Datenschutz

Ohne ausreichenden IT-Schutz sind Firmen heutzutage den steigenden Bedrohungen durch Internetangriffen sowie Datenverlusten wehrlos ausgeliefert. Die Konsequenzen könnten katastrophal sein und sogar bis zur Zahlungsunfähigkeit leiten.

Am 12.05.2023 wurde das neue Hinweisgeberschschutzgesetz (HinSchG) vom Bundesrat bestätigt. Es wird Mitte Juni 2023 in Kraft treten und setzt hohe Anforderungen an Unternehmen. Die Fristen für die Umsetzung sind eng, und die Bußgelder für die Nichtumsetzung sind hoch.

Einschätzung zur Nutzung von Mailchimp beim Versand von Newslettern

Mailchimp ist eine cloudbasierte Plattform zum Management und Versand von Newslettern. Der Anbieter der Plattform ist das US-amerikanische Unternehmen Rocket Science Group LLC mit Sitz in Atlanta, GA. Der korrekte Name der Plattform ist, seit der Übernahme im Jahr 2021, „Intuit Mailchimp“.

Als Datenschutzbeauftragte raten wir aus aktueller Sicht von der Nutzung dieser Plattform ab und begründen das im Folgenden. Sollten Sie trotzdem nicht auf das Tool verzichten wollen, stellen wir im Anschluss dar, wie zumindest versucht werden kann, den Einsatz abzusichern und zu rechtfertigen, aber mit hohem Risiko.

Wir erstellen diese Information, damit Sie verstehen, dass wir als Ihr Berater in einem Dilemma zwischen rechtlich einwandfreier Würdigung auf der einen Seite und praktisch nutzbarer Lösung sind

Hintergrund:  

Die Nutzung von Mailchimp wird in Deutschland, aber auch im gesamten räumlichen Anwendungsbereich der Datenschutzgrundverordnung (DSGVO), kritisch betrachtet, da der Einsatz nach Ansicht der Aufsichtsbehörden nicht datenschutzkonform möglich sei. Grundlage der Kritik ist vor allem die Datenübertragung von personenbezogenen Daten in die USA vor dem Hintergrund der diesbezüglichen Entscheidung des Europäischen Gerichtshofs vom Juli 2020:

Der EuGH hat im sogenannten Schrems II Urteil des Europäischen Gerichtshofs (EuGH, (Rechtssache C 311/18 vom 16.07.2020) im Jahr 2020 entschieden, dass personenbezogene Daten von EU-Bürgern in die USA nur dann übermittelt werden dürfen, wenn ein angemessenes Datenschutzniveau gewährleistet ist. Da Mailchimp, ein US-amerikanisches Unternehmen, personenbezogene Daten von EU-Bürgern verarbeitet und speichert, ist es fraglich, ob der Einsatz von Mailchimp datenschutzkonform möglich ist. 

Der EuGH hat festgestellt, dass die EU-Standardvertragsklauseln, die häufig von Unternehmen wie Mailchimp verwendet werden, um die Übermittlung personenbezogener Daten in die USA abzusichern, nicht ausreichend sind, um ein angemessenes Datenschutzniveau zu gewährleisten. Das liegt daran, dass US-amerikanische Behörden unter Umständen Zugang zu diesen Daten haben und diese auf eine Weise nutzen können, die nicht mit den Datenschutzstandards der EU vereinbar ist.

Aus diesem Grund müssen Unternehmen, die personenbezogene Daten von EU-Bürgern in die USA übermitteln möchten, zusätzliche Maßnahmen ergreifen, um ein angemessenes Datenschutzniveau zu gewährleisten. Beispielsweise könnten Unternehmen versuchen, die Schutzmaßnahmen zu bewerten, eine Einwilligung der betroffenen Personen einzuholen oder auf alternative Dienstleister zurückgreifen, die ihren Sitz innerhalb der EU haben und somit den europäischen Datenschutzstandards entsprechen.

In Anbetracht dieser Tatsachen besteht das Risiko, dass der Einsatz von Mailchimp nicht datenschutzkonform ist, wenn ein Unternehmen durch die Nutzung des Tools personenbezogene Daten von EU-Bürgern in die USA übermittelt und keine zusätzlichen Maßnahmen ergriffen hat, um ein angemessenes Datenschutzniveau zu gewährleisten.

Was könnte passieren, wenn man Mailchimp trotzdem nutzt?

Grundsätzlich gibt es zwei Risiken 

1. a) Die Sanktionierung durch Aufsichtsbehörden 

Wenn ein Unternehmen trotz des kritischen Transfers personenbezogener Daten in die USA Mailchimp nutzt, kann es sich einer Verwarnung oder einem Bußgeld durch die Datenschutzbehörden in der EU ausgesetzt sehen. Die Höhe eines Bußgelds hängt von verschiedenen Faktoren ab, wie z.B. der Schwere der Verstöße, der Art und Menge der betroffenen Daten, der Dauer der Verstöße und der Größe des betroffenen Unternehmens. 

Bisher gab es keine Geldbußen für Unternehmen, die Mailchimp eingesetzt haben. Gleichwohl hat die bayrische Datenschutzaufsicht BayLDA einem Unternehmen die weitere Nutzung von Mailchimp unter Androhung eines Bußgeldes untersagt. Das kann auch einen hohen finanziellen Schaden verursachen, wenn aufwändige Kampagnen auf einmal nicht mehr nutzbar sind und auf eine andere Plattform umgestellt werden müssen.

Die Kritik der bayrischen Aufsichtbehörde hat sich vorerst nur auf die fehlende Abwägung des als Rechtsgrundlage angeführten berechtigten Interesses bezogen. In diesem Sinne könnte vermutet werden, dass man durch ausführliche Abwägung zugunsten des Unternehmens einer Sanktion aus dem Wege geht. Ob dem tatsächlich so wäre, ist zu bezweifeln. 

1. b) Die Schadensersatzansprüche Betroffener

Darüber hinaus können betroffene Personen auch Schadensersatzansprüche geltend machen, wenn ihre Rechte aufgrund der Datenübertragung Ihrer Daten in die USA durch die Verwendung von Mailchimp verletzt wurden. Dies kann zu erheblichen finanziellen Verpflichtungen für das Unternehmen führen.

Dieses Vorgehen nutzen aktuell mehrere deutsche Anwaltskanzleien aus, um im Namen Ihrer Mandantschaft massenhaft Auskunftsansprüche geltend zu machen, die dann im Nachgang, je nach Ergebnis, durch Schadensersatzansprüchen aufgrund der Datenübermittlung in ein unsicheres Drittland erweitert werden. Auch kommt es zur Forderung von Unterlassungserklärungen. 

Auch wenn diese Art der Forderungen im genannten Zusammenhang strittig und ggfs. rechtsmissbräuchlich sind, ist ein Unternehmen sehr wohl verpflichtet, die Auskunftsansprüche zu erfüllen und sich außerdem ggfs. gegen weitere Forderungen wie Schadensersatz oder Unterlassung zu wehren. Da diese Anfechtungen immer nur mit anwaltlicher Hilfe durchgeführt werden sollten, entsteht so zumindest ein hoher zeitlicher und finanzieller Aufwand, auch wenn damit die eigentlichen Forderungen abgewendet würden.

Unsere Einschätzung

Wir empfehlen nach wie vor dringend, auf die Nutzung von Mailchimp zu verzichten, bis eine neue Regelung zur Übertragung von Daten in die USA in Kraft tritt und damit eine sichere Grundlage für den Transfer geschaffen wird.Das könnte z.B. ein Nachfolgeinstrument des Privacy Shield sein oder ein Angemessenheitsbeschluß der EU-Kommission im Sinne des Art. 45 DSGVO. Aufgrund der sich ständig ändernden Einschätzungen der deutschen Aufsichtsbehörden sehen wir ein hohes Risiko, vor allem durch Beschwerden von Betroffenen in den Fokus einer Prüfung zu geraten, die dann ggfs. nicht nur Unzulänglichkeiten beim Newsletterversand zu Tage fördern könnte.

Darüber hinaus schätzen wir die Gefahr einer Schadensersatzforderung im Rahmen einer zwar rechtsmissbräuchlichen, aber zunächst Arbeit erzeugenden sog. „Abmahnkampagne“ als hoch ein. Auch wenn abzuwarten bleibt, ob Aufsichtsbehörden und Gerichte einer solchen Forderung folgen würden, erzeugt sie im zunächst Aufwand und Kosten 

Was tun?

Es gibt ausreichend europäische Newsletter-Tools, die datenschutzkonformes Versenden von Newslettern ermöglichen. Es gibt aus unserer Sicht keinen Grund (außer Gewohnheit oder Nachlässigkeit), nicht auf diese Möglichkeiten auszuweichen. Lassen Sie sich beraten.

Was, wenn Sie nicht auf uns hören möchten?

Wer trotz unserer Warnungen dennoch an Mailchimp oder einer anderen Lösung festhalten möchte, die Daten in unsichere Drittländer wie die USA überträgt, dem empfehlen wir zumindest folgende Maßnahmen, um die größten Fallstricke zu vermeiden: 

1. Führen Sie eine interne Prüfung „Datenverarbeitung mit Mailchimp“ durch und dokumentieren Sie sie:
   
   
   1. Warum wollen oder können Sie keine rechtssichereren Alternativen zu Mailchimp nutzen?
   2. Welche personenbezogenen Daten werden überhaupt verarbeitet, wie beurteilen Sie die Sensibilität dieser Daten?
   3. Wie schützt Mailchimp diese personenbezogenen Daten – abgesehen von der Nutzung der EU-Standardvertragsklauseln?
   4. Wägen Sie das Risiko ab.
      
      

2. Aktivieren Sie die 2-Faktor-Authentifizierung für Ihren Mailchimp-Zugang, damit Ihr Login nicht missbraucht werden kann.
   
   
3. Fordern Sie von Mailchimp eine unterschriebene Version der Standardvertragsklauseln an (das geht über die Mailchimp-Website unter Angabe Ihrer Accountdaten) und legen Sie sie zusammen mit der übrigen Dokumentation ab. 

4. Stellen Sie sicher, dass Sie für den Newsletterversand eine eindeutige und nachweisbar dokumentierte Einwilligung des Empfängers erwirkt haben („Double Opt-in“), die sich auch auf Mailchimp bezieht. Nutzen Sie den Mailchimp-Registrierungsprozess, der Ihnen die Möglichkeit bietet, die „DSGVO-Felder“ anzupassen. 

5. Stellen Sie sicher, dass Sie die erteilte Einwilligung jederzeit nachweisen können und Sie auf Verlangen des Betroffenen den Versand des Newsletters und die Verarbeitung seiner Daten zuverlässig und dauerhaft wieder beenden können. 

6. Informieren Sie Ihre Newsletter-Empfänger im Rahmen ihrer Einwilligung umfänglich über Ihre Marketingmaßnahme, über die von Ihnen genutzte Technik und vor allem über die Übermittlung ihrer personenbezogenen Daten in die USA. Das tun Sie am besten in den Datenschutzinformationen (DSI). 

7. Informieren Sie im Rahmen der Datenschutzinformationen (DSI) auch darüber, welche Rechtsgrundlage Sie nutzen möchten. Falls Sie das berechtigte Interesse nach Art. 6 Abs. 1 lit. f) DSGVO nutzen möchten, denken sie unbedingt an die Interessenabwägung und dokumentieren Sie sie ausführlich. Wenn Sie die Einwilligung im Sinne des Art. 49 DSGVO verwenden wollen ( „Ausnahmen für bestimmte Fälle“), so weisen Sie darauf ausführlich hin, erläutern Sie alle Maßnahmen genau und stellen Sie sicher, dass „die betroffene Person in die vorgeschlagene Datenübermittlung ausdrücklich eingewilligt hat, nachdem sie über die für sie bestehenden möglichen Risiken derartiger Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien unterrichtet wurde“.
   
   
8. Stellen Sie für Ihre Website sicher, dass die Cookie-Richtlinie alle Cookies oder Tracking-Technologien beschreibt, die Sie möglicherweise verwenden. 

Haben Sie weitere Fragen?  Rufen Sie uns an oder schreiben Sie uns:
Unsere Datenschutzexperten beraten Sie gerne.

Für die Aufnahmen von Fotos oder Videos bei Firmenveranstaltungen gibt es datenschutzrechtliche Regeln, die vom Unternehmen beachtet werden müssen. Im Folgenden eine Übersicht über die Grundlagen und Empfehlungen für mögliche Umsetzungen.

Das grundsätzliche Problem:
Auch ein Foto stellt im Sinne der Datenschutzgrundverordnung (DSGVO) ein personenbezogenes Datum dar, wenn es die Anforderungen an die Verarbeitung dieser Daten erfüllt, es also zumindest die Person(en), die abgebildet werden, identifizierbar macht.

Diese Information erläutert notwendige Grundlagen, die vor Einführung einer Videoüberwachung zu beachten sind. Sie dient nicht zur konkreten Beratung im Einzelfall. Sie stellt den gesetzlichen Rahmen dar und Sichtweisen der deutschen Aufsichtsbehörden für den Datenschutz und die Informationsfreiheit.  

Immer wieder werden wir gefragt, ob die gemeinsame Nutzung von Nutzerkonten („shared Accounts“) zulässig ist oder ob es datenschutzrechtliche Einwände gibt. Die Antwort ist: JA, die gibt es. 

Was darf und muss man eigentlich tun, wenn Polizei oder Staatsanwaltschaft im Unternehmen nach Daten von Mitarbeitern fragen?

 Es kommt regelmäßig vor, dass Polizei oder Staatsanwaltschaft Unternehmen nach Mitarbeiterdaten fragen.

Die Nutzung von Microsoft Office 365 ist spätestens seit dem EuGH-Urteil zum internationalen Datentransfer („Schrems 2, 2016) umstritten: Da die Programme automatisch Daten in die USA übertragen, wäre ein Einsatz allenfalls mit zusätzlichen Schutzmaßnahmen zulässig – wie diese aber aussehen könnten, war bisher weitestgehend unklar.

AWS ist der Cloud-Service von Amazon, der Daten auf den Servern des Anbieters statt auf eigenen Servern des Kunden speichert. Unternehmen nutzen so den Vorteil, ihre technische Infrastruktur nicht mehr selbst zu verwalten, sondern diese Aufgaben vom Cloud-Anbieter erledigen zu lassen. In der Regel bieten Cloud-Services außerdem viel höhere Sicherheiten vor Datenverlust oder Angriffen, was auch im Sinne der DSGVO erstrebenswert ist.

Was wir bereits lange vermutet und bei unseren Mandanten umgesetzt haben, wird jetzt erstmalig konkret von den Aufsichtsbehörden gefordert: Ein Cookiebanner auf einer Website muss nun einen Button haben, der es dem Benutzer erlaubt, mit einem Klick alle nicht notwendigen Cookies abzulehnen. 

Die 6. Kammer des Verwaltungsgerichts Wiesbaden hat mit Beschluss vom 01.12.2021 einem Antrag stattgegeben und der Hochschule RheinMain im Wege der einstweiligen Anordnung untersagt,

Vor 2 Monaten erklärte der Europäische Gerichtshof den „EU-US Privacy Shield“ für unwirksam. Gleichzeitig äußerte sich der EuGH auch zur Verwendung der sog. Standardvertragsklauseln als Grundlage für die Annahme eines adäquaten Datenschutzniveaus in Drittländern, insbesondere den USA. Viele Unternehmen hängen seitdem buchstäblich in der Luft und suchen nach Lösungen, um vor allem den Datentransfer in die USA abzusichern. Betroffen davon ist nicht nur die Nutzung der Angebote von US-Dienstleistern, sondern oft auch der Datenverkehr innerhalb von Konzernen.

Der europäische Gerichtshof hat am 16. Juli 2020 entschieden, dass Privacy Shield als Garantie für Datenübertragungen in die USA von nun an unwirksam ist. Die Auswirkungen für Unternehmen in Europa sind weitreichend und können gravierende Konsequenzen haben. Nun gibt es außerdem eine vom Europäischen Datenschutzausschuss EDSA. Wir werfen einen Blick auf dieses wichtige Urteil.

Am 3. Juli 2020 veröffentlichte die Berliner Datenschutzaufsichtsbehörde BlnBDI (Berliner Beauftragte für Datenschutz und Informationsfreiheit) eine Stellungnahme zur Nutzung der bekanntesten Videokonferenzdienste. Das Ergebnis ist auf den ersten Blick deutlich und legt nahe, dass diese Dienste aus datenschutzrechtlicher Sicht nicht rechtskonform eingesetzt werden können. Wir werfen einen längeren Blick auf das Dokument und erläutern die Ergebnisse für den Dienst Teams von Microsoft näher.

Gestern hat der Bundesgerichtshof in Karlsruhe (BGH) endlich entschieden, wie mit der Speicherung von Cookies und den zugehörigen Einwilligungen umzugehen sei. Das Urteil wurde nicht nur von uns Datenschützern mit Spannung erwartet, sondern betrifft jeden Betreiber einer Website. Auch wenn die Urteilsbegründung noch fehlt, kann aus der Pressemitteilung bereits erkannt werden, welche weitreichenden Folgen die Entscheidung hat. Lesen Sie hier, was nun gilt und was Sie tun müssen.

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit Maja Smoltczyk, hat die bisher höchste deutsche Strafe wegen Verstößen gegen die EU-Datenschutzgrundverordnung verhängt. Der Bußgeldbescheid in Höhe von 14,5 Millionen Euro richtet sich gegen 

Mit rund 200.000 Euro ahndet die Berliner Datenschutzbeauftragte Maja Smoltczyk diverse Einzelverstöße des Unternehmens Delivery Hero, zu dem die Marken pizza.de und Lieferheld zählen. Der Bescheid ist bereits rechtskräftig. Der niederländische Konzern Takeway.com, der Delivery Hero im April 2019 übernommen hat, hat den Bußgeldbescheid akzeptiert und keine Rechtsmittel eingelegt.

Erste Bußgeldverfahren der Aufsichtsbehörden

VORAB DAS WICHTIGSTE: Wir raten allen unseren Mandanten dringend, ab sofort Tools wie Google Analytics nur noch auf Basis einer zuvor erteilten Einwilligung zu nutzen.

Endlich mehr Klarheit zu Bußgeldern nach der DSGVO

Bislang war völlig unklar, wie ein Bußgeld bei Verstößen gegen die DSGVO bemessen werden wird. Nach Ansicht der Datenschutzkonferenz der Länder DSK ist das nun vorbei und es könnte bald teuer werden. In einem sehr transparenten und übersichtlichen Rechenmodell kann nun einfach überschlagen werden, mit welchen Bußgeldern ein Unternehmen, das gegen die Bestimmungen der Datenschutzgrundverordnung verstößt, rechnen kann:

Im Zuge der DSGVO gab es im letzten Jahr Wirbel um die datenschutzkonforme Nutzung von Cookies und Plugins (wie den Facebook-Likebutton) auf Internetseiten. Es war selbst Experten für Datenschutz wie uns unklar, ob die DSGVO überhaupt anwendbar sei.