Was ist Apple Intelligence?

Apple Intelligence ist ein neues KI-System, das tief in iOS 18, iPadOS 18 und macOS Sequoia integriert ist. Es kombiniert lokale, geräteinterne Verarbeitung („on-device intelligence“) mit einer sicheren Cloud-Infrastruktur, der sogenannten Private Cloud Compute. Die Funktionen reichen von automatischen Textkorrekturen, personalisierten Vorschlägen, Siri-Verbesserungen bis hin zu Funktionen wie Bildbearbeitung, E-Mail-Zusammenfassungen oder generativen Textvorschlägen. Die Besonderheit: Apple setzt auf eine datenschutzfreundliche Architektur, die maschinelles Lernen lokal oder unter strengsten Bedingungen serverseitig ausführt.

Datenschutz-Versprechen von Apple

Um ein hohes Datenschutzniveau zu gewährleisten, hat Apple bisher Folgendes versprochen:

• On-Device Verarbeitung: Datenverarbeitung erfolgt lokal auf dem Gerät.
• Private Cloud Verarbeitung: Verarbeitung erfolgt in der Cloud bei gewissen Fällen, aber unter höchsten Datenschutzstandards.
• Transparenz und Kontrolle: Nutzer können sehen, welche Daten wie verarbeitet werden.
• Keine Datenweitergabe an Dritte: Server verwenden keinen persistenten Speicher, keine Apple-ID wird mit den Daten verknüpft.

Technische Umsetzung: Privacy-by-Design

Apple hat technische Maßnahmen umgesetzt, um Privacy-by-Design (Datenschutzkonformität durch die Technikgestaltung) zu gewährleisten. Es handelt sich um folgende konkrete Maßnahmen:

Architektur der Intelligence Engine:

• Trennung von Nutzerdaten und der Verarbeitung.
• Verwendung von Secure Enclave, dedizierter Hardware-Schutz.
• Keine Persistenz: Server vergessen alles nach der Anfrage.

Audits und Open Source Transparenz:

• Apple ermöglicht unabhängige Prüfungen der Server.
• Software-Code ist öffentlich zugänglich, damit Vertrauen geschaffen wird.

Minimierungsprinzipien:

• Nur notwendige Daten werden verarbeitet.
• Kontextabhängige Entscheidungen, z. B. um Inhalte sinnvoll zusammenzufassen.

Ist Apple Intelligence datenschutzkonform?

Auch wenn Apple betont, keine personenbezogenen Daten zu speichern, gilt: Sobald Inhalte verarbeitet werden, die eine Person identifizieren können (z. B. Namen, Kundeninformationen), handelt es sich im Sinne der DSGVO um personenbezogene Daten. Deshalb ist für ihre Verarbeitung immer eine Rechtsgrundlage notwendig.

Rechtsgrundlage der Verarbeitung

Für die Datenverarbeitung mittels Apple Intelligence sind mehrere Rechtsgrundlagen denkbar. Welche Rechtsgrundlage einschlägig ist, hängt vor allem davon ab, wer und zu welchem Zweck die Daten verarbeitet.

Im Unternehmen ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) oder lit. b (Vertragserfüllung) möglich – aber nur bei klarer Zweckbindung und Risikoabwägung. Da Apple Intelligence nicht gezielt vom Unternehmen gesteuert, sondern benutzerindividuell aktiviert wird, ist hier besondere Vorsicht geboten.

Liegt eine ausdrückliche Einwilligung des Betroffenen vor, so ist die Rechtsgrundlage Art. 6 Abs. 1 lit. a DSGVO. Hier ist aber zu beachten, dass der Betroffene seine Einwilligung jederzeit widerrufen kann. Die Verarbeitung, die nach der Einwilligung und vor dem Widerruf erfolgte, bleibt dabei rechtmäßig.

Datenschutz-Folgenabschätzung (DSFA)

Falls ein Unternehmen regelmäßig sensible Daten nach Art. 9 DSGVO (Gesundheitsdaten, Daten über politische Meinungen, Religionszugehörigkeit u.a.) mittels Apple Intelligence verarbeitet, kann eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO erforderlich sein. Die Unternehmen müssen im Rahmen der DSFA die möglichen Risiken bewerten, dokumentieren und ggf. technische und organisatorische Maßnahmen (TOMs) ergänzen. Mehr zum Thema DSFA können Sie hier erfahren.

Verantwortlichkeit & Kontrolle

Auch wenn ein Datenschutzbeauftragter involviert ist, bleibt Ihr Unternehmen für die Datenverarbeitung verantwortlich. Dies folgt aus dem Art. 24 DSGVO. Dabei müssen Sie vor allem sicherstellen, dass nur datenschutzkonforme Tools genutzt werden. Dies gilt auch dann, wenn Ihre Beschäftigten ihre eigenen Endgeräte nutzen dürfen (Bring-your-own-device, BYOD) oder wenn Ihr Unternehmen sowohl eigene Geräte als auch die Geräte der Beschäftigten benutzt.

Fazit

Apple setzt mit Apple Intelligence neue Maßstäbe für datenschutzfreundliche KI. Die Architektur ist durchdacht, transparent und mit klarer Ausrichtung auf die Prinzipien der DSGVO. Besonders die Trennung von Datenidentität, der Verzicht auf persistente Speicherung und die Einbindung von Open-Source-Prüfbarkeit zeigen, dass Apple das Thema ernst nimmt. Trotzdem bleibt die Verantwortung beim Unternehmen. Apple Intelligence ist nicht automatisch datenschutzkonform im Unternehmenskontext, sondern erfordert eine sorgfältige Prüfung, klare Richtlinien und ggf. technische Einschränkungen.

Empfehlung: Unternehmen sollten Apple Intelligence nicht pauschal aktiv lassen, sondern eine individuelle Bewertung und Entscheidung treffen – idealerweise unter Einbindung des Datenschutzbeauftragten.

Was ist Friendly Captcha?

Friendly Captcha ist eine Lösung zur Spam-Abwehr, die sich von traditionellen Captchas deutlich unterscheidet. Anstatt Nutzern schwierige Bilderrätsel oder Checkboxen vorzusetzen, verwendet Friendly Captcha einen sogenannten „Proof-of-Work“-Ansatz. Dabei generiert der Browser des Nutzers automatisch kryptografische Rechenaufgaben im Hintergrund. Nutzer müssen dadurch keine aktiven Handlungen ausführen – die Validierung erfolgt automatisch und im Hintergrund.

Technisch basiert Friendly Captcha auf offenen Standards und verzichtet explizit auf Tracking und Profilbildung. Durch diese datenschutzfreundliche Herangehensweise gewinnt Friendly Captcha zunehmend Beliebtheit, vor allem in der EU, wo Datenschutz eine besondere Rolle spielt (siehe auch EU Captcha).

Datenschutzrechtliche Bewertung von Friendly Captcha

Aus datenschutzrechtlicher Sicht ist besonders relevant, welche Daten ein Captcha-Dienst verarbeitet, wo diese verarbeitet werden, und ob personenbezogene Daten an Dritte weitergegeben werden. Friendly Captcha wirbt damit, keinerlei Tracking durchzuführen und ausschließlich in Europa zu hosten. Tatsächlich erhebt Friendly Captcha lediglich minimale Informationen, wie beispielsweise IP-Adressen, um Missbrauch zu verhindern. Diese IP-Adressen werden jedoch ausschließlich anonymisiert gespeichert und nicht für Profiling-Zwecke genutzt. Das liegt darin begründet, weil Friendly Captcha die erhobenen Daten nicht monetarisieren muss, wegen des ohnehin bestehenden Preismodells.

Die Datenverarbeitung findet bei Friendly Captcha auf Servern innerhalb der Europäischen Union statt. Damit vermeidet Friendly Captcha potenzielle Probleme durch internationale Datentransfers, wie sie z.B. bei US-basierten Diensten wie reCAPTCHA und hCaptcha bestehen. Ein Auftragsverarbeitungsvertrag (AV-Vertrag) nach Art. 28 DSGVO kann problemlos abgeschlossen werden. Im Folgenden finden Sie eine Prüfung des Auftragsverarbeitungsvertrags mit Stand von Q1 2025.

Prüfbericht AVV Friendly Captcha

Nachfolgend werden alle relevanten Prüfkriterien gem. Art. 28 DSGVO für den Captcha-Dienst Friendly Captcha behandelt. Sie finden zu jedem Prüfkriterium entsprechende Verweise aus dem AVV:

1. Ort der Datenverarbeitung: Anbieter hat Hauptsitz in EU und bietet tarifabhängig einen dedizierten EU-Endpoint, der von europäischen Unterauftragsverarbeitern betrieben wird.
2. Gegenstand der Verarbeitung: Erfüllt gem. 1.1 der AVV.
3. Dauer der Verarbeitung: Erfüllt gem. 7 der AVV.
4. Art, Zweck der Verarbeitung: Erfüllt gem. 1.2 – 1.4 der AVV.
5. Arten der Daten / Betroffenen für die Verarbeitung: Erfüllt gem. 1.2 – 1.4 der AVV.
6. Pflichten und Rechte des Verantwortlichen sind festgelegt: Erfüllt gem. 2 der AVV.
7. Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter nur auf dokumentierte Weisung des Verantwortlichen: Erfüllt gem. 2.2 der AVV.
8. Gewährleistung durch Auftragsverarbeiter, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen: Erfüllt gem. 3.5 der AVV.
9. Auftragsverarbeiter hält alle gem. Art. 32 DSGVO erforderlichen Maßnahmen ein: Erfüllt gem. 3.8 der AVV.
10. Der Auftragsverarbeiter unterstützt angesichts der Art der Verarbeitung den Verantwortlichen nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III (Art. 12 – 23 DSGVO, „Betroffenenrechte“) genannten Rechte der betroffenen Person nachzukommen: Erfüllt.
11. Der Auftragsverarbeiter unterstützt unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen den Verantwortlichen bei der Einhaltung der in den Artikeln 32 bis 36 genannten Pflichten (TOM, Meldepflicht bei Datenschutzverstößen, Benachrichtigung betroffener Personen bei Datenschutzverstößen, DSFA, Vorherige Konsultation der Aufsichtsbehörde): Erfüllt.
12. Der Auftragsverarbeiter muss nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten nach Wahl des Verantwortlichen entweder löschen oder zurückgeben und die vorhandenen Kopien löschen, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht: Erfüllt.
13. Keine Haftungsregelungen entgegen dem Art. 82 DSGVO: Erfüllt.

Zusammenfassend gilt Friendly Captcha daher als datenschutzrechtlich besonders vertrauenswürdig. Besonders positiv ist der geringe Umfang an der Verarbeitung von personenbezogenen Daten und die Löschfrist von 30 Tagen. Friendly Captcha ist ein europäischer Captcha-Anbieter mit Hauptsitz in der EU. Im Einstiegstarif wird ein Unterauftragsverarbeiter aus den USA eingesetzt, der durch geeignete Garantien abgesichert ist. Für Kunden mit strengen Compliance-Anforderungen empfiehlt sich die Wahl eines „Advanced“- oder „Enterprise“-Tarifs. Diese Tarife enthalten einen dedizierten EU-Endpoint, der von rein europäischen Unterauftragsverarbeitern betrieben wird.

Vergleich mit reCAPTCHA und hCaptcha: Datenschutz auf dem Prüfstand

Die größten Konkurrenten zu Friendly Captcha sind aktuell Google reCAPTCHA und hCaptcha. Beide sind weltweit im Einsatz und gelten oft als Standardlösungen.

Datenschutzbewertung von Google reCAPTCHA

Google reCAPTCHA ist die mit Abstand meistverwendete Captcha-Lösung. Doch gerade Googles intensive Datenerfassung sorgt regelmäßig für Kritik. reCAPTCHA verarbeitet neben IP-Adressen auch Cookies und nutzt die Daten unter anderem zur Optimierung von Werbeprofilen. Da Google seine Server hauptsächlich in den USA betreibt, erfolgt zwangsläufig eine Datenübertragung in ein Drittland, was spätestens seit dem Schrems-II-Urteil problematisch ist.

Unternehmen, die reCAPTCHA verwenden, geraten daher schnell in Konflikt mit der DSGVO. Obwohl Google inzwischen Standardvertragsklauseln (SCC) anbietet, bestehen Zweifel an der langfristigen Rechtssicherheit. Datenschützer empfehlen deshalb, auf Alternativen umzusteigen (siehe dazu CAPTCHA-Vergleich).

Datenschutzbewertung von hCaptcha

hCaptcha gilt als datenschutzfreundlicher im Vergleich zu Google reCAPTCHA. Dennoch handelt es sich ebenfalls um einen US-basierten Anbieter. Auch hCaptcha erfasst personenbezogene Daten wie IP-Adressen und setzt Cookies zur Optimierung seiner Dienste ein. Zwar wirbt hCaptcha mit einer stärkeren Privatsphäreorientierung, doch auch hier existieren Risiken durch die Datenübermittlung in den USA.

Auch wenn hCaptcha mehr Möglichkeiten zur datenschutzfreundlichen Anpassung bietet, bleibt die Problematik der US-Server bestehen. Unternehmen sollten daher sorgfältig prüfen, ob hCaptcha ihren Anforderungen gerecht wird.

Gegenüberstellung der Anbieter (Friendly Captcha vs. reCAPTCHA vs. hCaptcha)

Friendly Captcha:

1. Hauptsitz: Deutschland.
2. Datenminimierung: Sehr gut
3. Drittstaatentransfer (USA): Nein, mit EU-Tarif
4. Cookies / Nutzertracking: Kein Tracking
5. DSGVO-Konformität: Hoch
6. AV-Vertrag (Art. 28 DSGVO): Möglich

Google reCAPTCHA:

1. Hauptsitz: USA.
2. Datenminimierung: Schlecht
3. Drittstaatentransfer (USA): Ja, problematisch
4. Cookies / Nutzertracking: Intensives Tracking
5. DSGVO-Konformität: Kritisch
6. AV-Vertrag (Art. 28 DSGVO): Schwierig umzusetzen

hCaptcha:

1. Hauptsitz: USA.
2. Datenminimierung: Mittelmäßig
3. Drittstaatentransfer (USA): Ja, mit Risiken
4. Cookies / Nutzertracking: Moderates Tracking
5. DSGVO-Konformität: Eingeschränkt
6. AV-Vertrag (Art. 28 DSGVO): Möglich

Barrierefreiheit und Nutzerfreundlichkeit

Ein weiterer wichtiger Faktor ist die Barrierefreiheit der Captchas. Traditionelle Captchas (wie reCAPTCHA oder hCaptcha) setzen oft auf visuelle Rätsel, die insbesondere Menschen mit Behinderungen (z.B. Sehbehinderung) ausschließen können. Friendly Captcha dagegen erfordert keinerlei Interaktion, was es für alle Nutzergruppen zugänglich macht.
Damit erfüllt Friendly Captcha die Barrierefreiheitsrichtlinien (WCAG 2.1, Barrierefreiheitsstärkungsgesetz, EAA) besonders gut (siehe dazu WCAG-Checker und mehr zum Thema CAPTCHA Barrierefreiheit).

Technische Integration und Performance

Friendly Captcha punktet zudem durch eine besonders einfache technische Integration. Die Implementierung erfolgt über wenige Zeilen JavaScript und stellt kaum Anforderungen an die Performance. Anders als reCAPTCHA oder hCaptcha verursacht Friendly Captcha nur minimale Ladezeiten und beeinträchtigt die SEO-Performance der Webseite kaum. Insbesondere Webseiten mit einem starken Fokus auf schnelle Ladezeiten profitieren von Friendly Captcha, da es die Nutzererfahrung nicht beeinträchtigt.

Handlungsempfehlung für Unternehmen

Für Unternehmen mit Sitz in der EU oder starkem Fokus auf Datenschutz und Barrierefreiheit empfiehlt sich Friendly Captcha klar als optimale Lösung. Dies gilt insbesondere für:

• Öffentliche Einrichtungen und Behörden (hohe Datenschutzanforderungen)
• Online-Shops (starke Nutzerorientierung, SEO)
• Größere Unternehmen, die DSGVO-Risiken reduzieren wollen

Wer hingegen vor allem Wert auf eine möglichst günstige Lösung legt, muss zwischen den Datenschutzrisiken von reCAPTCHA und hCaptcha abwägen.

Fazit

Friendly Captcha überzeugt durch klare Vorteile im Bereich Datenschutz, DSGVO-Konformität und Barrierefreiheit. Gerade Unternehmen, die rechtliche Sicherheit anstreben und ihren Nutzern bestmögliche Privatsphäre bieten möchten, sind mit Friendly Captcha gut beraten. Friendly Captcha übertrifft dabei reCAPTCHA und hCaptcha eindeutig in puncto Datenschutz und Nutzerfreundlichkeit.

Bidens Executive Order: Fragliche Rechtsgrundlage

Das EU-US Data Privacy Framework stützt sich wesentlich auf die Executive Order 14086, die Joe Biden im Jahr 2022 unterzeichnete. Diese Anordnung sollte die Anforderungen des EuGH erfüllen, indem sie den Zugriff von US-Geheimdiensten auf europäische Daten auf das „Notwendige und Verhältnismäßige“ beschränkt. Dabei sollte eine verstärkte Überwachung der Aktivtäten der US-Geheimdienste stattfinden, um die Einhaltung der Beschränkungen für Überwachungsaktivitäten sicherzustellen. Zudem führte sie einen zweistufigen Rechtsschutzmechanismus ein: EU-Bürger konnten sich bei einer neuen Datenschutzprüfstelle beschweren, und ein speziell eingerichtetes Datenschutzgericht (Data Protection Review Court) sollte Verstöße prüfen.

Die EU-Kommission bewertete diese Maßnahmen als ausreichende Grundlage für einen stabilen Datentransfer und sah im DPF eine tragfähige Lösung für Unternehmen. Kritiker hingegen warnten bereits damals: Da es sich bei einer Executive Order nur um eine präsidentielle Anordnung handelt, kann ein neuer US-Präsident sie jederzeit ändern oder aufheben. Diese Sorge gewinnt mit Trumps Wahlsieg nun an Brisanz.

Die Gefahr durch Trumps erneute Präsidentschaft

Der US-Präsident kann per Executive Order unkompliziert und ohne die Beteiligung des Kongresses Anordnungen mit bindender Wirkung für Bundesbehörden und Beamte erlassen, die dazu dienen, die internen Abläufe der Bundesregierung zu steuern.

Die rechtliche Grundlage für Executive Orders findet sich in der US-Verfassung, insbesondere in Artikel II, der dem Präsidenten die Exekutivgewalt überträgt. Allerdings dürfen Executive Orders keine neuen Gesetze schaffen, sondern müssen sich im Rahmen der bestehenden gesetzlichen oder verfassungsmäßigen Befugnisse des Präsidenten bewegen. Sobald der Präsident eine Executive Order unterzeichnet, kann sie sofort in Kraft treten. Allerdings können Gerichte solche Anordnungen überprüfen und für ungültig erklären, wenn sie die verfassungsmäßigen Befugnisse des Präsidenten überschreiten.

Da eine Executive Order also kein Gesetz ist, sondern lediglich eine präsidentielle Anordnung, kann Trump sie ohne Zustimmung des Kongresses jederzeit aufheben oder abändern. Dies könnte konkret bedeuten, dass er die Schutzmechanismen für EU-Bürger schwächt, die Rechtsbehelfsmöglichkeiten einschränkt oder die Umsetzung durch US-Behörden blockiert. Bereits in seiner ersten Amtszeit (2017-2021) senkte Trump Datenschutzstandards, die er als Hindernis für die Wirtschaft empfand: 2017 hob er eine Regelung der Federal Communications Commission (FCC) auf, die Internetanbieter zur Einholung von Nutzereinwilligungen verpflichtete. Zudem erleichterte er die Datenweitergabe durch US-Unternehmen und schwächte Datenschutzmaßnahmen, die bereits unter Obama eingeführt wurden und Unternehmen beim Umgang mit Nutzerdaten stärker regulierten.

Diese Vergangenheit lässt befürchten, dass Trump auch diesmal wenig Interesse an strengen Datenschutzregelungen für EU-Bürger zeigen wird.

Mögliche Konsequenzen auf das DPF

Sollte Donald Trump die Executive Order 14086 aufheben oder entscheidend verändern, hätte dies gravierende Auswirkungen auf den transatlantischen Datentransfer. Der Angemessenheitsbeschluss der EU-Kommission, auf dem das EU-US Data Privacy Framework (DPF) basiert, könnte in seiner derzeitigen Form nicht aufrechterhalten werden. Die Executive Order war eine zentrale Voraussetzung für das Abkommen, da sie europäische Datenschutzstandards in den USA gewährleisten sollte.

Die größte Konsequenz wäre eine erneute Rechtsunsicherheit. Unternehmen, die bislang auf das DPF vertraut haben, könnten sich plötzlich in einer Situation wiederfinden, in der der Datentransfer in die USA nicht mehr ohne Weiteres zulässig ist. Dies würde nicht nur zu einem erhöhten administrativen Aufwand führen, sondern auch rechtliche Risiken mit sich bringen.
Darüber hinaus könnte ein neues Verfahren vor dem Europäischen Gerichtshof drohen. Datenschutzaktivist Max Schrems, der bereits Safe Harbor (Schrems I) und Privacy Shield (Schrems II) zu Fall gebracht hat, äußerte bereits Bedenken am DPF. Sollte Trump die zugrunde liegenden Schutzmaßnahmen abschwächen, wäre eine neue Klage fast unausweichlich. Ein sogenanntes Schrems-III-Verfahren könnte erneut dazu führen, dass das Datenschutzabkommen für nichtig erklärt wird.

Unternehmen müssten in diesem Fall auf alternative Rechtsmechanismen ausweichen, um weiterhin personenbezogene Daten in die USA übermitteln zu können. Standardvertragsklauseln (SCCs) oder Binding Corporate Rules (BCRs) bieten zwar eine mögliche Lösung, sind jedoch mit erheblichem Aufwand verbunden. Vor allem SCCs setzen zusätzliche Sicherheitsmaßnahmen voraus, um den Anforderungen des EuGH gerecht zu werden.

Ist das DPF wirklich robust?

Bereits bei der Verabschiedung des EU-US Data Privacy Frameworks im Jahr 2023 äußerten europäische Datenschutzexperten Bedenken. Viele wiesen darauf hin, dass das Abkommen auf einer einseitigen Executive Order des US-Präsidenten basiert und damit politisch angreifbar ist. Die Wahl von Donald Trump und die mögliche Aufhebung oder Änderung der Executive Order zeigen nun, wie berechtigt diese Bedenken waren. Erste Anzeichen für die Bewahrheitung der Befürchtungen zeigen sich bereits: Am 20. Januar 2025 hat die Trump-Administration beschlossen, dass alle Executive Orders der Biden-Administration innerhalb von 45 Tagen überprüft und ggfs. aufgehoben werden. Zu diesen Executive Orders gehört auch die Executive Order 14086, die als Grundlage für den aktuellen Angemessenheitsbeschluss der EU dient. Erste Signale, wie die Umbesetzung des Privacy and Civil Liberties Oversight Board (PCLOB), deuten auf eine Schwächung der Datenschutzaufsicht in den USA hin.

Wie reagieren Datenschutzbehörden und Experten?

Die ersten Reaktionen aus der europäischen Datenschutz-Community lassen erkennen, dass eine neue rechtliche Auseinandersetzung wahrscheinlich ist.
Die Datenschutzorganisation „None Of Your Business“ (NOYB) unter der Leitung von Max Schrems prüft bereits eine neue Klage vor dem EuGH. Die Organisation hatte sowohl das Safe-Harbor-Abkommen (Schrems I) als auch das Privacy Shield (Schrems II) zu Fall gebracht. Sollte Trump das DPF aushöhlen, dürfte ein Schrems-III-Verfahren nur eine Frage der Zeit sein. Europäische Datenschutzbehörden, darunter die Datenschutzkonferenz (DSK) in Deutschland und die französische CNIL, haben bereits vor einer erneuten rechtlichen Unsicherheit gewarnt. Sie betonen, dass sich Unternehmen nicht ausschließlich auf das Data Privacy Framework verlassen sollten. Juristen und Datenschutzexperten fordern von der EU-Kommission eine schnellere und proaktive Reaktion, um Unternehmen eine verlässliche Lösung zu bieten. Ein erneuter Rechtsstreit könnte Jahre dauern – eine Zwischenlösung ist daher dringend erforderlich.

Falls Trump tatsächlich Maßnahmen zum Nachteil des DPF ergreift, ist eine neue rechtliche Auseinandersetzung nahezu unvermeidlich. Unternehmen sollten sich darauf einstellen, dass der Datentransfer in die USA bald wieder auf wackligen Füßen stehen könnte.

Handlungsoptionen für europäische Unternehmen

Angesichts der unsicheren Zukunft des DPF sollten Unternehmen proaktiv handeln. Eine Möglichkeit besteht darin, bereits jetzt alternative Rechtsgrundlagen zu prüfen. Die Nutzung von Standardvertragsklauseln (SCCs) oder Binding Corporate Rules (BCRs) könnte eine stabilere Lösung sein, auch wenn dies mit höheren Compliance-Anforderungen verbunden ist.

Technische und organisatorische Maßnahmen sollten zudem stärker in den Fokus rücken, um Datenschutzrisiken zu minimieren. Starke Verschlüsselung, Pseudonymisierung und Datenspeicherung in der EU verbessern den Schutz sensibler Daten. Ergänzend sind klare Datenschutzrichtlinien, regelmäßige Schulungen und Datenschutz-Folgenabschätzungen (DSFA) essenziell.

Strenge Zugriffskontrollen und ein strukturiertes Vertragsmanagement mit US-Dienstleistern, einschließlich der Prüfung von Standardvertragsklauseln (SCCs), tragen zur Einhaltung hoher Standards bei. Unternehmen mit hohen Sicherheitsanforderungen könnten verstärkt auf europäische Anbieter setzen, um den Datentransfer in die USA zu vermeiden.

Für international tätige Konzerne bleiben Binding Corporate Rules (BCRs) eine vergleichsweise sichere Lösung. Diese unternehmensinternen Datenschutzregelungen wurden bereits von den europäischen Datenschutzbehörden genehmigt und hängen nicht von politischen Entscheidungen in den USA ab. Unternehmen, die BCRs nutzen, wären daher besser gegen kurzfristige Änderungen der US-Datenschutzpolitik abgesichert.

Fazit und Ausblick: Wiederholt sich die Geschichte?

Die Rückkehr Donald Trumps ins Weiße Haus könnte erneut eine Phase massiver Unsicherheit für den transatlantischen Datentransfer einläuten. Seine bisherigen Äußerungen zur Regulierung und Datenschutzpolitik lassen darauf schließen, dass der Schutz europäischer Daten nicht zu seinen politischen Prioritäten gehört. Unternehmen stehen daher vor der Frage, ob sich die Ereignisse der letzten Jahre wiederholen werden.
Drei mögliche Szenarien könnten sich abzeichnen:

1. Trump ignoriert das Thema Datenschutz, die Executive Order bleibt bestehen, und das Data Privacy Framework bleibt unangetastet.
2. Trump verändert die Executive Order in wesentlichen Punkten, was zu neuen Verhandlungen zwischen der EU und den USA führt. Eine vorübergehende Unsicherheit entsteht.
3. Das Abkommen wird durch eine neue EuGH-Klage gekippt, und Unternehmen stehen erneut vor der Herausforderung, alternative Datenschutzlösungen zu finden.

Die Erfahrung aus der Vergangenheit zeigt: Der transatlantische Datenschutz bleibt ein politischer Spielball. Unternehmen sollten deshalb auf alle Eventualitäten vorbereitet sein und sich nicht ausschließlich auf das Data Privacy Framework verlassen. Der Blick sollte verstärkt auf alternative Rechtsmechanismen, europäische Anbieter, sowie zusätzliche technische und organisatorische Maßnahmen gerichtet werden, um sich langfristig gegen zukünftige Unsicherheiten abzusichern.

Was sind EU-Standarddatenschutzklauseln (SCC)?

SCC sind von der Europäischen Kommission verabschiedete Vertragsmuster, die einen angemessenen Datenschutz bei der Übermittlung personenbezogener Daten in Drittländer gewährleisten sollen. Sie bieten Rechtssicherheit und gewährleisten, dass Unternehmen DSGVO-konform handeln. Zuletzt wurden die SCC in aktualisierter Form am 04. Juni 2021 von der Europäischen Kommission veröffentlicht.

Wann sind SCC verpflichtend?

Unternehmen, die personenbezogene Daten aus der EU in unsichere Drittländer übertragen (z. B. Nutzung von Cloud-Diensten in den USA), müssen grundsätzlich SCC abschließen, sofern keine Angemessenheitsentscheidung der EU-Kommission gem. Art. 45 DSGVO vorliegt. Es gibt noch weitere mögliche Ausnahmen, wenn keine SCC erforderlich sind, welche später im Beitrag behandelt werden.

Wie werden SCC richtig angewendet?

Die Anwendung von Standarddatenschutzklauseln (SCC) ist ein zentraler Bestandteil des Datenschutzes bei internationalen Datentransfers. Seit dem Inkrafttreten der DSGVO und insbesondere nach dem Schrems II-Urteil des EuGH sind Unternehmen verpflichtet, bei der Übermittlung personenbezogener Daten in Drittländer ein angemessenes Schutzniveau sicherzustellen – genau hier kommen SCC ins Spiel.

Damit Standarddatenschutzklauseln rechtswirksam und DSGVO-konform eingesetzt werden können, müssen folgende Punkte beachtet werden:

1. Auswahl der richtigen Modulvariante

Die Standarddatenschutzklauseln bestehen aus mehreren Modulen, die je nach Beziehung zwischen den beteiligten Parteien ausgewählt werden müssen. Folgende Modulvarianten stehen zur Verfügung:

• Controller zu Controller (C2C) – z. B. bei der Übertragung von Kundendaten zwischen zwei eigenständigen Unternehmen (Intercompany).
• Controller zu Processor (C2P) – z. B. wenn ein Unternehmen Daten an einen externen Auftragsverarbeiter zur Verarbeitung weitergibt.
• Processor zu Processor (P2P) – z. B. wenn ein Auftragsverarbeiter Unteraufträge an weitere Unterauftragsverarbeiter vergibt.
• Processor zu Controller (P2C) – z. B. wenn ein Auftragsverarbeiter Daten an einen Verantwortlichen in einem Drittland zurückgibt.

Die Wahl des falschen Moduls kann zur Unwirksamkeit der Standarddatenschutzklauseln führen – daher ist hier besondere Sorgfalt gefragt.

2. Integration der SCC in Verträge

Die SCC müssen korrekt in bestehende oder neue Verträge integriert werden. Dies kann entweder direkt im Vertragstext erfolgen oder durch einen separaten Anhang, der klar als Bestandteil des Vertrags gekennzeichnet ist. Wichtig ist, dass keine Änderungen an den Standardklauseln vorgenommen werden – dies würde ihre Gültigkeit gefährden.

3. Klare Definition der datenschutzrechtlichen Verantwortlichkeiten

Im Vertrag selbst sollten die Verantwortlichkeiten in Bezug auf Datenschutz klar geregelt sein: Wer ist für welche Verarbeitung zuständig? Wer trägt welche Pflichten? Diese Transparenz ist nicht nur im Sinne der DSGVO, sondern schützt auch beide Vertragsparteien vor Missverständnissen und Haftungsrisiken.

4. Sicherstellung der Umsetzung und Einhaltung

Die Empfänger der Daten – insbesondere in Drittländern – müssen tatsächlich in der Lage sein, die Anforderungen der SCC einzuhalten. Unternehmen müssen daher prüfen und dokumentieren, ob:

• die technischen und organisatorischen Maßnahmen ausreichen,
• die lokale Gesetzgebung verhindert die Einhaltung der Klauseln nicht,
• und bei Bedarf zusätzliche Maßnahmen (z. B. Verschlüsselung, Pseudonymisierung) ergriffen werden.

Was ist das Transfer Impact Assessment (TIA)?

Ein TIA ist eine datenschutzrechtliche Risikobewertung, die begleitend zu den SCC verpflichtend durchzuführen ist. Ziel ist es, sicherzustellen, dass die Gesetze und Praktiken im Drittland das Datenschutzniveau der EU nicht untergraben. Die Durchführung des TIA gelingt am einfachsten, wenn Unternehmen eine Datenschutzmanagement-Software einsetzen. Dort kann oftmals vorlagenbasiert ein TIA in wenigen Schritten erstellt werden.

Welche Alternativen gibt es zu Standarddatenschutzklauseln?

Die Standarddatenschutzklauseln (SCC) sind das am häufigsten genutzte Instrument zur rechtssicheren Übermittlung personenbezogener Daten in sogenannte Drittländer – also Länder außerhalb der EU bzw. des EWR. Doch sie sind nicht die einzige Möglichkeit. Die Datenschutz-Grundverordnung (DSGVO) sieht auch Alternativen zu Standarddatenschutzklauseln vor. Diese können – je nach Anwendungsfall – sinnvoll oder sogar notwendig sein.
Hier ein Überblick über die wichtigsten Alternativen:

1. Angemessenheitsbeschluss der EU-Kommission (Art. 45 DSGVO)

Wenn die EU-Kommission feststellt, dass ein Drittland ein angemessenes Datenschutzniveau bietet, darf eine Datenübertragung dorthin ohne weitere Maßnahmen erfolgen. Dies wird in einem sogenannten Angemessenheitsbeschluss festgehalten.
Beispiele für Länder mit Angemessenheitsbeschluss: Schweiz, Japan, Kanada (teilweise), Südkorea, Vereinigtes Königreich, Israel u. a.

• Vorteil: Keine zusätzlichen Vertragsklauseln oder Prüfpflichten erforderlich.
• Nachteil: Nur wenige Länder weltweit erfüllen diese Anforderungen. Für die USA gilt dies z. B. nur eingeschränkt (aktuell über das Data Privacy Framework).

2. Verbindliche interne Datenschutzvorschriften – Binding Corporate Rules (BCR) (Art. 47 DSGVO)

Binding Corporate Rules (BCR) sind unternehmensinterne Datenschutzrichtlinien für internationale Konzerne. Sie ermöglichen konzerninterne Datentransfers – etwa von der EU-Zentrale an Niederlassungen außerhalb Europas.

• Vorteil: Maßgeschneidert und flexibel einsetzbar für komplexe Konzernstrukturen.
• Nachteil: Müssen von den zuständigen Datenschutzbehörden genehmigt werden – das Verfahren ist langwierig und aufwändig.

3. Ausdrückliche Einwilligung der betroffenen Person (Art. 49 Abs. 1 lit. a DSGVO)

Eine Übermittlung personenbezogener Daten kann erfolgen, wenn die betroffene Person ausdrücklich und informiert eingewilligt hat.

• Vorteil: Einfach umzusetzen, wenn Einwilligungen klar formuliert und leicht einzuholen sind.
• Nachteil: Hohe Anforderungen an Transparenz. Die Einwilligung muss freiwillig, spezifisch und widerrufbar sein – in der Praxis oft unpraktikabel bei regelmäßigen oder großvolumigen Transfers.

4. Vertragserfüllung oder vorvertragliche Maßnahmen (Art. 49 Abs. 1 lit. b DSGVO)

Ist die Datenübertragung notwendig, um einen Vertrag mit der betroffenen Person zu erfüllen – z. B. bei einer Hotelbuchung im Ausland – kann dies eine zulässige Grundlage sein.

• Vorteil: Praktikabel für Einzelfälle mit direktem Bezug zur betroffenen Person.
• Nachteil: Nicht geeignet für dauerhafte oder automatisierte Übermittlungen (z. B. Cloud-Dienste).

5. Wichtiges öffentliches Interesse oder Rechtsansprüche (Art. 49 Abs. 1 lit. d/e DSGVO)

Auch in besonderen Fällen wie der Verteidigung von Rechtsansprüchen oder bei wichtigen öffentlichen Interessen kann eine Übermittlung zulässig sein.

• Vorteil: Hilfreich bei rechtlichen Auseinandersetzungen oder im behördlichen Kontext.
• Nachteil: Sehr eng gefasst, nicht anwendbar für standardmäßige, kommerzielle Datentransfers.

Fazit

Die Wahl der Alternative hängt vom Umfang, Zweck und regelmäßigen Charakter des Transfers ab. In der Praxis sind Standarddatenschutzklauseln (SCC) aufgrund ihrer Flexibilität und Einfachheit das bevorzugte Mittel. Alternativen eignen sich jedoch vor allem, wenn SCC nicht praktikabel oder genehmigungsfähige interne Regelungen (BCR) möglich sind.

Was ist die Data Boundary von Microsoft?

Das EU Data Boundary von Microsoft ist eine geografisch definierte Grenze, innerhalb derer Microsoft sich verpflichtet, Daten des öffentlichen Sektors und kommerzieller Kunden innerhalb der Europäischen Union (EU) und der Europäischen Freihandelszone (EFTA) zu speichern und zu verarbeiten. Die Initiative zielt darauf ab, die Datenresidenz und den Datenschutz für Kunden in der EU und in der EFTA zu verbessern.

Definition und Funktionsweise der Data Boundary

Die Umsetzung der EU-Datengrenze gliederte sich dabei in drei Stufen. Im Januar 2023 ging es um die Sicherstellung, dass Kundendaten für die bedeutendsten Services – darunter auch die Mehrzahl der Microsoft Cloud Suite – ausschließlich innerhalb der EU/EFTA Regionen gespeichert und verarbeitet werden. Im Januar 2024 erfolgte die Ausweitung auf pseudonymisierte personenbezogene Daten. In dieser Umsetzungsphase lag der Fokus darauf, zu gewährleisten, dass Daten, die eine direkte Identifizierung verhindern, innerhalb dieser Region verbleiben. Im dritten und letzten Schritt konzentrierte sich Microsoft auf die Professional Service Daten aus Interaktionen mit dem technischen Support. Dazu zählen insbesondere Log-Dateien sowie Support-Fallnotizen, die bei technischen Anfragen an Microsoft anfallen. Dadurch verschafft Microsoft Unternehmen eine gewisse Transparenz über den Speicherort ihrer Daten.

Zielsetzung und Hintergründe von Microsofts Data Boundary

Die Hintergründe des EU Data Boundary sind vielseitig und resultieren aus den vielen regulatorischen Anforderungen, die die EU an Cloud-Anbieter stellt. Eine zentrale Rolle nimmt dabei auch der Datenschutz ein. Dieser soll durch das EU Data Boundary weiter gestärkt werden. Gerade aufgrund der strengen Vorschriften bezüglich der Datenübertragung in Länder außerhalb der EU, insbesondere in Länder, die nicht ein mit der EU vergleichbares Datenschutzniveau bieten, will Microsoft sicherstellen, dass die Daten seiner Kunden innerhalb der EU verbleiben und dadurch den lokalen Datenschutzgesetzen entsprechen. Durch die Einführung einer europäischen Datengrenze möchte Microsoft seinen Kunden zudem mehr Transparenz und Kontrolle über Daten bieten. Dies war in der Vergangenheit ein essentielles Problem, denn gerade bei globalen Cloud-Diensten ist zumeist undurchsichtig, wo die Daten der Nutzer letztlich gespeichert und verarbeitet werden. Das Informationen in nicht europäischen Regionen gespeichert oder verarbeitet werden, könnte sich durch das EU Data Boundary nun erledigt haben und dadurch die Abhängigkeit von internationalen Datenabflüssen verringert werden.

Datenschutzrechtliche Bedeutung der Data Boundary

Microsoft macht mit der Vollendung der Boundary einen Schritt in die richtige Richtung. Für europäische Unternehmen bedeutet die Finalisierung einen Schritt hin zu mehr Datenresidenz, zudem wird durch die Begrenzung von grenzüberschreitenden Transfers die Einhaltung nationaler Gesetze vereinfacht. Europäische Unternehmen haben daneben ein größeres Maß an Kontrolle über Datenflüsse.

Unterschiede zu anderen Datenschutzlösungen von Microsoft

Im Zusammenhang mit der EU Data Boundary ist auch häufig die Rede von der EU Data Residency. Diese Begriffe sind jedoch voneinander zu unterscheiden. Der Begriff „EU Data Residency“ bezieht sich allgemein auf die physische oder geografische Lage von Daten innerhalb der EU. Unternehmen, die EU Data Residency anbieten, ermöglichen es Kunden, ihre Daten in bestimmten EU-Regionen zu speichern, um gesetzlichen Anforderungen gerecht zu werden oder spezifische Datenschutzpräferenzen zu erfüllen. Dies kann beispielsweise durch die Auswahl von Rechenzentren in bestimmten EU-Ländern erfolgen. Das Microsoft EU Data Boundary dagegen ist eine spezifische Verpflichtung von Microsoft, alle Daten innerhalb der EU/EFTA zu speichern und zu verarbeiten. Während die EU Data Residency sich also auf die Speicherung innerhalb der EU konzentriert, geht das EU Data Boundary weiter, indem es auch die Verarbeitung und den gesamten Datenfluss innerhalb der EU sicherstellt. Zusammenfassend ist das Microsoft EU Data Boundary eine spezifische Initiative von Microsoft zur Sicherstellung der Datenverarbeitung und -speicherung innerhalb der EU/EFTA, während EU Data Residency ein breiteres Konzept ist, das die geografische Lokalisierung von Daten innerhalb der EU beschreibt.

Kritische Aspekte und offene Fragen zur Data Boundary

Trotz der Tatsache, dass Microsoft verspricht, dass die Daten innerhalb der EU und dem EFTA gespeichert und verarbeitet werden, gibt es die Befürchtung, dass die Daten nicht uneingeschränkt vor dem Zugriff der US-Behörden gesichert sind. Grund dafür ist insbesondere der US CLOUD Act. Dieser erlaubt es US-Behörden, auf Daten zuzugreifen, die von US-Unternehmen verwaltet werden, selbst wenn diese Daten außerhalb der EU gespeichert sind. Daneben findet ggf. der Foreign Intelligence Surveillance Act (FISA) Anwendung. Problematisch ist insbesondere der Abschnitt 702, der für die Auslandsüberwachung maßgebend ist. Dieser erlaubt dem US-Generalstaatsanwalt und dem Direktor der Geheimdienste, die gezielte Überwachung von Personen außerhalb der USA durchzuführen, solange sie keine US-Bürger sind. Nach dem Wortlaut von FISA 702 ist nicht auszuschließen, dass dieser auch auf Daten anwendbar ist, die auf europäischen Servern gespeichert sind. So können Daten von US-Unternehmen, einschließlich deren EU-Tochtergesellschaften, welche außerhalb der Vereinigten Staaten gespeichert sind, auch unter die Bestimmungen von Section 702 FISA fallen. Zudem hat Microsoft selbst angegeben, dass sie trotz des EU Data Boundary weiterhin Datenübertragungen außerhalb der EU durchführen müssen, um betriebliche Anforderungen zu erfüllen. So gibt Microsoft an, dass zwar die meisten personenbezogenen Daten in der EU/EFTA verbleiben, aber bestimmte begrenzte Datenübermittlungen für globale Sicherheitsoperationen notwendig sein können. Diese Daten werden laut Microsoft verwendet, um die Erkennung von Bedrohungen zu verbessern. Diese aus diesen Übertragungen gewonnenen globalen Bedrohungsdaten seien entscheidend für die Erkennung und Abwehr von Cyberangriffen. Microsoft versichert geeignete Schutzmaßnahmen, wie Verschlüsselung, Pseudonymisierung und (strenge) Zugriffskontrollen zu implementieren.

Ist Microsofts Data Boundary die Lösung für DSGVO-konforme Cloud-Nutzung?

Die von Microsoft umgesetzte EU-Datengrenze ist unzweifelhaft ein Schritt in die richtige Richtung. Die Finalisierung zeigt, dass Microsoft der Datenschutz ein wichtiges Anliegen ist. Doch trotz verbesserter Datenlokalisierung durch das Boundary gibt es weiterhin bestimmte Szenarien, in denen die Daten außerhalb der EU verarbeitet werden – etwa für die Aufdeckung von Cybersecurity. Dazu kommt, dass der US Cloud Act US-amerikanische IT-Dienstleister verpflichtet, US-Behörden auch dann Zugriff auf gespeicherte Daten zu gewährleisten, wenn die Speicherung nicht in den USA erfolgt. Ferner muss beachtet werden, dass eine physische Verlagerung von Daten in die EU keine hundertprozentige Absicherung gegen US-Rechtsinstrumente ist. Der entscheidende Faktor bleibt, ob das Unternehmen – trotz EU-Standort – aus Sicht der US-Gesetze verpflichtet ist, im Falle eines behördlichen Zugriffsersuchens Daten herauszugeben. Hier kann also weiterhin ein Restrisiko bestehen, das allenfalls mit technischen und organisatorischen Maßnahmen abgemildert werden kann. Insgesamt kann also festgehalten werden, dass auch die europäische Datengrenze nicht zu einer Datensouveränität führt, denn letztlich wird sich auch Microsoft nicht den weitreichenden Befugnissen des US-Rechts widersetzen können.

Was ist eine Einwilligungserklärung und wann kommt sie zum Einsatz?

Eine Einwilligung nach der DSGVO ist also eine Voraussetzung für die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten. Trifft also keine Rechtsgrundlage von Artikel 6 Abs. 1 lit. b) – f) DSGVO zu, so ist eine Einwilligungserklärung bei der betroffenen Person einzuholen. Das Unternehmen darf also die Verarbeitung nur ausüben, falls eine Einwilligung vorliegt.

Die Einwilligungserklärung sollte durch eine eindeutige, bestätigende Handlung erfolgen. Das kann beispielsweise durch das Ankreuzen einer Checkbox, mit der klassischen Unterschrift oder unter Umständen mit einer mündlichen Erklärung erfolgen. In jedem Fall muss die Einwilligungserklärung nachweisbar sein. Bei folgenden Verarbeitungen müssen Unternehmen eine Einwilligung einholen:

• längere Speicherung der Daten als gesetzlich vorgeschrieben (z.B. Bewerbungen)
• Nutzung von Mitarbeiterfotos auf Webseiten als Kontaktpersonen
• Veröffentlichung von personenbezogenen Daten (z.B. Rezensionen)
• Nutzung von Tracking-Cookies auf Webseiten (z.B. Google Analytics)

Besonderes Augenmerk ist nach der Datenschutz-Grundverordnung auf die Freiwilligkeit einer Einwilligung zu richten. Es kann nur dann davon ausgegangen werden, dass eine betroffene Person ihre Einwilligung freiwillig gegeben hat, wenn sie eine echte und freie Wahl hat, also in der Lage ist, die Einwilligung zu verweigern oder zurückzuziehen, ohne Nachteile zu erleiden (siehe ErwGr. 42).

Dies ist beispielsweise in aller Regel nicht der Fall, wenn die Erfüllung eines Vertrags von einer Einwilligung in eine Datenverarbeitung abhängig gemacht wird, die für die Erfüllung des Vertrags nicht erforderlich ist (Art. 7 Abs. 4 i.V.m. ErwGr. 43 DSGVO, sogenanntes Koppelungsverbot).

Zudem liefert eine Einwilligung regelmäßig keine gültige Rechtsgrundlage, wenn zwischen der betroffenen Person und dem Verantwortlichen ein klares Ungleichgewicht besteht, und es deshalb unwahrscheinlich ist, dass die Einwilligung freiwillig gegeben wurde. Dies ergibt sich ebenfalls aus ErwGr. 43.

Antworten zu allgemeinen Fragen zum Datenschutz finden Sie hier.
Welche Voraussetzungen Sie zusätzlich bei der Einwilligungserklärung nach der DSGVO beachten müssen, erfahren Sie im folgenden Absatz.

Einwilligungserklärungen: Voraussetzungen und Maßnahmen

Die Einwilligungserklärung im Datenschutz wird im Artikel 7 der DSGVO geregelt. Zusätzlich werden die Anforderungen im Erwägungsgrund 32 zur DSGVO spezialisiert.

Grundsätzlich kann man sagen, dass ein einfaches Einverständnis nicht mehr ausreichend ist, um datenschutzkonform zu agieren. Denn nach der DSGVO müssen bei der Einholung der Einwilligungserklärung die betroffenen Personen über die Erhebung, Nutzung und Verarbeitung der personenbezogenen Daten aufgeklärt werden. Klassischerweise kann diese Information über eine Datenschutzerklärung gelöst werden. Darüber hinaus sind folgende Punkte zu beachten:

• das Ersuchen um Einwilligung muss in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache erfolgen und sie sollte keine missbräuchlichen Klauseln beinhalten
• Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen und zwar so einfach wie die Einwilligung selbst erfolgt
• Eine Verweigerung der Einwilligung darf keine Konsequenzen in Bezug auf Leistungen oder Bewertungen haben, denn sonst ist die Einwilligung nicht mehr freiwillig
• Eine Einwilligungserklärung erfolgt persönlich
• Es gibt keine Formangaben. Schriftliche Form ist jedoch zu empfehlen, aufgrund der Nachweisbarkeit
• Es gilt das Kopplungsverbot: Ein Vertragsabschluss darf nicht an eine weitere Einwilligung gebunden sein
• Eine Einwilligung muss sich von anderen Textpassagen absetzen, z.B. durch einen neuen Absatz, Fettdruck, Umrahmung, etc.

Die richtige Dokumentation von Einwilligungserklärungen

Viele Unternehmen haben auch schon vor dem Inkrafttreten der Datenschutz-Grundverordnung personenbezogene Daten auf Grundlage einer Einwilligungserklärung verarbeitet. Die Einwilligungen, welche vor Mai 2018 eingeholt worden sind, sind nur unter bestimmten Bedingungen wirksam.

Der Erwägungsgrund 171 (3) zur DSGVO beleuchtet diesen Punkt transparent. Sofern die Einwilligung der Art nach den Bedingungen der DSGVO entspricht, darf die Verarbeitung vom Unternehmen weitergeführt werden. Wir zählen nochmal auf, worauf es bei der Gestaltung einer Einwilligung nach DSGVO ankommt:

• Die Erteilung einer wirksamen Einwilligung muss gemäß Art. 7 Abs. 1 DSGVO nachgewiesen werden können, was eine entsprechende Dokumentation voraussetzt.
• Die Einwilligung muss freiwillig abgegeben worden sein, wobei die besonderen Anforderungen nach Art. 7 Abs. 4 DSGVO in Verbindung mit dem ErwGr. 43 DSGVO zu beachten sind.
• Erforderlich ist eine Willensbekundung für den bestimmten Fall, in informierter Weise und in unmissverständlicher Form (Art. 4 Nr. 11 DSGVO), wobei die Anforderungen nach Art. 7 Abs. 2 DSGVO in Verbindung mit ErwGr. 32 und 42 DSGVO zu beachten sind.
• Das Unternehmen muss garantieren können, dass es für die betroffene Person genauso einfach ist, die Einwilligung zu widerrufen, wie die Einwilligung zu erteilen.
• Im Falle der Einwilligung durch ein Kind in Bezug auf Dienste der Informationsgesellschaft müssen die Voraussetzungen nach Art. 8 DSGVO erfüllt sein.

Sind die obigen Bedingungen nicht erfüllt, gelten bisher erteilte Einwilligungen nicht fort.

Die betroffene Person muss darüber hinaus zum Zeitpunkt der Abgabe der Einwilligungserklärung die Informationen zur Verfügung haben, die zur Abgabe einer informierten Einwilligung notwendig sind. Nach ErwGr. 43 sind dies mindestens Informationen darüber, wer der Verantwortliche ist und für welche Zwecke die personenbezogenen Daten verarbeitet werden.

Diese Informationen sind zum Teil identisch mit den nach Art. 13 DSGVO vorgesehenen Informationspflichten. Die darüber hinausgehenden Informationspflichten müssen für die Fortgeltung bisher erteilter Einwilligungen hingegen grundsätzlich nicht erfüllt worden sein. Unabhängig von den genannten Bedingungen für erteilte Einwilligungen müssen künftig die Informationspflichten nach Art. 13 DSGVO beachtet werden.

Mustervorlagen für Einwilligungserklärungen

Im Folgenden stellen wir Ihnen ein Muster für die Einwilligungserklärung nach der DSGVO vor. Es bedarf jedoch einer Anpassung in einem konkreten Einzelfall, da unter anderem die Zwecke konkret beschrieben werden müssen. Unternehmen sollten mindestens eine datenschutzrechtliche Beratung für die Gestaltung einer Einwilligung einholen, welche oftmals schnell erfolgen kann.

Falls Sie eine Einwilligung oder Datenschutzerklärung für Beschäftigte Ihres Unternehmens suchen, finden Sie hier weitere Informationen. Mit unserem Datenschutz-Management-System erhalten unsere Kunden bereits einige Vorlagen für die Einwilligung zur Verwendung (z.B. Einwilligung für Fotos).

Hinweis: Das folgende Muster erhebt keinen Anspruch auf Rechtssicherheit und Vollständigkeit. Es dient lediglich der Veranschaulichung. Darüber hinaus bedarf es bei der Einwilligungserklärung einer expliziten und sachdienlichen Anpassung auf den jeweiligen Einzelfall. Bitte wenden Sie sich an einen Datenschutzbeauftragten, wenn Sie eine datenschutzkonforme Einverständniserklärung aufsetzen wollen.

Welche Folgen hat eine unwirksame Einwilligungserklärung?

Mit welchen Folgen muss ein Unternehmen rechnen, wenn es eine unwirksame Einwilligung erhoben hat? Eine Einwilligungserklärung, die nicht den dargestellten Anforderungen genügt, ist unwirksam und kann nicht als Rechtsgrundlage für eine Datenverarbeitung herangezogen werden. Die Datenverarbeitung in diesem Fall auf eine andere Rechtsgrundlage zu stützen, beispielsweise die Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten (Art. 6 Abs. 1 lit. f) DSGVO), ist grundsätzlich unzulässig, denn der Verantwortliche muss die Grundsätze der Fairness und Transparenz (Art. 5 Abs. 1 lit. a) DSGVO) beachten. Verantwortliche sollten in jedem Fall bei der Verwendung von anderen Rechtsgrundlagen, wie dem berechtigten Interesse, einen Datenschutzbeauftragten für die Bewertung heranziehen. Denn für den wirksamen Einsatz des berechtigten Interesses ist eine Interessenabwägung gem. Art. 6 Abs. 1 lit. f) DSGVO notwendig.

Jedenfalls ist ein willkürliches Wechseln zwischen Einwilligung und anderen Rechtsgrundlagen nicht möglich. Erweist sich die Einwilligungserklärung als unwirksam oder kann der Verantwortliche das Vorliegen der Einwilligung nicht nachweisen, so ist die Verarbeitung der Daten auf dieser Grundlage rechtswidrig. Bei Verstößen gegen die Grundsätze der Verarbeitung, einschließlich der Bedingungen für die Einwilligung, kann von der zuständigen Aufsichtsbehörde nach Maßgabe von Art. 83 Abs. 5 lit. a) DSGVO eine Geldbuße verhängt werden. Außerdem kommen je nach den Umständen des Einzelfalls auch Schadensersatzansprüche der betroffenen Person in Betracht. Lesen Sie hierzu unseren Beitrag zum Thema DSGVO Strafen.

Start-up datenschutzkonform gründen

Um Bußgelder und andere negative Konsequenzen zu vermeiden, sollten bereits bei der Gründung des Start-ups datenschutzrechtliche Vorgaben berücksichtigt und umgesetzt werden. Am Anfang jedes Start-ups steht zunächst „die Idee“. Darauf folgt im nächsten Schritt die Überlegung, wer die Vertragspartner werden sollen. Schon hier spielt der Datenschutz eine große Rolle. Zur Einhaltung der DSGVO sollte schon vor der Gründung eine Vertraulichkeitsvereinbarung unterzeichnet werden. Diese Vereinbarung ist außerordentlich wichtig in Bezug auf die Geheimhaltung von Betriebsinterna. Weiterhin wird festgelegt, welche Rechte und Pflichten der Geschäftspartner hat und wie sich der Umgang mit sensiblen Daten, wie z.B. personenbezogenen Daten von Kunden, Mitarbeitern und Lieferanten, gestaltet. Des Weiteren sollten Mitarbeiter und Geschäftspartner Informationsschreiben erhalten und an unerlässlichen Schulungen zum Thema Datenschutz teilnehmen. Interessant in Hinblick auf den Datenschutz ist auch der Umgang mit dem Kunden: Hier sind eine Reihe verschiedener Gesichtspunkte zu beachten, denn sollte ein Kunde im Auftrag personenbezogene Daten verarbeiten, ist ein Auftragsverarbeitungsvertrag erforderlich. Hier spielen die technischen und organisatorischen Maßnahmen (TOM) eine große Rolle, welche eine gewisse Sicherheit bei der Verarbeitung personenbezogener Daten gewährleisten. Als technische Maßnahmen werden hierbei eine Reihe von Maßnahmen bezeichnet, die Einfluss auf die technische Verarbeitung haben, wie beispielsweise die Verschlüsselung von Datenträgern. Als organisatorische Maßnahmen hingegen gelten z.B. Schulungen von Mitarbeitern, aber auch die Vertraulichkeitsverpflichtung.

Auch beim Betrieb einer Webseite müssen gewisse Standards eingehalten werden. Zunächst sollte sich beim Aufrufen der Webseite stets ein Cookie-Banner mit entsprechenden Auswahlmöglichkeiten öffnen. Ferner muss jede Webseite eine Datenschutzerklärung nach Maßgabe der DSGVO sowie des BDSG enthalten, in der der jeweilige Zweck der Verarbeitung, die Dauer der Verarbeitung, die Betroffenenrechte sowie sämtliche Rechtsgrundlagen der Verarbeitungen genannt werden. Eine fehlerhafte Datenschutzerklärung kann auch hier zu hohen Bußgeldern führen.

Start-up Investoren prüfen die Umsetzung der DSGVO

Auch in Hinblick auf mögliche Investoren ist die genaue Einhaltung der DSGVO lukrativ. Natürlich wird hier genau geprüft, inwieweit sich das Start-up an die gesetzlichen Vorgaben hält und wie diese im Unternehmen Umsetzung finden. Wichtig ist, dass sich Start-ups hinsichtlich ihrer technischen Maßnahmen, bezogen auf datenschutzrechtliche Vorgaben, stets auf dem neuesten Stand befinden, um Sicherheit zu gewährleisten und das Risiko von möglichen Datenpannen oder Reputationsschäden zu minimieren. Als „Datenpanne” wird die Verletzung des Schutzes personenbezogener Daten bezeichnet, die der unverzüglichen und möglichst binnen 72 Stunden zu erfolgenden Meldung bei der zuständigen Aufsichtsbehörde bedarf und die ebenfalls empfindliche Bußgelder nach sich ziehen kann. Deshalb möchten mögliche Investoren das Risiko einer Datenpanne gerne ausschließen und daher vorzugswürdig in Start-ups investieren, bei denen eine lückenlose Einhaltung der DSGVO gegeben ist. Um eine hohe Attraktivität für Investoren zu erzielen, ist es besonders wichtig, bei einer Prüfung der bisherigen Umsetzung der DSGVO, die häufig vor der Platzierung von Investitionen erfolgt, gute Ergebnisse zu erzielen. 

Selbstredend ist, dass Investoren nur in Geschäftsmodelle investieren, welche auch vor dem Hintergrund der datenschutzrechtlichen Situation, legal durchgeführt werden dürfen. Ist das Geschäftsmodell nicht vorab umfassend begutachtet worden, gehen Start-ups das Risiko ein, dass die Produkte, Dienstleistungen oder Softwarelösungen gar nicht erst angeboten werden dürfen. Gründer-Teams setzen daher oftmals auf ein externes Audit, um diese Risiken ausschließen zu können.

Was sind die “Must-Haves”?

Besonders geeignet für den Nachweis über die Einhaltung der DSGVO sind Dokumentationen wegen der Rechenschafts- und Nachweispflicht. vgl. Art. 5 Abs. 2 DSGVO. Hierzu zählen insbesondere der Abschluss von Auftragsverarbeitungsverträgen sowie die Dokumentation der technischen und organisatorischen Maßnahmen eines Unternehmens nach Art. 32 DSGVO. Darüber hinaus ist ein Verzeichnis von Verarbeitungstätigkeiten gem. Art. 30 DSGVO unerlässlich. Das Verzeichnis von Verarbeitungstätigkeiten ist eine Übersicht aller Prozesse (Verarbeitungen), welche personenbezogene Daten beinhalten. Die Erstellung eines solchen Verzeichnisses ist hier umfassend erklärt. 

Auch eine Datenschutz-Folgenabschätzung, z.B. bei gewissen Verarbeitungen von besonderen Kategorien von personenbezogenen Daten, kann erforderlich sein und sollte daher dokumentiert durchgeführt werden. Als organisatorische Maßnahme i.S.v. Art. 32 DSGVO müssen Vertraulichkeitsverpflichtungen und Informationsschreiben für Mitarbeiter vorhanden sein. Zudem sollten Mitarbeiterschulungen im Datenschutz in regelmäßigen Abständen durchgeführt werden und eingeholte Einwilligungserklärungen der Mitarbeiter, zum Beispiel in Hinblick auf die Veröffentlichung von Mitarbeiterfotos auf der Webseite des Arbeitgebers, revisionssicher aufbewahrt werden.

Datenschutz beim Verkauf eines Start-ups

Nun stellt sich die Frage, was bei dem Verkauf eines Start-ups, bei einem sogenannten Start-up Exit, zu beachten ist. Grundlegend ist zunächst klarzustellen, dass Kundendaten nicht wie Ware verkauft werden können. Auch hier müssen die Vorgaben der DSGVO eingehalten werden. Zu unterscheiden ist hierbei zwischen Kundendaten bei laufenden Verträgen, bei welchen eine Genehmigung des Kunden notwendig ist, sowie Daten von Bestandskunden ohne laufende Verträge, bei denen die aktive Vertragsbeziehung mehr als drei Jahre zurückliegt und deren Daten damit der Einschränkung der Verarbeitung unterliegen. Ferner sind von diesen Konstellationen Daten von Kunden bei fortgeschrittener Vertragsanbahnung zu unterscheiden, die mit einer längeren Widerspruchsfrist übermittelt werden. Darüber hinaus werden Kundendaten im Falle von offenen Forderungen abgetreten und dürfen somit dem Käufer weitergegeben werden. Kundendaten besonderer Kategorien von personenbezogenen Daten nach Art. 9 Abs. 1 DSGVO können nach einer informierten Einwilligung gem. Art. 9 Abs. 2 lit. a) DSGVO und Art. 7 DSGVO übermittelt werden. Bezüglich der Daten von Mitarbeitern und Beschäftigten gilt, dass diese nur verarbeitet werden dürfen, sofern diese für die Beurteilung des Arbeitsverhältnisses sowie dessen Begründung oder Beendigung notwendig ist, vgl. Art. 88 DSGVO, § 26 BDSG-neu. In diesem Zusammenhang ist zudem die Frage entscheidend, wie lange der Verkäufer die jeweiligen Daten noch verarbeiten darf. Sofern nicht entsprechende Aufbewahrungspflichten bestehen, sind die Daten durch den ehemaligen Arbeitgeber umgehend zu löschen.

Anforderungen an den digitalen Arbeitsplatz im Start-up 

Start-ups arbeiten in der Regel sehr digital und kennzeichnen sich durch den effizienten Einsatz mobiler Endgeräte. Doch auch die Nutzung von Arbeitstools wie Slack und Microsoft Office 365 und Google Dienste birgt einige datenschutzrechtliche Gefahren, die es zu vermeiden gilt. Durch die Eröffnung der vielen (digitalen) Optionen ist es Start-up-Mitarbeitern möglich, oft im Homeoffice zu arbeiten. Besonders im Homeoffice wird häufig zwingend auf die genannten Tools zurückgegriffen.  Um personenbezogene Daten zu schützen, sieht Art. 32 Abs. 1 lit. b) DSGVO vor, dass angemessene Schutzmaßnahmen getroffen werden müssen, welche die Fähigkeit besitzen, die Vertraulichkeit, Verfügbarkeit, Belastbarkeit und Integrität der Dienste und Systeme in Bezug auf die Verarbeitung der Daten sicherzustellen. Zugriffs- und Zutrittskontrollen sowie Eingabe- und Weitergabekontrollen sollten, sowohl am Arbeitsplatz als auch im Homeoffice, vorhanden sein, damit z.B. Datenpannen ausgeschlossen werden und personenbezogene Daten auf einem sicheren Level verarbeitet werden. Die Risiken im Home Office, wie z.B. die unbefugte Nutzung von Geräten und Systemen durch Dritte oder die Offenlegung schützenswerter Informationen, kann durch gezielte technische und organisatorische Maßnahmen auf ein Minimum reduziert werden. 

Software-Entwicklung unter der DSGVO

Auch die Software-Entwicklung ist vom Datenschutz betroffen: Start-ups sollten bei der Auswahl bzw. Entwicklung ihrer Software besonders achtsam sein, da hier mehrere wichtige Grundsätze für die Erhebung von personenbezogenen Daten gelten, welche insbesondere in Art. 5 Abs. 1 DSGVO aufgelistet sind. Diese Grundsätze beinhalten das Transparenzgebot, die Zweckbindung sowie das Prinzip der Datenminimierung. Als weitere wesentliche Normen in Bezug auf eine datenschutzkonforme Software-Entwicklung sind insbesondere Art. 25 und Art. 78 DSGVO zu nennen. Hier steht der Schutz der Rechte und Freiheiten der betroffenen Personen im Fokus. Personenbezogene Daten sind via „Datenschutz durch Technikgestaltung”, auch „Privacy by design” genannt, zu schützen. Dies sind Technikgestaltungen, wie zum Beispiel die sichere Verschlüsselung und Pseudonymisierung von personenbezogenen Daten. Darüber hinaus sollte der Datenschutz durch sog. datenschutzfreundliche Voreinstellungen gewährleistet werden („Privacy by default”). Hierbei geht es um den Grundsatz, dass durch Voreinstellungen nur Daten verarbeitet werden, die für den jeweiligen Verarbeitungszweck erforderlich sind. Die technischen und organisatorischen Maßnahmen spielen insgesamt bei der Software-Entwicklung eine große Rolle und zu einem möglichst frühen Zeitpunkt in der Software-Entwicklung berücksichtigt werden, da die nachträgliche Implementation häufige größere Aufwände und Kosten nach sich ziehen kann. Diese sollten darauf ausgelegt sein, Datenschutzgrundsätze möglichst wirksam umzusetzen. Bei der Auswahl der TOMs ist besonders darauf zu achten, dass diese stets auf dem neuesten Stand der Technik sind und diese regelmäßig überprüft werden.

Was sollten Start-ups noch beachten?

Wir fragen nach beim Start-up Rechtsanwalt Nils L. Bremann LL.M., welcher Gründungs-Partner der Kanzlei „Der Startup Anwalt“ mit Standorten in Münster und Hamburg ist.

Was Start-ups aus meiner Sicht als Start-up Anwalt in datenschutzrechtlicher Sicht zu beachten haben, ist natürlich stark abhängig vom jeweiligen Geschäftsmodell. Pauschal kann man aber sagen, je digitaler ein Geschäftsmodell, desto mehr Datenschutzthemen sind in dessen Aufbau einzubeziehen. Themen wie die Beratung und der Entwurf zu Datenschutzerklärungen & Cookie-Banner für Websites und Apps, zu Auftragsverarbeitungsverträgen als Bestandteil der Vertragsbeziehung zu den Kunden oder auch zum datenschutzkonformen Aufbau von Software gehören zu den immer wiederkehrenden Basics eines Start-up Anwalts. Spannend wird es aus meiner Sicht insbesondere immer dann, wenn es sich bei den Geschäftsmodellen der Start-ups um solche handelt, die die neuesten Technologien, wie etwa Blockchain, Künstliche Intelligenz oder auch Internet of Things integrieren. Hier nimmt die Klärung datenschutzrechtlicher Fragen eine zentrale Rolle ein. Denn im Zentrum dieser Technologien steht meist die Verarbeitung einer Vielzahl personenbezogener Daten. Und für viele dieser technischen Entwicklungen gibt es auch noch gar keine sonstige Gesetzgebung außerhalb des Datenschutzrechts. 

Was ist ein Datenschutzbeauftragter?

Ein Datenschutzbeauftragter, oft abgekürzt mit DSB, kann sowohl eine natürliche Person als auch eine juristische Person wie zum Beispiel eine GmbH sein. Zu den Aufgaben eines Datenschutzbeauftragten gehören unter anderem die Überwachung der Einhaltung der Datenschutzbestimmungen, und zudem fungiert der DSB als Ansprechpartner für Datenschutzthemen. Datenschutzbeauftragte können auf Bundes-, Länder- und Unternehmensebene bestellt werden. Unter bestimmten Voraussetzungen gilt eine Pflicht zur Bestellung eines Datenschutzbeauftragten für Unternehmen. Dies trifft unter anderem ein, wenn ein Unternehmen mindestens 20 Arbeitnehmer beschäftigt, welche mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Sollte der Pflicht nicht nachgekommen werden, einen DSB zu bestellen, ist dies eine Ordnungswidrigkeit.

Wer braucht einen Datenschutzbeauftragten?

Gemäß der europäischen Datenschutz-Grundverordnung (DSGVO) und ergänzend dazu aus dem Bundesdatenschutzgesetz (BDSG) ergeben sich einige rechtliche Verpflichtung zur Bestellung eines DSBs. So besteht nach § 38 BDSG eine Pflicht, die sich aus der Mitarbeiterzahl eines Unternehmens ergibt. Demnach muss ein Unternehmen einen DSB bestellen, wenn in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Bei der Bemessung der Personenanzahl werden auch Teilzeitkräfte, Aushilfen und Praktikanten berücksichtigt. Dabei liegt eine regelmäßige automatisierte Datenverarbeitung z.B. vor, wenn EDV-Programme wie Outlook oder Excel eingesetzt werden, aber auch durch den alltäglichen beruflichen E-Mai-Verkehr. Daneben besteht unabhängig von der Anzahl der Arbeitnehmer in einem Unternehmen gem. Art. 37 Abs. 1 lit. b) DSGVO die Pflicht zur Benennung eines DSBs, wenn die Kerntätigkeit eines Unternehmens Datenverarbeitungsvorgänge betrifft, bspw. die Erhebung, Verarbeitung, Nutzung oder Übermittlung personenbezogener Daten bei Marktforschungsunternehmen. Darüber hinaus gilt eine Benennungspflicht, sobald in großem Umfang besondere Arten von personenbezogenen Daten oder personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten gem. Art. 10 DSGVO verarbeitet werden. Nach Art. 9 DSGVO sind besondere Kategorien personenbezogener Daten z.B. Daten zur Gesundheit oder ethnischen Herkunft. Schließlich ergibt sich noch eine Bestellungspflicht, wenn im Sinne des Art. 35 DSGVO eine Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat und Datenschutzfolgeabschätzung notwendig wird.

Arten des Datenschutzbeauftragten

ES gibt zwei verschiedene Arten von Datenschutzbeauftragten. Ein interner DSB ist ein Angestellter des Unternehmens, dieser ist für den Datenschutz innerhalb des Unternehmens verantwortlich. Der interne Datenschutzbeauftragte muss diverse Pflichten und Anforderungen erfüllen, dies geschieht z.B. anhand von Fortbildungen. Sollte der Mitarbeiter die Anforderungen nicht erfüllen, so wird dies bewertet, als wäre kein DSB im Unternehmen vorhanden. Als interner DSB verfügt man über einen erweiterten Kündigungsschutz und hat Ansprüche auf eine eigene Ausstattung und Fortbildungen, welche vom Unternehmen bezahlt werden. Der interne DSB darf außerdem im Feld seiner Tätigkeit weisungsfrei handeln.

Ein externer Datenschutzbeauftragter wird durch einen Dienstleister gestellt. Unternehmen beauftragen also im Rahmen von Dienstleistungsverträgen eine externe Person und verlagern somit die Aufwände extern. Als externe Datenschutzbeauftragte kommen dabei Dienstleister in Frage, welche viel Erfahrung und juristische Expertise besitzen.

Wer kann Datenschutzbeauftragter werden?

Laut Gesetz kann nicht jeder zum Datenschutzbeauftragten ernannt werden. Jede Person, die in einem Interessenkonflikt steht oder bei der die Selbstkontrolle gefährdet ist, ist hiervon explizit gem. Art. 39 Abs. 6 S. 2 DSGVO ausgeschlossen. Dieser Fall liegt vor, wenn der Datenschutzbeauftragte anderen Aufgaben nachkommt, die im Zielkonflikt mit den Grundaufgaben des Datenschutzbeauftragten gem. Art. 39 DSGVO stehen. Zum Beispiel wird die Kontrollfunktion geschwächt, wenn der Datenschutzbeauftragte gleichzeitig der Geschäftsführer oder eine dieser nahestehenden Person ist. Hierzu hatte ein Unternehmen bereits ein Bußgeld erhalten. Dennoch ist es möglich, dass der Datenschutzbeauftragte anderen Aufgaben und Pflichten nachkommen kann. Solange die datenschutzrechtliche Beratung von einer neutralen Basis ausgeht, die Überwachung des Datenschutzes nicht beeinflusst wird und die Korrespondenz mit Aufsichtsbehörden ebenfalls datenschutzrechtlich neutral gestaltet wird, stellen andere Aufgaben keinen Interessenkonflikt dar.

Die Aufsichtsbehörden sind sich einig, dass die oberste Leistungsebene, also Personen wie der Geschäftsführer, Inhaber, leitende Angestellte, Manager oder Prokuristen, nicht als Datenschutzbeauftragte für das eigene Unternehmen ernannt werden dürfen. Die Vertretungspflicht der Person widerspricht der Kontrollfunktion aus Sicht der DSGVO.

Welche Qualifikation muss ein Datenschutzbeauftragter haben? 

Um der Stellung des Datenschutzbeauftragten im Sinne der DSGVO gerecht zu werden, müssen in jedem Fall die Vorgaben des Art. 37 Abs. 5 DSGVO erfüllt sein. Abweichende nationale, z.B. deutsche Regelungen, sind von der DSGVO nicht vorgesehen und auch nicht zugelassen. Den Mitgliedstaaten steht es lediglich offen, ergänzende bzw. zusätzliche Qualifikationen vorauszusetzen. Grundsätzlich muss ein Datenschutzbeauftragter drei Hauptaufgaben erfüllen: Er muss auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens im Bereich Datenschutzrecht benannt werden. Des Weiteren muss der gleiche Qualifikationsstandard für die Datenschutzpraxis vorliegen. Für die dritte Qualifikation muss der Datenschutzbeauftragte in der Lage sein, auf Grundlage seiner Fähigkeiten die in Art. 39 DSGVO genannten Aufgaben zu erfüllen. Diese Qualifikationen sollten bereits im Vorfeld, also vor Ernennung zum Datenschutzbeauftragten, vorliegen. Die Praxis zeigt jedoch, dass dies nicht immer nahtlos möglich ist. Dennoch sollten die Qualifikationen schnellstmöglich nach Ernennung nachgeholt werden und sodann auch erhalten werden. Bedeutet, dass das Wissen stets aktuell gehalten werden muss, um die datenschutzrechtlichen Vorgaben zu erfüllen. Datenschutzbeauftragte können ihr Fachwissen mit entsprechenden Gütesiegeln wie z.B. vom TÜV oder IHK nachweisen. Dabei ist zu berücksichtigen, dass Zertifikate eine Momentaufnahme darstellen und eventuell nicht ausreichend Fachwissen vermitteln, um komplexere datenschutzrechtliche Themen zu behandeln.

Vor- und Nachteile eines internen Datenschutzbeauftragten

Nachfolgend stellen wir Ihnen die Vorteile und Nachteile eines internen Datenschutzbeauftragten gegenüber.

Vorteile:

• Kennt die Firma und hat dadurch einen Überblick über interne und vertrauliche Prozesse.
• Ist i.d.R. vor Ort und schneller handlungsfähig.
• Keine große Einarbeitung im Unternehmen notwendig.

Nachteile:

• Oft nur nebenberuflich als DSB tätig, was Zeitmangel und Überforderung verursacht.
• Nicht tief genug in den Datenschutz eingearbeitet, was zu Fehlern führen kann.
• Fehlende Expertise aus der Praxis.
• Zusätzliche Kosten für die Ausbildung des DSB.
• Fehlende Vertretung, falls der DSB verhindert ist.
• Erweiterter Kündigungsschutz.
• Mögliche Interessenkonflikte innerhalb des Unternehmens.
• Beschränkte Arbeitnehmerhaftung.
• Oft schwierig eine geeignete Person zu finden.

Unabhängig von der Ausbildung eines internen DSB, ist es zudem auch relevant, die Mitarbeiterinnen und Mitarbeiter rechtssicher über Datenschutz im Unternehmen aufzuklären und zu sensibilisieren. So verhindern Sie die fehlerhafte Umsetzung von rechtlichen Vorgaben und gehen keine weiteren Risiken im Unternehmen bezüglich verschiedenster Datenschutzverletzungen ein. Eine Schulung, wie bspw. die der Mitarbeiterschule, kann dabei ein wichtiges Instrument zur Datenschutz-Optimierung darstellen.

Vor- und Nachteile eines externen Datenschutzbeauftragten

Nun folgt die Gegenüberstellung der Vor- und Nachteile bei Bestellung eines externen Datenschutzbeauftragten.

Vorteile:

• Höher qualifiziert durch höhere Fortbildungsbudgets.
• Kann fristgerecht gekündigt werden.
• Neutrale Person (Vermeidung von Interessenkonflikten).
• Transparente Vorgehensweise.
• Unternehmen haftet nicht bei falscher Beratung durch den DSB.
• Permanenter Ansprechpartner.
• Viel Praxiserfahrung und benötigte Expertise.
• Planbare Kostenstruktur.

Nachteile:

• Eventuell fehlende spezifische Unternehmenskenntnisse, wodurch ggf. Einarbeitung notwendig ist.
• Es müssen Prozesse für die reibungslose Kommunikation eingerichtet werden.

Aufgaben des Datenschutzbeauftragten

Der Aufgabenbereich eines Datenschutzbeauftragten ist sehr vielfältig. Diese übernehmen die gesamte Koordination von datenschutzrechtlichen Aufgaben in einem Unternehmen und entlasten auf diese Weise die Geschäftsführung und das Management. Als Schnittstelle zwischen dem Unternehmen und der zuständigen Aufsichtsbehörde erfüllen diese eine neutrale Kontrollfunktion hinsichtlich der Beratung, Unterstützung und Umsetzung von Datenschutzfragen. Zudem sind sie die Verantwortlichen für die Einhaltung der DSGVO und weiteren Datenschutzvorschriften, wie z.B. das Gesetz zum Schutz von Geschäftsgeheimnissen (GeschGehG). Zusätzlich unterstützt und berät der DSB den Verantwortlichen bei der rechtskonformen Erstellung der Datenschutz-Folgenabschätzungen gem. Art. 35 DSGVO, sprich der Risikoanalyse bzw. Risikoabschätzung vor der Durchführung einer jeweiligen Datenverarbeitung. Darüber hinaus berät und hilft der DSB dem Verantwortlichen zum einen bei der Erstellung von Richtlinien, um dem Prinzip der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO gerecht zu werden und zum anderen bei der Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten gem. Art. 30 DSGVO, um die notwendigen Angaben des VVT und die inhaltlichen Anforderungen gem. Art. 30 Abs. 1 lit. a) bis g) DSGVO auf Schlüssigkeit zu kontrollieren.

Zusätzlich kann der Datenschutzbeauftragte gem. Art. 37 bis Art. 39 DSGVO u.a. folgende Aufgaben übernehmen:

• Kommunikation mit Auftragsverarbeitern und Dienstleistern
• Erstellung von Auftragsverarbeitungsverträgen (AVV)
• Koordination der Abschlüsse von Auftragsverarbeitungsverträgen
• Prüfung und Erstellung von Datenschutzerklärungen
• Erstellung und Prüfung von Einwilligungserklärungen
• Entwicklung eines Verfahrens für die Bearbeitung von Betroffenenrechten
• Prüfung von technisch-organisatorischen Maßnahmen
• Empfehlungen für gesetzlich erforderliche technisch-organisatorische Maßnahmen
• Entwurf von Berechtigungs- und Löschkonzepten
• Prüfung und Niederschrift von Informationsschreiben für betroffene Personen
• Erstellung von Vertragswerken, wie z.B. EU-Standard-Datenschutzklauseln gem. Art. 46 Abs. 2 lit. c) DSGVO für den Transfer von personenbezogenen Daten in Drittländer oder der Entwurf eines Vertrags zur gemeinsamen Verantwortlichkeit gem. Art. 26 DSGVO

Was droht bei Verstößen gegen die Bestellungspflicht?

Die fehlerhafte oder gänzlich unterlassene Bestellung eines Datenschutzbeauftragten könnte von den zuständigen Aufsichtsbehörden nach Art. 83 Abs.4 lit.a DSGVO entweder mit einem Bußgeld von bis zu 10 Mio. Euro oder einem Bußgeld von bis zu zwei Prozent des weltweiten Jahresumsatzes geahndet werden. Für die Höhe ist der Umsatz des Unternehmens aus dem vorangegangenen Geschäftsjahr maßgeblich.

Zudem können durch die Benennung eines DSB mögliche Verstöße minimiert oder gänzlich vermieden werden. Bei den meisten Verstößen drohen sonst Strafen in Form von Bußgeldern. Diese richten sich an die jeweilige verantwortliche Stelle, so z.B. an die juristischen Personen im Fall eines Unternehmens. Welche Verstöße zu Bußgeldern führen, zählt Art. 83 DSGVO auf. Hierzu gehören u.a. Verstöße gegen Regelungen, die folgende Bereiche des Datenschutzes betreffen:

• Auftragsverarbeitung
• Betroffenenrechte
• Verzeichnis der Verarbeitungstätigkeiten
• Informationspflichten (Datenschutzerklärungen)
• Technisch-organisatorische Maßnahmen
• Übermittlungen von personenbezogenen Daten in Drittstaaten
• Grundsätze der Datenverarbeitung
• Datenschutzfolgen-Abschätzungen

Bei solchen Verstößen drohen Verantwortlichen Bußgelder von bis zu 20 Mio. Euro oder im Fall eines Unternehmens bis zu vier Prozent des weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres, je nachdem, welcher der Beträge höher ist, vgl. Art. 83 Abs. 4 und Abs. 5 DSGVO.

Nach Art. 55 Abs. 1 DSGVO ist jede Aufsichtsbehörde für die Erfüllung der Aufgaben und die Ausübung der Befugnisse, die ihr übertragen wurden, im Hoheitsgebiet ihres eigenen Mitgliedstaats zuständig. Dies bedeutet, dass für Unternehmen und andere nicht-öffentliche Stellen in Deutschland grundsätzlich die örtlich zuständigen Landesaufsichtsbehörden zuständig sind. Dabei können die Kontrollen anlasslos oder anlassbezogen erfolgen. Bei diesen Kontrollen können dann bspw. durch Mängel bei der schriftlichen Bestellung des DSB oder wenn dieser nicht die Voraussetzungen nach Art. 37 Abs. 5 DSGVO erfüllt, Bußgelder drohen. Als Ordnungswidrigkeit gem. § 43 BDSG können diese Bußgelder bis zu 50.000 Euro betragen.

Welche weiteren Folgen bspw. auch natürlichen Personen bei Verstößen gegen die Regelungen des Datenschutzes drohen, können Sie in unserem Blog erfahren. Zudem können Sie hier aktuelle News aus dem Datenschutz über neue Rechtsprechungen oder Bußgelder einsehen.