> externer Datenschutzbeauftragter

Mitbestimmung beim Datenschutz – Wie der Betriebsrat Datenschutz-Risiken minimieren kann

Betriebsrat DatenschutzDurch die fortschreitende technische Entwicklung wird es immer leichter, Daten zu erfassen, zu speichern und zu nutzen. Besonders personenbezogene Arbeitnehmerdaten bedürfen eines besonderen Schutzes, der durch das Mitspracherecht des Betriebsrates und die Tätigkeit des Datenschutzbeauftragten gewährleistet wird. Die Mitbestimmungsrechte des Betriebsrates greifen häufig in den Bereich des Datenschutzes und können somit zu Schnittpunkten mit dem Kompetenzbereich des Datenschutzbeauftragten führen.

Ihr externer Datenschutzbeauftragter informiert Sie über die hohe Bedeutung der Begriffskombination „ Betriebsrat Datenschutz “ und wann das Hinzuziehen des Betriebsrates unbedingt erfolgen sollte.

„ Betriebsrat Datenschutz “ – Mitbestimmungsrecht des Betriebsrates

Das Betriebsverfassungsgesetz regelt nicht nur, welche Funktionen der Betriebsrat hat, sondern auch, wo genau er Mitbestimmungsrechte hat. Im Bereich des Datenschutzes findet sich im Betriebsverfassungsrecht (BetrVG) allerdings kein direktes Mitbestimmungsrecht. Das bedeutet jedoch nicht, dass ein Mitbestimmungsrecht des Betriebsrates im Bereich Datenschutz vollkommen ausfällt.

Nach § 80 Abs. 1 Nr.1 und § 89 Betriebsverfassungsgesetz besteht die Aufgabe des Betriebsrates darin, über den Arbeitsschutz zu wachen und darauf zu achten, dass der Arbeitgeber sich an geltende Gesetze, Verordnungen, Unfallverhütungsvorschriften, Tarifverträge und Betriebsvereinbarungen hält. Dazu kann auch der Datenschutz gehören, sofern der Arbeitnehmerschutz daran gebunden ist. Des Weiteren spielen verschiedene Mitbestimmungsrechte, die im § 87 BetrVG abschließend geregelt sind, eine Rolle.

Die entsprechenden Regelungen des Betriebsverfassungsgesetzes enthalten dabei einige Schnittstellen mit Bereichen des Datenschutzes. Der Fokus dieses Beitrages wird dabei auf dem Verhältnis zwischen Mitbestimmungsrecht des Betriebsrates und Datenschutz liegen. Sollten Ihnen die nachfolgenden Ausführungen nicht ausreichen, können Sie gerne ein unverbindliches Datenschutz-Angebot z. B. für eine Datenschutzschulung oder zur Datenschutzberatung anfordern. Wir klären Sie gerne telefonisch oder persönlich über die Rahmenbedingungen und die geeignete Vorgehensweise auf.

Mitspracherecht des Betriebsrates bei der Bestellung eines Datenschutzbeauftragten

Gerade weil der Betriebsrat in vielen Angelegenheiten ein Mitbestimmungsrecht hat, kann dieser zu der Annahme kommen, ein Mitbestimmungsrecht bei der Bestimmung des Datenschutzbeauftragten zu haben. Dieses lässt sich rechtlich jedoch nicht finden, da die Mitbestimmungsrechte des Betriebsrates abschließend im § 87 BetrVG aufgelistet sind. Es besteht folglich grundsätzlich kein Mitbestimmungsrecht des Betriebsrates in dieser Angelegenheit, jedoch besteht eine Ausnahme, die ein Mitbestimmungsrecht bei der Bestellung eines Datenschutzbeauftragten begründen könnte. Diese Ausnahme liegt vor, wenn die Bestellung mit einer anderen Personalmaßnahme gekoppelt ist, wobei dies jedoch nur bei der Bestellung eines internen Datenschutzbeauftragten gegeben sein dürfte. Sollte die Geschäftsführung die Bestellung eines externen Datenschutzbeauftragten erwägen, so ist der Betriebsrat nicht unbedingt einzuschalten. Wird ein externer Datenschutzbeauftragter bestellt, sollte dies dem Betriebsrat allerdings angezeigt werden.

Mitbestimmungsrechte bei der Einrichtung neuer technischer Maßnahmen nach § 87 Abs. 1 Nr.6 BetrVG

Eine Schnittstelle von Betriebsverfassungsgesetz und Datenschutz stellt der § 87 Abs. 1 Nr. 6 BetrVG dar, der ein Mitbestimmungsrecht des Betriebsrates vorsieht, wenn die Einführung und Anwendung von technischen Einrichtungen beabsichtigt wird, die dazu geeignet sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen (die potenzielle Möglichkeit einer sogenannten Verhaltens- und Leistungskontrolle reicht aus). Das Gesetz bezieht sich dabei nicht nur auf neue, sondern auch auf bereits bestehende Einrichtungen. Dabei ist es Aufgabe des Betriebsrates und gängige Unternehmenspraxis, in einer Betriebsratsvereinbarung zu gewährleisten, dass technische Einrichtungen nicht in die Rechte der Arbeitnehmer eingreifen. Dabei spielt unter anderem die Problematik der Überwachung von Arbeitnehmern eine große Rolle. Dies kann zum Beispiel über

erfolgen.

87 Abs. 1 Nr. 6 BetrVG sieht allerdings ein starkes Mitbestimmungsrecht vor. Will der Arbeitnehmer entsprechende Verfahren einführen, so bedarf es der ausdrücklichen Zustimmung des Betriebsrates. Wird die Zustimmung nicht eingeholt oder der Betriebsrat nicht beteiligt, ist eine Durchführung der Maßnahme nicht gestattet.

Überwachungsrechte des Betriebsrates nach § 80 Abs. 1 Nr. 1 BetrVG

Neben den ausdrücklich im Betriebsverfassungsgesetz geregelten Mitbestimmungsrechten des Betriebsrates existieren für diesen auch weitergehende Befugnisse. Besonders erwähnenswert ist hierbei der § 80 Abs. 1 Nr. 1 BetrVG, der dem Betriebsrat eine gewisse Überwachungskompetenz zuspricht. Hiernach hat der Betriebsrat die Aufgabe, darüber zu wachen, ob die zu Gunsten des Arbeitnehmers geltenden Gesetze, Verordnungen, Tarifverträge, Unfallverhütungsvorschriften und Betriebsvereinbarungen eingehalten werden.

Das Bundesarbeitsgericht hat hierbei bereits in seinem Beschluss vom 17.03.1987, Az. 1 ABR 59/85, eine Ausweitung des Überwachungsrechtes des Betriebsrates auch auf den Datenschutz festgestellt. Dies sei dann ersichtlich, wenn das Datenschutzgesetz auf die Arbeitnehmer des Betriebs Anwendung findet, was vor allem im Bereich des Arbeitnehmerdatenschutzes zutrifft und unter anderem die Frage aufwerfen kann, ob sich dieser Schutz auch auf Leiharbeiter bezieht. Gemäß § 3 Abs. 11 BDSG fallen unter den Begriff der Beschäftigten auch Leiharbeitnehmer.

Es sollte bei der BAG-Entscheidung von 1987 jedoch nicht außer Acht gelassen werden, dass sich aus dem Überwachungsrecht des Betriebsrates keine weiteren Rechte ergeben. Der Betriebsrat hat nur die Möglichkeit, die Zuwiderhandlungen des Arbeitgebers zu rügen oder auf Abhilfe zu drängen (BAG, Beschluss vom 28.05.2002, Az. 1 ABR 32/01). Demzufolge liegt es nicht in der Macht des Betriebsrates, gegen den Arbeitgeber Unterlassungsansprüche zu stellen. Auch nicht, wenn er stellvertretend für den Arbeitnehmer handeln will.

„ Betriebsrat Datenschutz “ – Schnittstelle zwischen Kompetenzen des externen Datenschutzbeauftragten und des Betriebsrates

Zwischen den Positionen „externer Datenschutzbeauftragter“ und „Betriebsrat“ sind ebenfalls Schnittstellen erkennbar. So hat der Betriebsrat die freie Entfaltung der Persönlichkeitsrechte der Arbeitnehmer zu schützen und zu fördern (§ 75 Abs. 2 BetrVG). Ein Datenschutzbeauftragter schützt ebenso das Persönlichkeitsrecht der Mitarbeiter, indem er deren Recht auf informelle Selbstbestimmung wahrt, § 4 f BDSG. Dabei ist der Aufgabenbereich des Datenschutzbeauftragten auf den Datenschutz beschränkt; der Betriebsrat hingegen ist zur Überwachung aller Gesetze, Tarifverträge und Betriebsvereinbarungen, die zum Schutz der Arbeitnehmer bestimmt sind, verpflichtet (§ 80 Abs. 1 BetrVG). Neben anderen Pflichten bleibt es jedoch die Hauptaufgabe des Datenschutzbeauftragten, die Einhaltung des Datenschutzes zu gewährleisten, womit ihm entsprechende Kontrollrechte zukommen.

Zwar besteht keine gesetzliche Pflicht der Zusammenarbeit, jedoch kann ein Zusammenwirken der beiden Parteien, beispielsweise bei der Erstellung von Betriebsvereinbarungen, von Nutzen sein. Vor dem Hintergrund der Verfolgung gleicher oder ähnlicher Ziele ist eine gute Zusammenarbeit daher unabdingbar und anzustreben. Betriebsräte und Datenschutzbeauftragte sollten daher frühzeitig das Gespräch und einen regelmäßigen Austausch suchen.

Sollten Sie weitere Fragen zum Thema „ Betriebsrat Datenschutz “ haben oder fachkundige Unterstützung in Sachen Datenschutz benötigen, steht Ihnen Brands Consulting gerne zur Seite. Nehmen Sie Kontakt zu uns auf oder holen Sie sich ein unverbindliches Datenschutz-Angebot ein.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen

Gefahren im Internet – Wieso unverschlüsselte Kontaktformulare Datenschutz-Risiken verursachen

unverschlüsselte Kontaktformulare DatenschutzDie Verwendung unverschlüsselter Kontaktformulare auf Websites birgt erhebliche Gefahren – sowohl für die Nutzer als auch die Betreiber von Internetangeboten. Neben dem Interesse der Betroffenen am Schutz ihrer personenbezogenen Daten stellen sich zudem Fragen nach der Haftung des Anbieters.

Ihr externer Datenschutzbeauftragter erklärt, wieso unverschlüsselte Kontaktformulare Datenschutz-Risiken hervorrufen können und zeigt Ihnen sowohl Lösungen als auch Maßnahmen auf, die Sie zur Risikominimierung ergreifen können.

Die Funktionsweise der unverschlüsselten Datenübertragung im Internet

Die Übertragung von Informationen in Datennetzwerken wie dem Internet erfolgt mit Hilfe von Übertragungsprotokollen. Ein äußerst geläufiges Übertragungsprotokoll ist etwa http (Hypertext Transport Protocol), das im Wesentlichen dafür genutzt wird, Websites in Webbrowsern darzustellen. Dazu sendet der Webclient (Nutzer) mittels Browser eine Anfrage (bspw. in Form einer Web-Adresse) an den Webserver. Dieser verarbeitet die Anfrage und sendet eine Antwort als html-Datei zurück. Die html-Datei beinhaltet neben unterschiedlichen unsichtbaren Informationen (Header) auch die eigentlichen Inhalte (Body) der Website in codierter Textform. Diese werden durch den Webbrowser ausgelesen und dem Nutzer grafisch dargestellt. Eine umgekehrte Kommunikation, nämlich die Übertragung von Daten des Webclients an den Webserver ist ebenfalls über http möglich, wobei dazu serverseitig ein zusätzliches Programm oder Skript eingesetzt werden muss.

Problem http – Kontaktformulare ohne Verschlüsselung

Problematisch an der Datenübertragung mittels http ist, dass die übermittelten Informationen uneingeschränkt auslesbar sind. Die transportierten Inhalte können also von allen Rechnern oder sonstigen Netzwerkteilnehmern, die sich insbesondere im gleichen Netzwerk befinden, mitgelesen werden. Dies mag auf den ersten Blick unkritisch erscheinen, schließlich sind die vom Webserver abgerufenen Inhalte meist ohnehin jedem zugänglich. Die Möglichkeit der einfachen Überwachung der aufgerufenen Inhalte  durch Dritte führt allerdings dazu, dass ein systematisches Profil des Nutzers erzeugt werden kann. Darüber hinaus stellt sich aus datenschutzrechtlicher Sicht ein weiteres gravierendes Problem dar: Die Übermittlung von Daten des Webclients an den Webserver erfolgt bei der Verwendung http-basierter Kontaktformulare vollkommen unverschlüsselt. Somit können personenbezogene Daten, die der Nutzer über ein Kontaktformular eingibt, durch Unbefugte abgefangen und missbraucht werden.

Konsequenzen und Bedeutung unverschlüsselter Kontaktformulare 

Da die Übermittlung personenbezogener Daten mittels Kontaktformular einerseits sehr bedeutsam für die Funktionalität etlicher Internetangebote ist, der Schutzbedarf der betroffenen Personen jedoch ebenfalls sehr hoch zu gewichten ist, überrascht es nicht, dass der Gesetzgeber hier die Notwendigkeit einer Regelung entdeckt hat. Mit dem Inkrafttreten des IT-Sicherheitsgesetzes am 14. August 2016 wurde dem Telemediengesetz (TMG) eine Bestimmung hinzugefügt (§13 Abs. 7 TMG), die Websitebetreiber verpflichtet, ihre Dienste gegen die Verletzungen des Schutzes personenbezogener Daten zu sichern. Insbesondere und explizit nennt der Gesetzgeber, die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens, als entsprechend adäquate Sicherungsmaßnahme. Die Unterlassung der Vornahme ausreichender Schutzmaßnahmen ist als Ordnungswidrigkeit bußgeldbewährt.

Mögliche Lösung – Verschlüsselung des Kontaktformulars mit https

Eine Möglichkeit der verschlüsselten Übertragung der Daten beim Einsatz von Kontaktformularen bietet die Verwendung von http in Verbindung mit TLS (Transport Layer Security), deren kombinierte Anwendung https (http Secure) bezeichnet wird. TLS ist als Fortentwicklung des bekannteren SSL Protokolls (Secure Socket Layer) zu verstehen. Die Anwendung der älteren SSL-basierten Verschlüsselung ist mittlerweile nicht mehr empfehlenswert, da sie als unsicher gilt. Allerdings werden TLS und SSL häufig synonym verwendet, sodass im Zweifelsfalle stets zu klären ist, welche Technologie tatsächlich zum Einsatz kommt.

Mit Hilfe des kryptographischen Protokolls TLS kann die Datenübertragung verschlüsselt und damit ungleich sicherer gestaltet werden. Ein wesentlicher Bestandteil des TLS-Protokolls ist der sog. Handshake: Vor der Übertragung von Daten zwischen Webclient und Webserver muss zwischen den beiden Kommunikationsteilnehmern eine gesicherte Verbindung aufgebaut werden. Der Server übersendet dabei dem Client auf dessen Anfrage (Eingabe der https-Adresse) ein Zertifikat, wodurch die tatsächliche Identität des Servers bestätigt werden soll. Nach der Prüfung der Gültigkeit des Zertifikats durch den Client wird ein gemeinsamer Sitzungsschlüssel erzeugt, der beidseitig für die Ver- und Entschlüsselung benötigt wird. Die Informationen, die über die entstandene gesicherte Verbindung übermittelt werden, können zwar ausgelesen aber nicht dekodiert werden, da nur Client und Server über diesen individuellen Sitzungsschlüssel verfügen. Eine verschlüsselte und somit gesicherte ÜbertrVerschlüsselung Datenschutzagung von personenbezogenen Daten des Webclients an den Webserver, unter Zuhilfenahme eines Kontaktformulars, ist nun also möglich. Zu erkennen ist die sichere Verbindung an dem grünen Schlosssymbol in der Adressleiste des Browsers.

Voraussetzung für die Implementierung von TLS ist der Erwerb eines Zertifikates für den Webserver. Die eigentliche Implementierung des Zertifikates und des TLS-Protokolls erfolgt in der Regel recht unkompliziert durch den Hosting-Dienstleister. Gleichwohl sollte bei der Umstellung auf TLS und https einiges beachtet werden. Ihr externer Datenschutzbeauftragter berät Sie gerne zum näheren Vorgehen.

Weitere Vorteile der Implementierung von https für Kontaktformulare

Die Erreichbarkeit einer Website über https dient zuvorderst der Sicherheit der übermittelten Daten und damit auch dem Datenschutz. Zudem kann die Implementierung der Verschlüsselung, in Abhängigkeit zu den Möglichkeiten des konkreten Webauftrittes, gesetzlich vorgeschrieben sein. Daneben gibt es aber noch mehr gute Gründe für die Umstellung Ihrer Website auf https. Die Außenwirkung Ihres Internetauftritts gewinnt durch die gewissenhafte Einbindung von Verschlüsselungsmöglichkeiten an Seriosität. Ein weiterer nicht zu vernachlässigender Effekt ist, dass Websites in https von Suchmaschinen wie Google gegenüber Websites in http bevorzugt und damit besser gerankt und prominenter aufgelistet werden.

Fazit

Die Umstellung Ihrer Website von http auf https kann viele positive Effekte mit sich bringen. In erster Linie dient sie der (gesetzlich angezeigten) Sicherung von personenbezogenen Daten. Ob Sie von der gesetzlichen Pflicht zur Einbindung von Verschlüsselungsverfahren betroffen sind, kann Ihnen Ihr externer Datenschutzbeauftragter erläutern. Ebenso unterstützen wir Sie gerne bei der Umsetzung und erklären Ihnen, worauf Sie bei der Umstellung achten müssen und welches Vorgehen sich bei der Übermittlung personenbezogener Daten im Internet generell empfiehlt. Die Verwendung von Kontaktformularen ohne Verschlüsselung ist in jedem Fall als äußerst kritisch zu betrachten, da unverschlüsselte Kontaktformulare Datenschutz-Risiken verursachen können. Sollten Sie nach wie vor unverschlüsselte Kontaktformulare auf Ihrer Website anbieten, empfehlen wir Ihnen dringend tätig zu werden.

Sofern Sie weitere Fragen zur datenschutzkonformen Verschlüsselung von Kontaktformularen, zur Implementierung von https oder anderen datenschutzrechtlichen Bereichen haben, holen Sie sich gerne ein unverbindliches Angebot zum Datenschutz ein oder nehmen Sie direkt Kontakt mit uns auf.

 

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

Beachtung datenschutzrechtlicher Kriterien – Kündigung von Verbraucherverträgen nur in Textform

Kündigung von VerbraucherverträgenDie Änderung des § 309 Nr. 13 BGB am 01.10.2016, die für mit Verbrauchern geschlossene Formularverträge „keine strengere Form für Erklärungen als die Textform vorsieht“, hat hohe Wellen geschlagen und löst die bis dahin geltende Vorgabe zur Schriftform (§ 126 BGB) ab.

Ihr externer Datenschutzbeauftragter informiert über die Kündigung von Verbraucherverträgen und erklärt, was sich durch die Regelung ändert.

Textform versus Schriftform – Was sind die Unterschiede

Als Erstes stellt sich die Frage, was genau die Unterscheidung zwischen „Schriftform“ und „Textform“ ausmacht. Der Grundlegende Unterschied zwischen „Schriftform“ und „Textform“ ist die Notwendigkeit einer handschriftlichen Singnatur, die durch die „Schriftform“ nach § 126 Satz 1 BGB abverlangt wird. Dies hat zur Folge, dass ein Dokument nur mit einer eigenhängen Unterschrift oder einem notariell beglaubigten Handzeichen Gültigkeit erlangt. Folglich ergibt sich daraus die Notwendigkeit einer postalischen Übersendung des Dokumentes. Die „Schriftform“ kann jedoch nach den §§ 126 Abs. 3, 126a BGB durch die elektronische Form ersetzt werden. Wird die elektronische Form gewählt, muss nach § 126a BGB der Aussteller der Erklärung seinen Namen hinzufügen und das elektronische Dokument mit einer qualifizierten elektronischen Signatur nach dem Signaturgesetz versehen.

Die „Textform“ hingegen weist wesentlich geringere Anforderungen auf. Bei dieser genügt es, wenn ein Text übersandt wird; eine handschriftliche oder elektronische Signatur ist dabei nicht notwendig. Folglich steht dem Versender jegliche Übermittlungsform (E-Mail, Fax, Brief, SMS) via Text offen.

Auswirkung der Änderung –Wofür ist der § 309 Nr. 13 BGB gut?

Standardverträge, wie zum Beispiel

  • eine formularmäßige Wohnraummiete,
  • ein Vertrag mit einem Fitness-Studio
  • oder Handyanbieter,
  • aber auch ein Arbeitsvertrag

unterliegen der AGB-Kontrolle, die sich nach § 305 ff. BGB richtet, und einer Einbeziehungskontrolle (Sichtbarkeit der AGB für den Verbraucher) sowie einer Inhaltskontrolle. Bezüglich der Inhaltskontrolle spielt unter anderem der § 309 BGB eine besondere Rolle, da dieser Kriterien aufzeigt, die von vornherein eine Ungültigkeit der Klausel zur Folge haben (sog. Klauselverbote). Sah der § 309 Nr. 13 BGB noch eine Zulässigkeit des Schriftformerfordernisses für alle Verträge vor (§ 309 Nr. 13 BGB a.F.), kippt die Neuerung bestehende Klauseln, die auf das Schriftformerfordernis bestehen, indem für Verträge, die nach Gesetz nicht der notariellen Beurkundung (z.B. Grundstückskäufe) bedürfen (§ 309 Nr. 13 b BGB n.F.), die „Textform“ als strengste Form angesehen wird.

Die Textform nach 126 b BGB ist insoweit bereits erfüllt, wenn die Kündigung unter anderem mittels E-Mail oder Telefax verkündet wird. Einer eigenhändigen Unterschrift, die bei einer Schriftform nach § 126 a BGB verlangt wird, bedarf es hingegen nicht. Notwendig ist lediglich die Erkennbarkeit des Verfassers, z.B. durch Namensnennung oder faksimilierter Unterschrift. Jede strengere Formvorgabe als die Textform ist hingegen unwirksam, so auch die Vereinbarung einer elektronischen Form nach §126 a Abs. 1 BGB, die bei der Übermittlung eines Dokuments in elektronischer Form eine elektronische Unterschrift abverlangt.

Änderung der Voraussetzungen des § 309 Nr. 13 BGB – Wirklich eine Änderung?

Bis zur Änderung des § 309 Nr. 13 BGB kamen Schriftformklauseln gegenüber Verbrauchern häufig zur Anwendung und waren besonders in Bezug auf den Onlinehandel weit verbreitet. Dabei entstand vor allem beim Verbraucher die irrige Annahme, dass dadurch eine Erklärung nur formale Wirksamkeit erlangt, sofern diese auf Papier mit eigenhändiger Unterschrift vollzogen wurde. Dies war jedoch nach § 127 Abs. 1 und 2 BGB nicht unbedingt notwendig, da auch eine E-Mail oder ein Telefax genügten, um die vereinbarte Schriftform einzuhalten.

Kündigung von Verbraucherverträgen – Folgen der Änderung und deren datenschutzrechtliche Relevanz

Unternehmen, die bis dato keine Anpassung der Allgemeinen Geschäftsbedingungen vorgenommen haben, ist eine schnellstmögliche Anpassung anzuraten. Des Weiteren ist zu beachten, dass mit der Änderung des § 309 Nr. 13 BGB auch datenschutzrechtliche Problematiken einhergehen. Werden diese nicht schnell genug erkannt, kann die unbewusste widerrechtliche Handlung zu Sanktionen führen, welche nicht nur einen Geldverlust durch Sanktionen für die verantwortliche Stelle bedeuten, sondern ebenso zu Imageverlusten führen können.

Problem des Empfangs und der Weiterleitung – Einrichtung verschlüsselter E-Mails

Gerade, weil das Schriftformerfordernis nicht mehr gegeben ist, werden wohlmöglich viele Verbraucher ihre Erklärungen per E-Mail abgegeben. Es sollte daher dem Verbraucher ermöglicht werden, seine Daten auch verschlüsselt zu übermitteln, da nach allgemeiner Auffassung die Verschlüsselung als Weitergabekontrolle aufgefasst wird und unter die allgemeinen technischen Maßnahmen (TOM) nach § 9 BDSG fällt. Trotz einiger Kritik der Unverhältnismäßigkeit des Aufwandes für ein Unternehmen, eine Verschlüsselungstechnik für E-Mails zu integrieren, wendet sich die derzeitige Rechtsprechung gegen einen solchen Einwand. So hat der Bundesgerichtshof in seiner Entscheidung vom 26. Februar 2013 – Az.KVZ 57/12 entschieden, dass, wenn die Möglichkeit des Einganges von Dokumenten per E-Mail gestattet ist, auch die Infrastruktur zum Empfang verschlüsselter Daten bereitgestellt werden muss.

Die Problematik der unterschiedlichen Verschlüsselungssysteme besteht jedoch nach wie vor. Eine Möglichkeit, gegen dieses Problem vorzugehen, wäre das Bereitstellen eines verschlüsselten E-Mail-Transfers vonseiten der verantwortlichen Stelle auf deren Homepage.

Weiterhin kann eine Weiterleitung der E-Mail des Betroffenen an einen Dritten nicht ohne weiteres erfolgen. Soll die Erklärung des Betroffenen weitergeleitet werden, ist im Regelfall dessen Erlaubnis einzuholen, sofern keine entsprechende rechtliche Abweichung besteht, beispielsweise durch das Bestehen eines Vertrages zur Auftragsdatenverarbeitung (ADV).

Genauso wie beim Empfang entsprechender Erklärungen per E-Mail oder anderen Varianten ist darauf zu achten, dass fremde Dritte nicht ohne weiteres darauf zugreifen können. Es sind deshalb ebensolche Sicherheitsmaßnahmen einzusetzen, um einen entsprechenden Sicherheitsmaßstab zu gewährleisten.

Aufbewahrungspflicht

Trotz der Änderung des § 309 Nr. 13 BGB bleibt die Aufbewahrungspflicht ein nach wie vor bestehendes Problem. So kann beispielsweise die Vorschrift § 35 BDSG missverstanden werden und Unsicherheit verursachen. So besagt der § 35 BDSG, dass Daten zu löschen sind, wenn

  1. ihre Speicherung unzulässig ist.
  2. es sich um Daten handelt, deren Richtigkeit von der verantwortlichen Stelle nicht bewiesen werden kann.
  3. die Daten für die Zweckerfüllung nicht mehr notwendig sind.

Dies hat zur Folge, dass für die Bestimmung der Aufbewahrungsfrist bewertet werden muss, wann der Zweck der Speicherung erfüllt ist. In bestimmten Fällen ist die Bewertung einfach, so sind beispielsweise Bewerbungen dann zu löschen, wenn die Absage erteilt und nicht mehr mit einer Klage vor dem Hintergrund des Allgemeinen Gleichbehandlungsgesetzes (AGG) zu rechnen ist. Ausgenommen ist der Fall, dass der Bewerber der weiteren Nutzung seiner Daten für den nächsten Bewerbungsvorgang zugestimmt hat.

Neben solchen Fällen ist eine eindeutige Bestimmung der Aufbewahrungsfrist nicht immer gegeben. Es ist daher ratsam, die unterschiedlichen Anforderungen abzuwägen und die Ergebnisse als Löschfrist festzuhalten. Die nach Einzelfall ermittelten Löschfristen werden in der Regel im entsprechenden Verfahrensverzeichnis vermerkt. Im öffentlichen Verfahrensverzeichnis wird üblicherweise lediglich der Hinweis aufgenommen, dass Löschfristen bestehen, sich diese nach den insbesondere gesetzlichen und vertraglichen Aufbewahrungsfristen richten und diese eingehalten werden. Die Löschung erfolgt, so wird im Öffentlichen Verfahrensverzeichnis dokumentiert, somit nach Zweckentfall. Der Datenschutzbeauftragte stellt das öffentliche Verfahrensverzeichnis nach § 4g Abs. 2 Satz 2 BDSG auf Antrag jedermann zur Verfügung. Den geeigneten Prozess dürfte Ihr Datenschutzbeauftragter kennen, falls nicht, sprechen Sie uns an, gerne helfen wir Ihnen weiter.

Fazit

Die Änderung des § 309 Nr. 13 BDSG verpflichtet nicht nur zur Anpassung der Allgemeinen Geschäftsbedingungen, sondern verbindet damit ebenso datenschutzrechtliche Pflichten für die verantwortliche Stelle. Aufgrund des neuen Bewusstseins des Verbrauchers, Erklärungen auch über den E-Mail-Weg der verantwortlichen Stelle zuzusenden, können vermehrt Probleme der Datensicherheit entstehen, die in diesem Beitrag nur teilweise aufgezeigt wurden und je nach Einzelfall variieren können.

Wird diesem Bereich nicht genügend Beachtung geschenkt, kann dies für die betreffende Stelle Bußgelder sowie Imageverluste bedeuten. Aus diesem Grund ist es ratsam, sich genügende Unterstützung im Bereich Datenschutz einzuholen. Hilfe biete die Rücksprache mit dem Datenschutzbeauftragten und IT-Sicherheitsbeauftragten, ebenso kann ein Einbezug eines Datenschutzberaters zur Erkennung und Lösung von Problemen beitragen.

Es ist daher unerlässlich, geeignete fachkundige Hilfe einzubeziehen. Brands Consulting bietet Ihnen dabei optimale Unterstützung — nicht nur zu dieser Thematik, sondern allumfassend im Bereich Datenschutz. Kontaktieren Sie uns und holen Sie sich ein kostenloses, unverbindliches Angebot bei uns ein. Wir rufen auch gerne zurück.

Brands Consulting – steht für kompetente Dienstleistungen rund um Datenschutz & Beratung

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

 

Datenschutz und UniNow – (Un)bequem durchs Studium mit datenschutzrechtlichen Bedenken

Datenschutz und UniNowDas Studentenleben — während die einen denken, es sei von Partys gesäumt und sorgenfrei, werden die anderen von Prüfungen, Praktika, Hausarbeiten oder ähnlichem überschwemmt. Wie das Studium auch aussieht, dankbar ist der „herkömmliche Student“ für jede Hilfe, die ihm besonders als „Ersti“ (Student des ersten Semesters) zu Teil wird. Der Wald der unterschiedlichen Systeme, bei denen eine Anmeldung für das Studium erforderlich ist (z.B. für die Eintragung in notwendige Kurse) ist schier unergründlich und kann einen in den Wahnsinn treiben. Retter in der Not soll die Applikation (App) UniNow sein, die es möglich machen soll, unter einer Benutzeroberfläche auf alle relevanten Systeme für das Studium zugreifen zu können.

Erhältlich ist die App sowohl in Apples AppStore (iOS) als auch in Googles PlayStore (Android).

Wie sicher ein solches System tatsächlich ist und wie dieses mit den eingegebenen Daten umgeht, ist dem Studenten meist nicht klar, und so begibt er sich in eine möglicherweise datenschutzrechtlich bedenkliche Situation. Besonders heikel wird es dann, wenn der Student sich neben seinem Studium in einem Arbeits- oder Praktikumsverhältnis mit einem öffentlichen oder nichtöffentlichen Unternehmen befindet und bei der Nutzung einer solchen App empfindliche Daten bezüglich des Unternehmens versehentlich in Umlauf geraten können.

Ihr externer Datenschutzbeauftragter informiert über die Applikation und erläutert einige datenschutzrechtlichen Bedenken bei der Nutzung von UniNow.

Was ist UniNow und wer steckt dahinter?

UniNow ist eine kostenlose App, die es Studenten ermöglichen soll, einen besseren Überblick über studentische Bedürfnisse/Themen zu erlangen. So ist es damit unter anderem möglich den Stundenplan, Notenspiegel, Prüfungsergebnisse und Mensaplan einzusehen und auch die Ausleihfrist von Büchern in der Bibliothek zu verlängern, ohne dabei die entsprechenden Plattformen einzeln aufrufen zu müssen, da die App eine einzelne Plattform bildet, über die alle Funktionen abgerufen werden können. Entwickelt wurde dieses App von den Informatikern S. Wegener und T. Steeweg, die mit einem Startup anfingen, welches unterdessen zur UniNow GmbH herangereift ist.

Datenschutzrechtliche Bedenken bei der Nutzung von UniNow

Mit dem Aufkommen der UniNow App warnten viele Universitäten (z.B. die Universitäten Heidelberg, Mainz) ihre Studenten vor dessen Nutzung. Die Studenten würden durch die App verleitet, ihre Zugangsdaten zu den verschiedenen Plattformen preiszugeben, um alle Funktionen der App nutzen zu können.

Diese Daten sind unter anderem:

  • Der Name der Hochschule
  • Name und Vorname des Studenten
  • Studienfächer
  • Vorlesungen
  • Prüfungen und Noten
  • Zugangsdaten zu Onlineportalen (z.B. Opal)
  • Zugangsdaten für die Nutzung des Hochschul-E-Mail- Accounts

Diese Daten kann der App-Betreiber dafür nutzen, sich Zugang zu den entsprechenden Plattformen zu beschaffen, um dem Nutzer die Daten (z.B. Prüfungsergebnisse) über die App sichtbar zu machen oder gewünschte Funktionen auszuführen, wie das Anmelden zu oder Abmelden von einer Prüfung. Wie die Verarbeitung der Daten vor dem Zugang Dritter geschützt wird, ist jedoch nicht genau bekannt. Unter anderem wurde aufgedeckt, dass in vorläufigen Versionen der App die Daten als Fließtext übermittelt wurden, was unbefugten Dritten beim Eindringen in das System einen einfachen Datenzugang ermöglicht. Weiterhin stellt ein solches System aufgrund der möglichen Weiterleitung universitätsinterner Zugangsdaten gegebenenfalls ein Risiko für das Uninetzwerk dar und kann daher sogar gegen einige Universitätsordnungen (respektive Ordnung einer sonstigen Hochschule) verstoßen. Sollte das Universitätssystem durch die App geschädigt werden, könnte möglicherweise ein Haftungsanspruch gegenüber dem jeweiligen Nutzer (Student/-in) drohen, wenn diese vorsätzlich oder grob fahrlässig die Warnung der Universität bezüglich der App ignorierten.

Danke für deine Daten, die sind bestimmt etwas wert – Vorurteil oder Realität?

Ebenso kritisch beäugt wurde die Finanzierung des Projektes UniNow, welches als Startup anfing und verlauten ließ, die Entwicklung der App durch freiwillige Hilfen voranzubringen. Eine Finanzierung der App mithilfe von Werbung wurde abgelehnt, trotzdem ist die App kostenfrei. Wie genau sich das Unternehmen finanziert, ist ungewiss. Daher lag der Schluss nahe, dass UniNow sich durch den Verkauf von Nutzerdaten finanzieren könnte, was auch von einigen Universitäten vermutet wurde. Das UniNow-Team dementiert diese Vermutung jedoch auf deren Internetseite. Darin steht: „Weiterhin haben vereinzelt Hochschulen in Veröffentlichungen gewarnt, dass die UniNow GmbH personenbezogene Daten der Studenten weitergeben oder verkaufen könnte – Dies ist selbstverständlich nicht der Fall. Die UniNow GmbH speichert zudem auch keine personenbezogenen Daten persistent auf ihren Servern.“ Inwieweit die Aussage stimmt, kann nicht vollends ermittelt werden.

Zusammenarbeit mit Hochschulen

Seitdem die Hochschulen vor der Nutzung von UniNow gewarnt haben, ist eine lange Zeit vergangen, in der die Betreiber der App nicht tatenlos war. So erklärten diese am 27. Oktober 2016 auf ihrer Internetseite: „Aus Gesprächen mit Hochschulvertretern wurde ein Lösungsweg entwickelt, damit die Zugangsdaten nicht an die Uninow GmbH übertragen werden müssen.“

UniNow 2.0 – Mehr Sicherheit durch das Update?

Mit dem Update möchte der App-Betreiber die Bedenken über die App zerstreuen. Nach den Angaben des UniNow-Teams haben diese mithilfe einiger Hochschulvertreter einen Lösungsweg entwickelt, der eine Übertragung der Zugangsdaten an UniNow unnötig macht, da die Daten auf dem Handy abgespeichert werden. Die Version 2.0 soll dabei, wie die eigentliche App, für Android und iOS Geräte verfügbar sein. Dies unterbindet zwar (nach der Vorstellung) die Gefahr, dass gegen die Universitätsordnung verstoßen werden könnte, jedoch bestehen andere datenschutzrechtliche Bedenken weiter, nur wird dies auf den Nutzer umgeleitet. Mit der Pflicht zur Anmeldung an mehreren Plattformen wird die Bündelung von Daten vermieden. Tritt der Fall ein, dass unberechtigte Dritte Zugang zu den Daten erlangen, ist nur ein Bruchteil dessen betroffen, was bei Verwendung eines Systems, das alle Daten auf einem Medium (hier Handy des Nutzers) speichert, betroffen wäre.

Datenschutz und UniNow – „Brautschau“ für Unternehmen

Bedenklich erscheint ebenso die neue Funktion von UniNow, die Unternehmen die Möglichkeit gibt, Studenten zu kontaktieren und somit mögliche Arbeitnehmer zu akquirieren. Dabei ist darauf zu achten, dass ein Auslassen der Zustimmungseinholung der Nutzer gegen die gesetzlichen Reglementarien verstößt, da es sich hierbei nicht um eine sogenannte Auftragsdatenverarbeitung (ADV) nach § 11 BDSG handelt. Diese Funktion stellt ebenso wenig eine Notwenigkeit dar, weil der Nutzer keine Datenübermittlung zur Kontaktierung von Unternehmen allgemein wünscht, sondern lediglich die Zentralisierung relevanter Informationen für sein Studium, was somit keine Umgehung des Zustimmungsvorbehalts des Nutzers nach § 14 BDSG darstellt.

Unternehmen, die UniNow für die Akquirierung neuer Mitarbeiter nutzen wollen, sollten daher ihren Datenschutzbeauftragten zu Rate ziehen.

Alternativen zu UniNow

Viele Universitäten stellen eigene Apps zur Verfügung, die den Funktionen von UniNow ähneln, jedoch eine sicherere Möglichkeit darstellen, aufgrund der konkreten Zuweisung zur Uni, welche nicht wie ein Unternehmen profitorientiert handelt. Weiterhin setzen die Universitäten derzeit auf die Zentralisierung der Plattformen, die von den Fakultäten genutzt werden. Es ist daher möglich, dass in Zukunft die Nutzung der UniNow-App irrelevant wird. Studenten, die bereits mit einem Unternehmen im Arbeitsverhältnis oder in einem Praktikumsverhältnis stehen, sollten diese Alternativen nutzen oder ganz auf UniNow verzichten, da ein erhöhtes Risiko besteht, sofern unberechtigte Dritte auf die App Zugriff haben. Falls Mitarbeiter die UniNow-App nutzen, sollte diese darauf hingewiesen werden die neuste Version zu nutzen und die Zugriffe der App auf sämtliche Informationen, wie zum Beispiel die Kontakte, die sich auf dem Smartphone befinden, zu unterbinden. Wird der Zugriff auf Kontakte, respektive die Telefonnummern, erlaubt, so handelt es sich bereits um eine Übermittlung personenbezogener Daten, die einer Rechtsgrundlage oder der informierten Einwilligung der Betroffenen bedarf, sofern die Verantwortlichkeit der betroffenen Datensätze bei einer nicht öffentlichen Stelle (z. B. Unternehmen) oder einer öffentlichen Stelle (z. B. Behörde oder öffentliche Hochschule) liegt. Eine Aufklärung der Mitarbeiter über solche Risiken, kann mithilfe einer Datenschutzschulung durch den Datenschutzbeauftragten erfolgen. Eine solche Schulung sorgt insbesondere dafür, dass der Arbeitgeber seiner Pflicht zur Aufklärung und Verhinderung von Risiken nachkommt.

In diesem Zusammenhang könnte ebenso interessant sein, was für datenschutzrechtliche Risiken bei der Nutzung von Social-Media-Plattformen oder Instant-Messaging-Dienstleistungen bestehen. Sollten Sie an Informationen darüber interessiert sein, könnten folgende Beiträge für Sie interessant sein:

Haben Sie Rückfragen zu Datenschutz und UniNow oder möchten Sie sich dauerhaft besser im Datenschutz positionieren?

Brands-Consulting steht Ihnen als Ansprechperson gerne zur Seite. Nehmen Sie gerne Kontakt zu uns auf oder holen Sie sich ein unverbindliches Datenschutz-Angebot ein

Brands Consulting – steht für kompetente Dienstleistungen rund um Datenschutz & Beratung

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen

Datenschutz im Call-Center – Arbeitnehmerschutz für Call-Center-Mitarbeiter

Datenschutz im Call-CenterAllgemein beliebt und praktikabel für Unternehmen ist die Nutzung von Call-Center-Diensten, egal ob als interne Abteilung oder externer Dienstleister. Diese bieten dem Unternehmen nicht nur gewisse Kostenerleichterungen, da dadurch eine weitere Möglichkeit erschlossen wird, Waren zu veräußern. Sie bieten regelmäßig die zumindest technische Möglichkeit, die aufgenommenen Telefondaten auszuwerten und damit ein Qualitätsmanagement zu entwickeln, das eingesetzt wird, um entsprechende Servicequalitäten zu verbessern.

Datenschutzrechtlich und -organisatorisch zu beachten ist dabei nicht nur die Beziehung zwischen Kunden und Call-Center, sondern auch der zumeist übersehene Arbeitnehmerdatenschutz, der beim Mithören und Aufzeichnen des Telefonats eine besonders große Rolle spielt.

Ihr externer Datenschutzbeauftragter klärt Sie über die möglichen Probleme auf und zeigt Ihnen Lösungswege, wie Sie diese Probleme umgehen können, die rund um Datenschutz im Call-Center auftreten können.

Abhörmöglichkeit durch den Arbeitgeber

Aufgrund der fortschreitenden technischen Möglichkeiten und des Einsatzes des Telefons zur Ausführung der Call-Center-Dienstleistungen ist es für den Arbeitgeber vermeintlich einfach, aus Gründen der Qualitätskontrolle oder auch, um Schulungszwecke durchzuführen, die Gespräche der Call-Center-Mitarbeiter zu überwachen oder diese aufzuzeichnen. Dabei wird einerseits in die Persönlichkeitsrechte des Arbeitnehmers und andererseits in die des Kunden (Anrufers) eingegriffen.

Datenschutzbeauftragter – Interessensabwägung der Parteien

Neben dem Interesse des Arbeitgebers, die Arbeitsqualität zu steigern, steht das Interesse des Call-Center-Mitarbeiters und des Kunden, sich einer ständigen Überwachung entziehen zu wollen. Um eine Kollision der Interessen zu vermeiden, ist es die Aufgabe des Datenschutzbeauftragten, entsprechende Lösungswege zu entwickeln, um einerseits das legitime Interesse des Arbeitgebers zu gewährleisten, beispielsweise durch die Auswertung von Kundengesprächen Rückschlüsse auf die Unternehmensleistung zu ziehen, andererseits aber dafür zu sorgen, dass die Persönlichkeitsrechte des Mitarbeiters und des jeweiligen Kunden beachtet werden.

Abhören von Telefonaten – Wann erlaubt und wann nicht?

Will der Arbeitgeber bei Telefonaten von Call-Center-Mitarbeitern mithören, ist es Aufgabe des Datenschutzbeauftragten, zu ermitteln, wann eine solche Abhöraktion gestattet ist und wann nicht. Dabei stellen sich die Fragen:

  • Reicht eine Einwilligung des Betroffenen?
  • Kann eine solche Einwilligung nachträglich eingeholt werden?
  • Gibt es Ausnahmen?

Einschlägige Norm – TMG oder BDSG?

Um die Rechte des Betroffenen und die Möglichkeiten des Arbeitgebers zu ermitteln, ist es notwendig die richtigen Normen hinzuzuziehen.

Der Datenschutz in Call-Centern richtet sich grundsätzlich nach den Bestimmungen des Bundesdatenschutzgesetzes (BDSG). Das Telemediengesetz hingegen ist in diesem Bereich meist nicht relevant, da bei der Einschaltung eines Call-Centers ein sogenannter Medienbruch bewirkt wird. Ein Medienbruch kommt zustande, wenn die Vorrausetzungen des § 1 Abs. 1 Telemediengesetz (TMG) nicht gegeben sind. Nach diesem ist das TMG dann einschlägig, wenn es sich um elektronische Informations- und Kommunikationsdienstleistungen handelt. Die Call-Center-Aktivität geht hingegen darüber hinaus, da beispielsweise Bestellungen von Waren vorgenommen werden können und hierbei ein menschlicher Kontakt erfolgt.

Agentenstellung der Call-Center-Mitarbeiter – Anwendung des Mitarbeiterdatenschutzes?

Häufig ist ein Großteil der Call-Center-Mitarbeiter als sogenannte Agenten tätig. Agenten sind dafür zuständig, Kundenanrufe anzunehmen („inbound-Tätigkeit“) oder Kunden von sich aus zu kontaktieren („outbound-Tätigkeit“). Trotz dieser Agenten-Stellung unterliegt der Call-Center-Mitarbeiter ebenso wie andere Arbeitnehmer dem Mitarbeiterdatenschutz.

Datenschutz im Call-Center – Vorrang des Persönlichkeitsrechts

Nach dem Grundsatz des Rechts auf informelle Selbstbestimmung obliegt es grundsätzlich jeder einzelnen Person, über die Erhebung und Verarbeitung ihrer personenbezogenen Daten selbst bestimmen zu dürfen (Art. 2 Abs. 1 i.V.m Art. 1 Abs. 1 Grundgesetz). Das Abhören oder auch Aufzeichnen von personenbezogenen Daten greift folglich erheblich in dieses Recht ein. Die Eingriffsintensität in das Selbstbestimmungsrecht des Einzelnen durch das Abhören oder Aufzeichnen von Telefongesprächen variiert jedoch und bedarf einer Einzelfallabwägung. Ebenso ist zu differenzieren, ob der Abhör- oder Aufzeichnungsvorgang heimlich oder offen erfolgte, um ein Fehlverhalten festzustellen.

Heimliches Aufzeichnen und Mithören – Allgemein Rechtwidrig

Das heimliche Mithören von Telefonaten durch den Arbeitgeber ist in den meisten Fällen rechtswidrig und wird nach § 201 Strafgesetzbuch (StGB) strafrechtlich sanktioniert. Demnach wird

(1) mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft, wer unbefugt

1. das nichtöffentlich gesprochene Wort eines anderen auf einen Tonträger aufnimmt oder
2. eine so hergestellte Aufnahme gebraucht oder einem Dritten zugänglich macht.

(2) Ebenso wird bestraft, wer unbefugt

1. das nicht zu seiner Kenntnis bestimmte nichtöffentlich gesprochene Wort eines anderen mit einem Abhörgerät abhört oder
2. das nach Absatz 1 Nr. 1 aufgenommene oder nach Absatz 2 Nr. 1 abgehörte nichtöffentlich gesprochene Wort eines anderen im Wortlaut oder seinem wesentlichen Inhalt nach öffentlich mitteilt.

Die Tat nach Satz 1 Nr. 2 ist nur strafbar, wenn die öffentliche Mitteilung geeignet ist, berechtigte Interessen eines anderen zu beeinträchtigen. Sie ist nicht rechtswidrig, wenn die öffentliche Mitteilung zur Wahrnehmung überragender öffentlicher Interessen gemacht wird.

Daraus lässt sich schlussfolgern, dass ein Abhören und Aufzeichnen ohne Kenntnis des Betroffen unzulässig ist. So hat auch das Bundesverfassungsgericht in seinem Urteil vom 19.12.1991 – 1 BvR 382/85 entschieden und den Vorrang des Persönlichkeitsrechtschutzes des Betroffenen vor dem Interesse des Arbeitnehmers festgestellt.

Ausnahme – bei Aufklärung schwerer Straftaten

Das heimliche Abhören ist nur dann zulässig, wenn diese nach § 201 Abs. 2 Satz 3 Strafgesetzbuch ein überragendes öffentliches Interesse verfolgt. Das Bundesverfassungsgericht hat in mehreren Entscheidungen die entsprechenden Ausnahmen konkretisiert. Demnach wird heimliches Abhören gestattet, sofern dies zur Aufklärung schwerer Straftaten, wie etwa Erpressung, geeignet ist. Das heimliche Mithören zur Beweissicherung von zivilrechtlichen Streitigkeiten ist hingegen im Regelfall kein ausreichender Rechtfertigungsgrund.

Einholung einer Einwilligung

Gemäß des § 4 Abs. 1 Bundesdatenschutzgesetz ist die Erhebung, Verarbeitung und Nutzung personenbezogener Daten nur zulässig, sofern der Betroffene dem zustimmt oder eine Rechtvorschrift dies erlaubt. Mögliche Rechtsgrundlage für das Abhören und Aufzeichnen von Telefongesprächen könnte der § 28 Abs. 1 Nr. 1 und Nr. 2 Bundesdatenschutzgesetz darstellen.  Diese Regelung ist jedoch in Anbetracht der Abwägung zwischen dem Geschäftsinteresse des Unternehmens und dem Schutzinteresse des Kunden sowie Mitarbeiter abzulehnen, da solche Telefonate umfangreicher sein können, als für die Erfüllung des Geschäftszeckes erforderlich ist. Da wie bereits erwähnt das heimliche Abhören nach § 201 StGB untersagt ist, sofern kein überragendes öffentliches Interesse besteht, ist eine Einwilligung der Betroffenen einzuholen.

Einholung der Einwilligung des Kunden

Nach § 4a Abs.1 Satz 3 Bundesdatenschutzgesetz ist eine Einwilligung grundsätzlich schriftlich einzuholen. Auf die Schriftform kann jedoch verzichtet werden, wenn besondere Umstände vorliegen, welche eine andere Form angemessener erscheinen lassen. Gerade bei einem einmaligen Telefonkontakt läuft die schriftliche Einwilligung dem Interesse des Anrufers, seine Angelegenheit so schnell wie möglich zu erledigen, zuwider, was eine mündliche Einwilligung rechtfertigen würde.

Einholung der Einwilligung des Arbeitnehmers

Selbst, wenn eine vertragliche Reglung im Arbeitsvertrag besteht, welche besagt, dass der Arbeitnehmer der Abhörung und Aufzeichnung von Gesprächen zustimmt, liegt keine konkrete Einwilligung des Betroffenen vor. Der Mitarbeiter muss ebenso wie der Kunde eine freiwillige Einwilligung abgeben, wobei in diesem Fall das Schriftformerfordernis grundsätzlich bestehen bleibt. Eine Regelung wäre auch über eine geeignete Betriebsvereinbarung denkbar, hierbei sollte unbedingt der Datenschutzbeauftragte eingebunden werden.

Ist bei der Vertragsschließung keine Einwilligung des Arbeitnehmers eingeholt worden, so ist dies nachträglich zu tun. Trotz der Auffassung einiger Rechtsexperten, eine Einwilligung sei nicht nötig, da diese sich aus dem Vertragsverhältnis zwangsläufig ergäbe, besteht eine gewisse datenschutzrechtliche Relevanz. Sollten daher Zweifel bestehen, ist im Allgemeinen immer eine separate Einwilligung einzuholen, um dem Formerfordernis zu genügen.

Offenes Mithören – Abhören mit Einwilligung

In der Regel ist das offene Mithören durch den Arbeitgeber datenschutzrechtlich unproblematisch. Bei einem offenen Mithören stellt sich der Arbeitgeber neben den Angestellten und hört das Telefonat mit und macht sich Notizen darüber. Wird so verfahren, liegt keine konkrete Verletzung des Persönlichkeitsrechts des Betroffenen vor, da der Arbeitgeber den legitimen Zweck verfolgt und es für den Arbeitnehmer ersichtlich ist, dass mitgehört wird, z. B. um zu kontrollieren, ob unternehmensinterne Standards eingehalten werden oder die gesammelten Informationen als Vorbereitung für eine Schulung des Arbeitnehmers zu nutzten. Damit handelt er im Rahmen seines Kontrollrechts und der Zweckbestimmungen des Arbeitsvertrages mit dem Arbeitnehmer.

Möchte der Arbeitgeber eine Telefontechnik verwenden, die ihm gestattet, direkt mitzuhören, ist darauf zu achten,

  • dass dies für den Arbeitnehmer erkenntlich ist. Dies kann mitunter durch Tonsignale oder auch durch das Aufleuchten einer Lampe signalisiert werden.
  • Möchte der Arbeitgeber die Gespräche aufzeichnen, ist – sofern vorhanden – zusätzlich der Betriebsrat einzuschalten (§ 87 Abs. 1 Nr. 6 BetrVG).

Worauf ist außerdem zu achten?

Die Einwilligung ist immer erforderlich für die Zulässigkeit der verfolgten Maßnahme, doch sind neben dieser auch andere Aspekte relevant.

So kann das Aufzeichnen von Telefongesprächen dem Grundsatz der Datensparsamkeit und Datenvermeidung des § 3a Bundesdatenschutzgesetz zuwiderlaufen. Stehen andere Möglichkeiten zur Wahl, welche eine Aufnahme von Telefonaten vermeiden würde, sollten diese auch als milderes Mittel angewendet werden.

Auch sollten weitere Maßnahmen rund um Datenschutz im Call-Center ergriffen werden. Dies wären unter anderem geeignete Löschfristen, denn im Datenschutz gilt, dass personenbezogene Daten grundsätzlich nach Zweckentfall zu löschen sind. Auch sollten die Mitarbeiter, die im Call-Center tätig sind auf das Datengeheimnis nach § 5 BDSG verpflichtet werden. Ein weiterer Aspekt, der in diesem Zusammenhang eine große Rolle spielen könnte, ist die Auftragsdatenverarbeitung. Insbesondere Call-Center werden häufig ausgelagert und durch Dienstleister ausgeführt, dabei sollte der Auftraggeber sicherstellen, dass der Dienstleister die personenbezogenen Daten ausschließlich nach Weisung erhebt, verarbeitet und nutzt sowie ausreichende technische und organisatorische Maßnahmen zum Schutz dieser Daten ergreift.

Fazit

Call-Center bieten nicht nur Erleichterungen für Unternehmen, sondern ebenso Problemfaktoren, die nicht unbeachtet bleiben sollten. Harte Strafrechtliche Sanktionen von Geldstrafen bis zu Freiheitsentzug können bei Zuwiderhandlungen folgen. Aufgrund der Komplexität der Reglungen rund um Datenschutz im Call-Center ist eine datenschutzkonforme Umsetzung allerdings schwer alleine zu bewältigen. Daher sollte auf kompetente Hilfe in Form des Datenschutzbeauftragten, IT-Sicherheitsbeauftragen oder auch Datenschutzberaters zurückgegriffen werden. Ihr externer Datenschutzbeauftragter sollte das Unternehmen und den Betriebsrat bei der Erstellung einer geeigneten Betriebsvereinbarung für das Callcenter unterstützen und dabei auf relevante Aspekte des Datenschutzes hinweisen und die Umsetzung geeigneter Prozesse begleiten.

Sollten Sie sich neben dem Bereich Call-Center auch in Sachen Arbeitnehmerdatenschutz oder Auftragsdatenverarbeitung näher informieren wollen, so könnten Ihnen unsere Beiträge zu:

weiterhelfen.

Brands Consulting – steht für kompetente Dienstleistungen rund um Datenschutz & Beratung

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

Novellierung des BDSG (Bundesdatenschutzgesetz) – Die Anpassung an die EU-Datenschutz-Grundverordnung (DS-GVO)

Novellierung des BDSGDie EU-Datenschutz-Grundverordnung (DS-GVO) ist im Mai 2016 in Kraft getreten, wodurch u. a. nach Angaben der Bundesregierung die Anpassung des deutschen Datenschutzrechts erforderlich sei. Eine Neustrukturierung, insbesondere des Bundesdatenschutzgesetzes, ist aus diesem Grund Kernstück des Gesetzesentwurfs „Entwurf eines Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680“, um den der Bundestag am 27.04.2017 debattierte. Sie haben die Debatte nicht gesehen?

Ihr externer Datenschutzbeauftragter informiert über die Novellierung des BDSG und erklärt, worum es bei der Debatte am vergangenen Donnerstag ging.

Hintergrund der Novellierung des BDSG

Die derzeit bestehende EU-Richtlinie (Richtlinie 95/46/EG), die 1995 eingeführt wurde, gilt nicht unmittelbar in allen EU-Mitgliedstaaten der EU, wodurch sich große Unterschiede im Datenschutz zwischen den EU-Mitgliedstaaten ergaben und der Wunsch, den Datenschutz stärker zu vereinheitlichen, vermehrt aufkam. Wie bereits erläutert, ist deshalb im Mai 2016 die DS-GVO in Kraft getreten, die anders als die derzeit bestehende EU-Richtlinie, direkt geltendes Recht in allen Mitgliedstaaten ist.

Das Datenschutzrecht in Deutschland muss somit ebenfalls an die DS-GVO angepasst werden, wodurch eine Neustrukturierung des BDSG unabdingbar erscheint.

Themen der Debatte am 27.04.2017

Wie auf der Webseite des deutschen Bundestages erläutert, soll (dies ist nach der DS-GVO möglich) die Novellierung als Ergänzung zur neuen Datenschutz-Grundverordnung dienen sowie Teile der Datenschutzrichtlinie „Polizei und Justiz“ umsetzen. Auch sei unter anderem die Vorschrift zum Brief-, Post- und Fernmeldegeheimnis anzupassen.

Neben dem Gesetzesentwurf der Bundesregierung sollte allerdings auch über den Erschließungsantrag der Grünen, der die Bundesregierung aufforderte, der DS-GVO angemessen Rechnung zu tragen, debattiert werden. Ein weiteres Thema war der Antrag „Rechte der Bürgerinnen und Bürger im Datenschutz stärken“ der Linksfraktion, die, wie der Name schon sagt, die Rechte der Betroffenen stärken wollten. Beide Anträge wurden allerdings gegen das Votum der Opposition vom Bundestag abgelehnt.

Der Entwurf soll nun trotz zahlreicher Kritik an den Bundesrat übermittelt werden.

Wenn Sie mehr zur der Novellierung des BDSG erfahren oder sich dauerhaft besser im Datenschutz positionieren möchten, dann holen Sie sich ein unverbindliches Angebot zum Datenschutz ein oder nehmen Sie direkt Kontakt mit uns auf

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

Datenweitergabe von WhatsApp an Facebook – kein Löschen und keine Verwendung personenbezogener Daten nach Beschluss des Verwaltungsgerichts Hamburg

Datenweitergabe von WhatsAppWie bereits im Beitrag „Facebook stoppt Datenweitergabe – Hoffnung für den „WhatsApp Datenschutz?“ beschrieben, reißt wegen der Datenweitergabe von WhatsApp die Thematik „Datenschutz bei WhatsApp“ nicht ab.

Ihr externer Datenschutzbeauftragter informiert Sie über die neuesten Entwicklungen zu dieser Thematik.

Ausgangslage

Im September vergangenen Jahres ging unter anderem der Hamburger Datenschutzbeauftragte Johannes Casper gegen Facebook, bezüglich der Weitergabe von gesammelten personenbezogenen Daten von WhatsApp an Facebook, vor. Nach dessen Ansicht genügen die durch Facebook vorgenommenen Maßnahmen zur Erhebung und Speicherung der personenbezogenen Daten deutscher WhatsApp-Nutzer nicht den Anforderungen des § 4 BDSG.

Nach dem § 4 Abs. 1 Bundesdatenschutzgesetz (BDSG) wäre für eine rechtmäßige Erhebung, Verarbeitung und/oder Nutzung der Daten entweder

  • die Zustimmung des Betroffenen oder
  • eine Rechtsgrundlage

erforderlich.

Nach Ansicht des Hamburger Datenschutzbeauftragten habe Facebook keine ordnungsgemäße Zustimmung der betroffenen WhatsApp-Nutzer nach § 4 Abs. 1 BDSG eingeholt. WhatsApp hatte lediglich seine Nutzer um eine Zustimmung der Weitergabe an Facebook gebeten. Nach dem „Doppeltürmodell“ genügt dies jedoch nicht. Nach diesem muss eine Einwilligung nicht nur von der übermittelnden Stelle (WhatsApp) eingeholt werden, sondern auch von der empfangenden Stelle (Facebook). Weiterhin wurde bemängelt, dass der Nutzer keine freie Einwilligung (§ 4a BDSG) über die Weiterleitung seiner Daten abgeben konnte, da dieser der Datenweitergabe nur entgehen kann, wenn das WhatsApp-Konto gelöscht wird. Zudem wurde der Nutzer nicht hinreichend über die von WhatsApp angebotene „Opt-Out“-Möglichkeit informiert, die dem Nutzer einen Datenübertragungsstopp suggerierte, diesen jedoch nicht ausführte. Ebenso war keine Rechtsgrundlage ersichtlich, die die Erhebung der Daten ohne Zustimmung der Betroffenen rechtfertigte.

Er forderte deshalb von Facebook die Löschung der unrechtmäßig erhobenen Daten sowie die Dokumentation des Löschvorgangs.

Gegen diese Verfügung des Hamburger Datenschutzbeauftragten legte Facebook Widerspruch ein und ersuchte um einstweiligen Rechtsschutz.

Vorläufige Pflicht Facebooks zur Beachtung des deutschen Datenschutzrechts

Das Verwaltungsgericht Hamburg hat nun in einem Eilverfahren mit dem Beschluss vom 25.04.2017 entschieden (Az. 13 E 5912/16), dass der Antrag des Hamburger Datenschutzbeauftragten auf Löschung und Dokumentation des Löschverfahrens der von Facebook gesammelten WhatsApp-Nutzerdaten aufgrund eines formellen Fehlers nicht sofort vollziehbar sei.  Folglich müsse Facebook derzeit keine Löschung der Daten vollziehen, darf diese jedoch ohne ordnungsgemäße Einwilligung der WhatsApp-Nutzer nicht nutzen.

Datenweitergabe von WhatsApp – Ausblick

Derzeit sei nach Erklärung der Richter noch offen, ob Facebook mit dem Widerspruch gegen die Anordnung des Hamburger Datenschutzbeauftragten Erfolg haben wird. Es sei noch nicht hinreichend geklärt, ob die Anwendung des deutschen Datenschutzrechts in diesem Fall einschlägig ist und gegen die in Irland firmierte Facebook Ltd. Anwendung findet. Kommt das deutsche Datenschutzrecht jedoch zur Anwendung, wäre die Anordnung des Hamburger Datenschutzbeauftragten voraussichtlich rechtmäßig.

In unserem vorherigen Beitrag „Facebook stoppt Datenweitergabe – Hoffnung für den „WhatsApp Datenschutz“?“ können Sie weitere Informationen über das Thema einholen. Weiterhin könnte unser Beitrag „Skype, WhatsApp, Facebook Messenger, iMessage & Co. – Datenschutz-Risiken bei Instant Messaging-Diensten“ ebenso interessant für Sie sein.

Sofern Sie zu diesem oder anderen datenschutzrechtlichen Themen Fragen haben, steht Ihnen Brands Consulting gerne zur Seite. Wir unterstützen Sie rund um den Datenschutz und können Ihnen dabei helfen, sich in diesem Gebiet besser zu positionieren.

Nehmen Sie gerne Kontakt zu uns auf und holen Sie ein kostenloses Datenschutzangebot ein.

Brands Consulting – steht für kompetente Dienstleistungen rund um Datenschutz & Beratung

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

Mögliches Datenschutzrisiko unter der US-Regierung Trumps – Worauf europäische Unternehmen beim Datentransfer in die USA achten sollten

Datentransfer in die USASeit der Amtseinführung des neuen US-Präsidenten Trump herrscht vielfach große Unsicherheit in der Welt. Wir möchten hier keinerlei politische Statements setzen, sondern vielmehr mögliche Auswirkungen auf den Datentransfer in die USA thematisieren. Die Ankündigung des US-Präsidenten für die neue US-Politik lautete: „America first!“ — doch was hat dies für Europa und besonders für die europäische Wirtschaft zu bedeuten? Besonders im Bereich Datenschutz sollten sich Unternehmer die Frage stellen, ob nach der Aushebelung des „Safe-Harbor-Abkommens“ unter den derzeitigen Bedingungen ein neues Abkommen in Aussicht steht, welches die Sicherheit des Datentransfers in die USA garantiert.

Grundlegendes über den Datentransfer an Dienstleister

Im Grundsatz gilt für die Übermittlung von personenbezogenen Daten (z.B. Name, Geburtsdatum, Kontonummer) nach § 4 Abs. 1 Bundesdatenschutzgesetz (BDSG), dass diese nur stattfinden kann, sofern

  • dies von dem Betroffenen erlaubt wurde oder
  • eine gesetzliche Regelung existiert, welche eine Datenübertragung ohne die Zustimmung des Betroffen gestattet.

Nach § 11 BDSG ist ein Datentransfer ohne die Zustimmung des Betroffenen gestattet, sofern

  • personenbezogene Daten im Auftrag und nach Weisung des Auftragsgebers erhoben, verarbeitet und genutzt werden, (z.B. zur Entgeltabrechnung) und
  • sich der Datentransfer zwischen EU-Mitgliedsstaaten oder Mitgliedsstaaten des Europäischen Wirtschaftsraum (EWR), z.B. Norwegen, abspielt (§§ 4d Abs. 1 und 4c BDSG). Dies resultiert aus der Tatsache, dass innerhalb der EU und des EWR ein einheitliches Datenschutzniveau herrscht. Maßgeblich dafür ist die Datenschutzrichtlinie 95/46/EG.
  • Weiterhin muss ein sogenannter ADV-Vertrag (Auftragsdatenverarbeitungsvertrag) zwischen Übermittler und Überträger bestehen.

Werden die Daten jedoch von einem Dienstleister verarbeitet, der seinen Sitz in einem Land hat, das weder Mitglied der EU oder des EWR ist, liegt nach formalen Aspekten keine Auftragsdatenverarbeitung vor, da diese nach deutschem Datenschutzrecht nicht unter das Privileg der Auftragsdatenverarbeitung fallen.

Das Gesetz sieht für die Länder, die weder Mitglied der EU oder EWR sind – sogenannte Drittländer – nach § 4b Abs. 2 Satz 2 BDSG – zusätzliche Kriterien vor, damit der Datentransfer von personenbezogenen Daten dorthin ggf. ohne Zustimmung des Betroffenen erfolgen kann. Generell sollte geprüft werden, ob für die Übermittlung eine Rechtsgrundlage oder informierte Einwilligungen vorliegen. Liegt eine Rechtsgrundlage für die Datenübermittlung vor, ist allerdings ein zweites Kriterium bei der Datenübermittlung in ein Drittland zu beachten. Dieses Kriterium besteht darin, dass in den betreffenden Drittstaaten ein angemessenes Datenschutzniveau herrschen sollte. Ein angemessenes Datenschutzniveau eines Drittlandes kann durch eine Prüfung der europäischen Kommission sichergestellt werden. Drittländer, denen ein ausreichendes Datenschutzniveau von der Kommission attestiert wurde, werden „sichere Drittstaaten“ genannt. Dazu gehören z.B. die Schweiz, Argentinien und Andorra.

Drittstaaten, bei denen kein ausreichendes Datenschutzniveau durch die Kommission festgestellt wurde, gelten als unsicher. Sollen Daten in diese Länder übertragen werden, muss die übermittelnde Stelle selbst ein angemessenes Datenschutzniveau herstellen. Dies geschieht in der Regel über EU-Standardvertragsklauseln oder andere vertragliche Grundlagen, einschließlich damit verbundener Maßnahmen.

Datentransfer in die USA – Datenübermittlung in einen Drittstaat

Unter die datenschutzrechtlich bedenklichen Drittstaaten, die kein angemessenes Datenschutzniveau haben, reiht sich auch die USA ein, was eine Datenübermittlung erschwert. Um einen Datentransfer zu ermöglichen, bedarf es ausreichender vertraglich festgesetzter Garantien, welche den Schutz der allgemeinen Persönlichkeitsrechte und die Ausübung der damit verbundenen Rechte durch den Betroffenen, gewährleisten. Diese Garantien werden grundsätzlich mit dem Abschluss von EU-Standardvertragsklauseln zwischen Versender- und Empfängerunternehmen vereinbart oder sind gewährleistet, wenn dieses eine „spezielle Datenschutzzertifizierung“ besitzt. Eine solche Datenschutzzertifizierung stellte das im Oktober 2015 für ungültig erklärte „Safe Harbor“-Abkommen dar. Am 12.07.2016 verabschiedete die EU-Kommission die finale Fassung des EU-US Privacy Shield, mit der Folge, dass sich Unternehmen seit dem 01.08.2016 in die Liste der Teilnehmer eintragen lassen können. Das eingeführte „EU-US Privacy Shield“ (auch unter EU-US-Datenschutzschild bekannt oder unter EU-U.S. Privacy Shield geführt) soll die Lücke, die durch die Ungültigkeit von „Safe Harbor“ entstand, schließen und ermöglichte Unternehmen, sich zu zertifizieren. Diese Option haben bis dato über 2000 Unternehmen in den USA wahrgenommen.

An der Vereinbarung „EU-US Privacy Shield“ wird sich vielleicht vorerst, auch nach der derzeitigen Situation, nichts ändern, obowhl eine mögliche Änderung regelmäßig unter Datenschützern thematisiert wird. Doch besonders für Unternehmen, welche US-Dienstleistungen nutzen, ist es derzeit wichtig, zu wissen, wie der am 25.01.2017 von Trump unterzeichnete Beschluss – zur Verbesserung der öffentlichen Sicherheiten – sich auf die Zusammenarbeit mit US-Dienstleistern auswirken könnte.

Änderungen durch US-Präsident Trump – Bye, Bye „EU-US Privacy Shield“?

Am 25.01.2017 unterzeichnete der amtierende Präsident Trump eine Anordnung (Executive Order) zur Verbesserung der öffentlichen Sicherheit. Diese enthält u.a. folgende Regelung, die besagt:

Agencies shall, to the extent consistent with applicable law, ensure that their privacy policies exclude persons who are not United States citizens or lawful permanent residents from the protections of the Privacy Act regarding personally identifiable information.“

 Ins Deutsche übersetzt:

Behörden haben, sofern es mit dem geltenden Recht im Einklang steht, sicherzustellen, dass Personen, welche keine US-Staatsangehörigkeit besitzen oder einen gesetzlich ständigen Aufenthalt in den USA haben, vom Schutz des Privacy Acts ausgeschlossen sind.

Diese Anordnung könnte gravierende Auswirkungen auf den Privacy Act haben, der ursprünglich personenbezogene Daten, welche durch US-Unternehmen gespeichert wurden, vor Massenüberwachung bzw. vor dem Zugriff von Geheimdiensten schützen sollte. Gerade dieser Privacy Act war ausschlaggebend dafür, dass die europäische Kommission einen angemessenen Schutz für Datenübertragungen sah und den Privacy Shield etablierte, der eine Datenübermittlung für die darin registrierten Unternehmen legitimierte.

Folgt man dem Wortlaut der neuen Anordnung, wird dieser Schutz für Ausländer ausgehebelt. Folglich besteht das Problem, dass EU-Bürger nicht mehr durch das Gesetz vor Überwachung durch Geheimdienste der USA geschützt werden und diese nun, ggf. ohne Widerstand, Daten von Nicht-US-Bürgern bei US-Unternehmen anfordern können.

Dies könnte sich gerade in Bezug auf den Angemessenheitsbeschluss der europäischen Kommission in Bezug zum „Privacy Shield“ auswirken. Durch die Aushebelung des Schutzes des „Privacy Acts“ für Nicht-US-Bürger ist keine Rechtfertigung mehr vorhanden, welche einen sicheren Datentransfer aus anderen Ländern in die USA rechtfertigt. Weiterhin stieß der „EU-US Privacy Shield“ auch vor Trumps Anordnung auf Kritik. So hatte die irische Datenschutzgruppe Digital Rights am 16.09.2016 eine Nichtigkeitsklage gegen den Angemessenheitsbeschluss der europäischen Kommission zum „Privacy Shield“ eingereicht. Aus diesen Gründen kann es möglich sein, dass die Kommission eine Ungültigkeit des „Privacy Shield“ feststellen könnte.

Weiterhin stellt sich die Frage, ob ein US-Unternehmen, welches mit einem europäischen Unternehmen eine EU-Standardvertragsklausel abgeschlossen hat, bei der Anfrage von US-Geheimdiensten auf Herausgabe der ausländischen Daten, diese verweigern kann. Eine solche Klausel hat zumeist den Vorteil, dass diese eine innenverhältnismäßige Verpflichtung darstellt und das US-Unternehmen dazu verpflichtet, einen solchen Zugriff dem europäischen Unternehmen mitzuteilen. Auf diese Weise kann das europäische Unternehmen die Geschäftsbeziehung möglicherweise rechtzeitig vor dem Eingriff kündigen (Klausel 5 der EU-Standardklausel).

Auswirkung auf europäische Unternehmen

Derzeit besteht für Unternehmen, die Dienstleistungen von US-Unternehmen nutzen, zunächst kein Handlungsbedarf, da weder der „Privacy Shield“ noch die EU-Standardklauseln außer Kraft gesetzt wurden. Noch vor kurzem hatte die europäische Kommission eine Aktualisierung der Standardklauseln angekündigt, folglich wird eine Absetzung dieser nicht in Aussicht stehen.

Kurzum kann es sich bei der Anordnung der US-Regierung nur um ein Signal handeln, um der Aussage: „America First!“ gerecht zu werden, welches sich zu diesem Zeitpunkt theoretisch auf die Datenübermittlung zwischen Europa und USA auswirkt und mittelfristig auch tatsächlich auswirken kann.

Weitere Entwicklungen in Sachen Datentransfer in die USA — „Abwarten und Tee trinken“

Aufgrund der zurzeit weiterhin bestehenden EU-Standardklausel und des Privacy Shields sollte eine sichere Nutzung von US-Dienstleistern gewährleistet sein. Dabei sollte aufgrund der Anordnung keine sofortige Beendigung der Zusammenarbeit mit US-Unternehmen erfolgen, sondern vorläufig die weitere Entwicklung zu diesem Thema beobachtet werden. Wer allerdings nicht zwingend wesentliche Geschäftsprozesse auf US-Unternehmen stützen muss, wäre ggf. gut beraten hier z. B. einen geeigneten heimischen Dienstleister zu suchen.

Es ist abzuwarten wie die europäische Kommission bzw. die deutschen Datenschutzbehörden auf die Anordnung der US-Regierung reagieren werden und wann tatsächlich ein Datentransfer in die USA theoretisch nicht mehr bedenkenlos stattfinden kann.

Vorkehrungsmaßnahmen für Europäische Unternehmen

Europäische Unternehmen, welche US-Dienste nutzen, können unter anderem folgende Maßnahmen treffen: Es besteht die Möglichkeit, technische Vorkehrungen bei der Datenübermittlung zu treffen, wie beispielsweise die Verschlüsselung der Daten bei der Datenübermittlung, wobei jedoch nicht die bestehende Rechtsunsicherheit beseitigt werden kann.

Die sicherste Variante wäre jedoch wie bereits erwähnt, wenn europäische Unternehmen bereits jetzt statt der US-Dienste, Dienste von Europäischen Unternehmen nutzen, um möglichen Unannehmlichkeiten in der Zukunft entgegenzuwirken. Dies ist insbesondere bei wesentlichen Geschäftsprozessen anzuraten.

Sollten Sie weitere Fragen zum Datentransfer in die USA oder andere Drittländer haben, steht Ihnen Brands Consulting gerne zur Seite.  Wir bieten Ihnen umfangreiche Unterstützung im Bereich Datenschutz und überzeugen mit Kompetenz und Fachwissen. Nehmen Sie gerne Kontakt zu uns auf oder holen Sie sich ein unverbindliches Datenschutz-Angebot ein.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

Mittel zur Stärkung der Datensicherheit – Warum ein Penetrationstest Datenschutz-Risiken minimieren kann

Penetrationstest DatenschutzFür Unternehmensvorstände und Geschäftsleitungen besteht – neben der Erfüllung des Geschäftszwecks – ebenso die gesetzliche Pflicht der Risikominimierung innerhalb der betrieblichen Tätigkeit, wozu auch die Beachtung datenschutzrechtlicher Belange gehört. Dies gilt sowohl für Unternehmen und Konzerne, aber auch für Behörden, Vereine und allen sonstigen verantwortlichen Stellen im Sinne des Datenschutzes. Hilfe zur Erfüllung dieser Aufgabe bieten unter anderem Penetrationstest (kurz Pentest), welche durch entsprechende Dienstleister angeboten werden.

Ihr externer Datenschutzbeauftragter erklärt Ihnen, was unter einem Pentest zu verstehen ist und wieso ein Penetrationstest Datenschutz-Risiken minimieren kann. Unterstellt wird selbstverständlich eine ordnungsgemäße Durchführung.

Was ist ein Penetrationstest?

Penetrationstest ist der Fachbegriff für einen umfassenden Sicherheitstest eines Computers oder Netzwerkes unabhängig von dessen Größe. Dabei werden unterschiedlichste Methoden, beispielsweise simulierte Hackerangriffe, angewandt, um die Sicherheit bestimmter Systemteile zu testen. Mithilfe dieses Tests kann eine Schwachstellenanalyse im System erfolgen. Im Ergebnis können mit der Hilfe des IT-Sicherheitsbeauftragten und des Datenschutzbeauftragten vorbeugende Maßnahmen implementiert werden.

Vorbearbeitung des Penetrationstests

Nach dem deutschen Gesetz stellt der Datenschutz neben dem Post- und Fernmeldegeheimnis ein Gebiet dar, das ein besonders schützenswertes Gut (personenbezogene Daten) vor dem Zugriff durch Dritte, z. B. durch die Verwertung fremder Geheimnisse, Computerbetrug, Datensabotage oder -veränderung bewahren soll. Dabei ist der § 202c StGB (auch Hackerparagraph genannt) — insbesondere für Pentest-Dienstleiser – relevant. Nach diesem werden Personen, die Verfahren anwenden, die zum Beispiel zur Umgehung von Passwörtern oder für den Zugang zu fremden Computerprogrammen genutzt werden (z. B. sogenannte Hackertools), mit einer Geldstrafe oder auch einer Freiheitstrafe von bis zu 2 Jahren bestraft. Dies betrifft auch Dienstleister, die unautorisiert zum Zweck der Erhöhung der IT-Sicherheit — wie es beim Pentesting üblich ist — in Unternehmensnetzwerke eindringen. Die Ergebnisse, die dabei erzielt werden, unterliegen ebenso dem Straftatbestand, sofern keine Einwilligung durch das betroffene Unternehmen vorliegt. Folglich ist keine Strafhandlung gegeben, wenn der Auftragsgeber (betroffenes Unternehmen) die Zustimmung zur Durchführung einer Sicherheitsanalyse oder Pentesting gibt. Wichtig ist die Ermittlung der Zuständigkeit des Auftragsgebers, da dieser einem Pentest nur rechtskonform anordnen kann, wenn er für den betreffenden Bereich zuständig ist.

Vor der Durchführung eines solchen Tests stellt sich häufig die Frage nach dem Besitzstand und Eigentumsverhältnissen von Software, Computersystemen und Daten. Relevant sind besonders die korrekte Zuweisung der Besitz- und Eigentumsrechte, wenn der Test Dienstleistungen und Produkte betrifft, die durch externe Dritte betrieben werden, z.B. Server, Rechenzentrum oder Teile von IT-Systemen.

Ablauf und Dauer eines Penetrationstests

Der Ablauf und die Dauer eines Pentests ist abhängig von der Größe sowie Komplexität einer Anwendung oder der IT-Infrastruktur. Eine pauschale Festsetzung ist daher nicht möglich und immer einzelfallabhängig.

Trotz der Individualität eines Pentests ist es dennoch möglich das Verfahren grob in vier Phasen zu untergliedern. Diese sind:

  • Reconnaissance (deutsch „Aufklärung“)

Reconnaissance bezeichnet die Informationsbeschaffung vor einem (Hacker-)Angriff. Dabei sammelt der Pentester (hier legitimierter Hacker) eine Vielzahl von Informationen über das Unternehmen, um sich einen Überblick über dieses zu verschaffen.

  • Enumeration

In dieser Phase werden die gesammelten Informationen, welche innerhalb der Reconnaissance zusammengetragen wurden, ausgewertet. Der Pentester geht dabei aktiv vor, steuert gezielt Systeme an und sucht nach und nach das zu testende System nach Schwachstellen ab.

  • Exploitation

Hier nutzt der Penstester gefundene Schwachstellen des Systems aus. Dafür werden Exploits entwickelt, mit deren Hilfe sensible Informationen ausgelesen werden. Diese werden dann vom Penstester genutzt, um noch tiefer in das System zu gelangen.

  • Documentation

Die einzelnen Schritte, die zu einem erfolgreichen (Hacker-)Angriffes führen, werden durch den Pentester dokumentiert, was ein essentieller Bestandteil jedes Penetrationstests ist. Am Ende des Tests wird ein individueller Abschlussbericht aus den vorhandenen Dokumentationen erstellt, welcher die Ergebnisse aus dem Pentest nachvollziehbar machen soll.

Beachtung der Sorgfaltspflicht gegenüber Arbeitnehmern und sonstigen Betroffenen (Menschen)

Sind Mitarbeiterdaten (bzw. auch sonstige Betroffenendaten) zumindest potenziell von einem Pentest betroffen, so hat der Arbeitgeber als verantwortliche Stelle dafür zu sorgen, dass die Arbeitnehmerrechte (bzw. Betroffenenrechte) in Bezug auf den Datenschutz und die Datensicherheit beachtet werden. Derzeitige Grundlagen dafür sind in Deutschland das Bundesdatenschutzgesetz (ab Mai 2018 die Europäische Datenschutz-Grundverordnung, sog. DS-GVO und das Bundesdatenschutzgesetz neu, kurz BDSGneu) sowie das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme, das umgangssprachlich auch als IT-Grundrecht, Computergrundrecht oder auch Grundrecht auf digitale Intimsphäre bezeichnet wird und sich aus dem Urteil des Bundesverfassungsgerichts (1 BvR 370/07) vom 27. Februar 2008 aus Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 GG (Grundgesetz) ergibt.

Sind personenbezogene Daten von den Penetrationstests betroffen, so sollten Mitarbeiter direkt und ggf. der Betriebsrat / Personalrat bzw. die Mitarbeitervertretung über die geplanten Tests informiert werden, wobei konkrete Maßnahmen im Einzelfall entschieden werden sollten. Sofern Sie derartige Tests planen, sollten Sie Ihren Datenschutzbeauftragten frühzeitig einbinden. In Ihrem Hause ist noch kein Datenschutzbeauftragter bestellt? Dann nehmen Sie gerne Kontakt zu uns auf oder holen Sie sich ein unverbindliches Datenschutz-Angebot ein.

Bei Verletzung der Mitarbeiterrechte können hohe Sanktionen (Bußgelder von bis zu 300.000 € bis hin zu einer Freiheitsstrafe von bis zu drei Jahren) die Folge sein. Ab Mai 2018, mit Geltung der Datenschutz-Grundverordnung, sind Sanktionen im Datenschutz von 20 Millionen Euro und mehr denkbar.

Kosten des Penetrationstests

Ebenso wie der Ablauf kann auch der Preis eines Pentest nicht genau ermittelt werden, da dieser auch von bestimmten Faktoren, wie beispielsweise von der Unternehmensgröße, Unternehmensstandort, Erfahrung und Qualifikation des Pentesters etc. abhängt.

Primär wird der Preis durch den Aufwand und Tagessatz ermittelt.

Nachbearbeitung des Pentests

Der Pentest an sich ist nichts wert, sofern keine geeigneten Maßnahmen unternommen werden, um die – durch den Test – ermittelten Sicherheitslücken zu beheben. Es ist daher sinnvoll, eine Nachbesprechung – beispielsweise in Form eines Workshops – durchzuführen. Diese könnten für Fragen bezüglich der Schwachstellen und der Bewertung der identifizierten Abweichungen genutzt werden. Mithilfe des beauftragen Dienstleisters und anderer dafür beauftragter und zuständiger Stellen (z.B. Datenschutzbeauftragter, IT-Sicherheitsbeauftragter oder durch einen Datenschutzberater) können dann geeignete Gegenmaßnahmen getroffen werden, welche nicht nur die Schwachstellen beheben, sondern auch datenschutzrechtlich vertretbar sind.

Fazit

Die Durchführung eines Pentests ist eine sinnvolle, aber kostenintensive Kontrollmaßnahme für Unternehmen. Die Pentests bieten zwar keine vollumfängliche, jedoch eine qualifizierte Sicherheit gegen das Eindringen Dritter (ungewollter Hacker) in das Unternehmenssystem. Es sollte allerdings beachtet werden, dass der Pentest nur eine Risikoanalyse bzw. ein Check ist, die einer Auswertung und Umsetzung bedürfen. Für die Integration der Maßnahmen zur Behebung der Sicherheitslücken ist es daher erforderlich den IT-Sicherheitsbeauftragten, Datenschutzbeauftragen oder Datenschutzberater einzubinden, damit eine datenschutzrechtliche und technisch adäquate Lösung gefunden werden kann.

Haben Sie weitere Fragen zu Pentests oder wie Sie mithilfe von Penetrationstests Datenschutz – Risiken minimieren können, dann nehmen Sie gerne Kontakt zu uns auf. Sollten Sie über die Vornahme eines Pentests nachdenken, ist es nicht verkehrt, einen kompetenten Partner zu haben, der sich mit den zu beachtenden Punkten im Datenschutz und damit verbundener Technik auskennt. Brands Consulting steht Ihnen als Ansprechpartner gerne zur Seite. Nehmen Sie gerne Kontakt zu uns auf oder holen Sie sich ein unverbindliches Datenschutz-Angebot ein

Brands Consulting – steht für kompetente Dienstleistungen rund um Datenschutz & Beratung

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen

Datenschutz bei Arbeitnehmerüberlassung – Auf was Sie datenschutzrechtlich bei Leiharbeiterverhältnissen achten sollten

Datenschutz bei ArbeitnehmerüberlassungUm den Marktanforderungen gerecht zu werden und fehlende Kapazitäten zu decken, greifen Unternehmen häufig auf Arbeitnehmerüberlassung, auch Leiharbeit genannt, zurück. Arbeitnehmer, die in einem solchen Verhältnis mit einem Unternehmen stehen, arbeiten meist nur für einen begrenzten Zeitraum, in dem ein höherer Arbeitsbedarf besteht. Dabei fließen zum einen zahlreiche personenbezogene Daten zwischen dem Entleiher und dem Verleiher, zum anderen ist es keine Seltenheit, dass der Leiharbeiter mit zahlreichen personenbezogenen Daten, die in der Verantwortung des Entleihers liegen, in Berührung kommt. Es stellt sich hier deshalb häufig die Frage, wie mit dieser Thematik datenschutzrechtlich umzugehen ist.

Ihr externer Datenschutzbeauftragter unterstützt Sie in datenschutzrechtlichen Belangen und erklärt wieso der Datenschutz bei der Arbeitnehmerüberlassung nicht ignoriert werden sollte.

Datenschutz bei Arbeitnehmerüberlassung

Bei einer Arbeitnehmerüberlassung wird ein bereits von einem Zeitunternehmen (Verleiher) angestellter Arbeitnehmer einem anderen Unternehmen (Entleiher) zur Verfügung gestellt. Die Überlassung ist bei einer solchen Konstellation vorübergehender Natur. Die Maximaldauer eines solchen Verhältnisses ist weder in der AÜG (Gesetz über die Regelung der gewerbsmäßigen Arbeitnehmerüberlassung) noch in der europäischen Leiharbeiterrichtlinie festgesetzt und daher individuell vereinbar.

Wie oben bereits erwähnt, besteht das Arbeitsverhältnis nur zwischen dem Verleiher und dem Leiharbeiter. Der Leiharbeiter unterliegt jedoch der Weisung des Entleihers. Es stellt sich dabei die Frage, inwieweit das Recht eines Arbeitnehmers auch für den Leiharbeiter gilt und ob die daraus resultierenden Pflichten (z.B. Auskunftsrecht des Arbeitnehmers) auch den Entleiher treffen.

Recht auf informelle Selbstbestimmung

Aufgrund der besonderen Konstellation bei einem Leiharbeiterverhältnis ist die rechtliche Zuweisung kompliziert. Dies liegt daran, dass eine Verknüpfung von Arbeitsrecht und Datenschutzrecht notwendig ist, was wiederum durch das Nichtvorhandensein eines einheitlichen Regelwerkes das Hinzuziehen einer Vielzahl von Gesetzen und der Hilfe des Richterrechts, das durch die Rechtsprechung der Gerichte geschaffen wird, bedarf. Vom Richterrecht ist, wie sich unschwer vermuten lässt, die Rede, wenn durch die Rechtsprechung Rechtssätze entwickelt werden, um Gesetzeslücken zu schließen. Gängige Praxis ist es dann, dass diese Entscheidungen nicht selten bei ähnlichen oder vergleichenbaren Fragestellungen berücksichtigt werden.

Trotz des Fehlens einer speziellen Regelung für Leiharbeiter im nichtöffentlichen Bereich ist der Grundsatz der informellen Selbstbestimmung einzuhalten. Aus diesem Grund finden die Vorschriften des Bundesdatenschutzgesetzes (BDSG) für Arbeitnehmerüberlassungen bzw. Leiharbeiter Anwendung, so fallen unter den Begriff der Beschäftigten gemäß § 3 Abs. 11 Bundesdatenschutzgesetz (BDSG) auch Leiharbeitnehmer.

Datenschutzrechtliche Kriterien für Leiharbeiter – Auf was der Entleiher achten muss

Grundsätzlich gilt das Bundesdatenschutzgesetz (BDSG) bei datenschutzrechtlichen Belangen bezüglich der Mitarbeiter als Auffangnorm und wird auch für Arbeitnehmerüberlassungen als solches genutzt.

Im Gegensatz zu einem normalen Arbeitsverhältnis gelten die datenschutzrechtlichen Pflichten innerhalb eines Leiharbeiterverhältnisses nicht nur für den Arbeitgeber (Verleiher), sondern erstrecken sich ebenso auf den Entleiher.

Fürsorgepflicht des Entleihers und daraus resultierende Offenbarungspflicht

Datenschutzrechtlich relevant bei einem Leiharbeiterverhältnis ist unter anderem das Fragerecht (Auskunftsrecht) des Leiharbeiters. Nach dem Bundesdatenschutzgesetz hat der Leiharbeiter ein Auskunftsrecht über die Daten, welche zu seiner Person gesammelt wurden. Dieses Recht richtet sich originär jedoch an den Arbeitgeber (Verleiher), der beispielsweise eine Personalakte über diesen anlegt und diese Daten unter anderem für die Lohnabrechnung nutzt. Das besondere Vertragsverhältnis könnte allerdings auch für den Entleiher eine gewisse Fürsorgepflicht gegenüber dem Leiharbeiter sowie eine Offenbarungspflicht aufgrund der latenten Gefährdung von personenbezogenen Daten begründen.

Daraus lassen sich Auskunftsansprüche des Leiharbeitnehmers nach § 34 BDSG ableiten. Dieser hat wie jeder andere Arbeitnehmer einen Auskunftsanspruch, welcher gegenüber dem Entleiher sowie Verleiher besteht, da beide als verarbeitende Stelle angesehen werden. Ebenso lässt sich diesbezüglich eine Regelung im AÜG finden. Nach § 13 AÜG hat der Leiharbeiter einen speziellen Auskunftsanspruch über die Arbeitsbedingungen im Betrieb des Entleihers, wonach er vom Entleiher Auskunft über dessen Betrieb und die wesentlichen Arbeitsbedingungen verlangen kann. Zum Beispiel kann der Leiharbeiter Auskunft über das Gehalt erlangen, das vergleichbare Angestellte erhalten, die direkt beim Entleiher beschäftigt werden. Der § 12 AÜG verpflichtet den Entleiher des Weiteren dazu, im Vertrag mit dem Verleiher entsprechende Angaben über die Arbeitnehmerüberlassung aufzunehmen.

Zwar besteht zwischen den Leiharbeitern und den Entleihern kein direktes Beschäftigungsverhältnis, allerdings fallen, wie bereits erwähnt, unter den Begriff der Beschäftigten gemäß § 3 Abs. 11 Bundesdatenschutzgesetz auch Leiharbeitnehmer. Aus diesem Grund ist es anzuraten, dass Leiharbeiter – sofern sie personenbezogene Daten erheben, verarbeiten oder nutzen, ebenso wie die Arbeitnehmer des Entleihers auf das Datengeheimnis verpflichtet werden. Es sollte allerdings beachtet werden, dass bereits der potentielle Zugriff durch die Leiharbeiter eine derartige Verpflichtung erforderlich macht.

Notwendigkeit einer Zustimmungseinholung

Die Erhebung und Verarbeitung der Daten des Leiharbeiters hat für den Entleiher den Zweck, Informationen zu sammeln, die für das Arbeitsverhältnis notwendig sind. Zwar besteht häufig Uneinigkeit, ob sich die Zulässigkeit der Datenverarbeitung durch den Entleiher auf § 28 oder § 32 BDSG beruht. Eine Datenweitergabe an den Entleiher sowie die Datenverarbeitung durch den Entleiher dürfte allerdings ohne Zustimmung des Leiharbeiters zulässig sein, wenn diese Daten zur Wahrung der Interessen des Verleihers notwendig sind.

Deshalb dürfte regelmäßig keine Pflicht für den Entleiher bestehen eine Einwilligung des Leiharbeiters einzuholen. Eine vorherige Einholung der Zustimmung des Leiharbeiters schadet jedoch nicht, da der Verleiher nach § 33 BDSG verpflichtet ist, den Leiharbeiter über die Übermittlung seiner Daten an den Entleiher zu informieren und somit parallel zur Information die Einwilligung einholen könnte.

Recht auf Berichtigung, Sperrung und Löschung

Neben der Auskunftspflicht hat der Leiharbeiter auch alle anderen Rechte, die Betroffenen, deren personenbezogene Daten verarbeitet werden, zustehen. Zu diesen Rechten gehören:

  • die Berichtigung fehlerhaft gespeicherter oder übermittelter Daten (§ 35 Abs. 1 BDSG),
  • die Löschung bei unzulässiger Speicherung (§ 35 Abs. 2 BDSG) sowie
  • die Sperrung von Daten, wenn eine Löschung nicht möglich ist (§ 35 Abs. 3 BDSG).

Beurteilung der Arbeitsleistung – Was tun, wenn der Leiharbeiter mit der Bewertung nicht einverstanden ist?

Problematisch wird es vor allem dann, wenn der Leiharbeiter nicht mit der Beurteilung des Entleihers über seine Arbeitsleistung einverstanden ist. Eine Löschung der Bewertung durch den Entleiher könnte allerdings durch ein unbegründetes Veto durch den Leiharbeiter zu einer Verfälschung der Situation führen. Um beiden Interessen zu genügen, ist es ratsam, dem Leiharbeiter eine Gegendarstellung zu erlauben, die in die Personalakte aufgenommen würde. Im konkreten Fall sollte Rücksprache mit dem DSB gehalten werden.

Der Entleiher muss jedoch keine Bewertung über die Arbeitsleistung des Leiharbeiters abgeben sowie steht dem Leiharbeiter kein Recht zu von diesem die Ausstellung eines Arbeitszeugnisses zu verlangen, da zwischen Ihnen kein Arbeitsvertrag geschlossen wurde.

Fazit

Aufgrund des komplexen Konstrukts bei einem Leiharbeiterverhältnis, basierend aus der Beteiligung mehrerer Akteure, kann die Zuweisung der bestehenden Rechtverhältnisse äußerst schwierig sein. Besonders im Datenschutz ist darauf zu achten, dass für den Entleiher ebenso datenschutzrechtliche Pflichten gelten, auch wenn zwischen ihm und dem betreffenden Leiharbeiter kein Arbeitsvertrag besteht. Missachtungen können zu Bußgeldern oder auch Imageverlusten für das Unternehmen führen. Daher sollte bei einer solchen Thematik immer der Rat einer datenschutzrechtlich versierten Person (z.B. Datenschutzbeauftragter oder auch Datenschutzberater) eingeholt werden, um mögliche Probleme zu vermeiden.

Sofern Sie weitere Fragen zu dieser Thematik oder anderen Datenschutz-Themen haben, helfen wir Ihnen gerne weiter.

Wir bieten Ihnen optimale Unterstützung im Bereich Datenschutz und beantworten gerne weitere Fragen zum Datenschutz bei Arbeitnehmerüberlassungen. Kontaktieren Sie uns und holen Sie sich ein unverbindliches und kostenloses Datenschutz-Angebot bei uns ein. Wir rufen auch gerne zurück.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

„Frohe Ostern, Datenschutz!“ – Wieso Rundmails Datenschutz-Risiken bergen

Rundmails DatenschutzAlle Jahre wieder stehen insbesondere vor Feiertagen, wie Ostern oder Weihnachten, Datenschutzbeauftragten und Datenschützern die Haare zu Berge. Die Gründe sind allerdings nicht die überfüllten Supermärkte oder die Geschenkbesorgungen in aller letzter Sekunde, sondern die bei vielen Mitarbeitern überaus beliebten Rundmails.

Wer kennt es nicht? Man möchte noch schnell den Kollegen, Kunden oder anderen Ansprechpartnern angenehme Festtage wünschen, allerdings wird in der Regel eine nette E-Mail formuliert und diese an alle übersendet. Worauf die wenigsten Mitarbeiter achten, ist das Adressfeld, in das die E-Mail-Adressen eingegeben werden und genau diese Unachtsamkeit bzw. Unwissenheit kann schnell zu Sanktionen führen und daher teuer werden.

Ihr externer Datenschutzbeauftragter informiert, wieso Rundmails Datenschutz-Risiken hervorrufen können und erklärt, worauf Sie beim Versand von Rundmails achten sollten.

Wieso Rundmails Datenschutz-Risiken verursachen können

Bei Rundmails wird zunächst eine E-Mail formuliert, die an mehrere Empfänger übersendet werden kann, dabei kann der Versender bei der Eingabe der Empfänger-E-Mail-Adressen zwischen drei Adressfeldern wählen. Diese sind:

  • „An:“
  • „CC:“ (Carbon Copy = Kopie)
  • „BCC:“ (Blind Copy = nicht sichtbare Kopie)

Je nach ausgewähltem Adressfeld können die Empfänger sehen, wem die E-Mail ebenfalls übersendet worden ist und genau dies könnte für verantwortliche Stellen, wie Unternehmen, Behörden oder Vereine, sowie für den Mitarbeiter, der die Rundmail versendet hat, zu Sanktionen im Datenschutz führen.

Der Hintergrund ist, dass es sich bei einer E-Mail-Adresse um ein personenbezogenes Datum handelt. In § 4 Abs. 1 Bundesdatenschutzgesetz (BDSG) heißt es allerdings, dass personenbezogene Daten nur erhoben, verarbeitet und genutzt werden dürfen, wenn eine Rechtsgrundlage dies erlaubt oder informierte und freiwillige Einwilligungen der Betroffenen eingeholt worden sind.

Versendet ein Mitarbeiter eine Rundmail, sodass die Empfänger die E-Mail-Adressen der anderen Empfänger sehen können, so spricht man von einer Übermittlung personenbezogener Daten, die ebenfalls einer Rechtsgrundlage oder der informierten Einwilligung bedarf. Die wenigsten Mitarbeiter wären allerdings bereit vor dem Versand einer Rundmail informierte Einwilligungen von jedem Betroffenen einzuholen. Aus diesem Grund sollten sie die einzelnen Adressfelder näher betrachten.

„Rundmail Datenschutz“ – Die Versendungsmöglichkeiten von Rundmails

Bei dem Versand einer E-Mail an mehrere Empfänger sollten, insbesondere wenn es sich um Empfänger außerhalb der verantwortlichen Stelle handelt, wie zum Beispiel verschiedene Kunden, die E-Mail-Adressen in das Adressfeld „BCC:“ eingetragen werden. Werden die E-Mail-Adressen in den Adressfeldern „An:“ oder „CC:“ eingegeben, so sind diese für alle Empfänger sichtbar. Bei der Verwendung von „BCC:“ können die Empfänger allerdings nicht sehen, ob die E-Mail an weitere Personen übersendet worden ist.

Wenn Sie mehr zu der internen und externen Versendung von Rundmails erfahren möchten, dann lesen Sie gerne unseren Beitrag „Versendung von E-Mails mit „An“ und „CC“ – Wieso offene E-Mail-Verteiler Datenschutz-Risiken verursachen können“.

Bußgeld für offenen E-Mail-Verteiler

Bei Verletzung des Datenschutzrechts drohen Bußgelder, Geldstrafen und sogar Freiheitstrafen.

Wie schnell in einem solchen Fall Bußgelder verhängt werden können, zeigt der Fall einer Mitarbeiterin, die eine Rundmail an einen großen Kreis von Empfängern versendet hat. Die Empfängerliste war für alle Empfänger sichtbar, weswegen das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) einen Bußgeldbescheid gegen die Mitarbeiterin erlassen hat. In einem ähnlichen Fall verhängte die Aufsichtsbehörde ein Bußgeld gegen die Unternehmensleitung.

Um derartige Sanktionen zu vermeiden, sollten Unternehmen, Vereine oder andere Organisationen ihre Mitarbeiter ausreichend schulen und sensibilisieren. Gerne unterstützen wir Sie mit Datenschutz-Schulungen dabei.

Alle Kunden und Geschäftspartnern sowie sonstigen Interessententen, denen wir nicht persönlich gratulieren konnten, wünschen wir natürlich auf diesem Wege „FROHE OSTERN“!

Haben Sie noch Fragen zum Thema „ Rundmails Datenschutz “ oder möchten Sie sich im Datenschutz dauerhaft besser positionieren?  Brands-Consulting steht Ihnen als Ansprechperson gerne zur Seite. Nehmen Sie gerne Kontakt zu uns auf oder holen Sie sich ein unverbindliches Datenschutz-Angebot ein.

Brands Consulting – steht für kompetente Dienstleistungen rund um Datenschutz & Beratung

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen

Whistleblowing und Datenschutz – Datenschutzrechtliches Leck im Arbeitsverbund, Unternehmensverbund und Konzern

Whistleblowing und DatenschutzDie Begnadigung der Whistleblowerin Chelsea Manning, die sensible Daten der US-Regierung an die Plattform Wikileaks weitergab, lässt die Thematik Whistleblower wieder im Gedächtnis der Leute aufleben. Nicht nur durch das Handeln von Chelsea Manning wurde in den Medien das Thema Whistleblowing heiß diskutiert, sondern ebenso durch den Fall Snowden. Die Problematik des Whistleblowing ist indes in der Wirtschaft nicht ganz unbekannt und vor allem in Verbindung mit der Korruptionsbekämpfung in aller Munde.

Besonders im Bereich Datenschutz besteht ein gewisses Interesse für öffentliche wie auch nicht-öffentliche Stellen an der Frage, wie mit dieser Thematik umgegangen werden sollte.

Ihr externer Datenschutzbeauftragter möchte Sie daher im Folgenden über Whistleblowing und Datenschutz informieren.

Definition: Whistleblower

Der Begriff Whistleblower kommt aus dem Englischen und beschreibt eine Person, die für die Allgemeinheit Informationen an die Öffentlichkeit bringt, welche aus einem geschützten oder auch geheimen Zusammenhang stammen. Diese aufgedeckten Informationen klären im Allgemeinen über Missstände oder Verbrechen, wie beispielsweise Korruption, Menschenrechtsverletzung, Insidergeschäfte, Datenmissbrauch oder Ähnliches, auf. Über diese Missstände kann der Whistleblower innerhalb seines Arbeitsplatzes oder anderweitig Kenntnis erlangt haben. International wurde der Begriff mit dem Aufkommen der Plattform Wikileaks bekannt, die allen Menschen gestattet, anonym größere Verstöße der Politik oder Wirtschaft anzuprangern und Beweise für diese Taten einzureichen.

Dasselbe Prinzip wird auch von Unternehmen verwendet mit dem sogenannten Whistleblowing-System. Dieses erlaubt Mitarbeitern und Außenstehenden, Verstöße zu melden, die beispielweise von leitenden Positionen, Mitarbeitern oder auch Lieferanten ausgehen. Dabei sind konkret solche Tatbestände zu melden, die Straftatbestände, wie Verstöße gegen die Menschenrechte, Kultur oder Philosophie sowie Zuwiderhandlungen gegen die von der Organisation zugeteilten Aufgaben darstellen. Die deutsche Gesetzgebung fordert, dass öffentliche (z.B. Stiftungen, Anstalten, Behörden) und auch nicht-öffentliche Stellen (z.B. AG, OHG, GmbH) Maßnahmen ergreifen, um sicherzustellen, dass Gesetze eingehalten werden. Aus diesem Grund könnte die Einrichtung eines Whistleblowing-Systems für verantwortliche Stellen, wie Unternehmen oder Behörden, mit Sitz in Deutschland interessant sein. Besonders relevant ist die Einrichtung einer solchen Plattform allerdings für deutsche Unternehmen, die an der US-Börse gelistet sind, dies anstreben oder Tochtergesellschaft eines US-Konzerns sind, da diese nach dem Sarbanes-Oxley-Act, der für börsennotierte Unternehmen an der US-Börse gilt, eine Vorkehrung für Whistleblowing voraussetzt.

Whistleblowing und Datenschutz

Es ist sinnvoll für Unternehmen, Whistleblowing-Maßnahmen zu integrieren, schaffen diese doch unter anderem eine Verbesserung des Unternehmensimages nach außen sowie eine Vorkehrung gegen interne Verstöße. Bei der Integration solcher Maßnahmen sollte aber der Datenschutz nicht außer Acht gelassen werden, da die Einführung einer Whistleblowing-Plattform schnell mit der Übertragung von personenbezogenen Daten Hand in Hand gehen kann.

Die vom Whistleblower preisgegebenen Daten können insbesondere beim Beschuldigten einen Schaden hervorrufen. Vor allem aus datenschutzrechtlicher Sicht ist die Übermittlung personenbezogener Daten durch den Whistleblower kritisch zu bewerten, da sensible Daten, wozu personenbezogene Daten zählen, einer expliziten Prüfung der Rechtgrundlage bedürfen. Dies sollte bei der Einführung einer Whistleblowing-Plattform nicht unterschätzt werden, da  durch gewisse Konstellationen die Einhaltung der Datenschutzvorschriften erschwert wird.

Diese sind zum einen anzutreffen, wenn eine Whistleblowing-Plattform innerhalb eines Unternehmensverbunds (Konzern) eingeführt werden soll, welcher auch in Drittländern (z.B. USA, Japan, China, Indien) agiert.  Ein Datentransfer in Drittländer ist nämlich mit zusätzlichen Prüfungen verbunden. Danach ist zu prüfen,

  • ob die Datenverarbeitung im Ausgangsland (Versender) zulässig ist und
  • ob die Übermittlung in das Drittland (Empfänger) zulässig ist.

Notwendig ist die Überprüfung aufgrund des zumeist unterschiedlichen Datenschutzniveaus zwischen Versenderland und Empfängerland. Während beispielsweise in den Ländern des EWR (Europäischen Wirtschaftsraumes) ein angemessenes Datenniveau herrscht, ist dieses in Drittländern, wie den USA und Japan, nicht zwangsläufig gegeben. Geeignete Maßnahmen sind mit Unterstützung des Datenschutzbeauftragten sowie mittels vertraglicher Grundlagen, wie zum Beispiel den EU-Standardvertragsklauseln, hergestellt werden.

Zum anderen erfolgt die Mitteilung der Verstöße zum Schutz des Whistleblowers anonym, was nicht mit dem Grundsatz der Transparenz vereinbar sein kann (Transparenzgebot). Der Grund ist, dass Betroffene unter anderem das Recht auf Auskunft haben, dabei sollen Sie erfahren, welche Daten die verantwortliche Stelle erhebt, verarbeitet und nutzt. Auch hat der Betroffene das Recht zu erfahren, für welchen Zweck und wie lange die Daten verarbeitet werden sowie ob eine Weitergabe an Dritte erfolgt. Bei der anonymen Meldung eines Verstoßes kann das Transparenzgebot allerdings nicht gewahrt werden, da die Daten heimlich erhoben werden und die Auskunft über den gemeldeten Verstoß somit nicht möglich ist.

Des Weiteren besteht die Möglichkeit, dass die Aufklärung der Umstände, in denen die Verstöße erfolgt sind, ebenso durch die Anonymität des Whistleblowers erschwert wird. Aufgrund der Anonymität des Whistleblowers können diesem keine Rückfragen zum Tathergang gestellt werden, dabei kann die Whistleblowerposition für niedere Zwecke missbraucht werden, um den Betroffenen anzuschwärzen oder indem eine Aussage getätigt wird, welche nur auf Vermutungen basiert.

Geringer Spielraum für die Umsetzung eines Whistleblowing-Systems

Bevor ein Whistleblowing-System integriert werden darf, ist eine Vorabkontrolle notwendig, die vom Datenschutzbeauftragten durchzuführen ist (§ 4d Abs. 5 BDSG). Schnell wird dabei klar, dass der Datenschutz bei der Integration eines solchen Systems einen begrenzten Spielraum bereit hält und daher eine datenschutzkonforme Umsetzung des angestrebten Systems engen Reglementarien unterliegt, wie beispielswiese dem § 28 BDSG, welcher Maßnahmen zulässt, die spezifische Verhaltensverstöße verhindern.

Vorabkontrolle des Datenschutzbeauftragten bei der Integration einer Wistleblowing-Plattform

Gemäß des § 4d Abs. 5 BDSG ist eine Vorabkontrolle durch den Datenschutzbeauftragten (§ 4d Abs. 6 Satz 1 BDSG) durchzuführen, wenn es sich unter anderem um die Einführung automatisierter Verfahren, die besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweisen, handelt. Die Integration einer Whistleblower-Plattform stellt ein derartiges Verfahren dar und bedarf einer Vorabkontrolle. Leider wird dies in der Praxis meist übersehen, obwohl die Einbindung des Datenschutzbeauftragten in den Prozess der Gefahr entgegenwirkt, gegen datenschutzrechtliche Vorschriften zu verstoßen und ein damit einhergehendes Bußgeld sowie einen Imageverlust zu erleiden.

Der Datenschutzbeauftragte kann dabei schon bei der Entwicklung des Verfahrens eingebunden werden, womit ein System entstehen kann, welches eine ausreichende Rechtsicherheit besitzt. Die spätere Einbindung des Datenschutzbeauftragten ist möglich, jedoch nicht ratsam, da die Möglichkeit besteht, dass erhebliche Anpassungen am System vorgenommen werden müssen und somit ein möglicher Zeit- und Geldaufwand entstehen kann. Weiterhin kann es nützlich sein, zusätzliche Sachverständige bei der Integration eines solchen Verfahrens einzubinden, z.B. einen Datenschutzberater, um den internen Datenschutzbeauftragten zu unterstützen.

Wann wäre eine Vorabkontrolle unter anderem notwendig:

  • Vor Inbetriebnahme von Videoüberwachungsanlagen
  • Einsatz eines Zeiterfassungssystems
  • Einführung eines GPS-Systems
  • Verwendung von Beförderungsranglisten
  • Erstellung von Kundenprofilen/Verbraucherprofilen
  • Einsatz von Chipkarten/Transpondern
  • Assessmentverfahren zur Personalauswahl

Mehr Informationen über die Vorabkontrolle können Sie in unseren Beiträgen über die „Vorabkontrolle – Wann und Wie diese zu erfolgen hat“  sowie „Prüfung der Zweckbindung einer Vorabkontrolle“ erhalten.

Fazit

Die Einführung eines Whistleblowing- Systems bietet einen gewissen Schutz und könnte ein geeignetes Mittel für Unternehmen sein, um gegen Korruption, Datenmissbrauch oder Insidergeschäfte vorzugehen. Dies bietet nicht nur eine gewisse Handhabe gegen rechtswidrige Handlungen, sondern kann sich ebenso positiv auf das Image des Unternehmens auswirken. Bei der Integration eines Whistleblowing-Systems sollte jedoch besonders auf den Datenschutz geachtet werden. Aufgrund der komplexen und eng auszulegenden Datenschutzrechtslage sollte, um möglichen datenschutzrechtlichen Verstößen entgegenzuwirken, auf Datenschutzsachverständige zurückgegriffen werden.

Haben Sie weitere Fragen zu  Whistleblowing und Datenschutz oder benötigen Sie kompetente datenschutzrechtliche Unterstützung?

Brand Consulting steht Ihnen in datenschutzrechtlichen Belangen gerne zur Seite und bietet Ihnen eine vollumfängliche Unterstützung in Sachen Datenschutz. Nehmen Sie gerne Kontakt zu uns auf oder holen Sie sich ein unverbindliches Datenschutz-Angebot ein

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

Sprachassistenten und Datenschutz – Helfer für den Büro-Alltag oder doch nur eine Gefahr für den Nutzer

Sprachassistenten und DatenschutzBevor wir auf das Thema „Sprachassistenten und Datenschutz“ eingehen, möchten wir zunächst die Vorteile der Sprachassistenten, wie Googles „Google Home“, Amazons „Alexa“ oder Apples „Siri, eingehen. Die kleinen „Helfer“ können durchaus praktisch sein und uns einige Aufgaben abnehmen, denn auf Fragen oder Aufgaben, wie „Alexa, wann habe ich meinen nächsten Termin?“, „Google, schreib meiner Frau, dass ich etwas später komme!“ oder „Siri, wie ist die aktuelle Verkehrslage?“ sind die Sprachassistenten bestens vorbereitet. Aus diesem Grund wundert es uns nicht, dass zunächst der Datenschutz in den Hintergrund gerät, allerdings handelt es sich dabei durchaus um ein Thema, das keinesfalls ignoriert werden sollte. Zwar gilt dies insbesondere beim Einsatz in Unternehmen, Vereinen, Behörden oder sonstigen verantwortliche Stellen, allerdings sollten auch Privatpersonen einige Risiken berücksichtigen. Wenn Sie mehr über mögliche Gefahren für Privatpersonen erfahren möchten, dann lesen Sie unseren Beitrag „Hörst du mich oder lauscht du schon?“ – Auswirkungen von Alexa, Siri und Google auf den Datenschutz“.

Ihr externer Datenschutzbeauftragter informiert über Sprachassistenten und Datenschutz und erklärt, welche Risiken und Gefahren für den Datenschutz Organisationen beachten sollten.

Sprachassistenten und Datenschutz – Welche Risiken und Gefahren Sie beachten sollten

Erhebt, verarbeitet oder nutzt eine verantwortliche Stelle personenbezogene Daten, so sollte sie sich an das Datenschutzrecht halten. Laut § 4 Abs. 1 Bundesdatenschutzgesetz (BDSG) ist eine Erhebung, Verarbeitung und Nutzung personenbezogener Daten nur dann zulässig, wenn eine Rechtsgrundlage oder eine informierte Einwilligung der Betroffenen dies erlauben („Verbot mit Erlaubnisvorbehalt“).

Sollen die kleinen „Helfer“ für berufliche Zwecke eingesetzt werden und es findet eine Übermittlung personenbezogener Daten statt, so müsste sich das Unternehmen, die Behörde oder eine sonstige Organisation, die die Verantwortung für die Daten trägt, von jedem Betroffenen eine informierte Einwilligung einholen.   Der damit verbundene Aufwand dürfte in den meisten Fällen viel höher sein als der Nutzen durch die intelligenten „Helfer“, wobei die Entscheidung über die Risiken und notwendigen Maßnahmen von Fall zu Fall unterschiedlich ist. Im Folgenden haben wir Ihnen einige Fallbeispiele aufgeführt:

Der Anbieter des Sprachassistenten hat keinen Zugriff auf personenbezogene Daten

Wird ausschließlich die Hardware und ggf. die Software vom Anbieter durch die Organisation bzw. einen Mitarbeiter bezogen, wobei der Anbieter keinen Zugriff auf personenbezogene Daten erhält, dann dürfte die Nutzung in der Regel recht unproblematisch sein. Es sollte allerdings beachtet werden, dass ein potentieller Zugriff auf personenbezogene Daten durch den Hersteller bereits für die Erforderlichkeit weiterer Maßnahmen genügt. Beim Einsatz der Sprachassistenten werden die Daten, vor allem die Spracheingaben, grundsätzlich in eine Cloud ausgelagert. Aus diesem Grund dürfte der Ansatz, dass der Anbieter keine Daten erhält, in der Praxis eher unüblich sein, weswegen die weiteren Unterscheidungen beachtet werden sollten.

Der Anbieter des Sprachassistenten (Sitz innerhalb der EU/des EWR) hat Zugriff auf personenbezogene Daten 

Um einen Sprachassistenten einsetzen zu können, muss dieser zunächst mit dem WLAN verbunden werden. Des Weiteren muss der Sprachassistent mit dem Smartphone gekoppelt werden. Zudem ist für den Einsatz in der Regel eine App, die auf dem Smartphone installiert wird, erforderlich. Es sollte deshalb davon ausgegangen werden, dass der Anbieter des Sprachassistenten neben der IP-Adresse und den Spracheingaben, den Zugriff auf weitere Daten, die sich auf dem Smartphone befinden, wie zum Beispiel den Kontakten, erhält. Eine Telefonnummer ist ein personenbezogenes Datum, weshalb das Datenschutzrecht greift und das Verbot mit Erlaubnisvorbehalt beachtet werden sollte. Eine Übermittlung bedarf, wie bereits erläutert, informierte Einwilligungen der Betroffenen oder einer Rechtsgrundlage.

Hat der Anbieter des Sprachassistenten seinen Sitz innerhalb der EU / des EWR und verarbeitet die personenbezogenen Daten ausschließlich nach Weisung und im Auftrag des Unternehmens, der Behörde oder sonstiger verantwortlicher Stelle, so handelt es sich um eine Auftragsdatenverarbeitung gemäß § 11 Bundesdatenschutzgesetz (BDSG). Bei einer Auftragsdatenverarbeitung greift die Fiktion der „Nicht-Übermittlung“, wodurch keine informierten Einwilligungen der Betroffenen – für die Weitergabe der Daten an den Dienstleister – eingeholt werden müssen.  Es sollte allerdings ein Vertrag zur Auftragsdatenverarbeitung mit dem Dienstleister abgeschlossen werden und sichergestellt werden, dass der Dienstleister ausreichende Maßnahmen ergreift, um personenbezogene Daten vor dem Zugriff durch Dritte zu schützen.

Wenn Sie mehr zur Auftragsdatenverarbeitung erfahren möchten, lesen Sie gerne unseren Beitrag „Auftragsdatenverarbeitung oder Funktionsübertragung – datenschutzrechtliche und –organisatorische Unterscheidung von Dienstleistern“.

Der Anbieter des Sprachassistenten (Sitz außerhalb der EU/des EWR) hat Zugriff auf personenbezogene Daten

Hat der Anbieter des Sprachassistenten seinen Sitz außerhalb der EU / des EWR (Drittland) so greift die Fiktion der „Nicht-Übermittlung“ nicht, wodurch entweder informierte Einwilligungen der Betroffenen eingeholt werden sollen oder geprüft werden sollte, ob eine andere Rechtsgrundlage für die Übermittlung vorliegt.

Informierte und freiwillige Einwilligungen

Sollen informierte Einwilligungen eingeholt werden, so sollte darauf geachtet werden, dass Betroffene ausreichend über die Datenerhebung, -verarbeitung (insbesondere die Datenübermittlung an den Dienstleister) und –nutzung ihrer Daten informiert werden. Zudem sollten die Einwilligungen freiwillig erfolgen. Im Arbeitsverhältnis scheitert es meist an der Freiwilligkeit oder der Informiertheit, regelmäßig auch an beiden Voraussetzungen. Arbeitgeber sollten sich in diesen Fällen zwingend an ihren Datenschutzbeauftragten wenden oder sich anderweitige fachkundige Unterstützung (z. B. Datenschutzberatung) holen.

Rechtsgrundlage

Sollte eine Rechtsgrundlage, die Übermittlung an den Anbieter erlauben, wobei für den Einsatz der Sprachassistenten keine vorliegen dürfte, so müsste geprüft werden, ob ein angemessenes Datenschutzniveau durch die EU-Kommission in dem Drittland festgestellt wurde. Ein angemessenes Datenschutzniveau liegt unter anderem in Kanada oder der Schweiz vor. Sofern dies nicht der Fall ist, sollte ein angemessenes Datenschutzniveau, mittels EU-Standardvertragsklauseln oder durch andere vertragliche Grundlagen, hergestellt werden.

Gespräche werden dauerhaft aufgezeichnet und in eine Cloud ausgelagert

Um das Aktivierungswort zu hören, müssen die Geräte die Gespräche i. d. R. dauerhaft aufzeichnen,

  • die dann auf den Servern des Anbieters oder
  • sogar auf Servern von anderen Anbieter landen. (Der Einsatz von Cloud-Lösungen, unter anderem von Infrastructure as a Service, ist heute keine Seltenheit.)

Werden die Server von anderen Anbietern betrieben, so müssten diese Subunternehmer ebenfalls in Verträgen erfasst werden.

Weitere Schwierigkeiten

Neben den benannten Problemen sollte beachtet werden, dass auch die Gespräche im Büro von Dritten, wie zum Beispiel Kunden oder Dienstleistern, aufgezeichnet werden (könnten).

Verantwortliche Stellen sollten rund um den Einsatz von Dienstleistern weitere erforderliche Maßnahmen beachten. Unter anderem sollten technische und organisatorische Maßnahmen gemäß § 9 BDSG und der Anlage zu § 9 Satz 1 BDSG ergriffen werden, um die Daten vor unbefugten Zugriffen zu schützen.

Neben dem BDSG könnte aber auch das Telemediengesetz (TMG) relevant sein, wenn elektronische Kommunikations- und Informationsdienste angeboten werden. Wurde für den Einsatz der Sprachassistenten zum Beispiel eine App entwickelt, so sollte der App-Entwickler die Pflichten aus dem TMG, unter anderem die Impressumspflicht, nicht ignorieren.

Auch könnte das Telekommunikationsgesetz (TKG), insbesondere § 88 TKG, von Bedeutung sein, allerdings wäre dies im Einzelfall zu prüfen.

Fazit

Eine pauschale Antwort über die möglichen Risiken und Gefahren sowie die erforderlichen Maßnahmen bei dem Einsatz von Sprachassistenten kann nicht geben werden, da dies sehr von den eingesetzten Systemen abhängt.

Grundsätzlich ist von dem dienstlichen Einsatz von Sprachassistenten allerdings abzuraten, dass ein datenschutzkonformer Einsatz mit einem erheblichen Mehraufwand verbunden ist und zumeist Restrisiken verbleiben. Zumindest sollte die „dauerhafte Mithörfunktion“ auf beruflichen Geräten oder in beruflichen Sphären abgeschaltet werden, dies meint z. B. die Funktion „Hey Siri“.

Möchten Sie mehr zu Sprachassistenten und Datenschutz erfahren oder sich im Datenschutz dauerhaft besser positionieren? Brands-Consulting steht Ihnen als Ansprechperson gerne zur Seite. Nehmen Sie gerne Kontakt zu uns auf oder holen Sie sich ein unverbindliches Datenschutz-Angebot ein

Brands Consulting – steht für kompetente Dienstleistungen rund um Datenschutz & Beratung

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen

Betrieblicher Datenschutzverantwortlicher in der Schweiz und Datenschutzbeauftragter in Deutschland – Datentransfer ins Drittland

Datentransfer zwischen Deutschland und der SchweizEin Datentransfer zwischen Deutschland und der Schweiz nimmt nicht zuletzt aufgrund der fortschreitenden Globalisierung an Bedeutung zu. Es werden immer mehr personenbezogene Daten in unterschiedliche Länder übermittelt und empfangen. Oftmals wird dabei außer Acht gelassen, welche datenschutzrechtlichen Regelungen in dem Land herrschen, in das die Daten übermittelt werden. Ein solch achtloser Umgang mit personenbezogenen Daten kann rechtliche Konsequenzen mit sich bringen, die neben Geldstrafen einen großen Imageverlust für die verantwortliche Stelle, i. d. R. international agierende Konzerne, aber auch gerade für mittelständische Unternehmen, bedeuten können. Ausland ist jedoch nicht gleich Ausland: Je nach Abkommen zwischen verschieden Ländern kann eine Harmonisierung des Rechts erfolgt sein, daher sollte stets eine Unterscheidung vorgenommen werden zwischen EU-, EWR und den übrigen Ländern, den sogenannten Drittländern.

Ihr externer Datenschutzbeauftragter informiert über den Datentransfer zwischen Deutschland und der Schweiz und vergleicht den Datenschutz in den beiden Ländern.

Was sind die Unterschiede zwischen EU-, EWR- und Drittländern?

Vor wenigen Tagen, zum 60. Jubiläum der Römischen Verträge, die am 25.03.1957 unterzeichnet und den Grundstein für die Europäische Union legten, wurde erneut eine Erklärung besiegelt. Hiermit bekräftigen die Staats- und / oder Regierungschefs das Versprechen auf Freiheit, Frieden und Wohlstand. So hat die Europäische Union, trotz zahlreicher Kritik, viele positive Aspekte gebracht. Viele schimpfen über die Harmonisierung, doch ohne diese wäre die damit verbundene Freizügigkeit des Personen-, Waren und Datenverkehrs nicht bzw. nur schwer möglich. Werden personenbezogene Daten unter Beachtung der europäischen Gesetzlichkeiten übermittelt, sind zwar Maßnahmen zu ergreifen, allerdings halten sich der Aufwand und die Datenschutz-Risiken i. d. R. noch in Grenzen. Das gleiche gilt für Länder des europäischen Wirtschaftsraumes, wie z. B. Norwegen, Island und Liechtenstein (§ 4b Abs. 2 Satz 2 Bundesdatenschutzgesetz (BDSG)). Probleme treten bei Ländern auf, die weder der EU noch dem EWR angehören, den sogenannten Drittländern.   Eine Übermittlung von personengebundenen Daten in ein Drittland ist nach § 4b Abs. 2 BDSG zu unterlassen, sofern dem Betroffenen kein angemessener Schutz zugesichert werden kann. Das BDSG bildet dabei den Maßstab, an dem sich das Sicherheitsniveau des Drittlandes messen muss. Ob ein entsprechendes datenschutzrechtliches Schutzniveau im Drittstaat vorhanden ist, wird nach Art. 25 Abs. 6 der europäischen Datenschutzrichtlinie (EG-DatSchRL / Richtlinie 95/46/EG) durch die EU-Kommission festgestellt.

Die nach Art. 25 Abs. 6 der Richtlinie 95/46/EG erlassenen Feststellungen bleiben solange in Kraft bis diese geändert oder ersetzt wurden, vgl. Art. 45 Abs. 9 Datenschutz-Grundverordnung (DS-GVO).

Die Kommission hat dabei ein ausreichendes datenschutzrechtliches Schutzniveau beispielsweise für die Schweiz, Neuseeland, Kanada, Israel und Argentinien festgestellt. Für diese Länder wird ein mit der EU vergleichbares Datenschutzniveau angenommen, das entsprechend Art. 45 Abs. 9 DS-GVO zumindest vorerst fortbesteht. Folglich kann eine Datenübertragung in einen Staat mit ausreichendem Datenschutzniveau bedenkenlos erfolgen, sofern eine Rechtsgrundlage für die Übermittlung vorliegt.

Exkurs: Auswirkungen des Brexit

Aufgrund der derzeitigen Entwicklungen in Europa, die durch den Brexit ausgelöst wurden, soll kurz erläutert werden, wie es sich mit dieser Thematik verhält: Beim Einreichen des Austrittsantrags aus der EU durch Großbritannien hat der Staat 2 Jahre Zeit, um entsprechende Abkommen (z.B. EWR-Beitritt) mit der EU zu schließen. Besteht kein entsprechendes Abkommen zwischen Großbritannien und der EU bezüglich der Freizügigkeit, wird Großbritannien als Drittstaat bewertet. Daraus resultierend folgt eine Bewertung des Datenschutzniveaus Großbritanniens durch die EU-Kommission.

Sofern Sie weitere Informationen über das Thema „Brexit“ wünschen, lesen Sie unseren Beitrag „Datenschutz-Brexit – Auswirkungen auf die Datenübermittlung aus der Europäischen Union (EU) nach Großbritannien“.

Datenschutz in Deutschland und Schweiz – Der Vergleich

Wie bereits erwähnt, stellt die Schweiz ein Drittland dar, welches ein ausreichendes Datenschutzniveau für die EU aufweist. Um die Thematik näher zu erläutern, soll im Folgenden näher auf den Datenschutz in Deutschland und der Schweiz eingegangen werden und ein datenschutzrechtlicher Vergleich der Schweiz (Drittland) mit Deutschland (EU-Land) erfolgen.

Datenschutz in Deutschland und Schweiz – Datenschutzregelungen und Kontrollorgane

Der Aufbau der datenschutzrechtlichen Zuständigkeit in der Schweiz ist dem in Deutschland sehr ähnlich. So regelt das Datenschutzgesetz des Bundes den Datenschutz der Bundesbehörde sowie für den privaten Bereich, dabei haben die Bundesländer (in der Schweiz Kantone) auf Basis ihres Rechts auf Selbstverwaltung ihr eigenes länder- bzw. kantonspezifisches Datenschutzrecht.

Gemäß § 24 Abs. 1 BDSG kontrolliert die Bundesbeauftragte für den Datenschutz und die Informationssicherheit (BfDI) bei den öffentlichen Stellen des Bundes die Einhaltung des BDSG und anderer Datenschutz-Vorschriften. Der jeweilige Landesbeauftragte für den Datenschutz ist für öffentliche Stellen des Landes zuständig, wobei er in den meisten Bundesländern als Aufsichtsbehörde ebenfalls die Einhaltung des Datenschutzes bei nicht-öffentlichen Stellen kontrolliert. Eine Ausnahme stellt Bayern dar, da es eine Aufsichtsbehörde für öffentliche Stellen des Landes und eine andere für nicht-öffentliche Stellen gibt. In der Schweiz, sind die Kantone für die Einhaltung des Datenschutzrechts selbst verantwortlich und folglich nicht dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten, der die Einhaltung auf Bundesebene prüft, unterstellt.

Eine große Diskrepanz stellt ebenso dar, dass im Datenschutzrecht der Schweiz neben der Auskunftspflicht eine Informationspflicht nach Art. 14 und 18a Bundesgesetz über den Datenschutz (DSG) besteht. Demnach ist der Inhaber einer Datensammlung, wenn er schützenswerte Personendaten oder Personenprofile einer Privatperson bearbeitet, nicht nur bei Nachfrage durch den Betroffenen verpflichtet, diesem Auskunft über die Verarbeitung seiner Daten zu geben, sondern muss den Betroffen aktiv darüber informieren, das seine Daten bearbeitet werden.  Zwar sieht auch § 33 BDSG eine gewisse Informationspflicht vor, allerdings nur, wenn personenbezogene Daten zum ersten Mal gespeichert oder übermittelt werden. Die Benachrichtigung kann folglich bei weiterer Datenspeicherung oder Datenübermittlung entfallen. Der Grund ist, dass mit der ersten Benachrichtigung der Betroffene über die Erhebung bzw. Übermittlung informiert wurde und in der Lage ist, weitere Informationen mittels Auskunftsrecht zu erfragen.

Die Datenschutz-Grundverordnung, die den Datenschutz innerhalb der EU vereinheitlichen soll, sieht in Art. 13 und 14 ebenfalls Informationspflichten vor. Anders als im Bundesdatenschutzgesetz findet in der DS-GVO eine Trennung zwischen der Informationspflicht bei Erhebung beim Betroffenen (Art. 13) und der Informationspflicht bei Erhebung bei der nicht betroffenen Person (Art. 14) statt. Die DS-GVO sieht dabei unter anderem einen größeren Umfang an Informationen vor, die dem Betroffenen mitgeteilt werden sollen. Zum Beispiel soll der Betroffene die Kontaktdaten des Datenschutzbeauftragten erhalten. Des Weiteren sieht die DS-GVO im Vergleich zum BDSG weniger Ausnahmen vor, wann keine Informationspflicht besteht.

Datentransfer zwischen Deutschland und der Schweiz – Datenverarbeitung (respektive Datenübermittlung)

Bei der Datenverarbeitung ist für einen Rechtsvergleich ausschlaggebend, wer Auftragsgeber (AG) und Auftragsnehmer (AN) ist. Es bieten sich daher zwei Szenarien.

Beim 1. Szenario befindet sich der Auftraggeber (z. B. ein Bauunternehmen) in Deutschland und der Auftragsnehmer (z. B. IT-Dienstleister) in der Schweiz. Der IT-Dienstleister verarbeitet, um den Auftrag des Bauunternehmens zu erfüllen, personenbezogene Daten bzw. kann nicht ausgeschlossen werden, dass der IT-Dienstleister auf diese Daten zugreifen kann.

Das Bauunternehmen muss prüfen, ob eine Datenübermittlung an den IT-Dienstleister datenschutzkonform ist, da der Auftraggeber weiterhin die Verantwortung für die personenbezogenen Daten trägt und gegenüber dem IT-Dienstleister weisungsbefugt ist.

Hätte der IT-Dienstleister seinen Sitz innerhalb der EU/des EWR, so würde die Fiktion der „Nicht-Übermittlung“ greifen. Das Bauunternehmen müsste lediglich einen Vertrag zur Auftragsdatenverarbeitung (ADV) mit dem IT-Dienstleister abschließen und prüfen bzw. durch den internen/externen Datenschutzbeauftragten prüfen lassen, ob der IT-Dienstleister personenbezogene Daten ausreichend schützt.

Bei der Übermittlung an den IT-Dienstleister mit Sitz in der Schweiz greift die Fiktion der „Nicht-Übermittlung“ nicht. Die Übermittlung an den IT-Dienstleister wird auch tatsächlich als Übermittlung eingestuft, wodurch das Bauunternehmen prüfen sollte, ob eine Rechtsgrundlage vorliegt.  Ist dies nicht der Fall sollten informierte Einwilligungen der Betroffenen eingeholt werden.

Neben der Prüfung, ob eine Erlaubnisnorm für die Übermittlung vorliegt, sollte das Bauunternehmen kontrollieren, ob ein angemessenes Datenschutzniveau im Drittland herrscht. Laut der EU-Kommission hat die Schweiz ein angemessenes Datenschutzniveau.

Im 2. Szenario tauschen der AN und AG die Rollen. Das Bauunternehmen (AG) befindet sich jetzt in der Schweiz und der IT-Dienstleister (AN) hat seinen Sitz in Deutschland.

Die Datenübermittlung aus der Schweiz ins Ausland wird in Art. 6 Abs. 1 Bundesgesetz über den Datenschutz(DSG) geregelt, dabei darf unter anderem eine Übermittelung bzw. die Bekanntgabe personenbezogener Daten ins Ausland erfolgen, wenn die Persönlichkeit des Betroffenen nicht schwerwiegend gefährdet wird. Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte aktualisiert laufend eine Liste, die aufzeigt, welche Staaten über einen geeigneten Schutz verfügen.

Deutschland verfügt, entsprechend dieser Liste, über einen geeigneten Schutz. Datenübermittlung an Staaten, die keinen geeigneten Schutz aufweisen, dürfen nur unter den in Art. 6 Abs. 2 DSG benannten Bedingungen übermittelt werden. Eine Bedingung ist zum Beispiel die informierte Einwilligung des Betroffenen.

Datenschutz in Deutschland und Schweiz – Vergleich der Regelungen zu den Technischen und organisatorischen Maßnahmen (TOM)

In Deutschland wie auch in der Schweiz werden technische und organisatorische Maßnahmen (TOM) angewandt, um die Datensicherheit zu gewähren. In beiden Ländern gibt es diesbezüglich ähnliche Regelungen, welche die folgende Tabelle zusammenfasst:

 

 

Vergleichbare gesetzliche Regelungen
Deutsche Regelung Schweizer Regelung
Zutrittskontrolle § 9 BDSG

Anlage Nr.1

Zugangskontrolle Art. 9 Abs. 1a Verordnung zum Bundesgesetz über den Datenschutz (VDSG)
Zugangskontrolle § 9 BDSG

Anlage Nr. 2

Benutzerkontrolle Art. 9 Abs. 1f VDSG
Zugriffskontrolle § 9 BDSG

Anlage Nr. 3

Personendatenträgerkontrolle, Speicherkontrolle, Zugriffskontrolle Art. 9 Abs. 1b,e,g VDSG
Weitergabekontrolle § 9 BDSG

Anlage Nr. 4

Transportkontrolle, Bekanntgabekontrolle Art. 9 Abs. 1c,d VDSG
Eingangskontrolle Art. 9 BDSG Anlage Nr. 5 Eingabekontrolle Art. 9 Abs. 1h VDSG
Auftragskontrolle § 9 BDSG Anlage Nr. 6

 

 

Auftragsgeber muss sich vergewissern, dass Dritter die Datensicherheit gewährleistet Art. 10a Abs. 2 DSG
Verfügbarkeitskontrolle § 9 BDSG Anlage Nr. 7 Keine vergleichbare Regelung im DSG. Sicherstellung der Verfügbarkeitskontrolle, durch allgemeine Maßnahmen möglich Art. 8 Abs. 1 VDSG
Trennungskontrolle § 9 BDSG Anlage Nr. 8 Keine vergleichbare Regelung im DSG. Möglichkeit der Festlegung durch

§ 10 a Abs. 1 DSG

Datenschutz in Deutschland und Schweiz – Datenschutzverantwortlicher (Schweiz) und betrieblicher Datenschutzbeauftragter (Deutschland)

Das deutsche Datenschutzrecht schreibt im § 4 f BDSG unter bestimmten Voraussetzungen die Bestellung eines „Datenschutzbeauftragten“ für öffentliche oder nicht-öffentliche Stellen vor. Eine solche Pflicht kann dem Datenschutzrecht der Schweiz nicht entnommen werden, vielmehr steht es einer Organisation frei, nach Art. 12a VDSG einen betrieblichen Datenschutzverantwortlichen zu bestellen. Nimmt ein Unternehmen in der Schweiz die Möglichkeit wahr und bestellt einen betrieblichen Datenschutzbeauftragten bzw. Datenschutzverantwortlichen, so entfällt die Anmeldung der Datensammlung nach § 11 Abs. 5e DSG. Die Entscheidung, ob ein interner (betrieblicher) oder externer Datenschutzverantwortlicher bzw. Datenschutzbeauftragter bestellt wird, können „verantwortliche Stellen“ – sowohl Öffentliche als auch Nicht-Öffentliche – selbst treffen.

Sowohl der Interne als auch der externe Datenschutzverantwortliche bzw. Datenschutzbeauftragte haben ihre Vor- und Nachteile. Zwar ist der interne Datenschutzverantwortliche / Datenschutzbeauftragte mit den internen Prozessen der Organisation besser vertraut, allerdings bringt der externe Datenschutzverantwortliche / Datenschutzbeauftragte mehr Erfahrung im Datenschutz mit, betrachtet einzelne Themen objektiver und verfügt nicht über den besonderen Kündigungsschutz eines internen Datenschutzbeauftragten. Gerade in Deutschland sind viele Unternehmen von diesem besonderen und nachwirkenden Kündigungsschutz des Datenschutzbeauftragten zumeist nicht gerade angetan. In international operierenden Unternehmen bei denen z. B. ein Sitz in der Schweiz und Deutschland vorliegt, wird die Funktion zumeist einheitlich als „Data Protection Officer“ bezeichnet.

Fazit

Die zunehmende Globalisierung und Digitalisierung erfordert eine erhöhte Beachtung des Datenschutzes. Gerade bei der Thematik „Datentransfer“ bzw. „Datenübermittlung“ in Drittländer ist besondere Vorsicht geboten. Der Datenschutz in Deutschland und der Schweiz zeigt, dass trotz der geographischen Nähe datenschutzrechtliche Unterschiede bestehen, die zu beachten sind.

Die Einhaltung und Umsetzung des Datenschutzes ist für Organisationen mit einem hohen Zeitaufwand, Arbeitsaufwand und Kosten verbunden. Aus diesem Grund sollte eine qualifizierte Person im Bereich des Datenschutzes eingesetzt werden. Zumal in Deutschland i. d. R. die Pflicht zur Bestellung eines Datenschutzbeauftragten besteht.

Vorwiegend kann bei der Problematik mit den datenschutzrechtlichen Regelungsgebieten in Drittländern ein „externer Datenschutzbeauftragter“ im Vergleich zum „internen (betrieblichen) Datenschutzbeauftragten“ von Vorteil sein. Ein externer Datenschutzbeauftragter kann neben der erforderlichen Fachkunde und Zuverlässigkeit durch Erfahrung in sämtlichen Bereichen des Datenschutzes punkten.  Zudem ist ein externer Datenschutzbeauftragter durch seine ausschließliche Tätigkeit im Datenschutz fachlich deutlich besser aufgestellt und kann sich im Zweifel in neue Problemstellungen oder individuelle Sonderanforderungen nachhaltiger eindenken.

Ein externer Datenschutzbeauftragter, externer Datenschutzverantwortlicher oder Data Protection Officer unterstützt und berät die verantwortlichen Stellen bei allen Themen rund um den Datenschutz, unter anderem werden Schulungen durchgeführt, es wird bei der Erstellung von Betriebsvereinbarungen / Dienstvereinbarungen / Richtlinien geholfen, es werden interne Datenverarbeitungsprozesse geprüft und Unterstützung bei der Erstellung von Verfahrensverzeichnissen wird offeriert.

Haben Sie noch Fragen zum Datenschutz die einen internationalen Datentransfer zwischen Deutschland und der Schweiz betreffen oder wünschen Sie fachkundige Unterstützung in Form von individuellen Beratungen bzw. Schulungen? Dann holen Sie sich ein unverbindliches Angebot zum Datenschutz ein oder nehmen Sie direkt Kontakt mit uns auf.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

 

Unterschiede zwischen Datenschutz und Datensicherheit – Wieso Datensicherheit nicht immer zum Datenschutz beiträgt?

Datenschutz und DatensicherheitDie Begriffe Datenschutz und Datensicherheit werden in der Praxis regelmäßig synonym verwendet, dabei unterscheiden sie sich zum Beispiel in den, mit ihnen verfolgten, Zielen. Geht es bei der Datensicherheit um den Schutz von Daten allgemein, so sollen im Datenschutz personenbezogene Daten geschützt werden. Aus diesem Grund ist die Aussage, dass Datenschutz ohne Datensicherheit nicht möglich ist, zutreffend, allerdings existieren auch Ausnahmen, die zeigen, dass Maßnahmen zur Datensicherheit dem Datenschutz auch schaden können.

Ihr externer Datenschutzbeauftragter informiert Sie rund um die beiden Begrifflichkeiten und zeigt Ihnen im Folgenden wesentliche Unterschiede auf.

Was versteht man unter Datenschutz?

Beim Datenschutz geht es um den Schutz von personenbezogenen Daten, wobei der Kernpunkt nicht der Inhalt oder die Bedeutung der Daten ist, sondern die informationelle Selbstbestimmung. Weisen die erhobenen, verarbeiteten oder genutzten Daten einen Personenbezug auf, so ist die Rede von personenbezogenen Daten, dabei können sie direkt (bestimmt), zum Beispiel der Name, oder indirekt (bestimmbar) unter Zuhilfenahme einer weiteren Informationsquelle, zum Beispiel die Telefonnummer, einer Person zugeordnet werden. In Deutschland greifen in diesen Fällen das Bundesdatenschutzgesetz (BDSG), landesspezifische Vorschriften, wie zum Beispiel das Datenschutzgesetz NRW (DSG NRW) oder bereichsspezifische Gesetze, wie z B. das Telemediengesetz (TMG), die die Privatsphäre der Menschen schützen sollen. Zu beachten ist allerdings, dass in Deutschland dieser Schutz nur für natürliche Personen (Menschen) und nicht für juristische Personen, da kein Personenbezug gegeben ist, gilt. Der Begriff Datenschutz ist juristischer Natur, da die Begrifflichkeit sämtliche rechtliche Vorschriften, die personenbezogene Daten schützen sollen, erfasst. Beim Datenschutz geht es somit um die rechtlichen (theoretischen) Fragen („Unter welchen Voraussetzungen dürfen personenbezogene Daten erhoben, verarbeitet oder genutzt werden?“ und weniger um die technische Umsetzung, die wiederrum im Rahmen von der Datensicherheit (praktischer Ansatz) aufgegriffen wird.

Was ist unter Datensicherheit zu verstehen?

Für den, im Datenschutzrecht geforderten, Schutz bietet die Datensicherheit Maßnahmen. Beim Datenschutz handelt es sich letztens um die „Theorie“, die im Rahmen der Datensicherheit umgesetzt wird („Praxis“).  Die Datensicherheit behandelt die Frage, was überhaupt möglich ist und ist somit, dass Gegenstück zum Datenschutz, da ansonsten keine Daten geschützt, sondern lediglich Vorschriften formuliert wären.  Geht es bei Datenschutz alleinig um personenbezogene Daten, so fallen unter den Begriff Datensicherheit sämtliche Daten unabhängig davon, ob sie einen Personenbezug aufweisen. Kernpunkt der Datensicherheit sind Maßnahmen, um den Schutz der Daten vor Missbrauch (Kontrollierbarkeit), Verfälschung (Integrität), Verlust (Verfügbarkeit) und unberechtigter Zugriffe (Vertraulichkeit), zu gewähren .

Die benannten Ziele der Datensicherheit dürften Jedem, der bereits mit der Anlage zu § 9 BDSG vertraut ist, bekannt vorkommen, denn die im Datenschutzrecht benannten technischen und organisatorischen Maßnahmen bilden die Schnittstelle zwischen den beiden Begriffen. Gemäß § 9 Bundesdatenschutzgesetz in Verbindung mit der Anlage zu § 9 Satz 1 BDSG sind alle Stellen, die personenbezogene Daten erheben, verarbeiten oder nutzen dazu verpflichtet, technische und organisatorische Maßnahmen (kurz TOM) zu treffen, um die Anforderungen des BDSG zu erfüllen, wobei im Rahmen der Datensicherheit geprüft und Technische und organisatorische Maßnahmenbestimmt werden sollte, welche Maßnahmen erfüllt werden können bzw. erfüllt sind.

Verantwortliche Stellen, wie zum Beispiel Unternehmen, Vereine und Behörden, sind lediglich zur Einhaltung der Anforderungen des BDSG verpflichtet, wobei keinerlei gesetzliche Verpflichtung zur Abstimmung der technischen und organisatorischen Maßnahmen besteht. Das Prüfen der TOM ist allerdings anzuraten, da eine Organisation feststellen kann, an welcher Stelle Defizite bestehen. Des Weiteren könnten verantwortliche Stellen, die personenbezogene Daten im Auftrag verarbeiten (ADV-Dienstleister) vom Auftraggeber, zur Übersendung der technischen und organisatorischen Maßnahmen verpflichtet werden.

Benötigen Sie Unterstützung bei der Abstimmung der TOM oder möchten Sie wissen, ob Ihr Dienstleister sich an die Anforderungen des Bundesdatenschutzgesetzes hält? Dann nehmen Sie Kontakt zu uns auf, gerne unterstützen und beraten wir Sie rund um die technischen und organisatorischen Maßnahmen sowie bei der Abwicklung von Verträgen zur Auftragsdatenverarbeitung.

Achtung: Der Begriff Datensicherheit sollte nicht mit der IT-Sicherheit verwechselt werden, da bei der IT-Sicherheit der Schutz von digitalen Daten im Vordergrund steht.

Unterschiede von Datenschutz und Datensicherheit

Datensicherheit Datenschutz
Schutz von Daten  Schutz vor Datenmissbrauch und -pannen (Grundsätze der Datensparsamkeit, Zweckbindung)
Schutz aller Daten Schutz personenbezogener Daten
Schutz vor Verlust, Zerstörung, Missbrauch, Zugriff durch Unberechtigte Schutz der informationellen Selbstbestimmung (Privatsphäre)
Technische Maßnahmen / Lösungen Gesetzliche Vorschiften
Praxis: Bei der Datensicherheit geht es unter anderem um die Umsetzung der Anforderungen des Datenschutzes, wobei der praktische Ansatz, „Was ist möglich?“, verfolgt wird. Theorie: Beim Datenschutz wird der theoretische Ansatz „Was soll erfüllt werden?“ verfolgt werden.

Kann die Datensicherheit dem Datenschutz schaden?

Datensicherheit vs. DatenschutzGrundsätzlich unterschützen, bis auf wenige Ausnahmen, die Maßnahmen, die zur Datensicherheit erfolgen, den Datenschutz. Eine dieser Ausnahmen ist das Auslagern von Daten in eine Cloud. Kann das Auslagern in einen Cloud-Speicher die Daten vor Verlust schützen und ist grundsätzlich eher förderlich für die Datensicherheit, so verursacht diese Maßnahme in Hinblick auf den Datenschutz zahlreiche Risiken und Probleme. Bei einer Datensicherung in der Cloud, handelt es sich aus Datenschutzrecht bereits um eine Übermittlung, die wiederrum nur erlaubt ist, wenn sie auf einer Rechtsgrundlage oder einer informierten Einwilligung basiert. Hat der Cloud-Anbieter seinen Sitz zudem in einem Drittland, außerhalb der europäischen Union (EU) oder des europäischen Wirtschaftsraums (EWR), so muss die verantwortliche Stelle weitere Maßnahmen umsetzen, so ist üblicherweise ein angemessenes Datenschutzniveau herzustellen.

Möchte eine Organisation auf Cloud-Lösungen zurückgreifen, so ist ein deutscher bzw. europäischer Cloud-Anbieter und das Abschließen eines Vertrages zur Auftragsdatenverarbeitung (ADV) dringend anzuraten.

Möchten Sie mehr zu Datenschutz und Datensicherheit erfahren? Haben Sie Fragen zu den technischen und organisatorischen Maßnahmen oder Cloud-Computing? Dann nehmen Sie Kontakt zu uns auf.

Planen Sie sich im Datenschutz dauerhaft besser zu positionieren? Dann fordern Sie direkt ein kostenloses Angebot zum Datenschutz an und holen Sie sich Unterstützung durch einen versierten externen Datenschutzbeauftragten.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

Übertragung von Personaldaten und Kundendaten – Datenschutz beim Unternehmenskauf (Asset Deal vs. Share Deal)

Datenschutz beim UnternehmenskaufEin Unternehmenskauf kann vielerlei Gründe haben, beispielsweise der Erwerb von Kundendaten, die Übernahme von Schlüsselmitarbeitern des Zielunternehmens oder auch die Übernahme von Lieferbeziehungen. Nicht selten wird er als Einstieg in die Selbstständigkeit genutzt, die hierfür bekanntesten Beispiele sind wohl die häufig praktizierten Übernahmen von Arztpraxen, Apotheken oder Zahnarztpraxen. Ein Unternehmenskauf bringt in der Regel auch einen Übergang von personenbezogenen Daten mit sich. Aus diesem Grund sollten die datenschutzrechtlichen Regelungen beachtet werden, um möglichen Sanktionen entgegenzuwirken.

Ihr externer Datenschutzbeauftragter unterstützt Sie in allen datenschutzrechtlichen Belangen und klärt auf, warum der Datenschutz beim Unternehmenskauf beachtet werden sollte.

Personenbezogene Daten – Währung des 21. Jahrhunderts

Das Pflegen von Kundenbeziehungen war und ist das A und O für mögliche Umsatzsteigerungen im Unternehmen. Je mehr Informationen über die Verhaltensweisen des Kunden gesammelt werden können, desto einfacher ist es, gezielt die individuellen Bedürfnisse des Einzelnen zu erfassen, um diesem direkt die Produkte oder Dienstleistungen anzubieten, die er braucht oder die er nach ähnlichen Verhaltensmustern anderer Konsumenten in Betracht ziehen könnte. Wer Kundendaten sammelt und effektiv auswertet erhält folglich nicht nur einen Vorsprung im Verhältnis zu anderen Mitbewerbern, sondern kann sich Umsatzsteigerungen durch effiziente Datenauswertung und damit verbundene Vermarktung sichern. Somit stellen Kundendaten einen wesentlichen Vermögenswert dar und können ein Grund für einen Unternehmenskauf sein. Auf das oben aufgeführte Beispiel der Übernahme einer Arztpraxis bezogen, kann es sich hierbei um die unmittelbare Gewinnung von 500 und mehr Kunden handeln. Der Kunde, in diesem Fall Patient, wird dabei indirekt und vermeintlich zur Ware.

Aufgrund des Personenbezugs von Kunden-, Mitarbeiter- und Lieferantendaten sollten nicht-öffentliche Stellen den Datenschutz beim Unternehmenskauf daher nicht außer Acht lassen (§ 3 BDSG). Personenbezogene Daten bedürfen nach § 4 Abs. 1 Bundesdatenschutzgesetz (BDSG) eines besonderen Schutzes. So ist das Verarbeiten, Nutzen und Speichern personenbezogener Daten nur dann gestattet, wenn

  • der Betroffene dem freiwillig zustimmt oder
  • eine gesetzliche Vorschrift existiert, die das Verfahren erlaubt.

Neben den Kundendaten stellen auch Mitarbeiterdaten oder auch Lieferantendaten personenbezogene Daten dar, welche ebenso unter den § 4 Abs. 1 BDSG fallen und einer vorvertraglichen Prüfung, ob eine Zustimmung der Betroffenen einzuholen ist, bedürfen.

Datenschutz beim Unternehmenskauf

Vor einem Unternehmenskauf ist der Austausch von Informationen unerlässlich — sei es, um die Haftung zu beschränken, indem die Aufklärungspflicht durch den Verkäufer statuiert wird, oder um im Interesse des Käufers vollumfängliche Informationen über das Kaufobjekt zu erhalten. Dabei besteht besonders bei der Übertragung von Personendaten, welche von den Kunden, Lieferanten und Mitarbeitern des Unternehmens gesammelt wurden, eine Möglichkeit, gegen datenschutzrechtliche Reglementarien zu verstoßen.

Wie oben bereits erwähnt, stellt die Übermittlung personenbezogener Daten nach dem § 4 BDSG einen vom Betroffenen zustimmungsbedürftigen Vorgang dar, sofern keine gesetzliche Bestimmung besteht. Folglich ist es relevant, zu prüfen, ob die Übertragung eine Zustimmung des Betroffenen benötigt oder nicht.

Im Fokus eines Unternehmenskaufes steht oft der Erwerb von Kundendaten, da diese einen wichtigen Teil des Unternehmenswertes darstellen. Gerade weil der Käufer den wertvollen Kundenstamm (verbunden mit den Kundendaten) übernehmen will, wird der Käufer einen entsprechenden Betrag verlangen wollen. Ein Übergang dieser Daten ist jedoch datenschutzrechtlich gesehen nicht immer zulässig. Es muss im Einzelfall geprüft werden, welche Daten zu welchem Zweck genutzt und übertragen werden sollen. Dies gilt vor allem, wenn es sich nicht um einen Anteilskauf (Share Deal) oder eine Verschmelzung des Unternehmens mit einem anderen handelt, sondern um einen Kauf von Vermögenswerten des Unternehmens (Asset Deal), bei dem die Rechtspersönlichkeit des Unternehmens bestehen bleibt.

Share Deal

Der Share Deal ist neben dem Asset Deal eine Möglichkeit des Unternehmenskaufes und beschreibt den Anteilskauf (z. B. Kauf von Aktien oder von GmbH-Anteilen) eines Unternehmens. Obwohl bei einem hundertprozentigen Anteilskauf die Gesamtheit des Unternehmens übergeht, bieten sich einige datenschutzrechtliche Risiken, welche beachtet werden sollten.

Wie erwähnt, wird der Käufer vor einem Unternehmenskauf Informationen über das Unternehmen verlangen. Dies geschieht mithilfe der Due Diligence (kurz DD), auch bekannt als Due-Diligence-Prüfung (im Geschäftsverkehr gebotene Sorgfaltspflicht), welche eine Risikoprüfung darstellt und i. d. R. vom Käufer angefertigt oder beauftragt wird, Aufklärung über die tatsächliche Unternehmenssituation zu schaffen. Es ist nicht selten der Fall, dass der Käufer hierbei von „Dritten“, wie Steuerberatern, Unternehmensberater, Wirtschaftsprüfern oder Rechtsanwälten, unterstützt wird. Eine Due Diligence kann somit dem Käufer und weiteren „Dritten“ Zugang zu Kundenlisten oder Arbeitnehmerdaten liefern. In einem solchen Fall ist das Informieren der Betroffenen oder die Einholung ihrer Zustimmung meist nicht notwendig.

Der § 28 Abs. 1 Nr. 2 BDSG sieht zwar vor, dass der Zugriff auf personenbezogene Daten zulässig ist, sofern dieser der „Wahrung berechtigter Interessen der verantwortlichen Stelle“ dient und „kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung überwiegt“. Fraglich ist jedoch, ob die Veräußerung des Unternehmens ein „berechtigtes Interesse“ darstellt, da es sich dabei vorrangig um das Interesse der Gesellschafter handelt. Aus diesem Grund ist es empfehlenswert, bei der Vorlage einer Due Diligence personenbezogene Daten unkenntlich zu machen oder zu anonymisieren. Sonstige Fälle sollten mit dem zuständigen Datenschutzbeauftragten besprochen werden.

Asset Deal

Im Unterschied zum Share Deal werden beim Asset Deal nicht Anteilsrechte am Unternehmen erworben, sondern einzelne Wirtschaftsgüter. Dabei gehen die bestehenden Verhältnisse (z.B. Verträge) nicht mit auf den Erwerber über. Sollen diese mit übergehen, muss eine Vereinbarung des Überganges zwischen Verkäufer und Käufer vereinbart werden. Datenschutzrechtlich brisant wird das Thema, wenn ein Kundenstamm veräußert werden soll. Hierbei handelt es sich um die Übertragung personenbezogener Daten. Bei Kundendaten handelt es sich i. d. R. um Einzelangaben (wie Name, Adresse, Geburtsdatum usw.), welche unmittelbare oder mittelbare Rückschlüsse auf die Person (Betroffener) zulassen. In den meisten Fällen wird deshalb eine Zustimmung des Betroffenen notwendig sein.

In diesem Zusammenhang ist die Übermittlung von Namen, Postanschrift, Geburtsjahr und Beruf durch das im § 28 Abs. 3 BDSG enthaltene „Listenprivileg“ in den meisten Fällen unproblematisch.

Anders sieht es jedoch aus bei Kundeninformationen des Unternehmens, z.B. E-Mail-Adresse, Telefonnummer, Kaufhistorie oder auch Konto- oder Kreditkartendaten. Nach Auffassung des Bayerischen Landesamtes für Datenschutzaufsicht ist die Übermittlung solcher personenbezogenen Daten nur zulässig, sofern eine Belehrung der betroffenen Kunden stattgefunden hat und die Widerspruchsmöglichkeit dem Kunden mitgeteilt wurde. Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) verhängte, in dem von ihr entschieden Fall, wegen des Verstoßes genannter Kriterien ein Bußgeld von 3000 €.

Aus diesem Grund sollte vor Vertragsschluss immer die Einwilligung des Kunden eingeholt werden, da dies die spätere Weitergabe und Nutzung der Daten durch den Käufer erheblich erleichtert. Wird vorab beim Kunden keine Zustimmung eingeholt, besteht die Möglichkeit den Kunden über sein Widerspruchsrecht zu informieren und diesem eine Frist für den Widerspruch zu gewähren. Ein Verstoß gegen diese Vorgaben kann zu empfindlichen Sanktionen führen, welche nicht nur einen finanziellen Verlust mit sich bringen, sondern sich auch negativ auf das Image des Unternehmens auswirken können.

Fazit

Bei einem Unternehmenskauf ist immer eine genaue Analyse des Unternehmens erforderlich. Diese ist nicht nur relevant für den Käufer, indem dieser u.a. Informationen über das Zielobjekt erhält, sondern schützt den Verkäufer mitunter durch die Dokumentation der Vorverkaufsmaßnahmen (z.B. Due Diligence) vor möglichen Ansprüchen des Käufers, wegen Verletzung der Nebenpflichten aufgrund von nicht ordnungsgemäßer Aufklärung über das Objekt.

Datenschutzrechtlich relevant ist dieser Vorgang beim Unternehmenskauf besonders dann, wenn personenbezogene Daten übertragen werden. Um mögliche Haftungsrisiken zu vermeiden, sollte vorab geprüft werden, wie diese zu kategorisieren sind. Zu unterscheiden ist dabei die Zulässigkeit der Datenübermittlung und die Verwertbarkeit der Daten für den Käufer, welche ebenso erhebliche Kriterien für die Kaufpreisfindung sind und den Kernbereich einer Due Diligence bilden.

Sollte eine umfangreiche Datenschutzanalyse entfallen, ist von einer grob fahrlässigen Handlung auszugehen, da eine solche Analyse ein in der Praxis häufig angewendetes Verfahren ist. Eine daraus resultierende widerrechtliche Handlung in Sachen Datenschutz kann durch die Aufsichtsbehörde mit empfindlichen Sanktionen belegt werden und hat weitreichendere Folgen als den Verlust von Kapital, da ein Verlust des Ansehens (Image) des Unternehmens meist auch den Verlust von Kundschaft bedeutet.

Sie sollten daher den Datenschutz beim Unternehmenskauf nicht außer Acht lassen und den Rat eines Datenschutzberaters oder Ihres internen/externen Datenschutzbeauftragten einholen.

Sollten Sie noch Fragen zum Datenschutz beim Unternehmenskauf haben oder sich im Bereich Datenschutz besser positionieren wollen, dann steht Brands Consulting Ihnen gerne zur Seite. Wir unterstützen Sie in allen datenschutzrechtlichen Belangen und stehen Ihnen stets als kompetenter und zuverlässiger Ansprechpartner in Sachen Datenschutz zur Verfügung.

Holen Sie sich ein unverbindliches und kostenloses Angebot zum Datenschutz bei uns ein oder nehmen Sie mit uns Kontakt auf und profitieren Sie von unserer Erfahrung.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

Statt Payback, Daten weg! – Wie Phishing Datenschutzrisiken hervorruft

Phishing DatenschutzrisikenDas Thema „Phishing Datenschutz“ beschäftigt, wenn neue Phishing-Attacken „die Runde machen“, nicht nur die Betroffenen selbst, sondern auch Datenschützer und Datenschutzbeauftragte.

Der Begriff „Phishing“ ist ein Kunstwort und setzt sich aus den englischen Wörtern „Password“ sowie „Fishing“ zusammen. Das Ziel der Täter ist es mittels gefälschter E-Mails, SMS und Webseiten an Datensätze, wie Passwörter und Kreditkartennummern, zu gelangen.

Ihr externer Datenschutzbeauftragter hat die wiederkehrenden Phishing-Attacken, ob auf Payback- oder Amazon-Kunden, gutgläubige „Gewinnspielteilnehmer“, denen Gutscheine von Saturn oder Ikea versprochen worden sind, oder Betroffene, die in der Hoffnung auf Steuerrückzahlungen auf die Phishing-Attacken reingefallen sind, zum Anlass genommen, um Sie über die Gefahren zu informieren und das Thema „Phishing Datenschutzrisiken“ näher zu durchleuchten.

Wieso Phishing Datenschutzrisiken für Payback-Nutzer verursacht hat

In den vergangenen Wochen hörte man vermehrt über neue Phishing-Attacken, die verstärkt auf Kunden, wie Payback- oder Amazon-Kunden ausgerichtet waren. Im Fall von Payback versendeten die Täter  E-Mails, die die Kunden über den 15. Geburtstag von Payback informierten und Payback-Nutzern die Verdopplung ihrer Payback-Punkte versprachen, dabei sollten Kunden einen Link anklicken. Diese E-Mails waren so gut gefälscht, dass nur den wenigsten Kunden auffiel, dass Payback bereits den 15. Geburtstag ein Jahr zuvor gefeiert hat. Folgte man nun dem Link, so wurde man auf eine gefälschte Webseite geführt, die sich ebenfalls kaum von der Originalen unterschied und wurde aufgefordert, seine Benutzerdaten einzugeben, die direkt in die Hände der Täter fielen.

Trotz der Mühe der Täter, die E-Mail möglichst echt aussehen zu lassen, sollte kritischen Nutzern unter anderem auffallen, dass sie, wie bei Phishing-Mails üblich, nicht persönlich angesprochen werden. Möchten Sie sich über weitere Anzeichen für gefälschte E-Mails, Webseiten und SMS informieren, dann lesen sich unseren Beitrag „Angriffe in Facebook, E-Mails & Co. – Wenn Phishing Datenschutz – Probleme hervorruft“.

Wer von Phishing-Attacken bis jetzt verschont geblieben ist, sollte sich dennoch mit dieser Thematik befassen, da die Täter nicht nur gefälschte Newsletter verschicken, sondern in sämtlichen Bereichen sowohl für Privatpersonen als auch für „verantwortliche Stellen“ eine Gefahr darstellen. Dies wurde in den vergangenen Wochen und Monaten deutlich, denn neben den gefälschten Payback-E-Mails tauchten vermeintliche E-Mails vom Finanzamt und von der Telekom auf. Die gefälschten E-Mails vom Finanzamt lockten die Betroffenen mit Steuerrückerstattungen. Während die Telekom angeblich vor einem vollen Speicher warnte. Genauso wie bei den Payback-E-Mails führte man die Betroffenen auf eine gefälschte Webseite und forderte zur Eingabe der E-Mail-Adresse und des Passwortes sowie weiterer Daten, z. B. Bankdaten, auf. Ähnlich von der Vorgehensweise, allerdings unter einem anderen Vorwand, sollten Amazon-Kunden ihre Daten zur Bekämpfung von Terrorismus überprüfen lassen.

Neben Privatpersonen und „verantwortlichen Stellen“ wurden in den letzten Monaten auch Politiker „Opfer“ von Spear-Phishing-Mails. Bezieht sich der Phishing-Angriff auf eine bestimmte Personengruppe und ist nicht breit gestreut, wie die Payback-Attacken, so ist die Rede von einem Spear-Phishing-Angriff. Der in der E-Mail eingebettete Link sollte die Politiker auf eine Malware verseuchte Webseite führen. Möchten Sie mehr zu den Gefahren durch Malware erfahren, dann lesen Sie unseren Beitrag „Verschlüsselungs-Trojaner „Locky“ – Die unerwünschte Verschlüsselung im Datenschutz“.

Die zahlreichen Fälle zeigen, dass die Kreativität der Täter keine Grenzen kennt und sich nicht nur Privatpersonen, sondern auch „verantwortliche Stellen“ mit dem Thema „Phishing Datenschutz“ auseinandersetzen sollten.

Wieso Phishing Datenschutzrisiken für „verantwortliche Stellen“ hervorrufen

DatenpannePhishing-Attacken, insbesondere, wenn Kreditkarten- und Bankdaten ausgespäht worden sind, führen für Betroffene häufig zu viel Stress und können zu einem hohen finanziellen Schaden führen, allerdings sind die Auswirkungen für „verantwortliche Stellen“ wesentlich schlimmer.

Der Grund ist, dass verantwortliche Stellen über weitaus mehr personenbezogene Daten verfügen, wodurch das Datenschutzgesetz klare Regelungen für derartige Datenpannen getroffen hat. Laut § 42 a Bundesdatenschutzgesetz (BDSG) sind verantwortliche Stellen bei sogenannten Datenpannen dazu verpflichtet, Betroffene und die Aufsichtsbehörde über den Verlust der Daten zu informieren. Dieser Informationspflicht muss insbesondere bei besonderen Angaben personenbezogener Daten (z. B. Beispiel Gesundheitsdaten) sowie bei personenbezogenen Daten zu Bank- und Kreditkonten nachgegangen werden. Solche Datenpannen führen zu hohen Bußgeldern und einem erheblichen Imageverlust.

Verantwortlichen Stellen, wie Unternehmen und Vereinen, ist deshalb dringend anzuraten, sich mit dem Thema „Phishing Datenschutzrisiken“ auseinanderzusetzen sowie die Mitarbeiter ausreichend zu schulen. Eine weitere Maßnahme, die ergriffen werden sollte, ist der Einsatz von Spam- und Phishing-Filtern, die gefälschte E-Mails und Webseiten erkennen und blockieren sollen.

Möchten Sie mehr zu dem Thema „Phishing Datenschutz“ erfahren oder wünschen Sie Datenschutz-Schulungen, um Ihre Mitarbeiter ausreichend zu sensibilisieren? Dann holen Sie sich ein unverbindliches Angebot zum Datenschutz ein oder nehmen Sie direkt Kontakt mit uns auf.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

Lädst du noch oder überträgst du schon? – Datenschutzrisiko öffentliche Ladestationen

öffentliche Ladestationen DatenschutzWer kennt das nicht? Man befindet sich auf Geschäftsreise oder ist anderweitig unterwegs und prompt ist der Akku des mobilen Endgerätes (z.B. Handy, Laptop, Tablet etc.) leer. Das Ladekabel hat man vergessen und die mobile Powerbank ist ebenfalls nicht zur Hand. In der Regel passiert dies in besonders ungünstigen Situationen: Die Verabredung wollte sich per Anruf melden oder es sollte noch eine wichtige E-Mail an den Kunden geschrieben werden. Retter in der Not sind die öffentlichen Ladestationen, welche in Fernzügen, Cafés, Flughäfen und auch in Linienbussen aufzufinden sind. Dankend wird in den oben genannten Notsituationen der kostenlose Dienst in Gebrauch genommen und in manchen Fällen später bitterlich bereut. Durch solche Ladekabel können Schäden am Handy sowie die Übertragung personenbezogener Daten nicht ausgeschlossen werden.

Ihr externer Datenschutzbeauftragter erklärt, warum durch öffentliche Ladestationen Datenschutz-Risiken bestehen und gibt Hinweise zum Schutz.

Beschädigung des Gerätes bei der Nutzung von offenen Ladestationen

Sie sollten sich vorab bewusst machen, dass nicht nur datenschutzrechtliche Probleme beim Laden mit fremden Ladegeräten entstehen können. Ein anderes Kabel kann vor allem dann Ihr Handy schädigen, wenn dieses eine zu hohe Spannung aufweist. Aus diesem Grund ist es sicherer, das eigene Ladekabel zu verwenden oder, sofern dieses vergessen wurde, eine geeignete Powerbank zu nutzen oder im Notfall ein geeignetes Ladekabel neu zu erwerben.

Wie öffentliche Ladestationen Datenschutz -Risiken hervorrufen können

Neben den Schäden am Gerät sollte allerdings vor allem das Datenschutzrisiko nicht außer Acht gelassen werden, das neben hohen Bußgeldern zu einem erheblichen Imageverlust führen könnte.

Unberechtigter Zugang Dritter durch USB-Anschluss

Fast alle Mobilgeräte lassen sich mithilfe eines USB-Kabels aufladen, dabei dient das USB-Kabel nicht nur der reinen Lieferung von Energie an das Endgerät, sondern ebenso dem Datentransfer. Wird ein mobiles Endgerät über den USB-Port eines Computers angeschlossen, kann nicht nur der Akku des Endgerätes aufgeladen werden, sondern per Computer auf die Daten des Endgerätes zugegriffen und sogar Daten von einem Computer auf das mobile Endgerät transferiert werden. Folglich kann bei einer öffentlichen Ladenstation nicht ausgeschlossen werden, dass unberechtigte Dritte Zugang auf die Daten des mobilen Endgerätes haben und darauf befindliche Daten von diesen eingesehen, transferiert und andernorts gespeichert werden könnten.

Voller Akku inkl. Malware aus der Ladestation

Ein anderes Risiko neben dem Zugang Unberechtigter stellt das sogenannte „Juice Jacking“ dar. Juice Jacking beschreibt einen zielgerichteten Cyberangriff auf ein mobiles Endgerät über dessen Stromzufuhr. Auf einer Hackerveranstaltung namens „DEF CON“, einer Messe, die über die neuesten Entwicklungen im Computerbereich und über bestimmte Computerrisiken aufklärt, wurden einige Ladestationen aufgebaut. Diese wurden vorher so präpariert, dass bei Anschluss der mobilen Geräte an die Ladestationen die Nachricht „[…] should not trust public charging station […]“, zu deutsch („[…]es sollte den öffentlichen Ladestationen kein Vertrauen geschenkt werden […]“), auf den Endgräten angezeigt wurde. Die simulierten Angriffe lassen erkennen, wie einfach es für Fremde ist, Zugang zum mobilen Gerät zu erlangen, indem die Täter öffentliche Ladestationen manipulieren. Vergleichbare Manipulationen kennen wir beispielsweise bei EC- und Kredit-Karten an Geldautomaten. Hier werden Karten kopiert und PIN-Nummern abgegriffen.

In der Regel bemerkt der Eigentümer den Zugriff auf sein Handy im ersten Moment nicht. Die Täter gehen dabei sehr geschickt vor, indem beim Anschluss des mobilen Endgerätes an eine öffentliche Ladestation eine darauf befindliche App durch eine gleich aussehende Schadsoftware ersetzt wird. Diese erlaubt dem unberechtigten Dritten nicht nur vollen Einblick in Ihre Daten auf dem Handy, sondern kann ihm auch ermöglichen auf Ihr Handy zuzugreifen.

Möglichkeiten zum Schutz des mobilen Gerätes und der Daten

Die sicherste und einfachste Möglichkeit ist es, den Dienst einer öffentlichen Ladestation nicht in Anspruch zu nehmen und somit seine Daten zu schützen. Sofern Sie unterwegs auf eine Lademöglichkeit angewiesen sind, so sollte immer das eigene Ladegerät genutzt werden. Das Ladegerät sollte dabei nicht an einen fremden USB-Anschluss angeschlossen werden, sondern immer direkt an eine Steckdose. Weitere Schutzmöglichkeiten bieten Charge-Only-Cable, welche einen Datentransfer ausschließen und nur eine Aufladung des Endgerätes ermöglichen. Eine mobile Powerbank kann ebenso eine sichere Energieversorgung des Handys garantieren.

Je nach Anbieter des mobilen Endgerätes bieten bereits vorhandene Handyeinstellungen einen Schutz. Apple beispielsweise sperrt den Datenaustausch, jedoch nur solange das iPhone nicht durch Eingabe des Codes entsperrt wird. In diesem Zustand ist der Zugriff durch einen fremden PC über die USB-Verbindung nicht möglich. Unbekannt ist der PC allerdings nicht mehr, wenn das iPhone während des Ladevorgangs entsperrt wurde. Nutzen Sie während des Ladens an einer Ladestation das Gerät, so ist ein Zugriff Unberechtigter auf ihr iPhone möglich. Schließen Sie es erneut an diese Ladestation an, so ist diese Ladestation als „bekannt“ deklariert und ein Datentransfer ist theoretisch auch im gesperrten Zustand nicht völlig ausgeschlossen. Sie sollten daher, solange das iPhone lädt, nicht darauf zugreifen. Gerade bei dringlichen Anrufen oder E-Mails erscheint dies schwierig zu realisieren.

Trotzdem ist eine völlige Sicherheit gegen den Zugriff nicht garantiert, da es gewisse Software gibt, welche Codes leicht entschlüsseln kann. Eine Software-Lösung für dieses Problem bietet Jailbreak. Jailbreak (dt. Gefängnisausbruch) beschreibt das Verändern des Betriebssystems (iOS), damit bestimmte Funktionen intergiert werden können, auch solche, die den Zugriff durch Fremde unterbinden.

Bei Android-Geräten kann ein Datentransfer während des Ladens unterbunden werden, wenn in den Einstellungen unter Entwickleroptionen eine Deaktivierung des USB-Debugging vorgenommen wird. Nutzt man diese Funktion bei einem Datentransfer auf den eigenen Computer, sollte diese nach Beendigung des Datenaustausches wieder deaktiviert werden.

Möchten Sie mehr zum Thema „ Öffentliche Ladestationen Datenschutz “ erfahren oder sich dauerhaft im Datenschutz besser positionieren? Nehmen Sie gerne Kontakt zu uns auf oder holen Sie sich ein unverbindliches Datenschutz-Angebot ein

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

Wirkungsbereich der Datenschutzgesetze – Datenschutz bei juristischen Personen

Datenschutz bei juristischen PersonenMit stetig neuen Verfahren und Services, wie Facebook, Twitter und Co., die die Privatsphäre des Einzelnen immer mehr einschränken, drängt sich nicht zuletzt die die Frage nach dem Datenschutz auf. Das Recht auf  informationelle Selbstbestimmung / Datenschutz dient dazu, dem Einzelnen die Möglichkeit zu geben, über seine eigenen (persönlichen) Daten und wie mit diesen zu verfahren ist, zu bestimmen. Informationen (spezifische Daten) werden jedoch nicht nur von natürlichen Personen (Menschen) erzeugt, sondern ebenso von öffentlichen Stellen, von juristischen Personen der öffentlichen Hand (z.B. Anstalten, Körperschaften des öffentlichen Rechts) und der Privatwirtschaft (Unternehmensformen, wie GmbH, AG, OHG, etc.). Diese Stellen haben, ebenso wie natürliche Personen, regelmäßig ein Interesse daran, dass ihre Daten den gleichen Schutz genießen.

Ob die deutschen Datenschutzbestimmungen auch für juristische Personen anwendbar sein sollten, steht seit längerem im Diskurs. Ihr externer Datenschutzbeauftragter informiert im Folgenden, inwieweit eine Ausweitung des Datenschutzrechts auf juristische Personen möglich ist oder zukünftig denkbar sein könnte.

Geltungsbereich der deutschen Datenschutzbestimmungen

Geregelt ist der Geltungsbereich der deutschen Datenschutzbestimmungen im § 1 des Bundesdatenschutzgesetztes (BDSG). Nach diesem werden personenbezogene Daten geschützt, welche in den weiteren Bestimmungen des § 3 Abs. 1 BDSG näher erläutert sind. Nach dieser Legaldefinition sind „personenbezogene Daten Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener).“

So ergibt sich nach dem § 3 Abs. 1 BDSG eine Zuweisung des Schutzes personenbezogener Daten auf natürliche Personen.  Hinter der Begrifflichkeit der natürlichen Person steckt das Rechtssubjekt Mensch, als Träger von Rechten und Pflichten. Rechtsubjekte, die ebenso Träger von Rechten und Pflichten sind, jedoch keine Menschen darstellen, z. B.  Unternehmen, werden unter dem Begriff der juristischen Personen geführt und fallen nach dem Wortlaut des § 3 Abs. 1 BDSG nicht in den Schutzbereich des Bundesdatenschutzgesetzes.

Das Recht auf informationelle Selbstbestimmung

Es besteht jedoch das Recht auf informationelle Selbstbestimmung, welches sich aus den Artikeln 1 und 2 des Grundgesetzes ergibt. Dieser Schutz der informationellen Selbstbestimmung wird wiederum ausgeformt durch die deutschen Datenschutzbestimmungen. Die Datenschutzbestimmungen beziehen sich nach § 3 Abs. 1 BDSG jedoch nur auf natürliche Personen. Das impliziert, dass der deutsche Datenschutz, der durch das Grundgesetz konkretisiert wird, nur auf natürliche Personen Anwendung findet. Eine Anwendung auf juristische Personen ist jedoch nicht auszuschließen, da Art. 19 Abs. 3 GG eine Geltung der Grundrechte auch auf inländische juristische Personen ausweitet. Die Anwendung der Datenschutzbestimmungen auf juristische Personen kann folglich nicht direkt aus dem deutschen Datenschutzgesetz entnommen werden. Der Umweg der Ausweitung des Datenschutzes auf juristische Personen über das Grundgesetz könnte zielführend sein, da juristische Personen des öffentlichen Rechts (z.B. Anstalten, Stiftungen) wie auch des Privatrechtes (z.B. AG, GmbH) ein Interesse daran haben könnten, über ihre unternehmensbezogenen Daten selbst bestimmen zu können.

Datenschutz bei juristischen Personen – Träger der informationellen Selbstbestimmung

Das Oberlandesgericht Niedersachsen hat in seiner Entscheidung 10 ME 385/08 v. 15.05.2009 festgestellt, dass juristische Personen auch Träger informationeller Selbstbestimmung sein können. Dies soll sich aus dem Teilbereich des Persönlichkeitsrechts erschließen, welches juristische Personen innehaben, jedoch sei die Schutzschwelle sehr hoch anzusetzen und daher nicht immer gegeben. Die besagte Schutzschwelle ist erreicht, wenn ein starker Bezug von der natürlichen Person zu der juristischen Person vorliegt, was im folgenden Abschnitt näher erläutert wird.

Datenschutzrechtlicher Schutz der Mitglieder

Eine juristische Person agiert an sich nicht, sondern die dahinterstehenden natürlichen Personen (z.B. Geschäftsführer, Angestellte etc.). Aus diesem Grund wäre eine Ausweitung des Datenschutzes auf die juristische Person denkbar. Wie bereits festgestellt, fallen nur natürliche Personen unter den Geltungsbereich des deutschen Datenschutzes, allerdings kann der Schutz nicht direkt aus der Konstellation „natürliche Person agiert für juristische Person“ entnommen werden. Der Schutz erstreckt sich lediglich auf Belange der natürlichen Person. Die Daten der juristischen Person müssen somit einen unmittelbaren Bezug zu der natürlichen Person aufweisen, um in den Schutzbereich des deutschen Datenschutzes zu gelangen. Somit fallen beispielsweise Angaben über Beschäftigte, die in einem Unternehmen agieren („Der Geschäftsführer Max Mustermann ist seit 2007 zum Geschäftsführer berufen worden.“), oder Angaben über die Gesellschafter des Unternehmens („Der Gesellschafter X ist Wohnhaft in Stadt Y.“),  in den Schutzbereich des deutschen Datenschutzrechtes, allerdings bestehen hier regelmäßig Sondersituationen, da z. B. der Name des Geschäftsführers einer Veröffentlichungspflicht unterliegt.

Anwendbarkeit der Datenschutzgesetze auf Ein-Mann-GmbH und Einzelfirma

Ebenso kann eine Unternehmensbezeichnung unter den Schutzbereich des deutschen Datenschutzgesetzes fallen, indem sie ein personenbezogenes Datum nach dem § 3 Abs. 1 BDSG bildet. Ein solcher Zustand liegt nach der Erklärung des Verwaltungsgerichts Wiesbaden vom 07.12.2007 im Verfahren Az. 6E 928/07 vor, sofern die dahinter agierende natürliche Person Alleinaktionär oder Gesellschafter ist. Diese personelle und finanzielle Verflechtung muss dabei eine so starke Bindung aufweisen, dass die Aktivitäten des Unternehmens direkt der dahinter agierenden natürlichen Person zugewiesen werden kann. Eine solche finanzielle und personelle Verflechtung tritt vermehrt bei Ein-Mann-GmbHs und Einzelfirmen auf. Der Europäische Gerichtshof (EuGH) bestätigte den vom Verfassungsrecht Wiesbaden dargelegten Schutzumfang in dem Urteil vom 9. November 2016, Az. C 92/09 und 93/09, Rz. 54, jedoch besteht nach der Ansicht des Europäischen Gerichtshofes keine Gleichwertigkeit von personenbezogenen Daten und der Daten der juristischen Person.

Differenzierte Betrachtungsweisen des Geltungsbereiches in Nachbarländern

Eine strikte Zuweisung des datenschutzrechtlichen Geltungsbereiches nur auf natürliche Personen, ist jedoch nicht aus der RL 95/46/EG zu entnehmen. Dies gab den Mitgliedstaaten der EU einen Handlungsspielraum, die darin enthaltenen Vorgaben in eigenes Recht umzusetzen. Aus diesem Grund besteht in einigen EU-Ländern (z.B. Österreich, Luxemburg, Dänemark) auch für juristische Personen die Anwendungsmöglichkeit der Datenschutznormen. Der deutsche Gesetzgeber hat die Anwendung der datenschutzrechtlichen Regelungen jedoch auf natürliche Personen beschränkt. Eine Ausnahme von dieser Regelung besteht lediglich dann, wenn ein starker Personenbezug vorliegt, wie bei Ein-Mann-GmbHs und Einzelfirmen, der den Anwendungsbereich des deutschen Datenschutzrechtes auf juristische Personen ausweitet.

Regelungen im Telekommunikationsgesetz (TKG)

Während das Bundesdatenschutzgesetz (BDSG) lediglich auf natürliche Personen anzuwenden ist, erstreckt sich der Anwendungsbereich des Telekommunikationsgesetzes (TKG) auch auf juristische Personen (§ 91 Abs. 1 TKG). Nach diesem werden Daten von juristischen Personen (z.B. AG) oder Personengesellschaften (z.B. OHG) denen von natürlichen Personen gleichgestellt und nach Abschnitt 2 des TKG geschützt. Nach diesem erstreckt sich der Schutzbereich des Telekommunikationsgesetzes auch auf Daten, welche beim Telekommunikationsvorgang von juristischen Personen erzeugt werden oder wurden (Verbindungsdaten).

Anpassung des Geltungsbereiches durch die EU-DSGVO

Mit der Einführung der Europäischen Datenschutzgrundverordnung ist mit einigen Änderungen zu rechnen. Die Verordnung, die 2016 verabschiedet wurde und ab 2018 in allen Mitgliedstaaten der EU gelten soll, hat einen klaren Duktus in Bezug auf den Schutzumfang. Demnach enthält die Europäische Datenschutzverordnung nach Art. 1 DSGVO Vorschriften zum Schutz natürlicher Personen. Ein vollkommener Ausschluss der Anwendung des Datenschutzes für juristische Personen ist fraglich, da die derzeitige Rechtsprechung unter bestimmten Vorrausetzungen den Datenschutzbereich auch auf juristische Personen ausweitet.

Fazit

Die europäische Grundverordnung vereinheitlicht in Europa den Schutzbereich des Datenschutzrechtes und weist diesen nur natürlichen Personen zu. Für Länder außerhalb der EU (z.B. Schweiz) kann ein Schutz der juristischen Person in datenschutzrechtlichen Belangen bestehen. Die Beschränkung des Datenschutzbereiches auf natürliche Personen ist indes nicht fesselndes Paradigma, da derzeit eine richterliche Ausformung des Gesetzes besteht, welches einen Bezug des Datenschutzes auf juristische Personen unter bestimmten Voraussetzungen (Ein-Mann-GmbH und Einzelfirmen) nicht vollkommen ausschließt. Inwiefern sich dies durch die Einführung der Europäischen Datenschutzgrundverordnung im Jahr 2018 ändern wird, bleibt abzuwarten.

Es ist daher ratsam, sich kompetente Unterstützung im Bereich des Datenschutzes einzuholen, um einen Überblick über datenschutzrechtliche Themenbereiche zu bekommen und einer möglichen Haftung wegen Missachtung oder inkorrekter Anwendung des Datenschutzrechts entgegenzuwirken.

Haben Sie weitere Fragen zu Datenschutz bei juristischen Personen oder wollen Sie sich im Datenschutz dauerhaft besser positionieren? Brands Consulting bietet Ihnen optimal Unterstützung in Sachen Datenschutz. Holen Sie sich ein unverbindliches und kostenloses Angebot zum Datenschutz bei uns ein oder nehmen Sie mit uns Kontakt auf und profitieren Sie von unserer Erfahrung.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen

Telegram und Threema – Mehr Datenschutz mit WhatsApp-Alternativen

Datenschutz WhatsApp-AlternativenSind Telegram und Threema Alternativen? Sowohl Datenschutzbeauftragte als auch die Benutzer selbst fragen sich seit Langem, ob Datenschutz mit WhatsApp möglich ist. Insbesondere Nach dem Aufkauf von WhatsApp durch Facebook im Jahre 2014 wechselten viele WhatsApp-Nutzer zu alternativen Instant-Messaging Dienstleistern. Die wohl am häufigsten in den Medien genannten WhatsApp-Alternativen sind Threema und Telegram.

Ihr externer Datenschutzbeauftragter informiert, ob Sie mehr Datenschutz mit den WhatsApp-Alternativen Telegram und Threema erreichen können und gibt ihnen Hinweise, auf was Sie bei der Auswahl eines Instant Messaging Dienstes achten sollten, damit eine ausreichende Datensicherheit sowie der möglichst nachhaltige Schutz Ihrer personenbezogenen Daten besteht.

Instant-Messaging-Dienste

Der wohl erste, den meisten Personen bekannte, Instant-Messaging-Dienst dürfte wohl ICQ sein. Ein Dienst der seit 1998 zu AOL gehörte. Auch nach dem Aufkommen von Smartphones sind die Nachfolger kaum wegzudenken. Nicht nur für Privatpersonen sind Instant-Messaging-Dienste interessant, sondern auch für Unternehmen, da diese eine schnelle und kostengünstige Übermittlung von Daten ermöglichen. Als diese Dienstleistungen aufkamen, waren sie nur für die schnelle Übermittlung von Textnachrichten und kleinen Bildern bekannt. Schnell wurden jedoch neue Funktionen integriert und gestatteten den heutigen Nutzern die Möglichkeit, Bilder wie auch Audio- und Video-Streams an andere Instant-Messaging-Nutzer zu übermitteln.

Datenschutzrechtliche Bewertung der WhatsApp-Übernahme durch Facebook

Besonders der Instant-Messaging-Dienst WhatsApp erfreute sich immer größerer Beliebtheit bei den Nutzern und verbreitete sich rasant. Vor allem in Erinnerung geblieben ist die Übernahme WhatsApp durch die Social-Network-Plattform Facebook im Februar 2014. Die Übernahme durch Facebook wurde hinreichend kritisch betrachtet, nicht zuletzt aufgrund des mangelhaften Umgangs von Facebook mit dem Datenschutz, der wohl bis heute bestehen dürfte. Grund für die Defizite im Bereich Datenschutz könnte sich aus dem Unternehmenssitz von Facebook, welcher sich in den Vereinigen Staaten befindet, erschließen, da derzeit noch keine hinreichenden Vereinbarungen mit den Vereinigten Staaten hergestellt werden konnten, um dem datenschutzrechtlichen Standard der EU zu genügen. Zumindest wird erhebliche Kritik am EU-US-Privacy-Shield durch Datenschützer geäußert. Besonders im Fokus stand bei der Übernahme die Anpassung der Datenschutzbestimmungen in WhatsApp durch Facebook. Diese erlaubt dem Betreiber (WhatsApp), Benutzermedien für kommerzielle Zwecke zu Nutzen. Viele Medien rieten, inspiriert durch Datenschützer und Datenschutzbeauftragte, daher zu alternativen Anbietern zu wechseln, um dem Risiko der unfreiwilligen Datenweitergabe zu entgehen. Häufig angepriesen wurden die Anbieter Threema und Telegram. Diese und WhatsApp sollen in den Punkten:

  • Standort des Servers (da nicht in jedem Land ein gleiches Datenschutzniveau besteht),
  • Verfahren,
  • Sicherheitsdefizite,
  • weitere Entwicklung

auf ihre datenschutzrechtliche Konformität überprüft werden, um Ihnen einen Überblick über die datenschutzrechtliche Sicherheit der genannten Dienste zu gestatten.

Datenschutz mit WhatsApp – Marktführer mit Datenschutzmängeln

WhatsApp ist derzeit der Markführer im Bereich der Instant-Messaging-Dienste. Im vergangenen Jahr 2016 knackte der Anbieter die Marke von einer Milliarde Nutzer und ist derzeit der Instant-Messaging-Dienst mit der höchsten Nutzerzahl.

  • Standort des Servers

Der Sitz des Anbieters befindet sich in den USA, wo sich auch der entsprechende Server befindet. Datenschutzrechtlich ist dies kritisch zu betrachten, da derzeit in den USA ein niedrigerer Datenschutzstandard bestehen dürfte als in der EU.

  • Verfahren

Für die Nutzung der App ist nach der Installation eine Registrierung mit Angabe der eigenen Telefonnummer vorgesehen. Die Nummer, die der Nutzer preisgibt wird von WhatsApp gespeichert, dabei wird die Nummer so spezifiziert, dass sie nur diesem Nutzer zugeschrieben werden kann. Mit dieser Methode ist es dem Nutzer nun möglich, mit der Eingabe von Telefonnummern andere WhatsApp-Nutzer ausfindig zu machen und mit diesen über die App / durch Push-Mitteilungen zu kommunizieren.

  • Sicherheit

Seit 5. April 2016 führte WhatsApp die End-to-End-Verschlüsselung ein, die dem Nutzer unter anderem nach dem Einscannen eines QR-Codes bestätigt wird. Die Nachrichten oder Telefonate werden beim Versenden verschlüsselt und können nur vom Empfänger und Versender der Nachricht eingesehen werden. Die Sicherheit des Verfahrens basiert auf den Aussagen von WhatsApp und kann nicht überprüft werden, da es sich um eine Software handelt, welche dem Nutzer und Dritten nur eingeschränkt zugänglich ist. Eine abschließende Bewertung, ob es sich tatsächlich um eine sichere Verschlüsselung handelt, ist daher nicht möglich. Wenn Sie mehr zu der End-to-End-Verschlüsselung von WhatsApp erfahren möchten, dann lesen Sie gerne unseren Beitrag „Eine Revolution: WhatsApp-Verschlüsselung – mehr Datenschutz bzw. Datensicherheit?“.

  • Sicherheitsdefizite

In die Schlagzeilen geriet WhatsApp, wie bereits erwähnt, mit dessen Aufkauf durch den Betreiber der Social Media Plattform Facebook. Anders als zunächst angekündigt, strebte Facebook mit dem Kauf die kommerzielle Nutzung der Benutzerdaten von WhatsApp an. Weiterhin wurde bekannt, dass

  • die Telefondaten der WhatsApp-Nutzer an Facebook unverschlüsselt übermittelt wurden.
  • Fremde sich leicht Zugang zu WhatsApp-Konten verschaffen konnten. Für den Zugang benötigten diese nur geringfügige Informationen (Handynummer oder Seriennummer des Handys) des Nutzers.
  • Weiterhin konnte sich eine Hackergruppe Zugang zu einer Mehrzahl von WhatsApp-Nutzerkonten verschaffen.
  • Ebenso wurde bekannt, dass das System mehrere Sicherheitslücken aufwies, die WhatsApp in gewissen Abständen behob.
  • Weitere Entwicklung

Im September 2016 hatte WhatsApp eine Änderung seiner Datenschutzerklärung verkündet. Diese gab WhatsApp das Recht, Kontaktdaten des Nutzers an Facebook weiterzuleiten. Mit diesem Vorgehen versprach sich Facebook, Werbung besser personalisieren zu können. Der Verbraucher konnte zwar der Zusendung personalisierter Werbung widersprechen, nicht jedoch der Datenübertragung. Eine Vielzahl von datenschutzrechtlichen Klagen gingen gegen dieses Verfahren ein und erreichten einen derzeitigen Datenweitergabe-Stopp (nähere Informationen erhalten Sie in unserem Beitrag: „Facebook stoppt Datenweitergabe – Hoffnung für den „ WhatsApp Datenschutz“?“)

Datenschutz mit Threema – Messenger mit Fokus auf Datensicherheit

Bei dem Instant-Messenger Dienst Threema steht besonders die Datensicherheit im Fokus der Dienstleistung. Die kostenpflichtige App ist dabei, wie andere Instant-Messaging-Dienste, auf Smartphones und auch auf Tablets nutzbar.

  • Standort des Servers

Der Standort des Unternehmens befindet sich in der Schweiz, wo sich nach Aussagen des Unternehmens auch der Server befindet.

Die europäische Kommission hat der Schweiz, welche als Drittstaat gilt, ein mit der EU vergleichbares Datenschutzniveau attestiert.

  • Verfahren

Mit Herunterladen der Threema-App auf das Handy ist der Registrierungsvorgang abgeschlossen. Es ist für die Anmeldung nicht nötig, personenbezogene Daten wie Name, Alter, etc. anzugeben. Das Hinzufügen von Kontakten kann über drei verschiede Verfahren erfolgen. Diese haben verschiede Sicherheitsstufen und bestimmen den Grad, wie „genau“ nach dem Kontakt gesucht werden soll. Threema erklärte dabei, dass bei der höchsten Stufe ein personifizierter QR-Code des gesuchten Kontaktes eingescannt wird und somit mit größter Wahrscheinlichkeit der gesuchte Kontakt ermittelt werden kann. Das Verfahren sei im Vergleich zu der Variante, bei der Telefonnummern abgeglichen werden, konkreter und sicherer, da mit einer höheren Wahrscheinlichkeit die gesuchte Person erreicht wird und nicht ein fremder Dritter.

  • Sicherheit

Threema nutzt mehrere Verschlüsselungsverfahren, darunter nach eigenen Angaben die quelloffene NaCl („salt“ ausgesprochen) Bibliothek — dabei werden längere Zeichenketten (Schlüssel) vom Versender an den Empfänger weitergeleitet. Diese Zeichenketten sind dem Empfänger und dem Versender zugewiesen, d.h. jeder sendet seine eigene Zeichenkette, ohne dass eine mögliche Zuweisung auf den anderen möglich wäre. Die Zeichenketten besitzen dabei jeweils zwei Teile, einen geheimen und einen nicht geheimen Teil. Mit dem nicht geheimen Teil können die verschlüsselten Daten entschlüsselt werden und eine digitale Signatur (einer bestimmten Person zugeschrieben) erzeugen oder die Person authentifizieren.

Außerdem wird bei der Kommunikation zwischen dem Server und der App das Verfahren PFS (Perfect Forward Secrecy) verwendet. Dieses soll einen umfangreichen Schutz beim Datentransfer ermöglichen, da dieses System die Nachricht so stark verschlüsselt, dass die eigentliche Nachricht nach einer Sitzung nicht mehr rekonstruiert werden kann.

Ebenso wie WhatsApp nutzt Threema die End-to-End-Verschlüsselung. Threema ließ verlauten, dass bei der End-to-End-Verschlüsselung von der Verwendung des PFS-Verfahrens abgesehen wurde, da dies zu erhöhter Komplexität beim Protokoll und Server führen würde und dadurch Sicherheitslücken auftauchen könnten.

  • Sicherheitsdefizite

Zum derzeitigen Stand sind keine Datenschutzmängel bekannt. Kritisiert wurde der Anbieter lediglich dafür, seine Quellcodes nicht offen zu legen. Daher ist nicht bekannt, ob Threema tatsächlich die genannten Methoden anwendet. Threema ermöglicht dem Nutzer einen Einblick in die Funktionen und die Sicherheit des Programmes per Reserve Engineering (Nachgestellter Quellcode), was wiederum keinen Nachweis bietet, dass genau diese Funktionen angewandt werden. Im November 2015 wurde jedoch ein Sicherheitsdienstleister aus der Schweiz (cnlab security AG) eingeschaltet, welcher das Programm auditierte und für sicher befand. Es ist allerdings unklar, ob der vom Sicherheitsdienstleister überprüfte Quellcode, der tatsächlich genutzte Code ist.

  • Weitere Entwicklung

Derzeit erwägt Threema einen Wegzug aus der Schweiz, da dort nach einer neuen Verordnung Messaging-Dienste in bestimmten Fällen unter die Pflicht der Vorratsdatenspeicherung fallen.

Datenschutz mit Telegram –  Sicherheit durch verschlüsselte Chats

Die Telegram-App erfreut sich derzeit großer Beliebtheit, was vor allem daran liegen könnte, dass diese App im Gegensatz zu Threema kostenlos heruntergeladen werden kann.

  • Standort des Servers

Laut Telegram sind deren genutzte Server weltweit ansässig. Telegram spezifizierte diese Angabe auf dessen Twitter-Account, wonach für Europa ein in London befindlicher Server genutzt wird. Derzeit bestehen zwar noch keine Bedenken bezüglich des Datenschutzniveaus in Großbritannien, jedoch könnte sich dies in Zukunft ändern, sobald der Brexit vollzogen ist. Bedenklich wiederum sind, die von Telegram verwendeten Cloud-basierten Chats, wodurch Daten auf mehreren verschieden Servern weltweit gespeichert werden. Nach Angaben von Telegram besitzt das Unternehmen ebenso Server in Drittstaaten, die kein angemessenes Datenschutzniveau besitzen.

  • Verfahren

Telegram agiert im Bereich der Kontaktsuche, wie auch WhatsApp, mit der Personalisierung der Telefonnummer, die durch eine SMS bestätigt wird. Der Dienst ist nicht an ein Gerät gebunden, sondern kann mit der eingegebenen Telefonnummer, die der „Zugangscode“ ist, auch mit anderen Geräten genutzt werden. Die Kontaktsuche erfolgt, ebenso wie bei WhatsApp, per Eingabe der Telefonnummer oder per Synchronisation mit dem Handy-Adressbuch.

Durch eine offene Programmierschnittstelle (API) können auch unabhängige Entwickler eigene Clients entwickeln, weshalb auch inoffizielle Versionen von Telegram existieren.

  • Sicherheit

Telegram verwendet mehrere Verschlüsselungssysteme, u.a. die End-to-End-Verschlüsselung. Diese bestehen zum Teil aus bestehenden Verfahren und aus eigens entwickelten Verfahren, wie beispielsweise Cloud-basierte Chats.  Daten zwischen dem Endgerät (Handy) und den Servern, die auf der ganzen Welt verteilt sind, werden verschlüsselt. Die verschlüsselten Daten und der Schlüssel werden dabei auf unterschiedlichen Servern gespeichert.

  • Sicherheitsdefizite

Telegram-Kritiker bemängeln, dass der Anbieter teilweise quelloffene Verfahren und teils veraltete Algorithmen sowie nicht häufig verwendete Verfahren nutzt. Telegram reagierte prompt auf diese Kritik und schaltete einen Wettbewerb, der die Sicherheit des Programmes nachweisen sollte. Herausgefundene Sicherheitslücken wurden dabei behoben, jedoch verebbten die Kritikerstimmen nicht. Zu kurz sei die Zeit und zu gering die Informationen, die Telegram den Wettbewerbsteilnehmern gewährte, wodurch diesen keine hinreichende Möglichkeit gegeben wurde, einen geeigneten Hackerangriff zu simulieren.

Weiterhin wird bemängelt, dass die App Adressdaten der Nutzer ohne Benachrichtigung der Nutzer speichert. Dieses Verfahren ist aber in den AGB des Dienstleisters angegeben.

  • Weitere Entwicklung

Im Herbst 2016 wurde bekannt, dass iranische Hacker sich Zugang zu einer Vielzahl von Telegram-Accounts verschafften und Nutzer identifiziert wurden. Der Telegram-Gründer gab dabei an, dass ihm das Risiko bekannt sei und Nutzer in bestimmten Ländern zunehmend davor gewarnt wurden. Er rät Nutzern zu einer Zwei-Wege-Authentifizierung, die neben der SMS-Verifizierung durch ein Passwort bestätigt werden muss.

Anfang 2017 führte Telegram eine neue Funktion ein, die dem Nutzer die Möglichkeit gibt, bereits gesendete Nachrichten zu löschen. Weiterhin soll im Verlauf des Jahres eine Funktion eingeführt werde, die dem Nutzer ermöglicht, via Telegram zu telefonieren.

Datenschutz mit WhatsApp-Alternativen – Fazit

Threema und Telegram bieten im Vergleich zu WhatsApp in bestimmten Bereichen eine datenschutzrechtlich adäquatere Handhabe, dennoch sollten Sie sich bewusst machen, dass kein Programm der Welt Ihnen 100% Sicherheit garantieren kann. Die ständige Weiterentwicklung der technischen Möglichkeiten bietet sowohl Erleichterungen als auch Risiken. Hackerangriffe können jedes Programm treffen. Genauso können erst nach längerer Zeit Sicherheitslücken auftreten, da neue Verfahren alte Verschlüsselungstechniken hinfällig machen können. Jede Anwendung, die personenbezogene Daten verarbeitet, beinhaltet einen Risikofaktor, welcher nicht beseitigt, jedoch minimiert werden kann. Sofern Sie beabsichtigen, neue Verfahren oder Programme in Ihr Unternehmen einzuführen, sollten Sie stets die Meinung Ihres Datenschutzbeauftragten einholen und das Verfahren durch eine Vorabkontrolle von diesem prüfen lassen. Daneben müssen sich Nutzer darüber bewusst sein, dass derartige Tools einer Finanzierung bedürfen. Ist für den Nutzer keine dauerhafte Einnahmequelle des Betreibers ersichtlich, so könnte dies ein Indiz für eine Zweckentfremdung der eigenen Daten sein.

Möchten Sie mehr zum Datenschutz mit WhatsApp, Threema, Telegram oder anderer Instant-Messaging-Dienste erfahren oder sich im Datenschutz dauerhaft besser positionieren? Brands-Consulting steht Ihnen als Ansprechperson gerne zur Seite. Nehmen Sie gerne Kontakt zu uns auf oder holen Sie sich ein unverbindliches Datenschutz-Angebot ein

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen

Versendung von E-Mails mit „An“ und „CC“ – Wieso offene E-Mail-Verteiler Datenschutz-Risiken verursachen können

E-Mail-Verteiler DatenschutzDas Versenden von E-Mails an eine Vielzahl von Empfängern erfolgt alltäglich, besonders im hektischen Büroalltag können durch offene E-Mail-Verteiler Datenschutz-Risiken entstehen.  Diese Unachtsamkeit kann dabei nicht nur Sanktionen für den Mitarbeiter bedeuten, sondern Folgen für die Unternehmensleitung mit sich bringen.

Ihr externer Datenschutzbeauftragter informiert über die datenschutzrechtlichen Risiken und erklärt, wie Sie diese vermeiden können.

Namensbezogene E-Mail-Adressen

E-Mail-Adressen aus den Bestandteilen des Namens sind in der Praxis häufig anzutreffen, vor allem im beruflichen Zusammenhang ist z.B. die Konstellation (vorname.)name@unternehmen.de üblich, da somit einerseits eine direkte Zuweisung der E-Mail auf einen Mitarbeiter möglich ist und andererseits der Absender dem Kunden/Nutzer vertrauenswürdiger erscheint, da ein direkter Bezug zu einer Person ermöglicht wird. Das Bundesdatenschutzgesetz schützt solche Informationen mit Personenbezug, unabhängig davon, ob diese eine direkte oder indirekte Zuweisung zu einer natürlichen Person ermöglichen (§ 3 Abs. 1 Bundesdatenschutzgesetz (BDSG)). Aus diesem Grund sollten auch die E-Mail-Adressen, die keine direkte Zuordnung zu einer Person ermöglichen, geschützt werden, da unter Zuhilfenahme weiterer Informationen in der Regel eine Zuordnung möglich ist.

Kriterien für die Nutzung personenbezogener Daten

Eine Nutzung, Verarbeitung oder Speicherung von personenbezogenen Daten ist öffentlichen sowie nicht öffentlichen Stellen nur dann gestattet, sofern

  • der Betroffene dem Verfahren zustimmt oder
  • eine entsprechende gesetzliche Regelung dies erlaubt (§ 4 Abs. 1 BDSG).

Wieso offene E-Mail-Verteiler Datenschutz-Risiken verursachen können

Bei E-Mails handelt es sich um personenbezogene Daten, da grundsätzlich eine Zuweisung zu einer Person möglich ist. Wird darauf nicht geachtet, kann es schnell zu einem Verstoß und zu Sanktionen führen. So verhängte das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) ein Bußgeld an einen Mitarbeiter eines Handelsunternehmens. Der Mitarbeiter hatte eine E-Mail an einen größeren Empfängerkreis verschickt und die beabsichtigten Empfänger im „An:“ oder „CC:“ Feld des E-Mail-Programmes angegeben. Durch das Versenden der E-Mails waren die E-Mail-Adressen nun allen Empfängern sichtbar. Da es sich bei E-Mails – wie bereits erwähnt – um personenbezogene Daten handelt, sind diese vom Bundesdatenschutz geschützt. Aufgrund des Versendens der Mitarbeiter-E-Mails an fremde Dritte, mit denen kein Arbeitsverhältnis bestand, war auch kein interner Arbeitsbezug gegeben. Eine Zustimmung der betroffenen Mitarbeiter war folglich notwendig, da diese Dritten sichtbar waren. Weiterhin kündigte das Bayerische Landesdatenschutzamt an, in Zukunft bei ähnlich gelagerten Fällen ebenso gegen die Unternehmensleitung vorzugehen. Diese sei laut BayLDA dazu verpflichtet, entsprechende Dienstanweisungen und Überwachungsmaßnahmen zu stellen, die einen Verstoß vermeiden würden.

Kurzum hatte der Mitarbeiter des geschilderten Falles gravierende Fehler begangen, welche das Bußgeld begründeten. Diese bestanden hauptsächlich darin, die E-Mail Liste offen zu versenden, welche nicht nur Mitarbeitern des Unternehmens kenntlich war, sondern auch einem Empfängerkreis außerhalb des Unternehmens ermöglichte, von den E-Mail-Adressen Kenntnis zu nehmen.

Wie diese Umstände vermieden werden können und worauf bei der Versendung von E-Mails an mehrere Empfänger zu achten ist, wird in den folgenden Abschnitten näher erläutert. In Zweifelsfällen können Sie sich immer an Ihren Datenschutzbeauftragten wenden.

Interne und externe Versendung von E-Mails – datenschutzrechtlich konforme Vorgehensweise beim Versenden von E-Mails an mehrere Empfänger

Eine entsprechende gesetzliche Regelung, welche den Zustimmungsvorbehalt des Betroffenen aushebeln könnte, findet sich im § 28 BDSG. Hiernach ist die Verarbeitung, Nutzung, Übermittelung und Speicherung personenbezogener Daten öffentlichen Stellen des Bundes und nicht öffentlichen Stellen gestattet, sofern es zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen überwiegt. Dies könnte beispielweise vorliegen, wenn eine Rund-E-Mail an die Arbeitskollegen versendet werden soll und die E-Mail-Adressen der Kollegen intern bekannt sind oder wenn eine E-Mail an einen Kunden versendet wird und der Kollege ebenfalls an dem Projekt beteiligt ist.

Versendungsmöglichkeiten von E-Mail – „CC“, „An:“ und „BCC:“

Wird eine E-Mail nur an einen Empfänger versendet, werden nur zwei Adressen angegeben: die des Versenders und des Empfängers. Dies ändert sich jedoch, wenn die E-Mail an eine Vielzahl von Empfängern gerichtet ist. In diesem Fall gibt es drei alternative Adressfelder. Diese sind:

  • „An:“
  • „CC:“ (Carbon Copy = Kopie)
  • „BCC:“ (Blind Copy = nicht sichtbare Kopie)

Wird dabei eine Empfänger-Adresse in „BCC:“ eingetragen und versendet, ist diese Adresse nicht in der E-Mail-Liste vermerkt. Die anderen E-Mail-Adressen, welche in „An:“ und „CC:“ eingetragen wurden, sind hingegen in der E-Mail-Liste vermerkt und allen Empfängern der E-Mail sichtbar. Wie bereits im oberen Abschnitt erläutert ist eine offene E-Mail-Adressenliste datenschutzrechtlich unbedenklich, solange der E-Mail-Verkehr innerhalb der verantwortlichen Stelle stattfindet oder die Mitarbeiter des Unternehmens mit dem Dritten vertraut sind und Kenntnis über dessen E-Mail-Adresse haben. Soll die E-Mail auch an Personen außerhalb der verantwortlichen Stelle weitergeleitet werden, welche den Mitarbeitern unbekannt sind, so ist von diesen für die Haftungsvermeidung entweder

  • eine Zustimmung der Weiterleitung der E-Mail-Adresse via offener E-Mail-Verteiler erforderlich oder
  • die betroffenen Mitarbeiter sind in „BCC:“ zu setzen.

Fazit

Aufgrund der Haftungsmöglichkeit bei einer datenschutzverletzenden Versendung offener E-Mail-Adresslisten an fremde Dritte sollte sich die Unternehmensleitung um datenschutzrechtliche Vorkehrungen bemühen, um möglichen Bußgeldern zu entgehen. Eine sinnvolle Maßnahme wäre, die Mitarbeiter über datenschutzrechtliche Risiken in Form einer Datenschutzschulung aufzuklären, um den Mitarbeitern die Möglichkeit zu geben, Datenschutzrisiken zu erkennen und zu vermeiden. Datenschutzrechtliche Schulungen fallen dabei in der Regel in den Aufgabenbereich des Datenschutzbeauftragten. Ferner kann es sinnvoll sein, klare Vorgaben in Betriebsvereinbarungen, Richtlinien und Arbeitsanweisungen zum Datenschutz zu erlassen / zu schließen. Auch in diesem Zusammenhang unterstützen wir Sie sehr gerne mit fachkundigem Rat.

Haben Sie noch Fragen zum Thema „ E-Mail-Verteiler Datenschutz “ oder möchten Sie sich im Datenschutz dauerhaft besser positionieren?  Dann holen Sie sich ein unverbindliches Angebot zum Datenschutz ein oder nehmen Sie direkt Kontakt mit uns auf.

Nützliche Dienstleistungen können z. B. sein:

 Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

Warum Marketing und Datenschutz manchmal nicht miteinander können, aber ohne einander nicht sollten

Marketing und DatenschutzVielen Unternehmen fällt es schwer Marketing und Datenschutz unter einen Hut zu bekommen. Wurde früher Werbung vermehrt auf dem postalischen Weg übersendet, so ergeben sich für Unternehmen heute viele weitere Wege, um für Produkte und Dienstleistungen zu werben. Neben dem Einsatz von Newslettern, die via E-Mail übersendet werden, gewinnt auch die Freundschafts- oder Beipackwerbung an Bedeutung, allerdings wird bei den Werbemaßnahmen der Datenschutz häufig in den Hintergrund gestellt.

Ihr externer Datenschutzbeauftragter erklärt, wieso Sie Marketing und Datenschutz nicht getrennt betreiben sollten und welche Datenschutz-Risiken beim Einsatz bzw. dem Versand von Werbung drohen.

Marketing und Datenschutz – Datenschutzrechtliche Grundlagen

Laut § 4 Abs. 1 des Bundesdatenschutzgesetzes (BDSG) ist eine Erhebung, Verarbeitung und/oder Nutzung personenbezogener Daten nur erlaubt, wenn eine Rechtgrundlage oder informierte und wirksame Einwilligungen der Betroffenen vorliegen.

Werbung auf dem postalischen Weg

Möchten Unternehmen für ihre Angebote, Dienstleistungen und Produkte auf dem Postweg werben, so sollten sie insbesondere einen Blick auf § 28 Abs. 3 Satz 2 BDSG werfen, denn dieser erlaubt die Verarbeitung und Nutzung von Listendaten. Zu den Listendaten zählen unter anderem der Name, die Anschrift, der akademische Grad sowie das Geburtsjahr.

Unternehmen, die Werbung via Post versenden, sollten allerdings beachten, dass sie Betroffene über ihr Widerspruchsrecht informieren sollten und sofern ein Betroffener von diesem Recht Gebrauch gemacht hat, eine weitere Verarbeitung und Nutzung zu Werbezwecken zwingend unterbleiben sollte.

Werbung auf dem telefonischen Weg

Werbemaßnahmen via Telefon haben in den letzten Jahren stark abgenommen, wobei zum einen die „neuen“ Möglichkeiten aber auch der hohe Aufwand eines datenschutzkonformen Einsatzes ein Grund dafür sein können.

Unternehmen ist von Werbemaßnahmen via Telefon ohne informierter und freiwilliger Einwilligung abzuraten, wobei diese insbesondere von Privatkunden eingeholt werden sollten. Bei Geschäftskunden reicht die mutmaßliche Einwilligung aus. Dies bedeutet, dass konkrete Umstände, dass der Betroffene ein Interesse am Telefonat hat, vorliegen müssen, wobei das Risiko für die fehlerhafte Einschätzung beim werbenden Unternehmen liegt. Aus diesem Grund ist auch im Business-to-Business-Bereich von einer Werbeansprache via Telefon eher abzuraten oder zumindest eine strukturierte Umsetzung sinnvoll. Für diesbezügliche Fragen sollten Sie Ihren betrieblichen Datenschutzbeauftragten konsultieren.

Werbung auf dem elektronischen Weg

Die Werbeansprache via E-Mail dürfte derzeit der beliebteste Weg sein. Ursächlich ist hierbei in der Regel der vermeintlich günstige Preis eines digitalen Mailings. Allerdings sollten auch hier einige Maßnahmen ergriffen werden, um Datenschutz-Risiken zu minimieren. Insbesondere im Business-to-Customer-Bereich (B2C-Geschäft) ist das Einholen von informierten Einwilligungen anzuraten, außer das Unternehmen erfüllt die in § 7 Abs. 3 Gesetz gegen den unlauteren Wettbewerb (UWG) genannten Bedingungen. Diese wären Folgende:

  1. das Unternehmen hat die E-Mail-Adresse mit dem Verkauf einer Ware oder Dienstleistung von dem Kunden erhalten,
  2. das Unternehmen verwendet Werbung für eigene ähnliche Waren oder Dienstleistungen,
  3. der Kunde/der Empfänger der Werbung hat der Verwendung nicht widersprochen und
  4. der Kunde/der Empfänger wird sowohl bei der Erhebung der E-Mail-Adresse als auch bei jeder Verwendung über sein Widerrufsrecht informiert.

Sind die Bedingungen nicht bzw. teilweise nicht erfüllt, so ist das Einholen von informierten und freiwilligen Einwilligungen, insbesondere bei Privatkunden, dringend anzuraten. Unternehmen sollten darauf achten, dass sie den Betroffenen beim Einholen der Einwilligung ausreichend über die Datenerhebung, -verarbeitung und –nutzung sowie über das Widerspruchsrecht informieren. Auch sollte darauf geachtet werden, dass Betroffene bewusst einwilligen, indem sie zum Beispiel gezielt Häkchen setzen.

Ja ich willige ein, dass …

Ein weiterer Fehler, der in der Praxis häufig vorkommt, ist die Kopplung von Einwilligungen an Gewinnspielen oder Bestellungen. Unternehmen sollten darauf achten, dass sie für den Versand von elektronischer Werbung (Newsletter) explizite Einwilligungen einholen sollten.

Im Business-to-Business-Bereich (B2B-Geschäft) sollte der Versand von Newslettern ebenfalls über das sogenannte Double-Opt-in-Verfahren erfolgen. Dies bedeutet, dass Newsletter, wie bereits erläutert, erst versendet werden dürfen, wenn der Betroffene eingewilligt hat. Nach Einwilligung des Betroffenen sollte dieser eine Verifizierungs-E-Mail erhalten, um zu bestätigen, dass die angegebene E-Mail-Adresse auch ihm gehört.

Wurde allerdings ein Interesse des Geschäftskunden geäußert (gilt nicht für Privatkunden!!!) und dieser hat die Kontaktdaten hinterlassen, dann dürfen Newsletter ohne vorheriges Einholen von Einwilligungen übersendet werden, allerdings sollte der Geschäftskunde über sein Widerrufsrecht informiert werden. Zudem sollte auch hier beachtet werden, dass das Risiko für die fehlerhafte Einschätzung beim werbenden Unternehmen liegt. Durch Unternehmen eigenständig durchgeführte Risikokalkulationen führen in der Regel dazu, dass einfach geworben wird. Binden Sie daher zur konkreten Beurteilung auch hierbei Ihren Datenschutzbeauftragten

Sonstige Werbemaßnahmen

Neben den klassischen Werbemaßnahmen gewinnen auch Freundschafts- oder Beipackwerbung an Bedeutung. Auch werden verstärkt soziale Medien oder zielgerichtete Werbung auf der Basis von Analyseverfahren eingesetzt, um möglichst gezielt für Produkte und Dienstleistungen zu werben.

Bei Freundschaftswerbungen erhalten die Kunden die Möglichkeit, Freunden ein bestimmtes Produkt oder den Newsletter zu empfehlen. Dabei wird die Empfehlungs-E-Mail oftmals mit Gutscheinen, Werbegeschenken, etc. verknüpft. Bietet ein Unternehmen seinen Kunden diese Option an, so sollten ebenfalls einige Risiken beachtet werden, da auch bei den Empfehlungs-E-Mails Abmahnungen und Bußgelder keine Seltenheit sind. Insbesondere die fehlende ausdrückliche und informierte Einwilligung des Empfängers der Empfehlungs-E-Mail stellt Unternehmen vor viele offene Fragen und zahlreiche Risiken. Aus diesem Grund ist vor dem Einsatz von Freundschaftswerbung abzuraten.

Anderes sieht dies allerdings bei der Beipackwerbung aus, sofern einige Maßnahmen ergriffen werden. Soll Beipackwerbung verschickt werden, so sollte ebenfalls darauf geachtet werden, dass ausschließlich Listendaten verwendet werden dürfen. Zudem sollte der Betroffene/der Empfänger ebenfalls über sein Widerrufsrecht und, um von diesem Gebrauch machen zu können, über die verantwortliche Stelle informiert werden.

Werden soziale Medien eingesetzt, um das Unternehmen vorzustellen, so sollte z. B. grundsätzlich darauf geachtet werden, dass das Impressum und die Datenschutzerklärung hinterlegt oder von der Seite des jeweiligen Mediums, wie zum Beispiel Facebook, verlinkt werden. Sofern soziale Netzwerke für weitere Zwecke, wie zum Beispiel für Gewinnspiele, eingesetzt werden, sollten weitere Maßnahmen, die im Einzelfall unterschiedlich ausfallen können, ergriffen werden. Spätestens bei der Planung von Werbung auf der Basis der Datensätze, die über Analysetools gewonnen wurden, sollte fachkundiger Rat eingeholt werden. Ihr Ansprechpartner ist hierfür Ihr interner oder externer Datenschutzbeauftragter.

Fazit

Werbemaßnahmen, ob telefonisch, postalisch, elektronisch oder auf einem anderen Weg, waren und werden für Unternehmen wichtig bleiben, allerdings sollten Unternehmen nicht außer Acht lassen, dass Marketing und Datenschutz nicht voneinander zu trennen sind. Der Einsatz von Werbung kann – je nach Maßnahme – zahlreiche Datenschutz-Risiken mit sich bringen, die vor der Durchführung genauestens betrachtet und minimiert werden sollten.

Möchten Sie mehr zu Marketing und Datenschutz erfahren oder sich im Datenschutz dauerhaft besser positionieren? Brands-Consulting steht Ihnen als Ansprechperson gerne zur Seite. Nehmen Sie gerne Kontakt zu uns auf oder holen Sie sich ein unverbindliches Datenschutz-Angebot ein

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen

Skype, WhatsApp, Facebook Messenger, iMessage & Co. – Datenschutz-Risiken bei Instant Messaging-Diensten

Instant-Messaging-Dienste DatenschutzDas Aufkommen neuer Messaging-Dienstleister geht Hand in Hand mit der Verbreitung sowie dem beruflichen und gemischten (privat / beruflich) Einsatz von Handys und sonstigen meist mobilen Endgeräten. Insbesondere in Unternehmen, aber auch in anderen Organisationen (Behörden, Vereine, der Kirche …), ist der Gebrauch
von Instant-Messaging-Dienstleistungen attraktiv, da diese eine schnelle Nachrichtenübermittlung garantieren und eine günstige Alternative zur SMS bilden. Es sollte dabei aber nicht außer Acht gelassen werden, dass solche Instant-Messaging-Dienste Datenschutz-Risiken mit sich bringen können. Daher ist es ratsam, zu wissen, wie solche Dienste mit personenbezogenen Daten, Geschäfts- und Betriebsgeheimnissen verfahren.

Ihr externer Datenschutzbeauftragter informiert, worauf verantwortliche Stellen bei der Nutzung von Instant-Messaging-Dienstleistungen achten sollten und wieso Instant-Messaging-Dienste Datenschutz-Risiken verursachen können.

Instant-Messaging-Dienstleistungen

Instant Messaging ist, wie der Name sagt, ein Nachrichtensofortversand und stellt eine Kommunikationsmöglichkeit dar. Diese erfolgt durch das Versenden von Kurzmitteilungen, welche der Absender durch das sogenannte Push-Verfahren auslöst. Die versendete Nachricht erhält der Empfänger dabei unmittelbar auf seinem Handy, Computer oder sonstigem mobilen Endgerät. Um diesen Dienst nutzen zu können, müssen die Nutzer über ein Programm (Client) verfügen. Eine wichtige Gruppe der Clients bzw. hierfür erforderlichen Programme sind neben klassischen Apps die Webbrowser. Ein Einsatz ist daher regelmäßig mit nur sehr geringen Hürden möglich.  Die eingesetzten Clients verbinden die Nutzer über ein Netz direkt mit dem Server. In der Regel ist es auch möglich, Nachrichten an Teilnehmer zu senden, welche derzeit gar nicht online sind. Diese erhalten ihre Nachrichten, sobald sie wieder mit dem Internet verbunden sind. Hierbei ist es offensichtlich, dass Datensätze zumindest zwischengespeichert werden müssen.

Mit der Updateinformation zum WhatsApp Messenger der Version 2.17.2 vom 26.01.2017 informiert  Whatsapp wie folgt „Du kannst jetzt bei Nachrichten auf Senden tippen, auch wenn du keine Verbindung hast. Diese Nachrichten werden dann automatisch gesendet, sobald dein Telefon wieder mit dem Internet verbunden ist.“ Hat der Versender Internet, wird die Nachricht somit versendet. Hat zu diesem Zeitpunkt der Empfänger allerdings keinen Netzzugang, so wird die Nachricht gespeichert, bis der Nutzer wieder erreichbar ist. Zwischen Versand und Empfang kann hierdurch eine längere Zeitperiode entstehen, in der die Daten / Informationen zumindest zwischengespeichert werden.

Instant-Messaging-Systeme innerhalb von IT-Richtlinien/-Betriebsvereinbarungen/-Dienstvereinbarungen

Häufig werden Instant-Messaging-Systeme innerhalb der IT-Sicherheitsrichtlinien, Betriebsvereinbarungen oder Dienstvereinbarungen von Organisationen nicht ausreichend eingebunden bzw. berücksichtigt. Messaging Systeme werden zu pauschal ohne individuelle Betrachtung und Berücksichtigung den Telekommunikationsdiensten zugeordnet, worunter auch die E-Mail fällt. Organisationen sollten nicht nur klare Regelungen für die Nutzung des dienstlichen E-Mail-Postfachs treffen, sondern Differenzieren und auch die Nutzung von Instant-Massaging-Diensten, wie zum Beispiel von WhatsApp oder Apples iMessage, klar regeln.

Neben WhatsApp und iMessage findet unter anderem Skype for Business, früher Microsoft Lync, Verwendung. Dieser Message-Dienst ermöglicht den Mitarbeitern, Sofortnachrichten sowie Daten auszutauschen. Gleichzeitig können mit Skype for Business verschiedenste Messaging-Systeme verbunden werden, womit ebenso Kunden und Dienstleister, welche ein anderes System nutzen, erreicht werden können.

Die Problematik liegt hierbei nicht nur bei der rechtlichen Zuordnung des Systems, sondern vielmehr auch bei der Bewertung, ob damit Kontroll- und Überwachungsmaßnahmen durch den Arbeitgeber erfolgen könnten.

Verwendung von Instant-Messaging-Systemen für eine Verhaltens- und Leistungskontrolle

Die Möglichkeit einer dauerhaften, technisch gestützten Leistungs- und Verhaltenskontrolle könnte sich theoretisch bereits durch die Statusmeldungen (verfügbar, beschäftigt, abwesend) des Mitarbeiters ergeben. Daraus kann der Arbeitgeber beispielsweise auf mögliche Fehlzeiten, Aktivität und Arbeitszeiteinteilungen des Arbeitnehmers schließen. Ein berechtigtes Interesse des Arbeitgebers auf Chatverläufe zu zugreifen kann unter anderem dann vorliegen, wenn die Inhalte eines Chats archivierungspflichtige Geschäftsbriefe bzw. Geschäftskommunikation betreffen. Derartige relevante Kommunikation mag derzeit vielleicht nur in Einzelfällen vorkommen, gerade bei technischen Arbeitsmitteln ist ein schneller, regelmäßig auch zeitgemäßer Wandel, allerdings nichts Verwunderliches.

Grundsätzlich kann der Arbeitgeber eine Kontrolle ansetzen, sofern ein konkreter Missbrauchsverdacht gegenüber den Arbeitnehmern vorliegt, wobei es eine große Rolle spielt, ob eine Privatnutzung erlaubt ist. Darf der Arbeitnehmer die Instant-Message-Dienste zu privaten Zwecken nutzen, so tritt der Arbeitgeber als Telekommunikationsanbieter auf und ist den Vorschriften des Telekommunikationsgesetztes (TKG) unterworfen. Laut § 88 TKG gilt das Fernmeldegeheimnis, wodurch die Zugriffsrechte des Arbeitsgebers auf die Chatverläufe erheblich eingeschränkt werden. Selbst bei einem Verdacht auf eine Straftat könnte sogar die Strafanzeige als milderes Mittel gelten. Bei einem Verbot der Privatnutzung dürfte der Arbeitgeber auf die Chatverläufe zugreifen, allerdings sollte dies ebenfalls stichprobenartig und in angemessenen Zeiträumen bzw. im Missbrauchsverdachtsfall erfolgen (anlassbezogen).

Instant-Message-Dienste können eine Verhaltens- und Leistungskontrolle der Mitarbeiter erleichtern. Beispiel: Nutzt eine Firma ein Chatprogramm, um zeitnah auf Supportanfragen von Kunden einzugehen, so könnte der Arbeitgeber mittels Protokollierung der Chatverläufe prüfen, wie lange ein Mitarbeiter für die Beantwortung benötigt oder wie viele Anfragen der Mitarbeiter am Tag beantwortet. Um eine Verhaltens- und Leistungskontrolle durch den Arbeitgeber zu vermeiden, ist von einer grundlosen Protokollierung der Chatverläufe abzuraten. Eine konkete Protokollierung mit Zweckbindung könnte hingegen denkbar sein. Zudem sollten klare Regelungen geschaffen werden. Mit diesen soll zum einen geregelt werden, ob eine Privatnutzung erlaubt oder verboten ist. Des Weiteren soll klar formuliert werden, wann der Arbeitgeber bzw. andere Vorgesetzte unter Einbeziehung des Datenschutzbeauftragten und – sofern vorhanden – eines Betriebsratsmitglieds auf die Daten zugreifen dürfen. Um gesetzliche Aufbewahrungsfristen nicht zu verletzen, sollte zudem festgelegt werden, dass keine Dateien versendet werden dürfen, die gesetzlichen Archivierungspflichten unterliegen oder bei denen Löschfristen einzuhalten sind, die auf diesem Wege überschritten würden.

Wieso Instant-Messaging-Dienste Datenschutz-Risiken hervorrufen

Besonders kritisch ist die Nutzung von extern betriebenen Instant-Messaging-Dienstleistungen, wie WhatsApp oder auch iMessage. Besonders dann, wenn iPhones oder sonstige Smartphones dienstlich vom Unternehmen zur Verfügung gestellt werden, sollte ausdrücklich darauf hingewiesen werden, dass die Instant Messaging Funktionen untersagt sind. Eine derartige Vorgabe erteilte eine der großen deutschen Banken zur Umsetzung im Jahr 2017.

Sofern dies nicht gewünscht ist und den Mitarbeitern eine Privatnutzung der Smartphones erlaubt werden soll, wäre zu prüfen, ob die Einführung eines Mobile-Device-Management-Systems einschließlich Containersystem notwendig ist, wobei die Verhältnismäßigkeit nicht außer Acht gelassen werden sollte. Bei einem Unternehmen mit fünf Smartphones dürfte regelmäßig anders vorzugehen sein als bei 500 oder mehr Endgeräten und der erlaubten Privatnutzung. Grundsätzlich gilt jedoch, dass Organisationen klare Regelungen schaffen sollten, da der Einsatz von Instant-Messaging-Diensten Datenschutz-Risiken verursacht. Dies ergibt sich unter anderem daraus, dass der Arbeitnehmer meist über seinen privaten WhatsApp- oder iTunes-Account kommuniziert. Dabei scannen beide Programme das Adressbuch und führen die gesammelten Informationen in eine Datenbank. Diese befinden sich auf den Servern der Anbieter. Problematisch wird es insbesondere dann, wenn der Server sich in einem Land befindet, welches sich außerhalb der EU/des EWR befindet und über kein angemessenes Datenschutzniveau verfügt. Darunter fallen mitunter die USA. In unserem Beitrag zu „Cloud Computing – Durchblicken Sie vor lauter Wolken den Datenschutz?“ finden Sie mehr Informationen dazu.

Ebenso bedenklich ist die kommerzielle Nutzung der persönlichen Daten durch einige Anbieter von Instant-Messaging-Systemen. Sie sollten sich daher erkundigen, inwiefern der Anbieter Ihre Daten verwertet.

Weiterhin wurde durch zahlreiche Meldungen verkündet, dass einige externe Instant-Messaging-Dienstleistungen gewisse Sicherheitslücken aufweisen. So hatte beispielsweise Microsoft bei seinem Windows Live Messenger sowie auch MSN einige Sicherheitsprobleme, welche sich unter anderem bei deren integrierten Webcam-Sitzungen und Video-Chats befanden. Das Problem bestand darin, dass der Instant-Messaging-Client die Webcam-Sitzung und Video-Chats nicht korrekt verarbeitet und damit möglichen Angreifern (Hackern) die Chance bietet, beliebige Codes ausführen zu können. Um dies zu ermöglichen, müsste das potenzielle Opfer lediglich zu einer Webcam- oder Video-Chat-Sitzung durch den Angreifer eingeladen werden. Die Opfer werden dabei von vermeintlichen Bekannten auf interessante Webseiten gelockt, wo Schadprogramme (Malware) auf sie warten.

Es ist daher unerlässlich, einen Datenschutzbeauftragten und IT-Sicherheitsbeauftragten zur Seite zu haben, damit datenschutzrechtliche Probleme und IT-Sicherheitsrisiken optimal behandelt oder umgangen werden können.

Falls Sie sich für die Risiken bei der Nutzung von Instant-Messaging-Diensten in Organisationen interessieren, könnten die Beiträge

von uns für Sie interessant sein.

Sicherheitskriterien bei Instant-Messaging-Diensten

Eine gewisse Sicherheit bei einigen Instant-Messaging-Diensten bietet die End-to-End-Verschlüsselung, die die gesendeten Daten so verfremdet, dass diese ohne Datenschlüssel nicht mehr nachvollziehbar sind. Erst wenn die Nachricht bei dem Empfänger ankommt, wird die Nachricht entschlüsselt. Grundsätzlich bietet dieses Verfahren eine gewisse Sicherheit, jedoch sollte beispielsweise bei WhatsApp darauf geachtet werden, dass die aktuelle Version installiert ist. 2016 führte WhatsApp offiziell mit Kennzeichnung im Chatverlauf die End-to-End-Verschlüsselung ein, bei älteren Versionen gilt diese jedoch nicht. Sie sollten daher möglichst die neueste Version besitzen.

Wie bereits erwähnt, besitzen nicht alle Länder ein angemessenes Datenschutzniveau. Auch sind je nach Sitz des Anbieters unterschiedliche Maßnahmen zu ergreifen, dabei ist es entscheidend, ob der Anbieter seinen Sitz innerhalb der EU/des EWR hat oder eine Datenübermittlung an einen Dienstleister außerhalb der EU/des EWR (Drittland) stattfindet. Kann oder möchte eine Organisation nicht auf den Einsatz von Instant-Message Diensten verzichten, so sollten Anbieter gewählt werden, die Ihren Sitz innerhalb der EU/des EWR haben. Zudem sollten klare Regelungen mittels Richtlinien/Betriebsvereinbarungen/Dienstvereinbarungen geschaffen und Mitarbeiter – mittels Datenschutz-Schulungen – ausreichend sensibilisiert werden.

Fazit

Instant-Messaging-Dienste stellen eine Erleichterung der Kommunikation dar, da diese die Nachrichten sofort übermitteln und der Empfänger diese ebenso ohne Zeitverzug einsehen kann. Jedoch bieten die angebotenen Dienste keine vollkommene Sicherheit der Datenübertragung und vor ungewolltem Zugriff oder missbräuchlicher Verwendung. Besonders problematisch sind unter anderem:

  • Anbieter außerhalb der EU/des EWR,
  • mögliche kommerzielle Nutzung der privaten Daten durch Instant-Messaging-Dienste,
  • Sicherheitslücken innerhalb der Software.

Es ist daher unerlässlich, kompetente Unterstützung bei dieser Thematik zu haben.

Brands Consulting steht Ihnen dabei gerne zur Seite. Wir bieten Ihnen optimal Unterstützung in Sachen Datenschutz. Holen Sie sich ein unverbindliches und kostenloses Angebot zum Datenschutz bei uns ein oder nehmen Sie mit uns Kontakt auf und profitieren Sie von unserer Erfahrung.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

Zutrittskontrolle durch intelligente Türschlösser – Welche Risiken und Gefahren für den Datenschutz Smart Locks hervorrufen können

Datenschutz Smart LocksSmart Locks zum Öffnen und Verschließen von Türen werden immer beliebter. Nicht nur für Hauseigentümer bieten sie eine gute Alternative, wenn man seinen Schlüssel im Haus vergessen hat, auch für beruflich veranlasste Zwecke können diese nützlich sein. Gerade kleinere Unternehmen oder behördliche Organisationen (z. B. kleinere Körperschaften) können durch die Verwendung von Smart Locks ihr Schlüsselmanagement besser gestalten und dokumentieren. Neben zahlreichen Vorteilen sollte allerdings nicht ignoriert werden, welche Gefahren für den Datenschutz Smart Locks verursachen können.

Ihr externer Datenschutzbeauftragter informiert über die Vor- und Nachteile von Smart Locks und erklärt, worauf insbesondere Organisationen bei der Installation von Smart Locks achten sollten.

Was sind Smart Locks?

Smart Locks sind, wie der Name bereits preisgibt, intelligente Türschlösser. Bedient werden diese via Smartphone-App oder über eine Web-Oberfläche und ermöglichen berechtigten Personen den Zugang oder das Abschließen einer Räumlichkeit, welche mit einem Smart Lock ausgestattet ist. Je nach Anbieter eines Smart Locks werden auch Alternativen zur App und Web-Oberfläche angeboten. Zum Beispiel das Öffnen der Türen mittels Handsender, der auf das intelligente Türschloss, eingestellt wird, oder das Anbringen eines Zahlenfeldes an der Außenseite der Tür. Durch die Eingabe eines Zahlencodes kann die Tür – ohne Smartphone und Internet – geöffnet und verschlossen werden.

Wie funktioniert ein Smart Lock?

Die Installation erfolgt auf unterschiedlichste Weise. Bei einigen Anbietern, wie zum Beispiel Danalock, muss mitunter der Schlüsselzylinder ausgetauscht werden. Bei dem Anbieter Nuki hingegen werden lediglich zwei Adapter am Türschloss angebracht.

Beide Varianten basieren jedoch auf demselben Prinzip. Der Hausschlüssel bleibt dabei im Schloss oder dem neu in die Tür einzubauenden Schlüsselzylinder. Der Schlüsselzylinder wie auch die Adapter bedingen die Rotation des Schlüssels, zum Beispiel nach links zum Aufschließen oder rechts zum Abschließen. Gesteuert wird das Ganze in den meisten Fällen via Smartphone-App oder per Internet im Nutzerkonto des jeweiligen Anbieters. Berechtigte Personen (Hausbesitzer, Familienmitglied oder Gast) haben somit die Möglichkeit, auch ohne Schlüssel in den verschlossenen Raum zu gelangen, sofern er sein Handy bei sich hat oder mit dem Internet verbunden ist. Weiterhin bietet z. B. der Anbieter Nuki eine automatische Auf- und Verschließ-Funktion, die durch GPS, Geofences und Bluetooth ausgelöst wird. Dies geschieht in folgenden Schritten:

  • Die berechtige Person nähert sich mit dem Handy der Haustür,
  • was durch das Handy-GPS geortet wird (Aufenthaltsort der Person).
  • Nähert sich die berechtigte Person der Haustür und erreicht eine bestimmte Distanz wird eine digital generierte Grenze durchbrochen (Gofences) und ein Bluetooth-Signal vom Handy zum Schloss gesendet.
  • Das Bluetooth-Signal löst die entsprechende Auf- Funktion des Smart Locks aus und ermöglich den Zugang in die Räumlichkeit.
  • Verlässt die Person den Raum wird ebenfalls der Standort ermittelt und ab einer bestimmten Distanz ein Bluetooth-Signal gesendet. Der Smart Lock verschließt die Tür.

Daneben kann durch die App oder per Nutzerkonto anderen Personen durch den Eigentümer der Räumlichkeit oder eine dazu berechtigte Person (Administrator) der Zugang zu der Räumlichkeit regelmäßig durch Freischaltung eines weiteren Nutzers (berechtigter Nutzer) erlaubt werden.

Welche Chancen und Risiken für den Datenschutz Smart Locks hervorrufen

Aufgrund des Agierens via App benötigt der Anbieter eines Smart Locks Informationen, die für den Vertragsschluss und für die Inbetriebnahme relevant sind, hierzu gehören regelmäßig insbesondere:

  • Name
  • Vorname
  • Passwort
  • Standort
  • uvm.

Darüber hinaus dürfte die Nutzung protokolliert werden:

  • Öffnender Nutzer
  • Uhrzeit der Öffnungen
  • uvm.

Diese gesammelten Daten stellen personenbezogene Daten dar und werden insbesondere durch das Bundesdatenschutzgesetz geschützt. So darf eine Erhebung, Verarbeitung und Nutzung personenbezogener Daten, nach § 4 BDSG, nur dann erfolgen, wenn

  • ein Gesetz besteht, welches dies zulässt oder
  • der Betroffene dem Verfahren zustimmt.

Sollten Organisationen die intelligenten Türschlösser einsetzen oder den Einsatz planen, so sollte das Datenschutzrecht nicht außer Acht gelassen werden.

Datenschutzrechtliche Chancen –  Zentrale und revisionsfähige Zutrittsberechtigungen

Für verantwortliche Stellen (Unternehmen, Vereine und Behörden…) könnte es als nützlich erachtet werden, dass eine zentrale und revisionsfähige Vergabe von Zutrittsberechtigungen erleichtert wird. Solche Schlösser können insbesondere für Räume, wie zum Beispiel Akten- oder Serverräume genutzt werden, die sensible und personenbezogene Daten enthalten. Es könnte entsprechend gewährleistet werden, dass berechtigte Personen einen temporären Zugang erhalten (Gast bzw. berechtigter Wartungstechniker); diese Berechtigung kann bei Bedarf entzogen werden, ohne die Person darauf hinweisen zu müssen, den Schlüssel abzugeben. Es sollte jedoch darauf geachtet werden, dass das angewendete Programm gewisse Sicherungen aufweist, denn schnell könnte aus dem Vorteil ein Risiko entstehen, wenn unter anderem alle Berechtigten über Administratoren-Rechte verfügen.

Datenschutzrechtliche Risiken – Keine bzw. keine geeigneten Benutzerrollen

Bei gewissen Anbietern von Smart Locks steht jeder Person, welche eine Zugangsberechtigung besitzt, die Möglichkeit zu, jeden darin befindlichen Nutzer zu löschen oder zu sperren. So kann auch der eigentliche Berechtigte (z.B. Administrator), sofern keine Sicherung (z.B. Passwort) für die Lösung besteht, entfernt werden.

Weiterhin sollte darauf geachtet werden, dass eine Sicherung in dem Programm enthalten ist, welche dem hinzugefügten Gast verbietet, weiteren Personen den Zugang zu dem Programm zu verschaffen. Hier zeigt sich, ohne konkrete Produkte zu benennen, dass die derzeit im Handel erhältlichen Produkte eher die Zielgruppe der Privathaushalte haben und weniger gut für kleinere Unternehmen, Behörden und Vereine geeignet sind. Hier dürften weiterhin professionelle, zumeist deutlich teurere Lösungen, notwendig sein.

Datenschutzrechtliche Risiken – Keine Regelungen zum Einsatz dienstlicher/privater Smartphones

Wird den Mitarbeitern die Möglichkeit gewährt, sich Zugang zum Gebäude bzw. zu den einzelnen Büros via Smartphone-App zu verschaffen, so ist das Aufstellen von klaren Regelungen/Richtlinien unvermeidbar. Zunächst sollte geklärt werden, mit welchen Smartphones (dienstliche oder private) ein Zugang möglich ist, wobei der Einsatz privater Smartphones weitere Risiken hervorruft.

Datenschutzrechtliche Risiken – Datenübermittlung

Neben den Regelungen zur Nutzung der Smartphones, sollte zudem beachtet werden, dass bei der Nutzung der Smart Locks eine Datenübermittlung an den Anbieter der eingesetzten Smart Locks nicht ausgeschlossen werden kann. Dies erfordert weitere Maßnahmen, die von den einzelnen Anbietern und dem Umfang/der Art der Datenübermittlung abhängt. Werden personenbezogene Mitarbeiterdaten an den Anbieter übermittelt, so könnte zum Beispiel das Abschließen eines Vertrags zur Auftragsdatenverarbeitung notwendig sein. Dies wäre allerdings im Einzelfall zu prüfen, da dies unter anderem vom Sitz des Anbieters abhängig ist.

Datenschutzrechtliche Risiken –  Verhaltens- und Leistungskontrolle durch den Einsatz von Smart Locks

Es wird – je nach Anbieter – ein Protokoll (Wer, wann, welche Tür geöffnet hat) geführt, auf das der Administrator zugreifen kann. Auch dies erfordert klare Regelungen und die Durchführung von Maßnahmen, wie zum Beispiel einer Vorabkontrolle durch den Datenschutzbeauftragten, da ansonsten eine Verhaltens- und Leistungskontrolle der Mitarbeiter möglich wäre. Ggf. sollte der Betriebsrat vor Inbetriebnahme der Smart Locks eingebunden werden.

Datenschutzrechtliche Risiken –  Zugang/Zugriff durch Unbefugte

Mit dem Smart Lock entsteht außerdem ein Risiko auf anderer Ebene. Kein Programm ist je vor Hackerangriffen gefeit, so wenig wie ein Schloss vor allen Einbrüchen bzw. Einbrechern. Jedoch braucht es für den unberechtigten Zugang zu einer herkömmlich verschlossenen Haustür entweder den Schlüssel oder rohe Gewalt. Der Schlüssel stellt ein spezifizierbares Objekt dar, das lediglich für ein Türschloss konzipiert ist. Ein Smart Lock jedoch gibt jedem Berechtigten Zugang, wobei lediglich der Zugang zu dem Benutzerkonto oder der Handy-App notwendig ist, um die Tür öffnen zu können. Zudem sollte beachtet werden, dass – je nach Anbieter – das Abstellen der Alarmanlage mittels Smart Lock-App möglich ist. Der Verlust/Klau eines Smartphones oder ein Hackerangriff könnte sowohl für Privatpersonen als auch für verantwortliche Stellen schlimme Folgen haben. Sicherheitsmaßnahmen müssen daher auf allen Ebenen bedacht werden.

Sonstige Vor- und Nachteile 

Das Smart Lock stellt keine Alternative zum Schlüssel dar. Es wird in den meisten Fällen weiterhin ein Medium, wie zum Beispiel ein Smartphone oder ein Handsender benötigt, welches das Türschloss öffnet und schließt. Geht das Handy verloren, hat der Finder Zugangsmöglichkeiten zu den Räumlichkeiten. Smart Locks bieten aber bessere und kostengünstigere Möglichkeiten, gegen den Verlust vorzugehen, da lediglich ein Internetanschluss notwendig ist, um die Nutzung zu sperren.

Ein weiter Risikofaktor ist die Batterie, welche die Automatik der Smart Locks bei einigen Anbietern betreibt. Ist die Batterie leer hat man auch keine Zugangsmöglichkeit mehr. Daher ist es sinnvoll, ein Türschloss zu haben, mit dem das Öffnen der Tür auch dann möglich ist, wenn auf der anderen Seite ein Schlüssel steckt. Nutzer müssen insofern regelmäßig den Stand des Akkus kontrollieren oder sich auf die systemseitigen Warnsignale der Anbieter verlassen.

Fazit

Smart Locks bieten einen gewissen Komfort. Mit dem Handy oder – je nach Anbieter – mit einem Handsender können Türschlösser geöffnet und geschlossen werden, auch ohne entsprechenden Schlüssel. Dennoch sollten die damit verbundenen Risiken auch unter datenschutzrechtlichen Gesichtspunkten nicht unterschätzt werden. Ein solches Schloss ist nicht vor Hackerangriffen gefeit. Ebenso besteht die Möglichkeit vor verschlossener Tür zu stehen, weil beispielsweise vergessen wurde, die Batterie zu wechseln. Auch sollten Maßnahmen ergriffen werden, um die Mitarbeiter vor einer Verhaltens- und Leistungskontrolle zu schützen.

Haben Sie weitere Fragen zu „ Datenschutz Smart Locks “, dann nehmen Sie gerne Kontakt zu uns auf. Sollten Sie über die Anschaffung eines Smart Locks nachdenken, ist es nicht verkehrt, einen kompetenten Partner zu haben, der sich mit den zu beachtenden Punkten im Datenschutz und damit verbundener Technik auskennt. Brands-Consulting steht Ihnen als Ansprechperson gerne zur Seite. Nehmen Sie gerne Kontakt zu uns auf oder holen Sie sich ein unverbindliches Datenschutz-Angebot ein

Brands Consulting – steht für kompetente Dienstleistungen rund um Datenschutz & Beratung

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen