Schilderung eines echten Falles

Vorbemerkung:

In diesem Beitrag sind einige Konstellationen, Orte und alle Namen von beteiligten Menschen und Institutionen verändert. Die Bank wird beispielsweise nur „Bank“ genannt. Eine Ausnahme ist das Landesamt für Datenschutz und Informationsfreiheit Nordrhein-Westfalen. Es handelt sich tatsächlich um die beteiligte Aufsichtsbehörde. Der Name der Sachbearbeiterin hingegen ist geändert.

Dies alles dient dem Schutz der Protagonistin Aleyna Shadid, die hier natürlich auch nicht mit ihrem richtigen Namen genannt wird. Der Grund dafür wird im Folgenden klar.

Alle genannten Daten hingegen sind real. Der Fall ist echt, es handelt sich nicht um eine theoretische Fallkonstruktion. Die Diskussion soll Frau Shadid bei der Entscheidung helfen, ob sie juristisch gegen die Bank vorgeht oder nicht.

Der Fall

Eine Mitarbeiterin eines Klienten, eben besagte Aleyna Shadid, ist im Frühjahr 2019 aus ihrer arabischstämmigen Familie geflüchtet, weil sie das ihr zugedachte Leben so nicht führen wollte.

Aleyna Shadid bewarb sich bei meinem Klienten um eine Ausbildungstelle im kaufmännischen Bereich und wurde angenommen. Das zog, nach der Flucht in eine vorübergehende Zufluchtsstätte, einen weiteren Umzug nach sich in die Nähe der Firmenräume meines Klienten.

Etwas mehr als elf Monate nach Antritt ihrer Ausbildung am 1. August 2019 – und einige Tage nach der Kündigung des Kontos bei der Bank – erhielt Frau Shadid einen auf den 24. Juni 2020 datierten Brief von ihrer Bank mit der Bitte, eine angeblich am 2. Juli 2019 abgegebene Vollmacht zugunsten ihrer Mutter nochmals zu unterschreiben, da leider das Vollmachtsformular, welches sie mit ihrer Mutter gemeinsam unterschrieben hätte, wegen eines „technischen Fehlers“ nicht archiviert worden sei. Das Anschreiben im Wortlaut (in allen Schreiben wird der Originaltext wiedergegeben inkl. Fehlern wie bspw. hier das Datum 02.07.2020, gemeint war der 02.07.2019; nur Namen und ggf. Orte sind jeweils geändert):

Sehr geehrte Frau Shadid,

am 02.07.2020 haben Sie Ihrer Mutter Hasiye Shadid eine Vollmacht für Ihre Konten erteilt.

Leider wurde das Vollmachtsformular, welches Sie und Ihre Mutter damals unterschrieben haben, wegen eines technischen Fehlers bei uns nicht archiviert.

Deswegen Bitte ich Sie und die Bevollmächtigte das beigelegte Formular an den gekennzeichneten Stellen erneut zu unterschrieben und uns dieses in dem Freiumschlag zurück zu schicken.

Vielen Dank!

Mit freundlichen Grüßen

Lara Christine Walter-Neumann

Frau Shadid wurde sofort von großer Angst erfasst, da ihre Familie unter keinen Umständen ihren Aufenthaltsort erfahren darf, weil sie mit Repressalien rechnen muss, wenn ihre Familie sie ausfindig macht. Von einer Vollmacht wusste sie nichts. Das Formular zur Unterschrift hat sie nie erhalten. Wenn sie es in Händen gehabt hatte, wären ihrerseits sofortige Maßnahmen eingeleitet worden. Zu diesem Zeitpunkt (Juli 2019) hätte sie sich sofort wieder in die Schutzeinrichtung begeben, in die sie geflüchtet war.

Mein Klient bat mich um Unterstützung für seine Auszubildende. Gemeinsam haben wir am 30. Juni 2020 zwei Schreiben formuliert. Das eine war an den Vorstand der Bank gerichtet, das andere an dessen Datenschutzbeauftragten (DSB). Im Schreiben an den DSB hat sie ihre Situation offengelegt, sich ihm also dahingehend anvertraut, dass sie vor ihrer Familie geflüchtet ist und die Familie unter keinen Umständen ihren Aufenthaltsort erfahren dürfe. Der Bank gegenüber hat sie das nicht geschildert.

Die Antwort der Bank vom 8. Juli 2020:

Sehr geehrte Frau Shadid,

Ihr Schreiben vom 30.06.2020 wurde von unserer Mitarbeiterin, Frau Stockmann, an den Vorstandsstab gegeben.

Unsere Recherche hat ergeben, dass der Markt eine automatisierte Information erhalten hat, dass eine Vollmacht angelegt war, allerdings ein unterschriebenes Vollmachtsformular bei uns nicht vorliegt. Wir müssen wohl davon ausgehen, dass die Eingabe der Vollmacht erfolgte, wir können aber leider nicht mehr nachvollziehen, wie sich der Vorgang dargestellt hat und wie es zu diesem Missverständnis kam.

Wir haben Ihre Kontoumsätze seit dem 02.07.2019 überprüft und eine mögliche Vollmacht wurde nicht genutzt.

Wir möchten uns ausdrücklich für die Ihnen entstandenen Unannehmlichkeiten entschuldigen und bestätigen Ihnen, dass keine Vollmacht vorliegt.

Eine Kopie des Schreibens haben wir an unseren Datenschutzbeauftragten, Herrn Wildemann, weitergeleitet, der Ihr Schreiben ebenfalls erhalten hat.

Mit freundlichen Grüßen

Bank (Bereichsleiter Vorstandsstab)

Michael Westphal

Die Antwort des DSB der Bank an Frau Shadid vom 20. Juli 2020:

Sehr geehrte Frau Shadid,

aufgrund meiner urlaubsbedingten Abwesenheit kann ich das an mich persönlich gerichtete Schreiben erst heute beantworten.

Ich kann Ihre Verärgerung über den Vorgang der angeblichen Vollmachtserteilung an Ihre Mutter aufgrund Ihrer besonderen Situation verstehen und habe daher den Sachverhalt in meiner Funktion als Datenschutzbeauftragter der Bank ausführlich geprüft.

Es war sicherlich nicht korrekt, dass unser Auszubildender in unserer EDV eine Vollmacht für Ihre Mutter erfasst hat, nachdem sie uns glaubhaft gemacht hatte, dass sie die Bankgeschäfte ihrer volljährigen Kinder immer erledige, weil diese immer so beschäftigt seien. Die dafür notwendige Unterschrift von Ihnen sollte nun ja auch nachgeholt werden. Da Sie eine solche Vollmacht auf keinen Fall wünschen, haben wir sie in unserer EDV auch sofort wieder gelöscht.

Aus meiner Sicht als Datenschutzbeauftragter stellt sich nun die Frage, ob durch unsere fehlerhafte EDV­Eingabe Ihre Mutter unberechtigter Weise Kenntnis Ihrer Anschrift erlangt hat. Nach den mir vorliegenden Informationen kann ich Ihnen jedoch versichern, dass das nicht der Fall ist. Mir liegen keine Erkenntnisse vor, dass Ihre Mutter Ihre Anschrift erfahren hat; Ihre Mutter hat weder im Rahmen der falschen Erfassung der Vollmacht in unserer EDV noch über sonstigen Schriftwechsel, aber auch nicht über Kontoauszüge oder über das Online-Banking, Ihre aktuelle Adresse mitgeteilt bekommen.

Durch die falsche Erfassung in der EDV wurde der Schutz Ihrer personenbezogenen Daten zwar möglicherweise verletzt, nach meiner Einschätzung hat dieses voraussichtlich aber nicht zu einem Risiko für Ihre Rechte und Ihre Freiheiten im Sinne des Artikel 33 Absatz 1 der Datenschutz-Grundverordnung geführt.

Ich hoffe, wir konnten Sie durch unsere Recherchen und diesen Brief beruhigen. Wir entschuldigen uns noch einmal ausdrücklich für die entstandenen Irritationen und wünschen Ihnen für die Zukunft alles Gute.

Mit freundlichen Grüßen

Datenschutzbeauftragter Bank

Michael Wildemann

Mit den Aussagen in diesen Schreiben war Frau Shadid nicht einverstanden. Nach reiflicher Überlegung entschied sie sich, bei der Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LfDI NRW) Beschwerde einzulegen. Sie wollte sich mit den Antworten nicht zufriedengeben. Zu viele Dinge sind in dem Schreiben des DSB der Bank nicht ausgeschlossen worden. Unter anderem die Möglichkeit, dass schon in dem Gespräch der Mutter mit dem „vergesslichen Auszubildenden“ Informationen weitergegeben wurden (siehe auch „Bemerkungen“ von mir am Ende dieses Beitrages). Insgesamt erschien Frau Shadid die Antwort des DSB und des Vorstands der Bank als wenig hilfreich und auch etwas lapidar.

Am 31. Juli 2020 schrieb Frau Dr. Mahlke, LfDI NRW an Frau Shadid folgenden Brief:

Sehr geehrte Frau Shadid,

für Ihr o.g. Schreiben danke ich Ihnen.

Ihre Beschwerde wurde von mir aufgegriffen. Die Bank habe ich gebeten mir mitzuteilen, ob Ihrer Mutter/Familie über die Vollmacht Ihr derzeitiger Wohn- und Aufenthaltsort bekannt gemacht wurde. Die von Ihnen mitgeteilten Hintergrundinformationen habe ich gegenüber der Bank entsprechend Ihrer Bitte nicht weitergeleitet.

Können Sie mir bitte mitteilen, inwieweit Sie der Bank gegenüber von Ihnen getroffene Schutzmaßnahmen mitgeteilt haben.

Ich werde jedoch so bald wie möglich auf Ihr Anliegen zurückkommen und bitte Sie bis dahin um Geduld.

Mit freundlichen Grüßen

Im Auftrag

Dr. Mahlke

Am 31. August 2020, exakt einen Monat nach dem Schreiben des LfDI an den DSB der Bank, antwortet dieser dem LfDI wie folgt:

Sehr geehrte Frau Dr. Mahlke,

zu Ihrem Schreiben vom 31. Juli 2020 möchten wir wie folgt Stellung nehmen:

Frau Aleyna Shadid hatte sich mit Schreiben vom 30.06.2020 unmittelbar an mich als Datenschutzbeauftragten der Bank gewandt und darin dargelegt, weshalb es aufgrund ihrer persönlichen Lebenssituation besonders wichtig ist, dass ihre Adressangaben geschützt werden. Mein Antwortschreiben vom 20.07.2020 an Frau Shadid füge ich zu Ihrer Information bei.

Die Mutter von Frau Aleyna Shadid hatte am 02.07.2019 in unserer Hauptstelle gegenüber einem unserer Auszubildenden glaubhaft gemacht, dass sie die Bankgeschäfte ihrer volljährigen Kinder immer erledige. Da eine Vollmacht jedoch in unserem EDV-System bis dahin nicht erfasst war und folglich weder Aufträge angenommen noch Auskünfte erteilt werden konnten, hat unser Auszubildende diese Vollmacht dann eingegeben, es danach aber versäumt, zu kontrollieren, ob ein von der Kontoinhaberin unterschriebenes Vollmachts­formular auch zurückgekommen ist. Bei einer Datenkontrolle wurde dann festgestellt, dass die Genehmigung der Kontoinhaberin fehlt, weshalb sie am 24.06.2020 erneut angeschrieben wurde. Zwischenzeitlich ist Frau Shadid von Hagen nach Barsinghausen gezogen und hat am 26.11.2019 eine Adressänderung vorgenommen, wobei ihr nun besonders wichtig ist, dass diese neue Anschrift keinem anderen Familienmitglied bekanntgegeben wird, auch nicht ihrer Mutter.

Ich habe in meiner Funktion als Datenschutzbeauftragter den Sachverhalt ausführlich geprüft. Ja, es war nicht korrekt, dass unser Auszubildende die Vollmacht für die Mutter in unserer EDV erfasst hat, ohne sich vorher bei der Kontoinhaberin zu versichern, ob auch sie dieses wünsche. Den Möglichkeiten unserem EDV-Systems Bank123 ist es jedoch geschuldet, dass erst die Vollmacht in der EDV erfasst werden muss, ehe das Vollmachtsformular gedruckt werden kann und dann der Kontoinhaberin zwecks Unterschrift vorgelegt oder zugeschickt wird.

Viel wichtiger als die nicht von der Kontoinhaberin autorisierte EDV-mäßige Verschlüsselung der Vollmacht ist für mich als Datenschutzbeauftragter der Bank jedoch die Frage, ob die Vollmachtsnehmerin möglicherweise Kenntnis von personenbezogenen Daten der Beschwerdeführerin und hier insbesondere der neuen Anschrift erlangt hat.

Bei meinen internen Prüfungshandlungen konnte ich jedoch nicht feststellen, dass die Mutter von Frau Shadid aufgrund der EDV-mäßigen Vollmacht Transaktionen vorgenommen, Kontoauszüge gezogen oder per Online-Banking Einsicht in die Kontoauszüge genommen hat. Auch sind keine Vorgänge dokumentiert, bei denen die Mutter über eine unserer Geschäftsstellen oder unseren telefonischen Kundenservice Auskunft über die Anschrift ihrer Tochter bekommen wollte oder sogar bekommen hat. Daher komme ich nach Auswertung aller mir vorliegenden Informationen zu dem Ergebnis, dass die personenbezogenen Daten von Frau Shadid nicht unautorisiert an Familienmitglieder offengelegt wurden. Zudem wurde die falsche EDV-mäßige Verschlüsslung der Vollmacht unverzüglich gelöscht.

Mit freundlichen Grüßen

Bank

Michael Wildemann

Datenschutzbeauftragter

Am 5. Oktober 2020 schickte das LfDI Frau Shadid folgenden, den Fall abschließenden, Brief:

Sehr geehrte Frau Shadid,

ich bedanke mich für das mit Ihnen am 12. August geführte Gespräch und übersende Ihnen in der Anlage die Stellungnahme der Bank.

Danach kommt der betriebliche Datenschutzbeauftragte der Bank zu dem Ergebnis, dass nach Auswertung aller ihm zur Verfügung stehenden Möglichkeiten und Informationen eine unbefugte Offenlegung Ihrer personenbezogenen Daten gegenüber Ihren Familienmitgliedern nicht erfolgt ist. Ein Fehlverhalten der Bank im datenschutzrechtlichen Sinne ist daher zu verneinen.

Ich hoffe, Ihnen mit diesen Informationen weitergeholfen zu haben und verbleibe

mit freundlichen Grüßen

Im Auftrag

(Dr. Mahlke)

Bemerkungen:

Bei aller Freude über das große Vertrauen, das Frau Dr. Mahlke vom LfDI NRW hier dem betrieblichen Datenschutzbeauftragten der Bank entgegenbringt, finde ich ihre Reaktion – bemerkenswert.

„Ein Fehlverhalten der Bank im datenschutzrechtlichen Sinne ist daher zu verneinen.“ Echt jetzt? Ist es datenschutzgerecht, dass ein(e) Mitarbeiter*in einer Bank (ich sehe hier mal davon ab, mangelnden Stil zu kritisieren, indem etwas auf einen Auszubildenden geschoben werden soll, völlig unabhängig davon, ob das nun zutrifft oder  nicht, es ist schlicht vollkommen egal) eine Vollmacht für eine Person einträgt, bei der die Vollmachtgeberin nicht anwesend ist? Hätte es nicht vielmehr so sein müssen, dass Frau Shadid anzuschreiben gewesen wäre und erst nach Erhalt der schriftlich erteilten Vollmacht diese in das EDV-System eingetragen wird? Den technische Mangel, dass erst nach Eintragung einer Vollmacht das Formular dazu erstellt werden kann, hätte man leicht umgehen können, indem direkt nach Produktion des Formulars die Vollmacht wieder aus dem System entfernt wird. Nicht schön, aber so werden alle EDV-Sicherungssystem umgangen. Wobei ich hier den Effekt der Sicherung gar nicht sehe. Das scheint mir schlicht schlampig, oder doch zumindest ohne jede Beachtung datenschutzrechtlicher Belange, programmiert.

Der DSB der Bank schreibt, der Vorfall hätte nicht zu einem Risiko gemäß Art. 33 Abs. 1 DS-GVO geführt. Diesem Urteil schließ sich das LfDI NRW ausdrücklich an. Der DSB behauptet: „Auch sind keine Vorgänge dokumentiert, bei denen die Mutter über eine unserer Geschäftsstellen oder unseren telefonischen Kundenservice Auskunft über die Anschrift ihrer Tochter bekommen wollte oder sogar bekommen hat.“ Dass das nicht dokumentiert ist, sagt aber doch rein gar nichts darüber aus, ob das nicht passiert ist. Die vom DSB selbst geschilderte Tatsache, dass „der Auszubildende“ die Vollmacht eingetragen hat und dann vergessen hat, zu kontrollieren, ob das Formular unterschrieben zurückkam, weist für mich in die Richtung, dass die datenschutzrelevanten Prozesse in der Bank, zurückhaltend gesagt, optimierungsbedürftig sind.

Erwägungsgrund 75 und 94 Satz 2 sagen Folgendes aus:

„Ein Risiko im Sinne der DS-GVO ist das Bestehen der Möglichkeit des Eintritts eines Ereignisses, das selbst einen Schaden (einschließlich ungerechtfertigter Beeinträchtigung von Rechten und Freiheiten natürlicher Personen) darstellt oder zu einem weiteren Schaden für eine oder mehrere natürliche Personen führen kann.

Es hat zwei Dimensionen: Erstens die Schwere des Schadens und zweitens die Wahrscheinlichkeit, dass das Ereignis und die Folgeschäden eintreten.“

Das die Möglichkeit des Eintritts eines Schadens zuungunsten von Frau Shadid bestanden hat und noch besteht, ist wohl kaum zu bezweifeln. Die Schwere des Schadens will ich hier nicht in Schauermärchenart ausbreiten. Ich denke, jede(r) Leser*in kann sich ausmalen, welcher Schaden entstehen kann, wenn der Aufenthaltsort einer aus einer arabischen Familie geflohenen jungen Frau von deren Umfeld ausgekundschaftet werden kann. Auch die Eintritts­wahrscheinlichkeit, die ja von dem DSB so heruntergespielt wird, sehe ich wesentlich höher als er es darstellt. Denn, wie oben schon geschrieben, nicht dokumentiert heißt ja nicht, dass es nicht passiert ist.

Ein Halbsatz aus dem Schreiben des DSB an die LfDI NRW macht mich besonders stutzig (und ich finde es bemerkenswert, dass der zuständigen Sachbearbeiterin das nicht aufgefallen ist):

Da eine Vollmacht jedoch in unserem EDV-System bis dahin nicht erfasst war und folglich weder Aufträge angenommen noch Auskünfte erteilt werden konnten, hat unser Auszubildende diese Vollmacht dann eingegeben, ….“

Wofür also wurde die Vollmacht eingetragen? Wozu, wenn nicht um einen Auftrag auszuführen oder eine Auskunft zu erteilen? Hat man flugs den Haken gesetzt, um es möglich zu machen, einen Auftrag auszuführen oder eine Auskunft zu geben? Kann es für den beschriebenen Satz eine andere Erklärung geben?

Ich ermuntere alle Leser*innen zu einer Diskussion hier im Forum. Sehe ich Gespenster oder ist das der „Skandal“, den ich zu erkennen glaube?

Welche Verstöße erkennen Sie? Ich sehe ja schon den ersten Fehler im Design des EDV-Systems. Das Formular für die Unterschrift zur Vollmacht kann erst ausgedruckt werden, wenn die Vollmacht in die EDV eingetragen ist. Hallo? Sollte der DSB nicht mal einen Gedanken daran verschwenden, dass das bitte geändert wird? Ich lese kein Wort darüber. Zumindest in der Antwort an das LfDI NRW hätte ich das ganz bestimmt erwähnt. Hier sind wir doch ganz schnell beim Organisationsversagen.

Datenschutz und Datensicherheit sind super spannende Themen. Finden Sie nicht auch? Ach, nein?

Trotzdem sind Sie irgendwie hier auf meinem Blog gelandet. Das freut mich. Auch, wenn Sie die Themen nicht so spannend finden wie ich. Dennoch werden sie Sie berühren. Das ist zwangsläufig so, wenn Sie beruflich tätig sind oder in einem Verein engagiert. Oder wenn Sie gemeinnützig unterwegs sind. Immer werden Sie konfrontiert sein mit Themen des Datenschutzes und der Datensicherheit.

Dieser Blog behandelt beide Themen. Schwerpunkt ist eher der Datenschutz, also die gewissermaßen die Organisation der Datensicherheit. Aber ich gehe auch gern auf Themen der Datensicherheit ein, weil es da immer wieder spannende neue Entwicklungen gibt, die berichtenswert sind. Weil Datensicherheit aber doch eher ein Thema für Spezialisten ist, habe ich die beiden Themen getrennt, auch wenn sie in der Realität eng zusammengehören. Sie können sie oben in der Menüleiste einzeln anwählen. Wenn Sie hier auf der Startseite bleiben, erscheinen alle Artikel chronologisch von aktuell bis klassisch.

Mein Ansatz bei der Datenschutz- und Datensicherheits-Beratung ist ein sehr pragmatischer. Ich erzähle meinen Klienten nicht, was nicht geht. Vielmehr versuche ich Wege zu finden, die praktikabel und rechtskonform sind. Das funktioniert in vielen Fällen.

Ich wünsche Ihnen viel Erkenntnis beim Lesen dieses Blogs. Und wenn Sie Spannendes entdecken, würde es mich ganz besonders freuen. Diskutieren Sie gern mit mir und nutzen die Kommentar-Funktion für Widerspruch und Zustimmung. Gern übrigens auch für Fragen.

Foto vom Europäischen Gerichtshof über das Wasser fotografiert

Das EUGH-Urteil zum EU-US Privacy Shields

Der Europäische Gerichtshof (EUGH) hat den EU-US Privacy Shield für ungültig erklärt. Die Erklärung bedeutet in der Praxis, dass seit dem 16.07.2020 Verantwortliche und Auftragsverarbeiter auf der Basis des Shields keine personenbezogenen Daten mehr in den USA verarbeiten lassen dürfen.

Die Standardvertragsklauseln hingegen wurden vom EUGH nicht für ungültig erklärt. Allerdings betont der EUGH, dass sie nur deshalb nicht pauschal für ungültig erklärt wurden, weil sie – entgegen dem Shield – keine abschließende, rechtsverbindliche Untersuchung beinhalte, ob die bestehenden Gesetze u.a. hinsichtlich der Zugriffe von Behörden aus Gründen eines nationalen Sicherheitsinteresses mit Blick auf die EU-Gesetzgebung als angemessen zu erachten seien.

Damit liegt der Ball wieder im Feld der Verantwortlichen und Auftragsverarbeitern in der EU, die sich über die Standardvertragsklauseln vertraglich abgesichert hatten. Denn, so stellt das Gericht fest, die in den Standardvertragsklausen vorgesehenen Schutzmechanismen wären ja grundsätzlich erweiterbar und könnten so ein angemessenes Schutzniveau herstellen.

In der Praxis heißt das wohl, dass Verantwortliche und Auftragsverarbeiter für jeden Datenexport in ein Drittland zu untersuchen haben, ob der Empfänger die Zusicherungen der Vertragsklauseln einhalten kann oder ob lokale Gesetze ihm dies verbieten, was angesichts des Cloud Acts jedenfalls für die USA praktisch unmöglich ist. Zwar gibt es theoretisch die Möglichkeit, dass US-Unternehmen sich gegen die Herausgabe von personenbezogenen Daten aufgrund des Cloud Acts wehren können, wenn diese Nicht-US-Bürgern gehören bzw. diese nicht in den USA leben und das Unternehmen damit das Recht einer anderen Nation verletzen würde. Allerdings gilt das ausschließlich für Staaten, die mit den USA ein Abkommen über den Cloud Act abgeschlossen haben. Dies hat, außer Großbritannien, bisher kein einziges Land oder Staatenbund getan, also auch nicht die Europäische Union.

Es geht sogar noch weiter. Stellen der Verantwortliche oder der Auftragsverarbeiter fest, dass die vereinbarten Standarddatenschutzklauseln von dem Importeur nicht einzuhalten sind, hat er dies seiner zuständigen Datenschutzaufsichtsbehörde zu melden. Gleichzeitig ist selbstverständlich jeglicher Export personenbezogener Daten sofort zu unterlassen.

Fazit und Rat:

Exportieren Sie derzeit personenbezogene Daten in die USA auf Grundlage des EU-US Privacy Shields, also der Zertifizierung US-Amerikanischer Unternehmen zu diesem Shield, richten Sie sich darauf ein,  den Export sofort (hoffentlich vorübergehend) einzustellen! Das betrifft praktisch alle großen US-Amerikanischen Unternehmen der Internetwirtschaft, also Google, Facebook, Apple, Zoom & Co.

Versuchen Sie mit Vertragspartnern, die Sie beeinflussen können, Standarddatenschutzklauseln zu vereinbaren.

Arbeiten Sie mit Standarddatenschutzklauseln, rate ich dazu, zumindest einen hohen Datensicherheitsstandard mit dem Vertragspartner zu vereinbaren. Die Standarddatenschutzklauseln dürfen zwar nicht verändert werden, aber es darf durchaus etwas zusätzliches vereinbart werden. Die Nutzung einer sicheren europäischen Cloud wäre eine wirksam Maßnahme, die eine Chance hat, bei deutschen Aufsichtsbehörden die Ernsthaftigkeit der Bemühungen um die Herstellung des – unter den gegebenen Umständen – bestmöglichen Schutzes der personenbezogenen Daten von Betroffenen zu gewährleisten. Im Zweifel wird eine europäische Datenschutzaufsichtsbehörde genau so etwas verlangen. Und wenn Sie den Nachweis nicht erbringen können, zusätzliche Sicherheitsmaßnahmen ergriffen zu haben ist der Vorwurf des Organisationsversagens nicht weit.

Noch einmal zurück zum eigentlichen Thema: Erscheint Ihnen der erste Absatz zu dem EU-US Privacy Shield ein wenig dünn? Nun, mehr ist in der Tat darüber (fast) nicht zu sagen. Der Shield ist ungültig. Ein früherer Bundeskanzler hätte gesagt: Basta! Fast bedeutet natürlich, dass denn doch noch ETWAS zu sagen ist. Der EUGH hat es durchaus offen gelassen, einen weiteren Versuch zu starten, doch noch ein allgemein-verbindliches Instrument zu schaffen. Er hat es jedoch mit seiner offenen, ja fast arrogant zu nennenden, Kritik an der ältesten Demokratie der Welt den USA nicht leichter gemacht, ihre Gesetze an die Erfordernisse europäischer Datenschutzvorstellungen anzupassen. Der EUGH, der Europäische Gerichtshof, stellt nämlich lapidar fest, dass die Überwachungsprogramme durch US-Sicherheitsbehörden nicht verhältnismäßig seien. Die USA müssen sich bewegen, aber auch Europa muss sich geschmeidig zeigen. Ohne ernsthafte Bemühungen beider Seiten machen sich entweder sämtliche US-amerikanische Unternehmen, die europäische personenbezogene daten verarbeiten oder sämtliche europäische Unternehmen, die Daten durch US-amerikanische Unternehmen verarbeiten lassen strafbar. Das kann nicht im Interesse einer gedeihlichen Zusammenarbeit zwischen den USA und de EU liegen. Derzeitige Machtverhältnisse ändern daran nichts.

Ohne jedes Patentrezept zur Lösung dieser Probleme, aber immerhin mit einem gewissen Durchblick zur Sachlage des Drittländerverkehrs stehe ich Ihnen gern mit Rat und Tat zur Verfügung. Das Kapitel V der DS-GVO, also die Artikel 44 bis 50 enthalten so manche kleine Überraschung, die eine Übermittlung unter Umständen doch noch rechtmäßig möglich machen kann.

Kontakt:

Dirk Wolf

Tel.: +49 511 54294-44

Mobil/Telegram: +49 171 3831577

E-Mail: dirk.wolf@skriptura.de

Stand: 03.08.2020

Foto: tagesschau.de

Symbolbild für Justiz: Hammer aus Holz

Wie wird das Bußgeld für Verstöße gegen die DS-GVO berechnet?

Das Bußgeldkonzept sieht ein fünfstufiges Verfahren vor, mit dem die Höhe des Bußgeldes errechnet wird.

Schritt 1: Das Unternehmen wird einer Größenklasse zugeordnet

Das Bußgeldkonzept benennt zunächst vier Größenklassen – zu welcher ein Unternehmen gehört, bestimmt der weltweit erzielte Vorjahresumsatz:

  1. Größenklasse A: Kleinstunternehmen mit bis zu 2 Millionen Euro Jahresumsatz
  2. Größenklasse B: Kleinunternehmen mit einem Jahresumsatz zwischen 2 und 10 Millionen Euro
  3. Größenklasse C: Mittlere Unternehmen mit einem Jahresumsatz zwischen 10 und 50 Millionen Euro
  4. Größenklasse D: Großunternehmen mit einem Jahresumsatz von mehr als 50 Millionen Euro

Mit dieser Einteilung der KMU folgt die Datenschutzkonferenz der Empfehlung der EU-Kommission (2003/361/EG).

Um einzelne Unternehmen noch konkreter einordnen zu können, sieht das Konzept dann für jede Größenklasse weitere Untergruppen vor, die sich ebenfalls am Jahresumsatz orientieren. Es gibt Untergruppen von AI bis AIII, BI bis BIII, CI bis CVII und DI bis DVII.

Beispiele: Untergruppe AI umfasst Kleinstunternehmen mit einem Jahresumsatz bis zu 700.000 Euro, Untergruppe AII solche mit einem Jahresumsatz zwischen 700.000 und 1,4 Millionen Euro. Unternehmen, die zwischen fünf und 7,5 Millionen Euro erwirtschaften, gehören zur Untergruppe BII, solche mit 75 bis 100 Millionen zu DII – und alle mit einem Jahresumsatz von mehr als 500 Millionen Euro zu DVII.

Schritt 2: Der mittlere Jahresumsatz wird bestimmt

Ist ein Unternehmen einer Untergruppe zugeordnet, wird der mittlere Jahresumsatz ermittelt.

Beispiele: Für die Untergruppe AI (bis zu 700.000 Euro Jahresumsatz) liegt der mittlere Jahresumsatz bei 350.000 Euro. Für die Untergruppe AII (700.000 bis 1,4 Millionen Euro) bei 1.050.000 Euro. Für die Untergruppe BII (zwischen fünf und 7,5 Millionen Euro Jahresumsatz) bei 6,25 Millionen Euro und für die Untergruppe DII (75 bis 100 Millionen Euro Jahresumsatz) bei 87,5 Millionen Euro. Bei Untergruppe DVII (Jahresumsatz von mehr als 500 Millionen Euro wird der konkrete Jahresumsatz zugrunde gelegt.

Schritt 3: Der wirtschaftliche Grundwert wird ermittelt

Ist der mittlere Jahresumsatz der Untergruppe, zu dem ein Unternehmen gehört, errechnet, wird dieser Betrag durch 360 geteilt. Das Ergebnis bildet den sogenannten wirtschaftlichen Grundwert – und damit die Basis für die weitere Festlegung des Bußgelds.

Beispiele: Für Untergruppe AI ergibt die Rechnung 350.000 Euro geteilt durch 360 einen wirtschaftlichen Grundwert von 972 Euro, für Untergruppe AII ergibt sich ein Wert von 2917 Euro, für Untergruppe BII von 17.361 Euro und Untergruppe DII von 243.056 Euro und Untergruppe DV von 972.222 Euro.

Schritt 4: Aus der Schwere der Tat wird ein Multiplikationsfaktor abgeleitet

Um den Schweregrad eines Verstoßes gegen die DSGVO zu ermitteln, werden die Umstände des Einzelfalls bewertet. Der Kriterienkatalog, der diese möglichen Umstände beschreibt, steht in Artikel 83, Absatz 2 DSGVO. Zu ihnen gehört etwa die Art und Dauer des Verstoßes, die Zahl der betroffenen Personen, das Ausmaß des Schadens, den diese erlitten haben. Außerdem beispielsweise die Frage, wie gut der Betroffene mit der Aufsichtsbehörde zusammengearbeitet hat – und etwa auch, ob mit dem Verstoß direkte finanzielle Vorteile erlangt wurden.

Diese Umstände führen laut Bußgeldkonzept zu einem Faktor, mit dem der wirtschaftliche Grundwert multipliziert wird. Aus dieser Rechnung ergibt sich dann das vorläufige Bußgeld.

Das Bußgeldkonzept sieht vier Schweregrade eines Verstoßes vor: leicht, mittel, schwer, sehr schwer. Außerdem wird unterschieden zwischen „formellen“ und „materiellen“ Verstößen. Je nach Art und Schwere des Verstoßes liegt der Faktor zwischen 1 und 12 – bei sehr schweren Verstößen mitunter sogar noch höher.

Schritt 5: Das vorläufige Bußgeld wird final angepasst

Das in Schritt 4 errechnete vorläufige Bußgeld wird abschließend noch einmal überprüft und gegebenenfalls angepasst. Dabei kommen – nochmals – alle Umstände zum Tragen, die für oder gegen einen Betroffenen sprechen. Dazu gehört etwa die Frage, ob er fahrlässig gehandelt hat oder vorsätzlich. Auch gibt es Ermäßigungen bei einer sehr langen Verfahrensdauer – oder wenn dem Unternehmen durch das Bußgeld die Zahlungsunfähigkeit droht.

Wie sieht eine Beispielrechnung aus?

Ein durchschnittlicher Bäckerbetrieb in Deutschland erwirtschaftet mit gut 24 Mitarbeitern 1.343.000 Euro Umsatz pro Jahr. Angenommen, der Chef eines solchen Betriebes betreibt einem Online-Shop, über den er Hochzeitstorten verkauft, und achtet nicht darauf, die Website und die dort erhobenen Daten DSGVO-konform zu sichern. Dann müsste er mit einer Bußgeldforderung wie folgt rechnen:

Schritt 1:

Mit 1.343.000 Euro Jahresumsatz fällt die Bäckerei in die Größenklasse der Kleinstunternehmen mit bis zu zwei Millionen Euro Jahresumsatz – und dort wiederum in die Untergruppe AII jener Unternehmen mit einem Jahresumsatz zwischen 700.000 und 1,4 Millionen Euro.

Schritt 2:

Der mittlere Jahresumsatz dieser Untergruppe beträgt 1.050.000 Euro.

Schritt 3:

Geteilt durch 360 ergibt dies einen wirtschaftlichen Grundwert von 2917 Euro.

 Schritt 4:

Weil in der Beispielrechnung nur wenige Personen betroffen sind, der Bäcker ohne Vorsatz gehandelt und die Datenschutzbestimmungen ansonsten beachtet hat, ordnet die Aufsichtsbehörde den Verstoß als formellen Verstoß des Schweregrads „leicht“ ein – und legt den Faktor 2 fest. Mit diesem Faktor wird der wirtschaftliche Grundwert von 2917 Euro multipliziert. So ergibt sich ein vorläufiges Bußgeld von 5834 Euro.

Schritt 5:

Weil sich das Bußgeldverfahren lange hingezogen hat, was eine andauernde Belastung des Unternehmers über eine erhebliche Zeitspanne hinweg bedeutete, legt die Behörde das Bußgeld abschließend auf 5000 Euro fest.

Wie verbindlich ist das Bußgeldkonzept?

Das aktuelle Bußgeldkonzept gilt nur für deutsche Behörden – und auch nur solange, bis der Europäische Datenschutzausschuss endgültige Leitlinien erstellt hat. Nach meiner Einschätzung kommt das nicht vor Mitte 2021.

Bis es soweit ist, bildet das Konzept der deutschen Datenschutzkonferenz Grundlage für die Sanktionspraxis der deutschen Aufsichtsbehörden. Ergänzungen und Änderungen sind dabei möglich.