Datenschutz in der Unternehmenspraxis
1. Aufl. 2022
Besitzen Sie diesen Inhalt bereits,
melden Sie sich an.
oder schalten Sie Ihr Produkt zur digitalen Nutzung frei.
S. 1788. Konkrete Anwendungsfälle
Im folgenden Kapitel werden einige konkrete Anwendungsfälle, die in der betrieblichen Praxis immer wieder datenschutzrechtliche Fragen aufwerfen, überblicksmäßig behandelt, um ein Grundverständnis für die Problematiken zu schaffen sowie Praxistipps und Muster zu geben.
8.1. Kundendaten
Die Verarbeitung von Kundendaten birgt, auch im B2B Geschäft, datenschutzrechtliche Tücken. Bereits bei der Erhebung der Daten muss Acht gegeben werden. So sollte zB beim Tausch von Visitenkarten gleich eine Einwilligung zur weiteren Kontaktaufnahme dokumentiert werden und auf die Datenschutzerklärung hingewiesen werden.
Die Verarbeitung der Daten ist in den meisten Fällen zulässig, da ein Vertragsverhältnis besteht oder angebahnt wird. Es ist dabei aber genau abzugrenzen, ob die jeweils erhobenen Daten auch tatsächlich für die Vertragserfüllung bzw ‑anbahnung notwendig sind. Verarbeitungen für andere Zwecke, wie zB Marketing oder die Anzeige von Kaufempfehlungen mittels Profiling, könnten durch berechtigte Interessen gerechtfertigt sein. Hier ist jedenfalls eine genaue Prüfung und Interessenabwägung im Einzelfall notwendig.
Der in der Regel zweitgrößte Bereich der Datenverarbeitungen für Unternehmen ist, neben der Verarbeitung von Arbeitnehmerdaten (siehe Kapitel 7.), die Verarbeitung von Kundendaten. Die Anwendungsbereiche sind hier sehr vielseitig und reichen von Akquise und Verkauf bis hin zur Kundenbindung und Serviceleistungen. Datenschutzrechtlich relevant ist aber nicht nur der B2C Bereich, sondern auch im B2B Bereich werden regelmäßig personenbezogene Daten verarbeitet, da im Falle von juristischen Personen zumeist eine natürliche Person als Kontakt zur Verfügung steht.
8.1.1. Was gilt es bei der Erhebung von Kundendaten zu beachten?
Bereits beim Erstkontakt mit Kund*innen/Geschäftspartner*innen, wie beim Networking, können sich datenschutzrechtliche Probleme ergeben. Beim Kennenlernen neuer (potenzieller) Geschäftskontakte werden gerne Visitenkarten oder Kontaktdaten auf andere Weise ausgetauscht, was in der Regel eine Verarbeitung personenbezogener Daten zur Folge hat. Dieser Umstand ist jedoch kaum jemandem bewusst. Wie in Kapitel 2.3.1. erläutert sind die Bestimmungen der DSGVO auch bei der analogen Verarbeitung von personenbezogenen Daten, die in einem Dateisystem gespeichert werden, anwendbar.
Werden Visitenkarten daher in einer Form geordnet, die eine strukturierte Sammlung darstellt, zB in einer Mappe oder einem Visitenkartenhalter, liegt eine Datenverarbeitung iSd DSGVO vor. Das könnte uU nur dadurch vermieden werden, dass die Visitenkarten ohne jegliche Ordnung wirr liegen gelassen werden, was jedoch eher praxisfremd und ineffizient scheint.
Aber auch im Onlinebereich zB bei Webshops oder Kontaktformularen gibt es datenschutzrechtliche Tücken. Bei Warenverkauf oder Anbieten von Dienstleistungen an Endkunden ist es von großem Interesse für Unternehmen, die Kund*innen möglichst umfassend kennenzulernen, um das Angebot bestmöglich auf die Nachfrage anzupassen. Bei Bestellvorgängen oder Registrierungen werden daher oft alle möglichen Daten abgefragt. Dabei werden aber oft unterschiedliche Verarbeitungszwecke bedient.
Die einzelnen Verarbeitungstätigkeiten müssen jeweils für sich den Anforderungen der DSGVO genügen. Es muss für jeden Zweck eine entsprechende Rechtsgrundlage (siehe Kapitel 3.1.1.) vorliegen. Bei der Kundenakquise und während eines aufrechten Kundenverhältnisses wird dies in der Regel die Anbahnung bzw Erfüllung eines Vertragsverhältnisses sein. Im Lichte der Zweckbindung muss hier darauf geachtet werden, dass nur die Daten verwendet werden, die tatsächlich objektiv zur Vertragsanbahnung/-erfüllung notwendig sind. Darüberhinausgehende Datenverarbeitungen sind nämlich nicht mehr von dieser Rechtsgrundlage gedeckt. Besonders bei Onlineprodukten sollte genau darauf geachtet werden. Hier werden gerne umfangreich Daten unter dem Deckmantel der Vertragserfüllung erhoben, obwohl sie dafür nicht relevant, sondern eher nice to have oder gänzlich anderen Zwecken dienlich sind, wie zB Marktforschung, Marketing etc.
Wenn ein Kunde online Ware bestellt und mit Kreditkarte zahlt, ist jedenfalls die Verarbeitung der Zahlungsinformationen zur Vertragserfüllung notwendig. Wird zudem eine Lieferung an die Wohnadresse verlangt, ist auch die Verarbeitung der Anschrift zulässig. Wird aber eine Abholung in einer Filiale gewünscht, ist die Verarbeitung der Anschrift nicht notwendig für die Vertragserfüllung, weshalb die Verarbeitung nicht mehr auf diese Rechtsgrundlage gestützt werden kann.
Das Abfragen einer Postleitzahl iZm einer Filialsuche kann allerdings auf die Rechtsgrundlage der Vertragserfüllung gestützt werden.
Jedenfalls nicht für die Vertragserfüllung notwendig ist die Erstellung von Profilen der User*innen hinsichtlich deren Bestellverhalten, um gezielt Produkte vorzuschlagen. Hierfür ist eine andere Rechtsgrundlage notwendig.
Ein allgemeines Abfragen bzw die verpflichtende Angabe von nicht für die Vertragserfüllung notwendigen Daten ist daher zu vermeiden. Die Verbesserung der SerS. 180vices bzw des Angebots kann in der Regel auf berechtigte Interessen des Anbieters gestützt werden. Um diesbzgl Daten zu erheben, können zum einen Interessen der Kund*innen auf freiwilliger Basis abgefragt werden. Zum anderen ist auch denkbar, dass aufgrund der getätigten Bestellungen automatisiert Empfehlungen ausgegeben werden. Dies kann aufgrund berechtigter Interessen des Anbieters grundsätzlich zulässig sein, es ist aber jedenfalls, abhängig von den verarbeiteten Daten und dem konkreten Verarbeitungsvorgang, eine Prüfung im Einzelfall vorzunehmen. Siehe zu Profiling und automatisierter Verarbeitung Kapitel 3.3.
Es muss bei der Verarbeitung von Daten darauf geachtet achten, woher die Daten kommen und zu welchem Zweck sie erworben/freigegeben wurden. Wie die Datenschutzbehörde festgestellt hat, ist eine Kontaktaufnahme für ein potenzielles Verkaufsgespräch nicht ohne weiteres zulässig, nur weil Kontaktdaten auf einer öffentlich zugänglichen Website verfügbar sind. In diesem konkreten Fall wendete sich ein Vertreter an eine öffentlich zugängliche Telefonnummer, die als Beratungsnummer für bedürftige Personen angeführt wurde, um die Produkte seines Arbeitgebers zu verkaufen. Die Datenschutzbehörde sah darin eine unzulässige Kontaktaufnahme und Datenverarbeitung, da die Telefonnummer nicht zum Zwecke der Anbahnung von Geschäften preisgegeben wurde.
8.1.2. Wie kann eine ausreichende Information über die Datenverarbeitung gegeben werden?
Die Kund*innen sind gem Art 12 ff DSGVO rechtzeitig, dh grundsätzlich bei der Erhebung der Daten, entsprechend über die Verarbeitung zu informieren (siehe Kapitel 4.2.). Laut Art 13 DSGVO kann diese Information grundsätzlich dann unterbleiben, wenn die Betroffenen bereits über die entsprechenden Informationen verfügen.
Im Onlinebereich sollte es in der Regel wenig Probleme geben, den Kunden rechtzeitig über die Verarbeitung seiner Daten zu informieren. Auf der Website sollte, ähnlich dem Impressum, eine Datenschutzerklärung angeführt werden, die auf einfachem Wege abrufbar ist, wie zB durch Verlinkung im Website-Footer. Sofern Formulare, wie zB ein Kontaktformular, ausgefüllt oder Bestellungen getätigt werden können, sollte zudem eine Checkbox angeführt sein, mit der die User*innen bestätigen, dass sie die Datenschutzerklärung zur Kenntnis genommen haben. Damit kann gem dem Grundsatz der Rechenschaftspflicht nachgewiesen werden, dass die User*innen die Informationen auch tatsächlich erhalten haben.
Beim direkten Austausch von Kontaktdaten, wie eben beim Visitenkartentausch, wird man generell davon ausgehen können, dass die Betroffenen wissen, dass die Daten zur Kontaktaufnahme bzw zur Anbahnung eines Vertragsverhältnisses S. 181oder zur Erfüllung eines Vertrags verarbeitet werden. Dies ausdrücklich zu erwähnen, ist daher nicht zwangsläufig notwendig.
Sollten aber andere Verarbeitungszwecke vorliegen, sollte zumindest kurz darauf hingewiesen werden. Hier sollte es grundsätzlich ausreichend sein, wenn eine erste mündliche Auskunft erteilt wird, gepaart mit einem Verweis auf die Datenschutzerklärung auf der Unternehmens-Website, zB durch Abbildung eines Links oder eines QR-Codes auf der eigenen Visitenkarte. Zur Dokumentation, dass die Information erteilt wurde, ist es ratsam, auf der erhaltenen Visitenkarte eine entsprechende Notiz mit Datum und Uhrzeit anzuführen. Das gilt ebenso für eine allfällig notwendige Einwilligung nach dem TKG (siehe Kapitel 8.5.). Bei der ersten Kontaktaufnahme sollte dann bestenfalls noch einmal auf die Datenschutzerklärung, zB mittels Link, hingewiesen werden.
Wenn die Daten nicht von der betroffenen Person direkt erhoben werden, sondern von einem Dritten oder einer allgemeinen Quelle, stellt sich diese Problematik nicht, da die Information bei der ersten Kontaktaufnahme ausreicht.
Kaum ein digitales Angebot kommt ohne Cookies oder ähnliche Technologien aus. Der Einsatz ist mit wenigen Ausnahmen nicht ohne Einwilligung der User*innen möglich. Nur wenn sie technisch notwendig sind, wie zB zu Speicherung von Spracheinstellungen, müssen die User*innen nicht zustimmen.
Die Einwilligung muss dabei vor Einsatz der Technologien und durch ein aktives Handeln, zB Anklicken einer Checkbox, gegeben werden. Dafür hat sich in den letzten Jahren der Einsatz von sog Consent-Management-Plattformen in Form eines Pop-up-Fensters in der Praxis durchgesetzt.
Grundsätzlich werden in allen digitalen Angeboten, wie Websites oder Apps, Cookies oder ähnliche Technologien eingesetzt. Die Anwendungsbereiche sind dabei sehr unterschiedlich und reichen von notwendigen Funktionen, wie Warenkörbe und Grundeinstellungen bis hin zu Nutzungsanalysen und optimierte Werbeausspielung.
Cookies sind technisch gesehen kleine Textdateien, die von Websites bei Besuch verschickt und im Browser des Endgeräts gespeichert werden. Sie dienen grundsätzlich der Wiedererkennung des Endgeräts bei erneutem Seitenaufruf. Sie werden aber auch zu statistischen Auswertungen der Internetseitenbesuche verwendet. Es wird im Allgemeinen zwischen Session Cookies, die nach Beendigung der Browser-S. 182Sitzung gelöscht werden, temporären Cookies, die für eine bestimmte Zeit gespeichert werden und permanenten Cookies, die dauerhaft gespeichert werden, unterschieden.
Unter Werbe-Identifier (auch bekannt als Mobile Ad Identifier oder MAID) versteht man zufällig generierte Werbe-Kennungen, die vom Betriebssystem eines Mobilgeräts vergeben und mit den verwendeten mobilen Apps geteilt werden, um eine Wiedererkennung des Mobilgeräts zu ermöglichen.
Durch das Setzen und Auswerten von Cookies und Werbe-Identifiern werden nicht notwendigerweise personenbezogene Daten verarbeitet. Wenn aber personenbezogene Daten verarbeitet werden, sind die Vorschriften der DSGVO einzuhalten. Dh, dass für die Verarbeitung eine entsprechende Rechtsgrundlage vorhanden sein muss. Diese kann je nach Zweck des Cookies/Identifiers unterschiedlich sein, weshalb keine pauschale Aussage getroffen werden kann. In den häufigsten Fällen sind wohl die Vertragserfüllung oder berechtigte Interessen argumentierbar, ansonsten muss auf die Einwilligung zurückgegriffen werden.
Die Frage nach der Rechtsgrundlage ist jedoch zum Großteil unerheblich, da das österreichische TKG vorschreibt, dass für die Verarbeitung von Stamm-, Verkehrs-, Standort- und Inhaltsdaten weitgehend die Einwilligung der User*innen erforderlich ist. Zum Zweck der Vermarktung von Kommunikationsdiensten, dh bei Ausspielung von Werbung auf einer Website, ist die jederzeit widerrufbare Einwilligung der Betroffenen notwendig. Ausgenommen davon sind lediglich Verarbeitungen, die für die Erbringung des Kommunikationsdienstes erforderlich sind, sog technisch notwendige Cookies. Aus telekommunikationsrechtlicher Sicht ist es dabei unerheblich, ob die verarbeiteten Daten Personenbezug aufweisen oder nicht.
Als technische notwendige Cookies gelten generell Warenkorb-Cookies, Cookies zur Steuerung der Sprachauswahl und Login-Cookies.
Analyse-Cookies und Technologien wie zB Google Analytics gelten hingegen nicht als technisch notwendig, weshalb hier eine Einwilligung notwendig ist.
Nach aktueller EuGH Judikatur ist es notwendig, dass diese Einwilligung ebenfalls den Vorschriften der DSGVO entspricht, was nunmehr auch durch die neue Fassung des TKG bekräftigt wird. Dh, dass sie von den Betroffenen aktiv geS. 183geben werden müssen. Dies wird nunmehr auch durch die neue Fassung des TKG explizit verlangt. Eine vorab angehakte Checkbox ist also nicht ausreichend.
Darüber hinaus muss die Einwilligung jederzeit widerrufbar sein und die Betroffenen müssen ausreichend über die Datenverarbeitung informiert worden sein. (Im Detail zu den Anforderungen siehe Kapitel 3.2.1.1.) Aufgrund des Kopplungsverbotes darf zudem die Bereitstellung der Dienste nicht von der Einwilligung der Betroffenen abhängig gemacht werden. Eine Lösung, wonach die Betroffenen aber die Wahl zwischen Einwilligung in die Datenverarbeitung (vornehmlich zu Werbezwecken) oder einen bestimmten Betrag zu zahlen haben, sog „Pay or Okay“, können nach Ansicht der österreichischen Datenschutzbehörde jedoch zulässig sein. Es darf allerdings für die Betroffenen kein Nachteil hinsichtlich der angebotenen Leistungen dadurch entstehen, dass sie die Einwilligung nicht gegeben haben. Darüber hinaus muss auch der zu zahlende Preis in angemessenem Verhältnis stehen.
8.2.2. Wie kann die Einwilligung eingeholt werden?
In der Praxis hat sich durchgesetzt, dass die Einwilligung mittels eines Pop-up Fensters, oft auch Cookie-Banner oder Consent-Management-Plattform genannt, abgefragt wird. Über die genaue Gestaltung dieser Fenster gibt es derzeit weder in den maßgeblichen Gesetzen noch in der Judikatur genaue Vorgaben. Generell kann aber gesagt werden, dass die Einwilligung nicht pauschal für sämtliche Verarbeitungszwecke gegeben werden kann. Es muss vielmehr eine granulare Zustimmung möglich sein, so dass für die Betroffenen nachvollziehbar eine Auswahl einzelner Einwilligungen möglich ist. Als Best Practice hat sich zudem entwickelt, dass die Betroffenen auf erster Ebene die Wahl haben, gesamtheitlich zuzustimmen oder differenzierte Einstellungen vorzunehmen. Nicht einheitlich gelöst ist jedoch, ob es eine Ablehn-Funktion auf der ersten Ebene geben muss oder die Betroffenen erst durch möglicherweise mühsames Weiternavigieren in den Einstellungen die Option haben, abzulehnen.
Die Frage, ob eine Ablehn-Funktion auf der ersten Ebene notwendig ist, ist, neben anderen Fragen der Ausgestaltung, wie zB Farbwahl der Buttons, derzeit auch zentraler Gegenstand in zahlreichen Verfahren, die von der Non-Profit-Organisation noyb, angeregt wurden. In Frankreich und Deutschland gibt es bereits Entscheidungen S. 184bzw Stellungnahmen der Datenschutzbehörden, die eine strenge Auslegung zu ähnlichen Fragen vertreten. In Österreich gab es zum Zeitpunkt des Verfassens des Buches aber noch keine rechtskräftigen Entscheidungen.
Das Thema Cookie-Einwilligung wird ebenfalls in der für das Jahr 2022 erwarteten E-Privacy-Verordnung neu geregelt werden. Es sind aber im Vergleich zur derzeitigen Rechtslage in Österreich wenig Änderung zu erwarten. Ebenso wenig wird die neue Verordnung die offenen Rechtsfragen abschließend klären, weshalb hinsichtlich der Ausgestaltung und Datenverarbeitung mittels Cookies, Werbe-Identifiern und ähnlichen Technologien weitgehend noch Unsicherheit besteht.
Bei der Verwendung von Share/Like Buttons und Inhalten von sozialen Netzwerken werden grundsätzlich personenbezogene Daten an die Social-Media-Unternehmen übermittelt. Dabei müsste rechtzeitig, also vor Übermittlung, die Einwilligung der User*innen geholt werden. Durch die sog Shariff- oder 2-Click-Lösung kann eine direkte Datenübermittlung und somit Verantwortlichkeit des Website-Betreibers vermieden werden, weshalb sich diese Lösungen als Best Practice in der Praxis etabliert haben.
Unternehmen sind bzgl ihrer Social-Media-Profile datenschutzrechtlich Verantwortlicher, teilweise gemeinsam mit dem Social-Media-Anbieter. Die Profilinhaber*innen sind daher ebenfalls verantwortlich für die datenschutzkonforme Verarbeitung und haben für die rechtzeitige Information der User*innen zu sorgen, was mangels ausreichenden Einflusses auf die Datenverarbeitung problematisch sein kann. Es sollte daher kritisch hinterfragt werden, ob ein Social-Media-Profil unbedingt notwendig ist.
Social-Media-Dienste sind mittlerweile allgegenwärtig und in verschiedensten Ausprägungen vorhanden. Früher hauptsächlich für Privatpersonen gedacht, verwenden mittlerweile eine große Zahl an Unternehmen soziale Netzwerke zur Bewerbung ihrer Produkte und zum Kontakt mit ihren Kund*innen/Interessent*innen. Unbestritten ist die Erhebung und Verarbeitung von personenbezogenen Daten die Hauptsäule der Geschäftsmodelle dieser Netzwerke. Unternehmen, die Social-Media-Dienste für ihre Zwecke nutzen, haben wenig bis keinen Einfluss, zum Großteil sogar nicht einmal Überblick, welche Datenverarbeitungen den Anbieter*innen durchgeführt werden. Sie stehen aber sehr wohl in einigen Fällen datenschutzrechtlich in der Verantwortlichkeit. Im Folgenden sollen die datenschutzrechtlichen Problematiken und mögliche Lösungsansätze für die Verwendung von Social-Media-Diensten kurz erörtert werden.
Social Media Share Buttons, also Buttons mit denen digitale Inhalte einfach und schnell von User*innen geteilt werden können, oder auch sog Like Buttons, bei denen direkt eine „Gefällt mir“ Angabe mit dem Social-Media-Profil gegeben werden kann, sind sehr beliebt, jedoch datenschutzrechtlich durchaus bedenklich. Damit User*innen diese Buttons verwenden können, ist in der Regel eine Datenübermittlung zwischen Website-Anbieter und Anbieter des Social-Media-Dienstes erforderlich. Die mit den Social Media Buttons verbundene Erhebung und Übermittlung von personenbezogenen Daten benötigt eine entsprechende Rechtsgrundlage nach der DSGVO sowie eine rechtzeitige Information der User*innen über die Verarbeitung. Ausgenommen hiervon sind in der Regel das Teilen von Beiträgen über Nachrichtendienste, da hier aus technischer Sicht nur der Link zum jeweiligen Inhalt in eine Nachricht kopiert wird – zwischen dem Dienst und der Website jedoch keine Übermittlung personenbezogener Daten stattfindet.
Der EuGH hat bzgl Social-Media-Integrationen, insb Like Buttons festgehalten, dass Website-Betreiber, auf deren Seiten Social Media Buttons eingebaut sind, datenschutzrechtlich Verantwortliche für die Erhebung und Übermittlung der Daten an den Anbieter des jeweiligen Social-Media-Dienstes seien. Für die folgende Verarbeitung im Rahmen des Social-Media-Dienstes ist wiederum der jeweilige Anbieter verantwortlich. Zwar ist die Entscheidung des EuGH im Anlassfall nur in Bezug auf Websites getroffen worden, es lässt sich aber argumentieren, dass dies für andere Dienste wie zB Apps ebenfalls gilt.
Die Verarbeitung der Userdaten iZm Social Media Buttons ist grundsätzlich nur mittels Einwilligung der User*innen möglich. Der EuGH bezieht sich dabei grundsätzlich auf die Einwilligung des Einsatzes von Cookies (siehe Kapitel 8.2.) nach der E-Privacy Richtlinie (in Österreich in § 165 TKG umgesetzt). Es muss daher eine Lösung gefunden werden, wie die Einwilligung bereits vor Erhebung eingeholt werden kann. Zu den allgemeinen Voraussetzungen für eine gültige Einwilligung siehe Kapitel 3.2.1.1.
Ebenso müssen die User*innen entsprechend über die Verarbeitung informiert werden (siehe Kapitel 4.2.). Nachdem die ausreichende Informiertheit eine Voraussetzung für eine gültige Einwilligung ist, muss dies vor bzw spätestens bei Einholung der Einwilligung erfolgen. Eine denkbar praktische Lösung wäre eine Einbindung in eine Consent-Management-Plattform, die auch Einwilligungen für andere Cookies und ähnliche Technologien verwaltet. In der Regel wird dies jedoch nicht ausreichend sein. Die gängigsten Integrationen sind technisch nämlich so gestaltet, dass die Informationsabfrage durch die Social-Media-Dienste bereits S. 186mit Laden der Inhalte erfolgt, noch bevor überhaupt eine Einwilligung abgefragt werden kann.
Für einen DSGVO konformen Einsatz von Social Media Buttons muss daher eine Lösung gefunden werden, um diese erste Abfrage von Daten zu unterbinden. Als Lösungsmöglichkeit gibt es hier die folgenden in der Praxis gängigen Vorgehensweisen:
Die wohl bekannteste Lösung ist die sog 2-Click-Lösung. Dabei werden die Social Media Buttons grundsätzlich deaktiviert, wodurch kein Zugriff durch die sozialen Netzwerke erfolgt. Die User*innen müssen, bevor sie die jeweiligen Buttons nutzen können, diese aktivieren. Die Aktivierung des Buttons kann eine ausreichende Einwilligung darstellen, sofern die anderen Voraussetzungen, wie Koppelungsverbot, Freiwilligkeit etc erfüllt sind. Nach Aktivierung erfolgen die Erhebung und Übermittlung der Daten und die User*innen können die Buttons nutzen. Die Einwilligung kann in dieser Lösung auch jederzeit durch Deaktivieren der Social Media Buttons widerrufen werden.
Problematisch in diesem Fall stellt sich aber weiterhin die DSGVO konforme Information der Betroffenen dar. Diese muss jedenfalls vor Aktivierung der Social Media Buttons und im Kontext mit der Einwilligung/Aktivierung erfolgen. Es ist daher nicht ausreichend, wenn die Information in der allgemeinen Datenschutzinformation angeführt wird, ohne dass gesondert darauf hingewiesen wird. Denkbar wäre eine Information ähnlich einem Cookie-Banner oder in Form eines Pop-ups bei den entsprechenden Social Media Buttons. Hierbei sollten zumindest die unbedingt notwendigen Informationen, wie Zweck und Rechtsgrundlage der Verarbeitung, Kategorien der Empfänger, eine entsprechende Risikoaufklärung bei Empfängern in Drittstaaten und jedenfalls eine Belehrung über das Widerrufsrecht enthalten sein. Für die restlichen Informationen, wie zB Hinweise auf Betroffenenrechte und Kontakt, ist es nach Ansicht des Autors und der Autorin grundsätzlich ausreichend, wenn auf die allgemeine Datenschutzerklärung verlinkt wird.
Etwas eleganter und userfreundlicher ist die sog Shariff- oder 1-Click-Lösung, die ursprünglich von der Zeitschrift c't des Heise Verlags entwickelt wurde. Hierbei wird der Zugriff der sozialen Netzwerke unterbunden und erst hergestellt, wenn der Besucher aktiv auf den Social Media Button klickt. Erzielt wird dies dadurch, dass die Social Media Buttons lediglich als Grafik eingebunden werden. Die Buttons sind mit einem HTML-Link auf die jeweiligen Social-Media-Dienste hinterlegt. Durch Aktivieren des Buttons wird in einem gesonderten Fenster das S. 187Skript des jeweiligen Dienstes geladen, wo sich die User*innen dann getrennt von der Herkunftsseite anmelden können, um die Inhalte zu liken oder zu teilen. Erst hier erfolgt die Erhebung der personenbezogenen Daten. Diese Form der Integration führt zu keiner Erhebung und Übermittlung von personenbezogenen Daten durch die Website-Betreiber*innen, sondern nur zu einer direkten Erhebung der Daten durch den Social-Media-Anbieter. Bei dieser Lösung trifft die Website-Betreiber*innen daher keine datenschutzrechtliche Verantwortung. Eine Information über den Einsatz der Shariff-Lösung ist dennoch empfehlenswert, um vorweg Unklarheiten zu vermeiden.
8.3.2. Wie können Posts und Widgets datenschutzkonform eingebunden werden?
Ähnlich gelagerte Probleme wie bei Share und Like Buttons (siehe Kapitel 8.3.1.) ergeben sich bei der Einbindung von Social-Media-Inhalten oder Widgets. Durch Einbindung der Inhalte wird auf der Website direkt ein Fenster des jeweiligen sozialen Netzwerkes eingeblendet, durch das personenbezogene Daten verarbeitet werden können. Der Social-Media-Anbieter fragt in der Regel Nutzungsdaten ab, um erkennen zu können, welche User*innen den eingebundenen Inhalt sehen. Dieser Datenabruf erfolgt grundsätzlich bereits beim Laden der jeweiligen Website. User*innen werden dadurch direkt mit dem sozialen Netzwerk konfrontiert, ohne die Wahlmöglichkeit zu haben, die Datenverarbeitung zu unterbinden.
In Anlehnung an das oben zitierte EuGH-Urteil ist auch hier der Website-Betreiber wohl als Verantwortlicher für die initiale Erhebung der Daten und Übermittlung an die sozialen Netzwerke anzusehen. Dieser ist daher für die datenschutzkonforme Umsetzung und Information der User*innen verantwortlich.
Auch bei der Einbindung von Social Media Content ist wie bei Share und Like Buttons die Einwilligung der Betroffenen notwendig. Diese muss vor der Erhebung eingeholt werden. Davon abgesehen sind die generellen Vorgaben der DSGVO in Bezug auf die Ausgestaltung der Einwilligung einzuhalten, wie Koppelungsverbot und Freiwilligkeit (siehe Kapitel 3.2.1.1.). Die erteilte Einwilligung muss zudem jederzeit widerrufbar sein, wobei der Widerruf auf gleiche Weise bzw nicht komplizierter erfolgen darf als die Einwilligung selbst.
Als mögliche Lösung bietet sich für die Einbindung eine Methode an, die der oben beschriebenen 2-Click-Lösung sehr ähnlich ist. Der Social Media Content ist dabei derart in die Website eingebunden, dass das entsprechende Fenster beim Laden der Website deaktiviert und mit einer entsprechenden Schaltfläche zur Aktivierung gestaltet ist. Somit müssen die User*innen aktiv zustimmen, um den Inhalt des Social Media Contents sehen zu können.
S. 188Erst nach erfolgter Einwilligung wird der Inhalt geladen und somit die Daten erhoben. Es ist dabei grundsätzlich unerheblich, ob die Einwilligung für jedes Fenster einzeln gegeben werden muss, was jedoch zu Lasten der User Experience gehen könnte, oder generell für sämtliche Einbindungen eines bestimmten sozialen Netzwerks gegeben werden kann. Aufgrund der notwendigen Granularität der Einwilligung sollte jedenfalls für jeden Social-Media-Anbieter getrennt eine Einwilligung eingeholt werden, damit die User*innen hier entsprechend selbstbestimmt wählen können, welche Zugriffe sie erlauben.
Neben der Einholung einer Einwilligung müssen die User*innen entsprechend bei Erhebung der personenbezogenen Daten über deren Verarbeitung informiert werden (siehe Kapitel 4.2.). Die Datenschutzinformation kann bei der eben dargestellten Lösung rechtzeitig vor der Einwilligung und Erhebung der Daten im entsprechenden Fenster des Social Media Contents angezeigt werden. Hierbei sollten zumindest die wichtigsten Angaben zur Verarbeitung, wie Zweck und Rechtsgrundlage, Kategorien der Empfänger, Risikoaufklärung bei Empfängern in Drittstaaten und die Belehrung über das Widerrufsrecht enthalten sein. Bzgl der weiteren Informationen, wie zB Hinweis auf Betroffenenrechte, kann grundsätzlich auf die allgemeine Datenschutzerklärung verwiesen werden. Zusätzlich sollte auch auf die Datenschutzerklärung der jeweiligen Social-Media-Anbieter verwiesen werden, um den User*innen eine möglichst umfassende Information über die Verarbeitung ihrer Daten zu erteilen.
Nach Aktivierung sollte in jeder Einbindung die Möglichkeit zur Deaktivierung des Contents, also dem Widerruf der erteilten Einwilligung, gegeben sein.
Eine weitere Problematik aus datenschutzrechtlicher Sicht sind von Unternehmen erstellte Profile bzw Fanpages in sozialen Netzwerken. Und das sogar, wenn die Unternehmen nicht selbst Anbieter des Netzwerks sind.
Unternehmen haben sich öfters darauf berufen, dass der jeweilige Social-Media-Anbieter für sämtliche Aktivitäten im Rahmen des jeweiligen sozialen Netzwerks allein datenschutzrechtlich verantwortlich ist. Der EuGH hat diesbzgl allerdings klargestellt, dass Betreiber einer Facebook-Fanpage zumindest zum Teil gemeinsame Verantwortliche mit dem Social-Media-Anbieter in Bezug auf die Verarbeitung von Userdaten sind. Auch wenn sich daraus keine allgemeine Regelung treffen lässt, da es auf das jeweilige soziale Netzwerk ankommt, ist davon auszugehen, dass sich die Entscheidung des EuGH auf den Großteil sozialer Netzwerke anwenden lässt, sofern personenbezogene Daten der User*innen durch den Betreiber der Seite verarbeitet werden, zB für Auswertungen, ReichS. 189weitenmessungen oder Kontaktaufnahme. Betreiber von Social-Media-Seiten treffen somit umfassende datenschutzrechtliche Pflichten und sind überdies uU auch für Verstöße des Social-Media-Anbieters haftbar.
Die gemeinsame Verantwortlichkeit betrifft grundsätzlich Verarbeitungen, bei denen sowohl der Plattformbetreiber als auch der Betreiber des Social-Media-Profils eingebunden sind. Daher sind die Verarbeitung der Userdaten iZm statistischen Auswertungen bzgl der Seite, wie etwa Tracking und Reichweitenmessung, umfasst. Für den allgemeinen Betrieb der Plattform ist aber der Betreiber eigenständig verantwortlich, genauso wie der jeweilige Betreiber der Seite für die Verarbeitung iZm Inhalten der Seite, zB Posts, Likes, Kommentare, Nachrichten zum Großteil eigenständig verantwortlich ist.
Als Rechtsgrundlage der Verarbeitung können von den Betreibern der Seiten in der Regel vorvertragliche Maßnahmen oder berechtigte Interessen, wie Unternehmenskommunikation und Marketing herangezogen werden. Ein besonderes Problem stellt sich dabei aber hinsichtlich der Einflussmöglichkeiten der Seitenbetreiber. In der Regel gibt es wenig Spielraum, wenn es darum geht, welche Daten der User*innen verarbeitet oder an wen diese übermittelt werden. Zwar sollten hier ausreichend Informationen in den Datenschutzinformationen der Plattformbetreiber enthalten sein, sich aber ausschließlich darauf zu berufen, könnte im Zuge der Rechenschaftspflicht zu wenig sein, um DSGVO konform zu agieren.
Für die Verarbeitungen, bei denen eine gemeinsame Verantwortlichkeit gegeben ist, ist gem Art 26 DSGVO eine entsprechende Vereinbarung notwendig (siehe Kapitel 6.2.2.). Zumeist wird eine solche von den Social-Media-Anbietern bereits vorgegeben und bei Erstellung einer Seite abgeschlossen. Nur in den seltensten Fällen wird es möglich sein, individuelle Vereinbarungen abzuschließen. Auch wird eine Anpassung der vorgegebenen Vereinbarungen in der Regel nicht möglich sein. Da die Betreiber der Social-Media-Seiten dennoch mitverantwortlich sind und somit in die Haftung geraten können, sollten die Vereinbarungstexte genau geprüft werden, insb hinsichtlich der Verantwortungsbereiche. Letztendlich ist es eine wirtschaftliche Entscheidung eines jeden Unternehmens, ob die mit dem Betreiben von Social-Media-Seiten verbundenen Risiken akzeptabel sind oder nicht.
Entscheidet sich ein Unternehmen dafür, eine Social-Media-Seite zu betreiben, muss den User*innen eine entsprechende Information (siehe Kapitel 4.2.) gegeben werden. Diese sollte auf der jeweiligen Seite gut ersichtlich sein. Hierzu gibt es bei einigen Anbietern die Möglichkeit, diese direkt auf der jeweiligen Seite anzuzeigen. Bei manchen Anbietern bedarf es aber einer kreativeren Lösung, wie zB angeheftete Beiträge, die ständig an oberster Stelle abrufbar sind. Die Informationen können dabei in die allgemeinen Datenschutzinformationen aufgenommen werden, sollten aber klar ersichtlich und verständlich sein.
Social-Media-Seiten
Verantwortlich für die nachfolgend dargestellten Datenerhebungen und ‑verarbeitungen sind teilweise wir und teilweise die jeweiligen Betreiber der Social-Media-Plattformen. Für bestimmte Verarbeitungen fungieren wir und die Plattformbetreiber auch als gemeinsam Verantwortliche iSd Art 26 DSGVO.
Wir betreiben folgende Social-Media-Seiten:
LinkedIn: [Link zur Seite]
Facebook: [Link zur Seite]
YouTube: [Link zur Seite]
Instagram: [Link zur Seite]
Verarbeitung durch den Betreiber der Social-Media-Plattform
Auf die Datenverarbeitungen durch die Betreiber der Social-Media-Plattform (zB Verwaltung der Mitglieder und die geteilten Informationen) haben wir nur begrenzten Einfluss. An den Stellen, an denen wir Einfluss nehmen können, wirken wir im Rahmen der uns zur Verfügung stehenden Möglichkeiten auf den datenschutzgerechten Umgang durch den Betreiber der Social-Media-Plattform hin.
Der Plattformbetreiber betreibt die gesamte IT-Infrastruktur des Dienstes, verfügt über eine eigene Datenschutzerklärung und unterhält ein eigenes Verhältnis zu Ihnen (sofern Sie beim Social-Media-Dienst registriert sind). Zudem ist der Betreiber allein für alle Fragen bzgl der Daten Ihres Userprofils verantwortlich. Nähere Informationen zur Datenverarbeitung durch den Plattformbetreiber und Ihrer diesbzgl Rechte finden Sie in der Datenschutzerklärung des jeweiligen Anbieters:
LinkedIn: [Link zur Datenschutzerklärung]
Facebook: [Link zur Datenschutzerklärung]
YouTube: [Link zur Datenschutzerklärung]
Instagram: [Link zur Datenschutzerklärung]
Verarbeitung durch uns
Zweck der Datenverarbeitung durch uns auf unseren Social-Media-Präsenzen ist die Information von Kunden und Interessenten über unsere Produkte/Dienstleistungen, Aktionen, Gewinnspiele sowie Unternehmensneuigkeiten und das Community Management iZm unserem Social-Media-Auftritt, sowie die Beantwortung entsprechender Rückfragen. Rechtsgrundlage für die vorgenannten Verarbeitungszwecke ist unser berechtigtes Interesse (Art 6 Abs 1 lit f DSGVO) an unserer Öffentlichkeitsarbeit und Kommunikation.
S. 191Wie bereits ausgeführt, achten wir an den Stellen, an denen uns der Anbieter der Social-Media-Plattform die Möglichkeit gibt, darauf, unsere Social-Media*Seiten möglichst datenschutzkonform zu gestalten. Die von Ihnen auf unseren Social-Media-Seiten eingegebenen Daten wie zB Kommentare, Videos, Bilder, Likes, öffentliche Nachrichten etc werden hierzu durch die Social-Media-Plattform veröffentlicht und von uns zu keiner Zeit für andere Zwecke verwendet oder verarbeitet. Wir behalten uns aber ausdrücklich vor, rechtswidrige Inhalte zu löschen, wenn dies notwendig ist, zB bei rechtsverletzenden oder rechtswidrigen Posts, Hasskommentaren, anzüglichen Kommentaren (explizit sexuelle Inhalte) oder Inhalten, die gegen Urheberrechte, Persönlichkeitsrechte oder Strafgesetze verstoßen.
Ggf teilen wir Ihre Inhalte auf unserer Seite, wenn dies auf der Social-Media-Plattform möglich ist und kommunizieren mit Ihnen über die Social-Media-Plattform. Sofern Sie uns eine Anfrage auf der Social-Media-Plattform stellen, verweisen wir, je nach der erforderlichen Antwort, auch auf andere, sichere Kommunikationswege, die Vertraulichkeit garantieren. Sie haben immer die Möglichkeit, uns Anfragen/Beschwerden an unsere unter Kontakt oder im Impressum genannte Anschrift zu schicken.
Alle öffentlichen Posts durch Sie auf unseren Social-Media-Seiten bleiben zeitlich unbegrenzt auf der Seite bestehen, es sei denn wir löschen diese aus einem der oben genannten Gründe oder Sie löschen den Post selbst. Bzgl der Löschung Ihrer Daten durch den Betreiber selbst haben wir keine Einwirkungsmöglichkeiten. Es gelten daher hierzu ergänzend die Datenschutzerklärung des jeweiligen Betreibers.
Gemeinsame Verantwortlichkeit
Mit dem Betreiber des Social-Media-Dienstes besteht teilweise ein Verhältnis nach Art 26 Abs 1 DSGVO (Gemeinsame Verantwortlichkeit):
Für die vom Betreiber der Social-Media-Plattform eingesetzten Webtrackingmethoden fungieren die Plattformbetreiber und wir als gemeinsam Verantwortliche. Das Webtracking kann dabei auch unabhängig davon erfolgen, ob Sie bei der Social-Media-Plattform angemeldet oder registriert sind. Wie bereits dargestellt, können wir auf die Webtrackingmethoden der Social-Media-Plattform leider kaum Einfluss nehmen, insb besteht keine Möglichkeit diese abzuschalten.
Rechtsgrundlage für die Webtrackingmethoden sind berechtigte Interessen (Art 6 Abs 1 lit f DSGVO), die Social-Media-Plattform und die jeweilige Seite zu optimieren und die Reichweite der Inhalte zu messen.
Weitere Informationen zu den Empfängern bzw Kategorien von Empfängern, der Speicherdauer bzw den Kriterien für die Festlegung der Speicherdauer sowie zu den Möglichkeiten zur Wahrnehmung ihrer Rechte zur Unterbindung der oben genannten Datenverarbeitung können Sie den S. 192oben angeführten Datenschutzerklärungen der Plattformbetreiber entnehmen. Auf diese haben wir keinen Einfluss.
Im Hinblick auf Statistiken, die uns der Anbieter der Social-Media-Plattform zur Verfügung stellt, können wir diese nur bedingt beeinflussen oder unterbinden. Wir achten aber darauf, dass uns keine zusätzlichen optionalen Statistiken zur Verfügung gestellt werden.
Bitte seien Sie sich darüber bewusst: Es kann nicht ausgeschlossen werden, dass der Anbieter der Social-Media-Plattform Ihre Profil- und Verhaltensdaten nutzt, etwa um Ihre Gewohnheiten, persönliche Beziehungen, Vorlieben usw. auszuwerten. Wir haben keinen Einfluss auf die Verarbeitung oder Weitergabe Ihrer Daten durch den Anbieter der Social-Media-Plattform.
8.4. Kommunikationstools
Kommunikationstools, wie Messengerdienste oder Videokonferenztools, sind aus der Geschäftswelt nicht mehr wegzudenken. Die Verwendung dieser Tools und die unweigerlich damit verbundene Verarbeitung personenbezogener Daten ist in der Regel zulässig. Wenn Videochat verwendet wird, sollte es für Teilnehmer optional sein, die Kamera einzuschalten. Als Grundeinstellung ist die Kamera jedoch auszuschalten.
Die entsprechenden Programme werden fast ausschließlich als SaaS-Produkte angeboten. Mit dem jeweiligen Anbieter ist daher ein Auftragsverarbeitungsvertrag abzuschließen. Bei Anbietern in einem unsicheren Drittland (außerhalb des EWR) sind zudem zusätzliche Garantien, wie zB Standardvertragsklauseln, notwendig.
Flexibles, kommunikatives Arbeiten ist vor allem im Start-up- und KMU-Bereich ein Muss. Nachdem die Arbeitswelt heutzutage vermehrt dezentral gestaltet ist und nicht mehr zwingend alle Mitarbeiter*innen im selben Büro sitzen oder externe Dienstleister*innen/Expert*innen herangezogen werden, sind Kommunikationstools, wie Messengerdienste oder Videochat-Programme unerlässlich. Viele Anbieter solcher Tools bieten dabei zum Einstieg sehr preiswerte oder sogar kostenlose Versionen an. Datenschutz scheint hier oft nur eine Nebenrolle zu spielen. So wurden bei einem bekannten Anbieter bereits Sicherheitslücken aufgedeckt, wenngleich diese rasch nach Bekanntwerden entschärft wurden.
Es werden über diese Systeme allerdings eine Vielzahl von personenbezogenen Daten, uU auch besondere Kategorien von Daten, verarbeitet. Um hohe GeldS. 193bußen zu vermeiden, sollte bei der Entscheidung, welches Kommunikationstool eingesetzt wird, ein Augenmerk auf die Einhaltung der datenschutzrechtlichen Vorschriften gelegt werden.
8.4.1. Wie können Kommunikationstools datenschutzkonform eingesetzt werden?
Der Einsatz von Kommunikationssoftware – mit Ausnahme von Videokonferenztools (siehe sogleich unten) – und die damit verbundene Verarbeitung personenbezogener Daten sollte im Regelfall auf die Rechtsgrundlage der berechtigten Interessen gestützt werden können. Als Interessen können hier zB effiziente Arbeitsgestaltung oder optimierte Kundenbetreuung argumentiert werden. Nach dem Zweckbindungsgrundsatz ist aber darauf zu achten, dass dies jeweils nur für die tatsächlich notwendigen Daten gilt.
Bei der Verwendung von Videokonferenztools liegt eine Bildverarbeitung iSd DSG vor, weshalb uU die besonderen Vorschriften der § 12 f DSG ebenfalls zu beachten sind (siehe Kapitel 5.). Dadurch wird die Rechtsgrundlage der berechtigten Interessen insofern eingeschränkt, als dass die geltend gemachten Interessen des Verantwortlichen die der Betroffenen überwiegen müssen. Dies wird in der Regel nicht der Fall sein, außer die eindeutige Identifizierung des Gesprächspartners ist notwendig und kann nicht anders erwirkt werden, wie zB bei Onlineverifizierungen mittels Ausweis. Nach Ansicht der Autorin und des Autors ist es sonst notwendig, dass Teilnehmer der Onlinekonferenzen vorab in die Bildverarbeitung einwilligen. In der Praxis ist es hier auch iSd Privacy by Default am einfachsten, wenn die Kamerafunktion standardmäßig ausgeschalten ist, die jeweiligen Teilnehmer*innen diese aber mittels Button aktivieren können. Bei den gängigsten Anbietern ist dies auch so umgesetzt. Das aktive Klicken auf zB ein Kamera-Icon kann grundsätzlich als Einwilligung ausreichend sein, solange der Teilnehmer entsprechend vorab über die Datenverarbeitung informiert wurde. Hier wäre eventuell argumentierbar, dass die Teilnehmer*innen bereits über die wesentlichen Informationen verfügen. Zu den allgemeinen Voraussetzungen der Einwilligung siehe Kapitel 3.2.1.1.
Die notwendige Information der Betroffenen gem Art 12 ff DSGVO kann beim Einsatz von Kommunikationstools recht problemlos gestaltet werden. Bzgl Arbeitnehmerdaten kann die Information im Rahmen der allgemeinen Datenschutzinformation, die ohnehin erteilt werden muss (siehe Kapitel 4.2.), enthalten sein. Sollten zusätzlich auch externe Personen eingeladen werden, kann eine entsprechende Information zeitgerecht in der jeweiligen Einladung mitgeschickt werden, somit haben die Eingeladenen die Möglichkeit, die Information vor Verarbeitung der Daten zu lesen.
S. 194Oft gibt es bei Videokonferenztools auch die Möglichkeit, Gespräche und Videos aufzuzeichnen. Dabei ist zu beachten, dass Aufzeichnungen nach dem DSG grundsätzlich nicht länger als 72 Stunden aufbewahrt werden dürfen, es sei denn, es liegen besondere Gründe für eine längere Speicherung vor. Die längere Speicherung muss zudem verhältnismäßig sein und protokolliert werden. Sofern die Kamerabilder der Teilnehmer nicht benötigt werden, sollten diese während der Aufzeichnung ausgeschalten werden, um die Anwendung dieser Aufbewahrungsbeschränkung zu vermeiden.
Mangels expliziter Vorschriften betreffend Beschäftigtendatenschutz gibt es beim unternehmensinternen Einsatz von Kommunikationstools grundsätzlich keine Besonderheiten zu beachten. Es gelten die allgemeinen Bestimmungen der DSGVO. Lediglich wenn ein Betriebsrat bestehen sollte, wäre eine Betriebsvereinbarung notwendig, da eine Verarbeitung von personenbezogenen Arbeitnehmerdaten vorliegt, die über die Ermittlung zur Person und fachlichen Voraussetzungen hinausgeht.
8.4.2. Ist ein Auftragsverarbeitungsvertrag notwendig?
Kommunikationstools werden zumeist als SaaS-Produkt angeboten. Selbstgehostete Produkte sind am Markt eher selten, noch weniger wird ein Unternehmen ein eigenes Programm entwickeln. Es liegt somit in den meisten Fällen ein Auftragsverarbeitungsverhältnis vor, wobei der Tool-Anbieter als Auftragsverarbeiter tätig wird. Er verarbeitet, zB durch Hosting des Tools, sämtliche Kommunikationsdaten etc. Bei der Auswahl des Tools sollte daher der Anbieter bzgl Umsetzung der datenschutzrechtlichen Vorschriften genau geprüft werden, insb sollten Datensicherheitsmaßnahmen, Ort der Verarbeitung und etwaige Verarbeitungstätigkeiten durch den Anbieter (ersichtlich in dessen Datenschutzerklärung) geprüft werden.
Es ist zudem ein Auftragsverarbeitungsvertrag notwendig (siehe Kapitel 6.1.). Sollte der Dienstleister in einem Drittland mit nicht angemessenem Datenschutzniveau sitzen und die Daten dort verarbeiten, sind zusätzliche Garantien notwendig (siehe Kapitel 6.4.2.). Wobei dies im besten Fall vermieden wird. Die Anbieter verwenden hier zumeist standardmäßige Vertragswerke für Auftragsverarbeitungsverträge sowie ggf Standardvertragsklauseln, die mit Vorsicht zu genießen sind und genau geprüft werden sollten. Leider ist nur selten eine Anpassungsmöglichkeit gegeben.
Im Auswahlprozess sollten ebenfalls die zur Verfügung stehenden technischen und organisatorischen Sicherheitsmaßnahmen berücksichtigt werden. Im Idealfall wird eine individualisierte Einstellungsmöglichkeit der Maßnahmen angeboten.
Verschlüsselte Datenübertragung
Löschung von übermittelten Daten und Videomitschnitten
Möglichkeit zur Aus- bzw Überblendung des Hintergrundes bei Videokonferenzen
Zugriffs- und Berechtigungskonzept
S. 195Abhängig vom jeweiligen Kommunikationstool kann es auch notwendig sein, dass vorab eine DSFA durchzuführen ist, wenn die Voraussetzungen des Art 35 DSGVO erfüllt sind (siehe Kapitel 4.4.1.). In der Whitelist der Datenschutzbehörde findet sich nämlich keine auf Kommunikationstools anwendbare Ausnahme. Es kann im Gegenteil sogar eine zwingende Pflicht zur DSFA bestehen, wenn die Voraussetzungen der Blacklist erfüllt sind. Je nach Tool könnte § 2 Abs 2 Z 4 bzw 6 DSFA-V erfüllt sein. Demnach ist eine DSFA zwingend erforderlich, wenn neue bzw neuartige Technologien genutzt werden, die eine Abschätzung der Auswirkung auf die Betroffenen und die gesellschaftlichen Folgen erschweren oder wenn Verarbeitungsvorgänge im höchstpersönlichen Bereich von Personen erfolgen, was zB im Homeoffice geschehen könnte.
Newsletter und sonstiges E-Mail-Marketing sind grundsätzlich als Werbung iSd TKG 2021 anzusehen, weshalb in den meisten Fällen die Einwilligung des Empfängers notwendig ist. Diese Einwilligung muss den Anforderungen der DSGVO entsprechen und muss vorab eingeholt werden. Bei Onlineformularen kann dies einfach durch eine entsprechende Checkbox erwirkt werden. Um die Einwilligung dokumentieren zu können, sollte ein Double-Opt-In Verfahren gewählt werden, bei dem der Empfänger die ursprüngliche Einwilligung noch einmal bestätigen muss.
Wenn für den Versand Dienstleister herangezogen werden, liegt in den meisten Fällen eine Auftragsverarbeitung vor. Mit dem jeweiligen Anbieter ist entsprechend ein Auftragsverarbeitungsvertrag abzuschließen. Bei Anbietern außerhalb des EWR können zusätzliche Maßnahmen, wie zB der Abschluss von Standardvertragsklauseln, notwendig sein.
Newsletter und E-Mail-Marketing sind beliebte Tools, die aber immer wieder rechtliche Fragen aufwerfen. E-Mail-Adressen sind in den meisten Fällen personenbezogene Daten, denn selbst im B2B Bereich enthalten sie oft den Namen des Empfängers. Die wichtigste Frage in der Unternehmenspraxis ist: Darf ich Newsletter oder sonstige Werbe-E-Mails einfach so versenden oder brauche ich tatsächlich die Einwilligung?
Aus datenschutzrechtlicher Sicht ist nur in den seltensten Fällen tatsächlich eine Einwilligung notwendig. Als Rechtsgrundlage können für den Versand von Newslettern oder Werbe-E-Mails in aller Regel berechtigte Interessen des Verantwortlichen herangezogen werden. In ErwGr 47 hält die DSGVO fest, dass die Verarbeitung zum Zwecke der Direktwerbung als berechtigte Interessen betrachtet werden kann. Auch die Tatsache, dass den Betroffenen ein eigenes WiderspruchsS. 196recht für Direktmarketing zugesprochen wird, spricht dafür, dass keine datenschutzrechtliche Einwilligung erforderlich ist. Diese könnte ohnehin jederzeit widerrufen werden.
Werden personenbezogene Daten verarbeitet, um Direktwerbung zu betreiben, so hat die betroffene Person das Recht, jederzeit Widerspruch gegen die Verarbeitung sie betreffender personenbezogener Daten zum Zwecke derartiger Werbung einzulegen; dies gilt auch für das Profiling, soweit es mit solcher Direktwerbung in Verbindung steht.
Auf dieses Widerspruchsrecht müssen die betroffenen Personen ausdrücklich und spätestens zum Zeitpunkt der ersten Kommunikation hingewiesen werden. Der Hinweis muss grundsätzlich von den anderen Informationen gem Art 12 ff DSGVO getrennt erfolgen. In der Praxis empfiehlt sich, die entsprechende Rechtsbelehrung in der Fußzeile der jeweiligen Aussendung anzuführen. Ein entsprechender Text in der allgemeinen Datenschutzerklärung (siehe Kapitel 4.2.) ist ebenfalls möglich, da diese ohnehin bei der Datenerhebung erteilt werden muss. Hier sollte aber zur ausreichenden Trennung ein deutlich erkennbarer eigener Absatz, zB durch eine gesonderte Umrahmung abgetrennt, verwendet werden.
Der Widerspruch entfaltet sofortige Wirkung für die Zukunft. Dh, ab Widerruf dürfen die personenbezogenen Daten nicht mehr für Zwecke der Direktwerbung verwendet werden. Eine Gegenargumentation des Verantwortlichen, dass überwiegende Interessen vorliegen, wie dies beim generellen Widerspruchsrecht nach Art 21 Abs 1 DSGVO möglich ist, ist im Falle der Direktwerbung nicht möglich.
Eine Einwilligung ist allerdings in der Regel aus telekommunikationsrechtlicher Sicht notwendig. Der sog Cold Calling-Paragraf des TKG sieht vor, dass für die Zusendung elektronischer Post zur Direktwerbung, einschließlich SMS, eine Einwilligung notwendig ist. Direktwerbung iSd TKG wird weit ausgelegt, so dass fast sämtliche Kommunikation über das Unternehmen darunterfällt. Die Einwilligung ist lediglich dann nicht notwendig, wenn
der Absender die Kontaktinformation für die Nachricht iZm dem Verkauf oder einer Dienstleistung an seine Kunden erhalten hat,
diese Nachricht zur Direktwerbung für eigene ähnliche Produkte oder Dienstleistungen erfolgt,
der Empfänger klar und deutlich die Möglichkeit erhalten hat, eine solche Nutzung der elektronischen Kontaktinformation bei deren Erhebung und zusätzlich bei jeder Übertragung kostenfrei und problemlos abzulehnen und
der Empfänger die Zusendung nicht von vornherein, insb nicht durch Eintragung in die in § 7 Abs 2 ECG genannte Liste (sog Robinsonliste), abgelehnt hat.
S. 197Es müssen sämtliche oben genannten Erfordernisse erfüllt sein, damit die Ausnahme schlagend wird. Bei Fehlen nur einer der Erfordernisse, muss die Einwilligung eingeholt werden. Die Einwilligung, sofern notwendig, muss jedenfalls vor dem ersten Versand erfolgt sein. Eine nachträgliche Einholung der Einwilligung ist praktisch sehr schwer umsetzbar. Die (nachträgliche) Abfrage der Einwilligung per E-Mail ist nämlich ebenfalls als Direktwerbung zu qualifizieren und wäre somit nicht zulässig.
In der Praxis sollte jedenfalls bei Erhebung der entsprechenden Daten die Einwilligung eingeholt werden. Bei Registrierung oder beim Ausfüllen eines Onlineformulars kann dies durch eine entsprechende Checkbox erfolgen. Wenn Kontakte offline ausgetauscht werden, zB über Visitenkarten, sollte das Gegenüber gefragt werden, ob das Zusenden von Newsletter/Werbemailings in Ordnung ist und dies entsprechend mit Datum auf der Visitenkarte vermerkt werden.
Die österreichische Datenschutzbehörde hat klargestellt, dass die Einwilligung nach dem TKG grundsätzlich den Anforderungen der DSGVO genügen muss. Dh, dass ein aktives Tun durch den Betroffenen notwendig ist. Für die aktive Einwilligung ist auch das Setzen eines Häkchens in einer Checkbox grundsätzlich ausreichend, eine vorausgefüllte Checkbox darf jedoch nicht verwendet werden. Darüber hinaus sind auch die Vorgaben bzgl Kopplungsverbot, Freiwilligkeit und informierte Zustimmung (siehe Kapitel 3.2.1.1.) zu beachten.
Aufgrund der Anonymität im Internet können grundsätzlich Zweifel daran bestehen, dass bei einer Newsletter-Anmeldung tatsächlich die Betroffene die Einwilligung erteilt hat. Es ist nicht undenkbar, dass bewusst eine falsche E-Mail-Adresse angegeben wird oder durch einen Tippfehler ein falscher Adressat beschickt wird. Um hier Gewissheit zu schaffen und die Einwilligung korrekt zu dokumentieren, hat sich in der Praxis das sog Double-Opt-In etabliert. Hierbei erhält der Empfänger nach erfolgter Anmeldung ein Bestätigungs-E-Mail, mit dem die Anmeldung bestätigt wird. Dadurch kann sichergestellt werden, dass der Empfänger der E-Mail entsprechend einwilligt.
Neben den Anforderungen an die Einwilligung ist auch die Informationspflicht gem Art 12 ff DSGVO zu bedenken (siehe Kapitel 4.2.). Diese kann in der Praxis sehr gut mit der Newsletter-Anmeldung oder einer Registrierung mittels Nutzerkonto verbunden werden. Die notwendigen Informationen können somit gut erkennbar in der allgemeinen Datenschutzerklärung enthalten sein. In der Anmeldung wird ist darauf zu verweisen und verlinken.
Ich möchte einen jederzeit abbestellbaren Newsletter per E-Mail erhalten, der mich über die Produkte der ABC GmbH und den damit verbundenen Updates informiert. Ich habe die Datenschutzerklärung zur Kenntnis genommen und akzeptiere sie.
8.5.2. Ist ein Auftragsverarbeitungsvertrag notwendig?
Gerne werden auch zum Versand von Newsletter/Werbemailings Dienstleister eingesetzt, um hier den administrativen Aufwand effizienter zu gestalten. Diese Dienstleister sind in der Regel als Auftragsverarbeiter zu qualifizieren, da sie die Empfängerdaten auf Weisung und im Auftrag des Versenders verarbeiten. Bei der Auswahl des Dienstleisters sollten daher datenschutzrechtliche Aspekte ausreichend berücksichtigt werden, wie zB Datensicherheitsmaßnahmen und Ort der Verarbeitung. Ebenso ist ein Auftragsverarbeitungsvertrag notwendig (siehe Kapitel 6.1.). Sofern der Dienstleister in einem Drittland mit nicht angemessenen Datenschutzniveau sitzt und die Daten dort verarbeitet werden, sind zusätzliche Garantien notwendig (siehe Kapitel 6.4.2.).
8.6. M&A-Transaktionen
Bei M&A-Transaktionen, wie zB Finanzierungsrunde, werden oft personenbezogene Daten von Arbeitnehmer*innen oder Kund*innen offengelegt. Es ist dabei wichtig, die jeweiligen datenschutzrechtlichen Rollen richtig zuzuordnen. Übermittler und Empfänger agieren zumeist als eigenständigen Verantwortliche. Auch Berater, wie Rechtsanwält*innen oder Steuerberater*innen sind in den meisten Fällen datenschutzrechtliche Verantwortliche. Dienstleister, die einen Datenraum anbieten, sind hingegen in der Regel Auftragsverarbeiter.
Eine Übermittlung der Daten ist aus datenschutzrechtlicher Sicht in den meisten Fällen zulässig, sofern dabei auf die notwendigsten Daten eingeschränkt wird. Generell sollte je nach Transaktion sowie Stadium eine abgestufte Offenlegung stattfinden. Am besten wäre die Offenlegung von anonymisierten Daten.
Wenn bereits bei Erhebung der personenbezogenen Daten eine Information über die mögliche Übermittlung und Verarbeitung iZm M&A-Transaktionen gegeben wurde, kann eine gesonderte Information im Anlassfall grundsätzlich vermieden werden. Ansonsten müssten die Betroffenen bei jeder geplanten Transaktion vorab informiert werden.
IZm M&A-Transaktionen, wie zB Unternehmenskäufe, Finanzierungsrunden etc, werden regelmäßig Unternehmensdaten im Rahmen von Due-Diligence-Prüfungen ausgetauscht. Due-Diligence-Prüfungen sind Unternehmensprüfungen bzgl rechtlicher, wirtschaftlicher und technischer Parameter, um ua potenzielle Risiken S. 199aufzudecken und den Unternehmenswert einschätzen zu können. Dabei werden zumeist Daten von Kund*innen, Lieferant*innen, Dienstleister*innen, Verträgen und Mitarbeiter*innen überprüft. Es sind also im Regelfall personenbezogene Daten betroffen, weshalb die Beachtung der datenschutzrechtlichen Vorschriften unumgänglich ist.
8.6.1. Wer nimmt welche Rolle ein?
Zuerst gilt es die datenschutzrechtliche Rollenverteilung zwischen den einzelnen Beteiligten an einer Transaktion aufzuklären. Beteiligte sind in erster Linie die betroffenen Unternehmen sowie deren Organe bzw mögliche Investoren, aber auch andere Dritte wie zB Unternehmensberater*innen, Wirtschaftsprüfer*innen, Anwält*innen, Steuerberater*innen etc müssen berücksichtigt werden. Hinzu kommen noch etwaige Dienstleister, wie zB Betreiber von digitalen Datenräumen.
Die Hauptakteure (Verkäufer*innen, Käufer*innen, Investor*innen) sind grundsätzlich als eigenständige Verantwortliche im datenschutzrechtlichen Sinn zu sehen. Sie bestimmen Mittel und Zweck der Datenverarbeitung getrennt voneinander und haben daher auch eigenverantwortlich sicherzustellen, dass die Verarbeitung nach den Vorschriften der DSGVO erfolgt.
Berater*innen wie Anwält*innen, Wirtschaftsprüfer*innen und Steuerberater*innen werden im Zuge von M&A-Transaktionen grundsätzlich nicht aus eigenem Interesse tätig, sondern werden von den vorgenannten Hauptakteuren beauftragt. Aufgrund ihrer Tätigkeit ist aber in der Regel davon auszugehen, dass auch sie eigenständige Verantwortliche sind und nicht als Auftragsverarbeiter tätig werden. Die Berater*innen bestimmen zumeist selbst, welche Daten sie benötigen, um ihre Leistung zu erbringen und sind auch in der Prüfung der Daten nicht an Weisungen der jeweiligen Auftraggeber*innen gebunden.
In bestimmten Fällen kann aber auch eine gemeinsame Verantwortlichkeit von Beteiligten vorliegen. Wie in Kapitel 2.6.2. dargestellt, liegt gemeinsame Verantwortlichkeit dann vor, wenn zwei oder mehrere Verantwortliche gemeinsam über Zweck und Mittel zur Verarbeitung bestimmen. Die Abgrenzung kann hier oft sehr schwierig sein, da es keine genauen Vorgaben gibt. In der Praxis wird die gemeinsame Verantwortlichkeit wohl selten vorliegen und nicht zwischen Verkäufer und Interessenten oder im Kernbereich der Transaktion auftreten. Wenn zB der Verkäufer gemeinsam mit einer Beraterin einen digitalen Datenraum erstellt und hier Zugriffsdaten der Mitarbeiter*innen von Interessent*innen verarbeitet werden, kann bzgl dieser Verarbeitung eine gemeinsame Verantwortlichkeit S. 200vorliegen. In diesem Fall ist eine entsprechende Vereinbarung gem Art 26 DSGVO notwendig.
Bei der Beauftragung von Datenverarbeitungsdienstleistungen, etwa einen Datenraum- oder Cloud-Anbieter, wird dieser in der Regel als Auftragsverarbeiter für den jeweiligen Beteiligten tätig. Hier ist ein entsprechender Auftragsverarbeitungsvertrag gem Art 28 DSGVO notwendig. Zur allgemeinen Unterscheidung der verschiedenen Rollen siehe Kapitel 2.6.
Im Vorfeld einer Transaktion bzw der Due-Diligence-Prüfung sollte frühzeitig geprüft und dokumentiert werden, wie das Verhältnis zu Beteiligten aus datenschutzrechtlicher Sicht einzustufen ist und welche Vereinbarungen notwendig sind. Möglich sind Auftragsverarbeitungsvertrag (siehe Kapitel 6.1.), Vereinbarung für gemeinsame Verantwortliche (siehe Kapitel 6.2.) oder ein Vertrag über getrennte Verantwortung (siehe Kapitel 6.3.).
8.6.2. Unter welchen Voraussetzungen ist eine Datenverarbeitung zulässig?
Für alle Datenverarbeitungen im Zuge der M&A-Transaktion muss eine entsprechende Rechtsgrundlage nach Maßgabe der DSGVO vorliegen. Das betrifft insb Erhebungen, Übermittlungen, Verwendungen und Speicherungen, die ein Verantwortlicher vornimmt.
Grundsätzlich könnte man annehmen, dass sämtliche Verarbeitungen zur Vertragserfüllung bzw für vorvertragliche Maßnahmen notwendig sind, steht doch am Ende der Transaktion der (beabsichtigte) Abschluss eines entsprechenden Vertrags. Problem hierbei ist, dass die Betroffenen nicht Vertragspartei sind. Dies ist aber nach Art 6 lit b DSGVO Voraussetzung. Diese Rechtsgrundlage kommt daher nicht zur Anwendung.
Die Einwilligung der Betroffenen könnte zwar eine gültige Rechtsgrundlage bieten, ist aber äußerst unpraktikabel. Zum einem würde die Einholung der Einwilligungen von Kund*innen, Mitarbeiter*innen, Lieferant*innen etc einen enormen administrativen Aufwand bedeuten. Zum anderen könnten einzelne Personen die Transaktion gefährden oder sogar verhindern, indem sie ihre Einwilligung nicht erteilen oder eine erteilte Einwilligung widerrufen.
In der Regel wird man sich daher auf den Erlaubnistatbestand der berechtigten Interessen berufen können, da dieser am praktikabelsten erscheint. Für die Rechtmäßigkeit ist aber ein berechtigtes Interesse nicht allein ausreichend. Vielmehr müssen die Daten auch für den jeweiligen Zweck erforderlich sein bzw darf der Zweck nicht durch schonendere Weise erreicht werden können. In der Praxis S. 201bedeutet das, dass je nach Art der personenbezogenen Daten und je nach Stadium der Transaktion eine Interessenabwägung stattzufinden hat. Während die Offenlegung bestimmter Daten in der ersten Phase noch nicht gerechtfertigt sein könnte, könnte diese aber bei den letzten Verhandlungen durchaus zulässig sein.
Um Interessent*innen dennoch möglichst umfassend Informationen geben zu können, empfiehlt es sich in der Praxis, den Personenbezug so gut es geht zu entfernen. Dies kann zB durch Anonymisierung (zB Schwärzung) erfolgen oder in Gestalt von sog Fact Books, in denen die Daten in aggregierter Form dargestellt werden, ohne dass sich daraus ein Personenbezug ergibt.
Jedenfalls sollten die einzelnen Verarbeitungsschritte genau auf die datenschutzrechtliche Compliance geprüft und diese Prüfungen im Lichte der Rechenschaftspflicht ausreichend dokumentiert werden, da der jeweils Verantwortliche die Rechtmäßigkeit der Verarbeitung nachweisen können muss.
Die Hauptakteure sollten im Rahmen der Vorbereitung der Transaktion in Bezug auf die für die Due-Diligence-Prüfung voraussichtlich benötigten Daten frühzeitig eine dokumentierte Interessenabwägung durchführen, um bestimmen zu können, ob eine entsprechende Rechtsgrundlage für die Verarbeitung vorliegt. Können keine berechtigten Interessen argumentiert werden, sollten die davon betroffenen Daten entweder nicht verarbeitet oder anonymisiert (zB durch Schwärzen) werden.
Bei Übermittlungen in Drittländer muss die Rechtmäßigkeit der Übermittlung gesondert geprüft werden und allenfalls müssen zusätzlich geeignete Garantien geschaffen werden (siehe Kapitel 6.4.2.).
8.6.3. Dürfen sämtliche Arbeitnehmer-/Kundendaten offengelegt werden?
Auch bei der Übermittlung/Verarbeitung von personenbezogenen Daten iZm M&A-Transaktionen ist der Grundsatz der Datenminimierung einzuhalten (siehe Kapitel 3.1.5.). Die personenbezogenen Daten müssen daher auf das Notwendigste reduziert werden. Es empfiehlt sich, hier im Zuge der Bereitstellung von Informationen entsprechende Abstufungen nach Wichtigkeit und Transaktionsfortschritt zu setzen. Eine Offenlegung sämtlicher Daten wird in der Allgemeinheit nicht zulässig sein.
Eingangs sollte es aber zulässig sein, zumindest Informationen über key employees, wie Geschäftsführung und Top Management, sowie die wichtigsten Geschäftspartner*innen (Kund*innen, Lieferant*innen) offenzulegen. Die restlichen InforS. 202mationen sollten bestenfalls nicht oder in anonymisierter Form übermittelt werden. Je nach Fortschritt der Transaktion ist auch denkbar, dass sukzessive weitere Informationen offengelegt werden können, sofern dies notwendig ist.
Die Beteiligten müssen so früh wie möglich klarstellen, ob und welche personenbezogenen Daten über welche Betroffenen übermittelt werden. Dafür sollten Kategorien von Betroffenen, Daten und Übermittlungen erstellt werden.
ISd Datenminimierung sollten nur unbedingt notwendige Daten offengelegt werden. Soweit möglich sollte der Personenbezug, zB durch Schwärzen, entfernt werden. Klarnamen von Mitarbeiter*innen sind in der Regel nicht notwendig, außer es handelt sich um key employees.
8.6.4. Wie müssen Betroffene über die Datenverarbeitung informiert werden?
Ein weiteres Thema ist die Information der Betroffenen nach Art 12 ff DSGVO (siehe Kapitel 4.2.). Nachdem in den meisten Fällen die personenbezogenen Daten, die im Rahmen einer M&A-Transaktion übermittelt werden nicht ursprünglich für diesen Zweck erhoben worden sind, liegt eine Zweckänderung vor. Die Verarbeitung der Daten zum Zweck einer M&A-Transaktion ist nämlich für Betroffene wohl nicht absehbar. Über eine solche Zweckänderung und die neu beabsichtigte Verarbeitung sind die Betroffenen ebenso zu informieren, wie bei der Erhebung der Daten für die ursprünglichen Zwecke.
Der Informationserteilung stehen in der Praxis aber oft Geheimhaltungsinteressen der Beteiligten, zumindest in der Anfangsphase, entgegen. Potenzielle Transaktionen werden gerne so lang wie möglich geheim gehalten, was durch die Erteilung der Information erschwert wird. Zudem können gesetzliche Geheimhaltungsverpflichtungen bestehen, die eine Offenlegung der geplanten Transaktion verbieten. Es muss daher ein möglichst schonender Weg gefunden werden, den Informationspflichten nachzukommen. Die Informationspflicht trifft in der Regel einerseits die Verkäuferseite (Art 13 DSGVO), da von ihr die Daten übermittelt werden, aber auch die Käufer-/Investoren-/Beraterseite (Art 14 DSGVO), da von dieser letztendlich im Zuge der Prüfungen die Daten verarbeitet werden.
Auf Verkäuferseite besteht grundsätzlich die Möglichkeit, bereits in der allgemeinen Datenschutzerklärung einen entsprechenden Passus aufzunehmen, der den Verarbeitungszweck M&A-Transaktionen abdeckt. Somit muss im Falle einer konkreten Transaktion keine gesonderte Information erfolgen.
Auf Seiten der Datenempfänger (Käufer*innen, Investor*innen, Berater*innen) ist es jedoch komplizierter, da die Information nicht allgemein erteilt werden kann, S. 203sondern bei jeder Transaktion erfolgen müsste. Bei der indirekten Erhebung von Daten sieht Art 14 Abs 5 DSGVO jedoch einige Ausnahmen vor (siehe dazu Kapitel 4.2.2.3.). Es ist denkbar, dass im Falle von M&A-Transaktionen das Vorliegen einer solchen Ausnahme argumentiert werden kann, sodass entweder
die Erteilung der Informationen an die betroffene Person sich als unmöglich erweist oder einen unverhältnismäßigen Aufwand darstellt oder
die personenbezogenen Daten gem dem Unionsrecht oder dem Recht der Mitgliedsstaaten einem Berufsgeheimnis unterliegen.
Auf den letzten Ausnahmetatbestand werden sich Berater*innen, wie Rechtsanwält*innen, berufen können, die somit keine eigene Information erteilen müssen.