Im Sommer berichteten wir bereits darüber, dass die Sächsische Datenschutz- und Transparenzbeauftragte (STDB) etwa 30.000 Internetseiten von Unternehmen, Vereinen und öffentlichen Stellen in Sachsen kontrollierte. Gegenstand der Überprüfungen war insbesondere die einwilligungsbasierte Nutzung von Google Analytics. In rund 2.300 Fällen konnten seitens der sächsischen Aufsichtsbehörde Mängel festgestellt werden. Im Rahmen einer kürzlich veröffentlichten Pressemitteilung zieht die sächsische Aufsichtsbehörde Bilanz.

Automatisierte Prüfung durch die Aufsichtsbehörde

Eine solch flächendeckende Prüfung von automatisierten Datenverarbeitungen dürfte in Sachsen zum ersten Mal stattgefunden haben. Schließlich setzt die Überprüfung von Internetseiten in solch einem Umfang eine entsprechende technische Ausstattung voraus. Bereits im Sommer dieses Jahres wies die sächsische Aufsichtsbehörde diesbezüglich auf das neu eingerichtete IT-Labor hin. Mit moderner Hard- und Software sei nun auch eine datenschutzrechtliche Analyse von Internetseiten, Anwendungen und IT-Produkten in größerem Umfang möglich. Wie auch aus der aktuellen Pressemitteilung zu entnehmen ist, stehen für die Zukunft weitere Prüfungen von Internetseiten an. Somit sollten Verantwortliche in Sachsen ab sofort regelmäßig die eigenen Internetangebote, Apps und IT-Produkte auf Datenschutzkonformität kritisch prüfen.

Aufsichtsbehörde zieht positives Fazit

Rückblickend auf die erste Überprüfung zieht Dr. Juliane Hundert ein positives Fazit: „Auf zwei Dritteln der identifizierten Websites wird nunmehr auf den Einsatz von Google Analytics zur Nachverfolgung des Nutzerverhaltens verzichtet, oder es wird vorher um eine eindeutige Einwilligung gebeten. Die Kontrolle bewirkte zudem, dass Verantwortliche auch bei anderen Diensten das Datenschutzniveau verbesserten. Dadurch sank beispielsweise die Anzahl der Cookies auf den geprüften Websites um die Hälfte.“ Für den Datenschutz im Internet sei das eine gute Nachricht. Im Rahmen einer veröffentlichten Statistik stellt die sächsische Aufsichtsbehörde hierzu mit konkreten Zahlen insbesondere den Rückgang von Google Analytics-Einbindungen, Drittanfragen und Drittanbieter-Cookies dar.

Weiterhin wird über die große Resonanz bei den Verantwortlichen berichtet: „Im Zusammenhang mit der Website-Prüfung bearbeitete die SDTB 300 schriftliche Rückmeldungen sowie 250 Anrufe. Vor allem Unternehmen und Vereine benötigten Hilfestellung bei der Umsetzung der rechtlichen Anforderungen. In den Anfragen ging es nicht nur um Google Analytics, sondern beispielsweise auch um die richtige Einbindung von Zahlungsdienstleistern bei Onlineshops und die Einbettung von Videos aus sozialen Netzwerken.“ Dies zeigt einerseits, dass Aufsichtsbehörden grundsätzlich auch eine beratende Funktion übernehmen können, andererseits jedoch auch, dass auf Seiten der Verantwortlichen weiterhin große Unsicherheiten in Bezug auf Datenschutz und Internetseiten bestehen.

Einigen Stellen drohen nun Konsequenzen

Doch bei weitem nicht alle der 2.300 Seitenbetreiber sind auf die Hinweise der Aufsichtsbehörde eingegangen und haben datenschutzrechtliche Nachbesserungen vorgenommen. Diesen könnten nun entsprechende Konsequenzen bevorstehen: „Verantwortliche, die trotz der Aufforderung der SDTB weiterhin rechtswidrig Nutzerdaten mit Google Analytics verarbeiten, müssen nun mit Sanktionen rechnen. Der Aufsichtsbehörde steht ein umfassender Katalog von Untersuchungs- und Abhilfebefugnissen zur Verfügung, um die Einhaltung datenschutzrechtlicher Bestimmungen durchzusetzen.“ Unter Berücksichtigung des Art. 58 DS-GVO wären hierbei beispielsweise Verwarnungen, Bußgelder, Untersagungen der weiteren Datenverarbeitungen, aber auch Löschverpflichtungen denkbar.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Security & Privacy wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Die datenschutzrechtlichen Regelungen sind für eine Vielzahl von Unternehmen und Behörden auch vier Jahre nach Anwendungsbeginn der Datenschutz-Grundverordnung (DS-GVO) noch mit einem nicht zu vernachlässigendem Umsetzungsaufwand verbunden. Zusätzlich finden sich an zahlreichen Stellen Diskussionen über die Sinnhaftigkeit der hiesigen Anforderungen, teilweise wird Datenschutz als Innovationsbremse oder Verhinderer der Digitalisierung bezeichnet. Inmitten dieses Umfelds: in der Gründung befindliche Unternehmen mit innovativen Geschäftsideen und -modellen – Startups. Aus welchen Gründen es empfehlenswert ist, trotz des schlechten Rufs des Datenschutzes, diesen von Beginn an angemessen zu berücksichtigen und in die wachsenden Prozesse einzubinden, zeigen wir im nachfolgenden Beitrag.

Datenschutz als Wettbewerbsvorteil

Insbesondere sofern Produkte oder Dienstleistungen gegenüber anderen Unternehmen angeboten werden sollen, kann eine frühzeitige datenschutzrechtliche Betrachtung und datenschutzkonforme Umsetzung einen entscheidenden Wettbewerbsvorteil gegenüber weiteren Unternehmen mit ähnlichen Produkten oder Dienstleistungen darstellen.

Werden im Rahmen des Produktes oder der Dienstleistung beispielsweise personenbezogene Daten im Auftrag des jeweiligen Kunden verarbeitet, handelt es sich um eine Auftragsverarbeitung im Sinne des Art. 28 DS-GVO. Gemäß Art. 28 Abs. 1 DS-GVO ist der Kunde bereits vor Einsatz eines Produktes oder Inanspruchnahme einer Dienstleistung verpflichtet, eine Überprüfung durchzuführen, ob hinreichende Garantien dafür bestehen, „dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen [der DS-GVO] erfolgt und den Schutz der Rechte der betroffenen Personen gewährleistet.“ Fällt eine solche Überprüfung negativ aus, darf der potenzielle Kunde die Produkte oder Dienstleistungen nicht in Anspruch nehmen.

Aber auch hinsichtlich der bestehenden rechtlichen Problematik im Zusammenhang mit der Übermittlung personenbezogener Daten in datenschutzrechtliche Drittländer kann ein hierzu bestehendes Problembewusstsein für ein Hervorstechen des eigenen Produkts oder der eigenen Dienstleistung sorgen: Innerhalb der Europäischen Union werden zunehmend insbesondere die Folgen der Abhängigkeit von US-amerikanischen IT-Unternehmen spürbar. Gelingt es einem Startup, im Rahmen des eigenen Produkts oder der eigenen Dienstleistung auf einen Rückgriff auf derartige Unternehmen zu verzichten, können die potenziellen Kunden die in diesem Zusammenhang bestehenden rechtlichen Unsicherheiten vermeiden. Auch die Praxis der datenschutzrechtlichen Aufsichtsbehörden zeigt, dass bei gleichwertigen Produkten und Dienstleistungen, der datenschutzfreundlicheren Alternative, beispielsweise derer ohne Drittland-Problematik, der Vorzug zu gewähren ist.

Mehr Menschen erreichen

Doch auch wenn sich das Produkt oder die Dienstleistung direkt an Endverbraucher richtet, kann durch eine datenschutzfreundliche Ausgestaltung womöglich eine größere Zielgruppe erreicht werden. Teilweise wird der Anteil derer, für welche datenschutzrechtliche Belange im Rahmen einer Kaufentscheidung Berücksichtigung finden, massiv unterschätzt. Betrachtet man beispielweise das Deloitte-Papier „Automotive Data Treasure – Fahrzeugdigitalisierung und die Frage nach dem Datenschutz“ aus dem Jahr 2017, ergibt sich hieraus, dass 64% der Befragten angeben, Datenschutz stelle für Sie ein Kaufkriterium dar. Eine ähnliche Umfrage von IBM aus dem Jahr 2018 erzielte hierbei sogar einen Anteil von 73% der Befragten. Darüber hinaus gaben sogar 75% der Befragten an, sie würden unabhängig von der Qualität des Produktes auf den Kauf verzichten, wenn sie nicht auch deren Datenschutz vertrauen könnten.

Diese Zahlen zeigen deutlich, dass auch bei einem Großteil der Endverbrauchern Anforderungen an die Datenschutzkonformität von Produkten bestehen. Weiterhin ist hierzulande seit einigen Jahren eine zunehmende Sensibilisierung der Menschen zu beobachten, wobei die Akzeptanz datenschutzwidriger Datenverarbeitungen, Prozesse und Geschäftsmodelle (leicht) sinkt. Aus den jährlich durch die Aufsichtsbehörden des Bundes und der Länder zu veröffentlichenden Tätigkeitsberichten ist regelmäßig zu entnehmen, dass die Zahlen der Beschwerden betroffener Personen sowie der gemeldeten Datenschutzverletzungen stetig steigen.

Risikominimierung durch Datenschutz

Insoweit dient eine ganzheitliche Betrachtung der datenschutzrechtlichen Anforderungen bereits zu Beginn der Geschäftstätigkeit im eigenen Interesse ebenfalls einer Risikominimierung hinsichtlich der Gefahr aufsichtsbehördlicher Maßnahmen. Schließlich hat nach Art. 77 DS-GVO „jede betroffene Person […] das Recht auf Beschwerde bei einer Aufsichtsbehörde […], wenn die betroffene Person der Ansicht ist, dass die Verarbeitung […] gegen diese Verordnung verstößt.“ Das heißt, grundsätzlich steht allen Nutzenden des Produktes oder Dienstleistungen, hinsichtlich der Internetseite sogar sämtlichen Besuchenden, ein Beschwerderecht zu, sofern diese auch nur der Ansicht sind, der Verantwortliche verstoße gegen datenschutzrechtliche Bestimmungen.

Allein aus dem hieraus erwachsenden Risiko sollte vermehrt eine Betrachtung der datenschutzrechtlichen Aspekte erfolgen. Alternativ ist von einer hohen Risikobereitschaft auszugehen. Unter Berücksichtigung der Sanktionsmöglichkeiten der Aufsichtsbehörden, einschließlich der Möglichkeit zur Untersagung ganzer Datenverarbeitungen, kann dies jedoch kaum den Zielen eines aufstrebenden Unternehmens entsprechen. Weiterhin dürften etwaige Bußgelder, auch wenn diese bei kleineren Unternehmen und Einzelpersonen geringer ausfallen sollten, nicht im Budgetplan enthalten sein. Ein weiteres, nicht zu unterschätzendes finanzielles Risiko stellen zudem Schadenersatzforderungen aufgrund datenschutzrechtlicher Verstöße dar.

Auf Wachstum vorbereitet sein

Begründeter Weise kann der bisherigen Betrachtung entgegengestellt werden, dass die Implementierung datenschutzkonformer Prozesse ebenfalls mit einem erhöhten finanziellen und zeitlichen Aufwand einhergeht. Einerseits sind datenschutzfreundlichere Anwendungen und Systeme zumeist kostenpflichtig, sodass insbesondere in der Gründungsphase zulasten des Datenschutzes auf kostenfreie Alternativen zurückgegriffen wird. Andererseits bedarf es zusätzlich der datenschutzrechtlichen Expertise, welche im Regelfall ebenfalls von extern eingekauft werden muss. In diesem Zusammenhang sollte durch die Unternehmen geprüft werden, ob im Rahmen einer Gründungsfinanzierung ebenfalls eine externe datenschutzrechtliche Beratung bezuschusst werden kann. Bereits in den vergangenen Jahren wurden von öffentlichen Stellen oftmals derartige finanzielle Mittel bereitgestellt, die von den Anspruchsberechtigten jedoch nur unzureichend genutzt wurden.

Auch wenn es für Unternehmen in der Gründungsphase in der Regel einen erhöhten Aufwand darstellt, datenschutzrechtliche Anforderungen bereits von Beginn an umzusetzen, nehmen diese mit zunehmender Etablierung auf dem Markt und wachsendem Kundenstamm weiter zu. Kann in der Wachstumsphase auf bereits bestehende datenschutzrechtliche Strukturen aufgebaut werden, stellt das einen erheblichen Vorteil dar. Alternativ müssten bereits bestehende Prozesse und Abläufe nun erneut überdacht und grundlegend datenschutzkonform ausgestaltet werden. Denn mit zunehmendem Wachstum nimmt auch das Risiko für etwaige Sanktionen bei Missachtung datenschutzrechtlicher Regularien zu. Weiterhin steigt mit dem erwirtschafteten Umsatz entsprechend der Regelungen des Art. 83 DS-GVO die Höhe des potenziellen Bußgeldes.

Fazit

Die Betrachtung zeigt, dass es nicht nur sinnvoll, sondern auch besonders empfehlenswert ist, datenschutzrechtliche Anforderungen von Beginn an angemessen zu berücksichtigen und erforderliche Prozesse zu etablieren. Auf der einen Seite sichert dies bereits in einer frühen Phase den Fortbestand und die Entwicklungsmöglichkeiten des Startups durch die Vermeidung etwaiger Sanktionen, auf der anderen Seite kann hierdurch unter Umständen ebenfalls ein Wettbewerbsvorteil entstehen. Gern können Sie für eine datenschutzrechtliche Beratung einschließlich Fragen zu etwaigen Förderungsmöglichkeiten auf uns zukommen!

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Die steigende Bedeutung von Datenschutz und IT-Sicherheit für die Wirtschaft sind spätestens seit dem Wirkungsbeginn der Datenschutz-Grundverordnung (DS-GVO) auch im Bereich der Landwirtschaft und dem Agribusiness deutlich spürbar. Im Rahmen des letzten Network Digital Livestock (NDL) Digital Agribusiness Leader Workshop wurde der Schutz personenbezogener Daten als Erfolgsfaktor fürs Agribusiness der Zukunft beleuchtet. Einer Kurzdarstellung der wesentlichen Inhalte des Whitepapers widmet sich der nachfolgende Beitrag.

WELCHE PERSONENBEZOGENEN DATEN GIBT ES IM AGRIBUSINESS?

Gemäß Art. 4 Nr. 1 DS-GVO sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen. Die DSGVO geht in für die personenbezogene Daten zugrunde liegenden Informationen von einem sehr weiten, weil unbeschränkten Verständnis des Informationsbegriffs aus. Erfasst werden bekanntlich alle Informationen aus denen unmittelbar die Identität einer natürlichen Person hervorgeht, aber auch solche Angaben durch die allein die Identifizierung (also die Wiedererkennung) zwar selbst nicht unmittelbar möglich ist, eine entsprechende Identifizierung aber mittels Verknüpfung mit weiteren Informationen hergestellt werden kann. Personenbezogener Daten in der Fütterungsberatung können Futteranalysen, Rationen, MLP und Melkdaten, Kontaktdaten, Gesprächsnotizen und Nachrichten, Bestellhistorien und viele mehr sein. Wichtig ist eine exakte Differenzierung. Nicht all zu selten werden personenbezogene Daten mit den für Unternehmen sensiblen Daten gleichgesetzt. Dies ist allerdings nicht immer zutreffend.

WELCHE GRUNDSÄTZE GELTEN FÜR DIE DATENVERARBEITUNG?

Die DS-GVO enthält in Art. 5 Abs. 1 Grundsätze für die Verarbeitung personenbezogener Daten, an denen sich jeder Datenverarbeitungsvorgang messen lassen muss. Zu diesen Grundsätzen zählen Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung sowie Integrität und Vertraulichkeit.

Dies bedeutet u.a., dass personenbezogene Daten nur für festgelegte, eindeutige und legitime Zwecke erhoben und grundsätzlich nicht für andere Zwecke weiterverarbeitet werden dürfen. Außerdem dürfen nicht mehr personenbezogene Daten erhoben und verarbeitet werden als es für den bestimmten Zweck notwendig und rechtlich zulässig ist. Ist der Zweck der Datenverarbeitung entfallen, dürfen personenbezogene Daten nicht mehr verarbeitet werden. Danach dürfen Sie allenfalls für den Zeitraum von gesetzlich vorgeschriebenen Aufbewahrungspflichten – von den Daten, die noch genutzt werden dürfen, getrennt – gespeichert oder aufbewahrt werden.

Weiter müssen personenbezogene Daten so verarbeitet werden, dass eine angemessene Sicherheit gewährleistet ist, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung. Hierzu wurden geeignete technische und organisatorische Maßnahmen ergriffen, die zwingend einzuhalten sind. Der aktuelle Ransomware-Angriff auf AGCO-Werke zeigt anschaulich, welche Auswirkungen derartige Bedrohungen haben können. So führte der Angriff auf den Mutterkonzern auch bei dem Landtechnik-Hersteller Fendt zu einem Produktionsstillstand.

WIE WIRD DIE EINHALTUNG DER DATENSCHUTZRECHTLICHEN BESTIMMUNGEN KONTROLLIERT?

Die Einhaltung der datenschutzrechtlichen Bestimmungen wird dreifach kontrolliert:

– Selbstkontrolle (Datenschutzorganisation der verantwortlichen Stelle): Die verantwortliche Stelle trägt dafür Sorge, dass die Abläufe im Unternehmen vollumfänglich den datenschutzrechtlichen Anforderungen entsprechen sowie die technischen und organisatorischen Maßnahmen für die Gewährleistung eines dem Schutzbedarf der verarbeiteten personenbezogenen Daten angemessenen Datenschutzniveaus zur Verfügung stehen. Hierfür hat sie in bestimmten Fällen einen betrieblichen Datenschutzbeauftragten zu bestellen. Weiterhin muss sie u.a. dafür Sorge tragen, dass alle Beschäftigten des Unternehmens zum richtigen Umgang mit personenbezogenen Daten geschult werden.

– Eigenkontrolle (betroffene Personen üben ihre Rechte aus): Einer betroffenen Person (die natürliche Person, deren personenbezogene Daten durch die verantwortliche telle verarbeitet werden) stehen die in den Art. 12 bis Art. 22 DS-GVO niedergelten Rechte zu. Neben dem Recht auf Löschung personenbezogener Daten (Art. 17 DS-GVO) stellt das Auskunftsrecht (Art. 15 DS-GVO) das in der Praxis wohl relevanteste Betroffenenrecht dar. Jede betroffene Person kann Auskunft über die Verarbeitung ihrer personenbezogenen Daten verlangen. Gegebenenfalls ist der betroffenen Person hierfür eine Kopie ihrer personenbezogenen Daten bereitzustellen, wobei dies jedoch nicht die Rechte von anderen Personen beeinträchtigen darf. Werden innerhalb der verantwortlichen Stelle keine personenbezogenen Daten der auskunftsbegehrenden Person verarbeitet, ist auch dies der betroffenen Person mitzuteilen. Außerdem steht betroffenen Person gemäß Art. 77 DS-GVO ein Recht zur Beschwerde bei einer Datenschutzaufsichtsbehörde zu, wenn sie der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen die DS-GVO verstößt. Darüber hinaus besteht die Möglichkeit nach Art. 82 DS-GVO zivilrechtliche Schadenersatz Ansprüche geltend zu machen.

– Fremdkontrolle (staatliche Kontrolle): Verstöße gegen datenschutzrechtliche Bestimmungen können strafrechtliche Sanktionen nach sich ziehen und sind zudem gemäß Art. 83 und Art. 84 DS-GVO bußgeldbewährt und können mithin von der jeweils zuständigen Datenschutzaufsichtsbehörde in jedem Einzelfall wirksam, verhältnismäßig und abschreckend sanktioniert werden.

FAZIT

Die Einhaltung und Umsetzung der datenschutzrechtlichen Bestimmungen macht auch vor der Landwirtschaft bzw. dem Agribusiness keinen Halt. Um betroffenen verantwortlichen Stellen eine Hilfestellung zu geben, ist der Download eines Whitepapers auf der Seite des NDL in Deutsch und Englisch möglich.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Im Rahmen ihres aktuellen Tätigkeitsbericht geht die Landesbeauftragten für Datenschutz und Akteneinsicht Brandenburg (LDA Brandenburg) auf zwei Konstellationen ein, in denen Beschäftigte seitens der Datenschutzaufsichtsbehörde mit einem Bußgeld sanktioniert wurden, nachdem sie personenbezogene Daten, welche sie zur Ausübung ihrer dienstlichen bzw. betrieblichen Tätigkeit erlangt, zu eigenen (privaten) Zwecken und somit außerhalb ihrer vorgesehenen Tätigkeit und Weisung seitens des Arbeitgebers bzw. Dienstherren verarbeitet haben. Beide Fälle wurden mit einer Geldbuße in dreistelliger Höhe geahndet. Diese Konstellationen klingt vertraut, hatte doch der Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI) laut Pressemitteilung vor rund drei Jahren einen Bußgeldbescheid in Höhe von 1.400 EUR  gegen einen Polizeibeamten verhängt, der dienstlich erlangte personenbezogene Daten zu privaten Zwecken verarbeitet hatte. Mit der Betrachtung und rechtlichen Einordnungen dieser und vergleichbarer Fälle beschäftigt sich der nachfolgende Beitrag.

WAS WAR PASSIERT?

Der erste Fall ereignete sich laut LDA Brandenburg wie folgt: „Eine ehemalige Mitarbeiterin eines Unternehmens hatte – als sie noch dort angestellt war – von ihrem dienstlichen Rechner eine Excel-Tabelle mit Beschäftigtendaten von 56 Mitarbeiterinnen und Mitarbeitern an ihre private E-Mail-Adresse zugesandt. Die Tabelle umfasste neben den vollständigen Namen u. a. auch einen Überblick über bereits genommene und verbleibende Urlaubstage, angefallene Krankentage, Lohndaten, geleistete Überstunden und Sozialversicherungsbeiträge. Die betreffende Mitarbeiterin war in der Firma als Sachbearbeiterin für die Aufgabengebiete Lohn und Gehalt beschäftigt. Die Übersendung an die private E-Mail-Adresse erfolgte nach ihrer Aussage zum Eigenschutz und zum Schutz der Kolleginnen und Kollegen, da im ohnehin bereits angespannten Arbeitsverhältnis Streitigkeiten über die ordnungsgemäße Aufgabenerfüllung der Betroffenen bestanden.Die Handlung der ehemaligen Beschäftigten war dem Unternehmen nicht zuzurechnen. Ihre dienstliche Tätigkeit bestand u. a. in der Erfassung und Aufbereitung der Arbeitszeitkonten inklusive der Urlaubs- und Krankentage sowie der Erstellung von Salden für erbrachte Arbeitsleistungen. Mit der Übersendung der personenbezogenen Daten der Mitarbeiterinnen und Mitarbeiter an die private E-Mail-Adresse überschritt sie ihre Kompetenzen und handelte im datenschutzrechtlichen Sinne als Verantwortliche. Zur Erfüllung ihrer betrieblichen Aufgaben war die Übermittlung der Beschäftigtendaten an ihre private E-Mail-Adresse nicht erforderlich und damit rechtswidrig.“

Den zweiten Fall schildert die LDA Brandenburg folgendermaßen: „Ein Angestellter hatte sich von seiner dienstlichen E-Mail-Adresse Bewerbungsunterlagen, die bei seinem Arbeitgeber eingegangen waren an seine private E-Mail-Adresse weitergeleitet, um sich Anregungen zur visuellen Gestaltung eigener Bewerbungen zu holen. Die Lebensläufe hatte er zuvor nicht anonymisiert, sodass sie weiterhin alle persönlichen und beruflichen Daten der Bewerberinnen und Bewerber umfassten. Die Angestellte handelte in diesem Fall unbefugt. Die Übersendung der personenbezogenen Daten der Bewerberinnen und Bewerber an die private E-Mail-Adresse gehörte nicht zu seinen Arbeitsaufgaben. Er war damit im datenschutzrechtlichen Sinn als Verantwortlicher anzusehen. Der Beschäftigte konnte sich hier auf keine Rechtsgrundlage für die Übersendung der Unterlagen und mithin für die Verarbeitung der gegenständlichen personenbezogenen Daten berufen. Die sich bewerbenden Personen hatten nicht darin eingewilligt, dass er deren Lebensläufe an seine private E-Mail-Adresse weiterleitete. Auch die Abwägung nach Artikel 6 Abs. 1 Satz 1 lit. f) Datenschutz-Grundverordnung (DS-GVO) geht zu ihren Gunsten aus. Selbst wenn das Interesse des Angestellten an den Bewerbungsunterlagen ausschließlich der visuellen Gestaltung gegolten und er es nicht auf die personenbezogenen Bewerberdaten abgesehen hatte, überwogen jedenfalls die Interessen, Grundrechte und Grundfreiheiten der Bewerberinnen und Bewerber. Sie hatten ihre Bewerbungsunterlagen im Vertrauen auf den datenschutzrechtlich ordnungsgemäßen Umgang mit ihren personenbezogenen Daten an den Arbeitgeber des Angestellten übersandt. Sie mussten nicht davon ausgehen, dass diese Daten unsachgemäß verwendet werden. Die Verwendung ihrer personenbezogenen Daten durch den Angestellten zum Zweck der Anregung bei der Gestaltung eigener Bewerbungen stellte keinen rechtfertigenden Grund dar, in das Grundrecht auf Informationelle Selbstbestimmung einzugreifen. Die Übersendung der Bewerbungsunterlagen stellt somit eine unbefugte Verarbeitung personenbezogener Daten dar.“

WIE WIRD EIN EINZELNER BESCHÄFTIGTER EIN DATENSCHUTZRECHTLICH VERANTWORTLICHER?

Nach Art. 4 Nr. 7 der DS-GVO ist „Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet […]. Allein aus dem Wortlaut (natürliche oder juristische Person) wird klar, dass es sich bei dem datenschutzrechtlichen Verantwortlichen um eine Organisation, aber auch um eine Einzelperson handeln kann. In der Praxis ist es jedoch in der Regel die Organisation als solche und nicht eine natürliche Person innerhalb der Organisation (wie der Geschäftsführer oder ein einzelner Beschäftigter), die als Verantwortlicher im Sinne der DS-GVO fungiert.

Bei der konkreten Bewertung ist im Ausgang in den Fällen der Verarbeitung personenbezogener Daten durch Organisationen auch darauf abzustellen, dass die Verarbeitung nicht durch die jeweilige Organisation selbst, sondern durch die dort beschäftigten natürlichen Personen verarbeitet werden. Dieses Handeln der Beschäftigten ist in aller Regel der jeweiligen Organisation zuzurechnen. Dies gilt jedenfalls dann, wenn die Verarbeitung personenbezogener Daten für die durch die jeweilige Organisation festgelegten Zwecke und in Ausübung der innerorganisatorischen Tätigkeit der Beschäftigten, mithin nach Weisung und unter Kontrolle der Organisation, erfolgt. Verarbeitet ein Mitarbeiter personenbezogene Daten hingegen für eigene (private) Zwecke, ist er regelmäßig als datenschutzrechtlich Verantwortlicher anzusehen.

Diese Auffassung wird ebenfalls in den Leitlinien des Europäischen Datenschutzausschusses zu den Begriffen „Verantwortlicher“ und „Auftragsverarbeiter“ in der DSGVO Version 2.0 getragen: „Grundsätzlich kann davon ausgegangen werden, dass jede Verarbeitung personenbezogener Daten durch Mitarbeiter im Tätigkeitsbereich einer Organisation unter der Kontrolle dieser Organisation erfolgt. Unter außergewöhnlichen Umständen kann es jedoch vorkommen, dass ein Beschäftigter beschließt, personenbezogene Daten für seine eigenen Zwecke zu verwenden, wodurch die ihm erteilte Befugnis unrechtmäßig überschritten wird.“ Der EDSA führt jedoch weiter aus: „Daher hat die Organisation als Verantwortlicher dafür zu sorgen, dass angemessene technische und organisatorische Maßnahmen, wie z. B. Schulungen und Informationen für Mitarbeiter, ergriffen werden, um die Einhaltung der DSGVO sicherzustellen.“

WELCHE SANKTIONEN DROHEN?

In Konsequenz des oben Gesagten trifft in erster Linie die jeweilige Stelle die Haftung gegenüber betroffenen Personen und Aufsichtsbehörden für etwaige Verstöße durch dessen Organe oder Beschäftigte. Verarbeiten nun die Beschäftigten die personenbezogenen Daten Betroffener eigenverantwortlich, sind diese ihrerseits nunmehr Adressaten von Haftungsansprüchen und aufsichtsbehördlichen Maßnahmen und Sanktionen. Zunächst sei hier der offensichtliche Anknüpfungspunkt herangezogen: die Bußgeldsanktionierung gemäß Art. 83 DS-GVO. Diese richtet sich sehr wohl auch gegen natürliche Personen als datenschutzrechtlich Verantwortliche. Dies gilt selbst für Beschäftigte öffentlicher Stellen. Wie der LfDI in der eingangs genannten Pressemitteilung hervorhebt, haben die Landesgesetzgeber zwar öffentliche Stellen – anders als Privatunternehmen – mitunter bei Datenschutzverstößen von der Sanktionierung ausgenommen (vgl. z.B. § 19 Abs. 3 Sächsisches Datenschutzdurchführungsgesetz). Wenn Beschäftigte öffentlicher Stellen allerdings dienstlich erlangte Daten zu privaten Zwecken nutzen, dann kann in gravierenden Einzelfällen gegen sie persönlich durchaus ein Bußgeld verhängt werden. Darüber hinaus kommen durch auch Ansprüche betroffener Personen wie bspw. die Geltendmachung eines Anspruchs auf Schadenersatz nach Art. 82 DS-GVO in Betracht.

FAZIT

Bei der Verarbeitung personenbezogener Daten durch Organisation – gleich welcher Rechtsnatur – wird zuvorderst darauf abzustellen sein, dass sich die jeweiligen Organisationen für die in ihrem Zuständigkeitsbereich erfolgenden Verarbeitungen personenbezogener Daten verantwortlich zeichnen. Dies wird zumindest deshalb anzunehmen sein, weil die Festlegung der Zwecke und Mittel der Verarbeitung durch die Organisationen erfolgt. Die innerhalb der Organisation tätigen Beschäftigten führen die Verarbeitungsprozesse entsprechend nach Weisung und Befugnissen der verantwortlichen Organisationen aus. Überschreiten Beschäftigte aber diese Befugnisse liegt eine eigenständige Verantwortlichkeit nahe. Es ist jedoch allerdings Aufgabe der Organisationen für die Einhaltung der Befugnisse und Weisungen durch angemessene technische und organisatorische Maßnahmen zu sorgen.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.