfer“ der deutschen Datenschutzbehörden, Nr. 3.3 mit Verweis auf die BT-Drucks. 14/4329. 147 Vgl. die unter Rn 54 ff. dargestellten Fälle. 148 Arbeitsbericht der Ad-hoc-Arbeitsgruppe „Konzerninterner Datentransfer“ der deutschen Datenschutzbehörden, Nr. 3.3.
Filip
210
Kapitel 5 Datenverarbeitung im (internationalen) Konzern
4. Zusätzliche Anforderungen für Übermittlungen in Drittstaaten
78 Es bleibt festzuhalten, dass nach der hier vertretenen Auffassung auch nach Inkraft-
treten des § 32 BDSG eine Reihe von Fällen denkbar sind, in denen Übermittlungen personenbezogener Daten – auch von Beschäftigten – an andere konzernangehörige Gesellschaften auf Rechtsvorschriften gestützt werden können.149 Diese Aussage betrifft indes nur die „erste Stufe“ der Zulässigkeit der Übermittlung, d. h. nur die Anforderungen an Übermittlungen an Datenempfänger innerhalb des EWR. Sofern Daten (auch) an Konzernunternehmen in Nicht-EWR-Staaten150 übermittelt werden sollen, müssen zusätzlich – auf der sog. zweiten Stufe der Prüfung der Zulässigkeit der Übermittlung151 – die besonderen Anforderungen der § 4b Abs. 2 bis Abs. 6, § 4c BDSG erfüllt werden.152 Zur Erfüllung dieser Anforderungen stehen grundsätzlich folgende Möglichkei79 ten zur Verfügung: – beim Datenempfänger ist ein angemessenes Datenschutzniveau gewährleistet (§ 4b Abs. 2, Abs. 3 BDSG); oder – es liegt einer der Ausnahmetatbestände gem. § 4c Abs. 1 BDSG vor; oder – die Übermittlung wird von der Datenschutzbehörde gem. § 4c Abs. 2 S. 1 BDSG genehmigt, weil ausreichende Datenschutzgarantien erbracht werden.
80 Die einzelnen Möglichkeiten sollen im Folgenden skizziert werden:
a) Drittstaaten mit angemessenem Datenschutzniveau 81 § 4b Abs. 2 BDSG spricht von der Angemessenheit des Datenschutzniveaus beim Datenempfänger. Die zugrunde liegende Vorschrift des Art. 25 Abs. 1 und 2 der EUDatenschutzrichtlinie (RL 95/46/EG) stellt hingegen nicht auf das beim Datenempfänger, sondern auf das im Drittland, in das die Daten übermittelt werden, als solchem bestehende Schutzniveau ab. Die Europäische Kommission hat gem. Art. 25 Abs. 6 RL 95/46/EG die Möglichkeit, das Bestehen eines angemessenen Datenschutzniveaus in bestimmten Drittländern festzustellen; solche Entscheidungen sind für die Mitgliedstaaten bindend.153 Bislang hat die Kommission derartige Entscheidungen für folgende Länder getroffen: Andorra, Argentinien, Australien, Kanada, Schweiz, FäröerInseln, Guernsey, Israel, Isle of Man, Jersey, Neuseeland, Uruguay sowie – allerdings
149 Vgl. Rn 57 ff. 150 Zu Fällen von „Outsourcing“ (im Sinne von Einschaltung von Auftragnehmern) in Drittstaaten vgl. ausführlich Kap. 4 Rn 97 ff. 151 Vgl. Rn 21, 26. 152 Rn 21, 26; Arbeitsbericht der Ad-hoc-Arbeitsgruppe „Konzerninterner Datentransfer“ der deutschen Datenschutzbehörden, Nr. 7. 153 Däubler, Rn 502.
Filip
A. Einwilligung, Rechtsvorschriften und Datenschutzrichtlinien
211
beschränkt auf Unternehmen, die sich zur Befolgung der sog. Safe-Harbor-Grundsätze verpflichtet haben – die USA.154 Daraus folgt, dass personenbezogene Daten aus Deutschland an Empfänger in 82 diesen Ländern auch ohne eine gesonderte Überprüfung der Angemessenheit des Datenschutzniveaus übermittelt werden dürfen – sofern auch die Voraussetzungen der „ersten Stufe“ erfüllt sind. Die Übermittlungen bedürfen nicht der Genehmigung durch die Datenschutzaufsichtsbehörde, da § 4b BDSG ein solches Erfordernis nicht enthält. Es dürfte kaum denkbar sein, dass Datenschutzbehörden einzelner EU-Mit- 83 gliedstaaten im Einzelfall „im Alleingang“ bezüglich weiterer Drittstaaten das Vorhandensein eines „angemessenen Datenschutzniveaus“ feststellen.155 Die zu einer solchen Feststellung erforderlichen Vorarbeiten dürften in der Regel bereits die Arbeitskapazitäten einer einzelnen Datenschutzbehörde übersteigen. Daher ist es mehr als sinnvoll, wenn in der Praxis entsprechende Entscheidungen allein von der Kommission gem. Art. 25 Abs. 6 der RL 95/46/EG getroffen werden.
b) Sonderfall USA: Safe Harbor Einen Sonderfall stellen die USA dar. Die USA bieten kein Datenschutzniveau, das 84 gemessen an den Anforderungen der EU-Datenschutzrichtlinie als angemessen betrachtet werden könnte. Demgemäß liegt eine Angemessenheitsentscheidung der Europäischen Kommission für die USA als Land nicht vor. Jedoch hat die Kommission nach vorausgegangenen Verhandlungen mit dem US-Handelsministerium eine Angemessenheitsentscheidung gem. Art. 25 Abs. 6 RL 95/46/EG im Hinblick auf USamerikanische Unternehmen getroffen, die sich zur Einhaltung der sog. Safe-Harbor-Grundsätze156 verpflichten.157 Demnach ist für solche Unternehmen von einem angemessenen Datenschutzniveau auszugehen. Die Entscheidung der Kommission umfasst neben den eigentlichen Safe-Harbor-Datenschutzgrundsätzen (Informationspflicht, sog. Wahlmöglichkeit, Weitergabe, Sicherheit, Datenintegrität, Auskunftsrecht, Durchsetzung) auch Leitlinien in der Gestalt von „Häufig gestellten Fragen“ (FAQ) zur Umsetzung dieser Grundsätze. Die Grundsätze einschließlich der Umsetzungsleitlinien wurden vom US-Handelsministerium aufgestellt. Das Safe-Harbor-System basiert letztlich auf der Selbstzertifizierung interessierter US-Unternehmen, die regelmäßig erneuert werden muss. Die Einhaltung der Grundsätze bei den zertifizierten Unternehmen wird von der Federal Trade Commission überwacht.
154 Vgl. die bislang ergangenen Angemessenheitsentscheidungen der EU-Kommission unter http:// ec.europa.eu/justice/data-protection/document/international-transfers/adequacy/index_en.htm. 155 Solche Fälle sind jedenfalls dem Autor bislang auch nicht bekannt. 156 Ausführlich zu Safe Harbor Kap. 4 Rn 115 ff. 157 Entscheidung der Kommission v. 26.7.2000 Nr. 2000/520/EG, ABl. L 215 v. 25.8.2000, S. 7–47.
Filip
212
Kapitel 5 Datenverarbeitung im (internationalen) Konzern
Hinzuweisen ist darauf, dass die deutschen Datenschutzaufsichtsbehörden bereits 2010 deutliche Kritik an Safe Harbor geäußert und von Unternehmen, die personenbezogene Daten aus Deutschland an Safe-Harbor-zertifizierte US-Unternehmen übermitteln wollen, zusätzlich die Vornahme einer Mindestprüfung verlangt haben.158 Vor dem Hintergrund der im Sommer 2013 in den Medien erhobenen Vorwürfe 86 gegen US-Sicherheitsbehörden wegen des Verdachts auf unverhältnismäßige oder gar unbeschränkte Datenzugriffe u. a. im Rahmen des sog. PRISM-Programms haben die deutschen Datenschutzbehörden am 24.7.2013 ihre Kritik an Safe Harbor verschärft und die Bundesregierung zur Aufklärung der Vorwürfe aufgefordert. Sie haben angekündigt, vor Klärung des Sachverhalts keine neuen Genehmigungen für Datenübermittlungen in die USA zu erteilen sowie zu prüfen, ob solche Datenübermittlungen auf der Grundlage des Safe-Harbor-Abkommens und der EU-Standardvertragsklauseln auszusetzen sind.159 Die Europäische Kommission hat ihrerseits anlässlich der erhobenen Vorwürfe in einer Mitteilung vom 27.11.2013160 eine Bewertung des Safe-Harbor-Abkommens vorgelegt, in der sie erhebliche Schwächen des Abkommens aufzeigt und 13 Handlungsempfehlungen an die US-Seite zur Verbesserung des darin enthaltenen Schutzniveaus formuliert. Die Kommission teilte mit, auf dieser Basis mit der US-Seite in entsprechende Verhandlungen einzutreten. Die Ergebnisse dieses Vorgehens bleiben abzuwarten. Noch deutlicher ist schließlich die Kritik des Europäischen Parlaments. Dieses hat am 12.3.2014 die Kommission aufgefordert, das Abkommen auszusetzen, „bis eine umfassende Überprüfung durchgeführt wurde und derzeit bestehende Schlupflöcher geschlossen wurden.“161 Allerdings ist diese Aufforderung für die Kommission nicht verbindlich, da allein die Kommission für Angemessenheitsentscheidungen i. S. v. Art. 25 Abs. 6 RL 95/46/EG zuständig ist. 85
158 Zu Details vgl. den Beschluss der obersten Aufsichtsbehörden für den Datenschutz im nichtöffentlichen Bereich in der Fassung vom 28./29.4.2010 in der überarbeiteten Fassung vom 23.8.2010, abrufbar unter http://www.bfdi.bund.de/SharedDocs/Publikationen/Entschliessungssammlung/ DuesseldorferKreis/290410_SafeHarbor.html?nn=409242. 159 Pressemitteilung der Konferenz der Datenschutzbeauftragten des Bundes und der Länder vom 24.7.2013, abrufbar unter http://www.bfdi.bund.de/DE/Home/homepage_Kurzmeldungen2013/PMDerDSK_SafeHarbor.html?nn=408908. 160 Mitteilung v. 27.11.2013 – Communication from the Commission to the European Parliament and the Council on the Functioning of the Safe Harbour from the Perspective of EU Citizens and Companies Established in the EU (Dok.-Nr. COM(2013) 847 final), abrufbar unter http://ec.europa.eu/justice/ data-protection/files/com_2013_847_en.pdf. 161 Entschließung des Europäischen Parlaments v. 12.3.2014 zu dem Überwachungsprogramm der Nationalen Sicherheitsagentur der Vereinigten Staaten, die Überwachungsbehörden in mehreren Mitgliedstaaten und die entsprechenden Auswirkungen auf die Grundrechte der EU-Bürger und die transatlantische Zusammenarbeit im Bereich Justiz und Inneres (2013/2188(INI)), abrufbar unter http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+TA+P7-TA-20140230+0+DOC+XML+V0//DE. Die zitierte Stelle findet sich in Nr. 132 der Entschließung.
Filip
A. Einwilligung, Rechtsvorschriften und Datenschutzrichtlinien
213
Eine „Aussetzung des Abkommens“, mithin eine (wie auch immer geartete) Rücknahme ihrer auf das Safe-Harbor-System bezogenen Angemessenheitsentscheidung vom 26.7.2000 hat die Europäische Kommission indessen – jedenfalls bislang – nicht ins Gespräch gebracht. Welche Konsequenzen sich aus dieser Gemengelage für die Praxis ergeben, ist 87 gegenwärtig kaum verlässlich abzuschätzen. Die deutschen Aufsichtsbehörden haben jedenfalls mit ihrer o. g. Pressemitteilung deutlich gemacht, dass die Übermittlung personenbezogener Daten in die USA gegenwärtig kritisch zu hinterfragen ist. Unternehmen müssen vor diesem Hintergrund damit rechnen, dass die für solche Übermittlungen üblicherweise verwendeten Rechtsinstrumente – insbesondere die EU-Standardvertragsklauseln oder Safe-Harbor-Zertifizierungen – von den deutschen Aufsichtsbehörden derzeit ggf. für sich gesehen im Einzelfall nicht als ausreichend angesehen werden. Deutschen Unternehmen bzw. Konzernen, die auf die Übermittlung personenbezogener Daten in die USA angewiesen sind, kann derzeit nur empfohlen werden, die weitere Entwicklung laufend sorgfältig zu beobachten. Im konkreten Fall dürfte sich die Abstimmung mit der zuständigen Aufsichtsbehörde empfehlen.162
c) Ausnahmetatbestände gem. § 4c Abs. 1 BDSG § 4c Abs. 1 BDSG enthält einen Katalog von Ausnahmen, aufgrund derer personen- 88 bezogene Daten an Empfänger in Drittstaaten ohne angemessenes Datenschutzniveau übermittelt werden dürfen. Es handelt sich um eng definierte Tatbestände. Für Übermittlungen innerhalb von Konzernen können im Wesentlichen wohl nur die Ausnahmetatbestände nach § 4c Abs. 1 Nr. 2 und – mit Abstrichen – Nr. 1 BDSG praxisrelevant sein: Nach § 4c Abs. 1 Nr. 1 BDSG ist die Übermittlung in einen unsicheren Drittstaat 89 zulässig, sofern der Betroffene seine Einwilligung erteilt hat. Insoweit ist auf die obigen Ausführungen zur datenschutzrechtlichen Einwilligung in Beschäftigungsverhältnissen hinzuweisen.163 Demnach bestehen an der Wirksamkeit der Einwilligung in Beschäftigungsverhältnissen häufig Zweifel. Einige deutsche Datenschutzaufsichtsbehörden haben darauf hingewiesen, dass Zweifel an der Wirksamkeit der Einwilligung von Beschäftigten in besonderer Weise angebracht sind, wenn Beschäftigtendaten in einen unsicheren Drittstaat übermittelt werden sollen.164 Häufig wird daher die Einwilligung jedenfalls keine tragfähige Grundlage für (kon-
162 Zur Problematik rund um Datenzugriffe durch US-Behörden vgl. ausführlich Kap. 4 Rn 115 ff. 163 Rn 29 ff. 164 Hessische Landesregierung, 14. Bericht über die Tätigkeit der für den Datenschutz im nicht-öffentlichen Bereich zuständigen Aufsichtsbehörden, Nr. 9, veröffentlicht auch in RDV 2002, 38.
Filip
214
Kapitel 5 Datenverarbeitung im (internationalen) Konzern
zerninterne) Übermittlungen von Beschäftigtendaten in unsichere Drittstaaten darstellen. § 4c Abs. 1 Nr. 2 BDSG ermöglicht solche Übermittlungen in unsichere Drittstaa90 ten, die zur Vertragsabwicklung oder zur Durchführung vorvertraglicher Maßnahmen erforderlich sind. Dieser Ausnahmetatbestand kommt etwa bei sog. konzernbezogenen Beschäftigungsverhältnissen165 in Betracht. Für die Übermittlung personenbezogener Daten aufgrund „berechtigter Interes91 sen“ des übermittelnden oder empfangenden (Konzern-)Unternehmens enthält § 4c Abs. 1 BDSG jedoch gerade keine Rechtsgrundlage. Die in Konzernen typischerweise verfolgten Interessen der Konzentration und des konzerninternen Outsourcings von Aufgaben zum Zwecke der Verschlankung von Arbeitsprozessen und Gewinnung von Synergieeffekten können daher auf der „zweiten Stufe“ nicht auf einen Ausnahmetatbestand gem. § 4c Abs. 1 BDSG gestützt werden. Gleiches gilt für Übermittlungen an in Drittstaaten ansässige Muttergesellschaften für „zentrale Konzernzwecke“, etwa zur konzernweiten Vereinheitlichung bestimmter Entscheidungen. Für solche Zwecke müssen daher auf der „zweiten Stufe“ des Datenumgangs andere datenschutzrechtliche Instrumente zum Einsatz gebracht werden.
d) EU-Standardvertragsklauseln
92 Das in der Praxis wohl meistverwendete Instrument zur Erfüllung der datenschutz-
rechtlichen Anforderungen der sog. zweiten Stufe bei der Übermittlung personenbezogener Daten in unsichere Drittstaaten stellen die von der Europäischen Kommission auf Grundlage von Art. 26 Abs. 4 der RL 95/46/EG verabschiedeten Standardvertragsklauseln dar.166 Gegenwärtig stehen zwei Standardvertragsklausel-Sätze für Übermittlungen an verantwortliche Stellen sowie ein Satz von Standardvertragsklauseln für Übermittlugen an Auftragsdatenverarbeiter zur Verfügung.167 Die EU-Standardvertragsklauseln bieten für Unternehmen erhebliche praktische 93 Erleichterungen, da sie alle erforderlichen datenschutzrechtlichen Vertragsklauseln enthalten, um die Übermittlung auf der „zweiten Stufe“ zu legitimieren. Eine weitere Erleichterung liegt darin, dass bei Anwendung der unveränderten Standardvertragsklauseln die Datenexporte nach Ansicht wohl aller deutschen Datenschutzaufsichtsbehörden nicht genehmigungsbedürftig sind.168 Gleiches gilt für solche Abänderungen der Standardvertragsklauseln, die sich eindeutig ausschließlich
165 Dazu Rn 65 ff. 166 Zu den EU-Standardvertragsklauseln vgl. ausführlich Kap. 4 Rn 132 ff. 167 Entscheidung der Kommission Nr. 2001/497/EG v. 15.6.2001 – K(2001) 1539; Entscheidung der Kommission Nr. 2004/915/EG v. 27.12.2004 – K(2004) 5271; Beschluss der Kommission Nr. 2010/87/EU v. 5.2.2012 – K(2010) 593. 168 Vgl. Hillenbrand-Beck, RDV 2007, 231, 234; Gola/Schomerus, § 4b Rn 16 und § 4c Rn 14; Däubler, Rn 507 f. unter Verweis auf eine Stellungnahme der deutschen Aufsichtsbehörden.
Filip
A. Einwilligung, Rechtsvorschriften und Datenschutzrichtlinien
215
zugunsten der Betroffenen auswirken.169 Jedoch verlangen zumindest einige der deutschen Aufsichtsbehörden die Vorlage des Vertragswerks, um überprüfen zu können, inwieweit im konkreten Fall keine Änderungen der Klauseln zum Nachteil der Betroffenen vorgenommen wurden.170 Für Datenübermittlungen an (konzernangehörige oder konzernfremde) Gesell- 94 schaften in unsicheren Drittstaaten dürften die EU-Standardvertragsklauseln in der Praxis für viele Unternehmen häufig faktisch das einzige mit vertretbarem Aufwand verwendbare Instrument sein. Gegenüber den Binding Corporate Rules171 bieten sie den Vorteil, dass konzernintern keine umfangreichen Vorarbeiten notwendig sind, vielmehr können die Klauseln grundsätzlich ohne besonderen „Vorlauf“ für den jeweiligen konkret geplanten Datenexport zum Einsatz gebracht werden. Hinzuweisen ist allerdings darauf, dass die deutschen Aufsichtsbehörden vor 95 dem Hintergrund der Presseberichterstattung über den Verdacht auf unverhältnismäßige Datenzugriffe von US-Behörden im Juli 2013 angekündigt haben, die Aussetzung von Übermittlungen personenbezogener Daten in die USA auf der Basis (u. a.) von EU-Standardvertragsklauseln zu prüfen, sodass die weitere Entwicklung diesbezüglich sorgfältig beobachtet werden sollte.172
e) Individuelle Verträge zur Erbringung ausreichender Datenschutzgarantien Nach dem Wortlaut von § 4c Abs. 2 S. 1 Hs. 2 BDSG können sich angemessene Daten- 96 schutzgarantien für den Export personenbezogener Daten in unsichere Drittstaaten auch aus „Vertragsklauseln“ ergeben. Alternativ zum Einsatz etwa der EUStandardvertragsklauseln haben daher datenexportierende Unternehmen auch die Möglichkeit, individuell gestaltete vertragliche Regelungen mit Datenempfängern in unsicheren Drittstaaten zu treffen. Im Gegensatz zur Verwendung der EU-Standardvertragsklauseln ist jedoch für Übermittlungen auf der Basis individuell gestalteter Verträge gem. § 4c Abs. 2 S. 1 BDSG stets die Genehmigung der zuständigen Datenschutzaufsichtsbehörde erforderlich. Dieser Umstand liefert ein gewichtiges Argument dafür, in der Praxis soweit wie möglich die EU-Standardvertragsklauseln zu verwenden.
f) Binding Corporate Rules Eine für Konzerne u. U. sehr interessante Möglichkeit zur Erfüllung der Anforderun- 97 gen der „zweiten Stufe“ (§§ 4b, 4c BDSG) stellen sog. Binding Corporate Rules (BCR)
169 Hillenbrand-Beck, RDV 2007, 231, 234; Gola/Schomerus, § 4c Rn 14. 170 Vgl. die Ausführungen in Kap. 4 Rn 138 f.; näheres auch bei Gola/Schomerus, § 4c Rn 14. 171 Dazu Rn 103 ff. 172 Rn 87, 88. Ausführlich zur Problematik der Datenzugriffe durch US-Behörden Kap. 4 Rn 119 ff.
Filip
216
Kapitel 5 Datenverarbeitung im (internationalen) Konzern
dar. Dieses Instrument hat in den letzten Jahren rasant an Bedeutung gewonnen. Aufgrund ihrer großen praktischen Bedeutung und Aktualität ist den BCR in diesem Kapitel ein eigener Abschnitt gewidmet.173
g) Zusammenfassung
98 Zusammenfassend kann festgehalten werden: Für den Austausch personenbezogener
Daten unter Gesellschaften, die demselben Konzern angehören, gelten nach europäischem und deutschem Datenschutzrecht keine Erleichterungen im Vergleich zu Datentransfers an Stellen außerhalb des Konzerns. Konzernangehörige Unternehmen müssen mithin beim konzerninternen Datenaustausch dieselben datenschutzrechtlichen Anforderungen erfüllen, wie sie auch für Datentransfers an konzernfremde Stellen gelten. Zu unterscheiden sind dabei die Fälle der Auftragsdatenverarbeitung i. S. v. 99 § 11 BDSG von „Übermittlungen“ personenbezogener Daten i. S. v. § 3 Abs. 4 S. 2 Nr. 3 BDSG. Bei Einschaltung eines Auftragsdatenverarbeiters im EWR liegt keine Datenübermittlung vor; in diesem Fall sind nur die Anforderungen des § 11 BDSG zu erfüllen. Bei einem Datentransfer an einen Auftragsdatenverarbeiter in einem Nicht-EWRStaat handelt es sich dagegen um eine Datenübermittlung. Für Datentransfers an Auftragsverarbeiter in Nicht-EWR-Staaten müssen daher die Voraussetzungen an Übermittlungen erfüllt werden, daneben jedoch – jedenfalls entsprechend – zusätzlich auch die Anforderungen nach § 11 BDSG.174 Übermittlungen personenbezogener Daten an andere Konzernunternehmen sind 100 gem. § 4 Abs. 1 BDSG nur zulässig, soweit sie auf die Einwilligung der Betroffenen oder auf eine Rechtsvorschrift (insbesondere §§ 28 ff. BDSG) gestützt werden können. Jedenfalls grundsätzlich kommen dabei auch (Konzern-)Betriebsvereinbarungen als Rechtsvorschriften in Betracht. Werden personenbezogene Daten an eine Konzerngesellschaft in einem sog. 101 Drittstaat175 zugeleitet, gelten zusätzlich zu den Anforderungen nach §§ 4, 28 ff. BDSG auch die Anforderungen der § 4b Abs. 2 bis 6, § 4c BDSG. Soweit die Daten in einen Drittstaat ohne angemessenes Datenschutzniveau transferiert werden, stehen als Instrumente zu diesem Zweck grundsätzlich die sog. EU-Standardvertragsklauseln, Binding Corporate Rules, der Abschluss eines individuellen datenschutzrechtlichen Vertrags sowie für Übermittlungen an US-Unternehmen alternativ auch Safe-HarborZertifizierungen zur Verfügung. Sofern die Konzerngesellschaft im Drittstaat die Daten zum Zwecke der Auftragsdatenverarbeitung erhält, muss zusätzlich noch ein Vertrag entsprechend den Anforderungen des § 11 BDSG abgeschlossen werden.
173 Rn 102 ff. 174 Rn 21, 22. 175 D. h. einem Staat außerhalb des EWR, vgl. Rn 19.
Filip
A. Einwilligung, Rechtsvorschriften und Datenschutzrichtlinien
217
II. Binding Corporate Rules 1. Sinn und Zweck von BCR In Konzernen besteht häufig in erheblichem Umfang Bedarf an einem Austausch per- 102 sonenbezogener Daten – etwa von Mitarbeitern, Kunden, Lieferanten bzw. von Mitarbeitern von Kunden oder Lieferanten – unter den einzelnen konzernangehörigen Gesellschaften. Wenn eine einzelne Konzerngesellschaft mit Sitz im EWR (d. h. ein „Datenexporteur“176) hierbei personenbezogene Daten an verschiedene konzernangehörige Gesellschaften in unsicheren Drittstaaten („Datenimporteure“) übermitteln möchte, müsste die übermittelnde Gesellschaft in der Regel mit jedem Datenimporteur mindestens einen gesonderten Vertrag (z. B. auf der Basis der EU-Standardvertragsklauseln177) abschließen. Innerhalb eines Konzerns kann auf diese Weise bisweilen eine kaum noch überschaubare Vielzahl von Einzelverträgen erforderlich werden. Eine Möglichkeit, den damit verbundenen erheblichen Verwaltungsaufwand sowie die drohende Unübersichtlichkeit zu vermeiden, bieten sog. Binding Corporate Rules (BCR).178 Hintergrund ist, dass bei jedem Transfer personenbezogener Daten aus dem EWR 103 an Empfänger in Drittstaaten die Anforderungen der nationalen Rechtsvorschriften zu erfüllen sind, die die Mitgliedstaaten zur Umsetzung der Art. 25 und 26 der EUDatenschutzrichtlinie erlassen haben;179 für Datentransfers aus Deutschland sind dies die Anforderungen gem. § 4b Abs. 2 bis 6, § 4c BDSG. Bei näherer Betrachtung der für den Drittstaatentransfer geltenden Vorschrif- 104 ten der § 4b Abs. 2 bis 6, § 4c BDSG ist Folgendes festzustellen: Nach § 4b Abs. 2 S. 2 BDSG dürfen personenbezogene Daten aus dem Inland an Empfänger außerhalb des EWR grundsätzlich nur übermittelt werden, wenn beim Datenempfänger ein angemessenes Datenschutzniveau gewährleistet ist. Die Vorschrift entspricht damit in etwa Art. 25 Abs. 1 und 2 RL.180 Stellt man mit Art. 25 Abs. 1 und 2 RL und entgegen dem Wortlaut von § 4b Abs. 2 S. 2 BDSG nicht auf die Angemessenheit des Datenschutzniveaus beim Datenempfänger, sondern des Datenschutzniveaus im Drittland
176 Zum Begriff vgl. Rn 25. 177 Zu den Standardvertragsklauseln vgl. Rn 93 ff. und ausführlich Kap. 4 Rn 132 ff. 178 Auf Deutsch hat sich kein ähnlich griffiger Begriff etabliert; meist wird von „verbindlichen unternehmensinterne Vorschriften für internationalen Datentransfer“ gesprochen, vgl. etwa Artikel-29-Datenschutzgruppe, WP 74, Nr. 3.1. Im Einzelnen zu BCR vgl. auch das kommentierte Regelungsmuster bei Moos/Abel/Schulte, S. 881 ff. 179 Sog. zweite Stufe des Datenumgangs, vgl. Rn 21, 26 und 79 ff. 180 Die Entsprechung ist nicht exakt, da es nach dem Wortlaut von Art. 25 Abs. 1 und Abs. 2 der Richtlinie auf die Angemessenheit des Datenschutzniveaus des Drittlandes ankommt, während § 4b Abs. 2 und Abs. 3 BDSG vom angemessenen Datenschutzniveau bei der datenempfangenden „Stelle“ spricht. Vgl. dazu auch die nachfolgenden Ausführungen.
Filip
218
Kapitel 5 Datenverarbeitung im (internationalen) Konzern
als solchem ab, und handelt es sich um einen sog. unsicheren Drittstaat,181 kommt für die Legitimierung der Übermittlung nur noch die Vorschrift des § 4c BDSG in Betracht. Sofern keiner der – engen – Ausnahmetatbestände gem. § 4c Abs. 1 BDSG einschlägig ist, kann die Übermittlung nur genehmigt werden, wenn ausreichende Datenschutzgarantien erbracht werden (§ 4c Abs. 2 S. 1 BDSG).182 § 4c Abs. 2 S. 1 Hs. 2 BDSG nennt verbindliche Unternehmensregelungen aus105 drücklich als eines der Instrumente, mit denen ausreichende Datenschutzgarantien für den Drittstaatstransfer erbracht werden können. Eine solche ausdrückliche Erwähnung fehlt in dem dieser Vorschrift zugrunde liegenden Art. 26 Abs. 2 der RL 95/46/EG, vielmehr werden dort lediglich „Vertragsklauseln“ explizit genannt. Der Wortlaut von Art. 26 Abs. 2 RL 95/46/EG („insbesondere Vertragsklauseln“) zeigt jedoch, dass die Richtlinie insoweit andere Rechtsinstrumente nicht ausschließt. Daher besteht für Unternehmensgruppen bzw. Konzerne Raum, durch gruppeninterne Regelungen zum Umgang mit personenbezogenen Daten im Ergebnis einen gruppenweiten Schutzstandard für personenbezogene Daten zu etablieren, der den Anforderungen an ausreichende Datenschutzgarantien i. S. v. Art. 26 Abs. 2 RL 95/46/EG, § 4c Abs. 2 S. 1 BDSG genügt. Die wichtigste praktische Erleichterung, die BCR gegenüber anderen Rechts106 instrumenten gleicher Funktion – insbesondere den EU-Standardvertragsklauseln – bieten, besteht darin, dass es für die im EWR ansässigen Datenexporteure, die personenbezogene Daten an konzernangehörige Datenimporteure in unsichere Drittstaaten übermitteln möchten, nicht mehr erforderlich ist, gesonderte datenschutzrechtliche Verträge (z. B. EU-Standardverträge) mit jedem der Datenimporteure zwecks Erfüllung der spezifischen Anforderungen an den Drittstaatstransfer abzuschließen.183 Nach einer anderen Auffassung spielen BCR nicht erst im Rahmen von § 4c 107 Abs. 2 BDSG eine Rolle, sondern bereits bei der Frage, ob bei dem Datenempfänger im Drittstaat gem. § 4b Abs. 2 S. 2 BDSG ein ausreichendes Datenschutzniveau gewährleistet ist. Die Vertreter dieser Auffassung argumentieren damit, dass § 4b Abs. 2 S. 2 BDSG nach seinem Wortlaut nicht auf das im Empfängerland bestehende Datenschutzniveau abstellt, sondern vielmehr auf das Datenschutzniveau bei der empfangenden Stelle an solcher. Da gem. § 4b Abs. 3 BDSG für die Beurteilung der Angemessenheit des Schutzniveaus beim Empfänger ausdrücklich alle Umstände zu
181 D. h. einen Drittstaat, für den keine Entscheidung der Kommission gem. Art. 25 Abs. 6 RL 95/46/ EG zur Anerkennung eines angemessenen Datenschutzniveaus vorliegt. 182 Rn 79. 183 Für Datentransfers zum Zwecke der konzerninternen Auftragsdatenverarbeitung ist jedoch unbeschadet des Vorhandenseins von BCR nach hier vertretener Auffassung zusätzlich noch ein schriftlicher Auftrag nach Maßgabe von Art. 17 Abs. 3 RL 95/46/EU bzw. – nach deutschem Recht – entsprechend § 11 Abs. 2 S. 2 BDSG erforderlich, da die Anforderungen dieser Vorschrift(en) durch BCR nicht ersetzt werden; vgl. auch Rn 22; allerdings handelt es sich hierbei um eine schwierige Rechtsfrage, deren weitere Diskussion abzuwarten bleibt.
Filip
A. Einwilligung, Rechtsvorschriften und Datenschutzrichtlinien
219
berücksichtigen seien, die für die Datenübermittlung von Bedeutung sind, seien insoweit auch etwaige beim Datenempfänger bestehende unternehmens- bzw. konzerninterne datenschutzrechtliche Regelungen zu berücksichtigen, mithin auch etwaige BCR.184 Diese unterschiedliche rechtliche Einordnung von BCR in Deutschland 108 (einerseits unter § 4c Abs. 2 BDSG, andererseits unter § 4b Abs. 2 BDSG) hat praktische Konsequenzen: Werden BCR als Fall von § 4b Abs. 2 BDSG eingestuft, so ist für die Übermittlungen personenbezogener Daten, die auf BCR basieren, keine förmliche Genehmigung der Aufsichtsbehörde erforderlich, da § 4b BDSG kein Genehmigungserfordernis vorsieht. Anders ist dies, wenn man BCR unter § 4c Abs. 2 BDSG fasst, da nach dem Wortlaut dieser Vorschrift die Übermittlung die Genehmigung der zuständigen Datenschutzaufsichtsbehörde voraussetzt.185 Für deutsche Unternehmen praxisrelevant ist, dass – soweit ersichtlich – die 109 deutschen Datenschutzaufsichtsbehörden in dieser Frage geteilter Meinung sind: Während ein Teil von ihnen BCR unter § 4b Abs. 2 BDSG einordnet, misst der andere Teil BCR erst im Rahmen von § 4c Abs. 2 BDSG Bedeutung zu. Einer Übersicht, die auf der Homepage der Europäischen Kommission veröffentlicht ist,186 kann entnommen werden, dass die Aufsichtsbehörden von Berlin, Brandenburg, Niedersachsen, Mecklenburg-Vorpommern, Nordrhein-Westfalen, Rheinland-Pfalz und Schleswig-Holstein sowie der Bundesbeauftragte für Datenschutz und Informationsfreiheit (BfDI) BCR als Fall von § 4c Abs. 2 BDSG betrachten. Da die o. g. Übersicht lediglich eine unverbindliche Zusammenstellung darstellt, bereits einige Jahre alt ist und auch nicht die Auffassungen aller EU-/EWR-Staaten wiedergibt, empfiehlt es sich für Unternehmensgruppen, die aktuelle Rechtsauffassung der für ihre Konzernmitglieder zuständigen Datenschutzbehörden zur Frage der Genehmigungsbedürftigkeit der auf BCR basierenden Datentransfers ausdrücklich zu erfragen. Für Deutschland gilt, dass konzernangehörige Gesellschaften, die der daten- 110 schutzrechtlichen Aufsicht einer derjenigen deutschen Aufsichtsbehörden unterliegen, die BCR unter § 4c Abs. 2 BDSG einordnen, für die beabsichtigten Datenexporte auf der Grundlage von BCR ausdrückliche Genehmigungen der jeweils zuständigen Aufsichtsbehörde beantragen müssen. Für die in den anderen Bundesländern belegenen Gesellschaften ist dies nicht der Fall. Unter den Aufsichtsbehörden der anderen EWR-Staaten erachtet ausweislich der o. g. Übersicht wohl eine Mehrheit Genehmigungen für die Datenexporte auf der Grundlage von BCR als erforderlich.
184 Zum Meinungsstand unter den deutschen Datenschutzaufsichtsbehörden vgl. Gola/Schomerus, § 4c Rn 16; BlnDSB, Jahresbericht 2003, Nr. 4.7.2 = RDV 2004, 135, 136; Taeger/Gabel/Gabel, § 4c Rn 31; Filip, ZD 2013, 51, 52. 185 Filip, ZD 2013, 51, 52. 186 Diese Übersicht (mit der Bezeichnung „National filing requirements for authorisation of transfers on the basis of BCR“) ist abrufbar unter http://ec.europa.eu/justice/data-protection/document/ international-transfers/files/table_nat_admin_req_en.pdf.
Filip
220
Kapitel 5 Datenverarbeitung im (internationalen) Konzern
Praxistipp Da die o. g. Übersicht zur Frage der Genehmigungsbedürftigkeit der auf BCR basierenden Datenübermittlungen in unsichere Drittstaaten seit Längerem nicht mehr überarbeitet wurde, sollten betroffene Unternehmensgruppen die aktuelle Auffassung aller im konkreten Fall zuständigen Datenschutzaufsichtsbehörden in Deutschland und den anderen betroffenen EWR-Staaten einholen.
2. Vorüberlegungen zur Einführung von BCR in einer Unternehmensgruppe
111 Im Vorfeld der unternehmerischen Entscheidung, in einem Konzern BCR einzufüh-
ren, empfehlen sich einige grundlegende Überlegungen. Die Wichtigsten sollen hier skizziert werden.187
a) Sind BCR überhaupt das passende Instrument?
112 Nicht selten äußern Unternehmensgruppen Interesse an BCR, ohne vorher hinrei-
chend geprüft zu haben, ob BCR angesichts der spezifischen Verhältnisse in der Unternehmensgruppe überhaupt sinnvoll sind. Ferner wird häufig der mit der Einführung von BCR verbundene Arbeitsaufwand unterschätzt. Praxistipp Unternehmensgruppen, die die Einführung von BCR erwägen, sollten sich zunächst mit den an BCR gestellten Anforderungen vertraut machen, bevor vorschnell das Ziel ausgegeben wird, BCR einführen zu wollen. Zudem sollte die Gruppe geklärt haben, ob BCR für ihren Bedarf das passende Instrument sind.
113 Es muss bedacht werden, dass die Erstellung und Implementierung von BCR sowie
die interne Überwachung der BCR-Compliance Ressourcen in nicht unerheblichem Umfang binden. Jedenfalls in wirtschaftlicher Hinsicht dürfte dieser Aufwand meist nur rechtfertigbar sein, wenn im jeweiligen Konzern eine erhebliche Anzahl von Konzerngesellschaften aus dem EWR regelmäßig personenbezogene Daten an eine ebenfalls erhebliche Anzahl gruppenangehöriger Gesellschaften außerhalb des EWR für eine Vielzahl von Zwecken übermittelt. Denn nur in solchen Konstellationen führen BCR dazu, dass eine Vielzahl ansonsten erforderlicher datenschutzrechtlicher Einzelvertragsabschlüsse entbehrlich wird.188 Sofern hingegen z. B. nur einige wenige gruppenangehörige Datenexporteure aus dem EWR Datenübermittlungen an (ggf. ebenfalls nur wenige) gruppenangehörige Datenimporteure vornehmen, dürfte es mit Blick auf den mit BCR verbundenen Aufwand häufig günstiger sein, anstelle von BCR die EU-Standardvertragsklauseln zu verwenden.
187 Zu Formulierungen vgl. auch Moos/Abel/Schulte, S. 881 ff. 188 Vgl. Rn 102.
Filip
A. Einwilligung, Rechtsvorschriften und Datenschutzrichtlinien
221
Der Konzern muss auch prüfen, welcher Typus von BCR für ihn überhaupt 114 geeignet sein kann. Hierbei ist zu beachten: Die in der Praxis der Datenschutzbehörden bis Ende 2012 bekannten, „herkömmlichen“ BCR decken nur Datentransfers durch Stellen ab, die beim Transfer als Datenexporteure – d. h. als verantwortliche Stellen – agieren. Häufig spricht man hier daher von „BCR für Controller“. Davon zu unterscheiden sind Fälle, in denen Konzerne von ihrem Geschäftsgegenstand her typischerweise Auftragsdatenverarbeitung für konzernfremde Auftraggeber betreiben und dies auch durch konzernangehörige Gesellschaften in unsicheren Drittstaaten erledigen möchten.189 Für solche Konzerne können jedoch u. U. die sog. BCR für Auftragsdatenverarbeiter (Processor Binding Corporate Rules190) ein sinnvolles Instrument darstellen.191 BCRP werden von den Datenschutzbehörden der EU-Mitgliedstaaten seit dem 1.1.2013 als Rechtsinstrument anerkannt. Interessierte Unternehmensgruppen sollten sich frühzeitig Klarheit darüber verschaffen, welcher Typus von BCR für ihre Zwecke geeignet ist. Praxistipp Für Unternehmensgruppen, die typischerweise Auftragsdatenverarbeitung für konzernfremde Dritte durchführen, können – jedenfalls für diesen Zweck – nur sog. BCR für Auftragsdatenverarbeiter sinnvoll sein.192
b) BCR liefern keine Rechtsgrundlage für die „erste Stufe“ der Datenübermittlung BCR liefern lediglich ausreichende Datenschutzgarantien für die Übermittlung per- 115 sonenbezogener Daten in unsichere Drittstaaten. Sie dienen somit lediglich dazu, die Anforderungen der sog. zweiten Stufe der Datenübermittlung zu erfüllen.193 Zusätzlich müssen jedoch für jede Übermittlung personenbezogener Daten an einen Datenimporteur, der an die BCR gebunden ist, auch die regulären, für jede Übermittlung geltenden Anforderungen des nationalen Datenschutzrechts erfüllt werden („erste Stufe“);194 anderenfalls ist die Übermittlung unzulässig. Somit führen BCR keineswegs dazu, dass jegliche Übermittlung personenbezo- 116 gener Daten an andere Konzerngesellschaften zulässig wäre. BCR schaffen mithin kein „Konzernprivileg“.195 Konzerne, deren BCR von den zuständigen Datenschutzbehörden als „ausreichende Datenschutzgarantien“ anerkannt worden sind, müssen
189 Dies dürfte häufig bei (IT-)Unternehmen der Fall sein, die Dienstleistungen der automatisierten Verarbeitung personenbezogener Daten anbieten. 190 Im Folgenden: BCRP. 191 Zu BCRP vgl. Rn 204 ff. 192 Hierzu Rn 204 ff. 193 Vgl. Rn 21, 26, 79 ff. und 104 ff. 194 Vgl. Rn 21 und 26. 195 Zum fehlenden sog. Konzernprivileg im EU-Datenschutzrecht vgl. Rn 4.
Filip
222
Kapitel 5 Datenverarbeitung im (internationalen) Konzern
sich daher bewusst sein, dass ihre konzernangehörigen Gesellschaften für jegliche Übermittlung personenbezogener Daten innerhalb des Konzerns trotz BCR noch eine Rechtsgrundlage gemäß dem jeweils anwendbaren nationalen Datenschutzrecht196 benötigen. Für Datentransfers in Drittstaaten gilt dies nach deutschem Datenschutzrecht auch dann, wenn die Daten zum Zwecke der Auftragsdatenverarbeitung transferiert werden, da auch in solchen Fällen formal eine Übermittlung vorliegt.197
3. Anerkennung der BCR als angemessene Datenschutzgarantien sowie Genehmigungserteilung für Datenexporte auf der Grundlage von BCR 117 Um personenbezogene Daten auf der Basis von BCR in unsichere Drittstaaten übermitteln zu dürfen, müssen Unternehmen zwei Verfahrensschritte absolvieren: In einem ersten Schritt muss die Anerkennung der BCR als „ausreichende Datenschutzgarantien“ durch alle zuständigen Datenschutzbehörden im EWR herbeigeführt werden. Dies sind die Behörden derjenigen EU-Mitgliedstaaten bzw. EWR-Vertragsstaaten, aus denen heraus konzernangehörige Datenexporteure personenbezogene Daten auf der Basis der BCR an konzernangehörige Datenimporteure in unsichere Drittstaaten übermitteln möchten. In einem zweiten Schritt müssen dann, jedenfalls im Zuständigkeitsbereich derjenigen Datenschutzbehörden, die dies als erforderlich ansehen,198 noch die Genehmigungen der jeweils zuständigen Datenschutzbehörden für die einzelnen Übermittlungen bzw. Kategorien von Übermittlungen eingeholt werden. Im Zuständigkeitsbereich solcher Datenschutzbehörden, die insoweit keine Genehmigung als erforderlich ansehen, entfällt der zweite Schritt. Die beiden Verfahrensschritte199 sollen im Folgenden näher dargestellt werden.
a) Schritt 1: Verfahren zur Anerkennung der BCR als ausreichende Garantien aa) Auswahl der federführenden Behörde; Sprache der BCR 118 Was die aufsichtsbehördliche Zuständigkeit betrifft, so obliegt die Beurteilung, ob ein bestimmtes in einem Konzern einzuführendes BCR-Regelwerk ausreichende Datenschutzgarantien i. S. v. § 4c Abs. 2 BDSG bzw. ein angemessenes Datenschutzniveau i. S. v. § 4b Abs. 2 BDSG200 liefert, derjenigen Datenschutzbehörde, die territorial für
196 Nach deutschem Datenschutzrecht ist eine Rechtsgrundlage gem. § 4 Abs. 1 BDSG, §§ 28 ff. BDSG bzw. gemäß etwaiger besonderer, gegenüber dem BDSG nach § 1 Abs. 3 BDSG vorrangiger Vorschriften erforderlich. 197 Rn 11. 198 Vgl. Rn 110. 199 Zum Verfahren vgl. auch Dix/Gardain, DuD 2006, 343, 345 (allerdings noch aus der Zeit vor Einführung des sog. Mutual-Recognition-Verfahrens); Filip, ZD 2013, 51, 52 ff. 200 Zur unterschiedlichen Einordnung unter § 4b Abs. 2 bzw. § 4c Abs. 2 BDSG vgl. Rn 107 ff.; im Folgenden wird – soweit nicht ausdrücklich anders gekennzeichnet – aus Gründen der sprachlichen
Filip
A. Einwilligung, Rechtsvorschriften und Datenschutzrichtlinien
223
den jeweiligen Datenexport durch eine bestimmte verantwortliche Stelle i. S. v. § 3 Abs. 7 BDSG zuständig ist. Wenn – wie bei international tätigen Konzernen häufig der Fall – konzernangehörige Gesellschaften in mehreren EWR-Staaten ansässig sind, und alle diese Gesellschaften jeweils Datenübermittlungen auf der Grundlage der BCR vornehmen möchten, sind daher alle Datenschutzbehörden dieser Mitgliedstaaten für die Beurteilung derselben BCR zuständig. Um Parallelprüfungen mitsamt dem Risiko sich widersprechender Bewertungen zu vermeiden, haben die Datenschutzbehörden zahlreicher EWR-Staaten eine Verfahrenskonzentration vereinbart: Seit 2007 besteht ein abgesprochenes Verfahren der sog. gegenseitigen Anerkennung (mutual recognition),201 an dem zwischenzeitlich die Aufsichtsbehörden von 21 der 31 EWR-Staaten teilnehmen.202 Die am MR-Verfahren teilnehmenden Datenschutzaufsichtsbehörden haben sich darauf verständigt, die zentrale Prüfung eines BCR-Entwurfs durch eine einzige Behörde – die sog. federführende Behörde/lead authority – zu akzeptieren, d. h. auf eine eigene Prüfung zu verzichten. Vereinbart ist ferner, dass die federführende Behörde grundsätzlich zwei weitere Behörden als sog. Co-Prüfer (reviewer) an der Prüfung beteiligt. Somit entfällt eine Parallelprüfung durch die Aufsichtsbehörden der anderen an MR teilnehmenden EWR-Staaten. Das MR-Verfahren hat zu einer deutlichen Beschleunigung der Anerkennungsverfahren geführt. Von denjenigen zehn EWR-Vertragsstaaten, die bislang nicht an MR teilnehmen, 119 erkennt – soweit derzeit bekannt – Portugal BCR von vornherein nicht als „ausreichende Datenschutzgarantien“ an, sodass BCR als mögliches Instrument für Drittstaatsübermittlungen aus Portugal insgesamt entfallen. Daneben hat auch Ungarn zwischenzeitlich auf Arbeitsebene mitgeteilt, BCR nicht mehr zu akzeptieren; jedoch könnte sich dieser Zustand in Ungarn – soweit bekannt – eventuell infolge möglicher Novellierungen des nationalen Rechts wieder ändern.203 Die Datenschutzbehörden der übrigen acht EU-/EWR-Staaten, die nicht am MR-Verfahren teilnehmen, haben sich zwar grundsätzlich eine eigenständige Prüfung von BCR-Entwürfen vorbehalten. Jedoch sind in der Praxis zumindest bislang keine Fälle bekannt, in denen einer dieser Staaten Einwände größeren Umfangs gegen einen BCR-Entwurf erhoben hätte, der von den an dem MR-Verfahren teilnehmenden Staaten als „ausreichende Datenschutzgarantien“ anerkannt worden ist.
Vereinfachung nur noch von „ausreichenden Datenschutzgarantien“ gesprochen, womit zugleich auch die von der anderen Auffassung vertretene Alternative („angemessenes Datenschutzniveau“) gemeint sein soll. 201 Im Folgenden: MR. 202 Die Liste der an MR teilnehmenden EU-Staaten (darunter Deutschland) sowie Informationen zum MR-Verfahren finden sich unter http://ec.europa.eu/justice/data-protection/document/international-transfers/binding-corporate-rules/mutual_recognition/index_en.htm. 203 Bei Bedarf müsste bei der ungarischen Datenschutzbehörde nach dem dortigen Sachstand zu diesem Thema gefragt werden.
Filip
224
Kapitel 5 Datenverarbeitung im (internationalen) Konzern
Das Verfahren zur EWR-weiten Anerkennung von BCR ist in mehreren Arbeitspapieren (Working Papers/WP) der Artikel-29-Datenschutzgruppe dargestellt.204 Zentrale Bedeutung haben insoweit die WP 107, 108 und 133. Das WP 133 enthält das Antragsformular, das zur Einreichung eines BCR-Entwurfs bei der federführenden Aufsichtsbehörde zu verwenden ist. Im BCR-Anerkennungsverfahren ist ausschließlich die federführende Aufsichtsbehörde Ansprechpartner für den Konzern. Die WP 108 und 133 zeigen die Kriterien auf, anhand derer die federführende Aufsichtsbehörde zu bestimmen ist.205 Vorrangiges Kriterium ist der Hauptsitz der Unternehmensgruppe, sofern sich dieser innerhalb des EWR befindet. Sofern der Hauptsitz außerhalb des EWR liegt, kommen die weiteren in den o. g. Arbeitspapieren genannten Kriterien zur Anwendung. Bei Unsicherheit darüber, welche Datenschutzbehörde im EWR die zutreffende 121 federführende Behörde ist, empfiehlt sich eine frühzeitige Kontaktaufnahme mit einer derjenigen Behörden, die als zutreffende federführende Behörde vermutet werden. Letztere wird im Kontakt mit dem Konzern die zutreffende federführende Behörde ermitteln. Der Konzern muss im Antrag angeben, für welche EWR-Staaten er die Aner122 kennung seiner BCR wünscht.206 Im Vorfeld sollte er deshalb frühzeitig prüfen, in welchen EWR-Vertragsstaaten konzernangehörige Gesellschaften ansässig sind, die auf Grundlage der BCR personenbezogene Daten an Konzernmitglieder in unsichere Drittstaaten übermitteln wollen.
120
Praxistipp Vor Einreichung des förmlichen Antrags auf Anerkennung der BCR muss der Konzern umfassend prüfen, in welchen EWR-Staaten konzernangehörige Gesellschaften sitzen, die an die BCR gebunden sein sollen. 123 Im Rahmen des BCR-Anerkennungsverfahrens muss der Entwurf der BCR der feder-
führenden Behörde in deren Landessprache und in englischer Sprache vorgelegt werden.207 Den beiden sog. Co-Prüfer-Behörden wird der BCR-Entwurf (nach vorläufigem Abschluss der Prüfung durch die federführende Behörde) in aller Regel
204 Allerdings berücksichtigen diese Arbeitspapiere noch nicht das seit 2007 praktizierte sog. Mutual-Recognition-Verfahren. Die Grundzüge des Verfahrens (einschließlich „Mutual Recognition“) sind auch unter der Internetpräsenz der Europäischen Kommission dargestellt unter http://ec.europa. eu/justice/data-protection/document/international-transfers/binding-corporate-rules/procedure/ index_en.htm. 205 Artikel-29-Datenschutzgruppe, WP 107, Nr. 2; WP 108, Nr. 3; WP 133, Part 1, Nr. 3. 206 Artikel-29-Datenschutzgruppe, WP 133, Part I, Nr. 1, letzte Rubrik. 207 Artikel-29-Datenschutzgruppe, WP 107, Nr. 8; um Übersetzungs-Mehraufwand zu vermeiden, kann es in der Praxis sinnvoll sein, in Absprache mit der federführenden Behörde den ersten Entwurf zunächst nur in der Landessprache vorzulegen, und erst nach Akzeptierung des Entwurfs (ggf. nach
Filip
A. Einwilligung, Rechtsvorschriften und Datenschutzrichtlinien
225
in englischer Sprache durch die federführende Aufsichtsbehörde zugeleitet.208 Die Endfassung muss dann auch allen zuständigen Datenschutzbehörden im EWR in der jeweiligen Landessprache zur Verfügung gestellt werden,209 jedenfalls sobald die Konzerngesellschaften in den einzelnen EWR-Staaten bei den dortigen Aufsichtsbehörden Genehmigungen zur Datenübermittlung auf der Grundlage der BCR beantragen; denn die Aufsichtsbehörden werden dabei die BCR in ihrer jeweiligen Landessprache verlangen.210 So können z. B. deutsche Aufsichtsbehörden wegen des Grundsatzes der deutschen Amtssprache nach § 23 VwVfG bzw. nach den entsprechenden landesrechtlichen Vorschriften Genehmigungen nur auf der Basis der deutschen Sprachfassung der BCR erteilen.
bb) Weiterer Ablauf des BCR-Anerkennungsverfahrens Die federführende Behörde wird nach Einreichung des BCR-Entwurfs im Dialog 124 mit dem Konzern prüfen, ob der vorgelegte Entwurf sowie ggf. begleitende Unterlagen hinreichend belegen, dass bei den Gesellschaften, die an die BCR gebunden sein werden, ausreichende Datenschutzgarantien vorhanden sind. In der Praxis werden im Dialog mit der federführenden Behörde in der Regel mehr oder weniger umfangreiche Überarbeitungen des BCR-Entwurfs bzw. einzelner Textstellen erforderlich werden. Sobald die federführende Behörde davon überzeugt ist, dass durch die BCR ausreichende Datenschutzgarantien erbracht werden, wird sie den Entwurf an die zwei Co-Prüfer-Behörden (reviewer)211 zur Stellungnahme im Rahmen des MR-Verfahrens zuleiten. Vereinbart ist unter den Datenschutzbehörden, dass die CoPrüfer ihre Anmerkungen innerhalb eines Monats der federführenden Behörde zuleiten müssen. Eine Verlängerung dieser Frist kommt nur aufgrund ganz besonderer Umstände in Betracht. Sofern seitens der Co-Prüfer noch Änderungsbedarf gesehen wird und/oder ergänzende Erläuterungen für erforderlich gehalten werden, ist die federführende Behörde dafür zuständig, dies der Unternehmensgruppe mitzuteilen. Sobald alle von der federführenden Behörde und den Co-Prüfern gestellten Anforderungen erfüllt sind, ist das MR-Verfahren abgeschlossen. Anschließend leitet die federführende Behörde den Entwurf denjenigen Datenschutzbehörden, die nicht an MR teilnehmen,212 zur eigenständigen Prüfung zu, wobei für Rückmeldungen eine
mehreren Überarbeitungen) durch die federführende Behörde eine englische Übersetzung anzufertigen. 208 Vgl. Artikel-29-Datenschutzgruppe, WP 107, Nr. 8, das allerdings noch nicht das später eingeführte sog. Mutual-Recognition-Verfahren berücksichtigt; zum Zeitpunkt dieser Weiterleitung vgl. Rn 125. 209 Artikel-29-Datenschutzgruppe, WP 107, Nr. 8. 210 Dieser Schritt („Schritt 2“) schließt an das BCR-Anerkennungsverfahren an, vgl. Rn 126. 211 Vgl. Rn 118. 212 Jedoch nicht Portugal und, soweit bekannt – derzeit – Ungarn, da diese BCR von vornherein nicht anerkennen, vgl. Rn 119.
Filip
226
Kapitel 5 Datenverarbeitung im (internationalen) Konzern
Frist von einem Monat vereinbart ist.213 Die anderen an MR teilnehmenden Behörden erhalten die BCR lediglich zur Kenntnis, da sie durch ihre Teilnahme an MR auf eine eigenständige Prüfung verzichtet haben. Sobald alle betroffenen EU-Mitgliedstaaten bzw. EWR-Vertragsstaaten die BCR 125 als ausreichende Datenschutzgarantien anerkannt haben, teilt die federführende Behörde dies der Unternehmensgruppe und allen betroffenen Datenschutzbehörden im EWR mit. Diese Mitteilung ist von der anschließend noch erforderlichen Genehmigung der Datenexporte gegenüber einzelnen Gesellschaften („Schritt 2“)214 strikt zu unterscheiden.
b) Schritt 2: Einholung von Genehmigungen für die einzelnen Datenexporte
126 Mit der abschließenden Anerkennung der BCR durch die Aufsichtsbehörden ist noch
nicht alles getan, um personenbezogene Daten auf der Grundlage der BCR in unsichere Drittstaaten übermitteln zu können. Vielmehr müssen nun diejenigen konzernangehörigen Datenexporteure, die für den Datenexport eine Genehmigung der für sie zuständigen Datenschutzbehörde benötigen, Anträge auf Erteilung dieser Genehmigungen stellen. Dies betrifft die Konzerngesellschaften in denjenigen EWRStaaten bzw. – was Deutschland angeht – denjenigen Bundesländern,215 die für Datenexporte auf der Grundlage von BCR eine aufsichtsbehördliche Genehmigung nach § 4c Abs. 2 BDSG als erforderlich ansehen.216 Diese Genehmigungen sind von der vorangegangenen Anerkennung der BCR als angemessene Datenschutzgarantien217 strikt zu unterscheiden. Bei der Stellung des Antrags auf Genehmigung der Übermittlungen – in den 127 Mitgliedstaaten bzw. Bundesländern, in denen eine solche erforderlich ist – muss die jeweilige Konzerngesellschaft die Arten und Kategorien der Daten, die sie auf der Grundlage der BCR exportieren möchte, sowie die konkreten Empfänger und Übermittlungszwecke angeben. Diese Angaben sind notwendig, damit Klarheit besteht, welche Übermittlungen vom jeweiligen Genehmigungsbescheid erfasst sind. Die Beschreibung der Datenarten und -kategorien sowie der Übermittlungszwecke im Genehmigungsantrag wird daher meist einen höheren Konkretisierungsgrad als die entsprechenden Beschreibungen in den BCR selbst aufweisen müssen.
213 In der Praxis wurden – soweit bekannt – bislang von diesen Behörden keine signifikanteren Einwände gegen BCR erhoben, die von den am MR-Verfahren teilnehmenden Behörden als „ausreichende Datenschutzgarantien“ anerkannt worden waren. 214 Zu „Schritt 2“ vgl. Rn 126 ff. 215 Gleiches gilt für Datenexporte durch Gesellschaften, die der datenschutzaufsichtlichen Zuständigkeit des BfDI unterfallen, vgl. Rn 109. 216 Rn 109. 217 „Schritt 1“, Rn 118 ff.
Filip
A. Einwilligung, Rechtsvorschriften und Datenschutzrichtlinien
227
Die Artikel-29-Datenschutzgruppe hat eine Übersicht zum Verfahren der Bean- 128 tragung von Exportgenehmigungen in den einzelnen Mitgliedstaaten veröffentlicht.218 Daraus geht u. a. hervor, welche Unterlagen zur Beantragung im jeweiligen Mitgliedstaat einzureichen sind oder ob Formblätter verwendet werden müssen. Da allerdings nicht alle Mitgliedstaaten entsprechende Informationen zur Verfügung gestellt haben, ist die Übersicht leider nicht ganz vollständig. Im Verfahren zur Genehmigung der einzelnen Datenexporte („Schritt 2“) sollten 129 Gesichtspunkte, die bereits im Rahmen des vorausgegangenen BCR-Anerkennungsverfahrens („Schritt 1“) geprüft worden sind, grundsätzlich nicht noch einmal geprüft werden, da dies dem Sinn der – bereits erfolgten – datenschutzbehördlichen Anerkennung der BCR als „ausreichende Datenschutzgarantien“ zuwiderliefe.219 Da die Anerkennung der BCR als „ausreichende Datenschutzgarantien“ („Schritt 1“) jedenfalls nach dem Verständnis der meisten EWR-Staaten nicht mit einer Genehmigung der Datenexporte durch förmlichen Genehmigungsbescheid („Schritt 2“) gleichzusetzen ist,220 sondern lediglich ein von den Datenschutzbehörden im EWR auf freiwilliger Basis praktiziertes und koordiniertes Vorziehen der Prüfung des Vorliegens ausreichender Datenschutzgarantien für den Drittstaatsexport darstellt, besteht aber für Fälle, in denen erst nach Abschluss des Anerkennungsverfahrens Zweifel am Vorliegen „ausreichender Datenschutzgarantien“ erkennbar werden, für die jeweilige Behörde grundsätzlich noch die Möglichkeit, die ihrer Zuständigkeit unterliegenden Datenexporte zunächst nicht oder ggf. nur unter bestimmten Auflagen bzw. Bedingungen zu genehmigen. Von solchen Ausnahmefällen abgesehen sollte jedoch die Erteilung der Exportgenehmigungen in aller Regel zeitnah und ohne größere Schwierigkeiten erfolgen.221 Im Rahmen des Genehmigungsverfahrens weisen die deutschen Datenschutzbe- 130 hörden im Rahmen von Nebenbestimmungen bzw. Hinweisen auf Besonderheiten hin, die sich aus dem deutschen Datenschutzrecht („erste Stufe“ der Datenübermittlung) ergeben und die daher im Rahmen des vorgeschalteten BCR-Anerkennungsverfahrens nicht geprüft worden sind. Dies sind insbesondere zusätzliche Anforderungen an die Übermittlung personenbezogener Daten von Beschäftigten.222 Auch aus den nationalen Rechtsordnungen der anderen EWR-Staaten können sich zusätzliche Anforderungen ergeben.
218 Abrufbar unter http://ec.europa.eu/justice/data-protection/document/international-transfers/ files/table_nat_admin_req_en.pdf. 219 Vgl. Artikel-29-Datenschutzgruppe, WP 107, Nr. 6. 220 Artikel-29-Datenschutzgruppe, WP 107, Nr. 6. 221 Vgl. Artikel-29-Datenschutzgruppe, WP 107, Nr. 6. 222 Vgl. hierzu den sog. Arbeitsbericht der Ad-hoc-Arbeitsgruppe „Konzerninterner Datentransfer“ der deutschen Datenschutzbehörden, abrufbar etwa unter http://www.lda.bayern.de/lda/datenschutzaufsicht/lda_daten/Arbeitspapier_konzerninterner_Datenverkehr.pdf, insbesondere S. 8 f.
Filip
228
131
Kapitel 5 Datenverarbeitung im (internationalen) Konzern
Hingewiesen sei noch darauf, dass – soweit ersichtlich – deutsche Datenschutzbehörden, die gem. § 4c Abs. 2 S. 1 BDSG Datenexportgenehmigungen auf der Basis von BCR für erforderlich erachten, hiermit lediglich das Vorliegen ausreichender Datenschutzgarantien i. S. v. § 4c Abs. 2 BDSG bestätigen. Die Genehmigung erstreckt sich mithin nicht auf die Erfüllung der Anforderungen der „ersten Stufe“ der Datenübermittlung (§ 4 Abs. 1 BDSG, §§ 28 ff. BDSG).223 Dies sollte durch entsprechenden Hinweis im Genehmigungsbescheid klargestellt werden. Die Aufsichtsbehörden prüfen und bestätigen mithin – soweit ersichtlich – nicht, ob die einzelnen Übermittlungen auf eine Rechtsgrundlage gem. §§ 4 Abs. 1, 28 ff. BDSG gestützt werden können. Praxistipp Nach erfolgreicher Anerkennung der BCR durch die betroffenen Datenschutzbehörden im EWR müssen in einem zweiten Schritt die konzernangehörigen Gesellschaften in einigen – aber nicht allen – EWR-Staaten und einigen deutschen Bundesländern bzw. ggf. beim BfDI noch Anträge auf Genehmigung der Datenexporte durch die für sie jeweils zuständigen Datenschutzbehörden stellen. Erst nach erteilter Genehmigung darf die jeweilige Gesellschaft Daten auf der Basis der BCR übermitteln.
4. Inhaltliche und weitere Anforderungen an BCR
132 BCR sollen ausreichende Garantien hinsichtlich des Schutzes der Privatsphäre, der
Grundrechte und der Grundfreiheiten der Personen gem. Art. 26 Abs. 2 RL 95/46/EG bzw. – nach deutschem Recht – gem. § 4c Abs. 2 BDSG schaffen.224 Im Ergebnis muss dazu durch die BCR ein Datenschutzniveau hergestellt werden, das demjenigen der EU-Datenschutzrichtlinie im Wesentlichen vergleichbar ist. Daher müssen BCR alle in der EU-Datenschutzrichtlinie enthaltenen datenschutzrechtlichen Grundsätze, Garantien und Betroffenenrechte enthalten. Zusätzlich zu diesen materiellen Anforderungen muss der Konzern sicherstellen und überzeugend darlegen, dass die BCR für alle konzernangehörigen Gesellschaften verbindlich sind und im Alltag befolgt werden. Zusätzlich müssen den Datenschutzbehörden in rechtsverbindlicher Weise Kontrollmöglichkeiten gegenüber allen an den BCR teilnehmenden Gesellschaften eingeräumt werden. Die Artikel-29-Datenschutzgruppe der Datenschutzbehörden der EWR-Staaten hat in mehreren Arbeitspapieren diese an BCR zu stellenden Anforde-
223 Zur sog. Zweistufigkeit der datenschutzrechtlichen Prüfung bei Übermittlungen in Drittstaaten vgl. Rn 21, 26 und 79 ff. 224 Nach anderer vertretener Ansicht sind BCR bereits im Rahmen der Frage des Bestehens eines „angemessenes Datenschutzniveaus“ i. S. v. §§ 4b Abs. 2 und 3 BDSG, Art. 25 Abs. 2 RL 95/46/EG beim Datenempfänger zu berücksichtigen, vgl. Rn 107 ff.
Filip
A. Einwilligung, Rechtsvorschriften und Datenschutzrichtlinien
229
rungen umfassend dargelegt.225 An BCR interessierte Unternehmensgruppen sind gut beraten, sich hiermit frühzeitig vertraut zu machen. Im Wesentlichen lassen sich die Anforderungen an BCR in folgende Kategorien 133 aufteilen:226 – Nachweis der rechtlichen Verbindlichkeit der BCR innerhalb der Unternehmensgruppe (interne Verbindlichkeit);227 – Nachweis der rechtlichen Verbindlichkeit der BCR gegenüber Betroffenen, insbesondere durchsetzbare Rechte einschließlich Klagerechte für die Betroffenen in der EU (äußere Verbindlichkeit) und Haftung;228 – Nachweis der praktischen Wirksamkeit innerhalb der Unternehmensgruppe, insbesondere: Schulungen; Audits; Einrichtung eines Beschwerdeverfahrens; Einsetzung eines Stabs von Mitarbeitern, die intern die BCR-Umsetzung kontrollieren;229 – Nachweis der Zusammenarbeit mit den Datenschutzbehörden im EWR;230 – Beschreibung der unter die BCR fallenden Datenverwendungsvorgänge und des Anwendungsbereichs der BCR;231 – Nachweis eines Systems zur Aktualisierung der BCR und des Kreises der an die BCR gebundenen Unternehmen;232 – materielle Anforderungen im engeren Sinne; dazu gehören insbesondere die datenschutzrechtlichen Grundsätze, die Betroffenenrechte entsprechend der RL 95/46/EG, Vorschriften zur Haftung sowie Regeln für die sog. Weiterübermittlung personenbezogener Daten an in unsicheren Drittstaaten ansässige konzernfremde Stellen;233 – Benennung aller Unternehmen, die an die BCR gebunden sind;234 – Regelungen zum Vorgehen im Falle von in Drittstaaten bestehenden Rechtsvorschriften, die der Einhaltung der BCR entgegenstehen könnten;235 – Erklärung zum Verhältnis zwischen den BCR und nationalen Rechtsvorschriften.236
225 Insgesamt handelt es sich hierbei um die WP 74, 108, 153, 154 und 155 der Artikel-29-Datenschutzgruppe; vgl. auch das Antragsformular in WP 133. 226 Die Aufzählung orientiert sich insbesondere an Artikel-29-Datenschutzgruppe, WP 153. 227 Artikel-29-Datenschutzgruppe, WP 153, Nr. 1.1 und 1.2. 228 Artikel-29-Datenschutzgruppe, WP 153, Nr. 1.3–1.5; WP 154, Nr. 18. 229 Artikel-29-Datenschutzgruppe, WP 153, Nr. 2.1–2.4; WP 154, Nr. 13, 14, 15, 17. 230 Artikel-29-Datenschutzgruppe, WP 153, Nr. 3.1; WP 154, Nr. 20. 231 Artikel-29-Datenschutzgruppe, WP 153, Nr. 4.1 und 4.2; WP 154, Nr. 1. 232 Artikel-29-Datenschutzgruppe, WP 153, Nr. 5.1; WP 154, Nr. 21. 233 Artikel-29-Datenschutzgruppe, WP 153, Nr. 6.1; WP 154, Nr. 3–12, 19. 234 Artikel-29-Datenschutzgruppe, WP 153, Nr. 6.2; WP 154, Schlussanmerkung (S. 12). 235 Artikel-29-Datenschutzgruppe, WP 153, Nr. 6.3; WP 154, Nr. 16. 236 Artikel-29-Datenschutzgruppe, WP 153, Nr. 6.4; WP 154, Nr. 22.
Filip
230
Kapitel 5 Datenverarbeitung im (internationalen) Konzern
134 Nicht alle Anforderungen betreffen den eigentlichen Text der BCR als solchen. Dies
gilt insbesondere für den zu erbringenden Nachweis der „inneren“ und „äußeren“ Rechtsverbindlichkeit der BCR; dieser Nachweis setzt voraus, dass der Konzern gegenüber den Datenschutzbehörden hinreichend rechtliche Regelungen und Mechanismen darlegt, mittels derer die Rechtsverbindlichkeit der BCR hergestellt wird. Dieser Nachweis kann nur erbracht werden, indem der Konzern über den eigentlichen Text der BCR hinaus einschlägige Unterlagen und Belege vorlegt. Hinzuweisen ist insoweit auf das in WP 133 enthaltene Antragsformular, in welchem unter Nr. 4 des zweiten Teils („Part II“) der Konzern eingehend und rechtlich präzise begründen muss, mit welchen Mechanismen die interne und externe Verbindlichkeit der BCR hergestellt wird. Die maßgeblichen Anforderungen an BCR sind im Einzelnen folgende: 135
a) Verbindlichkeit der BCR; Haftung 136 Die Artikel-29-Datenschutzgruppe führt bereits in WP 74237 und WP 108238 aus, dass BCR in zweierlei Hinsicht verbindlich sein müssen, namentlich sowohl intern als auch in Bezug auf die Außenwelt.
aa) Interne Verbindlichkeit gegenüber den Gruppenmitgliedern
137 Die interne Verbindlichkeit setzt (über die weiter unten dargestellte sog. praktische
Wirksamkeit im Sinne der faktischen Befolgung der BCR im „Alltag“239 hinausgehend) voraus, dass die BCR-Vorschriften gegenüber den teilnehmenden Gesellschaften intern – d. h. in der Unternehmensgruppe – rechtlich durchsetzbar sind. Hierbei wird – jedenfalls als „Idealmodell“ – erwartet, dass die Einhaltung der BCR gegenüber den in unsicheren Drittstaaten ansässigen Gesellschaften üblicherweise durch die europäische Konzernzentrale oder ein anderes in der EU ansässiges Konzernmitglied rechtlich durchgesetzt werden kann.240 Die Artikel-29-Datenschutzgruppe führt zwar alternativ mehrere Möglichkeiten zur Herstellung der internen rechtlichen Verbindlichkeit an, namentlich:241 – verbindliche unternehmensinterne oder vertragliche Regelungen, die gegenüber anderen Unternehmensteilen durchsetzbar sind;
237 Artikel-29-Datenschutzgruppe, WP 74, Nr. 3.3.1 und 3.3.2. 238 Artikel-29-Datenschutzgruppe, WP 108, Nr. 5, insbesondere Nr. 5.6 und Nr. 5.12–5.16. 239 Zur sog. praktischen Wirksamkeit Rn 185 ff. 240 Artikel-29-Datenschutzgruppe, WP 74, Nr. 3.3.1, vorletzter Absatz, wo darauf hingewiesen wird, dass nach dem internationalen Gesellschaftsrecht angegliederte Unternehmen Verhaltenskodizes gegeneinander durchsetzen können, (u. a.) wenn Verstöße gegen quasivertragliche Vereinbarungen vorliegen. 241 Artikel-29-Datenschutzgruppe, WP 108, Nr. 5.6.
Filip
A. Einwilligung, Rechtsvorschriften und Datenschutzrichtlinien
231
– einseitige Erklärungen oder Verpflichtungen seitens des Mutterunternehmens, die für die übrigen Unternehmensteile verbindlich sind; – die Aufnahme anderer Kontrollmaßnahmen, z. B. von in Gesetzesvorschriften enthaltenen Verpflichtungen, in einem festgelegten rechtlichen Rahmen; – die Aufnahme der Regelungen in die allgemeinen Unternehmensgrundsätze mit entsprechenden Verhaltensregeln, Audits und Sanktionen zu ihrer Durchsetzung. Bei näherer Betrachtung ergibt sich jedoch, dass im Ergebnis nicht alle genannten 138 Möglichkeiten für alle Fälle geeignet sind. Im Einzelnen:
(1) Vertragliche Regelungen Bei dieser Lösung schließen alle Mitglieder der Unternehmensgruppe untereinander einen mehrseitigen Vertrag (Intra-Group-Agreement), mittels dessen sie sich wechselseitig verpflichten, die BCR einzuhalten. Diese Lösung hat den erheblichen Vorteil der Rechtsklarheit auf ihrer Seite, insbesondere im Hinblick auf das Erfordernis der sog. externen Verbindlichkeit,242 da es nach dem Recht aller Mitgliedstaaten möglich ist, vertragliche Klauseln mit drittbegünstigender Wirkung zu versehen.243 Die Verträge müssen in zweifelsfreier Weise Bezug auf die BCR nehmen, sodass die in den BCR enthaltenen Verpflichtungen eindeutig von den jeweiligen Vertragserklärungen umfasst sind. Die vertraglichen Vereinbarungen müssen nicht lang oder komplex sein, denn eigentlich werden sie nur als „Hebel“ bzw. „Trigger“ benötigt, um den Betroffenen als Drittbegünstigten in rechtlich zweifelsfreier Weise durchsetzbare Rechte zu verleihen.244 Der Abschluss eines mehrseitigen Vertrags durch die beteiligten Gruppenmitglieder ist vor diesem Hintergrund letztlich der klarste Weg, um die innere und äußere Verbindlichkeit von BCR zweifelsfrei nachzuweisen.245 Eine andere Möglichkeit soll gemäß dem Vorschlag einiger Autoren darin bestehen, dass die Muttergesellschaft die BCR zunächst durch einseitige Erklärung oder in der Form unternehmensinterner Regelungen (z. B. als Konzernrichtlinie) in Kraft setzt, und sich die anderen Konzerngesellschaften durch ausdrückliche (Beitritts-) Erklärungen zur Einhaltung der BCR verpflichten; auch in diesem Fall dürfte wohl in aller Regel von einem mehrseitigen Vertrag auszugehen sein,246 da zumindest im Wege der Auslegung der Wille der einzelnen Gruppenmitglieder feststellbar sein dürfte, sich gegenüber den anderen Mitgliedern rechtsverbindlich zur Einhaltung
242 Zur sog. externen Verbindlichkeit vgl. Rn 158 ff. 243 Artikel-29-Datenschutzgruppe, WP 74, Nr. 3.3.2, Fn 12. 244 Artikel-29-Datenschutzgruppe, WP 74, Nr. 3.3.2. 245 So auch Grapentin, CR 2011, 102, 105; Schröder, DuD 2004, 462, 467. 246 Büllesbach, S. 184.
Filip
139
140
141
142
232
Kapitel 5 Datenverarbeitung im (internationalen) Konzern
der BCR zu verpflichten. Allerdings ist es h.E. zur Vermeidung von Zweifeln der Datenschutzbehörden demgegenüber deutlich vorzugswürdig, eine ausdrücklich als „mehrseitiger Vertrag“ bezeichnete Vereinbarung zwischen den Gruppenmitgliedern abzuschließen.
(2) Gestaltung als unternehmensinterne Regelungen (z. B. Konzernrichtlinien) 143 Grundsätzlich können BCR den Charakter einer konzerninternen Richtlinie besitzen. Die interne Verbindlichkeit gegenüber den Gruppenmitgliedern ist in diesem Fall jedenfalls dann gewährleistet, wenn eines der beteiligten Unternehmen nach den anwendbaren gesellschafts- bzw. konzernrechtlichen Rechtsvorschriften in der Lage ist, gegenüber den anderen Unternehmen die Einhaltung der BCR durchzusetzen. Dies dürfte jedenfalls nach deutschem Recht dann der Fall sein, wenn eines der Unternehmen einen beherrschenden Einfluss (§ 17 AktG) auf die anderen Unternehmen hat. Dies ist bei Bestehen eines Beherrschungsvertrags (§ 308 AktG), jedoch auch im sog. faktischen Konzern (§ 18 Abs. 2 AktG) der Fall. Problematisch ist aber, dass rein unternehmensinterne Regelungen für sich 144 gesehen keine Verbindlichkeit nach außen, d. h. keine Drittbegünstigung der Betroffenen zu entfalten vermögen.247 Damit wird die sog. externe Verbindlichkeit – eine weitere an BCR zwingend zu stellende Anforderung248 – verfehlt, sodass bei näherer Betrachtung die bloße Inkraftsetzung von BCR als interne Unternehmensrichtlinie jedenfalls für sich allein gesehen nicht ausreicht. Vielmehr müssen in diesem Falle zusätzliche Maßnahmen zur zweifelsfreien Herstellung der rechtlichen Verbindlichkeit der BCR ergriffen werden.249 Die Datenschutzaufsichtsbehörden jedenfalls dürften solche zusätzlichen Maßnahmen im BCR-Anerkennungsverfahren in aller Regel verlangen. Allerdings sei bereits an dieser Stelle angemerkt, dass die (neben vertraglichen Erklärungen der Konzerngesellschaften) zusätzliche Inkraftsetzung der BCR als Konzernrichtlinie aus Gründen, die weiter unten dargestellt sind, erhebliche Vorteile aufweist und sich daher häufig (zusätzlich zum Abschluss vertraglicher Regelungen unter den Konzerngesellschaften) empfehlen dürfte.250
247 Im Detail ist hierzu freilich einiges streitig; Einzelheiten bei Schröder, DuD 2004, 462, 464, der bei der Befolgung interner Weisungen der Konzernobergesellschaft einen Rechtsbindungswillen der befolgenden Konzerngesellschaften und damit einen konkludent abgeschlossenen mehrseitigen Vertrag annimmt; eine solche Annahme dürfte jedoch mitunter eher einer Fiktion gleichkommen, sodass in der Praxis zumindest in einer Reihe von Fällen zweifelhaft sein wird, ob tatsächlich von einem Bindungswillen ausgegangen werden kann. 248 Zur sog. externen Verbindlichkeit vgl. Rn 158 ff. 249 Etwa vertragliche Lösungen oder – mit Einschränkungen – einseitige Erklärungen; vgl. Rn 139 ff. und Rn 145 ff. 250 Vgl. Rn 149 ff.
Filip
A. Einwilligung, Rechtsvorschriften und Datenschutzrichtlinien
233
(3) Einseitige Erklärungen Einseitige Erklärungen (unilateral declarations) vermögen zwar in einigen Rechts- 145 ordnungen im EWR auch Rechtsverbindlichkeit nach außen und damit drittbegünstigende Wirkung zu erzeugen; indessen ist dies nicht in allen EWR-Staaten der Fall.251 Dies hat zur Folge, dass einseitige Erklärungen nur in bestimmten Fallkonstellationen als ausreichend akzeptiert werden können. Namentlich kommt es insoweit auf zwei weitere Faktoren an: zum einen auf die Rechtsordnung, die auf die einseitige Erklärung anwendbar ist, zum anderen auf das in den BCR gewählte Haftungsmodell. Voraussetzung ist zum einen, dass die Rechtsordnung, nach der die einsei- 146 tige Erklärung abgegeben wird, einseitigen Erklärungen Rechtsverbindlichkeit zuerkennt,252 wobei die entsprechende Rechtsordnung aus Gründen der Rechtsklarheit ausdrücklich für anwendbar erklärt werden sollte.253 Zum anderen scheidet die einseitige Erklärung als Lösung aus, wenn in den BCR anstelle einer Haftungs- und Verantwortungskonzentration auf die Konzerngesellschaft, die die einseitige Erklärung abgibt, eines der Haftungs- und Verantwortungsmodelle der EU-Standardvertragsklauseln ausgewählt wird.254 Denn nach den in den Standardvertragsklauseln enthaltenen Modellen kann die Verantwortung für die Abhilfe sowie die Haftung für Verstöße gegen die BCR bei jedem der möglichen Datenexporteure (und u. U. auch bei Datenimporteuren255) liegen und somit im Einzelfall auch bei Konzerngesellschaften, die gerade nicht selbst die einseitige Erklärung zur Einhaltung der BCR abgegeben haben. Daher droht die Verantwortung und Haftung in diesem Fall z. T. ins Leere zu laufen, da man die rechtliche Verpflichtung derartiger Gesellschaften mangels eigener Erklärung zumindest als zweifelhaft ansehen muss. Anders wäre dies nur dann, wenn zweifelsfrei wäre, dass sich alle Gruppenmitglieder gegenüber den Betroffenen (und den Datenschutzbehörden) insoweit rechtsverbindlich verpflichtet haben. Zwar bejahen einige Autoren einen solchen Verpflichtungswillen, sofern die BCR gegenüber den Betroffenen hinreichend publiziert werden,256 allerdings verbleiben erhebliche Restzweifel, ob man tatsächlich einen Verpflichtungswillen bei denjenigen Konzerngesellschaften annehmen kann, die die einseitige Erklärung nicht selbst abgegeben haben.
251 Artikel-29-Datenschutzgruppe, WP 74, Nr. 3.3.2, Fn. 12; ICC report on BCR, S. 19, abrufbar unter http://www.iccwbo.org/Data/Documents/Digital-Economy/ICC-report-on-Binding-Corporate-Rules/. 252 So etwa das Recht des Vereinigten Königreichs, vgl. ICC report on BCR, S. 19, abrufbar unter http://www.iccwbo.org/Data/Documents/Digital-Economy/ICC-report-on-Binding-Corporate-Rules/. 253 Dies empfiehlt sich bei BCR ohnehin generell, so z. B. Grapentin, CR 2011, 102, 106. 254 Zu den möglichen Haftungs- und Verantwortungsmodellen in BCR Rn 163 f. 255 Eine Haftung und Verantwortung der Datenimporteure für eigenes Verhalten sieht jedenfalls der sog. alternative Standardvertrag (auch als „Set II“ bezeichnet) gemäß der Entscheidung der Kommission Nr. 2004/915/EG v. 27.12.2004 – K(2004) 5271 vor (dort Klausel III.a). 256 Schröder, DuD 2004, 462, 466.
Filip
234
Kapitel 5 Datenverarbeitung im (internationalen) Konzern
Aufgrund dieser verbleibenden Zweifel ist nach der hier vertretenen Auffassung die einseitige Erklärung nur akzeptabel, wenn in den BCR die Haftung und Verantwortung zur Abhilfe bei Verstößen gegen die BCR auf diejenige Gesellschaft (in der Regel die Muttergesellschaft) konzentriert wird, die die einseitige Erklärung selbst abgegeben hat. Zusätzlich muss sichergestellt sein, dass die einseitige Erklärung von der anwendbaren Rechtsordnung als rechtsverbindlich anerkannt wird. Im Ergebnis scheiden damit einseitige Erklärungen in einer Reihe von Fall148 gestaltungen als taugliches Instrument zur Herstellung der Rechtsverbindlichkeit von BCR aus. Dies ist insbesondere dann der Fall, wenn in den BCR das Verantwortungs- und Haftungsmodell der EU-Standardvertragsklauseln gewählt wird. Mithin müssen in solchen Fällen zum Zweck der Herstellung der Rechtsverbindlichkeit der BCR zusätzlich noch vertragliche Vereinbarungen zwischen den Konzerngesellschaften abgeschlossen werden. 147
Praxistipp Die Unternehmensgruppe muss den Datenschutzaufsichtsbehörden nachweisen, dass die BCR für die gruppenangehörigen Gesellschaften sowie gegenüber den Betroffenen Rechtsverbindlichkeit besitzen. Die klarste und einfachste Lösung hierfür besteht in dem Abschluss eines mehrseitigen Vertrags zwischen den gruppenangehörigen Gesellschaften.
bb) Interne Verbindlichkeit gegenüber den Mitarbeitern
149 Der Konzern muss ferner nachweisen, dass seine BCR gegenüber allen Mitarbei-
tern rechtsverbindlich sind.257 In der Praxis kann dieser Nachweis durchaus einige Schwierigkeiten bereiten, daher sollte der Konzern hierzu rechtzeitig entsprechende Überlegungen anstellen. Die Datenschutzaufsichtsbehörden legen Wert darauf, dass die Verbindlichkeit durch überzeugende Ausführungen im Antragsformular (WP 133, Part II, S. 9, Rubrik „binding upon the employees“) und ggf. auch durch Belege nachgewiesen wird. Naheliegend wäre es, zu diesem Zweck die Mitarbeiter in den Arbeitsverträgen ausdrücklich zur Befolgung der BCR zu verpflichten. In der Praxis dürfte dies jedoch, insbesondere bei Altverträgen, nicht immer eine realistische Option sein. Sofern jedoch die BCR eine Konzernrichtlinie darstellen,258 dürfte es genügen, wenn in den Arbeitsverträgen eine Verpflichtung zur Einhaltung aller bestehenden Konzernrichtlinien enthalten ist. Schon aus diesem Grund dürfte es häufig sehr empfehlenswert sein, die BCR jedenfalls auch in der Form einer Konzernrichtlinie in Kraft zu setzen. Ausreichend wäre auch, wenn die Mitarbeiter zwar nicht in den Arbeitsverträ150 gen selbst, jedoch gemäß eines im Konzern existierenden Code of Conduct (CoC)
257 Artikel-29-Datenschutzgruppe, WP 74, Nr. 3.3.1; WP 108, Nr. 5.8–5.9; WP 133, S. 9; WP 153, Nr. 1.2. 258 Vgl. Rn 143 ff.
Filip
A. Einwilligung, Rechtsvorschriften und Datenschutzrichtlinien
235
bzw. einer Konzern-Verhaltensrichtlinie o. ä. zur Einhaltung aller (anderen) KonzernRichtlinien verpflichtet sind – sofern die BCR zweifelsfrei eine solche Konzernrichtlinie darstellen. Die entsprechenden Textpassagen aus dem CoC bzw. der Verhaltensrichtlinie müssten dann im Antragsformular (WP 133, S. 9) zitiert werden. In diesem Falle müsste freilich zusätzlich belegt werden, dass der Code of Conduct seinerseits gegenüber den Mitarbeitern rechtsverbindlich zur Geltung gebracht worden ist, etwa indem die Arbeitsverträge ihrerseits eine Verpflichtung zur Befolgung des CoC enthalten. Auch die entsprechende Klausel der Arbeitsverträge sollte daher in diesem Fall im Antragsformular wiedergegeben werden. Eine andere – wohl vor allem im angelsächsischen Raum gebräuchliche – Möglichkeit besteht darin, die Mitarbeiter eine gesonderte schriftliche Verpflichtungserklärung auf die Einhaltung aller im Konzern geltenden Richtlinien bzw. „KonzernPolicies“ unterzeichnen zu lassen. Auch in diesem Fall müssen die BCR natürlich zweifelsfrei den Status einer Konzernrichtlinie/-policy haben, was ebenfalls im Antragsformular zu erwähnen und zu erläutern wäre; auch ist die Wiedergabe der entsprechenden Verpflichtungserklärung im Antragsformular (WP 133, S. 9) erforderlich. Ebenfalls denkbar, wenn auch vermutlich häufig nicht praktisch umsetzbar, wäre daneben, dass die Mitarbeiter eine gesonderte Verpflichtungserklärung auf die BCR als solche unterzeichnen. Die Datenschutzbehörden können im Rahmen des BCR-Anerkennungsverfahrens die Vorlage der entsprechenden Textpassagen aus den Arbeitsverträgen oder dem CoC bzw. etwaiger gesonderter Verpflichtungserklärungen der Mitarbeiter zur Befolgung von Konzern-Policies bzw. der BCR verlangen. Es ist daher unbedingt zu empfehlen und praxisüblich, entsprechende Textauszüge bereits im Antragsformular (WP 133, S. 9, unter „binding upon the employees“) zu zitieren und der federführenden Behörde die entsprechenden Dokumente unaufgefordert vorzulegen. Soweit eine ausdrückliche Bezugnahme auf die BCR bzw. auf Konzernrichtlinien in den Arbeitsverträgen bzw. in gesonderten Verpflichtungserklärungen – aus welchen Gründen auch immer – dem Konzern nicht möglich erscheint, sollte zumindest eine ausdrückliche Verpflichtung ausgesprochen werden, die Mitarbeiter per Weisung im Rahmen des Direktionsrechts zur Einhaltung der BCR zu verpflichten. Ob diese Lösung für sich alleine gesehen von den Aufsichtsbehörden als ausreichend erachtet wird, sollte frühzeitig mit der federführenden Behörde erörtert werden. Damit soll nicht gesagt werden, dass eine ausdrückliche (im Arbeitsvertrag enthaltene oder gesondert abzugebende) Verpflichtungserklärung der Mitarbeiter zur Einhaltung der BCR bzw. – sofern die BCR eine Konzern-Richtlinie sind – von Konzernrichtlinien der einzige gangbare Weg zum Nachweis der Verbindlichkeit der BCR gegenüber den Mitarbeitern wäre. Einige praktische Erfahrungen des Autors legen aber nahe, dass dieses Vorgehen jedenfalls zu empfehlen sein dürfte. Welcher Weg auch immer gewählt wird – entscheidend ist der eindeutige Nachweis, dass die BCR von den Mitarbeitern rechtsverbindlich zu befolgen sind. Soweit Filip
151
152
153
154
155
156
236
Kapitel 5 Datenverarbeitung im (internationalen) Konzern
ersichtlich, wird – wie dargestellt – zu diesem Zweck von den Aufsichtsbehörden ein eindeutiger Anknüpfungspunkt im Arbeitsvertrag oder in einer gesonderten Erklärung des Mitarbeiters gefordert. Praxistipp Zum Nachweis der Verbindlichkeit gegenüber den Mitarbeitern ist es empfehlenswert, die BCR (zusätzlich zu ihrer Verbindlichmachung i. d. R. mittels eines mehrseitigen Vertrags) auch in der Form einer internen Konzernrichtlinie in Kraft zu setzen. Zudem sollte eine ausdrückliche – im Arbeitsvertrag enthaltene oder gesonderte – Erklärung des Mitarbeiters zur Befolgung der BCR bzw. von Konzern-Richtlinien eingeholt werden. Im Antragsformular ist dies schlüssig darzustellen und mit Textauszügen zu belegen. 157 Einige Aufsichtsbehörden im EWR könnten im BCR-Anerkennungsverfahren zusätz-
liche Nachweise für die Verbindlichmachung der BCR gegenüber solchen Personen fordern, mit denen keine schriftlichen Arbeitsverträge abgeschlossen werden. Dies dürfte insbesondere für Konzerngesellschaften in Ländern wie etwa den USA relevant sein. In solchen Fällen scheinen es einige Aufsichtsbehörden etwa zu akzeptieren, wenn die betreffenden Personen eine ausdrückliche Kenntnisnahme- und Verpflichtungserklärung auf die BCR259 unterzeichnen. Verlangt der Konzern dies in der Praxis ohnehin, kann diese Lösung ebenfalls „proaktiv“ im Antragsformular (WP 133, S. 9) dargestellt werden. Ob dies immer eine realistische Option darstellt, mag indessen fraglich sein. Inwieweit stattdessen eventuell ein Verweis auf das Direktionsrecht oder ggf. andere Lösungen ausreichend sind, sollte die Unternehmensgruppe bei der im BCR-Abstimmungsverfahren federführenden Behörde konkret nachfragen, sofern Letztere eine solche Forderung stellt.
cc) Externe Verbindlichkeit (rechtliche Durchsetzbarkeit von außen)
158 Die sog. äußere oder externe Verbindlichkeit erfordert es, dass bestimmte Inhalte der
BCR von den Betroffenen sowie den Datenschutzaufsichtsbehörden im EWR – als sog. Drittbegünstigten – rechtlich durchgesetzt werden können. Probleme können insoweit, je nach gewähltem Haftungsmodell, entstehen, wenn der Konzern die BCR (nur) mittels einseitiger Erklärung (insbesondere der Muttergesellschaft)260 in Kraft zu setzen wünscht; denn einseitige Erklärungen vermögen nach den Rechtsordnungen einer Reihe von Mitgliedstaaten keine Rechte für Dritte zu begründen.261 Zwar steht es Unternehmen frei, insoweit die Rechtslage in den für sie relevanten Mitgliedstaaten zu eruieren. Soll der entsprechende Verfahrensaufwand jedoch vermieden werden,
259 Bzw. – sofern die BCR zweifelsfrei eine Konzern-Richtlinie darstellen – auf die Befolgung aller im Konzern geltenden Richtlinien, vgl. Rn 151. 260 Vgl. Rn 145 ff. 261 Rn 145; Artikel-29-Datenschutzgruppe, WP 74, Nr. 3.3.2.
Filip
A. Einwilligung, Rechtsvorschriften und Datenschutzrichtlinien
237
müssen zur Herstellung der sog. externen Verbindlichkeit vertragliche Regelungen zwischen allen Konzerngesellschaften abgeschlossen werden,262 denn vertragliche Verpflichtungen können – im Gegensatz zu einseitigen Erklärungen – in allen Mitgliedstaaten zivilrechtlich durchgesetzt werden.263 Die externe Verbindlichkeit setzt voraus, dass die Betroffenen die Durchsetzung 159 der ihnen in den BCR eingeräumten Rechte wahlweise durch die Datenschutzaufsichtsbehörde eines EWR-Staates oder durch gerichtliche Rechtsbehelfe durchsetzen können.264 Es geht mithin nicht nur um die Gewährung von einklagbaren Schadensersatzansprüchen für Betroffene im Falle von Verstößen gegen bestimmte BCR-Vorschriften – mithin um die Haftung265 –, sondern auch darum, dass die Betroffenen die weiteren ihnen durch die BCR verliehenen Rechte durch die Datenschutzbehörde und vor Gericht durchsetzen können.266 Was die Durchsetzbarkeit vor Gericht betrifft, so muss den Betroffenen in den 160 BCR die Möglichkeit eingeräumt werden, diese Rechte wahlweise durchzusetzen – entweder im Gerichtsstand des Unternehmensteils, von dem die Datenübermittlung stammt (d. h. des Datenexporteurs) oder – im Gerichtsstand der europäischen Zentrale oder des mit dem Datenschutz beauftragten, in der EU ansässigen Gruppenmitglieds.267 Ein Katalog derjenigen BCR-Inhalte, die für die Betroffenen als Drittbegünstige 161 durchsetzbar sein müssen, findet sich unter Nr. 9 im Arbeitspapier 155 der Artikel29-Datenschutzgruppe. Hierzu gehören zum einen die Ansprüche auf Auskunft, Berichtigung, Löschung und Sperrung von Daten sowie auf Widerspruch gegen die Verarbeitung, zum anderen die Datenschutzgrundsätze der Zweckbindung, Datenqualität und -verhältnismäßigkeit, Transparenz, Sicherheit und Vertraulichkeit sowie einige weitere Inhalte.268 Praxistipp Die BCR müssen eine Drittbegünstigungsklausel enthalten, die alle unter Nr. 9 des WP 155 aufgezählten Inhalte umfasst.
262 Mithin ein mehrseitiger Vertrag, vgl. Rn 140 ff. 263 Artikel-29-Datenschutzgruppe, WP 74, Nr. 3.3.2. 264 Artikel-29-Datenschutzgruppe, WP 74, Nr. 3.3.2, Nr. 5.5.1, Nr. 5.6; WP 108, Nr. 5.12–5.14; WP 153, Nr. 1.3; WP 154, Nr. 18. 265 Zu den Einzelheiten bezüglich der Haftung vgl. Rn 163 ff. 266 Filip, ZD 2013, 51, 57; vgl. Artikel-29-Datenschutzgruppe, WP 74, Nr. 3.3.2, erster Absatz: „Als Drittbegünstigte sollten betroffene Personen berechtigt sein, die Einhaltung der Vorschriften durchzusetzen (…)“. 267 Artikel-29-Datenschutzgruppe, WP 74, Nr. 5.6; WP 108, Nr. 5.14; WP 154, Nr. 18. 268 Vgl. im Einzelnen Artikel-29-Datenschutzgruppe, WP 155, Nr. 9.
Filip
238
Kapitel 5 Datenverarbeitung im (internationalen) Konzern
162 Mit der Rechtsverbindlichkeit nach außen hängen auch die Fragen der Haftung eng
zusammen. Diese sollen gesondert beleuchtet werden:
dd) Haftung
163 Ein wesentliches Regelungsziel von BCR ist es, die Haftung269 für datenschutzrecht-
liche Verstöße durch Gruppenmitglieder in unsicheren Drittstaaten einem Gruppenmitglied in der EU bzw. im EWR aufzuerlegen, damit Betroffene im Ergebnis nicht schlechter stehen als bei Verstößen, die im EWR stattfinden.270 Die Haftungsregelung der BCR muss hingegen nicht auch Verstöße von Gruppenmitgliedern mit Sitz im EWR abdecken.271 Die Artikel-29-Datenschutzgruppe hatte für BCR ursprünglich eine Konzentra164 tion der Haftung auf die europäische Hauptniederlassung oder ein anderes Gruppenmitglied in der EU bzw. im EWR gefordert.272 Später hat sie jedoch auch die Haftungsmodelle der EU-Standardvertragsklauseln akzeptiert, allerdings erklärt, dass dies nur in Fällen möglich sei, in denen die Unternehmensgruppe dargelegt hat, dass eine Haftungskonzentration aufgrund der Besonderheit ihrer Unternehmensstruktur nicht zumutbar sei.273 Zusätzlich müsse der Konzern in diesen Fällen nachweisen, dass die Betroffenen bei der Wahrnehmung ihrer Rechte unterstützt und nicht behindert werden.274 Soweit ersichtlich wurden inzwischen in mehreren BCRAnerkennungsverfahren die Haftungsmodelle der EU-Standardvertragsklauseln von den Aufsichtsbehörden akzeptiert. Jedenfalls müssen auch in diesen Fällen die BCR jedoch stets die Zuständigkeit der Gerichte in einem EWR-Staat vorsehen.
b) Definition des Anwendungsbereichs
165 Die BCR müssen ihren Anwendungsbereich definieren. Dies betrifft zum einen die
Kategorien der von den BCR umfassten personenbezogenen Daten (z. B. Daten von Mitarbeitern, Kunden, Lieferanten usw.). Zum anderen hat die Unternehmensgruppe eine Wahlmöglichkeit dahingehend, ob sie die BCR
269 Artikel-29-Datenschutzgruppe, WP 74, Nr. 5.5.1; WP 153, Nr. 1.4; WP 154, Nr. 19; WP 155, Nr. 3. 270 Artikel-29-Datenschutzgruppe, WP 74, Nr. 5.5.1; WP 153, Nr. 1.4; Grapentin, CR 2011, 102, 104. 271 Grapentin, CR 2011, 102, 105. 272 WP 74, Nr. 5.5.2; neben der Haftung im rechtlichen Sinn – d. h. der Verpflichtung zur Leistung von Schadensersatz – geht es hierbei auch um die Verpflichtung zur Schaffung von Abhilfe bei Verstößen gegen drittbegünstigende BCR-Regelungen, so ausdrücklich Artikel-29-Datenschutzgruppe, WP 74, Nr. 5.5.2, und WP 153, Nr. 1.4; vgl. auch Filip, ZD 2013, 51, 57. 273 Artikel-29-Datenschutzgruppe, WP 153, Nr. 1.4; WP 154, Nr. 19, Fn 7; WP 155, Nr. 3. 274 Artikel-29-Datenschutzgruppe, WP 155, Nr. 3 a. E.; WP 154, Nr. 19, Fn 7.
Filip
A. Einwilligung, Rechtsvorschriften und Datenschutzrichtlinien
239
– auf alle Verarbeitungen durch ihre Gruppenmitglieder weltweit – unabhängig von der Herkunft der Daten – oder aber – nur auf Verarbeitungen personenbezogener Daten mit Bezug zum EWR anwenden möchte.275 Wird der erstgenannte Anwendungsbereich gewählt, so können die BCR (jedenfalls, sofern sie alle Datenkategorien abdecken sollen) gewissermaßen die allgemeine „Datenschutz-Policy“ des betreffenden Konzerns darstellen. Eine „Kompromisslösung“ besteht darin, dass die BCR zwar objektiv für alle 166 Verarbeitungen personenbezogener Daten durch die gruppenangehörigen Gesellschaften weltweit gelten sollen, jedoch die Drittbegünstigtenrechte beschränkt sind auf Verarbeitungen von Daten, die aus dem EWR stammen.276 Diese Lösung ist insbesondere interessant, wenn der Konzern zwar einerseits einen weltweit einheitlichen Datenschutzstandard wünscht, andererseits aber die Haftung für Verstöße gegen die BCR auf das nach dem EU-Datenschutzrecht zwingend Erforderliche beschränken möchte. Dabei darf allerdings die Reichweite des EU-Datenschutzrechts nicht unterschätzt werden: Dieses ist auch auf personenbezogene Daten anwendbar, die zwar ursprünglich aus einem Drittstaat stammen, jedoch zumindest einmal in der EU im Rahmen der Tätigkeiten einer EU-Niederlassung der „verantwortlichen Stelle“ oder zumindest unter Rückgriff auf in der EU belegene Mittel verarbeitet oder genutzt wurden;277 wenn solche Daten anschließend an eine andere Gesellschaft in einen unsicheren Drittstaat übermittelt werden, handelt es sich um eine Datenübermittlung aus der EU. Dies wäre z. B. der Fall bei Daten eines US-amerikanischen Mitarbeiters, die zunächst von der konzernangehörigen US-Gesellschaft aus den USA an eine konzernangehörige Gesellschaft in Deutschland (z. B. in eine bei dieser Gesellschaft geführte Datenbank) zugeleitet wurden, dann von Letzterer in Deutschland als verantwortliche Stelle oder sogar lediglich als Auftragsdatenverarbeiter i. S. v. § 11 verwendet und anschließend aus Deutschland wiederum an eine andere Konzerngesellschaft in die USA oder einen sonstigen unsicheren Drittstaat transferiert werden. Denn auf die Verarbeitung und Nutzung dieser Daten in Deutschland und somit auch auf ihren anschließenden Transfer aus Deutschland findet das deutsche Datenschutzrecht Anwendung und somit auch die §§ 4b, 4c BDSG. Auf derartige Daten müssen somit die BCR zwingend angewendet werden.278 Dies ist allerdings keine Folge der
275 Artikel-29-Datenschutzgruppe, WP 154, Nr. 1; WP 153, Nr. 4.2. 276 Artikel-29-Datenschutzgruppe, WP 155, Nr. 1. 277 Art. 4 Abs. 1 Buchst. a und c RL 95/46/EG. 278 Keine Übermittlung aus dem Inland liegt dagegen vor, sofern das in Deutschland ansässige Gruppenmitglied Daten, die nicht aus dem EWR stammen, lediglich zum Zwecke der Auftragsdatenverarbeitung erhält und dann ausschließlich an den im Drittstaat ansässigen Auftraggeber rücktransferiert, vgl. das Papier „Fallgruppen zur internationalen Auftragsdatenverarbeitung. Handreichung des Düsseldorfer Kreises zur rechtlichen Bewertung“, Fallgruppe H (S. 13, 15 f.), abrufbar unter http:// www.lda.bayern.de/lda/datenschutzaufsicht/lda_daten/DK4-2007Anlage_2_Handreichung.pdf.
Filip
240
Kapitel 5 Datenverarbeitung im (internationalen) Konzern
BCR, sondern ergibt sich aus der zwingenden Anwendbarkeit des mitgliedstaatlichen Rechts gemäß Artikel 4 der EU-Datenschutzrichtlinie bzw. des mitgliedstaatlichen Rechts,279 das diese Vorschrift umsetzt.280 Für Mitarbeiter, Anwälte oder sonstige Berater, die von der Geschäftsleitung einer 167 Unternehmensgruppe den Auftrag erhalten haben zu prüfen, ob BCR für die Gruppe ein sinnvolles Instrument sein können, empfiehlt es sich, den Anwendungsbereich der BCR möglichst frühzeitig mit der Geschäftsleitung abzustimmen.281 Hierzu sollten vor allem die Haftungsfragen gegenüber der Geschäftsleitung dargestellt werden. Der Konzern muss im Übrigen alle Konzernunternehmen, die an die BCR gebun168 den sein sollen, benennen.282 Eine entsprechende Unternehmensliste ist der federführenden Aufsichtsbehörde im BCR-Anerkennungsverfahren vorzulegen.283 Soweit ersichtlich, fordern die Aufsichtsbehörden in der Praxis, dass die Liste als förmliche Anlage zu den BCR beigefügt wird. Sofern es durch Änderungen der Konzernstruktur zu Änderungen der beteiligten Unternehmen kommt, ist die Liste zu aktualisieren.284 Praxistipp Durch Beschränkung der Drittbegünstigungsklausel kann die Haftung auf personenbezogene Daten mit Bezug zum EWR beschränkt werden. Jedoch fallen auch Daten, die ursprünglich nicht aus dem EWR stammen, unter die BCR, sobald sie im EWR im Rahmen der Tätigkeit einer dortigen Niederlassung oder unter Rückgriff auf dort belegene Mittel verarbeitet und dann in einen unsicheren Drittstaat übermittelt werden.
279 Das Recht des Mitgliedstaats ist aufgrund Art. 1 Abs. 1 Buchst. c der RL 95/46/EG zwingend anwendbar, sobald und soweit personenbezogene Daten in diesem EU-Mitgliedstaat unter Rückgriff auf dort belegene Mittel (etwa auch bei Einschaltung einer deutschen Gesellschaft als Auftragsverarbeiter) verarbeitet werden; damit ist diese Rechtsordnung auch auf eine sich an eine solche Verarbeitung in der EU anschließende Übermittlung in einen Drittstaat anzuwenden. Gleiches gilt gem. Art. 1 Abs. 1 Buchst. a der RL 95/46/EG für Verarbeitungen „im Rahmen der Tätigkeiten einer Niederlassung“ in der EU und die anschließende Übermittlung aus der EU in einen Drittstaat; hierunter fallen Verarbeitungen und Transfers, für die die deutsche Gesellschaft „verantwortliche Stelle“ ist. 280 Die Anwendung der BCR auf solche Daten kann nicht ausgeschlossen werden, denn die Art. 25, 26 der RL 95/46/EG (bzw. für Deutschland: §§ 4b, 4c BDSG) gelten hierbei zwingend. Unternehmen, die keine BCR besitzen, müssen die Anforderungen an ausreichende Datenschutzgarantien für die Übermittlungen solcher Daten in unsichere Drittstaaten durch andere Instrumente (z. B. die EU-Standardvertragsklauseln) erfüllen. 281 Filip, ZD 2013, 51, 56. 282 Artikel-29-Datenschutzgruppe, WP 153, Nr. 6.2. 283 Artikel-29-Datenschutzgruppe, WP 154, S. 12. 284 Rn 199.
Filip
A. Einwilligung, Rechtsvorschriften und Datenschutzrichtlinien
241
c) Beschreibung der Datenverarbeitungen und -übermittlungen In den BCR müssen die von den BCR umfassten Datenverarbeitungsvorgänge allge- 169 mein beschrieben werden. Hierbei sind die Art der übermittelten Daten, die Übermittlungs-/Verarbeitungszwecke sowie alle Datenexporteure und -importeure zu nennen.285 Die Beschreibung muss so genau sein, dass die Aufsichtsbehörden beurteilen können, ob die Übermittlung der Daten für die betreffenden Zwecke in unsichere Drittstaaten angemessen sein kann.286 Als Anhaltspunkt kann etwa die Beschreibung der Datenverarbeitungen im öffentlichen Verfahrensverzeichnis gem. § 4g Abs. 2 BDSG dienen.287 Zu diesem Zweck sollten auch die wirtschaftlichen Vorgänge, die den Datenverarbeitungsvorgängen zugrunde liegen, benannt werden.288 Die Beschreibung kann im eigentlichen Text der BCR oder auch in einer förmlichen Anlage zu den BCR erfolgen. Daneben muss auch das Antragformular die Beschreibung enthalten.289 Zu beachten ist, dass nach der erfolgreichen Abstimmung der BCR mit den Daten- 170 schutzbehörden die einzelnen Konzerngesellschaften290 noch jeweils Genehmigungsbescheide für ihre jeweiligen Datenexporte beantragen müssen.291 In diesen Genehmigungsverfahren müssen die jeweiligen Konzerngesellschaften die Übermittlungen, die für sie selbst relevant sind, beschreiben. Diese Beschreibungen erfordern in aller Regel einen höheren Detaillierungsgrad als die in den BCR selbst enthaltenen Beschreibungen, da spezifisch die gerade für die jeweilige Gesellschaft einschlägigen Datenarten und -kategorien, Übermittlungszwecke und -empfänger angegeben werden müssen.
d) Datenschutzgrundsätze Ein zentraler Bestandteil der BCR sind die Datenschutzgrundsätze (Datenschutzga- 171 rantien), zu deren Einhaltung sich die Unternehmensgruppe verpflichtet. Die BCR müssen alle wesentlichen Datenschutzgarantien der RL 95/46/EG enthalten, um so „ausreichende Datenschutzgarantien“ zu schaffen.292 Im Einzelnen sind daher folgende Garantien aufzunehmen:293 – Transparenz und Fairness gegenüber den Betroffenen;
285 Artikel-29-Datenschutzgruppe, WP 108, Nr. 7.1; WP 153, Nr. 4.1. 286 Artikel-29-Datenschutzgruppe, WP 74, Nr. 4.1. 287 Artikel-29-Datenschutzgruppe, WP 74, Nr. 4.1 288 Artikel-29-Datenschutzgruppe, WP 74, Nr. 4.1; WP 155, Nr. 6. 289 Artikel-29-Datenschutzgruppe, WP 133, S. 13. 290 Jedenfalls in einem Teil der EWR-Staaten bzw., was Deutschland angeht, einem Teil der Bundesländer sowie im Falle der Zuständigkeit des BfDI, vgl. Rn 109 f. 291 Rn 110. 292 Zum Sinn und Zweck von BCR vgl. Rn 102 ff. und 112 ff. 293 Artikel-29-Datenschutzgruppe, WP 108, Nr. 8; WP 153, Nr. 6.1; WP 154, Nr. 3–12.
Filip
242
– – – – – –
Kapitel 5 Datenverarbeitung im (internationalen) Konzern
Beschränkung der Zwecke der Datenverarbeitungen sowie Erforderlichkeit; Datenqualität; Datensicherheit einschließlich Kontrolle von Auftragsdatenverarbeitern; Rechtsgrundlage für die Datenverarbeitung; Rechte auf Auskunft, Berichtigung, Löschung, Sperrung und Widerspruch; Beschränkung der Weiterübermittlung an gruppenfremde Stellen.
172 Die BCR dürfen sich nicht lediglich in einer Wiederholung der Grundsätze der
Datenschutzrichtlinie erschöpfen, vielmehr muss der Konzern gegenüber den Datenschutzbehörden294 näher darstellen, wie die Grundsätze in der Praxis umgesetzt werden.295 Hierzu bietet sich es sich u. U. je nach konzernspezifischer Gestaltung an, im BCR-Anerkennungsverfahren296 den Datenschutzaufsichtsbehörden begleitend zum BCR-Entwurf entsprechende Unterlagen vorzulegen, z. B. Auszüge aus konzerninternen Richtlinien oder Verhaltensregeln, Vertragsmuster, Texte zur Information von Betroffenen und andere von den Gruppenmitgliedern verwendete Materialien. Das bedeutet im Einzelnen:
aa) Transparenz und Fairness gegenüber den Betroffenen 173 Die Betroffenen müssen vor der Verarbeitung ihrer Daten über die Identität der verantwortlichen Stelle, die Zwecke der Verarbeitung sowie weitere Aspekte wie die Datenempfänger und über ihre Rechte (auf Auskunft usw.) informiert werden.297 Es sollte plausibel gemacht und durch Beispiele – etwa durch Vorlage von in der Praxis verwendeten Informationstexten – untermauert werden, wie dies erfolgt. Daneben muss sich die Gruppe verpflichten, allen Betroffenen leichten Zugang 174 zu den BCR und insbesondere zur Drittbegünstigungsklausel zu eröffnen.298 In der Praxis gehen die Datenschutzbehörden, soweit ersichtlich, davon aus, dass zumindest eine verständliche Zusammenfassung der BCR einschließlich der Betroffenenrechte jederzeit für die Betroffenen abrufbar sein muss, z. B. im Internet bzw., soweit nur Mitarbeiterdaten von den BCR erfasst sind, zumindest im Intranet. Der vollständige Inhalt muss den Betroffenen zumindest auf Nachfrage zugänglich sein;299 sofern zunächst nur eine Zusammenfassung veröffentlicht wird, müssen die Betroffenen auf die Möglichkeit, den Volltext zu erhalten, hingewiesen werden.
294 Im Zuge der Abstimmung der BCR mit der federführenden Aufsichtsbehörde („Schritt 1“), vgl. Rn 118 ff. 295 Artikel-29-Datenschutzgruppe, WP 108, Nr. 8.2 a. E.; WP 153, Nr. 6.1, wonach erläutert werden muss, wie die Grundsätze eingehalten werden. 296 „Schritt 1“, vgl. Rn 118 ff. 297 Artikel-29-Datenschutzgruppe, WP 154, Nr. 7. 298 Artikel-29-Datenschutzgruppe, WP 153, 1.7; WP 154, Nr. 7; WP 155, Nr. 5. 299 Artikel-29-Datenschutzgruppe, WP 74, Nr. 5.7.
Filip
A. Einwilligung, Rechtsvorschriften und Datenschutzrichtlinien
243
bb) Zweckbeschränkung und Erforderlichkeit Hierbei geht es um die Umsetzung des Zweckbindungs- und des Erforderlichkeits- 175 grundsatzes gem. Art. 6 Abs. 1 b), c) und e) der RL 95/46/EG. Personenbezogene Daten dürfen nur für festgelegte und eindeutige Zwecke erhoben und dürfen nicht in einer mit diesen Zwecken unvereinbaren Weise verarbeitet werden, sie müssen ferner für diese Zwecke erheblich sein und dürfen – auch im Hinblick auf die Verarbeitungsdauer – nicht darüber hinausgehen.300 Der Konzern soll die Umsetzung dieser Grundsätze plausibel machen, etwa durch Vorlage von Auszügen aus etwaigen internen Regelwerken zur Aufbewahrung, Löschung und Sperrung von Daten.
cc) Datenqualität Verarbeitete personenbezogene Daten müssen sachlich richtig sein und, soweit 176 nötig, auf den neuesten Stand gebracht werden (Art. 6 Abs. 1d der RL 95/46/EG). Die Unternehmensgruppe sollte erläutern, welche Arbeitsprozesse zur Überprüfung der Richtigkeit und zur Gewährleistung der Aktualität der Daten sowie zur Vermeidung von – beabsichtigten oder unbeabsichtigten – sachlich unzutreffenden Datenveränderungen implementiert sind.
dd) Datensicherheit Die BCR müssen eine Selbstverpflichtung enthalten, geeignete technische und orga- 177 nisatorische Maßnahmen zu ergreifen, um personenbezogene Daten vor der zufälligen oder unrechtmäßigen Zerstörung, dem zufälligen Verlust, der unberechtigten Änderung und Weitergabe oder dem unberechtigten Zugang sowie vor jeder anderen Form unrechtmäßiger Verarbeitung zu schützen. Die Maßnahmen müssen unter Berücksichtigung des Standes der Technik und der bei ihrer Durchführung entstehenden Kosten ein Schutzniveau gewährleisten, das den von der Verarbeitung ausgehenden Risiken und der Art der zu schützenden Daten angemessen ist.301 Konzerne und Unternehmensgruppen können hier auf interne Regelwerke zur Datensicherheit Bezug nehmen. In den BCR genügen insoweit verhältnismäßig knappe Ausführungen; ggf. könnten ergänzende Erläuterungen gegenüber der federführenden Datenschutzaufsichtsbehörde erforderlich werden.
300 Artikel-29-Datenschutzgruppe, WP 154, Nr. 3 und 4. 301 Art. 17 Abs. 1 RL 95/46/EG; Artikel-29-Datenschutzgruppe, WP 154, Nr. 10.
Filip
244
Kapitel 5 Datenverarbeitung im (internationalen) Konzern
ee) Verhältnis zu Auftragsdatenverarbeitern, die der Unternehmensgruppe angehören 178 Laut Art. 17 Abs. 2 und 3 der RL 95/46/EG dürfen verantwortliche Stellen nur solche Auftragsdatenverarbeiter einsetzen, die ausreichende Gewähr hinsichtlich der für die Verarbeitung zu treffenden technischen Sicherheitsmaßnahmen und organisatorischen Vorkehrungen bieten. Die Auftragsvergabe erfordert einen Vertrag, der die eindeutige Unterworfenheit des Auftragsverarbeiters unter das Weisungsrecht des Auftraggebers vorsieht und die zu treffenden technisch-organisatorischen Maßnahmen i. S. v. Art. 17 Abs. 1 der RL 95/46/EG konkret festlegt.302 Die BCR müssen daher eine Selbstverpflichtung enthalten, Aufträge zur Auftragsdatenverarbeitung an andere Gruppenmitglieder nur nach diesen Maßgaben zu erteilen. Das Vorhandensein der BCR ändert – mit anderen Worten – nichts daran, dass bei jeder Vergabe eines Auftrags zur Auftragsdatenverarbeitung innerhalb der Unternehmensgruppe ein schriftlicher Auftrag abzuschließen ist, der diese Anforderungen erfüllt. Sofern die zur Auftragsverarbeitung eingeschaltete Konzerngesellschaft die Daten in einem unsicheren Drittstaat verarbeiten soll, liefern die BCR jedoch die für diesen Datentransfer erforderlichen „ausreichenden Datenschutzgarantien“ auf der sog. zweiten Prüfungsstufe der Datenübermittlung,303 sodass zusätzliche Maßnahmen auf der „zweiten Stufe“ (etwa ein zusätzlicher Abschluss der EU-Standardvertragsklauseln zur Auftragsdatenverarbeitung) entbehrlich sind.304
ff) Rechtsgrundlage für die Datenverarbeitung 179 Die BCR müssen Regelungen zur Rechtsgrundlage der Verarbeitung personenbezogener Daten enthalten, die sich in dem durch Art. 7 bzw. – was sensitive Daten betrifft – Art. 8 der RL 95/46/EG abgesteckten Rahmen halten. Ein Spielraum zur Schaffung darüber hinausgehender Grundlagen für die Datenverarbeitung305 besteht nicht. Sofern die Verarbeitung auf berechtigte Interessen der verarbeitenden Stelle oder des Datenempfängers gestützt wird,306 sollten die typischen Fallgestaltungen einschließlich der in Betracht kommenden berechtigten Unternehmensinteressen zumindest skizziert werden.
302 Artikel-29-Datenschutzgruppe, WP 153, Nr. 6.1; WP 154, Nr. 11. 303 Rn 105; zur Zweistufigkeit der Prüfung bei Datentransfers in Drittstaaten vgl. Rn 21, 26 und 79 ff. 304 Der Abschluss eines schriftlichen Vertrags zur Auftragsdatenverarbeitung gem. Art. 17 Abs. 2 RL 95/46/EG bleibt jedoch – wie soeben dargelegt – erforderlich. 305 Artikel-29-Datenschutzgruppe, WP 154, Nr. 5 und 6. 306 Art. 7 Buchst. f RL 95/46/EG.
Filip
A. Einwilligung, Rechtsvorschriften und Datenschutzrichtlinien
245
gg) Rechte auf Auskunft, Berichtigung, Löschung, Sperrung und Widerspruch Hierbei handelt es sich um die zentralen Rechte der Betroffenen gemäß der EG- 180 Datenschutzrichtlinie und somit um einen Kern der durch die BCR zu erbringenden Garantien. Sofern der Konzern in den BCR für bestimmte Fälle Ausnahmen von der Pflicht zur Erfüllung der Betroffenenrechte vorsieht, dürfen diese nicht über den von Art. 13 Abs. 1 der RL 95/46/EG abgesteckten Rahmen hinausgehen. Zu beachten ist hierbei, dass zwar Art. 13 Abs. 1 der RL 95/46/EG den Mitgliedstaaten Spielraum für die Konkretisierung von Ausnahmen eröffnet; in der Praxis relevant ist hierbei insbesondere die Ausnahme aufgrund von Rechten und Freiheiten anderer Personen (Art. 13 Abs. 1 Buchstabe f der RL 95/46/EG), zu denen auch wirtschaftliche Interessen der verantwortlichen Stelle (bzw. der dahinter stehenden natürlichen Personen) zählen können. Die nur im nationalen Recht einzelner Mitgliedstaaten – etwa im BDSG – auf der Basis dieser Öffnungsklausel der Richtlinie enthaltenen Ausnahmen (z. B. die Ausnahme von der Auskunftserteilungspflicht gem. § 34 Abs. 7 i. V. m. § 33 Abs. 2 Nr. 7b BDSG wegen „erheblicher Gefährdung der Geschäftszwecke der verantwortlichen Stelle“) werden jedoch im Text der BCR selbst in der Praxis von den Datenschutzbehörden – soweit ersichtlich – nicht akzeptiert, jedenfalls sofern nicht alle Rechtsordnungen der Mitgliedstaaten eine inhaltsgleiche Ausnahme kennen. Möglich dürfte es hingegen sein, eine Klausel aufzunehmen, wonach weitere Ausnahmen im Einzelfall möglich sind, sofern diese nach dem im jeweiligen Fall anwendbaren Recht des Mitgliedstaats zulässig sind, aus dem der Datenexport stattfindet.
hh) Beschränkung des Datentransfers an gruppenfremde Stellen Die BCR müssen die Weitergabe personenbezogener Daten an Stellen außerhalb der 181 Unternehmensgruppe beschränken.307 Dies betrifft – die Einschaltung gruppenfremder Auftragsdatenverarbeiter innerhalb des EWR oder in einem Land mit angemessenem Datenschutzniveau; – die Einschaltung gruppenfremder Auftragsdatenverarbeiter in unsicheren Drittstaaten; – die sog. Weiterübermittlung (onward transfer) durch Gruppenmitglieder aus unsicheren Drittstaaten an gruppenfremde verantwortliche Stellen oder Auftragsdatenverarbeiter in unsicheren Drittstaaten. Zum einen ist in die BCR eine Verpflichtung aufzunehmen, mit gruppenfremden 182 Auftragsdatenverarbeitern im EWR oder in sicheren Drittstaaten jeweils schriftliche Verträge gem. Art. 16, 17 der RL 95/46/EG abzuschließen. Für die Beauftragung gruppenfremder Auftragsdatenverarbeiter in unsiche- 183 ren Drittstaaten sind zusätzlich zu den Anforderungen nach Art. 16, 17 der RL 95/46/
307 Vgl. Artikel-29-Datenschutzgruppe, WP 153, NR. 6.1; WP 154, Nr. 12; WP 155, Nr. 2.
Filip
246
Kapitel 5 Datenverarbeitung im (internationalen) Konzern
EG angemessene Datenschutzgarantien für den Drittstaatentransfer i. S. v. Art. 25, 26 der Richtlinie zu erbringen.308 Da gruppenfremde Auftragsverarbeiter nicht an die BCR der Gruppe gebunden sind,309 müssen in diesem Fall die wegen des Drittstaatstransfers notwendigen „ausreichenden Datenschutzgarantien“ auf andere Weise erbracht werden. Dies kann z. B. durch den Abschluss der EU-Standardvertragsklauseln zur Auftragsdatenverarbeitung310 erfolgen oder indem sich der gruppenfremde Auftragsverarbeiter den BCR unterwirft.311 Eine ausdrückliche Verpflichtung, auf diese Weise vorzugehen, ist in die BCR aufzunehmen. Eine besondere Regelung ist schließlich für die sog. Weiterübermittlungen 184 (onward transfers) erforderlich. Hierunter versteht man die Weiterübermittlung solcher Daten, die eine als verantwortliche Stelle agierende Konzerngesellschaft in einem unsicheren Drittstaat (d. h. ein Datenimporteur) von einem Gruppenmitglied aus dem EWR (d. h. einem Datenexporteur) erhalten hat, an eine gruppenfremde verantwortliche Stelle oder einen gruppenfremden Auftragsverarbeiter in einem unsicheren Drittstaat. Praktisch einziges zur Verfügung stehendes rechtliches „Vorbild“ bzw. Orientierungsmodell für den zu fordernden Schutzstandard hinsichtlich Weiterübermittlungen sind die EU-Standardvertragsklauseln zur Datenübermittlung an verantwortliche Stellen „Set I“ und „Set II“.312 In BCR darf kein geringerer Schutzstandard in dieser Frage geregelt werden, als er in den Standardvertragsklauseln zum Ausdruck kommt. Die Standardvertragsklauseln enthalten Regelungen zum Schutzstandard bei Weiterübermittlungen an verantwortliche Stellen. Orientiert man sich am Regelungsmodell aus der Anlage 2 Nr. 6 des Standardvertrags „Set I“ oder aus Klausel II.i. des Standardvertrags „Set II“, so ist Betroffenen ein Widerspruchsrecht gegen die Weiterübermittlung einzuräumen bzw. darf die Übermittlung, sofern besondere Arten personenbezogener Daten in Rede stehen, nur mit Einwilligung der Betroffenen erfolgen,313 wobei den Betroffenen vorher bestimmte Informationen im Hinblick auf die Weiterübermittlung gegeben werden müssen.314 Das WP 74 der Artikel-29-Datenschutzgruppe nennt daneben keine weiteren Möglichkeiten für die Weiterübermittlung. Bei genauem Vergleich mit den EU-Standardvertragsklauseln Nr. 2001/497/EG und auch Nr. 2004/915/EG ist jedoch festzustellen, dass dort die
308 Artikel-29-Datenschutzgruppe, WP 155, Nr. 2. 309 Vgl. auch ICC report on BCR, S. 23, abrufbar unter http://www.iccwbo.org/Data/Documents/ Digital-Economy/ICC-report-on-Binding-Corporate-Rules/. 310 Entscheidung der Kommission Nr. 2010/87/EU v. 5.2.2012 – K(2010) 593. 311 Artikel-29-Datenschutzgruppe, WP 155, Nr. 2. 312 Entscheidung der Kommission Nr. 2001/497/EG v. 15.6.2001 – K(2001) 1539, Anlage 2 Nr. 6; Entscheidung der Kommission Nr. 2004/915/EG v. 27.12.2004 – K(2004) 5271, Klausel II.i. 313 Artikel-29-Datenschutzgruppe, WP 74 Nr. 3.2 unter Verweis auf die Kommissionsentscheidung Nr. 2001/497/EG, dort Anlage 2 Nr. 6. 314 Zu den Details vgl. Artikel-29-Datenschutzgruppe, WP 74, Nr. 3.2 unter Verweis auf die Kommissionsentscheidung Nr. 2001/497 EG, dort Anlage 2 Nr. 6.
Filip
A. Einwilligung, Rechtsvorschriften und Datenschutzrichtlinien
247
Weiterübermittlung alternativ auch zulässig ist, wenn der Empfänger den EU-Standardvertragsklauseln beitritt.315 Überträgt man diesen Gedanken auf den Kontext von BCR, dürfte die Weiterübermittlung auch zulässig sein, wenn sich der Drittempfänger den BCR unterwirft – was jedoch wohl oft keine realistische Option darstellen wird. Hinsichtlich der Weiterübermittlung an gruppenfremde Auftragsdatenverarbeiter findet sich in den EU-Standardvertragsklauseln „Set I“ und „Set II“ keine Regelung, die als Regelungsmodell dienen könnte. Auch für diese Fälle wird man jedoch verlangen müssen, dass die Anforderungen der Art. 16, 17 und 25, 26 der RL 95/46/ EG jedenfalls entsprechend erfüllt werden (diese Vorschriften gelten für die WeiterÜbermittlung nicht bereits kraft Gesetzes, da die Weiterübermittlung ja nicht aus der EU, sondern aus einem Drittstaat erfolgt), etwa durch den Abschluss eines Vertrags entsprechend den Standardvertragsklauseln zur Einschaltung von Auftragsdatenverarbeitern gemäß Kommissionsentscheidung 2010/87/EG vom 5.2.2010.
e) Nachweis der praktischen Wirksamkeit in der Unternehmensgruppe Zum Nachweis ihrer praktischen Wirksamkeit müssen BCR Verpflichtungen zur 185 Durchführung von Schulungen und Audits enthalten, im Zuge derer die Mitarbeiter mit den aus den BCR erwachsenden Anforderungen vertraut gemacht werden bzw. die Einhaltung der Anforderungen überprüft (auditiert) wird. Ferner ist ein Verfahren zur Bearbeitung von Beschwerden Betroffener wegen behaupteter Verstöße gegen die BCR vorzusehen, und es ist ein Stab von Mitarbeitern einzusetzen, der die Umsetzung der BCR überwacht. Im Einzelnen:
aa) Einsetzung eines Mitarbeiterstabs Die Einsetzung eines Stabes von Mitarbeitern, die über die BCR-Compliance wachen, 186 ist ein zentrales Erfordernis, um praktische Wirksamkeit der Regelungen erzeugen zu können. Für deutsche Unternehmen liegt nahe, diese Aufgabe bei den betrieblichen Datenschutzbeauftragten anzusiedeln. Soweit – wie in anderen Mitgliedstaaten meist der Fall – keine betrieblichen Datenschutzbeauftragten vorhanden sind, muss die Aufgabe anderen geeigneten Personen oder Einheiten zugewiesen werden. Jedenfalls muss sich der Konzern in den BCR ausdrücklich dazu verpflichten, 187 einen Mitarbeiterstab zu bilden, der intern über die Einhaltung der BCR wacht und hierbei die Unterstützung der Unternehmensleitung genießt. Die Struktur, Aufgaben und Zuständigkeiten des Stabs sind zu beschreiben. Daraus muss erkennbar
315 Entscheidung der Kommission Nr. 2001/497/EG, Anlage 2 Nr. 6 b; Entscheidung der Kommission Nr. 2004/915/EG, Klausel II.i.ii.
Filip
248
Kapitel 5 Datenverarbeitung im (internationalen) Konzern
werden, welche Stellung die Funktionsträger im Konzerngefüge haben und an welche Stellen sie im Hinblick auf ihre Tätigkeit berichten.316
bb) Schulung
188 Die BCR müssen eine Selbstverpflichtung enthalten, Mitarbeiter im Hinblick auf die
Anwendung der BCR zu schulen, die ständigen oder regelmäßigen Zugang zu personenbezogenen Daten haben, solche Daten erheben oder Systeme zur Verarbeitung personenbezogener Daten entwickeln.317 Das Schulungsprogramm selbst muss nicht zwingend Bestandteil der BCR 189 sein. Der Konzern muss jedoch der federführenden Aufsichtsbehörde durch Vorlage entsprechender Auszüge aus den Schulungsunterlagen das Programm plausibel erläutern. Die Aufsichtsbehörde wird bei Bedarf zusätzliche Nachweise oder weiterer Schulungsunterlagen bzw. die Vorlage des gesamten Konzepts verlangen. Konzerne, die die Einführung von BCR erwägen, sollten daher so frühzeitig wie möglich mit der Erarbeitung des Schulungskonzepts und der Schulungsmaterialien beginnen. Dies sollte spätestens parallel zur Erstellung des eigentlichen BCR-Textes stattfinden. Sofern der Konzern bereits Datenschutzschulungen besitzt, kann die auf die BCR bezogene Schulung in das bestehende Schulungskonzept integriert werden. Sollten Unsicherheiten über die Anforderungen an das Schulungskonzept beste190 hen, empfiehlt sich hierzu eine Nachfrage bei der federführenden Aufsichtsbehörde im BCR-Anerkennungsverfahren.
cc) Audit
191 Die BCR müssen eine Verpflichtung enthalten, die Einhaltung der BCR regelmäßig
im Wege des Audits durch interne oder externe Auditoren zu überprüfen. Denkbar ist z. B., dass eine zentrale „Konzerndatenschutz-Funktionseinheit“ die Audits durchführt. Die Auditoren müssen aber jedenfalls funktionell einer anderen Einheit angehören als diejenigen Mitarbeiter, die mit der Überwachung der BCR-Compliance „im Alltag“ betraut sind (d. h. der oben beschriebene „Mitarbeiterstab“), da das Audit eine gesonderte Überprüfung gerade auch des Wirkens dieser Mitarbeiter im Hinblick auf die Erzeugung praktischer Wirksamkeit der BCR gewährleisten soll. Das Auditprogramm muss alle Aspekte der BCR umfassen und Verfahren vorsehen, mit denen sichergestellt wird, dass im Falle festgestellter Verstöße Abhilfemaßnahmen getroffen werden. Das Ergebnis der Audits ist dem Datenschutzbeauftragten bzw. der mit Datenschutz befassten Abteilung sowie der Konzernleitung zur Verfügung zu stellen. Die Ergebnisse der Audits sind auf Antrag auch den zuständigen Datenschutzbe-
316 Artikel-29-Datenschutzgruppe, WP 153, Nr. 2.4. 317 Artikel-29-Datenschutzgruppe, WP 74, Nr. 5.1; WP 153, Nr. 2.1; WP 154, Nr. 13.
Filip
A. Einwilligung, Rechtsvorschriften und Datenschutzrichtlinien
249
hörden im EWR zur Verfügung zu stellen, und die Datenschutzbehörden müssen berechtigt sein, bei Bedarf selbst ein Audit durchzuführen.318 Für die Praxis empfiehlt es sich, eine Selbstverpflichtung, die alle hier dargestell- 192 ten Elemente enthält, vollständig in die BCR aufzunehmen.319 Zusätzlich zur Selbstverpflichtung muss der Konzern der Aufsichtsbehörde im 193 BCR-Anerkennungsverfahren den (Zeit-)Plan und das Auditprogramm plausibel darlegen.320 Ähnlich wie beim Schulungsprogramm sind auch hier Auszüge aus dem Auditprogramm (Prüfkatalog) vorzulegen. Die Aufsichtsbehörde kann bei Bedarf zusätzliche Ausführungen und Unterlagen anfordern. Praxistipp Die Erarbeitung von BCR erschöpft sich nicht im Entwerfen des „eigentlichen“ BCR-Textes. Vielmehr muss der Konzern auch ein Audit- und ein Schulungskonzept für die BCR aufstellen und verbindlich fixieren, Schulungsmaterialien entwickeln und zeitnah mit den Schulungen beginnen.
dd) Beschwerdeverfahren Der Konzern muss in den BCR erläutern, wie mit Beschwerden Betroffener wegen behaupteter Verstöße gegen die BCR umgegangen wird.321 Vorzusehen ist, dass eine eindeutig definierte Abteilung oder Person hiermit befasst ist, die bei dieser Aufgabenwahrnehmung ein angemessenes Maß an Unabhängigkeit genießt.322 Das Beschwerdeverfahren muss in den BCR und auch im Antragsformular hinreichend klar dargestellt werden. Die Aufsichtsbehörden fordern in der Praxis, dass in den BCR für die abschließende Bearbeitung der Beschwerde Höchstfristen festgelegt sind. Die Höchstfrist wird – sofern kein ganz außergewöhnlich schwieriger Sachverhalt vorliegt – einige wenige Monate nicht überschreiten dürfen. Das Verfahren soll den Betroffenen in der Regel auch die Möglichkeit geben, im Falle der Nichtabhilfe noch eine übergeordnete konzerninterne Instanz (z. B. die zentrale Datenschutzabteilung) einzuschalten. Die Betroffenen sind über das Beschwerdeverfahren transparent zu informieren beginnend mit der Stelle, bei welcher sie ihre Beschwerde einlegen können. Der Konzern muss gegenüber den Aufsichtsbehörden im BCR-Anerkennungsverfahren erläutern, wie diese Information erfolgt.323
318 Artikel-29-Datenschutzgruppe, WP 74, Nr. 5.2; WP 108, Nr. 6; WP 153, Nr. 2.3; WP 154, Nr. 14. 319 Denkbar ist hier durchaus eine Art „copy & paste“ des entsprechenden Textes aus Artikel-29-Datenschutzgruppe, WP 153, Nr. 2.3 oder aus WP 154, Nr. 14. 320 Artikel-29-Datenschutzgruppe, WP 108, Nr. 6 a. E. 321 Artikel-29-Datenschutzgruppe, WP 74, Nr. 5.3; WP 153, Nr. 2.2; WP 154, Nr. 17. 322 Artikel-29-Datenschutzgruppe, WP 153, Nr. 2.2; WP 154, Nr. 17. 323 Artikel-29-Datenschutzgruppe, WP 133, S. 11; WP 153, Nr. 2.2 a. E.
Filip
194
195
196
197
250
Kapitel 5 Datenverarbeitung im (internationalen) Konzern
f) Nachweis der Zusammenarbeit mit den EWR-Datenschutzbehörden
198 Die Unternehmensgruppe muss eine Verpflichtung aussprechen, mit den jeweils
zuständigen Datenschutzaufsichtsbehörden der EWR-Staaten zusammenzuarbeiten und deren Mitteilungen, die die Anwendung der BCR betreffen, nachzukommen.324 Die Gruppenmitglieder müssen sich auch zur Duldung von Audits der Datenschutzbehörden verpflichten,325 was letztlich eine Unterwerfung unter die Kontrolle der – im konkreten Einzelfall – jeweils zuständigen Datenschutzbehörde eines EWR-Staates bedeutet.
g) Nachweis eines Systems zur Aktualisierung der BCR und des Kreises der an die BCR gebundenen Unternehmen 199 Infolge von Änderungen der Geschäftsprozesse im Konzern können Anpassungen der BCR erforderlich werden. Außerdem kann sich der Kreis der an die BCR gebundenen Gesellschaften ändern, indem neue Datenexporteure und -importeure hinzukommen oder bisherige ausscheiden. Nicht jede Änderung der BCR führt dazu, dass ein erneutes BCR-Anerkennungsverfahren durchgeführt werden müsste (und neue Genehmigungen für die auf den BCR basierenden Übermittlungen beantragt werden müssten); ein neues Anerkennungsverfahren wird nur verlangt, wenn durch die Änderung das durch die BCR gewährte Schutzniveau signifikant verändert wird. Damit die Datenschutzbehörden das durch die BCR gewährte Schutzniveau laufend beurteilen können, muss in die BCR eine ausdrückliche Verpflichtung aufgenommen werden, jedenfalls signifikante Änderungen der BCR sowie der Liste der an die BCR gebundenen Gesellschaften jährlich allen zuständigen Datenschutzbehörden im EWR mitzuteilen.326 Zur Frage, wann eine signifikante Änderung vorliegt, könnte zwar die Datenschutzbehörde befragt werden; um jedoch diesbezügliche Zweifel zu vermeiden, empfiehlt es sich, den Datenschutzbehörden jährlich umfassend alle Änderungen mitzuteilen. In den BCR muss explizit eine Person benannt werden, die eine stets aktuali200 sierte Liste der Gruppenmitglieder führt, Änderungen der BCR erfasst und die Betroffenen und Datenschutzbehörden auf Anfrage hierüber informiert.327
324 Artikel-29-Datenschutzgruppe, WP 153, Nr. 3.1; WP 154, Nr. 20. 325 Artikel-29-Datenschutzgruppe, WP 153, Nr. 2.3; WP 154, Nr. 14; WP 108; Nr. 6.2. 326 Artikel-29-Datenschutzgruppe, WP 154, Nr. 21; WP 153, Nr. 5.1; denkbar wäre auch, dass die im BCR-Anerkennungsverfahren federführende Behörde akzeptiert, dass die jährlichen Meldungen zentral bei ihr angezeigt werden und sie selbst die anderen Behörden informiert. Dies müsste jedoch ausdrücklich vereinbart werden. 327 Artikel-29-Datenschutzgruppe, WP 153, Nr. 5.1; WP 154, Nr. 21.
Filip
A. Einwilligung, Rechtsvorschriften und Datenschutzrichtlinien
251
An eine neu hinzukommende (z. B. neu gegründete) Gesellschaft dürfen 201 Daten auf der Basis der BCR erst übermittelt werden, wenn sichergestellt ist, dass die BCR dort befolgt werden.328
h) Vorgehen im Falle von in Drittstaaten geltenden Rechtsvorschriften, die der Einhaltung der BCR entgegenstehen Die Unternehmensgruppe muss sich in den BCR dazu verpflichten, für den Fall, dass 202 ein Gruppenmitglied durch Rechtsvorschriften eines Staates dazu gehindert sein könnte,329 seinen Verpflichtungen aus den BCR nachzukommen, und hierdurch die in den BCR enthaltenen Datenschutzgarantien wesentlich beeinträchtigt würden, die Hauptniederlassung der Unternehmensgruppe, das mit der Haftung für den Datenschutz beauftragte Gruppenmitglied oder den zuständigen Datenschutzbeauftragten zu informieren, sofern dies nicht aufgrund eines behördlichen Verbots untersagt ist. Die auf diese Weise informierte Stelle muss über das weitere Vorgehen entscheiden, wobei im Zweifelsfall die zuständige Datenschutzbehörde zurate zu ziehen ist.
i) Erklärung zum Verhältnis zwischen den BCR und nationalen Rechts-vorschriften Eine solche Erklärung ist zwar in den BCR nicht zwingend vorzusehen, jedoch aus 203 Gründen der Klarheit für die Betroffenen sowie für die Konzerngesellschaften und deren Mitarbeiter sehr wünschenswert.330 Für Datenumgänge in EWR-Staaten besteht aufgrund des dort geltenden nationalen Rechts, das die EG-Datenschutzrichtlinie umsetzt, ohnehin ein angemessenes Datenschutzniveau.331 Die in Art. 4 der RL 95/46/EG angeordnete Anwendbarkeit des nationalen Datenschutzrechts kann durch die BCR selbstverständlich nicht ausgeschlossen werden.332 Möglich und wünschenswert ist es jedoch, ausdrücklich vorzusehen, dass in Fällen, in denen die BCR ein höheres Schutzniveau enthalten, die BCR gelten sollen.333
5. BCR für Auftragsdatenverarbeiter Die Artikel-29-Datenschutzgruppe hat mit Wirkung zum 1.1.2013 einen neuen, beson- 204 deren Typ von BCR als Instrument für Datentransfers in unsichere Drittstaaten aufgezeigt, namentlich sog. BCR für Auftragsdatenverarbeiter (BCR for Processors;
328 Artikel-29-Datenschutzgruppe, WP 153, Nr. 5.1; WP 154, Nr. 21. 329 Artikel-29-Datenschutzgruppe, WP 74, Nr. 3.3.3; WP 153, Nr. 6.3; WP 154, Nr. 16. 330 Artikel-29-Datenschutzgruppe, WP 153, Nr. 6.4. 331 Vgl. Art. 25 Abs. 1 der RL 95/46/EG. 332 Artikel-29-Datenschutzgruppe, WP 153, Nr. 6.4 a. E. 333 Artikel-29-Datenschutzgruppe, WP 153, Nr. 6.4.
Filip
252
Kapitel 5 Datenverarbeitung im (internationalen) Konzern
im Folgenden: BCRP).334 Die Artikel-29-Datenschutzgruppe hat bisher drei Arbeitspapiere veröffentlicht, in denen sie den Anwendungsbereich und die Anforderungen an BCRP erläutert.335 BCRP sind auf eine andere Fallgestaltung als die bislang in dieser Veröffentli205 chung erörterten „BCR für Controller“ zugeschnitten, namentlich auf Konzerne bzw. Unternehmensgruppen, die von ihrem Geschäftsgegenstand her Dienste der Auftragsdatenverarbeitung potenziell für eine Vielzahl gruppenfremder Auftraggeber aus dem EWR anbieten und im Zuge dessen personenbezogene Daten durch gruppenangehörige Gesellschaften (auch) in unsicheren Drittstaaten verarbeiten.336 Soweit die Konzerngesellschaften eines solchen „Auftragsverarbeiter-Konzerns“ die Daten in unsicheren Drittstaaten verarbeiten, muss der jeweilige im EWR ansässige Auftraggeber angemessene Datenschutzgarantien für den entsprechenden Datenexport erbringen.337 Zudem müsste der Auftraggeber an sich zu diesem Zweck mit jeder einzelnen in die Verarbeitung der Daten involvierten Gesellschaft des „Auftragsverarbeiter-Konzerns“ einen eigenen Vertrag zur Auftragsdatenverarbeitung gemäß Art. 17 der EU-Datenschutzrichtlinie bzw. gemäß dem diese Vorschrift umsetzenden mitgliedstaatlichen Recht338 abschließen, oder aber er müsste zumindest einen Vertrag zur Auftragsdatenverarbeitung mit einer der Konzerngesellschaften abschließen, und diese Konzerngesellschaft müsste anschließend ihrerseits einzelne Unteraufträge mit jeder der (z. T. in unsicheren Drittstaaten ansässigen) anderen Konzerngesellschaften abschließen.339 In jedem Falle würde die Unterauftragsvergabe eine Vielzahl einzelner Verträge erfordern.
334 Pressemitteilung der Artikel-29-Datenschutzgruppe v. 21.12.2012, abrufbar unter http://ec.europa. eu/justice/data-protection/article-29/press-material/press-release/art29_press_material/20121221_ pr_bcrs_en.pdf. 335 Artikel-29-Datenschutzgruppe, WP 195, WP 195a (Antragsformular), WP 204. 336 Vgl. Artikel-29-Datenschutzgruppe, WP 204, Nr. 1.3, dritter Absatz, und Nr. 2.1, erster Absatz. 337 Sog. zweite Stufe des Datenumgangs bei Transfers personenbezogener Daten in Drittstaaten, vgl. Rn 21, 26, 79 ff. 338 Nach deutschem Recht: gem. § 11 Abs. 2 BDSG. 339 Wenn der „erste“ Auftragsverarbeiter schon selbst in einem unsicheren Drittstaat ansässig ist, und der Auftraggeber mit ihm den EU-Standardvertrag zur Auftragsdatenverarbeitung gemäß Beschluss der Kommission Nr. 2010/87/EU v. 5.2.2012 abgeschlossen hat, kann der Auftragsverarbeiter (mit vorheriger schriftlicher Zustimmung des Auftraggebers) gem. Klausel 11 Abs. 1 des Standardvertrags die einzelnen Unteraufträge selbst, d. h. im eigenen Namen abschließen. Wenn der „erste“ Auftragsverarbeiter hingegen selbst im EWR (oder in einem sicheren Drittstaat) ansässig ist, ist der Standardvertrag nach seinem eindeutigen Wortlaut nicht anwendbar; in diesem Fall ist die Unterbeauftragung nach deutschem Recht (als genehmigungsfreie Lösung) nur möglich, indem der Auftraggeber jeweils selbst mit jedem der einzelnen Drittstaats-Unterauftragnehmer einen Standardvertrag abschließt, sog. Direktvertragslösung, vgl. Fallgruppe B der „Fallgruppen zur internationalen Auftragsdatenverarbeitung. Handreichung des Düsseldorfer Kreises zur rechtlichen Bewertung“, abrufbar unter http://www.lda.bayern.de/lda/datenschutzaufsicht/lda_daten/DK4-2007Anlage_2_Hand-
Filip
A. Einwilligung, Rechtsvorschriften und Datenschutzrichtlinien
253
BCRP bieten demgegenüber eine verfahrensmäßige Vereinfachung dahingehend, dass der Auftraggeber nur noch einen einzigen Vertrag zur Auftragsdatenverarbeitung mit einer (einzigen) Gesellschaft aus dem „AuftragsverarbeiterKonzern“ abschließen muss.340 Die Weitergabe der Daten zwischen den einzelnen konzernangehörigen Gesellschaften des „Auftragsverarbeiter-Konzerns“, insbesondere an Konzerngesellschaften in unsicheren Drittstaaten, wird anschließend durch die BCRP legitimiert, jedenfalls was das Vorliegen „angemessener Datenschutzgarantien“ i. S. v. Art. 25, 26 der RL 95/46/EU betrifft. BCRP kommen somit nur als Regelwerk für die Verarbeitung solcher personenbezogener Daten in Betracht, die im Rahmen von Auftragsdatenverarbeitung verarbeitet werden. Die Gesellschaften eines Konzerns, der BCRP eingeführt hat, fungieren im Hinblick auf die von den BCRP umfassten Daten in keiner der Verarbeitungsphasen als „verantwortliche Stellen“. BCRP kommen somit nicht als Regelwerk für die Verarbeitung von Daten in Betracht, bei denen zumindest eine der Konzerngesellschaften als „verantwortliche Stelle“ anzusehen ist; für die Verarbeitung derartiger Daten kommen jedoch u. U. „herkömmliche BCR“ (die man daher auch als „Controller-BCR“ bezeichnet) in Betracht. Aufgrund dieser unterschiedlichen Zielrichtung gibt es auch Unterschiede in den Anforderungen an Controller-BCR und BCRP, etwa – naturgemäß – im Hinblick auf die zu fordernden Haftungsregelungen: Denn eine Haftung von Auftragsdatenverarbeitern gegenüber Betroffenen besteht nach dem EU-Datenschutzrecht grundsätzlich nicht, vielmehr sieht Art. 23 RL 95/46/EG nur eine Haftung des für die Verarbeitung Verantwortlichen vor.341 Andererseits gibt es jedoch auch zahlreiche Anforderungen, die gleichermaßen für Controller-BCR wie für BCRP gelten müssen.342 Vor diesem Hintergrund sind BCRP kein Instrument zur Regelung des gesamten Umgangs mit personenbezogenen Daten innerhalb eines Konzerns. Vielmehr sind sie nur für die speziellen Fälle geeignet, in denen ein Konzern Auftragsdatenverarbeitung für konzernfremde Dritte aus EWR-Staaten betreibt, und zwar (zumindest z. T.) auch in unsicheren Drittstaaten. Angesichts dieses spezifischen Anwendungsbereichs
reichung.pdf; vgl. auch Filip, ZD 2013, 51, 58 unter Verweis auf Artikel-29-Datenschutzgruppe, WP 176, Nr. I.3. 340 Artikel-29-Datenschutzgruppe, WP 204, Nr. 2.2.1, dritter Absatz. 341 Vgl. für das deutsche Recht § 11 Abs. 1 S. 2 BDSG; vgl. aber Simitis/Simitis, § 7 Rn 11 zu Fällen, in denen der Auftragsdatenverarbeiter weisungswidrig handelt; sofern ein in einem Drittstaat ansässiger Auftragsdatenverarbeiter unter Anwendung des EU-Standardvertrags zur Auftragsdatenverarbeitung eingesetzt wird, besteht zumindest eine (gegenüber dem Datenexporteur) nachrangige Haftung eines solchen Auftragsdatenverarbeiters, vgl. Klausel 6 Abs. 2 und Abs. 3 des EU-Standardvertrags zur Auftragsdatenverarbeitung gemäß Beschluss der Kommission Nr. 2010/87/EU v. 5.2.2012 – K(2010) 593. 342 Etwa die Anforderungen an interne und externe Verbindlichkeit, Audit- und Schulungsprogramme, Beschwerdemanagement u. v. a.; zu den Anforderungen an BCRP im Einzelnen vgl. Artikel-29-Datenschutzgruppe, WP 195 und WP 205.
Filip
206
207
208
209
254
Kapitel 5 Datenverarbeitung im (internationalen) Konzern
soll im Rahmen des vorliegenden Beitrags auf BCRP lediglich hingewiesen werden. Das Instrument steht erst zu Beginn seiner praktischen Erprobung, sodass sowohl die Erfahrungen als auch weitere darauf bezogene Veröffentlichungen abzuwarten sind.
B. Problem der grenzüberschreitenden E-Discovery 210 Deutsche Unternehmen sind im Rahmen von Prozessen vor US-Gerichten oft Gegen-
stand von rechtlichen Anforderungen, in umfassender Art und Weise elektronisch gespeicherte Daten und Dokumente zur Ermittlung eines Sachverhalts oder zur Beweisführung zusammenzustellen und zu übermitteln. Dabei handelt es sich um Offenlegungspflichten im Rahmen der vorprozessualen Beweiserhebung bei grenzüberschreitenden zivilrechtlichen Verfahren (Pre-Trial Discovery).343 Diese E-Discovery-Anfragen führen zu Konflikten mit dem europäischen und deutschen Datenschutzrecht. Zudem stellen sie für die Unternehmen eine große Herausforderung in Bezug auf Datenschutz-Compliance und Compliance-Management dar. Oft stehen Unternehmen mit einer Niederlassung oder Tochtergesellschaft in den USA unter erheblichem Druck, weil sie für Prozesse in den USA Unterlagen und Material (einschließlich elektronisch gespeicherter Daten) vorlegen müssen. Dabei umfasst das angeforderte Material häufig personenbezogene Daten von Arbeitnehmern oder Dritten, einschließlich Auftraggebern oder Kunden. Zwischen der Offenlegungspflicht aufgrund des US-amerikanischen Prozess211 rechts und der Anwendung datenschutzrechtlicher Bestimmungen der EU besteht ein besonderes Spannungsverhältnis. Gleiches gilt für die geografische und territoriale Beschränkung des Datenschutzsystems der EU im Verhältnis zum multinationalen Charakter der Geschäftstätigkeit, demzufolge ein Unternehmen überall in der Welt Tochtergesellschaften oder Niederlassungen haben kann. Von besonderer Relevanz ist dies für die europäischen Tochtergesellschaften multinationaler Unternehmen, die dem Dilemma der kollidierenden Anforderungen amerikanischer Gerichtsverfahren und der europäischen Vorschriften für den Datenschutz, die für die Übermittlung personenbezogener Informationen gelten, ausgesetzt sind.
I. Verfahren der Pre-Trial Discovery 212 Das Verfahren der Pre-Trial Discovery ist Teil des US-amerikanischen Zivilprozess-
rechts und das der Hauptverhandlung vorgelagerte formelle Verfahren nach dem die Parteien eines Prozesses sowie Drittbeteiligte Informationen, die für den Prozess rele-
343 Zur informationstechnologischen und betriebswirtschaftlichen Dimension der E-Discovery siehe Hartmann/Hartmann, S. 4 ff.
Filip/Hladjk
B. Problem der grenzüberschreitenden E-Discovery
255
vant sind, zur Verfügung stellen müssen und gleichzeitig von den übrigen Beteiligten verlangen können.344 Es ist in Art. 26 bis 37 der US Federal Rules of Civil Procedure (FRCP) geregelt. Sinn und Zweck der Discovery ist es, so viel wie möglich streitrelevante Tatsachen aufzudecken, faire Voraussetzungen bei einem etwaigen Informationsungleichgewicht für den Rechtsstreit zu schaffen und es den Parteien allgemein zu ermöglichen, die Fakten und Beweisführung eines Prozesses besser nachvollziehen zu können.345 Mit dem vorprozessualen Beweisbeschaffungsverfahren soll daher sichergestellt werden, dass die Parteien in einem Rechtsstreit Zugang zu den Informationen haben, die für ihren Fall aufgrund der Vorschriften und Verfahren des Gerichts, bei dem der Prozess anhängig ist, erforderlich und relevant sind. Aus Sicht der Datenschutzpraxis können sich unterschiedliche Aspekte des US- 213 Prozessrechts und seiner Verfahren auf im Besitz europäischer Unternehmen befindlicher Dokumente und Daten auswirken. Dazu gehören insbesondere präventives Vorhalten von Unterlagen in Erwartung eines Gerichtsverfahrens in den USA oder als Reaktion auf ein diesbezügliches Ersuchen (sog. freezing oder litigation hold), als auch vorprozessuale Beweisanträge in zivilrechtlichen Verfahren in den USA, die Offenlegungspflichten begründen.346 Diese Aspekte haben Auswirkungen auf den Prozessverlauf und die Frage der Übermittlung personenbezogener Daten an einen Drittstaat im Sinne des Datenschutzrechts. Die vorprozessuale Beweisbeschaffung kann daher nicht nur die Offenlegung von personenbezogenen Daten im Rahmen von Gerichtsverfahren umfassen, sondern auch die Vorratsspeicherung von Daten mit Blick auf einen zukünftigen Prozess.
II. Unterschiede zu anderen Rechtsordnungen Für Unternehmen, die nicht nur in Deutschland, sondern auch in anderen Staaten 214 durch eine Niederlassung vertreten sind, ist zu beachten, dass es nicht nur beim Zivilprozessrecht allgemein, sondern insbesondere bei der Beweiserhebung Unterschiede zwischen der angloamerikanischen und der kontinentaleuropäischen Rechtsordnung bestehen. Die Beweisbeschaffung ist in den beiden Rechtssystemen sehr unterschiedlich geregelt. Die Möglichkeit, im Laufe des Prozesses Informationen zu erhalten und die Pflicht, diese schon im Vorfeld des Prozesses bereitzustellen, ist in den angloamerikanischen Rechtsordnungen Bestandteil des Verfahrens. Der extensive Informationsaustausch vor der eigentlichen Gerichtsverhandlung gilt als die effizienteste Methode zur Klärung strittiger Fragen.
344 Zur Geschichte der Discovery siehe Hartmann/Banaschik, S. 84 ff. 345 The Sedona Conference (TSC), International Principles on Discovery, Disclosure & Data Protection, 2011, S. 1, abrufbar unter https://thesedonaconference.org/download-pub/495. 346 Artikel-29-Datenschutzgruppe, WP 158, S. 3.
Hladjk
256
Kapitel 5 Datenverarbeitung im (internationalen) Konzern
1. Common Law – USA und Großbritannien
215 Nach Beginn eines Prozesses müssen Unternehmen in den USA den Verpflichtungen
nachkommen, die ihnen das amerikanische Prozessrecht nicht nur nach dem Bundesrecht, sondern auch nach den Zivilprozessordnungen der einzelnen Bundesstaaten auferlegt, nach denen die Parteien dazu angehalten werden, vor dem Prozess Informationen auszutauschen. Diese Anforderung bezieht sich nicht nur auf die Offenlegung relevanter Informationen, sondern auch auf Informationen, die an sich vielleicht nicht unmittelbar relevant sind, aber zur Offenlegung relevanter Informationen führen könnten (sog. smoking-guns). Diese Vorgehensweise steht im klaren Widerspruch zu vielen europäischen Rechtsordnungen, in denen solche „Fischzüge“ („fishing expeditions“) untersagt sind. Ähnlich, aber weniger umfassend, ist die Regelung in Rule 31 der Zivilprozessord216 nung des Vereinigten Königreichs,347 wonach eine Partei Unterlagen offenlegen muss, auf die sie sich zu stützen gedenkt, sowie alle weiteren Unterlagen, die für sie nachteilig sind, eine andere Partei belasten oder unterstützen oder die durch einschlägige Anweisungen des Gerichts offenzulegen sind.
2. Kontinentaleuropa 217 Im Gegensatz zu dem auf völlige Transparenz abstellenden E-Discovery-Verfahren in den USA und anderen Common-Law-Staaten sind die meisten kontinentaleuropäischen Rechtsordnungen restriktiver und kennen oft kein formelles Offenlegungsverfahren im Rahmen der Beweiserhebung.348 Viele kontinentaleuropäische Rechtsordnungen beschränken die Offenlegung von Beweismitteln auf für den Prozess erforderliche Beweise und untersagen eine weitergehende Offenlegung. Es ist vielmehr Sache der Streitpartei, zur Unterstützung ihrer Sache Beweismittel vorzulegen. Benötigt die gegnerische Partei diese Informationen, so ist es an ihr, sich Kenntnis darüber zu verschaffen und die Informationen genau zu benennen. Beispielsweise ist in Frankreich und Spanien die Offenlegung auf die Dokumente beschränkt, die vor Gericht zulässig sind.349 Die Offenlegung der Dokumente wird von dem Richter überwacht, der über die Relevanz und die Zulässigkeit des von den Parteien vorgeschlagenen Beweismittels entscheidet. In Deutschland sind die Prozessparteien nicht verpflichtet, der anderen Partei Dokumente offenzulegen. Sie müssen nur die Dokumente vorlegen, die ihr Vorbringen unterstützen. Dabei muss es sich um authenti-
347 Civil Procedure Rules, Part 31 – Disclosure and inspection of documents, incorporating the 66th update that came into force 1 October 2013. 348 Zum Vergleich der einzelnen Rechtsordnungen der EU-Mitgliedstaaten siehe umfassend Noorda/ Hanloser. 349 Artikel-29-Datenschutzgruppe, WP 158, S. 5.
Hladjk
B. Problem der grenzüberschreitenden E-Discovery
257
sche und beglaubigte Originale handeln. Die Partei, die die Vorlage eines Dokuments begehrt, muss bei Gericht eine entsprechende Anordnung erwirken.350
3. Blocking Statutes Einige Staaten (u. a. Australien, Kanada und die Schweiz) haben Gesetze (sog. Blo- 218 cking Statutes) erlassen, um die grenzüberschreitende Offenlegung von Informationen zwecks Vorlage bei ausländischen Gerichten zu beschränken. Beispielsweise verbietet ein Gesetz in Frankreich die Offenlegung bestimmter Kategorien von Dokumenten oder Informationen als Beweismittel für gerichtliche oder administrative Verfahren im Ausland.351 Eine Partei, die Informationen offenlegt, kann sich des Verstoßes gegen die Gesetze des Landes schuldig machen, in dem sich die Informationen befinden, und das kann strafrechtlichen Sanktionen von bis zu sechs Monaten Gefängnis und/oder einem Bußgeld von bis zu 18.000 € führen.352 Die amerikanischen Gerichte haben bisher solche Bestimmungen nicht als Grund 219 akzeptiert, die Offenlegung von Daten für Rechtsstreitigkeiten in den USA zu verweigern. Gemäß der dritten Anpassung des Gesetzes Nr. 442 über die Außenbeziehungen der USA kann ein Gericht eine unter seine Gerichtsbarkeit fallende Person anweisen, Beweismittel vorzulegen, auch wenn sich die Informationen nicht in den Vereinigten Staaten befinden.353 Wie von einem Teil der Rechtsprechung befürwortet, sollte eine Abwägung erfolgen mit dem Ziel, dass das Gericht über den Antrag einer Partei auf Vorlage von im Ausland befindlichen Informationen nur nach Berücksichtigung folgender Aspekte entscheiden sollte:354 – Bedeutung der angeforderten Informationen für den Prozess; – Detailliertheit der angeforderten Informationen; – ob die Informationen aus den USA stammen; – Verfügbarkeit alternativer Mittel zur Informationssicherung; sowie – inwieweit ein Zurückweisen den Interessen der USA bzw. ein Stattgeben den Interessen eines souveränen ausländischen Staates schaden würde.
350 Siehe § 142 Abs. 1 ZPO. 351 Law No. 68/678 of July 26 1968 concerning the transmission of documents and information of an economic, commercial, industrial, financial or technical nature to foreign individuals or legal entities. 352 Article 3 of Law No. 68/678 of July 26 1968. 353 Section 442 of the ALI’s 1987 Restatement (Third) of Foreign Relations Law of The United States. 354 Siehe Société Nationale Industrielle Aérospatiale gegen United States District Court, 482 U.S. 522, 544 n.28 (1987), Volkswagen AG gegen Valdez [Nr. 95-0514, 16.11.1995, Texas Supreme Court] und In re: Baycol Litigation MDL nr. 1431 (Mfd/JGL), 21.3.2003. Für eine weitergehende Analyse der US-amerikanischen Rechtsprechung siehe Sedona Conference Framework for Analysis of Cross Border Discovery Conflicts – A practical guide to navigating the competing currents of international data privacy and discovery – 23.4.2008 (Public Comment Version), abrufbar unter https://thesedonaconference.org/ download-pub/67.
Hladjk
258
Kapitel 5 Datenverarbeitung im (internationalen) Konzern
III. Gegenstand der Pre-Trial Discovery 220 Schwerpunkt der Pre-Trial Discovery ist aus Datenschutzsicht der Austausch von
elektronisch gespeicherten Informationen (Production of Documents, Electronically Stored Information (ESI), daher der Begriff „E-Discovery“. Seit dem 1.12.2006 sind ausdrücklich auch elektronisch gespeicherte Informationen nach Art. 34 (a) FRCP vom Anwendungsbereich der Pre-Trial Discovery erfasst. Neben elektronischen Texten fallen hierunter auch Zeichnungen, Grafiken, Tabellen, Fotos, Tonbandaufzeichnungen, Bilder und andere Daten und Datensammlungen. Im Rahmen von ESI sind nicht nur die Endfassungen vom Anwendungsbereich der E-Discovery erfasst, sondern auch Entwürfe, Anmerkungen und Notizen sowie solche Daten, die weitere Zusatzinformationen über das jeweilige Dokument geben (sog. Metadaten), sind vorzulegen.355 Praxistipp Praktische Anleitungen zum Umgang mit ESI liefern die Empfehlungen der sog. Sedona Conference. Beispielsweise finden sich bei den „Sedona Principles for Electronic Document Production“ Standards und Richtlinien für den Austausch elektronischer Dokumente im Rahmen der E-Discovery.356 Diese Richtlinien sind nicht rechtlich bindend, sie bieten jedoch nützliche Anhaltspunkte für den Umgang mit den relevanten Daten.
IV. Sanktionen bei Nichtvorlage von Daten 221 Falls die Prozessparteien den Aufbewahrungs- bzw. Offenlegungspflichten nicht
nachkommen, kann es zu Sanktionen kommen, insbesondere wenn das Gericht dies als Beweisvereitelung ansieht. Als Sanktionen kommen neben dem möglichen Ausschluss von eigenen Beweismitteln die Umkehr der Beweislast oder auch ein Urteil zulasten der vorlageverpflichteten Partei in Betracht. Darüber hinaus können gegen die vorlageverpflichtete Partei Geldbußen oder Haftstrafen verhängt werden.357 Das Verfahren der Pre-Trial Discovery ist daher in der praktischen Durchführung für die Parteien meist sehr aufwändig und führt neben erheblichen Kosten auch zu Prozessrisiken, die nicht unterschätzt werden sollten.
355 Rath/Klug, K&R 2008, 596. 356 The Sedona Conference, The Sedona Principles: Second Edition – Best Practices Recommendations & Principles for Addressing Electronic Document Production, Juni 2007; abrufbar unter https:// thesedonaconference.org/publication/The%20Sedona%20Principles. 357 Rath/Klug, K&R 2008, 596, 597.
Hladjk
B. Problem der grenzüberschreitenden E-Discovery
259
V. Leitlinien der Artikel 29-Datenschutzgruppe Die Artikel-29-Datenschutzgruppe hat bereits im Jahr 2009 in ihrem Arbeitspapier 222 „über Offenlegungspflichten im Rahmen der vorprozessualen Beweiserhebung bei grenzübergreifenden zivilrechtlichen Verfahren (Pre-Trial discovery)“ für jeden Schritt bei der Datenverwendung bestimmte Lösungen vorgeschlagen. Das Arbeitspapier geht davon aus, dass die zivilprozessualen Anforderungen einer ausländischen Rechtsordnung mit den datenschutzrechtlichen Anforderungen der EU-Datenschutzrichtlinie in Einklang gebracht werden müssen.358 Dabei stellt das Arbeitspapier ausdrücklich fest, dass „die Richtlinie Übermittlungen für Verfahrenszwecke nicht ausschließt“, aber auch, dass „bestimmte Datenschutzerfordernisse […] erfüllt sein“ müssen, und schlägt entsprechende Leitlinien vor.359 Danach soll der Konflikt „zwischenstaatlich – etwa durch Einführung weiterer, nach Verabschiedung obligatorischer, globaler Konventionen – geregelt werden“.360 Auch wenn die Empfehlungen und Leitlinien in den Arbeitspapieren und Stellungnahmen der Artikel-29-Datenschutzgruppe keine rechtliche Bindung haben, spiegeln sie jedoch in der Praxis meist die Herangehensweise und Bewertung der nationalen Aufsichtsbehörden wider.
VI. Rechtmäßigkeit der US e-Discovery nach BDSG Aus Unternehmenssicht ist bei grenzüberschreitenden e-Discovery-Ersuchen zu 223 prüfen, ob eine Befolgung der nach US-Prozessrecht angeordneten Vorlagepflichten nach deutschem Datenschutzrecht rechtskonform erfolgen kann. Da e-DiscoveryErsuchen nahezu zwangsläufig mit der Vorlage personenbezogener Daten, etwa von Mitarbeitern, Kunden oder Lieferanten, verbunden sind, ist für deutsche Unternehmen insbesondere die Rechtmäßigkeit nach datenschutzrechtlichen Vorschriften zu untersuchen. Aufgrund der oben beschriebenen Spannungen zwischen deutschem Datenschutzrecht und der oft wenig erfolgreichen Möglichkeit des Zurückweisens einer e-Discovery-Anfrage gilt es daher anstelle einer pauschalen Zurückweisung, einen geeigneten Ausgleich zwischen den Verpflichtungen nach US-Prozessrecht und den Grundsätzen deutschen Datenschutzrechts zu finden.
358 Artikel-29-Datenschutzgruppe, WP 158, S. 2 359 Artikel-29-Datenschutzgruppe, WP 158, S. 7. 360 Schreiben der Artikel-29-Datenschutzgruppe v. 12.6.2012 an TSC, S. 4; Artikel-29-Datenschutzgruppe, WP 158, S. 2.
Hladjk
260
Kapitel 5 Datenverarbeitung im (internationalen) Konzern
1. Anwendbarkeit des BDSG
224 Nach § 1 Abs. 5 BDSG gilt für die Anwendbarkeit des BDSG das Sitzlandprinzip, d. h.,
225
226
227
228
die Anwendbarkeit richtet sich grundsätzlich nach dem Sitz der verantwortlichen Stelle bzw. des Unternehmens, welches die relevanten Daten besitzt. In Deutschland ansässige Unternehmen unterliegen daher dem deutschem Datenschutzrecht. Für ausländische Stellen, die Daten über eine deutsche Niederlassung erheben, verarbeiten oder nutzen, gilt das BDSG. Daneben findet das BDSG auch dann Anwendung, wenn Daten durch eine im EU/EWR-Ausland ansässige Stelle, etwa in den USA – ohne deutsche Niederlassung – innerhalb Deutschlands erhoben, verarbeitet oder genutzt werden, sog. Territorialitätsprinzip. Von einer Niederlassung ist nach Erwägungsgrund 19 der EG-Datenschutzrichtlinie auszugehen, wenn die Tätigkeit effektiv und tatsächlich von einer „festen Einrichtung“ ausgeübt wird. Die Rechtsform, in der die Niederlassung organisiert ist, ist nicht maßgeblich.361 Zurückgegriffen werden kann insoweit auf § 42 Abs. 2 GewO, nach dem eine Niederlassung vorhanden ist, wenn der Gewerbetreibende einen zum dauernden Gebrauch eingerichteten, ständig oder in regelmäßiger Wiederkehr von ihm benutzten Raum für den Betrieb seines Gewerbes besitzt.362 Der am 25.1.2012 von der EU-Kommission vorgelegte Entwurf für eine Datenschutzverordnung (KOM(2012) 11 endg.) sieht demgegenüber eine erhebliche Erweiterung des räumlichen Anwendungsbereichs vor. Nach dessen Art. 3 soll die Anwendbarkeit der Verordnung nicht mehr an eine Datenverarbeitung in der EU anknüpfen. Die Verordnung ist bereits dann anzuwenden, wenn verantwortliche Stellen außerhalb der EU Daten über Unionsbürger auch außerhalb der EU verarbeiten, wenn die Datenverarbeitung dazu dient, dem Unionsbürger in der EU Waren oder Dienstleistungen anzubieten oder dessen Verhalten zu beobachten.363 Die Rechtmäßigkeit grenzüberschreitender US e-Discovery-Anfragen mit deutschem Datenschutzrecht wird daher immer dann relevant, wenn eine deutsche Konzerngesellschaft zur Offenlegung und Übermittlung von Informationen und Daten ersucht wird oder wenn die angefragten Daten innerhalb Deutschlands erhoben, verarbeitet oder genutzt werden, insbesondere auf Servern oder Computer gespeichert sind, die in Deutschland belegen sind. Bezüglich der Erhebung und Nutzung personenbezogener Daten ist es für die Anwendbarkeit des BDSG ausreichend, wenn die Daten sich in Deutschland befinden oder die verantwortliche Stelle in Deutschland tätig ist.364
361 Gola/Schomerus, 11. Aufl. 2012, Rn 28. 362 Vgl. Dammann, RDV 2002, 70. 363 Europäische Kommission, Vorschlag für eine Verordnung des europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung), KOM(2012) 11 endg. v. 25.1.2012, 2012/001(COD) C7-0025/12, Art. 3 Nr. 2. 364 Junker, S. 177 f.
Hladjk
B. Problem der grenzüberschreitenden E-Discovery
261
2. Datenverarbeitung zum Zweck der e-Discovery a) Unterschiedliche Verarbeitungsphasen Der Umgang mit personenbezogenen Daten im Rahmen einer e-Discovery-Anfrage 229 bedarf für jeden einzelnen Datenverarbeitungsvorgang einer Rechtsgrundlage, die durch eine Rechtsvorschrift oder durch eine Einwilligung gegeben sein kann. In der deutschen und englischsprachigen Literatur existieren teilweise unterschiedliche Stufen eines solchen Phasenmodells, je nach Anknüpfungspunkten im Bereich der US-Gesetzgebung. Als praxisnah hat sich die folgende Unterscheidung in einem 4-Phasen-Modell erwiesen:365 – Phase 1: In einem ersten Vorgang sind die Informationen, die möglicherweise personenbezogene Daten enthalten, zunächst zu lokalisieren, zu identifizieren und zu speichern. Es muss dabei sichergestellt werden, dass jeder ordentliche oder außerordentliche Löschungsvorgang angehalten wird („Sicherung“). – Phase 2: Sobald die Sicherung vollzogen ist, werden die Daten in einem zweiten Schritt intern überprüft und genutzt („Interne Prüfung“). – Phase 3: Externe Anwälte und e-Discovery-Experten sehen die Informationen in der dritten Phase durch („Externe Durchsicht“). – Phase 4: Im letzten Schritt sind die Informationen der gegnerischen Prozesspartei oder dem US-amerikanischen Gericht auszuhändigen („Offenlegung“). Die Übermittlung von personenbezogenen Daten in einen Drittstaat („Datenexport“) findet vor oder während der externen Datenverwendung, spätestens aber zum Zeitpunkt der Offenlegung statt.
b) Zweistufige Prüfung Die Beurteilung der Verwendung „deutscher“ personenbezogener Daten für Zwecke 230 eines US-amerikanischen Prozesses erfordert zudem eine zweistufige Prüfung.366 Zunächst müssen die allgemeinen Anforderungen zur Datenverarbeitung erfüllt sein, insofern jeder einzelne Schritt in den oben beschriebenen Verarbeitungsphasen eine spezifische Erlaubnis erfordert. Zusätzlich müssen dann die weitergehenden besonderen Anforderungen erfüllt sein, welche §§ 4b und 4c BDSG für die Übermittlung personenbezogener Daten ins Ausland aufstellen. Auf der ersten Ebene wird beurteilt, ob die Datenverarbeitung zulässig wäre, wenn es sich um einen rein innereuropäischen Rechtsstreit handelte. Auf der zweiten Ebene wird geprüft, ob die grenzüberschreitende Übermittlung der personenbezogenen Daten in Einklang mit dem deutschen und europäischen Datenschutzrecht steht.
365 Vgl. Auch Deutlmoser/Filip, ZD-Beil. 2012, 6 366 Siehe auch Deutlmoser/Filip, ZD-Beil. 2012, 5 sowie Hartmann/Laue, S. 111.
Hladjk
262
Kapitel 5 Datenverarbeitung im (internationalen) Konzern
3. Allgemeine Zulässigkeit der Datenverarbeitung a) Rechtsgrundlage 231 Jede Erhebung, Speicherung, Übermittlung oder sonstige Verarbeitung oder Nutzung personenbezogener Daten im Rahmen einer e-Discovery Anfrage untersteht nach § 4 Abs. 1 BDSG einem Erlaubnisvorbehalt und ist daher nur zulässig, soweit der Betroffene eingewilligt hat oder eine Rechtsvorschrift die Datenverarbeitung erlaubt. Eine ausländische Rechtsvorschrift genügt jedoch nicht als Rechtsgrundlage 232 im Sinne dieser Vorschrift. Insoweit können die Vorschriften der US Federal Rules of Procedure („FRCP“) zur e-Discovery in datenschutzrechtlicher Hinsicht keine eigenständige Rechtsgrundlage für die Datenverarbeitung und -übermittlung darstellen.367
aa) Einwilligung
233 In Betracht kommt eine Einwilligung als Rechtsgrundlage. Nach § 4a Abs. 1 BDSG ist
Voraussetzung einer wirksamen Einwilligung, dass jeder einzelne Betroffene vorab in angemessener Weise über den vorgesehenen Zweck der Sicherung oder einer späteren Verwendung der Daten im Rahmen der e-Discovery umfassend unterrichtet worden ist (sog. informierte Einwilligung). Eine solche Unterrichtung erfordert nicht nur, dass Zweck und Umfang der Sicherung der Daten mitgeteilt werden, sondern auch, dass die potenziellen Empfänger der personenbezogenen Daten angegeben werden.368 Eine Pauschal- oder Blankozustimmung, z. B. im Arbeitsvertrag oder in einer eigenständigen Erklärung, die von allen Beschäftigten unterschrieben wird und welche die Datenverwendung zu allen möglichen Zwecken legitimieren soll, stellt nach herrschender Auffassung keine wirksame Einwilligung dar.369 Daher wird eine informierte Einwilligung zum Zweck einer e-Discovery realistischerweise mehrere Seiten umfassen müssen. Zudem kann auf diesem Wege auch nicht die Einwilligung von nicht im Unter234 nehmen beschäftigten Betroffenen wie Zulieferern, Kunden oder sonstigen Dritten erlangt werden.370 Ebenso wenig kann eine Einwilligung im Wege von Kollektivvereinbarungen, wie z. B. Betriebsvereinbarungen, erteilt werden.371 Zwar kommen Kollektivvereinbarungen grundsätzlich als Erlaubnistatbestände i. S. d. § 4 Abs. 1 BDSG in Betracht,372 sie verpflichten aber stets nur die Kollektivparteien, nicht aber auch –
367 Taeger/Rath/Kunst, S. 30. 368 Däubler/Klebe/Wedde/Weichert, § 4a Rn 4. 369 Artikel-29-Datenschutzgruppe, WP 114, S. 12; Junker, S. 79; Lehmann/Meents/Runte, Kap. 20 B. Bundesdatenschutzgesetz, S. 1076 Rn 57. 370 Siehe auch Deutlmoser/Filip, ZD-Beil. 2012, 6. 371 Däubler/Klebe/Wedde/Weichert, 3. Aufl. 2010, § 4a Rn 3; Pröpper/Römermann, MMR 2008, 514, 515 f. 372 Gola/Schomerus, 11. Aufl., § 4 Rn 7.
Hladjk
B. Problem der grenzüberschreitenden E-Discovery
263
wie es für eine umfassende Legitimation des Datentransfers erforderlich wäre373 – den Datenempfänger in den USA. Schließlich ist festzuhalten, dass die Einwilligung nach BDSG jederzeit, ohne Angabe von Gründen und ohne nachteilige Folgen für den Beschäftigten, widerruflich ist.374 Ein solcher Widerruf wirkt jedoch nur für die Zukunft,375 ist aber im Fall der e-Discovery natürlich von hoher Relevanz und führt im Zweifel zu einer erheblichen Einschränkung der weiteren Datenverarbeitung. Sollten besondere Arten personenbezogener Daten i. S. d. § 3 Abs. 9 BDSG betrof- 235 fen sein, muss sich die Einwilligung zudem ausdrücklich auf diese Daten beziehen. Es wird außerdem vertreten, dass dabei die besonderen Arten personenbezogener Daten in den Wortlaut der Einwilligung aufzunehmen sind.376 Die Einwilligung muss schriftlich erfolgen (eine einfache E-Mail erfüllt diese 236 Anforderung nicht), sofern nicht wegen besonderer Umstände eine andere Form angemessen ist.377 Die Einwilligung muss vor der Datenverwendung erfolgen, eine nachträgliche Genehmigung sieht das Gesetz nicht vor.378 Damit kann eine rechtswidrige Datenverarbeitung auch nicht rückwirkend vom Betroffenen legitimiert werden;379 möglich ist nur eine Legitimation der Datenverwendung für die Zukunft. Ein weiterer Grund dafür, dass eine wirksame Einwilligung im Rahmen von 237 e-Discovery-Verfahren kaum möglich ist, besteht darin, dass diese auf einer freien Entscheidung des Betroffenen beruhen muss. 380 Er muss dafür eine tatsächliche Chance erhalten, seine Einwilligung zu versagen oder zu widerrufen, ohne dass er wegen seiner Entscheidung negative Konsequenzen zu befürchten hätte. Für den Fall, dass es sich bei dem Betroffenen um einen Beschäftigten der verantwortlichen Stelle handelt, empfiehlt es sich, ausdrücklich zu erklären, dass der Beschäftigte keine nachteiligen Auswirkungen erleiden wird, wenn er nicht einwilligt oder die erteilte Einwilligung zu einem späteren Zeitpunkt widerruft.381 Überdies empfehlen sich besondere Widerrufsrechte sowie aufschiebende Bedingungen, die die Freiwilligkeit der Einwilligung zusätzlich betonen.382
373 Gola/Schomerus, 11. Aufl., § 4c Rn 10. 374 Gola/Schomerus, 11. Aufl., § 4a Rn 38. 375 Lehmann/Meents/Runte, Kap. 20 B. Bundesdatenschutzgesetz, S. 1076 Rn 55. 376 Däubler/Klebe/Wedde/Weichert, 3. Aufl. 2010, § 4a Rn 42 m. w. N. 377 § 4a Abs. 1 S. 3 BDSG. 378 Lehmann/Meents/Runte, Kap. 20 B. Bundesdatenschutzgesetz, S. 1076 Rn 52. 379 Däubler/Klebe/Wedde/Weichert, § 4a Rn 4. 380 Siehe auch Deutlmoser/Filip, ZD-Beil. 2012, 5. Siehe auch Artikel-29-Datenschutzgruppe, WP 114, S. 11. 381 Däubler/Klebe/Wedde/Weichert, 3. Aufl. 2010, § 4b Rn 9. 382 Behling, CB 2013, 265, 268.
Hladjk
264
Kapitel 5 Datenverarbeitung im (internationalen) Konzern
Praxistipp Eine Einwilligung wird in der Praxis nur schwer zu erlangen sein und insbesondere im Falle von Beschäftigtendaten ist fraglich, ob es dem Unternehmen gelingen wird, die erforderliche Freiwilligkeit der Einwilligung nachzuweisen. Die Anforderungen an eine Einwilligung im Rahmen von Rechtsstreitigkeiten und Gerichtsprozessen in den USA sind nur schwer zu erfüllen, insbesondere wenn es sich um die Sicherung und Datenverarbeitung von Tausenden oder sogar Millionen von Dokumenten handelt. Auch der jederzeit mögliche Widerruf der Einwilligung schränkt ihre Tauglichkeit als Legitimationsgrundlage stark ein. Daher ist grundsätzlich vom Gebrauch der Einwilligung abzuraten, sofern andere Legitimationsgrundlagen zur Verfügung stehen. In Einzelfällen kann die Einwilligung jedoch ein hilfreiches Mittel sein, die Datenverarbeitung zu e-Discovery-Zwecken zu legitimieren, etwa wenn es um einen sehr kleinen oder stark begrenzten Kreis von Betroffenen geht und nur sehr wenig Zeit für die Umsetzung der e-Discovery-Anfrage zur Verfügung steht.
bb) Erlaubnistatbestände des BDSG
238 Kommt die Einwilligung als geeignetes Instrumentarium zur Legitimierung der e-Dis-
covery in der Regel nicht in Betracht, bieten sich jedoch andere gesetzliche Rechtsgrundlagen für die Legitimation der Datenverarbeitung der personenbezogenen Daten in den verschiedenen Phasen der e-Discovery an. Das BDSG enthält in §§ 28 bis 32 BDSG einen Katalog von Erlaubnistatbeständen für den Umgang mit personenbezogenen Daten durch private Unternehmen. Die einzelnen Erlaubnistatbestände sind überwiegend nicht auf bestimmte Zwecke beschränkt, erlauben teilweise aber nur bestimmte Verarbeitungsvorgänge, beispielsweise nur die Übermittlung und Nutzung oder nur die Veränderung von personenbezogenen Daten. Einer gesetzlichen Legitimation bedarf es dabei bereits für die Speicherung 239 der Daten im eigenen Unternehmen, da auch diese als Datenverarbeitung i. S. d. § 3 Abs. 4 BDSG gilt. Gemäß den datenschutzrechtlichen Prinzipien der Zweckbindung und der Erforderlichkeit ist die Speicherung und Aufbewahrung personenbezogener Daten grundsätzlich nur solange und in dem Umfang zulässig, soweit dies zur Erreichung des ursprünglichen Zwecks erforderlich ist.383 Besteht der ursprüngliche Speicherzweck nicht mehr, sind die Daten nach § 35 Abs. 2 Nr. 3 BDSG zu löschen. Damit ist eine unbefristete Vorhaltung von „Daten auf Vorrat“ im Rahmen 240 einer e-Discovery mit deutschem Datenschutzrecht unvereinbar.384 Dies hat zur Konsequenz, dass die in der Phase des „litigation hold“ geforderte Vorhaltung der Daten zwar dann datenschutzrechtlich unbedenklich ist, wenn der ursprüngliche Speicherzweck noch fortbesteht.385 Fällt allerdings der Speicherzweck während der Dauer dieser Phase weg, bedarf die weitere Vorhaltung der Daten einer selbstständigen
383 Brisch/Laue, RDV 2010, 3. 384 Taeger/Rath/Kunst, S. 31. 385 Brisch/Laue, RDV 2010, 4.
Hladjk
B. Problem der grenzüberschreitenden E-Discovery
265
Rechtsgrundlage.386 Zudem ist dies auch für die im e-Discovery-Verfahren regelmäßig erfolgende Sichtung und Filterung der Dokumente sowie für die Übermittlung und die Offenlegung von Daten im Rahmen der beschriebenen Phasen zu beachten.387
cc) Schutz berechtigter Unternehmensinteressen Für Datenverarbeitungen im Rahmen der E-Discovery sind insbesondere die daten- 241 schutzrechtlichen Erlaubnisnormen des § 28 Abs. 1 Nr. 2 BDSG und § 28 Abs. 2 Nr. 2a BDSG relevant. Diese Regelungen erlauben Datenverarbeitungen, die zur Wahrung berechtigter Unternehmensinteressen erforderlich sind, soweit überwiegende schutzwürdige Interessen der Betroffenen nicht entgegenstehen.
dd) Berechtigtes Unternehmensinteresse Voraussetzung für die Anwendung des § 28 Abs. 1 S. 1 Nr. 2 BDSG ist das Vorliegen 242 eines berechtigten Interesses der verantwortlichen Stelle.388 Dabei ist jedes rechtliche, wirtschaftliche oder sogar ideelle Interesse ausreichend.389 In diesem Zusammenhang wird auch oft von einem Zweck gesprochen, dessen Verfolgung vom gesunden Rechtsempfinden gebilligt wird.390 Falls das deutsche Unternehmen selbst Partei des Rechtsstreits ist und damit das e-Discovery-Verfahren der eigenen Verteidigung oder Abwehr von Ansprüchen dient, kann dies daher ein berechtigtes Interesse i. S. d. § 28 Abs. 1 Nr. 2 BDSG darstellen,391 auch wenn die Klage im Ausland erhoben worden ist.392 Daneben kommen auch Rechtsverteidigungsinteressen Dritter (etwa der am Prozess beteiligten Mutter- oder Schwestergesellschaft) nach § 28 Abs. 2 Nr. 2 a) BDSG als Legitimation für die Datenverarbeitung in Betracht.393 Die Datenverarbeitung ist zudem notwendig, wenn das berechtigte Interesse nicht, jedenfalls nicht in
386 Taeger/Rath/Kunst, S. 31. 387 Tager/Rath/Kunst, S. 31. 388 Zur Frage, ob ein legitimes Interesse auch dann besteht, wenn sich die Klage nicht gegen die verantwortliche Stelle, sondern gegen eine mit ihr verbundene Gesellschaft richtet, siehe Brisch/ Laue, RDV 2010, 4. Die Artikel-29-Datenschutzgruppe scheint die Übermittlung durch die europäische Tochtergesellschaft einer beklagten ausländischen Muttergesellschaft zu erlauben; Artikel-29-Datenschutzgruppe, WP 114, S. 15; siehe ähnlich Hanloser, DuD 2008, 786. 389 Lehmann/Meents/Runte, Kapitel 20 B. Bundesdatenschutzgesetz, S. 1076 Rn 52; Däubler/Klebe/ Wedde/Weichert, 3. Aufl. 2010, § 28 Rn 48. 390 Gola/Schomerus, § 28 Rn 24. 391 Taeger/Rath/Kunst, S. 31. 392 Brisch/Laue, RDV 2010, 4; Spies/Schröder, MMR 2008, 278. 393 Allerdings gilt § 28 Abs. 2 Nr. 2a BDSG nur für die Übermittlung und Nutzung von Daten. Die kontinuierliche Speicherung auf Grundlage eines „litigation hold“ in einem Verfahren Dritter lässt sich damit nicht über § 28 Abs. 2 Nr. 2a BDSG rechtfertigen, siehe hierzu Brisch/Laue, RDV 2010, 4.
Hladjk
266
Kapitel 5 Datenverarbeitung im (internationalen) Konzern
zumutbarer Weise, anders wahrgenommen werden kann.394 Insoweit muss die Datenverarbeitung zur Wahrung des berechtigten Interesses nicht nur dienlich, sondern auch erforderlich sein.395 Bei dieser Prüfung der Erforderlichkeit ist zu beachten, ob es nicht entgegenstehende überwiegende Interessen der Betroffenen gibt.
ee) Abwägung mit schutzwürdigem Interesse der Betroffenen 243 Bei dieser Abwägung ist es erforderlich, die schutzwürdigen Interessen der von der Datenverarbeitung Betroffenen zu berücksichtigen und somit eine angemessene Abwägung der widerstreitenden Interessen durchzuführen.396 Aus diesem Grund sind allgemeingültige Aussagen zur datenschutzrechtlichen Zulässigkeit einzelner e-Discovery-Maßnahmen nur schwer zu treffen. Vielmehr entscheiden stets die konkreten Umstände des Einzelfalls und insbesondere der Umfang der e-Discovery-Anfrage über das Ergebnis der Interessenabwägung. Im Rahmen der Interessenabwägung müssen die Verhältnismäßigkeit, Prozess 244 erheblichkeit und potenziellen Auswirkungen auf den Betroffenen berücksichtigt werden.397 Dabei erkennen sowohl das US-Recht als auch die Rechtssysteme in der EU an, dass der Verhältnismäßigkeitsgrundsatz und der Ausgleich der verschiedenen Interessen relevant sind.398 Aus den allgemeinen datenschutzrechtlichen Grundsätzen, Datenvermeidung und Datensparsamkeit (§ 3a BDSG) mag sich ergeben, dass die zulässige Datenverarbeitung auf die personenbezogenen Daten begrenzt sein soll, die unbedingt zur Verteidigung gegen die ausländische Klage erforderlich sind.399 Allerdings ist in diesem Kontext auch anzumerken, dass ein Verstoß gegen § 3a BDSG nicht ausdrücklich sanktioniert ist und daher in der Praxis unter bestimmten Umständen auch flexibler gehandelt wird. Es kommt dabei jedoch auf den konkreten Einzelfall und die Risikobewertung des Unternehmens an.
ff) Erforderlichkeit
245 Wenn von einem berechtigten Interesse der Unternehmen an der Datenübermittlung
auszugehen ist, muss weiterhin beachtet werden, dass die Übermittlung mit dem Wortlaut des § 28 Abs. 2 Nr. 2 a) BDSG (beispielsweise bei der Übermittlung von Daten der deutschen Tochtergesellschaft an die US-amerikanische Muttergesellschaft) stets unter dem Vorbehalt steht, dass diese zur Wahrung der berechtigten Interessen auch
394 Simitis/Simitis, § 28 Rn 108. 395 Gola/Schomerus, § 28 Rn 25. 396 Deutlmoser/Filip, ZD-Beil. 2012, 5; Taeger/Rath/Kunst, S. 31. 397 Artikel-29-Datenschutzgruppe, WP 158, S. 11. 398 Artikel-29-Datenschutzgruppe, WP 158, S. 10. 399 Deutlmoser/Filip, ZD-Beil. 2012, 8.
Hladjk
B. Problem der grenzüberschreitenden E-Discovery
267
„erforderlich“ sein muss. Für die Beurteilung der „Erforderlichkeit“ gilt im deutschen Datenschutzrecht grundsätzlich ein strenger Maßstab.400 Eine Übermittlung von Daten ist danach nur dann zulässig, wenn die Übermittlung zur Wahrung der berechtigten Interessen eines Unternehmens „unerlässlich“ ist.401 Die bloße Geeignetheit oder Zweckmäßigkeit zur Wahrung der berechtigten Unternehmensinteressen im Rahmen des E-Discovery-Verfahrens reichen daher nicht aus. In diesem Zusammenhang wäre es daher nicht mit dem strengen Erforderlich- 246 keitsmaßstab vereinbar, wenn die bei in Deutschland gespeicherten Daten aufgrund der vorgelegten Discovery-Anfragen ungefiltert übermittelt würden.402 Maßstab sollte daher nicht die bloße Minimierung der Datenmenge sein, sondern es muss auf die Relevanz der Daten geachtet werden, was etwa im Rahmen einer Filterung der Daten, beispielweise mit automatisierten Filterprogrammen, geschehen kann.403 Praxistipp Vor einer Übermittlung sollte eine umfangreiche Sichtung des gespeicherten Datenmaterials anhand der Discovery-Anfragen erfolgen, um diese Übermittlung auf die für das E-Discovery-Verfahren relevanten und damit erforderlichen elektronischen Informationen zu beschränken. In der Regel empfiehlt es sich dabei, aufgrund der Komplexität der Dokumente, des Datenvolumens und des bestehenden Zeitdrucks auch auf die Unterstützung externer Rechtsanwälte zurückzugreifen.
Die Einbindung externer Rechtsanwälte ist dabei grundsätzlich datenschutzrechtlich 247 unproblematisch, da ihre Tätigkeit der gesetzlichen Verschwiegenheitspflicht unterliegt404 und die Sichtung zur Feststellung der datenschutzrechtlichen Legitimität der späteren Übermittlung erforderlich ist (§ 28 Abs. 1 S. 1 Nr. 2 BDSG). Nur dann, wenn aufgrund der Umstände des Einzelfalls eine Datenfilterung 248 bereits in Deutschland unzumutbar wäre, entspricht es dem strengen Erforderlichkeitsgrundsatz, die Daten auch ohne vorherige Filterung zu übermitteln. Ergibt die Prüfung der Erforderlichkeit, dass vor einer Übermittlung eine Daten- 249 filterung notwendig ist, muss weiterhin berücksichtigt werden, dass der Datenfilterungsprozess selbst als eine Nutzung der Daten nach § 3 Abs. 5 BDSG zu werten ist. Diese Datennutzung bedarf, wie auch die Übermittlung, einer Rechtsgrundlage,405 für die wiederum aus Sicht des deutschen Unternehmens die Vorschrift des § 28 Abs. 2
400 Allgemein zum Grundsatz der Erforderlichkeit siehe Simitis/Sokol, 6. Aufl., § 13 Rn 25. Zum zutreffenden Ansatz der „relativen Erforderlichkeit“ bei der praktischen Umsetzung siehe Plath/Plath, § 28 Rn 21–24 sowie Gola/Schomerus, § 28 Rn 15. 401 Plath/Plath, § 28 Rn 50. 402 Diese Wertung betrifft nicht nur das US-amerikanische Unternehmen, eventuelle US-Anwälte, die von diesem Unternehmen beauftragt werden, oder sogar das US-Gericht als Empfänger der relevanten Daten. 403 Taeger/Rath/Kunst, S. 32, siehe zur Filterung auch Artikel-29-Datenschutzgruppe, WP 158, S. 11. 404 §§ 43 Abs. 2 BRAO, 203 Abs. 1 Nr. 3 StGB; Brisch/Laue, RDV 2010, 5. 405 Vgl. § 4 Abs. 1 BDSG.
Hladjk
268
Kapitel 5 Datenverarbeitung im (internationalen) Konzern
Nr. 2 a) BDSG einschlägig ist. Für die Annahme eines berechtigten Interesses der USamerikanischen Muttergesellschaft spricht dabei, dass so die Daten herausgefiltert werden können, die für eine effektive Rechtsverteidigung in den USA relevant sind. Demgegenüber dürften berechtigte Interessen der Betroffenen an einem Ausschluss einer solchen Durchsuchung, die sich allein auf die Ermittlung von für das Verfahren relevanter Daten beschränkt, im Regelfall nicht vorliegen.406 Sobald feststeht, dass eine Datenfilterung rechtlich notwendig und auch zuläs250 sig ist, sollte die Unternehmensführung zudem darauf hingewiesen werden, dass diese nach dem in § 3a BDSG normierten Grundsatz der Datensparsamkeit erfolgen sollte. Danach soll sich die Nutzung personenbezogener Daten an dem Ziel ausgerichtet werden, so wenig personenbezogene Daten wie möglich zu nutzen. Daher sollten die Datenbestände, soweit dies technisch und organisatorisch möglich ist, mit automatisierten Filterprogrammen (z. B. Key Word Search) durchsucht werden. Somit wird sichergestellt, dass nur die personenbezogenen Daten genutzt werden, die aufgrund der gewählten Filtereinstellungen mit einiger Wahrscheinlichkeit einen Bezug zum Rechtsstreit aufweisen.407 Daneben sollte aber auch geprüft werden, ob nicht von der Möglichkeit einer 251 Anonymisierung oder Pseudonymisierung der Daten Gebrauch gemacht werden kann, bevor die Daten an das US-amerikanische Unternehmen, die US-Anwälte oder das US-Gericht übermittelt werden.408 Maßnahmen der Anonymisierung oder der Pseudonymisierung sind Faktoren, die die Interessenabwägung zugunsten der Zulässigkeit der Datenverarbeitung positiv beeinflussen können. Praxistipp Die Artikel-29-Datenschutzgruppe und der Berliner Datenschutzbeauftragte empfehlen eine zweistufige Vorgehensweise, wonach in einem ersten Schritt die Offenlegung nach Möglichkeit auf anonymisierte oder zumindest pseudonymisierte Daten beschränkt wird.409 Erst nach dem Herausfiltern
406 Vgl. Hartmann/Laue, S. 113. 407 Artikel-29-Datenschutzgruppe, WP 158, S. 11; Spies/Schröder, MMR 2008, 279; Brisch/Laue, RDV 2010, 6. 408 Artikel-29-Datenschutzgruppe, WP 158, S. 11. 409 Berliner Datenschutzbeauftragter, Tätigkeitsbericht 2007, Ziff. 10.3, abrufbar unter http://www. datenschutz-berlin.de/attachments/438/Jahresbericht_2007.pdf?1207310269; Artikel-29-Datenschutzgruppe, WP 158, S. 11. Zudem weist der Berliner Datenschutzbeauftragte mit Blick auf die Datenübermittlung an US-Behörden darauf hin, dass nach Inkrafttreten des Vertrags über die Rechtshilfe in Strafsachen eine direkte Übermittlung an das US-Justizministerium unzulässig ist. Vgl. hierzu auch die Vorgaben des Bayerischen Landesamtes für Datenschutzaufsicht, Tätigkeitsbericht 2009/2010, Ziff. 11.1, abrufbar unter http://www.lda.bayern.de/lda/datenschutzaufsicht/lda_daten/dsa_Taetigkeitsbericht_2010.pdf.
Hladjk
B. Problem der grenzüberschreitenden E-Discovery
269
irrelevanter Daten im Inland410 oder zumindest in der Europäischen Union sollen in einem zweiten Schritt personenbezogene Daten in einem entsprechend begrenzteren Umfang übermittelt werden.411
gg) Kein entgegenstehendes Betroffeneninteresse Sofern die Datenübermittlung an die verschiedenen Beteiligten dem berechtigten 252 Interesse der US-amerikanischen Unternehmen entspricht und auch erforderlich ist, muss abschließend geprüft werden, ob die Beschäftigten des deutschen Tochterunternehmens als Betroffene kein „schutzwürdiges Interesse“ an dem Ausschluss der Übermittlung ihrer (elektronischen) Daten haben. Bei dieser Interessensabwägung sind Aspekte der Verhältnismäßigkeit, die Relevanz der personenbezogenen Daten für den Rechtsstreit und die Konsequenzen für die Betroffenen zu berücksichtigen.412 Dabei ist das übermittelnde Unternehmen grundsätzlich nicht verpflichtet, konkrete, einzelfallbezogene Nachforschungen anzustellen.413 Praxistipp Es ist davon auszugehen, dass in Fällen, in denen bereits eine an den Grundsätzen der Erforderlichkeit und Datensparsamkeit orientierte Filterung der zu übermittelnden Daten erfolgt ist, schutzwürdige Interessen des Betroffenen am Ausschluss der Übermittlung in der Regel nicht bestehen. Anders wäre dies nur zu beurteilen, wenn konkrete Hinweise auf ein möglicherweise entgegenstehendes schutzwürdiges Interesse des Betroffenen bestehen.
Dies kann etwa dann der Fall sein, wenn es sich um personenbezogene Daten 253 handelt, die besonderen Berufs- oder Amtsgeheimnissen unterliegen, oder wenn es sich um besondere Arten von Daten i. S. v. § 3 Abs. 9 BDSG handelt (z. B. Angaben über Gewerkschaftszugehörigkeit oder Gesundheit).414 Nach § 28 Abs. 6 Nr. 3 BDSG wird zwar die Verwendung besonderer Arten personenbezogener Daten für zulässig erklärt, soweit dies zur Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche erforderlich ist und schutzwürdige Interessen des Betroffenen am Unterbleiben der Datenverwendung nicht überwiegen. In Rahmen dieser Interessenabwägung muss jedoch die besondere Sensibilität der Daten berücksichtigt werden, was im Einzelfall durchaus dazu führen kann, dass diese Art von Daten im Rahmen eines e-Discovery-Verfahrens nicht übermittelt werden darf oder nur in pseudonymisierter oder anonymisierter Form.
410 Vgl. hierzu auch die Vorgaben des Bayerischen Landesamtes für Datenschutzaufsicht, Tätigkeitsbericht 2009/2010, Ziff. 11.1, abrufbar unter http://www.lda.bayern.de/lda/datenschutzaufsicht/ lda_daten/dsa_Taetigkeitsbericht_2010.pdf. 411 Artikel-29-Datenschutzgruppe, WP 158, S. 11. 412 Artikel-29-Datenschutzgruppe, WP 158, S. 11. 413 Brisch/Laue, RDV 2010, 6. 414 Däubler/Klebe/Wedde/Weichert, § 28 Rn 75 und 82.
Hladjk
270
Kapitel 5 Datenverarbeitung im (internationalen) Konzern
Checkliste – Im Rahmen der ersten Prüfungsstufe ist aus Unternehmenssicht zu prüfen, ob die Übermittlung an die US-amerikanische Gesellschaft, deren US-Anwälte und das US-Gericht zulässig sind. Schwerpunkt dieser Prüfung ist dabei das „berechtigte Interesse“. – Vor einer Übermittlung ist eine Datenfilterung bei der deutschen Gesellschaft notwendig. Dies hat im Regelfall nach Ansicht mehrere Aufsichtsbehörden im Inland zu erfolgen. – Die verbleibenden Daten sollten vor einer Übermittlung – soweit möglich –anonymisiert oder zu pseudonymisiert werden. – Bestehen keine Anhaltspunkte für entgegenstehende Interessen der Betroffenen, ist die Übermittlung grundsätzlich zulässig. – Bestehen Anhaltspunkte für entgegenstehendes Interesse des Betroffenen, müssen die Daten vor der Übermittlung anonymisiert oder pseudonymisiert bzw. eine schriftliche Einwilligung des Betroffenen eingeholt werden. Ist dies nicht möglich, muss die Datenübermittlung konsequenterweise unterbleiben.
b) Besonderheiten bei Beschäftigtendaten
254 Die im Rahmen von E-Discovery-Anfragen relevanten Daten können vielfältige Infor-
mationen beinhalten und damit unterschiedliche Personenkreise betreffen. Neben Kunden, Lieferanten und Geschäftspartnern sind dabei meist die Mitarbeiter betroffen. Beispielsweise ist es in der Praxis nicht unüblich, dass die Zurverfügungstellung ganzer E-Mail-Konten oder Archive einzelner Mitarbeiter gefordert wird. Beschäftigtendaten unterstehen in datenschutzrechtlicher Hinsicht einem besonderen Schutz. Die Zulässigkeit der Verarbeitung dieser personenbezogenen Daten richtet sich nach § 32 Abs. 1 BDSG. Beschäftigte sind in § 3 Abs. 11 BDSG legal definiert. Umfasst sind demnach nicht nur Arbeitnehmer, sondern auch Bewerber für ein Beschäftigungsverhältnis sowie bereits ausgeschiedene Arbeitnehmer hinsichtlich ihres früheren Beschäftigungsverhältnisses. Nach § 32 Abs. 1 S. 1 BDSG dürfen personenbezogene Daten eines Beschäftigten 255 in der Regel nur dann erhoben, verarbeitet oder genutzt werden, wenn dies für die Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses erforderlich ist. Datenverarbeitungen zum Zwecke der Befolgung von Discovery-Anfragen erfüllen diese Voraussetzungen des § 32 BDSG nicht. Es ist daher fraglich, ob damit eine Verarbeitung von Mitarbeiterdaten im Zusammenhang mit E-Discovery-Anfragen als unzulässig einzuordnen ist. Ob und in welchem Umfang § 32 BDSG als Generalklausel für Datenverarbeitungen im Beschäftigungsverhältnis die Anwendbarkeit anderer datenschutzrechtlicher Rechtsgrundlagen verdrängt, ist jedoch umstritten. Insbesondere die Abgrenzung zu § 28 BDSG ist nicht eindeutig.415 Nach der Begründung des Gesetzgebers kann jedoch davon ausgegangen werden, dass im Arbeitsverhältnis § 28 Abs. 1 Nr. 2 BDSG und § 28 Abs. 2 Nr. 2 a) BDSG anwendbar bleiben und
415 Plath/Stamer/Kuhnke, § 32 Rn 8 ff.; Gola/Schomerus, § 32 Rn 31 ff.
Hladjk
B. Problem der grenzüberschreitenden E-Discovery
271
damit berechtigte Interessen der verantwortlichen Stelle (des Arbeitgebers) bzw. Dritter eine Verarbeitung von Beschäftigtendaten unter den oben beschriebenen Voraussetzungen weiterhin rechtfertigen können.416 Dies gilt jedoch nicht in Fällen, bei denen Mitarbeitern des betreffenden Unter- 256 nehmens die private Nutzung ihres E-Mail-Accounts ausdrücklich erlaubt oder diese zumindest duldet.417 In diesem Fall gilt der Arbeitgeber gegenüber seinen Mitarbeitern als Telekommunikationsdiensteanbieter und ist gegenüber diesen nach noch herrschender Meinung zur Einhaltung des Fernmeldegeheimnisses verpflichtet.418 Eine Sichtung und Übermittlung von Telekommunikationsdaten zum Zwecke der E-Discovery wird in diesen Fällen, insbesondere in Anbetracht der strafrechtlichen Relevanz eines Verstoßes gegen das Fernmeldegeheimnis419 ohne Einwilligung der Mitarbeiter in der Regel ausscheiden oder zu einem sehr hohen Strafbarkeitsrisiko führen.420 Diese Wertung steht im Einklang mit der Feststellung der TSC, wonach ein Bereich „privater“ Kommunikation existiere, der durch Gesetz, insbesondere durch § 88 TKG, geschützt sei.421 Letztlich ist die Einordnung betrieblicher Kommunikation im Hinblick auf das Fernmeldegeheimnis aber nicht unumstritten. Insbesondere geht eine mittlerweile im Vordringen befindliche Auffassung davon aus, dass selbst bei gestatteter privater E-Mail-Nutzung das Fernmeldegeheimnis durch den Arbeitgeber nicht zu beachten ist.422
4. Zulässigkeit der Datenübermittlung in die USA Falls ein Unternehmen im ersten Prüfungsschritt423 zu dem Ergebnis gelangt, dass 257 eine Datenübermittlung unter den vorstehenden Bedingungen im konkreten Anwendungsfall zulässig ist, muss es im nächsten Prüfungsschritt davon ausgehen, dass bei einer Weitergabe der Daten an in den USA befindliche Dritte eine Datenübermittlung in ein Land erfolgt, in dem aus europäischer Sicht kein angemessenes Datenschutzniveau existiert und daher eine gesonderte Rechtsgrundlage für die Übermittlung gefunden werden muss, §§ 4b, c BDSG. Hierfür kommen grundsätzlich die nachfolgenden Regelungsinstrumente in Betracht.
416 BT-Drucks. 16/13657, S. 35. 417 Vgl. sehr ausführlich zu dieser Problematik Deutlmoser/Filip, ZD-Beil. 2012, 18 ff. 418 Deutlmoser/Filip, ZD-Beil. 2012, 18. 419 § 88 TKG i. V. m. 206 Abs. 1 StGB. 420 Deutlmoser/Filip, ZD-Beil. 2012, 22; Hanloser, DuD 2008, 787. 421 TSC, International Overview 2009 – Deutschland, S. 100, abrufbar unter https://thesedonaconference.org/publication/International%20Overview%20of%20Discovery%20Data%20Privacy%20 and%20Disclosure%20Requirements . 422 Siehe ausführlich Kap. 6. 423 Siehe oben Rn 230.
Hladjk
272
Kapitel 5 Datenverarbeitung im (internationalen) Konzern
a) Haager Beweisübereinkommen
258 Das Haager Beweisübereinkommen über die Beweisaufnahme im Ausland in Zivil-
und Handelssachen („Haager Beweisübereinkommen“ oder „HBÜ“) ist ein multilateraler völkerrechtlicher Vertrag, der am 18.3.1970 in Den Haag von den Mitgliedern der Haager Konferenz für Internationales Privatrecht geschlossen wurde.424 Das HBÜ bietet ein Standardverfahren für Rechtshilfeersuchen, d. h. für Anträge eines Gerichts an die benannte zentrale Behörde eines anderen Staates auf Unterstützung bei der Erlangung relevanter Informationen, die sich in ihrem Staat befinden. Informationsverlangen im Rahmen einer E-Discovery können auch über das Haager Übereinkommen erfolgen. Allerdings sind nicht alle EWR-Mitgliedstaaten Vertragsstaaten des Haager Über259 einkommens (beispielsweise haben Belgien, Liechtenstein und Österreich das HBÜ bisher nicht unterzeichnet). Zudem erlaubt Art. 23 des HBÜ, dass „[j]eder Vertragsstaat bei der Unterzeich260 nung, bei der Ratifikation oder beim Beitritt erklären [kann], dass er Rechtshilfeersuchen nicht erledigt, die ein Verfahren zum Gegenstand haben, das in den Ländern des ‚Common Law‘ unter der Bezeichnung ‚pre-trial discovery of documents‘ bekannt ist“. Viele Vertragsstaaten, darunter Bulgarien, Deutschland, Frankreich, Griechenland, Island, Italien, Kroatien, Litauen, Luxemburg, Monaco, die Niederlande, Polen, Portugal, Spanien, Südafrika, Türkei, Ukraine und Ungarn, haben einen entsprechenden Vorbehalt nach Art. 23 HBÜ eingelegt und erklärt, dass eine Offenlegung von Informationen, ungeachtet ihrer Relevanz, nicht genehmigt würde, wenn die Informationen für ein Gerichtsverfahren im Ausland bestimmt sind. Mangels Bearbeitung entsprechender Rechthilfeersuchen durch deutsche Behörden ist das Haager Beweisabkommens keine geeignete Rechtsgrundlage für die Datenübermittlung in die USA. Nach einer Entscheidung des Obersten Gerichtshofs der Vereinigten Staaten 261 stellt das durch das Haager Beweisübereinkommen vorgesehene Verfahren zudem ein fakultatives, jedoch kein bindendes Mittel zur Erlangung von Beweismitteln im Ausland für Streitparteien vor US-Gerichten dar.425 Seitdem sind die amerikanischen Gerichte weitgehend diesem Ansatz gefolgt und nur gelegentlich haben sie die Streitparteien aufgefordert, auf das Haager Beweisübereinkommen zurückzugreifen.426 Aufgrund des Vorbehalts nach Art. 23 des HBÜ und der Rechtsprechung der
424 Englischer Originaltext 20: Convention of 18 March 1970 on the Taking of Evidence Abroad in Civil or Commercial Matters, abrufbar unter http://www.hcch.net/index_en.php?act=conventions. text&cid=82. 425 Société Nationale Industrielle Aérospatiale gegen United States District Court, 482 U.S. 522, 544 Nr. 28 (1987). 426 Einen Überblick zu den Entscheidungen gibt das „Compendium of reported post-Aérospatiale cases citing the Hague Evidence (June 1987 – July 2003)“, American Bar Association, Section of International Law and Practice (SILP), International Litigation Committee, zusammengestellt von
Hladjk
B. Problem der grenzüberschreitenden E-Discovery
273
US-Gerichte wird es in der Praxis jedoch oft nicht möglich sein, die Einhaltung eines formellen Rechtshilfeverfahrens nach der HBÜ zu verlangen und die Discovery-Ersuchen zurückzuweisen. Die betroffene Prozesspartei wird in der Regel mit dem Risiko konfrontiert, das ihr Beweisunterdrückung vorgeworfen wird, mit allen rechtlichen Konsequenzen.
b) Grundsätze des sicheren Hafens („Safe Harbor“) Eine andere Möglichkeit, die Datenübermittlung in die USA zu rechtfertigen bestünde 262 darin, dass sich der in den USA befindliche Dritte den zwischen der EU-Kommission und dem US-Handelsministerium vereinbarten Grundsätzen des sicheren Hafens unterworfen hat.427 Die Anwendung der Safe Harbor-Grundsätze dient dabei als Nachweis, dass die verantwortliche Stelle über ein angemessenes Schutzniveau i. S. v. § 4b Abs. 2 S. 2 BDSG verfügt.428 Falls die Konzernmuttergesellschaft nach den Safe Harbor-Grundsätzen zertifiziert ist, kommt ein angemessenes Datenschutzniveau in Betracht. Allerdings wird dies seitens der Aufsichtsbehörden durchaus kritisch gesehen.429 Zudem ist eine Safe Harbor-Zertifizierung im Rahmen eines e-Discovery-Verfah- 263 rens meist nicht ausreichend. Ohnehin müssen auch die anderen Drittempfänger in den USA in die Betrachtung einbezogen werden. So ist es theoretisch möglich, dass sich die Anwaltskanzlei des betroffenen Unternehmens zum Empfang der Daten dem Safe Harbor-Programm unterwirft; dies kommt in der Praxis aus kanzleiinternen Gründen jedoch kaum vor. Bezüglich der weiteren Datenempfänger, wie der gegnerischen Partei oder dem US-Gericht, ist jedenfalls nicht zu erwarten, dass diese sich den Safe Harbor-Grundsätzen unterwerfen und den umfangreichen Due-Diligence und Zertifizierungsprozess des Safe Harbor-Programms durchlaufen. Damit ist Safe Harbor im Rahmen eines e-Discovery-Verfahrens zwar theoretisch denkbar, aber kann allenfalls partiell als rechtliches Instrument zur Herstellung eines angemessenen Schutzniveaus genutzt werden. In jedem Falle empfiehlt sich die Abstimmung mit der Datenschutzaufsicht.
McNamara/Hendrix/Charepoo, abrufbar unter http://apps.americanbar.org/intlaw/committees/disputes/litigation/compendium_hague.pdf. 427 Entscheidung der Kommission v. 26.7.2000 gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des von den Grundsätzen des „sicheren Hafens“ und der diesbezüglichen „Häufig gestellten Fragen“ (FAQ) gewährleisteten Schutzes, vorgelegt vom Handelsministerium der USA (2000/520/EG) – ABl. L 215/7 v. 25.8.2000. Ausführlich hierzu gesamtes Kapitel und besonders Rn 84. 428 Gola/Schomerus, § 4b Rn 15. 429 Vgl. zuletzt Pressemitteilung der Konferenz der Datenschutzbeauftragten des Bundes und der Länder v. 24.7.2013.
Hladjk
274
Kapitel 5 Datenverarbeitung im (internationalen) Konzern
c) EU-Standardvertragsklauseln
264 Zur Legitimation der Datenübermittlung in die USA kann auch der Abschluss von
EU-Standardvertragsklauseln in Betracht kommen.430 Diese Standardverträge gelten als „ausreichende Garantien hinsichtlich des Schutzes der Persönlichkeitsrechte und der Ausübung der damit verbundenen Rechte“ i. S. d. § 4c Abs. 2 BDSG, um eine Datenübermittlung in die USA zu legitimieren. Diese wurden von der Europäische Kommission auf der Grundlage von Art. 26 Abs. 4 der EG-Datenschutzrichtlinie entwickelt und ermöglichen in der EU ansässigen Datenexporteuren die Übermittlung von Daten an in Drittstaaten ansässige Datenimporteure. Es existieren unterschiedliche Arten von Standardverträgen, die je nach Übermittlungssituation eingesetzt werden können.431 Zwar werden auch Standardverträge von den Aufsichtsbehörden vor dem Hintergrund der offenkundig gewordenen Spionageaktivitäten der USA nicht mehr unkritisch gesehen,432 gleichwohl dürften sie insbesondere im Vergleich zu einer Safe Harbor-Zertifizierung aus europäischer Sicht die vorzugswürdige Alternative darstellen. Grundsätzlich ist der Abschluss eines Standardvertrags mit dem in den USA 265 ansässigen Unternehmen sowie mit der Anwaltskanzlei betroffenen Unternehmen möglich. Problematisch ist jedoch, dass es auch einer solchen vertraglichen Vereinbarung zwischen der deutschen Gesellschaft und den weiteren Datenempfängern bedarf. Hier gilt wie auch bei der Zertifizierung nach den Safe Harbor-Grundsätzen, dass die gegnerische Partei oder deren Anwälte sowie das US-Gericht einen solchen Vertrag wohl nur in Ausnahmefällen abschließen werden. Daher sind auch die EU-Standardverträge gleichwohl nur für Teile der erforderlichen Datenübermittlungen im Rahmen des e-Discovery geeignet.
d) Binding Corporate Rules 266 Unternehmensgruppen können verbindliche Unternehmensregeln (Binding Corporate Rules – BCRs) implementieren, die ebenfalls ein angemessenes Schutzniveau für Datenübertragungen aus der EU in einen Drittstaat herstellen.433 BCRs werden in § 4c Abs. 2 BDSG als „ausreichende Garantien“ ausdrücklich anerkannt, wenngleich diese unter Genehmigungsvorbehalt der datenschutzrechtlichen Aufsichtsbehörden stehen.434 In jedem Falle sollte die datenübermittelnde Stelle prüfen, ob für die
430 Ausführlich hierzu Rn 132. 431 Ausführlich zu den einzelnen Arten der Verträge und den Unterschieden Gola/Schomerus, § 4c Rn 12 und 13. 432 Vgl. wiederum die Pressemitteilung der Konferenz der Datenschutzbeauftragten des Bundes und der Länder v. 24.7.2013. 433 Ausführlich hierzu Rn 102 ff. 434 Im Gegensatz zu vielen anderen nationalen Datenschutzgesetzen, die im Wortlaut keine „verbindlichen Unternehmensregelungen“ enthalten.
Hladjk
B. Problem der grenzüberschreitenden E-Discovery
275
Unternehmensgruppe eventuell genehmigte BCRs bestehen, die einen Datentransfer in die USA im Rahmen des e-Discovery-Verfahrens ermöglichen. Allerdings handelt es sich bei BCRs um konzerninterne Übermittlungsregelun- 267 gen bzw. Übermittlungsverträge, die ausschließlich für die Legitimation von Datenübermittlungen zwischen konzernangehörigen Unternehmen gedacht sind.435 BCRs können damit lediglich die Datenübermittlung eines deutschen oder europäischen Unternehmens an eine Gesellschaft in den USA legitimieren. BCRs können dagegen nicht als Rechtsgrundlage für eine Übermittlung der Daten an die US-Anwälte des US-amerikanischen Unternehmens oder sogar das US-Gericht herangezogen werden. Falls noch keine BCRs existieren, muss die datenübermittelnde Stelle im Rahmen 268 des e-Discovery-Verfahrens berücksichtigen, dass BCRs, wie ausgeführt, der vorherigen Genehmigung durch die jeweils zuständige Aufsichtsbehörde bedürfen.436 Es ist in der Praxis jedoch schlicht unmöglich, BCRs innerhalb von wenigen Wochen zu erarbeiten, diese von den Aufsichtsbehörden genehmigen zu lassen und zu implementieren, um im Rahmen eines e-Discovery-Verfahrens eine Rechtsgrundlage für die Übermittlung an das US-Unternehmen zu erhalten. Daher sind BCRs im Rahmen von e-Discovery-Verfahren nur dann geeignet, wenn sie bereits vollständig implementiert und genehmigt sind. Auch dann können diese allerdings nicht alle erforderlichen Datenübermittlungen abdecken. Insoweit gilt also nichts Anderes wie für eine Safe Harbor-Zertifizierung oder EU-Standardverträge.
e) Ausnahmetatbestand des § 4c Abs. 1 Nr. 4 BDSG Ergibt eine Prüfung der datenübermittelnden verantwortlichen Stelle, dass für die 269 jeweilige Übermittlung an den in den USA befindlichen Empfänger (die Muttergesellschaft, die US-Kanzlei der Gesellschaft oder das US-Gericht) keine der zuvor erläuterten Rechtsgrundlagen (vollumfänglich) in Betracht kommt, um ein angemessenes Datenschutzniveau beim Empfänger der Daten unterstellen zu können, kann als Rechtsgrundlage möglicherweise noch die Ausnahmevorschrift des § 4c Abs. 1 S. 1 Nr. 4 Alt. 2 BDSG herangezogen werden. Nach dieser Vorschrift ist eine Datenübermittlung an einen Empfänger ohne angemessenes Datenschutzniveau zulässig, wenn die Übermittlung „zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen vor Gericht erforderlich ist.“ Diese Vorschrift betrifft Fälle, bei denen ein in Deutschland ansässiges Unternehmen in einem Gerichtsverfahren im Ausland personenbezogene Daten zu Verteidigungszwecken nutzen will oder die Herausgabe relevanter Daten vom Gericht angeordnet wird. Dabei wird das Unternehmensinteresse
435 Deutlmoser/Filip, ZD-Beil. 2012, 11 sowie Hartmann/Laue, S. 117. 436 § 4c Abs. 2 S. 1 BDSG.
Hladjk
276
Kapitel 5 Datenverarbeitung im (internationalen) Konzern
des deutschen Unternehmens an der prozessualen Nutzung der Daten in der Regel höher bewertet als das Datenschutzinteresse der Betroffenen.437 Die Vorschrift wird überwiegend so interpretiert, dass sie im Rahmen von e-Dis270 covery-Verfahren für Datenübermittlungen an alle in den USA ansässigen beteiligten Dritte Anwendung finden kann.438 Es ist dabei jedoch zu beachten, dass die relevanten Daten dann nur im Rahmen einer engen Zweckbestimmung des jeweiligen e-Discovery-Verfahrens verwendet werden dürfen. Die Verfahrenszwecke legitimieren nicht nur, sondern begrenzen gleichzeitig auch den Zugriff auf die Daten in Bezug auf alle Prozessbeteiligte.439 Eine Interessenabwägung mit den Rechten des Betroffenen ist nach § 4c Abs. 1 271 Nr. 4 BDSG, anders als für besondere Arten personenbezogener Daten in § 28 Abs. 6 Nr. 3 BDSG, nicht vorgesehen. Allerdings muss die Übermittlung der Daten zur Rechtsverteidigung „erforderlich“ sein. An dieser Stelle hat eine strenge Prüfung zur erfolgen und das Kriterium der Erforderlichkeit ist restriktiv auszulegen.440 Daher ist in der Regel eine umfassende und zielgerichtete Filterung der Daten in Deutschland vor einer Übermittlung notwendig. Auf diese Weise kann sichergestellt werden, dass nur für das Gerichtsverfahren erforderliche Daten an die Empfänger in den USA übermittelt werden. Für die Praxis empfehlen die Aufsichtsbehörden zudem eine zweistufige Vorgehensweise, nach der in einem ersten Schritt nur pseudonymisierte Daten und erst in einem zweiten Schritt, soweit erforderlich, personenbezogene Daten übermittelt werden.441 Weiterhin besteht für die übermittelnde Stelle nach § 4c Abs. 1 S. 2 BDSG eine Hinweispflicht gegenüber dem Empfänger, dass die übermittelten Daten nur zu dem Zweck verarbeitet oder genutzt werden dürfen, zu dessen Erfüllung sie übermittelt werden.
5. Beteiligung des Betriebsrats 272 Sofern in dem von einer e-Discovery-Anfrage betroffenen deutschen Unternehmen ein Betriebsrat besteht, ist zu berücksichtigen, dass dieser unter mehreren Aspekten Einfluss auf die Datenverarbeitung im Rahmen eines e-Discovery-Verfahrens nehmen kann.442 Der Betriebsrat hat nach § 80 Abs. 1 Nr. 1 BetrVG die Aufgabe, die
437 Gola/Schomerus, § 4c Rn 7a. 438 Brisch/Laue, RDV 2010, 7; Spies/Schröder, MMR 2008, 279; Hanloser, DuD 2008, 788. 439 Simitis/Simitis, 6. Aufl., § 4c Rn 21. 440 Taeger/Rath/Kunst, S. 34. 441 Artikel-29-Datenschutzgruppe, WP 114, S. 11; Berliner Datenschutzbeauftragte, Tätigkeitsbericht 2007, Ziff. 10.3, S. 191. In der aufsichtsbehördlichen Praxis ist die Offenlegung von Daten aus dem Inland im Rahmen eines US-Prozesses unter Hinweis auf deutsches Datenschutzrecht und das Fernmeldegeheimnis jedoch auch schon eingeschränkt worden, vgl. Bayerisches Landesamt für Datenschutzaufsicht, Tätigkeitsbericht 2009/2010, Ziff. 11.1. 442 Hartmann/Meyer, S. 130.
Hladjk
B. Problem der grenzüberschreitenden E-Discovery
277
Einhaltung der zugunsten der Arbeitnehmer geltenden Gesetze zu überwachen. Dazu gehört auch der Arbeitnehmerdatenschutz.443 Stellt der Betriebsrat einen Verstoß fest, kann er diesen dem Arbeitgeber anzeigen und die zuständige Aufsichtsbehörde informieren.444 Außerdem hat der Betriebsrat nach § 87 Nr. 6 BetrVG Mitbestimmungsrechte bei 273 der Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen. Zweck der Mitbestimmung ist nicht das Verbot technischer Maßnahmen, sondern die Sicherstellung der Beteiligung des Betriebsrats. Diese Mitbestimmungsrechte sind im Fall von e-Discovery-Verfahren relevant, da diese Verfahren den Umgang mit E-Mail und der Internetnutzung betreffen. Insbesondere greift das Mitbestimmungsrecht nicht nur bei der erstmaligen Einführung, sondern auch bei der laufenden Anwendung solcher Einrichtungen.445 So stehen dem Betriebsrat z. B. Mitbestimmungsrechte bezüglich der Datenerhebung und -verwendung zu. Auch eine Übermittlung der Daten in die USA wäre daher mit dem Betriebsrat abzustimmen.446 Entsprechend kommt es in der Praxis zu erheblichem internen Abstimmungsbedarf vor der Übermittlung der relevanten Daten. Der Betriebsrat hat zudem ein Initiativrecht und kann daher auch von sich aus tätig werden, um sich Klarheit über eine e-Discovery-Anfrage zu verschaffen.447 Falls Gespräche zwischen Arbeitgeber und Betriebsrat zur Frage der daten- 274 schutzrechtlichen Zulässigkeit einer Datenverarbeitung für eine e-Discovery-Anfrage scheitern, kann der Betriebsrat nach § 87 Abs. 2 BetrVG die Einigungsstelle anrufen, was eine erhebliche Zeitverzögerung zur Folge haben kann. Schließlich kann der Betriebsrat auch den Abschluss einer Betriebsvereinbarung verlangen, um das Verfahren zur e-Discovery detaillierter auszugestalten oder sogar versuchen, die Datenübermittlung gerichtlich untersagen zu lassen, wenn er nicht beteiligt worden ist. Praxistipp Daher ist im Rahmen eines e-Discovery-Verfahrens der Betriebsrat so früh wie möglich zu informieren und in die weiteren Schritte der Datenverarbeitung zu involvieren. Diese Abstimmung sollte insbesondere hinsichtlich der zeitlichen Komponente nicht unterschätzt werden. Es sollte auch der Abschluss einer Betriebsvereinbarung in Erwägung gezogen werden, die zumindest den Umgang mit Arbeitnehmerdaten im Rahmen einer e-Discovery zum Gegenstand haben kann.
443 Richardi/Thüsing, 12. Aufl., § 80 Rn 68. 444 Däubler/Klebe/Wedde/Weichert, 2. Aufl., § 9 Rn 106. 445 Richardi/Richardi, 12. Aufl., § 87 Rn 513. 446 Rath/Klug, K&R 2008, 599. 447 Richardi/Richardi, 12. Aufl., § 87 Rn 518.
Hladjk
278
Kapitel 5 Datenverarbeitung im (internationalen) Konzern
6. Einbeziehung des Datenschutzbeauftragten
275 Aus § 4f Abs. 5 S. 1 BDSG lässt sich folgern, dass der Datenschutzbeauftragte bezüg-
lich aller datenschutzrelevanten Vorgänge im Unternehmen frühzeitig einzubinden ist. Zudem wird teilweise die Auffassung vertreten, dass aufgrund der bestehenden und nicht vollständig auszuschließenden Risiken für die Betroffenen auch eine Vorabkontrolle nach § 4d Abs. 5 DBSG geboten ist. Der Datenschutzbeauftragte kann mit seiner Einschätzung zur e-Discovery-Anfrage, seinem Wissen über die Prozesse im Unternehmen, insbesondere bei der Gestaltung der technischen Prozesse zur Datenaufbereitung als auch bei der Anbahnung möglicher Gespräche mit dem Betriebsrat wertvolle Unterstützung leisten und die verantwortliche Stelle umfassend beraten. Zudem hat die Einbeziehung den Vorteil, dass der Datenschutzbeauftragte ggf. mit der Aufsichtsbehörde Rücksprache halten kann, um sicherzustellen, dass nicht gegen Datenschutzrecht verstoßen wird. Praxistipp Es ist daher in der Regel notwendig, den Datenschutzbeauftragten so früh wie möglich in das e-Discovery-Verfahren miteinzubeziehen, um auch von seinen rechtlichen und technisch-organisatorischen Kenntnissen zu Unternehmensabläufen zu profitieren sowie um möglichen Anfragen der Aufsichtsbehörde wirksam begegnen zu können.
7. Information der Betroffenen
276 Nach Ansicht der Artikel-29-Datenschutzgruppe ist eine allgemeine Unterrichtung der
Betroffenen im Voraus notwendig, wenn die Möglichkeit der Verwendung personenbezogener Daten zu e-Discovery-Zwecken besteht. In der Praxis würde dies bedeuten, dass eine solche Unterrichtung Auskunft über die Identität aller Empfänger, den Verwendungszweck, die Art der betroffenen personenbezogenen Daten und die Rechte des Betroffenen geben muss.448 Es wird teilweise jedoch auch davon ausgegangen, dass ein solches allgemeines Erfordernis zu weitgehend ist und genauso wenig praktikabel sei, wie die Einwilligung aller Betroffenen in einem großen Verfahren einzuholen.449 Da die Unterrichtung regelmäßig mit der Einwilligung verknüpft sein dürfte, ist daher zu empfehlen, die Anforderungen im Einzelfall, insbesondere vor dem Hintergrund des Verhältnismäßigkeitsgrundsatzes, näher zu prüfen.
8. Rechte auf Auskunft, Berichtigung und Löschung
277 Betroffene haben unter bestimmten Voraussetzungen gem. §§ 34, 35 BDSG auch ein
Recht auf Auskunft über ihre personenbezogenen Daten und ihre Verwendung im
448 Artikel-29-Datenschutzgruppe, WP 158, S. 11. 449 Deutlmoser/Filip, ZD-Beil. 2012, 14.
Hladjk
B. Problem der grenzüberschreitenden E-Discovery
279
Rahmen einer e-Discovery-Anfrage sowie auf Berichtigung, Löschung und Sperrung. Ein Verstoß gegen die damit korrespondierenden Pflichten eines Unternehmens ist nach § 43 Abs. 1 bis 3 BDSG mit einem Bußgeld in Höhe von bis zu 50.000 € bei Verletzung von Auskunftsansprüchen und bis zu 300.000 € bei Verletzung von Lösch-, Sperr- und Berichtigungspflichten sanktioniert. Außerdem kann der Betroffene gerichtlichen Rechtsschutz suchen, den er gegenüber dem Arbeitgeber vor dem Arbeitsgericht geltend machen kann.450 Die Artikel-29-Datenschutzgruppe ist der Auffassung, dass diese Pflichten der 278 Partei auferlegt werden sollten, welche die Daten erhält. Dies könnte über eine gerichtliche Verfügung („Protective Order“) erreicht werden. Das hätte den Vorteil, dass einer betroffenen Person die Überprüfung der personenbezogenen Daten ermöglicht würde und sie sich selbst davon überzeugen könnte, dass die Datenübermittlung nicht unverhältnismäßig ist.451 Zudem hat die Artikel-29-Datenschutzgruppe klargestellt, dass die Rechte der 279 betroffenen Person während des Gerichtsverfahrens weiter gelten und es keinen allgemeinen Verzicht auf Auskunfts- oder Änderungsrechte gibt. Aus diesen Rechten der Betroffenen kann jedoch ein Konflikt mit den prozes- 280 sualen Anforderungen entstehen, zu einem bestimmten Zeitpunkt gesicherte Daten unverändert aufzubewahren, da Datenänderungen eine Änderung der Beweismittel im Verfahren zur Folge haben. Praxistipp Es empfiehlt sich in der Praxis in Zusammenarbeit mit der gegnerischen Partei und, falls notwendig, dem zuständigen US-Gericht, Lösungen für dieses Problem zu suchen. Es wäre beispielsweise möglich, die relevanten Daten in Übereinstimmung mit TSC International Principle 4 von den übrigen Daten abzusondern,452 sobald eine Berichtigungs- oder Löschungsanfrage vorliegt. Anschließend kann dann eine Lösung mit dem Gegner ausgehandelt oder eine Entscheidung des US-Gerichts beantragt werden.
9. Einschaltung eines e-Discovery-Dienstleisters Unternehmen überlegen oft, ob sie für die im Rahmen einer e-Discovery notwendigen 281 Datenverarbeitungen einen externen Dienstleister einschalten, wenn sie nicht über die Ressourcen oder das Know-how verfügen, um die Daten selbst zu erheben, zu verarbeiten oder zu nutzen.453 Soweit eine Datenverwendung durch die verantwort-
450 Gola/Schomerus, 11. Aufl., § 34 Rn 25. 451 Artikel-29-Datenschutzgruppe, WP 158, S. 11. 452 TSC, International Principles on Discovery, Disclosure & Data Protection, 2011, S. 17, abrufbar unter https://thesedonaconference.org/download-pub/495. 453 Siehe hierzu auch Hartmann/Murray, S. 79. Dagegen zum Trend interner Spezialisten und interner E-Discovery Systeme siehe Hartmann/Rosenthal/Zeunert, S. 58 ff.
Hladjk
280
Kapitel 5 Datenverarbeitung im (internationalen) Konzern
liche Stelle selbst zulässig ist (etwa nach § 28 Abs. 1 S. 1 Nr. 2 BDSG aufgrund eigener Geschäftsinteressen) kann auch die Datenverarbeitung im Auftrag durch ein auf Discovery-Verfahren spezialisiertes Dienstleistungsunternehmen auf diese Rechtsvorschrift gestützt werden. Dienstleistungsunternehmen innerhalb der Europäischen Union („EU“) oder des Europäischen Wirtschaftsraums („EWR“), die im Auftrag der verantwortlichen Stelle handeln, sind als „verlängerter Arm“ und rechtliche Einheit454 der verantwortlichen Stelle anzusehen. Daher kann eine Weitergabe der Daten an den Auftragnehmer ohne eigene Rechtsgrundlage erfolgen. Dies ergibt sich aus der Definition des Dritten in § 3 Abs. 8 BDSG. Bei Dienstleistern außerhalb des von EU und EWR gilt dies indes nicht, weshalb möglichst nur innereuropäische Dienstleister in Betracht gezogen werden sollten. Bei der Beauftragung eines e-Discovery-Dienstleisters ist dieser zunächst gem. 282 § 11 Abs. 2 S. 1 BDSG unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen. Dabei sollte der betriebliche Datenschutzbeauftragte des Auftraggebers möglichst früh in den Auswahlprozess einbezogen werden, damit dieser die Einhaltung der gesetzlichen Vorgaben sicherstellen kann. Praxistipp In der Praxis sind daher die Durchführung einer Risikoanalyse und deren Abgleich mit dem vom Auftragnehmer vorgeschlagenen Datensicherheitskonzept empfehlenswert. Abhängig vom Umfang des Auftrags sollten Faktoren wie die personelle und finanzielle Ausstattung des Auftragnehmers, dessen Sitz (nur EU oder EWR) sowie dessen Erfahrung mit e-Discovery-Projekten berücksichtigt werden. Meist ist die Einholung von Referenzen, die Vorlage von Zertifizierungen oder die Besichtigung der Einrichtungen des Dienstleisters möglich. 283 Zudem ist ein schriftlicher Vertrag nach § 11 Abs. 2 S. 2 BDSG mit dem Dienstleister
abzuschließen. Dieser Vertrag muss dem Anforderungskatalog des § 11 Abs. 2 S. 2 Nr. 1–10 BDSG entsprechen.455 Zudem hat sich die verantwortliche Stelle als Auftraggeberin vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim als Auftragnehmer fungierenden e-Discovery-Dienstleister getroffenen technischen und organisatorischen Maßnahmen zu überzeugen, § 11 Abs. 2 S. 4 BDSG.456 Das Ergebnis dieser Prüfung ist zu dokumentieren.457 Wird ein Auftrag zur e-Discovery-Dienstleistung nicht richtig, nicht vollständig 284 oder nicht in der vorgeschriebenen Weise erteilt oder erfolgt keine Kontrolle des Dienstleisters vor Beginn der Datenverarbeitung, liegt nach § 43 Abs. 1 Nr. 2b BDSG
454 Gola/Schomerus, 11. Aufl., § 11 Rn 4. 455 Ausführlich hierzu Kap. 4 Rn 36 ff. 456 § 11 Abs. 2 S. 4 BDSG. 457 § 11 Abs. 2 S. 5 BDSG.
Hladjk
B. Problem der grenzüberschreitenden E-Discovery
281
eine Ordnungswidrigkeit vor, die mit einer Geldbuße von bis zu 50.000 € geahndet werden kann.
10. Datensicherheit Im Rahmen von Datenverarbeitungsvorgängen für e-Discovery-Anfragen muss das 285 verantwortliche Unternehmen zumutbare technische und organisatorische Maßnahmen i. S. d. § 9 BDSG und der Anlage zu § 9 S. 1 BDSG (acht Sicherheitskontrollen) treffen, um die Sicherheit der personenbezogenen Daten während der für die e-Discovery relevanten Verarbeitungen zu gewährleisten. Diese Maßnahmen müssen nach Ansicht der EU-Aufsichtsbehörden in einem angemessenen Verhältnis zu der Untersuchung der entsprechend den Sicherheitsvorschriften der einzelnen Mitgliedstaaten angesprochenen Fragen stehen.458 Das verantwortliche Unternehmen muss diese Anforderungen, soweit möglich, auch den Rechtsanwaltskanzleien, Dienstleistern und anderen Stellen, die mit den personenbezogenen Daten in Berührung kommen, auferlegen. Das verantwortliche Unternehmen ist, wie oben beschrieben, auch für die Datenverarbeitung bei externen Dienstleistern verantwortlich und muss sich regelmäßig von der Einhaltung der Datensicherheitsmaßnahmen überzeugen.459 Es ist deshalb erforderlich, die entsprechenden Sicherheitsmaßnahmen zu dokumentieren und zum Vertragsgegenstand mit dem jeweiligen Dienstleister zu machen.
458 Artikel-29-Datenschutzgruppe, WP 158, S. 14. 459 Siehe oben und Artikel-29-Datenschutzgruppe, WP 158, S. 13.
Hladjk
Kapitel 6 Telekommunikation im Unternehmen – Was ist erlaubt, was ist verboten? A. Einleitung Die Bedeutung der elektronischen Telekommunikation hat in den letzten Jahren 1 sprunghaft zugenommen mit dem Ergebnis, dass Telefonie, E-Mail- und Internetnutzung mittlerweile nicht mehr aus den Unternehmen wegzudenken sind.1 Damit korrespondiert das Bedürfnis von Unternehmen, auf diese Kommunikation zur Aufrechterhaltung des Geschäftsbetriebs zuzugreifen oder diese zur Erfüllung von Compliance-Pflichten zu speichern, einzusehen oder gezielt zu kontrollieren.2 Grundsätzlich hat der Arbeitgeber ein berechtigtes Interesse daran, zum Schutz seiner eigenen Rechtsgüter auf die betrieblichen Kommunikationswege zuzugreifen.3 Es stellt sich jedoch die Frage, wo die Grenzen liegen, da Rechte und Interessen verschiedener Beteiligter, insbesondere von Beschäftigten, zu berücksichtigen sind. Um diese Frage beantworten zu können, ist eine Differenzierung zwischen den einzelnen Kommunikationsarten, den Begleitumständen, d. h. den Voraussetzungen im Unternehmen, und den Zugriffsgründen sowie den verschiedenen Zugriffsinstrumenten notwendig.
B. Zugriffsgründe und -arten Sowohl die Anlässe für einen Zugriff seitens des Arbeitgebers als auch die Arten des 2 möglichen Zugriffs sind vielfältig.
I. Zugriffsgründe Durch die Einführung von Telekommunikationsmitteln in den Arbeitsalltag werden 3 Unternehmen immer wieder vor die Herausforderung gestellt, sowohl ihren eigenen Interessen als auch den Interessen der Beschäftigten gerecht zu werden. Daneben gilt es, die gesetzlichen Anforderungen zu erfüllen. Neben der handels-4 und steuerrecht-
1 Vgl. Mengel, Kap. 7 Rn 1; Altenburg/v. Reinersdorff/Leister, MMR 2005, 135; Grobys/Panzer/PanzerHeemeier, Kap. 76 Rn 1. 2 Vgl. Simitis/Seifert, § 32 Rn 86. 3 Vgl. Grobys/Panzer/Panzer-Heemeier, Kap. 76 Rn 9; Behling, CB 2013, 265, 267. 4 Vgl. zur Pflicht zur Aufbewahrung innerhalb der handelsrechtlichen Buchführung nach §§ 238, 257 HGB, MüKo-HGB/Ballwiese, § 257 Rn 12; Barth, MMR 2009, XXIV.
Behling
284
Kapitel 6 Telekommunikation im Unternehmen
lichen5 Verpflichtung zur rechts- und revisionssicheren Archivierung von gewerblichem Schriftverkehr6 steht insbesondere das Interesse an der Durchsetzung bestehender Compliance-Pflichten im Fokus, um sich als Geschäftsleitung nicht selbst Strafbarkeitsrisiken auszusetzen. Laut §§ 9, 30, 130 OWiG trifft die Geschäftsleitung eines Unternehmens die Pflicht, dafür Sorge zu tragen, dass aus dem Unternehmen heraus keine Straftaten begangen werden.7 Dieser Verpflichtung lässt sich aber nur nachkommen, soweit Möglichkeiten zur Verfügung stehen, um z. B. Korruptionsverdachtsfälle aufklären zu können.8 Daneben ist ein Zugriff auf die Telekommunikation häufig auch zur Förderung der 4 Sicherheit und Sicherstellung des Arbeitsablaufs unumgänglich. So besteht bei der Nutzung von Kommunikationsmitteln immer häufiger eine Sicherheitsgefahr für vorhandene Datenbestände, sowohl durch Viren und Spionage als auch durch betriebsbedingte Systemausfälle.9 Bereits die unplanmäßige Abwesenheit eines Mitarbeiters oder dessen Ausscheiden aus dem Unternehmen kann teilweise die Notwendigkeit eines Zugriffs begründen, um im Geschäftsverkehr weiter agieren zu können.10
II. Zugriffsarten 5 Im Bereich der Telefonie stellt sich insbesondere die Frage nach der Möglichkeit der
Erfassung und Kontrolle von Verkehrsdaten,11 also solcher Daten, die das Telefonierverhalten12 betreffen, sowie nach der Möglichkeit einer inhaltlichen Kontrolle der Kommunikation, insbesondere durch Mit- und Abhören von Telefongesprächen.13 Dagegen ist im Bereich der E-Mail- und Internetnutzung neben der Erfassung 6 und Verarbeitung von Verkehrsdaten insbesondere die Kontrolle von Textinhalten von Interesse. Große Relevanz hat zudem die zentrale Filterung sowie Löschung von
5 Vgl. § 147 AO, Barth, MMR 2009, XXIV; Sassenberg/Mantz, BB 2013, 889, 893. 6 Vgl. Heidrich/Forgó/Feldmann/Tschoepe, Band 2, Kap. III Rn 110 f.; Tiedemann, ZD 2011, 43, 45. 7 Vgl. Behling, BB 2010, 892 ff.; ferner Kap. 1 Rn 70 f. 8 Vgl. Behling, CB 2013, 265; ebenso die Problematik erkennend Moll/Dendorfer, § 35 Rn 196; Wybitul, ZD 2011, 69. 9 Vgl. Schmidl, MMR 2005, 343. 10 Vgl. LAG Berlin-Brandenburg, Urt. v. 16.2.2011 – 4 Sa 2132/10 – BB 2011, 2298, 2299; Behling, CB 2013, 265; Tiedemann, ZD 2011, 43, 46; Sassenberg/Mantz, BB 2013, 889, 892. 11 Gemäß der Legaldefinition des § 3 Nr. 30 TKG sind „Verkehrsdaten“ Daten, die bei der Erbringung eines Telekommunikationsdienstes erhoben, verarbeitet oder genutzt werden; eine wenn auch nicht abschließende Aufzählung möglicher Verkehrsdaten enthält § 96 Abs. 1 TKG, vgl. Hoeren/Sieber/Holznagel/Büttgen, Kap. 16.3 Rn 93. 12 Insbesondere die Speicherung von Kontrolldaten (Datum, Uhrzeit, Kosten) und Daten der korrespondierenden Teilnehmer, Moll/Dendorfer, § 35 Rn 189. 13 Vgl. hierzu unten Rn 62 ff.
Behling
285
C. Zulässigkeit von Zugriffen
E-Mail-Verkehr, z. B. mittels Spam-Filtern, und die (automatische) Archivierung von E-Mail-Korrespondenzen durch Unternehmen.14 Auch wenn das Intranet hauptsächlich ein auf das Unternehmen beschränktes 7 Kommunikationsmittel darstellt, kann der Arbeitgeber ein Interesse daran haben, sowohl Verkehrs- als auch Inhaltsdaten zu erfassen und zu verarbeiten. Zudem stellt sich in diesem Bereich für den Arbeitgeber häufig die Frage, inwieweit es ihm erlaubt ist, Beschäftigtendaten, z. B. in Form von Telefonverzeichnissen, zu veröffentlichen.
C. Zulässigkeit von Zugriffen Allen Zugriffsarten ist die Frage des Zulässigkeitsmaßstabs gemein. Da im Bereich 8 der Datenverarbeitung verschiedene Datenschutzrechte Anwendung finden können, ist für die Beurteilung des Maßstabs eine Abgrenzung der in Betracht kommenden Datenschutzrechte von zentraler Bedeutung.15 Dies betrifft insbesondere die Abgrenzung der speziellen Regelungen des Fernmeldegeheimnisses in §§ 88, 91 ff. TKG zu den Vorschriften des Datenschutzes in §§ 4, 32, 28 BDSG, da diese unterschiedlich strenge Anforderungen an Zugriffsmaßnahmen stellen.16
I. Internationale Anwendbarkeit sowie Abgrenzung von TKG und TMG zu BDSG Zunächst stellt sich bei internationalen Unternehmen häufig die Frage des anwend- 9 baren Rechts. Maßgebliche Vorschrift ist insoweit § 1 Abs. 5 BDSG. Dies gilt unabhängig davon, ob der einzelne Sachverhalt schlussendlich unter das BDSG fällt oder nach TKG oder TMG zu beurteilen ist. Es fehlt an bereichsspezifischen Sonderregeln, die die internationale Anwendbarkeit von TKG und TMG regeln, was letztlich trotz der Kollisionsregel des § 3 TMG gilt.17 Für die Frage des anwendbaren nationalen Datenschutzrechts bedeutet dies daher grob gesprochen Folgendes: Erfolgt der Zugriff in Deutschland, ist deutsches Datenschutzrecht maßgeblich, auch wenn die zugreifende verantwortliche Stelle in einem Drittstaat, d. h. außerhalb der Europäischen Union und des Europäischen Wirtschaftsraumes, belegen ist. Dies gilt es etwa zu beachten, wenn die Compliance-Abteilung einer amerikanischen oder asiatischen Muttergesellschaft in Deutschland Kontrollhandlungen vornimmt, insbesondere wenn die Ergebnisse der Kontrollen auf personenbezogener Basis an die Mutterge-
14 Vgl. Behling, CB 2013, 265 m. w. N. 15 Vgl. BeckOK DatenSR/Tinnefeld/Buchner, Syst. I Rn 59. 16 Vgl. Grobys/Panzer/Panzer-Heemeier, Kap. 76 Rn 3; BeckOK DatenSR/Riesenhuber, § 32 BDSG Rn 143; Sassenberg/Mantz, BB 2013, 889. 17 Vgl. Taeger/Gabel/Gabel, Einführung TMG Rn 12; Jotzo, MMR 2009, 232, 234 f.
Behling
286
Kapitel 6 Telekommunikation im Unternehmen
sellschaft berichtet werden sollen. Umgekehrt ist ausländisches Datenschutzrecht maßgeblich, wenn die kontrollierende Stelle in einem Mitgliedstaat der Europäischen Union oder im Europäischen Wirtschaftsraum belegen ist. Abweichungen von dieser Grundregel können sich wegen § 3 Abs. 7 und Abs. 8 S. 3 BDSG ergeben, falls die kontrollierende Stelle im Rahmen einer Auftragsdatenverarbeitung gem. § 11 BDSG für das kontrollierte Unternehmen tätig wird. Es ist jedoch davon auszugehen, dass die materiellen Voraussetzungen für eine Auftragsdatenverarbeitung wegen der erforderlichen Weisungsgebundenheit des Auftragnehmers (hier: kontrollierende Stelle) im Fall solcher Zugriffs- oder Kontrollhandlungen nur selten erfüllt sein werden. Ist danach die Anwendbarkeit deutschen Datenschutzrechts festzustellen, 10 stellt sich weiter die Frage, welche deutschen datenschutzrechtlichen Bestimmungen den maßgeblichen Handlungsrahmen vorgeben, namentlich ob das BDSG, das TKG und/oder das TMG zu beachten sind. Wesentliches Abgrenzungskriterium ist die „Diensteanbieter“-Eigenschaft des beschäftigenden Unternehmens als zugreifende oder kontrollierende Stelle. Begründet ist dies in der grundsätzlichen Subsidiarität des BDSG gegenüber dem TKG und TMG. Nach § 1 Abs. 3 S. 1 BDSG finden die Vorschriften des BDSG nur insoweit Anwendung, wie keine anderen Bundesnormen vorrangig eingreifen. Für die Eröffnung des Anwendungsbereichs des TKG und TMG muss der Arbeitgeber jedoch Diensteanbieter sein,18 da Normadressaten des TKG und auch des TMG allein Dienstanbieter i. S. v. § 3 Nr. 6 TKG und § 2 Nr. 1 TMG sind. Danach kommt als Anbieter von Telekommunikationsdiensten jeder in Betracht, der ganz oder teilweise geschäftsmäßig Telekommunikationsdienste erbringt oder an der Erbringung solcher Dienste mitwirkt.19 Als Anbieter von Telemediendiensten sind indes solche juristischen oder natürlichen Personen zu qualifizieren, die eigene oder fremde Telemedien mittels einer festen Einrichtung auf unbestimmte Zeit geschäftsmäßig anbieten oder erbringen, d. h. solche Telemedien zur Nutzung bereithalten oder den Zugang zur Nutzung vermitteln. Hierbei gelten all diejenigen Dienste als Telemediendienste, die nicht als „reine“ Telekommunikationsdienste nach § 3 Nr. 24 TKG zu qualifizieren sind. Eine Abgrenzung ist nicht immer einfach. Als Faustregel kann gelten, dass ein „reiner“ Telekommunikationsdienst infrage steht, wenn die fraglichen Daten ohne Aufbereitung und in Ansehung von Inhalten übertragen werden, d. h. der fragliche Dienst sich ausschließlich auf die reine Transportfunktion beschränkt.20 Letzteres gilt es gerade bei intranetbezogenen Zugriffen zu beachten. So ist der bloße Internet- und Intranet-Access dem TKG zuzuordnen, während inhalt-
18 Dies gilt ebenfalls für das TMG gem. § 2 S. 1 Nr. 1. 19 Vgl. Gola, Rn 218; Geppert/Schütz/Bock, § 88 Rn 22; LfD BW, Dienstliche und private E-Mail- und Internet-Nutzung am Arbeitsplatz, S. 3 f., abrufbar unter http://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2013/03/Dienstliche-und-private-E-Mail-und-Internet-Nutzung-amArbeitsplatz.pdf. 20 Spindler/Schuster/Holznagel/Ricke, § 1 TMG Rn 5 m. w. N.
Behling
C. Zulässigkeit von Zugriffen
287
liche Intranetangebote, wie z. B. intranetbasierte Adressbücher oder Datenbanken, dem TMG unterfallen. Wie eingangs angesprochen gilt dies jedenfalls dann, wenn es sich bei dem Arbeitgeber um einen Diensteanbieter handelt, anderenfalls ist einzig das BDSG maßgeblich.21 Dies macht die herrschende Meinung davon abhängig, ob die private Nutzung im Unternehmen gestattet ist oder nicht. Im ersten Fall wird die Eigenschaft als Diensteanbieter bejaht, im zweiten Fall verneint.
II. Zulässigkeitsmaßstab bei ausschließlich dienstlicher Nutzung Soweit Telekommunikation ausschließlich zu dienstlichen Zwecken erlaubt ist, 11 richtet sich die Zulässigkeit von Zugriffs- und Überwachungsmaßnahmen allein nach dem BDSG.22 Eine Diensteanbieter-Eigenschaft des Arbeitgebers kann in diesem Fall nicht angenommen werden,23 was in Bezug auf Telemediendienste bereits aus § 11 Abs. 1 Nr. 1 TMG folgt. So sind danach die Datenschutzvorschriften des TMG nicht anwendbar, wenn die Bereitstellung von Telemediendiensten ausschließlich beruflichen oder dienstlichen Zwecken dient. Nichts Anderes gilt für Telekommunikationsdienste, wobei es insoweit an einer ausdrücklichen Regelung vergleichbar § 11 Abs. 1 Nr. 1 TMG fehlt. Vielmehr folgt die Nichtanwendbarkeit des TKG bei ausschließlich gestatteter dienstlicher Nutzung daraus, dass ein geschäftsmäßiges Erbringen von Telekommunikationsdiensten gem. § 3 Nr. 10 TKG voraussetzt, dass sich das entsprechende Angebot an Dritte richtet. Dritte können aber gerade keine Personen sein, die der betrieblichen Sphäre eines Anbieters zuzurechnen sind.24 Ist aber ausschließlich die dienstliche Nutzung von Telekommunikationsmitteln gestattet, kann sich die Kommunikation denklogisch nur innerhalb der betrieblichen Sphäre bewegen, weshalb die Beschäftigten dann nicht als Dritte anzusehen sind. In diesem Falle richtet sich die Zulässigkeit etwaiger Zugriffe auf und Kontrollen von Kommunikationsdaten ausschließlich nach dem BDSG.
1. Folge für Zugriffe im Bereich telefonischer Kommunikation Auch wenn bereichsspezifische Datenschutzregelungen bei ausschließlich gestat- 12 teter dienstlicher Nutzung keine Anwendung finden, ist eine Telefonüberwachung
21 Vgl. Grobys/Panzer/Panzer-Heemeier, Kap. 76 Rn 9; explizit für die dienstliche Nutzung des EMail-Accounts vgl. Hoeren/Sieber/Holznagel/Deutlmoser/Filip, Kap. 16.6 Rn 101; Kempermann, ZD 2012, 12; Seel, öAT 2013, 4. 22 Vgl. Grobys/Panzer/Panzer-Heemeier, Kap. 76 Rn 9; explizit für die dienstliche Nutzung des EMail-Accounts vgl. Hoeren/Sieber/Holznagel/Deutlmoser/Filip, Kap. 16.6 Rn 101; Kempermann, ZD 2012, 12; Seel, öAT 2013, 4. 23 Vgl. Leupold/Glossner/Hegewald, Kap. 7 Rn 69. 24 Vgl. Sassenberg/Mantz, BB 2013, 889.
Behling
288
Kapitel 6 Telekommunikation im Unternehmen
aufgrund des Rechtes am eigenen Wort, als Ausfluss des Allgemeinen Persönlichkeitsrechtes, nach Art. 2 Abs. 1, 1 Abs. 1 GG nur in einem sehr begrenzten Rahmen zulässig.25 Eine inhaltliche Kontrolle, sowohl in Form von heimlichem Mithören als auch 13 durch Gesprächsaufzeichnung, ist grundsätzlich auch bei reinen Dienstgesprächen untersagt.26 Es droht insoweit sogar eine Strafbarkeit nach § 201 Abs. 2 Nr. 1 StGB. Allein in äußerst begrenzten Ausnahmefällen kann eine inhaltliche Kontrolle mit Blick auf § 32 Abs. 1 S. 2 BDSG möglich sein. Das bedeutet, dass eine inhaltliche Kontrolle nur bei begründetem Straftatverdacht27 und notstands- oder notwehrähnlicher Lage überhaupt in Betracht kommt.28 Die Erfassung von telefonischen Verkehrsdaten sowie ihre Verwertung sind 14 dagegen im Rahmen des § 32 Abs. 1 S. 1 BDSG grundsätzlich zulässig, soweit keine Dauerüberwachung erfolgt, berechtigte Interessen diese Maßnahme legitimieren und das Maß der Erforderlichkeit nicht überschritten wird.29 Allerdings fehlt es für die Zulässigkeit einer Aufzeichnung von Verkehrsdaten häufig schon an ihrer Erforderlichkeit, weshalb sich die Frage ihrer Verwertung dann gar nicht erst stellt.30 Letzteres macht eine Einzelfallbeurteilung, die in der Regel die Einbindung des Datenschutzbeauftragten erforderlich macht, notwendig, wenn auf Verkehrsdaten zugegriffen werden soll.
2. Folge für Zugriffe in den Bereichen E-Mail, Internet und Intranet
15 Soweit die Privatnutzung des dienstlichen E-Mail-Accounts durch den Arbeitge-
ber verboten wurde, ist innerhalb der Grenzen des BDSG ein umfassender Zugriff möglich. Dies gilt nach umstrittener Auffassung jedenfalls dann, wenn dieses Verbot auch effektiv durchgesetzt, d. h. kontrolliert wird.31 Dies bedeutet, dass bei Vorliegen der Voraussetzungen des BDSG sowohl die Erfassung und Verarbeitung von Verkehrs-
25 Vgl. BVerfG, Beschl. v. 19.12.1991 – 1 BvR 382/85 – NZA 1992, 307. 26 Vgl. BAG, Urt. v. 29.10.1997 – 5 AZR 508/96 – NJW 1998, 1331; BeckOK DatenSR/Riesenhuber, § 32 BDSG Rn 149; eine Ausnahme soll für Call-Center, insbesondere im Bereich Telefonbanking aus Beweisgründen gelten, vgl. Grobys/Panzer/Panzer-Heemeier, Kap. 76 Rn 11. 27 Vgl. Moll/Dendorfer, § 35 Rn 192; Grobys/Panzer/Panzer-Heemeier, Kap. 76 Rn 13. 28 Vgl. hierzu unten Rn 62. 29 Grobys/Panzer/Panzer-Heemeier, Kap. 76 Rn 14; Moll/Dendorfer, § 35 Rn 189; BeckOK DatenSR/ Riesenhuber, § 32 BDSG Rn 149. 30 Vgl. hierzu unten Rn 63. 31 Fehlt es an einer effektiven Kontrolle und findet deshalb eine Privatnutzung statt, so soll dies nach teilweise vertretener Auffassung zu einer Erlaubnis durch Duldung führen. Dies überzeugt allerdings nicht und wird deshalb zu Recht von einer im Vordringen befindlichen Auffassung abgelehnt, vgl. hierzu sogleich Rn 18.
Behling
C. Zulässigkeit von Zugriffen
289
daten als auch eine inhaltliche Kontrolle stattfinden darf.32 Dies ist nur konsequent, da sich das Verbot der Privatnutzung anderenfalls kaum effektiv durchsetzen ließe. Es gilt jedoch, stets die Verhältnismäßigkeit i. S. d. § 32 Abs. 1 S. 1 BDSG zu wahren. Daher dürfen Überwachungs- und Kontrollmaßnahmen grundsätzlich nur stichprobenartig durchgeführt werden. Dies gilt jedenfalls solange, wie nicht ausnahmsweise ein konkreter Missbrauchsverdacht infrage steht.33 Dasselbe dürfte auch in Bezug auf internet- und intranetbezogene Zugriffe 16 und Kontrollen gelten, da auch diese bei bloß gestatteter dienstlicher Nutzung wegen der mangelnden Anwendbarkeit von TKG und TMG wiederum ausschließlich nach § 32 BDSG zu beurteilen sind.34
III. Zulässigkeit bei Duldung oder Gestattung der auch privaten Nutzung 1. Erlaubnis durch Duldung? In der Praxis fehlt es häufig an einer ausdrücklichen Regelung zur Nutzung von 17 Telekommunikationsmitteln, sodass sich zunächst die Frage stellt, inwieweit eine Nutzung durch den Arbeitnehmer ohne ausdrückliches Verbot zur Zulässigkeit der Privatnutzung durch Duldung führen kann.35 Entgegen teilweise vertretener Auffassung36 begründet die private Nutzung ohne 18 ausdrückliches Einverständnis keine Erlaubnis zur Nutzung,37 sondern stellt einen Unterfall der verbotenen Privatnutzung dar.38 Allein aus einem bloßen Schweigen des Arbeitgebers kann keinerlei Erklärungswert gezogen werden.39 Auch das im Arbeitsverhältnis anerkannte Rechtsinstitut der betrieblichen Übung begründet ausnahmsweise keinen entsprechenden Anspruch.40 Es fehlt dafür an einer aktiven Handlung des Arbeitgebers, aus der nach Treu und Glauben eine Zustimmung abge-
32 Vgl. Grobys/Panzer/Panzer-Heemeier, Kap. 76 Rn 15f; Schaub/Linck, § 53 Rn 19; einschränkend Moll/Dendorfer, § 35 Rn 202, der eine inhaltliche Kontrolle für die Fälle verbieten möchte, in denen trotz verbotener Privatnutzung eine ausdrückliche Kennzeichnung als „privat“ erfolgt ist. 33 Vgl. Moll/Dendorfer, § 35 Rn 202; ebenso Grobys/Panzer/Panzer-Heemeier, Kap. 76 Rn 15; Hoppe/ Braun, MMR 2010, 80, 81. 34 Vgl. Schaub/Linck, § 53 Rn 19; Altenburg/v. Reinersdorff/Leister, MMR 2005, 135, 136. 35 Vgl. auch Waltermann, NZA 2007, 529, 530; Grobys/Panzer/Panzer-Heemeier, Kap. 76 Rn 1. 36 Vgl. Simitis/Seifert, § 32 Rn 86; Koch, NZA 2008, 911; Schaub/Linck, § 53 Rn 20f und 45; Gola, Rn 246. 37 Vgl. auch Fülbier/Splittgerber, NJW 2012, 1995, 1997. 38 Vgl. Seel, öAT 2013, 4. 39 Vgl. BeckOK DatenSR/Riesenhuber, § 32 BDSG Rn 147. 40 Vgl. BeckOK DatenSR/Riesenhuber, § 32 BDSG Rn 147; a. A. Koch, NZA 2008, 911; im Einzelnen Thüsing/Thüsing, § 3 Rn 68.
Behling
290
Kapitel 6 Telekommunikation im Unternehmen
leitet werden könnte.41 Auch wenn dies mitunter anders gesehen wird,42 führen erst recht auch mangelnde Kontrollen bei ausgesprochenem Verbot nicht zu einer Erlaubnis der Privatnutzung, und dies selbst dann nicht, wenn der Arbeitgeber um die Privatnutzung weiß.43 Praxistipp Um jeglichen Unsicherheiten entgegenzuwirken, empfiehlt es sich, das Verbot der privaten Nutzung von Telekommunikationsmitteln entweder durch ausdrückliche Aufnahme in die Arbeitsverträge44 oder durch Betriebsvereinbarungen45 und/oder (IT-)Richtlinien46 zu regeln. Insoweit empfehlen sich allerdings dezidierte Regelungen, insbesondere bezüglich möglicher Kontrollen und deren Gegenstände.47 Gleichwohl macht dies die Einholung von (flankierenden) Einwilligungserklärungen im Vorfeld von Kontrollen nicht in jedem Falle entbehrlich.48
2. Zulässigkeitsmaßstab bei gestatteter Privatnutzung
19 Im Gegensatz zur ausschließlich erlaubten dienstlichen Nutzung ist der Maßstab der
Zugriffsbefugnisse im Bereich der erlaubten privaten Nutzung höchst umstritten. Insbesondere die Frage, ob das Fernmeldegeheimnis (§§ 88 TKG, 206 StGB) zu beachten ist, ist hoch streitig. Zu beachten ist allerdings, dass das Fernmeldegeheimnis überhaupt nur eingreifen kann, wenn es sich um einen Telekommunikationsdienst (§ 3 Nr. 24 TKG) handelt, der Arbeitgeber als Telekommunikationsdiensteanbieter (§ 3 Nr. 6 TKG) zu qualifizieren ist und sich die jeweilige Nachricht noch im Übermittlungsvorgang befindet. Letzteres ist zu fordern, da das Fernmeldegeheimnis nur vor den spezifischen Gefahren der räumlich distanzierten Kommunikation schützt.49 Ist der Übermittlungsvorgang abgeschlossen, bildet nur noch das (allgemeine) Datenschutzrecht den Zulässigkeitsmaßstab, wobei insoweit zwischen Inhaltsdaten und Verkehrsdaten zu differenzieren ist. Inhaltsdaten sind alle Informationen zu dem Inhalt einer Kommunikation (z. B. der E-Mail-Text). Verkehrsdaten umfassen indes die Informationen zu den näheren Umständen einer Kommunikation (insbesondere wer hat mit wem wann wohin kommuniziert, vgl. auch § 96 Abs. 1 S. 1 TKG). Nach Abschluss der Übermittlung richtet sich der Maßstab des Datenschutzes der Inhalts-
41 Vgl. Leupold/Glossner/Hegewald, Kap. 8 Rn 60. 42 Vgl. etwa Hümmerich/Reufels/Mengel, § 1 Rn 2369. 43 Vgl. Füllbier/Splittgerber, NJW 2012, 1995, 1998. 44 Vgl. auch Moll/Dendorfer, § 35 Rn 202. 45 Vgl. Hümmerich/Reufels/Mengel, § 1 Rn 2372. 46 Vgl. Hauschka/Schmidl, § 29 Rn 183. 47 Vgl. Hauschka/Schmidl, § 29 Rn 183. 48 Vgl. Behling, CB 2013, 265, 268; Hauschka/Schmidl, § 29 Rn 183. 49 BVerfG, Urt. v. 2.3.2006 – 2 BvR 2099/04 – MMR 2006, 217, 220; VGH Kassel, Beschl. v. 19.5.2009 – 6 A 2672/08 – NJW 2009, 2470, 2471; LAG Hamm, Urt. v. 10.7. 2012 – 14 Sa 1711/10 – BeckRS 2012, 71605 (Rz. 179); Sassenberg/Mantz, BB 2013, 889, 890.
Behling
C. Zulässigkeit von Zugriffen
291
daten nach dem BDSG, der der Verkehrsdaten nach den wesentlich strengeren §§ 91 ff. TKG. Dies führt zu dem paradoxen Ergebnis, dass Verkehrsdaten nach der Übermittlung in der Regel einem höheren Schutzniveau unterliegen als Inhaltsdaten. Damit gilt es für die Beurteilung des anwendbaren Rechts folglich zunächst zu klären, ob überhaupt ein Telekommunikationsdienst infrage steht (sogleich a), wann sich die jeweilige Nachricht im Übermittlungsvorgang befindet (sodann b) und ob der Arbeitgeber insoweit als Telekommunikationsdiensteanbieter tätig wird (unten c).
a) Vorliegen eines Telekommunikationsdienstes Ob bei einem Zugriff oder einer Kontrolle ein Telekommunikationsdienst betroffen ist, 20 ist anhand der eingangs genannten Definitionen zu beantworten.50 Danach ist in der Regel eine Abgrenzung zum Telemediendienst vorzunehmen, die nicht immer leicht fällt, da sich der Telekommunikationsdienst durch die „reine“ Transportfunktion auszeichnet. Den bloßen Nachrichtentransport übernimmt ein E-Mail-Dienst über die bereitgestellten Protokolltechnologien etwa dann, wenn er mittels stationärem E-Mail-Client genutzt wird. Steht indes der Versand über einen Webmailer infrage, findet auch eine inhaltliche Aufbereitung der Daten über zur Verfügung gestellte Textverarbeitung etc. statt. In diesen Fällen stellt sich die Frage, ob sich der E-Mail-Dienst als bloßer Telemediendienst mit der Folge darstellt, dass das Fernmeldegeheimnis gerade nicht zu beachten ist, sondern einzig der insoweit schwächere Datenschutz der §§ 11 ff. TMG Anwendung findet. Auch wenn dies mitunter offenbar vertreten wird,51 überzeugt dieses Verständnis aufgrund der offensichtlichen Wertungswidersprüche nicht. Es ist nicht erkennbar, warum eine clientgestützte Kommunikation insgesamt schutzwürdiger sein soll als eine webmailergestützte. Dies gilt umso mehr, als der jeweilige Kommunikationspartner in der Regel nicht erkennen kann, ob der jeweils andere Kommunikationspartner per Client oder Webmailer kommuniziert und folglich nicht einschätzen kann, welchem Schutzniveau seine Nachricht unterliegt. Daher empfiehlt es sich hier wie folgt zu differenzieren:52 Steht die jeweilige Transportfunktion eines Kommunikationsdienstes infrage, handelt es sich insoweit um einen Telekommunikationsdienst und das Fernmeldegeheimnis ist zu beachten. Ist indes die Erstellung der Nachricht sowie die Navigation in hierzu bereitgestellten Onlineportalen betroffen, ist von einem Telemediendienst auszugehen und es sind die Datenschutzvorschriften des TMG maßgeblich. Macht die Transportfunktion
50 Vgl. oben Rn 10. 51 So, allerdings ohne Nennung von Belegen, Koch, NZA 2008, 911, 913. 52 Vgl. Koch, NZA 2008, 911, 913; nicht ganz klar indes Spindler/Schuster/Holznagel/Ricke, § 1 TMG Rn 6 f.
Behling
292
Kapitel 6 Telekommunikation im Unternehmen
einen Anteil von mehr als 50 % des Angebotes eines Telemediendienstes aus, gelten allerdings nur die §§ 15 Abs. 8, 16 Abs. 2 Nr. 4 TMG, § 11 Abs. 3 TMG.53 21 Legt man diese Kriterien zugrunde, sind aufgrund der zur Verfügung gestellten Transportfunktion die folgenden Dienste (jedenfalls auch) als Telekommunikationsdienste zu qualifizieren, wobei diese Aufzählung keinen Anspruch auf Vollständigkeit erhebt:54 – E-Mail, – SMS und MMS, – Chat, – Blog, – Instant Messaging.
b) Übermittlungsvorgang
22 Während weitestgehend Einigkeit darüber besteht, welcher rechtliche Maßstab nach
Abschluss der Nachrichtenübermittlung gilt, ist die Frage, wann der Übermittlungsvorgang so abgeschlossen ist, dass das Fernmeldegeheimnis aus §§ 88 TKG, 206 StGB keine Beachtung mehr findet, hoch umstritten. Exemplarisch diskutiert wird dieses Problem für die Übermittlung von E-Mail-Nachrichten unter Beteiligung von E-MailServern.55 Der vorliegende Meinungsstand lässt sich aber auch auf alle anderen o. g. Telekommunikationsdienste, bei denen im Zuge der Nachrichtenübermittlung in der Regel ebenfalls Server bzw. bei mobilfunkspezifischen Benachrichtigungsdiensten (SMS und MMS) sog. Message-Servicecenter zwischengeschaltet sind,56 übertragen. Unter Berufung auf die Entscheidung des BVerfG vom 16.6.200957 wird verbrei23 tet die Ansicht vertreten, dass der Abschluss des Übermittlungsvorgangs nicht bereits mit Speicherung der E-Mail-Nachricht im „Postfach“ des Adressaten auf dem Nachrichtenserver vorliegt, sondern erst dann, wenn diese den Adressaten tatsächlich erreicht hat, mithin in seinem Verfügungsbereich (lokales Endgerät, Netzlaufwerk o. ä.) gespeichert worden ist. In Bezug auf Beschäftigte gelte dies vor allem deshalb, weil diese zuvor keine Möglichkeit besäßen, die jeweilige Nachricht vor einem Zugriff
53 jurisPK-Internetrecht/Heckmann, Kap. 9 Rn 115. 54 Vgl. Koch, NZA 2008, 911, 913. 55 Vgl. Sassenberg/Mantz, BB 2013, 889, 890. 56 Vgl. zu alledem insgesamt Behling, S. 50 ff. 57 BVerfG, Beschl. v. 16.6.2009 – 2 BvR 902/06 – MMR 2009, 673 ff.; restriktiver das VGH Kassel, Beschl. v. 19.5.2009 – 6 A 2672/08 – NJW 2009, 2470, 2471, dass den Abschluss des Übermittlungsvorganges von der Möglichkeit der Verschiebung von E-Mails in die Mailbox abhängig machen möchte, während das VG Frankfurt a. M., Urt. v. 6.11.2008 – 1 K 628/08 – BeckRS 2008, 41196, nicht nur die Möglichkeit, sondern ein konkretes Tätigwerden des Mitarbeiters durch eigenständige Platzierung und Archivierung voraussetzt.
Behling
C. Zulässigkeit von Zugriffen
293
durch den Arbeitgeber zu schützen.58 Wäre dieses Verständnis zutreffend, so hinge der Abschluss des Übermittlungsvorganges nicht selten von den technischen Gegebenheiten, vor allem von den verwendeten Übertragungsprotokollen ab.59 In Bezug auf den E-Mail-Dienst wäre etwa bei Verwendung des „POP3- 24 Protokolls“60 festzustellen, dass der Übermittlungsvorgang nur dann abgeschlossen werden kann, wenn die Standardeinstellungen der Client-Server-Anwendung so konfiguriert sind, dass bei Abruf der E-Mail-Nachrichten vom Server diese automatisch vom Server gelöscht und nur noch auf dem lokalen Rechner des Arbeitnehmers gespeichert werden.61 Bei der Verwendung des „IMAP-Protokolls“62 würde dagegen der Übermitt- 25 lungsvorgang praktisch nie enden. So verbleiben Nachrichten bei Verwendung dieser Protokolltechnologie stets auf dem E-Mail-Server gespeichert und werden bei jedem Zugriff erneut vom E-Mail-Client heruntergeladen.63 Entsprechend verbleibt einem Arbeitgeber bei Verwendung des IMAP-Protokolls stets die abstrakte Möglichkeit des Nachrichten-Zugriffs64 über den E-Mail-Server mit der Konsequenz, dass der Übermittlungsvorgang niemals enden würde. Bei Anwendbarkeit des TKG würde dies entsprechend zu einem unbegrenzten Eingreifen des Fernmeldegeheimnisses führen. Dieses Verständnis kann nicht überzeugen. Praktisch würde eine solche Diffe- 26 renzierung dazu führen, dass das Eingreifen des Fernmeldegeheimnisses von dem Zufall abhinge, welche Protokolltechnologie genutzt wird. Dies führt zu einer erheblichen Rechtsunsicherheit, die kaum so gewollt sein dürfte. Überdies wird bei dieser Interpretation der o. g. Entscheidung des BVerfG übersehen, dass sich diese allein auf staatliche Zugriffe auf E-Mail-Konten bezog, bei denen der weiterreichende Schutz des Art. 10 GG zu berücksichtigen ist. Für ein privatrechtliches Unternehmen kann dagegen, wenn überhaupt, nur § 88 Abs. 3 TKG maßgeblich sein.65 Dieser schützt nach
58 Vgl. etwa in: Hoeren/Sieber/Holznagel/Deutlmoser/Filip, Kap. 16.6 Rn 103; Hoppe/Braun, MMR 2010, 80, 81 f.; Sassenberg/Mantz, BB 2013, 889, 890; Seel, öAT 2013, 4, 6; Ventura-Heinrich, JA 2013, 130, 134; de Wolf, NZA 2010, 1206, 1209. 59 Vgl. Hoppe/Braun, MMR 2010, 80, 82; Seel, öAT 2013, 4, 6; Sassenberg/Mantz, BB 2013, 889, 890; a. A. Tiedemann, MMR 2010, 639, 642, soweit es allein um lokale Kopien von E-Mails im E-Mail-Client auf dem Arbeitsplatzcomputer geht. 60 Hierbei werden zunächst alle im Unternehmen eingehenden E-Mails von einem zentralen Mailserver empfangen und für den Arbeitnehmer bis zum „endgültigen“ Abruf vorgehalten, vgl. Hoppe/ Braun, MMR 2010, 80, 82. 61 Vgl. Hoeren/Sieber/Holznagel/Sieber, Kap. 1 Rn 113; Leupold/Glossner/Scheja/Haag, Kap. 4 Rn 409; Hoppe/Braun, MMR 2010, 80, 82; Sassenberg/Mantz, BB 2013, 889, 890. 62 IMAP = Instant Message Access Protocol. 63 Vgl. Behling, S. 72 Fn 289. 64 Vgl. Hoeren/Sieber/Holznagel/Sieber, Kap. 1 Rn 113; Seel, öAT 2013, 4, 6; Sassenberg/Mantz, BB 2013, 889, 890; BVerfG, Beschl. v. 16.6.2009 – 2 BvR 902/06 (Abs. 46) – MMR 2009, 673, 674 f. 65 Vgl. Maunz/Düring/Papier, Art. 14 Rn 219.
Behling
294
Kapitel 6 Telekommunikation im Unternehmen
§ 3 Nr. 22 TKG jedoch allein, wie auch das BVerfG ausdrücklich festgestellt hat,66 den technischen Vorgang des Aussendens, Übermittelns und Empfangens mittels Telekommunikationsanlagen und damit gerade nicht die statischen Zustände, die bei einem Ruhen von E-Mail-Nachrichten auf einem Server oder Surrogaten hiervon (insbesondere Backups) zu beobachten sind.67 Nur weil staatliche Stellen den weiterreichenden Art. 10 GG zu beachten haben, ist das BVerfG auch bei Zwischenspeicherungen auf einem E-Mail-Server von einem Andauern des Übermittlungsvorgangs und damit von einem Eingreifen des Fernmeldegeheimnisses ausgegangen. Auf privatrechtliche Unternehmen ist dieses Verständnis wegen § 3 Nr. 22 TKG indes derzeit nicht übertragbar. Hierzu bedürfte es vielmehr einer Klarstellung in § 3 Nr. 22 TKG. Eine solche wäre wohl insbesondere auch wegen des im Strafrecht gem. § 1 StGB zu beachtenden Analogieverbotes („nullum crimen sine lega stricta“) notwendig, da bei einer Verletzung des Fernmeldegeheimnisses stets auch eine Strafbarkeit nach § 206 StGB droht. Praxistipp Wegen des nach wie vor abweichenden Verständnisses der wohl noch herrschenden Meinung und insoweit (noch) fehlenden höchstrichterlichen Entscheidungen sollten bei E-Mail-Zugriffen über den E-Mail-Server stets risikominimierende Maßnahmen in Betracht gezogen werden, wenn die private E-Mail-Nutzung gestattet ist. Insoweit empfehlen sich zunächst flankierende Betriebsvereinbarungen und Einwilligungserklärungen. Dies gilt unabhängig davon, ob diese letztlich wirksam sind oder eine Beeinträchtigung des Fernmeldegeheimnisses tatsächlich legitimieren können. Denn ihnen kommt jedenfalls faktische Wirkung zu.68 Trotzdem sollte bei ihrer Formulierung darauf geachtet werden, dass sie ein Eingreifen von allgemeinen Erlaubnistatbeständen nicht ausschließen.69 Als weitere risikominimierende Maßnahme empfiehlt es sich, den Zugriff soweit wie möglich auf solche Nachrichten zu beschränken, die von dem Beschäftigten bereits gelesen worden sind, da bezüglich solcher Nachrichten bereits die Möglichkeit bestand, besondere Sicherungen gegen einen Zugriff durch den Arbeitgeber vorzunehmen.70 Schließlich ist wegen § 31 BDSG sicherzustellen, dass auf keine Backups von E-Mail-Nachrichten zugegriffen wird, falls diese ausschließlich der Datensicherung und nicht auch der Mitarbeiterkontrolle gewidmet sind.71
c) Arbeitgeber als Diensteanbieter
27 Wie eingangs angesprochen, kann das Fernmeldegeheimnis allerdings überhaupt
nur dann eine zu beachtende Grenze darstellen, wenn der Arbeitgeber als Telekommunikationsdiensteanbieter i. S. v. § 3 Nr. 6 TKG einzuordnen ist.
66 Vgl. BVerfG, Beschl. v. 16.6.2009 – 2 BvR 902/06 (Abs. 47) – MMR 2009, 673, 675. 67 Vgl. auch Behling, CB 2013, 265, 266; im Ergebnis ebenso Kempermann, ZD 2012, 12, 14. 68 Vgl. Hauschka/Schmidl, § 29 Rn 183. 69 Vgl. Behling, CB 2013, 265, 269. 70 Vgl. Niemeyer, CB 2013, 133, 135. 71 Vgl. oben Kap. 1 Rn 33.
Behling
C. Zulässigkeit von Zugriffen
295
aa) Auffassung der noch herrschenden Meinung im Schrifttum Von zum Teil gewichtigen Stimmen in der Literatur wird nach wie vor vertreten, dass 28 der Arbeitgeber als Telekommunikationsdiensteanbieter i. S. v. § 3 Nr. 6 TKG einzuordnen sei, falls dieser die private Nutzung gestattet.72 Die Folge sei die grundsätzliche Anwendbarkeit des Fernmeldegeheimnisses. Begründet wird dies damit, dass der Arbeitgeber dann als Telekommunikations- 29 anbieter i. S. d. § 3 Nr. 6 TKG anzusehen sei.73 Durch Zugänglichmachung einer Kommunikationsanlage gegenüber einem Dritten, wozu auch ein Arbeitnehmer zähle, erfolge eine geschäftsmäßige Erbringung von Telekommunikationsdiensten nach § 3 Nr. 10 TKG, da es insbesondere auf eine Gewinnerzielungsabsicht des Arbeitgebers nicht ankomme.74
bb) Im Vordringen befindliche Gegenauffassung Letztlich sprechen allerdings die besseren Gründe dafür, von vornherein die Eigen- 30 schaft des Arbeitgebers als Telekommunikationsdiensteanbieter zu verneinen, selbst wenn dieser seinen Beschäftigten die private Nutzung von Telekommunikationsdiensten gestattet. Denn anderenfalls wären zahlreiche Maßnahmen, zu denen ein Unternehmen insbesondere in Bezug auf E-Mail-Nachrichten verpflichtet ist, wegen bestehender strafrechtlicher Risiken häufig praktisch ausgeschlossen. Das kann kaum gewollt sein, wie insbesondere das Beispiel der Pflicht zur E-Mail-Archivierung zeigt. So lassen sich die entsprechenden Vorschriften der §§ 257 HGB, 147 AO in der Regel überhaupt nur rechtssicher umsetzen, wenn beim Unternehmen ein- oder ausgehende E-Mail-Nachrichten während der Übermittlungsphase über Softwareapplikationen abgegriffen, dupliziert und abgespeichert werden. Dies ließe sich mit der Argumentation der herrschenden Meinung, die bei gestatteter Privatnutzung in der Übermittlungsphase das Fernmeldegeheimnis gewahrt wissen will, allerdings nur sehr schwer in Einklang bringen.75 Es ist deshalb sehr begrüßenswert, dass die jüngere Rechtsprechung, die seitens der Literatur zunehmend auf Zustimmung stößt,76 die Eigenschaft eines Arbeitgebers als Diensteanbieter selbst dann ablehnt, wenn die private E-Mail-Nutzung gestattet ist.
72 Vgl. nur Gola/Schomerus, § 32 Rn 18; BeckOK DatenSR/Riesenhuber, § 32 BDSG Rn 146 u. 154; Simitis/Seifert, § 32 Rn 92 f.; siehe auch Niemeyer, CB 2013, 133, 135; Sassenberg/Mantz, BB 2013, 889; Tiedemann, ZD 2011, 43, 45 f. m. w. N.; Ventura-Heinrich, JA 2013, 130, 134; Behling, CB 2013, 265. 73 Vgl. Grobys/Panzer/Panzer-Heemeier, Kap. 76 Rn 17; Seel, öAT 2013, 4, 5 f. 74 Tiedemann, ZD 2011, 45, 46; Hoppe/Braun, MMR 2010, 80, 81; Kilian/Heussen/Polenz, Kap. 13 Rn 25. 75 Vgl. etwa Deiters, ZD 2012, 109, 111; Hoppe/Braun, MMR 2010, 80, 81. 76 Ausführlich Behling, CB 2013, 265 m. w. N.; Thüsing/Thüsing, § 3 Rn 74 ff., 99.
Behling
296
31
Kapitel 6 Telekommunikation im Unternehmen
Nachdem erstmals das LAG Niedersachsen77 die Auffassung vertrat, ein Arbeitgeber sei niemals als Diensteanbieter zu qualifizieren, führte auch das LAG Berlin-Brandenburg zustimmend aus, dass „(e)in Arbeitgeber […] nicht allein dadurch zum Dienstanbieter i. S. d. Telekommunikationsgesetzes (wird), dass er seinen Beschäftigten gestattet, einen dienstlichen E-Mail-Account auch privat zu nutzen.“78 Auch wenn die tatsächliche Durchsetzung dieser Auffassung noch mit Skepsis betrachtet wird,79 kann dieses Verständnis nur überzeugen. Das Verhältnis zwischen Arbeitgeber und Arbeitnehmer ist in der Regel nicht mit dem Verhältnis zwischen Telekommunikationsdiensteanbieter und Kunden vergleichbar. Dies ergibt sich sowohl aus dem Sinn und Zweck des TKG80 als auch aus den besonderen Inhalten eines Arbeitsverhältnisses. „Zweck [des TKG] ist es, durch technologieneutrale Regulierung den Wettbewerb im Bereich der Telekommunikation und leistungsfähige Telekommunikationsinfrastrukturen zu fördern und flächendeckend angemessene und ausreichende Dienstleistungen zu gewährleisten.“81 Dagegen ist gerade nicht „Sinn und Zweck des Gesetzes […] die unternehmens- bzw. behördeninternen Rechtsbeziehungen – etwa zwischen Arbeitgeber und Arbeitnehmer – zu regeln.“82
d) Zusammenfassung 32 Folgt man der Auffassung der jüngeren Rechtsprechung, kommt das Fernmeldegeheimnis zu keinem Zeitpunkt im Beschäftigungsverhältnis zur Anwendung, d. h. auch während der Übermittlungsphase nicht. Maßgeblich ist dann lediglich das allgemeine Datenschutzrecht, also zunächst das BDSG. Ist die Privatnutzung gestattet, finden, mit einem Umkehrschluss aus § 11 Abs. 1 Nr. 1 TMG, in Bezug auf Telemediendienste auch die Bestimmungen des TMG Anwendung.83 Beide Gesetze sehen hinsichtlich des Umgangs mit personenbezogenen Daten ein Verbot mit Erlaubnisvorbehalt vor, d. h. personenbezogene Daten dürfen nur erhoben, verarbeitet oder genutzt werden, wenn eine Rechtsvorschrift oder eine Einwilligung des Betroffenen dies legitimiert.
77 LAG Niedersachsen, Urt. v. 31.5.2010 – 12 Sa 875/09 – NZA-RR 2010, 406. 78 Urt. v. 16.2.2011 – 4 Sa 2132/10 – NZA-RR 2011, 342. 79 Vgl. etwa Fülbier/Splittgerber, NJW 2012, 1995, 1996 m. w. N.; Mückenberger/Müller, BB 2011, 2298, 2302; a. A. Fischer, ZD 2012, 265, 266; anders wohl Deiters, ZD 2012, 109, 110, der von einer gefestigten Meinung der Gerichte ausgehen möchte. 80 Vgl. Deiters, ZD 2012, 109, 110. 81 § 1 TKG. 82 VG Karlsruhe, Urt. v. 27.5.2013 – 2 K 3249/12 – BeckRS 2013, 51537. 83 Vgl. Grobys/Panzer/Panzer-Heemeier, Kap. 76 Rn 24.
Behling
C. Zulässigkeit von Zugriffen
297
Praxistipp In Anbetracht des Umstandes, dass auch im Zusammenhang mit dem TMG anerkannt ist, dass Betriebsvereinbarungen legitimierend wirken können,84 empfiehlt es sich, insgesamt die TK-Nutzung im Unternehmen mittels einer Betriebsvereinbarung zu regeln, sofern ein Betriebsrat gewählt ist. Anderenfalls empfehlen sich zumindest verbindliche unternehmensinterne Regelungen. Es ist allerdings zu beachten, dass Betriebsvereinbarungen und sonstige unternehmensinterne Regelungen niemals unmittelbar eine Beeinträchtigung des Fernmeldegeheimnisses legitimieren können. Sie können zwar ggf. zwischen Arbeitgeber und Beschäftigten legitimierende Wirkung entfalten, grundsätzlich85 aber nicht auch im Verhältnis zu den von dem Fernmeldegeheimnis ebenfalls geschützten unternehmensfremden Kommunikationsteilnehmern.86 Bezüglich Letzterer kommen jedoch ggf. konkludente oder mutmaßliche Einwilligungen in Betracht.87 In Bezug auf die Beschäftigten gilt nach Auffassung des vormaligen Bundesdatenschutzbeauftragten bei Abschluss einer Betriebsvereinbarung, die die Voraussetzungen und den Umfang möglicher E-Mail-Zugriffe regelt, Ähnliches.88
IV. Zulässigkeit von Einzelmaßnahmen Nach hier vertretener Auffassung bestimmt sich die Zulässigkeit von Einzelmaßnah- 33 men nach BDSG und TMG, soweit die private Nutzung gestattet ist. Das TKG, einschließlich des darin geregelten Fernmeldegeheimnisses, findet dagegen keine Anwendung. Ist die private Nutzung indes nicht gestattet, findet wegen § 11 Abs. 1 Nr. 1 TMG darüber hinaus auch das TMG keine Anwendung. Dann ist einzig das BDSG anwendbar.
1. Welche Daten dürfen erhoben und verarbeitet werden? Im Falle der Anwendbarkeit des TMG beschränkt sich dieses auf die Regelung des 34 Umgangs mit Bestandsdaten (§ 14 TMG) und Nutzungsdaten (§ 15 TMG). Der Umgang mit Inhaltsdaten richtet sich nach umstrittener, aber wohl herrschender Meinung dagegen ausschließlich nach dem BDSG.89 Dies ist mit Blick auf die Subsidiaritätsklausel des § 1 Abs. 3 S. 1 BDSG nur konsequent. Inhaltsdaten umfassen allerdings nur solche Daten, die mit der Nutzung eines Telemediendienstes nicht im
84 Vgl. Grobys/Panzer/Panzer-Heemeier, Kap. 76 Rn 24. 85 In Einzelfällen sind Ausnahmen allerdings denkbar, vgl. etwa unten Rn 52. 86 Vgl. hierzu OLG Karlsruhe, Beschl. v. 10.1.2005 – 1 Ws 152/04 – MMR 2005, 178, 180; dies wird mitunter allerdings auch anders gesehen. 87 Vgl. Behling, CB 2013, 265, 267 m. w. N.; sowie unten Rn 80. 88 Vgl. BfDI, Datenschutzrechtliche Grundsätze bei der dienstlichen/privaten Internet- und E-MailNutzung, Stand: Januar 2008, Ziff. 1, abrufbar unter http://www.bfdi.bund.de/SharedDocs/Publikationen/Arbeitshilfen/LeitfadenInternetAmArbeitsplatzneu.pdf?__blob=publicationFile. 89 Vgl. Taeger/Gabel/Zscherpe, § 14 TMG Rn 26 m. w. N.; Heidrich/Forgó/Feldmann/Arning/Haag, Band 2, Kap. II Rn 98; Leupold/Gossner/Scheja/Haag, Kap. 5 Rn 433; differenzierend Müller-Broich, § 15 Rn 3; a. A. Hoeren/Sieber/Holznagel/Schmitz, Kap. 16.2 Rn 114.
Behling
298
Kapitel 6 Telekommunikation im Unternehmen
unmittelbaren Zusammenhang stehen. Welche Daten dies letztlich sind, hängt vom Einzelfall ab und lässt sich für das Beschäftigungsverhältnis nur schwer pauschal umschreiben. Letztlich dürften aber all die Daten als Inhaltsdaten zu qualifizieren sein, die der Durchführung des Vertragsverhältnisses mit dem Betroffenen dienen, wenn sich das Vertragsverhältnis nicht allein in der Bereitstellung und der damit korrespondierenden Nutzung des jeweiligen Telemediendienstes erschöpft.90
2. Zulässigkeit der Datenverarbeitung im Einzelnen
35 Für die Zulässigkeit von typischerweise im Unternehmen stattfindenden Datenverar-
beitungen im Zusammenhang mit der TK-Nutzung ergibt sich daraus Folgendes:
a) Zugriffe auf E-Mail-Daten
36 Wie sich bereits aus den obigen Ausführungen ergibt, ist hoch umstritten, ob und
aufgrund welcher Vorschriften ein Zugriff auf E-Mail-Daten zulässig ist.
aa) Der Meinungsstand 37 Zunächst ist festzustellen, dass die wohl noch herrschende Meinung im Schrifttum einen Zugriff auf E-Mail-Accounts per se für unzulässig hält, sofern die private E-Mail-Nutzung gestattet ist. Begründet wird dies mit dem angeblich zu beachtenden Fernmeldegeheimnis aus § 88 Abs. 3 TKG.91 Unabhängig davon, dass sich diese Auffassung in der heutigen Zeit als wenig praktikabel darstellt, da insbesondere Vertreterregeln zeigen, dass Drittzugriffe auf dienstliche E-Mail-Konten, z. B. über Sekretariate, zum Alltag zählen, erscheint dieses Verständnis auch in rechtlicher Hinsicht wenig überzeugend. Insoweit wird auf die bereits gemachten Ausführungen verwiesen.92 Nichtsdestotrotz ist zu beachten, dass sich aufgrund der noch herrschenden Meinung Strafbarkeitsrisiken nicht gänzlich ausschließen lassen, wenn auf dienstliche E-Mail-Konten zugegriffen wird, ohne dass flankierende Maßnahmen wie die Einholung von Einwilligungserklärungen oder der Abschluss von Betriebsvereinbarungen zur Risikominimierung getroffen werden. Geht man dagegen mit zutreffender Ansicht davon aus, dass lediglich das all38 gemeine Datenschutzrecht maßgeblich ist, richtet sich die Zulässigkeit des Zugriffs in erster Linie nach §§ 28 Abs. 1 S. 1 Nr. 2, 32 Abs. 1 BDSG, je nachdem zu welchem Zweck der Zugriff erfolgen soll.
90 Vgl. Heidrich/Forgó/Feldmann/Arning/Haag, Band 2, Kap. II Rn 98. 91 Vgl. Gola/Schomerus, § 32 Rn 18; Simitis/Seifert, § 32 Rn 92. 92 Vgl. oben Rn 19 ff.
Behling
C. Zulässigkeit von Zugriffen
299
bb) Zugriffe auf betriebliche Webmailinterfaces Sind die §§ 11 ff. TMG infolge erlaubter Privatnutzung dienstlicher Webmailinter- 39 faces zu beachten,93 kommt ein Zugriff auf Nutzungsdaten, mithin Verkehrsdaten bezüglich der Nutzung des Webmailers (vgl. § 15 Abs. 1 S. 2 TMG), grundsätzlich nur dann in Betracht, wenn dies zur Inanspruchnahme des Webmailers oder zur Nutzungsabrechnung erforderlich ist, § 15 Abs. 1 S. 1 TMG. Ist beides nicht festzustellen, sind die Daten grundsätzlich sofort nach Abschluss des Nutzungsvorgangs wieder zu löschen.94 Im Grundsatz gilt daher, dass Nutzungsdaten von Webmailinterfaces regelmäßig Zugriffen, die nicht auf technischen Gründen beruhen, entzogen sein werden, wenn (auch) die private Nutzung des Webmailers gestattet ist. Bestandsdaten, d. h. solche personenbezogenen Daten, die zur Begründung, zur inhaltlichen Ausgestaltung oder zur Änderung des Telemediendienstevertrages erforderlich sind, dürfen bei gestatteter Privatnutzung nur zu eben diesen Zwecken verwendet werden, §§ 12 Abs. 1, 14 Abs. 1 TMG.95 Da im Beschäftigungsverhältnis ein solch gesonderter Nutzungsvertrag in der Regel durch die arbeitsvertragliche Beziehung überlagert wird, erscheint der Anfall von Bestandsdaten bei Nutzung von Webmailern zumindest fraglich. An Strafverfolgungsbehörden und Nachrichtendienste dürfen Bestandsdaten gem. § 12 Abs. 2 TMG auf deren Anordnung indes auch zum Zwecke der Strafverfolgung oder Gefahrenabwehr weitergeben werden, was insbesondere in Fällen relevant wird, in denen eine Straftatbegehung über das Webmailinterface infrage steht (z. B. Verrat von Geschäfts- und Betriebsgeheimnissen i. S. v. § 17 UWG). Inhaltsdaten dürfen, wie ausgeführt,96 indes unter den Voraussetzungen des BDSG genutzt werden, wenngleich auch dies nicht unumstritten ist.97
cc) Zugriffe auf E-Mail-Daten im betrieblichen Alltag Mit Ausnahme von Nutzungsdaten bei gestatteter Privatnutzung von Webmailinter- 40 faces entscheidet damit ausschließlich das BDSG in aller Regel über die Zulässigkeit eines Zugriffs auf E-Mail-Daten. Damit ist über § 32 Abs. 1 S. 1 BDSG zunächst jeder Zugriff erlaubt, der zur Durchführung des Beschäftigungsverhältnisses erforderlich ist. Dies trifft mit der Begründung des Entwurfs der vormaligen Bundesregierung98 zum (nicht umgesetzten) Gesetz zum Beschäftigtendatenschutz dann zu, wenn Vertreterregeln eingerichtet werden, weil der Postfachinhaber selbst abwesend ist und eine weitere Bearbeitung der dienstlichen E-Mails gesichert werden muss. Da der
93 Vgl. Rn 32. 94 Vgl. Müller-Broich, § 15 Rn 2. 95 Vgl. Müller-Broich, § 14 Rn 2 f. 96 Vgl. oben Rn 19. 97 Vgl. hierzu Müller-Broich, § 15 Rn 3. 98 BT-Drucks. 17/4230, S. 22.
Behling
300
Kapitel 6 Telekommunikation im Unternehmen
Regierungsentwurf insoweit nicht differenziert, kann nichts Anderes gelten, wenn der betroffene Beschäftigte ausgeschieden ist und deshalb ein Zugriff auf sein Postfach (zwingend) erforderlich wird. Zwar wird dies mitunter anders gesehen und die Auffassung vertreten, dass bei Ausscheiden eines Beschäftigten nur die Einrichtung eines Abwesenheitsassistenten unter Mitteilung einer abweichenden E-MailAdresse durch den Arbeitgeber für einen gewissen Zeitraum zulässig sei.99 Dies kann unter Verhältnismäßigkeitsaspekten aber nur für solche Fälle zutreffen, in denen ein Zugriff auf das E-Mail-Postfach des Ausgeschiedenen zur Aufrechterhaltung des Geschäftsbetriebs nicht erforderlich ist. Letzteres dürfte insbesondere bei zeitkritischer, insbesondere fristabhängiger Korrespondenz kaum festzustellen sein. Ob aber eine zeitkritische Korrespondenz eingeht, lässt sich regelmäßig nur feststellen, wenn ein genereller Zugriff auf das E-Mail-Postfach erfolgen darf und zumindest Absender- und Betreffzeilen der eingehenden, an den Ausgeschiedenen gerichteten E-Mails regelmäßig kontrolliert werden. Der Zugriff auf private Inhalte ist nach der Begründung des vorgenannten Regie41 rungsentwurfs dabei allerdings nur erlaubt, wenn eine vollständige Sichtung der E-Mail-Nachrichten des Ortabwesenden für den ordnungsgemäßen Geschäftsbetrieb unerlässlich ist. Im Umkehrschluss heißt dies, dass der Zugriff auf private Inhalte nur im Sinne eines Ultima-Ratios in Betracht kommt. Ist der private Charakter etwa aufgrund der Absender-/Empfängeradresse oder des Inhalts der Betreffzeile erkennbar, muss ein Zugriff unterbleiben.100 Was als privat einzustufen ist, ist mitunter insbesondere dann schwierig festzustellen, wenn die E-Mail-Nachricht (mögliche) Inhalte zu Straftaten aufweist, beispielsweise wenn hierin Verabredungen zu einem Verrat von Betriebs- und Geschäftsgeheimnissen getroffen werden. So wird der betroffene Beschäftigte diese Korrespondenz sicherlich als privat einstufen, berechtigt ist dies freilich nicht. Denn weist der Inhalt einen wie auch immer gearteten dienstlichen Bezug auf, wird man diesem keine private Qualität mehr zuweisen können. Dies ergibt sich bereits aus § 32 Abs. 1 S. 2 BDSG, wonach der Arbeitgeber wegen beschäftigungsbezogener Straftaten unter Beachtung der Verhältnismäßigkeitsanforderungen beschäftigtenbezogene Daten erheben, verarbeiten und nutzen darf. Von den Vertretern, die entgegen hier vertretener Auffassung ein Eingreifen des 42 Fernmeldegeheimnisses bei gestatteter Privatnutzung bejahen, wird jedenfalls die Speicherung und Auswertung von Verkehrsdaten zum Zwecke der Abrechnung und Störungsbeseitigung nach der Maßgabe der §§ 96, 97 Abs. 1 TKG für zulässig erach-
99 Vgl. Sassenberg/Manz, BB 2013, 889, 892. 100 Vgl. Behling, CB 2013, 265, 267.
Behling
C. Zulässigkeit von Zugriffen
301
tet.101 Dies umfasst mit EuGH102 und BGH103 – im Rahmen des Erforderlichen und bei weisungsgebundenem Handeln des Empfängers – im Übrigen auch die Befugnis zur einwilligungsfreien Übermittlung von Verkehrsdaten im Zusammenhang mit Abtretungen von TK-Entgeltforderungen an Dritte (Zessionare). Bei sonstigen Zugriffen auf die auf dem E-Mail-Server liegenden E-Mail-Nachrichten von Beschäftigten sowie die entsprechenden Verkehrsdaten soll sich der Arbeitgeber nach dieser Auffassung indes grundsätzlich nach §§ 206, 303a StGB strafbar machen.104 Diese Auffassung kann allerdings bereits aufgrund der zuvor geschilderten praktischen Gegebenheiten und, wie ausgeführt,105 auch in rechtlicher Hinsicht nicht überzeugen.
dd) E-Mail-Zugriffe zur Verhaltenskontrolle Präventive Kontrollen des Postfachs sind nicht nur erlaubt, sondern auf Stichpro- 43 benbasis auch zu empfehlen, wenn die private E-Mail-Nutzung verboten ist und die Kontrolle dazu dient, die Befolgung dieses Verbots zur Vermeidung jeden Anscheins einer anderweitigen betrieblichen Übung zu überprüfen.106 Der einschlägige Erlaubnistatbestand ist wiederum § 32 Abs. 1 S. 1 BDSG, da ein Arbeitgeber ein berechtigtes Interesse daran hat, die Pflichtgemäßheit des Arbeitsverhaltens seiner Beschäftigten während der Arbeitszeit zu kontrollieren.107 Die Kontrolle sollte sich allerdings zunächst auf die Einsichtnahme von Verkehrsdaten beschränken, da die Eingriffsintensität für den Beschäftigten hierbei in der Regel geringer sein wird, als wenn die Inhalte der Kommunikation in Augenschein genommen werden. Automatisierte und undifferenzierte Kontrollen werden allerdings stets als unzulässig erachtet,108 weshalb sich Einzelfallkontrollen durch dafür zuständiges Personal empfehlen. Auch Kontrollen zur Vermeidung von beschäftigungsbezogenen Straftaten, 44 etwa Betrugs- oder Bestechungstaten, können mit Blick auf die bestehende Compliance-Pflicht eines Unternehmens einem von § 32 Abs. 1 S. 1 BDSG gedeckten Kontroll-
101 Vgl. Heidrich/Forgó/Feldmann/Tschoepe, Band 2, Kap. III Rn 92; einschränkend auf den Bereich Abrechnung Grobys/Panzer/Panzer-Heemeier, Kap. 76 Rn 29; a. A. Deiters, ZD 2012, 109, 111, der eine automatische Archivierung von E-Mails sowie deren anschließende Kontrolle ohne ausdrückliche Einwilligung des Betroffenen für unzulässig hält; ebenso Spindler/Schuster/Eckhardt, § 88 TKG Rn 31, der keine Rechtfertigung allein aufgrund der sich aus dem HGB und der AO ergebenden Aufbewahrungspflichten anerkennen möchte. 102 Urt. v. 22.11.2012 – C-119/12 – ZD 2013, 77 ff. 103 Urt. v. 7.2.2013 – III ZR 200/11 – NJW 2013, 1092 ff. 104 Vgl. Kempermann, ZD 2012, 12, 14; Moll/Dendorfer, § 35 Rn 203; Grobys/Panzer/Panzer-Heemeier, Kap. 76 Rn 21. 105 Vgl. oben Rn 19 ff. 106 Vgl. Heidrich/Forgó/Feldmann/Tschoepe, Band 2, Kap. III Rn 95. 107 Vgl. Behling, CB 2013, 265, 267; Simitis/Seifert, § 32 Rn 77. 108 Vgl. Heidrich/Forgó/Feldmann/Tschoepe, Band 2, Kap. III Rn 95.
Behling
302
Kapitel 6 Telekommunikation im Unternehmen
zweck dienen.109 Auch insoweit empfiehlt es sich, abgestuft vorzugehen. Inhaltskontrollen sind nur vorzunehmen, wenn sich aus der Auswertung von Verkehrsdaten konkrete Anhaltspunkte für eine beschäftigungsbezogene Straftat oder Ordnungswidrigkeit ergeben. Der Beschäftigungsbezug ist dabei unbedingt sicherzustellen, da bei dessen Fehlen eine Straftataufklärung aufgrund des eindeutigen Wortlautes des § 32 Abs. 1 S. 2 BDSG in der Regel ausscheidet. Nur wenn ein anderweitiges dringendes betriebliches Interesse nachweisbar ist, kommt bei fehlendem Beschäftigungsbezug der Straftat oder Ordnungswidrigkeit ein Zugriff auf E-Mail-Daten überhaupt in Betracht. Der Zugriff kann dann allerdings nur auf §§ 28 Abs. 1 S. 1 Nr. 2, 32 Abs. 1 S. 1 BDSG gestützt werden. Deren Voraussetzungen müssen entsprechend erfüllt sein. Für eine weitere Sichtung ergibt sich der Zulässigkeitsmaßstab dann allerdings 45 nicht mehr aus § 32 Abs. 1 S. 1 BDSG, sondern aus § 32 Abs. 1 S. 2 BDSG. Zu beachten ist, dass der Zugriff auf E-Mail-Daten zur Vermeidung oder Aufdeckung von Straftaten und Ordnungswidrigkeiten unter Verhältnismäßigkeitsaspekten nur erfolgen darf, wenn Taten von einem gewissen Gewicht infrage stehen.110 Dies trifft regelmäßig auf Korruptionsdelikte, erhebliche Untreuehandlungen und kartellrechtliche Verstöße zu.111 Dass auch die Aufklärung von beschäftigungsbezogenen Ordnungswidrigkei46 ten in den Anwendungsbereich des § 32 Abs. 1 BDSG fällt, ist allerdings nicht unumstritten. So wird mit Hinweis auf § 32 Abs. 1 S. 2 BDSG die Auffassung vertreten, dass der Arbeitgeber einzig ermächtigt sei, wegen beschäftigungsbezogener Straftaten, also gerade nicht wegen Ordnungswidrigkeiten personenbezogene Beschäftigtendaten zu erheben, zu verarbeiten und zu nutzen, da sich die Vorschrift nur hierauf beziehe.112 Überzeugend ist dies allerdings nicht. Zwar spricht der Wortlaut des § 32 Abs. 1 S. 2 BDSG ausdrücklich nur von Straftaten, sodass eine Differenzierung zwischen Straftaten und Ordnungswidrigkeiten sowie anderen Pflichtverletzungen aus dem Beschäftigungsverhältnis mit der Folge nötig sein könnte,113 dass ein Zugriff auf personenbezogene Beschäftigtendaten zur Aufdeckung von Ordnungswidrigkeiten nicht von § 32 Abs. 1 S. 2 BDSG gedeckt wäre.114 Dieses Verständnis kann mit Blick auf den Regelungszweck des § 32 Abs. 1 BDSG letztlich jedoch nicht durchgreifen. So ist Zweck dieser Vorschrift, dass personenbezogene Datenverarbeitungen zur Verhinderung und Aufklärung arbeitsvertraglicher Pflichtverletzungen umgesetzt werden können; dann aber müssen auch beschäftigungsbezogene Ordnungswidrigkeiten mit
109 Vgl. Behling, CB 2013, 265, 267. 110 Vgl. Behling, CB 2013, 265, 267; vgl. Kilian/Heussen/Polenz, Kap. 13 Rn 9. 111 Vgl. Behling, CB 2013, 265, 267. 112 Simitis/Seifert, § 32 Rn 102; ähnlich ErfK/Franzen, § 32 BDSG Rn 31. 113 Vgl. BeckOK DatenSR/Riesenhuber, § 32 BDSG Rn 115. 114 So Simitis/Seifert, § 32 Rn 102; ErfK/Franzen, § 32 BDSG Rn 31.
Behling
C. Zulässigkeit von Zugriffen
303
umfasst sein, da bezogen auf solche Pflichtverletzungen anderenfalls eine Regelungslücke vorläge.115 Dies lässt sich dadurch interessengerecht und auch systemkonform umsetzen, dass in solchen Fällen ergänzend zu § 32 Abs. 1 S. 2 BDSG die §§ 32 Abs. 1 S. 1, 28 Abs. 1 S. 1 Nr. 2 BDSG herangezogen werden, die zweifelsfrei eine Verarbeitung von personenbezogenen Daten im Zusammenhang mit sonstigen Pflichtverletzungen und auch Vertragsbrüchen zulassen.116 Für reaktive Kontrollen gilt das zuvor Gesagte entsprechend. Insgesamt emp- 47 fiehlt es sich aufgrund der Eingriffsintensität eines E-Mail-Zugriffs und deren umstrittener Einordnung in Bezug auf das Fernmeldegeheimnis,117 besonnen und nicht übereilt vorzugehen. Insoweit ist u. a. umstritten, ob § 100 Abs. 3 S. 1 TKG bei unterstellt eingreifendem Fernmeldegeheimnis zumindest den Zugriff auf Verkehrsdaten im Rahmen unternehmensinterner Ermittlungen legitimieren kann. Insoweit liegt es zunächst nahe, das Eingreifen dieser Erlaubnisnorm auf den Verdacht telekommunikationsspezifischer Missbräuche zu beschränken, wofür mit der jüngeren Literatur insbesondere die in § 100 Abs. 3 S. 1 TKG genannten Regelbeispiele (Leistungserschleichung und Betrug) sprechen.118 Eine teilweise vertretene Auffassung will einen Zugriff auch bei sonstigen Verdachtsmomenten bezüglich einer rechtswidrigen Nutzung zulassen, jedenfalls, wenn konkrete Verdachtsmomente für die Begehung einer Straftat vorliegen; dann soll selbst der Zugriff auf Inhaltsdaten zulässig sein, offenbar auch während der Übermittlungsphase.119 Insgesamt empfiehlt sich vor einem Zugriff auf E-Mail-Daten zum Zwecke der 48 Aufklärung von Straftaten oder Ordnungswidrigkeiten die Beachtung folgender Checkliste: Checkliste120 1. Vorliegen von tatsächlichen Anhaltspunkten für das Vorliegen einer beschäftigungsbezogenen Straftat oder Ordnungswidrigkeit von gewissem Gewicht;121 2. Sorgfältige Dokumentation der tatsächlichen Anhaltspunkte; 3. Zugriff auf E-Mail-Daten muss dem Aufdeckungszweck dienen;
115 Vgl. Grobys/Panzer/Panzer-Heemeier, Kap. 62 Rn 25; dies zeigt sich auch mit Blick auf die Begründung des Gesetzentwurfes zur Regelung des Beschäftigtendatenschutzes zu § 32i BDSG-E, die ausdrücklich Ordnungswidrigkeiten mit einbezieht, vgl. BT-Drucks. 17/4230, S. 21; ähnlich Götz, CCZ 2010, 158, 161. 116 Vgl. Gola/Schomerus, § 32 Rn 29; Grobys/Panzer/Panzer-Heemeier, Kap. 62 Rn 25; ErfK/Franzen, § 32 BDSG Rn 30; vgl. dazu auch die Gesetzesbegründung zu § 32 Abs. 1 S. 1 BDSG in der BTDrucks. 16/13657, S. 21. 117 Vgl. oben Rn 19 ff. 118 Thüsing/Traut, § 9 Rn 102 m. w. N. 119 Vgl. Heidrich/Forgó/Feldmann/Tschoepe, Band 2, Kap. III Rn 92; Grobys/Panzer/Panzer-Heemeier, Kap. 76 Rn 28 f. 120 Teilweise angelehnt an BeckOK DatenSR/Riesenhuber, § 32 Rn 116 u. 121. 121 Vgl. hierzu oben Rn 44 f.
Behling
304
Kapitel 6 Telekommunikation im Unternehmen
4. Zugriff auf Backups nur, falls diese auch für die Mitarbeiterkontrolle gewidmet sind; 5. Erforderlichkeit der Datenerhebung, -verarbeitung oder -nutzung, d. h. Verhältnismäßigkeit zwischen Schwere der Tat und Intensität des E-Mail-Zugriffs: – Geeignetheit des Zugriffs zur Aufdeckung von Straftat oder Ordnungswidrigkeit; – Kein milderes Mittel zur Erreichung desselben Zwecks (mehr) ersichtlich, insbesondere Befragung des Verdächtigen oder Sichtung von papiergebundenen Dokumenten; in diesem Zusammenhang ist auch die Erforderlichkeit des Einsatzes spezieller Analysetools zu prüfen, die es über Suchwortlisten ermöglichen, dass nur relevante E-Mail-Daten ausgewertet werden und der Zugriff auf private Daten122 möglichst unterbleibt; – Angemessenheit des Zugriffs, d. h. Prüfung, ob die Schwere der möglichen Straftat den Eingriff in die informationelle Selbstbestimmung im Allgemeinen überwiegt; – Kein überwiegendes entgegenstehendes schutzwürdiges Interesse des Betroffenen, d. h. Verhältnismäßigkeit im Hinblick auf den Anlass; 6. Prüfung, ob die Anforderungen etwaiger Betriebsvereinbarungen für einen E-Mail-Zugriff erfüllt sind; 7. Einholung flankierender Einwilligungserklärungen,123 soweit eine solche erfolgversprechend erscheint und den Ermittlungserfolg nicht gefährdet. Die Einwilligung sollte dabei so formuliert werden, dass bei deren Verweigerung das Eingreifen der allgemeinen Erlaubnistatbestände (§§ 28 Abs. 1 S. 1 Nr. 2, 32 Abs. 1 S. 2 BDSG) nicht ausgeschlossen ist. Überdies sind diese so zu fassen, dass die nach § 4a Abs. 1 S. 1 BDSG sicherzustellende Freiwilligkeit nicht infrage steht, was wegen des bestehenden Ober-Unterordnungsverhältnisses gerade im Beschäftigungsverhältnis mit besonderen Herausforderungen verbunden ist. Dem Beschäftigten muss daher eine wirkliche Wahl gelassen werden, was sich etwa durch ein aufschiebend bedingtes Wirksamwerden und besondere Widerspruchsrechte in Bezug auf die Einwilligungserklärung realisieren lässt; 8. Prüfung, ob ein Widerspruch des Verdächtigen gegen den Zugriff auf seine E-Mail-Daten vorliegt. Ein solcher dürfte unbeachtlich sein, wenn die Voraussetzungen des § 32 Abs. 1 S. 2 BDSG vollumfänglich, d. h. einschließlich aller Dokumentationspflichten, erfüllt sind.124 Dass eine Widerspruchsprüfung durchgeführt worden ist, sollte dokumentiert werden; 9. Benachrichtigung des Verdächtigen über den nunmehr anstehenden Zugriff auf seine E-Mail-Daten (§ 33 Abs. 1 S. 1 BDSG) oder schriftlich zu dokumentierende Entbehrlichkeit einer vorherigen Benachrichtigung, insbesondere wegen Bestehens einer Verdunkelungsgefahr (vgl. § 33 Abs. 2 S. 1 Nr. 7b, S. 2 BDSG); 10. Möglichst Beschränkung des Zugriffs auf bereits gelesene E-Mail-Nachrichten zur Minimierung von Strafbarkeitsrisiken; 11. Einbindung der zuständigen Stellen, insbesondere des Datenschutzbeauftragten (vgl. §§ 4d Abs. 5, 4f Abs. 5 S. 1 BDSG) und der Mitarbeitervertretung (vgl. §§ 80 Abs. 1, 87 Abs. 1 Nr. 6 BetrVG; 27 SprAuG). Ist ein betrieblicher Datenschutzbeauftragter nicht bestellt, was allerdings nur in den wenigsten Fällen mit den gesetzlichen Anforderungen in Einklang stehen dürfte, kann vor einem E-Mail-Zugriff die Einbindung der zuständigen Datenschutzaufsicht erforderlich sein, § 4d Abs. 1 S. 1 BDSG.
122 Vgl. hierzu oben Rn 41. 123 Vgl. hierzu insgesamt Behling, CB 2013, 265, 269. 124 Vgl. Behling, CB 2013, 265, 268.
Behling
C. Zulässigkeit von Zugriffen
305
b) Spamfilter und Antivirenprogramme Spamfilter und Antivirenprogramme können dazu führen, dass E-Mail-Nachrichten 49 den jeweiligen Adressaten im Unternehmen, also den jeweiligen Beschäftigten, nicht oder nur verzögert erreichen. Dies wird mit Blick auf die §§ 206, 303a StGB mitunter für unzulässig gehalten,125 weshalb ein unabgestimmtes Verschieben, Vernichten oder Zurückhalten von E-Mails mit Strafbarkeitsrisiken verbunden ist.126 Auch zivilrechtliche Ersatzansprüche lassen sich dann nicht ausschließen,127 wenngleich es durchaus auch Stimmen gibt, die die Verwendung solcher Schutzprogramme als stets über § 88 Abs. 3 S. 1 TKG legitimiert ansehen.128
aa) Erforderlichkeit risikominimierender Maßnahmen In jedem Falle empfehlen sich vor der Implementierung entsprechender Applikatio- 50 nen risikominimierende Maßnahmen. Während der Scan von E-Mail-Nachrichten auf Spam- und Virenverdacht sowie deren anschließende Markierung im Header noch weitestgehend als unproblematisch erachtet wird, wird insbesondere das Zurückhalten oder Löschen von spam- oder virenverseuchten Nachrichten als kritisch und möglicherweise strafbar angesehen.129
bb) Einwilligung des Arbeitnehmers Wie diesem Risiko begegnet werden kann, wird unterschiedlich beurteilt. Einig- 51 keit besteht darüber, dass jedenfalls Einwilligungserklärungen oder Einzelvereinbarungen von/mit den Beschäftigten entsprechende Maßnahmen legitimieren können.130 Hierbei ist allerdings darauf zu achten, dass Einwilligungserklärungen gem. § 4a Abs. 1 S. 4 BDSG drucktechnisch besonders hervorzuheben sind, falls diese gemeinsam mit anderen Erklärungen eingeholt werden sollen. Auch muss die Freiwilligkeit der Einwilligung sichergestellt sein, was, wie ausgeführt,131 eine besondere inhaltliche Gestaltung erfordert.
125 Vgl. Sassenberg/Mantz, BB 2013, 889, 892, die die Ausfilterung nur bei Einwilligung durch den Empfänger zulassen möchten. 126 Vgl. hierzu auch OLG Karlsruhe, Beschl. v. 10.1.2005 – 1 Ws 152/04 – MMR 2005, 178 ff. 127 Vgl. Hoeren, NJW 2004, 3513, 3516. 128 Vgl. OLG Karlsruhe, Beschl. v. 10.1.2005 – 1 Ws 152/04 – MMR 2005, 178, 181; Spindler/Schuster/ Eckhardt, § 88 TKG Rn 28. 129 Vgl. Hoeren, NJW 2004, 3513, 3516. 130 Vgl. Heidrich/Tschoepe, MMR 2004, 75, 78; Hoeren, NJW 2004, 3513, 3516 f.; Sassenberg/Mantz, BB 2013, 889, 892. 131 Vgl. oben Rn 48, Checkliste Ziff. 7.
Behling
306
Kapitel 6 Telekommunikation im Unternehmen
cc) Betriebsvereinbarung
52 Alternativ kommt auch der Abschluss von Betriebsvereinbarungen in Betracht.132
Die legitimierende Wirkung von Betriebsvereinbarungen ist gleichwohl nicht unumstritten,133 wobei insoweit in erster Linie auf das Fernmeldegeheimnis verwiesen wird. Dass das Fernmeldegeheimnis insoweit unbeachtlich sein dürfte, wurde unlängst dargelegt,134 will man dennoch der Gegenauffassung folgen, so gilt es Folgendes zu berücksichtigen: Da das Diensteanbieterverhältnis im Arbeitsverhältnis allenfalls modifiziert zur Anwendung gelangen könnte, würde es selbst bei eingreifendem Fernmeldegeheimnis nur interessengerecht erscheinen, die gem. § 77 Abs. 4 S. 1 BetrVG unmittelbar und zwingend geltenden Betriebsvereinbarungen innerhalb des Arbeitsverhältnisses ausnahmsweise als legitimierende Vorschrift i. S. v. § 88 Abs. 3 S. 3 TKG anzusehen.135 Selbst bei unterstelltem Eingreifen des Fernmeldegeheimnisses können Betriebsvereinbarungen deshalb legitimieren.
dd) Einwilligung des Kommunikationspartners
53 Soweit teilweise auch ergänzende Einwilligungserklärungen des jeweiligen Kom-
munikationspartners für erforderlich gehalten werden,136 wird dem zu Recht begegnet, dass es dann in der Hand des Absenders läge, ob die von ihm rechtswidrig versandte Spam- oder Schad-E-Mail herausgefiltert würde oder nicht.137 Entsprechend sind Einwilligungserklärungen der Kommunikationspartner für den Einsatz von Spamfiltern und Antivirenprogrammen nicht erforderlich.138
ee) Entbehrlichkeit einer Einwilligung
54 Bei akut mit Schadsoftware verseuchten E-Mail-Nachrichten wird überwiegend
die Auffassung vertreten, dass deren Löschung ohnehin ohne jedwede Einwilligung zulässig sei,139 wofür sich insbesondere der Rechtsgedanke des § 88 Abs. 3 S. 1 TKG heranziehen lässt. Dies korrespondiert auch mit dem aufsichtsbehördlichen Verständnis, wonach selbst das Unterdrücken solcher E-Mail-Nachrichten zulässig sein soll, die lediglich einen verdächtigen ausführbaren Code (insbesondere E-Mails im
132 Heidrich/Tschoepe, MMR 2004, 75, 78. 133 Vgl. Ernst, NZA 2002, 585, 588; Moll/Dendorfer, § 35 Rn 203. 134 Vgl. oben Rn 19 ff. 135 So Deiters, ZD 2012, 109, 112 f.; a. A. Moll/Dendorfer, § 35 Rn 203. 136 OLG Karlsruhe, Beschl. v. 10.1.2005 – 1 Ws 152/04 – MMR 2005, 178, 180. 137 Vgl. Sassenberg/Mantz, BB 2013, 889, 892; siehe auch Spindler/Schuster/Eckard, § 88 TKG Rn 29 f. 138 Da das Fernmeldegeheimnis nach hier vertretener Auffassung nicht eingreift, vgl. oben Rn 19 ff., bedarf es insoweit ohnehin keiner Einwilligung. Etwas anderes könnte daher sowieso nur mit Blick auf § 303a StGB gelten. 139 Vgl. Heidrich/Tschoepe, MMR 2004, 75, 78; Sassenberg/Mantz, BB 2013, 889, 892.
Behling
C. Zulässigkeit von Zugriffen
307
HTML-Format oder mit Dateianhängen, die die Endung *.exe oder *.bat aufweisen sowie gepackten Formaten wie etwa *.zip, *.arj, *.lha) aufweisen.140 Allerdings ist in diesen Fällen eine einwilligungsfreie Löschung nur zulässig, wenn der E-Mail-Empfänger, hier also der jeweilige Beschäftigte, um die Verfahrensweise und den jeweiligen Zustellungsversuch weiß.141 Dies wäre folglich durch entsprechende Verfahren sowie arbeitsvertragliche Regelungen, Betriebsvereinbarungen oder IT-Richtlinien im Vorfeld einer Löschung sicherzustellen. Praxistipp Im Übrigen besteht die Möglichkeit, die Gefahr eines Rechtsverstoßes durch die Einrichtung einer „Quarantänelösung“ zu minimieren.142 Das bedeutet, dass auffällige E-Mail-Nachrichten nicht vorab gelöscht, sondern nur zentral vorselektiert und in einem gesonderten Ordner gespeichert werden. Der Arbeitnehmer wird dadurch auf eine mögliche Gefahr hingewiesen, kann jedoch selbst über das weitere Vorgehen entscheiden. Es empfiehlt sich allerdings, ihn über dieses Vorgehen zu informieren, damit der Beschäftigte weiß, dass eingehende E-Mail-Nachrichten möglicherweise in den Ordner „Spam“ o. Ä. gelangen und eventuell Risiken von den dort gespeicherten Nachrichten ausgehen.
c) E-Mail-Archivierungen Die E-Mail-Archivierung stellt eine weitere rechtliche Herausforderung im Unterneh- 55 mensalltag dar. Sie bewegt sich naturgemäß im Spannungsfeld zwischen gesetzlicher Aufbewahrungspflicht einerseits und Datenschutzrecht sowie Fernmeldegeheimnis andererseits. Die Aufbewahrungspflicht resultiert in der Regel aus §§ 147 AO, 257 HGB, die in den Verwaltungsanweisungen zu den Grundsätzen der ordnungsgemäßen Buchführung (GoBS) und den Grundsätzen ordnungsgemäßer EDV-gestützter Buchführungsfristen (GDPdU) näher konkretisiert sind.143 Selbst wenn man von einem Eingreifen des Fernmeldegeheimnisses im Beschäf- 56 tigungsverhältnis ausgeht, sollen diese Normen nach einigen Vertretern als Erlaubnistatbestände i. S. v. § 88 Abs. 3 S. 3 TKG anzusehen sein, und dies offenbar obwohl sie sich nicht, wie von § 88 Abs. 3 S. 3 TKG vorausgesetzt, auf Telekommunikationsvorgänge beziehen.144 Aufgrund des entgegenstehenden Wortlautes des § 88 Abs. 3 S. 3 TKG wird dies allerdings auch anders gesehen.145 Letztlich müssten Vorschriften i. S. d. § 88 Abs. 3 S. 3 TKG dem sog. kleinen Zitiergebot genügen. Das bedeutet, sie müssen zum Ausdruck bringen, dass der Gesetzgeber eine bewusste Abwägung mit dem Fernmeldegeheimnis vorgenommen hat, wenngleich die jeweilige Vorschrift
140 Vgl. Hoeren, NJW 2004, 3513, 3516 f. m. w. N. 141 Vgl. Hoeren, NJW 2004, 3513, 3516. 142 Vgl. Sassenberg/Mantz, BB 2013, 889, 892. 143 Vgl. Sassenberg/Mantz, BB 2013, 889, 892. 144 Vgl. Sassenberg/Mantz, BB 2013, 889, 893 m. w. N. 145 Vgl. Spindler/Schuster/Eckhardt, § 88 TKG Rn 31.
Behling
308
Kapitel 6 Telekommunikation im Unternehmen
das Fernmeldegeheimnis hierzu nicht namentlich zu nennen braucht.146 Dass auch Betriebsvereinbarungen insoweit ausnahmsweise ebenfalls als legitimierende Vorschriften in Betracht kommen können, wurde bereits dargelegt.147 Nach hier vertretener Auffassung stellt das Fernmeldegeheimnis keine zu beach57 tende Größe dar, weshalb sich nach hiesigem Verständnis die Zulässigkeit der E-MailArchivierung nur nach allgemeinem Datenschutzrecht beurteilt. Generell wird man sagen können, dass die Zulässigkeit von E-Mail-Archivierungen zwar grundsätzlich allgemein anerkannt ist, sei es über die zuvor vorgestellte Argumentation, wonach die §§ 147 AO, 257 HGB auch als telekommunikationsspezifische Rechtfertigungsgründe i. S. v. § 88 Abs. 3 S. 3 TKG zu qualifizieren sein sollen, oder sei es nach allgemeinem Datenschutzrecht, da aufgrund der §§ 147, 257 AO ein berechtigtes Interesse des archivierenden Unternehmens i. S. v. § 28 Abs. 1 S. 1 Nr. 2 BDSG an der Archivierung besteht. Zu Recht wird aber gegen die Zulässigkeit einer generellen E-Mail-Archivierung eingewandt, dass eine Legitimation nur soweit reichen könne, wie die einzelnen E-Mail-Nachrichten in den Anwendungsbereich der §§ 147 AO, 257 HGB fielen.148 Hiermit kontrastiere allerdings die Realität,149 was im Ergebnis auch zutreffend sein dürfte. So sind etwa E-Mail-Nachrichten nur dann als archivierungspflichtige Handels58 briefe i. S. v. § 257 HGB zu qualifizieren, wenn sie der Vorbereitung, dem Abschluss, der Durchführung oder auch der Rückgängigmachung eines Geschäftes dienen.150 Auch wenn dies auf die meisten nach außen gerichteten dienstlichen E-Mail-Nachrichten eines Unternehmens noch zutreffen wird, ist dies bei bloß interner oder nach außen gerichteter privater Kommunikation häufig dagegen zu verneinen. Es wird daher gefordert, generell Einwilligungserklärungen bezüglich der E-Mail-Archivierung151 von Beschäftigten einzuholen, Betriebsvereinbarungen152 abzuschließen oder arbeitsvertragliche Regelungen153 zu treffen. Dies übersieht allerdings, dass personenbezogene Daten, die für den Erhebungszweck nicht benötigt werden, gem. § 35 Abs. 2 S. 2 Nr. 3 BDSG grundsätzlich zu löschen sind. E-Mail-Nachrichten, die aber nie hätten archiviert werden müssen, werden zu diesem Zweck auch nicht benötigt und wären entsprechend sofort wieder zu löschen. Ob also Einwilligungserklärungen, Betriebsvereinbarungen und arbeitsvertragliche Regelungen tatsächlich helfen können, etwaige Datenschutzrisiken gänzlich auszuschließen, erscheint vor diesem Hintergrund zumindest fraglich.
146 Vgl. Geppert/Schütz/Bock, § 88 Rn 28. 147 Vgl. oben Rn 52. 148 Vgl. Sassenberg/Mantz, BB 2013, 889, 893. 149 Vgl. Sassenberg/Mantz, BB 2013, 889, 893. 150 Vgl. Barth, MMR 2009, XXIV. 151 Vgl. Sassenberg/Mantz, BB 2013, 889, 893. 152 Vgl. Barth, MMR 2009, XXIV, XXV. 153 Vgl. Barth, MMR 2009, XXIV, XXV.
Behling
C. Zulässigkeit von Zugriffen
309
Insgesamt führen solche Vereinbarungen aufgrund ihrer faktischen Wirkung 59 jedenfalls zu einer Risikominimierung.154 Wenn darüber hinaus weitere risikominimierende Maßnahmen ergriffen werden, lässt sich eine E-Mail-Archivierung zumindest mit vertretbarem Risiko umsetzen, wobei wiederum eine Einbindung des betrieblichen Datenschutzbeauftragten und der Mitarbeitervertretung unbedingt zu empfehlen ist. Praxistipp Kann die E-Mail-Archivierung teilautomatisiert über die Endgeräte der Beschäftigten oder über Netzlaufwerke realisiert werden, indem der jeweilige Beschäftigte zu archivierende E-Mail-Nachrichten auf seinem Endgerät markieren oder an Netzwerkressourcen überstellen muss und die Archivierungsapplikation solche E-Mail-Nachrichten sodann zur Archivierung abruft, ist das Risiko straf- und datenschutzrechtlicher Verstöße am geringsten. Dieses Vorgehen führt allerdings selbst bei gut geschulten Mitarbeitern häufig dazu, dass die Archivierungspflichten nicht hinreichend umgesetzt werden, weshalb dieses Vorgehen in der Praxis regelmäßig nur bedingt empfehlenswert ist. Zur Erfüllung von Archivierungspflichten erscheinen in der Regel vollautomatisierte Archivierungslösungen geeigneter, die sämtliche ein- und ausgehenden Nachrichten während des Versandes oder Eingangs in der eigenen IT-Infrastruktur des Unternehmens abgreifen. Solche Lösungen sind häufig allerdings mit erhöhten Datenschutz- und Strafbarkeitsrisiken verbunden. Es gilt daher möglichst einen gerechten Ausgleich zwischen den unterschiedlichen Risiken zu finden, wobei sich dabei folgende risikominimierende Maßnahmen empfehlen: – Es sollte eine vollautomatisierte Archivierungslösung in Betracht gezogen werden. – Sofern diese keine Vollanonymisierung der E-Mails sicherstellen kann, sollte die Archivierungsapplikation auf eingehende Nachrichten nur zugreifen, wenn diese bereits auf dem E-Mail-Server gespeichert und durch den jeweiligen Adressaten gelesen wurden. Auf ausgehende Nachrichten sollte nur über das Endgerät des Versenders oder den E-Mail-Server zugegriffen werden, wobei sich die Nachrichten zu diesem Zeitpunkt nicht in Bewegung befinden sollten. – Arbeitet die vollautomatisierte Archivierungslösung in der Weise vollanonymisiert, dass Mitarbeiter und sonstige Personen sowohl während des Archivierungsvorgangs als auch im Anschluss grundsätzlich keinen Zugriff auf die Nachrichten haben oder erhalten, dürfte dies eventuelle Strafbarkeits- und Datenschutzrisiken nochmals erheblich reduzieren. Dies jedenfalls legen die verschiedenen, mit dem E-Government-Gesetz155 einhergegangenen Gesetzesänderungen156 nahe. Daraus lässt sich ableiten, dass bloß automatisierte Zugriffe auf E-Mail-Nachrichten (durch Provider) bei sonstiger Vollverschlüsselung nicht als unbefugte Zugriffe oder Übermittlungen zu werten sind. Wird die E-Mail-Archivierung also vollautomatisiert vorgenommen und ist währenddessen sowie im Anschluss ein menschlicher Nachrichtenzugriff grundsätzlich durch Verschlüsselung ausgeschlossen, lässt sich vertreten, dass weder Fernmeldegeheimnis noch BDSG durch die Archivierung tangiert werden. Freilich wird irgendeine Möglichkeit zur Entschlüsselung bestehen müssen, da anderenfalls das Archiv, insbesondere im Zusammenhang mit Betriebsprüfungen, nicht nutzbar wäre. Insoweit kann aber über den Einsatz von sog. Schlüsseltreuhändern wie auch über besondere Freigabeprozesse nachgedacht werden.
154 Vgl. oben Rn 26, Praxistipp. 155 Vgl. BT-Drucks. 17/11473, S. 14. 156 Vgl. § 30 Abs. 7 AO i. d. F. v. 25.7.2013 (m. W. v. 1.8.2013); § 67 Abs. 6 Nr. 3 S. 2 Hs. 2 SGB X i. d. F. v. 25.7.2013 (m. W. v. 1.8.2013).
Behling
310
Kapitel 6 Telekommunikation im Unternehmen
– Hiervon unabhängig ist bei der konkreten Ausgestaltung des jeweiligen Archivierungsverfahrens stets darauf zu achten, dass die Anforderungen von GoBS und GDPdU vollumfänglich umgesetzt werden,157 da ansonsten ebenfalls erhebliche Sanktionen drohen können.
d) Löschen von E-Mail-Konten und -Nachrichten nach Ausscheiden
60 Scheidet ein Mitarbeiter aus dem Unternehmen aus, stellt sich die Frage nach der
Zulässigkeit der Löschung seines dienstlichen E-Mail-Kontos. Soweit die im E-MailKonto gespeicherten E-Mail-Nachrichten keiner Archivierungs- oder Sperrpflicht unterliegen, dürfte eine Löschung des Kontos einschließlich der darin befindlichen E-Mail-Nachrichten sogar gem. § 35 Abs. 2 S. 1 Nr. 3 BDSG geboten sein. Der Handlungsrahmen wird insoweit von § 35 Abs. 3 BDSG vorgegeben. Praktisch relevant wird dabei in der Regel nur § 35 Abs. 3 Nr. 1 BDSG sein. Danach kann an die Stelle der vorzunehmenden Löschung eine Kontosperrung treten, falls gesetzliche, satzungsmäßige oder vertragliche Aufbewahrungsfristen einer Löschung entgegenstehen. Dem jeweiligen Beschäftigten steht in Bezug auf seine privaten E-Mail-Nachrichten ein Herausgabeanspruch zu, weshalb ihm im Vorfeld einer Löschung die Gelegenheit zur Sicherung der privaten E-Mail-Nachrichten gegeben werden sollte.158 Letzteres sollte auch deshalb geschehen, um mögliche Strafbarkeitsrisiken nach §§ 206 Abs. 2 Nr. 2, 274 Abs. 1 Nr. 2; 303a StGB sowie zivilrechtliche Ersatzansprüche zu vermeiden.159
Praxistipp Um im Streitfalle die notwendigen Nachweise erbringen zu können, sollte dem Beschäftigten rechtzeitig vor seinem Ausscheiden die Möglichkeit zur Sicherung privater Nachrichten mit Hinweis darauf gegeben werden, dass nach seinem Ausscheiden sein E-Mail-Konto aufgelöst und darauf befindliche Nachrichten entweder gelöscht oder archiviert werden. Diese Unterrichtung sollte auch hinreichend dokumentiert werden.
e) Telefonie einschließlich Mobilfunk
61 Bezüglich des Umgangs mit unternehmensinterner Telefonie einschließlich der
Nutzung von Mobilfunktelefonen sind die wesentlichen Feststellungen bereits getroffen worden.160
157 Vgl. hierzu Kap. 13. 158 Sassenberg/Mantz, BB 2013, 889, 893. 159 Vgl. OLG Dresden, Beschl. v. 5.9.2012 – 4 W 961/12 – NJW-RR 2013, 27, 28. 160 Vgl. hierzu oben Rn 12 ff.
Behling
C. Zulässigkeit von Zugriffen
311
aa) Mit- und Abhören Danach scheidet ein heimliches Mit- oder Abhören von Telefonaten in der Regel 62 aus, was bereits aus der grundsätzlichen Strafbarkeit nach § 201 Abs. 2 Nr. 1 StGB folgt.161 Etwas Anderes kommt mit der Rechtsprechung des BVerfG und des BGH in Bezug auf notstands- oder notwehrähnlichen Lagen i. S. d. §§ 32, 34 StGB in Betracht,162 die etwa dann vorliegen können, wenn der Verdacht einer Straftat von erheblichem Gewicht infrage steht, zu dessen Aufklärung das Mithören zwingend erforderlich ist.163 Zu empfehlen ist allerdings ein äußerst besonnenes Vorgehen, wobei hier noch wesentlich strengere Maßstäbe anzulegen sind als bei einer Sichtung von E-Mail-Daten. Zwar gibt hier § 32 Abs. 1 S. 2 BDSG eine Leitlinie vor. Die Checkliste für E-Mail-Zugriffe164 kann gleichwohl nur im Sinne einer Orientierungshilfe herangezogen werden.
bb) Zugriff auf Verkehrsdaten Der legitime Zugriff auf nicht anonymisierte telefonische Verkehrsdaten dürfte 63 häufig bereits deshalb ausscheiden, weil nicht selten schon deren Speicherung unzulässig ist. So ist eine Speicherung von personenbezogenen Verkehrsdaten allenfalls erlaubt, wenn diese auch erforderlich ist (vgl. §§ 28 Abs. 1 S. 1 Nr. 2, 32 Abs. 1 S. 1 BDSG). Dies dürfte mit den Wertungen des TKG nur dann zu bejahen sein, wenn die entsprechenden Daten zu Abrechungszwecken (§ 97 TKG) oder aus technischen Gründen, namentlich zum Erkennen, Eingrenzen oder Beseitigen von Störungen oder Fehlern an Telekommunikationsanlagen, erforderlich sind (§ 100 Abs. 1 TKG), wobei mit dem Rechtsgedanken aus § 100 Abs. 3 S. 2 TKG auch dann keinesfalls eine längere Speicherung als sechs Monate erlaubt sein dürfte. Die Rechtsprechung geht indes von wesentlich kürzeren Speicherfristen von maximal sieben Tagen aus, wobei z. T. auf eine entsprechende Stellungnahme des vormaligen „Bundesbeauftragten für Datenschutz“ aus einem anderen Rechtstreit verwiesen wird.165 Zu Abrechungszwecken könnte eine Speicherung wiederum nur erforderlich sein, soweit Beschäftigte Telefondienste für private Zwecke allein entgeltlich nutzen dürften.166 Dies ist praktisch nur vorstellbar, wenn insbesondere für Privatgespräche spezielle Vorwahlen genutzt werden müssen oder andere technische Einrichtungen zur Anwendung
161 Vgl. Klengel/Mückenberger, CCZ 2009, 81, 84. 162 Vgl. BVerfG, Beschl. v. 9.10.2002 – 1 BvR 1611/96, 1 BvR 805/98 – NJW 2002, 3619, 3624; BGH, Urt. v. 17.2.2010 – VIII ZR 70/07 – NJW-RR 2010, 1289, 1292 (Abs. 28); Urt. v. 18.2.2003 – XI ZR 165/02 – NJW 2003, 1727, 1728 a. E. 163 Vgl. Moll/Dendorfer, § 35 Rn 185, 192, 194. 164 Vgl. oben Rn 48. 165 So AG Bonn, Urt. v. 5.7.2007 – 9 C 177/07 – RDV 2007, 256; vgl. aber auch OLG Köln, Beschl. v. 9.6.2011 – 6 W 159/10 – MMR 2011, 759. 166 Vgl. Moll/Dendorfer, § 35 Rn 193.
Behling
312
Kapitel 6 Telekommunikation im Unternehmen
gelangen, die eine Unterscheidung zwischen einer abrechnungspflichtigen und einer unentgeltlichen Nutzung ermöglichen. Aber selbst dann wäre eine Speicherung von vollständigen Zielrufnummern in der Regel nicht erforderlich, da bereits die Vorwahl für die Bestimmung der maßgeblichen Gebührenzone genügen würde.167 Damit würde es bereits häufig an der Rechtsgrundlage für eine Speicherung von 64 Verkehrsdaten fehlen, sodass auch deren nachträgliche Auswertung ausschiede. Dies gelte selbst dann, wenn man davon ausginge, dass § 100 Abs. 3 S. 1 TKG die Verwendung von Verkehrsdaten im Falle dokumentierter tatsächlicher Anhaltspunkte für eine unternehmensbezogene Straftatbegehung erlaubt. Dies ist allerdings umstritten.168 Da die Vorschrift aber ausdrücklich ohnehin nur die „Verwendung“ nennt, kann die Speicherung von Verkehrsdaten hierüber jedenfalls nicht ohne Weiteres legitimiert werden.169
cc) Nutzung von Geo- bzw. Standortdaten 65 Sollen Geo- bzw. Standortdaten von dienstlichen Mobilfunktelefonen der Beschäftigten (insbesondere über integrierte GPS-Einheiten) gespeichert oder genutzt werden, richtet sich die Zulässigkeit mangels spezialgesetzlicher Rechtsgrundlagen in erster Linie nach § 32 Abs. 1 BDSG.170 Ist die Ortung des Mobilfunktelefons etwa zur Koordinierung eines Arbeitseinsatzes erforderlich, ist sie in diesem Umfang gem. § 32 Abs. 1 S. 1 BDSG erlaubt.171 Eine Überwachung des Privatverhaltens muss in jedem Fall unterbleiben. Ferner sind auch Dauerüberwachungsmaßnahmen nicht erlaubt.172 Dies korrespondiert weitestgehend mit dem nicht umgesetzten Entwurf eines Beschäftigtendatenschutzgesetzes173 (BDSG-E), namentlich mit § 32g BDSG-E. Danach soll die Ortung von Mobilfunktelefonen nur zur Sicherheit des Beschäftigten oder zur Koordination des Einsatzes der Beschäftigten erlaubt sein. Das Speichern und Nutzen von Geodaten sollte sich daher auf ein Mindestmaß reduzieren und möglichst nur in Kenntnis der betroffenen Mitarbeiter erfolgen. Ginge man entgegen hier vertretener Auffassung bei erlaubter Privatnutzung von 66 der Anwendbarkeit des TKG aus, wäre auch § 98 TKG zu beachten. Danach dürfen Standortdaten, die in Bezug auf Nutzer von öffentlichen Telekommunikationsnetzen oder öffentlich zugänglichen Telekommunikationsdiensten verwendet werden, nur
167 Vgl. Moll/Dendorfer, § 35 Rn 193. 168 Dagegen: Thüsing/Traut, § 9 Rn 102 m. w. N.; dafür: Heidrich/Forgó/Feldmann/Tschoepe, Band 2, Kap. III Rn 92; Grobys/Panzer/Panzer-Heemeier, Kap. 76 Rn 28 f. 169 Dies übersehen Thüsing/Traut, § 9 Rn 102, die entsprechend auch die Erhebung, mithin wohl auch Speicherung, als von § 100 Abs. 3 S. 1 TKG erfasst ansehen. 170 Vgl. BeckOK DatenSR/Riesenhuber, § 32 Rn 141. 171 Vgl. BeckOK DatenSR/Riesenhuber, § 32 Rn 141. 172 Vgl. BeckOK DatenSR/Riesenhuber, § 32 Rn 141. 173 Entwurf eines Gesetzes zur Regelung des Beschäftigtendatenschutzes, BT-Drucks. 17/4230.
Behling
C. Zulässigkeit von Zugriffen
313
zur Bereitstellung von Diensten mit Zusatznutzen in einem erforderlichen Umfang und innerhalb des dafür erforderlichen Zeitraums verarbeitet werden. Dies wiederum allerdings auch nur dann, wenn sie anonymisiert wurden oder wenn der Teilnehmer dem Anbieter des Dienstes mit Zusatznutzen seine Einwilligung erteilt hat. GPSDaten sind insoweit, genauso wie beispielsweise WLAN-Daten, als Standortdaten im Sinne dieser Vorschrift zu qualifizieren.174 Der Teilnehmer i. S. v. § 98 TKG wäre gem. § 3 Nr. 20 TKG der Arbeitgeber, falls er unmittelbar Vertragspartner des Mobilfunkproviders wäre, ansonsten der Beschäftigte selbst. Demnach würde ggf. die Einwilligung des Arbeitgebers ausreichen, wobei dies nicht davon entbinden dürfte, den Beschäftigten als Nutzer (§ 3 Nr. 14 TKG) über die Feststellung seiner Standortdaten in jedem Einzelfall per Textnachricht unterrichten zu müssen.175 Da § 98 Abs. 1 S. 2 TKG seinem Wortlaut nach nur den „Anbieter“ zur Unterrichtung verpflichtet, lässt sich dieses Verständnis nur damit begründen, dass Normadressat dieser Vorschrift der Ortungsdiensteanbieter ist,176 als der der Arbeitgeber dann offenbar verstanden werden muss. Soll die Ortung im Zusammenhang mit unternehmensinternen Ermittlungs- 67 maßnahmen erfolgen, die ihrerseits an § 32 Abs. 1 S. 2 BDSG zu messen sind, ist zu beachten, dass der BGH177 ein allgemeines Beweisführungsinteresse nicht genügen lässt, um eine (heimliche) GPS-Ortung zu legitimieren. Es müsse vielmehr eine notwehrähnliche Situation vorliegen, damit eine Legitimation der heimlichen Ortung in Betracht komme. Sollte § 32g BDSG-E allerdings in seiner derzeitigen Fassung künftig einmal in Kraft treten, wäre jede Nutzung von Ortungsdaten zur Straftataufklärung im Beschäftigungsverhältnis untersagt.178 Praxistipp Das Sammeln von und der Zugriff auf Telefondaten sollten vor diesem Hintergrund nur äußerst re striktiv erfolgen. An dieser Stelle empfehlen sich wiederum klare Regelungen, vor allem der Abschluss von Betriebsvereinbarungen. Sofern Ortungen über Mobilfunktelefone in Betracht gezogen werden, sollte § 98 TKG die Leitlinie bilden. Dabei ist insbesondere, wie auch in § 32g BDSG-E vorgesehen, eine hinreichende Unterrichtung der Beschäftigten sicherzustellen.
174 Vgl. Beine, ZD 2013, 8, 10. 175 Vgl. BeckOK StPO/Graf, § 98 TKG Rn 4; Mengel, Kap. 7 Rn 52; Oberwetter, NZA 2008, 609, 612, die allerdings noch eine Unterrichtung über die erteilte Einwilligung seitens des Arbeitgebers als Teilnehmer ausreichen lassen wollen, dies dürfte jedenfalls seit der Neufassung der Vorschrift aufgrund des nunmehr eindeutigen Wortlautes im Jahre 2012 so nicht mehr genügen. 176 Vgl. Spindler/Schuster/Eckhardt, § 98 TKG Rn 21. 177 Vgl. BGH, Urt. v. 4.6.2013 – 1 StR 32/13 – ZD 2013, 502, 508 (Abs. 89f). 178 Vgl. Gola, ZD 2012, 308, 311.
Behling
314
Kapitel 6 Telekommunikation im Unternehmen
f) TK-Outsourcing/Zentralisierung
68 Was das Outsourcing oder die Zentralisierung von Telekommunikationsdienstleistun-
gen anbelangt, ist zunächst festzustellen, dass grundsätzlich nichts Anderes wie bei jedem anderen Outsourcing- und Zentralisierungsvorhaben gilt. Dies gilt im Besonderen für das Cloud Computing, das aufgrund der möglichen Skalierungseffekte nach wie vor für Unternehmen interessant ist. Es kann daher auf die bereits gemachten Ausführungen verwiesen werden.179
aa) Allgemeine Anforderungen
69 Entsprechend gilt, dass auch beim TK-Outsourcing Maßnahmen zur Sicherstellung
eines angemessenen Datenschutzniveaus i. S. d. §§ 4b, 4c BDSG zu treffen sind, falls der TK-Provider – konzerninternes Unternehmen oder externer Dienstleister – die Daten außerhalb von EU und EWR verarbeitet und es sich hierbei um keinen sog. sicheren Drittstaat handelt. Mit der Streichung des § 92 TKG, der eine Übermittlung von unter das TKG fallenden personenbezogenen Daten an ausländische Stellen nur zu enumerativ aufgezählten Zwecken zuließ, steht nun auch der TKG-Datenschutz einem Outsourcing von Telekommunikationsdienstleistungen an ausländische Stellen nichts mehr entgegen. Maßgeblich ist nunmehr allein das BDSG.180
bb) Auftragsdatenverarbeitung
70 Mit dem Dienstleister sind Auftragsdatenverarbeitungsverträge i. S. v. § 11 Abs. 2
BDSG abzuschließen, falls dieser – was unbedingt zu empfehlen ist – nur streng weisungsgebunden agieren darf. Selbst wenn man entgegen der hier vertretenen Auffassung davon ausgeht, dass das Fernmeldegeheimnis im Beschäftigungsverhältnis zu beachten sein kann, entfaltet die Auftragsdatenverarbeitung die privilegierende Wirkung des § 3 Abs. 8 S. 2 BDSG, jedenfalls dann, wenn der Dienstleister die Datenverarbeitung im Inland, in der EU oder dem EWR vornimmt. Dies wiederum liegt darin begründet, dass das TKG keinerlei Regelungen zur Auftragsdatenverarbeitung enthält und gem. § 1 Abs. 3 S. 1 BDSG daher § 11 BDSG weiterhin Anwendung findet.181
cc) Drittstaatentransfer
71 Seit der Streichung des § 92 TKG sind bei Drittstaatenübermittlungen indes die
§§ 4b, 4c BDSG maßgeblich.182 Dies macht deutlich, dass bei Vorliegen der Voraus-
179 Vgl. oben Kap. 5. 180 Vgl. Beine, ZD 2013, 8, 9. 181 Vgl. Spindler/Schuster/Eckhardt, § 91 TKG Rn 2. 182 Vgl. Beine, ZD 2013, 8, 9.
Behling
C. Zulässigkeit von Zugriffen
315
setzungen dieser Vorschriften, etwa weil sog. EU-Standardverträge abgeschlossen werden oder der Dienstleister in einem sicheren Drittstaat sitzt, das Fernmeldegeheimnis aufgrund eines TK-Outsourcings nicht betroffen sein kann, selbst wenn man entgegen hier vertretener Auffassung davon ausgeht, dass es im Beschäftigungsverhältnis Anwendung findet. Andererseits gilt es diese Voraussetzungen auch sicherzustellen, was die Verwendung von US-Messenger-Diensten wie „WhatsApp“ schwierig gestaltet. Denn insbesondere „WhatsApp“ unterwirft ausweislich seiner „Privacy Notice“183 die Diensteerbringung allein Kalifornischem, mithin US-Amerikanischem Recht, wozu jeder Nutzer auch sein (konkludentes) Einverständnis erklären muss.184 Dies lässt es naheliegend erscheinen, dass kein Raum für nach §§ 4b, 4c BDSG erforderliche Zusatzvereinbarungen mit WhatsApp zur Herstellung eines angemessenen Datenschutzniveaus besteht. Wenn diese Annahme zutreffend sein sollte, kann die Nutzung für dienstliche Zwecke nicht empfohlen werden. Ohnehin werden Datentransfers in die USA seitens der Datenschutzaufsichtsbehörden vor dem Hintergrund der offenkundig gewordenen Spionageaktivitäten der NSA kritisch gesehen (vgl. dazu Kap. 9 Rn 36). Derzeit empfiehlt sich daher bei Auslagerungen mit US-Bezug ein eher besonnenes Vorgehen.
dd) Besondere Verpflichtung des Dienstleisters Gleichwohl empfiehlt sich sowohl im Falle des § 11 BDSG als auch bei Anwendbarkeit 72 der §§ 4b, 4c BDSG den Dienstleister zusätzlich auf das Fernmeldegeheimnis zu verpflichten und sicherzustellen, dass er die Verpflichtung an seine Mitarbeiter durchreicht. Denn selbst wenn dieser als TK-Dienstleister unter das Fernmeldegeheimnis aus § 88 Abs. 2 S. 1 TKG fällt, trifft dies auf seine Mitarbeiter nicht ohne Weiteres zu. Um jedwede Genehmigungspflicht i. S. v. § 4c Abs. 2 BDSG auszuschließen, sollten derartige Verpflichtungen des Dienstleisters allerdings nicht innerhalb von EU-Standardverträgen geschehen, sondern stets in Form gesonderter Vereinbarungen.
ee) Herausforderungen für Berufsgeheimnisträger Für Berufsgeheimnisträger i. S. v. § 203 Abs. 1 StGB dürfte ein TK-Outsourcing, das 73 insbesondere für E-Mail-Dienste üblich ist, ebenfalls in Betracht kommen. Zwar ist nach wie vor weitverbreitete Auffassung, dass jedes Outsourcing, das mit der Offenbarung von Mandatsbeziehungen einhergeht, per se unzulässig sei.185 Diese Auf-
183 Stand: 7.7.2012, abrufbar unter http://www.whatsapp.com/legal. 184 Vgl. „Special Notes to International Users“ der „Privacy Notice” von WhatsApp (Stand: 7.7.2012), abrufbar unter http://www.whatsapp.com/legal/. 185 Vgl. etwa MüKO-StGB/Cierniak/Pohlit, § 203 Rn 53; Kindhäuser/Neumann/Paeffgen/Kargl, § 203 Rn 21.
Behling
316
Kapitel 6 Telekommunikation im Unternehmen
fassung wird allerdings insbesondere im Zusammenhang mit dem IT-Outsourcing durch eine im Vordringen befindliche Meinung zunehmend verdrängt, wonach entweder konkludente Einwilligungen186 den Einsatz externer Dienstleister legitimieren würden oder jedenfalls bei Vorliegen der formellen und materiellen Voraussetzungen einer Auftragsdatenverarbeitungsvereinbarung ein rechtswidriges Offenbaren fehle, weil der Dienstleister aufgrund seiner funktionalen Einbindung dann ähnlich wie ein Berufshelfer i. S. v. § 203 Abs. 3 S. 2 StGB gebunden sei.187 Letzterer Auffassung wird zwar häufig das Argument entgegengehalten, dass der Dienstleister schon deshalb nicht als berufsmäßiger Gehilfe in Betracht komme, weil er nicht im Betrieb des Berufsgeheimnisträgers eingebunden sei.188 Überzeugend ist dies jedoch nicht. So folgt das Erfordernis einer betrieblichen Einbindung eines Gehilfen weder aus dem Wortlaut noch dem Schutzzweck des § 203 StGB.189 Die besseren Gründe sprechen daher dafür, von keiner Verletzung des § 203 Abs. 1 StGB auszugehen, falls bei wirksam vereinbarter Auftragsdatenverarbeitung TK-Dienstleistungen – wie ohnehin üblich – an Dienstleister ausgelagert werden. Zur Risikominimierung sollte aber die Einholung von Einwilligungserklärungen der geschützten Personen (Mandanten, Patienten usw.) und/oder die Abstimmung mit der zuständigen Datenschutzaufsicht in Betracht gezogen werden. Auch sollte der Auftragnehmer verpflichtet werden, seine Mitarbeiter auf das fragliche Berufsgeheimnis zu verpflichten. Praxistipp Beim Outsourcing von TK-Leistungen stellt die Auftragsdatenverarbeitungsvereinbarung i. S. v. § 11 BDSG kombiniert mit einer zusätzlichen Verpflichtung auf das Fernmeldegeheimnis das Mittel der Wahl dar. Dabei ist genauestens auf die Einhaltung der inhaltlichen Voraussetzungen des § 11 Abs. 2 BDSG zu achten, was gem. § 11 Abs. 2 S. 4 BDSG auch die Erfüllung bestehender Auditpflichten, die vor Beginn der Datenverarbeitung und sodann regelmäßig zu erfüllen sind, umfasst.
g) Social Media 74 Das Informationsinteresse des Arbeitgebers ist grundsätzlich nicht auf die Kontrolle seiner Mitarbeiter während der Arbeitszeit beschränkt, sondern betrifft oftmals auch Informationen, die über einen Arbeitnehmer oder einen Bewerber im Internet zu finden sind. Diese reichen von digitalen Spuren in Form von IP-Adressen, Cookie-ID oder Webbrowser-Fingerprints bis hin zu inhaltlichen Informationen über den Arbeit-
186 Vgl. Ewer, AnwBl. 2011, 847; Jahn/Palm, AnwBl. 2011, 613 m. w. N. 187 Vgl. Conrad/Fechtner, CR 2013, 137, 145 (mit einem Rückschluss aus EuGH, Urt. v. 22.11.2012 – C-119/12); Kort, NStZ 2011, 193; Pohle, K&R 2013, 35, 36; siehe auch Heghmanns/Niehaus, NStZ 2008, 57, 58; Bräutigam, CR 2011, 412 f.; Gödecke/Ingwersen, VersR 2012, 1153, 1155; kritisch Rammos/Vonhoff, CR 2013, 265, 271. 188 Vgl. Kindhäuser/Neumann/Paeffgen/Kargl, § 203 Rn 21. 189 Vgl. Waßmer, MedR 2012, 522, 524; Szalai/Kopf, ZD 2012, 462, 467.
Behling
C. Zulässigkeit von Zugriffen
317
nehmer. Dabei eignen sich insbesondere soziale Netzwerke wie Facebook, Twitter, YouTube oder XING zur schnellen und einfachen Recherche.190 Es gilt jedoch zu beachten, dass diese Informationen immer auch Informationen über den konkreten Nutzer und damit generell auch personenbezogene Daten enthalten, welche durch die Vorschriften des BDSG geschützt sind, soweit diese bewusst und gewollt durch den Arbeitgeber wahrgenommen werden.191 Ihre Nutzung ist daher nur in den engen Grenzen des BDSG zulässig, die allerdings noch strengere Maßstäbe in Bezug auf die Nutzung von Social-Media-Daten erhalten dürften, falls der Entwurf zum Beschäftigtendatenschutzgesetz192 (BDSG-E) trotz sachlicher Diskontinuität tatsächlich umgesetzt werden sollte. So beschränkt insbesondere § 32 Abs. 6 BDSG-E die Informationssammlung über Bewerber in sozialen Netzwerken erheblich.193 Hinsichtlich der Einzelheiten soll indes auf die einschlägigen Ausführungen zum Umgang mit Beschäftigtendaten verwiesen werden.194
h) Intranetspezifischer Datenschutz Der intranetspezifische Datenschutz folgt aus dem TMG, falls der Arbeitgeber in 75 Bezug auf einzelne oder alle unternehmensinternen Telemediendienste (§ 1 Abs. 1 S. 1 TMG) die Privatnutzung gestattet. Dies ist, wie ausgeführt,195 Folge von § 11 Abs. 1 Nr. 1 TMG. Letztlich sind bei gestatteter Privatnutzung die §§ 11 ff. TMG zu beachten, was insbesondere dazu führt, dass §§ 13, 15 TMG Anwendung finden. Es ist daher eine Datenschutzerklärung zum Abruf bereitzuhalten und die Umsetzung von Unterrichtungs- sowie Widerspruchsrechten, etwa im Zusammenhang mit der Nutzung von Cookies, sicherzustellen. Insoweit gilt nichts Anderes als für ein öffentliches Angebot von Telemediendiensten, weshalb auf die diesbezüglichen Ausführungen verwiesen werden kann.196
190 Vgl. Hoeren/Sieber/Holznagel/Solmecke, Kap. 21.1 Rn 1 und 42; Braun, NJ 2013, 104, 106. 191 Vgl. Hoeren/Sieber/Holznagel/Solmecke, Kap. 21.1 Rn 42; Braun, NJ 2013, 104; da es sich um die Erhebung bereits gespeicherter Daten handelt, bei welchen der Übermittlungsvorgang zweifelsfrei abgeschlossen ist, ist es unerheblich, wo sich die Daten befinden, da die Erhebung durch den Arbeitgeber im Inland erfolgt, vgl. Ernst, NJOZ 2011, 953. 192 Entwurf eines Gesetzes zur Regelung des Beschäftigtendatenschutzes, BT-Drucks. 17/4230. 193 Vgl. auch Hoeren/Sieber/Holznagel/Schmitz, Kap. 21.2 Rn 46. 194 Vgl. Kap. 8 Rn 88 ff., 156 f. 195 Vgl. oben Rn 11. 196 Vgl. hierzu sogleich Kap. 7.
Behling
318
Kapitel 6 Telekommunikation im Unternehmen
V. Gestaltungshinweise 76 Vor dem Hintergrund, dass Zugriffe auf Beschäftigtendaten im TK-Kontext, wie
ausgeführt,197 mit Blick auf das Fernmeldegeheimnis häufig mit rechtlichen Herausforderungen verbunden sind, empfiehlt sich eine klare Gestaltung der TK-Nutzung. Nachfolgend sollen dafür Leitlinien an die Hand gegeben werden:
a) Striktes Verbot der privaten Nutzung
77 Die sicherste – wenn auch wenig praktikable – Möglichkeit198 für den Arbeitgeber ist
ein striktes Verbot der privaten Nutzung dienstlicher Telekommunikationsmittel.199 Einen generellen Rechtsanspruch auf Privatnutzung dienstlicher Telekommunikationsmittel hat ein Beschäftigter nämlich nicht.200
Praxistipp Das Verbot der privaten Nutzung sollte ausdrücklich geregelt werden. Dazu empfiehlt sich eine Regelung in Arbeitsverträgen oder Betriebsvereinbarungen.201
b) Qualifiziertes Verbot der privaten Nutzung
78 In Betracht kommt ferner die Regelung eines qualifizierten Verbotes der privaten
Nutzung in Form einer strikten organisatorischen und technischen Trennung zwischen dienstlicher und privater Nutzung von Telekommunikationsmitteln durch Ermöglichung von Alternativen außerhalb des dienstlichen Bereichs.202 Vorteil dieser Lösung ist die Schaffung eines Interessenausgleichs zwischen Arbeitgeber und Beschäftigten. Während dadurch dem Interesse des Beschäftigten an der privaten Nutzung von Telekommunikationsmitteln am Arbeitsplatz Rechnung getragen werden kann, stünden dem Arbeitgeber in Bezug auf den nur dienstlich genutzten Teil der Telekommunikation dieselben Zugriffsmöglichkeiten wie bei einem strikten Verbot der privaten Nutzung zu.203
197 Vgl. oben Rn 18, Praxistipp. 198 Vgl. Wybitul, ZD 2011, 69 f. 199 Vgl. Leupold/Glossner/Hegewald, Kap. 7 Rn 90; Wybitul, ZD 2011, 69, 73; Deiters, ZD 2012, 109 f.; Fülbier/Splittgerber, NJW 2012, 1995, 1996 f. 200 Vgl. Moll/Dendorfer, § 35 Rn 197; Fülbier/Splittgerber, NJW 2012, 1995, 1996 f. 201 Siehe Rn 18, Praxistipp. 202 Vgl. Leupold/Glossner/Hegewald, Kap. 8 Rn 36; Heidrich/Forgó/Feldmann/Tschoepe, Band 2, Kap. III Rn 92. 203 Vgl. BeckOK DatenSR/Riesenhuber, § 32 BDSG Rn 153.
Behling
C. Zulässigkeit von Zugriffen
319
Praxistipp Für die strikte Trennung bieten sich, neben einem ausdrücklichen Verbot der privaten Nutzung des dienstlichen E-Mail-Postfachs, verschiedene Umsetzungsmöglichkeiten an: – Die Erteilung einer Erlaubnis zur Errichtung eines eigenen Webmailers wie gmx.de, web.de, hotmail.de usw. für die private Kommunikation;204 – die Schaffung einer Möglichkeit zur Eröffnung einer zweiten dienstlichen E-Mail-Adresse allein für die private Kommunikation; – Verpflichtung zur Bildung von Ordnern für die private Kommunikation;205 dabei ist dringend eine genaue Skizzierung der Bedingungen zu empfehlen. Am geeignetsten für die Regelung eines qualifizierten Verbotes sind Betriebsvereinbarungen, da sie nach § 77 Abs. 4 S. 1 BetrVG unmittelbar und zwingend für alle Arbeitsverhältnisse gelten.206
c) Einholung von Einwilligungen Wird die private Nutzung von Telekommunikationsmitteln gestattet, kommt zur Risi- 79 kominimierung die Einholung einer Einwilligung zur Datenerhebung und -verarbeitung durch den betroffenen Mitarbeiter in Betracht.207 Durch die Einholung einer vorherigen Erlaubnis i. S. v. § 96 Abs. 3 S. 1 TKG bzw. § 12 Abs. 1 TMG lässt sich eine weitergehende Kontrolle ermöglichen.208 Dabei ist die Einwilligung mangels spezialgesetzlicher Vorgaben an § 4a BDSG auszurichten.209 Praxistipp Es empfiehlt sich zu prüfen, ob und in welchem Umfang Einwilligungserklärungen eingeholt werden können oder ggf. bereits vorliegen. Wie unlängst ausgeführt, sind Einwilligungserklärungen im Beschäftigungsverhältnis wegen der nach § 4a Abs. 1 S. 1 BDSG erforderlichen Freiwilligkeit nicht unumstritten. Es ist deshalb bei der Formulierung der Einwilligungserklärung darauf zu achten, dass ein besonderes Schwergewicht auf die Entscheidungsautonomie des Beschäftigten gelegt wird. Dies lässt sich etwa durch spezielle Widerrufsrechte oder ein aufschiebend bedingtes Wirksamwerden der Einwilligungserklärung ermöglichen. So wird der Beschäftigte durch ein aufschiebend bedingtes Wirksamwerden in die Lage versetzt, seine Entscheidung, in eine bestimmte Datenverarbeitung einzuwilligen, noch einmal zu überdenken, wobei die entsprechende Frist ausreichend lang gefasst sein sollte.
Dadurch, dass das Fernmeldegeheimnis beide Seiten des Telekommunikationsvor- 80 ganges schützt, muss in diesem Bereich grundsätzlich eine Einwilligung sowohl vom
204 Vgl. auch Moll/Dendorfer, § 35 Rn 97; Wybitul, ZD 2011, 69, 73; Niemeyer, CB 2013, 133, 135. 205 Vgl. auch BeckOK DatenSR/Riesenhuber, § 32 BDSG Rn 153. 206 Vgl. Barth, MMR 2009, XXIV f. 207 A. A. Schmidl, MMR 2005, 343, 344 u. 346, der weder eine generelle Einwilligung in die Filterung seitens des Arbeitgebers noch eine einseitige Einwilligung des Empfängers ausreichen lassen möchte. 208 Vgl. Grobys/Panzer/Panzer-Heemeier, Kap. 76 Rn 32. 209 Vgl. Gola/Schomerus, § 4a Rn 18; v. Westphalen/Thüsing/Munz, Datenschutzklauseln Rn 86.
Behling
320
Kapitel 6 Telekommunikation im Unternehmen
Absender als auch Empfänger vorliegen.210 Entgegen teilweise vertretener Ansicht211 muss diese jedoch nicht ausdrücklich erteilt werden. Dementsprechend kommen sowohl konkludente als auch mutmaßliche Einwilligungen in Betracht.212 Dies gilt insbesondere im Bereich von E-Mail-Kommunikation an betriebliche E-Mail-Adressen, wenn sich aus der Gestaltung der E-Mail-Adresse ihre betriebliche Herkunft ergibt; dann wird der jeweilige Kommunikationspartner in der Regel damit rechnen müssen, dass auch andere Personen als der jeweilige Adressat Kenntnis nehmen können oder werden, weshalb eine dahingehende konkludente Einwilligung durch ihn angenommen werden kann.213 Etwas Anderes gilt freilich dann, wenn er seine Kommunikation als persönlich oder vertraulich kennzeichnet. Er bringt damit zum Ausdruck, dass er eine Kenntnisnahme durch andere Personen als den oder die Adressaten ausdrücklich nicht wünscht.214 Die Form der Einwilligung ist im Gegensatz zu den inhaltlichen Anforderungen 81 an keine starren Regeln gebunden, d. h. sie ist generell formfrei möglich.215 Es empfiehlt sich trotzdem, das grundsätzlich bestehende Schriftformerfordernis des § 4a Abs. 1 S. 3 BDSG möglichst umzusetzen.216 Dadurch bietet sich u. a. die Möglichkeit, Einwilligungsklauseln in den Arbeitsvertrag aufzunehmen, wenngleich diese drucktechnisch besonders hervorzuheben sind (§ 4a Abs. 1 S. 4 BDSG) und aus Gründen der Rechtssicherheit gesondert durch den Beschäftigten gegengezeichnet werden sollten. In Betracht kommen zudem mündliche oder konkludente Einwilligungserklärungen des Beschäftigten,217 obschon sich bei allein darauf gestützter Datenverarbeitung in der Regel letzte rechtliche Unsicherheiten nicht ausschließen lassen.218
210 Vgl. BVerfG, Beschl. v. 25.3.1992 – 1 BvR 1430/88 – NJW 1992, 1875, 1876; OLG Karlsruhe, Beschl. v. 10.1.2005 – 1 Ws 152/04 – MMR 2005, 178, 180; Hoeren/Sieber/Holznagel/Deutlmoser/Filip, Kap. 16.6 Rn 105; Kempermann, ZD 2012, 12, 13; a. A. Sassenberg/Mantz, BB 2013, 889, 891 f. 211 Vgl. Hoeren/Sieber/Holznagel/Helfrich, Kap. 16.1 Rn 59. 212 Vgl. BfDI, Datenschutzrechtliche Grundsätze bei der dienstlichen/privaten Internet- und E-MailNutzung, Stand: Januar 2008, Ziff. 1, abrufbar unter http://www.bfdi.bund.de/SharedDocs/Publikationen/Arbeitshilfen/LeitfadenInternetAmArbeitsplatzneu.pdf?__blob=publicationFile; differenzierend Sassenberg/Mantz, BB 2013, 889, 891f, die eine mutmaßliche Einwilligung nicht ausreichen lassen wollen. 213 Grobys/Panzer/Panzer-Heemeeier, Kap. 76 Rn 34; Sassenberg/Mantz, BB 2013, 889, 891. 214 Vgl. Behling, CB 2013, 265, 267 m. w. N. 215 Vgl. Hoeren/Sieber/Holznagel/Deutlmoser/Filip, Kap. 16.6 Rn 113. 216 Gola/Schomerus, § 4a Rn 18. 217 Vgl. Hoeren/Sieber/Holznagel/Deutlmoser/Filip, Kap. 16.6 Rn 113. 218 Vgl. Seel, der eine pauschale Einwilligung für äußerst fraglich hält und eine auf den Einzelfall bezogene schriftliche Einwilligungserklärung des betroffenen Arbeitnehmers präferiert, vgl. öAT 2013, 4, 6; ebenso Mengel, Kap. 4 Rn 16.
Behling
C. Zulässigkeit von Zugriffen
321
Praxistipp Auch wenn konkludente und mündliche Einwilligungserklärungen praktisch möglich sind, ist aus Beweisgründen dringend davon abzuraten.219
d) Betriebsvereinbarungen als Ausnahme von § 88 Abs. 3 S. 3 TKG Jedenfalls bei Eingreifen des Fernmeldegeheimnisses umstritten,220 im Ergebnis 82 aber zustimmungswürdig ist die Möglichkeit der Legitimation eines Zugriffs auf Kommunikationsdaten mittels Betriebsvereinbarung. Auch wenn Betriebsvereinbarungen wegen des sog. kleinen Zitiergebotes221 nicht ohne Weiteres als Erlaubnistatbestand i. S. v. § 88 Abs. 3 S. 3 TKG in Betracht kommen, erscheint die Legitimationswirkung jedenfalls in Ausnahmefällen naheliegend und im Übrigen auch praxisgerecht. Dies wurde unlängst im Zusammenhang mit der Nutzung von Spamfiltern und Antivirenprogrammen dargelegt.222 Zwischen Arbeitgeber und Beschäftigten besteht, wenn überhaupt, ein modifiziertes Diensteanbieterverhältnis.223 Um den Besonderheiten im Beschäftigungsverhältnis gerecht zu werden, kann es im Einzelfall interessengerecht sein, die gem. § 77 Abs. 4 S. 1 BetrVG unmittelbar und zwingend geltenden Betriebsvereinbarungen innerhalb des Beschäftigungsverhältnisses als von § 88 Abs. 3 S. 3 TKG erfasste gesetzliche Ausnahmevorschriften anzusehen. Praxistipp Aufgrund ihrer unmittelbaren und zwingenden Geltung lassen sich durch Betriebsvereinbarung insbesondere die notwendigen Grenzen der privaten Nutzung als Minimalstandard im Unternehmen regeln, explizit die Klarstellung des Verbots jeglicher illegaler Kommunikation, d. h. die Unzulässigkeit der gegen geltende Rechtsvorschriften verstoßenden Nutzung, sowie die Auferlegung der Verpflichtung zur Einhaltung allgemeiner Sicherheitsstandards.224
219 Vgl. Hoeren/Sieber/Holznagel/Deutlmoser/Filip, Kap. 16.6 Rn 113. 220 Falls lediglich das BDSG zu beachten ist, steht die legitimierende Wirkung indes außer Frage; es bestehen aber auch dann zu beachtende Besonderheiten, vgl. oben Rn 52. 221 Vgl. oben Rn 56. 222 Vgl. oben Rn 52. 223 So Deiters, ZD 2012, 109, 112f; a. A. Moll/Dendorfer, § 35 Rn 203. 224 Vgl. Leupold/Glossner/Hegewald, Kap. 8 Rn 26 f.; Niemeyer, CB 2013, 133, 135.
Behling
Kapitel 7 Die Website – Datenschutzerklärung, Impressum & Co. A. Einleitung Betreiber von Websites, Mobile Apps und anderen Internetangeboten unterliegen zahl- 1 reichen gesetzlichen Informationspflichten gegenüber den Nutzern. Hierbei handelt es sich zum einen um Pflichten, die einigen Betreibern in ihrer Funktion als Unternehmer im Geschäftsverkehr aufgrund der Verwendung besonderer Vertriebsformen des Fernabsatzes im elektronischen Geschäftsverkehr auferlegt werden (§ 312e BGB, Art. 246 EGBGB). Zum anderen unterliegt jeder Betreiber von Websites Pflichten nach dem TMG, die an die Betreibereigenschaft als solche anknüpfen und üblicherweise in Datenschutzerklärung und Impressum eines Internetangebotes umgesetzt werden. Dieses Kapitel widmet sich letzteren Informationspflichten. Neben Intention, 2 Rechtsgrundlagen, Adressaten und der formalen Ausgestaltung werden insbesondere ihre praktische inhaltliche Umsetzung sowie mögliche Haftungsrisiken bei Nichteinhaltung der Anforderungen erörtert.
B. Datenschutzerklärung I. Ausgangslage Betreiber von Internetangeboten müssen ihre Nutzer über die bei der Nutzung statt- 3 findenden Erhebungen, Verarbeitungen und Nutzungen personenbezogener Daten zu Beginn des Nutzungsvorgangs unterrichten.1 Insofern hat es sich mittlerweile etabliert, der Unterrichtungspflicht auf Websites in Gestalt einer Datenschutzerklärung nachzukommen. Diese Entwicklung ist aus datenschutzrechtlicher Sicht zu begrüßen; nichtsdes- 4 totrotz zeigt sich in der anwaltlichen Praxis, dass Datenschutzerklärungen – sofern sie denn vorhanden sind – häufig fehlerhaft, lückenhaft, missverständlich und/oder für den Nutzer nur schwer auffindbar sind. Grund dafür ist oftmals, dass die Betreiber von Internetangeboten auf vermeintlich allgemeingültige Muster für Datenschutzer-
1 Vgl. § 13 Abs. 1 TMG.
Post
324
Kapitel 7 Die Website – Datenschutzerklärung, Impressum & Co.
klärungen zurückgreifen, die nicht an die etwaig vorhandenen Besonderheiten des eigenen Internetangebotes angepasst werden.2 5 Dies gilt es unbedingt zu vermeiden, da Verstöße gegen die fraglichen Informationspflichten zum einen bußgeldbewehrt sind3 und zum anderen gerade im B2CBereich erhebliche Reputationsrisiken auslösen können. Folglich empfiehlt es sich, die nachfolgend näher erläuterten Anforderungen bei der Ausgestaltung von Datenschutzerklärung und Impressum zu beachten.
II. Intention und Rechtsgrundlagen 6 Die Einbindung einer Datenschutzerklärung in Unternehmenswebsites dient der Her-
stellung von Transparenz für die Nutzer in Bezug auf die dort stattfindenden Datenverarbeitungen.4 Vereinfacht ausgedrückt soll der Nutzer abschätzen können, wer wann was über ihn erfährt.5 Grundsätzlich kann eine Datenschutzerklärung, die teilweise auch als Daten7 schutzhinweis, Privacy Policy oder Privacy Statement bezeichnet wird,6 auch auf freiwilliger Basis in ein Internetangebot integriert werden,7 um Vertrauen durch Aufklärung bei den Nutzern herzustellen.8 In der Regel wird eine Datenschutzerklärung aber in erster Linie zur Erfüllung der einem Websitebetreiber obliegenden Informationspflichten, insbesondere nach §§ 13 Abs. 1 S. 1, 15 Abs. 3 TMG, in eine Website eingebunden.9 Diese Regelungen sind für datenschutzrechtliche Sachverhalte in Bezug auf Online-Dienste gegenüber solchen des BDSG vorrangig anzuwenden.10 Insgesamt gilt indes, dass auch die datenschutzrechtlichen Normen des TMG nur 8 für Erhebungen, Verarbeitungen und Nutzungen sog. personenbezogener Daten gelten. Solche Daten liegen vor, wenn Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person betroffen sind. Hierbei handelt es sich um Informationen, die entweder unmittelbar oder mittelbar die Identifikation einer Person zulassen.11 Dies schließt gleichwohl nicht aus, dass
2 Folglich haben wir auf die Darstellung eines vermeintlich allgemeingültigen Musters verzichtet. Angesichts der unzähligen verschiedenen Möglichkeiten, Internetangebote insbesondere auch technisch auszugestalten, ist dies u. E. nicht darstellbar. 3 Vgl. insbesondere § 16 Abs. 2 Nr. 2 TMG. 4 Hoeren/Sieber/Holznagel/Schmitz, Teil 16.2 Rn 140. 5 Spindler/Schuster/Spindler/Nink, § 13 TMG Rn 3. 6 So auch Taeger/Gabel/Moos, § 13 TMG Rn 9. 7 Wintermeier, ZD 2013, 21, 22 m. w. N. 8 Heidrich/Forgó/Feldmann/Arning/Haag, C. Kap. II Rn 23. 9 Heidrich/Forgó/Feldmann/Arning/Haag, C. Kap. II Rn 27. 10 Vgl. § 1 Abs. 3 S. 1 BDSG. 11 Simitis/Dammann, § 3 Rn 4.
Post
B. Datenschutzerklärung
325
in einer Datenschutzerklärung auch andere, nicht personenbezogene Datenerhebungen, -verarbeitungen und -nutzungen Erwähnung finden, um den Nutzer unter Transparenzaspekten möglichst umfassend zu informieren.12 Praxistipp Bei klassischen Personenstammdaten, wie beispielsweise Name, Adresse, Geburtsdatum o. Ä., ist der Personenbezug zumeist unmittelbar ersichtlich. Selbst wenn dieser nicht ad hoc zu erkennen ist, kann ein Personenbezug dennoch bejaht werden, sofern dieser – wie etwa bei statischen IP-Adressen – ohne Weiteres herstellbar ist.13 Für dynamische IP-Adressen wird ein Personenbezug seit langer Zeit kontrovers diskutiert und teilweise mit der Argumentation bejaht, man könne dynamische IP-Adressen durch ein Auskunftsersuchen bei dem jeweiligen Provider einer Person zuordnen, sodass jedenfalls mittelbar die Identifikation einer Person möglich sei.14 Der EuGH ist dieser Argumentation in einem Urteil vom 24.11.2011 gefolgt und hat den Personenbezug von dynamischen IP-Adressen nun erstmals obergerichtlich bestätigt.15 Im Zuge der stetigen Zunahme mobil genutzter Dienste beispielsweise in Form von Mobile Apps erhält auch die Möglichkeit der Bestimmung des Standorts einer Person z. B. mittels GPS-Signals oder durch die Einwahl in bestimmte regionale Funknetze eine ständig wachsende Bedeutung; die damit einhergehenden Datenerhebungen und -verarbeitungen können abhängig vom jeweiligen Detaillierungsgrad daher auch personenbezogen sein.16 Alle im Zusammenhang mit einem Internetangebot stattfindenden Datenerhebungen, -verarbeitungen und -nutzungen sollten daher kritisch auf ihre Personenbezogenheit geprüft werden, um das etwaige Bestehen einer Informationspflicht feststellen zu können.
III. Adressaten Laut § 13 Abs. 1 S. 1 TMG sind Diensteanbieter von Telemedien zur Unterrichtung 9 des Nutzers verpflichtet. Zur Einbindung einer Datenschutzerklärung ist derjenige verpflichtet, der seinen Unterrichtungspflichten nicht auf andere Weise nachkommt.
1. Diensteanbieter Nach der gesetzlichen Definition des § 2 S. 1 Nr. 1 TMG ist Diensteanbieter „jede natür- 10 liche oder juristische Person, die eigene oder fremde Telemedien zur Nutzung bereithält
12 Heidrich/Forgó/Feldmann/Arning/Haag, C. Kap. II Rn 27. 13 Simitis/Dammann, § 3 Rn 63. 14 Simitis/Dammann, § 3 Rn 63; im Ergebnis wohl auch bejahend LG Berlin, Urt. v. 31.1.2013 – 57 S 87/08 – ZD 2013, 618, jedoch die Problematik verdeutlichend aufgrund der verschiedenen Anmerkungen durch Mantz, 624 ff. sowie Meyerdierks/Gendelev, 626 ff. 15 Rs. C-70/10 Rn 51. 16 Sachs/Meder, ZD 2013, 303, 304; dagegen Simitis/Dammann, § 3 Rn 69 und 58–60.
Post
326
Kapitel 7 Die Website – Datenschutzerklärung, Impressum & Co.
oder den Zugang zur Nutzung vermittelt […]“. Im Sinne eines weiten Verständnisses17 ist danach bereits derjenige Diensteanbieter, der jede Art von Angebot, sei es gewerblich oder ideell, zur Nutzung bereithält.18 Praxistipp Diensteanbieter von Telemedien ist nach dieser Begriffsdefinition nicht nur derjenige, der Inhalte auf eigenen Servern bereitstellt, sondern auch derjenige, der fremde Server zur Bereitstellung von Inhalten nutzt.19 Folglich ist sowohl derjenige Diensteanbieter von Telemedien, der ein Portal betreibt, auf dem etwa verschiedene Dienstleistungen angeboten werden.20 Gleichwohl ist aber auch derjenige, der eine Dienstleistung anbietet und diese in dem Portal einstellt, unter die Definition zu subsumieren.21
2. Telemedium
11 Weiterhin stellt sich die Frage, was unter den Begriff des Telemediums zu fassen
ist. Der Wortlaut der gesetzlichen Definition des § 1 Abs. 1 S. 1 TMG hilft insoweit nur begrenzt weiter. Danach „[gilt das TMG] für alle elektronischen Informations- und Kommunikationsdienste, soweit sie nicht Telekommunikationsdienste nach § 3 Nr. 24 des Telekommunikationsgesetzes, die ganz in der Übertragung von Signalen über Telekommunikationsnetze bestehen, telekommunikationsgestützte Dienste nach § 3 Nr. 25 des Telekommunikationsgesetzes oder Rundfunk nach § 2 des Rundfunkstaatsvertrages sind“. Vereinfacht ausgedrückt sind Telemedien also alle Informations- und Kommunikationsdienste („IuK-Dienste“), die weder Telekommunikation, telekommunikationsgestützte Dienste noch Rundfunk darstellen. Zunächst ist der Begriff des Telemediums folglich von dem Bereich der Telekom12 munikation abzugrenzen.22 Das bedeutet, dass die elektronische Bereitstellung nicht dem Bereich der Übertragung zuzuordnen sein darf. Vielmehr muss eine elektronische Bereitstellung von Inhalten erfolgen.23 Daneben ist auch eine Abgrenzung zum Rundfunk erforderlich. Dies bedeutet, 13 dass jedenfalls herkömmlicher Rundfunk, Live-Streaming von Rundfunkprogrammen über das Internet und Webcasting als ausschließliche Übertragung von her-
17 Damit Art. 2 lit. b E-Commerce-Richtline entsprechend, Spindler/Schuster/Holznagel/Ricke, § 2 TMG Rn 2; Karg, ZD 2013, 371, 374. 18 Vgl. Spindler/Schuster/Holznagel/Ricke, § 2 TMG Rn 2. 19 Spindler/Schuster/Holznagel/Ricke, § 2 TMG Rn 2. 20 Spindler/Schuster/Holznagel/Ricke, § 2 TMG Rn 2. 21 LG München I, Urt. v. 3.2.2005 – 7 O 11682/04 – ZUM-RD 2005, 584. 22 Vgl. Spindler/Schuster/Holznagel/Ricke, § 1 TMG Rn 4. 23 Vgl. Spindler/Schuster/Holznagel/Ricke, § 1 TMG Rn 4.
Post
B. Datenschutzerklärung
327
kömmlichen Rundfunkprogrammen im Internet grundsätzlich keine Telemedien darstellen.24 Legt man dies zugrunde, unterfallen alle diesen Voraussetzungen genügenden 14 IuK-Dienste dem Begriff des Telemediums. Dabei handelt es sich grundsätzlich um Dienste, die elektronisch in Form von Bild-, Text- oder Toninhalten bereitgestellt werden.25 Beispiel Der Begrifflichkeit des Telemediums unterfallen danach u. a. Online-Angebote von Waren und Dienstleistungen mit unmittelbarer Bestellmöglichkeit. Dazu zählen insbesondere Angebote von Verkehrs-, Wetter-, Umwelt- oder Börsendaten, News-Groups o. Ä., aber auch Online-Dienste, die Instrumente zur Datensuche, zum Zugang zu Daten oder zur Datenabfrage bereitstellen.26 Unerheblich ist dabei, ob die Online-Dienste direkt über das Internet oder etwa über eine Mobile App zur Verfügung gestellt werden.27 Nicht dazu gehören dagegen all die Dienste, die offline angeboten werden, etwa auf CDROM.28
IV. Formale Anforderungen Nach § 13 Abs. 1 S. 1 TMG ist der Nutzer grundsätzlich „zu Beginn des Nutzungs- 15 vorgangs […] zu unterrichten“. Der Nutzungsvorgang beginnt zu dem Zeitpunkt, an dem der Nutzer ein Internetangebot „betritt“.29 Folgte man diesbezüglich streng dem Wortlaut des Gesetzes, müsste eine Unterrichtung spätestens mit dem Aufrufen eines Internetangebotes erfolgen. Eine Datenschutzerklärung müsste demnach so platziert sein, dass sie vor bzw. zeitgleich mit dem Erreichen einer Website dem Nutzer zur Kenntnis gelangen würde. Dies ist z. B. dadurch zu ermöglichen, dass die Datenschutzerklärung jeweils die „Startseite“ eines Webangebotes darstellt. Die genannte Vorgehensweise würde das „Surfen“ im Internet indes erheblich 16 verlangsamen und für den Nutzer umständlich machen. Infolgedessen ist davon auszugehen, dass es als ausreichend erachtet werden kann, einen entsprechenden Hyperlink in der Website zu integrieren, der auf eine HTML-Seite verweist.30 Durch diese Verfahrensweise wird auch die Anforderung des § 13 Abs. 1 S. 3 TMG erfüllt, wonach eine Unterrichtung jederzeit abrufbar sein muss. Ob die Unterrichtung über
24 Vgl. Spindler/Schuster/Holznagel/Ricke, § 1 TMG Rn 9. 25 Vgl. BT-Drucks. 16/3078, S. 13. 26 Vgl. Rockstroh, MMR 2013, 627, 628. 27 Siehe zu der Anwendung bei Mobile Apps Sachs/Meder, ZD 2013, 303, 304. 28 Vgl. Spindler/Schuster/Holznagel/Ricke, § 1 TMG Rn 11. 29 Vgl. Taeger/Gabel/Moos, § 13 TMG Rn 10. 30 So auch Martinek/Semler/Habermeier/Flohr/Krüger/Biehler, § 33 Rn 72; Spindler/Schuster/Spindler/Nink, § 13 TMG Rn 5 m. w. N.
Post
328
Kapitel 7 Die Website – Datenschutzerklärung, Impressum & Co.
ein Pop-Up-Fenster den Anforderungen des § 13 Abs. 1 S. 1 TMG genügen kann, ist umstritten.31 Dies wird mitunter abgelehnt,32 da die Aktivierung eines Pop-Up-Blockers in dem Browser des Nutzers nicht ausgeschlossen werden könne, sodass diesem die Datenschutzerklärung nicht angezeigt würde. Wählt man dessen ungeachtet die Unterrichtung über ein Pop-Up-Fenster, empfiehlt es sich, eine Maßnahme zu treffen, die das weitere „Surfen“ auf der Website bei Einsatz eines Pop-Up-Blockers nicht zulässt.33 Praxistipp In der Praxis hat sich durchgesetzt, die Datenschutzerklärung über einen Hyperlink in der Fußleiste der Website eines Internetangebots jederzeit abrufbar zu halten.34 Dies lässt sich grundsätzlich als ausreichend ansehen, soweit tatsächlich jede Website des Internetangebots die entsprechende Fußleiste aufweist und die Datenschutzerklärung eindeutig bezeichnet ist.35 Sie darf dagegen nicht lediglich mit „rechtliche Hinweise“ überschrieben werden oder als bloßer Unterpunkt im Impressum enthalten sein. Für den verständigen Nutzer muss vielmehr bereits aus der Bezeichnung des Hyperlinks hervorgehen, dass es sich um Hinweise zum Datenschutz handelt.36
V. Inhaltliche Gestaltung 17 Die inhaltliche Gestaltung einer Datenschutzerklärung richtet sich zunächst nach den
zwingenden gesetzlichen Anforderungen der §§ 13 Abs. 1 und 15 Abs. 3 TMG (hierzu unten 1., Rn 18). Darüber hinaus können auf freiwilliger Basis – zur Herstellung eines größtmöglichen Vertrauensverhältnisses mit dem Nutzer – noch weitere Angaben hinzugefügt werden (hierzu unten 2., Rn 41).
1. Zwingende gesetzliche Anforderungen a) Allgemeine inhaltliche Gestaltungsanforderungen 18 Allgemeine inhaltliche Anforderungen an die Form einer Unterrichtung, wie u. a. die Gestaltung einer Datenschutzerklärung, finden sich in § 13 Abs. 1 S. 3 TMG. Darin heißt es, dass der Anbieter den Nutzer „in allgemein verständlicher Form zu unterrichten“ hat. Eine allgemeine Verständlichkeit der Datenschutzerklärung liegt grundsätzlich vor, sofern diese in deutscher Sprache abgefasst und für den durchschnittli-
31 Dafür Müller-Broich, § 13 Rn 3; dagegen Spindler/Schuster/Spindler/Nink, § 13 TMG Rn 5. 32 Spindler/Schuster/Spindler/Nink, § 13 TMG Rn 5. 33 Grundlegend hierzu Spindler/Schuster/Spindler/Nink, § 13 TMG Rn 5. 34 Leupold/Glossner/Scheja/Haag, Teil 5 Rn 438. 35 Leupold/Glossner/Scheja/Haag, Teil 5 Rn 438. 36 Hierzu insgesamt Leupold/Glossner/Scheja/Haag, Teil 5 Rn 438.
Post
B. Datenschutzerklärung
329
chen Nutzer einfach und verständlich gehalten worden ist.37 Darüber hinaus muss die Erklärung dem Nutzer auch einen tatsächlichen Erklärungswert bieten. Pauschale Erläuterungen, wie „Wir verarbeiten Ihre Daten in Einklang mit den Bestimmungen des deutschen Datenschutzrechts“, genügen deshalb nicht.38 Praxistipp Zwecks besserer Verständlichkeit einer Datenschutzerklärung für die Allgemeinheit sollte davon Abstand genommen werden, diese in juristischer Fachsprache abzufassen. Auch die Verwendung zahlreicher Fremdwörter sowie technischer Termini sollte – jedenfalls, wenn diese nicht noch näher erläutert werden – vermieden werden. Es ist vielmehr zu empfehlen, solche Formulierungen zu wählen, die für den durchschnittlichen Nutzer einer Website ohne Weiteres verständlich sind. Dieses Erfordernis setzt allerdings nicht voraus, dass die Datenschutzerklärung besonders kurz gehalten werden muss. Vielmehr muss sie dem Umfang der auf einer Website stattfindenden Datenerhebungen, -verarbeitungen und -nutzungen stets vollumfänglich gerecht werden.39
Gemäß den Voraussetzungen des § 13 Abs. 1 S. 1 TMG muss der Nutzer überdies bezüg- 19 lich „Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten [unterrichtet werden]“. Diese Unterrichtung hat wahr und vollständig zu sein.40 Von dem Begriff des Umfangs der Erhebung und Verwendung ist in diesem Zusammenhang u. a. die Weitergabe von Daten an andere Gesellschaften umfasst, selbst wenn es sich um Konzerngesellschaften desselben Konzerns handeln sollte. Praxistipp Je nach Internetangebot werden häufig folgende Übermittlungen der Unterrichtungspflicht unterfallen: – Weitergabe an Ratingagenturen zur Abfrage der Kundenbonität; – Weitergabe der Daten an Schwestergesellschaften zur zentralen Bearbeitung; – Weitergabe der Daten an sonstige Dienstleister.
Zudem sind die konkreten Datenarten (Name, Anschrift, Telefonnummer etc.) in 20 der Datenschutzerklärung jedenfalls beispielhaft zu benennen, eine Angabe von Oberbegriffen reicht insofern nicht aus.41 Eine Unterrichtung über den Ort der Datenverarbeitung hat nur dann zwingend 21 zu erfolgen, wenn die Datenverarbeitung außerhalb der EU bzw. des EWR erfolgt.42
37 Spindler/Schuster/Spindler/Nink, § 13 TMG Rn 5 m. w. N. 38 Vgl. Spindler/Schuster/Spindler/Nink, § 13 TMG Rn 5. 39 Zum Ganzen auch Taeger/Gabel/Moos, § 13 Rn 8; Wintermeier, ZD 2013, 21, 22. 40 Taeger/Gabel/Moos, § 13 Rn 5; vgl. § 16 Abs. 2 Nr. 2 TMG. 41 Taeger/Gabel/Moos, § 13 Rn 5. 42 Vgl. § 13 Abs. 1 S. 1 TMG, der eine Informationspflicht für solche Datenverarbeitungen vorsieht, die außerhalb des Anwendungsbereichs der EG-Richtlinie 95/46/EG erfolgen.
Post
330
Kapitel 7 Die Website – Datenschutzerklärung, Impressum & Co.
Praxistipp Vor der Erstellung einer Datenschutzerklärung müssen zunächst alle gesonderten, auf einer Website stattfindenden Datenerhebungen, -verarbeitungen und -nutzungen umfassend recherchiert werden.43 Nur bei Vorliegen einer erschöpfenden Übersicht ist die Erstellung einer rechtskonformen Datenschutzerklärung möglich. Dabei ist zu berücksichtigen, dass nicht nur offensichtlich erfolgende Datenerhebungen, -verarbeitungen und -nutzungen aufzunehmen sind, sondern auch solche, die beispielsweise allein durch das „Surfen“ auf der Website, etwa durch den Einsatz von Cookies, erfolgen (s. u. Rn 26).
b) Darstellung einzelner Datenverarbeitungen
22 Bei der Erstellung einer Datenschutzerklärung ist besonders darauf zu achten, dass
trotz der Vielzahl von auf einer Website stattfindenden Datenverarbeitungen die Übersichtlichkeit für den Leser gewährleistet wird.44 Mithin ist es grundsätzlich empfehlenswert, die einzelnen Datenerhebungen, -verarbeitungen und -nutzungen entweder nach ihrem Zweck (z. B. Erbringung von Leistungen, Werbung) und/oder aber nach technischen Gegebenheiten45 zu gliedern (z. B. Datenerhebung beim bloßen „Surfen“, Datenerhebungen bei Registrierung oder Bestellung). Beispiel Auf einer Website können sowohl Produkte bezogen als auch Veranstaltungen gebucht werden. Dabei muss der Kunde zwingend Vorname, Name und E-Mail-Adresse mitteilen. Die Angabe der Anschrift erfolgt optional. Außerdem werden die Daten auf deutschen Servern des Diensteanbieters gespeichert, eine Weitergabe an Dritte findet nicht statt. Die Unterrichtung hinsichtlich der Daten, die beim Ausfüllen des Kontaktformulars auf der Website angefordert werden, könnte wie folgt lauten: „Sofern Sie über unser Kontaktformular Kontakt mit uns aufnehmen möchten, um sich über Produkte und/oder Veranstaltungen zu informieren und/oder allgemeine Fragen zu stellen, müssen Sie hierzu Ihren Vornamen, Ihren Namen und Ihre E-Mail-Adresse angeben. Zusätzlich können Sie auch Ihre Anschrift angeben, soweit Sie eine postalische Antwort bekommen möchten. Wir erheben, verarbeiten und nutzen Ihre Daten nur, um Ihre jeweilige Anfrage beantworten zu können; eine anderweitige Datenverwendung findet nicht statt.“46
43 Vgl. Taeger/Gabel/Moos, § 13 Rn 5. 44 Taeger/Gabel/Moos, § 13 Rn 8. 45 Wintermeier, ZD 2013, 21, 22. 46 Dieser Passus kann indes nur dann in eine Datenschutzerklärung aufgenommen werden, wenn er auch den tatsächlichen Gegebenheiten entspricht, da stets die „inhaltliche Richtigkeit“ der Unterrichtung sicherzustellen ist, vgl. § 16 Abs. 2 Nr. 2 TMG. Er muss je nach Art und Umfang den auf einer Website stattfindenden Datenerhebungen, -verarbeitungen und -nutzungen individuell angepasst werden.
Post
B. Datenschutzerklärung
331
Einen Sonderfall stellt hingegen die einwilligungsbasierte Datenerhebung, -verar- 23 beitung und -nutzung dar, die in der Regel zu Zwecken der Werbung (etwa Versand von Newslettern mit Produktinformationen) und der Marktforschung erfolgt.47 Sofern ein Diensteanbieter Daten auf Grundlage von Einwilligungserklärungen48 24 erhebt, verarbeitet und nutzt, ist er gem. § 13 Abs. 3 S. 1 i. V. m. Abs. 2 Nr. 4 TMG zusätzlich verpflichtet, die Nutzer auf ihr jederzeitiges Widerrufsrecht mit Wirkung für die Zukunft bezüglich der erteilten Einwilligung hinzuweisen. Im Unterschied zu den sonstigen Informationspflichten des § 13 Abs. 1 TMG muss der Hinweis auf das Widerrufsrecht zwingend erst unmittelbar vor Erklärung der Einwilligung und damit nicht notwendigerweise bereits bei Beginn des Nutzungsvorgangs erteilt werden, sodass dieser nicht in der Datenschutzerklärung erfolgen muss.49 Es kann vielmehr auch eine gesonderte Information über das Widerrufsrecht im Einwilligungsprozess, unmittelbar vor Abgabe der Einwilligung, stattfinden. Nichtsdestotrotz sollte ein Hinweis auf das jederzeitige Widerrufsrecht regelmäßig auch in der Datenschutzerklärung erfolgen. Dies dient einerseits der Transparenz für den Nutzer. Zum anderen muss der Inhalt der Unterrichtung über das Widerrufsrecht für den Nutzer jederzeit abrufbar sein (§ 13 Abs. 3 S. 2 i. V. m. Abs. 1 S. 3 TMG), was eben auch durch Einbindung in die Datenschutzerklärung erfolgen kann. Beispiel Auf vielen Websites findet man die folgende oder eine ähnliche Gestaltungsweise von Einwilligungserklärungen: „Bitte senden Sie mir den Newsletter (XY) zu. In die Datenschutzerklärung [Link] willige ich ein. Die Einwilligung kann ich jederzeit mit Wirkung für die Zukunft widerrufen.“ In der Datenschutzerklärung selbst wird dann jedoch das Widerrufsrecht des Nutzers nicht noch einmal erläutert. Diese Form der Gestaltung einer Einwilligungserklärung, einschließlich des Hinweises auf das Widerrufsrecht, ist in zweierlei Hinsicht risikobehaftet. Zunächst ist schon fraglich, ob die pauschale Einwilligung in die Datenschutzerklärung, die nur über einen Link zu erreichen ist, für das Vorliegen einer informierten Einwilligung i. S. d. § 4a BDSG ausreicht. Des Weiteren ist ohne die Aufnahme des Widerrufsrechts in die Datenschutzerklärung eine jederzeitige Abrufbarkeit der entsprechenden Unterrichtung häufig nicht gewährleistet.
In diesem Zusammenhang sei überdies angemerkt, dass allein das Einstellen einer 25 den rechtlichen Anforderungen des TMG genügenden Datenschutzerklärung für die Umsetzung rechtmäßiger Erhebungen und Verwendungen von personenbezogenen
47 Vgl. § 28 Abs. 3 S. 1 BDSG. 48 Auch an die Gestaltung insbesondere elektronischer Einwilligungserklärungen (§§ 4a, 28 Abs. 3a BDSG, § 13 Abs. 2 TMG) werden besondere gesetzliche Anforderungen gestellt, deren Erläuterung jedoch den Rahmen dieses Beitrags sprengen würden, sodass wir an dieser Stelle auf eine umfassende Erörterung verzichtet haben und insoweit auf die allgemeine Kommentarliteratur verweisen möchten. 49 So wohl auch Müller-Broich, § 13 Rn 5.
Post
332
Kapitel 7 Die Website – Datenschutzerklärung, Impressum & Co.
Daten durch Unternehmen nicht ausreicht.50 So gilt im Datenschutzrecht (vgl. § 4 Abs. 1 BDSG; § 12 Abs. 1 TMG) grundsätzlich ein sog. Verbot mit Erlaubnisvorbehalt.51 Dies bedeutet, dass jede Erhebung, Verarbeitung und Nutzung personenbezogener Daten für ihre Rechtmäßigkeit entweder der Einwilligung der betroffenen Person oder des Vorliegens einer gesetzlichen Erlaubnis bedarf. Daher ist vor der Erstellung einer Datenschutzerklärung grundsätzlich zu prüfen, ob die auf der Website erfolgenden Datenerhebungen, -verarbeitungen und -nutzungen legitimiert sind. Hierbei sind insbesondere die nach § 28 Abs. 3 S. 1 BDSG sowie § 7 Abs. 2 UWG bestehenden Einwilligungserfordernisse und deren konkrete Ausgestaltung bei der Verarbeitung und Nutzung personenbezogener Daten zum Zwecke der Werbung zu beachten, die allein durch eine rechtskonforme Datenschutzerklärung nicht erfüllt werden können.52
c) Cookies, Web-Bugs und ähnliche Verfahren
26 Ob die Verwendung von Cookies, jedenfalls sofern diese (statische) IP-Adressen spei-
chern, bereits eine Informationspflicht des Websitebetreibers aufgrund eines vorhandenen Personenbezugs gem. § 13 Abs. 1 S. 1 TMG auslöst, ist umstritten.53 Jedenfalls entsteht aber eine Informationspflicht gem. § 13 Abs. 1 S. 2 TMG.54 Danach ist der Nutzer auch bei einem automatisierten Verfahren, das erst eine spätere Identifizierung des Nutzers ermöglicht und eine Erhebung und Verwendung personenbezogener Daten vorbereitet, zu Beginn dieses Verfahrens zu unterrichten. Als bekanntes Beispiel lässt sich hierfür der Einsatz von persistenten Cookies55 nennen, die Daten speichern, welche für sich gesehen meist keine Identifizierung einer Person zulassen. Indes ist ein Personenbezug durch die Zusammenführung mit weiteren Daten, 27 wie später hinterlegten Bestelldaten oder der Angabe einer E-Mail-Adresse zum Empfang eines Newsletters, herstellbar.56 Des Weiteren können auch Verfahren wie Web-Bugs, Web-Beacons oder Zählpixel unter den Anwendungsbereich des § 13 Abs. 1 S. 2 TMG fallen.57 Laut § 15 Abs. 4 S. 1 TMG muss der Nutzer über sein Widerspruchsrecht hin28 sichtlich der Erstellung von Nutzungsprofilen bei Verwendung von Pseudonymen zu
50 Heidrich/Forgó/Feldmann/Arning/Haag, C. Kap. II Rn 24. 51 Spindler/Schuster/Spindler/Nink, § 12 TMG Rn 2. 52 So auch Wintermeier, ZD 2013, 21, 22. 53 Zum Streitstand Karg, MMR-Aktuell 2011, 315811. 54 Vgl. Rauer/Etting, ZD 2014, 27, 29. 55 Dabei handelt es sich um Cookies, die über den einzelnen Besuch hinaus gespeichert werden und u. a. der Wiedererkennung bei weiteren Besuchen des Internetportals dienen; davon abzugrenzen sind „Session Cookies“, welche lediglich während der Besuchsdauer der jeweiligen Internetseite auf dem Rechner des Nutzers verbleiben, Rauer/Etting, ZD 2014, 27, 30. 56 Simitis/Dammann, § 3 Rn 65; Hoeren/Sieber/Holznagel/Schmitz, Teil 16.2 Rn 141. 57 Taeger/Gabel/Moos, § 13 TMG Rn 11.
Post
B. Datenschutzerklärung
333
Zwecken der Werbung, der Marktforschung und zur bedarfsgerechten Gestaltung von Telemedien unterrichtet werden. Da Nutzungsprofile häufig auf der Grundlage von pseudonymen Cookie-Informationen erstellt werden, ist ein Hinweis auf ein Widerspruchsrecht bei Verwendung von Cookies grundsätzlich zu empfehlen. Praxistipp Problematisch ist häufig, dass die Anbieter der einzelnen verfügbaren Cookies nicht immer gesonderte Widerspruchsmöglichkeiten für ihre Cookies geschaffen haben.58 Daher bleibt dem Diensteanbieter, der einen solchen Cookie verwendet, meist nur die Option, den Nutzer der Website bezüglich seines Widerspruchsrechts auf die Einstellmöglichkeit des Browsers zur Ablehnung von Cookies zu verweisen.59 Ob diese Möglichkeit, einen Widerspruch durchzuführen, den Anforderungen des § 15 Abs. 3 S. 1 TMG genügt, ist jedoch bisher nicht abschließend geklärt60 und daher nur zusätzlich zu den einzelnen Widerspruchsmöglichkeiten zu empfehlen.
Bei der Verwendung von Cookies sowie ähnlicher Verfahren muss indes auch die 29 weitere rechtliche Entwicklung im Blick behalten werden. Art. 5 Abs. 3 RL 2009/136/ EG (sog. Cookie-RL) regelt, dass „die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG (‚DSRL‘) u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat.“ Stellt man allein auf den Wortlaut dieses Artikels der Cookie-RL ab, wäre zukünftig von einer Einwilligungs- und nicht wie bisher von einer Widerspruchslösung bei der Verwendung von Cookies auszugehen.61 Nichtsdestotrotz ist die bisherige einfachgesetzliche Umsetzung in den einzelnen Mitgliedstaaten innerhalb der EU uneinheitlich erfolgt62 und die Auslegung von Art. 5 Abs. 3 Cookie-RL nach wie vor umstritten. Größtenteils wird eine Einwilligungslösung,63 auch Opt-in-Lösung genannt, als Grundsatz gewählt, wobei entsprechend der Cookie-RL regelmäßig eine Ausnahme hiervon gewährt werden kann, wenn der alleinige Zweck der Datenspeicherung die Übertragung einer Nachricht ist oder wenn dies unbedingt erforderlich ist, um einen
58 Häufig wird eine getrennte Widerspruchsmöglichkeit aufgrund Fehlens differenzierter Einstellungsmöglichkeit auch nicht möglich sein, vgl. Thürauf, ZD 2012, 24, 27. 59 Vgl. Rauer/Etting, ZD 2014, 27, 28. 60 Dafür Hoeren/Sieber/Holznagel/Boemke, Teil 11, Rn 102; dagegen Eiermann, abrufbar unter http://www.datenschutz.rlp.de/de/aktuell/2011/images/eudstag2011/02_-_Eiermann_-_Profilneurosen.pdf; Hoeren, ZD 2011, 3, 5. 61 Vgl. auch Rauer/Ettig, ZD 2014, 27, 39. 62 Soweit überhaupt eine nationale Regelung erfolgt ist, vgl. Rauer/Ettig, ZD 2014, 27, 32. 63 U. a. Österreich, Frankreich oder Großbritannien, vgl. für Deutschland Schröder, ZD-Aktuell 2012, 02761; Spindler, GRUR 2013, 996, 1001; für Großbritannien, Thürauf, ZD 2012, 24.
Post
334
Kapitel 7 Die Website – Datenschutzerklärung, Impressum & Co.
ausdrücklich vom Nutzer gewünschten Dienst zur Verfügung stellen zu können. Teilweise wird aber auch weiter von einer Widerspruchslösung ausgegangen.64 30 Eine Umsetzung der Cookie-RL in das deutsche Recht ist bisher nicht erfolgt, obwohl diese bereits zum 25.5.2011 hätte erfolgen müssen.65 Ein Gesetzentwurf für die Änderung des TMG sah als Grundsatz einen Einwilligungsvorbehalt vor, vgl. § 13 Abs. 8 TMG-Änderungsgesetz.66 Die Bundesregierung misst diesen Gesetzesentwürfen jedoch keine Erfolgschancen zu,67 sodass die zukünftige Gestaltung der Umsetzung der Cookie-RL noch nicht vollständig abzusehen ist. Dies gilt insbesondere auch deswegen, da aufgrund des im Gesetzgebungsverfahren geltenden Diskontinuitätsprinzips68 in der neuen Legislaturperiode mit einem möglichen Gesetzgebungsverfahren formgerecht von Neuem begonnen werden muss.69 Bis dahin gilt Art. 5 Abs. 3 der Cookie-RL für öffentliche Stellen verbindlich, private Telemedienanbieter müssen weiterhin die noch geltenden Regelungen der §§ 13, 15 TMG beachten.70 Ohnehin geht die Bundesregierung offenbar mittlerweile davon aus, dass die Anforderungen der Cookie-RL bezüglich der Nutzung von Cookies mit dem aktuellen TMG bereits umfänglich umgesetzt seien.71
d) Tracking und Tracing 31 Soweit Unternehmen werbend tätig werden, sind diese regelmäßig auch daran interessiert, den Erfolg ihrer Werbung zu optimieren und im Hinblick auf potenzielle Interessenten maßzuschneidern.72 Zu diesem Zweck werden häufig sog. Tracking-Tools genutzt, da sie dem Websitebetreiber die Möglichkeit bieten, nachzuvollziehen, von wo aus die zu analysierende Website angesteuert und in welche Richtung sie wieder verlassen wurde.73 Überdies werden in der Regel die Anzahl der Zugriffe, die Zahl der Nutzer, ihre regionale Herkunft, die aufgerufenen Seiten, die Verweildauer auf dem Angebot, Informationen über das vom Nutzer verwendete Endgerät sowie dessen
64 So etwa Bulgarien oder Tschechien. 65 Schröder, ZD-Aktuell 2012, 02761. 66 Gesetzesentwurf des Bundesrates v. 3.8.2011, BT-Drucks. 17/6765; vgl. auch Finger, ZD 2011, 109, 110. 67 Nach Ansicht des CDU-Fraktionsmitglied Andreas Lämmel werde die geltende Fassung des TMG den Anforderungen der E-Privacy-Richtlinie gerecht, vgl. Spies/Vinke, ZD-Aktuell 2012, 02861. 68 Vgl. Maunz/Düring/Maunz/Klein, Art. 39 Rn 54. 69 So im Ergebnis wohl auch BfDI, Ziff. 11 S. 11 f., abrufbar unter http://www.bfdi.bund.de/SharedDocs/ Publikationen/GesetzeVerordnungen/AktuelleBundesgesetzgebung.pdf?__blob=publicationFile. 70 Taeger/Gabel/Moos, § 13 TMG Rn 14; a. A. der Bundesbeauftragte für den Datenschutz Peter Schaar, vgl. Viefhues, ZD-Aktuell 2012, 02996. 71 Vgl. Spies/Vinke, ZD-Aktuell 2012, 02861, letzter Absatz m. w. N. 72 MMR-Aktuell 2011, 313724. 73 Hoeren, ZD 2011, 3, 3.
Post
B. Datenschutzerklärung
335
IP-Adresse erfasst.74 Web-Tracking wird dabei größtenteils mithilfe von Cookies, teilweise aber auch mithilfe von Zählpixeln oder sog. Session-IDs durchgeführt. Grundsätzlich gelten daher für diese die gleichen Darstellungsmöglichkeiten wie die oben beschriebenen.75 Das wohl bekannteste und auch umstrittenste Webanalyse-Tool ist Google Ana- 32 lytics. Daneben gibt es zahlreiche andere Tracking-Tools wie etracker oder das Open Source-Tool PIWIK.76 Wird ein Analyse-Tool verwendet, ist in der Datenschutzerklärung ausdrücklich darauf hinzuweisen sowie dessen Funktionsweise zu erläutern, um der Informationspflicht des § 13 Abs. 1 S. 2 TMG nachzukommen. Auch ist die jeweilige datenverarbeitende Stelle zu nennen, sofern sie außerhalb der EU oder dem EWR liegt, was jedenfalls bei Google der Fall ist.77 Für eine datenschutzkonforme Verwendung von Google Analytics hat der Hamburgische Datenschutzbeauftragte in Zusammenarbeit mit Google und im Auftrag des Düsseldorfer Kreises,78 also des bundesweiten Gremiums der Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich, eine Anleitung erstellt.79 Danach darf eine Anwendung nur erfolgen, wenn die IP-Adresse anonymisiert an die Google Inc. in den U.S.A. übertragen wird, d. h. gekürzt um das letzte Oktett. Bei Nutzung von Google muss die Möglichkeit zum Widerspruch mittels eines Opt-out-Plugins zur Verfügung gestellt werden. Weiterhin ist Voraussetzung, dass ein Vertrag zur Auftragsdatenverarbeitung abgeschlossen wird und schließlich die Löschung von Altdatenbeständen durch Google vor Nutzung von Google Analytics gewährleistet wird.80 An dieser Stelle darf nochmals darauf hingewiesen werden, dass es nicht ausreicht, die genannten Voraussetzungen in der Datenschutzerklärung zu erläutern, vielmehr müssen sie auch bei dem jeweiligen Online-Angebot tatsächlich umgesetzt werden. Hieran fehlt es nach einer Erhebung der bayerischen Datenschutzaufsicht häufig noch.81
74 So jedenfalls für Google Analytics: Hoeren, ZD 2011, 3, 3. 75 Rn 29. 76 Es handelt sich hierbei, anders als bei Google Analytics oder etracker um keinen Drittanbieter, sondern um ein vom Websitebetreiber selbst betriebenes Tool, vgl. Leupold/Glossner/Scheja/Haag, Teil 5 Rn 437; hierzu hat das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein im Jahr 2011 eine Anleitung zum datenschutzkonformen Einsatz erlassen. Diese ist abrufbar unter: https:// www.datenschutzzentrum.de/tracking/piwik/20110315-webanalyse-piwik.pdf. 77 Die von Google Analytics erhobenen Daten werden zwecks Auswertung in die USA übermittelt, vgl. Schröder, Kap. 4, Google Analytics. 78 Es handelt sich dabei um einen Zusammenschluss der obersten Datenschutzaufsichtsbehörden. 79 ZD-Aktuell 2012, 02931. 80 Leupold/Glossner/Scheja/Haag, Teil 5 Rn 437; ZD-Aktuell 2012, 02931. 81 Die Überprüfung ergab, dass nur 3 % der geprüften Websites das Tracking-Programm datenschutzkonform einsetzen würden, vgl. ZD-Aktuell 2012, 02931.
Post
336
33
Kapitel 7 Die Website – Datenschutzerklärung, Impressum & Co.
Für andere Webanalyse-Tools als Google Analytics ist die Möglichkeit des datenschutzkonformen Einsatzes größtenteils noch ungeklärt82 und muss jeweils im Einzelfall ebenso wie eine entsprechende Darstellung in der Datenschutzerklärung eruiert werden.83 Hierbei gilt es, die Leitlinien zur „[d]atenschutzkonformen Ausgestaltung von Analyseverfahren zur Reichweitenmessung bei Internet-Angeboten“ zu berücksichtigen, die der Düsseldorfer Kreis am 26.11.2009 beschlossen hat. Werden diese eingehalten, ist ein datenschutzkonformer Einsatz auch anderer Tracking Tools möglich. Danach gilt es, die Anforderungen folgender Checkliste umzusetzen: Checkliste84 – Den Betroffenen ist eine Möglichkeit zum Widerspruch gegen die Erstellung von Nutzungsprofilen einzuräumen. Derartige Widersprüche sind wirksam umzusetzen. – Die pseudonymisierten Nutzungsdaten dürfen nicht mit Daten über den Träger des Pseudonyms zusammengeführt werden. Sie müssen gelöscht werden, wenn ihre Speicherung für die Erstellung der Nutzungsanalyse nicht mehr erforderlich ist oder der Nutzer dies verlangt. – Auf die Erstellung von pseudonymen Nutzungsprofilen und die Möglichkeit zum Widerspruch müssen die Anbieter in deutlicher Form im Rahmen der Datenschutzerklärung auf ihrer Internetseite hinweisen. – Personenbezogene Daten eines Nutzers dürfen ohne Einwilligung nur erhoben und verwendet werden, soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen. Jede darüber hinausgehende Nutzung bedarf der Einwilligung der Betroffenen. – Die Analyse des Nutzungsverhaltens unter Verwendung vollständiger IP-Adressen (einschließlich einer Geolokalisierung) ist aufgrund der Personenbeziehbarkeit dieser Daten daher nur mit bewusster, eindeutiger Einwilligung zulässig. Liegt eine solche Einwilligung nicht vor, ist die IPAdresse vor jeglicher Auswertung so zu kürzen, dass eine Personenbeziehbarkeit ausgeschlossen ist. – Werden pseudonyme Nutzungsprofile durch einen Auftragnehmer erstellt, sind darüber hinaus die Vorgaben des Bundesdatenschutzgesetzes zur Auftragsdatenverarbeitung durch die Anbieter einzuhalten.
82 Nicht dagegen für Predicitive Targeting Networking (PTN) und TGPopen; diesen hat das unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) eine Datenschutzkonformität zertifiziert, vgl. https://www.datenschutzzentrum.de/tracking/; Leupold/Glossner/Scheja/Haag, Teil 5 Rn 436. 83 Die für Google Analytics entwickelten Kriterien sollen nach Leupold/Glossner/Scheja/Haag, Teil 5 Rn 437 auch auf solche Tools entsprechende Anwendung finden, die von dem Websitebetreiber selbst gehostet werden. 84 „Datenschutzkonforme Ausgestaltung von Analyseverfahren zur Reichweitenmessung bei internetangeboten“ gemäß Beschluss der obersten Aufsichtsbehörden für den Datenschutz im nichtöffentlichen Bereich am 26./27.11.2009 in Stralsund, abrufbar unter http://www.bfdi.bund.de/cln_118/ SharedDocs/Publikationen/Entschliessungssammlung/DuesseldorferKreis/Nov09Reichweitenmessung.html?nn=409242.
Post
B. Datenschutzerklärung
337
Diese Anforderungen einzuhalten empfiehlt sich nicht nur unter allgemeinen Com- 34 pliance-Aspekten, sondern auch deshalb, weil deren Einhaltung bereits Gegenstand aufsichtsbehördlicher Kontrollen war. So hat das Bayerische Landesamt für Datenschutzaufsicht dies im Jahre 2012 bereits zum Gegenstand einer automatisierten Überprüfung von insgesamt 13.404 Homepages gemacht, wobei nur 3 % der Seiten das Tool datenschutzkonform einsetzten; Folgeüberprüfungen wurden deshalb angekündigt.85 Insgesamt bleibt indes festzustellen, dass ein Analyse-Tool, welches keine Daten- 35 übertragung in Drittstaaten außerhalb der EU oder des EWR vorsieht, aus datenschutzrechtlicher Sicht stets vorzugswürdig ist.
e) Retargeting/Online Behavioural Advertising Auch bei dem sog. Retargeting oder Online Behavioural Advertising („OBA“)86 werden 36 Cookies im Webbrowser des Nutzers durch den Betreiber einer Ausgangswebsite gesetzt. Ruft der Nutzer nun eine andere Website auf, auf der ein Werbedienst aktiv ist, der mit dem Websitebetreiber der Ausgangsseite OBA-Leistungen vereinbart hat, werden dem Nutzer aufgrund der auf dem Cookie gespeicherten, von dem Werbedienst auslesbaren Daten personalisierte Werbeangebote unterbreitet.87 Je nach Funktionsweise entsprechender Tools müssen, wie bereits dargestellt,88 37 in einer Datenschutzerklärung gemäß den Anforderungen der §§ 13 Abs. 1, 15 Abs. 3 TMG die Nutzer über den Einsatz von Cookies oder anderen Mitteln, die die Identifizierung einer Person möglich machen können, sowie über ihr Widerspruchsrecht informiert werden. Über die bereits erläuterten Widerspruchsmöglichkeiten hinaus besteht hier 38 jedoch zudem die Möglichkeit, sich in verschiedene Listen beispielsweise bei der Online Advertising Alliance als Nutzer eintragen zu lassen, um dauerhaft vermeiden zu können, dass man OBA ausgesetzt wird. Über eine entsprechende Möglichkeit sollten sich Websitebetreiber vor Nutzung von OBA informieren und diese ggf. auch in der Datenschutzerklärung erläutern. Denn gerade durch OBA kann bei den Nutzern ein ungutes Gefühl des „Verfolgtwerdens“ entstehen, das ungeachtet aller datenschutzrechtlichen Gesichtspunkte zu einem negativen Image des Betreibers eines Internetangebotes führen kann. In jedem Falle empfiehlt es sich, auch bei der Verwendung von Tools zum Zwecke des Retargetings oder des Online Behavioural
85 Vgl. Pressemitteilung des Bayerischen Landesamtes für Datenschutzaufsicht vom 7.5.2012 „BayLDA überprüft bei 13.404 Homepages den datenschutzkonformen Einsatz eines Auswertungsprogramms zur Nutzung der Homepage“, abrufbar unter http://www.lda.bayern.de/lda/datenschutzaufsicht/p_ archiv/2012/pm005.html. 86 Verfolgungsverfahren im Bereich Onlinewerbung, vgl. MMR-Aktuell 2011, 317875. 87 Vgl. MMR-Aktuell 2011, 317410. 88 Rn 29 ff.
Post
338
Kapitel 7 Die Website – Datenschutzerklärung, Impressum & Co.
Advertisings die bereits erläuterten Leitlinien des Düsseldorfer Kreises zur „[d]atenschutzkonformen Ausgestaltung von Analyseverfahren zur Reichweitenmessung bei Internet-Angeboten“ zu beachten.89
f) Social Media
39 Sofern Betreiber von Internetangeboten lediglich auf Social Media, wie z. B. Facebook,
Twitter oder Google+ verlinken, ist eine Aufführung dieser Links in der Datenschutzerklärung nicht zwingend erforderlich. Allein durch das Vorhandensein von Links werden noch keine personenbezogenen Daten von Nutzern erhoben, verarbeitet und genutzt.90 Bindet der Betreiber eines Internetangebotes aber sog. Social Plugins in seine Website ein, auch Social Share Buttons genannt,91 mit dessen Hilfe der Nutzer noch auf den Seiten des Betreibers Handlungen in einem sozialen Netzwerk vornehmen kann (etwa Facebooks „Like“-Button), werden unmittelbar von dem Angebot des Betreibers Informationen an das soziale Netzwerk gesendet. Problematisch ist in diesem Zusammenhang, dass Social Plugins bereits vor dem Tätigwerden des Nutzers eines Internetangebotes Informationen an das soziale Netzwerk senden, sofern der Nutzer bei diesem zeitgleich eingeloggt ist.92 Unter dem Stichwort der sog. Reichweitenanalyse wurde diese Praxis von dem Düsseldorfer Kreis als datenschutzwidrig angesehen.93 In diesem Zusammenhang hat der Online-Dienst Heise eine alternative Art der 40 Implementierung von Social Plugins entwickelt, bei der das Plugin zunächst durch einen Klick des Nutzers aktiviert werden muss und er vor dem Aktivieren in der Regel per Mouse-Over darüber informiert wird, dass mit Aktivierung Daten an das entsprechende soziale Netzwerk gesendet werden. Ob diese Vorgehensweise den Datenschutzaufsichtsbehörden genügt, ist bislang noch ungeklärt.94 Sollte ein Betreiber trotz der verbleibenden rechtlichen Restrisiken einen Social Plugin auf seinem Internetangebot verwenden wollen, empfiehlt es sich neben der Implementierung der von
89 Vgl. oben Rn 33. 90 Die Unterhaltung von sog. Facebook Fanpages, auf die in diesem Zusammenhang häufig verlinkt wird, ist jedenfalls nach Ansicht einiger Aufsichtsbehörden nicht unbedenklich, da auch derjenige, der eine Fanpage erstellt, als verantwortliche Stelle angesehen wird und ihn mithin die Informationspflichten des § 13 TMG treffen. Er wird aber regelmäßig – unabhängig von deren Datenschutzkonformität – nicht über die von Facebook vorgenommenen Erhebungen, Verarbeitungen und Nutzungen informiert sein, sodass ihm eine Unterrichtung seinerseits nicht möglich ist, vgl. https://www.datenschutzzentrum.de/facebook/facebook-ap-20110819.pdf. 91 Vgl. Leupold/Glossner/Scheja/Haag, Teil 5 Rn 446. 92 Vgl. Leupold/Glossner/Scheja/Haag, Teil 5 Rn 446. 93 Vgl. Voigt/Alich, NJW 2011, 2541. 94 Leupold/Glossner/Scheja/Haag, Teil 5 Rn 448 kritisieren insoweit, dass auch mit dieser Lösung die Probleme der fehlenden Erkennbarkeit der vom JavaScript veranlassten Datenübermittlungen sowie die Erkennbarkeit des Datenverwendungszweckes nicht behoben werden könnten.
Post
B. Datenschutzerklärung
339
Heise vorgeschlagenen Vorgehensweise, auch in der Datenschutzerklärung detailliert auf die Funktionsweise dieses Plugins hinzuweisen, um nicht zusätzlich dem Vorwurf eines Mangels an Transparenz ausgesetzt zu sein.
2. Fakultative Informationen Neben den gesetzlich vorgeschriebenen Anforderungen an die Unterrichtungspflicht eines Diensteanbieters werden die nachfolgenden Informationen häufig zusätzlich in Datenschutzerklärungen aufgenommen. Ob die Aufnahme in die eigene Datenschutzerklärung erwünscht ist, muss jeweils im Einzelfall abgewogen werden, wobei jeweils die Transparenz für den Nutzer mit einer Überforderung durch Informationsvielfalt in Einklang zu bringen ist. Der Nutzer sollte dabei über die verantwortliche Stelle einschließlich ihrer Anschrift informiert werden.95 Eine Verpflichtung hierzu ergibt sich nicht direkt aus § 13 Abs. 1 TMG. Eine Verpflichtung zur Angabe von Anschrift und Identität besteht dagegen bei Warenverkäufen über das Internet. In diesem Falle handelt es sich um eine inhaltliche Mindestanforderung nach § 312c Abs. 1 Nr. 1 und 2 i. V. m. Art. 240 EGBGB, § 1 Abs. 1 Nr. 1 – 11 BGB-InfoV.96 Diese Verpflichtung betrifft jedoch vornehmlich die Anbieterkennzeichnungspflicht im Bereich der Impressumspflicht nach § 5 TMG.97 Da sich die Angabe dieser Information im Rechtsverkehr auch ohne gesetzliche Regelung verfestigt hat, ist die Angabe der Anschrift in der Datenschutzerklärung trotzdem angeraten. Zudem dient dies wiederum der Schaffung von Vertrauen beim Nutzer. Der Nutzer hat grundsätzlich gem. § 13 Abs. 7 TMG i. V. m. § 34 BDSG ein Recht auf Auskunft bezüglich der ihn betreffenden, bei einer verantwortlichen Stelle gespeicherten Daten. Eine Unterrichtung des Nutzers über dieses Auskunftsrecht ist gesetzlich nicht zwingend vorgesehen.98 In der Praxis ist diese Unterrichtung jedoch durchaus üblich. Um als Betreiber eines Internetangebots nicht hinter anderen Anbietern zurückzustehen, sollte insoweit ein Hinweis in der Datenschutzerklärung erfolgen. Ausführungen zu Datensicherheitsstandards wie beispielsweise einer Zertifizierung des Betreibers nach ISO 27001 oder der durchgängigen Verwendung von Verschlüsselungstechniken wie SSL und PGP sind gemessen an den Anforderungen des § 13 Abs. 1 TMG nicht zwingend in eine Datenschutzerklärung aufzunehmen. Die Angabe dieser Informationen kann aber zur Stärkung des Vertrauens der Nutzer führen; es sollte hier jedoch darauf geachtet werden, dass die Datenschutzerklärung nicht überfrachtet wird, denn zu viele Angaben könnten den Nutzer auch verwirren.
95 Vgl. Hoeren/Sieber/Holznagel/Föhlisch, Teil 13.4 Rn 58. 96 Vgl. Woitke, BB 2003, 2469, 2470. 97 Vgl. Rockstroh, MMR 2013, 627, 628; zur Impressumspflicht s. u. Rn 48 ff. 98 Ohne nähere Begründung so wohl auch: Wintermeier, ZD 2013, 22.
Post
41
42
43
44
340
45
Kapitel 7 Die Website – Datenschutzerklärung, Impressum & Co.
Hat das Unternehmen, das ein Internetangebot betreibt, einen Datenschutzbeauftragten bestellt, erscheint es zweckmäßig, dessen Kontaktdaten, insbesondere die E-Mail-Adresse, in der Datenschutzerklärung zu nennen. Auf diese Weise ist es für den Nutzer eines Internetangebotes bei Fragen oder Anmerkungen bezüglich des Datenschutzes unmittelbar ersichtlich, an welche Stelle er sich wenden kann und wo er einen kompetenten Ansprechpartner findet, sodass dies das Vertrauen des Nutzers ebenfalls stärkt. Dies empfiehlt sich auch insoweit, als die Datenschutzbehörden die Bekanntmachung des Datenschutzbeauftragten nach außen und innen mit Hinweis auf seine Unabhängigkeit ausdrücklich fordern.99
VI. Haftungsrisiken bei fehlerhafter Datenschutzerklärung 46 Aufgrund der Regelung des § 16 Abs. 2 Nr. 2 TMG, wonach „derjenige ordnungswidrig
handelt, der entgegen § 13 Abs. 1 S. 1 oder 2 TMG den Nutzer nicht, nicht richtig, unvollständig oder nicht rechtzeitig unterrichtet“, kann eine fehlende oder nicht ordnungsgemäße Datenschutzerklärung eine Ordnungswidrigkeit darstellen. Diese Ordnungswidrigkeit kann mit einer Geldbuße von bis zu 50.000 € belegt werden, vgl. § 16 Abs. 3 TMG. Gleichzeitig können fehlerbehaftete Datenschutzerklärungen nach einer im Vor47 dringen befindlichen Rechtsprechung100 aber auch von Wettbewerbern abgemahnt werden.101 Betreiber von Internetseiten können sich demnach infolge fehlerbehafteter Datenschutzerklärungen neben einer staatlichen Geldbuße auch Beseitigungsund Unterlassungsansprüchen nach § 8 UWG sowie Schadensersatz- und ggf. sogar Gewinnabschöpfungsansprüchen nach §§ 9 und 10 UWG von Wettbewerbern ausgesetzt sehen. Denn nach Ansicht des OLG Hamburg handele es sich bei § 13 TMG um eine vom UWG geschützte Marktverhaltensnorm,102 sodass jeder Verstoß gegen § 13 TMG zugleich auch eine abmahnfähige unlautere Wettbewerbshandlung darstellen kann. „[So soll] § 13 TMG […] ausweislich der genannten Erwägungsgründe der DS-RL jedenfalls auch die wettbewerbliche Entfaltung des Mitbewerbers schützen, indem
99 Vgl. Ziff. II. 1. des Beschlusses der obersten Aufsichtsbehörden für den Datenschutz im nichtöffentlichen Bereich (Düsseldorfer Kreis) v. 24./25.11.2010 zu den „Mindestanforderungen an Fachkunde und Unabhängigkeit des Beauftragten für den Datenschutz nach § 4f Abs. 2 und 3 Bundesdatenschutzgesetz (BDSG)“, abrufbar unter http://www.bfdi.bund.de/cln_134/SharedDocs/Publikationen/Entschliessungssammlung/DuesseldorferKreis/24112010-MindestanforderungenAnFachkunde.html?nn=409242. 100 So zuletzt OLG Hamburg, Urt. v. 27.6.2013 – 3 U 26/12 – ZD 2013, 511 (m. Anm. Schröder); a. A. noch KG Berlin, Beschl. v. 29.4.2011 – 5 W 88/11 – MMR 2011, 464, 465. 101 Eine ähnliche Gefahr besteht im Bereich des Setzens von Cookies, vgl. Hoeren/Sieber/Holznagel/ Boemke, Teil 11 Rn 99. 102 Vgl. Götting/Nordemann/Ebert-Weidenfeller, § 4 Rn 11.43.
Post
D. Impressum
341
gleiche Wettbewerbsbedingungen geschaffen werden. Die Vorschrift dien[e] mithin auch dem Schutz der Interessen der Mitbewerber und [sei] damit eine Regelung i. S. d. § 4 Nr. 11 UWG, die dazu bestimmt ist, das Marktverhalten im Interesse der Marktteilnehmer zu regeln.“103
C. Impressum I. Ausgangslage Im Rechts- und Geschäftsverkehr besteht das Bedürfnis, aussagekräftige Informatio- 48 nen über Mitbewerber und (potenzielle) Geschäftspartner erhalten zu können.104 Aufgrund dessen obliegen Unternehmen im traditionellen Rechts- und Geschäftsverkehr schon seit geraumer Zeit vielgestaltiger Informations- und Transparenzpflichten, etwa indem sie auf Geschäftsbriefen wesentliche Angaben über ihre Unternehmensverhältnisse offenlegen müssen.105 Auch im Bereich des elektronischen Geschäftsverkehrs haben natürliche und juristische Personen, die eigene oder fremde Telemedien zur Nutzung bereithalten oder den Zugang zu deren Nutzung vermitteln (im Folgenden „Diensteanbieter“106), Informations- und Transparenzpflichten (mitunter allgemein Anbieterkennzeichnungspflicht genannt107) zu erfüllen. Wen die Anbieterkennzeichnungspflicht trifft und welchen Inhalt diese im elektronischen Rechtsverkehr im Einzelnen hat, ist Gegenstand der nachstehenden Ausführungen. Im Kern verfolgt die Gewährleistung von Anbietertransparenz im elektroni- 49 schen Geschäftsverkehr zwei Ziele: – Anbietertransparenz soll die Rechtsdurchsetzung bei Rechtsverstößen erleichtern,108 indem konkurrierende Marktakteure in die Lage versetzt werden, etwaig vorhandenes, wettbewerbswidriges Agieren „angreifen“ zu können; – dem Verbraucher und geschäftlich tätigen Nutzer soll eine Überprüfung von Marktteilnehmern im Hinblick auf deren Seriosität ermöglicht werden.109
103 OLG Hamburg, Urt. v. 27.6.2013 – 3 U 26/12 – ZD 2013, 511, 512. 104 Im Zusammenhang mit den im Handelsregister eingetragenen Einzelkaufleuten Oetker/Schlingloff, § 37a Rn 1 m. w. N. 105 Insoweit existieren eine Vielzahl paralleler Regelungen, die sich an unterschiedliche Adressaten richten: § 37a HGB (Kaufmann), §§ 125a, 177a HGB (oHG und KG), § 35a GmbHG (GmbH), § 71 Abs. 5 GmbHG (GmbH in Liquidation), § 7 Abs. 5 PartGG (PartG), § 80 AktG (AG), § 268 Abs. 4 AktG (AG in Liquidation), § 25a GenG (Genossenschaft), § 43 SEAG (SE) und § 25 SCEAG (Europäische Genossenschaft). 106 Die Legaldefinition des „Diensteanbieters“ ist in § 2 S. 1 Nr. 1 TMG normiert. 107 Häufig werden die Informationspflichten auch unter dem Begriff „Impressumspflicht“ zusammengefasst. 108 Dauses/Micklitz, Kap. H V Rn 198. 109 Vgl. Müller-Broich, § 5 Rn 1.
Bastek
342
Kapitel 7 Die Website – Datenschutzerklärung, Impressum & Co.
50 Die Rahmenbedingungen für die Anbieterkennzeichnungspflicht im elektronischen
Geschäftsverkehr sind im Zuge der Umsetzung der europäischen E-Commerce-Richtlinie110 im Jahre 2002 erweitert worden. Die allgemeinen und die besonderen Informationspflichten bei kommerzieller Kommunikation sind nunmehr im TMG, namentlich in den §§ 5 und 6 TMG niedergelegt. Da im Bereich der IuK-Dienste noch immer zwischen Rundfunk, Telemedien und 51 Telekommunikation unterschieden wird,111 sind im Einzelfall möglicherweise über die Regelungen des TMG hinausgehende Anforderungen zu beachten. Für Telemedien mit journalistisch-redaktionell gestalteten Angeboten sieht etwa § 55 Abs. 2 RStV eine den klassischen presserechtlichen Anforderungen entsprechende Informationspflicht vor.112 Danach müssen Anbieter journalistisch-redaktionell gestalteter Telemediendienste, in denen insbesondere vollständige oder teilweise Inhalte periodischer Druckerzeugnisse in Text und Bild wiedergegeben werden, gem. § 55 Abs. 2 S. 1 RStV zusätzlich zu den Angaben nach den §§ 5 und 6 des TMG einen Verantwortlichen mit Angabe des Namens und der Anschrift benennen.113 Dies kann insbesondere auch für Unternehmen von Bedeutung sein, die zwar originär nicht im Presse- und Medienumfeld tätig sind, die aber eine Presseabteilung vorhalten und in diesem Zusammenhang auch Druckwerke, z. B. Werkzeitschriften, veröffentlichen. Ferner können im Einzelfall Bestimmungen des Fernabsatzrechts,114 der BGB52 InfoV,115 des BDSG, der PAngV, des UWG und des VAG sowie handelsrechtliche Vorschriften zu beachten sein. Die nachfolgenden Ausführungen beziehen sich auf diejenigen Informations53 pflichten, die sich aus dem TMG ergeben.
II. Adressaten 1. Adressaten des § 5 TMG der „Allgemeinen Informationspflichten“ des § 5 TMG sind Diensteanbieter,116 soweit sie geschäftsmäßige, in der Regel gegen Entgelt angebotene Telemedien zur Nutzung bereithalten.
54 Adressaten
110 RL 2000/31/EG v. 8.6.2000, ABl EG Nr. L 178/1. 111 Vgl. § 1 Abs. 1 S. 1 TMG. 112 Hoeren/Sieber/Holznagel/Holznagel/Nolden, Teil 5 Rn 108. 113 Ott, MMR 2007, 354, 356. 114 § 312c Abs. 1 BGB i. V. m. Art. 246 § 1 Nr. 1 bis 3 EGBGB. 115 Vgl. oben Rn 42. 116 Die Legaldefinition des „Diensteanbieters“ ist in § 2 S. 1 Nr. 1 TMG normiert.
Bastek
D. Impressum
343
a) Geschäftsmäßigkeit und Entgeltlichkeit Ab wann eine Geschäftsmäßigkeit oder Entgeltlichkeit seitens des Anbieters vorliegt, 55 ist von den Gerichten nicht abschließend geklärt und wird im juristischen Schrifttum kontrovers diskutiert.117 Unerheblich ist jedenfalls, ob der Diensteanbieter die Telemedien auch tatsäch- 56 lich gegen Entgelt bereithält.118 Vielmehr ist ausreichend, dass die Inhalte in der Regel gegen Entgelt bereitgehalten werden.119 Die Anbieterkennzeichnungspflicht trifft mithin alle Diensteanbieter, soweit sie Telemedien bereithalten, mit denen im Marktverkehr Einkünfte erzielt werden können.120 Allein Telemedien, die ohne den Hintergrund einer Wirtschaftstätigkeit bereitgehalten werden (Websites, die rein privaten Zwecken dienen und die nicht Informationsangebote bereitstellen, die sonst nur gegen Entgelt verfügbar sind121 oder entsprechende Dienste von Idealvereinen122), unterliegen nicht der Anbieterkennzeichnungspflicht des TMG.123 Die Abgrenzung von nicht impressumspflichtigen privaten und impressumpflichtigen geschäftsmäßigen Internetseiten war schon mehrfach Gegenstand gerichtlicher Auseinandersetzungen124 und ist im Einzelfall nicht immer unproblematisch. Im Zweifel sollte davon ausgegangen werden, dass all diejenigen Anbieter zu erfassen sind, die die Website als Einstiegsmedium begreifen, mittels der sie dem Nutzer letztlich eine entgeltliche Leistung anbieten.125 Verbleibt insoweit Unsicherheit, sollte ein Impressum geführt werden.
b) Bereithalten zur Nutzung Ob ein Bereithalten zur Nutzung mit der Folge vorliegt, dass eine Pflicht zur Vorhal- 57 tung der Anbieterkennzeichnung besteht, ist noch nicht abschließend geklärt, soweit jemand einzelne Inhalte eines Portals selbst gestaltet. Dieses Thema wird insbesondere im Zusammenhang mit dem Verkauf von Waren über Internet-Auktionshäuser
117 Zum Meinungsstand Spindler/Schuster/Micklitz/Schirmbacher, § 5 TMG Rn 8 ff. 118 Vgl. Müller-Broich, § 5 Rn 2; es handele sich dabei allein um einen gesetzlich bestimmten Regelfall. 119 Entsprechend der E-Commerce-RL, vgl. BT-Drucks. 16/3078, 14. 120 BMJ, Allgemeine Hinweise zur Anbieterkennzeichnungspflicht im Internet („Impressumspflicht“), 18.2.2009, S. 3, abrufbar unter http://www.bmj.de/SharedDocs/Downloads/DE/pdfs/LeitfadenZurAnbieterkennzeichnung.pdf?__blob=publicationFile. 121 Mitunter wird vertreten, dass auch rein private Websites die Informationspflichten des § 5 TMG zu erfüllen haben, soweit sie Werbebanner einblenden und dadurch (auch nur kostendeckende) Einkünfte erzielt werden; vgl. Ott, MMR 2007, 354, 355. 122 Dies gilt jedoch nicht uneingeschränkt für jeden gemeinnützigen Verein, vgl. Griep, SRa 2009, 132. 123 Vgl. BT-Drucks. 16/3078, 14. 124 Vgl. u. a. OLG Düsseldorf, Urt. v. 18.12.2007 – 20 U 17/07 – BeckRS 2008, 06713. 125 Für ein weites Verständnis plädieren Spindler/Schuster/Micklitz/Schirmbacher, § 5 TMG Rn 10.
Bastek
344
Kapitel 7 Die Website – Datenschutzerklärung, Impressum & Co.
oder sonstige Internet-Handelsplattformen virulent.126 Die Grenzziehung erweist sich im Einzelfall als schwierig; ein einheitliches Verständnis konnte in der Jurisprudenz bisher nicht erzielt werden.127 Maßgebend für das Vorliegen eines eigenen Telemediums dürfte sein, dass der 58 Betreiber der Internetseite eigenständig Einfluss auf die Inhalte nehmen kann und sich das (Unter-)Angebot für einen objektiven Dritten als eigenständiger Auftritt des Unternehmens darstellt.128
2. Adressaten des § 6 TMG
59 Für den Bereich der kommerziellen Kommunikation bestimmt § 6 TMG zusätzli-
che über die Anbieterkennzeichnungspflicht hinausgehende Informationspflichten.129 Die Vorschrift verbietet die Verschleierung der Absenderinformation.130 Dies gilt insbesondere für den Bereich Werbung. Weiterhin fallen aber auch andere Marketingmethoden wie Preisnachlässe, Rabatte, Geschenke, Gewinnspiele, Newsletter und Produkthinweise unter den Begriff der kommerziellen Kommunikation.131 Da die Informationspflichten des § 6 TMG, im Unterschied zu denen des § 5 TMG, alle Arten von Telemedien, also nicht nur geschäftsmäßige, erfassen, ist der Anwendungsbereich des § 6 TMG weiter als der des § 5 TMG.132
III. Formale Anforderungen 60 Der Nutzer kann von den vielen Informationen nur profitieren, wenn der Unterneh-
mer diese in einer verbrauchergerechten Form darstellt.133 Folgerichtig ist der Verortung der Anbieterkennzeichnung mit Blick auf die technische Umsetzung besonderes Gewicht beizumessen.134 Nach § 5 Abs. 1 TMG hat der Diensteanbieter die „Informationen leicht erkennbar, unmittelbar erreichbar und ständig verfügbar zu halten“. Welche
126 Vgl. zum Problemkreis Spindler/Schuster/Micklitz/Schirmbacher, § 5 TMG Rn 13a. 127 BMJ, Allgemeine Hinweise zur Anbieterkennzeichnungspflicht im Internet („Impressumspflicht“), 18.2.2009, S. 3, abrufbar unter http://www.bmj.de/SharedDocs/Downloads/DE/pdfs/LeitfadenZurAnbieterkennzeichnung.pdf?__blob=publicationFile. 128 Vgl. BMJ, Allgemeine Hinweise zur Anbieterkennzeichnungspflicht im Internet („Impressumspflicht“), 18.2.2009, S. 3, abrufbar unter http://www.bmj.de/SharedDocs/Downloads/DE/pdfs/LeitfadenZurAnbieterkennzeichnung.pdf?__blob=publicationFile. 129 Hoeren/Sieber/Holznagel/Boemke, Teil 11 Rn 106. 130 BT-Drucks. 16/3078, 15. 131 Kitz, ZUM 2007, 368, 372. 132 Spindler/Schuster/Micklitz/Schirmbacher, § 6 TMG Rn 18. 133 Vgl. hinsichtlich vielfältiger Informationspflichten Hoeren/Sieber/Holznagel/Föhlisch, Teil 13.4 Rn 60. 134 Vgl. Heidrich/Forgó/Feldmann/Forgó/Schmieder, B. Kap. I 2.2.
Bastek
D. Impressum
345
Anforderungen im Einzelnen an die konkrete Umsetzung gestellt werden, wird unterschiedlich beurteilt.135
1. Leicht erkennbar Die Pflichtangaben sollten effektiv optisch wahrnehmbar sein.136 Dafür sollten 61 die Informationen „an gut wahrnehmbarer Stelle stehen und ohne langes Suchen und jederzeit auffindbar sein“.137 Die Rechtsprechung hält Angaben für leicht erkennbar, die optisch ohne Schwierigkeiten wahrnehmbar und durch einen hinreichend deutlich erkennbaren Link auffindbar sind.138 Weiterhin müssen sie aufgrund ihrer Bezeichnung auch als Hinweis auf die Anbieterkennzeichnung verstanden werden können.139 Als unschädlich hat der BGH insoweit eine Anbieterkennzeichnung, die mit „Kontakt“ und „Impressum“ bezeichnet war, erachtet.140 Ob bereits die Notwendigkeit jeglichen Scrollens zur Auffindbarkeit etwa eines 62 Impressums-Links bewirkt, dass ein Impressum nicht mehr leicht auffindbar ist oder ob dies erst bei einem umfangreichen Scrollen zu bejahen ist, ist nicht vollends geklärt.141 Allein aus Praktikabilitätsgründen kann es nur richtig sein, die Anforderung an die Platzierung nicht zu überspannen. Nichtsdestotrotz sollte sich zur Minimierung von Haftungsrisiken um eine bestmögliche Auffindbarkeit bemüht werden.
2. Unmittelbar erreichbar Die unmittelbare Erreichbarkeit ist gegeben, wenn eine kostenlose Zugangsmög- 63 lichkeit ohne wesentliche Zwischenschritte vorhanden ist.142 Wie bereits angedeutet, ist das Erfordernis erfüllt, wenn auf jeder Seite ein (leicht auffindbarer) Hyperlink platziert ist, der zu den Pflichtangaben führt.143
135 Vgl. Spindler/Schuster/Micklitz/Schirmbacher, § 5 TMG Rn 15. 136 Spindler/Schuster/Micklitz/Schirmbacher, § 5 TMG Rn 16 m. w. N. 137 BT-Drucks. 14/6098, 21, Begründung zu § 6 TDG. 138 Vgl. OLG Hamburg, Beschl. v. 17.1.2012 – 3 W 54/10 – ZUM-RD 2012, 539. 139 Müller-Broich, § 5 Rn 18. 140 BGH, Urt. v. 20.7.2006 – I ZR 228/03 – NJW 2006, 3633. 141 Eine leichte Erkennbarkeit verneinend OLG Hamburg, Beschl. v. 20.11.2002 – 5 W 80/02 – MMR 2003, 105; OLG München, Urt. v. 12.2.2004 – 29 U 4564/03 – MMR 2004, 321; a. A. Ott, MMR 2007, 354, 358. 142 Spindler/Schuster/Micklitz/Schirmbacher, § 5 TMG Rn 25 m. w. N. 143 OLG Hamburg, Urt. v. 24.6.2004 – 3 U 201/03 – LSK 2005, 270105 (Ls.).
Bastek
346
Kapitel 7 Die Website – Datenschutzerklärung, Impressum & Co.
3. Ständig verfügbar
64 Der Nutzer muss auf die Informationen jederzeit zugreifen können.144 Dies ist
gewährleistet, soweit die Pflichtangaben über einen dauerhaft funktionstüchtigen Link verfügbar sind, nicht hingegen, wenn die Anbieterkennzeichnung erst nach Eingabe der persönlichen Daten, Nutzerregistrierung, Hinzufügung eines Produktes zum virtuellen Warenkorb oder Abgabe einer Bestellung abrufbar wird.145 Eine technisch bedingte Unverfügbarkeit, insbesondere zur Überarbeitung des Impressums, führt indes nicht zu einem Verstoß gegen die Anbieterkennzeichnungspflicht.146
IV. Inhalt 65 Generell gilt, dass ein Diensteanbieter seine Informationspflichten147 in deutscher
Sprache zu erfüllen hat, falls sein Angebot auf die Bundesrepublik Deutschland ausgerichtet ist und deutschem Recht unterliegt. Dies gilt auch dann, wenn sich das Angebot an Konsumenten im Ausland wendet.148 Die Informationspflichten sollten zudem mittels handelsüblicher Standardsoft66 ware149 darstellbar sein und nicht vom Vorhandensein zusätzlicher Software (PDF, Plug-ins, JavaScript usw.) abhängen. Welche inhaltlichen Anforderungen an die Anbieterkennzeichnungspflicht 67 gestellt werden, ist in § 5 Abs. 1, 2 TMG geregelt. Insbesondere zu beachten ist dabei die Angabe des Namens und der Anschrift (Nr. 1) sowie die Aufnahme von Angaben zur Kontaktaufnahme (Nr. 2). Relevant werden können aber auch Angaben zur gesetzlichen Aufsichtsbehörde (Nr. 3), zu einer etwaig vorhandenen Register- oder Steuernummer (Nr. 4 und 6) sowie Angaben zum Beruf (Nr. 5) oder einer möglichen Liquidation des Unternehmens (Nr. 7). Auch wenn das Gesetz die Anbieterkennzeichnungspflicht ausführlich regelt, 68 ist häufig nicht genau ersichtlich, welche inhaltlichen Anforderungen erfüllt sein müssen, um nicht gegen § 5 Abs. 1 TMG zu verstoßen. Die folgende Darstellung soll
144 Spindler/Schuster/Micklitz/Schirmbacher, § 5 TMG Rn 29 m. w. N. 145 Hoeren/Sieber/Holznagel/Föhlisch, Teil 13.4 Rn 62. 146 OLG Düsseldorf, Urt. v. 4.11.2008 – I-20 U 125/08 – MMR 2009, 266, 267; Spindler/Schuster/Micklitz/Schirmbacher, § 5 TMG Rn 29, die Nichterreichbarkeit sollte jedoch auf wenige Minuten begrenzt bleiben. 147 Sollten Angaben optional möglich sein, so ist dies jeweils mit einem * gesondert gekennzeichnet. 148 Vgl. Heidrich/Forgó/Feldmann/Forgó/Schmieder, B. Kap. I 2.2.1. 149 Möglichst in reinem HTML.
Bastek
D. Impressum
347
als Leitlinie150 zur Erfüllung der Anbieterkennzeichnungspflicht dienen, wobei eine abschließende Darstellung nicht gewährleistet werden kann.151
1. Anbieterkennzeichnungspflicht für natürliche Personen Die nachstehende Checkliste dient als Leitlinie für die Erfüllung der Anbieterkenn- 69 zeichnungspflicht natürlicher Personen: Checkliste Informationspflicht nach § 5 Abs. 1 TMG
Hinweise
Nr. 1 (Name und Anschrift) Zumindest ein Vorname ist auszuschreiben152
Nachname, Vorname Vollständige, ladungsfähige ostanschrift P
– Die Postanschrift ist aktuell zu halten.154 – Sie muss mindestens PLZ, Ort, Straße und Hausnummer enthalten. – Die bloße Angabe eines Postfaches reicht nicht aus.155
Nr. 2 (Kontaktinformationen)
– Mindestangaben – Angabe einer E-Mailadresse156 – Angabe eines weiteren elektronischen oder nichtelektronischen Kommunikationsmittels157 (z. B. elektronische Anfragemaske oder Telefonnummer).158
153
150 Angelehnt an http://www.bmj.de/SharedDocs/Downloads/DE/pdfs/LeitfadenZurAnbieterkenn zeichnung.pdf;jsessionid=439C34F353A8CAACCA0295EE89B40EBD.1_cid334?__blob=publication File. 151 Vgl. Rn 1. 152 KG, Beschl. v. 13.2.2007 – 5 W 34/07 – GRUR-RR 2007, 328; Lorenz, VuR 2008, 321, 324; Hoeren/ Sieber/Holznagel/Föhlisch, Teil 13.4 Rn 116, gleiches gilt bei nicht rechtsfähigen BGB-Gesellschaften; bei hohem Bekanntheitsgrad kann ausnahmsweise auch die Angabe eines Pseudonyms ausreichen, Spindler/Schuster/Micklitz/Schirmbacher, § 5 TMG Rn 33. 153 Hoeren/Sieber/Holznagel/Föhlisch, Teil 13.4 Rn 120. 154 Dies folgt aus dem Grundsatz einer ladungsfähigen Anschrift, vgl. Saenger/Saenger, § 253 Rn 9. 155 Tamm/Tonner/Schirmbacher, § 14 Rn 129; Lorenz, VuR 2008, 321, 324, da eine Ersatzzustellung an ein Postfach nach §§ 180 f. ZPO nicht möglich ist. 156 Hoeren/Sieber/Holznagel/Föhlisch, Teil 13.4 Rn 124. 157 Wüstenberg, VuR 2013, 403, 406. 158 Mit Entscheidung des EuGH, Urt. v. 16.10.2008 – C-298/07 – NJW 2008, 3553, wurde abschließend entschieden, dass die Angabe einer Telefonnummer nicht erforderlich ist.
Bastek
348
Kapitel 7 Die Website – Datenschutzerklärung, Impressum & Co.
– Tipp: – Im Falle einer Telefonnummernangabe empfiehlt es sich, die Erreichbarkeit sicherzustellen. – Bei Verwendung von Anfragemasken ist sicherzustellen, dass innerhalb einer angemessenen Frist (nicht länger als 60 Minuten) geantwortet wird.159
2. Anbieterkennzeichnungspflicht für juristische Personen und Personengesellschaften 70 Die nachstehende Checkliste dient als Leitlinie für die Erfüllung der Anbieterkennzeichnungspflicht juristischer Personen und Personengesellschaften: Checkliste Informationspflicht nach § 5 Abs. 1 TMG
Hinweise
(Nr. 1) Name und Anschrift Vollständiger Firmenname einschließlich Rechtsformzusatz160
Anzugeben ist die korrekte, vollständige und ausgeschriebene Firmierung.161
Sitz (vollständige, ladungsfähige) Postanschrift162
– Die Postanschrift ist aktuell zu halten. – Sie muss mindestens PLZ, Ort, Straße und Hausnummer enthalten. – Zu beachten: Nicht ausreichend ist die Angabe eines Postfachs oder die einem Großunternehmen zugeteilte PLZ. – Bei mehreren Niederlassungen ist diejenige Anschrift der Niederlassung zu nennen, bei der die organisatorischen Ressourcen für den Betrieb der Telemedien gebündelt sind, im Zweifel die Hauptniederlassung.163
159 Müller-Broich, § 5 Rn 8. 160 Spindler/Schuster/Micklitz/Schirmbacher, § 5 TMG Rn 33a. 161 Hoeren/Sieber/Holznagel/Föhlisch, Teil 13.4 Rn 117. 162 Vgl. Rn 65. 163 Vgl. Lorenz, VuR 2008, 321, 325; Spindler/Schuster/Micklitz/Schirmbacher, § 5 TMG Rn 34.
Bastek
D. Impressum
349
Vertretungsberechtigter,164 aufgrund von Art. 246 § 1 Abs. 1 Nr. 3 EGBGB
– Gesetzliche/rechtsgeschäftliche Vertreter sind mit Vor- und Nachname aufzunehmen, sofern an diese eine Zustellung möglich ist und es sich um natürliche Personen handelt.165 – Zu beachten: Die Angabe eines „für den Inhalt Verantwortlichen“ genügt nicht.166 – Ist eine juristische Person vertretungsberechtigt (etwa die GmbH bei einer GmbH & Co. KG), muss auch der Vertretungsberechtigte, also in diesem Fall der Geschäftsführer, der juristischen Person genannt werden.167 – Bei Gesamtvertretung sollten sämtliche Vertretungs berechtigte benannt werden.168 – Nicht erforderlich ist die Angabe aller Alleinvertretungsberechtigten Gesellschafter einer Gesellschaft.169
Nr. 2 (Kontaktinformationen)
– Mindestangaben: – Angabe einer E-Mail-Adresse;170 – Angabe eines weiteren elektronischen oder nicht- elektronischen Kommunikationsmittels (z. B. elektro nische Anfragemaske oder Telefonnummer).171
Weiterhin besteht die Möglichkeit, freiwillig Angaben über das Gesellschaftskapital 71 in das Impressum aufzunehmen. Sollte sich dafür entschieden werden, sind sowohl das Stamm- oder Grundkapital sowie, wenn nicht alle in Geld zu leistenden Einlagen eingezahlt sind, der Gesamtbetrag der ausstehenden Einlagen zu nennen.172 Auch Angaben zum Stammkapital an anderer Stelle, wie etwa in einem auf der Website abrufbaren Geschäftsbericht, begründen nach richtiger Ansicht keine zwingende Informationspflicht im Impressum. Es dürften Angaben an der entsprechenden Stelle selbst ausreichen.173
164 Die Angabe stellt keine Marktverhaltensregelung i. S. v. § 4 Nr. 11 UWG dar, so jedenfalls KG, Beschl. v. 21.9.2012 – 5 W 204/12 – NJW-RR 2013, 609. 165 Müller-Broich, § 5 Rn 4. 166 Ebenso Spindler/Schuster/Micklitz/Schirmbacher, § 5 TMG Rn 36; Hoeren/Sieber/Holznagel/Föhlisch, Teil 13.4 Rn 122. 167 Vgl. Lorenz, VuR 2008, 321, 324. 168 Zur Sicherstellung einer effektiven Rechtsverfolgung, Hoeren/Sieber/Holznagel/Föhlisch, Teil 13.4 Rn 122; a. A. Spindler/Schuster/Micklitz/Schirmbacher, § 5 TMG Rn 37. 169 Hoeren/Sieber/Holznagel/Föhlisch, Teil 13.4 Rn 122. 170 Hoeren/Sieber/Holznagel/Föhlisch, Teil 13.4 Rn 124. 171 Tipp, s. o. Rn 65. 172 Spindler/Schuster/Micklitz/Schirmbacher, § 5 TMG Rn 39. 173 Spindler/Schuster/Micklitz/Schirmbacher, § 5 TMG Rn 39.
Bastek
350
Kapitel 7 Die Website – Datenschutzerklärung, Impressum & Co.
3. Besondere Informationspflichten für bestimmte Diensteanbieter
72 Für bestimmte Diensteanbieter ergeben sich besondere Informationspflichten. Dies
gilt z. B. für Betreiber von Internetgeschäften, die neben den Pflichten des § 5 TMG auch die der § 312c Abs. 1 i. V. m. Art. 246 § 1 Abs. 1 Nr. 1 bis 3 EGBGB einzuhalten haben oder die – wie Rechtsanwälte, Steuerberater oder Ärzte – berufsrechtlich reglementiert sind.174 Checkliste Informationspflicht
Betroffene Berufsgruppen
Hinweis
§ 5 Abs. 1 Nr. 3 TMG (Zuständige Aufsichtsbehörde)
Die Verpflichtung zur Angabe der zuständigen Aufsichtsbehörde wird insbesondere in den Fällen relevant, in denen ein Dienst im Rahmen einer Tätigkeit angeboten oder erbracht wird, die der behördlichen Zulassung bedarf (z. B. Rechtsanwälte, Gastronomie, Bauträger, Makler, Spiel hallenbetreiber, Versicherungs unternehmen).175
– Zu beachten: Die Informationspflicht gilt unahängig davon, ob eine Zulassung tatsächlich erteilt wurde.176 – Besteht keine Deckungsgleichheit zwischen Aufsichts- und Zulassungsbehörde, ist nur die Aufsichtsbehörde anzugeben.177 – Es ist sowohl die zuständige Aufsichtsbehörde als auch deren postalische Anschrift zu nennen.178 – Aus Transparenzgesichtspunkten empfiehlt es sich, den Namen der Behörde weiterhin mit der Website zu verlinken.179
§ 5 Abs. 1 Nr. 4 TMG (Registerangaben)
Diese Informationspflicht trifft insbesondere Diensteanbieter, die in ein Handels-, Vereins-, Partnerschafts- oder Genossenschaftsregister eingetragen sind.180
– Es ist sowohl die Registernummer als auch die zuständige Registerbehörde nebst postalischer Anschrift zu nennen.181 – Zu beachten: Sind mehrere Register vorhanden, ist nur das statusrelevante Register anzugeben.182
174 Hoeren/Sieber/Holznagel/Föhlisch, Teil 13.4 Rn 115. 175 Gleiches gilt nach § 312c Abs. 1 BGB i. V. m. 246 § 1 Abs. 2 Nr. 1 EGBGB für Banken, Hoeren/Sieber/ Holznagel/Föhlisch, Teil 13.4 Rn 127; weitere Beispiele in Müller-Broich, § 5 Rn 10. 176 Müller-Broich, § 5 Rn 10. 177 Spindler/Schuster/Micklitz/Schirmbacher, § 5 TMG Rn 49. 178 So Müller-Broich, § 5 Rn 10. 179 Spindler/Schuster/Micklitz/Schirmbacher, § 5 TMG Rn 53a. 180 Spindler/Schuster/Micklitz/Schirmbacher, § 5 TMG Rn 54. 181 Müller-Broich, § 5 Rn 11. 182 Hoeren/Sieber/Holznagel/Föhlisch, Teil 13.4 Rn 127.
Bastek
D. Impressum
351
– Ausländische, nicht in Deutschland eingetragene Diensteanbieter, die im Inland ihre Geschäftstätigkeit entfalten, müssen das betreffende ausländische Register und die entsprechende Registernummer angeben.183 § 5 Abs. 1 Nr. 5 TMG (Berufsrechtliche Angaben)
Diensteanbieter, die einer – Anzugeben ist die Kammer, der der reglementierten Berufsgruppe Diensteanbieter angehört, sofern eine angehören (freie Berufe, GesundPflichtmitgliedschaft besteht.185 heitshandwerke sowie Berufe, – Weiterhin muss eine exakte gesetzliche die grundsätzlich nicht reguliert Berufsbezeichnung erfolgen; sowie sind, bei denen die Führung eines der Staat benannt werden, in dem die bestimmten Titels aber von VorBerufsbezeichnung verliehen worden aussetzungen abhängig gemacht ist.186 wird [z. B. Architekten, beratende – Anzugeben sind ferner alle berufsrechtIngenieure und Heilhilfsberufe])184 lichen Regelungen, die die Voraussetzungen für die Ausübung des Berufes oder die Führung des Titels sowie ggf. spezielle Pflichten der Berufsangehörigen enthalten.187
§ 5 Abs. 1 Nr. 6 TMG (Steuernummer)
Diese Vorschrift richtet sich an Anbieter, die über eine Umsatzsteueridentifikationsnummer nach § 27a UStG oder eine Wirtschafts-Identifikationsnummer nach § 139c AO verfügen.188
Sofern eine Steuernummer tatsächlich vorhanden ist, ist diese anzugeben.189
V. Haftungsrisiken In praktischer Hinsicht besteht die Notwendigkeit, die Anbieterkennzeichnung den 73 gesetzlichen Anforderungen entsprechend auszugestalten. Anderenfalls liegt eine
183 Spindler/Schuster/Micklitz/Schirmbacher, § 5 TMG Rn 55. 184 Müller-Broich, § 5 Rn 13. 185 Spindler/Schuster/Micklitz/Schirmbacher, § 5 TMG Rn 60. 186 Hoeren/Sieber/Holznagel/Föhlisch, Teil 13.4 Rn 128. 187 Müller-Broich, § 5 Rn 13; umstritten ist, ob auch der Verweis auf eine Fundstelle ausreichen soll, dies dürfte mit Spindler/Schuster/Micklitz/Schirmbacher, § 5 TMG Rn 63 schon als Praktikabilitätsgründen zu bejahen sein. 188 Müller-Broich, § 5 Rn 15. 189 Wüstenberg, VuR 2013, 403, 407; zu beachten ist jedoch, dass dieses Erfordernis allein Finanzbehörden dienlich ist, Hoeren/Sieber/Holznagel/Föhlisch, Teil 13.4 Rn 129.
Bastek
352
Kapitel 7 Die Website – Datenschutzerklärung, Impressum & Co.
Ordnungswidrigkeit vor,190 die mit einer Geldbuße von bis zu 50.000 € 191 geahndet werden kann. Zum anderen kann ein Verstoß gegen § 5 TMG ggf. zu Unterlassungsansprüchen von konkurrierenden Marktteilnehmern und klagbefugten Verbänden führen,192 die in der Praxis regelmäßig über kostenpflichtige Abmahnungen durchgesetzt werden.193 Vor dem Hintergrund, dass § 5 TMG mitunter als Schutzgesetz i. S. d. § 823 Abs. 2 BGB qualifiziert wird,194 droht auch die Geltendmachung von Schadensersatz durch Kunden und Verbraucher.
190 § 16 Abs. 1, 2 Nr. 1 TMG. 191 § 16 Abs. 3 TMG. 192 Vgl. Spindler/Schuster/Micklitz/Schirmbacher, § 5 TMG Rn 69. 193 Dies soll jedoch nicht für reine Bagatellverstöße gelten. Vgl. in Bezug auf unvollständige Informationen über die Komplementärin einer GmbH & Co. KG Hoeren/Sieber/Holznagel/Föhlisch, Teil 13.4 Rn 117 mit Bezugnahme auf OLG Brandenburg, Beschl. v. 17.9.2009 – 6 W 141/09 – BeckRS 2009, 26513. 194 AG Mönchengladbach, Urt. v. 29.4.2003 – 5 C 286/02 – NJW-RR 2003, 1208, 1210.
Bastek
Kapitel 8 Umgang mit Beschäftigtendaten – Von der Bewerbung bis zur Kündigung A. Einführung I. Die Rechtsquellen 1. Das Arbeitsrecht Informationen über das für sie tätige Personal sammelten und sammeln Arbeitge- 1 ber in sog. Personalakten. Was zulässig zum Inhalt der Personalakte genommen werden durfte und welche Einsichts- und Korrekturrechte den Beschäftigten zustehen, wurde1 bzw. wird für den öffentlichen Dienst in den personalaktenrechtlichen Bestimmungen der Beamtengesetze2 geregelt. Den privaten Arbeitgebern gab der Gesetzgeber eine Vorgabe zur Führung von 2 Personalakten erst mit den 1972 in § 83 BetrVG geschaffenen Rechten auf Einsicht und korrigierende Gegendarstellung. Die Regelungen gelten unabhängig davon, ob die Vorgänge herkömmlich oder digitalisiert gespeichert werden. Gleichzeitig wurde in § 75 Abs. 2 BetrVG der Anspruch auf Schutz und freie Entfaltung der Persönlichkeit auch arbeitsrechtlich verankert. U. a. hierauf basierend wurden in kasuistischer Rechtsprechung die Grenzen für die Datenerhebungs- und Kontrollbefugnisse des Arbeitgebers gezogen.
2. Das BDSG Daneben steht seit 1976 das BDSG, mit dem den durch die automatisierte Verarbei- 3 tung personenbezogener Daten entstehenden neuen Gefährdungen des Persönlichkeitsrechts begegnet werden sollte. Eine spezielle Aussage zur Verarbeitung von „Beschäftigtendaten“ wurde aber 4 erst 20093 in das Gesetz (§ 32) eingefügt. Im Gegensatz zu dem grundsätzlich auf automatisierte und dateigebundene Verarbeitungen beschränkten Anwendungsbereich des BDSG (§§ 1 Abs. 2 Nr. 3, 27 Abs. 1 S. 1 Nr. 1) gilt die spezielle Zulässigkeitsnorm unabhängig von dem Verarbeitungsverfahren (§ 32 Abs. 2 BDSG). Sie schützt zudem nicht nur Arbeitnehmer, sondern alle die in § 3 Abs. 11 BDSG aufgezählten abhängig
1 Vgl. bei Gola/Wronka, Rn 87 ff. zu den Grundsätzen des Personalaktenrechts. 2 Vgl. z. B. §§ 110 ff. BBG. 3 BGBl. I v. 14.8.2009, S. 2814.
Gola
354
Kapitel 8 Umgang mit Beschäftigtendaten
Beschäftigten und dies auch in ihrer Stellung als Bewerber bzw. ehemalige Mitarbeiter.
3. Keine Ausschließlichkeit
5 Aufgrund der sog. doppelten Subsidiarität des Gesetzes (§§ 1 Abs. 3, 4 Abs. 1 BDSG)4
kommt § 32 BDSG nicht zum Zuge, wenn spezielle Erlaubnis- oder Verbotsregelungen den Sachverhalt bereits regeln. Dies gilt auch für spezielle Erlaubnis- und Verbotsregeln im BDSG selbst. Will der Arbeitgeber besondere Arten personenbezogener Daten verarbeiten, gilt die restriktive Schutzregelung des § 28 Abs. 6 Nr. 3 BDSG.5 Will er auf Daten aus öffentlich zugänglichen Quellen im Rahmen der Bewerberauswahl zugreifen, ist § 28 Abs. 1 S. 1 Nr. 3 BDSG der Maßstab.6 Zudem verdrängt § 32 Abs. 1 BDSG ausschließlich die zuvor geltende allgemeine 6 Zulässigkeitsvorgabe des § 28 Abs. 1 S. 1 Nr. 1 BDSG.7 Anstatt die Erforderlichkeit der Daten am Zusammenhang mit einem rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnis auszuloten, wird in § 32 Abs. 1 S. 1 BDSG der Tatbestand dahingehend konkretisiert, dass Beschäftigtendaten erhoben, verarbeitet und genutzt werden dürfen, wenn dies im Rahmen der verschiedenen Phasen eines Beschäftigungsverhältnisses, d. h. seiner Begründung, seiner Durchführung oder seiner Beendigung, erforderlich ist. Auch wenn als Konsequenz hieraus eine alternative Heranziehung des § 28 Abs. 1 7 S. 1 Nr. 2 BDSG neben dem § 32 Abs. 1 S. 1 BDSG zulässig ist, so kann jedoch dieser Tatbestand in der Regel zu keinem für den Arbeitgeber günstigeren Ergebnis führen, wenn bereits die auch im Rahmen des § 32 Abs. 1 S. 1 BDSG regelmäßig erforderliche Interessenabwägung zulasten des Arbeitgebers ausfiel.8
4. „Beschäftigungsfremde“ Verarbeitungszwecke
8 Sollen personenbezogene Daten von Bewerbern oder Mitarbeitern für „beschäfti-
gungsfremde“ Zwecke, d. h. nicht zur Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses mit dem Betroffenen, erhoben, verarbeitet oder genutzt werden, gibt § 28 BDSG insgesamt den Zulässigkeitsrahmen vor. Beispiele sind Datenübermittlungen im Rahmen des Due Diligence bei einem beabsichtigten Unternehmensverkauf9 oder die Nutzung von Beschäftigtendaten zur ausnahmsweise
4 Gola/Schomerus, § 1 Rn 23; § 4 Rn 7 ff. 5 BAG, Beschl. v. 7.2.2012 – 1 ABR 46/10 –. 6 Strittig; vgl. nachfolgend Rn 88 ff. 7 Strittig, wobei sich die Autoren u. a. auf widersprüchliche Aussagen in der Gesetzesbegründung berufen. 8 Vgl. auch Gola/Schomerus, § 28 Rn 9 zur dortigen gleichen Fragestellung. 9 Nachfolgend Rn 244 ff.
Gola
A. Einführung
355
gestatteten werblichen Ansprache10 oder zur Zusendung einer Arbeitgeberzeitschrift.11 Zu beachten ist, dass § 28 BDSG nur automatisierte und „dateigebundene“ Verarbeitungen betrifft.
II. Die Rechtspositionen des Beschäftigten 1. Einwilligung des Beschäftigten Auf den ersten Blick wird dem Grundsatz der informationellen Selbstbestimmung 9 dann Rechnung getragen, wenn der Arbeitgeber die Erhebung oder Verarbeitung von Daten nur dann vornimmt, wenn der Betroffene damit einverstanden ist, d. h. hierin einwilligt. Jedoch sollte auf die Einwilligung nur dann zurückgegriffen werden, wenn die Zulässigkeit sich nicht aus dem BDSG oder einer sonstigen Vorschrift ableiten lässt (§ 4 Abs. 1 BDSG). Dies gilt nicht nur aus Praktikabilitätsgründen, sondern auch, weil die Einwilligung im Regelfall jederzeit zurückgenommen werden kann. Fraglich ist dann, ob der Arbeitgeber jetzt noch auf sich aus § 32 BDSG ergebende Erlaubnisse zurückgreifen kann. Regelmäßig problematisch wird zudem die in § 4a Abs. 1 S. 1 BDSG geforderte 10 Freiwilligkeit sein, d. h., dem Beschäftigten muss es freistehen, die Einwilligung zu versagen, ohne Nachteile befürchten zu müssen. Des Weiteren kann die Einwilligung nicht dazu dienen, zwingende Schutznormen – hierzu gehören die arbeitsrechtlichen Grenzen des Fragerechts – aufzuheben oder zu umgehen.12 Andererseits gibt es Situationen, in denen die Einwilligung „conditio sine qua non“ ist, da ohne deren Abgabe der Arbeitsvertrag nicht abgeschlossen werden kann. Dies gilt z. B. bei Telearbeitsverträgen hinsichtlich des dem Arbeitgeber einzuräumenden häuslichen Kontrollrechts oder bei Tätigkeiten im Call Center hinsichtlich des ggf. heimlichen Monitorings der Gesprächsführung.
2. Transparenz Datenverarbeitungen dürfen grundsätzlich nicht hinter dem Rücken des betroffenen 11 Beschäftigten stattfinden. Will der Arbeitgeber Informationen über den Bewerber oder Mitarbeiter erheben, hat er sich zunächst an diesen zu wenden und dabei über die Zwecke der Datenerhebung zu informieren. Nur ausnahmsweise kann von diesem Prinzip der Direkterhebung abgewichen werden (§ 4 Abs. 2 S. 2 BDSG). Werden bei dritten Stellen erhobene Daten gespeichert, entstehen ggf. Benachrichtigungs-
10 Nachfolgend Rn 239 ff. 11 Vgl. Gola/Wronka, Rn 993 ff. 12 Vgl. Gola/Wronka, Rn 388.
Gola
356
Kapitel 8 Umgang mit Beschäftigtendaten
pflichten nach § 33 BDSG.13 Kenntlich zu machen ist eine Videoüberwachung (§ 6b Abs. 2 BDSG). Konkrete Informationen über die zu seiner Person gespeicherten Daten erhält der Beschäftigte bei dem Wahrnehmen seines Personalakteneinsichtsrechts (§ 83 Abs. 1 BetrVG) bzw. des Auskunftsrechts des § 34 BDSG. Spezielle Informationsund Auskunftspflichten bestehen, wenn Personalentscheidungen ausschließlich aufgrund automatisierter Auswertungen (§ 6a BDSG) erfolgen. Praxistipp Wird bei Personalauswahlgesprächen ein Protokoll als Gedächtnisstütze für die von der Auswahlkommission zu treffende Entscheidung geführt, sind die erfassten Angaben an der Erforderlichkeit nach § 32 Abs. 1 S. 1 BDSG zu messen. Auskunftsansprüche hat der Betroffene aufgrund der Loseblattform weder aus § 34 BDSG noch mangels Personalaktenqualität der Unterlage aus § 83 Abs. 1 BetrVG. Allein unter Heranziehung der Rücksichtnahmepflicht des § 241 Abs. 2 BGB und des auch dem Bewerber zustehenden informationellen Selbstbestimmungsrechts kann ein Einsichtsanspruch begründet werden.14
3. Korrekturrechte
12 Personenbezogene Daten der Beschäftigten können unzulässig verarbeitet oder
genutzt werden, wenn die Informationen unzutreffend sind.15 Gleiches gilt aber auch für zutreffende Informationen, wenn der Arbeitgeber sie unter Verletzung des Persönlichkeitsrechts bzw. ohne die nach § 4 Abs. 1 BDSG erforderliche Erlaubnis oder in einem fehlerhaften Verfahren16 erhebt, verarbeitet bzw. nutzt. Abwehrrechte, d. h. Korrektur- und Unterlassungs- bzw. Löschungsrechte, ergeben sich für den Beschäftigten aus sich ergänzenden arbeits- und datenschutz- und allgemeinen zivilrechtlichen Normen. Grundlage ist zunächst die dem Arbeitgeber obliegende Fürsorge-17 und Rücksichtnahmepflicht nebst der Pflicht zur Gewährleistung des Persönlichkeits- bzw. informationellen Selbstbestimmungsrechts18 (§§ 241, 242, 1004 BGB). Bei Verarbeitungen im Geltungsbereich des BDSG19 regelt § 35 die parallel geltenden Pflichten zur Berichtigung, Löschung oder Sperrung. Besteht Streit über die Richtigkeit, so kann der Beschäftigte auch von dem personalaktenrechtlichen „Gegendarstellungsrecht“ des § 83 Abs. 2 BetrVG Gebrauch machen, nach dem er befugt ist,
13 Vgl. Gola/Wronka, Rn. 1272 ff. 14 So das BAG, Urt. v. 16.11.2010 – 9 AZR 573/09 – für Auskunfts- und Korrekturansprüche eines ausgeschiedenen Arbeitnehmers aus seiner ehemaligen Personalakte. 15 Bei Abmahnungen vgl. BAG, Urt. v. 11.12.2001 – 9 AZR 464/100 –. 16 Zu verfahrensfehlerhaften Beurteilungen vgl. BAG, Urt. v. 18.11.2008 – 9 AZR 865/07 –; bei unzureichender Organisation eines Drogenscreenings bei Soldaten vgl. BVerfG, Beschl. v. 14.1.2005 – 2 BvR 488/04 –. 17 Vgl. Richardi/Thüsing, § 83 Rn 39. 18 LAG Berlin-Brandenburg, Beschl. v. 18.7.2011 – 10 Ta 1325/11 –. 19 Vgl. vorstehend Rn 4.
Gola
A. Einführung
357
Erklärungen zum Inhalt der Personalakte abzugeben, die der Arbeitgeber „ohne Kommentar“ im räumlichen Zusammenhang mit dem bestrittenen Vorgang aufzunehmen hat. Das Gegendarstellungsrecht ist keine abschließende, die Korrekturrechte des BDSG verdrängende Regelung. Allein im sog. non-liquet-Fall hat die arbeitsrechtliche Spezialregelung Vorrang vor der Pflicht zur Sperrung nach § 35 Abs. 4 BDSG.20
III. Datenschutz im kollektiven Arbeitsrecht 1. Die Schutzfunktion der Mitarbeitervertretung Beschäftigtendatenschutz wird auf zwei Ebenen gestaltet, nämlich durch individual- 13 und kollektivrechtliche Regelungen. Den Mitarbeitervertretungen sind Kontrollund Mitgestaltungsmöglichkeiten eingeräumt, die dazu beitragen sollen, dass der Arbeitgeber die zugunsten der Arbeitnehmer geltenden Schutzgesetze einhält (§ 80 Abs. 1 Nr. 1 BetrVG) und seinem Auftrag, die freie Entfaltung der Persönlichkeit der Beschäftigten zu fördern (§ 75 Abs. 2 BetrVG), in vollem Umfang nachkommt. Die wesentlichen datenschutzbezogenen Mitbestimmungsrechte betreffen die Erhebung und Verwendung personenbezogener Daten beinhaltenden Regelungen von Ordnung und Verhalten im Betrieb (§ 87 Abs. 1 Nr. 1 BetrVG); die Einführung bzw. den Einsatz technischer Überwachungseinrichtungen, wobei der Tatbestand erfüllt ist, wenn Beschäftigtendaten mit der Möglichkeit der Leistungs- und Verhaltenskontrolle automatisiert verarbeitet werden (§ 87 Abs. 1 Nr. 6 BetrVG); die Gestaltung von Personalfragebögen (§ 94 Abs. 1 BetrVG); die Gestaltung von Beurteilungsgrundsätzen und Auswahlrichtlinien (§§ 94 Abs. 2, 95 BetrVG). Kollektives und individuelles Datenschutzrecht sind dadurch miteinander ver- 14 zahnt, dass die Beachtung der diesbezüglich bestehenden Beteiligungsrechte des Betriebsrats Wirksamkeits- und Rechtmäßigkeitsvoraussetzung ist.21 Der kollektivrechtliche Rechtsverstoß führt dazu, dass der Mitarbeiter einer ansonsten im Direktionsrecht des Arbeitgebers liegenden Anweisung – so z. B. der Anweisung zur Bedienung automatisierter Zeiterfassung – nicht folgen muss. Der Rechtsverstoß wirkt als Verarbeitungs- bzw. Erhebungssperre und löst die entsprechenden Korrekturrechte der betroffenen Beschäftigten auf Löschung oder Unterlassung aus.22 Gegebenenfalls steht dem Mitarbeiter ein Leistungsverweigerungsrecht zu. Neben dem Mitarbeiter kann auch der Betriebsrat bei Missachtung der Mitbestim- 15 mungsrechte aus § 87 BetrVG die Beseitigung des eingetretenen betriebsverfassungsrechtlichen Zustands verlangen, und dies ggf. im Wege der einstweiligen Verfügung.
20 Richardi/Thüsing, § 83 Rn 41 f. 21 Fitting, § 87 Rn 599. 22 BAG, Urt. v. 12.1.1988 – I AZR 352/86 –.
Gola
358
16
Kapitel 8 Umgang mit Beschäftigtendaten
Andererseits ist die Rechtsprechung jedoch der Auffassung, dass ein unter einem Mitbestimmungsverstoß gewonnenes Beweismittel im Prozess gleichwohl gegen den Betroffenen verwertet werden darf.23 Nach der arbeitsgerichtlichen Rechtsprechung bewirkt die Verletzung eines Mitbestimmungstatbestands oder einer Dienstvereinbarung kein eigenständiges „betriebsverfassungsrechtliches Beweisverwertungsverbot“.24
2. Betriebsvereinbarungen
17 Haben die Betriebsparteien die Verarbeitung von Beschäftigtendaten in einer
Betriebsvereinbarung geregelt, so gehen deren Bestimmungen den Regelungen des BDSG vor, wobei die Betriebsparteien über die mitbestimmungspflichtigen Angelegenheiten hinaus freiwillige Betriebsvereinbarungen zum Arbeitnehmerdatenschutz abschließen können (§ 88 BetrVG). Der Vorrang der internen Regelung ergibt sich hinsichtlich ihrer Zulässigkeits- und Verbotsregelungen aus § 4 Abs. 1 BDSG. Der Charakter der Betriebsvereinbarung als sonstige Rechtsnorm ergibt sich aus § 77 Abs. 4 S. 1 BetrVG. Des Weiteren gilt das Günstigkeitsprinzip, d. h. den Betriebsparteien steht es z. B. offen, die Transparenzregelungen des BDSG zugunsten der Beschäftigten zu erweitern. Strittig ist, ob, den betrieblichen Erfordernissen Rechnung tragend, in einer 18 Betriebsvereinbarung Verarbeitungen erlaubt werden dürften, die das BDSG nicht zuließe.25 In jedem Falle bleibt der Gestaltungspielraum begrenzt, da die Regelungen an den „grundgesetzlichen Wertungen, zwingendem Gesetzesrecht und den sich aus allgemeinen Grundsätzen des Arbeitsrechts ergebenden Beschränkungen“ auszurichten sind. Zieht man insoweit den sich aus § 75 Abs. 2 BetrVG für Arbeitgeber und Betriebsrat gleichermaßen ergebenden Schutzauftrag hinzu, so sind Beispiele – wie auch die Rechtsprechung bislang belegt –, die eine nach § 32 Abs. 1 BDSG unzulässige Datenverarbeitung gleichwohl gestatten, kaum denkbar. Denkbar ist allein, dass die durch die weitergehende Erlaubnis geschaffene Rechtseinbuße an anderer Stelle wieder durch erweiterte Schutzregelungen ausgeglichen wird.
IV. Ausblick 19 Der 2009 in das BDSG eingefügte § 32 sollte der erste Schritt hin zu einer umfassenden
bereichsspezifischen Regelung des Beschäftigtendatenschutzes sein. Der zweite Schritt sollte erfolgen, als die damalige CDU-FDP-Regierung im Februar 2011 einen
23 BAG, Urt. v. 27.3.2003 – 2 AZR 51/02 –; Urt. v. 13.12.2007 – 2 AZR 537/06 –. 24 OVG Lüneburg, Urt. v. 14.9.2011 – 18 LP 15/10 –. 25 BAG, Beschl. v. 27.5.1986 – 1 ABR 48/84 –.
Gola
B. Datenschutz im Anbahnungsverhältnis
359
Entwurf eines Gesetzes in das Parlament einbrachte, mit dem das BDSG um konkrete Vorschriften zum Beschäftigtendatenschutz ergänzt werden sollte.26 Der Entwurf27 stieß sowohl bei Gewerkschaften als auch bei Arbeitgebern auf massiven Widerstand. Aufgrund von Widerständen in der CDU-Fraktion wurde ein zwischen den Koalitionsfraktionen ausgehandelter Kompromissentwurf bis zum Ende der Legislaturperiode nicht mehr auf die Tagesordnung des Bundestages gesetzt. In der Koalitionsvereinbarung der seit Ende 2013 im Amt befindlichen CDU/SPD-Regierung wird das Thema zunächst zurückgestellt, weil vorrangig versucht werden soll, die Verabschiedung der im EU-Gesetzgebungsverfahren befindlichen EU-DS-GVO zum Abschluss zu bringen.28 Nach ihrer Verabschiedung sollen die Nationalstaaten die Befugnis haben, den Beschäftigtendatenschutz unter den Vorgaben der ansonsten unmittelbar geltenden Verordnung national zu regeln (Art. 82).
B. Datenschutz im Anbahnungsverhältnis I. Rechtliche Grundlagen Wenn ein Bewerber und ein Arbeitgeber in Kontakt treten, um Verhandlungen über 20 die Begründung eines Beschäftigungsverhältnisses aufzunehmen, kommt ein vorvertragliches Schuldverhältnis zustande, in dessen Verlauf beide Seiten versuchen werden, möglichst viele Informationen über den Anderen zu gewinnen. Während dem Bewerber an einem Schutz seiner Privatsphäre gelegen ist, insbesondere daran, möglichst wenige für ihn möglicherweise nachteilige Informationen preisgeben zu müssen, will der Arbeitgeber alle Daten erheben, die er benötigt, um beurteilen zu können, ob der einzustellende Bewerber die für die Tätigkeit erforderliche fachliche Kompetenz, gesundheitliche Eignung und persönliche Zuverlässigkeit besitzt. Zu diesem Zweck wird der Arbeitgeber – nach einer Vorauswahl aufgrund schrift- 21 licher Bewerbungsunterlagen oder einem vom Bewerber ausgefüllten Fragebogen – in der Regel den in die engere Wahl gekommenen Bewerbern in einem Vorstellungsgespräch weitere Fragen stellen29 und sie möglicherweise bitten, weitere Unterlagen vorzulegen30 oder sich einer ärztlichen oder psychologischen Begutachtung31 zu
26 BT-Drucks. 17/4230. 27 Zum Text des Gesetzesentwurfs nebst Kommentierung vgl. bei Gola. 28 Zu den Auswirkungen der EU-DS-GVO auf den Beschäftigtendatenschutz vgl. Gola, RDV 2012, 60; Wybitul/Fladung, BB 2012, 509. 29 Näher dazu Rn 25 ff. 30 Siehe Rn 116 f. 31 Rn 98 f, 112 f.
Jacobi
360
Kapitel 8 Umgang mit Beschäftigtendaten
unterziehen. Außerdem kann der Arbeitgeber versuchen, Informationen über den Bewerber bei Dritten (z. B. einem früheren Arbeitgeber) oder im Internet einzuholen.32 22 Hierbei bedarf der Bewerber besonderen Schutzes. Denn um seine Chancen auf den Erhalt eines für die Bestreitung seines Lebensunterhalts erforderlichen Arbeitsplatzes nicht zu verschlechtern, kann er versucht sein, auch unangemessene Fragen, z. B. solche, die ausschließlich sein Privatleben betreffen, zu beantworten oder sich mit umfassenden Untersuchungen seines Gesundheitszustandes einverstanden zu erklären. Aus diesem Grund ist das Fragerecht des Arbeitgebers ebenso wie seine Befugnis zu sonstigen Datenerhebungen über den Bewerber beschränkt. Nach Abschluss des Auswahlverfahrens stellt sich die Frage, was mit den Daten 23 der nicht zum Zug gekommenen Bewerber zu geschehen hat und unter welchen Voraussetzungen diese vom Arbeitgeber weiter gespeichert und genutzt werden dürfen.33 Besondere datenschutzrechtliche Fragestellungen ergeben sich, wenn der 24 Arbeitgeber das Rekrutierungsverfahren ganz oder in Teilen nicht selbst durchführt, sondern einen Dienstleister damit betraut oder Bewerberdaten im Hinblick auf einen möglichen künftigen Bedarf vorgehalten werden sollen.34
II. Das Fragerecht des Arbeitgebers 1. Allgemeines a) Grundlagen 25 Mangels einer ausdrücklichen gesetzlichen Regelung hat das BAG Umfang und Grenzen des Fragerechts des Arbeitgebers anhand einzelner Fallgruppen im Wege richterlicher Rechtsfortbildung entwickelt. Das BAG gesteht einem Arbeitgeber ein Fragerecht insoweit zu, als er im Zusammenhang mit dem zu begründenden Arbeitsverhältnis ein berechtigtes, billigenswertes und schutzwürdiges Interesse an der Beantwortung seiner Frage hat.35 Das Interesse muss objektiv so stark sein, dass dahinter – im Wege einer Abwägung der beiderseitigen Interessen nach dem Grundsatz der Verhältnismäßigkeit – das Interesse des Bewerbers am Schutz seines Persönlichkeitsrechtes und an der Unverletzbarkeit seiner Privatsphäre zurücktreten muss.36 Der vom BAG geforderte Zusammenhang zwischen der erbetenen Auskunft und 26 der Erfüllung der vom Arbeitnehmer geschuldeten vertraglichen Leistung, seiner
32 Rn 96 f., 88 f. 33 Rn 126, 128. 34 Rn 127, 129 f. 35 BAG, Urt. v. 7.9.1995 – 8 AZR 828/93 –. 36 BAG, Urt. v. 7.6.1984 – 2 AZR 270/83 –.
Jacobi
B. Datenschutz im Anbahnungsverhältnis
361
sonstigen Pflichtenbindung oder mit den Pflichten des Arbeitgebers37 ist bezüglich aller Umstände zu bejahen, denen unter Zugrundelegung eines objektiven Maßstabs Aussagekraft für die vom Arbeitgeber zu beurteilende Eignung (fachliche Qualifikation, körperliche Verfassung, persönliche Eigenschaften) eines Bewerbers für die vorgesehene Tätigkeit zukommt, insbesondere solche, die objektiv geeignet sind, das in einem Arbeitsvertrag liegende Risiko für den Arbeitgeber zu erhöhen.38 Daneben wirken sich Diskriminierungs- und Benachteiligungsverbote 27 unmittelbar auf die Reichweite des Fragerechts aus. Darf ein Arbeitgeber bestimmte Umstände wegen eines verfassungsrechtlichen oder gesetzlichen Verbots in seine Auswahlentscheidung nicht einfließen lassen, besteht an deren Kenntnis grundsätzlich auch kein berechtigtes Interesse. Damit fehlt ein berechtigtes Interesse, soweit sich eine Frage auf Umstände 28 bezieht, die sich auf das Arbeitsverhältnis nicht auswirken können, deren Preisgabe einen übermäßigen Eingriff in die Persönlichkeitssphäre darstellen würde oder mit denen diskriminierungsrelevante Umstände oder damit zusammenhängende Eigenschaften oder Verhaltensweisen abgefragt werden.39
b) Erweiterung des Fragerechts durch Einwilligung, ungefragte Offenbarungen Auf eine Einwilligung des Bewerbers gem. § 4a BDSG sollten über das Fragerecht hin- 29 ausgehende Fragen nicht gestützt werden. Nach herrschender Meinung handelt es sich bei den durch die Rechtsprechung gezogenen Grenzen des Fragerechts um zwingende arbeitsrechtliche Schutznormen, die durch eine Einwilligung des Bewerbers nicht unterlaufen werden können.40 Selbst wenn man eine Einwilligung beim Fragerecht grundsätzlich zuließe, wird 30 ein Arbeitgeber den ihm obliegenden Beweis, dass die Einwilligung auf der freien Entscheidung des Bewerbers beruht, d. h. erteilt wurde, ohne dass der Bewerber im Fall einer Versagung ungerechtfertigte Nachteile befürchten musste, kaum jemals führen können. Denn ein Bewerber, der sich mit einer vom Arbeitgeber gewünschten Datenerhebung nicht einverstanden erklärt, muss befürchten, damit seine Chancen, die erwünschte Stelle zu erhalten, zu verringern oder gar zu verlieren.41 Im Anbahnungsverhältnis spricht deshalb – außerhalb bestimmter von Rechtsprechung und Literatur festgelegter Fallgruppen42 – eine Vermutung gegen die Freiwilligkeit
37 BAG, Urt. v. 7.9.1995 – 8 AZR 828/93 –. 38 MünchArbR/Buchner, § 30 Rn 261. 39 Däubler, Rn 209, 212. 40 Gola/Schomerus, § 4a Rn 7 (Einwand des Rechtsmissbrauchs, § 242 BGB). 41 Artikel-29-Datenschutzgruppe, WP 48, S. 27. 42 Siehe dazu weiter unten Rn 94, 96, 127, 186, 222, 227, 237, 239, 240 sowie § 32l Abs. 1 i. V. m. §§ 32 Abs. 6 S. 4, 32a Abs. 1 S. 2, Abs. 2 S. 2, 32h Abs. 1 S. 2 sowie 32i Abs. 2 S. 1 des Entwurfs eines Gesetzes zur Regelung des Beschäftigtendatenschutzes, BT-Drucks. 17/4230.
Jacobi
362
Kapitel 8 Umgang mit Beschäftigtendaten
einer Einwilligung.43 Besondere Umstände, die diese Vermutung aufheben können (insbesondere geringe Eingriffstiefe oder Datenverarbeitung als Voraussetzung einer für den Arbeitnehmer vorteilhaften Maßnahme, an der Arbeitgeber kein eigenes Interesse hat), liegen beim Fragerecht in der Regel nicht vor. Werden ein Bewerberfragebogen oder einzelne Fragen darin mit dem Zusatz ver31 sehen, dass die Beantwortung freiwillig ist, erweitert dies die Befugnisse des Arbeitgebers nicht. Der Hinweis in einem Bewerbungsgespräch oder Fragebogen, dass eine freiwil32 lige Offenbarung bestimmter Umstände möglich oder erwünscht ist, ist genauso wie eine entsprechende Frage geeignet, den Bewerber unter Druck zu setzen, sich entweder zu offenbaren oder den Unwillen des Arbeitgebers zuzuziehen. Ein solcher Hinweis steht daher – als unzulässige Umgehung – einer Frage gleich und ist ebenso wie diese nur in den Grenzen des Fragerechts zulässig. Offenbart ein Bewerber ungefragt, d. h. ohne zurechenbare Veranlassung durch 33 den Arbeitgeber, Informationen, die der Arbeitgeber nicht erfragen dürfte, liegt zwar keine Erhebung vor, denn Erheben i. S. v. § 3 Abs. 3 BDSG setzt ein zielgerichtetes Beschaffen voraus. Der weitere Umgang mit solchen Informationen, insbesondere ihre Speicherung und Nutzung zum Zwecke der Bewerberauswahl, ist jedoch an § 32 BDSG zu messen und damit unzulässig. Solche Daten dürfen deshalb nicht schriftlich oder elektronisch festgehalten werden. Entsprechende Aufzeichnungen sind gem. § 35 Abs. 2 Nr. 1 BDSG zu löschen.
c) Rechtsfolgen unzulässiger Fragen
34 Eine unzulässige Frage muss vom Bewerber nicht beantwortet werden. Um zu ver-
hindern, dass der Arbeitgeber aus der Verweigerung einer Antwort negative Schlüsse zulasten des Bewerbers zieht, gesteht die ganz herrschende Meinung ihm darüber hinaus das Recht zu, eine unzulässige Frage unrichtig zu beantworten. Kommt ein Arbeitsvertrag zustande, kann dessen Beendigung vom Arbeitgeber nicht auf die vom ihm veranlasste unrichtige Auskunft gestützt werden; das Recht zur Anfechtung wegen arglistiger Täuschung (§ 123 BGB) ist insoweit ausgeschlossen.44 Gleiches gilt für das Recht zur Anfechtung wegen Eigenschaftsirrtums (§ 119 Abs. 2 BGB) und Kündigung.45
43 Däubler/Klebe/Wedde/Weichert/Däubler, § 4a Rn 23. Die Freiwilligkeit in Bewerbungssituationen stets verneinend Taeger/Gabel/Taeger, § 4a Rn 60. 44 Sog. Recht zur Lüge, vgl. BAG, Urt. v. 22.9.1961 – 1 AZR 241/60 – sowie MünchArbR/Buchner, § 30 Rn 365, 376 und Henssler/Willemsen/Kalb/Thüsing, § 123 BGB Rn 8. Gilt nicht für ungefragte mündliche oder schriftliche Erklärungen des Bewerbers (BAG, Urt. v. 6.7.2000 – 2 AZR 543/99 –). 45 Grobys/Panzer/Littig, Kap. 81 Rn 17; Tschöpe/Wisskirchen/Bissels, Teil 1 C Rn 162.
Jacobi
B. Datenschutz im Anbahnungsverhältnis
363
Beantwortet ein Bewerber eine unzulässige Frage richtig oder falsch, liegt darin eine rechtswidrige Datenerhebung, die gem. § 43 Abs. 2 Nr. 1, Abs. 3 BDSG als Ordnungswidrigkeit mit einer Geldbuße bis zu 300.000 € geahndet werden kann. Die Datenschutzaufsichtsbehörde kann eine Beanstandung aussprechen und Wiederholungen des Verstoßes mittels einer Untersagungsverfügung gem. § 38 Abs. 5 S. 1 und 2 BDSG vorbeugen. Die rechtswidrig erhobenen Daten sind zu löschen, § 35 Abs. 2 Nr. 1 BDSG. Auf das allgemeine Persönlichkeitsrecht gestützte zivilrechtliche Ansprüche des Bewerbers auf Unterlassung oder Geldentschädigung für immaterielle Schäden spielen in der Praxis keine Rolle. Da es dem Bewerber freisteht, eine unzulässige Frage nicht oder unrichtig zu beantworten, wird eine unzulässige Frage nur ausnahmsweise einen rechtswidrigen Eingriff in das allgemeine Persönlichkeitsrecht eines Bewerbers begründen können, etwa dann, wenn die Frage aufgrund ihrer Form oder ihres Inhalts ehrverletzenden Charakter hat.46 In Geld entschädigt werden zudem nur schwerwiegende Verletzungen des allgemeinen Persönlichkeitsrechts, wenn Genugtuung nicht bereits durch Unterlassen oder Widerruf erreicht werden kann.47 Diese Voraussetzungen werden durch eine unzulässige Frage schwerlich erfüllt sein. Fragen des Arbeitgebers im Vorstellungsgespräch nach vom AGG verpönten Merkmalen (insbesondere Schwangerschaft, Religion, sexuelle Identität, Behinderung, ethnische Zugehörigkeit) können – im Verbund mit der nachfolgenden Nichteinstellung – Indizien für eine verbotene Diskriminierung sein, die gem. § 22 AGG eine Beweislastumkehr zur Folge haben.48 Liegen die Voraussetzungen für eine zulässige unterschiedliche Behandlung gem. §§ 8, 9 oder 10 AGG in solchen Fällen nicht vor, drohen dem Arbeitgeber Schadensersatzansprüche gem. § 15 Abs. 1 sowie § 15 Abs. 2 AGG (Ersatz von bis zu drei Monatsgehältern). In der bloßen Frage liegt allerdings noch keine Benachteiligung in Sinne des AGG.49 Einen gewissen Schutz vor unzulässigen Fragen bietet das Betriebsverfassungsund Personalvertretungsrecht. Nach § 94 Abs. 1 BetrVG und § 75 Abs. 3 Nr. 8 und 76 Abs. 2 Nr. 2 BPersVG bedürfen Personalfragebögen der Zustimmung des Betriebsoder Personalrats. Neben vom Bewerber auszufüllenden Einstellungsfragebögen fallen darunter auch mündliche Befragungen, die in standardisierter Form nach einer Checkliste durchgeführt werden.50 Die fehlende Zustimmung des Personalrats zu einem Personalfragebogen gibt dem Bewerber nicht das Recht, eine in dem Frage-
46 MünchArbR/Buchner, § 30 Rn 377 ff. 47 Palandt/Sprau, § 823 Rn 124. 48 Däubler/Bertzbach/Bertzbach, § 22 AGG Rn 44; Däubler/Bertzbach/Däubler, § 7 AGG Rn 39. 49 Szech, S. 113 (Frage als bloße Vorbereitungshandlung). 50 BAG, Urt. v. 21.9.1993 – 1 ABR 28/93 –; Fitting, § 94 Rn 8.
Jacobi
35
36
37
38
364
Kapitel 8 Umgang mit Beschäftigtendaten
bogen individualrechtlich zulässigerweise gestellte Frage wahrheitswidrig zu beantworten.51
2. Fallgruppen a) Stammdaten 39 Zur Identifizierung des Bewerbers und um diesen kontaktieren zu können, darf der Arbeitgeber Vorname, Name, Adresse, Festnetz- und Mobilfunknummer sowie E-Mail-Adressen erheben. Im Vorstellungsgespräch kann er sich zur Identifizierung des Bewerbers den Personalausweis vorlegen lassen. Das Anfertigen von Kopien hiervon oder die Speicherung darin enthaltener Daten wie Ausweisnummer, Geburtsdatum, -ort oder -name ist unzulässig, da zur Identifizierung nicht erforderlich. Den Wohnort des Bewerbers kann der Arbeitgeber auch deshalb erfragen, weil räumliche Nähe des Wohnorts des Arbeitnehmers zur Betriebsstätte die Durchführung des Arbeitsverhältnisses erleichtert. Aus diesem Grund kann auch die Bereitschaft zu einem Umzug erfragt werden.
b) Familienverhältnisse, Informationen über Angehörige 40 Fragen nach dem Familienstand, einer nichtehelichen Lebensgemeinschaft, privaten Beziehungen, Heiratsabsichten, Scheidung, Kinderwunsch, Familienplanung oder Verwandtschaftsbeziehungen mit anderen Betriebsangehörigen52 sind ebenso unzulässig wie die Frage, ob der Bewerber Kinder hat, in welchem Alter diese sind und ob er Unterstützung bei der Aufsicht und Erziehung erhält oder alleinerziehend ist. Hierbei handelt es sich um Daten aus der Privatsphäre des Bewerbers, die im Regelfall in keinem notwendigen Zusammenhang mit dem Arbeitsverhältnis stehen. Fragen nach dem Familienstand und den Familienverhältnissen des Bewerbers 41 (z. B. Zahl und Alter seiner Kinder, wie die Betreuung geregelt ist und ob der Bewerber alleinerziehend ist) können ausnahmsweise dann zulässig sein, wenn die Position, für die sich der Arbeitnehmer bewirbt, regelmäßig mit unvorhersehbaren Einsätzen zu ungewöhnlichen Zeiten verbunden ist, die einem alleinerziehenden Elternteil minderjähriger Kinder nicht oder nur schwer möglich sind.53
51 BAG, Urt. v. 2.12.1999 – 2 AZR 724/98 –. 52 ErfK/Preis, § 611 BGB Rn 275; Henssler/Willemsen/Kalb/Thüsing, § 123 BGB Rn 18. Für die Einstellung in kirchliche Einrichtungen gelten insoweit Ausnahmen. Die Frage nach dem Familienstand wird teilweise generell für zulässig erachtet, so von Tschöpe/Wisskirchen/Bissels, Teil 1 C Rn 88. 53 30. Tätigkeitsbericht des LfD Baden-Württemberg 2010/2011, S. 142, abrufbar unter http://www. baden-wuerttemberg.datenschutz.de/wp-content/uploads/2013/02/30.Tätigkeitsbericht-2011-Bro schüre.pdf. Strenger Fitting, § 94 Rn 20 sowie Däubler/Klebe/Wedde/Weichert/Däubler, § 32 Rn 23, die die Frage generell für unzulässig halten.
Jacobi
B. Datenschutz im Anbahnungsverhältnis
365
Bei Minderjährigen können Name und Anschrift der gesetzlichen Vertreter 42 erfragt werden. Ansonsten können Fragen zu Angehörigen (berufliche Tätigkeit bei Konkurrenzunternehmen, Zugehörigkeit zu verfassungsfeindlichen Organisationen) im Hinblick auf Sicherheitsbedenken (Sabotage- und Geheimnisschutz) in sicherheitsempfindlichen Bereichen zulässig sein, müssen sich jedoch auf Umstände beschränken, die geeignet sind, berechtigte Zweifel an der Zuverlässigkeit des Bewerbers zu begründen.54
c) Angaben zur Verfügbarkeit Die Frage nach dem frühestmöglichen Eintrittstermin ist unproblematisch. Gefragt 43 werden kann auch nach der Bereitschaft zu einem Auslandsaufenthalt oder dazu, sich später versetzen zu lassen oder – wenn es um die Besetzung eines Arbeitsplatzes im Schichtdienst geht – Schichtdienst zu leisten.
d) Ausbildung, Qualifikationen und Berufserfahrung Informationen zu Ausbildung und Studium (insbesondere Studiengang, -ort und 44 -dauer, fachliche Schwerpunkte, Zeugnis- und Prüfungsnoten), Qualifikationen und beruflichem Werdegang einschließlich Ausbildungs- und Weiterbildungszeiten ergeben sich regelmäßig bereits aus den vom Bewerber vorgelegten Zeugnissen. Angaben hierzu sind zur Feststellung der fachlichen Eignung des Bewerbers unerlässlich und dürfen daher – soweit ein Zusammenhang mit einem vom Arbeitgeber in Ausübung seiner unternehmerischen Freiheit objektiv nachvollziehbar für die persönliche und fachliche Qualifikation definierten Anforderungs- und Tätigkeitsprofil besteht – erfragt werden.55 Fragen nach Vorbeschäftigungen (frühere Arbeitgeber und Dauer der jeweili- 45 gen Beschäftigungsverhältnisse sowie längere Arbeitsfreistellungen) müssen wahrheitsgemäß beantwortet werden.56 Das schließt die Frage nach Vorbeschäftigungen bei Konkurrenzunternehmen oder bei demselben Arbeitgeber mit ein. An Letzterem kann auch deshalb ein Interesse bestehen, um die Unwirksamkeit einer Befristung nach § 14 Abs. 2 S. 2 TzBfG zu vermeiden. Vorbeschäftigungen dürfen unabhängig davon erfragt werden, ob sie einen unmittelbaren Bezug zur vorgesehenen Tätigkeit haben, sofern ihnen nicht jede Aussagekraft für die Eignung des Bewerbers im
54 MünchArbR/Buchner, § 30 Rn 341; Kittner/Zwanziger/Deinert/Becker, § 19 Rn 44. Vgl. auch 5. Tätigkeitsbericht des Innenministeriums Baden-Württemberg 2009, S. 68 (Tätigkeit des Partners des Bewerbers für Konkurrenzunternehmen in Finanzdienstleistungsgewerbe), abrufbar unter http://www. baden-wuerttemberg.datenschutz.de/wp-content/uploads/2013/02/5.-T%C3 %A4tigkeitsbericht-desInnenministeriums-2009.pdf. 55 ErfK/Preis, § 611 BGB Rn 273. 56 LAG Köln, Urt. v. 13.11.1995 – 3 Sa 832/95 –.
Jacobi
366
46
47
48
49
Kapitel 8 Umgang mit Beschäftigtendaten
Hinblick auf die angestrebte Tätigkeit fehlt.57 Grundsätzlich sind damit auch branchenfremde Vorbeschäftigungen nicht vom Fragerecht ausgenommen. Bei einfachen Tätigkeiten (z. B. Hilfsarbeiter) dürfen zur Feststellung einer etwaigen Überqualifikation vollständige Angaben zu Ausbildung, Studium und Vorbeschäftigungen erbeten werden.58 Referenzpersonen, d. h. Kollegen oder Vorgesetzte aus früheren Beschäftigungsverhältnissen, die dem Arbeitgeber – mit Einwilligung des Bewerbers – über die im Arbeitszeugnis enthaltenen Informationen hinaus weitere Angaben zum Inhalt der damaligen Tätigkeit und zur fachlichen Qualifikation des Bewerbers machen können, dürfen erfragt werden. Fragen nach den Gründen für die Beendigung eines früheren Arbeitsverhältnisses sind zulässig, soweit das vorgelegte Zeugnis oder Angaben des Bewerbers im Bewerbungsgespräch Anlass dazu geben. Wird kein Zeugnis vorgelegt, sollte der Arbeitgeber zunächst die Vorlage erbitten und sich ggf. erkundigen, warum der Bewerber auf die Ausstellung eines Zeugnisses verzichtet hat. Zu beachten ist jedoch, dass gerade solche Umstände durch Zeitablauf ihre Aussagekraft für die Beurteilung der aktuellen Eignung des Bewerbers verlieren können und dann auch nicht mehr erfragt werden dürfen.59 Nach EDV- und Sprachkenntnissen sowie sonstigen Fertigkeiten darf gefragt werden, wenn diese für die vorgesehene Tätigkeit bedeutsam sind. Gehört hierzu die Teilnahme am Straßenverkehr (z. B. bei Berufskraftfahrern oder im Außendienst), darf sich der Arbeitgeber danach erkundigen, ob der Bewerber im Besitz einer Fahrerlaubnis ist, ggf. auch danach, ob er einen eigenen Pkw besitzt. Während die Frage nach ausreichenden Deutschkenntnissen danach regelmäßig zulässig sein wird, darf nach der Muttersprache – unabhängig davon, ob daraus auf die ethnische Zugehörigkeit geschlossen werden kann – nur ausnahmsweise gefragt werden, wenn die Muttersprache eine wesentliche und entscheidende berufliche Anforderung darstellt, § 8 AGG.60 Das Ziel, eine gute Kommunikation mit Kunden und Kollegen zu gewährleisten, kann auch die Frage nach ausgezeichneten oder sehr guten Sprachkenntnissen rechtfertigen.61 Zulässig ist die Frage nach vertraglich vereinbarten Wettbewerbsverboten, die der angestrebten Beschäftigung entgegenstehen können, da für den neuen Arbeitge-
57 A. A. Däubler/Kittner/Klebe/Wedde/Klebe, § 94 BetrVG Rn 13 (Frage nur bei unmittelbarem Bezug zulässig). 58 LAG Berlin, Urt. v. 16.12.1988 – 6 Sa 8/88 –. 59 MünchArbR/Buchner, § 30 Rn 255; Däubler/Klebe/Wedde/Weichert/Däubler, § 32 Rn 19. 60 Schleusener/Suckow/Voigt/Suckow, § 11 Rn 89. 61 Vgl. LAG Schleswig-Holstein, Urt. v. 13.11.2012 – 2 Sa 217/12 – (Forderung nach ausgezeichneten Deutsch- und Englischkenntnissen kann bei Softwareprogrammierern sachlich gerechtfertigt und kein Indiz i. S. v. § 22 AGG sein).
Jacobi
B. Datenschutz im Anbahnungsverhältnis
367
ber die Gefahr besteht, dass der Arbeitnehmer seine Tätigkeit nicht aufnimmt oder wieder beendet, wenn der frühere Arbeitgeber gegen ihn vorgeht.62 Fragen zum Vorverdienst betreffen die Vermögensverhältnisse eines Bewerbers 50 und damit seine Privatsphäre. Sie sind unzulässig, wenn die Höhe der bisherigen Vergütung für die angestrebte Stelle keine Aussagekraft hat. Ein Fragerecht besteht, wenn das Einkommen beim bisherigen Arbeitgeber Rückschlüsse auf die Qualifikation für den nunmehr zu besetzenden Arbeitsplatz, insbesondere als leistungsbezogenes Gehalt auf die Einsatz- und Leistungsbereitschaft des Bewerbers zulässt oder der Bewerber sein bisheriges Gehalt als Mindestvergütung für die neue Stelle fordert.63 Rückschlüsse vom bisherigen Gehalt auf die Eignung für die jetzt angestrebte Position setzen voraus, dass beide Tätigkeiten vergleichbare Kenntnisse und Fähigkeiten erfordern. Wie viele Urlaubstage ein Bewerber im aktuellen Jahr bei seinem bisherigen 51 Arbeitgeber genommen hat, ist für die Auswahlentscheidung nicht relevant und darf deshalb im Bewerbungsverfahren nicht erfragt werden. Im bestehenden Arbeitsverhältnis darf die Frage im Hinblick auf den Ausschluss von Doppelansprüchen (§ 6 Mindesturlaubsgesetz für Arbeitnehmer) gestellt und eine Bescheinigung des bisherigen Arbeitgebers verlangt werden.
e) Staatsangehörigkeit, Aufenthalts- und Arbeitserlaubnis, Geburtsort Das Vorliegen einer Aufenthalts- und Arbeitserlaubnis ist Voraussetzung für eine 52 legale Beschäftigung. Die Frage danach ist deshalb trotz der Nähe zu den verbotenen Diskriminierungsmerkmalen „Rasse“ und „ethnische Herkunft“ zulässig.64 Nach Herkunftsländern innerhalb der EU darf zwar nicht gefragt werden, da deren Unterscheidung personaltechnisch vor dem Hintergrund der EU-Arbeitnehmerfreizügigkeit irrelevant ist.65 Der Arbeitgeber darf jedoch fragen, ob der Bewerber aus einem der Alt-EU-Staaten/EWR-Staaten/der Schweiz/einem EU-Beitrittsland oder dem sonstigen Ausland stammt und in letzterem Fall, ob er im Besitz einer gültigen Aufenthaltsund Arbeitserlaubnis ist. Ein Interesse des Arbeitgebers an einer darüber hinausgehenden Erhebung der Staatsangehörigkeit eines Bewerbers ist nicht ersichtlich. Eine solche Frage sollte daher unterbleiben.66 Unzulässig ist auch die Frage nach dem Geburtsort.
62 MünchArbR/Buchner, § 30 Rn 317. 63 BAG, Urt. v. 19.5.1983 – 2 AZR 171/81 –. 64 ErfK/Preis, § 611 BGB Rn 273. Vgl. LAG Nürnberg, Urt. v. 21.9.1994 – 3 Sa 1176/93 –: Das Verschweigen einer fehlenden Arbeitserlaubnis ist Grund für eine Kündigung gem. § 626 Abs. 1 BGB. 65 Eine Ausnahme galt bis 31.12.2013 für Rumänien und Bulgarien. Arbeitnehmer aus diesen Ländern benötigten bis zu diesem Zeitpunkt eine EU-Arbeitsgenehmigung, vgl. Ertl, DuD 2012, 126, 127. 66 5. Tätigkeitsbericht des Innenministeriums Baden-Württemberg 2009, S. 67, abrufbar unter http:// www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2013/02/5.-T%C3 %A4tigkeitsbe-
Jacobi
368
Kapitel 8 Umgang mit Beschäftigtendaten
f) Gesundheitsdaten (Krankheiten, Behinderung, Drogen)
53 Fragen nach Vorerkrankungen und dem Gesundheitszustand des Bewerbers betref-
fen seine Intimsphäre und sind daher nur eingeschränkt zulässig. Der Arbeitgeber darf sich danach erkundigen, ob – eine Krankheit oder Beeinträchtigung des Gesundheitszustandes vorliegt, durch die die Eignung für die vorgesehene Tätigkeit auf Dauer oder in periodisch wiederkehrenden Abständen eingeschränkt ist, – ansteckende Krankheiten vorliegen, die zwar nicht die Leistungsfähigkeit beeinträchtigen, jedoch die zukünftigen Kollegen oder Kunden gefährden, oder – zum Zeitpunkt des Dienstantritts bzw. in absehbarer Zeit mit einer Arbeitsunfähigkeit zu rechnen ist, z. B. durch eine geplante Operation, eine bewilligte Kur oder auch durch eine zurzeit bestehende akute Erkrankung.67
54 Die allgemein gehaltene Frage nach dem Gesundheitszustand ist mangels Aussage-
kraft für die Beurteilung der Eignung für die vorgesehene Tätigkeit ebenso unzulässig wie Fragen danach, ob und in welchem Umfang sich der Bewerber in der Vergangenheit in ärztlicher Behandlung befand oder befindet oder arbeitsunfähig erkrankt war. Gleiches gilt grundsätzlich auch für pauschale Fragen nach einzelnen Krankheiten (z. B. Allergien, Herz-, Kreislauf-, Sucht-, chronische oder Rückenerkrankungen), zumal solche Fragen auch leichtere Verlaufsformen der jeweiligen Krankheit miteinschließen, die die Eignung für die allermeisten Tätigkeiten unberührt lassen. Fragen nach Krankheiten, die dem Begriff der Behinderung i. S. d. § 1 AGG 55 sowie der europarechtlichen Gleichbehandlungsrichtlinien unterfallen – Voraussetzung sind insoweit physische, geistige oder psychische Beeinträchtigungen, die ein Hindernis für die Teilhabe am Berufsleben bilden und wahrscheinlich von langer (§ 2 Abs. 1 S. 2 SGB IX: 6 Monate) Dauer sind68 – können gem. § 22 AGG Indiz für eine verbotene Diskriminierung sein.69 Sie sind nur insoweit zulässig, als das Fehlen der Krankheit bzw. Behinderung gem. § 8 Abs. 1 AGG eine wesentliche und entscheidende berufliche Anforderung für die Tätigkeit ist (z. B. Epilepsie bei einem Piloten, Farbenblindheit bei einem Drucker). Das ist dann der Fall, wenn eine Eigenschaft – über Zweckmäßigkeitsgesichtspunkte oder sachliche Gründe hinaus – für die ordnungsgemäße Erfüllung zentraler Bestandteile des vom Arbeitgeber festgelegten Anforderungsprofils unerlässlich ist.
richt-des-Innenministeriums-2009.pdf. A. A. (Frage zulässig): Buchner in: FS Adomeit, S. 126; Selig, S. 104. 67 BAG, Urt. v. 7.6.1984 – 2 AZR 270/83 –. 68 EuGH, Urt. v. 11.7.2006 – C-13/05 –. 69 Vom BAG (Urt. v. 17.12.2009 – 8 AZR 670/08 –) bezüglich einer chronischen rheumatischen Erkrankung bejaht.
Jacobi
B. Datenschutz im Anbahnungsverhältnis
369
Damit liegen die Anforderungen für Fragen nach Behinderungen seit Inkrafttre- 56 ten des AGG etwas höher als für sonstige Krankheiten, weil es insoweit nicht mehr – entsprechend der bisherigen Rechtsprechung des BAG – ausreicht, dass die Eignung für die vorgesehene Tätigkeit (deutlich) eingeschränkt wird – selbst wenn dies mit finanziellen Belastungen für den Arbeitgeber verbunden ist –, sondern die Eignung auf Dauer vollständig entfallen muss. Das ist deshalb misslich, weil der Übergang von einer Krankheit zu einer Behinderung fließend ist. Gerade bei Fragen nach chronischen Krankheiten ist deshalb Vorsicht geboten. Hier kann die Grenze zu einer Behinderung schnell überschritten, eine an sich zulässige Frage danach unzulässig und sogar als Indiz für eine Diskriminierung anzusehen sein. Die Frage nach einer Einschränkung der Eignung infolge einer Krankheit (s. o.) sollte deshalb zumindest dann nicht mehr gestellt werden, wenn dem Arbeitgeber das Vorliegen einer Krankheit, die als Behinderung anzusehen sein könnte oder ausschließlich bei Menschen mit einer bestimmten Behinderung auftritt, bekannt ist. Praxistipp Die Frage nach arbeitsplatzrelevanten Behinderungen kann wie folgt formuliert werden: „Haben Sie eine Behinderung, die es Ihnen unmöglich machen wird, die vorgesehenen Aufgaben zu erfüllen?“
Bezüglich HIV/Aids ist zu differenzieren: Da eine akute Aids- bzw. HIV-Erkrankung 57 nach derzeitigem medizinischem Kenntnisstand unheilbar zum Tod führt und mit einer alsbaldigen dauerhaften Arbeitsunfähigkeit verbunden ist, ist die Frage danach durch § 8 Abs. 1 AGG gerechtfertigt und damit stets zulässig. Demgegenüber ist bei einer HIV-Infektion ein baldiger Ausbruch der Krankheit und damit der Eintritt von Arbeitsunfähigkeit nicht absehbar. Ein Recht zur Frage danach besteht deshalb nur – bei Tätigkeiten, mit denen ein erhöhtes Risiko der Ansteckung anderer verbunden ist, z. B. bei Berufen im Gesundheitswesen, bei der Herstellung von Lebensmitteln und Medikamenten oder in der Gastronomie oder – wenn der Erkrankte selbst wegen seiner Infektion durch die Tätigkeit einem erhöhten Risiko ausgesetzt ist (z. B. bei der Entsendung ins Ausland).70 Voraussetzung für ein Fragerecht ist in beiden Fallgruppen, dass der Arbeitgeber das Risiko im Einzelfall nicht durch angemessene Vorkehrungen ausschließen oder auf ein zumutbares Maß reduzieren kann.71 Während die Fragen nach Alkoholgewohnheiten oder sonstigem Drogenkon- 58 sum die Privatsphäre des Bewerbers betreffen und damit unzulässig sind, darf nach
70 MünchArbR/Buchner, § 30 Rn 288. 71 BAG, Urt. v. 19.12.2013 – 6 AZR 190/12 – (Kündigung eines Arbeitsverhältnisses bei Arzneimittelhersteller wegen symptomloser HIV-Infektion).
Jacobi
370
Kapitel 8 Umgang mit Beschäftigtendaten
einer Alkohol- oder Drogenabhängigkeit im Hinblick auf die damit regelmäßig einhergehende verminderte Leistungsfähigkeit gefragt werden.72 Wird eine Abhängigkeit bejaht, darf gefragt werden, ob der Bewerber in den letzten zwölf Monaten an einer Entziehungsmaßnahme/Drogentherapie teilgenommen hat.73 Alkohol- und Drogensucht sind grundsätzlich therapierbar und daher – sofern eine Heilung nicht im Einzelfall ausgeschlossen ist – nicht als Behinderung i. S. v. § 1 AGG anzusehen.74 Die Frage nach der Nichtrauchereigenschaft ist dagegen stets unzulässig. Die 59 bloße Möglichkeit, dass ein Raucher gegen ein Rauchverbot im Betrieb verstoßen oder besondere Begünstigungen (Raucherraum oder -pausen) verlangen könnte, rechtfertigt die Frage nicht, da davon auszugehen ist, dass sich jeder Arbeitnehmer an die betriebliche Ordnung hält.75
g) Schwerbehinderteneigenschaft
60 Die Rechtsprechung des BAG, wonach die Frage nach einer Schwerbehinderung oder
Gleichstellung bzw. einer Antragstellung auf Gleichstellung nach § 2 Abs. 3 SGB IX vor der Einstellung unabhängig davon zulässig ist, ob die zugrundeliegende Behinderung für die auszuübende Tätigkeit von Bedeutung ist (sog. tätigkeitsneutrale Frage),76 kann nach der Einführung der Diskriminierungsverbote des § 81 Abs. 2 S. 1 SGB IX zum 1.7.2001 sowie des AGG nicht mehr aufrechterhalten werden. Eine Behinderung darf danach gem. § 8 AGG nur noch abgefragt werden, soweit ihr Fehlen wesentliche und entscheidende Voraussetzung für die Ausübung der Tätigkeit ist. Die Tatsache, dass die Beschäftigung eines schwerbehinderten Menschen für den Arbeitgeber mit Lasten verbunden ist (Zusatzurlaub, besonderer Kündigungsschutz und verlängerte Kündigungsfristen), stellt nach dem AGG gerade keine Rechtfertigung für eine Benachteiligung dar. Die rechtliche Anerkennung als Schwerbehinderter hat – über die zugrundeliegende Behinderung hinaus – keinerlei zusätzliche Auswirkungen auf die Fähigkeit des Bewerbers, die vorgesehene Tätigkeit auszuüben. Die Frage danach ist deshalb im Anbahnungsverhältnis unzulässig.77 Will ein Arbeitgeber
72 Henssler/Willemsen/Kalb/Thüsing, § 123 BGB Rn 20; MünchArbR/Buchner, § 30 Rn 314. Enger Fitting, § 94 BetrVG Rn 25 sowie Grobys/Panzer/Littig, Kap. 81 Rn 7, die die Frage nur zulassen wollen, wenn gefährliche Tätigkeiten ausgeführt werden müssen oder ein erhöhtes Verletzungsrisiko besteht. 73 Tschöpe/Wisskirchen/Bissels, Teil 1 C Rn 70a. 74 ErfK/Preis, § 611 BGB Rn 282. A. A. Szech, S. 255, die Alkohol- und Drogensucht im Hinblick auf Rückfallquoten von bis zu 50 % nach einer Therapie als Behinderung ansieht und die Frage danach deshalb gem. § 8 Abs. 1 AGG nur bei risikobehafteten oder besonders verantwortungsvollen Tätigkeiten zulassen möchte. 75 MünchArbR/Buchner, § 30 Rn 313. A. A. Tschöpe/Wisskirchen/Bissels, Teil 1 C Rn 86, 87, die die Frage bei Produktionsabläufen, die empfindlich auf Tabakrauch reagieren, zulassen wollen. 76 BAG, Urt. v. 5.10.1995 – 2 AZR 923/94 – sowie Urt. v. 3.12.1998 – 2 AZR 754/97 –. 77 Ganz h. M.: Hessisches LAG, Urt. v. 24.3.2010 – 6/7 Sa 1373/09 –; ErfK/Preis, § 611 BGB Rn 274; a. A. MünchArbR/Buchner, § 30 Rn 290 (Frage weiterhin zulässig).
Jacobi
B. Datenschutz im Anbahnungsverhältnis
371
einen Schwerbehinderten einstellen, um die Quote nach § 71 SGB IX zu erreichen, kann er hierauf in der Stellenausschreibung oder im Bewerbungsgespräch hinweisen. Es bleibt dann dem Bewerber überlassen, ob er daraufhin von sich aus seine Schwerbehinderung offenbart. Eines eingeschränkten Fragerechts für diese Konstellation78 bedarf es deshalb nicht. Im bestehenden Arbeitsverhältnis ist die Frage nach einer Schwerbehinderung – jedenfalls nach sechs Monaten – dagegen zulässig.79
h) Schwangerschaft, Kinderwunsch, Familienplanung Eine Ungleichbehandlung aufgrund einer Schwangerschaft stellt gem. § 3 Abs. 1 S. 2 61 AGG eine unmittelbare Benachteiligung wegen des Geschlechts dar. Der EuGH hat den Diskriminierungsschutz für Schwangere kontinuierlich erweitert. Die Frage nach einer Schwangerschaft muss deshalb heute als ausnahmslos unzulässig angesehen werden, unabhängig davon, ob die Bewerberin sich auf ein unbefristetes oder befristetes Arbeitsverhältnis bewirbt oder als Schwangerschaftsvertretung80 beschäftigt werden soll; ebenso wenig spielt eine Rolle, ob die Schwangere wegen Beschäftigungsverboten von Anfang an, für den ganzen oder einen wesentlichen Teil der Vertragszeit (bei befristeten Arbeitsverhältnissen) ganz oder teilweise ausfällt und ob der Ausfall für den Arbeitgeber (insbesondere in einem Kleinbetrieb) mit erheblichen Belastungen verbunden oder die benötigte Arbeitsleistung für das ordnungsgemäße Funktionieren des Betriebs unverzichtbar ist.81 Die Vorlage einer Nichtschwangerschaftsbescheinigung kann der Arbeitge- 62 ber nicht verlangen. Umgehungsfragen (Einnahme empfängnisverhütender Mittel, Absicht, Elternzeit in Anspruch zu nehmen, Kinderwunsch, Familienplanung u. ä.) sind ebenfalls unzulässig.
78 Teilweise wird einem Arbeitgeber, der bevorzugt einen Schwerbehinderten einstellen möchte – insbesondere im Rahmen einer Maßnahme nach § 5 AGG (Integrationsplan oder -vereinbarung) – und den Bewerber hierauf hinweist, ein Fragerecht zugestanden, wobei der Bewerber die Frage nicht wahrheitsgemäß beantworten und der Arbeitnehmer ihn hierauf hinweisen muss (so Gola/Wronka, Rn 511). 79 BAG, Urt. v. 16.2.2012 – 6 AZR 553/10 –. 80 LAG Köln, Urt. v. 11.10.2012 – 6 Sa 641/12 – (kein Fragerecht und keine Offenbarungspflicht einer befristet als Schwangerschaftsvertretung eingestellten Arbeitnehmerin, die ihre Arbeit zunächst für mehrere Monate aufnehmen konnte). 81 Ganz h. M. Grundlegend: EuGH, Urt. v. 4.10.2001 – C-109/00 – (Tele Danmark) sowie BAG, Urt. v. 6.2.2003 – 2 AZR 621/01 –. In der Literatur wird ein Fragerecht z. T. angenommen, wenn bei einem wegen einer Schwangerschaftsvertretung befristeten Arbeitsverhältnis wegen eines sogleich eingreifenden Beschäftigungsverbots kein Leistungsaustausch stattfindet (MünchArbR/Buchner, § 30 Rn 307; Eschenbacher, S. 98 – 101 m. w. N.).
Jacobi
372
Kapitel 8 Umgang mit Beschäftigtendaten
i) Vorstrafen, Ermittlungsverfahren, gerichtliche Strafverfahren, Haftstrafen
63 Nach Vorstrafen darf ein Arbeitgeber nur unter Beschränkung auf das für den jeweili-
gen Arbeitsplatz wichtige Strafrechtsgebiet fragen.82 Als einschlägig anzusehen sind dabei Vorstrafen, die nach der Art ihrer Begehung oder den betroffenen Rechtsgütern objektiv eine besondere Nähe zu der vorgesehenen Beschäftigung aufweisen. Das BAG hat insoweit zwischen Vermögensdelikten (Bankkassierer), Verkehrsdelikten (Berufskraftfahrer), politischen Delikten (Mitarbeiter des Verfassungsschutzes) und Sittlichkeitsdelikten (Jugendpfleger) unterschieden. Vorstrafen, die gem. § 32 Abs. 2 BZRG nicht in ein Führungszeugnis aufgenommen werden, der Tilgung unterliegen oder nur in ein Führungszeugnis für Behörden aufgenommen werden, brauchen gem. § 53 Abs. 1 BZRG nicht offenbart zu werden; darauf ist der Bewerber hinzuweisen. Die Frage nach laufenden Straf- und Ermittlungsverfahren ist zulässig, soweit 64 bereits ein solches Verfahren Zweifel an der persönlichen Eignung und Zuverlässigkeit des Bewerbers für den konkreten Arbeitsplatz begründen kann83 oder die Verfügbarkeit des Bewerbers durch das Verfahren erheblich eingeschränkt ist, weil mit umfangreichen Ermittlungen, Untersuchungshaft oder der Verurteilung zu einer Freiheitsstrafe zu rechnen ist.84 Nach eingestellten Straf- und Ermittlungsverfahren darf – gleich, auf welche Weise sich das Verfahren erledigt hat – nicht gefragt werden.85 Nach der Verurteilung zu einer noch ausstehenden Freiheitsstrafe darf – sofern kein Freigängerstatus bewilligt wurde – im Hinblick auf die Verfügbarkeit des Bewerbers gefragt werden.86
j) Eintragungen im Verkehrszentralregister und Erziehungsregister, Disziplinarstrafen, Bußgeldentscheidungen 65 Berufskraftfahrer dürfen nach Eintragungen im Verkehrszentralregister gefragt werden. Nach Eintragungen im Erziehungsregister (§ 59 BZRG) darf nicht gefragt werden. Disziplinarstrafen und verwaltungsbehördliche Bußgeldentscheidungen dürfen nach allgemeinen Regeln erfragt werden, d. h. soweit sie (noch) Aufschluss
82 BAG, Urt. v. 5.12.1957 – 1 AZR 594/56 –. 83 BAG, Urt. v. 27.7.2005 – 7 AZR 508/04 – (bejaht für eine Strafverfahren wegen falscher Versicherung an Eides statt gegen wissenschaftliche Mitarbeiterin); BAG, Urt. v. 20.5.1999 – 2 AZR 320/98 – (bejaht für Ermittlungsverfahren wegen Verstoßes gegen das PflVG und Sachbeschädigung mittels Pkw gegen Polizisten und Ermittlungsverfahren wegen sexuellen Missbrauchs von Kindergartenkindern gegen Kindergärtner). 84 ErfK/Preis, § 611 BGB Rn 281. 85 BAG, Urt. v. 15.11.2012 – 6 AZR 339/11 –; LAG Köln, Urt. v. 10.10.2012 – 5 Sa 389/12 –. 86 Milthaler, S. 182.
Jacobi
B. Datenschutz im Anbahnungsverhältnis
373
über die Eignung des Bewerbers für die in Aussicht genommene Tätigkeit geben können; § 53 Abs. 1 BZRG gilt insoweit nicht.87
k) Vermögensverhältnisse Bei der Besetzung von Vertrauenspositionen, mit denen beträchtliche finan- 66 zielle Spielräume verbunden sind, kann sich der Arbeitgeber erkundigen, ob der Bewerber in geordneten wirtschaftlichen Verhältnissen lebt oder überschuldet ist, ob Lohnpfändungen oder -abtretungen erfolgt sind, der Bewerber eine eidesstattliche Versicherung abgegeben hat oder ein privates Insolvenzverfahren eröffnet wurde.88 Ansonsten sind – insbesondere bei Arbeitern und Angestellten des unteren und mittleren Verantwortungsbereichs – Fragen nach den privaten Vermögensverhältnissen unzulässig. Das Interesse, den durch Lohnpfändung und -abtretung verursachten Aufwand zu vermeiden, kann Fragen danach nicht rechtfertigen.89 Angaben über Rentenansprüche dürfen nicht erfragt werden. Im bestehenden 67 Arbeitsverhältnis sind Fragen hierzu im Rahmen einer freiwilligen Beratung, etwa über Freigrenzen und einen möglichen Hinzuverdienst, möglich.
87 Vgl. LAG Schleswig-Holstein, Urt. v. 12.1.2012 – 5 Sa 339/11 – (Frage nach einschlägigen Disziplinarstrafen bei Einstellung in öffentlichen Dienst zulässig). 88 Vgl. BGH, Urt. v. 29.8.1980 – 7 AZR 726/77 – (Kündigung rechtfertigender Eignungsmangel, wenn in einer Vertrauensstellung beschäftigter Arbeitnehmer so überschuldet ist, dass er voraussichtlich noch längere Zeit in ungeordneten wirtschaftlichen Verhältnissen lebt und häufige Lohnpfändungen erfolgen); BGH, Urt. v. 25.4.1980 – 7 AZR 322/78 – (Fragerecht nach Vermögensverhältnissen von leitenden Angestellten – zeitliche Grenze in Vergangenheit offengelassen, drei Jahre?); Däubler/Klebe/ Wedde/Weichert/Däubler, § 32 Rn 17; Plath/Stamer/Kuhnke, § 32 Rn 37: beträchtliche finanzielle Spielräume, insbesondere erhebliche Verfügungsrahmen werden bei Finanzdirektoren, Filialleitern, Bankangestellten und Mitarbeitern von Finanzdienstleistungsunternehmen eher vorliegen als bei einem Kassierer in einem Supermarkt. Großzügiger Henssler/Willemsen/Kalb/Thüsing, § 123 BGB Rn 10 (Frage bei leitenden Angestellten zulässig, wenn die Gefahr der Bestechung oder des Geheimnisverrats besteht) sowie MünchArbR/Buchner, § 30 Rn 351 und Schaub/Linck, § 26 Rn 34 (Frage bei leitenden Angestellten generell zulässig, da ungeordnete finanzielle Verhältnisse Zweifel an Eignung als unternehmerische Führungskraft begründen können). Zeitlich sollten derartige Fragen stets auf ein aussagekräftiges Intervall in der Vergangenheit (z. B. in Anlehnung an die regelmäßige Löschungsfrist des § 915a Abs. 1 ZPO für Eintragungen im Schuldnerverzeichnis die letzten drei Jahre) beschränkt werden. Die Frage, ob (hohe) Unterhaltsverpflichtungen vorliegen, dürfte kaum erforderlich sein (a. A. Selig, S. 103). 89 ErfK/Preis, § 611 BGB Rn 280. A. A. Gola/Wronka, Rn 523 (Frage zulässig, soweit die vom Arbeitgeber zu tragenden finanziellen Aufwendungen der Pfändungsbearbeitung im Einzelfall im späteren Arbeitsverhältnis zur Kündigung berechtigen).
Jacobi
374
Kapitel 8 Umgang mit Beschäftigtendaten
l) Religion, Konfession und Weltanschauung
68 Fragen nach der Religion, Konfession oder Weltanschauung eines Bewerbers sind nur
unter den in §§ 8, 9 AGG geregelten Voraussetzungen und damit insbesondere dann zulässig, wenn ein konfessionsgebundener Träger einen Tendenzträger-Arbeitsplatz, z. B. als Pfarrer, als Kindergärtner in einem Kindergarten, als Lehrer in einer Schule oder als Redakteur in einem religionspolitisch gebundenen Verlag, besetzen möchte.
m) Scientology und Verfassungstreue
69 Ob die Scientology-Organisation (SO) als Religions- und Weltanschauungsge-
meinschaft i. S. v. § 1 AGG anzusehen ist und ihren Mitgliedern der Schutz des AGG zukommt, ist bislang nicht abschließend geklärt.90 Die Frage nach einer Mitgliedschaft lässt die herrschende Meinung für religiöse Tendenzunternehmen zu (die die Frage stets stellen und sich dabei auf § 9 AGG berufen können) sowie jedenfalls – im Hinblick auf die Gefahr von Spionage und Geheimnisverrat – für Vertrauens- und Führungspositionen, insbesondere wenn damit eine Einsichtsmöglichkeit bezüglich sensibler Unternehmensdaten oder der Zugang zu sicherheitsrelevanten Bereichen verbunden ist.91 In der Literatur wird ein Fragerecht daneben auch für Stellen, mit denen eine Außendarstellung des Unternehmens verbunden ist (drohender Imageverlust)92 sowie Tätigkeiten im Bereich Erziehung und Bildung (Gefahr der Missionierung und Indoktrination) bejaht.93 Die Frage ist in den genannten Fällen unabhängig davon zulässig, ob dem Arbeitgeber konkrete Anhaltspunkte für eine Mitgliedschaft des Bewerbers bekannt sind.94
Praxistipp Die Frage kann in diesen Fällen formuliert werden wie folgt: „Sind Sie Mitglied der IAS (International Association of Scientologists)? Wenden Sie die Technologien oder Lehren von L. Ron Hubbard an?“
90 Dagegen die h. M., vgl. Adomeit/Mohr, § 1 Rn 95. Dafür Meind/Heyn/Herms, § 1 Rn 19. 91 Schleusener/Suckow/Voigt/Suckow, § 11 Rn 93 (besonders sicherheitsrelevante Stellen); Henssler/ Willemsen/Kalb/Thüsing, § 123 BGB Rn 17 (Vertrauensstellungen); Szech, S. 175 (Schlüsselpositionen im Unternehmen). 92 Eschenbacher, S. 138; Fitting, § 94 Rn 17 (besondere Repräsentationsaufgaben). 93 Tschöpe/Wisskirchen/Bissels, Teil 1 C Rn 92. 94 Vgl. ArbG München, Urt. v. 24.10.2000 – 21 Ca 13754/99 – (Frage nach Beziehungen zur SO in bestehendem Arbeitsverhältnis ohne konkrete Anhaltspunkte unzulässig).
Jacobi
B. Datenschutz im Anbahnungsverhältnis
375
Unter den gleichen Voraussetzungen wird man im nicht-öffentlichen Bereich die 70 Frage nach der Verfassungstreue und insbesondere der (aktuellen) Zugehörigkeit zu verfassungsfeindlichen Organisationen für zulässig ansehen können.95 Laut § 3 Abs. 1 TV-L müssen sich Beschäftigte im öffentlichen Dienst durch ihr 71 gesamtes Verhalten zur freiheitlich-demokratischen Grundordnung bekennen. Im Hinblick darauf dürfen öffentliche Arbeitgeber generell nach der Zugehörigkeit zu Organisationen mit verfassungsfeindlichen Zielen fragen. Das gilt unabhängig davon, ob die Verfassungswidrigkeit der Vereinigung bereits festgestellt wurde.
n) MfS-Mitarbeit, SED-Mitgliedschaft Für Fragen nach einer Tätigkeit für das Ministerium für Staatssicherheit der ehe- 72 maligen DDR außerhalb des öffentlichen Bereichs bietet sich ein Vergleich mit der Frage nach Vorstrafen (nicht nach der Verfassungstreue) an. Die Frage ist nur ausnahmsweise zulässig. Im Hinblick auf das vom Gesetzgeber in § 20 Abs. 1 Nr. 11 und 12 des Stasi-Unterlagen-Gesetzes (StUG) unbefristet vorgesehene Auskunfts- und Einsichtsrecht nicht-öffentlicher Stellen gegenüber dem Bundesbeauftragten für die Unterlagen des Staatssicherheitsdienstes (BStU) zum Zweck von Sicherheitsüberprüfungen ihrer Mitarbeiter nach dem Sicherheitsüberprüfungsgesetz (SÜG) ist eine entsprechende Frage an den Mitarbeiter bei der Besetzung sicherheitsempfindlicher Stellen innerhalb lebens- oder verteidigungswichtiger Einrichtungen i. S. v. § 1 Abs. 4 und 5 SÜG (Sabotageschutz) zulässig.96 Dabei sind die zeitlichen Schranken, die die Rechtsprechung im Hinblick auf die 73 Sonderkündigungstatbestände des Einigungsvertrages für das Fragerecht im öffentlichen Dienst entwickelt hat, zu beachten, d. h. nach Vorgängen, die vor 1970 abgeschlossen waren, darf nur gefragt werden, wenn sie besonders schwer wiegen oder wenn spätere Verstrickungen für sich allein genommen keine eindeutige Entscheidung über die Eignung zulassen.97 Bloße Geheimhaltungsinteressen (abstrakte Gefahr der Industriespionage und 74 des Geheimnisverrats) werden die Frage mangels Einschlägigkeit und Wiederholungsgefahr und unter Berücksichtigung des Zeitablaufs, eines beanstandungsfreien Lebenswandels seitdem sowie des Gedankens der Resozialisierung und Verhältnismäßigkeit dagegen kaum rechtfertigen können.98 Da der Gesetzgeber das in § 20 Abs. 1
95 Vgl. MünchArbR/Buchner, § 30 Rn 341 (für Vertrauenspositionen). Enger Kittner/Zwanziger/Deinert/Becker, § 19 Rn 44 (in lebenswichtigen Einrichtungen). 96 Ungenau bzw. unklar die in der Literatur verbreitete Diktion von sicherheitsrelevanten Positionen sowie sabotagegefährdeten Unternehmen: MünchArbR/Buchner, § 41 Rn 134; Henssler/Willemsen/Kalb/Thüsing, § 123 BGB Rn 29; Fitting, § 94 Rn 18; Eschenbacher, S. 72. Vgl. auch BAG, Urt. v. 25.10.2001 – 2 AZR 559/00 – (Fragerecht bei Fluglotsen/Mitarbeiter der Flugplanung). 97 BVerfG, Urt. v. 8.7.1997 – 1 BvR 2111/94 –. 98 A. A. Plath/Stamer/Kuhnke, § 32 Rn 40.
Jacobi
376
Kapitel 8 Umgang mit Beschäftigtendaten
Nr. 6 f) a. F. StUG bis zum 28.12.2006 befristet enthaltene Auskunfts- und Einsichtsrecht privater Arbeitgeber gegenüber dem BStU für hervorgehobene Positionen (Vorstandsmitglieder, Geschäftsführer, Betriebsleiter, leitende Angestellte) nicht verlängert hat und die geringe Zahl der tatsächlich erfolgten Anfragen hierzu99 es schon damals fraglich erscheinen ließ, ob tatsächlich ein nennenswertes Informationsbedürfnis vonseiten privater Arbeitgeber bestand, wird man seitdem auch ein anlassloses Fragerecht bei der Besetzung hervorgehobener Positionen in der Privatwirtschaft – etwa mit der Begründung, die Außendarstellung eines Unternehmens könne unter der Beschäftigung ehemaliger Stasi-Mitarbeiter leiden100 – nur mehr schwerlich begründen können. Bestehen im Einzelfall konkrete Anhaltspunkte für eine schwere Verstrickung, wird man dem Arbeitgeber in solchen Fällen aber nicht verwehren können, Einzelheiten zu erfragen. Die Rechtsprechung hat die Frage nach einer MfS-Mitarbeit mehrfach für Ten75 denzträger in Tendenzunternehmen i. S. v. § 118 Abs. 1 BetrVG zugelassen.101 Auch insoweit fallen der zunehmende zeitliche Abstand und der Gesichtspunkt der Resozialisierung jedoch immer mehr ins Gewicht. Außerhalb von Tätigkeiten, die einen unmittelbaren Bezug zur Aufarbeitung des MfS-Unrechts haben, wird man ein Fragerecht deshalb allenfalls noch bezüglich schwerer und erheblicher Verstrickungen bei konkreten Anhaltspunkten im Einzelfall zulassen können. Die Frage nach einer Mitgliedschaft in der SED oder einer Blockpartei darf ein privater Arbeitgeber nicht stellen.
o) Partei- und Gewerkschaftsangehörigkeit, Berufsfachverband
76 Art. 9 Abs. 3 S. 2 GG verbietet jede nachteilige Behandlung wegen einer Koalitionszu-
gehörigkeit. Es besteht deshalb grundsätzlich kein Fragerecht des Arbeitgebers nach einer Gewerkschaftszugehörigkeit von Bewerbern. Nur bei der Besetzung einschlägiger Tendenzträgerpositionen in einem Tendenzunternehmen i. S. v. § 118 Abs. 1 BetrVG (z. B. leitende Stellung in Arbeitgeberverband oder Gewerkschaft, Redakteur eines Verlags) ist die Frage ausnahmsweise zulässig.102
99 Ausweislich der Tätigkeitsberichte des BStU gingen dort von 2001 bis 2006 361 Anfragen zu leitenden Personen in der Wirtschaft ein. 100 Für ein Fragerecht bei hervorgehobenen Positionen MünchArbR/Buchner, § 41 Rn 134; Eschenbacher, S. 74; Wohlgemuth, ArbuR 1992, 46, 49. 101 BAG, Urt. v. 21.9.1993 – 1 ABR 28/93 – (wissenschaftlicher Mitarbeiter eines sozialwissenschaftlichen Instituts – Begründung: Image- und Vertrauensverlust); BAG, Urt. v. 13.6.2002 – 2 AZR 234/01 – (Lokalredakteurin bei Tageszeitung); Sächsisches LAG, Urt. v. 22.5.1998 – 10 Sa 1251/97 – (Lokalredakteur bei Tageszeitung). Zustimmend Fitting, § 94 Rn 18; ErfK/Preis, § 611 BGB Rn 285. A. A. Däubler/ Klebe/Wedde/Weichert/Däubler, § 32 Rn 27 (Frage stets unzulässig). 102 BAG, Urt. v. 28.3.2000 – 1 ABR 16/99 –; ErfK/Preis § 611 Rn 278.
Jacobi
B. Datenschutz im Anbahnungsverhältnis
377
Als Tendenzträger innerhalb eines Tendenzunternehmens ist anzusehen, wer arbeitsvertraglich verpflichtet ist, die Politik des Tendenzunternehmens mitzuentwickeln, zu begründen und nach außen zu vertreten, was überzeugend nur gelingen kann, wenn der Tendenzträger die Tendenz von der eigenen Überzeugung her mittragen kann.103 Nach erfolgter Einstellung ist die Frage nach der Gewerkschaftszugehörigkeit zulässig, soweit der Arbeitgeber die Information z. B. für die Prüfung der Tarifbindung oder eines Beitragsabzuges benötigt. Ob der Bewerber Mitglied eines Berufsfachverbandes ist (z. B. im Verband Deutscher Ingenieure) kann – sofern Gewerkschaften von der Frage ausdrücklich ausgenommen werden – erfragt werden, wenn die Mitgliedschaft für den Arbeitgeber mit Vorteilen verbunden sein kann (erweitertes berufliches Netzwerk) oder Ausdruck besonderer fachlicher Kompetenz des Bewerbers ist. Die Frage nach der Parteizugehörigkeit eines Bewerbers und seinen politischen Überzeugungen ist grundsätzlich unzulässig. Lediglich bei der Besetzung von Tendenzträgerpositionen in parteipolitischen Tendenzbetrieben (Partei, politisch orientiertes Presseunternehmen) ist die politische Überzeugung von ausschlaggebender Bedeutung für die Eignung und die Frage daher zulässig.104 Dabei kann auch die Frage nach Vormitgliedschaften in anderen Parteien zulässig sein, wenn der Bewerber erst kurze Zeit Mitglied der einen Partei ist.
77
78
79
80
p) Nebentätigkeiten, Konkurrenz Nach Nebentätigkeiten darf gefragt werden, soweit diese Einfluss auf die pflichtge- 81 mäße Erfüllung der arbeitsvertraglichen Pflichten haben. Zulässig ist damit die Frage nach einer konkurrenzmäßigen Tätigkeit (§ 60 HGB), Nachtarbeit und Tätigkeiten, die zur Überarbeitung des Bewerbers führen können.105 Auch die Frage nach der bereits aus einem anderen Arbeitsverhältnis zu leistenden Wochenarbeitszeit darf gestellt werden.106
q) Freizeitbeschäftigungen, Mitgliedschaft in Vereinen, Ehrenamt Freizeitbeschäftigungen, Mitgliedschaft und Aktivitäten in Vereinen und in der 82 Öffentlichkeit (z. B. eine Demonstrationsteilnahme), die Urlaubsplanung, der Verwandten- und Bekanntenkreis sowie Ess- und Trinkgewohnheiten betreffen die Privatsphäre des Bewerbers und haben regelmäßig keinen Einfluss auf seine fachli-
103 MünchArbR/Buchner, § 30 Rn 329. 104 Tschöpe/Wisskirchen/Bissels, Teil 1 C Rn 87a; Szech, S. 182. 105 MünchArbR/Buchner, § 41 Rn 23. 106 MünchArbR/Buchner, § 30 Rn 319.
Jacobi
378
Kapitel 8 Umgang mit Beschäftigtendaten
che Eignung oder Zuverlässigkeit; Fragen danach sind deshalb unzulässig.107 Auch die Frage nach sozialem Engagement und Ehrenämtern (z. B. Mitgliedschaft beim Technischen Hilfswerk oder der freiwilligen Feuerwehr, politisches Mandat, ehrenamtlicher Richter) ist damit – wenn kein enger Bezug zur späteren Tätigkeit besteht und damit die fachliche Eignung betroffen ist – grundsätzlich unzulässig. Das gilt im Hinblick auf das Maßregelverbot des § 612a BGB auch und gerade für den Fall, dass dem Arbeitnehmer bezüglich der Ausübung des Ehrenamts ein Freistellungsanspruch gegen den Arbeitgeber zusteht. Macht ein Bewerber unaufgefordert Angaben, z. B. zu seinen Hobbys (etwa sportliche Erfolge), kann der Arbeitgeber diese bei der Einstellungsentscheidung berücksichtigen.108 Bei Tendenzträgern in Tendenzunternehmen sind Freizeitbeschäftigungen denkbar, die mit der Tendenz des Unternehmens unvereinbar sind und daher – zumindest bei entsprechenden Anhaltspunkten – auch erfragt werden dürfen.
r) Wehrdienst, Ersatzdienst
83 Mit der Aussetzung der Wehrpflicht zum 1.3.2011 hat sich die Frage, ob ein Bewerber
noch Wehr- oder Ersatzdienst leisten muss, bis auf Weiteres erledigt. Für die Frage, ob in der Vergangenheit Wehr- oder Ersatzdienst geleistet wurde, ist kein legitimes Interesse des Arbeitgebers erkennbar. Auch mit Blick auf die Gewissensfreiheit des Bewerbers ist sie als unzulässig anzusehen.109
s) Sonstige diskriminierungsrelevante Merkmale: Alter, Geschlecht, Rasse und ethnische Herkunft, Sexualität 84 Die in § 1 AGG aufgeführten Diskriminierungsmerkmale dürfen einer Einstellungsentscheidung nur in den im AGG in §§ 5, 8, 9 und 10 geregelten Ausnahmefällen zugrunde gelegt und deshalb – ebenso wie damit typischerweise einhergehende Eigenschaften und Verhaltensweisen – auch nur dann erfragt werden.110 Unabhängig von der Gefahr einer verbotenen Diskriminierung besteht ein berechtigtes Interesse des Arbeitgebers an solchen Informationen bereits deshalb nicht, weil ihnen in aller Regel objektiv keine Aussagekraft bezüglich der beruflichen Eignung eines Bewerbers zukommt. Damit ist die gezielte Frage nach dem Alter und Geburtsdatum – auch wenn sich 85 dieses häufig bereits aus vorgelegten Unterlagen (Lebenslauf, Zeugnisse) ergibt und dem Arbeitgeber damit ohnehin bekannt wird – grundsätzlich ebenso unzulässig wie
107 Däubler/Klebe/Wedde/Weichert/Däubler, § 32 Rn 17; Selig, S. 103. 108 Ertel, DuD 2012, 126, 128 sowie Gola/Wronka, Rn 544. 109 ErfK/Preis, § 611 BGB Rn 273. 110 Däubler/Klebe/Wedde/Weichert/Däubler, § 32 Rn 21.
Jacobi
B. Datenschutz im Anbahnungsverhältnis
379
Fragen nach der sexuellen Orientierung,111 Transsexualität oder der ethnischen Herkunft.112 Etwaige Ausnahmen sind an den Tatbeständen der §§ 5, 8, 9 und 10 AGG zu messen.
t) Fragerecht in der Leiharbeitsbranche Arbeitgeber in der Leiharbeitsbranche haben kein erweitertes Fragerecht.113
86
III. Offenbarungspflichten des Arbeitnehmers Ungefragt muss ein Bewerber von sich aus auf solche Tatsachen hinweisen, deren 87 Mitteilung der Arbeitgeber nach Treu und Glauben erwarten darf. Das ist bezüglich solcher Umstände der Fall, die dem Bewerber die Erfüllung der arbeitsvertraglichen Leistungspflicht unmöglich machen würden oder sonst für den in Betracht kommenden Arbeitsplatz von ausschlaggebender Bedeutung sind.114 Zu offenbaren ist danach insbesondere der bevorstehende Antritt einer längeren Freiheitsstrafe (ohne Freigängerstatus), eine Krankheit, wenn sie ansteckend ist und zu einer Gefährdung anderer führen kann oder wenn deswegen zum Zeitpunkt des Dienstantritts oder in absehbarer Zeit mit einer Arbeitsunfähigkeit zu rechnen ist, sowie eine Behinderung, wenn die Tätigkeit hierdurch unmöglich gemacht wird. Auch ein vertragliches Wettbewerbsverbot oder eine fehlende Aufenthalts- und Arbeitserlaubnis muss ein Bewerber ungefragt mitteilen. Eine Offenbarungspflicht besteht außerdem bezüglich einer Alkoholabhängigkeit bei einem Berufskraftfahrer.
IV. Sonstige Datenerhebungen durch Arbeitgeber 1. Erhebung allgemein zugänglicher Daten, insbesondere Internetrecherchen Personenbezogene Daten eines Bewerbers können vom ihm selbst ins Netz gestellt 88 worden sein – auf einer eigenen Website, einem Blog, in sozialen Netzwerken (z. B. Facebook, Twitter, XING, Linkedln) oder als Meinungsäußerung in Foren. Daneben können z. B. Websites von Vereinen oder Einträge von Freunden und Bekannten auf deren Website oder in sozialen Netzwerken, die Firmen-Website eines ehemaligen
111 Nach pädophilen Neigungen darf bei einer Tätigkeit, die den Umgang mit Kindern vorsieht, gefragt werden (Szech, S. 281). 112 Selig, S. 104, 108, 109. 113 LDI NRW 20. Datenschutzbericht 2011, S. 73, abrufbar unter https://www.ldi.nrw.de/mainmenu_Service/submenu_Berichte/Inhalt/20_DIB/20_DIB.pdf. 114 BAG, Urt. v. 28.2.1991 – 2 AZR 357/90 –.
Jacobi
380
Kapitel 8 Umgang mit Beschäftigtendaten
Arbeitgebers oder die Nennung in einem Bewertungsportal oder Foreneintrag durch einen (anonymen) Dritten Aufschluss über Berufs- und Freizeitaktivitäten, Meinungen und Bekanntenkreis eines Bewerbers oder seine Beliebtheit bei und Bewertung durch andere geben – ohne dass ihm dies notwendigerweise bekannt sein muss oder die Informationen der Wahrheit entsprechen müssen. § 28 Abs. 1 S. 1 Nr. 3 BDSG erlaubt das Erheben und Nutzen allgemein zugängli89 cher Daten unter dem Vorbehalt einer Interessenabwägung, besondere Arten personenbezogener Daten dürfen gem. § 28 Abs. 6 S. 1 Nr. 2 BDSG erhoben und genutzt werden, wenn sie der Betroffene offenkundig öffentlich gemacht hat. Die mit diesen Rechtsvorschriften vorgesehene Datenerhebung ohne Mitwirkung des Betroffenen ist gem. § 4 Abs. 2 S. 2 Nr. 1 Alt. 1 BDSG zulässig, wenn keine Anhaltspunkte dafür bestehen, dass überwiegende schutzwürdige Interessen des Betroffenen beeinträchtigt werden. Ob und inwieweit die Tatsache, dass Informationen über einen Bewerber im Internet allgemein zugänglich sind oder sogar vom Bewerber selbst durch Einstellen ins Internet öffentlich gemacht wurden sowie die Tatsache, dass in diesem Fall neben Art. 12 und 14 GG auch das Grundrecht der Informationsfreiheit zugunsten des Arbeitgebers streitet, im Rahmen der von § 28 Abs. 1 BDSG und § 4 Abs. 2 BDSG vorgeschriebenen Abwägungen zu einer Erweiterung der Grenzen des Fragerechts führt, ist ungeklärt. Ebenso ungeklärt ist, ob etwaige Erhebungsverbote in das Privatleben des Verpflichteten ausstrahlen, ein Arbeitgeber also auch als Privatmann, d. h. außerhalb des Betriebs und in seiner Freizeit, daran gehindert ist, die Recherche, die ihm während der Arbeitszeit verboten ist, aus privater Neugier vorzunehmen.115 Es liegt auf der Hand, dass nicht alle Informationen, die ein Arbeitgeber mittels 90 einer Suchmaschine oder nach Anmeldung bei sozialen Netzwerken über einen Bewerber im Internet gewinnen kann, innerhalb der Grenzen seines Fragerechts liegen. Internetrecherchen (z. B. die Eingabe des Namens bei Google) sind beinahe zwangsläufig mit der Kenntnisnahme „überschießender“, d. h. nicht erforderlicher und damit im Rahmen des Auswahlverfahrens auch nicht verwertbarer Informationen verbunden und widersprechen zudem dem in § 4 Abs. 2 S. 1 BDSG geregelten Grundsatz der Direkterhebung. Mangels positiver Kenntnis der späteren Erhebung durch einen bestimmten Arbeitgeber kann das Einstellen nicht als „Mitwirkung“ i. S. v. § 4 Abs. 2 S. 2 BDSG angesehen werden.116 Zum Teil wird daraus der Schluss gezogen, dass derartige Recherchen – unge91 achtet der Tatsache, dass ein Verstoß in den seltensten Fällen dem Bewerber bekannt wird und von ihm nachgewiesen werden kann – mangels Erforderlichkeit i. S. v. § 32 Abs. 1 S. 1 BDSG und wegen Nichtvorliegens der Voraussetzungen des § 4 Abs. 2 S. 2
115 Dagegen Weichert, AuR 2010, 100, 104. 116 Simitis/Sokol, § 4 Rn 23 (diffuse Kenntnis nicht ausreichend).
Jacobi
B. Datenschutz im Anbahnungsverhältnis
381
BDSG ohne eine ausdrückliche, den Anforderungen des § 4a BDSG genügende Einwilligung unzulässig sind.117 Die wohl überwiegende Meinung in der datenschutzrechtlichen Literatur lässt 92 Internetrecherchen gestützt auf § 28 Abs. 1 S. 1 Nr. 3, § 4 Abs. 2 S. 2 Nr. 1 Alt. 1 und § 32 Abs. 1 S. 1 BDSG – auch ohne Einwilligung – grundsätzlich zu. Unterschiedlich beurteilt wird allerdings, welche Vorgaben der Arbeitgeber beachten muss. Teilweise wird verlangt, – die vom Betroffenen erkennbar gewählte Zweckbestimmung zu beachten. Eine Suche in sozialen Netzwerken scheidet damit aus, soweit diese nicht vom Betroffenen bewusst zur eigenen Präsentation gegenüber potenziellen Arbeitgebern genutzt werden oder nach dem Willen des Betreibers für diesen Zweck bestimmt sind (sog. berufsorientierte Netzwerke, z. B. XING, Linkedln), zumindest wenn die Daten nicht im Internet frei – d. h. ohne Registrierung und Anmeldung – abrufbar und per Suchmaschine auffindbar, sondern nur für registrierte und angemeldete Benutzer des Netzwerks oder gar nur nach einer gesonderten Zulassung (z. B. zu einer geschlossenen Benutzergruppe oder einem nur für „Freunde“ einsehbaren Profil) zugänglich sind und die Recherche gegen die Allgemeinen Geschäftsbedingungen des Betreibers oder sonstige Zugangsregelungen verstößt.118 – keine Daten zu erheben, wenn erkennbar ist, dass die Daten von Dritten rechtswidrig ins Netz gestellt wurden, z. B. in Fällen von Schmähkritik, sozialer Ausgrenzung, Stigmatisierung und Angriffen auf die Menschenwürde.119 Andere Autoren verlangen zusätzlich, 93 – dass der Arbeitgeber den Bewerber vor der Recherche (z. B. in der Stellenanzeige) hierauf hingewiesen hat, um ihm die Möglichkeit zum Widerspruch zu geben
117 Däubler/Klebe/Wedde/Weichert/Däubler, § 32 Rn 56 – 58 (Auswertung von Zeitungen ebenfalls unzulässig); Selig, S. 119; 35. Jahresbericht der LfD Bremen 2012, S. 87, abrufbar unter http://www. datenschutz.bremen.de/sixcms/media.php/13/35.%20Jahresbericht%20Datenschutz.pdf. Die Vertreter dieser Auffassung gehen davon aus, dass § 28 Abs. 1 S. 1 Nr. 3 BDSG von § 32 BDSG verdrängt wird, soweit die Datenerhebung für Zwecke eines Beschäftigungsverhältnisses erfolgt und es somit an einer eine Direkterhebung vorsehenden Rechtsvorschrift i. S. v. § 4 Abs. 2 S. 2 fehlt. Die Gesetzesbegründung ist insoweit in sich widersprüchlich (vgl. BT-Drucks. 16/13657, S. 20). Da Abs. 6 Nr. 2 des § 28 BDSG nach ganz h. M. neben § 32 gilt, muss dies auch für § 28 Abs. 1 Nr. 3 BDSG gelten. 118 Ob Daten in sozialen Netzwerken trotz eines Anmeldungserfordernisses allgemein zugänglich i. S. v. § 28 Abs. 1 S. 1 Nr. 3 BDSG sind, ist angesichts des geringen Aufwands für solche Anmeldungen strittig (bejahend für berufsorientierte Netzwerke Bissels/Lützeler/Wisskirchen, BB 2010, 2433, 2437; unabhängig von der Orientierung des Netzwerks verneinend Bausewein, S. 155). Enthalten die AGBs des Betreibers wie im Fall von Facebook keine Nutzungsbeschränkung für private Zwecke, ist für die Interessenabwägung der erkennbare Wille des Betroffenen im Einzelfall entscheidend. 119 Rolf/Rötting, RDV 2009, 263, 265. Enger Gola/Schomerus, § 32 Rn 35 (Erhebung durch Dritter eingestellter Daten untersagt, sofern Legitimität des Vorgangs nicht eindeutig).
Jacobi
382
Kapitel 8 Umgang mit Beschäftigtendaten
und ihn nachträglich über die Recherche und ihre Ergebnisse informieren und die Möglichkeit zur Stellungnahme und ggf. Richtigstellung geben muss120 bzw. mindestens auf Nachfrage Auskunft über das Resultat einer Recherche erteilt sowie – die Grenzen des Fragerechts, soweit möglich, einzuhalten,121 d. h. überschießende Informationen dürfen nur erhoben werden, soweit solche Treffer mit zumutbarem Aufwand nicht vermieden werden können. Sie dürfen nicht gespeichert und nicht genutzt werden. Eine gezielte Suche nach privaten Sachverhalten ohne Bezug zur vorgesehenen Anstellung ist unzulässig. Auch das Alter einer Information kann dazu führen, dass ihre Verwendung mangels Aussagekraft bezüglich der Eignung des Bewerbers unzulässig ist. Liefert eine Suchmaschinenanfrage Treffer, die erkennbar außerhalb des Fragerechts liegen, dürfen die entsprechenden Seiten nicht aufgerufen werden. 94 Jedenfalls bei Beachtung aller dieser Vorgaben wird die von § 28 Abs. 1 S. 1 Nr. 3 und
§ 4 Abs. 2 S. 2 a. E. BDSG vorgesehene Interessenabwägung in der Regel zugunsten des Arbeitgebers ausfallen, ist die Erforderlichkeit i. S. v. § 32 Abs. 1 S. 1 BDSG gewahrt und die Datenerhebung damit gem. §§ 32 Abs. 1 S. 1, 28 Abs. 1 S. 1 Nr. 3 sowie § 4 Abs. 2 S. 2 a. E. BDSG zulässig. Sieht man von der nachträglichen Informationspflicht ab, entspricht dies der in § 32 Abs. 2 und 6 S. 2, 3 und 5 des Regierungsentwurfs zum Beschäftigtendatenschutz vom 15.12.2010 vorgesehenen Lösung.
Praxistipp Praktisch wird eine Recherche damit vor allem in berufsorientierten Netzwerken in Betracht kommen, in die der Bewerber berufsbezogene Informationen eingestellt hat, sowie dann, wenn der Bewerber den Arbeitgeber ausdrücklich auf bestimmte Fundstellen im Netz verweist (konkludente Einwilligung). 95 Das bloße Einstellen von Daten ist dagegen keine (konkludente) Einwilligung i. S. v.
§ 4a BDSG.122 Es ist bereits fraglich, ob dem Einstellen objektiv eine solche Erklärungsbedeutung zukommt. Das Einstellen erfolgt in der Regel auch nicht „für den konkreten Fall und in Kenntnis der Sachlage“ (Art. 2 lit. h RL 95/46/EG). Zudem fehlt es an dem gem. § 4a Abs. 1 S. 2 BDSG zumindest zeitgleich erforderlichen Hinweis. Im Interesse der Rechtssicherheit ist eine gesetzliche Regelung dringend erforderlich.
120 Simitis/Seifert, § 32 Rn 50; Weichert, AuR 2010, 100, 105. Diese Verpflichtung besteht unabhängig von der Benachrichtigungspflicht des § 33 BDSG, die beim Hinzuspeichern von Daten nur dann eingreift, wenn eine neue Art von Daten erstmals gespeichert wird oder sich die Zweckbestimmung wesentlich ändert (Gola/Schomerus, § 33 Rn 16. A.A Schaffland/Wiltfang, § 33 Rn 7). 121 Gola/Schomerus, § 32 Rn 35a; Plath/Stamer/Kuhnke, § 32 Rn 27 f.; Oberwetter, BB 2008, 1562, 1564 (unzulässig, wenn fehlender Bezug zum Arbeitsplatz offensichtlich). 122 So aber Simitis/Seifert, § 32 Rn 49 und Weichert, AuR 2010, 100, 104.
Jacobi
B. Datenschutz im Anbahnungsverhältnis
383
2. Arbeitgeberauskunft Mit Einwilligung eines Bewerbers darf ein Arbeitgeber sich beim derzeitigen oder 96 einem früheren Arbeitgeber des Bewerbers über Leistung und Verhalten des Bewerbers während des Arbeitsverhältnisses erkundigen.123 Die Grenzen des Fragerechts sind dabei zu beachten und können durch die Einwilligung nicht erweitert werden.124 Liegt eine wirksame Einwilligung des Bewerbers gegenüber dem Arbeitgeber vor, folgt die Befugnis des Angefragten zur Auskunftserteilung in den aufgeführten Grenzen aus § 28 Abs. 2 S. 1 Nr. 2a BDSG sowie § 28 Abs. 6 S. 1 Nr. 3 BDSG. Die zu erteilenden Auskünfte unterliegen den gleichen Anforderungen wie ein Zeugnis (wahrheitsgemäß, vollständig, wohlwollend) und dürfen einem erteilten Zeugnis nicht widersprechen. Die abstrakte Gefahr, dass es – für den Bewerber nicht feststellbar – zu „überschießenden“ Auskunftserteilungen kommt, macht die Erteilung der Auskunft nicht generell unzulässig. Auf Verlangen ist der Bewerber auch vom früheren Arbeitgeber über den Inhalt der erteilten Auskunft zu unterrichten.125 Die Voraussetzungen des § 4 Abs. 2 S. 2 Nr. 2a und S. 2 a. E. BDSG für eine auf § 32 97 Abs. 1 S. 1 gestützte Anfrage ohne Einwilligung werden nur ganz ausnahmsweise gegeben sein. Erforderlich ist eine solche Anfrage allenfalls dann, wenn Anhaltspunkte für unrichtige Angaben bestehen oder die vorgelegten Arbeitszeugnisse keinerlei Aussagekraft haben und eine Klärung durch Befragung des Bewerbers nicht möglich ist.126 Ein die Erhebung ausschließendes überwiegendes schutzwürdiges Interesse i. S. v. § 4 Abs. 2 S. 2 a. E. an der Geheimhaltung der Bewerbung besteht immer gegenüber dem aktuellen Arbeitgeber eines Bewerbers, kann aber auch gegenüber früheren Arbeitgebern bestehen. Der Bewerber ist deshalb im letztgenannten Fall auf die beabsichtigte Anfrage hinzuweisen. Widerspricht er, ist vom Vorliegen überwiegender schutzwürdiger Interessen auszugehen.
3. Ärztliche Untersuchungen Vor der Aufnahme bestimmter beruflicher Tätigkeiten ist gesetzlich vielfach eine ärzt- 98 liche Untersuchung des Betroffenen ausdrücklich vorgeschrieben. Arbeitsmedizinische Vorsorgeuntersuchungen nach der ArbMedVV, GefStoffV, BioStoffV, GenTSV, RöV und StrlSchV dienen dabei dem Schutz von Leben und Gesundheit des Betroffenen selbst. Dagegen sollen die bei bestimmten gefahrgeneigten Tätigkeiten vorgeschriebenen Eignungs- und Tauglichkeitsuntersuchungen, z. B. nach der Druck-
123 Weichert, AuR 2010, 100, 101. 124 A. A. Eschenbacher, S. 166 (Frage nach Krankheiten mit Einwilligung zulässig). 125 ErfK/Müller-Glöge, § 109 GewO Rn 60; Schaub/Linck, § 148 Rn 46. Die frühere Rechtsprechung des BAG (Urt. v. 18.12.1984 – 3 AZR 389/83 –; ebenso MünchArbR/Buchner, § 30 Rn 435), wonach eine Auskunft ohne und sogar gegen den Willen des Arbeitnehmers möglich war, ist spätestens seit der BDSG-Novelle II (§ 32 Abs. 2 BDSG) ab dem 1.9.2009 überholt. 126 Eschenbacher, S. 159.
Jacobi
384
Kapitel 8 Umgang mit Beschäftigtendaten
luftV, LuftVZO, FeV oder IfSG, in erster Linie dem Schutz von Leben und Gesundheit Dritter (Arbeitskollegen, Kunden) oder erheblicher Sachgüter (z. B. Betriebsanlagen) dienen.127 Abschließend sind die genannten Vorschriften nicht. Wegen der Gefahr, dass ein 99 Bewerber gesundheitliche Eignungsmängel bewusst verschweigt oder in Unkenntnis der gesundheitlichen Anforderungen der angestrebten Tätigkeit und seines Gesundheitszustandes Fragen hierzu gutgläubig aber objektiv unzutreffend beantwortet, hat ein Arbeitgeber ein berechtigtes Interesse, die Einstellung von einer ärztlichen Untersuchung des Bewerbers abhängig zu machen. Er kann deshalb – gestützt auf §§ 32 Abs. 1, 28 Abs. 6 Nr. 3 BDSG – von einem zur Einstellung vorgesehenen Bewerber die Mitwirkung an einer ärztlichen Eignungsprüfung im Rahmen einer Einstellungsuntersuchung verlangen. Mit der Untersuchung kann der Arbeitgeber einen Arzt seiner Wahl betrauen.128 Dabei kann, muss es sich aber nicht um den jeweiligen Betriebsarzt i. S. d. ASiG handeln. Neben einem Werksarzt oder Werksärztlichen Dienst kommt auch ein überbetrieblicher Dienst von Betriebsärzten oder ein sonstiger Arzt auf Honorarbasis, der den konkreten Arbeitsplatz, für den sich der Bewerber interessiert, kennt, in Betracht. Unter Beachtung des Grundsatzes der Datenvermeidung und -sparsamkeit (§ 3a 100 BDSG) und zur Vermeidung einer unzulässigen, weil nicht erforderlichen Datenerhebung auf Vorrat, ist eine Einstellungsuntersuchung grundsätzlich erst nach Abschluss eines Auswahlverfahrens zulässig, d. h. wenn feststeht, dass ein Bewerber – vorbehaltlich des Ergebnisses einer Eignungsuntersuchung – eingestellt werden soll. Ein berechtigtes Interesse, Ersatzbewerber zugleich mit dem Erstplazierten einer Untersuchung zu unterziehen, kann nur ausnahmsweise beim Vorliegen besonderer Gründe anerkannt werden. Wird die Einstellungsuntersuchung von einem Werksarzt durchgeführt, ist das 101 Unternehmen datenschutzrechtlich verantwortlich für die Erhebung, Verarbeitung und Nutzung der Gesundheitsdaten der Stellenbewerber, auch wenn der
127 Für einen Überblick über die gesetzlichen Regelungen siehe Hofmann/Kralj, IV – 1.0, 1 ff. Gemäß § 6 Abs. 1 ArbMedVV ist bei der arbeitsmedizinischen Vorsorge der Stand der Arbeitsmedizin zu beachten. Die von der Deutschen Gesetzlichen Unfallversicherung herausgegebenen Grundsätze für arbeitsmedizinische Vorsorgeuntersuchungen, 5. Aufl. 2010, enthalten hierzu detaillierte Vorgaben, insbesondere zum Anamneseumfang. 128 Fuhlrott/Hoppe, ArbRAktuell 2010, 183. Legt der Bewerber einen von einem anderen Arzt erstellten Befundbericht vor, kann die Notwendigkeit entfallen, die Befunde erneut zu erheben. Für ein Wahlrecht des Bewerbers bezüglich des Arztes: Iraschko-Luscher/Kiekenbeck, NZA 2009, 1239, 1240; Haase/Heermann/Klügel, DuD 2010, 819, 823 (Näheverhältnis zwischen Arbeitgeber und Betriebsarzt birgt Missbrauchsgefahr). Vgl. auch BAG, Urt. v. 27.9.2012 – 2 AZR 811/11 – (Auswahl des Arztes für ärztliche Untersuchungen im Beschäftigungsverhältnis bei berechtigten Zweifeln an Arbeitsfähigkeit ist vom Arbeitgeber nach billigem Ermessen zu treffen, § 315 Abs. 1 BGB. Macht der Arbeitnehmer begründete Bedenken gegen Fachkunde oder Unvoreingenommenheit des Arztes geltend, kann der Arbeitgeber verpflichtet sein, einen anderen Arzt mit der Begutachtung zu beauftragen).
Jacobi
B. Datenschutz im Anbahnungsverhältnis
385
Betriebsarzt bei der Anwendung der arbeitsmedizinischen Fachkunde weisungsfrei ist (§ 8 ASiG), gegenüber dem Unternehmen die ärztliche Schweigepflicht beachten muss und das Unternehmen, insbesondere dessen Personalabteilung, nicht auf die beim Betriebsarzt gespeicherten Daten zugreifen darf. In Anlehnung an das Fragerecht des Arbeitgebers bezüglich Gesundheitsdaten 102 darf der Arzt alle Erhebungen und Untersuchungen vornehmen, die nach der medizinischen Wissenschaft und ärztlichen Erfahrung erforderlich sind, um beurteilen zu können, ob Krankheit die Eignung des Bewerbers für die von ihm angestrebte Tätigkeit im Zeitpunkt der Einstellung und für einen überschaubaren Zeitraum danach auf Dauer oder in periodisch wiederkehrenden Abständen erheblich beeinträchtigt oder aufhebt, ob bei ihm wegen einer bevorstehenden Operation oder Kur mit längeren Ausfallzeiten zu rechnen ist, ob von dem Bewerber für andere Mitarbeiter und Kunden eine Ansteckungsgefahr ausgeht oder ob der Bewerber im Falle einer Einstellung infolge gesundheitlicher Mängel oder Medikamenteneinnahme sich selbst oder Andere gefährdet.129 Der Nationale Ethikrat empfiehlt Ärzten, bei Einstellungsuntersuchungen nur 103 solche Informationen zu Krankheiten und Krankheitsanlagen zu erheben und zu nutzen, die sich mit überwiegender Wahrscheinlichkeit (über 50 %) innerhalb von sechs Monaten nach der Einstellung erheblich auf die Arbeitsfähigkeit auswirken.130 Die Erhebung von Daten beim Bewerber (auch mittels eines Fragebogens) und 104 die vorzunehmenden Untersuchungen müssen sich auf das für die medizinische Beurteilung Notwendige beschränken und an den Anforderungen des jeweiligen Ausbildungs- und Arbeitsplatzes orientieren. Hierbei kommt dem Arzt ein gewisser Beurteilungsspielraum zu. Unzulässig sind jedoch Fragen nach Sachverhalten, die der Feststellung von erst auf längere Sicht zu erwartenden gesundheitlichen Beschwerden dienen und ohne Auswirkungen auf die angestrebte Tätigkeit sind oder sich nicht so auswirken, dass es innerhalb des relevanten Zeitraums wahrscheinlich zu erheblichen Beeinträchtigungen kommen wird (z. B. Fragen nach Sportaktivitäten, zum Rauchen und zur Gesundheit von Familienmitgliedern). Nach sämtlichen Krankenhausaufenthalten oder Operationen darf ebenso wenig gefragt werden wie nach sämtlichen aktuell einzunehmenden Medikamenten. Solche Fragen müssen präzisiert und erläutert werden.
129 ErfK/Preis, § 611 BGB Rn 293. 130 Nationaler Ethikrat, Prädiktive Gesundheitsinformationen bei Einstellungsuntersuchungen, S. 53 ff., abrufbar unter http://www.ethikrat.org/dateien/pdf/Stellungnahme_PGI_Einstellungsuntersuchungen.pdf: Erweiterung des Prognosezeitraums und Absenkung des Wahrscheinlichkeitsmaßstabs, wenn dies geboten ist, um Risiken für Dritte auszuschließen (z. B. bei Piloten, Busfahrern, Küchenpersonal), die im Rahmen von Nachuntersuchungen nicht rechtzeitig erkannt werden können.
Jacobi
386
Kapitel 8 Umgang mit Beschäftigtendaten
Auch das Untersuchungsprogramm sollte auf die Anforderungen des jeweiligen Arbeitsplatzes zugeschnitten sein. Nicht jeder Befund, der üblicherweise zur Beurteilung des allgemeinen Gesundheitszustandes erhoben wird, ist danach erforderlich. Je gefahrträchtiger ein Arbeitsbereich in Bezug auf andere und den Arbeitnehmer selbst ist, umso breiter ist das Spektrum der zulässigen Untersuchungen. So kann bei einer Montage-, Überwachungs- und Bildschirmtätigkeit die Sehschärfe und eine etwaige Farbenblindheit abgeklärt werden. Hörtests sind z. B. erforderlich, wenn bei der Tätigkeit akustische Warnsignale zu beachten sind. Zum Ausschluss von Kreislaufstörungen, einer Neigung zu Schwindelanfällen, 106 Konzentrationsstörungen und Einschränkungen der körperlichen Leistungsfähigkeit können Laboruntersuchungen des Bluts für Tätigkeiten in unfallträchtigen Bereichen oder solchen, die mit einer hohen körperlichen Belastung verbunden sind, notwendig sein.131 Begründet die in Aussicht genommene Tätigkeit besondere Ansteckungsgefahren (z. B. bei einem Chirurgen), kann ein HIV/Aids-Test zulässig sein.132 Auch ohne konkrete Anhaltspunkte für ein Fehlverhalten im Einzelfall dürfen Bewerber, die Zugang zu Waffen, Sprengstoffen oder sicherheitsrelevanten Bereichen erhalten oder mit der Bedienung teurer Spezialmaschinen betraut werden sollen, auf Drogenmissbrauch oder Alkoholabhängigkeit überprüft werden.133 Ansonsten sind solche Tests nur zulässig, wenn der Bewerber einen durch Tatsachen begründeten Anlass hierfür gibt. 105
Praxistipp Unternehmen sollten im Zusammenwirken von Betriebsärzten, Personalabteilung und dem Beauftragten für den Datenschutz in einem Untersuchungskonzept schriftlich festlegen, welche Gesundheitsdaten für die verschiedenen Tätigkeiten, Arbeitsplätze und Bereiche erhoben werden sollen (z. B. Differenzierung kaufmännischer und gewerblicher Bereich). 107 Das AGG zwingt nicht dazu, die bisherige Praxis zu ändern. Sollte eine gesundheit-
liche Einschränkung als Behinderung zu qualifizieren sein, handelt es sich – bei Beachtung der dargestellten Schranken – im Zweifel um eine wesentliche und entscheidende berufliche Anforderung i. S. v. § 8 Abs. 1 AGG. Laut § 4 Abs. 3 BDSG ist der Bewerber vor der Einstellungsuntersuchung u. a. 108 über den Zweck und Umfang der Untersuchung, insbesondere die zu untersuchenden Krankheitsbilder und die möglichen Folgen einer Verweigerung der Teilnahme zu belehren. Einstellungs- und arbeitsmedizinische Vorsorgeuntersuchungen können gem. § 3 Abs. 3 S. 2 ArbMedVV ausnahmsweise zusammen durchgeführt werden, wenn betriebliche Gründe dies erfordern und die unterschiedlichen Zwecke
131 H. M., vgl. Fuhlrott/Hoppe, ArbRAktuell 2010, 183. Die Zulässigkeit von Bluttests generell verneinend Albrecht, AiB 2010, 158, 162 und Selig, S. 115. 132 Tschöpe/Wisskirchen/Bissels, Teil 1 C Rn 132. 133 Forst, RDV 2010, 8, 9. A. A. Selig, S. 114 (Alkohol- und Drogentests unzulässig).
Jacobi
B. Datenschutz im Anbahnungsverhältnis
387
der Untersuchungen offengelegt werden. Angebots- und Wunschuntersuchungen können in diagnostischer Hinsicht wesentlich intensiver sein als Einstellungs- und Pflichtuntersuchungen. Um auszuschließen, dass die dabei gewonnenen weitergehenden Erkenntnisse auch für Zwecke der Einstellungs- und Pflichtuntersuchung verwandt werden, sollten Angebots- und Wunschuntersuchungen getrennt hiervon und erst nach der Einstellung durchgeführt werden.134 Der Arzt darf dem Arbeitgeber nur das Ergebnis der Einstellungsuntersuchung 109 (geeignet, nicht geeignet, bedingt/eingeschränkt geeignet) ohne Befunde mitteilen. Von der ärztlichen Schweigepflicht entbindet der Bewerber den Arzt insoweit konkludent dadurch, dass er in Kenntnis der Weitergabe an der Untersuchung teilnimmt.135 Zur Sicherheit kann eine ausdrückliche, schriftliche Schweigepflichtsentbindung vorgesehen werden. Informiert der Betriebsarzt die Personalabteilung über sein Eignungsurteil, liegt darin datenschutzrechtlich eine gem. §§ 32 Abs. 1 S. 1, 28 Abs. 6 Nr. 3 BDSG zulässige Datennutzung. Einer Einwilligung gem. § 4a BDSG, durch die die durch den Erforderlichkeitsgrundsatz gezogenen Grenzen der Untersuchung und Datenweitergabe ohnehin nicht erweitert werden könnten, bedarf es daneben nicht.136 Die erhobenen Daten sind gem. § 10 Abs. 3 MBO-Ä vom untersuchenden Arzt 110 mindestens zehn Jahre nach Abschluss der Untersuchungen aufzubewahren. Beim Wechsel eines externen Betriebsarztes oder überbetrieblichen Dienstes sind die Patientenunterlagen nach der Zwei-Schränke-Lösung an den Nachfolger als Betriebsarzt zu übergeben. Das am 1.2.2010 in Kraft getretene Gendiagnostikgesetz verbietet Arbeitgebern 111 außerhalb arbeitsmedizinischer Vorsorgeuntersuchungen, von Bewerbern die Vornahme genetischer Analysen zu verlangen und die Ergebnisse solcher Analysen zu fordern oder entgegenzunehmen (§§ 19, 20 GenDG). § 21 GenDG sieht für Verstöße einen Schadensersatzanspruch mit Beweislastumkehr entsprechend §§ 15 und 22 AGG vor.
134 30. Tätigkeitsbericht des LfD BW, S. 134, abrufbar unter http://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2013/02/30.T%C3 %A4tigkeitsbericht-2011-Brosch%C3 %BCre.pdf. 135 ErfK/Preis, § 611 Rn 296; Kittner/Zwanziger/Deinert/Becker, § 18 Rn 30. Soweit mit der Untersuchung Eingriffe in die körperliche Unversehrtheit verbunden sind, willigt der Betroffene darin konkludent durch seine Mitwirkung an der Untersuchung ein. 136 Forst, RDV 2010, 8, 11. Nach a. A. sind Untersuchung und Information des Arbeitgebers nur aufgrund einer Einwilligung zulässig (so Fuhlrott/Hoppe, ArbAktuell 2010, 183). A. A. auch MünchArb/ Buchner, § 30 Rn 411 (Einwilligung kann Grenzen der Untersuchung und Weitergabe erweitern).
Jacobi
388
112
113
114
115
Kapitel 8 Umgang mit Beschäftigtendaten
4. Psychologische Untersuchungen und Persönlichkeitstests, Graphologische Untersuchung Für psychologische Untersuchungen und Gutachten durch einen diplomierten Psychologen oder Arzt, der der Schweigepflicht unterliegt, gelten dieselben Grundsätze wie für sonstige auf § 32 Abs. 1 S. 1 BDSG gestützte ärztliche Einstellungsuntersuchungen. Insbesondere ist der Bewerber gem. § 4 Abs. 3 BDSG über das geplante Vorgehen zu informieren, damit er weiß, worauf er sich einlässt, und dem Arbeitgeber darf nur das Gesamtergebnis der Eignung oder Nichteignung mitgeteilt werden.137 Der Erforderlichkeitsvorbehalt in § 32 Abs. 1 S. 1 BDSG gebietet, solche Untersuchungen ebenso wie sonstige psychologische Eignungstests, wie z. B. AssessmentCenter, auf die Feststellung konkreter Qualifikationsmerkmale zu beschränken, die für die in Aussicht genommene Tätigkeit von Bedeutung sind. Außerdem müssen die Tests dem Bewerber zumutbar sein. Allgemeine Intelligenztests, Stressinterviews ohne konkreten Bezug zu einem besonderen diesbezüglichen Anforderungsprofil der in Aussicht genommenen Stelle und umfassende Persönlichkeitsprofile sind ebenso unzulässig wie – als Umgehung der Grenzen des Fragerechts – Gruppendiskussionen, die Rückschlüsse auf allgemeinpolitische Meinungen der Probanden zulassen sowie Tests, mit denen der Bewerber ungewollt innere Zustände offenbart, die mit dem Arbeitsplatz nichts zu tun haben (z. B. Rohrschach- oder Lüscher-Farb-Test).138 Aus dem Anforderungsprofil für die Stelle abgeleitete Persönlichkeitsmerkmale und Fähigkeiten wie etwa kommunikative Fähigkeiten und Aspekte der Stressbelastbarkeit, wenn bei der späteren Tätigkeit schwierige Verhandlungen zu führen sind, können in Gruppendiskussionen und Rollenspielen geprüft werden. Eine weitergehende Durchleuchtung der Persönlichkeit durch einen Psychologen ist auf Ausnahmen beschränkt, in denen Zuverlässigkeit und Belastbarkeit sowie das Verhalten in Krisensituationen auch zum Schutz Dritter relevant sind.139 Die Einhaltung wissenschaftlicher Standards ist zu empfehlen.140 Während die Anforderung einer Handschriftenprobe zulässig ist, bedarf es für deren Begutachtung durch einen Graphologen der Einwilligung des Bewerbers.141
137 ErfK/Wank, § 611 Rn 309. 138 Fitting, § 94 Rn 26; ErfK/Wank, § 611 Rn 310; Eschenbacher, S. 183. Neben § 32 BDSG bedarf es hierfür keiner Einwilligung. A. A. Eschenbacher, S. 180; Erfk/Wank, § 611 Rn 303 und Gola/Wronka, Rn 619 (Tests nur mit Einwilligung zulässig) sowie Bausewein, S. 195 (außerhalb von Leitungspositionen Einwilligung erforderlich). 139 Gola/Wronka, Rn 618. 140 Vgl. die DIN 33430 „Anforderungen an Verfahren und deren Einsatz bei berufsbezogenen Eignungsbeurteilungen“ sowie die ISO-Norm 10667. Nicht jeder Verstoß gegen die genannten Vorschriften macht das Verfahren mangels Eignung unzulässig (Bausewein, S. 188). 141 BAG, Urt. v. 16.9.1982 – 2 AZR 228/80 –. Eine konkludente Einwilligung kann in der Übersendung einer Handschriftenprobe nach einem entsprechenden Hinweis liegen.
Jacobi
B. Datenschutz im Anbahnungsverhältnis
389
5. Anforderung sonstiger Unterlagen vom Bewerber a) Lebenslauf, Zeugnisse, Lichtbild, Aufenthaltstitel Gegen die Anforderung eines – auch handschriftlichen, jedoch nicht lückenlosen142 – 116 Lebenslaufs, aller einschlägigen Zeugnisse und eines Lichtbilds bestehen keine Bedenken. Wenn in der Literatur verschiedentlich davon abgeraten wird, ein Lichtbild zu verlangen, weil daraus Schlüsse auf verpönte Diskriminierungsmerkmale möglich sein können, erscheint dies übertrieben; im Bewerbungsgespräch bekommt der Arbeitgeber den Bewerber ohnehin zu Gesicht.143 Von Bewerbern, die keinem EUMitgliedstaat angehören, kann ein Arbeitgeber die Vorlage eines Aufenthaltstitels oder derjenigen Dokumente verlangen, aus denen sich ergibt, dass es keines Aufenthaltstitels bedarf.144
b) Polizeiliches Führungszeugnis, Auskünfte der Polizei oder Nachrichtendienste Auch wenn dem Arbeitgeber damit nicht einschlägige und arbeitsplatzbezogene 117 Vorstrafen bekannt werden können, kann er bei besonderen Vertrauensstellungen mit hohem Missbrauchspotenzial vom Bewerber die Vorlage eines polizeilichen Führungszeugnisses verlangen.145 Eine Sicherheitsüberprüfung anhand eines vom Beschäftigten vorzulegenden Führungszeugnisses ist deshalb vor der Übertragung sensibler Sicherheitsaufgaben (z. B. Personenschutz) sowie vermögensbetreuender Tätigkeiten zur eigenverantwortlichen Wahrnehmung, insbesondere dem Anvertrauen sensibler Informationen oder erheblicher Sachwerte des Unternehmens oder Dritter, zulässig.146 Ein berechtigtes Interesse hierfür besteht, weil der Arbeitgeber einerseits keine andere Möglichkeit hat, die diesbezüglichen Auskünfte des Bewerbers zu überprüfen und ihn andererseits bei der Auswahl geeigneter Bewerber gem. § 831 Abs. 1 S. 2 BGB erhebliche Sorgfaltspflichten treffen können. Um den Eingriff zu minimieren, sollte das Führungszeugnis sofort nach Eingang von einer
142 Ein vollständiger Lebenslauf kann Angaben enthalten, an denen der Arbeitgeber kein berechtigtes Interesse hat (z. B. Verbüßung einer Freiheitsstrafe für im Bundeszentralregister getilgte Vorstrafen – insoweit könnte der Arbeitnehmer sanktionslos eine normale Beschäftigung angeben) oder die AGG-rechtlich unzulässig sind. Der Lebenslauf ist daher auf Angaben zum Ausbildungs- und Berufsweg zu beschränken. 143 Buchner in: FS Adomeit, S. 128. Bedenken äußert z. B. Kittner/Zwanziger/Deinert/Becker, § 18 Rn 46. Selbst beim sog. anonymisierten Bewerbungsverfahren erfolgt indes lediglich die Vorauswahl aufgrund anonymisierter Unterlagen, die z. B. kein Lichtbild und ausschließlich Angaben zur Qualifikation enthalten (näher dazu Leitfaden für den Arbeitgeber: Anonymisierte Bewerbungsverfahren, herausgegeben von der Antidiskriminierungsstelle des Bundes). 144 Grobys/Panzer/Littig, Kap. 81 Rn 4. 145 Vogt, NJOZ 2009, 4206, 4215. Für eine unbeschränkte Zulässigkeit Milthaler, S. 202. Für eine generelle Unzulässigkeit Thum/Szczesny, BB 2007, 2405, 2406. Zur Erstellung einer Konzernrichtlinie für Sicherheitsüberprüfungen siehe Petri/Overkamp, RDV 2013, 21, 24. 146 Vgl. OLG Köln, Urt. v. 21.6.1996 – 19 U 2/96 – (Einstellung eines Wachmannes).
Jacobi
390
Kapitel 8 Umgang mit Beschäftigtendaten
festgelegten Person überprüft, nicht Relevantes geschwärzt und es nur in dieser Form weiterverwendet werden. Auch der Einsatz eines Dienstleisters, der dem Arbeitgeber nur das Ergebnis der Überprüfung mitteilt und ihm gegenüber ansonsten zur Verschwiegenheit verpflichtet ist, kommt in Betracht. Ein Arbeitgeber kann die Vorlage eines Führungszeugnisses zudem verlangen, 118 wenn dies ausdrücklich gesetzlich vorgesehen ist, wie z. B. in § 30a Abs. 1 BZRG sowie § 72a des SGB VIII seit 1.5.2010 für alle kinder- und jugendnahen Tätigkeiten. Ein berechtigtes Interesse an den vom Polizeivollzugsdienst oder Verfassungs119 schutz über einen Bewerber gespeicherten Daten hat ein privater Arbeitgeber in der Regel nicht. Er kann deshalb von einem Bewerber grundsätzlich nicht verlangen, dass dieser eine entsprechende Auskunft einholt und ihm vorlegt oder sich mit der Einholung einer solchen Auskunft durch den Arbeitgeber einverstanden erklärt.147 Die Einbeziehung polizeilicher und nachrichtendienstlicher Erkenntnisse in Sicherheitsüberprüfungen von Beschäftigten und Bewerbern ist über die gesetzlich ausdrücklich geregelten Fälle (z. B. § 12 SÜG i. V. m. § 9a ff. SÜFV,148 § 12b Abs. 2 Nr. 3 AtG, § 7 Abs. 3 Nr. 2 LuftSiG) hinaus nur ausnahmsweise, etwa zur Minimierung der Gefahr einer Begehung von Terroranschlägen bei sportlichen oder politischen Großveranstaltungen durch „Innentäter“,149 zulässig. Auch Anfragen bei Verfassungsschutzbehörden, ob dort Erkenntnisse vorliegen, die der Anstellung eines Bewerbers aus Gründen des (Industrie-)Spionageschutzes entgegenstehen, können gem. § 28 Abs. 1 S. 2 BDSG zulässig sein, wenn die angefragte Stelle zu einem entsprechenden Abgleich und der Übermittlung des Ergebnisses berechtigt ist, was in der Regel eine konkrete Gefahr im Einzelfall voraussetzt. Eine Einwilligung des Bewerbers scheidet mangels Freiwilligkeit als Rechtsgrundlage aus. Mit ihr kann jedoch die gem. § 4 Abs. 3 Nr. 2 und 3 BDSG erforderliche Aufklärung über den Abgleich erfolgen. Vertragliche Vereinbarungen mit oder Sicherheitsstandards von Vertragspartnern des
147 Däubler, Rn 929. MünchArbR/Buchner, § 30 Rn 401. Vgl. auch die Entschließungen der DSK vom 25.10.2007 und 3.4.2008. 148 Vgl. Tätigkeitsbericht des Innenministeriums Baden-Württemberg 2005, S. 71 (Prüfung von Mitarbeitern gem. § 33 SÜG), abrufbar unter http://www.baden-wuerttemberg.datenschutz.de/wp-content/ uploads/2013/02/3.-Tätigkeitsbericht-des-Innenministeriums-2005.pdf. 149 Zur Zuverlässigkeitsüberprüfung im Rahmen eines Akkreditierungsverfahrens auf der Grundlage einer Einwilligung des Betroffenen bei Fußball-WMs, dem Papstbesuch 2011 oder Feierlichkeiten zum Tag der Deutschen Einheit siehe 30. Tätigkeitsbericht des LfD BW 2011, S. 75 f., abrufbar unter http://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2013/02/30.T%C3 %A4tigkeitsbericht-2011-Brosch%C3 %BCre.pdf; Tätigkeitsbericht LfD Berlin 2009, S. 49 f., abrufbar unter http://www.datenschutz-berlin.de/attachments/669/Jahresbericht_2009.pdf?1269595949; Tätigkeitsbericht BfDI 2009, S. 65 f. (siehe dort auch zur Sicherheitsüberprüfung von Fremdpersonal durch die Bundesbank in Kooperation mit den Landeskriminalämtern), abrufbar unter http://www. bfdi.bund.de/SharedDocs/Publikationen/Taetigkeitsberichte/TB_BfDI/22TB_2007_2008.pdf?__ blob=publicationFile.
Jacobi
B. Datenschutz im Anbahnungsverhältnis
391
Arbeitgebers können derartige Abfragen für sich genommen mangels Erforderlichkeit und wegen Unterlaufens der Voraussetzungen des § 52 BZRG nicht rechtfertigen.
c) Bonitätsauskünfte Soweit der Arbeitgeber die Vermögensverhältnisse des Bewerbers erfragen darf, hat er grundsätzlich auch ein berechtigtes Interesse daran, die Angaben des Bewerbers zu überprüfen. Allerdings enthalten standardisierte Bonitätsauskünfte von Auskunfteien oft mehr Informationen, als für die Beurteilung der Vertrauenswürdigkeit und Zuverlässigkeit erforderlich sind. Die dem Bewerber von der Auskunftei gem. § 34 Abs. 1 BDSG zu erteilende Selbstauskunft (bei der SCHUFA: SCHUFA-Bonitätsauskunft: Teil 2) kann neben dem Scorewert Angaben zu positiv verlaufenden Kredit- und Leasingverträgen, zur Einrichtung von (Telekommunikations-)Konten und der Ausgabe von Kunden- und Kreditkarten enthalten. Da der Arbeitgeber solche Informationen nicht benötigt, darf er die Vorlage einer solchen Selbstauskunft nicht verlangen.150 Die zur Vorlage bei Dritten gedachte SCHUFA-Bonitätsauskunft: Teil 1 (früher: sog. Verbraucherauskunft) enthält neben Informationen aus öffentlichen Verzeichnissen (Abgabe einer Eidesstattlichen Versicherung, Haftbefehle, Insolvenzverfahren) alle zum Betroffenen gespeicherten eingemeldeten Forderungen ab einem Betrag von 50 €. Da Bagatellforderungen kein taugliches Kriterium zur Beurteilung der persönlichen Zuverlässigkeit im Berufsleben sind, hat ein Arbeitgeber hieran in aller Regel auch kein berechtigtes Interesse und kann folglich nicht die Vorlage einer entsprechenden Auskunft verlangen. Als Alternative kann der Arbeitgeber selbst – ggf. mit Zustimmung des Bewerbers – bei einer Auskunftei eine auf Informationen aus öffentlichen Verzeichnissen und negatives Zahlungsverhalten von einiger Erheblichkeit beschränkte Bonitätsauskunft über den Bewerber einholen.151
120
121
122
123
d) Auszug aus dem Gewerbezentralregister Ein Auszug aus dem Gewerbezentralregister kann verlangt werden, wenn die darin 124 enthaltenen Eintragungen einen hinreichend engen Bezug zur vorgesehenen Tätigkeit haben, es z. B. um die Ausübung eines Gewerbes geht.
150 Simitis/Seifert, § 32 Rn 45; Bremischer LfD, 23. Tätigkeitsbericht (2000), S. 105, abrufbar unter https://ssl.bremen.de/datenschutz/sixcms/media.php/13/jahresbericht_23.pdf. A. A. Hohenstatt/Stamer/Hinrichs, NZA 2006, 1065, 1069. 151 Ab welchem Betrag eine Erheblichkeit gegeben ist, lässt sich nur einzelfallbezogen in Relation zum vorgesehenen Gehalt festlegen. Bei Bonitätsauskünften über Mietinteressenten haben sich die Aufsichtsbehörden auf eine Bagatellgrenze von 1.500 € geeinigt (Beschluss des Düsseldorfer Kreises vom 22.10.2009).
Jacobi
392
Kapitel 8 Umgang mit Beschäftigtendaten
e) Namensabgleich mit Antiterrorlisten und sonstigen Sanktionslisten
125 Ein verdachtsunabhängiger Abgleich von Bewerberdaten mit den in Anhang II der VO
(EG) Nr. 881/2002 sowie Art. 2 Abs. 3 der VO (EG) Nr. 2580/2001 aufgeführten Terrorismusverdächtigen ist erforderlich, um dem in Art. 2 Abs. 2 und 3 der VO 881/2002 sowie Art. 2 Abs. 1b der VO 2580/2001 geregelten Bereitstellungsverbot, dessen – auch fahrlässige – Verletzung durch ein Unternehmen gem. § 34 Abs. 4 Nr. 2 sowie § 34 Abs. 7 des Außenwirtschaftsgesetzes (AWG) strafbar ist, Genüge zu tun. Der Abgleich kann auf § 28 Abs. 1 S. 1 Nr. 2 BDSG gestützt werden.152 Auch ein Abgleich mit sonstigen Sanktionslisten, z. B. der vom US Office of Foreign Assets Control (OFAC) herausgegebenen SDN-Liste (Specially Designated Nationals and Blocked Persons) kann gem. § 28 Abs. 1 S. 1 Nr. 2 BDSG zulässig sein, wenn dem Unternehmen oder seinen Mitarbeitern ansonsten im Einzelfall erhebliche Nachteile drohen.153 Die Betroffenen sollten gem. § 4 Abs. 3 S. 1 Nr. 2 BDSG vorab über derartige Abgleiche unterrichtet werden.
V. Nutzung, Speicherung und Übermittlung von Bewerberdaten 126 Rechtmäßig erhobene personenbezogene Daten eines Bewerbers dürfen gem. § 32
Abs. 1 S. 1 BDSG für das Auswahlverfahren bezüglich der Stelle(n), auf die sich die Bewerbung nach dem Willen des Bewerbers bezieht, genutzt und solange gespeichert werden, wie sie für diesen Zweck benötigt werden, d. h. bis zum Abschluss des Stellenbesetzungsverfahrens oder endgültigem Ausscheiden des Bewerbers aus diesem (z. B. durch Rücknahme der Bewerbung). Danach sind sie gem. § 35 Abs. 2 S. 1 Nr. 3 BDSG zu löschen. Ein berechtigtes Interesse an einer längeren Speicherung besteht, solange noch mit Rechtsstreitigkeiten, etwa Klagen eines abgelehnten Bewerbers nach § 15 AGG wegen Diskriminierung, zu rechnen ist. Solche Ansprüche müssen – vorbehaltlich abweichender tarifvertraglicher Regelungen – innerhalb von zwei Monaten nach Zugang der Ablehnung und Kenntnis der Benachteiligung154 geltend gemacht (§ 15 Abs. 4 AGG) und innerhalb von drei Monaten danach eingeklagt werden
152 BFH, Urt. v. 19.6.2012 – 7 R 43/11 – sowie FG Düsseldorf, Urt. v. 1.6.2011 – 4 K 3063/10 Z –, die auf die Geringfügigkeit des Eingriffs hinweisen. Anders und ohne überzeugende Begründung gegen die Zulässigkeit solcher Abgleiche: Beschluss des Düsseldorfer Kreises vom 24.4.2009 sowie 30. Tätigkeitsbericht des LfD BW, S. 146 (nur bei Anhaltspunkten im Einzelfall), abrufbar unter http://www. baden-wuerttemberg.datenschutz.de/wp-content/uploads/2013/02/30.T%C3 %A4tigkeitsbericht2011-Brosch%C3 %BCre.pdf. 153 Vgl. näher hierzu Breinlinger, ZD 2013, 267. Die Sanktionsregeln der OFAC beanspruchen zumindest teilweise auch Geltung für europäische Niederlassungen US-amerikanischer Unternehmen, vgl. FAQ 11 der Frequently Asked Questions auf der Homepage der OFAC: http://www.treasury.gov/resource-center/faqs/Sanctions/Pages/answer.aspx. 154 BAG, Urt. v. 15.3.2012 – 8 AZR 37/11 – (Fristbeginn mit Kenntnis von Indizien für Beweislastumkehr gem. § 22 AGG, die Prozess hinreichend aussichtsreich erscheinen lassen).
Jacobi
B. Datenschutz im Anbahnungsverhältnis
393
(§ 61b ArbGG). Einschließlich eines Sicherheitszuschlags wegen anderer zivilrechtlicher Unterlassungs- und Schadensersatzansprüche wird man die Aufbewahrung von Bewerbungsunterlagen abgelehnter Bewerber oder die Vorhaltung einer Dokumentation der Auswahlentscheidung damit ohne nähere Begründung bis zu sechs Monate ab dem Abschluss des Bewerbungsverfahrens für zulässig erachten können.155 Eine längere Vorhaltung personenbezogener Bewerberdaten, etwa im Hinblick 127 auf künftig zu besetzende Stellen in einem Bewerberpool, oder ihre Weitergabe an andere interessierte Stellen innerhalb des Unternehmens, ist – auch bei Initiativbewerbungen – gestützt auf § 32 Abs. 1 S. 1 BDSG nur möglich, wenn die Bewerbung ausdrücklich auch für diesen Zweck erfolgte156 oder der Bewerber den Zweck seiner Bewerbung nachträglich eindeutig entsprechend erweitert bzw. geändert hat. Das kann auch dadurch geschehen, dass er einem Hinweis im Ablehnungsschreiben nicht widerspricht. Fehlt es an einer entsprechenden eindeutigen Zweckbestimmung, bedarf es einer Einwilligung.157 Eine Übermittlung von Bewerberdaten an Dritte (auch andere konzernangehörige Unternehmen) ist, soweit diese nicht in das Bewerbungsverfahren eingeschaltet werden,158 nur mit Einwilligung des Bewerbers möglich. An einer dauerhaften Speicherung einiger weniger Stammdaten nicht erfolgrei- 128 cher Bewerber (z. B. Name, Anschrift und Geburtsdatum), um im Fall einer etwaigen nochmaligen Bewerbung Verwaltungs- und Vorstellungskosten zu sparen, besteht ein berechtigtes Interesse.159 Praxistipp Besteht vonseiten eines Unternehmens Interesse daran, Bewerberdaten auch nach Abschluss eines Bewerbungsverfahrens vorzuhalten, z. B. in einem Bewerberpool, sollte dies nur mit ausdrücklicher, möglichst schriftlicher Einwilligung des Bewerbers erfolgen.
155 BayLDA, Tätigkeitsbericht 2011/2012, S. 62, abrufbar unter http://www.lda.bayern.de/lda/datenschutzaufsicht/lda_daten/dsa_Taetigkeitsbericht20112012.pdf. Enger BfDI, 22. Tätigkeitsbericht 2007 – 2008, S. 123: zwei Monate, abrufbar unter http://www.bfdi.bund.de/SharedDocs/Publikationen/Taetigkeitsberichte/TB_BfDI/22TB_2007_2008.pdf?__blob=publicationFile. 156 Etwa auf einen entsprechenden Hinweis in der Ausschreibung. 157 Simitis/Seifert, § 32 Rn 55; BayLDA, Tätigkeitsbericht 2011/2012, S. 62, abrufbar unter http://www. lda.bayern.de/lda/datenschutzaufsicht/lda_daten/dsa_Taetigkeitsbericht20112012.pdf (konkludente Einwilligung durch unterbleibenden Widerspruch nach Hinweis). 158 Näher dazu Rn 130, 131. 159 BAG, Urt. v. 6.6.1984 – 5 AZR 286/81 –.
Jacobi
394
Kapitel 8 Umgang mit Beschäftigtendaten
VI. Einschaltung Dritter in das Bewerbungs- und Auswahlverfahren durch Arbeitgeber 129 Für die Arbeitsvermittlung durch die Agentur für Arbeit oder private Arbeitsvermittler
existieren bereichsspezifische Regelungen (§ 67 ff. SGB X, 298 SGB III). Dritte, z. B. ein Personalberatungsunternehmen aber auch eine rechtlich selbstständige Einheit desselben Konzerns, können vom Arbeitgeber in das Bewerbungsverfahren einbezogen werden, indem sie beispielsweise mit einem Inserat, der Sammlung und Sichtung eingehender Bewerbungen, einer Vorauswahl, der Organisation und Begleitung von Vorstellungsgesprächen und dem Versand von Absagen betraut werden oder in sonstiger Weise in die Entscheidung eingebunden werden. In datenschutzrechtlicher Hinsicht kann dies sowohl als Auftragsdatenverar131 beitung oder – die Einräumung von Ermessens- und Beurteilungsspielräumen vorausgesetzt – als Funktionsübertragung ausgestaltet werden. In letzterem Fall ist eine Übermittlung von Bewerberdaten durch den Arbeitgeber an den Dienstleister gem. § 28 Abs. 1 S. 1 Nr. 2 BDSG möglich, weil der Wunsch nach einer Erleichterung des Bewerbungsverfahrens und einer Verbesserung seines Ergebnisses durch Inanspruchnahme professioneller Hilfe Dritter als berechtigtes Interesse des Arbeitgebers anzuerkennen ist. Die Erhebung und Nutzung der Bewerberdaten durch den Dienstleister ist durch § 28 Abs. 1 S. 1 Nr. 1 BDSG, beim Fehlen direkten Kontakts zwischen Dienstleister und Bewerber und damit eines Schuldverhältnisses durch § 28 Abs. 1 S. 1 Nr. 2 BDSG grundsätzlich gedeckt. Besonderer Datenschutzvereinbarungen zugunsten der Betroffenen wie bei einer konzernweiten Zentralisierung der Personalverwaltung160 bedarf es nicht. Die Befugnisse des Dienstleisters reichen allerdings nicht weiter als die des Arbeit132 gebers. Sogenannten Background- oder Pre-Employment Checks, mittels derer Dienstleister Bewerber auf ihre Zuverlässigkeit und die Richtigkeit ihrer Angaben prüfen sollen, sind damit, insbesondere in Bezug auf Internetrecherchen, Erkundigungen bei früheren Arbeitgebern und der Anforderung von Bonitätsauskünften und polizeilichen Führungszeugnissen, enge Grenzen gezogen.161 Auch direkte Fragen an den Bewerber sind nur in dem durch das Fragerecht des Arbeitgebers abgesteckten Rahmen möglich. Zudem sind die Bewerber vorab stets gem. § 4 Abs. 3 S. 1 Nr. 1 und 3 BDSG über die Einschaltung des Dritten, die damit verfolgten Zwecke sowie die verantwortliche(n) Stelle(n) zu informieren.162 Nach Abschluss des Bewerbungs-
130
160 Vgl. näher hierzu den Arbeitsbericht der ad-hoc-Arbeitsgruppe „Konzerninterner Datentransfer“, Nr. 3.2 und 6.2, abrufbar unter http://www.lda.bayern.de/lda/datenschutzaufsicht/lda_fachthemen.htm. 161 Siehe dazu oben Rn 88 ff., 96 f., 117 f., 120 f. 162 NÖB Hessen, 21. Tätigkeitsbericht 2007, S. 34, abrufbar unter http://www.datenschutz.hessen. de/_old_content/tb21/inhalt.htm.
Jacobi
C. Datenschutz im Beschäftigungsverhältnis
395
verfahrens sind die Bewerberdaten bei einem Dienstleister zu löschen, soweit und solange sie von diesem nicht für Abrechnungszwecke benötigt werden. Praxistipp Wird die Einschaltung Dritter (z. B. Personalberatungsunternehmen oder rechtlich selbstständige Einheiten eines Konzerns) in ein Bewerbungsverfahren als Auftragsdatenverarbeitung ausgestaltet, bedarf es gem. § 11 Abs. 2 BDSG einer schriftlichen Vereinbarung über die Auftragsdatenverarbeitung, in der detaillierte Regelungen zum Umgang mit den personenbezogenen Daten zu treffen sind.
C. Datenschutz im Beschäftigungsverhältnis I. Rechtliche Grundlagen 1. Verarbeitungsgrundsätze Die Durchführung eines jeden Beschäftigungsverhältnisses ist ohne die Erhebung, Verarbeitung und Nutzung personenbezogener Daten nicht möglich, denn ungeachtet des Inhalts der jeweils zu erbringenden Arbeitsleistung verlangt bereits deren Vereinbarung, Erfassung und Vergütung ein Mindestmaß an Verarbeitung durch den Arbeitgeber. § 32 Abs. 1 S. 1 BDSG gestattet hiervon ausgehend als besondere bereichsspezifische Erlaubnisvorschrift jene originären Verarbeitungshandlungen, die bei objektiver Betrachtung nach den Grundsätzen der Verhältnismäßigkeit zur Erfüllung und Kontrolle der (wechselseitigen) Haupt- und Nebenpflichten des Arbeitsvertrages aus der Natur bzw. Eigenart des jeweiligen Beschäftigungsverhältnisses unter Berücksichtigung der Anforderungen zeitgemäßen Wirtschaftens und des adäquaten Einsatzes moderner Informationstechnologien unverzichtbar und damit erforderlich sind. Nach Begründung des Beschäftigungsverhältnisses kann auf § 32 Abs. 1 S. 1 BDSG also jede adäquate Verarbeitung gestützt werden, die unter Beachtung der Grundsätze der Datensparsamkeit und Datenvermeidung zur Verwaltung und zum Arbeitseinsatz des Beschäftigten oder für den sonstigen Arbeits- bzw. Betriebsablauf unabdingbar ist und an der der Arbeitgeber insoweit ein legitimes Interesse geltend machen kann. Über das Maß der Erforderlichkeit für originäre Beschäftigungszwecke hinausgehende Verarbeitungen oder solche, die (gänzlich) anderen legitimen Interessen des Arbeitgebers dienen, sind auf Grundlage von § 28 Abs. 1 S. 1 Nr. 2 BDSG zulässig, soweit kein Grund zu der Annahme besteht, dass schutzwürdige Interessen des Beschäftigten dem Verarbeitungsinteresse gegenüber überwiegen. Zur Tauglichkeit datenschutzrechtlicher Einwilligungen sowie von Tarifverträgen und Betriebs-
Kynast
133
134
135
136
396
Kapitel 8 Umgang mit Beschäftigtendaten
vereinbarungen163 als Rechtsgrundlage einer Erhebung, Verarbeitung und Nutzung von Daten im Beschäftigungsverhältnis wird auf den insoweit einführenden Teil dieses Kapitels verwiesen. Sollen Daten für andere eigene oder fremde Zwecke verarbeitet werden, als 137 jene, für die sie in zulässiger Weise erhoben wurden, muss sich das zweckändernde Verarbeitungshandeln jeweils für sich durch eine entsprechende Rechtsgrundlage legitimieren (Zweckbindungsprinzip).
2. Technisch-organisatorischer Datenschutz
138 Die Beschäftigungsstelle ist ferner gehalten, die nach § 9 BDSG und dessen Anlage
gebotenen technisch-organisatorischen Grundsätze umzusetzen. Im Einzelnen wird auf Kap. 12 verwiesen. An dieser Stelle allerdings gleichwohl zu nennen ist die Pflicht der Beschäftigungsstelle, die Nutzung und Verarbeitung von Beschäftigtendaten auf solche Betriebsteile und deren Verantwortliche zu beschränken, denen jeweils die konkrete Verarbeitung und Nutzung der Daten obliegt. Gerade angesichts des Umstandes, dass Betriebsstätten auch Sozialgemeinschaften bilden, ist dem Schutz des Einzelnen vor unbefugter innerbetrieblicher Kenntnisnahme seiner Daten durch Kollegen und Vorgesetze besonders Rechnung zu tragen. Deshalb und aus anderen betriebsorganisatorischen Gründen ist der Arbeitgeber seiner Organisationshoheit wegen befugt, nach dem Erfordernis der betrieblichen Abläufe die Daten Beschäftigter in verschiedenen – getrennten – Systemen jeweils gesondert zu verarbeiten, wobei von zentraler Bedeutung die Personalakte ist.
3. Folgen rechtswidrigen Verarbeitungshandelns
139 Verstöße gegen datenschutzrechtliche Bestimmungen können von den Aufsichts-
behörden unterbunden, angezeigt und – als Ordnungswidrigkeitenbehörde – auch geahndet werden (§§ 38 Abs. 1 S. 6, Abs. 5, 43 Abs. 1, 2 BDSG). Schon bei Bußgeldern über 200 € erfolgt ein Gewerbezentralregistereintrag (§ 149 Abs. 2 S. 1 Nr. 3 GewO). Beschäftigte können sich im Wege einer Eingabe jederzeit (auch anonym) an die Aufsicht wenden (§ 21 S. 1 i. V. m. 38 Abs. 1 S. 8 BDSG), allerdings besteht bei einem Verzicht auf eine innerbetriebliche Klärung für sie die Gefahr, wegen fehlenden Wohlverhaltens und eines deswegen zerrütteten Vertrauensverhältnisses arbeitsrechtlich belangt zu werden.164 Bei datenschutzrechtlichen Verstößen können Betroffene zivilrechtliche Schadensersatz- (§§ 280, 823 BGB, § 7 BDSG, § 15 AGG) oder Unterlassungsansprüche (§ 1004 BGB) geltend machen.
163 Zur allgemeinen Zulässigkeit der Datenverarbeitung auf Grundlage von Tarifverträgen sowie Betriebsvereinbarungen vgl. zuletzt BAG, Urt. v. 25.9.2013 – 10 AZR 270/12 –. 164 BAG, Urt. v. 3.7.2003 – 2 AZR 235/02 –.
Kynast
C. Datenschutz im Beschäftigungsverhältnis
397
Praxistipp Ein systematisches innerbetriebliches Konzept zur Erhebung, Verarbeitung und Nutzung von Beschäftigtendaten beugt Fehlern vor und bietet Transparenz gegenüber den Beschäftigten und Aufsichtsbehörden. Es empfiehlt sich zudem (ergänzend) eine Betriebsvereinbarung, in der Übereinkünfte zu Verfahren, Beteiligten und technisch-organisatorischen Maßnahmen getroffen werden.
II. Allgemeine Verarbeitungen 1. Weitere Verarbeitung der Daten aus dem Anbahnungsverhältnis Nach Begründung des Beschäftigungsverhältnisses ist der Arbeitgeber befugt, jene Daten, die er zuvor rechtmäßig im Anbahnungsverhältnis erhoben hat, zur Dokumentation der Umstände der Eingehung des Arbeitsverhältnisses vollständig zur Personalakte zu nehmen. In die Personalakte, welche die Funktion der Wiedergabe eines möglichst vollständigen, wahrheitsgemäßen und sorgfältigen Bildes über den Arbeitnehmer im Arbeitsverhältnis und seinen bisherigen und weiteren Werdegang hat, können ergänzend alle weiteren Angaben, Urkunden und Vorgänge Eingang finden, welche bei Beginn und im weiteren Verlauf der Beschäftigung die persönlichen und betrieblichen Verhältnisse des Beschäftigten betreffen und in einem inneren Zusammenhang mit dem Beschäftigungsverhältnis stehen.165 Das teilweise oder vollständige Führen elektronischer Personalakten oder eine spätere Umstellung auf diese ist jedenfalls bei Wahrung der Grundsätze der Datenvermeidung und Datensparsamkeit (§ 3a BDSG) und der Einhaltung hinreichender technisch-organisatorischer Maßnahmen zum Datenschutz (§ 9 BDSG) nicht besonders problematisch. § 32 Abs. 1 S. 1 BDSG begrenzt die Erhebungsbefugnis allerdings strikt auf das erforderliche und gem. § 28 Abs. 1 S. 1 Nr. 2 BDSG im Zuge einer Abwägung auf das sonst zur legitimen Interessenwahrung erforderliche Maß, wobei auch solche Daten bereits (vorab) erhoben werden können, die typischerweise erst im weiteren Verlauf des Beschäftigungsverhältnisses benötigt werden, also nur einer sachgerechten Prognose nach im Zeitpunkt der Erhebung unter Beachtung der Grundsätze der Datenvermeidung und Datensparsamkeit bei Abwägung der wechselseitigen Interessen erforderlich sind.166 Jede Verarbeitung und Nutzung der Daten bleibt dabei allerdings zunächst grundsätzlich auf den Zweck der jeweiligen Erhebung beschränkt. Das Zweckbindungsprinzip kann nur durch die Einwilligung des Arbeitnehmers oder eine sonstige Ermächtigung durchbrochen werden. Der Arbeitgeber muss also bei einer weiterge-
165 BAG, Urt. v. 15.11.1985 – 7 AZR 92/83 –. 166 BAG, Urt. v. 22.10.1986 – 5 AZR 660/85 –; Simitis/Seifert, § 32 Rn 57 f.
Kynast
140
141
142
143
398
Kapitel 8 Umgang mit Beschäftigtendaten
henden Verarbeitungsabsicht prüfen, ob er die Daten für den anderen Zweck auch so erstmals hätte erheben und verarbeiten dürfen.
2. Grundlegende Personaldaten
144 Von der Erhebungsbefugnis ohne Weiteres erfasst sind neben den Bewerbungsun-
terlagen die (auch mit einem Personalbogen nochmals oder zusätzlich erhobenen) grundlegenden Personalien, als primäre Stammdaten also Name(n), Anschrift, Geschlecht, Geburtsdatum (ohne den Geburtsort) und den Zeitpunkt des Beschäftigungseintritts, wobei Alter und Geschlecht allein aus Gründen altersgerechter und geschlechterdiskriminierungsfreier Personal(-bedarfs-)planung erhoben werden können.167 Daneben rechtfertigt die Verpflichtung des Arbeitgebers zur Sozialauswahl bei betriebsbedingten Kündigungen (§ 1 Abs. 3 KSchG) die Erhebung dieser beiden Angaben sowie des Familienstandes, der Zahl unterhaltspflichtiger Kinder, des Bestehens von (weiteren) Unterhaltspflichten und des Grades einer etwaigen Schwerbehinderung, wobei die Angaben ungeachtet einer konkret anstehenden Sozialauswahl schon abstrakt bei Beginn des Beschäftigungsverhältnisses erhoben werden dürfen,168 im Fall der Schwerbehinderung jedenfalls nach Ablauf der sechsmonatigen Frist bis zum Erwerb des Behindertenschutzes nach §§ 85 ff. SGB IX.169 Weiterhin dürfen sämtliche Tarif- und Eingruppierungsmerkmale sowie alle 145 (sonst) entgelt-, steuer- und sozialversicherungsrechtlich relevanten Angaben und Unterlagen (z. B. zur Krankenkasse, Lohnsteuer, Kirchensteuer und im Einzelfall zur Gewerkschaftszugehörigkeit, jedenfalls bei Einzug des Beitrags über den Arbeitgeber oder besonderer tariflicher Relevanz170) erhoben werden; ferner der Arbeitsvertrag, dessen Änderungen und Aufhebungen sowie etwaige Kündigungen und Abmahnungen; zudem alle Zeugnisse, Referenzen, Leistungs- und Führungsbeurteilungen sowie Fortbildungs-, Entwicklungs- und Förderunterlagen. Auch die zur Vorlage beim Arbeitgeber bestimmten Arbeitsunfähigkeitsbescheinigungen sowie Urlaubsunterlagen fallen unter die Erhebungsbefugnis. Wie einige der genannten Beispiele zeigen, gehören auch besondere perso146 nenbezogene Daten i. S. v. § 3 Abs. 9 BDSG zu den verarbeitungsbefugten Daten, wobei dies in Abwägung der wechselseitigen Interessen insoweit auf § 28 Abs. 6 BDSG gestützt werden kann. Auch das AGG hindert die Verarbeitung nicht.171
167 Plath/Stamer/Kuhnke, § 32 Rn 55. 168 BAG, Urt. v. 22.10.1986 – 5 AZR 660/85 –; teilweise a. A. Däubler/Klebe/Wedde/Weichert/Däubler, § 32 Rn 77 ff. 169 BAG, Urt. v. 16.2.2012 – 6 AZR 553/10 –. 170 Plath/Stamer/Kuhnke, § 32 Rn 57. 171 Gola/Schomerus, § 32 Rn 14.
Kynast
C. Datenschutz im Beschäftigungsverhältnis
399
3. Private Verhältnisse Daten zu den außerdienstlichen Verhältnissen eines Beschäftigten haben in der Regel weder einen Bezug zum Beschäftigungsverhältnis i. S. v. § 32 Abs. 1 S. 1 BDSG, noch kann ein Arbeitgeber eine legitime Kenntnis an der privaten Lebensführung seines Arbeitnehmers (und dessen Angehörigen) i. S. v. § 28 Abs. 1 S. 1 Nr. 2 BDSG beanspruchen, denn der Betroffene ist hierin frei und im Besonderen schutzwürdig. Folglich ist es dem Arbeitgeber insbesondere verwehrt, Angaben zum Freizeitverhalten, zu Sozialkontakten oder zur Familienplanung sowie zu Interessen, Neigungen, Vorlieben, Gewohnheiten, (religiösen und weltanschaulichen) Überzeugungen, Mitgliedschaften (z. B. in Vereinen, Parteien, Religionsgemeinschaften), Ehrenämtern, Vermögen oder zum Konsumverhalten zu erheben und zu verarbeiten. Verarbeitungshandlungen zum Wirtschaftsverhalten können allerdings dann erfolgen, wenn sie einen betrieblichen Bezug aufweisen, etwa bei Personaleinkäufen, der Gewähr betriebsbezogener (Mitarbeiter-)Rabatte, Arbeitgeberdarlehn, Jobtickets, Betriebswohnungen oder sonstigen (sozialen) Vergünstigungen, wobei die Befugnis auf die Zwecke der Durchführung dieser Sonderbeziehungen beschränkt ist und keine Verarbeitungserlaubnis zur Beurteilung oder Prüfung der betrieblichen oder außerbetrieblichen Verhältnisse des Beschäftigten einschließt.172 Soweit Angehörige hiervon profitieren bzw. in soziale Vergünstigungen einbezogen sind, können auch ihre Daten insoweit nach § 28 Abs. 1 S. 1 Nr. 1 BDSG erhoben und verarbeitet werden. Kein legitimes Interesse kann ein Arbeitgeber jedoch an der Kenntnis geltend machen, welcher beruflichen Tätigkeit Personen aus dem persönlichen Umfeld des Beschäftigten, z. B. Haushaltsangehörige oder (Ehe-)Partner, nachgehen, etwa um eine persönliche Verbindung zur Konkurrenz in Erfahrung zu bringen. Allenfalls bei Zugang zu sensibelsten Betriebs- und Geschäftsgeheimnissen kann im besonderen Einzelfall ein zulässiges Bedürfnis des Arbeitgebers bestehen, die Gefahr privater Interessenkollisionen durch eine Beziehung zu Dritten näher zu hinterfragen. Hinterfragen darf der Arbeitgeber zudem Nebentätigkeiten seines Beschäftigten, falls diese für die Einhaltung arbeitsvertraglicher Pflichten relevant sind. Insoweit kann auf die näheren Ausführungen an vorheriger Stelle zum Bewerbungsrechtsverhältnis verwiesen werden.173 Die Bereitschaft zum berufsbedingten Umzug oder dem Interesse an einem beruflichen Fortkommen kann wegen des betrieblichen Bezugs ohne Weiteres erhoben und verarbeitet werden. Verarbeitungen in Bezug auf Straftaten, Ordnungswidrigkeiten und Registereinträge sind auf Grundlage von § 32 Abs. 1 S. 1 BDSG in jenem Umfang zulässig, der
172 Simits/Seifert, § 32 Rn 60. 173 Siehe hierzu Rn 81.
Kynast
147
148
149
150
151
152
400
Kapitel 8 Umgang mit Beschäftigtendaten
auch im Anbahnungsverhältnis wegen einer besonderen betrieblichen Relevanz gestattet ist.174 153 Auch bei nach der Begründung des Arbeitsverhältnisses eintretenden erhöhten Zuverlässigkeitsanforderungen, etwa wegen besonderer vermögensbetreuender Aufgaben – so beispielsweise der Übertragung der Bewachung oder Verwaltung erheblicher Warenbestände oder einem Wechsel in die Buchhaltung – ist es im Einzelfall auf Grundlage von § 32 Abs. 1 S. 1 BDSG zulässig, polizeiliche Führungszeugnisse sowie lückenlose und aussagekräftige Referenzen und Zeugnisse zum Werdegang zu erheben und dabei im Besonderen auch die wirtschaftlichen Verhältnisse eines Beschäftigten zu prüfen.175 Dies ist in Fällen mit erheblicher finanzieller Eigenverantwortung auch mittels einer Bonitätsauskunft möglich.176 Eine pauschale Beauskunftung von Auskunfteien zu allen an den Kassen eingesetzten Beschäftigten im Zuge einer standardisierten Prüfung ihrer finanziellen Zuverlässigkeit soll aus aufsichtsbehördlicher Sicht jedoch mangels Verhältnismäßigkeit unzulässig sein, weil die Beschäftigten auch durch Kassenprüfungsmaßnahmen adäquat überwacht werden können.177 Werden Angaben, etwa über die Vermögensverhältnisse eines Beschäftigten, 154 allerdings nicht direkt bei diesem selbst erhoben, ist der Arbeitgeber im Regelfall zur Unterrichtung des Betroffenen verpflichtet (§ 33 BDSG).
4. Private Telefonnummern, E-Mail-Adressen, Soziale Netzwerke
155 Die Erhebung und Verarbeitung privater Telefonnummern eines Beschäftigten ist
allein bei einem objektiven Erfordernis einer besonderen außerdienstlichen Erreichbarkeit (Rufbereitschaft/Beschäftigungsverhältnis mit flexiblem Personaleinsatz) im Einzelfall nach § 32 Abs. 1 S. 1 bzw. § 28 Abs. 1 S. 1 Nr. 2 BDSG zulässig,178 da der Betroffene ansonsten ein schutzwürdiges Interesse daran hat, dass private Kommunikationsmittel als seiner Privatsphäre zugehörig respektiert werden und eine stetige Erreichbarkeit durch Vorgesetzte ihn nicht in seinem Freizeitempfinden oder -verhalten beeinträchtigt. An der Kenntnis privater E-Mail-Adressen oder etwaiger Identitäten in sozialen 156 Netzwerken (z. B. Facebook-Profil) bzw. auf elektronischen Kommunikationsplattformen (z. B. Skype) kann ein Arbeitgeber kein berechtigtes Interesse geltend machen, da es sich schon der Natur der Kommunikationsmittel nach überwiegend um solche
174 Siehe die Ausführungen in Rn 63 ff. 175 OLG Köln, Urt. v. 21.6.1996 – 19 U 2/96 –. 176 LAG Düsseldorf, Urt. v. 16.9.2011 – 6 Sa 909/11 –. 177 LDI NRW, 20. Tätigkeitsbericht, Ziff. 7.4 (S. 69), abrufbar unter https://www.ldi.nrw.de/main menu_Service/submenu_Berichte/Inhalt/20_DIB/20_DIB.pdf. 178 Däubler/Klebe/Wedde/Weichert/Däubler, § 32 Rn 72.
Kynast
C. Datenschutz im Beschäftigungsverhältnis
401
handelt, die privat veranlasster Kommunikation dienen und zur kurzfristigen Erreichbarkeit nicht einem Telefonanruf vergleichbar tauglich sind. Bei einem dienstlichen Bedarf der Nutzung sozialer Netzwerke oder internetbasierter Dienste steht als milderes Mittel zudem stets die Schaffung betrieblicher Accounts zur Verfügung. Die Zulässigkeit der Recherche in Sozialen Netzwerken ist im laufenden 157 Arbeitsverhältnis nicht anders zu beurteilen als im Anbahnungsverhältnis.179
5. Urlaubsabsichten Das Recht des Arbeitnehmers, seine Freizeit grundsätzlich frei zu gestalten, und 158 die Pflicht der Beschäftigungsstelle, Urlaubswünschen im Regelfall zu entsprechen (§ 7 Abs. 1 BUrlG), hindern den Arbeitgeber grundsätzlich, die Gründe, Dauer oder beabsichtigte Gestaltung eines beantragten Urlaubs unter Erhebung und Verarbeitung von Beschäftigtendaten zu hinterfragen.180 Nur wenn dringende betriebliche Belange der Beschäftigungsstelle, etwa ein hoher Auftragsbestand, oder gleichzeitige Urlaubswünsche anderer Beschäftigter eine Interessenabwägung gebieten, besteht ein Bedürfnis und damit die Befugnis zur Nachfrage. Dies gilt auch, wenn der mit dem Urlaub verfolgte Erholungszweck infrage steht, etwa weil die begründete Besorgnis besteht, dass während des Urlaubs eine damit unvereinbare anderweitige Erwerbstätigkeit aufgenommen wird (§ 8 BUrlG) oder zu kurze Urlaubsteile begehrt werden und der Arbeitgeber in Anbetracht bisheriger Urlaubszeiten Gefahr liefe, gegen das Stücklungsverbot (§ 7 Abs. 2 S. 2 BUrlG) zu verstoßen.181
6. Arbeitszeiterfassung Die zeitliche Erfassung (Erhebung) und Verarbeitung der vertraglich geschulde- 159 ten und tatsächlich erbrachten Arbeitsleistung, also der Soll- und Ist-Arbeitszeit eines Beschäftigten, als Maßnahme der Kontrolle des Arbeitsverhaltens und primäre Berechnungsgrundlage des anhand der persönlichen, vertraglichen und tariflichen Vergütungsmerkmale zu entrichtenden Entgeltes betrifft originär die Durchführung des Beschäftigungsverhältnisses und findet daher ihre Rechtsgrundlage in § 32 Abs. 1 S. 1 BDSG.182 Wegen der Organisationsfreiheit der Beschäftigungsstelle (§ 106 GewO), ihrer 160 grundsätzlichen Befugnis zum zeitgemäßen Einsatz elektronischer Datenverarbei-
179 Siehe die Ausführungen in Rn 88 ff. 180 SächsDSB, 6. Tätigkeitsbericht, Ziff. 8.3.1 (S. 59 f.), abrufbar unter http://www.saechsdsb.de/ images/stories/sdb_inhalt/noeb/taetigkeitsberichte/TB_1112-Endfassung.pdf. 181 SächsDSB, 6. Tätigkeitsbericht, Ziff. 8.3.1 (S. 59 f.), abrufbar unter http://www.saechsdsb.de/ images/stories/sdb_inhalt/noeb/taetigkeitsberichte/TB_1112-Endfassung.pdf. 182 Taeger/Gabel/Zöll, § 32 Rn 30.
Kynast
402
Kapitel 8 Umgang mit Beschäftigtendaten
tung und in Ermangelung entgegenstehender schutzwürdiger Interessen kann die Erfassung dabei auch automatisiert, also mittels elektronischer Systeme durchgeführt werden, z. B. durch eine stationäre „elektronische Stechuhr“ am Zugang der Betriebsstätte, solange sich das Verarbeitungshandeln auf die Feststellung der hierfür notwendigen Zeiträume durch entsprechende Zeitmarken beschränkt. Auch die (gesonderte) Erfassung von Reisezeiten, Pausen und Fehlzeiten ein161 schließlich der Gründe in allgemeiner Form, z. B. durch Kennzahlen für typisierbare Abwesenheiten, ist von der Verarbeitungsbefugnis ohne Weiteres umfasst, wobei sich im Falle der Fehlgrundangabe „Krankheit“ das Erhebungsinteresse des Arbeitgebers hinsichtlich des besonderen personenbezogenen Datums (§ 3 Abs. 9 BDSG) schon aus der Wahrung seiner Interessen nach dem EntgFG, mithin im Hinblick auf arbeitsorganisatorische Maßnahmen bis hin zur krankheitsbedingten Kündigung, rechtfertigt (§ 28 Abs. 6 Nr. 3 BDSG). Die Fehlzeitangabe „Krankheit“ ist allerdings auf diese Information zu begrenzen. Zur Befugnis des Arbeitgebers, weitere bzw. nähere Informationen zu den Hintergründen einer Krankheit zu erheben und zu verarbeiten, sei auf spätere Ausführungen verwiesen. Toilettengänge183 und Besuche beim Betriebsrat oder Betriebsarzt dürfen 162 wegen besonderer Intimität bzw. Vertraulichkeit jedoch nicht als eigenständige Fehlgründe erhoben und damit nachverfolgt werden.
7. Entgeltabrechnung
163 Ausgehend von den relevanten persönlichen, vertraglichen und tariflichen Vergü-
tungsmerkmalen und unter Berücksichtigung der nach der Arbeitszeiterfassung zu vergütenden Arbeitsleistung ist der Arbeitgeber zur mit der Abrechnung einhergehenden Datenverarbeitung nach § 32 Abs. 1 S. 1 BDSG befugt, wobei der Rahmen des Verarbeitungshandelns von §§ 107, 108 GewO i. V. m. der Entgeltbescheinigungsverordnung vorgezeichnet ist. In der Praxis häufig zu beobachten sind Entgeltabrechnungen durch Abrech164 nungsdienstleister, derer sich eine Beschäftigungsstelle im Wege der Auftragsdatenverarbeitung bedienen kann, wenn die hierfür geltenden Vorgaben nach § 11 BDSG eingehalten werden.
8. Schutz der Betriebsstätte 165 Zum Schutz der Betriebsstätte vor unbefugtem Zutritt Dritter ist ein Arbeitgeber seines Hausrechtes wegen berechtigt, den Zutritt zum Betriebsgelände zu reglementieren und von einer mit einer Identitätsprüfung verbundenen Zutrittskontrolle abhängig zu machen. Da es sich um eine objektiv erforderliche Maßnahme handelt, welche ins-
183 Taeger/Gabel/Zöll, § 32 Rn 30.
Kynast
C. Datenschutz im Beschäftigungsverhältnis
403
besondere der Minderung des Risikos von Diebstählen, Sabotage und Spionage dient und der Modus des Zugangs zur Betriebsstätte unmittelbar mit der Durchführung des Beschäftigungsverhältnisses im Zusammenhang steht, kann das Verarbeitungshandeln ohne Weiteres bereits auf § 32 Abs. 1 S. 1 BDSG gestützt werden. Im Falle eines externen Werkschutzes bedarf es jedoch eines Auftragsdatenverarbeitungsverhältnisses (§ 11 BDSG), wenn dieser einen Abgleich mit Beschäftigtendaten durchführen soll. Von der Verarbeitungsbefugnis umfasst ist ferner die Erstellung, Ausgabe und 166 Kontrolle eigener Werksausweise, auch mit Lichtbild, denn auch hier dient das Zugangsverfahren zum Betriebsgelände unmittelbar der Erfüllung des Arbeitsvertrages.184 In der Praxis häufig zu beobachten sind elektronische Codekartensysteme, 167 die als Zugangsmedium dienen und gleichzeitig zur Zeiterfassung verwendet werden, was auch bei nochmals unterschiedlichen Zutrittsbereichen im Unternehmen jedenfalls dann unproblematisch ist, solange zur Person des Beschäftigten keine näheren Bewegungsprofile erstellt werden können. Der Einsatz speziell biometrischer Zugangssysteme (z. B. Iriserkennung/Fin- 168 gerabdruck) unter Verarbeitung dieser besonders schutzwürdigen Daten ist nur dann erforderlich und damit zulässig, wenn es sich um den Zugang zu einem Hochrisikobereich handelt, beispielsweise einem Laborbereich mit besonders gefährlichen Stoffen oder Erregern, nicht jedoch – wie in der Praxis zunehmend verbreitet – als allgemeines Mittel einer sicheren Identitätsverifikation, etwa am Zeiterfassungsgerät.185
9. Identifikation und Legitimation Da die personalführende Stelle regelmäßig vermerken kann, anhand welchen Aus- 169 weises die Identität eines Beschäftigten geprüft wurde, besteht im Regelfall weder datenschutzrechtlich ein Erfordernis, eine inländische Personalausweiskopie anzufertigen und zu den Personalunterlagen zu nehmen, noch wäre dies mit den Grundsätzen von § 14 Nr. 2 PAuswG i. V. m. § 20 PAuswG vereinbar, die eine Verwendung des Ausweises als Identitätsnachweis und Legitimationspapier auf eine Einsichtnahme beschränken und allenfalls im besonders begründeten Einzelfall eine (teilgeschwärzte) Kopie gestatten. § 20 Abs. 2 und 3 PAuswG verbietet insbesondere jede automatisierte Verarbeitung von Ausweisdaten in der Weise, dass diese recherchiert oder zur Recherche genutzt werden können. Das optoelektronische Einscannen und
184 Gola/Schomerus, § 32 Rn 14. 185 SächsDSB, 6. Tätigkeitsbericht, Ziff. 8.3.2 (S. 60 f.), abrufbar unter http://www.saechsdsb.de/ images/stories/sdb_inhalt/noeb/taetigkeitsberichte/TB_1112-Endfassung.pdf.
Kynast
404
Kapitel 8 Umgang mit Beschäftigtendaten
Speichern von Personalausweisen186 oder die Übernahme von Seriennummern oder anderen ausweisspezifischen Daten in die betriebliche EDV sind daher unzulässig. Eine – im Bedarfsfall dokumentierte – Sichtprüfung des Personalausweises 170 reicht im Regelfall auch aus, wenn Beschäftigte im Auftrag ihres Arbeitgebers fremde Sicherheitsbereiche betreten. Auch hier besteht also keine generelle Befugnis zur Kopie. Für Zwecke der Teilnahme an einer sicheren elektronischen Kommunika171 tion kann ein Arbeitgeber von seinen Arbeitnehmern verlangen, eine qualifizierte Signatur bei einer vom SigG vorgesehenen Zertifizierungsstelle zu beantragen und hierzu die im Personalausweis enthaltenen Daten zur Identitätsfeststellung der Zertifizierungsstelle zu übermitteln, also durch Dritte verarbeiten zu lassen, wenn dies für die Erbringung der vertraglich geschuldeten Arbeitsleistung erforderlich und dem Arbeitnehmer auch im Einzelfall zumutbar ist.187 Praxistipp Ist die Erhebung von inländischen Ausweiskopien wegen einer besonderen und gegenüber Dritten zu dokumentierenden Identitätsprüfung im Einzelfall erforderlich, z. B. bei sicherheitsempfindlicher Tätigkeit, sind jedoch maschinenlesbare Bereiche und die Zugangsnummer für Online-Funktionen sowie alle sonstigen nicht zur Identitätsbestimmung erforderlichen Daten zu schwärzen. 172 Bei ausländischen Legitimationspapieren und ausländerrechtlichen Aufent-
haltstiteln oder sonstigen Nachweisen mit der Angabe der Berechtigung, einer entgeltlichen Tätigkeit nachgehen zu dürfen, besteht allerdings regelmäßig ein besonderes Dokumentationsinteresse des Arbeitgebers, das eine Erhebung von Kopien rechtfertigt, wobei auch solche Dokumente auf die Möglichkeit von Teilschwärzungen zu prüfen sind. Bei Beschäftigten, die tätigkeitsbedingt betriebseigene Kraftfahrzeuge führen, 173 verpflichtet § 21 Abs. 1 Nr. 2 StVG den Arbeitgeber als Fahrzeughalter, sich bei einer Fahrzeugüberlassung regelmäßig der gültigen Fahrerlaubnis des Fahrers zu vergewissern. Mithin besteht eine entsprechende versicherungsrechtliche Obliegenheit, sodass der Arbeitgeber nach § 32 Abs. 1 S. 1 BDSG zur Erhebung einer Führerscheinkopie sowie einer Dokumentation turnusmäßiger Einsichten befugt ist.
10. Gesundheitsdaten a) Rechtliche Grundlagen 174 Nach § 3 Abs. 9 BDSG sind Daten zur Gesundheit eines Beschäftigten besondere personenbezogene Daten. In Ermangelung einer beschäftigungsbezogenen Regelung
186 VG Hannover, Urt. v. 28.11.2013 – 10 A 5342/11 –. 187 BAG, Urt. v. 25.9.2013 – 10 AZR 270/12 –.
Kynast
C. Datenschutz im Beschäftigungsverhältnis
405
in § 32 BDSG zur Verarbeitung sensitiver Daten finden insoweit die allgemeinen Bestimmungen von § 28 Abs. 6 bis 8 BDSG Anwendung, wobei praxisrelevant allein § 28 Abs. 6 Nr. 3 BDSG ist.188 Diese Vorschrift gestattet die Erhebung, Verarbeitung und Nutzung besonderer personenbezogener Daten für eigene Zwecke der verantwortlichen Stelle, soweit dies zur Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Erhebung, Verarbeitung und Nutzung überwiegt. Es ist also unter eingehender Berücksichtigung des besonderen Charakters der Daten das Verarbeitungsinteresse des Arbeitgebers mit dem (gegenläufigen) Interesse des Beschäftigten abzuwägen, von einer Verarbeitung verschont zu bleiben. Wenn die Erhebung und Verarbeitung auf eine Einwilligung des Beschäftigten 175 gestützt werden soll, muss sich die (regelmäßig schriftlich einzuholende) Erklärung explizit auf die Erhebung, Verarbeitung und Nutzung von Gesundheitsdaten beziehen. Auch müssen Art, Umfang und die Zwecke der Verarbeitung deutlich aus der Einwilligungserklärung hervorgehen, also Gegenstand und Reichweite der Einwilligung genauestens bezeichnen (§ 4a Abs. 1 S. 2 und Abs. 3 BDSG). Verbunden mit anderen Erklärungen bedarf es einer besonderen Hervorhebung (§ 4a Abs. 1 S. 4 BDSG). Wegen der allgemeinen rechtlichen Probleme im Zusammenhang mit datenschutzrechtlichen Einwilligungen im Arbeitsverhältnis sei auf die diesbezüglichen Ausführungen unter den Rn 9 f. und 29 ff. verwiesen.
b) Fehlzeiten wegen Erkrankung Wegen der Befugnis des Arbeitgebers, die Voraussetzungen einer Entgeltfortzah- 176 lung und einer möglichen krankheitsbedingten Kündigung zu prüfen und in Anbetracht der Nachweispflicht des Arbeitnehmers bei Erkrankung (§ 5 Abs. 1 S. 1 EntgFG) besteht ein datenschutzrechtlich anzuerkennendes Erfordernis i. S. v. § 28 Abs. 6 Nr. 3 BDSG, krankheitsbedingte Fehlzeiten, allerdings ohne die konkrete medizinische Diagnose, als solche zu erheben und zu verarbeiten.189 Wenn nach § 5 Abs. 1 S. 2 und 3 EntgFG eine für den Arbeitgeber bestimmte Ausfertigung einer Arbeitsunfähigkeitsbescheinigung vorzulegen ist, umfasst die Verarbeitungsbefugnis speziell die dort aufgeführten Angaben. Von der Erhebungs- und Verarbeitungsbefugnis ferner umfasst sind Mitteilungen der Krankenkasse nach § 69 Abs. 4 SGB X, ob die Fortdauer einer Arbeitsunfähigkeit oder eine erneute Arbeitsunfähigkeit eines Arbeitnehmers auf derselben Krankheit beruht.
188 Gola/Schomerus, § 32 Rn 40. 189 Simitis/Seifert, § 32 Rn 65, 74.
Kynast
406
Kapitel 8 Umgang mit Beschäftigtendaten
c) Betriebliches Eingliederungsmanagement
177 Sind Beschäftigte innerhalb eines Jahres länger als sechs Wochen ununterbrochen
oder wiederholt arbeitsunfähig, verpflichtet § 84 Abs. 2 SGB IX den Arbeitgeber zu einem betrieblichen Eingliederungsmanagement mit dem Ziel, auch unter Hinzuziehung des Betriebsarztes Möglichkeiten zu ergründen, mit welchen Hilfen und Leistungen die Arbeitsunfähigkeit überwunden bzw. ihr künftig vorgebeugt werden kann. Die Teilnahme an der Maßnahme, die dem Erhalt des Arbeitsplatzes dient, ist allerdings für den Beschäftigten freiwillig. Daher können die zur Einleitung und Durchführung der Maßnahme notwendigen Erhebungen und Verarbeitungen nur auf Grundlage einer jederzeit widerruflichen Einwilligung erfolgen, die zuvor nach Maßgabe von § 4a Abs. 1 und 3 BDSG ausdrücklich gesondert einzuholen ist. Zudem verlangt § 84 Abs. 2 S. 3 SGB IX, dass der Betroffene hinsichtlich der Art und des Umfangs der Datenverarbeitung besonders aufgeklärt wird. Die Kenntnis des Arbeitgebers von den gesundheitlichen Beeinträchtigungen, 178 den betrieblichen Auswirkungen und etwaigen betrieblichen Ursachen und Einflüssen ist für Maßnahmen des betrieblichen Eingliederungsmanagements allerdings im Regelfall völlig ausreichend. Die allenfalls im Einzelfall relevante Kenntnis der medizinischen Diagnose und besonderer außerbetrieblicher (privater) Umstände ist folglich auf den Betriebsarzt als Berufsgeheimnisträger zu beschränken, der als schweigeverpflichteter Mittler (§ 8 Abs. 1 S. 3 ASiG) dem Arbeitgeber gegenüber betrieblich gebotene Maßnahmen anregen kann, ohne nähere (besondere) personenbezogene Daten preiszugeben. Für Zwecke des betrieblichen Eingliederungsmanagements erhobene und gespeicherte Daten dürfen aufgrund der beschränkten Verarbeitungsbefugnisse für besondere personenbezogene Daten regelmäßig nicht für andere Zwecke verwendet werden. Praxistipp Es empfiehlt sich ein besonderer datenschutzrechtlicher Passus in einer Eingliederungsvereinbarung mit dem Beschäftigten, der die gebotene Transparenz herstellt und Grundlage der speziellen Einwilligungserklärung ist.
d) Krankenrückkehrgespräche
179 Erhebungen und Verarbeitungen aus Gesprächen, die das Krankheitsbild eines
Beschäftigten und dessen Ursachen betreffen, finden in Ermangelung einer allgemeinen Offenbarungspflicht zur gesundheitlichen Situation190 und in Anbetracht besonderer schutzwürdiger Interessen des Betroffenen an der Vertraulichkeit seines Gesundheitszustandes keine Rechtsgrundlage in § 28 Abs. 6 Nr. 1 und 3 BDSG. Eine Erhebung und Verarbeitung mittels förmlicher Einwilligung (§§ 4 Abs. 1, 4a BDSG)
190 Däubler, Rn 274.
Kynast
C. Datenschutz im Beschäftigungsverhältnis
407
scheidet überdies aus, da angesichts der besonderen widerstreitenden Interessenlage und des typischen Ungleichgewichts zwischen Arbeitnehmer und Arbeitgeber in diesen Fällen grundsätzlich Mängel an der Entschließungsfreiheit anzunehmen sind. Anders verhält es sich allein dann, wenn der Beschäftigte die Informationen unaufgefordert preisgibt, um in seinem Interesse liegende Vergünstigungen bzw. Veränderungen am Arbeitsplatz herbeizuführen, beispielsweise Arbeitserleichterungen, einen Arbeitsplatzwechsel oder den Erhalt anderer Arbeitsgerätschaften. Auch bestehen dann keine datenschutzrechtlichen Einwände, wenn das Rückkehrgespräch zu einer Erkrankung erfolgt, die in einem unmittelbaren Zusammenhang mit der betrieblichen Tätigkeit steht, wie etwa bei einem Arbeitsunfall, und die Erhebungen und Verarbeitungen der Verbesserung des Arbeitsschutzes oder der allgemeinen Gesundheitsvorsorge oder sonstigen Fürsorge dienen. Im Einzelfall kommen zudem Erhebungen und Verarbeitungen in Betracht, wenn der Beschäftigte von sich aus oder weil ihn eine Offenbarungspflicht trifft, Umstände nennt, welche die objektive Besorgnis einer dringenden Gefahr für die Gesundheit Anderer begründen, etwa weil (tätigkeitsbedingt) eine besondere Infektionsgefahr besteht,191 so beispielsweise die HIV-Erkrankung eines in der medizinischen Krankenfürsorge Tätigen.
e) Arbeitsmedizinische Untersuchungen Weitere Erhebungs- und Verarbeitungsbefugnisse i. S. v. § 28 Abs. 6 Nr. 3 BDSG beste- 180 hen insoweit, wie der Beschäftigte gesetzlich oder aufgrund einer tarifvertraglichen oder arbeitsvertraglichen Regelung oder wegen der ihm obliegenden Treuepflicht verpflichtet ist,192 sich etwa wegen einer betrieblichen Vorsorge- oder Verwendungsuntersuchung arbeitsmedizinisch untersuchen zu lassen oder er sich freiwillig beim Betriebsarzt oder einem anderen Arzt vorstellt. Allerdings ist auch der Betriebsarzt wie jeder andere Mediziner ohne eine befreiende Erklärung seines Patienten an seine ärztliche Schweigepflicht gebunden (§ 8 Abs. 1 S. 3 ASiG), sodass sich die betriebsbezogene Verarbeitungsbefugnis allein auf ihn beschränkt, soweit keine besondere Offenbarungsbefugnis besteht. Ärztliche Mitteilungen an den Arbeitgeber, die auf Grundlage einer präzise zu fassenden Entbindung von der Schweigepflicht erfolgen, sind wie schon die Untersuchung als solche auf das betriebserforderliche Maß zu begrenzen. Wie auch beim betrieblichen Eingliederungsmanagement ist die Mitteilung der 181 Diagnose im Regelfall nicht erforderlich, sondern es genügt die Preisgabe beschäftigungsrelevanter Einschränkungen, etwaiger dafür ursächlicher betrieblicher Umstände und die (prognostizierte) Dauer der Beeinträchtigung sowie mögliche Empfehlungen gegenüber dem Arbeitgeber, durch welche Maßnahmen er zur Gesundung
191 Plath/Stamer/Kuhnke, § 32 Rn 66. 192 BAG, Urt. v. 12.8.1999 – 2 AZR 55/99 –.
Kynast
408
Kapitel 8 Umgang mit Beschäftigtendaten
des Beschäftigten und der Gesundheitsvorsorge im Betrieb beitragen kann. Vielfach genügt ein ärztliches Tauglichkeitszeugnis. Als grundsätzlich unzulässige arbeitsmedizinische Untersuchungen gelten 182 anlassfreie allgemeine Gesundheitsprüfungen, insbesondere zum privaten Konsum von Rauschmitteln und Alkohol.193 Bei sicherheitsempfindlichen Tätigkeiten, z. B. Luftverkehrsführern, ist jedoch eine verhältnismäßige, z. B. stichprobenartige, Zufallskontrolle des aktuellen Rauschzustandes zulässig, soweit gesetzliche oder arbeitsrechtliche Vorgaben Nüchternheit verlangen und besondere Rückschlüsse auf das außerdienstliche Verhalten nicht gezogen werden können.194 Bei begründeten Anhaltspunkten einer Abhängigkeit, welche ihrer Natur nach und in Anbetracht der jeweiligen Tätigkeit des Beschäftigten Anlass zur Besorgnis einer erheblichen Gefahr für Leib und Leben des Betroffenen oder Dritter oder die Sicherheit oder das Eigentum des Betriebes gibt, kann eine ärztliche Vorstellung des Betroffenen verlangt werden. Ungeachtet eines etwaigen Einverständnisses verbieten §§ 19 und 20 GenDG 183 als vorrangiges bereichsspezifisches Recht (§ 1 Abs. 3 S. 1 BDSG, § 2 GenDG) auch im laufenden Beschäftigungsverhältnis nahezu ausnahmslos jede Vornahme, Entgegennahme oder ein Beibringungsverlangen genetischer Untersuchungen und Analysen. Hingegen können psychologische Untersuchungen und Persönlichkeitstests mit den damit einhergehenden Verarbeitungen jedenfalls dann im laufenden Beschäftigungsverhältnis zulässig sein, wenn sie erforderlich werden, um einen Beschäftigten mit einer anderen betrieblichen Aufgabe zu betrauen. Insoweit können jene Grundsätze herangezogen werden, die auch im Anbahnungsverhältnis gelten. Praxistipp Arbeitgebern sei ein arbeitsmedizinisches Konzept empfohlen, welches für die verschiedenen Tätigkeiten im Betrieb die jeweils geltenden gesundheitlichen Anforderungen und Untersuchungen festlegt und begründet, sodass sich Erfordernisse einer hierauf gerichteten Datenverarbeitung transparent ableiten lassen.
f) Schwangerschaft 184 Sobald schwangeren Beschäftigten ihr Zustand bekannt ist, sollen sie nach § 5 Abs. 1 MuSchG dem Arbeitgeber ihre Schwangerschaft sowie den mutmaßlichen Tag der Entbindung mitteilen und das Zeugnis eines Arztes oder einer Hebamme vorlegen, sodass der Arbeitgeber seiner Mitteilungspflicht gegenüber der Aufsichtsbehörde genügen kann. Diesbezügliche Verarbeitungen sind also nach § 32 Abs. 1 S. 1 BDSG
193 BAG, Urt. v. 12.8.1999 – 2 AZR 55/99 –. 194 Plath/Stamer/Kuhnke, § 32 Rn 64.
Kynast
C. Datenschutz im Beschäftigungsverhältnis
409
zulässig.195 Die Familienplanung im Übrigen, beispielsweise weiterer Kinderwunsch, ist jedoch ausschließlich Privatangelegenheit.
11. Innerbetriebliche Aushänge In Betriebsstätten häufig anzutreffen sind an die Mitarbeiterschaft gerichtete Aus- 185 hänge, Stundentafeln oder (Übersichts-)Kalender mit Angaben zu Abwesenheitszeiten einzelner Beschäftigter, teils auch unter näherer Angabe des Abwesenheitsgrundes. Zunehmend sind diese Angaben auch im Intranet betriebsöffentlich. Im Hinblick darauf, dass solche Fehlzeitenangaben es der Mitarbeiterschaft ermöglichen, Betriebsabläufe ohne großen Aufwand mittels kurzfristiger Einsichtnahme zu planen, liegt ein berechtigtes Interesse des Arbeitgebers vor, diese Informationen im Unternehmen allgemein verfügbar zu halten. Allerdings bestehen schutzwürdige Interessen der Betroffenen dahingehend, dass sensible Abwesenheitsgründe und Umstände, die der privaten Lebensführung geschuldet sind, nicht allgemein offenbart werden (§ 28 Abs. 1 S. 1 Nr. 2 BDSG). Unzulässig sind daher betriebsöffentliche Angaben zu in der Person des Beschäftigten liegenden Gründen einer Abwesenheit, wie etwa „Krankheit“, „Mutterschutz“ und „Urlaub“. Praxistipp In betriebsöffentlichen Anwesenheitsübersichten sollten Fehlzeiten, die in der Person des Beschäftigten begründet sind, ausschließlich in allgemeiner Form, beispielsweise als „abwesend“ aufgeführt werden. Da mit Blick auf künftige arbeitsorganisatorische Abläufe keine Notwendigkeit besteht, auch vergangene Zeiträume aufzuführen, sollte zudem die Möglichkeit der Rückschau auf den laufenden Monat begrenzt werden.
Die Verarbeitung von Beschäftigtendaten wegen einer innerbetrieblichen Veröffent- 186 lichung von Geburtstags- und Jubiläumslisten oder familiären Ereignissen (z. B. Verlobung, Hochzeit oder Geburt) steht in keinem unmittelbaren Zusammenhang mit der Durchführung des Beschäftigungsverhältnisses, sondern dient dem gemeinsamen Interesse von Arbeitgeber und Beschäftigten an der Förderung des sozialen Zusammenhalts. Allerdings ist bei der nach § 28 Abs. 1 S. 1 Nr. 2 BDSG vorzunehmenden Interessenabwägung zu berücksichtigen, dass es jedenfalls aus Sicht einzelner Beschäftigter ein gegenläufiges Interesse daran geben kann, das eigene Alter nicht betriebsöffentlich kundzutun und Feierlichkeiten frei sozialer Zwänge nach eigener Entscheidung zu begehen. Da hier der Schutz des Einzelnen vor sozialer Bevormundung höher zu gewichten ist als das Interesse an den sozialen Zwecken, sind derartige Verarbeitungen nur auf Grundlage einer nach Maßgabe von § 4a Abs. 1 BDSG zu erteilenden Einwilligung zulässig.
195 Simitis/Seifert, § 32 Rn 66.
Kynast
410
Kapitel 8 Umgang mit Beschäftigtendaten
12. Verarbeitungsbezogene Rechte des Beschäftigten
187 Nach § 83 Abs. 1 BetrVG hat der Beschäftigte ein umfassendes Personalaktenein-
sichtsrecht; im Übrigen (daneben) einen darüber hinausgehenden Auskunftsanspruch nach § 34 Abs. 1 BDSG. Ihm ist also die ihn betreffende Verarbeitung ohne besondere Voraussetzungen und Erschwernisse in transparenter Weise zugänglich zu machen, wobei der Auskunftsanspruch allerdings nicht missbräuchlich geltend gemacht werden darf, etwa mit dem Ziel der mutwilligen Erzeugung unverhältnismäßigen Arbeitsaufwandes. Letzteres kann beispielsweise dann angenommen werden, wenn der Betroffene sein Begehren nicht sachgerecht eingegrenzt, er über die ihn betreffende Verarbeitung schon im Bilde ist bzw. er sich diese Kenntnis (zumutbar) selbst verschaffen kann oder der Arbeitgeber an die Grenzen des ihm Möglichen stößt.196 Die allgemeinen datenschutzrechtlichen Ansprüche auf Berichtigung, Löschung 188 und Sperrung (§ 35 BDSG) finden ebenso im Beschäftigungsverhältnis Anwendung. Praxisrelevant ist in diesem Zusammenhang der Anspruch auf Entfernung zu Unrecht erteilter oder überflüssiger Abmahnungen aus der Personalakte. Das BetrVG kennt zudem – ungeachtet der Richtigkeit des Inhalts der Personalakte – den besonderen Anspruch des Beschäftigten, schriftliche Erklärungen dem Inhalt seiner Personalakte im Sinne einer Gegenvorstellung beifügen zu lassen (§ 85 Abs. 2 BetrVG).
III. Besondere Verarbeitungen zur Beschäftigtenkontrolle 189 Von besonderer Bedeutung im Arbeitsverhältnis sind Maßnahmen, die darauf abzie-
len, das Arbeitsverhalten des einzelnen Beschäftigten im Hinblick auf dessen Redlichkeit (Verhaltens- und Leistungskontrolle) unter Verarbeitung seiner Daten zu überprüfen. Die Schwierigkeit besteht angesichts der besonderen persönlichkeitsrechtlichen Sensibilität von Überwachungsmaßnahmen darin, einen maßvollen Ausgleich zwischen dem berechtigten Schutzanspruch der Beschäftigten vor überzogenem Überwachungsdruck und dem legitimen Interesse des Arbeitgebers, Arbeitsergebnisse prüfen und die Erfüllung arbeitsvertraglicher Pflichten und etwaige Pflichtverstöße feststellen zu dürfen, herzustellen. Angesichts der Vielfalt und Möglichkeiten einer immer ausgefeilteren Überwachungstechnik treten dabei ständig neue Problemlagen auf. Wegen der breiten Ächtung Orwell’scher Verhältnisse steht dabei neben dem Betriebsklima stets auch die Reputation eines Unternehmens bei seinen Kunden und auf dem Arbeitsmarkt auf dem Spiel. Mithin sind unzulässige Verarbeitungen insbesondere nach § 43 Abs. 2 BDSG auch in empfindlicher Weise bußrechtlich sanktionierbar, in manchen Konstellationen sogar strafbar. Deswegen bestehen gerade für Unternehmen, die wegen ihres ausländischen Geschäftssitzes
196 LAG Frankfurt a. M., Urt. v. 29.1.2013 – 13 Sa 263/12 –.
Kynast
C. Datenschutz im Beschäftigungsverhältnis
411
in Anbetracht des dortigen Usus eine dem hiesigen Rechtskreis fremde ComplianceKultur pflegen, erhebliche aufsichtliche und ahndungsrechtliche Risiken. Zu beachten ist ferner, dass die Ergebnisse rechtswidriger Kontrollmaßnahmen arbeitsrechtlich – etwa in einem Kündigungsschutzprozess – einem Verwertungsverbot unterfallen können, also keinen Aufklärungsgewinn bringen. Demgemäß sollte jede Kontrollmaßnahme sorgfältig geprüft werden, wobei die Beteiligung des betrieblichen Datenschutzbeauftragten (§ 4f BDSG) sowie ein strukturiertes Datenschutzkonzept und eine Betriebsvereinbarung rechtswidrigem Handeln vorbeugen können. Praxistipp Die Aufsichtsbehörden sind – in der Regel kostenlos197 – zur Beratung verpflichtet (§ 38 Abs. 1 S. 2 BDSG). Auch hier kann (und sollte) Hilfe in Anspruch genommen werden.
1. Grundsätze zur Kontrolle Beschäftigter Die anlasslose Kontrolle des Beschäftigtenverhaltens richtet sich nach § 32 Abs. 1 S. 1 190 BDSG.198 Auch die anlassbezogene Kontrolle etwaig vermuteter arbeitsrechtlicher Pflichtverletzungen ist nach dieser Vorschrift zu prüfen,199 nicht jedoch die Aufklärung von Straftaten im Beschäftigungsverhältnis. Hier findet § 32 Abs. 1 S. 2 BDSG Anwendung. Bei allgemeinen Qualitätskontrollen steht nicht der Beschäftigte selbst im Fokus 191 der Prüfung, sondern die Güte seines Arbeitsergebnisses, also nur mittelbar seine Person. In Anbetracht dessen besteht hier der größte Raum für etwaige Prüfungen durch den Arbeitgeber, solange der Charakter der Kontrolle gewahrt bleibt, also es sich nicht um eine besondere Leistungs- bzw. Verhaltenskontrolle handelt, für die erhöhte Verhältnismäßigkeitsanforderungen gelten. Zudem darf auch durch Maßnahmen der Qualitätskontrolle keine (mittelbare) Totalkontrolle Beschäftigter erfolgen. Ausgangspunkt der Rechtmäßigkeit einer präventiv, also vorbeugend, durchge- 192 führten Kontrolle ist zunächst deren Erforderlichkeit i. S. v. § 32 Abs. 1 S. 1 BDSG. Dies bedeutet, es muss ein hinreichendes objektives Risiko einer Nichtleistung, Schlechtleistung oder anderen Verfehlung bestehen, das eine Überwachung gebietet. Bei einer anlassbezogenen Kontrolle muss sich die Erforderlichkeit der Überwachung aus hinreichenden (objektiven) Anhaltspunkten für den Verdacht einer Pflichtverletzung jenseits der Bagatellgrenze ergeben. Überdies muss die Überwachungsmaßnahme auch geeignet sein, Pflichtverstöße aufzuklären bzw. eine präventive Wirkung zu entfalten, also den Kontrollzweck zu erfüllen.
197 In den meisten Ländern besteht für die Aufsichtsbehörden keine gesetzliche Grundlage, Gebühren für Beratungsleistungen fordern zu dürfen. 198 BT-Drucks. 16/13657, S. 21. 199 Plath/Stamer/Kuhnke, § 32 Rn 136.
Kynast
412
193
Kapitel 8 Umgang mit Beschäftigtendaten
Größte Schwierigkeit bereitet in der Praxis regelmäßig die sodann gebotene Verhältnismäßigkeitsprüfung200 unter Abwägung der verschiedenen rechtlich geschützten Interessen. In allgemeiner Weise lassen sich jedoch folgende Grundsätze formulieren: – Je sensibler der Eingriff in das Persönlichkeitsrecht ist, desto höher sind die Anforderungen an das Arbeitgeberinteresse, d. h. die Eingriffsintensität steht in einer Abhängigkeit zur Gefährdungs- und Verdachtslage sowie der Bedeutung der bedrohten Rechtsgüter. – Der Eingriff in das Persönlichkeitsrecht ist soweit wie möglich zu minimieren, d. h. es dürfen keine milderen Mittel zur Erreichung des Überwachungszieles zur Verfügung stehen. – Wesentliche Umstände sind die Anzahl der Betroffenen, die Dauer der Maßnahme, ihre Kontrollintensität sowie der Umstand, ob eine offene oder heimliche Überwachung stattfindet. Auch die Gesamtschau des Überwachungsdrucks, dem der Beschäftigte ausgesetzt ist, ist von Bedeutung, d. h. Überwachungsmaßnahmen sind nicht isoliert zu betrachten. – Das BAG lässt eine lückenlose Totalüberwachung Beschäftigter nicht zu, da der Kernbereich des Persönlichkeitsrechts nicht angetastet werden darf.201
2. Aufklärung von Straftaten Beschäftigter
194 Zur Aufklärung von Straftaten eines Beschäftigten dürfen dessen Daten allein nach
Maßgabe von § 32 Abs. 1 S. 2 BDSG erhoben, verarbeitet und genutzt werden. Die Vorschrift begrenzt die Verarbeitungsbefugnis des Arbeitgebers dabei auf allein solche Straftaten, die im Rahmen des Beschäftigungsverhältnisses begangen wurden, bei denen also ein unmittelbarer Zusammenhang mit dem Arbeitsverhältnis besteht. Zur Aufklärung anderer, also allein außerdienstlicher Straftaten, ist der Arbeitgeber jedenfalls nach Auffassung und Vollzugspraxis der datenschutzrechtlichen Aufsichtsbehörden unter Erhebung, Verarbeitung und Nutzung von Beschäftigtendaten grundsätzlich nicht befugt. Zulässige Anknüpfungstaten sind somit allein Straftaten zum Nachteil des 195 Arbeitgebers, anderer Mitarbeiter oder seiner Kunden202 sowie Taten, die ihrer Begehung wegen einen besonderen betrieblichen Bezug aufweisen, etwa weil sie vom Arbeitsplatz aus oder mit betrieblichen Mitteln begangen wurden. Weiterhin verlangt § 32 Abs. 1 S. 2 BDSG eine besondere Verdachtslage. So muss 196 der Arbeitgeber tatsächliche Anhaltspunkte, die den Verdacht einer Straftat des
200 Zum Erfordernis einer besonderen Verhältnismäßigkeitsprüfung: BAG, Beschl. v. 14.12.2004 – 1 ABR 34/03 –; BAG, Beschl. v. 26.8.2008 – 1 ABR 16/07 –. 201 BAG, Beschl. v 26.8.2008 – 1 ABR 16/07 –. 202 Simitis/Seifert, § 32 Rn 102.
Kynast
C. Datenschutz im Beschäftigungsverhältnis
413
Beschäftigten begründen, dokumentieren können, also einen § 152 Abs. 2 StPO entsprechenden Anfangsverdacht nachweisen.203 Zudem gebietet die Vorschrift angesichts der erheblichen Grundrechtsintensität 197 eine besondere Verhältnismäßigkeitsprüfung, insbesondere hinsichtlich des Verhältnisses von Verstoß und Eingriff.204
3. Personenkontrollen, Testkäufe, Detektive Personenkontrollen, ungeachtet ob in Form einer Leibesvisitation oder (bloßen) 198 Taschenkontrolle, sind ebenso wie Spindkontrollen von besonderer Sensibilität, denn sie zwingen den Betroffenen, seine unmittelbare persönliche Gewahrsamssphäre offenzulegen. Es handelt sich aber nicht um einen absolut geschützten Kernbereich privater Lebensgestaltung außerhalb jeden Betriebsbezugs, der unter allen Umständen einer Kontrolle durch Arbeitgeber entzogen wäre, sondern um einen lediglich relativ geschützten Bereich des allgemeinen Persönlichkeitsrechts, der gleichwohl zur besonderen Verhältnismäßigkeitsprüfung Anlass gibt.205 Angesichts dessen, dass Beschäftigte teils mit erheblichen Vermögenswerten 199 umgehen oder Zugang zu besonders sensiblen Betriebs- und Geschäftsgeheimnissen haben und andere gleichermaßen effektive Sicherungsmaßnahmen nicht immer zur Verfügung stehen, mag im Einzelfall, gerade bei begründeten Verdachtsmomenten gegen eine bestimmte Person oder einer auffälligen Häufung von Diebstählen, ein legitimes Bedürfnis bestehen, eine derartige Kontrolle unter Verarbeitung personenbezogener Daten durchzuführen. Bei anlassfreien Kontrollen ist jedoch aus Verhältnismäßigkeitsgründen im Regelfall geboten, lediglich sporadische Kontrollen nach dem Zufallsprinzip (Zeitpunkt und Personenauswahl) durchzuführen.206 Nur soweit dies alternativlos ist, kann bei einem gewichtigen Kontrollinteresse 200 im Einzelfall auch der Einsatz von heimlichen Testkäufern oder Detektiven zulässig sein.207
4. Besonderheiten bei Aufenthalts- und Bewegungskontrollen In Anbetracht der arbeitsgerichtlichen Rechtsprechung zur Unzulässigkeit einer 201 permanenten technischen Überwachung Beschäftigter ist eine genaue Aufenthaltsbestimmung eines Arbeitnehmers (Ortung), etwa durch GPS-, RFID- oder Mobil-
203 Strittig, vgl. zum Meinungsstand Simitis/Seifert, § 32 Rn 104. 204 BT-Drucks. 16/13657, S. 21. 205 BAG, Urt. v. 20.6.2013 – 2 AZR 546/12 –. 206 So Inhalt einer vorläufigen Einigung v. 4.4.2013 im Verfahren LAG Frankfurt a. M. – 5 TaBVGa 8/13 –. 207 Däubler/Klebe/Wedde/Weichert/Wedde, § 32 Rn 121.
Kynast
414
Kapitel 8 Umgang mit Beschäftigtendaten
funkgeräte oder Verkehrstelematikdienste,208 wegen des mit der Maßnahme einhergehenden besonderen Überwachungsdrucks nur in wenigen Ausnahmefällen zulässig.209 Dies sind beispielsweise Beschäftigungsverhältnisse, deren Eigenheit nach einer regelmäßigen Ortung verlangt mit der Folge, dass die Datenverarbeitung unmittelbar auf § 32 Abs. 1 S. 1 BDSG gestützt werden kann. So bedingt etwa die besondere persönliche Gefährdung von Geldtransportfahrern deren ständige Ortung.210 Hingegen rechtfertigt eine verbesserte Logistik, beispielsweise ein GPS-gestütztes 202 Fahrzeugflottenmanagement, keine dauerhafte Aufenthaltsbestimmung, da hierzu kein originäres Erfordernis aus dem Beschäftigungsverhältnis selbst folgt, sondern es allein um die Optimierung des Arbeitseinsatzes geht. Eine hier nach § 28 Abs. 1 S. 1 Nr. 2 BDSG vorzunehmende Interessenabwägung fällt im Regelfall zugunsten der Interessen der Betroffenen aus. Etwaig notwendige Erreichbarkeiten fordern regelmäßig nicht die Kenntnis vom genauen Aufenthaltsort eines Mitarbeiters. Im Falle des Fahrzeugflottenmanagements besteht zudem die Möglichkeit, dass Fahrzeugführer bei Bedarf ihre Position selbst übermitteln, um bei einer freien Einsatzmöglichkeit den Ort ihrer Verfügbarkeit zu melden. Auch aus Gründen der Zeiterfassung, der Nutzung spezieller Versicherungsta203 rife oder zur Prüfung der ausschließlich betrieblichen Nutzung eines Fahrzeugs ist eine permanente Ortung nicht zulässig. Ebenso ist der Einsatz von Verkehrstelematik zur Prüfung des Fahrverhaltens datenschutzrechtlich weitgehend ausgeschlossen, wenn er nicht allein sporadisch erfolgt. Der Einsatz von Ortungs- und anderen Fahrzeugüberwachungssystemen ist 204 wegen der besonderen Eignung, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen, nach § 87 Abs. 1 Nr. 6 BetrVG mitbestimmungspflichtig. Fehlt es an der Mitbestimmung, ist der Einsatz dieser Systeme allein deswegen rechtswidrig.211
5. Videoüberwachung am Arbeitsplatz
205 Arbeitgeber sind sich häufig der besonderen Eingriffsintensität einer Videoüberwa-
chung am Arbeitsplatz nicht bewusst. Dies beruht auf der Fehlvorstellung, eine technische Beobachtung beurteile sich nicht anders als eine natürliche, denn schließlich sei ein Arbeitnehmer auch sonst nicht frei der Blicke seiner Kollegen und Vorgesetzten. Zudem sei der Arbeitsplatz kein Rückzugsort privater Lebensgestaltung, sondern Erfüllungsort einer bezahlten Tätigkeit, an dem der Arbeitgeber sein Hausrecht frei ausüben könne. Diese Sichtweise verkennt jedoch, dass Videoüberwachungsanlagen wegen ihrer automatisierten Datenverarbeitung besondere Gefahren für die Privat-
208 Vgl. Kap. 6 Rn 63 ff. 209 Plath/Stamer/Kuhnke, § 32 Rn 130. 210 Simitis/Seifert, § 32 Rn 82. 211 ArbG Kaiserslautern, Beschl. v. 27.8.2008 – 1 BVGa 5/08 –.
Kynast
C. Datenschutz im Beschäftigungsverhältnis
415
und Intimsphäre mit sich bringen. So ermöglichen sie – anders als der menschliche Blick – eine nicht unmittelbar wahrnehmbare, konstante Beobachtung, wobei die erzeugten Bilder mittels einer Vielzahl technischer Funktionen speziell aufgerufen, aufbereitet und ausgewertet werden können (Zoom, Identitätsbestimmung, Verhaltens-Screening). Im Fall der Speicherung werden die Beobachtungen zudem dauerhaft technisch fixiert und sind so einer beliebigen späteren Nutzung und Verarbeitung jederzeit zugänglich. Hierdurch ist der Beschäftigte – bewusst oder unbewusst – einem besonderen Überwachungs- und Anpassungsdruck dahingehend ausgesetzt, sich in jeder Hinsicht möglichst unauffällig zu verhalten, um nicht Gefahr zu laufen, später in irgendeiner Weise Gesprächsobjekt zu werden und Vorhaltungen oder Verdächtigungen ausgesetzt zu sein.212 Bei rechtswidriger Videobeobachtung – und sei es nur wegen eines auch nur teil- 206 weise unzulässigen Erfassungsbereichs – können teils erhebliche Schadenersatzansprüche eingeklagt werden.213 Aus der besonderen Eignung von Videoüberwachungsanlagen, das Verhalten 207 oder die Leistung der Arbeitnehmer zu überwachen, folgt auch das zwingende Erfordernis der Mitbestimmung des Betriebsrates.214 Fehlt es an dieser, ist die Videobeobachtung allein aus diesem Grunde rechtswidrig. Ist neben einer Bildbeobachtung auch eine Verarbeitung von Tonsignalen 208 Gegenstand der Überwachung, bedarf dies einer eigenen rechtlichen Rechtfertigung und ist nicht von der Befugnis zur Videografie mitumfasst, denn sie stellt einen eigenständigen, ungleich sensibleren Eingriff in die Privatsphäre der Betroffenen dar. In der Arbeitswelt ist im Regelfall keine Beobachtungssituation vorstellbar, die neben einer offenen optischen auch eine offene akustische Überwachung eines Bereiches zuließe, denn diese wäre angesichts des besonderen grundrechtlichen Schutzes der Vertraulichkeit und Unbefangenheit persönlicher Kommunikation zumeist unverhältnismäßig bzw. es stünde ein damit einhergehendes schutzwürdiges Interesse dem entgegen. Das unbefugte heimliche Abhören oder Aufzeichnen des nichtöffentlich gesprochenen Wortes ist nach § 201 Abs. 1 und 2 StGB strafbar. Praxistipp Besondere Vorsicht ist beim Einsatz von Videoüberwachungsanlagen geboten, die nicht speziell für den hiesigen Rechtskreis produziert worden sind, weil viele dieser Geräte standardmäßig auch eine Tonaufzeichnung tätigen, welche erst manuell außer Betrieb genommen werden muss.
212 BAG, Beschl. v. 14.12.2004 – 1 ABR 34/03 –. 213 LAG Hessen, Urt. v. 25.10.2010 – 7 Sa 1586/09 –. 214 BAG, Beschl. v. 29.6.2004 – 1 ABR 21/03 –.
Kynast
416
Kapitel 8 Umgang mit Beschäftigtendaten
a) Offene Beobachtung öffentlich zugänglicher Bereiche
209 Der Einsatz optisch-elektronischer Beobachtungseinrichtungen (Videoüberwachung)
in öffentlich zugänglichen Bereichen richtet sich ungeachtet dessen, ob eine Beobachtung der Allgemeinheit oder Beschäftigter beabsichtigt ist, allein des Einsatzortes wegen ausschließlich nach § 6b BDSG, wobei in die Interessenabwägung auch die speziellen Belange Beschäftigter einfließen.215 Öffentlich zugänglich sind alle ohne besondere Beschränkung offen zugängli210 chen Innen- und Außenbereiche, die ihrer Bestimmung wegen von jedermann oder zumindest einer nur allgemein bestimmten Personengruppe aufgesucht werden können.216 Typische Beispiele sind Geschäftsräume, Verkaufs- und Präsentationsflächen, Besucher- und Publikumsbereiche sowie allgemeine Lieferzonen, nicht hingegen dem eigenen Personal vorbehaltene Produktionsbereiche, Warenlager, Büroflächen, Kantinen oder Parklätze. Ist ein Bereich allerdings nur zeitweise im o. g. Sinne öffentlich zugänglich, richtet 211 sich die Zulässigkeit der Beobachtung nur während dieser Zeiten nach den Vorgaben von § 6b BDSG.217 Demgemäß beurteilt sich die Videobeobachtung eines Verkaufsraumes nur während der Geschäftszeit nach dieser Vorschrift. Eine ansonsten von § 6b BDSG gestattete Videoüberwachung kann also in der publikumsfreien Zeit rechtswidrig sein und wäre bei Geschäftsschluss abzuschalten, solange noch Beschäftigte zugegen sind und sich die Weiterbeobachtung nicht auf eine andere rechtliche Grundlage stützen lässt. Außerhalb der Anwesenheitszeiten von Beschäftigten und Dritten, z. B. zur Nachtzeit, ist eine Videobeobachtung, etwa als Maßnahme des Objektschutzes, allerdings uneingeschränkt zulässig. Zu § 6b BDSG sei angemerkt, dass dessen Abs. 2 grundsätzlich eine Kennzeich212 nung jeder Beobachtung in öffentlich zugänglichen Räumen verlangt. Aus der gesetzlich vorgeschriebenen Transparenz folgt auch, dass im Anwendungsbereich von § 6b BDSG, also bei einer Öffentlichkeit der Räume im o. g. Sinne, im Regelfall allein die offene Beobachtung gestattet ist.218 Sollten allerdings die Voraussetzungen von § 32 Abs. 1 S. 2 BDSG vorliegen (hierzu später) und der Arbeitgeber bei der praktischen Ausgestaltung der Überwachungsmaßnahme hinreichend Sorge dafür tragen, dass unbeteiligte Dritte geschont werden, mag in besonders begründeten Einzelfällen Raum für eine punktuelle heimliche Videobeobachtung auch in öffentlich zugänglichen Räumen bestehen,219 solange insbesondere ersichtlich ist, dass nicht die Allgemeinheit Beobachtungsziel ist. Die Grundrechtslage entspannt sich zudem dann, wenn eine besondere Videobeobachtung in Bereichen stattfindet, die in allgemeiner
215 BAG, Urt. v. 21.6.2012 – 2 AZR 153/11 – (im Hinblick auf Verkaufsräume). 216 BAG, Urt. v. 29.6.2004 – 1 ABR 21/03 –. 217 VG Oldenburg, Urt. v. 12.3.2013 – 1 A 3850/12 –. 218 Plath/Stamer/Kuhnke, § 32 Rn 127. 219 BAG, Urt. v. 21.6.2012 – 2 AZR 153/11 –.
Kynast
C. Datenschutz im Beschäftigungsverhältnis
417
Weise ohnehin bereits offen gefilmt werden (z. B. Verkaufsräume) und lediglich eine weitere Beobachtung zeitweise hinzutritt.
b) Offene Beobachtung allein betriebsöffentlicher Bereiche In betrieblichen Bereichen, die nicht im vorgenannten Sinne öffentlich sind, richtet 213 sich die Zulässigkeit einer offenen Videobeobachtung, soweit diese für Zwecke des Beschäftigungsverhältnisses erforderlich ist, nach § 32 Abs. 1 S. 1 BDSG. Im Übrigen, also bei anderen berechtigten Interessen des Arbeitgebers, ist stattdessen § 28 Abs. 1 S. 1 Nr. 2 BDSG Maßstab der Prüfung, wobei auch beide Vorschriften nebeneinanderstehen können, beispielsweise wenn neben den Beschäftigten auch zugleich Dritte erfasst werden, also die Interessen weiterer Personen außerhalb arbeitsrechtlicher Beziehungen in die Prüfung einzubeziehen sind. Bei einer rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Rechtsbeziehung zu den Dritten, beispielsweise Werkunternehmern, Leiharbeitern oder Lieferanten, ist zudem auch Raum für eine ergänzende Prüfung nach § 28 Abs. 1 S. 1 Nr. 1 BDSG. Dies zeigt, dass bei verschiedenen von der Überwachung betroffenen Personen, getrennte Rechtmäßigkeitsprüfungen vorzunehmen sind, also eine Videobeobachtung erst dann insgesamt zulässig ist, wenn sie im Verhältnis zu jedem – auch betriebsfremden – Betroffenen jeweils gerechtfertigt ist. Nicht zuletzt deswegen können Betriebsvereinbarungen zur Videografie nur ergänzend die näheren Details der Beobachtung, insbesondere die Verfahrensabläufe, konkretisieren, nicht jedoch als innerbetriebliches Recht die materiellen Vorgaben des BDSG ersetzen.
c) Interessenabwägung Die rechtlichen Grundlagen zur offenen Videobeobachtung verlangen ein objektives 214 Beobachtungserfordernis, welches bei einer Abwägung der wechselseitigen Interessen des Betriebs, seiner Beschäftigten und etwaig von der Beobachtung betroffener Dritter den Vorrang vor dem Ausschluss der Verarbeitung genießt. Das Hausrecht des Arbeitgebers rechtfertigt allerdings für sich genommen keine 215 Überwachung von Arbeitsplätzen.220 Wohl aber gestattet es eine Beobachtung aus Gründen des Objektschutzes. Zumeist unproblematisch ist daher eine Überwachung von Zugängen, Zufahrten, Grundstücksbegrenzungen und Betriebsparkplätzen, soweit sich die Beobachtung auf das Betriebsgelände beschränkt und sichergestellt ist, dass in diesen Bereichen liegende Arbeitsplätze jedenfalls nicht dauerhaft erfasst werden. Unter dieser Voraussetzung ist auch eine Beobachtung des sonstigen Außenund Werksgeländes möglich, so der Arbeitgeber ein objektiv gesteigertes Bedürfnis hieran geltend machen kann. Wegen eines überwiegenden schutzwürdigen Interes-
220 BAG, Beschl. v. 29.6.2004 – 1 ABR 21/03 –.
Kynast
418
Kapitel 8 Umgang mit Beschäftigtendaten
ses sind jedoch stets ausgenommen Umkleiden, Toiletten, Sozialräume, Pausenbereiche und Kantinen. In anderen Bereichen bedarf es einer vertieften Einzelfallbetrachtung, deren Ausgangspunkt das Verbot totaler Kontrolle ist. Das bedeutet, es ist, so es nicht zum Inhalt der Arbeitsleistung gehört, einer optisch-elektronischen Beobachtung ausgesetzt zu sein wie etwa bei im Fernsehen tätigen Personen, in den meisten Fällen unzulässig, ständig von Kameras beobachtet zu werden, solange ein besonderes Interesse dies nicht verlangt. Letzteres wäre beispielsweise zu bejahen bei einer Videoüberwachung von Verkaufsflächen, die einem besonderen Diebstahlsrisiko durch Dritte ausgesetzt sind, wenn dem Beobachtungskonzept entnommen werden kann, dass nicht die Beschäftigten das Ziel der Beobachtung sind. Auch eine ausdifferenzierte Kameraüberwachung zur Steuerung operativer 216 Abläufe ist bei Maßnahmen zum Ausschluss einer Totalüberwachung, wie etwa der Beschränkung auf ein Monitoring mit Standbildern ohne Zoomfunktion, möglich.221 Bei der Verhältnismäßigkeitsprüfung ist neben dem Verbot totaler Kontrolle eine 217 Vielzahl von weiteren Faktoren zu berücksichtigen, die das Ergebnis der Abwägung beeinflussen können. Dies sind die Transparenz der Beobachtung, also die Frage, ob offen oder heimlich videografiert wird, die Dauer der Beobachtung, die Zahl der Betroffenen, die Art ihrer Tätigkeit, die Natur des Beobachtungsortes, der Anlass und das Ziel der Beobachtung und die (technischen) Details des Beobachtungsvollzugs, beispielsweise die Funktionalität der Anlage hinsichtlich der Auflösung, Bildqualität, Speicherdauer sowie Zugriffs- und Bearbeitungsmodalitäten. Von besonderer Bedeutung sind in der Praxis auch Konfigurationen der Videoanlage, welche die Beobachtung bestimmter Bereiche durch Bildschleier oder Überblendungen ausschließen, also sensible Bereiche soweit wie möglich aussparen. Zur Speicherdauer sei angemerkt, dass diese im Regelfall maximal 48 bis 72 218 Stunden betragen kann, da eine längere Vorhaltezeit selten zu begründen ist (§ 35 Abs. 2 S. 2 Nr. 3 BDSG). Betriebsferien oder andere länger dauernde Betriebsunterbrechungen, wie etwa mehrere aufeinanderfolgende Feiertage, erlauben jedoch temporär eine längere Aufzeichnungsdauer. Auch unübersichtliche Warenbestände oder Betriebsgelände können dies rechtfertigen, wenn besondere Erschwernisse vorliegen, Diebstähle zeitnah festzustellen.
d) Heimliche Beobachtung
219 Eine zeitlich begrenzte heimliche Videoüberwachung eines Arbeitnehmers ist allein
bei einem konkreten Verdacht einer strafbaren Handlung oder einer anderen (vergleichbar) schweren Verfehlung zulasten des Arbeitgebers auf Grundlage von § 32 Abs. 1 S. 1 bzw. 2 BDSG zulässig, wenn zur Aufklärung des Verdachts weniger einschneidende Mittel zuvor ergebnislos waren, die Maßnahme insgesamt nicht unver-
221 LAG Schleswig-Holstein, Beschl. v. 29.8.2013 – 5 TaBV 6/13 –.
Kynast
C. Datenschutz im Beschäftigungsverhältnis
419
hältnismäßig ist und sich der Verdacht auf einen zumindest räumlich und funktional abgrenzbaren Kreis von Arbeitnehmern beschränken lässt, der allein der Beobachtung ausgesetzt ist.222
e) Attrappen Das Wesen von Attrappen besteht darin, dass diese als solche nicht erkennbar sind. 220 Demgemäß können sie – gleich funktionsfähigen Geräten – einen Überwachungsdruck ausüben, obwohl keine Datenverarbeitung stattfindet, die dem Arbeitgeber zugänglich wäre. Wegen des Fehlens einer Erhebung und Verarbeitung personenbezogener Daten finden die Bestimmungen des BDSG zum Beschäftigtendatenschutz allerdings keine Anwendung (§§ 1 Abs. 2 Nr. 3, 27 Abs. 1, 32 Abs. 2 BDSG). Angesichts der allgemeinen persönlichkeitsrechtlichen Relevanz ist jedoch von einer arbeitsrechtlichen Unzulässigkeit von Attrappen auszugehen, es sei denn, diese werden so eingesetzt, wie eine funktionstüchtige Anlage hätte eingesetzt werden dürfen.
6. Kontrolle betrieblicher Kommunikation (Telefon, PC, Internet, Mail) Ein Arbeitsplatz ist heutzutage ohne moderne Kommunikationsmittel kaum noch vor- 221 stellbar. In vielen Berufen, vornehmlich im Dienstleistungs- und Verwaltungsbereich, ist der Umgang mit Telefon, PC, Internet und E-Mail wesentlicher, ja sogar alleiniger Inhalt der täglichen Arbeit. Eine wegen der Automatisierung leicht zu bewerkstelligende Auswertung dieser Arbeitsmittel schafft allerdings ein nahezu vollständiges Abbild des Verhaltens Betroffener. Hierin liegt die besondere Persönlichkeitsrechtsgefährdung, die es bei einer Abwägung des Kontrollinteresses mit den Belangen der Arbeitnehmer zu berücksichtigen gilt. Eine besondere Problemlage tritt zudem auf, wenn der Arbeitgeber neben dem 222 betrieblichen Gebrauch auch die private Nutzung seiner Kommunikationsmittel erlaubt oder zumindest duldet, wobei es nicht auf den Umfang der Freigabe ankommt. In diesem Fall wird der Arbeitgeber jedenfalls nach Auffassung der Aufsicht223 ungeachtet einer Entgeltlichkeit oder Gewinnerzielungsabsicht seinen Beschäftigten gegenüber zum Telekommunikations- und Telemediendienste-Anbieter (§ 3 Nr. 6 TKG; § 2 S. 1 Nr. 1 TMG).224 Aus dieser Stellung folgt seine strenge Verpflichtung zur Einhaltung des Telekommunikationsgeheimnisses (§ 88 TKG) mit der Folge, dass ihm ohne die Einwilligung des Betroffenen oder einer kollektiven Regelung in
222 BAG, Urt. v. 21.6.2012 – 2 AZR 153/11 –. 223 Vgl. LfD BW, Orientierungshilfe „Dienstliche und private E-Mail- und Internetnutzung am Arbeitsplatz“ v. 1.6.2012, S. 5, abrufbar unter http://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2013/03/Dienstliche-und-private-E-Mail-und-Internet-Nutzung-am-Arbeitsplatz.pdf. 224 Strittig, a. A. und ausführlich zum Streitstand: Plath/Stamer/Kuhnke, § 32 Rn 95 ff. sowie Kap. 6.
Kynast
420
Kapitel 8 Umgang mit Beschäftigtendaten
einer Betriebsvereinbarung untersagt ist, sich oder anderen Kenntnis vom Inhalt oder den näheren Umständen der Telekommunikation zu verschaffen, die über das erforderliche Maß der Erbringung und Abrechnung des Dienstes einschließlich des Schutzes der technischen Systeme hinausgeht (§ 88 Abs. 3 TKG). Bei anderer Erhebung, Verarbeitung und Nutzung läuft der Arbeitgeber Gefahr, strafrechtlich belangt zu werden (§ 206 StGB). Zum Streitstand im Einzelnen sowie zur weiteren rechtlichen Zulässigkeit von Kontrollen betrieblicher Kommunikationsmittel soll an dieser Stelle auf Kap. 6 verwiesen werden. Praxistipp Mit der Erlaubnis des Arbeitgebers, betriebliche Kommunikationsmittel auch zur privaten Nutzung freizugeben, beschneidet er möglicherweise seine Kontrollbefugnisse. In Anbetracht des Umstandes, dass viele Beschäftigte heutzutage vielfach über eigene internetfähige mobile Kommunikationsgeräte (Smartphones, Tablets) verfügen, ist ein Verzicht auf die Vergünstigung allerdings zunehmend vermittelbar und angesichts der Interessenlage des Arbeitgebers auch sachgerecht.
7. Mitarbeiterscreening
223 Beim Mitarbeiterscreening werden zumeist verdachtsunabhängig die Daten der
Beschäftigten, beispielsweise deren Adressen und Bankverbindungsdaten, systematisch mit anderen Daten des eigenen Betriebs, der Geschäftspartner und von Behörden automatisiert abglichen, um Anhaltspunkte für Unregelmäßigkeiten aufzuspüren, wie etwa verborgene oder auffällige Waren- und Geldflüsse. Solche Prüfungsroutinen dienen dabei auch der äußeren Sicherheits- und Zuverlässigkeitsüberprüfung des Betriebes, wobei präventive Kontrollen dieser Art zunehmend von (internationalen) Geschäftspartnern und Behörden als Maßnahme gegen Geldwäsche und den internationalen Terrorismus verlangt werden bzw. Voraussetzung von Sicherheitszertifikaten sind, ohne die eine Marktteilnahme teilweise nicht möglich ist. Da es im Interesse des Arbeitgebers liegt, nicht von Geschäften ausgeschlossen 224 zu werden, und das Verarbeitungshandeln jedenfalls bei einem Verlangen Dritter insoweit unmittelbar Voraussetzung seiner (weiteren) Geschäftstätigkeit ist, erfolgt der Abgleich für originäre Beschäftigungszwecke, also gemessen am Maßstab von § 32 Abs. 1 S. 1 BDSG. Im Übrigen erfolgt eine Abwägung nach § 28 Abs. 1 S. 1 Nr. 2 BDSG. Zur Wahrung der Verhältnismäßigkeit verdachtsunabhängiger Kontrollen und 225 insbesondere in Anbetracht des Verbotes totaler Überwachung kann das Verarbeitungshandeln auf die genannten Rechtsvorschriften jedoch nur gestützt werden, wenn dieses lediglich stichprobenartig und auf Zufallsbasis erfolgt. Soweit im Einzelfall von dritter Seite aufgrund besonderer Umstände eine Vollkontrolle verlangt wird, ist der Arbeitgeber allerdings auch hierzu befugt, wenn die Maßnahme zur weiteren Geschäftstätigkeit unerlässlich ist, diese eine erhebliche Bedeutung für ihn hat und er den Betroffenenkreis soweit wie möglich beschränkt. Zudem muss sich die Kontrolle auch bei einer Verhältnismäßigkeitsprüfung im engeren Sinne noch
Kynast
C. Datenschutz im Beschäftigungsverhältnis
421
als gerechtfertigt erweisen, wobei der Arbeitgeber gehalten ist, den Abgleich selbst durchzuführen, also die Daten nicht zu übermitteln. Strittig war in diesem Kontext bisher die Frage, inwieweit der Arbeitgeber wegen 226 der Vorschriften des Außenwirtschaftsgesetzes zu einem Abgleich von Beschäftigtendaten mit Listen europäischer Stellen zu terrorverdächtigen Personen (sog. EU-AntiTerrorlisten) befugt ist. Entgegen der Auffassung der Aufsichtsbehörden225 steht mit der jüngsten Rechtsprechung des Bundesfinanzhofes226 die datenschutzrechtliche Zulässigkeit eines solchen Abgleichs allerdings nicht länger infrage.
IV. Sonstiges Verarbeitungsinteresse des Arbeitgebers 1. Innerbetriebliche Mitteilungen, Erhebungen, Umfragen und Statistiken Personalnachrichten, Organisationsveränderungen, Vertretungspläne oder Rufbe- 227 reitschaftsmitteilungen können ebenso wie weitere für den Dienstbetrieb relevante Nachrichten betriebsöffentlich durch Aushang, Personalzeitungen und Hausmitteilungen, auch mittels E-Mail sowie im Intranet, unter der Verarbeitung personenbezogener Daten auf Grundlage von § 32 Abs. 1 S. 1 BDSG verbreitet werden, soweit dies für einen geordneten Betriebsablauf erforderlich ist. Für Verarbeitungen infolge privater Mitteilungen, wie etwa Kleinanzeigen der Beschäftigten, besteht auf Einwilligungsgrundlage Raum. Dies gilt auch für eigene Beiträge der Beschäftigten in Mitarbeiterzeitungen. Erhebungen zum Betriebsklima und der Mitarbeiterzufriedenheit können nach 228 allgemeinen statistischen Grundsätzen anonym, also ohne Personenbezug, und damit außerhalb des Anwendungsbereiches des BDSG erhoben und verarbeitet werden. Nicht anders beurteilen sich Mitteilungsboxen als Instrument des betrieblichen Vorschlagswesens, solange Mitarbeiter auf diesem Wege anonym Probleme und Verbesserungsvorschläge mitteilen können (sog. Kummerkästen). Datenschutzrechtlich ist jedoch nicht geboten, allein anonyme Hinweise entgegenzunehmen. Vielmehr kann ein Arbeitgeber beispielsweise auch Prämien ausloben und mit diesem Anreiz ein personenbezogenes Vorschlagwesen betreiben, solange die Mitwirkung hieran und damit die Datenpreisgabe freiwillig bleiben, denn bei einer Offenlegung von Missständen können Beschäftigten persönliche Nachteile drohen. Das Interesse des Arbeitgebers, beispielsweise Verkaufserfolge auch personen- 229 bezogen auswerten zu können, etwa um auf Optimierungen hinzuwirken, ist Teil allgemeiner und damit nach § 32 Abs. 1 S. 1 BDSG zulässiger Leistungskontrolle,
225 Beschl. d. Düsseldorfer Kreises v. 24.4.2009, abgedruckt unter Ziff. 13.1.1 im 5. Tätigkeitsbericht des Sächsischen Datenschutzbeauftragten im nicht-öffentlichen Bereich (S. 154), abrufbar unter http://www.saechsdsb.de/images/stories/sdb_inhalt/noeb/taetigkeitsberichte/5_TB.pdf . 226 BFH, Urt. v. 19.6.2012 – 7 R 43/11 –.
Kynast
422
Kapitel 8 Umgang mit Beschäftigtendaten
selbst wenn die Ergebnisse des Verarbeitungshandelns nicht vergütungsrelevant sind. Außerhalb dieser Verarbeitung für originäre Beschäftigungszwecke kann ein Arbeitgeber jedoch kein besonderes Interesse i. S. v. § 28 Abs. 1 S. 1 Nr. 2 BDSG daran geltend machen, ein betriebsöffentliches Erfolgsranking zu betreiben, auch wenn aus seiner Sicht ein offener Wettbewerb unter den Beschäftigten dem Geschäft förderlich ist, da er sich sozialen Druckes Dritter bedient und Beschäftigte insoweit hiervor schutzwürdig sind.227 Praxistipp Der Arbeitgeber ist jedoch nicht an einem betriebsöffentlichen Erfolgsranking gehindert, das so gehalten ist, dass allein der Betroffene sich jeweils identifizieren kann, um zu erfahren, an welcher Position er steht. Es besteht also durchaus Raum für anonyme Aufstellungen. 230 Erhebungen und Verarbeitungen wegen amtlicher Statistiken sind nach § 32 Abs. 1
S. 1 BDSG jedenfalls im Rahmen der gesetzlichen Vorgaben uneingeschränkt zulässig. Eigene statistische Erhebungen, beispielsweise zum geschäftlichen Erfolg oder dem Arbeitsverhalten sind im verhältnismäßigen Umfang ebenso auf Grundlage von § 32 Abs. 1 S. 1 BDSG gestattet.
2. Außendarstellung und Öffentlichkeitsarbeit
231 Die Befugnis zur Übermittlung betrieblicher Kontaktdaten eines Beschäftigten, also
Name, Funktion und Erreichbarkeit im Unternehmen, für Zwecke der Kommunikation mit Kunden, Lieferanten, Behörden und sonstigen Stellen folgt unmittelbar aus § 32 Abs. 1 S. 1 Nr. 1 BDSG, da dies insoweit zur Durchführung des Beschäftigungsverhältnisses erforderlich ist. Es ist also unproblematisch, beispielsweise auf Rechnungen oder in sonstigen Schreiben, etwa im Briefkopf, auszuweisen, wer verantwortlich ist, als Ansprechpartner zur Verfügung steht bzw. den Kunden bedient hat. In der Regel ist allerdings die Mitteilung des Nachnamens ausreichend. Auch eine Internet-Veröffentlichung ist trotz der besonderen Risiken dieses 232 Mediums von der Übermittlungsbefugnis umfasst, wenn Beschäftigte ihrer Tätigkeit wegen im Außenkontakt stehen und für Dritte als direkte Ansprechpartner fungieren (sollen). Für Beschäftigungszwecke nicht erforderlich ist jedoch, dass die Namen der Beschäftigten ohne Bezug zum Unternehmen von Suchmaschinen automatisiert abgegriffen und in deren Suchergebnissen angezeigt werden können. Deswegen ist der Arbeitgeber gehalten, seinen Internet-Auftritt so zu konfigurieren, dass Suchmaschinen Seiten mit Beschäftigtendaten nicht auswerten können. Bei einer vergleichbaren Zielsetzung können auch Geschäftsverteilungspläne 233 und Telefonverzeichnisse insoweit ebenso veröffentlicht werden.
227 Im Ergebnis so auch Däubler/Klebe/Wedde/Weichert/Däubler, § 32 Rn 74.
Kynast
C. Datenschutz im Beschäftigungsverhältnis
423
Für die Darstellung einer beruflichen Vita von Beschäftigten in betrieblichen Publikationen oder im Internet bedarf es allerdings eines besonderen, hierauf gerichteten Interesses des Arbeitgebers i. S. v. § 28 Abs. 1 S. 1 Nr. 2 BDSG, welches das gegenläufige Interesse des Beschäftigten überwiegt. So kann es beispielsweise zulässig sein, den bisherigen beruflichen Werdegang eines angestellten Rechtsanwaltes zu veröffentlichen, da dies bei freiberuflichen Konkurrenten werblicher Usus ist und anderenfalls ein Wettbewerbsnachteil droht. Keinen datenschutzrechtlichen Bedenken begegnet das Tragen von Namensschildern zur gezielten Ansprache durch Kunden und Kollegen, weil die damit verbundenen Übermittlungen jedenfalls dann notwendig sind, wenn Beschäftigte tätigkeitsbedingt einer Vielzahl unbekannter Personen gegenübertreten (sollen) und die wechselseitige Kontaktaufnahme durch die Schilder erleichtert wird (§ 32 Abs. 1 S. 1 BDSG). Je nach dem vorgegebenen Usus kann dies der Vorname oder Nachname sein. Beide Angaben zusammen sind zur Ansprache allerdings nicht erforderlich. Für Zwecke der Außendarstellung und Öffentlichkeitsarbeit mag ein berechtigtes Interesse des Arbeitgebers jedenfalls i. S. v. § 28 Abs. 1 S. 1 Nr. 2 BDSG bestehen, dem Unternehmen über die Person der Mitarbeiter ein „Gesicht“ zu geben, also deren Abbildung auf Mitarbeiterschautafeln, Aushängen, Visitenkarten, Publikationen oder im Internet zu veröffentlichen. Allerdings dürfen nach §§ 22 S. 1, 23 Abs. 1 KUG Bildnisse, also Fotos und Videos, ungeachtet des Verbreitungsweges nur mit Einwilligung des Abgebildeten öffentlich zur Schau gestellt werden, soweit es sich nicht um Aufnahmen handelt, auf denen der Betroffene nur beiläufig oder als Teilnehmer einer Versammlung, eines Aufzuges oder vergleichbaren Ereignisses abgebildet ist. Verstöße gegen die Bestimmungen des KUG können auf Antrag als Straftat verfolgt werden (§ 33 KUG). Die speziellen Vorschriften des KUG gehen zwar den Bestimmungen des BDSG vor (§ 1 Abs. 3 S. 1 BDSG), hinsichtlich der Modalitäten der nach dem KUG möglichen Einwilligung ist jedoch gleichwohl auf § 4a Abs. 1 BDSG zurückzugreifen. Hiernach ist eine schriftlich einzuholende Einwilligung jederzeit widerruflich, wobei sich bei einem auf die Veröffentlichung von Bildnissen gerichteten Arbeitgeberverlangen die schon mehrfach erörterte Problematik zur Entschließungsfreiheit stellt. Solange aber eine Einwilligung nicht schon beim Abschluss des Arbeitsvertrages und jedenfalls außerhalb von Probezeiten und befristeten Beschäftigungsverhältnissen unter Beachtung der übrigen Maßgaben des § 4a BDSG eingeholt wird, besteht allerdings Raum für ein rechtlich befreiendes Einverständnis der Beschäftigten. Liegt kein Einverständnis vor oder wird dies etwa wegen eines Ausscheidens aus dem Betrieb zurückgezogen, besteht ein Anspruch des Beschäftigten auf Entfernung der Abbildung, hilfsweise auf das Unkenntlichmachen der eigenen Person, selbst bei einer Gruppenaufnahme.228
228 LAG Frankfurt a. M., Urt. v. 24.1.2012 – 19 SaGa 1480/11 –; ArbG Frankfurt a. M., Urt. v. 20.6.2012 – 7 Ca 1649/12 –.
Kynast
234
235
236
237
238
424
Kapitel 8 Umgang mit Beschäftigtendaten
3. Fürsorge, Eigen- und Fremdwerbung a) Freiwillige (soziale) Angebote 239 Soweit den Beschäftigten im Betrieb freiwillige Leistungen angeboten werden, die mit dem Beschäftigungszweck allenfalls mittelbar in Verbindung stehen, wie etwa die Nutzung betrieblicher Kindergärten, Ferienheime und Freizeiteinrichtungen oder die Teilnahme an Sportgruppen, Mitarbeiterreisen sowie allgemeinbildenden Fortbildungen, Sprachkursen und EDV-Schulungen oder auch Betriebsfeierlichkeiten und Betriebsausflügen, kann eine damit einhergehende bzw. hierzu erforderliche Datenverarbeitung des eigenen sozialen Interesses des Betriebes wegen insoweit auf § 28 Abs. 1 S. 1 Nr. 2 BDSG gestützt werden, falls keine gesonderte Einwilligung der Betroffenen vorliegt. Allerdings bleiben die Daten im Besonderen zweckgebunden und sind auf die Teilnehmer begrenzt. Soweit Angehörige in die Vergünstigungen einbezogen sind, dient § 28 Abs. 1 S. 1 Nr. 1 BDSG als rechtliche Verarbeitungsgrundlage. Wegen der inhaltlich zulässigen Verarbeitungen kann auf jene Quellen zurückgegriffen werden, die sich mit der Verarbeitungsbefugnis solcher Stellen auseinandersetzen, die außerhalb eines Beschäftigungsverhältnisses vergleichbare Leistungen anbieten. Praxistipp Ungeachtet des Bestehens rechtlicher Grundlagen für Verarbeitungen im Zusammenhang mit sozialen Angeboten bzw. freiwilligen Leistungen empfiehlt sich gleichwohl eine besondere, hierauf gerichtete Einwilligung einzuholen, denn viele soziale Zwecke und Ziele können bei einer strengen Begrenzung allein auf das erforderliche Verarbeitungshandeln nicht sachgerecht erreicht werden.
b) Versicherungen
240 Wenn Arbeitgeber, etwa wegen einer betrieblichen Altersvorsorge, mit Versicherun-
gen und deren Maklern zusammenarbeiten, stellt sich die Frage, ob für Beratungszwecke Kontaktdaten der Beschäftigten, etwa in Form von Mitarbeiterlisten, übermittelt werden dürfen. Derlei Angebote haben jedoch allenfalls einen mittelbaren Bezug zum Beschäftigungsverhältnis und den eigenen Interessen des Arbeitgebers. Daher scheidet sowohl § 32 Abs. 1 S. 1 BDSG als auch § 28 Abs. 1 S. 1 Nr. 2 BDSG als Rechtsgrundlage einer Übermittlung aus. Im Hinblick auf das fremde Geschäftsinteresse des Versicherers und seiner Vertreter bleibt in Anbetracht von § 28 Abs. 2 und 3 BDSG und angesichts des Interesses der Beschäftigten, von werblichen Ansprachen verschont zu bleiben, dem Arbeitgeber nur die Möglichkeit, beratungswillige Beschäftigte selbst zu identifizieren und ihre Daten auf Einwilligungsgrundlage zu übermitteln (§§ 4 Abs. 1, 4a BDSG). Ansonsten kann er nur auf das fremde (Beratungs-)Angebot in allgemeiner Form, also ohne Verarbeitung personenbezogener Daten, aufmerksam machen und interessierte Beschäftigte bitten, selbst Kontakt mit dem Anbieter aufzunehmen. Eine Verarbeitungsbefugnis erfolgt also nicht aus der Überlegung, eine Beratung zu einem Vorsorgeprodukt sei für den Beschäftigten sinnvoll oder attraktiv.
Kynast
C. Datenschutz im Beschäftigungsverhältnis
425
c) Eigen- und Fremdwerbung Auch für sonstige Werbung gilt, dass § 28 Abs. 2 und 3 BDSG dem Arbeitgeber grund- 241 sätzlich nicht gestattet, ohne Einwilligung der Beschäftigten deren Daten zu verarbeiten, damit diese von Dritten beworben werden können, selbst wenn die Offerte für die Beschäftigten in wirtschaftlicher Hinsicht besonders verlockend bzw. vorteilhaft ist, etwa weil ein arbeitgeberbezogener Rabatt gewährt wird. Es bleibt dem Arbeitgeber jedoch unbenommen, in allgemeiner Form, also ohne eine Verarbeitung von Beschäftigtendaten, auf fremde Angebote aufmerksam zu machen. Hingegen bei eigenen Offerten, beispielsweise einem vergünstigten Werksver- 242 kauf, greift das Werbeprivileg von § 28 Abs. 3 S. 2 BDSG, solange ausschließlich die dort genannten Listendaten verarbeitet werden. Zwar verweist die Vorschrift nur auf rechtsgeschäftliche Vorbeziehungen i. S. v. § 28 Abs. 1 S. 1 Nr. 1 BDSG. § 32 Abs. 1 S. 1 BDSG ist jedoch dieser Vorschrift als lex specialis nachgebildet, sodass unter Berücksichtigung der wechselseitigen Interessen und in Anbetracht dessen, dass eine Prüfung nach § 28 Abs. 1 S. 1 Nr. 2 BDSG zu keinem anderen Ergebnis führen würde, die Annahme einer beschränkten Eigenwerbungsbefugnis vertretbar ist, zumal auch ein Werbewiderspruch nach § 28 Abs. 4 BDSG möglich bliebe.
4. Nutzung und Verarbeitung von Beschäftigtendaten durch externe Wirtschaftsprüfer Datenschutzrechtlich anzuerkennen ist das Bedürfnis von Arbeitgebern, Synergien, 243 Potenziale und sonstigen Veränderungsbedarf im eigenen Unternehmen mithilfe externer Berater auch unter Erhebung, Verarbeitung und Nutzung von Beschäftigtendaten in Erfahrung zu bringen. Die Optimierung des eigenen Geschäftsbetriebes durch fremde Dienstleister, so es nicht schon als originäre Maßnahme im Zusammenhang mit dem Beschäftigungsverhältnisses i. S. v. § 32 Abs. 1 S. 1 BDSG anzusehen wäre, ist jedenfalls als berechtigtes eigenes Verarbeitungsinteresse der Beschäftigungsstelle i. S. v. § 28 Abs. 1 S. 1 Nr. 2 BDSG zu werten, wobei schutzwürdige Interessen der Beschäftigten dem nicht entgegenstehen. Dies gilt auch unter dem Gesichtspunkt, dass etwaig aus den Ergebnissen der externen Prüfung folgende Maßnahmen das Arbeitsumfeld aus Beschäftigtensicht negativ beeinflussen und im Einzelfall den Fortbestand von Arbeitsverhältnissen gefährden können, denn es handelt sich im Zeitpunkt der Evaluation um ein allein potenzielles Risiko ohne konkrete individuelle Interessengefährdung. Auch besteht in Anbetracht der unternehmerischen Freiheit, innerhalb der Grenzen des Arbeitsrechtes die betriebliche Organisation frei zu bestimmen, kein grundsätzlicher Schutz der Beschäftigten vor Einschnitten oder dem betriebsbedingten Verlust ihrer Arbeitsplätze, welcher nach § 1 Abs. 2 S. 1 KSchG rechtlich zulässig ist. Bei einer externen Wirtschaftsprüfung, die im Auftrag, Interesse und nach Maßgabe der Beschäftigungsstelle stattfindet, handelt es sich datenschutzrechtlich um ein Auftragsdatenverarbeitungsverhältnis i. S. v. § 11 Abs. 1 S. 1
Kynast
426
Kapitel 8 Umgang mit Beschäftigtendaten
BDSG, sodass es eines hierauf gerichteten schriftlichen Vertrages nach § 11 Abs. 2 S. 2 BDSG bedarf.
5. Datenübermittlung an potenzielle Unternehmenskäufer
244 Vor dem Kauf eines fremden Unternehmens besteht zumeist das Interesse des poten-
ziellen Erwerbers, im Zuge einer Strukturanalyse (Due Diligence) Einblick in die bisherige Mitarbeiterstruktur zu nehmen, um beispielsweise im Unternehmen vorhandene Qualifikationen, die Altersstruktur der Beschäftigten, deren Gehälter, Verträge und Krankenstände als für den Unternehmenswert und die Unternehmensattraktivität relevante Merkmale in Erfahrung zu bringen. Daran mitzuwirken ist im Regelfall auch das eigene berechtigte Interesse des zum Verkauf stehenden Unternehmens. Allerdings besteht im Normalfall kein Erfordernis, die Daten personenbezogen zu übermitteln, da anonyme Statistiken und Unterlagen in der Regel hinreichend Aufschluss geben können.229 Bei Personen der Leitungs- und Führungsebene oder mit singulärer Qualifika245 tion oder Funktion ist jedoch auf Grundlage von § 28 Abs. 1 S. 1 Nr. 2 und § 28 Abs. 2 Nr. 2a BDSG auch ohne eine Einwilligung der Betroffenen eine personenbezogene Übermittlung jedenfalls dann zulässig, wenn der Kaufinteressent qualifiziert dargelegt hat, dass diese Angaben für ihn trotz der übrigen (anonymen) Informationen zur allgemeinen Unternehmensstruktur von eigenständiger, besonderer Relevanz sind und seine Kaufentscheidung nur noch von einer letzten Prüfung dieser Informationen abhängt.230 Besondere personenbezogene Daten i. S. v. § 3 Abs. 9 BDSG, wie etwa Gesundheitsdaten, dürfen wegen § 28 Abs. 6 und 8 BDSG allerdings in keinem Fall personenbezogen übermittelt werden. Angesichts der strengen Vorgaben von § 4b und 4c BDSG hinsichtlich einer Über246 mittlung personenbezogener Daten an Stellen außerhalb der EU und des Europäischen Wirtschaftsraumes, wenn im Zielland kein angemessenes Datenschutzniveau besteht und insbesondere angesichts jüngster Zweifel an der Tragfähigkeit des Safe Harbor-Abkommens mit den USA, ist individualvertraglich auf besondere Garantien für den Schutz der Persönlichkeitsrechte zu drängen, um der Gefahr rechtswidrigen Verarbeitungshandelns zu begegnen. Statt einer Übermittlung unmittelbar an den Kaufinteressenten kann im Einzelfall auch die Beauftragung eines allein dem hiesigen Recht unterworfenen Wirtschaftsprüfers mit der Durchführung der Due Diligence-Prüfung als Alternative erwogen werden.
229 SächsDSB, 6. Tätigkeitsbericht, Ziff. 8.3.6 (S. 65 ff.), abrufbar unter http://www.saechsdsb.de/ images/stories/sdb_inhalt/noeb/taetigkeitsberichte/TB_1112-Endfassung.pdf. 230 I. E. ebenso Plath/Stamer/Kuhnke, § 32 Rn 146.
Kynast
C. Datenschutz im Beschäftigungsverhältnis
427
Praxistipp Da bei einer Datenübermittlung im Due Diligence-Verfahren im Besonderen die Zweckbindung zu beachten ist, also dass die Daten vom Empfänger allein für den Zweck der Strukturanalyse verarbeitet werden, eine weitere Übermittlung an Dritte, wie etwaige Kreditgeber, allenfalls sehr eingeschränkt zulässig ist und die Daten mit Abschluss des Verfahrens zu löschen sind (§ 35 Abs. 2 S. 2 Nr. 3 BDSG), empfiehlt sich in Anbetracht der datenschutzrechtlichen Verantwortung des Übermittlers – unter Beteiligung des eigenen Datenschutzbeauftragten und des Betriebsrates – eine besondere vertragliche Übermittlungsvereinbarung, welche den Empfänger (nochmals) im Besonderen verpflichtet und die übermittelnde Stelle insoweit entlastet.
6. (e-)Discovery Im angelsächsischen Raum statuiert das Zivilverfahrensrecht die Mitwirkungspflicht 247 des Prozessgegners, im Zuge eines besonderen Vorverfahrens unverzüglich alle verfahrensrelevanten Daten aufzuarbeiten und der Gegenseite zur Aufklärung des Sachverhaltes und zum Auffinden von Beweisen zu übermitteln. Diese – dem deutschen Recht fremde – Obliegenheit, deren Erfüllung teils in erheblicher Weise sanktionsbewährt ist, kann jedenfalls nach Auffassung des dortigen Rechts auch die Daten in Deutschland tätiger Beschäftigter betreffen, wenn sie für Unternehmen mit Sitz oder Muttergesellschaft im angelsächsischen Raum arbeiten. Gleiches gilt für dort geschäftstätige deutsche Unternehmen, wenn diese dort klagen oder verklagt werden können. Eine personenbezogene Übermittlung der Daten hiesiger Beschäftigter zu aus- 248 wärtigen Rechtsverfolgungszwecken des Beschäftigungsunternehmens ist auf Grundlage von § 28 Abs. 1 S. 1 Nr. 2 BDSG oder zu Rechtsverfolgungszwecken einer Muttergesellschaft auf Grundlage von § 28 Abs. 2 Nr. 2a) BDSG jedoch allein dann zulässig, wenn – alle (prozessualen) Möglichkeiten des fremden Rechts ausgeschöpft wurden, mit deutschem Recht unvereinbare Übermittlungen auch unter Hinweis auf die Grundsätze des Haager Übereinkommens über die Beweisaufnahme im Ausland231 und den hierzu erhobenen Vorbehalten Deutschlands abzuwehren, – der Beschäftigungsstelle im Fall der Verweigerung der Übermittlung erhebliche Nachteile drohen und – in Anbetracht dieser Nachteile die schutzwürdigen Interessen der Betroffenen gleichwohl nicht überwiegen (Einzelfallbetrachtung und besondere Verhältnismäßigkeitsprüfung). Bei der in jedem Einzelfall vorzunehmenden Güterabwägung ist auch das besondere 249 Risiko zu berücksichtigen, dass die Daten Beschäftigter in fremden Rechtskreisen vielfach nicht einem vergleichbaren Grundrechtsschutz unterliegen und Betroffene
231 Vertrag v. 18.3.1970, BGBl. 1977 II, S. 1472.
Kynast
428
Kapitel 8 Umgang mit Beschäftigtendaten
dort kaum Rechte durchsetzen können. Die Anwendbarkeit des BDSG kann jedenfalls nicht zum Nachteil hiesiger Grundrechtsträger unterlaufen werden. Nachteilige Folgen, die sich aus dem Widerspruch unterschiedlicher Rechtsordnungen ergeben, sind in letzter Konsequenz von den in den jeweiligen Rechtskreisen tätigen Unternehmen als Teil ihres unternehmerischen Risikos zu tragen.232 Hiesiges Recht wird nicht dadurch ausgeschlossen oder eingeschränkt, dass ausländische Bestimmungen in Deutschland tätigen Unternehmen bestimmte Pflichten auferlegen, denn anderenfalls würde das im Internationalen Recht allgemein gültige Territorialitätsprinzip, nach dem Arbeitgeber grundsätzlich die nationale Rechtsordnung des jeweiligen Beschäftigungsortes zu beachten haben, infrage gestellt.233 Ergänzend wird auf Kap. 5 verwiesen.
D. Verarbeitung bei und nach Beendigung des Beschäftigungsverhältnisses I. Allgemeines 250 Beschäftigtendaten dürfen nach § 32 Abs. 1 S. 1 BDSG schließlich erhoben, verarbei-
tet und genutzt werden, wenn dies für die Beendigung eines Beschäftigtenverhältnis erforderlich ist. Der genannten Zweckbestimmung dienen bereits Schritte der Vorbereitung der Beendigung. Teilweise werden sich daher die Phasen der Durchführung und Beendigung überlappen. Zumeist wird es sich um eine Nutzung bereits vorhandener Daten im Zusammenhang mit der neuen Zweckbestimmung Beendigung handeln. Teilweise müssen aber gerade in diesem Zusammenhang auch neue Daten erhoben werden. Zulässig sind die Auswertungen auffälliger Krankheitszeiten234 oder die Anwei251 sung zur Untersuchung durch einen Vertrauensarzt,235 auch um ggf. mit dem ermittelten Ergebnis eine Kündigung begründen zu können. Besteht gegen den Beschäftigten der belegte Verdacht des Krankfeierns oder der unerlaubten Nebentätigkeit, kann ein Detektiv ggf. als Ultima Ratio zur Ermittlung der die Kündigung rechtfertigenden Beweise beauftragt werden.236 Die Überwachung muss erforderlich und verhältnismäßig sein,237 d. h. der Detektiv ist nicht zu umfangreicheren Eingriffen in das Persönlichkeitsrecht berechtigt als der Arbeitgeber selbst. Unzulässige Datenspeicherungen
232 BVerfG, Beschl. v. 24.1.2007 – 2 BvR 1133/04 –. 233 BAG, Beschl. v. 22.7.2008 – 1 ABR 40/07 –. 234 BAG, Beschl. v. 11.3.1986 – 1 ABR 12/84 –. 235 BAG, Urt. v. 27.9.2012 – 2 AZR 811/11 –. 236 BAG, Urt. v. 17.9.1998 – 8 AZR 5/97 –; BAG, Urt. v. 28.5.2009 – 8 AZR 226/08 –. 237 BAG, Urt. v. 28.10.2010 – 8 AZR 547/09 –; BGH, Beschl. v. 15.3.2013 – XII ZB 107/08 –.
Gola
D. Verarbeitung bei und nach Beendigung des Beschäftigungsverhältnisses
429
erfüllen den Straftatbestand des §§ 44 Abs. 1, 43 Abs. 2 Nr. 1 BDSG.238 Auch wenn die Ermittlungen des Detektivs nur zu einer Verdachtskündigung berechtigen, sind die durch seine Tätigkeit verursachten Kosten von dem Beschäftigten zu tragen.239 Der Beendigung dient auch die Datenerhebung bei der vor einer Verdachtskün- 252 digung erforderlichen Anhörung.240 Eine Pflicht des Arbeitgebers zur persönlichen Anhörung besteht zwar nicht; gleichwohl ist es zweckmäßig und in der Praxis üblich, den Sachverhalt in einem zu dokumentierenden Personalgespräch zu klären. So muss der Arbeitgeber im Streitfall nachweisen, dass er vor Ausspruch der Kündigung alle zumutbaren Anstrengungen unternommen hat, um den Sachverhalt umfassend aufzuklären. Insoweit gebietet die aus dem Rechtsstaatsprinzip abgeleitete Unschuldsvermutung, auch entlastenden Indizien nachzugehen. Bereits deshalb ist dem Beschäftigten die Möglichkeit zur Entlastung zu geben. Hierzu muss bereits bei der Einladung zu dem Anhörungsgespräch das Thema konkret benannt sein.241 Praxistipp Das alles hat, wenn es um eine außerordentliche Kündigung geht, innerhalb der Zwei-Wochen-Frist des § 626 Abs. 2 BGB zu geschehen. Bleibt der Arbeitnehmer der Anhörung fern oder verzögert er diese, hat der Arbeitgeber die an ihn gestellten Anforderungen erfüllt.242 Anders ist es bei einer Verhinderung wegen Krankheit oder Urlaub. Hier ist aber im jeweiligen Einzelfall zu prüfen, ob der Ablauf der Kündigungsfrist gehemmt ist, weil die Einholung der Stellungnahme des Beschäftigten tatsächlich unmöglich ist.
Lädt ansonsten der Arbeitgeber den Mitarbeiter zu einem Personalgespräch ein, 253 dessen Ziel die einvernehmliche Beendigung oder Kündigung des Arbeitsverhältnisses sein soll, so besteht keine Verpflichtung des Mitarbeiters, hieran teilzunehmen. Eine Teilnahmepflicht besteht nur, wenn der Arbeitgeber mit dem Arbeitnehmer über ein Thema sprechen will, auf das sich sein Weisungsrecht aus § 106 S. 1 GewO erstreckt.243 § 32 Abs. 1 S. 1 BDSG rechtfertigt auch die Mitteilung der kündigungsrelevanten 254 Daten bei der Anhörung des Betriebsrats (§ 102 BetrVG), d. h. der Daten, die im jeweiligen Fall für die Entscheidungsfindung des Betriebsrats erforderlich sind.244 Da § 102 BetrVG über den Umfang der Information und die Vorlage von Unterlagen nichts aussagt, besteht nach Ansicht des BAG245 auch bei komplexen Sachverhalten kein
238 BGH, Urt. v. 4.6.2013 – 1 StR 32/13 –. 239 BAG, Urt. v. 26.9.2013 – 8 AZR1026/13 –. 240 BAG, Urt. v. 13.3.2008 – 2 AZR 961/06 –. 241 LAG Berlin-Brandenburg, Urt. v. 17.2.2011 – 25 Sa 2421/10 –. 242 BAG, Urt. v. 13.3.2008 – 2 AZR 961/06 –. 243 BAG, Urt. v. 23.6.2009 – 2 AZR 606/08 –. 244 Zur Anwendung des BDSG vgl. nachfolgend Rn 274 ff. 245 BAG, Beschl. v. 26.1.1995 – 2 AZR 386/94 –; v. 6.2.1997 – 2 AZR 265/96 –.
Gola
430
Kapitel 8 Umgang mit Beschäftigtendaten
Anspruch auf die Vorlage schriftlicher Unterlagen.246 Jedoch kann sich gleichwohl die Befugnis des Arbeitgebers hierzu aus § 32 Abs. 1 S. 1 BDSG ergeben. Will der Arbeitgeber betriebsbedingt kündigen, so hat er eine soziale Auswahl 255 unter den in Betracht kommenden Beschäftigten zu treffen, wobei er in jedem Falle die Dauer der Betriebszugehörigkeit, das Lebensalter, die Unterhaltsverpflichtungen und die Schwerbehinderung des Arbeitnehmers ausreichend zu berücksichtigen hat (§ 1 Abs. 3 S. 1 KSchG). Das BAG247 gestattet dem Arbeitgeber, diese Daten bereits zu diesem möglichen Zweck vorrätig zu halten. Da zumindest die beiden letztgenannten Kriterien dem Arbeitgeber oft nicht bzw. nicht mit aktuellem Stand bekannt sein werden, wird er hierzu bei den zu dem Kreis der vergleichbaren Arbeitnehmer zählenden Beschäftigten Datenerhebungen durchführen müssen. Macht ein schwerbehinderter Beschäftigter keine diesbezügliche Angabe, kann er sich anschließend nicht auf den ihm zustehenden besonderen Kündigungsschutz der §§ 85 ff. SGB IX berufen.248 Die mit der Umstrukturierung von Betrieben verbundene Personalreduzierung 256 versucht der Arbeitgeber ggf. auch insoweit sozial abzumildern, dass er die Mitarbeiter in einer Auffanggesellschaft vorübergehend aufzufangen versucht oder einen privaten Arbeitsvermittler als sog. Outplacemanager einschaltet. Die dazu erforderlichen Datenverarbeitungen stehen zwar im Zusammenhang mit der Beendigung des Beschäftigungsverhältnisses, dienen aber nicht mehr dieser Zweckbestimmung. Nach § 28 Abs. 2 Nr. 1 Alt. 1 BDSG i. V. m. § 28 Abs. 1 S. 1 Nr. 2 BDSG wird der Arbeitgeber zwar Daten auswerten dürfen, um festzustellen, ob er dem Mitarbeiter ein Vermittlungsangebot machen will. Die sich daraus ergebende Datenweitergabe setzt aber die Einwilligung des Betroffenen voraus.
II. Erstellung von Zeugnissen 257 Der gesetzlich vorgesehene Weg, auf dem Informationen aus einem früheren Arbeits-
verhältnis zukünftigen Arbeitgebern zukommen sollen, ist das Zeugnis des Arbeitnehmers. Um es zu erstellen, werden zum einen bereits in den Personalakten gespeicherte Daten genutzt, zum anderen werden Erkenntnisse von Vorgesetzten etc. erstmals gespeichert.249 Die arbeitsrechtlichen Normen, die den Anspruch auf die Erteilung eines Zeugnisses begründen (§§ 630 BGB, 73 HGB, 113 GewO, 8 BBiG etc.), geben dem Beschäftigten die Wahl zwischen einem einfachen und einem qualifizierten Zeugnis. Während das erste nur Aussagen über Art (d. h. die zeitliche Reihen-
246 Fitting, § 102 Rn 26 m. w. N. will insoweit § 80 Abs. 2 BetrVG anwenden. 247 BAG, Urt. v. 22.10.1986 – 5 AZR 660/85 –. 248 BAG, Urt. v. 16.2.2012 – 6 AZR 553/10 –. 249 Wolff/Brink/Riesenhuber, § 32 BDSG Rn 165.
Gola
D. Verarbeitung bei und nach Beendigung des Beschäftigungsverhältnisses
431
folge und Inhalt der konkret ausgeübten Tätigkeiten) und Dauer (d. h. über Beginn und Ende des Vertragsverhältnisses) der Beschäftigung machen darf, enthält das qualifizierte Zeugnis zusätzliche Beschreibungen und Bewertungen von Führung und Leistung des Mitarbeiters. Für die Frage, welche Daten konkret insoweit herangezogen und gespeichert 258 werden dürfen, gibt seit 2009 § 32 Abs. 1 BDSG den Maßstab vor. Dazu, welche Informationen unter Wahrung des Persönlichkeitsrechts des Beschäftigten und des Informationsinteresses zukünftiger Arbeitgeber erforderlicher Inhalt eines Zeugnisses sind, hat sich die Rechtsprechung umfangreich geäußert. Maßgebend sind die Grundsätze der „Klarheit“ und „Wahrheit“. Unter Beachtung eines „verständigen Wohlwollens im Hinblick auf das weitere berufliche Fortkommen“ des Beschäftigten muss das qualifizierte Zeugnis alle wesentlichen Tatsachen und Beurteilungen enthalten, die für die Gesamtbeurteilung des Mitarbeiters von Bedeutung sind und an deren Kenntnis ein künftiger Arbeitgeber ein berechtigtes, billigenswertes und schutzwürdiges Interesse haben kann.250 Demnach darf der Arbeitgeber nicht alle ungünstigen Vorkommnisse festhal- 259 ten oder bewerten. Unzulässig ist es, negative Einzelfälle zu erwähnen, die für den Verlauf des Arbeitsverhältnisses nicht typisch waren. Aktivitäten oder Vorkommnisse außerhalb der Arbeitsverpflichtung, z. B. Personalrats-, Betriebsrats- oder Gewerkschaftstätigkeiten oder nicht relevante Krankheiten, dürfen nicht – auch nicht indirekt – erwähnt werden, es sei denn, der betroffene Arbeitnehmer hat einen diesbezüglichen Wunsch geäußert. Ausfallzeiten, wie freigestellte Betriebsratszeit, Krankheiten oder Elternzeit,251 dürfen nur dann erwähnt werden, wenn diese nach Art und Dauer erheblich sind und wenn bei ihrer Nichterwähnung für Dritte der falsche Eindruck entstände, die Beurteilung des Arbeitnehmers beruhe auf einer der Dauer des rechtlichen Bestands des Arbeitsverhältnisses entsprechenden tatsächlichen Arbeitsleistung. Der Grund des Ausscheidens ist ebenfalls nur anzugeben, wenn der Betrof- 260 fene es wünscht; dies gilt grundsätzlich selbst für den Fall des Arbeitsvertragsbruchs durch den Arbeitnehmer. Andererseits dürfen auch keine Aussagen unterbleiben, aus deren Fehlen ggf. negative Schlüsse gezogen werden könnten252 bzw. Formulierungen gewählt werden, die missinterpretiert werden könnten.253 Gleichwohl ist ein Arbeitgeber nach Ansicht des BAG254 nicht verpflichtet, eine zumeist übliche Schlussklausel zu verwenden, in der er dem ausscheidenden Arbeitnehmer „alles Gute“ wünscht.
250 BAG, Urt. v. 12.8.2008 – 9 AZR 632/07 –. 251 BAG, Urt. v. 10.5.2005 – 9 AZR 261/04 –. 252 BAG, Urt. v. 12.8.2008 – 9 AZR 632/07 –. 253 BAG, Urt. v. 15.11.2011 – 9 AZR 386/10 –. 254 BAG, Urt. v. 20.2.2001 – 9 AZR 44/00 –.
Gola
432
261
Kapitel 8 Umgang mit Beschäftigtendaten
Schließlich ist bei den Formulierungen des Zeugnisses und den Bewertungen der Leistung die ggf. in den jeweiligen Brachen übliche Zeugnissprache zu verwenden, wobei sich von einer Werteinflation gekennzeichnete „Bewertungsnoten“ eingebürgert haben.255
III. Befragung über den Grund des Ausscheidens 262 Hat der Mitarbeiter gekündigt, besteht – schon mit dem Ziel der Reduzierung zukünf-
tiger Fluktuation – ein Interesse, die Gründe zu erfahren. Gegebenenfalls will man aber auch noch in Bleibeverhandlungen eintreten. Im letztgenannten Fall bietet sich auch die Einladung zu einem Personalgespräch an, dessen Zweckbestimmung noch dem Vorgang der Beendigung des Beschäftigungsverhältnisses zugeordnet werden kann (§ 32 Abs. 1 S. 1 BDSG). Eine Pflicht des Mitarbeiters, hieran teilzunehmen, besteht jedoch nicht.256 Geht es jedoch nur um Informationen, die zukünftiger Personalpolitik dienen sollen, wäre § 28 Abs. 1 S. 1 Nr. 2 BDSG als Zulässigkeitsnorm in Betracht zu ziehen, wobei jedoch – abgesehen von der auch hier fehlenden Auskunftspflicht – der Personenbezug der Speicherung der Daten in der Regel nicht erforderlich sein wird. Sollen jedoch konkrete Konsequenzen, z. B. in Gesprächen mit Vorgesetzten hin263 sichtlich deren Führungsverhalten, gezogen werden, ist der Personenbezug unvermeidbar. Erhoben werden dürfen nur für die Kündigung relevante betriebliche Daten. Waren auch private Gründe maßgebend, muss eine diesbezüglich pauschale Information genügen. Vorab offenzulegen ist die Zweckbestimmung des Exit-Interviews und insbesondere, wer in welcher Form von den Aussagen in Kenntnis gesetzt wird und was die weiteren Schritte im Prozess sein werden. Exit-Interviews sollten erst zu einem Zeitpunkt geführt werden, an dem der Mitarbeiter keine negativen Konsequenzen mehr fürchten muss und so völlig frei die Beweggründe seines Wechsels nennen kann. Dies heißt, dass er bereits sein Arbeitszeugnis vorliegen haben sollte und alle Austrittsformalitäten erledigt wurden.
IV. Betriebsübergang 264 Der weitere Bestand eines Beschäftigungsverhältnisses ist für den Betroffenen zumin-
dest rechtlich zunächst nicht infrage gestellt, wenn sein Betrieb veräußert wird. Laut § 613a BGB tritt, wenn ein Betrieb oder ein Betriebsteil durch Rechtsgeschäft auf einen anderen Inhaber übergeht, dieser in die Rechte und Pflichten aus dem im Zeitpunkt
255 Vgl. bei Schaub, § 146 Rn 23. 256 BAG, Urt. v. 26.6.2009 – 2 AZR 606/08 –.
Gola
D. Verarbeitung bei und nach Beendigung des Beschäftigungsverhältnisses
433
des Übergangs bestehenden Arbeitsverhältnis ein. Das gilt sowohl für den Fall des sog. Asset Deal, bei dem die Rechtsnachfolge einzelner Vermögenswerte und Vertragsbeziehungen im Wege der Einzelrechtsnachfolge durch gesonderte Rechtsgeschäfte übertragen werden, als auch für den Fall des Share Deals (vgl. § 324 UmwG), bei dem durch Verschmelzung oder Abspaltung eine Gesamtrechtsnachfolge eintritt.257 Unterschiedlich beurteilt wird, ob mit der Übernahme des Beschäftigungsverhältnisses ein Verfügungsrecht des Betriebserwerbers über die Personaldaten der Beschäftigten eintritt oder ob § 613a BGB keine das BDSG verdrängende bereichsspezifische Norm i. S. d. § 1 Abs. 3 BDSG bezüglich der im Rahmen des Betriebsübergangs weiterzugebenden Personalakten und sonstiger personenbezogener Daten ist. Dabei ist jedoch – abgesehen von der der Kaufentscheidung ggf. vorausgehenden 265 Due Diligence-Prüfung258 – zwischen zwei nacheinander zu vollziehenden Schritten zu unterscheiden. Zu erfüllen ist im ersten Schritt die Informationspflicht nach § 613a Abs. 5 BGB, nach der der bisherige Arbeitgeber und/oder der neue Inhaber die betroffenen Arbeitnehmer über die für sie wesentlichen Aspekte des geplanten Übergangs zu unterrichten haben. Die Erfüllung der Informationspflicht bedingt einen die Beschäftigten betreffenden Informationsaustausch zwischen dem Veräußerer und dem Erwerber. Die wechselseitigen Auskunftsansprüche ergeben sich als Nebenpflicht des Betriebsübergangsvertrages (§ 242 i. V. m. § 613a Abs. 1 BGB) bzw. dem Gesamtschuldverhältnis nach § 613a Abs. 5 BGB. Rechtsgrundlage ist § 28 Abs. 1 S. 1 Nr. 2 und § 28 Abs. 2 Nr. 2a BDSG, da § 613a Abs. 5 BGB keine hinreichende Konkretisierung der zu übermittelnden Informationen enthält.259 Ein zur Durchführung des Beschäftigungsverhältnisses berechtigtes Interesse des 266 Erwerbers an weiteren Informationen besteht erst dann, wenn die nach der obigen Unterrichtung beginnende Widerspruchsmöglichkeit seitens der Arbeitnehmer wegen Fristablauf oder Verzicht nicht mehr ausgeübt werden kann. Tritt der Erwerber mit Vollzug der Übernahme in die Rolle des Arbeitgebers, so wird er Vertragspartei und verliert jedenfalls bezogen auf den Arbeitsvertrag seine Stellung als Dritter. Dann sollte ihm unmittelbar aus § 613a BGB auch das dem früheren Arbeitgeber zustehende Verfügungsrecht über die Personaldaten eingeräumt werden. Folgt man dem nicht, so wäre Rechtsgrundlage für die Übermittlung § 32 Abs. 1 S. 1 BDSG, da sie der weiteren Durchführung des Beschäftigungsverhältnisses dient.260 Gleichwohl finden sich überwiegend Stimmen, die § 28 Abs. 1 S. 1 Nr. 2 bzw. Abs. 2 Nr. 2a BDSG heranziehen.261 Für besondere Arten personenbezogener Daten ist § 28 Abs. 6 Nr. 3 BDSG in
257 Woerz, S. 212 ff. 258 Vgl. hierzu vorstehend Rn 250 ff. 259 Vgl. zur Problematik nachstehend Rn 282. 260 Woerz, S. 240 ff. 261 Taeger/Gabel/Zöll, § 32 Rn 32; Däubler, Rn 489b; Däubler/Klebe/Wedde/Weichert/Wedde, § 32 Rn 150; Essers/Hartung, RDV 2002, 281.
Gola
434
Kapitel 8 Umgang mit Beschäftigtendaten
richtlinienkonformer Auslegung die Zulässigkeitsnorm.262 Im Ergebnis besteht zwischen den unterschiedlichen Bewertungen nur ein Unterschied. Bildet § 613a BGB nicht die Rechtsgrundlage, so hat der bisherige Arbeitgeber zu prüfen, ob alle von ihm gespeicherten Beschäftigtendaten für die Fortsetzung des Arbeitsverhältnisses bei dem Erwerber erforderlich sind und ob nicht ggf. schutzwürdige Interessen der Übermittlung im Einzelfall entgegenstehen. Stellt ein Unternehmen ohne Rechtsnachfolger den Betrieb ein, so sollten, sofern 267 eine sog. Treuhandlösung nicht in Betracht kommt,263 die Unterlagen den Betroffenen überlassen werden. Gleiches gilt für Unterlagen, die der veräußernde Arbeitgeber nicht an den Erwerber weitergeben darf und aufgrund des fortbestehenden Informationsinteresses der Beschäftigten auch nicht löschen darf.
V. Das Verarbeiten nach Beendigung des Arbeitsverhältnisses 268 Zunächst stellt sich Frage, ob Personaldaten ausgeschiedener Mitarbeiter weiterhin
gespeichert werden dürfen bzw. müssen. Diesbezüglich können sich aus dem BDSG spezielle Aufbewahrungsnormen und -fristen ergeben. Bei diesen Fristen gibt der Gesetzgeber teilweise zeitliche (Mindest-)Grenzen vor; diese reichen von sechs Monaten bis zu 60 Jahren. So sind z. B. diverse Arbeitszeitnachweise zwecks Kontrolle der Einhaltung von Arbeitszeitregelungen zwei bzw. drei Jahre vorrätig zu halten; für bestimmte Unterlagen nach dem Arbeitnehmerüberlassungsgesetz oder dem Heimarbeitsgesetz gelten drei bzw. vier Jahre, für nach dem HGB oder der AO und dem EStG relevante Unterlagen sind sechs bzw. zehn Jahre vorgegeben. Besteht der Zweck der Speicherung allein in der Erfüllung einer Aufbewahrungspflicht, sind die Daten in gesperrter Form zu speichern, § 35 Abs. 3 S. Nr. 1 BDSG. Die Sperrung beschränkt die Nutzung der Daten auf den normierten Aufbewahrungszweck. Nur ausnahmsweise erlaubt § 35 Abs. 8 BDSG u. a. eine Nutzung oder Übermittlung, wenn sie im überwiegenden Interesse des Arbeitgebers oder eines Dritten „unerlässlich“ ist. Abgesehen von diesen Einzelvorschriften gibt es für das Arbeitsverhältnis – 269 anders als im öffentlichen Dienst – keine generelle gesetzliche Vorschrift über die Aufbewahrung bzw. die Vernichtung von Personalakten nach beendetem Arbeitsverhältnis. Für das Speichern von Beschäftigtendaten ist jedoch –unabhängig von der Verarbeitungsform (§ 32 Abs. 2 BDSG) – die Erlaubnisnorm des § 32 Abs. 1 S. 1 BDSG relevant. Auch ausgeschiedene Mitarbeiter sind Beschäftigte i. S. d. § 32 BDSG (§ 3 Abs. 11 BDSG). Beschäftigtendaten dürfen nach § 32 Abs. 1 S. 1 BDSG auch verarbeitet werden, soweit dies im Zusammenhang mit seiner Beendigung erforderlich ist. Eine solche Notwendigkeit kann zur Erfüllung mit der Beendigung entstandener
262 Woerz, S. 244. 263 Däubler, Rn 489e.
Gola
E. Datenverarbeitungen durch den Betriebsrat
435
nachträglicher Vertragspflichten bestehen, wozu z. B. die Erstellung eines Zeugnisses gehört. Insoweit wird zu prüfen sein, nach welchem Zeitraum nicht mehr damit gerechnet werden kann, dass sich aus dem Arbeitsverhältnis noch Rechte oder Pflichten der einen oder anderen Seite ergeben können, die durch Unterlagen belegt werden müssen. Diese Fristen werden aufgrund tariflicher Ausschluss- oder Verjährungsfristen zumeist überschaubar sein. Aber auch wenn die Verjährungsfrist – wie beim Zeugnisanspruch denkbar – wegen § 229 § 6 EGBGB ausnahmsweise nicht drei Jahre (§ 195 BGB), sondern noch dreißig Jahre beträgt, können die Unterlagen vernichtet werden, wenn die Erfüllung des Anspruchs nicht mehr zumutbar oder verwirkt ist. Die fortbestehende Speicherung für andere, nicht mehr im Zusammenhang mit 270 der Beendigung des Beschäftigungsverhältnisses stehender Zweckbestimmungen kann gem. § 28 Abs. 1 S. 1 Nr. 2 BDSG legitimiert sein. Ansonsten greift § 35 Abs. 2 S. 2 Nr. 3 BDSG, der eine Löschungspflicht bejaht, wenn die Kenntnis der Daten für die Erfüllung der Zwecke der Speicherung nicht mehr erforderlich ist. Bei der Entscheidung über die fortdauernde Speicherung ist dem Arbeitgeber ein unternehmerischer Entscheidungsspielraum zuzugestehen.264 Die Zweckbestimmung kann reichen von der Einladung der „Betriebspensionäre“ zur jährlichen Weihnachtsfeier bis zur Nutzung der Daten zu Personalplanungszwecken, wobei hier zumeist eine anonymisierte Speicherung ausreichen wird. Für die herkömmliche Personalakte gilt § 35 BDSG nicht.265 Bewahrt der Arbeitgeber die Personalakte weiter auf, hat der Arbeitnehmer auch insoweit sich aus dem informationellen Selbstbestimmungsrecht ergebende Einsichts- und Korrekturrechte.266
E. Datenverarbeitungen durch den Betriebsrat I. Allgemeines Fragen des Datenschutzes stellen sich bei Verarbeitungen von Personaldaten durch 271 die Mitarbeitervertretungen unter mehreren Aspekten. Einmal geht es darum, welche ggf. sehr sensiblen Daten der Arbeitgeber der Mitarbeitervertretung bekannt geben muss bzw. darf. Des Weiteren ist der Umgang der Mitarbeitervertretung mit den ihr bekannt gegebenen oder auch von ihr selbst erhobenen Daten zu erörtern. Insbesondere ist die Frage relevant, ob und ggf. in welchem Umfang die Mitarbeitervertretung eigene Verarbeitungen dieser Daten vornehmen darf und inwieweit sie dabei den Bestimmungen des BDSG unterliegt.267
264 Wolff/Brinck/Riesenhuber, § 32 BDSG Rn 172. 265 Vgl. vorstehend Rn 4. 266 Vgl. vorstehend Rn 12. 267 Kort, RDV 2012, 8.
Gola
436
Kapitel 8 Umgang mit Beschäftigtendaten
II. Der Betriebsrat als „unabhängiger“ Teil des Betriebs 272 Nach allgemeiner Auffassung268 ist der Betriebsrat keine eigenständige verantwort-
liche Stelle (§ 3 Abs. 7 BDSG), sondern Teil des Betriebes und damit kein Dritter i. S. d. § 3 Abs. 8 S. 2 BDSG.269 Gleichwohl regelt er aufgrund seiner vom Arbeitgeber unabhängigen Stellung die Verarbeitung und den Schutz der bei ihm gespeicherten Daten selbstständig.270 Er unterliegt auch nicht der Kontrolle durch den betrieblichen Datenschutzbeauftragten.271 Gleichwohl gelten auch für ihn die Bestimmungen des BDSG, sofern diese nicht durch vorrangige Vorschriften des BetrVG verdrängt werden. So unterliegt er bzw. seine Mitglieder der Verpflichtung auf das Datengeheimnis, da § 5 BDSG nicht deckungsgleich ist mit den Schweigepflichten im BetrVG (§§ 79, 82 Abs. 2 S. 3, 83 Abs. 1 S. 3, 99 Abs. 1 S. 3, 102 Abs. 2 S. 5 BetrVG).272 Bei einer im Rahmen seiner Aufgabenstellung erfolgenden Weitergabe von Informationen an Dritte hat er die Erforderlichkeit des Personenbezugs und die Interessen der betroffenen Mitarbeiter zu berücksichtigen (§ 28 Abs. 1 S. 1 Nr. 2 BDSG).273
III. Die technische Infrastruktur 273 Die Verpflichtung des Arbeitgebers zur Bereitstellung der vom Betriebsrat in sachge-
rechter Ermessensausübung für erforderlich angesehenen IT folgt aus § 40 BetrVG, der dem Arbeitgeber die durch die Tätigkeit des Betriebsrats entstehenden Kosten auferlegt und ihn zur Bereitstellung der für die Geschäftsführung des Betriebsrats benötigten Sachmittel verpflichtet, wobei die modernen Informations- und Kommunikationstechniken ausdrücklich bei der Ausstattungspflicht des Arbeitgebers (§ 40 Abs. 2 BetrVG) aufgezählt sind.274 Der eigene PC nebst dazu gehöriger Infrastruktur oder die Kommunikation per E-Mail kann dem Betriebsrat bei entsprechender betrieblicher Infrastruktur regelmäßig nicht versagt werden. Gleiches gilt für einen Zugang zum Internet,275 der ggf. auch den einzelnen Betriebsratsmitgliedern eingeräumt werden muss.276 Die Einrichtung einer eigenen Website im Intranet zur rechtzeitigen und umfassenden Information der gesamten Belegschaft wird der Betriebsrat jedenfalls dann für erforderlich halten dürfen, wenn dem Arbeitgeber dadurch keine
268 Gola/Schomerus, § 3 Rn 49. 269 Zuletzt BAG, Beschl. v. 7.2.2012 – 1 ABR 46/10 –. 270 BAG, Beschl. v. 18.7.2012 – 7 ABR 23/11 –. 271 BAG, Beschl. v. 11.11.1997 – 1 ABR 21/97 –. 272 Fitting, § 1 Rn 213. 273 BAG, Beschl. v. 3.6.2003 – 1 ABR 19/02 –. 274 BAG, Beschl. v. 3.9.2003 – 7 ABR 8/03 –; BAG, Beschl. v. 3.9.2003 – 7 ABR 12/03 –. 275 BAG, Beschl. v. 17.2.2010 – 7 ABR 81/09 –. 276 BAG, Beschl. v. 14.7.2010 – 7 ABR 80/08 –; BAG, Beschl. v. 18.7.2012 – 7 ABR 23/11 –.
Gola
E. Datenverarbeitungen durch den Betriebsrat
437
besonderen Kosten entstehen und dieser auch keine sonstigen entgegenstehenden betrieblichen Belange geltend macht.277
IV. Personenbezogene Informationsansprüche Der Arbeitgeber hat den Betriebsrat zur Durchführung seiner Aufgaben rechtzeitig und umfassend und ggf. auch personenbezogen zu unterrichten (§§ 80 Abs. 2 S. 1 und 2 BetrVG). Neben dieser pauschalen Regelung stehen konkrete Informationspflichten, wie z. B. die Pflicht zur Vorlage von Bewerbungsunterlagen (§ 99 Abs. 1 S. 1 BetrVG). Macht der Arbeitgeber der Mitarbeitervertretung personenbezogene Daten zugänglich, so erfüllt dieser innerbetriebliche Datenfluss mangels der Bekanntgabe an einen Dritten zwar nicht den Tatbestand der Datenübermittlung (§ 3 Abs. 4 Nr. 3 BDSG), sondern den ebenfalls unter dem Verbot mit Erlaubnisvorbehalt (§ 4 Abs. 1 BDSG) stehenden Tatbestand einer Datennutzung (§ 3 Abs. 5 BDSG). Die Datennutzung ist dann durch eine dem BDSG vorrangige Vorschrift des BetrVG erlaubt (§§ 1 Abs. 3 S. 1, 4 Abs. 1 BDSG), soweit diese nicht nur eine allgemeine Informationspflicht, sondern eine eindeutige konkrete Regelung bezüglich der Weitergabe personenbezogener Informationen enthält,278 wie es bei der Pflicht zur Vorlage von Bewerbungsunterlagen oder der Gewährung der Einsicht in Bruttolohnund -gehaltslisten (§ 80 Abs. 2 S. 2 Hs. 2 BetrVG)279 der Fall ist. Ansonsten ist § 32 Abs. 1 S. 1 BDSG280 bzw. bei besonderen Arten personenbezoger Daten § 28 Abs. 6 Nr. 3 BDSG281 als Rechtsgrundlage heranzuziehen. Dabei ist einmal festzustellen, ob bzw. für welche betriebsverfassungsrechtliche Aufgabe die Information erforderlich ist. So sieht das BAG282 keine Kontrollaufgabe, die den Arbeitgeber verpflichtet, den Betriebsrat rückwirkend über erteilte Abmahnungen zu informieren. Unter Umständen genügen auch zunächst anonymisierte oder pseudonymisierte Informationen, wie das BVerwG283 im Zusammenhang mit der der Mitarbeitervertretung obliegenden Kontrolle der Einhaltung der Arbeitszeitvorschriften oder der BayVGH284 zur Mitteilung von für ein betriebliches Eingliederungsmanagement in
277 BAG, Beschl. v. 20.1.2010 – 7 ABR 79/08 –. 278 Gola/Schomerus, § 4 Rn 8. 279 BAG, Beschl. v. 10.2.1987 – 1 ABR 43/84 –; LAG Niedersachsen, Beschl. v. 18.4.2012 – 16 TaBV 39/11 –. 280 LAG Köln, Beschl. v. 28.6.2011 – 12 TaBV 1/11 –. 281 BAG, Beschl. v. 7.2.2012 – 1 ABR 46/10 –. 282 BAG, Beschl. v. 17.9.2013 – 1 ABR 26/12 –. 283 BVerwG, Beschl. v. 19.3.2014 – 6 P 1.13 –; a. A. das LAG Köln, Beschl. v. 28.6.2011 – 12 TaBV 1/11 –. 284 VGH Bayern, Beschl. v. 12.6.2012 – 17 P 11.1140 –; vgl. auch BayLfD, 25. Tätigkeitsbericht (2012), Ziff. 11.2.1, abrufbar unter https://www.datenschutz-bayern.de/tbs/tb25/tb25.pdf; a. A. das BAG, Be-
Gola
274
275
276
277
438
Kapitel 8 Umgang mit Beschäftigtendaten
Betracht kommender Beschäftigten festgehalten hat. Nach Ansicht des BAG285 muss der Betriebsrat über personenbezogene Personalmaßnahmen informiert werden, mit denen der Arbeitgeber während eines Arbeitskampfes mit Nicht-Streikteilnehmern den Betrieb aufrechtzuerhalten versucht. Die Pflicht zur Überwachung der Einhaltung des Mutterschutzes soll nach dem BAG286 den Arbeitgeber verpflichten, den Betriebsrat über ihm mitgeteilte Schwangerschaften von Mitarbeiterinnen unverzüglich zu unterrichten. Dem soll – entgegen der Auffassung des BVerwG287 – auch nicht der ausdrücklich erklärte Wille der Mitarbeiterin auf Vertraulichkeit der Informationen gegenüber der Mitarbeitervertretung entgegenstehen. Nachdem auch das BAG anerkannt hat, dass die Erforderlichkeit der Datenwei278 tergabe im Rahmen des § 32 Abs. 1 S. 1 BDSG zu messen ist, hat nunmehr jedenfalls entgegen der bisher vielfachen anderen Ansicht der Literatur288 und Rechtsprechung grundsätzlich vor der Datenweitergabe eine Abwägung des aufgabenbezogenen Informationsinteresses des Betriebsrats mit entgegenstehenden Interessen des Betroffenen im Rahmen des Verhältnismäßigkeitsprinzips zu erfolgen.
V. Eigene Personaldateien 279 Beabsichtigt der Betriebsrat zur Wahrnehmung seiner Aufgaben ein eigenes Per-
sonaldatensystem anzulegen, so ist, da das BetrVG keine diesbezügliche Aussage enthält, als Zulässigkeitsnorm § 28 Abs. 1 S. 1 Nr. 2 BDSG in Betracht zu ziehen. § 32 Abs. 1 S. 1 BDSG kann wohl nicht herangezogen werden, da die Verarbeitungen des Betriebsrats nicht der Zweckbestimmung „Durchführung des Beschäftigungsverhältnisses“ zuzuordnen sind. Dabei sind jedoch betriebsverfassungsrechtliche Vorgaben zu beachten. Eine Verarbeitung von Personaldaten durch die Mitarbeitervertretung kann zum einen nur so lange in Betracht kommen, wie Unterlagen dem Betriebsrat – zeitweise oder auf Dauer – ohne Eingrenzung der Verwertungsbefugnisse im Rahmen seiner kollektivrechtlich begründeten Informationsansprüche überlassen werden dürfen. Zum anderen ist zu beachten, dass das BetrVG (§ 83 Abs. 1) dem einzelnen Beschäftigten das Recht einräumt, selbst darüber zu bestimmen, ob der Mitarbeitervertretung bzw. einem ihrer Mitglieder Einsicht in seine Personalakte gewährt werden soll. Aus diesem Verfügungsrecht des Betroffenen bezüglich der materiellen Personalakte ergibt sich gleichzeitig, dass die Mitarbeitervertretung auch im Rahmen ihrer
schl. v. 7.2.2012 – 1 ABR 46/10 –. 285 BAG, Beschl. v. 10.12.2014 – 1 ABR 7/02 –; LAG Rheinland-Pfalz, Beschl. v. 21.3.2013 – 10 TaBV 41/12 –. 286 BAG, Beschl. v. 28.2.1968 – 1 ABR 6/67 –; a. A. ArbG Berlin, Beschl. v. 19.12.2007 – 76/BV 13504/07 –. 287 BVerwG, Beschl. v. 29.8.1990 – 6 P 30.87 –. 288 Z. B. Wolff/Brink/Schild, § 3 BDSG Rn 132 f.
Gola
E. Datenverarbeitungen durch den Betriebsrat
439
geschilderten Kontrollrechte nicht die Vorlage der gesamten Personalakte verlangen darf bzw. sich in Auswertung erhaltener Informationen eigene Personalakten anlegt.289 Es ist also darauf abzustellen, welche Personaldaten die Mitarbeitervertretung 280 im Rahmen ordnungsgemäßer Geschäfts- und Aktenführung archivieren und im dauernden Zugriff haben muss (z. B. Protokolle, Anträge etc.). Ab einer gewissen Größe des Betriebes wird der Mitarbeitervertretung zudem das Recht nicht abzusprechen sein, Grundinformationen über die Belegschaft auch auf Dauer automatisiert zu speichern, um den Gesamtüberblick zu behalten. Zu diesen Grundstammdaten zählen Name, Arbeitsplatz, Besoldungs- und Vergütungsgruppe, Beginn des Beschäftigungsverhältnisses etc. Darüber hinaus können im Rahmen der Bearbeitung konkreter Aufgaben vom Arbeitgeber zur Verfügung gestellte Daten befristet – bis zur Erledigung der Aufgabe – auch automatisiert ausgewertet werden. Anstatt, dass der Betriebs-/Personalrat sich eine eigene „Grunddatendatei“ 281 aufbaut, kann der Arbeitgeber ihm die entsprechende Information durch die Eröffnung entsprechender Zugriffsrechte auf das Personalverwaltungssystem einräumen, wobei die Mitarbeitervertretung sich dann hierauf beschränken muss. Das BetrVG enthält keine Aussagen dazu, wie lange die Mitarbeitervertretungen 282 ihnen überlassene Unterlagen oder dateimäßig gespeicherte „Daten“ aufbewahren dürfen. Demgemäß sind nach § 35 Abs. 2 BDSG Löschungsfristen entsprechend der Zweckbestimmung der Daten festzulegen. So schlägt der LDSB des Saarlandes290 vor, dass Vorgänge über die Beteiligung in Einzelfällen (z. B. Höhergruppierung) nicht länger als ein Jahr aufbewahrt werden. Unfallanzeigen könnten ebenfalls nach einem Jahr vernichtet werden. Sitzungsniederschriften sollten spätestens nach einem Jahr nach Ablauf der Amtszeit vernichtet werden.
289 DKKW/Buschmann, § 80 Rn 44 ff. 290 LDSB Saarland, 17. Tätigkeitsbericht (1997/98), S. 105 ff., abrufbar unter http://www.datenschutz. saarland.de/images/stories/pdf/Berichte/tb17.pdf.
Gola
Kapitel 9 Unternehmensinterne Ermittlungen datenschutzkonform ausgestalten A. Rechtlicher Rahmen und operatives Vorgehen I. Anlass und Ausgangssituation Die Bedeutung von unternehmensinternen Ermittlungen hat über die letzten beiden 1 Jahrzehnte kontinuierlich zugenommen, wenn man die öffentlich gewordenen Fälle und die Auseinandersetzung in Literatur und Rechtsprechung als Indikator nimmt. Als unternehmensinterne Ermittlungen werden hier Untersuchungen verstanden, die – die Entdeckung, Aufklärung und Abwehr – von Fehlverhalten unternehmensinterner oder unternehmensexterner Personen – zum potenziellen Schaden des Unternehmens mit in der Regel strafrechtlicher Relevanz zum Gegenstand haben und die durch unternehmensinterne Personen/Abteilungen ggf. unter Hinzuziehung von Beratern durchgeführt werden. Dabei ist der Beginn eines staatsanwaltlichen Ermittlungsverfahrens kein Aus- 2 schlussgrund, da unternehmensinterne Ermittlungen oftmals auch parallel oder im Nachgang durchgeführt werden und das Unternehmen ein Eigeninteresse an schuldund arbeitsrechtlicher Aufklärung hat, etwa um betroffene Mitarbeiter zu sanktionieren oder Schadensersatz gegenüber Organen, Mitarbeitern oder Externen geltend zu machen. Zudem steht bei solchen Konstellationen regelmäßig auch eine Geldbuße nach §§ 30, 130, 9 OWiG für das Unternehmen und die Geschäftsleitung persönlich im Raum, die geringer ausfallen kann, wenn das Nachtatverhalten der verantwortlichen Personen die Einsicht, dass die betriebliche Organisation fehlerbehaftet war, erkennen lässt.1 Nachfolgend seien die in praxi wesentlichen und häufigsten Anlässe für unter- 3 nehmensinterne Ermittlungen aufgeführt: – Korruptionsdelikte, d. h. – Bestechlichkeit und Bestechung im geschäftlichen Verkehr (§§ 299, 300 StGB), – Vorteilsgewährung an und Bestechung von Amtsträgern (§§ 333, 334 StGB), – daneben Delikte nach US Foreign Corruption Practices Act und UK Bribery Act, soweit anwendbar; diese verschärfen gegenüber der deutschen Gesetzgebung die Situation insofern, als die sog. Books & Records Provision sowie
1 Bohnert, § 17 Rn 9; BeckOK OWiG/Bücherl, 47 Rn 8; Fuchs/Waßmer, § 39 Rn 104.
Behling/Hintze/Hülsberg/Meyer
442
– – – – – – – – – – – – – –
Kapitel 9 Unternehmensinterne Ermittlungen datenschutzkonform ausgestalten
die Handlungszurechnung von Intermediären, Agenten und sonstigen Beauftragten hinzutreten können; Untreue (§ 266 StGB); Betrug (§§ 263 – 263f StGB); Unterschlagung (§ 246 StGB); Verrat von Geschäfts- und Betriebsgeheimnissen (§ 404 AktG, § 17 UWG); Falschbilanzierung (§ 331 HGB); Geldwäsche (§ 261 StGB); Insiderhandel (§ 14 WpHG); Produktpiraterie (§§ 106 ff. UrhG, § 143 MarkenG); „Wirtschaftsspionage“; Verstöße gegen das BDSG; Verstöße gegen Wettbewerbsrecht; Verstöße gegen das Außenwirtschaftsrecht/Sanktionslisten; Verstöße gegen kartellrechtliche Vorgaben; Verstöße gegen interne Richtlinien und Vorgaben.
II. Rechtlicher Rahmen im Inland 1. Anwendbares Recht
4 Die rechtlichen Rahmenbedingungen für eine unternehmensinterne Ermittlung
in Deutschland ergeben sich im Wesentlichen aus dem Bundesdatenschutzgesetz (BDSG), aus bestimmten Normen des Strafgesetzbuches (StGB) und dem Telekommunikationsgesetz (TKG). Sofern Ermittlungen bei einem Unternehmen bzw. Betrieb durchgeführt werden, der öffentlich-rechtlichen Vorschriften unterliegt – beispielsweise Stadtwerke –, können die Vorschriften des jeweiligen Landesdatenschutzgesetzes zu beachten sein, dies jedoch nur, soweit diese Unternehmen nicht wettbewerblich tätig sind und deshalb nicht (auch) das BDSG zu beachten haben (vgl. hierzu auch § 27 Abs. 2 Nr. 2b BDSG).
2. Anwendbarkeit des TKG
5 Wenn Daten bei einem Unternehmen eingesehen werden sollen, ist zunächst zu
prüfen, ob das Unternehmen ein Telekommunikationsdiensteanbieter i. S. d. § 3 Nr. 6 TKG ist. Hinsichtlich der Einzelheiten kann insoweit auf Kap. 6 Rn 19 ff. verwiesen werden. Wenn man mit der wohl noch herrschenden Meinung im Schrifttum von einer 6 Anwendbarkeit des Fernmeldegeheimnisses (§ 88 TKG) im Beschäftigungsverhält-
Behling/Hintze/Hülsberg/Meyer
A. Rechtlicher Rahmen und operatives Vorgehen
443
nis bei erlaubter oder geduldeter privater E-Mail-Nutzung ausgeht,2 ist ein Zugriff auf E-Mail-Nachrichten vor Beendigung des Übermittlungsvorgangs durch den Arbeitgeber mit der Strafbarkeitsandrohung des § 206 Abs. 2 StGB von bis zu fünf Jahren Freiheitsstrafe oder Geldstrafe untersagt.3 Dies umfasst nicht nur den Inhalt einer Nachricht (die sog. Inhaltsdaten), mit umfasst sind vielmehr auch die Daten, die bei der Übermittlung selbst zwangsläufig anfallen. Dies sind die sog. Log-Files oder Verkehrsdaten, d. h. Daten, die Basisinformationen wie Absender, Adressat, Betreff, E-Mail-Größe, Zeitangaben etc. enthalten (vgl. auch § 96 Abs. 1 S. 1 TKG) und die aus technischen Gründen zumeist zumindest etwa eine Woche gespeichert werden. Hierbei ist zu beachten, dass die Verkehrsdaten anders als die sog. Inhaltsdaten auch über den Übermittlungsvorgang hinaus dem Schutz des TKG unterfallen (vgl. §§ 91 ff. TKG). Der Schutz der Inhaltsdaten richtet sich nach der Übermittlungsphase indes nach dem weniger strengen BDSG, jedenfalls sofern es sich bei diesen Daten – wie regelmäßig – (auch) um personenbezogene Daten (§ 3 Abs. 1 BDSG) handelt. Praxistipp Sollte sich im Einzelfall nicht ausschließen lassen, dass bei einem Datenzugriff das Fernmeldegeheimnis betroffen ist, sollte von einem Datenzugriff mit Blick auf die bestehenden Strafbarkeitsrisiken und Beweisverwertungsverbote4 ohne risikominimierende Maßnahmen Abstand genommen werden. Allerdings lassen sich mit einer im Vordringen befindlichen Auffassung sehr gute Gründe dafür anführen, dass das Fernmeldegeheimnis im Beschäftigungsverhältnis selbst bei gestatteter Privatnutzung per se nicht eingreift.5 Solange diese Auffassung noch nicht von der herrschenden Meinung geteilt wird, empfiehlt sich aber in jedem Falle ein risikoorientiertes Vorgehen.
3. Unterscheidung unternehmens- und personenbezogener Daten Soweit dem Grunde nach das BDSG eingreift, ist zunächst die Frage zu klären, ob 7 Daten, die im Rahmen der Ermittlungsmaßnahmen erhoben, verarbeitet oder genutzt werden, dem sachlichen Anwendungsbereich dieses Gesetzes unterfallen. Wie bereits ausgeführt ist hierfür erforderlich, dass es sich um personenbezogene Daten i. S. v. § 3 Abs. 1 BDSG handelt. Dies wiederum sind mit der gesetzlichen Definition alle Daten, die sich als Einzelangaben über die persönlichen oder sachlichen Verhältnisse einer natürlichen Person darstellen. Anders als z. B. in Österreich6 oder der Schweiz7 genießen bloße Unternehmensdaten in Deutschland daher keinen daten-
2 Vgl. etwa Hoeren/Sieber/Holznagel/Deutlmoser/Filip, Teil 16.6 Rn 101. 3 Vgl. VGH Kassel, MMR 2009, 714, 716. 4 Vgl. hierzu auch BAG, Urt. v. 20.6.2013 – 2 AZR 546/12 – BB 2014, 890. 5 Vgl. Kap. 6 Rn 19 ff. 6 Vgl. Art. 2, § 4 Nr. 3 Österreichisches Datenschutzgesetz. 7 Vgl. Art. 3 lit. a Schweizer Bundesgesetz über den Datenschutz.
Behling/Hintze/Hülsberg/Meyer
444
Kapitel 9 Unternehmensinterne Ermittlungen datenschutzkonform ausgestalten
schutzrechtlichen Schutz nach dem BDSG. Sofern Einzelangaben sich daher lediglich auf ein Unternehmen beziehen, können sie datenschutzrechtlich frei verarbeitet werden. Zu beachten ist hierbei allerdings, dass ein Personenbezug bereits dann vorliegt, wenn Dokumente oder Dateien, die wie Rechnungen, Protokolle oder Geschäftsbriefe zunächst nur einen Unternehmensbezug aufzuweisen scheinen, aufgrund von geleisteten Unterschriften, enthaltenen Informationen zu Ansprechpartnern usw. gleichwohl auch Einzelangaben zu natürlichen Personen enthalten. Dann greift wiederum der Schutz des BDSG, sodass auch solche Dokumente in Übereinstimmung mit den Regelungen dieses Gesetzes verarbeitet werden müssen. Auch Daten auf den Mitarbeitern zum Gebrauch überlassenen elektronischen 8 Geräten wie Computern, Mobiltelefonen und Speichermedien sind danach zu unterscheiden, ob sie (auch) personenbezogene oder lediglich unternehmensbezogene Informationen enthalten. In der Regel ist davon auszugehen, dass jedes an Mitarbeiter ausgegebene Gerät auch personenbezogene Daten enthält. So sind solche Geräte in der Regel einem einzigen Mitarbeiter zugeordnet oder können einzelnen Mitarbeitern jedenfalls über die Benutzerdaten zugeordnet werden. Damit sind auch die meisten System- und Dateidaten personenbezogen, da sie Rückschlüsse auf das Nutzungsverhalten der einzelnen Mitarbeiter bzw. Benutzer zulassen. Entsprechend ist z. B. auch eine Firmenpräsentation auf der Festplatte eines 9 Mitarbeiter-Laptops als personenbezogen zu qualifizieren, da über die gespeicherten Meta-Daten in der Regel erkennbar ist, wer diese angefertigt bzw. zuletzt geändert hat. Erst recht weist eine Präsentation einen Personenbezug auf, wenn Kontaktdaten von Mitarbeitern des Unternehmens auf den Folien selbst genannt werden. Dies bedeutet aber nicht, dass diese keinesfalls eingesehen werden dürfte. Ist aber ein Personenbezug festzustellen, bedarf die Einsichtnahme, die sich datenschutzrechtlich zumindest als Datennutzung darstellt (§ 3 Abs. 5 BDSG), gem. § 4 Abs. 1 BDSG einer legitimierenden Rechtsvorschrift oder der Einwilligung des oder der Betroffenen. Bei Daten, die einen überwiegenden Unternehmensbezug aufweisen, ist dabei 10 eine gesetzliche Legitimation in der Regel anzunehmen, wobei als mögliche Erlaubnistatbestände vor allem die §§ 28 Abs. 1 S. 1 Nr. 2, 32 Abs. 1 BDSG in Betracht kommen.8 Ähnliches lässt sich – vorbehaltlich des bereits erläuterten Streitstandes – auch für E-Mail-Nachrichten vertreten, die bereits gelesen und gespeichert auf dem E-MailServer oder in einer .pst-Datei auf dem Firmenlaufwerk oder der PC-Festplatte verfügbar sind.9 In der Tendenz ist allerdings festzustellen, dass ein Zugriff auf E-MailNachrichten über den E-Mail-Server oder Sicherungen („Backups“) hiervon unter Berücksichtigung des aktuellen Streitstandes als eher risikobehaftet zu qualifizieren ist, wenn sich, wie regelmäßig, nicht sicher ausschließen lässt, dass der unternehmenseigene E-Mail-Dienst auch zu privaten Zwecken von den Mitarbeitern genutzt
8 Dazu sogleich Rn 12 ff., 23 ff. 9 Vgl. insbesondere LAG Berlin-Brandenburg NZA-RR 2011, 342, 343 f.
Behling/Hintze/Hülsberg/Meyer
A. Rechtlicher Rahmen und operatives Vorgehen
445
wird. Soll auf Sicherungen zugegriffen werden, ist mit der jüngeren Rechtsprechung auch § 31 BDSG zu beachten, wonach der Zugriff zum Zwecke interner Ermittlungen nur bei entsprechender vorheriger Widmung zulässig sei, siehe dazu Kap. 1 Rn 33. Praxistipp Falls auf E-Mail-Nachrichten über den E-Mail-Server (oder bereits vor einer Speicherung auf diesem) zugegriffen werden soll, empfehlen sich stets risikominimierende Maßnahmen wie flankierende Betriebsvereinbarungen oder Einwilligungserklärungen. Bezüglich der Einzelheiten sei an dieser Stelle auf Kap. 1 Rn 33 und Kap. 610 verwiesen.
Im Grundsatz gilt jedoch, dass auch personenbezogene Daten dem Zugriff des Arbeit- 11 gebers nicht gänzlich entzogen sind. Abgesehen vom Intimbereich11 gewährt das BDSG dabei auch keinen quasi-absoluten Schutz von privaten Daten bei unternehmensinternen Ermittlungen.12 Dies ergibt sich aus der Entstehungsgeschichte und dem Sinn des BDSG. Regelmäßig ist es eine Frage der Abwägung, ob der Arbeitgeber personenbezogene Daten des Arbeitnehmers einsehen darf. Allerdings genießen private Daten wegen der höheren Eingriffsintensität in der Regel einen größeren Schutz, weshalb auch der Zugriff auf private E-Mail-Nachrichten ohne flankierende Maßnahmen (insbesondere Betriebsvereinbarung) regelmäßig nur Ultima Ratio sein kann, vgl. Kap. 6 Rn 41. Will man die daraus resultierenden Herausforderungen von vornherein vermeiden, empfiehlt es sich, Privatdaten von der Auswertung möglichst auszunehmen. Dies empfiehlt sich auch vor dem Hintergrund der stets zu beachtenden Grundsätze der Datenvermeidung und Datensparsamkeit (§ 3a BDSG). Praxistipp Um diesen Anforderungen hinreichend Rechnung zu tragen, sollte eine geeignete Methode entwickelt werden, mit der eine zuverlässige Trennung zwischen privaten und firmenbezogenen Daten erreicht werden kann. Generell sollte sichergestellt werden, dass für die Untersuchung irrelevante Datensätze erst gar nicht in die inhaltliche Auswertung einbezogen werden. Dies kann in der Regel über den Einsatz von speziellen Standard-Software-Lösungen sichergestellt werden, die es möglichen, den Gesamtdatenbestand (z. B. E-Mail-Nachrichten in dem Postfach eines Mitarbeiters) über eine Schlagwortsuche soweit zu reduzieren, dass zu erwarten ist, dass die Treffermenge keine oder zumindest kaum noch private oder irrelevante Datensätze mehr enthält (beispielsweise „Budget 2013“). Zu der Frage, wann Datensätze im Zusammenhang mit unternehmensinternen Ermittlungen als privat zu qualifizieren sind, soll an dieser Stelle auf Kap. 613 verwiesen werden.
10 In Kap. 1 siehe Rn 33 und in Kap. 6 Rn 26, 32, 48. 11 Balzer/Nugel, NJW 2013, 3397, 3400. 12 Ascheid/Preis/Schmidt/Dörner/Vossen, § 626 BGB Rn 178h. 13 Dort Rn 41.
Behling/Hintze/Hülsberg/Meyer
446
Kapitel 9 Unternehmensinterne Ermittlungen datenschutzkonform ausgestalten
4. § 32 BDSG als zentrale Erlaubnisnorm
12 Wie bereits erwähnt, stellt § 32 Abs. 1 BDSG eine mögliche Erlaubnisnorm für die
Erhebung, Verarbeitung und Nutzung personenbezogener Daten bei unternehmensinternen Ermittlungen dar. Diese Vorschrift regelt, unter welchen Voraussetzungen im Beschäftigungsverhältnis mit Beschäftigtendaten umgegangen werden darf. Beschäftigte sind gem. § 3 Abs. 11 BDSG vor allem die abhängig beschäftigten Arbeitnehmer sowie die zur Berufsausbildung Beschäftigten, aber auch Leiharbeiter, ehemalige Angestellte sowie sonstige arbeitnehmerähnliche Personen, deren Beschäftigung durch eine vergleichbare wirtschaftliche Abhängigkeit gekennzeichnet ist (z. B. Heimarbeiter).14 Nicht abschließend geklärt ist, ob auch Organmitglieder unter den Beschäftigtenbegriff fallen.15 Unter Vorsichtigkeitsaspekten empfiehlt es sich, dies zumindest zu unterstellen, § 32 Abs. 1 BDSG daher zumindest im Sinne einer Leitlinie auch beim Umgang mit Organdaten zu berücksichtigen. Zentraler Erlaubnistatbestand ist bei unternehmensinternen Ermittlungen § 32 13 Abs. 1 S. 2 BDSG, nach dem „personenbezogene Daten eines Beschäftigten (…) erhoben, verarbeitet oder genutzt werden [dürfen], wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass der Betroffene im Beschäftigungsverhältnis eine Straftat begangen hat, die Erhebung, Verarbeitung oder Nutzung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse des Beschäftigten an dem Ausschluss der Erhebung, Verarbeitung oder Nutzung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind.“ 14 Obwohl diese Vorschrift unter dem Eindruck der Datenschutzaffäre bei der Deut-
schen Bahn im August 2009 erlassen wurde, hat der Gesetzgeber darauf verzichtet, private Daten auf Unternehmensdatenträgern generell von der Einsichtnahme durch den Arbeitgeber auszunehmen. Diese bewusste Entscheidung – es wäre naheliegend gewesen, einen solchen absoluten Schutz zu normieren – ist zu respektieren. Entsprechend dürfen grundsätzlich auch als privat zu qualifizierende personenbezogene Daten erhoben, verarbeitet und genutzt werden, wenn die Voraussetzungen des § 32 Abs. 1 S. 2 BDSG erfüllt sind. Wegen der stets vorzunehmenden Interessenabwägung ist dies allerdings per se auszuschließen, wenn diese die Intimsphäre des Beschäftigten betreffen, was wiederum etwa dann anzunehmen ist, wenn Duschen, Umkleiden oder Toiletten videoüberwacht werden sollen.16 Daneben gibt es noch weitere Vorschriften, die einen Zugriff auf personenbezo15 gene Daten des Beschäftigten im Rahmen von unternehmensinternen Ermittlungen zulassen. § 32 Abs. 1 S. 1 BDSG gestattet die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten u. a. dann, wenn dies für Durchführung und Been-
14 Gola/Schomerus, § 3 Rn 59a. 15 Gola/Schomerus, § 3 Rn 59b. 16 Thüsing/Thüsing/Pötters, § 11 Rn 47.
Behling/Hintze/Hülsberg/Meyer
A. Rechtlicher Rahmen und operatives Vorgehen
447
digung des Beschäftigungsverhältnisses erforderlich ist. „Erforderlich“ ist in diesem Zusammenhang weit zu verstehen und heißt, dass der Zugriff auf personenbezogene Daten der Durchführung des Arbeitsverhältnisses dienlich sein muss.17 Vor diesem Hintergrund können auch Datenverarbeitungen zur präventiven Mitarbeiterkontrolle erlaubt sein, insbesondere kommen auch präventive E-Mail-Kontrollen unter bestimmten Voraussetzungen in Betracht.18 Allerdings fehlt in diesem ersten Satz des § 32 Abs. 1 BDSG das Abwägungserfor- 16 dernis des zweiten Satzes. Gewichtige Stimmen in der Literatur19 wollen dennoch das Abwägungserfordernis auch in diesem Satz 1 anwenden (als Element der Erforderlichkeit). Aus Gründen der Vorsicht sollte daher bei Ermittlungen dokumentiert werden, warum die schutzwürdigen Interessen des Arbeitnehmers einer Einsichtnahme nicht entgegenstehen; die Verhältnismäßigkeit sollte sowieso gewahrt werden.
5. Einbindung von Mitarbeitervertretung, Datenschutzbeauftragten und Aufsichtsbehörde Darüber hinaus sind im Vorfeld unternehmensinterner Ermittlungen verschiedene 17 Stellen zwingend einzubinden.
a) Betrieblicher Datenschutzbeauftragter oder Datenschutzaufsicht Zu nennen ist zum einen der betriebliche Datenschutzbeauftragte, dem neue auto- 18 matisierte Verarbeitungsverfahren gem. § 4d Abs. 5 Nr. 2 BDSG zur Vorabkontrolle vorzulegen sind. Anzunehmen ist dies etwa, wenn erstmals eine Analysesoftware eingesetzt werden soll, um E-Mail-Nachrichten von verdächtigen Mitarbeitern auszuwerten. Aber auch wenn bei unternehmensinternen Ermittlungen kein neues Verarbeitungsverfahren zur Anwendung gelangt, ist der Datenschutzbeauftragte einzubinden. So ist das Unternehmen gem. § 4f Abs. 5 S. 1 BDSG dem Datenschutzbeauftragten zur aktiven Unterstützung verpflichtet, weshalb er über alle datenschutzrelevanten Vorgänge, mithin auch über unternehmensinterne Ermittlungen, rechtzeitig im Vorfeld zu informieren ist.20 Zu beachten ist, dass bei Fehlen eines betrieblichen Datenschutzbeauftragten vor dem Einsatz neuer Verarbeitungsverfahren die zuständige Datenschutzaufsicht zu informieren ist, § 4d Abs. 1 BDSG.
17 ErfK/Franzen, § 32 BDSG Rn 6. 18 Vgl. Kap. 6 Rn 43 ff. 19 Simitis/Seifert, § 32 Rn 11. 20 Vgl. Gola/Schomerus, § 4f Rn 54.
Behling/Hintze/Hülsberg/Meyer
448
Kapitel 9 Unternehmensinterne Ermittlungen datenschutzkonform ausgestalten
Praxistipp Es empfiehlt sich ein kooperativer Umgang mit dem Datenschutzbeauftragten. Dabei sollte ihm ernsthaft Gelegenheit zur Stellungnahme gegeben werden, da er sich gem. § 4d Abs. 6 S. 2 BDSG in „Zweifelsfällen“ an die zuständige Datenschutzaufsicht zu wenden hat. Obwohl ihn dies wegen der bestehenden Treuepflicht regelmäßig nicht dazu berechtigt, ohne jede Abstimmung mit dem Unternehmen eine Abstimmung zu suchen,21 neigen Datenschutzbeauftragte mitunter dazu, von dieser Option gleichwohl eigeninitiativ Gebrauch zu machen. Auch wenn die Einschaltung der Datenschutzaufsicht nicht unbedingt immer unzweckmäßig ist, kann dies die Ermittlungsmaßnahmen gleichwohl mitunter erheblich verzögern, was naturgemäß den Ermittlungserfolg gefährden kann. Um dies zu vermeiden, sollten dem Datenschutzbeauftragten hinreichende Ressourcen zur Durchführung der Vorabkontrolle zur Verfügung gestellt werden. Signalisiert der Datenschutzbeauftragte etwa, dass er nicht sicher einschätzen kann, ob eine Ermittlungsmaßnahme datenschutzrechtlich erlaubt ist, sollte ihm deshalb die Möglichkeit zur Einholung eines qualifizierten externen Rechtsrates gegeben werden.
b) Betriebsrat und Sprecherausschuss
19 Überdies ist regelmäßig der Betriebsrat zu informieren. So steht diesem im Rahmen
von unternehmensinternen Ermittlungen grundsätzlich zumindest ein Informationsrecht nach § 80 Abs. 2 BetrVG zu.22 Der Betriebsrat ist hierbei über die Untersuchung im Allgemeinen, aber auch über die damit verbundenen Einzelmaßnahmen, wie beispielsweise Mitarbeiterbefragungen, sowohl im Vorfeld als auch nach deren Durchführung zu unterrichten. Hierbei sollte dem Betriebsrat vor einem Interview mitgeteilt werden, welche Mitarbeiter befragt und welche Themen dabei besprochen werden sollen. Im Nachhinein sollte eine Unterrichtung über die gewonnenen Erkenntnisse und die daraus gezogenen Schlüsse erfolgen. Die Informationsrechte des Betriebsrats stehen im Wesentlichen auch dem Sprecherausschuss zu (§ 25 Abs. 2 SprAuG). Der Betriebsrat besitzt ein Mitbestimmungsrecht, wenn eine Maßnahme unter 20 Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen, durchgeführt werden soll (z. B. IT-basierte E-Mail-Analyse, Videoüberwachung), § 87 Abs. 1 Nr. 6 BetrVG.23 Dies gilt allerdings nicht, wenn Externe, wie vom Unternehmen beauftragte Rechtsanwälte oder Wirtschaftsprüfer, solche technischen Einrichtungen nutzen; deren Einsatz bedarf daher selbst dann keiner Zustimmung durch den Betriebsrat.24 Wird seitens des Unternehmens auf das E-Mail-Postfach des Mitarbeitercomputers über das Unternehmensnetzwerk zugegriffen, so wurde die betriebliche IT-Infrastruktur, die diesen Zugriff ermöglicht, bereits mitbestimmt, weshalb hierbei eine erneute Geltendmachung des Mitbestimmungsrechts speziell für eine unternehmensinterne
21 Gola/Schomerus, § 4d Rn 18. 22 Mengel, Kap. 4 Rn 32. 23 Düwell/Kohte, Rn 66 f. 24 Moll/Dendorfer, § 35 Rn 159.
Behling/Hintze/Hülsberg/Meyer
A. Rechtlicher Rahmen und operatives Vorgehen
449
Ermittlung ausscheiden dürfte. Die Mitbestimmungsrechte des Betriebsrats korrespondieren insoweit also weitestgehend mit dem Erfordernis einer Vorabkontrolle durch den betrieblichen Datenschutzbeauftragten gem. § 4d Abs. 5 Nr. 2 BDSG.25 Ein Mitbestimmungsrecht des Betriebsrats besteht auch dann, wenn eine Befra- 21 gung mittels eines Personalfragebogens durchgeführt wird (§ 94 Abs. 1 BetrVG) bzw. der Mitarbeiter im Gespräch standardisierte Fragen beantworten muss und hierbei personenbezogene Daten erfasst werden.26 Sofern die Mitarbeiter vorbereitete Fragebögen mündlich beantworten müssen und die Antworten schriftlich festgehalten werden, sind nur diejenigen Fragen mitbestimmungspflichtig, welche für eine größere Gruppe von Arbeitnehmern gleich sind (kollektiver Bezug). Individuelle Fragen, die sich auf einen einzelnen Mitarbeiter beziehen, sind hingegen nicht mitbestimmungspflichtig, auch dann nicht, wenn sie zuvor auf einem eigens dafür erstellten Fragebogen vorbereitet wurden. Ein Mitbestimmungsrecht hinsichtlich der Fragebögen lässt sich zudem vollständig ausschließen, wenn das Interview durch externe Ermittler durchgeführt wird und diese sich verpflichten, die erlangten Informationen nur in anonymisierter Form an den Arbeitgeber weiterzugeben.27 Ein Mitbestimmungsrecht kann des Weiteren nach § 87 Abs. 1 Nr. 1 BetrVG beste- 22 hen, wenn neben dienstlichen Unterlagen auch private E-Mails und Dokumente Gegenstand der Untersuchung sind. Der Betriebsrat hat hierbei über die Einhaltung der Gesetze (insbesondere BDSG) zu wachen, § 80 Abs. 1 Nr. 1 BetrVG. Praxistipp Um die Verletzung von Rechten des Betriebsrats auszuschließen, sollte stets bereits im Vorfeld einer konkreten Ermittlungsmaßnahme geprüft werden, ob und zu welchem Zeitpunkt dem Betriebsrat ein Mitbestimmungs- oder Informationsrecht zusteht. Eine Missachtung der Mitbestimmungsrechte des Betriebsrats kann diesem einen Unterlassungsanspruch einräumen, führt jedoch nicht zu einem Verwendungs- oder Verwertungsverbot der erlangten Informationen.
6. Fehlen eines Beschäftigungsbezugs und Nicht-Beschäftigte Sofern personenbezogene Daten Dritter, also Nicht-Beschäftigter, betroffen sind, gilt 23 bei unternehmensinternen Ermittlungen das Gleiche wie in § 32 Abs. 1 BDSG über § 28 Abs. 1 S. 1 Nr. 2 BDSG, wobei allerdings in allen Fällen eine Abwägung der schutzwürdigen Interessen des Betroffenen mit den berechtigten Interessen des Unternehmens erfolgen muss. Die Verhältnismäßigkeit der Maßnahme wird nicht ausdrücklich gefordert, versteht sich aber von selbst.28
25 Vgl. hierzu zuvor Rn 18. 26 Simitis/Seifert, § 32 Rn 154. 27 Mengel, Kap. 4 Rn 37. 28 Däubler/Hjort/Schubert/Wolmerath/Hilbrans, § 28 BDSG Rn 4.
Behling/Hintze/Hülsberg/Meyer
450
24
Kapitel 9 Unternehmensinterne Ermittlungen datenschutzkonform ausgestalten
Dasselbe gilt, falls zwar Beschäftigte von der Ermittlungsmaßnahme betroffen sind, die konkrete Datenverarbeitung aber nicht unter die Vorschrift des § 32 Abs. 1 BDSG fällt, weil diese keinen unmittelbaren Beschäftigungsbezug aufweist. Insoweit gilt, dass der allgemeine Erlaubnistatbestand des § 28 Abs. 1 S. 1 Nr. 2 BDSG im Beschäftigungsverhältnis nicht gesperrt ist, wenn sich die fragliche Datenverarbeitung nicht auf § 32 Abs. 1 BDSG stützen lässt.29
7. Einwilligung und Widerspruch des Beschäftigten
25 Bei internen Ermittlungen sind Einwilligungserklärungen und Widersprüche der ver-
dächtigen Person von großer praktischer Relevanz. Hierzu gilt es Folgendes zu beachten:
a) Einwilligung 26 Eine Einwilligung des Betroffenen führt zu einer Erlaubnis der Sicherung von und/ oder Einsichtnahme in die personenbezogenen Daten. Im Beschäftigungsverhältnis ist jedoch zu beachten, dass aufgrund des sozialen Abhängigkeitsverhältnisses zum Arbeitgeber die Freiwilligkeit dieser Einwilligung infrage gestellt werden kann mit der Folge, dass sie nicht wirksam erteilt wäre.30 Neben der immer gebotenen Hinzuziehung des betrieblichen Datenschutzbeauftragten sollte auch der Betriebsrat bei einer Einwilligungserklärung eines Arbeitnehmers einbezogen werden. Die Einwilligung selbst sollte ausdrücklich jederzeit widerruflich gestaltet werden,31 die beabsichtigten Maßnahmen und deren Zweck enthalten sowie den Hinweis, dass auch bei einer Ablehnung ggf. aufgrund der gesetzlichen Erlaubnistatbestände eine Einsichtnahme dennoch erfolgen könnte. Sinnvoll erscheint es auch, darauf hinzuweisen, dass die Zurückweisung der Erlaubnis keine Nachteile nach sich ziehen werde. Praxistipp Insgesamt empfiehlt sich daher eine besondere, auf Freiwilligkeit ausgerichtete Einwilligungsgestaltung.32 Der Hinweis eines möglichen Rückgriffs auf gesetzliche Erlaubnistatbestände, falls der Betroffene die Einwilligung verweigern sollte, ist dabei von besonderer Wichtigkeit.33
29 Vgl. die Gesetzesbegründung zu § 32 BDSG, BT-Drucks. 16/13657, S. 35, ferner Behling, CB 2013, 265, 268 m. w. N. 30 Däubler/Hjort/Schubert/Wolmerath/Hilbrans, § 4a BDSG Rn 3. 31 Moll/Dendorfer, § 35 Rn 248. 32 Vgl. dazu auch Kap. 6 Rn 48, Ziff. 7 der Checkliste. 33 Vgl. hierzu Behling, CB 2013, 265, 269.
Behling/Hintze/Hülsberg/Meyer
A. Rechtlicher Rahmen und operatives Vorgehen
451
b) Widerspruch In der Praxis findet sich im Zusammenhang mit internen Ermittlungsmaßnahmen 27 allerdings auch häufig der Fall eines Widerspruchs des Betroffenen gegen konkrete Datenverarbeitungen. Dies ist insbesondere festzustellen, wenn die E-Mail-Postfächer konkret verdächtiger Mitarbeiter ausgewertet sollen. Auch wenn Widersprüche gegen die Verarbeitung eigener Daten wegen des informationellen Selbstbestimmungsrechts grundsätzlich beachtlich sind, gilt dies gleichwohl nicht, wenn sich diese gegen Datenverarbeitungen im Zusammenhang mit unternehmensinternen Ermittlungen richten, die von § 32 Abs. 1 S. 2 BDSG gedeckt sind. Denn in einem solchen Falle geht das Aufklärungsinteresse des Arbeitgebers dem informationellen Selbstbestimmungsrecht des Beschäftigten vor.34
8. Auslandsbezug Bei grenzüberschreitenden Sachverhalten stellt sich die Frage nach dem anwend- 28 baren Datenschutzrecht. Diese Frage ist auf Grundlage der Kollisionsvorschrift des § 1 Abs. 5 BDSG zu beantworten, wonach zwischen bloß innereuropäischen Sachverhalten (EU/EWR) und Sachverhalten mit Drittstaatenbezug zu unterscheiden ist:
a) Innereuropäische Sachverhalte Werden etwa personenbezogene Daten in einer deutschen Konzernschaft von der der 29 französischen Muttergesellschaft angehörigen Konzernrevision erhoben und – etwa eingebettet in Revisionsberichten – nach Frankreich überstellt, stellt sich die Frage, welches innereuropäische Datenschutzrecht maßgeblich ist. Diese Frage gilt es jedenfalls noch solange zu beantworten, wie nicht über die geplante EU-DatenschutzGrundverordnung35 das Datenschutzrecht in Europa in weiten Teilen einheitlich geregelt ist. Bis dahin ist aus deutscher Sicht § 1 Abs. 5 BDSG anzuwenden, wonach in dem genannten Beispielsfall einheitlich französisches Datenschutzrecht maßgeblich sein dürfte. So findet gem. § 1 Abs. 5 S. 1 BDSG das BDSG „keine Anwendung, sofern eine in einem anderen Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum belegene verantwortliche Stelle [hier: Konzernmutter] personenbezogene Daten im Inland [Deutschland] erhebt, verarbeitet oder nutzt, es sei denn, dies erfolgt durch eine Niederlassung im Inland.“
34 Vgl. Behling, CB 2013, 265, 268. 35 Vgl. Legislative Entschließung des Europäischen Parlaments v. 12.3.2014 zu dem Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (allgemeine Datenschutzverordnung) (KOM(2012) 11 – C7-0025/2012 – 2012/0011(COD)) (Ordentliches Gesetzgebungsverfahren: erste Lesung), P7_TA-PROV(2014)0212, A7-0402/2013.
Behling/Hintze/Hülsberg/Meyer
452
Kapitel 9 Unternehmensinterne Ermittlungen datenschutzkonform ausgestalten
30 Handelt die Konzernrevision in unserem Beispielfall indes durch Mitarbeiter einer
deutschen Niederlassung, ist demnach wiederum das deutsche Datenschutzrecht bezüglich Datenerhebung-, -verarbeitung und -nutzung anzuwenden. Erst wenn die Daten sodann an die französische Konzernmutter überstellt werden, ist bezüglich der dortigen Entgegennahme der Daten und deren Weiterverarbeitung in Frankreich französisches Datenschutzrecht maßgeblich. Grundsätzlich gilt bei rein innereuropäischen Sachverhalten aber das sog. Sitz31 landprinzip, womit das BDSG Art. 4 der derzeit noch maßgeblichen EU-Datenschutzrichtlinie36 umsetzt.37 Wann von einer Niederlassung im Inland auszugehen ist, lässt sich dem Gesetz unmittelbar nicht entnehmen. Anerkannt ist aber, dass insoweit auf § 42 Abs. 2 GewO zurückgegriffen werden kann, demgemäß eine Niederlassung vorliegt, wenn ein Gewerbetreibender einen zum dauernden Gebrauch eingerichteten, ständig oder in regelmäßiger Wiederkehr von ihm benutzten Raum für den Betrieb seines Gewerbes besitzt, wobei es auf die Rechtsform nicht ankommt.38
b) Sachverhalte mit Drittstaatenbezug
32 Bei grenzüberschreitenden Sachverhalten unter Beteiligung von Staaten außerhalb
von EU und EWR (sog. Drittstaaten) gilt derzeit noch das sog. Territorialprinzip. Gerade im Zusammenhang mit unternehmensinternen Ermittlungen wird sich 33 dies mit Inkrafttreten der bereits angesprochenen EU-Datenschutz-Grundverordnung39 aber voraussichtlich ändern, da in Art. 3 Nr. 2b des jetzigen Entwurfsstands vorgesehen ist, dass europäisches Datenschutzrecht auch von verantwortlichen Stellen außerhalb von EU und EWR zu beachten sein soll, wenn eine Datenverarbeitung dazu dient, das Verhalten von Unionsbürgern zu beobachten.40 Letzteres dürfte nicht selten bei unternehmensinternen Ermittlungen zu bejahen sein. Bis zu einem Inkrafttreten der EU-Datenschutz-Grundverordnung gilt aber § 1 34 Abs. 5 BDSG mit der Folge, dass für Datenerhebungen, -verarbeitungen und -nutzungen, die außereuropäische Stellen in Deutschland vornehmen, allein deutsches Datenschutzrecht maßgeblich ist. Von der Erhebung der Daten in Deutschland bis zu deren Übermittlung in das Nicht-EU/EWR-Ausland richtet sich die Zulässigkeit also
36 Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr v. 24.10.1995, ABl. Nr. L 281 v. 23.11.1995, S. 31 ff. 37 Gola/Schomerus, § 1 Rn 27. 38 Gola/Schomerus, § 1 Rn 28. 39 Legislative Entschließung des Europäischen Parlaments v. 12.3.2014 zu dem Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (allgemeine Datenschutzverordnung) (KOM(2012) 11 – C7-0025/2012 – 2012/0011(COD)) (Ordentliches Gesetzgebungsverfahren: erste Lesung), P7_TA-PROV(2014)0212, A7-0402/2013. 40 Vgl. hierzu auch Behling/Indermuehle, CH-D Wirtschaft 4/2012, 6, 7.
Behling/Hintze/Hülsberg/Meyer
A. Rechtlicher Rahmen und operatives Vorgehen
453
allein nach dem BDSG oder den bereichsspezifischen deutschen Datenschutzgesetzen (z. B. §§ 11 ff. TMG oder §§ 91 ff. TKG). Sobald die Daten aber den ausländischen Staat erreicht haben, sind sie dem Anwendungsbereich des deutschen Datenschutzrechts entzogen. Der Tatbestand der Datenübermittlung in das Ausland ist damit der letzte 35 Schritt, der den Anforderungen des deutschen Datenschutzrechts genügen muss. Dieser bedarf entsprechend einer ganz besonderen Prüfung, wobei hier nicht nur die §§ 28, 32 BDSG zu beachten sind, sondern auch die §§ 4b, 4c BDSG. Hierbei ist nach Auffassung der Aufsichtsbehörden ein sog. zweistufiger Prüfungsaufbau zu wählen. Demgemäß ist in einer ersten Stufe zu prüfen, ob die Übermittlungsvoraussetzungen nach den nationalen Datenschutzvorschriften (§§ 28, 32 BDSG) dem Grunde nach vorliegen. Erst wenn sich dies bejahen lässt, ist in einer zweiten Stufe festzustellen, ob die besonderen Voraussetzungen für eine Datenübermittlung in Drittstaaten erfüllt sind, was an §§ 4b, 4c BDSG zu messen ist. Dabei gilt es gem. § 4b Abs. 2 S. 2 BDSG zu beachten, dass Datenübermittlungen 36 in Staaten außerhalb von EU und EWR grundsätzlich nur gestattet sind, wenn dort ein angemessenes Datenschutzniveau sichergestellt ist. Seit dem Bekanntwerden der Spionageaktivitäten der NSA wird dies seitens der Aufsichtsbehörden gerade für die USA sehr kritisch gesehen. So sollen nach Auffassung der Aufsichtsbehörden bei bestehendem USA-Bezug selbst etablierte Instrumente zur Herstellung eines angemessenen Datenschutzniveaus, wie die Verwendung sog. EU-Standardverträge, nicht mehr ohne Weiteres genügen, um ein angemessenes Datenschutzniveau im Zielland annehmen zu können. Dies stellt Unternehmen durchaus vor praktische Herausforderungen, da Selbiges auch für die bereits seit Langem seitens der Aufsichtsbehörden kritisch gesehenen Safe Harbor-Zertifizierungen gelten soll.41 Praxistipp Vor dem Hintergrund der erläuterten Unsicherheiten sollte bei einem Verarbeitungsbezug zu den USA im Vorfeld die Abstimmung mit der zuständigen Datenschutzaufsicht gesucht werden. Sollte dies mit Blick auf die Vertraulichkeit des Sachverhaltes nicht unter Nennung der eigenen Unternehmensidentität möglich oder zweckmäßig sein, empfiehlt sich die Einschaltung eines Rechtsanwaltes, damit dieser den Sachverhalt auf anonymisierter Basis mit der Aufsicht abklären kann. Dies ist wegen der beruflichen Verschwiegenheit eines Rechtsanwaltes unproblematisch möglich und entspricht auch einer gelebten Praxis.
41 Vgl. Pressemitteilung der Konferenz der Datenschutzbeauftragten des Bundes und der Länder „Datenschutzkonferenz: Geheimdienste gefährden massiv den Datenverkehr zwischen Deutschland und außereuropäischen Staaten“ v. 24.7.2013, abrufbar unter http://www.bfdi.bund.de/DE/Home/ homepage_Kurzmeldungen2013/PMDerDSK_SafeHarbor.html?nn=408908.
Behling/Hintze/Hülsberg/Meyer
454
Kapitel 9 Unternehmensinterne Ermittlungen datenschutzkonform ausgestalten
III. Anlassbezogene unternehmensinterne Ermittlungen 1. Auslösende Momente 37 Auslöser für unternehmensinterne Ermittlungen sind regelmäßig Verdachtsmomente, die sich aus verschiedenen Quellen ergeben können. Häufig sind solche Zufallsprodukte, etwa Rücküberweisungen von Schmiergeldzahlungen oder unterschlagene Gelder, liegengelassene Notizen oder sonstige Sorglosigkeiten der Verdächtigen. Auch Hinweise von Kunden, Lieferanten oder sonstigen Externen (z. B. investigative Journalisten) sowie Hinweise bzw. aufgenommene Ermittlungen der Strafverfolgungsbehörden begründen oftmals einen ersten Verdacht auf doloses Verhalten innerhalb eines Unternehmens. Schließlich führen häufig systematische Governance- und Kontrollinstrumente wie die Interne Revision, Interne Kontrollen oder der Abschlussprüfer zu entsprechenden Anhaltspunkten. Eine in Deutschland recht neue Entwicklung ist der Einsatz von – externen und 38 internen – Hinweisgebersystemen („Whistleblowing“), ggf. unterstützt durch ein Ombudswesen. Hieraus können sich ebenfalls erste Anhaltspunkte für Rechtsverstöße ergeben. Hier sind bei entsprechendem Aufbau die Hinweise interner und externer Personen eine zusätzliche Erkenntnisquelle. Bezüglich der mit dem Hinweisgebersystem angesprochenen Personenkreise, 39 d. h. von welchen Absendergruppen Hinweise entgegengenommen werden sollen, hat ein Unternehmen zunächst die Wahl zwischen geschlossenen Systemen, die sich nur an die eigenen Mitarbeiter richten, und offenen Systemen, die über die eigene Belegschaft hinaus auch externen Hinweisgebern, wie Geschäftspartnern und Kunden, zugänglich sind. Zur Übermittlung gibt es die Wege Telefon, Internet- sowie Intranetportale, E-Mail, Brief, Fax bis hin zum persönlichen Kontakt. Was die Empfänger der Hinweise anbelangt, ist die Unterscheidung zwischen internen Stellen, z. B. der Rechtsabteilung, dem Compliance-Management oder dem Betriebsrat, und externen Stellen wesentlich, wobei im zweiten Fall vor allem auf Ombudsleute zurückgegriffen wird. Letztere verfügen in der Regel über ein Zeugnisverweigerungsrecht und das sie beauftragende Unternehmen verzichtet zur Erhöhung der Sicherheit des Hinweisgebers regelmäßig auf das Auskunftsrecht und die Herausgabe von Unterlagen, sodass insgesamt Anonymität gewährleistet ist. Praxistipp Die Einführung eines Hinweisgebersystems ist seinerseits mit datenschutzrechtlichen Herausforderungen verbunden. Hier gilt es, die datenschutzrechtlichen Anforderungen unbedingt einzuhalten, da anderenfalls Beweisverwertungsverbote drohen, wenn die aus dem Hinweisgebersystem gewonnenen Erkenntnisse in einem arbeits- oder zivilgerichtlichen Verfahren eingeführt werden sollen. Insoweit empfiehlt sich die Beachtung der entsprechenden Hinweise der Artikel-29-Datenschutzgruppe.42
42 Artikel-29-Datenschutzgruppe, WP 117.
Behling/Hintze/Hülsberg/Meyer
A. Rechtlicher Rahmen und operatives Vorgehen
455
2. Situationsbewertung und Zuständigkeiten Die Bewertung eingehender Hinweise bzw. sonstiger Verdachtsmomente hängt 40 wesentlich von deren Qualität und der vom Unternehmen gewählten GovernanceStruktur ab. Sofern das Unternehmen einen Ombudsmann installiert hat und die Hinweise 41 bei ihm eingehen, nimmt dieser in den meisten Fällen eine Erstbewertung vor und entscheidet je nach installiertem Meldeweg, ob weitere Informationen vom Hinweisgeber eingeholt werden sollen. Für den Fall, dass weder ein Ombudsmann noch ein anderer Meldeweg installiert sind, sind Verhaltensregeln für den Fall des Eingangs von Hinweisen auf Fehlverhalten auf sonstige Weise essentiell. Die Mitarbeiter, das Aufsichtsgremium, alle Geschäftsleitungsmitglieder sowie bei Outsourcing auch die Mitarbeiter des externen Dienstleisters sollten über die Behandlung solcher Hinweise und deren Weiterleitung informiert werden. Sofern Hinweise auf Fehlverhalten der Geschäftsleitung vorliegen, wird dabei regelmäßig der Vorsitzende des Aufsichtsgremiums bzw. einer der Gesellschafter als Ansprechpartner benannt werden. Ansonsten richten sich die Meldewege nach der gewählten Governance-Struktur des Unternehmens. Bei kleineren Unternehmen wird insoweit regelmäßig die Geschäftsleitung in der Verantwortung stehen; bei größeren Unternehmen kann auch eine Weiterleitung an den Leiter der Rechts- oder Personalabteilung, der Internen Revision oder den (Chief) Compliance Officer vorgesehen und entsprechend kommuniziert werden. Stets von zentraler Bedeutung ist, dass die Verantwortlichen erreichbar sind und dass für den Fall der Nichterreichbarkeit eine alternative Kontaktmöglichkeit sichergestellt ist. Gerade in der Bewertung der Hinweise sowie in der Erstreaktion darauf werden 42 oft entscheidende Fehler gemacht. Daher ist ein Ablaufplan bei eingehenden Hinweisen von zentraler Bedeutung, der auch die datenschutzrechtlichen Anforderungen hinreichend berücksichtigt. Insoweit empfiehlt sich die Beachtung folgender Checkliste. Checkliste – Wer ist zu informieren? (Rechtsabteilung, Interne Revision, Pressestelle, Datenschutzbeauftragter, Betriebsrat; größere Unternehmen verfügen über Krisenstäbe, „Task Forces“ bzw. über „Compliance Committees“, die aus verschiedenen Unternehmensbereichen zusammengesetzt sind); – Welche Sofortmaßnahmen sind zu ergreifen? (u. a. ist die Frage nach der Einschaltung der Strafverfolgungsbehörden/sonstigen Behörden zu klären, die Information der Rechtsabteilung bzw. externer Rechtsanwälte sicherzustellen, der Entzug von Zutrittsberechtigungen und Zugangsberechtigung zu den IT-Systemen vorzusehen und es sind datenschutzkonforme Vorgaben zum Einzug von Arbeitsmitteln wie Laptops und Handys sowie zur Sicherung von strukturierten Daten, z. B. aus der Buchhaltung, und von unstrukturierten Daten, z. B. E-Mail-Nachrichten, zu machen); – Welche kurzfristigen Maßnahmen sind vorzubereiten und durchzuführen? (insbesondere: Wer wird die interne Untersuchung im Unternehmen durchführen, sind externe Dienstleister erforderlich, wie ist unternehmensintern zu kommunizieren, was ist ggf. gegenüber Presse, Kunden, Lieferanten und sonstigen Stellen zu veröffentlichen?).
Behling/Hintze/Hülsberg/Meyer
456
Kapitel 9 Unternehmensinterne Ermittlungen datenschutzkonform ausgestalten
43 Sofern die Hinweise prima facie ausreichend substantiiert sind, wird durch die vor-
gesehenen Personen bzw. das installierte Gremium ein Prüfungsauftrag für eine unternehmensinterne Ermittlung erteilt werden. Sofern gleichzeitig die Strafverfolgungsbehörden oder die sonst zuständigen Behörden eingeschaltet werden, ist deren Information über den exakten Inhalt des Prüfungsauftrages geboten, um die Ermittlungen nicht zu behindern und sich nicht dem Vorwurf der (versuchten) Strafvereitelung auszusetzen. In praxi ist diese Abstimmung problemlos möglich. Sofern ein externer Dienstleister (z. B. Wirtschaftsprüfer oder Rechtsanwalt) zur 44 Unterstützung eingesetzt wird, ist auch dessen Auftrag offenzulegen und dieser von seiner ggf. zu wahrenden beruflichen Verschwiegenheitspflicht gegenüber den Behörden zu befreien. Es sind auch Fälle denkbar, in denen unternehmensinterne Ermittler in Abstimmung mit den Strafverfolgungsbehörden oder sonst zuständigen Behörden bestimmte Aufgaben wie Datenauswertungen übernehmen, auf die sich die Behörden dann bei ihrer Arbeit stützen werden. Dabei sind allerdings insbesondere der gemeinsamen Durchführung von Befragungen enge Zulässigkeitsgrenzen gesetzt.43
IV. Ermittlungsdurchführung 1. Zentrale Ermittlungstätigkeiten
45 Zu den Ermittlungstätigkeiten zählen standardmäßig die Auswertung von elektro-
nischen Daten und papiergebundenen Unterlagen, die Durchführung von personen- oder unternehmensbezogenen Hintergrund-Checks sowie das Führen von Interviews mit unternehmensinternen und externen Personen. Elektronische Daten, die in 46 – strukturierter Form (z. B. Buchhaltungsdaten, Vertriebsdaten, Kalkulationen u. Ä.) oder – unstrukturierter Form (z. B. E-Mail-Nachrichten, andere Anwendungen und Dateien wie Browser, Skype, Google Services, Dropbox etc., Nachrichten, etwa SMS, MMS, Messenger, Kontaktdaten, Kalendereinträge, Textdateien u. Ä.) vorliegen können, werden auf Auffälligkeiten (Anomalien) und Hinweise bezüglich des infrage stehenden Sachverhalts untersucht. Hierzu stehen ausreichend Standard-Software-Lösungen zur Verfügung, wobei die Auswertung entweder auf unternehmenseigenen Rechnern oder über die IT-Infrastruktur externer Dienstleister durchgeführt werden kann.
43 Vgl. dazu unten Rn 82 ff.
Behling/Hintze/Hülsberg/Meyer
A. Rechtlicher Rahmen und operatives Vorgehen
457
Praxistipp Bei dem Einsatz externer Dienstleister ist besonders auf die datenschutzkonforme Ausgestaltung des Gesamtverfahrens zu achten. Sollten entsprechende Softwareapplikationen im Unternehmen erstmals eingeführt werden, bedarf es der Vorabkontrolle durch den betrieblichen Datenschutzbeauftragten (§ 4d Abs. 5 Nr. 2 BDSG). Auch ist der Betriebsrat einzubinden (§§ 80 Abs. 1 Nr. 1; 87 Abs. 1 Nr. 6 BetrVG). Sofern ein externer Dienstleister eingesetzt wird, ist die Erforderlichkeit des Abschlusses einer Auftragsdatenverarbeitungsvereinbarung (§ 11 BDSG) zu prüfen. Letztere kommt allerdings nur in Betracht, wenn der Dienstleister streng weisungsgebunden agiert oder das bloße IT-Hosting übernimmt. Hat der Dienstleister bei der Auswertung indes ein eigenes Ermittlungsermessen, scheidet eine Auftragsdatenverarbeitung aus. Dann empfiehlt sich grundsätzlich der Abschluss einer sog. Funktionsübertragungsvereinbarung. Keiner gesonderten Datenschutzvereinbarung bedarf es, wenn es sich bei dem Dienstleister um einen Berufsgeheimnisträger (insbesondere Wirtschaftsprüfer oder Rechtsanwalt) handelt, da dann die berufsrechtlichen Vorgaben das Datenschutzrecht überlagern (§ 1 Abs. 3 S. 2 BDSG). Im Gegenteil ist es häufig sogar so, dass die Beauftragung von z. B. Rechtsanwälten und Wirtschaftsprüfern nicht über eine Auftragsdatenverarbeitungsvereinbarung abgebildet werden darf, da diese aufgrund ihrer besonderen beruflichen Stellung über die Datenverarbeitung stets eigenständig entscheiden können müssen.44 Sie dürfen sich wegen ihrer Unabhängigkeit nicht den Weisungen der Mandantschaft unterwerfen, weshalb ihnen der Abschluss von Auftragsdatenverarbeitungsvereinbarungen berufsrechtlich grundsätzlich untersagt ist.
Hat der Dienstleister seinen Sitz außerhalb von EU oder EWR, bedarf es, wie 47 ausgeführt,45 besonderer datenschutzrechtlicher Vereinbarungen, wobei insbesondere die von der EU-Kommission verabschiedeten EU-Standardvertragsklauseln in Betracht kommen. Hierbei ist auf die Wahl der richtigen Fassung zu achten, wobei dies davon abhängt, ob der Dienstleister weisungsgebunden als sog. Processor agiert oder mit eigenem Ermessen ausgestattet ist und deshalb als sog. Controller zu qualifizieren ist. Je nachdem, ob der eine oder andere Sachverhalt gegeben ist, sind die hierfür speziell vorgesehenen Muster zu verwenden. Praxistipp Für den Fall, dass der Dienstleister im Nicht-EU/EWR-Ausland in der Rolle eines „Controllers“ tätig wird, existieren zwei unterschiedliche „Sets“ von Standardvertragsklauseln, wobei Set 1 aus dem Jahre 200146 und Set 2 aus dem Jahre 200447 stammt.48 Das Set 2 stellt sich für den Verwender (Unternehmen) unter haftungsrechtlichen Aspekten als günstiger dar, wird aber gerade in Bezug auf die Verarbeitung von Beschäftigtendaten seitens der Aufsichtsbehörden als nicht ausreichend erachtet.49 Sie würden daher in den hier infrage stehenden Fällen unter Zugrundelegung des aufsichtsbehördlichen Verständnisses ausscheiden, sodass nur das Set 1 rechtssicher eingesetzt werden kann. Dieses
44 Spindler/Schuster/Spindler/Nink, § 11 BDSG Rn 11. 45 Vgl. oben Rn 28 ff. 46 ABl. EG Nr. L 181/19. 47 ABl. EG Nr. L 385/74. 48 Gola/Schomerus, § 4c Rn 12. 49 Gola/Schomerus, § 4c Rn 12.
Behling/Hintze/Hülsberg/Meyer
458
Kapitel 9 Unternehmensinterne Ermittlungen datenschutzkonform ausgestalten
sieht seinerseits allerdings eine gesamtschuldnerische Haftung von Auftragnehmer und Auftraggeber gegenüber den Betroffenen vor, was sich aus der Sicht des beauftragenden Unternehmens insoweit als ungünstig darstellt, als dieses dann auch für alle Datenschutzverstöße des Auftragnehmers einstehen muss. Deshalb kann in Betracht gezogen werden, das Set 2 so zu modifizieren, dass zwar eine gesamtschuldnerische Haftung ausgeschlossen bleibt, die Beschäftigtenrechte aber gleichwohl hinreichend berücksichtigt werden. Werden solche Modifikationen vorgenommen, ist allerdings darauf zu achten, dass keine Genehmigungspflichten ausgelöst werden. So gehen die Aufsichtsbehörden davon aus, dass jedenfalls maßgebliche Änderungen der EU-Standardvertragsklauseln zu einer Genehmigungspflicht des darauf gestützten Datentransfers führen.50 Dies soll mit dem Düsseldorfer Kreis51 aber wiederum nur gelten, soweit diese Abweichungen nicht eindeutig zugunsten der Betroffenen (hier Beschäftigten) ausfallen; im Zweifel sollte daher die Abstimmung mit der zuständigen Datenschutzaufsicht gesucht werden. Dies gilt auch, wenn die klassische Konstellation vorliegt, dass der eingesetzte Dienstleister mit Sitz in einem Drittstaat als „Processor“ agiert und deshalb die EU-Standardvertragsklauseln von 201052 zur Anwendung zu bringen sind. Darauf, dass bei einem in den USA belegenen Auftragnehmer derzeit auch bei Verwendung (hinreichender) EU-Standardvertragsklauseln rechtliche Restrisiken verbleiben, wurde in der Einführung bereits hingewiesen.53 48 Insbesondere bei der Auswertung unstrukturierter Daten empfiehlt sich in der Regel
das Vorgehen mittels einer Suchwort-/Suchdatenliste, um so für die Untersuchung irrelevantes Datenmaterial von vornherein aussondern zu können. Positive „Treffer“ werden bei diesem Vorgehen indexiert und anschließend im Detail analysiert und auf ihre Relevanz hin beurteilt. Dieses Vorgehen ist in datenschutzrechtlicher Hinsicht unbedingt zu empfehlen, um den Grundsätzen der Datenvermeidung und Datensparsamkeit (§ 3a BDSG) sowie dem Erforderlichkeitsgebot (§§ 32 Abs. 1, 28 Abs. 1 und 2 BDSG) zu genügen. Die Auswertung sonstiger Unterlagen umfasst Papierkalender, handschrift49 liche Notizen, papiergebundene Geschäftspost, Memoranden, Präsentationen, Tischvorlagen, Verträge etc. Solche Informationsquellen fallen nur dann unter das BDSG, wenn sie den Tatbestand der nicht automatisierten Datei (§ 1 Abs. 2 Nr. 3 Alt. 2 BDSG) erfüllen. Dies ist jedenfalls dann der Fall, wenn die fragliche Informationsquelle mehr als ein einziges Merkmal aufweist, mit dessen Hilfe in ihr enthaltene personenbezogene Informationen aufgefunden werden können (Reiter oder Inhalts- oder Stichwortverzeichnisse); daher gehört auch jede strukturierte Akte zu den unter das BDSG fallenden nicht automatisierten Dateien.54 Zu beachten ist
50 Gola/Schomerus, § 4c Rn 14. 51 Vgl. Ziff. II. 4 des Positionspapiers zum Beschluss der obersten Aufsichtsbehörden für den Datenschutz im nicht öffentlichen Bereich zum „Internationalen Datenverkehr“ v. 19./20.4.2007, abrufbar unter http://www.datenschutz-berlin.de/attachments/265/Internationaler_Datenverkehr_04_07. pdf?1181224162. 52 ABl. EG v. 12.2.2010, Nr. L 39/5. 53 Vgl. oben Rn 36. 54 Simitis/Simitis, § 1 Rn 73.
Behling/Hintze/Hülsberg/Meyer
A. Rechtlicher Rahmen und operatives Vorgehen
459
in diesem Zusammenhang, dass das BDSG gem. § 1 Abs. 2 Nr. 3 Alt. 2 BDSG nicht nur dann anwendbar ist, wenn die fraglichen Daten aus einer nicht automatisierten Datei stammen, sondern auch dann, wenn sie in einer solchen verarbeitet werden. Sind also papiergebundene Informationsquellen Gegenstand von Auswertungen, ist das BDSG jedenfalls dann anwendbar, wenn die entsprechenden personenbezogenen Informationen in eine strukturierte Akte überführt werden, was bei einem planmäßigen Vorgehen regelmäßig zu bejahen sein wird. Entsprechend sollte im Zweifel stets von der Anwendbarkeit des BDSG ausgegangen werden. Die Erfassung und Sicherung von elektronischen Daten und Papierakten setzt eine 50 sorgfältige Planung voraus, damit alle relevanten Daten und Akten – ggf. „auf einen Schlag“ – und unter möglichst geringer Beeinträchtigung des laufenden Geschäftsbetriebs gesichert werden können. Dabei sind verschiedene Aufbewahrungsorte wie – (persönliche) Büros, – verschlossene Behältnisse in den Büros (Schränke, Kassetten, Tresore u. ä.), – Sekretariate, – Privaträume, – Firmenwagen, – Dritte und Speichermedien wie – Laptop, PC, CD, DVD, Blu-ray etc., – Server (Mail, Sharepoint, Netzwerkfreigaben, Dateiserver), – Backup-Bänder, – Netzwerkkomponenten (Router, Firewall), – Zutrittssysteme, – Smartphones, Tablets, – einschließlich der im Sekretariat genutzten Speichermedien in Betracht zu ziehen. Allerdings darf eine Sicherung erst erfolgen, wenn die datenschutzrechtlichen und betriebsverfassungsrechtlichen Voraussetzungen hierfür geschaffen bzw. festgestellt worden sind. Hintergrund-Checks, d. h. Erhebungen über das persönliche und sachliche Umfeld 51 von Geschäfts-, Kooperations- und sonstigen Partnern, werden durchgeführt, um persönliche Verflechtungen der verdächtigten Personen und der involvierten Unternehmen feststellen zu können. Diese Maßnahmen dienen in der Regel dazu, weitere Ermittlungsansätze zu identifizieren. Hierbei gilt es wiederum, die datenschutzrechtlichen Anforderungen zu berücksichtigen, da nicht alle Informationen, die sich irgendwie verfügbar machen lassen, auch im Zuge eines Hintergrund-Checks erhoben werden dürfen. Die Leitlinie bildet dabei § 28 Abs. 1 S. 1 Nr. 3 BDSG, wonach Informationen aus allgemein zugänglichen Quellen weitestgehend frei genutzt werden dürfen. Von einer allgemein zugänglichen Quelle ist nicht mehr auszugehen, wenn
Behling/Hintze/Hülsberg/Meyer
460
Kapitel 9 Unternehmensinterne Ermittlungen datenschutzkonform ausgestalten
die fragliche Quelle nur einem abgegrenzten Personenkreis zugänglich ist.55 Zur Einordnung dient folgende Checkliste: Checkliste56 Frei zugängliche Daten sind: – Angaben in Massenmedien, wie Zeitungen, Rundfunk und Fernsehen; – über Internetseiten abrufbare Informationen, soweit diese nicht nur einem beschränkten Benutzerkreis zugänglich sind; – Informationen aus kommerziellen CD-ROM-Dateien, Lexika, Adress- und Telefonverzeichnissen, Dokumentationen, Ausstellungskatalogen und wissenschaftlichen Monographien und Flugblättern; – Angaben in Handels-, Vereins-, Genossenschafts-, Güterrechts-, Muster- und Schiffsregister; – über Social Media-Portale abrufbare personenbezogene Informationen, falls das Portal beruflichen Zwecken dient und die Einsicht in das fragliche Profil nicht beschränkt ist. Keine frei zugänglichen Daten sind: – Angaben in Registern, bei denen, wie beim Bundesverkehrs- oder Gewerbezentralregister, eine Einsichtnahme gesetzlich ausgeschlossen ist; – Angaben in Registern, bei denen der Informationszugang von einem „berechtigten Interesse“ des Auskunftssuchenden abhängig ist, etwa Grundbuch, Personenstandsbücher, Schuldnerverzeichnis und Melderegister; – Informationen aus geschlossenen Benutzergruppen im Internet; – Angaben in Social Media-Portalen, wenn diese nur privaten Zwecken dienen oder die Profileinsicht beschränkt ist. 52 Die Durchführung von Interviews (Befragungen) von unternehmensinternen und
-externen Personen ist ein zentrales Element unternehmensinterner Ermittlungen. Hierbei sollen Hinweise bewertet und eingeordnet und weitere Hinweise gewonnen werden. Insbesondere bei Interviews ist eine enge Abstimmung mit ggf. bereits eingeschalteten Strafverfolgungsbehörden oder sonst zuständigen Behörden unerlässlich, um die Gefahr einer Strafvereitelung/Zeugenbeeinflussung zu vermeiden. Für die Durchführung von Interviews mit unternehmensinternen Personen sind elementare Regeln, insbesondere aus (kollektiv-) arbeitsrechtlicher Sicht, zu beachten. In datenschutzrechtlicher Hinsicht bildet wiederum § 32 Abs. 1 S. 1 und 2 BDSG den Zulässigkeitsmaßstab. Insgesamt gilt es die aus § 33 Abs. 1 BDSG folgende Pflicht zu beachten, dass die 53 offene Ermittlung der verdeckten vorzugehen hat. Nur ausnahmsweise darf daher verdeckt gegen einen Beschäftigten ermittelt werden, dies namentlich dann, wenn anderenfalls der Ermittlungserfolg gefährdet wäre. Letzteres lässt sich insbesondere im Falle einer bestehenden Verdunkelungsgefahr bejahen. Dann lässt sich mit der Rechtsprechung ein Eingreifen des Ausnahmetatbestandes des § 33 Abs. 2 S. 1 Nr. 7b
55 Simitis/Simitis, § 28 Rn 151, 153. 56 Überwiegend nach Simitis/Simitis, § 28 Rn 151 ff.
Behling/Hintze/Hülsberg/Meyer
A. Rechtlicher Rahmen und operatives Vorgehen
461
BDSG bejahen, wonach solange von einer Offenlegung der mit den Ermittlungen einhergehenden Datenverarbeitungen abgesehen werden darf, bis die Ermittlungen abgeschlossen oder der Ermittlungserfolg durch die Offenlegung gegenüber dem Betroffenen nicht mehr gefährdet ist.57 Spätestens dann muss der Betroffene aber informiert werden. Dass ausnahmsweise überhaupt verdeckt ermittelt werden darf, muss bereits wegen der aus § 33 Abs. 2 S. 2 BDSG folgenden Dokumentationspflicht schriftlich festgehalten werden und sollte in diesem Zusammenhang auch kurz unter Darlegung der Sachlage begründet werden. Praxistipp Eine saubere und lückenlose schriftliche Dokumentation der vorgenommenen datenschutzrechtlichen Prüfungen und Bewertungen empfiehlt sich bei unternehmensinternen Ermittlungsmaßnahmen aber ohnehin. Denn Beschäftigte, die im Fokus unternehmensinterner Ermittlungen stehen, begehren nicht selten Rechtsschutz gegen den Arbeitgeber und rügen dabei häufig angebliche datenschutzrechtliche Verstöße. Dem kann am effektivsten mit einer hinreichenden datenschutzrechtlichen Dokumentation des Vorgehens begegnet werden. Diese sollte neben den ohnehin zu dokumentierenden konkreten Anhaltspunkten für eine Straftat, Ordnungswidrigkeit58 oder anderweitigen schweren arbeitsvertraglichen Verfehlung stets auch die vorgenommenen Interessenabwägungen belegen können. Auch sollte dokumentiert sein, dass Betriebsrat und Datenschutzbeauftragter ordnungsgemäß eingebunden wurden.
2. Herausgabe von Daten und Dokumenten Arbeitnehmer sind hinsichtlich dienstlicher Unterlagen und Arbeitsmittel nur Besitz- 54 diener des Arbeitgebers (§ 855 BGB) und müssen diese auf Verlangen des Arbeitgebers herausgeben (§ 667 BGB).59 Im Rahmen von unternehmensinternen Ermittlungen darf in zivilrechtlicher Hin- 55 sicht somit uneingeschränkt auf Akten und Unterlagen des Unternehmens zurückgegriffen werden, auch wenn diese von Mitarbeitern erstellt oder angelegt wurden. Wenn solche Dokumente allerdings personenbezogene Daten über Kunden, Beschäftigte oder sonstige Dritte enthalten, besteht die Befugnis zur Einsicht nur, soweit die Voraussetzungen des § 32 Abs. 1 BDSG bzw. § 28 Abs. 1 BDSG erfüllt sind. Bezüglich privater oder persönlicher Dokumente ist der Zugriff durch den Arbeitgeber regelmäßig verwehrt, soweit der Intimbereich des Beschäftigten oder Dritten betroffen ist.60 Außerhalb dessen ist ein Zugriff insbesondere dann zulässig, wenn ein konkre-
57 Vgl. OLG Köln, Urt. v. 3.8.2012 – 20 U 98/12 – BeckRS 2013, 02338. 58 Dass auch unternehmensintern wegen bloßer Ordnungswidrigkeiten ermittelt werden darf, ist wegen § 32 Abs. 1 S. 2 BDSG nicht unumstritten. Die wohl h. M. bejaht dies allerdings, vgl. Kap. 6 Rn 46, ferner Behling, CB 2013, 265, 267 m. w. N. 59 MüKo-BGB/Joost, § 855 Rn 9; Hümmerich/Boecken/Düwell/Kloppenburg, § 58 ArbGG Rn 54. 60 Vgl. Simitis/Scholz, § 6b Rn 99.
Behling/Hintze/Hülsberg/Meyer
462
Kapitel 9 Unternehmensinterne Ermittlungen datenschutzkonform ausgestalten
ter Verdacht einer Straftat61 oder einer erheblichen Vertragsverletzung62 vorliegt und ein hinreichender Erkenntnisgewinn nicht auf anderem, weniger eingriffsintensivem Wege erzielt werden kann. Auch bei Vorliegen konkreter Anhaltspunkte für eine beschäftigungsbezogene Ordnungswidrigkeit (z. B. für einen kartellrechtlichen Verstoß) darf gegen Beschäftigte bei Vorliegen der übrigen in § 32 Abs. 1 S. 2 BDSG genannten Voraussetzungen nach umstrittener, aber wohl herrschender Meinung ermittelt werden.63 Die Kenntnisnahme vom Inhalt von Schriftstücken wird nicht stets dadurch 56 unzulässig, dass diese in verschlossenen Behältnissen aufbewahrt werden. § 202 Abs. 2 StGB verhindert nur die unbefugte Einsicht in derart verwahrte Dokumente;64 wenn aber dem Arbeitgeber ein Recht zur Einsichtnahme zusteht, ist die Aufbewahrung auch in verschlossenen Behältnissen unerheblich65 – der Arbeitgeber darf auch Schreibtischschubladen und Schränke aufbrechen, um an diese Schriftstücke zu gelangen, sofern die damit verbundene Sachbeschädigung sich auf seine eigenen Gegenstände beschränkt. Sofern ein Beschäftigter in eigenen Behältnissen, beispielsweise einer Kassette, Unterlagen aufbewahrt, die der Arbeitgeber einzusehen berechtigt ist, darf ein solches Behältnis bei Notwehr, Notstand oder Selbsthilfe nur zerstört werden, sofern obrigkeitsstaatliche Hilfe nicht rechtzeitig zu erlangen ist, §§ 227 ff. BGB. Dies wird bei wirtschaftskriminellen Delikten wie z. B. Bestechung im geschäftlichen Verkehr, Untreue oder Unterschlagung jedoch kaum jemals der Fall sein. Praxistipp Vor jedem Zugriff auf unternehmenseigene Daten im Rahmen unternehmensinterner Untersuchungen ist eine Prognose vorzunehmen, welche Art von Daten vorgefunden werden wird – sach-/unternehmensbezogene, personenbezogene, private, die Intimsphäre betreffende bzw. Mischformen. Entsprechend sind dann Art und Weise sowie der Umfang des Zugriffs hinreichend dokumentiert festzulegen.
3. Durchführung von Hintergrund-Checks
57 Zu den möglichen Informationsquellen von Hintergrund-Checks zählen Internet-
Suchmaschinen, wobei neben den bekannten Suchmaschinen in der Regel auch Meta-Suchmaschinen eingesetzt werden und – bei bestehendem Auslandsbezug – auch Abfragen in Landessprache erforderlich sind. Dass das Internet wegen § 28
61 ErfK/Franzen, § 32 Rn 31 f. 62 Gola/Schomerus, § 32 Rn 15. 63 Vgl. Kap. 6 Rn 46; ferner Behling, CB 2013, 265, 267 m. w. N. 64 Schönke/Schröder/Lenckner/Eisele, § 202 Rn 12. 65 Vgl. MüKo-StGB/Graf, § 202 Rn 18.
Behling/Hintze/Hülsberg/Meyer
A. Rechtlicher Rahmen und operatives Vorgehen
463
Abs. 3 S. 1 Nr. 3 BDSG grundsätzlich als taugliche Informationsquelle in datenschutzrechtlicher Hinsicht in Betracht kommt, wurde bereits dargelegt.66 Daneben kommen öffentlich zugängliche Datenbanken in Betracht; neben Com- 58 pliance-Datenbanken kann dabei auch auf allgemeine Wirtschafts- und Unternehmensdatenbanken zurückgegriffen werden. Ohne Anspruch auf Vollständigkeit seien hier folgende gebräuchliche Datenbanken beispielhaft aufgeführt: Amadeus, Creditreform, DJX (Dow Jones), Dun & Bradstreet, Orbis, World Check, World Compliance und Lexis Nexis. Soweit lediglich unternehmensbezogene personenbezogene Daten aus diesen Datenbanken gewonnen werden (z. B. Angaben zur Person des Geschäftsführers oder zu den Mitgliedern des Vorstandes etc.) dürften diese Datenbanken ebenfalls als allgemein zugängliche Quellen i. S. v. § 28 Abs. 1 S. 1 Nr. 3 BDSG zu qualifizieren sein bzw. jedenfalls keinen wesentlich anderen datenschutzrechtlichen Bewertungen als allgemein zugängliche Quellen unterliegen. Letzteres liegt darin begründet, dass sich diese Datenbanken ihrerseits regelmäßig aus allgemein zugänglichen Quellen wie Handelsregistern und veröffentlichen Jahresabschlussberichten speisen. Über die Auswertung des Internets und von Datenbanken hinaus kann auch 59 die Abfrage investigativer Journalisten oder die Durchführung eigener Vor-OrtRecherchen infrage kommen. In datenschutzrechtlicher Hinsicht ist insoweit allerdings ein restriktives Vorgehen zu empfehlen, da sich diese Maßnahmen in der Regel am im Vergleich zu § 28 Abs. 3 S. 1 Nr. 3 BDSG wesentlich strengeren § 32 Abs. 1 S. 2 BDSG messen lassen müssen. Hier empfiehlt sich daher, im Vorfeld stets eine dezidierte datenschutzrechtliche Zulässigkeitsprüfung vorzunehmen. Auch wird oftmals in sozialen Netzwerken wie LinkedIn, XING, Facebook etc. 60 nach Hinweisen auf persönliches Fehlverhalten verdächtigter Personen sowie nach persönlichen Beziehungen geforscht, die im Untersuchungszusammenhang von Bedeutung sein können. Die Recherche in solchen Netzwerken, die, wie ausgeführt,67 nur eingeschränkt allgemein zugängliche Informationen enthalten, ist regelmäßig zumindest dann rechtlich unproblematisch, wenn es sich um Netzwerke mit einer beruflichen Ausrichtung handelt (wie XING oder LinkedIn), auch wenn diese einen Registrierungsprozess vorsehen; hier ist davon auszugehen, dass jedes Mitglied gerade wegen der beworbenen Reichweite dort vertreten ist.68 Etwas anderes gilt richtigerweise, wenn die Einsichtnahme in einzelne Benutzerprofile beschränkt ist, etwa weil der Betroffene seine Angaben nur bestimmten Mitgliedern, meist seinen eigenen Kontakten, freigegeben hat. Hier steht das Direkterhebungsgebot grundsätzlich einer Erhebung dieser Daten bei Kontakten des Betroffenen entgegen und darf allenfalls in besonders gelagerten Einzelfällen, wie z. B. der Vereitelung des Erhe-
66 Vgl. oben Rn 51, Checkliste. 67 Vgl. oben Rn 51, Checkliste. 68 Hoeren/Sieber/Holznagel/Solmecke, Teil 21.1 Rn 45; vgl. auch Kap. 8 Rn 88 ff., 157.
Behling/Hintze/Hülsberg/Meyer
464
Kapitel 9 Unternehmensinterne Ermittlungen datenschutzkonform ausgestalten
bungszwecks, bei einer entsprechenden Interessenlage des Arbeitsgebers gem. § 32 Abs. 1 S. 2 BDSG erfolgen. Bezüglich Facebook u. ä. fehlt es wegen des fehlenden beruflichen Bezugs regel61 mäßig an der Erforderlichkeit der Datenerhebung für den Ermittlungszweck, sodass solche sozialen Netzwerke als Informationsquelle in der Regel ausscheiden müssen.69
62
63 64
65
4. Durchführung von Interviews a) Auskunftspflicht im Interview Ein Arbeitnehmer hat gegenüber seinem Arbeitgeber bzw. dessen Vertretern (Geschäftsführer, Vorstände, Personalleiter, sonstige Vorgesetzte) grundsätzlich eine Auskunftspflicht.70 Ebenso besteht diese Pflicht gegenüber vom Arbeitgeber eingesetzten externen Ermittlern im Rahmen einer unternehmensinternen Ermittlung.71 Die Auskunftspflicht besteht auch nach Beendigung des Arbeitsverhältnisses fort.72 Hinsichtlich des Umfangs der Auskunftspflicht gilt es zu unterscheiden: Im Rahmen der dem Arbeitnehmer persönlich zugewiesenen Aufgaben besteht eine umfassende gesetzliche Unterrichtungspflicht gem. §§ 666, 675 BGB. Er muss somit auf unmittelbar mit seinem Arbeitsbereich zusammenhängende Fragen uneingeschränkt antworten.73 Dies umfasst Auskünfte zu allen Vorgängen, die im Zusammenhang mit seiner Tätigkeit im Unternehmen stehen. Die Auskunftspflicht besteht in diesem Bereich auch dann, wenn der Arbeitnehmer bei wahrheitsgemäßer Beantwortung der Frage sich selbst oder Dritte einer strafbaren Handlung bezichtigen muss.74 Ein Recht auf Aussageverweigerung (wie im Strafprozess) gibt es somit nicht, da die Strafprozessordnung auf unternehmensinterne Ermittlungen keine Anwendung findet. Gehen die Fragen über den direkten Arbeitsbereich hinaus, ist der Arbeitnehmer ebenfalls auskunftspflichtig (z. B. zu Vorgängen, welche er im Rahmen seiner Tätigkeit für das Unternehmen erfahren hat). Die Auskunftspflicht folgt hier aus der arbeitsvertraglichen Treuepflicht gem. § 242 BGB. Im Unterschied zu den Fragen, die den unmittelbaren Arbeitsbereich betreffen, gibt es hier jedoch Einschränkungen der Auskunftspflicht, da die Interessen des Arbeitnehmers im Rahmen einer Abwägung berücksichtigt werden müssen; allerdings muss zumindest bei der Gefahr eines Personen- oder eines schweren Sach- bzw. Vermögensschadens der Arbeitnehmer diese dem Arbeitgeber anzeigen.75
69 Schröder, Kap. 3, 1. gg). 70 Sehr lehrreich: BAG NZA 1996, 637, 638. 71 Göpfert/Merten/Siegrist, NJW 2008, 1703, 1706. 72 MünchArbR/Oetker, § 11 Rn 114. 73 Küttner/Kreitner, Auskunftspflichten Arbeitnehmer, Arbeitsrecht, Rn 34. 74 LAG Hamm, Urt. v. 3.3.2009 – 14 Sa 1689/08 – CCZ 2010, 237, 238. 75 BeckOK Arbeitsrecht/Joussen, § 611 BGB Rn 387.
Behling/Hintze/Hülsberg/Meyer
A. Rechtlicher Rahmen und operatives Vorgehen
465
Generell gilt, dass Arbeitnehmer in Führungspositionen in besonderem Maße 66 zur Mitwirkung verpflichtet sind, da es zu ihren Aufgaben gehört, nachgeordnete Mitarbeiter zu führen und zu überwachen.76 Da sie deshalb auch im besonderen Maße verpflichtet sind, drohende Schäden vom Unternehmen abzuwenden, kommt gerade für sie ein Auskunftsverweigerungsrecht nur ganz ausnahmsweise in Betracht. Auch wenn ein Arbeitnehmer ein Auskunftsverweigerungsrecht besitzt, hat er 67 keinesfalls ein Recht zur Lüge – es steht ihm demnach nur frei, die Frage entweder nicht oder wahrheitsgemäß zu beantworten.77
b) Beteiligung des Betriebsrats am Interview Der Arbeitnehmer hat grundsätzlich keinen Anspruch darauf, bei einem Interview 68 von einem Betriebsratsmitglied begleitet zu werden.78 Die in § 83 BetrVG aufgezählten Fälle, in denen der Mitarbeiter ein Mitglied des Betriebsrats hinzuziehen darf, sind bei einer unternehmensinternen Ermittlung in der Regel nicht einschlägig. Da den Betriebsratsmitgliedern kein Zeugnisverweigerungsrecht nach § 53 StPO zusteht, müssten diese bei Gericht oder der Staatsanwaltschaft umfassend über die Inhalte des Interviews aussagen und könnten somit zur größten Gefahr für die Interessen des betroffenen Arbeitnehmers werden.
c) Beteiligung eines Rechtsanwalts am Interview Der Arbeitgeber kann sich bei einem Interview durch (auch externe) Rechtsanwälte 69 vertreten lassen und muss den Arbeitnehmer hierüber auch nicht im Vorhinein informieren. Hingegen hat ein Arbeitnehmer im Rahmen einer Befragung durch den Arbeitge- 70 ber oder dessen Vertreter grundsätzlich kein Recht auf die Teilnahme eines Rechtsbeistands.79 Vor allem kann er keinen Ersatz der Kosten für eine solche Teilnahme verlangen. Allerdings soll unter dem Aspekt der Chancen- und Waffengleichheit sowie der Fürsorgepflicht die Anwesenheit eines eigenen Rechtsanwalts zugestanden werden, wenn auch der Arbeitgeber einen Rechtsanwalt hinzuzieht oder strafrechtliche Aspekte des Arbeitnehmers im Interview behandelt werden sollen. Dabei darf der Rechtsanwalt nur beratend zur Seite stehen. Der Mitarbeiter darf sich im Interview nicht von ihm vertreten lassen, da der Arbeitgeber verlangen kann, dass der Arbeitnehmer selbst das Gespräch führt. Wird dem Arbeitnehmer in den genannten Fällen die Hinzuziehung eines Rechtsanwalts gegen seinen ausdrücklichen Wunsch
76 Mengel, Kap. 4 Rn 19. 77 Lützeler/Müller-Sartori, CCZ 2011, 19, 20. 78 Lützeler/Müller-Sartori, CCZ 2011, 19, 21. 79 Mengel, Kap. 4 Rn 25.
Behling/Hintze/Hülsberg/Meyer
466
Kapitel 9 Unternehmensinterne Ermittlungen datenschutzkonform ausgestalten
verwehrt, kann ihm nicht vorgeworfen werden, er habe seine Auskunftspflichten unzulässig verletzt, wenn er eine Frage nicht sofort beantworten will.80 71 Sofern ein Rechtsbeistand für den Arbeitnehmer durch das Unternehmen beauftragt wird, muss beachtet werden, dass das Mandatsverhältnis technisch gesehen mit dem Unternehmen besteht. Daraus folgt, dass die Schweigepflicht des Rechtsanwalts und somit auch sein Schweigerecht gegenüber den staatlichen Stellen grundsätzlich zur Disposition der Unternehmensleitung stehen. Vertreten wird insbesondere im Zusammenhang mit Mandatierungen für 72 sog. Whistleblower-Hotlines, dass der Rechtsberatungsauftrag als Vertrag mit Schutzwirkung zugunsten Dritter, namentlich zugunsten des jeweiligen Whistle blowers, zu qualifizieren ist.81 In Bezug von Mandatierungen bei unternehmensinternen Ermittlungen ist dies aber wegen der stark widerstreitenden Interessenlagen von Arbeitgeber und Arbeitnehmer abzulehnen; hier dürfte von einer unmittelbaren Mandatsbeziehung zwischen Arbeitnehmer und Rechtsanwalt auszugehen sein. Entsprechend kann auch leicht die Situation entstehen, dass der vom Unternehmen beauftragte Rechtsanwalt (oder ein anderer Rechtsanwalt aus dessen Kanzlei) in eine Interessenkollision i. S. v. § 43a Abs. 4 BRAO gerät, weil er bzw. seine Kanzlei beide Parteien gleichzeitig vertritt. Abgesehen davon können sich in dieser Konstellation (ebenso wie bei Einschaltung des Syndikusanwalts) weitere Probleme im Bereich der Beschlagnahmefähigkeit und Beweisverwertung ergeben. Entsprechend empfiehlt es sich, dem Arbeitnehmer selbst die Wahl des Rechtsbeistandes einzuräumen. Der Arbeitgeber muss den Arbeitnehmer in jedem Fall nicht ausdrücklich auf die 73 Möglichkeit der Hinzuziehung eines Rechtsanwalts hinweisen. Anders stellt sich die Lage dar, wenn eine solche Hinweispflicht aus einer Betriebsvereinbarung folgt. Praxistipp Gerade externe Ermittler sollten sich vor der Durchführung von Interviews daher vergewissern, ob Betriebsvereinbarungen existieren, die das betreute Unternehmen dazu verpflichten, Arbeitnehmer vor einer Befragung auf die Möglichkeit der Hinzuziehung eines Rechtsanwaltes oder Betriebsratsmitglieds zu informieren, um die Verwertbarkeit der gewonnenen Erkenntnisse nicht zu gefährden.
d) Belehrungspflichten
74 Bei einer unternehmensinternen Ermittlung gibt es keine Pflicht zu einer formel-
len Belehrung (etwa wie die eines Beschuldigten im Strafverfahren). Der Arbeitgeber muss den Arbeitnehmer somit zu Beginn des Interviews nicht von sich aus über dessen Rechte aufklären. Ebenso wenig muss am Ende der Befragung eine Erlaubnis des Mitarbeiters zur weiteren Verwendung der gemachten Aussage eingeholt werden.
80 Lützeler/Müller-Sartori, CCZ 2011, 19, 22. 81 Becker, S. 21.
Behling/Hintze/Hülsberg/Meyer
A. Rechtlicher Rahmen und operatives Vorgehen
467
Wie zuvor erläutert, muss ein Arbeitnehmer grundsätzlich auch nicht auf die 75 Möglichkeit der Hinzuziehung eines Rechtsanwaltes oder Betriebsratsmitglieds hingewiesen oder bezüglich der Problematik von Auskunftsverweigerungsrechten im Arbeitsverhältnis aufgeklärt werden. Ebenso muss kein Hinweis dahingehend erfolgen, dass (strafrechtliche) Ermittlungsmaßnahmen gegen den Mitarbeiter durchgeführt werden (können). Fragt der Arbeitnehmer jedoch ausdrücklich nach seinen Rechten, sollte ein entsprechender Hinweis ergehen. Dagegen sollte der Befragte stets darauf hingewiesen werden, dass ihm keine 76 Vertraulichkeit hinsichtlich der von ihm gemachten Aussagen zugesichert werden kann. Ebenso ist der Betroffene darauf hinzuweisen, dass Informationen ggf. an staatliche Behörden weitergeleitet werden können.
e) Anfertigung von Aufzeichnungen/Datenerhebung Bei der Protokollierung des Interviews muss beachtet werden, dass das Recht am 77 eigenen Wort nicht verletzt werden darf. Eine (Tonband-) Aufzeichnung sowie deren Transkription, das Abspielen und Verbreiten der Aussage des Befragten bedürfen dessen Einwilligung (welche zu Beweiszwecken auch schriftlich festgehalten oder mit aufgezeichnet werden sollte). Anderenfalls wäre der Straftatbestand des § 201 Abs. 1 StGB (Verletzung der Vertraulichkeit des Wortes) erfüllt. Um insoweit auch die datenschutzrechtlichen Anforderungen mit abzudecken, sollte die Einwilligung dabei auch den Anforderungen der §§ 4, 4a BDSG genügen. Entsprechend gilt wiederum, dass eine Gestaltung zu wählen ist, die die Freiwilligkeit der Einwilligungserklärung trotz der Besonderheiten im Beschäftigungsverhältnis82 sicherstellt.83 Notizen und Gesprächszusammenfassungen, welche Verlauf und Inhalt des 78 Gesprächs erfassen, sind zulässig.84 Mit Blick auf § 32 Abs. 1 S. 2 BDSG müssen diese aber auch erforderlich sein, mithin zur Förderung des Untersuchungszwecks dienlich. Ist diese Anforderung erfüllt, kann der Betroffene nicht verlangen, entsprechende Aufzeichnungen zu unterlassen. Ein Gegenzeichnen des Protokolls durch den Befragten ist nicht notwendig. Es besteht dann auch die Gefahr, dass eine Kenntnisnahme oder gar Genehmigung durch den Befragten dazu führt, dass die Aufzeichnungen ihm gegenüber als selbstständige Beweismittel gelten. Praxistipp Es sollte daher auch im Interesse des Mitarbeiters liegen, auf eine solche Bestätigung des Protokolls zu verzichten. Stattdessen empfiehlt es sich, das Protokoll durch den/die Interviewer gegenzeichnen
82 So wird die Möglichkeit von freiwilligen Einwilligungserklärungen im Beschäftigungsverhältnis per se angezweifelt, vgl. etwa BeckOK Arbeitsrecht/Kühling, § 4a Rn 65 m. w. N. 83 Vgl. dazu oben Rn 26. 84 Lützeler/Müller-Sartori, CCZ 2011, 19, 23.
Behling/Hintze/Hülsberg/Meyer
468
Kapitel 9 Unternehmensinterne Ermittlungen datenschutzkonform ausgestalten
zu lassen, wobei aus Dokumentationszwecken auch Angaben zu Beginn und Ende der Befragung sowie zu eventuellen Unterbrechungen gemacht werden sollten.
f) Aushändigung von Aufzeichnungen/Einsichtsrecht des Arbeitnehmers
79 Die Aufzeichnungen aus den Gesprächen (bzw. Kopien hiervon) müssen den Mit-
arbeitern nicht ausgehändigt werden. Sofern die erstellten Unterlagen zusätzlich Daten anderer Beschäftigten enthalten, scheidet dies häufig schon aus datenschutzrechtlichen Gründen aus. Nicht geklärt ist, ob und inwieweit der Befragte Einsichtsrechte geltend machen kann. Der Arbeitnehmer hat gem. § 83 Abs. 1 BetrVG ein Recht auf Einsicht in seine Personalakte. Dazu gehören alle Urkunden und Vorgänge, die die persönlichen und dienstlichen Verhältnisse des Arbeitnehmers betreffen. Ob Befragungsprotokolle hiervon umfasst sind, ist umstritten.85 In jedem Fall dürfte dem befragten Mitarbeiter jedoch eine Einsicht in die Pro80 tokolle bis zum Abschluss der unternehmensinternen Ermittlung verwehrt werden können. So dürfte dem Arbeitgeber ein Leistungsverweigerungsrecht (§ 242 BGB) zustehen, da dieses Vorgehen dem Mitarbeiter in der Regel zumutbar ist und seine Rechte nicht unverhältnismäßig einschränkt werden, zumal anderenfalls auch die Gefährdung des Ermittlungszwecks zu befürchten wäre. Insgesamt gilt, dass ein Arbeitnehmer eventuelle Einsichtsrechte naturgemäß 81 nur gegenüber seinem Arbeitgeber geltend machen kann. Entsprechend können sie sich auch nur auf Unterlagen beziehen, die dem Unternehmen vorliegen. Ein Einsichtsrecht in die Unterlagen eines – beispielsweise für den Arbeitgeber ermittelnden – Dritten besteht folglich nicht. Hier wird in praxi aber oftmals freiwillig eine Einsicht gewährt, um Aussagen abzusichern und auch, um den Betriebsfrieden zu wahren. Dies gilt jedenfalls dann, wenn solche Unterlagen nicht ihrerseits Informationen enthalten, deren Weitergabe aus datenschutzrechtlichen Gründen ausscheiden muss.
g) Beweisverwertung im Strafverfahren/Interviews im Beisein staatlicher Ermittler 82 Ein beschuldigter Arbeitnehmer muss beim Interview im Rahmen einer unternehmensinternen Ermittlung umfassend aussagen und sich unter Umständen auch selbst belasten. Gegenüber der Staatsanwaltschaft und vor Gericht hat er jedoch ein Aussageverweigerungsrecht. Durch die Beschlagnahme oder die freiwillige Weitergabe von Interviewprotokollen durch bzw. an die Strafverfolgungsbehörden entsteht das Problem, dass die Staatsanwaltschaft über einen Umweg an Aussagen des Beschuldigten gelangt, welche dieser ihr gegenüber hätte verweigern dürfen. Aus diesem
85 Zum Streitstand: Fritz/Nolden, CCZ 2010, 170, 177.
Behling/Hintze/Hülsberg/Meyer
A. Rechtlicher Rahmen und operatives Vorgehen
469
Grund ist es umstritten, ob die Protokolle im Strafverfahren verwertet werden dürfen.86 Rechtlich isoliert betrachtet ist eine solche Beweiserhebung nicht zu beanstan- 83 den und die Vorschriften der Strafprozessordnung stehen einer Beweisverwertung nicht entgegen. Jedoch nehmen viele Stimmen in Literatur und Zivilrechtsprechung ein Beweisverwertungsverbot an.87 Dies wird damit begründet, dass anderenfalls das Recht auf ein faires Verfahren verletzt sei. Aufgrund des Schweigerechts des Arbeitnehmers gegenüber staatlichen Ermitt- 84 lungsbehörden erscheint es jedoch fraglich, ob es sinnvoll ist, dass private oder unternehmensinterne Ermittler und staatliche Ermittlungsbehörden gemeinsam ein Interview führen, da das dem Beschuldigten gegenüber den Strafverfolgungsbehörden zustehende Aussageverweigerungsrecht nicht über die arbeitsvertragliche Auskunftsverpflichtung ausgehöhlt werden kann. Den privaten Ermittlern könnten durch dieses Schweigerecht unter Umständen wertvolle Hinweise verloren gehen, sodass sich ein Interview im Beisein von staatlichen Ermittlungsbehörden im Regelfall nicht empfiehlt.
5. Analyse von IT-Ressourcen und Mobile Devices Im Rahmen unternehmensinterner Ermittlungen stellen der dienstliche Personal 85 Computer (Desktop oder Laptop, kurz „PC“) und dienstliche „Mobile Devices“ (Smartphones, USB-Sticks oder externe Festplatten) des Betroffenen eine grundlegende Informationsquelle dar. Diese sind im Rahmen unternehmensinterner Ermittlungen daher regelmäßig Gegenstand forensischer Auswertungen. Hierbei gilt es Folgendes zu beachten:
a) Vorbereitung und Ausgangslage aa) Einzel-PCs Ein PC wird typischerweise von einer Person im Unternehmen für dienstliche Zwecke 86 genutzt und enthält daher Dateien aus der täglichen Benutzung z. B. eines OfficePaketes. Hinzu kommt die Kommunikation über ein E-Mail-System. Weiterhin wird der PC zum Surfen im Internet eingesetzt. Dabei werden sowohl Seiten mit redaktionellen Inhalten abgerufen als auch solche mit sog. User-generated Content angesteuert. Und letztlich befinden sich auf dem PC auch Installationen von Programmen zur Sachbearbeitung, die von der IT-Abteilung gesondert eingerichtet wurden. Zu nennen sind insoweit etwa eine softwarebasierte Finanzbuchhaltung oder Materialwirtschaft
86 Zum Streitstand: Haefcke, CCZ 2014, 39, 41 f. 87 Vgl. Darstellung bei LG Hamburg, NZWiSt 2012, 26, 27 f. m. Anm. Schuster (auch zum neuen § 160a StPO).
Behling/Hintze/Hülsberg/Meyer
470
Kapitel 9 Unternehmensinterne Ermittlungen datenschutzkonform ausgestalten
oder eine spezielle Branchenlösung für den speziellen Geschäftszweck des Unternehmens. Die Gesamtheit der Nutzung hinterlässt auf einem PC zahlreiche Nutzungsspu87 ren, sowohl in unmittelbar sichtbarer Form, z. B. als selbst angefertigte Dateien oder E-Mail-Nachrichten, als auch verborgen im System. Dazu zählt u. a. die umfangreiche Historie des Nutzungsverhaltens mit allen An- und Abmeldungen im System, die Liste aller angesteuerten Internetseiten, Spuren von Eintragungen dort, Reste von gelöschten Daten usw. Aus Gründen der Verfahrenssicherheit ist es vorteilhaft, wenn ein zu sichernder 88 PC in ausgeschaltetem Zustand vorgefunden wird. Ist er noch in Betrieb, so ist individuell die Frage zu klären, ob diejenigen Vorteile überwiegen, die dafür sprechen, ihn herunterzufahren, oder ob jene Vorteile überwiegen, ihn in laufendem Zustand zu sichern. So kommen seit dem verstärkten Einsatz von Internet-basierten Diensten auch webbasierte Speicherplätze (sog. Cloud-Storage), E-Mail-Programme, OfficeAnwendungen (z. B. Google Enterprise Docs oder Microsoft 365) sowie Chat- oder Videotelefonie-Anwendungen (z. B. Skype, Citrix GotoMeeting, Webex) als Ablageorte von Informationen in Betracht, die ggf. nur im eingeschalteten Zustand verfügbar gemacht werden können. Grundsätzlich ist die handwerklich korrekte, richtig dokumentierte und letztlich 89 gerichtsfeste Sicherung der Daten eines PCs die Elementarfunktionalität der ITForensik. Andere Tätigkeiten bauen darauf auf. Jede professionell agierende ForensikAbteilung wird ausgebildete IT-Forensik-Spezialisten für diese Tätigkeit bereithalten.
bb) Mehrere Beteiligte
90 Klassische Praxisbeispiele zeigen, dass die Notwendigkeit der Sicherung eines einzel-
nen PCs häufig auf dem Handeln von Einzeltätern beruht, die sich ein Handlungsmuster zurechtgelegt haben, in dem sie ohne weitere interne Beteiligte agieren können. Allerdings sind viele betriebliche Prozesse so gestaltet, dass das Betrugsmuster erst durch ein Zusammenwirken von zwei oder mehreren Tätern erfolgreich durchgeführt werden kann. Vielleicht zwingt die Sachanwendung etwa zum Vier-Augen-Prinzip oder einer der Beteiligten hat nur Berechtigungen zur Veränderung von Stammdaten, kann aber keine Bestellungen eingeben, während ein anderer Beteiligter nur Bestellungen erfassen, aber keine Zahlungswege verändern kann. Es ist die Aufgabe des Prozessdesigns, das interne Kontrollsystem so zu kons91 truieren, dass wesentliche Fehler oder Manipulationen von einer Einzelperson nicht unentdeckt begangen werden können. Und es ist die Aufgabe der Internen Revision, die Güte des Prozessdesigns und der tatsächlichen Anwendung zu überprüfen und Hinweise zu geben, wo der erwünschte Reifegrad nicht erreicht wird. In der Praxis der forensischen Analyse weiß man zu Anfang der Untersuchung 92 noch nicht, wie viele Beteiligte oder zumindest duldende Mitwisser es gibt. Eine
Behling/Hintze/Hülsberg/Meyer
A. Rechtlicher Rahmen und operatives Vorgehen
471
wesentliche Aufgabe der Untersuchung ist es, herauszufinden, wer in welcher Form beteiligt war oder die infrage stehenden Taten ggf. geduldet hat. Daher ist vor der Beweismittelsicherung gründlich zu klären, welche Betriebs- 93 mittel in die Untersuchung mit einbezogen werden müssen. Bei einer professionell durchgeführten Beweismittelsicherung dürfen die betroffenen Personen ggf. nicht bemerken, dass ihre PCs gesichert worden sind. Dies gilt jedenfalls dann, wenn die Ermittlungen dem jeweils Betroffenen nicht gem. § 33 Abs. 1 BDSG von vornherein offenzulegen sind. Wie ausgeführt ist dies nur dann nicht der Fall, wenn bei einer Offenlegung der Untersuchungserfolg gefährdet würde; dann darf unter Heranziehung von § 33 Abs. 2 Nr. 7b BDSG auch verdeckt operiert werden.88 Ist dies der Fall, so ist sicherzustellen, dass die Betroffenen nicht bemerken, dass 94 ihre PCs gesichert wurden, was sich dann auch deshalb empfiehlt, um später noch eine weitere Sicherung durchführen zu können. Stehen mögliche Datenlöschungen infrage, ist ein Rückgriff auf Sicherungen („Backups“) von File- und E-Mail-Servern in Betracht zu ziehen. Zu beachten ist allerdings, dass der Zugriff auf Backups denselben rechtlichen Restriktionen unterliegt wie der Zugriff auf das Quellmedium selbst, also z. B. auf den mit dem Backup gesicherten Server. Geht man mit der wohl noch herrschenden Meinung im Schrifttum davon aus, dass ein E-Mail-Server dem Fernmeldegeheimnis aus §§ 88 TKG, 206 StGB unterliegt, wenn in einem Unternehmen die private E-Mail-Nutzung zumindest geduldet ist, erstreckt sich dieses daher auch auf die entsprechenden Backups, sodass sich ein Zugriff dann als rechtlich risikobehaftet darstellt. Wegen § 31 BDSG gilt mit der jüngsten Rechtsprechung überdies, dass ein Zugriff auf Backups per se ausscheidet, wenn diese ausschließlich der Datensicherung gewidmet sind.89 Praxistipp Ob das Fernmeldegeheimnis im Beschäftigungsverhältnis überhaupt eine zu beachtende Größe darstellt, ist hoch umstritten. Eine im Vordringen befindliche Auffassung lehnt dies bereits ab. Wegen § 31 BDSG sollte in jedem Fall darauf geachtet werden, dass Backups auch für interne Ermittlungen gewidmet sind, und dies bereits bei Inbetriebnahme des Sicherungsprozesses.90 Hierzu empfiehlt sich eine entsprechende schriftliche Dokumentation.
Bis zu einer abschließenden Klarstellung durch den Gesetzgeber oder eine gesicherte höchstrichterliche Rechtsprechung empfiehlt sich deshalb ein restriktives Vorgehen mit flankierenden Maßnahmen zur Risikominimierung. Zu denken ist hier vor allem an Einwilligungserklärungen oder Betriebsvereinbarungen, die die Voraussetzungen sowie Art und Umfang eines E-Mail-Zugriffs regeln. Überdies empfiehlt es
88 Vgl. oben Rn 53. 89 Vgl. oben Kap. 1 Rn 33. 90 Vgl. auch Thüsing/Traut, § 9 Rn 34 ff.
Behling/Hintze/Hülsberg/Meyer
472
Kapitel 9 Unternehmensinterne Ermittlungen datenschutzkonform ausgestalten
sich, den Zugriff möglichst auf gelesene E-Mail-Nachrichten zu beschränken, da solche auch bei unterstelltem Eingreifen des Fernmeldegeheimnisses als weniger schutzwürdig angesehen werden.91
cc) Sonderfall: E-Discovery
95 Es wurde bereits an anderer Stelle ausführlich dargestellt, dass deutsche Unterneh-
men im Rahmen von gerichtlichen Verfahren in den USA und anderen Common-LawStaaten verpflichtet sein können, an einem sog. E-Discovery-Verfahren teilzunehmen. Letzteres verpflichtet die Parteien des Verfahrens dazu, in umfassender Art und Weise elektronisch gespeicherte Daten und Dokumente zur Ermittlung eines Sachverhaltes oder zur Beweisführung zusammenzustellen und zu übermitteln.92 In der Regel sind E-Discovery-Verfahren, zumindest die, von denen man in 96 Deutschland erfährt, von internationaler Ausdehnung und besonderer Größe, was die Anzahl der beteiligten Personen und das Datenvolumen anbelangt. Technisch gesehen ist eine E-Discovery zunächst einmal eine weltweite, simul97 tane, massiv wiederholte PC- und Datenanalyse. Hinzu kommt allerdings der erhebliche Koordinationsaufwand für die gleichzeitig stattfindenden Datensicherungen in mehreren Ländern, die Beachtung der dort jeweils gültigen Datenschutzvorschriften und die Bewältigung sehr großer Datenmengen. Herausfordernd ist auch der Zeitund Personalaufwand für die technische Nachbereitung und der Datentransport. Bei der Sicherung von Daten an mehreren Standorten ist die zeitliche und even98 tuell unterschiedliche juristische Dimension zu berücksichtigen. Ein zeitlicher Versatz zwischen Sicherungen an verschiedenen Standorten birgt ein großes Risiko hinsichtlich der Vollständigkeit der vorzufindenden Geräte und Daten.
Praxistipp Vor diesem Hintergrund ist es zweckmäßig, möglichst zeitgleiche Sicherungen vorzunehmen. Befinden sich die zu sichernden Standorte in unterschiedlichen Rechtsordnungen, ist separat zu klären, inwieweit die vorausgehende Beurteilung der Zulässigkeit der Maßnahme für die betroffenen Standorte angewendet werden kann, ob die Daten des einen Landes nach der Sicherung zur Auswertung in das andere Land verbracht werden dürfen93 und ob die eingesetzten Teams das Sicherungsverfahren gleichmäßig gut genug beherrschen, um später zu tragfähigen Aussagen über den gesamten Auswertungsbestand zu gelangen.
91 Vgl. zu alledem Kap. 6 Rn 26, Praxistipp, und Rn 48, Checkliste. 92 Vgl. hierzu Kap. 5 Rn 221. 93 Vgl. dazu wiederum Kap. 5 Rn 221 ff., 257.
Behling/Hintze/Hülsberg/Meyer
A. Rechtlicher Rahmen und operatives Vorgehen
473
b) Betroffene Datenarten als personenbezogene Daten Wie bereits ausgeführt wird bei der Gesamtheit der auswertbaren Daten zwischen sog. strukturierten Daten und unstrukturierten Daten unterschieden.94 Unter strukturierten Daten werden Daten aus Datenbanken verstanden, die eine innere Struktur haben, also einen Aufbau in Datenbanktabellen und Datensätzen mit stets gleichen Feldern. Eine Kundentabelle hat üblicherweise ein Feld für den Namen des Kunden und alle Datensätze der Tabelle weisen dieses Feld auf, in dem dann als Werteinhalt der Name des jeweiligen Kunden abgelegt ist. In der Regel gibt es dazu ein weiteres Feld für die Kundennummer, auf das aus einer anderen Tabelle verwiesen werden kann. Die Tabelle mit den Bestellungen verweist über die Kundennummer auf den Kunden, der eine Bestellung aufgegeben hat und es ist nicht erforderlich, mit jeder Bestellung die Kundendaten erneut und redundant zu erfassen. Dadurch werden innere Strukturen zwischen den Daten hergestellt. Dies führt zu effizienter Nutzung von Speicherplatz, vermeidet Abweichungen in Schreibweisen und ermöglicht erst die Auswertung der Datenbestände. Wenn alle Datenfelder so auf Tabellen verteilt sind, dass die Möglichkeiten der Querverweise optimal genutzt werden und nichts in redundanter Weise wiederholt wird, sowie die Komplexität der abzubildenden Realität hinreichend wiedergeben ist, spricht man von einer „normalisierten Form“, oder kürzer: Normalform. Im Gegensatz dazu ist der Aufbau der unstrukturierten Daten grundlegend anders. Hier überwiegen einzelne Dateien, die alle auch eine innere Struktur haben können, aber es gibt keine strikte Struktur mit sich wiederholenden Zeilen und keine strukturellen Verbindungen zwischen den Daten. In der Regel handelt es sich aber bei all diesen Datenarten um personenbezogene Daten i. S. v. § 3 Abs. 1 BDSG, da diese jedenfalls über die enthaltenden MetaInformationen Rückschlüsse auf einen einzelnen Nutzer zulassen. Dies ist allerdings nicht für jeden Zeitpunkt des Sicherungsprozesses festzustellen. Das gilt insbesondere dann nicht, wenn zunächst nur statistische Auffälligkeiten in Bestandsdaten ermittelt und ausgewertet werden und ein Rückschluss auf Einzelnutzerebene zu diesem Zeitpunkt (noch) nicht möglich ist. Zu beachten ist allerdings, dass ein Personenbezug bereits dann anzunehmen ist, wenn IT-seitig die Zuordnung einzelner Systemeingaben zu einer bestimmten, einem Mitarbeiter zugeordneten User-ID möglich ist. In diesem Fall ist die User-ID ein personenbezogenes Datum, das gemäß den Bestimmungen des BDSG zu behandeln ist. Dasselbe gilt für alle auf sie zurückführbaren Daten und Eingaben. Sobald ein Personenbezug besteht, unterfallen die entsprechenden Daten – einerlei ob als strukturierte oder unstrukturierte Daten – dem BDSG und dürfen daher nur erhoben, verarbeitet oder genutzt werden, wenn eine Rechtsvorschrift dies erlaubt oder der Betroffene eingewilligt hat, § 4 Abs. 1 BDSG. Daneben gilt es sowohl
94 Vgl. oben Rn 42, Checkliste.
Behling/Hintze/Hülsberg/Meyer
99 100
101
102
103
104
474
Kapitel 9 Unternehmensinterne Ermittlungen datenschutzkonform ausgestalten
unter Erforderlichkeitsaspekten (§§ 28 Abs. 1, 32 Abs. 1 BDSG) als auch wegen § 3a BDSG die Grundsätze der Datenvermeidung und Datensparsamkeit zu beachten. Daher sind stets so wenig personenbezogene Daten zum Gegenstand IT-forensischer Auswertungen zu machen, wie dies gemessen am Untersuchungszweck möglich und für das Unternehmen unter wirtschaftlichen Aspekten auch zumutbar ist. Bei der Auswertung unstrukturierter Daten ist allerdings weder die Anony105 misierung noch die Pseudonymisierung regelmäßig technisch realisierbar. Der Eingriff in jede einzelne Datei bei gleichzeitiger Gefährdung ihrer Authentizität ist mit dem Untersuchungszweck nicht vereinbar. Entsprechend ist insoweit stets ein Umgang mit Klardaten erforderlich. Ist eine solche Erforderlichkeit aber festzustellen, ist der Umgang mit Klardaten auch datenschutzrechtlich legitimiert, vorausgesetzt, die übrigen Verarbeitungsvoraussetzungen der §§ 28 Abs. 1, 32 Abs. 1 BDSG sind ebenfalls erfüllt. Entsprechend scheiden auch zielführende Analysen von E-Mail-Nachrichten 106 aus, wenn diese anonymisiert sind. Dies ist bei der Planung der Untersuchung und den Überlegungen zur rechtlichen Zulässigkeit der Datenanalyse zu berücksichtigen. Insbesondere lässt sich daher das Thema des möglicherweise eingreifenden Fernmeldegeheimnisses nicht technisch über eine Anonymisierung lösen.
c) Sicherstellung und technische Datenaufbereitung
107 Bei der Sicherung von PCs und mobilen Datenträgern, die in der Regel nur von einer
Person genutzt werden und die zum Zeitpunkt der Sicherung physisch zugänglich sind, ist eine forensische Sicherung durch zwei Personen und einen gut dokumentierten Sicherungsprozess üblich. Dieser sollte mit der unter datenschutzrechtlichen Aspekten sicherzustellenden Dokumentation korrespondieren.95 Der entsprechende Sicherungsprozess sieht naturgemäß anders aus, wenn Daten 108 aus gemeinschaftlich genutzten Systemen wie File- oder Mailservern extrahiert werden, die zum Zeitpunkt der Sicherung nur von Betriebspersonal des – häufig externen – Betreibers bedient werden können und die nicht in gleicher Weise physisch zugänglich sind wie ein PC oder Smartphone. Zumindest ist in letzterem Fall auch ein Sicherungsprotokoll anzufertigen, 109 das den gesicherten Bestand identifiziert und, wenn möglich, Prüfziffern über den gesicherten Bestand enthält. Prüfziffern (englisch: Hash Keys) sind mathematische Verfahren, die so ausgestaltet sind, dass jede Veränderung am Datenbestand bei der Neuberechnung zu einer anderen Prüfziffer führt. Damit wird die Authentizität und Veränderungsfreiheit der ursprünglichen Daten bewiesen. Zum Einsatz kommen häufig die Verfahren MD5 (Message Digest 5) oder SHA1 (Shamir 1). MD5 ist zwar
95 Vgl. dazu oben Rn 16, 53, Praxistipp, und 56, Praxistipp.
Behling/Hintze/Hülsberg/Meyer
A. Rechtlicher Rahmen und operatives Vorgehen
475
in letzter Zeit in der Funktion als Signaturalgorithmus in die Kritik geraten. Daraus erwächst aber in dieser Funktion keine Einschränkung. Nach der Sicherung einer größeren Anzahl an PCs, Serververzeichnissen und ggf. 110 zurückgespielten Sicherungsbändern werden die meisten Dateien in entsprechend häufiger Wiederholung vorliegen, sog. Dubletten. Falls der Gegenstand der Suche das Auffinden von Sachverhalten ist, sind weitere Kenntnisse über die Verteilung von Dubletten normalerweise nicht relevant. Sie können im zusammengeführten Durchsuchungsbestand (nicht auf den als Beweismittel zurückgehaltenen Kopien) gelöscht werden. Dies verringert das zu durchsuchende Volumen, was sich sowohl sehr günstig auf die Laufzeit der Suche als auch die Lizenzkosten für die Suchsoftware, die häufig nach Volumen abgerechnet wird, auswirkt. In datenschutzrechtlicher Hinsicht ist eine Löschung für den Untersuchungszweck nicht erforderlicher Dubletten sogar geboten, soweit diese für den Untersuchungszweck nicht mehr benötigt werden, § 35 Abs. 2 S. 1 Nr. 3 BDSG. Die als Beweismittel zurückgehaltenen Kopien der gesicherten Datenträger 111 dürfen indes auch mit Dubletten vorgehalten werden, da sie den – nötigenfalls gerichtlichen – Nachweis ermöglichen sollen, dass die ausgewerteten Daten im Rahmen der Untersuchung nicht verfälscht wurden. Für diesen Zweck sind sie entsprechend noch erforderlich und dürfen daher auch in datenschutzrechtlicher Hinsicht – bei Vorliegen der weiteren Verarbeitungsvoraussetzungen – weiter vorgehalten werden. Die entsprechenden Datenträger sollten aber unter entsprechender Anwendung von § 35 Abs. 3 BDSG zumindest gesperrt werden, wobei sich insoweit ein entsprechender Sperrvermerk auf der manipulationssicheren Sicherheitstasche empfiehlt, in der der jeweilige Datenträger üblicherweise eingelegt wird. Praxistipp In ermittlungstaktischer Hinsicht empfiehlt sich aber vor jedwedem Löschen von Dubletten die Frage zu klären, welche Dateien, die in älteren Beständen noch vorlagen, in neueren Beständen nicht mehr zu finden sind. Denn grundsätzlich neigen Menschen dazu, einmal gespeicherte Dateien eher nicht mehr zu löschen. Wenn Daten gleichwohl zwischenzeitlich gelöscht wurden, könnten diese mit Blick auf den Ermittlungserfolg besonders interessant sein. Daher empfiehlt es sich, eine sog. DifferenzAnalyse durchzuführen. Da diese den Untersuchungserfolg nach der kriminalistischen Erfahrung fördert, ist sie auch als erforderlich anzusehen und lässt sich – bei Vorliegen der übrigen Verarbeitungsvoraussetzungen – entsprechend über §§ 28 Abs. 1, 32 Abs. 1 BDSG legitimieren.
d) Entlöschen von Daten Den meisten PC-Nutzern ist inzwischen bekannt, dass eine Datei nach dem Löschen 112 und dem Leeren des Papierkorbes nicht sofort vom Betriebssystem zerstört wird. Tatsächlich markiert das Dateisystem, als Teil des Betriebssystems, nur den zuvor genutzten Platz auf dem Speichermedium als wieder frei verfügbar. Dort wird dieser dann gelegentlich überschrieben. Das kann bereits nach wenigen Augenblicken der Fall sein oder auch erst viel später oder gar nicht erfolgen. Das Überschreiben kann dabei Behling/Hintze/Hülsberg/Meyer
476
Kapitel 9 Unternehmensinterne Ermittlungen datenschutzkonform ausgestalten
teilweise oder vollständig sein, je nachdem wie viel freigewordener Platz bestand und wie viel Platz zum Speichern angefordert wurde. Deswegen ist das gezielte Suchen nach den Verzeichniseinträgen gelöschter Dateien sowie nach Fragmenten von ehemaligen Dateien eine wesentliche Tätigkeit bei der technischen Aufbereitung gesicherter Daten. Dies wiederum ist mit Blick auf den Untersuchungszweck in der Regel als erforderlich anzusehen und – bei Vorliegen der übrigen Verarbeitungsvoraussetzungen – entsprechend auch gem. §§ 28, 32 Abs. 1 BDSG erlaubt.
B. Zusammenfassende rechtliche Einordnung von Einzelermittlungsmaßnahmen 113 Zusammenfassend sind die verschiedenen Ermittlungs- und Compliance-Maß-
nahmen, die im Rahmen unternehmensinterner Ermittlung und sonstigen Compliance-Tätigkeiten zur Anwendung gelangen, straf- und/oder datenschutzrechtlich wie folgt zu bewerten:
I. Auswertung von Telefon-Verbindungsdaten (sog. Verkehrsdaten) 114 Bei der Auswertung von telefonischen Verkehrsdaten sind insbesondere die Beschrän-
kungen durch das Fernmeldegeheimnis nach § 88 Abs. 1 TKG zu beachten, das sich nach § 88 Abs. 1 TKG a. E. auch darauf erstreckt, ob „jemand an einem Telekommunikationsvorgang beteiligt ist oder war.“ Bei rein dienstlicher Nutzung von Telefonen im Unternehmen ist eine solche Auswertung allerdings regelmäßig – unter Beachtung von §§ 28 Abs. 1 S. 1 Nr. 1 und 2 oder Abs. 2 Nr. 1 BDSG bzw., sofern ein Beschäftigungsverhältnis vorliegt, § 32 BDSG – zulässig.96 Zu beachten ist allerdings, dass häufig bereits die Speicherung von telefonischen Verkehrsdaten unzulässig ist, da es nicht selten an der Erforderlichkeit für eine solche Speicherung fehlt; dann scheidet auch eine datenschutzkonforme Auswertung solcher Daten aus.97
II. Abhören/Mitschneiden von Telefonaten und Gesprächen in Büros, Besprechungsräumen und in Firmenwagen 115 Nur in den seltensten Fällen ist das heimliche Mitschneiden oder Abhören von Gesprä-
chen rechtlich zulässig. Es gilt die Vertraulichkeit des (gesprochenen) Wortes, die nach § 201 StGB strafrechtlich geschützt ist.
96 Fülbier/Splittgerber, NJW 2012, 1995, 1997. 97 Vgl. Kap. 6 Rn 63 f.
Behling/Hintze/Hülsberg/Meyer
B. Zusammenfassende rechtliche Einordnung von Einzelermittlungsmaßnahmen
477
Auch Äußerungen in Sitzungen oder gegenüber mehreren Kollegen gelten als nichtöffentlich und sind vom Schutz des § 201 StGB mit umfasst.98 Zwar können Rechtfertigungstatbestände wie Notwehr oder Notstand eingreifen – dies z. B., wenn eine nicht erwartbare Drohung ausgesprochen wird und diese spontan mit einem Mobiltelefon mitgeschnitten wird –, im Rahmen unternehmensinterner Ermittlungen dürften diese jedoch in der Regel eher nicht gegeben sein. Andererseits wird vertreten, dass eine notwehrähnliche Lage dann gegeben sein kann, wenn der Verdacht einer Straftat von erheblichem Gewicht infrage steht, die sich nicht anders als durch das Mithören eines Telefonats aufklären lässt.99 In jedem Falle empfiehlt sich die Konsultation eines möglichst im Straf- und Datenschutzrecht spezialisierten Rechtsanwaltes, bevor eine Abhörmaßnahme durchgeführt wird. Unter Verstoß gegen § 201 StGB gewonnene Beweise sind grundsätzlich nicht gerichtlich verwertbar, da diese Norm ausdrücklich die Vertraulichkeit des Wortes schützt, die durch eine gerichtliche Verwertung unterlaufen würde.100 Zu beachten ist, dass auch bei ausschließlich dienstlicher Nutzung von Firmentelefonen ein Mitschneiden von Telefonaten in der Regel unzulässig ist, da der Schutz der Vertraulichkeit des Wortes nach § 201 StGB nicht davon abhängt, ob die Privatnutzung gestattet bzw. geduldet ist oder nicht. Es kann davon ausgegangen werden, dass übliche Möglichkeiten, ein Gespräch mitzuhören, wie z. B. die Nutzung eines Zweittelefons, nicht als ein strafbewehrtes Abhören zu bewerten sind, weil anderenfalls die Strafbarkeit unstatthaft weit ausgedehnt werden würde.101 Nur nichtalltägliche technische Vorrichtungen, wie z. B. „Wanzen“, dürften daher dem Begriff des „Abhörgerätes“ gem. § 201 Abs. 2 Nr. 1 StGB unterfallen.102 Auch bei strafrechtlich unbedenklichem Mit- oder Abhören sind §§ 28 bzw. 32 BDSG zu beachten, was letztlich aus § 1 Abs. 3 S. 2 BDSG folgt. Selbst wenn ein Mitoder Abhören strafrechtlich erlaubt ist, ist dieses daher nur dann zulässig, wenn auch die datenschutzrechtlichen Voraussetzungen für ein Mit- oder Abhören erfüllt sind. Anderenfalls muss die Maßnahme trotz strafrechtlicher Neutralität gleichwohl unterbleiben. Sofern alle Teilnehmer einer Konversation wissen, dass ein Dritter mithört, scheidet eine Strafbarkeit regelmäßig aus. Eine Zustimmung, dass mitgehört wird, ist dann nicht erforderlich, da der Sprechende nur davor geschützt werden soll, dass ein Dritter heimlich mithört. Weiß jedoch der Sprechende, dass jemand Drittes
98 Vgl. MüKo-StGB/Graf, § 201 Rn 15. 99 Vgl. Kap. 6 Rn 62. 100 Vgl. aber MüKo-StGB/Graf, § 201 Rn 67. 101 BeckOK StGB/Heuchemer, § 201 Rn 11 m. w. N., str. 102 Schönke/Schröder/Lenckner/Eisele, § 201 Rn 19.
Behling/Hintze/Hülsberg/Meyer
116
117
118
119
120
121
478
Kapitel 9 Unternehmensinterne Ermittlungen datenschutzkonform ausgestalten
mithört, hat er es selbst in der Hand, sich durch Schweigen zu schützen; entscheidet er sich zu reden, ist dies normalerweise als (konkludente) Einwilligung anzusehen.103
III. Laufende E-Mail- und Netzwerküberwachung zur Erfassung weiterer Tatbestände 122 Eine permanente E-Mail-Überwachung scheitert insbesondere bei erlaubter oder
geduldeter Privatnutzung der dienstlichen E-Mail-Adressen mit der herrschenden Meinung im Schrifttum regelmäßig an telekommunikationsrechtlichen Vorgaben. Bei nur dienstlicher Nutzung der unternehmenseigenen E-Mail-Postfächer ist 123 die laufende Überwachung grundsätzlich zwar denkbar, dies aber nur dann, wenn die Erforderlichkeit i. S. d. §§ 28 Abs. 1, 32 Abs. 1 BDSG gegeben ist und der Überwachungsdruck für die Mitarbeiter das zulässige Maß nicht übersteigt. Zeitlich unbeschränkte Überwachungen stellen sich dabei datenschutzrechtlich als eher schwierig dar und bedürfen in jedem Falle einer dezidierten datenschutz- und strafrechtlichen Überprüfung.104 Dies gilt auch dann, wenn die E-Mail-Überwachung mittels sog. Compliance-Tools erfolgt, die den unternehmensinternen Netzwerkverkehr auf illegale Datenabflüsse, insbesondere auf den Verdacht des Verrats von Betriebsund Geschäftsgeheimnissen sowie auf korruptive Sachverhalte, hin überwachen. Auch wenn unbestritten ein starkes berechtigtes Interesse der Unternehmen an dem Einsatz solcher Tools besteht und Unternehmen unter Compliance-Aspekten ggf. sogar zu deren Einsatz angehalten sein können, darf hierdurch bei den Beschäftigten kein unverhältnismäßiger Dauerüberwachungsdruck entstehen.105 Dies lässt sich am besten durch Maßnahmen zur Datenvermeidung und Datensparsamkeit (§ 3a BDSG) realisieren. Insoweit sollte etwa der Ausschluss solcher Geschäftsbereiche von der Überwachung in Betracht gezogen werden, die weder für Korruption noch für rechtswidrige Informationsabflüsse in Betracht kommen.106 Als weitere risikominimierende Maßnahme sollte der Abschluss einer Betriebsvereinbarung in Betracht gezogen werden, die Art und Umfang der Nutzung entsprechender Compliance-Tools im Einzelnen regelt.
103 Kindhäuser/Neumann/Päffgen/Kargl, § 201 Rn 25. 104 Vgl. etwa zur Unzulässigkeit einer dauerhaften Videoüberwachung BAG, Beschl. v. 29.6.2004 – 1 ABR 21/03 – BAGE 111, 173. 105 Vgl. Moll/Dendorfer, § 35 Rn 240. 106 Vgl. Moll/Dendorfer, § 35 Rn 240.
Behling/Hintze/Hülsberg/Meyer
B. Zusammenfassende rechtliche Einordnung von Einzelermittlungsmaßnahmen
479
IV. Internetüberwachung, bei der aufgerufene Websites gelistet und rekonstruiert werden Auch hier kommt es darauf an, ob nur eine rein dienstliche Nutzung des Internets 124 zulässig ist und ob dies auch kontrolliert wird. Ist beides sichergestellt, ist die vollumfängliche Internetüberwachung rechtlich zulässig, wenn sich die Erforderlichkeit i. S. d. §§ 28 Abs. 1, 32 Abs. 1 bejahen lässt und kein unverhältnismäßiger Dauerüberwachungsdruck für die Beschäftigten entsteht. Insoweit gilt das zuvor zur Überwachung des E-Mail- und Netzwerkverkehrs Ausgeführte entsprechend.
V. Nutzung sog. Keylogger auf den Endgeräten von Verdächtigten Der Einsatz sog. Keylogger und vergleichbarer Tools ist darauf hin zu überprüfen, ob 125 dabei lediglich rein dienstliche Vorgänge überwacht werden oder ob auch private Handlungen von der Überwachung betroffen sein können. Bei einer ausschließlich dienstlichen Nutzung von Endgeräten sind technische Aufzeichnungen jeder Art zumindest telekommunikationsrechtlich unbedenklich. Können auch private Eingaben hierbei „mitgeschnitten“ werden, stellt sich die Maßnahme unter Verhältnismäßigkeitsaspekten (§§ 28 Abs. 1, 32 Abs. 1 BDSG) als eher schwierig dar und sollte daher bereits unter datenschutzrechtlichen Aspekten unterbleiben. Zu beachten ist weiter, dass jedes Ausspähen von Passwörtern, das sich bei 126 der Verwendung von „Keyloggern“ kaum ausschließen lässt, strafbar ist, dies jedenfalls dann, wenn sich diese Passwörter nicht ohnehin mit dem Administrator-Passwort für das jeweilige Endgerät umgehen lassen. Dasselbe gilt für die Verwendung solcher Passwörter, wenn dies ohne Einverständnis oder Einwilligung des Nutzers erfolgt und hierbei Daten eingesehen werden, die nicht für den Arbeitgeber bestimmt sind, §§ 202a, 202b, 202c StGB.107 Vor diesem Hintergrund sollte eine Verwendung von „Keyloggern“ und ähnlichen Tools nur in absoluten Ausnahmefällen überhaupt in Betracht gezogen werden, und dies auch nur dann, wenn sich eine notwehrähnliche Lage bejahen lässt. Dies sollte durch vorherige Konsultation eines Rechtsanwaltes verifiziert werden.
107 Str., zum Streitstand: MüKo-StGB/Graf, § 202a Rn 43.
Behling/Hintze/Hülsberg/Meyer
480
Kapitel 9 Unternehmensinterne Ermittlungen datenschutzkonform ausgestalten
VI. Videoüberwachung in nichtöffentlich zugänglichen Räumen 127 Eine ständige Videoüberwachung von Arbeitsplätzen ist unzulässig und kann nicht
als für die Durchführung eines Arbeitsverhältnisses nach § 32 Abs. 1 S. 1 BDSG erlaubt angesehen werden.108 Allenfalls eine zeitlich begrenzte Überwachung, die etwa zur Ermittlung eines Täters bei Diebstählen dient, kann erlaubt sein. In diesem Fall ist auch eine heimliche Videoüberwachung zulässig, die bislang allerdings nur im Sinne einer Ultima Ratios. Zum Intimbereich gehörende Orte, dazu gehören z. B. die Toiletten, dürfen unter keinen Umständen überwacht werden.109 Nach dem bereits seit Langem in der Diskussion befindlichen Entwurf eines Beschäftigtendatenschutzgesetzes ist die heimliche Videoüberwachung indes per se ausgeschlossen.110 Nicht als Arbeitsplätze zu qualifizierende Räume wie Lager, Flure oder Perso128 naleingänge dürfen hingegen auch dauerhaft kameraüberwacht sein, dies jedenfalls dann, wenn ein konkreter Grund für die Videoüberwachung vorliegt.111 Der Zulässigkeitsmaßstab folgt hierbei bezüglich Beschäftigte aus § 32 Abs. 1 S. 1 BDSG, im Übrigen aus § 28 Abs. 1 S. 1 Nr. 2 BDSG. Dabei ist die Videoüberwachung stets mitbestimmungspflichtig. Videoaufnahmen sind in der Regel spätestens nach drei bis fünf Tagen zu 129 löschen, wenn sie nicht mehr für den konkreten Zweck benötigt werden. Die Aufsichtsbehörden sehen eine Speicherungsdauer von grundsätzlich maximal 48 Stunden als zulässig an,112 was aber gerade für große Betriebsgelände oder in Zeiträumen längerer betriebsfreier Zeiten (z. B. Ostern, Weihnachten) in der Regel deutlich zu kurz bemessen ist. Denn bis etwaige Auffälligkeiten wie Diebstähle o. Ä. überhaupt entdeckt werden können, sind die vorgeschlagenen 48 Stunden häufig bereits vergangen. Arbeitstäglich jeweils das gesamte Videomaterial auf eventuelle Auffälligkeiten zu sichten, wie dies von den Aufsichtsbehörden vorgeschlagen wird, um die Einhaltung der 48-Stunden-Frist in jedem Falle sicherstellen zu können, ist in mit Blick auf den damit verbundenen Aufwand indes als unverhältnismäßig zu qualifizieren. Es ist deshalb zu begrüßen, dass auch die Aufsichtsbehörden im Einzelfall, insbesondere bei längeren betriebsfreien Zeiten, eine längere Speicherungsfrist für zulässig erachten.113
108 BAG, Beschl. v. 29.6.2004 – 1 ABR 21/03 – BAGE 111, 173. 109 Byers/Pracka, BB 2013, 760, 765. 110 Vgl. § 32f in dem „Entwurf eines Gesetzes zur Regelung des Beschäftigtendatenschutzes“, BTDrucks. 17/4230. 111 Simitis/Seifert, § 32 Rn 80. 112 Vgl. Orientierungshilfe „Videoüberwachung durch nicht-öffentliche Stellen“, Version 1.1, Stand: 19.2.2014, S. 12, abrufbar unter http://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2014/03/OH-V%C3 %9C-durch-nicht-%C3 %B6ffentliche-Stellen.pdf. 113 Vgl. Orientierungshilfe „Videoüberwachung durch nicht-öffentliche Stellen“, Version 1.1, Stand: 19.2.2014, S. 12, abrufbar unter http://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2014/03/OH-V%C3 %9C-durch-nicht-%C3 %B6ffentliche-Stellen.pdf.
Behling/Hintze/Hülsberg/Meyer
B. Zusammenfassende rechtliche Einordnung von Einzelermittlungsmaßnahmen
481
Werden die Aufnahmen indes zu Beweiszwecken noch benötigt, dürfen sie auch nach Auffassung der Aufsichtsbehörden über die Regelspeicherungszeit hinaus aufbewahrt werden.114
VII. Videoüberwachung in öffentlich zugänglichen Räumen Die Videoüberwachung öffentlich zugänglicher Räume wird in § 6b BDSG geregelt und ist bei nichtöffentlichen Stellen im Rahmen des Hausrechts und bei berechtigten Interessen für konkret festgelegte Zwecke zulässig, sofern nicht schutzwürdige Interessen der Betroffenen überwiegen. Das Hausrecht des Eigentümers, Mieters oder Pächters umfasst das Recht, das Betretungsrecht und die Benutzung der Räumlichkeit zu bestimmen sowie präventive und repressive Maßnahmen gegen Beeinträchtigungen zu ergreifen oder repressive Zwecke zu verfolgen.115 Auch hier ist der Intimbereich, wie etwa öffentlich zugängliche Toiletten, ausgenommen.116 Auf die Videoüberwachung ist hinzuweisen und die verantwortliche Stelle zu benennen. Eine Löschung ist vorzunehmen, wenn die Aufnahmen für den beabsichtigten Zweck nicht mehr benötigt werden, wobei nach Auffassung der Aufsichtsbehörden auch insoweit die grundsätzliche 48-Stunden-Frist maßgeblich sein soll.117 Im Übrigen gilt das zur Videoüberwachung von nicht öffentlich zugänglichen Räumen Ausgeführte entsprechend.
130
131
132
133
VIII. Standortüberwachung/Erstellen von Bewegungsprotokollen durch Technologien wie GPS, RFID und Standortdaten Häufig sind Beschäftigte bereits außerhalb von unternehmensinternen Ermittlun- 134 gen mit technischen Geräten ausgestattet, die eine Standortbestimmung zulassen oder Bewegungsprofile ermöglichen. Dies kann etwa zur Zugangskontrolle oder Koordinierung von Einsätzen durchaus zulässig sein, jedenfalls, wenn dies offen geschieht, nicht zu einer Dauerkontrolle der Arbeitsleistung führt und die Informa-
114 Vgl. Orientierungshilfe „Videoüberwachung durch nicht-öffentliche Stellen“, Version 1.1, Stand: 19.2.2014, S. 11, abrufbar unter http://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2014/03/OH-V%C3 %9C-durch-nicht-%C3 %B6ffentliche-Stellen.pdf. 115 Vgl. Simitis/Scholz, § 6b Rn 42. 116 Thüsing/Thüsing/Pötters, § 11 Rn 47. 117 Vgl. Orientierungshilfe „Videoüberwachung durch nicht-öffentliche Stellen“, Version 1.1, Stand: 19.2.2014, S. 12, abrufbar unter http://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2014/03/OH-V%C3 %9C-durch-nicht-%C3 %B6ffentliche-Stellen.pdf.
Behling/Hintze/Hülsberg/Meyer
482
Kapitel 9 Unternehmensinterne Ermittlungen datenschutzkonform ausgestalten
tionspflichten nach § 6c Abs. 1 BDSG, insbesondere über die Funktionsweise und die Art der zu verarbeitenden personenbezogenen Daten, erfüllt werden.118 135 Eine heimliche Überwachung mittels solcher technischen Geräte oder eine Zweckänderung der mit ihnen erfolgten Datenerhebung und -verarbeitung wegen der Ermittlung von dolosen Handlungen kann nach §§ 28 Abs. 1 S. 1 Nr. 2 oder § 32 BDSG im Einzelfall erlaubt sein. Wegen der hohen Eingriffsintensität wird dies regelmäßig aber nur dann in Betracht kommen, wenn es keine andere Möglichkeit gibt, Straftaten aufzuklären, wobei es zusätzlich auf eine positive Ergebnisprognose ankommt.119 Ein allgemeines Beweisführungsinteresse im Rahmen unternehmensinterner Ermittlungen genügt mit der Rechtsprechung des BGH120 für eine Standortüberwachung allerdings nicht. Sollen Standortdaten i. S. v. § 98 TKG erhoben und ausgewertet werden, sind 136 die Anforderungen dieser Vorschrift zu berücksichtigen.121 Eine Überwachung des Privatverhaltens muss in jedem Falle unterbleiben.122 137
IX. Detektiveinsatz 138 Der Einsatz von Privatdetektiven ist nach mittlerweile gefestigter Ansicht grundsätz-
lich zulässig.123 Wegen des damit verbundenen Eingriffs in das allgemeine Persönlichkeitsrecht muss aber zumindest eine schwere Pflichtverletzung im Arbeitsverhältnis vorliegen und der Verhältnismäßigkeitsgrundsatz beachtet werden. Sofern Detektive unter einer Legende im Unternehmen tätig werden, steht dem 139 Betriebsrat das Beteiligungsrecht nach § 99 BetrVG zu.
X. Fahrzeugregisterauskunft 140 Halterdaten aus dem Zentralen Fahrzeugregister dürfen an Private auf deren Antrag
hin nur im Zusammenhang mit Vorfällen im Straßenverkehr, mit Rechten am Fahrzeug oder aufgrund von Unterhaltsansprüchen übermittelt werden, § 39 StVG. Eine Recherche im Fahrzeugregister im Rahmen unternehmensinterner Ermittlungen scheidet somit aus.
118 Vogt, NJOZ 2009, 4206, 4012, vgl. auch Kap. 6 Rn 65. 119 Grobys/Panzer/Panzer/Heemeier, Mitarbeiterkontrolle Rn 11. 120 Urt. v. 4.6.2013 – 1 StR 32/13 – ZD 2013, 502, 508 (Abs. 89f). 121 Vgl. Kap. 6 Rn 65 ff. 122 Kap. 6 Rn 65. 123 Moll/Dendorfer, § 35 Rn 167.
Behling/Hintze/Hülsberg/Meyer
B. Zusammenfassende rechtliche Einordnung von Einzelermittlungsmaßnahmen
483
XI. Einsicht in Kontodaten und Kreditkartenabrechnungen Kontoinformationen, insbesondere Kontobewegungsdaten und -salden, unterliegen dem Bankgeheimnis, das gewohnheitsrechtlich anerkannt ist, eine Ausprägung des informationellen Persönlichkeitsrechts aus Art. 2 GG darstellt und den datenschutzrechtlichen Bestimmungen des BDSG nach zuzustimmender Auffassung vorgeht, vgl. auch § 1 Abs. 3 S. 2 BDSG.124 Eine Einsicht in Informationen über Konten Dritter (insbesondere Beschäftigter) ist daher ohne hinreichende Einwilligung des Kontoinhabers von keinem Erlaubnistatbestand gedeckt. Eine (entgeltliche) Weitergabe von Kontodaten durch Bankangestellte ist regelmäßig nach § 17 Abs. 1 UWG strafbar. Dasselbe gilt für die Verschaffung solcher Daten, wobei die Strafbarkeit insoweit zumindest aus §§ 43 Abs. 2 Nr. 1, 44 BDSG folgt. Selbst die Innenrevision von Banken darf die Konten eigener Mitarbeiter einwilligungsfrei allenfalls dann prüfen, wenn sie als normale Kundenkonten von Interesse sind; nur im Einzelfall kommt eine andere Wertung bei konkreten Verdachtsmomenten bezüglich einer Straftat in Betracht, namentlich dann, wenn die Kontosichtung dazu dient, um betrügerische Handlungen von Bankmitarbeitern noch vor der Einschaltung von Strafverfolgungsbehörden zu unterbinden.125 Die Überprüfung unternehmenseigener Kontodaten ist indes innerhalb der Grenzen von §§ 28 Abs. 1, 32 Abs. 1 BDSG grundsätzlich erlaubt.
141
142
143
144
XII. Grundbucheinsicht In das Grundbuch ist eine Einsicht nur zulässig, wenn ein berechtigtes Interesse 145 besteht, § 12 GBO. Im Rahmen einer unternehmensinternen Ermittlung ist ein solch berechtigtes 146 Interesse überhaupt nur vorstellbar, wenn das betroffene Grundstück Gegenstand der Ermittlungen ist (z. B. Lager für Diebesgut). Eine Einsicht in das Grundbuch, um die Vermögensverhältnisse eines Verdächtigen zu erforschen, dürfte indes nur selten erlaubt sein, da das Vermögen einer Person aus unterschiedlichsten Quellen stammen kann, auch aus ganz legalen, wie z. B. Erbschaften.
124 Vgl. Gola/Schomerus, § 1 Rn 25. 125 Gola/Schomerus, § 32 Rn 38.
Behling/Hintze/Hülsberg/Meyer
484
Kapitel 9 Unternehmensinterne Ermittlungen datenschutzkonform ausgestalten
XIII. Datenabgleich mit Terror- und Sanktionslisten 147 Der standardmäßige Abgleich der Daten von Mitarbeitern und Geschäftspart-
nern mit sog. Terror- oder Sanktionslisten (vgl. Anhänge der Verordnungen (EG) Nr. 2580/2001 und (EG) Nr. 881/2002) wird aufgrund der ansonsten drohenden Strafbarkeitsrisiken (§ 34 Abs. 4 Nr. 2 AWG) für Geschäftsleitung und verantwortlich handelnde Mitarbeiter als überwiegend zulässig erachtet.126 Dies gilt mit dem BFH127 auch dann, wenn sich ein Unternehmen um die Zer148 tifizierung als „Authorized Ecomic Operator“ („AEO-Operator“) bewirbt, um zollrechtliche Privilegierungen zu erlangen. Werden hierbei Beschäftigtendaten verarbeitet, hält dies der BFH offenbar für gem. § 32 Abs. 1 S. 1 BDSG legitimiert, wenngleich er anregt, ergänzend auch Einwilligungserklärungen von den Betroffenen einzuholen. Der Abgleich von Beschäftigtendaten mit Terrorlisten im Rahmen von unter149 nehmensinternen Ermittlungen kann dagegen nur erlaubt sein, wenn dieser mit Blick auf den konkreten Ermittlungszweck als erforderlich zu qualifizieren ist. Dies dürfte sich nur in gesondert gelagerten Ausnahmefällen bejahen lassen. Praxistipp Generell sind die genannten Ermittlungs- bzw. Compliance-Maßnahmen wegen der Nähe zu Straf- und Ordnungswidrigkeitstatbeständen und der hohen Reputationsgefahr für das Unternehmen bedenklich. Lediglich in begründeten Ausnahmefällen, namentlich, wenn schwere Rechtsverstöße infrage stehen, wird eine Unterstützung der unternehmensinternen Ermittlungen durch Videoüberwachung, Bewegungsdaten oder Detekteien infrage kommen. Sofern Maßnahmen der oben beschriebenen Art ergriffen werden sollen, können sich jedoch Abgrenzungsschwierigkeiten ergeben, namentlich, ob hier das Privatverhalten des Beschäftigten betroffen ist oder dessen dienstliches Handeln. Die ist gerade für die Einsicht von E-Mail-Nachrichten von besonderer Bedeutung, da Beschäftigte, die im Fokus interner Ermittlungen stehen, immer wieder behaupten, Auswertungen ihrer Korrespondenz seien ausgeschlossen, weil die Privatnutzung betroffen sei. Dieser Einwand trägt allerdings in der Regel nicht.128
126 Vgl. Thüsing/Thüsing/Granetzny, § 8 Rn 43 m. w. N. 127 Urt. v. 19.6.2012 – VII R 43/11 – ZD 2013, 129, 130 (Abs. 15). 128 Kap. 6 Rn 41.
Behling/Hintze/Hülsberg/Meyer
Kapitel 10 Nutzung von Kundendaten – Werbung, Kundenbetreuung und CRM on- und offline rechtssicher gestalten Neben der Erhebung und Verarbeitung von Beschäftigtendaten zählt insbesondere auch der rechtskonforme Umgang mit Kundendaten für Zwecke der Werbung und des Customer Relationship Managements (CRM) zu den Hauptanwendungsbereichen der unternehmensinternen Datenverarbeitung. Dabei ist von besonderem Interesse, ob und in welchem Umfang zulässig gespeicherte Kundendaten auch ohne Einwilligung der Betroffenen1 genutzt werden können und ab wann eine wirksame Einwilligung erforderlich ist. Insbesondere im Ergebnis der Datenschutznovelle II des Jahres 2009 sehen sich die Unternehmen hier sehr komplexen und teilweise wenig verständlichen Neuregelungen ausgesetzt. Neuerungen haben auch die datenschutzrechtlichen Rahmenbedingungen für die Anbieter von Telemediendiensten wie Online-Shops oder von Telekommunikationsdienstleistern erfahren. Die Klärung sich hieraus ergebender Fragen steht erst am Anfang. Die bisher ergangene Rechtsprechung trägt dabei nur teilweise zu einer größeren Rechtssicherheit bei. Nach der aktuellen Rechtsprechung des EuGH zur Vollharmonisierung als Zweck der europäischen Datenschutzbestimmungen2 stellt sich zunehmend auch die Frage nach der Europarechtskonformität nationaler Vorschriften, die strengere Anforderungen statuieren. Neben dem Datenschutz müssen werbende Unternehmen insbesondere auch die sich in diesem Zusammenhang stellenden wettbewerbsrechtlichen Fragen mit in den Blick nehmen. Dies gilt nicht zuletzt deshalb, weil die obergerichtliche Rechtsprechung die Verletzung datenschutzrechtlicher Vorschriften vermehrt auch als wettbewerbsrechtlich relevant wertet und folglich auch Wettbewerber gegen solche Verstöße vorgehen können. Neue datenschutzrechtliche Fragen ergeben sich auch aus der Einbeziehung der Möglichkeiten des Internets mit seinen sozialen Netzwerken in CRM und in die Markt- und Meinungsforschung. Auch insoweit gilt, dass nicht alles technisch Machbare auch erlaubt ist. Die Datenschutzskandale in der Vergangenheit waren zu einem großen Teil auch im Bereich des Kundendatenschutzes angesiedelt. Nicht zuletzt aus diesem Grunde fürchten Kunden vermehrt auch den Missbrauch ihrer Daten durch Unternehmen. Nach einer im Auftrag der Schufa Holding AG vom Institut für Demo-
1 Entsprechend der datenschutzrechtlichen Terminologie werden Kunden auch in diesem Kapitel regelmäßig als „Betroffene“ bezeichnet. 2 EuGH, Urt. v. 24.11.2011 – C-468/19, C-469/10 –, Rs. ANSNEF/FECEMD, ZD 2012, 33 ff.
Ringel
1
2
3
4
486
Kapitel 10 Nutzung von Kundendaten
skopie Allensbach durchgeführten Umfrage verzichtete im Jahre 2010 die Hälfte der Befragten schon häufiger auf Bestellungen im Internet, weil sie persönliche Daten nicht preisgeben wollten und 66 % der Befragten befürchteten einen Missbrauch.3 Vor diesem Hintergrund sollte der datenschutzkonforme Umgang mit Kundendaten selbst als ein Werbeinstrument bzw. Instrument der Betroffenenbindung verstanden werden. Nicht nur, dass bekannt werdende Datenschutzverstöße bestehende Kundenbeziehungen zerstören können. Die Bereitschaft, berechtigte Interessen der Betroffenen am sorgfältigen Umgang mit ihren Daten angemessen zu berücksichtigen, dürfte geeignet sein, das Vertrauen potenzieller Kunden zu gewinnen.
A. Werbung I. Grundlagen 5 Die Zulässigkeit der Verarbeitung und Nutzung von Kundendaten für Zwecke des
Adresshandels und der Werbung wird im Anwendungsbereich des BDSG abschließend in § 28 Abs. 3 BDSG geregelt.4 Diese ist gem. § 28 Abs. 3 S. 1 BDSG grundsätzlich nur noch zulässig, wenn und soweit der Betroffene eingewilligt hat. Dies gilt gleichermaßen im Anwendungsbereich des bereichsspezifischen Datenschutzes, wie er für Online-Shops oder Anbieter von Telekommunikationsdienstleistungen im TMG bzw. TKG geregelt ist. Zu beachten ist, dass die Erhebung von Kundendaten für Zwecke des Adress6 handels und der Werbung nicht auf § 28 Abs. 3 BDSG gestützt werden kann. Dieser erlaubt zwar die Verarbeitung und Nutzung dieser Daten unter den weiter genannten Voraussetzungen. Hiervon ist indes gem. § 3 Abs. 3 BDSG die Erhebung von Daten zu unterscheiden. Für diese müssen die Voraussetzungen einer gesetzlichen Grundlage oder eine wirksam erteilte Einwilligung der Betroffenen vorliegen.5 Etwas Anderes kommt nur im Falle des § 28 Abs. 3 S. 4 BDSG in Betracht, namentlich dann, wenn ein Unternehmen Kundendaten zum Zwecke der Werbung unter Einhaltung der Anforderungen dieser Vorschrift an ein anderes Unternehmen legitim übermittelt. Dann muss auch die spiegelbildliche Erhebung dieser Daten durch das empfangende Unternehmen einwilligungsfrei möglich sein, da die Vorschrift des § 28 Abs. 3 S. 4 BDSG anderenfalls leerliefe.6
3 Vgl. http://www.spiegel.de/netzwelt/netzpolitik/datenschutz-umfrage-deutsche-misstrauen-unter nehmen-a-720333.html. 4 Vgl. LG Bremen, Urt. v. 12.9.2013 – 9 O 868/13 – Rn 37, zit. nach juris. 5 Vgl. Wolff/Brink/Wolff, § 28 BDSG Rn 118. 6 Gola/Schomerus, § 28 Rn 48.
Ringel
A. Werbung
487
Ohne Einwilligung der Betroffenen ist die Verarbeitung und Nutzung von 7 bestimmten Kundendaten für Zwecke einer personalisierten Werbung7 grundsätzlich nur im Rahmen des ebenfalls neu gestalteten Listenprivilegs des § 28 Abs. 3 S. 2 BDSG zulässig. Dies bildet den Hauptanwendungsfall einer einwilligungsfreien Nutzung von Kundendaten zu Werbezwecken. Daneben regelt § 28 Abs. 3 S. 5 BDSG die einwilligungsfreie Werbung für fremde Angebote (sog. Beipack- und Empfehlungswerbung)8 – eine Vorschrift, die gerade im Versandhandel von praktischer Bedeutung ist. Soweit aber eine Einwilligung erforderlich ist, muss sie grundsätzlich den Anfor- 8 derungen des § 4a BDSG genügen, mithin auf einer freiwilligen Entscheidung des Betroffenen beruhen und im Grunde der Schriftform genügen.9 Sofern die Einholung ausnahmsweise elektronisch erfolgen kann, was gerade im E- und M-Commerce in der Regel unumgänglich ist, sind darüber hinaus noch die erweiterten Anforderungen des § 28 Abs. 3a BDSG und ggf. der bereichsspezifischen Vorschriften im Anwendungsbereich des TMG bzw. des TKG zu beachten. Stets gilt es, im Zusammenhang mit Werbeeinwilligungen das Koppelungsverbot des § 28 Abs. 3b BDSG zu beachten. Erweiterte Transparenzpflichten geben den werbenden Unternehmen zudem 9 auf, die Betroffenen umfassend über ihr Recht zum Widerspruch, die verantwortliche Stelle und unter bestimmten weiteren Voraussetzungen über die Herkunft ihrer Daten zu unterrichten.
II. Widerspruchsrecht und Unterrichtungspflichten Betroffene können der Verarbeitung und Nutzung ihrer Daten für Werbezwecke gem. 10 § 28 Abs. 4 S. 1 BDSG widersprechen. Laut § 28 Abs. 4 S. 2 BDSG sind sie hierüber bei jeder Ansprache zum Zweck der Werbung sowie bereits bei der Erhebung ihrer Daten zu informieren, auch wenn die entsprechenden Daten zunächst eigentlich nur zur Vertragsdurchführung durch die Betroffenen zur Verfügung gestellt werden. Ferner sind diese dann jeweils auch über die Identität der verantwortlichen Stelle zu unterrichten. Den Betroffenen muss also klar werden, welche Rechtsperson (Unternehmen) genau ihre Daten auch zu Werbezwecken nutzen möchte, damit sie wissen, an wen genau sie ihren Widerspruch richten müssen. Die Erfüllung der Unterrichtungspflichten ist für die Zulässigkeit der werblichen 11 Verarbeitung und Nutzung von Kundendaten von zentraler Bedeutung. Gleichwohl
7 In Abgrenzung zur nicht personalisierten Werbung z. B. bei unadressierter Briefwerbung, der Scheibenwischerwerbung sowie der Verteilung von Werbematerial in der Öffentlichkeit oder der Bannerwerbung im Internet; auch als Direkt- oder Dialogwerbung bezeichnet. 8 Vgl. dazu Rn 66. 9 Simitis/Simitis, § 28 Rn 216.
Ringel
488
Kapitel 10 Nutzung von Kundendaten
wird sie nicht selten vernachlässigt. Dabei wird übersehen, dass eine fehlende wirksame Unterrichtung die Zulässigkeit der Verarbeitung und Nutzung der Kundendaten für Werbezwecke zumindest zweifelhaft erscheinen lässt.10 Darüber hinaus ist ihre Unterlassung gem. § 43 Abs. 1 Nr. 3 BDSG bußgeldbewehrt. Nach Ansicht des OLG Köln handelt es sich bei der Unterrichtungspflicht gem. § 28 Abs. 4 S. 2 BDSG auch um eine Marktverhaltensregel i. S. d. § 4 Nr. 11 UWG mit der Folge, dass sich das werbende Unternehmen auch wettbewerbsrechtlich Unterlassungsansprüchen ausgesetzt sehen kann.11 Sie besteht unabhängig davon, ob die Werbung auf der Basis einer Einwilligung 12 der Betroffenen erfolgen soll oder nicht.12 Denn § 28 Abs. 4 BDSG bezieht jede Verarbeitung oder Nutzung für Werbezwecke ein.13 Folglich sind die Betroffenen über ihr Widerspruchsrecht auch dann zu informieren, wenn das Unternehmen die Kundendaten nur im Rahmen des Listenprivilegs für Werbezwecke und damit ohne Einwilligung nutzen wollen. Dafür, dass der Gesetzgeber Werbemaßnahmen unter Verwendung von Listendaten vom Widerspruchsrecht ausnehmen wollte, ist nichts ersichtlich.14 Das Widerspruchsrecht kann nicht – auch nicht teilweise – vertraglich abbedun13 gen oder beschränkt werden. Entgegenstehende Vereinbarungen wären nichtig.15 An einer gesetzeskonformen Unterrichtung als Zulässigkeitsvoraussetzung für die werbliche Nutzung von Kundendaten führt somit kein Weg vorbei.
1. Inhalt der Unterrichtung 14 Eine den gesetzlichen Anforderungen genügende Unterrichtung muss mindestens folgende Angaben enthalten:
a) Information über das Widerspruchsrecht und dessen Ausübung
15 Die Betroffenen sind über ihr Recht zum Widerspruch gegen die Verarbeitung und
Nutzung ihrer Daten für Werbezwecke zu unterrichten. In der Formulierung der Unterrichtung ist das Unternehmen mangels gesetzlicher Vorgaben weitgehend
10 Für die Unzulässigkeit z. B. Vahldiek/Deutsch, § 3 Rn 66; a. A. Plath/Plath, § 28 Rn 192. Unter Verweis auf die aktuelle Rechtsprechung des EuGH zur Vollharmonisierung durch die DS-RL 95/46 eine Bindung der Zulässigkeit von Werbung an die Unterrichtungs- und Transparenzpflichten des § 28 Abs. 3 11 OLG Köln, Urt. v. 14.8.2009 – 6 U 70/90 – NJW 2010, 90, 91. 12 Schröder, Kap. 4 e). 13 Simitis/Simitis, § 28 Rn 249. 14 Zum grundsätzlich jederzeit möglichen Widerruf vgl. Roßnagel/Holznagel/Sonntag, Kap. 4.8 Rn 65. 15 Bergmann/Möhrle/Herb, § 28 BDSG Rn 446; Plath/Plath, § 28 Rn 178.
Ringel
A. Werbung
489
frei.16 Inhaltlich ist den Betroffenen der Sinn und Zweck ihres Widerspruchsrechts zu verdeutlichen.17 Sie müssen aus der Unterrichtung heraus ohne Weiteres in der Lage sein, ihr Widerspruchsrecht geltend zu machen.18 Deshalb ist auch ohne ausdrückliche Erwähnung im Gesetz ein Hinweis dazu erforderlich, wie der Widerspruch geltend gemacht werden kann.19 Hierzu reicht die Information, dass der Betroffene lediglich mitteilen muss, keine Werbung mehr erhalten zu wollen und dieser Wunsch rechtlich beachtlich ist.20 Überdies empfehlen sich hinreichende Angaben zu bestehenden Möglichkeiten der Kontaktaufnahme. Der Widerspruch ist stets kostenfrei möglich. Dies folgt bereits aus Art. 14 lit. b) 16 Datenschutz-RL,21 nach dem eine Beachtung nicht von einem Bearbeitungsentgelt abhängig gemacht werden darf.22 Dem Betroffenen dürfen aus der Wahrnehmung seines Widerspruchsrechts auch sonst keine Nachteile entstehen. Sie darf weder für andere Zwecke verwendet werden, noch darf sie beispielsweise in den Scorewert des Betroffenen einfließen.23 Praxistipp Folglich sollte der Betroffene auch darauf hingewiesen werden, dass ihm durch die Ausübung des Widerspruchs weder Kosten noch sonst irgendwelche Nachteile z. B. bei der Abwicklung bestehender Vertragsbeziehungen entstehen.24 Gleichwohl sollte der Hinweis erfolgen, dass Verbindungs- oder Übermittlungsentgelte dennoch anfallen können.
Mangels gesetzlicher Regelungen zur Form des Widerspruchs kann dieser formfrei 17 und somit mündlich, telefonisch, elektronisch, in Textform oder konkludent erklärt werden.25 Er ist an keine Frist gebunden und jederzeit möglich.26 Er bedarf auch keiner Begründung.27 Auch hierauf sollte die Unterrichtung hinweisen. Sollten in zulässiger Weise Formerfordernisse für den Widerspruch bestehen, sind diese ebenfalls mitzuteilen.28 Wurden die Daten zur Begründung eines Schuldverhältnisses i. S. d. § 28 Abs. 1 S. 1 Nr. 1 BDSG erhoben, darf gem. § 28 Abs. 4 S. 4 BDSG für den Widerspruch
16 Plath/Plath, § 28 Rn 189. 17 Bergmann/Möhrle/Herb, § 28 BDSG Rn 473. 18 Wolff/Brink/Wolff, § 28 BDSG Rn 210. 19 Däubler/Klebe/Wedde/Weichert, § 28 Rn 151. 20 Bergmann/Möhrle/Herb, § 28 BDSG Rn 473. 21 RL 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, ABl. EG/EU 1995 L 281, S. 31. 22 Simitis/Simitis, § 28 Rn 266; Bergmann/Möhrle/Herb, § 28 BDSG Rn 459. 23 Bergmann/Möhrle/Herb, § 28 BDSG Rn 447. 24 Ebenso Simitis/Simitis, § 28 Rn 256. 25 Bergmann/Möhrle/Herb, § 28 BDSG Rn 453. 26 Bergmann/Möhrle/Herb, § 28 BDSG Rn 458; Simitis/Simitis, § 28 Rn 261. 27 Simitis/Simitis, § 28 Rn 258. 28 Wolff/Brink/Wolff, § 28 BDSG Rn 210.
Ringel
490
Kapitel 10 Nutzung von Kundendaten
keine strengere Form verlangt werden als für die Begründung dieses Schuldverhältnisses. Im Falle online gesammelter Adressdaten darf somit für den Widerspruch keine Schriftform gefordert werden. Ein Widerspruch per E-Mail ist dann stets ausreichend.29
b) Angabe der verantwortlichen Stelle 18 Die Unterrichtung muss insbesondere auch Angaben zur für die Verarbeitung und Nutzung der Daten verantwortlichen Stelle enthalten. Regelmäßig ist dies das werbende Unternehmen selbst. In jedem Fall ist die Firmenbezeichnung vollständig anzugeben.30 Darüber 19 hinaus sollten aber auch Angaben zur Anschrift bzw. zu einer zumutbaren Kontaktmöglichkeit enthalten sein, wobei die Angabe nur eines Postfachs teilweise als nicht ausreichend angesehen wird.31 Praxistipp Auch wenn es nicht erforderlich ist, sämtliche Kontaktdaten wie Postanschrift, Telefonnummer und E-Mail-Adresse in die Unterrichtung aufzunehmen, sollte die Angabe dieser Kontaktdaten eines zentralen Ansprechpartners im Unternehmen erwogen werden. Anderenfalls besteht die Gefahr, dass Betroffene irgendeine selbst ermittelte Kontaktmöglichkeit nutzen, die sich das Unternehmen auch zurechnen lassen muss und der Werbewiderspruch gleichwohl nicht rechtzeitig von den dafür Verantwortlichen zur Kenntnis genommen werden kann. 20 Erfolgt die Werbung im Rahmen einer Auftragsdatenverarbeitung, ist das den Auftrag
erteilende Unternehmen zu benennen.32 Wird gleichzeitig für die Angebote mehrerer Unternehmen geworben, sind ausgehend vom Wortlaut grundsätzlich alle Unternehmen in hinreichender Form zu benennen. Es wird allerdings als zulässig erachtet, wenn ein Unternehmen von den anderen intern schriftlich zur Wahrnehmung der Funktion der verantwortlichen Stelle ermächtigt wird.33 Das ermächtigte Unternehmen hat dann aber auch sicherzustellen, dass die anderen Unternehmen unverzüglich über Werbewidersprüche der Betroffenen in Kenntnis gesetzt werden. Bedeutung erlangt dies insbesondere in den Fällen, in denen die anderen Unternehmen neben gemeinsamen Werbeaktionen auch eigene Werbemaßnahmen durchführen.
29 Leupold/Glossner/Scheja/Haag, Teil 5 Rn 149. 30 Dies für ausreichend haltend Plath/Plath, § 28 Rn 189. 31 Bergmann/Möhrle/Herb, § 28 BDSG Rn 472; Wolff/Brink/Wolff, § 28 BDSG Rn 212. 32 Wolff/Brink/Wolff, § 28 Rn 212; Bergmann/Möhrle/Herb, § 28 BDSG Rn 472. 33 Wolff/Brink/Wolff, § 28 Rn 212; Bergmann/Möhrle/Herb, § 28 BDSG Rn 472.
Ringel
A. Werbung
491
c) Weitere Angaben zur Herkunft der Kundendaten Laut § 28 Abs. 4 S. 2 Hs. 2 BDSG ist in den Fällen, in denen für die Werbung bei einer 21 dem Betroffenen nicht bekannten Stelle gespeicherte Daten genutzt werden, sicherzustellen, dass dieser Kenntnis über die Herkunft der Daten erhalten kann. Gegenstand dieser Regelung ist insbesondere die Nutzung von bei Adresshändlern oder sog. Lettershops eingekauften Kontaktdaten.34 Die Betroffenen sollen möglichst unkompliziert nachvollziehen können, woher das werbende Unternehmen ihre Adressdaten erlangt hat. Nach dem Gesetzeswortlaut kommt es darauf an, ob dem Betroffenen die speichernde Stelle bekannt ist. Sofern für die Werbung nicht auf eigene Adressdaten zurückgegriffen wird, können aber kaum plausible Annahmen zur Kenntnis der Betroffenen über die speichernde Stelle angenommen werden. Im Zweifel ist daher dafür zu sorgen, dass der Betroffene die Datenquelle unproblematisch im Wege der Nachfrage in Erfahrung bringen kann.35 Hierzu soll – ausgehend vom Gesetzeswortlaut – die Angabe einer Kontaktstelle, über die sich der Betroffene über die Herkunft der Daten informieren kann, ausreichend sein.36 Nach anderer Ansicht ist die Herkunftsquelle bereits mit der Unterrichtung offenzulegen.37 Jedenfalls kann eine Auskunft über die Ursprungsstelle nicht mit dem Argument verweigert werden, dass man sich dieser gegenüber vertraglich zur Vertraulichkeit verpflichtet habe. Eine solche Vereinbarung wäre gem. § 134 BGB i. V. m. § 28 Abs. 4 S. 2 Hs. 2 BDSG nichtig.38
2. Form der Unterrichtung Gesetzliche Vorgaben zur Form der Unterrichtung bestehen nicht. Grundsätzlich kann 22 sie daher auch mündlich erfolgen, wenn die werbliche Ansprache mündlich erfolgt.39 Nach anderer Auffassung soll eine mündliche Unterrichtung nicht der Bedeutung entsprechen, die der Gesetzgeber dem Widerspruchsrecht beimesse. Dieser könne nur eine schriftliche Unterrichtung genügen.40 Praxistipp Bereits aus Beweissicherungsgründen sollte die Unterrichtung mindestens in Textform vorgenommen werden. Besser noch ist eine schriftliche Unterrichtung. In jedem Fall ist auf die Unterscheidbarkeit der Unterrichtung von anderen, gleichzeitig gemachten Mitteilungen zu achten. Erfolgt die Unterrichtung online, empfiehlt es sich mit dem Rechtsgedanken des § 13 Abs. 2 TMG überdies, eine Protokollierung derselben vorzunehmen und den Inhalt der Unterrichtung jederzeit für den Betroffe-
34 Däubler/Klebe/Wedde/Weichert, § 28 Rn 149. 35 Plath/Plath, § 28 Rn 190. 36 Plath/Plath, § 28 Rn 190; ebenso die Gesetzesbegründung. 37 Beck DatenSR/Wolff, § 28 BDSG Rn 214. 38 Bergmann/Möhrle/Herb, § 28 BDSG Rn 475 m. w. N.; Beck DatenSR/Wolff, § 28 BDSG Rn 214. 39 Gola/Schomerus, § 28 Rn 65; ebenfalls für eine der Art der werblichen Ansprache oder des Vertragsschlusses angepasste Form Beck DatenSR/Wolff, § 28 BDSG Rn 215. 40 Simitis/Simitis, § 28 Rn 256 m. w. N.
Ringel
492
Kapitel 10 Nutzung von Kundendaten
nen zum Abruf bereitzuhalten, um jede Beweisschwierigkeit und jeden Anschein der Unlauterkeit zu vermeiden. 23 Die Unterrichtung in Schrift- oder Textform unterliegt, wenn sie zusammen mit
anderen Informationen erfolgt, nicht dem für Einwilligungen geltenden Hervorhebungsgebot des § 4a Abs. 1 S. 4 BDSG.41 Nach Ansicht der Aufsichtsbehörden kann von einer wirksamen Unterrichtung allerdings nur dann ausgegangen werden, wenn sie von einem durchschnittlichen Verbraucher beim üblichen Umgang mit Werbung oder Vertragsinformationen zur Kenntnis genommen werden kann.42 Sie ist folglich von der Werbebotschaft oder von vertraglichen Bestimmungen oder sonstigen Mitteilungen zumindest durch eine entsprechende Überschrift erkennbar zu trennen.43
3. Zeitpunkt der Unterrichtung
24 Laut § 28 Abs. 4 S. 2 BDSG sind die Betroffenen bei der Ansprache zu Werbezwecken
zu unterrichten. Welcher Zeitpunkt damit genau gemeint ist, lässt diese unbestimmte Formulierung offen. Der Zweck der Vorschrift, Betroffene vor Werbung gegen ihren Willen zu schützen, spricht für eine Unterrichtungspflicht, wenn im Unternehmen die Entscheidung zur werblichen Nutzung der Kundendaten gefallen ist.44 Die Betroffenen sollen bereits vor der ersten Nutzung ihrer Daten für Werbezwecke alle Informationen erhalten, die sie zur Wahrnehmung ihres Widerspruchsrechts benötigen.45 Nach anderer Auffassung soll eine Unterrichtung spätestens gleichzeitig mit der ersten Werbemaßnahme ausreichend sein.46 Gestützt wird diese Auffassung durch den Wortlaut der Vorschrift, der eine Unterrichtung bei der werblichen Ansprache verlangt und damit nach einer Verarbeitung und Nutzung der Daten für diese Zwecke. Sie dürfte auch ausgehend von der Gesetzesbegründung vorzugswürdig sein.47 Die Unterrichtungspflicht besteht auch bei der Begründung eines rechtsgeschäft25 lichen oder rechtsgeschäftsähnlichen Schuldverhältnisses, mithin in dem Zeitpunkt, in dem der jeweilige Betroffene seine Daten zur Vertragsbegründung oder auch im
41 Plath/Plath, § 28 Rn 188. 42 Düsseldorfer Kreis, Anwendungshinweise der Datenschutzaufsichtsbehörden zur Erhebung, Verarbeitung und Nutzung personenbezogener Daten für Werbezwecke, Stand: Dezember 2013, Ziff. 5.3, abrufbar unter http://www.lda.bayern.de/lda/datenschutzaufsicht/lda_daten/Anwendungshinweise_Werbung.pdf. 43 Vgl. Plath/Plath, § 28 Rn 188. 44 Simitis/Simitis, § 28 Rn 254. 45 Plath/Plath, § 28 Rn 186; Simitis/Simitis, § 28 Rn 255. 46 Bergmann/Möhrle/Herb, § 28 BDSG Rn 480; Beck DatenSR/Wolff, § 28 BDSG Rn 217; Däubler/ Klebe/Wedde/Weichert, § 28 Rn 149. 47 So auch die Gesetzesbegründung zur Datenschutznovelle II 2009, BT-Drucks. 16/12011, S. 33.
Ringel
A. Werbung
493
vorvertraglichen Stadium an das Unternehmen gibt, das die Daten später (auch) zu Werbezwecken verarbeiten oder nutzen möchte. Praxistipp Folglich sollte eine hinreichende Unterrichtung über das Widerspruchsrecht bereits in alle Bestelloder Antragsformulare des Unternehmens aufgenommen werden, wenn nicht ausgeschlossen werden kann, dass die mit diesen erhobenen die Daten des Betroffenen später auch für Werbezwecke genutzt werden.
Die beiden Zeitpunkte werbliche Ansprache und Begründung eines Schuldverhält- 26 nisses verpflichten unabhängig voneinander zur Unterrichtung. Eine Unterrichtung bereits bei Vertragsschluss vermag also eine Unterrichtung bei einer nachfolgenden werblichen Ansprache nicht zu ersetzen.48 Zur Frage, wie oft die Unterrichtung zu wiederholen ist, äußert sich das Gesetz 27 nicht. Der Wortlaut legt die Pflicht zur Unterrichtung bei jeder personalisierten werblichen Ansprache und Datenerhebung im Rahmen der Begründung eines jeden neuen rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses nahe.49 Praxistipp Wird ein Kunde kontinuierlich bzw. periodisch beworben, sollte entsprechend bei jeder einzelnen Werbeansprache (z. B. bei jedem Prospekt) der Hinweis auf das bestehende Widerspruchsrecht und die Identität der verantwortlichen Stelle einschließlich Kontaktmöglichkeiten informiert werden. Die Ausgestaltung sollte dabei praxisgerecht und positiv formuliert erfolgen, um das Vertrauen des Kunden hierdurch nicht zu beeinträchtigen.
4. Pflichten nach Ausübung des Widerspruchsrechts Macht ein Betroffener von seinem Widerspruchsrecht Gebrauch, dürfen seine Daten 28 nicht mehr für Werbezwecke verarbeitet oder genutzt werden. Dies bedeutet streng genommen eine Pflicht zur Löschung der Daten, wenn und soweit sie nicht aus einem anderen Grund gespeichert bleiben dürfen oder müssen.50 Aus praktischer Sicht schafft eine Löschung mit Blick auf die Durchsetzung des 29 Werbeverbots allerdings mehr Probleme, als sie löst. Bis zu einer gegenteiligen Erklärung des Betroffenen muss das Unternehmen dem Werbewiderspruch auch nach einer erneuten Erhebung seiner Adressdaten, etwa im Falle eines weiteren Vertragsschlusses, Rechnung tragen. Dies setzt jedoch die fortdauernde Kenntnis vom Wer-
48 So auch OLG Köln, Urt. v. 14.8.2009 – 6 U 70/09 – NJW 2010, 90, 91; Simitis/Simitis, § 28 Rn 255; Wolff/Brink/Wolff, § 28 BDSG Rn 221. 49 So im Ergebnis auch OLG Köln, Urt. v. 14.8.2009 – 6 U 70/09 – NJW 2010, 90, 91; Plath/Plath, § 28 Rn 187; Gola/Schomerus, § 28 Rn 66; Simitis/Simitis, § 28 Rn 255. 50 So z. B. Däubler/Klebe/Wedde/Weichert, § 28 Rn 145.
Ringel
494
Kapitel 10 Nutzung von Kundendaten
bewiderspruch und damit eine Speicherung mit einem Sperrvermerk oder die Aufnahme in eine Sperrdatei voraus. Diese praktischen und am Zweck des Werbeverbots ausgerichteten Erwägungen sprechen dafür, dass eine Sperrung der Daten – reduziert allerdings auf Name und Kontaktdaten – nach erklärtem Werbewiderspruch nicht nur zulässig, sondern sogar geboten ist.51 Allerdings ist dies nicht unumstritten.52 Entscheidet sich das Unternehmen für eine Sperrung, sind die Betroffenen, die zumindest dann, wenn keine weiteren Beziehungen zu dem Unternehmen (mehr) bestehen, von einer Löschung ihrer Daten ausgehen dürften, hierüber unverzüglich in Kenntnis zu setzen.53 Die Form der Unterrichtung sollte dabei praxisgerecht erfolgen, wobei dies ggf. auch bereits im Vorfeld oder dauerhaft über die Datenschutzerklärung des Unternehmens erfolgen kann. Dies gilt es, im jeweiligen Einzelfall zu eruieren. Eine Löschung der Daten hat stets zu erfolgen, wenn der Betroffene dies aus30 drücklich wünscht und eine Speicherung nicht aus einem anderen Grunde zulässig ist.54 Widerspricht er auch dem Vorhalten seiner Daten in einer Sperrdatei, kann dem jeweiligen Unternehmen kein Vorwurf gemacht werden, wenn es ihn unter (legitime) Heranziehung von Fremddaten erneut bewirbt.55 Nach einem Widerspruch dürfen die Kundendaten nicht mehr an andere Unter31 nehmen für Werbezwecke weitergegeben werden, da eine solche Übermittlung gem. § 3 Abs. 4 S. 2 Nr. 3 BDSG unter den Begriff der Verarbeitung zu fassen wäre.56 Die Übermittlung zu anderen Zwecken ist hingegen nicht grundsätzlich ausgeschlossen, wenngleich sie naturgemäß überhaupt nur noch in Betracht kommt, wenn die Daten nach dem zuvor Ausgeführten aufgrund des Widerspruchs nicht zu löschen sind. Ein Werbewiderspruch ist unverzüglich umzusetzen.57 Soweit vereinzelt die Auf32 fassung vertreten wird, von den Betroffenen sei die Sammlung von Widersprüchen über einen längeren Zeitraum und deren Erfassung erst im Rahmen turnusmäßiger Betroffenenstammbehandlungen hinzunehmen,58 soll dem nach anderer Auffassung nicht gefolgt werden können.59 Jedenfalls die sofortige Umsetzung von Werbewidersprüchen stellt Unternehmen allerdings nicht selten vor praktische Herausforderungen, gerade wenn papiergebundene Werbung infrage steht, die unter Einbindung von Lettershops u. Ä. versendet wird. Hier wird man Unternehmen zumindest eine angemessene Karenzzeit einräumen müssen, bis eine Abstimmung mit allen
51 So auch Kazemi/Leopold, § 3 Rn 229; Bergmann/Möhrle/Herb, § 28 BDSG Rn 467; Gola/Schomerus, § 28 Rn 68. 52 Ebenfalls für eine Löschung z. B. Plath/Plath, § 28 Rn 201; Beck DatenSR/Wolff, § 28 BDSG Rn 201. 53 Gola/Schomerus, § 28 Rn 68. 54 Bergmann/Möhrle/Herb, § 28 BDSG Rn 468. 55 Gola/Schomerus, § 28 Rn 68. 56 Vgl. Bergmann/Möhrle/Herb, § 28 BDSG Rn 466. 57 Simitis/Simitis, § 28 Rn 275; Bergmann/Möhrle/Herb, § 28 BDSG Rn 470. 58 So Gola/Schomerus, § 28 Rn 68. 59 Beck DatenSR/Wolff, § 28 BDSG Rn 204.
Ringel
A. Werbung
495
beteiligten Stellen tatsächlich erfolgen konnte, um eine weitere Bewerbung des Widersprechenden zu verhindern. Dies dürfte mit der Anforderung der geforderten Unverzüglichkeit der Widerspruchsumsetzung noch in Einklang zu bringen sein und auch den Betroffeneninteressen hinreichend gerecht werden. Bloße Wirtschaftlichkeitsinteressen des werbenden Unternehmens dürften dagegen nicht genügen, um Werbewidersprüche nicht sofort umsetzen zu müssen. Die vorgenannten Pflichten entstehen für die werbenden Unternehmen erst 33 dann, wenn ein Betroffener der werblichen Ansprache wirksam widersprochen hat. Dies kann konkludent auch dadurch erfolgen, dass er Werbesendungen z. B. mit dem Vermerk „Annahme verweigert“ zurückschickt.60 Die Eintragung in eine sog. Robinsonliste gilt nach ganz überwiegender Auf- 34 fassung hingegen nicht als Widerspruch.61 Zwar wird mit dieser Eintragung der Wille dokumentiert, keine Werbung erhalten zu wollen. Robinsonlisten sind aber nicht als rechtlich verbindliche Regelungen zu qualifizieren, sondern binden Unternehmen lediglich im Rahmen freiwilliger Selbstverpflichtungen.62 Zudem kann die Eintragung in eine solche Liste nicht mit der von § 28 Abs. 4 S. 1 BDSG geforderten Erklärung gegenüber dem werbenden Unternehmen oder gegenüber der in seinem Auftrag tätigen Unternehmen gleichgesetzt werden.63 Dessen ungeachtet stellt sich die Frage, ob die Robinsonlisten nicht gleichwohl Beachtung finden müssen. Ein Eintrag in diese Listen könnte zumindest die Annahme der Werbung entgegenstehender schutzwürdiger Interessen der Betroffenen begründen.64 Vereinzelt wird deshalb sogar eine Pflicht der Unternehmen angenommen, einen Abgleich ihrer Listen mit den Robinsonlisten durchzuführen.65 Aufgrund der fehlenden rechtlichen Bindungswirkung der Robinsonlisten erscheint diese Auffassung zumindest aus datenschutzrechtlicher Sicht als zu weitgehend. Wettbewerbsrechtlich reicht es für die Unzulässigkeit einer Werbemaßnahme indes bereits aus, dass der Betroffene eine werbliche Ansprache erkennbar nicht wünscht.66 Auf die Erklärung eines Widerspruchs gegenüber dem werbenden Unternehmen kommt es somit nicht an. Der Abgleich mit den Robinsonlisten wird insoweit auch als zumutbar erachtet, weil diese auch Nichtmitgliedern der diese Listen führenden Verbände angeboten werden.67
60 Kazemi/Leopold, § 3 Rn 217 m. w. N. 61 Bergmann/Möhrle/Herb, § 28 BDSG Rn 454; Gola/Schomerus, § 28 Rn 62; Simitis/Simitis, § 28 Rn 259; Plath/Plath, § 28 Rn 195; Beck DatenSR/Wolff, § 28 BDSG Rn 191. 62 Plath/Plath, § 28 Rn 195. 63 Wolff/Brink/Wolff, § 28 BDSG Rn 191; Plath/Plath, § 28 Rn 195; Simitis/Simitis, § 28 Rn 259. 64 Gola/Schomerus, § 28 Rn 62. 65 Däubler/Klebe/Wedde/Weichert, § 28 Rn 156. 66 Dies gilt sowohl gegenüber Verbrauchern als auch gegenüber anderen Unternehmen, § 7 Abs. 1 S. 2, Abs. 2 Nr. 1 UWG. 67 Auch wenn diese als in ihrer Wirkung zweifelhaft und missbrauchsanfällig angesehen werden, vgl. Köhler/Bornkamm/Köhler, § 7 Rn 107 und 115.
Ringel
496
Kapitel 10 Nutzung von Kundendaten
Praxistipp Angesichts der insoweit bestehenden rechtlichen Unsicherheiten und der strengeren wettbewerbsrechtlichen Vorgaben ist ein Abgleich mit den Robinsonlisten dringend vor einer Bewerbung zu empfehlen, falls diese ohne hinreichende Einwilligung der Betroffenen erfolgen soll. Dies gilt insbesondere dann, wenn die Adressdaten nicht für eigene Werbung genutzt, sondern zum Zwecke des werbebezogenen Adresshandels verwendet werden sollen. In diesem Zusammenhang wird auch in datenschutzrechtlicher Hinsicht überwiegend vertreten, dass eine Pflicht zum Abgleich besteht.68
III. Ohne Einwilligung zulässige Werbung 35 Ohne eine Einwilligung der Betroffenen ist die werbliche Ansprache datenschutz-
rechtlich nur im Rahmen des sog. Listenprivilegs zulässig. Praktisch bedeutsam ist das Listenprivileg angesichts der bereichsspezifischen Regelungen des TMG und des TKG sowie der wettbewerbsrechtlichen Vorgaben für die Werbung unter Verwendung moderner Kommunikationsmittel nur noch für die Briefwerbung. Die gegen die europarechtliche Zulässigkeit des Listenprivilegs vorgetragenen Bedenken überzeugen nicht.69 Für die Praxis ist – zumindest bis zu einer anderslautenden gerichtlichen Entscheidung – von einer Geltung des Listenprivilegs in seiner neuen Fassung auszugehen. 36 Gesetzliche Grundlage ist § 28 Abs. 3 S. 2 BDSG, der eine Verarbeitung und Nutzung personenbezogener Daten auch ohne Einwilligung erlaubt, wenn es sich dabei um auf bestimmte Angaben beschränkte, listenmäßig oder sonst zusammengefasste Daten über Angehörige einer bestimmten Personengruppe handelt (sog. Listendaten) und diese für die Durchführung ebenfalls abschließend bestimmter Werbemaßnahmen erforderlich sind.
1. Listendaten 37 Laut § 28 Abs. 3 S. 2 BDSG muss es sich um listenmäßig oder sonst zusammengefasste Daten zu Angehörigen einer bestimmten Personengruppe handeln. Eine listenmäßige Zusammenfassung ist eine nach einem bestimmten Merkmal fortlaufend geordnet erfolgte Zusammenfassung von Daten in einer Datei, wobei es auf das Trägermedium nicht ankommt.70 Eine sonstige Zusammenfassung von Daten muss mit einer listenmäßigen Zusammenfassung zumindest vergleichbar sein, auch wenn sie nicht nach einem Merkmal fortlaufend geordnet ist.71 Aus dem Wortlaut der Vorschrift wird mehrheitlich geschlossen, dass sich die Zusammenfassung auf mehrere Angehörige
68 Vgl. Wolff/Brink/Wolff, § 28 BDSG Rn 192; Gola/Schomerus, § 28 Rn 62. 69 So im Ergebnis und zum Diskussionsstand Meltzian, DB 2009, 2643, 2647 f. 70 Wolff/Brink/Wolff, § 28 BDSG Rn 120; Plath/Plath, § 28 BDSG Rn 114. 71 Wolff/Brink/Wolff, § 28 BDSG Rn 120.
Ringel
A. Werbung
497
einer bestimmten Personengruppe beziehen muss und deshalb Angaben zu mehr als einer Person enthalten sein müssen.72 38 Die Einzeldaten haben sich auf – die Zugehörigkeit der Betroffenen zu einer Personengruppe, – ihre Berufs-, Branchen oder Geschäftsbezeichnung, – ihren Namen, – ggf. ihren Titel und/oder akademischen Grad, – ihre Anschrift und – ihr Geburtsjahr zu beschränken. Diese Aufzählung ist abschließend.73 Weitere Daten dürfen nicht mit aufgenom- 39 men werden, wenn man das Listenprivileg für die einwilligungslos zulässige Werbung in Anspruch nehmen möchte. Deshalb ist darauf zu achten, dass nur das Geburtsjahr und nicht der Geburtstag oder -monat erfasst wird.74 Als Anschrift dürfen nicht auch Telefon- oder Faxnummern sowie E-Mail-Adressen aufgenommen werden.75 Soweit mit Blick auf die E-Mail-Adresse auch eine andere Auslegung als denkbar erachtet wird,76 ist dies für die Praxis wohl kaum von Bedeutung. Die Verarbeitung und Nutzung von E-Mail-Adressen für werbliche Zwecke erfordert mit Ausnahme von § 7 Abs. 3 UWG regelmäßig schon gemäß TMG bzw. UWG die Einwilligung der Betroffenen.77 Zulässig ist dagegen das Hinzuspeichern von Daten zu einer Liste im Zusammenhang mit Eigenwerbung, § 28 Abs. 3 S. 3 BDSG, was vor dem Hintergrund des § 7 Abs. 3 UWG, wonach E-Mail-Werbung für eigene ähnliche als die dem Adressaten bereits veräußerten Produkte oder Dienstleistungen unter bestimmten Voraussetzungen einwilligungsfrei zulässig ist, nur konsequent ist. Im Übrigen werden zu den „Titeln“ der Listendaten neben beamtenrechtlichen Dienstbezeichnungen auch alle weiteren, im Zusammenhang mit einem Beruf verwendeten Angaben wie „Prokurist“, „Manager“ oder „Leiter Abteilung XY“ gezählt.78 Zulässig ist auch der Verzicht auf einzelne der genannten Daten; eine Kompletterhebung ist nicht gefordert.79
72 So Simitis/Simitis, § 28 Rn 236; Wolff/Brink/Wolff, § 28 BDSG Rn 122; Däubler/Klebe/Wedde/Weichert, § 28 Rn 97 a. E.; die Zugehörigkeit nur einer Person zu einer Gruppe als ausreichend erachtend dagegen Gola/Schomerus, § 28 Rn 51. 73 Eine Ausnahme davon besteht für die Werbung für eigene Angebote, in deren Rahmen die Hinzuspeicherung weiterer Daten zulässig ist; siehe dazu Rn 47 ff. 74 Gola/Reif, Rn 328. 75 Däubler/Klebe/Wedde/Weichert, § 28 Rn 99; Wolff/Brink/Wolff, § 28 BDSG Rn 121; Kazemi/Leopold, § 3 Rn 53. 76 So z. B. Plath/Plath, § 28 Rn 119. 77 Dazu eingehend unter Rn113 ff. und 172 ff. 78 Simitis/Simitis, § 28 Rn 234. 79 Kazemi/Leopold, § 3 Rn 60.
Ringel
498
40
Kapitel 10 Nutzung von Kundendaten
Die Beschränkung auf diese Einzeldaten darf nicht dadurch umgangen werden, dass die Beschreibung der Zugehörigkeit zu einer Personengruppe auf mehrere Merkmale gestützt wird. Auch hierzu darf nur auf ein einziges Merkmal zurückgegriffen werden.80 So hat das OLG Köln z. B. die Kombination der Merkmale „früherer eigener Kunde“ und „Kunde eines bestimmten Wettbewerbers“ als unzulässig gewertet.81 Danach kann etwa nicht nach Kunden eines Unternehmens unterteilt werden, die Waren im Wert eines bestimmten Betrages erworben haben oder in verschiedene Umsatzklassen fallen (Kombination der Angaben „Betroffene Unternehmen XY“ und „Erwerb Waren im Wert von EUR XY“ bzw. „Jahresumsatz i. H. v. XY €“). Auch die Beschreibung „verheirateter Bankkunde“ enthielte zwei Angaben (Bankkunde und verheiratet) und wäre unzulässig.82 Nach anderer Ansicht liefe es dem Schutzzweck nicht zuwider, wenn zur Beschreibung der Personengruppe mehr als nur ein Merkmal verwendet würde. Schließlich könne so eine unnötig breit gestreute Werbung vermieden werden und stünde den Betroffenen auch § 28 Abs. 3 S. 6 BDSG schützend zur Seite, der bereits im Rahmen einer gebotenen Interessenabwägung ausufernden Werbemaßnahmen entgegenstehe.83 Hinzu kommt, dass der Wortlaut des Gesetzes insoweit nicht eindeutig ist. So spricht § 28 Abs. 3 S. 2 Nr. 1 BDSG von „Angaben“ zur Gruppenzugehörigkeit, was auf die Zulässigkeit von mehr als einem Merkmal schließen lässt. Demgegenüber vertreten auch die Datenschutzaufsichtsbehörden, dass die Listendaten nur ein einziges Gruppenmerkmal enthalten dürfen.84 Praxistipp Jedenfalls bis zu einer anderslautenden und gefestigten Rechtsprechung sollte die Beschreibung der Zugehörigkeit zu einer bestimmten Personengruppe angesichts der restriktiven Handhabung durch die Datenschutzaufsichtsbehörden nur auf ein Merkmal gestützt werden. Eine zielgenaue Ausrichtung der Werbemaßnahme kann unter Umständen durch die geschickte Auswahl der übrigen Listendaten erreicht werden, aus denen sich z. B. Herkunfts- und Altersangaben ergeben.85
80 Kazemi/Leopold, § 3 Rn 53; Gola/Schomerus, § 28 Rn 51. 81 OLG Köln, Urt. v. 19.11.2010 – 6 U 73/10 – CR 2011, 680, 681 f. So auch schon für die alte Rechtslage OLG Köln, Urt. v. 14.8.2009 – 6 U 70/09 – NJW 2010, 90, 91. 82 Siehe die Beispiele bei Simitis/Simitis, § 28 Rn 233; Kazemi/Leopold, § 3 Rn 53. 83 LG Augsburg, Urt. v. 19.8.2011 – 3 HK O 2827/11 – ZD 2012, 476, 477; ebenso Plath/Plath, § 28 Rn 116; Wolff/Brink/Wolff, § 28 BDSG Rn 122. 84 Anwendungshinweise der Datenschutzaufsichtsbehörden zur Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten für werbliche Zwecke, Stand: Dezember 2013, Ziff. 3.3, abrufbar unter http://www.lda.bayern.de/lda/datenschutzaufsicht/lda_daten/Anwendungshinweise_Werbung.pdf. 85 Siehe dazu auch die Beispiele bei Plath/Plath, § 28 Rn 118.
Ringel
A. Werbung
499
2. Zulässige Werbemaßnahmen Die Listendaten dürfen nur für bestimmte, in § 28 Abs. 3 S. 2 BDSG abschließend auf- 41 geführte Werbemaßnahmen ohne Einwilligung verarbeitet und genutzt werden. Im Einzelnen handelt es sich dabei um die Werbung für eigene Angebote des jeweiligen Unternehmens, die Werbung im Zusammenhang mit der beruflichen Tätigkeit der Betroffenen und die Spendenwerbung. Die Listendaten müssen für diese Maßnahmen auch erforderlich sein.
a) Werbung für eigene Angebote Laut § 28 Abs. 3 S. 2 Nr. 1 BDSG dürfen die Listendaten für die Bewerbung eigener 42 Angebote des werbenden Unternehmens verwendet werden (sog. Eigenwerbung). Voraussetzung ist jedoch, dass die Listendaten von dem werbenden Unternehmen im Zusammenhang mit der Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen (also bei Bestandskunden) oder rechtsgeschäftsähnlichen Schuldverhältnisses gem. § 28 Abs. 1 S. 1 Nr. 1 BDSG bei den Betroffenen oder aus allgemein zugänglichen Adress-, Rufnummern-, Branchen- oder vergleichbaren Verzeichnissen erhoben wurden. Etwas anderes gilt lediglich für das die Zugehörigkeit zu einer Personengruppe beschreibende Datum, das vom werbenden Unternehmen typischerweise selbst festgelegt wird.86 Der Rückgriff auf die Daten von Bestandskunden ist regelmäßig unproblema- 43 tisch, denn mit diesen besteht in der Regel ein Vertragsverhältnis und damit ein rechtsgeschäftliches Schuldverhältnis. Schwieriger zu beantworten ist hingegen die Frage, wann darüber hinaus ein rechtsgeschäftliches oder rechtsgeschäftsähnliches Schuldverhältnis vorliegt, das die Verwendung der insoweit erhobenen Daten erlaubt. Eine gesetzliche Bestimmung der Begriffe rechtsgeschäftliche und rechtsgeschäftsähnliche Schuldverhältnisse findet sich in § 311 Abs. 1 und 2 BGB. Aus § 311 Abs. 2 und 3 BGB geht hervor, dass insbesondere der Begriff des rechtsgeschäftsähnlichen Schuldverhältnisses sehr weit zu fassen ist. Aus diesem Grunde können z. B. auch die für die Teilnahme an einem Gewinnspiel – soweit es sich um eine Auslobung i. S. d. § 657 BGB, um ein Preisausschreiben i. S. d. § 661 BGB oder eine Gewinnzusage i. S. d. § 661a BGB handelt – oder die für die Abwicklung eines Probeabonnements erhobenen Daten als Listendaten zusammengefasst werden.87 In einem solchen Fall entsteht ebenfalls ein Rechtsverhältnis, das Schutzpflichten gegenüber den Betroffenen begründet.88 Nach Ansicht der Datenschutzaufsichtsbehörden soll sogar die Anforderung von Katalogen und Prospekten ein rechtsgeschäftsähnliches
86 Vgl. Simitis/Simitis, § 28 Rn 239; Gola/Schomerus, § 28 Rn 52; Däubler/Klebe/Wedde/Weichert, § 28 Rn 100. 87 Bergmann/Möhrle/Herb, § 28 Rn 359; Gola/Schomerus, § 28 Rn 52. 88 BGH, Urt. v. 25.10.2012 – I ZR 169/10 – CR 2013, 440, 441.
Ringel
500
Kapitel 10 Nutzung von Kundendaten
Schuldverhältnis begründen.89 Allerdings sind die Betroffenen bei der Erhebung über eine beabsichtigte werbliche Verwendung ihrer Daten und ihr Widerspruchsrecht aus § 28 Abs. 4 BDSG zu unterrichten90 und es dürfen nur die Daten werblich genutzt werden, die vom Listenprivileg des § 28 Abs. 3 S. 2 BDSG umfasst sind.91 Wichtig ist, dass die Daten unmittelbar im Zusammenhang für Zwecke der 44 Begründung, Durchführung oder Beendigung des Schuldverhältnisses erhoben wurden. Lediglich anlässlich eines Gewinnspiels oder sonstigen rechtsgeschäftsähnlichen Schuldverhältnisses z. B. im Rahmen einer separaten Einwilligung erhobenen Daten dürfen nicht verwendet werden.92 Die Daten müssen also erforderlich gewesen sein, um das rechtsgeschäftsähnliche Schuldverhältnis, z. B. das Gewinnspiel, durchführen zu können. Mangels Konzernprivilegs darf grundsätzlich auch nicht auf die Kundendaten 45 zurückgegriffen werden, die von anderen Konzernunternehmen erhoben wurden. Es dürfen insoweit nur die jeweils eigenen Kunden werblich angesprochen werden.93 Etwas anderes kommt nur im Rahmen des § 28 Abs. 3 S. 4 BDSG in Betracht, wonach Listendaten auch zu Werbezwecken übermittelt werden dürfen, was überhaupt nur Sinn macht, wenn dies – obwohl nicht ausdrücklich geregelt – mit einer Erhebungsund Nutzungsbefugnis der empfangenden Stelle zu Werbezwecken korrespondiert.94 Schließlich muss die Speicherung der für die Erstellung der Liste genutzten Daten 46 zu diesem Zeitpunkt noch zulässig gewesen sein. Es dürfen daher keine Daten verwendet werden, die gem. § 35 BDSG zuvor bereits zu löschen oder zu sperren gewesen wären. Sollten die Daten für die Begründung, Durchführung oder Beendigung eines Schuldverhältnisses nicht mehr erforderlich gewesen sein, kommt es darauf an, ob sie bereits zweckändernd für die werbliche Verwendung gespeichert wurden.95 Die Pflicht zur Löschung oder Sperrung nach Beendigung eines Vertragsverhältnisses entfällt, wenn sich für deren Speicherung eine neue Legitimationsgrundlage ergibt. Teilweise wird hierzu ausdrücklich die Zusendung von Werbematerial zwecks Moti-
89 Anwendungshinweise der Datenschutzaufsichtsbehörden zur Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten für werbliche Zwecke, Stand: Dezember 2013, Ziff. 3.4, http:// www.lda.bayern.de/lda/datenschutzaufsicht/lda_daten/Anwendungshinweise_Werbung.pdf (im Folgenden: Anwendungshinweise Werbung); ebenso Eckhardt/Rheingans, ZD 2013, 318, 324. Nach anderer Auffassung sollen solch einseitige Interessenbekundungen ohne Vertragsverhandlungen nicht genügen, vgl. dazu Gola/Schomerus, § 28 Rn 52; Wolff/Brink/Wolff, § 28 Rn 125. 90 Voigt, K&R 2014, 156, 158. 91 Vgl. oben Rn 36 ff. 92 Plath/Plath, § 28 Rn 122 m. w. N. 93 Bergmann/Möhrle/Herb, § 28 Rn 355. 94 Vgl. Rn 200, überdies Gola/Schomerus, § 28 Rn 48. 95 Vgl. LG Augsburg, Urt. v. 19.8.2011 – 3 HK O 2827/11 – ZD 2012, 476, 477; Eckhardt/Rheingans, ZD 2013, 318, 324.
Ringel
A. Werbung
501
vation zur Tätigung weiterer Einkäufe gezählt.96 Diese Ansicht begegnet allerdings rechtlichen Zweifeln. Sie konnte vor den Datenschutznovellen mit dem Argument vertreten werden, dass die Werbung als ein von der Rechtsordnung gebilligtes Interesse gem. § 28 Abs. 1 S. 1 Nr. 2 BDSG a. F. gewertet wurde und insoweit auch die Speicherung von Daten früherer Kunden zulässig war, wenn dem nicht höher einzuschätzende schutzwürdige Interessen der Betroffenen entgegenstanden.97 Gemäß der heute geltenden Rechtslage ist die Verarbeitung und Nutzung von Kundendaten für Werbezwecke indes in § 28 Abs. 3 BDSG abschließend geregelt. Ein Rückgriff auf § 28 Abs. 1 S. 1 Nr. 2 BDSG (nunmehr i. V. m. § 28 Abs. 2 Nr. 1 BDSG) dürfte als Legitimationsgrundlage für eine fortgesetzte Speicherung von Daten zu Werbezwecken deshalb nunmehr ausscheiden, wenn diese noch nicht listenmäßig zu Werbezwecken zusammengefasst waren und bereits einer Löschungs- oder Sperrpflicht unterlagen. Darüber hinaus ist aber anerkannt, dass eine Speicherung nach Beendigung der Geschäftsbeziehung für die Dauer bestehender Verjährungsfristen zulässig ist, wenn eine entsprechende Inanspruchnahme nicht ausgeschlossen werden kann.98 Aus diesem Bestand generierte Listendaten dürfen bis zur Löschung bzw. Sperrung weiter für Werbezwecke genutzt werden. Die Erhebung aus Adress-, Rufnummern-, Branchen- oder vergleichbaren 47 Verzeichnissen ist nur zulässig, wenn es sich tatsächlich um solche Verzeichnisse handelt und diese allgemein zugänglich sind. Die Zusammenstellung von Informationen aus allgemein zugänglichen Quellen, die jeweils nur Daten zu einzelnen Personen enthalten, stellt keine Erhebung aus einem Verzeichnis dar.99 Aus Rufnummernverzeichnissen dürfen nur zulässige Listendaten wie Namen und Anschrift, nicht jedoch die Rufnummern selbst entnommen werden.100 Die Verzeichnisse müssen allgemein und damit jedermann zugänglich sein.101 Sobald ein Verzeichnis mit einer Zugangsbarriere wie z. B. einem Passwort versehen ist, scheidet es als Datenquelle aus.102 Entsprechend scheiden auch soziale Netzwerke als allgemein zugängliche Datenquelle aus,103 was letztlich aber auch schon aufgrund entsprechender Beschränkungen in den AGB des jeweiligen Anbieters gilt. Auch geschützte Adress-, Rufnummern- und Branchenverzeichnissen vergleichbare Verzeichnisse scheiden deshalb als allgemein
96 Gola/Schomerus, § 35 Rn 13. Dies ebenfalls aufgreifend Taeger/Vander, DSRI-Tagungsband 2012, 621 f. 97 Zu alten Rechtslage Gola/Schomerus, 8. Aufl., § 28 Rn 39. 98 Däubler/Klebe/Wedde/Weichert, § 35 Rn 23c; Plath/Kamlah, § 35 Rn 19. 99 Bergmann/Möhrle/Herb, § 28 Rn 360. 100 Die Rufnummer ist gem. § 28 Abs. 3 S. 2 BDSG kein zulässiges Listendatum; vgl. Plath/Plath, § 28 Rn 123. 101 Wolff/Brink/Wolff, § 28 Rn 126. 102 Däubler/Klebe/Wedde/Weichert, § 28 Rn 100. 103 Gola/Schomers, § 32 Rn 35.
Ringel
502
48
49
50
51
Kapitel 10 Nutzung von Kundendaten
zugängliche Datenquelle aus.104 Welche allgemein zugänglichen Verzeichnisse für die Zusammenstellung der Listendaten genutzt wurden, muss indes nicht angegeben werden.105 Der Wortlaut des § 28 Abs. 3 S. 2 Nr. 1 BDSG spricht dafür, dass das werbende Unternehmen die Daten aus einem allgemein zugänglichen Verzeichnis selbst erhoben haben muss. Zutreffend dürfte indes die Auffassung sein, nach der die Verwendung von Daten Dritter zulässig sei, soweit das werbende Unternehmen diese selbst aus allgemein zugänglichen Verzeichnissen hätte erheben können.106 Eine gesteigerte Gefährdung der berechtigten Interessen der Betroffenen ist in diesem Fall nicht erkennbar. Die Zusammenführung von Daten, die gem. § 28 Abs. 1 S. 1 Nr. 1 BDSG erhoben wurden, mit Daten aus allgemein zugänglichen Adress-, Rufnummern-, Branchenoder ähnlichen Verzeichnissen ist zulässig.107 Für eine Werbemaßnahme können somit sowohl Daten von Bestandskunden als auch von potenziellen Neukunden verwendet werden. Ausschließlich für Zwecke der Eigenwerbung erlaubt § 28 Abs. 3 S. 3 BDSG, wie bereits ausgeführt, das Hinzuspeichern weiterer Daten. Dieser für das Datenschutzrecht neue Begriff des „Hinzuspeicherns“ wird weder in den Begriffsbestimmungen des § 3 BDSG noch an anderer Stelle gesetzlich definiert. Der Gesetzesbegründung kann lediglich entnommen werden, dass die weiteren Daten vom Unternehmen gestützt auf eine andere Befugnisnorm rechtmäßig erhoben oder ihm rechtmäßig übermittelt worden sein müssen.108 Folglich besteht Einigkeit, dass § 28 Abs. 3 S. 3 BDSG keine selbstständige Erlaubnisnorm für die Erhebung von Daten ist.109 Die Listendaten können um eine beliebige Anzahl zusätzlicher Daten ergänzt werden, wobei es auch nicht darauf ankommt, ob diese Daten ursprünglich für Werbezwecke verwendet werden durften.110 Bezüglich der Art dieser Daten wird aus dem Wortlaut „weitere“ Daten geschlossen, dass alle außer den in § 28 Abs. 3 S. 2 BDSG genannten Listendaten hinzugespeichert werden dürfen.111 Damit wird den werbenden Unternehmen die Möglichkeit eingeräumt, ihre Werbemaßnahmen anhand der aus ihrer Sicht sinnvollen Kundenmerkmale auszurichten. Hierzu können beispielsweise Daten über bereits getätigte Einkäufe hinzugespeichert werden.112 Die in
104 Wolff/Brink/Wolff, § 28 Rn 124. 105 Plath/Plath, § 28 Rn 123; Bergmann/Möhrle/Herb, § 28 Rn 362. 106 So Gola/Schomerus, § 28 Rn 53. 107 Wolff/Brink/Wolff, § 28 Rn 125; Kazemi/Leopold, § 3 Rn 60. 108 BT-Drucks. 16/12011, 32. 109 OLG Köln, Urt. v. 19.11.2010 – 6 U 73/10 – CR 2011, 680, 682; Wolff/Brink/Wolff, § 28 BDSG Rn 132; Plath/Plath, § 28 Rn 128 m. w. N.; Bergmann/Möhrle/Herb, § 28 Rn 385. 110 Plath/Plath, § 28 Rn 130. 111 So Plath/Plath, § 28 Rn 129. 112 Leupold/Glossner/Scheja/Haag, Kap. 5 Rn 145.
Ringel
A. Werbung
503
§ 28 Abs. 2 S. 2 BDSG getroffene Festlegung der Listendaten auf nur ein Merkmal zur Zugehörigkeit einer Personengruppe wird für den Bereich der Eigenwerbung damit deutlich relativiert. Eine inhaltliche Beschränkung sollte aber daraus resultieren, dass es auch insoweit auf die Erforderlichkeit der Daten i. S. d. § 28 Abs. 1 S. 2 BDSG ankommen dürfte. Bereits dieser Erforderlichkeit dürfte entgegenstehen, dass die Nutzung eines personenbezogenen Datums ohne Einwilligung aus anderen, beispielsweise aus wettbewerbsrechtlichen Gründen unzulässig ist. Telefonnummern und E-Mail-Adressen können danach nur hinzugespeichert werden, soweit deren Nutzung im Rahmen des § 7 Abs. 2 Nr. 2, Abs. 3 UWG einwilligungslos zulässig ist.113 Daten, die ohne Einwilligung nicht verwendet werden dürfen, sind für eine einwilligungslose Werbung nicht erforderlich. Spätestens im Zusammenhang mit § 28 Abs. 3 S. 6 BDSG, demgemäß der Hinzuspeicherung und Nutzung schutzwürdige Interessen der Betroffenen nicht entgegenstehen dürfen, sind die wettbewerbsrechtlichen Beschränkungen der Werbung mittels Fernkommunikation zu beachten.114 Die Grenze der Zulässigkeit des Hinzuspeicherns ist jedenfalls dann erreicht, wenn hierdurch ein Kunden- oder Persönlichkeitsprofil der Betroffenen entstehen würde, was insbesondere zu bejahen wäre, wenn die Liste Aussagen zum Verhalten der betroffenen Kunden zuließe; denn derartige Profile dürfen stets nur mit Einwilligung der Betroffenen erstellt werden.115 Nicht einheitlich verhält sich die Rechtsprechung zur Frage, ob der Umstand des 52 Wechsels zu einem anderen Anbieter als Listendatum hinzugespeichert werden darf, um ehemalige Kunden zwecks Rückgewinnung anzusprechen. Das OLG Köln hat dies für die alte und die neue Rechtslage verneint.116 Nach Ansicht des LG Augsburg darf die Information, zu welchem neuen Anbieter ein Kunde gewechselt ist, dagegen mit dem Ziel hinzugespeichert werden, diesen Kunden gezielt anzusprechen. Dem stehe auch nicht die gem. § 28 Abs. 3 S. 6 BDSG gebotene Abwägung mit den Interessen des ehemaligen Kunden entgegen.117 Das mit dieser Entscheidung befasste OLG München konnte diese Frage offenlassen, da es die Berufung der unterlegenen Antragstellerin aus anderen Gründen als unbegründet zurückweisen konnte.118 Für die Praxis bleiben angesichts der Rechtsprechung des OLG Köln Unsicherheiten bestehen, auch wenn mit guten Gründen eine Zulässigkeit der Hinzuspeicherung der Information des Wechsels zu einem anderen Anbieter vertreten werden kann.119
113 Siehe dazu unter Rn 185 ff. 114 An dieser Stelle und nicht bereits bei der Erforderlichkeit ansetzend auch die Datenschutzaufsichtsbehörden in ihren Anwendungshinweisen zur Werbung, Ziff. 3.9 und 3.10. Siehe dazu auch Voigt, K&R 2014, 156, 157. 115 Gola/Schomerus, § 28 Rn 11. 116 OLG Köln, Urt. v. 14.8.2009 – 6 U 70/09 – MMR 2009, 845; OLG Köln, Urt. v. 31.3.2010 – 42 O 70/09 – CR 2011, 681 f. 117 LG Augsburg, Urt. v. 19.8.2011 – 3 HK O 2827/11 – ZD 2012, 476. 118 OLG München, Urt. v. 12.1.2012 – 29 U 3926/11 –. 119 Eingehend dazu Taeger/Vander, DSRI-Tagungsband 2012, 613 ff.
Ringel
504
Kapitel 10 Nutzung von Kundendaten
Zur Frage der Quelle der hinzuspeicherbaren Daten verhält sich die Gesetzesbegründung widersprüchlich. Zum einen wird § 28 Abs. 1 S. 1 Nr. 3 BDSG als Erlaubnisnorm für die rechtmäßige Ersterhebung mit aufgeführt. Zum anderen heißt es, § 28 Abs. 3 S. 3 BDSG solle es ermöglichen, einen eigenen Datenbestand, der „direkt beim Betroffenen erhoben wurde“, für werbliche Zwecke zu selektieren und so Betroffenen gezielter anzusprechen.120 Aus Sicht der werbenden Unternehmen ist diese Fragestellung eher theoretischer Natur. Hinsichtlich der praktisch relevanten werblichen Nutzung von E-Mail-Adressen und Mobiltelefonnummern werden die Bestimmungen des BDSG ohnehin von dem insoweit strengeren Wettbewerbsrecht überlagert.121 Der Begriff des Hinzuspeicherns erfasst im Wege eines Erst-Recht-Schlusses auch 54 das „Hinzunutzen“ der betreffenden Daten für Zwecke der Eigenwerbung.122 Das Unternehmen darf auf der Grundlage des § 28 Abs. 3 S. 2 Nr. 1 BDSG aus55 schließlich eigene Angebote bewerben. Was eigene Angebote sind, lässt sich aus Sicht eines produzierenden Unternehmens oder eines Dienstleisters leicht bestimmen. Beworben können die selbst produzierten Waren oder erbrachten Dienstleistungen. Im Falle eines Händlers, der selbst keine Waren produziert oder Dienstleistungen erbringt, dürften zu den eigenen Angeboten die von ihm vertriebenen Angebote anderer Hersteller zählen. So kann etwa ein Kaufhaus auch Basis dieser Vorschrift für die in seinen Filialen vertriebenen Produkte werben. Nicht zu den eigenen Angeboten gehören solche von Konzernunterneh56 men.123 Deren Angebot können unter den Voraussetzungen des § 28 Abs. 3 S. 5 BDSG ggf. als fremde Angebote mit beworben werden.124 Auch eine Weitergabe der Listendaten an Dritte für deren Werbezwecke kann wegen der Beschränkung der Werbung auf eigene Angebote nicht auf § 28 Abs. 3 S. 1 Nr. 1 BDSG gestützt werden.125 Insoweit ist vielmehr § 28 Abs. 3 S. 5 BDSG maßgeblich. 53
b) Berufsbezogene Werbung
57 Listendaten dürfen gem. § 28 Abs. 3 S. 2 Nr. 2 BDSG ferner für Werbemaßnahmen
verwendet werden, die im Hinblick auf eine bestimmte berufliche Tätigkeit der Betroffenen durchgeführt werden sollen. Beschränkungen bezüglich der Herkunft der Daten, wie bei der Eigenwerbung, 58 bestehen nicht. Allerdings darf nur die berufliche Anschrift der Betroffenen genutzt werden. Damit soll verhindert werden, dass freiberuflich bzw. gewerblich
120 BT-Drucks. 16/12011, 32. 121 Siehe dazu eingehend unter Rn 153 ff. 122 Gola/Reif, Rn 321; Plath/Plath, § 28 Rn 132. 123 Vgl. Kazemi/Leopold, § 3 Rn 58; Wolff/Brink/Wolff, § 28 BDSG Rn 124. 124 Siehe dazu unter Rn 65 ff. 125 Däubler/Klebe/Wedde/Weichert, § 28 Rn 100.
Ringel
A. Werbung
505
Tätige auch in ihrer Eigenschaft als Privatpersonen über ihre Privatadresse werblich angesprochen werden.126 Ist die berufliche mit der privaten Anschrift identisch, so ist die Werbung mit der üblichen Berufsbezeichnung der Betroffenen zu versehen.127 Entgegen der ursprünglich vorgeschlagenen Fassung, die nur eine Werbung 59 „gegenüber freiberuflich oder gewerblich Tätigen“ vorsah,128 ist nunmehr auch die werbliche Ansprache der bei diesen Beschäftigten erlaubt.129 Es bleibt allerdings bei der Bindung der Werbung an die konkrete berufliche Tätigkeit der Betroffenen. Die beworbene Ware oder Dienstleistung muss stets für die konkrete berufliche Tätigkeit genutzt werden können, was etwa bei Arbeitskleidung, typischen Büromöbeln und den meisten Elektronikartikeln regelmäßig der Fall sein dürfte.130 Eine Beschränkung auf die Daten von Bestandskunden oder auf Daten, die 60 nur aus den in § 28 Abs. 3 S. 2 Nr. 1 BDSG genannten Verzeichnissen stammen dürfen, enthält § 28 Abs. 3 S. 2 Nr. 2 BDSG für die berufsbezogene Werbung nicht. Folglich können die Adressdaten auch aus anderen zulässigen Quellen, wie beispielsweise Internetdatenbanken oder Websites, stammen. Die Beschränkung des § 28 Abs. 3 S. 2 Nr. 2 BDSG auf Listendaten ohne die Mög- 61 lichkeit des Hinzuspeicherns wirft Fragen hinsichtlich der Möglichkeit der berufsbezogenen Werbung per Telefon auf. Während § 7 Abs. 2 Nr. 2 Alt. 2 UWG im Geschäftsbereich eine telefonische Werbeansprache auch im Falle einer mutmaßlichen Einwilligung erlaubt, scheidet diese Möglichkeit datenschutzrechtlich eigentlich aus. Telefonnummern zählen wie dargelegt nicht zu den Listendaten.131 Folglich setzt die Nutzung der Telefonnummer auch für die berufsbezogene Werbung gem. § 28 Abs. 3 S. 1 BDSG eine wirksame Einwilligung voraus. Lediglich konkludente oder mutmaßliche Einwilligungen genügen indes nicht den datenschutzrechtlichen Anforderungen an eine wirksame Einwilligung.132 Ein solches Auseinanderdriften zwischen den wettbewerbsrechtlichen und datenschutzrechtlichen Anforderungen ist in Bezug auf die berufsbezogene E-Mail-Werbung wegen des generellen Einwilligungsvorbehalts in § 7 Abs. 2 Nr. 3 UWG und der mit § 28 Abs. 3 S. 3 BDSG korrespondierenden Ausnahmevorschrift des § 7 Abs. 3 UWG indes nicht festzustellen.
126 Kazemi/Leopold, § 3 Rn 66. 127 Gola/Schomerus, § 28 Rn 57. 128 BT-Drucks. 16/12011, 13. 129 BT-Drucks. 16/13657, 19; vgl. Gola/Schomerus, § 28 Rn 57; Grentzenberg/Schreibauer/Schuppert, K&R 2009, 535. 130 Wolff/Brink/Wolff, § 28 BDSG Rn 127. 131 Siehe Rn 36. 132 Vgl. Simitis/Simitis, § 4a Rn 44.
Ringel
506
Kapitel 10 Nutzung von Kundendaten
c) Spendenwerbung
62 Schließlich ist gem. § 28 Abs. 3 S. 2 Nr. 3 BDSG die Werbung für Spenden unter Ver-
wendung der Listendaten ohne Einwilligung der Betroffenen zulässig. Voraussetzung hierbei ist, dass es sich allein um die Einwerbung von Spenden handelt, die gem. § 10b Abs. 1 und § 34g EStG steuerbegünstigt sein müssen. Diese Regelung soll laut Gesetzesbegründung in Anlehnung an bestehende steuerliche Vergünstigungen den finanziellen Fortbestand der betreffenden Einrichtung begünstigen, in dem die werbliche Ansprache von potenziellen Spendern erleichtert wird.133 Liegen die Voraussetzungen für eine Steuerbegünstigung nicht (mehr) vor, ent63 fällt insoweit auch das Listenprivileg und bedarf die Spendenwerbung einer wirksamen Einwilligung. Dabei dürfte es auf den Zeitpunkt der werblichen Ansprache ankommen. Wird etwa die (vorläufige) Anerkennung als steuerbegünstigte Körperschaft wegen Verstößen gegen gemeinnützigkeitsrechtliche Bestimmungen rückwirkend aberkannt, macht dies nicht zugleich die bis dahin ohne Einwilligung der Betroffenen erfolgte Werbung datenschutzrechtlich unzulässig. Etwas anderes dürfte gelten, wenn die spendenfinanzierte Betätigung offensichtlich nicht den Anforderungen einer steuerlichen Begünstigung entspricht. Dann sind auch die Voraussetzungen einer ohne Einwilligung zulässigen Werbung erkennbar nicht gegeben. Inhaltlich darf nur um Spenden für die steuerlich begünstigte Betätigung gewor64 ben werden. Die Werbung für Angebote eines Zweckbetriebes oder wirtschaftlichen Geschäftsbetriebes der steuerbegünstigten Körperschaft wird von dieser Erlaubnisnorm nicht erfasst. Mit Verweis auf die Gesetzesbegründung wird teilweise vertreten, dass der Gesetz65 geber mit der Neuregelung der Spendenwerbung in § 28 Abs. 3 S. 2 Nr. 3 BDSG keine Änderung der bisherigen Rechtslage habe herbeiführen wollen, weshalb die Verwendung anderer als Listendaten zum Zwecke der Spendenwerbung weiterhin gem. § 28 Abs. 1 S. 1 Nr. 2 BDSG zulässig sei.134 Mit Blick auf den eindeutigen Wortlaut von § 28 Abs. 3 S. 2 Nr. 3 BDSG erscheint dieses Verständnis aber eher fraglich, zumal es gerade keine eindeutige Stütze in der Gesetzesbegründung findet.135 Darüber hinaus ist davon auszugehen, dass § 28 Abs. 3 bis 4 BDSG abschließende Regelungen für das gesamte Recht der werblichen Nutzung personenbezogener Daten im Anwendungsbereich dieses Gesetzes enthalten sollen.136 Daher sprechen die besseren Gründe dafür, für eine Anwendung des § 28 Abs. 1 S. 1 Nr. 2 BDSG auf die Spendenwerbung kein Raum
133 BT-Drucks. 16/12011, 32. 134 So Pfeiffer, MMR 2009, 524, 524. 135 BT-Drucks. 16/12011, 32. 136 Für eine „bereichsspezifische Regelung im Kleinstformat“ Wolff/Brink/Wolff, § 28 BDSG Rn 112; vgl. auch Gola/Schomerus, § 28 Rn 42.
Ringel
A. Werbung
507
zu sehen, weshalb zu empfehlen ist, die Verwendung anderer als Listendaten vom Vorliegen einer wirksamen Einwilligung der Betroffenen abhängig zu machen.137 Praxistipp Die Spendenwerbung sollte ohne Einwilligung der Betroffenen nur auf der Basis von Listendaten erfolgen. Insoweit dürfte allein § 28 Abs. 3 S. 2 Nr. 3 BDSG maßgeblich sein; § 28 Abs. 1 S. 1 Nr. 2 BDSG dürfte daneben keine Anwendung finden.
3. Werbung für fremde Angebote Laut § 28 Abs. 3 S. 5 BDSG dürfen unabhängig vom Vorliegen der Voraussetzungen 66 des § 28 Abs. 3 S. 2 BDSG Kundendaten auch für die Bewerbung fremder Angebote ohne eine Einwilligung genutzt werden. Wie bereits erwähnt, eröffnet dies auch die Möglichkeit zur Werbung für andere Konzernunternehmen. Der Wortlaut der Vorschrift führt zu dem eher überraschenden Ergebnis, dass sich die Datengrundlage für diese Werbung nicht auf Listendaten beschränkt.138 Für die berufsbezogene Werbung entfällt ferner die Pflicht, Werbung nur an die berufliche Anschrift zu versenden.139 Insoweit sind die Voraussetzungen für die einwilligungslose Nutzung von Kundendaten deutlich weniger streng und widersprechen eigentlich der Systematik des § 28 Abs. 3 S. 2 BDSG. Den Unternehmen wird damit vor allem erlaubt, neben ihren eigenen auch die Produkte oder Dienstleistungen anderer Anbieter zu bewerben (sog. Beipackwerbung). Die Bewerbung eigener Produkte ist aber nicht zwingend erforderlich; es können auch nur fremde Angebote beworben werden (sog. Empfehlungswerbung). Unter Hinweis auf die Zielsetzung der Datenschutznovellen, das Listenprivileg zugunsten der Betroffenen einzuschränken, wird vertreten, die Formulierung „Unabhängig vom Vorliegen der Voraussetzungen des Satzes 2 …“ sei lediglich missverständlich und eine Aufhebung der Begrenzung auf Listendaten nicht beabsichtigt.140 Angesichts des eindeutigen Wortlauts und der Erweiterung des bisherigen Listenprivilegs auch an anderen Stellen der Vorschrift überzeugt diese Auffassung allerdings nicht.141
137 Ebenfalls an der Zulässigkeit der Verwendung anderer als Listendaten zweifelnd Wolff/Brink/ Forgó, Syst. G Rn 87. 138 Plath/Plath, § 28 Rn 145; Wolff/Brink/Wolff, § 28 BDSG Rn 136; Gola/Wronka, Kundendatenschutz Rn 343. 139 Siehe dazu und zur notwendigen Klärung dieses Systemwiderspruchs durch den Gesetzgeber Voigt, K&R 2014, 156, 159. 140 Meltzian, DB 2009, 2643, 2646 f.; so wohl auch Simitis/Simitis, § 28 Rn 244: „Listen … können auch dazu genutzt werden, um für fremde Angebote zu werben (Abs. 3 S. 5).“ 141 Siehe die Erweiterung der berufsbezogenen Werbung nunmehr auch gegenüber Beschäftigten in § 28 Abs. 3 S. 2 Nr. 2 BDSG. Zur tatsächlich erfolgten Erweiterung des Listenprivilegs und der Kritik daran siehe auch Däubler/Klebe/Wedde/Weichert, § 28 Rn 94 ff.
Ringel
508
Kapitel 10 Nutzung von Kundendaten
Praxistipp Die Praxis muss sich aber darauf einstellen, dass die Datenschutzaufsichtsbehörden „eine sinngemäße und dem (mutmaßlichen) Willen des Gesetzgebers entsprechende Auslegung“ ebenfalls in der Weise fordern, dass die Eingrenzung auf Listendaten auch für § 28 Abs. 3 S. 5 BDSG gilt.142 Soll jeder Konflikt an dieser Stelle vermieden werden, empfiehlt sich deshalb eine Abstimmung mit der Datenschutzaufsicht. 67 Erforderlich ist jedenfalls, dass für den Betroffenen neben dem Anbieter des bewor-
benen Produkts im Zeitpunkt der werblichen Ansprache die für die Nutzung der Daten verantwortliche Stelle eindeutig erkennbar wird. Damit ist nicht das Unternehmen gemeint, dessen Werbung versendet wird. Verantwortlicher im Sinne dieser Vorschrift ist das Unternehmen, das für fremde Angebote wirbt bzw. die entsprechenden Werbematerialien versendet.143 Eindeutig erkennbar ist dieses nach der Gesetzesbegründung, wenn der Betroffene es ohne Zweifel und mit seinen Kenntnissen und Möglichkeiten identifizieren kann und nicht nur die Möglichkeit erhält, diese erst durch weiteres Tätigwerden identifizieren zu können.144 Erforderlich ist also die Angabe – der genauen rechtlichen Bezeichnung (Firma und Rechtsform) und – einer ladungsfähigen Anschrift unter Angabe von Ort und Straße (nicht nur Postfach) des für fremde Angebote werbenden Unternehmens.145
68 Allerdings dürfen Kundendaten insoweit nur genutzt und nicht auch verarbeitet oder
erhoben werden.146 Entsprechend dürfen für die Fremdwerbung bloße Bestandsdaten genutzt werden. Unter diese Vorschrift ist auch die in der Praxis weitverbreitete Einschaltung 69 von Lettershops oder Listbrokern zu fassen.147 Erstere versenden die ihnen von den Unternehmen bereitgestellten Werbemittel unter Verwendung eines Adressdatenbestands, der ihnen von dem werbenden Unternehmen und/oder einem Adresshändler zur Verfügung gestellt wird. Das werbende Unternehmen selbst erhält so keinen Zugriff auf die von einem Adresshändler oder sonstigen Dritten bereitgestellten Daten.148 Aufgrund der bestehenden Transparenzanforderungen (§ 28 Abs. 3 S. 5
142 Anwendungshinweise Werbung, Ziff. 3.13. 143 Wolff/Brink/Wolff, § 28 BDSG Rn 137. 144 BT-Drucks. 16/13657, 19. 145 Vgl. Bergmann/Möhrle/Herb, § 28 Rn 394; Wolff/Brink/Wolff, § 28 Rn 137; Meltzian, DB 2009, 2643, 2645. Ebenso die Datenschutzaufsichtsbehörden in ihren Anwendungshinweisen Werbung, Ziff. 3.12. Gegen die Pflicht zur Angabe einer ladungsfähigen Anschrift Plath/Plath, § 28 Rn 146. 146 Däubler/Klebe/Wedde/Weichert, § 28 Rn 114. 147 Vgl. Plath/Frey, BB 2009, 1762, 1764. 148 Siehe dazu auch Plath/Plath, § 28 Rn 148.
Ringel
A. Werbung
509
BDSG) dürfen Lettershops grundsätzlich nicht mehr anonym agieren, müssen ihre eigene Identität bei der Werbeansprache also dem Grunde nach offenlegen. Etwas anderes gilt aber, wenn diese für das Unternehmen, dessen Angebote beworben werden, jeweils im Rahmen einer Auftragsdatenverarbeitung tätig sind. In einem solchen Fall bleiben gem. §§ 3 Abs. 7, 11 Abs. 1 S. 1 BDSG die jeweiligen Auftraggeber für die Werbeansprache verantwortlich.149 Eine Auftragsdatenverarbeitung kommt aber überhaupt nur in Betracht, wenn der Lettershop kein über die konkrete Auftragserbringung hinausgehendes Interesse an den fraglichen Adressdaten hat, insbesondere über diese tatsächlich nicht eigenständig verfügen darf.150 Beim klassischen Geschäftsmodell von Listbrokern, die in der Regel mit Adressdaten lediglich handeln und diese einer Vielzahl von Kunden (Unternehmen) anbieten, scheidet eine Auftragsdatenverarbeitung damit aus. Praxistipp Beim Lettershop-Verfahren ist die Konstruktion der Auftragsdatenverarbeitung indes in der Regel für beide Seiten – Lettershop und werbendes Unternehmen – attraktiv. So trägt der Letter-Shop dann nicht die datenschutzrechtliche Verantwortung für die Werbemaßnahme und der Empfänger erhält den Eindruck, die Werbung würde unmittelbar von dem werbenden Unternehmen übersandt werden. Gerade aus der Sicht des werbenden Unternehmens resultieren daraus aber auch massive Risiken, da es dann umfänglich datenschutzrechtlich haftet, ggf. aber auch in wettbewerbsrechtlicher und allgemein zivilrechtlicher Hinsicht einstehen muss. Deshalb gilt es, die gesetzlich ohnehin vorgeschriebene sorgfältige Auswahl des Auftragsdatenverarbeiters (§ 11 Abs. 2 S. 1 BDSG) sowie die Pflicht zur Durchführung eines Vorabaudits (§ 11 Abs. 2 S. 4 BDSG) bei der Auswahl eines Lettershops besonders ernst zu nehmen und hinreichend i. S. v. § 11 Abs. 2 S. 5 BDSG zu dokumentieren. Auch sollten vor dem Hintergrund der Haftungsrisiken nicht nur Umfang, Art und Zweck der Datenverarbeitung, sondern auch der einzelnen Werbemaßnahmen i. S. v. § 11 Abs. 2 S. 1 Nr. 2 BDSG genau festgelegt werden. Letzteres geschieht dann in der Regel über Einzelweisungen, die zweckmäßigerweise schriftlich oder zumindest in Textform (z. B. per E-Mail) erfolgen sollten. Ein „blindes Vertrauen“ in die Rechtmäßigkeit des Angebots eines Lettershops sollte in jedem Falle vermieden werden.
4. Berücksichtigung schutzwürdiger Interessen der Betroffenen Die Werbung auch unter der ausschließlichen Verwendung von Listendaten ist gem. 70 § 28 Abs. 3 S. 6 BDSG nur zulässig, wenn und soweit ihr schutzwürdige Interessen der Betroffenen nicht entgegenstehen. Anders als beispielsweise im Falle des § 28 Abs. 1 S. 1 Nr. 2 und 3 BDSG kommt es nicht darauf an, ob die schutzwürdigen Interessen der Betroffenen das berechtigte Interesse der Unternehmen an der Durchführung von Werbung überwiegen. Es reicht die bloße Existenz entgegenstehender schutzwürdiger Interessen. In die gebotene Interessenabwägung sind insbesondere die Art und
149 Plath/Plath, § 28 Rn 148 m. w. N. 150 Däubler/Klebe/Wedde/Weichert, § 11 Rn 12. Siehe dazu im Einzelnen auch die Ausführungen in Kap. 4 Rn 27.
Ringel
510
Kapitel 10 Nutzung von Kundendaten
Sensitivität der Daten, der jeweilige Werbezweck und die Zugehörigkeit von Betroffenen zu einer besonders schutzwürdigen Personengruppe einzustellen.151 So würde etwa die Bewerbung alkoholischer Produkte gegenüber Minderjährigen der gebotenen Interessenabwägung nicht ohne Weiteres gerecht werden. Schutzwürdige Interessen sind ferner bei der Verwendung besonders geschützter Daten i. S. d. § 3 Abs. 9 BDSG berührt.152 In diesem Zusammenhang wird insbesondere auch die Frage diskutiert, wie lange 71 Listendaten für werbliche Zwecke verwendet werden dürfen bzw. ab wann schutzwürdige Interessen der Betroffenen dem entgegenstehen. Aus Sicht der Aufsichtsbehörden könne die in § 34 Abs. 1a BDSG geregelte Speicherfrist von zwei Jahren als Leitlinie herangezogen werden. Allerdings sei eine Einzelfallprüfung erforderlich, die etwa bei Interessenanfragen auch zu kürzen Fristen führen könne.153 Eine Einzelfallprüfung ist daher nicht entbehrlich. Ausdrücklich vorgesehen ist die Berücksichtigung entgegenstehender Interessen 72 nur für die werbliche Verwendung von Daten gem. § 28 Abs. 3 S. 2 bis 4 BDSG. Insoweit liegt ein Redaktionsversehen des Gesetzgebers infolge der erst im Laufe des Gesetzgebungsverfahrens neu eingefügten Sätze 4 und 5 nahe.154 Folglich sollte das Vorliegen entgegenstehender schutzwürdiger Interessen der Betroffenen auch im Falle des § 28 Abs. 3 S. 5 BDSG (Fremdwerbung) geprüft werden.
5. Freundschaftswerbung
73 Im Rahmen des Listenprivilegs darf nicht auf Adressdaten Dritter zurückgegriffen
werden, welche das Unternehmen von Bestandskunden, z. B. im Rahmen bestimmter Onlineaktionen („Tell-a-friend“),155 erhalten hat (sog. Freundschaftswerbung). Für die Werbung für eigene Angebote folgt dies bereits aus dem Wortlaut des § 28 Abs. 3 S. 2 Nr. 1 BDSG, der die Erhebung der Adressdaten von eigenen Kunden bei diesen selbst oder aus allgemein zugänglichen Adress-, Rufnummern-, Branchen- oder vergleichbaren Verzeichnissen verlangt. Aber auch der Verwendung für die berufsbezogene und die Spendenwerbung steht nach Ansicht der Datenschutzaufsichtsbehörden der Direkterhebungsgrund des § 4 Abs. 2 S. 1 BDSG entgegen.
151 Eingehend dazu Plath/Plath, § 28 Rn 149 ff. 152 Bergmann/Möhrle/Herb, § 28 Rn 409. 153 Anwendungshinweise Werbung, Ziff. 3.6. 154 So auch Grentzenberg/Schreibauer/Schuppert, K&R 2009, 535, 536; bzgl. des Gesetzgebungsverfahrens siehe BT-Drucks. 16/12011, 13 und BT-Drucks. 16/13657, 7; a. A. Plath/Plath, § 28 Rn 152. 155 Zur wettbewerbsrechtlichen Problematik der „Tell-a-friend“-Funktion ausführlich unter Rn 173.
Ringel
A. Werbung
511
IV. Voraussetzungen wirksamer Einwilligungen Jede werbliche Ansprache, die über die Verwendung von Listendaten und zu diesen 74 rechtmäßig hinzugespeicherten Daten hinausgeht, bedarf gem. § 28 Abs. 3 S. 1 BDSG einer wirksamen Einwilligung der Betroffenen. Diese muss auf einer freien Entscheidung beruhen und den in § 4a BDSG näher bestimmten inhaltlichen und formellen Anforderungen genügen.156 Für die werbliche Verwendung von Kundendaten werden diese Vorgaben durch § 28 Abs. 3a und b BDSG ergänzt.
1. Freie Entscheidung des Betroffenen Laut § 4a Abs. 1 S. 1 BDSG ist eine Einwilligung nur wirksam, wenn sie auf einer 75 freien Entscheidung des Betroffenen beruht. An der notwendigen Freiwilligkeit fehlt es, wenn die Einwilligung unter Ausnutzung einer wirtschaftlichen Machtposition abgepresst wird.157 Im Zusammenhang mit der Einwilligung in die werbliche Nutzung von Kundendaten kann die Freiheit der Entscheidung infrage gestellt sein, wenn der Eindruck vermittelt wird, ohne die Einwilligung würde eine grundlegende vertragliche Leistung vorenthalten.158 Dies gilt gleichermaßen, wenn die Betroffenen durch übermäßige Anreize finanzieller oder sonstiger Art zur Preisgabe seiner Daten verleitet werden, wobei allerdings nicht jedes geringfügige Werbegeschenk oder die Chance, einen Preis zu gewinnen, eine freie Entscheidung ausschließt.159 Teilweise wird angenommen, dass allein die Grenze des in § 28 Abs. 3b BDSG geregelten Kopplungsverbots maßgeblich ist und in dessen Grenzen auch der „käufliche Erwerb“ von Einwilligungen möglich sein muss, wenn der Betroffene über den Sinn und Zweck seiner Einwilligung informiert wird und er diese auch widerrufen kann.160
2. Inhaltliche Anforderungen Inhaltlich muss eine wirksame Einwilligung den in § 4a Abs. 1 S. 2 BDSG genannten 76 Anforderungen genügen. Diesen liegt das Konzept einer informierten Einwilligung
156 Däubler/Klebe/Wedde/Weichert, § 4a Rn 92. Zu diesen und weiteren Fragen der datenschutzrechtlichen Einwilligung eingehend: Rogosch. 157 Gola/Schomerus, § 4a Rn 19. 158 Spindler/Schuster/Spindler/Nink, § 4a BDSG Rn 4; in diesem Sinne auch OLG Köln, Urt. v. 17.6.2011 – 6 U 8/11 – ZD 2011, 34. 159 BGH, Urt. v. 16.7.2008 – VIII ZR 348/06 – MMR 2008, 731, 731; BGH, Urt. v. 11.11.2009 – VIII ZR 12/08 – K&R 116, 118; OLG Köln, Urt. v. 17.6.2011 – 6 U 8/11 – ZD 2011, 34; Bergmann/Möhrle/Herb, § 4a Rn 7. 160 So Kazemi/Leopold, § 3 Rn 109.
Ringel
512
Kapitel 10 Nutzung von Kundendaten
des Betroffenen zugrunde (Art. 2 lit. h) der EU-Datenschutzrichtlinie).161 Der Betroffene muss aufgrund der erteilten Informationen erkennen können, welchen Datenverarbeitungsprozessen unter Nutzung welcher Datenbestände er im Einzelnen zustimmt.162 Soweit die konkrete Verwendung der Kundendaten (teilweise) noch unklar ist, ist eine Information über alle ernsthaft in Betracht kommenden Verwendungen und deren Folgen aufzuklären.163 Eine lediglich pauschale Beschreibung der möglichen Verwendungen ohne Erkennbarkeit des Umfangs der Einwilligung wäre ungenügend.164 Im Falle einer ausführlichen und übersichtlichen Aufzählung konkreter Arten von Daten ist es nach Ansicht des OLG Köln unschädlich, wenn die Einwilligung auch „vergleichbare Daten“ einbezieht und der Betroffene gleichwohl noch übersehen kann, auf welche Daten sich seine Einwilligung erstreckt.165 Sollen die Daten auch in einem Drittstaat verwendet werden, sind die Betroffenen ausdrücklich über die dort geltenden Verarbeitungsvoraussetzungen und die damit möglicherweise verbundenen Risiken aufzuklären.166 Auch wenn die für eine wirksame Einwilligung erforderliche Unterrichtung dadurch umfangreich ausfällt, darf dies wiederum nicht dazu führen, dass sie insgesamt unverständlich wird. Insbesondere als AGB würden sie anderenfalls das Transparenzgebot nicht nur des § 4a Abs. 1 BDSG, sondern auch des § 307 Abs. 2 S. 1 BGB verletzen.167 Einzubeziehen ist gerade auch die Information, an welche Personen/Unterneh77 men die Daten im Falle einer Übermittlung weitergegeben werden.168 Die vollständige Bezeichnung des Empfängerkreises ist insbesondere mit Blick auf die Weitergabe an Konzernunternehmen von Bedeutung. Unspezifische Angaben wie die Übermittlung an „andere Firmen“ oder an „andere Konzernunternehmen“ sollen indes unzureichend sein.169 Ändern sich von einer Einwilligung umfasste Konzernunternehmen durch konzerninterne Umstrukturierungen im Wege von Umwandlungen gemäß UmwG oder im Wege eines Share Deals, bedarf es keiner erneuten Einwilligung. Insoweit liegen keine – von der bereits erteilten Einwilligung nicht bereits erfasste –
161 RL 1995/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr v. 24.10.1995, ABl. EG/EU 1995, Nr. L 281, S. 31, 39. 162 LG Frankfurt a. M., Urt. v. 6.6.2013 – 2-24 O 246/12 – MMR 2013, 645, 646 f.; LG Berlin, Urt. v. 30.4.2013 – 15 O 92/12 – ZD 2013, 451, 453. 163 Vgl. Leupold/Glossner/Scheja/Haag, Teil 5 Rn 84. 164 Däubler/Klebe/Wedde/Weichert, § 4a Rn 18; LG Berlin, Urt. v. 30.4.2013 – 15 O 92/12 – ZD 2013, 451, 453. 165 OLG Köln, Urt. v. 17.6.2011 – 6 U 8/11 – ZD 2001, 34. 166 Simitis/Simitis, § 4a Rn 72. 167 Vgl. Gola/Schomerus, § 4a Rn 23. 168 Däubler/Klebe/Wedde/Weichert, § 4a Rn 8; LG Berlin, Urt. v. 30.4.2013 – 15 O 92/12 – ZD 2013, 451, 453. 169 Däubler/Klebe/Wedde/Weichert, § 4a Rn 8; Gola/Schomerus, § 4a Rn 27.
Ringel
A. Werbung
513
Übermittlungsvorgänge i. S. d. § 3 Abs. S. 2 Nr. 3a BDSG vor.170 Umstrukturierungen im Wege eines Asset Deals wären wegen der damit verbundenen Einzelrechtsnachfolge hingegen mit Unsicherheiten behaftet.171 Nach zutreffender Auffassung ist in diesem Fall durch Auslegung zu ermitteln, ob die Einwilligung funktionsbezogen oder geschäftsbezogen erteilt wurde. Im letzteren Fall würde die Einwilligung hinfällig.172 Bei einem Zukauf von Unternehmen soll eine Weitergabe an diese von einer zuvor erteilten Einwilligung gedeckt sein, wenn weiterhin derselbe Zweck, also der Verkauf gleichartiger Produkte oder Dienstleistungen verfolgt wird.173 Empfehlenswert ist jedoch eine Benachrichtigung der Betroffenen gem. § 33 Abs. 1 BDSG.174 In zeitlicher Hinsicht müssen den Betroffenen die notwendigen Informationen 78 vor der Erteilung der Einwilligung bereitgestellt werden.175 Nach dem Wortlaut von § 4a Abs. 1 S. 2 BDSG ist der Betroffene auf die Folgen der 79 Verweigerung der Einwilligung hinzuweisen, soweit dies nach den Umständen des Einzelfalls erforderlich ist oder er dies verlangt. Auf diesen Hinweis kann verzichtet werden, wenn die Verweigerung keine Folgen hat oder diese offensichtlich sind, weil etwa ohne eine Einwilligung in die Nutzung der Adressdaten die Zusendung eines Kataloges ausscheidet.176 Checkliste Um eine möglichst vollständige Information geben zu können, sind aus Sicht des werbenden Unternehmens im Vorhinein zumindest folgende Fragen zu klären: – Welche Daten des Kunden werden für die in Zukunft beabsichtigte Werbung benötigt? – Welche Arten der werblichen Ansprache (per Brief, E-Mail, Telefon, Telefax o. Ä.) ist vorgesehen?177 – Für welche weiteren Maßnahmen der Kundenbindung (etwa Customer Relationship Management) sollen die Daten u. U. verwendet werden? – Welche konkreten Datenverarbeitungsvorgänge sind mit der beabsichtigten Verwendung der Daten des Kunden verbunden und wer hat zu diesem Zweck Zugriff auf diese Daten? – An welche Konzern- und Partnerunternehmen oder sonstigen Dritten sollen die Daten für welche Zwecke weitergegeben werden können? – Mit welchen Folgen muss der Kunde im Falle des Widerrufs einer etwa erforderlichen Einwilligung rechnen?
170 Behling, RDV 2010, 107, 108; Simitis/Dammann, § 3 Rn 144; Schaffland, NJW 2002, 1539, 1540; Lüttke, NJW 2000, 2463, 2465; Däubler/Klebe/Wedde/Weichert, § 4a Rn 46. 171 Behling, RDV 2010, 107, 110. 172 Däubler/Klebe/Wedde/Weichert, § 4a Rn 46; Plath/Plath, § 4a Rn 77. 173 Däubler/Klebe/Wedde/Weichert, § 4a Rn 45. 174 Gola/Schomerus, § 4a Rn 43; Däubler/Klebe/Wedde/Weichert, § 4a Rn 45 und § 33 Rn 8; Plath/ Plath, § 4a Rn 79. 175 Simitis/Simitis, § 4a Rn 70. 176 Vgl. Lehmann/Meents/Runte, Kap. 20 Rn 57. 177 Dabei wird zu berücksichtigen sein, dass auch Telefonate, die aus Sicht des Unternehmens ggf. nur Rückfragen zur Zufriedenheit o. ä. ebenfalls als Werbung anzusehen sind. Hierfür genügt es, dass sie auch der Kundebindung bzw. Förderung des Absatzes dienen.
Ringel
514
Kapitel 10 Nutzung von Kundendaten
80 Ohne die vollständige Einhaltung der Informationspflicht eingeholte Einwilligungen
sind gem. § 134 BGB i. V. m. § 4a Abs. 1 BDSG nichtig.178 Sollen von einer Einwilligung besondere Arten personenbezogener Daten i. S. d. § 3 Abs. 9 BDSG (etwa Gesundheitsdaten oder die Zugehörigkeit zu einer Gewerkschaft) sein, muss sich die Einwilligung gem. § 4a Abs. 3 BDSG ausdrücklich auch auf diese beziehen. Eine wirksame Einwilligung in die Übermittlung von Daten in Drittstaaten 82 ohne angemessenes Datenschutzniveau gem. § 4c Abs. 1 S. 1 Nr. 1 BDSG setzt voraus, dass der Betroffene seine Einwilligung ohne jeden Zweifel erteilt hat. Dies wiederum macht es notwendig, insbesondere auch auf den Umstand hinzuweisen, dass die Daten ins außereuropäische Ausland übermittelt werden und das Datenschutzniveau dort geringer ist.179 81
Praxistipp Einwilligungen in die Übermittlung personenbezogener Daten in Drittländer ohne angemessenes Datenschutzniveau bedürfen zu ihrer Wirksamkeit stets einer hinreichenden Information auch über die Empfängerstaaten und die aus dem fehlenden angemessenen Datenschutzniveau resultierenden Risiken.
3. Opt-in oder Opt-out
83 Unter dem Aspekt der freien Entscheidung wurde lange diskutiert, ob diese eine Opt-
in-Klausel, bei der der Betroffene ausdrücklich angibt, mit der beschriebenen Verwendung seiner Daten einverstanden zu sein, erfordert, oder ob auch eine Opt-outKlausel, bei der der Betroffene klarstellen muss, mit der beabsichtigten Verwendung seiner Daten nicht einverstanden zu sein, ausreichend ist. Klärung hat insoweit die Happy-Digits-Entscheidung des BGH gebracht. In dieser erachtete der erkennende Senat folgende, in den AGB enthaltene und durch Fettdruck hervorgehobene Klausel des Anbieters eines Kunden- und Rabattsystems bezüglich der werblichen Nutzung der erhobenen Daten per Post als datenschutz- und AGB-rechtlich zulässig: „… Sind Sie nicht einverstanden, streichen sie die Klausel.“180
84 Eine solchermaßen vorformulierte Opt-out-Erklärung stelle keine ins Gewicht fal-
lende Hemmschwelle dar, die den einen verständigen Verbraucher davon abhalten könne, von seiner Entscheidungsmöglichkeit Gebrauch zu machen.181
178 Gola/Schomerus, § 4a Rn 22. 179 v. Westphalen/Thüsing/Munz, Datenschutzklauseln Rn 49; Simitis/Simitis, § 4c Rn 9. 180 BGH, Urt. v. 11.11.2009 – VIII ZR 12/08 – K&R 2010, 116, 118. 181 BGH, Urt. v. 11.11.2009 – VIII ZR 12/08 – K&R 2010, 116, 118.
Ringel
A. Werbung
515
Zuvor sah der BGH in seiner Payback-Entscheidung die Anforderungen an das 85 Vorliegen einer wirksamen Einwilligung durch die Formulierung „… Hier ankreuzen, falls die Einwilligung nicht erteilt wird.“
datenschutzrechtlich als gewahrt an; für unwirksam angesehen wurde die Klausel mit Blick auf die erstrebte Nutzung zur Werbung per E-Mail und SMS allein aus wettbewerbsrechtlichen Gründen.182 Laut § 4a BDSG sei es für die Wirksamkeit einer Einwilligung nicht erforderlich, dass der Betroffene sie gesondert erklärt, in dem er eine zusätzliche Unterschrift leistet oder ein dafür vorgesehenes Kästchen zur positiven Abgabe der Einwilligungserklärung ankreuzt (Opt-in-Klausel).183 Daher werden im Anwendungsbereich des BDSG beide Formen der Einwilligung als ausreichend erachtet.184 Praxistipp Für die Praxis ist wichtig, dass die hiernach zulässige Opt-out-Lösung nur für die Einwilligung in die schriftliche Werbung per Post geeignet ist. Den für die Werbung mittels elektronischer Post (etwa E-Mail und SMS) oder Telefon geltenden wettbewerbsrechtlichen Anforderungen an eine ausdrückliche Einwilligung genügt sie dagegen nicht.185 Da heutige Einwilligungen meist eine Multi-ChannelBewerbung legitimieren sollen, ist die Einwilligungseinholung per Opt-in häufig nach wie vor als obligatorisch anzusehen.
4. Vorformulierte Einwilligungserklärungen Den vorstehenden Entscheidungen des BGH kann zudem entnommen werden, dass 86 datenschutzrechtliche Einwilligungen auch im Wege vorformulierter AGB wirksam erteilt werden können. Im Übrigen lässt auch der Wortlaut der §§ 4a Abs. 1 S. 4, 28 Abs. 3a S. 2 BDSG auf die Zulässigkeit solcher Einwilligungen schließen, wenn diese für Einwilligungen, die „zusammen mit anderen Erklärungen“ abgegeben werden sollen, ein Hervorhebungsgebot statuieren.186 Letzteres gilt es in jedem Falle umzusetzen, etwa durch Einrahmung, Fettdruck, farbliche Hervorhebung oder andere typografische Gestaltungsformen, die die Einwilligung deutlich vom übrigen Text abheben.187 Dies nicht zuletzt auch deshalb, weil per AGB eingeholte Einwilligungen der AGB-Kontrolle der §§ 305 ff. BGB unterliegen und die Betroffenen deshalb nicht
182 BGH, Urt. v. 16.7.2008 – VIII ZR 348/06 – MMR 2008, 731, 733. 183 BGH, Urt. v. 16.7.2008 – VIII ZR 348/06 – MMR 2008, 731, 733. 184 Däubler/Klebe/Wedde/Weichert, § 4a Rn 23a. 185 BGH, Urt. v. 16.7.2008 – VIII ZR 348/06 – MMR 2008, 731, 734. Siehe dazu eingehend unter Rn 153 ff. 186 So auch Plath/Plath, § 4a Rn 37. 187 Kazemi/Leopold, § 3 Rn 167.
Ringel
516
Kapitel 10 Nutzung von Kundendaten
entgegen dem Gebot von Treu und Glauben benachteiligen dürfen.188 Handelt es sich bei den Betroffenen um Verbraucher i. S. d. § 13 BGB, unterliegt eine vorformulierte Einwilligungserklärung gem. § 310 Abs. 3 Nr. 2 BGB auch dann der AGB-Kontrolle, wenn sie nur zur einmaligen Verwendung bestimmt ist. Eine einmalige Änderung des Inhalts der Einwilligung durch den Verwender der AGB ist auch dann nicht möglich, wenn dieser sich im Rahmen des sonst rechtlich Zulässigen die Änderung vorbehält.189 Nicht entscheiden musste der BGH, ob es für eine wirksame Einwilligungsertei87 lung per AGB neben der Zustimmung zu den AGB einer gesonderten Zustimmung zu der datenschutzrechtlichen Einwilligung bedarf (z. B. durch gesonderte Erklärung). Denn in beiden Fällen war die Möglichkeit einer gesonderten Erklärung durch Streichung der betreffenden Klausel bzw. durch das Ankreuzen eines gesonderten Kästchens für die Ablehnung der werblichen Verwendung gegeben. Im Schrifttum wird mit Blick auf die § 4a BDSG eine einzige Erklärung als ausreichend erachtet.190 Dafür, dass dies auch mit Blick auf die Einwilligung in die werbliche Verwendung gilt, spricht, dass auf die in § 28 Abs. 3a S. 2 BDSG ursprünglich vorgesehene Anforderung einer gesonderten Unterschrift oder eines anderen, ausschließlich auf die Einwilligung in die Verarbeitung und Nutzung der Daten für Werbezwecke bezogenes Tun191 im weiteren Gesetzgebungsverfahren verzichtet wurde.192
5. Formelle Anforderungen
88 Für eine Einwilligung ist gem. § 4a Abs. 1 S. 3 BDSG grundsätzlich die Einhaltung
der Schriftform erforderlich.193 Die bloße Textform gem. § 126a BGB genügt diesem Schriftformerfordernis nicht, weshalb per Fax oder E-Mail erteilte Einwilligungen insoweit nicht genügen.194 Ist aufgrund besonderer Umstände eine andere Form angemessen, kann auf die Schriftform verzichtet werden. Angemessen ist eine andere Form, wenn die Schriftform im konkreten Einzelfall als nicht praktikabel erscheint, weil sie beispielsweise bei der Kommunikation über das Internet einen Wechsel des Kommunikationsmediums erfordern würde oder in dringenden Fällen nicht verlangt werden kann.195 Höhere Kosten können ein Absehen von der Schriftform jedoch für
188 Däubler/Klebe/Wedde/Weichert, § 4a Rn 31 m. w. N. 189 Kazemi/Leopold, § 3 Rn 148 m. w. N. 190 Däubler/Klebe/Wedde/Weichert unter Hinweis auf die Payback-Entscheidung des BGH, § 4a Rn 13; ebenso Plath/Plath, § 4a Rn 38 m. w. N. 191 BT-Drucks. 16/12011, 13. 192 BT-Drucks. 16/13657, 8; a. A. unter Verweis aber auf die ursprünglich geplante Fassung Däubler/ Klebe/Wedde/Weichert, § 28 Rn 133. 193 Roßnagel, NJW 2009, 2716, 2720. 194 Gola/Schomerus, § 4a Rn 29. 195 Plath/Plath, § 4a Rn 15; siehe auch die Beispiele bei Kazemi/Leopold, § 3 Rn 129.
Ringel
A. Werbung
517
sich genommen nicht begründen.196 Denkbar ist auch eine mündliche Einwilligung, wenn sie inhaltlich den Anforderungen an eine informierte Entscheidung im konkreten Fall genügt, was gerade für telefonische Fernabsatzgeschäfte von grundsätzlicher Bedeutung ist. Konkludente, stillschweigende oder mutmaßliche Einwilligungen sollen indes ausscheiden.197 Darf die Einwilligung in anderer Form als der Schriftform erteilt werden, hat 89 die verantwortliche Stelle dem Betroffenen gem. § 28 Abs. 3a S. 1 BDSG den Inhalt der Einwilligung allerdings schriftlich zu bestätigen. Der Betroffene soll so kontrollieren können, ob die verantwortliche Stelle die seinerseits erteilte Einwilligung zutreffend dokumentiert hat.198 Eine Bestätigung in Textform i. S. d. § 126b BGB sollte den gesetzlichen Anforderungen noch genügen.199 Die Bestätigung hat dabei unverzüglich zu erfolgen.200 Auf die schriftliche Bestätigung kann gem. § 28 Abs. 3b S. 1 Hs. 2 BDSG im Falle elektronisch erklärter Einwilligungen verzichtet werden, wenn die verantwortliche Stelle die Protokollierung und jederzeitige Abrufbarkeit des Inhalts der Einwilligung sowie die Möglichkeit des jederzeitigen Widerrufs mit Wirkung für die Zukunft sicherstellt.201 Zu protokollieren ist insbesondere auch der Zeitpunkt des Zugangs der Einwilligungserklärung, um bestimmen zu können, ab wann diese wirksam wurde.202 Aber selbst wenn eine schriftliche Bestätigung der Einwilligung erfolgen soll, sind Protokollierung sowie jederzeitige Abrufbarkeit und Widerrufbarkeit der Einwilligungserklärung gleichwohl nicht entbehrlich, wenn die Einwilligungseinholung – wie regelmäßig – über einen in den Anwendungsbereich des TMG fallenden Telemediendienst (z. B. eine Website) erfolgt, § 13 Abs. 2 Nr. 2 bis 4 TMG. Soll die Einwilligung in die Werbung zusammen mit anderen Erklärungen 90 schriftlich abgegeben werden, ist sie, wie bereits ausgeführt, gem. § 28 Abs. 3a S. 2 BDSG in drucktechnisch deutlicher Gestaltung besonders hervorzuheben. Vereinzelt wird dem Wortlaut entnommen, dass er im Vergleich zu § 4a Abs. 1 S. 4 BDSG erhöhte Anforderungen an die gebotene Hervorhebung stellt.203 Tatsächlich kann weder dem Gesetz noch der Gesetzesbegründung entnommen werden, dass infolge des Zusatzes „drucktechnisch deutlicher Gestaltung“ höheren Anforderungen genügt
196 Wolff/Brink/Kühling, § 4a Rn 51. 197 Simitis/Simitis, § 4a Rn 44. 198 BT-Drucks. 16/12011, 33. 199 So auch Bergmann/Möhrle/Herb, § 28 Rn 420; Plath/Frey, BB 2009, 1762, 1766; Kazemi/Leopold, § 3 Rn 159; a. A. aber Taeger/Gabel/Taeger, § 28 Rn 167. 200 Bergmann/Möhrle/Herb, § 28 Rn 421. 201 Die Sicherstellung des jederzeitigen Widerrufs kann etwa durch die Bereitstellung einer E-MailAdresse, an die der Widerruf der elektronisch erteilten Einwilligung gerichtet werden kann, erfolgen. Vgl. Kazemi/Leopold, § 3 Rn 165. 202 Däubler/Klebe/Wedde/Weichert, § 28 Rn 128. 203 Däubler/Klebe/Wedde/Weichert, § 28 Rn 133.
Ringel
518
Kapitel 10 Nutzung von Kundendaten
werden muss.204 Vielmehr wird die Vorschrift in Abgrenzung zu § 4a Abs. 1 S. 4 BDSG dahin zu verstehen sein, dass eine andere als eine drucktechnische Hervorhebung nicht ausreichend ist.205 Die notwendige Hervorhebung kann durch Einrahmung, Fettdruck, farbliche Hervorhebung oder andere typografische Gestaltungsformen, die die Einwilligung deutlich vom übrigen Text abheben, erfolgen.206 Da sich das Hervorhebungsgebot des § 28 Abs. 3a S. 2 BDSG nur auf schriftlich erteilte Einwilligungen beschränkt, bleibt Interpretationsspielraum für elektronisch erteilte Einwilligungen. Letztlich ist mit Blick auf die wettbewerbsrechtliche Rechtsprechung aber zu empfehlen, sich elektronische Einwilligungen nur durch Anklicken einer Checkbox neben gesonderten Texten oder Textabschnitten, die ihrerseits besonders hervorzuheben sind, einzuholen.207 Im Ergebnis sollte jede Einwilligungsgestaltung eine gesteigerte Aufmerksamkeit beim Betroffenen erzeugen. Die betreffende Klausel ist zwecks der Abgrenzung vom übrigen Text mit einer eigenen Überschrift zu versehen. Praxistipp Die Überschrift der Einwilligungsklausel sollte das Wort „Einwilligung“ im Zusammenhang mit „Datenschutz“ enthalten.208 Nicht ausreichend sein soll indes eine Klausel lediglich mit der Überschrift „Datenschutz“.209 In jedem Falle ist eine besondere Hervorhebung des Einwilligungstextes geboten, wobei sich in der Regel die Einholung nach dem Opt-in-Verfahren empfiehlt. Bei elektronischer Einwilligungseinholung sind in der Regel überdies Protokollierung sowie jederzeitige Abrufbarkeit und Widerrufbarkeit der Einwilligungserklärung sicherzustellen.
6. Kopplungsverbot 91 Laut § 28 Abs. 3b S. 1 BDSG darf der Abschluss eines Vertrages nicht von einer Einwilligung des Betroffenen in die Verarbeitung und Nutzung seiner Daten für Zwecke der Werbung abhängig gemacht werden. Bereits aus dem Freiwilligkeitsgebot des § 4a Abs. 1 S. 1 BDSG folgt, dass der Abschluss eines Vertrages nicht von der Einwilligung der Betroffenen in die seitens des Unternehmens gewünschte werbliche Verwendung seiner Daten abhängig gemacht werden darf.210 Gleichwohl hat sich der Gesetzgeber in Anlehnung an das im TMG und TKG bereits enthaltene Kopplungsverbot dazu ent-
204 Leupold/Glossner/Scheja/Haag, MAH IT-Recht, Teil 5 Rn 100. 205 Plath/Plath, § 28 Rn 167; Bergmann/Möhrle/Herb, § 38 Rn 425. 206 Kazemi/Leopold, § 3 Rn 167. 207 Vgl. dazu unten Rn 113. 208 Vgl. v. Westphalen/Thüsing/Munz, Datenschutzklauseln Rn 33; Bergmann/Möhrle/Herb, § 4a Rn 92a. 209 Vgl. AG Elmshorn, Urt. v. 25.4.2005 – 49 C 54/05 – CR 2005, 641. 210 Vgl. Pfeiffer, MMR 2009, 524, 525.
Ringel
A. Werbung
519
schlossen, ein solches auch mit Blick auf die werbliche Nutzung personenbezogener Daten einzuführen.211 Das Kopplungsverbot soll allerdings nur dann zum Tragen kommen, wenn dem 92 Betroffenen ein anderer Zugang zu den vertragsgegenständlichen Leistungen ohne seine Einwilligung in die werbliche Nutzung nicht oder nicht in zumutbarer Weise möglich ist. Eine Unzumutbarkeit kann ihm Rahmen von Kaufverträgen noch gegeben sein, wenn der beabsichtigte Kauf auch bei einem anderen Bieter möglich ist, die erneute Suche für den Kunden aber mit einem hohen Zeitaufwand verbunden ist oder vergleichbare Angebote nur zu einem höheren Preis oder schlechteren Gesamtkonditionen zu erhalten sind.212 Erfasst werden sollen auch Konstellationen, in denen mangels einer marktbe- 93 herrschenden Stellung des einzelnen Unternehmens der Betroffene in zumutbarer Weise eigentlich Zugang zu gleichwertigen Leistungen hätte, aber beispielsweise Absprachen unter den marktbeteiligten Unternehmen der Zugang marktweit nur bei Erteilung der Einwilligung möglich ist.213 Eine Koppelung wäre somit auch dann unwirksam, wenn sie in einer ganzen Branche praktiziert würde, ohne dass die einzelnen Unternehmen eine marktbeherrschende Stellung innehaben.214 Für den Fall eines Verstoßes gegen das Kopplungsverbot ordnet § 28 Abs. 3b S. 2 94 BDSG ausdrücklich die Unwirksamkeit der betreffenden Einwilligung an. Das werbende Unternehmen bleibt dann auf die ohne Einwilligung zulässige Werbung gemäß dem Listenprivileg beschränkt.
7. Einwilligung Minderjähriger Bei der Einwilligung handelt es sich um eine rechtsgeschäftliche Willenserklä- 95 rung.215 Dies hat zur Folge, dass es insoweit der Geschäftsfähigkeit des Erklärenden bedarf, weshalb Minderjährige für die Erteilung einer wirksamen Einwilligung grundsätzlich auf die Einwilligung ihrer gesetzlichen Vertreter angewiesen sind.216 Da ein Minderjähriger in seiner Persönlichkeitsentfaltung auch aufgrund der fehlenden Gelegenheit der Offenbarung seiner Daten eingeschränkt werden kann, wird trotz der Einordnung der Willenserklärung als rechtsgeschäftliche Erklärung letztlich auf die Einsichtsfähigkeit der Betroffenen abgestellt, die nicht an ein bestimmtes Alter geknüpft werden kann.217 Insoweit kommt es allein auf den Verwendungszusammen-
211 BT-Drucks. 16/12011, 33. 212 Däubler/Klebe/Wedde/Weichert, § 38 Rn 135; Bergmann/Möhrle/Herb, § 38 Rn 431; zum insoweit gleichlautenden § 95 Abs. 5 TKG BerlK-TKG/Klesczewski, § 95 Rn 22. 213 BT-Drucks. 16/12011, 33; Pfeiffer, MMR 2009, 524, 525. 214 Plath/Frey, BB 2009, 1762, 1767. 215 Rogosch, Kap. 3 A. II.; Simitis/Simitis, § 4a Rn 20 m. w. N. 216 Rogosch, Kap. 4 A. I. 1. 217 Simitis/Simitis, § 4a Rn 20 f.; Rogosch, Kap. 4. A. I. 2.
Ringel
520
Kapitel 10 Nutzung von Kundendaten
hang und drauf an, ob nach diesem die Einwilligung des betroffenen Minderjährigen ausreicht oder eine Hinzuziehung der gesetzlichen Vertreter erforderlich ist.218 Der nunmehr in der Diskussion stehende Entwurf einer Europäischen DatenschutzGrundverordnung219 setzt hier klarere Grenzen, da dieser die Einwilligungsfähigkeit an die Vollendung des 13. Lebensjahres anknüpft.220 Der Entwurf des Europäischen Parlaments, der den von der Europäischen Kommission stammenden Ausgangsentwurf am 10.3.2014 unter Berücksichtigung von rund 3.000 Änderungsanträgen bestätigte, konkretisiert diese Anforderung in Art. 8 Abs. 1a insoweit weiter, als danach der Einwilligungstext bei einer Betroffenheit von Minderjährigen „in einer eindeutigen und den Adressaten angemessenen Sprache abgefasst sein sollte.“ Diese Anforderungen sollte daher bereits jetzt Berücksichtigung finden, falls Einwilligungen von Minderjährigen eingeholt werden sollen.
8. Einwilligung durch Bevollmächtigte oder Vertreter 96 In anderen Konstellationen ist streitig, ob eine Einwilligung auch durch einen gesetzlichen Vertreter oder Bevollmächtigten erteilt werden kann. Grundsätzlich spricht die besondere Personenbezogenheit der preiszugebenden Daten gegen die Wirksamkeit einer durch gesetzliche Vertreter oder Bevollmächtigte erteilten Einwilligung.221 Bezieht sich eine Bevollmächtigung ausdrücklich und hinreichend bestimmt auch auf die Erteilung einer datenschutzrechtlichen Einwilligung, wird teilweise angenommen, dass auch ein Vertreter oder Bevollmächtigter wirksam handeln kann.222 Tatsächlich ist nicht zu erkennen, warum für die Vertretenen Gefahren oder Nachteile drohen sollen, wenn insoweit im Rahmen der jeweiligen Vollmacht oder sonstigen Vertretungsbefugnis gehandelt wird. Dies entspricht im Übrigen auch der Konstruktion des zuvor zitierten aktuellen Entwurfs der Europäischen Datenschutz-Grundverordnung, soweit es an einer Einwilligungsfähigkeit des Minderjährigen fehlt (vgl. Art. 8 Abs. 1).
218 Simitis/Simitis, § 4a Rn 21. 219 Legislative Entschließung des Europäischen Parlaments v. 12.3.2014 zu dem Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (allgemeine Datenschutzverordnung) (COM(2012)0011 – C7-0025/2012 – 2012/0011(COD)) (Ordentliches Gesetzgebungsverfahren: erste Lesung), P7_TA-PROV(2014)0212, A7-0402/2013. 220 Behling/Indermuehle, CH-D Wirtschaft 4/2012, 6, 7. 221 v. Westfalen/Munz, Datenschutzklauseln Rn 30; Simitis/Simitis, § 4a Rn 30 f. 222 So beispielsweise Wolff/Brink/Kühling, § 4a Rn 47; Gola/Schomerus, § 4a Rn 10; v. Westfalen/ Munz, Datenschutzklauseln Rn 30.
Ringel
A. Werbung
521
Praxistipp In einem solchen Fall wird es ratsam sein, zu prüfen, ob sich die Einwilligung im Rahmen der Vollmacht bzw. (gesetzlichen) Vertretungsbefugnis bewegt. Ferner sollten die Vollmacht und deren Prüfung zusammen mit der Einwilligung in geeigneter Form dokumentiert werden.
Davon zu unterscheiden ist die unstreitig mögliche Abgabe einer Einwilligung durch 97 einen Boten.223
9. Widerruf der Einwilligung Auch ohne gesetzliche Anordnung ist der Widerruf einer Einwilligung jederzeit 98 möglich.224 Der Widerruf ist Ausdruck des verfassungsrechtlich garantierten Rechts auf informationelle Selbstbestimmung, weshalb auf ihn grundsätzlich nicht verzichtet werden kann.225 Der Widerruf einer Einwilligung ist vom Widerspruch gegen die werbliche Nutzung i. S. d. § 28 Abs. 4 BDSG zu unterscheiden; Letzterer bezieht sich auf den ohne Einwilligung gesetzlich erlaubten Umgang mit personenbezogenen Daten.226 Unter bestimmten Voraussetzungen kann ein Widerruf missbräuchlich und 99 damit rechtlich unbeachtlich sein. So hat das OLG Frankfurt a. M. den Widerspruch eines Bankkunden gegen die Übermittlung von Daten an die SCHUFA als rechtsmissbräuchlich angesehen, der sich zuvor vertragswidrig verhalten hatte. In einem solchen Fall komme eine Übermittlung trotz Widerrufs in Betracht; notwendig sei aber eine einzelfallabhängige, sachgerechte Abwägung zwischen den berechtigten Interessen an der Datenübermittlung und den schutzwürdigen Belangen des Betroffenen.227 Mit der Annahme einer rechtsmissbräuchlichen Nutzung des Widerspruchsrechts sollte angesichts seiner Bedeutung für die verfassungsrechtlich geschützten Rechte der Betroffenen in der Praxis sehr zurückhaltend umgegangen werden. Insbesondere mit Blick auf Einwilligungen in die werbliche Verwendung von Daten sind kaum praxisrelevante Konstellationen vorstellbar. Nach anderen Überlegungen soll ein Widerruf im Falle einer bereits erfolgten Erhebung, Verarbeitung oder Nutzung von Daten nicht willkürlich möglich sein, sondern gemäß den Grundsätzen von Treu und Glauben nur dann, wenn sich die für die Einwilligungserteilung maßgebenden Gründe oder die tatsächlichen Voraussetzungen geändert haben und dem Betroffenen deshalb ein Festhalten an seiner Einwilligung objektiv nicht länger zuzumuten ist.228
223 Wolff/Brink/Kühling, § 4a Rn 47. 224 Plath/Plath, § 4a Rn 70; Simitis/Simitis, § 4a Rn 94. 225 Simitis/Simitis, § 4a Rn 95 m. w. N. 226 Simitis/Simitis, § 4a Rn 95; Wolff/Brink/Kühling, § 4a Rn 57. 227 OLG Frankfurt a. M., Urt. v. 15.11.2004 – 23 U 155/03 – MDR 2005, 881, 882. 228 Gola/Wronka, Kundendatenschutz Rn 882; Wolff/Brink/Kühling, § 4a Rn 59; Simitis/Simitis, § 4a Rn 99.
Ringel
522
Kapitel 10 Nutzung von Kundendaten
Der Widerruf kann nur mit Wirkung für die Zukunft erfolgen. Bis zu dessen Erklärung zulässig erfolgte Datenverwendungen bleiben rechtmäßig.229 101 Mit Zugang des Widerrufs sind nur auf Basis der zuvor erteilten Einwilligung rechtmäßig gespeicherte Daten vorbehaltlich anderweitiger, insbesondere gesetzlicher Aufbewahrungspflichten zu löschen.230 Wurden die Daten zuvor an Dritte übermittelt, sind diese über den Widerruf zu informieren; zu Beweiszwecken sollte diese Information dokumentiert werden. Weitere Pflichten treffen die verantwortliche Stelle nicht.231 Zur Form des Widerrufs werden unterschiedliche Ansichten vertreten. Nach 102 einer Ansicht soll der Widerruf – zumindest ohne gesonderte Vereinbarung –formlos möglich sein.232 Nach anderer Ansicht muss ein Widerruf der Form der Einwilligung entsprechen.233 Jedenfalls wird ein durch AGB oder sonst vorgeschriebenes Formerfordernis wie bei § 28 Abs. 4 S. 4 BDSG nicht strenger sein dürfen als die für die Erteilung der Einwilligung vereinbarte Form.234 Aus Gründen der Rechtssicherheit wird die Praxis davon auszugehen haben, dass ein Widerruf ohne gesonderte Vereinbarung auch dann wirksam ist, wenn er nicht der Form der Einwilligung genügt.
100
10. Anfechtbarkeit der Einwilligung 103 Als rechtsgeschäftliche Willenserklärung kann eine erteilte Einwilligung gem. §§ 119 ff., 123 ff. BGB innerhalb der dort genannten Fristen wegen Irrtums oder Täuschung angefochten werden.235 Für eine gem. § 123 Abs. 1 BGB ebenfalls mögliche Anfechtung wegen einer widerrechtlichen Drohung ist in diesem Zusammenhang kein Raum. Eine solchermaßen erlangte Einwilligung würde schon nicht auf einer freien Entscheidung des Betroffenen beruhen und wäre auch ohne Anfechtung von Anfang an unwirksam. Eine erfolgreiche Anfechtung macht anders als im Falle eines Widerrufs grund104 sätzlich auch bereits erfolgte Datenverwendungen wegen § 142 Abs. 1 BGB unzulässig, da die Rechtsgrundlage rückwirkend entfällt.236 Dies dürfte jedenfalls für den Fall der durch Täuschung erlangten Einwilligung gelten, soweit sich der Einwilligungsempfänger die Täuschung zurechnen lassen muss (§ 123 Abs. 2 BGB). Denn dann ist er nicht schutzwürdig. Etwas anderes dürfte indes im Falle der Irrtumsanfechtung gelten, da ein Irrtum als Innentatsache für den Einwilligungsempfänger regelmäßig
229 Plath/Plath, § 4a Rn 71; Simitis/Simitis, § 4a Rn 102; Däubler/Klebe/Wedde/Weichert, § 4a Rn 36. 230 Plath/Plath, § 4a Rn 71. 231 Simitis/Simitis, § 4a Rn 103; Plath/Plath, § 4a Rn 74. 232 Plath/Plath, § 4a Rn 72: Wolff/Brink/Kühling, § 4a Rn 58. 233 Simitis/Simitis; § 4a Rn 96; Däubler/Klebe/Wedde/Weichert, § 4a Rn 36. 234 Plath/Plath, § 4a Rn 72. 235 Simitis/Simitis, § 4a Rn 25. 236 Simitis/Simitis, § 4a Rn 25; Gola/Schomerus, § 4a Rn 22.
Ringel
A. Werbung
523
nicht erkennbar ist. Jedenfalls scheidet mangels Fahrlässigkeit dann eine Ahndung des Einwilligungsempfängers nach § 43 Abs. 2 BDSG aus, wenn die Datenverarbeitung wegen der Rechtswirkung des § 142 Abs. 1 BGB ggf. ex tunc rechtswidrig wird.
11. Wirkungsdauer einer Einwilligung Für einmal erteilte Einwilligungen stellt sich die Frage, wie lange auf diese zurück- 105 gegriffen werden kann. Das Gesetz trifft keine Aussage zu einer zeitlichen Begrenzung der Wirkungsdauer. Gleichwohl wird eine solche vermehrt diskutiert, wobei im Wesentlichen zwischen ungenutzten und aktiv genutzten Einwilligungen unterschieden wird.237 Für ungenutzte wettbewerbsrechtliche Einwilligungen sind erste Urteile von 106 Gerichten ergangen. Dabei besteht zumindest Einigkeit darin, dass ungenutzte Einwilligungen ab einem bestimmten Zeitpunkt ihre Gültigkeit verlieren. Deutliche Unterschiede bestehen allerdings hinsichtlich des für einen Verlust der Wirksamkeit maßgeblichen Zeitraumes der Inaktivität. Hier wurden Zeiträume von zwei bis zehn Jahren genannt.238 Für die zeitliche Begrenzung einer ungenutzten Einwilligungserklärung spricht, dass die Betroffenen sich in einem solchen Fall u. U. nicht mehr bewusst sind, eine Einwilligung erteilt zu haben. Folglich haben sie sich auch nicht mehr mit der Frage auseinandergesetzt, ob sie diese Einwilligung aufrechterhalten oder von ihrem Widerrufsrecht Gebrauch machen wollen. Diese Überlegungen lassen sich auch auf die datenschutzrechtliche Einwilligung übertragen.239 Praxistipp Aus Gründen der Rechtssicherheit sollten Einwilligungen, auf die über einen Zeitraum von zwei Jahren keine Datenerhebungen, -verarbeitungen oder -nutzungen zu Werbezwecken mehr gestützt wurden, erneut eingeholt werden.
Anders verhält es sich hingegen bei aktiv genutzten Einwilligungen. Diese sind dem 107 Betroffenen durch die werbliche Nutzung stets präsent.240 Bis zu einer anderslautenden Rechtsprechung oder gesetzlichen Regelung kann somit davon ausgegangen werden, dass aktiv genutzte Einwilligungen zeitlich unbefristet bzw. bis zu einem Widerruf wirksam sind.
237 Siehe dazu Rogosch, S. 146 ff. 238 Rogosch, S. 147 m. w. N.; Bahr, Rn 312 ff. m. w. N. 239 Zutreffend Rogosch, S. 147. 240 Ebenso Bahr, Rn 318. Zur Unterrichtung über das Widerspruchsrecht bei jeder werblichen Ansprache siehe Rn 26.
Ringel
524
Kapitel 10 Nutzung von Kundendaten
V. Online-Shops und andere Telemediendienste 108 Online-Angebote von Waren und Dienstleistungen mit unmittelbarer Bestellmöglich-
keit (Online-Shops), soziale Netzwerke im Internet, Börsen-, Wetter-, Verkehrs- und sonstige Informationsdienste, Suchmaschinen und die kommerzielle Verbreitung von Informationen über das Angebot von Waren und Dienstleistungen mittels elektronischer Post wie beispielsweise E-Mails zählen zu den typischen Telemediendiensten i. S. d. Telemediengesetzes (TMG).241 Aber auch dann, wenn ohne unmittelbare Bestellmöglichkeit oder ohne sonstige Interaktionsmöglichkeiten im Internet geworben wird, ist nach obergerichtlicher Rechtsprechung ein Telemediendienst i. S. d. TMG gegeben.242 Die Pflichten des TMG treffen dabei denjenigen, der über den Inhalt und das Bereithalten des Dienstes bestimmt. Ob er dafür eigene Speicherkapazitäten nutzt oder für die geschäftsmäßige Internetpräsenz nur eine Unterseite in einem übergeordneten Telemediendienst betreibt, ist dagegen unerheblich.243 Das TMG enthält mit den §§ 11 bis 15a auch für die werbliche Verwendung von Daten bedeutsame, bereichsspezifische Regelungen zum Datenschutz, die gem. §§ 12 Abs. 3 TMG, 1 Abs. 3 S. 1 BDSG vorrangig zu beachten sind. Das BDSG kommt daneben nur soweit zur Anwendung, als die Datenschutzbestimmungen des TMG keine Regelungen treffen bzw. nicht abschließend gelten.244 Grundlage eines jeden Telemediendienstes sind aber auch Telekommunikationsleistungen,245 was die Frage nach der (zumindest teilweisen) Anwendung des Telekommunikationsgesetzes (TKG) aufwirft.246 Zu den weiteren Einzelheiten kann auf Kap. 7 verwiesen werden.247
1. Anwendungsbereich des TMG
109 Die Abgrenzung des TMG zum BDSG und anderen Datenschutzbestimmungen ist
insofern bedeutsam, als sich das TMG personell auf den Schutz der personenbezogenen Daten von Nutzern der Telemediendienste (Nutzerdaten)248 und sachlich auf den Schutz von Bestands- und Nutzungsdaten i. S. d. § 14 Abs. 1 bzw. § 15 Abs. 1 TMG
241 Roßnagel/Roßnagel, Einl. TMG Rn 32; Wächter, Rn 238; Wolff/Brink/Tinnefeld/Buchner, Syst. I. Rn 63. 242 OLG Düsseldorf, Urt. v. 28.12.2012 – I-20 U 147/11 – MMR 2013, 718. 243 Ebenda, mit weiteren Nachweisen auf die zu eBay ergangene Rechtsprechung. 244 Wolff/Brink/Tinnefeld/Buchner, Syst. I. Rn 57. 245 Vgl. Auer-Reinsdorff/Conrad/Conrad/Hausen, § 27 Rn 15. 246 Bei Anbietern von Leistungen i. S. d. TMG und von Telekommunikationsleistungen ist eine parallele Anwendung des TKG auf dieses Angebot nicht ausgeschlossen, da § 1 Abs. 3 TMG das TKG ausdrücklich unberührt lässt; vgl. Auer-Reinsdroff/Conrad/Conrad/Hausen, § 27 Rn 20. Zu den Datenschutzbestimmungen des TKG im Zusammenhang mit Werbung siehe Rn 132 ff. 247 Dort unter Rn 11 ff. 248 Siehe § 11 Abs. 1 und 2 TMG.
Ringel
A. Werbung
525
beschränkt. Gegenstand auch der Datenschutzbestimmung des TMG ist allein das Verhältnis zwischen den Anbietern von Telemediendiensten (Diensteanbieter) und ihren Nutzern.249 Nutzer sind gem. § 11 Abs. 2 TMG nur natürliche Personen, die Telemedien nutzen. Wie das BDSG auch regelt das TMG nicht den Umgang mit Daten juristischer Personen.250 Allerdings kommt es nicht darauf an, ob zwischen dem Telemediendienst und dem Nutzer ein Vertragsverhältnis besteht. Allein maßgeblich ist die tatsächliche Nutzung des betreffenden Telemediendienstes.251 Gerade bei Online-Shops fallen in der Kommunikation zwischen dem Betreiber 110 und dem Kunden beispielsweise im Falle einer Bestellung aber auch sog. Inhaltsdaten (etwa der Gegentand der Bestellung und die Lieferadresse) an.252 In sozialen Netzwerken finden sich neben den Nutzerdaten auch personenbezogene Daten Dritter (etwa nutzergenerierte Angaben zu anderen Personen). Während die personelle Beschränkung des TMG auf Nutzerdaten unstreitig ist, werden hinsichtlich der Inhaltsdaten unterschiedliche Auffassungen vertreten. Teilweise wird angenommen, diese seien als Nutzungsdaten einzuordnen oder würden von § 15 TMG analog erfasst.253 Nach wohl überwiegender Ansicht ist die Zulässigkeit ihrer Verwendung allein gemäß den Bestimmungen des BDSG zu beurteilen.254 Umstritten ist in besonderem Maße auch, ob die bei der Nutzung von Telemedi- 111 endiensten den für die Internetnutzung verwendeten Rechnern zugewiesenen dynamischen IP-Adressen personenbezogene Daten i. S. d. TMG sind.255 Dagegen spricht aus Sicht des Diensteanbieters, dass dynamische IP-Adressen ihren Nutzern lediglich vorübergehend für die Dauer einer Internetnutzung zugewiesen werden und zunächst nur vom Access-Provider einem konkreten Nutzer zugeordnet werden können.256 Der Diensteanbieter ist dazu grundsätzlich nur mit dessen Hilfe in der Lage. Gleichwohl werten einzelne Gerichte dynamische IP-Adressen als personenbezogenes Datum, selbst wenn dem Websitebetreiber kein Auskunftsanspruch gegen den Access-Pro-
249 Vgl. Plath/Hullen/Roggenkamp, § 11 TMG Rn 10. 250 Härting, Internetrecht, Rn 193. 251 Plath/Hullen/Roggenkamp, § 11 TMG Rn 15. 252 Daten, die keine Bestands- oder Nutzungsdaten i. S. d. §§ 14, 15 TMG sind. Sie dienen der im Regelfall der Abwicklung eines über den Telemediendienst zustande gekommen Vertrages, der selbst keinen Telemediendienst zum Gegenstand hat; vgl. Wolff/Brink/Tinnefeld/Buchner, Syst. I. Rn 95. 253 Noch zum TDDSG als Vorläufer des TMG Imhof, CR 2000, 110, 114 f., der sich für die Anwendung auf alle im Zusammenhang mit der Erbringung der Dienste anfallenden ausspricht. Ebenso Wolff/ Brink/Tinnefeld/Buchner, Syst. I Rn 97; Bauer, MMR 2008, 435, 436; Wächter, Rn 236. 254 Roßnagel/Bitzer/Hornung, § 12 TMG Rn 101; Spindler/Schuster/Spindler/Nink, § 11 Rn 6; Jandt/ Roßnagel, MMR 2011, 637, 639. 255 Ausführlich dazu Auer-Reinsdorff/Conrad/Conrad/Hauser, § 27 Rn 31 ff. 256 Vgl. Roßnagel/Schulz, § 11 TMG Rn 25.
Ringel
526
Kapitel 10 Nutzung von Kundendaten
vider zusteht (sog. absolute Auffassung).257 Die Datenschutzaufsichtsbehörden gehen wohl ebenfalls weitgehend einheitlich von einer Einordnung aller IP-Adressen als personenbezogene Daten auch für den Websitebetreiber aus.258 Aufgrund des Umstandes, dass die absolute Auffassung die Legaldefinition des § 3 Abs. 1 BDSG stark überdehnt, ist die sog. relative Auffassung,259 der sich jüngst – wenn auch in vermittelnder Form260 – das LG Berlin angeschlossen hatte, überzeugender. Danach sind nur solche Daten personenbezogen, die von der konkret infrage stehenden verantwortlichen Stelle auch einer Einzelperson zugeordnet werden können. Zu Recht wird allerdings darauf hingewiesen, dass viele Diensteanbieter neben der IP-Adresse eine Reihe weiterer Daten erlangen, die eine Wiedererkennung der Nutzer ermöglichen.261 Nicht wenige Diensteanbieter bieten Dienste an, die eine Anmeldung mit den Kontaktdaten des Nutzers voraussetzen.262 Dieses Zusatzwissen kann mit Blick auf die Frage der Bestimmbarkeit nicht außer Acht bleiben.263 Hierzu zählen insbesondere auch von den Nutzern selbst bereitgestellte weitere Informationen.264 Die Vorzugswürdigkeit der relativen Auffassung ändert somit nichts daran, dass für den konkreten Einzelfall und unter Berücksichtigung aller beim jeweiligen Diensteanbieter anfallenden Informationen über die Nutzer zu entscheiden ist, ob es sich bei deren IP-Adresse um ein personenbezogenes Datum handelt oder nicht. Der BGH konnte diesen Streit bislang offenlassen.265 Auch aus der Entscheidung 112 des EuGH in der Rechtssache SABAM kann für dessen Lösung nichts gewonnen
257 Vgl. AG Berlin Mitte, Urt. v. 27.3.2007 – 5 C 314/06 – ZUM 2008, 83. Zu weiteren Entscheidungen in diese Richtung und zum Diskussionsstand siehe Roßnagel/Schulz, § 11 TMG Rn 25 und Hoeren, S. 392 f.; Auer-Reinsdorff/Conrad/Conrad/Hauser, § 27 Rn 50 f. 258 Beschluss der obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich v. 26./27.11.2009 – Datenschutzkonforme Ausgestaltung von Analyseverfahren zur Reichweitenmessung von Internet-Angeboten, abrufbar unter http://www.bfdi.bund.de/SharedDocs/Publikationen/ Entschliessungssammlung/DuesseldorferKreis/Nov09Reichweitenmessung.pdf;jsessionid=4E40FD 80FE8D6D080BFCD713D1E4DF35.1_cid344?__blob=publicationFile; Artikel-29-Datenschutzgruppe, WP 136, S. 19. 259 Dazu beispielsweise Spindler/Schuster/Spindler/Nink, § 11 TMG Rn 8; Plath/Hullen/Roggenkamp, § 12 TMG Rn 13; Stiemerling/Lachenmann, ZD 2014, 133, 134, siehe auch AG Berlin Mitte, Urt. v. 27.3.2007 – 5 C 314/06 – ZUM 2008, 83. 260 Eingehend dazu Specht/Müller-Riemenschneider, ZD 2014, 71 ff. 261 Mantz, Anmerkung zu LG Berlin, Urt. v. 31.1.2013 – 57 S 87/08 – ZD 2013, 625 f. 262 Vgl. Spindler/Schuster/Spindler/Nink, § 11 TMG Rn 8; Ott, K&R 2009, 308, 311. 263 Simitis/Dammann, § 3 Rn 26; Wolff/Brink/Tinnefeld/Buchner, Syst. I Rn 66. 264 Voigt, MMR 2009, 377, 379 m. w. N.; Simitis/Dammann, § 3 Rn 30. 265 BGH, Urt. v. 12.5.2010 – I ZR 121/08 – NJW 2010, 2061 zur fehlenden urheberrechtlichen Haftung des Inhabers eines WLAN-Anschlusses, weil die IP-Adresse noch keine zuverlässige Auskunft über den konkreten Nutzer eines bestimmten Internetanschlusses gibt. Ferner BGH, Urt. v. 13.1.2011 – II ZR 146/10 – NJW 2011, 1509 zur Frage, ob der Betreiber eines Telekommunikationsdienstes gemäß den Bestimmungen des TKG zur sofortigen Löschung von dynamischen IP-Adressen oder zur vorübergehenden Speicherung befugt ist.
Ringel
A. Werbung
527
werden. Zwar urteilte der EuGH, dass es sich bei den verfahrensgegenständlichen IPAdressen um personenbezogene Daten handele, da sie eine genaue Identifizierung der Nutzer ermöglichten. Gemeint waren aber die bei einem Access-Provider gespeicherten IP-Adressen.266 Die Bedeutung des Streits liegt darin, dass gem. § 15 Abs. 1 S. 1 TMG Nutzungsdaten in Gestalt von IP-Adressen nur erhoben und verwendet werden dürfen, soweit dies zur Ermöglichung und Abrechnung der Inanspruchnahme eines Telemediendienstes erforderlich ist, diese Voraussetzungen regelmäßig nicht vorliegen und es folglich einer Einwilligung der Nutzer bedarf.267 Praxistipp Auch wenn es zutreffend sein dürfte, für die Einordnung von IP-Adressen als personenbezogenes Datum gemäß der relativen Auffassung auf deren Bestimmbarkeit für den Diensteanbieter abzustellen, kann die Praxis nicht unbeachtet lassen, dass gewichtige Stimmen wie beispielsweise die Datenschutzaufsichtsbehörden hierzu eine andere Auffassung vertreten. Eine Verwendung der IP-Adressen ohne Einwilligung der Nutzung bleibt deshalb bis zu einer höchstrichterlichen Klärung mit rechtlichen Risiken verbunden. In eine ohnehin erfolgende Abfrage der Einwilligung in die Nutzung anderer personenbezogener Daten sollten deshalb die dynamischen IP-Adressen der Nutzer mit einbezogen werden.
2. Notwendigkeit einer Einwilligung in die werbliche Verwendung personenbezogener Daten Die wesentlichen Prinzipien des Datenschutzes in Gestalt einer strengen Zweck- 113 bindung und eines grundsätzlichen Verbots mit Erlaubnisvorbehalt finden sich auch im TMG wieder. Laut § 12 Abs. 1 TMG darf ein Diensteanbieter personenbezogene Daten zur Bereitstellung seiner Dienste nur erheben und verwenden, soweit das TMG selbst oder eine andere Rechtsvorschrift, die sich ausdrücklich auf Telemedien bezieht, dies erlaubt oder der Nutzer eingewilligt hat. Für andere Zwecke dürfen für die Bereitstellung des Telemediendienstes erhobene personenbezogene Daten gem. § 12 Abs. 2 TMG ebenfalls nur verwendet werden, wenn das TMG oder eine andere Rechtsvorschrift, die sich ausdrücklich auf Telemedien bezieht, dies erlaubt oder der Nutzer eingewilligt hat. Für die werbliche Verwendung der im Zusammenhang mit der Bereitstellung von Telemediendiensten erhobenen personenbezogenen Daten der Nutzer (Nutzerdaten) ist bedeutsam, dass das TMG eine § 28 Abs. 3 BDSG vergleichbare Vorschrift zur Zulässigkeit der einwilligungslosen Verwendung dieser Daten für werbliche Zwecke nicht kennt. Die werbliche Verwendung der Nutzerdaten kann auch nicht direkt auf das Listenprivileg des BDSG gestützt werden, da es sich bei diesem nicht um eine ausdrücklich auf Telemedien bezogene Regelung handelt.
266 EuGH, Urt. v. 24.11.2011 – C-70/10 Rs. SABAM – CR 2012, 33, 36 Rn 51. 267 Härting, Rn 274.
Ringel
528
114
Kapitel 10 Nutzung von Kundendaten
Die erforderliche Einwilligung kann schriftlich erteilt werden. Für die Anforderungen an die Wirksamkeit einer solchen schriftlichen Einwilligung kann auf die Ausführungen unter Ziff. IV. (Rn 74 ff.) verwiesen werden. Insoweit gelten die allgemeinen Bestimmungen des BDSG. 268
3. Voraussetzungen einer elektronischen Einwilligung 115 Bereits § 4a Abs. 1 S. 3 BDSG sieht die Erteilung einer Einwilligung in anderer als der Schriftform vor, wenn diese wegen besonderer Umstände angemessen ist. Dies soll etwa der Fall sein, wenn die Schriftform unter den konkreten Umständen nicht praktikabel ist, insbesondere weil sie einen Wechsel des Kommunikationsmediums erfordern würde, was regelmäßig für das Einholen der Einwilligung im Internet gelten soll.269 Für den Anwendungsbereich des TMG bestimmt § 13 Abs. 2 TMG ausdrücklich, dass die Einwilligung auch elektronisch erklärt werden kann. Für die Wirksamkeit der elektronischen Einwilligung muss der Diensteanbieter aber den in dieser Bestimmung genannten weiteren Anforderungen genügen.
a) Bewusst und eindeutig erteilte Einwilligung 116 Laut § 13 Abs. 2 Nr. 1 TMG muss der Diensteanbieter insbesondere sicherstellen, dass die Einwilligung vom jeweiligen Nutzer bewusst und eindeutig erteilt wird. Um der Gefahr einer unbewussten oder zufälligen elektronischen Willenser117 klärung zu begegnen, muss sichergestellt werden, dass die Einwilligung durch ein aktives Tun des Nutzers ausgelöst wird, das sich vom normalen Handlungsfluss des Websurfens unterscheidet.270 Anstelle eines bloßen Mausklicks, eines Tastendrucks oder des Berühren des Touchscreens ist das Ausfüllen eines Anklickfeldes mit dem Text der Einwilligung oder die nochmalige Bestätigung einer Einwilligungserklärung erforderlich.271 Dabei genügt ein einmaliger Klick, denn ein durchschnittlich verständiger Nutzer muss nicht ein zweites Mal auf die Relevanz seiner Erklärungshandlung hingewiesen werden.272 Eine bewusst und eindeutig erteilte Einwilligung setzt voraus, dass der Nutzer 118 über die beabsichtigte Verwendung seiner Daten hinreichend informiert wird. Auch im Anwendungsbereich des TMG bedarf es einer informierten Einwilligung.273 Insoweit kann uneingeschränkt auf die Rechtsprechung und das Schrifttum zu § 4a BDSG
268 Plath/Frey, BB 2009, 1762, 1765. 269 Plath/Plath, § 4a Rn 15. 270 Roßnagel/Jandt/Schaar/Schulz, § 13 TMG Rn 73. 271 Roßnagel/Jandt/Schaar/Schulz, § 13 TMG Rn 73. 272 Plath/Hullen/Roggenkamp, § 13 TMG Rn 22. 273 Plath/Hullen/Roggenkamp, § 13 TMG Rn 18.
Ringel
A. Werbung
529
verwiesen werden.274 Bereits aus § 13 Abs. 1 TMG folgt, dass der Nutzer u. a. über Art, Umfang und Zweck der Erhebung, Verarbeitung und Nutzung seiner Daten zu unterrichten ist. Diese Bestimmung gilt nicht nur für die ohne Einwilligung zulässige Verwendung der Nutzerdaten. Sie ist auch bei der inhaltlichen Ausgestaltung der Einwilligungserklärung durch den Diensteanbieter zu beachten.275 Für die beabsichtigte Weitergabe der Nutzerdaten muss daher aus der Einwilligungserklärung hervorgehen, an wen die Daten für welche Zwecke übermittelt werden sollen.
b) Darstellung der Einwilligungserklärung Für die Darstellung einer wirksamen Einwilligungserklärung ist anerkannt, dass 119 ein Nutzer eine Einwilligung in die Verwendung seiner Daten erklären kann, die in einer Datenschutzerklärung näher beschrieben ist, wobei die in Bezug genommene Datenschutzerklärung im Kontext, beispielsweise durch Verlinkung, aber auch durch ein Pop-up-Fenster o. ä. verfügbar zu machen ist.276 Ferner wird hinsichtlich der Erkennbarkeit des Inhalts von der Rechtsprechung und im Schrifttum vertreten, dass ein Textfenster mit der Einwilligung nicht unbedingt so dimensioniert werden muss, dass der gesamte Erklärungstext gleichzeitig sichtbar ist. Vielmehr soll es ausreichen, wenn ein Scrollbalken die Kenntnisnahme des gesamten Textes ermöglicht.277 Tatsächlich kann dem Gesetzeswortlaut nicht entnommen werden, dass der gesamte Inhalt einer Einwilligungserklärung gleichzeitig sichtbar sein muss. Die Einwilligung muss bewusst und eindeutig erklärt sein. Für eine solchermaßen erteilte Erklärung wird lediglich verlangt, dass ein durchschnittlich verständiger Nutzer erkennt, dass er durch die Abgabe der Erklärung rechtsverbindlich eine Zustimmung zu einer konkreten Verwendung seiner Daten erteilt und auf welche Daten und welchen Zweck der Verwendung sich diese Erklärung beziehen soll.278 Für den Fall des Scrollbalkens führte das OLG Brandenburg aus, dass dessen Bedeutung und Funktionsweise bei einem durchschnittlich verständigen Nutzer ohne Weiteres als bekannt vermutet werden könne. Entscheidend war, dass jedenfalls in der Gesamtschau genügende Vorkehrungen dafür getroffen worden seien, dass der Nutzer sich den Inhalt der Datenschutzerklärung vor Augen führen könne und seine Einwilligung im Bewusstsein der Abgabe einer rechtsverbindlichen Erklärung stattgefunden habe.279 Folglich wird dem Diensteanbieter das Präsentationsproblem der Einwilligungserklärung
274 Vgl. Spindler/Schuster/Spindler/Nink, § 13 TMG Rn 6. Siehe dazu auch die Ausführungen unter Rn 76 ff. 275 v. Westfalen/Munz, Datenschutzerklärungen Rn 64. 276 Plath/Hullen/Roggenkamp, § 13 Rn 19 m. w. N. 277 OLG Brandenburg, Urt. v. 10.1.2006 – 7 U 52/05 – CR 2006, 490, 492; Taeger/Gabel/Moos, § 13 TMG Rn 18. 278 jurisPK-Internetrecht/Heckmann, § 13 TMG Rn 217 f. 279 OLG Brandenburg, Urt. v. 11.1.2006 – 7 U 52/05 – CR 2006, 490, 492.
Ringel
530
Kapitel 10 Nutzung von Kundendaten
nicht allein aufgebürdet. Bei deren optischer Ausgestaltung muss er sich aber an den typischerweise von Nutzern verwendeten Endgeräten, der Software und den Standardbrowsereinstellungen orientieren.280
c) Gesonderte Erklärung
120 Oftmals findet sich die online eingeholte Einwilligung in den Datenschutzerklärun-
gen der Unternehmen, mit denen sich der Nutzer – meist zusammen mit weiteren AGB – einverstanden erklären soll, um eine Bestellung abschließen zu können. Diese Vorgehensweise begegnet bereits AGB-rechtlich ernstlichen Bedenken, da sie nicht hinreichend transparent machen dürfte, dass der Nutzer gezwungenermaßen auch vor der Entscheidung steht, ob und in welchem Umfang er über die Verwendung einer Daten verfügen möchte.281 Insoweit kann auch nicht auf §§ 4a Abs. 1 S. 4, 28 Abs. 3a S. 2 BDSG verwiesen werden. Diese haben allein die schriftliche Erteilung von Einwilligungen zusammen mit anderen Erklärungen zum Gegenstand und gelten folglich nicht für AGB im elektronischen Geschäftsverkehr.282 Die gem. § 13 Abs. 2 Nr. 1 TMG geforderte Eindeutigkeit macht es vielmehr erforderlich, dass die Einwilligung gesondert erklärt werden muss.283 Hierfür spricht auch, dass der BGH mit Blick auf die im Wettbewerbsrecht verlangte ausdrückliche Einwilligung in die Werbung mittels elektronischer Kommunikationsmittel für die wirksame Erteilung der Einwilligung im Rahmen von AGB das Ankreuzen eines gesonderten Textes oder Textabschnitts ohne einen anderen Inhalt als notwendig erachtet.284
d) Ausgestaltung als Opt-in
121 Mit Blick auf die Frage, ob die Einwilligung i. S. d. § 13 Abs. 2 Nr. 1 TMG als Opt-in-Klau-
sel oder als Opt-out-Klausel auszugestalten ist, wird teilweise vertreten, dass auch im Anwendungsbereich des TMG keine strengeren Anforderungen als im Falle einer Einwilligung gem. § 4a BDSG gelten, für den der BGH grundsätzlich die Möglichkeit einer „Opt-out“-Klausel als rechtmäßig erachtet hat.285 Dies lasse sich auch auf § 13 Abs. 2 Nr. 1 TMG übertragen, weil diese lediglich dazu diene, dem Telemedienanbieter eine erleichterte Form der Einwilligung zu ermöglichen.286 Nach anderer Auffassung könne die Rechtsprechung des BGH zu § 4a BDSG 122 nicht auf § 13 Abs. 2 Nr. 1 TMG übertragen werden, denn dieser setzt – anders als § 4a
280 Roßnagel/Jandt/Schaar/Schulz, § 13 TMG Rn 74. 281 Vgl. Nord/Manzel, NJW 2010, 3756, 3757. 282 Leupold/Glossner, MAH IT-Recht, Teil 5 Rn 97. 283 Roßnagel/Jandt/Schaar/Schulz, § 13 TMG Rn 74. 284 BGH, Urt. v. 25.10.2012 – I ZR 169/10 – CR 2013, 440, 441. 285 Plath/Hullen/Roggenkamp, § 13 TMG Rn. 23. 286 Spindler/Schuster/Spindler/Link, § 13 TMG Rn 6.
Ringel
A. Werbung
531
BDSG – ausdrücklich eine bewusste und eindeutige Handlung des Nutzers voraus.287 Hierfür streitet, dass in § 13 Abs. 2 Nr. 1 TMG tatsächlich – und insoweit abweichend von § 4a BDSG und § 28 Abs. 3a S. 2 BDSG – eine „bewusste und eindeutige“ Erklärung der Einwilligung verlangt wird. Aus Gründen der Rechtssicherheit empfiehlt sich bis zu einer höchstrichterlichen Klärung dieser Frage eine Ausgestaltung der elektronischen Einwilligung als Opt-in-Klausel. Praxistipp Im Ergebnis sollten elektronische Einwilligungen stets im Wege eines gesonderten und nicht bereits voreingestellten Anklickfeldes („Checkbox“) mit einem eigenen Einwilligungstext oder mit einem Link auf den Einwilligungstext eingeholt werden. Ist der verlinkte Einwilligungstext Bestandteil weiterer Erklärungen (z. B. AGB, Datenschutzerklärung), muss dieser grafisch hervorgehoben werden und sollte als eigener Textabschnitt mit gesonderter Überschrift („Einwilligung“) ausgestaltet sein. Soweit sich die Einwilligung auch auf die werbliche Nutzung der E-Mail-Adresse des Nutzers erstrecken soll, ist eine gesondert erklärte Einwilligung in Gestalt einer Opt-in-Klausel bereits wettbewerbsrechtlich erforderlich.288
e) Protokollierung, jederzeitige Abrufbarkeit und Widerrufbarkeit Laut § 13 Abs. 2 Nr. 2 TMG ist die elektronische Einwilligung zu protokollieren. Hier- 123 durch soll die Transparenz und Nachweisbarkeit der vom Nutzer erlaubten Datenverarbeitung gewährleistet werden.289 Dies wiederum erfordere nicht nur die Speicherung der Einwilligung selbst, sondern auch des Zeitpunkts ihrer Erklärung.290 Der Nutzer muss den Inhalt seiner Einwilligung gem. § 13 Abs. 2 Nr. 3 TMG jeder- 124 zeit abrufen und gem. § 13 Abs. 2 Nr. 4 TMG auch jederzeit mit Wirkung für die Zukunft widerrufen können. Für die jederzeitige Abrufbarkeit muss der Nutzer auf die Erklärung bzw. den entsprechenden standardisierten Einwilligungstext rund um die Uhr über das Internet zugreifen können.291 Auf sein Widerrufsrecht ist der Nutzer gem. § 13 Abs. 3 S. 1 TMG bereits vor der Erklärung der Einwilligung hinzuweisen. Dieser Hinweis muss gem. § 13 Abs. 2 S. 2 i. V. m. § 13 Abs. 1 S. 3 TMG ebenfalls jederzeit abrufbar sein.
4. Verhaltensbasierte Online-Werbung Zahlreiche Diensteanbieter im Internet verfolgen verständlicherweise das Ziel, 125 mithilfe einer möglichst zielgenau auf den jeweiligen Nutzer zugeschnittenen
287 Vgl. Wolff/Brink/Tinnefeld/Buchner, Syst. I Rn 77 f. 288 Siehe dazu eingehend unter Rn 170 ff. 289 Roßnagel/Jandt/Schaar/Schulz, § 13 TMG Rn 76. 290 Roßnagel/Jandt/Schaar/Schulz, § 13 TMG Rn 76. 291 jurisPK-Internetrecht/Heckmann, Kap. 9 Rn 233 f.
Ringel
532
Kapitel 10 Nutzung von Kundendaten
Werbung Einnahmen aus der Werbung selbst oder aus dem Verkauf ihrer Produkte zu generieren. Für Zwecke dieser verhaltensbasierten Werbung (auch Behavioral Targeting/Behavioral Marketing genannt) soll das Verhalten des jeweiligen Nutzers möglichst genau analysiert werden, damit dessen Vorlieben und ggf. auch Abneigungen möglichst genau erkennbar sind.292 Es liegt auf der Hand, dass die Erstellung solcher Nutzerprofile durch die Diensteanbieter in Verbindung mit den immer größer werdenden technischen Möglichkeiten zur Analyse des Nutzerverhaltens mit den Persönlichkeitsrechten der Betroffenen kollidieren kann und eine Reihe datenschutzrechtlicher Fragen aufwirft, deren Klärung für die rechtssichere Online-Werbung indes unabdingbar ist. Weit verbreitet ist in diesem Zusammenhang der Einsatz von Tracking Tools, um 126 die Bewegungen der Internetnutzer zu verfolgen und diesen entsprechende Werbung zuzuweisen. Mithilfe dieser Tracking Tools werden Informationen dazu erfasst, von wo ein Besucher kommt, wie er zum fraglichen Internetauftritt (z. B. Onlineshop) gelangt ist, welche Seiten er dort und ggf. auch noch woanders aufruft und an welcher Stelle er den Internetauftritt wieder verlässt.293 Folglich ermöglichen Tracking Tools, die Gewohnheiten der Besucher von Internetseiten näher kennenzulernen und sich auf diese einzustellen.294
a) Zulässige Bildung von Nutzungsprofilen
127 Die Zulässigkeit all dieser Maßnahmen ist im Anwendungsbereich des TMG an § 15
zu messen. Laut § 15 Abs. 3 S. 1 TMG dürfen für Zwecke der Werbung ohne Einwilligung der Nutzer solche Nutzungsprofile nur unter Verwendung von Pseudonymen erstellt werden, sofern der Nutzer dem nicht widersprochen hat. Auf sein Widerspruchsrecht ist er bereits zu Beginn der Nutzung zu unterrichten (§ 15 Abs. 3 S. 2 i. V. m. § 13 Abs. 1 S. 1 TMG), was unter pragmatischen Gesichtspunkten über die Datenschutzerklärung erfolgt. Von der in jedem Falle erforderlichen Pseudonymisierung ist auszugehen, wenn die Nutzerdaten so verändert werden, dass sie ohne Kenntnis eines zur Auflösung des Pseudonyms erforderlichen Zuordnungsmerkmals nicht mehr der Person des Nutzers zugeordnet werden können.295 Wird etwa statt des Klarnamens eines Nutzers eine Nummer verwendet, die nur über eine gesonderte Tabelle einer individuellen Person zugeordnet werden kann, ist eine Pseudonymisierung zu bejahen.
292 jurisPK-Internetrecht/Heckmann, Kap. 9 Rn 88. Eingehend dazu auch Rammos, K&R 2011, 692 ff.; ebenso zu den verschiedenen Dienstleistungsangeboten und deren datenschutzrechtlichen Fragen Arning/Moos, ZD 2014, 242 ff. 293 Härting, Rn 279. 294 Härting, Rn 279; vgl. auch Kap. 7 Rn 31 ff. 295 Vgl. Ott, K&R 2009, 308, 312.
Ringel
A. Werbung
533
Aus der Verortung der Regelung in § 15 TMG, der den Umgang mit Nutzungs- 128 daten zum Gegenstand hat, folgt, dass ausschließlich Nutzungsdaten i. S. d. § 15 Abs. 1 TMG und nicht etwa auch Bestands- oder Verkehrsdaten der Telekommunikation für die Profilbildung verwendet werden dürfen.296 Auch Inhaltsdaten können schon mangels Anwendbarkeit des TMG nicht auf der Basis von § 15 Abs. 3 TMG in die Profilbildung einbezogen werden.297 Hinsichtlich der Frage, welche Nutzungsdaten verwendet werden, ist der Diensteanbieter hingegen frei; insoweit enthält das Gesetz keine Beschränkungen.298 Auch dürfen die Nutzungsdaten aus verschiedenen Nutzungsvorgängen zur Profilbildung verwendet werden.299 Für die Zulässigkeit der Einbeziehung von Inhaltsdaten wird vertreten, dass sich diese wegen eines bestehenden berechtigten wirtschaftlichen Interesses des Diensteanbieters auf § 28 Abs. 2 Nr. 1 i. V. m. § 28 Abs. 1 S. 1 Nr. 1 BDSG stützen lasse. Bei der insoweit gebotenen Abwägung mit den berechtigten Interessen der Nutzer am Ausschluss der Nutzung ihrer Daten sei zugunsten des Diensteanbieters zu berücksichtigen, dass der Gesetzgeber die Erstellung von Nutzungsprofilen unter Verwendung von Pseudonymen ausdrücklich zulasse und so einen angemessenen Ausgleich zwischen den berechtigten Interessen der Beteiligten geschaffen habe.300 Gegen diese Auffassung spricht, dass eine Nutzung von Inhaltsdaten für eine Werbezwecken dienende Profilbildung ausschließlich an § 28 Abs. 3 BDSG zu messen ist. Folglich dürfen ohne Einwilligung der Nutzer nur Listendaten in die Profilbildung einbezogen werden,301 wenngleich dies nicht zu einer Auflösung der Pseudonymisierung führen darf. Daher ist zunächst auch eine Pseudonymisierung der Listendaten erforderlich, bevor diese mit den pseudonymisierten Nutzerdaten zusammengeführt werden. Dies setzt naturgemäß einen Gleichlauf der verwendeten Pseudonyme voraus, da anderenfalls eine sinnvolle Zusammenführung kaum möglich sein wird. Insgesamt gilt, dass, auch wenn das Gesetz eine Begrenzung der zulässig für die 129 Profilbildung verwendbaren Daten nicht vorsieht, darauf zu achten ist, dass sich ein Personenbezug aufgrund der Fülle der einbezogenen Daten nicht aus dem Nutzungsprofil selbst ergibt.302 Die so zulässig erstellten Nutzungsprofile dürfen gem. § 15 Abs. 3 S. 3 TMG nicht 130 mit Daten über den Träger des jeweiligen Pseudonyms zusammengeführt werden. Anderenfalls würde der gesetzlich festgelegte Zweck der Pseudonymisie-
296 So im Ergebnis auch Roßnagel/Dix/Schaar, § 13 Rn 62; Plath/Hullen/Roggenkamp, § 15 Rn 33; jurisPK-Internetrecht/Heckmann, Kap. 9 Rn 371. 297 Zu Nichtanwendbarkeit des TMG siehe unter Rn 110; vgl. Arning/Moos, ZD 2014, 126, 129. 298 jurisPK-Internetrecht/Heckmann, Kap. 9 Rn 371. 299 Steinhoff, K&R 2014, 86, 88. 300 Arning/Moos, ZD 2014, 126, 132. 301 Vgl. Auer-Reinsdorff/Conrad/Conrad, § 25 Rn 267. 302 Zeidler/Brüggemann, CR 2014, 248, 254.
Ringel
534
Kapitel 10 Nutzung von Kundendaten
rung unterlaufen.303 Deshalb hat der Diensteanbieter auch gem. § 13 Abs. 4 S. 1 Nr. 6 TMG durch technische und organisatorische Maßnahmen sicherzustellen, dass eine Zusammenführung nicht erfolgt. Hierzu hat der Diensteanbieter die Identifikationsdaten besonders zu sichern, was beispielsweise durch die Ablage auf ein externes Speichermedium, auf das Dritte keinen Zugriff haben, erfolgen kann.304 Ein Verstoß gegen das Verbot der Zusammenführung von Nutzungsprofilen mit den Daten über den Träger des jeweiligen Pseudonyms stellt gem. § 16 Abs. 2 Nr. 5 TMG eine Ordnungswidrigkeit dar, die gem. § 16 Abs. 3 TMG mit einer Geldbuße in Höhe von bis zu 50.000 € geahndet werden kann. Dieses Verbot der Zusammenführung steht im Widerspruch mit der in § 13 Abs. 7 131 TMG S. 1 TMG geregelten Pflicht zur Erteilung von Auskünften auch über die zu einem Pseudonym gespeicherten Daten auf Verlangen des Nutzers. Praktisch aufgelöst wird dieser Konflikt durch eine Pflicht des auskunftspflichtigen Diensteanbieters, den Nutzer zunächst über die Folgen seines Auskunftsverlangens aufzuklären. Verlangt der Nutzer gleichwohl Auskunft über die zu seinem Pseudonym gespeicherten Daten, dürfen die Nutzungsprofile ausnahmsweise – aber auch nur für den Zweck der Auskunftserteilung – mit den Daten des Auskunftsberechtigten zusammengeführt werden.305 Gemäß dem Wortlaut des § 15 Abs. 3 S. 1 TMG dürfen die Nutzungsdaten nur zur 132 Erstellung von Nutzungsprofilen verwendet werden. Eine Übermittlung der Nutzungsdaten an Dritte ist auch für den Zweck der Erstellung von Nutzungsprofilen durch diese nicht erlaubt.306 Wie diese gesetzliche Vorgabe umgesetzt wird, schreibt das Gesetz nicht vor.307 Die Erstellung von Nutzungsprofilen ist solange zulässig, bis der betreffende 133 Nutzer ihr widerspricht (Opt-out-Lösung). Der Widerspruch entfaltet lediglich Wirkung für die Zukunft. Die bis zu einem Widerspruch rechtmäßig erstellten Nutzungsprofile werden nicht rückwirkend unrechtmäßig.308 Auf sein Widerspruchsrecht ist der Nutzer, wie ausgeführt, gem. § 15 Abs. 3 S. 2 TMG im Rahmen der gem. § 13 Abs. 1 TMG gebotenen umfassenden Unterrichtung bereits zu Beginn des Nutzungsvorgangs über die Erhebung und Verwendung seiner personenbezogenen Daten hinzuweisen.309 Dieser Hinweis auf die Widerspruchsmöglichkeit muss für den Nutzer klar und deutlich erkennbar sein.310
303 jurisPK-Internetrecht/Heckmann, Kap. 9 Rn 383. 304 Spindler/Schuster/Spindler/Nink, § 13 Rn 8a. 305 Spindler/Schuster/Spindler/Nink, § 15 Rn 7a; Plath/Hullen/Roggenkamp, § 15 Rn 27. 306 Roßnagel/Dix/Schaar, § 15 Rn 66. 307 Plath/Hullen/Roggenkamp, § 15 TMG Rn 26. 308 jurisPK-Internetrecht/Heckmann, Kap. 9 Rn 381; Plath/Hullen/Roggenkamp, § 15 Rn 30. 309 Zu den Informationspflichten gem. § 13 Abs. 1 TMG im Einzelnen siehe Kap. 7. 310 LG Frankfurt a. M., Urt. v. 18.2.2014 – 3-10 O 86/12 – CR 2014, 266, 268.
Ringel
A. Werbung
535
Praxistipp Der Hinweis auf die Erstellung von Nutzungsprofilen und das Widerspruchsrecht der Nutzer sollten nicht lediglich versteckt, sondern unter Verwendung eines separaten Links zu entsprechenden Informationen in der Datenschutzerklärung erfolgen.
b) Nutzungsprofile ohne Verwendung von Pseudonymen Eine Erstellung von Nutzungsprofilen ohne Verwendung von Pseudonymen bedarf 134 stets einer wirksamen Einwilligung der betroffenen Nutzer.311 Bei der Verwendung von Google Analytics und ähnlichen Tracking Tools stellt 135 sich das Problem, dass die Einholung einer solchen Einwilligung von allen erfassten Besuchern einer Internetseite praktisch kaum durchführbar ist. Diese ist aber zwingend erforderlich, wenn man mit den Aufsichtsbehörden bzw. aus Vorsichtsgründen der Ansicht folgt, dass IP-Adressen als personenbezogene Daten einzuordnen sind. Deshalb wird mitunter vertreten, dass diese Tracking Tools datenschutzrechtlich nicht zulässig genutzt werden können.312 Dieses Verständnis geht aber zu weit, da der Düsseldorfer Kreis, das bundesweite Gremium der Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich, am 26.11.2009 generelle Leitlinien zur „[d]atenschutzkonformen Ausgestaltung von Analyseverfahren zur Reichweitenmessung bei Internet-Angeboten“313 beschlossen hat, auf deren Grundlage der Hamburgische Datenschutzbeauftragte weiter konkretisierte Mindestanforderungen für die konkrete Nutzung von Google Analytics abgeleitet hat.314 Werden diese eingehalten, ist ein datenschutzkonformer Einsatz von Tracking Tools im Allgemeinen und Google Analytics im Konkreten möglich. Hinsichtlich der Einzelheiten sei auf Kap. 7315 verwiesen.
311 jurisPK-Internetrecht/Heckmann, Kap. 9 Rn 372. 312 Härting, Rn 281. 313 „Datenschutzkonforme Ausgestaltung von Analyseverfahren zur Reichweitenmessung bei internetangeboten“ gemäß Beschluss der obersten Aufsichtsbehörden für den Datenschutz im nichtöffentlichen Bereich am 26./27.11.2009 in Stralsund, abrufbar unter http://www.bfdi.bund.de/SharedDocs/Publikationen/Entschliessungssammlung/DuesseldorferKreis/Nov09Reichweitenmessung. pdf?__blob=publicationFile. 314 Vgl. Pressemitteilung des Bayerischen Landesamtes für Datenschutzaufsicht vom 7.5.2012 „BayLDA überprüft bei 13.404 Homepages den datenschutzkonformen Einsatz eines Auswertungsprogramms zur Nutzung der Homepage“, abrufbar unter http://www.lda.bayern.de/lda/ datenschutzaufsicht/p_archiv/2012/pm005.html. 315 Vgl. dort Rn 31 ff.
Ringel
536
Kapitel 10 Nutzung von Kundendaten
c) Einsatz von Cookies
136 Zu den Hauptinstrumenten einer verhaltensbasierten Werbung zählen sog. Cookies.316
Diese Cookies sind kleine Dateien, die ein Diensteanbieter zumeist ohne Kenntnis des Nutzers auf dessen Rechner ablegt, um Informationen über diesen zu sammeln.317 Zu diesen Informationen können etwa Informationen über den verwendeten Internetbrowser, die IP-Adresse des Nutzers oder auch dessen Präferenzen beim Surfen im Internet zählen.318 Soweit mittels Cookies personenbezogene Daten erhoben werden, ist deren 137 Einsatz zunächst an den Vorgaben des TMG zu messen. Unter Verwendung von Pseudonymen können die mithilfe der Cookies erhobenen personenbezogenen Daten nach nationalem Recht gem. § 15 Abs. 3 TMG folglich auch ohne Einwilligung der Nutzer zur Erstellung von Nutzungsprofilen verwendet werden, bis der Nutzer dem widerspricht (Opt-out). Aktuell in der Diskussion ist jedoch, ob dies den europarechtlichen Vorgaben für 138 den Einsatz von Cookies entspricht. Im Jahre 2009 erließ der europäische Gesetzgeber die sog. Cookie-Richtlinie.319 Nach Art. 2 Nr. 5 der Cookie-Richtlinie wurde Art. 5 Abs. 3 der Datenschutzrichtlinie für die elektronische Kommunikation320 dahingehend geändert, dass die Mitgliedstaaten die Speicherung von Informationen auf den Endgeräten des Nutzers oder den Zugriff auf bereits auf den Endgeräten der Nutzer gespeicherten Informationen nur auf der Basis von Einwilligungen der betroffenen Nutzer sicherzustellen haben (Opt-in). Bislang fehlt es jedoch an einer Umsetzung in Deutschland. Hinsichtlich der Einzelheiten sei auf das Kap. 7321 verwiesen.
VI. Werbung durch die Anbieter von Telekommunikationsdiensten 139 Bereichsspezifische Regelungen zum Datenschutz für die Anbieter von Telekommuni-
kationsdiensten i. S. d. § 3 Nr. 6 TKG (Diensteanbieter) finden sich im Telekommunikationsgesetz (TKG). Dem allgemeinen Datenschutzrecht folgend ergibt sich auch aus
316 Vgl. Zeidler/Brüggemann, CR 2014, 248, 250. 317 Härting, Rn 267; Hoeren, S. 393. 318 Zeidler/Brüggemann, CR 2014, 248, 250. 319 RL 2009/136/EG v. 25.11.2009 zur Änderung der RL 2002/22/EG über den Universaldienst und Nutzerrechte bei elektronischen Kommunikationsnetzen und -diensten, der RL 2002/58/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation und der VO (EG) Nr. 2006/2004 über die Zusammenarbeit im Verbraucherschutz, ABl. EG/ EU 2009 Nr. L 337, S. 11 ff. 320 RL 2002/58/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation und der VO (EG) Nr. 2006/2004 über die Zusammenarbeit im Verbraucherschutz, ABl. EG/EU 2009 Nr. L 337, S. 11 ff. 321 Vgl. dort Rn 26 ff.
Ringel
A. Werbung
537
den §§ 95 bis 98 TKG, dass ein Diensteanbieter keine Daten seiner Kunden erheben und verwenden darf, es sei denn, das Gesetz räumt ihm hierzu eine Befugnis ein.322
1. Anwendungsbereich des TKG Das TKG unterscheidet in sachlicher Hinsicht zwischen den Bestandsdaten i. S. d. 140 § 95 TKG, den Verkehrsdaten i. S. d. § 96 TKG und den Standortdaten i. S. d. § 98 TKG. In personeller Hinsicht beschränkt sich das TKG gem. § 91 Abs. 1 S. 1 auf den 141 Schutz von Daten der Teilnehmer und Nutzer (Teilnehmer) von Telekommunikationsdiensten. Gemäß dem Ziel, deren personenbezogene Daten zu schützen, werden wiederum grundsätzlich nur natürliche Personen vom Anwendungsbereich der datenschutzrechtlichen Bestimmungen des TKG erfasst. Die darüber hinausgehende Einbeziehung von juristischen Personen oder Personengesellschaften, sofern sie mit der Fähigkeit ausgestattet sind, Rechte zu erwerben oder Verbindlichkeiten einzugehen, beschränkt sich gem. § 91 Abs. 1 S. 2 TKG auf die dem Fernmeldegeheimnis gem. § 88 TKG unterliegende Einzelangaben.323
2. Werbliche Verwendung von Teilnehmerdaten Die werbliche Verwendung der Teilnehmerdaten ist im TKG für die Bestands- und die 142 Verkehrsdaten einzeln und mit Blick auf die Notwendigkeit einer Einwilligung der Teilnehmer unterschiedlich geregelt.
a) Werbliche Verwendung von Bestandsdaten Das Gesetz definiert in § 3 Nr. 3 TKG als Bestandsdaten die Daten eines Teilnehmers, 143 die für die Begründung, inhaltliche Ausgestaltung, Änderung oder Beendigung eines Vertragsverhältnisses über die Telekommunikationsdienste erhoben werden. Zu ihnen zählen typischerweise die Adressdaten der Teilnehmer, ihre Rufnummern, die technischen Merkmale des Anschlusses und die für die Abrechnung relevanten Angaben.324 Ebenfalls dazu gehören statische IP-Adressen, während dynamische IPAdressen nach einer Entscheidung des BVerfG den Verkehrsdaten i. S. d. 96 Abs. 1 TKG zuzurechnen sind, weil zu deren Identifizierung auf Verbindungsdaten der Teilnehmer und damit auf Verkehrsdaten zurückgegriffen werden muss.325
322 BGH, Urt. v. 13.1.2011 – III ZR 146/10 – NJW 2011, 1509, 1510. 323 Vgl. Auer-Reinsdorff/Conrad/Conrad, § 25 Rn 244. 324 Wolff/Brink/Tinnefeld/Buchner, Syst. I Rn 124; BerlK-TKG/Klesczewski, § 95 Rn 3. 325 BVerfG, Beschl. v. 24.1.2012 – 1 BvR 1299/05 – NJW 2012, 1419, 1422; Plath/Jenny, § 95 TKG Rn 2.
Ringel
538
144
145
146
147
148
Kapitel 10 Nutzung von Kundendaten
Diese Bestandsdaten darf der Diensteanbieter gem. § 95 Abs. 2 S. 1 TKG zur Werbung für eigene Angebote nur verwenden, soweit dies für diesen Zweck erforderlich ist und der Teilnehmer eingewilligt hat. Laut § 95 Abs. 2 S. 2 TKG kann ein Diensteanbieter im Rahmen einer bestehenden Kundenbeziehung die ihm rechtmäßig zur Kenntnis gelangte Rufnummer oder Postadresse eines Teilnehmers einschließlich dessen elektronischer Postadresse ohne dessen Einwilligung zur Versendung von Text- oder Bildmitteilungen an ein Telefon oder eine Postadresse zur Bewerbung eigener Angebote verwenden, wenn der Teilnehmer einer solchen Verwendung nicht widersprochen hat. Von dieser Befugnis zur einwilligungslosen Bewerbung eigener Angebote wird inhaltlich nicht nur das Anbieten eigener Produkte, sondern auch die Image-Werbung für den Diensteanbieter erfasst.326 Erlaubt ist dem Diensteanbieter insoweit die Versendung von Text- oder Bildmitteilungen an die Rufnummer oder Postadresse, nicht jedoch Sprachnachrichten oder Anrufe.327 Zur Postadresse i. S. d. § 95 Abs. 2 S. 2 TKG gehört auch die elektronische Postadresse.328 Die Rufnummer oder Postadresse müssen dem Diensteanbieter im Rahmen einer bestehenden Kundenbeziehung rechtmäßig zur Kenntnis gelangt sein. Damit legt der Wortlaut nahe, dass die Kundenbeziehung auch im Zeitpunkt der werblichen Ansprache noch bestehen muss.329 Die Befugnis zur werblichen Ansprache entfällt, wenn ihr der Teilnehmer widersprochen hat. Neben einem fehlenden Widerspruch setzt die werbliche Verwendung dieser Daten gem. § 95 Abs. 2 S. 3 TKG voraus, dass der Teilnehmer bereits bei der erstmaligen Erhebung oder erstmaligen Speicherung der Rufnummer oder Adresse sowie bei jeder Versendung einer Werbenachricht deutlich und gut sichtbar darauf hingewiesen wird, dass er der Versendung weiterer Nachrichten jederzeit schriftlich oder elektronisch widersprechen kann. Laut dem in § 95 Abs. 5 S. 1 TKG geregelten Kopplungsverbot darf die Einwilligung des Teilnehmers nicht zur Voraussetzung für die Erbringung von Telekommunikationsdienstleistungen durch den Diensteanbieter gemacht werden, wenn dem Teilnehmer ein Zugang zu diesen Leistungen anders nicht oder nicht in zumutbarer Weise möglich ist. Wie im Falle des § 28 Abs. 3b S. 1 BDSG kommt das Kopplungsverbot vor allem zum Tragen, wenn dem Teilnehmer ein anderer Zugang zu den vertragsgegenständlichen Telekommunikationsdienstleistungen ohne seine Einwilligung aufgrund von Absprechen der Diensteanbieter marktweit nicht möglich ist.330 Angesprochen sind insoweit auch Konstellationen, in denen bestimmte Telekommunikationsdienst-
326 BerlK-TKG/Klesczewski, § 95 Rn 10. 327 Plath/Jenny, § 95 TKG Rn 7 m. w. N. 328 Plath/Jenny, § 95 TKG Rn 7; BerlK-TKG/Klesczweski, § 95 Rn 16. 329 Siehe auch Plath/Jenny, § 95 TKG Rn 8 m. w. N. 330 Vgl. BerlK-TKG/Klesczewski, § 95 Rn 22.
Ringel
A. Werbung
539
leistungen von Diensteanbietern exklusiv erbracht werden.331 Eine entgegen diesem Kopplungsverbot eingeholte Einwilligung ist gem. § 95 Abs. 5 S. 2 TKG unwirksam. Hinzuweisen ist ferner darauf, dass § 95 Abs. 2 TKG nur die Regeln des allge- 149 meinen Datenschutzrechts verdrängt, nicht indes die wettbewerbsrechtlichen Bestimmungen des UWG. Diese sehen abgesehen von wenigen und sehr restriktiv zu handhabenden Ausnahmen die Notwendigkeit einer ausdrücklichen Einwilligung der Teilnehmer in die werbliche Ansprache mittels elektronischer Kommunikationsmittel vor.332
b) Werbliche Verwendung von Verkehrsdaten Verkehrsdaten i. S. d. § 96 Abs. 1 TKG dürfen vom Diensteanbieter gem. § 96 Abs. 3 S. 1 150 und 3 TKG zum Zwecke der Vermarktung von Telekommunikationsdiensten nur mit Einwilligung der Betroffenen verwendet werden. Dies sind bezogen auf teilnehmerbezogene Verkehrsdaten die Anrufenden selbst und bezogen auf die zielnummernbezogenen Verkehrsdaten die Angerufenen. Laut § 96 Abs. 4 S. 1 TKG sind die Teilnehmer bei der Einholung ihrer Einwilli- 151 gung darüber zu informieren, welche Datenarten für Zwecke der Werbung verarbeitet und wie lange sie gespeichert werden sollen. Ferner sind sie gem. § 96 Abs. 4 S. 2 TKG darauf hinzuweisen, dass sie ihre Einwilligung jederzeit widerrufen können.
3. Zulässigkeit einer elektronisch erteilten Einwilligung Soweit das TKG eine Einwilligung der Teilnehmer in die werbliche Verwendung ihrer 152 personenbezogenen Daten verlangt, kann diese gem. § 94 TKG unter den dort genannten Voraussetzungen auch elektronisch erklärt werden. Aufgrund der im Wortlaut identischen Regelungen kann zu den Voraussetzungen 153 einer wirksamen Einwilligung auf die Ausführungen zur elektronischen Einwilligung gem. § 13 Abs. 2 TMG verwiesen werden.333
VII. Social Media Marketing Entsprechend der zunehmenden Bedeutung der sozialen Netzwerke (Social Media) 154 wie Facebook, Google+, Twitter oder XING334 und die Gestattung der kommerziellen
331 Wolff/Brink/Tinnefeld/Buchner, Syst. I Rn 135. 332 Siehe Rn 153 ff. 333 Siehe Rn 108 ff. 334 Zu weiteren sozialen Netzwerken und ihrer Funktionsweise siehe Splittgerber/Klein, Kap. 1 Rn 9 ff.
Ringel
540
Kapitel 10 Nutzung von Kundendaten
Nutzung durch die meisten Anbieter werden diese verstärkt auch in die Online-Werbestrategien der Unternehmen eingebunden (Social Media Marketing). Auch insoweit ergeben sich eine Reihe datenschutzrechtlicher Fragen, von denen hier nur die aktuell wichtigsten angesprochen werden können.
1. Unternehmenspräsenz in sozialen Netzwerken 155 Ein typisches Instrument des Social Media Marketings ist die Einrichtung von Unternehmensseiten oder Unternehmensprofilen in diesen sozialen Netzwerken entsprechend den Nutzungsbestimmungen der Anbieter (Fanpages). Das Interesse an einer solchen Fanpage liegt u. a. darin begründet, dass die Betreiber der sozialen Netzwerke den Besuch dieser Seiten umfassend auswerten und die Ergebnisse dieser Auswertung den Fanpage-Betreibern zur Verfügung stellen. Die Zulässigkeit dieser Unternehmenspräsenzen wurde jüngst für die Fanseiten bei Facebook durch die Schleswig-Holsteinische Datenschutzaufsichtsbehörde infrage gestellt. Sie weist den Betreibern einer Fanpage eine datenschutzrechtliche Mitverantwortung für die Erhebung, Verarbeitung und Verwendung der Nutzerdaten durch Facebook zu, die überdies nicht den Vorgaben des TMG entspreche. Das Schleswig-Holsteinische VG lehnte in erster Instanz eine solche Mitverantwortung des aufsichtsbehördlich auf Deaktivierung der Fanpage in Anspruch genommenen Fanpagebetreibers ab.335 Der Fanpagebetreiber käme selbst nicht mit den Nutzern der Fanpage in Kontakt und deren Daten gelangten ausschließlich direkt zu Facebook. Facebook sei auch nicht als Auftragnehmer einer Auftragsdatenverarbeitung für den Fanpagebetreiber tätig.336 Da der Fanpagebetreiber tatsächlich und rechtlich keinen Einfluss auf die Erhebung und Verarbeitung der personenbezogenen Nutzerdaten durch Facebook habe, sei er auch nicht unter dem Aspekt verantwortliche Stelle, dass er gemeinsam mit Facebook über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheide.337 Naturgemäß stieß diese Entscheidung auf ein unterschiedliches Echo.338 Tatsächlich spricht wenig für eine datenschutzrechtliche Mitverantwortlichkeit 156 des Betreibers nur einer Fanpage für die Datenverarbeitung durch den Betreiber des sozialen Netzwerkes. Rechtspolitisch mag zwar zu beklagen sein, dass die Betreiber einer Fanpage sich auf diesem Wege den gemäß dem TMG geltenden strengen Bestimmungen für die Erstellung von Nutzungsprofilen entziehen können. Allerdings ist zunächst der Gesetzgeber gefordert, dieser Schutzlücke entgegenzuwirken.339
335 Schleswig-Holsteinisches VG, Urt. v. 9.10.2013 – 8 A 14/12 – K&R 2013, 824, 826. 336 Schleswig-Holsteinisches VG, Urt. v. 9.10.2013 – 8 A 14/12 – K&R 2013, 824, 826. 337 Schleswig-Holsteinisches VG, Urt. v. 9.10.2013 – 8 A 14/12 – K&R 2013, 824, 827. 338 Das Urteil ausdrücklich begrüßend Härting, K&R 2013, 828; ablehnend dagegen Karg, ZD 2014, 54, 55 f. 339 Eine „Störerhaftung“ im Sinne einer Haftung Dritter im Internet nach geltender Rechtslage ebenfalls ablehnend Piltz, K&R 2014, 80 ff.
Ringel
A. Werbung
541
Rechtssicherheit ist mit dieser Entscheidung für die Unternehmen indes noch nicht gegeben. Die Schleswig-Holsteinische Datenschutzaufsichtsbehörde hat gegen die Entscheidung Berufung eingelegt, über die zum Zeitpunkt dieser Bearbeitung noch nicht entschieden war. Der Ausgang des weiteren Verfahrens sollte seitens der Unternehmen unbedingt beachtet werden, da davon auszugehen ist, dass der weiteren Entscheidung eine de-facto-Indizwirkung für das gesamte Bundesgebiet zukommen wird. Vor dem Hintergrund der jüngsten Entscheidungen des EuGH zum „Recht auf 157 Vergessen“ im Internet und zur insoweit bestehenden Verantwortlichkeit von Suchmaschinenbetreibern sowie des KG Berlin zur Erhebung von Daten durch Facebook mittels Cookies stellt sich zudem erneut die Frage, ob für die Erstellung von Nutzerprofilen durch die im Ausland ansässigen Betreiber sozialer Netzwerke nicht doch deutsches Recht gilt. Der EuGH urteilte u. a., dass es für den räumlichen Anwendungsbereich der EU-Datenschutzrichtlinie nur darauf ankomme, ob die Verarbeitung personenbezogener Daten „im Rahmen der Tätigkeit“ einer im betreffenden Staat ansässigen Niederlassung erfolge, deren verkaufsfördernde Tätigkeit auf die Einwohner dieses Staates ausgerichtet ist.340 Danach komme es nicht darauf an, ob die Verarbeitung personenbezogener Daten von der betreffenden Niederlassung selbst ausgeführt wird.341 Insoweit erachtete der EuGH eine spanische Tochtergesellschaft der in den USA ansässigen Google Inc., die in Spanien für den Verkauf von Werbeflächen auf der Website von Google warb, selbst aber keine Datenverarbeitung ausführte, für die Anwendbarkeit nationalen spanischen Rechts als ausreichend. Mit Blick auf den Schutzzweck der EU-Datenschutzrichtlinie, einen wirksamen und umfassenden Schutz der Grundfreiheiten und Grundrechte natürlicher Personen und insbesondere ihres Privatlebens zu gewährleisten, verbiete sich eine enge Auslegung. Vielmehr sei zum Schutz von Umgehungen ein besonders weiter räumlicher Anwendungsbereich der EU-Datenschutzrichtlinie anzunehmen.342 Die Entscheidung darf auch nicht dahingehend missverstanden werden, dass nur eine Tochtergesellschaft die Anwendbarkeit nationalen Rechts bewirke. Vielmehr erinnerte der EuGH noch einmal daran, dass es insoweit nur einer Niederlassung bedürfe, die auch eine Agentur oder Zweigstelle sein kann, ohne dass es dabei auf deren Rechtsform ankomme.343 Nach Ansicht des OVG Schleswig sei mit Blick auf die Anwendbarkeit des BDSG allerdings zwischen dem Niederlassungsbegriff i. S. d. EU-Datenschutzrichtlinie und dem Begriff der datenschutzrechtlich verantwortlichen Stelle zu unterscheiden. Letzterer verlange die Kompetenz, über die Zwecke und Mittel der Datenverarbeitung zu entscheiden, weshalb eine rein unterstützende Tätigkeit der Niederlassung für die
340 EuGH, Urt. v. 13.5.2014 – C-131/12 – BeckRS 2014, 80862 Rn 60. 341 EuGH, Urt. v. 13.5.2014 – C-131/12 – BeckRS 2014, 80862 Rn 52. 342 EuGH, Urt. v. 13.5.2014 – C-131/12 – BeckRS 2014, 80862 Rn 53 f. 343 EuGH, Urt. v. 13.5.2014 – C-131/12 – BeckRS 2014, 80862 Rn 48.
Ringel
542
Kapitel 10 Nutzung von Kundendaten
Anwendbarkeit deutschen Rechts nicht ausreichend sei.344 Zumindest dann, wenn eine Niederlassung in einem anderen Mitgliedstaat besteht, scheidet danach eine Anwendbarkeit des BDSG aus, wenn in Deutschland keine verantwortliche Stelle mit den hierfür als notwendig angesehenen Kompetenzen hinsichtlich der Datenverarbeitung festgestellt werden kann. Das KG Berlin gelangte mit Blick auf die Erhebung und Verarbeitung personenbezogener Daten durch Facebook zur gegenteiligen Auffassung, dass auf diese sehr wohl das BDSG anwendbar und nicht durch irisches Datenschutzrecht ausgeschlossen sei. Das KG bezweifelt auf Tatsachenebene für die in Irland ansässige Tochtergesellschaft der in den USA ansässigen Facebook Inc., dass diese tatsächlich die relevante Erhebung und weitere Verarbeitung personenbezogener Daten vornimmt und über die insoweit auch vom OVG Schleswig geforderte Entscheidungsmacht verfügt.345 Im Übrigen würden die vertraglichen Abreden zwischen der irischen Tochtergesellschaft und der amerikanischen Muttergesellschaft durch deren gesellschaftsrechtlichen Befugnisse überlagert und verdrängt.346
2. Social Plugins
158 Mittlerweile weit verbreitet ist die Einbindung sog. Social Plugins in die Marke-
tingstrategien der Unternehmen. Dabei handelt es sich um Anwendungen einer Social Media-Plattform, die auf den Websites von Mitgliedern der jeweiligen Plattform eingebunden werden.347 Zu den bekanntesten Social Plugins gehören derzeit wohl der Like- oder Gefällt-mir-Button von Facebook und der Follow-Button von Twitter. Der Like-Button ermöglicht es den Facebook-Mitgliedern, ihren Kontakten bestimmte Inhalte zu empfehlen.348 Aus datenschutzrechtlicher Sicht ist bedeutsam, dass mit der Betätigung dieser 159 Buttons auch personenbezogene Daten erhoben werden.349 Auch wenn das ein Social Plugin einbindende Unternehmen diese Daten regelmäßig selbst nicht erhebt, sondern der jeweilige Plattformbetreiber, wird es datenschutzrechtlich teilweise als zumindest für die Datenerhebung mitverantwortliche Stelle angesehen.350 Nach Ansicht des KG Berlin trifft neben Facebook auch das Unternehmen als Diensteanbieter durch das Einbinden des Like-Buttons die Unterrichtungspflicht gem. § 13 Abs. 1 TMG hinsichtlich der personenbezogenen Daten, die durch ihn erfasst und an Face-
344 OVG Schleswig, Beschl. v. 22.4.2013 – 4 MB 11/13 – ZD 2013, 364, 365 f. 345 KG, Urt. v. 24.1.2014 – 5 U 42/12 – BeckRS 2014, 03648. 346 KG, Urt. v. 24.1.2014 – 5 U 42/12 – BeckRS 2014, 03648. 347 Splittgerber/Splittgerber, Kap. 3 Rn 185. 348 Näher dazu Piltz, CR 2011, 657, 658. 349 Zu den durch den Like-Button von Facebook erhobenen Daten näher Splittgerber/Splittgerber, Kap. 3 Rn 188 ff. 350 Splittgerber/Splittgerber, Kap. 3 Rn 193; siehe auch die Nachweise bei Wintermeier, ZD 2013, 21, 23; ablehnend dagegen Piltz, CR 2011, 657, 662.
Ringel
A. Werbung
543
book weitergeleitet werden.351 Etwas anderes folgt nicht aus der – nicht rechtskräftigen – Entscheidung des Schleswig-Holsteinischen VG zu fehlender Mitverantwortlichkeit von Unternehmen, die eine Facebook-Fanpage betreiben, für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch Facebook selbst. Gegenstand dieser Entscheidung war die Frage der Verantwortlichkeit durch das Betreiben einer Fanpage bei Facebook als solche.352 Hinsichtlich der Zulässigkeit der Verwendung von Social Plugins kommt es darauf 160 an, ob diese nur personenbezogene Daten von Mitgliedern der jeweiligen Plattform erheben oder auch von Nichtmitgliedern. Die Erhebung personenbezogener Daten von Mitgliedern könnte ggf. noch auf § 15 Abs. 1 TMG gestützt werden. Allerdings ist bereits dies zweifelhaft, da nicht erkennbar ist, warum die Einbindung eines Social Plugins für die Inanspruchnahme des betreffenden Telemediendienstes (die Website bzw. den Webshop) erforderlich sein soll. Die Erhebung personenbezogener Daten von Nichtmitgliedern ist ohne deren Einwilligung stets unzulässig. Das Problem besteht darin, dass die derzeit bekannten Social Plugins nicht zwischen Mitgliedern und Nichtmitgliedern unterscheiden und ihre Verwendung ohne die Betroffenen bereits deshalb als datenschutzrechtlich unzulässig angesehen wird.353 Allerdings existieren mittlerweile technische Lösungen, die die Aktivierung des Plugins von der Aktivierung des jeweiligen Nutzers abhängig machen. Praxistipp Für eine rechtssichere Einbindung von Social Plugins empfiehlt sich deshalb die sog. Zwei-Klick-Lösung. Dabei wird die aufgerufene Website zunächst nur geladen und an die Stelle der Social Plugins treten zunächst nur Platzhalter. Bei dem Berühren des Platzhalters öffnet sich automatisch ein Textfeld, das bereits vor einem ersten Klick über die Datenerhebung mittels des Social Plugins aufklärt. Aktiviert der Nutzer durch den ersten Klick gleichwohl das Social Plugin, wird dieses nachgeladen und erst zu diesem Zeitpunkt eine Verbindung mit dem Server des Plattformbetreibers hergestellt. Mit dem zweiten Klick wird dann auch die eigentliche Funktion des Social Plugins ausgeführt.354 Diese Lösung erhöht die Rechtssicherheit erheblich, wobei bezüglich weiterer Einzelheiten auf das Kap. 7355 verwiesen werden soll.
Laut § 13 Abs. 5 TMG ist dem Nutzer nach der Aktivierung des Social Plugins auch die 161 Weiterleitung zum Betreiber der Social Media-Plattform anzuzeigen.356
351 KG, Urt. v. 29.4.2011 – 5 W 88/11 – CR 2011, 468, 469. 352 Schleswig-Holsteinisches VG, Urt. v. 9.10.2013 – 8 A 14/12 – K&R 2013, 824. 353 Splittgerber/Splittgerber, Kap. 3 Rn 194. 354 Vgl. Hoeren/Sieber/Holznagel/Solmecke, Teil 21.1. Social Media Rn 30. Zum Inhalt der Information siehe Splittgerber/Splittgerber, Kap. 3 Rn 195. 355 Vgl. dort Rn 39 ff. 356 Ein Beispiel für eine solche Anzeige findet sich ebenfalls bei Splittgerber/Splittgeber, Kap. 3 Rn 196.
Ringel
544
Kapitel 10 Nutzung von Kundendaten
VIII. Wettbewerbsrechtliche Beschränkungen 162 Soll die Werbung mittels Fernkommunikationsmitteln erfolgen, werden die daten-
schutzrechtlichen Vorgaben für die Verarbeitung und Nutzung von Kundendaten für Zwecke der Werbung von den Vorgaben des UWG zum Schutz der Verbraucher vor unzumutbaren Belästigungen überlagert. Zwischen dem UWG und dem BDSG besteht kein Vor- oder Nachrangigkeitsverhältnis. Vielmehr kommen die datenschutz- und wettbewerbsrechtlichen Regelungen nebeneinander zur Anwendung mit der Folge, dass im Ergebnis die jeweils strengeren Anforderungen gelten.357 Nach diesen erfordert insbesondere die werbliche Ansprache unter Verwendung von elektronischen Fernkommunikationsmitteln eine Einwilligung der Betroffenen auch dann, wenn sie datenschutzrechtlich entbehrlich ist. Darüber hinaus muss die Einwilligung im Vergleich zum Datenschutzrecht gesteigerten Anforderungen genügen. Der wettbewerbsrechtliche Begriff der Werbung ist weit zu fassen. Nach diesem ist jede Maßnahme als Werbung zu qualifizieren, die auf eine Förderung des Absatzes gerichtet ist.358
1. Briefkasten- und Briefwerbung
163 Die wettbewerbsrechtliche Zulässigkeit der sog. Briefkastenwerbung (nicht adres-
sierte Werbung etwa per Brief, Prospekt, Handzettel oder Katalog)359 ist ebenso wie die Briefwerbung (Werbedrucksachen mit der Anschrift des Empfängers oder Werbebeilagen in einem Geschäftsbrief)360 vorrangig an § 7 Abs. 2 Nr. 1 UWG zu messen. Grundsätzlich ist diese Werbung wegen ihrer geringen Beeinträchtigung der Privatsphäre zulässig.361 Auf das Vorliegen einer Einwilligung kommt es bei der Briefkastenwerbung (wettbewerbsrechtlich) nicht an. Sie stellt aber mit dem Wortlaut des § 7 Abs. 2 Nr. 1 UWG stets eine unzumutbare Belästigung dar, wenn ein Verbraucher hartnäckig angesprochen wird, obwohl er dies erkennbar nicht wünscht. Ob es sich bei den Adressaten um Verbraucher handelt oder nicht, ist gemäß den §§ 13, 14 BGB zu bestimmen. Aus dem Wort „stets“ wird deutlich, dass es auf eine Abwägung der Interessen des Unternehmens und des Verbrauchers nicht ankommt.362 Wann die werbliche Ansprache als hartnäckig einzustufen ist, wird gesetzlich 164 nicht definiert. Einigkeit besteht nur insoweit, als eine einmalige Ansprache hierfür grundsätzlich nicht als ausreichend angesehen wird.363 Hierzu wird mindestens eine
357 Auer-Reinsdorff/Conrad/Conrad, § 25 Rn 292; Gola/Reiff, RDV 2009, 104. 358 Auer-Reinsdorff/Conrad/Conrad, § 25 Rn 295. 359 Hoeren/Sieber/Holznagel/Boemke, Teil 11 Rn 56; Auer-Reinsdorff/Conrad/Conrad, § 25 Rn 306; Harte-Bavendamm/Henning-Bodewig/Schöler, § 7 Rn 191; Gola/Reif, RDV 2009, 104, 107. 360 Harte-Bavendamm/Henning-Bodewig/Schöler, § 7 Rn 209. 361 Vgl. Gloy/Loschelder/Erdmann/Hasselblatt, § 61 Rn 77. 362 LG Lüneburg, Urt. v. 1.6.2011 – 9 C 17/11 – WRP 2012, 365, 367. 363 Auer-Reinsdorff/Conrad/Conrad, § 25 Rn 308; Gola/Reif, RDV 2009, 104, 108.
Ringel
A. Werbung
545
wiederholte werbliche Ansprache als notwendig angesehen; auf deren Intensität oder eine Belästigungsabsicht des Unternehmens komme es hingegen nicht an.364 Etwas anderes gilt im Falle eines – grundsätzlich formlos möglichen – Widerspruchs. Dann kann auch eine einmalige Briefkastenwerbung wettbewerbsrechtlich unzulässig sein. Dass der Verbraucher eine werbliche Ansprache erkennbar nicht wünscht, kann 165 sich aus verschiedenen Umständen ergeben. Relevant sind z. B. Sperrvermerke an Briefkästen etwa mit der Aufschrift „keine Werbung“ oder „keine Reklame“ 365 ebenso wie entsprechende Eintragungen in den gängigen Robinsonlisten.366 Bestätigt vom BGH stellte das OLG Hamm indes fest, dass ein sich lediglich gegen 166 Werbung richtender Aufkleber auf einem Briefkasten dem Einwurf von Gratiszeitungen mit einem redaktionellen Teil und beigelegten Werbeprospekten und auch dem Einwurf von Anzeigenblättern mit einem redaktionellen Teil nicht entgegensteht.367 Dies gilt auch für die sog. Zeitungsbeilagenwerbung.368 Ferner wird angenommen, dass ein solcher Sperrvermerk nur hinsichtlich nicht adressierter Werbung die gewünschte Wirkung entfalten könne. Bei einer persönlich adressierten Werbung könne der allgemeine Zustelldienst (insbesondere also die Deutsche Post AG) nicht erkennen, ob es sich um Werbung handelt.369 Etwas anderes muss aber gelten, wenn das Unternehmen die Werbung selbst zustellt oder durch einen von ihm dazu beauftragten Dienstleister zustellen lässt.370 Ohne Bedeutung für die Pflicht zur Beachtung von Sperrvermerken bei nicht 167 adressierter Werbung ist, ob sich das werbende Unternehmen eigener Zusteller oder externer Dienstleister bedient. Ihm ist zuzumuten, durch eine entsprechende Vereinbarung mit dem externen Dienstleister für eine Beachtung von Sperrvermerken Sorge zu tragen.371
364 So Harte-Bavendamm/Henning-Bodewig/Schöler, § 7 Rn 189; Köhler/Bornkamm/Köhler, § 7 Rn 102a. Nach Ansicht des LG Lüneburg genügt bereits ein zweites Mal der werblichen Ansprache: LG Lüneburg, Urt. v. 1.6.2011 – 9 C 17/11 – WRP 2012, 365, 367. 365 Auer-Reinsdorff/Conrad/Conrad, § 25 Rn 306; Gloy/Loschelder/Erdmann/Hasselblatt; § 61 Rn 79. 366 Dabei dürfte der insoweit fast gleichlautende § 7 Abs. 1 S. 2 UWG zum Tragen kommen, in dessen Rahmen die gängigen Robinsonlisten zu berücksichtigen sind; vgl. Harte-Bavendamm/Henning-Bodewig/Schöler, § 7 Rn 50; Gola/Reif, RDV 2009, 104, 108. 367 OLG Hamm, Urt. v. 14.7.2011 – I-4 U 42/11 – GRUR-RR 2011, 469, 470; BGH, Urt. v. 16.5.2012 – I ZR 158/11 – BeckRS 2012, 13520. So auch Köhler/Bornkamm/Köhler, § 7 Rn 109. So zuvor auch schon RathGlawatz, K&R 2007, 295, 297. 368 OLG Hamm, Urt. v. 14.7.2011 – I-4 U 42/11 – GRUR-RR 2011, 469, 470. 369 Harte-Bavendamm/Henning-Bodewig/Schöler, § 7 Rn 217; Köhler/Bornkamm/Köhler, § 7 Rn 115; im Ergebnis wohl Gola/Reif, RDV 2009, 104, 108. 370 So auch Köhler/Bornkamm/Köhler, § 7 Rn 15. 371 Köhler/Bornkamm/Köhler, § 7 Rn 107; Harte-Bavendamm/Henning-Bodewig/Schöler, § 7 Rn 207 m. w. N.; Mankowski, wrp 2012, 269, 273.
Ringel
546
Kapitel 10 Nutzung von Kundendaten
Auf einen Sperrvermerk am Hausbriefkasten kommt es nicht an, wenn der Adressat auf andere Weise gegenüber dem Unternehmen deutlich gemacht hat, dass er keine Werbung von diesem wünscht.372 Einen solchen Widerspruch gilt es stets zu beachten. Bereits bei der ersten Ansprache unzulässig sind aufgrund der erhöhten Beläs169 tigungswirkung als Privatbriefe getarnte Werbeschreiben; sie verstoßen zudem gegen das in § 4 Nr. 3 UWG normierte Verbot der Verschleierung von Werbemaßnahmen.373 Erkennbar unerwünschte Brief- bzw. Briefkastenwerbung kann gem. § 7 Abs. 1 S. 2 170 UWG auch dann unzulässig sein, wenn sie gegenüber Unternehmen erfolgt. Nach dem Wortlaut dieser Vorschrift kann eine einmalige Werbung unzulässig sein. Eine hartnäckige Ansprache ist insoweit nicht Voraussetzung für eine unzumutbare Belästigung.
168
2. Werbung mittels elektronischer Fernkommunikation
171 Besonders strenge Anforderungen stellen das Wettbewerbsrecht und die hierzu
ergangene Rechtsprechung374 an die Werbung unter Einsatz von elektronischen Fernkommunikationsmitteln wie Telefon und Telefax sowie E-Mail und SMS. Diese bedarf – einmal abgesehen von den gesetzlich bestimmten und restriktiv zu handhabenden Ausnahmen – stets einer vorherigen ausdrücklichen Einwilligung der Adressaten. Das Vorliegen einer solchen Einwilligung müssen die werbenden Unternehmen nachweisen. Die Zulässigkeit des in der Praxis erprobten und weithin anerkannten sog. Double-Opt-in-Verfahrens zur Erbringung dieses Nachweises wird, wie an späterer Stelle noch näher ausgeführt wird,375durch die aktuelle Rechtsprechung in Zweifel gezogen.
a) Notwendigkeit einer vorherigen ausdrücklichen Einwilligung
172 Zunächst ist allerdings festzustellen, dass im elektronischen Bereich von einem
grundsätzlichen Einwilligungserfordernis auszugehen ist. Laut § 7 Abs. 2 Nr. 2 und 3 UWG stellt die werbliche Ansprache per Telefon bzw. per automatischer Anrufma-
372 Für den Fall einer Mittelung per E-Mail OLG München, Urt. v. 5.12.2013 – 29 U 2881/13 – zit. nach juris Rn 48. 373 Gloy/Loschelder/Erdmann/Hasselblatt, § 61 Rn 78 m. w. N.; Köhler/Bornkamm/Köhler, § 7 Rn 114. 374 Die zur Einwilligung in Werbeanrufe ergangene Rechtsprechung kann – bis auf wenige Ausnahmen – auch für die Einwilligung in die Werbung per Fax oder elektronische Post herangezogen werden und umgekehrt, da in beiden Fällen die gleichen Anforderungen an die Einwilligung zu beachten sind. Unterschiede können sich hinsichtlich des Nachweises der Einwilligung ergeben; siehe dazu Rn 186 ff. 375 Vgl. unten Rn 188 f.
Ringel
A. Werbung
547
schine, Fax oder per elektronischer Post (etwa per E-Mail, SMS, MMS)376 ohne eine vorherige ausdrückliche Einwilligung des Empfängers grundsätzlich eine unzumutbare und damit unzulässige Belästigung dar. Von den durch Art. 13 der Datenschutzrichtlinie für die elektronische Kommunikation vorgegebenen Möglichkeiten zum Schutz vor unerwünschter Werbung habe sich der nationale Gesetzgeber mit § 7 Abs. 2 Nr. 2 und 3 UWG nach Ansicht des BGH für die sog. Opt-in-Lösung entschieden.377 Der Begriff der Einwilligung ist richtlinienkonform zu bestimmen.378 Laut Art. 2 173 S. 2 lit. f) dieser Richtlinie bezeichnet der Begriff „Einwilligung“ die Einwilligung der betroffenen Personen i. S. d. EU-Datenschutzrichtlinie.379 Demgemäß ist eine Einwilligung jede Willensbekundung, die ohne Zwang, für den konkreten Fall und in Kenntnis der Sachlage erfolgt und mit der der Erklärende akzeptiert, dass ihn betreffende Daten verarbeitet werden.380 In Kenntnis der Sachlage wird die Einwilligung für den konkreten Fall wiederum nur erteilt, wenn der Betreffende weiß, dass seine Erklärung ein solches Einverständnis darstellt und worauf sie sich bezieht und ihm klar ist, welche Produkte und Dienstleistungen welcher Unternehmen sie konkret erfasst.381 Nach Ansicht des KG Berlin ist zumindest die zu bewerbende Produktgattung mit zu benennen.382 Eine Benennung der einzelnen Produkte wäre danach nicht notwendig.383 Der Betroffene muss sich allerdings ausdrücklich mit der Art der werblichen 174 Ansprache (etwa per Telefon, per E-Mail) einverstanden erklärt haben. Dies ist nicht schon dann der Fall, wenn z. B. die E-Mail-Adresse in die Teilnehmerliste einer Seminarveranstaltung eingetragen wird.384 Die bloße Hinterlegung einer Telefonnummer beim Unternehmen durch einen Kunden, um für dieses bei Rückfragen erreichbar zu sein, genügt im Zweifel ebenfalls nicht.385 Anders dürfte sich indes die Lage bei
376 Eine Legaldefinition des Begriffs „elektronische Post“ enthält Art. 2 S. 2 lit. h) der Richtlinie 2002/58/EG v. 12.7.2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation, ABl. EG/EU 2002, Nr. L 201, S. 37 (Datenschutzrichtlinie für die elektronische Kommunikation). Zu den als elektronische Post i. S. d. § 7 Abs. 2 Nr. 3 UWG geltenden Fernkommunikationsmitteln eingehend Köhler/Bornkamm/Köhler, § 7 Rn 196. 377 BGH, Urt. v. 16.7.2008 – VIII ZR 348/06 – MMR 2008, 731, 734. 378 BGH, Urt. v. 25.10.2012 – I ZR 169/10 (KG) – GRUR 2013, 531, 533. 379 RL 1995/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr v. 24.10.1995, ABl. EG/EU 1995, Nr. L 281, S. 31. 380 Art. 2 lit. h) EG-Datenschutzrichtlinie. 381 BGH, Urt. v. 25.10.2012, GRUR 2013, 531, 533. 382 KG Berlin, Urt. v. 22.3.2012 – 103 O 41/07 – CR 2013, 167. Das Urteil betrifft zwar die Telefonwerbung; es lässt sich aber auch auf die E-Mail-Werbung übertragen. 383 In diese Richtung ebenfalls für die Telefonwerbung auch OLG Köln, Urt. v. 7.12.2012 – 6 U 69/12 – MMR 2013, 516, 517. 384 LG Gera, Urt. v. 24.7.2012 – 3 O 455/11 – WRP 2012, 1486. 385 OLG Köln, Urt. v. 30.3.2012 – 6 U 191/11 – K&R 2012, 434.
Ringel
548
175
176
177
178
Kapitel 10 Nutzung von Kundendaten
Hingabe einer Visitenkarte zwecks Möglichkeit zur Kontaktaufnahme darstellen, da diese Hingabe einer Visitenkarte ja gerade den Zweck verfolgt, den anderen dazu in die Lage zu versetzen, mit sich zu geschäftlichen Zwecken in Kontakt zu treten. Soweit das Gesetz eine ausdrückliche Einwilligung verlangt, können die betreffenden Werbemaßnahmen auch wettbewerbsrechtlich nicht auf konkludente Einwilligungen gestützt werden.386 Ein Schweigen auf die Ankündigung eines Anrufs in einem Werbeschreiben kann ebenfalls nicht als Einwilligung gewertet werden.387 Dass ein Nutzer eines sozialen Netzwerkes mit seinen Sicherheitseinstellungen das Posten von Beiträgen Dritter auf seiner virtuellen Pinnwand zulässt, bedeutet noch keine ausdrückliche Einwilligung in das Einstellen von Werbung auf dieser Pinnwand.388 Vereinzelt wird mit Blick auf die E-Mail-Werbung gegenüber Unternehmen vertreten, dass in der Veröffentlichung der Unternehmens-E-Mail-Adresse eine vorherige ausdrückliche Einwilligung dahingehend zu erblicken sei, bezüglich solcher Waren oder Dienstleistungen per E-Mail beworben zu werden, die einen Bezug zum Geschäftsbetrieb des Empfängers aufweisen.389 Hieran bestehen bereits deshalb ernstliche Zweifel, weil § 7 Abs. 2 Nr. 3 UWG anders als § 7 Abs. 2 Nr. 2 UWG für die Telefonwerbung nicht zwischen der Werbung gegenüber Verbrauchern und Marktteilnehmen unterscheidet. Demnach ist bei E-Mail-Werbung stets eine ausdrückliche Einwilligung erforderlich, die aber in der bloßen Bekanntmachung einer E-Mail-Adresse kaum gesehen werden kann. Denn die bloße Bekanntgabe kann allenfalls als konkludente Einwilligung gewertet werden, keinesfalls aber als eine ausdrückliche. Mit dem LG Ulm ist deshalb davon auszugehen, dass in der Bekanntgabe einer E-Mail-Adresse oder einer Faxnummer in einem öffentlichen Verzeichnis kein Einverständnis eines Unternehmers in die werbliche Nutzung dieser Kontaktdaten liegt.390 Als vorherige ausdrückliche Einwilligung muss diese – was im Streitfall auch zu beweisen ist – im Zeitpunkt der jeweiligen Werbemaßnahme vorgelegen haben.391 Eine nachträgliche Zustimmung bzw. im Falle der Telefonwerbung eine Zustimmung erst während des Anrufs genügt nicht.392 Die Einwilligung kann auch im Rahmen einer vorformulierten Einwilligung (beispielsweise AGB) abgegeben werden.393 Bezüglich der Ausgestaltung ist darauf zu achten, dass die Einwilligung im Rahmen von AGB das Ankreuzen/Unterzeichnen
386 Gola/Reif, RDV 2009, 104, 106; Köhler/Bornkamm/Köhler, § 7 Rn 185; Harte-Bavendamm/Henning-Bodewig/Schöler, § 7 Rn 244; Sieling/Lachenmann, ITRB 2012, 156, 157. 387 Harte-Bavendamm/Henning-Bodewig/Schöler, § 7 Rn 258 m. w. N. 388 Sieling/Lachmann, ITRB 2012, 156, 158. 389 Weber, WRP 2010, 462, 465. 390 LG Ulm, Urt. v. 20.9.2009 – 10 O 39/09 KfH – BeckRS 2009, 22039. 391 LG Braunschweig, Urt. v. 18.10.2012 – 22 O 66/12 – WRP 2013, 537, 539. 392 Harte-Bavendamm/Henning-Bodewig/Schöler, § 7 Rn 243. 393 BGH, Urt. v. 25.10.2012 – I ZR 169/10 – CR 2013, 440, 441.
Ringel
A. Werbung
549
eines gesonderten Textes oder Textabschnitts ohne einen anderen Inhalt ermöglicht.394 Praxistipp Rechtssicherheit kann insoweit nur dadurch erlangt werden, dass eine gesonderte Einwilligung in die Bewerbung des Betroffenen eingeholt wird.395
Soweit vereinzelt vertreten wird, das unbedingte Erfordernis einer vorherigen 179 Einwilligung sei wegen eines Verstoßes gegen Nr. 26 des Anhangs I der sog. UGPRichtlinie396 europarechtswidrig,397 hält dem auch die Rechtsprechung entgegen, der nationale Gesetzgeber habe mit der von ihm gewählten Lösung einen durch das Sekundäre Gemeinschaftsrecht anderweitig, insbesondere durch Art. 13 Abs. 1 der Datenschutzrichtlinie für elektronische Kommunikation eröffneten Gestaltungspielraum genutzt.398 Dieses Auslegungsergebnis war für den BGH so eindeutig, dass er auf eine Vorlage an den EuGH zur Vorabentscheidung verzichtete.399 Praxistipp Bis zu einer etwaigen Feststellung der Europarechtswidrigkeit von § 7 Abs. 2 Nr. 3 UWG durch den EuGH sollte aus Gründen der Rechtssicherheit von dessen uneingeschränkter Anwendbarkeit ausgegangen werden.
b) Zufriedenheitsbefragungen Nach mittlerweile gefestigter Rechtsprechung können die strengen wettbewerbs- 180 rechtlichen Vorgaben auch nicht durch Kunden- bzw. Zufriedenheitsbefragungen umgangen werden. Diese gelten ohne ausdrückliche Einwilligung der Angerufenen aufgrund des weit zu fassenden Werbebegriffs ebenfalls als unzulässige Werbean-
394 BGH, Urt. v. 25.10.2012 – I ZR 169/10 – CR 2013, 440, 441. 395 Dazu unter Wiedergabe des Streitstands siehe auch Pauli, WRP 2011, 1232, 1234 f. LG Hamburg, Urt. v. 10.8.2010 - 312 O 25/10 - zit. nach juris Rn 35. 396 RL 2005/29/EG v. 11.5.2005 über unlautere Geschäftspraktiken im binnenmarktinternen Geschäftsverkehr zwischen Unternehmen und Verbrauchern, ABl. EG/EU 2005, Nr. L 149, S. 22; für eine Europarechtswidrigkeit, soweit bereits die erste Kontaktaufnahme ohne Einwilligung per se für unlauter gehalten wird. 397 Für Anhang I Nr. 26 UGP-Richtlinie als ein für das Telefon- und E-Mail-Marketing einheitliches Rechtssystem für Wettbewerbsbedingungen im Binnenmarkt, von dem durch allgemeine Verbote nicht mehr abgewichen werden darf: Engels/Brunn, GRUR 2010, 886, 889 f. Kritisch auch Bernreuther, MMR 2012, 284 ff. 398 LG Braunschweig, Urt. v. 18.10.2012, WRP 2013, 537, 539; so auch Köhler/Bornkamm/Köhler, § 7 Rn 182 und für § 7 Abs. 2 Nr. 2 UWG (Telefonwerbung) auch BGH, Urt. v. 10.2.2011 – I ZR 164/09 – BeckRS 2011, 19244 Rn 23 ff. 399 BGH, Urt. v. 10.2.2011 – I ZR 164/09 – BeckRS 2011, 19244 Rn 28.
Ringel
550
Kapitel 10 Nutzung von Kundendaten
rufe. Sie dienen jedenfalls auch und mittelbar dazu, Betroffene an sich zu binden und so den Absatz von Waren oder Dienstleistungen zu fördern.400 Diese für die Zufriedenheitsbefragung per Telefon ergangene Rechtsprechung dürfte auf Zufriedenheitsbefragungen per E-Mail übertragen werden können. Das zuvor Erläuterte gilt gleichermaßen für Meinungsbefragungen, durch die 181 abgefragt wird, wie eine zuvor übersandte Printwerbung beurteilt wird.401 Praxistipp Aus Gründen der Rechtssicherheit sollten in Zufriedenheitsbefragungen nur diejenigen Kunden einbezogen werden, die einer Befragung zuvor ausdrücklich zugestimmt haben und deren Zustimmung dokumentiert ist.
c) Empfehlungs-E-Mails
182 Ein zunehmend beliebtes Instrument des Direktmarketings von im Internet vertre-
tenen Unternehmen und Online-Shops ist die sog. Empfehlungswerbung. Dabei können die Besucher eines Internetauftritts zwecks Weiterempfehlung E-Mail-Adressen Dritter eingeben, denen anschließend eine automatisch generierte E-Mail lediglich mit einem Hinweis auf den Internetauftritt des betreffenden Unternehmens zugesandt wird („Tell-a-friend-Funktion“). Der BGH hat nunmehr entschieden, dass die von einem Unternehmen auf seiner 183 Internetseite geschaffene Möglichkeit für Nutzer, Dritten unverlangt eine Empfehlungs-E-Mail zu senden, die auf den Internetauftritt des Unternehmens verweist, rechtlich nicht anders zu beurteilen sei als eine unverlangt versandte Werbe-E-Mail des Unternehmens selbst.402 Er stellte klar, der Begriff der Werbung erfasse alle auf die Förderung des Absatzes von Produkten oder Dienstleistungen gerichtete Maßnahmen einschließlich derjenigen, die diesem Ziel mittelbar dienen.403 Der Einordnung als Werbung stehe es nicht entgegen, dass das Versenden der E-Mail auf dem Willen desjenigen beruhe, der die E-Mail-Adresse des Dritten eingegeben habe. Entscheidend sei allein das Ziel, das mit der Bereitstellung der Weiterempfehlungsfunktion erreicht werden soll. Zweck sei es nämlich, den Dritten auf das Unternehmen und seine Angebote aufmerksam zu machen, weshalb die Empfehlungs-E-Mail als
400 OLG Köln, Urt. v. 19.4.2013 – 6 U 222/12 – RDV 2013, 316, 316 f. Ausführlich zum Streitstand Menke/ Witte, K&R 2013, 25, 28 f. 401 Harte-Bavendamm/Henning-Bodewig/Schöler, § 7 Rn 233 für telefonische Meinungsbefragungen. 402 BGH, Urt. v. 12.9.2013 – I ZR 208/12 – CR 2013, 797, 798. Ebenso schon Harte-Bavendamm/Henning-Bodewig/Schöler, § 7 Rn 334. 403 BGH, Urt. v. 12.9.2013 – I ZR 208/12 – CR 2013, 797, 798. Ebenso KG, Urt. v. 24.1.2014 – 5 U 42/12 – BeckRS 2014, 03648.
Ringel
A. Werbung
551
Werbung einzuordnen sei.404 Damit ist die Zusendung der Empfehlungs-E-Mail ohne die vorherige ausdrückliche Einwilligung des Empfängers gem. § 7 Abs. 2 Nr. 3 UWG rechtswidrig.405 Dies müsse sich das die Weiterempfehlungsfunktion auf seinem Internetauftritt bereithaltende Unternehmen auch zurechnen lassen.406 Praxistipp Diese Entscheidung verdeutlicht einmal mehr, dass die Rechtsprechung einschließlich derjenigen des BGH die Regelungen des § 7 UWG sehr restriktiv handhabt und keine Umgehungen akzeptiert. Vor diesem Hintergrund sollte in der Praxis Überlegungen, die auch weiterhin Spielräume für die Empfehlungswerbung sehen, mit Vorsicht begegnet werden. Allein entscheidend dürfte sein, ob das betreffende Unternehmen mit seiner Weiterempfehlungsfunktion den Anreiz für die dann wie auch immer ausgestaltete Versendung der Empfehlungs-E-Mail setzt bzw. mit seinen technischen Mitteln die Möglichkeit dazu eröffnet. Ob der Initiator seinen Namen in der Empfehlungs-E-Mail angeben kann oder muss, oder die Betreffzeile sowie den weiteren Inhalt der Empfehlungs-E-Mail selber gestalten kann, dürfte dagegen nachrangig sein.407 Aus Sicht der Rechtsprechung wird es letztlich darauf ankommen, dass der Link auf den Internetauftritt des Unternehmens typischerweise nicht entfernt werden kann. Indem der BGH noch einmal ausdrücklich darauf verwies, dass nach dem Gesetzeswortlaut eine Werbung mittels elektronischer Post „stets“ eine unzumutbare Belästigung darstelle,408 dürfte auch die mitunter ausgesprochene Empfehlung, nur den Versand einzelner Empfehlungs-E-Mails zuzulassen, die Rechtssicherheit nicht erhöhen.409
d) Wettbewerbswidrige Werbung in sozialen Netzwerken Ausgehend von dem sehr weiten Begriff der Werbung sind auch Freundschafts- 184 anfragen in sozialen Netzwerken ohne ausdrückliche Einwilligung als unzulässige Werbung mittels elektronischer Post zu werten, wenn sie einen werblichen Inhalt
404 BGH, Urt. v. 12.9.2013 – I ZR 208/12 – CR 2013, 797, 798. So im Anschluss auch für die Anwendungsoption „Freunde finden“ von Facebook, KG, Urt. v. 24.1.2014 – 5 U 42/12 – BeckRS 2014, 03648. 405 Eine Zulässigkeit auch ohne Einwilligung gem. § 7 Abs. 3 UWG kommt wohl schon deshalb nicht in Betracht, weil das Unternehmen die E-Mail-Adresse des Empfängers nicht von diesem selbst und auch nicht im Zusammenhang mit dem Verkauf einer Ware oder Dienstleistung erhalten hat. Siehe im Einzelnen dazu unter Rn 193 ff. 406 BGH, Urt. v. 12.9.2013 – I ZR 208/12 – 797, 799. Kritisch insbesondere dazu Schirmbacher, CR 2013, 800. So aber auch für die Anwendungsoption „Freunde finden“ von Facebook, KG Berlin, Urt. v. 24.1.2014 – 5 U 42/12 – zit. nach juris Rn 74 f. 407 Zu diesen und weiteren Überlegungen siehe Schirmbacher, CR 2013, 800, 801; Dehißelles, K&R 2014, 7, 9, der auf ein erhebliches Restrisiko selbst bei strikter Beachtung der Vorgaben an alternativ denkbare Gestaltungen hinweist. 408 BGH, Urt. v. 12.9.2013 – I ZR 208/12 – CR 2013, 797, 799. 409 So auch Dehißelles, K&R 2014, 7, 8.
Ringel
552
Kapitel 10 Nutzung von Kundendaten
haben.410 So wird von § 7 Abs. 2 Nr. 3 UWG die Nachfragewerbung ebenso erfasst wie die Angebotswerbung.411
e) Verbot der Rufnummernunterdrückung
185 Gerade bei der Telefonwerbung im geschäftlichen Bereich ist das Verbot der Ruf-
nummernunterdrückung gem. § 102 Abs. 2 TKG zu beachten.412 Die schuldhafte Missachtung dieses Verbots stellt gem. § 149 Abs. 1 Nr. 17 lit. c) TKG eine Ordnungswidrigkeit dar, die gem. § 149 Abs. 2 S. 1 TKG mit einer Geldbuße von bis zu 10.000 € geahndet werden kann.
f) Nachweis der Einwilligung – Double-Opt-in-Verfahren
186 Die Darlegungslast für eine wirksame Einwilligung liegt bei den werbenden Unter-
nehmen. In Bezug auf die Verbraucherwerbung fordert der BGH für den wirksamen Nachweis des ausdrücklichen Einverständnisses die Dokumentation der konkreten Einverständniserklärung jedes einzelnen Verbrauchers.413 Für den Fall einer elektronischen Einwilligung setzt dies deren Speicherung und die jederzeitige Möglichkeit ihres Ausdrucks voraus.414 Um diesen Nachweisanforderungen genügen zu können, wird üblicherweise das 187 sog. Double-Opt-in-Verfahren verwendet. Dabei wird dem Betroffenen zunächst die Möglichkeit eingeräumt, sich zur Bestellung des E-Mail-Newsletters unter Angabe seiner E-Mail-Adresse in eine Bestellmaske auf der Internetseite des Unternehmens einzutragen. Daraufhin wird ihm von dem Unternehmen eine E-Mail mit einem Aktivierungslink zugesandt, den der Betroffene zwecks Bestätigung und Eintragung in den Newsletter-Verteiler anklicken muss, wenn er den E-Mail-Newsletter tatsächlich erhalten möchte (Bestätigungsmail). Erst mit dem Anklicken des Aktivierungslinks erfolgt beim Unternehmen eine Aufnahme der E-Mail-Adresse des Betroffenen in den Newsletter-Verteiler.415 Der BGH hat diese Vorgehensweise als Möglichkeit eines geeigneten Nachweises anerkannt. Zwar schließe dieses Verfahren nicht aus, dass sich der Adressat der Werbung noch darauf berufen könne, die Einwilligung sei von einer E-Mail-Adresse gesandt worden, die nicht ihm gehöre und zu der er auch keinen
410 Sieling/Lachmann, ITRB 2012, 156 158. 411 BGH, Urt. v. 17.7.2008 – I ZR 197/05 – MMR 2008, 662, 663. 412 Gola/Wronka, Kundendatenschutz Rn 397. 413 Für die ausdrückliche Einwilligung in Werbeanrufe BGH, Urt. v. 10.2.2011 – I ZR 164/09 – GRUR 2011, 936, 938. 414 BGH, Urt. v. 10.2.2011 – I ZR 164/09 – GRUR 2011, 936, 938 415 Siehe hierzu auch die Beschreibung des LfD Baden-Württemberg, 31. Tätigkeitsbericht 2012/2013, S. 131, abrufbar unter http://www.baden-wuerttemberg.datenschutz.de/wp-content/ uploads/2014/01/31.-TB-2012-2013.pdf.
Ringel
A. Werbung
553
Zugang habe. Dafür trage dann aber er die Darlegungslast.416 In einer weiteren Entscheidung konnte der BGH indes offenlassen, ob die behaupteten Einwilligungen den Anforderungen genügten, die er in seiner vorgenannten Entscheidung zum DoubleOpt-in-Verfahren aufgestellt hat.417 Die Praxis konnte folglich davon ausgehen, dass der BGH das Double-Opt-in-Verfahren billigt. An der Zulässigkeit dieses Verfahrens bestehen seit einer aktuellen Entschei- 188 dung des OLG München ernstliche Zweifel. Mit nicht unbeachtlichen Argumenten erachtet es bereits die erste E-Mail mit der Aufforderung zur Bestätigung der Bestellung eines Newsletters als eine Werbe-E-Mail, die unter das Verbot des § 7 Abs. 2 Nr. 3 UWG falle.418 In der Literatur stieß diese Entscheidung überwiegend auf Kritik.419 Zweifel an dieser Auffassung machte jüngst auch das OLG Frankfurt a. M. geltend, ohne aber diese Frage entscheiden zu müssen.420 Kritik erfährt das OLG München auch aus Kreisen der Datenschutzaufsichtsbehörden. So lehnt der LfD BadenWürttemberg die Entscheidung als sach- und praxisfremd ab.421 Selbst in den aktuellen Anwendungshinweisen der Datenschutzaufsichtsbehörden zur werblichen Nutzung personenbezogener Daten wird das Double-Opt-in-Verfahren zwecks Verifizierung der Willenserklärung des Betroffenen als geboten erachtet.422 Vertreten wird auch, die Entscheidung des OLG München sei bereits aufgrund mangelnder Sachverhaltsfeststellungen nicht haltbar und könne von der Praxis zumindest für die Falle ignoriert werden, in denen strikt auf die Werbefreiheit der Bestätigungs-E-Mail geachtet wird.423 Bis zu einer anderweitigen Entscheidung durch den BGH sollte die Rechtspre- 189 chung des OLG München gleichwohl ernst genommen werden. Denn der Begriff der Werbung wird, wie bereits ausgeführt, sehr weit gefasst, weshalb jede Form der (auch nur mittelbaren) Absatzförderung erfasst ist.424 Gleichwohl dürfte das OLG München mit seiner Entscheidung im Ergebnis über das Schutzziel des UWG weit hinausschießen. Denn letztlich dient die Bestätigungsmail dem Schutz des Betroffenen vor unverlangter Werbung, liegt also in dessen originärem Interesse. Dennoch verbleibt
416 BGH, Urt. v. 10.2.2011 – I ZR 164/09 – GRUR 2011, 936, 939. 417 BGH, Urt. v. 25.10.2012 – I ZR 169/10 – CR 2013, 440, 441. 418 OLG München, Urt. v. 27.9.2012 – 29 U 1682/12 – ZD 2013, 89, 90. Ausführlich zu den Folgen für die Praxis Menke/Witte, K&R 2013, 25 ff. 419 Auf die weitreichenden Folgen abstellend Menke/Witte, K&R 2013, 25, 28. Den Begriff der Werbung als überdehnt wertend Schrimbacher/Zeller, ITRB 2013, 41, 42; Ernst, WRP 2013, 160, 162 f.; ablehnend auch Köhler/Bornkamm/Köhler, § 7 Rn 189. 420 OLG Frankfurt a. M., Urt. v. 30.9.2013 – 1 U 314/12 – K&R 2014, 38. 421 31. Tätigkeitsbericht 2012/2013, S. 134, abrufbar unter http://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2014/01/31.-TB-2012-2013.pdf. 422 Anwendungshinweise Werbung, Ziff. 4.4. 423 So Forgó/Helfrich/Schneider/Ehmann, Teil VIII. Kap. 3 Rn 71. 424 Zur mittelbaren Absatzförderung als Werbung siehe auch BGH, Urt. v. 12.9.2013 – I ZR 208/12 – CR 2013, 797, 798.
Ringel
554
Kapitel 10 Nutzung von Kundendaten
bis zur abschließenden Klärung dieser Frage durch den BGH zumindest eine Restunsicherheit, die es im Einzelfall durch risikominimierende Maßnahmen auf ein Minimum zu reduzieren gilt. Praxistipp Vor dem erläuterten Hintergrund sollte in Betracht gezogen werden, die Einwilligung in die E-MailWerbung stets auch schriftlich einzuholen, soweit dies im Einzelfall in Betracht kommt, z. B. weil ohnehin auch andere schriftliche Erklärungen von ihm eingeholt werden. Bezüglich der konkreten Ausgestaltung sollte wiederum – obwohl im UWG nicht unmittelbar anwendbar – § 4a BDSG die Leitlinie bilden. 190 Zu Recht weisen die Datenschutzaufsichtsbehörden darauf hin, dass das von ihnen
für elektronische Einwilligungen als geboten erachtete, E-Mail-basierte Double-Optin-Verfahren keinesfalls für den Nachweis einer Einwilligung in Telefonwerbung geeignet ist. 425 Sie können sich hierbei auf die Rechtsprechung des BGH stützen, der Verfahren, bei denen unklar ist, ob eine Einwilligungserklärung tatsächlich von dem angerufenen Verbraucher stammt, für Nachweiszwecke als ungeeignet erachtet.426 Zwischen einer E-Mail-Adresse und der in dieser angegebenen Telefonnummer bestehe kein hinreichender Zusammenhang.427
g) Widerruf der Einwilligung
191 Im Falle eines Widerrufs der Einwilligung in den Versand von E-Mail-Newslettern
hat deren Zusendung unverzüglich zu unterbleiben.428 Dem können auch etwaige Zweifel an der Urheberschaft des Widerrufs bzw. der Abbestellung nicht entgegengehalten werden. In einem solchen Falle ist es dem werbenden Unternehmen vor der Versendung weiterer E-Mail-Newsletter zuzumuten, nachzufragen, ob die Abbestellung tatsächlich erfolgt ist.429
h) Wirksamkeitsdauer der Einwilligung
192 Zur Frage der Wirksamkeitsdauer einer datenschutzrechtlichen Einwilligung wurde
unlängst dargelegt, dass für das Wettbewerbsrecht bereits Rechtsprechung existiert, wonach ungenutzte Einwilligungen ihre Wirksamkeit verlieren und lediglich hinsichtlich des Zeitraumes der Inaktivität unterschiedliche Auffassungen vertreten werden;
425 Siehe Anwendungshinweise der Datenschutzaufsichtsbehörden zur Erhebung Verarbeitung und Nutzung von personenbezogenen Daten für werbliche Zwecke, Dezember 2013, Ziff. 4.4. 426 BGH, Urt. v. 10.2.2011 – I ZR 164/09 – GRUR 2011, 936, 939. 427 BGH, Urt. v. 10.2.2011 – I ZR 164/09 – GRUR 2011, 936, 939. 428 LG Braunschweig, Urt. v. 18.10.2012 – 22 O 66/12 – WRP 2013, 537. 429 LG Braunschweig, Urt. v. 18.10.2012 – 22 O 66/12 – WRP 2013, 537.
Ringel
A. Werbung
555
wie ausgeführt werden nach den verschiedenen Auffassungen Zeiträume zwischen zwei und zehn Jahren für möglich erachtet.430 Praxistipp Einwilligungen, auf die über einen Zeitraum von zwei Jahren keine Werbemaßnahmen gestützt wurden, sollten erneut eingeholt werden.
3. Wettbewerbsrechtlich zulässige Werbung ohne (ausdrückliche) Einwilligung In engen Grenzen sieht auch das Wettbewerbsrecht die Möglichkeit einer werblichen 193 Ansprache mittels elektronischer Fernkommunikation ohne oder zumindest ohne ausdrückliche Einwilligung vor. Dabei ist zwischen der Telefonwerbung und der Werbung mittels ausdrücklicher Post zu unterscheiden.
a) Telefonwerbung Laut § 7 Abs. 2 Nr. 2 Alt. 1 UWG ist eine vorherige ausdrückliche Einwilligung stets erfor- 194 derlich, wenn sich die Anrufe an Verbraucher richten. Gegenüber sonstigen Marktteilnehmern431 ist die Telefonwerbung gem. § 7 Abs. 2 Nr. 2 Alt. 2 UWG auch ohne vorherige ausdrückliche Einwilligung der Anzurufenden zulässig, wenn sie zumindest auf eine mutmaßliche Einwilligung gestützt werden kann. An die Annahme einer mutmaßlichen Einwilligung sind dem Ausnahmecharakter der Regelung Rechnung tragend hohe Anforderungen zu stellen. Aufgrund konkreter Umstände muss ein sachliches Interesse des Anzurufenden am Anruf durch das werbende Unternehmen vermutet werden können. Hierzu reicht es nicht, dass sich der Angerufene in einer bestimmten Branche oder einem bestimmten Bereich betätigt, in denen typischerweise ein Interesse an dem beworbenen Angebot bestehen könnte.432 Entscheidend ist, ob das werbende Unternehmen davon ausgehen kann, der Angerufene erwarte einen Werbeanruf oder werde ihm zumindest positiv gegenüberstehen.433 Es genügt nicht, dass das werbende Unternehmen lediglich von einem aktuellen oder konkreten Bedarf für die angebotene oder nachgefragte Ware oder Dienstleistung ausgehen darf.434 Die mutmaßliche Einwilligung muss sich nämlich gerade auch auf die Art der Werbung, also auf die werbliche Ansprache per Telefon erstrecken.435 Einträge eines sonstigen Marktteilnehmers in den „Gelben Seiten“ oder in einem elektroni-
430 Siehe Rn 106. 431 In Abgrenzung zu Verbrauchern sind dies Unternehmer, gewerblich oder selbstständig beruflich Tätige. 432 LG Heilbronn, Urt. v. 4.1.2013 – 8 O 261/12 Ka – ZD 2013, 513, 514. 433 Stuckel, DB 2011, 2421, 2422. 434 LG Heilbronn, Urt. v. 21.6.2013 – 8 O 112/13 Ka – Rn 30, zit. nach juris. 435 LG Heilbronn, Urt. v. 21.5.2013 – 8 O 112/13 Ka – Rn 33, zit. nach juris.
Ringel
556
Kapitel 10 Nutzung von Kundendaten
schen Branchenbuch begründen für sich genommen noch nicht die Annahme einer mutmaßlichen Einwilligung in Werbeanrufe.436 Aus datenschutzrechtlicher Sicht ist darauf zu achten, dass eine einwilligungs195 lose Werbung ausschließlich im Rahmen des Listenprivilegs zulässig ist, Telefonnummern aber nicht zu den Listendaten gehören und nur für Zwecke der Werbung für eigene Angebote den Listendaten hinzugespeichert werden dürfen.437 An dieser Stelle ist das Datenschutzrecht strenger als das Wettbewerbsrecht.438 Die Einschaltung Dritter in die Telefonwerbung nur auf der Basis einer mutmaßlichen Einwilligung dürfte folglich ausgeschlossen sein, weil diese nicht für eigene Angebote werben. Ob in wettbewerbsrechtlicher Hinsicht etwas anderes gilt, wenn zwischen werbendem Unternehmen und Dritten eine Auftragsdatenverarbeitungsvereinbarung (§ 11 BDSG) geschlossen wurde, ist abschließend noch nicht geklärt, erscheint unter dem Aspekt der Einheitlichkeit der Rechtsordnung aber naheliegend. Die vorstehenden Anforderungen gelten uneingeschränkt auch für Werbetelefo196 nate durch eine gemeinnützige Einrichtung, sofern diese mit ihren Angeboten in Wettbewerb mit anderen auf ihrem Gebiet werbend tätigen verbandlichen oder privaten Anbietern tritt. Auf eine Gewinnerzielungsabsicht kommt es insoweit nicht an.439
b) Werbung mittels elektronischer Post
197 Laut § 7 Abs. 3 UWG ist eine vorherige ausdrückliche Einwilligung in die werbliche
Ansprache per elektronischer Post entbehrlich, wenn – das Unternehmen die elektronische Postadresse im Zusammenhang mit dem Verkauf einer Ware oder Dienstleistung vom Kunden erhalten hat, – für eigene ähnliche Waren oder Dienstleistungen geworben werden soll, – kein Widerspruch des Kunden vorliegt (Opt-out-Lösung) und – der Kunde bei der Erhebung seiner Adresse und bei jeder werblichen Ansprache auf die Möglichkeit eines jederzeitigen Widerrufs der werblichen Verwendung seiner Adresse hingewiesen wird, ohne dass ihm hierfür andere als die Übermittlungskosten für den Basistarif entstehen. Diese Voraussetzungen müssen kumulativ vorliegen440 und sind restriktiv zu handhaben.441
436 Harte-Bavendamm/Henning-Bodewig/Schöler, § 7 Rn 279 m. w. N. 437 Siehe dazu unter Rn 58. 438 Liegen die Voraussetzungen des § 7 Abs. 2 Nr. 2 Alt. 2 UWG vor, dürfte nach Ansicht der Aufsichtsbehörden eine Hinzuspeicherung der Telefonnummern von Unternehmen zulässig sein; Anwendungshinweise Werbung, Ziff. 3.10; vgl. auch Voigt, K&R 2014, 156, 157 f. 439 OLG Köln, Urt. v. 7.12.2012 – 6 U 69/12 – MMR 2013, 516, 517. 440 OLG Jena, Urt. v. 21.4.2010 – 2 U 88/10 – MMR 2011, 101, 102. 441 In diesem Sinne KG Berlin, Beschl. v. 18.3.2011 – 5 W 59/11 – zit. nach juris, Rn 3.
Ringel
A. Werbung
557
Laut § 7 Abs. 3 Nr. 1 UWG muss das werbende Unternehmen die elektronische 198 Postadresse vom Kunden erhalten haben. Hieraus wird geschlossen, dass von § 7 Abs. 3 UWG nur die E-Mail-Werbung erfasst wird, da die für eine Versendung von SMS oder MMS erforderliche Telefonnummer nicht unter den Begriff der elektronischen Postadresse fällt.442 Mit der Anforderung eines Bezugs der Adressdaten vom Kunden selbst wird auf 199 eine bestehende Kundenbeziehung abgestellt.443 Danach kann nicht auf elektronische Postadressen zurückgegriffen werden, die von einem Adresshändler, sonstigen Dritten oder aus einer allgemein zugänglichen Quelle stammen.444 Lediglich mit Zustimmung des Kunden können die Daten ausnahmsweise auch von einem Dritten zur Verfügung gestellt werden.445 Das werbende Unternehmen muss die Adressdaten im Zusammenhang mit dem 200 Verkauf einer Ware oder Dienstleistung erhalten haben. Letzteres soll nicht gegeben sein, wenn es die Adresse im Zusammenhang mit der Auflösung eines Vertrages erhalten hat.446 Hiernach unproblematisch ist die Erlangung der Adresse im Zusammenhang mit einer tatsächlich erfolgten Bestellung.447 Schon nicht mehr in einem hinreichenden zeitlichen Zusammenhang mit dem Verkauf soll eine erheblich spätere Erlangung von Adressdaten zwecks Vertragsdurchführung oder zur Erfüllung einer nachvertraglichen Verpflichtung (etwa für eine Rückrufaktion) sein.448 Tatsächlich kann dem Wortlaut eine Zeitkomponente nicht abgesprochen werden. Nach Auffassung der Datenschutzaufsichtsbehörden ist nunmehr auch ein Rückgriff auf gem. § 28 Abs. 3 S. 3 BDSG im Rahmen des Listenprivilegs hinzugespeicherte Adressdaten möglich.449 Aber auch insoweit wird es sich nur um vom Kunden selbst erhaltene Daten handeln können. Streitig ist, ob ein Widerruf des dem Kauf der Ware oder Dienstleistung zugrunde liegenden Vertrages, die Voraussetzung des § 7 Abs. 3 Nr. 1 UWG wieder entfallen lässt.450 Gut vertretbar scheint sowohl die Auffassung, die sich gegen den Wegfall der Privilegierung ausspricht, als auch diejenige, die für einen solchen Fall eine Beseitigung der notwendigen bestehenden Kundenbeziehung annimmt. Die Praxis wird auch insoweit in den Blick zu nehmen haben, dass die Rechtsprechung
442 Köhler/Bornkamm/Köhler, § 7 Rn 203. 443 Vgl. Eisenberg, BB 2963, 2965; Harte-Bavendamm/Henning-Bodewig/Schöler, § 7 Rn 351. 444 Vgl. Stuckel, DB 2011, 2421, 2423. 445 Harte-Bavendamm/Henning-Bodewig/Schöler, § 7 Rn 351. 446 Köhler/Bornkamm/Köhler, § 7 Rn 204. 447 Köhler/Bornkamm/Köhler, § 7 Rn 204 m. w. N. Nicht ausreichend ist insoweit nur das Anfordern von Informationen oder ein sonst lediglich allgemein geäußertes Interesse; vgl. Eisenberg, BB 2012, 2963, 2965. 448 Harte-Bavendamm/Henning-Bodewig/Schöler, § 7 Rn 353 unter Verweis auf die Gesetzesbegründung. 449 Ausführlich dazu Voigt, K&R 2013, 371, 372 f. m. w. N. 450 Zum Streitstand ausführlich Faber, GRUR 2014, 337 ff.
Ringel
558
Kapitel 10 Nutzung von Kundendaten
bisher zu einer sehr restriktiven Auslegung der wettbewerbsrechtlichen Bestimmungen über die werbliche Nutzung von Kundendaten neigt. Die von § 7 Abs. 3 Nr. 2 UWG geforderte Ähnlichkeit muss sich auf bereits gekaufte 201 Waren oder Dienstleistungen beziehen und dem gleichen typischen Verwendungszweck oder Bedarf des Kunden entsprechen.451 Nach Ansicht des KG Berlin ist dies regelmäßig der Fall, wenn die Produkte austauschbar sind oder dem gleichen oder zumindest einen ähnlichen Bedarf oder Verwendungszweck dienen.452 Gegebenenfalls zulässig kann noch die Werbung für Zubehör oder Ergänzungswaren sein.453 Bei der gebotenen engen Auslegung dürfte etwa bereits die Werbung für Herrenbekleidungsartikel problematisch sein, wenn der maßgebliche Verkauf zuvor nur Damenbekleidung zum Gegenstand hatte. Es muss sich auch um eigene Waren oder Dienstleistungen des werbenden 202 Unternehmens handeln. Eine Werbung für fremde Angebote ist in diesem Zusammenhang nicht zulässig. Zu den eigenen Waren von Handelsvertretern zählen alle von ihnen vermittelten Produkte.454 Kaufhäuser bzw. ihre Betreiber können mit den von ihnen vertriebenen Waren als eigene Angebote werben. Dabei darf allerdings die Ähnlichkeit der beworbenen Ware mit der bereits gekauften Ware nicht aus dem Blick verloren werden. Vertreten wird die Auffassung, dass in diesem Rahmen auch die Werbung durch konzernverbundene Unternehmen möglich sein soll, wenn nur das Kriterium der Ähnlichkeit der beworbenen Ware oder Dienstleistung erfüllt wird.455 Dagegen spricht zunächst der Wortlaut des § 7 Abs. 3 Nr. 2 UWG, der es lediglich dem einzelnen „Unternehmer“ erlaubt, die Adresse zur Direktwerbung für eigene ähnliche Waren oder Dienstleistungen zu verwenden. Andererseits ist, wie ausgeführt, datenschutzrechtlich auch die Bewerbung von fremden Angeboten in den Grenzen des § 28 Abs. 3 S. 5 BDSG zulässig, weshalb – wiederum unter dem Aspekt der Einheitlichkeit der Rechtsordnung – auch ein Eingreifen des § 7 Abs. 3 UWG zumindest auf Konzernebene in Betracht gezogen werden kann. Der Kunde darf der werblichen Nutzung seiner Daten nicht bereits widerspro203 chen haben. Laut § 7 Abs. 3 Nr. 4 UWG ist er auf die Möglichkeit des jederzeitigen Widerspruchs sowohl bei der Erhebung der elektronischen Adressdaten als auch bei jeder werblichen Ansprache hinzuweisen. Nach Ansicht des OLG München muss der Kunde bei der Erhebung auch darüber aufgeklärt werden, dass seine Adressda-
451 OLG Jena, Urt. v. 21.4.2010 – 2 U 88/10 – MMR 2011, 101; KG Berlin, Beschl. v. 18.3.2011 – 5 W 59/11 – zit. nach juris, Rn 3. 452 KG Berlin, Beschl. v. 18.3.2011 – 5 W 59/11 – zit. nach juris, Rn 3. 453 OLG Jena, Urt. v. 21.4.2010 – 2 U 88/10 – MMR 2011, 101. Auf einen akzessorischen Zusatznutzen abstellend Eisenberg, BB 2012, 2963, 2965. Ebenso Köhler/Bornkamm/Köhler, § 7 Rn 207. Die Werbung für Zubehör unter Rückgriff auf das kartellrechtliche Kriterium der Kreuzpreiselastizität ablehnend dagegen Harte-Bavendamm/Henning-Bodewig/Schöler, § 7 Rn 354 m. w. N. 454 Auer-Reinsdorff/Conrad/Eckhardt, § 24 Rn 103. 455 So Auer-Reinsdorff/Conrad/Eckhardt, § 24 Rn 103.
Ringel
A. Werbung
559
ten zur Direktwerbung für eigene ähnliche Waren oder Dienstleistungen verwendet werden.456 Ebenfalls bei der Erhebung ist auf die jederzeit später bestehende Möglichkeit des Widerspruchs hinzuweisen.457 Der Hinweis muss klar und deutlich erfolgen. Folglich darf dieser nicht im Kleingedruckten versteckt sein und muss inhaltlich verständlich sowie hinreichend bestimmt sein.458 Die Werbung kann auch dann nicht mehr auf § 7 Abs. 3 UWG gestützt werden, 204 wenn das Unternehmen auf andere Weise von einem Widerspruch Kenntnis erhalten hat.459 Streitig ist, ob in diesem Zusammenhang auch den gängigen Robinsonlisten Beachtung zu schenken ist.460 Für eine Berücksichtigung der gängigen Robinsonlisten spricht der Wortlaut des § 7 Abs. 3 UWG. Nach diesem soll lediglich „abweichend von § 7 Abs. 3 Nr. 3 UWG“ eine werbliche Ansprache ohne Einwilligung zulässig sein. Die in § 7 Abs. 1 S. 2 UWG getroffene Festlegung, wonach eine Werbung auch dann unzulässig ist, wenn erkennbar ist, dass der Adressat diese nicht wünsche, wird von § 7 Abs. 3 UWG folglich nicht ausgeschlossen. Die besseren Gründe dürften deshalb dafür sprechen, im Zusammenhang mit dieser Vorschrift auch die gängigen Robinsonlisten beachten zu müssen.461 Hinzu kommt, dass Art. 7 Abs. 2 der E-CommerceRichtlinie ausdrücklich die Beachtung von Robinsonlisten bei unaufgeforderter kommerzieller Kommunikation mittels elektronischer Post vorsieht.462 Praxistipp Stets gilt es zu beachten, dass die Gerichte das Wettbewerbsrecht nicht nur zugunsten von Verbrauchern sehr streng auslegen. Der Abgleich mit den gängigen Robinsonlisten ist folglich auch mit Blick auf diejenigen Werbemaßnahmen ratsam, die im Rahmen der Ausnahmevorschrift des § 7 Abs. 3 UWG durchgeführt werden sollen.
Mit guten Argumenten wird vertreten, dass die Adressdaten im Rahmen des § 7 205 Abs. 3 UWG bis zu einem Widerspruch des Betroffenen wettbewerbsrechtlich zeitlich unbefristet genutzt werden können.463 Allerdings ist zu beachten, dass datenschutzrechtlich im Zusammenhang mit § 28 Abs. 3 S. 6 BDSG von den Aufsichtsbehörden der Standpunkt vertreten wird, eine Speicherung der Kundendaten sei nur zeitlich
456 OLG München, Urt. v. 15.10.2013 – 1 HKO 8016/13 – zit. nach juris, Rn 39. 457 Harte-Bavendamm/Henning-Bodewig/Schöler, § 7 Rn 354. 458 Köhler/Bornkamm/Köhler, § 7 Rn 207. 459 Eisenberg, BB 2012, 2963, 2965. 460 Dagegen Stuckel, DB 2011, 2421, 2423; ebenso Köhler/Bornkamm/Köhler, § 7 Rn 206; dafür Eisenberg, BB 2012, 2963, 2965 f. 461 Vgl. Harte-Bavendamm/Henning-Bodewig/Schöler, § 7 Rn 50. 462 RL 2000/31/EG v. 8.6.2000 über bestimmte rechtliche Aspekte der Dienste der Informationsgesellschaft, insbesondere des elektronischen Geschäftsverkehrs, im Binnenmarkt (Richtlinie über den elektronischen Geschäftsverkehr), ABl. EG/EU 2000, Nr. L 178, S. 1. 463 Schulz, CR 2012, 686 ff.
Ringel
560
Kapitel 10 Nutzung von Kundendaten
begrenzt möglich.464 Da § 7 Abs. 3 UWG eine zeitliche Begrenzung gerade nicht vorsieht, dürfte dieses Verständnis auf solche Werbemaßnahmen letztlich nicht durchgreifen. Auch dann, wenn sämtliche Voraussetzungen für eine ohne ausdrückliche Einwil206 ligung zulässige E-Mail-Werbung vorliegen, ist aus datenschutzrechtlichen Gründen darauf zu achten, dass hierbei kein offener E-Mail-Verteiler verwendet wird. E-MailAdressen setzen sich nicht selten in erheblichem Umfang aus Vor- und Nachnamen der Empfänger zusammen, weshalb es sich bei ihnen – zumindest in diesen Fällen – um personenbezogene Daten handelt. Für eine Übermittlung dieser Daten auch an die anderen Adressaten der Werbe-E-Mail dürfte es regelmäßig an einer hinreichenden Einwilligung fehlen; eine gesetzliche Grundlage ist ebenfalls nicht ersichtlich. Erfolgt gleichwohl eine Verwendung offener E-Mail-Verteiler, kann dies mit einem Bußgeld geahndet werden.465 Praxistipp Bei der Versendung von Werbe-E-Mails an mehr als einen Empfänger ist folglich darauf zu achten, dass die E-Mail-Adressen der jeweils anderen Adressaten für den einzelnen Empfänger nicht sichtbar werden. Dies kann etwa dadurch erreicht werden, dass sämtliche E-Mail-Adressen in das „BCC-Feld“ eingetragen werden. Hierauf sind die Mitarbeiter des werbenden Unternehmens hinzuweisen; diese Anweisung sollte zu Nachweiszwecken dokumentiert werden.
4. Reaktionsmöglichkeiten von Wettbewerbern 207 Verstöße gegen das Wettbewerbsrecht sind gerade auch mit Blick auf die Reaktions208
möglichkeiten von Wettbewerbern unbedingt zu vermeiden. Nach teilweiser vertretener Ansicht sollen die Bestimmungen des § 7 Abs. 2 Nr. 2 bis 4 und Abs. 3 UWG nur Individualinteressen dienen und in richtlinienkonformer Auslegung Unterlassungsansprüche nur den Betroffenen selbst zustehen.466 Der BGH hat nunmehr klargestellt, dass im Falle einer belästigenden Direktwerbung auch Mit-
464 Siehe dazu Rn 68. 465 So verhängte das BayLDA gegen die Mitarbeiterin eines Unternehmens ein Bußgeld wegen der Verwendung eines offenen E-Mail-Verteilers. Da es dieses immer wieder auftretende Versäumnis auf eine fehlende Einweisung und/oder Überwachung der Mitarbeiter in den Unternehmen zurückführt, kündigte das BayLDA an, künftig Bußgeldbescheide gegen die Unternehmensleitung zu erlassen; Mitteilung des BayLDA, ZD-Aktuell 2013, 03648. 466 Dies folge aus einer Gesamtschau der Richtlinien der EU zum Datenschutz, zu unlauteren Geschäftspraktiken und zu Unterlassungsklagen. Siehe Köhler, GRUR 2012, 1073, 1080 f.
Ringel
A. Werbung
561
bewerber und Verbände Anspruchsberechtigte von Unterlassungsansprüchen i. S. d. § 8 Abs. 3 UWG sein können.467
IX. Werbung unter Verwendung fremder Daten Gemeinhin sind Unternehmen nicht nur an der werblichen Ansprache Betroffener, 209 die bereits Kunden sind, interessiert. Bedeutsamer ist häufig die Gewinnung von Neukunden im Wege direkter Werbung, die regelmäßig nur durch einen Bezug von Kontaktdaten von dritter Seite möglich ist. Sowohl dieser Bezug von Daten als auch deren weitere Verwendung muss den Anforderungen des § 28 Abs. 3 BDSG genügen, da es sich hierbei um eine Datenerhebung und -verarbeitung zu Werbezwecken handelt.
1. Nutzung von Kundendaten im Konzern Der wechselseitige Austausch von Kundendaten zu Werbezwecken erscheint gerade 210 im Konzernverbund naheliegend. Mitunter wird zwar vertreten, dass etwa die Speicherung und Bereitstellung der Kundendaten in einer einheitlichen Konzerndatenbank (zu Werbezwecken) ohne Einwilligung unzulässig sei.468 Hierbei wird aber übersehen, dass innerhalb der Grenzen des § 28 Abs. 3 S. 4 BDSG ein Austausch von Kundendaten zu Werbezwecken einwilligungsfrei zulässig ist, wenn folgende Anforderungen kumulativ erfüllt werden: – Es handelt sich um bloße Listendaten gem. § 28 Abs. 3 S. 2 BDSG; rechtmäßig hinzugespeicherte Daten dürfen also auch im Konzern nicht einwilligungsfrei zu Werbezwecken weitergegeben werden. – Die Übermittlung muss den in § 28 Abs. 3 S. 4 BDSG geregelten Transparenzpflichten genügen, d. h. die Übermittlung muss nach Maßgabe des § 34 Abs. 1a S. 1 BDSG gespeichert werden. Demgemäß müssen die Herkunft der Daten und ihre Empfänger für eine Dauer von zwei Jahren nach der Übermittlung gespeichert werden. Diese zwingende Pflicht trifft nicht nur die übermittelnde Stelle, sondern auch den Empfänger der Listendaten, wobei dieser insbesondere die übermittelnde Stelle mit speichern muss.469 Mit der Übermittlung von aktualisierten Daten beginnt die Zweijahresfrist neu zu laufen.470 Allerdings wird die
467 BGH, Urt. v. 20.3.2013 – I ZR 209/11 – CR 2013, 707, 708; BGH, Urt. v. 18.4.2013 – 1 ZR 209/11 – K&R 2013, 725, 726 f. So zuvor schon OLG Köln, Urt. v. 7.12.2012 – 6 U 69/12 – MMR 2013, 516. 468 Forgó/Helfrich/Schneider/Bierekoven, Teil X. Kap. 1 Rn 33. 469 Schröder, Kap 4, 3.c); Forgó/Helfrich/Schneider/Helfrich, Teil VI. Kap. 3 Rn 79. 470 Plath/Kamlah, § 34 Rn 27.
Ringel
562
Kapitel 10 Nutzung von Kundendaten
Zweijahresfrist unter Verweis auf eine Entscheidung des EuGH471 aus dem Jahre 2009 mitunter als zu kurz angesehen.472 – Die Stelle, die die Daten erstmalig erhoben hat, muss aus (jeder) Werbeansprache hervorgehen. Die erhebende Stelle muss dabei eindeutig aus der Werbung hervorgehen. Sie darf nicht lediglich identifizierbar sein, vielmehr ist sie durch Angabe ihres Namens bzw. ihrer Firma genau zu bezeichnen. Die besseren Argumente sprechen dafür, auch eine zentrale Adresse anzugeben, bei der ein Widerspruch angebracht werden kann.473 Dieses Transparenzgebot gilt unabhängig von der Form der Werbung und soll es den Betroffenen ermöglichen, einer unerwünschten Übermittlung von Daten durch einen Widerspruch bei der erhebenden Stelle entgegentreten zu können.474 211 Zwar statuiert § 28 Abs. 3 S. 4 BDSG zunächst nur eine Übermittlungsbefugnis. Da
eine Übermittlungsbefugnis aber nur Sinn macht, wenn sie mit einer Erhebungs- und Nutzungsbefugnis der empfangenden Stelle korrespondiert, ist mit Gola/Schomerus475 davon auszugehen, dass „nach § 28 Abs. 3 Satz 4 [BDSG] übermittelnde Dritte als weitere Quelle, von der Daten bezogen werden können, in Betracht kommen. Auch aus den weiteren Regelungen zur Nutzung übermittelter Daten ist zu entnehmen, dass diese als zulässig unterstellt wird. Das in [§ 28] Absatz 3 letzter Satz enthaltene Zweckbindungsgebot macht dies deutlich.“
212 Sollen andere als Listendaten ohne Einwilligung der Betroffenen gemeinsam genutzt
werden, so ist dies allenfalls noch im Rahmen des erlaubten Adresshandels zulässig (konzerninterner Adresshandel), weshalb auf diesen im Folgenden kurz eingegangen werden soll.
2. Adresshandel 213 Der Adresshandel wurde durch die Datenschutznovellen 2009 ebenfalls neu geregelt. Nunmehr ist zwischen dem Adresshandel, der nicht Hauptzweck der Datenverwendung ist, und dem geschäftsmäßigen Adresshandel zu unterscheiden.476
471 Urt. v. 7.5.2009 – C-553/07 Rs. Rijkeboer – EuZW 2009, 546, insbesondere Rn 64 und 70. 472 So auch Forgó/Helfrich/Schneider/Bierekoven, Teil VI. Kap. 4 Rn 22. 473 Dies wurde bereits im Zusammenhang mit den erforderlichen Angaben zum Widerspruchsrecht gem. § 28 Abs. 4 S. 2 BDSG empfohlen, um zu gewährleisten, dass Widersprüchen umgehend Rechnung getragen werden kann, vgl. dazu unter Rn 14. Für die Notwendigkeit der Angabe einer Adresse Bergmann/Möhrle/Herb, § 28 Rn 378; dagegen Plath/Plath, § 28 Rn 140. 474 Plath/Plath, § 28 Rn 139 m. w. N. 475 § 28 Rn 48. 476 Zur Übermittlung als Hauptzweck der Datenverwendung als Abgrenzungsmerkmal zwischen dem in § 28 Abs. 3 BDSG geregelten Adresshandel und zu dem in § 29 BDSG geregelten geschäftsmäßi-
Ringel
A. Werbung
563
a) Adresshandel mit Listendaten Laut § 28 Abs. 3 S. 1 BDSG ist auch der Adresshandel grundsätzlich nur mit Einwilligung der Betroffenen zulässig. Als Adresshandel im Sinne dieser Vorschrift wird jede Vermarktung von Dateien angesehen, die die für eine Kontaktaufnahme einer Person benötigten Informationen enthalten. Darauf, ob die Überlassung der Daten entgeltlich oder unentgeltlich erfolgt, kommt es nicht an.477 Vor dem Hintergrund, dass der Adresshandel in § 28 Abs. 3 S. 2 ff. BDSG nicht mehr erwähnt wird, ist streitig, ob das Listenprivileg auch auf diesen Anwendung findet oder stets eine Einwilligung der Betroffenen in die Weitergabe ihrer Kontaktdaten notwendig ist. Nach einer Ansicht könne der Adresshandel jedenfalls dann als Unterfall der Werbung angesehen werden, wenn und soweit er für Zwecke der Werbung erfolge.478 Nach anderer Auffassung bedeute die Erwähnung des Adresshandels nur in § 28 Abs. 3 S. 1 BDSG, dass dieser nur mit Einwilligung der Betroffenen zulässig sei.479 Für einen Adresshandel zumindest im Rahmen des § 28 Abs. 3 BDSG auch ohne Einwilligung spricht wiederum, dass Listendaten gem. § 28 Abs. 3 S. 4 BDSG auch an Dritte übermittelt werden dürfen. Das die Listendaten empfangende Unternehmen darf diese gem. § 28 Abs. 3 S. 7 BDSG für werbliche Zwecke verarbeiten und nutzen. Voraussetzung ist auch hier, dass die bereits zuvor unter Ziff. 1 erläuterten Transparenzpflichten gem. § 34 Abs. 1a BDSG beachtet werden. Ergänzend gilt es zu berücksichtigen, dass eine auf § 28 Abs. 3 S. 4 BDSG gestützte Übermittlung von Listendaten auch nur für Werbezwecke zulässig ist. Empfänger der Listendaten dürfen demzufolge nicht Adresshändler sein. So speichern diese Daten nicht für Werbezwecke, sondern allein für Zwecke des Verkaufs an werbende Unternehmen.480 Übermittelte Listendaten dürfen ohne Einwilligung der Betroffenen auch für die in § 28 Abs. 3 S. 2 genannten Werbemaßnahmen verwendet werden.481
214
215
216
217
b) Geschäftsmäßiger Adresshandel Der geschäftsmäßige Adresshandel wurde in § 29 BDSG gesondert und teilweise 218 neu geregelt. In Abgrenzung zum gelegentlichen Adresshandel liegt eine geschäftsmäßige Erhebung vor, wenn sie auf Wiederholung gerichtet und auf Dauer angelegt ist, wobei es aber nicht auf eine Gewerbsmäßigkeit im Sinne einer Gewinnerzielungsabsicht ankommt.482
gen Adresshandel siehe Wolff/Brink/Forgó, Syst. G. Rn 38. 477 Plath/Plath, § 28 Rn 106. 478 So Plath/Plath, § 28 Rn 107. 479 So Wolff/Brink/Forgó, Syst. G Rn 48 ff. m. w. N. 480 Gola/Schomerus, § 28 Rn 47. 481 Forgó/Helfrich/Schneider/Bierekoven, Teil X. Kap. 1 Rn 35 m. w. N. 482 BGH, Urt. v. 23.6.2009 – VI ZR 196/08 – NJW 2009, 2888, 2891.
Ringel
564
Kapitel 10 Nutzung von Kundendaten
Der geschäftsmäßige Adresshandel soll hier nur aus dem Blickwinkel der werbenden Unternehmen näher betrachtet werden. Für diese stellt sich insbesondere die Frage nach der rechtlichen Qualität der ihnen von einem Adresshändler angebotene Datenbestände. Dies gilt insbesondere mit Blick auf die oben bereits angesprochene und strittig diskutierte Frage nach der Notwendigkeit einer Einwilligung der Betroffenen. Teilweise wird aus dem Umstand, dass der Adresshandel nur in § 28 Abs. 3 S. 1 220 BDSG und nicht auch in den nachfolgenden Sätzen zur einwilligungslos zulässigen werblichen Verarbeitung und Nutzung erwähnt findet, ein strikter Einwilligungsvorbehalt abgeleitet.483 Nach anderer Auffassung kann der Adresshandel auch ohne Einwilligung der Betroffenen deren Adressdaten an die Werbetreibenden übermitteln.484 Freilich müssen die übrigen Voraussetzungen des § 29 Abs. 2 BDSG erfüllt sein und darf insbesondere kein Grund zur Annahme bestehen, dass die Betroffenen ein schutzwürdiges Interesse am Ausschluss der Übermittlung haben. Unter Hinweis auf die jüngere Rechtsprechung des EuGH485 zur Vollharmonisierung durch die DS-RL 95/46486 werden auch Zweifel an der europarechtlichen Zulässigkeit eines strikten Einwilligungserfordernisses vorgebracht.487 Die Verwendung von E-Mail-Adressen Dritter für Werbezwecke setzt stets die aus221 drückliche Einwilligung der Betroffenen voraus. Die Ausnahme des § 7 Abs. 3 UWG scheidet in dieser Konstellation von vornherein aus, da die E-Mail-Adresse hierfür im Zusammenhang mit einem bereits erfolgten Verkauf einer Ware oder Dienstleistung bekannt geworden sein muss.488 Der Erwerber von E-Mail-Adressen muss nach Ansicht des OLG Düsseldorf aufgrund der ihm selbst obliegenden Verkehrspflichten zur Verhinderung unerlaubter Werbung eigene Maßnahmen zur Überprüfung des Vorliegens und der Wirksamkeit dieser Einwilligungen ergreifen. Er darf sich nicht allein auf eine entsprechende allgemeine Zusicherung des Verkäufers verlassen.489 Nicht nutzbar sind Einwilligungen in die werbliche Nutzung von Adress- oder Telefondaten, die ein Adresslieferant im Rahmen von vermeintlichen telefonischen Meinungsumfragen erlangt hat. Für einen solchen Fall nahm das LG Düsseldorf an, dass die Meinungsumfrage lediglich vorgegaukelt worden sei, um das eigentliche Absatzinteresse des Adresshändlers und seiner Kunden – die zur Verfügung stehenden Adressdaten noch zielgerichteter verkaufen und dadurch einen Mehrwert im Adress219
483 So Wronka, RDV 2010, 159, 161; Wolff/Brink/Forgó, Syst. G Rn 51 m. w. N. 484 Hanloser, DSB 5/2010, 16, 17; Drewes, RDV 2011, 18, 20. Im Ergebnis ebenso wohl Gola/Schomerus, § 29 Rn 25; Kazemi/Leopold, Rn 184. 485 EuGH, Urt. v. 24.11.2011 – verb. Rs. C-468/10 u. C-469/10 ANSEF/FECEMD – ZD 2012, 33. 486 RL 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, ABl. EG/EU 1995, L 281, S. 31 ff. 487 Vgl. Drewes, ZD 2013, 115, 117. 488 § 7 Abs. 3 Nr. 1 UWG; eingehend dazu Rn 200. 489 OLG Düsseldorf, Urt. v. 24.11.2009 – I-20 137/09 – MMR 2010, 99.
Ringel
A. Werbung
565
handel begründen zu können – getarnt werde. Die in Rahmen solcher Anrufe eingeholten Einwilligungen würden auch nicht dadurch wirksam, dass den Angerufenen lediglich während des Gesprächs eine Telefonnummer mitgeteilt werde, über die ein Widerruf der Einwilligung abgegeben werden könne.490 Ein Adressliefervertrag, der sogar darauf ausgerichtet ist, auf diesem Wege Einwilligungen zu erlangen, ist wegen des systematischen Verstoßes gegen § 7 Abs. 2 Nr. 2 UWG gem. § 134 BGB nichtig. Praxistipp Angesichts der bestehenden Rechtsunsicherheit sollte die Praxis von der Notwendigkeit einer Einwilligung in die Übermittlung von Adressdaten durch den gewerblichen Adresshandel ausgehen. Der Adresshändler sollte vertraglich verpflichtet werden, nur solche Adressdaten bereitzustellen bzw. zu verkaufen, für die wirksame Einwilligungen der Betroffenen vorliegen. Aufgenommen werden sollte auch eine Verpflichtung des Adresshändlers, das Vorliegen einer wirksamen Einwilligung auf Verlangen des Erwerbers jederzeit nachzuweisen. Der Erwerber sollte sich zumindest in Form von Stichproben vom Vorliegen der gesetzlichen Voraussetzungen sodann auch selbst überzeugen.
3. Melderegisterdaten Unternehmen und Adresshändler greifen seit Längerem auch auf die Daten zurück, 222 die sie im Rahmen der nach jeweiligem Landesrecht möglichen Melderegisterauskünfte erlangen können. Hierbei ist derzeit weder eine Begründung noch eine ergänzende Erklärung oder eine Einwilligung der Betroffenen notwendig.491 Das Melderecht wurde durch ein Bundesmeldegesetz (BMG) mit Wirkung zum 223 1.5.2015 bundeseinheitlich neu geregelt.492 Laut § 44 Abs. 3 S. 1 BMG dürfen die Meldebehörden Auskunft über Daten einzelner Personen für Zwecke der Werbung oder des Adresshandels nur noch erteilen, wenn die betreffenden Personen in die Übermittlung zu diesem Zweck ausdrücklich eingewilligt haben. Eine solche Einwilligung kann gegenüber der Meldebehörde gem. § 44 Abs. 3 S. 2 BMG als generelle Einwilligung oder nur für Zwecke der Werbung bzw. nur für Zwecke des Adresshandels erklärt oder auch widerrufen werden. Liegt der Meldebehörde selbst keine Einwilligung der betroffenen Personen vor, bedarf es gem. § 44 Abs. 3 S. 3 BMG einer Einwilligung gegenüber dem Auskunftsersuchenden. Diese Einwilligung gegenüber dem Auskunftsersuchenden muss gem. § 44 Abs. 3 S. 4 BMG gesondert erklärt werden und sich ausdrücklich auch auf die Einholung einer Melderegisterauskunft für Zwecke der Werbung bzw. des Adresshandels beziehen. Diese Einwilligungen sind der Meldebehörde gem. § 44 Abs. 3 S. 5 BMG auf Verlangen nachzuweisen. Die Meldebehörde hat das Vorliegen von Einwilligungserklärungen gem. § 44 Abs. 3 S. 6 BMG stichprobenar-
490 LG Düsseldorf, Urt. v. 20.12.2013 – 33 O 95/13 U – ZD 2014, 200, 201. 491 Abel, RDV 2013, 179, 180. 492 BGBl. 2013 II, S. 1084 ff.
Ringel
566
Kapitel 10 Nutzung von Kundendaten
tig zu überprüfen. Sollen die Daten für Zwecke der Werbung bzw. des Adresshandels genutzt werden und fehlt es an einer Einwilligung, besteht nunmehr eine Übermittlungssperre und darf die Meldebehörde keine Auskunft erteilen.493 Laut § 44 Abs. 4 BMG ist es u. a. verboten, die Daten aus einer Melderegisteraus224 kunft entgegen der Erklärung, sie nicht für Zwecke der Werbung oder des Adresshandels verwenden zu wollen, dafür zu nutzen oder tatsächlich nicht vorliegende Einwilligungen zu behaupten, um die Daten aus den Melderegisterauskünften zu erlangen. Letzteres stellt gem. § 54 Abs. 1 Nr. 2 BMG eine Ordnungswidrigkeit dar, die gem. § 54 Abs. 3 BMG mit einer Geldbuße von bis zu 50.000 € geahndet werden kann. Dies gilt gem. § 54 Abs. 2 Nr. 12 i. V. m. § 54 Abs. 3 BMG gleichermaßen für die vorsätzliche oder fahrlässige Verwendung von Daten entgegen der Erklärung, sie nicht für Zwecke der Werbung oder des Adresshandels verwenden zu wollen. Laut dem in § 47 Abs. 1 BMG geregelten Zweckbindungsgebot dürfen die mit 225 einer Melderegisterauskunft erlangten Daten nur für diejenigen Zwecke verwendet werden, für die sie übermittelt wurden. Ausgeschlossen ist also eine spätere werbliche Verwendung von Daten aus den Melderegisterauskünften, die für Zwecke der Rechtsverfolgung übermittelt wurden. Eine bloße Erlangung und Speicherung dieser Daten auf Vorrat dürfte unzulässig sein, weshalb die Unternehmen gezwungen sind, sich frühzeitig über die beabsichtigte Nutzung der Daten klar zu werden und einen entsprechenden Nutzungszweck festzulegen.494 Im Verhältnis zum BDSG handelt es sich bei diesen Bestimmungen des neuen BMG 226 um bereichsspezifische und damit um gem. § 1 Abs. 3 BDSG vorgehende Normen.495
B. Customer Relationship Management 227 Zu den wesentlichen Elementen des Aufbaus und der Pflege von Kundenbeziehun-
gen gehört das sog. Customer Relationship Management (CRM). Zentraler Bestandteil eines solchen CRM ist die Erfassung und Verwaltung kundenspezifischer Daten, insbesondere um bestehende Kundenbeziehungen bestmöglich betreuen zu können, aber auch um Informationen mit Blick auf zukünftige Geschäfte vorhalten oder gewinnen zu können.496 Dabei stellen sich insbesondere Fragen mit Blick auf die datenschutzrechtliche Zulässigkeit eines CRM bzw. dessen Grenzen.
493 Bahl, LKV 2013, 385, 388. 494 Abel, RDV 2013, 179, 182. 495 Abel, RDV 2013, 179, 180. 496 Forgó/Helfrich/Schneider/Helfrich, Kap. 3 A Rn 2.
Ringel
B. Customer Relationship Management
567
I. Grundlagen Ein zentraler Grundsatz des nationalen sowie des europäischen Datenschutzrechts 228 ist die Zweckbindung.497 Personenbezogene Daten dürfen grundsätzlich nur für den Zweck verwendet werden, für den sie erhoben wurden. Ergänzt wird das Gebot der Zweckbindung durch den in § 3a S. 1 BDSG enthaltenen Grundsatz der Datenvermeidung und Datensparsamkeit, nach dem so wenig personenbezogene Daten wie möglich zu erheben, zu verarbeiten oder zu nutzen sind. Die Zweckbindung jeder Datenverarbeitung steht einer Speicherung von Kundendaten auf Vorrat entgegen. Sie kann auch nicht mit einem berechtigten Interesse begründet werden. Vielmehr zwingt insbesondere auch § 28 Abs. 1 S. 1 Nr. 2 BDSG die Unternehmen, sich von vornherein auf einen bestimmten Verarbeitungszweck festzulegen und ihre Informationswünsche zu präzisieren.498
II. Gesetzliche Erlaubnis Zentrale Erlaubnisnorm für die Erhebung, Verarbeitung und Nutzung von Kunden- 229 daten ist § 28 BDSG. Laut § 28 Abs. 1 S. 1 Nr. 1 BDSG dürfen Kundendaten erhoben, gespeichert, verändert, übermittelt oder genutzt werden, wenn und soweit dies für die Begründung, Durchführung und Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen erforderlich ist. Der Begriff der Erforderlichkeit ist dabei sehr eng auszulegen. Er erfordert zwar keine absolute Unmöglichkeit der Erreichung des Geschäftszwecks ohne die angestrebte Datenverwendung. Es reicht aber auch nicht aus, wenn die Datenverwendung lediglich für die Erreichung des Geschäftszwecks förderlich ist.499 Eine hinreichende Erforderlichkeit ist gegeben, wenn die beabsichtigte Datenverwendung ein geeignetes Mittel für die Begründung, Durchführung oder Beendigung des Schuldverhältnisses ist und es keine zumutbare Alternative gibt.500 Der mit einem über die bloße Abwicklung einer Geschäftsbeziehung hinausgehende Zweck eines CRM genügt diesen Anforderungen an die von § 28 Abs. 1 S. 1 Nr. 1 BDSG geforderte Erforderlichkeit nicht. Ernstlich als gesetzliche Erlaubnisgrundlage für die mit einem CRM im Zusam- 230 menhang stehenden Verarbeitungen von Kundendaten in Betracht kommt folglich nur § 28 Abs. 1 S. 1 Nr. 2 BDSG, der die Erhebung, Speicherung, Veränderung und Übermittlung von personenbezogenen Kundendaten erlaubt, soweit dies zur Wahrung
497 Roßnagel/v. Zezschwitz, Kap. 3.1. Rn 1. 498 Simitis/Simitis, § 28 Rn 112. 499 Plath/Plath, § 28 BDSG Rn 24 f. 500 Wolff/Brink/Wolff, § 28 Rn 33 m. w. N.
Ringel
568
Kapitel 10 Nutzung von Kundendaten
berechtigter Interessen des Unternehmens erforderlich ist und kein Grund zu der Annahme besteht, dass schutzwürdige Interessen der Betroffenen am Ausschluss der Verarbeitung oder Nutzung ihrer Daten im Rahmen eines CRM überwiegen. Dabei ist aber zu berücksichtigen, dass § 28 Abs. 1 S. 1 Nr. 2 BDSG nach wohl überwiegender Auffassung nicht als Auffangtatbestand zu verstehen, sondern restriktiv auszulegen ist.501 Für die Zulässigkeit eines CRM auf Basis dieser Vorschrift spricht, dass als berechtigtes Interesse alle bei vernünftiger Erwägung durch die Sachlage gerechtfertigten, tatsächlich bestehenden rechtlichen, wirtschaftlichen, ideellen oder sonstigen Interessen des jeweiligen Unternehmens zählen.502 Hierzu zählt grundsätzlich auch das Interesse an einer umfassenden Analyse von Kundendaten für Zwecke des Marketings,503 aber sicherlich auch die generelle Pflege bestehender oder sich anbahnender Kundenbeziehungen. Aber auch hierbei kommt es letztlich auf eine Erforderlichkeit im engeren Sinne und auch darauf an, dass die Grenzen zu § 28 Abs. 3 BDSG nicht überschritten werden. Zulässig sind nur Datenverwendungen, zu denen es keine objektiv zumutbare Alternative für die Erreichung dieser Zwecke gibt504 und die, um die Voraussetzungen des § 28 Abs. 3 BDSG nicht auszuhöhlen, nicht genuin werblicher Art sind. Sind diese Voraussetzungen nicht erfüllt, käme als zumutbare Alternative beispielweise die Einholung von Einwilligungen der Betroffenen in Betracht oder es ist zu prüfen, ob das CRM unter Heranziehung des Listenprivilegs des Satzes 2 und der Option des Hinzuspeicherns gemäß Satz 3 des § 28 Abs. 3 BDSG rechtskonform betrieben werden kann. Gegen die Zulässigkeit eines CRM auf Basis des § 28 Abs. 1 S. 1 Nr. 2 BDSG spricht 231 auch nicht, dass gem. § 28 Abs. 1 S. 2 BDSG auch insoweit auf eine konkrete Zweckbindung der Datenverwendung zu achten ist. Bereits bei der Erhebung der Daten sind die Zwecke festzulegen, für die die betreffenden Daten verarbeitet und genutzt werden sollen und dann grundsätzlich auch nur verarbeitet und genutzt werden dürfen. Damit unvereinbar ist eine Datenverarbeitung auf Vorrat,505 um etwa später einmal detaillierte Kundenprofile zu erstellen oder die Kundendaten zu sonstigen noch nicht definierten Zwecken vorhalten zu können. Vor diesem Hintergrund verbietet sich auch der Aufbau eines Data Warehouse, wenn dieses einzig den Zweck verfolgt, noch nicht absehbare Datenanalysen zu noch nicht definierten Zwecken durchführen zu können.506 Dies bedeutet aber nicht, dass damit Zweckänderungen per se ausgeschlossen 232 wären. Es muss aber einen klar definierten Zweck geben, der die Nutzung von Kun-
501 Auer-Reinsdroff/Conrad/Conrad, § 25 Rn 260. 502 Plath/Plath, § 28 Rn 47. 503 Taeger/Grages, DSRI-Tagungsband 2013 (Band 2), S. 815, 819. 504 Simitis/Simitis, § 28 Rn 108. 505 Simitis/Simitis, § 28 Rn 112 m. w. N. 506 Simitis/Simitis, § 28 Rn 112.
Ringel
B. Customer Relationship Management
569
dendaten zu einem anderen als den ursprünglichen Erhebungszweck erforderlich macht. Insoweit kommen auch CRM-typische Zwecke, wie z. B. die Kundenpflege, in Betracht. So erklärt § 28 Abs. 2 Nr. 1 BDSG Zweckänderungen unter den Voraussetzungen des § 28 Abs. 1 S. 1 Nr. 2 BDSG ausdrücklich für zulässig. Dasselbe gilt, wie unlängst ausgeführt, für Zweckänderungen mit einem werblichen Hintergrund unter den Voraussetzungen des § 28 Abs. 3 BDSG. Dabei sind die Grenzen zwischen werblichen und nicht werblichen Zwecken beim CRM oft fließend, weshalb es sich empfiehlt, die Anforderungen des § 28 Abs. 3 BDSG bei etwaigen Zweckänderungen zumindest im Sinne einer Leitlinie stets mit zu berücksichtigen. Besteht der Zweck der Kundendatenverarbeitung allerdings in der Analyse des 233 Kundenverhaltens (z. B. Surf- und/oder Kaufverhalten), sind Zweckänderungen ohne Einwilligungseinholung gleichwohl häufig ausgeschlossen. Erfolgen solche Analysen nämlich nicht anonymisiert oder zumindest pseudonymisiert, setzt eine daraus abgeleitete Erstellung von Kundenprofilen stets die Einwilligung der Betroffenen voraus.507 Mit Kundenprofilen sind hierbei Persönlichkeitsprofile gemeint, wobei Letztere immer dann anzunehmen sind, wenn gesammelte Daten auf ein bestimmtes Ziel hin inhaltlich verknüpft, umgestaltet und ausgewertet werden und auf diese Weise die Persönlichkeit eines Menschen, sein Verhalten, seine Interessen und Gewohnheiten verfügbar und vorhersehbar gemacht werden.508 Für die Erstellung von Kundenprofilen unter Verwendung von online erhobenen Nutzungsdaten folgt das grundsätzliche Erfordernis einer Pseudonymisierung dabei bereits aus § 15 Abs. 3 TMG.509 Im Übrigen besteht durchaus Grund zu der Annahme, dass die schutzwürdigen Interessen der Betroffenen am Ausschluss einer umfassenden Profilbildung das Interesse der Unternehmen an einem solchen überwiegen.510 Im Zweifel ist bei Profilbildungen die Einwilligungslösung daher zu bevorzugen.
III. Notwendigkeit von Einwilligungen der Betroffenen Fehlt es nach dem Vorgenannten an einer gesetzlichen Grundlage für eine umfas- 234 sende Verarbeitung und Nutzung von Kundendaten zum Zwecke des CRM, kommt ein solches nur auf der Basis wirksamer Einwilligungen der Betroffenen in Betracht. Wie bereits dargelegt setzt eine solche Einwilligung u. a. eine umfassende Infor- 235 mation der Betroffenen über Art und Umfang sowie über den Zweck der beabsichtigten Datenverarbeitung voraus. Für den Fall eines konzernweiten CRM sind auch
507 Gola/Schomerus, § 28 Rn 11 m. w. N.; insbesondere für den Fall, dass zusätzlich zu den aus der bestehenden Vertragsbeziehung gewonnenen Daten weitere einbezogen werden sollen Wächter, Rn 505. 508 Simitis/Scholz, § 6a Rn 22. 509 Siehe Rn 120 f. 510 So auch Auer-Reinsdroff/Conrad/Conrad, § 25 Rn 260.
Ringel
570
Kapitel 10 Nutzung von Kundendaten
die hierfür erforderlichen Übermittlungsvorgänge bzw. der Kreis der Empfänger in die Information einzubeziehen. Der Ansicht, dass es mit Blick auf das Ergebnis der Analyse ausreichend sein dürfte, die Betroffenen über die Art und Weise der beabsichtigten Auswertung und deren Zweck zu informieren,511 dürfte zuzustimmen sein. Freilich werden einem CRM auch bei einer einwilligungsbasierten Lösung stets 236 Grenzen gesetzt. Entscheidend ist insoweit vor allem die Transparenz der Datenverarbeitung für den Betroffenen. Lässt sich diese nicht mehr herstellen, ist auch für eine Einwilligungslösung nur noch sehr eingeschränkt Raum. Dann gilt in datenschutzrechtlicher Hinsicht, dass nicht alles nur deshalb erlaubt sein muss, weil es technisch möglich ist.
511 So Ulmer, RDV 2013, 227, 229.
Ringel
Kapitel 11 Datenschutz im Credit Management A. Einleitung I. Begrifflichkeit Das Credit Management oder Forderungsmanagement bezeichnet den systematischen 1 Umgang der Unternehmen mit Kundenforderungen. Der Begriff umfasst dabei sämtliche Prozesse, die mit der Entstehung, Bearbeitung, Erfüllung und Durchsetzung der Forderungen zusammenhängen. Ziel von Credit Management ist die Verbesserung der Liquidität. Als Mittel dazu dient insbesondere die systematische Verbesserung des Cashflow sowie die Reduzierung von Zahlungsausfällen.1
II. Bedeutung des Datenschutzes für das Credit Management Das Credit Management umfasst vor allem 2 – im Vorfeld eines Geschäftsvorgangs alle Prozesse bis zur Entstehung von Forderungen und – bei bestehenden Forderungen alle Prozesse zu deren Überwachung und Realisierung. Ganz wesentlich für den Erfolg von Kreditmanagement ist die Einholung und Nutzung 3 von Informationen über zukünftige und vorhandene Vertragspartner. Dafür werden umfangreich betriebs- und personenbezogene Daten benötigt. Derartige Informationen stammen teilweise aus internen, aber überwiegend aus externen Quellen. Diese sind, um belastbare Auskünfte geben zu können, ihrerseits auf entsprechende Einmeldungen aus der Wirtschaft angewiesen. Erfolgreiches Kreditmanagement bedarf daher unter datenschutzrechtlichen Aspekten nicht nur einer isolierten, sondern einer ganzheitlichen Betrachtung unter Einbeziehung der Informationskreisläufe in einer „informationellen Gesamtschau“. Der überwiegende Teil der relevanten Verarbeitungsprozesse unterliegt zum Teil strengen datenschutzrechtlichen Restriktionen, die im Rahmen der Compliance-Anforderungen beachtet werden müssen. Praxistipp Verstöße gegen Datenschutzbestimmungen sind straf- und bußgeldbewehrt. Ferner können Vorteile, die auf dem Verstoß beruhen, abgeschöpft werden. Sanktionen können nicht nur gegen Unterneh-
1 Vgl. dazu nur Unrein/Üzmez, BC 2011, 176.
Abel
572
Kapitel 11 Datenschutz im Credit Management
men, sondern auch gegen handelnde Personen auf allen Ebenen verhängt werden.2 Dies können Geschäftsführer, verantwortliche Abteilungsleiter aber auch Sachbearbeiter sein.3 Kredit- und zahlungsrelevante Daten gelten in der Öffentlichkeit als besonders sensibel, sodass bei rechtlich unzulässigen, umstrittenen oder auch nur bedenklichen Vorfällen im Zusammenhang mit derartigen Daten nicht nur Maßnahmen der Aufsichtsbehörden, sondern darüber hinaus auch erhebliche Reputationsschäden aufgrund öffentlichkeitswirksamer Berichterstattung in den Medien drohen. Daher ist in diesem Bereich besondere Aufmerksamkeit für die Rechtmäßigkeit der Geschäftsprozesse geboten.
III. Datensicherheit 4 Bei allen Datenverarbeitungsvorgängen im Rahmen des Kreditmanagements sind,
ebenso wie bei jeder anderen Verarbeitung personenbezogener Daten im Unternehmen, gem. § 9 BDSG angemessene technische und organisatorische Maßnahmen zur Gewährleistung der Datensicherheit vorgeschrieben. Die entsprechenden Voraussetzungen und Anforderungen werden nicht hier, sondern in Kap. 12 näher beschrieben.
B. Prozesse vor der Entstehung von Forderungen I. Überprüfung der Kreditwürdigkeit zukünftiger Kunden 1. Informationsbeschaffung und -validierung 5 Ein wichtiges Mittel zur Vermeidung von Zahlungsausfallrisiken ist die Bonitätsprüfung bei zukünftigen Kunden. Dafür werden personenbezogene Informationen über dessen Identität und dessen Zahlungsverhalten benötigt. Sie können vom Kunden selbst, aus eigenen Erkenntnissen oder von Dritten stammen.4
a) Allgemeines
6 Das BDSG gestattet die Ermittlung und Nutzung personenbezogener Informationen
(auch) zu Zwecken der Bonitätsprüfung sowohl aufgrund Einwilligung des Betroffenen als auch auf gesetzlicher Grundlage (§ 4 Abs. 1 BDSG). Für die hier infrage stehenden Anwendungen sind vor allem die §§ 28 bis 29 BDSG einschlägige Rechtsgrundlage.
2 Dazu im Einzelnen Kap. 12. 3 So hat die bayerische Aufsichtsbehörde ein Bußgeld gegen eine Mitarbeiterin verhängt, die eine E-Mail an einen offenen Verteiler geschickt hatte, Pressemitteilung des BayLDA v. 28.6.2013, http:// www.lda.bayern.de/lda/datenschutzaufsicht/p_archiv/2013/pm004.html. 4 Unrein/Üzmez, BC 2011, 176, 178; Schäfer, BC 2008, 68.
Abel
B. Prozesse vor der Entstehung von Forderungen
573
Wegen des Prinzips der Datensparsamkeit (§ 3a BDSG) dürfen grundsätzlich nur 7 die Informationen herangezogen und verwendet werden, die für den Zweck der Bonitätsprüfung erforderlich sind, d. h., es gilt der Grundsatz „so wenig wie möglich und nur so viel wie nötig“.5 Welche Daten dies sind, unterliegt der Beurteilung des Unternehmens, kann aber ggf. auch durch Aufsichtsbehörden oder, bei Klagen Betroffener, durch Gerichte hinterfragt und überprüft werden. Zwar sind die Grenzen fließend, allgemein anerkannt ist aber, dass weder unzulässig gewonnene Daten noch solche Daten verwendet werden dürfen, die keine Beziehung zu dem konkreten Vorgang haben, etwa weil sie aus dem persönlichen Bereich stammen und/oder keine validen Rückschlüsse auf das Zahlungsverhalten des Betroffenen zulassen.6 Daher kann z. B. die Erhebung und Nutzung von Informationen aus sozialen Netzwerken problematisch sein und wird im öffentlichen Bereich von Datenschutzbeauftragten eingeschränkt oder abgelehnt.7 Praxistipp Die Verwendung von Daten aus sozialen Netzwerken für Zwecke der Bonitätsprüfung sollte grundsätzlich restriktiv gehandhabt werden und sich – wenn überhaupt – auf solche Daten beschränken, die jedermann oder zumindest nahezu jedermann zugänglich sind. Hier sind stets Auswirkungen auf die Reputation des Unternehmens zu bedenken.8
b) Direkterhebung Die direkte Abfrage bonitätsrelevanter Daten beim Kunden selbst entspricht dem 8 datenschutzrechtlichen Grundsatz, nach Möglichkeit Daten beim Betroffenen selbst zu erheben.9 In der Praxis hat die Direkterhebung aber im Wesentlichen nur für Kreditinstitute Bedeutung. In den anderen Bereichen, vor allem bei alltäglichen Käufen im Internet, wäre die Erhebung von Daten über die Einkommens- und Vermögenssi-
5 Vgl. Simitis/Scholz, § 3a Rn 33 ff.; hinsichtlich der Problematik dieses Grundsatzes für bestimmte Bereiche der Datenerhebung am Beispiel des § 25c Abs. 2 KWG vgl. Boldt/Büll/Voss, CCZ 2013, 248, 252, der Kreditinstitute zum Betrieb angemessener und fortlaufend aktualisierender Datenverarbeitungssysteme verpflichtet. 6 Simitis/Simitis, § 28 Rn 72 f.; Gola/Schomerus, § 28 Rn 19. 7 Vgl. für das Arbeitsrecht Forst, NZA 2010, 427, 431; Oberwetter, NJW 2011, 417; Rolf/Rötting, RDV 2009, 263, 266; für Jobcenter: HessLDSB, 40. Tätigkeitsbericht 2012, Tz. 3.9.3.; für die Polizei: HessLDSB, 41. Tätigkeitsbericht 2013, Tz. 3.3.2.2., jeweils abzurufen unter http://www.datenschutz.hessen.de/taetigkeitsberichte.htm. 8 Die massive öffentliche Reaktion auf das bloße Vorhaben eines mit der SCHUFA geplanten Forschungsprojekts zur Nutzbarkeit von Informationen aus sozialen Netzwerken bewog das Hasso-Plattner-Institut in Potsdam mit der Kündigung der Zusammenarbeit; vgl. nur Spiegel Online v. 8.6.2012; FTD v. 17.6.2012. 9 Vgl. Spindler/Schuster/Spindler/Nink, § 4 Rn 6.
Abel
574
Kapitel 11 Datenschutz im Credit Management
tuation eines potenziellen Kunden bei diesem selbst unverhältnismäßig und die Antworten wären zudem meist nicht zu überprüfen. Die Direkterhebung von Daten kommt daher in aller Regel nur in begrenztem 9 Umfang in Betracht. Zulässig und üblich sind gem. § 28 Abs. 1 S. 1 Nr. 1 BDSG die Erhebung und Verwendung von Namen, Anschrift, Lieferanschrift und Konto- bzw. Kreditkartendaten, die für Vertragsschluss und Zahlungsabwicklung relevant sind.
c) Verwendung eigener Erkenntnisse
10 Informationen über die Bonität eines Kunden für ein neues Geschäft können sich aus
eigenen Datenbeständen ergeben, wenn also der Kunde bereits bekannt ist.10 Datenschutzrechtlich liegt darin eine Nutzung. § 28 Abs. 1 S. 1 Nr. 1 BDSG gestattet die Nutzung personenbezogener Daten u. a. 11 dann, wenn es für die Begründung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen erforderlich ist. Diese Voraussetzung liegt bei einer Bonitätsprüfung vor Abschluss eines neuen Geschäfts vor. Gleichermaßen lässt sich der Abgleich mit eigenen Beständen auf § 28 Abs. 1 S. 1 Nr. 2 BDSG stützen, da die Bonitätsprüfung der Wahrung berechtigter Interessen der verantwortlichen Stelle dient und auch erforderlich ist. Schutzwürdige Interessen des Betroffenen am Ausschluss der Nutzung sind in diesen Fällen nicht erkennbar. Beim Abgleich mit eigenen Beständen handelt es sich somit um eine nach § 28 Abs. 1 S. 1 Nr. 1 BDSG zulässige Nutzung.
aa) Exkurs: Aufbewahrungsfristen für eigene Datenbestände
12 Allerdings muss das Unternehmen die eigenen Datenbestände, mit denen abgegli-
chen wird, zulässigerweise gespeichert haben, denn Datenbestände dürfen nicht unbegrenzt aufbewahrt werden. Die zulässige Speicherdauer richtet sich nach § 35 Abs. 2 Nr. 3 BDSG. Danach sind Daten, die für eigene Zwecke verarbeitet werden, dann zu löschen, sobald ihre Kenntnis für die Erfüllung des Zweckes der Speicherung nicht mehr erforderlich ist (Abs. 2 Nr. 3). Das gilt insbesondere für Kundendaten. Das Gesetz bestimmt jedoch zu Recht keine Regelfrist für die Löschung derarti13 ger Daten. Vielmehr ist es Sache des Unternehmens, im Einzelfall festzustellen, wie lange bestimmte Daten bzw. Datenkategorien von ihm benötigt werden. Bei erledigten Sachverhalten, also etwa dann, wenn ein Distanzkauf vollständig und beanstandungsfrei abgewickelt wurde, ist es anerkannt, dass die Kundendaten auf jeden Fall bis zum Ablauf der jeweiligen Verjährungsfristen gespeichert bleiben dürfen.11
10 Für ein effizientes Forderungsmanagement ist jedoch eine ständige Aktualisierung der Datenbestände notwendige Voraussetzung, vgl. Unrein/Üzmez, BC 2011, 176, 178. 11 Plath/Kamlah, § 35 Rn 19.
Abel
B. Prozesse vor der Entstehung von Forderungen
575
Zulässig ist aber auch eine längerdauernde Speicherung im Wege der Zweckän- 14 derung gem. § 28 Abs. 2 Nr. 1 i. V. m. Abs. 1 Nr. 2 BDSG. Dies kommt z. B. für die weitere Kundenpflege12 und auch, bei notleidend gewordenen Verträgen oder im Falle etwa von Eingehungsbetrug, zum Schutz vor wirtschaftlichen Nachteilen in Betracht. Dieser – neue – Zweck rechtfertigt dann eine längerdauernde Speicherung und entsprechend die Nutzung der gespeicherten Daten im Hinblick auch auf neue Geschäftsbeziehungen. Für Auskunfteien oder auch Warnsysteme schreibt § 35 Abs. 2 Nr. 4 BDSG eine Überprüfungsfrist alle vier Jahre bzw. bei erledigten Sachverhalten alle drei Jahre daraufhin vor, ob die Daten noch benötigt werden. An dieser gesetzlichen Vorgabe orientiert sich auch sonst vielfach die Praxis. Praxistipp Für die länger- oder langfristige Speicherung von Kundendaten bedarf es, wie überhaupt bei der länger währenden Speicherung von Daten, einer Speicher- und Löschungsroutine. Diese umfasst zum einen die Festlegung eines Zeitpunkts, zu dem überprüft wird, ob eine länger dauernde Speicherung noch erforderlich ist. Sie umfasst zum anderen die inhaltliche Begründung dafür, was warum wie lange gespeichert bleiben soll. Es ist Sache der Unternehmen, die Zwecke zu definieren, für die die betreffenden Daten benötigt werden. Die Begründung liegt im Ermessen des Unternehmens und ist nur auf Unrichtigkeit oder logisch-inhaltliche Fehler überprüfbar, denn hier gilt das Grundrecht des Unternehmens auf Informationsverwendungsfreiheit (Art. 5 GG). Sie muss daher plausibel und nachvollziehbar sein und sollte schriftlich dokumentiert werden. Hat sich das Unternehmen keine Gedanken zur Aufbewahrung seiner Datenbestände gemacht, fehlt eine Löschungsroutine und/oder eine plausible Begründung für den Zeitraum der Datenspeicherung, kann dies durch Aufsichtsbehörden ohne Weiteres beanstandet werden. Eine gut dokumentierte Begründung ist hingegen so lange datenschutzgerecht, wie sie sachgerecht, schlüssig und nachvollziehbar ist.
bb) Plausibilitätsprüfung Es empfiehlt sich, die aus den eigenen Beständen stammenden Informationen über 15 den Altkunden einer Plausibilitätsprüfung zu unterziehen, d. h., die Daten auf ihre formale und inhaltliche Richtigkeit und auch auf ihre Aktualität hin zu überprüfen. Insbesondere sind für die Überprüfung der Plausibilität Adressdaten, Kontodaten, E-Mailadressen und Telefonnummern, aber auch und nicht zuletzt das Geburtsdatum geeignet.13 Dabei lassen sich auf einfachem Wege Unstimmigkeiten feststellen, die auf Eingabefehlern, aber meist auf Betrugsversuchen beruhen. Versandhausbetrüger arbeiten vielfach mit Identitätsdiebstahl und, noch häufiger, mit immer wieder neu abgewandelten Namen, Adressen und Geburtsdaten.
12 Taeger/Gabel/Gabel/Meents, § 35 Rn 27; Schaffland/Wiltfang, § 35 Rn 36. 13 Vgl. Heidrich/Forgó/Feldmann/Kügel, C I 4.1.
Abel
576
Kapitel 11 Datenschutz im Credit Management
d) Verwendung von Informationen aus externen Quellen
16 Neben der Nutzung eigener Bestände ist es üblich, Informationen über die Bonität
eines zukünftigen Kunden bei Dritten einzuholen und/oder die Angaben des Kunden mit den dort gespeicherten Angaben abzugleichen. In Betracht kommen dafür Wirtschaftsauskunfteien oder Warn- und Hinweissysteme.14 Auf diese Weise lässt sich z. B. feststellen, ob der potenzielle Kunde unter der angegebenen Anschrift bekannt ist, ob die angegebenen Kontodaten plausibel sind oder ob die vom Besteller angegebenen Kreditkarten möglicherweise als gestohlen gemeldet oder gesperrt wurden.
aa) Allgemeines 17 Die Abfrage bei Auskunfteien oder Warndateien stellt datenschutzrechtlich eine Erhebung durch das Unternehmen dar. Als Rechtsgrundlage kommt entweder eine Einwilligung oder § 28 Abs. 1 BDSG als gesetzliche Grundlage in Betracht.
bb) Einwilligung
18 Die Verwendung einer Einwilligung erweist sich in der Praxis als eher schwierig. Es
müssen die formalen Voraussetzungen des § 4a BDSG eingehalten werden, insbesondere das Schriftformerfordernis und die vorherige Unterrichtung des Kunden über Art und Umfang der geplanten Datenverwendung. Nach verbreiteter Ansicht können nicht ausreichend unterrichtete Kunden nicht wirksam einwilligen, sodass sich die Verarbeitung ihrer Daten als unzulässig erweist.15 Wie jedoch eine solche Unterrichtung praktisch aussehen soll, ist nicht eindeutig geklärt. Auf der einen Seite kann zwar bei der Nutzung von Debit- oder Kreditkarten 19 oder bei Bestellungen im Internet heute grundsätzlich davon ausgegangen werden, dass es allgemein bekannt ist, dass vor Bestätigung der Zahlung eine Überprüfung der Karte bzw. der Bankverbindungsdaten oder der sonstigen Angaben vorgenommen wird. Eine solche Prüfung ist mittlerweile sozialadäquat. Dennoch legen die Aufsichtsbehörden z. B. bei der Verwendung von Debitkarten am Point of Sale im Handel Wert auf entsprechende Hinweise auf Aufklebern oder durch die Bereithaltung von Flyern.16 Ungeklärt ist jedoch, ob eine konkludente Einwilligung durch die Nutzung von Karten als unbare Zahlungsmittel anerkannt werden kann.17
14 Zu Auskunfteien und Warndateien auch unten unter C, Rn 84, 123. 15 Simitis/Simitis, § 4a Rn 76; Däubler/Klebe/Wedde/Weichert, § 4a Rn 10. 16 Näheres dazu HessLDSB, 40. Tätigkeitsbericht, S. 158 f., abrufbar unter http://www.datenschutz. hessen.de/download.php?download_ID=245&download_now=1. 17 Vgl. zur Problematik aus der Sicht der Aufsichtsbehörden HessLDSB, 40. Tätigkeitsbericht, S. 152 f., abrufbar unter http://www.datenschutz.hessen.de/download.php?download_ID=245&download_ now=1.
Abel
B. Prozesse vor der Entstehung von Forderungen
577
Gegen eine Einwilligungslösung spricht weiterhin, dass dadurch beim Betroffe- 20 nen der falsche Eindruck erweckt werden kann, dass die Verweigerung der Einwilligung die Verarbeitung verhindern könne. Zudem sei fraglich, ob die Freiwilligkeit der Einwilligung gegeben sei, wenn der Betroffene auf die Möglichkeit hingewiesen wird, dass die Verarbeitung auch per Rechtsnorm legitimiert werden könne. Die deutschen Aufsichtsbehörden raten daher überwiegend davon ab, solche 21 Übermittlungen durch Einwilligung zu rechtfertigen. Vielmehr sollten diese auf gesetzlicher Grundlage erfolgen.18
cc) Gesetzliche Verarbeitungsgrundlage Gesetzliche Erlaubnisnorm für die Überprüfung eines Kunden ist § 28 Abs. 1 S. 1 Nr. 1 BDSG, der die Übermittlung, Speicherung und Nutzung der dafür erforderlichen Daten zum Zwecke der Vertragsanbahnung und -durchführung gestattet. Normadressat ist derjenige, der mit einem potenziellen Kunden einen Vertrag abschließen möchte, beispielsweise ein Händler. Auch bei einer Datenverarbeitung auf gesetzlicher Grundlage sind Transparenzanforderungen zu beachten (§ 4 Abs. 3 BDSG). Grundsätzlich kann aber davon ausgegangen werden, dass jeder Kunde, vor allem im Internethandel oder bei der Benutzung von Zahlungskarten, mit einer Überprüfung des unbaren Zahlungsmittels oder seiner Bonität rechnet. Da bei einer derartigen Prüfung am Point of Sale aber auch technische Fehler oder Eingabefehler vorliegen können, erfolgt regelmäßig die Rückmeldung an den Kunden in völlig neutraler Form, etwa mit dem Hinweis, dass die jeweilige Karte derzeit nicht verwendet werden könne. Das ist datenschutzrechtlich unbedenklich, weil dadurch eine „Prangerwirkung“ vor allem für den Kunden verhindert wird, bei dem keine Negativmerkmale vorliegen. Unabhängig davon ist das Angebot an den Kunden, einen anderen, für das Unternehmen sicheren Zahlungsweg zu nutzen.19
22
23
24
25
dd) Bereichsspezifische Normen für die Kreditwirtschaft Eine besondere bereichsspezifische Regelung zur Datenerhebung bei Dritten findet 26 sich in § 10 Abs. 1 S. 7 KWG, die eine spezielle Befugnisnorm i. S. d. § 4 Abs. 2 S. 2 Nr. 1 BDSG darstellt.20 Danach ist es Kreditinstituten i. S. v. § 1 Abs. 1 KWG und Finanzdienstleistungsinstituten nach § 1 Abs. 1a KWG unter bestimmten Voraussetzungen
18 Näheres dazu HessLDSB, 40. Tätigkeitsbericht, S. 148 f., abrufbar unter http://www.datenschutz. hessen.de/download.php?download_ID=245&download_now=1. 19 Z. B. die Eingabe einer PIN anstelle des ELV-Verfahrens mit bloßer Unterschrift. 20 Vgl. Hoeren/Sieber/Holznagel/Helfrich, Teil 16.4 Rn 43 und 58.
Abel
578
Kapitel 11 Datenschutz im Credit Management
erlaubt, personenbezogene Daten sowie Betriebs- und Geschäftsgeheimnisse (§ 10 Abs. 1 S. 5 BDSG) von einer der in § 10 Abs. 1 S. 7 KWG abschließend aufgezählten Stelle zu erheben. Neben Daten aus allgemein zugänglichen Quellen können insbesondere Daten auch von externen Ratingagenturen, Auskunfteien und Instituten „derselben Institutsgruppe“ erhoben werden.21
e) Auskünfte aus dem persönlichen Umfeld und aus dem Internet
27 Vor allem bei notleidenden Vertragsverhältnissen wird vielfach ein Bedarf gesehen,
genauere und konkretere Auskünfte über den Schuldner bei Nachbarn oder im Wege über eine Detektei zu erheben. Das ist grundsätzlich zulässig, wenn diese Informationen vom Schuldner selbst nicht zu erhalten sind oder Angaben des Schuldners überprüft werden müssen. Anderes würde nur dann gelten, wenn Anhaltspunkte dafür bestehen, dass eine Detektei Daten in unzulässiger Weise ermittelt, beispielsweise dann, wenn es sich um Detailinformationen handelt, die üblicherweise nicht für Außenstehende zugänglich sind. Wurden Daten rechtswidrig erhoben, sind auch deren Erhebung und weitere Verwendung ebenfalls rechtswidrig. Die Befragung von Nachbarn oder anderen Kontaktpersonen gilt als problema28 tisch, da sie für den Schuldner stets mit der Gefahr verbunden ist, möglicherweise zu Unrecht in seinem sozialen Umfeld in Misskredit zu geraten. Derartige Maßnahmen sind daher nur mit entsprechender Sensibilität und nur dann statthaft, wenn keine anderen Möglichkeiten zur Verfügung stehen. Sie werden daher in aller Regel, wenn überhaupt, nur bei der Rechtsverfolgung eingesetzt, spielen jedoch im Kreditmanagement sonst keine Rolle. Noch nicht geklärt ist die Nutzbarkeit von Informationen aus dem Internet. 29 Soweit es sich dabei um allgemein, d. h. für jedermann zugängliche Quellen handelt, ist ihre Verwendung zur Überprüfung der Bonität für ein beabsichtigtes Vertragsverhältnis datenschutzrechtlich unproblematisch (§ 28 Abs. 1 Nr. 3). Als problematisch gilt die Nutzung von Informationen, die in geschlossenen Gruppen ins Netz gestellt werden – auch und nicht zuletzt bei sozialen Netzwerken. Manche dieser Netzwerke wie z. B. Facebook sind freilich mittlerweile so weit verbreitet, dass man schlechthin kaum noch von einer für die Allgemeinheit unzugänglichen Veröffentlichung sprechen kann.22 Unabhängig von einer rechtlichen Bewertung muss bei einer größer angelegten wissenschaftlich-statistischen Auswertung von Daten aus sozialen Netzwerken zum Zwecke der Bonitätsprüfung mit erheblichem Widerstand in der Öffentlichkeit gerechnet werden.
21 Vgl. Taeger/Gabel/Mackenthun, § 28b Rn 38. 22 Eine Nutzung für Zwecke der Personalrekrutierung oder Personalverwaltung gilt jedoch im Gegensatz zum Netzwerk XING als äußerst problematisch und vielfach als unzulässig.
Abel
B. Prozesse vor der Entstehung von Forderungen
579
f) Statistische Erkenntnisse über Geschäftskunden Einige Auskunfteien bieten im Unternehmensbereich die Möglichkeit an, innerhalb 30 geschlossener Benutzergruppen, die auf Gegenseitigkeit eingerichtet sind, Zahlungsvorgänge/Debitoren von Unternehmen statistisch auf Auffälligkeiten zu untersuchen, die frühzeitig als Indikatoren für eine Veränderung und ggf. als Warnsignal im Hinblick auf eine negative Entwicklung dienen können. Eine derartige Verwendung von Zahlungserfahrungen ist für den gewerblich-unternehmerischen Bereich seit jeher anerkannt.23 Die im Jahr 2009 neu eingeführten Bestimmungen der §§ 28a und 28b BDSG finden auf diese Verarbeitungsformen keine Anwendung.
g) Informationen aus besonderen Quellen (Banken, Behörden, Sozialdaten) aa) Banken Grundsätzlich gilt für Banken das Bankgeheimnis. Dies beruht nicht auf dem Datenschutzrecht, sondern auf dem Girovertrag und ist vielfachen Durchbrechungen zugänglich. Seit 2009 hat der Gesetzgeber mit der Bestimmung des § 28a Abs. 2 BDSG neben die Einwilligung zu Datenübermittlungen, wie sie typischerweise in der SCHUFAKlausel zum Ausdruck kommt, die gesetzliche Befugnis von Kreditinstituten gestellt, auch Daten über die Begründung, ordnungsgemäße Durchführung und Beendigung eines Vertragsverhältnisses über Bankgeschäfte (Positivdaten) an Auskunfteien zu übermitteln. Die Einmeldung von Forderungsausfällen richtet sich hingegen nach § 28a Abs. 1 BDSG. Es darf allerdings kein schutzwürdiges Interesse des Betroffenen an dem Ausschluss der Übermittlung gegenüber dem Interesse der Auskunftei an der Kenntnis der Daten offensichtlich überwiegen. Das wird bei Positivdaten nur sehr selten der Fall sein. Übermittelt werden dürfen im Rahmen des § 28a Abs. 2 BDSG nur solche Daten, die das Vertragsverhältnis selbst betreffen, während inhaltliche Daten aus dem Vertrag, etwa Einkommensangaben des Betroffenen, weiterhin dem Bankgeheimnis unterfallen.24 Ausgenommen von der Regelung sind lediglich Konten, die auf Guthabenbasis geführt werden, da hier keine Zahlungsausfälle möglich sind und daher das störungsfreie Führen dieses Kontos keinen Rückschluss auf die Bonität des Kontoinhabers erlaubt.
23 Vgl. nur BGH RDV 2003, 291; Roßnagel/Duhr, Handbuch Datenschutz, Kap. 7.5 Rn 12, 29. 24 Amtl. Begründung, BT-Drucks. 16/10529, S. 15; Simitis/Ehmann, § 28a Rn 86 f.
Abel
31
32
33
34
35
580
Kapitel 11 Datenschutz im Credit Management
bb) Behörden
36 Auskünfte aus Behörden unterliegen besonderen Restriktionen, sodass sie in der
Regel nur dann als relevante Quellen in Betracht kommen, wenn eine gesetzliche Übermittlungsregelung besteht. Das ist nur ausnahmsweise der Fall, etwa bei den amtlichen Schuldnerverzeichnissen (§ 882b ff. ZPO) oder bei den Veröffentlichungsbestimmungen der Insolvenzordnung (§ 9 InsO i. V. m. § 2 der Verordnung zu öffentlichen Bekanntmachungen in Insolvenzverfahren im Internet).25 Dort sind die öffentlichen Bekanntmachungen aus Insolvenzverfahren zu finden, insbesondere: – die Anordnung und Aufhebung von Sicherungsmaßnahmen durch das Gericht, – die Abweisung eines Insolvenzantrags mangels Masse, – der Beschluss über die Eröffnung des Insolvenzverfahrens, – die Entscheidung über die Aufhebung oder die Einstellung des Insolvenzverfahrens, – Beschlüsse über die Festsetzung der Vergütung des Insolvenzverwalters, des Treuhänders und der Mitglieder des Gläubigerausschusses, – Terminbestimmungen, – Ankündigung der Restschuldbefreiung, – Erteilung oder Versagung der Restschuldbefreiung – Abweisung eines Insolvenzantrags mangels Masse (ab 2007)
37 Hinsichtlich Anschriften werden die derzeit geltenden Landesmeldegesetze ab
1.4.2015 durch das Bundesmeldegesetz (BMG) ersetzt. Das Verfahren für einfache Melderegisterauskünfte wird dadurch verändert. Wenn die Auskünfte für gewerbliche Zwecke benötigt werden, ist dies dann anzugeben. Die Verwendung der so erhaltenen Adressdaten unterliegt zukünftig Restriktionen wie z. B. einer engen Zweckbindung und einer darauf folgenden Löschungspflicht (§ 47 BMG).26 Unzulässig ist die Verwendung von Daten aus dem Bereich der Finanzverwaltung 38 für private Zwecke. Hier gilt das Steuergeheimnis (§ 30 AO).
cc) Sozialdaten 39 Die Erhebung, Verwendung und Nutzung von Sozialdaten unterliegt besonderen Einschränkungen. Sozialdaten sind Einzelangaben über die persönlichen und sachlichen Verhältnisse natürlicher Personen, die von den sozialrechtlichen Leistungsträgern (Sozialversicherungsträger, Sozialhilfeträger, Versorgungsbehörden27) zur Erfüllung ihrer gesetzlichen Aufgaben gesammelt und gespeichert werden. Sie unterliegen dem Sozialgeheimnis (§ 35 SGB I) und dürfen nur unter den engen Voraussetzungen
25 Unter www.Insolvenzbekanntmachungen.de. 26 Dazu im Einzelnen Abel, RDV 2013, 179; Ehmann, ZD 2013, 199. 27 Gemäß § 35 Abs. 1 SGB I.
Abel
B. Prozesse vor der Entstehung von Forderungen
581
der §§ 67 ff. SGB X weitergegeben werden. Danach ist eine Offenbarung von Sozialdaten, außer bei förmlicher Einwilligung des Betroffenen, nur für eng begrenzte Zwecke möglich: für die Erfüllung sozialer Aufgaben, im Rahmen der Amtshilfe, zur Durchführung des Arbeitsschutzes, zur Erfüllung besonderer gesetzlicher Mitteilungspflichten, des Schutzes der inneren und äußeren Sicherheit, der Durchführung eines Strafverfahrens, der Verletzung der Unterhaltspflicht und des Versorgungsausgleichs sowie der Forschung und Planung. Das Sozialgeheimnis führt dazu, dass Daten, die Sozialleistungen im weitesten 40 Sinne betreffen, nicht auf gesetzlicher Grundlage für Zwecke der Bonitätsprüfung erhoben werden dürfen. Eine Verarbeitung derartiger Angaben kommt daher in aller Regel nur auf der Basis einer Einwilligung in Betracht (§ 67b Abs. 2 SGB X), vor allem im Rahmen der Rechtsverfolgung bei Zahlungsstörungen, wenn sich etwa ein Schuldner auf Krankheit oder auf mangelnde Leistungsfähigkeit in Verbindung mit dem Bezug von Sozialleistungen beruft. Diese Informationen dürfen dann vom Gläubiger gespeichert und verwendet werden, allerdings nur so lange, wie der Schuldner seine Einwilligung nicht widerruft.
2. Informationsbewertung Neben der Erhebung von personenbezogenen Informationen ist eine Bewertung 41 dieser Informationen und Erfahrungswerte in Form einer Risikoanalyse notwendige Voraussetzung, um eine Prognose zur Bonität des potenziellen Kunden sowie über sein zukünftiges Vertragsverhalten stellen zu können und damit im Ergebnis das eigene Risiko bestimmen und ggf. durch Implementierung von Gegenmaßnahmen minimieren zu können.28 Teilweise werden auch automatisierte Entscheidungssysteme verwendet. In beiden Fällen bestehen datenschutzrechtliche Beschränkungen.
a) Scoring Im Bereich des Risikomanagements kommt insbesondere eine Bewertung mittels 42 „Scoring“ in Betracht.29 Dabei werden die zuvor gesammelten Angaben zu den persönlichen und wirtschaftlichen Verhältnissen eines (potenziellen) Kunden anonymisiert und anschließend unter Verwendung mathematisch-statistischer Verfahren verarbeitet.30 Ergebnis dieser Analyse ist die Bildung einer Ausfallwahrscheinlichkeit
28 Vgl. Heidrich/Forgó/Feldmann/Krügel, C I 4.2; BeckOK DatenSR/Spoerr, Syst. J. Rn. 39; Hopt/ Wohlmannstetter/Auerbauch/Jost, S. 671. 29 Dies gilt jedoch nicht ausschließlich für den Bereich des Credit- und Forderungsmanagements. Scoring kommt ebenfalls bei Arbeitsverhältnissen und in der Werbebranche in Betracht, vgl. im Einzelnen BeckOK DatenSR/von Lewinski, § 28b Rn 16 ff. 30 Vgl. Tamm/Tonner/Polenz, § 6 Rn 114.
Abel
582
Kapitel 11 Datenschutz im Credit Management
für die Bedienung des Kredites bzw. der Begleichung der Forderung, der landläufig meist als Scorewert oder Score-Ergebnis bezeichnet wird.31 Vorteil dieser statistischen Prognosen ist eine weitgehende Objektivierung und Beschleunigung der Kreditwürdigkeitsprüfung, da anhand statistisch gewonnener Erfahrungswerte eine Bewertung der Zahlungsmoral stattfinden kann.32 In welchem Rahmen eine Bewertung der Kreditwürdigkeit durch Scoringverfahren in Betracht kommt, richtet sich nach § 28b BDSG. Diese im Jahre 2009 neu in das BDSG aufgenommene Vorschrift macht das Erstellen und Nutzen von mathematisch-statistischen Wahrscheinlichkeitswerten im Vertragskontext abhängig vom Vorliegen gesetzlicher Voraussetzungen. Zweck des § 28b BDSG ist es, ein taugliches Verfahren sicherzustellen, damit die Berechnung auch einer Überprüfung zugänglich ist.33
aa) Umfang der Anwendbarkeit des § 28b BDSG
43 Diese Bestimmung gilt jedoch nur dann, wenn ein Wahrscheinlichkeitswert der Ent-
scheidung über die Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses mit dem Betroffenen dienen soll. Durch diese Beschränkung auf rein vertragsbezogene Wahrscheinlichkeitswerte gilt § 28b BDSG nicht für unternehmensinterne Verarbeitungsvorgänge wie z. B. für die Bearbeitungsreihenfolge unterschiedlicher Kundenanfragen.34 Auch für die in der Praxis vielfach eingesetzte analytische Steuerung von Geschäfts44 prozessen, z. B. bei der Priorisierung und Effizienzverbesserung von Arbeitsabläufen oder für die Nutzung EDV-gestützter Analyse-Tools zur Ermittlung der Wertigkeit und damit des Kaufpreises von Forderungsportfolios beim Factoring, bestehen aus § 28b BDSG keine Beschränkungen, da diese Bestimmung auf derartige Geschäftsprozesse ohne Außenwirkung bewusst nicht anwendbar ist. § 28b BDSG erfasst ausschließlich solche Verfahren, die der Entscheidung über ein Vertragsverhältnis mit einer natürlichen Person dienen. Die Verfahren außerhalb des Anwendungsbereichs von § 28b BDSG richten sich hingegen nach den allgemeinen Bestimmungen.35 § 28b BDSG findet auch nicht etwa deswegen Anwendung, weil die oft aus dem 45 anglo-amerikanischen Wirtschaftsraum stammenden Hersteller solcher mathematisch-statistischen Modelle zur Verbesserung von Arbeitsabläufen und, dieser Wort-
31 Vgl. Taeger/Gabel/Mackenthun, § 28b Rn 35. 32 Vgl. Kamlah, MMR 2003, V; BeckOK DatenSR/Spoerr, Syst. J. Rn 41; Gola/Schomerus, § 28b Rn 1; Möller/Florax, MMR 2002, 806, 807; einschränkend Tamm/Tonner/Polenz, § 6 Rn 114, der auf die besondere Relevanz richtiger Daten für ein aussagekräftiges Ergebnis abstellt. 33 BeckOK DatenSR/von Lewinski, § 28b Rn 33. 34 So ausdrücklich die Gesetzesbegründung, BT-Drucks. 16/10529, S. 15 f.; Taeger/Gabel/Mackenthun, § 28b Rn 17; Abel, RDV 2009, 147, 149; Simitis/Ehmann, § 28b Rn 43. 35 Gesetzesbegründung, BT-Drucks. 16/10529, S. 15 f.; Abel, RDV 2009, 147; Taeger/Gabel/Mackenthun, § 28b Rn 17; Simitis/Ehmann, § 28b Rn 41.
Abel
B. Prozesse vor der Entstehung von Forderungen
583
wahl folgend, deren Nutzer in der Praxis gern undifferenziert von „Scoring“ oder „Scorecards“ sprechen. Die Verwendung des Begriffs „Scoring“ in der Praxis sagt nichts darüber aus, ob § 28b BDSG auf ihn anwendbar ist.36
bb) Zulässigkeit vertragsbezogenen Scorings Nach § 28b BDSG ist eine Datenerhebung, -verarbeitung oder -nutzung zum Zwecke 46 der Entscheidung über die Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses mit dem Betroffenen mit dem Ziel, einen Wahrscheinlichkeitswert für ein bestimmtes, zukünftiges Verhalten des Betroffenen zu ermitteln, nur zulässig, wenn 1. die zur Berechnung des Wahrscheinlichkeitswerts genutzten Daten unter Zugrundelegung eines wissenschaftlich anerkannten mathematisch-statistischen Verfahrens nachweisbar für die Berechnung der Wahrscheinlichkeit des bestimmten Verhaltens erheblich sind, 2. im Fall der Berechnung des Wahrscheinlichkeitswerts durch eine Auskunftei die Voraussetzungen für eine Übermittlung der genutzten Daten nach § 29 BDSG und in allen anderen Fällen die Voraussetzungen einer zulässigen Nutzung der Daten nach § 28 BDSG vorliegen, 3. für die Berechnung des Wahrscheinlichkeitswerts nicht ausschließlich Anschriftendaten genutzt werden, 4. im Fall der Nutzung von Anschriftendaten der Betroffene vor Berechnung des Wahrscheinlichkeitswerts über die vorgesehene Nutzung dieser Daten unterrichtet worden ist; die Unterrichtung ist zu dokumentieren. Die vorgenannten Voraussetzungen müssen kumulativ vorliegen. Das Vorliegen nur einer Voraussetzung reicht dagegen nicht aus.37
cc) Für Scoring verwendete Daten Zu berücksichtigen ist, dass § 28b BDSG keine eigenständige Erlaubnisnorm darstellt, 47 sondern allein das Verfahren regelt, durch das bereits in zulässiger Weise gespeicherte Daten benutzt werden dürfen.38 Dies ergibt sich insbesondere aus § 28b Nr. 2 BDSG, der die Zulässigkeit vom Vorliegen der allgemeinen Verarbeitungsvoraussetzungen der §§ 28 bzw. 29 BDSG abhängig macht und damit eine Umgehung der stren-
36 Simitis/Ehmann, § 28b Rn 24. 37 Vgl. Bergmann/Möhrle/Herb, § 28b BDSG Rn 27. 38 Vgl. Erbs/Kohlhaas/Ambs, § 28b BDSG.
Abel
584
Kapitel 11 Datenschutz im Credit Management
gen gesetzlichen Anforderungen an eine Datenverarbeitung verhindern will.39 Daten, deren Verarbeitung nach den allgemeinen Regeln unzulässig wäre, sollen nicht auf dem Umweg über Scoring-Verfahren dennoch verwendet werden dürfen. Dementsprechend ist zunächst das Vorliegen der Tatbestandsvoraussetzungen 48 des § 28 BDSG zu überprüfen, soweit die verantwortliche Stelle selbst tätig wird.40 Soll dagegen die Berechnung durch eine Auskunftei erfolgen und damit mittels externen Scorings, darf diese die Daten für ein Scoringverfahren nur verwenden, soweit ihr die Daten übermittelt werden dürfen.41 Weiterhin ist zentrale Voraussetzung, dass die Erhebung der personenbezogenen 49 Daten zur Beurteilung eines (zukünftigen) Verhaltens genutzt wird.42 Dies bedeutet, dass nur Merkmale verwendet werden sollen, die die betroffene Person selbst beeinflussen kann.43 Praxistipp Die Verwendung von Wahrscheinlichkeitswerten für Vertragszwecke ist nicht mehr frei. § 28b Nr. 1 BDSG postuliert im Ergebnis eine Dokumentationspflicht der verantwortlichen Stelle. Es empfiehlt sich bei der Entwicklung des Verfahrens, eine entsprechende Dokumentation vorzunehmen und in das gesamte Verfahren den betrieblichen Datenschutzbeauftragten mit einzubeziehen. Die Dokumentation muss die Relevanz der verwendeten Daten nachweisen und belegen, dass das verwendete Verfahren dem Stand der Wissenschaft entspricht.44 Wird das Verfahren eingekauft oder im Wege der Auftragsdatenverarbeitung ausgelagert, gilt dasselbe für Lieferanten oder Auftragnehmer entsprechend. Mit externen Dienstleistern (Entwicklern und Auftragnehmern) sind daher entsprechende Garantien zu vereinbaren. 50 Die Nr. 3 und Nr. 4 des § 28b BDSG beschäftigen sich mit der Verwendung von
Anschriftendaten. Danach dürfen nicht ausschließlich Anschriftendaten, insbesondere im Bereich der Berechnung der Kreditwürdigkeit, für Verhaltensprognosen herangezogen werden.45 Eine Definition des Begriffs „Anschriftendaten“ kennt das BDSG nicht. Teilweise wird eine restriktive Begriffsauslegung vertreten.46 Danach sind unter Anschriftendaten solche zu verstehen, die eine örtliche Zuordnung begründen und
39 Vgl. Bergmann/Möhrle/Herb, § 28b BDSG Rn 33; Hümmerich/Boecken/Düwell/Gola, § 28b BDSG Rn 5, nach dessen Ansicht für die Verarbeitung von Beschäftigtendaten entgegen dem Wortlaut § 32 BDSG einschlägig sein soll. 40 Insoweit kann auf die Ausführungen zur Informationsbeschaffung verwiesen werden. 41 Vgl. Bergmann/Möhrle/Herb, § 28b BDSG Rn 34; Hoeren, VuR 2009, 363, 367. 42 Leistungs- und Verhaltensanalysen für die Vergangenheit können nicht auf § 28b BDSG gestützt werden, vgl. Gola/Schomerus, § 28b Rn 7; Erbs/Kohlhaas/Ambs, § 28b BDSG. 43 Bergmann/Möhrle/Herb, § 28b BDSG Rn 25. 44 Vgl. Gola/Schomerus, § 28b Rn 12. 45 Vgl. Gola/Schomerus, § 28b Rn 14. 46 Vgl. Kilian/Heussen/Polenz, Teil 13 Materielles allgemeines Datenschutzrecht Rn 87.
Abel
B. Prozesse vor der Entstehung von Forderungen
585
neben Straße/Postfach auch Wohnort und Postleitzahl umfassen.47 Werden, neben anderen personenbezogenen Daten, auch Anschriftendaten verwendet, ist der Bertoffene davon vor der Verwendung zu informieren und diese Unterrichtung zu dokumentieren.48 Praxistipp Da die verantwortliche Stelle die Beweislast für das Vorliegen einer Unterrichtung des Betroffenen über die Verwendung von Anschriftendaten trägt, ist es angeraten, eine rechtssichere Form der Dokumentation zu wählen.49 Die Unterrichtung kann auch im Wege Allgemeiner Geschäftsbedingungen erfolgen. Dabei sollte darauf geachtet werden, dass diese innerhalb des Klauselwerkes besonders hervorgehoben wird oder ein zusätzlicher Hinweis erfolgt.50
dd) Verhältnis zu § 10 Abs. 1 KWG Im Bereich des Kredit-Scorings stellt sich jedoch die Frage, inwieweit die Regelung 51 des § 28b BDSG Anwendung findet bzw. die Vorschriften des KWG Vorrang haben.51 Die Frage ist insbesondere im Bereich des § 10 Abs. 1 KWG von Interesse, da sich danach für Kreditinstitute andere Anforderungen bei der Durchführung von ScoringVorhaben ergeben als bei § 28b BDSG und kein Kreditinstitut bereit sein wird, zwei getrennte Systeme zu schaffen, um den verschiedenen Anforderungen gerecht zu werden.52 Während § 10 Abs. 1 S. 3 i. V. m. S. 5 KWG eine Datenverarbeitung zur Risikobewertung auch dann erlaubt, wenn dies zur Weiterentwicklung interner Ratingsysteme dienlich ist und bei nachvollziehbarer wirtschaftlicher Betrachtungsweise für die Bestimmung und Berücksichtigung von Adressenausfallrisiken erheblich sein können, dürfen Angaben über die Staatsangehörigkeit oder Daten nach § 3 Abs. 9 BDSG53 nicht durch Kreditinstitute erhoben und verarbeitet werden.54 Aus dem Subsidiaritätsgrundsatz des § 1 Abs. 3 BDSG folgt, dass § 28b BDSG sowie 52 alle Bestimmungen des BDSG insoweit keine Anwendung finden, als eine anderwei-
47 Vgl. Bergmann/Möhrle/Herb, § 28b BDSG Rn 39; Hoeren, VuR 2009, 363, 367; E-Mailadressen unterfallen dagegen nicht dem Begriff der Anschriftendaten, vgl. Gola/Schomerus, § 28b Rn 14. 48 Die Dokumentation ist grundsätzlich an keine Form gebunden, vgl. Bergmann/Möhrle/Herb, § 28b BDSG Rn 48. 49 Bergmann/Möhrle/Herb, § 28b BDSG Rn 48. 50 Vgl. Bergmann/Möhrle/Herb, § 28b BDSG Rn 44. 51 Vgl. BeckOK DatenSR/von Lewinski, § 28b Rn 13. 52 Vgl. Simitis/Ehmann, § 28b Rn 19. 53 Darunter fallen Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben. 54 Vgl. Taeger/Gabel/Mackenthun, § 28b Rn 40 und 43; Boos/Fischer/Schulte-Mattler/Boos, § 10 Rn 22.
Abel
586
Kapitel 11 Datenschutz im Credit Management
tige Rechtsvorschrift des Bundes den Sachverhalt, der Gegenstand einer Regelung des BDSG ist, abweichend regelt. Eine solche Regelung findet sich in § 10 Abs. 1 S. 2 bis 8 KWG.55 Laut § 10 Abs. 1 S. 3 KWG ist es danach Kreditinstituten erlaubt, personenbezogene Daten von (potenziellen) Kunden zu erheben, soweit die Daten für unter Zugrundelegung wirtschaftlicher Maßstäbe für das Scoring erheblich sind und für den Aufbau, den Betrieb und die Weiterentwicklung der Systeme für die Schätzung von Risikoparametern des Adressausfallrisikos erforderlich sind.56 Soll die Berechnung des Ausfallwertes zur Ermittlung der Eigenkapitaldeckung 53 durch das Kreditinstitut selbst durchgeführt werden, d. h. mittels internen Scorings, richtet sich die Zulässigkeit nach dem KWG als lex specialis.57 Bezieht sich das Scoring durch Kreditinstitute dagegen nicht auf die Bewertung 54 der Eigenkapitalunterlegung des Kreditinstitutes anhand des sog. Adressenausfallrisikos, ist der zugrunde zu legende rechtliche Maßstab nicht ohne Weiteres zu bestimmen. Denn § 28b BDSG findet insoweit nur auf Scoring-Verfahren Anwendung, als das KWG keine Regelungen enthält, die dem Anwendungsbereich des BDSG vorgehen.58 Nach wortlautgetreuer Auslegung würde dies bedeuten, dass § 10 Abs. 1 S. 3 BGSG insoweit keine bereichsspezifische Sonderregelung darstellen würde, womit der Abwendungsbereich des § 28b BDSG eröffnet wäre. Eine solche Differenzierung erscheint nicht interessengerecht. Häufig wird sich keine scharfe Trennlinie für den Berechnungsgrund ziehen lassen, sodass im Hinblick auf Rechtssicherheit die Bewertung des Kreditausfallrisikos beim Kredit-Scoring dem Adressenausfallrisiko gleichzusetzen ist.59 Folgerichtig muss sich das interne Kredit-Scoring an den Voraussetzungen des KWG messen lassen, da insoweit der Anwendungsbereich des § 28b BDSG aufgrund von § 1 Abs. 3 BDSG nicht eröffnet ist.60 Praxistipp Es empfiehlt sich dennoch aus Gründen der Rechtssicherheit, soweit möglich, die Verwendung sowohl an den Voraussetzungen des § 10 Abs. 1 S. 3 KWG als auch an § 28b BDSG zu messen. 55 Der sich aus § 1 Abs. 3 BDSG ergebende Subsidiaritätsgrundsatz birgt weiterhin in dem
Fall Probleme, soweit die Berechnung des Scorewertes nicht durch das Kreditinstitut
55 Vgl. Taeger/Gabel/Mackenthun, § 28b Rn 34. 56 Vgl. Taeger/Gabel/Mackenthun, § 28b Rn 36. 57 Vgl. Hoeren/Sieber/Holznagel/Helfrich, Teil 16.4 Rn 99; der Auskunftsanspruch nach § 34 BDSG bleibt jedoch neben § 10 Abs. 1 KWG bestehen, da das KWG insoweit keine eigenen Regelungen erhält, vgl. Taeger/Gabel/Mackenthun, § 28b Rn 44. 58 Vgl. i. E. Taeger/Gabel/Mackenthun, § 28b Rn 44. 59 Vgl. Hoeren/Sieber/Holznagel/Helfrich, Teil 16.4 Rn 100. 60 A. A. wohl Kilian/Heussen/Polenz, Teil 13 Materielles allgemeines Datenschutzrecht Rn 89, der die Vorschriften des KWG und des BDSG nebeneinander anwenden möchte; ebenso Bergmann/Möhrle/ Herb, § 28b BDSG Rn 58.
Abel
B. Prozesse vor der Entstehung von Forderungen
587
selbst, sondern durch eine externe Stelle durchgeführt werden soll. Bedient sich ein Kreditinstitut externer Stellen, um die Berechnung des Ausfallrisikos durchführen zu lassen, wird teilweise vertreten, dass sich die Zulässigkeit der Bildung von Scorewerten sowie ihre Nutzung allein nach den Vorschriften des BDSG richten solle.61 Dem ist so nicht zuzustimmen. § 10 Abs. 1 KWG als bereichsspezifische Datenschutzregelung regelt das Scoring der Kreditinstitute für interne Zwecke.62 Werden die Berechnungen des Wahrscheinlichkeitswertes durch eine andere Stelle für das Kreditinstitut durchgeführt, so erfolgt dieser Verarbeitungsvorgang in aller Regel als Auftragsdatenverarbeitung i. S. v. § 11 BDSG und bleibt somit ein interner Vorgang. Etwas anderes gilt nur dann, wenn das Kreditinstitut die Erstellung der Scorecard und die Berechnung des Scores vollständig auslagert.63
ee) Sanktionen Werden Scoring-Verfahren, auf die § 28b BDSG anwendbar ist, unter Verstoß gegen 56 diese Vorschrift eingesetzt, besteht keine bußgeldrechtliche Sanktion. Allerdings sind die Nutzung und Übermittlung eines auf unzulässige Weise gewonnenen Scorewerts ihrerseits unzulässig, sodass die darauf beruhenden Ergebnisse möglicherweise als unrechtmäßige Datenverarbeitung gelten und eine etwaige Übermittlung des unzulässigerweise gewonnenen Wahrscheinlichkeitswertes aus diesem Grunde stets gegen schutzwürdige Belange des Betroffenen verstoßen würde und von daher einer Übermittlung nicht zugänglich ist (§ 28 Abs. 1 Nr. 2 und Abs. 2 Nr. 2 BDSG). Die Verarbeitung eines unzulässigen Ergebnisses ist somit gem. § 43 Abs. 2 Nr. 1 BDSG bußgeldbewehrt. Eine Verwendung von Daten für die Scorebildung, die unter Verstoß gegen §§ 28, 29 BDSG erhoben und/oder übermittelt wurden, ist hingegen bußgeldbewehrt (§§ 43 Abs. 2 Nr. 1 BDSG).
b) Automatisierte Entscheidungssysteme Vielfach werden vor allem im Massengeschäft zur Prüfung der Frage, ob ein Vertrags- 57 schluss mit einem unbekannten Kunden generell und zu welchen Bedingungen in Betracht kommen soll, automatisierte Entscheidungssysteme verwendet.
61 Vgl. Hoeren/Sieber/Holznagel/Helfrich, Teil 16.4 Rn 100; a. A. wohl Gürtler/Kriese, RDV 2010, 47, 49, vgl. Bergmann/Möhrle/Herb, § 28b BDSG Rn 58. 62 Vgl. Hoeren/Sieber/Holznagel/Helfrich, Teil 16.4 Rn 98. 63 Simitis/Ehmann, § 28b Rn 58 f.
Abel
588
Kapitel 11 Datenschutz im Credit Management
aa) Verfahren und Rechtsfolgen gem. § 6a BDSG
58 Die Nutzbarkeit automatisierter Einzelentscheidungen regelt § 6a BDSG. Diese Bestim-
mung betrifft Datenverarbeitungsverfahren, in denen Entscheidungen ausschließlich auf eine automatisierte Verarbeitung personenbezogener Daten gestützt werden. Ziel dieser Regelung ist es, den Betroffenen davor zu schützen, automatisierten Entscheidungen unterworfen zu werden, die allein durch die Anwendung von Algorithmen ohne menschliche Beteiligung getroffen werden. Die Bestimmung eröffnet dem Betroffenen die Möglichkeit, die zugrundeliegenden Angaben und Bewertungsmaßstäbe zu erfahren und ggf. auf die Entscheidung noch Einfluss nehmen zu können. Dabei hat der Betroffene Anspruch auf Mitteilung der „wesentlichen Gründe“ für die Entscheidung und darüber hinaus, ergänzend zu den allgemeinen Auskunftsansprüchen des § 34 BDSG, auf Auskunft über den logischen Aufbau der automatisierten Verarbeitung.64 Zu beachten ist dabei, dass § 6a BDSG nicht etwa einen Erlaubnistatbestand 59 für automatisierte Einzelentscheidungen enthält, sondern allein das Verfahren regelt. Die für eine Datenverarbeitung erforderliche gesetzliche Erlaubnis muss sich daher i. S. v. § 4 Abs. 1 BDSG aus der Einwilligung, dem allgemeinen Datenschutzrecht oder einer bereichsspezifischen Bestimmung ergeben. § 6a Abs. 3 BDSG erweitert die Rechte des Betroffenen um einen Anspruch auf Auskunft, um auf deren Grundlage eine inhaltliche Überprüfung der automatisierten Entscheidung zu ermöglichen.
bb) Verhältnis § 28b zu § 6a BDSG 60 Zwischen Scoring und automatisierter Einschätzung kann eine unmittelbare Verbindung bestehen. Dies zeigt sich insbesondere im Bereich des Kredit-Scoring. Nicht selten wird die Entscheidung über eine Kreditvergabe und/oder deren Bepreisung stark von dem Score-Ergebnis und damit von der darin zum Ausdruck kommenden Bewertung des Risikos abhängen, jedenfalls wird es die maßgebliche Grundlage dieser Entscheidung bilden. Insoweit ergänzen sich § 28b zu § 6a BDSG. Während § 28b BDSG allgemeine Bedingungen aufstellt, unter denen ein Score61 wert bei der Entscheidung über die Begründung, Durchführung oder Beendigung eines konkreten Vertragsverhältnisses mit dem Betroffenen überhaupt verwendet werden darf, behandelt § 6a BDSG die Frage, ob und unter welchen Voraussetzungen eine den Betroffenen belastende Entscheidung allein auf einen Scorewert gestützt werden darf. Das bedeutet, soweit ein Scorewert allein den für die Entscheidung maßgebenden Wert darstellt, müssen neben den Voraussetzungen des § 28b BDSG auch die Voraussetzungen des § 6a BDSG erfüllt sein.
64 Zu Auskunftsansprüchen im Einzelnen s. u. Rn 146 ff. Grenzen ergeben sich jedoch aus dem Betriebs-/Geschäftsgeheimnis der verarbeitenden Stelle, vgl. zur Auskunft über Score-Werte BGH, Urt. v. 28.1.2014 – VI ZR 156/13 – ZD 2014, 306.
Abel
B. Prozesse vor der Entstehung von Forderungen
589
Praxistipp Für eine zulässige automatische Entscheidung aufgrund von Scoring-Ergebnissen oder anderen festen Merkmalen ist frühzeitig eine inhaltliche Überprüfung und Bewertung der automatisierten Vorgaben erforderlich. Hier kommt insbesondere eine Vorabprüfung durch den Datenschutzbeauftragten in Betracht. Zudem kann es zu einer Überlappung der Begründungspflicht nach § 6a Abs. 2 Nr. 2 und der Auskunftspflicht über das Zustandekommen der Scorewerte nach § 34 Abs. 2 oder Abs. 4 kommen.
II. Limitsteuerung Neben der Bonitätsprüfung zukünftiger Kunden ist die ständige Überwachung des Kreditrisikos eine wesentliche Voraussetzung eines funktionierenden Credit Managements, um gezielt Verlustrisiken zu begrenzen.65 Ein Mittel dazu ist bei ständigen Vertragsverhältnissen die Festlegung eines Kreditlimits und im Anschluss daran dessen Überwachung.66 Bei einem einzelnen Unternehmen handelt sich datenschutzrechtlich um die Nutzung eigener Datenbestände, die der Vertragsdurchführung oder auch dem Abschluss neuer Verträge mit dem jeweiligen Kunden dient und daher gem. § 28 Abs. 1 Nr. 1 BDSG zulässig ist. Auch innerhalb einer Unternehmensgruppe kann eine Limitsteuerung ein taugliches Instrument zur Risikoverminderung sein, vor allem im Handel. Da jedoch datenschutzrechtlich kein Konzernprivileg besteht, sind die einzelnen Konzerntöchter untereinander und gegenüber ihrer Mutter Dritte. Werden also Daten über die Kreditinanspruchnahme zwischen den einzelnen Gesellschaften abgeglichen, handelt es sich dabei um eine Übermittlung, die nach § 28 Abs. 1 Nr. 2 oder nach § 28 Abs. 2 BDSG zu beurteilen ist. Handelt es sich, wie in den meisten Fällen, um die Nutzung eines zentralen Systems, unterliegt dessen Betrieb den Bestimmungen des § 29 BDSG. Es gelten damit dieselben Regelungen wie auch für eine Auskunftei. Diese rechtliche Einordnung lässt sich nicht durch die Vereinbarung einer Auftragsdatenverarbeitung zwischen dem Einzelunternehmen und der zentralen Stelle verändern, denn bei einer Auftragsverarbeitung müssen die Daten beim Auftragnehmer, also bei der als Dienstleisterin fungierenden zentralen Stelle, strikt voneinander getrennt bleiben (Nr. 8 der Anlage zu § 9 BDSG).67 Wird vom Auftragnehmer ein Abgleich zwischen den verschiedenen Beständen vorgenommen, findet daher auch dort eine Übermittlung statt, für die die gesetzlichen Voraussetzungen vorliegen müssen.
65 Vgl. Christians, S. 285; Hopt/Wohlmannstetter/Auerbach/Jost, S. 672. 66 Vgl. Paul, DStrR 2000, 482, 486. 67 Zu Auftragsdatenverarbeitung und Outsourcing siehe Kap. 4.
Abel
62
63
64
65
590
66
Kapitel 11 Datenschutz im Credit Management
Die Bestimmungen des § 28 Abs. 1 und Abs. 2 BDSG gestatten in aller Regel den Datenabgleich zwischen verschiedenen Konzerngesellschaften zur Einhaltung eines Kreditlimits. Aufseiten der Unternehmensgruppe besteht ein berechtigtes Interesse daran, die kreditorischen Risiken insgesamt auf einen Höchstbetrag zu begrenzen. Dazu ist ein Abgleich zwischen den einzelnen Gesellschaften erforderlich, um feststellen zu können, ob ein Kunde durch Einkäufe oder die Nutzung von Dienstleistungen auf offene Rechnung das für die Gruppe geltende Gesamtlimit einhält oder überschreitet. Schutzwürdige Gegeninteressen des Kunden sind nicht zu erkennen, da kein Anspruch auf die Lieferung auf offene Rechnung besteht und bei Limitüberschreitung vom Anbieter regelmäßig ein sicherer Zahlungsweg als Alternative angeboten wird.
C. Maßnahmen während bestehender Kundenbeziehungen I. Monitoring bei bestehenden Kundenbeziehungen 67 Die systematische Kontrolle, Analyse und Dokumentation der Zahlungsweise des
Kunden ist notwendige Voraussetzung für ein funktionierendes Forderungsmanagement.68 Dies wird in der Regel bei Dauerschuldverhältnissen der Fall sein. Notwendig dafür ist die fortlaufende Überprüfung des Zahlungsverhaltens des 68 Kunden im konkreten Vertragsverhältnis. Denn es können fortlaufend Änderungen eintreten, die Einfluss auf die Bonität des Vertragspartners haben. Sofern das Monitoring im eigenen Unternehmen stattfindet, bestehen datenschutzrechtlich keine Bedenken, da es sich hierbei um die Nutzung eigener Datenbestände handelt, die der Vertragsdurchführung dient und damit gem. § 28 Abs. 1 Nr. 1 BDSG zulässig ist. Beim Einsatz entsprechender Bewertungstools zur automatisierten Festlegung der jeweils erforderlichen Maßnahmen handelt es sich nicht um Scoring i. S. d. § 28b BDSG, sodass die einschränkenden Voraussetzungen dieser Norm hier keine Anwendung finden (siehe dazu oben Rn 43). Wird das Monitoring externalisiert, ist dies im gewerblichen Bereich (B2B) 69 grundsätzlich zulässig (siehe dazu oben Rn 30). Für Privatpersonen dürfen nach Ansicht der Aufsichtsbehörden Auskünfte zur 70 Bonität während des laufenden Vertragsverhältnisses und bis zum Zeitpunkt sämtliche Pflichterfüllung nur dann erfolgen, wenn das anfragende Unternehmen und der Betroffene in einem Dauerschuldverhältnis stehen, bei welchem das Wirtschaftsunternehmen das finanzielle Risiko trägt. Dies ist beispielsweise bei Ratenzahlungskre-
68 Vgl. Unrein/Üzmez, BC 2011, 176, 179.
Abel
C. Maßnahmen während bestehender Kundenbeziehungen
591
diten der Fall.69 Nicht als Dauerschuldverhältnis gilt hingegen die Einrichtung von Kundenkonten bei einem Kauf oder einzelnen Käufen im Distanzhandel. Ein Dauermonitoring solcher Kundenkonten ist in Bezug auf die Bonität dann in aller Regel unstatthaft.
II. Maßnahmen bei notleidenden Vertragsverhältnissen Trotz Überprüfung der Kreditwürdigkeit neuer Kunden können sich diese später 71 als zahlungsunfähig oder zahlungsunwillig erweisen. In anderen Fällen geraten Kunden, die zunächst solvent sind, im Laufe der Geschäftsbeziehung in wirtschaftliche Schwierigkeiten und können offene Forderungen nicht mehr, nicht mehr pünktlich oder nicht mehr vollständig bedienen. Im Zusammenhang mit der Durchsetzung offener Forderungen sind auch datenschutzrechtliche Fragestellungen zu beachten.
1. Forderungsrealisierung Das primäre Ziel eines Unternehmens wird immer in der Erfüllung seiner Forderung 72 liegen. Denn „nichts ist ärgerlicher, als wenn man für seine sorgfältig erbrachte fehlerfreie Leistung nicht bezahlt wird.“70 Zur Realisierung dieses Ziels ist innerhalb eines funktionierenden Forderungsmanagements ein strukturiertes System zur Forderungsrealisierung notwendig.
a) Mahnwesen Sobald ausstehende Zahlungen der Kunden überfällig werden, ist ein rasches, kon- 73 sequentes Mahnwesen erforderlich. Anderenfalls sinken erfahrungsgemäß die Chancen, die jeweilige Forderung noch beitreiben zu können.71 Ein Schuldner gerät grundsätzlich erst durch eine Mahnung in Verzug, soweit diese nicht ausnahmsweise nach § 286 Abs. 2 BGB entbehrlich ist. Praxistipp Im Unternehmen sollten interne Richtlinien zu einem einheitlichen Mahnwesen aufgestellt werden. Zu empfehlen sind klare Regelungen in Bezug auf Verantwortlichkeiten und Informationspflichten zwischen Vertrieb und Rechnungswesen.72 Die Mahnung selbst sollte aus Beweisgründen stets in schriftlicher Form und so erfolgen, dass deren Zugang nicht glaubwürdig bestritten werden kann.
69 Beschluss der obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich am 17./18.4.2008 in Wiesbaden. 70 Ueberfeldt, DStR 2012, 2298. 71 Vgl. Schäfer, BC 2008, 68, 69; Heidrich/Forgó/Feldmann/Kügel, C I 5.3. 72 Vgl. Unrein/Üzmez, BC 2011, 176, 179 f.
Abel
592
Kapitel 11 Datenschutz im Credit Management
Dazu können eine nachvollziehbare Dokumentation aus dem IT-System und neuerdings die Nutzung besonderer Übermittlungsformen wie z. B. E-Post dienen.
b) Inkasso
74 Teilweise wird das Debitorenmanagement ganz oder in Teilen und damit insbeson-
75
76
77
78
dere Buchhaltung, Mahnwesen und Rechnungsinkasso von Drittunternehmen übernommen.73 Bleiben Mahnungen fruchtlos, folgt der Inkassoprozess. Auch dieser kann entweder im eigenen Hause oder durch Rechtsdienstleister durchgeführt werden. Er wird vielfach ausgelagert, weil bei einer Bearbeitung im eigenen Hause gegenüber dem Schuldner keine Kosten der Rechtsverfolgung geltend gemacht werden können. Dies ist nur dann möglich, wenn die Zuhilfenahme von Inkassodienstleistung objektiv erforderlich und zweckmäßig war, etwa, weil das Unternehmen selbst über keine hinreichend leistungsfähige Abteilung verfügt74 und den Forderungseinzug an ein solches Unternehmen vergibt, das diese Leistungen auch in größerem Umfang für Dritte anbietet. Die für das jeweilige Outsourcing anwendbaren datenschutzrechtlichen Vorschriften richten sich danach, ob die Auslagerung der jeweiligen Tätigkeit im Wege der Auftragsverarbeitung i. S. v. § 11 BDSG oder als Funktionsübertragung erfolgt. Im Fall eines Auftragsverhältnisses gilt der Auftragnehmer datenschutzrechtlich als Teil der verantwortlichen Stelle, sodass der Datenaustausch mit dem Dienstleister wie ein interner Vorgang zwischen zwei Abteilungen der verantwortlichen Stelle angesehen wird und mangels Vorliegen einer Übermittlung dann auch nicht die Übermittlungsvoraussetzungen geprüft werden müssen.75 Die Grenzen zwischen Auftragsdatenverarbeitung und Funktionsübertragung sind zuvor nicht immer eindeutig. Generell wird jedoch eine Auftragsdatenverarbeitung dann angenommen, wenn der Dienstleister lediglich eine ausgelagerte Abteilung des Auftraggebers darstellt und der Auftraggeber die volle Verfügungsgewalt und Weisungs-, Bewertungs- und Entscheidungsbefugnis gegenüber dem Beauftragten besitzt.76 Bei der Auslagerung von Buchhaltung und Mahnwesen wird es sich, da es sich dabei um unselbstständige, in einem sehr kleinteilig festgelegten Rahmen durchzuführende Tätigkeiten handelt, durchweg um eine Auftragsdatenverarbeitung
73 Vgl. Dauner-Lieb/Langen/Kreße/Eckard, Anhang zu §§ 398 – 413 Rn 9. 74 Herrschende Meinung; MüKo-BGB/Ernst, § 286 Rn 157; Palandt/Grüneberg, § 286 Rn 46; vgl. BGH, Urt. v. 6.10.2010 – VIII ZR 271/09 – NJW 2011, 296. 75 Zum Outsourcing ausführlich Kap. 4. 76 Simitis/Petri, § 11 Rn 20 f.; Gola/Schomerus, § 11 Rn 9.
Abel
C. Maßnahmen während bestehender Kundenbeziehungen
593
handeln.77 Die Buchhaltung folgt exakt festgelegten Regeln, und auch das weitere Debitorenmanagement, vor allem das Mahnwesen, lässt sich im Einzelnen für den Auftragnehmer verbindlich festlegen. Somit erfolgt die Datenverarbeitung im Rahmen der Vertragsabwicklung und daher auf Basis der gesetzlichen Erlaubnis in § 28 Abs. 1 S. 1 Nr. 1 BDSG. Bei der Mandatierung von Anwälten oder Inkassounternehmen zur Rechtsver- 79 folgung handelt es sich dagegen um eine Funktionsübertragung, denn die Kanzleien bzw. Unternehmen beschränken sich nicht etwa auf die technische Durchführung von Verarbeitungsvorgängen, sondern sie erbringen materielle vertragliche Leistungen mithilfe der Datenverarbeitung und werden damit zur verantwortlichen Stelle.78 Die Übermittlung der für die Rechtsverfolgung erforderlichen Daten ist gem. § 28 80 Abs. 1 Nr. 1 BDSG im Rahmen der Abwicklung des mit dem Betroffenen geschlossenen Vertrages ohne Weiteres zulässig. Das Merkmal der Erforderlichkeit beschränkt das Recht zur Übermittlung auf die Daten, die für die Rechtsverfolgung benötigt werden. Insbesondere im vorgerichtlichen Inkasso bedarf es in aller Regel nicht der Überlassung von Detailinformationen wie etwa des Verlaufs einer medizinischen Behandlung bei Forderungen von Ärzten oder Krankenhäusern. Die Vorlage derartiger Angaben wird, wenn überhaupt, erst im gerichtlichen Verfahren notwendig sein.
c) Factoring Neben der eigentlichen Forderungsbeitreibung kommt auch die Fremdfinanzierung 81 in Form des Factoring in Betracht, bei dem die Forderungsaußenstände aus dem bestehenden Vertrag an einen Dritten, oft ein Finanzunternehmen oder Inkassounternehmen (Factor), übertragen werden.79 Vorteil gegenüber dem Eigeninkasso ist, dass dem Unternehmen (Zedenten) der Gegenwert der Forderung, abzüglich Gebühren, Vorfälligkeitszinsen und Risikoabschlag sofort ausbezahlt wird, was der eigenen Liquidität dient.80 Zudem wird regelmäßig das Ausfallrisiko von den Finanzunternehmen übernommen.81 Schließlich erspart sich das Unternehmen regelmäßig die mit Geltendmachung der Forderung anfallenden Kosten, da der neue Forderungsinhaber die gesamte Debitorenbuchhaltung von der Rechnungsstellung über das Mahnwesen bis hin zur Forderungsbeitreibung übernimmt.82
77 Taeger/Gabel/Gabel, § 11 BDSG Rn 19 m. w. N. 78 Simitis/Petri, § 11 Rn 23; Schaffland/Wiltfang, § 11 Rn 7 ff.; einhellige Auffassung der Aufsichtsbehörden für den nicht-öffentlichen Bereich; zahlreiche Beispiele bei Taeger/Gabel/Gabel, § 11 BDSG Rn 20. 79 Vgl. Dauner-Lieb/Langen/Kreße/Eckard, Anhang zu §§ 398 – 413 Rn 9. 80 Vgl. Langenbucher/Bliesener/Spindler/Sester, Teil 2 Kap. 18 Rn 1. 81 Vgl. Dauner-Lieb/Langen/Kreße/Eckard, Anhang zu §§ 398 – 413 Rn 9. 82 Vgl. Langenbucher/Bliesener/Spindler/Sester, Teil 2 Kap. 18 Rn 3.
Abel
594
82
Kapitel 11 Datenschutz im Credit Management
Rechtlich handelt es sich beim Factoring um einen Forderungsverkauf. Der neue Gläubiger hat gem. § 402 BGB Anspruch auf die Übergabe aller vertragsrelevanten Dokumente und Informationen. In diesem Rahmen stehen dem Erwerber (Zessionar) alle mit dem Vertrag zusammenhängenden Daten zu. Datenschutzrechtlich ist ein Gläubigerwechsel so lange unproblematisch, wie der Zedent keiner gesetzlichen, beruflichen oder vertraglichen Schweigepflicht unterliegt. Handelt es sich jedoch um Normadressaten des § 203 StGB, insbesondere um Ärzte, Steuerberater, Rechtsanwälte und auch um Personenversicherer,83 ist eine Herausgabe der jeweiligen Vertragsunterlagen nur mit einer Schweigepflichtentbindungserklärung des Betroffenen zulässig. Bei Versicherern sind zwar Vertragsgestaltungen denkbar, die dem Zedenten verbieten, auf die Vertragsakten zuzugreifen und lediglich die notwendigen Informationen über die Prämienforderungen, um die es in der Regel geht, zu erhalten,84 oder aufgrund deren der Zessionar als Hilfsperson des Versicherers agiert, ähnlich einem selbstständigen Versicherungsvertreter.85 Derartige Gestaltungen sind wegen der noch vorherrschenden Ansicht aber allenfalls für eine sog. Inkassozession, nicht jedoch für das einwilligungslose Factoring anwendbar. Praxistipp Das Forderungsfactoring ist datenschutzrechtlich grundsätzlich zulässig. Handelt es sich jedoch um Forderungen von Berufsgeheimnisträgern, insbesondere solchen aus dem Gesundheitswesen sowie Personenversicherern, bedarf es dazu einer ausdrücklichen Schweigepflichtentbindung durch den Betroffenen. Abweichende Gestaltungen sind zwar nicht völlig ausgeschlossen, aber wegen der bestehenden Strafandrohung riskant und bedürfen daher einer sehr sorgfältigen rechtlichen Prüfung.
2. Einmeldung offener Forderungen und vertragswidrigen Handelns
83 Neben der eigentlichen Forderungsrealisierung kann bei notleidenden Vertragsver-
hältnissen eine Einmeldung in eine Auskunftei oder ein Warnsystem ein geeignetes Mittel sein, um die Realisierung der Forderung zu fördern und gleichzeitig den redlichen Geschäftsverkehr vor Forderungsausfällen bei dem jeweiligen Schuldner zu warnen. Gleiches gilt für vertragswidriges Handeln, beispielsweise bei Mietverhältnissen, wenn ein Mieter nicht bezahlt, Schäden in der Wohnung anrichtet oder sich in Bezug auf Mitbewohner vertragswidrig verhält. Unter Einmeldung ist dabei die Übermittlung von Negativmerkmalen (ausstehende Forderungen, vertragswidriges Verhalten) und Positivdaten (Angaben zur ordnungsgemäßen Abwicklung von Vertragsverhältnissen) zu verstehen.86
83 Diese in § 203 Abs. 1 Nr. 6 StGB; BGH NJW 2010, 2509, 2511 Rn 19 m. w. N. 84 Vgl. Gödeke/Ingwersen, VersR 2010, 1153, 1155; Lehnsdorf/Mayer-Wegelin/Mantz, CR 2009, 62, 68. 85 BGH NJW 2010, 2509 m. w. N. 86 Vgl. Kilian/Heussen/Polenz, Teil 13 Materielles allgemeines Datenschutzrecht Rn 78.
Abel
C. Maßnahmen während bestehender Kundenbeziehungen
595
a) In Auskunfteien aa) Anwendbare Bestimmungen Die Zulässigkeit der Einmeldung von Forderungen in eine Auskunftei richtet sich seit 84 der BDSG-Novelle I 2009 seit dem 1.4.2010 nach § 28a BDSG. Zweck der Bestimmung ist die Schaffung von Rechtssicherheit bei der Übermittlung von Negativmerkmalen und gilt daher insbesondere für Inkassounternehmen. § 28a BDSG ersetzt und verdrängt als Spezialregelung innerhalb seines Anwendungsbereichs die allgemeinen Bestimmungen des § 28 Abs. 1 S. 1 Nr. 2 BDSG. Der Gesetzgeber ersetzt damit für den Sonderfall der Einmeldung in Auskunfteien die bisherige Interessenabwägung durch enumerativ festgelegte Erlaubnistatbestände. Sind diese erfüllt, bedarf es keiner weiteren Güterabwägung.87 Der Schutz der Persönlichkeitsrechte des Betroffenen wird durch das Transparenzgebot des § 34 BDSG und, im Falle fehlerhafter Auskünfte, durch die Korrektur- und Löschungsverpflichtungen des § 35 BDSG und/oder durch Schadensersatzansprüche des Betroffenen88 gewährleistet. § 28a Abs. 1 ermächtigt jede verantwortliche Stelle, die über forderungsbezogene 85 Daten verfügt,89 zur Einmeldung und betrifft Negativmerkmale über offene Forderungen. § 28a Abs. 2 gilt nur für Kreditinstitute und betrifft ausschließlich Positivda- 86 ten, d. h. Angaben über eine ordnungsgemäße Vertragsabwicklung. Die Einmeldung notleidender Kredite (NPL) richtet sich hingegen nach Abs. 1.
bb) Feste Tatbestände („Fünferkatalog“) statt Interessenabwägung Im Rahmen des § 28a BDSG findet keine Interessenabwägung mehr statt. Mit der 87 Einführung des § 28a BDSG wollte der Gesetzgeber die mit Rechtsunsicherheit behaftete Güterabwägung nach früherem Recht durch das Vorliegen klarer gesetzlicher Voraussetzungen ersetzen. Der Gesetzgeber verfolgte die erklärte Absicht, „durch die Einführung spezifischer Erlaubnistatbestände für bestimmte Datenverarbeitungen (z. B. für bestimmte Übermittlungen von Forderungen … an Auskunfteien)“ mehr Rechtssicherheit zu erreichen.90 Sind daher die einzelnen Tatbestandsvoraussetzungen des § 28a BDSG („Fünferkatalog“) erfüllt, darf die Übermittlung an Auskunfteien
87 OLG Frankfurt a. M., Urt. v. 16.3.2011 – 19 U 291/10 – ZD 2011, 35; Plath/Kamlah, § 28a Rn 20 f.; Däubler/Klebe/Wedde/Weichert, § 28a Rn 4; Simitis/Ehmann, § 28a Rn 24, 28; Taeger/Gabel/Mackenthun, § 28a Rn 9 f. 88 Vgl. bereits OLG Bamberg, Urt. v. 7.5.2004 – 6 U 59/03 –; AG Halle/Saale, Urt. v. 28.2.2013 – 93 C 3289/12 – auf der Grundlage von §§ 280 Abs. 1, 241 Abs. 2 BGB (n. v.); dazu Vahle, DSB 2013, 230. 89 Simitis/Ehmann, § 28a Rn 15. 90 BT-Drucks. 16/10529, S. 1 (Punkt „B. Lösung“); Simitis/Ehmann, § 28a Rn 1; BeckOK DatenSR/ Kamp, § 28a BDSG Rn 14; Gola/Schomerus, § 28a Rn 6; OLG Frankfurt a. M., Urt. v. 16.3.2011 – 19 U 291/10 – ZD 2011, 35.
Abel
596
Kapitel 11 Datenschutz im Credit Management
stattfinden. Dies erleichtert vor allem die Abwicklung in automatisierten Verfahren, da keine Einzelfallabwägung mehr erforderlich ist. Praxistipp Die Verfahren können die gesetzlichen Tatbestandsvoraussetzungen auch automatisiert abprüfen. Sie müssen jedoch so gestaltet sein, dass immer dann, wenn nicht die jeweils erforderlichen Tatbestandsmerkmale erfüllt sind, eine Einmeldung unterbleibt. Für Zweifelsfälle sollte eine händische Nachbearbeitung vorgesehen werden.
cc) Einmeldungsempfänger: Auskunftei 88 § 28a BDSG bezieht sich ausschließlich auf die Übermittlung an eine Auskunftei. Der Begriff Auskunftei ist nicht legal definiert. Allgemein wird unter Bezugnahme auf § 29 Abs. 6 BDSG unter einer Auskunftei ein gewerblich handelndes Unternehmen verstanden, das geschäftsmäßig und typischerweise gegen Entgelt Auskünfte über persönliche, insbesondere materielle Verhältnisse von Personen sammelt und kontinuierlich oder auf Nachfrage bereitstellt, um sie Dritten zur Erfüllung ihrer berechtigten Interessen zu übermitteln.91 Nicht unter den Auskunfteibegriff, der nach dem Willen des Gesetzgebers nur die 89 Sammlung und Weitergabe bonitätsrelevanter Daten betrifft,92 fallen allgemeine oder brancheninterne Warndienste, die vor Betrug oder Leistungsmissbrauch schützen sollen.93 Zu den Auskunfteien zählt heute auch die SCHUFA, obwohl es sich ursprünglich um einen Warndienst handelte.94
dd) Einmeldebefugnis
90 § 28a Abs. 1 ermächtigt zur Einmeldung jede verantwortliche Stelle, die über forde-
rungsbezogene Daten verfügt.95 Die Bestimmung beschreibt die möglichen übermittelnden Stellen mittelbar durch die Umschreibung des Übermittlungsgegenstandes „personenbezogene Daten über eine Forderung“. § 28a Abs. 1 BDSG enthält keine Beschränkung der Einmeldebefugnis in Hinsicht 91 auf die einmeldende Person.96 Einmeldebefugt ist demzufolge jede verantwortliche
91 Simitis/Ehmann, § 29 Rn 71 ff.; Taeger/Gabel/Taeger, § 29 Rn 20 f. 92 Amtl. Begründung, BT-Drucks. 16/10529, S. 9. 93 Z. B. das Hinweis-Informationssystem HIS-Uniwagnis der Versicherungswirtschaft, dazu Reif, RDV 2007, 4; zur Problematik des Versicherungsbetrugs Waschbusch/Knoll/Lucas, VW 2010, 810; zu Mieterwarndateien LfD Bremen, 27. Tätigkeitsbericht 2004, Tz. 14.8.1., abrufbar unter http://www. thm.de/zaftda/tb-bundeslaender/doc_download/89-27-tb-lfd-bremen-2004-16-578-vom-31-03-2005. 94 Simitis/Ehmann, § 29 Rn 90; Taeger/Gabel/Taeger, § 29 Rn 21. 95 Simitis/Ehmann, § 28a Rn 15. 96 Vgl. amtl. Begründung, BT-Drucks. 16/10529, S. 11.
Abel
C. Maßnahmen während bestehender Kundenbeziehungen
597
Stelle, die im Zusammenhang mit einer Forderung über personenbezogene Daten verfügt, die sich auf die Forderung beziehen.97 Für Rechtsdienstleister (Rechtsanwälte und Inkassounternehmen) ist die etwaige Einmeldung einer offenen Forderung in eine Auskunftei in aller Regel Bestandteil des Anwaltsvertrages bzw. des Inkassomandats, welches die vollumfängliche Geschäftsbesorgung umfasst.98 Praxistipp Beauftragt ein Gläubigerunternehmen einen Rechtsdienstleister mit der Einziehung seiner offenen Forderungen, sollte sicherheitshalber die Einmeldung der offenen Forderungen in eine Auskunftei mit in den Mandatsvertrag aufgenommen werden.
Es ist unerheblich, ob das einmeldende Inkassounternehmen als Rechtsdienstleis- 92 ter für seine Mandanten tätig wird oder beim Factoring für sich selbst als Gläubiger einmeldet. Das spielt auch schon deshalb keine Rolle, weil Wirtschaftsauskünfte nur das Zahlungsverhalten einer Person, nicht jedoch die jeweiligen Gläubiger enthalten. Bei der Übermittlung von Daten gem. § 28a Abs. 1 BDSG kommt es zu einer geteil- 93 ten Verantwortlichkeit zwischen der einmeldenden Stelle und der Auskunftei, denn die Befugnis zur Einmeldung ist zu unterscheiden von der Speicherung beim Empfänger und dessen Darstellungsweise. Die Auskunftei wird nach der Übermittlung verantwortliche Stelle und ist daher für die Art der Eintragung und der von ihr vorgenommenen Auskünfte gem. § 29 BDSG verantwortlich.99
ee) Fälligkeit der Forderung Die einzumeldende Forderung muss fällig sein. Das Tatbestandsmerkmal Fälligkeit 94 soll den Schutz des Betroffenen vor einer verfrühten Einmeldung bewirken, die auf der bloßen Behauptung einer angeblichen Zahlungsstörung beruht. Der Eintritt der Fälligkeit kann sich entweder aus gesetzlichen Regelungen ergeben (§ 271 Abs. 1 BGB) oder auch aus Vertrag, etwa in einem Vertrag über ein Gelddarlehen (§ 488 Abs. 1 BGB) oder aufgrund einer Vertragskündigung (für Gelddarlehen: § 488 Abs. 3 BGB).100 Die
97 Simitis/Ehmann, § 28a Rn 15 und Rn 7. 98 Zu eng Simitis/Ehmann, § 28a Rn 15 in Anlehnung an die Datenschutzrechtlichen Hinweise der Aufsichtsbehörde Baden-Württemberg, S. 4. Richtig daran ist nur, dass die Einmeldung vom Gläubiger vertraglich ausgeschlossen werden kann, was in der Praxis allerdings nur sehr selten vorkommt. 99 Diese Differenzierung kann Bedeutung für die Passivlegitimation bei Berichtigungs- oder Löschungsverlangen gewinnen, wenn die ursprüngliche Übermittlung (die Einmeldung) rechtmäßig ist und nur die Art der Eintragung beanstandet wird. Die einmeldende Stelle ist in diesem Falle nicht passivlegitimiert. Das gilt vor allem dann, wenn ein Rechtsdienstleister eine Einmeldung für seine Mandantin vornimmt. 100 Dazu OLG Frankfurt a. M., ZD 2011, 35, 36.
Abel
598
Kapitel 11 Datenschutz im Credit Management
Leistung ist nicht erbracht, solange bzw. soweit keine Erfüllung (§§ 362 ff. BGB), auch nicht durch Aufrechnung (§ 387 BGB) oder Hinterlegung (§ 272 BGB) eingetreten ist.101 95 Die Leistung ist auch dann nicht erbracht, wenn eine der beim Forderungseinzug häufigen Ratenzahlungsvereinbarungen getroffen wurde. Bei diesen handelt es sich um ein pactum de non petendo, also um einen zeitlich beschränkten Vollstreckungsvertrag, der dem Schuldner lediglich im Rahmen des Zwangsvollstreckungsverfahrens eine Einrede gewährt, der jedoch die Fälligkeit der Gesamtforderung nicht berührt.102 Das ist vor allem dann offensichtlich, wenn der Ratenzahlungsvereinbarung eine titulierte Forderung zugrunde liegt.103 Das gilt ebenso für den Fall eines gerichtlichen Vergleichs mit Ratenzahlungs96 vereinbarung. Der Vergleich beseitigt nicht das Bestehen der Gesamtforderung, sondern reduziert sie lediglich. Der Grundtatbestand, nämlich das Vorliegen einer insgesamt unbeglichenen Forderung, wird durch die gerichtliche Ratenvereinbarung nicht verändert. Zudem erfüllt ein gerichtlicher Vergleich das Tatbestandsmerkmal des § 28a Abs. 1 Nr. 1 BDSG, da es sich bei ihm um einen Schuldtitel i. S. d. § 794 ZPO handelt.104 Praxistipp Beim Abschluss von Ratenzahlungsvereinbarungen und auch bei gerichtlichen Vergleichen sollte sicherheitshalber neben einer Verfallklausel auch die Klausel mit aufgenommen werden, dass „durch diese Vereinbarung die Fälligkeit der Gesamtforderung nicht berührt wird“. Bei gerichtlichen Vergleichen empfiehlt sich zudem die Klausel, dass die Einmeldebefugnis in § 28a Abs. 1 Nr. 1 BDSG von dieser Vereinbarung nicht berührt wird.
ff) Erforderlichkeit der Einmeldung
97 Grundsätzlich muss die Übermittlung der Daten erforderlich sein, um die berech-
tigten Interessen der verantwortlichen Stelle oder eines Dritten zu wahren. Dazu zählt das Interesse der Wirtschaft an einem funktionsfähigen Informationssystem zum Schutz vor Forderungsausfällen oder auch vor betrügerischen Handlungen. Bei der Einmeldung durch Gläubiger oder deren Rechtsdienstleister handelt es sich um das Interesse Dritter an der Vermeidung von Forderungsausfällen oder sonstiger wirt-
101 BeckOK DatenSR/Kamp, § 28a BDSG Rn 45; Simitis/Ehmann, § 28a Rn 20 f. 102 LG Stuttgart, Urt. v. 7.3.2013 – 6 O 180/12 – n. v.; KG, Urt. v. 23.8.2011 – 4 W 43/11 –, das eine Stundung annimmt, die die Gesamtfälligkeit nicht berührt; ebenso BGH, Urt. v. 6.12.2012 – IX ZR 3/12 – NJW 2013, 940 Rn 29. 103 Informationen über titulierte Forderungen müssen deshalb in einer Auskunftei auch nicht gelöscht werden, solange der Gläubiger nicht vollständig befriedigt ist. 104 Taeger/Gabel/Mackenthun, § 28a Rn 13.
Abel
C. Maßnahmen während bestehender Kundenbeziehungen
599
schaftlicher Nachteile. Das genügt nach herrschender Meinung als Rechtmäßigkeitsvoraussetzung.105 Ein berechtigtes Interesse an der Einmeldung besteht nur dann nicht, wenn eine 98 Forderung offensichtlich rechtsmissbräuchlich erhoben wird, beispielsweise in den Fällen der sog. Abo-Fallen. Freilich kann ein Rechtsdienstleister in der Alltagspraxis, vor allem bei der automatisierten Abwicklung von Massengeschäften, Missbräuchlichkeit nicht immer im Vorhinein feststellen. Daher darf bis zu einem Bestreiten durch den Betroffenen oder bis zur rechtsverbindlichen Feststellung der Sach- und Rechtslage ein berechtigtes Interesse an der Einmeldung grundsätzlich unterstellt werden. Das ist datenschutzrechtlich unbedenklich, weil § 28a Abs. 1 Nr. 4 ein Korrektiv zugunsten des Betroffenen schafft, indem bereits das Bestreiten einer nicht titulierten bzw. nicht sonst amtlich festgestellten oder anerkannten Forderung die Einmeldung verhindert.
gg) Tatbestandsvoraussetzungen für eine Einmeldung offener Forderungen an Auskunfteien („Fünferkatalog“) (1) Amtlich festgestellte Zahlungsunfähigkeit und Anerkenntnis (Abs. 1 Nr. 1 – 3) Die Bestätigung der Forderung durch die Rechtsordnung106 oder den Betroffenen 99 selbst genügt, um eine Einmeldung zu rechtfertigen. Die Tatbestände des Abs. 1 Nr. 1 bis 3 umfassen die unterschiedlichen Formen, in denen die Zahlungsunfähigkeit oder Zahlungsunwilligkeit amtlich und insbesondere in vollstreckbarer Form festgestellt oder vom Betroffenen ausdrücklich anerkannt wurde. Damit hat der Gesetzgeber den Grundgedanken einer einheitlichen Rechtsordnung zum Ausdruck gebracht: Solange durch die nicht ausgeglichene Forderung eine Störung der Rechtsordnung vorliegt, muss der redliche Rechtsverkehr durch die Kenntnis dieser Störung davor geschützt werden, das Risiko einer weiteren Störung der Rechtsordnung einzugehen, das eintreten würde, wenn er von der Störung keine Kenntnis hätte.107 Daher korrespondiert der Berechtigung zur Einmeldung auch eine Berechtigung der Auskunftei zur Speicherung und Beauskunftung, die mindestens die Dauer der Durchsetzbarkeit einer amtlich festgestellten Forderung umfasst, solange diese nicht vollständig erfüllt ist. Demzufolge darf eine titulierte Forderung, die nie erfüllt wurde, bis zu dreißig Jahre als notleidend eingemeldet bleiben, denn sie ist ein unmissverständliches Indiz für
105 Herrschende Meinung. Für alle: Simitis/Ehmann, § 28a Rn 23 ff.; Plath/Kamlah, § 28a Rn 21; Gola/ Schomerus, § 28a Rn 7. 106 Gola/Schomerus, § 28a Rn 8. 107 Das Interesse der Wirtschaft an einem funktionsfähigen Informationssystems zum Schutz vor Forderungsausfällen oder Betrug wird von der höchstrichterlichen Rechtsprechung seit jeher anerkannt, vgl. nur BGH, Urt. v. 19.11.1985 – III ZR2013/83 – NJW 1984, 1889.
Abel
600
Kapitel 11 Datenschutz im Credit Management
Zahlungsunfähigkeit oder Zahlungsverweigerung.108 Das hat Bedeutung insbesondere für den Forderungskauf, bei dem vielfach auch betagte Forderungen mit erworben werden.
(a) Übermittlung aufgrund eines Urteils oder eines Titels (Nr. 1)
100 Die Forderung muss durch ein rechtskräftiges oder durch ein für vorläufig vollstreck-
bar erklärtes Urteil festgestellt sein. Es spielt dabei keine Rolle, wann und vor welchem Gericht das Urteil ergangen ist109 oder unter welchen Voraussetzungen das Urteil für vorläufig vollstreckbar erklärt worden ist.110 Eingemeldet werden dürfen auch Forderungen, für die Vollstreckungstitel gem. § 794 ZPO vorliegen. Das sind gerichtliche Vergleiche, Kostenfestsetzungsbeschlüsse, Vollstreckungsbescheide, vollstreckbare Schiedssprüche, vollstreckbare europäische Zahlungsbefehle und solche Urkunden, in denen sich der Schuldner einer sofortigen Zwangsvollstreckung in sein Vermögen unterwirft. Vom Gesetzeswortlaut nicht erfasst werden hingegen Schuldtitel öffentlich-recht101 licher Art, z. B. Gebührenbescheide oder Schuldtitel über rückständige Kammerbeiträge (z. B. § 84 BRAO).111 Auch wenn das Gesetz dies nicht ausdrücklich anordnet, ist das Erfordernis einer 102 Karenzzeit nach Erlass, Vollstreckbarkeitserklärung, Zustellung und/oder Rechtskraft eines Schuldtitels gem. Nr. 1 vor der Einmeldung anerkannt, um dem Schuldner Gelegenheit zur Begleichung der Forderung zu geben. Sie sollte mindestens eine Woche betragen.112
108 Der Gesetzgeber schreibt in § 35 Abs. 2 Nr. 4 BDSG jedoch im Vierjahresrhythmus eine Überprüfung der Notwendigkeit einer weiteren Speicherung vor. Ob dies so ist, unterliegt nach Gesetzeswortlaut und Gesetzessystematik der Beurteilung der verantwortlichen Stelle und ist wie jede Prüfung ergebnisoffen, BT-Drucks. 16/10529, S. 18 zu Nr. 9; Taeger/Gabel/Meents-Hinzpeter, § 28a Rn 29; die zyklische Prüffrist ist bewusst keine Löschungsverpflichtung. Nur bei einem negativen Prüfergebnis muss gelöscht werden („anderenfalls“), sonst jedoch nicht, BGH NJW 2003, 2904, 2905. Das verkennt Krämer, NJW 2012, 3201, 3205, indem er die Prüffrist als Löschungsbefehl deutet. 109 Einer weiteren Güterabwägung bedarf es nicht, OLG Frankfurt a. M., Beschl. v. 13.7.2010 – 19W33/10 – MMR 2010, 792. 110 Plath/Kamlah, § 28a Rn 22; Simitis/Ehmann, § 28a Rn 34 ff.; Däubler/Klebe/Wedde/Weichert, § 28a Rn 5. 111 Plath/Kamlah, § 28a Rn 22. 112 Däubler/Klebe/Wedde/Weichert, § 28a Rn 5; Kamlah plädiert in Anlehnung an § 807 Abs. 1 Nr. 4 ZPO für eine Übermittlung erst nach zwei Wochen, Plath/Kamlah, § 28a Rn 22.
Abel
C. Maßnahmen während bestehender Kundenbeziehungen
601
(b) Übermittlung aufgrund Feststellung im Insolvenzverfahren (Nr. 2) Amtlich festgestellt ist auch eine im Insolvenzverfahren in die Tabelle eingetragene 103 Forderung. Zwar handelt es sich nicht um einen Schuldtitel i. S. d. Nr. 1. Die Eintragung hat jedoch die Wirkung eines rechtskräftigen Urteils (§ 178 Abs. 3 InsO).
(c) Übermittlung aufgrund Anerkenntnisses (Nr. 3) Der Schuldner muss die Forderung ausdrücklich anerkannt haben. Die Anerkennung nach Nr. 3 erfordert einen eindeutigen Erklärungswert. Tatbestandlich ausreichend ist jede aktive Forderungsbestätigung durch den Schuldner.113 Dies gilt z. B. in gerichtlichen Verfahren etwa bei einer zu Protokoll gegebenen Erklärung.114 Diese Fälle können vor allem dann von Bedeutung sein, wenn der Betroffene durch ausdrückliche Erklärung vor Gericht anerkannt hat, der daraufhin ergehende Titel jedoch noch nicht erlassen, zugestellt oder rechtskräftig geworden ist. Rein konkludente Handlungen wie etwa eine kommentarlose Teilzahlung genügen hingegen den Anforderungen der Nr. 3 nicht. Für das Anerkenntnis ist zwar keine bestimmte Form vorgeschrieben. Es muss jedoch ausdrücklich erfolgt sein, sodass der Einmeldende, der sich darauf beruft, die Abgabe des Anerkenntnisses nachweisen muss, was in der Regel eine Dokumentation in Schrift- oder Textform nahelegt. Bei internetgestützten Vorgängen wird das unterlassene Auskreuzen einer vorausgefüllten Erklärung („Opt-out“) ebenso wenig als ausreichende Erklärung gelten wie das nur einmalige Anklicken eines Kästchens. Hier kann sich ein sog. Double-Opt-in-Verfahren anbieten.115 Eine vom Schuldner anerkannte Forderung ist nach allgemeiner Ansicht jedoch dann nicht nach Nr. 3 einmeldefähig, wenn der Betroffene Gegenansprüche gelten macht, z. B. die Aufrechnung erklärt. Denn dadurch entfällt das berechtigte Interesse des Gläubigers an der Übermittlung der Angaben.116
104
105 106
107
(2) Übermittlung bei sonstigen Forderungen (Nr. 4 und 5) (a) Forderungen im Mahnstadium (Nr. 4) Sind Forderungen weder amtlich festgestellt, noch vom Schuldner ausdrücklich aner- 108 kannt, unterliegt die Einmeldung den einschränkenden Voraussetzungen der Nr. 4. Die vier Voraussetzungen der Buchstaben a) bis d) müssen kumulativ vorliegen.
113 Taeger/Gabel/Mackenthun, § 28a Rn 15. 114 Simitis/Ehmann, § 28a Rn 42. 115 Die Frage der Rechtsgültigkeit derartiger digitaler Verfahren zur Abgabe von Erklärungen wird kontrovers beurteilt und im Wesentlichen vor dem Hintergrund der Einwilligung in werbliche Ansprache problematisiert; zum Meinungsstand in Rechtsprechung und Schrifttum Köhler/Bornkamm/ Köhler, § 7 UWG Rn 185 ff. 116 Taeger/Gabel/Mackenthun, § 28a Rn 15; amtl. Begründung, BT-Drucks. 16/10529, S. 14.
Abel
602
Kapitel 11 Datenschutz im Credit Management
Damit soll bewirkt werden, dass der Betroffene vor einer Einmeldung in eine Auskunftei ausreichend Gelegenheit erhält, die Forderung zu begleichen oder das Bestehen der Forderung zu bestreiten.117 Mittel dazu sind die Unterrichtung des Betroffenen über die bevorstehende Ein109 meldung, die Einräumung einer Karenzzeit von vier Wochen und das Erfordernis von mindestens zwei Mahnungen. Bestreitet der Schuldner die Forderung, ist eine Einmeldung nach Nr. 4 ausgeschlossen. Zu den Voraussetzungen im Einzelnen:
(b) Schriftliche Mahnungen
110 Der Betroffene muss nach Eintritt der Fälligkeit der Forderung mindestens zweimal
schriftlich gemahnt worden sein. Die Fälligkeit ist damit grundlegende Voraussetzung für die Einmeldefähigkeit der Forderung und richtet sich nach den Bestimmungen des BGB (§ 286 BGB). Der Begriff „Mahnung“ ist untechnisch zu verstehen. Darunter können sowohl die verzugsbegründenden Mahnungen als auch bloße weitere Zahlungsaufforderungen fallen.118 Erforderlich sind mindestens zwei „Mahn“schreiben, die das Schriftformerfor111 dernis erfüllen müssen (§ 126 Abs. 1 bzw. § 126a BGB). Wer diese Schreiben verschickt, ist unerheblich. So kann beispielsweise das erste Mahnschreiben vom Gläubiger und das zweite vom Inkassounternehmen stammen. Ein zeitlicher Abstand zwischen beiden Mahnschreiben ist nicht vorgesehen. Der Schutz des Schuldners wird durch die Karenzfrist von vier Wochen bis zur Einmeldung gewahrt.
(c) Vier-Wochen-Frist
112 Zwischen der ersten Mahnung/Zahlungsaufforderung i. S. d. § 28a und der Übermitt-
lung müssen mindesten vier Wochen liegen. Die Fristberechnung richtet sich nach § 187 Abs. 1, 188 Abs. 2 BGB. Die Mahnung/Zahlungsaufforderung stellt eine einseitige empfangsbedürftige Erklärung dar, sodass die Frist mit dem Zugang der Mahnung/ Zahlungsaufforderung beim Betroffenen beginnt.
(d) Unterrichtung über die bevorstehende Einmeldung
113 Die verantwortliche Stelle muss den Betroffenen rechtzeitig über die bevorstehende
Übermittlung unterrichten. Rechtzeitig bedeutet, dass dem Betroffenen noch die Möglichkeit verbleibt, in zumutbarer Weise die Forderung zu begleichen oder deren
117 BT-Drucks. 16/10529, S. 14. 118 Dazu im Einzelnen Simitis/Ehmann, § 28a Rn 51 ff.
Abel
C. Maßnahmen während bestehender Kundenbeziehungen
603
Bestehen zu bestreiten. Als angemessene Reaktionszeit werden Zeiträume zwischen einer Woche,119 acht Werktagen120 und zwei Wochen121 angesehen. Der Hinweis auf die bevorstehende Übermittlung erfüllt eine Warnfunktion. Er muss daher dem Schuldner die Konsequenzen der Einmeldung in allgemein verständlicher Form, stets aber in nüchtern-sachlichem Ton vor Augen führen. Die Ankündigung einer Einmeldung ist nur dann statthaft, wenn die Einmeldevoraussetzungen vorliegen. Hat z. B. der Schuldner der Forderung widersprochen, darf keine Einmeldung angedroht werden. Ob ein allgemein gehaltener Hinweis auf die Möglichkeit einer zukünftigen Einmeldung wettbewerbsrechtlich noch zulässig ist oder nicht, wird von der Rechtsprechung kontrovers beurteilt.122 Wird eine Forderung jedoch bestritten, ist nach wohl allgemeiner Ansicht auch die mittelbare, vom Vertragspartner so aufzufassende Drohung mit einer Einmeldung wettbewerbsrechtlich unzulässig.123 Für den Inhalt der Formulierungen gibt es keine zwingenden Vorgaben. Wie der Hinweis gestaltet ist, ist daher allein Sache des Gläubigers.124 Hierfür haben sich, vielfach in Abstimmung mit den zuständigen Aufsichtsbehörden, gängige Formulierungen eingebürgert, deren Vorteil vor allem in ihrer Kürze liegt, was der besseren Verständlichkeit für einen Laien und damit der vom Gesetzgeber gewollten Transparenz dient.125 Praxistipp 1 Als Beispiel kann etwa folgende Formulierung zugrunde gelegt werden: „Gemäß § 33 Abs. 1 des Bundesdatenschutzgesetzes (BDSG) teilen wir Ihnen mit, dass wir gemäß § 28 Abs. 1 Nr. 2 BDSG die zur Durchführung des Forderungseinzugs (bei Rechtsdienstleistern: unseres Einzugsmandats) notwendigen Daten zu Ihrer Person wie Name, Adresse, gegebenenfalls Voranschriften und Geburtsdatum sowie Daten zum Stand der Vorgangsbearbeitung (z. B. gerichtliches Mahnverfahren, Zwangsvollstreckungsmaßnahmen) speichern und für die Bearbeitung Ihres Falles verwenden. Wir weisen darauf hin, dass wir die nicht vertragsgemäße Abwicklung der von uns geltend gemachten Forderung an die Firmen XXX und YYY (Auskunfteien) übermitteln, wenn Sie dieser nicht widersprechen bzw. diese nicht ausgleichen. § 28a Abs. 1 Nr. 4 BDSG gestattet diese sog. Einmeldung nach
119 Gola/Schomerus, § 28a Rn 9. 120 Simitis/Ehmann, § 28a Rn 63. 121 Däubler/Klebe/Wedde/Weichert, § 28a Rn 8. 122 Für Zulässigkeit OLG Hamburg, Urt. v. 30.1.2013 – 5 U 174/11 – MMR 2013, 511; dagegen OLG Düsseldorf, Urt. v. 9.7.2013 – I-20 U 102/12 – MMR 2013, 647. 123 OLG Düsseldorf, Urt. v. 9.7.2013 – I-20 U 102/12 – MMR 2013, 647. 124 Die Aufsichtsbehörden können im Rahmen von § 38 Abs. 1 S. 2 BDSG im Rahmen ihrer Beratungsfunktion Hinweise geben. Diese haben aber lediglich empfehlenden Charakter. 125 Gelegentlich finden sich auch vonseiten einiger Aufsichtsbehörden längere Formulierungen bzw. Formulierungsvorschläge. Diese haben jedoch den Nachteil, dass sie wegen ihrer Ausführlichkeit und wegen ihrer juristischen Nomenklatur für einen Durchschnittsempfänger nicht mehr hinreichend verständlich sind.
Abel
114
115
116 117
604
Kapitel 11 Datenschutz im Credit Management
mindestens 2 schriftlichen Mahnungen und frühestens vier Wochen nach Versand der 1. Mahnung. Das gilt auch dann, wenn die Forderung von Ihnen ausdrücklich anerkannt wird (§ 28 a Abs. 1 Nr. 3 BDSG). Die Firmen XXX und YYY speichern die Daten, um ihren Vertragspartnern (z. B. Einzelhandels-, Versandhandels- oder sonstige Unternehmen, die wegen Vorleistungen wirtschaftliche Risiken eingehen, oder mit dem Forderungseinzug beauftragte Personen) Informationen zur Beurteilung Ihrer Kreditwürdigkeit geben zu können. Nähere Auskünfte über die zu Ihrer Person dort gespeicherten Daten erteilen auf Anfrage die genannten Auskunfteien. Sollten Sie die vorstehend genannte Forderung in der Zwischenzeit bestritten oder bereits vollständig ausgeglichen haben, betrachten Sie diesen Hinweis bitte als gegenstandslos.“
Praxistipp 2 Der Gläubiger muss im Zweifel den Zugang der Mahnungen und der Hinweise auf die bevorstehende Einmeldung beweisen. Reagiert der Schuldner nicht, sollte vorsorglich ein beweiskräftiges Zusendungsverfahren gewählt werden, wie z. B. Einwurf-Einschreiben.
(e) Unbestrittene Forderung
118 Der Betroffene darf die Forderung nicht bestritten haben. Damit soll erreicht werden,
dass der Betroffene vor den negativen Konsequenzen einer Einmeldung geschützt wird, wenn die Forderung in Wirklichkeit nicht oder nicht in diesem Umfang besteht. Das Bestreiten muss jedoch qualifiziert sein, d. h., es darf nicht ausschließlich zu dem Zweck erfolgen, die Einmeldung zu verhindern. Insoweit enthält die Vorschrift keine Änderung gegenüber der bis zu ihrem Erlass üblichen Praxis, wonach rechtsmissbräuchliches bzw. treuwidriges Bestreiten die Rechtmäßigkeit der Einmeldung nicht hindert.126 Wann ein Bestreiten als rechtsmissbräuchlich anzusehen ist, ist allerdings unklar, wird aber z. B. dann vorliegen, wenn das Bestreiten des Schuldners offensichtlich auf Zahlungsunwilligkeit oder -unfähigkeit beruht.127
(3) Forderungen, die zur fristlosen Kündigung berechtigen (Nr. 5)
119 Die Einmeldeerlaubnis in Nr. 5 betrifft ihrem Wesen nach Dauerschuldverhältnisse
wie z. B. Miete, Leasing oder pro rata temporis zu bedienende Darlehnsverpflichtungen. In diesen Fällen besteht nicht selten ein Interesse des Gläubigers daran, trotz Zahlungsverzuges am Vertrag festzuhalten. Daher genügt als Einmeldevoraussetzung die bloße Möglichkeit einer fristlosen Kündigung des jeweiligen Vertrags. Der Gläubiger ist also nicht gezwungen, den Vertrag tatsächlich zu kündigen. Die Kündigungs-
126 Amtl. Begründung, BT-Drucks. 16/10529, S. 14; Däubler/Klebe/Wedde/Weichert, § 28a Rn 9; Taeger/Gabel/Mackenthun, § 28a Rn 21; Plath/Kamlah, § 28a Rn 34; krit. Piltz/Holländer, ZRP 2008, 143, 145 und Fn 17. 127 Vgl. zum früheren Recht OLG Frankfurt a. M., Urt. v. 15.11.2004 – 23 U 155/03 – MDR 2005, 881.
Abel
C. Maßnahmen während bestehender Kundenbeziehungen
605
möglichkeit muss dabei stets auf Zahlungsrückständen beruhen; andere Kündigungsgründe kommen nicht in Betracht. Der Schutz des Schuldners wird dadurch gewahrt, dass bei besonders sensiblen Dauerschuldverhältnissen wie Mietverträgen oder Verbraucherdarlehen die fristlose Kündigung von strengen gesetzlichen Voraussetzungen abhängig ist (z. B. §§ 543, 498 BGB). Der Betroffene ist über die bevorstehende Übermittlung zu unterrichten.
hh) Nachmeldepflicht (§ 28a Abs. 3 BDSG) Die übermittelnde Stelle ist gem. § 28a Abs. 3 BDSG zur Nachmeldung von Verände- 120 rungen an die Übermittlungsempfänger verpflichtet. Zweck ist die Sicherstellung der Aktualität und Richtigkeit der bei Auskunfteien gespeicherten Daten. Diese Aktualisierungspflicht bezieht sich in erster Linie auf Negativmerkmale, etwa die Vergrößerung oder Rückführung von Verbindlichkeiten, erfasst aber auch bloße Adressänderungen. Werden Schulden ratenweise abgetragen, so ist auch die Verringerung des Schuldsaldos grundsätzlich mitteilungspflichtig, sofern es sich nicht um Bagatellbeträge handelt. Wo die Wesentlichkeitsgrenze liegt, hängt von den Verhältnissen im Einzelfall ab.128 Abträge von 100 € wären z. B. bei einer Schuld von 100.000 € zu gering, um einzeln bereits eine Nachberichtspflicht auszulösen, bei einem Schuldsaldo von 2.000 € jedoch nachzumelden. Die Verletzung der Nachmeldepflicht ist bußgeldbewehrt (§ 43 Abs. 1 Nr. 4a, 121 Bußgeld bis zu 50.000 € und etwaige Gewinnabschöpfung). Die Nachmeldepflicht besteht nur so lange, wie die Auskunftei Daten über den 122 Betroffenen gespeichert hat. Nach deren Löschung ist die Auskunftei zur Vermeidung unnötiger Übermittlungen gegenüber der einmeldenden Stelle insoweit löschberichtspflichtig.
b) Einmeldung in Warndateien Allgemeine oder brancheninterne Warndienste, die vor Betrug oder Leistungsmiss- 123 brauch schützen sollen, fallen nicht unter den Auskunfteibegriff,129 der nach dem Willen des Gesetzgebers nur die Sammlung und Weitergabe bonitätsrelevanter Daten betrifft.130 In Warndateien werden Daten „auffälliger“ und „schlechter“ Schuldner aufgeführt, um missbräuchliches bzw. vertragswidriges Verhalten oder sonstige
128 Die von Plath/Kamlah, § 28a Rn 73 genannte Größenordnung von 500 € oder drei Monaten erscheint recht hoch. 129 Z. B. das Hinweis-Informationssystem HIS-Uniwagnis der Versicherungswirtschaft, dazu Reif, RDV 2007, 4; zur Problematik des Versicherungsbetrugs Waschbusch/Knoll/Lucas, VW 2010, 810; zu Mieterwarndateien LfD Bremen, 27. Tätigkeitsbericht 2004, Tz. 14.8.1., http://www.thm.de/zaftda/tbbundeslaender/doc_download/89-27-tb-lfd-bremen-2004-16-578-vom-31-03-2005. 130 Amtl. Begründung, BT-Drucks. 16/10529, S. 9.
Abel
606
Kapitel 11 Datenschutz im Credit Management
Unregelmäßigkeiten aufzudecken und zu verhindern, ohne dazu die Kreditwürdigkeit der Betroffenen zu beurteilen.131 Für die Datenübermittlung an derartige Dienste gelten die allgemeinen Regeln des § 28 Abs. 1, 2 BDSG,132 die bei derartigen Übermittlungen eine Güterabwägung zwischen dem berechtigten Interesse des Gläubigers an der Übermittlung und etwaigen schutzwürdigen Ausschlussinteressen des Schuldners erfordern. Warn- und Hinweissysteme enthalten in aller Regel harte Fakten. Beispielsweise enthält die Kuno-Datei133 als gestohlen gemeldete oder sonst gesperrte Debitkarten, Sperrdateien im Handel enthalten Kontoverbindungsdaten (Kontonummer und Bankleitzahl bzw. IBAN), zu denen eine Rücklastschrift vorliegt. Für das Kreditmanagement relevant sind in diesem Zusammenhang vor allem 124 Sperrdateien, in die beispielsweise Rücklastschriften aufgenommen werden, die bei Käufen unter Nutzung des Lastschriftverfahrens (ELV-Verfahren) anfallen. Üblicherweise werden die Eintragungen wieder gelöscht, sobald die Forderung vollständig ausgeglichen ist. In derartigen Fällen sind in aller Regel keine überwiegenden Ausschlussinteressen des Schuldners an der Übermittlung in die Datei ersichtlich.
III. Setzen von Liefersperren/Kündigung 125 Bei Zahlungsstörungen kann ein Unternehmen neben Mahnung und gerichtlichen
Maßnahmen auch durch das Setzen von Liefersperren und, vor allem bei Dauerschuldverhältnissen oder Rahmenverträgen, notfalls durch eine Vertragskündigung reagieren. Dies entspricht der Zurücknahme der Kreditlinien bei Banken und Sparkassen. Datenschutzrechtliche Relevanz haben diese Maßnahmen dann, wenn sie entweder ausschließlich auf eine automatisierte Verarbeitung personenbezogener Daten gestützt werden, die der Bewertung einzelner Persönlichkeitsmerkmale dienen, oder wenn sie auf elektronischen Prognoseentscheidungen beruhen. Erfolgen vertragsrelevante Reaktionen ohne eine vorherige Überprüfung durch 126 Menschen, findet § 6a BDSG Anwendung. Danach ist die Verwendung eines derartigen automatisierten Entscheidungssystems nur gestattet, wenn dem Betroffenen, also dem anderen Vertragspartner, dieser Umstand mitgeteilt und ihm die Möglichkeit eingeräumt wird, sowohl die wesentlichen Gründe für diese Entscheidung zu erfahren, als auch entgegenstehende Gründe geltend zu machen und eine erneute Überprüfung zu verlangen.134
131 Vgl. BeckOK DatenSR/Kamp, § 28a BDSG Rn 40. 132 Simitis/Ehmann, § 29 Rn 90; Däubler/Klebe/Wedde/Weichert, § 28a Rn 1. 133 Kriminalitätsbekämpfung im unbaren Zahlungsverkehr durch Nutzung nichtpolizeilicher Organisationen, geführt vom EHI Retail Institute in Kooperation mit der Polizei und dem Hauptverband des Deutschen Einzelhandels; sie soll helfen, den Schaden durch den Betrug beim Einkauf mit der Debitkarte per Lastschrift einzudämmen. 134 Dazu im Einzelnen oben Rn 57 ff.
Abel
D. Datenverwendung nach Vertragsbeendigung
607
Bei der Verwendung von Prognoseentscheidungen (Scores) sind die Vorausset- 127 zungen des § 28b BDSG zu beachten, der die Verwendbarkeit von Scoring-Verfahren für vertragsrelevante Entscheidungen und damit auch für die Einschränkung von Kreditlimits und Zahlungszielen oder für eine Kündigung regelt. Diese Verfahren müssen dem Stand der Technik entsprechen, es dürfen nur für den Zweck erhebliche und nach anderen Vorschriften des BDSG überhaupt nutzbare Daten verwendet werden. Das Unterlaufen von Verarbeitungs- und Nutzungsverboten durch die Zwischenschaltung von Scoring-Verfahren ist damit ausgeschlossen. Eine Entscheidung über beispielsweise Liefersperren, Zurücknahme von Kre- 128 ditlinien oder die Kündigung des Vertrages darf nicht allein auf Anschriftendaten gestützt werden. Jede Verwendung von Anschriftendaten, d. h. Informationen über den Wohnort, unterliegt der Mitteilungspflicht an den Betroffenen.
D. Datenverwendung nach Vertragsbeendigung I. Ordnungsgemäße Vertragsbeendigung Nach ordnungsgemäßer Erfüllung eines Vertrags entfällt die zur Vertragsdurchführung durch § 28 Abs. 1 Nr. 1 BDSG gerechtfertigte Befugnis zur Datenerhebung, -verarbeitung und -nutzung. Zwar müssen die vertragsrelevanten Daten aufgrund handelsrechtlicher und steuerrechtlicher Vorschriften bis zu zehn Jahre aufbewahrt werden. In diesem Falle sind sie jedoch zu sperren (§ 35 Abs. 3 Nr. 1 BDSG). Allerdings besteht vielfach das Bedürfnis nach einer weiteren Speicherung der Kundendaten, typischerweise für Marketingzwecke, aber ebenso für die Einschätzung der Zahlungsfähigkeit von Kunden vor Abschluss eines weiteren Vertrages. Das ist vor allem dort der Fall, wo sporadisch oder kontinuierlich neue Verträge abgeschlossen werden, etwa im Beherbergungsgewerbe oder, vor allen Dingen, im Distanzhandel. Bedeutung für das Kreditmanagement hat eine längerfristige Speicherung von Kundendaten vor allem durch die Möglichkeit, das historische Kauf- und Zahlungsverhalten von Kunden zu kennen und für die Risikobeurteilung beim Abschluss neuer Verträge zu verwenden, etwa durch die Einräumung höherer Kreditlinien oder die Möglichkeit zum Kauf auf offene Rechnung oder einer Zahlung per Lastschrift. Die längerfristige Speicherung und Nutzung von Kundendaten, zu denen nicht nur das Zahlungsverhalten, sondern auch z. B. das Kaufverhalten gehört, ist nur unter eingeschränkten Bedingungen datenschutzrechtlich gestattet. § 35 Abs. 2 Nr. 3 schreibt eine Löschung der für eigene Zwecke verarbeiteten Daten vor, sobald deren Kenntnis für die Erfüllung des Zwecks der Speicherung nicht mehr erforderlich ist. Nach Wegfall des ursprünglichen Verarbeitungszwecks, also dem Abschluss und der Durchführung eines Vertragsverhältnisses, müssten daher die entsprechenden Daten mit Ausnahme der für steuerliche und handelsrechtliche Zwecke gesperrten Daten gelöscht werden. Abel
129
130
131
132
608
Kapitel 11 Datenschutz im Credit Management
Allerdings gestattet § 28 Abs. 1 Nr. 2 und Abs. 2 Nr. 1 eine Zweckänderung, soweit es zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung überwiegt. Berechtigtes Interesse ist jedes tatsächliche Interesse, das wirtschaftlicher oder ideeller Natur sein kann und von der Rechtsordnung gebilligt wird.135 Dazu zählt zum einen das Interesse an späteren Marketingmaßnahmen, für die allerdings die Sonderregelungen des § 28 Abs. 3 – 5 zu beachten sind. Zum anderen besteht ein berechtigtes Interesse am Erhalt der Informationen über 134 Vertragsschluss und Vertragsabwicklung durch die Kunden. Wie lange ein derartiges Interesse an der Aufbewahrung solcher Daten besteht, lässt sich nicht generell festlegen, sondern hängt ab von der Branche und von der Art der Kundenbeziehungen und z. B. auch der gekauften Waren. Beim Kauf alltäglicher Gebrauchsgegenstände etwa werden die Daten von Kunden, die über längere Zeiträume bei dem betreffenden Händler nicht mehr einkaufen, eher gelöscht werden können als dies beim Erwerb hochwertiger und langlebiger Güter wie z. B. Möbeln oder Fahrzeugen der Fall sein wird. Ein weiterer Grund für die längerfristige Speicherung von Daten ordnungsgemäß abgeschlossener Verträge liegt beispielsweise in der Dauer etwaiger Gewährleistungsansprüche oder, bei Fahrzeugen, der nie auszuschließenden Möglichkeit von Rückrufaktionen. Da die Erforderlichkeit der Speicherung von Daten Tatbestandsmerkmal ist (§ 35 135 Abs. 2 Nr. 3 BDSG), muss vom Unternehmen bedacht und entsprechend dokumentiert werden. Anderenfalls kann sich die Speicherung mangels Erforderlichkeit als unzulässig erweisen. 133
Praxistipp Auch in Bezug auf Daten abgewickelter Vertragsverhältnisse bedarf es eines Sperr- und Löschkonzepts. Dieses erfordert die Festlegung der nach Erfüllung des Vertragszwecks neuen Speicherungszwecke, der Dauer der Speicherung und zweckmäßigerweise einer turnusmäßigen Überprüfung der weiteren Erforderlichkeit dieser Daten. Dieser Überprüfungsturnus kann sich an § 35 Abs. 2 Nr. 4 BDSG orientieren (alle vier bzw. drei Jahre). Unter diesen Voraussetzungen können eigene Datenbestände auch längerfristig für das Kreditmanagement nutzbar gemacht werden.
135 Gola/Schomerus, § 28 Rn 24; Schaffland/Wiltfang, § 28 Rn 85.
Abel
D. Datenverwendung nach Vertragsbeendigung
609
II. Vertragsbeendigung bei Zahlungsstörungen 1. Beendigung nach Forderungsausgleich Kommt es in einem Vertragsverhältnis zu Zahlungsstörungen, wird jedoch die Forde- 136 rung später ohne oder mit gerichtlicher Hilfe ausgeglichen, gelten dieselben Grundsätze wie bei ordnungsgemäß beendeten Vertragsverhältnissen. Allerdings besteht ein besonderes berechtigtes Interesse des Unternehmens an einer nicht zu kurzfristigen Speicherung der Unregelmäßigkeiten, da diese bei der Risikobewertung im Falle zukünftiger neuer Vertragsverhältnisse mit demselben Kunden eine Rolle spielen können. Zahlungsstörungen können allerdings auf unterschiedlichen Ursachen beruhen, 137 beispielsweise auf genereller Zahlungsunwilligkeit oder Betrugsversuchen, aber gleichermaßen auf persönlichen Umständen, die dauerhaft oder auch einmalig gewesen sein können. Daher sind bei der Speicherung solcher Daten die schutzwürdigen Interessen des Betroffenen besonders zu berücksichtigen. Dazu zählen Merkmale wie die absolute Höhe der Forderung, der Verdacht oder die Feststellung betrügerischen Handelns, Zahlungsausfällen infolge Krankheit, Unfall, Arbeitsplatzverlust oder Scheidung oder auch Leichtfertigkeit bei der Eingehung der Verbindlichkeit. Die nach § 28 Abs. 1 Nr. 2 i. V. m. § 28 Abs. 2 Nr. 1 vorgeschriebene Güterabwägung ist nur dann datenschutzgerecht vorgenommen, wenn derartige Merkmale angemessen berücksichtigt und gewichtet wurden. Praxistipp Die für die Speicherdauer maßgeblichen Gesichtspunkte und die dafür vorgenommene Güterabwägung können im Massengeschäft pauschal festgelegt werden. Sie sind jedoch in nachvollziehbarer Weise zu dokumentieren und von Zeit zu Zeit daraufhin zu überprüfen, ob sie noch den Gegebenheiten entsprechen.
2. Beendigung nach Zahlungsausfall In diesen Fällen kann das Vertragsverhältnis beendet werden z. B. durch Forderungs- 138 verkauf (zum Factoring siehe oben Rn 81) oder durch Ausbuchen. In beiden Fällen hat das Unternehmen ein berechtigtes Interesse an der länger- oder sogar langfristigen Kenntnis des Zahlungsausfalls bei einem bestimmten Kunden. Schutzwürdige Belange, die einer Speicherung dieser Information entgegenstehen, sind generell nicht ersichtlich, so dass in § 28 Abs. 2 Nr. 1 i. V. m. Abs. 1 Nr. 2 BDSG eine gesetzliche Erlaubnisnorm für die entsprechende Datenspeicherung innerhalb der eigenen Bestände besteht. Wurde die Forderung tituliert, bleibt der Titel 30 Jahre lang wirksam. Die zugrunde 139 liegenden Vertragsdaten dürfen bis zur Unwirksamkeit des Titels im Hinblick auf die spätere Geltendmachung im Wege der Zwangsvollstreckung gespeichert bleiben.
Abel
610
140
Kapitel 11 Datenschutz im Credit Management
Vielfach werden uneinbringliche Forderungen, sofern sie nicht veräußert werden, spezialisierten Inkassounternehmen zur Langfristbeobachtung überlassen, die dann in regelmäßigen Abständen überprüfen, ob der Schuldner wieder zahlungsfähig geworden ist. Auch in diesen Fällen müssen die für eine etwaige Zwangsvollstreckung bzw. die Abwehr einer Vollstreckungsgegenklage erforderlichen Angaben und Unterlagen, in der Regel in elektronisch archivierter Form, noch zur Verfügung stehen. Auch dies ist datenschutzrechtlich durch § 28 Abs. 2 Nr. 1 i. V. m. Abs. 1 Nr. 2 BDSG gestattet.
E. Transparenzpflichten 141 Das Unternehmen unterliegt vielfältigen Transparenzpflichten. Der Betroffene hat das
Recht zu erfahren, welche Daten über ihn gespeichert und verarbeitet werden. Das gilt im besonderen Maße für Daten, die im Rahmen des Kreditmanagements anfallen. Dieses Recht gilt als Grundlage der Betroffenenrechte und ist daher in besonderer Weise zu beachten.
I. Benachrichtigung 142 § 33 BDSG enthält eine Benachrichtigungspflicht des Betroffenen. Diese gilt jedoch
nur für die Fälle, in denen die Daten nicht unmittelbar beim Betroffenen erhoben werden (§ 33 Abs. 1 BDSG). Das ist beim Abschluss von Verträgen üblicherweise der Fall, sodass sich insoweit keine datenschutzrechtlichen Probleme ergeben. Die Kenntnisnahme der Speicherung durch das Unternehmen ersetzt jedoch nicht 143 das Wissen um die Übermittlung von Daten an Dritte, insbesondere an Auskunfteien. Das gilt in erster Linie für Adress- und Bonitätsabfragen. Eine Benachrichtigung ist generell nicht erforderlich, wenn der Betroffene auf andere Weise Kenntnis von der Datenerhebung, Speicherung und Nutzung hat (§ 33 Abs. 2 Nr. 1 BDSG). Wann dies der Fall ist, wird im Schrifttum unterschiedlich beurteilt. Insbesondere ist nicht völlig geklärt, wann ein durchschnittlicher Betroffener von der Speicherung seiner personenbezogener Daten zwar nicht positiv weiß, aber aufgrund der Umstände davon ausgehen muss, weil eine solche handelsüblich oder unvermeidbar ist.136 Beim Einsatz von Debitkarten, beim Kauf auf offene Rechnung und insbesondere 144 bei Bestellungen im Internet wird man heute davon ausgehen können, dass die Überprüfung der Angaben des Kunden sozialadäquat ist und jedermann mit einer solchen Prüfung ebenso wie mit einer Bonitätsprüfung rechnet. Dennoch kann es sinnvoll
136 Taeger/Gabel/Meents/Hinzpeter, § 33 Rn 30; Schaffland/Wiltfang, § 30 Rn 39; a. A. Däubler/Klebe/ Wedde/Weichert, § 33 Rn 25.
Abel
E. Transparenzpflichten
611
sein, die (kurze) Wartezeit bis zum Ergebnis der Überprüfung mit dem Hinweis etwa: „Einen Moment – Ihre Angaben werden überprüft“ zu überbrücken. Im Falle von Mahnungen wird wegen der Voraussetzungen des § 28a Abs. 4 BDSG 145 bereits auf ersten Anschreiben ein Hinweis auf die mögliche Übermittlung der offenen Forderung an Auskunfteien angebracht. Das ist grundsätzlich nicht zu beanstanden. Vorsicht ist allerdings dann geboten, wenn und solange die konkreten Einmeldevoraussetzungen noch nicht vorliegen. In der obergerichtlichen Rechtsprechung wird die Auffassung vertreten, dass ein solcher Hinweis von einem durchschnittlichen Empfänger als Drohung verstanden werden könnte, die geeignet sei, den Verbraucher zu einer Entscheidung zu veranlassen, die er anderenfalls nicht getroffen hätte und die seine Fähigkeit zu einer freien informationsgeleiteten Entscheidung erheblich beeinträchtige.137
II. Selbstauskunft 1. Allgemeines Laut § 34 Abs. 1 S. 1 BDSG kann der Betroffene Auskunft verlangen über die zu seiner 146 Person gespeicherten Daten, auch soweit sie sich auf die Herkunft dieser Daten beziehen, sowie über Empfänger oder Kategorien von Empfängern, an die Daten weitergegeben werden, und den Zweck der Speicherung. Diese sog. Selbstauskunft hat kostenlos zu erfolgen. Die Beschränkung auf eine kostenlose Auskunft pro Jahr gilt nur für Auskunfteien (§ 34 Abs. 8 BDSG). In diesem Zusammenhang wird es zunehmend üblich, dem Kunden Zugang zu 147 seinen personenbezogenen Daten über das Internet zu gewähren. Darin liegt eine effektive, kostengünstige und überzeugende Form der jederzeit verfügbaren Selbstauskunft.
2. Identitätsprüfung Bei der Erteilung einer Selbstauskunft handelt es sich um das Übermitteln personen- 148 bezogener Daten, die u. a. das Kauf- und Zahlungsverhalten, aber auch persönliche Angaben und Bankdaten enthalten können und entsprechend sensibel sind. Daher muss sich der Auskunftspflichtige über die Identität der Person, die die Selbstauskunft begehrt, sorgfältig vergewissern. Die vorsätzliche oder fahrlässige Übermittlung an einen Unberechtigten wäre gem. § 43 Abs. 2 Nr. 1 ordnungswidrig und mit einer Geldbuße bis zu 300.000 € bedroht, wodurch das Risiko einer Auskunft an die
137 OLG Düsseldorf, Urt. v. 9.7.2013 – I-20 U 102/12 – MMR 2013, 647, anders OLG Hamburg, Urt. v. 30.1.2013 – 5 U 174/11 – MMR 2013, 511.
Abel
612
Kapitel 11 Datenschutz im Credit Management
falsche Person das Unternehmen trifft.138 Daher sind angemessen hohe Anforderungen an die Legitimation zu stellen. Im Internet wird diese durch die Einrichtung eines passwortgeschützten Accounts erfüllt. Offline wird vielfach die Übermittlung von Ausweiskopien verlangt. Ungeklärt 149 ist die Frage, wann dies überhaupt erlaubt ist und ob und in welchem Umfange eine Schwärzung einzelner Partien des kopierten Ausweises zulässig oder sogar erforderlich ist. Zur Frage der Rechtmäßigkeit der Erstellung von Kopien sagt das Personalausweisgesetz nichts aus. Allerdings gibt es in Spezialgesetzen wie etwa dem Geldwäschegesetz, dem Telekommunikationsgesetz oder der Signaturverordnung Vorschriften, die die Vorlage einer Ausweiskopie verlangen. Für die Bereiche außerhalb dieser spezialgesetzlichen Regelungen, zu denen auch die Wirtschaft im Allgemeinen zählt, hat das Bundesministerium des Innern mit Blick auf die Erstellung von Kopien von Personalausweisen folgende Rahmenbedingungen formuliert, um den sicherheits- und datenschutzrechtlichen Bedenken gegen die Anfertigung von Ausweiskopien ausreichend Rechnung zu tragen: – Die Erstellung einer Kopie muss erforderlich sein. Dabei ist insbesondere zu prüfen, ob nicht die Vorlage des Personalausweises und ggf. die Anfertigung eines entsprechenden Vermerks (z. B. „Personalausweis hat vorgelegen“) ausreichend ist. – Die Kopie darf ausschließlich zu Identifizierungszwecken verwendet werden. – Die Kopie muss als solche erkennbar sein. – Daten, die nicht zur Identifizierung benötigt werden, können und sollen von den Betroffenen auf der Kopie geschwärzt werden. Dies gilt insbesondere für die auf dem Ausweis aufgedruckte Zugangs- und Seriennummer. Die Betroffenen sind auf die Möglichkeit und Notwendigkeit der Schwärzung hinzuweisen. – Die Kopie ist vom Empfänger unverzüglich zu vernichten, sobald der mit der Kopie verfolgte Zweck erreicht ist. – Eine automatisierte Speicherung der Ausweisdaten ist nach Personalausweisgesetz unzulässig.139 150 Nach Ansicht des Düsseldorfer Kreises sollten die Seriennummer und die sechsstel-
lige Karten-Zugangsnummer geschwärzt werden, damit diese Nummern nicht zum Auslesen der Daten aus dem kontaktlosen Chip oder zum Freischalten der PIN missbraucht werden können.140 Diese für Auskunftsbegehren aus Auskunfteien aufge-
138 Vgl. Gola/Schomerus, § 34 Rn 6; Taeger/Gabel/Meents/Hinzpeter, § 34 Rn 14 u. Fn 17; Simitis/Dix, § 34 Rn 43. 139 Zit. nach HessLDSB, 41. Tätigkeitsbericht, Tz. 2.1.2., abrufbar unter http://www.datenschutz. hessen.de/download.php?download_ID=275&download_now=1. 140 Düsseldorfer Kreis, zit. nach HmbBfDI, 23. Tätigkeitsbericht 2010/2011, S. 184, abrufbar unter https://www.datenschutz-hamburg.de/fileadmin/user_upload/documents/23._Taetigkeitsbericht_ Datenschutz_2010 – 2011.pdf; zur Nutzung von Personalausweisen vgl. Walter, DSB 2014, 58.
Abel
E. Transparenzpflichten
613
stellten Voraussetzungen sind nicht ohne Weiteres auf die Auskunftserteilung durch Unternehmen übertragbar. Der Düsseldorfer Kreis vertritt folgende Position: „Ein generelles Vervielfältigungsverbot von Pässen und Personalausweisen würde zu erheblichen Schwierigkeiten bei der praktischen Umsetzung des Auskunftsrechts der Betroffenen nach § 34 BDSG in den Fällen führen, in denen die Vorlage einer Personalausweis- oder Reisepasskopie zum Zwecke des Identitätsnachweises in strittigen Fällen erforderlich ist. Ist die Vorlage einer Ausweisoder Passkopie erforderlich, sind die Grundsätze der Datensparsamkeit und Erforderlichkeit zu beachten.“141
3. Missbräuchliches Auskunftsverlangen Missbräuchliche oder schikanöse Auskunftsverlangen brauchen nicht erfüllt zu 151 werden. Das ist z. B. dann der Fall, wenn Auskünfte offensichtlich „ins Blaue“ und, oft über Dritte, mittels vorgefertigter Kopien oder Textbausteine gestellt werden, in die nur noch die Absender eingetragen worden sind. Abgesehen davon, dass sich die Identität des Absenders in derartigen Fällen nicht zweifelsfrei feststellen lässt, lässt sich ebenso wenig erkennen, ob der vermeintliche Absender tatsächlich der Urheber des Schreibens ist, d. h., ob tatsächlich ein Betroffener Auskunft begehrt. Werden in solchen Anschreiben gescannte oder elektronisch erzeugte Unterschriften verwendet, sind diese nicht überprüfbar, erzeugen keine rechtliche Wirkung und können daher unbeachtlich bleiben. Rechtsmissbrauch ist auch dann anerkannt, wenn ein Auskunftsersuchen ohne 152 ersichtlichen Anlass nach kurzer Zeit, beispielsweise jede Woche, wiederholt wird. In einem solchen Fall kann die verantwortliche Stelle die Auskunft verweigern, bis neue Fakten gespeichert sind oder so viel Zeit verstrichen ist, dass nicht mehr von querulatorischem Verhalten die Rede sein kann.142 Vonseiten der Aufsichtsbehörden bestehen keine Bedenken, wenn derartige Schreiben unbeantwortet bleiben.143
4. Form und Frist der Selbstauskunft Die Selbstauskunft bedarf grundsätzlich keiner besonderen Form, muss aber auf Ver- 153 langen des Betroffenen in Textform erteilt werden, sofern nicht wegen der besonderen Umstände eine andere Form angemessen ist (§ 34 Abs. 6 BDSG). Die Textform (§ 126b BGB) kann durch Telefax, Computer-Fax, eine SMS oder eine E-Mail erfüllt werden.
141 Zit. nach HessLDSB, 41. Tätigkeitsbericht, Tz. 2.1.2., abrufbar unter http://www.datenschutz. hessen.de/download.php?download_ID=275&download_now=1. 142 Däubler/Klebe/Wedde/Weichert, § 34 Rn 19; Schaffland/Wiltfang, § 34 Rn 21. 143 So der LfDI Berlin in einer Stellungnahme vom 7.6.2010 an den Bundesverband Deutscher Inkassounternehmen.
Abel
614
Kapitel 11 Datenschutz im Credit Management
Es muss dabei erkennbar sein, dass die Auskunft von der dazu verpflichteten Stelle stammt. Auf die Person, die die Auskunft erteilt hat, kommt es dagegen nicht an.144 154 Eine Auskunftserteilung über elektronische Kommunikationswege (Telefax, SMS, E-Mail) muss sicherstellen, dass deren Inhalt ausschließlich der Betroffene zur Kenntnis erhält. Anderenfalls würde es sich um eine unzulässige und bußgeldbewehrte (§ 43 Abs. 2 Nr. 1 BDSG) Übermittlung an einen Unbefugten handeln. Diese Form der Auskunftserteilung kommt also nur in Betracht, wenn der Betroffene in seinem Auskunftsverlangen entsprechende Kommunikationsdaten selbst angegeben hat. Anderenfalls ist ein postalischer Brief erforderlich. Die Auskunftserteilung im Wege eines internetgestützten lesenden Zugriffs 155 auf die der Auskunft unterliegenden Daten ist in vielen Bereichen üblich geworden und als andere Form der Auskunftserteilung nach dem BDSG zulässig.145 Allerdings muss durch entsprechende Authentifizierungsverfahren (Registrierung und Zugriffskontrolle) sichergestellt sein, dass nur der Betroffene selbst Zugriff nehmen kann. Eine Frist für die Auskunftserteilung wird zwar vom Gesetz nicht vorgesehen, 156 jedoch ist anerkannt, dass hier der Grundsatz der Unverzüglichkeit gilt. Dabei sind die im Geschäftsverkehr üblichen Fristen zugrunde zu legen, wobei im Normalfall eine Beantwortung nach etwa zwei bis vier Wochen als angemessen gilt.146 Eine – kostensparende – gesammelte Bearbeitung von Auskunftsersuchen gilt als grundsätzlich zulässig, wenn sie in kurzen Zeitabständen geschieht, etwa in Abständen von ein bis zwei Wochen.147 Eine verspätete Auskunftserteilung kann gem. § 43 Abs. 1 Nr. 8a als Ordnungswidrigkeit geahndet werden.
5. Inhalt der Selbstauskunft
157 Der Auskunftsanspruch erstreckt sich auf alle zur Person des Betroffenen gespeicher-
ten Daten. Darunter fallen auch gesperrte Daten.148 Es geht somit immer um persönliche und sachliche Verhältnisse des Betroffenen (§ 3 Abs. 1 BDSG). Darunter fallen alle Angaben über den Betroffenen selbst, seine Identifizierung und Charakterisierung einschließlich von Werturteilen. Sachliche Verhältnisse sind Angaben über einen auf den Betroffenen beziehbaren Sachverhalt, z. B. seinen Grundbesitz, vertragliche oder sonstige Beziehungen zu Dritten, ggf. auch eine Dateibezeichnung, die als solche etwas Charakteristisches über den dort eingetragenen Betroffenen aussagt, z. B. „hartnäckiger Schuldner“.149
144 Simitis/Dix, § 34 Rn 49. 145 Gola/Schomerus, § 34 Rn 14, die auf elektronische Personalakten und die spezielle Verfahrensweise bei der Auskunftserteilung in § 13 Abs. 7 TMG verweisen. 146 Gola/Schomerus, § 34 Rn 16; Wolff/Brink/Schmidt-Wudy, § 34 BDSG Rn 104. 147 Simitis/Dix, § 34 Rn 42. 148 Für alle Simitis/Dix, § 34 Rn 15, 17, 19. 149 Gola/Schomerus, § 34 Rn 9 und § 3 Rn 5 ff.
Abel
E. Transparenzpflichten
615
Nicht zu beauskunften sind hingegen interne Verarbeitungsvorgänge. Auf die 158 Korrespondenz mit dem Betroffenen kann ggf. pauschal hingewiesen werden, weil diese dem Betroffenen ohnehin vorliegt. Die Selbstauskunft muss in einer allgemein verständlichen Form erfolgen. Gegebenenfalls sind Kürzel und Kodierungen zu erläutern. Bekanntzugeben sind auch Angaben über die Herkunft der Daten, sofern diese 159 zur Person des Betroffenen gespeichert sind, sowie die Empfänger oder zumindest die Kategorien von Empfängern, z. B. Wirtschaftsauskunfteien bei Einmeldung von Negativmerkmalen. Unter den Begriff Empfänger fallen zum einen alle Dritten, zum anderen aber auch interne Stellen oder ggf. auch Datenverarbeiter im Auftrag,150 letzteres aber nur in besonderen Fällen. Hierdurch soll der Betroffene die Datenflüsse innerhalb der verantwortlichen Stelle nachvollziehen können.151 Bekanntzugeben sind ferner die eingeholten Bonitätsinformationen sowie die zur 160 Person des Betroffenen gespeicherten Scorewerte.
III. Mitteilungspflichten bei sog. Datenpannen § 42a BDSG verpflichtet alle Unternehmen, bei sog. Datenpannen, d. h. unrechtmäßi- 161 ger Kenntniserlangung bestimmter personenbezogener Daten durch Unbefugte, die zuständige Aufsichtsbehörde und die Betroffenen bzw. die möglichen Betroffenen davon in Kenntnis zu setzen.152 Diese Verpflichtung gilt jedoch nicht für alle Arten von Daten, sondern nur – für besonders sensible Daten gem. § 3 Abs. 9 BDSG, – personenbezogene Daten, die einem Berufsgeheimnis unterliegen oder die sich auf strafbare Handlungen oder Ordnungswidrigkeiten oder einen entsprechenden Verdacht beziehen und auf – personenbezogene Daten zu Bank-und Kreditkartenkonten. Da bei allen Unternehmen im Rahmen des Credit Managements und auch sonst viel- 162 fach derartige Daten gespeichert sind, vor allem Konto- und Kreditkartendaten, aber auch zahlreiche andere Angaben, deren Kenntnis einen Identitätsdiebstahl ermöglicht, werden die gesetzlichen Merkmale oft erfüllt sein. Die Informationspflicht gilt jedoch nur, wenn schwerwiegende Beeinträchti- 163 gungen für die Rechte oder schutzwürdigen Interessen der Betroffenen drohen. Dies
150 Gola/Schomerus, § 34 Rn 11. 151 Wolff/Brink/Schmidt-Wudy, § 34 BDSG Rn 47. 152 Zu Einzelheiten ausführlich Hornung, NJW 2010, 1841.
Abel
616
Kapitel 11 Datenschutz im Credit Management
können Beeinträchtigungen materieller oder immaterieller Art sein. Geschützt sind nach überwiegender Ansicht auch Vermögensinteressen.153 164 Das Unternehmen muss somit bei seiner Einschätzung der Beeinträchtigung stets eine Prognoseentscheidung darüber treffen, ob eine mögliche Beeinträchtigung des Betroffenen so schwerwiegend ist, dass sie die von § 42a BDSG vorgesehenen Maßnahmen rechtfertigt. Diese Prognose ist risikobehaftet: Wird entgegen § 42a S. 1 BDSG eine Mitteilung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig gemacht, droht gem. § 43 Abs. 2 Nr. 7 BDSG dem Unternehmen eine Geldbuße bis zu 300.000 €, dies neben etwaigen Schadensersatzansprüchen des Betroffenen nach § 7 BDSG. Zur Vermeidung dieses Risikos sollte die verantwortliche Stelle keinen zu engen 165 Maßstab anlegen: Die Benachrichtigungspflicht besteht immer schon dann, wenn aus Sicht der verantwortlichen Stelle eine hohe Wahrscheinlichkeit für eine Kenntnisnahme durch Dritte besteht.154 Zu berücksichtigen sind aber auch die drohenden Nachteile: je größer die mögliche Beeinträchtigung der Rechte oder Interessen der Betroffenen ist, desto geringere Anforderungen sind an die Eintrittswahrscheinlichkeit zu stellen.155 Praxistipp Im Zweifel sollte stets der sicherste Weg gegangen werden, d. h., das Unternehmen sollte vermuten, dass die gesetzlichen Mitteilungsvoraussetzungen vorliegen, und zumindest die Aufsichtsbehörde darüber informieren. Dann ist das Unternehmen auf der sicheren Seite. Es kann dann in Abstimmung mit der Aufsichtsbehörde klären, ob und ggf. welche Risiken für Dritte bestehen und ggf. welche weiteren Maßnahmen zu deren Vermeidung oder Eindämmung erforderlich sind.
153 Gola/Schomerus, § 42a Rn 4; Simitis/Dix, § 42a Rn 9 m. w. N. 154 Dorn, DSB 7 + 8/2011, 16, 17; Simitis/Dix, § 42a Rn 8; Taeger/Gabel/Gabel, § 42a Rn 17; Gola/Schomerus, § 42a Rn 4; a. A. Hanloser, CCZ 2010, 25 f. 155 Simitis/Dix, § 42a Rn 9; Taeger/Gabel/Gabel, § 42a Rn 20.
Abel
Kapitel 12 Die technisch-organisatorischen Maßnahmen des Datenschutzes – von der Theorie zur Praxis A. Anwendbarkeit des BDSG und Einordung der technisch- organisatorischen Maßnahmen Das BDSG findet gem. § 1 Abs. 2 Nr. 3 BDSG auf sog. nicht-öffentliche Stellen Anwen- 1 dung, mithin auf die meisten privatrechtlich organisierten Unternehmen. Dies gilt auch dann, wenn sich die öffentliche Hand einer privatrechtlichen Unternehmensform bedient, wenn es sich hierbei um sog. öffentlich-rechtliche Wettbewerbsunternehmen handelt. Letzteres folgt u. a. aus § 27 Abs. 1 S. 1 Nr. 2 BDSG, wobei ein öffentlichrechtliches Wettbewerbsunternehmen bereits dann anzunehmen ist, wenn bezüglich des verfolgten Geschäftszwecks die Möglichkeit eines Wettbewerbs besteht.1 Entsprechend müssen gegenwärtige Wettbewerber nicht existieren, um trotz öffentlich-rechtlicher Eigentümerschaft von einem Wettbewerbsunternehmen und folglich von der grundsätzlichen Anwendbarkeit des BDSG ausgehen zu müssen. Allerdings greift das BDSG gem. § 27 Abs. 1 S. 1 Nr. 2 BDSG selbst bei öffentlich-rechtlichen Wettbewerbsunternehmen nur soweit ein, wie das jeweilige Unternehmen auch am Wettbewerb teilnimmt. Soweit dies nicht der Fall ist, greifen wegen § 1 Abs. 2 Nr. 2 BDSG jedenfalls bei Landesunternehmen die Landesdatenschutzgesetze (kurz „LDSG“) ein, was dazu führen kann, dass öffentlich-rechtliche Wettbewerbsunternehmen die Anforderungen zweier Datenschutzgesetze beachten müssen. Dies ist gerade für den hier infrage stehenden technisch-organisatorischen 2 Datenschutz von grundsätzlicher Bedeutung. So ergeben sich die technisch-organisatorischen Anforderungen an den Datenschutz im Anwendungsbereich des BDSG aus § 9 BDSG i. V. m. dessen Anlage. Auch wenn die in dieser Anlage genannten sog. acht Gebote der Datensicherheit mitunter als reformbedürftig angesehen werden und gefordert wird, diese de lege ferenda durch moderne Schutzziele der Informationssicherheit2 zu ersetzen,3 sind diese jedenfalls de lege lata noch als Kernanforderungen an den technisch-organisatorischen Datenschutz zu qualifizieren. Dies gilt nicht nur im Anwendungsbereich des BDSG, sondern auch bei Eingrei- 3 fen der LDSG. Allerdings ist zu beachten, dass in den verschiedenen LDSG teilweise auch Besonderheiten zu den technischen und organisatorischen Maßnahmen (kurz
1 Vgl. BeckOK DatenSR/Stender-Vorwachs, § 27 BDSG Rn 13. 2 Vgl. dazu auch unten Rn 11. 3 Genannt werden Vertraulichkeit, Integrität, Verfügbarkeit, Authentizität, Revisionsfähigkeit und Transparenz, vgl. Rost, Die Neuen Schutzziele – Beherrschbare, faire und vertrauenswürdige IT-Infrastrukturen, Präsentation, abrufbar unter https://www.datenschutzzentrum.de.
Giebichenstein/Schirp/Kölsch
618
Kapitel 12 Die technisch-organisatorischen Maßnahmen
„TOMs“) vorgesehen sind (z. B. Datenträgerkontrolle gem. § 7 Abs. 2 Nr. 2 des Niedersächsischen Datenschutzgesetzes). Dies gilt es, bei den öffentlich-rechtlichen Wettbewerbsunternehmen zu berücksichtigten, soweit diese nicht am Wettbewerb teilnehmen. Bei öffentlich-rechtlichen Wettbewerbsunternehmen empfiehlt sich daher stets eine ganzheitliche Betrachtung. Als Grundlage für die Erklärung der TOMs werden im nachfolgenden Kapitel die 4 Begriffe Datenschutz und Informationssicherheit erläutert und voneinander abgegrenzt. Anschließend werden die TOMs im Detail erläutert und das Vorgehen zur praktischen und nachhaltigen Umsetzung der Maßnahmen im Unternehmensalltag beschrieben.
B. Datenschutz und Informationssicherheit I. Daten und Informationen 5 Im Alltag werden die beiden Begriffe Daten und Informationen vielfach synonym
verwendet. Eine synonyme Verwendung ist zwar naheliegend und in der Praxis vielfach anzutreffen, jedoch nicht korrekt. Um die Gemeinsamkeiten und Unterschiede von Datenschutz und Informationssicherheit darstellen zu können, ist es wichtig, die Begriffe Daten und Informationen zu definieren und abzugrenzen. Daten sind eine neutrale Darstellung von Zeichen mit einer vorgegebenen Struk6 tur (sog. Syntax), die eingehalten werden muss. Die vorgegebene Struktur kann mit einem Regelwerk zur Darstellung von Informationen gleichgesetzt werden.4 Informationen werden im Regelfall aus Daten abgeleitet und ergänzen diese. 7 Sie stellen Daten in einen Kontext und ergänzen diese um die sog. Semantik. Somit werden Daten um anwendungsbezogene Aspekte ergänzt.5 Beispiel – Datum: „(+49) 0123 – 456 – 78“; – Information: „Die Telefonnummer von Max Mustermann lautet (+49) 0123 – 456 – 78“.
II. Datenschutz 8 Unter Datenschutz wird gem. § 1 BDSG der Schutz natürlicher Personen vor unbe-
fugter Erhebung, Verarbeitung (Speicherung und Veränderung) und Übermittlung ihrer personenbezogenen Daten verstanden. Somit ist Datenschutz eine besondere
4 Vgl. Proebster. 5 Vgl. Proebster.
Giebichenstein/Schirp/Kölsch
B. Datenschutz und Informationssicherheit
619
Ausprägung des Persönlichkeitsrechts und des Rechts auf informationelle Selbstbestimmung.6 Betrachtungsgegenstand beim Datenschutz sind gem. § 1 BDSG personenbezo- 9 gene Daten, die automatisiert oder nicht automatisiert verarbeitet werden. Bei personenbezogenen Daten handelt es sich um eine besondere Art von Daten, die einen konkreten Bezug zu natürlichen Personen aufweisen. Zu den personenbezogenen Daten gehören zudem Daten, die personenbeziehbar sind, auch wenn sie keinen direkten Personenbezug haben. Maßgeblich ist bei der Bestimmung der Personenbeziehbarkeit, ob die Zuordenbarkeit der Daten zu einer natürlichen Person mit einem vertretbaren Aufwand erfolgen kann. Beispiel – Personenbezogene Daten: Name, Adresse, Haarfarbe; – Personenbeziehbare Daten: Kfz-Kennzeichen, IP-Adresse, Kontonummer.
In vielen Fällen kann eindeutig festgestellt werden, ob ein Datum einen Personenbe- 10 zug hat oder nicht. Im Einzelfall kann die Klassifizierung in Daten mit Personenbezug und Daten ohne Personenbezug jedoch eine Herausforderung darstellen, da die Zuordenbarkeit der Daten zu einer natürlichen Person abhängig von den Rahmenbedingungen einen mehr oder weniger hohen Aufwand erfordert. Die Beurteilung der Zuordenbarkeit hat bereits zahlreiche Gerichte beschäftigt (z. B. IP-Adressen).7
III. Informationssicherheit Unter Informationssicherheit wird der Schutz von Informationen verstanden. Ziel ist 11 hierbei, die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen sicherzustellen (sog. Schutzziele der Informationssicherheit).8 Diese drei Ziele werden im Folgenden kurz erläutert. – Vertraulichkeit: Informationen werden nur Befugten zugänglich gemacht. Unbefugte haben hingegen keinerlei Zugriff auf Informationen. – Integrität: Unter Integrität wird die Richtigkeit und Vollständigkeit von Informationen verstanden. Informationen können somit nur durch Befugte verändert werden. Änderungen, die vorgenommen werden, müssen nachvollziehbar sein. – Verfügbarkeit: Informationen können Befugten in einem festgelegten Zeitraum zugänglich und nutzbar gemacht werden. Die Informationen sind folglich immer dann verfügbar, wenn diese benötigt werden.
6 Orantek, S. 51. 7 EuGH, Rs. C‑70/10. 8 ISO/IEC 27000:2009, Berlin 2008, S. 9.
Giebichenstein/Schirp/Kölsch
620
Kapitel 12 Die technisch-organisatorischen Maßnahmen
12 Gelegentlich werden die drei Schutzziele um weitere Schutzziele wie Authentizität
(die Identität eines Dritten stimmt mit der überein, die er angibt) oder Nichtabstreitbarkeit (Aktionen und Entscheidungen können einer Entität nachweislich zugewiesen werden) ergänzt.9 Die Ergänzung kann je nach Zielsetzung (z. B. Sicherheit im elektronischen Zahlungsverkehr) zielführend sein. Im weiteren Verlauf werden jedoch nur die drei Schutzziele – Vertraulichkeit, Integrität und Verfügbarkeit – zugrunde gelegt. Im Vergleich zum Datenschutz, bei dem der Schutz personenbezogener Daten 13 im Mittelpunkt steht, stehen bei der Informationssicherheit all die Informationen im Fokus, die unabhängig davon, ob ein Personenbezug besteht, als schutzbedürftig eingestuft werden. Der Betrachtungsgegenstand wird durch die Festlegung des Geltungsbereichs (sog. Scoping) festgelegt und abgegrenzt. Diese Abgrenzung kann nach unterschiedlichen Kriterien wie etwa Organisationseinheiten oder Dienstleistungen erfolgen. Alternativ kann der Geltungsbereich aus technischer Sicht durch IT-Komponenten, wie Netze, Rechenzentren oder Server, aber auch durch Prozesse oder Organisationsstrukturen, wie in der nachfolgenden Abbildung dargestellt, eingegrenzt werden (sog. Informationsverbund oder IT-Verbund).10 Grundsätzlich werden bei der Informationssicherheit jegliche Arten von Infor14 mationen betrachtet. Hierzu zählen Informationen, die sich als personenbezogene Daten darstellen, aber auch Informationen, die aus Daten ohne Personenbezug abgeleitet werden, wie beispielsweise technische Forschungsdaten. Des Weiteren können Informationen in verschiedenen Formen vorliegen. Mögliche Formen sind beispielsweise die elektronische Speicherung (z. B. in Datenbanken oder auf Datenträgern wie USB-Sticks), physische Aufbewahrung (z. B. Ausdrucke, die in Aktenordnern aufbewahrt werden oder unsortiert aufbewahrt werden) oder in Form von Know-how der Mitarbeiter (z. B. über Jahre hinweg angesammeltes und dokumentiertes Wissen über Betriebsabläufe). Zusammenfassend kann gesagt werden, dass personenbezogene Daten im 15 Rahmen der Informationssicherheit betrachtet werden können, aber nicht zwingend müssen, sofern diese nicht als schutzbedürftig klassifiziert werden. Eine solche Klassifizierung wäre insbesondere vor dem Hintergrund gesetzlicher Anforderungen zu hinterfragen. Folglich sollten personenbezogene Daten im Regelfall auch Betrachtungsgegenstand der Informationssicherheit sein.
9 ISO/IEC 27000:2012 (E), ISO copyright office, Genf 2012, S. 1 f. 10 BSI, BSI-Standard 100-2, S. 38 f., abrufbar unter https://www.bsi.bund.de/SharedDocs/Downloads/ DE/BSI/Publikationen/ITGrundschutzstandards/standard_1002_pdf.pdf?__blob=publicationFile.
Giebichenstein/Schirp/Kölsch
B. Datenschutz und Informationssicherheit
A
E
C
Prozesse und Organisationsstrukturen
D
B
Datenbanken Betriebssysteme
621
Betriebssysteme, Datenbanken, Anwendungen
Anwendungen
Hardware
Netze
Technische und physische Infrastruktur
Gebäude
Abb. 1: Konzeptionelle Darstellung eines IT-Verbunds11
IV. Technische und organisatorische Anforderungen an Datenschutz und Informationssicherheit 1. Arten von Anforderungen Die Anforderungen an die aufgrund von Datenschutz und Informationssicherheit zu 16 ergreifenden technischen und organisatorischen Maßnahmen können von verschiedenen Interessengruppen stammen und unterschiedliche Ausprägungen haben. Die Anforderungen können beispielsweise in die folgenden vier Gruppen eingestuft werden: – rechtlich-regulatorische Anforderungen (z. B. BDSG, HGB, GoB/GoBS), – vertragliche Anforderungen (z. B. Vereinbarungen zur Auftragsdatenverarbeitung und die hieraus resultierenden Pflichten, vertraglich vereinbarte Service Level Agreements), – Anforderungen spezifischer Interessengruppen (z. B. Sicherheitsstandards von Branchenverbänden, Medien),
11 In Anlehnung an BSI, BSI-Standard 100-2, S. 38 ff. und IDW, IDW PS 330.
Giebichenstein/Schirp/Kölsch
622
Kapitel 12 Die technisch-organisatorischen Maßnahmen
– unternehmensinterne Anforderungen (z. B. vertrauliche Behandlung von unternehmensinternen Informationen, Vermeidung doloser Handlungen durch Datenmanipulationen).
2. Technische und organisatorische Anforderungen an den Datenschutz
17 Datenschutz ist überwiegend durch rechtlich-regulatorische Vorgaben geprägt.
Hierzu zählen u. a. die Vorgaben des BDSG (Bundesdatenschutzgesetz) und des SGB (Sozialgesetzbuch). Wesentliche technische und organisatorische Anforderungen resultieren aus § 9 BDSG, sofern Sozialdaten betroffen sind aus § 78a SGB X. Neben den gesetzlichen Anforderungen an den Datenschutz stehen vertragliche 18 Vereinbarungen, die die Ergreifung technischer und organisatorischer Maßnahmen erforderlich machen und u. U. konkrete Maßnahmen vorschreiben. Ein Beispiel hierfür sind Vereinbarungen zur Auftragsdatenverarbeitung. Abhängig von der Ausgestaltung der Vertragswerke werden hierin konkrete technische und organisatorische Maßnahmen vereinbart, deren Umsetzung beispielsweise in Form von Audits durch den Auftraggeber oder einen von diesem beauftragten Dienstleister überprüft wird. Ein immer wichtiger werdender Aspekt mit Bezug zu Datenschutz sind die Anfor19 derungen spezifischer Interessengruppen wie Medien, die das Bild des Unternehmens in der Öffentlichkeit prägen (z. B. Auswirkungen des „NSA-Skandals“). Das Interesse der Öffentlichkeit hängt im Wesentlichen vom Bekanntheitsgrad des Unternehmens ab. Gründe für Datenschutzvorfälle sind oftmals Schwachstellen, die auf unterbliebene technische und organisatorische Maßnahmen zurückzuführen sind. Eine weitere wichtige Gruppe von Anforderungen sind die, die aus Selbstver20 pflichtungen der Unternehmen und Branchenstandards resultieren. Hierzu zählt beispielsweise der Code of Conduct der Versicherungsbranche, einer Sammlung spezifischer Anforderungen zur Nutzung personenbezogener Daten, die über die gesetzlichen Anforderungen hinausgehen. Hierbei handelt es sich um eine freiwillige Selbstverpflichtung, der sich bereits viele Versicherungsunternehmen angeschlossen haben. Somit stellte sie einen Quasi-Standard für die gesamte Branche dar.12
3. Anforderungen an die Informationssicherheit
21 Im Vergleich zum Datenschutz liegt der Schwerpunkt der technischen und organisa-
torischen Anforderungen in einem geringeren Ausmaß auf gesetzlichen Anforderungen und dafür mehr auf den Anforderungen des Unternehmens selbst und dessen Vertragspartnern.
12 GDV, Versicherungswirtschaft und Datenschützer schaffen neue Maßstäbe für Datenschutz, abrufbar unter http://www.gdv.de/2013/03/versicherungswirtschaft-und-datenschuetzer-schaffenneue-massstaebe-fuer-datenschutz.
Giebichenstein/Schirp/Kölsch
B. Datenschutz und Informationssicherheit
623
Die Motivation, die hinter den rechtlich-regulatorischen Anforderungen mit 22 Bezug zur Informationssicherheit steht, kann durchaus unterschiedlich sein. So ist der Gesetzgeber beispielsweise daran interessiert, dass für die Ermittlung der Steuerlast erforderliche Daten verfügbar und korrekt sind (z. B. HGB, GoB/GoBS). Insbesondere bei „systemrelevanten“ Unternehmen wird durch Regelungen zur Informationssicherheit darauf hingewirkt, dass Risiken gesenkt werden, deren Eintritt ein erhebliches Schadensausmaß auf die Gesellschaft hat (z. B. IT-Risikomanagement in Kreditinstituten oder Kraftwerksbetreibern). Das besondere Interesse des Unternehmens selbst am Schutz von Informationen 23 ist u. a. darauf zurückzuführen, dass diese ein wesentlicher „Produktionsfaktor“ sind, dessen Bedeutung immer stärker in den Vordergrund rückt (z. B. Kundendaten, Geschäftsgeheimnisse, Patente). Informationssicherheitsvorfälle können einen unmittelbaren (z. B. Ausfall von IT-Systemen) oder mittelbaren Schaden (z. B. Vertragsverletzungen und Pönalen) verursachen. Vertragspartner können beispielsweise ein großes Interesse an der Geheimhaltung von Informationen wie beispielsweise Konstruktionspläne im Automobilbereich oder Forschungsergebnisse im Pharmabereich haben, deren Veröffentlichung einen Preisverfall am Markt verursachen könnte bzw. die Marge drückt, weil ein Konkurrent das Produkt nun auch auf den Markt bringt oder – schlimmer noch – es als Erster vertreibt und zuvor noch schützen lässt, sodass er eine Monopolstellung erhält.
V. Gemeinsamkeiten und Unterschiede von Datenschutz und Informationssicherheit Aus den vorangegangenen Erläuterungen geht hervor, dass die technischen und 24 organisatorischen Anforderungen an Datenschutz und Informationssicherheit hinsichtlich ihrer Art und Ausprägung sehr ähnlich sind und große Schnittmengen aufweisen. Die zu ergreifenden technischen und organisatorischen Maßnahmen wirken in vielen Fällen auf die Erreichung beider Zielsetzungen hin.13 Somit können bei der Umsetzung der Maßnahmen Synergien erzielt und Möglichkeiten zur Komplexitätsreduktion genutzt werden. Dennoch muss auf die unterschiedlichen Betrachtungsgegenstände und Zielsetzungen, die zum Teil konträr zueinanderstehen, hingewiesen werden. Personenbezogene Daten können, müssen aber nicht zwingend im Rahmen der 25 Informationssicherheit betrachtet werden. Wesentlich ist hierbei, ob der jeweilige Betrachtungsgegenstand (sog. Scope) der Informationssicherheit alle personenbezogenen Daten eines Unternehmens abdeckt. Oftmals liegt nur ein Teilbereich des
13 LDA Brandenburg, Technische und organisatorische Aspekte des Datenschutzes, 2010, S. 24, abrufbar unter http://www.lda.brandenburg.de/media_fast/4055/TO_2010.pdf.
Giebichenstein/Schirp/Kölsch
624
Kapitel 12 Die technisch-organisatorischen Maßnahmen
Unternehmens im Scope, der nicht alle personenbezogenen Daten eines Unternehmens beinhaltet. Zudem sind insbesondere die Fälle zu berücksichtigen, in denen ein Teil der personenbezogenen Daten eines Unternehmens („Eigentümer“ der Daten) außerhalb des Unternehmens z. B. durch externe Dienstleister, wie Druckereien oder Tochtergesellschaften, des eigenen Konzerns verarbeitet werden. In diesem Fall sollten Maßnahmen zur Sicherstellung von Datenschutz und von Informationssicherheit mit dem externen Dienstleister vertraglich vereinbart werden (vgl. auch Ausgestaltung der Auftragsdatenverarbeitung gem. § 11 Abs. 2 S. 1 BDSG). Die Umsetzung der Maßnahmen bzw. die Effektivität dieser sollten in regelmäßigen Abständen und anlassbezogen beispielsweise durch Audits überprüft werden. Im Zuge von Auftragsdatenverarbeitungen ist dies ohnehin verpflichtend, § 11 Abs. 2 S. 4 BDSG. Bei der Planung und Umsetzung konkreter Maßnahmen zur Sicherstellung von 26 Datenschutz und Informationssicherheit können aufgrund der Überschneidungen redundante Maßnahmen gestrichen werden. Dennoch werden bei der konkreten Ausgestaltung der Maßnahmen teilweise konträre Anforderungen auftreten, bei denen individuell entschieden werden muss, wie mit diesen umzugehen ist. Hierzu zählt beispielsweise die Sicherung von Daten. Im Sinne der Informationssicherheit sollten Daten, wie beispielsweise Kundendaten, in IT-Systemen möglichst lange verfügbar sein. Aus diesem Grund werden diese gesichert und z. T. in Archivierungssysteme überführt. Sobald jedoch der Zweckbezug der Datenverarbeitung entfällt, dürfen nur noch diese Daten aufbewahrt werden, die beispielsweise für Zwecke der Rechnungslegung aufbewahrt werden müssen, § 35 Abs. 2 S. 1 Nr. 3, Abs. 3 Nr. 1 BDSG. Eine teilweise Löschung von Kundendaten muss bereits bei der Festlegung des Datenmodells und bei der Konfiguration der Datensicherung berücksichtigt werden. Wenn dies nicht der Fall ist, kann die nachträgliche Lösung die IT vor große Herausforderungen stellen. Die Gemeinsamkeiten und Unterschiede der beiden Themenbereiche Daten27 schutz und Informationssicherheit werden in der nachfolgenden Tabelle zusammenfassend dargestellt. Datenschutz
Informationssicherheit
Gegenstand der Betrachtung
Personenbezogene Daten
Als schutzbedürftig klassifizierte Daten
Zielsetzung
Schutz natürlicher Personen vor unbefugter Erhebung, Verarbeitung und Übermittlung ihrer personenbezogenen Daten – Vertraulichkeit personenbezogener Daten, – Korrektur inkorrekter personen bezogener Daten, – Löschung.
Schutz schutzbedürftiger Informationen durch die Erreichung der Schutzziele – Vertraulichkeit, – Verfügbarkeit, – Integrität.
Giebichenstein/Schirp/Kölsch
C. Technisch-organisatorische Maßnahmen
625
Das folgende Zitat des vormaligen Bundesdatenschutzbeauftragen, Peter Schaar, 28 fasst die vorangegangenen Erläuterungen gut zusammen: „IT-Sicherheit und Datenschutz sind keine Gegensätze, sondern Partner. IT-Sicherheit ist häufig eine Grundvoraussetzung für datenschutzfreundliche Verfahren. Gesetzliche Ver- oder Gebote reichen hier nicht aus. Der Datenschutz muss vielmehr bereits beim Systemdesign berücksichtigt werden.“14
C. Technisch-organisatorische Maßnahmen Wie im vorangegangenen Kapitel erläutert wurde, sind die TOMs, die gem. § 9 BDSG 29 umzusetzen sind, ein zentrales Element des Datenschutzes. Um die Anforderungen zu erfüllen und personenbezogene Daten angemessen zu schützen, muss eine Kombination von Teilmaßnahmen, die in physische, technische und organisatorische Maßnahmen kategorisiert werden können, umgesetzt werden, wie in der nachfolgenden Abbildung dargestellt.
Daten Organisatorische Maßnahmen: Richtlinien, Handlungsanweisungen, Prozesse, etc.
Technische Maßnahmen: Zugangskontrolle, Zugriffskontrolle, Verschlüsselung, etc.
Physische Maßnahmen: Perimeterschutz, Wachpersonal, Kameras, etc.
Abb. 2: Kombination von Maßnahmen
Durch die Kombination der Maßnahmen wird die Wahrscheinlichkeit reduziert, dass 30 die Überwindung einer einzelnen Kategorie von Schutzmaßnahmen ausreicht, um die Sicherheit der verarbeiteten Daten zu kompromittieren. Verlässt sich ein Unter-
14 Schaar, Peter, Informationssicherheit muss den Datenschutz unterstützen, abrufbar unter http:// www.bfdi.bund.de/DE/Oeffentlichkeitsarbeit/Pressemitteilungen/2007/PM-17-07-InformationstechnikMussDatenschutzUnterstuetzen.html?nn=409394.
Alsbih
626
Kapitel 12 Die technisch-organisatorischen Maßnahmen
nehmen beispielsweise ausschließlich auf physische Maßnahmen, kann ein unberechtigter Dritter ggf. etwa durch den Angriff des WLANs – welches funktionsbedingt nicht an der Grundstückgrenze endet – gleichwohl noch unberechtigten Datenzugriff erhalten. Dem kann nur durch weitere, komplementäre Schutzmaßnahmen begegnet werden. Wie eingangs ausgeführt sieht das BDSG in der Anlage zu § 9 S. 1 BDSG verschie31 dene TOMs vor, die es im Zusammenhang mit automatisierten Verarbeitungen von personenbezogenen Daten stets zu implementieren gilt. Welche Maßnahmen im Einzelnen zu treffen sind, hängt vom Schutzbedarf der jeweiligen Daten ab. Das BDSG gibt insoweit zumindest eine erste Leitlinie vor, als es drei Datenarten nennt, die unterschiedlich strengen Anforderungen genügen müssen und damit BDSG-spezifische Schutzklassen bilden: – Die nicht-personenbezogenen Daten, die nach dem BDSG frei verarbeitet werden dürfen, – die personenbezogenen Daten, die nur bei Vorliegen einer Rechtsvorschrift oder einer Einwilligung erhoben, verarbeitet oder genutzt werden dürfen und – die besonderen Arten von personenbezogenen Daten, d. h. personenbezogene Angaben zur rassischen und ethnischen Herkunft, zu politischen Meinungen, religiösen oder philosophischen Überzeugungen, zur Gewerkschaftszugehörigkeit, zur Gesundheit oder zum Sexualleben (§ 3 Abs. 9 BDSG), die nur unter den erschwerten Voraussetzungen der §§ 4a Abs. 3, 28 Abs. 6 ff. BDSG erhoben, verarbeitet und genutzt werden dürfen. 32 Hieraus lässt sich der Rückschluss ziehen, dass der Gesetzgeber diese Datenarten als
unterschiedlich schutzbedürftig angesehen hat und deshalb auch unterschiedliche technisch-organisatorische Schutzmaßnahmen erwartet, wenn sich eine verantwortliche Stelle nicht ohnehin nach dem Maximalprinzip ausrichtet. Dies bedeutet allerdings nicht, dass allein aus dem Schutzbedarf die Art der 33 erforderlichen Maßnahme abzuleiten ist. Denn es sind auch Wirtschaftsbetrachtungen erlaubt, da § 9 S. 2 BDSG regelt, dass technisch-organisatorische Maßnahmen nur erforderlich sind, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht. Es muss also ein angemessenes Verhältnis zwischen Aufwand und Schutz hergestellt werden. Unter dieser Prämisse sind ausgehend von Satz 1 der Anlage zu § 9 S. 1 BDSG 34 zunächst Maßnahmen zur Organisationskontrolle zu treffen, was meint, dass eine auf den Datenschutz ausgerichtete Aufbau- und Ablauforganisation geschaffen werden muss.15 Dabei erfasst die Aufbauorganisation die interne Struktur und die Verteilung der jeweiligen Aufgaben auf die einzelnen Gliederungen des Unternehmens; dagegen hat die Ablauforganisation die innerhalb der existierenden Strukturen
15 BeckOK DatenSR/Karg, Anlage zu § 9 BDSG, S. 1 Rn 8.
Alsbih
C. Technisch-organisatorische Maßnahmen
627
bestehenden und zu erfolgenden Informations- und Arbeitsprozesse zum Gegenstand und umfasst deshalb auch den Informations- und Datenfluss innerhalb eines Unternehmens.16 Hierunter fallen insbesondere regelmäßige Kontrollen,17 aber auch die rechtzeitige Einbindung des betrieblichen Datenschutzbeauftragten z. B. im Rahmen von Vorabkontrollen. Deshalb werden auch Datenschutzrichtlinien der Organisationskontrolle zugeordnet, da diese regelmäßig verbindliche Vorgaben zu Arbeitsabläufen in datenschutzrechtlicher Hinsicht enthalten. Vor diesem Hintergrund sollten Datenschutzrichtlinien im Unternehmen auch stets in Kraft gesetzt sein. Darüber hinaus sind die verschiedenen von der Anlage zu § 9 S. 1 BDSG genann- 35 ten TOMs umzusetzen. Dies sind Maßnahmen zur Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle, Weitergabekontrolle, Eingabekontrolle, Auftragskontrolle, Verfügbarkeitskontrolle und Trennungskontrolle. In diesem Zusammenhang gilt es, Folgendes zu beachten:
I. Zutrittskontrolle 1. Allgemeine Beschreibung Die Anlage zu § 9 S. 1 BDSG definiert die Zutrittskontrolle wie folgt:
36
„Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren (Zutrittskontrolle) […]“18
Diese Maßnahme zielt darauf ab, lediglich den berechtigten Personen einen physischen Zutritt zu den Räumlichkeiten zu gewähren, in denen personenbezogene Daten verarbeitet werden. Allen anderen Personen wird der physische Zutritt zu diesen Bereichen verweigert. Ziel dieser Maßnahmen ist es, insbesondere die Gebäudebereiche, in denen personenbezogene Daten verarbeitet werden (z. B. Sicherheitszonen wie Rechenzentrum und Personalabteilung), zu schützen. Entsprechend gestalten sich die folgenden Beispiele aus der Praxis.
2. Beispiele aus der Praxis Wie bei allen folgenden Maßnahmen muss zunächst der Schutzbedarf ermittelt 37 werden. Die Bedrohungslage bei der Verarbeitung weniger personenbezogener Daten in einem Kleinunternehmen unterscheidet sich von der Bedrohungslage eines Konzerns, welcher Millionen von personenbezogenen Daten und insbesondere besonders
16 BeckOK DatenSR/Karg, Anlage zu § 9 BDSG, S. 1 Rn 8. 17 BeckOK DatenSR/Karg, Anlage zu § 9 BDSG, S. 1 Rn 11. 18 Siehe Nr. 1 Anlage (zu § 9 S. 1) BDSG.
Alsbih
628
38
39
40
41
Kapitel 12 Die technisch-organisatorischen Maßnahmen
schutzbedürftige personenbezogene Daten verarbeitet. Wurde der Schutzbedarf der verarbeiteten Daten ermittelt, so kann das Areal in der Regel in unterschiedliche Schutzzonen aufgeteilt werden. Dies sollte insbesondere deshalb vorgenommen werden, um die Wirtschaftlichkeit sicherzustellen. Eine – auch für Gäste – zugängliche Kantine sollte in der Regel nicht mit demselben hohen Aufwand geschützt werden wie das Rechenzentrum. Die Zutrittskontrolle muss mit dem Areal beginnen, in dem die personenbezogenen Daten verarbeitet werden. Als eine erste Maßnahme kann dabei ein Zaun dienen, der das Areal umfasst. Abhängig von dem Schutzbedarf der Daten kann durch unterschiedliche Gestaltungsarten wie der Höhe des Zaunes oder der Verwendung von Stacheldraht die damit erzielte Schutz- und Abschreckwirkung variiert werden. Die Verwendung einer Videoüberwachung, welche die Zugangspunkte zum Gelände sowie mindestens die Zutrittspunkte zum Gebäude überwacht, bietet neben ihrer abschreckenden Wirkung auch den Vorteil einer effizienten Kontrolle des Areals. Weiterhin sollten Alarmanlagen eingesetzt werden, um über eine weitere Möglichkeit der Erkennung von Eindringversuchen zu verfügen. Allerdings ist zu beachten, dass Videoüberwachungsmaßnahmen ihrerseits datenschutzrechtlichen Restriktionen unterliegen, wobei insoweit zwischen einer Überwachung von öffentlichen Räumen, die an § 6b BDSG zu messen ist, und einer Überwachung von nicht-öffentlichen Räumen, die den Anforderungen der §§ 28, 32 BDSG genügen muss, zu unterscheiden ist. Hinsichtlich der Einzelheiten soll auf Kap. 919 verwiesen werden. Der Zutritt zu den physischen Orten der Datenverarbeitung selbst sollte abhängig vom definierten Schutzbedarf gestaltet werden. Die einfachste Form der Zutrittskontrolle besteht regelmäßig in der Verwendung von klassischen Schlüsseln. Diese haben jedoch insbesondere den Nachteil, dass ohne ergänzende Aktivität keinerlei Protokollierungen von erfolgreichen und nicht erfolgreichen Versuchen des Zutritts zu den physischen Orten erfolgen. Dieser Nachteil kann beispielweise durch den Einsatz von sog. Keypads (Nummernfeld zur Eingabe eines numerischen Zutrittscodes) ausgeglichen werden. Aufgrund ihrer Beschaffenheit als elektronischer „Schlüssel“ mittels eines Zugriffscodes (PIN – Persönliche Identifikations-Nummer) können falsche PIN-Eingaben protokolliert werden. Allerdings besteht dabei weiterhin der Nachteil, dass unklar ist, welche Person die Räumlichkeit legitim betreten hat. Zwar kann jede autorisierte Person mit einer eigenen PIN-Kombination ausgestattet werden, jedoch muss damit die Länge des individuellen PINs ausreichend genug sein, um zu verhindern, dass eine nicht autorisierte Person eine zutreffende PIN mittels Rateversuchen ermitteln kann. Der Nachteil von Keypads wird durch die Verwendung von elektronischen Schlüsselkarten umgangen. Diese enthalten einen personalisierbaren und individuellen – in der Regel ausreichend langen – Code und ermöglichen somit sowohl die
19 Dort Rn 127 ff. und 130 ff.
Alsbih
C. Technisch-organisatorische Maßnahmen
629
Protokollierung der erfolgreichen und nicht erfolgreichen Zutrittsversuche als auch die Identifizierung der Personen, mit deren Karten Zutritt erlangt wurde. Praxistipp Sofern erhöhter Schutzbedarf besteht, sollte mindestens eine sog. zwei-Faktor Authentifizierung für die Zutrittskontrolle verwendet werden. Dabei ist der Besitz einer Schlüsselkarte ein Faktor (engl. „something you have“) und beispielsweise das Wissen um einen individuellen PIN ein zweiter Faktor (engl. „something you know“), der verhindern soll, dass durch die Entwendung einer Zutrittskarte ein physischer Zutritt möglich wird. Eine abschließende Unsicherheit bezüglich der Personenidentität bleibt aber auch hier, die nur mittels zusätzlicher optischer Überwachung durch den Einsatz von Kameras weiter reduziert werden kann. Der Einsatz von Kameras zur Wahrnehmung des Hausrechtes ist im Einzelfall sorgfältig abzuwägen und das geplante Einsatzszenario und die praktische Umsetzung einschließlich der Handhabung der entstehenden Aufzeichnungen und einer potenziellen Auswertung im Schadensfall mit allen Interessensgruppen im Unternehmen abzustimmen.
Türen sollten sich stets automatisch schließen und über eine Alarmsicherung verfügen, sofern diese über einen längeren Zeitraum offenstehen. Je nach Sensibilität der verarbeiteten Daten und dem Areal sollte man sich zwischen fail-safe- und failsecure-Schlössern entscheiden. Während Erstere im Falle eines Stromausfalls das Schloss freigeben, sperren Letztere die Tür. Innerhalb eines Areals müssen sämtliche Komponenten dasselbe Schutzniveau aufweisen. Es macht keinen Sinn, Türen mit einer hohen Widerstandsklasse zu verwenden, gleichzeitig jedoch die Räume mit „normalen“ Fenstern oder Gipswänden auszustatten oder Lüftungsschächte nicht zu sichern. Hier kommt das Prinzip zum Tragen, dass das schwächste Glied in einer Kette deren Gesamtbelastbarkeit bestimmt. Um sog. piggybacking zu vermeiden, bei denen eine Person einer anderen Person folgt, während diese die Türen für sich selbst öffnet, können Vereinzelungsanlagen eingesetzt werden. Der Einsatz von Pförtnern oder Sicherheitspersonal, insbesondere um Zutritte von Besuchern oder Reinigungs- und Supportpersonal in z. B. einer Besuchsliste zu vermerken, empfiehlt sich stets. Auch dadurch wird eine weitere präventiv abschreckende Wirkung erzielt. Von großer Wichtigkeit ist die regelmäßige Überprüfung der Berechtigungen. Haben tatsächlich nur noch die berechtigten Personen Zugang auf die notwendigen Bereiche des Gebäudes? Insbesondere ist darauf zu achten, dass berechtigten Personen der Zutritt wieder entzogen wird, sollte dieser nicht mehr zwingend für die Ausübung der Tätigkeit benötigt werden. Praxistipp Neben dokumentierten, zentral verantworteten und gelebten Prozessen für den Eintritt und den Austritt von Personal (Mitarbeitern sowie Dienstleistern) sind Prozesse für den Wechsel des Aufgabengebiets nötig. Anderenfalls ist das sog. Auszubildenden-Phänomen zu beobachten, von dem die Rede
Alsbih
42
43
44
45
46
630
Kapitel 12 Die technisch-organisatorischen Maßnahmen
ist, wenn einzelne Beschäftigte – wie dies eben insbesondere bei Auszubildenden nicht selten festzustellen ist – durch den häufigen Wechsel der Abteilungen nach einiger Zeit Zutritt auf sämtliche Bereiche eines Unternehmens erhalten. Weiterhin sind bei der Gestaltung der Zutrittskontrolle auch mögliches Fehlverhalten sowie mögliche externe und interne Störungen zu berücksichtigen. So sollte beispielsweise bedacht werden, dass es zu einem absichtlichen oder unabsichtlichen Stromausfall kommen kann. In diesem Fall dürfen die getroffenen Sicherungsmaßnahmen ihre Wirkung nicht verlieren. Beispielweise sollte die Alarmanlage über eine unabhängige Energieversorgung verfügen und die Alarmierung eines Wachdienstes mindestens über eine weitere redundante Leitung erfolgen. 47 Losgelöst von den bisher beschriebenen technischen Maßnahmen spielt auch der
Faktor Mensch eine entscheidende Rolle bei der nachhaltigen Aufrechterhaltung des Schutzniveaus. Menschen sind anfällig für sog. Social Engineering (zu übersetzen mit etwa „soziale Manipulation“). Dabei nutzt der Angreifer Techniken zur zwischenmenschlichen Beeinflussung mit dem Ziel, bei Mitarbeitern bestimmte Verhalten in der Regel entgegen des Verhaltenskodexes hervorzurufen, sie z. B. zur Preisgabe von vertraulichen Informationen wie einem Passwort oder zur Freigabe einer Aktion zu bewegen. Aus diesem Grund ist es wichtig, regelmäßige Trainings zur Sensibilisierung der Mitarbeiter (sog. Awareness-Trainings) durchzuführen, die auch das Thema des Social Engineerings aufgreifen und sich an das für die Zutrittskontrolle verantwortliche Personal wenden. Dies sind neben dem – möglicherweise extern beauftragten – Wachpersonal Schlüsselpositionen wie Mitarbeiter des IT-Helpdesks oder IT-Administratoren. Praxistipp Als Ausgangspunkt für Bedrohungen können z. B. die Grundschutzkataloge des Bundesamts für Sicherheit in der Informationstechnik (BSI) verwendet werden. Zu jeder der vom BSI vorgeschlagenen Maßnahme sollte eine bewusste Entscheidung darüber getroffen werden, ob diese zielführend im Rahmen des Schutzkonzeptes und Schutzbedarfes für das eigene Unternehmen umgesetzt wird oder nicht.
II. Zugangskontrolle 1. Allgemeine Beschreibung
48 Die Anlage zu § 9 S. 1 BDSG definiert die Zugangskontrolle wie folgt: „[…] zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle) […]“20
20 Siehe Nr. 2 Anlage (zu § 9 S. 1) BDSG.
Alsbih
C. Technisch-organisatorische Maßnahmen
631
Diese Maßnahme hat das Ziel sicherzustellen, dass die Datenverarbeitungsanlage (das Betriebssystem, die Anwendung, die Datenbank etc.) nur von berechtigten Personen verwendet werden kann. Entsprechend gestalten sich die folgenden Praxisbeispiele.
2. Beispiele aus der Praxis Die Zugangskontrolle und Zugriffskontrolle bilden rein praktisch gesehen eine 49 Einheit. Zunächst findet eine Identifizierung der Person statt, bei der eine Person ein Identifizierungsmerkmal, wie einen Benutzernamen, angibt. Anschließend findet eine Authentifizierung statt, bei der die Identität der Person, beispielsweise anhand eines Passworts, überprüft wird. Schlussendlich kommt die Autorisation, bei der geprüft wird, welche Rechte die identifizierte Person erhält. So wird bei der Autorisation geprüft, ob die identifizierte Person die Datenverarbeitungsanlage auch nutzen darf und welche Teilaspekte bzw. Daten für diesen Benutzer freigegeben sind. Weitere Möglichkeiten der Zugangskontrolle sind die Verwendung von Chipkar- 50 ten zur Authentifizierung an Systemen, durch die eine sog. zwei-Faktor-Authentifizierung ermöglicht wird. Analog zur Zutrittskontrolle sollte neben dem Faktor (engl. „something you have“) ein zweiter Faktor wie ein individueller PIN (engl. „something you know“) verwendet werden. Auf diese Art wird die Wahrscheinlichkeit eines erfolgreichen Zugriffes auf Datenverarbeitungsanlagen weiter reduziert, sofern beispielsweise die Chipkarte entwendet wurde.
Technischer Datenfluss Datenfluss aus Anwendersicht
Benutzer
Applikation (SAP, MIWH, etc.)
Services (Apache, MYSQL, etc.)
Betriebssystem (Windows, Linux, etc.)
Netzwerkverbindung (LAN,WAN, etc.)
Speichermedium (Daten)
Datenverarbeitungsanlage
Abb. 3: Ebenen einer Datenverarbeitung mit unterschiedlichen Datenflüssen
Alsbih
632
Kapitel 12 Die technisch-organisatorischen Maßnahmen
51 Bei der Zugangskontrolle ist es wichtig, auf sämtliche Ebenen des Informationsver-
bundes zu achten, welche bei der Datenverarbeitung zum Einsatz gelangen.
Checkliste Zur Identifikation der relevanten Ebenen des Informationsverbundes empfiehlt es sich, die Abbildung 3 zu berücksichtigen. So sind darin die in der Regel maßgeblichen Ebenen dargestellt: 1. Netzwerkebene 2. Betriebssystemebene 3. Serviceebene und 4. Applikationsebene. 52 Dass es von grundsätzlicher Wichtigkeit ist, all diese Ebenen bei der Zugangskont-
rolle zu berücksichtigen, verdeutlicht Nachfolgendes:
Beispiel Werden etwa der Zugang und Zugriff auf dem datenverarbeitenden System lediglich auf der Applikationsebene realisiert, besteht für Unberechtigte die Möglichkeit, die eingerichtete Zugangskontrolle zu umgehen, indem über den Zugang zum Betriebssystem oder die Datenbank der direkte Zugriff auf die Datenbank erfolgt. In diesem Fall werden sämtliche auf der Applikationsebene eingerichteten Sicherungs- oder Kontrollmaßnahmen, wie z. B. eine Protokollierung, umgangen, womit diese für diesen Fall unwirksam sind. 53 Weiterhin sollte darauf geachtet werden, dass der Zugang zur Applikation und ihren
Daten nach einer erfolgreichen Authentifizierung und Autorisierung nicht ununterbrochen auf unbestimmte Zeit möglich ist. Authentifiziert sich eine berechtigte Person an der Datenverarbeitungsanalage und verlässt das System ungesichert beispielsweise für ein Meeting, eine Pause o. ä., können unberechtigte Dritte dieses System unter der Kennung des angemeldeten Benutzers verwenden und somit Zugriff auf diese oder eine andere Datenverarbeitungsanlage erhalten. Praxistipp Durch ein automatisches Abmelden eines Benutzers, z. B. nach einem Zeitraum von 5 bis 15 Minuten Inaktivität, wird das Zeitfenster, in dem ein unberechtigter an das System gelangen muss, verkleinert und die Wahrscheinlichkeit eines Missbrauchs reduziert. Entsprechendes kann beispielsweise durch ein sog. Session Timeout (Sitzungstimeout) realisiert werden, welcher in modernen Anwendungen bereits seit Langem zu den vom Softwarehersteller aus mitgelieferten und den konkreten Geschäftsanforderungen anpassbaren Standardfunktionalitäten gehört.
Personen mit Zugang zu Datenverarbeitungsanlagen sollten überdies durch organisatorische Richtlinien angewiesen werden, sich bei Beendigung ihrer Aufgaben, Abwesenheit o. Ä. von der Datenverarbeitungsanlage abzumelden, die Datenverarbeitungsanlage zu sperren oder diese auf eine andere Art zu sichern. Die Verwendung von Bildschirmschonern, welche sich automatisch bei Inaktivität nach Ablauf
Alsbih
C. Technisch-organisatorische Maßnahmen
633
eines Zeitraums aktivieren und zwingend die Eingabe eines Passworts erfordern, um den Arbeitsplatz wieder zugänglich zu machen, stellen eine arbeitsplatz- und anwendungsübergreifende Möglichkeit dar, diese Vorgabe zumindest rudimentär technisch zu erzwingen. Von großer Wichtigkeit ist eine nachgelagerte und regelmäßige Überprüfung 54 der Berechtigungen. Es ist sicherzustellen, dass tatsächlich nur die berechtigten Personen Zugang zu den datenverarbeitenden Systemen haben und dass z. B. aus dem Dienst ausgeschiedene oder die jeweilige Abteilung wechselnde Mitarbeiter ihre Berechtigungen unverzüglich wieder verlieren. Praxistipp Neben dokumentierten, zentral verantworteten und gelebten Prozessen für den Eintritt und den Austritt von Personal (Mitarbeiter sowie Dienstleister) sind standardisierte Prozesse (sog. EintrittVeränderung-Austritt-Prozess, kurz „EVA-Prozess“) für den Wechsel des Aufgabengebiets nötig. Anderenfalls droht wiederum das bereits im Zusammenhang mit der Zutrittskontrolle erläuterte „Auszubildenden-Phänomen“.21
Ebenfalls ist die beste Zugangskontrolle nutzlos, wenn sich mehrere Personen ein 55 Benutzerkonto (engl. „Account“) teilen, insbesondere das unter Administratoren beliebte Arbeiten mit einem sog. Gruppen-Account bzw. mit der Administrator-/ Root-Kennung22 muss unterbunden werden. Anderenfalls sind die Nachvollziehbarkeit der Datenverarbeitung sowie Systemänderungen nicht mehr möglich. Auch ggf. eingesetzte Protokollierungsdateien sind in diesem Fall nutzlos oder nur sehr eingeschränkt in ihrer Aussagekraft. Dies alles verbietet sich nicht nur aufgrund der datenschutzrechtlich zu gewährleistenden Zugangskontrolle, sondern auch aufgrund anderweitiger gesetzlicher Vorgaben. So verbietet sich etwa der Einsatz von kritischen Gruppen-Accounts oder nicht personifizierten Accounts im Anwendungsbereich der „Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS)“.23 Schlussendlich sollte es Angreifern erschwert werden, an die Authentifizie- 56 rungsmerkmale zu gelangen. Aus diesem Grund sollten entsprechende Schutzmaßnahmen getroffen werden. Hierbei empfiehlt sich die Beachtung folgender Checkliste.
21 Vgl. oben Praxistipp unter Rn 46. 22 Das Administratorkonto unter Windows sowie das root-Konto unter Linux ist ein nicht personenbezogenes Benutzerkonto mit den höchstmöglichen Rechten auf der Betriebssystemebene. 23 Die Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS) sind von der Arbeitsgemeinschaft für wirtschaftliche Verwaltung e. V. (AWV), Eschborn, ausgearbeitet worden, die auf ihrer Internetseite weitere Informationen dazu bereit hält. Die GoBS wurden mit BMF-Schreiben vom 7.11.1995 bekanntgegeben, abrufbar unter http://www.bundesfinanzministerium.de/ Content/DE/Downloads/BMF_Schreiben/Weitere_Steuerthemen/Betriebspruefung/015.pdf?__ blob=publicationFile&v=3.
Alsbih
634
Kapitel 12 Die technisch-organisatorischen Maßnahmen
Checkliste – Verschlüsselte Übertragung von Authentifizierungsmerkmalen: Auf diese Weise wird verhindert, dass Dritte das Authentifizierungsmerkmal, z. B. über das Netzwerk, mitlesen können und anschließend erneut verwenden, um sich selbst zu authentifizieren. – Keine Speicherung von Klartextpasswörtern: Durch die Speicherung von Passwörtern in gehashter Form, z. B. durch das bcrypt-Verfahren, wird der Aufwand des Angreifers erhöht, an das Passwort zu gelangen – vorausgesetzt, es handelt sich um ein sicheres Passwort.24 – Erzwingung von Passwort-Komplexität: Durch das technische Erzwingen von komplexen Passwörtern kann die Wahrscheinlichkeit eines erfolgreichen Brute-Force-Angriffs reduziert werden. Insoweit empfehlen sich eine Kombination aus Zeichen, Ziffern und Sonderzeichen sowie eine Mindestlänge von acht Zeichen. Insbesondere, wenn weitere Schutzmaßnahmen getroffen werden, erhöht sich der Schutz vor Brute-Force-Angriffen erheblich. Zu denken ist etwa an die automatische Sperrung einer IP-Adresse für einen bestimmten Zeitraum nach erfolgter mehrfacher Falschanmeldung und die Verdoppelung des Zeitraums zur Rückmeldung, dass es sich um ein falsches Passwort handelt, je erfolglosem Authentifizierungsversuch. – Erzwingen von Passwortwechseln: Benutzer sollten technisch dazu gezwungen werden, ihre Passwörter in regelmäßigen Abständen, z. B. alle 90 Tage, zu ändern. Dabei sollte auch sichergestellt sein, dass der Benutzer nicht die zuletzt gewählten (z. B. fünf) Passwörter erneut wählen kann. Auf diese Art und Weise wird das Zeitfenster verkürzt, in dem ein Angreifer unbemerkt ein Benutzerkonto verwenden kann, für die dieser in den unberechtigten Besitz der Authentifizierungsmerkmale gelangt ist.
III. Zugriffskontrolle 1. Allgemeine Beschreibung
57 Die Anlage zu § 9 S. 1 BDSG definiert die Zugriffskontrolle wie folgt: „[…] zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle) […]“25
Durch die Zugriffskontrolle soll sichergestellt werden, dass berechtigte Personen lediglich Zugriff auf Daten erhalten, die sie für die Erfüllung ihrer Tätigkeiten benötigen, auch als „Kenntnis-nur-bei-Bedarf-Prinzip“ (engl. „need-to-know-Prinzip“) bekannt. Weiterhin soll damit sichergestellt werden, dass lediglich die für diese Per-
24 Durch kryptographische Hashfunktion wird vermieden, das Passwort im Klartext zu speichern. Es wird stattdessen der eindeutige Hashwert des Passworts gespeichert. Bei einer Authentifizierung wird zunächst der Hashwert des Passwortes berechnet, das der Benutzer eingegeben hat und dieses mit dem gespeicherten Hashwert verglichen (siehe auch ISO/IEC 27002:2013(E), ISO copyright office, Genf 2013, S. 26. 25 Siehe Nr. 3 Anlage (zu § 9 S. 1) BDSG.
Alsbih
C. Technisch-organisatorische Maßnahmen
635
sonen angedachte Art der Datenverarbeitung (z. B. ausschließlich lesend) möglich ist. In Abgrenzung zur Zutritts- und Zugangskontrolle, die das „Ob“ des Zutritts bzw. Zugangs zum Gegenstand haben, regelt die Zugriffskontrolle die Art und Weise, mithin das „Wie“ des Umgangs mit den infrage stehenden Daten.26 Entsprechend gestalten sich die Praxisbeispiele.
2. Beispiele aus der Praxis Grundvoraussetzung für eine Zugriffskontrolle ist ein dediziertes und anwendungs- 58 spezifisches Rollen- und Berechtigungskonzept.27 Jeder Nutzer28 mit Zugriff auf die Datenverarbeitungsanlage muss einer oder mehrere dieser Rollen zugeordnet werden, welche die Zugriffsrechte (typischerweise lesend, schreibend) auf die Daten definiert. Wichtig ist insbesondere das zeitnahe Einspielen von sicherheitsrelevanten 59 Patches und Updates, die Deaktivierung sämtlicher nicht benötigter Dienste und Hardwareschnittstellen sowie die Deaktivierung oder Änderung der voreingestellten Dienstkonten bzw. Passwörter, um sowohl die Wahrscheinlichkeit eines unberechtigten Zugriffes zu reduzieren, als auch die Wahrscheinlichkeit von Manipulationen auf der Betriebssystem- oder Service-Ebene zu verringern.29 Bei eingesetzter Software ist darauf zu achten, dass die Entwicklung der Soft- 60 ware möglichst einem Security Development Lifecycle30 (SDL) folgte. Durch diesen soll die Software widerstandsfähiger gegen Angriffe und unberechtigte Datenzugriffe werden. Dabei sollten mindestens Richtlinien zur sicheren Entwicklung von Software angewandt werden, welche die Wahrscheinlichkeit des Auftretens von Sicherheitslücken in der Software reduzieren. Typischerweise orientieren sich diese Richtlinien an der Vermeidung der aus dem Open Web Application Security Project (OWASP) bekannten OWASP Top 10-Risiken31 sowie der CWE/SANS Top 25 der gefährlichsten Softwarefehler,32 wie beispielsweise SQL-Injections, Buffer Overflows oder Angriffe auf das Session-Management. In diesem Zuge sollte die eingesetzte Software auch
26 BeckOK DatenSR/Karg, Anlage zu § 9 BDSG Rn 22. 27 Vgl. BeckOK DatenSR/Karg, Anlage zu § 9 BDSG Rn 23.1. 28 Anmerkung: Es gibt typischerweise verschiedene Arten von Benutzern, dies sind in der Regel Dialognutzer, also Nutzer die direkt mit der Datenverarbeitungsanlage (IT-System) interagieren bzw. arbeiten und technische Nutzer, die systemseitige Dienste wie z. B. den Datenbankzugriff steuern. 29 Neben den herstellerspezifischen Anleitungen zur Härtung von IT-Systemen können die auf der Website des Center for Internet Security angebotenen Härtungsanleitungen eine gute Orientierung zur Absicherung der Systeme bieten, abrufbar unter http://benchmarks.cisecurity.org/. 30 Als eines der Referenzmodelle gilt der SDL von Microsoft. Details diesbezüglich finden sich unter http://www.microsoft.com/security/sdl/default.aspx. 31 Diese werden vom Open Web Application Security Project herausgegeben und finden sich unter https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project. 32 Diese werden vom SANS Institute herausgegeben und finden sich unter http://www.sans.org/ top25-software-errors/.
Alsbih
636
Kapitel 12 Die technisch-organisatorischen Maßnahmen
eine statische Code Analyse oder andere Formen technischer Überprüfung durchlaufen, welche die Einhaltung der organisatorischen Richtlinien, soweit technisch möglich, überprüfen und weitere potenzielle Sicherheitslücken identifizieren. Bei dem Einsatz von Verschlüsselung muss darauf geachtet werden, was auf 61 welche Weise für welchen Zweck verschlüsselt wird. Denn die Verschlüsselungsmechanismen unterscheiden sich stark in Einsatzmöglichkeiten, Funktionsumfang und Güte. Diverse Verschlüsselungsalgorithmen lassen sich bereits mit verhältnismäßig wenig Aufwand kompromittieren. Aus diesem Grund ist es wichtig, sowohl die verwendeten Verschlüsselungsalgorithmen als auch die Verschlüsselungsstärke entsprechend dem ermittelten Schutzbedarf zu wählen, sowie die gewählten und sich bereits im Einsatz befindlichen Algorithmen und Schlüsselstärken spätestens alle fünf Jahre einer Überprüfung zu unterziehen. Praxistipp Gute Anhaltspunkte für die Auswahl eines hinreichenden Verschlüsselungsverfahrens bieten das Bundesamt für Sicherheit in der Informationstechnik (BSI) sowie die Vorgaben der Kreditkartenindustrie entsprechend des Payment Card Industry’s Data Security Standard (PCI DSS). 62 Analog zu den vorherigen Maßnahmen ist auch bei der Zugriffskontrolle eine nach-
gelagerte und regelmäßige Überprüfung der Berechtigten notwendig. Insoweit empfehlen sich wiederum die bereits erläuterte Implementierung eines hinreichenden EVA-Prozesses33 sowie flankierende Prozesse für das Management von Ein- und Austritten von Mitarbeitern. Auch sollten Benutzerkonten, soweit technisch möglich, automatisch spätes63 tens nach 60 Tagen Inaktivität gesperrt werden. Praxistipp Bei Benutzern, die ihren Zugang einen langen Zeitraum nicht nutzen, sollte evaluiert werden, ob ein Zugang überhaupt erforderlich und damit auch gerechtfertigt ist oder ob nicht eine andere Form des Datenzugriffs zielführender und aus datenschutzrechtlicher Sicht daher zweckmäßiger ist.
IV. Weitergabekontrolle 1. Allgemeine Beschreibung 64 Die Anlage zu § 9 S. 1 BDSG definiert die Weitergabekontrolle wie folgt: „[…] zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert,
33 Vgl. oben Praxistipp unter Rn 46.
Alsbih
C. Technisch-organisatorische Maßnahmen
637
verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle) […]“.34
Durch diese Maßnahme soll verhindert werden, dass die Daten bei der Weitergabe Unberechtigten zugänglich gemacht werden. Dies gilt unabhängig davon, ob die Daten von einer Datenverarbeitungsanlage oder physisch (z. B. mittels mobiler Datenträger) übertragen werden. Entsprechend gestalten sich die Beispiele aus der Praxis.
2. Beispiele aus der Praxis Bei der Weitergabekontrolle muss sichergestellt werden, dass Daten, die auf herkömmlichem Weg weitergegeben werden sollen, Unbefugten nicht zugänglich gemacht werden. Für den physischen Transport der Daten sollten daher sichere Transportbehälter und -fahrzeuge eingesetzt werden. Sofern es sich um elektronische Datenträger handelt, sind diese, soweit möglich, zu verschlüsseln. Es sollten Protokolle darüber geführt werden, wer welche Daten zu welchem Zweck wann transportiert hat und an wen die Daten wann übergeben wurden. Auch sollte bei jeder Übergabe eine Legitimationsprüfung der Kuriere durchgeführt werden. Die entsprechenden Möglichkeiten sind beim Einsatz von auf diese Tätigkeiten spezialisierten Kurierdiensten typischerweise gegeben. Bei einem Transport der Daten auf dem elektronischen Weg ist darauf zu achten, dass der Transportweg über das eingesetzte Protokoll (https, sftp, ssh etc.) oder zumindest über die Transportinhalte abgesichert werden. Für beide Fälle ist Verschlüsselung eine Lösungsmöglichkeit, zumal der Gesetzgeber mit Satz 2 der Anlage zu § 9 S. 1 BDSG die dem Stand der Technik entsprechende Verschlüsselung ausdrücklich als präferierte Schutzmaßnahme definiert. Ob eine Verschlüsselung des Transportweges und/oder der übertragenden Daten selbst zweckmäßig ist, muss individuell anhand des Schutzbedarfes und der angenommenen Bedrohungslage evaluiert werden. Aufgrund der Natur digitaler Daten fällt die Manipulation oder die Entwendung von digitalen Daten nicht zwingend sofort auf, denn die Daten sind – anders als bei (physischen) Gegenständen – in der Regel nach wie vor vorhanden. Durch die Verwendung von „Virtual-Private-Network-Verbindungen“35 (kurz „VPN“) kann die Übertragung von Daten über Netzwerkgrenzen hinweg sicher verschlüsselt erfolgen. Dies ist insbesondere bei der Verwendung von unsicheren Netzwerkverbindungen wichtig, z. B. aus öffentlichen WLAN-Cafés oder ähnlichen Netzwerken, die nicht der
34 Siehe Nr. 4 Anlage (zu § 9 S. 1) BDSG. 35 Virtual Private Network bezeichnet in der Regel eine Technik zur verschlüsselten direkten Verbindung (sog. Tunnelung) von privaten Netzwerken über das (öffentliche) Internet. Vgl. McClure/Scambray/Kurtz, S. 358.
Alsbih
65
66
67
68
638
69
70
71
72
Kapitel 12 Die technisch-organisatorischen Maßnahmen
Kontrolle des Benutzers unterliegen. Die entsprechenden VPN-Tunnel erlauben dabei eine Ende-zu-Ende-Verschlüsselung mit vorgeschalteter Authentifizierung beider Kommunikationspartner, z. B. mittels Benutzernamen und Passwort und/oder mit Zertifikaten. Nicht immer existiert die Möglichkeit, VPN-Tunnel zu nutzen, zumal diese oft den Einsatz von zusätzlicher Software erfordern. In diesen Fällen sollten sog. Session-Layers36 (übersetzt: „Sitzungsschichten“) genutzt werden. So bietet beispielsweise die Verwendung von Transport Layer Security37 (TLS) bzw. dem älteren Secure Sockets Layer (SSL) die Möglichkeit, Daten auf dem Übertragungsweg vom Absender zum Empfänger zu verschlüsseln. Die wohl bekannteste Implementierung ist „Hyper Text Transfer Protocol Secure“ (HTTPs). Sowohl VPN-Tunnel als auch die Verwendung von TLS oder SSL definieren lediglich das Rahmenwerk, welches dafür eingesetzt wird, übertragene Daten vor dem Zugriff sowie der Manipulation durch unberechtigte Dritte zu schützen. Entscheidend für die Güte dieses Schutzes sind jedoch die eingesetzten Verschlüsselungsalgorithmen sowie die damit verbundene Schlüssellänge.38 In der heutigen Zeit sind Schlüssellängen von 2048 Bit im Fall von asymmetrischen kryptographischen Verfahren (z. B. RSA) sowie 256 Bit im Fall von symmetrischen kryptographischen Verfahren (z. B. AES) durchaus das Mittel der Wahl. Hierbei sind – wie die neusten Entwicklungen zeigen – die zugrundeliegenden Schlüssel auf den eingesetzten Datenverarbeitungsanlagen oder Infrastrukturkomponenten, wie insbesondere Routern, gegen unautorisierten Zugriff besonders zu schützen. Bei der automatisierten Übertragung von Daten (sog. Maschine-zu-MaschineKommunikation) sollten die Datenarten sowie die Art und Weise der Übertragung in einem Datenflussdiagramm festgehalten werden. Weiterhin sollten auch innerhalb eines Informationsverbunds ausschließlich Schnittstellen verwendet werden, welche eine Verschlüsselung auf der Netzwerkebene einsetzen. Auch sollte ein eindeutiger Service-Account – mit entsprechender Authentifizierung – für diese Schnittstellen vorhanden sein. In der heutigen Zeit werden immer mehr Daten auf mobilen Datenträgern, wie Festplatten, USB-Sticks, Laptops, Tablets und neuerdings auch sog. Cloud-Storages,
36 Mit Sitzungsschicht wurde die Schicht 5 des OSI-Referenzmodells bezeichnet. Diese Bezeichnung wurde mittlerweile von der Kommunikationssteuerungsschicht abgelöst. Siehe dazu ISO/IEC 7498-1, 2nd Edition 7498-1, 1994-11-15. 37 Siehe dazu http://www.ietf.org: Transport Layer Security (TLS; deutsch Transportschichtsicherheit, sieh auch OSI-Schichtenmodell), weitläufiger bekannt unter der Vorgängerbezeichnung Secure Sockets Layer (SSL), ist ein hybrides Verschlüsselungsprotokoll zur sicheren Datenübertragung im Internet. Seit Version 3.0 wird das SSL-Protokoll unter dem neuen Namen TLS weiterentwickelt und standardisiert, wobei Version 1.0 von TLS der Version 3.1 von SSL entspricht. 38 Siehe dazu auch: BSI, Kryptographische Verfahren: Empfehlungen und Schlüssellängen, TR02102, Version 2013.02 v. 9.1.2013.
Alsbih
C. Technisch-organisatorische Maßnahmen
639
gespeichert. Bezüglich mobiler Datenträger und aus Datenverarbeitungsanlagen ausgebauten Festplatten greifen die Regelungen des Betriebssystems nicht mehr. Jede Person mit einem physischen Zugriff auf solche Datenträger erhält daher ohne Weiteres auch einen Datenzugriff. Aus diesem Grund sollten sensible und auch personenbezogene Informationen auf Datenträgern soweit wie möglich verschlüsselt abgespeichert werden. Bei Laptops bietet es sich an, eine Vollverschlüsselung der Datenträger zu ver- 73 wenden, wobei irrelevant ist, ob dies über die Methoden des Betriebssystems oder durch Drittprodukte realisiert wird. Dies empfiehlt sich auch vor dem Hintergrund anderenfalls bestehender rechtlicher Pflichten im Falle des Abhandenkommens eines Laptops. So gehen die Aufsichtsbehörden davon aus, dass grundsätzlich keine Meldepflicht nach § 42a BDSG besteht, wenn ein Laptop mit wirksam verschlüsseltem Datenträger abhandenkommt,39 wenngleich dies im Einzelfall naturgemäß nicht davon entbindet, im Rahmen einer Risikoanalyse zu prüfen, ob gleichwohl Dritte zugegriffen haben könnten.40 Dennoch sind der Prüfungsumfang und die Meldewahrscheinlichkeit bei entsprechender Verschlüsselung deutlich geringer, weshalb sich eine angemessene Verschlüsselung auch vor dem Hintergrund anderenfalls drohender Meldepflichten empfiehlt, deren Verletzung im Übrigen mit Bußgeldern von bis zu 300.000 € geahndet werden kann.41 Es sei jedoch angemerkt, dass auch eine Verschlüsselung keine absolute Sicher- 74 heit gewährleistet. Im laufenden Betrieb ist die Festplattenverschlüsselung für die am System angemeldeten Benutzer in der Regel vollständig transparent gegenüber dem laufenden Betriebssystem. Wird das System nicht geschützt, kann ein Unberechtigter die Daten in diesem Zustand ohne großen Aufwand kopieren. Lediglich im ausgeschalteten Zustand oder bei einem Diebstahl des Datenträgers schützt die Verschlüsselung daher vor unbefugter Einsicht. Daher gilt es bei der, wie ausgeführt, ja stets im Falle des Abhandenkommens eines Laptops vorzunehmenden Risikoanalyse nach § 42a BDSG auch zu prüfen, ob der Laptop ausgeschaltet war oder nicht. War er es nicht, kann eine Meldepflicht trotz Verschlüsselung bestehen. Dies empfiehlt sich auch vor dem Hintergrund, dass einzelne Verschlüsselungsmethoden aufgrund sog. Hintertüren im Programmcode u. U. eine Umgehung der Verschlüsselung zulassen, weshalb die Wahl der Verschlüsselungssoftware sowie eine Sensibilisierung der Nutzer darüber, wann die Verschlüsselung tatsächlich hilft, die Daten zu schützen, unerlässlich sind.
39 Vgl. Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten nach § 42a Bundesdatenschutzgesetz (BDSG) – Häufig gestellte Fragen (FAQs), Stand: 11/2010, S. 9, abrufbar unter https:// www.ldi.nrw.de/. 40 Vgl. Hümmerich/Boecken/Düwell/Gola, § 42a BDSG Rn 2. 41 Vgl. § 43 Abs. 2 Nr. 7 mit Abs. 3 S. 1 BDSG.
Alsbih
640
Kapitel 12 Die technisch-organisatorischen Maßnahmen
Praxistipp Neben einer bereits unter dem Aspekt der Organisationskontrolle stets erforderlichen Richtlinie zum Vorgehen bei einem Datenverlust nach § 42a BDSG sollte sich auch eine Richtlinie im Unternehmen in Kraft befinden, wonach die Mitarbeiter angehalten werden, Computer am Ende eines Arbeitstages stets herunterzufahren und Laptops außerhalb der betrieblichen Räumlichkeiten niemals im eingeschalteten Zustand unbeaufsichtigt zu lassen. Hierzu bietet sich etwa die IT-Sicherheitsrichtlinie an. In ihr sollten Mitarbeiter überdies verpflichtet werden, Laptops stets auch physisch, z. B. mit sog. Kensington-Schlössern, zu sichern. Dabei ist zu empfehlen, diese Verpflichtung auch für innerbetriebliche Räumlichkeiten auszusprechen, da gerade Laptops auch innerhalb des Betriebes häufig gestohlen werden. Dies liegt nicht zuletzt auch daran, dass betriebsfremdes Personal ebenso regelmäßig Zugang zu diesen Räumlichkeiten hat und ein nicht gesicherter Laptop schnell und unauffällig entwendet werden kann. Hier ist dann nicht selten die Gelegenheit Auslöser des Diebstahls, die nur mit Maßnahmen gegen die unberechtigte Wegnahme vermieden werden kann. 75 Unabhängig davon sind – durch den Fortschritt der Technik sowie der Entdeckung
von neuen Angriffsmöglichkeiten – Verschlüsslungen, welche vor Jahren noch als sicher galten, mittlerweile unsicher. Aus diesem Grund müssen auch für eine wirksame Weitergabekontrolle sowohl die verwendeten Verschlüsselungsalgorithmen als auch die Verschlüsselungsstärke spätestens alle fünf Jahre auf ihre Aktualität hin überprüft werden.
Praxistipp Wie bereits bei der Zugriffskontrolle erwähnt, bieten sowohl das Bundesamt für Sicherheit in der Informationstechnik (BSI) als auch die Vorgaben der Kreditkartenindustrie entsprechend des Payment Card Industry’s Data Security Standard (PCI DSS) gute Anhaltspunkte für die Auswahl eines hinreichenden Verschlüsselungsverfahrens. 76 Auch aufgrund des Fortschritts bei den Datenrettungs- und Wiederherstellungsme-
thoden und insbesondere des hohen Automatisierungs- und Erfolgsgrads diverser frei erhältlicher Tools ist die Verschlüsselung von Festplatten von immenser Wichtigkeit. Da jedoch bei Server-Systemen aus Performance- und Skalierungsgründen in der Regel keine Festplattenverschlüsselung eingesetzt wird, ist insbesondere beim Austausch von Festplatten oder der Außerbetriebnahme der Datenverarbeitungsanalage als Ganzes darauf zu achten, dass kein Zugriff mehr auf gespeicherte Daten möglich ist. Praxistipp Aus diesem Grunde sollten bei Server-Systemen, aber auch bei anderen Geräten mit nicht verschlüsselten Datenträgern (z. B. Kopiergeräte) nicht mehr verwendete Datenträger physisch (z. B. durch Verwendung eines Festplattenshredders) zerstört oder durch Verwendung eines „Degaußers“, der für die Entmagnetisierung der Datenträger sorgt, hinreichend sicher gelöscht werden. Alternativ sollte der Datenträger zumindest mit sog. Wiping-Tools bearbeitet werden, die die darauf befindlichen Daten mit Zufallsdaten überschreiben. Ein einfaches Formatieren des Datenträgers oder schlichtes Löschen der Daten selbst birgt indes keinerlei Sicherheit für eine hinreichende Löschung.
Alsbih
C. Technisch-organisatorische Maßnahmen
641
Die auf dem Datenträger gespeicherten Daten können dann noch mit einfachsten Mitteln wiederhergestellt werden. Bei einer Löschung von Einzeldaten ist ferner zu berücksichtigen, dass diverse Mechanismen des Betriebssystems, wie etwa der Volume Shadow Copy Service (VSS) von Microsoft, existieren, welche sog. Schattenkopien der Daten an verschiedenen Dateiorten anlegen, ohne dass dies für den Nutzer zunächst ersichtlich wäre.
Leider versagen Degaußer oder das Überschreiben des Datenträgers bei den immer 77 häufiger verwendeten Solid-State-Drive-Festplatten (kurz „SSD“). Dies liegt in der technischen Funktionsweise dieser Datenträger begründet, bei welcher der Festplatten-Controller signifikanten Einfluss auf die Lese- und Schreibbefehle nimmt. Praxistipp Bei SSD-Festplatten sollte aus diesem Grund eine physische Zerstörung mittels eines Festplattenshredders oder – sofern nicht anders möglich – die Advanced Technology Attachment (ATA)-Methode „Secure Erase“42 verwendet werden. Diese Methode aus der ATA-Spezifikation sieht eine sichere und vollständige Löschung sämtlicher Festplattenblöcke vor.
Bei mobilen Datenträgern sollten – sofern nicht anders technisch realisierbar – die 78 Daten z. B. in einem passwortgeschützten ZIP-Archiv43 gespeichert werden. Auf diese Weise wird sichergestellt, dass ein Zugriff auf die Daten nur mit einem hohen Aufwand (wie z. B. mit einem „brute force“-Angriff44) möglich ist. Es existieren bereits diverse portable Versionen dieser Tools, welche keinerlei Installation bedürfen und zusätzlich auf den Datenträger gespeichert werden können. Auf diese Art und Weise wird der verschlüsselte Austausch von Daten noch weiter vereinfacht. Oft erfolgt eine Übertragung von Daten per E-Mail, insbesondere wenn es sich um 79 kleine und nicht regelmäßig zu übertragende Datenmengen handelt. Dabei können Daten insbesondere durch Flüchtigkeitsfehler schnell an einen falschen Adressaten versandt werden. Typisch hierfür ist Folgendes:
42 Ein Secure Erase soll laut ATA-Spezifikation das sichere Löschen aller gespeicherten Daten eines Datenträgers garantieren. Bei den meisten SSDs, die Secure Erase unterstützen, führt dies zum physischen Löschen aller Blöcke der SSD, aus http://www.thomas-krenn.com/de/wiki/SSD_Secure_Erase. 43 Details siehe http://de.wikipedia.org/wiki/ZIP-Dateiformat: Das ZIP-Dateiformat (von englisch zipper = Reißverschluss) ist ein Format für komprimierte Dateien, das einerseits den Platzbedarf bei der Archivierung reduziert und andererseits als Containerdatei fungiert, in der mehrere zusammengehörige Dateien oder auch ganze Verzeichnisbäume zusammengefasst werden können. Die Dateiendung für zip-archivierte Dateien ist .zip. 44 Die Brute-Force-Methode (deutsch „rohe Gewalt“) ist in diesem Fall ein Angriff auf das Passwort der ZIP-Datei mittels Ausprobieren von Zeichenkombinationen zum Erraten des Passwortes.
Alsbih
642
Kapitel 12 Die technisch-organisatorischen Maßnahmen
Beispiel Herr Maier der Firma A erhält die Daten, die eigentlich für Herrn Meier der Firma B gedacht waren, weil versehentlich ein falscher, namensgleicher Kontakt aus der Vorschlagsliste des E-Mail-Programms für regelmäßige Kontaktpartner des Absenders ausgewählt wurde. 80 Vor Fehlern dieser Art kann leider auch die Verwendung einer E-Mail-Verschlüs-
selung nicht schützen, da die E-Mail in diesem Fall korrekt mit dem Schlüssel von Herrn Maier verschlüsselt worden wäre und Herr Maier als Empfänger dieser E-Mail die Daten dementsprechend hätte einsehen können. Aus diesem Grunde, und weil ohnehin kein flächendeckender Standard zur E-Mail-Verschlüsselung existiert, ist zu empfehlen, den Dateianhang mittels eines Leseschutzes – basierend auf einer symmetrischen Verschlüsselung – zu schützen, z. B. mittels eines ZIP-Passwortes. Anschließend kann das Passwort dem zutreffenden Empfänger dann über einen anderen Kommunikationskanal, wie Telefon, SMS oder Fax, bekanntgemacht werden. Auf diese Weise ist auch sichergestellt, dass im Falle der Verwechselung von Adressaten vertrauliche Informationen nicht abhandenkommen. Denn dass dem falschen Adressaten auch das Passwort für den Dateianhang über den zweiten Kommunikationskanal übermittelt wird, ist eher unwahrscheinlich. Bei der Verwendung von Verschlüsslungen auf dem Session-Layer, wie bei dem 81 „Hyper Text Transfer Protocol Secure“ (kurz „HTTPs“), ist es wichtig, die Nutzer dafür zu sensibilisieren, dass Zertifikatsfehlerwarnungen – also Warnmeldungen bei dem Aufruf durch HTTPs gesicherter Verbindungen – darauf hindeuten können, dass die Kommunikation zum Empfänger nicht mehr gesichert ist und ein sog. Manin-the-middle-Angriff45 (kurz „MITM-Angriff“) stattfindet. Dies bedeutet, dass unberechtigte Dritte ggf. Einsicht in die Daten erhalten oder diese manipulieren können. Eine weitere Maßnahme zur Sicherstellung der Weitergabekontrolle stellt die 82 Netzwerkseparierung dar. Dabei wird das Netzwerk in unterschiedliche Netzwerkzonen unterteilt. Ein Kriterium zur Unterteilung der Netzwerke kann beispielsweise eine Segmentierung anhand des Schutzbedarfs der IT-Systeme darstellen. Die einzelnen Netzwerksegmente werden anschließend durch Firewalls mit individuellen Regelwerken abgesichert. Durch ein entsprechendes Regelwerk auf den Firewalls kann anschließend die Kommunikation zwischen den einzelnen Netzwerksegmenten auf das Minimum reduziert werden bzw. der Zugriff aus einzelnen Netzwerksegmenten auch völlig unterbunden werden.
45 Ein MITM-Angriff ist eine Angriffsform, bei der der Angreifer entweder physisch oder logisch zwischen den beiden Kommunikationspartnern steht und dabei mit seinem System vollständige Kontrolle über den Datenverkehr zwischen den Netzwerkteilnehmern erlangt hat. Er kann dabei die Daten einsehen oder manipulieren. Dabei täuscht der Angreifer vor, der jeweils andere Kommunikationspartner zu sein, ohne dass dies von beiden bemerkt werden würde. Vgl. Prowell, S. 101.
Alsbih
C. Technisch-organisatorische Maßnahmen
643
Bei der Netzwerkseparierung sollten typischerweise bestimmte Netzwerkseg- 83 mente eingerichtet werden. Hierbei empfiehlt sich die Beachtung folgender Checkliste: Checkliste Folgende Netzwerksegmente sollten bei einer Netzwerkseparierung typischerweise mindestens gebildet werden: – eine Internet-Zone, welche Systeme enthält, die direkt mit dem Internet verbunden sein müssen, – ein Client-Netzwerk, welches die Benutzerarbeitsplätze beinhaltet, – ein Server-Netzwerk, welches die Server-Systeme umfasst, – ein Telefonie-Netzwerk, welches die Telefon-Switches sowie die Voice-over-Internet-ProtocolTelefone (VoIP) vorhält sowie – ein Management-Netzwerk, von dem aus die Administration der Systeme erfolgt. Insoweit gilt Folgendes: – Sämtliche administrativen Schnittstellen auf IT-Systeme sollten nur aus diesem Netzwerk möglich sein und der Zugang zu diesem Netzwerk sollte dementsprechend abgesichert sein. – Es ist darauf zu achten, dass sowohl Prozesse zur Anlage von neuen Firewall-Freischaltungsregelungen existieren als auch Prozesse zum Entfernen von nicht mehr benötigten Regeln. – Die getroffenen Regelungen sind zyklisch auf ihre Notwendigkeit hin zu überprüfen.
V. Eingabekontrolle 1. Allgemeine Beschreibung Die Anlage zu § 9 S. 1 BDSG definiert die Eingabekontrolle wie folgt:
84
„[…] zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle) […]“46
Durch die Eingabekontrolle soll in der kleinstmöglichen Implementierungsstufe die Nachvollziehbarkeit sämtlicher Verarbeitungen sichergestellt werden. Ziel ist es, zu protokollieren, wer wann welche Daten erstellt, eingesehen, verändert und gelöscht hat. Entsprechend gestalten sich die Praxisbeispiele.
2. Beispiele aus der Praxis Die Eingabekontrolle hat eine abschreckende Wirkung und dient hauptsächlich dazu, 85 im Fehlerfall oder bei Verdacht einer missbräuchlichen oder unberechtigten Verarbeitung der Daten die Aufklärung des Sachverhalts zu erleichtern.
46 Siehe Nr. 5 Anlage (zu § 9 S. 1) BDSG.
Alsbih
644
Kapitel 12 Die technisch-organisatorischen Maßnahmen
Die bekannteste Form der Eingabekontrolle ist die Verwendung von Protokollierungsfunktionen (sog. Logging), um ein sog. Audit-Log zu erstellen. Je nach Schutzbedarf der verarbeiteten Daten werden in einem solchen Audit-Log zunächst Datenveränderungen protokolliert, namentlich (1) die Neuanlage, (2) die Veränderung und (3) das Löschen von Daten. Bei Daten mit einem sehr hohen Schutzbedarf sollten dabei auch die (4) Lese-Zugriffe auf die Daten protokolliert werden. Je nach Art des Datenverarbeitungssystems kann insbesondere bei der Protokollierung der lesenden Zugriffe ein hohes Aufkommen an Protokollierungsdaten entstehen. Bei der Konfiguration eines Audit-Logs ist auf eine BDSG-konforme Ausgestaltung 87 zu achten, was insbesondere erfordert, dass im Audit-Log keine Daten gespeichert werden, die nicht zwingend benötigt werden gemäß den Grundsätzen der Datensparsamkeit und Datenvermeidung (§ 3a BDSG). Dies gilt es auch sicherzustellen, um die Wahrscheinlichkeit einer missbräuchlichen Nutzung der Protokollierungsdaten zu reduzieren, den Schaden einzudämmen, falls es doch zu einem unberechtigten Zugriff auf Protokollierungsdaten kommen sollte, und um die Protokollierung mit Blick auf den benötigten Speicherplatz wirtschaftlich halten zu können. Um dies sicherzustellen, sollte bei der Festlegung der zu protokollierenden Informationen in der Regel eine Auswahl gemäß folgender Liste genügen.
86
Checkliste – Wer hat etwas getan (z. B. welcher Prozess oder welcher Benutzer von welchem System aus)? – Wann geschah es (der Zeitstempel)? – Wo geschah es (d. h., welches System der Datenverarbeitungsanlage ist betroffen)? – Was wurde getan (welche Aktion wurde durchgeführt – z. B. schreiben, lesen, verändern und/ oder löschen – und/oder welches Ereignis hat stattgefunden und welcher Datensatz ist hiervon jeweils betroffen)? 88 Bei der Protokollierung der Aktionen innerhalb der Datenverarbeitungsanlagen im
Informationsverbund ist darauf zu achten, dass nicht nur die Zugriffe auf die Datensätze selbst protokolliert werden. Vielmehr sollten auch sämtliche administrativen Zugriffe, wie z. B. die Änderung von Systemeinstellungen, das Einrichten von Benutzern oder die Änderung von Rechten einzelner oder mehrere Personen aufgezeichnet werden. Auch sollten sämtliche erfolgreichen und erfolglosen Versuche der Authenti89 fizierung protokolliert werden. Dabei ist darauf zu achten, dass mindestens auch das Quellsystem (z. B. über die IP-Adresse) protokolliert wird, um eine Nachverfolgung zu ermöglichen. Insbesondere sofern die Protokollierung sämtlicher lesenden Zugriffe auf die Daten innerhalb der Datenverarbeitungsanalage unverhältnismäßig oder aus anderen Gründen nicht möglich ist, sollten erfolglose Anmeldeversuche protokolliert werden. Denn so können ggf. zumindest solche Personen identifiziert werden, die unberechtigt versucht haben, auf die Datenverarbeitungsanlage als solche zuzugreifen.
Alsbih
C. Technisch-organisatorische Maßnahmen
645
Auch bei dieser Maßnahme ist darauf zu achten, dass die Protokollierung über 90 alle Ebenen47 erfolgt (vgl. Abbildung 3 unter Rn 50). Praxistipp Ein Audit-Log auf Anwendungsebene ist nahezu nutzlos, wenn die Möglichkeit besteht, an der Anwendung vorbei z. B. direkt auf die Datenbank zuzugreifen und dort entsprechende lesende- oder schreibende Zugriffe durchzuführen, ohne dass dies wiederum protokolliert wird. Aus diesem Grund sollte ein Protokollierungskonzept für sämtliche Komponenten der Datenverarbeitungsanlage existieren, d. h. für die Betriebssysteme, die darauf bereitgestellten Services (wie z. B. Web-Server, DatenbankServer etc.) sowie für die darauf installierten Anwendungen.
Weiterhin ist es wichtig, die Protokollierungsdaten vor einem missbräuchlichen 91 Zugriff sowie Manipulation zu schützen. Zur Speicherung der Protokollierungsdaten sollte ein zentraler Log-Server zum Einsatz kommen, an den sämtliche Systeme im Informationsverbund in Echtzeit ihre Protokolldaten senden. Sofern der Zugriff auf den Log-Server einer anderen Personengruppe unterliegt (Kontrollprinzip der Funktionstrennung), kann die Wahrscheinlichkeit gesenkt werden, dass berechtigte oder unberechtigte Personen eine ggf. unzulässige Verarbeitung der Daten durch ein Löschen oder eine Manipulation an den Protokolldaten verbergen können. Insbesondere bei der Protokollierung über mehrere Systeme hinweg ist darauf 92 zu achten, dass sämtliche Systeme im Informationsverbund über dieselbe korrekte Systemzeit verfügen. Dies ist insbesondere wichtig, um Protokollierungsdaten korrelieren zu können. Nahezu sämtliche Systeme bieten zu diesem Zweck die Möglichkeit, über das Network Time Protocol (NTP) oder Simple Network Time Protocol (SNTP) die Systemzeit mit einem Zeitserver abzugleichen. Eine hohe Genauigkeit in der Anwendung einer einheitlichen Systemzeit erleichtert bei einer Analyse von Vorfällen die Arbeit ungemein. Dies ist auch sicherzustellen, wenn der Server im Ausland steht und somit naturgegeben eine abweichende Systemzeit hat. Damit eine Protokollierung einen praktischen Sinn entfaltet, müssen die Proto- 93 kolldaten regelmäßig ausgewertet werden. Anderenfalls läuft die Kontrollfunktion der Protokollierung leer. Dies gilt es, bei der Konzeptionierung der Protokollierung von vornherein zu berücksichtigen. Denn sind keine Ressourcen zur Auswertung vorhanden oder existieren keine Prozesse, die eine regelmäßige Auswertung einschließlich Datenanlieferung und -abruf durch definierte Stellen vorsehen, stellt sich die Frage nach der Effektivität der Protokollierung. Dann steht die Effektivität der Eingabekontrolle als Ganzes infrage, was die Gefahr eines Verstoßes gegen § 9 S. 1 BDSG begründet. Dementsprechend ist also nicht nur wichtig, „was“ protokolliert und „wie lange“ das jeweilige Protokoll aufbewahrt wird, sondern auch, ob die
47 Ebenen bezeichnen bei Datenverarbeitungsanlagen typischerweise die Anwendungsebene, die Serviceebene, die Betriebssystemebene und die Netzwerkebene.
Alsbih
646
Kapitel 12 Die technisch-organisatorischen Maßnahmen
Protokollierungen einem „zyklischen Review“ unterzogen werden und wie dieser erfolgt. Praxistipp Um der ggf. zu beachtenden Pflicht nachzukommen, Aufbewahrungsfristen bezüglich der Protokolldaten zu wahren, und um eine zielführende Auswertung der Protokolldaten zu ermöglichen, sollte eine vollautomatisierte Verarbeitung der Protokollierungsdaten in Betracht gezogen werden. So sind sog. Security Information and Event Management Systeme („SIEM“) in der Lage, die Protokollierungsdaten sämtlicher Systeme aus dem Informationsverbund der Datenverarbeitungsanlage unverfälscht zu speichern, automatisch zu korrelieren und die relevanten Einträge aus der Masse der protokollierten Informationen herauszufiltern sowie auf entsprechende Ereignisse in konfigurierbarer Weise zu reagieren, einschließlich festgelegte Personen zu alarmieren. Bezüglich der Aufbewahrungszeiten von Audit-Logs liegt die Empfehlung auch im Kontext eventuell erforderlicher Untersuchungen von Vorfällen bei mindestens zwölf Monaten,48 wenngleich aufgrund des regelmäßig bestehenden Personenbezugs im Vorfeld zu prüfen ist, ob dieser Zeitraum auch datenschutzrechtlich vertretbar ist (vgl. § 35 Abs. 2 S. 1 Nr. 3 und Abs. 3 BDSG).
VI. Auftragskontrolle 1. Allgemeine Beschreibung
94 Die Anlage zu § 9 S. 1 BDSG definiert die Auftragskontrolle wie folgt: „[…] zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle) […]“49
Ziel dieser Maßnahme ist die Kontrolle einer weisungsgemäßen Datenverarbeitung im Falle einer Auftragsdatenverarbeitung gem. § 11 BDSG.50 Dabei bindet die Auftragskontrolle beide Parteien – den Auftraggeber und den Auftragnehmer.51 So muss der Auftragnehmer durch hinreichende Eigenkontrollen sicherstellen, dass er den Weisungen des Auftraggebers Folge leistet.52 Umgekehrt muss der Auftraggeber auch kontrollieren, dass der Auftragnehmer seine Weisungen zutreffend umsetzt.53 Entsprechend gestalten sich die folgenden Praxisbeispiele.
48 Vgl. Trustwave Global Security Report 2013, Stand: 05/2013, S. 2, abrufbar unter http://www2. trustwave.com/rs/trustwave/images/2013-Global-Security-Report.pdf. 49 Siehe Nr. 6 Anlage (zu § 9 S. 1) BDSG. 50 BeckOK DatenSR/Karg, Anlage zu § 9 BDSG, S. 1 Rn 31. 51 BeckOK DatenSR/Karg, Anlage zu § 9 BDSG, S. 1 Rn 33. 52 BeckOK DatenSR/Karg, Anlage zu § 9 BDSG, S. 1 Rn 33. 53 BeckOK DatenSR/Karg, Anlage zu § 9 BDSG, S. 1 Rn 34.
Alsbih
C. Technisch-organisatorische Maßnahmen
647
2. Beispiele aus der Praxis Zunächst ist ein schriftlicher Auftragsdatenverarbeitungsvertrag gem. § 11 BDSG (kurz 95 „ADV-Vertrag“) erforderlich, der mindestens die in § 11 Abs. 2 S. 2 BDSG genannten Punkte regelt. Gerade wenn das Muster eines ADV-Vertrages von der jeweiligen Gegenseite zur Verfügung gestellt wird, gilt es, dieses unbedingt auf eine gem. § 11 Abs. 2 S. 2 BDSG genügende Ausgestaltung hin zu überprüfen. So zeigt die Praxis, dass – obwohl hinreichende Muster häufig sogar entgeltlos von verschiedenen Verbänden bezogen werden können – immer wieder Muster verwendet werden, die diesen Anforderungen nicht genügen. Dies trifft auch vereinzelt auf Muster einiger weniger Verbände zu und ist durchaus misslich, da bei unrichtiger Erteilung einer Auftragsdatenverarbeitung (kurz „ADV“) ein Bußgeld droht, das im Grundsatz 50.000 € nicht übersteigt, § 43 Abs. 1 Nr. 2b i. V. m. Abs. 3 S. 1 BDSG. Überdies kann auch die Legitimationswirkung der ADV (§ 3 Abs. 8 S. 3 BDSG) infrage stehen. Deshalb sollte jedes Muster einer ADVVereinbarung auf seine hinreichende Ausgestaltung hin überprüft werden. Hierbei ist darauf zu achten, dass zu allen in § 11 Abs. 2 S. 2 BDSG genannten Punkten hinreichende Angaben zu machen sind. Dies gilt – mit Ausnahme der Regelungen zu den Weisungsbefugnissen – auch für sog. Funktionsübertragungsverträge und für (Fern-) Wartungsverträge, wobei Letztere nur entsprechender Regelungen bedürfen und dies auch nur dann, wenn sich – wie regelmäßig – nicht ausschließen lässt, dass der Dienstleister bei der Wartung Zugriff auf personenbezogene Daten erhält, § 11 Abs. 5 BDSG.54 Soweit Angaben nach § 11 Abs. 2 S. 2 BDSG zu machen sind, empfiehlt sich die Prüfung/Ausgestaltung gemäß folgender Liste: Checkliste Gemäß § 11 Abs. 2 S. 2 BDSG zu regeln sind: 1. der Gegenstand und die Dauer des Auftrags, 2. der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen, 3. die nach § 9 BDSG zu treffenden technischen und organisatorischen Maßnahmen, 4. die Berichtigung, Löschung und Sperrung von Daten, 5. die nach § 11 Abs. 4 BDSG bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen, 6. die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen, 7. die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers, 8. mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen, 9. der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält und 10. die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags.
54 Thüsing/Thüsing/Granetzny, § 16 Rn 17.
Alsbih
648
Kapitel 12 Die technisch-organisatorischen Maßnahmen
96 Ergänzend empfiehlt sich die Regelung weiterer Punkte, insbesondere:
– Eine Verpflichtung des Auftragnehmers, ein Sicherheitskonzept für den betroffenen Informationsverbund zu erstellen und das Sicherheitskonzept fortlaufend auf seine Zweckmäßigkeit und Verbesserungsfähigkeit zu überprüfen und bei Bedarf zu überarbeiten, um es an die aktuellen Sicherheitsanforderungen anzupassen, einschließlich etwaiger Veränderungen der zur Erbringung der Services eingesetzten Systeme und Prozesse. – Eine Verpflichtung des Auftragnehmers, den Auftraggeber unverzüglich über alle sicherheitsrelevanten Ereignisse und Datenschutzvorfälle zu informieren, die möglicherweise Auswirkungen auf die Daten des Auftraggebers haben. Diese Verpflichtung sollte auch Informationen darüber enthalten, welche Maßnahmen von den Parteien getroffen werden können, um die Auswirkungen zu minimieren. – Eine Verpflichtung, die es dem Auftragnehmer untersagt, sich Zugang oder Zugriff auf Systeme und Daten in anderer als der vertraglich vereinbarten Weise zu verschaffen und ihn dazu anhält, lediglich die vertraglich geregelten und für die Erfüllung der Tätigkeit notwendige Verarbeitung der Daten durchzuführen. – Eine Verpflichtung des Auftragsnehmers, sämtliche Daten – sofern technisch realisierbar – dem Stand der Technik gemäß verschlüsselt abzuspeichern sowie durch geeignete Prozesse und technische und organisatorische Maßnahmen sicherzustellen, dass der Zugriff auf die Klartextdaten lediglich den Personen möglich ist, die diese Daten zwingend für die Ausübung ihrer Tätigkeit benötigen („need-to-know“-Prinzip). – Die Verpflichtung des Auftragnehmers, sämtliche Mitarbeiter auf das Datengeheimnis nach § 5 BDSG zu verpflichten. Stehen Telekommunikationsdienstleistungen infrage (E-Mail, Telefon), sollte der Dienstleister ferner verpflichtet werden, seine Mitarbeiter auf das Fernmeldegeheimnis (§ 88 TKG) zu verpflichten. Unterliegt der Auftraggeber dem Berufsgeheimnis, sollte überdies vereinbart werden, dass alle Mitarbeiter des Auftragnehmers auch gemäß den für den Auftraggeber einschlägigen Berufsgeheimnisregeln verpflichtet werden.55
97 Bei Spezialthemen, z. B. der Datenverarbeitung in der Cloud, empfiehlt es sich, sich
bei der Ausgestaltung der Datenschutzverträge durch Rechtsanwälte und ggf. weitere externe Dienstleister unterstützen zu lassen. Oftmals existieren diverse Spezialfälle und technische Einschränkungen, die spezieller Regelungen bedürfen, die sich durch eine Standardgestaltung nicht abdecken lassen. In jedem Falle ist vertraglich sicherzustellen, dass der Auftragnehmer – z. B. 98 durch regelmäßige, selbst durchzuführende und zu dokumentierende Audits – selbst kontrolliert, dass er die Datenverarbeitung auftragsgemäß durchführt. Hier bietet sich insbesondere eine regelmäßige Kontrolle der verschiedenen Protokolle zur Ein-
55 Vgl. Kap. 6 Rn 73.
Alsbih
C. Technisch-organisatorische Maßnahmen
649
gabekontrolle.56 In der Praxis bewährt hat es sich, den Auftragnehmer – abhängig von der Schutzklasse der Daten – dazu zu verpflichten, die Protokolle alle drei bis sechs Monate in einem dokumentierten Prozess zu überprüfen. Daneben ist zu empfehlen, den Auftragnehmer anzuhalten, regelmäßige Penetrationstests bezüglich der auftragsrelevanten Systeme durchführen zu lassen. Schließlich sollte er verpflichtet werden, seine Mitarbeiter bezüglich der Auftragsdurchführung regelmäßig zu schulen, wobei sich auch ein Training zum Onboarding neuer Mitarbeiter empfehlen kann. Maßnahmen zur Auftragskontrolle sollten – soweit vorhanden und hierfür 99 nutzbar – zweckmäßigerweise in bestehende Datenschutz-, Informationssicherheits- (z. B. nach ISO 27001) und Qualitätsmanagementsysteme (z. B. nach ISO 9001) integriert werden, da diese über ihren stetigen Kontroll- und Verbesserungsansatz („Plan-Do-Check-Act“)57 gut geeignet sind, die Auftragskontrolle fortlaufend sicherzustellen. Insgesamt sollte sich der Auftraggeber zusichern lassen, die für die Auftragsdurchführung relevanten Prüfungsergebnisse regelmäßig und aufgefordert zur Verfügung gestellt zu erhalten. Umgekehrt sollte sich der Auftraggeber das Recht vorbehalten, selbst oder durch 100 von ihm eingeschaltete Dritte regelmäßig auch Vor-Ort-Audits durchführen zu dürfen. Dieses Recht wird aufgrund der Marktmacht der verschiedenen Dienstleister häufig auf ein Recht in die Einsichtnahme in verschiedene Unterlagen (z. B. ISO 27001-Zertifikate) beschränkt. Zwar dürfte es zulässig sein, seiner eigenen Pflicht als Auftraggeber zur regelmäßigen Auftragskontrolle (§ 11 Abs. 2 S. 4 BDSG) auch durch bloße Dokumentenprüfungen nachzukommen,58 hierauf allerdings zwingend verwiesen zu werden, ist nicht zweckmäßig. Denn nicht jedes Dokument ist geeignet, die Umsetzung aller vereinbarten technisch-organisatorischen Maßnahmen und sonstigen Weisungen hinreichend zu belegen. Dies trifft insbesondere auch ISO 27001-Zertifikate, wenn nicht auch die sog. Erklärung zur Anwendbarkeit bereitgestellt wird. Bestehen Anhaltspunkte eines Datenschutzvorfalls beim Auftragnehmer, sollte der Auftraggeber ohnehin nicht die Möglichkeit haben, sich über den Status quo beim Auftragnehmer unverzüglich durch eine Vor-Ort-Kontrolle zu vergewissern. Hieran wird sich voraussichtlich auch mit dem Inkrafttreten der EU-Daten- 101 schutz-Grundverordnung („DS-GVO“)59 nichts ändern. Diese sieht in der jetzigen Vorschlagsfassung des Europäischen Parlaments zwar vor, dass die „Erst-Kont-
56 Vgl. oben Rn 90. 57 Vgl. dazu noch unten Rn 128. 58 Vgl. BT-Innenausschuss, BT-Drucks. 16/13657, S. 18, ferner Simitis/Petri, § 11 Rn 59. 59 Vgl. KOM(2012) 11 v. 25.2.2012 i. d. F. Legislative Entschließung des Europäischen Parlaments v. 12.3.2014 zu dem Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (allgemeine Datenschutzverordnung) (COM(2012)0011 – C7-0025/2012 – 2012/0011(COD)) (Ordentliches Gesetzgebungsverfahren: erste Lesung), P7_TA-PROV(2014)0212, A7-0402/2013.
Alsbih
650
Kapitel 12 Die technisch-organisatorischen Maßnahmen
rolle“, die noch vor dem Beginn der Datenverarbeitung durch den Auftraggeber zwingend in dokumentierter Form erfolgen muss,60 entfallen kann, wenn der Auftragnehmer im Sinne einer speziellen Datenschutzzertifizierung („Europäisches Datenschutzsiegel“)61 zertifiziert worden ist.62 Dies wird den Auftraggeber aber auch dann nicht davon entbinden, gesonderte Kontrollen durchzuführen, wenn er Anhaltspunkte für eine datenschutzrechtswidrige Datenverarbeitung durch den Auftraggeber hat, da im Falle von vorsätzlichen und fahrlässigen Verstößen gegen das Datenschutzrecht trotz bestehender Zertifizierung noch Bußgelder ausgesprochen werden können, die im Übrigen nach jetzigem Entwurfsstand bis zu 100.000.000 € bzw. 5 % des weltweiten Jahresumsatzes betragen können.63 Wenn ein Auftraggeber aber Anhaltspunkte für ein datenschutzwidriges Verhalten seines Auftragnehmers hat, wäre es fahrlässig, ihn – trotz bestehender Zertifizierung – nicht zu kontrollieren. Auch künftig wird es deshalb notwendig sein, sich als Auftraggeber einer Auftragsdatenverarbeitung ein Recht von Vor-Ort-Audits vorzubehalten. Praxistipp Immer häufiger lassen sich die Auftragnehmer die für den Auftragnehmer anfallenden Aufwände der Auftragskontrolle bezahlen. Die Erfahrung zeigt, dass gerade in Bezug auf Vor-Ort-Kontrollen Prüfungsgemeinschaften mit anderen Kunden des Auftragnehmers zu einer besseren und vor allem auch wirtschaftlicheren Kontrolle führen. In jedem Falle ist darauf zu achten, dass alle Maßnahmen zur Auftragskontrolle ausreichend dokumentiert werden, da dies ausdrücklich gesetzlich angeordnet ist.64
VII. Verfügbarkeitskontrolle 1. Allgemeine Beschreibung
102 Die Anlage zu § 9 S. 1 BDSG definiert die Verfügbarkeitskontrolle wie folgt: „[…] zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle) […]“65
Durch die Verfügbarkeitskontrolle soll eine durchgehende Verarbeitung der Daten sichergestellt werden. Entsprechend gestalten sich die Praxisbeispiele.
60 Vgl. § 11 Abs. 2 S. 4 BDSG; ein Unterlassen ist bußgeldbewährt und kann mit einem Bußgeld, das in Grundsatz 50.000 € nicht übersteigt, geahndet werden, § 43 Abs. 1 Nr. 2b i. V. m. Abs. 3 S. 1 BDSG. 61 Vgl. Art. 39 Abs. 1e DS-GVO. 62 Vgl. Art. 26 Abs. 1 i. V. m. Abs. 3a DS-GVO. 63 Vgl. Art. 79 Abs. 2a lit. c DS-GVO. 64 Vgl. § 11 Abs. 4 S. 5 BDSG. 65 Siehe Nr. 7 Anlage (zu § 9 S. 1) BDSG.
Alsbih
C. Technisch-organisatorische Maßnahmen
651
2. Beispiele aus der Praxis Durch die Maßnahmen der Verfügbarkeitskontrolle soll im Einzelnen sichergestellt werden, dass die kontinuierliche Verarbeitbarkeit der Daten gegeben ist. Dabei muss insbesondere eine Nichtverfügbarkeit aufgrund von (1) höherer Gewalt, (2) organisatorischen Mängeln, (3) technischem Versagen und (4) vorsätzlichen Handlungen berücksichtigt werden. Um eine volle Betriebsbereitschaft der Datenverarbeitungsanlagen des Informationsverbundes sicherzustellen, müssen alle Ebenen berücksichtigt werden. So muss sichergestellt werden, dass weder (1) die Infrastrukturebene (Gebäude), (2) die Netzwerkebene, (3) die IT-Infrastruktur (Router, Server etc.) und (4) die Anwendungen noch (5) die Anwender selbst zu einer Nichtverfügbarkeit der Datenverarbeitungsanlage oder der Prozesse zur Verarbeitung der Daten führen können. Bei der Verwendung von geographischen Redundanzen sollte darauf geachtet werden, dass nicht lediglich die geographische Entfernung berücksichtigt wird, sondern auch auf die dort vorherrschende Gefährdungslage. Sind etwa Basis- und Backup-Rechenzentrum an dem Ufer ein und desselben Flusses gelegen und nur einige Kilometer voneinander entfernt, so hilft die gewählte geographische Entfernung im Falle eines Hochwassers gleichwohl womöglich nicht. Auf der Ebene der Infrastruktur sollte eine Brandfrüherkennung zum Einsatz kommen. Durch eine frühzeitige Alarmierung bei Anzeichen, die auf einen baldigen Brandausbruch hindeuten, können durch manuelles oder automatisiertes Handeln Brände verhindert, verzögert oder mindestens das Schadensausmaß reduziert werden. Weiterhin sollten Maßnahmen zum Überspannungsschutz, eine unterbrechungsfreie Stromversorgung („USV“) sowie eine Netzersatzanlage („NEA“) eingesetzt werden. Der USV kommt dabei die Aufgabe zu, Schwankungen in der Stromversorgung auszugleichen und die Zeit zu überbrücken, die die NEA benötigt, um den Betrieb aufzunehmen. Die USV hat damit die Aufgabe, die Energieversorgung des Informationsverbundes für wenige Minuten bis Stunden aufrechtzuerhalten. Die redundanten Backup-Systeme, die Datensicherungssysteme sowie die NEA und USV sollten jeweils in eigenen gesonderten Brandabschnitten untergebracht werden – sofern eine geographische Redundanz in unterschiedlichen Gefährdungsgebieten – nicht möglich ist. Auf diese Art und Weise kann die Wahrscheinlichkeit reduziert werden, dass z. B. ein Brand die gesamte Infrastruktur des Informationsverbundes außer Betrieb setzt. Auch müssen diese Anlagen regelmäßig gewartet werden, um sicherzustellen, dass sie im Notfall auch funktionieren. Analog verhält es sich mit dem Nachfüllen des Brennstoffes. Wird die NEA beispielsweise jeden Monat für 30 Minuten getestet, der Brennstoff jedoch nie nachgefüllt, besteht eine hohe Wahrscheinlichkeit, dass im Fehlerfall der Brennstoff nicht mehr ausreicht, um die benö-
Alsbih
103
104
105
106
107
652
108
109
110
111
Kapitel 12 Die technisch-organisatorischen Maßnahmen
tigte Zeit zu überbrücken, bis die normale Energieversorgung wiederhergestellt ist oder Nachschub des Brennstoffes eintrifft.66 Komponenten, die nicht in gesicherten Arealen untergebracht sind, wie etwa Laptops, sollten durch Maßnahmen wie Kensington-Schlösser, abschließbare Büros etc. vor Diebstahl und damit einer drohenden Nichtverfügbarkeit von Daten gesichert werden. Auf der Netzwerkebene sollten beispielweise redundante Kommunikationsverbindungen eingesetzt werden, die von unterschiedlichen Anbietern betrieben werden, um im Falle einer Störung weiterhin voll handlungsfähig zu bleiben. Auch die zentralen, für sämtliche Kommunikationsverbindungen benötigten Netzkomponenten wie Firewalls, Proxy-Server, Core-Switche u. ä. sollten redundant ausgelegt werden. Auf diese Art und Weise führt der Ausfall einer zentralen Netzwerkkomponente nicht zu einem Ausfall des gesamten Informationsverbundes. Auf der Server- und Anwendungsebene sollten regelmäßige Datensicherungen stattfinden. Wichtig ist es, dabei darauf zu achten, dass insbesondere physische Sicherungsmedien wie Bänder mindestens in getrennten Brandabschnitten aufbewahrt werden. Auch sollten derlei Datensicherungen regelmäßig auf Funktionsfähigkeit und Lesbarkeit überprüft und die Wiederherstellbarkeit der Daten getestet werden. Die Datensicherung sollte protokolliert werden und bei Fehlern automatisch eine Alarmierung der Verantwortlichen erfolgen, um für eine zielführende und rasche Beseitigung des Fehlers zu sorgen und wieder die volle Funktionsfähigkeit der Datensicherung sicherzustellen. Bei heute typischerweise im Einsatz befindlichen Datensicherungen auf Festplatten an redundanten Orten gelten entsprechende Empfehlungen, wobei hier der physische Umgang mit den Medien weitgehend entfällt, da diese nicht ausgelagert werden.67 Auch auf der hardwareseitigen Server-Ebene sollte eine redundante Auslegung der Server erörtert werden – sofern dies dem Schutzbedarf der Daten angemessen ist (z. B. Clusterlösungen oder Failover-Lösungen). Wichtig ist insbesondere das zeitnahe Einspielen von sicherheitsrelevanten Patches und Updates, um sowohl die Wahrscheinlichkeit eines unberechtigten Zugriffes zu reduzieren als auch die Wahrscheinlichkeit, von solchen Manipulationen auf der Server- oder Service-Ebene abzusenken, die direkt oder indirekt zu einer Nichtverfügbarkeit der Datenverarbeitungsanlage oder durch diese verarbeiteten Daten führen. Selbstverständlich sollten diese Patches zuvor in einer Testumgebung auf Funktionsfähigkeit und Verträglichkeit hin
66 Vgl. BSI, B 2.9 Rechenzentrum der IT-Grundschutz-Kataloge, abrufbar unter https://www.bsi. bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/_content/baust/b02/b02009. html. 67 Vgl. BSI, B 1 Übergreifende Aspekte der IT-Grundschutz-Kataloge, abrufbar unter https://www. bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/Bausteine/B1uebergeordneteAspekte/b1uebergeordneteaspekte_node.html.
Alsbih
C. Technisch-organisatorische Maßnahmen
653
genau getestet werden und die Vorgaben und Kommentierungen der Hersteller dazu beachtet werden. Sofern einzelne Datenverarbeitungsanlagen von einer Person abhängig sind, 112 sollten die Passwörter auf eine sichere Art und Weise (z. B. verschlossener Umschlag, Tresor etc.) im Sinne eines Notfallbenutzerkonzeptes hinterlegt sein. Bei ungeplanter oder längerer Abwesenheit kann somit ein Dritter im Bedarfsfall den ordnungsgemäßen fortlaufenden Betrieb dieser (Teil-) Komponenten sicherstellen. Dabei ist darauf zu achten, dass auch der Fall geregelt wird, dass – etwa aufgrund von unvorhersehbaren Ereignissen wie Unfällen – auf E-Mail-Postfächer oder Nutzer-Accounts von Mitarbeitern zugegriffen werden muss. Dies bedarf einer rechtskonformen Ausgestaltung, die das Unternehmen gerade in Bezug auf das möglicherweise zu beachtende Fernmeldegeheimnis vor Herausforderungen stellen kann. Insoweit empfehlen sich zumindest risikominimierende Maßnahmen wie Betriebsvereinbarungen und Einwilligungserklärungen, wobei hinsichtlich der Einzelheiten auf Kap. 668 verwiesen werden soll. Abschließend ist es wichtig, Notfallpläne für die einzelnen Komponenten und 113 Prozesse des Informationsverbundes zu erstellen, diese regelmäßig zu aktualisieren und an die ggf. geänderten Gegebenheiten anzupassen. Dabei müssen diese in zyklischen Abständen auf Funktionsfähigkeit und Angemessenheit überprüft sowie die Mitarbeiter auf diese geschult werden. Ohne eine regelmäßige Erprobung der Notfallmaßnahmen, welche sicherstellt, dass diese auch zu dem gewünschten Ergebnis führen, können die getroffenen Aufwände sich im Ergebnis als nutzlos darstellen. Insbesondere ist dies der Tatsache geschuldet, dass sich die Infrastruktur permanent verändert. Maßnahmen sind aus diesem Grund oftmals nicht mehr kompatibel zueinander und bedingen dann spezielle Voraussetzungen, welche nur noch ggf. nicht mehr vorhandenem Personal bekannt sind. Denkbar ist auch, dass sich die BusinessKritikalität einer Komponente insoweit ändert, dass die getroffenen Maßnahmen nicht mehr ausreichen und dementsprechend weitere Vorsorge getroffen werden muss.69 Bei sämtlichen Notfallmaßnahmen und deren Analyse ist es wichtig, sämtliche 114 Systemabhängigkeiten zu berücksichtigen. Ist eine businesskritische Komponente von anderen Komponenten zwingend abhängig, die für sich betrachtet keinen besonderen Schutzbedarf aufweisen, so müssen diese den Schutzbedarf der kritischen Komponente erben. Denn fällt die für sich gesehen unkritische Komponente aus, ist der Betrieb der kritischen Komponente anderenfalls nicht mehr möglich.
68 Siehe Kap. 6 Praxistipp unter Rn 26 und Praxistipp unter Rn 32. 69 Vgl. BSI, B 1.3 Notfallmanagement der IT-Grundschutz-Kataloge, abrufbar unter https://www.bsi. bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/_content/baust/b01/b01003. html.
Alsbih
654
Kapitel 12 Die technisch-organisatorischen Maßnahmen
Auch wenn die Dokumentation der Systemkonfiguration sowie der Systeme selbst oft als lästig angesehen wird, erhöht eine aktuelle und im Notfall verfügbare Dokumentation des Informationsverbundes im Notfall die Wahrscheinlichkeit einer erfolgreichen Wiederinbetriebnahme signifikant. Auch reduziert dies die Zeit, die ein sachverständiger Dritter – im Fall einer ungeplanten Abwesenheit des Verantwortlichen – benötigt, um den Betrieb auf qualitative Art aufrechtzuerhalten. Eine Dokumentation, z. B. in einem sog. WIKI-System, stellt dabei eine sehr einfache, effiziente und kostengünstige Art der Dokumentation dar. Auch ein Virenschutzkonzept ist eine wichtige Maßnahme der Verfügbarkeits116 kontrolle. Da kein Anti-Virenprogramm für sich in der Lage ist, 100 % der bekannten und unbekannten Schadprogramme abzuwehren, ist ein mehrstufiges Verfahren mit unterschiedlichen Anti-Viren-Engines wichtig, wobei darauf zu achten ist, dass unterschiedliche Hersteller von Antivirensoftware häufig dieselbe Engine nutzen. Durch die Verwendung verschiedener Anti-Viren-Engines wird die Wahrscheinlichkeit erhöht, dass Schadsoftware auch tatsächlich identifiziert wird. 115
Praxistipp Es hat sich bewährt, auf den zentralen Proxy- und E-Mail-Servern ein Anti-Viren-Programm einzusetzen, welches eine andere Anti-Viren-Engine nutzt als dasjenige, welches auf den Systemen der Benutzer verwendet wird, und wiederum ein anderes auf den übrigen Server-Systemen. Auf diese Art kommen drei unterschiedliche Anti-Viren-Engines zum Einsatz, was die Wahrscheinlichkeit einer erfolgreichen unbemerkten Infektion der Systeme reduziert. 117 Um die Wahrscheinlichkeit von Systemausfällen weiter zu reduzieren, ist es wichtig,
unterschiedliche Systeme für den Betrieb, das Testen und die Entwicklung zu verwenden (sog. Drei-Systeme Landschaft). Änderungen können somit zunächst auf unabhängigen Systemen getestet werden, ohne dass dies eine Auswirkung für den Betrieb hat. Auch sollten „Good-Practices“ aus der IT Infrastructure Library (ITIL)70 angewendet werden. Durch die darin beschriebenen Prozesse wie dem Change-Management, IT Service Continuity Management, Availability Management, Capacity Management und Release and Deployment Management lassen sich Störungen im technischen Betriebsablauf weiter reduzieren.
70 Vgl. BSI, ITIL und Informationssicherheit Stand: 2005, abrufbar unter https://www.bsi.bund.de/ SharedDocs/Downloads/DE/BSI/Publikationen/Studien/ITIL/itil_pdf.pdf?__blob=publicationFile.
Alsbih
C. Technisch-organisatorische Maßnahmen
655
VIII. Trennungsgebot 1. Allgemeine Beschreibung Die Anlage zu § 9 S. 1 BDSG definiert das Trennungsgebot (auch „Trennungskontrolle“ 118 genannt) wie folgt: „zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.“71
Diese Maßnahme hat das Ziel, zu verhindern, dass Daten, die aus unterschiedlichen Gründen erhoben wurden oder ggf. für unterschiedliche Auftraggeber verarbeitet werden, zusammengeführt werden.
2. Beispiele aus der Praxis Diese Maßnahme verfolgt das Ziel, dass Verarbeitungsverfahren nur auf Daten ent- 119 sprechend des vorher definierten Erhebungs- und Verwendungszweckes zugreifen können.72 Aus diesem Grund zielt diese Maßnahme u. a. darauf ab, dass Daten, die zu unterschiedlichen Zwecken verarbeitet werden, auch getrennt gespeichert werden sollten. Die wohl bekannteste Form der Trennungskontrolle ist eine logische Trennung 120 auf der Applikationsebene, die aus datenschutzrechtlicher Sicht grundsätzlich ausreicht.73 Dabei greift die Applikation auf eine Datenbank zu, in der sich sämtliche Daten befinden, die in der Datenbank unterschiedlich markiert werden.
71 Siehe Nr. 8 Anlage (zu § 9 S. 1) BDSG. 72 BeckOK DatenSR/Karg, Anlage zu § 9 BDSG, S. 1 Rn 40. 73 BeckOK DatenSR/Karg, Anlage zu § 9 BDSG, S. 1 Rn 42.
Alsbih
656
Kapitel 12 Die technisch-organisatorischen Maßnahmen
Mandant 1
Applikation
Mandant 2
Sämtliche Daten mit einer „2“ in der Mandanten ID Mandanten-ID
Daten
Datenbank
Daten
2
Daten
1
Daten
Daten
Sämtliche Daten mit einer „1“ in der Mandanten ID
Daten
Sicht Mandant 2
Sicht Mandant 1
Abb. 4: Beispiel zur logischen Mandantentrennung 121 Gleichwohl befinden sich sämtliche Daten aller Mandanten in einer physischen
Datenbank (vgl. Abbildung 4). Anhand der Mandanten-ID sorgt die Business-Logik der Applikation dafür, dass der Benutzer der Applikation lediglich die Sicht auf seine Daten erhält. Grundvoraussetzung hierfür ist ein stringentes Rollen und Berechtigungskonzept und eine Mandantenfähigkeit der Applikation. Bei dieser Art der Datentrennung enthalten die Backups der verarbeitenden Stelle (z. B. Auftragnehmer einer Auftragsdatenverarbeitung) in der Regel immer die Daten der gesamten Datenbank. Daher befinden sich die Daten eines Mandanten in der Regel auch nach der Beendigung einer Auftragsdatenverarbeitung noch für einen Zeitraum in den BackupArchiven bei dem Auftragnehmer. Eine sicherere – wenn auch insbesondere kostenintensivere – Variante der Daten122 trennung stellt die physische Datentrennung dar.74 Hierbei erhält jeder Mandant eine eigene Datenbankinstanz. Durch die Verwendung von unterschiedlichen Datenbankinstanzen werden in der Regel auch die Backups getrennt. Allerdings ist darauf zu achten, dass die Datenbankinstanz andere Zugangsdaten erhält als die Datenbanken der anderen Mandanten. Eine Kompromittierung der Datenbankinstanzen oder Bekanntwerden der Zugangsdaten anderer Mandanten erhöht anderenfalls die Wahrscheinlichkeit einer erfolgreichen Kompromittierung der eigenen Datenbankinstanz. Weitere Aspekte des Trennungsgebotes sind die Trennung von Test-/Entwick123 lungs- und Produktivsystemen, die es ebenfalls grundsätzlich sicherzustellen
74 BeckOK DatenSR/Karg, Anlage zu § 9 BDSG, S. 1 Rn 42.
Alsbih
D. Umsetzung der technisch-organisatorischen Maßnahmen
657
gilt.75 Hierdurch wird u. a. die Personengruppe reduziert, welche Zugriff auf Echtdaten erhält, was bereits unter dem Aspekt der Datenvermeidung und Datensparsamkeit (§ 3a BDSG) sicherzustellen ist. Weiterhin wird hierdurch die Wahrscheinlichkeit von Fehlern in der Datenverarbeitung reduziert, die insbesondere zur Sichtbarkeit von Daten für Unberechtigte, zu Veränderungen oder zu einer weiteren nicht gewollten Datenverarbeitung führen könnten. Aufgrund der Art und Weise, wie die Systeme eingesetzt werden, sind auf den Test- und Entwicklungssystemen oftmals auch Services und Applikationen installiert, die die Sicherheit des Gesamtsystems reduzieren können und ggf. auch anderen, unsicheren Netzwerken zugänglich sein müssen. Deshalb ist das Schutzniveau von Testsystemen im Regelfall geringer als das der Produktiv-Systeme. Auch unter diesem Aspekt ist eine Trennung von Produktiv- und Test- bzw. Entwicklungssystemen häufig angezeigt. Als eine weitere wichtige Maßnahme zur Umsetzung des Trennungsgebotes gilt 124 die ausschließliche Verwendung von Testdaten in Test- und Entwicklungsumgebungen. Auf diese Weise erhalten lediglich die Personen einen Zugriff auf Echtdaten, die diesen zwingend benötigen. Praxistipp Bezüglich der Verwendung von Testdaten ist darauf zu achten, dass die Testdaten nicht lediglich eine ältere Kopie der Echtdaten darstellen dürfen, da diese in der Regel nicht minder schützenswert sind. Auf den Test- und Entwicklungssystemen stehen diese in der Regel einer viel größeren Personengruppe zur Verarbeitung zur Verfügung. Auch weisen diese Systeme regelmäßig einen geringeren Sicherheitsstandard auf und verfügen ggf. auch über keinerlei Protokollierung und weiterer Schutzmaßnahmen, weshalb in der Regel die Angriffsmöglichkeiten auf diese Systeme vielfältiger sind und das System potenziell von einer größeren Gruppe von Personen angegriffen werden kann. Stets ist darauf zu achten, dass Testdaten möglichst keinen Personenbezug aufweisen, um wiederum den Grundsätzen der Datenvermeidung und Datensparsamkeit zu genügen. Da die Umsetzung dieser Grundsätze nur soweit von § 3a BDSG gefordert werden, wie dies im Verhältnis zum angestrebten Schutzzweck keinen unverhältnismäßigen Aufwand erfordert, kann allerdings im Ausnahmefall der Umgang mit personenbezogenen Daten auch im Testumfeld erlaubt sein. Dann sollte aber zumindest auf eine Datenpseudonymisierung (§ 3 Abs. 6a BDSG) zurückgegriffen werden. In jedem Falle ist eine dezidierte Datenschutzprüfung erforderlich, falls in Test- und Entwicklungssystemen mit personenbezogenen Daten umgegangen werden soll.
D. Umsetzung der technisch-organisatorischen Maßnahmen Im vorangegangenen Abschnitt wurden die gesetzlich geforderten TOMs des BDSG 125 erläutert und durch praktische Beispiele spezifiziert. Dieser Abschnitt beschäftigt sich mit der erstmaligen Umsetzung der TOMs im Unternehmen und dem Vorgehen
75 Gola/Schomerus, § 9 Rn 29.
Giebichenstein/Schirp/Kölsch
658
Kapitel 12 Die technisch-organisatorischen Maßnahmen
zur Überprüfung des Umsetzungserfolgs sowie zur kontinuierlichen Verbesserung der Maßnahmen im Verlauf der Zeit. Bei der Erläuterung des Vorgehens berücksichtigen wir, dass die wenigsten 126 Unternehmen überhaupt keine TOMs implementiert haben. In der Praxis trifft man in der Regel vielmehr auf historisch gewachsene Strukturen mit mehr oder weniger ausgeprägten, betriebenen und dokumentierten Prozessen, Rollen und Verantwortlichkeiten sowie IT-Systemen (sog. IT-Verbund). Trotz und vor allem bei im Regelfall historisch gewachsenen Strukturen sollte auf ein einheitliches Vorgehen mit definierten Methoden in allen Phasen der Implementierung neuer TOMs zurückgegriffen werden. Bei der Umsetzung der TOMs im Unternehmensalltag sollte darauf geachtet 127 werden, dass ein ganzheitlicher Ansatz nach dem Motto „Think big, start small“ verfolgt wird, um die bestehenden Rahmenbedingungen ausreichend zu berücksichtigen. Bei einem von den Rahmenbedingungen isolierten Ansatz besteht das Risiko, nicht alle personenbezogenen Daten aus allen Unternehmensbereichen zu identifizieren und ausreichend zu schützen. Zudem werden bei einem isolierten Ansatz Synergiepotenziale mit weiteren Unternehmensbereichen ungenutzt gelassen. Im ungünstigsten Fall werden sogar widersprüchliche Maßnahmen umgesetzt. Wie bereits aus den vorangegangenen Abschnitten hervorgegangen ist, ist bei der Umsetzung von TOMs eine intensive Zusammenarbeit mit den Verantwortlichen für die Informationssicherheitsbelange im Unternehmen gängige Praxis und daher im Sinne der Nachhaltigkeit, Akzeptanz und Einheitlichkeit deutlich anzuraten.76 Für eine erstmalige Umsetzung der TOMs bietet sich ein projektorientiertes Vor128 gehensmodell auf Basis eines PDCA-Zyklus (englisch für „Plan → Do → Check→ Act“) an, der seinerseits nach dem initialen Durchlauf durch das regelmäßige Anstoßen eines kontinuierlichen Verbesserungsprozesses (kurz „KVP“, seinerseits wiederum auch operationalisiert durch einen PDCA-Zyklus), fortgeführt wird.77 Neben der Verbesserung von Umsetzungserfolg und Wirtschaftlichkeit kann hierdurch darauf hingewirkt werden, dass die aktuell dokumentierten und gelebten Prozesse auch weiterhin dem aktuellen Stand der gesetzlichen Anforderungen und spezifischen unter-
76 Ein möglicher Ansatz für eine ganzheitliche Betrachtung von Datenschutz wird von DatenschutzManagementsystemen (kurz „DSMS“) verfolgt, wie sie beispielsweise in der ISO/IEC 29100:2011 mit dem englischen Titel „Information technology – Security techniques – Privacy framework“ vorgeschlagen wird. Daneben existieren zahlreiche weitere Ansätze von privatwirtschaftlichen Unternehmen und Behörden (z. B. Datenschutz-Behördenaudit des ULD). 77 In der Praxis können verschiedene Ausprägungen eines KVP vorgefunden werden. Die bekannteste Ausprägung ist der PDCA-Zyklus. Eine alternative, jedoch sehr ähnliche Ausprägung ist ein Zyklus mit den vier Phasen Plan, Build, Run und Monitor, auf die im international anerkannten Standard für IT Governance COBIT verwiesen wird. Auch wenn die Phasen des KVP unterschiedliche Ausprägungen aufweisen, ist die grundsätzliche Funktionsweise in den meisten Fällen jedoch ähnlich (ISACA, COBIT 5 – A Business Framework for the Governance and Management of Enterprise IT, Rolling Mea dows 2012, S. 32).
Giebichenstein/Schirp/Kölsch
D. Umsetzung der technisch-organisatorischen Maßnahmen
659
nehmerischen Anforderungen genügen. Die Funktionsweise der initialen Umsetzung und der Ansatz des KVP mit Verweis auf die jeweilig relevanten Abschnitte werden in der nachfolgenden Grafik dargestellt. Input Anforderungen an umzusetzende TOMs (Abschnitt C)
1
– Ermittlung des Status Quo und Durchführung einer GapAnalyse (Abschnitt I.2) 2 – Maßnahmenplanung und -priorisierung (Abschnitt I.3)
–
Plan
Do
Umsetzung des priorisierten Maßnahmenplans (Abschnitt II) in Pilotprojekten 3
– Einhaltung von Meilensteinen, Budget und Qualität überprüfen
KVP
(Abschnitt V)
Output Umgesetzte TOMs
6
– Initialisierung der Umsetzung der TOMs (Abschnitt I.1)
– Roll-out und Etablierung des neuen Standards – Verstetigung im Regelbetrieb (Abschnitt IV)
5
Act
Check
4
– Überprüfung des Umsetzungserfolgs und Effizienz der (pilotierten) Maßnahmen (Abschnitt III)
Abb. 5: PDCA-basiertes Implementierungsmodell für die TOMs
Der PDCA-Zyklus beginnt mit der Plan-Phase und durchläuft die drei nachfolgenden 129 Phasen sequenziell, wobei die initialen Anforderungen den Input für die Plan-Phase und die umgesetzten TOMs den Output der Act-Phase darstellen. Innerhalb der einzelnen Phasen können, streng betrachtet, wiederum einzelne 130 KVP durchlaufen werden, um sich iterativ den gewünschten Ergebnissen je Phase anzunähern, bis diese schließlich in ausreichender Qualität vorliegen und die nachfolgende Phase deshalb beginnen kann. Um nach Umsetzung der TOMs durch initialen Durchlauf des PDCA-Zyklus auch eine kontinuierliche Verbesserung sicherzustellen, wird der KVP sodann in regelmäßigen Abständen durchlaufen. Die erstmalige Umsetzung der TOMs und der sodann regelmäßige folgende Zyklus zur kontinuierlichen Verbesserung als KVP werden in den nachfolgenden Unterabschnitten beschrieben.
I. Plan-Phase – Maßnahmenplanung und -umsetzung 1. Initialisierung der Umsetzung der TOMs Die erstmalige Umsetzung von einzelnen Anforderungen aus den TOMs oder, sofern 131 erforderlich, aller notwendigen TOMs sollte mit einer vorgelagerten Initialisierung begonnen werden. Ziel dieser Aktivität ist es, sich die Unterstützung des Managements zu sichern und alle relevanten Beteiligten zu identifizieren sowie ausreichend über die geplanten Maßnahmen, die dahinterstehende Zielsetzung und die vorausGiebichenstein/Schirp/Kölsch
660
Kapitel 12 Die technisch-organisatorischen Maßnahmen
sichtliche Einbindung zu informieren. Hier sollte bereits darauf hingewiesen werden, dass das Vorhaben einen Projektcharakter haben wird, mithin eine strukturierte Vorgehensweise, definierte Meilensteine und Ziele sowie eine personelle und zeitliche Planung erfordert. Insbesondere vor dem Hintergrund, dass die Umsetzung in der Praxis in den sel132 tensten Fällen ohne Widerstände (typischerweise „politischer“ oder inhaltlicher Art) erfolgen wird, kann die Unterstützung durch die Geschäftsleitung (sog. Management Commitment) zahlreiche Diskussionen verkürzen und im Idealfall ganz ersparen. So lassen sich z. B. Diskussionen über personelle und monetäre Ressourcen sowie der Zielsetzung und des Nutzens des Vorhabens vermeiden, wenn das Projekt zur „Chefsache“ gemacht wird. Die Unterstützung der Geschäftsleitung sollte nach Möglichkeit schriftlich zugesichert werden (z. B. freigegebener Projektantrag, schriftliche Benachrichtigung an die Beteiligten). Eine Präsentation des Sachverhalts mit anschließender Diskussion und Entscheidung der Geschäftsleitung für das Vorhaben kann die Unterstützung weiter untermauern. Praxistipp Ein wichtiger Multiplikator für die erfolgreiche Umsetzung der TOMs ist die Geschäftsleitung des Unternehmens, die mittels Kommunikationsmaßnahmen die Bedeutung des Vorhabens hervorheben sollte. Grundlage hierfür ist, dass diese das Vorhaben und die Zielsetzung tatsächlich verstanden und verinnerlicht hat. Aus diesem Grund sollte in der Initialisierungsphase die Gelegenheit genutzt werden, der Geschäftsleitung das Vorhaben verständlich beispielsweise in Form einer Präsentation vorzustellen. Die Präsentation kann beispielsweise die folgenden Aspekte beinhalten: – gesetzliche Grundlagen für die Umsetzung der TOMs und die Konsequenzen bei unzureichender Umsetzung, – zeitliches Vorgehen und Zwischenergebnisse jeder Phase, – für die Umsetzung erforderliche Ressourcen (personell und monetär), – interne und externe Marketing-Effekte. 133 Nach der Freigabe des Vorhabens durch das Management sollte ein „Kick-off-Ter-
min“ mit allen relevanten Beteiligten erfolgen. Ziel dieses Termins ist es, alle an der Umsetzung direkt oder indirekt Beteiligten frühzeitig über das Vorhaben zu informieren und das weitere Vorgehen zu erläutern. Zu den relevanten Ansprechpartnern zählen beispielsweise – Vertreter der betroffenen Fachbereiche (z. B. aus Marketing, Vertrieb, Fertigung), – Leiter IT (z. B. zuständig für Entwicklung und Betrieb von IT-Systemen), – betrieblicher Datenschutzbeauftragter, – IT-Sicherheitsbeauftragter oder Informationssicherheitsbeauftragter (z. B. zuständig für Aufrechterhaltung und Weiterentwicklung des Informationssicherheitsmanagementsystems), – Leiter interne Revision (z. B. zuständig für Prüfungen des internen Kontrollsystems),
Giebichenstein/Schirp/Kölsch
D. Umsetzung der technisch-organisatorischen Maßnahmen
661
– Compliance-Beauftragter (z. B. verantwortlich für den Umgang mit ComplianceAnforderungen), – Rechtsabteilung (z. B. Betreuung von Verträgen mit internen oder externen Dienstleistern). Zahlreiche Aspekte, die die Umsetzung zu einem späteren Zeitpunkt beispielsweise 134 durch Verzögerungen negativ beeinflussen könnten, können bereits zu diesem Zeitpunkt durch die im Termin anwesenden Beteiligten angesprochen und ggf. in einem separaten Treffen diskutiert werden (z. B. Bindung personeller Ressourcen in parallel laufenden Projekten, inhaltliche Überschneidungen mit Vorhaben aus anderen Bereichen). In dem Termin sollte zudem der Nutzen (bzw. die Notwendigkeit aus Sicht der Compliance) der Umsetzung durch die Umsetzungs- und Regelbetriebsverantwortlichen hervorgehoben werden. Mögliche Synergieeffekte, wie die Behebung bestehender genereller Schwachstellen im Zuge der Implementierung einer technischorganisatorischen Maßnahme (z. B. Datenverluste aufgrund fehlender Regelungen zu Sicherung und Wiederherstellung von Daten) können so frühzeitig aufgedeckt und im Projekt entsprechend adressiert und gehoben werden. Praxistipp Da der Umsetzungserfolg der TOMs wesentlich von der Akzeptanz der Nutzer abhängt, ist eine intensive Zusammenarbeit mit Vertretern der verschiedenen Unternehmensbereiche sinnvoll und z. T. für einen nachhaltigen Projekterfolg auch unabdingbar. Dies betrifft nicht nur die Zusammenarbeit mit dem IT-Sicherheitsbeauftragten oder Informationssicherheitsbeauftragten, sondern auch die Zusammenarbeit mit den betroffenen „wertschöpfenden Bereichen“. Ein intern gut vernetzter und zugleich objektiver Datenschutzbeauftragter, der die Organisationsstrukturen und Verantwortlichkeiten im Unternehmen kennt, ist in dieser Phase eine treibende Kraft und unterstützt den Projekterfolg damit wesentlich. Um eine zu intensive Bindung personeller Ressourcen zu vermeiden, hat es sich in der Praxis bewährt, zwischen dauerhaften und temporären Projektteammitgliedern zu unterscheiden. Die temporären Projektteammitglieder werden zum Kick-off-Termin eingeladen, regelmäßig über den Projektfortschritt informiert und im Vergleich zu den dauerhaften Projektteammitgliedern nur punktuell in die operative Projektarbeit eingebunden. Weiterhin sollten Entscheidungsträger derart eingebunden werden, dass Entscheidungen und Eskalationen zielgerichtet und frühzeitig an der richtigen und hierfür autorisierten Stelle adressiert werden können.
2. Ermittlung des Status quo und Durchführung einer Gap-Analyse Nach der Initialisierung folgt die Ermittlung des aktuellen Umsetzungsstands der 135 TOMs im Unternehmen (sog. Status quo) und hierauf basierend die Ermittlung der ggf. noch erforderlichen Aktivitäten (sog. Gap-Analyse), um die aus dem Schutzbedarf folgenden Anforderungen an hinreichende TOMs vollständig und ohne Defizite abbilden zu können. Ziel dieser Phase ist es, die Umsetzungsdefizite im Rahmen der Gap-Analyse möglichst genau zu skizzieren, um auf Grundlage dessen im weiteren Verlauf den Maßnahmenplan zu erstellen.
Giebichenstein/Schirp/Kölsch
662
Kapitel 12 Die technisch-organisatorischen Maßnahmen
Ausgangspunkt für die Ermittlung des Status quo sind die zu erfüllenden gesetzlichen Anforderungen des BDSG, die im vorangegangenen Kapitel erläutert und durch Praxisbeispiele untermauert wurden. Diese sollten in einzelne Anforderungen ggf. mit einer Aufteilung in operative Einzelaktivitäten heruntergebrochen werden, um die Umsetzung besser planen zu können und die erforderliche Übersicht und Steuerbarkeit in der späteren Umsetzung zu gewährleisten. In der Praxis stellt häufig die Ableitung konkreter Anforderungen aus der abstrakt-generellen Formulierung der Anlage zu § 9 S. 1 BDSG eine Herausforderung dar, der sich der Datenschutzbeauftrage in der Regel mit der Unterstützung weiterer Experten annehmen muss. So muss beispielsweise die Erforderlichkeit und Verhältnismäßigkeit der Maß137 nahmen vor deren Umsetzung bestimmt werden oder aber eine lückenlose Nachweisführung der Existenz und Wirksamkeit der Maßnahmen im Regelbetrieb möglich sein. Da es sich um technische und organisatorische Maßnahmen handelt, ist hier in der Regel ein hinreichendes technisches Verständnis bezüglich der eingesetzten IT und der berührten IT-technischen Themen erforderlich. Anderenfalls fällt es schwer, die richtigen Entscheidungen für den Einsatz angemessener Maßnahmen treffen zu können. Falls der Datenschutzbeauftragte über ein solches Know-how nicht verfügen sollte, muss er sich daher entsprechender interner oder externer Experten bedienen. Eine intensive Zusammenarbeit beispielsweise mit dem Informationssicherheitsbeauftragten als ein Experte kann hierbei erforderlich sein. Im Idealfall kann in Teilen auf die vom Informationssicherheitsbeauftragten erstellte Dokumentation zurückgegriffen werden.
136
Praxistipp Die Grundlage für die Anforderungsdefinition können frei erhältliche oder kostenpflichtige Checklisten bzw. Anforderungskataloge bilden. Diese sollten jedoch vor ihrer Anwendung an die Rahmenbedingungen des Unternehmens angepasst werden. Juristische Kommentare und Publikationen des Bundesdatenschutzbeauftragten oder der Datenschutzbeauftragten der Länder können bei der Auslegung der technischen und organisatorischen Anforderungen helfen. Im Zweifel sollten zusätzlich Experten mit juristischem und/oder technischem Know-how eingebunden werden. Neben der Nutzung von Checklisten ist es empfehlenswert, sich bei der Festlegung der Anforderungen an Branchenstandards und Good-Practices wie beispielsweise ISO- oder NIST-Standards oder den BSI-Grundschutzkatalogen zur orientieren. 138 Nachdem die Anforderungen festgelegt wurden, sollte eine Übersicht der Speicher-
orte der im Unternehmen verarbeiteten personenbezogenen Daten erstellt werden. Im Idealfall kann hier auf ein aktuelles Verfahrensverzeichnis zurückgegriffen werden, das das jeweilige Unternehmen ohnehin verpflichtet ist zu führen, § 4g Abs. 2 S. 1 BDSG. Sofern kein aktuelles Verfahrensverzeichnis vorliegt, müssen die von dem Unter139 nehmen genutzten Verarbeitungsverfahren einschließlich der dahinterstehenden IT-Systeme und Applikationen spätestens jetzt inventarisiert werden. Ein Verarbeitungsverfahren im datenschutzrechtlichen Sinne kann sich dabei auch über mehrere Giebichenstein/Schirp/Kölsch
D. Umsetzung der technisch-organisatorischen Maßnahmen
663
IT-Systeme und Anwendungen verteilen. Dies ist sogar der Regelfall, da sich die verschiedenen Verarbeitungsverfahren im datenschutzrechtlichen Sinne einzig nach den unterschiedlichen Zweckbestimmungen der fraglichen Erhebungen, Verarbeitungen und Nutzungen bestimmen.78 Es sind also nicht einzelne Verarbeitungsvorgänge gemeint, sondern es stellt vielmehr die Summe aller Verarbeitungsvorgänge unter einer Zweckbestimmung ein Verarbeitungsverfahren im datenschutzrechtlichen Sinne dar. Steht daher etwa das Verarbeitungsverfahren „Personalverwaltung“ infrage, sind hierunter alle Verarbeitungsschritte zu fassen, bei denen personenbezogene Personaldaten im Unternehmen verarbeitet werden. Dies beginnt bei Excelbasierten Personallisten und endet etwa bei der SAP-gestützten Gehaltsabrechnung. Praxistipp Die notwendige Inventarisierung erfolgt idealerweise Tool-unterstützt, um Transparenz- und Dokumentationsaspekten gerecht werden zu können. Hierbei kann beispielsweise auch auf bereits von der IT gepflegte Asset Management-Systeme oder Dokumentationen der Informationsverantwortlichen zurückgegriffen werden. Als Ausgangspunkt für die erstmalige Inventarisierung der IT-Systeme, die bezüglich einzelner oder verschiedener Verarbeitungsverfahren zur Anwendung gelangen, können etwa die Analyse-Ergebnisse von sog. Discovery Tools, mittels derer die im Netzwerk befindlichen IT-Systeme einschließlich Applikationen automatisiert erkannt werden, genutzt werden. Die hieraus gewonnenen Erkenntnisse können die Grundlage für anschließende Workshops oder Interviews mit Vertretern der Unternehmensbereiche zur Identifikation der maßgeblichen IT-Systeme und Verarbeitungsverfahren bilden. Hierbei kann sich die Erstellung von Datenlandkarten empfehlen, in denen auch die verschiedenen Verarbeitungszwecke erfasst werden. Für den Fall, dass kein aktuelles Verfahrensverzeichnis vorliegt, können die Workshop- bzw. Interview-Ergebnisse dann unmittelbar für die Erstellung des Verfahrensverzeichnisses genutzt werden.
Nachdem die relevanten IT-Systeme und Verarbeitungsverfahren identifiziert wurden, 140 erfolgt die Dokumentation des Status quo der bereits ergriffenen TOMs. Zur Ermittlung des Status quo eignen sich die folgenden Mittel: – Sichtung bestehender Dokumentationen (z. B. Prozessbeschreibungen), – Interviews mit relevanten Ansprechpartnern im Unternehmen (z. B. Systemadministratoren), – Begehung von Anlagen zur Datenverarbeitung (z. B. Rechenzentren inklusive Notstromversorgung), – Einsichtnahme in IT-Systeme (z. B. CRM). Praxistipp Wenn im Zuge der Ermittlung des Status quo auf Dokumente verwiesen wird, sollte eine Übersicht erstellt werden, aus der die referenzierten Dokumente einschließlich der Daten der letzten Überarbeitung hervorgehen. Denn nur dann ist es möglich, auch noch nachträglich festzustellen, ob die in
78 Gola/Schomerus, § 4g Rn 23.
Giebichenstein/Schirp/Kölsch
664
Kapitel 12 Die technisch-organisatorischen Maßnahmen
Bezug genommenen Dokumente möglicherweise nicht mehr aktuell sind. Dies sollte aber ohnehin insbesondere durch Interviews und Einsichtnahmen in IT-Systeme verifiziert werden. Werden für die Ermittlung des Status quo Interviews für erforderlich gehalten, so müssen sich diese nicht zwingend mit oder nur mit Führungskräften geführt werden. Denn diese sind mit den operativen, TOM-relevanten Themen nicht immer vollends vertraut. Einzubeziehen sind Führungskräfte aber stets dann, bevor diesen nachgeordnete fachliche Mitarbeiter um die Teilnahme an einem Interview gebeten werden. Dann sollte ihre Zustimmung eingeholt werden, da die Interviewten während des Interviews naturgemäß ihrer üblichen Tätigkeit nicht nachgehen können. Die in den Interviews gesammelten Informationen sollten dokumentiert und mit dem interviewten Teilnehmer abgestimmt werden (z. B. mittels Gesprächsprotokollen). Dabei ist es aber weder erforderlich noch zweckmäßig, dass Betroffene entsprechende Protokolle unterschreiben. So soll eine Abstimmung keine Rechtsverbindlichkeit schaffen, sondern dient dazu, dass der Interviewte die getroffenen Feststellungen mitträgt. Im Gegenteil kann sich eine Unterzeichnung ggf. sogar als rechtlich nachteilig darstellen. Bei Einsichtnahmen in IT-Systemen ist es zumeist sinnvoll, relevante Sachverhalte mit Screenshots zu dokumentieren. Somit besteht die Möglichkeit, die einzelnen Sachverhalte in der Nachbereitung zu überprüfen. Bei der Erstellung von Screenshots sollte die Anzeige personenbezogener Daten vermieden werden. Falls dies nicht möglich ist, empfiehlt sich z. B. eine nachträgliche „Schwärzung“ oder anderweitige Anonymisierung der abgebildeten personenbezogenen Informationen. 141 Auf Grundlage des festgestellten Status quo wird die Gap-Analyse durchgeführt.
Ziel der Gap-Analyse ist es, die Abweichungen zwischen dem Ist-Zustand und dem Soll-Zustand sowie die hierfür verantwortlichen Ursachen zu identifizieren. Bei der Festlegung des Soll-Zustands auf Grundlage der TOMs sollte eine regelmäßige Rücksprache mit dem Informationssicherheitsbeauftragten gehalten werden. Dies ist sinnvoll, da Abweichungen im Hinblick auf den Datenschutz meistens auch zu einer Reduktion des Sicherheitsniveaus führen (z. B. Sicherung und Archivierung von Datenbeständen, die personenbezogene Daten beinhalten). Die Gap-Identifizierung im Rahmen einer Gap-Analyse kann auf unterschied142 liche Arten erfolgen. Zu den einfachen Ausprägungen zählt die Abarbeitung von Checklisten („Kriterium erfüllt“ oder „Kriterium nicht erfüllt“), die auf Grundlage des ermittelten Solls auszugestalten sind. Um eine differenziertere Aussage für die anschließende Maßnahmenplanung 143 treffen zu können, besteht ergänzend die Möglichkeit, Reifegrade von für den technisch-organisatorischen Datenschutz relevanten Prozessen (z. B. Einbeziehung des Datenschutzbeauftragten vor der Einführung neuer IT-Systeme) zu bestimmen, um u. a. eine Aussage darüber treffen zu können, wie zuverlässig und nachhaltig der fragliche Prozess gemessen am Soll umgesetzt ist. Zur Bestimmung von Reifegraden kann auf verschiedene, bereits am Markt etablierte Reifegradmodelle zurückgegriffen werden (z. B. vierstufiges CMMI-Reifegradmodell von „unvollständig“ bis „sich
Giebichenstein/Schirp/Kölsch
D. Umsetzung der technisch-organisatorischen Maßnahmen
665
selbst verbessernder Prozess“).79 Die grundsätzliche Funktionsweise der verschiedenen Reifegradmodelle ist in vielen Fällen sehr ähnlich. Trotz der z. T. höheren Aussagekraft von Reifegraden sollte berücksichtigt werden, dass die Bestimmung von Reifegraden nicht immer leicht ist und einen erhöhten Aufwand fordert.80 In jedem Falle sollten die festgestellten Abweichungen vom Soll, die „Gaps“, 144 zunächst mit den verantwortlichen Ansprechpartnern (Projektleiter, Fachabteilungsleiter usw.) abgestimmt werden, um zum einen eine Akzeptanz zu erzielen und zum anderen auch sicherstellen zu können, dass ein zutreffender Ist-Zustand zugrundegelegt worden ist. Die Identifizierung von Gaps verläuft typischerweise über mehrere Ebenen. Wie- 145 derum werden üblicherweise Interviews mit Mitarbeitern über Prozesse und Verfahren geführt, ergänzende erläuternde Dokumente dazu gesichtet und bewertet sowie relevante IT-Anwendungen eingesehen. Wo erforderlich, können zur Überprüfung behaupteter Prozessimplementierungen Effektivitätsnachweise erbeten werden. Diese Vorgehensweise setzt in der Regel einige Erfahrung in der Durchführung und Auswertung von Interviews sowie in der Beurteilung von Dokumenten und Effektivitätsnachweisen voraus. Typischerweise verfügt die interne Revision über ein entsprechendes Erfahrungswissen, die deshalb unterstützend eingebunden werden kann. Nach der Gap-Identifizierung werden die Gaps analysiert. Hierbei werden die 146 Ursachen für die Abweichungen ermittelt. Ergebnis der Gap-Analyse kann beispielsweise sein, dass Gaps mehrfach auftreten, jedoch eine gemeinsame Ursache haben und im Idealfall durch gemeinsame Maßnahmen behandelt werden können. Abhängig von der Anzahl der betrachteten IT-Systeme kann die Analyse aufgrund der hohen Komplexität eine große Herausforderung darstellen. Aus diesem Grund hat es sich in der Praxis bewährt, zusammenfassende Übersichten der Gaps zu erstellen, um Synergiepotenziale und systematische Schwächen besser erkennen und effizient behandeln zu können.
79 Zu den bekanntesten Reifegradmodellen zählt das fünfstufige CMMI-Reifegradmodell (Capability Maturity Model). Die Reifegrade beginnen bei „initial“ und enden bei „Prozessoptimierung“. (Chrissis/Konrad/Shrum, S. 66 ff.) 80 Es ist hierbei darauf zu achten, dass der betrachtete Sachverhalt in seine einzelnen Abläufe und Inhalte derart aufgeteilt wird, dass die einzelnen Abläufe und Inhalte eigenständig mit einem Reifegrad bewertet werden können. Die einzelnen Reifegrade können anschließend zu einem einzigen Reifegrad aggregiert werden, der als Indikator für die Allokation von personellen, technischen oder monetären Ressourcen dienen kann. So kann der Benutzermanagement-Prozess in die drei Komponenten „Anlage von Nutzerkonten und Zuteilung von Nutzerrechten“, „Überprüfung und Anpassung“ und „Deaktivierung und Löschung“ unterteilt werden, die mit Reifegraden versehen werden können.
Giebichenstein/Schirp/Kölsch
666
Kapitel 12 Die technisch-organisatorischen Maßnahmen
3. Maßnahmenplanung und -priorisierung
147 Der letzte Schritt vor der Umsetzung der TOMs umfasst die Erstellung eines priorisier-
ten Maßnahmenplans, ggf. mit detaillierten Angaben zu den einzelnen erforderlichen Aktivitäten. Zunächst sollten aus den im vorherigen Schritt identifizierten Gaps umzusetzende Maßnahmenvorschläge abgeleitet werden, wobei mögliche Maßnahmen im vorangegangenen Abschnitt beispielhaft erläutert wurden. Zu jeder Maßnahme sollte der daraus resultierende Nutzen sowie der mit der Umsetzung verbundene Aufwand sowie ggf. die mit der Umsetzung verbundenen Risiken ermittelt werden. Diese Ergebnisse sollten anschließend mit Vertretern der betroffenen Unternehmensbereiche u. a. hinsichtlich der folgenden Fragestellungen erörtert werden: – Sind die vorgeschlagenen Maßnahmen effektiv und umsetzbar? – Sind bereits ähnliche Maßnahmen geplant? – Sind die getroffenen Aufwandsschätzungen realistisch? – Werden gerade Maßnahmen umgesetzt oder sind Maßnahmen in Planung, die die vorgeschlagenen Maßnahmen beeinflussen könnten? – Wie kann der Umsetzungserfolg und die Effizienz der Maßnahmen gemessen werden (z. B. Kontrollen, Kennzahlen)?
148 Anschließend wird ein hinsichtlich der Kritikalität und hinsichtlich des Kosten-Nut-
zen-Verhältnisses priorisierter Maßnahmenplan erstellt, wobei dieser schriftlich verfasst werden sollte. Unter Umständen ist es – abhängig von Umsetzungsaufwand und der Komplexität der Maßnahmen – erforderlich, einzelne oder eine Gruppe von Maßnahmen in Form eines gesonderten Projektes zu planen. Bei der Planung der Maßnahmen sollte erwogen werden, diese nicht sofort im gesamten Unternehmen umzusetzen. So ist es insbesondere bezüglich zu implementierender Maßnahmen, hinsichtlich derer keine Erfahrungswerte vorliegen, möglich und häufig auch zweckmäßig, diese zunächst nur in Teilbereichen des Unternehmens und bezogen auf einen festgelegten IT-Verbund zu implementieren (sog. Pilotbetrieb). Erst in einem zweiten Schritt erfolgt dann die Umsetzung im gesamten Unternehmen. Hierdurch können die Auswirkungen der Implementierung zunächst analysiert und Umsetzungsrisiken reduziert werden. Die gewonnenen Erkenntnisse können vor der unternehmensweiten Umsetzung genutzt werden, um die zu implementierende Maßnahme zunächst noch zu verbessern.
II. Do-Phase – Umsetzung des priorisierten Maßnahmenplans 149 Der priorisierte Maßnahmenplan aus der Plan-Phase muss anschließend mit der
Geschäftsleitung erörtert und von dieser freigegeben werden. Kommt es in der Folge noch zu Anpassungen, sollten diese wiederum schriftlich erfolgen. Zu beachten ist, dass vor der Implementierung einzelner Maßnahmen ggf. zunächst die Einbindung interner oder externer Stellen erfolgen muss. Auch können gesonderte RechtsprüGiebichenstein/Schirp/Kölsch
D. Umsetzung der technisch-organisatorischen Maßnahmen
667
fungen erforderlich sein. Stets zu prüfen ist vor allem, ob vor einer Implementierung die Mitarbeitervertretung (Betriebsrat/Sprecherausschuss), der Datenschutzbeauftragte und/oder externe Stellen, wie die zuständige Datenschutzaufsicht, eingebunden werden müssen. Insbesondere wenn die Maßnahme die Kontrolle von (deutschen) Arbeitnehmern ermöglicht (z. B. Umfang der Protokollierung von Nutzeraktivitäten), ist in der Regel die vorherige Einbindung von Datenschutzbeauftragten und Betriebsrat obligatorisch (vgl. §§ 4d Abs. 5 S. 2 Nr. 2 BDSG, 87 Abs. 1 Nr. 6 BetrVG). Praxistipp Noch vor der tatsächlichen Umsetzung der Maßnahmen sollte berücksichtigt werden, dass zwar ein großer Teil der TOMs technisch realisierbar ist, der Umsetzungserfolg jedoch wesentlich vom tatsächlichen alltäglichen Verhalten der Mitarbeiter abhängt (z. B. für den Zutritt autorisierte Mitarbeiter halten aus Anstand vermeintlichen Gästen die Tür auf, obwohl diese nicht für den Zutritt autorisiert sind). Folglich sollte vor der Umsetzung kritisch hinterfragt werden, ob (1) die geplanten Maßnahmen und die damit verbundenen Handlungsaufforderungen klar und verbindlich formuliert sind („sollen“), (2) den mit der Umsetzung Beauftragten die hierfür erforderlichen Informationen sowie personellen und monetären Ressourcen vorliegen („können“) und (3) die Anreize für die Mitarbeiter vorhanden sind, den Anforderungen nachzukommen („wollen“). Wenn die vorangegangenen Punkte nicht vollständig bejaht werden können, sollten ergänzende Maßnahmen vorab oder während der Umsetzung durchgeführt werden (z. B. Überprüfung von Arbeitsanweisungen hinsichtlich Verständlichkeit für Dritte, Schulung von Mitarbeitern zur Durchführung von Prozessen mit ausreichend vielen Praxisbeispielen, Besprechung des Maßnahmenplans mit den für die Umsetzung beauftragten Mitarbeitern).
Abhängig von der Größe des Unternehmens und dem Umfang der zu ergreifenden 150 Maßnahmen ist es erforderlich, für die Steuerung der Maßnahmenumsetzung ein gesondertes Projekt ggf. mit weiteren Teilprojekten aufzusetzen. Bei der Umsetzung der Maßnahmen sollte ein regelmäßiges Reporting des Umsetzungsstands und der verbrauchten Ressourcen erfolgen. Marktübliche Projektmanagementmethoden können hierbei helfen, derlei Projekte zielgerichtet zu planen, umzusetzen und zu steuern. Praxistipp Insbesondere in den Fällen, in denen die Umsetzung der Maßnahmen durch interne Ressourcen erfolgt, sollten wie in Projekten üblich Meilensteine und Budgets (monetär wie personell) festgelegt und freigegeben werden. Anderenfalls besteht das Risiko, dass die Maßnahmen nur schleppend und mit einer zu geringen Priorität in den Bereichen umgesetzt werden. Des Weiteren sollten auch die Aufwände berücksichtigt werden, die nach der erstmaligen Umsetzung im Rahmen des Regelbetriebs auftreten. Bei den vorab zu führenden Diskussionen ist zu beachten, dass die TOMs grundsätzlich umzusetzen sind, um die gesetzlichen Anforderungen zu erfüllen, und somit möglicherweise auch losgelöst eventueller Kostenaspekte. Der monetäre Spielraum entsteht dabei primär durch eine angemessene Konzeption der Maßnahmen, bei der nicht immer die aktuellste Technologie erforderlich ist, um die Ziele zu erreichen. Allerdings ist zu beachten, dass zumindest Verschlüsselungsverfahren stets dem Stand der Technik entsprechen sollten, vgl. Satz 3 der Anlage zu § 9 S. 1 BDSG. Im Übrigen handelt
Giebichenstein/Schirp/Kölsch
668
Kapitel 12 Die technisch-organisatorischen Maßnahmen
es sich allerdings häufig um bloße Standard-Funktionalitäten, die lediglich konfiguriert und aktiviert werden müssen. Ergänzend dazu lassen sich viele Themen auch mit „organisatorischen“ Regelungen sowie Handlungsanweisungen lösen.
III. Check-Phase – Überprüfung des Umsetzungserfolgs 151 In der dritten Phase, der Check-Phase, wird überprüft, ob die geplanten und zur Erpro-
bung ergriffenen Maßnahmen aus der Do-Phase effektiv und wirtschaftlich umgesetzt wurden. Die Maßnahmen sind hierbei zunächst auf ihre Funktionsfähigkeit im ausgewählten Pilotbereich beschränkt. Ihre Überprüfung kann etwa im Rahmen von (Projekt-) Audits mit Fokus auf die Dokumentenlage sowie Nachweise und Reports in Verbindung mit individuellen Gesprächen mit dem für die Umsetzung der TOMs Beauftragten (z. B. Projektleiter) erfolgen. Die dort gesammelten Erkenntnisse sollen helfen, ein Verständnis für den Reifegrad der Umsetzung und erforderliche Nachbesserungsbedarfe zu gewinnen. Hier findet gedanklich eine Rückkopplung zur „DoPhase“ statt, da Erkenntnisse zur Verbesserung in die Do-Phase zurückfließen. Als Ziel soll bei Abschluss des Projektes – in der Regel über eine erste Pilotierungsphase – eine Basis geschaffen werden, die in der Act-Phase dann als Ausgangspunkt für den flächendeckenden „Roll-out“ und die einhergehende Standardisierung dienen soll. Praxistipp Für diese Phase kann es bereits erforderlich werden, technische oder revisionserfahrene Experten hinzuzuziehen, um die Qualität und Aktualität der Dokumente, das Verständnis der Themen bei den Mitarbeitern und Funktionsfähigkeit der umgesetzten Maßnahmen im Einklang mit der Dokumentationslage ausreichend beurteilen zu können. Die Überprüfung dieser angeführten Bereiche geht einher mit der fachlichen wie technischen Kompetenz und der Erfahrung in Revisionstätigkeiten, weshalb sich die Einbindung entsprechender Experten zur Unterstützung insbesondere des Datenschutzbeauftragten in der Praxis bewährt hat.
IV. Act-Phase – Verstetigung im Regelbetrieb 152 Nachdem die TOMs erstmalig im Unternehmen – in der Regel über eine Pilotierungs-
phase mit einem eingeschränkten IT-Verbund – umgesetzt wurden, erfolgt abschließend der flächendeckende Roll-out, die Standardisierung und anschließende Verstetigung der neuen Prozesse und Vorgaben im Regelbetrieb, und dies unterstützt durch die Mitwirkung aller betroffenen Mitarbeiter im Unternehmensalltag. Dies bedeutet, dass damit auch die erforderlichen Maßnahmen von den jeweils verantwortlichen Fachbereichen operativ durchgeführt und gesteuert werden müssen. Der Datenschutzbeauftragte, der im Regelfall die erstmalige Umsetzung angestoßen hat, wird abseits des Regelbetriebs sodann primär bei speziellen Frage-
Giebichenstein/Schirp/Kölsch
D. Umsetzung der technisch-organisatorischen Maßnahmen
669
stellungen, Sondersachverhalten oder Eskalationsbedarfen eingebunden. Außerdem nimmt er eine begleitende und überwachende Funktion ein, was bereits aus seiner Hinwirkungsfunktion gem. § 4g Abs. 1 S. 1 BDSG folgt. Um Transparenz über die neuen Regelungen und deren Umsetzungserfolg sowie 153 über die Effektivität und Effizienz der Maßnahmen zu schaffen und somit eine Steuerung durch den Datenschutzbeauftragten zu ermöglichen, sollte ein Regel-Reporting etabliert werden (z. B. unterstützt durch sog. Key Performance Indicators, kurz „KPI“). Die hierfür erforderliche Datengrundlage und die Reporting-Prozesse sollten bereits bei der Maßnahmenplanung berücksichtigt werden und in der Do-Phase miterprobt werden. Mögliche KPI sind: – System- und Informationsintegrität Betriebssysteme:81 Prozentsatz der Betriebssysteme, auf denen aktuelle Sicherheitspatches installiert wurden (oder gleichwertige Ersatzmaßnahmen); – Kritische Systemberechtigungen:82 Anzahl der Nutzerkonten mit Rollen, die als kritische Rollen klassifiziert wurden (z. B. Super-User in SAP-Systemen). Praxistipp Beim Aufbau und beim Betrieb des Regel-Reportings kann u. U. auf bereits etablierte Reporting-Strukturen im Unternehmen aufgesetzt werden (z. B. Reporting im Informationssicherheitsmanagement, Audit-Berichte der internen Revision). Um redundante Prüfungen zu vermeiden und eine zu hohe Zusatzbelastung in den Fachbereichen auszuschließen, sollten Prüfungspläne mit relevanten Unternehmenseinheiten vorab abgestimmt werden (z. B. mehrfache Prüfung von Berechtigungen innerhalb weniger Wochen).
Eine wesentliche Komponente im Rahmen der Verstetigung im Regelbetrieb, die an 154 dieser Stelle hervorgehoben werden soll, sind regelmäßig durchgeführte Schulungen und Kommunikationsmaßnahmen. Hierbei ist es sinnvoll, ein Schulungs- und ein Kommunikationskonzept zu erstellen, das auf bereits etablierte Strukturen im Unternehmen aufsetzt und mit relevanten Ansprechpartnern im Unternehmen (z. B. Informationssicherheit, Revision) hinsichtlich der Vermeidung von Widersprüchen und Nutzung von Synergien abgestimmt werden sollte. Wichtig ist, dass die Inhalte auf die jeweilige Zielgruppe zugeschnitten werden. So ist es etwa denkbar, Mitarbeiter an ihrem ersten Arbeitstag zu den Themen Datenschutz und Informationssicherheit zu schulen und das Wissen durch jährliche Online-Schulungen (sog. Web Based Training, kurz „WBT“) aufrechtzuerhalten. Gesetzlich vorgeschrieben ist dies zwar nicht ausdrücklich – um seiner Schulungsfunktion gem. § 4g Abs. 1 S. 3 Nr. 2 BDSG nachzukommen, kann der Datenschutzbeauftragte etwa auch Merkblätter o. ä. verwen-
81 NIST, NIST-SP-800-55 Revision 1, 2008, S. A-23, abrufbar unter http://csrc.nist.gov/publications/ nistpubs/800-55-Rev1/SP800-55-rev1.pdf. 82 Kütz, S. 219.
Giebichenstein/Schirp/Kölsch
670
Kapitel 12 Die technisch-organisatorischen Maßnahmen
den83 –, Schulungen sind aber in der Regel aufgrund der höheren Effektivität bereits unter allgemeinen Compliance-Aspekten zweckmäßig und deshalb auch zu empfehlen.84 Lediglich eine Verpflichtung der Mitarbeiter auf das Datengeheimnis gem. § 5 S. 2 BDSG genügt in jedem Falle nicht, um die Schulungsfunktion zu erfüllen.85 Flankierend zu den Schulungsmaßnahmen sollten regelmäßige und anlassbe155 zogene Kommunikationsmaßnahmen an alle Mitarbeiter (z. B. Stellungnahme des Datenschutzbeauftragten zu aktuellen Entwicklungen etwa eingebettet in unternehmensinternen Mitarbeiter-Newsletter) durchgeführt werden. Mitarbeiter, an die höhere Anforderungen an den Datenschutz gestellt werden (z. B. Personal, Marketing, IT-Administratoren), werden mit zusätzlichen spezifischen Informationen versorgt.
V. KVP – kontinuierlicher Verbesserungsprozess 156 Wie bereits zu Beginn des Unterabschnitts erwähnt, genügt die einmalige Umset-
zung der TOMs nicht, sondern diese sind nach ihrer erstmaligen Umsetzung aus dem Regelbetrieb heraus einem KVP unterworfen. Ein KVP leitet dabei einen erneuten Durchlauf des PDCA-Zyklus ein, allerdings aufbauend auf dem nun bereits erreichten Standardisierungsniveau. Mit dem KVP wird so sichergestellt, dass das erreichte Standardisierungsniveau bei entsprechendem Durchlauf kontinuierlich fortentwickelt werden kann und so insbesondere die etablierten Prozesse an den Anforderungen des Unternehmens angepasst bleiben. Anforderungen, die in den Verbesserungsprozess einfließen können, entstehen z. B. aus Änderungen in der Personal- oder Organisationsstruktur, rechtlich-regulatorischen Neuerungen (z. B. die geplante EU-Datenschutz-Grundverordnung) oder aus Modifikationen von IT-Anwendungen und verbundenen (Hilfs-)Prozessen unter Qualitäts- oder Kostenoptimierungsaspekten. Nicht alle diese Faktoren sind vom Unternehmen selbst initialisiert. Vielmehr können, wie aufgezeigt, verschiedene externe wie interne Faktoren zu berücksichtigen sein.
E. Zusammenfassung 157 Eine wesentliche Komponente des Datenschutzes sind technisch-organisatorische
Maßnahmen, deren Umsetzung in § 9 BDSG gefordert wird und die in der Anlage zu § 9 S. 1 BDSG näher beschrieben werden. Die insgesamt acht geforderten Maßnahmen (-bereiche) lauten wie folgt:
83 Gola/Schomerus, § 4g Rn 21. 84 Hauschka/Lampert, § 9 Rn 34. 85 Gola/Schomerus, § 4g Rn 21.
Giebichenstein/Schirp/Kölsch
E. Zusammenfassung
671
– Zutrittskontrolle: Nur autorisierten Personen wird der physische Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet werden, ermöglicht. – Zugangskontrolle: Ausschließlich autorisierte Nutzer (natürliche Personen oder Systemnutzer) verfügen über einen Zugang zu Datenverarbeitungssystemen, in denen personenbezogene Daten verarbeitet werden. – Zugriffskontrolle: Innerhalb von Datenverarbeitungssystemen haben nur die Nutzer Zugriff auf personenbezogene Daten, die hierfür autorisiert sind. – Weitergabekontrolle: Die Weitergabe von personenbezogenen Daten (z. B. elektronische Übermittlung) muss sicher und nachvollziehbar erfolgen, damit nur Befugte einen Zugriff auf die Daten haben. – Eingabekontrolle: Verarbeitungen von personenbezogenen Daten dürfen nur durch hierfür Berechtigte erfolgen. Die Verarbeitungen müssen nachvollziehbar protokolliert werden. – Auftragskontrolle: Die Verarbeitung personenbezogener Daten im Auftrag (§ 11 BDSG) darf nur weisungsgemäß erfolgen. – Verfügbarkeitskontrolle: Personenbezogene Daten müssen verfügbar vorgehalten werden. – Trennungsgebot: Durch die logische oder physische Trennung personenbezogener Daten soll sichergestellt werden, dass diese nur zweckgemäß verarbeitet werden. Zusätzlich ist gem. Satz 1 der Anlage zu § 9 S. 1 BDSG eine sog. Organisationskont- 158 rolle sicherzustellen, die darauf auszurichten ist, dass die innerbetriebliche Organisation den besonderen Anforderungen des Datenschutzes gerecht wird.86 Die technisch-organisatorischen Maßnahmen weisen insgesamt eine große 159 Schnittmenge mit den Maßnahmen, die im Rahmen des Informationssicherheitsmanagements ergriffen werden müssen, auf. Aus diesem Grund hat es sich in der Praxis bewährt, Maßnahmen zu beiden Themenbereichen abgestimmt zu planen und umzusetzen. Dies ermöglicht die Nutzung von Synergien und hilft Widersprüche zu vermeiden. Die erstmalige Planung, Umsetzung und Nachbesserung der technisch-organi- 160 satorischen Maßnahmen kann beispielsweise nach dem Vorgehen im PDCA-Zyklus erfolgen. Hierbei handelt es sich um eine Vorgehensweise, durch die nach der erstmaligen Umsetzung einer jeden Maßnahme deren anschließende kontinuierliche Verbesserung (in Bezug auf Umsetzungserfolg, Wirtschaftlichkeit und Aktualität) sichergestellt wird.
86 Simitis/Walter/Ernestus, § 9 Rn 47.
Giebichenstein/Schirp/Kölsch
Kapitel 13 Zertifizierungen – Arten und Nutzen A. Motivation und Zielsetzung Die vorangegangenen Kapitel haben dargelegt, dass Unternehmen, hierunter insbe- 1 sondere Dienstleister, zahlreiche Maßnahmen umsetzen und sodann kontinuierlich betreiben müssen, um Datenschutzanforderungen vollständig und nachhaltig zu erfüllen. Neben den internen Interessengruppen im eigenen Unternehmen sind es gerade aus Sicht des betroffenen Unternehmens die externen Interessengruppen (u. a. Kunden, Kooperationspartner, Behörden, Banken und Versicherungen oder die Öffentlichkeit), die ein deutliches Interesse daran äußern, dass in Liefer- und Leistungsbeziehungen oder Vertragsverhältnissen auch Datenschutzaspekte gesetzeskonform berücksichtigt werden. Treiber dafür sind aus Sicht dieser Interessengruppen regelmäßig eigene rechtliche Verpflichtungen oder Unternehmensvorgaben, die vorschreiben, dass die datenschutzbezogenen Maßnahmen im Außenverhältnis in den zu ihnen in Beziehung stehenden Unternehmen erfolgreich implementiert wurden. Gerade bezüglich der zu treffenden technisch-organisatorischen Maßnahmen 2 gem. § 9 BDSG gilt, dass diese nachweisbar, mithin hinreichend dokumentiert sein müssen.1 Anderenfalls lässt sich gegenüber Aufsichtsbehörden und Betroffenen nicht der Nachweis führen, dass die entsprechenden Anforderungen erfüllt sind.2 Hierbei handelt es sich aber ohnehin um einen allgemeinen Grundsatz des BDSG. Dies zeigen exemplarisch die §§ 11 Abs. 2 S. 5, 32 Abs. 1 S. 2 BDSG, wonach die im Zuge der Auftragsdatenverarbeitung zwingend durchzuführenden (Erst-) Kontrollen des Auftraggebers genauso zu dokumentieren sind wie die konkreten Anhaltspunkte für eine beschäftigungsbezogene Straftat bei unternehmensbezogenen Ermittlungen. Entsprechend gilt es etwa auch die Erfüllung der Pflicht, bestimmte Verarbeitungsverfahren vor ihrer Inbetriebnahme dem Datenschutzbeauftragten zur Vorabkontrolle (§ 4d Abs. 5 BDSG) vorzulegen, hinreichend zu dokumentieren. Gerade die Erfüllung von Kontrollpflichten mündet mitunter in die Erforderlich- 3 keit von Vor-Ort-Audits, sei es im eigenen Unternehmen oder bei externen Dienstleistern. Spiegelbildlich sehen sich externe Dienstleister gerade aufgrund der Verpflichtung nach § 11 Abs. 2 S. 4 BDSG Fremdprüfungen ausgesetzt. Umgekehrt kann es auch seitens der Aufsichtsbehörden zu Vor-Ort-Kontrollen kommen, namentlich im Rahmen ihrer Kontrollbefugnis nach § 38 Abs. 4 BDSG. Auch vor diesem Hintergrund müssen getroffene Datenschutzmaßnahmen hinreichend dokumentiert sein.
1 BeckOK DatenSR/Karg, § 9 BDSG Rn 88. 2 BeckOK DatenSR/Karg, § 9 BDSG Rn 88.
Giebichenstein/Schirp/Kölsch
674
Kapitel 13 Zertifizierungen – Arten und Nutzen
Dies gilt nicht zuletzt auch vor dem Hintergrund der Pflicht zur Auskunftserteilung im Falle von Auskunftsersuchen Betroffener (§ 34 BDSG). Eine der wesentlichen Dokumentationspflichten folgt schließlich aus § 4g Abs. 2 S. 1 BDSG, wonach dem Datenschutzbeauftragten von der verantwortlichen Stelle „eine Übersicht über die in § 4e Satz 1 [BDSG] genannten Angaben sowie über zugriffsberechtigte Personen zur Verfügung zu stellen [ist]“. Dies meint die Pflicht zur Erstellung und Bereitstellung des sog. Verfahrensverzeichnisses, womit alle Verarbeitungsverfahren einschließlich technisch-organisatorischer Maßnahmen und Zugriffsberechtigungen zu dokumentieren sind. Die Beantwortung der Anfragen und Begleitung von „Vor-Ort-Audits“ sind für 5 das überprüfte Unternehmen auch bei hinreichender Dokumentation im Regelfall mit einem deutlichen Aufwand verbunden, da hier in jedem Falle Ressourcen gebunden werden. Die Ressourcenbindung ist insbesondere dann hoch, wenn das überprüfte Unternehmen, wie heute üblich, einer hohen Frequenz solcher Audits unterliegt (z. B. aufgrund der Vielzahl von Kundenbeziehungen). Aus diesem Grund ist es aus Unternehmenssicht naheliegend, den durch Anfragen und Audits entstehenden Aufwand auf ein verträgliches Maß zu reduzieren und gleichzeitig den Anforderungen der Interessengruppen gerecht zu werden. In der Praxis hat sich hier der Begriff „Audit- oder Prüftourismus“ eingebürgert, dem das betroffene Unternehmen mit effizienzsteigernden Maßnahmen begegnen sollte. Am Markt haben sich daher in den letzten Jahren verschiedene Ansätze herausge6 bildet, die es Unternehmen ermöglichen sollen, hier Synergien und Effizienzen zu heben. Eine Möglichkeit besteht darin, dass eine sowohl vom Kunden als auch vom überprüften Unternehmen unabhängige Instanz in regelmäßigen Abständen überprüft, ob die Datenschutzanforderungen vom überprüften Unternehmen, mit dem eine im Regelfall geschäftliche Beziehung unterhalten wird, eingehalten werden. Diese Prüfung erfolgt nach einem standardisierten Verfahren und wird typischerweise in Form eines offiziellen Dokuments (z. B. Zertifikat oder Bericht ggf. ergänzt durch ein Gütesiegel), das den Interessengruppen zur Verfügung gestellt werden kann, dokumentiert. Gegenstand der Überprüfung sind dabei typischerweise die erfolgreiche Umsetzung der technisch-organisatorischen Maßnahmen gem. § 9 BDSG (kurz „TOMs“) sowie die weiteren aus dem BDSG und aus marktüblichen Standards abzuleitenden prozessualen, organisatorischen und technischen Maßnahmen. Neben der Senkung des Aufwandes bei der Beantwortung von Anfragen und im 7 Zusammenhang von (Dritt-) Kontrollen kann ein entsprechendes Dokument auch dazu genutzt werden, das Vertrauen der Interessengruppen in das Unternehmen zu steigern. Hieraus resultiert häufig eine Abgrenzung von Wettbewerbern, woraus nicht selten eine höhere Marktattraktivität resultiert. So werden zahlreiche Aufträge gerade im öffentlich-rechtlichen Bereich nur vergeben, wenn bestimmte Zertifizierungen, insbesondere bezüglich Informationssicherheit, nachgewiesen werden können.
4
Giebichenstein/Schirp/Kölsch
B. Rechtlicher Rahmen
675
Gleichzeitig können die Prüfberichte, die im Zusammenhang mit Zertifizierungen 8 und sonstigen systematischen Compliance-Prüfungen in der Regel periodisch erstellt werden müssen, von der Geschäftsleitung genutzt werden, um nachzuweisen, dass die jeweils im Prüfungsfokus stehenden Datenschutzanforderungen unternehmensseitig erfüllt und regelmäßig überprüft werden. Für den Fall, dass es dennoch zu einem Datenschutzvorfall kommen sollte, besteht so die Möglichkeit, nachzuweisen, dass systematische Maßnahmen ergriffen wurden, um Eintrittswahrscheinlichkeit und Ausmaß für einen solchen Vorfall zu senken. Dies ist gerade unter dem Aspekt des Organisationsverschuldens von wesentlicher Bedeutung, und zwar sowohl mit Blick auf eine mögliche Organhaftung gem. §§ 43 Abs. 2 GmbHG, 93 Abs. 1 AktG als auch hinsichtlich der allgemeinen Compliance-Verantwortlichkeit des Unternehmens und verantwortlich Handelnder gem. §§ 9, 30, 130 OWiG. Es bleibt dennoch festzuhalten, dass Stand heute eine umfängliche Haftungsvermeidung auch im Falle des Vorliegens von Zertifizierungen und ähnlichen Compliance-Nachweisen nicht sicher angenommen werden kann; gleichwohl dürfte diese die Beweisführung, insbesondere mit Blick auf die Beweislastumkehr des § 93 Abs. 1 S. 2 AktG, mitunter erheblich erleichtern, wenn trotzdem ein einschlägiger Compliance-Verstoß aus der Unternehmensorganisation heraus begangen wird.3
B. Rechtlicher Rahmen Das BDSG selbst schreibt keine Maßnahmen einer Zertifizierung vor und spricht 9 zurzeit auch keine Empfehlung für derartige Maßnahmen aus. Es wird lediglich in § 9a BDSG darauf hingewiesen, dass ein Datenschutz-Audit möglich ist, wobei es sich um eine bloße programmatische Aussage handelt.4 Ursprünglich wurde angekündigt, die Anforderungen an ein Datenschutz-Audit durch das Bundesdatenschutzauditgesetz (BDSAuditG) näher zu spezifizieren und zu regeln. Den ersten materiellen Vorstoß in diese Richtung gab es im Jahre 2009 mit dem Gesetzentwurf für ein Datenschutzauditgesetz (DSAG),5 der allerdings wegen Schwächen konzeptioneller Art und hohen bürokratischen Aufwandes stark kritisiert wurde.6 Letztlich kam es trotz anderweitiger Ankündigung dann nicht mehr zur Verabschiedung des Entwurfs und verfiel daher vor dem Hintergrund der sachlichen Diskontinuität.7 An einer bundesgesetzlichen Vorgabe zur konkreten Ausgestaltung einer Datenschutzzertifizierung (z. B. an ein „Datenschutz-Zertifikat“) fehlt es daher nach wie vor.
3 Vgl. zum Ganzen Withus/Hein, CCZ 2011, 125, 127. 4 BeckOK DatenSR/Schantz, § 9a BDSG Rn 1. 5 BT-Drucks. 16/12011. 6 BeckOK DatenSR/Schantz, § 9a BDSG Rn 1 m. w. N. 7 BeckOK DatenSR/Schantz, § 9a BDSG Rn 1 m. w. N.
Giebichenstein/Schirp/Kölsch
676
Kapitel 13 Zertifizierungen – Arten und Nutzen
Mit Inkrafttreten der geplanten EU-Datenschutz-Grundverordnung8 („DSGVO“) ist insoweit allerdings eine Änderung zu erwarten. Anders als die derzeit in Kraft befindliche Europäische Datenschutzrichtlinie 95/46/EG wird die DS-GVO unmittelbare Rechtswirkung entfalten, bedarf also keiner Umsetzungsgesetze mehr in den europäischen Einzelstaaten. Der jetzige Entwurf ist am 12.3.2014 in erster Lesung vom Europäischen Parla11 ment verabschiedet worden. Vorbehaltlich der Zustimmung des EU-Ministerrates ist in Art. 39 Abs. 1e DS-GVO ein „Europäisches Datenschutzsiegel“ als einheitliches Zertifizierungsverfahren vorgesehen, mittels dessen sich verantwortliche Stellen durch jede Datenschutzaufsichtsbehörde in der Europäischen Union für einen Zeitraum von fünf Jahren dahingehend zertifizieren lassen können, dass die durch sie erfolgenden Verarbeitungen personenbezogener Daten in Übereinstimmung mit der DS-GVO erfolgen. Zum Zwecke der Zertifizierungsdurchführung können die Aufsichtsbehörden gem. Art. 39 Abs. 1d DS-GVO ihrerseits spezialisierte Dritte akkreditieren, die das für die Zertifizierung erforderliche Audit im Auftrag der angerufenen Datenschutzaufsicht sodann durchführen. Dies lässt es naheliegend erscheinen, dass derzeit ein Verfahren vergleichbar der Durchführung von IT-Grundschutzzertifizierungen durch das Bundesamt für Sicherheit in der Informationstechnik („BSI“) angedacht ist.9 Im Fokus stehen gem. Art. 39 Abs. 1a DS-GVO dabei der technisch-organisa12 torische Datenschutz, die nach jetzigem Stand künftig zwingend einzuhaltenden Grundsätze von „privacy by design“ und „privacy by default“ sowie die allgemeinen Grundsätze der Verarbeitungstransparenz, -zweckbindung und -verantwortlichkeit sowie der Datensparsamkeit, -richtigkeit und -integrität. In delegierten Rechtsakten sollen gem. Art. 39 Abs. 3 DS-GVO Kriterien und Anforderungen für das Zertifizierungsverfahren seitens der EU-Kommission festgelegt werden können, wobei als Voraussetzung hierfür genannt wird, dass diese zunächst den Europäischen Datenschutzausschuss sowie verschiedene Interessenvertreter, insbesondere Industrieverbände und Nicht-Regierungsorganisationen, konsultiert. Da nunmehr aber noch die Zustimmung des EU-Ministerates zur DS-GVO aus13 steht, muss zunächst abgewartet werden, ob das Europäische Datenschutzsiegel in dieser Form tatsächlich kommen wird. Auch wenn es als recht sicher angesehen werden kann, dass die DS-GVO in Kraft treten wird, ist es dennoch wahrscheinlich, dass der derzeitige Verordnungstext noch wesentliche Änderungen erfahren wird.
10
8 Bei der Schlussredaktion dieses Handbuchs wurde die DS-GVO gem. Legislativer Entschließung des Europäischen Parlaments v. 12.3.2014 zu dem Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (allgemeine Datenschutzverordnung) (COM(2012)0011 – C7-0025/2012 – 2012/0011(COD)) (Ordentliches Gesetzgebungsverfahren: erste Lesung), P7_TA-PROV(2014)0212, A70402/2013 zugrunde gelegt. 9 Vgl. dazu unten Rn 55.
Giebichenstein/Schirp/Kölsch
C. Begriffsklärung
677
Der Markt hat bisher auf diesen Umstand in der Form reagiert, dass verschiedene 14 Organisationen, Verbände, private Anbieter sowie vereinzelte Landesbehörden eigene Ansätze konzipiert haben, bei denen die Einhaltung von Datenschutzanforderungen durch eine vom Unternehmen beauftragte unabhängige Instanz offiziell bestätigt wird. Vielfach handelt es sich bei den Bestätigungen um sog. Zertifikate, wobei der Begriff des Zertifikats vielfach als bloßer Sammelbegriff für verschiedene Möglichkeiten zur offiziellen Konformitätsbestätigung zu verstehen ist. Bevor die verschiedenen Ansätze erläutert werden, werden im nachfolgenden 15 Abschnitt zunächst die zentralen Begrifflichkeiten, die im weiteren Verlauf aufgegriffen werden, definiert.
C. Begriffsklärung I. Standards und Normen Im Zusammenhang mit Zertifizierungsansätzen spielen Standards und Normen eine 16 zentrale Rolle. Diese stellen die Grundlage für aussagekräftige und miteinander vergleichbare Zertifizierungsinhalte dar. Sowohl Standards als auch Normen vereinheitlichen Anforderungen, die an Produkte, Vorgehensweisen oder Dienstleistungen gestellt werden. Ausgangspunkt für Standards und Normen sind im Regelfall bereits in der Praxis etablierte und anerkannte Herangehensweisen und Kriterien (sog. Best Practices), die von Expertengruppen diskutiert und in Form von Standards dokumentiert werden. Weltweit existieren viele verschiedene Arten von Standards und Normen. Sie unterscheiden sich im Wesentlichen hinsichtlich – Thema (z. B. Informationssicherheitsmanagement, Umweltschutz), – Anerkennung (z. B. Branchen, Regionen) und – Herausgeber (z. B. ISO, DIN, VDI). Herausgeber von Standards und Normen sind im Regelfall anerkannte Institutionen 17 mit nationalen oder internationalen Gremien, Mitgliedern und Interessengruppen. Die Zielsetzungen der Institutionen können unterschiedlich sein. Hierzu zählen u. a. die Senkung der Komplexität, die Steigerung der Vergleichbarkeit oder die Etablierung von neuen Produkten am Markt. Im Regelfall werden die entwickelten Standards den Interessenten transparent gemacht und sind entweder kostenlos verfügbar (z. B. BSI-Standards) oder müssen erworben werden (z. B. ISO-Standards). Standards und Normen treten häufig als sog. Standard-Familie auf. Diese beste- 18 hen nicht selten aus einem zertifizierbaren Standardregelwerk (z. B. ISO 27001 – Information Security Management Systems – Requirements) und ergänzenden Standards, die einen informativen Charakter haben und beispielsweise Hilfestellungen für die Umsetzung enthalten (z. B. ISO 27003 – Implementation Guidance). Bei größeren Standard-Familien wie der ISO-270xx-Reihe existieren zudem spezifische Standards, Giebichenstein/Schirp/Kölsch
678
Kapitel 13 Zertifizierungen – Arten und Nutzen
die spezifische Fragestellungen einzelner Branchen aufgreifen (z. B. ISO 27015 – Information Security Management Guidelines for Financial Services). Die Prüfungen auf Konformität mit den Standards und Normen und die anschlie19 ßende Zertifizierung erfolgen im Regelfall durch privatwirtschaftliche Unternehmen. Insbesondere für die Zertifizierung ist in vielen Fällen eine Akkreditierung des zertifizierenden Unternehmens bei einer hierfür autorisierten Institution erforderlich (z. B. in Deutschland die Deutsche Akkreditierungsstelle GmbH, kurz „DAkkS“).10 So kann sichergestellt werden, dass nur die Unternehmen und Personen Zertifikate herausgeben dürfen, die für deren inhaltliche Beurteilung qualifiziert und ausreichend zuverlässig sind. Ein Qualitätssicherungsinstrument der Akkreditierungsstelle ist hierbei vor allem die Überwachung der akkreditierten Unternehmen und ggf. Personen.11 In den nachfolgenden Kapiteln werden die beiden Begriffe „Standard“ und 20 „Norm“ zur Vereinfachung synonym verwendet.
II. Zertifikate, Prüf-/Gütesiegel und Testate 21 In der Praxis werden viele verschiedene Begriffe für Nachweise verwendet, die die
Konformität mit festgelegten Anforderungen bestätigen sollen. Die Bandbreite der Begriffe ist sehr groß – beginnend bei „Prüfungsnachweisen“, über „Zertifikate“ bis hin zu „Testaten“ – und ist je nach Institution, die hinter dem jeweiligen Verfahren steht, nicht immer eindeutig. Nachfolgend werden die im Kontext der Zertifizierung am häufigsten verwendeten Begriffe kurz erläutert.
1. Zertifikat und Prüfbericht
22 Der wohl am häufigsten verwendete Begriff für den Nachweis der Konformität mit
einem Standard oder einer Norm ist das Zertifikat. Dieses bestätigt, dass der vom Zertifizierungsunternehmen geprüfte Betrachtungsgegenstand (sog. Scope) die Anforderungen eines bestimmten Standards erfüllt.12 In den meisten Fällen ist ein Gültigkeitszeitraum für ein Zertifikat festgelegt und auf dem Zertifikat vermerkt. Das Zertifikat ist im Regelfall eine Zusammenfassung des gesamten Prüfberichts und führt die wesentlichen (positiven) Prüfergebnisse auf. Angaben, die auf dem Zertifi-
10 Vgl. Deutsche Akkreditierungsstelle GmbH, DAkkS – Wir stellen uns vor, abrufbar unter http:// www.dakks.de/sites/default/files/DAkkS_Flyer_2012_web.pdf. 11 Vgl. § 3 AkkStelleG und Art. 4 Abs. 1 VO (EG) Nr. 765/2008 des Europäischen Parlaments und des Rates. 12 Vgl. ISO, International Standard ISO/IEC 14001:2004 – Translated Into Plain English, Kanada: Praxiom Research Group 2007, S. 25.
Giebichenstein/Schirp/Kölsch
C. Begriffsklärung
679
kat vermerkt sind, sind beispielsweise der zugrundeliegende Standard, das zertifizierte Unternehmen, der Scope und der Gültigkeitszeitraum. Der Prüfbericht, der dem zertifizierten Unternehmen zusammen mit dem Zer- 23 tifikat ausgehändigt wird, beinhaltet im Normalfall Details zu den durchgeführten Prüfungen und positiven wie negativen Ergebnissen. Aufgrund der zahlreichen, z. T. vertraulich zu behandelnden Details wird im Regelfall nur das Zertifikat relevanten Interessengruppen als offizielles Dokument ausgehändigt. Der Prüfbericht hingegen wird aufgrund seiner Vertraulichkeit im Regelfall nicht öffentlich zugänglich aufbewahrt und nur unter bestimmten Umständen ausgehändigt (z. B. Anfrage des Wirtschaftsprüfers zu Prüfungszwecken, externe Kunden bei Vertragsanbahnung).
2. Testat Ein Testat ist der Nachweis über durchgeführte Arbeiten bzw. Prüfungshandlun- 24 gen im Sinne einer Bestätigung durch eine hierfür autorisierte Stelle. Im Zusammenhang mit dem Nachweis auf Konformität mit einem Standard wird der Begriff Testat häufig synonym mit dem Begriff Zertifikat verwendet. Das Testat bezieht sich im Regelfall auf einen vergangenen Zeitraum und besitzt kein Ablaufdatum. Die wahrscheinlich bekannteste Art von Testaten ist der Prüfungs- bzw. Bestäti- 25 gungsvermerk des Wirtschaftsprüfers, der nach dem Ende der Prüfungshandlungen im Rahmen der Jahresabschlussprüfung erstellt wird. Eine Motivation für die Verwendung des Begriffs des Testats anstatt des Begriffs des Zertifikats könnte deshalb sein, dass einem Testat üblicherweise eine höhere Glaubhaftigkeit beigemessen wird. Gleichwohl spielen Testate im datenschutzrechtlichen Kontext eine eher untergeordnete Rolle und sollen deshalb bei den nachfolgenden Ausführungen weitestgehend13 außen vor bleiben.
3. Prüf- und Gütesiegel Im Vergleich zu Zertifikaten und Testaten sind Prüf- und Gütesiegel grafische oder 26 schriftliche Markierungen, durch die darauf hingewiesen wird, dass das gekennzeichnete Objekt (z. B. Produkt, Website) festgelegte Kriterien einhält. Prüf- und Gütesiegel sind somit tendenziell ein werbewirksames Mittel zur Signalisierung einer bestimmten Eigenschaft oder Qualität (z. B. das Datenschutzgütesiegel des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein).
13 Denkbar sind etwa Datenschutzbausteine im Rahmen der Prüfung von Compliance-ManagementSystemen nach „IDW PS 980“. Dieser Standard wird wegen seiner verhältnismäßig untergeordneten Bedeutung bezüglich datenschutzrechtlicher Prüfungsgegenstände nicht betrachtet. Gerade im internationalen Kontext kommt dahingehend dem Standard „ISAE 3000“ eine wesentlich größere Bedeutung zu, weshalb dies nachfolgend noch näher erläutert wird, vgl. Rn 68.
Giebichenstein/Schirp/Kölsch
680
Kapitel 13 Zertifizierungen – Arten und Nutzen
Praxistipp Bei der Verwendung eines Prüf- oder Gütesiegels für werbewirksame Zwecke muss darauf geachtet werden, dass dieses nur in dem Rahmen und Umfang verwendet werden darf, wie es die das Siegel erteilende Einrichtung in ihren Regelungen vorgesehen und erlaubt hat. Im Übrigen entschied beispielsweise das OLG Hamm14 in einem Rechtsstreit zwischen zwei Rechtsanwaltskanzleien, dass es wettbewerbswidrig sei, wenn eine Rechtsanwaltskanzlei auf Briefbögen oder Kanzleischildern mit dem Prüfsiegel des DEKRA e. V. und der zusätzlichen Ergänzung „Qualitätsmanagement. Wir sind zertifiziert. Regelmäßige freiwillige Überwachung nach ISO 9001:2000“ wirbt. Denn dies erwecke, so das OLG, den Eindruck, dass nicht nur die Qualität der Büroorganisation, sondern auch die Qualität der in der Rechtsanwaltskanzlei tätigen Rechtsanwälte geprüft worden sei. 27 Abhängig von der Art des Prüf- oder Gütesiegels können Unternehmen dazu verpflich-
tet werden, ihre Produkte hiermit zu kennzeichnen (z. B. CE-Kennzeichnung von Produkten, um nachzuweisen, dass EU-Verordnungen eingehalten werden).15 Prüf- und Gütesiegel sind somit nur ein optisches Zeichen, dem eine Prüfung vorangegangen ist. Im Regelfall ist die Verwendung auf einen festgelegten Zeitraum begrenzt, nach dessen Ablauf erneut eine Prüfung mit positivem Ergebnis durchgeführt werden muss. Falls das Prüfergebnis negativ ist oder nach Ablauf der Gültigkeitsfrist keine Anschlussprüfung durchgeführt wird, wird die Verwendung des Prüf- oder Gütesiegels hinfällig bzw. durch die Statuten der ausgebenden Organisation untersagt. In der Praxis können jedoch vielfach Fälle beobachtet werden, in denen Prüf28 und Gütesiegel auch nach Ablauf ihrer Gültigkeit (ggf. widerrechtlich) außenwirksam weiterverwendet werden (z. B. das Datenschutzgütesiegel des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein). Dies dürfte mit der zuvor erläuterten Entscheidung des OLG Hamm in der Regel wiederum auch wettbewerbsrechtliche Indikationen haben.
D. Anforderungen an Zertifikate 29 Als Zwischenfazit kann festgehalten werden, dass Zertifikate im Zusammenhang mit
dem Datenschutz ein geeignetes Mittel darstellen können, um relevanten Interessengruppen darzulegen, dass das Unternehmen die Anforderungen des jeweiligen Standards erfüllt. Der Implementierungs- und Zertifizierungsaufwand (z. B. Kosten für externe Experteneinsätze und eigene Ressourcen, Umsetzung erforderlicher Maßnahmen, Regelbetriebsaufwendungen) sollte jedoch in einem angemessenen Verhältnis zum damit erzielten Nutzen (z. B. Kostenersparnis, sinkende Komplexität, Außenwirksamkeit) stehen. Das Zertifikat muss folglich die unternehmerische Zielsetzung erfüllen und auf die individuellen Bedürfnisse zugeschnitten sein.
14 Vgl. OLG Hamm, Urt. v. 31.1.2012 – 4 U 100/11 – NJW-RR 2012, 734. 15 Vgl. § 6 EVPG.
Giebichenstein/Schirp/Kölsch
D. Anforderungen an Zertifikate
681
Als Grundlage für ein aussagekräftiges Zertifikat in datenschutzrechtlicher Hinsicht muss der zugrundeliegende Standard die wesentlichen Datenschutzanforderungen abdecken (d. h. vor allem die gesetzlichen Anforderungen) und bei der relevanten Interessengruppe auch anerkannt sein (Verbreitung im relevanten Markt). Gleichzeitig muss der Standard flexibel auf die Unternehmensbedürfnisse angepasst werden können, ohne dass hierdurch die Aussagekraft des Zertifikats verloren geht (z. B. Ergänzung um zusätzliche Anforderungen). Hierzu zählt auch, dass effektive, bereits im Unternehmen etablierte Strukturen und ggf. bereits implementierte Managementsysteme im Idealfall nur angepasst werden müssen und mit dem Standard harmonisiert werden können.16 Ein weiterer Aspekt ist mit Blick auf sich möglicherweise ändernde Rahmenbedingungen – z. B. organisatorische Veränderungen oder neue rechtliche Anforderungen – die Anpassungsmöglichkeit bezüglich des Betrachtungsgegenstandes eines Zertifikats. Die das Zertifikat als sog. Zertifizierungsinstanz erteilende Organisation sollte über eine entsprechende Marktreife sowie anerkannte und von Experten akzeptierte sowie standardisierte Methoden (konkret ihre Inhalte, Vorgehensweisen, Ziele etc.) verfügen. Letztere sollten auch vollständig offengelegt sein, sodass alle Kriterien zur Erfüllung der jeweiligen Zertifizierungsanforderungen im Vorfeld von Zertifizierungsbemühungen von dem an der Zertifizierung interessierten Unternehmen analysiert werden können, mithin nicht nur der Zertifizierungsorganisation und ihren (akkreditierten) Mitgliedern bekannt und verständlich sind. Sog. Closed ShopZertifikate, deren Kriterien nicht offengelegt sind, führen regelmäßig dazu, dass deren Anerkennung und Marktdurchdringung weniger stark ausgeprägt ist. Ohnehin sollte sichergestellt sein, dass die jeweilige Zertifizierung über eine hinreichende Marktverbreitung verfügt. So ist ein nicht zu unterschätzender Aspekt die Außenwirksamkeit eines Zertifikats und der ggf. hiermit verbundenen Prüfoder Gütesiegel einschließlich der hieran vom Markt gestellten Erwartungen. Nur wenn Zertifikat und Siegel einen hohen Bekanntheitsgrad aufweisen und eine entsprechende Reputation am Markt genießen, kann hierdurch „werbewirksam“ auf die Zertifizierung aufmerksam gemacht werden. Die wesentlichen Anforderungen an eine Zertifizierung, die in den nachfolgenden Abschnitten fokussiert betrachtet werden sollen, lassen sich im Überblick wie folgt zusammenfassen:
16 In Anlehnung an den internationalen Standard ISO 9001:2008 wird unter einem Managementsystem ein sich an definierten Zielen und an einer Strategie orientierendes System verstanden. Dieses besteht im Regelfall aus Maßnahmen mit Bezug zu Personal, Organisation und Technik sowie einem Kontroll- und Steuermechanismus. Zu den bekanntesten Managementsystemen zählen u. a. Qualitätsmanagementsysteme oder Umweltmanagementsysteme (vgl. ISO, International Standard ISO/ IEC 9000:2005 – Quality Management Systems – Fundamentals and Vocabulary, Genf: ISO copyright office 2005, S. 8).
Giebichenstein/Schirp/Kölsch
30
31
32
33
34
682
Kapitel 13 Zertifizierungen – Arten und Nutzen
– Abdeckung gesetzlicher Anforderungen (Konformität mit dem BDSG), – flexible Anpassbarkeit an den Unternehmenskontext und sich ändernde Rahmenbedingungen, – Kompatibilität mit etablierten Standards, – Marktreife und Verbreitung der Zertifizierungsprodukte, – Transparenz – Vollständige Offenlegung der Inhalte, Vorgehensweise, Ziele und Kriterien (festgelegte Anforderungen zur Sicherstellung der Vergleichbarkeit der Zertifikate), – Unabhängigkeit der Prüforganisation (Trennung von Beratung und Prüfung), – Bekanntheitsgrad und Werbewirksamkeit.
E. Unternehmenszertifizierungen 35 In den nachfolgenden Abschnitten werden verschiedene Standards und Zertifikate
vorgestellt, die entweder spezifisch bezüglich der Erfüllung von Datenschutzanforderungen entwickelt wurden oder sich für die Überprüfung von Teilbereichen dieser Anforderungen (z. B. Sicherheit der Daten) eignen.
I. ISO/IEC 29100:2011 und ISO/IEC 29101:2013 36 Nach dem Öffentlichwerden umfangreicher Datenschutzskandale vor einigen Jahren
mehrten sich die Forderungen nach international anerkannten Standards für Datenschutz, an denen sich die Unternehmen als „Richtschnur“ orientieren können. Daraufhin startete die Entwicklung des internationalen ISO-Standards ISO/IEC 29100 – Information Technology/Security Techniques – Privacy Framework (im Folgenden kurz „ISO 29100“ genannt), der 2011 veröffentlicht wurde. Im Jahr 2013 wurde der ISO-Standard 29100 um den ISO-Standard ISO/IEC 29101 – Information Technology – A Privacy Reference Architecture (im Folgenden kurz „ISO 29101“ genannt) ergänzt. Beim ISO 29100 handelt es sich um ein Rahmenwerk, das 37 – eine Terminologie für Datenschutz definiert, – generische Rollen zum Datenschutzmanagement festlegt, – grundsätzliche Erwägungen zum Schutz personenbezogener Daten darstellt und – Prinzipien zum Datenschutzmanagement definiert.17
38 Wie bereits im Standard selbst angekündigt wird, handelt es sich hierbei um ein
relativ generisches, weil international einsetzbares Rahmenwerk zum Daten-
17 Vgl. ISO, ISO/IEC 29100 – Information Technology – Security techniques – Privacy Framework, Genf 2011, S. vi.
Giebichenstein/Schirp/Kölsch
E. Unternehmenszertifizierungen
683
schutzmanagement, das jedoch keine spezifischen Umsetzungshinweise mit Bezug zu genauen rechtlichen Regelungen zur Verfügung stellt und auch nicht zur Verfügung stellen will. Insgesamt führt der Standard elf Datenschutz-Prinzipien auf, die wie folgt lauten:18 1. Einwilligung und Wahlmöglichkeit, 2. Legitimation und Spezifikation des Zwecks, 3. Eingeschränkte Datensammlung, 4. Datensparsamkeit, 5. Einschränkungen bei der Nutzung, Speicherung und Auskunft, 6. Korrektheit und Qualität, 7. Offenheit, Transparenz und Mitteilung, 8. Beteiligung und Zugriff des Individuums, 9. Verantwortung, 10. Informationssicherheit, 11. Datenschutz-Compliance. Zu den elf Prinzipien werden ergänzende Umsetzungshinweise gegeben. Die Prinzi- 39 pien und die Umsetzungshinweise entsprechen zunächst grundsätzlich den Grundsätzen bzw. Anforderungen des BDSG und stellen folglich keinen Widerspruch dar. Ein Rückschluss auf die Konformität mit dem BDSG kann und darf hier jedoch, wie schon erwähnt, nicht gezogen werden, falls die Prinzipien gemäß Umsetzungshinweisen umgesetzt sind. Im Vergleich zu ISO 29100 beschreibt ISO 29101 die technische Architektur von IT-Systemen und stellt Techniken zur Erhöhung des Datenschutzniveaus vor.19 Der Standard ist somit eine gute Ergänzung des ISO 29100 um technische Ansätze und gibt Umsetzungshinweise zur Erfüllung der in ISO 29100 definierten Anforderungen. Ein Vorgehensmodell zur operativen Umsetzung und anschließendem Regelbetrieb der Anforderungen des Standards wird jedoch nicht zur Verfügung gestellt. Sowohl ISO 29100 als auch ISO 29101 sind so ausgestaltet, dass sie sich auf ver- 40 schiedene Arten und Größen von Organisationen anwenden lassen, da sie in ihrer konkreten inhaltlichen Ausgestaltung bewusst offen gehalten sind. Wie bei ISOStandards üblich wurden die beiden Standards durch ein Gremium von Experten in einem transparenten Verfahren entwickelt; die entsprechenden Zertifizierungskriterien können käuflich erworben werden. Zu den maßgeblichen Nachteilen der beiden Standards zählt, dass diese in der 41 Praxis derzeit nicht verbreitet sind und somit nur eine geringe Anerkennung
18 Vgl. ISO, ISO/IEC 29100 – Information Technology – Security techniques – Privacy Framework, Genf 2011, S. 14. 19 Vgl. ISO, ISO/IEC 29001 – Security technology – Security techniques – Privacy architecture framework, Genf 2013, S. VI.
Giebichenstein/Schirp/Kölsch
684
Kapitel 13 Zertifizierungen – Arten und Nutzen
genießen. Auf Basis aktueller Recherchen lässt sich sagen, dass bisher weder akkreditierte Prüfstellen am Markt existieren, noch Zertifizierungen auf Grundlage der beiden Standards auf dem deutschen Markt erfolgt sind. Somit besitzen sie in der Praxis bisher keinerlei Relevanz. Zu den möglichen Gründen hierfür zählt die Tatsache, dass es sich bei den beiden Standards um internationale generische Standards handelt, die die individuellen nationalen datenschutzrechtlichen Anforderungen nicht umfänglich erfüllen können, da diese, wie erwähnt, z. T. deutlich voneinander abweichen.
II. ISO/IEC 27001:2013 42 Der ISO-Standard ISO/IEC 27001 (im Folgenden kurz „ISO 27001“) definiert Anfor-
derungen an ein Informationssicherheitsmanagementsystem (kurz „ISMS“). Ziel ist hierbei, die Verfügbarkeit, Integrität und Vertraulichkeit von Unternehmensdaten (sog. Schutzziele für Informationen) durch verschiedene technische, prozessuale und organisatorische Maßnahmen sicherzustellen. Betrachtet werden alle Informationen im Unternehmen, die im sog. Scope des ISMS liegen, welcher durch das zu zertifizierende Unternehmen selbst zu definieren ist. Bei ISO 27001 handelt es sich im Vergleich zu ISO 29100 und ISO 29101 um keinen datenschutzspezifischen Standard, sondern um eine anerkannte Vorgehensweise zum ganzheitlichen Management aller Maßnahmen zum Schutz der kritischen Unternehmensinformationen.20 Wie etwa bei ISO 9001 (Qualitätsmanagement) ist Kennzeichen auch dieser Normenreihe ein kontinuierlicher Verbesserungsprozess (auch PDCA- oder Deming-Zyklus genannt), der zur Anwendung gebracht werden soll. Der Standard ist der zentrale und derzeit einzig zertifizierbare Standard der 43 ISO-27000-Normenreihe. Neben ISO 27001 existieren weitere unterstützende oder spezifizierende Standards wie beispielsweise die folgenden: – ISO/IEC 27002 – Code of Practice for Information Security Management (konkrete Umsetzungshinweise zu den Anforderungen des ISO 27001), – ISO/IEC 27003 – Information Security Management System Implementation Guidance (Leitfaden zur Implementierung eines ISMS), – ISO/IEC DIS 27018 – Code of Practice for PII Protection in Public Cloud Acting as PII Processors (Maßnahmen zum Schutz personenbezogener Daten im Rahmen der Verarbeitung in der Public Cloud).21
20 Angedacht ist, die ISO-27000-Normenfamilie um einen Datenschutz-spezifischen Standard zu ergänzen. Offizielle Ankündigungen auf der Website der ISO hierzu wurden jedoch noch nicht gemacht (vgl. BSI, Aktuelles aus der Normung, Auditorentreffen am 25.2.2014, S. 12). 21 Beim ISO/IEC DIS 27018 handelt es sich um einen Standard-Entwurf, in dem spezielle Maßnahmen für Anbieter von Public Cloud Services (z. B. Amazon, Google) beschrieben werden. Die hierin
Giebichenstein/Schirp/Kölsch
E. Unternehmenszertifizierungen
685
In der nachfolgenden Abbildung wird das grundsätzliche Vorgehen zur erstmaligen 44 Implementierung dargestellt: 1 2
Management Commitment für das ISMS einholen Scope festlegen und abgrenzen
3
Sicherheitsanforderungen analysieren
4
Risikoanalyse durchführen und Risikobehandlung planen
5
ISMS konzipieren
6
Maßnahmen umsetzen, überprüfen und verbessern
Abb. 1: Implementierung eines ISMS gemäß ISO 2700322
Als Grundlage für eine erfolgreiche Erstimplementierung und den anschließenden 45 Betrieb des ISMS ist die eindeutige Bekundung der Geschäftsleitung des Unternehmens, ein ISMS einführen zu wollen, unbedingt erforderlich (sog. Management Commitment). Nur so kann darauf hingewirkt werden, dass die erforderlichen Ressourcen zur Verfügung gestellt und sich ggf. bestehende interne Widerstände schnell überwinden lassen. Anschließend wird der Scope festgelegt und abgegrenzt. Bei der Festlegung des 46 Scopes hat das Unternehmen grundsätzlich eine freie Wahl, wobei dieser gemeinsam mit einem Experten festgelegt werden sollte. Die speziellen, für diesen Scope geltenden Anforderungen (u. a. Datenschutz-Anforderungen, spezielle Anforderungen der Kunden bezüglich des Sicherheitsniveaus) werden nun gemeinsam mit den verschiedenen Stakeholdern inventarisiert und dokumentiert. Anschließend werden die im Scope liegenden schützenswerten Informationen 47 (sog. Assets) inventarisiert und der Risikomanagement-Methode gem. ISO/IEC 31000:2009 (kurz „ISO 31000“) unterzogen. Auf Grundlage der Ergebnisse der Risi-
beschriebenen Maßnahmen müssen nur von den Anbietern und nicht von den Endnutzern der CloudServices umgesetzt werden. Da sich der Entwurf in einem weit fortgeschrittenen Status befindet, ist eine Veröffentlichung noch im Jahr 2014 wahrscheinlich. Die im Titel des Standards verwendete Abkürzung „PII“ steht für „Personally Identifiable Information“, was hier mit dem deutschen Begriff der personenbezogenen Daten gleichgesetzt werden kann. 22 In Anlehnung an ISO, ISO/IEC 27003 – Information technology – Security techniques – Information security management system implementation guidance, Genf 2010, S. 2.
Giebichenstein/Schirp/Kölsch
686
Kapitel 13 Zertifizierungen – Arten und Nutzen
kobetrachtung gem. ISO 31000 müssen verschiedene präventive und reaktive Maßnahmen (sog. Controls) geplant werden. Anschließend werden die technischen, prozessualen und organisatorischen Maßnahmen zur Informationssicherheit geplant und in einem Maßnahmenkatalog dokumentiert. Dieser muss die Maßnahmen aus dem Anhang zu ISO 27001 abdecken, soweit kein plausibler und nachvollziehbarer Grund dargelegt werden kann, warum einzelne Maßnahmen nicht umgesetzt werden müssen. Die Maßnahmen werden zunächst in einem Projekt umgesetzt und anschließend im Regelbetrieb überprüft und regelmäßig verbessert. Die standardmäßig vorgeschriebenen Maßnahmen haben dabei eine Schnitt48 menge mit den nach § 9 BDSG und dessen Anlage zu treffenden technisch-organisatorischen Maßnahmen. Beispiel In der Anlage zu § 9 S. 1 BDSG wird im dritten Absatz eine Zugriffskontrolle gefordert, die sicherstellen muss, dass Nutzer nur die personenbezogenen Daten lesen, verarbeiten und nutzen können, für die sie auch berechtigt sind. Um diese Anforderung umzusetzen, müssen Maßnahmen zur Genehmigung und Vergabe von Nutzerrechten und zum Berechtigungsmanagement umgesetzt werden. In Anhang A von ISO 27001 werden mehrere zusammenhängende Maßnahmen zur umfassenden Umsetzung der Zugriffskontrolle für die Praxis vorgeschrieben und in ISO 27002 mit Umsetzungsdetails konkretisiert (z. B. Maßnahme A.9.2.2 – Vergabe von Zugriffsrechten für Nutzer). 49 Ein zentraler Aspekt in ISMS gem. ISO 27001 ist der kontinuierliche Verbesserungs-
prozess, der verfolgt werden muss, um aktuelle Anforderungen und Weiterentwicklungsbedarfe zu identifizieren und umzusetzen. Dieser besteht aus vier Phasen: 1. Plan: Planung der technischen, prozessualen und organisatorischen Maßnahmen zur Informationssicherheit, 2. Do: Umsetzung der geplanten Maßnahmen, 3. Check: Überprüfung der umgesetzten Maßnahmen hinsichtlich Effektivität, Wirtschaftlichkeit und Aktualität sowie Planung von Verbesserungsmaßnahmen, 4. Act: Umsetzung der identifizierten Verbesserungsmaßnahmen.
50 Praktisch bedeutet dies, dass sämtliche Maßnahmen im ISMS nicht nur zu implemen-
tieren, sondern dass deren Aktualität und Wirksamkeit nach der Implementierung auch in regelmäßigen Abständen zu überprüfen sind. Dies kann beispielsweise Organisationsstrukturen, Richtlinien oder technische Maßnahmen betreffen (z. B. Anpassung der Richtlinien aufgrund neuer Technologien, die eingesetzt werden). Wie bereits zu Beginn erwähnt wurde, können personenbezogene Daten im 51 Unternehmen vom ISMS grundsätzlich mit abgedeckt werden. Es besteht die Möglichkeit, den Maßnahmenkatalog des ISO 27001 so zu erweitern bzw. auf die eigenen Bedürfnisse im Unternehmen hin zuzuschneiden, dass die Datenschutzanforderungen des BDSG berücksichtigt werden. Eine Zertifizierung gem. ISO 27001 ist trotz der Erweiterung weiterhin möglich, solange keine vorgeschriebenen Maßnahmen des ISO 27001 unberücksichtigt bleiben. Giebichenstein/Schirp/Kölsch
E. Unternehmenszertifizierungen
687
Der Standard ISO 27001 wird bereits seit vielen Jahren in der Praxis weltweit 52 angewendet und wurde durch die Experten der ISO-Gremien zuletzt im Oktober 2013 überarbeitet und neu herausgegeben. Somit kann von einem hohen Qualitätsniveau verbunden mit einer hinreichenden Praxistauglichkeit ausgegangen und auf eine Vielzahl von Experten am Markt zum Aufbau und zum Betrieb eines ISMS zurückgegriffen werden. Im Rahmen der letzten Überarbeitung wurde ein besonderes Augenmerk auf die 53 Harmonisierung von ISO 27001 mit weiteren ISO-Standards gelegt. Dies betrifft sowohl formale Aspekte wie den strukturellen Aufbau der Standards als auch inhaltliche Aspekte wie die standardübergreifende Risikomanagementmethode. Im Vergleich zu „Closed-Shop“-Zertifikaten werden alle Zertifizierungskriterien transparent offengelegt, müssen jedoch, wie bereits ausgeführt, kostenpflichtig bei der ISO oder deren Vertriebspartnern erworben werden. Die Marktdurchdringung dieser Zertifizierung ist als sehr hoch zu bezeichnen, nicht zuletzt aufgrund ihrer internationalen Anerkennung und Bedeutung. Die Erweiterung des ISO 27001 um datenschutzspezifische Anforderungen 54 gemäß BDSG ist ebenfalls praxiserprobt. Somit ist es möglich, zumindest alle technisch-organisatorischen Anforderungen aus dem Anhang zu § 9 BDSG durch eine ISO27001-Zertifizierung abzudecken. Die Herausforderung hierbei ist jedoch, dass die Scope-Definition sehr fokussiert erfolgen muss, damit die Datenschutzanforderungen vollständig abgedeckt werden (z. B. Berücksichtigung aller personenbezogenen Daten im Unternehmen). Eventuell ist die Scope-Diskussion auch derart zu führen, dass insbesondere in großen und verteilten Organisationen verschiedene Bereiche eigenständig in der Zertifizierung betrachtet werden müssen, um das Ziel der BDSGKonformität erreichen zu können. Zudem geht die Erweiterung der eigentlichen Maßnahmen aus ISO 27001 um datenschutzspezifische Maßnahmen aus dem Zertifikat nicht unmittelbar hervor. Die relevanten Interessengruppen müssen daher durch einen geeigneten Mechanismus zusätzlich darauf hingewiesen werden, dass die Erfüllung von Datenschutzanforderungen ebenfalls mit zertifiziert wurden. Unter Umständen ist aufseiten des Kunden hierfür eine Begutachtung durch einen Experten erforderlich. Zudem muss jede Erweiterung des Standards strukturiert vorgenommen werden, um einem zusätzlichen Aufwand so gering wie möglich zu halten.
III. IT-Grundschutz Beim IT-Grundschutz handelt es sich wie beim ISO 27001 um einen Standard zum 55 Informationssicherheitsmanagement. Herausgeber des Standards ist das BSI. Hierbei handelt es sich um einen nationalen Standard, der sich am ISO 27001 orientiert und in regelmäßigen Abständen mit Neuerungen des ISO 27001 abgeglichen wird. Zur Zielgruppe zählen überwiegend Behörden und Unternehmen mit einem Bezug zum öffentlichen Sektor. Giebichenstein/Schirp/Kölsch
688
56
Kapitel 13 Zertifizierungen – Arten und Nutzen
Der Standard besteht aus insgesamt vier aufeinander und teils auf weiterführende Standards verweisende Regelwerke, die wie folgt lauten: – BSI-Standard 100-1: Managementsysteme für Informationssicherheit (ISMS), – BSI-Standard 100-2: IT-Grundschutz-Vorgehensweise, – BSI-Standard 100-3: Risikoanalyse auf der Basis von IT-Grundschutz, – BSI-Standard 100-4: Notfallmanagement.
57 Bei einer erfolgreichen Umsetzung der Inhalte der Grundschutz-Kataloge kann eine
Zertifizierung mit dem Titel „ISO/IEC 27001 auf Basis von IT-Grundschutz“ erfolgen.23 Die Zertifizierung erfolgt durch das BSI als einzige Zertifizierungsstelle, wobei die Zertifizierungsaudits durch vom BSI zertifizierte Auditoren durchgeführt werden können. Alle Regelwerke sind im Internet auf den Seiten des BSI frei verfügbar. Trotz der Ähnlichkeit des Ziels und des Zertifikattitels ist die Herangehensweise 58 zum Aufbau des ISMS eine andere. Die Vorgehensweise wird in der folgenden Abbildung dargestellt: 1
2 Initiierung des Sicherheitsprozesses
Erstellung einer Sicherheitskonzeption
3
Umsetzung der Sicherheitskonzeption
1a
Verantwortung der Leitungsebene
1b
Konzeption und Planung
1c
Erstellung einer Leitlinie zur Informationssicherheit
1d
Aufbau einer Informationssicherheitsorganisation
1e
Bereitstellung von Ressourcen
1f
Einbindung aller Mitarbeiter
4 Aufrechterhaltung und Verbesserung
Abb. 2: Implementierung eines ISMS gemäß IT-Grundschutz24 59 In einem ersten Schritt wird der Sicherheitsprozess initiiert. Analog zur Implemen-
tierung eines ISMS gem. ISO 27001 ist ein Management-Commitment hinsichtlich der Einführung des ISMS erforderlich. Erst danach kann die Planung des Projekts
23 Vgl. BSI, Zertifizierte IT-Sicherheit – Prüfstandards für IT-Sicherheit, technische Richtlinien und Schutzprofile, Konformitätsbewertung, Zertifizierung und Anerkennung, abrufbar unter https:// www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Broschueren/Zertifizierte-IT-Sicherheit.pdf?__blob=publicationFile. 24 Vgl. BSI, BSI-Standard 100-2 – IT-Grundschutz-Vorgehensweise, Bonn 2008, S. 13, abrufbar unter https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/ITGrundschutzstandards/ standard_1002_pdf.pdf?__blob=publicationFile.
Giebichenstein/Schirp/Kölsch
E. Unternehmenszertifizierungen
689
zur Implementierung beginnen. Anschließend wird die Leitlinie zur Informationssicherheit erstellt, die die Informationssicherheitsorganisation festlegt und die Informationssicherheitsorganisation strukturiert. Im Rahmen der Initiierungsphase werden zudem die erforderlichen Ressourcen geplant und die Mitarbeiter der Organisation informiert. Nach der Initiierung des Sicherheitsprozesses wird die Sicherheitskonzeption 60 erstellt. Hierbei wird zunächst der IT-Verbund festgelegt. Dieser setzt sich aus den folgenden fünf Schichten zusammen: 1. Übergreifende Aspekte (z. B. IT-Sicherheitsmanagement, Organisation), 2. Infrastruktur (z. B. Gebäude, Serverraum, häuslicher Arbeitsplatz), 3. IT-Systeme (z. B. Telefonanlagen, Windows-Client), 4. Netze (z. B. Netzmanagement, WLAN, VoIP, VPN), 5. Anwendungen (z. B. E-Mail, Webserver, Datenbanken). Zur Definition des Informationsverbunds werden den fünf Schichten sog. Bausteine 61 zugeteilt (z. B. B.1.6 – Schutz vor Schadsoftware, B.3.302 – Router und Switches). Die Beschreibung der Bausteine beinhaltet sowohl die Erläuterung des jeweiligen Bausteins als auch eine Liste von typischen Gefährdungen und Maßnahmenempfehlungen zu diesem Baustein. Zu den ausführlich beschreibenden Maßnahmen wird jeweils eine sog. Siegelstufe angegeben, die durch fünf verschiedene Kennzeichnungsmöglichkeiten festlegt, wie wichtig die Umsetzung der Maßnahme ist (z. B. A – unabdingbare Standardsicherheitsmaßnahme; C – für Zertifizierung erforderlich). Zusätzlich wird eine Schutzbedarfsanalyse für die einzelnen Bausteine durchgeführt, um festzustellen, ob dieser Baustein einen höheren Schutzbedarf aufweist als der, der durch den Grundschutz erreicht werden kann (z. B. besonderer Schutz der Telefonanlage, da über diese das Kerngeschäft abläuft). Anschließend wird das ISMS anhand der festgelegten Maßnahmen modelliert 62 und ein Basissicherheitscheck durchgeführt, dessen Ziel es ist, die Umsetzungslücke zwischen den empfohlenen und den umgesetzten Maßnahmen zu identifizieren. Nach der Umsetzung der noch fehlenden Maßnahmen wird ergänzend eine Risikoanalyse durchgeführt, anhand derer festgestellt werden soll, ob bestimmte Zielobjekte innerhalb des Informationsverbunds einen erhöhten Schutzbedarf aufweisen. Für diese Zielobjekte müssen besondere Schutzmaßnahmen festgelegt und umgesetzt werden.25 Wie auch der Informationssicherheitsmanagementstandard nach ISO 27001 63 handelt es sich beim IT-Grundschutz ebenfalls um keinen datenschutzspezifischen Standard. Datenschutzspezifische Fragestellungen werden im Baustein „B
25 Vgl. BSI, BSI-Standard 100-1 – Managementsysteme für Informationssicherheit, Bonn 2008, S. 17 ff., abrufbar unter https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/ ITGrundschutzstandards/standard_1001_pdf.pdf?__blob=publicationFile.
Giebichenstein/Schirp/Kölsch
690
64
65
66
67
Kapitel 13 Zertifizierungen – Arten und Nutzen
1.5 – Datenschutz“ aufgegriffen und durch datenschutzspezifische Maßnahmen im eigens hierfür geschaffenen Maßnahmenkatalog „M 7 – Datenschutz“ untermauert. In diesem werden in 17 Themenbereichen spezifische Maßnahmen zur Einhaltung der Anforderungen des BDSG beschrieben. Die beschriebenen Inhalte wurden initial vom Bundesbeauftragten für den Datenschutz und die Informationsfreiheit in Zusammenarbeit mit den Datenschutzbehörden der Länder erarbeitet und anschließend in die IT-Grundschutzkataloge integriert.26 Zu den maßgeblichen Vorteilen des IT-Grundschutzes zählt, dass die Grundschutzkataloge und Regelwerke bzw. Standards frei verfügbar sind und die umzusetzenden Maßnahmen umfangreich beschrieben werden. Sie sind somit ein kostenloses „Nachschlagewerk“, insbesondere für die konkreten und operativen Anwendungsfälle, in denen Maßnahmen nur punktuell umgesetzt werden sollen und eine Zertifizierung nicht angestrebt wird. Aufgrund der kostenlosen Verfügbarkeit besitzen die Grundschutzkataloge einen hohen Bekanntheitsgrad in Deutschland. Regelmäßige Aktualisierungen sorgen dafür, dass die Inhalte z. T. deutlich spezifischer – z. B. anhand einer Softwaretechnologie – beschrieben sind als die teilweise eher generischen Maßnahmeninhalte von ISO 27002. Außerhalb des öffentlichen Sektors in Deutschland und insbesondere weltweit genießt ein IT-Grundschutzzertifikat jedoch keine Anerkennung und keine Verbreitung. Angesichts der Tatsache, dass Geschäftsbeziehungen zunehmend international verflochten sind, ist das Risiko sehr hoch, dass Inhalte der Zertifizierung nach BSI im Ausland nicht anerkannt werden. Ähnlich wie bei der Zertifizierung nach ISO 27001 kann es bei einer Zertifizierung nach IT-Grundschutz insbesondere der Fall sein, dass aufgrund eines nicht ausreichend definierten Informationsverbunds nicht alle personenbezogenen Daten, die das Unternehmen verarbeitet, bei der Modellierung der Maßnahmen berücksichtigt werden und somit Regelungslücken auftreten. In der Praxis wird ebenfalls der Fall auftreten, dass es aufgrund der Rahmenparameter des Unternehmens nicht gelingen kann, mit vertretbaren Aufwänden alle personenbezogenen Daten angemessen im Rahmen einer einzelnen Zertifizierung zu berücksichtigen. Der detaillierte Umfang der Maßnahmeninhalte hingegen kann für Nicht-Experten in der Anwendung und in der Außenkommunikation Vorteile haben, da sich hier ein vereinfachter Zugang zu den Inhalten ggf. positiv auswirkt. Der hohe Detaillierungsgrad sorgt jedoch neben einem vermeintlich leichteren Verständnis ggf. auch dafür, dass erforderliche Freiräume bei der Umsetzung nicht mehr gegeben sind. Dies ist u. a. dann problematisch, wenn bestehende Strukturen und weitere Managementsysteme im Unternehmen bei der Implementierung mit berücksichtigt werden sollen.
26 Vgl. BSI, IT-Grundschutz-Kataloge – B 1.5 Datenschutz, abrufbar unter https://www.bsi.bund.de/ DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/_content/baust/b01/b01005.html.
Giebichenstein/Schirp/Kölsch
E. Unternehmenszertifizierungen
691
IV. ISAE 3000 Beim ISAE 3000 handelt es sich um eine sog. Generalnorm bzw. um einen sog. 68 Umbrella Standard. In diesem werden übergreifende Basisprinzipien und wesentliche Abläufe für alle Prüfungen definiert, die sich nicht auf vergangenheitsbezogene Finanzinformationen beziehen. ISAE 3000 macht somit unabhängig vom Prüfungsgegenstand Vorgaben zur Prüfung. Hierzu zählen beispielsweise ethische Anforderungen an den Wirtschaftsprüfer, Anforderungen an die Planung und Durchführung des Audits oder auch Maßnahmen zur Qualitätssicherung.27 Herausgeber des Standards ist der globale Dachverband der Wirtschaftsprüfer International Federation of Accountants (kurz „IFAC“). Grundsätzlich existieren zwei Alternativen für Prüfungen gem. ISAE 3000:28 69 – Reasonable Assurance: Urteil über die Effektivität des internen Kontrollsystems bezogen auf den Prüfungsgegenstand, – Limited Assurance: Aussage darüber, dass im Rahmen der Prüfung keine Sachverhalte oder Indizien dafür festgestellt wurden, dass das interne Kontrollsystem bezogen auf den Prüfungsgegenstand nicht effektiv ist. Der Prüfer kann entweder einen umfangeichen und ausführlichen oder einen kurzen 70 zusammenfassenden Prüfbericht erstellen. Für die Inhalte und die Struktur des Prüfberichts werden vom Standard Mindestanforderungen festgelegt. Hierzu zählen beispielsweise eine Zusammenfassung der durchgeführten Prüfungshandlungen sowie das zusammenfassende Ergebnis des Prüfers.29 Die Prüfungen gem. ISAE 3000 müssen von einem Wirtschaftsprüfer durchge- 71 führt werden. Im Regelfall werden diese durch Mitarbeiter der jeweiligen Wirtschaftsprüfungsgesellschaft und weitere Experten bei der Meinungsbildung unterstützt.30 Derzeit findet der Standard zu verschiedenen Themenbereichen Anwendung, 72 wozu beispielsweise Umwelt- und Nachhaltigkeitsberichte, Management und Corporate Governance-Prozesse und Prüfungen zur Übereinstimmung mit externen Anfor-
27 Vgl. International Federation of Accountants (IFAC), International standard on assurance engagements 3000 – Assurance engagements other than audits or reviews of historical financial information, abrufbar unter http://www.ifac.org/. 28 Vgl. International Federation of Accountants (IFAC), International standard on assurance engagements 3000 – Assurance engagements other than audits or reviews of historical financial information, abrufbar unter http://www.ifac.org/. 29 Vgl. International Federation of Accountants (IFAC), International standard on assurance engagements 3000 – Assurance engagements other than audits or reviews of historical financial information, abrufbar unter http://www.ifac.org/. 30 Vgl. International Federation of Accountants (IFAC), International standard on assurance engagements 3000 – Assurance engagements other than audits or reviews of historical financial information, abrufbar unter http://www.ifac.org/.
Giebichenstein/Schirp/Kölsch
692
Kapitel 13 Zertifizierungen – Arten und Nutzen
derungen (Compliance) zählen. Der Standard ist grundsätzlich auch für die Prüfung von internen Kontrollsystemen (kurz „IKS“) für Datenschutz anwendbar. Für die Prüfung von Datenschutz im Unternehmen müsste wie auch bei den o. g. Anwendungsfällen das IKS mitsamt seinen Prozessen und kontrollierenden Prüfungshandlungen individuell definiert werden, da kein vorgegebener Katalog mit Kontrollen speziell für Datenschutz nach BDSG existiert. Auf der einen Seite werden hier bewusst Freiheiten und Gestaltungsspielräume gegeben. Auf der anderen Seite sorgt die Individualität der konzipierten Prozesse und Kontrollen, die die Ausgangsbasis für die Prüfungshandlungen darstellen, dafür, dass Prüfberichte, die über ein datenschutzbezogenes IKS erstellt werden, inhaltlich nicht oder nur schwer vergleichbar sind. Eine Experteneinschätzung ist folglich immer erforderlich, um die Aussagekraft des Testats fallweise zu beurteilen. Ein weiterer Kritikpunkt ist, dass vom Standard weder ein Vorgehensmodell 73 noch ein Managementansatz bezüglich eines datenschutzbezogenen IKS zur Verfügung gestellt wird. So fehlt es etwa an der Festlegung, dass die ergriffenen Maßnahmen regelmäßig an sich ändernde Rahmenbedingungen angepasst werden und das IKS einem kontinuierlichen Verbesserungsprozess unterliegt.
V. Datenschutzaudit beim ULD 74 Ein weiterer datenschutzspezifischer Zertifizierungsansatz ist das Datenschutzau-
dit (kurz „DSA“) beim Unabhängigen Landeszentrum Schleswig-Holstein (kurz „ULD“). Die Grundlage für dieses DSA ist das „Schleswig-Holsteinische Gesetz zum Schutz personenbezogener Informationen“ (LDSG SH). Über § 43 Abs. 2 LDSG SH wird „öffentlichen Stellen“ die Möglichkeit eingeräumt, die „technischen und organisatorischen Maßnahmen bei der Verarbeitung personenbezogener Daten sowie die datenschutzrechtliche Zulässigkeit der Datenverarbeitung durch das Unabhängige Landeszentrum für Datenschutz prüfen und beurteilen [zu] lassen“. Laut § 5 Abs. 3 LDSG SH regelt die Landesregierung durch Verordnung die Anfor75 derungen an ein Sicherheitskonzept für einen hinreichenden technisch-organisatorischen Datenschutz. Damit wird auf die „Landesverordnung über die Sicherheit und Ordnungsmäßigkeit automatisierter Verarbeitung personenbezogener Daten (Datenschutzverordnung – DSVO)“ vom 5.12.2013 verwiesen. Diese ist zwischen dem 1.1.2014 bis 21.12.2018 gültig. Die DSVO stellt sozusagen das Pendant der bisher erläuterten Prüfungsstandards dar, ist jedoch nicht ansatzweise so konkret und umfangreich. Auf der Website des ULD werden zusätzlich Hinweise zur Prüfung gem. § 43 Abs. 2 LDSG gegeben.31
31 Vgl. Hinweise des Unabhängigen Landeszentrums für Datenschutz zur Durchführung eines Datenschutz-Behördenaudits nach § 43 Abs. 2 LDSG v. 3.12.2008, Amtsbl. Schl.-H. 2008, 1164, ber. 2009, 184.
Giebichenstein/Schirp/Kölsch
E. Unternehmenszertifizierungen
693
Wie sich dem Wortlaut des § 43 Abs. 2 LDSG SH entnehmen lässt, können sich 76 ausschließlich öffentliche Stellen i. S. v. § 3 LDSG SH, mithin Landesbehörden und sonstige öffentliche Stellen der im Landesverwaltungsgesetz Schleswig-Holstein genannten Träger der öffentlichen Verwaltung, auditieren lassen (vgl. § 3 Abs. 1 LDSG SH). Über § 3 Abs. 2 LDSG SH fallen auch die Landeseigenbetriebe und juristische Personen des öffentlichen Rechts, die am Wettbewerb teilnehmen, in den Anwendungsbereich des § 43 Abs. 2 LDG SH. Entsprechend ist der Anwendungsbereich des § 43 Abs. 2 LDG SH für juristische Personen des Zivilrechts (Verein, GmbH, AG) einschließlich entsprechender öffentlich-rechtlicher Wettbewerbsunternehmen sowie für sonstige nicht-öffentliche Stellen nicht eröffnet. Dies korrespondiert letztlich mit der Kollisionsregel des § 1 Abs. 2 BDSG. Soweit der Anwendungsbereich des § 43 Abs. 2 LDG SH aber eröffnet ist, können 77 sich entsprechende öffentliche Stellen aus Schleswig-Holstein auditieren lassen und erhalten bei positiver Prüfung das Datenschutzauditzeichen des ULD verliehen. Gegenstand des DSA ist die Beurteilung des Datenschutzkonzepts der jeweili- 78 gen Behörde. Das ULD sieht ein auf öffentliche Stellen zugeschnittenes Datenschutzkonzept vor, das aus den folgenden sechs Komponenten besteht:32 – Datenschutzziele, – Technische Komponenten zur Datenverarbeitung, – Angestrebtes Schutzniveau und Schutzbedarfe, – Risikoanalyse bezüglich Datenschutz und Informationssicherheit, – Maßnahmen resultierend aus der Risikoanalyse, – Analyse der Residualrisiken. Zur erfolgreichen Umsetzung der Inhalte des Datenschutzkonzepts wird bei den 79 öffentlichen Stellen ein Datenschutz-Managementsystem (kurz „DSMS“) etabliert. Hierunter versteht das ULD die Gesamtheit der Rollen und Verantwortlichkeiten, Organisationsstrukturen, internen Richtlinien und zur Verfügung stehenden Ressourcen. Das ULD bietet sowohl eine vorherige Beratung und Vor-Auditierung als auch die 80 folgende Auditierung mit anschließender Verleihung des Datenschutzauditzeichens an. Das Vorgehen wird in der nachfolgenden Abbildung dargestellt.
32 Vgl. Hinweise des Unabhängigen Landeszentrums für Datenschutz zur Durchführung eines Datenschutz-Behördenaudits nach § 43 Abs. 2 LDSG v. 3.12.2008, Amtsbl. Schl.-H. 2008, 1164, ber. 2009, S. 184.
Giebichenstein/Schirp/Kölsch
694
1
Kapitel 13 Zertifizierungen – Arten und Nutzen
Beraten und DSMSImplementieren (optional)
2
Vor-Audit durchführen (optional)
3
4 Audit durchführen 5
Datenschutzkonzept zertifizieren
Datenschutzkonzept rezertifizieren
Abb. 3: Vorgehen des ULD im Rahmen des DAS 81 Die ersten beiden Phasen des Vorgehensmodells – Beratung und Implementierung
einerseits und Durchführung des Vor-Audits andererseits – sind optional und gehören streng genommen nicht zum DSA. Sie dienen vielmehr der Vorbereitung der öffentlichen Stelle auf das DSA. Hierbei wird das Datenschutzkonzept erstellt und gemäß diesem das DSMS bei der öffentlichen Stelle implementiert. Anschließend kann ein Vor-Audit als eine Art Probelauf des tatsächlichen Zertifizierungsaudits durchgeführt werden. Abhängig vom Ergebnis des Vor-Audits müssen konzeptionelle Anpassungen am DSMS oder korrigierende operative Maßnahmen innerhalb der Behörde durchgeführt werden. In der dritten Phase wird das tatsächliche Audit durchgeführt. Hierbei wird 82 sowohl das Datenschutzkonzept begutachtet als auch punktuell die Umsetzung der hierin vorgeschriebenen Maßnahmen. Führt das ULD auch die optionalen Beratungsleistungen im Vorfeld durch, erscheint dies unter dem Aspekt der eigentlich zu erwartenden Funktionstrennung bezüglich Beratung und Prüfung zumindest nicht unkritisch. Falls das Urteil des ULD-Gutachters positiv ausfällt, folgen in jedem Falle die 83 Ausstellung des Gutachtens und die Verleihung des Datenschutzauditzeichens durch das ULD in der vierten Phase für einen Gültigkeitszeitraum von drei Jahren. Die Rezertifizierung des Datenschutzkonzepts kann nach Ablauf des Gültigkeitszeitraums des Gutachtens in der letzten Phase durchgeführt werden. Falls keine Rezertifizierung des Datenschutzkonzepts nach Ablauf der Frist erfolgt, darf das Datenschutz auditzeichen nicht mehr weiterverwendet werden.33 Zu den Vorteilen des DSA zählt vor allem, dass es sich hierbei um einen daten84 schutzspezifischen Ansatz handelt, bei dem die gesetzlichen Anforderungen gezielt und spezifisch ausgerichtet an den individuellen Rahmenbedingungen der Behörde umgesetzt werden. Problematisch ist jedoch, dass kein detaillierter Kriterienkatalog mit konkreten Maßnahmen vom ULD veröffentlicht wird. Somit kann von den Interessengruppen nicht nachvollzogen werden, wie groß die Aussagekraft
33 Vgl. Hinweise des Unabhängigen Landeszentrums für Datenschutz zur Durchführung eines Datenschutz-Behördenaudits nach § 43 Abs. 2 LDSG v. 3.12.2008, Amtsbl. Schl.-H. 2008, 1164, ber. 2009, 184.
Giebichenstein/Schirp/Kölsch
E. Unternehmenszertifizierungen
695
des Auditzeichens ist und ob sich das ULD insbesondere bei der Ausgestaltung der technisch-organisatorischen Maßnahmen an anerkannten „Good Practices“ orientiert. Angesichts der Tatsache, dass keine Details zum DSA vom ULD veröffentlicht werden, kann keine Aussage darüber getroffen werden, ob dieses grundsätzlich auch auf Unternehmen anwendbar wäre. Eine Zertifizierung von privatrechtlichen Unternehmen mit dem Datenschutzauditzeichen des ULD ist Stand heute nicht möglich. Hier verbleibt nur die Möglichkeit, konkrete Produkte durch das ULD bzw. akkre- 85 ditierte Prüfstellen auf Datenschutzkonformität überprüfen zu lassen. Ist das Prüfungsergebnis in rechtlicher und technischer Hinsicht positiv, erhält das infrage stehende Produkt seitens des ULD ein „Datenschutz-Gütesiegel“. Auf dieser Grundlage empfehle das ULD dann „den Einsatz des Produktes bei den öffentlichen Stellen des Landes“.34 Wo hierfür allerdings die gesetzliche Grundlage im LDSG SH zu finden sein soll, bleibt offen. Dies ist insbesondere im Falle der Versagung eines solchen Gütesiegels unter dem Aspekt der Eingriffsverwaltung und dem insoweit zu beachtenden Vorbehalt des Gesetzes35 durchaus als kritisch zu betrachten. Auf weitere Aspekte von produktbezogenen Zertifizierungen wird sogleich in Abschnitt F. eingegangen. Bezogen auf die Verleihung des Datenschutzauditzeichens ist ein weiterer, kri- 86 tisch zu betrachtender Aspekt, dass das ULD ggf. sowohl die Beratung als auch das Audit bei der jeweiligen öffentlichen Stelle durchführt. Dies widerspricht den Grundsätzen der Funktionstrennung und kann zu Interessenskonflikten führen, selbst wenn beratende Abteilung und Prüfungsabteilung innerhalb des ULD funktional getrennt sein sollten. Denn eine Versagung des Datenschutzauditzeichens würde bei entsprechender Vorberatung durch das ULD zum Ausdruck bringen, dass diese ggf. nicht hinreichend war, was selbst bei einer funktionalen Innentrennung kaum konfliktfrei möglich sein dürfte. Ohnehin dürfte als allgemein anerkannt gelten, dass eine Prüfung der eigenen Beratungsleistung im Zweifel dazu führt, dass das Prüfungsergebnis selbst dann positiv ausfällt, wenn die Prüfungsanforderungen eigentlich nicht vollständig erfüllt sind.
VI. Datenschutz-Audit der TÜV Rheinland i-sec Zu den bekanntesten privatwirtschaftlichen Zertifizierungen zählen die Zertifizierun- 87 gen „Datenschutz“ und „Geprüfter Dienstleister mit Datenschutzmanagement“ der TÜV Rheinland i-sec GmbH (im Folgenden kurz „TÜV Rheinland i-sec“). Hierbei
34 Vgl. Häufig gestellte Fragen zum Datenschutz-Gütesiegel des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein, abrufbar unter https://www.datenschutzzentrum.de/faq/guetesiegel.htm. 35 Vgl. statt aller Maunz/Dürig/Grzeszick/Herzog, Art. 20 Rn 111.
Giebichenstein/Schirp/Kölsch
696
Kapitel 13 Zertifizierungen – Arten und Nutzen
handelt es sich um von TÜV Rheinland i-sec entwickelte Ansätze speziell zur Zertifizierung des Datenschutzniveaus in Unternehmen. Bei der Zertifizierung „Unternehmensdatenschutz“ wird durch die TÜV-Prüfer die 88 Konformität des Unternehmens mit den Anforderungen des BDSG überprüft. Auditiert und zertifiziert werden die Datenschutzmaßnahmen und die -organisation zur Erfüllung der Anforderungen des BDSG. Im Rahmen der Überprüfung geht der TÜV Rheinland wie in der nachfolgenden Abbildung dargestellt vor:36 1 Ist-Zustand identifizieren und mit DatenschutzZielen abgleichen
2
Risiken und Abweichungen von Anforderungen des BDSG analysieren
3
Maßnahmen festlegen und umsetzen 5
4
Datenschutzmaßnahmen und -organisation zertifizieren
Jährliches Überwachungsaudit durchführen
Abb. 4: Vorgehen zur Zertifizierung „Datenschutz“ 89 Zunächst wird der Ist-Zustand beim auditierten Unternehmen aufgenommen und
überprüft. Hierzu zählt etwa die Sichtung von Dokumenten, die Begehung von Rechenzentren oder die technische Prüfung von IT-Systemen.37 Der Ist-Zustand wird anschließend mit den festgelegten Zielen abgeglichen.38 In einem zweiten Schritt werden die Abweichungen von den Zielen identifiziert und Risiken abgeleitet. In einem vierten Schritt werden vom Berater des TÜV Rheinland i-sec anhand der Abweichungen und Risiken Korrekturmaßnahmen vorgeschlagen, die vom Unternehmen selbst geplant und umgesetzt werden. Anschließend erfolgt das Zertifizierungsaudit.39 Grundlage für das Zertifizierungsaudit sind Zertifizierungskriterien, die jedoch nicht öffentlich verfügbar sind. Die Zertifizierung wird von Auditoren von TÜV Rheinland i-sec durchgeführt.40 90 Bei einem positiven Ergebnis des Zertifizierungsaudits wird das Zertifikat „Unternehmensdatenschutz“ mit einer Gültigkeitsdauer von drei Jahren erteilt. Inner-
36 TÜV Rheinland i-sec GmbH, Zertifizierung Unternehmensdatenschutz (formloses Dokument), Köln, S. 1. 37 TÜV Rheinland i-sec GmbH, TÜV Rheinland – Ihr Partner für Informationssicherheit (Präsentation), 2013, S. 8. 38 Anhand der vorliegenden Unterlagen, die vom TÜV Rheinland zur Verfügung gestellt wurden, kann nicht festgestellt wurden, wie die Ziele, anhand derer der Abgleich erfolgt, festgelegt werden. 39 TÜV Rheinland i-sec GmbH, TÜV Rheinland – Ihr Partner für Informationssicherheit (Präsentation), 2013, S. 8. 40 TÜV Rheinland i-sec GmbH, Zertifizierung Unternehmensdatenschutz (formloses Dokument), Köln, S. 1.
Giebichenstein/Schirp/Kölsch
E. Unternehmenszertifizierungen
697
halb des Drei-Jahres-Zeitraums werden jährliche Überwachungsaudits durchgeführt.41 Bei der Zertifizierung „Dienstleister mit geprüftem Datenschutzmanage- 91 ment“ liegt der Hauptfokus auf der Einhaltung der BDSG-Anforderungen zur Auftragsdatenverarbeitung gem. § 11 BDSG. Zielgruppe des Zertifikats sind Unternehmen, die Dienstleistungen für andere Unternehmen erbringen und die Umsetzung der in § 11 BDSG geforderten technischen und organisatorischen Maßnahmen nachweisen sollen bzw. müssen. Im Rahmen des Audits werden die folgenden drei Themenbereiche überprüft:42 – Datenschutz-Grundlagen: Übergeordnete Aspekte wie beispielsweise die Berufung des betrieblichen Datenschutzbeauftragten oder die Verpflichtung der Mitarbeiter auf Geheimhaltung, – Prozess gemanagter Datenschutz: Regelprozesse wie die des internen Kontrollsystems und die Überwachung externer Dienstleister, – Technisch-organisatorische Maßnahmen: Umsetzung der technisch-organisatorischen Maßnahmen gem. § 9 BDSG laut Good Practices wie ISO 27001 und BSI-Grundschutz.43 Nach der Durchführung des Zertifizierungsaudits wird das Zertifikat „Dienstleister 92 mit geprüftem Datenschutz“ ausgestellt.44 Bei beiden erläuterten Zertifizierungen des TÜV Rheinland handelt es sich um 93 individuelle Ansätze und Zertifikate der TÜV Rheinland i-sec. Angesichts der Tatsache, dass die Prüfungskriterien, an denen sich die Audi- 94 toren im Rahmen der Zertifizierungsaudits orientieren, nicht öffentlich verfügbar sind, kann keine Aussage über deren Qualität getroffen werden. Gemäß der Auskünfte des TÜV Rheinland i-sec orientieren sich die Auditoren der TÜV Rheinland i-sec bei der Ausgestaltung der Anforderungskataloge in technisch-organisatorischen Themenbereichen an den beiden zuvor erläuterten Standards ISO 27001 und ITGrundschutz sowie an individuellen Anforderungskatalogen des TÜV Rheinland i-sec selbst. Die fehlende Veröffentlichung der Prüfungskataloge hat zugleich den vermeintlichen Vorteil, dass die Anforderungen dynamisch auf die individuellen Bedürfnisse angepasst werden können und hierfür keine „öffentliche Diskussion“ mit unterschiedlichen Interessengruppen geführt werden muss. Ähnlich wie beim
41 TÜV Rheinland i-sec GmbH, TÜV Rheinland – Ihr Partner für Informationssicherheit (Präsentation), 2013, S. 8. 42 Anhand der vorliegenden Unterlagen, die vom TÜV Rheinland zur Verfügung gestellt wurden, kann keine Aussage über die Vorgehensweise im Rahmen des Zertifizierungsaudits getroffen werden. 43 TÜV Rheinland i-sec GmbH, Zertifikat „Dienstleister mit geprüften Datenschutz-Management“ – geprüfter Auftragsdatenverarbeiter (formloses Dokument), S. 2. 44 Über die Gültigkeitsdauer des Zertifikats und die Frequenz der Überwachungsaudits kann auf Grundlage der vorliegenden Informationen keine Aussage getroffen werden.
Giebichenstein/Schirp/Kölsch
698
Kapitel 13 Zertifizierungen – Arten und Nutzen
DSA des ULD besteht auch beim TÜV Rheinland durch das Angebot von Beratung und Zertifizierung das Risiko, dass Interessenskonflikte bei der Zertifizierung auftreten.
F. Produktzertifizierungen 95 Im vorangegangenen Kapitel wurden verschiedene Ansätze zur Zertifizierung von
Datenschutz in Unternehmen (Personen, Prozesse und Technologien) vorgestellt und diskutiert. Aus einer organisatorischen und wirtschaftlichen Betrachtung heraus kann es jedoch sinnvoll sein, nicht das Unternehmen mitsamt seinen Personen, Prozessen und Technologien zu zertifizieren, sondern ausgewählte Produkte. Bei einer Produktzertifizierung bezüglich Datenschutz werden im Wesentlichen – Software (z. B. CRM-Lösungen), – Hardware (z. B. Firewalls), – IT-Services (z. B. Online-Applikationen), – Allgemeine Dienstleistungen (z. B. Aktenvernichtung, Postzustellung) überprüft und bei einem positiven Ergebnis zertifiziert. Zu den bekanntesten Ansätzen zählen die folgenden:45 96 – Datenschutzgütesiegel des ULD: Zertifizierung von IT-Produkten und -Services gemäß eines öffentlich verfügbaren Kriterienkatalogs anwendbar für Produkte, die von öffentlichen Stellen verwendet werden können;46 – European Privacy Seal (kurz „EuroPriSe“): Europaweite Zertifizierung von ITProdukten und -Services gemäß einem öffentlich verfügbaren Kriterienkatalog (aufbauend auf den Kriterien des Datenschutzgütesiegels des ULD) durch von dem ULD zugelassene Gutachter (Erstprüfung durch Gutachter, Zweitprüfung durch ULD);47 – Common Criteria (kurz „CC“) des BSI: Bewertung der Datensicherheit (nicht Datenschutz) von Hardware, Firmware und Software gemäß einem international anerkannten, öffentlich verfügbaren Kriterienkatalog entwickelt als Common Criteria Recognition Arrangement (kurz „CCRA“) durch das Common Criteria Editorial Board (kurz „CCEB“) und Zertifizierung durch das Bundesamt für Informationssicherheit in der Informationstechnik (kurz „BSI“);48
45 Weichert, Datenschutzzertifizierung – Vorteile für Unternehmen, ITK-Kompendium 2010 des F.A.Z.-Instituts für Management-, Markt- und Medieninformationen GmbH, abrufbar unter https:// www.datenschutzzentrum.de. 46 Bizer/Körffer, digma 1/2006, 14. 47 EUROPRISE – European Privacy Seal, Criteria, abrufbar unter https://www.european-privacy-seal. eu/. 48 Common Criteria, Common Criteria for Information Technology Security Evaluation, 2012, abrufbar unter http://www.commoncriteriaportal.org/.
Giebichenstein/Schirp/Kölsch
G. Fazit und Ausblick
699
– TÜV-Zertifikate: Verschiedene Zertifizierungsmöglichkeiten von Produkten (z. B. Sicherheit und Funktionalität von Software, Sicherheit von Cloud-Diensten) durch die verschiedenen privatwirtschaftlichen TÜV-Gesellschaften (z. B. TÜV Rheinland) anhand verschiedener Kriterien, die z. T. öffentlich verfügbar sind;49 – Trusted Shops: Zertifizierung von Online-Shops anhand öffentlich verfügbarer Kriterien (z. B. verständliche Datenschutzerklärung, Informationen zu Cookies) durch Auditoren der privatwirtschaftlichen Trusted Shop GmbH;50 – ips-internet privacy standards: Zertifizierung von Online-Applikationen (z. B. Online-Shops, soziale Netzwerke) anhand öffentlich verfügbarer Kriterien (z. B. Informationsabruf, Individualkommunikation) durch ips-Auditoren.51 Die Produktzertifizierungen bezüglich des Datenschutzes eignen sich insbesondere 97 für einzelne Produkte, an die die relevanten Interessengruppen besondere Datenschutzanforderungen stellen. Dies bedeutet im Umkehrschluss jedoch nicht, dass alle Produkte des jeweiligen Unternehmens datenschutzkonform sind. Zur Bescheinigung der Datenschutzkonformität eines gesamten Unternehmens eignen sie sich jedoch nicht.
G. Fazit und Ausblick Die vorangegangenen Erläuterungen zeigen, dass viele verschiedene Ansätze zur 98 Zertifizierung von Datenschutz im Unternehmen und einzelner Produkte der Unternehmen existieren und grundsätzlich für die Zertifizierung von Datenschutz infrage kommen. Ein Teil der Ansätze wurde speziell für eine Zertifizierung der Datenschutz-Compliance entwickelt. Andere Ansätze sind nicht datenschutzspezifisch, decken jedoch einen großen Teilbereich der Datenschutzanforderungen ab, insbesondere mit Blick auf den technisch-organisatorischen Datenschutz. Keiner der erläuterten Ansätze hat sich jedoch bislang als marktführend bezogen 99 auf eine bloße Datenschutzzertifizierung durchgesetzt. Aufgrund der nach jetzigem Stand vorgesehenen positiven Rechtswirkungen mag sich dies mit der Einführung eines „Europäischen Datenschutzsiegels“ 52 in Art. 39 DS-GVO ggf. ändern. Derzeit ist diese Feststellung aber zu treffen. Der zentrale Grund hierfür ist, dass die Anforderungen an den Datenschutz international sehr unterschiedlich ausgeprägt sind und
49 TÜV Rheinland, Produktprüfung – Telekommunikation und IT, abrufbar unter http://www.tuv. com/de/. 50 Trusted Shop, Wirtschaftsjuristen zertifizieren über 100 Einzelkriterien, abrufbar unter http:// www.trustedshops.de/. 51 datenschutz cert, Datenschutz, Datenschutz-Gütesiegel ips – Das Gütesiegel für Online-Dienstleistungen, abrufbar unter http://www.datenschutz-cert.de/. 52 Vgl. dazu oben Rn 11.
Giebichenstein/Schirp/Kölsch
700
100
101
102
103
104
Kapitel 13 Zertifizierungen – Arten und Nutzen
keine einheitlichen Standards auf europäischer oder globaler Ebene existieren. Unter Umständen wird eine Harmonisierung zumindest auf europäischer Ebene mit der Verabschiedung der DS-GVO erreicht. Ein weiterer Grund für das Fehlen eines einheitlichen Standards ist, dass es sich z. T. als sehr schwierig herausstellen kann, einen Datenschutzstandard für alle Sektoren und Anwendungsfelder zu entwickeln. Ein wichtiges Unterscheidungskriterium zwischen den Ansätzen ist, dass nur manche Ansätze die Vorgehensweise, Ziele und Kriterien offenlegen (Transparenz). Ohne eine vollständige Transparenz kann nur schwer beurteilt werden, ob das jeweilige Zertifikat aus Perspektive der Interessengruppe geeignet ist, die erwarteten Datenschutzanforderungen abzudecken. Hierfür wäre eine Einsichtnahme in den Prüfbericht, der z. T. vertrauliche Sachverhalte beinhaltet, erforderlich. Ein weiteres Unterscheidungsmerkmal ist, dass sich die Ansätze auch im Grad ihrer Anpassbarkeit an den Unternehmenskontext und in ihrer Kompatibilität mit etablierten Standards unterscheiden. Insbesondere bei der Anpassbarkeit der Standards existiert ein Spannungsverhältnis zwischen der verbindlichen Einhaltung von klar definierten Anforderungen, die eine Vergleichbarkeit der Zertifikate ermöglichen, und dem Ausmaß der Anpassbarkeit. In diesem Zusammenhang sollte zudem ein Augenmerk auf mögliche Interessenskonflikte des Prüfers gelegt werden. Wenn der Prüfer die Beratung selbst durchführt oder vom Beratungsunternehmen wirtschaftlich abhängig ist, kann kein objektives Prüfungsergebnis sichergestellt werden. Die Entscheidung für einen Standard und die damit verbundene Zertifizierung sollte folglich davon abhängen, welche Rahmenbedingungen beim Unternehmen vorliegen und welche Zielsetzung mittelfristig verfolgt wird. Hierbei ist insbesondere zu berücksichtigen, dass ein harmonisierter Ansatz gemeinsam mit der Etablierung oder den Betrieb eines ISMS aufgrund der großen thematischen Schnittmenge sinnvoll sein kann, damit Synergien genutzt werden können. Unter Umständen kann es dann sinnvoll sein, einen datenschutzunspezifischen Standard so anzupassen, dass die Anforderungen des BDSG vollständig abgedeckt werden. Ohne einen allgemein anerkannten Standard für Datenschutz wird die Entscheidung für oder gegen einen Standard vor allem davon abhängen, ob das mit dem Standard verbundene Zertifikat von den jeweilig relevanten Interessengruppen anerkannt wird und welcher Aufwand mit der Zertifizierung verbunden ist. Die Anerkennung sollte vorab mit den Interessengruppen (z. B. Großkunden etc.) abgestimmt werden, sofern dies möglich ist. Unabhängig von der Art der Zertifizierung stellt eine solche die Geschäftsleitung niemals gänzlich frei von Haftungsrisiken. Denn ein umfassender Ausschluss jeder Haftung kann faktisch auch bei bestehender Zertifizierung nicht erreicht werden. Eine Zertifizierung erleichtert im Streitfalle allerdings ggf. die Beweisführung, dass die Geschäftsleitung die Sorgfalt eines ordentlichen Kaufmanns hat walten lassen.
Giebichenstein/Schirp/Kölsch
Kapitel 14 Ausblick A. Mögliche gesetzgeberische Entwicklungen Es scheinen mehrere Gesetzesänderungen möglich, die im Zusammenhang mit dem 1 Datenschutz Relevanz erlangen können. Diese wurden in den verschiedenen Kapiteln bereits vereinzelt aufgegriffen und sollen an dieser Stelle zusammengefasst werden.
I. Auf nationaler Ebene Nachdem am 25.11.2009 ein Gesetzesentwurf der SPD-Fraktion zum Datenschutz im 2 Beschäftigtenverhältnis (BDatG)1 in den Bundestag eingebracht wurde, stellte am 15.12.2010 auch die damalige Bundesregierung ihren Gesetzesentwurf zur Regelung des Beschäftigtendatenschutzes2 (BDSG-E) vor. Letzterer sieht eine Anpassung von § 32 BDSG sowie dessen Ergänzung um die §§ 32a bis 32l BDSG-E vor. Dabei sind in § 32 Abs. 6 BDSG-E etwa Regelungen bezüglich der Nutzung von 3 Social Media durch einen Arbeitgeber im Bewerbungskontext enthalten. § 32d Abs. 3 BDSG-E sieht überdies Regelungen für die Durchführung von sog. Massendatenanalysen zum Zwecke der Aufdeckung von Compliance-Verstößen vor. Gerade letztere Regelung führte u. a. seitens des Bundesrates zu erheblicher Kritik. Vor allem wurde bemängelt, dass nach § 32d Abs. 3 BDSG-E Massendatenabgleiche ohne konkrete Anhaltspunkte für ein vertragswidriges oder strafbares Handeln erlaubt sein sollen, was man insbesondere vor dem Hintergrund der zurückliegenden Datenskandale als unbillig empfand.3 Hierbei wird allerdings übersehen, dass diese Regelung das praktische und auch rechtliche Bedürfnis von Großunternehmen und -konzernen aufgreift, durch den Abgleich von Mitarbeiterdaten und Lieferantendaten feststellen zu können, ob ggf. Korruptionsstraftaten aus dem Unternehmen heraus begangen werden. Werden hierbei die Grundsätze der Datenvermeidung und -sparsamkeit sowie der Transparenz gewahrt, ist nicht erkennbar, warum diese Regelung nicht mit den Betroffenenrechten in Einklang zu bringen sein soll. Es erscheint aber auch nicht einsichtig, dass Unternehmen einerseits über §§ 91 4 Abs. 1 S. 1 und Abs. 2 AktG, 43 Abs. 1 GmbHG sowie §§ 130, 9 OWiG dazu verpflichtet sind, eine Organisation vorzuhalten, die effektiv verhindern hilft, dass ComplianceVerstöße aus dem Unternehmen heraus begangen werden, wenn es Unternehmen
1 BT-Drucks. 17/69. 2 BT-Drucks. 17/4230. 3 BT-Drucks. 17/4230, S. 32 (Anlage 3).
Behling
702
Kapitel 14 Ausblick
andererseits nur sehr schwer möglich ist, dies in einem rechtlich zulässigen Rahmen auch umzusetzen. Denn ein präventives und damit hinreichendes ComplianceManagement lässt sich nicht sicherstellen, wenn personenbezogene Beschäftigtendaten nicht auch ohne konkrete Anhaltspunkte für eine Straftat oder Vertragsverletzung zu diesem Zweck verarbeitet werden dürfen. Hier ist eine Harmonisierung zwischen Compliance-Pflichten einerseits und datenschutzrechtlichen Rahmenbedingungen andererseits unbedingt geboten. § 32d Abs. 3 BDSG-E in der Fassung des Regierungsentwurfs hätte hier einen wesentlichen Beitrag leisten können. Allerdings weist auch der Regierungsentwurf selbst in dieser Hinsicht Schwä5 chen auf. So ist etwa nicht nachvollziehbar, warum dieser über die ohnehin bereits sehr strengen Anforderungen des BAG4 für eine verdeckte Videoüberwachung zur Aufklärung von schwerwiegenden arbeitsvertraglichen Pflichtverletzungen hinausgeht und eine solche kategorisch untersagen will, §§ 32e Abs. 4 S. 1 Nr. 3, 32f Abs. 1 BDSG-E. Auch lässt sich nicht nachvollziehen, warum dieser nicht – wie noch im Refe6 rentenentwurf5 (dort § 32i Abs. 4) ausdrücklich vorgesehen – zur Frage des Fernmeldegeheimnisses bei erlaubter oder geduldeter Privatnutzung von dienstlichen E-Mail-Systemen (§ 32i BDSG-E) abschließend Stellung bezieht. Denn auch insoweit ist es nicht interessengerecht, Unternehmen einerseits zu effizienten ComplianceMaßnahmen zu verpflichten, wenn die verantwortlich Handelnden andererseits bei deren Durchführung einem latenten Strafbarkeitsrisiko ausgesetzt werden. So liegt es derzeit aber, wenn dienstliche E-Mail-Konten z. B. im Falle eines Korruptionsverdachts seitens des Arbeitgebers gesichert und analysiert werden. Dies wird umso unverständlicher, wenn man sich vor Augen führt, dass eine effektive Verdachtsaufklärung gerade in dem Fall, dass Korruptionsstraftaten oder rechtswidrige Abflüsse von Betriebs- und Geschäftsgeheimnissen infrage stehen, in der Regel nur nach einer Sicherung und Auswertung der dienstlichen E-Mail-Konten überhaupt möglich ist. An dieser Stelle wären klare Leitlinien daher nicht nur wünschenswert, sie sind auch geboten. Zwar sprechen, wie ausgeführt,6 schon heute gute Gründe dafür, warum das Fernmeldegeheimnis im Beschäftigungsverhältnis selbst bei erlaubter oder geduldeter privater E-Mail-Nutzung unbeachtlich ist. Die wohl noch herrschende Meinung im Schrifttum sieht dies aber anders, was im konkreten Verdachtsfall in der Praxis nicht selten zur Konsequenz hat, dass konkret verdächtige Personen mit Strafanzeige drohen oder eine solche auch stellen, wenn deren dienstliche E-Mail-Postfächer gesichert und/oder analysiert werden sollen. Überdies werden
4 Vgl. zuletzt Urt. v. 21.6.2012 – 2 AZR 153/11 – ZD 2012, 568 ff. 5 BMI, Entwurf eines Gesetzes zur Regelung des Beschäftigtendatenschutzes – Referentenentwurf v. 28.5.2010, abrufbar unter http://community.beck.de/system/files/private/%5B2 %5D_BMI_ Referentenentwurf_28Mai2010.pdf. 6 Vgl. oben Kap. 6 Rn 19 ff., insbesondere 27 ff.
Behling
A. Mögliche gesetzgeberische Entwicklungen
703
in solchen Fällen häufig auch Maßnahmen des einstweiligen Rechtsschutzes ergriffen. Auch wenn die Verdächtigen nach der praktischen Beratungserfahrung hiermit üblicherweise nicht durchdringen, stört dies die – gesetzlich ja gebotenen – internen Ermittlungsmaßnahmen gleichwohl mitunter erheblich und setzt die verantwortlich Handelnden überdies häufig unredlich unter Druck. Hier besteht daher dringender gesetzgeberischer Handlungsbedarf, wobei allerdings nicht erkennbar ist, dass in diese Richtung etwas unternommen würde. Im Gegenteil stellt sich die Lage, wie bereits in Kap. 1 ausgeführt,7 nun so dar, 7 dass der BDSG-E voraussichtlich überhaupt nicht mehr kommen wird. Denn aufgrund des Umstandes, dass dieser in der letzten Legislaturperiode nicht mehr verabschiedet worden ist, ist er der sachlichen Diskontinuität zum Opfer gefallen.8 Dies bedeutet, dass das Gesetzgebungsverfahren komplett neu angestoßen werden muss, wenn es noch zur Verabschiedung eines Beschäftigtendatenschutzgesetzes kommen soll. Dass dies sinnvoll wäre, folgt nicht nur aus den erläuterten gesetzgeberischen Handlungserfordernissen, sondern auch daraus, dass der seitens des Europäischen Parlaments verabschiedete Vorschlag für eine Datenschutz-Grundverordnung9 in Art. 82 ohnehin vorsieht, dass der Beschäftigtendatenschutz auch auf nationaler Ebene geregelt werden darf. Hierbei sind zwar, wie sogleich noch näher ausgeführt wird, Mindeststandards vorgesehen, die nicht unterschritten werden dürfen. Grundsätzlich sollen aber nationale Regelungen möglich bleiben, weshalb es wünschenswert wäre, dass der deutsche Gesetzgeber nun auch tätig wird. Abseits des Beschäftigtendatenschutzes gilt es auf nationaler Ebene vor allem 8 die Entwicklungen um den im Juni 2014 vom Bundesministerium der Justiz und für Verbraucherschutz vorgestellten (Referenten-) „Entwurf eines Gesetzes zur Verbesserung der zivilrechtlichen Durchsetzung von verbraucherschützenden Vorschriften des Datenschutzrechts“10 zu beobachten, wonach durch eine Anpassung von § 2 Abs. 2 des Unterlassungsklagegesetzes (UKlaG) und § 8 Abs. 3 des Gesetzes gegen den unlauteren Wettbewerb (UWG) Datenschutzverstöße fortan auch durch anspruchsberechtigte Verbände und Kammern uneingeschränkt abmahnbar gemacht werden sollen. So heißt es in der Entwurfsbegründung u. a.: „In einer Zeit, in der Unternehmer aufgrund der Fortschritte in der Informationstechnik immer mehr Daten von Verbrauchern für ihre geschäftlichen Zwecke erheben, verarbeiten und nutzen,
7 Vgl. dort Rn 4. 8 Vgl. Maunz/Düring/Maunz/Klein, Art. 39 Rn 54. 9 Legislative Entschließung des Europäischen Parlaments v. 12.3.2014 zu dem Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (allgemeine Datenschutzverordnung) (COM(2012)0011 – C7-0025/2012 – 2012/0011(COD)) (Ordentliches Gesetzgebungsverfahren: erste Lesung), P7_TA-PROV(2014)0212, A7-0402/2013. 10 Abrufbar unter http://www.brak.de/w/files/newsletter_archiv/berlin/2014/238anlage.pdf.
Behling
704
Kapitel 14 Ausblick
wird wirksamer Verbraucherdatenschutz deshalb immer wichtiger. Aber auch die besten datenschutzrechtlichen Regelungen nutzen wenig, wenn sie nicht wirksam durchgesetzt werden können. Die Datenschutzaussichtsbehörden können Verstöße bei der Erhebung und Verwendung von personenbezogenen Daten mit aufsichtsrechtlichen Maßnahmen nach § 38 Absatz 5 BDSG beenden und bei bestimmten Verstößen nach § 43 BDSG auch Bußgelder verhängen. Nach § 38 Absatz 1 des Bundesdatenschutzgesetzes (BDSG) sollen sie die Einhaltung datenschutzrechtlicher Vorschriften durch die Unternehmer kontrollieren. Die Datenschutzaufsichtsbehörden können dazu bei Unternehmern auch ohne konkreten Anlass Kontrollen durchführen; eine flächendeckende Kontrolle scheidet aber schon aufgrund der Zahl der Unternehmer und des stetig zunehmenden Umfangs ihrer Datenerhebung, -verarbeitung und -nutzung aus. Häufig werden die Datenschutzaufsichtsbehörden deshalb erst tätig, wenn ihnen Verstöße gegen Datenschutzgesetze mitgeteilt werden. Auch die Verbraucher selbst wissen trotz der ihnen nach § 34 BDSG zustehenden Auskunftsansprüche häufig nicht, dass ihre Daten von einem Unternehmer unzulässig erhoben, verarbeitet oder genutzt wurden. Erfahren sie von einer unzulässigen Datenerhebung, -verarbeitung oder -nutzung durch einen Unternehmer, können sie Ansprüche auf Löschung, Berichtigung oder Sperrung von Daten nach § 35 BDSG oder gegebenenfalls auch Ansprüche auf Unterlassung nach § 1004 des Bürgerlichen Gesetzbuchs (BGB) analog geltend machen und gegebenenfalls auch Schadensersatz nach § 7 BDSG oder § 823 Absatz 1 BGB in Verbindung mit den Artikeln 2 Absatz 1 und Artikel 1 des Grundgesetzes (GG) verlangen. Verbraucher scheuen aber häufig die Kosten und Mühen, die notwendig sind, um diese Ansprüche durchzusetzen. Dies gilt insbesondere dann, wenn die einzelnen Verbraucher nur in geringem Umfang betroffen sind. Zum besseren Schutz der Rechte der Verbraucher sollen deswegen künftig neben den betroffenen Verbrauchern und den Datenschutzaufsichtsbehörden auch Verbände und Kammern gegen die unzulässige Erhebung, Verarbeitung oder Nutzung von Verbraucherdaten durch Unternehmer vorgehen können. Dies ist am einfachsten durch eine Änderung des Unterlassungsklagengesetzes (UKlaG) möglich. Das Unterlassungsklagengesetz enthält bereits Regelungen, die es Verbänden und Kammern ermöglichen, bei Verstößen gegen andere Verbraucherschutzgesetze Unterlassungsansprüche geltend zu machen. Diese Ansprüche können durch Abmahnungen und Unterlassungsklagen wirksam durchgesetzt werden. Diese Regelungen können auch zum Schutz von Verbrauchern gegen Unternehmer genutzt werden, die personenbezogene Daten der Verbraucher unzulässig erheben, verarbeiten oder nutzen.“ 9 Hierdurch würde im Übrigen auch die Rechtsprechung gestärkt, die es Konkurren-
ten ermöglicht, bestimmte Datenschutzverstöße abzumahnen,11 was gerade im Zusammenhang mit Webportalen bereits derzeit praktische Realität ist. Denn in der weiteren Entwurfsbegründung heißt es hierzu: „Nach § 3 Absatz 1 UWG sind unlautere geschäftliche Handlungen unzulässig, wenn sie geeignet sind, die Interessen von Marktteilnehmern, wozu auch Verbraucher gehören, spürbar zu beeinträchtigen. Unlauter handelt nach § 4 Nummer 11 UWG auch, wer einer gesetzlichen Vorschrift zuwiderhandelt, die auch dazu bestimmt ist, im Interesse der Marktteilnehmer das Marktverhalten zu regeln. Insbesondere § 28 in Verbindung mit § 4 Absatz 1 und 4a Absatz 1 BDSG wurde von zahlreichen Gerichten als eine solche Marktverhaltensvorschrift angesehen. Diese Ansprüche nach § 8 Absatz 1 UWG sollen künftig durch Ansprüche nach § 2 Absatz 1 UKlaG ergänzt werden. Dadurch kann die zivilrechtliche Durchsetzung von datenschutzrechtlichen Vorschriften zum Schutz von Verbrauchern erheblich verbessert werden. Denn künftig können die anspruchsberechtigten Stellen
11 Vgl. hierzu Kap. 1 Rn 73.
Behling
A. Mögliche gesetzgeberische Entwicklungen
705
dann gegen Unternehmer grundsätzlich bei Verstoß gegen jede datenschutzrechtliche Vorschrift, die die Erhebung, Verarbeitung und Nutzung von Verbraucherdaten regelt, Ansprüche nach § 2 Absatz 1 UKlaG geltend machen. Diese Ansprüche nach § 2 Absatz 1 UKlaG sind anders als die Ansprüche nach § 8 Absatz 1 UWG auch dann gegeben, wenn gegen eine datenschutzrechtliche Vorschrift verstoßen wird, die keine Marktverhaltensvorschrift ist.“
Zwar berechtigt damit nicht jeder Datenschutzverstoß auch zur Konkurrentenab- 10 mahnung, doch bestätigt der Entwurf damit indirekt die Rechtsprechung, die zumindest die §§ 4, 4a, 28 BDSG als Marktverhaltensregeln ansieht und eine Abmahnung von Verstößen hiergegen durch Konkurrenten deshalb zulässt. Daher gilt es insbesondere nach außen sichtbare Datenverarbeitungen so auszugestalten, dass sie möglichst datenschutzrechtlich nicht angreifbar sind. Unter Reputationsgesichtspunkten und allgemeinen Compliance-Erwägungen empfiehlt sich dies ohnehin. Weiter gilt es, die Entwicklungen um ein sog. IT-Sicherheitsgesetz zu beobach- 11 ten. Der vormalige Referentenentwurf des Bundesministeriums des Innern (BMI) aus dem Jahre 201312 konnte sich wegen der großen Kritik zwar nicht durchsetzen, die jüngsten Identitätsdiebstähle haben dieses Thema aber wieder auf die Agenda gebracht. So veröffentlichte das BMI am 18.8.2014 einen neuen Referentenentwurf für ein IT-Sicherheitsgesetz13 (im Folgenden „IT-Sich-G-E), der u. a. vorsieht, dass „Betreiber Kritischer Infrastrukturen […] verpflichtet [sind], binnen zwei Jahren nach Inkrafttreten der [noch gesondert zu erlassenden] Rechtsverordnung nach § 10 Absatz 1[BSIG] angemessene organisatorische und technische Vorkehrungen und sonstige Maßnahmen zum Schutz diejenigen informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind. Dabei ist der Stand der Technik zu berücksichtigen. Organisatorische und technische Vorkehrungen und sonstige Maßnahmen sind angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung der betroffenen Kritischen Infrastruktur steht“ (Art. 1 Nr. 8 IT-Sich-G-E).
Zwar können nach Art. 1 Nr. 8 IT-Sich-G-E Betreiber Kritischer Infrastrukturen und 12 ihre Branchenverbände branchenspezifische Sicherheitsstandards dem Bundesamt für Sicherheit in der Informationstechnik (BSI) vorschlagen, das diese dann im Benehmen mit verschiedenen weiteren Stellen, wie der zuständigen Aufsichtsbehörde, anerkennen kann, zwingende Vorgaben oder Empfehlungen, welche Sicher-
12 (Referenten-)Entwurf eines Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme des Bundesministeriums des Inneren v. 5.3.2013, abrufbar unter https://www.bmi.bund. de/SharedDocs/Downloads/DE/Gesetzestexte/Entwuerfe/Entwurf_it-sicherheitsgesetz.pdf?__ blob=publicationFile. 13 (Referenten-)Entwurf eines Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme des Bundesministeriums des Inneren v. 18.8.2014, abrufbar unter http://www.bmi.bund.de/ SharedDocs/Downloads/DE/Gesetzestexte/Entwuerfe/Entwurf_IT-Sicherheitsgesetz.pdf;jsessionid= 0C5430C6663A97AB6339A560B969F4CC.2_cid295?__blob=publicationFile.
Behling
706
Kapitel 14 Ausblick
heitsmaßnahmen oder -standards für welche kritischen Infrastruktureinrichtungen zu implementieren sind, sind jedenfalls im IT-Sich-G-E indes nicht vorgesehen. Genau wie im Datenschutzrecht wird also die Eigenverantwortlichkeit betont, wenngleich zu beachten ist, dass der technisch-organisatorische Datenschutz i. S. d. Anlage zu § 9 S. 1 BDSG nicht zwingend deckungsgleich mit dem i. S. d. IT-Sich-G-E ist. Denn das BDSG zielt auf den Schutz des allgemeinen Persönlichkeitsrechts ab, was entsprechend Ausgangspunkt jeder Schutzbedarfsanalyse im Zusammenhang mit der technisch-organisatorischen Sicherheit i. S. d. BDSG sein muss. Der IT-Sich-G-E zielt indes auf den Schutz „der IT-Systeme Kritischer Infrastrukturen und der für den Infrastrukturbetrieb nötigen Netze“ ab, der höchste Priorität habe (Buchst. A IT-Sich-G-E). Daher soll über den IT-Sich-G-E eine gesonderte Rechtspflicht mit anderem Schutzzweck etabliert werden. Ähnlich wie auch über die Kontrollen der Anlage zu § 9 S. 1 BDSG sollen dabei aber auch die Schutzziele der Verfügbarkeit, Unversehrtheit und Vertraulichkeit, hier aber von „Informationen“ in kritischen Infrastrukturen, sichergestellt werden, § 2 Abs. 2 BSIG. Der Informationsbegriff geht, da ein Personenbezug nicht vorausgesetzt wird, über den des personenbezogenen Datums i. S. v. § 3 Abs. 1 BDSG hinaus. Deshalb kann die aus dem IT-Sich-G-E folgende technisch-organisatorische Schutzverpflichtung weiter reichen als die aus dem BDSG folgende. Gleichwohl ergibt sich aus der erwähnten Artverwandtschaft der Schutzziele eine Schnittmenge, sodass sich in der Regel Synergien erzielen lassen dürften. Als unter die Schutzpflichten nach dem IT-Sich-G-E fallende „Kritische Infra13 strukturen“ sollen dabei gelten „die durch die [noch gesondert zu erlassende] Rechtsverordnung nach § 10 Absatz 1 [BSIG] näher bestimmten Einrichtungen, Anlagen oder Teile davon in den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanzund Versicherungswesen, die von hoher Bedeutung für das Funktionieren des Gemeinwesens sind und durch deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe oder erhebliche Störungen der öffentlichen Sicherheit eintreten würden“ (Art. 1 Nr. 2 IT-Sich-G-E). 14 Ähnlich wie dies auch in dem Vorschlag für eine Datenschutz-Grundverordnung
des Europäischen Parlaments in Bezug auf die datenschutzrechtlichen Schutzmaßnahmen vorgesehen ist (dazu sogleich II.), sollen auch nach dem IT-Sich-G-E die „organisatorischen und technischen Vorkehrungen und sonstigen Maßnahmen“ zum Schutz derjenigen informationstechnischen Systeme, Komponenten oder Prozesse, die für die Funktionsfähigkeit der betriebenen Kritischen Infrastrukturen maßgeblich sind, alle zwei Jahre überprüft und dies dem BSI auch nachgewiesen werden (Art 1 Nr. 8 IT-Sich-G-E). Hier ließen sich Synergien mit den in dem Vorschlag für eine Datenschutz-Grundverordnung vorgesehenen Datenschutz-Compliance-Reviews erzielen, die, wie in Kap. 114 erläutert, ebenfalls alle zwei Jahre durchzuführen sind.
14 Dort Rn 51.
Behling
A. Mögliche gesetzgeberische Entwicklungen
707
Unternehmen, die sich auf die Umsetzung der Datenschutz-Grundverordnung vorbereiten und auch kritische Infrastrukturen betreiben, sollten daher zweckmäßigerweise den IT-Sich-G-E mit berücksichtigen, dies auch deshalb, weil beide im Falle von bestimmten Zwischenfällen (rechtswidrige Datenabflüsse einerseits, bestimmte Beeinträchtigungen der Kritischen Infrastruktur andererseits) Meldepflichten vorsehen, im Falle des IT-Sich-G-E an das BSI als zentrale Meldestelle. Diese sollen allerdings nicht die Betreiber öffentlicher Telekommunikationsnetze treffen, da insoweit bereits über § 109 TKG spezifische Meldepflichten existierten (vgl. IT-Sich-G-E, Begründung, S. 43 f.); auch im Übrigen sieht der IT-Sich-G-E vor, dass dessen Regelungen auf die Betreiber öffentlicher Telekommunikationsnetze nur sehr eingeschränkt anwendbar sind (vgl. hierzu insbesondere Art. 1 Nr. 8 IT-Sich-G-E). Vor dem Hintergrund der zunehmenden Identitätsdiebstähle wird mit dem IT- 15 Sich-G-E auch eine Anpassung von § 13 TMG angestrebt, wonach Diensteanbieter, „soweit dies technisch möglich und zumutbar ist, für geschäftsmäßig in der Regel gegen Entgelt angebotene Telemedien durch die erforderlichen technischen und organisatorischen Vorkehrungen sicherzustellen [haben], dass ein Zugriff auf die Telekommunikations- und Datenverarbeitungssysteme nur für Berechtigte möglich ist.“ Vorkehrungen in diesem Sinne müssten den Stand der Technik berücksichtigen. Bei personalisierten Telemediendiensten sei den Nutzern die Anwendung eines sicheren und dem Schutzbedarf angemessenen Authentifizierungsverfahrens anzubieten (vgl. hierzu insgesamt Art. 2 Nr. 1 IT-Sich-G-E). Adressiert werden sollen damit die sogenannten Contentprovider, die eigene Inhalte publizieren, sowie die sog. Hostprovider, die fremde Informationen für Nutzer speichern (IT-Sich-G-E, Begründung, S. 49).
II. Auf europäischer Ebene Entgegen den Entwicklungen auf nationaler Ebene wurde nach langer Erörterung 16 von mehr als 3.000 Änderungsvorschlägen und der Erhebung einer Subsidiaritätsrüge durch den Bundesrat am 12.3.2014 der bereits erwähnte Vorschlag für eine Datenschutz-Grundverordnung durch das Europäische Parlament (DS-GVO-V) verabschiedet. Diesem ging der Entwurf einer Datenschutz-Grundverordnung15 der Europäischen Kommission vom 25.1.2012 voraus, der durch den Ausschuss für bürgerliche Freiheiten, Justiz und Inneres des Europäischen Parlaments dann am 21.10.2013 unter Berücksichtigung der besagten Änderungsvorschläge angenommen (sog. LIBEEntwurf) wurde. Unwahrscheinlich erscheint allerdings, dass der DS-GVO-V ohne jede Änderung 17 auch durch den Rat der Europäischen Union („EU-Ministerrat“) verabschiedet werden wird, da dieser über seine Arbeitsgruppe DAPIX bereits im Dezember 2013
15 KOM (2012) 11.
Behling
708
Kapitel 14 Ausblick
zum Ausdruck brachte, dass bezüglich des aktuellen Entwurfsstandes noch Vieles klärungsbedürftig sei.16 Entsprechend kann derzeit keine genaue Einschätzung dazu getroffen werden, mit welchem Inhalt und zu welchem Zeitpunkt der EU-Ministerrat die Datenschutz-Grundverordnung verabschieden wird. Am 6.6.2014 tagte dieser allerdings bereits zur Datenschutz-Grundverordnung und konnte sich hierbei schon über verschiedene Eckpunkte (z. B. räumlicher Anwendungsbereich, Drittstaatentransfers) zum Teil verständigen.17 Entsprechend ist ein klarer Wille erkennbar, die Verabschiedung voranzutreiben. Eine überarbeitete Fassung des einstigen Kommissionsentwurfs ist mit dem Diskussionsstand des EU-Ministerrates am 30.6.2014 veröffentlicht worden.18 Dass das Europäische Parlament zwischenzeitlich neu gewählt worden ist, steht der Verabschiedung des DS-GVO-V durch den EU-Ministerrat an dieser Stelle im Übrigen nicht entgegen, denn anders als in Deutschland greift auf EU-Ebene keine Diskontinuitätsregel.19 Zum Inhalt des DS-GVO-V lässt sich sagen, dass dieser, wie ausgeführt, mit Art. 82 18 Abs. 1 auch eine Regelung in Bezug auf den Beschäftigtendatenschutz enthält. Danach können die Mitgliedstaaten „[…] im Einklang mit den Regelungen dieser Verordnung und unter Berücksichtigung des Grundsatzes der Verhältnismäßigkeit durch Rechtsvorschriften die Verarbeitung personenbezogener Arbeitnehmerdaten im Beschäftigungskontext, insbesondere, jedoch nicht ausschließlich, für Zwecke der Einstellung und Bewerbung innerhalb der Unternehmensgruppe, der Erfüllung des Arbeitsvertrags einschließlich der Erfüllung von gesetzlich und tarifvertraglich festgelegten Pflichten gemäß nationalen Rechtsvorschriften oder Gepflogenheiten, des Managements, der Planung und der Organisation der Arbeit, der Gesundheit und Sicherheit am Arbeitsplatz sowie für Zwecke der Inanspruchnahme der mit der Beschäftigung zusammenhängenden individuellen oder kollektiven Rechte und Leistungen und für Zwecke der Beendigung des Beschäftigungsverhältnisses regeln. Die Mitgliedstaaten können Kollektivverträge für die weitere Konkretisierung der Vorschriften dieses Artikels vorsehen.“ 19 Aus der Formulierung „im Einklang mit den Regelungen dieser Verordnung“ folgt die
bereits angesprochene Begrenzung des nationalen Gesetzgebers, den Beschäftigtendatenschutz nicht vollumfänglich frei regeln zu dürfen. Vielmehr soll er nur Regelungen erlassen dürfen, die umfänglich mit der Datenschutz-Grundverordnung im Einklang stehen. Es würde also ein Anwendungsvorrang vor den Vorschriften des BDSG bestehen, was letztlich darin begründet liegt, dass EU-Verordnungen aufgrund ihrer Höherrangigkeit nationales Recht mit gleichem Regelungsinhalt verdrängen und gleichzeitig unmittelbar innerhalb der Mitgliedstaaten als Mindeststandard
16 Vgl. Ratsdokument 17831/13 v. 16.12.2013. 17 Vgl. Pressemitteilung des Rates der Europäischen Union v. 5./6.6.2014, Ratsdokument 10578/14 v. 30.6.2014. 18 Vgl. Ratsdokument 11028/14 v. 30.6.2014. 19 Schaar, ZD 2014, 113, 114.
Behling
A. Mögliche gesetzgeberische Entwicklungen
709
zur Anwendung gelangen.20 Dabei würden die in Art. 82 Abs. 1 DS-GVO-V in Bezug genommenen Grenzen der Zulässigkeit mitgliedstaatlicher Regelungen betreffend die Verarbeitung von Beschäftigtendaten vor allem aus Art. 5, 6 und 7 DS-GVO-V folgen. Dies betrifft auch die Voraussetzungen für eine einwilligungsbasierte Daten- 20 verarbeitung. Während von einem vollständigen Ausschluss der Einwilligungsmöglichkeit im Beschäftigungsverhältnis nunmehr Abstand genommen wurde,21 bleiben die Voraussetzungen gleichwohl restriktiver als sie derzeit in § 4a BDSG geregelt sind. Insbesondere konkludente oder mutmaßliche Einwilligungen sollen künftig klar ausgeschlossen sein, da Art. 4 Abs. 8 DS-GVO-V „ausdrückliche“ Willensbekundungen für eine Einwilligungserteilung voraussetzt.22 Dies gelte es dann im Übrigen nicht nur für die beschäftigungsbezogene Einwilligungseinholung zu beachten. Im Übrigen sieht der DS-GVO-V auch Änderungen auf prozessualer Ebene vor. So 21 sollen klarere Vorgaben für das Datenschutz-Management gemacht werden, wobei insoweit vor allem die Pflicht zur Durchführung von Datenschutzrisikoanalysen, -folgenabschätzung und -Compliance-Reviews zu nennen ist (Art. 32a, 33, 33a DSGVO-V). Hinsichtlich der Einzelheiten soll insoweit auf Kap. 123 verwiesen werden. Die Neuregelung des räumlichen Anwendungsbereichs des Europäischen 22 Datenschutzrechts stellt eine weitere wesentliche Veränderung dar, die in dem DSGVO-V vorgesehen ist. So heißt es in Art. 3 Abs. 1 DSG-VO-V: „Die Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten, soweit diese im Rahmen der Tätigkeiten einer Niederlassung eines für die Verarbeitung Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt, unabhängig davon, ob die Verarbeitung in der Union erfolgt.“
Damit lässt sich sagen, dass in vielen Fällen, in denen ein bloßer Verarbeitungsbezug zu der EU besteht, die Datenschutz-Grundverordnung anwendbar sein soll. Art. 3 Abs. 2 DSG-VO-V stellt darüber hinaus auf besondere Verarbeitungszwecke 23 ab, die unabhängig vom Sitz der verarbeitenden Stelle oder dem Ort der Verarbeitung zu einer Anwendbarkeit der Datenschutz-Grundverordnung führen sollen, sofern EUBürger von der Verarbeitung betroffen sind. So heißt es in Art. 3 Abs. 2 DSG-VO-V: „Die Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten von in der Union ansässigen betroffenen Personen durch einen nicht in der Union niedergelassenen für die Verarbeitung Verantwortlichen oder Auftragsverarbeiter, wenn die Datenverarbeitung
20 Vgl. Wuermeling, NZA 2012, 368, 370. 21 So noch Art. 7 Abs. 4 DS-GVO-E in Verbindung mit dem Erwägungsgrund 34, vgl. http://eur-lex. europa.eu/LexUriServ/LexUriServ.do?uri=COM:2012:0011:FIN:DE:PDF, S. 25; Behling/Indermühle, CH-D Wirtschaft, 4/2012, 6, 8. 22 Vgl. auch Behling/Indermühle, CH-D Wirtschaft, 4/2012, 6, 7. 23 Dort Rn 42 ff.
Behling
710
Kapitel 14 Ausblick
a) dazu dient, diesen Personen in der Union Waren oder Dienstleistungen anzubieten, unabhängig davon, ob von der betroffenen Person eine Zahlung zu leisten ist; oder b) der Überwachung dieser betroffenen Personen dient.“ 24 In den Erwägungsgründen 20 und 21 des DS-GVO-V werden diese Regelungen wie
folgt näher erläutert:
„Um sicherzugehen, dass Personen nicht des Schutzes beraubt werden, auf den sie nach dieser Verordnung ein Anrecht haben, sollte die Verarbeitung personenbezogener Daten von in der Union ansässigen betroffenen Personen durch einen nicht in der Union niedergelassenen für die Verarbeitung Verantwortlichen dieser Verordnung unterliegen, wenn die Verarbeitung dazu dient, diesen Personen Produkte und Dienstleistungen gegen Entgelt oder unentgeltlich anzubieten oder diese Personen zu beobachten. Um festzustellen, ob dieser für die Verarbeitung Verantwortliche diesen betroffenen Personen in der Union Waren oder Dienstleistungen anbietet, sollte geprüft werden, ob er offensichtlich beabsichtigt, in einem oder mehreren Mitgliedstaaten der Union ansässigen betroffenen Personen Dienstleistungen anzubieten. Ob eine Verarbeitungstätigkeit der Überwachung von Personen gilt, sollte daran festgemacht werden, ob sie – unabhängig von dem Ursprung der Daten und unabhängig davon, ob andere Daten, einschließlich Daten aus öffentlichen Registern und Bekanntmachungen in der Union, die von außerhalb der Union zugänglich sind, einschließlich mit der Absicht der Verwendung, oder der möglichen nachfolgenden Verwendung über sie erhoben werden – mit Hilfe von Datenverarbeitungstechniken verfolgt werden, durch die einer Person ein Profil zugeordnet wird, das insbesondere die Grundlage für sie betreffende Entscheidungen bildet oder anhand dessen ihre persönlichen Vorlieben, Verhaltensweisen oder Gepflogenheiten analysiert oder vorausgesagt werden sollen.“ 25 Damit zielt Art. 3 Abs. 2 DS-GVO-V ganz offensichtlich auf eine Anwendbarkeit der
Datenschutz-Grundverordnung auf Telemediendiensteanbieter im Nicht-EWR-Ausland ab, sofern sich der fragliche Telemediendienst (z. B. Online-Shop oder Social Media-Portal) an EU-Bürger richtet. Zu beachten sein wird Art. 3 Abs. 2b DS-GVO-V aber auch bei unternehmensin26 ternen Ermittlungen, wenn etwa Netzwerk-Tools zur Überwachung des konzerninternen Netzwerkverkehrs über eine Konzernzentrale in den USA gehostet werden. Dann soll Europäisches Datenschutzrecht maßgeblich sein, wenngleich sich naturgemäß die Frage stellt, wie dies ohne entsprechende Abkommen mit den betroffenen Nicht-EU-Staaten faktisch durchgesetzt werden können soll.24 Allein die Pflicht, in solchen Fällen Vertreter in der EU zu benennen, wie von Art. 25 Abs. 1 DS-GVO-V vorgesehen, dürfte jedenfalls nicht genügen, um eine Durchsetzbarkeit sicherzustellen, zumal diese Pflicht über Art. 25 Abs. 2 DS-GVO-V ohnehin stark aufgeweicht wird. Vor diesem Hintergrund können die parallelen Modernisierungsbestrebungen 27 um die Europäische Datenschutzkonvention25 vielleicht einen Fortschritt bringen,
24 Siehe bereits Behling/Indermühle, CH-D Wirtschaft, 4/2012, 6 f. 25 Vgl. hierzu ZD-Aktuell 2012, 02928.
Behling
B. Fazit
711
die als völkerrechtlicher Vertrag auch bestimmte Nicht-EU-Staaten mit einbeziehen kann. Zu beachten ist in jedem Falle, dass der DS-GVO-V eine Übergangsfrist von nur 28 zwei Jahren vorsieht, nachdem die Datenschutz-Grundverordnung in Kraft getreten ist, Art. 91 Abs. 2 DS-GVO-V. Für den Fall, dass noch keine oder eine nur sehr rudimentäre Datenschutzorganisation in einem Unternehmen vorhanden ist, ist diese Frist eher sehr kurz gefasst. Dies gilt besonders für größere Unternehmen oder Konzerne. Daher empfiehlt es sich, den DS-GVO-V für Fragen der Datenschutzorganisation bereits heute als Leitlinie heranzuziehen.
B. Fazit Damit ist festzustellen, dass sich der künftig maßgebliche rechtliche Rahmen für 29 den Datenschutz noch nicht klar bestimmen lässt. Sicher lässt sich nur sagen, dass mit wesentlichen Änderungen zu rechnen ist. Wie in Kap. 1 und auch im Rahmen dieses Kapitels erläutert, sind damit Änderungen zu erwarten, die es zweckmäßigerweise schon heute zu beachten gilt. Ohnehin lässt sich sagen, dass zumindest viele der angedachten Änderungen betreffend die Datenschutzorganisation und das Datenschutzmanagement bereits heute etablierten „Good Practices“ entsprechen. Geplante organisatorische Maßnahmen wie Datenschutzrisikoanalysen, -folgenabschätzung und -Compliance-Reviews greifen überdies die allgemeine ComplianceAnforderung auf, durch ständige Kontrollen und Verbesserungen kontinuierlich auf eine rechtskonforme Datenschutzorganisation hinzuwirken. Selbst wenn der aktuelle DS-GVO-V also niemals umgesetzt würde, ist dessen Beachtung auch heute schon als zweckmäßig zu erachten. Dies gilt erst recht, falls ein Unternehmen plant, seine Datenschutzorganisation neu aufzubauen oder umzustrukturieren.
Behling
Stichwortverzeichnis Die Zahlen und Buchstaben in Fettdruck beziehen sich auf die Kapitel des Werkes, die Ziffern beziehen sich auf die Randnummern innerhalb der Kapitel. A Abhängigkeitsverhältnis Kap. 5 30 Abhängigkeitsverhältnis, soziales Kap. 9 26 Abhören Kap. 6 62, Kap. 9 115 ff. –– Telefongespräch Kap. 6 5 Ablauforganisation Kap. 1 10, 42 Abmahnung –– Betriebsrat Kap. 8 276 –– Datenschutzerklärung, fehlerhafte Kap. 7 47 –– Konkurrent Kap. 14 9 f. –– Verbraucherschutz Kap. 14 8 –– Verbraucherschutzverband Kap. 1 74 –– Wettbewerbsrecht Kap. 2 33 Abmelden, automatisches Kap. 12 53 Abo-Falle Kap. 11 98 Abrechnung Kap. 6 42 Abrechnungszweck Kap. 6 63 Abrufbarkeit Kap. 10 90 –– ~, jederzeitige Kap. 10 124 –– Datenschutzerklärung Kap. 7 24 Abschlussprüfung Kap. 4 96 Abtretungsverbot Kap. 4 80 Abwägungserfordernis Kap. 9 16 Abwesenheitsassistent Kap. 6 40 Access Kap. 6 10 Access-Provider Kap. 10 111 f. Account –– Zugangskontrolle Kap. 12 55 –– Verstorbener Kap. 1 29 Acht Gebote Kap. 12 2 Act-Phase Kap. 12 152 ff. Administrator Kap. 12 47, 55, 83 Administrator-Passwort Kap. 9 126 Adressatengedanke Kap. 4 209 Adressausfallrisiko Kap. 11 52 ff. Adressdaten Kap. 10 17 Adresshandel Kap. 10 69, 213 Adresshandel –– ~, geschäftsmäßiger Kap. 10 218 ff. –– E-Mail-Adresse Kap. 10 221 –– Listendaten Kap. 10 214 ff. –– Melderegisterdaten Kap. 10 222 ff.
Adresshändler Kap. 10 21 Adressverzeichnis Kap. 10 47 Advanced Technology Attachment Kap. 12 77 AES Kap. 12 70 Akkreditierung Kap. 13 11, 19 Aktenführung, ordnungsgemäße Kap. 8 280 Aktenvernichtung Kap. 2 35, Kap. 13 95 Aktivierungslink Kap. 10 187 Allgemein zugängliche Quellen –– Bewerberdaten Kap. 8 88 ff. –– Ermittlung, unternehmensinterne Kap. 9 51 –– Soziales Netzwerk Kap. 9 60 –– Unternehmensdatenbank Kap. 9 58 –– Verzeichnis Kap. 10 47 Aktualität Kap. 5 176 Alarmanlage Kap. 12 39, 46 Alarmsicherung Kap. 12 42 Allgemeine Geschäftsbedingungen –– Anschriftendatennutzung Kap. 11 50 –– Cloud-Vertrag Kap. 4 192 –– Einwilligung Kap. 10 178 –– Einwilligungserklärung Kap. 10 86 f., 120 –– Einwilligungsunterrichtung Kap. 10 76 Allgemeines Gleichstellungsgesetz Kap. 2 25, 28 Allgemeines Persönlichkeitsrecht –– Ableitungen Kap. 2 1 –– Arbeitszeugnis Kap. 8 258 –– Bankgeheimnis Kap. 9 141 ff. –– Betriebsvereinbarung Kap. 5 38 –– Frage, unzulässige Kap. 8 36 –– Fragerecht des Arbeitgebers Kap. 8 25 –– Gewahrsamssphäre Kap. 8 198 –– Information, falsche Kap. 8 12 –– Kernbereich Kap. 8 193 –– Kommunikationsüberwachung Kap. 8 221 –– Nutzerprofil Kap. 10 125 –– Privatdetektiv Kap. 9 138 –– Telefonüberwachung Kap. 6 12 –– Verletzung Kap. 3 133 –– Verstorbener Kap. 1 28 Algorithmus Kap. 12 70 Altersvorsorge, betriebliche Kap. 8 240
714
Stichwortverzeichnis
Altverträge Kap. 4 38 Amadeus Kap. 9 58 Amtsgeheimnis Kap. 4 19, 83, 254 Amtshilfeabkommen Kap. 4 171 Analogieverbot Kap. 6 26 Analysetool Kap. 6 48, Kap. 11 44 Anbahnungsverhältnis –– Allgemein zugängliche Quellen Kap. 8 88 f. –– Arbeitgeberauskunft Kap. 8 96 f. –– Arbeitsvermittlung Kap. 8 129 –– Bonitätsauskunft Kap. 8 120 ff. –– Datenübernahme Kap. 8 140 ff. –– Fragerecht Kap. 8 25 ff. –– Gesundheitsdaten Kap. 8 53 ff. –– Gewerbezentralregister Kap. 8 124 –– Nebentätigkeit Kap. 8 81 –– Offenbarungspflicht Kap. 8 87 –– Parteizugehörigkeit Kap. 8 80 –– Personalvermittlung Kap. 8 130 ff. –– Persönlichkeitstest Kap. 8 114 –– Polizeiliches Führungszeugnis Kap. 8 117 ff. –– Psychologische Untersuchung Kap. 8 112 f. –– Schwerbehinderung Kap. 8 60 –– Untersuchung, ärztliche Kap. 8 100 Anbieterkennzeichnung Kap. 7 48 f. –– Dienstanbieter, besondere Kap. 7 72 –– Erkennbarkeit, leichte Kap. 7 61 f. –– Erreichbarkeit, unmittelbare Kap. 7 63 –– Gesellschaft Kap. 7 70 –– Haftungsrisiken Kap. 7 73 –– Inhalt Kap. 7 65 ff. –– Kommerzielle Kommunikation Kap. 7 59 –– Natürliche Person Kap. 7 69 –– Telemedien Kap. 7 55 f. –– Verfügbarkeit, ständige Kap. 7 64 Anbieterkennzeichnungspflicht Kap. 7 42 Anbietertransparenz Kap. 7 49 f. Anfechtung Kap. 10 103 f. Anforderungskatalog Kap. 12 137 Angestellter, ehemaliger Kap. 9 12 Anknüpfungstat Kap. 1 70 Anonymisierung –– E-Discovery Kap. 5 251 –– E-Mail-Archivierung Kap. 6 59 –– Scoring Kap. 11 42 Anonymität –– Aufklärung Kap. 3 127
–– Daten, unstrukturierte Kap. 9 105 –– Whistleblowing Kap. 9 39 Anrufmaschine Kap. 10 172 Anschrift, berufliche Kap. 10 58 Ansprache Kap. 10 24 Anspruchsdurchsetzung Kap. 5 269 ff. Antiterrordatei Kap. 9 147 ff. Antivirenprogramm Kap. 6 49 ff. Anti-Viren-Engine Kap. 12 116 Antragsformular Kap. 10 25 Anwendbarkeit –– Binding Corporate Rules Kap. 5 165 ff. –– Datenschutz-Grundverordnung Kap. 5 227 –– EU-Datenschutzrecht Kap. 4 226 f. Anything as a Service – XaaS Kap. 4 184 Anzeigenblatt Kap. 10 166 Application Service Provider Kap. 4 13, 183 Applikationssoftware Kap. 4 193 Arbeitgeber –– Fernmeldegeheimnis Kap. 6 32 –– Telekommunikationsdiensteanbieter Kap. 6 27 ff. Arbeitnehmer Kap. 9 12 Arbeitnehmerdatenschutz siehe Beschäftigtendatenschutz Arbeitsanweisung Kap. 3 43 f. Arbeitsgruppe DAPIX Kap. 14 17 Arbeitsprozess Kap. 5 176 Arbeitsrecht –– Arbeitszeugnis Kap. 8 257 ff. –– Beschäftigtendatenschutz Kap. 8 1 –– Betriebsvereinbarung Kap. 8 17 f. –– Fragerecht Kap. 8 25 ff. –– Fürsorgepflicht Kap. 8 12, Kap. 9 70 –– Kollektives ~ Kap. 8 13 ff. –– Kündigung Kap. 8 250 ff. –– Pflichtverletzung Kap. 8 190 –– Privatdetektiv Kap. 9 138 –– Schutznorm, zwingende Kap. 8 29 –– Treuepflicht Kap. 9 65 Arbeitsvertrag –– Beendigung Kap. 8 250 ff. –– Binding Corporate Rules Kap. 5 149, 153 f. –– Diensteanbieterverhältnis Kap. 6 82 –– Konzernrichtlinien Kap. 5 156 –– Privatnutzung von Telekommunikationsmitteln Kap. 6 18 –– Treuepflicht Kap. 9 65 Arbeitszeit Kap. 3 123
Stichwortverzeichnis
Architektur, technische Kap. 13 39 Archiv –– Lösch- und Sperrpflicht Kap. 1 33 Archivierung –– E-Mail Kap. 6 30, 55 ff. –– Handelsbrief Kap. 6 58 –– Maßnahme, technische Kap. 6 59 –– Unternehmen Kap. 6 3 Archivierungssystem Kap. 12 26 Archivordnung Kap. 1 33 Artikel-29-Datenschutzgruppe –– BCR for Processors Kap. 5 204 ff. –– Beschäftigtendatenschutz Kap. 5 30 f. –– Binding Corporate Rules Kap. 5 120, 132, 137 –– Cloud Computing Kap. 4 198, 215 –– Cloud-Vertrag Kap. 4 219 –– Datenexport Kap. 4 152 –– Durchsetzbarkeit von Binding Corporate Rules Kap. 5 161 –– E-Discovery Kap. 5 251, 278, 279 –– EU-Standardvertrag Kap. 4 126, 147 –– Exportgenehmigung Kap. 5 128 –– Haftungsmodelle Kap. 5 164 –– Pre-Trial Discovery Richtlinien Kap. 5 222 –– Schutzniveau Kap. 4 111 –– Territorialprinzip Kap. 4 209 –– Weiterübermittlung Kap. 5 184 –– Whistleblowing Kap. 9 39 Arzt Kap. 4 72 Assessment-Center Kap. 8 113 Asset Kap. 13 47 Asset Deal Kap. 8 264, Kap. 10 77 Asset Management-System Kap. 12 139 Audit Kap. 2 51 f., Kap. 3 71, Kap. 5 185, 191 ff. –– ~-Log Kap. 12 86 f., 90, 93 –– Auftragsdatenverarbeitung Kap. 12 18, 98 –– Datenschutz-~ Kap. 13 9 –– Datenschutzauditzeichen Kap. 13 77 –– Datensicherheit Kap. 12 25 –– Funktionstrennung Kap. 13 82 –– Interessenskonflikt Kap. 13 86 –– ISAE 3000 Kap. 13 68 –– IT-Grundschutz Kap. 13 11 –– Kriterienkatalog Kap. 13 84 –– Projekt-~ Kap. 12 151 –– Telekommunikations-Outsourcing Kap. 6 73 –– Trusted Shop Kap. 13 96
715
TÜV Rheinland Kap. 13 87 ff. Überwachungs~ Kap. 13 90 Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Kap. 13 74 ff. –– Verleihung Kap. 13 83 –– Vor-~ Kap. 13 80 f. –– Vor-Ort-~ Kap. 12 100 f., Kap. 13 3 ff. Aufbau- und Ablauforganisation Kap. 12 34 Aufbewahrungsfrist Kap. 1 33 –– Audit-Log Kap. 12 93 –– Bestandsdaten Kap. 11 12 ff. –– Datenherkunftsinformationen Kap. 10 210 –– Eignungsuntersuchung Kap. 8 110 –– Interesse, berechtigtes Kap. 11 134 –– Kundendaten Kap. 10 205 –– Plausibilitätsprüfung Kap. 11 15 Aufbewahrungsregeln, handelsrechtliche Kap. 4 93 Aufgabenübertragung Kap. 4 22 Aufklärungsinteresse Kap. 9 27 Aufrechnung Kap. 11 107 Aufsichtsbehörde –– Abberufung des Datenschutzbeauftragten Kap. 3 138 –– Allgemeine Anfrage Kap. 3 94 –– Anfrage zu Datenverarbeitung Kap. 3 95 –– Anordnung Kap. 3 113 –– Audit Kap. 5 198 –– Auskunfts- und Einsichtsrecht Kap. 3 110 –– BaFin Kap. 4 76 –– Beratung des Datenschutzbeauftragten Kap. 3 31 –– Beschäftigtendatenschutz Kap. 8 139 –– Betriebsprüfung Kap. 3 107 ff. –– Binding Corporate Rules Kap. 5 108 ff., 117 ff., 157 –– Bußgeldstelle Kap. 1 61 –– Datenexport Kap. 5 126 ff. –– Datenpanne Kap. 1 20, Kap. 11 165 –– Datenschutzniveau, angemessenes Kap. 5 83 –– Datenschutzverstoß Kap. 3 96 ff. –– Datensicherheit Kap. 5 285 –– Datentransfer, konzerninterner Kap. 5 53 –– Datenübermittlung ins Ausland Kap. 9 36 –– Double-Opt-in-Verfahren Kap. 10 188 –– Drittbegünstigte Kap. 5 158 f. –– E-Discovery Kap. 5 275 –– –– ––
716
Stichwortverzeichnis
Einmeldungsankündigung Kap. 11 117 Einzelanfrage Kap. 3 92 f. Ermittlung, unternehmensinterne Kap. 9 18 –– EU-Standardvertrag Kap. 4 136, 150, Kap. 5 93 –– Genehmigungsverfahren Kap. 3 99 ff. –– Genehmigungsvorbehalt Kap. 5 266 –– Geschäftsverteilungsplan Kap. 3 105 –– Impressum Kap. 7 72 –– IP-Adresse Kap. 10 112 –– Listenprivileg Kap. 10 40 –– Löschroutine Kap. 11 14 –– Maßnahme, technisch-organisatorische Kap. 12 149 –– Meldepflicht Kap. 3 52 –– Mitarbeiterüberwachung Kap. 8 189 –– Prüfungsintervall Kap. 4 45 –– Staatliches Kontrollorgan Kap. 2 41 –– Tracking-Kontrolle Kap. 7 34 –– Verbraucherschutz Kap. 14 8 –– Vertrag, datenschutzrechtlicher Kap. 4 138 ff. –– Vertragsmuster Kap. 5 172 –– Videoüberwachung Kap. 9 129 –– Vor-Ort-Kontrolle Kap. 13 3 –– Vor-Ort-Prüfung Kap. 3 111 –– Zertifizierung Kap. 13 2 Aufsichtspflicht Kap. 1 70 Auftragsdatenverarbeitung –– ~, konzerninterne Kap. 5 178 –– ~, unwirksame Kap. 4 67 ff. –– ~, wirksame Kap. 4 66 –– Abgrenzung Kap. 3 71 –– Audit Kap. 12 98 –– Auftragnehmerauswahl Kap. 3 72 ff. –– Auftragskontrolle Kap. 12 94 f. –– Ausland Kap. 4 97 ff. –– Auswahl, sorgfältige Kap. 4 37 –– Auswahl Kap. 4 41 ff. –– Begriff Kap. 4 23 –– Bereichsausnahmen Kap. 4 71 ff. –– Berufsgeheimnis Kap. 6 73 –– Bewerbungsverfahren Kap. 8 131 –– Binding Corporate Rules Kap. 5 114, 204 ff. –– Call-Center Kap. 5 16 –– Cloud Kap. 4 212 ff., 223 –– Datenschutzaufsicht Kap. 3 110 –– Datenschutzbeauftragter Kap. 4 157 –– –– ––
–– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– ––
Datenschutz-Grundverordnung Kap. 4 161 ff. Datenschutzniveau, angemessenes Kap. 4 107 f. Datenschutzrecht, anwendbares Kap. 6 9 Dokumentation Kap. 3 68 Dokumentationspflichten Kap. 4 164 Drittland Kap. 4 159 f., Kap. 5 22 Drittland, unsicheres Kap. 4 126 ff. Duldungs- und Mitwirkungspflicht Kap. 4 59 E-Discovery Kap. 5 281 Eigeninteresse Kap. 4 27 Erlaubnisvorbehalt Kap. 4 125 Ermittlung, unternehmensinterne Kap. 9 46 EU-Staat Kap. 4 105 f. EU-Standardvertrag Kap. 4 144, 151 f., Kap. 5 92 Fälle Kap. 4 24 Finanzsektor Kap. 4 75 ff. Funktionsausgliederung Kap. 4 20 ff. Funktionsübertragung Kap. 5 10 Gestaltungsspielraum Kap. 5 9 Infrastructure as a Service Kap. 4 216 Inkasso Kap. 11 76 ff. Kontrolle Kap. 1 19, Kap. 3 76 ff. Kontrollpflicht Kap. 4 44 f. Konzern Kap. 4 155 f., Kap. 5 3, 99 Konzernprivileg Kap. 4 38 Krankenhaus Kap. 4 86 Kreditlimitsteuerung Kap. 11 65 Kredit-Scoring Kap. 11 55 Landesrecht Kap. 4 70 Lettershop Kap. 10 69 Lohn-/Gehaltsabrechnung Kap. 5 14 Maßnahmen, technisch-organisatorische Kap. 12 149 Mehrfache Zweckbestimmung Kap. 4 32 f. Nutzungsprofil, Erstellung Kap. 7 33 Öffentliche Stelle Kap. 4 81 f. Outsourcing Kap. 4 18 f. Personalverwaltung Kap. 5 13 Personalverwaltung, konzerninterne Kap. 5 54 Pflichten Kap. 4 39 f. Prüfungsgemeinschaft Kap. 12 101 Prüfungszyklus Kap. 3 79 Rechenzentrum, konzerninternes Kap. 5 12
Stichwortverzeichnis
Regelung, vertragliche Kap. 12 96 Reisemanagement Kap. 5 17 Schriftformerfordernis Kap. 4 35 f. Service Provider Kap. 4 7 Sozialdaten Kap. 4 84 f. Telefonwerbung Kap. 10 195 Telekommunikations-Outsourcing Kap. 6 70 –– Telekommunikationsrecht Kap. 4 89 ff. –– Übermittlung Kap. 5 6 ff. –– Unterauftrag Kap. 4 152 –– Unterbeauftragung Kap. 4 62 f. –– USA Kap. 4 115 ff. –– Verantwortliche Stelle Kap. 2 35 –– Verantwortlichkeit Kap. 4 52 f. –– Vereinbarung Kap. 4 26, 34 –– Versicherung Kap. 4 87 f. –– Vertrag Kap. 4 58 –– Vorabkontrolle Kap. 3 51, 74 f. –– Vor-Ort-Audit Kap. 12 100 –– Vor-Ort-Kontrolle Kap. 4 47 ff. –– Wartung Kap. 4 64 f. –– Web-Tracking Kap. 7 32 –– Weisung Kap. 4 54 ff. –– Werbung Kap. 10 20 –– Werkschutz, externer Kap. 8 165 –– Wirtschaftsprüfer, externer Kap. 8 243 –– Zertifizierung Kap. 2 52, Kap. 13 2 Auftragskontrolle –– Audit Kap. 12 98 –– Cloud Kap. 12 97 –– Definition Kap. 12 94 –– Erst-Kontrolle Kap. 12 101 –– Protokollierung Kap. 12 98 –– Regelung, vertragliche Kap. 12 96 –– Zusammenfassung Kap. 12 157 Auftragsvergabe Kap. 4 41 ff. Ausblick –– Datenschutz Kap. 14 1 ff. –– Datenschutz-Grundverordnung Kap. 14 16 ff. –– Zertifizierung Kap. 13 99 f. Ausfallrisiko Kap. 11 81 Aushang, innerbetrieblicher Kap. 8 185 f. Auskunft Kap. 11 146 –– Betroffener Kap. 1 22 ff. –– Textform Kap. 1 25 Auskunftei –– Aufbewahrungsfrist Kap. 11 14 –– –– –– –– –– –– ––
717
–– Begriff Kap. 11 88 f. –– Benachrichtigungspflicht Kap. 11 143 –– Bonitätsinformationen Kap. 11 16 f. –– Einmeldung Kap. 11 84 ff. –– Einwilligung Kap. 11 18 ff. –– Forderung, amtlich festgestellte Kap. 11 99 –– Forderungsfälligkeit Kap. 11 94 ff. –– Kreditinstitut Kap. 4 79 –– Kreditlimitsteuerung Kap. 11 65 –– Kreditwirtschaft Kap. 11 26 –– Nachmeldepflicht Kap. 11 120 ff. –– Scoringdaten Kap. 11 46 ff. –– Statistik Kap. 11 30 Auskunftsanspruch –– Bearbeitungsfrist Kap. 3 90 –– Beschäftigter Kap. 8 187 –– Binding Corporate Rules Kap. 5 161, 171, 180 –– Cloud Kap. 4 220 –– Daten, pseudonymisierte Kap. 10 131 –– Datenschutzerklärung Kap. 7 43 –– Dokumentationspflicht Kap. 13 4 –– E-Discovery Kap. 5 277 ff. –– Erbe Kap. 1 28 f. –– Formerfordernis Kap. 11 153 ff. –– Frist Kap. 11 156 –– Identitätsprüfung Kap. 11 148 ff. –– Inhalt Kap. 11 157 f. –– Rechtsmissbrauch Kap. 11 151 f. –– Selbstauskunft Kap. 11 146 f. –– Verfahrensverzeichnis Kap. 3 56 Auskunftspflicht Kap. 9 62 ff. –– Auftragsdatenverarbeitung Kap. 4 52 –– Ausnahmen Kap. 5 180 –– Datenschutzbeauftragter Kap. 3 88 ff. –– E-Discovery Kap. 5 276 –– EU-Standardvertrag Kap. 4 149 Auslagerung siehe Outsourcing Kap. 4 18 Ausland –– Binding Corporate Rules Kap. 5 107, 119 f. –– blocking statutes Kap. 5 218 f. –– Cloud-Anbieter Kap. 4 177, 206 ff. –– Datenschutzbeauftragter Kap. 4 157 –– Datenschutz-Grundverordnung Kap. 14 25 –– Datenschutzzertifizierung Kap. 13 99 –– Datenübermittlung, konzerninterne Kap. 5 78 ff. –– E-Discovery Kap. 5 230
718
Stichwortverzeichnis
Ermittlung, unternehmensinterne Kap. 9 28 ff. –– IT-Grundschutzzertifikat Kap. 13 65 –– Mitarbeiterdaten Kap. 8 246 –– Outsourcing Kap. 4 97 ff. –– Server Kap. 12 92 –– Telekommunikations-Outsourcing Kap. 6 69 Aussageverweigerung Kap. 9 64 Aussageverweigerungsrecht Kap. 3 112, Kap. 9 84 Außenwirtschaftsrecht Kap. 9 3 Auswertung, automatisierte Kap. 8 11 Auszubildenden-Phänomen Kap. 12 46, 54 Authentifizierung Kap. 3 67, Kap. 12 41, 53, 56, 89 Authentifizierungsverfahren Kap. 11 155 Authentizität Kap. 12 12 Autorisation Kap. 12 49 Autorisierung Kap. 12 53 Authorized Ecomic Operator Kap. 9 148 Automatisiertes Verfahren –– Prüfung und Wartung Kap. 4 64 f. Availability Management Kap. 12 117 Awareness-Training Kap. 12 47 ––
B Backdoor Kap. 12 74 Background-Employment-Check Kap. 8 132 Backup Kap. 1 33, Kap. 9 94 –– ~-Archiv Kap. 12 121 –– ~-System Kap. 12 107 –– Outsourcing Kap. 4 24 Bagatellbetrag Kap. 11 120 Bank –– ~geheimnis Kap. 4 75, Kap. 9 141 ff., Kap. 11 31 ff. –– Auftragsdatenverarbeitung Kap. 4 75 ff. –– Bonitätsprüfung Kap. 11 8, 26 –– Datenpanne Kap. 11 161 –– Einmeldung Kap. 11 86 –– Factoring Kap. 11 81 f. –– Innenrevision Kap. 9 143 –– Kreditlinienrücknahme Kap. 11 125 –– Scoring Kap. 11 51 ff. –– Warndatei Kap. 11 124 –– Widerspruchsrecht Kap. 10 99 –– Zertifizierung Kap. 13 1 Bankdaten Kap. 1 20
Basissicherheitscheck Kap. 13 62 BCC Kap. 10 206 Bcrypt-Verfahren Kap. 12 56 BDSG-Novelle II Kap. 1 3 Beauskunftung siehe Auskunft Kap. 1 27 Beherrschungsvertrag Kap. 5 143 Begutachtung, medizinische Kap. 8 21 Behavioral Marketing Kap. 10 125 Beipackwerbung Kap. 10 7, 66 Belästigung, unzumutbare Kap. 2 30, Kap. 10 162 ff. Belehrungspflicht Kap. 9 74 ff. Benachrichtigung –– E-Mail-Zugriff Kap. 6 48 Benachrichtigungspflicht Kap. 1 30, Kap. 11 142 ff., 165 Benutzerkonto Kap. 12 55 Benutzerprofil Kap. 9 60 Berater, externer Kap. 8 243 Beratung –– Datenschutzbeauftragter Kap. 3 36 ff. Beratungsfunktion Kap. 4 35 Bereicherungsabsicht Kap. 2 49 Bereichsspezifisches Datenschutzrecht Kap. 2 13, 25 ff. Berichtigungsanspruch –– Beschäftigter Kap. 8 188 –– Binding Corporate Rules Kap. 5 161, 171, 180 –– E-Discovery Kap. 5 277 ff. Berichtigungspflicht Kap. 1 31 f. Berlin Group Kap. 4 228 Berufsgeheimnis Kap. 1 20, Kap. 3 115, Kap. 4 19, Kap. 11 161 –– Telekommunikations-Outsourcing Kap. 6 73 Berufshelfer Kap. 6 73 Berufshaftpflichtversicherung Kap. 3 132 Beschäftigtendatenschutz Kap. 3 40 –– Anbahnungsverhältnis Kap. 8 20 ff. –– Angebot, soziales Kap. 8 239 –– Arbeitgeberauskunft Kap. 8 96 f. –– Arbeitszeiterfassung Kap. 8 159 ff. –– Arbeitszeugnis Kap. 8 257 ff. –– Aufenthalts- und Bewegungskontrolle Kap. 8 201 ff. –– Auftragsdatenverarbeitung Kap. 4 108 –– Aushang, innerbetrieblicher Kap. 8 185 f.
Stichwortverzeichnis
–– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– ––
Auskunftsanspruch Kap. 8 187 Beendigung des Beschäftigungsverhältnisses Kap. 8 250 ff. Beschäftigtenkontrolle Kap. 8 190 f. Beschäftigungsverhältnis Kap. 8 133 ff. Besondere personenbezogene Daten Kap. 8 146 Betriebsrat Kap. 3 63 f., Kap. 8 271 ff. Betriebsübergang Kap. 8 264 Betriebsvereinbarung Kap. 5 28, 34 ff., 58, Kap. 8 17 f. Bonussystem Kap. 5 32 Datenschutz-Grundverordnung Kap. 14 18 Datenschutzrecht Kap. 8 3 f. Datenübermittlung, konzerninterne Kap. 5 30 Direkterhebung Kap. 8 11 E-Discovery Kap. 5 237, 254 ff., 272, Kap. 8 247 ff. Eigenwerbung Kap. 8 242 Einwilligung Kap. 8 10, 29 ff., Kap. 14 20 Einwilligung, freiwillige Kap. 6 79 E-Mail-Überwachung Kap. 6 36 ff. E-Mail-Zugriff Kap. 6 40 ff. Entgeltmerkmale Kap. 8 145 Entwicklung Kap. 1 4 Erforderlichkeitsprognose Kap. 8 142 Erhebung, statistische Kap. 8 228 ff. Erlaubnis, gesetzliche Kap. 5 48 Erlaubnistatbestand Kap. 9 12 ff. Ermittlung, unternehmensinterne Kap. 9 1 ff. EU-Standardvertrag Kap. 4 149 Fernmeldegeheimnis Kap. 6 32, Kap. 14 6 Fragerecht Kap. 8 25 ff. Führerscheinkopie Kap. 8 173 Gesetzgebungsausblick Kap. 8 19 Gesundheitsdaten Kap. 8 174 f. Gewerkschaftszugehörigkeit Kap. 8 78 Interessenabwägung Kap. 8 7 Internetrecherche Kap. 8 157 Kollektives Arbeitsrecht Kap. 8 13 ff. Kommunikationsüberwachung Kap. 8 221 f. Kontaktdaten, betriebliche Kap. 8 231 ff. Kontaktdaten Kap. 8 155 Konzern Kap. 5 2 Leiharbeitsbranche Kap. 8 86 Löschung des E-Mail-Kontos Kap. 6 60
719
Mitarbeiter, ausgeschiedener Kap. 8 268 f. Mitarbeiterscreening Kap. 8 223 Mitteilung, innerbetriebliche Kap. 8 227 Mobilfunkortung Kap. 6 65 Personalausweiskopie Kap. 8 169 Personaldaten, grundlegende Kap. 8 144 Personenkontrolle Kap. 8 198 f. Persönlichkeitstest Kap. 8 114 Polizeiliches Führungszeugnis Kap. 8 117 ff. –– Rauschmittelkonsum Kap. 8 182 –– Rechte, verarbeitungsbezogene Kap. 8 188 –– Rechtsquellen Kap. 8 1 –– Rechtsverletzung Kap. 8 139 –– Registereintrag Kap. 8 152 –– Social Media Kap. 6 74 –– Standortüberwachung Kap. 9 134 f. –– Straftataufklärung Kap. 8 194 f. –– Telekommunikationsüberwachung Kap. 6 11 ff. –– Testkäufer Kap. 8 200 –– Toilettengänge Kap. 8 162 –– Unternehmensverkauf Kap. 8 244 ff. –– Urlaubsabsicht Kap. 8 158 –– Verhaltenskontrolle Kap. 6 43 ff. –– Verhältnisse, private Kap. 8 147 f. –– Vermögensverhältnisse Kap. 8 50 –– Versicherungsangebot Kap. 8 240 –– Videoüberwachung, heimliche Kap. 8 219 –– Videoüberwachung Kap. 8 205 ff., Kap. 9 127 –– Vita, berufliche Kap. 8 234 –– Werbung Kap. 8 241 –– Werkschutz Kap. 8 166 –– Wirtschaftsprüfer, externer Kap. 8 243 –– Zuverlässigkeitsanforderungen Kap. 8 153 –– Zweckbindung Kap. 5 51 f. –– Zwecke, beschäftigungsfremde Kap. 8 8 Beschäftigter Kap. 9 12 Beschäftigungsbezug Kap. 9 24 Beschäftigungsverhältnis, konzernbezogenes Kap. 5 65 ff., 90 Beschlagnahmefähigkeit Kap. 9 72 Beschlagnahmeverbot Kap. 3 130 Beschwerde Kap. 5 194 ff. Besitzdiener Kap. 9 54 Best Practices Kap. 4 228, 243, Kap. 13 16 Bestandsdaten Kap. 6 34 –– Aufbewahrungsfrist Kap. 11 12 ff. –– –– –– –– –– –– –– –– ––
720
Stichwortverzeichnis
–– Auswertung Kap. 9 103 –– Bonitätsprüfung Kap. 11 11 –– Cloud Kap. 4 263 –– Fremdwerbung Kap. 10 68 –– Nutzerprofil Kap. 10 128 –– Plausibilitätsprüfung Kap. 11 15 –– Telekommunikation Kap. 10 140 –– Telemedium Kap. 10 109 –– Verwendung, werbliche Kap. 10 143 ff. –– Webmailinterface Kap. 6 39 Bestandskunde Kap. 10 42, 60 Bestandsschutz Kap. 4 124 Bestätigungsmail Kap. 10 187 ff. Bestechung Kap. 9 3 Bestelldaten Kap. 7 27 Bestellformular Kap. 10 25 Bestimmbarkeit Kap. 10 111 Bestimmtheitsgebot Kap. 1 69 Betriebliche Übung Kap. 6 18, 43 Betriebsbesichtigung Kap. 4 47 Betriebsgeheimnis Kap. 4 5, Kap. 6 41, Kap. 11 26 Betriebsprüfung Kap. 6 59 Betriebsrat Kap. 1 16 –– ~besuch Kap. 8 162 –– Arbeitnehmerhaftung Kap. 3 132 –– Datenschutzgremium Kap. 3 122 –– Datenverarbeitung Kap. 8 271 ff. –– E-Discovery Kap. 5 272 ff. –– Einwilligungserklärung Kap. 9 26 –– E-Mail-Archivierung Kap. 6 59 –– E-Mail-Filterung Kap. 6 52 –– Ermittlung, unternehmensinterne Kap. 9 19 ff., 46 –– Informationsanspruch Kap. 8 274, 275, 276 –– Maßnahme, technisch-organisatorische Kap. 12 149 –– Mitarbeiterbefragung Kap. 9 68 –– Mitarbeiterkündigung Kap. 8 254 –– Mitarbeiterschulung Kap. 3 80 –– Mitbestimmungsrechte, datenschutzrechtliche Kap. 8 13 –– Personaldatei, eigene Kap. 8 279 ff. –– Personalfragebogen Kap. 8 38 –– Privatdetektiveinsatz Kap. 9 139 –– Schutzauftrag Kap. 8 18 –– Verantwortliche Stelle Kap. 8 272 –– Videoüberwachung Kap. 9 128
Vorabkontrolle Kap. 3 51 Zusammenarbeit mit Datenschutzbeauftragtem Kap. 3 18, 40, 61 ff. Betriebssystem Kap. 12 48, 51 Betriebsübergang Kap. 5 76 Betriebsvereinbarung Kap. 2 17, 26, Kap. 3 18, 64, Kap. 5 28, 34 ff. –– Beschäftigtendatenschutz Kap. 8 17 f. –– Beschäftigtenkontrolle Kap. 8 189 –– Binding Corporate Rules Kap. 5 45 –– Datensicherung Kap. 9 94 –– Datenübermittlung, konzerninterne Kap. 5 42 ff. –– Datenverarbeitung Kap. 5 35 ff. –– E-Discovery Kap. 5 234, 274 –– E-Mail-Archivierung Kap. 6 56 ff. –– E-Mail-Filter Kap. 6 52 –– E-Mail-Privatnutzung Kap. 6 77 –– E-Mail-Überwachung Kap. 9 123 –– E-Mail-Zugriff Kap. 6 48, Kap. 9 10 –– Fernmeldegeheimnis Kap. 6 26, 32, 82 –– Gestaltungspielraum Kap. 8 18 –– Mobilfunkortung Kap. 6 67 –– Notfallbenutzerkonzept Kap. 12 112 –– Recht auf Rechtsbeistand Kap. 9 73 –– Regelungsgrenzen Kap. 5 38 ff. –– Telekommunikationsüberwachung Kap. 8 222 –– Videoüberwachung Kap. 8 213 Betroffener –– Anspruch gegen Datenschutzbeauftragten Kap. 3 133 –– Auskunft Kap. 1 22 ff. –– Benachrichtigung Kap. 11 142 ff. –– Beschwerde Kap. 5 194 ff. –– Besondere Arten von Daten Kap. 5 253 –– Binding Corporate Rules Kap. 5 133, 180 –– data breach notification Kap. 11 161 –– Drittbegünstigung Kap. 5 174 –– E-Discovery Kap. 5 276 –– Einwilligung Kap. 4 18, Kap. 10 76 ff. –– Freiwilligkeit Kap. 5 237 –– Genehmigung, nachträgliche Kap. 5 236 –– Interesse, schutzwürdiges Kap. 5 243 f., 252 f., Kap. 10 70 ff. –– Kontaktstelle Kap. 10 21 –– Rechte Kap. 2 20 –– Schutzanspruch Kap. 2 4 ff. –– ––
Stichwortverzeichnis
–– Selbstauskunft Kap. 11 146 ff. –– Widerspruchsrecht Kap. 10 15 Betrug Kap. 9 3 Bevollmächtigter Kap. 10 96 Bewegungsprotokoll Kap. 9 134 ff. Beweisbeschaffung –– Beweismittelsicherung Kap. 9 93 –– blocking statutes Kap. 5 218 f. –– Common Law Kap. 5 215 f. –– E-Discovery Kap. 5 220 –– Haager Beweisübereinkommen Kap. 5 258 ff. –– Kontinentaleuropa Kap. 5 217 –– Mitbestimmungsverstoß Kap. 8 16 –– Mobilfunkortung Kap. 6 67 –– Rechtsordnungen Kap. 5 214 –– Verwertungsverbot Kap. 8 189 Beweiserhebung, vorprozessuale siehe Pre-Trial Kap. 5 210 ff. Beweislast –– Beweisvereitelung Kap. 5 221 –– Einmeldungsankündigung Kap. 11 117 –– Sorgfaltswidrigkeit Kap. 2 44 –– Unterrichtung Kap. 10 22 –– Weisung an Auftragsdatenverarbeiter Kap. 4 55 –– Zertifizierung Kap. 13 8 Beweismittel, selbstständiges Kap. 9 78 Beweisvereitelung Kap. 5 221 Beweisverwertungsverbot –– ~, betriebsverfassungsrechtliches Kap. 8 16 –– Abhörmaßnahme Kap. 9 117 –– Betriebsratsbeteiligung, fehlende Kap. 9 22 –– Doppelmandat Kap. 9 72 –– Fernmeldegeheimnis Kap. 9 6 –– Interviewprotokoll Kap. 9 82 f. –– Whistleblowing Kap. 9 39 Bewerbung siehe Anbahnungsverhältnis Bewertungstool Kap. 11 68 Big Data Kap. 1 34, Kap. 2 2 Bildmitteilung Kap. 10 145 Binding Corporate Rules Kap. 3 104, Kap. 5 45 –– ~ for Processors Kap. 4 130 –– Aktualisierung Kap. 5 199 ff. –– Anerkennung Kap. 5 117 ff. –– Anerkennungsverfahren Kap. 5 124 f., 157
–– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– ––
721
Anforderungen, inhaltliche Kap. 5 132 ff. Anwendungsbereich Kap. 5 165 ff. Audit Kap. 5 191 ff. Aufsichtsbehörde Kap. 5 198 Auftragsdatenverarbeitung Kap. 4 127 ff., Kap. 5 204 ff. Auftragsdatenverarbeitung, konzerninterne Kap. 5 178 Begriff Kap. 5 102 ff. Beschreibungen Kap. 5 169 f. Beschwerdeverfahren Kap. 5 194 ff Betroffenenrechte Kap. 5 180 Cloud Kap. 4 231, 244 f. Datenqualität Kap. 5 176 Datenschutzgarantie Kap. 5 183 Datenschutzgarantie, ausreichende Kap. 5 129 ff. Datenschutzgrundsätze Kap. 5 171 f. Datensicherheit Kap. 5 177 Datentransfer Kap. 5 ff. Drittland Kap. 4 105 Drittstaatenrecht, entgegenstehendes Kap. 5 202 E-Discovery Kap. 5 266 ff. Einführung in Konzern Kap. 5 111 ff. Einordnung, rechtliche Kap. 5 107 ff. Erklärung, einseitige Kap. 5 146 f. EU-Standardvertrag Kap. 4 142 Genehmigungsbedürftigkeit Kap. 5 109 f. Genehmigung Kap. 5 126 ff. Haftung Kap. 5 163 f Konzern Kap. 5 97 Konzernprivileg Kap. 5 115 f. Konzernrichtlinien Kap. 5 143 f., 155 Rechtsgrundlage für Datenverarbeitung Kap. 5 179 Rechtsvorschriften, nationale Kap. 5 203 Schulungsprogramm Kap. 5 188 ff. Transparenz Kap. 5 173 f. Typen Kap. 5 114 Verbindlichkeit gegenüber Mitarbeitern Kap. 5 149 ff. Verbindlichkeit, externe Kap. 5 158 ff. Verbindlichkeit, interne Kap. 5 137 f. Vertrag Kap. 5 139 ff. Weiterübermittlung Kap. 5 184 Wirksamkeitsnachweis Kap. 5 185 ff. Zweckbeschränkung Kap. 5 175
722
Stichwortverzeichnis
Blankozustimmung Kap. 5 233 blocking statutes Kap. 4 121, Kap. 5 218 f. Blog Kap. 6 21 Bonitätsprüfung Kap. 7 19, Kap. 11 5 ff. –– Altvertrag Kap. 11 130 –– Behördendaten Kap. 11 37 f. –– Benachrichtigungspflicht Kap. 11 143 f. –– Datenerhebung Kap. 11 10 ff. –– Datenquelle, externe Kap. 11 16 f. –– Direkterhebung Kap. 11 8 f. –– Einwilligung Kap. 11 18 ff. –– Entscheidungssystem, automatisiertes Kap. 11 57 ff. –– Informationsbewertung Kap. 11 41 –– Internetrecherche Kap. 11 29 –– Limitsteuerung Kap. 11 62 ff. –– Monitoring Kap. 11 68 –– Prangerwirkung Kap. 11 24 –– Scoring Kap. 11 42 ff. –– Sozialdaten Kap. 11 39 f. –– Statistik Kap. 11 30 –– Verarbeitungsgrundlage, gesetzliche Kap. 11 22 ff. Books & Records Provision Kap. 9 3 Bote Kap. 10 97 Branchenspezifische Fachkunde Kap. 3 18 Branchenstandard Kap. 12 137 Branchenverband Kap. 12 16 Branchenverzeichnis Kap. 10 47 Bribery Act Kap. 9 3 Broad Network Access Kap. 4 179 Browser –– Cookies Kap. 7 28 Brute-Force-Angriff Kap. 12 56 BSI-Standards Kap. 13 17 Buchhaltung Kap. 4 92, Kap. 6 55, 59 Buchhaltungsdaten Kap. 9 46 Buffer Overflow Kap. 12 60 Bundesamt für Migration und Flüchtlinge Kap. 4 82 Bundesamt für Sicherheit in der Informationstechnik Kap. 12 61, 75, Kap. 13 11, 55 Bundesbeauftragter für Datenschutz und Informationsfreiheit Kap. 4 69, Kap. 5 109 –– Cloud-Grundsätze Kap. 4 222 –– Datenschutzbericht Kap. 3 114 –– E-Mail-Zugriff, unternehmensinterner Kap. 6 32
–– Publikationen Kap. 12 137 –– Verkehrsdaten-Speicherfrist Kap. 6 63 Bundesdatenschutzauditgesetz Kap. 13 9 Bundesverkehrsregister Kap. 9 51 Business Process Outsourcing Kap. 4 13 Business-Logik Kap. 12 46 Bußgeld Kap. 1 6, 19, 60 f. –– Aufsichtspflichtverletzung Kap. 9 2 –– Auftragsdatenverarbeitung, unrichtig erteilte Kap. 12 95 –– Auftragsdatenverarbeitung, unwirksame Kap. 4 67 ff. –– Auftragskontrolle Kap. 12 101 –– Auskunft an Unberechtigten Kap. 11 148 –– Beschäftigtendatenschutz Kap. 8 139 –– Betroffenenrechte Kap. 5 277 –– Datenpanne Kap. 11 164 –– Datenschutzerklärung, fehlerhafte Kap. 7 46 –– Datenschutzerklärung Kap. 7 5 –– E-Discovery-Dienstleister Kap. 5 284 –– E-Mail-Verteiler, offener Kap. 10 206 –– Frage, unzulässige Kap. 8 35 –– Melderegisterdatennutzung Kap. 10 224 –– Nichtvorlage bei Pre-Trial Discovery Kap. 5 221 –– Scoring, unzulässiges Kap. 11 56 C Call-Center Kap. 2 35, Kap. 4 2, 12, Kap. 5 16 Capacity Management Kap. 12 117 Card Industry’s Data Security Standard Kap. 12 75 Cashflow Kap. 11 1 CD-ROM Kap. 7 14 CE-Kennzeichnung Kap. 13 27 Chat Kap. 6 21 Change-Management Kap. 12 117 Checkbox Kap. 10 90, 122 Check-Phase Kap. 12 151 Chipkarte Kap. 12 50 CISO Kap. 1 21 Citrix Kap. 9 88 Client-Netzwerk Kap. 12 83 Closed Shop-Zertifikat Kap. 13 32 Cloud –– ~ Security Alliance Kap. 4 181 –– ~-Storage Kap. 12 72 –– Anwendbares Recht Kap. 4 194 f., 199 ff.
Stichwortverzeichnis
Auftragsdatenverarbeitung Kap. 4 158, 212 ff. –– Auftragskontrolle Kap. 12 97 –– Begriff Kap. 4 178 ff. –– Binding Corporate Rules Kap. 4 244 f. –– Datenschutz-Grundverordnung Kap. 4 164 –– Datenschutzrecht Kap. 4 196 ff. –– Datenübermittlung Kap. 4 249 ff. –– Drittland Kap. 4 226, 227 –– Drittland, sicheres Kap. 4 230 ff. –– Drittland, unsicheres Kap. 4 246 ff. –– Europäische Union Kap. 4 203 f., 229 –– EU-Standardvertrag Kap. 4 132, 240 ff. –– Finanzsektor Kap. 4 259 –– Öffentliche Hand Kap. 4 254 –– Outsourcing Kap. 3 70, Kap. 4 13, 175 ff., Kap. 6 68 –– Produktzertifikat Kap. 13 96 –– Risiken Kap. 4 187 ff. –– Servicemodelle Kap. 4 184 ff. –– Sozialgeheimnis Kap. 4 255 –– Telekommunikation Kap. 4 261 ff. –– Unterauftrag Kap. 4 152 –– Unterbeauftragung Kap. 4 221 –– Vergaberecht Kap. 4 256 f. –– Versicherungsbranche Kap. 4 260 –– Vertrag Kap. 4 190 ff. –– Zertifizierung Kap. 4 234 –– Zulässigkeit Kap. 4 217 ff. Cloud-Computing Kap. 2 3 Cloud-Storage Kap. 9 88 Cluster Kap. 12 111 Code Analyse, statistische Kap. 12 60 Code of Conduct Kap. 2 38, Kap. 5 150, Kap. 12 20 Code of Practice for Information Security Management Kap. 13 43 Code of Practice for PII Protection in Public Cloud as Pll Processors Kap. 13 43 Code, ausführbarer Kap. 6 54 Common Criteria Kap. 13 96 Community Cloud Kap. 4 186 Compliance Officer –– Ermittlung, unternehmensinterne Kap. 9 41 –– Maßnahmen, technisch-organisatorische Kap. 12 133 –– Strafrecht Kap. 3 135 Compliance ––
723
–– ~-Beautftragter Kap. 2 40 –– ~-Committee Kap. 9 42 –– ~-Datenbank Kap. 9 58 –– ~-Management Kap. 2 38 –– ~-Management-System Kap. 4 8 –– ~-Tool Kap. 9 123 –– Allgemeine Vorgaben Kap. 1 38 ff. –– Begriff Kap. 2 37 –– Beschäftigtendatenschutz Kap. 14 4 –– Beschäftigtenkontrolle Kap. 8 189 –– Binding Corporate Rules Kap. 5 186 f. –– Datenschutzbeauftragter Kap. 1 11 ff. –– Datenschutzorganisation Kap. 1 8 ff. –– Datenschutzprinzip Kap. 13 38 –– Datenschutzrichtlinie Kap. 1 16 ff. –– Datenschutzverstoß Kap. 3 98 –– Grundlagen Kap. 1 1 ff. –– ISAE 3000 Kap. 13 72 –– Regelwerke Kap. 3 43 f. –– Reputation Kap. 1 6 –– Telekommunikation Kap. 6 1 ff. –– Zertifizierung Kap. 13 8, 98 Controller Kap. 4 146, Kap. 5 25 f., Kap. 9 47 Controller-BCR Kap. 5 207 ff. Controlling Kap. 3 18 Controls Kap. 13 47 Cookie-ID Kap. 6 74 Cookies Kap. 1 15, Kap. 6 75, Kap. 10 136, 137 f., 157 –– Cookie-Richtlinie Kap. 7 29 –– Datenschutzerklärung Kap. 7 26 f. –– Retargeting Kap. 7 36 ff. –– Tracking Kap. 7 31 Core-Switch Kap. 12 109 Corporate Governance Kap. 13 72 Corruption Practices Act Kap. 9 3 Credit-Management Kap. 11 1 ff. –– Benachrichtigungspflicht Kap. 11 142 ff. –– Bonitätsprüfung Kap. 11 5 ff. –– Datenpanne Kap. 11 162 –– Datensicherheit Kap. 11 4 –– Einmeldung Kap. 11 83 ff. –– Entscheidungssystem, automatisiertes Kap. 11 57 ff. –– Factoring Kap. 11 81 f. –– Forderungsrealisierung Kap. 11 71 f. –– Inkasso Kap. 11 74 f. –– Langfristbeobachtung Kap. 11 140 –– Liefersperre Kap. 11 125 ff.
724
Stichwortverzeichnis
Limitsteuerung Kap. 11 62 ff. Mahnwesen Kap. 11 73 Monitoring Kap. 11 67 ff. Scoring Kap. 11 42 ff. Selbstauskunft Kap. 11 146 ff. Transparenzpflicht Kap. 11 141 Vertragsbeendigung, gestörte Kap. 11 136 f. –– Vertragsbeendigung, ordnungsgemäße Kap. 11 129 ff. –– Zahlungsausfall Kap. 11 138 ff. Creditreform Kap. 9 58 CRM-Lösung Kap. 13 95 Cross-Selling Kap. 5 20 Customer Relationship Management Kap. 10 4, 227 f. –– Aufbewahrungsfrist Kap. 11 14 –– Datenverarbeitung Kap. 10 229 ff. –– Einwilligung Kap. 10 234 ff. –– –– –– –– –– –– ––
D Darlehen Kap. 11 94 Darlehensvertrag Kap. 11 119 Darmstädter Papier Kap. 5 53, 58, 65, 75 data breach notification Kap. 1 20, Kap. 11 161 ff., Kap. 12 73 f. Data Privacy Officer Kap. 3 16 Data Protection by Design and by Default Kap. 4 211 Data Warehouse Kap. 10 231 Dateianhang Kap. 12 80 Daten, personenbeziehbare Kap. 12 9 Daten, personenbezogene siehe Personenbezogene Daten Daten, strukturierte/unstrukturierte Kap. 9 99 ff. Daten, unternehmensbezogene Kap. 9 7 ff. Datenbank –– ~, öffentlich zugängliche Kap. 9 58 f. –– Daten, strukturierte Kap. 9 100 –– Human-Ressources Kap. 5 31 –– Information Kap. 12 14 –– IT-Grundschutz Kap. 13 60 –– Konzern Kap. 5 5 –– Konzern-Kunden~ Kap. 10 210 –– Personalinformationssystem Kap. 5 13 –– Skill-~ Kap. 5 71 –– Trennungsgebot Kap. 12 120 f.
–– Zugangskontrolle Kap. 12 48 –– Zugriffsebene Kap. 12 90 Datenerhebung –– Auskunftei Kap. 11 16 f. –– Behördendaten Kap. 11 36 ff. –– Datenbestand, eigener Kap. 11 11 f. –– Direkterhebung Kap. 11 8 f. –– Frage, unzulässige Kap. 8 35 –– Freundschaftswerbung Kap. 10 73 –– Gesundheitsdaten Kap. 8 104 –– Hinweispflicht Kap. 10 147 –– Hinzuspeichern Kap. 10 50 –– Listenprivileg Kap. 10 53 –– Meinungsumfrage, vermeintliche Kap. 10 221 –– Melderegisterauskunft Kap. 10 222 ff. –– Offenbarung, ungefragte Kap. 8 33 –– Personalausweis Kap. 8 39 –– Scoring Kap. 11 46 –– Social Plugin Kap. 10 158 ff. –– Sozialdaten Kap. 11 39 f. –– Umfeld, persönliches Kap. 11 27 –– Unterrichtungspflicht Kap. 10 203 –– Verkaufszusammenhang Kap. 10 200 –– Verzeichnis Kap. 10 47 Datenexport –– Binding Corporate Rules Kap. 5 117 ff. –– E-Discovery Kap. 5 229 –– Genehmigung Kap. 5 126 ff., 170 –– Haager Beweisübereinkommen Kap. 5 261 –– Konzern Kap. 5 98 ff. –– Safe Harbor Kap. 5 262 f. Datenexportgenehmigung Kap. 4 140 Datenflussdiagramm Kap. 12 71 Datengeheimnis Kap. 1 35, Kap. 4 60, Kap. 12 96 Datengeheimnis-Verpflichtung siehe Verpflichtung auf das Datengeheimnis Datenherkunft Kap. 11 159 Datenlandkarte Kap. 12 139 Datenmanipulation Kap. 12 16 Datenminimierung Kap. 1 44 Datenmodell Kap. 12 26 Datenpanne Kap. 1 20, Kap. 11 161 ff. Datenportabilität Kap. 4 211 Datenschutz –– ~beauftragter siehe Datenschutzbeauftragter Kap. 1 11 ff. –– ~novelle 2009 Kap. 10 2
Stichwortverzeichnis
–– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– ––
~, bereichsspezifischer Kap. 2 13, 25 ff., Kap. 10 5 ~, technisch-organisatorischer Kap. 8 138 ~-Audit Kap. 13 9, 74 ff. ~-Awareness Kap. 3 122 ~-Grundsätze Kap. 5 171 f. ~-Gütesiegel Kap. 13 26 ff., 85, 96 ~-Gütesiegel, europäisches Kap. 4 167 ~-Konzept Kap. 13 78 ~-Management Kap. 12 99, Kap. 13 91, Kap. 14 21 ~-Verordnung Kap. 13 75 Anbahnungsverhältnis Kap. 8 20 ff. Anforderungen, technisch-organisatorische Kap. 12 16 ff. Bankgeheimnis Kap. 11 31 ff. Begriff Kap. 12 8 f. Beschäftigtendatenschutz Kap. 3 40, Kap. 8 1 f. Beschäftigungsverhältnis Kap. 8 133 ff. Betriebsvereinbarung Kap. 3 64 Credit Management Kap. 11 2 Customer Relationship Management Kap. 10 227 Datenschutzkonzept Kap. 3 68 E-Mail-Archivierung Kap. 6 59 Entwicklung Kap. 1 1 ff. Ermittlung, unternehmensinterne Kap. 9 1 ff. Fachkunde Kap. 3 18 Fanpage Kap. 10 155 Folgenabschätzung Kap. 1 47 ff. Gesundheitsdaten Kap. 4 86 Informationssicherheit Kap. 12 5 ff., 25 f. Intranet Kap. 6 75 ISAE 3000 Kap. 13 72 ISO-Standards Kap. 13 36 ff. IT-Grundschutzkatalog Kap. 13 63 Konformität Kap. 13 34 Kontrollorgane Kap. 2 41 Kreditmanagement Kap. 11 2 Kundendatenschutz Kap. 3 38 Organisationskontrolle Kap. 1 9 Outsourcing Kap. 4 1 ff. Prinzipien Kap. 13 38 Produktzertifizierung Kap. 13 97 Risikoanalyse Kap. 1 46 ff. Sensibilisierung Kap. 1 35, Kap. 2 42 Social Media Kap. 6 74
725
–– Stabstellenfunktion Kap. 1 74 –– Standard Kap. 13 103 –– Systemdesign Kap. 12 28 –– Telekommunikation Kap. 6 1 ff. –– Telekommunikationsrecht Kap. 4 89 –– Telemedien Kap. 10 108 ff. –– Territorialprinzip Kap. 1 3 –– Unternehmensdaten Kap. 9 7 –– Unternehmensrichtlinien Kap. 3 43 f. –– Vertragliche Nebenpflicht Kap. 2 45 –– Wettbewerbsrecht Kap. 2 29 ff. –– Zertifikat Kap. 13 1 ff. Datenschutzauditzeichen Kap. 13 77 Datenschutzaufsicht –– Anordnung Kap. 3 113 –– Audit Kap. 5 198 –– Aussageverweigerungsrecht Kap. 3 112 –– Beschäftigtendatenübermittlung, konzerninterne Kap. 5 60 –– Betriebsprüfung Kap. 3 107 ff. –– Betriebsvereinbarung Kap. 5 39 –– Binding Corporate Rules Kap. 5 108 ff., 117 ff., 157 –– Datenexportgenehmigung Kap. 4 140 –– Datenpanne Kap. 11 165 –– Datenschutzniveau, angemessenes Kap. 5 83 –– Datentransfer, konzerninterner Kap. 5 53 –– Datenübermittlung ins Ausland Kap. 9 36 –– Double-Opt-in-Verfahren Kap. 10 188 –– E-Discovery Kap. 5 275 –– Einsichtsrecht Kap. 3 110 –– E-Mail-Zugriff Kap. 6 48 –– Ermittlung, unternehmensinterne Kap. 9 18 –– Fanpage Kap. 10 155 –– Freundschaftswerbung Kap. 10 73 –– Genehmigungspflicht Kap. 9 47 –– Genehmigungsverfahren Kap. 3 99 ff. –– IP-Adresse Kap. 10 112 –– Konsultation bei Datenschutzverstoß Kap. 3 96 ff. –– Listenprivileg Kap. 10 40, 66 –– Löschroutine Kap. 11 14 –– Maßnahme, technisch-organisatorische Kap. 12 149 –– Meldepflicht Kap. 1 16, Kap. 3 52 –– Verbraucherschutz Kap. 14 8 –– Zertifizierung Kap. 13 2
726 ––
Stichwortverzeichnis
Zusammenarbeit mit Datenschutzbeauftragtem Kap. 3 91 ff. Datenschutzbeauftragter –– ~, betrieblicher Kap. 1 11 ff. –– ~, externer Kap. 3 119 ff. –– ~, interner Kap. 3 117 f. –– Abberufung Kap. 3 33, 137 ff. –– Auftragsdatenverarbeiter Kap. 4 157 –– Auftragsdatenverarbeitung Kap. 4 59 –– Auskunft Kap. 1 27, Kap. 3 88 ff. –– Aussageverweigerungsrecht Kap. 3 112 –– Ausstattung Kap. 3 28 –– Befristung Kap. 3 22 –– Benachteiligungsverbot Kap. 3 32 –– Beratungsfunktion Kap. 3 36 ff. –– Berichterstattung an Geschäftsleitung Kap. 1 40 –– Beschäftigtenkontrolle Kap. 8 189 –– Betriebsrat Kap. 3 40, Kap. 8 272 –– Compliancebeauftragter Kap. 2 40 –– Datenschutzbericht Kap. 3 114 ff. –– Datenschutzerklärung Kap. 7 45 –– Datenschutz-Grundverordnung Kap. 1 47 –– Datenschutzkonzept Kap. 3 68 –– Datenschutzverstoß Kap. 3 96 ff. –– Deliktische Haftung Kap. 3 133 –– E-Discovery Kap. 5 275 –– E-Discovery-Dienstleister Kap. 5 282 –– Einwilligungserklärung Kap. 9 26 –– E-Mail-Archivierung Kap. 6 59 –– E-Mail-Zugriff Kap. 6 48 –– Entscheidungssystem, automatisiertes Kap. 11 61 –– Ermittlung, unternehmensinterne Kap. 9 18, 42 –– Folgenabschätzung Kap. 1 50 –– Fort- und Weiterbildung Kap. 3 34 –– Haftung Kap. 3 131 ff. –– Haupt-/Nebenamt Kap. 3 24 ff. –– Hierarchiestufe Kap. 3 124 –– Interessenkonflikt Kap. 3 19 –– Internationaler Konzern Kap. 3 13 ff. –– Interne Prüfung Kap. 3 57 –– IT-Sicherheit Kap. 3 65 –– Juristische Person als Datenschutzbeauftragter Kap. 3 120 –– Konzerndatenschutzbeauftragter Kap. 1 12, Kap. 3 8 ff. –– Kündigungsschutz Kap. 3 141
––
Maßnahmen, technisch-organisatorische Kap. 12 133 f., 149 –– Maßnahmenüberwachung Kap. 12 152 –– Meldepflicht Kap. 1 21, Kap. 3 53 f. –– Mitarbeiterschulung Kap. 1 35, Kap. 3 80 ff. –– Online-Schulung Kap. 3 83 –– Outsourcing Kap. 3 16, 69 ff., Kap. 4 31 –– Pflicht zur Bestellung Kap. 3 2 ff., 20 f. –– Prüfungsverfahren Kap. 3 59 –– Prüfungszyklus Kap. 3 79 –– Qualifikation Kap. 3 18 –– Schulung Kap. 12 154 –– Scoring Kap. 11 49 –– Stellung im Unternehmen Kap. 3 122 f. –– Strafrecht Kap. 3 134 ff. –– Treuepflicht Kap. 3 93 –– Unternehmensverkauf Kap. 8 246 –– Unterstützung Kap. 3 29 ff., 60 –– Verantwortlichkeiten Kap. 3 1 –– Verfahrensverzeichnis Kap. 1 18, Kap. 3 35 –– Verpflichtung auf das Datengeheimnis Kap. 3 41 f. –– Verschwiegenheitspflicht Kap. 3 127 f. –– Vorabkontrolle Kap. 3 45 ff. –– Weisungsfreiheit Kap. 3 125 –– Weisungsrecht Kap. 3 126 –– Zeitpunkt der Bestellung Kap. 3 7 –– Zeugnisverweigerungsrecht Kap. 3 129 f. –– Zusammenarbeit mit Aufsichtsbehörde Kap. 3 91 ff., 102 –– Zusammenarbeit Kap. 3 61 ff. –– Zuverlässigkeit Kap. 3 27 Datenschutzbericht Kap. 3 114 ff. Datenschutzbestimmungen Kap. 4 53 Datenschutz-Compliance-Review Kap. 1 50 f. Datenschutzerklärung Kap. 6 75 –– Adressat Kap. 7 9 –– Anforderungen, formale Kap. 7 15 –– Cookies Kap. 7 26 f. –– Datenerhebung, einwilligungsbasierte Kap. 7 23 f. –– Datenschutzbeauftragter Kap. 7 45 –– Datensicherheitsstandards Kap. 7 44 –– Einwilligung Kap. 10 119 –– Einwilligungserklärung Kap. 10 90 –– Haftungsrisiken Kap. 7 46 f. –– Informationen, fakultative Kap. 7 41 –– Inhalt Kap. 7 17 f. –– Intention Kap. 7 6
Stichwortverzeichnis
–– Internetangebot Kap. 7 3 ff. –– Legitimationswirkung Kap. 7 25 –– Nutzerprofil Kap. 10 127 –– Rechtsgrundlagen Kap. 7 8 –– Retargeting Kap. 7 37 f. –– Social Plugin Kap. 7 39 –– Tracking Kap. 7 32 –– Verantwortliche Stelle Kap. 7 42 –– Werbewiderspruch Kap. 10 29 Datenschutzgarantie Kap. 5 96 Datenschutzgarantie, ausreichende Kap. 5 171 Datenschutz-Grundverordnung Kap. 1 3 ff. –– Anwendungsbereich, räumlicher Kap. 4 172, Kap. 5 227 –– Anwendungsbereich Kap. 14 22 ff. –– Auftragsdatenverarbeitung Kap. 4 161 ff. –– Auftragskontrolle Kap. 12 101 –– Beschäftigtendatenschutz Kap. 14 7 –– Cloud-Vertrag Kap. 4 219 –– Datenschutzbeauftragter Kap. 1 47, Kap. 3 21 ff. –– Datenschutz-Compliance-Review Kap. 1 50 f. –– Datenschutz-Management Kap. 14 21 –– Datenschutzorganisation Kap. 1 42 ff. –– Datenübermittlung Kap. 4 252 –– Einwilligung Kap. 14 20 –– Ermittlung, unternehmensinterne Kap. 9 29 ff., Kap. 14 26 –– Europäisches Datenschutzsiegel Kap. 13 11 ff. –– EU-Standardvertrag Kap. 4 170 –– Minderjähriger Kap. 10 95 –– Privacy by default Kap. 1 45 –– Privacy by design Kap. 1 43 –– Recht auf Datenübertragbarkeit Kap. 1 58 f. –– Recht auf Vergessenwerden Kap. 1 52 ff. –– Sanktionen Kap. 1 60 ff. –– Territorialprinzip Kap. 4 210 f. –– Übergangsfrist Kap. 1 7, Kap. 14 28 –– Verbot mit Erlaubnisvorbehalt Kap. 2 5 –– Zertifizierung Kap. 13 10, 99 Datenschutz-Koordinator Kap. 1 12, Kap. 3 10 f., 57, 122 Datenschutzniveau, angemessenes Kap. 4 103 ff., 111 f., 227, 230, Kap. 5 21, 81 ff., 104, Kap. 6 69, Kap. 9 36 Datenschutzorganisation Kap. 1 7 f.
727
––
Aufsichtsbehördliche Anforderungen Kap. 1 36 –– Aufsichtsmaßnahme Kap. 1 70 –– Auftragsdatenverarbeitung Kap. 1 19 –– Berichtigungs-, Lösch- und Sperrprozesse Kap. 1 31 ff. –– Binding Corporate Rules Kap. 4 131 –– Compliance-Vorgaben Kap. 1 38 ff. –– Datenschutzbeauftragter Kap. 1 11, 12 f. –– Datenschutz-Grundverordnung Kap. 1 42 ff., Kap. 14 28 –– Delegation der Verantwortlichkeit Kap. 2 37 –– Entlastungsbeweis Kap. 2 46 –– Gesetzliche Anforderungen Kap. 1 9 f. –– Maßnahmen, technisch-organisatorische Kap. 12 34 –– Meldeprozesse Kap. 1 16 –– Mitarbeiterschulung Kap. 1 35 –– TÜV-Zertifikat Kap. 13 88 –– Umsetzung Kap. 3 36 –– Vorabkontrolle Kap. 1 15 ff. Datenschutzrecht –– ~, kollektives Kap. 8 14 f. –– Abgrenzung zu Telekommunikationsrecht Kap. 6 9 f. –– Anwendbarkeit Kap. 12 1 f. –– Anwendbarkeit, internationale Kap. 4 199 ff., Kap. 6 9 –– Anwendungsbereich Kap. 3 4 –– Auslandsbezug Kap. 9 28 –– Bereichsspezifische Regelungen Kap. 2 25 ff. –– Beschäftigtendatenschutz Kap. 8 3 f. –– Cloud-Computing Kap. 4 196 ff. –– E-Discovery Kap. 5 ff., Kap. 9 97 –– E-Mail-Archivierung Kap. 6 57 –– Entwicklung Kap. 2 1 ff. –– Europarecht Kap. 2 9 ff. –– Gesetzgebungskompetenz Kap. 2 13 –– Grundprinzipien Kap. 2 14 ff. –– Kollisionsrecht Kap. 10 157 –– Konzernprivileg Kap. 5 4 –– Maßnahmen, technisch-organisatorische Kap. 12 29 ff. –– Pre-Trial Discovery Kap. 5 210 ff., 223 ff. –– Reichweite Kap. 5 166 –– Schutzzweck Kap. 2 31 –– Subsidiaritätsgrundsatz Kap. 11 52, 55
728
Stichwortverzeichnis
Subsidiaritätsklausel Kap. 6 34 Telekommunikationsrecht Kap. 6 8 Territorialitätsprinzip Kap. 4 226 f. Unternehmensdaten Kap. 9 7 Verantwortliche Stelle Kap. 2 34 ff. Verfassungsrecht Kap. 2 4 ff. Verhältnis zu Binding Corporate Rules Kap. 5 203 –– Verkehrsdaten Kap. 6 19 –– Vorgaben, technisch-organisatorische Kap. 12 17 –– Wettbewerbsrelevanz Kap. 1 73 f. –– Zertifikat Kap. 13 9 Datenschutzrichtlinie Kap. 1 16 ff., Kap. 2 12, Kap. 12 34 Datenschutzrisikoanalyse Kap. 14 21 Datenschutzsiegel, europäisches Kap. 1 45, Kap. 13 11 ff. Datenschutzsiegel Kap. 2 51 Datenschutzverstoß –– ~, systematischer Kap. 10 221 –– Abhilfemaßnahmen Kap. 5 191 –– Aufdeckung und Sanktionierung Kap. 1 41 –– Auftragsdatenverarbeitung Kap. 4 57 –– Binding Corporate Rules Kap. 5 163 f. –– Credit-Management Kap. 11 3 –– Deliktische Haftung Kap. 2 46 –– Konsultationspflicht Aufsichtsbehörde Kap. 3 96 ff. –– Kundenbeziehung Kap. 10 4 –– Kündigungsrecht Kap. 4 60 –– Sanktionen Kap. 1 60 ff. –– Scoring Kap. 11 56 –– Strafrecht Kap. 1 66 ff. –– Vermögensrechtliche Haftung Kap. 2 43 ff. –– Wettbewerbsrecht Kap. 1 73 f. –– Zivilrechtliche Haftung Kap. 1 64 f. Datensicherheit Kap. 3 18 –– Aktualität Kap. 5 176 –– Audit Kap. 12 25 –– Auftragsdatenverarbeitung Kap. 4 36, 61, 153 –– Auftragskontrolle Kap. 12 94 f. –– Begriff Kap. 2 3 –– Beschäftigtendaten Kap. 8 138 –– Binding Corporate Rules Kap. 5 171, 177 –– Cloud Kap. 4 253 –– Common Criteria Kap. 13 96 –– Credit-Management Kap. 11 4 –– –– –– –– –– –– ––
Datenschutzerklärung Kap. 7 44 Datenschutz-Grundverordnung Kap. 4 165 E-Discovery Kap. 5 285 Eingabekontrolle Kap. 12 84 f. Konzept Kap. 3 44 Kunde Kap. 3 66 Maßnahmen, technisch-organisatorische Kap. 12 4, 29 ff. –– Organisationskontrolle Kap. 1 9 –– Schnittmenge mit Datenschutz Kap. 12 24 ff. –– Selbstverpflichtung Kap. 12 20 –– Sicherheitskonzept Kap. 3 68 –– Social Engineering Kap. 12 47 –– Soll-Zustand Kap. 12 141 –– Status Quo Kap. 12 135 –– Trennungsgebot Kap. 12 118 ff. –– Umsetzung Kap. 12 125 ff. –– Verfügbarkeitskontrolle Kap. 12 102 ff. –– Weitergabekontrolle Kap. 12 64 f. –– Wirtschaftsbetrachtung Kap. 12 33 –– Zertifizierung Kap. 13 35 –– Zugangskontrolle Kap. 12 48 f. –– Zugriffskontrolle Kap. 12 57 f. –– Zutrittskontrolle Kap. 12 36 Datensicherung –– ~, gerichtsfeste Kap. 9 89 –– ~, heimliche Kap. 9 94 –– Auffälligkeit, statistische Kap. 9 103 –– Beteiligtenmehrzahl Kap. 9 90 ff. –– Daten, strukturierte Kap. 9 100 –– Daten, unstrukturierte Kap. 9 101 –– Dublette Kap. 9 110 f. –– E-Discovery Kap. 9 95 ff. –– Einzel-PC Kap. 9 86 ff. –– Entlöschen Kap. 9 112 –– Sicherungsprotokoll Kap. 9 109 –– Sicherungsprozess Kap. 9 107 f. –– Verfügbarkeitskontrolle Kap. 12 107, 110 Datensparsamkeit –– Beschäftigtendatenschutz Kap. 8 135, Kap. 14 3 –– Bonitätsprüfung Kap. 11 7 –– Customer Relationship Management Kap. 10 228 –– Datenschutzprinzip Kap. 13 38 –– Datensicherung Kap. 9 104 –– E-Discovery Kap. 5 250 –– –– –– –– –– –– ––
Stichwortverzeichnis
Ermittlung, unternehmensinterne Kap. 9 11, 48 –– Europäisches Datenschutzsiegel Kap. 13 12 –– Logging Kap. 12 87 –– Netzwerküberwachung Kap. 9 123 –– Personalakte Kap. 8 141 f. –– Trennungsgebot Kap. 12 123 Datenträger, dauerhafter Kap. 1 25 Datenträger, mobiler Kap. 12 64, 72 Datenträgerkontrolle Kap. 12 3 Datentransfer –– Abgrenzung Kap. 5 1 ff. –– Beschränkung Kap. 5 181 ff. –– Konzern Kap. 5 27 –– Personalverwaltung, konzerninterne Kap. 5 54 ff. –– Tracking Kap. 7 35 Datentransport Kap. 12 66 Datenübermittlung –– ~, konzerninterne Kap. 5 98 ff. –– Abruf Kap. 5 5 –– Adresshandel Kap. 10 217 –– Arbeitnehmerdaten Kap. 4 149 –– Auftragsdatenverarbeitung Kap. 4 52, 60, 66, Kap. 5 6 ff. –– Ausland Kap. 3 99 ff., Kap. 9 35 –– Benachrichtigungspflicht Kap. 11 143 –– Beschäftigtendaten Kap. 5 50 –– Betriebsübergang Kap. 8 265 ff. –– Betriebsvereinbarung Kap. 5 28, 34 ff., 42 ff. –– Binding Corporate Rules Kap. 5 97, 102 ff., 266 ff. –– Cloud Kap. 4 212 ff., 227 –– Customer Relationship Management Kap. 10 235 –– Datenexportgenehmigung Kap. 4 140 –– Datenschutzerklärung Kap. 7 19 –– Datenschutz-Grundverordnung Kap. 4 168, 252 –– Drittland Kap. 4 101 ff. –– Drittland, unsicheres Kap. 4 246 ff. –– E-Discovery Kap. 5 245, Kap. 8 248 –– Einmeldung Kap. 11 93 –– Einwilligung Kap. 5 29 ff., Kap. 10 77, 82 –– E-Mail-Verteiler, offener Kap. 10 206 –– Erlaubnis, gesetzliche Kap. 5 46 ff. ––
729
EU-Standardvertrag Kap. 4 135 ff., Kap. 5 264 f. –– Forderungsabtretung Kap. 6 42 –– Funktionsübertragung Kap. 5 10 –– Genehmigung Kap. 5 126 ff. –– Haager Beweisübereinkommen Kap. 5 258 ff. –– Hinweispflicht Kap. 5 271 –– Konzern Kap. 4 155 f., Kap. 5 4, 23 f. –– Kreditlimitsteuerung Kap. 11 64 –– Kundendaten Kap. 5 72 f. –– Legitimationsprüfung Kap. 12 66 –– Matrixstruktur Kap. 5 69 –– Nutzerprofil Kap. 10 132 –– Personalverwaltung Kap. 5 33 –– Rechtfertigung Kap. 4 249 ff. –– Rückübertragung Kap. 4 160 –– Safe Harbor Kap. 5 262 f. –– SCHUFA Kap. 11 32 –– Sensitive Daten Kap. 5 74 ff. –– Unternehmensverkauf Kap. 8 246 –– USA Kap. 4 115 ff., Kap. 5 87, 257 –– Zwecke, eigene Kap. 5 20 –– Zwei-Stufen-Prüfung Kap. 5 26 Datenübertragbarkeit Kap. 1 58 f. Datenverarbeitung –– ~, einwilligungsbasierte Kap. 14 20 –– ~, nachvertragliche Kap. 11 129 ff. –– Abrechnung und Störungsbeseitigung Kap. 6 42 –– Beschäftigungsverhältnis Kap. 8 133 ff. –– Beschreibung in Binding Corporate Rules Kap. 5 169 f. –– Betriebsrat Kap. 8 271 ff. –– Bewerberdaten Kap. 8 126 ff. –– Cloud Kap. 12 97 –– Datenschutzerklärung Kap. 7 8, 19, 22 ff. –– Direkterhebung Kap. 8 11 –– Dokumentation Kap. 1 44, Kap. 3 56 –– E-Discovery Kap. 5 229 ff. –– Einwilligung Kap. 10 76 ff. –– Entscheidungssystem, automatisiertes Kap. 11 58 –– Ermittlung, unternehmensinterne Kap. 9 7 –– Filterung Kap. 5 249 –– Genehmigung, nachträgliche Kap. 5 236 –– Inland Kap. 4 208 f. –– Interesse, soziales Kap. 8 239 –– Interessen, berechtigte Kap. 5 91 ––
730
Stichwortverzeichnis
Inventarisierung Kap. 12 139 Kundendaten Kap. 10 5 ff. Meldepflicht Kap. 3 52 f. Mitarbeiter, ausgeschiedener Kap. 8 269 Nichtverfügbarkeit Kap. 12 111 Ort der Datenverarbeitung Kap. 7 21 Prozessuale Nutzung Kap. 5 269 ff. Revision Kap. 1 36 Risiken Kap. 2 2 Risikoverarbeitungen Kap. 1 47 Scoring Kap. 11 46 Sicherheitszone Kap. 12 36 Strafrecht Kap. 3 136 Telekommunikationsnutzungsdaten Kap. 6 35 –– Übermittlung Kap. 5 4 –– Überwachung Kap. 3 57 –– Unternehmensinteresse, berechtigtes Kap. 5 241 ff. –– Verbot mit Erlaubnisvorbehalt Kap. 7 25 –– Verfügbarkeitskontrolle Kap. 12 104 –– Vorabkontrolle Kap. 3 45 ff. –– Vorrat Kap. 10 231 –– Werbezwecke Kap. 1 73 –– Zugriffskontrolle Kap. 12 57 –– Zweckbestimmung Kap. 4 32 f. Datenverlust Kap. 5 177 Datenvermeidung Kap. 5 244, Kap. 9 11, 48, 104, 123, Kap. 10 228 Datenzugriff Kap. 9 6 Dauermonitoring Kap. 11 70 Dauerschuldverhältnis Kap. 11 67 Debitkarte Kap. 11 19, 144 Debitor Kap. 11 30 Debitorenmanagement Kap. 11 74 ff. DEKRA e. V. Kap. 13 26 Deliktische Haftung –– Datenschutzbeauftragter Kap. 3 133 Deming-Zyklus Kap. 13 42 Desktop Kap. 9 85 Desktop-Review Kap. 3 76 Detektiv Kap. 9 138 f. Deutsche Akkreditierungsstelle GmbH Kap. 13 19 Diebstahlschutz Kap. 12 108 Dienstbezeichnung Kap. 10 39 Diensteanbieter Kap. 6 10 –– Arbeitgeber Kap. 6 27 ff. –– Datenschutzerklärung Kap. 7 9 –– –– –– –– –– –– –– –– –– –– –– –– –– ––
–– Definition Kap. 7 10 –– Informationspflichten Kap. 7 65 ff. –– Telekommunikations-~ Kap. 10 139 –– Telemedien Kap. 10 109 –– Unternehmen Kap. 9 5 –– Werbeanruf Kap. 10 146 Dienstleister mit geprüftem Datenschutz Kap. 13 92 Dienstleister mit geprüftem Datenschutzmanagement Kap. 13 91 Differenz-Analyse Kap. 9 111 Digitaler Nachlass Kap. 1 29 Direkterhebung Kap. 11 8 f. Grundsatz Kap. 2 20 Direktionsrecht siehe Weisung Kap. 8 14 Discovery Tool Kap. 12 139 Diskontinuität, sachliche Kap. 14 7 Diskontinuitätsregel Kap. 14 17 Diskriminierung –– Einstellungsuntersuchung Kap. 8 107 –– Fragerecht des Arbeitgebers Kap. 8 84 –– Schwangerschaft Kap. 8 61 f. –– Vorstellungsgespräch Kap. 8 37 Diskriminierungsrisiko Kap. 1 49 Distanzhandel Kap. 11 130 DJX Kap. 9 58 Dokument –– Behältnis, verschlossenes Kap. 9 56 –– Gesprächsprotokoll Kap. 9 79 –– Herausgabe Kap. 9 54 f. –– Unternehmensprüfung Kap. 13 6 –– Zertifizierungsablauf Kap. 13 89 Dokumentationspflicht Kap. 9 53 Double-Opt-in-Verfahren Kap. 10 171, 186 ff. Drei-Systeme Landschaft Kap. 12 117 Drittbegünstigung Kap. 5 158, 161, 168 Drittland –– ~, sicheres Kap. 4 230 ff. –– ~, unsicheres Kap. 4 126 ff., 246 ff. –– Arbeitnehmerdaten Kap. 4 149 –– Auftragsdatenverarbeitung Kap. 3 74, Kap. 4 100, 159 f., Kap. 5 11, 21 –– Begriff Kap. 2 19 –– Beschäftigtendatenübermittlung, konzerninterne Kap. 5 61 –– Binding Corporate Rules Kap. 5 102 ff., 178, 202 –– Cloud-Anbieter Kap. 4 177, 206 ff.
Stichwortverzeichnis
Datenexportgenehmigung Kap. 4 140 Datenschutz-Grundverordnung Kap. 4 168 ff. –– Datenschutzniveau, angemessenes Kap. 4 107 f., Kap. 5 81 ff. –– Datenübermittlung nach Konzernbetriebsvereinbarung Kap. 5 45 –– Datenübermittlung, konzerninterne Kap. 5 78 ff. –– Einwilligung Kap. 10 76 –– Erlaubnistatbestände Kap. 5 88 ff. –– Erlaubnisvorbehalt Kap. 4 125 –– Ermittlung, unternehmensinterne Kap. 9 32 –– EU-Standardvertrag Kap. 4 132 ff. –– Genehmigung der Übermittlung Kap. 3 99 ff. –– Konzern, internationaler Kap. 4 155 f. –– Telekommunikations-Outsourcing Kap. 6 71 –– Territorialprinzip Kap. 4 201 f. –– Transferbeschränkung Kap. 5 183 –– Übermittlungseinwilligung Kap. 10 82 Drohung, widerrechtliche Kap. 10 103 Dropbox Kap. 9 46 Due Diligence Kap. 8 8, 244, 265 Duldungs- und Mitwirkungspflicht Kap. 4 59 Dun & Bradstreet Kap. 9 58 Durchführung des Beschäftigungsverhältnisses Kap. 9 15 Durchsetzbarkeit –– Binding Corporate Rules Kap. 5 158 ff. Durchsicht, externe Kap. 5 229 Düsseldorfer Kreis Kap. 3 123, Kap. 4 101, 118 –– Ausweiskopie Kap. 11 150 –– Tracking-Anleitung Kap. 7 32 –– Zwei-Stufen-Modell Kap. 4 227 –– ––
E Echtdaten Kap. 12 124 E-Discovery Kap. 5 210, 220, Kap. 8 247 ff. –– ~-Dienstleister Kap. 5 281 ff. –– 4-Phasen-Modell Kap. 5 229 –– Beschäftigtendaten Kap. 5 254 ff. –– Betriebsrat Kap. 5 272 ff. –– Betroffeneninteresse Kap. 5 252 f. –– Betroffenenrechte Kap. 5 277 ff. –– Binding Corporate Rules Kap. 5 266 ff. –– Datenschutzbeauftragter Kap. 5 275
731
Datenschutzrecht, deutsches Kap. 5 223 ff. Datensicherheit Kap. 5 285 Datensicherung Kap. 9 95 ff. Datensparsamkeit Kap. 5 250 Einwilligung Kap. 5 233 ff. Erforderlichkeit Kap. 5 245 ff. EU-Standardvertrag Kap. 5 264 f. Haager Beweisübereinkommen Kap. 5 258 ff. –– Information des Betroffenen Kap. 5 276 –– Legitimation für Datenverarbeitung Kap. 5 238 ff. –– Ordnungswidrigkeit Kap. 5 284 –– Prozessuale Datennutzung Kap. 5 269 ff. –– Safe Harbor Kap. 5 262 f. –– Unternehmensinteresse, berechtigtes Kap. 5 241 ff. –– USA Kap. 5 257 –– Verhältnismäßigkeitsgrundsatz Kap. 5 244 –– Zulässigkeit, datenschutzrechtliche Kap. 5 231 f. EDV-gestützte Buchführungsfristen Kap. 6 55, 59 Effektivitätsnachweis Kap. 12 145 Effizienzsteigerung Kap. 4 2 E-Government-Gesetz Kap. 6 59 Eigeninkasso Kap. 11 81 Eigenkapitaldeckung Kap. 11 53 Eigenwerbung Kap. 10 42 Eingabekontrolle –– Auftragsdatenverarbeitung Kap. 12 98 –– Definition Kap. 12 84 –– Logging Kap. 12 86 f. –– Protokollauswertung Kap. 12 93 –– Protokollierungsdaten Kap. 12 91 –– Zusammenfassung Kap. 12 157 Eingehungsbetrug Kap. 11 14 Eingliederungsmanagement, betriebliches Kap. 8 177 f. Eingriffsverwaltung Kap. 13 85 Einkommensangaben Kap. 11 34 Einmeldung Kap. 11 97 f. –– Anerkenntnis Kap. 11 104 ff. –– Auskunftei Kap. 11 84 ff. –– Befugnis Kap. 11 90 ff. –– Drohung Kap. 11 145 –– Einrede Kap. 11 107 –– Erlaubnistatbestand Kap. 11 87 f. –– Fälligkeit Kap. 11 94 ff. –– –– –– –– –– –– –– ––
732
Stichwortverzeichnis
–– Feststellung, rechtskräftige Kap. 11 100 –– Forderung, gemahnte Kap. 11 108 ff. –– Forderung, offene Kap. 11 83 –– Forderung, unbestrittene Kap. 11 118 –– Insolvenzverfahren Kap. 11 103 –– Kündigungsberechtigung Kap. 11 119 –– Nachmeldepflicht Kap. 11 122 ff. –– Unterrichtung Kap. 11 113 ff. –– Vier-Wochen-Frist Kap. 11 112 –– Voraussetzungen Kap. 11 100 ff. –– Warndatei Kap. 11 123 f. Einrahmung Kap. 10 90 Einrichtung, gemeinnützige Kap. 10 196 Einsichtsfähigkeit Kap. 10 95 Einsichtsrecht Kap. 3 123 –– Gesprächsprotokoll Kap. 9 79 Einstellungsuntersuchung –– Behinderung Kap. 8 107 –– Belehrung Kap. 8 108 –– Blutuntersuchung Kap. 8 106 –– Direkterhebung Kap. 8 104 –– Ergebnisbekanntgabe Kap. 8 109 –– Genetische Analyse Kap. 8 111 –– Persönlichkeitstest Kap. 8 114 –– Psychologische Untersuchung Kap. 8 112 f. –– Untersuchungsprogramm Kap. 8 105 –– Zeitraum, relevanter Kap. 8 102 Eintritt-Veränderung-Austritt-Prozess Kap. 12 54, 62 Einwilligung –– ~, ausdrückliche Kap. 10 175 ff. –– ~, elektronische Kap. 10 115 ff., 152 f. –– ~, mutmaßliche Kap. 10 194 –– ~, ungenutzte Kap. 10 106 –– ~, vorformulierte Kap. 10 178 –– ~, vorherige Kap. 10 179 –– Adresshandel Kap. 10 220 f. –– Anfechtung Kap. 10 103 f. –– Anforderungen, formelle Kap. 10 88 ff. –– Anforderungen, inhaltliche Kap. 10 76 ff. –– Arbeitgeberauskunft Kap. 8 96 –– Art der werblichen Ansprache Kap. 10 174 –– Auftragsdatenverarbeitung Kap. 4 18, 6 –– Beschäftigtendatenschutz Kap. 8 9 f. –– Bestandsdatennutzung Kap. 10 144 –– Bestätigung, schriftliche Kap. 10 89 –– Bonitätsprüfung Kap. 11 18 ff. –– Bote Kap. 10 97 –– Briefkastenwerbung Kap. 10 163
–– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– ––
Customer Relationship Management Kap. 10 234 ff. Datenschutzerklärung Kap. 7 23 f., Kap. 10 119 Datenschutz-Grundverordnung Kap. 14 20 Datenschutzprinzip Kap. 13 38 Datensicherung Kap. 9 94 Datenübermittlung Kap. 5 21 Datenübermittlung in Drittland Kap. 5 89 Datenübermittlung ins Ausland Kap. 4 251 Datenübermittlung, konzerninterne Kap. 5 29 ff. Double-Opt-in-Verfahren Kap. 10 187 ff. E-Discovery Kap. 5 233 ff. Eingliederungsmanagement, betriebliches Kap. 8 177 E-Mail-Archivierung Kap. 6 58 E-Mail-Filter Kap. 6 51 E-Mail-Werbung Kap. 10 39 E-Mail-Zugriff Kap. 6 26, 48, Kap. 9 10 Erklärung, gesonderte Kap. 10 120 Ermittlung, unternehmensinterne Kap. 9 25 f. Factoring Kap. 11 82 Fernkommunikationswerbung Kap. 10 172 ff. Frage, unzulässige Kap. 8 29 ff. Freiwilligkeit Kap. 5 237, Kap. 8 10 Funktions-/Geschäftsbezogenheit Kap. 10 77 Gesprächsaufzeichnung Kap. 9 77 Gesundheitsdaten Kap. 8 175 Informationspflicht Kap. 10 118 Internetrecherche Kap. 8 94 f. Kopplungsverbot Kap. 10 8, 75, 91 ff., 148 Melderegisterauskunft Kap. 10 222 f. Minderjähriger Kap. 10 95 Mitarbeiterfoto Kap. 8 237 Nachweis Kap. 10 186 f. Opt-in/-out Kap. 10 83 ff., 121, 122 Outsourcing Kap. 6 73 Produktgattung Kap. 10 173 Protokollierung Kap. 10 123 Recht am eigenen Bild Kap. 8 238 Schriftformerfordernis Kap. 6 81 Schriftlichkeit Kap. 5 236 SCHUFA-Übermittlung Kap. 11 32 Sozialdaten Kap. 11 40 Standortdaten Kap. 6 66
Stichwortverzeichnis
Stellvertretung Kap. 10 96 Telekommunikationsdaten-Verarbeitung Kap. 6 79 f. –– Telemedienrecht Kap. 10 113 f. –– Unterauftrag Kap. 4 152 –– Unterrichtungspflicht Kap. 10 10 ff. –– Verkehrsdatennutzung, werbliche Kap. 10 150 f. –– Verweigerung Kap. 10 79 –– Vorformulierung Kap. 10 86 f. –– Weiterübermittlung Kap. 5 184 –– Werbung Kap. 10 2, 74 f. –– Wettbewerbsrecht Kap. 10 162 –– Widerruf Kap. 10 98 ff. –– Wirksamkeitsdauer Kap. 10 192 –– Wirkungsdauer Kap. 10 105 ff. Einwilligungslösung Kap. 7 29 Einzel-PC Kap. 9 86 ff. Einzelfallkontrolle Kap. 6 43 Elektronische Signatur, qualifizierte Kap. 8 171 Elektronischer Geschäftsverkehr Kap. 7 1 f. E-Mail –– ~-Server Kap. 9 10 –– ~-Werbung Kap. 10 171 ff. –– ~-Werbung, berufsbezogene Kap. 10 61 –– ~-Werbung, einwilligungslose Kap. 10 197 ff. –– Adressenveröffentlichung Kap. 10 176 –– Adresshandel Kap. 10 221 –– Anonymisierung Kap. 9 106 –– Anti-Viren-Engine Kap. 12 116 –– Archivierung Kap. 4 184, Kap. 6 30, 55 ff. –– Aufklärung von Ordnungswidrigkeit Kap. 6 46 –– Auftragsdatenverarbeitung Kap. 4 24 –– Auswertung Kap. 9 86 –– Backup Kap. 9 94 –– Beschäftigtendatenschutz Kap. 3 64, Kap. 14 6 –– Double-Opt-in Kap. 10 187 –– E-Discovery Kap. 5 254 –– Einwilligung Kap. 5 236 –– Empfehlungswerbung Kap. 10 182 f. –– Ermittlung, unternehmensinterne Kap. 9 46 –– Filter Kap. 6 49 ff. –– IT-Grundschutz Kap. 13 60 –– Kontrolle, präventive Kap. 6 43 ff., Kap. 9 15 –– ––
733
–– Kontrolle, reaktive Kap. 6 47 –– Löschung des Kontos Kap. 6 60 –– Mitarbeiter Kap. 8 155 f. –– Mitteilung, innerbetriebliche Kap. 8 227 –– Notfallbenutzer Kap. 12 112 –– Nutzung, private Kap. 9 6 –– Opt-in Kap. 10 85, 122 –– Outsourcing Kap. 6 73 –– Private Nutzung Kap. 5 256 –– Privatnutzung Kap. 6 15 ff. –– Protokoll Kap. 6 24 f. –– Quarantäne Kap. 6 54 –– Schadsoftware Kap. 6 54 –– Selbstauskunft Kap. 11 154 –– Sozialdaten Kap. 4 255 –– Telekommunikationsdienst Kap. 6 21 –– Telemedium Kap. 10 108 ff. –– Übermittlungsvorgang Kap. 6 22, 26 –– Überwachung Kap. 9 122 f. –– Verbot der Privatnutzung Kap. 6 77 f. –– Verteiler, offener Kap. 10 206 –– Verzeichnis, konzernweites Kap. 5 62 ff. –– Webmailinterface Kap. 6 39 –– Weitergabekontrolle Kap. 12 79 f. –– Werbung Kap. 10 39 –– Widerspruchsrecht Kap. 9 27 –– Zugriff Kap. 6 1 ff., 36 ff. Empfehlungswerbung Kap. 10 7, 66, 182 f. Ende-zu-Ende-Verschlüsselung Kap. 12 68 Entgeltlichkeit Kap. 7 55 f. Entlastungsbeweis Kap. 2 46 Entscheidungssystem, automatisiertes Kap. 11 57 ff. Entscheidungssystem, elektronisches Kap. 11 126 ff. Entwicklung –– Datenschutz Kap. 14 1 ff. –– Datenschutz-Grundverordnung Kap. 14 16 ff. Erbschein Kap. 1 29 Erforderlichkeit –– Ausweiskopie Kap. 11 149 –– Beschäftigtendatenerhebung Kap. 8 6 –– Beschäftigtendatenübermittlung, konzerninterne Kap. 5 56 f. –– Binding Corporate Rules Kap. 5 175 –– Customer Relationship Management Kap. 10 230 –– Datensicherung Kap. 9 104
734
Stichwortverzeichnis
E-Discovery Kap. 5 245 ff. Eignungsuntersuchung, psychologische Kap. 8 113 –– Einmeldung Kap. 11 97 f. –– E-Mail-Zugriff Kap. 6 48 –– Ermittlung, unternehmensinterne Kap. 9 48 –– Inkasso Kap. 11 80 –– Maßnahme, technisch-organisatorische Kap. 12 33, 137 –– Rechtsverteidigung Kap. 5 271 –– Speicherung, nachvertragliche Kap. 11 135 –– Unternehmensinteresse, berechtigtes Kap. 5 242 –– Verkehrsdatenspeicherung Kap. 6 63, Kap. 9 114 –– Zweckbindungsgrundsatz Kap. 2 7 Erlaubnisnorm Kap. 2 7 Erlaubnistatbestand –– Beschäftigtendaten Kap. 9 12 ff. –– Bonitätsprüfung Kap. 11 22 ff. –– Customer Relationship Management Kap. 10 230 –– Einmeldung Kap. 11 87 f. –– Entscheidungssystem, automatisiertes Kap. 11 59 –– Kundendatenerhebung Kap. 10 229 –– Listenprivileg Kap. 10 35 ff. –– Outsourcing Kap. 4 30 –– Rückgriff Kap. 9 26 –– Scoring Kap. 11 43 ff. –– Spendenwerbung Kap. 10 65 –– Unternehmensbezogene Daten Kap. 9 10 –– Werbung Kap. 10 5 ff. Ermittler, externer Kap. 9 21, 62, 73, 81 Ermittlung, unternehmensinterne Kap. 6 47 –– ~, anlassbezogene Kap. 9 37 ff. –– Abhören Kap. 9 115 ff. –– Ablaufplan Kap. 9 42 –– Anlass Kap. 9 1 ff. –– Auskunftspflicht Kap. 9 62 ff. –– Auslandsbezug Kap. 9 28 ff. –– Befragung Kap. 9 52 –– Belehrungspflicht Kap. 9 74 ff. –– Beteiligtenmehrzahl Kap. 9 90 ff. –– Betriebsrat Kap. 9 19 ff. –– Daten, elektronische Kap. 9 50 –– Daten, strukturierte Kap. 9 100 –– Daten, unstrukturierte Kap. 9 101 ff. –– ––
Datenschutzbeauftragter Kap. 9 18 Datenschutz-Grundverordnung Kap. 14 26 Datensicherung, gerichtsfeste Kap. 9 89 Datensicherungsprozess Kap. 9 107 f. Detektiv Kap. 9 138 f. Drittstaatenbezug Kap. 9 32 Durchführung Kap. 9 45 f. Einwilligung Kap. 9 26 Einzel-PC Kap. 9 86 ff. Entlöschen von Daten Kap. 9 112 Erlaubnistatbestand Kap. 9 13 f. Europaintern Kap. 9 29 f. Fahrzeugregister Kap. 9 140 Gerät, elektronisches Kap. 9 85 Gesprächsprotokollierung Kap. 9 77 ff. Grundbucheinsicht Kap. 9 145 f. Herausgabe Kap. 9 54 ff. Hintergrund-Check Kap. 9 51, 57 ff. Internetüberwachung Kap. 9 124 Keylogger Kap. 9 125 f. Kontoinformation Kap. 9 141 ff. Nichtbeschäftigter Kap. 9 23 f. Rahmenbedingungen, rechtliche Kap. 9 4 ff. –– Sicherungsprotokoll Kap. 9 109 –– Situationsbewertung Kap. 9 40 –– Standortüberwachung Kap. 9 134 ff. –– Strafverfahren Kap. 9 82 ff. –– Telekommunikationsrecht Kap. 9 5 f. –– Terrorliste Kap. 9 147 ff. –– Unterlagenauswertung Kap. 9 49 –– verdeckte/offene Kap. 9 53 –– Verkehrsdatenauswertung Kap. 9 114 –– Videoüberwachung Kap. 9 127 ff. –– Zusammenfassung Kap. 9 113 –– Zuständigkeit Kap. 9 41 Ermittlungsverfahren –– ~, staatsanwaltliches Kap. 9 2 –– ~, unternehmensinternes –– siehe Ermittlung, unternehmensinterne Kap. 9 1 –– Belehrungspflicht Kap. 9 74 –– E-Discovery Kap. 9 95 –– Verdacht Kap. 9 37 Erstkontrolle Kap. 3 51 E-Shop-Hosting Kap. 4 24 Ethikregelung Kap. 2 38 e-Training Kap. 3 83 EU-Bürger Kap. 14 23 –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– –– ––
Stichwortverzeichnis
EU-Datenschutz-Grundverordnung siehe Datenschutz-Grundverordnung EU-Datenschutzrichtlinie Kap. 1 5, Kap. 9 31 Europäisches Datenschutzsiegel Kap. 2 51, Kap. 4 167, Kap. 12 101, Kap. 13 11 ff., 99 Europarecht –– Anwendungsvorrang Kap. 14 19 –– Datenschutz-Grundverordnung Kap. 2 12 –– Ermittlung, unternehmensinterne Kap. 9 29 f. –– Europäischer Datenschutz Kap. 2 11 f. –– Grundrechte-Charta Kap. 2 9 f. European Network and Information Security Kap. 4 178 European Privacy Seal Kap. 13 96 EU-Standardvertrag Kap. 4 104 f., 132 ff. –– Abänderung Kap. 4 138 ff. –– Binding Corporate Rules Kap. 4 142, Kap. 5 106 –– Cloud Kap. 4 225, 240 ff. –– Controller-to-Controller Kap. 4 147 ff. –– Controller-to-Processor Kap. 4 151 f. –– Datenexport Kap. 4 145 –– Datenschutz-Grundverordnung Kap. 4 170 –– Datenschutzgarantie, angemessene Kap. 5 96 –– Datensicherheit Kap. 4 153 –– Datenübermittlung, konzerninterne Kap. 5 92 ff. –– Drittland, sicheres Kap. 4 231 –– E-Discovery Kap. 5 264 f. –– Ermittlung, unternehmensinterne Kap. 9 36, 47 –– Haftungsmodell Kap. 5 164 –– Konzern Kap. 5 25 –– Konzernbetriebsvereinbarung Kap. 5 45 –– Outsourcing Kap. 4 132 ff. –– Sets Kap. 4 144 –– Telekommunikations-Outsourcing Kap. 6 71 –– USA Kap. 5 95 –– Verantwortungsmodell Kap. 5 146 –– Weiterübermittlung Kap. 5 184 Exit-Interview Kap. 8 263 Exkulpation Kap. 2 44 Exportbeschränkung Kap. 4 92 f. Exportfunktion Kap. 1 59 ex-tunc-Unwirksamkeit Kap. 10 104
735
F Facebook Kap. 6 74, Kap. 7 39, Kap. 9 61, Kap. 10 154 ff., Kap. 11 29 Fachkenntnis des Datenschutzbeauftragten Kap. 3 18 Fachkunde Kap. 3 120 Factoring Kap. 4 29, Kap. 11 44, 81 f. Fähigkeitsbewertung Kap. 1 15 Fahrzeugregisterauskunft Kap. 9 140 Failover Kap. 12 111 Fail-safe/-secure Kap. 12 42 Fair trial Kap. 9 83 Falschbilanzierung Kap. 9 3 Fanpage Kap. 10 155 Faxwerbung Kap. 10 172 Federal Rules of Procedure Kap. 5 232 Fernabsatz Kap. 2 31 –– Anbieterkennzeichnungspflicht Kap. 7 48 –– Einwilligung, mündliche Kap. 10 88 –– Impressumspflicht Kap. 7 52 –– Informationspflichten Kap. 7 1 f. Fernmeldegeheimnis Kap. 2 26, Kap. 5 256, Kap. 6 8, Kap. 9 6, 94, 106, Kap. 12 96, 112, Kap. 14 6 –– Arbeitgeber Kap. 6 28, 32 –– Auftragsdatenverarbeitung Kap. 6 70 –– Beidseitigkeit Kap. 6 80 –– Betriebsvereinbarung Kap. 6 82 –– E-Mail Kap. 6 20 –– E-Mail-Filter Kap. 6 49 ff. –– Kommunikationspartner Kap. 6 53 –– Telekommunikationsdienst Kap. 6 19 –– Übermittlungsvorgang Kap. 6 22 ff. –– Unternehmen, privatrechtliches Kap. 6 26 –– Verpflichtung auf das Fernmeldegeheimnis Kap. 6 72 –– Zitiergebot, kleines Kap. 6 56 Festplatte, externe Kap. 9 85 Festplattenverschlüsselung Kap. 12 74, 76 Fettdruck Kap. 10 90 Filterung –– Datensparsamkeit Kap. 5 250 –– E-Discovery Kap. 5 246 ff. –– E-Mail Kap. 6 6 –– Prozessuale Datennutzung Kap. 5 271 –– Spamfilter Kap. 6 49 ff. Finanzbuchhaltung Kap. 4 24, 177 Finanzdienstleistungsinstitut siehe Bank Kap. 11 26
736
Stichwortverzeichnis
Finanzsektor Kap. 4 75 ff. Fingerprint Kap. 6 74 Firewall Kap. 12 82, 109, Kap. 13 95 Firmenbezeichnung Kap. 10 19 Firmenpräsentation Kap. 9 9 Firmenwagen Kap. 9 50 Firmware Kap. 13 96 Fishing expedition Kap. 5 215 Flatrate Kap. 4 175 Folgenabschätzung Kap. 1 47 ff. Follow-Button Kap. 10 158 Forderung –– ~sausgleich Kap. 11 136 f. –– ~srealisierung Kap. 11 71 f. –– ~, titulierte Kap. 11 95 –– ~, unbestrittene Kap. 11 118 –– Anerkenntnis Kap. 11 99, 104 ff. –– Ausfallwahrscheinlichkeit Kap. 11 42 –– Credit Management Kap. 11 2 –– Einmeldung Kap. 11 83 ff. –– Factoring Kap. 11 44, 81 f. –– Fälligkeit Kap. 11 94 ff. –– Inkasso Kap. 11 74 ff. –– Mahnung Kap. 11 73, 108 ff. –– Zahlungsausfall Kap. 11 138 Forderungsmanagement siehe Credit-Management Form, normalisierte Kap. 9 100 Fortbildung Kap. 1 13, Kap. 3 28, 34, 123 Fragerecht –– Alkohol Kap. 8 58 –– Allgemein zugängliche Quellen Kap. 8 88 ff. –– Alter Kap. 8 85 –– Arbeitgeberauskunft Kap. 8 96 –– Bewerbung Kap. 8 25 ff. –– Bonitätsauskunft Kap. 8 120 ff. –– Einstellungsuntersuchung Kap. 8 102 –– Einwilligung Kap. 8 29 –– Ermittlungsverfahren Kap. 8 64 –– Fähigkeiten Kap. 8 48 –– Familienverhältnisse Kap. 8 41 –– Freizeitbeschäftigung Kap. 8 82 –– Gesundheitsdaten Kap. 8 54 f. –– Gewerkschaftszugehörigkeit Kap. 8 76 –– Internetrecherche Kap. 8 90 ff. –– Leiharbeitsbranche Kap. 8 86 –– MfS-Mitarbeit Kap. 8 73 f. –– Nebentätigkeit Kap. 8 81
Offenbarung, freiwillige Kap. 8 32 Offenbarungspflicht Kap. 8 87 Parteizugehörigkeit Kap. 8 80 Polizeiliches Führungszeugnis Kap. 8 117 ff. –– Qualifikation Kap. 8 44 –– Raucher Kap. 8 59 –– Rechtsfolgen Kap. 8 34 ff. –– Referenzperson Kap. 8 46 –– Registereintragungen Kap. 8 65 –– Schwangerschaft Kap. 8 61 f. –– SED-Mitgliedschaft Kap. 8 75 –– Staatsangehörigkeit Kap. 8 52 –– Stammdaten Kap. 8 39 –– Verfassungstreue Kap. 8 71 –– Verfügbarkeit Kap. 8 43 –– Vermögensverhältnisse Kap. 8 66 f. –– Vorbeschäftigung Kap. 8 45 –– Vorstrafe Kap. 8 63 freezing Kap. 5 213 Freiwilligkeit Kap. 6 48 –– Drohung Kap. 10 103 –– Eingliederungsmanagement, betriebliches Kap. 8 177 –– Einwilligung, überobligatorische Kap. 11 20 –– Einwilligungserklärung Kap. 9 26 –– Fragerecht Kap. 8 30 –– Gesprächsaufzeichnung Kap. 9 77 –– Kopplungsgebot Kap. 10 91 –– Werbeeinwilligung Kap. 10 74 f. Freundschaftsanfrage Kap. 10 184 Freundschaftswerbung Kap. 10 73 Führungsposition Kap. 9 66 Führungszeugnis, polizeiliches Kap. 8 117 ff., 153 Funktionsausgliederung Kap. 4 20 ff. Funktionsauslagerung Kap. 4 77 Funktionsübertragung Kap. 3 71, Kap. 4 28 ff., Kap. 5 7 ff., 55, Kap. 9 46, Kap. 11 76 ff. Fünferkatalog Kap. 11 9 f., 102 Fusion Kap. 3 141 –– –– –– ––
G Gap-Analyse Kap. 12 135, 141 ff., 146 Garantenpflicht Kap. 3 136 –– Datenschutzbeauftragter Kap. 1 14 Garantievertrag Kap. 5 58 Gebührenzone Kap. 6 63
Stichwortverzeichnis
Gefahrenabwehr Kap. 6 39 Gefällt-mir-Button Kap. 10 158 Gehaltsabrechnung Kap. 4 114, Kap. 5 14 Geheimhaltungsklausel Kap. 4 5 Geheimhaltungspflicht Kap. 4 74 Geheimhaltungspflicht, berufsrechtliche Kap. 2 28 Geheimhaltungsvereinbarung Kap. 4 86 Geheimnisverrat Kap. 3 140 Gehilfe Kap. 4 74 Gelbe Seiten Kap. 10 194 Gelddarlehen Kap. 11 94 Geldbuße siehe Bußgeld Geldwäsche Kap. 9 3 Gemeinnützigkeit Kap. 10 63 Genehmigung, nachträgliche Kap. 5 236 Genehmigungsbescheid Kap. 5 170 Genehmigungspflicht Kap. 6 72, Kap. 9 47 Genehmigungsverfahren Kap. 3 106 Generalnorm Kap. 13 68 Genetische Analyse Kap. 8 111, 183 Genossenschaftsregister Kap. 7 72 Geodaten Kap. 6 65 ff. Geolokalisierung Kap. 7 33 Geprüfter Dienstleister mit Datenschutzmanagement Kap. 13 87 Gerichtsstand Kap. 5 160 Gesamtrechtsnachfolge Kap. 4 94 Geschäftsbeziehung Kap. 10 229 Geschäftsbrief Kap. 7 48 Geschäftsfähigkeit Kap. 10 95 Geschäftsführung, ordnungsgemäße Kap. 8 280 Geschäftsgeheimnis Kap. 4 5, Kap. 6 41, Kap. 11 26, Kap. 12 23 Geschäftsleitung –– Binding Corporate Rules Kap. 5 167 –– Compliance-Pflicht Kap. 6 3 –– Compliance-Verantwortlichkeit Kap. 1 39 f. –– Datenschutzverstoß Kap. 3 98 –– Ermittlung, unternehmensinterne Kap. 9 41 –– Informationssicherheitsmanagement Kap. 13 45 –– Management-Commitment Kap. 13 59 –– Maßnahmen, technisch-organisatorische Kap. 12 132
737
––
Unterstützung des Datenschutzbeauftragten Kap. 3 123 –– Verantwortliche Stelle Kap. 2 36 Geschäftsmäßigkeit Kap. 7 55 f. Geschäftsverkehr, elektronischer Kap. 7 1 f., Kap. 10 120 Geschäftszweck Kap. 12 1 Gesellschaft bürgerlichen Rechts Kap. 3 2 Gesetzesänderung Kap. 3 87 Gesetzgebungskompetenz Kap. 2 13 Gesprächsaufzeichnung Kap. 6 13 Gesprächsprotokoll Kap. 9 79, Kap. 12 140 Gesundheitsdaten Kap. 5 75, 253 –– Beschäftigtendanteschutz Kap. 8 174 f. –– Blutuntersuchung Kap. 8 106 –– Datenpanne Kap. 11 161 –– Eingliederungsmanagement, betriebliches Kap. 8 177 f. –– Einstellungsuntersuchung Kap. 8 98 ff. –– Fehlzeiten, krankheitsbedingte Kap. 8 176 –– Genetische Analyse Kap. 8 111 –– HIV Kap. 8 57 –– Krankenrückkehrgespräch Kap. 8 179 –– Psychologische Untersuchung Kap. 8 112 f. –– Regelung Kap. 4 86 –– Untersuchung, arbeitsmedizinische Kap. 8 180 ff. –– Werbeeinwilligung Kap. 10 81 Gesundheitswesen Kap. 4 86 Gewerbezentralregister Kap. 9 51 Gewerbsmäßigkeit Kap. 10 218 Gewerkschaft Kap. 3 2 Gewerkschaftszugehörigkeit Kap. 5 253 Gewinnabschöpfung Kap. 11 3 Gewinnabschöpfungsanspruch Kap. 7 47 Gewinnerzielungsabsicht Kap. 6 29 Gewinnspiel –– Datenerhebung Kap. 10 43 Girovertrag Kap. 11 31 Gläubigerwechsel Kap. 11 82 Gleichwertigkeitsgedanke Kap. 4 256 GmbH Kap. 4 95 Good Practices Kap. 1 51, Kap. 12 117, Kap. 13 84, 91, Kap. 14 29 Google Kap. 1 55 –– Analytics Kap. 7 32 f. –– Anwendbares Recht Kap. 4 209 –– Google+ Kap. 7 39
738
Stichwortverzeichnis
–– Recht, anwendbares Kap. 10 157 –– Social Media Marketing Kap. 10 154 ff. Google Analytics Kap. 10 135 Google Enterprise Docs Kap. 9 88 GotoMeeting Kap. 9 88 Governance-Struktur Kap. 9 40 GPS Kap. 6 65, Kap. 7 8 Grid Computing Kap. 4 13 Grundbucheinsicht Kap. 9 145 f. Grundprinzipien des Datenschutzrechts Kap. 2 14 ff. Grundsätze der ordnungsgemäßen Buchführung Kap. 6 55, 59 Grundsätze ordnungsmäßiger DV-gestützter Kap. 12 55 Grundschutz-Katalog Kap. 13 57 Gruppen-Account Kap. 12 55 Gültigkeitsdauer Kap. 13 90 Gültigkeitszeitraum Kap. 13 83 Gütesiegel Kap. 13 6, 26 ff. Guthabenkonto Kap. 11 35 H Haager Beweisübereinkommen Kap. 5 258 ff. Haftung –– ~, deliktische Kap. 2 46 –– ~, gesamtschuldnerische Kap. 9 47 –– ~, vertragliche Kap. 2 45 –– Arbeitnehmerdatenexport Kap. 4 149 –– Auftragsdatenverarbeitung Kap. 4 173, Kap. 5 208 –– BDSG Kap. 2 43 ff. –– Binding Corporate Rules Kap. 5 162 ff. –– Datenschutzbeauftragter Kap. 3 131 ff. –– Datenschutzerklärung Kap. 7 46 f. –– Drittbegünstigungsklausel Kap. 5 168 –– EU-Standardvertrag Kap. 4 148 –– Impressumspflicht Kap. 7 73 –– Lettershop Kap. 10 69 –– Outsourcing Kap. 4 31 –– Weisung Kap. 4 55 ff. –– Zertifizierung Kap. 13 8 Haftungsbegrenzung Kap. 3 132 Haftungsprivilegierung –– Arbeitsrecht Kap. 3 132 –– Zertifizierung Kap. 13 104 Halterdaten Kap. 9 140 Handakte, elektronische Kap. 4 258 Handelsbrief Kap. 6 58
Handelsregister Kap. 7 72 Handzettel Kap. 10 163 Happy-Digits Kap. 10 83 Hardware Kap. 13 95 Hardwareschnittstelle Kap. 12 59 Harmonisierung Kap. 13 30, Kap. 14 4 Hash Key Kap. 9 109 Hausbriefkasten Kap. 10 168 Hausrecht Kap. 9 131 Heimarbeiter Kap. 9 12 Herkunftsquelle Kap. 10 21 Hervorhebung, drucktechnische Kap. 10 90 Hierarchie Kap. 3 124 Hintergrund-Check Kap. 9 51 Hinweisgebersystem Kap. 9 38 Hinweispflicht Kap. 4 56 Hinweissystem Kap. 11 16 Hinwirkungsfunktion Kap. 12 152 Hinwirkungspflicht Kap. 3 136 Hinzunutzen Kap. 10 54 Hinzuspeichern Kap. 10 50 ff. Hosting Kap. 4 216 Housing Kap. 4 24 Human Ressources-System Kap. 5 1 Hybrid Cloud Kap. 4 186 Hyper Text Transfer Protocol Secure Kap. 12 69, 81 Hyperlink Kap. 7 16 I Identifikation Kap. 3 67 –– Beschäftigtendatenschutz Kap. 8 169 –– Qualifizierte elektronische Signatur Kap. 8 171 –– Selbstauskunft Kap. 11 148 ff. –– Videoüberwachung Kap. 8 205 –– Zutrittskontrolle Kap. 8 168 Identitätsmanagement, postmortales Kap. 1 28 f. Identitätsdiebstahl Kap. 11 15, 162 Identitätsüberprüfung Kap. 1 22 Image-Werbung Kap. 10 145 IMAP-Protokoll Kap. 6 25 Immaterieller Schaden Kap. 1 64, Kap. 2 47 Implementierungsaufwand Kap. 13 29 Impressum –– Anbieterkennzeichnungspflicht Kap. 7 42 –– Anforderungen, formale Kap. 7 60 –– Datenschutzerklärung Kap. 7 16
Stichwortverzeichnis
–– Dienstanbieter, besondere Kap. 7 72 –– Erkennbarkeit, leichte Kap. 7 61 f. –– Erreichbarkeit, unmittelbare Kap. 7 63 –– Gesellschaft Kap. 7 70 –– Gesellschaftskapital Kap. 7 71 –– Haftungsrisiken Kap. 7 73 –– Inhalt Kap. 7 65 ff. –– Kommerzielle Kommunikation Kap. 7 59 –– Natürliche Person Kap. 7 69 –– Telemedien Kap. 7 54 ff. –– Transparenz Kap. 7 48 ff. –– Verfügbarkeit, ständige Kap. 7 64 Information –– ~sintegrität Kap. 12 153 –– ~sverbund Kap. 13 66 –– ~, persönliche Kap. 6 80 –– ~, überschießende Kap. 8 93 –– Begriff Kap. 12 7 –– E-Discovery Kap. 5 220, 276 –– Schutzziele Kap. 13 42 ff. –– Speicherform Kap. 12 14 –– Vertraulichkeit Kap. 4 177 Information Security Management System Kap. 13 43 Informations- und Transparenzpflicht Kap. 7 48 Informationsdienst Kap. 7 11, Kap. 10 108 ff. Informationsinteresse Kap. 2 18 Informationspflicht –– Auftragsdatenverarbeitung Kap. 4 59, Kap. 12 96 –– Betriebsrat Kap. 8 275 f., Kap. 9 19 –– Betriebsübergang Kap. 8 265 –– Cookies Kap. 7 26 f. –– Customer Relationship Management Kap. 10 235 –– Datenpanne Kap. 11 161 ff. –– Datenschutzerklärung Kap. 7 3 ff. –– Datenübermittlung in Drittland Kap. 10 82 –– Dienstanbieter, besondere Kap. 7 72 –– Einwilligung Kap. 10 76 ff. –– Einwilligung, elektronische Kap. 10 118 –– Erkennbarkeit, leichte Kap. 7 61 f. –– Erreichbarkeit, unmittelbare Kap. 7 63 –– Fernabsatz Kap. 2 31 –– Gesellschaft Kap. 7 70 –– Haftungsrisiken Kap. 7 73 –– Inhalt Kap. 7 65 ff. –– Mahnwesen Kap. 11 73 –– Natürliche Person Kap. 7 69
739
–– Stelle, datenerhebende Kap. 10 210 –– Verfügbarkeit, ständige Kap. 7 64 –– Websitebetreiber Kap. 7 1 f. –– Widerrufsrecht Kap. 10 124 –– Zeitpunkt Kap. 10 203 Informationsquelle, papiergebundene Kap. 9 49 Informationssicherheit Kap. 1 16 –– ~smanagement Kap. 13 49 ff., 102 –– Anforderungen, technisch-organisatorische Kap. 12 16, 22 f. –– Basissicherheitscheck Kap. 13 62 –– Begriff Kap. 12 5 ff. –– Betrachtungsgegenstand Kap. 12 14 f., 27 –– Datenschutz Kap. 12 24 ff. –– Datenschutzprinzip Kap. 13 38 –– ISO-Standard Kap. 13 42 ff. –– IT-Grundschutz Kap. 13 55 ff. –– Managementsystem Kap. 12 99 –– Nachschlagewerk Kap. 13 64 –– Schulung Kap. 12 154 –– Schutzziele Kap. 12 2 –– Standards Kap. 4 234, Kap. 13 16 Informationssicherheitsbeauftragter Kap. 1 21, Kap. 12 133 ff. Informationssicherheitsmanagementsystem Kap. 1 10, 19 Informationstechnologie Kap. 3 18 Informationsungleichgewicht Kap. 5 212 Informationsverbund Kap. 12 13, 88 Informationsverwendungsfreiheit Kap. 11 14 Informierte Einwilligung Kap. 5 233 Infrastructure as a Service Kap. 4 184 f., 216 Infrastruktur Kap. 4 182 Infrastrukturebene Kap. 12 104 Inhaltsdaten Kap. 4 216 –– Cloud Kap. 4 263 –– Intranet Kap. 6 7 –– Nutzerprofil Kap. 10 128 –– Telekommunikation Kap. 9 6 –– Telemedien Kap. 10 110 –– Telekommunikationsüberwachung Kap. 6 19 –– Webmailinterface Kap. 6 39 Inhaltskontrolle Kap. 6 44 Inkasso Kap. 11 74 ff. Inkassozession Kap. 11 82 Innenrevision Kap. 9 143
740
Stichwortverzeichnis
Innerbetrieblicher Schadensausgleich Kap. 3 132 Insiderhandel Kap. 9 3 Insolvenzordnung Kap. 11 36 Instant Messaging Kap. 6 21 Integrität Kap. 12 11, 27 Interessensgruppe Kap. 12 19 Interessenkollision, private Kap. 8 149 International Federation of Accountants Kap. 13 68 International Working Group on Data Protection Kap. 4 228 Internationaler Konzern Kap. 5 78 ff. Internationales Recht Kap. 6 9 f. Internet –– ~-Überwachung Kap. 9 124 –– Beschäftigtenkontrolle Kap. 8 221 f. –– Betriebsrat Kap. 8 273 –– Cookies Kap. 1 15, Kap. 10 136 ff. –– Ermittlung, unternehmensinterne Kap. 9 59 –– Kontaktdaten, betriebliche Kap. 8 232 f. –– Netzwerkseparierung Kap. 12 83 –– Privatnutzung Kap. 6 16 –– privacy standards Kap. 13 96 –– Recht auf Vergessen Kap. 10 157 –– Surfen Kap. 7 16 –– Zugriff Kap. 6 1 ff. Internetangebot –– Datenschutzerklärung Kap. 7 3 ff. –– Geschäftsmäßigkeit Kap. 7 56 –– Informationspflichten Kap. 7 1 –– Telemedium Kap. 10 108 ff. Interoperabilität Kap. 1 59, Kap. 4 211, 222 Intimsphäre Kap. 9 11, 14, 55 Intra-Group-Agreement Kap. 5 139 Intranet Kap. 3 84 –– Datenschutz Kap. 6 75 –– Telemediendienst Kap. 6 10 –– Überwachung Kap. 6 16 IP-Adresse Kap. 6 74 –– Cookies Kap. 7 26 f. –– Personenbezogenes Datum Kap. 7 8, Kap. 10 111 f. –– Personenbezug Kap. 12 9 f. –– Protokollierung Kap. 12 89 –– Sperrung Kap. 12 56 –– Tracking Kap. 7 31 ff. Irrtum Kap. 10 103 f.
ISAE 3000 Kap. 13 68 ff. ISO –– Adressat Kap. 13 40 –– Anforderungen an ein Informationssicherheitsmanagement Kap. 13 42 ff. –– Anforderungskatalog Kap. 13 94 –– Information Technology/Security Techniques – Privacy Framework Kap. 13 36 –– Qualitätsniveau Kap. 13 52 –– Risikomanagement Kap. 13 47 –– Umsetzungshinweise Kap. 13 39 –– Verbreitung Kap. 13 41 ISO-Standards Kap. 12 137, Kap. 13 17 Ist-Arbeitszeit Kap. 8 159 IT Infrastructure Library Kap. 12 117 IT Operation Outsourcing Kap. 4 11 IT Service Continuity Management Kap. 12 117 IT-Dienstleistung –– Cloud Kap. 4 175 –– Outsourcing Kap. 4 4, 11 –– Produktzertifizierung Kap. 13 95 –– Zentralisierung Kap. 5 12 IT-Forensik Kap. 9 89 IT-Grundschutz Kap. 13 55 ff. IT-Grundschutzzertifizierung Kap. 13 11 IT-Helpdesk Kap. 12 47 IT-Hosting Kap. 9 46 IT-Richtlinien Kap. 6 18 IT-Sicherheit –– Zusammenarbeit mit Datenschutzbeauftragten Kap. 3 61, 65 IT-Sicherheitsbeauftragter Kap. 12 133 f. IT-Sicherheitsgesetz Kap. 1 51, Kap. 14 11 ff. IT-Sicherheitskonzept Kap. 1 36 IT-Sicherheitsmanagement Kap. 13 60 IT-Sicherheitsrichtlinie Kap. 12 74 IT-Verbund Kap. 12 126, Kap. 13 60 IuK-Dienste Kap. 7 11, 14 J Joint Control Kap. 4 166, 191 Journalist, investigativer Kap. 9 37, 59 Juristische Person –– Datenschutzbeauftragter Kap. 3 120 –– Liquidation Kap. 4 95 –– Verantwortliche Stelle Kap. 5 3
Stichwortverzeichnis
K Karenzzeit Kap. 10 32 Kartellrecht Kap. 9 55 Kartellrechtsverstoß Kap. 6 45 Katalog Kap. 10 43, 163 Kaufverhalten Kap. 10 233 Kenntnis-nur-bei-Bedarf-Prinzip Kap. 12 57 Kennzahl Kap. 12 147 Kensington-Schloss Kap. 12 74, 108 Kernanforderungen Kap. 12 2 Key Performance Indicator Kap. 12 153 Key Word Search Kap. 5 250 Keylogger Kap. 9 125 f. Keypad Kap. 12 40 Kfz-Kennzeichen Kap. 12 9 Klardaten Kap. 9 105 Klauselkontrolle Kap. 4 192 Know-how Kap. 12 14 Kollisionsrecht Kap. 6 9 f. Kommanditgesellschaft Kap. 3 2 Kommerzielle Kommunikation Kap. 7 59 Kommunikationsdienst Kap. 7 11 Kommunikationskonzept Kap. 12 154 Kommunikationsverbindungen, redundante Kap. 12 109 Komplexitätsreduktion Kap. 12 24 Konkludente Einwilligung Kap. 6 81 Konkretisierungsgrad Kap. 5 127 Konkurrent Kap. 14 9 Konkurrentenabmahnung Kap. 14 10 Konstruktionsplan Kap. 12 23 Konsultationspflicht Kap. 3 95 Konsultationsverfahren Kap. 4 168 f. Kontaktdaten, betriebliche Kap. 8 231 ff. Kontaktinformationen Kap. 7 67 –– Adresshandel Kap. 10 215 –– Anfragemaske Kap. 7 70 –– Anschrift, berufliche Kap. 10 58 –– Ermittlung, unternehmensinterne Kap. 9 46 –– Mitarbeiter Kap. 9 9 –– Postfach Kap. 7 69 –– Unterrichtungspflicht Kap. 10 19 –– Visitenkarte Kap. 10 174 Kontodaten –– Plausibilität Kap. 11 16 Kontoinformation Kap. 9 141 ff. Kontonummer Kap. 12 9 Kontrolle
741
–– ~, flächendeckende Kap. 14 8 –– ~, reaktive Kap. 6 47 –– ~, regelmäßige Kap. 12 34 –– ~, totale Kap. 8 217 Kontrollpflicht –– Auftragsdatenverarbeitung Kap. 3 72 ff., 77 f., Kap. 4 47 ff. –– Dokumentation Kap. 4 50 f. –– Sachverständigentestat Kap. 3 76 Kontrollsystem, internes Kap. 9 91 Kontrollverfahren Kap. 2 22 Konzern –– ~richtlinie Kap. 5 142 f., 149 –– ~, internationaler Kap. 5 78 ff. –– Angebot, eigenes Kap. 10 56 –– Auftragsdatenverarbeiter Kap. 5 205 ff. –– Auftragsdatenverarbeitung Kap. 5 18 ff. –– BCR-Aktualisierung Kap. 5 199 ff. –– Beschäftigtendaten Kap. 5 2, 50 –– Beschäftigungsverhältnis, konzernbezogenes Kap. 5 65 ff. –– Betriebsvereinbarung Kap. 5 28, 36, 42 ff. –– Betriebsvereinbarungen Kap. 5 100 –– Binding Corporate Rules Kap. 5 102 ff., 115 f. –– Datenabgleich Kap. 11 66 –– Datenaustausch, interner Kap. 5 1 ff. –– Datenschutzabteilung, zentrale Kap. 5 196 f. –– Datenübermittlung Kap. 5 23 f., Kap. 10 77 –– Drittland Kap. 5 81 ff. –– E-Discovery-Anfrage Kap. 5 228 –– Eigenwerbung Kap. 10 202 –– EU-Standardvertrag Kap. 5 94 –– Kontaktverzeichnis Kap. 5 62 ff. –– Kreditlimitsteuerung Kap. 11 64 –– Kundendaten Kap. 5 72 f., Kap. 10 45, 210 ff. –– Listenprivileg Kap. 10 66 –– Lohn-/Gehaltsabrechnung Kap. 5 14 –– Matrixstruktur Kap. 5 68 ff. –– Personalberatung Kap. 8 132 –– Personalverwaltung Kap. 5 13, 54 ff. –– Rechenzentrum Kap. 5 12 –– Sensitive Beschäftigtendaten Kap. 5 77 –– Skill-Datenbank Kap. 5 71 –– Telekommunikations-Outsourcing Kap. 6 69 –– Übermittlungsvertrag Kap. 5 267
742
Stichwortverzeichnis
Unternehmensliste Kap. 5 168 Werkschutz Kap. 5 15 Zusammenarbeit mit Aufsichtsbehörde Kap. 5 198 Konzernabschlussprüfung Kap. 4 96 Konzerndatenschutzbeauftragter Kap. 1 12, Kap. 3 8 ff. –– Haftung Kap. 3 132 –– Internationaler Konzern Kap. 3 13 ff. –– Vor- und Nachteile Kap. 3 12 Konzernprivileg Kap. 4 38, 128, 155, Kap. 5 4, 98, Kap. 10 45 Kopplungsverbot Kap. 10 8, 75, 91 ff., 148 Korrekturanspruch Kap. 2 21 Korrespondenz, zeitkritische Kap. 6 40 Korruption Kap. 9 123 Korruptionsdelikt Kap. 6 45, Kap. 9 3 Korruptionsstraftat Kap. 14 3 Krankenhaus Kap. 4 86 Krankheitstage Kap. 5 75 Kreditauskunftssystem Kap. 4 79 Kreditinstitut siehe Bank Kap. 11 26 Kreditkarte Kap. 11 19 Kreditkartendaten Kap. 11 9 Kreditlimit Kap. 11 62 Kreditmanagement Kap. 11 1 ff. –– Benachrichtigungspflicht Kap. 11 142 ff. –– Bonitätsprüfung Kap. 11 5 ff. –– Datenpanne Kap. 11 162 –– Datensicherheit Kap. 11 4 –– Einmeldung Kap. 11 83 ff. –– Entscheidungssystem, automatisiertes Kap. 11 57 ff. –– Factoring Kap. 11 81 f. –– Forderungsrealisierung Kap. 11 71 f. –– Inkasso Kap. 11 74 f. –– Langfristbeobachtung Kap. 11 140 –– Liefersperre Kap. 11 125 ff. –– Limitsteuerung Kap. 11 62 ff. –– Mahnwesen Kap. 11 73 –– Monitoring Kap. 11 67 ff. –– Scoring Kap. 11 42 ff. –– Selbstauskunft Kap. 11 146 ff. –– Transparenzpflicht Kap. 11 141 –– Vertragsbeendigung, gestörte Kap. 11 136 f. –– Vertragsbeendigung, ordnungsgemäße Kap. 11 129 ff. –– –– ––
–– Zahlungsausfall Kap. 11 138 ff. Kredit-Scoring Kap. 11 51 ff. Krisenstab Kap. 9 42 Kunde –– Anbieterwechsel Kap. 10 52 –– Bestandskunde Kap. 10 42 –– Beziehung Kap. 10 199 –– Bonitätsprüfung Kap. 11 5 ff. –– Customer Relationship Management –– siehe dort –– Daten siehe Kundendaten –– Datensicherheit Kap. 3 66 –– Gewinnung Kap. 10 209 –– Kreditlimit Kap. 11 66 –– Kundenbetreuung, konzernzentrale Kap. 5 73 –– Liefersperre Kap. 11 125 ff. –– Monitoring Kap. 11 67 ff. –– Persönlichkeitsprofil Kap. 10 233 –– Pflege –– siehe Customer Relationship Management –– Profil Kap. 10 51 –– Zertifizierung Kap. 13 1 –– Zufriedenheitsbefragung Kap. 10 180 f. Kundendaten –– ~, fremde Kap. 10 209 –– Aufbewahrungsfrist Kap. 10 205, Kap. 11 12 –– Customer Relationship Management Kap. 10 229 –– Fremdwerbung Kap. 10 68 –– Herkunftsquelle Kap. 10 21 –– Informationssicherheit Kap. 12 23, 26 –– Konzern Kap. 5 20, Kap. 10 45, 210 ff. –– Nutzung Kap. 10 1 ff. –– Plausibilitätsprüfung Kap. 11 15 –– Übermittlung, konzerninterne Kap. 5 72 f. –– Vertragsbeendigung Kap. 11 129 ff. –– Werbeeinwilligung Kap. 10 74 f. –– Wettbewerbsrecht Kap. 10 162 –– Zweckbindung Kap. 10 232 Kundendatenschutz Kap. 3 38 Kundentabelle Kap. 9 100 Kündigung –– ~, betriebsbedingte Kap. 8 255 –– ~, fristlose Kap. 3 137, Kap. 11 119 –– ~, krankheitsbedingte Kap. 8 176 –– Anhörung des Betriebsrats Kap. 8 254 –– Bleibeverhandlung Kap. 8 263
Stichwortverzeichnis
Credit-Management Kap. 11 125 Darlehen Kap. 11 94 Entscheidungssystem, elektronisches Kap. 11 126 ff. –– Personalgespräch Kap. 8 253 –– Vorbereitung Kap. 8 251 Kündigungsschutz Kap. 3 22, 33, 141 Kuno-Datei Kap. 11 123 –– –– ––
L Landesdatenschutzbeauftragter Kap. 3 105 –– Cloud-Grundsätze Kap. 4 222 Landesrecht –– Auftragsdatenverarbeitung Kap. 4 70 Laptop Kap. 9 85, Kap. 12 73, 108 Leasing Kap. 11 119 Lebenszyklusmanagement Kap. 1 49 Legitimationspapiere, ausländische Kap. 8 172 Legitimationsprüfung Kap. 12 66 Leiharbeiter Kap. 9 12 Leistung, gleichwertige Kap. 10 93 Leistungsangebot Kap. 2 28 Leistungsbewertung Kap. 1 15 Leistungskette Kap. 4 193 Leistungsmissbrauch Kap. 11 123 Leistungsträger, sozialrechtlicher Kap. 11 39 Leistungsverweigerungsrecht Kap. 9 80 Leitlinie zur Informationssicherheit Kap. 13 59 Lernprogramm Kap. 3 83 Leserecht Kap. 12 58 Lettershop Kap. 10 21, 69 LIBE-Ausschuss Kap. 4 161 LIBE-Entwurf Kap. 14 16 Lieferant Kap. 3 42 Liefersperre Kap. 11 125 ff. Like-Button Kap. 7 39, Kap. 10 158 Limited Assurance Kap. 13 69 Limitsteuerung Kap. 11 62 ff. Liquidation Kap. 4 95 Listbroker Kap. 10 69 Listenprivileg Kap. 10 35 ff. –– Adresshandel Kap. 10 214 ff. –– Angebot, eigenes Kap. 10 42 f., 55 f. –– Angebot, fremdes Kap. 10 66 f. –– Customer Relationship Management Kap. 10 230 –– Datenquelle Kap. 10 53 –– Datenzusammenführung Kap. 10 49 –– Freundschaftswerbung Kap. 10 73
743
–– Hinzunutzen Kap. 10 54 –– Hinzuspeichern Kap. 10 50 ff. –– Interesse, schutzwürdiges Kap. 10 70 ff. –– Konzern Kap. 10 210 –– Listendaten Kap. 10 37 ff. –– Merkmale Kap. 10 40 –– Nutzerprofil Kap. 10 128 –– Selbsterhebung Kap. 10 48 –– Speicherfrist Kap. 10 71 –– Spendenwerbung Kap. 10 62 ff. –– Verzeichnisdaten Kap. 10 47 –– Werbemaßnahme, zulässige Kap. 10 41 –– Werbung, berufsbezogene Kap. 10 57 ff. –– Wettbewerbsrecht Kap. 10 195 litigation hold Kap. 5 213, 240 Live-Streaming Kap. 7 13 Log-Server Kap. 12 91 Logging Kap. 12 86 Lohn-/Gehaltsabrechnung Kap. 5 14 Lohnbuchhaltung Kap. 4 12, 24 Löschklasse Kap. 1 33 Löschpflicht Kap. 1 31 ff. –– Auskunftei Kap. 11 122 –– Ausweiskopie Kap. 11 149 –– Betriebsratsunterlagen Kap. 8 282 –– Cloud Kap. 4 220 –– Daten, unzulässig gespeicherte Kap. 2 21 –– Einwilligungswiderruf Kap. 10 101 –– Kundendaten Kap. 10 205 –– Melderegisterauskunft Kap. 11 37 –– Mitarbeiter, ausgeschiedener Kap. 8 270 –– Suchmaschine Kap. 1 56 f. –– Videoaufnahme Kap. 9 129 –– Werbewiderspruch Kap. 10 28 Löschung –– ~, sichere Kap. 12 76, 77 –– Audit-Log Kap. 12 121 –– Auftragsdatenverarbeitung Kap. 4 52 –– Binding Corporate Rules Kap. 5 161, 171, 180 –– Datenschutz Kap. 12 27 –– Dublette Kap. 9 110 –– E-Discovery Kap. 5 277 ff. –– E-Mail-Konto Kap. 6 60 –– E-Mail-Verkehr Kap. 6 6 –– Entlöschen Kap. 9 112 –– Information, falsche Kap. 8 12 –– Kundendaten Kap. 12 26 –– Löschfrist Kap. 11 13 f.
744
Stichwortverzeichnis
Recht auf Vergessenwerden Kap. 1 52 ff. Vertragsverhältnis, abgewickeltes Kap. 11 135 –– Videoüberwachung Kap. 8 218 Löschungsanspruch –– Beschäftigter Kap. 8 188 –– Werbewiderspruch Kap. 10 30 Lüge, Recht zur Kap. 9 67 –– ––
M Mahnung Kap. 11 108 ff., 145 Mahnwesen Kap. 11 73 Management-Attention Kap. 1 2 Management-Commitment Kap. 13 45, 59 Management-Netzwerk Kap. 12 8 Mandanten-ID Kap. 12 46 Man-in-the-middle-Angriff Kap. 12 81 Marktattraktivität Kap. 13 7 Marktforschung Kap. 10 4 Marktmacht Kap. 2 45, Kap. 4 221 Marktreife Kap. 13 32 Marktverbreitung Kap. 13 33 Marktverhalten Kap. 2 32 Marktverhaltensnorm Kap. 1 73 f. Marktverhaltensvorschrift Kap. 14 9 Maschine-zu-Maschine-Kommunikation Kap. 12 71 Massendatenanalyse Kap. 14 3 Maßnahme, risikominimierende Kap. 6 50 Maßnahmen, technisch-organisatorische Kap. 4 61, Kap. 5 177, Kap. 10 130 –– Act-Phase Kap. 12 152 f. –– Anforderungen, kohärente Kap. 12 26 –– Auftragskontrolle Kap. 12 94 f. –– Check-Phase Kap. 12 151 –– Datenschutz Kap. 12 1, 29 ff. –– Dienstleister mit geprüftem Datenschutzmanagement Kap. 13 91 –– Dokumentation Kap. 12 140 –– Eingabekontrolle Kap. 12 84 f. –– Gap-Analyse Kap. 12 136, 143 –– Informationssicherheitsmanagement Kap. 12 159 –– Initialisierung Kap. 12 131 f. –– ISO-Standard Kap. 13 47 –– IT-Grundschutz Kap. 13 64 –– Kick-off-Termin Kap. 12 133 –– Kommunikationsmaßnahmen Kap. 12 155
Maßnahmenplan, priorisierter Kap. 12 147 f. –– Projektleiter Kap. 12 144 –– Schulung Kap. 12 154 –– Selbstverpflichtung Kap. 12 20 –– Stand der Technik Kap. 12 150 –– Trennungsgebot Kap. 12 118 ff. –– Umsetzung Kap. 12 125 ff., 150 –– Verbesserungsprozess, kontinuierlicher Kap. 12 156 –– Verfahrensverzeichnis Kap. 12 138, Kap. 13 4 –– Verfügbarkeitskontrolle Kap. 12 102 ff. –– Verhältnismäßigkeit Kap. 12 137 –– Vorgaben Kap. 12 18 –– Weitergabekontrolle Kap. 12 64 f. –– Wirtschaftsbetrachtung Kap. 12 33 –– Zertifizierung Kap. 13 2 –– Zugangskontrolle Kap. 12 48 f. –– Zugriffskontrolle Kap. 12 57 f. –– Zutrittskontrolle Kap. 12 38 Matrixstruktur Kap. 5 68 ff. Maximalprinzip Kap. 12 32 Measured Services Kap. 4 179 Meinungsbefragung Kap. 10 181 Meinungsforschung Kap. 3 3, Kap. 10 4 Meinungsumfrage, telefonische Kap. 10 221 Meldepflicht Kap. 3 52 –– Datenabfluss, rechtswidriger Kap. 1 20 –– Datenschutzaufsicht Kap. 1 16 –– Datenträgerverlust Kap. 12 73 Melderegister Kap. 9 51 Melderegisterauskunft Kap. 10 222 ff., Kap. 11 37 Meldeweg Kap. 9 41 Merkblatt Kap. 3 84 Message Digest 5 Kap. 9 109 Message-Servicecenter Kap. 6 22 Messenger-Dienst Kap. 6 71 Meta-Suchmaschine Kap. 9 57 Metadaten Kap. 5 220 Microsoft 365 Kap. 9 88 Miete Kap. 11 119 Minderjähriger Kap. 10 95 Mindestanforderungen an das Risikomanagement Kap. 4 259 Mindestschutzniveau Kap. 3 71 Mitarbeiter –– ~, ausgeschiedener Kap. 8 268 f. ––
Stichwortverzeichnis
–– ~, freier Kap. 3 42 –– ~, neuer Kap. 3 85 f. –– Angebot, soziales Kap. 8 239 –– Auskunftspflicht Kap. 9 62 ff. –– Bank-Angestellter Kap. 9 143 –– Beobachtung, heimliche Kap. 8 219 –– Besitzdiener Kap. 9 54 –– Betriebsübergang Kap. 8 264 ff. –– Binding Corporate Rules Kap. 5 149 ff. –– E-Discovery Kap. 8 247 ff. –– Eigenwerbung Kap. 8 242 –– Fragebogen Kap. 9 21 –– Gerät, elektronisches Kap. 9 8 f. –– Kontaktdaten, betriebliche Kap. 8 231 ff. –– Kündigungsschutz Kap. 8 255 –– Namensschild Kap. 8 235 –– Newsletter Kap. 12 155 –– Publikationsliste Kap. 8 234 –– Recht am eigenen Bild Kap. 8 238 –– Schautafel Kap. 8 236 –– Schulung Kap. 5 188 ff., Kap. 12 98, 149 –– Screening Kap. 8 223 ff. –– Überwachung Kap. 8 189 ff. –– Unternehmensverkauf Kap. 8 244 ff. –– User-ID Kap. 9 103 –– Versicherungsangebot Kap. 8 240 –– Videoüberwachung Kap. 8 205 ff. –– Werbung Kap. 8 241 –– Zeugnis Kap. 8 257 ff. Mitarbeiterrekrutierung Kap. 4 29 Mitarbeiterschulung Kap. 1 21, 35, Kap. 2 42, Kap. 3 80 ff. Mitarbeitervertretung siehe Betriebsrat Mitbestimmungsrecht Kap. 5 273, Kap. 9 20 Mitgliedstaat Kap. 4 106 Mithören Kap. 6 13, 62, Kap. 9 119 MMS Kap. 6 21 f., Kap. 10 198 Mobile App Kap. 7 14 Mobile Devices Kap. 9 85 Mobilfunktelefon Kap. 6 65 Monitoring Kap. 1 10, Kap. 11 67 Monopolstellung Kap. 12 23 Multi-Channel-Bewerbung Kap. 10 85 Multi-Tenancy-Architektur Kap. 4 189 Multi-Tenant Modell Kap. 4 179 MUSCULAR Kap. 4 189 Musterantwortschreiben Kap. 3 90 Mustervertrag Kap. 4 144, 151
745
Muttergesellschaft Kap. 5 13, 20, 53 mutual recognition Kap. 5 118 N Nachbarschaftsbefragung Kap. 11 28 Nachfragewerbung Kap. 10 184 Nachhaltigkeitsbericht Kap. 13 72 Nachrichtendienst Kap. 6 39 Nachtatverhalten Kap. 1 41 Nachweis datenschutzkonformer Verarbeitungsverfahren Kap. 1 44 Namensverzeichnis Kap. 5 62 ff. National Institute of Standards and Tech Kap. 4 178 f. National Security Agency Kap. 4 122 ff. Natürliche Person Kap. 3 2 Nearshoring Kap. 4 15 Nebenpflicht, vertragliche Kap. 2 45 Need-to-know-Prinzip Kap. 12 57, 96 Negativauskunft Kap. 1 22 Negativdaten Kap. 11 83 f. Netzersatzanlage Kap. 12 107 Netzmanagement Kap. 13 60 Netzwerk Kap. 12 13 Netzwerkebene Kap. 12 51 Netzwerkkomponenten Kap. 9 50 Netzwerkseparierung Kap. 12 82 f. Netzwerkverkehr, unternehmensinterner Kap. 9 123 Neuanlage Kap. 12 86 Neukunde Kap. 10 209 News-Groups Kap. 7 14 Newsletter Kap. 3 84, Kap. 7 27, 59, Kap. 10 187, 191 Nicht-öffentliche Stelle Kap. 3 2 Nichtabstreitbarkeit Kap. 12 12 Nichtverfügbarkeit siehe Verfügbarkeitskontrolle Niederlassung Kap. 5 226, Kap. 9 31 Non-performing Loan Kap. 11 86 Normalform Kap. 9 100 Notfallbenutzerkonzept Kap. 12 112 Notfallkonzept Kap. 12 113 Notfallmanagement Kap. 13 56 Notfallvorsorgekonzept Kap. 3 44 Notstand Kap. 6 13, Kap. 9 56 Notwehr Kap. 6 13, 62, Kap. 9 56, 126 NSA Kap. 4 189, Kap. 9 36 Nutzer Kap. 10 109
746
Stichwortverzeichnis
Nutzerdaten Kap. 10 109 Nutzerprofil Kap. 10 125 –– Cookies Kap. 10 137 –– Einwilligung Kap. 10 134 f. –– Nutzungsdaten Kap. 10 128 –– Werbezweck Kap. 10 127 ff. Nutzung –– Bestandsdaten Kap. 10 143 ff. –– Bewerberdaten Kap. 8 126 ff. –– Einwilligung Kap. 10 76 ff. –– E-Mail-Nutzung, private Kap. 14 6 –– Filterung Kap. 5 249 –– Hinzunutzen Kap. 10 54 –– Kundendaten Kap. 10 5 ff. –– Melderegisterdaten Kap. 10 224 –– Weiterleitung Kap. 10 161 –– Werbezwecke Kap. 10 24 Nutzungsabrechnung Kap. 6 39 Nutzungsdaten Kap. 6 34, Kap. 10 109, 128 –– Webmailinterface Kap. 6 39 Nutzungsprofil Kap. 7 28 Nutzungsverhalten Kap. 9 87 O Offenbarung, ungefragte Kap. 8 33 Offenlegung Kap. 5 229 Offenlegungspflicht Kap. 5 210 ff. Offenlegungsverfahren Kap. 5 217 Öffentlich zugängliche Quelle Kap. 8 5 Öffentliche Stelle –– Auftragsdatenverarbeitung Kap. 4 81 f. Öffentliches Verfahrensverzeichnis Kap. 1 18, Kap. 3 35 Öffentlichkeitsarbeit Kap. 1 21 Öffnungsklausel Kap. 5 180 Offshoring Kap. 4 2, 15 Ombudsleute Kap. 9 39 On Site Management Kap. 4 13 On-demand Self Service Kap. 4 179 One Stop Shop Kap. 4 210 Online Advertising Alliance Kap. 7 38 Online Behavioural Advertising Kap. 7 36 ff. Online-Auktion Kap. 7 57 Online-Profil siehe Nutzerprofil Kap. 10 127 ff. Online-Schulung Kap. 3 83 Online-Shop Kap. 10 2 –– Benachrichtigungspflicht Kap. 11 144
Datenschutz, bereichsspezifischer Kap. 10 5 –– Datenschutz-Grundverordnung Kap. 14 25 –– Produktzertifizierung Kap. 13 96 –– Social Plugin Kap. 10 160 –– Telemedium Kap. 10 108 ff. –– Versandhausbetrug Kap. 11 15 –– Werbung, verhaltensbasierte Kap. 10 126 Online-Tracking Kap. 4 252 Onward transfers Kap. 5 181, 184 Open Web Application Security Project Kap. 12 60 Opt-in Kap. 7 29 Opt-in/-out Kap. 10 83 ff., 121 f. Orbis Kap. 9 58 Ordnungswidrigkeit –– ~, beschäftigungsbezogene Kap. 9 55 –– Ahndung Kap. 2 41 –– Aufsichtspflichtverletzung Kap. 9 2 –– Auftragsdatenverarbeitung, unwirksame Kap. 4 67 ff. –– Auskunftserteilung, verspätete Kap. 11 156 –– Beschäftigtendatenschutz Kap. 8 139 –– Compliance-Verantwortlichkeit Kap. 13 8 –– Datenpanne Kap. 11 164 –– Datenschutzerklärung, fehlerhafte Kap. 7 46 –– Datenschutzverstoß Kap. 1 66 ff. –– Dokumentationspflicht Kap. 9 53 –– E-Discovery-Dienstleister Kap. 5 284 –– E-Mail-Überwachung Kap. 6 46 –– Frage, unzulässige Kap. 8 35 –– Impressum, fehlerhaftes Kap. 7 73 –– Mangelnder Datenschutzbeauftragter Kap. 3 1 –– Melderegisterdatennutzung Kap. 10 224 –– Nutzerprofil Kap. 10 130 –– Rufnummernunterdrückung Kap. 10 185 –– Sanktionen Kap. 2 48 ff. –– Schriftform bei Auftragsdatenverarbeitung Kap. 4 35 –– Verhaltenskontrolle Kap. 6 44 Organhaftung Kap. 13 8 Organisation –– IT-Sicherheit Kap. 13 60 –– Maßnahmen, technisch-organisatorische Kap. 12 129 f. –– Stellung des Datenschutzbeauftragten Kap. 3 122 f. ––
Stichwortverzeichnis
Organisationskontrolle Kap. 1 9 f., Kap. 3 43 –– Datenschutzbeauftragter Kap. 1 11 ff. –– Maßnahmen, technisch-organisatorische Kap. 12 34, 158 –– Richtlinie zum Vorgehen bei einem Datenverlust Kap. 12 74 –– Richtlinien Kap. 12 53 Organisationspflicht Kap. 2 37 Organisationsverschulden Kap. 1 24, 41, Kap. 13 8 Organmitglied Kap. 9 12 Ortung Kap. 6 65 ff. Outsourcing –– ~, internes Kap. 4 17 –– ~, konzerninternes Kap. 5 91 –– Auftragsdatenverarbeitung Kap. 4 7, 18 f. –– Ausland Kap. 4 97 ff. –– Auswahl Kap. 4 41 ff. –– Auswahl, sorgfältige Kap. 4 37 –– Begriff Kap. 4 1 ff. –– Bereiche Kap. 4 9 ff. –– Binding Corporate Rules Kap. 4 129 –– Cloud Kap. 4 175 ff. –– Datenschutzbeauftragter Kap. 3 69 ff. –– Debitoralmanagement Kap. 11 74 –– Drittländer-Cloud Kap. 4 226 f. –– EU Kap. 4 205 –– EU-Standardvertrag Kap. 4 132 ff. –– Finanzsektor Kap. 4 78 –– Funktionsausgliederung Kap. 4 20 ff. –– Funktionsübertragung Kap. 4 28 ff. –– Geheimhaltungspflicht Kap. 4 74 –– Konzernprivileg Kap. 4 38 –– Öffentliche Stelle Kap. 4 81 f. –– Pflichten Kap. 4 39 f. –– Sicherheitskonzept Kap. 4 48 –– Telekommunikation Kap. 6 68 f. –– Voraussetzungen Kap. 4 217 ff. –– Zweckbestimmung Kap. 4 32 f. P Pactum de non petendo Kap. 11 95 Pah Kap. 12 59, 111 Partnerschaftsregister Kap. 7 72 Passwort Kap. 9 126, Kap. 12 47 Passwort-Komplexität Kap. 12 56 Patent Kap. 12 23 Patienteninformation Kap. 3 110 Patriot Act Kap. 4 119 ff.
747
Pauschalzustimmung Kap. 5 233 Pay per Use Kap. 4 181, 185 Payback Kap. 10 85 Payment Card Industry’s Data Security St Kap. 12 61 Person, natürliche Kap. 10 109, Kap. 12 8 f. Personalabrechnung Kap. 1 15 Personalakte –– ~, betriebsratseigene Kap. 8 279 ff. –– ~, elektronische Kap. 8 141 –– Arbeitsverhältnis, beendetes Kap. 8 269 f. –– Arbeitszeugnis Kap. 8 257 –– Bewerbungsinformationen Kap. 8 140 –– Einsichtsrecht Kap. 8 11, 187, Kap. 9 79 –– Gegendarstellungsrecht Kap. 8 12 –– Gegenvorstellung Kap. 8 188 Personalausweis Kap. 11 149 Personaldaten, grundlegende Kap. 8 144 ff. Personalfragebogen Kap. 9 21 Personalinformationssystem Kap. 5 13 Personalverwaltung Kap. 4 29, 177 –– Konzern Kap. 5 54 ff. –– Matrixstruktur Kap. 5 68 ff. –– Sensitive Daten Kap. 5 75 –– Sicherheitszone Kap. 12 36 –– Skill-Datenbank Kap. 5 71 –– Verarbeitungsverfahren Kap. 12 139 Personen, natürliche Kap. 10 141 Personenbezogene Daten –– Anschriftendaten Kap. 11 50 –– Auskunft Kap. 1 22 ff. –– Beschäftigtendaten Kap. 8 4 f. –– Besondere Arten Kap. 1 15, 46, Kap. 4 19, Kap. 5 253, Kap. 10 81, Kap. 12 31 –– Cookies Kap. 7 26 f. –– Daten, sensible Kap. 4 114 –– Daten, strukturierte/unstrukturierte Kap. 9 102 f. –– Datenschutz Kap. 12 8 f. –– Datenschutzerklärung Kap. 7 8, 20 –– Gegenstand des Datenschutzrechts Kap. 2 15 –– Gesundheitsdaten Kap. 8 174 f. –– Herkunftsinformationen Kap. 10 210 –– Informationssicherheit Kap. 12 15 –– Informationssicherheits managementsystem Kap. 13 51 –– Inhaltsdaten Kap. 9 6 –– IP-Adresse Kap. 10 111 f.
748
Stichwortverzeichnis
–– Lebenszyklusmanagement Kap. 1 49 –– Listendaten Kap. 10 37 ff. –– Melderegister Kap. 10 222 ff. –– Mitarbeiterdaten Kap. 3 51 –– Nutzerprofil Kap. 10 129 –– Personenbezug Kap. 12 10 –– Risikokategorie Kap. 3 39 –– Schutzbedarf Kap. 12 31 –– Selbstauskunft Kap. 11 157 –– Sensible Daten Kap. 11 161 –– Sensitive Daten Kap. 5 46, 74 ff. –– Social Media Kap. 6 74 –– Testdaten Kap. 12 124 –– Übermittlung ins Ausland Kap. 3 99 ff. –– Unternehmensdaten Kap. 9 7 ff. –– Zweckbindung Kap. 1 33 Personenbezug, absoluter/relativer Kap. 10 111 f. Personengesellschaft Kap. 3 2 Personengruppe Kap. 10 40, 51 Personenidentität Kap. 12 41 Personenstammdaten Kap. 7 8 Personenstandsbuch Kap. 9 51 Persönliche Haftung Kap. 3 131 Persönlichkeitsbewertung Kap. 1 15 Persönlichkeitsprofil Kap. 10 51, 233 Persönlichkeitsrecht –– Ableitungen Kap. 2 1 –– Arbeitszeugnis Kap. 8 258 –– Bankgeheimnis Kap. 9 141 ff. –– Betriebsvereinbarung Kap. 5 38 –– Einmeldung von Vertragsverhalten Kap. 11 84 –– Frage, unzulässige Kap. 8 36 –– Fragerecht des Arbeitgebers Kap. 8 25 –– Gewahrsamssphäre Kap. 8 198 –– Information, falsche Kap. 8 12 –– Kernbereich Kap. 8 193 –– Kommunikationsüberwachung Kap. 8 221 –– Nutzerprofil Kap. 10 125 –– Privatdetektiv Kap. 9 138 –– Telefonüberwachung Kap. 6 12 –– Verletzung Kap. 3 133 –– Verstorbener Kap. 1 28 Pflichtverletzung –– Datenschutzbeauftragter Kap. 3 140 piggybacking Kap. 12 44 Pilotbetrieb Kap. 12 148 PIN Kap. 12 40
Plan Do Check Act Kap. 12 99, 128 ff., Kap. 13 42 Platform as a Service Kap. 4 184 f. Plausibilitätsprüfung Kap. 11 15 Pönale Kap. 12 23 Point of Sale Kap. 11 19, 24 Polizeiliches Führungszeugnis Kap. 8 117 ff. POP3-Protokoll Kap. 6 24 Pop-up-Blocker Kap. 7 16 Pop-up-Fenster Kap. 10 119 Portabilität Kap. 4 222 Positivdaten Kap. 11 32 f., 83 Post, elektronische siehe E-Mail Postanschrift Kap. 10 19, 145 Postfach Kap. 6 23 Präsentation Kap. 3 83 Pre-Employment Checks Kap. 8 132 Preisausschreiben Kap. 10 43 Preisverfall Kap. 12 23 Pressestelle Kap. 9 42 Pre-Trial Discovery Kap. 5 210 f. –– 4-Phasen-Modell Kap. 5 229 –– Artikel-29-Datenschutzgruppe Kap. 5 222 –– Beschäftigtendaten Kap. 5 254 ff. –– Betriebsrat Kap. 5 272 ff. –– Betroffeneninteresse Kap. 5 252 f. –– Betroffenenrechte Kap. 5 277 ff. –– Binding Corporate Rules Kap. 5 266 ff. –– Blocking statutes Kap. 5 219 –– Common Law Kap. 5 215 f. –– Datenschutzbeauftragter Kap. 5 275 –– Datenschutzrecht, deutsches Kap. 5 223 ff. –– Datensicherheit Kap. 5 285 –– Datensparsamkeit Kap. 5 250 –– E-Discovery-Dienstleister Kap. 5 281 ff. –– Einwilligung Kap. 5 233 ff. –– Erforderlichkeit Kap. 5 245 ff. –– EU-Standardvertrag Kap. 5 264 f. –– Gegenstand Kap. 5 220 –– Haager Beweisübereinkommen Kap. 5 258 ff. –– Information des Betroffenen Kap. 5 276 –– Kontinentaleuropa Kap. 5 217 –– Legitimation für Datenverarbeitung Kap. 5 238 ff. –– Nichtvorlage Kap. 5 221 –– Prozessuale Datennutzung Kap. 5 269 ff. –– Safe Harbor Kap. 5 262 f.
Stichwortverzeichnis
––
Unternehmensinteresse, berechtigtes Kap. 5 241 ff. –– USA Kap. 5 257 –– Verfahren Kap. 5 212 –– Verhältnismäßigkeitsgrundsatz Kap. 5 244 –– Zulässigkeit, datenschutzrechtliche Kap. 5 231 f. Priorisierung Kap. 11 44 PRISM Kap. 4 122 ff., 143, 189, Kap. 5 86 f. privacy by design and default Kap. 1 43 ff., Kap. 13 12 Privacy Notice Kap. 6 71 Privacy Policy siehe Datenschutzerklärung Privacy Statement siehe Datenschutzerklärung Privatdaten Kap. 9 11, 14 Privatdetektiv Kap. 9 138 f., Kap. 11 27 Private Cloud Kap. 3 70, Kap. 4 186 Privatnutzung Kap. 6 77 f. Privatnutzung von Telekommunikationsmitteln Kap. 6 17 ff. Privaträume Kap. 9 50 Privatsphäre –– Beschäftigtendatenschutz Kap. 8 147 ff. –– Fragerecht des Arbeitgebers Kap. 8 25 –– Videoüberwachung Kap. 8 205 –– Wort, gesprochenes Kap. 8 208 Probeabonnement Kap. 10 43 Problemadäquanz Kap. 4 59 Processor Binding Corporate Rules Kap. 5 114 Processor Kap. 4 146 f., Kap. 5 25 f. Processor-Konzern Kap. 4 131 Production of Documents, Electronically Kap. 5 220 Produktionsfaktor, wesentlicher Kap. 12 23 Produktpiraterie Kap. 9 3 Produktzertifizierung Kap. 13 95 f. Profil siehe Nutzerprofil Profiling Kap. 4 252 –– Datenschutz-Grundverordnung Kap. 4 172 –– Kundendaten Kap. 10 233 Prognoseentscheidung Kap. 11 164 Prognoseentscheidung, elektronische Kap. 11 125 ff. Prospekt Kap. 10 163 Protective Order Kap. 5 278 Protokoll
749
Aufbewahrungszeit Kap. 12 93 Auftragskontrolle Kap. 12 98 Auswertung Kap. 1 36, Kap. 12 93 Datensicherung Kap. 12 110 Datentransport Kap. 12 66 f. Einwilligung, elektronische Kap. 10 123 f. Manipulation Kap. 12 91 Maßnahmen, technisch-organisatorische Kap. 12 140 –– Testsystem Kap. 12 124 –– Zutritts-Protokoll Kap. 12 41 Proxy-Server Kap. 12 109 Prozessbeschreibung Kap. 12 140 Prozessdesign Kap. 9 91 Prozessimplementierung Kap. 12 145 Prozessstandardisierung Kap. 12 152 Prüfbericht Kap. 13 22 f., 70 ff. Prüfkatalog Kap. 5 193 Prüforganisation Kap. 13 34 Prüfsiegel Kap. 13 26 Prüfstelle –– Bundesamt für Sicherheit in der Informationstechnik Kap. 13 57 –– Closed Shop-Zertifikat Kap. 13 32 –– DEKRA e. V. Kap. 13 26 –– Interessenskonflikt Kap. 13 86 –– ISAE 3000 Kap. 13 70 f. –– ISO-Datenschutzstandards Kap. 13 41 –– Trusted Shop Kap. 13 96 –– TÜV Rheinland i-sec Kap. 13 90 –– Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Kap. 13 85 Prüfung, interne Kap. 5 229 Prüfungsergebnis, objektives Kap. 13 101 Prüftourismus Kap. 13 5 Prüfziffer Kap. 9 109 Pseudonymisierung –– Auskunftserteilung Kap. 10 131 –– Cookie-Information Kap. 7 28 –– Daten, unstrukturierte Kap. 9 105 –– Datenschutz-Folgenabschätzung Kap. 1 49 –– E-Discovery Kap. 5 251 –– Kundenverhaltensanalyse Kap. 10 233 –– Nutzerprofil Kap. 10 127 ff. –– Patientendaten Kap. 4 258 –– Tracking Kap. 7 33 Psychologische Untersuchung Kap. 8 112 f. Public Cloud Kap. 3 70, Kap. 4 186, 218 –– –– –– –– –– –– –– ––
750
Stichwortverzeichnis
Q Qualifikation –– Externer Datenschutzbeauftragter Kap. 3 119 Qualifizierte elektronische Signatur Kap. 8 171 Qualitätsmanagement Kap. 13 42 Qualitätsmanagementsysteme Kap. 12 99 Quarantänelösung Kap. 6 54 Quelle, öffentlich zugängliche Kap. 8 Quellsystem Kap. 12 89 R Rapid Elasticity Kap. 4 179 Ratenzahlungskredit Kap. 11 70 Ratenzahlungsvereinbarung Kap. 11 95 Ratingagentur Kap. 11 26 Ratingsystem, internes Kap. 11 51 Reasonable Assurance Kap. 13 69 Rechenzentrum Kap. 12 36 Rechnung, offene Kap. 11 131 Recht am eigenen Bild Kap. 2 1, Kap. 8 237 f. Recht am eigenen Wort Kap. 2 1, Kap. 6 12, Kap. 9 77 Recht auf ein faires Verfahren Kap. 9 83 Recht auf informationelle Selbstbestimmung Kap. 2 1, 5 f. –– Aufklärungsinteresse Kap. 9 27 –– Information, falsche Kap. 8 12 –– Schranken Kap. 2 7 –– Verletzung Kap. 3 133 –– Widerrufsrecht Kap. 10 98 Recht auf Vergessenwerden Kap. 1 52 ff., Kap. 10 157 Rechteverwaltung Kap. 3 67 Rechtliche Hinweise Kap. 7 16 Rechtsabteilung Kap. 9 42, Kap. 12 133 Rechtsanwalt Kap. 3 95 –– Abhören Kap. 9 116 –– Auftragsdatenverarbeitung Kap. 4 72 –– Datenschutzvertrag Kap. 12 97 –– Datensicherheit Kap. 5 285 –– E-Discovery Kap. 5 247 –– Einmeldung Kap. 11 91 –– Ermittlung, unternehmensinterne Kap. 9 46 –– Factoring Kap. 11 82 –– Funktionsübertragung Kap. 11 79 –– Hinweispflicht Kap. 9 73 –– Interessenkollision Kap. 9 72
–– Keyloggereinsatz Kap. 9 126 –– Mitarbeiterbefragung Kap. 9 69 ff. Rechtsbeistand Kap. 9 70 f. Rechtsberatung Kap. 3 28 Rechtsgrundlage –– Binding Corporate Rules Kap. 5 179 –– Bonitätsprüfung Kap. 11 6 –– Einmeldung Kap. 11 87 f. –– Genehmigung, nachträgliche Kap. 5 236 –– Scoring Kap. 11 43 ff. –– Werbung Kap. 10 5 ff., 35 ff. Rechtshilfeersuchen Kap. 5 258 Rechtsmissbrauch Kap. 10 99, Kap. 11 98, 118 Rechtsschutz –– E-Discovery Kap. 5 277 Rechtssicherheit Kap. 10 106 Rechtsverteidigung Kap. 5 269 ff. Rechtswahl –– Binding Corporate Rules Kap. 5 145 –– Cloud-Vertrag Kap. 4 194 Recruiting Kap. 4 12 Redundanz, geographische Kap. 12 105 Regel-Reporting Kap. 12 153 Regelungslücke Kap. 13 66 Registerangaben Kap. 7 72 Registernummer Kap. 7 67 Registrierung der Persönlichkeit Kap. 2 8 Reichweitenanalyse Kap. 1 15, Kap. 7 39 Reifegrad Kap. 12 151 Reisekosten Kap. 3 28 Reisekostenabrechnung Kap. 5 17 Release and Deployment Management Kap. 12 117 Religionszugehörigkeit Kap. 1 15, Kap. 5 75 Remote-Online-Überwachung Kap. 4 65 Reporting Kap. 12 150 Reputation Kap. 1 6 Reputationsrisiko –– Datenschutzverstoß Kap. 11 3 –– Konkurrentenabmahnung Kap. 14 10 –– Lösch- und Sperrpflicht Kap. 1 34 Residualrisiken Kap. 13 78 Resource Pooling Kap. 4 179 Ressourcenverteilung Kap. 4 182 Restschuldbefreiung Kap. 11 36 Retargeting Kap. 7 36 ff. Review, zyklisches Kap. 12 93 Revision, interne Kap. 3 125, Kap. 9 41, 91, Kap. 12 145
Stichwortverzeichnis
Revisionssicherheit Kap. 4 189 Richtervorbehalt Kap. 4 121 Richtlinien, organisatorische Kap. 12 53 Richtlinie zum Vorgehen bei einem Datenverlust Kap. 12 74 Risiken –– Cloud-Computing Kap. 4 187 ff. –– Datenpanne Kap. 11 165 –– E-Discovery Kap. 5 282 –– Maßnahmen, technisch-organisatorische Kap. 12 147 –– Residualrisiken Kap. 13 78 Risikoanalyse Kap. 1 46 ff., Kap. 3 67, Kap. 5 282, Kap. 13 62, 78 Risikodaten Kap. 1 20 f. Risikomanagement Kap. 3 39, Kap. 4 11, 259, Kap. 13 47 Risikominimierung Kap. 9 94 Robinsonliste Kap. 10 34, 165, 204 Rollen- und Berechtigungskonzept Kap. 12 58 Roll-out Kap. 12 152 Root-Kennung Kap. 12 55 RSA Kap. 12 70 Rückrufaktion Kap. 10 200 Rufnummer Kap. 10 145 Rufnummernunterdrückung Kap. 10 185 Rufnummernverzeichnis Kap. 10 47 Rundfunk Kap. 7 11, 13 Risikoanalyse Kap. 11 41 Risikomanagement Kap. 11 42 Rücklastschrift Kap. 11 123 Rückrufaktion Kap. 11 134 S SABAM Kap. 10 112 Safe-Harbor Kap. 3 101 –– Auftragsdatenverarbeitung Kap. 4 109 –– Cloud Kap. 4 231 ff. –– Datenübermittlung Kap. 4 115 ff. –– Datenübermittlung, konzerninterne Kap. 5 84 f. –– E-Discovery Kap. 5 262 f. –– Ermittlung, unternehmensinterne Kap. 9 36 –– NSA-Skandal Kap. 4 122 –– Patriot Act Kap. 4 237 ff. PRISM Kap. 5 86 f. Sanktionen Kap. 1 3, 60 ff.
751
––
Abschöpfung wirtschaftlicher Vorteile Kap. 1 71 –– Datenschutzverstoß Kap. 2 24 –– Ordnungswidrigkeit Kap. 2 48 ff. –– Vermeidung Kap. 2 40 –– Zivilrechtliche Haftung Kap. 1 64 f. Sanktionsliste Kap. 9 3, 147 ff. Schaden, immaterieller Kap. 1 64 Schadensersatz –– Auftragsdatenverarbeiter Kap. 4 173 –– BDSG Kap. 2 43 ff. –– Datenpanne Kap. 1 21, Kap. 11 164 –– Datenschutzverstoß Kap. 1 64 –– Datenverarbeitung, unzulässige Kap. 14 8 –– Diskriminierung Kap. 8 37 –– E-Mail-Filter Kap. 6 49 –– E-Mail-Löschung Kap. 6 60 –– Videoüberwachung, rechtswidrige Kap. 8 206 Schattenkopie Kap. 12 76 Schlagwortsuche Kap. 9 11 Schleichwerbung Kap. 10 169 Schlüssel Kap. 12 40 Schlüsselkarte Kap. 12 41 Schlüssellänge Kap. 12 70 Schlüsseltreuhänder Kap. 6 59 Schmerzensgeld Kap. 2 47 Schreibrecht Kap. 12 58 Schriftform Kap. 6 81, Kap. 10 88 f. Schriftlichkeitsgebot Kap. 4 35 SCHUFA Kap. 10 99, Kap. 11 32, 89 SCHUFA-Bonitätsauskunft Kap. 8 121 f. Schuldnerverzeichnis Kap. 9 51 Schuldnerverzeichnis, amtliches Kap. 11 36 Schuldtitel Kap. 11 101 Schuldverhältnis –– ~, vorvertragliches Kap. 8 20 –– Daten, erforderliche Kap. 10 229 –– Datenerhebung, erforderliche Kap. 10 44 f. Schulung Kap. 1 35, Kap. 2 42, Kap. 3 80 ff., Kap. 5 185 ff. Schulungswiederholung Kap. 3 87 Schutzbedarfsanalyse Kap. 3 67, Kap. 13 61 Schutzmaßnahmen siehe Maßnahmen, technisch-organisatorische Schutzniveau Kap. 4 63, Kap. 12 43, Kap. 13 78 Schutzziele der Informationssicherheit Kap. 12 11 Schweigen Kap. 10 175
752
Stichwortverzeichnis
Schweigepflicht Kap. 3 110, Kap. 11 82 Schweigepflicht, ärztliche Kap. 2 1, Kap. 8 109 Schwestergesellschaft Kap. 7 19 Scope Kap. 12 25 Scoping Kap. 12 13 Scoring Kap. 11 42 –– ~, externes Kap. 11 48 –– ~, vertragsbezogenes Kap. 11 46 –– Anschriftendaten Kap. 11 50 –– Daten Kap. 11 47 f. –– Entscheidungssystem, automatisiertes Kap. 11 60 f. –– Kredit-Scoring Kap. 11 51 ff. –– Prognoseentscheidung, elektronische Kap. 11 127 –– Rechtsgrundlage Kap. 11 43 ff. –– Sanktionen Kap. 11 56 Scoring-Daten Kap. 1 23 Screenshot Kap. 12 140 Scrollbalken Kap. 10 119 Secure Erase Kap. 12 77 Secure Sockets Layer Kap. 12 69 f. Security Development Lifecycle Kap. 12 60 Security Information and Event Management Kap. 12 93 Sedona Principles for Electronic Document Production Kap. 5 220 Sekretariat Kap. 6 37 Selbstauskunft –– Credit-Management Kap. 11 146 f. –– Empfänger Kap. 11 159 –– Form Kap. 11 153 ff. –– Frist Kap. 11 156 –– Identitätsprüfung Kap. 11 148 ff. –– Inhalt Kap. 11 157 ff. –– Rechtsmissbrauch Kap. 11 f. Selbsthilfe Kap. 9 56 Selbstkontrolle Kap. 2 23 f. Selbstverpflichtung Kap. 5 192 f., Kap. 12 20 Selbstzertifizierung Kap. 4 117, Kap. 5 84 Sensibilität Kap. 2 15 Sensible Daten Kap. 11 161, Kap. 12 31 Sensitive Daten Kap. 5 74 ff., Kap. 8 174 Seriennummer Kap. 11 150 Seriosität Kap. 7 49 Server Kap. 7 10 Serverfarm Kap. 4 226 Server-Netzwerk Kap. 12 83 Service-Account Kap. 12 71
Serviceebene Kap. 12 51 Service Level Agreement Kap. 4 34, 193 Service orientierte Architektur Kap. 4 181 Service Provider Kap. 4 1 –– Application Service Provider Kap. 4 24 –– Auftragsdatenverarbeitung Kap. 4 18 –– Cloud-Dienst Kap. 4 178 –– Rechtswahl Kap. 4 194 –– Verantwortlichkeit Kap. 4 6 ff. Session Timeout Kap. 12 53 Session-ID Kap. 7 31 Session-Layer Kap. 12 69 f., 81 Session-Management Kap. 12 60 Sexuelle Orientierung Kap. 8 85 Shamir 1 Kap. 9 109 Share Deal Kap. 8 264, Kap. 10 77 Shared Services Kap. 4 13 Sicherheit im elektronischen Zahlungsverkehr Kap. 12 12 Sicherheit –– Binding Corporate Rules Kap. 5 161, 177 –– Datensicherheit siehe dort –– Mobilfunkortung Kap. 6 65 –– Telekommunikationszugriff Kap. 6 4 Sicherheitsempfehlungen für Cloud Computing Kap. 4 228 Sicherheitskontrolle Kap. 5 285 Sicherheitskonzept Kap. 3 68, Kap. 4 48, Kap. 12 96 Sicherheitskopie Kap. 1 33 Sicherheitsniveau Kap. 4 63 Sicherheitspersonal Kap. 12 45 Sicherheitsprozess Kap. 13 59 Sicherheitsstandards Kap. 12 16 Sicherheitstasche Kap. 9 111 Sicherheitszone Kap. 12 36 Sicherstellungssystem Kap. 2 39 Sicherung Kap. 5 229 Sicherungsprotokoll Kap. 9 109 Sicherungsprozess Kap. 9 107 f. Siegelstufe Kap. 13 61 Signatur, qualifizierte elektronische Kap. 8 171 Signaturalgorithmus Kap. 9 109 Simple Network Time Protocol Kap. 12 92 Sitzlandprinzip Kap. 9 31 Sitzprinzip Kap. 4 200 ff. Skalierbarkeit Kap. 4 2 Skill-Datenbank Kap. 5 71
Stichwortverzeichnis
Skype Kap. 9 46, 88 Smartphone Kap. 9 85 smoking-guns Kap. 5 215 SMS Kap. 6 21 f., Kap. 10 198 SMS-Werbung Kap. 10 171 ff. Social Engineering Kap. 12 47 Social Media Kap. 6 74 Social Plugin Kap. 1 15, Kap. 7 39 f., Kap. 10 158 ff. Software Kap. 13 95 Software as a Service Kap. 4 184 f., 216 Solid-State-Drive Kap. 12 77 Sopot Memorandum Kap. 4 228 Sozialdaten Kap. 4 84 f., Kap. 11 39, Kap. 12 17 Soziale Auswahl Kap. 8 255 Soziales Netzwerk –– Allgemein zugängliche Quelle Kap. 9 51, Kap. 10 47 –– Beschäftigtendatenschutz Kap. 8 155 f. –– Bewerberdaten Kap. 8 88 ff. –– Bonitätsprüfung Kap. 11 7, 29 –– Datenübertragbarkeit Kap. 1 58 f. –– Ermittlung, unternehmensinterne Kap. 9 60 –– Gesetzesentwicklung Kap. 14 3 –– Netzwerk, berufsorientiertes Kap. 8 92 ff. –– Produktzertifizierung Kap. 13 96 –– Recht auf Vergessen Kap. 10 157 –– Social Media Marketing Kap. 10 154 ff. –– Social Plugin Kap. 7 39 f., Kap. 10 158 ff. –– Telemedium Kap. 10 108 ff. –– Unternehmenspräsenz Kap. 10 155 –– Werbung Kap. 10 4 –– Wettbewerbsrecht Kap. 10 184 Sozialgeheimnis Kap. 4 84, 255, Kap. 11 40 Sozialversicherungsträger Kap. 11 39 Spam Kap. 2 30 Spam-Filter Kap. 6 6, 49 ff. Speicherfrist Kap. 6 63 Speicherort Kap. 4 179, Kap. 12 138 Speicherung –– ~ nach Vertragsende Kap. 11 ff. –– Ausweisdaten Kap. 11 149 –– Bestandsdaten Kap. 11 12 ff. –– Bewerberdaten Kap. 8 126 ff. –– Hinweispflicht Kap. 10 147 –– Hinzuspeichern Kap. 10 50 ff. –– Listendaten Kap. 10 46, 71
753
–– Verjährungsfrist Kap. 10 46 –– Vorrat Kap. 10 228 Speicherungsdauer Kap. 9 129 Spendenwerbung Kap. 10 62 ff. Sperrdatei Kap. 11 123 Sperrpflicht Kap. 1 31 ff., Kap. 6 60 Sperrung –– Benutzerkonto Kap. 12 63 –– Beschäftigtendaten Kap. 8 188 –– Binding Corporate Rules Kap. 5 161, 171, 180 –– Datensicherung Kap. 9 111 –– Selbstauskunft Kap. 11 157 –– Sperrvermerk Kap. 10 29 –– Vertragsbeendigung Kap. 11 129 Sperrvermerk Kap. 10 165 ff. Spionage Kap. 6 4 Sprecherausschuss Kap. 9 19 SQL-Injection Kap. 12 60 Stammdaten –– Bewerbung Kap. 8 39 –– Personaldaten, grundlegende Kap. 8 144 f. Stand der Technik Kap. 12 96, 150 Standardisierung Kap. 4 2 Standardisierungsniveau Kap. 12 156 Standardregelwerk, zertifizierbares Kap. 13 18 Standard-Software-Lösung Kap. 9 11, 46 Standardvertragsklauseln Kap. 4 133 Standortdaten Kap. 6 65 ff., Kap. 10 140 Standortermittlung Kap. 7 8 Standortüberwachung Kap. 9 134 ff. Startseite Kap. 7 15 Stasi-Mitarbeiter Kap. 8 74 Statistik, amtliche Kap. 8 230 Stechuhr, elektronische Kap. 8 160 Stellvertretung Kap. 10 96 Sterbeurkunde Kap. 1 29 Steuerbegünstigung Kap. 10 62 Steuerberater Kap. 4 72 Steuerdatenverarbeitung Kap. 4 83 Steuergeheimnis Kap. 4 254, Kap. 11 38 Steuernummer Kap. 7 67 Stichprobenkontrolle Kap. 3 57, 107 Störungsbeseitigung Kap. 6 42 Strafantrag Kap. 2 50 Strafprozessordnung Kap. 9 64 Strafrecht –– Aussageverweigerungsrecht Kap. 3 112 –– Berufsgeheimnis Kap. 6 73
754
Stichwortverzeichnis
Datenschutzbeauftragter Kap. 1 14, Kap. 3 134 ff. –– Datenschutzverstoß Kap. 1 66 ff. –– E-Mail-Archivierung Kap. 6 59 –– E-Mail-Filter Kap. 6 49 –– E-Mail-Löschung Kap. 6 60 –– E-Mail-Zugriff Kap. 6 37 –– Ermittlung, unternehmensinterne Kap. 9 13 –– Fernmeldegeheimnis Kap. 6 26, Kap. 9 6 –– Gehilfe Kap. 4 74 –– Keylogger Kap. 9 126 –– Korruption Kap. 14 3 –– Mithören Kap. 9 121 –– Recht am eigenen Bild Kap. 8 237 –– Sanktionen Kap. 2 48 ff. –– Straftat, beschäftigungsbezogene Kap. 6 41, 44 –– Strafvereitelung Kap. 9 52 –– Telekommunikationsüberwachung Kap. 8 222 –– Untreue Kap. 1 72 –– Verletzung der Vertraulichkeit des Wortes Kap. 9 77 –– Verrat von Geschäfts- und Betriebsgeheimnissen Kap. 6 39 –– Verschwiegenheitspflicht Kap. 3 128 –– Verschwiegenheitspflicht, berufsrechtliche Kap. 4 258 –– Weisungsbefolgung Kap. 4 56 Strafvereitelung Kap. 9 43, 52 Strafverfolgung Kap. 6 39 Strafverfolgungsbehörde Kap. 6 39, Kap. 9 43 f. Stromausfall Kap. 12 46 Stromversorgung, unterbrechungsfreie Kap. 12 107 Subcontractor Kap. 4 191 Subunternehmer siehe Unterbeauftragung Kap. 4 221 Suchdatenliste Kap. 9 48 Suchmaschine –– Ermittlung, unternehmensinterne Kap. 9 57 –– Recht auf Vergessenwerden Kap. 1 54 ff. –– Telemedium Kap. 10 108 ff. Suchwortliste Kap. 6 48 Super-User Kap. 12 153 Supportpersonal Kap. 12 45 Surfverhalten Kap. 10 233 Symmetrische Verschlüsselung Kap. 12 80 ––
Synergie Kap. 12 24 Syntax Kap. 12 6 Systemausfall Kap. 12 117 Systemzeit Kap. 12 92 T Tarifvertrag Kap. 2 17 Task Force Kap. 9 42 Tätigkeitsneutrale Frage Kap. 8 60 Tauglichkeitszeugnis, ärztliches Kap. 8 181 Täuschung Kap. 10 103 Teilzahlung Kap. 11 105 Teilzeitkraft Kap. 3 6 Telefon –– Überwachung siehe Telekommunikationsüberwachung –– Abhören Kap. 6 5 –– Privatnutzung Kap. 6 17 ff. Telefonie-Netzwerk Kap. 12 83 Telefonmitschnitt Kap. 9 118 ff. Telefonverzeichnis Kap. 5 62 ff., Kap. 9 51 Telefonwerbung –– ~ ohne Einwilligung Kap. 10 194 f. –– ~, berufsbezogene Kap. 10 61 –– Angebot, ähnliches Kap. 10 201 f. –– Double-Opt-in-Verfahren Kap. 10 190 –– Einrichtung, gemeinnützige Kap. 10 196 –– Rufnummernunterdrückung Kap. 10 185 –– Telekommunikationsanbieter Kap. 10 146 –– Wettbewerbsrecht Kap. 10 172 Telekommunikation –– ~sgeheimnis Kap. 8 222 –– Abgrenzung zu Telemedium Kap. 7 12 –– Mithören Kap. 9 119 –– Rufnummernunterdrückung Kap. 10 185 –– Überwachung siehe Telekommunikationsüberwachung –– Zugriff Kap. 6 1 ff. Telekommunikations-Leitlinien Kap. 6 76 Telekommunikations-Outsourcing Kap. 6 68 ff. Telekommunikationsrecht Kap. 2 26 –– Abgrenzung zu Datenschutzrecht Kap. 6 9 f. –– Arbeitgeber Kap. 6 27 ff. –– Auftragsdatenverarbeitung Kap. 4 89 ff., 171 –– Bestandsdatennutzung Kap. 10 143 ff. –– Cloud Kap. 4 261 ff.
Stichwortverzeichnis
Datenschutz, bereichsspezifischer Kap. 10 108 –– Datenschutzverstoß Kap. 1 69 –– Einwilligung, elektronische Kap. 10 152 f. –– Ermittlung, unternehmensinterne Kap. 9 5 f. –– Kopplungsverbot Kap. 10 148 –– Nutzung, dienstliche Kap. 6 11 ff. –– Standortdaten Kap. 6 66, Kap. 9 136 –– Telekommunikationsdienst Kap. 6 20 ff. –– Überwachung Kap. 6 8 –– Werbeanruf Kap. 10 146 –– Werbung Kap. 10 139 ff. Telekommunikationsdienst Kap. 6 20 ff. Telekommunikationstechnologie Kap. 3 18 Telekommunikationsüberwachung Kap. 8 221 f. –– Abhören Kap. 6 62 –– Aufklärung von Ordnungswidrigkeit Kap. 6 46 –– Aufklärungszweck Kap. 6 48 –– Dienstliche Nutzung Kap. 6 11 ff. –– Einwilligung Kap. 6 79 ff. –– E-Mail Kap. 6 36 ff. –– E-Mailverkehr, dienstlicher Kap. 6 15 –– Kontrolle, reaktive Kap. 6 47 –– Privatnutzung Kap. 6 19 –– Standortdaten Kap. 6 65 ff. –– Telefonie Kap. 6 61 –– Verhaltenskontrolle Kap. 6 43 ff. –– Verkehrsdatenspeicherung Kap. 6 63 f. Telemedien –– Bereithalten zur Nutzung Kap. 7 57 f. –– Cookies Kap. 10 136 ff. –– Datenschutz, bereichsspezifischer Kap. 10 108 ff. –– Datenschutzerklärung Kap. 7 9 –– Datenschutz-Grundverordnung Kap. 14 25 –– Datenschutznovelle 2009 Kap. 10 2 –– Datenschutzverstoß Kap. 1 69 –– Definition Kap. 7 11 ff. –– Einwilligung, elektronische Kap. 10 115 ff. –– Impressumspflicht Kap. 7 54 ff. –– Nutzungsvorgang Kap. 7 15 –– Opt-in/out Kap. 10 121 f. –– Zweckbindungsgrundsatz Kap. 10 113 Telemediendienst Kap. 6 10, 20 Telemedienrecht Kap. 2 25 ff. Telemedium –– Begriff Kap. 6 10 ––
755
–– Intranet Kap. 6 75 –– Nutzung, dienstliche Kap. 6 33 Tell-a-friend Kap. 10 73, 182 f. TEMPORA Kap. 4 189 Territorialprinzip Kap. 1 3 –– Cloud Kap. 4 200 ff., 226 f. –– Datenschutz-Grundverordnung Kap. 4 210 f., 252, Kap. 5 227 –– E-Discovery Kap. 8 249 –– Ermittlung, unternehmensinterne Kap. 9 32 ff. –– EU-Datenschutz Kap. 5 211 –– Niederlassung Kap. 5 226 –– Pre-Trial Discovery Kap. 5 225 Terrorismusbekämpfung Kap. 4 121 Terrorliste Kap. 9 147 ff. Testat Kap. 4 48, Kap. 13 24 f. Testdaten Kap. 12 124 Testsystem Kap. 12 123 Textform Kap. 1 25, Kap. 10 88 Titel Kap. 10 39 Tochtergesellschaft Kap. 10 157 Toilettenüberwachung Kap. 9 14 Tracking Kap. 4 252, Kap. 7 31 f. –– ~, datenschutzkonformes Kap. 7 33 –– Datenschutzerklärung Kap. 7 32 –– Drittland Kap. 7 35 Tracking Tool Kap. 10 126, 135 Transparenz –– Adresshandel Kap. 10 216 –– Anbietertransparenz Kap. 7 49 f. –– Benachrichtigungspflicht Kap. 11 142 ff. –– Beschäftigtendatenschutz Kap. 8 11, Kap. 14 3 –– Binding Corporate Rules Kap. 5 161, 171 ff. –– Bonitätsprüfung Kap. 11 23 –– Cloud-Anbieter Kap. 4 222 –– Credit-Management Kap. 11 141 –– Customer Relationship Management Kap. 10 236 –– Datenschutzerklärung Kap. 7 6, 41 –– Datenschutzprinzip Kap. 13 38 –– Einmeldung von Vertragsverhalten Kap. 11 84 –– Einwilligung, elektronische Kap. 10 123 –– Einwilligungsunterrichtung Kap. 10 76 –– Grundsatz Kap. 2 8 –– ISO-Standards Kap. 13 53 –– Kreditmanagement Kap. 11 141
756
Stichwortverzeichnis
–– Listenprivileg Kap. 10 210 –– Selbstauskunft Kap. 11 146 ff. –– Unterrichtungspflichten Kap. 10 9 –– Videoüberwachung Kap. 8 217 –– Widerrufsrecht Kap. 7 24 –– Zertifizierung Kap. 13 34, 100 Transport Layer Security Kap. 12 69 f. Transportfunktion Kap. 6 20 Trennungsgebot –– Applikationsebene Kap. 12 120 f. –– Datentrennung, physische Kap. 12 122 –– Definition Kap. 12 118 f. –– Test-/Entwicklungs- und Produktivsystem Kap. 12 123 –– Testdaten Kap. 12 124 –– Zusammenfassung Kap. 12 157 Trennungskontrolle Kap. 12 35 Treu und Glauben Kap. 10 99 Treuepflicht Kap. 9 18, 65 Trusted Shops Kap. 13 96 TSC International Principle Kap. 5 280 Twitter Kap. 6 74, Kap. 10 154 ff. Typengemischter Vertrag Kap. 4 192 U Übermittlung –– Adresshandel Kap. 10 217 –– Arbeitnehmerdaten Kap. 4 149 –– Auftragsdatenverarbeitung Kap. 4 18, 52, Kap. 5 6 ff. –– Ausland Kap. 9 35 –– Benachrichtigungspflicht Kap. 11 143 –– Beschäftigtendaten Kap. 5 50 –– Betriebsrat Kap. 8 274 –– Betriebsübergang Kap. 8 265 ff. –– Bewerberdaten Kap. 8 126 ff. –– Binding Corporate Rules Kap. 5 102 ff. –– Customer Relationship Management Kap. 10 235 –– Datenexportgenehmigung Kap. 4 140 –– Datenschutz-Grundverordnung Kap. 4 168 –– E-Discovery Kap. 5 230, 245 ff., Kap. 8 248 –– Einmeldung Kap. 11 93 –– Einwilligung Kap. 10 77, 82 –– E-Mail-Überwachung Kap. 6 19 –– E-Mail-Verteiler, offener Kap. 10 206 –– EU-Standardvertrag Kap. 5 264 f. –– Forderungsabtretung Kap. 6 42 –– Funktionsübertragung Kap. 5 10
Genehmigung Kap. 5 126 ff. Gesamtrechtsnachfolge Kap. 4 94 Haager Beweisübereinkommen Kap. 5 258 ff. –– Inhaltsdaten Kap. 9 6 –– Kontaktverzeichnis, konzernweites Kap. 5 63 –– Konzern Kap. 4 4, 155 f., –– Kundendaten Kap. 5 72 f. –– Legitimationsprüfung Kap. 12 66 –– Listendaten Kap. 10 45 –– Melderegister Kap. 10 222 ff. –– Mitarbeiterdaten Kap. 8 246 –– Nachmeldepflicht Kap. 11 120 ff. –– Nutzerprofil Kap. 10 132 –– Nutzungsbefugnis Kap. 10 211 –– Personalverwaltung Kap. 5 33 –– Rückübertragung Kap. 4 160 –– SCHUFA Kap. 11 32 –– Scoring Kap. 11 48 –– Sensitive Daten Kap. 5 74 ff. –– Sperre Kap. 10 223 –– Steuerdaten Kap. 4 254 –– Strafverfolgungsbehörde Kap. 6 39 –– Unberechtigter Kap. 11 148 –– USA Kap. 5 87, 257 –– Vorgang Kap. 6 22 ff. –– Weitergabekontrolle Kap. 12 64 –– Werbewiderspruch Kap. 10 31 –– Whistleblowing Kap. 9 39 –– Widerspruch Kap. 10 99 –– Zweck Kap. 5 170 –– Zwei-Stufen-Prüfung Kap. 5 26 Überschreiben Kap. 12 77 Überschrift Kap. 10 90 Übersicht der Speicherorte Kap. 12 138 Überspannungsschutz Kap. 12 107 Übertragungsprotokoll Kap. 6 23, Kap. 12 67 Überwachung Kap. 1 46 –– ~, heimliche Kap. 8 212, Kap. 9 135 –– Abhören Kap. 6 62, Kap. 9 115 ff. –– Anknüpfungstat, zulässige Kap. 8 195 –– Aufklärungszweck Kap. 6 48 –– Beschäftigtenkontrolle Kap. 8 189 f. –– E-Mail Kap. 6 36 ff., Kap. 9 122 f. –– E-Mailverkehr, dienstlicher Kap. 6 15 –– Führungskraft Kap. 9 66 –– Internet Kap. 9 124 –– Keylogger Kap. 9 125 f. –– –– ––
Stichwortverzeichnis
Kündigungsvorbereitung Kap. 8 251 Mitarbeiterkommunikation Kap. 8 221 f. Personenkontrollen Kap. 8 198 f. Privatverhalten Kap. 9 137 Remote-Online-Überwachung Kap. 4 65 Standortdaten Kap. 6 65 ff. Straftat Beschäftigter Kap. 8 194 f. Telekommunikation, dienstliche Kap. 6 11 ff. –– Verdachtslage, besondere Kap. 8 196 –– Verhaltenskontrolle Kap. 6 43 ff. –– Verhältnismäßigkeit Kap. 8 193, 197 –– Videoüberwachung Kap. 8 205 ff., Kap. 9 127 ff. –– Wanze Kap. 9 119 Überwachungsaudit Kap. 13 90 Überwachungseinrichtung, technische Kap. 8 13 Überwachungsrechtsverhältnis Kap. 4 165 UK Bribery Act Kap. 9 3 Umbrella Standard Kap. 13 68 Umsatzsteueridentifikationsnummer Kap. 7 72 Umstrukturierung, konzerninterne Kap. 10 77 Umwandlung Kap. 10 77 Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein Kap. 13 28, 74 ff. Unabhängigkeit Kap. 3 125 Unilateral declaration Kap. 5 145 Unterauftrag Kap. 4 151 Unterauftragsverhältnis Kap. 12 95 Unterbeauftragung Kap. 4 62 f., 221, 242 Unterlassen –– Strafbarkeit Kap. 3 135 f. Unterlassungsanspruch –– ~, wettbewerbsrechtlicher Kap. 10 11 –– Betriebsrat Kap. 9 22 –– Datenschutzerklärung, fehlerhafte Kap. 7 47 –– Frage, unzulässige Kap. 8 36 –– Impressum, fehlerhaftes Kap. 7 73 –– Information, falsche Kap. 8 12 –– Wettbewerbsverstoß Kap. 10 208 Unterlassungsklagegesetz Kap. 14 8 Unternehmen, privates Kap. 12 1 Unternehmensberater, externer Kap. 8 243 Unternehmensdaten Kap. 9 7 ff. –– Credit-Management Kap. 11 3 –– ISO-Standard Kap. 13 42 ff. –– Kontodaten Kap. 9 144 –– –– –– –– –– –– –– ––
757
Unternehmensdatenbank Kap. 9 58 Unternehmensdatenschutz Kap. 13 88 ff. Unternehmensgruppe siehe Konzern Unternehmensinteresse, berechtigtes Kap. 5 242 f., Kap. 10 230 Unternehmensregelungen, verbindliche siehe Binding Corporate Rules Unternehmensrichtlinien Kap. 3 67, Kap. 5 144 Unternehmensübernahme Kap. 3 141 Unternehmenszertifizierung siehe Zertifizierung Kap. 13 35 Unterrichtungspflicht Kap. 1 30, Kap. 7 18 f. –– ~, gesetzliche Kap. 9 64 –– Anschriftendatennutzung Kap. 11 50 –– Datenpanne Kap. 11 161 f. –– Einmeldung Kap. 11 113 ff. –– Einwilligung, elektronische Kap. 10 118 –– Einwilligungsverweigerung Kap. 10 79 –– Form Kap. 10 22 f. –– Herkunftsquelle Kap. 10 21 –– Inhalt Kap. 10 14 ff. –– Produktgattung Kap. 10 173 –– Verantwortliche Stelle Kap. 10 18 f. –– Werbeeinwilligung Kap. 10 76 –– Widerrufsrecht Kap. 10 10 ff. –– Wiederholung Kap. 10 27 –– Zeitpunkt Kap. 10 24 ff., 203 Unterschlagung Kap. 9 3 Untersuchung, arbeitsmedizinische Kap. 8 180 ff. Untreue Kap. 1 72, Kap. 6 45, Kap. 9 3 Update Kap. 12 59, 111 Update-Schulung Kap. 3 81 US Foreign Corruption Practices Act Kap. 9 3 USA –– Beweisbeschaffungsverfahren Kap. 5 215 f. –– Binding Corporate Rules Kap. 5 266 ff. –– Cloud-Anbieter Kap. 4 226 –– Datenschutzniveau, angemessenes Kap. 4 115 ff., Kap. 5 81 ff., Kap. 9 36 –– Datenübermittlung Kap. 3 101 –– EU-Standardvertrag Kap. 5 264 f. –– EU-Standardvertragsklauseln Kap. 5 95 –– Federal Rules of Procedure Kap. 5 232 –– Haager Beweisübereinkommen Kap. 5 258 ff. –– National Security Agency Kap. 4 122 ff. –– Patriot Act Kap. 4 119 ff.
758
Stichwortverzeichnis
Pre-Trial Discovery Kap. 5 210 ff. PRISM Kap. 4 143 Safe-Harbor Kap. 4 237 ff., Kap. 5 84, 262 f. Telekommunikations-Outsourcing Kap. 6 71 USB-Stick Kap. 9 85, Kap. 12 14 User Kap. 4 191 User-generated Content Kap. 9 86, Kap. 10 110 User-ID Kap. 9 103 UWG siehe Wettbewerbsrecht Kap. 10 162 –– –– –– ––
V Vendor Lock-In Kap. 4 211 Veränderung Kap. 12 86 Verantwortliche Stelle –– Auskunft an Aufsichtsbehörde Kap. 3 110 –– Begriff Kap. 2 34 ff. –– Betriebsprüfung Kap. 3 109 –– Betriebsrat Kap. 8 272 –– Binding Corporate Rules Kap. 4 131 –– Datenschutzaudit Kap. 13 76 –– Datenschutzbeauftragter Kap. 3 1 ff., 20 f., 122 –– Datenschutzbericht Kap. 3 114 ff. –– Datenschutzerklärung Kap. 7 42 –– Erkennbarkeit Kap. 10 67 –– EU-Standardvertrag Kap. 4 144 –– Fanpage Kap. 10 155 –– Juristische Person Kap. 5 3 –– Konzern Kap. 3 8, Kap. 5 24 –– Lettershop Kap. 10 69 –– Niederlassung Kap. 1 47, Kap. 5 226 –– Outsourcing, internes Kap. 4 17 –– Pflichten gegenüber dem Datenschutzbeauftragten Kap. 3 29 ff. –– Service Provider Kap. 4 6 ff. –– Social Plugin Kap. 10 159 –– Tracking Kap. 7 32 –– Transparenz Kap. 5 173 –– Unterrichtungspflicht Kap. 10 18 f. –– Verfahrensverzeichnis Kap. 3 35 Verantwortlicher im Sinne des Presserechts Kap. 7 51 Verantwortlichkeit –– ~, strafrechtliche Kap. 3 134 ff. –– Auftragsdatenverarbeitung Kap. 4 18, 52 f. –– Beschäftigtendatenverarbeitung, konzerninterne Kap. 5 58
–– Binding Corporate Rules Kap. 5 146 –– Datenschutzbeauftragter Kap. 3 131 –– Outsourcing Kap. 4 31 Verarbeitbarkeit Kap. 12 103 Verarbeitung siehe Datenverarbeitung Verarbeitungssektor Kap. 4 169 Verarbeitungsverfahren, automatisiertes Kap. 1 15 Verarbeitungsverfahren Kap. 1 16 –– ~, automatisiertes –– siehe Automatisiertes Verfahren Kap. 4 64 –– ~, neues Kap. 1 46 ff. –– Meldepflicht Kap. 3 52 ff. –– Überprüfung Kap. 3 57 –– Vorabkontrolle Kap. 3 48 ff. –– Zweifel an Rechtmäßigkeit Kap. 3 92 Verarbeitungsverfahrensinventarisierung Kap. 12 139 Verarbeitungsvorgang, interner Kap. 11 158 Verbandsklage Kap. 2 33 Verbesserungsprozess, kontinuierlicher Kap. 12 128, Kap. 13 49 Verbindlichkeit –– Binding Corporate Rules Kap. 5 137 ff. Verbot mit Erlaubnisvorbehalt Kap. 2 5, 17, Kap. 10 113 Verbraucher –– ~-Verband Kap. 10 208 –– Datenschutzgesetzesnovelle Kap. 14 8 –– Einwilligungserklärung Kap. 10 86 –– Telefonwerbung Kap. 10 194 f. –– Unterrichtung Kap. 10 23 –– Wettbewerbsrecht Kap. 10 204 Verbraucherrechterichtlinie Kap. 1 25 Verbraucherschutz Kap. 1 73 f., Kap. 2 30 Verbraucherwerbung Kap. 10 186 Verdacht –– Daten, erforderliche Kap. 11 22 –– Ermittlung, unternehmensinterne Kap. 9 37 –– Maßnahmen Kap. 9 42 –– Verhaltensregeln Kap. 9 41 Verdunkelungsgefahr Kap. 6 48, Kap. 9 53 Vereinsregister Kap. 7 72 Vereinzelungsanlage Kap. 12 44 Verfahren, automatisiertes siehe Automatisiertes Verfahren
Stichwortverzeichnis
Verfahrenssicherheit Kap. 9 88 Verfahrensverzeichnis Kap. 1 18, Kap. 3 31, 35 Verfahrensverzeichnis –– ~, internes Kap. 3 49, 53 f. –– ~, öffentliches Kap. 3 35, 55 –– Auftragsdatenverarbeitung Kap. 3 79, Kap. 4 52 –– Datenschutzaufsicht Kap. 3 110 –– Maßnahmen, technisch-organisatorische Kap. 12 138 –– Unterlagen Kap. 3 123 –– Zertifizierung Kap. 13 4 Verfassungsrecht –– Recht auf informationelle Selbstbestimmung Kap. 2 4 ff. Verfügbarkeit Kap. 4 6, Kap. 12 11, 27 Verfügbarkeitskontrolle –– Brandfrüherkennung Kap. 12 106 –– Datensicherung Kap. 12 110 –– Definition Kap. 12 102 ff. –– Diebstahlschutz Kap. 12 108 –– ISO-Standard Kap. 13 42 ff. –– Netzwerkebene Kap. 12 109 –– Notfallbenutzerkonzepte Kap. 12 112 –– Notfallkonzept Kap. 12 113 –– Redundanz, geographische Kap. 12 105 –– Server Kap. 12 111 –– Stromversorgung Kap. 12 107 –– Systemausfall Kap. 12 117 –– Virenschutzkonzept Kap. 12 116 –– Zusammenfassung Kap. 12 157 Vergaberecht Kap. 4 256 f. Vergleich, gerichtlicher Kap. 11 96 Verhaltensbasierte Werbung Kap. 10 125 f. Verhaltensbewertung Kap. 1 15 Verhaltenskontrolle Kap. 6 43 ff. Verhaltens-Screening Kap. 8 205 Verhältnismäßigkeit –– ~, Grundsatz der Kap. 2 18 –– Beschäftigtenkontrolle Kap. 8 193, 197 –– Betriebsvereinbarung Kap. 5 38 –– Datenverarbeitung Kap. 1 49 –– Datenweitergabe an Betriebsrat Kap. 8 278 –– E-Discovery Kap. 5 244, Kap. 8 248 f. –– E-Mail-Zugriff Kap. 6 45 –– Ermittlung gegen Nichtbeschäftigten Kap. 9 23 –– Fragerecht des Arbeitgebers Kap. 8 25
759
––
Maßnahme, technisch-organisatorische Kap. 12 137 –– Privatdetektiveinsatz Kap. 9 138 –– Videoüberwachung Kap. 8 217 Verjährung Kap. 10 46 Verkehrsdaten –– Ermittlung, unternehmensinterne Kap. 9 114 –– Internetnutzung Kap. 6 6 –– Intranet Kap. 6 7 –– Kontrolle, präventive Kap. 6 43 –– Nutzerprofil Kap. 10 128 –– Telefonat Kap. 6 63 f. –– Telefonie Kap. 6 5, 14 –– Telekommunikation Kap. 9 6, Kap. 10 140 –– Telekommunikationsüberwachung Kap. 6 19 –– TK-Entgelt-Forderungsabtretung Kap. 6 42 –– Verwendung, werbliche Kap. 10 150 f. –– Webmailinterface Kap. 6 39 Verlinkung Kap. 10 119 Verlust siehe Datenverlust Kap. 5 177 Veröffentlichung –– Kontaktdaten, betriebliche Kap. 8 232 f. –– Mitarbeiterfoto Kap. 8 237 –– Mitarbeiter-Publikationsliste Kap. 8 234 Verpflichtung auf das Datengeheimnis –– Auftragsdatenverarbeitung Kap. 4 43 –– Datenschutzbeauftragter Kap. 3 41 f., 86 –– Kontrolle Kap. 3 110 –– Schulung Kap. 1 35 Verpflichtungserklärung Kap. 5 151 ff. Verrat von Geschäfts- und Betriebsgeheimnissen Kap. 6 39 Versandhausbetrug Kap. 11 15 Verschleierung Kap. 10 169 Verschlüsselung –– Amtsgeheimnis Kap. 4 254 –– Auftragsdatenverarbeitung Kap. 12 96 –– Authentifizierungsmerkmale Kap. 12 56 –– Datenträger, mobiler Kap. 12 78 –– Datentransport Kap. 12 67 –– E-Mail Kap. 12 80 –– E-Mail-Archivierung Kap. 6 59 –– Ende-zu-Ende-Verschlüsselung Kap. 12 68 –– Patientendaten Kap. 4 258 –– Sozialdaten Kap. 4 255 –– Stand der Technik Kap. 12 150
760
Stichwortverzeichnis
–– Veralterung Kap. 12 75 –– Verfahren Kap. 12 70 –– Zugriffskontrolle Kap. 12 61 Verschwiegenheitspflicht Kap. 2 42 –– ~, berufsrechtliche Kap. 3 110 –– Arzt Kap. 4 86 –– Cloud Kap. 4 258 –– Datenschutzbeauftragter Kap. 3 127 f. –– Ermittler, externer Kap. 9 44 –– Factoring Kap. 11 82 –– Mandatsverhältnis Kap. 9 71 –– Rechtsanwalt Kap. 3 95, Kap. 4 74 Versicherung Kap. 4 87 f. Versorgungsbehörde Kap. 11 39 Vertrag –– ~ mit Schutzwirkung zugunsten Dritter Kap. 9 72 –– ~, völkerrechtlicher Kap. 14 27 –– Anforderungen, technisch-organisatorische Kap. 12 18 –– Auftragsdatenverarbeitung Kap. 4 58 f., Kap. 12 95 –– Bestandsdaten Kap. 10 143 –– Betriebsübergang Kap. 8 265 –– Binding Corporate Rules Kap. 5 139 ff. –– Cloud-Dienst Kap. 4 190 ff. –– Datenschutzvertrag Kap. 12 97 –– Datenschutzgarantie, angemessene Kap. 4 137, Kap. 5 96 –– E-Discovery-Dienstleister Kap. 5 283 –– Erfüllung, ordnungsgemäße Kap. 11 129 ff. –– Erklärung, einseitige Kap. 5 148 –– EU-Standard-~ Kap. 4 134 –– Factoring Kap. 11 82 –– Forderungsausgleich Kap. 11 136 f. –– Inhaltsdaten Kap. 6 34 –– Kopplungsverbot Kap. 10 91 ff. –– Prüfbericht Kap. 13 23 –– Scoring Kap. 11 46 –– Telemediendienste-~ Kap. 6 39 –– Übermittlungsvertrag Kap. 5 267 Vertragsmanagement Kap. 4 127 Vertragspflichten, nachträgliche Kap. 8 269 Vertragsstrafe –– Geheimhaltungspflicht Kap. 4 5 Vertrauen Kap. 13 7 Vertrauensschutz Kap. 4 124 Vertraulichkeit Kap. 6 80, Kap. 9 76, Kap. 12 11, 27
–– Binding Corporate Rules Kap. 5 161 –– Prüfbericht Kap. 13 23 Vertraulichkeit des Wortes Kap. 9 115 Vertraulichkeitspflicht Kap. 4 60 Vertraulichkeitsregelung Kap. 2 1 Vertreter Kap. 10 96 Vertreterregeln Kap. 6 37, 40 Vertriebsdaten Kap. 9 46 Videoüberwachung –– ~, heimliche Kap. 8 219 –– Arbeitsplatz Kap. 8 205 ff., Kap. 9 127 ff. –– Beschäftigtendatenschutzgesetz Kap. 14 5 –– Bereich, betriebsöffentlicher Kap. 8 213 –– Bereich, öffentlich zugänglicher Kap. 8 209 ff. –– Betriebsrat Kap. 3 63 –– Interessenabwägung Kap. 8 214 ff. –– Outsourcing Kap. 5 15 –– Raum, öffentlich zugänglicher Kap. 9 130 ff. –– Richtlinien Kap. 1 37 –– Speicherdauer Kap. 8 218 –– Zutrittskontrolle Kap. 12 39 Vier-Augen-Prinzip Kap. 1 36, Kap. 9 90 Virenschutzkonzept Kap. 12 116 Virtualisierung Kap. 4 182 Virtual-Private-Network Kap. 12 69 f. Virus –– E-Mail-Filterung Kap. 6 54 Visitenkarte Kap. 10 174 Voice-over IP Kap. 12 83, Kap. 13 60 Vollharmonisierung Kap. 4 97 Vollstreckungsgegenklage Kap. 11 140 Vollverschlüsselung Kap. 12 73 Volume Shadow Copy Service Kap. 12 76 Vorabkontrolle Kap. 1 15 ff. –– Aufsichtsbehörde Kap. 3 95 –– Auftragsdatenverarbeitung Kap. 3 74 f., Kap. 4 44 –– Betriebsrat Kap. 9 20 –– Bußgeld Kap. 4 69 –– Datenschutzbeauftragter Kap. 2 42 –– Dokumentation Kap. 13 2 –– E-Discovery Kap. 5 275 –– Entscheidungssystem, automatisiertes Kap. 11 61 –– Ermittlung, unternehmensinterne Kap. 9 18, 46 –– Organisationskontrolle Kap. 12 34
Stichwortverzeichnis
–– Verarbeitungsverfahren Kap. 3 3, 45 ff. Vor-Audit Kap. 13 81 Voreinstellung Kap. 1 45 Vorgehensmodell Kap. 13 73 Vor-Ort-Audit Kap. 12 100, Kap. 13 3 ff. Vor-Ort-Kontrolle Kap. 3 76, Kap. 4 218 Vor-Ort-Prüfung Kap. 3 111 Vor-Ort-Recherche Kap. 9 59 Vorschlagswesen, betriebliches Kap. 8 228 Vorstand Kap. 2 36 Vorstellungsgespräch siehe Anbahnungsverhältnis Vorteilsgewährung Kap. 9 3 W Waffengleichheit Kap. 9 70 Wahlmöglichkeit Kap. 13 38 Wanze Kap. 9 119 Warndatei Kap. 11 123 f. –– Bonitätsinformation Kap. 11 16 f. –– Einwilligung Kap. 11 18 ff. Warnfunktion Kap. 4 35, Kap. 11 114 Warnsystem Kap. 11 14, 16, 89 Wartung Kap. 12 107 –– Verarbeitungsverfahren Kap. 4 64 f. Webanalyse Kap. 7 33 Webanalysetool Kap. 4 89 Web Based Training Kap. 12 154 Web-Beacon Kap. 7 27 Web-Bug Kap. 7 27 Web-Server Kap. 12 90 Web-Tracking siehe Tracking Kap. 7 31 Webbrowser-Fingerprint Kap. 6 74 Webex Kap. 9 88 Webmailer Kap. 6 20, 78 Webmailinterface Kap. 6 39 Webshop Kap. 10 160 Website Kap. 1 15 –– Allgemein zugängliche Quelle Kap. 9 51 –– Betriebsrat Kap. 8 273 –– Cookies Kap. 7 26 f., Kap. 10 136 ff. –– Datenerhebung Kap. 10 60 –– Datenschutzerklärung Kap. 7 3 ff. –– Einwilligungserklärung Kap. 10 89, 119 –– Entgeltlichkeit Kap. 7 56 –– Hyperlink Kap. 7 16 –– Informationspflichten Kap. 7 1 f. –– Social Plugin Kap. 7 39 f., Kap. 10 158 ff.
761
Weisung –– Auftragsdatenverarbeitung Kap. 4 38, 54 ff., Kap. 5 9, Kap. 6 70, Kap. 12 95, 100 –– Binding Corporate Rules Kap. 5 154, 178 –– Cloud-Dienst Kap. 4 216 –– Haftung Kap. 4 56 f. –– Kollektivrechtsverstoß Kap. 8 14 –– Outsourcing Kap. 4 24, 27 –– Reisemanagement Kap. 5 17 –– Vertragsstrafe Kap. 4 222 Weisungsrecht Kap. 3 125 f. Weiterempfehlungsfunktion Kap. 10 183 Weitergabe von Daten siehe Datenübermittlung Weitergabekontrolle –– Datenträger, mobiler Kap. 12 72, 78 –– Datenwiederherstellung Kap. 12 76 f. –– Definition Kap. 12 64 –– E-Mail Kap. 12 79 f. –– Netzwerkseparierung Kap. 12 82 f. –– Transport Kap. 12 66 ff. –– Virtual Private Network Kap. 12 69 f. –– Zusammenfassung Kap. 12 157 Weiterübermittlung Kap. 5 181, 184 Werbegeschenk Kap. 10 75 Werbung –– ~ ohne Einwilligung Kap. 10 193 ff. –– ~, berufsbezogene Kap. 10 57 ff. –– ~, periodische Kap. 10 27 –– ~, personalisierte Kap. 10 7, 125 f. –– Adresshandel Kap. 10 213 ff. –– Angebot, eigenes Kap. 10 42 f., 55 f. –– Angebot, fremdes Kap. 10 66 f. –– Ansprache Kap. 10 24 –– Ansprache, werbliche Kap. 10 59 –– Arbeitnehmerdaten Kap. 4 149 –– Auftragsdatenverarbeitung Kap. 10 20 –– Bestandsdaten Kap. 10 143 ff. –– Briefkastenwerbung Kap. 10 163 ff. –– Cookies Kap. 10 136 ff. –– Double-Opt-in-Verfahren Kap. 10 ff. –– Eigenwerbung, betriebliche Kap. 8 242 –– Einwilligung Kap. 10 74 f. –– E-Mail-Werbung Kap. 10 171 ff. –– Empfehlungswerbung Kap. 10 182 f. –– Erlaubnistatbestand Kap. 10 5 ff. –– Freundschaftswerbung Kap. 10 73 –– Interesse, legitimes Kap. 10 46 –– Interesse, schutzwürdiges Kap. 10 70 ff.
762
Stichwortverzeichnis
Kommerzielle Kommunikation Kap. 7 59 Kopplungsverbot Kap. 10 8, 91 ff. Kundendaten Kap. 10 1 ff. Laienwerbung Kap. 2 31 Listenprivileg Kap. 10 35 ff. Melderegisterdaten Kap. 10 224 Mitarbeiter Kap. 8 241 Neukunde Kap. 10 209 Nutzerprofil Kap. 10 128 Online Advertising Alliance Kap. 7 38 Opt-in Kap. 10 83 ff. Retargeting Kap. 7 36 ff. Robinsonliste Kap. 10 34 Social Plugin Kap. 10 158 ff. Soziales Angebot, betriebseigenes Kap. 8 239 –– Soziales Netzwerk Kap. 10 154 ff. –– Spam Kap. 2 30 –– Spenden-~ Kap. 10 62 ff. –– Telekommunikationsanbieter Kap. 10 139 ff. –– Verkehrspflichten Kap. 10 221 –– Verschleierung Kap. 10 169 –– Werbeanruf Kap. 10 146 –– Wettbewerbsrecht Kap. 10 162 –– Widerspruch Kap. 10 28 ff. –– Widerspruchsrecht Kap. 10 10 ff. –– Zufriedenheitsbefragung Kap. 10 180 f. Werkschutz Kap. 5 15 Werkzeitschrift Kap. 7 51 Wertpapiergeschäft Kap. 4 77 Wettbewerb Kap. 13 7 Wettbewerbsrecht Kap. 1 73 f. –– Briefkastenwerbung Kap. 10 163 ff. –– Datenerhebung Kap. 10 53 –– Datenschutzerklärung, fehlerhafte Kap. 7 47 –– Datenschutzrechtsnovelle Kap. 14 8 –– Datenschutzverstoß Kap. 2 29 ff. –– Datenverarbeitung, unzulässige Kap. 14 9 –– Einrichtung, gemeinnützige Kap. 10 196 –– Einwilligung, ungenutzte Kap. 10 106 –– Einwilligungserklärung Kap. 10 120 –– E-Mail-Werbung Kap. 10 39 –– Ermittlung, unternehmensinterne Kap. 9 3 –– Fernkommunikationswerbung Kap. 10 171 ff. –– Impressumspflicht Kap. 7 73 –– Konkurrentenabmahnung Kap. 14 10 –– –– –– –– –– –– –– –– –– –– –– –– –– –– ––
Lettershop Kap. 10 69 Marktverhalten Kap. 2 32 Opt-out Kap. 10 85 Robinsonliste Kap. 10 34, 204 Social Network Marketing Kap. 10 184 Umgehung Kap. 10 183 Unterrichtungspflicht Kap. 10 11 Verstoß Kap. 10 207 f. Werbeeinwilligung Kap. 10 90 Werbung mittels Telekommunikationsmittel Kap. 10 149 –– Werbung Kap. 10 3, 162 –– Werbung, einwilligungslose Kap. 10 193 ff. –– Zertifizierung, angedeutete Kap. 13 26 –– Zufriedenheitsbefragung Kap. 10 180 f. Wettbewerbsunternehmen, öffentlichrechtliches Kap. 12 1 WhatsApp Kap. 6 71 Whistleblowing Kap. 9 38, 72 Widerrufsrecht –– Aufklärung Kap. 1 30 –– Datenschutzerhebung, einwilligungsbasierte Kap. 7 24 –– Einwilligung Kap. 10 98 ff. –– Einwilligung, elektronische Kap. 10 124 –– Einwilligungserklärung Kap. 9 26 –– E-Mail-Werbung Kap. 10 191, 197 –– ex-nunc-Wirkung Kap. 10 100 –– Form Kap. 10 102 –– Rechtsmissbrauch Kap. 10 99 –– Verbraucherschutz Kap. 10 200 –– Verkehrsdatennutzung, werbliche Kap. 10 151 –– Widerrufbarkeit, jederzeitige Kap. 10 89 Widerspruch –– ~, konkludenter Kap. 10 33 –– Auftragsdatenverarbeitung Kap. 4 52 –– Bestandsdatennutzung, werbliche Kap. 10 147 –– Betriebsübergang Kap. 8 266 –– Binding Corporate Rules Kap. 5 161, 171, 180 –– Briefkastenwerbung Kap. 10 168 –– E-Mail-Zugriff Kap. 6 48 –– Ermittlung, unternehmensinterne Kap. 9 25 ff. –– Form Kap. 10 17 –– Internetrecherche Kap. 8 93 –– Kenntnisnahme Kap. 10 204 –– –– –– –– –– –– –– –– –– ––
Stichwortverzeichnis
–– Nutzerprofil Kap. 10 133 –– Opt-out-Plugin Kap. 7 32 –– Rechtsfolgen Kap. 10 28 ff. –– Rechtsmissbrauch Kap. 10 99 –– Robinsonliste Kap. 10 34 –– Umsetzung, unverzügliche Kap. 10 32 –– Widerruf Kap. 10 98 Widerspruchslösung Kap. 7 29 Widerspruchsrecht –– Ausübung Kap. 10 15 f., 28 ff. –– Beschränkung, vertragliche Kap. 10 13 –– Nutzerprofil Kap. 10 127 –– Nutzungsprofil, Erstellung Kap. 7 28 –– Tracking Kap. 7 33 –– Unterrichtungspflicht Kap. 10 9 ff. Widerstandsklasse Kap. 12 43 WIKI-System Kap. 12 115 Willenserklärung, rechtsgeschäftliche Kap. 10 95, 103 Willkür Kap. 10 99 Wiping-Tool Kap. 12 76 Wirksamkeitsdauer Kap. 10 192 Wirksamkeitsnachweis Kap. 5 185 ff. Wirtschaftsauskunftei siehe Auskunftei Kap. 11 16, 159 Wirtschaftsdatenbank Kap. 9 58 Wirtschafts-Identifikationsnummer Kap. 7 72 Wirtschaftsprüfer Kap. 4 29, 72, 46, Kap. 13 23, 71 ~, externer Kap. 8 243 Wirtschaftsspionage Kap. 9 3 WLAN Kap. 12 30 Wohlwollen, verständiges Kap. 8 258 World Check Kap. 9 58 World Compliance Kap. 9 58 X XING Kap. 6 74, Kap. 10 154 f. Y YouTube Kap. 6 74 Z Zahlungsausfall Kap. 11 1, 138 ff. Zahlungsbefehl, europäischer Kap. 11 100 Zahlungsstörung Kap. 11 136 Zahlungsstörung, angebliche Kap. 11 94 Zahlungsunfähigkeit Kap. 11 99 Zahlungsvorgang Kap. 11 30
763
Zahlungsweg Kap. 11 25 Zählpixel Kap. 7 27 Zeiterfassung, elektronische Kap. 3 63 Zeitstempel Kap. 12 87 Zeitungsbeilagenwerbung Kap. 10 166 Zentralisierung Kap. 3 69, Kap. 5 12 Zerstörung Kap. 5 177 Zertifikatsfehlerwarnung Kap. 12 81 Zertifizierung Kap. 2 51 f. –– Anforderungen Kap. 13 29 –– Anforderungskatalog Kap. 13 94 –– Begriffe Kap. 13 21 –– Bekanntheitsgrad Kap. 13 33 –– Betrachtungsgegenstand Kap. 13 31 –– Datenschutzaudit Kap. 13 75 f. –– Datenschutz-Gütesiegel Kap. 13 85 –– Datenschutz-Managementsystem Kap. 13 79 –– Dienstleister mit geprüftem Datenschutz Kap. 13 92 –– Europäisches Datenschutzsiegel Kap. 13 11 ff. –– European Privacy Seal Kap. 13 96 –– Funktionstrennung Kap. 13 82 –– Gültigkeitsdauer Kap. 13 90 –– Informationssicherheits managementsystem Kap. 13 42 ff. –– Instanz Kap. 13 32 –– Interessenskonflikt Kap. 13 86, 94 –– ISAE 3000 Kap. 13 68 f. –– ISO-Datenschutzstandards Kap. 13 36 ff. –– IT-Grundschutz Kap. 13 55 ff. –– Kriterienerwerb Kap. 13 40 –– Produktzertifizierung Kap. 13 95 f. –– Prüf- und Gütesiegel Kap. 13 26 ff. –– Prüfbericht Kap. 13 22 f. –– Prüfungsergebnis, objektives Kap. 13 101 –– Rahmen, rechtlicher Kap. 13 9 –– Rezertifizierung Kap. 13 83 –– Safe-Harbor Kap. 5 87, 262 –– Standards und Normen Kap. 13 16 ff. –– Testat Kap. 13 24 –– TÜV Rheinland Kap. 13 87 ff. –– Unternehmenszertifizierung Kap. 13 35 –– Unternehmensprüfung Kap. 13 6 –– Vertrauen Kap. 13 7 –– Zielsetzung Kap. 13 1 ff. Zeugenbeeinflussung Kap. 9 52 Zeugnisverweigerungsrecht Kap. 9 39, 68
764
Stichwortverzeichnis
–– Betriebsrat Kap. 9 68 –– Datenschutzbeauftragter Kap. 3 129 f. Zession Kap. 11 81 f. ZIP-Archiv Kap. 12 78 Zitiergebot, kleines Kap. 6 56, 82 Zivilrechtliche Haftung –– Datenschutzverstoß Kap. 1 64 f. –– Gesetzliches Verbot Kap. 1 72 –– Informationsverbund Kap. 12 51 f. Zufriedenheitsbefragung Kap. 10 180 f. Zugangskontrolle –– Abmeldung Kap. 12 53 –– Authentifizierungsmerkmale Kap. 12 56 –– Chipkarte Kap. 12 50 –– Definition Kap. 12 48 –– Überprüfung Kap. 12 54 –– Zeitbeschränkung Kap. 12 53 –– Zugriffskontrolle Kap. 12 49 –– Zusammenfassung Kap. 12 157 Zugangssystem, biometrisches Kap. 8 168 Zugriff Kap. 13 38 –– Aufklärungszweck Kap. 6 48 –– E-Mail-Daten Kap. 6 40 –– Mailinhalt, privater Kap. 6 41 f. –– Telefonie Kap. 6 61 –– Webmailinterface Kap. 6 39 Zugriffsberechtigung Kap. 3 58 Zugriffskontrolle –– Benutzerkonto Kap. 12 63 –– Definition Kap. 12 57 –– ISO-Informationssicherheitsstandard Kap. 13 48 –– Kenntnis-nur-bei-Bedarf-Prinzip Kap. 12 57 –– Software Kap. 12 60 –– Rollen- und Berechtigungskonzept Kap. 12 58 –– Verschlüsselung Kap. 12 61 –– Zusammenfassung Kap. 12 157 Zulässigkeit –– Telekommunikationszugriff Kap. 6 8 Zulieferverhältnis Kap. 4 193 Zumutbarkeit –– Löschungspflicht Kap. 1 52 Zuständigkeit –– Aufsichtsbehörde Kap. 3 91
Zutrittskontrolle –– Berechtigungen Kap. 12 46 –– Definition Kap. 12 36 –– Schlüssel Kap. 12 40 –– Schutzzonen Kap. 12 37 f. –– Social Engineering Kap. 12 47 –– Tür Kap. 12 42 f. –– Videoüberwachung Kap. 12 39 –– Zusammenfassung Kap. 12 157 Zutrittsprotokollierung Kap. 12 40 Zutrittsrecht Kap. 3 123 Zwangsgeld Kap. 1 62, Kap. 3 113 Zwangsvollstreckung Kap. 11 140 Zweck, legitimer Kap. 2 18 Zweckbetrieb Kap. 10 64 Zweckbindung Kap. 1 33, 44 Zweckbindung –– ~, Gebot der Kap. 2 17, 28 –– Archivierung Kap. 6 58 –– Aufbewahrungsfrist Kap. 11 14 –– Auftragsdatenverarbeitung Kap. 4 59 –– Beschäftigtendaten Kap. 5 51 f. –– Beschäftigtendatenschutz Kap. 8 143 –– Beschäftigungszwecke Kap. 8 137 –– Bewerberdaten Kap. 8 126 ff. –– Binding Corporate Rules Kap. 5 161, 169, 175 –– Beschäftigtendatenschutz Kap. 5 57 –– Customer Relationship Management Kap. 10 227 ff. –– Datenschutzprinzip Kap. 13 38 –– E-Discovery Kap. 5 239, 270 –– Erforderlichkeit Kap. 2 7 –– Internetrecherche Kap. 8 92 –– Melderegisterauskunft Kap. 11 37 –– Melderegisterdaten Kap. 10 225 –– Outsourcing Kap. 4 31 –– Speicherung, nachvertragliche Kap. 11 132 f. –– Telemedienrecht Kap. 10 113 Zwei-Faktor-Authentifizierung Kap. 12 50 Zwei-Klick-Lösung Kap. 10 160 Zwei-Stufen-Prüfung Kap. 5 26 Zweittelefon Kap. 9 119