Checklisten
- Vertragspartner identifizieren:
Erfassen Sie die vollständigen Informationen sowohl über den Verantwortlichen (Auftraggeber) als auch den Auftragsverarbeiter. Dies umfasst Namen, Kontaktdaten, rechtliche Vertreter und gegebenenfalls Drittanbieter, die in die Verarbeitung involviert sind.
- Vertragsgegenstand festlegen:
Beschreiben Sie klar den Vertragsgegenstand, d.h. den Umfang der beauftragten Verarbeitungstätigkeiten. Definieren Sie die Art der Daten, die verarbeitet werden, den Zweck der Verarbeitung und die Dauer des Vertrags.
- Rechtsgrundlage und Verantwortlichkeiten:
Legen Sie die rechtliche Grundlage für die Auftragsverarbeitung fest und klären Sie die Rollen und Verantwortlichkeiten von Verantwortlichem und Auftragsverarbeiter. Stellen Sie sicher, dass die Einhaltung der Datenschutzgesetze gewährleistet ist.
- Art der Datenverarbeitung:
Beschreiben Sie ausführlich, welche Arten von personenbezogenen Daten verarbeitet werden, wie sie gesammelt, verwendet, übertragen, gespeichert und gelöscht werden. Geben Sie an, ob sensible Daten oder besondere Kategorien von personenbezogenen Daten verarbeitet werden.
- Datensicherheit und Vertraulichkeit:
Definieren Sie die erforderlichen technischen und organisatorischen Maßnahmen (TOMs), um die Sicherheit und Vertraulichkeit der Daten zu gewährleisten. Berücksichtigen Sie Aspekte wie Zugriffskontrolle, Verschlüsselung, Datensicherheit, Risikomanagement und Meldung von Datenschutzverletzungen.
- Unterauftragsverarbeitung:
Klären Sie, ob der Auftragsverarbeiter das Recht hat, Unterauftragnehmer einzusetzen. Legen Sie Anforderungen und Kontrollmechanismen für die Unterauftragsverarbeitung fest, um sicherzustellen, dass auch die Unterauftragnehmer den Datenschutzvorschriften entsprechen.
- Informationspflichten und Betroffenenrechte:
Vereinbaren Sie klare Regelungen zur Erfüllung der Informationspflichten und zur Unterstützung bei der Wahrnehmung der Betroffenenrechte. Stellen Sie sicher, dass der Auftragsverarbeiter den Verantwortlichen bei der Erfüllung dieser Pflichten unterstützt.
- Datenübermittlung und -rückgabe:
Legen Sie fest, wie personenbezogene Daten übermittelt werden dürfen und unter welchen Bedingungen sie nach Vertragsende zurückgegeben oder gelöscht werden. Klären Sie auch, ob Kopien der Daten aufbewahrt werden dürfen und wie sie geschützt werden.
- Audit- und Überwachungsrechte:
Vereinbaren Sie, dass der Verantwortliche das Recht hat, den Auftragsverarbeiter zu überprüfen oder von einem unabhängigen Auditor prüfen zu lassen. Legen Sie die Bedingungen und Fristen für solche Audits fest.
- Beendigung des Vertrags:
Klären Sie die Bedingungen für die vorzeitige Beendigung des Vertrags sowie die Modalitäten für die Rückgabe oder Löschung der Daten nach Vertragsende.
Die DSGVO regelt eindeutig, wann ein Datenschutzbeauftragter Pflicht ist
- Öffentliche Stellen und Behörden:
- Sind Sie eine öffentliche Stelle oder Behörde auf Bundes- oder Landesebene? In diesem Fall benötigen Sie in der Regel einen Datenschutzbeauftragten.
- Kerntätigkeiten:
- Verarbeitet Ihre Organisation personenbezogene Daten als Kernbestandteil ihrer Tätigkeiten?
- Bezieht sich die Datenverarbeitung auf umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen?
- Verarbeitet Ihre Organisation in großem Umfang sensible personenbezogene Daten oder Daten über strafrechtliche Verurteilungen und Straftaten
- Datenverarbeitungsmenge:
- Verarbeitet Ihre Organisation personenbezogene Daten in großem Umfang?
- Verarbeitet Ihre Organisation personenbezogene Daten von einer großen Anzahl betroffener Personen?
- Branchenspezifische Anforderungen:
- Gibt es spezifische gesetzliche Bestimmungen oder Branchenvorgaben, die einen Datenschutzbeauftragten vorschreiben?
- Überwachung von Daten von Kindern:
- Verarbeitet Ihre Organisation personenbezogene Daten von Kindern in großem Umfang?
- Bietet Ihre Organisation Dienste direkt an Kinder an?
- Öffentliche Stellen als Rechtsgrundlage:
- Dient Ihre Organisation als öffentliche Stelle oder Behörde als Rechtsgrundlage für andere Unternehmen, die personenbezogene Daten verarbeiten? In diesem Fall kann eine Verpflichtung zur Benennung eines Datenschutzbeauftragten bestehen.
- Freiwillige Benennung:
- Auch wenn keine der oben genannten Kriterien erfüllt sind, kann die freiwillige Benennung eines Datenschutzbeauftragten sinnvoll sein, um die Einhaltung der DSGVO sicherzustellen.
Rechtsrahmen und Vorschriften:
- Identifizieren Sie die geltenden Gesetze, Verordnungen und Vorschriften, die für das Unternehmen relevant sind, z.B. Datenschutzgesetze, Arbeitsrecht, Verbraucherschutzgesetze usw.
- Überprüfen Sie regelmäßig, ob Änderungen oder Aktualisierungen der Rechtsvorschriften vorliegen, die Auswirkungen auf das Unternehmen haben könnten.
Unternehmensrichtlinien und -verfahren:
- Überprüfen Sie die internen Richtlinien und Verfahren des Unternehmens, um sicherzustellen, dass sie den geltenden Rechtsvorschriften entsprechen.
- Stellen Sie sicher, dass die Richtlinien klar und verständlich sind und von den Mitarbeitern eingehalten werden.
Datenschutz und Datensicherheit:
- Überprüfen Sie, ob angemessene Datenschutzmaßnahmen implementiert sind, um personenbezogene Daten zu schützen und den Anforderungen der geltenden Datenschutzgesetze gerecht zu werden.
- Stellen Sie sicher, dass die Mitarbeiter über ihre Datenschutzverpflichtungen informiert und geschult sind.
Compliance mit Wettbewerbsrecht und Kartellrecht:
- Überprüfen Sie, ob das Unternehmen kartellrechtliche und wettbewerbsrechtliche Bestimmungen einhält, um sicherzustellen, dass es nicht an unzulässigen Wettbewerbspraktiken beteiligt ist.
Finanz- und Buchhaltungscompliance:
- Stellen Sie sicher, dass das Unternehmen alle geltenden Rechnungslegungsstandards und -richtlinien einhält.
- Überprüfen Sie die Buchhaltungspraktiken, um sicherzustellen, dass sie den gesetzlichen Anforderungen entsprechen und keine Unregelmäßigkeiten aufweisen.
- Arbeits- und Beschäftigungsrecht:
- Überprüfen Sie, ob das Unternehmen die geltenden Arbeitsgesetze und -bestimmungen einhält, einschließlich Arbeitszeitvorschriften, Mindestlohnbestimmungen, Arbeitsschutzbestimmungen usw.
- Stellen Sie sicher, dass angemessene Arbeitsverträge und -vereinbarungen vorhanden sind.
Ethik und Corporate Governance:
- Überprüfen Sie, ob das Unternehmen angemessene ethische Standards und eine starke Corporate Governance hat.
- Stellen Sie sicher, dass es Mechanismen für die Meldung von Fehlverhalten oder Compliance-Verstößen gibt, z.B. Whistleblower-Mechanismen oder einen Verhaltenskodex.
Risikomanagement und interne Kontrollen:
- Überprüfen Sie die vorhandenen Risikomanagement- und Kontrollmechanismen, um sicherzustellen, dass sie angemessen sind und die relevanten Risiken abdecken.
- Identifizieren Sie potenzielle Compliance-Risiken und entwickeln Sie Strategien zur Risikominderung.
- Schulung und Bewusstsein:
- Stellen Sie sicher, dass die Mitarbeiter regelmäßig über Compliance-Anforderungen und -Verpflichtungen geschult werden.
- Fördern Sie ein Bewusstsein für Compliance und ethisches Verhalten in der gesamten Organisation.
Überprüfung und Aktualisierung:
- Führen Sie regelmäßige Compliance-Checks durch, um sicherzustellen, dass das Unternehmen kontinuierlich den geltenden Anforderungen entspricht.
- Aktualisieren Sie die Compliance-Maßnahmen bei Bedarf, um Änderungen in den Rechtsvorschriften oder geschäftlichen Anforderungen zu berücksichtigen.
Identifizierung des Projekts: Erfassen Sie alle relevanten Informationen über das Projekt, für das die DSFA durchgeführt werden soll. Erfassen Sie den Zweck, die Ziele, den Umfang, die Art der verarbeiteten Daten, die beteiligten Stakeholder und die geplanten Datenverarbeitungsvorgänge.
Datenflussanalyse: Führen Sie eine umfassende Analyse des Datenflusses durch, um zu verstehen, wie personenbezogene Daten in dem Projekt erhoben, verarbeitet, übertragen, gespeichert und gelöscht werden. Identifizieren Sie alle beteiligten Datenkategorien, Datenquellen und Datenempfänger.
Risikobewertung: Identifizieren Sie potenzielle Datenschutzrisiken und bewerten Sie deren Wahrscheinlichkeit und Auswirkungen auf die Rechte und Freiheiten der betroffenen Personen. Berücksichtigen Sie Faktoren wie Art der Daten, Verarbeitungszwecke, Datenzugriff, mögliche Datenschutzverletzungen und Risikominderungsmaßnahmen.
Notwendigkeit und Verhältnismäßigkeit: Prüfen Sie, ob die geplante Datenverarbeitung notwendig und verhältnismäßig ist, um die angestrebten Ziele zu erreichen. Stellen Sie sicher, dass die Rechte der betroffenen Personen angemessen geschützt werden und dass die Datenverarbeitung im Einklang mit den Datenschutzprinzipien steht.
Datenschutzmaßnahmen: Identifizieren Sie geeignete technische und organisatorische Maßnahmen (TOMs), um die identifizierten Datenschutzrisiken zu minimieren. Berücksichtigen Sie Aspekte wie Datensicherheit, Zugriffskontrolle, Datentransfer, Datenretention, Transparenz, Informationspflichten und Rechenschaftspflicht.
Konsultation der Aufsichtsbehörde: Überprüfen Sie, ob eine Konsultation der zuständigen Datenschutzaufsichtsbehörde erforderlich ist. In einigen Fällen kann eine DSFA vor der Durchführung oder nach Abschluss der DSFA der Aufsichtsbehörde zur Genehmigung vorgelegt werden.
Dokumentation: Halten Sie alle Schritte und Ergebnisse der DSFA schriftlich fest. Dokumentieren Sie die Risikobewertung, die getroffenen Maßnahmen, die Beratung mit der Aufsichtsbehörde und andere relevante Informationen. Die Dokumentation dient als Nachweis für die Einhaltung der Datenschutzvorschriften.
Überprüfung und Aktualisierung: Überprüfen Sie regelmäßig die durchgeführte DSFA, insbesondere wenn sich Änderungen am Projekt oder an den Datenverarbeitungsprozessen ergeben. Aktualisieren Sie die DSFA entsprechend, um sicherzustellen, dass der Datenschutz weiterhin angemessen berücksichtigt wird.
Impressum:
- Stellen Sie sicher, dass Ihre Webseite ein vollständiges Impressum enthält, das die gesetzlich vorgeschriebenen Informationen enthält, wie z.B. Name und Anschrift des Unternehmens, Kontaktdaten, Registrierungsnummer, falls zutreffend.
Datenschutzerklärung:
- Erstellen Sie eine Datenschutzerklärung, die transparent und verständlich über die Art, den Umfang und den Zweck der Datenerfassung und -verarbeitung auf Ihrer Webseite informiert.
- Geben Sie an, welche personenbezogenen Daten erfasst werden, wie sie verwendet werden, ob sie an Dritte weitergegeben werden und welche Rechte Nutzer in Bezug auf ihre Daten haben.
Einwilligung zur Datenerfassung:
- Stellen Sie sicher, dass Sie eine klare Einwilligung von Nutzern einholen, bevor Sie personenbezogene Daten erfassen oder Cookies setzen.
- Bieten Sie den Nutzern die Möglichkeit, ihre Einwilligung zu widerrufen und ihre Datenschutzeinstellungen zu ändern.
Cookie-Hinweis und Cookie-Richtlinie:
- Informieren Sie die Nutzer über die Verwendung von Cookies auf Ihrer Webseite und holen Sie, falls erforderlich, ihre Einwilligung ein.
- Geben Sie an, welche Arten von Cookies verwendet werden, wie sie funktionieren und wie Nutzer sie verwalten können.
Urheberrecht und geistiges Eigentum:
- Stellen Sie sicher, dass alle Inhalte auf Ihrer Webseite rechtmäßig verwendet werden und keine Urheberrechte oder andere geistige Eigentumsrechte verletzen.
- Erstellen Sie eine klare Richtlinie zur Verwendung von Inhalten und fordern Sie Nutzer auf, eventuelle Verstöße zu melden.
Barrierefreiheit:
- Stellen Sie sicher, dass Ihre Webseite barrierefrei ist und den Richtlinien zur Barrierefreiheit entspricht, um Menschen mit Behinderungen den Zugang zu ermöglichen.
Haftungsausschluss:
- Fügen Sie einen Haftungsausschluss hinzu, der den Umfang Ihrer Haftung für die Nutzung der Webseite begrenzt und Haftungsausschlüsse für verlinkte Inhalte enthält.
Social-Media-Integration:
- Wenn Sie Social-Media-Plugins oder -Buttons auf Ihrer Webseite verwenden, stellen Sie sicher, dass Sie die Datenschutz- und Cookie-Richtlinien dieser Plattformen berücksichtigen und gegebenenfalls entsprechende Einwilligungen einholen.
Rechtliche Hinweise:
- Überprüfen Sie, ob es spezifische rechtliche Anforderungen gibt, die für Ihre Branche oder Art der Webseite gelten, und stellen Sie sicher, dass Sie diese Anforderungen erfüllen.
- Dies kann beispielsweise Regeln für den elektronischen Handel, Verbraucherschutz oder besondere Branchenregulierungen umfassen.
Aktualisierung und Überprüfung:
- Überprüfen Sie regelmäßig Ihre Webseite und passen Sie rechtliche Informationen an, um sicherzustellen, dass sie stets korrekt und aktuell sind.
- Verantwortliche Stelle:
- Nennen Sie den Namen und die Kontaktdaten der verantwortlichen Stelle, z.B. Name des Unternehmens, Adresse, E-Mail-Adresse.
- Erfasste Daten:
- Geben Sie an, welche Arten von personenbezogenen Daten auf Ihrer Webseite erfasst werden, z.B. Name, E-Mail-Adresse, Kontaktdaten, IP-Adresse, Cookies, Nutzerverhalten usw.
- Zwecke der Datenverarbeitung:
- Erläutern Sie die Zwecke, für die die personenbezogenen Daten erhoben werden, z.B. zur Bearbeitung von Anfragen, zur Verbesserung der Webseite, zur Bereitstellung von Dienstleistungen, zur Verarbeitung von Bestellungen usw.
- Rechtsgrundlage:
- Geben Sie die rechtliche Grundlage an, auf der die Datenverarbeitung basiert, z.B. Einwilligung, Vertragserfüllung, rechtliche Verpflichtung, berechtigtes Interesse usw.
- Cookies und Tracking-Technologien:
- Informieren Sie über die Verwendung von Cookies und anderen Tracking-Technologien auf Ihrer Webseite.
- Geben Sie an, welche Arten von Cookies verwendet werden, wie sie funktionieren und wie Nutzer sie verwalten können.
- Erwähnen Sie auch Drittanbieter-Cookies, sofern vorhanden.
- Datenweitergabe:
- Geben Sie an, ob und an wen personenbezogene Daten weitergegeben werden, z.B. an Drittanbieter, Servicepartner oder Behörden.
- Erwähnen Sie, wenn Daten in Länder außerhalb der Europäischen Union übertragen werden.
- Datensicherheit:
- Beschreiben Sie die getroffenen Sicherheitsmaßnahmen zum Schutz der personenbezogenen Daten vor unbefugtem Zugriff, Missbrauch oder Verlust.
- Speicherdauer:
- Geben Sie an, wie lange die personenbezogenen Daten aufbewahrt werden oder nach welchen Kriterien die Speicherdauer festgelegt wird.
- Rechte der Betroffenen:
- Erklären Sie die Rechte der Nutzer in Bezug auf ihre personenbezogenen Daten, z.B. das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung und Widerspruch.
- Geben Sie an, wie Nutzer diese Rechte ausüben können.
- Kontaktdaten des Datenschutzbeauftragten:
- Wenn Sie einen Datenschutzbeauftragten haben, geben Sie seine Kontaktdaten an. Falls Sie keinen Datenschutzbeauftragten haben, erwähnen Sie dies und geben Sie eine alternative Kontaktperson für Datenschutzanfragen an.
- Änderungen der Datenschutzerklärung:
- Erklären Sie, dass die Datenschutzerklärung aktualisiert werden kann und wie Nutzer über Änderungen informiert werden.
Firmenname:
- Geben Sie den vollständigen Namen Ihres Unternehmens oder Ihrer Organisation an.
Rechtsform:
- Nennen Sie die Rechtsform des Unternehmens, z.B. GmbH, UG, AG, eingetragener Verein usw.
Vertretungsberechtigte Personen:
- Geben Sie die Namen und Positionen der vertretungsberechtigten Personen an, z.B. Geschäftsführer, Vorstandsvorsitzender usw.
Adresse:
- Geben Sie die vollständige Postanschrift Ihres Unternehmens an, einschließlich Straße, Hausnummer, Postleitzahl und Ort.
Kontaktinformationen:
- Fügen Sie Kontaktdaten hinzu, über die Ihr Unternehmen erreicht werden kann, z.B. Telefonnummer, E-Mail-Adresse.
Handelsregister:
- Wenn Ihr Unternehmen im Handelsregister eingetragen ist, geben Sie die entsprechende Registernummer an und das Register, in dem es eingetragen ist, z.B. Amtsgericht XYZ, HRB-Nummer.
Umsatzsteuer-Identifikationsnummer:
- Wenn Ihr Unternehmen umsatzsteuerpflichtig ist, geben Sie die Umsatzsteuer-Identifikationsnummer an.
Zuständige Aufsichtsbehörde:
- Geben Sie an, welche Aufsichtsbehörde für Ihr Unternehmen zuständig ist, z.B. das Gewerbeamt oder das Finanzamt.
Berufliche Regelungen:
- Wenn Ihr Unternehmen einer besonderen berufsrechtlichen Regelung unterliegt, geben Sie an, welcher berufsständischen Kammer es angehört und nennen Sie gegebenenfalls die einschlägigen Vorschriften.
Verantwortlich für den Inhalt:
- Geben Sie den Namen der Person oder Abteilung an, die für den Inhalt der Webseite verantwortlich ist.
Haftungsausschluss:
- Fügen Sie einen Haftungsausschluss hinzu, der den Umfang Ihrer Haftung für den Inhalt der Webseite begrenzt.
Urheberrecht:
- Geben Sie an, dass alle Inhalte der Webseite urheberrechtlich geschützt sind und dass die Verwendung ohne Genehmigung nicht gestattet ist.
1. Was ist ein Disclaimer und wie sieht ein Disclaimer auf Webseiten aus?
Disclaimer auf Deutsch bedeutet so viel wie Haftungsausschluss. In einem Disclaimer kann sich der Webseitenbetreiber von fremden Inhalten - beispielsweise durch externe Links - distanzieren. Disclaimer sind häufig auf Webseiten oder als E-Mail-Disclaimer vertreten. Meist haben Disclaimer auf einer Homepage den folgenden Wortlaut:
"Mit Urteil vom 12. Mai 1998 - 312 O 85/98 - "Haftung für Links" hat das Landgericht (LG) Hamburg entschieden, dass man durch das Setzen eines Links, die Inhalte der gelinkten Seite ggf. mit zu verantworten hat. Dies kann - so das LG - nur dadurch verhindert werden, dass man sich ausdrücklich von diesen Inhalten distanziert. Hiermit distanzieren wir uns ausdrücklich von den verlinkten Seiten."
2. Hinweise zur Nutzung eines Disclaimers
Aber wie sieht es rechtlich mit einem solchen Disclaimer aus? Das Landgericht Hamburg hat im oben genannten Urteil festgestellt, dass ein pauschaler Haftungsausschluss für die Inhalte, auf die Sie als Webseitenbetreiber verlinken, nicht ausreichend ist.
Sie sollten es deshalb vermeiden, einen Haftungsausschluss oder eine Haftungsbeschränkung auf Ihre Seiten zu setzen. Von Juristen wird eine Disclaimer Vorlage fast ausnahmslos als unsinnig angesehen. Einige Rechtsanwälte gehen sogar davon aus, dass der Verfasser entsprechender Formulierungen bereits damit rechnet, auf juristisch fragwürdige Inhalte zu verlinken. Dann kehrt sich die beabsichtige Haftungsfreizeichnung des Seitenbetreibers unter Umständen ins Gegenteil. Auch als Webdesigner sollten Sie Ihren Kunden einen solchen fragwürdigen Disclaimer nicht anbieten.
Bei fehlerhaften Formulierungen können Disclaimer sogar unzulässige Haftungsklauseln darstellen und abgemahnt werden. Interessant: Einen Disclaimer, den andere Anbieter ausdrücklich übernehmen dürfen, enthält die Website der Berliner Beauftragten für Datenschutz und Informationsfreiheit. Unten weisen sie allerdings ausdrücklich darauf hin, dass sie „aufgrund der weitgehend unklaren Rechtslage hinsichtlich der Verantwortlichkeit für Links keine Garantie dafür übernehmen können, dass sich Anbieter wirksam von der Verantwortung für Inhalte Dritter freizeichnen können.“.
Diese Warnung ist mehr als berechtigt. Denn wenn Sie als Webseitenbetreiber bewusst externe Links auf Webseiten setzen, suggerieren Sie damit, dass Ihnen die Seiten gefallen und sie Ihre Besucher darauf aufmerksam machen wollen. Es wäre daher höchst widersprüchlich, einerseits einen Link zu setzen und sich andererseits von diesen Inhalten zu distanzieren.
3. Tipp: externe Links regelmäßig überprüfen
Aber wie gehen Sie nun vor, wenn ein Disclaimer nicht davor schützt, dass Sie möglicherweise für die verlinkten Inhalte haftbar gemacht werden können? Grundsätzlich ist es ratsam, die Links in regelmäßigen Abständen zu überprüfen. So entdecken Sie auch nicht funktionierende Links und können sie fixen.
Entdecken Sie bei der Überprüfung der Links rechtswidrige Inhalte auf den externen Seiten, sollten Sie den Link in jedem Fall direkt entfernen.
4. Neuere Rechtsprechung
In der Zwischenzeit hat der Europäische Gerichtshof (EuGH) in verschiedenen Urteilen zur Haftung für Links klarere Standards gesetzt. Insbesondere das Urteil des EuGH vom 8. September 2016 (C-160/15) hat die Haftung für Links im Rahmen der Richtlinie 2001/29/EG über das Urheberrecht in der Informationsgesellschaft geklärt. Dieses Urteil bestätigte, dass das Setzen von Links auf Webseiten grundsätzlich keine Urheberrechtsverletzung darstellt, sofern bestimmte Bedingungen erfüllt sind.
5. Viel wichtiger als ein Disclaimer:
Rechtssicheres Impressum und Datenschutzerklärung!
Bei einem Verstoß gegen die Bestimmungen der DSGVO können Geldbußen verhängt werden. Art. 83 Abs. 5 DSGVO regelt die Höhe der Geldbußen, die bei Verstößen gegen die DSGVO verhängt werden können.
Gemäß Absatz 5 von Artikel 83 der DSGVO können für Verstöße gegen bestimmte Vorschriften der DSGVO Geldbußen von bis zu 20 Millionen Euro oder im Fall eines Unternehmens von bis zu 4 % des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt werden. Es wird jeweils die höhere Summe als Strafe angewendet.
- Diese Geldbußen sollen abschreckend wirken und sicherstellen, dass Unternehmen und Organisationen angemessene Maßnahmen ergreifen, um die Datenschutzvorschriften einzuhalten. Die Höhe der Geldbußen orientiert sich sowohl an der Schwere des Verstoßes als auch an verschiedenen anderen Faktoren wie der Art der Verletzung, dem Umfang des Schadens, der Dauer des Verstoßes und der Zusammenarbeit des Unternehmens mit den Datenschutzbehörden.
- Die DSGVO enthält eine Reihe von Bestimmungen und Anforderungen, die Unternehmen und Organisationen erfüllen müssen, um die Datenschutzrechte von Personen zu schützen. Dazu gehören beispielsweise die Einholung einer rechtmäßigen Zustimmung zur Verarbeitung personenbezogener Daten, die Gewährleistung der Datensicherheit und die Einhaltung der Datenschutzgrundsätze.
- Bei einem Verstoß gegen diese Bestimmungen kann die zuständige Datenschutzbehörde eine Geldbuße verhängen. Die Höhe der Geldbuße wird individuell auf den konkreten Fall abgestimmt und kann je nach Schwere des Verstoßes erheblich variieren.
- Es ist wichtig zu beachten, dass die Geldbußen nicht das einzige Sanktionsinstrument sind, das den Datenschutzbehörden zur Verfügung steht. Sie können auch andere Maßnahmen ergreifen, wie beispielsweise die Anordnung von vorübergehenden oder dauerhaften Einschränkungen der Datenverarbeitung oder die Untersagung bestimmter Geschäftspraktiken!
Die Verhängung von Geldbußen gemäß Art. 83 Abs. 5 DSGVO soll sicherstellen, dass Unternehmen und Organisationen den Datenschutz ernst nehmen und angemessene Maßnahmen ergreifen, um die Privatsphäre und die Rechte der Betroffenen zu schützen.
Ja, bei Verstößen gegen die Datenschutz-Grundverordnung (DSGVO) können auch einzelne Angestellte eines Unternehmens belangt werden.
Die DSGVO legt die Verantwortung für die Einhaltung des Datenschutzes sowohl auf das Unternehmen als auch auf die individuellen Mitarbeiterinnen und Mitarbeiter.
Gemäß der DSGVO kann eine Aufsichtsbehörde Maßnahmen gegen einzelne Angestellte eines Unternehmens ergreifen, wenn diese an einem Verstoß beteiligt waren. Dabei kann es sich um Geldstrafen, Disziplinarmaßnahmen oder andere geeignete Sanktionen handeln.
Es ist wichtig zu beachten, dass die DSGVO das Konzept der "gemeinsamen Verantwortlichkeit" einführt. Das bedeutet, dass sowohl der Verantwortliche (in der Regel das Unternehmen) als auch der Auftragsverarbeiter (z. B. ein Mitarbeiter) für die Einhaltung der Datenschutzbestimmungen verantwortlich sind. Daher kann bei Verstößen sowohl gegen das Unternehmen als auch gegen individuelle Angestellte vorgegangen werden.
Es ist ratsam, dass Unternehmen ihre Mitarbeiter über die Bestimmungen der DSGVO informieren und angemessene Schulungen und Maßnahmen zur Einhaltung des Datenschutzes durchführen, um potenzielle Verstöße zu vermeiden und die Verantwortung auf allen Ebenen zu fördern.
Da bei Mitarbeitern eine hohe, meistens 5- bis 6-stellige, Geldbuße nicht zweckmäßig und von Privatpersonen auch kaum aufzubringen ist, tritt hier dann wohl eher eine andere Sanktion wie die
Anordnung von vorübergehenden oder dauerhaften Einschränkungen der Datenverarbeitung oder die Untersagung bestimmter Tätigkeiten im Betrieb
ein. Das ist sowohl für das Unternehmen als auch für den Mitarbeiter ein besonderes Problem, da er praktisch befristet arbeitslos ist. Das wird dann auch häufig zu arbeitsgerichtlichen Auseinandersetzungen führen.
Wie beurteilen deutsche Datenschützer ChatGPT?
Einige Datenschützer in Deutschland teilen die Bedenken der italienischen Aufsichtsbehörde und fordern ähnliche Maßnahmen. Für eine Überprüfung benötigen die zuständigen Landesdatenschutzaufsichtsbehörden weitreichende Informationen.
Aufgrund ihrer Komplexität ist die datenschutzrechtliche Beurteilung von Künstlicher Intelligenz jedoch eine Herausforderung. So fehlen für eine Prüfung
-
- Angaben über die Datenquellen
- Informationen über die Algorithmen hinter der automatisierten Datenverarbeitung und
- Klarheit darüber, ob Daten an Dritte mit kommerziellen Interessen weitergegeben werden.
Stand April 2023 beschäftigt sich die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder mit ChatGPT und dem Datenschutz. Geplant ist eine datenschutzrechtliche Prüfung, die in der Datenschutzkonferenz koordiniert wird.
Die wichtigsten Fakten zu ChatGPT und Datenschutz
Grundlage der datenschutzrechtlichen Prüfung ist die Datenschutzgrundverordnung (DSGVO). Werden personenbezogene Daten in ChatGPT verarbeitet, ergeben sich verschiedene datenschutzrechtliche Herausforderungen. Die wichtigsten fasst die folgende Übersicht zusammen.
Einwilligung in die Datenverarbeitung
Die DSGVO erlaubt die Verarbeitung von Daten, wenn eine Rechtsgrundlage gemäß Art. 6 Abs. 1 DSGVO vorliegt. Die Datenverarbeitung muss zum Beispiel zur Erfüllung vertraglicher Pflichten notwendig sein oder auf einem berechtigten Interesse des Betreibers basieren. Dabei dürfen die Schutzinteressen betroffener Personen nicht verletzt werden.
Ohne eine andere Rechtsgrundlage aus Art. 6 Abs. 1 DSGVO, darf die Verarbeitung nur mit Einwilligung der betroffenen Person geschehen. Dafür ist eine transparente Information der betroffenen Person über die Datenverarbeitung und ihre Auswirkungen erforderlich.
Da eine KI wie ChatGPT als Blackbox gilt, können Unternehmen in der Regel keine detaillierte Auskunft über die Datenverarbeitung geben. Eine wirksame Einwilligung ist deshalb nahezu unmöglich.
Transparenz über die Verarbeitung der Daten
Die DSGVO gibt vor, dass Daten einer betroffenen Person in einer für sie nachvollziehbaren Weise verarbeitet werden. Auch dieser Vorgabe steht die Intransparenz des ChatGPT-Algorithmus‘ entgegen.
Unternehmen müssen außerdem ihren Informationspflichten aus Art. 13 und 14 DSGVO nachkommen. Gemäß Art. 12 Abs. 1 DSGVO müssen sie die betroffene Person in verständlicher und leicht zugänglicher Weise über die Datenverarbeitung und die Funktionsweise der eingesetzten KI informieren. Dazu gehören auch Informationen über den Umfang der Datenverarbeitungen, die Rechtsgrundlage und die Empfänger.
Schutz der Rechte betroffener Personen
Betroffene Personen müssen über ihre datenschutzrechtlichen Rechte aufgeklärt werden. Auch bei der Nutzung von ChatGPT müssen Unternehmen laut DSGVO die Rechte betroffener Personen erfüllen und verarbeitete Daten z. B. auf Anfrage löschen können. Das ist allerdings problematisch, da die Daten nach Eingabe in der Algorithmus-Blackbox verschwinden.
Datenschutzrechtliche Rolle von OpenAI
Gewerbliche ChatGPT-Nutzer können den Chatbot in ihre internen Prozesse einbinden. Sie sind damit datenschutzrechtlich für die Datenverarbeitung verantwortlich. Da OpenAI in dieser Konstellation Zugriff auf die Daten des Unternehmens hat, kommt prinzipiell der Abschluss eines Auftragsverarbeitungsvertrags (AVV) in Betracht.
Doch ein solcher AVV erscheint nicht ganz passend: OpenAI nutzt die Daten intern zu eigenen Trainingszwecken für ChatGPT, woraus sich vermutlich eine gemeinsame Verantwortlichkeit (Joint Controllership) zwischen ChatGPT und dem Unternehmen, das ChatGPT nutzt, ergibt und damit die Notwendigkeit eines Vertrags zur gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO.
Datenübermittlung in ein Drittland
Der Chatbot ist ein Angebot des US-amerikanischen Unternehmens Open-AI. ChatGPT ist damit wie die Anwendungen von Google oder Microsoft ein Tool, bei dem personenbezogene Daten an Server in einem Drittland außerhalb der EU übertragen werden.
Laut Art. 44 ff. DSGVO muss in diesen Fällen ein angemessenes Schutzniveau sichergestellt werden. Da es aktuell kein Datenschutzabkommen zwischen der USA und der EU gibt, ist die Übermittlung personenbezogener Daten in die USA nur zulässig, wenn strenge Anforderungen für den Schutz der Daten eingehalten werden, die vorab von Unternehmen, die ChatGPT nutzen, geprüft werden müssen.
Wie können Unternehmen ChatGPT sicher nutzen?
Eine sichere Möglichkeit, ChatGPT zu nutzen und gleichzeitig DSGVO-konform zu bleiben, gibt es aktuell nicht. Nutzer der KI können jedoch Vorsichtsmaßnahmen treffen, um das Risiko einer Datenpanne so weit wie möglich zu reduzieren. Fragen Sie dazu Ihren Datenschutzbeauftragten.
Das Hinweisgeberschutzgesetz stellt die deutsche Umsetzung der EU-Whistleblowing-Richtlinie dar. Diese Richtlinie regelt den Schutz von sogenannten Hinweisgebern. Das sind Personen in Unternehmen oder Behörden, die im Rahmen ihrer beruflichen Tätigkeit Verstöße und Missstände erkennen und mit Hinweisen dazu beitragen, dass diese Missstände aufgehoben werden.
Das Hinweisgeberschutzgesetz sieht unter anderem die Einrichtung einer vertraulichen Meldestelle für Hinweisgeber vor. Für Unternehmen mit mehr als 50 Beschäftigten ist eine solche Meldestelle verpflichtend. Außerdem verbietet das Hinweisgeberschutzgesetz Repressalien und Vergeltungsmaßnahmen gegenüber den Hinweisgebern.
Nachdem der Bundestag in seiner Sitzung vom 11. Mai 2023 den im Vermittlungsausschuss abgestimmten Änderungen zugestimmt hat, wurde auch von den Bundesländern im Bundesrat die erforderliche Zustimmung erteilt. Somit wird das Gesetz schon einen Monat nach seiner Veröffentlichung im Bundesgesetzblatt in Kraft treten und Unternehmen zum Betrieb einer Meldestelle verpflichten, also Mitte Juni 2023.
Ursprünglich waren drei Monate als Umsetzungsfrist vorgesehen. Betroffene Unternehmen sollten deshalb umso dringender Maßnahmen für die Einrichtung einer internen Meldestelle ergreifen. Ansonsten riskieren sie Bußgelder – bis zu 20.000 Euro. Unsere Checkliste für den Hinweisgeberschutz unterstützt Sie bei der rechtzeitigen Umsetzung der Vorgaben aus dem neuen Gesetz.
Man spricht beim Melden von Hinweisen auch von Whistleblowing. Ein Whistleblower (deutsch: Hinweisgeber) ist eine natürliche Person, die Informationen über Verstöße oder illegale Vorgänge einer juristischen Person besitzt und diese Hinweise an interne oder externe Meldestellen weitergibt. Prominente Beispiele sind Julian Assange und Edward Snowden.
Auch wenn das Gesetz noch nicht in Kraft getreten ist, sollten Unternehmen bereits jetzt auf das kommende Hinweisgeberschutzgesetz reagieren. Unternehmen ab 250 Beschäftigte müssen ein Hinweisgebersystem zur vertraulichen Entgegennahme von Meldungen über Rechtsverstöße mit Inkrafttreten des Gesetzes einrichten. Für Unternehmen ab 50 Beschäftigte gilt diese Pflicht ab dem 17. Dezember 2023. Wie das in der Praxis aussieht, erfahren Sie in unserer Whistleblowing-Checkliste.
Sie möchten mehr zum Thema Whistleblowing erfahren? Dann lesen Sie unseren ausführlichen Blogbeitrag mit weiteren Informationen zur neuen Whistleblowing-Richtlinie.
Brauchen Sie einen Datenschutzbeauftragten? Oder ist er für Ihr Unternehmen sogar Pflicht?