Unternehmen

Datenschutz: Was erledigt sein sollte, wenn die Datenschutzaufsicht anklopft

In der neuen Kolumne nimmt sich game-Justiziar Christian-Henner Hentsch das Thema Datenschutz vor und stellt zusammen, was Gamesfirmen in Sachen Datenschutz im Blick haben sollten.

21.09.2021 14:15 • von Stephan Steininger
Dr. Christian-Henner Hentsch ist Leiter Recht & Regulierung beim game - Verband der deutschen Gamesbranche. Daneben ist er Professor für Urheber- und Medienrecht an der TH Köln. (Bild: game)

Die Datenschutz-Grundverordnung, kurz DSGVO, ist nun seit über drei Jahren in Kraft und nach einer gewissen "Eingewöhnungsphase" verschärfen die Datenschutzbehörden der Bundesländer zunehmend die Aufsicht. So findet derzeit eine koordinierte Abfrage seitens der Datenschutzaufsichten bei großen Unternehmen statt. Die Gamesbranche war zwar zumindest bisher - nach einer internen Umfrage im Datenschutz-Workshop des game - wohl noch kein Ziel. Doch es ist nur eine Frage der Zeit, bis die Aufsicht anklopft und die Einhaltung der datenschutzrechtlichen Vorgaben überprüft - und die Gamesbranche mit den vielen sensiblen Nutzerdaten wird vermutlich schon recht bald in den Fokus rücken. Bis dahin sollten zumindest die wichtigsten Anforderungen unbedingt erfüllt sein.

Die wichtigste Maßnahme in jedem Unternehmen, das Daten verarbeitet, ist sicherlich die Datenschutzerklärung. Damit werden die Nutzerinnen und Nutzer als "betroffene Personen" meist auf einer Sub-Site aufgeklärt, wie ihre personenbezogenen Daten verwendet werden. Muster und Formulierungshilfen bietet der game in seinem "contract starter kit" an, die jeweils individuell angepasst werden müssen. Neben dem Namen und den Kontaktdaten des Verantwortlichen - wie auch beim Impressum - muss detailliert erläutert werden, welche Daten in einem Spiel oder auf der Website erhoben werden, zu welchem Zweck und wie lange sie gespeichert werden. Auch eine Rechtsgrundlage wie beispielsweise die Erfüllung eines Vertrags oder ein berechtigtes Interesse des Verarbeitenden müssen angegeben werden. Sofern Daten weitergegeben werden, müssen auch die Empfänger aufgelistet werden, insbesondere bei Weitergabe in Nicht-EU-Länder wie die USA. Betroffenenrechte wie Auskunfts- und Löschungsrechte der Nutzerinnen und Nutzer müssen besonders hervorgehoben werden. Anhand der Datenschutzerklärung ist für die Aufsicht leicht zu sehen, ob Unternehmen ihre Pflichten einhalten und mit Tools wie Ghostery kann auch schnell überprüft werden, ob die Angaben stimmen und welche Tracker auf einer Website zum Einsatz kommen. Verstöße gegen die Vorgaben zur Datenschutzerklärung können übrigens auch von Dritten kostenpflichtig abgemahnt werden.

Auch intern müssen alle Verarbeitungen von personenbezogenen Daten in einem Verzeichnis von Ver­arbeitungstätigkeiten (VVT) erfasst werden. Dies dient nicht nur der Dokumentation im Unternehmen, sondern wird bei Prüfungen durch die Aufsicht zuallererst als Übersicht abgefragt. Auch müssen die Zwecke der Verarbeitungen, Datenübermittlungen an Dritte und technisch-organisato­rische Maßnahmen (TOM) zur Daten­sicherheit detailliert beschrieben werden und auch die Fristen für die Löschung der Daten angegeben werden. Die Umsetzung kann zentral gesteuert oder auch einzelnen Teams anvertraut werden. Es bieten sich vielfältige digitale Lösungen an, oft wird das VVT aber auch als einfache Excel-Datei angelegt. Der Datenschutzbeauftragte ist dafür zuständig, den Prozess zu begleiten und zu überprüfen - nicht jedoch für die konkrete Umsetzung, für die immer die Geschäftsführung verantwortlich ist.

Ein Datenschutzbeauftragter ist in Deutschland übrigens erst vorgeschrieben, wenn im Unternehmen mehr als 20 Mitarbeitende ständig mit einer automatisierten Datenverarbeitung, etwa bei Kundendaten, beschäftigt sind. In den meisten deutschen Gamesunternehmen in Deutschland ist also ein Datenschutzbeauftragter nicht zwingend.

Sofern Daten weitergegeben werden, muss dies als Auftragsdatenverarbeitung oder als gemeinsame Datenverarbeitung auch vertraglich geregelt werden. Auftragsverarbeitungen liegen beispielsweise vor, wenn Gamesunternehmen externe Dienstleister wie Betreiber von Rechenzentren beauftragen oder Plattformen für den Versand von News­lettern oder zur Abwicklung von Zahlungen nutzen. Oft werden auch Dienstleister beauftragt, um den Erfolg einer Werbekampagne zu messen oder zur Unterstützung bei der Vermeidung von Betrugsversuchen und Regelverstößen. In solchen Fällen liegt die Datenhoheit beim Auftrag­geber und durch die Vereinbarung soll gewährleistet werden, dass der Auftragnehmer nur im vorgegebenen Rahmen die zur Verfügung gestellten Daten verarbeitet. Die meisten Dienstleister bieten solche Verträge inzwischen standardisiert an, sie müssen also lediglich abgerufen und dokumentiert werden. Sofern die Daten anonymisiert werden und kein Personenbezug vorliegt, ist natürlich kein Vertrag erforderlich. Gemeinsame Datenverarbeitungen liegen im Gamesbereich vor allem bei Spielen auf sozialen Netzwerken wie Facebook vor. In solchen Fällen muss eine gesonderte Datenschutzerklärung vorliegen und eine gesonderte Vereinbarung mit der Plattform abgeschlossen werden. Inhaltlich sind all diese Vereinbarungen inzwischen unproblematisch machbar und entsprechende Vorlagen werden meist gleich mit dem Nutzungsvertrag zur Verfügung gestellt. In der Praxis müssen diese Dokumente aber alle ausgefüllt und abgelegt werden, weswegen es wichtig ist, diese Prozesse im Unternehmen zu besprechen und festzulegen.

Problematisch und rechtlich leider nicht geklärt sind grenzüberschreitende gemeinsame oder Auftragsdatenverarbeitungen in Nicht-EU-Ländern. Zwar liegt für Großbritannien seit vergangenem Monat ein Angemessen­heitsbeschluss vor, sodass Datentransfers dorthin weiterhin möglich sind. Aber für die USA hat der Euro­päische Gerichtshof schon zwei Mal ein vergleichbares Abkommen gekippt. Derzeit erfolgt eine erlaubte Datenübertragung in die USA bei Gamesunternehmen in der Regel über Standardvertragsklauseln. Die EU-Kommission hat am 4. Juni 2021 neue Standardvertragsklauseln beschlossen, die ab Herbst verwendet werden müssen. Bei Verträgen, die bereits auf Basis der bisherigen Standardvertragsklauseln geschlossen wurden, gilt eine Übergangsfrist von 15 Monaten bis zum Herbst 2022. Danach müssen alle Unternehmen ihre Datentransfers nach den neuen Klauseln abwickeln. Hier muss also bald gehandelt werden und es zeigt sich, dass der Datenschutz ein administrativer Dauerbrenner bleibt.

Wie alle rechtlichen Themen ist auch der Datenschutz ein Compliance-Thema, das jedes Unternehmen unterschiedlich bewertet. Auch die Datenschutzbehörden sind noch dabei, die Vorgaben der DSGVO zu inter­pretieren und solange kein Gericht darüber entschieden hat, sind deren Empfehlungen auch keine verbind­lichen Vorgaben, sondern lediglich eine Rechtsmeinung von vielen. Da in der Gamesbranche aber die personenbezogenen Daten von sehr vielen Gamerinnen und Gamern verarbeitet werden, ist der Datenschutz nicht nur rechtlich, sondern auch für die Außendarstellung ein sensibles Thema. Ein laxer Umgang mit dem Datenschutz oder schlimmstenfalls sogar eine Datenschutzpanne - ein Data Breach muss der Aufsicht zwingend innerhalb von 72 Stunden gemeldet werden - kann nicht nur zu empfindlichen Geldstrafen führen, sondern auch die Reputation eines Anbieters beschädigen. Daher ist das Thema dem game sehr wichtig und wir informieren monatlich mit einem Newsletter oder in regelmäßigen Workshops zum Datenschutz über die neuesten Entwicklungen und diskutieren Best Practices für die Branche. Gerne können auch Nicht-Mitglieder bei solchen Veranstaltungen einmal "zum Schnuppern" teilnehmen.

Dr. Christian-Henner Hentsch

KURZVITA: Dr. Christian-Henner Hentsch ist Leiter Recht & Regulierung beim game - Verband der deutschen Gamesbranche. Daneben ist er Professor für Urheber- und Medienrecht an der TH Köln.