Der Mittelstand gilt als Rückgrat der deutschen Wirtschaft – flexibel, leistungsfähig und innovationsgetrieben. Gleichzeitig zeigt die aktuelle Bedrohungslage immer deutlicher: Cyberangriffe sind längst kein Randphänomen mehr, sondern betreffen Unternehmen aller Größen und Branchen. Gerade mittelständische Organisationen geraten zunehmend in den Fokus professioneller Angreifer – nicht zuletzt, weil sie hochgradig vernetzt arbeiten, gleichzeitig jedoch oft mit begrenzten Ressourcen im Bereich Informationssicherheit operieren.

Aktueller Praxisfall

Ein aktueller Praxisfall verdeutlicht diese Entwicklung eindrücklich. Innerhalb weniger Stunden eskalierte ein zunächst punktuell erscheinender IT-Sicherheitsvorfall zu einem umfassenden Ransomware-Angriff. Erste technische Auffälligkeiten wurden am frühen Abend erkannt. Im weiteren Verlauf kam es zu einer aktiven Verschlüsselung zentraler Systeme, die sich innerhalb kurzer Zeit über wesentliche Teile der IT-Infrastruktur ausbreitete.

Die eingeleiteten Reaktionsmaßnahmen folgten bewährten Mustern des Notfallmanagements: Systeme wurden isoliert, Netzwerke getrennt und kontrolliert heruntergefahren, um eine weitere Ausbreitung zu verhindern. Parallel wurde ein interdisziplinärer Krisenstab eingerichtet und externe Expertise aus IT-Forensik, Incident Response, Datenrettung sowie rechtlicher Beratung hinzugezogen. Zeitgleich mussten organisatorische Notlösungen etabliert werden, um grundlegende Geschäftsprozesse – soweit möglich – aufrechtzuerhalten.

Und Plötzlich Zeit(-Druck)

Wie in vergleichbaren Szenarien zeigte sich auch hier, dass die operative Wiederherstellung komplexer IT-Landschaften Zeit erfordert. Insbesondere die Wiederherstellung geschäftskritischer Systeme, die Validierung von Datenbeständen sowie die parallele forensische Analyse führen zwangsläufig zu einem gestaffelten Wiederanlauf. Insgesamt ergab sich in dem betrachteten Fall eine erhebliche Beeinträchtigung über einen Zeitraum von rund 19 Tagen – verbunden mit einem weiterhin eingeschränkten Betrieb über diesen Zeitraum hinaus.

Dieser Verlauf ist kein Einzelfall, sondern entspricht in weiten Teilen dem typischen Muster moderner Cyberangriffe. Die zunehmende Professionalisierung von Angreifern, automatisierte Angriffswerkzeuge sowie die gezielte Ausnutzung komplexer IT-Strukturen führen dazu, dass selbst gut aufgestellte Organisationen vor erheblichen Herausforderungen stehen.

Informationssicherheit ist eine Querschnittsaufgabe

Vor diesem Hintergrund wird deutlich: Informationssicherheit ist kein isoliertes IT-Thema, sondern ein zentraler Bestandteil der unternehmerischen Resilienz. Im Kern geht es um die Sicherstellung von Verfügbarkeit, Integrität und Vertraulichkeit von Informationen – und damit unmittelbar um die Aufrechterhaltung des Geschäftsbetriebs.

Gleichzeitig zeigt die Praxis, dass Informationssicherheit im Mittelstand häufig historisch gewachsen ist. Sicherheitsmaßnahmen werden sukzessive implementiert und an konkrete Anforderungen angepasst. Dieses Vorgehen ist nachvollziehbar, führt jedoch in komplexen IT-Umgebungen zunehmend an seine Grenzen. Die Dynamik aktueller Bedrohungslagen erfordert daher verstärkt strukturierte und ganzheitliche Ansätze.

Hier setzen etablierte Standards und Frameworks an, wie etwa die ISO/IEC 27001. Sie bieten einen systematischen Rahmen, um Informationssicherheit nicht nur technisch, sondern auch organisatorisch und prozessual zu verankern. Für mittelständische Unternehmen bedeutet dies vor allem: Transparenz über Risiken, klare Verantwortlichkeiten sowie definierte Abläufe für den Ernstfall. Dabei steht nicht die Zertifizierung im Vordergrund, sondern die nachhaltige Stärkung der eigenen Widerstandsfähigkeit.

Der geschilderte Vorfall unterstreicht insbesondere die Komplexität von Cyberereignissen. Aspekte wie Angriffserkennung, Eindämmung, Wiederherstellung und Kommunikation greifen ineinander und müssen unter hohem Zeitdruck koordiniert werden. Gleichzeitig zeigen solche Situationen, wie entscheidend vorbereitete Strukturen, abgestimmte Prozesse und sensibilisierte Mitarbeitende sind.

Für die Unternehmensleitung ergibt sich daraus ein klarer strategischer Auftrag. Informationssicherheit sollte als integraler Bestandteil der Unternehmensführung verstanden und entsprechend priorisiert werden. Ausgangspunkt bildet eine fundierte Betrachtung der eigenen Risiken und Abhängigkeiten. Darauf aufbauend gilt es, geeignete organisatorische und technische Maßnahmen zu etablieren sowie Notfall- und Wiederanlaufprozesse vorzubereiten und regelmäßig zu überprüfen.

Ebenso wichtig ist die Einbindung der Mitarbeitenden. Informationssicherheit ist eine Querschnittsaufgabe, die nur dann wirksam ist, wenn sie in der gesamten Organisation gelebt wird. Sensibilisierung und klare Leitlinien tragen dazu bei, Risiken frühzeitig zu erkennen und angemessen zu reagieren.

Fazit

Der Praxisfall zeigt letztlich vor allem eines: Cyberangriffe sind heute Teil der unternehmerischen Realität. Die Frage ist nicht mehr, ob ein Unternehmen betroffen sein könnte, sondern wie gut es darauf vorbereitet ist. Die rund 19 Tage eingeschränkter Geschäftsbetrieb verdeutlichen die betriebswirtschaftliche Dimension solcher Vorfälle. Informationssicherheit ist daher keine optionale Zusatzaufgabe, sondern ein wesentlicher Baustein für Stabilität, Vertrauen und Zukunftsfähigkeit im Mittelstand.

Über die Autorin: Carolin Rubel ist Rechtsanwältin und als externe Datenschutz- und Informationssicherheitsbeauftragte beim Dresdner Institut für Datenschutz tätig. Im Fokus ihrer Beratungstätigkeiten liegen neben der Betreuung von Auftraggebern aus den allgemeinen Bereichen Industrie, Handel sowie Dienstleistung, spezialisiert Wohnungsunternehmen sowie kirchliche Stellen und Auftraggeber aus dem Gesundheitsbereich. Für Anregungen und Reaktionen zu diesem Beitrag können Sie die Autorin gern per E-Mail kontaktieren.

Die „Whistleblowing-Richtlinie“ – Richtlinie (EU) 2019/1937 des Europäischen Parlamentes und des Rates vom 23. Oktober 2019 zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden – dient einerseits dem Schutz von Hinweisgebenden, die Verstöße gegen EU-Recht melden wollen und verpflichten andererseits öffentliche und private Organisationen sowie Behörden dazu, sichere Kanäle für die Meldung von Missständen einzurichten. Die Vorgaben der EU-Richtlinie sowie die datenschutzrechtlichen Implikationen soll der nachfolgende Beitrag aufzeigen.

INHALTE DER RICHTLINIE

Unternehmen mit mehr als 50 Beschäftigten müssen interne Meldekanäle einrichten. Das Meldeverfahren lässt sich im Wesentlichen in drei Stufen unterteilen:

(1) Interne Meldung,
(2) Meldung an die zuständige Behörde,
(3) Meldung an die Öffentlichkeit.

Gemäß Art. 9 RL-EU 2019/1937 müssen die Meldekanäle eine Meldung in schriftlicher, mündlicher oder persönlicher Form ermöglichen. Jegliche übermittelte Information bedarf der Dokumentation in schriftlicher Form oder durch die Erstellung einer Tonaufzeichnung in dauerhafter und abrufbarer Form, jedoch muss nicht befugten Beschäftigten der Zugriff darauf verwehrt bleiben. Von besonderer Bedeutung ist der Schutz der Vertraulichkeit der Identität des Meldenden.

Das Unternehmen soll den Hinweisgebenden innerhalb von 3 Monaten nach Meldung umfassend unterrichten, wie mit dem Hinweis verfahren wurde und welche Folgemaßnahmen das Unternehmen geplant und ergriffen hat. Weiterhin besteht ein umfangreiches Verbot von Repressalien (z. B. Suspendierung, Kündigung, Herabstufung oder Versagung einer Beförderung, Nötigung, Einschüchterung, Mobbing oder Ausgrenzung, aber auch Nichtverlängerung befristeter Arbeitsverträge, Rufschädigung etc.). Auch gilt nunmehr eine Beweislastumkehr: Bisher mussten Hinweisgebende den Zusammenhang zwischen Meldung und Benachteiligung im Streitfall nachweisen. Nun muss Arbeitgeber bzw. das Unternehmen den (abweichenden) Grund für eine vermeintliche Benachteiligung darlegen und gegebenenfalls beweisen. Weiterhin ist kein Vorrang des internen vor dem externen Whistleblowing mehr vorgesehen, d.h. der Hinweisgebende muss den Hinweis nicht erst an das Unternehmen geben, sondern kann sich unmittelbar an externe Stellen wenden. Dabei sind die Motive des Hinweisgebenden irrelevant, d. h. selbst Hinweisgebende, die nur in der Absicht handeln, das Unternehmen zu schädigen, sind geschützt.

Vorgesehen sind Sanktionen für Unternehmen, die Meldungen behindern oder dies zumindest versuchen, Repressalien ergreifen oder die Identität des Hinweisgebenden unberechtigt preisgeben. Darüber hinaus wird ein Schadensersatzanspruch des Hinweisgebenden geschaffen.

DATENSCHUTZRECHTLICHE IMPLIKATIONEN

Die Meldung von Missständen birgt ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen. Nach Auffassung der Datenschutzkonferenz (DSK) lässt sich ein Whistleblowing-Meldeverfahren unter besonderer Berücksichtigung des von dem Unternehmen verfolgten Zwecks und der Einrichtungsmodalitäten datenschutzgerecht gestalten und betreiben (vgl. dazu „Orientierungshilfe der Datenschutzaufsichtsbehörden zu Whistleblowing-Hotline: Firmeninterne Warnsysteme und Beschäftigtendatenschutz“ Stand 14. November 2018). Da es sich bei Whistleblowing-Systemen um Verfahren nach Art. 38 Abs. 1 DS-GVO handelt, ist der Datenschutzbeauftragte ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen einzubinden.

Bekanntlich sind EU-Richtlinien in nationales Recht umzusetzen. Das ist hinsichtlich der Whistleblowing-Richtlinie in Deutschland bislang nicht erfolgt. Die Richtlinie hätte bis 17.12.2021 in nationales Recht umgesetzt werden müssen. Die neue Bundesregierung ist sich ihrer Umsetzungspflicht bewusst, ein konkreter Umsetzungszeitraum wird in dem Koalitionsvertrag allerdings nicht genannt. Mithin stellt sich die Frage, welche Wirkung die Whistleblower-Richtlinie bis zur Verabschiedung eines Umsetzungsgesetzes entfaltet. Grundsätzlich gilt, dass EU-Richtlinien keine unmittelbare Wirkung entfalten, sondern eines nationalen Umsetzungsaktes bedürfen. Daraus folgt für die Privatwirtschaft eine eindeutige Rechtslage im Hinblick auf die verpflichtende Einrichtung interner Hinweisgeber-Systeme: Unter Zugrundelegung der ständigen Rechtsprechung des Europäischen Gerichtshofs (EuGH) führt die Whistleblower-Richtlinie zu keiner unmittelbaren Einrichtungspflicht für natürliche und juristische Personen des Privatrechts.

Anders beurteilt sich die Lage für juristische Personen des öffentlichen Rechts. In Abgrenzung zu Privatpersonen nimmt der Unionsgesetzgeber mit der Einrichtungspflicht für den öffentlichen Bereich staatliche Akteure bzw. mit staatlichen Aufgaben betraute Stellen/Einrichtungen in die Pflicht. Für diese ist eine unmittelbare Wirkung von Richtlinienvorgaben nicht ausgeschlossen. Zudem normiert Art. 9 RL-EU 2019/ 1937 weitestgehend konkrete und inhaltlich unbedingte Vorgaben für die Gestaltung interner Hinweisgeber-Systeme. Die Einrichtungspflicht für juristische Personen des öffentlichen Rechts wirkt daher seit dem 18.12.2021 unmittelbar.

Für Unternehmen bleibt es auch 2022 wichtig, die Gesetzgebung im Auge zu behalten. Das deutsche Hinweisgeberschutzgesetz wird kommen. Die wesentlichen Anforderungen an Unternehmen und Behörden können der EU-Whistleblower-Richtlinie bereits entnommen werden. Prüfen Sie, welche der genannten Meldewege am praktikabelsten ins Unternehmen passen und bereiten Sie sich frühzeitig auf die Umsetzung unter Berücksichtigung datenschutzrechtlicher Anforderungen vor.

Über die Autorin: Carolin Rubel ist Rechtsanwältin und als externe Datenschutzbeauftragte beim Dresdner Institut für Datenschutz tätig. Im Fokus ihrer Beratungstätigkeiten liegen neben der Betreuung von Auftraggebern aus den allgemeinen Bereichen Industrie/Handel/Dienstleistung, spezialisiert Wohnungsunternehmen sowie kirchliche Stellen und Auftraggeber aus dem Gesundheitsbereich. Für Anregungen und Reaktionen zu diesem Beitrag können Sie die Autorin gern per E-Mail kontaktieren.

Der Einsatz von Dashcams erfreut sich in Deutschland an zunehmender Beliebtheit. Dabei haben nicht nur Privatpersonen das mögliche „Beweismittel“ für sich entdeckt, auch immer mehr Flottenbetreiber deklarieren die Vorteile einer Verkehrsraumüberwachung für sich. Als Rechtfertigungsgründe werden hierzu häufig die Aufklärung von Unfällen bei der Arbeit, Beweissicherung für die Klärung der Schuldfrage in einem Gerichtsverfahren sowie der Schutz vor Vandalismus an den firmeneigenen Fahrzeugen (Eigentumsschutz) angebracht.

Dashcams sind kleine Kameras, die meist im Bereich der Windschutzscheibe angebracht sind und fortwährend das Geschehen im Straßenverkehr als Video aufzeichnen. Durch diese Aufzeichnung werden zwangsläufig Kfz-Kennzeichen anderer Verkehrsteilnehmer sowie unbeteiligte Dritte, die sich auf (Radfahrer) oder in der Nähe (Passanten) einer Straße aufhalten, erfasst. Es werden personenbezogene Daten verarbeitet. Das führt zu der Erforderlichkeit, den Einsatz dieser Minikameras in einem datenschutzrechtlichen Kontext zu betrachten.

Teilnehmer im öffentlichen Straßenverkehr haben ein berechtigtes Interesse daran, nicht ohne rechtlichen Grund aufgezeichnet zu werden. Das gilt schon allein deshalb, weil sie sich der Überwachung durch die Dashcams, von denen sie regelmäßig keine Kenntnis haben, nicht entziehen können. Der rechtmäßige Einsatz von Dashcams im Straßenverkehr bemisst sich nach Art. 6 Abs. 1 lit. f DS-GVO. Danach ist die Verarbeitung personenbezogener Daten nur zulässig, soweit dies zur Wahrung berechtigter Interessen von Verantwortlichen oder Dritten erforderlich ist und sofern nicht die Interessen, Grundrechte oder Grundfreiheiten der betroffenen Person überwiegen. Daraus ergibt sich eine Interessenabwägung zwischen den Interessen des Verantwortlichen, also demjenigen, der eine Dashcam einsetzt und den Interessen der davon Betroffenen, also der anderen Verkehrsteilnehmer, die aufgezeichnet werden. Eine entscheidende Rolle spielt dabei jeweils der Einsatzzweck.

So sind nach Auffassung der Datenschutzkonferenz, kurz: DSK, permanente und ohne besonderen Anlass vorgenommene Aufzeichnungen im Straßenverkehr unzulässig (vgl. Positionspapier der DSK vom 28.01.2019 zur Unzulässigkeit von Videoüberwachung aus Fahrzeugen). In diesem Fall überwiegen die Interessen der Betroffenen. Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten. Dies umfasst das Recht des Einzelnen, sich in der Öffentlichkeit frei zu bewegen, ohne befürchten zu müssen, ungewollt und anlasslos zum Objekt einer Videoüberwachung gemacht zu werden. Als anlasslos gilt der Betrieb einer Dashcam insbesondere, wenn die Aufzeichnung bei Fahrtantritt aktiviert wird und der Speicher erst überschrieben wird, sobald er vollläuft. Solche rotierenden Aufzeichnungen stellen einen Verstoß gegen die Datenschutz-Grundverordnung dar.

Auch wenn der Bundesgerichtshof in seiner Entscheidung vom 15. Mai 2018 (AZ. VI ZR 233/17) die Beweisverwertbarkeit von Bildmaterial in einem Zivilrechtsstreit wegen eines Verkehrsunfalles zugelassen hat, betont er doch gleichzeitig, dass die Verwendung von Dashcams einen rechtswidrigen Eingriff nach der DS-GVO darstellen.

Der Einsatz einer Dashcam wird dann als datenschutzkonform bewertet, wenn sichergestellt ist, dass damit gefertigte Videoaufzeichnungen – ohne ein eine längere Speicherung rechtfertigendes Ereignis – nach kurzer Zeit; maximal drei bis fünf Minuten, wieder gelöscht werden. Es kommt bei der Aufzeichnung also maßgeblich auf ein auslösendes Ereignis an. Technisch sollte die eingesetzte Dashcam daher im sogenannten Loop-Modus filmen. Dabei nimmt die Kamera immer nur kurze Sequenzen maximal 1 Minute auf, die anschließend überschrieben werden, sofern sie nicht gesperrt wurden. Die Sperrung geht entweder manuell auf Knopfdruck, oder wird durch einen sogenannten G-Sensor ausgelöst. Dieser nimmt die bei einem Unfall wirkenden G-Kräfte wahr und löst eine Aufzeichnung aus. Wichtig ist aber auch hier zu wissen, dass solche Aufzeichnungen gelöscht werden müssen, sollte sich herausstellen, dass ein starkes Bremsen, Beschleunigen oder die Erschütterung nichts mit einem Schadensereignis zu tun hatte.

Zu alle dem muss der Verantwortlich bei einer Videoüberwachung mittels Dashcam sicherstellen, dass er die Informationspflichten gemäß Art. 12 ff. DS-GVO wahrt, auch wenn dies gerade bei fahrenden Fahrzeugen in praktischer Hinsicht Schwierigkeiten aufwirft. So empfiehlt es sich, am Fahrzeug und von außen gut erkennbar einen Hinweis auf eine im Fahrzeug befindliche Dashcam, z.B. in Form eines Piktogramms sowie den Firmennamen und eine Internetadresse anzubringen. Auf der Internetseite können dann sämtliche nach Art. 13 DS-GVO erforderlichen Informationen aufgelistet werden.

Setzt also ein Unternehmen Dashcams ein, die ohne Anlass Aufzeichnungen im Straßenverkehr vornehmen, oder kommt er bei dem Einsatz einer Kamera, die nur unter bestimmten Vorbedingungen aufzeichnet, seinen Informationspflichten nicht nach, muss das Unternehmen mit einem erheblichen Bußgeld rechnen. Für Unternehmen hat die Datenschutzkonferenz Ende 2019 ein Konzept zur Bußgeldzumessung veröffentlicht. Da für die Zumessung verschiedene Faktoren relevant sind, können keine pauschalen Beträge genannt werden. Es ist jedoch darauf hinzuweisen, dass die Überwachung unbeteiligter Verkehrsteilnehmer keinen nur geringfügigen Verstoß darstellt. Mit einer Geldbuße im Rahmen für „leichte“ Verstöße können Verantwortliche daher in der Regel nicht rechnen.

Nichtsdestotrotz ist der datenschutzkonforme Einsatz von Dashcams in firmeneigenen Fahrzeugflotten unter den oben aufgezeigten Kriterien nicht grundsätzlich ausgeschlossen. Planen Sie eine umfangreiche Aufrüstung ihre Firmenfahrzeuge mit Dashcams, binden Sie frühzeitig Ihren Datenschutzbeauftragten mit ein.

Über die Autorin: Carolin Rubel ist Rechtsanwältin und als externe Datenschutzbeauftragte beim Dresdner Institut für Datenschutz tätig. Im Fokus ihrer Beratungstätigkeiten liegen neben der Betreuung von Auftraggebern aus den allgemeinen Bereichen Industrie/Handel/Dienstleistung, spezialisiert Wohnungsunternehmen sowie kirchliche Stellen und Auftraggeber aus dem Gesundheitsbereich. Für Anregungen und Reaktionen zu diesem Beitrag können Sie die Autorin gern per E-Mail kontaktieren .

VORAUSSETZUNGEN FÜR EINEN LÖSCHANSPRUCH

Art. 17 Abs. 1 DS-GVO sieht das Recht der betroffenen Person vor, die Löschung von personenbezogenen Daten bei Vorliegen bestimmter Löschgründe verlangen zu können. Dieses Recht entbindet den Verantwortlichen allerdings nicht davon, auch ohne Verlangen der betroffenen Person regelmäßig zu überprüfen, ob die von ihm verarbeiteten Daten zu löschen sind. Als Löschgründe sind in Art. 17 Abs. 1 DS-GVO vorgesehen:
– die personenbezogenen Daten sind für die Zwecke, für die sie verarbeitet wurden, nicht mehr notwendig (lit. a);
– Widerruf der Einwilligung und es besteht keine anderweitige Rechtsgrundlage für die Verarbeitung (lit. b);
– erfolgreicher Widerspruch gemäß Art. 21 Abs. 1 (lit. c);
– Unrechtmäßigkeit der Verarbeitung (Generalklausel, lit. d);
– rechtliche Verpflichtung zur Löschung (lit. e);
– Datenerhebung bei Kindern (lit. f).

Für verantwortliche Stellen werden die Tatbestände des Art. 17 Abs. 1 lit. a, b und d DS-GVO überwiegend eine Rolle spielen.

Der Tatbestand von Art. 17 Abs. 1 lit. a DS-GVO räumt der betroffenen Person ein Recht auf Löschung personenbezogener Daten dann ein, wenn sie für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind. Dementsprechend entscheidet der konkrete Zweck einer Datenverarbeitung maßgeblich über die maximal zulässige Speicherdauer personenbezogener Daten. Unter Zugrundelegung des Zwecks ist nach dem Grundsatz der Speicherbegrenzung des Art. 5 Abs. 1 lit. e DS-GVO eine Löschung zum frühestmöglichen Zeitpunkt vorzunehmen. Dabei darf keine Möglichkeit mehr existieren, auf die Daten ohne unverhältnismäßigen Aufwand zuzugreifen oder diese wiederherzustellen. Als Orientierung dient hierbei beispielsweise DIN 66399.

Wenn die betroffene Person Ihre Einwilligung widerruft, Art. 17 Abs. 1 lit. b, so entfällt die Rechtsgrundlage für Verarbeitungen gemäß Art. 6 Abs. 1 S. 1 lit. a DS-GVO. Daraus resultiert aber nur dann ein Löschanspruch, wenn sich die Rechtmäßigkeit der Verarbeitung auf keine andere Rechtsgrundlage als die der Einwilligung stützen kann. Diesbezüglich kommen vor allem Art. 6 Abs. 1 lit. b (Vertragserfüllung), lit. c (rechtliche Verpflichtungen) und e (Aufgabenerfüllung im öffentlichen Interesse) und lit. f (berechtigtes Interesse) DS-GVO in Betracht. Der Widerruf der Einwilligung resultiert also nur dann in einer absoluten Verpflichtung zur Löschung, sofern die Einwilligung die einzige Rechtsgrundlage der Verarbeitung darstellte.

Nach Art. 17 Abs. 1 lit. d DS-GVO bestehen die Löschrechte auch, wenn personenbezogene Daten unrechtmäßig verarbeitet wurden. Die Regelung erfasst alle Konstellationen der unzulässigen Verarbeitung, insbesondere die Fälle, bei denen von vornherein keine Rechtsgrundlage für die Erhebung oder Speicherung personenbezogener Daten vorlag.

KEINE REGEL OHNE AUSNAHMEN

Ausnahmen bestehen dann, wenn der Löschpflicht gesetzliche Aufbewahrungsfristen entgegenstehen. So ergeben sich beispielsweise aus § 147 AO oder § 257 HGB Aufbewahrungsfristen für Geschäftsunterlagen von sechs bzw. zehn Jahren. Weitere spezialgesetzliche Ausnahmen lassen sich unter anderem im Banken- und Versicherungsgesetz, Aktiengesetz, Produkthaftungsgesetz oder auch im Bürgerlichen Gesetzbuch finden. Grundsätzlich gilt hierbei: Spezialgesetzliche Aufbewahrungsfristen gehen stets den datenschutzrechtlichen Löschpflichten vor. Dementsprechend dürfen personenbezogene Daten nicht gelöscht werden, sofern derartige Aufbewahrungsfristen bestehen. Bei der Aufbewahrung sind die datenschutzrechtlichen Grundsätze, insbesondere durch die Festlegung von Zutritts- und Zugriffsberechtigungen, einzuhalten.

Von einer Löschung kann ebenfalls – zumindest vorübergehend – abgesehen werden, wenn eine Aufbewahrung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen notwendig ist. Weitere Ausnahmen bestehen, sofern die Löschung personenbezogener Daten die Verwirklichung im öffentlichen Interesse liegender Archivzwecke, wissenschaftlicher oder historischer Forschungszwecke sowie statistischer Zwecke ernsthaft beeinträchtigen oder unmöglich machen würde. Bei öffentlichen Stellen ist zudem eine Anbietungspflicht an die Landesarchive zu prüfen.

VORGEHENSWEISE BEI EINEM ANTRAG AUF LÖSCHUNG

Im Rahmen der Bearbeitung eines Löschantrages bietet sich folgende Vorgehensweise an: Ein Löschantrag kann von jeder betroffenen Person gestellt werden. Der Antrag unterliegt keinerlei Formanforderungen, kann also schriftlich, mündlich, per E-Mail oder sonst elektronisch erfolgen. Im Rahmen eines konkreten Antrags auf Löschung ist zunächst die Identität des Antragsstellers festzustellen und sodann sind die vorhandenen Datenbestände zu identifizieren. Es muss geprüft werden, ob der Antragsteller einen Anspruch auf Löschung hat bzw. keine Gründe vorliegen, die eine Speicherung der Daten weiterhin rechtfertigen. Der Löschungsanspruch umfasst dann sämtliche Datenbestände, in denen die personenbezogenen Daten des Antragstellers gespeichert sind. Längstens ist der Antragsteller nach einer absoluten Frist von einem Monat über die Entscheidung bzw. dem Löschvorgang zu informieren. Sofern die Frist unter Berücksichtigung der Komplexität des Antrags nicht eingehalten werden kann, ist eine Verlängerung um weitere zwei Monate möglich. Der Antragsteller ist unter Angaben von Gründen zu informieren.

SANKTIONEN UND SCHADENSERSATZ

Kommt der Verantwortliche der Löschpflicht / dem Löschanspruch der betroffenen Person nicht nach, kann die betroffene Person Beschwerde bei der zuständigen Aufsichtsbehörde einlegen. Eine Verletzung des Rechts auf Löschung wird mit hohen Geldbußen geahndet. Zudem kann die betroffene Person im Wege der Klage gegen den Verantwortlichen vorgehen. Es besteht die Möglichkeit Schadensersatz einzufordern.

FAZIT

Verantwortliche Stellen zeichnet ein professioneller Umgang mit der Löschpflicht aus, wenn bereits frühzeitig entsprechende interne Prozesse implementiert werden. Nutzen Sie hierbei Synergien! Oftmals knüpft die Löschung an ein Auskunftsbegehren an. Dieser Prozess sollte daher ganzheitlich etabliert werden. Verarbeitet ein Verantwortlicher personenbezogene Daten nur in gesetzlich zulässiger Weise, besteht keine darüberhinausgehende Verpflichtung zur Löschung. Eine organisierte Übersicht über die Art der verarbeiteten Daten, den Zweck der Verarbeitung sowie die gesetzlichen Aufbewahrungsfristen bietet das Verzeichnis über die Verarbeitungstätigkeiten gemäß Art. 30 Abs. 1 DS-GVO. Darüber hinaus empfiehlt sich ein eigenes Löschkonzept für alle innerhalb der verantwortlichen Stelle durchgeführten Verarbeitungszwecke an, woraus sich eine dokumentierte Löschroutine ablesen lässt.

Über die Autorin: Carolin Rubel ist Rechtsanwältin und als externe Datenschutzbeauftragte beim Dresdner Institut für Datenschutz tätig. Im Fokus ihrer Beratungstätigkeiten liegen neben der Betreuung von Auftraggebern aus den allgemeinen Bereichen Industrie, Handel und Dienstleistung ebenfalls Wohnungsunternehmen sowie kirchliche Stellen und Auftraggeber aus dem Gesundheitsbereich. Für Anregungen und Reaktionen zu diesem Beitrag können Sie die Autorin gern per E-Mail kontaktieren.

BERICHTIGUNG

Die betroffene Person hat das Recht, von dem Verantwortlichen unverzüglich die Berichtigung sie betreffender unrichtiger personenbezogener Daten zu verlangen, Art. 16 S. 1 DS-GVO. Unrichtig sind solche Daten, die objektiv nicht mit der Wirklichkeit übereinstimmen. Beispiele sind etwa unzutreffende Angaben zu Name, Adresse oder Geburtsdatum. Der Anspruch bezieht sich grundsätzlich auf Tatsachenangaben und nicht auf Meinungen oder Werturteile. Unerheblich für die Geltendmachung des Anspruchs ist, ob die Daten von Anfang an falsch abgespeichert wurden oder sich die Daten der Person geändert haben.  Der Berichtigungsanspruch des Betroffenen ist ein Interventionsrecht, mit dem er die Rechtslage gestalten kann.

VERVOLLSTÄNDIGUNG

Unter Berücksichtigung der Zwecke der Verarbeitung hat die betroffene Person das Recht, die Vervollständigung unvollständiger personenbezogener Daten zu verlangen, Art. 16 S. 2 DS-GVO. Unvollständig sind Daten, wenn das Fehlen von Angaben im konkreten Informationszusammenhang zu einer Irreführung oder Missverständnissen führt. Letzteres wäre der Fall, wenn Fehlzeiten eines Arbeitnehmers festgehalten werden, ohne dass nach den Gründen wie Fortbildung, Urlaub oder Krankheit usw. differenziert wird. Vervollständigung kann dem Wortlaut nach nur „unter Berücksichtigung der Zwecke der Verarbeitung“ verlangt werden, wobei der Grundsatz der Datenminimierung gemäß Art. 5 Abs. 1 lit. c DS-GVO maßgeblich zu berücksichtigen ist. Personenbezogene Daten dürfen nur insoweit erhoben werden, als sie zwingend für den jeweiligen Zweck erforderlich sind.

BESCHRÄNKUNG DES RECHTS AUF BERICHTIGUNG

Ausnahmen von der Berichtigungspflicht werden in Art. 16 DS-GVO nicht direkt generiert. Allerdings wird der Union und den nationalen Gesetzgebern durch die Art. 23 sowie Art. 89 Abs. 2 und 3 DS-GVO („Öffnungsklauseln“), die Möglichkeit eröffnet den Berichtigungsanspruch zu beschränken. Von einer solchen Beschränkung hat der deutsche Gesetzgeber zum Beispiel in den §§ 27 Abs. 2 und 28 Abs. 3 Bundesdatenschutzgesetz (BDSG) für Forschungs-, Statistik- und Archivzwecke gebrauch gemacht. Danach kann ein Betroffener seinen Berichtigungsanspruch nicht geltend machen, wenn dadurch die zur Verarbeitung festgelegten Zwecke beeinträchtigt werden.

DER ABLAUF EINES BERICHTIGUNGSPROZESSES

Das Recht der betroffenen Person auf Berichtigung hängt eng mit den Transparenzrechten, insbesondere mit dem Auskunftsrecht nach Art. 15 DS-GVO zusammen. Ohne das Recht auf Auskunft könnte der Betroffene von seinem Berichtigungsrecht nicht Gebrauch machen, denn er wüsste nicht von den falschen Informationen, die über ihn verarbeitet werden.

Grundsätzlich kann ein Berichtigungsantrag von jeder natürlichen Person gestellt werden. Der Antrag unterliegt keinerlei Formanforderungen, kann also schriftlich, mündlich, per E-Mail oder sonst elektronisch gestellt werden. Im Rahmen eines konkreten Antrags auf Berichtigung ist zunächst die Identität des Antragsstellers festzustellen und sodann sind die vorhandenen Datenbestände zu identifizieren. Der Berichtigungsanspruch umfasst sämtliche Datenbestände, in denen die unrichtigen personenbezogenen Daten des Antragstellers gespeichert sind. Die Berichtigung der Daten ist unverzüglich durch eine entsprechende Maßnahme durchzuführen. Bezogen auf den Einzelfall, kann dies durch Veränderung, teilweise oder vollständige Löschung oder Speicherung ergänzender oder neu erhobener Daten erfolgen. Längstens ist der Antragsteller nach einer absoluten Frist von einem Monat über die Entscheidung bzw. Maßnahmen des Berichtigungsantrages zu informieren. Sofern die Frist unter Berücksichtigung der Komplexität des Antrags nicht eingehalten werden kann, ist eine Verlängerung um weitere zwei Monate möglich. Der Antragsteller ist unter Angaben von Gründen zu informieren.

Hat der Verantwortliche die gespeicherten personenbezogenen Daten des Antragstellers an Dritte übermittelt, müssen auch diese über die Berichtigung der Daten informiert werden, sofern dies vernünftigerweise möglich ist. Alle zur Berichtigung ergriffenen Maßnahmen, sind unentgeltlich zu erbringen.

VERSTOß GEGEN DAS RECHT AUF BERICHTIGUNG

Verstöße gegen Betroffenenrechte sind keine Kavaliersdelikte. Ein Verstoß gegen das Recht auf Berichtigung, kann mit Geldbußen entsprechend des Art. 83 Abs. 5 lit. b DS-GVO geahndet werden. Daneben steht der betroffenen Person ein Schadensersatzanspruch gemäß Art. 82 DS-GVO zu, soweit ihr durch die Verarbeitung sie betreffender unrichtiger Daten ein materieller oder immaterieller Schaden entstanden ist.

FAZIT

Auf den ersten Blick handelt es sich um eine klare und einfache Regelung, die sich bei näherer Betrachtung als sehr Komplex erweist. Für den Verantwortlichen besteht die Herausforderung vor allem darin, die unterschiedlichen Betroffenenrechte auseinanderzuhalten und die jeweiligen Voraussetzungen zu kennen. Der Berichtigungsanspruch ist zügig, kontrolliert und dokumentiert durchzuführen. Es lohnt sich auch diesen Prozess zu standardisieren und in einem Datenschutzkonzept in einfach umsetzbaren Routinen zu berücksichtigen. 

Über die Autorin: Carolin Rubel ist Rechtsanwältin und als externe Datenschutzbeauftragte beim Dresdner Institut für Datenschutz tätig. Im Fokus ihrer Beratungstätigkeiten liegen neben der Betreuung von Auftraggebern aus den allgemeinen Bereichen Industrie, Handel und Dienstleistung ebenfalls Wohnungsunternehmen sowie kirchliche Stellen und Auftraggeber aus dem Gesundheitsbereich. Für Anregungen und Reaktionen zu diesem Beitrag können Sie die Autorin gern per E-Mail kontaktieren.