Datenschutz-Ticker: Novelle BDSG, aktuelle Bußgelder

HMDATA Datenschutz-Newsletter 10/2023, Autor: Dipl.-Ing. (FH) Harald Müller-Delius, MBA, ©HMD 2024

Dass die aktuelle Datenschutzgesetzgebung nicht perfekt ist, hat sich in den Gedächtnissen der Verantwortlichen sicherlich in einer resignierten Auslegung und Umsetzungsparalyse manifestiert. Allerdings ist bei genauer Betrachtung und Kenntnis die Anwendung von DSGVO und BDSG wesentlich besser als auf dem Niveau von Stammtischdiskussion kolportiert.
Vor allem, weil innerhalb der jeweiligen Gesetzgebung auch eine Evaluierung von Umsetzung, praktischer Anwendbarkeit und Wirksamkeit verankert ist. Das war 2020 nach zwei Jahren bei der DSGVO der Fall, 2021 wurde das BDSG nach 3 Jahren auf den Prüfstand gestellt.

Zur Novellierung des BDSG liegt nun aktuell der Referentenentwurf vor, der zusammengefasst folgende Anpassungen beinhaltet:

Länderübergreifende Auslegung

Deutschland hat als einziges Land der EU Datenschutzaufsichten auf Länderebene. Das hat in der Vergangenheit durchaus zu unterschiedlichen Auslegungen bei der Umsetzung in den jeweiligen Bundesländern geführt. Insb. bei den sog. Joint-Controllern, also bei der vertraglichen Gestaltung der gemeinsamen Verantwortlichkeit bei Verarbeitungsvorgängen, bei Unternehmen in unterschiedlichen Bundesländern hat das zur Komplexität beigetragen.

Es wird fortan eine Regelung geben, die nur eine zuständige Behörde in dem Bundesland des umsatzstärksten Unternehmens vorsieht. Das wird die Bearbeitung von Datenpannen, die Ausführung von Betroffenenrechten, die Erstellung von Datenschutz-Folgeabschätzungen (DSFA) und die Informationspflichten vereinfachen.

Institutionalisierung der Datenschutzkonferenz (DSK)

Als loses Gremium der Länderbehörden hatte die DSK bisher zwar nur informellen Charakter bei der Absprache der Länderbehörden untereinander, deren Entwürfe hatten aber immer äußerst wertvolle Hinweise bei der praktischen Auslegung der DSGVO für Unternehmen parat und bieten den Unternehmen auch Rechtssicherheit bei der Umsetzung.
Die DSK soll nun im BDSG als Institution verankert werden. Damit wird die DSK aus verfassungsrechtlichen Gründen zwar kein Exekutivgremium, deren Beschlüsse erhalten aber als richtungsweisende Entscheidungsgrundlagen in der Auslegung der DSGVO mehr Gewicht für die Unternehmen.

Recht auf Auskunft nach Art. 15 DSGVO

Eines der meistgenutzten und gerichtlich diskutierten Anwendungsfälle der DSGVO ist das Recht auf Auskunft von Betroffenen gegenüber dem verarbeitenden Unternehmen. So gibt es mittlerweile unzählige Urteile zur Auslegung von OLGs, über den BGH bis zum EuGH. Fazit: es gibt viele Details zu beachten und die Auslegung erfolgt immer mehr zu Gunsten der Betroffenen. Die Novellierung des BDSG sieht hier eine weitere Klarstellung vor. Trotz umfangreichen Anspruchs auf Auskunft werden hier Ausnahmen definiert. Insb. wenn bei der Auskunft Betriebs- oder Geschäftsgeheimnisse des Verantwortlichen offenbart würden oder das Interesse an Geheimhaltung des Unternehmens dem Interesse der betroffenen Person entgegensteht.
Das wiederum wird aber auch eine Frage des individuellen Sachverhaltes werden, insofern gilt auch hier wie immer: exakte Prozesse und gute Dokumentation der Verfahren.
Es gibt noch einige weitere Sachverhalte, die in der Novellierung enthalten sind, diese sind jedoch meist nur institutionellem Charakters und haben keine direkten Auswirkungen auf die praktische Umsetzung durch Unternehmen.

Insofern gilt: es wird keine großen Änderungen geben, in Details gibt es bei bestimmten Anwendungen eine Erleichterung bei der Anwendung von DSGVO und BDSG. Auf alle Fälle aber wird es keinen zusätzlichen Aufwand geben.

Aktuelle Bußgelder

Immer gut, wenn es anderen passiert. Trotzdem sollte man daraus auch für sich lernen und ganz im Sinne der Prävention die eigene Datenpanne von sich abwenden. Und insbesondere dann, wenn es sich um so alltägliche Datenpannen handelt, dass man selbst vermutlich schon öfters betroffen war.
Die beiden aktuellen vorgestellten Bußgelder sollen hierbei nochmals auf die Dringlichkeit bei der eigenen Prävention aufmerksam machen.

• Versehentlich weiteren Empfänger in CC der E-Mail gesetzt

  Der Einsatz des CC-Feldes ist immer mit besonderer Vorsicht zu genießen: CC heißt doch letztlich, immer einen Dritten mit in Kenntnis zu setzen. Das kommt bei der Verarbeitung von personenbezogenen Daten einer unrechtmäßigen Offenlegung gleich, außer derjenige in CC ist ausdrücklich berechtigt, Zugang zu den Daten erlangen zu dürfen.
  Insofern gilt: CC nur, wenn man ausdrücklich die rechtliche Situation des zusätzlichen Empfängers oder die Bedenkenlosigkeit des Inhaltes der E-Mail geprüft hat.
  Ein Mitarbeiter eines spanischen Unternehmens hat hierbei personenbezogene Daten von vier Kunden einem fünften, unberechtigten Kunden mit Hilfe des CC-Feldes Daten offengelegt. Insb. auch dadurch, dass die angeschriebenen Kunden per Antworten-Funktion allen Empfängern der E-Mail personenbezogene Daten zurückgesendet haben - also auch dem unbeteiligten Empfänger des CC-Felds.
  Durch eine ungeschickte Reaktion des Mitarbeiters und durch entsprechende Mitteilungen der betroffenen Kunden bzgl. der Offenlegung entscheid sich das Unternehmen zur Meldung der Datenpanne an die Datenschutzbehörde.
  Die Datenschutzbehörde stufte die Datenpanne als mit 4.800 Euro belegtem Bußgeld ein und verwies auf eine "milde Strafe" durch das Schuldeingeständnis und das kooperative Verhalten des Unternehmens.
  

  Fazit: 5-Sekunden-Durchschnaufregel beachten. Auf Grund des stetig zunehmenden Potenzials von Cyber- und Phisching-Attacken werden die Aufsichtsbehörden das Risiko der Datenverarbeitung durch E-Mail sicherlich verstärkt in den Fokus nehmen.

• Fehlerquelle Consent-Banner

  Ein immerwährendes Frust-Thema sowohl bei Anbietern als auch Konsumenten von Web-Diensten ist der Consent-Banner. Vorweg: wer die beim Besuch seiner WebSite anfallenden personenbezogenen Daten nur für eigene Zwecke ohne Drittdienstleister verwendet, braucht keinen Consent-Banner. Die Verarbeitung wird konform auf Einwilligung zum Zeitpunkt der Erhebung oder auf ein seriöses berechtigtes Interesse gestützt.
  Wer aber "im Hintergrund" Daten erfasst und an Dritte zu kommerziellen oder zusätzlichen, nicht durch die eigentliche Funktion der WebSite hervorgehende Dienste nutzt, muss sich ZUVOR die Einwilligung einholen. Und das auf dem üblichen korrektem Weg: transparent und informierend, funktional, DSGVO-konform, ohne Nudging - also ohne Betrugsabsicht. Das kann im Einzelfall passieren ("2-Klick-Lösung"), per Login- oder Registrierungsfunktion mit Einwilligung oder eben per Consent-("Einwilligungs")-Layer. Das gilt auch für Cookies, der Inhalte Daten mit Personenbezug enthalten (DSGVO) oder persistent (TTDSG) gespeichert werden.
  Werden Drittdienste vor Einwilligung geladen, enthält der Consent-Layer Nudging oder nicht abwählbare Funktionen, werden einwilligungspflichtige Funktionen vor Genehmigung durch den Consent-Layer genutzt, wird nicht genug informiert oder transparent der Einsatzzweck geschildert oder keine Alternativen zur Abwahl angeboten droht - völlig zu Recht - eine behördliche Anzeige und damit ein Bußgeldverfahren.
  So erging es auch einem italienischen Modeunternehmen, das zwar einen Consent-Layer eingebettet hatte, dieser aber nicht alle erforderlichen Einwilligungen oder technisch notwendigen Funktionalitäten anbot. Auch war der Consent-Layer derart gestaltet, dass das "Ablehnen" wesentlich unauffälliger als das "Zustimmen" präsent war. Auch muss der Widerruf ebenso einfach wie die Erteilung erfolgen können, auch dies war nicht vorhanden.
  Im Gesamtzusammenhang wurden dem Unternehmen deswegen seitens der Behörde nach DSGVO und §25 TTDSG ein Bußgeld in Höhe von 5.000 Euro verhängt.

  Fazit: auch diese Bußgeld ist vermeidbar durch geeignete Umsetzung - auch völlig ohne Funktionsverlust.