Was ist Apple Intelligence?

Apple Intelligence ist ein neues KI-System, das tief in iOS 18, iPadOS 18 und macOS Sequoia integriert ist. Es kombiniert lokale, geräteinterne Verarbeitung („on-device intelligence“) mit einer sicheren Cloud-Infrastruktur, der sogenannten Private Cloud Compute. Die Funktionen reichen von automatischen Textkorrekturen, personalisierten Vorschlägen, Siri-Verbesserungen bis hin zu Funktionen wie Bildbearbeitung, E-Mail-Zusammenfassungen oder generativen Textvorschlägen. Die Besonderheit: Apple setzt auf eine datenschutzfreundliche Architektur, die maschinelles Lernen lokal oder unter strengsten Bedingungen serverseitig ausführt.

Datenschutz-Versprechen von Apple

Um ein hohes Datenschutzniveau zu gewährleisten, hat Apple bisher Folgendes versprochen:

• On-Device Verarbeitung: Datenverarbeitung erfolgt lokal auf dem Gerät.
• Private Cloud Verarbeitung: Verarbeitung erfolgt in der Cloud bei gewissen Fällen, aber unter höchsten Datenschutzstandards.
• Transparenz und Kontrolle: Nutzer können sehen, welche Daten wie verarbeitet werden.
• Keine Datenweitergabe an Dritte: Server verwenden keinen persistenten Speicher, keine Apple-ID wird mit den Daten verknüpft.

Technische Umsetzung: Privacy-by-Design

Apple hat technische Maßnahmen umgesetzt, um Privacy-by-Design (Datenschutzkonformität durch die Technikgestaltung) zu gewährleisten. Es handelt sich um folgende konkrete Maßnahmen:

Architektur der Intelligence Engine:

• Trennung von Nutzerdaten und der Verarbeitung.
• Verwendung von Secure Enclave, dedizierter Hardware-Schutz.
• Keine Persistenz: Server vergessen alles nach der Anfrage.

Audits und Open Source Transparenz:

• Apple ermöglicht unabhängige Prüfungen der Server.
• Software-Code ist öffentlich zugänglich, damit Vertrauen geschaffen wird.

Minimierungsprinzipien:

• Nur notwendige Daten werden verarbeitet.
• Kontextabhängige Entscheidungen, z. B. um Inhalte sinnvoll zusammenzufassen.

Ist Apple Intelligence datenschutzkonform?

Auch wenn Apple betont, keine personenbezogenen Daten zu speichern, gilt: Sobald Inhalte verarbeitet werden, die eine Person identifizieren können (z. B. Namen, Kundeninformationen), handelt es sich im Sinne der DSGVO um personenbezogene Daten. Deshalb ist für ihre Verarbeitung immer eine Rechtsgrundlage notwendig.

Rechtsgrundlage der Verarbeitung

Für die Datenverarbeitung mittels Apple Intelligence sind mehrere Rechtsgrundlagen denkbar. Welche Rechtsgrundlage einschlägig ist, hängt vor allem davon ab, wer und zu welchem Zweck die Daten verarbeitet.

Im Unternehmen ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) oder lit. b (Vertragserfüllung) möglich – aber nur bei klarer Zweckbindung und Risikoabwägung. Da Apple Intelligence nicht gezielt vom Unternehmen gesteuert, sondern benutzerindividuell aktiviert wird, ist hier besondere Vorsicht geboten.

Liegt eine ausdrückliche Einwilligung des Betroffenen vor, so ist die Rechtsgrundlage Art. 6 Abs. 1 lit. a DSGVO. Hier ist aber zu beachten, dass der Betroffene seine Einwilligung jederzeit widerrufen kann. Die Verarbeitung, die nach der Einwilligung und vor dem Widerruf erfolgte, bleibt dabei rechtmäßig.

Datenschutz-Folgenabschätzung (DSFA)

Falls ein Unternehmen regelmäßig sensible Daten nach Art. 9 DSGVO (Gesundheitsdaten, Daten über politische Meinungen, Religionszugehörigkeit u.a.) mittels Apple Intelligence verarbeitet, kann eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO erforderlich sein. Die Unternehmen müssen im Rahmen der DSFA die möglichen Risiken bewerten, dokumentieren und ggf. technische und organisatorische Maßnahmen (TOMs) ergänzen. Mehr zum Thema DSFA können Sie hier erfahren.

Verantwortlichkeit & Kontrolle

Auch wenn ein Datenschutzbeauftragter involviert ist, bleibt Ihr Unternehmen für die Datenverarbeitung verantwortlich. Dies folgt aus dem Art. 24 DSGVO. Dabei müssen Sie vor allem sicherstellen, dass nur datenschutzkonforme Tools genutzt werden. Dies gilt auch dann, wenn Ihre Beschäftigten ihre eigenen Endgeräte nutzen dürfen (Bring-your-own-device, BYOD) oder wenn Ihr Unternehmen sowohl eigene Geräte als auch die Geräte der Beschäftigten benutzt.

Fazit

Apple setzt mit Apple Intelligence neue Maßstäbe für datenschutzfreundliche KI. Die Architektur ist durchdacht, transparent und mit klarer Ausrichtung auf die Prinzipien der DSGVO. Besonders die Trennung von Datenidentität, der Verzicht auf persistente Speicherung und die Einbindung von Open-Source-Prüfbarkeit zeigen, dass Apple das Thema ernst nimmt. Trotzdem bleibt die Verantwortung beim Unternehmen. Apple Intelligence ist nicht automatisch datenschutzkonform im Unternehmenskontext, sondern erfordert eine sorgfältige Prüfung, klare Richtlinien und ggf. technische Einschränkungen.

Empfehlung: Unternehmen sollten Apple Intelligence nicht pauschal aktiv lassen, sondern eine individuelle Bewertung und Entscheidung treffen – idealerweise unter Einbindung des Datenschutzbeauftragten.

Was ist Friendly Captcha?

Friendly Captcha ist eine Lösung zur Spam-Abwehr, die sich von traditionellen Captchas deutlich unterscheidet. Anstatt Nutzern schwierige Bilderrätsel oder Checkboxen vorzusetzen, verwendet Friendly Captcha einen sogenannten „Proof-of-Work“-Ansatz. Dabei generiert der Browser des Nutzers automatisch kryptografische Rechenaufgaben im Hintergrund. Nutzer müssen dadurch keine aktiven Handlungen ausführen – die Validierung erfolgt automatisch und im Hintergrund.

Technisch basiert Friendly Captcha auf offenen Standards und verzichtet explizit auf Tracking und Profilbildung. Durch diese datenschutzfreundliche Herangehensweise gewinnt Friendly Captcha zunehmend Beliebtheit, vor allem in der EU, wo Datenschutz eine besondere Rolle spielt (siehe auch EU Captcha).

Datenschutzrechtliche Bewertung von Friendly Captcha

Aus datenschutzrechtlicher Sicht ist besonders relevant, welche Daten ein Captcha-Dienst verarbeitet, wo diese verarbeitet werden, und ob personenbezogene Daten an Dritte weitergegeben werden. Friendly Captcha wirbt damit, keinerlei Tracking durchzuführen und ausschließlich in Europa zu hosten. Tatsächlich erhebt Friendly Captcha lediglich minimale Informationen, wie beispielsweise IP-Adressen, um Missbrauch zu verhindern. Diese IP-Adressen werden jedoch ausschließlich anonymisiert gespeichert und nicht für Profiling-Zwecke genutzt. Das liegt darin begründet, weil Friendly Captcha die erhobenen Daten nicht monetarisieren muss, wegen des ohnehin bestehenden Preismodells.

Die Datenverarbeitung findet bei Friendly Captcha auf Servern innerhalb der Europäischen Union statt. Damit vermeidet Friendly Captcha potenzielle Probleme durch internationale Datentransfers, wie sie z.B. bei US-basierten Diensten wie reCAPTCHA und hCaptcha bestehen. Ein Auftragsverarbeitungsvertrag (AV-Vertrag) nach Art. 28 DSGVO kann problemlos abgeschlossen werden. Im Folgenden finden Sie eine Prüfung des Auftragsverarbeitungsvertrags mit Stand von Q1 2025.

Prüfbericht AVV Friendly Captcha

Nachfolgend werden alle relevanten Prüfkriterien gem. Art. 28 DSGVO für den Captcha-Dienst Friendly Captcha behandelt. Sie finden zu jedem Prüfkriterium entsprechende Verweise aus dem AVV:

1. Ort der Datenverarbeitung: Anbieter hat Hauptsitz in EU und bietet tarifabhängig einen dedizierten EU-Endpoint, der von europäischen Unterauftragsverarbeitern betrieben wird.
2. Gegenstand der Verarbeitung: Erfüllt gem. 1.1 der AVV.
3. Dauer der Verarbeitung: Erfüllt gem. 7 der AVV.
4. Art, Zweck der Verarbeitung: Erfüllt gem. 1.2 – 1.4 der AVV.
5. Arten der Daten / Betroffenen für die Verarbeitung: Erfüllt gem. 1.2 – 1.4 der AVV.
6. Pflichten und Rechte des Verantwortlichen sind festgelegt: Erfüllt gem. 2 der AVV.
7. Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter nur auf dokumentierte Weisung des Verantwortlichen: Erfüllt gem. 2.2 der AVV.
8. Gewährleistung durch Auftragsverarbeiter, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen: Erfüllt gem. 3.5 der AVV.
9. Auftragsverarbeiter hält alle gem. Art. 32 DSGVO erforderlichen Maßnahmen ein: Erfüllt gem. 3.8 der AVV.
10. Der Auftragsverarbeiter unterstützt angesichts der Art der Verarbeitung den Verantwortlichen nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III (Art. 12 – 23 DSGVO, „Betroffenenrechte“) genannten Rechte der betroffenen Person nachzukommen: Erfüllt.
11. Der Auftragsverarbeiter unterstützt unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen den Verantwortlichen bei der Einhaltung der in den Artikeln 32 bis 36 genannten Pflichten (TOM, Meldepflicht bei Datenschutzverstößen, Benachrichtigung betroffener Personen bei Datenschutzverstößen, DSFA, Vorherige Konsultation der Aufsichtsbehörde): Erfüllt.
12. Der Auftragsverarbeiter muss nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten nach Wahl des Verantwortlichen entweder löschen oder zurückgeben und die vorhandenen Kopien löschen, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht: Erfüllt.
13. Keine Haftungsregelungen entgegen dem Art. 82 DSGVO: Erfüllt.

Zusammenfassend gilt Friendly Captcha daher als datenschutzrechtlich besonders vertrauenswürdig. Besonders positiv ist der geringe Umfang an der Verarbeitung von personenbezogenen Daten und die Löschfrist von 30 Tagen. Friendly Captcha ist ein europäischer Captcha-Anbieter mit Hauptsitz in der EU. Im Einstiegstarif wird ein Unterauftragsverarbeiter aus den USA eingesetzt, der durch geeignete Garantien abgesichert ist. Für Kunden mit strengen Compliance-Anforderungen empfiehlt sich die Wahl eines „Advanced“- oder „Enterprise“-Tarifs. Diese Tarife enthalten einen dedizierten EU-Endpoint, der von rein europäischen Unterauftragsverarbeitern betrieben wird.

Vergleich mit reCAPTCHA und hCaptcha: Datenschutz auf dem Prüfstand

Die größten Konkurrenten zu Friendly Captcha sind aktuell Google reCAPTCHA und hCaptcha. Beide sind weltweit im Einsatz und gelten oft als Standardlösungen.

Datenschutzbewertung von Google reCAPTCHA

Google reCAPTCHA ist die mit Abstand meistverwendete Captcha-Lösung. Doch gerade Googles intensive Datenerfassung sorgt regelmäßig für Kritik. reCAPTCHA verarbeitet neben IP-Adressen auch Cookies und nutzt die Daten unter anderem zur Optimierung von Werbeprofilen. Da Google seine Server hauptsächlich in den USA betreibt, erfolgt zwangsläufig eine Datenübertragung in ein Drittland, was spätestens seit dem Schrems-II-Urteil problematisch ist.

Unternehmen, die reCAPTCHA verwenden, geraten daher schnell in Konflikt mit der DSGVO. Obwohl Google inzwischen Standardvertragsklauseln (SCC) anbietet, bestehen Zweifel an der langfristigen Rechtssicherheit. Datenschützer empfehlen deshalb, auf Alternativen umzusteigen (siehe dazu CAPTCHA-Vergleich).

Datenschutzbewertung von hCaptcha

hCaptcha gilt als datenschutzfreundlicher im Vergleich zu Google reCAPTCHA. Dennoch handelt es sich ebenfalls um einen US-basierten Anbieter. Auch hCaptcha erfasst personenbezogene Daten wie IP-Adressen und setzt Cookies zur Optimierung seiner Dienste ein. Zwar wirbt hCaptcha mit einer stärkeren Privatsphäreorientierung, doch auch hier existieren Risiken durch die Datenübermittlung in den USA.

Auch wenn hCaptcha mehr Möglichkeiten zur datenschutzfreundlichen Anpassung bietet, bleibt die Problematik der US-Server bestehen. Unternehmen sollten daher sorgfältig prüfen, ob hCaptcha ihren Anforderungen gerecht wird.

Gegenüberstellung der Anbieter (Friendly Captcha vs. reCAPTCHA vs. hCaptcha)

Friendly Captcha:

1. Hauptsitz: Deutschland.
2. Datenminimierung: Sehr gut
3. Drittstaatentransfer (USA): Nein, mit EU-Tarif
4. Cookies / Nutzertracking: Kein Tracking
5. DSGVO-Konformität: Hoch
6. AV-Vertrag (Art. 28 DSGVO): Möglich

Google reCAPTCHA:

1. Hauptsitz: USA.
2. Datenminimierung: Schlecht
3. Drittstaatentransfer (USA): Ja, problematisch
4. Cookies / Nutzertracking: Intensives Tracking
5. DSGVO-Konformität: Kritisch
6. AV-Vertrag (Art. 28 DSGVO): Schwierig umzusetzen

hCaptcha:

1. Hauptsitz: USA.
2. Datenminimierung: Mittelmäßig
3. Drittstaatentransfer (USA): Ja, mit Risiken
4. Cookies / Nutzertracking: Moderates Tracking
5. DSGVO-Konformität: Eingeschränkt
6. AV-Vertrag (Art. 28 DSGVO): Möglich

Barrierefreiheit und Nutzerfreundlichkeit

Ein weiterer wichtiger Faktor ist die Barrierefreiheit der Captchas. Traditionelle Captchas (wie reCAPTCHA oder hCaptcha) setzen oft auf visuelle Rätsel, die insbesondere Menschen mit Behinderungen (z.B. Sehbehinderung) ausschließen können. Friendly Captcha dagegen erfordert keinerlei Interaktion, was es für alle Nutzergruppen zugänglich macht.
Damit erfüllt Friendly Captcha die Barrierefreiheitsrichtlinien (WCAG 2.1, Barrierefreiheitsstärkungsgesetz, EAA) besonders gut (siehe dazu WCAG-Checker und mehr zum Thema CAPTCHA Barrierefreiheit).

Technische Integration und Performance

Friendly Captcha punktet zudem durch eine besonders einfache technische Integration. Die Implementierung erfolgt über wenige Zeilen JavaScript und stellt kaum Anforderungen an die Performance. Anders als reCAPTCHA oder hCaptcha verursacht Friendly Captcha nur minimale Ladezeiten und beeinträchtigt die SEO-Performance der Webseite kaum. Insbesondere Webseiten mit einem starken Fokus auf schnelle Ladezeiten profitieren von Friendly Captcha, da es die Nutzererfahrung nicht beeinträchtigt.

Handlungsempfehlung für Unternehmen

Für Unternehmen mit Sitz in der EU oder starkem Fokus auf Datenschutz und Barrierefreiheit empfiehlt sich Friendly Captcha klar als optimale Lösung. Dies gilt insbesondere für:

• Öffentliche Einrichtungen und Behörden (hohe Datenschutzanforderungen)
• Online-Shops (starke Nutzerorientierung, SEO)
• Größere Unternehmen, die DSGVO-Risiken reduzieren wollen

Wer hingegen vor allem Wert auf eine möglichst günstige Lösung legt, muss zwischen den Datenschutzrisiken von reCAPTCHA und hCaptcha abwägen.

Fazit

Friendly Captcha überzeugt durch klare Vorteile im Bereich Datenschutz, DSGVO-Konformität und Barrierefreiheit. Gerade Unternehmen, die rechtliche Sicherheit anstreben und ihren Nutzern bestmögliche Privatsphäre bieten möchten, sind mit Friendly Captcha gut beraten. Friendly Captcha übertrifft dabei reCAPTCHA und hCaptcha eindeutig in puncto Datenschutz und Nutzerfreundlichkeit.

Bidens Executive Order: Fragliche Rechtsgrundlage

Das EU-US Data Privacy Framework stützt sich wesentlich auf die Executive Order 14086, die Joe Biden im Jahr 2022 unterzeichnete. Diese Anordnung sollte die Anforderungen des EuGH erfüllen, indem sie den Zugriff von US-Geheimdiensten auf europäische Daten auf das „Notwendige und Verhältnismäßige“ beschränkt. Dabei sollte eine verstärkte Überwachung der Aktivtäten der US-Geheimdienste stattfinden, um die Einhaltung der Beschränkungen für Überwachungsaktivitäten sicherzustellen. Zudem führte sie einen zweistufigen Rechtsschutzmechanismus ein: EU-Bürger konnten sich bei einer neuen Datenschutzprüfstelle beschweren, und ein speziell eingerichtetes Datenschutzgericht (Data Protection Review Court) sollte Verstöße prüfen.

Die EU-Kommission bewertete diese Maßnahmen als ausreichende Grundlage für einen stabilen Datentransfer und sah im DPF eine tragfähige Lösung für Unternehmen. Kritiker hingegen warnten bereits damals: Da es sich bei einer Executive Order nur um eine präsidentielle Anordnung handelt, kann ein neuer US-Präsident sie jederzeit ändern oder aufheben. Diese Sorge gewinnt mit Trumps Wahlsieg nun an Brisanz.

Die Gefahr durch Trumps erneute Präsidentschaft

Der US-Präsident kann per Executive Order unkompliziert und ohne die Beteiligung des Kongresses Anordnungen mit bindender Wirkung für Bundesbehörden und Beamte erlassen, die dazu dienen, die internen Abläufe der Bundesregierung zu steuern.

Die rechtliche Grundlage für Executive Orders findet sich in der US-Verfassung, insbesondere in Artikel II, der dem Präsidenten die Exekutivgewalt überträgt. Allerdings dürfen Executive Orders keine neuen Gesetze schaffen, sondern müssen sich im Rahmen der bestehenden gesetzlichen oder verfassungsmäßigen Befugnisse des Präsidenten bewegen. Sobald der Präsident eine Executive Order unterzeichnet, kann sie sofort in Kraft treten. Allerdings können Gerichte solche Anordnungen überprüfen und für ungültig erklären, wenn sie die verfassungsmäßigen Befugnisse des Präsidenten überschreiten.

Da eine Executive Order also kein Gesetz ist, sondern lediglich eine präsidentielle Anordnung, kann Trump sie ohne Zustimmung des Kongresses jederzeit aufheben oder abändern. Dies könnte konkret bedeuten, dass er die Schutzmechanismen für EU-Bürger schwächt, die Rechtsbehelfsmöglichkeiten einschränkt oder die Umsetzung durch US-Behörden blockiert. Bereits in seiner ersten Amtszeit (2017-2021) senkte Trump Datenschutzstandards, die er als Hindernis für die Wirtschaft empfand: 2017 hob er eine Regelung der Federal Communications Commission (FCC) auf, die Internetanbieter zur Einholung von Nutzereinwilligungen verpflichtete. Zudem erleichterte er die Datenweitergabe durch US-Unternehmen und schwächte Datenschutzmaßnahmen, die bereits unter Obama eingeführt wurden und Unternehmen beim Umgang mit Nutzerdaten stärker regulierten.

Diese Vergangenheit lässt befürchten, dass Trump auch diesmal wenig Interesse an strengen Datenschutzregelungen für EU-Bürger zeigen wird.

Mögliche Konsequenzen auf das DPF

Sollte Donald Trump die Executive Order 14086 aufheben oder entscheidend verändern, hätte dies gravierende Auswirkungen auf den transatlantischen Datentransfer. Der Angemessenheitsbeschluss der EU-Kommission, auf dem das EU-US Data Privacy Framework (DPF) basiert, könnte in seiner derzeitigen Form nicht aufrechterhalten werden. Die Executive Order war eine zentrale Voraussetzung für das Abkommen, da sie europäische Datenschutzstandards in den USA gewährleisten sollte.

Die größte Konsequenz wäre eine erneute Rechtsunsicherheit. Unternehmen, die bislang auf das DPF vertraut haben, könnten sich plötzlich in einer Situation wiederfinden, in der der Datentransfer in die USA nicht mehr ohne Weiteres zulässig ist. Dies würde nicht nur zu einem erhöhten administrativen Aufwand führen, sondern auch rechtliche Risiken mit sich bringen.
Darüber hinaus könnte ein neues Verfahren vor dem Europäischen Gerichtshof drohen. Datenschutzaktivist Max Schrems, der bereits Safe Harbor (Schrems I) und Privacy Shield (Schrems II) zu Fall gebracht hat, äußerte bereits Bedenken am DPF. Sollte Trump die zugrunde liegenden Schutzmaßnahmen abschwächen, wäre eine neue Klage fast unausweichlich. Ein sogenanntes Schrems-III-Verfahren könnte erneut dazu führen, dass das Datenschutzabkommen für nichtig erklärt wird.

Unternehmen müssten in diesem Fall auf alternative Rechtsmechanismen ausweichen, um weiterhin personenbezogene Daten in die USA übermitteln zu können. Standardvertragsklauseln (SCCs) oder Binding Corporate Rules (BCRs) bieten zwar eine mögliche Lösung, sind jedoch mit erheblichem Aufwand verbunden. Vor allem SCCs setzen zusätzliche Sicherheitsmaßnahmen voraus, um den Anforderungen des EuGH gerecht zu werden.

Ist das DPF wirklich robust?

Bereits bei der Verabschiedung des EU-US Data Privacy Frameworks im Jahr 2023 äußerten europäische Datenschutzexperten Bedenken. Viele wiesen darauf hin, dass das Abkommen auf einer einseitigen Executive Order des US-Präsidenten basiert und damit politisch angreifbar ist. Die Wahl von Donald Trump und die mögliche Aufhebung oder Änderung der Executive Order zeigen nun, wie berechtigt diese Bedenken waren. Erste Anzeichen für die Bewahrheitung der Befürchtungen zeigen sich bereits: Am 20. Januar 2025 hat die Trump-Administration beschlossen, dass alle Executive Orders der Biden-Administration innerhalb von 45 Tagen überprüft und ggfs. aufgehoben werden. Zu diesen Executive Orders gehört auch die Executive Order 14086, die als Grundlage für den aktuellen Angemessenheitsbeschluss der EU dient. Erste Signale, wie die Umbesetzung des Privacy and Civil Liberties Oversight Board (PCLOB), deuten auf eine Schwächung der Datenschutzaufsicht in den USA hin.

Wie reagieren Datenschutzbehörden und Experten?

Die ersten Reaktionen aus der europäischen Datenschutz-Community lassen erkennen, dass eine neue rechtliche Auseinandersetzung wahrscheinlich ist.
Die Datenschutzorganisation „None Of Your Business“ (NOYB) unter der Leitung von Max Schrems prüft bereits eine neue Klage vor dem EuGH. Die Organisation hatte sowohl das Safe-Harbor-Abkommen (Schrems I) als auch das Privacy Shield (Schrems II) zu Fall gebracht. Sollte Trump das DPF aushöhlen, dürfte ein Schrems-III-Verfahren nur eine Frage der Zeit sein. Europäische Datenschutzbehörden, darunter die Datenschutzkonferenz (DSK) in Deutschland und die französische CNIL, haben bereits vor einer erneuten rechtlichen Unsicherheit gewarnt. Sie betonen, dass sich Unternehmen nicht ausschließlich auf das Data Privacy Framework verlassen sollten. Juristen und Datenschutzexperten fordern von der EU-Kommission eine schnellere und proaktive Reaktion, um Unternehmen eine verlässliche Lösung zu bieten. Ein erneuter Rechtsstreit könnte Jahre dauern – eine Zwischenlösung ist daher dringend erforderlich.

Falls Trump tatsächlich Maßnahmen zum Nachteil des DPF ergreift, ist eine neue rechtliche Auseinandersetzung nahezu unvermeidlich. Unternehmen sollten sich darauf einstellen, dass der Datentransfer in die USA bald wieder auf wackligen Füßen stehen könnte.

Handlungsoptionen für europäische Unternehmen

Angesichts der unsicheren Zukunft des DPF sollten Unternehmen proaktiv handeln. Eine Möglichkeit besteht darin, bereits jetzt alternative Rechtsgrundlagen zu prüfen. Die Nutzung von Standardvertragsklauseln (SCCs) oder Binding Corporate Rules (BCRs) könnte eine stabilere Lösung sein, auch wenn dies mit höheren Compliance-Anforderungen verbunden ist.

Technische und organisatorische Maßnahmen sollten zudem stärker in den Fokus rücken, um Datenschutzrisiken zu minimieren. Starke Verschlüsselung, Pseudonymisierung und Datenspeicherung in der EU verbessern den Schutz sensibler Daten. Ergänzend sind klare Datenschutzrichtlinien, regelmäßige Schulungen und Datenschutz-Folgenabschätzungen (DSFA) essenziell.

Strenge Zugriffskontrollen und ein strukturiertes Vertragsmanagement mit US-Dienstleistern, einschließlich der Prüfung von Standardvertragsklauseln (SCCs), tragen zur Einhaltung hoher Standards bei. Unternehmen mit hohen Sicherheitsanforderungen könnten verstärkt auf europäische Anbieter setzen, um den Datentransfer in die USA zu vermeiden.

Für international tätige Konzerne bleiben Binding Corporate Rules (BCRs) eine vergleichsweise sichere Lösung. Diese unternehmensinternen Datenschutzregelungen wurden bereits von den europäischen Datenschutzbehörden genehmigt und hängen nicht von politischen Entscheidungen in den USA ab. Unternehmen, die BCRs nutzen, wären daher besser gegen kurzfristige Änderungen der US-Datenschutzpolitik abgesichert.

Fazit und Ausblick: Wiederholt sich die Geschichte?

Die Rückkehr Donald Trumps ins Weiße Haus könnte erneut eine Phase massiver Unsicherheit für den transatlantischen Datentransfer einläuten. Seine bisherigen Äußerungen zur Regulierung und Datenschutzpolitik lassen darauf schließen, dass der Schutz europäischer Daten nicht zu seinen politischen Prioritäten gehört. Unternehmen stehen daher vor der Frage, ob sich die Ereignisse der letzten Jahre wiederholen werden.
Drei mögliche Szenarien könnten sich abzeichnen:

1. Trump ignoriert das Thema Datenschutz, die Executive Order bleibt bestehen, und das Data Privacy Framework bleibt unangetastet.
2. Trump verändert die Executive Order in wesentlichen Punkten, was zu neuen Verhandlungen zwischen der EU und den USA führt. Eine vorübergehende Unsicherheit entsteht.
3. Das Abkommen wird durch eine neue EuGH-Klage gekippt, und Unternehmen stehen erneut vor der Herausforderung, alternative Datenschutzlösungen zu finden.

Die Erfahrung aus der Vergangenheit zeigt: Der transatlantische Datenschutz bleibt ein politischer Spielball. Unternehmen sollten deshalb auf alle Eventualitäten vorbereitet sein und sich nicht ausschließlich auf das Data Privacy Framework verlassen. Der Blick sollte verstärkt auf alternative Rechtsmechanismen, europäische Anbieter, sowie zusätzliche technische und organisatorische Maßnahmen gerichtet werden, um sich langfristig gegen zukünftige Unsicherheiten abzusichern.

Was sind EU-Standarddatenschutzklauseln (SCC)?

SCC sind von der Europäischen Kommission verabschiedete Vertragsmuster, die einen angemessenen Datenschutz bei der Übermittlung personenbezogener Daten in Drittländer gewährleisten sollen. Sie bieten Rechtssicherheit und gewährleisten, dass Unternehmen DSGVO-konform handeln. Zuletzt wurden die SCC in aktualisierter Form am 04. Juni 2021 von der Europäischen Kommission veröffentlicht.

Wann sind SCC verpflichtend?

Unternehmen, die personenbezogene Daten aus der EU in unsichere Drittländer übertragen (z. B. Nutzung von Cloud-Diensten in den USA), müssen grundsätzlich SCC abschließen, sofern keine Angemessenheitsentscheidung der EU-Kommission gem. Art. 45 DSGVO vorliegt. Es gibt noch weitere mögliche Ausnahmen, wenn keine SCC erforderlich sind, welche später im Beitrag behandelt werden.

Wie werden SCC richtig angewendet?

Die Anwendung von Standarddatenschutzklauseln (SCC) ist ein zentraler Bestandteil des Datenschutzes bei internationalen Datentransfers. Seit dem Inkrafttreten der DSGVO und insbesondere nach dem Schrems II-Urteil des EuGH sind Unternehmen verpflichtet, bei der Übermittlung personenbezogener Daten in Drittländer ein angemessenes Schutzniveau sicherzustellen – genau hier kommen SCC ins Spiel.

Damit Standarddatenschutzklauseln rechtswirksam und DSGVO-konform eingesetzt werden können, müssen folgende Punkte beachtet werden:

1. Auswahl der richtigen Modulvariante

Die Standarddatenschutzklauseln bestehen aus mehreren Modulen, die je nach Beziehung zwischen den beteiligten Parteien ausgewählt werden müssen. Folgende Modulvarianten stehen zur Verfügung:

• Controller zu Controller (C2C) – z. B. bei der Übertragung von Kundendaten zwischen zwei eigenständigen Unternehmen (Intercompany).
• Controller zu Processor (C2P) – z. B. wenn ein Unternehmen Daten an einen externen Auftragsverarbeiter zur Verarbeitung weitergibt.
• Processor zu Processor (P2P) – z. B. wenn ein Auftragsverarbeiter Unteraufträge an weitere Unterauftragsverarbeiter vergibt.
• Processor zu Controller (P2C) – z. B. wenn ein Auftragsverarbeiter Daten an einen Verantwortlichen in einem Drittland zurückgibt.

Die Wahl des falschen Moduls kann zur Unwirksamkeit der Standarddatenschutzklauseln führen – daher ist hier besondere Sorgfalt gefragt.

2. Integration der SCC in Verträge

Die SCC müssen korrekt in bestehende oder neue Verträge integriert werden. Dies kann entweder direkt im Vertragstext erfolgen oder durch einen separaten Anhang, der klar als Bestandteil des Vertrags gekennzeichnet ist. Wichtig ist, dass keine Änderungen an den Standardklauseln vorgenommen werden – dies würde ihre Gültigkeit gefährden.

3. Klare Definition der datenschutzrechtlichen Verantwortlichkeiten

Im Vertrag selbst sollten die Verantwortlichkeiten in Bezug auf Datenschutz klar geregelt sein: Wer ist für welche Verarbeitung zuständig? Wer trägt welche Pflichten? Diese Transparenz ist nicht nur im Sinne der DSGVO, sondern schützt auch beide Vertragsparteien vor Missverständnissen und Haftungsrisiken.

4. Sicherstellung der Umsetzung und Einhaltung

Die Empfänger der Daten – insbesondere in Drittländern – müssen tatsächlich in der Lage sein, die Anforderungen der SCC einzuhalten. Unternehmen müssen daher prüfen und dokumentieren, ob:

• die technischen und organisatorischen Maßnahmen ausreichen,
• die lokale Gesetzgebung verhindert die Einhaltung der Klauseln nicht,
• und bei Bedarf zusätzliche Maßnahmen (z. B. Verschlüsselung, Pseudonymisierung) ergriffen werden.

Was ist das Transfer Impact Assessment (TIA)?

Ein TIA ist eine datenschutzrechtliche Risikobewertung, die begleitend zu den SCC verpflichtend durchzuführen ist. Ziel ist es, sicherzustellen, dass die Gesetze und Praktiken im Drittland das Datenschutzniveau der EU nicht untergraben. Die Durchführung des TIA gelingt am einfachsten, wenn Unternehmen eine Datenschutzmanagement-Software einsetzen. Dort kann oftmals vorlagenbasiert ein TIA in wenigen Schritten erstellt werden.

Welche Alternativen gibt es zu Standarddatenschutzklauseln?

Die Standarddatenschutzklauseln (SCC) sind das am häufigsten genutzte Instrument zur rechtssicheren Übermittlung personenbezogener Daten in sogenannte Drittländer – also Länder außerhalb der EU bzw. des EWR. Doch sie sind nicht die einzige Möglichkeit. Die Datenschutz-Grundverordnung (DSGVO) sieht auch Alternativen zu Standarddatenschutzklauseln vor. Diese können – je nach Anwendungsfall – sinnvoll oder sogar notwendig sein.
Hier ein Überblick über die wichtigsten Alternativen:

1. Angemessenheitsbeschluss der EU-Kommission (Art. 45 DSGVO)

Wenn die EU-Kommission feststellt, dass ein Drittland ein angemessenes Datenschutzniveau bietet, darf eine Datenübertragung dorthin ohne weitere Maßnahmen erfolgen. Dies wird in einem sogenannten Angemessenheitsbeschluss festgehalten.
Beispiele für Länder mit Angemessenheitsbeschluss: Schweiz, Japan, Kanada (teilweise), Südkorea, Vereinigtes Königreich, Israel u. a.

• Vorteil: Keine zusätzlichen Vertragsklauseln oder Prüfpflichten erforderlich.
• Nachteil: Nur wenige Länder weltweit erfüllen diese Anforderungen. Für die USA gilt dies z. B. nur eingeschränkt (aktuell über das Data Privacy Framework).

2. Verbindliche interne Datenschutzvorschriften – Binding Corporate Rules (BCR) (Art. 47 DSGVO)

Binding Corporate Rules (BCR) sind unternehmensinterne Datenschutzrichtlinien für internationale Konzerne. Sie ermöglichen konzerninterne Datentransfers – etwa von der EU-Zentrale an Niederlassungen außerhalb Europas.

• Vorteil: Maßgeschneidert und flexibel einsetzbar für komplexe Konzernstrukturen.
• Nachteil: Müssen von den zuständigen Datenschutzbehörden genehmigt werden – das Verfahren ist langwierig und aufwändig.

3. Ausdrückliche Einwilligung der betroffenen Person (Art. 49 Abs. 1 lit. a DSGVO)

Eine Übermittlung personenbezogener Daten kann erfolgen, wenn die betroffene Person ausdrücklich und informiert eingewilligt hat.

• Vorteil: Einfach umzusetzen, wenn Einwilligungen klar formuliert und leicht einzuholen sind.
• Nachteil: Hohe Anforderungen an Transparenz. Die Einwilligung muss freiwillig, spezifisch und widerrufbar sein – in der Praxis oft unpraktikabel bei regelmäßigen oder großvolumigen Transfers.

4. Vertragserfüllung oder vorvertragliche Maßnahmen (Art. 49 Abs. 1 lit. b DSGVO)

Ist die Datenübertragung notwendig, um einen Vertrag mit der betroffenen Person zu erfüllen – z. B. bei einer Hotelbuchung im Ausland – kann dies eine zulässige Grundlage sein.

• Vorteil: Praktikabel für Einzelfälle mit direktem Bezug zur betroffenen Person.
• Nachteil: Nicht geeignet für dauerhafte oder automatisierte Übermittlungen (z. B. Cloud-Dienste).

5. Wichtiges öffentliches Interesse oder Rechtsansprüche (Art. 49 Abs. 1 lit. d/e DSGVO)

Auch in besonderen Fällen wie der Verteidigung von Rechtsansprüchen oder bei wichtigen öffentlichen Interessen kann eine Übermittlung zulässig sein.

• Vorteil: Hilfreich bei rechtlichen Auseinandersetzungen oder im behördlichen Kontext.
• Nachteil: Sehr eng gefasst, nicht anwendbar für standardmäßige, kommerzielle Datentransfers.

Fazit

Die Wahl der Alternative hängt vom Umfang, Zweck und regelmäßigen Charakter des Transfers ab. In der Praxis sind Standarddatenschutzklauseln (SCC) aufgrund ihrer Flexibilität und Einfachheit das bevorzugte Mittel. Alternativen eignen sich jedoch vor allem, wenn SCC nicht praktikabel oder genehmigungsfähige interne Regelungen (BCR) möglich sind.

Was ist die Data Boundary von Microsoft?

Das EU Data Boundary von Microsoft ist eine geografisch definierte Grenze, innerhalb derer Microsoft sich verpflichtet, Daten des öffentlichen Sektors und kommerzieller Kunden innerhalb der Europäischen Union (EU) und der Europäischen Freihandelszone (EFTA) zu speichern und zu verarbeiten. Die Initiative zielt darauf ab, die Datenresidenz und den Datenschutz für Kunden in der EU und in der EFTA zu verbessern.

Definition und Funktionsweise der Data Boundary

Die Umsetzung der EU-Datengrenze gliederte sich dabei in drei Stufen. Im Januar 2023 ging es um die Sicherstellung, dass Kundendaten für die bedeutendsten Services – darunter auch die Mehrzahl der Microsoft Cloud Suite – ausschließlich innerhalb der EU/EFTA Regionen gespeichert und verarbeitet werden. Im Januar 2024 erfolgte die Ausweitung auf pseudonymisierte personenbezogene Daten. In dieser Umsetzungsphase lag der Fokus darauf, zu gewährleisten, dass Daten, die eine direkte Identifizierung verhindern, innerhalb dieser Region verbleiben. Im dritten und letzten Schritt konzentrierte sich Microsoft auf die Professional Service Daten aus Interaktionen mit dem technischen Support. Dazu zählen insbesondere Log-Dateien sowie Support-Fallnotizen, die bei technischen Anfragen an Microsoft anfallen. Dadurch verschafft Microsoft Unternehmen eine gewisse Transparenz über den Speicherort ihrer Daten.

Zielsetzung und Hintergründe von Microsofts Data Boundary

Die Hintergründe des EU Data Boundary sind vielseitig und resultieren aus den vielen regulatorischen Anforderungen, die die EU an Cloud-Anbieter stellt. Eine zentrale Rolle nimmt dabei auch der Datenschutz ein. Dieser soll durch das EU Data Boundary weiter gestärkt werden. Gerade aufgrund der strengen Vorschriften bezüglich der Datenübertragung in Länder außerhalb der EU, insbesondere in Länder, die nicht ein mit der EU vergleichbares Datenschutzniveau bieten, will Microsoft sicherstellen, dass die Daten seiner Kunden innerhalb der EU verbleiben und dadurch den lokalen Datenschutzgesetzen entsprechen. Durch die Einführung einer europäischen Datengrenze möchte Microsoft seinen Kunden zudem mehr Transparenz und Kontrolle über Daten bieten. Dies war in der Vergangenheit ein essentielles Problem, denn gerade bei globalen Cloud-Diensten ist zumeist undurchsichtig, wo die Daten der Nutzer letztlich gespeichert und verarbeitet werden. Das Informationen in nicht europäischen Regionen gespeichert oder verarbeitet werden, könnte sich durch das EU Data Boundary nun erledigt haben und dadurch die Abhängigkeit von internationalen Datenabflüssen verringert werden.

Datenschutzrechtliche Bedeutung der Data Boundary

Microsoft macht mit der Vollendung der Boundary einen Schritt in die richtige Richtung. Für europäische Unternehmen bedeutet die Finalisierung einen Schritt hin zu mehr Datenresidenz, zudem wird durch die Begrenzung von grenzüberschreitenden Transfers die Einhaltung nationaler Gesetze vereinfacht. Europäische Unternehmen haben daneben ein größeres Maß an Kontrolle über Datenflüsse.

Unterschiede zu anderen Datenschutzlösungen von Microsoft

Im Zusammenhang mit der EU Data Boundary ist auch häufig die Rede von der EU Data Residency. Diese Begriffe sind jedoch voneinander zu unterscheiden. Der Begriff „EU Data Residency“ bezieht sich allgemein auf die physische oder geografische Lage von Daten innerhalb der EU. Unternehmen, die EU Data Residency anbieten, ermöglichen es Kunden, ihre Daten in bestimmten EU-Regionen zu speichern, um gesetzlichen Anforderungen gerecht zu werden oder spezifische Datenschutzpräferenzen zu erfüllen. Dies kann beispielsweise durch die Auswahl von Rechenzentren in bestimmten EU-Ländern erfolgen. Das Microsoft EU Data Boundary dagegen ist eine spezifische Verpflichtung von Microsoft, alle Daten innerhalb der EU/EFTA zu speichern und zu verarbeiten. Während die EU Data Residency sich also auf die Speicherung innerhalb der EU konzentriert, geht das EU Data Boundary weiter, indem es auch die Verarbeitung und den gesamten Datenfluss innerhalb der EU sicherstellt. Zusammenfassend ist das Microsoft EU Data Boundary eine spezifische Initiative von Microsoft zur Sicherstellung der Datenverarbeitung und -speicherung innerhalb der EU/EFTA, während EU Data Residency ein breiteres Konzept ist, das die geografische Lokalisierung von Daten innerhalb der EU beschreibt.

Kritische Aspekte und offene Fragen zur Data Boundary

Trotz der Tatsache, dass Microsoft verspricht, dass die Daten innerhalb der EU und dem EFTA gespeichert und verarbeitet werden, gibt es die Befürchtung, dass die Daten nicht uneingeschränkt vor dem Zugriff der US-Behörden gesichert sind. Grund dafür ist insbesondere der US CLOUD Act. Dieser erlaubt es US-Behörden, auf Daten zuzugreifen, die von US-Unternehmen verwaltet werden, selbst wenn diese Daten außerhalb der EU gespeichert sind. Daneben findet ggf. der Foreign Intelligence Surveillance Act (FISA) Anwendung. Problematisch ist insbesondere der Abschnitt 702, der für die Auslandsüberwachung maßgebend ist. Dieser erlaubt dem US-Generalstaatsanwalt und dem Direktor der Geheimdienste, die gezielte Überwachung von Personen außerhalb der USA durchzuführen, solange sie keine US-Bürger sind. Nach dem Wortlaut von FISA 702 ist nicht auszuschließen, dass dieser auch auf Daten anwendbar ist, die auf europäischen Servern gespeichert sind. So können Daten von US-Unternehmen, einschließlich deren EU-Tochtergesellschaften, welche außerhalb der Vereinigten Staaten gespeichert sind, auch unter die Bestimmungen von Section 702 FISA fallen. Zudem hat Microsoft selbst angegeben, dass sie trotz des EU Data Boundary weiterhin Datenübertragungen außerhalb der EU durchführen müssen, um betriebliche Anforderungen zu erfüllen. So gibt Microsoft an, dass zwar die meisten personenbezogenen Daten in der EU/EFTA verbleiben, aber bestimmte begrenzte Datenübermittlungen für globale Sicherheitsoperationen notwendig sein können. Diese Daten werden laut Microsoft verwendet, um die Erkennung von Bedrohungen zu verbessern. Diese aus diesen Übertragungen gewonnenen globalen Bedrohungsdaten seien entscheidend für die Erkennung und Abwehr von Cyberangriffen. Microsoft versichert geeignete Schutzmaßnahmen, wie Verschlüsselung, Pseudonymisierung und (strenge) Zugriffskontrollen zu implementieren.

Ist Microsofts Data Boundary die Lösung für DSGVO-konforme Cloud-Nutzung?

Die von Microsoft umgesetzte EU-Datengrenze ist unzweifelhaft ein Schritt in die richtige Richtung. Die Finalisierung zeigt, dass Microsoft der Datenschutz ein wichtiges Anliegen ist. Doch trotz verbesserter Datenlokalisierung durch das Boundary gibt es weiterhin bestimmte Szenarien, in denen die Daten außerhalb der EU verarbeitet werden – etwa für die Aufdeckung von Cybersecurity. Dazu kommt, dass der US Cloud Act US-amerikanische IT-Dienstleister verpflichtet, US-Behörden auch dann Zugriff auf gespeicherte Daten zu gewährleisten, wenn die Speicherung nicht in den USA erfolgt. Ferner muss beachtet werden, dass eine physische Verlagerung von Daten in die EU keine hundertprozentige Absicherung gegen US-Rechtsinstrumente ist. Der entscheidende Faktor bleibt, ob das Unternehmen – trotz EU-Standort – aus Sicht der US-Gesetze verpflichtet ist, im Falle eines behördlichen Zugriffsersuchens Daten herauszugeben. Hier kann also weiterhin ein Restrisiko bestehen, das allenfalls mit technischen und organisatorischen Maßnahmen abgemildert werden kann. Insgesamt kann also festgehalten werden, dass auch die europäische Datengrenze nicht zu einer Datensouveränität führt, denn letztlich wird sich auch Microsoft nicht den weitreichenden Befugnissen des US-Rechts widersetzen können.

Start-up datenschutzkonform gründen

Um Bußgelder und andere negative Konsequenzen zu vermeiden, sollten bereits bei der Gründung des Start-ups datenschutzrechtliche Vorgaben berücksichtigt und umgesetzt werden. Am Anfang jedes Start-ups steht zunächst „die Idee“. Darauf folgt im nächsten Schritt die Überlegung, wer die Vertragspartner werden sollen. Schon hier spielt der Datenschutz eine große Rolle. Zur Einhaltung der DSGVO sollte schon vor der Gründung eine Vertraulichkeitsvereinbarung unterzeichnet werden. Diese Vereinbarung ist außerordentlich wichtig in Bezug auf die Geheimhaltung von Betriebsinterna. Weiterhin wird festgelegt, welche Rechte und Pflichten der Geschäftspartner hat und wie sich der Umgang mit sensiblen Daten, wie z.B. personenbezogenen Daten von Kunden, Mitarbeitern und Lieferanten, gestaltet. Des Weiteren sollten Mitarbeiter und Geschäftspartner Informationsschreiben erhalten und an unerlässlichen Schulungen zum Thema Datenschutz teilnehmen. Interessant in Hinblick auf den Datenschutz ist auch der Umgang mit dem Kunden: Hier sind eine Reihe verschiedener Gesichtspunkte zu beachten, denn sollte ein Kunde im Auftrag personenbezogene Daten verarbeiten, ist ein Auftragsverarbeitungsvertrag erforderlich. Hier spielen die technischen und organisatorischen Maßnahmen (TOM) eine große Rolle, welche eine gewisse Sicherheit bei der Verarbeitung personenbezogener Daten gewährleisten. Als technische Maßnahmen werden hierbei eine Reihe von Maßnahmen bezeichnet, die Einfluss auf die technische Verarbeitung haben, wie beispielsweise die Verschlüsselung von Datenträgern. Als organisatorische Maßnahmen hingegen gelten z.B. Schulungen von Mitarbeitern, aber auch die Vertraulichkeitsverpflichtung.

Auch beim Betrieb einer Webseite müssen gewisse Standards eingehalten werden. Zunächst sollte sich beim Aufrufen der Webseite stets ein Cookie-Banner mit entsprechenden Auswahlmöglichkeiten öffnen. Ferner muss jede Webseite eine Datenschutzerklärung nach Maßgabe der DSGVO sowie des BDSG enthalten, in der der jeweilige Zweck der Verarbeitung, die Dauer der Verarbeitung, die Betroffenenrechte sowie sämtliche Rechtsgrundlagen der Verarbeitungen genannt werden. Eine fehlerhafte Datenschutzerklärung kann auch hier zu hohen Bußgeldern führen.

Start-up Investoren prüfen die Umsetzung der DSGVO

Auch in Hinblick auf mögliche Investoren ist die genaue Einhaltung der DSGVO lukrativ. Natürlich wird hier genau geprüft, inwieweit sich das Start-up an die gesetzlichen Vorgaben hält und wie diese im Unternehmen Umsetzung finden. Wichtig ist, dass sich Start-ups hinsichtlich ihrer technischen Maßnahmen, bezogen auf datenschutzrechtliche Vorgaben, stets auf dem neuesten Stand befinden, um Sicherheit zu gewährleisten und das Risiko von möglichen Datenpannen oder Reputationsschäden zu minimieren. Als „Datenpanne” wird die Verletzung des Schutzes personenbezogener Daten bezeichnet, die der unverzüglichen und möglichst binnen 72 Stunden zu erfolgenden Meldung bei der zuständigen Aufsichtsbehörde bedarf und die ebenfalls empfindliche Bußgelder nach sich ziehen kann. Deshalb möchten mögliche Investoren das Risiko einer Datenpanne gerne ausschließen und daher vorzugswürdig in Start-ups investieren, bei denen eine lückenlose Einhaltung der DSGVO gegeben ist. Um eine hohe Attraktivität für Investoren zu erzielen, ist es besonders wichtig, bei einer Prüfung der bisherigen Umsetzung der DSGVO, die häufig vor der Platzierung von Investitionen erfolgt, gute Ergebnisse zu erzielen. 

Selbstredend ist, dass Investoren nur in Geschäftsmodelle investieren, welche auch vor dem Hintergrund der datenschutzrechtlichen Situation, legal durchgeführt werden dürfen. Ist das Geschäftsmodell nicht vorab umfassend begutachtet worden, gehen Start-ups das Risiko ein, dass die Produkte, Dienstleistungen oder Softwarelösungen gar nicht erst angeboten werden dürfen. Gründer-Teams setzen daher oftmals auf ein externes Audit, um diese Risiken ausschließen zu können.

Was sind die “Must-Haves”?

Besonders geeignet für den Nachweis über die Einhaltung der DSGVO sind Dokumentationen wegen der Rechenschafts- und Nachweispflicht. vgl. Art. 5 Abs. 2 DSGVO. Hierzu zählen insbesondere der Abschluss von Auftragsverarbeitungsverträgen sowie die Dokumentation der technischen und organisatorischen Maßnahmen eines Unternehmens nach Art. 32 DSGVO. Darüber hinaus ist ein Verzeichnis von Verarbeitungstätigkeiten gem. Art. 30 DSGVO unerlässlich. Das Verzeichnis von Verarbeitungstätigkeiten ist eine Übersicht aller Prozesse (Verarbeitungen), welche personenbezogene Daten beinhalten. Die Erstellung eines solchen Verzeichnisses ist hier umfassend erklärt. 

Auch eine Datenschutz-Folgenabschätzung, z.B. bei gewissen Verarbeitungen von besonderen Kategorien von personenbezogenen Daten, kann erforderlich sein und sollte daher dokumentiert durchgeführt werden. Als organisatorische Maßnahme i.S.v. Art. 32 DSGVO müssen Vertraulichkeitsverpflichtungen und Informationsschreiben für Mitarbeiter vorhanden sein. Zudem sollten Mitarbeiterschulungen im Datenschutz in regelmäßigen Abständen durchgeführt werden und eingeholte Einwilligungserklärungen der Mitarbeiter, zum Beispiel in Hinblick auf die Veröffentlichung von Mitarbeiterfotos auf der Webseite des Arbeitgebers, revisionssicher aufbewahrt werden.

Datenschutz beim Verkauf eines Start-ups

Nun stellt sich die Frage, was bei dem Verkauf eines Start-ups, bei einem sogenannten Start-up Exit, zu beachten ist. Grundlegend ist zunächst klarzustellen, dass Kundendaten nicht wie Ware verkauft werden können. Auch hier müssen die Vorgaben der DSGVO eingehalten werden. Zu unterscheiden ist hierbei zwischen Kundendaten bei laufenden Verträgen, bei welchen eine Genehmigung des Kunden notwendig ist, sowie Daten von Bestandskunden ohne laufende Verträge, bei denen die aktive Vertragsbeziehung mehr als drei Jahre zurückliegt und deren Daten damit der Einschränkung der Verarbeitung unterliegen. Ferner sind von diesen Konstellationen Daten von Kunden bei fortgeschrittener Vertragsanbahnung zu unterscheiden, die mit einer längeren Widerspruchsfrist übermittelt werden. Darüber hinaus werden Kundendaten im Falle von offenen Forderungen abgetreten und dürfen somit dem Käufer weitergegeben werden. Kundendaten besonderer Kategorien von personenbezogenen Daten nach Art. 9 Abs. 1 DSGVO können nach einer informierten Einwilligung gem. Art. 9 Abs. 2 lit. a) DSGVO und Art. 7 DSGVO übermittelt werden. Bezüglich der Daten von Mitarbeitern und Beschäftigten gilt, dass diese nur verarbeitet werden dürfen, sofern diese für die Beurteilung des Arbeitsverhältnisses sowie dessen Begründung oder Beendigung notwendig ist, vgl. Art. 88 DSGVO, § 26 BDSG-neu. In diesem Zusammenhang ist zudem die Frage entscheidend, wie lange der Verkäufer die jeweiligen Daten noch verarbeiten darf. Sofern nicht entsprechende Aufbewahrungspflichten bestehen, sind die Daten durch den ehemaligen Arbeitgeber umgehend zu löschen.

Anforderungen an den digitalen Arbeitsplatz im Start-up 

Start-ups arbeiten in der Regel sehr digital und kennzeichnen sich durch den effizienten Einsatz mobiler Endgeräte. Doch auch die Nutzung von Arbeitstools wie Slack und Microsoft Office 365 und Google Dienste birgt einige datenschutzrechtliche Gefahren, die es zu vermeiden gilt. Durch die Eröffnung der vielen (digitalen) Optionen ist es Start-up-Mitarbeitern möglich, oft im Homeoffice zu arbeiten. Besonders im Homeoffice wird häufig zwingend auf die genannten Tools zurückgegriffen.  Um personenbezogene Daten zu schützen, sieht Art. 32 Abs. 1 lit. b) DSGVO vor, dass angemessene Schutzmaßnahmen getroffen werden müssen, welche die Fähigkeit besitzen, die Vertraulichkeit, Verfügbarkeit, Belastbarkeit und Integrität der Dienste und Systeme in Bezug auf die Verarbeitung der Daten sicherzustellen. Zugriffs- und Zutrittskontrollen sowie Eingabe- und Weitergabekontrollen sollten, sowohl am Arbeitsplatz als auch im Homeoffice, vorhanden sein, damit z.B. Datenpannen ausgeschlossen werden und personenbezogene Daten auf einem sicheren Level verarbeitet werden. Die Risiken im Home Office, wie z.B. die unbefugte Nutzung von Geräten und Systemen durch Dritte oder die Offenlegung schützenswerter Informationen, kann durch gezielte technische und organisatorische Maßnahmen auf ein Minimum reduziert werden. 

Software-Entwicklung unter der DSGVO

Auch die Software-Entwicklung ist vom Datenschutz betroffen: Start-ups sollten bei der Auswahl bzw. Entwicklung ihrer Software besonders achtsam sein, da hier mehrere wichtige Grundsätze für die Erhebung von personenbezogenen Daten gelten, welche insbesondere in Art. 5 Abs. 1 DSGVO aufgelistet sind. Diese Grundsätze beinhalten das Transparenzgebot, die Zweckbindung sowie das Prinzip der Datenminimierung. Als weitere wesentliche Normen in Bezug auf eine datenschutzkonforme Software-Entwicklung sind insbesondere Art. 25 und Art. 78 DSGVO zu nennen. Hier steht der Schutz der Rechte und Freiheiten der betroffenen Personen im Fokus. Personenbezogene Daten sind via „Datenschutz durch Technikgestaltung”, auch „Privacy by design” genannt, zu schützen. Dies sind Technikgestaltungen, wie zum Beispiel die sichere Verschlüsselung und Pseudonymisierung von personenbezogenen Daten. Darüber hinaus sollte der Datenschutz durch sog. datenschutzfreundliche Voreinstellungen gewährleistet werden („Privacy by default”). Hierbei geht es um den Grundsatz, dass durch Voreinstellungen nur Daten verarbeitet werden, die für den jeweiligen Verarbeitungszweck erforderlich sind. Die technischen und organisatorischen Maßnahmen spielen insgesamt bei der Software-Entwicklung eine große Rolle und zu einem möglichst frühen Zeitpunkt in der Software-Entwicklung berücksichtigt werden, da die nachträgliche Implementation häufige größere Aufwände und Kosten nach sich ziehen kann. Diese sollten darauf ausgelegt sein, Datenschutzgrundsätze möglichst wirksam umzusetzen. Bei der Auswahl der TOMs ist besonders darauf zu achten, dass diese stets auf dem neuesten Stand der Technik sind und diese regelmäßig überprüft werden.

Was sollten Start-ups noch beachten?

Wir fragen nach beim Start-up Rechtsanwalt Nils L. Bremann LL.M., welcher Gründungs-Partner der Kanzlei „Der Startup Anwalt“ mit Standorten in Münster und Hamburg ist.

Was Start-ups aus meiner Sicht als Start-up Anwalt in datenschutzrechtlicher Sicht zu beachten haben, ist natürlich stark abhängig vom jeweiligen Geschäftsmodell. Pauschal kann man aber sagen, je digitaler ein Geschäftsmodell, desto mehr Datenschutzthemen sind in dessen Aufbau einzubeziehen. Themen wie die Beratung und der Entwurf zu Datenschutzerklärungen & Cookie-Banner für Websites und Apps, zu Auftragsverarbeitungsverträgen als Bestandteil der Vertragsbeziehung zu den Kunden oder auch zum datenschutzkonformen Aufbau von Software gehören zu den immer wiederkehrenden Basics eines Start-up Anwalts. Spannend wird es aus meiner Sicht insbesondere immer dann, wenn es sich bei den Geschäftsmodellen der Start-ups um solche handelt, die die neuesten Technologien, wie etwa Blockchain, Künstliche Intelligenz oder auch Internet of Things integrieren. Hier nimmt die Klärung datenschutzrechtlicher Fragen eine zentrale Rolle ein. Denn im Zentrum dieser Technologien steht meist die Verarbeitung einer Vielzahl personenbezogener Daten. Und für viele dieser technischen Entwicklungen gibt es auch noch gar keine sonstige Gesetzgebung außerhalb des Datenschutzrechts. 

Was ist ein Datenschutzbeauftragter?

Ein Datenschutzbeauftragter, oft abgekürzt mit DSB, kann sowohl eine natürliche Person als auch eine juristische Person wie zum Beispiel eine GmbH sein. Zu den Aufgaben eines Datenschutzbeauftragten gehören unter anderem die Überwachung der Einhaltung der Datenschutzbestimmungen, und zudem fungiert der DSB als Ansprechpartner für Datenschutzthemen. Datenschutzbeauftragte können auf Bundes-, Länder- und Unternehmensebene bestellt werden. Unter bestimmten Voraussetzungen gilt eine Pflicht zur Bestellung eines Datenschutzbeauftragten für Unternehmen. Dies trifft unter anderem ein, wenn ein Unternehmen mindestens 20 Arbeitnehmer beschäftigt, welche mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Sollte der Pflicht nicht nachgekommen werden, einen DSB zu bestellen, ist dies eine Ordnungswidrigkeit.

Wer braucht einen Datenschutzbeauftragten?

Gemäß der europäischen Datenschutz-Grundverordnung (DSGVO) und ergänzend dazu aus dem Bundesdatenschutzgesetz (BDSG) ergeben sich einige rechtliche Verpflichtung zur Bestellung eines DSBs. So besteht nach § 38 BDSG eine Pflicht, die sich aus der Mitarbeiterzahl eines Unternehmens ergibt. Demnach muss ein Unternehmen einen DSB bestellen, wenn in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Bei der Bemessung der Personenanzahl werden auch Teilzeitkräfte, Aushilfen und Praktikanten berücksichtigt. Dabei liegt eine regelmäßige automatisierte Datenverarbeitung z.B. vor, wenn EDV-Programme wie Outlook oder Excel eingesetzt werden, aber auch durch den alltäglichen beruflichen E-Mai-Verkehr. Daneben besteht unabhängig von der Anzahl der Arbeitnehmer in einem Unternehmen gem. Art. 37 Abs. 1 lit. b) DSGVO die Pflicht zur Benennung eines DSBs, wenn die Kerntätigkeit eines Unternehmens Datenverarbeitungsvorgänge betrifft, bspw. die Erhebung, Verarbeitung, Nutzung oder Übermittlung personenbezogener Daten bei Marktforschungsunternehmen. Darüber hinaus gilt eine Benennungspflicht, sobald in großem Umfang besondere Arten von personenbezogenen Daten oder personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten gem. Art. 10 DSGVO verarbeitet werden. Nach Art. 9 DSGVO sind besondere Kategorien personenbezogener Daten z.B. Daten zur Gesundheit oder ethnischen Herkunft. Schließlich ergibt sich noch eine Bestellungspflicht, wenn im Sinne des Art. 35 DSGVO eine Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat und Datenschutzfolgeabschätzung notwendig wird.

Arten des Datenschutzbeauftragten

ES gibt zwei verschiedene Arten von Datenschutzbeauftragten. Ein interner DSB ist ein Angestellter des Unternehmens, dieser ist für den Datenschutz innerhalb des Unternehmens verantwortlich. Der interne Datenschutzbeauftragte muss diverse Pflichten und Anforderungen erfüllen, dies geschieht z.B. anhand von Fortbildungen. Sollte der Mitarbeiter die Anforderungen nicht erfüllen, so wird dies bewertet, als wäre kein DSB im Unternehmen vorhanden. Als interner DSB verfügt man über einen erweiterten Kündigungsschutz und hat Ansprüche auf eine eigene Ausstattung und Fortbildungen, welche vom Unternehmen bezahlt werden. Der interne DSB darf außerdem im Feld seiner Tätigkeit weisungsfrei handeln.

Ein externer Datenschutzbeauftragter wird durch einen Dienstleister gestellt. Unternehmen beauftragen also im Rahmen von Dienstleistungsverträgen eine externe Person und verlagern somit die Aufwände extern. Als externe Datenschutzbeauftragte kommen dabei Dienstleister in Frage, welche viel Erfahrung und juristische Expertise besitzen.

Wer kann Datenschutzbeauftragter werden?

Laut Gesetz kann nicht jeder zum Datenschutzbeauftragten ernannt werden. Jede Person, die in einem Interessenkonflikt steht oder bei der die Selbstkontrolle gefährdet ist, ist hiervon explizit gem. Art. 39 Abs. 6 S. 2 DSGVO ausgeschlossen. Dieser Fall liegt vor, wenn der Datenschutzbeauftragte anderen Aufgaben nachkommt, die im Zielkonflikt mit den Grundaufgaben des Datenschutzbeauftragten gem. Art. 39 DSGVO stehen. Zum Beispiel wird die Kontrollfunktion geschwächt, wenn der Datenschutzbeauftragte gleichzeitig der Geschäftsführer oder eine dieser nahestehenden Person ist. Hierzu hatte ein Unternehmen bereits ein Bußgeld erhalten. Dennoch ist es möglich, dass der Datenschutzbeauftragte anderen Aufgaben und Pflichten nachkommen kann. Solange die datenschutzrechtliche Beratung von einer neutralen Basis ausgeht, die Überwachung des Datenschutzes nicht beeinflusst wird und die Korrespondenz mit Aufsichtsbehörden ebenfalls datenschutzrechtlich neutral gestaltet wird, stellen andere Aufgaben keinen Interessenkonflikt dar.

Die Aufsichtsbehörden sind sich einig, dass die oberste Leistungsebene, also Personen wie der Geschäftsführer, Inhaber, leitende Angestellte, Manager oder Prokuristen, nicht als Datenschutzbeauftragte für das eigene Unternehmen ernannt werden dürfen. Die Vertretungspflicht der Person widerspricht der Kontrollfunktion aus Sicht der DSGVO.

Welche Qualifikation muss ein Datenschutzbeauftragter haben? 

Um der Stellung des Datenschutzbeauftragten im Sinne der DSGVO gerecht zu werden, müssen in jedem Fall die Vorgaben des Art. 37 Abs. 5 DSGVO erfüllt sein. Abweichende nationale, z.B. deutsche Regelungen, sind von der DSGVO nicht vorgesehen und auch nicht zugelassen. Den Mitgliedstaaten steht es lediglich offen, ergänzende bzw. zusätzliche Qualifikationen vorauszusetzen. Grundsätzlich muss ein Datenschutzbeauftragter drei Hauptaufgaben erfüllen: Er muss auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens im Bereich Datenschutzrecht benannt werden. Des Weiteren muss der gleiche Qualifikationsstandard für die Datenschutzpraxis vorliegen. Für die dritte Qualifikation muss der Datenschutzbeauftragte in der Lage sein, auf Grundlage seiner Fähigkeiten die in Art. 39 DSGVO genannten Aufgaben zu erfüllen. Diese Qualifikationen sollten bereits im Vorfeld, also vor Ernennung zum Datenschutzbeauftragten, vorliegen. Die Praxis zeigt jedoch, dass dies nicht immer nahtlos möglich ist. Dennoch sollten die Qualifikationen schnellstmöglich nach Ernennung nachgeholt werden und sodann auch erhalten werden. Bedeutet, dass das Wissen stets aktuell gehalten werden muss, um die datenschutzrechtlichen Vorgaben zu erfüllen. Datenschutzbeauftragte können ihr Fachwissen mit entsprechenden Gütesiegeln wie z.B. vom TÜV oder IHK nachweisen. Dabei ist zu berücksichtigen, dass Zertifikate eine Momentaufnahme darstellen und eventuell nicht ausreichend Fachwissen vermitteln, um komplexere datenschutzrechtliche Themen zu behandeln.

Vor- und Nachteile eines internen Datenschutzbeauftragten

Nachfolgend stellen wir Ihnen die Vorteile und Nachteile eines internen Datenschutzbeauftragten gegenüber.

Vorteile:

• Kennt die Firma und hat dadurch einen Überblick über interne und vertrauliche Prozesse.
• Ist i.d.R. vor Ort und schneller handlungsfähig.
• Keine große Einarbeitung im Unternehmen notwendig.

Nachteile:

• Oft nur nebenberuflich als DSB tätig, was Zeitmangel und Überforderung verursacht.
• Nicht tief genug in den Datenschutz eingearbeitet, was zu Fehlern führen kann.
• Fehlende Expertise aus der Praxis.
• Zusätzliche Kosten für die Ausbildung des DSB.
• Fehlende Vertretung, falls der DSB verhindert ist.
• Erweiterter Kündigungsschutz.
• Mögliche Interessenkonflikte innerhalb des Unternehmens.
• Beschränkte Arbeitnehmerhaftung.
• Oft schwierig eine geeignete Person zu finden.

Unabhängig von der Ausbildung eines internen DSB, ist es zudem auch relevant, die Mitarbeiterinnen und Mitarbeiter rechtssicher über Datenschutz im Unternehmen aufzuklären und zu sensibilisieren. So verhindern Sie die fehlerhafte Umsetzung von rechtlichen Vorgaben und gehen keine weiteren Risiken im Unternehmen bezüglich verschiedenster Datenschutzverletzungen ein. Eine Schulung, wie bspw. die der Mitarbeiterschule, kann dabei ein wichtiges Instrument zur Datenschutz-Optimierung darstellen.

Vor- und Nachteile eines externen Datenschutzbeauftragten

Nun folgt die Gegenüberstellung der Vor- und Nachteile bei Bestellung eines externen Datenschutzbeauftragten.

Vorteile:

• Höher qualifiziert durch höhere Fortbildungsbudgets.
• Kann fristgerecht gekündigt werden.
• Neutrale Person (Vermeidung von Interessenkonflikten).
• Transparente Vorgehensweise.
• Unternehmen haftet nicht bei falscher Beratung durch den DSB.
• Permanenter Ansprechpartner.
• Viel Praxiserfahrung und benötigte Expertise.
• Planbare Kostenstruktur.

Nachteile:

• Eventuell fehlende spezifische Unternehmenskenntnisse, wodurch ggf. Einarbeitung notwendig ist.
• Es müssen Prozesse für die reibungslose Kommunikation eingerichtet werden.

Aufgaben des Datenschutzbeauftragten

Der Aufgabenbereich eines Datenschutzbeauftragten ist sehr vielfältig. Diese übernehmen die gesamte Koordination von datenschutzrechtlichen Aufgaben in einem Unternehmen und entlasten auf diese Weise die Geschäftsführung und das Management. Als Schnittstelle zwischen dem Unternehmen und der zuständigen Aufsichtsbehörde erfüllen diese eine neutrale Kontrollfunktion hinsichtlich der Beratung, Unterstützung und Umsetzung von Datenschutzfragen. Zudem sind sie die Verantwortlichen für die Einhaltung der DSGVO und weiteren Datenschutzvorschriften, wie z.B. das Gesetz zum Schutz von Geschäftsgeheimnissen (GeschGehG). Zusätzlich unterstützt und berät der DSB den Verantwortlichen bei der rechtskonformen Erstellung der Datenschutz-Folgenabschätzungen gem. Art. 35 DSGVO, sprich der Risikoanalyse bzw. Risikoabschätzung vor der Durchführung einer jeweiligen Datenverarbeitung. Darüber hinaus berät und hilft der DSB dem Verantwortlichen zum einen bei der Erstellung von Richtlinien, um dem Prinzip der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO gerecht zu werden und zum anderen bei der Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten gem. Art. 30 DSGVO, um die notwendigen Angaben des VVT und die inhaltlichen Anforderungen gem. Art. 30 Abs. 1 lit. a) bis g) DSGVO auf Schlüssigkeit zu kontrollieren.

Zusätzlich kann der Datenschutzbeauftragte gem. Art. 37 bis Art. 39 DSGVO u.a. folgende Aufgaben übernehmen:

• Kommunikation mit Auftragsverarbeitern und Dienstleistern
• Erstellung von Auftragsverarbeitungsverträgen (AVV)
• Koordination der Abschlüsse von Auftragsverarbeitungsverträgen
• Prüfung und Erstellung von Datenschutzerklärungen
• Erstellung und Prüfung von Einwilligungserklärungen
• Entwicklung eines Verfahrens für die Bearbeitung von Betroffenenrechten
• Prüfung von technisch-organisatorischen Maßnahmen
• Empfehlungen für gesetzlich erforderliche technisch-organisatorische Maßnahmen
• Entwurf von Berechtigungs- und Löschkonzepten
• Prüfung und Niederschrift von Informationsschreiben für betroffene Personen
• Erstellung von Vertragswerken, wie z.B. EU-Standard-Datenschutzklauseln gem. Art. 46 Abs. 2 lit. c) DSGVO für den Transfer von personenbezogenen Daten in Drittländer oder der Entwurf eines Vertrags zur gemeinsamen Verantwortlichkeit gem. Art. 26 DSGVO

Was droht bei Verstößen gegen die Bestellungspflicht?

Die fehlerhafte oder gänzlich unterlassene Bestellung eines Datenschutzbeauftragten könnte von den zuständigen Aufsichtsbehörden nach Art. 83 Abs.4 lit.a DSGVO entweder mit einem Bußgeld von bis zu 10 Mio. Euro oder einem Bußgeld von bis zu zwei Prozent des weltweiten Jahresumsatzes geahndet werden. Für die Höhe ist der Umsatz des Unternehmens aus dem vorangegangenen Geschäftsjahr maßgeblich.

Zudem können durch die Benennung eines DSB mögliche Verstöße minimiert oder gänzlich vermieden werden. Bei den meisten Verstößen drohen sonst Strafen in Form von Bußgeldern. Diese richten sich an die jeweilige verantwortliche Stelle, so z.B. an die juristischen Personen im Fall eines Unternehmens. Welche Verstöße zu Bußgeldern führen, zählt Art. 83 DSGVO auf. Hierzu gehören u.a. Verstöße gegen Regelungen, die folgende Bereiche des Datenschutzes betreffen:

• Auftragsverarbeitung
• Betroffenenrechte
• Verzeichnis der Verarbeitungstätigkeiten
• Informationspflichten (Datenschutzerklärungen)
• Technisch-organisatorische Maßnahmen
• Übermittlungen von personenbezogenen Daten in Drittstaaten
• Grundsätze der Datenverarbeitung
• Datenschutzfolgen-Abschätzungen

Bei solchen Verstößen drohen Verantwortlichen Bußgelder von bis zu 20 Mio. Euro oder im Fall eines Unternehmens bis zu vier Prozent des weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres, je nachdem, welcher der Beträge höher ist, vgl. Art. 83 Abs. 4 und Abs. 5 DSGVO.

Nach Art. 55 Abs. 1 DSGVO ist jede Aufsichtsbehörde für die Erfüllung der Aufgaben und die Ausübung der Befugnisse, die ihr übertragen wurden, im Hoheitsgebiet ihres eigenen Mitgliedstaats zuständig. Dies bedeutet, dass für Unternehmen und andere nicht-öffentliche Stellen in Deutschland grundsätzlich die örtlich zuständigen Landesaufsichtsbehörden zuständig sind. Dabei können die Kontrollen anlasslos oder anlassbezogen erfolgen. Bei diesen Kontrollen können dann bspw. durch Mängel bei der schriftlichen Bestellung des DSB oder wenn dieser nicht die Voraussetzungen nach Art. 37 Abs. 5 DSGVO erfüllt, Bußgelder drohen. Als Ordnungswidrigkeit gem. § 43 BDSG können diese Bußgelder bis zu 50.000 Euro betragen.

Welche weiteren Folgen bspw. auch natürlichen Personen bei Verstößen gegen die Regelungen des Datenschutzes drohen, können Sie in unserem Blog erfahren. Zudem können Sie hier aktuelle News aus dem Datenschutz über neue Rechtsprechungen oder Bußgelder einsehen.

Was sind personenbezogene Daten?

Zunächst ist es wichtig, die Definition von personenbezogenen Daten zu bestimmen. Für diesen Begriff existiert in Art. 4 Nr. 1 DSGVO eine gesetzliche Definition (Legaldefinition): Hiernach sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen. 

Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere durch eine Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.

Diese Informationen müssen also stets einer natürlichen Person zugeordnet werden können. Informationen bezüglich einer Firma bzw. einer juristischen Person, wie einer GmbH, sind somit nicht personenbezogenen, soweit sie keine Informationen über natürliche Personen enthalten. Dagegen sind Informationen eines Ansprechpartners bei einer juristischen Person, wie z.B. Vor- und Nachname, Telefonnummer und E-Mail-Adresse, personenbezogene Daten, personenbezogene Daten.

Beispiele – Kategorien personenbezogener Daten

Für eine bessere Übersicht für Beispiele von personenbezogenen Daten i.S.d. DSGVO lassen sich diese gut in folgende Oberbegriffe bzw. Kategorien unterteilen, die nicht abschließend sind:

• Allgemeine personenbezogene Daten wie z.B. Name, Geburtstag, Geburtsort, Anschrift, E-Mail-Adresse
• Körperliche Informationen wie z.B. Geschlecht, Status, Kleidergröße, Haar- und Augenfarbe
• Kennziffern wie z.B. Sozialversicherungsnummer, Krankenversicherungsnummer und Steueridentifikationsnummer
• Bankdaten wie z.B. Kontonummer, Kontostand und weitere Informationen über die Bankverbindung wie eine IBAN
• Online-Informationen wie z.B. IP-Adresse oder sog. Fingerprint-Informationen für Browser oder Geräte
• Bewertungen wie z.B. Zeugnisse oder Noten
• Kundendaten wie z.B. Bestellangaben oder Zahlungsdaten
• Vermögensinformationen wie z.B. Einkommen, Eigentum, Vermögensstand 

Beispiele – Besondere Kategorien personenbezogener Daten

• Besondere personenbezogene Daten sind zum Beispiel religiöse oder politische Ansichten
• Gesundheitsdaten und damit verbundene Patientendaten
• Genetische oder biometrische Daten 

Speicherung personenbezogener Daten

Die Speicherung von personenbezogenen Daten, z.B. in einem CRM-System oder auf Cloud- bzw. SaaS-Systemen, ist gleich von mehreren gesetzlichen Vorgaben aus der DSGVO und des BDSG-neu betroffen: Zum einen ist eine entsprechende Rechtsgrundlage für die Speicherung von personenbezogenen Daten erforderlich. Das ergibt sich bereits aus Art. 6 DSGVO. Für besondere Kategorien personenbezogener Daten ergibt sich die Erforderlichkeit einer konkreten Rechtsgrundlage aus Art. 9 DSGVO. Zum anderen sind bei der Speicherung personenbezogener Daten die Grundsätze für die Verarbeitung von personenbezogenen Daten gem. Art. 5 DSGVO zu berücksichtigen. Auch die technisch-organisatorischen Maßnahmen gem. Art. 25, 32 ff. DSGVO müssen bei der Speicherung von personenbezogenen Daten eingehalten werden. 

Wann dürfen personenbezogene Daten verarbeitet werden?

Viele Unternehmen stellen sich die Frage, wann personenbezogene Daten erhoben und verarbeitet werden dürfen. Die Verarbeitung von personenbezogenen Daten ist erlaubt, wenn eine entsprechende Rechtsgrundlage für die Verarbeitung vorliegt. Diese Rechtsgrundlage kann sich z.B. aus einem Datenschutzgesetz wie der EU-Datenschutzgrundverordnung DSGVO und/oder dem Bundesdatenschutzgesetz BDSG-neu ergeben. 

Zum einen ist die Speicherung von personenbezogenen Daten eine Verarbeitung von personenbezogenen i.S.d. Art. 6, Art. 4 Nr. 2 DSGVO, weshalb eine Rechtsgrundlage für die Speicherung von personenbezogenen Daten erforderlich ist. So ist gem. Art. 6 Abs. 1 lit. a) DSGVO eine Speicherung von personenbezogenen Daten erlaubt, wenn eine Einwilligung gem. Art. 7, 8 DSGVO von der betroffenen Person eingeholt wurde. Eine andere Rechtsgrundlage ergibt sich aus Art. 6 Abs. 1 lit. b) DSGVO: Wenn die Speicherung für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist, die auf Anfrage der betroffenen Person erfolgen, ist die Speicherung von personenbezogenen Daten rechtmäßig. 

Eine Speicherung von personenbezogenen Daten ist darüber hinaus auch dann rechtmäßig, wenn die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der der Verantwortliche unterliegt, vgl. Art. 6 Abs. 1. lit. c) DSGVO. Eine weitere Rechtsgrundlage bildet Art. 6 Abs. 1 lit. d) DSGVO, wenn eine Speicherung von personenbezogenen Daten erforderlich ist, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlich Person zu schützen. Wenn die Speicherung für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde, ergibt sich die Rechtsgrundlage für die Speicherung von personenbezogenen Daten aus Art. 6 Abs. 1 lit. e) DSGVO. 

Falls die Speicherung von personenbezogenen Daten für die Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt, ist die Speicherung rechtmäßig, vgl. Art. 6 Abs. 1 lit. f) DSGVO. 

Darüber hinaus gibt es noch viele weitere spezialgesetzliche Regelung für die Verarbeitung bzw. Speicherung von personenbezogenen Daten, wie z.B. für das Beschäftigungsverhältnis gem. Art. 88 DSGVO, § 26 BDSG-neu.

Wenn es um die Speicherung von besonderen Kategorien personenbezogener Daten geht, müssen die Voraussetzungen des Art. 9 DSGVO vorliegen. Hier werden Rechtsgrundlagen für besondere Kategorien personenbezogener Daten, wie z.B. Gesundheitsdaten, biometrische Daten oder genetische Daten, genannt. Eine Rechtsgrundlage für besondere Kategorien personenbezogener Daten kann z.B. eine Einwilligung i.S.d. Art. 9 Abs. 2 lit. a) DSGVO sein. Eine spezialgesetzliche Rechtsgrundlage ergibt sich z.B. aus Art. 9 Abs. 2 lit. b) DSGVO i.V.m. § 26 Abs. 3 BDSG-neu. 

Darüber hinaus muss stets berücksichtigt werden, dass die Speicherung von personenbezogenen Daten nicht beliebig lang erfolgen darf. Hier sind stets gesetzliche Aufbewahrungs- und Löschfristen zu berücksichtigen. Diese müssen in Abhängigkeit der jeweiligen gespeicherten personenbezogenen Daten berücksichtigt werden.

Wie lange dürfen personenbezogene Daten gespeichert werden?

Die Dauer der Speicherung personenbezogener Daten kann je nach Kontext und Zweck der Datenverarbeitung variieren, aber das Prinzip der Speicherbegrenzung in der Datenschutz-Grundverordnung (DSGVO) der Europäischen Union besagt, dass personenbezogene Daten „in einer Form, die die Identifizierung der betroffenen Personen ermöglicht, nicht länger als für die Zwecke, für die sie verarbeitet werden, erforderlich aufbewahrt werden dürfen“.

Eine exakte Frist für die Speicherung von personenbezogenen Daten sehen die datenschutzrechtlichen Gesetze nicht vor. Jedoch gilt der Grundsatz der Zweckbindung, welcher gesetzlich in Art. 5 Abs. 1 lit. b) DSGVO normiert ist. Demnach dürfen personenbezogene Daten nur gespeichert werden, wenn ein entsprechender Zweck hierfür vorliegt.

Gemäß Art. 5 Abs. 1 lit. e) DSGVO dürfen personenbezogene Daten nur so lange gespeichert werden, wie es für die Zwecke, für die sie erhoben oder verarbeitet werden, erforderlich ist. Sobald die Daten für diese Zwecke nicht mehr benötigt werden, müssen sie gelöscht oder anonymisiert werden.

Es gibt jedoch auch Ausnahmen von diesem Grundsatz. In einigen Fällen können Daten aufgrund von rechtlichen oder behördlichen Anforderungen länger gespeichert werden, z.B. zur Erfüllung von Buchhaltungs- oder Steuervorschriften. In solchen Fällen müssen jedoch angemessene technische und organisatorische Maßnahmen ergriffen werden, um die Daten zu schützen.

Zusätzlich dazu muss der Verantwortliche dafür sorgen, dass die personenbezogenen Daten nicht länger gespeichert werden als notwendig, und die Daten müssen regelmäßig überprüft und gegebenenfalls gelöscht oder anonymisiert werden.

Welche Grundsätze gelten bei der Verarbeitung von personenbezogenen Daten?

Die Grundsätze der Datenverarbeitung, die insbesondere bei der Speicherung von personenbezogenen Daten eingehalten werden müssen, sind in Art. 5 DSGVO definiert. Diese Grundsätze müssen von allen verantwortlichen Stellen eingehalten werden. Sie bilden Grundregeln für die Verarbeitung von personenbezogenen Daten, die stets zu berücksichtigen sind. Durch die Grundsätze der Datenverarbeitung soll die Einhaltung der datenschutzrechtlichen Vorgaben der DSGVO gewährleistet werden.

Der Begriff Verarbeitung wird von der DSGVO sehr weit interpretiert. Auch für diesen Begriff existiert in Art. 4 Nr. 2 DSGVO eine Legaldefiniton: Diese wird definiert als jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.

Rechtmäßigkeit

Der Grundsatz der Rechtmäßigkeit der Verarbeitung von personenbezogenen Daten ist in Art. 5 Abs. 1 lit. a) DSGVO geregelt. Hiermit ist insbesondere gemeint, dass alle rechtlichen Vorgaben aus der DSGVO bei der Verarbeitung von personenbezogenen Daten eingehalten werden müssen. Das Bestehen einer Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten ist z.B. eine dieser rechtlichen Vorgaben. 

Nach Treu und Glauben

Der Grundsatz, dass die Verarbeitung von personenbezogenen Daten nach Treu und Glauben erfolgen muss, ist ebenfalls in Art. 5 Abs. 1 lit. a) DSGVO geregelt. Dieser Grundsatz kann im Prinzip nur im Einzelfall näher beschrieben werden und unterstreicht grundsätzlich, dass die Verarbeitung von personenbezogenen Daten redlich und anständig erfolgen muss. In Zukunft ist zu erwarten, dass dieser Grundsatz durch Fallgruppen näher spezifiziert wird. 

Transparenz

Auch der Grundsatz der Transparenz bezüglich der Verarbeitung von personenbezogenen Daten ist in Art. 5 Abs. 1 lit. a) DSGVO genannt. Mit Transparenz ist gemeint, dass betroffenen Personen ihr Recht auf informationelle Selbstbestimmung wahrnehmen können, wozu z.B. insbesondere die Geltendmachung der Betroffenenrechte nach Art. 15 ff. DSGVO gehört. Der Begriff der Transparenz wird insbesondere in den Art. 12 ff. bezüglich der Informationspflichten näher spezifiziert. Die Einhaltung des Datenschutzes durch technische Maßnahmen und technische Voreinstellungen gem. Art. 25 DSGVO können gem. Erwägungsgrund 78 S. 3 zur DSGVO durch die Gewährleistung von Transparenz in Bezug auf die Funktionen und die Verarbeitung personenbezogener Daten etabliert werden. 

Darüber hinaus macht Erwägungsgrund 100 zur DSGVO deutlich, dass durch die Einführung von Zertifizierungsverfahren und Datenschutzsiegel und Datenschutzprüfzeichen die Transparenz erhöht werden kann, weil hierdurch betroffene Personen einen schnellen Überblick über das Datenschutzniveau einschlägiger Produkte und Dienstleistungen erhalten können. 

Zweckbindung

Der Grundsatz der Zweckbindung ist in Art. 5 Abs. 1 lit. b) DSGVO geregelt. Hiernach müssen personenbezogene Daten für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbaren Weise weiterverarbeitet werden. 

Datenminimierung

Der Datenminimierungsgrundsatz ergibt sich aus Art. 5 Abs. 1 lit .c) DSGVO. Nach diesem Grundsatz müssen personenebzogene Daten dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein. 

Richtigkeit

Der Grundsatz der Richtigkeit der Verarbeitung von personenbezogenen Daten ist in Art. 5 Abs. 1 lit. d) DSGVO definiert. Richtigkeit in diesem Sinne bedeutet, dass personenbezogene Daten sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein müssen. Außerdem sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden.

Speicherbegrenzung

Der Speicherbegrenzungsgrundsatz ist in Art. 5 Abs. 1 lit. e) DSGVO geregelt und beinhaltet die Vorgabe, dass personenbezogene Daten in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. Ausnahmen können sich aus den Art. 5 Abs. 1 lit. e) 2. HS., 89 Abs. 1 DSGVO ergeben. 

Integrität und Vertraulichkeit

Der Grundsatz der Integrität und Vertraulichkeit wird in Art. 5 Abs. 1 lit. f) DSGVO beschrieben. Nach diesem Grundsatz müssen personenbezogene Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich dem Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen (z.B. gem. Art. 25, 32 ff. DSGVO). 

Rechenschaftspflicht

Die sog. Rechenschaftspflicht ist in Art. 5 Abs. 2 DSGVO geregelt. Der Verantwortliche ist nach diesem Grundsatz für die Einhaltung der Grundsätze des Datenschutzes verantwortlich und muss dessen Einhaltung nachweisen können. Dies erfolgt z.B. durch die Anfertigung von entsprechenden Dokumentation für die Erfüllung von datenschutzrechtlichen Vorgaben, wie z.B. einem Verzeichnis von Verarbeitungstätigkeiten (VVT) gem. Art. 30 DSGVO.

Strafen bei Verstößen gegen die DSGVO

Ein Verstoß gegen diese Grundsätze der Datenverarbeitung kann schwere Folgen haben: Gem. Art. 83 Abs. 5 lit. a) DSGVO können Verstöße gegen Bestimmungen über die Grundsätze der Datenverarbeitung mit Geldbußen von bis zu 20 Mio. Euro oder im Fall eines Unternehmens von bis zu 4 Prozent seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt werden, je nachdem, welcher der Beträge höher ist. Unabhängig von Bußgeldverfahren können Schadensersatzansprüche von Betroffenen geltend gemacht werden. Hier erfahren Sie mehr zur Geschäftsführerhaftung im Datenschutz.