Datenschutz - "akutes" Risiko für Unternehmen?

Mehr denn je sind Daten der essentielle Rohstoff, ohne den kein Unternehmen auskommt. Mit der Bedeutung der Daten wachsen gleichzeitig die behördlichen Bestrebungen nach ihrem Schutz. Verletzungen des Datenschutzes, die mitunter harte Sanktionen nach sich ziehen, sind zunehmend ein Risiko für Unternehmen. Markus Fleck, Produktmanager bei Financial Lines der AGCS Deutschland, vergleicht die Situation in den USA mit der in Deutschland und wirft schon mal einen Blick auf 2018, wenn sich hierzulande die Rechtslage deutlich verschärfen wird.

„Eine der größten Herausforderungen durch das Internet, und den zunehmenden Grad der Vernetzung im Allgemeinen, betrifft den Datenschutz. Dieses Thema wird immer akuter".1

Diese Einschätzung von Klaus Schwab, dem Gründer und Vorsitzenden des Weltwirtschaftsforums, scheint -jedenfalls mit Blick auf die Konsequenzen von Datenschutzverletzungen in den USA- uneingeschränkt zutreffend zu sein.

Von staatlicher Seite nehmen in den USA, wo es keine Sonderzuständigkeit einer einzigen Behörde für den Datenschutz gibt, unterschiedliche Behörden im Rahmen ihrer Zuständigkeit Datenschutzverletzungen zum Anlass, diese in aufsichtsrechtlichen Verfahren aufzuklären und gegebenenfalls zu sanktionieren. Das zeigen die nachfolgenden Fälle von Verfahren, zu denen die jeweilige Behörde öffentlich Angaben machte.

So hat beispielsweise das Federal Reserve Board am 03.08.2016 gegen die Goldman Sachs Gruppe eine Strafe in Höhe von 36,3 Mio. USD wegen der unautorisierten Verwendung von vertraulichen Informationen von Aufsichtsbehörden verhängt. Darüber hinaus ist das Unternehmen verpflichtet worden, neue Prozesse zum Umgang mit vertraulichen aufsichtsrechtlichen Informationen einzuführen. Schließlich beabsichtigt das Federal Reserve Board, auch persönlich gegen einen früheren Managing Director der Bank vorzugehen2.  

Die Federal Trade Commission hat am 22.06.2016 eine Strafzahlung in Höhe von 0,95 Mio USD gegen das Mobil-Werbeunternehmen InMobi verhängt, weil es die Aufenthaltsorte seiner Kunden ohne deren Kenntnis und Zustimmung aufgezeichnet hat, um ihnen Standort-bezogene Werbung zukommen lassen zu können3.

Schließlich hat sich das Department of Justice des Staates Kalifornien am 17.09.2015 mit dem Telekommunikationsunternehmen Comcast über die Zahlung einer Strafe in Höhe von 33 Mio. USD verständigt - wegen der Veröffentlichung von Namen, Telefonnummern und Adressen von zehntausenden Kunden, die einen entgeltlichen Voice over IP-Service des Unternehmens nutzten4.  

Neben den aufsichtsrechtlichen Verfahren werden datenschutzrechtliche Fragen in den USA regelmäßig Gegenstand von zivilgerichtlichen Verfahren. Allein im Zeitraum vom 01.10.2014 bis zum 31.12.2015 wurden in den USA 83 Class Action-Klagen, gestützt auf behauptete Datenschutzverletzungen, erhoben5. Die nachfolgenden Fälle zeigen, welche weitereichenden Folgen solche Verfahren für Unternehmen haben können.

So verständigte sich am 07.03.2016 die Baumarktkette Home Depot U.S.A. Inc. mit Klägern, deren dort gespeicherte Bank- und Kundendaten im Jahre 2014 gestohlen worden waren, in einer Sammelklage darauf, dass das Unternehmen zur Entschädigung der betroffenen Kunden 13 Mio. USD bezahlt und darüber hinaus 6,5 Mio. USD bereitstellt, um einen Account Monitoring Service zu Gunsten der Betroffen einzurichten6.  

Am 14.09.2014 verständigte sich das Johns Hopkins Hospital in einem Class Action- Verfahren mit ehemaligen Patienten des Krankenhauses auf eine Zahlung von 190 Mio. USD, da ein ehemaliger Arzt des Krankenhauses Video- und Fotoaufnahmen seiner Patienten ohne deren Zustimmung gemacht hatte7.  

Schließlich einigten sich am 09.03.2015 die Target Corporation und deren Kunden in einem Class Action-Verfahren über die Zahlung von 10 Mio. USD infolge eines am 19.12.2013 festgestellten Diebstahls von Kredit- und Kundenkarteninformationen8.

Anders als in den USA gibt es mit den Datenschutzbeauftragten des Bundes und der Länder eigene, für den Datenschutz zuständige Stellen. Deren Tätigkeitsberichte vermitteln einen sehr guten Überblick über die herrschende Praxis9. Dem Tätigkeitsbericht des Hamburgischen Beauftragten für Datenschutz und Informationssicherheit 2014/2015 lässt sich zum Beispiel entnehmen, dass im Berichtszeitraum 2.934 Eingaben von Bürgerinnen und Bürgern Ausgangspunkt für sogenannte anlassbezogene Überprüfungen der datenschutzrechtlich verantwortlichen Stellen waren10.  Im gleichen Zeitraum wurden 14 Bußgelder in Höhe von 200 bis 5.000 Euro verhängt11.

Dies scheint darauf hinzudeuten, dass es hierzulande tatsächlich zu wenigen und gleichzeitig zu wenig schwerwiegenden Verletzungen datenschutzrechtlicher Bestimmungen kommt. Allerdings unterstreicht der Hamburgische Beauftragte für Datenschutz und Informationssicherheit in seinem Tätigkeitsbericht auch, dass es wegen der fehlenden personellen Ausstattung seiner Behörde kaum noch zu anlassfreien Prüfungen kommt12.

Die Tätigkeitsberichte der übrigen Datenschutzbeauftragten des Bundes und der Länder vermitteln einen ähnlichen Eindruck13.  

Auch zivilrechtlich scheinen Datenschutzverstöße in Deutschland kaum eine Rolle zu spielen, jedenfalls werden gerichtliche Entscheidungen zur Haftung infolge der Verletzung von datenschutzrechtlichen Bestimmungen kaum publiziert.

Verändern könnte sich die gegenwärtige Situation in Deutschland ab dem 25.05.2018. An diesem Tag wird die EU-Datenschutz-Grundverordnung (DSGVO) in Kraft treten, auf die sich nach bald vierjährigen Verhandlungen der Europäische Rat, das Europäische Parlament und die Europäische Kommission am 15.12.2015 verständigt haben. Die neue Verordnung wird dann die EU-Datenschutzrichtlinie (Richtlinie 95/46/EG) ersetzen und im Unterschied zu dieser unmittelbar in der gesamten Europäischen Union Geltung erlangen. Damit wird es erstmals in der Europäischen Union einen grundsätzlich einheitlichen Datenschutzstandard geben. Dieser Datenschutzstandard enthält verschiedene Prinzipien, die bereits jetzt im Bundesdatenschutzgesetz enthalten sind.

So normiert Artikel 6 DSGVO für die Verarbeitung personenbezogener Daten als allgemeinen Grundsatz ein sogenanntes Verbot mit Erlaubnisvorbehalt. Die Verarbeitung von Daten ist demnach nur zulässig, wenn eine Einwilligung oder eine andere in dieser Vorschrift normierte Ausnahme vorliegt. Dies ist der Fall, wenn

  • die Verarbeitung der Daten für die Erfüllung eines Vertrages, dessen Vertragspartei die betroffene Person ist, oder wenn sie zur Durchführung vorvertraglicher Maßnahmen erforderlich ist, die auf Antrag der betroffenen Person erfolgen;
  • die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der der Verantwortliche unterliegt;
  • die Verarbeitung erforderlich ist, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;
  • sie im öffentlichen Interesse oder zu Erfüllung hoheitlicher Aufgaben erforderlich ist oder wenn sie zur Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten erforderlich ist und die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person nicht überwiegen. Dieser Rechtfertigungsgrund gilt nicht für Behörden.

Daneben gelten die Prinzipien der Datenvermeidung und Datensparsamkeit, der Zweckbindung und der Transparenz.

Als zentrales Prinzip des Datenschutzes wurde schließlich die Gewährleistung von Datensicherheit gesetzlich verankert (Art. 5 Absatz 1 Buchstabe f) und Art. 32 DSGVO). Unter Berücksichtigung des Stands der Technik, der Implementierungskosten sowie der Art, der Umstände und des Zwecks der Datenverarbeitung, aber auch unter Berücksichtigung der unterschiedlichen Eintrittswahrscheinlichkeit und der Schwere des Risikos für die persönlichen Rechte und Freiheiten haben der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen umzusetzen. Dabei muss das Sicherheitsniveau im Verhältnis zum Risiko angemessen sein.

Eine deutliche Verschärfung der Rechtslage wird sich durch die DSGVO im Hinblick auf die gesetzlichen Meldepflichten ergeben. Gemäß Artikel 33 Abs. 1 DGSVO sind Verletzungen des Schutzes personenbezogener Daten unverzüglich, nach Möglichkeit innerhalb von 72 Stunden nach Bekanntwerden des Vorfalls, an die zuständige Aufsichtsbehörde zu melden. Eine Ausnahme besteht, wenn die Verletzung voraussichtlich kein Risiko für die persönlichen Rechte und Freiheiten des Betroffenen darstellt.

Eine Meldung gegenüber der Aufsichtsbehörde muss zumindest folgende Informationen umfassen:

  • eine Beschreibung, in welcher Art der Schutz personenbezogener Daten verletzt wurde,soweit möglich mit Angabe der Kategorien und der ungefähren Anzahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Anzahl der betroffenen personenbezogenen Datensätze;
  • den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen;
  • eine Darstellung darüber, mit welchen Folgen für die Datenschutzverletzung wahrscheinlich zu rechnen ist; 
  • einer Beschreibung der von den Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung dieser Datenschutzverletzungen, gegebenenfalls inklusive der Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

Soweit die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen darstellt, hat der Verantwortliche zudem die betroffene Person unverzüglich darüber zu benachrichtigen (Art. 34 Abs. 1 DSGVO).

Diese Regelung stellt eine deutliche Erweiterung der Meldepflichten im Vergleich zur geltenden Rechtslage unter dem Bundesdatenschutzgesetz (BDSG) dar. Bislang sind Meldepflichten lediglich dann gegeben, wenn der Schutz der in § 42 a BDSG genannten personenbezogenen Daten verletzt wird. Dabei handelt es sich zum Beispiel um Daten über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben, Bank- oder Kreditkartendaten oder um Daten, die einem Berufsgeheimnis unterliegen. Die Beschränkung auf einen bestimmten Katalog personenbezogener Daten gilt unter der DSGVO nicht mehr. 

Die Einhaltung der Bestimmungen der DSGVO wird über die Aufsicht durch unabhängige Datenschutzbehörden sichergestellt werden. Jeder Mitgliedstaat hat gemäß Artikel 51 Abs. 1 DSGVO eine oder mehrere unabhängige Aufsichtsbehörden einzurichten. Die Aufsichtsbehörden müssen vollständig unabhängig in der Wahrnehmung ihrer Aufgaben sein; die Angehörigen der Aufsichtsbehörden haben in ihrer Aufgabenwahrnehmung frei von externem Einfluss zu sein. Die Unabhängigkeit muss sich gemäß Artikel 52 Abs. 4 DSGVO auch darin widerspiegeln, dass die Aufsichtsbehörden mit ausreichenden technischen, personellen und finanziellen Ressourcen ausgestattet werden.

Die DSGVO sieht im Vergleich zur EU-Datenschutzrichtlinie umfangreichere Befugnisse für die Datenschutzaufsichtsbehörden vor. Zudem werden die Sanktionsmöglichkeiten ausgedehnt.

Die Datenschutzbehörden werden in Zukunft auch im öffentlichen Bereich Befugnisse erhalten, die sie, jedenfalls in Deutschland, bislang nicht haben. So werden sie nach Art. 58 DSGVO unter anderem auch gegenüber Behörden Anordnungen erlassen können, um zum Beispiel eine rechtswidrige Datenverarbeitung zu unterbinden, die Löschung personenbezogener Daten zu erwirken oder eine Datenübermittlung in Drittstaaten zu untersagen.

Diese Befugnisse sind für das deutsche Verwaltungsrecht insofern ungewöhnlich, als sie hoheitliche Maßnahmen einer Behörde gegenüber einer anderen des gleichen Verwaltungsträgers ermöglichen. Auf diese Weise werden die Datenschutzbehörden quasi zu Rechtsaufsichtsbehörden. Zur effektiven Durchsetzung des Datenschutzrechts sind diese Befugnisse unabdingbar. Sie bedingen allerdings auf nationaler Ebene die Schaffung eines gerichtlichen Rechtsschutzes auch für Behörden gegen die Maßnahmen der Datenschutzbehörde.

Im nicht öffentlichen Bereich sind die Befugnisse hingegen vergleichbar mit den geltenden Befugnissen. Die DSGVO unterscheidet insoweit gemäß Artikel 58 zwischen Untersuchungs- und Abhilfebefugnissen. Die Abhilfebefugnisse reichen von der Verwarnung gemäß Artikel 58 Abs. 2 Buchstabe b) über die Anweisung gemäß Artikel 58 Abs. 2 Buchstabe d) bis zur Beschränkung oder des Verbots der Datenverarbeitung gemäß Artikel 58 Abs. 2 Buchstabe f). Zusätzlich oder anstelle der vorgenannten Maßnahmen kann nach den Umständen des Einzelfalles zudem ein Bußgeld gemäß Artikel 83 DSGVO verhängt werden. Der zur Verfügung stehende Bußgeldrahmen ist dabei deutlich ausgeweitet worden.

So sind für bestimmte Rechtsverstöße Bußgelder bis zu 4 % des Jahresumsatzes eines Unternehmens, beziehungsweise 20 Millionen Euro, zulässig, wobei der jeweils höhere Wert gilt. Dabei ist auf den gesamten weltweiten Konzern-Jahresumsatz  abzustellen und nicht etwa nur auf den Umsatz der in Europa oder in einer einzelnen Konzerngesellschaft erwirtschaftet wird.

Neben den Eingriffsbefugnissen der Aufsichtsbehörde etabliert die DSGVO auch einen eigenständigen Schadenersatzanspruch. Gemäß Artikel 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Dieser wird nur dann von seiner Haftung befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden aufgetreten ist, verantwortlich ist.

Einfluss auf die Bedeutung des Datenschutzes könnte eine Entwicklung haben, die sich derzeit parallel zur Entwicklung im Datenschutzrecht vollzieht: Die nationalen und auch die EU-Kartellbehörden beschäftigen sich zunehmend mit der wachsenden Bedeutung von (personenbezogenen) Daten im Wirtschaftsleben.

Dies gilt sowohl für die EU-Kartellbehörde14 als auch für das Bundeskartellamt. Letzteres leitete zum Beispiel am 02.03.2016 gegen die Facebook Inc. und ihre deutsche Tochtergesellschaft ein Verfahren wegen des Verdachts des Marktmissbrauchs durch Datenschutzverstöße ein15.  Zum anderen veröffentlichte es ein Papier über Daten und Auswirkungen auf das Wettbewerbsrecht16.  

 

[1] Schwab, Klaus; Die vierte industrielle Revolution, S. 152; München 2016.

[2] http://www.federalreserve.gov/newsevents/press/enforcement/20160803a.htm

[3] https://www.ftc.gov/news-events/press-releases/2016/06/mobile-advertising-network-inmobi-settles-ftc-charges-it-tracked

[4] https://oag.ca.gov/news/press-releases/attorney-general-kamala-d-harris-reaches-33-million-settlement-comcast-over

[5] BryanCave LLP, 2016 Data Breach Litigation Report, S2; https://www.bryancave.com/en/thought-leadership/2016-data-breach-litigation-report.html

[6] http://www.homedepotbreachsettlement.com/

[7] http://www.drlevyclassaction.com/

[8] https://targetbreachsettlement.com/

[9] Vergleiche „Zentralarchiv für Tätigkeitsberichte des Bundes- und der Landesdatenschutzbeauftragten und der Aufsichtsbehörden für den Datenschutz – ZafTDa“ http://www.thm.de/zaftda/

[10] 25. Tätigkeitsbericht Datenschutz des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit 2014 / 2015, S. 256; Hamburg 2016

[11] 25. Tätigkeitsbericht Datenschutz des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit 2014 / 2015, S. 259; Hamburg 2016

[12] 25. Tätigkeitsbericht Datenschutz des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit 2014 / 2015, S. 256; Hamburg 2016

[13] Vergleiche „Zentralarchiv für Tätigkeitsberichte des Bundes- und der Landesdatenschutzbeauftragten und der Aufsichtsbehörden für den Datenschutz – ZafTDa“ http://www.thm.de/zaftda/

[14] Zum Beispiel: European Commission, „Google/Doubleclick“, COMP/M. 4731, vom 11.03.2008, www.ec.europa.eu/competition/mergers/cases/decisions

/m4731_20080311_20682_de.pdf, §§ 359- 366; European Commission, „Facebook/Whatsapp“, COMP/M. 7217, dated 03.10.2014, www.ec.europa.eu/competition/mergers/cases/decisions

/m7217_20141003_20310_3962132_EN.pdf, §§ 180-189.

[15] http://www.bundeskartellamt.de/SharedDocs/Meldung/DE/Pressemitteilungen

/2016/02_03_2016_Facebook.html?nn=3591568

[16] http://www.bundeskartellamt.de/SharedDocs/Publikation/DE/Berichte/Big%20Data%20Papier.html

Sign up to e-update
Allianz operates as an international insurer on almost every continent. Find Allianz in your own country/region.
With the Allianz network AGCS provides services in over 200 countries and territories.