> externer Datenschutzbeauftragter

Datenschutz bei Arbeitnehmerüberlassung – Auf was Sie datenschutzrechtlich bei Leiharbeiterverhältnissen achten sollten

Datenschutz bei ArbeitnehmerüberlassungUm den Marktanforderungen gerecht zu werden und fehlende Kapazitäten zu decken, greifen Unternehmen häufig auf Arbeitnehmerüberlassung, auch Leiharbeit genannt, zurück. Arbeitnehmer, die in einem solchen Verhältnis mit einem Unternehmen stehen, arbeiten meist nur für einen begrenzten Zeitraum, in dem ein höherer Arbeitsbedarf besteht. Dabei fließen zum einen zahlreiche personenbezogene Daten zwischen dem Entleiher und dem Verleiher, zum anderen ist es keine Seltenheit, dass der Leiharbeiter mit zahlreichen personenbezogenen Daten, die in der Verantwortung des Entleihers liegen, in Berührung kommt. Es stellt sich hier deshalb häufig die Frage, wie mit dieser Thematik datenschutzrechtlich umzugehen ist.

Ihr externer Datenschutzbeauftragter unterstützt Sie in datenschutzrechtlichen Belangen und erklärt wieso der Datenschutz bei der Arbeitnehmerüberlassung nicht ignoriert werden sollte.

Datenschutz bei Arbeitnehmerüberlassung

Bei einer Arbeitnehmerüberlassung wird ein bereits von einem Zeitunternehmen (Verleiher) angestellter Arbeitnehmer einem anderen Unternehmen (Entleiher) zur Verfügung gestellt. Die Überlassung ist bei einer solchen Konstellation vorübergehender Natur. Die Maximaldauer eines solchen Verhältnisses ist weder in der AÜG (Gesetz über die Regelung der gewerbsmäßigen Arbeitnehmerüberlassung) noch in der europäischen Leiharbeiterrichtlinie festgesetzt und daher individuell vereinbar.

Wie oben bereits erwähnt, besteht das Arbeitsverhältnis nur zwischen dem Verleiher und dem Leiharbeiter. Der Leiharbeiter unterliegt jedoch der Weisung des Entleihers. Es stellt sich dabei die Frage, inwieweit das Recht eines Arbeitnehmers auch für den Leiharbeiter gilt und ob die daraus resultierenden Pflichten (z.B. Auskunftsrecht des Arbeitnehmers) auch den Entleiher treffen.

Recht auf informelle Selbstbestimmung

Aufgrund der besonderen Konstellation bei einem Leiharbeiterverhältnis ist die rechtliche Zuweisung kompliziert. Dies liegt daran, dass eine Verknüpfung von Arbeitsrecht und Datenschutzrecht notwendig ist, was wiederum durch das Nichtvorhandensein eines einheitlichen Regelwerkes das Hinzuziehen einer Vielzahl von Gesetzen und der Hilfe des Richterrechts, das durch die Rechtsprechung der Gerichte geschaffen wird, bedarf. Vom Richterrecht ist, wie sich unschwer vermuten lässt, die Rede, wenn durch die Rechtsprechung Rechtssätze entwickelt werden, um Gesetzeslücken zu schließen. Gängige Praxis ist es dann, dass diese Entscheidungen nicht selten bei ähnlichen oder vergleichenbaren Fragestellungen berücksichtigt werden.

Trotz des Fehlens einer speziellen Regelung für Leiharbeiter im nichtöffentlichen Bereich ist der Grundsatz der informellen Selbstbestimmung einzuhalten. Aus diesem Grund finden die Vorschriften des Bundesdatenschutzgesetzes (BDSG) für Arbeitnehmerüberlassungen bzw. Leiharbeiter Anwendung, so fallen unter den Begriff der Beschäftigten gemäß § 3 Abs. 11 Bundesdatenschutzgesetz (BDSG) auch Leiharbeitnehmer.

Datenschutzrechtliche Kriterien für Leiharbeiter – Auf was der Entleiher achten muss

Grundsätzlich gilt das Bundesdatenschutzgesetz (BDSG) bei datenschutzrechtlichen Belangen bezüglich der Mitarbeiter als Auffangnorm und wird auch für Arbeitnehmerüberlassungen als solches genutzt.

Im Gegensatz zu einem normalen Arbeitsverhältnis gelten die datenschutzrechtlichen Pflichten innerhalb eines Leiharbeiterverhältnisses nicht nur für den Arbeitgeber (Verleiher), sondern erstrecken sich ebenso auf den Entleiher.

Fürsorgepflicht des Entleihers und daraus resultierende Offenbarungspflicht

Datenschutzrechtlich relevant bei einem Leiharbeiterverhältnis ist unter anderem das Fragerecht (Auskunftsrecht) des Leiharbeiters. Nach dem Bundesdatenschutzgesetz hat der Leiharbeiter ein Auskunftsrecht über die Daten, welche zu seiner Person gesammelt wurden. Dieses Recht richtet sich originär jedoch an den Arbeitgeber (Verleiher), der beispielsweise eine Personalakte über diesen anlegt und diese Daten unter anderem für die Lohnabrechnung nutzt. Das besondere Vertragsverhältnis könnte allerdings auch für den Entleiher eine gewisse Fürsorgepflicht gegenüber dem Leiharbeiter sowie eine Offenbarungspflicht aufgrund der latenten Gefährdung von personenbezogenen Daten begründen.

Daraus lassen sich Auskunftsansprüche des Leiharbeitnehmers nach § 34 BDSG ableiten. Dieser hat wie jeder andere Arbeitnehmer einen Auskunftsanspruch, welcher gegenüber dem Entleiher sowie Verleiher besteht, da beide als verarbeitende Stelle angesehen werden. Ebenso lässt sich diesbezüglich eine Regelung im AÜG finden. Nach § 13 AÜG hat der Leiharbeiter einen speziellen Auskunftsanspruch über die Arbeitsbedingungen im Betrieb des Entleihers, wonach er vom Entleiher Auskunft über dessen Betrieb und die wesentlichen Arbeitsbedingungen verlangen kann. Zum Beispiel kann der Leiharbeiter Auskunft über das Gehalt erlangen, das vergleichbare Angestellte erhalten, die direkt beim Entleiher beschäftigt werden. Der § 12 AÜG verpflichtet den Entleiher des Weiteren dazu, im Vertrag mit dem Verleiher entsprechende Angaben über die Arbeitnehmerüberlassung aufzunehmen.

Zwar besteht zwischen den Leiharbeitern und den Entleihern kein direktes Beschäftigungsverhältnis, allerdings fallen, wie bereits erwähnt, unter den Begriff der Beschäftigten gemäß § 3 Abs. 11 Bundesdatenschutzgesetz auch Leiharbeitnehmer. Aus diesem Grund ist es anzuraten, dass Leiharbeiter – sofern sie personenbezogene Daten erheben, verarbeiten oder nutzen, ebenso wie die Arbeitnehmer des Entleihers auf das Datengeheimnis verpflichtet werden. Es sollte allerdings beachtet werden, dass bereits der potentielle Zugriff durch die Leiharbeiter eine derartige Verpflichtung erforderlich macht.

Notwendigkeit einer Zustimmungseinholung

Die Erhebung und Verarbeitung der Daten des Leiharbeiters hat für den Entleiher den Zweck, Informationen zu sammeln, die für das Arbeitsverhältnis notwendig sind. Zwar besteht häufig Uneinigkeit, ob sich die Zulässigkeit der Datenverarbeitung durch den Entleiher auf § 28 oder § 32 BDSG beruht. Eine Datenweitergabe an den Entleiher sowie die Datenverarbeitung durch den Entleiher dürfte allerdings ohne Zustimmung des Leiharbeiters zulässig sein, wenn diese Daten zur Wahrung der Interessen des Verleihers notwendig sind.

Deshalb dürfte regelmäßig keine Pflicht für den Entleiher bestehen eine Einwilligung des Leiharbeiters einzuholen. Eine vorherige Einholung der Zustimmung des Leiharbeiters schadet jedoch nicht, da der Verleiher nach § 33 BDSG verpflichtet ist, den Leiharbeiter über die Übermittlung seiner Daten an den Entleiher zu informieren und somit parallel zur Information die Einwilligung einholen könnte.

Recht auf Berichtigung, Sperrung und Löschung

Neben der Auskunftspflicht hat der Leiharbeiter auch alle anderen Rechte, die Betroffenen, deren personenbezogene Daten verarbeitet werden, zustehen. Zu diesen Rechten gehören:

  • die Berichtigung fehlerhaft gespeicherter oder übermittelter Daten (§ 35 Abs. 1 BDSG),
  • die Löschung bei unzulässiger Speicherung (§ 35 Abs. 2 BDSG) sowie
  • die Sperrung von Daten, wenn eine Löschung nicht möglich ist (§ 35 Abs. 3 BDSG).

Beurteilung der Arbeitsleistung – Was tun, wenn der Leiharbeiter mit der Bewertung nicht einverstanden ist?

Problematisch wird es vor allem dann, wenn der Leiharbeiter nicht mit der Beurteilung des Entleihers über seine Arbeitsleistung einverstanden ist. Eine Löschung der Bewertung durch den Entleiher könnte allerdings durch ein unbegründetes Veto durch den Leiharbeiter zu einer Verfälschung der Situation führen. Um beiden Interessen zu genügen, ist es ratsam, dem Leiharbeiter eine Gegendarstellung zu erlauben, die in die Personalakte aufgenommen würde. Im konkreten Fall sollte Rücksprache mit dem DSB gehalten werden.

Der Entleiher muss jedoch keine Bewertung über die Arbeitsleistung des Leiharbeiters abgeben sowie steht dem Leiharbeiter kein Recht zu von diesem die Ausstellung eines Arbeitszeugnisses zu verlangen, da zwischen Ihnen kein Arbeitsvertrag geschlossen wurde.

Fazit

Aufgrund des komplexen Konstrukts bei einem Leiharbeiterverhältnis, basierend aus der Beteiligung mehrerer Akteure, kann die Zuweisung der bestehenden Rechtverhältnisse äußerst schwierig sein. Besonders im Datenschutz ist darauf zu achten, dass für den Entleiher ebenso datenschutzrechtliche Pflichten gelten, auch wenn zwischen ihm und dem betreffenden Leiharbeiter kein Arbeitsvertrag besteht. Missachtungen können zu Bußgeldern oder auch Imageverlusten für das Unternehmen führen. Daher sollte bei einer solchen Thematik immer der Rat einer datenschutzrechtlich versierten Person (z.B. Datenschutzbeauftragter oder auch Datenschutzberater) eingeholt werden, um mögliche Probleme zu vermeiden.

Sofern Sie weitere Fragen zu dieser Thematik oder anderen Datenschutz-Themen haben, helfen wir Ihnen gerne weiter.

Wir bieten Ihnen optimale Unterstützung im Bereich Datenschutz und beantworten gerne weitere Fragen zum Datenschutz bei Arbeitnehmerüberlassungen. Kontaktieren Sie uns und holen Sie sich ein unverbindliches und kostenloses Datenschutz-Angebot bei uns ein. Wir rufen auch gerne zurück.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

„Frohe Ostern, Datenschutz!“ – Wieso Rundmails Datenschutz-Risiken bergen

Rundmails DatenschutzAlle Jahre wieder stehen insbesondere vor Feiertagen, wie Ostern oder Weihnachten, Datenschutzbeauftragten und Datenschützern die Haare zu Berge. Die Gründe sind allerdings nicht die überfüllten Supermärkte oder die Geschenkbesorgungen in aller letzter Sekunde, sondern die bei vielen Mitarbeitern überaus beliebten Rundmails.

Wer kennt es nicht? Man möchte noch schnell den Kollegen, Kunden oder anderen Ansprechpartnern angenehme Festtage wünschen, allerdings wird in der Regel eine nette E-Mail formuliert und diese an alle übersendet. Worauf die wenigsten Mitarbeiter achten, ist das Adressfeld, in das die E-Mail-Adressen eingegeben werden und genau diese Unachtsamkeit bzw. Unwissenheit kann schnell zu Sanktionen führen und daher teuer werden.

Ihr externer Datenschutzbeauftragter informiert, wieso Rundmails Datenschutz-Risiken hervorrufen können und erklärt, worauf Sie beim Versand von Rundmails achten sollten.

Wieso Rundmails Datenschutz-Risiken verursachen können

Bei Rundmails wird zunächst eine E-Mail formuliert, die an mehrere Empfänger übersendet werden kann, dabei kann der Versender bei der Eingabe der Empfänger-E-Mail-Adressen zwischen drei Adressfeldern wählen. Diese sind:

  • „An:“
  • „CC:“ (Carbon Copy = Kopie)
  • „BCC:“ (Blind Copy = nicht sichtbare Kopie)

Je nach ausgewähltem Adressfeld können die Empfänger sehen, wem die E-Mail ebenfalls übersendet worden ist und genau dies könnte für verantwortliche Stellen, wie Unternehmen, Behörden oder Vereine, sowie für den Mitarbeiter, der die Rundmail versendet hat, zu Sanktionen im Datenschutz führen.

Der Hintergrund ist, dass es sich bei einer E-Mail-Adresse um ein personenbezogenes Datum handelt. In § 4 Abs. 1 Bundesdatenschutzgesetz (BDSG) heißt es allerdings, dass personenbezogene Daten nur erhoben, verarbeitet und genutzt werden dürfen, wenn eine Rechtsgrundlage dies erlaubt oder informierte und freiwillige Einwilligungen der Betroffenen eingeholt worden sind.

Versendet ein Mitarbeiter eine Rundmail, sodass die Empfänger die E-Mail-Adressen der anderen Empfänger sehen können, so spricht man von einer Übermittlung personenbezogener Daten, die ebenfalls einer Rechtsgrundlage oder der informierten Einwilligung bedarf. Die wenigsten Mitarbeiter wären allerdings bereit vor dem Versand einer Rundmail informierte Einwilligungen von jedem Betroffenen einzuholen. Aus diesem Grund sollten sie die einzelnen Adressfelder näher betrachten.

„Rundmail Datenschutz“ – Die Versendungsmöglichkeiten von Rundmails

Bei dem Versand einer E-Mail an mehrere Empfänger sollten, insbesondere wenn es sich um Empfänger außerhalb der verantwortlichen Stelle handelt, wie zum Beispiel verschiedene Kunden, die E-Mail-Adressen in das Adressfeld „BCC:“ eingetragen werden. Werden die E-Mail-Adressen in den Adressfeldern „An:“ oder „CC:“ eingegeben, so sind diese für alle Empfänger sichtbar. Bei der Verwendung von „BCC:“ können die Empfänger allerdings nicht sehen, ob die E-Mail an weitere Personen übersendet worden ist.

Wenn Sie mehr zu der internen und externen Versendung von Rundmails erfahren möchten, dann lesen Sie gerne unseren Beitrag „Versendung von E-Mails mit „An“ und „CC“ – Wieso offene E-Mail-Verteiler Datenschutz-Risiken verursachen können“.

Bußgeld für offenen E-Mail-Verteiler

Bei Verletzung des Datenschutzrechts drohen Bußgelder, Geldstrafen und sogar Freiheitstrafen.

Wie schnell in einem solchen Fall Bußgelder verhängt werden können, zeigt der Fall einer Mitarbeiterin, die eine Rundmail an einen großen Kreis von Empfängern versendet hat. Die Empfängerliste war für alle Empfänger sichtbar, weswegen das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) einen Bußgeldbescheid gegen die Mitarbeiterin erlassen hat. In einem ähnlichen Fall verhängte die Aufsichtsbehörde ein Bußgeld gegen die Unternehmensleitung.

Um derartige Sanktionen zu vermeiden, sollten Unternehmen, Vereine oder andere Organisationen ihre Mitarbeiter ausreichend schulen und sensibilisieren. Gerne unterstützen wir Sie mit Datenschutz-Schulungen dabei.

Alle Kunden und Geschäftspartnern sowie sonstigen Interessententen, denen wir nicht persönlich gratulieren konnten, wünschen wir natürlich auf diesem Wege „FROHE OSTERN“!

Haben Sie noch Fragen zum Thema „ Rundmails Datenschutz “ oder möchten Sie sich im Datenschutz dauerhaft besser positionieren?  Brands-Consulting steht Ihnen als Ansprechperson gerne zur Seite. Nehmen Sie gerne Kontakt zu uns auf oder holen Sie sich ein unverbindliches Datenschutz-Angebot ein.

Brands Consulting – steht für kompetente Dienstleistungen rund um Datenschutz & Beratung

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen

Whistleblowing und Datenschutz – Datenschutzrechtliches Leck im Arbeitsverbund, Unternehmensverbund und Konzern

Whistleblowing und DatenschutzDie Begnadigung der Whistleblowerin Chelsea Manning, die sensible Daten der US-Regierung an die Plattform Wikileaks weitergab, lässt die Thematik Whistleblower wieder im Gedächtnis der Leute aufleben. Nicht nur durch das Handeln von Chelsea Manning wurde in den Medien das Thema Whistleblowing heiß diskutiert, sondern ebenso durch den Fall Snowden. Die Problematik des Whistleblowing ist indes in der Wirtschaft nicht ganz unbekannt und vor allem in Verbindung mit der Korruptionsbekämpfung in aller Munde.

Besonders im Bereich Datenschutz besteht ein gewisses Interesse für öffentliche wie auch nicht-öffentliche Stellen an der Frage, wie mit dieser Thematik umgegangen werden sollte.

Ihr externer Datenschutzbeauftragter möchte Sie daher im Folgenden über Whistleblowing und Datenschutz informieren.

Definition: Whistleblower

Der Begriff Whistleblower kommt aus dem Englischen und beschreibt eine Person, die für die Allgemeinheit Informationen an die Öffentlichkeit bringt, welche aus einem geschützten oder auch geheimen Zusammenhang stammen. Diese aufgedeckten Informationen klären im Allgemeinen über Missstände oder Verbrechen, wie beispielsweise Korruption, Menschenrechtsverletzung, Insidergeschäfte, Datenmissbrauch oder Ähnliches, auf. Über diese Missstände kann der Whistleblower innerhalb seines Arbeitsplatzes oder anderweitig Kenntnis erlangt haben. International wurde der Begriff mit dem Aufkommen der Plattform Wikileaks bekannt, die allen Menschen gestattet, anonym größere Verstöße der Politik oder Wirtschaft anzuprangern und Beweise für diese Taten einzureichen.

Dasselbe Prinzip wird auch von Unternehmen verwendet mit dem sogenannten Whistleblowing-System. Dieses erlaubt Mitarbeitern und Außenstehenden, Verstöße zu melden, die beispielweise von leitenden Positionen, Mitarbeitern oder auch Lieferanten ausgehen. Dabei sind konkret solche Tatbestände zu melden, die Straftatbestände, wie Verstöße gegen die Menschenrechte, Kultur oder Philosophie sowie Zuwiderhandlungen gegen die von der Organisation zugeteilten Aufgaben darstellen. Die deutsche Gesetzgebung fordert, dass öffentliche (z.B. Stiftungen, Anstalten, Behörden) und auch nicht-öffentliche Stellen (z.B. AG, OHG, GmbH) Maßnahmen ergreifen, um sicherzustellen, dass Gesetze eingehalten werden. Aus diesem Grund könnte die Einrichtung eines Whistleblowing-Systems für verantwortliche Stellen, wie Unternehmen oder Behörden, mit Sitz in Deutschland interessant sein. Besonders relevant ist die Einrichtung einer solchen Plattform allerdings für deutsche Unternehmen, die an der US-Börse gelistet sind, dies anstreben oder Tochtergesellschaft eines US-Konzerns sind, da diese nach dem Sarbanes-Oxley-Act, der für börsennotierte Unternehmen an der US-Börse gilt, eine Vorkehrung für Whistleblowing voraussetzt.

Whistleblowing und Datenschutz

Es ist sinnvoll für Unternehmen, Whistleblowing-Maßnahmen zu integrieren, schaffen diese doch unter anderem eine Verbesserung des Unternehmensimages nach außen sowie eine Vorkehrung gegen interne Verstöße. Bei der Integration solcher Maßnahmen sollte aber der Datenschutz nicht außer Acht gelassen werden, da die Einführung einer Whistleblowing-Plattform schnell mit der Übertragung von personenbezogenen Daten Hand in Hand gehen kann.

Die vom Whistleblower preisgegebenen Daten können insbesondere beim Beschuldigten einen Schaden hervorrufen. Vor allem aus datenschutzrechtlicher Sicht ist die Übermittlung personenbezogener Daten durch den Whistleblower kritisch zu bewerten, da sensible Daten, wozu personenbezogene Daten zählen, einer expliziten Prüfung der Rechtgrundlage bedürfen. Dies sollte bei der Einführung einer Whistleblowing-Plattform nicht unterschätzt werden, da  durch gewisse Konstellationen die Einhaltung der Datenschutzvorschriften erschwert wird.

Diese sind zum einen anzutreffen, wenn eine Whistleblowing-Plattform innerhalb eines Unternehmensverbunds (Konzern) eingeführt werden soll, welcher auch in Drittländern (z.B. USA, Japan, China, Indien) agiert.  Ein Datentransfer in Drittländer ist nämlich mit zusätzlichen Prüfungen verbunden. Danach ist zu prüfen,

  • ob die Datenverarbeitung im Ausgangsland (Versender) zulässig ist und
  • ob die Übermittlung in das Drittland (Empfänger) zulässig ist.

Notwendig ist die Überprüfung aufgrund des zumeist unterschiedlichen Datenschutzniveaus zwischen Versenderland und Empfängerland. Während beispielsweise in den Ländern des EWR (Europäischen Wirtschaftsraumes) ein angemessenes Datenniveau herrscht, ist dieses in Drittländern, wie den USA und Japan, nicht zwangsläufig gegeben. Geeignete Maßnahmen sind mit Unterstützung des Datenschutzbeauftragten sowie mittels vertraglicher Grundlagen, wie zum Beispiel den EU-Standardvertragsklauseln, hergestellt werden.

Zum anderen erfolgt die Mitteilung der Verstöße zum Schutz des Whistleblowers anonym, was nicht mit dem Grundsatz der Transparenz vereinbar sein kann (Transparenzgebot). Der Grund ist, dass Betroffene unter anderem das Recht auf Auskunft haben, dabei sollen Sie erfahren, welche Daten die verantwortliche Stelle erhebt, verarbeitet und nutzt. Auch hat der Betroffene das Recht zu erfahren, für welchen Zweck und wie lange die Daten verarbeitet werden sowie ob eine Weitergabe an Dritte erfolgt. Bei der anonymen Meldung eines Verstoßes kann das Transparenzgebot allerdings nicht gewahrt werden, da die Daten heimlich erhoben werden und die Auskunft über den gemeldeten Verstoß somit nicht möglich ist.

Des Weiteren besteht die Möglichkeit, dass die Aufklärung der Umstände, in denen die Verstöße erfolgt sind, ebenso durch die Anonymität des Whistleblowers erschwert wird. Aufgrund der Anonymität des Whistleblowers können diesem keine Rückfragen zum Tathergang gestellt werden, dabei kann die Whistleblowerposition für niedere Zwecke missbraucht werden, um den Betroffenen anzuschwärzen oder indem eine Aussage getätigt wird, welche nur auf Vermutungen basiert.

Geringer Spielraum für die Umsetzung eines Whistleblowing-Systems

Bevor ein Whistleblowing-System integriert werden darf, ist eine Vorabkontrolle notwendig, die vom Datenschutzbeauftragten durchzuführen ist (§ 4d Abs. 5 BDSG). Schnell wird dabei klar, dass der Datenschutz bei der Integration eines solchen Systems einen begrenzten Spielraum bereit hält und daher eine datenschutzkonforme Umsetzung des angestrebten Systems engen Reglementarien unterliegt, wie beispielswiese dem § 28 BDSG, welcher Maßnahmen zulässt, die spezifische Verhaltensverstöße verhindern.

Vorabkontrolle des Datenschutzbeauftragten bei der Integration einer Wistleblowing-Plattform

Gemäß des § 4d Abs. 5 BDSG ist eine Vorabkontrolle durch den Datenschutzbeauftragten (§ 4d Abs. 6 Satz 1 BDSG) durchzuführen, wenn es sich unter anderem um die Einführung automatisierter Verfahren, die besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweisen, handelt. Die Integration einer Whistleblower-Plattform stellt ein derartiges Verfahren dar und bedarf einer Vorabkontrolle. Leider wird dies in der Praxis meist übersehen, obwohl die Einbindung des Datenschutzbeauftragten in den Prozess der Gefahr entgegenwirkt, gegen datenschutzrechtliche Vorschriften zu verstoßen und ein damit einhergehendes Bußgeld sowie einen Imageverlust zu erleiden.

Der Datenschutzbeauftragte kann dabei schon bei der Entwicklung des Verfahrens eingebunden werden, womit ein System entstehen kann, welches eine ausreichende Rechtsicherheit besitzt. Die spätere Einbindung des Datenschutzbeauftragten ist möglich, jedoch nicht ratsam, da die Möglichkeit besteht, dass erhebliche Anpassungen am System vorgenommen werden müssen und somit ein möglicher Zeit- und Geldaufwand entstehen kann. Weiterhin kann es nützlich sein, zusätzliche Sachverständige bei der Integration eines solchen Verfahrens einzubinden, z.B. einen Datenschutzberater, um den internen Datenschutzbeauftragten zu unterstützen.

Wann wäre eine Vorabkontrolle unter anderem notwendig:

  • Vor Inbetriebnahme von Videoüberwachungsanlagen
  • Einsatz eines Zeiterfassungssystems
  • Einführung eines GPS-Systems
  • Verwendung von Beförderungsranglisten
  • Erstellung von Kundenprofilen/Verbraucherprofilen
  • Einsatz von Chipkarten/Transpondern
  • Assessmentverfahren zur Personalauswahl

Mehr Informationen über die Vorabkontrolle können Sie in unseren Beiträgen über die „Vorabkontrolle – Wann und Wie diese zu erfolgen hat“  sowie „Prüfung der Zweckbindung einer Vorabkontrolle“ erhalten.

Fazit

Die Einführung eines Whistleblowing- Systems bietet einen gewissen Schutz und könnte ein geeignetes Mittel für Unternehmen sein, um gegen Korruption, Datenmissbrauch oder Insidergeschäfte vorzugehen. Dies bietet nicht nur eine gewisse Handhabe gegen rechtswidrige Handlungen, sondern kann sich ebenso positiv auf das Image des Unternehmens auswirken. Bei der Integration eines Whistleblowing-Systems sollte jedoch besonders auf den Datenschutz geachtet werden. Aufgrund der komplexen und eng auszulegenden Datenschutzrechtslage sollte, um möglichen datenschutzrechtlichen Verstößen entgegenzuwirken, auf Datenschutzsachverständige zurückgegriffen werden.

Haben Sie weitere Fragen zu  Whistleblowing und Datenschutz oder benötigen Sie kompetente datenschutzrechtliche Unterstützung?

Brand Consulting steht Ihnen in datenschutzrechtlichen Belangen gerne zur Seite und bietet Ihnen eine vollumfängliche Unterstützung in Sachen Datenschutz. Nehmen Sie gerne Kontakt zu uns auf oder holen Sie sich ein unverbindliches Datenschutz-Angebot ein

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

Sprachassistenten und Datenschutz – Helfer für den Büro-Alltag oder doch nur eine Gefahr für den Nutzer

Sprachassistenten und DatenschutzBevor wir auf das Thema „Sprachassistenten und Datenschutz“ eingehen, möchten wir zunächst die Vorteile der Sprachassistenten, wie Googles „Google Home“, Amazons „Alexa“ oder Apples „Siri, eingehen. Die kleinen „Helfer“ können durchaus praktisch sein und uns einige Aufgaben abnehmen, denn auf Fragen oder Aufgaben, wie „Alexa, wann habe ich meinen nächsten Termin?“, „Google, schreib meiner Frau, dass ich etwas später komme!“ oder „Siri, wie ist die aktuelle Verkehrslage?“ sind die Sprachassistenten bestens vorbereitet. Aus diesem Grund wundert es uns nicht, dass zunächst der Datenschutz in den Hintergrund gerät, allerdings handelt es sich dabei durchaus um ein Thema, das keinesfalls ignoriert werden sollte. Zwar gilt dies insbesondere beim Einsatz in Unternehmen, Vereinen, Behörden oder sonstigen verantwortliche Stellen, allerdings sollten auch Privatpersonen einige Risiken berücksichtigen. Wenn Sie mehr über mögliche Gefahren für Privatpersonen erfahren möchten, dann lesen Sie unseren Beitrag „Hörst du mich oder lauscht du schon?“ – Auswirkungen von Alexa, Siri und Google auf den Datenschutz“.

Ihr externer Datenschutzbeauftragter informiert über Sprachassistenten und Datenschutz und erklärt, welche Risiken und Gefahren für den Datenschutz Organisationen beachten sollten.

Sprachassistenten und Datenschutz – Welche Risiken und Gefahren Sie beachten sollten

Erhebt, verarbeitet oder nutzt eine verantwortliche Stelle personenbezogene Daten, so sollte sie sich an das Datenschutzrecht halten. Laut § 4 Abs. 1 Bundesdatenschutzgesetz (BDSG) ist eine Erhebung, Verarbeitung und Nutzung personenbezogener Daten nur dann zulässig, wenn eine Rechtsgrundlage oder eine informierte Einwilligung der Betroffenen dies erlauben („Verbot mit Erlaubnisvorbehalt“).

Sollen die kleinen „Helfer“ für berufliche Zwecke eingesetzt werden und es findet eine Übermittlung personenbezogener Daten statt, so müsste sich das Unternehmen, die Behörde oder eine sonstige Organisation, die die Verantwortung für die Daten trägt, von jedem Betroffenen eine informierte Einwilligung einholen.   Der damit verbundene Aufwand dürfte in den meisten Fällen viel höher sein als der Nutzen durch die intelligenten „Helfer“, wobei die Entscheidung über die Risiken und notwendigen Maßnahmen von Fall zu Fall unterschiedlich ist. Im Folgenden haben wir Ihnen einige Fallbeispiele aufgeführt:

Der Anbieter des Sprachassistenten hat keinen Zugriff auf personenbezogene Daten

Wird ausschließlich die Hardware und ggf. die Software vom Anbieter durch die Organisation bzw. einen Mitarbeiter bezogen, wobei der Anbieter keinen Zugriff auf personenbezogene Daten erhält, dann dürfte die Nutzung in der Regel recht unproblematisch sein. Es sollte allerdings beachtet werden, dass ein potentieller Zugriff auf personenbezogene Daten durch den Hersteller bereits für die Erforderlichkeit weiterer Maßnahmen genügt. Beim Einsatz der Sprachassistenten werden die Daten, vor allem die Spracheingaben, grundsätzlich in eine Cloud ausgelagert. Aus diesem Grund dürfte der Ansatz, dass der Anbieter keine Daten erhält, in der Praxis eher unüblich sein, weswegen die weiteren Unterscheidungen beachtet werden sollten.

Der Anbieter des Sprachassistenten (Sitz innerhalb der EU/des EWR) hat Zugriff auf personenbezogene Daten 

Um einen Sprachassistenten einsetzen zu können, muss dieser zunächst mit dem WLAN verbunden werden. Des Weiteren muss der Sprachassistent mit dem Smartphone gekoppelt werden. Zudem ist für den Einsatz in der Regel eine App, die auf dem Smartphone installiert wird, erforderlich. Es sollte deshalb davon ausgegangen werden, dass der Anbieter des Sprachassistenten neben der IP-Adresse und den Spracheingaben, den Zugriff auf weitere Daten, die sich auf dem Smartphone befinden, wie zum Beispiel den Kontakten, erhält. Eine Telefonnummer ist ein personenbezogenes Datum, weshalb das Datenschutzrecht greift und das Verbot mit Erlaubnisvorbehalt beachtet werden sollte. Eine Übermittlung bedarf, wie bereits erläutert, informierte Einwilligungen der Betroffenen oder einer Rechtsgrundlage.

Hat der Anbieter des Sprachassistenten seinen Sitz innerhalb der EU / des EWR und verarbeitet die personenbezogenen Daten ausschließlich nach Weisung und im Auftrag des Unternehmens, der Behörde oder sonstiger verantwortlicher Stelle, so handelt es sich um eine Auftragsdatenverarbeitung gemäß § 11 Bundesdatenschutzgesetz (BDSG). Bei einer Auftragsdatenverarbeitung greift die Fiktion der „Nicht-Übermittlung“, wodurch keine informierten Einwilligungen der Betroffenen – für die Weitergabe der Daten an den Dienstleister – eingeholt werden müssen.  Es sollte allerdings ein Vertrag zur Auftragsdatenverarbeitung mit dem Dienstleister abgeschlossen werden und sichergestellt werden, dass der Dienstleister ausreichende Maßnahmen ergreift, um personenbezogene Daten vor dem Zugriff durch Dritte zu schützen.

Wenn Sie mehr zur Auftragsdatenverarbeitung erfahren möchten, lesen Sie gerne unseren Beitrag „Auftragsdatenverarbeitung oder Funktionsübertragung – datenschutzrechtliche und –organisatorische Unterscheidung von Dienstleistern“.

Der Anbieter des Sprachassistenten (Sitz außerhalb der EU/des EWR) hat Zugriff auf personenbezogene Daten

Hat der Anbieter des Sprachassistenten seinen Sitz außerhalb der EU / des EWR (Drittland) so greift die Fiktion der „Nicht-Übermittlung“ nicht, wodurch entweder informierte Einwilligungen der Betroffenen eingeholt werden sollen oder geprüft werden sollte, ob eine andere Rechtsgrundlage für die Übermittlung vorliegt.

Informierte und freiwillige Einwilligungen

Sollen informierte Einwilligungen eingeholt werden, so sollte darauf geachtet werden, dass Betroffene ausreichend über die Datenerhebung, -verarbeitung (insbesondere die Datenübermittlung an den Dienstleister) und –nutzung ihrer Daten informiert werden. Zudem sollten die Einwilligungen freiwillig erfolgen. Im Arbeitsverhältnis scheitert es meist an der Freiwilligkeit oder der Informiertheit, regelmäßig auch an beiden Voraussetzungen. Arbeitgeber sollten sich in diesen Fällen zwingend an ihren Datenschutzbeauftragten wenden oder sich anderweitige fachkundige Unterstützung (z. B. Datenschutzberatung) holen.

Rechtsgrundlage

Sollte eine Rechtsgrundlage, die Übermittlung an den Anbieter erlauben, wobei für den Einsatz der Sprachassistenten keine vorliegen dürfte, so müsste geprüft werden, ob ein angemessenes Datenschutzniveau durch die EU-Kommission in dem Drittland festgestellt wurde. Ein angemessenes Datenschutzniveau liegt unter anderem in Kanada oder der Schweiz vor. Sofern dies nicht der Fall ist, sollte ein angemessenes Datenschutzniveau, mittels EU-Standardvertragsklauseln oder durch andere vertragliche Grundlagen, hergestellt werden.

Gespräche werden dauerhaft aufgezeichnet und in eine Cloud ausgelagert

Um das Aktivierungswort zu hören, müssen die Geräte die Gespräche i. d. R. dauerhaft aufzeichnen,

  • die dann auf den Servern des Anbieters oder
  • sogar auf Servern von anderen Anbieter landen. (Der Einsatz von Cloud-Lösungen, unter anderem von Infrastructure as a Service, ist heute keine Seltenheit.)

Werden die Server von anderen Anbietern betrieben, so müssten diese Subunternehmer ebenfalls in Verträgen erfasst werden.

Weitere Schwierigkeiten

Neben den benannten Problemen sollte beachtet werden, dass auch die Gespräche im Büro von Dritten, wie zum Beispiel Kunden oder Dienstleistern, aufgezeichnet werden (könnten).

Verantwortliche Stellen sollten rund um den Einsatz von Dienstleistern weitere erforderliche Maßnahmen beachten. Unter anderem sollten technische und organisatorische Maßnahmen gemäß § 9 BDSG und der Anlage zu § 9 Satz 1 BDSG ergriffen werden, um die Daten vor unbefugten Zugriffen zu schützen.

Neben dem BDSG könnte aber auch das Telemediengesetz (TMG) relevant sein, wenn elektronische Kommunikations- und Informationsdienste angeboten werden. Wurde für den Einsatz der Sprachassistenten zum Beispiel eine App entwickelt, so sollte der App-Entwickler die Pflichten aus dem TMG, unter anderem die Impressumspflicht, nicht ignorieren.

Auch könnte das Telekommunikationsgesetz (TKG), insbesondere § 88 TKG, von Bedeutung sein, allerdings wäre dies im Einzelfall zu prüfen.

Fazit

Eine pauschale Antwort über die möglichen Risiken und Gefahren sowie die erforderlichen Maßnahmen bei dem Einsatz von Sprachassistenten kann nicht geben werden, da dies sehr von den eingesetzten Systemen abhängt.

Grundsätzlich ist von dem dienstlichen Einsatz von Sprachassistenten allerdings abzuraten, dass ein datenschutzkonformer Einsatz mit einem erheblichen Mehraufwand verbunden ist und zumeist Restrisiken verbleiben. Zumindest sollte die „dauerhafte Mithörfunktion“ auf beruflichen Geräten oder in beruflichen Sphären abgeschaltet werden, dies meint z. B. die Funktion „Hey Siri“.

Möchten Sie mehr zu Sprachassistenten und Datenschutz erfahren oder sich im Datenschutz dauerhaft besser positionieren? Brands-Consulting steht Ihnen als Ansprechperson gerne zur Seite. Nehmen Sie gerne Kontakt zu uns auf oder holen Sie sich ein unverbindliches Datenschutz-Angebot ein

Brands Consulting – steht für kompetente Dienstleistungen rund um Datenschutz & Beratung

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen

Betrieblicher Datenschutzverantwortlicher in der Schweiz und Datenschutzbeauftragter in Deutschland – Datentransfer ins Drittland

Datentransfer zwischen Deutschland und der SchweizEin Datentransfer zwischen Deutschland und der Schweiz nimmt nicht zuletzt aufgrund der fortschreitenden Globalisierung an Bedeutung zu. Es werden immer mehr personenbezogene Daten in unterschiedliche Länder übermittelt und empfangen. Oftmals wird dabei außer Acht gelassen, welche datenschutzrechtlichen Regelungen in dem Land herrschen, in das die Daten übermittelt werden. Ein solch achtloser Umgang mit personenbezogenen Daten kann rechtliche Konsequenzen mit sich bringen, die neben Geldstrafen einen großen Imageverlust für die verantwortliche Stelle, i. d. R. international agierende Konzerne, aber auch gerade für mittelständische Unternehmen, bedeuten können. Ausland ist jedoch nicht gleich Ausland: Je nach Abkommen zwischen verschieden Ländern kann eine Harmonisierung des Rechts erfolgt sein, daher sollte stets eine Unterscheidung vorgenommen werden zwischen EU-, EWR und den übrigen Ländern, den sogenannten Drittländern.

Ihr externer Datenschutzbeauftragter informiert über den Datentransfer zwischen Deutschland und der Schweiz und vergleicht den Datenschutz in den beiden Ländern.

Was sind die Unterschiede zwischen EU-, EWR- und Drittländern?

Vor wenigen Tagen, zum 60. Jubiläum der Römischen Verträge, die am 25.03.1957 unterzeichnet und den Grundstein für die Europäische Union legten, wurde erneut eine Erklärung besiegelt. Hiermit bekräftigen die Staats- und / oder Regierungschefs das Versprechen auf Freiheit, Frieden und Wohlstand. So hat die Europäische Union, trotz zahlreicher Kritik, viele positive Aspekte gebracht. Viele schimpfen über die Harmonisierung, doch ohne diese wäre die damit verbundene Freizügigkeit des Personen-, Waren und Datenverkehrs nicht bzw. nur schwer möglich. Werden personenbezogene Daten unter Beachtung der europäischen Gesetzlichkeiten übermittelt, sind zwar Maßnahmen zu ergreifen, allerdings halten sich der Aufwand und die Datenschutz-Risiken i. d. R. noch in Grenzen. Das gleiche gilt für Länder des europäischen Wirtschaftsraumes, wie z. B. Norwegen, Island und Liechtenstein (§ 4b Abs. 2 Satz 2 Bundesdatenschutzgesetz (BDSG)). Probleme treten bei Ländern auf, die weder der EU noch dem EWR angehören, den sogenannten Drittländern.   Eine Übermittlung von personengebundenen Daten in ein Drittland ist nach § 4b Abs. 2 BDSG zu unterlassen, sofern dem Betroffenen kein angemessener Schutz zugesichert werden kann. Das BDSG bildet dabei den Maßstab, an dem sich das Sicherheitsniveau des Drittlandes messen muss. Ob ein entsprechendes datenschutzrechtliches Schutzniveau im Drittstaat vorhanden ist, wird nach Art. 25 Abs. 6 der europäischen Datenschutzrichtlinie (EG-DatSchRL / Richtlinie 95/46/EG) durch die EU-Kommission festgestellt.

Die nach Art. 25 Abs. 6 der Richtlinie 95/46/EG erlassenen Feststellungen bleiben solange in Kraft bis diese geändert oder ersetzt wurden, vgl. Art. 45 Abs. 9 Datenschutz-Grundverordnung (DS-GVO).

Die Kommission hat dabei ein ausreichendes datenschutzrechtliches Schutzniveau beispielsweise für die Schweiz, Neuseeland, Kanada, Israel und Argentinien festgestellt. Für diese Länder wird ein mit der EU vergleichbares Datenschutzniveau angenommen, das entsprechend Art. 45 Abs. 9 DS-GVO zumindest vorerst fortbesteht. Folglich kann eine Datenübertragung in einen Staat mit ausreichendem Datenschutzniveau bedenkenlos erfolgen, sofern eine Rechtsgrundlage für die Übermittlung vorliegt.

Exkurs: Auswirkungen des Brexit

Aufgrund der derzeitigen Entwicklungen in Europa, die durch den Brexit ausgelöst wurden, soll kurz erläutert werden, wie es sich mit dieser Thematik verhält: Beim Einreichen des Austrittsantrags aus der EU durch Großbritannien hat der Staat 2 Jahre Zeit, um entsprechende Abkommen (z.B. EWR-Beitritt) mit der EU zu schließen. Besteht kein entsprechendes Abkommen zwischen Großbritannien und der EU bezüglich der Freizügigkeit, wird Großbritannien als Drittstaat bewertet. Daraus resultierend folgt eine Bewertung des Datenschutzniveaus Großbritanniens durch die EU-Kommission.

Sofern Sie weitere Informationen über das Thema „Brexit“ wünschen, lesen Sie unseren Beitrag „Datenschutz-Brexit – Auswirkungen auf die Datenübermittlung aus der Europäischen Union (EU) nach Großbritannien“.

Datenschutz in Deutschland und Schweiz – Der Vergleich

Wie bereits erwähnt, stellt die Schweiz ein Drittland dar, welches ein ausreichendes Datenschutzniveau für die EU aufweist. Um die Thematik näher zu erläutern, soll im Folgenden näher auf den Datenschutz in Deutschland und der Schweiz eingegangen werden und ein datenschutzrechtlicher Vergleich der Schweiz (Drittland) mit Deutschland (EU-Land) erfolgen.

Datenschutz in Deutschland und Schweiz – Datenschutzregelungen und Kontrollorgane

Der Aufbau der datenschutzrechtlichen Zuständigkeit in der Schweiz ist dem in Deutschland sehr ähnlich. So regelt das Datenschutzgesetz des Bundes den Datenschutz der Bundesbehörde sowie für den privaten Bereich, dabei haben die Bundesländer (in der Schweiz Kantone) auf Basis ihres Rechts auf Selbstverwaltung ihr eigenes länder- bzw. kantonspezifisches Datenschutzrecht.

Gemäß § 24 Abs. 1 BDSG kontrolliert die Bundesbeauftragte für den Datenschutz und die Informationssicherheit (BfDI) bei den öffentlichen Stellen des Bundes die Einhaltung des BDSG und anderer Datenschutz-Vorschriften. Der jeweilige Landesbeauftragte für den Datenschutz ist für öffentliche Stellen des Landes zuständig, wobei er in den meisten Bundesländern als Aufsichtsbehörde ebenfalls die Einhaltung des Datenschutzes bei nicht-öffentlichen Stellen kontrolliert. Eine Ausnahme stellt Bayern dar, da es eine Aufsichtsbehörde für öffentliche Stellen des Landes und eine andere für nicht-öffentliche Stellen gibt. In der Schweiz, sind die Kantone für die Einhaltung des Datenschutzrechts selbst verantwortlich und folglich nicht dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten, der die Einhaltung auf Bundesebene prüft, unterstellt.

Eine große Diskrepanz stellt ebenso dar, dass im Datenschutzrecht der Schweiz neben der Auskunftspflicht eine Informationspflicht nach Art. 14 und 18a Bundesgesetz über den Datenschutz (DSG) besteht. Demnach ist der Inhaber einer Datensammlung, wenn er schützenswerte Personendaten oder Personenprofile einer Privatperson bearbeitet, nicht nur bei Nachfrage durch den Betroffenen verpflichtet, diesem Auskunft über die Verarbeitung seiner Daten zu geben, sondern muss den Betroffen aktiv darüber informieren, das seine Daten bearbeitet werden.  Zwar sieht auch § 33 BDSG eine gewisse Informationspflicht vor, allerdings nur, wenn personenbezogene Daten zum ersten Mal gespeichert oder übermittelt werden. Die Benachrichtigung kann folglich bei weiterer Datenspeicherung oder Datenübermittlung entfallen. Der Grund ist, dass mit der ersten Benachrichtigung der Betroffene über die Erhebung bzw. Übermittlung informiert wurde und in der Lage ist, weitere Informationen mittels Auskunftsrecht zu erfragen.

Die Datenschutz-Grundverordnung, die den Datenschutz innerhalb der EU vereinheitlichen soll, sieht in Art. 13 und 14 ebenfalls Informationspflichten vor. Anders als im Bundesdatenschutzgesetz findet in der DS-GVO eine Trennung zwischen der Informationspflicht bei Erhebung beim Betroffenen (Art. 13) und der Informationspflicht bei Erhebung bei der nicht betroffenen Person (Art. 14) statt. Die DS-GVO sieht dabei unter anderem einen größeren Umfang an Informationen vor, die dem Betroffenen mitgeteilt werden sollen. Zum Beispiel soll der Betroffene die Kontaktdaten des Datenschutzbeauftragten erhalten. Des Weiteren sieht die DS-GVO im Vergleich zum BDSG weniger Ausnahmen vor, wann keine Informationspflicht besteht.

Datentransfer zwischen Deutschland und der Schweiz – Datenverarbeitung (respektive Datenübermittlung)

Bei der Datenverarbeitung ist für einen Rechtsvergleich ausschlaggebend, wer Auftragsgeber (AG) und Auftragsnehmer (AN) ist. Es bieten sich daher zwei Szenarien.

Beim 1. Szenario befindet sich der Auftraggeber (z. B. ein Bauunternehmen) in Deutschland und der Auftragsnehmer (z. B. IT-Dienstleister) in der Schweiz. Der IT-Dienstleister verarbeitet, um den Auftrag des Bauunternehmens zu erfüllen, personenbezogene Daten bzw. kann nicht ausgeschlossen werden, dass der IT-Dienstleister auf diese Daten zugreifen kann.

Das Bauunternehmen muss prüfen, ob eine Datenübermittlung an den IT-Dienstleister datenschutzkonform ist, da der Auftraggeber weiterhin die Verantwortung für die personenbezogenen Daten trägt und gegenüber dem IT-Dienstleister weisungsbefugt ist.

Hätte der IT-Dienstleister seinen Sitz innerhalb der EU/des EWR, so würde die Fiktion der „Nicht-Übermittlung“ greifen. Das Bauunternehmen müsste lediglich einen Vertrag zur Auftragsdatenverarbeitung (ADV) mit dem IT-Dienstleister abschließen und prüfen bzw. durch den internen/externen Datenschutzbeauftragten prüfen lassen, ob der IT-Dienstleister personenbezogene Daten ausreichend schützt.

Bei der Übermittlung an den IT-Dienstleister mit Sitz in der Schweiz greift die Fiktion der „Nicht-Übermittlung“ nicht. Die Übermittlung an den IT-Dienstleister wird auch tatsächlich als Übermittlung eingestuft, wodurch das Bauunternehmen prüfen sollte, ob eine Rechtsgrundlage vorliegt.  Ist dies nicht der Fall sollten informierte Einwilligungen der Betroffenen eingeholt werden.

Neben der Prüfung, ob eine Erlaubnisnorm für die Übermittlung vorliegt, sollte das Bauunternehmen kontrollieren, ob ein angemessenes Datenschutzniveau im Drittland herrscht. Laut der EU-Kommission hat die Schweiz ein angemessenes Datenschutzniveau.

Im 2. Szenario tauschen der AN und AG die Rollen. Das Bauunternehmen (AG) befindet sich jetzt in der Schweiz und der IT-Dienstleister (AN) hat seinen Sitz in Deutschland.

Die Datenübermittlung aus der Schweiz ins Ausland wird in Art. 6 Abs. 1 Bundesgesetz über den Datenschutz(DSG) geregelt, dabei darf unter anderem eine Übermittelung bzw. die Bekanntgabe personenbezogener Daten ins Ausland erfolgen, wenn die Persönlichkeit des Betroffenen nicht schwerwiegend gefährdet wird. Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte aktualisiert laufend eine Liste, die aufzeigt, welche Staaten über einen geeigneten Schutz verfügen.

Deutschland verfügt, entsprechend dieser Liste, über einen geeigneten Schutz. Datenübermittlung an Staaten, die keinen geeigneten Schutz aufweisen, dürfen nur unter den in Art. 6 Abs. 2 DSG benannten Bedingungen übermittelt werden. Eine Bedingung ist zum Beispiel die informierte Einwilligung des Betroffenen.

Datenschutz in Deutschland und Schweiz – Vergleich der Regelungen zu den Technischen und organisatorischen Maßnahmen (TOM)

In Deutschland wie auch in der Schweiz werden technische und organisatorische Maßnahmen (TOM) angewandt, um die Datensicherheit zu gewähren. In beiden Ländern gibt es diesbezüglich ähnliche Regelungen, welche die folgende Tabelle zusammenfasst:

 

 

Vergleichbare gesetzliche Regelungen
Deutsche Regelung Schweizer Regelung
Zutrittskontrolle § 9 BDSG

Anlage Nr.1

Zugangskontrolle Art. 9 Abs. 1a Verordnung zum Bundesgesetz über den Datenschutz (VDSG)
Zugangskontrolle § 9 BDSG

Anlage Nr. 2

Benutzerkontrolle Art. 9 Abs. 1f VDSG
Zugriffskontrolle § 9 BDSG

Anlage Nr. 3

Personendatenträgerkontrolle, Speicherkontrolle, Zugriffskontrolle Art. 9 Abs. 1b,e,g VDSG
Weitergabekontrolle § 9 BDSG

Anlage Nr. 4

Transportkontrolle, Bekanntgabekontrolle Art. 9 Abs. 1c,d VDSG
Eingangskontrolle Art. 9 BDSG Anlage Nr. 5 Eingabekontrolle Art. 9 Abs. 1h VDSG
Auftragskontrolle § 9 BDSG Anlage Nr. 6

 

 

Auftragsgeber muss sich vergewissern, dass Dritter die Datensicherheit gewährleistet Art. 10a Abs. 2 DSG
Verfügbarkeitskontrolle § 9 BDSG Anlage Nr. 7 Keine vergleichbare Regelung im DSG. Sicherstellung der Verfügbarkeitskontrolle, durch allgemeine Maßnahmen möglich Art. 8 Abs. 1 VDSG
Trennungskontrolle § 9 BDSG Anlage Nr. 8 Keine vergleichbare Regelung im DSG. Möglichkeit der Festlegung durch

§ 10 a Abs. 1 DSG

Datenschutz in Deutschland und Schweiz – Datenschutzverantwortlicher (Schweiz) und betrieblicher Datenschutzbeauftragter (Deutschland)

Das deutsche Datenschutzrecht schreibt im § 4 f BDSG unter bestimmten Voraussetzungen die Bestellung eines „Datenschutzbeauftragten“ für öffentliche oder nicht-öffentliche Stellen vor. Eine solche Pflicht kann dem Datenschutzrecht der Schweiz nicht entnommen werden, vielmehr steht es einer Organisation frei, nach Art. 12a VDSG einen betrieblichen Datenschutzverantwortlichen zu bestellen. Nimmt ein Unternehmen in der Schweiz die Möglichkeit wahr und bestellt einen betrieblichen Datenschutzbeauftragten bzw. Datenschutzverantwortlichen, so entfällt die Anmeldung der Datensammlung nach § 11 Abs. 5e DSG. Die Entscheidung, ob ein interner (betrieblicher) oder externer Datenschutzverantwortlicher bzw. Datenschutzbeauftragter bestellt wird, können „verantwortliche Stellen“ – sowohl Öffentliche als auch Nicht-Öffentliche – selbst treffen.

Sowohl der Interne als auch der externe Datenschutzverantwortliche bzw. Datenschutzbeauftragte haben ihre Vor- und Nachteile. Zwar ist der interne Datenschutzverantwortliche / Datenschutzbeauftragte mit den internen Prozessen der Organisation besser vertraut, allerdings bringt der externe Datenschutzverantwortliche / Datenschutzbeauftragte mehr Erfahrung im Datenschutz mit, betrachtet einzelne Themen objektiver und verfügt nicht über den besonderen Kündigungsschutz eines internen Datenschutzbeauftragten. Gerade in Deutschland sind viele Unternehmen von diesem besonderen und nachwirkenden Kündigungsschutz des Datenschutzbeauftragten zumeist nicht gerade angetan. In international operierenden Unternehmen bei denen z. B. ein Sitz in der Schweiz und Deutschland vorliegt, wird die Funktion zumeist einheitlich als „Data Protection Officer“ bezeichnet.

Fazit

Die zunehmende Globalisierung und Digitalisierung erfordert eine erhöhte Beachtung des Datenschutzes. Gerade bei der Thematik „Datentransfer“ bzw. „Datenübermittlung“ in Drittländer ist besondere Vorsicht geboten. Der Datenschutz in Deutschland und der Schweiz zeigt, dass trotz der geographischen Nähe datenschutzrechtliche Unterschiede bestehen, die zu beachten sind.

Die Einhaltung und Umsetzung des Datenschutzes ist für Organisationen mit einem hohen Zeitaufwand, Arbeitsaufwand und Kosten verbunden. Aus diesem Grund sollte eine qualifizierte Person im Bereich des Datenschutzes eingesetzt werden. Zumal in Deutschland i. d. R. die Pflicht zur Bestellung eines Datenschutzbeauftragten besteht.

Vorwiegend kann bei der Problematik mit den datenschutzrechtlichen Regelungsgebieten in Drittländern ein „externer Datenschutzbeauftragter“ im Vergleich zum „internen (betrieblichen) Datenschutzbeauftragten“ von Vorteil sein. Ein externer Datenschutzbeauftragter kann neben der erforderlichen Fachkunde und Zuverlässigkeit durch Erfahrung in sämtlichen Bereichen des Datenschutzes punkten.  Zudem ist ein externer Datenschutzbeauftragter durch seine ausschließliche Tätigkeit im Datenschutz fachlich deutlich besser aufgestellt und kann sich im Zweifel in neue Problemstellungen oder individuelle Sonderanforderungen nachhaltiger eindenken.

Ein externer Datenschutzbeauftragter, externer Datenschutzverantwortlicher oder Data Protection Officer unterstützt und berät die verantwortlichen Stellen bei allen Themen rund um den Datenschutz, unter anderem werden Schulungen durchgeführt, es wird bei der Erstellung von Betriebsvereinbarungen / Dienstvereinbarungen / Richtlinien geholfen, es werden interne Datenverarbeitungsprozesse geprüft und Unterstützung bei der Erstellung von Verfahrensverzeichnissen wird offeriert.

Haben Sie noch Fragen zum Datenschutz die einen internationalen Datentransfer zwischen Deutschland und der Schweiz betreffen oder wünschen Sie fachkundige Unterstützung in Form von individuellen Beratungen bzw. Schulungen? Dann holen Sie sich ein unverbindliches Angebot zum Datenschutz ein oder nehmen Sie direkt Kontakt mit uns auf.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

 

Unterschiede zwischen Datenschutz und Datensicherheit – Wieso Datensicherheit nicht immer zum Datenschutz beiträgt?

Datenschutz und DatensicherheitDie Begriffe Datenschutz und Datensicherheit werden in der Praxis regelmäßig synonym verwendet, dabei unterscheiden sie sich zum Beispiel in den, mit ihnen verfolgten, Zielen. Geht es bei der Datensicherheit um den Schutz von Daten allgemein, so sollen im Datenschutz personenbezogene Daten geschützt werden. Aus diesem Grund ist die Aussage, dass Datenschutz ohne Datensicherheit nicht möglich ist, zutreffend, allerdings existieren auch Ausnahmen, die zeigen, dass Maßnahmen zur Datensicherheit dem Datenschutz auch schaden können.

Ihr externer Datenschutzbeauftragter informiert Sie rund um die beiden Begrifflichkeiten und zeigt Ihnen im Folgenden wesentliche Unterschiede auf.

Was versteht man unter Datenschutz?

Beim Datenschutz geht es um den Schutz von personenbezogenen Daten, wobei der Kernpunkt nicht der Inhalt oder die Bedeutung der Daten ist, sondern die informationelle Selbstbestimmung. Weisen die erhobenen, verarbeiteten oder genutzten Daten einen Personenbezug auf, so ist die Rede von personenbezogenen Daten, dabei können sie direkt (bestimmt), zum Beispiel der Name, oder indirekt (bestimmbar) unter Zuhilfenahme einer weiteren Informationsquelle, zum Beispiel die Telefonnummer, einer Person zugeordnet werden. In Deutschland greifen in diesen Fällen das Bundesdatenschutzgesetz (BDSG), landesspezifische Vorschriften, wie zum Beispiel das Datenschutzgesetz NRW (DSG NRW) oder bereichsspezifische Gesetze, wie z B. das Telemediengesetz (TMG), die die Privatsphäre der Menschen schützen sollen. Zu beachten ist allerdings, dass in Deutschland dieser Schutz nur für natürliche Personen (Menschen) und nicht für juristische Personen, da kein Personenbezug gegeben ist, gilt. Der Begriff Datenschutz ist juristischer Natur, da die Begrifflichkeit sämtliche rechtliche Vorschriften, die personenbezogene Daten schützen sollen, erfasst. Beim Datenschutz geht es somit um die rechtlichen (theoretischen) Fragen („Unter welchen Voraussetzungen dürfen personenbezogene Daten erhoben, verarbeitet oder genutzt werden?“ und weniger um die technische Umsetzung, die wiederrum im Rahmen von der Datensicherheit (praktischer Ansatz) aufgegriffen wird.

Was ist unter Datensicherheit zu verstehen?

Für den, im Datenschutzrecht geforderten, Schutz bietet die Datensicherheit Maßnahmen. Beim Datenschutz handelt es sich letztens um die „Theorie“, die im Rahmen der Datensicherheit umgesetzt wird („Praxis“).  Die Datensicherheit behandelt die Frage, was überhaupt möglich ist und ist somit, dass Gegenstück zum Datenschutz, da ansonsten keine Daten geschützt, sondern lediglich Vorschriften formuliert wären.  Geht es bei Datenschutz alleinig um personenbezogene Daten, so fallen unter den Begriff Datensicherheit sämtliche Daten unabhängig davon, ob sie einen Personenbezug aufweisen. Kernpunkt der Datensicherheit sind Maßnahmen, um den Schutz der Daten vor Missbrauch (Kontrollierbarkeit), Verfälschung (Integrität), Verlust (Verfügbarkeit) und unberechtigter Zugriffe (Vertraulichkeit), zu gewähren .

Die benannten Ziele der Datensicherheit dürften Jedem, der bereits mit der Anlage zu § 9 BDSG vertraut ist, bekannt vorkommen, denn die im Datenschutzrecht benannten technischen und organisatorischen Maßnahmen bilden die Schnittstelle zwischen den beiden Begriffen. Gemäß § 9 Bundesdatenschutzgesetz in Verbindung mit der Anlage zu § 9 Satz 1 BDSG sind alle Stellen, die personenbezogene Daten erheben, verarbeiten oder nutzen dazu verpflichtet, technische und organisatorische Maßnahmen (kurz TOM) zu treffen, um die Anforderungen des BDSG zu erfüllen, wobei im Rahmen der Datensicherheit geprüft und Technische und organisatorische Maßnahmenbestimmt werden sollte, welche Maßnahmen erfüllt werden können bzw. erfüllt sind.

Verantwortliche Stellen, wie zum Beispiel Unternehmen, Vereine und Behörden, sind lediglich zur Einhaltung der Anforderungen des BDSG verpflichtet, wobei keinerlei gesetzliche Verpflichtung zur Abstimmung der technischen und organisatorischen Maßnahmen besteht. Das Prüfen der TOM ist allerdings anzuraten, da eine Organisation feststellen kann, an welcher Stelle Defizite bestehen. Des Weiteren könnten verantwortliche Stellen, die personenbezogene Daten im Auftrag verarbeiten (ADV-Dienstleister) vom Auftraggeber, zur Übersendung der technischen und organisatorischen Maßnahmen verpflichtet werden.

Benötigen Sie Unterstützung bei der Abstimmung der TOM oder möchten Sie wissen, ob Ihr Dienstleister sich an die Anforderungen des Bundesdatenschutzgesetzes hält? Dann nehmen Sie Kontakt zu uns auf, gerne unterstützen und beraten wir Sie rund um die technischen und organisatorischen Maßnahmen sowie bei der Abwicklung von Verträgen zur Auftragsdatenverarbeitung.

Achtung: Der Begriff Datensicherheit sollte nicht mit der IT-Sicherheit verwechselt werden, da bei der IT-Sicherheit der Schutz von digitalen Daten im Vordergrund steht.

Unterschiede von Datenschutz und Datensicherheit

Datensicherheit Datenschutz
Schutz von Daten  Schutz vor Datenmissbrauch und -pannen (Grundsätze der Datensparsamkeit, Zweckbindung)
Schutz aller Daten Schutz personenbezogener Daten
Schutz vor Verlust, Zerstörung, Missbrauch, Zugriff durch Unberechtigte Schutz der informationellen Selbstbestimmung (Privatsphäre)
Technische Maßnahmen / Lösungen Gesetzliche Vorschiften
Praxis: Bei der Datensicherheit geht es unter anderem um die Umsetzung der Anforderungen des Datenschutzes, wobei der praktische Ansatz, „Was ist möglich?“, verfolgt wird. Theorie: Beim Datenschutz wird der theoretische Ansatz „Was soll erfüllt werden?“ verfolgt werden.

Kann die Datensicherheit dem Datenschutz schaden?

Datensicherheit vs. DatenschutzGrundsätzlich unterschützen, bis auf wenige Ausnahmen, die Maßnahmen, die zur Datensicherheit erfolgen, den Datenschutz. Eine dieser Ausnahmen ist das Auslagern von Daten in eine Cloud. Kann das Auslagern in einen Cloud-Speicher die Daten vor Verlust schützen und ist grundsätzlich eher förderlich für die Datensicherheit, so verursacht diese Maßnahme in Hinblick auf den Datenschutz zahlreiche Risiken und Probleme. Bei einer Datensicherung in der Cloud, handelt es sich aus Datenschutzrecht bereits um eine Übermittlung, die wiederrum nur erlaubt ist, wenn sie auf einer Rechtsgrundlage oder einer informierten Einwilligung basiert. Hat der Cloud-Anbieter seinen Sitz zudem in einem Drittland, außerhalb der europäischen Union (EU) oder des europäischen Wirtschaftsraums (EWR), so muss die verantwortliche Stelle weitere Maßnahmen umsetzen, so ist üblicherweise ein angemessenes Datenschutzniveau herzustellen.

Möchte eine Organisation auf Cloud-Lösungen zurückgreifen, so ist ein deutscher bzw. europäischer Cloud-Anbieter und das Abschließen eines Vertrages zur Auftragsdatenverarbeitung (ADV) dringend anzuraten.

Möchten Sie mehr zu Datenschutz und Datensicherheit erfahren? Haben Sie Fragen zu den technischen und organisatorischen Maßnahmen oder Cloud-Computing? Dann nehmen Sie Kontakt zu uns auf.

Planen Sie sich im Datenschutz dauerhaft besser zu positionieren? Dann fordern Sie direkt ein kostenloses Angebot zum Datenschutz an und holen Sie sich Unterstützung durch einen versierten externen Datenschutzbeauftragten.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

Übertragung von Personaldaten und Kundendaten – Datenschutz beim Unternehmenskauf (Asset Deal vs. Share Deal)

Datenschutz beim UnternehmenskaufEin Unternehmenskauf kann vielerlei Gründe haben, beispielsweise der Erwerb von Kundendaten, die Übernahme von Schlüsselmitarbeitern des Zielunternehmens oder auch die Übernahme von Lieferbeziehungen. Nicht selten wird er als Einstieg in die Selbstständigkeit genutzt, die hierfür bekanntesten Beispiele sind wohl die häufig praktizierten Übernahmen von Arztpraxen, Apotheken oder Zahnarztpraxen. Ein Unternehmenskauf bringt in der Regel auch einen Übergang von personenbezogenen Daten mit sich. Aus diesem Grund sollten die datenschutzrechtlichen Regelungen beachtet werden, um möglichen Sanktionen entgegenzuwirken.

Ihr externer Datenschutzbeauftragter unterstützt Sie in allen datenschutzrechtlichen Belangen und klärt auf, warum der Datenschutz beim Unternehmenskauf beachtet werden sollte.

Personenbezogene Daten – Währung des 21. Jahrhunderts

Das Pflegen von Kundenbeziehungen war und ist das A und O für mögliche Umsatzsteigerungen im Unternehmen. Je mehr Informationen über die Verhaltensweisen des Kunden gesammelt werden können, desto einfacher ist es, gezielt die individuellen Bedürfnisse des Einzelnen zu erfassen, um diesem direkt die Produkte oder Dienstleistungen anzubieten, die er braucht oder die er nach ähnlichen Verhaltensmustern anderer Konsumenten in Betracht ziehen könnte. Wer Kundendaten sammelt und effektiv auswertet erhält folglich nicht nur einen Vorsprung im Verhältnis zu anderen Mitbewerbern, sondern kann sich Umsatzsteigerungen durch effiziente Datenauswertung und damit verbundene Vermarktung sichern. Somit stellen Kundendaten einen wesentlichen Vermögenswert dar und können ein Grund für einen Unternehmenskauf sein. Auf das oben aufgeführte Beispiel der Übernahme einer Arztpraxis bezogen, kann es sich hierbei um die unmittelbare Gewinnung von 500 und mehr Kunden handeln. Der Kunde, in diesem Fall Patient, wird dabei indirekt und vermeintlich zur Ware.

Aufgrund des Personenbezugs von Kunden-, Mitarbeiter- und Lieferantendaten sollten nicht-öffentliche Stellen den Datenschutz beim Unternehmenskauf daher nicht außer Acht lassen (§ 3 BDSG). Personenbezogene Daten bedürfen nach § 4 Abs. 1 Bundesdatenschutzgesetz (BDSG) eines besonderen Schutzes. So ist das Verarbeiten, Nutzen und Speichern personenbezogener Daten nur dann gestattet, wenn

  • der Betroffene dem freiwillig zustimmt oder
  • eine gesetzliche Vorschrift existiert, die das Verfahren erlaubt.

Neben den Kundendaten stellen auch Mitarbeiterdaten oder auch Lieferantendaten personenbezogene Daten dar, welche ebenso unter den § 4 Abs. 1 BDSG fallen und einer vorvertraglichen Prüfung, ob eine Zustimmung der Betroffenen einzuholen ist, bedürfen.

Datenschutz beim Unternehmenskauf

Vor einem Unternehmenskauf ist der Austausch von Informationen unerlässlich — sei es, um die Haftung zu beschränken, indem die Aufklärungspflicht durch den Verkäufer statuiert wird, oder um im Interesse des Käufers vollumfängliche Informationen über das Kaufobjekt zu erhalten. Dabei besteht besonders bei der Übertragung von Personendaten, welche von den Kunden, Lieferanten und Mitarbeitern des Unternehmens gesammelt wurden, eine Möglichkeit, gegen datenschutzrechtliche Reglementarien zu verstoßen.

Wie oben bereits erwähnt, stellt die Übermittlung personenbezogener Daten nach dem § 4 BDSG einen vom Betroffenen zustimmungsbedürftigen Vorgang dar, sofern keine gesetzliche Bestimmung besteht. Folglich ist es relevant, zu prüfen, ob die Übertragung eine Zustimmung des Betroffenen benötigt oder nicht.

Im Fokus eines Unternehmenskaufes steht oft der Erwerb von Kundendaten, da diese einen wichtigen Teil des Unternehmenswertes darstellen. Gerade weil der Käufer den wertvollen Kundenstamm (verbunden mit den Kundendaten) übernehmen will, wird der Käufer einen entsprechenden Betrag verlangen wollen. Ein Übergang dieser Daten ist jedoch datenschutzrechtlich gesehen nicht immer zulässig. Es muss im Einzelfall geprüft werden, welche Daten zu welchem Zweck genutzt und übertragen werden sollen. Dies gilt vor allem, wenn es sich nicht um einen Anteilskauf (Share Deal) oder eine Verschmelzung des Unternehmens mit einem anderen handelt, sondern um einen Kauf von Vermögenswerten des Unternehmens (Asset Deal), bei dem die Rechtspersönlichkeit des Unternehmens bestehen bleibt.

Share Deal

Der Share Deal ist neben dem Asset Deal eine Möglichkeit des Unternehmenskaufes und beschreibt den Anteilskauf (z. B. Kauf von Aktien oder von GmbH-Anteilen) eines Unternehmens. Obwohl bei einem hundertprozentigen Anteilskauf die Gesamtheit des Unternehmens übergeht, bieten sich einige datenschutzrechtliche Risiken, welche beachtet werden sollten.

Wie erwähnt, wird der Käufer vor einem Unternehmenskauf Informationen über das Unternehmen verlangen. Dies geschieht mithilfe der Due Diligence (kurz DD), auch bekannt als Due-Diligence-Prüfung (im Geschäftsverkehr gebotene Sorgfaltspflicht), welche eine Risikoprüfung darstellt und i. d. R. vom Käufer angefertigt oder beauftragt wird, Aufklärung über die tatsächliche Unternehmenssituation zu schaffen. Es ist nicht selten der Fall, dass der Käufer hierbei von „Dritten“, wie Steuerberatern, Unternehmensberater, Wirtschaftsprüfern oder Rechtsanwälten, unterstützt wird. Eine Due Diligence kann somit dem Käufer und weiteren „Dritten“ Zugang zu Kundenlisten oder Arbeitnehmerdaten liefern. In einem solchen Fall ist das Informieren der Betroffenen oder die Einholung ihrer Zustimmung meist nicht notwendig.

Der § 28 Abs. 1 Nr. 2 BDSG sieht zwar vor, dass der Zugriff auf personenbezogene Daten zulässig ist, sofern dieser der „Wahrung berechtigter Interessen der verantwortlichen Stelle“ dient und „kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung überwiegt“. Fraglich ist jedoch, ob die Veräußerung des Unternehmens ein „berechtigtes Interesse“ darstellt, da es sich dabei vorrangig um das Interesse der Gesellschafter handelt. Aus diesem Grund ist es empfehlenswert, bei der Vorlage einer Due Diligence personenbezogene Daten unkenntlich zu machen oder zu anonymisieren. Sonstige Fälle sollten mit dem zuständigen Datenschutzbeauftragten besprochen werden.

Asset Deal

Im Unterschied zum Share Deal werden beim Asset Deal nicht Anteilsrechte am Unternehmen erworben, sondern einzelne Wirtschaftsgüter. Dabei gehen die bestehenden Verhältnisse (z.B. Verträge) nicht mit auf den Erwerber über. Sollen diese mit übergehen, muss eine Vereinbarung des Überganges zwischen Verkäufer und Käufer vereinbart werden. Datenschutzrechtlich brisant wird das Thema, wenn ein Kundenstamm veräußert werden soll. Hierbei handelt es sich um die Übertragung personenbezogener Daten. Bei Kundendaten handelt es sich i. d. R. um Einzelangaben (wie Name, Adresse, Geburtsdatum usw.), welche unmittelbare oder mittelbare Rückschlüsse auf die Person (Betroffener) zulassen. In den meisten Fällen wird deshalb eine Zustimmung des Betroffenen notwendig sein.

In diesem Zusammenhang ist die Übermittlung von Namen, Postanschrift, Geburtsjahr und Beruf durch das im § 28 Abs. 3 BDSG enthaltene „Listenprivileg“ in den meisten Fällen unproblematisch.

Anders sieht es jedoch aus bei Kundeninformationen des Unternehmens, z.B. E-Mail-Adresse, Telefonnummer, Kaufhistorie oder auch Konto- oder Kreditkartendaten. Nach Auffassung des Bayerischen Landesamtes für Datenschutzaufsicht ist die Übermittlung solcher personenbezogenen Daten nur zulässig, sofern eine Belehrung der betroffenen Kunden stattgefunden hat und die Widerspruchsmöglichkeit dem Kunden mitgeteilt wurde. Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) verhängte, in dem von ihr entschieden Fall, wegen des Verstoßes genannter Kriterien ein Bußgeld von 3000 €.

Aus diesem Grund sollte vor Vertragsschluss immer die Einwilligung des Kunden eingeholt werden, da dies die spätere Weitergabe und Nutzung der Daten durch den Käufer erheblich erleichtert. Wird vorab beim Kunden keine Zustimmung eingeholt, besteht die Möglichkeit den Kunden über sein Widerspruchsrecht zu informieren und diesem eine Frist für den Widerspruch zu gewähren. Ein Verstoß gegen diese Vorgaben kann zu empfindlichen Sanktionen führen, welche nicht nur einen finanziellen Verlust mit sich bringen, sondern sich auch negativ auf das Image des Unternehmens auswirken können.

Fazit

Bei einem Unternehmenskauf ist immer eine genaue Analyse des Unternehmens erforderlich. Diese ist nicht nur relevant für den Käufer, indem dieser u.a. Informationen über das Zielobjekt erhält, sondern schützt den Verkäufer mitunter durch die Dokumentation der Vorverkaufsmaßnahmen (z.B. Due Diligence) vor möglichen Ansprüchen des Käufers, wegen Verletzung der Nebenpflichten aufgrund von nicht ordnungsgemäßer Aufklärung über das Objekt.

Datenschutzrechtlich relevant ist dieser Vorgang beim Unternehmenskauf besonders dann, wenn personenbezogene Daten übertragen werden. Um mögliche Haftungsrisiken zu vermeiden, sollte vorab geprüft werden, wie diese zu kategorisieren sind. Zu unterscheiden ist dabei die Zulässigkeit der Datenübermittlung und die Verwertbarkeit der Daten für den Käufer, welche ebenso erhebliche Kriterien für die Kaufpreisfindung sind und den Kernbereich einer Due Diligence bilden.

Sollte eine umfangreiche Datenschutzanalyse entfallen, ist von einer grob fahrlässigen Handlung auszugehen, da eine solche Analyse ein in der Praxis häufig angewendetes Verfahren ist. Eine daraus resultierende widerrechtliche Handlung in Sachen Datenschutz kann durch die Aufsichtsbehörde mit empfindlichen Sanktionen belegt werden und hat weitreichendere Folgen als den Verlust von Kapital, da ein Verlust des Ansehens (Image) des Unternehmens meist auch den Verlust von Kundschaft bedeutet.

Sie sollten daher den Datenschutz beim Unternehmenskauf nicht außer Acht lassen und den Rat eines Datenschutzberaters oder Ihres internen/externen Datenschutzbeauftragten einholen.

Sollten Sie noch Fragen zum Datenschutz beim Unternehmenskauf haben oder sich im Bereich Datenschutz besser positionieren wollen, dann steht Brands Consulting Ihnen gerne zur Seite. Wir unterstützen Sie in allen datenschutzrechtlichen Belangen und stehen Ihnen stets als kompetenter und zuverlässiger Ansprechpartner in Sachen Datenschutz zur Verfügung.

Holen Sie sich ein unverbindliches und kostenloses Angebot zum Datenschutz bei uns ein oder nehmen Sie mit uns Kontakt auf und profitieren Sie von unserer Erfahrung.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

Statt Payback, Daten weg! – Wie Phishing Datenschutzrisiken hervorruft

Phishing DatenschutzrisikenDas Thema „Phishing Datenschutz“ beschäftigt, wenn neue Phishing-Attacken „die Runde machen“, nicht nur die Betroffenen selbst, sondern auch Datenschützer und Datenschutzbeauftragte.

Der Begriff „Phishing“ ist ein Kunstwort und setzt sich aus den englischen Wörtern „Password“ sowie „Fishing“ zusammen. Das Ziel der Täter ist es mittels gefälschter E-Mails, SMS und Webseiten an Datensätze, wie Passwörter und Kreditkartennummern, zu gelangen.

Ihr externer Datenschutzbeauftragter hat die wiederkehrenden Phishing-Attacken, ob auf Payback- oder Amazon-Kunden, gutgläubige „Gewinnspielteilnehmer“, denen Gutscheine von Saturn oder Ikea versprochen worden sind, oder Betroffene, die in der Hoffnung auf Steuerrückzahlungen auf die Phishing-Attacken reingefallen sind, zum Anlass genommen, um Sie über die Gefahren zu informieren und das Thema „Phishing Datenschutzrisiken“ näher zu durchleuchten.

Wieso Phishing Datenschutzrisiken für Payback-Nutzer verursacht hat

In den vergangenen Wochen hörte man vermehrt über neue Phishing-Attacken, die verstärkt auf Kunden, wie Payback- oder Amazon-Kunden ausgerichtet waren. Im Fall von Payback versendeten die Täter  E-Mails, die die Kunden über den 15. Geburtstag von Payback informierten und Payback-Nutzern die Verdopplung ihrer Payback-Punkte versprachen, dabei sollten Kunden einen Link anklicken. Diese E-Mails waren so gut gefälscht, dass nur den wenigsten Kunden auffiel, dass Payback bereits den 15. Geburtstag ein Jahr zuvor gefeiert hat. Folgte man nun dem Link, so wurde man auf eine gefälschte Webseite geführt, die sich ebenfalls kaum von der Originalen unterschied und wurde aufgefordert, seine Benutzerdaten einzugeben, die direkt in die Hände der Täter fielen.

Trotz der Mühe der Täter, die E-Mail möglichst echt aussehen zu lassen, sollte kritischen Nutzern unter anderem auffallen, dass sie, wie bei Phishing-Mails üblich, nicht persönlich angesprochen werden. Möchten Sie sich über weitere Anzeichen für gefälschte E-Mails, Webseiten und SMS informieren, dann lesen sich unseren Beitrag „Angriffe in Facebook, E-Mails & Co. – Wenn Phishing Datenschutz – Probleme hervorruft“.

Wer von Phishing-Attacken bis jetzt verschont geblieben ist, sollte sich dennoch mit dieser Thematik befassen, da die Täter nicht nur gefälschte Newsletter verschicken, sondern in sämtlichen Bereichen sowohl für Privatpersonen als auch für „verantwortliche Stellen“ eine Gefahr darstellen. Dies wurde in den vergangenen Wochen und Monaten deutlich, denn neben den gefälschten Payback-E-Mails tauchten vermeintliche E-Mails vom Finanzamt und von der Telekom auf. Die gefälschten E-Mails vom Finanzamt lockten die Betroffenen mit Steuerrückerstattungen. Während die Telekom angeblich vor einem vollen Speicher warnte. Genauso wie bei den Payback-E-Mails führte man die Betroffenen auf eine gefälschte Webseite und forderte zur Eingabe der E-Mail-Adresse und des Passwortes sowie weiterer Daten, z. B. Bankdaten, auf. Ähnlich von der Vorgehensweise, allerdings unter einem anderen Vorwand, sollten Amazon-Kunden ihre Daten zur Bekämpfung von Terrorismus überprüfen lassen.

Neben Privatpersonen und „verantwortlichen Stellen“ wurden in den letzten Monaten auch Politiker „Opfer“ von Spear-Phishing-Mails. Bezieht sich der Phishing-Angriff auf eine bestimmte Personengruppe und ist nicht breit gestreut, wie die Payback-Attacken, so ist die Rede von einem Spear-Phishing-Angriff. Der in der E-Mail eingebettete Link sollte die Politiker auf eine Malware verseuchte Webseite führen. Möchten Sie mehr zu den Gefahren durch Malware erfahren, dann lesen Sie unseren Beitrag „Verschlüsselungs-Trojaner „Locky“ – Die unerwünschte Verschlüsselung im Datenschutz“.

Die zahlreichen Fälle zeigen, dass die Kreativität der Täter keine Grenzen kennt und sich nicht nur Privatpersonen, sondern auch „verantwortliche Stellen“ mit dem Thema „Phishing Datenschutz“ auseinandersetzen sollten.

Wieso Phishing Datenschutzrisiken für „verantwortliche Stellen“ hervorrufen

DatenpannePhishing-Attacken, insbesondere, wenn Kreditkarten- und Bankdaten ausgespäht worden sind, führen für Betroffene häufig zu viel Stress und können zu einem hohen finanziellen Schaden führen, allerdings sind die Auswirkungen für „verantwortliche Stellen“ wesentlich schlimmer.

Der Grund ist, dass verantwortliche Stellen über weitaus mehr personenbezogene Daten verfügen, wodurch das Datenschutzgesetz klare Regelungen für derartige Datenpannen getroffen hat. Laut § 42 a Bundesdatenschutzgesetz (BDSG) sind verantwortliche Stellen bei sogenannten Datenpannen dazu verpflichtet, Betroffene und die Aufsichtsbehörde über den Verlust der Daten zu informieren. Dieser Informationspflicht muss insbesondere bei besonderen Angaben personenbezogener Daten (z. B. Beispiel Gesundheitsdaten) sowie bei personenbezogenen Daten zu Bank- und Kreditkonten nachgegangen werden. Solche Datenpannen führen zu hohen Bußgeldern und einem erheblichen Imageverlust.

Verantwortlichen Stellen, wie Unternehmen und Vereinen, ist deshalb dringend anzuraten, sich mit dem Thema „Phishing Datenschutzrisiken“ auseinanderzusetzen sowie die Mitarbeiter ausreichend zu schulen. Eine weitere Maßnahme, die ergriffen werden sollte, ist der Einsatz von Spam- und Phishing-Filtern, die gefälschte E-Mails und Webseiten erkennen und blockieren sollen.

Möchten Sie mehr zu dem Thema „Phishing Datenschutz“ erfahren oder wünschen Sie Datenschutz-Schulungen, um Ihre Mitarbeiter ausreichend zu sensibilisieren? Dann holen Sie sich ein unverbindliches Angebot zum Datenschutz ein oder nehmen Sie direkt Kontakt mit uns auf.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

Lädst du noch oder überträgst du schon? – Datenschutzrisiko öffentliche Ladestationen

öffentliche Ladestationen DatenschutzWer kennt das nicht? Man befindet sich auf Geschäftsreise oder ist anderweitig unterwegs und prompt ist der Akku des mobilen Endgerätes (z.B. Handy, Laptop, Tablet etc.) leer. Das Ladekabel hat man vergessen und die mobile Powerbank ist ebenfalls nicht zur Hand. In der Regel passiert dies in besonders ungünstigen Situationen: Die Verabredung wollte sich per Anruf melden oder es sollte noch eine wichtige E-Mail an den Kunden geschrieben werden. Retter in der Not sind die öffentlichen Ladestationen, welche in Fernzügen, Cafés, Flughäfen und auch in Linienbussen aufzufinden sind. Dankend wird in den oben genannten Notsituationen der kostenlose Dienst in Gebrauch genommen und in manchen Fällen später bitterlich bereut. Durch solche Ladekabel können Schäden am Handy sowie die Übertragung personenbezogener Daten nicht ausgeschlossen werden.

Ihr externer Datenschutzbeauftragter erklärt, warum durch öffentliche Ladestationen Datenschutz-Risiken bestehen und gibt Hinweise zum Schutz.

Beschädigung des Gerätes bei der Nutzung von offenen Ladestationen

Sie sollten sich vorab bewusst machen, dass nicht nur datenschutzrechtliche Probleme beim Laden mit fremden Ladegeräten entstehen können. Ein anderes Kabel kann vor allem dann Ihr Handy schädigen, wenn dieses eine zu hohe Spannung aufweist. Aus diesem Grund ist es sicherer, das eigene Ladekabel zu verwenden oder, sofern dieses vergessen wurde, eine geeignete Powerbank zu nutzen oder im Notfall ein geeignetes Ladekabel neu zu erwerben.

Wie öffentliche Ladestationen Datenschutz -Risiken hervorrufen können

Neben den Schäden am Gerät sollte allerdings vor allem das Datenschutzrisiko nicht außer Acht gelassen werden, das neben hohen Bußgeldern zu einem erheblichen Imageverlust führen könnte.

Unberechtigter Zugang Dritter durch USB-Anschluss

Fast alle Mobilgeräte lassen sich mithilfe eines USB-Kabels aufladen, dabei dient das USB-Kabel nicht nur der reinen Lieferung von Energie an das Endgerät, sondern ebenso dem Datentransfer. Wird ein mobiles Endgerät über den USB-Port eines Computers angeschlossen, kann nicht nur der Akku des Endgerätes aufgeladen werden, sondern per Computer auf die Daten des Endgerätes zugegriffen und sogar Daten von einem Computer auf das mobile Endgerät transferiert werden. Folglich kann bei einer öffentlichen Ladenstation nicht ausgeschlossen werden, dass unberechtigte Dritte Zugang auf die Daten des mobilen Endgerätes haben und darauf befindliche Daten von diesen eingesehen, transferiert und andernorts gespeichert werden könnten.

Voller Akku inkl. Malware aus der Ladestation

Ein anderes Risiko neben dem Zugang Unberechtigter stellt das sogenannte „Juice Jacking“ dar. Juice Jacking beschreibt einen zielgerichteten Cyberangriff auf ein mobiles Endgerät über dessen Stromzufuhr. Auf einer Hackerveranstaltung namens „DEF CON“, einer Messe, die über die neuesten Entwicklungen im Computerbereich und über bestimmte Computerrisiken aufklärt, wurden einige Ladestationen aufgebaut. Diese wurden vorher so präpariert, dass bei Anschluss der mobilen Geräte an die Ladestationen die Nachricht „[…] should not trust public charging station […]“, zu deutsch („[…]es sollte den öffentlichen Ladestationen kein Vertrauen geschenkt werden […]“), auf den Endgräten angezeigt wurde. Die simulierten Angriffe lassen erkennen, wie einfach es für Fremde ist, Zugang zum mobilen Gerät zu erlangen, indem die Täter öffentliche Ladestationen manipulieren. Vergleichbare Manipulationen kennen wir beispielsweise bei EC- und Kredit-Karten an Geldautomaten. Hier werden Karten kopiert und PIN-Nummern abgegriffen.

In der Regel bemerkt der Eigentümer den Zugriff auf sein Handy im ersten Moment nicht. Die Täter gehen dabei sehr geschickt vor, indem beim Anschluss des mobilen Endgerätes an eine öffentliche Ladestation eine darauf befindliche App durch eine gleich aussehende Schadsoftware ersetzt wird. Diese erlaubt dem unberechtigten Dritten nicht nur vollen Einblick in Ihre Daten auf dem Handy, sondern kann ihm auch ermöglichen auf Ihr Handy zuzugreifen.

Möglichkeiten zum Schutz des mobilen Gerätes und der Daten

Die sicherste und einfachste Möglichkeit ist es, den Dienst einer öffentlichen Ladestation nicht in Anspruch zu nehmen und somit seine Daten zu schützen. Sofern Sie unterwegs auf eine Lademöglichkeit angewiesen sind, so sollte immer das eigene Ladegerät genutzt werden. Das Ladegerät sollte dabei nicht an einen fremden USB-Anschluss angeschlossen werden, sondern immer direkt an eine Steckdose. Weitere Schutzmöglichkeiten bieten Charge-Only-Cable, welche einen Datentransfer ausschließen und nur eine Aufladung des Endgerätes ermöglichen. Eine mobile Powerbank kann ebenso eine sichere Energieversorgung des Handys garantieren.

Je nach Anbieter des mobilen Endgerätes bieten bereits vorhandene Handyeinstellungen einen Schutz. Apple beispielsweise sperrt den Datenaustausch, jedoch nur solange das iPhone nicht durch Eingabe des Codes entsperrt wird. In diesem Zustand ist der Zugriff durch einen fremden PC über die USB-Verbindung nicht möglich. Unbekannt ist der PC allerdings nicht mehr, wenn das iPhone während des Ladevorgangs entsperrt wurde. Nutzen Sie während des Ladens an einer Ladestation das Gerät, so ist ein Zugriff Unberechtigter auf ihr iPhone möglich. Schließen Sie es erneut an diese Ladestation an, so ist diese Ladestation als „bekannt“ deklariert und ein Datentransfer ist theoretisch auch im gesperrten Zustand nicht völlig ausgeschlossen. Sie sollten daher, solange das iPhone lädt, nicht darauf zugreifen. Gerade bei dringlichen Anrufen oder E-Mails erscheint dies schwierig zu realisieren.

Trotzdem ist eine völlige Sicherheit gegen den Zugriff nicht garantiert, da es gewisse Software gibt, welche Codes leicht entschlüsseln kann. Eine Software-Lösung für dieses Problem bietet Jailbreak. Jailbreak (dt. Gefängnisausbruch) beschreibt das Verändern des Betriebssystems (iOS), damit bestimmte Funktionen intergiert werden können, auch solche, die den Zugriff durch Fremde unterbinden.

Bei Android-Geräten kann ein Datentransfer während des Ladens unterbunden werden, wenn in den Einstellungen unter Entwickleroptionen eine Deaktivierung des USB-Debugging vorgenommen wird. Nutzt man diese Funktion bei einem Datentransfer auf den eigenen Computer, sollte diese nach Beendigung des Datenaustausches wieder deaktiviert werden.

Möchten Sie mehr zum Thema „ Öffentliche Ladestationen Datenschutz “ erfahren oder sich dauerhaft im Datenschutz besser positionieren? Nehmen Sie gerne Kontakt zu uns auf oder holen Sie sich ein unverbindliches Datenschutz-Angebot ein

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

Wirkungsbereich der Datenschutzgesetze – Datenschutz bei juristischen Personen

Datenschutz bei juristischen PersonenMit stetig neuen Verfahren und Services, wie Facebook, Twitter und Co., die die Privatsphäre des Einzelnen immer mehr einschränken, drängt sich nicht zuletzt die die Frage nach dem Datenschutz auf. Das Recht auf  informationelle Selbstbestimmung / Datenschutz dient dazu, dem Einzelnen die Möglichkeit zu geben, über seine eigenen (persönlichen) Daten und wie mit diesen zu verfahren ist, zu bestimmen. Informationen (spezifische Daten) werden jedoch nicht nur von natürlichen Personen (Menschen) erzeugt, sondern ebenso von öffentlichen Stellen, von juristischen Personen der öffentlichen Hand (z.B. Anstalten, Körperschaften des öffentlichen Rechts) und der Privatwirtschaft (Unternehmensformen, wie GmbH, AG, OHG, etc.). Diese Stellen haben, ebenso wie natürliche Personen, regelmäßig ein Interesse daran, dass ihre Daten den gleichen Schutz genießen.

Ob die deutschen Datenschutzbestimmungen auch für juristische Personen anwendbar sein sollten, steht seit längerem im Diskurs. Ihr externer Datenschutzbeauftragter informiert im Folgenden, inwieweit eine Ausweitung des Datenschutzrechts auf juristische Personen möglich ist oder zukünftig denkbar sein könnte.

Geltungsbereich der deutschen Datenschutzbestimmungen

Geregelt ist der Geltungsbereich der deutschen Datenschutzbestimmungen im § 1 des Bundesdatenschutzgesetztes (BDSG). Nach diesem werden personenbezogene Daten geschützt, welche in den weiteren Bestimmungen des § 3 Abs. 1 BDSG näher erläutert sind. Nach dieser Legaldefinition sind „personenbezogene Daten Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener).“

So ergibt sich nach dem § 3 Abs. 1 BDSG eine Zuweisung des Schutzes personenbezogener Daten auf natürliche Personen.  Hinter der Begrifflichkeit der natürlichen Person steckt das Rechtssubjekt Mensch, als Träger von Rechten und Pflichten. Rechtsubjekte, die ebenso Träger von Rechten und Pflichten sind, jedoch keine Menschen darstellen, z. B.  Unternehmen, werden unter dem Begriff der juristischen Personen geführt und fallen nach dem Wortlaut des § 3 Abs. 1 BDSG nicht in den Schutzbereich des Bundesdatenschutzgesetzes.

Das Recht auf informationelle Selbstbestimmung

Es besteht jedoch das Recht auf informationelle Selbstbestimmung, welches sich aus den Artikeln 1 und 2 des Grundgesetzes ergibt. Dieser Schutz der informationellen Selbstbestimmung wird wiederum ausgeformt durch die deutschen Datenschutzbestimmungen. Die Datenschutzbestimmungen beziehen sich nach § 3 Abs. 1 BDSG jedoch nur auf natürliche Personen. Das impliziert, dass der deutsche Datenschutz, der durch das Grundgesetz konkretisiert wird, nur auf natürliche Personen Anwendung findet. Eine Anwendung auf juristische Personen ist jedoch nicht auszuschließen, da Art. 19 Abs. 3 GG eine Geltung der Grundrechte auch auf inländische juristische Personen ausweitet. Die Anwendung der Datenschutzbestimmungen auf juristische Personen kann folglich nicht direkt aus dem deutschen Datenschutzgesetz entnommen werden. Der Umweg der Ausweitung des Datenschutzes auf juristische Personen über das Grundgesetz könnte zielführend sein, da juristische Personen des öffentlichen Rechts (z.B. Anstalten, Stiftungen) wie auch des Privatrechtes (z.B. AG, GmbH) ein Interesse daran haben könnten, über ihre unternehmensbezogenen Daten selbst bestimmen zu können.

Datenschutz bei juristischen Personen – Träger der informationellen Selbstbestimmung

Das Oberlandesgericht Niedersachsen hat in seiner Entscheidung 10 ME 385/08 v. 15.05.2009 festgestellt, dass juristische Personen auch Träger informationeller Selbstbestimmung sein können. Dies soll sich aus dem Teilbereich des Persönlichkeitsrechts erschließen, welches juristische Personen innehaben, jedoch sei die Schutzschwelle sehr hoch anzusetzen und daher nicht immer gegeben. Die besagte Schutzschwelle ist erreicht, wenn ein starker Bezug von der natürlichen Person zu der juristischen Person vorliegt, was im folgenden Abschnitt näher erläutert wird.

Datenschutzrechtlicher Schutz der Mitglieder

Eine juristische Person agiert an sich nicht, sondern die dahinterstehenden natürlichen Personen (z.B. Geschäftsführer, Angestellte etc.). Aus diesem Grund wäre eine Ausweitung des Datenschutzes auf die juristische Person denkbar. Wie bereits festgestellt, fallen nur natürliche Personen unter den Geltungsbereich des deutschen Datenschutzes, allerdings kann der Schutz nicht direkt aus der Konstellation „natürliche Person agiert für juristische Person“ entnommen werden. Der Schutz erstreckt sich lediglich auf Belange der natürlichen Person. Die Daten der juristischen Person müssen somit einen unmittelbaren Bezug zu der natürlichen Person aufweisen, um in den Schutzbereich des deutschen Datenschutzes zu gelangen. Somit fallen beispielsweise Angaben über Beschäftigte, die in einem Unternehmen agieren („Der Geschäftsführer Max Mustermann ist seit 2007 zum Geschäftsführer berufen worden.“), oder Angaben über die Gesellschafter des Unternehmens („Der Gesellschafter X ist Wohnhaft in Stadt Y.“),  in den Schutzbereich des deutschen Datenschutzrechtes, allerdings bestehen hier regelmäßig Sondersituationen, da z. B. der Name des Geschäftsführers einer Veröffentlichungspflicht unterliegt.

Anwendbarkeit der Datenschutzgesetze auf Ein-Mann-GmbH und Einzelfirma

Ebenso kann eine Unternehmensbezeichnung unter den Schutzbereich des deutschen Datenschutzgesetzes fallen, indem sie ein personenbezogenes Datum nach dem § 3 Abs. 1 BDSG bildet. Ein solcher Zustand liegt nach der Erklärung des Verwaltungsgerichts Wiesbaden vom 07.12.2007 im Verfahren Az. 6E 928/07 vor, sofern die dahinter agierende natürliche Person Alleinaktionär oder Gesellschafter ist. Diese personelle und finanzielle Verflechtung muss dabei eine so starke Bindung aufweisen, dass die Aktivitäten des Unternehmens direkt der dahinter agierenden natürlichen Person zugewiesen werden kann. Eine solche finanzielle und personelle Verflechtung tritt vermehrt bei Ein-Mann-GmbHs und Einzelfirmen auf. Der Europäische Gerichtshof (EuGH) bestätigte den vom Verfassungsrecht Wiesbaden dargelegten Schutzumfang in dem Urteil vom 9. November 2016, Az. C 92/09 und 93/09, Rz. 54, jedoch besteht nach der Ansicht des Europäischen Gerichtshofes keine Gleichwertigkeit von personenbezogenen Daten und der Daten der juristischen Person.

Differenzierte Betrachtungsweisen des Geltungsbereiches in Nachbarländern

Eine strikte Zuweisung des datenschutzrechtlichen Geltungsbereiches nur auf natürliche Personen, ist jedoch nicht aus der RL 95/46/EG zu entnehmen. Dies gab den Mitgliedstaaten der EU einen Handlungsspielraum, die darin enthaltenen Vorgaben in eigenes Recht umzusetzen. Aus diesem Grund besteht in einigen EU-Ländern (z.B. Österreich, Luxemburg, Dänemark) auch für juristische Personen die Anwendungsmöglichkeit der Datenschutznormen. Der deutsche Gesetzgeber hat die Anwendung der datenschutzrechtlichen Regelungen jedoch auf natürliche Personen beschränkt. Eine Ausnahme von dieser Regelung besteht lediglich dann, wenn ein starker Personenbezug vorliegt, wie bei Ein-Mann-GmbHs und Einzelfirmen, der den Anwendungsbereich des deutschen Datenschutzrechtes auf juristische Personen ausweitet.

Regelungen im Telekommunikationsgesetz (TKG)

Während das Bundesdatenschutzgesetz (BDSG) lediglich auf natürliche Personen anzuwenden ist, erstreckt sich der Anwendungsbereich des Telekommunikationsgesetzes (TKG) auch auf juristische Personen (§ 91 Abs. 1 TKG). Nach diesem werden Daten von juristischen Personen (z.B. AG) oder Personengesellschaften (z.B. OHG) denen von natürlichen Personen gleichgestellt und nach Abschnitt 2 des TKG geschützt. Nach diesem erstreckt sich der Schutzbereich des Telekommunikationsgesetzes auch auf Daten, welche beim Telekommunikationsvorgang von juristischen Personen erzeugt werden oder wurden (Verbindungsdaten).

Anpassung des Geltungsbereiches durch die EU-DSGVO

Mit der Einführung der Europäischen Datenschutzgrundverordnung ist mit einigen Änderungen zu rechnen. Die Verordnung, die 2016 verabschiedet wurde und ab 2018 in allen Mitgliedstaaten der EU gelten soll, hat einen klaren Duktus in Bezug auf den Schutzumfang. Demnach enthält die Europäische Datenschutzverordnung nach Art. 1 DSGVO Vorschriften zum Schutz natürlicher Personen. Ein vollkommener Ausschluss der Anwendung des Datenschutzes für juristische Personen ist fraglich, da die derzeitige Rechtsprechung unter bestimmten Vorrausetzungen den Datenschutzbereich auch auf juristische Personen ausweitet.

Fazit

Die europäische Grundverordnung vereinheitlicht in Europa den Schutzbereich des Datenschutzrechtes und weist diesen nur natürlichen Personen zu. Für Länder außerhalb der EU (z.B. Schweiz) kann ein Schutz der juristischen Person in datenschutzrechtlichen Belangen bestehen. Die Beschränkung des Datenschutzbereiches auf natürliche Personen ist indes nicht fesselndes Paradigma, da derzeit eine richterliche Ausformung des Gesetzes besteht, welches einen Bezug des Datenschutzes auf juristische Personen unter bestimmten Voraussetzungen (Ein-Mann-GmbH und Einzelfirmen) nicht vollkommen ausschließt. Inwiefern sich dies durch die Einführung der Europäischen Datenschutzgrundverordnung im Jahr 2018 ändern wird, bleibt abzuwarten.

Es ist daher ratsam, sich kompetente Unterstützung im Bereich des Datenschutzes einzuholen, um einen Überblick über datenschutzrechtliche Themenbereiche zu bekommen und einer möglichen Haftung wegen Missachtung oder inkorrekter Anwendung des Datenschutzrechts entgegenzuwirken.

Haben Sie weitere Fragen zu Datenschutz bei juristischen Personen oder wollen Sie sich im Datenschutz dauerhaft besser positionieren? Brands Consulting bietet Ihnen optimal Unterstützung in Sachen Datenschutz. Holen Sie sich ein unverbindliches und kostenloses Angebot zum Datenschutz bei uns ein oder nehmen Sie mit uns Kontakt auf und profitieren Sie von unserer Erfahrung.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen

Telegram und Threema – Mehr Datenschutz mit WhatsApp-Alternativen

Datenschutz WhatsApp-AlternativenSind Telegram und Threema Alternativen? Sowohl Datenschutzbeauftragte als auch die Benutzer selbst fragen sich seit Langem, ob Datenschutz mit WhatsApp möglich ist. Insbesondere Nach dem Aufkauf von WhatsApp durch Facebook im Jahre 2014 wechselten viele WhatsApp-Nutzer zu alternativen Instant-Messaging Dienstleistern. Die wohl am häufigsten in den Medien genannten WhatsApp-Alternativen sind Threema und Telegram.

Ihr externer Datenschutzbeauftragter informiert, ob Sie mehr Datenschutz mit den WhatsApp-Alternativen Telegram und Threema erreichen können und gibt ihnen Hinweise, auf was Sie bei der Auswahl eines Instant Messaging Dienstes achten sollten, damit eine ausreichende Datensicherheit sowie der möglichst nachhaltige Schutz Ihrer personenbezogenen Daten besteht.

Instant-Messaging-Dienste

Der wohl erste, den meisten Personen bekannte, Instant-Messaging-Dienst dürfte wohl ICQ sein. Ein Dienst der seit 1998 zu AOL gehörte. Auch nach dem Aufkommen von Smartphones sind die Nachfolger kaum wegzudenken. Nicht nur für Privatpersonen sind Instant-Messaging-Dienste interessant, sondern auch für Unternehmen, da diese eine schnelle und kostengünstige Übermittlung von Daten ermöglichen. Als diese Dienstleistungen aufkamen, waren sie nur für die schnelle Übermittlung von Textnachrichten und kleinen Bildern bekannt. Schnell wurden jedoch neue Funktionen integriert und gestatteten den heutigen Nutzern die Möglichkeit, Bilder wie auch Audio- und Video-Streams an andere Instant-Messaging-Nutzer zu übermitteln.

Datenschutzrechtliche Bewertung der WhatsApp-Übernahme durch Facebook

Besonders der Instant-Messaging-Dienst WhatsApp erfreute sich immer größerer Beliebtheit bei den Nutzern und verbreitete sich rasant. Vor allem in Erinnerung geblieben ist die Übernahme WhatsApp durch die Social-Network-Plattform Facebook im Februar 2014. Die Übernahme durch Facebook wurde hinreichend kritisch betrachtet, nicht zuletzt aufgrund des mangelhaften Umgangs von Facebook mit dem Datenschutz, der wohl bis heute bestehen dürfte. Grund für die Defizite im Bereich Datenschutz könnte sich aus dem Unternehmenssitz von Facebook, welcher sich in den Vereinigen Staaten befindet, erschließen, da derzeit noch keine hinreichenden Vereinbarungen mit den Vereinigten Staaten hergestellt werden konnten, um dem datenschutzrechtlichen Standard der EU zu genügen. Zumindest wird erhebliche Kritik am EU-US-Privacy-Shield durch Datenschützer geäußert. Besonders im Fokus stand bei der Übernahme die Anpassung der Datenschutzbestimmungen in WhatsApp durch Facebook. Diese erlaubt dem Betreiber (WhatsApp), Benutzermedien für kommerzielle Zwecke zu Nutzen. Viele Medien rieten, inspiriert durch Datenschützer und Datenschutzbeauftragte, daher zu alternativen Anbietern zu wechseln, um dem Risiko der unfreiwilligen Datenweitergabe zu entgehen. Häufig angepriesen wurden die Anbieter Threema und Telegram. Diese und WhatsApp sollen in den Punkten:

  • Standort des Servers (da nicht in jedem Land ein gleiches Datenschutzniveau besteht),
  • Verfahren,
  • Sicherheitsdefizite,
  • weitere Entwicklung

auf ihre datenschutzrechtliche Konformität überprüft werden, um Ihnen einen Überblick über die datenschutzrechtliche Sicherheit der genannten Dienste zu gestatten.

Datenschutz mit WhatsApp – Marktführer mit Datenschutzmängeln

WhatsApp ist derzeit der Markführer im Bereich der Instant-Messaging-Dienste. Im vergangenen Jahr 2016 knackte der Anbieter die Marke von einer Milliarde Nutzer und ist derzeit der Instant-Messaging-Dienst mit der höchsten Nutzerzahl.

  • Standort des Servers

Der Sitz des Anbieters befindet sich in den USA, wo sich auch der entsprechende Server befindet. Datenschutzrechtlich ist dies kritisch zu betrachten, da derzeit in den USA ein niedrigerer Datenschutzstandard bestehen dürfte als in der EU.

  • Verfahren

Für die Nutzung der App ist nach der Installation eine Registrierung mit Angabe der eigenen Telefonnummer vorgesehen. Die Nummer, die der Nutzer preisgibt wird von WhatsApp gespeichert, dabei wird die Nummer so spezifiziert, dass sie nur diesem Nutzer zugeschrieben werden kann. Mit dieser Methode ist es dem Nutzer nun möglich, mit der Eingabe von Telefonnummern andere WhatsApp-Nutzer ausfindig zu machen und mit diesen über die App / durch Push-Mitteilungen zu kommunizieren.

  • Sicherheit

Seit 5. April 2016 führte WhatsApp die End-to-End-Verschlüsselung ein, die dem Nutzer unter anderem nach dem Einscannen eines QR-Codes bestätigt wird. Die Nachrichten oder Telefonate werden beim Versenden verschlüsselt und können nur vom Empfänger und Versender der Nachricht eingesehen werden. Die Sicherheit des Verfahrens basiert auf den Aussagen von WhatsApp und kann nicht überprüft werden, da es sich um eine Software handelt, welche dem Nutzer und Dritten nur eingeschränkt zugänglich ist. Eine abschließende Bewertung, ob es sich tatsächlich um eine sichere Verschlüsselung handelt, ist daher nicht möglich. Wenn Sie mehr zu der End-to-End-Verschlüsselung von WhatsApp erfahren möchten, dann lesen Sie gerne unseren Beitrag „Eine Revolution: WhatsApp-Verschlüsselung – mehr Datenschutz bzw. Datensicherheit?“.

  • Sicherheitsdefizite

In die Schlagzeilen geriet WhatsApp, wie bereits erwähnt, mit dessen Aufkauf durch den Betreiber der Social Media Plattform Facebook. Anders als zunächst angekündigt, strebte Facebook mit dem Kauf die kommerzielle Nutzung der Benutzerdaten von WhatsApp an. Weiterhin wurde bekannt, dass

  • die Telefondaten der WhatsApp-Nutzer an Facebook unverschlüsselt übermittelt wurden.
  • Fremde sich leicht Zugang zu WhatsApp-Konten verschaffen konnten. Für den Zugang benötigten diese nur geringfügige Informationen (Handynummer oder Seriennummer des Handys) des Nutzers.
  • Weiterhin konnte sich eine Hackergruppe Zugang zu einer Mehrzahl von WhatsApp-Nutzerkonten verschaffen.
  • Ebenso wurde bekannt, dass das System mehrere Sicherheitslücken aufwies, die WhatsApp in gewissen Abständen behob.
  • Weitere Entwicklung

Im September 2016 hatte WhatsApp eine Änderung seiner Datenschutzerklärung verkündet. Diese gab WhatsApp das Recht, Kontaktdaten des Nutzers an Facebook weiterzuleiten. Mit diesem Vorgehen versprach sich Facebook, Werbung besser personalisieren zu können. Der Verbraucher konnte zwar der Zusendung personalisierter Werbung widersprechen, nicht jedoch der Datenübertragung. Eine Vielzahl von datenschutzrechtlichen Klagen gingen gegen dieses Verfahren ein und erreichten einen derzeitigen Datenweitergabe-Stopp (nähere Informationen erhalten Sie in unserem Beitrag: „Facebook stoppt Datenweitergabe – Hoffnung für den „ WhatsApp Datenschutz“?“)

Datenschutz mit Threema – Messenger mit Fokus auf Datensicherheit

Bei dem Instant-Messenger Dienst Threema steht besonders die Datensicherheit im Fokus der Dienstleistung. Die kostenpflichtige App ist dabei, wie andere Instant-Messaging-Dienste, auf Smartphones und auch auf Tablets nutzbar.

  • Standort des Servers

Der Standort des Unternehmens befindet sich in der Schweiz, wo sich nach Aussagen des Unternehmens auch der Server befindet.

Die europäische Kommission hat der Schweiz, welche als Drittstaat gilt, ein mit der EU vergleichbares Datenschutzniveau attestiert.

  • Verfahren

Mit Herunterladen der Threema-App auf das Handy ist der Registrierungsvorgang abgeschlossen. Es ist für die Anmeldung nicht nötig, personenbezogene Daten wie Name, Alter, etc. anzugeben. Das Hinzufügen von Kontakten kann über drei verschiede Verfahren erfolgen. Diese haben verschiede Sicherheitsstufen und bestimmen den Grad, wie „genau“ nach dem Kontakt gesucht werden soll. Threema erklärte dabei, dass bei der höchsten Stufe ein personifizierter QR-Code des gesuchten Kontaktes eingescannt wird und somit mit größter Wahrscheinlichkeit der gesuchte Kontakt ermittelt werden kann. Das Verfahren sei im Vergleich zu der Variante, bei der Telefonnummern abgeglichen werden, konkreter und sicherer, da mit einer höheren Wahrscheinlichkeit die gesuchte Person erreicht wird und nicht ein fremder Dritter.

  • Sicherheit

Threema nutzt mehrere Verschlüsselungsverfahren, darunter nach eigenen Angaben die quelloffene NaCl („salt“ ausgesprochen) Bibliothek — dabei werden längere Zeichenketten (Schlüssel) vom Versender an den Empfänger weitergeleitet. Diese Zeichenketten sind dem Empfänger und dem Versender zugewiesen, d.h. jeder sendet seine eigene Zeichenkette, ohne dass eine mögliche Zuweisung auf den anderen möglich wäre. Die Zeichenketten besitzen dabei jeweils zwei Teile, einen geheimen und einen nicht geheimen Teil. Mit dem nicht geheimen Teil können die verschlüsselten Daten entschlüsselt werden und eine digitale Signatur (einer bestimmten Person zugeschrieben) erzeugen oder die Person authentifizieren.

Außerdem wird bei der Kommunikation zwischen dem Server und der App das Verfahren PFS (Perfect Forward Secrecy) verwendet. Dieses soll einen umfangreichen Schutz beim Datentransfer ermöglichen, da dieses System die Nachricht so stark verschlüsselt, dass die eigentliche Nachricht nach einer Sitzung nicht mehr rekonstruiert werden kann.

Ebenso wie WhatsApp nutzt Threema die End-to-End-Verschlüsselung. Threema ließ verlauten, dass bei der End-to-End-Verschlüsselung von der Verwendung des PFS-Verfahrens abgesehen wurde, da dies zu erhöhter Komplexität beim Protokoll und Server führen würde und dadurch Sicherheitslücken auftauchen könnten.

  • Sicherheitsdefizite

Zum derzeitigen Stand sind keine Datenschutzmängel bekannt. Kritisiert wurde der Anbieter lediglich dafür, seine Quellcodes nicht offen zu legen. Daher ist nicht bekannt, ob Threema tatsächlich die genannten Methoden anwendet. Threema ermöglicht dem Nutzer einen Einblick in die Funktionen und die Sicherheit des Programmes per Reserve Engineering (Nachgestellter Quellcode), was wiederum keinen Nachweis bietet, dass genau diese Funktionen angewandt werden. Im November 2015 wurde jedoch ein Sicherheitsdienstleister aus der Schweiz (cnlab security AG) eingeschaltet, welcher das Programm auditierte und für sicher befand. Es ist allerdings unklar, ob der vom Sicherheitsdienstleister überprüfte Quellcode, der tatsächlich genutzte Code ist.

  • Weitere Entwicklung

Derzeit erwägt Threema einen Wegzug aus der Schweiz, da dort nach einer neuen Verordnung Messaging-Dienste in bestimmten Fällen unter die Pflicht der Vorratsdatenspeicherung fallen.

Datenschutz mit Telegram –  Sicherheit durch verschlüsselte Chats

Die Telegram-App erfreut sich derzeit großer Beliebtheit, was vor allem daran liegen könnte, dass diese App im Gegensatz zu Threema kostenlos heruntergeladen werden kann.

  • Standort des Servers

Laut Telegram sind deren genutzte Server weltweit ansässig. Telegram spezifizierte diese Angabe auf dessen Twitter-Account, wonach für Europa ein in London befindlicher Server genutzt wird. Derzeit bestehen zwar noch keine Bedenken bezüglich des Datenschutzniveaus in Großbritannien, jedoch könnte sich dies in Zukunft ändern, sobald der Brexit vollzogen ist. Bedenklich wiederum sind, die von Telegram verwendeten Cloud-basierten Chats, wodurch Daten auf mehreren verschieden Servern weltweit gespeichert werden. Nach Angaben von Telegram besitzt das Unternehmen ebenso Server in Drittstaaten, die kein angemessenes Datenschutzniveau besitzen.

  • Verfahren

Telegram agiert im Bereich der Kontaktsuche, wie auch WhatsApp, mit der Personalisierung der Telefonnummer, die durch eine SMS bestätigt wird. Der Dienst ist nicht an ein Gerät gebunden, sondern kann mit der eingegebenen Telefonnummer, die der „Zugangscode“ ist, auch mit anderen Geräten genutzt werden. Die Kontaktsuche erfolgt, ebenso wie bei WhatsApp, per Eingabe der Telefonnummer oder per Synchronisation mit dem Handy-Adressbuch.

Durch eine offene Programmierschnittstelle (API) können auch unabhängige Entwickler eigene Clients entwickeln, weshalb auch inoffizielle Versionen von Telegram existieren.

  • Sicherheit

Telegram verwendet mehrere Verschlüsselungssysteme, u.a. die End-to-End-Verschlüsselung. Diese bestehen zum Teil aus bestehenden Verfahren und aus eigens entwickelten Verfahren, wie beispielsweise Cloud-basierte Chats.  Daten zwischen dem Endgerät (Handy) und den Servern, die auf der ganzen Welt verteilt sind, werden verschlüsselt. Die verschlüsselten Daten und der Schlüssel werden dabei auf unterschiedlichen Servern gespeichert.

  • Sicherheitsdefizite

Telegram-Kritiker bemängeln, dass der Anbieter teilweise quelloffene Verfahren und teils veraltete Algorithmen sowie nicht häufig verwendete Verfahren nutzt. Telegram reagierte prompt auf diese Kritik und schaltete einen Wettbewerb, der die Sicherheit des Programmes nachweisen sollte. Herausgefundene Sicherheitslücken wurden dabei behoben, jedoch verebbten die Kritikerstimmen nicht. Zu kurz sei die Zeit und zu gering die Informationen, die Telegram den Wettbewerbsteilnehmern gewährte, wodurch diesen keine hinreichende Möglichkeit gegeben wurde, einen geeigneten Hackerangriff zu simulieren.

Weiterhin wird bemängelt, dass die App Adressdaten der Nutzer ohne Benachrichtigung der Nutzer speichert. Dieses Verfahren ist aber in den AGB des Dienstleisters angegeben.

  • Weitere Entwicklung

Im Herbst 2016 wurde bekannt, dass iranische Hacker sich Zugang zu einer Vielzahl von Telegram-Accounts verschafften und Nutzer identifiziert wurden. Der Telegram-Gründer gab dabei an, dass ihm das Risiko bekannt sei und Nutzer in bestimmten Ländern zunehmend davor gewarnt wurden. Er rät Nutzern zu einer Zwei-Wege-Authentifizierung, die neben der SMS-Verifizierung durch ein Passwort bestätigt werden muss.

Anfang 2017 führte Telegram eine neue Funktion ein, die dem Nutzer die Möglichkeit gibt, bereits gesendete Nachrichten zu löschen. Weiterhin soll im Verlauf des Jahres eine Funktion eingeführt werde, die dem Nutzer ermöglicht, via Telegram zu telefonieren.

Datenschutz mit WhatsApp-Alternativen – Fazit

Threema und Telegram bieten im Vergleich zu WhatsApp in bestimmten Bereichen eine datenschutzrechtlich adäquatere Handhabe, dennoch sollten Sie sich bewusst machen, dass kein Programm der Welt Ihnen 100% Sicherheit garantieren kann. Die ständige Weiterentwicklung der technischen Möglichkeiten bietet sowohl Erleichterungen als auch Risiken. Hackerangriffe können jedes Programm treffen. Genauso können erst nach längerer Zeit Sicherheitslücken auftreten, da neue Verfahren alte Verschlüsselungstechniken hinfällig machen können. Jede Anwendung, die personenbezogene Daten verarbeitet, beinhaltet einen Risikofaktor, welcher nicht beseitigt, jedoch minimiert werden kann. Sofern Sie beabsichtigen, neue Verfahren oder Programme in Ihr Unternehmen einzuführen, sollten Sie stets die Meinung Ihres Datenschutzbeauftragten einholen und das Verfahren durch eine Vorabkontrolle von diesem prüfen lassen. Daneben müssen sich Nutzer darüber bewusst sein, dass derartige Tools einer Finanzierung bedürfen. Ist für den Nutzer keine dauerhafte Einnahmequelle des Betreibers ersichtlich, so könnte dies ein Indiz für eine Zweckentfremdung der eigenen Daten sein.

Möchten Sie mehr zum Datenschutz mit WhatsApp, Threema, Telegram oder anderer Instant-Messaging-Dienste erfahren oder sich im Datenschutz dauerhaft besser positionieren? Brands-Consulting steht Ihnen als Ansprechperson gerne zur Seite. Nehmen Sie gerne Kontakt zu uns auf oder holen Sie sich ein unverbindliches Datenschutz-Angebot ein

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen

Versendung von E-Mails mit „An“ und „CC“ – Wieso offene E-Mail-Verteiler Datenschutz-Risiken verursachen können

E-Mail-Verteiler DatenschutzDas Versenden von E-Mails an eine Vielzahl von Empfängern erfolgt alltäglich, besonders im hektischen Büroalltag können durch offene E-Mail-Verteiler Datenschutz-Risiken entstehen.  Diese Unachtsamkeit kann dabei nicht nur Sanktionen für den Mitarbeiter bedeuten, sondern Folgen für die Unternehmensleitung mit sich bringen.

Ihr externer Datenschutzbeauftragter informiert über die datenschutzrechtlichen Risiken und erklärt, wie Sie diese vermeiden können.

Namensbezogene E-Mail-Adressen

E-Mail-Adressen aus den Bestandteilen des Namens sind in der Praxis häufig anzutreffen, vor allem im beruflichen Zusammenhang ist z.B. die Konstellation (vorname.)name@unternehmen.de üblich, da somit einerseits eine direkte Zuweisung der E-Mail auf einen Mitarbeiter möglich ist und andererseits der Absender dem Kunden/Nutzer vertrauenswürdiger erscheint, da ein direkter Bezug zu einer Person ermöglicht wird. Das Bundesdatenschutzgesetz schützt solche Informationen mit Personenbezug, unabhängig davon, ob diese eine direkte oder indirekte Zuweisung zu einer natürlichen Person ermöglichen (§ 3 Abs. 1 Bundesdatenschutzgesetz (BDSG)). Aus diesem Grund sollten auch die E-Mail-Adressen, die keine direkte Zuordnung zu einer Person ermöglichen, geschützt werden, da unter Zuhilfenahme weiterer Informationen in der Regel eine Zuordnung möglich ist.

Kriterien für die Nutzung personenbezogener Daten

Eine Nutzung, Verarbeitung oder Speicherung von personenbezogenen Daten ist öffentlichen sowie nicht öffentlichen Stellen nur dann gestattet, sofern

  • der Betroffene dem Verfahren zustimmt oder
  • eine entsprechende gesetzliche Regelung dies erlaubt (§ 4 Abs. 1 BDSG).

Wieso offene E-Mail-Verteiler Datenschutz-Risiken verursachen können

Bei E-Mails handelt es sich um personenbezogene Daten, da grundsätzlich eine Zuweisung zu einer Person möglich ist. Wird darauf nicht geachtet, kann es schnell zu einem Verstoß und zu Sanktionen führen. So verhängte das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) ein Bußgeld an einen Mitarbeiter eines Handelsunternehmens. Der Mitarbeiter hatte eine E-Mail an einen größeren Empfängerkreis verschickt und die beabsichtigten Empfänger im „An:“ oder „CC:“ Feld des E-Mail-Programmes angegeben. Durch das Versenden der E-Mails waren die E-Mail-Adressen nun allen Empfängern sichtbar. Da es sich bei E-Mails – wie bereits erwähnt – um personenbezogene Daten handelt, sind diese vom Bundesdatenschutz geschützt. Aufgrund des Versendens der Mitarbeiter-E-Mails an fremde Dritte, mit denen kein Arbeitsverhältnis bestand, war auch kein interner Arbeitsbezug gegeben. Eine Zustimmung der betroffenen Mitarbeiter war folglich notwendig, da diese Dritten sichtbar waren. Weiterhin kündigte das Bayerische Landesdatenschutzamt an, in Zukunft bei ähnlich gelagerten Fällen ebenso gegen die Unternehmensleitung vorzugehen. Diese sei laut BayLDA dazu verpflichtet, entsprechende Dienstanweisungen und Überwachungsmaßnahmen zu stellen, die einen Verstoß vermeiden würden.

Kurzum hatte der Mitarbeiter des geschilderten Falles gravierende Fehler begangen, welche das Bußgeld begründeten. Diese bestanden hauptsächlich darin, die E-Mail Liste offen zu versenden, welche nicht nur Mitarbeitern des Unternehmens kenntlich war, sondern auch einem Empfängerkreis außerhalb des Unternehmens ermöglichte, von den E-Mail-Adressen Kenntnis zu nehmen.

Wie diese Umstände vermieden werden können und worauf bei der Versendung von E-Mails an mehrere Empfänger zu achten ist, wird in den folgenden Abschnitten näher erläutert. In Zweifelsfällen können Sie sich immer an Ihren Datenschutzbeauftragten wenden.

Interne und externe Versendung von E-Mails – datenschutzrechtlich konforme Vorgehensweise beim Versenden von E-Mails an mehrere Empfänger

Eine entsprechende gesetzliche Regelung, welche den Zustimmungsvorbehalt des Betroffenen aushebeln könnte, findet sich im § 28 BDSG. Hiernach ist die Verarbeitung, Nutzung, Übermittelung und Speicherung personenbezogener Daten öffentlichen Stellen des Bundes und nicht öffentlichen Stellen gestattet, sofern es zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen überwiegt. Dies könnte beispielweise vorliegen, wenn eine Rund-E-Mail an die Arbeitskollegen versendet werden soll und die E-Mail-Adressen der Kollegen intern bekannt sind oder wenn eine E-Mail an einen Kunden versendet wird und der Kollege ebenfalls an dem Projekt beteiligt ist.

Versendungsmöglichkeiten von E-Mail – „CC“, „An:“ und „BCC:“

Wird eine E-Mail nur an einen Empfänger versendet, werden nur zwei Adressen angegeben: die des Versenders und des Empfängers. Dies ändert sich jedoch, wenn die E-Mail an eine Vielzahl von Empfängern gerichtet ist. In diesem Fall gibt es drei alternative Adressfelder. Diese sind:

  • „An:“
  • „CC:“ (Carbon Copy = Kopie)
  • „BCC:“ (Blind Copy = nicht sichtbare Kopie)

Wird dabei eine Empfänger-Adresse in „BCC:“ eingetragen und versendet, ist diese Adresse nicht in der E-Mail-Liste vermerkt. Die anderen E-Mail-Adressen, welche in „An:“ und „CC:“ eingetragen wurden, sind hingegen in der E-Mail-Liste vermerkt und allen Empfängern der E-Mail sichtbar. Wie bereits im oberen Abschnitt erläutert ist eine offene E-Mail-Adressenliste datenschutzrechtlich unbedenklich, solange der E-Mail-Verkehr innerhalb der verantwortlichen Stelle stattfindet oder die Mitarbeiter des Unternehmens mit dem Dritten vertraut sind und Kenntnis über dessen E-Mail-Adresse haben. Soll die E-Mail auch an Personen außerhalb der verantwortlichen Stelle weitergeleitet werden, welche den Mitarbeitern unbekannt sind, so ist von diesen für die Haftungsvermeidung entweder

  • eine Zustimmung der Weiterleitung der E-Mail-Adresse via offener E-Mail-Verteiler erforderlich oder
  • die betroffenen Mitarbeiter sind in „BCC:“ zu setzen.

Fazit

Aufgrund der Haftungsmöglichkeit bei einer datenschutzverletzenden Versendung offener E-Mail-Adresslisten an fremde Dritte sollte sich die Unternehmensleitung um datenschutzrechtliche Vorkehrungen bemühen, um möglichen Bußgeldern zu entgehen. Eine sinnvolle Maßnahme wäre, die Mitarbeiter über datenschutzrechtliche Risiken in Form einer Datenschutzschulung aufzuklären, um den Mitarbeitern die Möglichkeit zu geben, Datenschutzrisiken zu erkennen und zu vermeiden. Datenschutzrechtliche Schulungen fallen dabei in der Regel in den Aufgabenbereich des Datenschutzbeauftragten. Ferner kann es sinnvoll sein, klare Vorgaben in Betriebsvereinbarungen, Richtlinien und Arbeitsanweisungen zum Datenschutz zu erlassen / zu schließen. Auch in diesem Zusammenhang unterstützen wir Sie sehr gerne mit fachkundigem Rat.

Haben Sie noch Fragen zum Thema „ E-Mail-Verteiler Datenschutz “ oder möchten Sie sich im Datenschutz dauerhaft besser positionieren?  Dann holen Sie sich ein unverbindliches Angebot zum Datenschutz ein oder nehmen Sie direkt Kontakt mit uns auf.

Nützliche Dienstleistungen können z. B. sein:

 Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

Warum Marketing und Datenschutz manchmal nicht miteinander können, aber ohne einander nicht sollten

Marketing und DatenschutzVielen Unternehmen fällt es schwer Marketing und Datenschutz unter einen Hut zu bekommen. Wurde früher Werbung vermehrt auf dem postalischen Weg übersendet, so ergeben sich für Unternehmen heute viele weitere Wege, um für Produkte und Dienstleistungen zu werben. Neben dem Einsatz von Newslettern, die via E-Mail übersendet werden, gewinnt auch die Freundschafts- oder Beipackwerbung an Bedeutung, allerdings wird bei den Werbemaßnahmen der Datenschutz häufig in den Hintergrund gestellt.

Ihr externer Datenschutzbeauftragter erklärt, wieso Sie Marketing und Datenschutz nicht getrennt betreiben sollten und welche Datenschutz-Risiken beim Einsatz bzw. dem Versand von Werbung drohen.

Marketing und Datenschutz – Datenschutzrechtliche Grundlagen

Laut § 4 Abs. 1 des Bundesdatenschutzgesetzes (BDSG) ist eine Erhebung, Verarbeitung und/oder Nutzung personenbezogener Daten nur erlaubt, wenn eine Rechtgrundlage oder informierte und wirksame Einwilligungen der Betroffenen vorliegen.

Werbung auf dem postalischen Weg

Möchten Unternehmen für ihre Angebote, Dienstleistungen und Produkte auf dem Postweg werben, so sollten sie insbesondere einen Blick auf § 28 Abs. 3 Satz 2 BDSG werfen, denn dieser erlaubt die Verarbeitung und Nutzung von Listendaten. Zu den Listendaten zählen unter anderem der Name, die Anschrift, der akademische Grad sowie das Geburtsjahr.

Unternehmen, die Werbung via Post versenden, sollten allerdings beachten, dass sie Betroffene über ihr Widerspruchsrecht informieren sollten und sofern ein Betroffener von diesem Recht Gebrauch gemacht hat, eine weitere Verarbeitung und Nutzung zu Werbezwecken zwingend unterbleiben sollte.

Werbung auf dem telefonischen Weg

Werbemaßnahmen via Telefon haben in den letzten Jahren stark abgenommen, wobei zum einen die „neuen“ Möglichkeiten aber auch der hohe Aufwand eines datenschutzkonformen Einsatzes ein Grund dafür sein können.

Unternehmen ist von Werbemaßnahmen via Telefon ohne informierter und freiwilliger Einwilligung abzuraten, wobei diese insbesondere von Privatkunden eingeholt werden sollten. Bei Geschäftskunden reicht die mutmaßliche Einwilligung aus. Dies bedeutet, dass konkrete Umstände, dass der Betroffene ein Interesse am Telefonat hat, vorliegen müssen, wobei das Risiko für die fehlerhafte Einschätzung beim werbenden Unternehmen liegt. Aus diesem Grund ist auch im Business-to-Business-Bereich von einer Werbeansprache via Telefon eher abzuraten oder zumindest eine strukturierte Umsetzung sinnvoll. Für diesbezügliche Fragen sollten Sie Ihren betrieblichen Datenschutzbeauftragten konsultieren.

Werbung auf dem elektronischen Weg

Die Werbeansprache via E-Mail dürfte derzeit der beliebteste Weg sein. Ursächlich ist hierbei in der Regel der vermeintlich günstige Preis eines digitalen Mailings. Allerdings sollten auch hier einige Maßnahmen ergriffen werden, um Datenschutz-Risiken zu minimieren. Insbesondere im Business-to-Customer-Bereich (B2C-Geschäft) ist das Einholen von informierten Einwilligungen anzuraten, außer das Unternehmen erfüllt die in § 7 Abs. 3 Gesetz gegen den unlauteren Wettbewerb (UWG) genannten Bedingungen. Diese wären Folgende:

  1. das Unternehmen hat die E-Mail-Adresse mit dem Verkauf einer Ware oder Dienstleistung von dem Kunden erhalten,
  2. das Unternehmen verwendet Werbung für eigene ähnliche Waren oder Dienstleistungen,
  3. der Kunde/der Empfänger der Werbung hat der Verwendung nicht widersprochen und
  4. der Kunde/der Empfänger wird sowohl bei der Erhebung der E-Mail-Adresse als auch bei jeder Verwendung über sein Widerrufsrecht informiert.

Sind die Bedingungen nicht bzw. teilweise nicht erfüllt, so ist das Einholen von informierten und freiwilligen Einwilligungen, insbesondere bei Privatkunden, dringend anzuraten. Unternehmen sollten darauf achten, dass sie den Betroffenen beim Einholen der Einwilligung ausreichend über die Datenerhebung, -verarbeitung und –nutzung sowie über das Widerspruchsrecht informieren. Auch sollte darauf geachtet werden, dass Betroffene bewusst einwilligen, indem sie zum Beispiel gezielt Häkchen setzen.

Ja ich willige ein, dass …

Ein weiterer Fehler, der in der Praxis häufig vorkommt, ist die Kopplung von Einwilligungen an Gewinnspielen oder Bestellungen. Unternehmen sollten darauf achten, dass sie für den Versand von elektronischer Werbung (Newsletter) explizite Einwilligungen einholen sollten.

Im Business-to-Business-Bereich (B2B-Geschäft) sollte der Versand von Newslettern ebenfalls über das sogenannte Double-Opt-in-Verfahren erfolgen. Dies bedeutet, dass Newsletter, wie bereits erläutert, erst versendet werden dürfen, wenn der Betroffene eingewilligt hat. Nach Einwilligung des Betroffenen sollte dieser eine Verifizierungs-E-Mail erhalten, um zu bestätigen, dass die angegebene E-Mail-Adresse auch ihm gehört.

Wurde allerdings ein Interesse des Geschäftskunden geäußert (gilt nicht für Privatkunden!!!) und dieser hat die Kontaktdaten hinterlassen, dann dürfen Newsletter ohne vorheriges Einholen von Einwilligungen übersendet werden, allerdings sollte der Geschäftskunde über sein Widerrufsrecht informiert werden. Zudem sollte auch hier beachtet werden, dass das Risiko für die fehlerhafte Einschätzung beim werbenden Unternehmen liegt. Durch Unternehmen eigenständig durchgeführte Risikokalkulationen führen in der Regel dazu, dass einfach geworben wird. Binden Sie daher zur konkreten Beurteilung auch hierbei Ihren Datenschutzbeauftragten

Sonstige Werbemaßnahmen

Neben den klassischen Werbemaßnahmen gewinnen auch Freundschafts- oder Beipackwerbung an Bedeutung. Auch werden verstärkt soziale Medien oder zielgerichtete Werbung auf der Basis von Analyseverfahren eingesetzt, um möglichst gezielt für Produkte und Dienstleistungen zu werben.

Bei Freundschaftswerbungen erhalten die Kunden die Möglichkeit, Freunden ein bestimmtes Produkt oder den Newsletter zu empfehlen. Dabei wird die Empfehlungs-E-Mail oftmals mit Gutscheinen, Werbegeschenken, etc. verknüpft. Bietet ein Unternehmen seinen Kunden diese Option an, so sollten ebenfalls einige Risiken beachtet werden, da auch bei den Empfehlungs-E-Mails Abmahnungen und Bußgelder keine Seltenheit sind. Insbesondere die fehlende ausdrückliche und informierte Einwilligung des Empfängers der Empfehlungs-E-Mail stellt Unternehmen vor viele offene Fragen und zahlreiche Risiken. Aus diesem Grund ist vor dem Einsatz von Freundschaftswerbung abzuraten.

Anderes sieht dies allerdings bei der Beipackwerbung aus, sofern einige Maßnahmen ergriffen werden. Soll Beipackwerbung verschickt werden, so sollte ebenfalls darauf geachtet werden, dass ausschließlich Listendaten verwendet werden dürfen. Zudem sollte der Betroffene/der Empfänger ebenfalls über sein Widerrufsrecht und, um von diesem Gebrauch machen zu können, über die verantwortliche Stelle informiert werden.

Werden soziale Medien eingesetzt, um das Unternehmen vorzustellen, so sollte z. B. grundsätzlich darauf geachtet werden, dass das Impressum und die Datenschutzerklärung hinterlegt oder von der Seite des jeweiligen Mediums, wie zum Beispiel Facebook, verlinkt werden. Sofern soziale Netzwerke für weitere Zwecke, wie zum Beispiel für Gewinnspiele, eingesetzt werden, sollten weitere Maßnahmen, die im Einzelfall unterschiedlich ausfallen können, ergriffen werden. Spätestens bei der Planung von Werbung auf der Basis der Datensätze, die über Analysetools gewonnen wurden, sollte fachkundiger Rat eingeholt werden. Ihr Ansprechpartner ist hierfür Ihr interner oder externer Datenschutzbeauftragter.

Fazit

Werbemaßnahmen, ob telefonisch, postalisch, elektronisch oder auf einem anderen Weg, waren und werden für Unternehmen wichtig bleiben, allerdings sollten Unternehmen nicht außer Acht lassen, dass Marketing und Datenschutz nicht voneinander zu trennen sind. Der Einsatz von Werbung kann – je nach Maßnahme – zahlreiche Datenschutz-Risiken mit sich bringen, die vor der Durchführung genauestens betrachtet und minimiert werden sollten.

Möchten Sie mehr zu Marketing und Datenschutz erfahren oder sich im Datenschutz dauerhaft besser positionieren? Brands-Consulting steht Ihnen als Ansprechperson gerne zur Seite. Nehmen Sie gerne Kontakt zu uns auf oder holen Sie sich ein unverbindliches Datenschutz-Angebot ein

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen

Skype, WhatsApp, Facebook Messenger, iMessage & Co. – Datenschutz-Risiken bei Instant Messaging-Diensten

Instant-Messaging-Dienste DatenschutzDas Aufkommen neuer Messaging-Dienstleister geht Hand in Hand mit der Verbreitung sowie dem beruflichen und gemischten (privat / beruflich) Einsatz von Handys und sonstigen meist mobilen Endgeräten. Insbesondere in Unternehmen, aber auch in anderen Organisationen (Behörden, Vereine, der Kirche …), ist der Gebrauch
von Instant-Messaging-Dienstleistungen attraktiv, da diese eine schnelle Nachrichtenübermittlung garantieren und eine günstige Alternative zur SMS bilden. Es sollte dabei aber nicht außer Acht gelassen werden, dass solche Instant-Messaging-Dienste Datenschutz-Risiken mit sich bringen können. Daher ist es ratsam, zu wissen, wie solche Dienste mit personenbezogenen Daten, Geschäfts- und Betriebsgeheimnissen verfahren.

Ihr externer Datenschutzbeauftragter informiert, worauf verantwortliche Stellen bei der Nutzung von Instant-Messaging-Dienstleistungen achten sollten und wieso Instant-Messaging-Dienste Datenschutz-Risiken verursachen können.

Instant-Messaging-Dienstleistungen

Instant Messaging ist, wie der Name sagt, ein Nachrichtensofortversand und stellt eine Kommunikationsmöglichkeit dar. Diese erfolgt durch das Versenden von Kurzmitteilungen, welche der Absender durch das sogenannte Push-Verfahren auslöst. Die versendete Nachricht erhält der Empfänger dabei unmittelbar auf seinem Handy, Computer oder sonstigem mobilen Endgerät. Um diesen Dienst nutzen zu können, müssen die Nutzer über ein Programm (Client) verfügen. Eine wichtige Gruppe der Clients bzw. hierfür erforderlichen Programme sind neben klassischen Apps die Webbrowser. Ein Einsatz ist daher regelmäßig mit nur sehr geringen Hürden möglich.  Die eingesetzten Clients verbinden die Nutzer über ein Netz direkt mit dem Server. In der Regel ist es auch möglich, Nachrichten an Teilnehmer zu senden, welche derzeit gar nicht online sind. Diese erhalten ihre Nachrichten, sobald sie wieder mit dem Internet verbunden sind. Hierbei ist es offensichtlich, dass Datensätze zumindest zwischengespeichert werden müssen.

Mit der Updateinformation zum WhatsApp Messenger der Version 2.17.2 vom 26.01.2017 informiert  Whatsapp wie folgt „Du kannst jetzt bei Nachrichten auf Senden tippen, auch wenn du keine Verbindung hast. Diese Nachrichten werden dann automatisch gesendet, sobald dein Telefon wieder mit dem Internet verbunden ist.“ Hat der Versender Internet, wird die Nachricht somit versendet. Hat zu diesem Zeitpunkt der Empfänger allerdings keinen Netzzugang, so wird die Nachricht gespeichert, bis der Nutzer wieder erreichbar ist. Zwischen Versand und Empfang kann hierdurch eine längere Zeitperiode entstehen, in der die Daten / Informationen zumindest zwischengespeichert werden.

Instant-Messaging-Systeme innerhalb von IT-Richtlinien/-Betriebsvereinbarungen/-Dienstvereinbarungen

Häufig werden Instant-Messaging-Systeme innerhalb der IT-Sicherheitsrichtlinien, Betriebsvereinbarungen oder Dienstvereinbarungen von Organisationen nicht ausreichend eingebunden bzw. berücksichtigt. Messaging Systeme werden zu pauschal ohne individuelle Betrachtung und Berücksichtigung den Telekommunikationsdiensten zugeordnet, worunter auch die E-Mail fällt. Organisationen sollten nicht nur klare Regelungen für die Nutzung des dienstlichen E-Mail-Postfachs treffen, sondern Differenzieren und auch die Nutzung von Instant-Massaging-Diensten, wie zum Beispiel von WhatsApp oder Apples iMessage, klar regeln.

Neben WhatsApp und iMessage findet unter anderem Skype for Business, früher Microsoft Lync, Verwendung. Dieser Message-Dienst ermöglicht den Mitarbeitern, Sofortnachrichten sowie Daten auszutauschen. Gleichzeitig können mit Skype for Business verschiedenste Messaging-Systeme verbunden werden, womit ebenso Kunden und Dienstleister, welche ein anderes System nutzen, erreicht werden können.

Die Problematik liegt hierbei nicht nur bei der rechtlichen Zuordnung des Systems, sondern vielmehr auch bei der Bewertung, ob damit Kontroll- und Überwachungsmaßnahmen durch den Arbeitgeber erfolgen könnten.

Verwendung von Instant-Messaging-Systemen für eine Verhaltens- und Leistungskontrolle

Die Möglichkeit einer dauerhaften, technisch gestützten Leistungs- und Verhaltenskontrolle könnte sich theoretisch bereits durch die Statusmeldungen (verfügbar, beschäftigt, abwesend) des Mitarbeiters ergeben. Daraus kann der Arbeitgeber beispielsweise auf mögliche Fehlzeiten, Aktivität und Arbeitszeiteinteilungen des Arbeitnehmers schließen. Ein berechtigtes Interesse des Arbeitgebers auf Chatverläufe zu zugreifen kann unter anderem dann vorliegen, wenn die Inhalte eines Chats archivierungspflichtige Geschäftsbriefe bzw. Geschäftskommunikation betreffen. Derartige relevante Kommunikation mag derzeit vielleicht nur in Einzelfällen vorkommen, gerade bei technischen Arbeitsmitteln ist ein schneller, regelmäßig auch zeitgemäßer Wandel, allerdings nichts Verwunderliches.

Grundsätzlich kann der Arbeitgeber eine Kontrolle ansetzen, sofern ein konkreter Missbrauchsverdacht gegenüber den Arbeitnehmern vorliegt, wobei es eine große Rolle spielt, ob eine Privatnutzung erlaubt ist. Darf der Arbeitnehmer die Instant-Message-Dienste zu privaten Zwecken nutzen, so tritt der Arbeitgeber als Telekommunikationsanbieter auf und ist den Vorschriften des Telekommunikationsgesetztes (TKG) unterworfen. Laut § 88 TKG gilt das Fernmeldegeheimnis, wodurch die Zugriffsrechte des Arbeitsgebers auf die Chatverläufe erheblich eingeschränkt werden. Selbst bei einem Verdacht auf eine Straftat könnte sogar die Strafanzeige als milderes Mittel gelten. Bei einem Verbot der Privatnutzung dürfte der Arbeitgeber auf die Chatverläufe zugreifen, allerdings sollte dies ebenfalls stichprobenartig und in angemessenen Zeiträumen bzw. im Missbrauchsverdachtsfall erfolgen (anlassbezogen).

Instant-Message-Dienste können eine Verhaltens- und Leistungskontrolle der Mitarbeiter erleichtern. Beispiel: Nutzt eine Firma ein Chatprogramm, um zeitnah auf Supportanfragen von Kunden einzugehen, so könnte der Arbeitgeber mittels Protokollierung der Chatverläufe prüfen, wie lange ein Mitarbeiter für die Beantwortung benötigt oder wie viele Anfragen der Mitarbeiter am Tag beantwortet. Um eine Verhaltens- und Leistungskontrolle durch den Arbeitgeber zu vermeiden, ist von einer grundlosen Protokollierung der Chatverläufe abzuraten. Eine konkete Protokollierung mit Zweckbindung könnte hingegen denkbar sein. Zudem sollten klare Regelungen geschaffen werden. Mit diesen soll zum einen geregelt werden, ob eine Privatnutzung erlaubt oder verboten ist. Des Weiteren soll klar formuliert werden, wann der Arbeitgeber bzw. andere Vorgesetzte unter Einbeziehung des Datenschutzbeauftragten und – sofern vorhanden – eines Betriebsratsmitglieds auf die Daten zugreifen dürfen. Um gesetzliche Aufbewahrungsfristen nicht zu verletzen, sollte zudem festgelegt werden, dass keine Dateien versendet werden dürfen, die gesetzlichen Archivierungspflichten unterliegen oder bei denen Löschfristen einzuhalten sind, die auf diesem Wege überschritten würden.

Wieso Instant-Messaging-Dienste Datenschutz-Risiken hervorrufen

Besonders kritisch ist die Nutzung von extern betriebenen Instant-Messaging-Dienstleistungen, wie WhatsApp oder auch iMessage. Besonders dann, wenn iPhones oder sonstige Smartphones dienstlich vom Unternehmen zur Verfügung gestellt werden, sollte ausdrücklich darauf hingewiesen werden, dass die Instant Messaging Funktionen untersagt sind. Eine derartige Vorgabe erteilte eine der großen deutschen Banken zur Umsetzung im Jahr 2017.

Sofern dies nicht gewünscht ist und den Mitarbeitern eine Privatnutzung der Smartphones erlaubt werden soll, wäre zu prüfen, ob die Einführung eines Mobile-Device-Management-Systems einschließlich Containersystem notwendig ist, wobei die Verhältnismäßigkeit nicht außer Acht gelassen werden sollte. Bei einem Unternehmen mit fünf Smartphones dürfte regelmäßig anders vorzugehen sein als bei 500 oder mehr Endgeräten und der erlaubten Privatnutzung. Grundsätzlich gilt jedoch, dass Organisationen klare Regelungen schaffen sollten, da der Einsatz von Instant-Messaging-Diensten Datenschutz-Risiken verursacht. Dies ergibt sich unter anderem daraus, dass der Arbeitnehmer meist über seinen privaten WhatsApp- oder iTunes-Account kommuniziert. Dabei scannen beide Programme das Adressbuch und führen die gesammelten Informationen in eine Datenbank. Diese befinden sich auf den Servern der Anbieter. Problematisch wird es insbesondere dann, wenn der Server sich in einem Land befindet, welches sich außerhalb der EU/des EWR befindet und über kein angemessenes Datenschutzniveau verfügt. Darunter fallen mitunter die USA. In unserem Beitrag zu „Cloud Computing – Durchblicken Sie vor lauter Wolken den Datenschutz?“ finden Sie mehr Informationen dazu.

Ebenso bedenklich ist die kommerzielle Nutzung der persönlichen Daten durch einige Anbieter von Instant-Messaging-Systemen. Sie sollten sich daher erkundigen, inwiefern der Anbieter Ihre Daten verwertet.

Weiterhin wurde durch zahlreiche Meldungen verkündet, dass einige externe Instant-Messaging-Dienstleistungen gewisse Sicherheitslücken aufweisen. So hatte beispielsweise Microsoft bei seinem Windows Live Messenger sowie auch MSN einige Sicherheitsprobleme, welche sich unter anderem bei deren integrierten Webcam-Sitzungen und Video-Chats befanden. Das Problem bestand darin, dass der Instant-Messaging-Client die Webcam-Sitzung und Video-Chats nicht korrekt verarbeitet und damit möglichen Angreifern (Hackern) die Chance bietet, beliebige Codes ausführen zu können. Um dies zu ermöglichen, müsste das potenzielle Opfer lediglich zu einer Webcam- oder Video-Chat-Sitzung durch den Angreifer eingeladen werden. Die Opfer werden dabei von vermeintlichen Bekannten auf interessante Webseiten gelockt, wo Schadprogramme (Malware) auf sie warten.

Es ist daher unerlässlich, einen Datenschutzbeauftragten und IT-Sicherheitsbeauftragten zur Seite zu haben, damit datenschutzrechtliche Probleme und IT-Sicherheitsrisiken optimal behandelt oder umgangen werden können.

Falls Sie sich für die Risiken bei der Nutzung von Instant-Messaging-Diensten in Organisationen interessieren, könnten die Beiträge

von uns für Sie interessant sein.

Sicherheitskriterien bei Instant-Messaging-Diensten

Eine gewisse Sicherheit bei einigen Instant-Messaging-Diensten bietet die End-to-End-Verschlüsselung, die die gesendeten Daten so verfremdet, dass diese ohne Datenschlüssel nicht mehr nachvollziehbar sind. Erst wenn die Nachricht bei dem Empfänger ankommt, wird die Nachricht entschlüsselt. Grundsätzlich bietet dieses Verfahren eine gewisse Sicherheit, jedoch sollte beispielsweise bei WhatsApp darauf geachtet werden, dass die aktuelle Version installiert ist. 2016 führte WhatsApp offiziell mit Kennzeichnung im Chatverlauf die End-to-End-Verschlüsselung ein, bei älteren Versionen gilt diese jedoch nicht. Sie sollten daher möglichst die neueste Version besitzen.

Wie bereits erwähnt, besitzen nicht alle Länder ein angemessenes Datenschutzniveau. Auch sind je nach Sitz des Anbieters unterschiedliche Maßnahmen zu ergreifen, dabei ist es entscheidend, ob der Anbieter seinen Sitz innerhalb der EU/des EWR hat oder eine Datenübermittlung an einen Dienstleister außerhalb der EU/des EWR (Drittland) stattfindet. Kann oder möchte eine Organisation nicht auf den Einsatz von Instant-Message Diensten verzichten, so sollten Anbieter gewählt werden, die Ihren Sitz innerhalb der EU/des EWR haben. Zudem sollten klare Regelungen mittels Richtlinien/Betriebsvereinbarungen/Dienstvereinbarungen geschaffen und Mitarbeiter – mittels Datenschutz-Schulungen – ausreichend sensibilisiert werden.

Fazit

Instant-Messaging-Dienste stellen eine Erleichterung der Kommunikation dar, da diese die Nachrichten sofort übermitteln und der Empfänger diese ebenso ohne Zeitverzug einsehen kann. Jedoch bieten die angebotenen Dienste keine vollkommene Sicherheit der Datenübertragung und vor ungewolltem Zugriff oder missbräuchlicher Verwendung. Besonders problematisch sind unter anderem:

  • Anbieter außerhalb der EU/des EWR,
  • mögliche kommerzielle Nutzung der privaten Daten durch Instant-Messaging-Dienste,
  • Sicherheitslücken innerhalb der Software.

Es ist daher unerlässlich, kompetente Unterstützung bei dieser Thematik zu haben.

Brands Consulting steht Ihnen dabei gerne zur Seite. Wir bieten Ihnen optimal Unterstützung in Sachen Datenschutz. Holen Sie sich ein unverbindliches und kostenloses Angebot zum Datenschutz bei uns ein oder nehmen Sie mit uns Kontakt auf und profitieren Sie von unserer Erfahrung.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

Zutrittskontrolle durch intelligente Türschlösser – Welche Risiken und Gefahren für den Datenschutz Smart Locks hervorrufen können

Datenschutz Smart LocksSmart Locks zum Öffnen und Verschließen von Türen werden immer beliebter. Nicht nur für Hauseigentümer bieten sie eine gute Alternative, wenn man seinen Schlüssel im Haus vergessen hat, auch für beruflich veranlasste Zwecke können diese nützlich sein. Gerade kleinere Unternehmen oder behördliche Organisationen (z. B. kleinere Körperschaften) können durch die Verwendung von Smart Locks ihr Schlüsselmanagement besser gestalten und dokumentieren. Neben zahlreichen Vorteilen sollte allerdings nicht ignoriert werden, welche Gefahren für den Datenschutz Smart Locks verursachen können.

Ihr externer Datenschutzbeauftragter informiert über die Vor- und Nachteile von Smart Locks und erklärt, worauf insbesondere Organisationen bei der Installation von Smart Locks achten sollten.

Was sind Smart Locks?

Smart Locks sind, wie der Name bereits preisgibt, intelligente Türschlösser. Bedient werden diese via Smartphone-App oder über eine Web-Oberfläche und ermöglichen berechtigten Personen den Zugang oder das Abschließen einer Räumlichkeit, welche mit einem Smart Lock ausgestattet ist. Je nach Anbieter eines Smart Locks werden auch Alternativen zur App und Web-Oberfläche angeboten. Zum Beispiel das Öffnen der Türen mittels Handsender, der auf das intelligente Türschloss, eingestellt wird, oder das Anbringen eines Zahlenfeldes an der Außenseite der Tür. Durch die Eingabe eines Zahlencodes kann die Tür – ohne Smartphone und Internet – geöffnet und verschlossen werden.

Wie funktioniert ein Smart Lock?

Die Installation erfolgt auf unterschiedlichste Weise. Bei einigen Anbietern, wie zum Beispiel Danalock, muss mitunter der Schlüsselzylinder ausgetauscht werden. Bei dem Anbieter Nuki hingegen werden lediglich zwei Adapter am Türschloss angebracht.

Beide Varianten basieren jedoch auf demselben Prinzip. Der Hausschlüssel bleibt dabei im Schloss oder dem neu in die Tür einzubauenden Schlüsselzylinder. Der Schlüsselzylinder wie auch die Adapter bedingen die Rotation des Schlüssels, zum Beispiel nach links zum Aufschließen oder rechts zum Abschließen. Gesteuert wird das Ganze in den meisten Fällen via Smartphone-App oder per Internet im Nutzerkonto des jeweiligen Anbieters. Berechtigte Personen (Hausbesitzer, Familienmitglied oder Gast) haben somit die Möglichkeit, auch ohne Schlüssel in den verschlossenen Raum zu gelangen, sofern er sein Handy bei sich hat oder mit dem Internet verbunden ist. Weiterhin bietet z. B. der Anbieter Nuki eine automatische Auf- und Verschließ-Funktion, die durch GPS, Geofences und Bluetooth ausgelöst wird. Dies geschieht in folgenden Schritten:

  • Die berechtige Person nähert sich mit dem Handy der Haustür,
  • was durch das Handy-GPS geortet wird (Aufenthaltsort der Person).
  • Nähert sich die berechtigte Person der Haustür und erreicht eine bestimmte Distanz wird eine digital generierte Grenze durchbrochen (Gofences) und ein Bluetooth-Signal vom Handy zum Schloss gesendet.
  • Das Bluetooth-Signal löst die entsprechende Auf- Funktion des Smart Locks aus und ermöglich den Zugang in die Räumlichkeit.
  • Verlässt die Person den Raum wird ebenfalls der Standort ermittelt und ab einer bestimmten Distanz ein Bluetooth-Signal gesendet. Der Smart Lock verschließt die Tür.

Daneben kann durch die App oder per Nutzerkonto anderen Personen durch den Eigentümer der Räumlichkeit oder eine dazu berechtigte Person (Administrator) der Zugang zu der Räumlichkeit regelmäßig durch Freischaltung eines weiteren Nutzers (berechtigter Nutzer) erlaubt werden.

Welche Chancen und Risiken für den Datenschutz Smart Locks hervorrufen

Aufgrund des Agierens via App benötigt der Anbieter eines Smart Locks Informationen, die für den Vertragsschluss und für die Inbetriebnahme relevant sind, hierzu gehören regelmäßig insbesondere:

  • Name
  • Vorname
  • Passwort
  • Standort
  • uvm.

Darüber hinaus dürfte die Nutzung protokolliert werden:

  • Öffnender Nutzer
  • Uhrzeit der Öffnungen
  • uvm.

Diese gesammelten Daten stellen personenbezogene Daten dar und werden insbesondere durch das Bundesdatenschutzgesetz geschützt. So darf eine Erhebung, Verarbeitung und Nutzung personenbezogener Daten, nach § 4 BDSG, nur dann erfolgen, wenn

  • ein Gesetz besteht, welches dies zulässt oder
  • der Betroffene dem Verfahren zustimmt.

Sollten Organisationen die intelligenten Türschlösser einsetzen oder den Einsatz planen, so sollte das Datenschutzrecht nicht außer Acht gelassen werden.

Datenschutzrechtliche Chancen –  Zentrale und revisionsfähige Zutrittsberechtigungen

Für verantwortliche Stellen (Unternehmen, Vereine und Behörden…) könnte es als nützlich erachtet werden, dass eine zentrale und revisionsfähige Vergabe von Zutrittsberechtigungen erleichtert wird. Solche Schlösser können insbesondere für Räume, wie zum Beispiel Akten- oder Serverräume genutzt werden, die sensible und personenbezogene Daten enthalten. Es könnte entsprechend gewährleistet werden, dass berechtigte Personen einen temporären Zugang erhalten (Gast bzw. berechtigter Wartungstechniker); diese Berechtigung kann bei Bedarf entzogen werden, ohne die Person darauf hinweisen zu müssen, den Schlüssel abzugeben. Es sollte jedoch darauf geachtet werden, dass das angewendete Programm gewisse Sicherungen aufweist, denn schnell könnte aus dem Vorteil ein Risiko entstehen, wenn unter anderem alle Berechtigten über Administratoren-Rechte verfügen.

Datenschutzrechtliche Risiken – Keine bzw. keine geeigneten Benutzerrollen

Bei gewissen Anbietern von Smart Locks steht jeder Person, welche eine Zugangsberechtigung besitzt, die Möglichkeit zu, jeden darin befindlichen Nutzer zu löschen oder zu sperren. So kann auch der eigentliche Berechtigte (z.B. Administrator), sofern keine Sicherung (z.B. Passwort) für die Lösung besteht, entfernt werden.

Weiterhin sollte darauf geachtet werden, dass eine Sicherung in dem Programm enthalten ist, welche dem hinzugefügten Gast verbietet, weiteren Personen den Zugang zu dem Programm zu verschaffen. Hier zeigt sich, ohne konkrete Produkte zu benennen, dass die derzeit im Handel erhältlichen Produkte eher die Zielgruppe der Privathaushalte haben und weniger gut für kleinere Unternehmen, Behörden und Vereine geeignet sind. Hier dürften weiterhin professionelle, zumeist deutlich teurere Lösungen, notwendig sein.

Datenschutzrechtliche Risiken – Keine Regelungen zum Einsatz dienstlicher/privater Smartphones

Wird den Mitarbeitern die Möglichkeit gewährt, sich Zugang zum Gebäude bzw. zu den einzelnen Büros via Smartphone-App zu verschaffen, so ist das Aufstellen von klaren Regelungen/Richtlinien unvermeidbar. Zunächst sollte geklärt werden, mit welchen Smartphones (dienstliche oder private) ein Zugang möglich ist, wobei der Einsatz privater Smartphones weitere Risiken hervorruft.

Datenschutzrechtliche Risiken – Datenübermittlung

Neben den Regelungen zur Nutzung der Smartphones, sollte zudem beachtet werden, dass bei der Nutzung der Smart Locks eine Datenübermittlung an den Anbieter der eingesetzten Smart Locks nicht ausgeschlossen werden kann. Dies erfordert weitere Maßnahmen, die von den einzelnen Anbietern und dem Umfang/der Art der Datenübermittlung abhängt. Werden personenbezogene Mitarbeiterdaten an den Anbieter übermittelt, so könnte zum Beispiel das Abschließen eines Vertrags zur Auftragsdatenverarbeitung notwendig sein. Dies wäre allerdings im Einzelfall zu prüfen, da dies unter anderem vom Sitz des Anbieters abhängig ist.

Datenschutzrechtliche Risiken –  Verhaltens- und Leistungskontrolle durch den Einsatz von Smart Locks

Es wird – je nach Anbieter – ein Protokoll (Wer, wann, welche Tür geöffnet hat) geführt, auf das der Administrator zugreifen kann. Auch dies erfordert klare Regelungen und die Durchführung von Maßnahmen, wie zum Beispiel einer Vorabkontrolle durch den Datenschutzbeauftragten, da ansonsten eine Verhaltens- und Leistungskontrolle der Mitarbeiter möglich wäre. Ggf. sollte der Betriebsrat vor Inbetriebnahme der Smart Locks eingebunden werden.

Datenschutzrechtliche Risiken –  Zugang/Zugriff durch Unbefugte

Mit dem Smart Lock entsteht außerdem ein Risiko auf anderer Ebene. Kein Programm ist je vor Hackerangriffen gefeit, so wenig wie ein Schloss vor allen Einbrüchen bzw. Einbrechern. Jedoch braucht es für den unberechtigten Zugang zu einer herkömmlich verschlossenen Haustür entweder den Schlüssel oder rohe Gewalt. Der Schlüssel stellt ein spezifizierbares Objekt dar, das lediglich für ein Türschloss konzipiert ist. Ein Smart Lock jedoch gibt jedem Berechtigten Zugang, wobei lediglich der Zugang zu dem Benutzerkonto oder der Handy-App notwendig ist, um die Tür öffnen zu können. Zudem sollte beachtet werden, dass – je nach Anbieter – das Abstellen der Alarmanlage mittels Smart Lock-App möglich ist. Der Verlust/Klau eines Smartphones oder ein Hackerangriff könnte sowohl für Privatpersonen als auch für verantwortliche Stellen schlimme Folgen haben. Sicherheitsmaßnahmen müssen daher auf allen Ebenen bedacht werden.

Sonstige Vor- und Nachteile 

Das Smart Lock stellt keine Alternative zum Schlüssel dar. Es wird in den meisten Fällen weiterhin ein Medium, wie zum Beispiel ein Smartphone oder ein Handsender benötigt, welches das Türschloss öffnet und schließt. Geht das Handy verloren, hat der Finder Zugangsmöglichkeiten zu den Räumlichkeiten. Smart Locks bieten aber bessere und kostengünstigere Möglichkeiten, gegen den Verlust vorzugehen, da lediglich ein Internetanschluss notwendig ist, um die Nutzung zu sperren.

Ein weiter Risikofaktor ist die Batterie, welche die Automatik der Smart Locks bei einigen Anbietern betreibt. Ist die Batterie leer hat man auch keine Zugangsmöglichkeit mehr. Daher ist es sinnvoll, ein Türschloss zu haben, mit dem das Öffnen der Tür auch dann möglich ist, wenn auf der anderen Seite ein Schlüssel steckt. Nutzer müssen insofern regelmäßig den Stand des Akkus kontrollieren oder sich auf die systemseitigen Warnsignale der Anbieter verlassen.

Fazit

Smart Locks bieten einen gewissen Komfort. Mit dem Handy oder – je nach Anbieter – mit einem Handsender können Türschlösser geöffnet und geschlossen werden, auch ohne entsprechenden Schlüssel. Dennoch sollten die damit verbundenen Risiken auch unter datenschutzrechtlichen Gesichtspunkten nicht unterschätzt werden. Ein solches Schloss ist nicht vor Hackerangriffen gefeit. Ebenso besteht die Möglichkeit vor verschlossener Tür zu stehen, weil beispielsweise vergessen wurde, die Batterie zu wechseln. Auch sollten Maßnahmen ergriffen werden, um die Mitarbeiter vor einer Verhaltens- und Leistungskontrolle zu schützen.

Haben Sie weitere Fragen zu „ Datenschutz Smart Locks “, dann nehmen Sie gerne Kontakt zu uns auf. Sollten Sie über die Anschaffung eines Smart Locks nachdenken, ist es nicht verkehrt, einen kompetenten Partner zu haben, der sich mit den zu beachtenden Punkten im Datenschutz und damit verbundener Technik auskennt. Brands-Consulting steht Ihnen als Ansprechperson gerne zur Seite. Nehmen Sie gerne Kontakt zu uns auf oder holen Sie sich ein unverbindliches Datenschutz-Angebot ein

Brands Consulting – steht für kompetente Dienstleistungen rund um Datenschutz & Beratung

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen

Europäischer Datenschutztag 2017 – eine Brücke für den Datenschutz

Datenschutztag

Der 28.01.2017 rückt immer näher und damit auch der Europäische Datenschutztag. Dieser geht auf eine Initiative des Europarates zurück und wird seit 2007 jährlich am 28. Januar durchgeführt. Das Ziel des Datenschutztages ist die Sensibilisierung der Bevölkerung Europas im Bereich des Datenschutzes und der Datensicherheit.

Relevanz des Datenschutzes

Die Entwicklung neuer Technologien erleichtert nicht nur das Leben der Bevölkerung, sondern ist mitunter auch Ursache neuer Probleme, wie zum Beispiel der Vervielfältigung und Zweckentfremdung von Daten. Diese fand im Anfangsstadium der „technischen Revolution“, auch in Europa, relativ wenig Aufmerksamkeit. Nur wenige Verantwortliche befassten sich mit dem Thema Datenschutz. Mit Fortschreiten der Zeit etablierten sich neue Technologien wie Handy, Computer und Co. So ist beispielsweise das Handy zum Allroundgerät mutiert, das Fotos, E-Mails, SMS, Videos usw. erzeugen, versenden oder speichern kann. Ebenso entstanden mit den neuen technischen Möglichkeiten neue Geschäftszweige, welche Dienstleistungen anbieten, die das Speichern (z.B. Cloud-Computing), Auswerten, Verwerten (Werbe-und Analysenetzwerke) und Weiterleiten (z.B. Instant Messaging Dienste) von Daten beinhalten. Mit diesen verstärkte sich die Frage, wie der korrekte Umgang mit Daten erfolgen sollte, da sensible persönliche Informationen damit zusammenhängen. Gleichzeitig werden die Technologien immer komplexer und undurchsichtiger, die Schutzregelungen für personenbezogene Daten allerdings immer schärfer. Besonders Unternehmen, aber auch Vereine und Behörden, die mit sehr vielen personenbezogenen Daten agieren, setzen sich hohen Risiken bei unsachgemäßem Umgang mit diesen aus.

Der korrekte Umgang mit Daten stellt nicht nur eine Vermeidung einer möglichen Haftung dar, sondern ist auch ein wichtiger Erfolgsfaktor für eine Organisation. Datenschutzrechtliche Sicherheitslücken können dazu führen, dass Kunden den Anbieter wechseln — so geschehen bei der Übernahme von WhatsApp durch Facebook. Viele Nutzer wechselten bei der Übernahme von Facebook zu anderen Instant Messaging Diensten, wie z.B. Threema, da sie als „Kunde“ fürchteten, dass Facebook die von WhatsApp gesammelten Daten gewerblich nutzen könnte.

Datenschutztag – Datenschutzrechtliche Schwerpunkte 2017

Das Jahr 2016 brachte umfangreiche Themen, welche auf dem Europäischen Datenschutztag 2016 vorgestellt und diskutiert wurden. Diese werden wohl auch 2017 eine Rolle spielen.  Relevante Themen 2017 sind beispielsweise:

  • die 2016 beschlossene Europäische Datenschutz-Grundverordnung, die 2018 in allen Mitgliedsstaaten der EU Anwendung finden wird
  • die Vorratsdatenspeicherung, da ab 1. Juli 2017 eine gesetzliche Speicherung aller Telefon- und Internetverbindungen in Aussicht steht, und besonders die Frage, ob der damit verfolgte Zweck der Terrorismusbekämpfung dadurch erzielt werden kann
  • die Fragestellung, ob die regelmäßig anlasslose Überwachung von Flughäfen, Telefonaten, Internetverbindungen und Verhalten im Internet, welche seit ca. 3 Jahren bestehen, zu mehr Sicherheit geführt hat
  • die nachträgliche Verarbeitung von Kundendaten für einen anderen Zweck
  • der Umgang mit personenbezogenen Daten durch Apps, Werbe- und Analysenetzwerke (interessant dazu der Beitrag über Firefox Klar)
  • die Sensibilisierung des Verbrauchers, seine E-Mails zu verschlüsseln, um Fremden den Zugang zu darin enthaltenen Informationen zu erschweren oder zu verwehren
  • der Brexit und die datenschutzrechtlichen Folgen, welche sich daraus ergeben
  • die Problematik, dass nach dem Wegfall des Safe-Harbor-Abkommens trotz EU-US-Privacy-Shield immer noch kein Nachfolgeabkommen mit den USA besteht, welches als ausreichend betrachtet werden kann, weshalb derzeit bei der Übermittlung von Daten in die USA kein ausreichender Schutz garantiert werden kann, da diese einen niedrigeren datenschutzrechtlichen Standard (nicht angemessenes Datenschutzniveau) besitzen.

Haben Sie weitere Fragen zum europäischen Datenschutztag 2017 oder anderen datenschutzrechtlichen Themengebieten? Möchten Sie sich im Datenschutz dauerhaft besser aufstellen und suchen noch einen geeigneten Datenschutzbeauftragten? Fordern Sie ein kostenloses Angebot zum Datenschutz an oder nehmen Sie direkt Kontakt mit uns auf.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen

Online-Skimming und EC-Karten-Skimming – Welche Gefahren für den Datenschutz Skimming verursacht

Datenschutz SkimmingFür die Meisten dürfte EC-Karten-Skimming, das Ausspähen bzw. Abschöpfen von Zahlungsdaten, nicht neu sein, allerdings hört man vermehrt, dass bei der Bestellung in Online-Shops Zahlungsdaten ausgespäht werden. Auf der Webseite des Bundesamts für Sicherheit in der Informationstechnik (BSI) wurde am 09.01.2017 von mehr als 1000 deutschen Online-Shops berichtet, die derzeit von Online-Skimming betroffen seien.

Ihr externer Datenschutzbeauftragter erklärt, welche Gefahren für den Datenschutz Skimming verursachen kann und worauf Betroffene als auch verantwortliche Stellen, wie zum Beispiel Banken und Online-Shops, achten sollten.

Vorgehensweise bei EC-Karten- und Online-Skimming

Bei Skimming, zu deutsch Abschöpfen, werden Zahlungsinformationen ausgespäht. Bei EC-Karten-Skimming setzten die Täter überwiegend auf manipulierte Geldautomaten, dabei werden an den Bankautomaten vollständige Frontplatten angebracht oder die Täter installieren vor den Kartenlesegeräten manipulierte Einschubschächte. Mit den manipulierten Lesegeräten werden die Kartendaten ausgelesen und auf gefälschte Karten kopiert. Zeitgleich wird der PIN des Betroffenen / der Betroffenen mittels Kamera oder Tastatur-Attrappe aufgezeichnet. Neben veränderten Bankautomaten wurden allerdings auch manipulierte Türöffner identifiziert. Auch hier setzen die Täter auf Einschubschächte, die das Auslesen der Kartendaten ermöglichen. Dürften die meisten Bankkunden von dieser Masche bereits gehört haben und sensibler im Umgang mit ihren EC- und Kreditkarten verfahren, so könnte die Information, dass Täter ähnliche Vorgehensweisen bei der Bestellung in Online-Shops anwenden, allerdings neu sein.

Wie das Bundesamt für Sicherheit in der Informationstechnik berichtet, nutzen die Täter Sicherheitslücken in veralteten Programmen der Shops, dabei seien Online-Shops, die auf der Software Magento beruhen, betroffen. Die Cyber-Kriminellen schleusen eine Programm-Code ein, womit die Zahlungsdaten an die Täter übermittelt werden.

„ Datenschutz Skimming “ – Wie sich Betroffene vor Skimming schützen können  

Betroffenen ist anzuraten sowohl beim Einsatz von EC-Karten bzw. Kreditkarten als auch bei Bestellungen in Online-Shops etwas vorsichtiger zu sein, da neben Skimming auch Phishing zum Datenklau führen kann. Wenn Sie mehr zu den Gefahren durch Phishing erfahren möchten, dann lesen Sie dich unseren Beitrag „Angriffe in Facebook, E-Mails & Co. – Wenn Phishing Datenschutz – Probleme hervorruft“.

Neben dem sensiblen Umgang sind ansonsten die Möglichkeiten der Betroffenen zum Schutz vor Skimming sehr eingeschränkt, da diese in dem meisten Fällen zunächst von dem Klau / Abfluss ihrer Daten nichts bemerken.

„ Datenschutz Skimming “ – Was verantwortliche Stellen beachten sollten

Sind die Möglichkeiten der Betroffenen zum Schutz ihrer personenbezogenen Daten vor Cyber-Kriminellen überschaubar, so gilt dies allerdings nicht für verantwortliche Stellen, insbesondere nicht für die Anbieter von Online-Shops.

Gemäß § 13 Abs. 7 des Telemediengesetztes (TMG) sind Betreiber von Online-Shops verpflichtet, ihre Systeme durch technische und organisatorische Vorkehrungen gegen unerlaubte Zugriffe und Störungen zu schützen. Zu diesen technischen Vorkehrungen gehört unter anderem das zeitnahe Einspielen von Sicherheitsupdates. Laut § 16 Abs. 2 Nr. 3 TMG handelt es sich um eine Ordnungswidrigkeit, die mit einer Geldbuße von bis zu 50000 Euro bestraft werden kann, wenn der Betreiber vorsätzlich oder fahrlässig über eine in § 13 Abs. 7 Nr. 1 und 2 Buchstabe a genannte Pflicht zur Sicherstellung verstößt.

Des Weiteren sollten sowohl Banken als auch Betreiber von Online-Shops beachten, dass die gemäß § 42a BDSG dazu verpflichtet sind, Betroffene und die Aufsichtsbehörde über den Datenverlust durch Skimming, Phishing oder andere Formen von Datenklau/Datenverlust (gilt auch bei Verlust eines USB-Sticks mit personenbezogenen Daten) zu informieren. Dieser Informationspflicht muss vor allem bei besonderen Arten personenbezogener Daten, wie zum Beispiel Gesundheitsdaten, sowie bei personenbezogenen Daten zu Bank- und Kreditkonten nachgegangen werden. Aus diesem Grund sollte eine verantwortliche Stelle, wenn sie eine Datenpanne feststellt, – sofern vorhanden – den internen / externen Datenschutzbeauftragten unverzüglich einschalten.

Das schlimmste Szenario (Worst-Case) dürfte sein, dass der betroffene Personenkreis sehr groß ist und unter anderem personenbezogene Bankdaten, wie bei Skimming üblich, gestohlen wurden. In solchen Fällen sieht § 42a BDSG vor, dass über die Datenpanne in mindestens zwei bundesweit erscheinenden Zeitungen informiert wird oder eine andere Maßnahme ergriffen werden soll, die in ihrer Wirksamkeit hinsichtlich der Information der Betroffenen gleichgestellt werden kann.

Neben Bußgeldern droht verantwortlichen Stellen bei einer Datenpanne ein erheblicher Imageverlust. Möchten Sie mehr zum Thema Datenpanne erfahren, dann lesen Sie unseren Beitrag „Prävention statt Datenpanne – Bußgelder, Imageverlust und Informationspflichten bei Datenpannen gemäß § 42a BDSG“ und erfahren Sie, wie Sie sich gegen Datenpannen schützen können.

Falls Sie mehr zum Thema „ Datenschutz Skimming “ erfahren möchten oder sich nicht sicher sind, ob die getroffenen organisatorischen und technischen Vorkehrungen den datenschutzrechtlichen Bestimmungen genügen, können Sie sich gern an uns wenden. Holen Sie sich ein unverbindliches Angebot zum Datenschutz ein oder nehmen Sie direkt Kontakt mit uns auf.

Wir bieten unsere Dienste als externer Datenschutzbeauftragter an und führen nicht nur eine fachgerechte Prüfung ihres Anliegens aus, sondern stehen Ihnen mit Rat für die Findung alternativer Lösungen zur Verfügung, um das bestmöglichste Resultat zu erzielen. Sofern Sie einen Mitarbeiter als internen Datenschutzbeauftragten für diese Aufgabe vorsehen wollen, bieten wir ebenso Weiterbildungen und Schulungen an, um optimale Voraussetzungen zu schaffen. Auch der Support des internen Datenschutzbeauftragten durch unsere Datenschutzberater, die mit gezielter Datenschutzberatung unterstützen, führt für unsere Auftraggeber zu einem klaren Mehrwert.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

 

Arbeitsplatzüberwachung: GPS-Ortung und Datenschutz – „Ich weiß, wo du heute, gestern und letzten Monat warst!“

GPS-Ortung und DatenschutzDas Thema der Arbeitsplatzüberwachung z. B. durch GPS-Ortung in Verbindung mit Datenschutz, insbesondere Beschäftigtendatenschutz gewinnt stetig an Bedeutung. Ortungssysteme sind weder in Dienstfahrzeugen noch in Smartphones keine Seltenheit mehr, schnell kann dies zu einer dauerhaften, anlasslosen Überwachung am Arbeitsplatz führen.  Die Bestimmung eines Standortes ist unter anderem mittels Global Positioning System (GPS), Location-based Services (LBS) sowie radio-frequency identification (RFID) möglich. Bei der Global Positioning System-Ortung (GPS) wird die Position mithilfe von Satelliten bestimmt. GPS wird insbesondere für Navigationssysteme verwendet. Neben GPS ermöglicht Location-based Services, zu deutsch standortbezogene Dienste, die Positionsbestimmung eines mobilen Endgerätes – respektive des Besitzers – über nahegelegene Funkzugangsknoten. Bei RFID können Standortdaten mit Hilfe eines Transponders und eines Schreib-/Lesegerätes mit Antenne berührungslos ausgelesen werden, allerdings muss der Transponder in die Reichweite der Antenne gelangen.

Neben zahlreichen privaten und betriebswirtschaftlichen Vorteilen bergen Ortungssysteme eine Vielzahl an Datenschutz-Risiken. Ihr externer Datenschutzbeauftragter erklärt, warum Systeme zur Ortung und Datenschutz nicht voneinander zu trennen sind und was verantwortliche Stellen, wie zum Beispiel Unternehmen, Vereine oder Behörden, berücksichtigen sollten, damit eine unzulässige Arbeitsplatzüberwachung vermieden wird.

GPS-Ortung und Datenschutz – Was Organisationen beachten sollten

Werden die Standorte von Dienstfahrzeugen oder dienstlichen Smartphones ermittelt, so kann daraus geschlossen werden, wo sich eine kleine Gruppe an Arbeitnehmern oder der einzelne Arbeitnehmer aufhält bzw. aufgehalten hat. Ein Personenbezug ist damit spätestens unter Zuhilfenahme der Einsatzpläne der Mitarbeiter gegeben, folglich greift das Datenschutzrecht. Sollen personenbezogene Daten erhoben, verarbeitet und/oder genutzt werden, so sollte stets das Verbot mit Erlaubnisvorbehalt bedacht werden. Laut § 4 Abs. 1 Bundesdatenschutzgesetz (BDSG) ist eine Erhebung, Verarbeitung und/oder Nutzung personenbezogener Daten erlaubt, wenn eine Rechtgrundlage oder die informierte und wirksame Einwilligung des Betroffenen dies erlauben.

Laut § 28 Abs. 1 Nr. 2 BDSG (Hinweis: Siehe auch § 32 BDSG für Zwecke des Beschäftigungsverhältnisses) dürfen personenbezogene Daten erhoben werden, wenn sie zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich sind und das schutzwürdige Interesse des Betroffenen nicht überwiegt. Um dies festzustellen, ist eine Interessensabwägung zwischen der verantwortlichen Stelle und dem Betroffenen notwendig. Mögliche Gründe für eine Ortung wären

  • der Diebstahl des Fahrzeugs oder Endgeräts,
  • die Aufdeckung von Straftaten bei einem begründeten Verdacht,
  • die Wahrung berechtigter Interessen der Organisation/eines Dritten, z.B. Geldtransporter, Krankenwagen

Der Einsatz von Ortungssystemen zur Überwachung der Mitarbeiter, sogenannte Verhaltens- und Leistungskontrolle ist allerdings untersagt und sollte dringend unterbunden werden. Selbst bei einer erlaubten Datenerhebung und –verarbeitung ist der Grundsatz der Datensparsamkeit zu beachten. Das heißt, dass nur die personenbezogenen Daten erhoben und verarbeitet werden dürfen, die tatsächlich notwendig sind. Zum Beispiel liegt für die Ortung des Standortes ein berechtigtes Interesse einer Speditionsfirma zur Warenverfolgung vor, allerdings ist für diesen Zweck die Erhebung der Dauer von Fahrtunterbrechungen nicht notwendig. Bei erlaubter privater Verwendung von Dienstfahrzeugen/Endgeräten darf ebenfalls keine Ortung durchgeführt werden.

Zwischen einer Erlaubnis und dem Verbot von Ortungssystemen liegt in dem meisten Fällen nur ein schmaler Grat. Umso wichtiger ist es, dass sich Organisationen mit dem Thema „GPS-Ortung und Datenschutz“ auseinandersetzen und nicht auf fachkundige Beratung durch einen Datenschutzbeauftragten oder Datenschutzberater verzichten. Zumal verantwortliche Stellen gemäß § 4d Abs. 5 BDSG bei automatisierten Verarbeitungen, die besondere Risiken für die Rechte der Betroffenen aufweisen, verpflichtet sind, eine Vorabkontrolle durch den Datenschutzbeauftragten durchführen zu lassen.

GPS-Ortung und Datenschutz – Beteiligung des Datenschutzbeauftragten und ggf. des Betriebsrates

Grundsätzlich sind alle Verfahren, in denen personenbezogene Daten automatisiert verarbeitet werden, der zuständigen Aufsichtsbehörde zu melden. Die Meldepflicht an die Aufsichtsbehörde entfällt allerdings, wenn die verantwortliche Stelle einen Datenschutzbeauftragten bestellt hat. Für diese Position kann ein interner Mitarbeiter (interner Datenschutzbeauftragter) oder auch externer Datenschutzbeauftragter bestellt werden.

Bei automatisierten Verarbeitungen, die besondere Risiken für die Rechte und Freiheiten eines Betroffenen aufweisen, muss, wie bereits erläutert, vor Beginn der Verarbeitung eine Prüfung, sogenannte Vorabkontrolle, durch den Datenschutzbeauftragten erfolgen.

Neben der Beteiligung des Datenschutzbeauftragten sollte – sofern vorhanden – der Betriebsrat vor Beginn der Verarbeitung einbezogen werden, da dieser gemäß § 87 Abs. 1 Nr. 6 Betriebsverfassungsgesetz (BetrVG) bei technischen Einrichtungen, die eine Verhaltens- und Leistungskontrolle der Mitarbeiter ermöglichen, ein Mitbestimmungsrecht hat.

Als verantwortliche Stelle ist man zudem gemäß § 9 Bundesdatenschutzgesetz in Verbindung mit der Anlage zu § 9 Satz 1 BDSG verpflichtet, technische und organisatorische Maßnahmen zu treffen, um die Anforderungen des BDSG zu erfüllen und den Zugriff durch Unbefugte zu vermeiden.

Fazit

Der Einsatz von Ortungssystemen kann unter gewissen Umständen aus Sicht der verantwortlichen Stelle (z. B. Unternehmen) erforderlich sein, im überwiegenden Interesse des Betreibers liegen und gleichzeitig kein Grund zur Annahme vorliegt, dass die schutzwürdigen Interessen des oder der Betroffenen überwiegen. Es sollten daher unbedingt bei der Planung der Maßnahmen, die Rechte der Betroffenen nicht außer Acht gelassen werden. Für den datenschutzkonformen Einsatz von Ortungssystemen sind viele Kriterien/Grundsätze, insbesondere die Datensparsamkeit, Zweckbindung und Verhältnismäßigkeit, zu beachten. Des Weiteren sollten klaren Regelungen, unter anderem zum Zweck, zur Löschung und zu den Zugriffsberechtigungen, mit Hilfe von Betriebsvereinbarungen/Dienstvereinbarungen/Richtlinien geschaffen werden.

Möchten Sie mehr zu Ortung und Datenschutz erfahren oder möchten Sie sich im Datenschutz dauerhaft besser positionieren? Wählen sie einen fachkundigen und zuverlässigen Datenschutzbeauftragten als Ansprechpartner für datenschutzrechtliche Belange. Falls Sie noch auf der Suche nach einem geeigneten Dienstleister für diese Aufgabe sind, stehen wir Ihnen gern als externer Datenschutzbeauftragter zur Seite. Haben Sie bereits einen Datenschutzbeauftragten, so nehmen Sie gerne auch unsere anderen Dienstleistungen, wie, Datenschutz-Schulungen oder eine Datenschutzberatung in Anspruch. Holen Sie sich ein unverbindliches Datenschutz-Angebot ein oder nehmen Sie direkt Kontakt mit uns auf.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

Wirtschaftswachstum am Beispiel Sachsens – Datenschutz in Unternehmen muss mitwachsen

Datenschutz in UnternehmenNach der neusten Statistik steigt das Wirtschaftswachstum in Sachsen um ca. 2 %. Ein kontinuierlich anziehendes Wachstum, welches mit großer Wahrscheinlichkeit in Zukunft weiter anhalten wird. Doch was verursacht dieses Wachstum und wieso muss der Datenschutz in Unternehmen mitwachsen?

Geprägt ist die sächsische Industrielandschaft durch klein- und mittelständische Unternehmen (KMU), welche den Motor für das Wirtschaftswachstum darstellen. Dabei nehmen sächsische Unternehmen eine technologische Top-Stellung ein, insbesondere in den Bereichen Automobilindustrie, Mikroelektronik sowie Maschinen- und Anlagenbau.

Ihr externer Datenschutzbeauftragter informiert über das Wirtschaftswachstum in Sachsen und erklärt, welche Auswirkungen das Wirtschaftswachstum auf den Datenschutz in Unternehmen haben könnte.

Was ist unter Wirtschaftswachstum grundsätzlich zu verstehen?

Ziel fast jeder Volkswirtschaft dürfte das Erreichen eines Wirtschaftswachstumes sein, da mit höherer Einnahmeerzielung des Einzelnen auch dessen persönlicher bzw. finanzieller Wohlstand zunimmt. Das Wirtschaftswachstum sorgt folglich für eine höhere Verteilungsmasse (Geld), mit dem Ziele wie Umweltschutz, Bildung, etc. besser verwirklicht werden können, da mehr Mittel zur Verfügung stehen. Gemessen wird das Wirtschaftswachstum mit dem Anstieg des Bruttoinlandproduktes. Das Bruttoinlandprodukt (BIP) wiederum ist die Ermittlung der Gesamtheit von Waren und Dienstleistungen, welche im Inland produziert werden, unter Abzug aller Vorleistungen.

Datenschutzrechtliche Relevanz

Das Bundesdatenschutzgesetz (BDSG) gilt nach § 1 BDSG für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch

  • Öffentliche Stellen des Bundes
  • Öffentliche Stellen der Länder, sofern nicht durch das Landesgesetz geregelt und die Stellen Bundesrecht ausführen oder als Organe der Rechtspflege tätig werden, sowie
  • nicht öffentliche Stellen (private Unternehmen).

Eine Erhebung, Verarbeitung und/oder Nutzung personenbezogener Daten wird dabei durch praktisch alle verantwortlichen Stellen durchgeführt, da gerade Wirtschaftswachstum zu Neueinstellungen, Erweiterungen von Unternehmen oder Unternehmensgründungen führt.

Ein Beispiel für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten stellt das Bewerbungsverfahren für die Einstellung neuer Mitarbeiter dar. Bei diesem werden sensible personenbezogene Daten gesammelt, wie Geburtsdatum, Geschlecht und Name. Bewerbungsunterlagen enthalten zahlreiche sensible personenbezogene Daten und müssen deshalb mit besonderer Sorgfalt behandelt werden. So muss unter anderem gewährleistet werden, dass kein Unbefugter Zugang zu den Unterlagen hat. Weiterhin stellt sich die Frage, wer die Daten sichten darf, wie die Übermittlung der Daten erfolgen darf und wann eine Löschung der Daten stattfinden sollte. Ansprechperson für diese Fragen ist der Datenschutzbeauftragte. Bei einem Wachstum der Wirtschaft darf somit von einem Mehr an Datensätzen in den Unternehmen gerechnet werden. Dieser Effekt tritt nicht nur in den Unternehmen auf, die neues Personal einstellen, sondern erweitert sich durch den Geldkreislauf bzw. steigenden Konsum (z. B. durch Einkauf der neuen Arbeitskräfte in Supermärkten oder Online-Shops).

Das Bundesdatenschutzgesetz und sächsische Datenschutzgesetz

Das sächsische Datenschutzgesetz (SächsDSG) regelt die Anwendung des Datenschutzes für öffentliche Stellen des Landes Sachsen. Dabei regelt es die datenschutzrechtlichen Vorrausetzungen, wie öffentliche Stellen in Sachsen mit personenbezogenen Daten zu verfahren haben. Das Bundesdatenschutzgesetz hingegen findet dann Anwendung, wenn unter anderem die Bundesbehörde oder nicht-öffentliche Stellen mit personenbezogenen Daten agieren.

In anderen Bereichen, wie dem Polizei- und Sozialrecht, gelten primär die jeweiligen speziellen Datenschutzregelungen. Weiterhin existieren noch zahlreiche andere datenschutzrechtliche Spezialvorschriften, welche auf EU-, Bundes- und Landesebene angesiedelt sind.

Bestellung der Datenschutzbeauftragten

Der Datenschutzbeauftragter ist nach § 4f BDSG zu bestellen, wenn eine öffentliche oder nicht öffentliche Stelle personenbezogene Daten automatisiert verarbeitet. Er ist somit dann tätig, wenn eine Erhebung, Verarbeitung und Nutzung personenbezogener Daten durchgeführt wird, und für die Aufgaben zuständig, welche im § 4g BDSG geregelt sind. Dabei wirkt der Datenschutzbeauftragte als internes Kontrollorgan, welches auf die Einhaltung der Datenschutzvorschriften hinweist.

Eine interner / externer betrieblicher Datenschutzbeauftragter sollte durch nicht-öffentliche Stellen bestellt werden, wenn …

  • mindestens 10 Personen personenbezogene Daten automatisiert verarbeiten oder
  • die automatisierte Verarbeitung eine Vorabkontrolle erfordert oder
  • die automatisierte Verarbeitung zum Zweck der (anonymisierten) Übermittelung dient oder
  • die automatisierte Verarbeitung zum Zweck der Markt- und Meinungsforschung erfolgt oder
  • mindestens 20 Personen personenbezogene Daten auf einer anderen Weise verarbeiten.

Ein interner / externer behördlicher Datenschutzbeauftragter sollte durch öffentliche Stellen des Bundes bestellt werden, wenn …

  • personenbezogene Daten automatisiert verarbeitet werden oder
  • mindestens 20 Personen personenbezogene Daten auf einer anderen Weise verarbeiten.

Das sächsische Landesdatenschutzgesetz regelt, dass ein interner / externer behördlicher Datenschutzbeauftragter durch öffentliche Stellen des Landes bestellt werden kann, allerdings besteht keine Verpflichtung.

Die Bestellung eines Datenschutzbeauftragten ist laut BDSG unter dieser Personengrenze und laut SächsDSG gar nicht verpflichtend. Dennoch sollten kleinere Unternehmen diesbezüglich vorsichtig sein, falls sie stark expandieren (möchten). Fallen sie durch die Expansion in diesen Bereich, ist nach §4f Abs. 1 Satz 2 BDSG spätestens nach einem Monat ein geeigneter Datenschutzbeauftragter zu bestellen. Geschieht dies nicht und wird das Unternehmen durch die Datenschutzaufsicht, die zuständigen Aufsichtsbehörde „Landesdatenschutzbeauftragter“, kontrolliert, könnte dies rechtliche Konsequenzen für das Unternehmen bedeuten. Auch für öffentliche Stellen des Landes, die keiner Bestpflicht unterliegen, ist eine frühzeitige Einbindung eines Datenschutzbeauftragten anzuraten, um geeignete Maßnahmen zu ergreifen, Datenschutzverstöße zu vermeiden und insbesondere Sanktionen abzuwenden. Wenn Sie mehr zu den Sanktionen im Datenschutz erfahren möchten, lesen Sie unseren Beitrag „Bußgelder, Geld- und Freiheitsstrafen – Zu erwartende Sanktionen im Datenschutz

Datenschutz in Unternehmen – Fördermittel für Datenschutz- und Datensicherheitsleistungen durch den Staat

Bestimmte Datenschutz- und Datensicherheitsleistungen können mit Fördermitteln vom Bundesamt für Wirtschaft und Ausfuhrkontrolle (BAFA) bezuschusst werde. Nach den Leitlinien der BAFA können kleine und mittelständische Unternehmen der gewerblichen Wirtschaft und Freiberufler (KMU) Anträge für Fördermittel stellen. Nach den Leitlinien der BAFA ist ein Unternehmen ein KMU, wenn

  • das Unternehmen seinen Sitz oder eine Zweigniederlassung in der Bundesrepublik Deutschland hat,
  • weniger als 250 Leute darin beschäftigt sind und
  • das Unternehmen einen Jahresumsatz von nicht mehr als 50 Millionen Euro oder eine Jahresbilanzsumme von nicht mehr als 43 Millionen Euro hat. Neu gegründete Unternehmen, welche noch keine Jahresbilanz erstellt haben, können die Angaben nach Treu und Glauben schätzen.

Bei Konzernunternehmen müssen für die Ermittlung der Mitarbeiterzahl und des Jahresumsatzes die Partnerunternehmen des Unternehmens mit einbezogen werden.

Der Fördersatz beträgt dabei in Sachsen um die 80%, für Unternehmen in der wirtschaftlichen Krise um die 90%. Dabei richten sich die maximalen förderfähigen Beratungskosten danach, wie lange ein Unternehmen auf dem Markt aktiv ist oder ob es sich in einer schwierigen Lage befindet. Gegliedert werden die Unternehmen dabei in

  • Jungunternehmen (nicht länger als 2 Jahre am Markt), welche einen Höchstzuschuss von 3200 Euro,
  • Bestandsunternehmen mit Höchstsatz von 2400 Euro und
  • Unternehmen in Schwierigkeiten, welche im Höchstsatz 2700 Euro

Förderung erhalten können.

Wirtschaftswachstum und die Notwendigkeit des Datenschutzes

Die sächsische Wirtschaft wächst kontinuierlich, was auf die Expansion von kleinen und mittelständigen Unternehmen zurückzuführen ist. Daneben wird das Wirtschaftswachstum auch zu Neugründungen von Unternehmen führen. Das Thema Datenschutz in Unternehmen gewinnt somit stetig an Bedeutung. Organisationen, die personenbezogene Daten erheben, verarbeiten oder nutzen, sollten auf Datenschutzregelungen ein Auge haben – nicht nur, um Sanktionen, welche bei datenschutzrechtlichen Verstößen durch die Datenschutzbehörde verhängt werden können, zu umgehen, sondern auch, um datenschutzrechtliche Sicherheitslücken im Unternehmen zu schließen. Weiterhin ist zu beachten, dass eine Verpflichtung zur Bestellung eines Datenschutzbeauftragten ab einer bestimmten Organisationsgröße besteht. Der Datenschutzbeauftragte sollte dabei nicht nur als weiterer Kostenfaktor angesehen werden, sondern als Hilfsorgan, welches nicht nur die Organisation vor datenschutzrechtlichen Sanktionen bewahren kann, sondern auch den richtigen Umgang mit personenbezogenen Daten aufzeigt.

Weiter oben wurde bereits der folgende Satz erwähnt: „Das Wirtschaftswachstum sorgt folglich für eine höhere Verteilungsmasse (Geld), mit dem Ziele wie Umweltschutz, Bildung, etc. besser verwirklicht werden können, da mehr Mittel zur Verfügung stehen.

Ein solches Wachstum dürfte auch auf die Arbeit im Datenschutz zu übertragen sein. Der Datenschutz in Unternehmen wird regelmäßig durch die Verhältnismäßigkeit begrenzt. Geht es einem Unternehmen wirtschaftlich besonders gut, wären an diese Verhältnismäßigkeit regelmäßig andere Maßstäbe zu setzen. Kritiker mögen dies vielleicht als „Luxusprobleme“ bezeichnen, ein externer Datenschutzbeauftragter wohl eher als „Sicherstellung des Rechts des Menschen auf informationelle Selbstbestimmung, einer Ausprägung des allgemeinen Persönlichkeitsrechts“!

Wählen sie einen fachkundigen und zuverlässigen Datenschutzbeauftragten als Ansprechpartner für datenschutzrechtliche Belange. Falls Sie noch auf der Suche nach einem geeigneten Dienstleister für diese Aufgabe sind, stehen wir, Brands Consulting, Ihnen gern als externer Datenschutzbeauftragter zur Seite. Haben Sie bereits einen Datenschutzbeauftragten, so nehmen Sie gerne auch unsere anderen Dienstleistungen, wie, Datenschutz-Schulungen oder eine Datenschutzberatung in Anspruch. Holen Sie sich ein unverbindliches Datenschutz-Angebot ein oder nehmen Sie direkt Kontakt mit uns auf.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen

 

„ (Vorab)Kontrolle Datenschutzbeauftragter “ – Die Prüfung der Zweckbindung und Verhältnismäßigkeit

Kontrolle DatenschutzbeauftragterDie Bedeutsamkeit für das Thema „ (Vorab)Kontrolle Datenschutzbeauftragter “ resultiert aus der hohen Relevanz unserer personenbezogenen Daten, also der Informationen, die uns als Menschen vereinfacht ausgedrückt „zuzuordnen sind“. Der Umgang mit personenbezogenen Daten ist für die sogenannten verantwortlichen Stellen, so insbesondere für Unternehmen, wichtig, sei es, um Marktforschung oder Werbung zu betreiben, zur Suche nach geeigneten Bewerbern oder zur Arbeitszeitplanung.

Es ist unerlässlich, personenbezogene Daten zu erheben, um den Geschäftszweck zu erfüllen. Dabei sollte nicht außer Acht gelassen werden, dass der von der Datenerhebung betroffene Mensch Schutzrechte hat, die nicht übergangen werden dürfen.

Ihr externer Datenschutzbeauftragter informiert zum Thema „ (Vorab)Kontrolle Datenschutzbeauftragter “ und über relevante Kriterien, die nicht außer Acht gelassen werden sollten.

„ Kontrolle Datenschutzbeauftragter “ – Wann ist eine Datenerhebung, -verarbeitung oder –nutzung erlaubt?

Grundsätzlich ist die Erhebung personenbezogener Daten nach § 4 Abs. 1 Bundesdatenschutzgesetz (BDSG) nur zulässig, soweit

  • das BDSG dies erlaubt
  • eine andere Rechtsvorschrift dies erlaubt oder
  • der Betroffene zustimmt

Durchbrochen wird diese Vorschrift u.a. durch den § 28 BDSG:

Nach diesem ist die Verarbeitung oder Nutzung personenbezogener Daten zulässig, wenn diese für die Begründung, Durchführung oder Beendigung eines rechtgeschäftlichen oder rechtgeschäftsähnlichen Schuldverhältnisses erforderlich sind (Abs. 1 Nr.1). Bei Arbeitsverhältnissen tritt jedoch der § 32 BDSG an die Stelle des § 28 BDSG. Weiterhin ist nach Nr. 2 der Umgang mit personenbezogenen Daten gestattet, soweit diese für die Wahrung berechtigter Interessen der verantwortlichen Stelle dienen. Das bedeutet, dass stets eine Abwägung der Interessen der zuständigen Stelle mit denen des Betroffenen stattfinden sollte.

§ 32 BDSG Datenerhebung, -verarbeitung und -nutzung für Zwecke der Beschäftigungsverhältnisse

Besonderes Augenmerk sollte auf die Verarbeitung personenbezogener Daten innerhalb eines Beschäftigungsverhältnisses gelegt werden. Natürlich in Abhängigkeit zur Branche werden regelmäßig insbesondere im Mittelstand in kaum einem anderen Gebiet bzw. in keiner Abteilung so viele personenbezogene Daten erhoben.

Diese Datenerhebung ist nicht grundlos, da sie u.a. für die Planung der Personalpolitik, die Sicherung eines effizienten Personaleinsatzes oder die Kontrolle des Arbeitseinsatzes vom Arbeitgeber erforderlich ist. Gegen die Datenerhebung und –verarbeitung im Rahmen des Beschäftigungsverhältnisses würde sich der Mitarbeiter/Beschäftigte auch aus Sorge seinen Arbeitsplatz zu verlieren, in den seltensten Fällen zur Wehr setzen. Um den Mitarbeiter zu schützen, hat der Gesetzgeber den § 32 BDSG eingesetzt. Er gestattet den Umgang mit personenbezogenen Daten, sofern diese erforderlich sind und die Zweckbindung gewahrt bleibt und es somit zu keiner Zweckentfremdung für andere Nutzungen kommt.

Beispiel: Die Bezahlkarte in der hauseigenen Kantine des Arbeitgebers dient der Vereinfachung des Bezahlvorganges und nicht der Analyse über das Ess- und Trinkverhalten des einzelnen Mitarbeiters. Personenbezogene Daten werden hier zweckgebunden erfasst. Die Info, der Mitarbeiter konsumierte für 4,00 € ist ausreichend. Nicht erforderlich ist es regelmäßig die Portion Currywurst + Pommes zu erfassen. Auch dürfte es selbstverständlich sein, dass ein Mitarbeiter keine Hinweise auf der Basis seines „ungesunden Essverhaltens“ erhält und Datensätze zu diesen Zwecken ohne informierte und freiwillige Einwilligung verknüpft werden.

Hinweis: Zur Zweckbestimmung können Sie sich weiter unten im Text konkreter informieren.

Durchgeführt wird eine solche Prüfung oder die Beratung hierzu i. d. R. von einem kirchlichen / behördlichen oder betrieblichen Datenschutzbeauftragten (Kontrolle Datenschutzbeauftragter).

„ Kontrolle Datenschutzbeauftragter “ – Die Zweckbestimmung

Bei der Kontrolle durch den Datenschutzbeauftragten wird zum einen die Zweckbestimmung geprüft, wobei eine Interessenabwägung des Arbeitgebers und des/der betroffenen Mitarbeiter stattfindet. In diesem Rahmen prüft der Datenschutzbeauftragte, ob die geplante Maßnahme zur Erfüllung des Zwecks geeignet ist.

Will ein Arbeitgeber z.B. eine Videoüberwachungsanlage in seinem Ladenlokal installieren, so verfolgt er eventuell nicht unbedingt den Zweck, seine Mitarbeiter zu überwachen, sondern will sein Eigentum und das seiner Kunden schützen. Dessen ungeachtet wird durch den Gebrauch der Kameras der Mitarbeiter in seinen Persönlichkeitsrechten (z.B. Recht am eigenen Bild) verletzt. Auch könnte eine Videoüberwachung zur dauerhaften Verhaltens- und Leistungskontrolle der Mitarbeiter, die unzulässig ist, genutzt werden. Eine Interessenskollision von Arbeitgeber und Arbeitnehmer entsteht.

Neben der Zweckbestimmung muss die Verhältnismäßigkeit geprüft werden. Im Datenschutz gilt, dass immer zum „milderen Mittel“ gegriffen werden muss. Der Datenschutzbeauftragte muss aus diesem Grund nicht nur prüfen, ob die (geplante) Maßnahme geeignet ist, sondern ob die Maßnahme erforderlich. Beschäftigt sich der Datenschutzbeauftragte mit der (Vorab-)Kontrolle, so lässt sich die Prüfung der Verhältnismäßigkeit nicht verhindern bzw. sollte nicht vergessen werden.

„ Kontrolle Datenschutzbeauftragter “ – Verhältnismäßigkeitsprüfung

Ebenfalls durchzuführen vom Datenschutzbeauftragten ist eine Verhältnismäßigkeitsprüfung.

Bei der Prüfung der Verhältnismäßigkeit muss einzelfallspezifisch geprüft werden:

(1) Ist die Maßnahme geeignet für das Vorhaben?

(2) Ist die Maßnahme zulässig?

(3) Gibt es andere Möglichkeiten, welche besser geeignet sind, das Vorhaben zu erfüllen?

Wendet man diese Kriterien auf die oben genannte Fallkonstellation mit der Videoüberwachung an, kann folgendes entnommen werden:

(1) Ist die Maßnahme geeignet für das Vorhaben?

Ja, da durch die Videoüberwachung ermittelt werden kann, wer einen Diebstahl getätigt hat. Weiterhin dient eine Videoüberwachung als Abschreckungsmittel, da der mögliche Dieb ein erhöhtes Risiko hat, erwischt zu werden, versucht er es möglicherweise erst gar nicht.

(2) Ist die Maßnahme zulässig?

Bei einer Videoüberwachung ist zu beachten, wo sich die Videoüberwachungsanlage befindet. Ist eine Installation in öffentlich zugänglichen Räumen, wie in dem Fallbeispiel, gewollt, so wird der § 32 Abs. 1 BDSG vom § 6b BDSG verdrängt. Nach § 6b wäre so eine Maßnahme innerhalb des Beschäftigungsverhältnisses nur zulässig, sofern sie eingesetzt wird, um berechtigte Interessen des Arbeitgebers zu schützen. Vorrausetzung dafür ist einerseits das Bestehen eines konkret festgelegten Zwecks für die Nutzung, andererseits darf es keinen Anhaltspunkt geben, der die schutzwürdigen Interessen der betroffenen Mitarbeiter überwiegen lässt (§ 6b Abs. 1 Nr. 3 BDSG). Weiterhin muss die Videoüberwachung und die dafür verantwortliche Stelle durch geeignete Maßnahmen kenntlich gemacht werden (§ 6b Abs. 2 BDSG).

(3) Gibt es andere Möglichkeiten, welche besser geeignet sind, das Vorhaben zu erfüllen?

Maßgeblich für den Arbeitnehmer sind in dem Beispiel der Schutz seines Eigentums und das seiner Kunden. Somit könnte er alternativ zu dem Videoüberwachungssystem auch Alarmanlagen, elektronische Schließsysteme, Schlösser etc. verwirklichen, ohne in die Persönlichkeitsrechte seiner Mitarbeiter einzugreifen.

Führen die alternativen Möglichkeiten nicht zum Erfolg, kann eine heimliche Videoüberwachung durchgeführt werden.

Nach dem BAG-Urteil (2 AZR 51/02) vom 27.03.2003 ist eine verdeckte Videoüberwachung zulässig, wenn:

  1. ein konkreter Verdacht einer Strafhandlung besteht
  2. mildere Mittel erfolglos waren und folglich
  3. die Videoüberwachung das einzige Mittel darstellt.

In der Praxis ist eine solche Prüfung nicht nur für die Frage der Modalitäten für die Nutzung von Videoüberwachungssystemen interessant, sondern ebenso bei

  • Bewerberdatenbanken
  • Telefonüberwachung
  • E-Mail-Kontrollen
  • BYOD (Bring Your Own Device)
  • Cloud Computing
  • Detektiv/Testkunden zur Überwachung
  • Due Diligence

und vielen anderen Bereichen, welche durch die unterschiedlichen Gestaltungsformen und dem Fortschreiten der technischen Entwicklung nicht immer klar zu deuten sind.

Rechtsfolgen

Die unbefugte Erhebung, Verarbeitung und Nutzung personenbezogener Daten kann zu unterschiedlichen Saktionen führen. Dies möglichen Strafen reichen von arbeitsrechtlichen Konsequenzen, über Bußgeldern bis hin zu Freiheitsstrafen. Des Weiteren führt das Bekanntwerden von Datenschutzverstößen unabdingbar zu erheblichem Imageverlust. Um solche Rechtfolgen und die Verschlechterung des Ansehens der „verantwortlichen Stelle“ zu vermeiden bedarf es einer ordnungsgemäßen Prüfung durch einen Datenschutzbeauftragten.

Fazit

Gerade in der Praxis ist die Thematik „ Kontrolle Datenschutzbeauftragter “ und die damit verbundene Prüfung der Zweckbindung respektive Zweckgebundenheit und der Verhältnismäßigkeit des beabsichtigten Vorhabens unerlässlich. Dabei muss bei jeder geplanten Maßnahme eine einzelfallbezogene Prüfung stattfinden, um ein optimales Ergebnis zu erreichen.

Gerade, weil eine unterlassene oder nicht sachgerechte Prüfung negative Rechtfolgen und einen erheblichen Imageverlust mit sich bringen kann, sollte diese Prüfung durch einen kompetenten Datenschutzbeauftragten durchgeführt werden.

Falls Sie mehr zum Thema „(Vorab)Kontrolle Datenschutzbeauftragter“ erfahren möchten oder sich nicht sicher sind, ob das von Ihnen beabsichtigte Verfahren den datenschutzrechtlichen Bestimmungen genügt, können Sie sich gern an uns wenden. Holen Sie sich ein unverbindliches Angebot zum Datenschutz ein oder nehmen Sie direkt Kontakt mit uns auf.

Wir bieten unsere Dienste als externer Datenschutzbeauftragter an und führen nicht nur eine fachgerechte Prüfung ihres Anliegens aus, sondern stehen Ihnen mit Rat für die Findung alternativer Lösungen zur Verfügung, um das bestmöglichste Resultat zu erzielen. Sofern Sie einen Mitarbeiter als internen Datenschutzbeauftragten für diese Aufgabe vorsehen wollen, bieten wir ebenso Weiterbildungen und Schulungen an, um optimale Voraussetzungen zu schaffen. Auch der Support des internen Datenschutzbeauftragten durch unsere Datenschutzberater, die mit gezielter Datenschutzberatung unterstützen, führt für unsere Auftraggeber zu einem klaren Mehrwert.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

Interner / Externer Behördlicher Datenschutzbeauftragter in der Gemeinde, Kommunalverwaltung und Stadtverwaltung

Externer behördlicher DatenschutzbeauftragterNeben den nicht-öffentlichen Stellen (betrieblicher Datenschutzbeauftragter) gewinnt die Relevanz des Datenschutzes auch in öffentlichen Stellen (behördlicher Datenschutzbeauftragter) an Bedeutung, wodurch sich auch Gemeinden, Kommunal- und Stadtverwaltungen nicht den gesetzlichen Anforderungen entziehen können und die Position „ interner / externer behördlicher Datenschutzbeauftragter “ besetzen sollten.

Ist für nicht öffentliche Stellen das Bundesdatenschutzgesetz (BDSG) ausschlaggebend, so muss bei öffentlichen Stellen zwischen den Stellen des Bundes und des Landes unterschieden werden. Öffentliche Stellen des Bundes sollten ebenfalls die Vorschriften des BDSG beachten, wobei für Stellen des Landes einzelne Landesdatenschutzgesetze federführend sind. Die Landesdatenschutzgesetze weisen zwar i. d. R. viele Gemeinsamkeiten zum BDSG auf, allerdings sind je nach Landesdatenschutzgesetz (LDSG) einige – nicht unerhebliche – Unterschiede erkennbar. Sieht zum Beispiel das Bundesdatenschutzgesetz unter gewissen Voraussetzungen eine Bestellpflicht des Datenschutzbeauftragten vor, so wird es öffentlichen Stellen des Landes – je nach Landesdatenschutzgesetz – freigestellt, ob sie einen behördlichen Datenschutzbeauftragten bestellen wollen. Andere Landesdatenschutzgesetze sehen wiederrum eine Bestellpflicht vor.

Ihr externer Datenschutzbeauftragter erklärt, wann ein interner / externer behördlicher Datenschutzbeauftragter in der Gemeinde, Kommunalverwaltung und Stadtverwaltung bestellt werden sollte und wie dieser Gemeinden, Kommunal- und Stadtverwaltungen bei der Einhaltung des Datenschutzes unterstützen kann.

Interner / Externer behördlicher Datenschutzbeauftragter – Wann sollten Gemeinden, Stadt- und Kommunalverwaltungen einen DSB bestellen?

Übersicht LandesdatenschutzgesetzeFür Gemeinden, Stadt- und Kommunalverwaltungen ist, wie bereits in der Einleitung erläutert, das jeweilige Landesdatenschutzgesetz ausschlaggebend. Diese weisen allerdings Unterschiede in Hinblick auf die Bestpflicht auf. Die Landesdatenschutzgesetze der Bundesländer Bayern, Berlin, Rheinland-Pfalz, Nordrhein-Westfalen etc. sehen eine Bestellpflicht vor, wobei unter anderem das Saarland und Schleswig-Holstein zu keiner Bestellung eines behördlichen Datenschutzbeauftragten verpflichten.

Die Landesdatenschutzgesetze unterscheiden sich des Weiteren darin, ob ein interner oder externer behördlicher Datenschutzbeauftragter bestellt werden soll/darf. Stellen zum Beispiel Rheinland-Pfalz und Hessen die Entscheidung frei, so legen andere Bundesländer, wie Nordrhein-Westfalen oder Bayern fest, dass nur ein interner behördlicher Datenschutzbeauftragter bestellt werden darf. Möchten Sie mehr zu den einzelnen Landesdatenschutzgesetzen und den konkreten Regelungen zu der Bestellung des Datenschutzbeauftragten erfahren, dann lesen Sie doch unseren Beitrag „Übersicht Landesdatenschutzgesetze (LDSG) – interner oder externer behördlicher Datenschutzbeauftragter“.

Die Funktion des behördlichen Datenschutzbeauftragten in Gemeinden, Stadt- und Kommunalverwaltungen

Neben den erläuterten Unterschieden weisen die einzelnen Landesdatenschutzgesetze sowie das Bundesdatenschutzgesetz auch einige Gemeinsamkeiten auf. Zum Beispiel wird sowohl im Bundesdatenschutzgesetz als auch in den Landesdatenschutzgesetzen die nötige Fachkunde und Zuverlässigkeit vom behördlichen Datenschutzbeauftragen gefordert. Unter die Fachkunde fällt sowohl die Kenntnis des Datenschutzrechts als auch der organisatorischen Strukturen der öffentlichen Stelle und der technischen Abläufe, wobei unter der Zuverlässigkeit die persönliche Eignung zu verstehen ist. Der behördliche Datenschutzbeauftragte steht sowohl der Behördenleitung als auch den Mitarbeitern und dem Personalrat in allen Datenschutzfragen zur Verfügung und agiert als unabhängige Vertrauensperson. Aus diesem Grund ist für die Position des Datenschutzbeauftragten ein hohes Maß an Verantwortungsbewusstsein, Integrität und Sensibilität gefragt. Umso wichtiger ist es, dass sich aus den Arbeitsaufgaben und aus der Arbeit als Datenschutzbeauftragter kein Interessenskonflikt ergibt. Daher kommen insbesondere Behördenleiter oder die Leiter der Personal- oder IT-Abteilungen regelmäßig nicht für die Position des behördlichen Datenschutzbeauftragten infrage.

Der behördliche Datenschutzbeauftragte ist, ebenso wie der betriebliche Datenschutzbeauftragte, der Leitung der verantwortlichen Stelle, zum Beispiel der Behördenleitung direkt unterstellt, um auf die Einhaltung des Datenschutzes bestmöglich hinwirken zu können.

Die Aufgaben eines behördlichen Datenschutzbeauftragten können sehr vielseitig, wodurch die notwendige Fachkunde für einen internen behördlichen Datenschutzbeauftragten bereits eine große Hürde darstellen kann. Zu den Aufgaben eines Datenschutzbeauftragten gehören von A, wie Auftragsdatenverarbeitung, bis Z, wie Zeiterfassung, wobei zu weiteren typische Themenfeldern unter anderem die

  • Erstellung von Verfahrensverzeichnissen,
  • Durchführung von Datenschutz-Kontrollen,
  • Beratung der Behördenleitung, der Personalvertretung und der Mitarbeiter,
  • Entwicklungen von Richtlinie und Dienstvereinbarungen

zählen.

Möchten Sie mehr zu der Position „interner / externer behördlicher Datenschutzbeauftragter in der Gemeinde, Kommunalverwaltung und Stadtverwaltung erfahren, dann lesen Sie unseren Beitrag „Interner / externer behördlicher Datenschutzbeauftragter“ oder nehmen Sie direkt Kontakt mit uns.

Gerne unterstützen wir Sie als externer behördlicher Datenschutzbeauftragter oder sorgen für zielgerichteten Support Ihres internen Datenschutzbeauftragten als Datenschutz-Berater. Die Datenschutzberatung setzt genau dort an, wo Ihr interner behördlicher Datenschutzbeauftragter Unterstützung benötigt. Holen Sie sich gerne ein unverbindliches Angebot zum Datenschutz ein.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

 

Kein Recht am eigenen Bild – Zigarettenhersteller planen personalisierte Schockfotos (Achtung Datenschutz-Satire)

Recht am eigenen BildDie EU-Kommission plant, angesichts der Unwirksamkeit der seit Mai 2016 eingeführten Schockfotos für Zigarettenschachteln, das Thema „Recht am eigenen Bild“ in den Hintergrund zu rücken und mittels personalisierter Schockbilder zu warnen. Eine Sprecherin der EU-Kommission sagte diesbezüglich: „Nachdem wird festgestellt haben, dass verfaulte Zähne, abgestorbene Füße und schwarze Lungen ohne das dazugehörende Gesicht nicht zu dem gewünschten Effekt geführt haben, starteten wir vor einigen Wochen einen Testlauf mit personalisierten Bildern und der gewünschte Effekt trat bei den betroffenen Rauchern ein. Endlich konnten wir schockieren.“  Neben der EU-Kommission zeigte sich vor allem der Chef eines sozialen Netzwerkes hellauf begeistert: „Endlich haben wir Abnehmer für die hochgeladenen Bilder unserer User gefunden.“

Bei den Schockbildern auf Zigarettenschachteln soll es allerdings nicht bleiben. Nächstes Jahr plant die Kommission vor den Gefahren des Alkoholmissbrauchs zu warnen. Auch für alkoholische Getränke sind personalisierte Schockbilder geplant. Auf die Frage nach der Herkunft der Schockfotos erläuterte die Sprecherin: „Ausreichend Material sollten wir zunächst von Unternehmen erhalten, die ihre Betriebsfeiern umfangreich festhalten und Bildmaterial veröffentlichen. Neben den Betriebsfeiern hat uns der Veranstalter eines bedeutenden Volksfestes „feuchtfröhliches“ Bildmaterial versprochen. Seiner Ansicht bietet die Wiese in der Nähe des Volksfestes, der sogenannte „Kotzhügel“, der bereits letztes Jahr von vielen „Gaffern“ und „Hobbyfotografen“ in sozialen Netzwerken als (Groß-)Event gefeiert wurde, ausreichend Material, um vor „so ziemlich allem“ zu warnen, so der Veranstalter.

Nun zur Aufklärung des vorstehenden satirischen Beitrags:

Recht am eigenen Bild – Was sagen Datenschützer und Datenschutzbeauftrage?

Datenschützer und Datenschutzbeauftragte warnen vor der unbefugten Erhebung, Verarbeitung und Nutzung personenbezogener Daten. Auch bei Bildern handelt es sich um sogenannte personenbezogene Daten, da auf diesen Bildern Merkmale erkennbar sind, die auf eine Person zurückschließen lassen.

Ein Datenschutzbeauftragter erklärte zum Thema „Recht am eigenen Bild“: „Eine Erhebung, Verarbeitung und Nutzung personenbezogener Daten ist nur erlaubt, wenn eine Rechtsgrundlage vorliegt oder der Betroffene einwilligt hat. Das Heranziehen vom Kunsturheberrechtsgesetz ist unabdingbar.“

Zum Thema „Recht am eigenen Bild“ steht im Kunsturhebergesetz, dass die Verbreitung von Bildern erlaubt ist, wenn der Abgebildete eingewilligt hat. Die Einwilligung gilt auch als erteilt, wenn der Abgebildete entlohnt wurde. Zudem legt das Kunsturheberrechtsgesetz Ausnahmen fest, wann das Verbreiten von Bilder erlaubt ist. Eine Ausnahme, gemäß § 23 Kunsturheberrechtsgesetz, stellt das Erfassen und Verbreiten von Versammlungen dar.

Nun wieder etwas Humor:

Datenschutz SatireUm das Recht am eigenen Bild, trotz der Pläne der EU-Kommission zu schützen, geben Datenschützer und Datenschutzbeauftragte schützen folgende Sicherheitsmaßnahmen raus:

  • Mit dem Rauchen und Trinken aufhören
  • Keine Versammlungen oder andere Veranstaltungen mit großem Menschenaufkommen besuchen
  • Nicht vor schönen Landschaften/Sehenswürdigkeiten rauchen oder trinken
  • Tragen von Sturmhauben, Masken oder Burkas

Recht am eigenen Bild – Was sagt die Politik?

Politiker in aller Welt reagierten prompt. Ein Politiker verkündete: „Als großer Fan vom Datenschutz, insbesondere der Datensparsamkeit, sperre ich bis auf weiteres sämtliche sozialen Medien. Sie glauben nicht, was die Menschen tagtäglich für einen Quatsch veröffentlichen.“

Ein Anderer reagierte wiederrum völlig gegensätzlich und erklärte: „Das Rauchen und Trinken stellt seit Jahren eine Gefahr für die innere Sicherheit unseres Landes dar. Einzig illegal eingeschleuste Überraschungseier seien für das Land gefährlicher. Aus diesem Grund habe man beschlossen, die EU-Kommission zu unterstützen.“ Aus Insiderkreisen hört man, dass sämtliche Geheimdienste mit der Aufspürung von Rauchern und mit der Übermittlung von Fotos beschäftigt seien.

Auch hörte man verstärkt sowohl auf politischer als journalistischer Seite die Sätze: „Wir schaffen das!“, „Mit mir wird es das nicht geben!“ oder „Wir haben nichts gegen die Schockfotos, aber bitte nicht hier!“.

Möchten Sie mehr zum Thema „Recht am eigenen Bild“ erfahren? Wünschen Sie Datenschutz-Schulungen für Ihre Mitarbeiter, um diese zu sensibilisieren? Dann nehmen Sie direkt Kontakt mit uns auf oder holen Sie sich ein unverbindliches Angebot zum Datenschutz ein.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

 

Prävention statt Datenpanne – Bußgelder, Imageverlust und Informationspflichten bei Datenpannen gemäß § 42a BDSG

Personenbezogene DatenIm Zuge der Informationspflichten bei Datenpannen, die sich aus § 42a Bundesdatenschutzgesetz (BDSG) ergeben, müssen Organisationen Datenpannen melden. Im Datenschutz ist die Rede von einer Datenpanne, wenn sich Dritte unbefugt Zugriff auf personenbezogene Daten verschafft haben, dabei spielt es keine Rolle, ob die Datenpanne durch einen Hackerangriff, einen verlorenen Datenträger oder auf einem anderen Weg verursacht wurde.

Von Datenpannen waren bereits zahlreiche Organisationen, wie zum Beispiel Unternehmen sämtlicher Branchen, aber auch Behörden und Vereine, betroffen. Zuletzt hörte man unter anderem von der Datenpanne, die bei der Plattform „BlaBlaCar“ identifiziert wurde, dabei seien eine Vielzahl an personenbezogenen Daten, wie E-Mail-Adressen, IBAN- und Kontonummern, gestohlen worden.

Ihr externer Datenschutzbeauftragter erklärt, welche Maßnahmen verantwortliche Stellen, wie Unternehmen oder Behörden, ergreifen können, um sich vor Datenpannen zu schützen und erklärt, welche Informationspflichten bei Datenpannen beachtet werden sollten.

Informationspflichten bei Datenpannen

Informationspflichten bei DatenpannenDas Datenschutzrecht sieht bestimmte Maßnahmen vor, die bei einer sogenannten Datenpanne bzw. bei einem Datenverlust zu ergreifen sind. Gelangen personenbezogene Daten an Unbefugte, so ist die verantwortliche Stelle laut § 42a BDSG dazu verpflichtet, Betroffene und die Aufsichtsbehörde über den Datenverlust zu informieren. Dieser Informationspflicht muss vor allem bei besonderen Arten personenbezogener Daten, wie zum Beispiel Gesundheitsdaten, sowie bei personenbezogenen Daten zu Bank- und Kreditkonten nachgegangen werden. Aus diesem Grund sollte eine verantwortliche Stelle, wenn sie eine Datenpanne feststellt, – sofern vorhanden – den internen / externen Datenschutzbeauftragten unverzüglich einschalten. Der Datenschutzbeauftragte sollte prüfen, auf welche Daten der unbefugte Zugriff stattgefunden hat und welcher Personenkreis betroffen ist. Das Worst-Case-Szenario dürfte, wie in dem aktuellen Vorfall bei BlaBlaCar eingetroffen, sein, dass der betroffene Personenkreis sehr groß ist und unter anderem personenbezogene Bankdaten gestohlen wurden. In solchen Fällen sieht § 42a BDSG vor, dass über die Datenpanne in mindestens zwei bundesweit erscheinenden Zeitungen informiert wird oder eine andere Maßnahme ergriffen werden soll, die in ihrer Wirksamkeit hinsichtlich der Information der Betroffenen gleichgestellt werden kann. Neben Bußgeldern droht verantwortlichen Stellen bei einer Datenpanne ein erheblicher Imageverlust. Aus diesem Grund sollten verantwortliche Stellen Maßnahmen treffen, um Datenpannen vorzubeugen und die Eintrittswahrscheinlichkeit zu reduzieren.

Prävention statt Datenpanne – Maßnahmen zum Schutz vor Datenpannen

Unternehmen, Vereine, Behörden und auch alle übrigen verantwortlichen Stellen sollten, sofern sie personenbezogene Daten erheben, verarbeiten und nutzen, Maßnahmen ergreifen, um diese Informationen über Menschen zu schützen. Ein positiver Nebeneffekt, der sich aus dem Schutz personenbezogener Daten ergibt, ist der Schutz von weiteren sensiblen Daten, wie zum Beispiel Betriebsgeheimnissen. Neben den technischen und organisatorischen Maßnahmen, die im Bundesdatenschutzgesetz in § 9 und in der Anlage zu § 9 Satz 1 erläutert werden, können verantwortliche Stellen weitere Mittel ergreifen. Zum einem empfiehlt es sich einen Datenschutzbeauftragten (interner / externer Datenschutzbeauftragter) zu bestellen. Der Datenschutzbeauftragte wirkt auf die Einhaltung des Datenschutzes hin, dabei zeigt er verantwortlichen Stellen Schwachpunkte auf und empfiehlt Maßnahmen, die zur einer Verbesserung beitragen.

Typische Themenfelder, bei denen Sie ein interner / externer Datenschutzbeauftragter zum Schutz von personenbezogenen Daten unterstützen kann, sind z. B.:

  • Betriebsvereinbarungen / Richtlinien / Dienstvereinbarungen
  • Entwicklung / Bekanntmachung von hausinternen Datenschutzrichtlinien und damit verbundene Sensibilisierung von Mitarbeitern (Datenschutz-Schulung)
  • Beratung von Mitarbeitern, dem Betriebsrat/Personalrat/Mitarbeitervertretungen zu Datenschutzfragen
  • Risikoanalyse und Bewertung von Verfahren zur Datenverarbeitung
  • Durchführung von Datenschutz-Kontrollen
  • Prüfung von Dienstleistern
  • Beratung und Kontrolle der gesetzeskonformen Aufbewahrung und Vernichtung von Akten und Datenträgern

Möchten Sie mehr zu den Informationspflichten bei Datenpannen oder über mögliche Maßnahmen zum Schutz vor Datenpannen erfahren? Dann holen Sie sich gerne ein unverbindliches Angebot zum Datenschutz ein oder nehmen Sie gerne direkt Kontakt mit uns auf.

Besetzen Sie die Funktion des Datenschutzbeauftragten extern oder sorgen Sie für eine zielgerichtete Beratung Ihres internen Datenschutzbeauftragten durch einen Datenschutz-Berater. Die Datenschutzberatung setzt genau dort an, wo Ihr interner Datenschutzbeauftragter Unterstützung benötigt.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen in

 

 

Interner / Externer betrieblicher Datenschutzbeauftragter – Pflichten und Aufgaben des Datenschutzbeauftragten

Datenschutzbeauftragter PflichtenAls Datenschutz-Dienstleister stellen wir – insbesondere im Mittelstand – erschreckend häufig fest, dass viele Arbeitgeber respektive verantwortliche Stellen von der Funktion des Datenschutzbeauftragten regelmäßig erst durch ein Audit im Qualitätsmanagement (QM-Audit) oder die Wirtschaftsprüfer erfahren.

Welche konkreten Funktionen, Aufgaben und  Pflichten mit der Position interner/externer Datenschutzbeauftragter verbunden ist, erklären wir zumeist erst im Akquisegespräch oder bei der Bestellung.  Aus diesem Grunde möchten wir die Gelegenheit nutzen und uns zu den Aufgaben und Pflichten der Person interner/externer Datenschutzbeauftragter äußern.

Unter einer verantwortlichen Stelle sind Unternehmen, Behörden, Körperschaften oder sonstige Organisationen zu verstehen. Theoretisch kann es auch innerhalb einer Organisation mehrere verantwortliche Stellen geben, dies ist allerdings seltener der Fall.

In dem Beitrag „Externer Datenschutzbeauftragter“ haben wir bereits erläutert, unter welchen Voraussetzungen ein interner oder externer Datenschutzbeauftragter bestellt werden sollte. Nun möchte Ihr externer Datenschutzbeauftragter und Datenschutz-Berater über das Thema „ Datenschutzbeauftragter Pflichten “ informieren und dabei wesentliche Aufgaben des Datenschutzbeauftragten (DSB) erklären.

„ Datenschutzbeauftragter Pflichten “ – Aufgabenbeschreibung des DSB

Welche Pflichten sollte ein interner / externer Datenschutzbeauftragter erfüllen? Soll das Thema „ Datenschutzbeauftragter Pflichten “ kurz umrissen werden, kann gesagt werden: Nach § 4g Abs. 1 Bundesdatenschutzgesetz (BDSG) ist die Pflicht des Datenschutzbeauftragten, die Einhaltung des Datenschutzes sicherzustellen. Weiterhin wird geschrieben, dass ein Datenschutzbeauftragter…

  • …für die Überwachung und Kontrolle des Gebrauchs von Datenverarbeitungsprogrammen verantwortlich ist,
  • …als Ansprechpartner bei datenschutzrechtlich relevanten Themen zur Verfügung steht sowie
  • …das Personal über die gesetzeskonforme Verarbeitung von Daten informieren und beraten soll.

Außerdem…

  • …unterliegt er der Verschwiegenheitspflicht (§ 4f Abs. 4 BDSG),
  • … muss gesetzlich vorgeschriebene Informationen über die verantwortliche Stelle der Öffentlichkeit zugänglich machen (§ 4g Abs. 2 Satz 2 BDSG) und
  • …ist für die Vorabkontrolle/n (§ 4d Abs. 6 BDSG) zuständig.

Des Weiteren ist es möglich, dass die verantwortliche Stelle dem Datenschutzbeauftragten weitere Aufgaben zuweisen kann, die sich nicht aus dem Bundesdatenschutzgesetz perspektivisch aus der EU-Datenschutzgrundverordnung (EU-DSGVO) ergeben.

„ Datenschutzbeauftragter Pflichten “ – Einhaltung der Datenschutzregelungen (§ 4g Abs. 1 Satz 1 BDSG)

Der Datenschutzbeauftragte muss auf die Einhaltung des Datenschutzes „hinwirken“ – diese recht schwammige Formulierung lässt das Ziel der Aktivität des Datenschutzbeauftragten erkennen, aber ebenso seine beschränken Einwirkungsmöglichkeiten. Im Vordergrund stehen sowohl Kontrollfunktionen als auch die Funktion des Datenschutzbeauftragten als Berater, der Datenschutzdefizite ermitteln und zu erforderlichen Verbesserungen anregen soll. Der Datenschutzbeauftragte kann die Verbesserungen jedoch nicht verwirklichen oder gewährleisten. Diese Aufgabe obliegt der jeweiligen Organisation respektive verantwortlichen Stelle, der der Datenschutzbeauftragte unterstellt ist.   Nach § 4f Abs. 3 BDSG ist jedoch der Datenschutzbeauftragte in Ausübung seiner Fachkunde auf dem Gebiet des Datenschutzes weisungsfrei und unterliegt somit nicht der Weisungsbefugnis der verantwortlichen Stelle. Bei der Unterzeichnung der Bestellungsurkunde sollte an die Aufnahme eines entsprechenden Passus gedacht werden. Auch kann die Konkretisierung der Aufgaben durch die Stellenbeschreibung, die Bestellungsurkunde oder einen Arbeits- bzw. Dienstleistungsvertrag mit einem Dienstleister erfolgen.

Die Anknüpfungspunkte der datenschutzrechtlichen Regelungen reichen dabei von bereichsspezifischen Vorschriften bis hin zu Vereinbarungen der Arbeitnehmervertretungen (z.B. Betriebsrat). Bestimmungen wie die §§ 67 ff. Sozialgesetzbuch X (SGB X), §§ 91 ff. Telekommunikationsgesetz (TKG) oder auch Sondervorschriften über Personalfragebögen (§§ 94 Betriebsverfassungsgesetz (BetrVG), 75 Abs. 3 Nr. 8, 76 Abs. 2 Nr. 2 Bundespersonalvertretungsgesetz (BPersVG) etc. sind ebenso vom Datenschutzbeauftragten zu beachten wie die Regelungen des Bundesdatenschutzgesetzes.

Bezogen auf das Bundesdatenschutzgesetz sollte ein interner / externer Datenschutzbeauftragter,

  • die einzelnen Datenschutzsicherungsmaßnahmen, sogenannte technische und organisatorische Maßnahmen (§ 9 und Anlage zu § 9 Satz 1 BDSG),
  • die strikten Verwendungsbeschränkungen von Protokolldaten (§ 14 Abs. 4 BDSG) die das Grundprinzip der Datensparsamkeit und der Zweckbindung im Datenschutz bestätigt sowie
  • die Einhaltung des Datenschutzes bei der Auftragsvergabe (§ 11 BDSG)

prüfen sowie dabei beraten und sich mit

  • der Reaktion der verantwortlichen Stellen auf das Auskunfts- und Berichtigungsersuch des Betroffenen (§§ 19, 20, 34, 35 BDSG),
  • der Zulässigkeit von Übermittlungen in Drittstaaten (§§ 4b, 4c BDSG) und
  • der Rechtmäßigkeit von Profilbildungen (§ 6a BDSG)

befassen auch auch hier prüfen und datenschutz-organisatorisch und datenschutz-rechtlich fundiert beraten.

Weiterhin fällt unter die Pflicht des Datenschutzbeauftragten die Kontrolle von

  • Personalakten (§§ 83 BetrVG, 65 Abs. 2 Satz 3 BPersVG),
  • Systemen, die zur Überwachung der Angestellten der Organisation genutzt werden könnten (sogenannte Verhaltens- und Leistungskontrolle) (§§ 87 Nr. 6 BetrVG, 75 Abs. 3 Nr. 16 BPersVG),
  • der Installation von Videoüberwachungsanlagen an öffentlichen Stellen, wie dem Kundenbereich und in Kaufhäusern (§ 6b BDSG) und
  • Telefondiensten, welche personenbezogene Daten für einen Marketingzweck (§ 28 Abs. 1 und 3 Nr. 3 BDSG) generieren.

Es ist daher unerlässlich, einen fachkundigen Datenschutzbeauftragten an der Seite zu haben, welcher eine vollumfängliche datenschutzrechtliche Unterstützung garantieren kann. Dabei ist es grundsätzlich von Vorteil, einen externen Datenschutzbeauftragten zu bestellen, denn dieser besitzt bereits die entsprechende Fachkunde und Erfahrung, die sich ein interner Datenschutzbeauftragter erst (u. a. durch Schulungen) aneignen muss. Wenn Sie mehr zu den Unterschieden zwischen interner und externer Datenschutzbeauftragter erfahren möchten, dann lesen Sie unseren Beitrag „Interner (betrieblicher) Datenschutzbeauftragter (DSB) vs. externer DSB – ein Vergleich“.

„ Datenschutzbeauftragter Pflichten “ – Kontrollrecht des DSB

Mitunter fällt in den Aufgabenbereich des Datenschutzbeauftragten das Kontrollrecht, welches sich auf alle personenbezogenen Daten erstreckt. Bei dem Kontrollrecht spielt es keine Rolle, ob die Position Datenschutzbeauftragten extern oder intern besetzt wurde oder es sich um einen behördlichen Datenschutzbeauftragten, betrieblichen Datenschutzbeauftragten oder kirchlichen Datenschutzbeauftragten handelt – alle sind gesetzlich festgeschriebene Kontrollinstanzen (§ 4f Abs. 1 BDSG). Um die Aufgabe als Kontrollinstanz erfüllen zu können, wird dem Datenschutzbeauftragten gestattet, sich Einblick in sensible Daten (z.B. Personenakten) zu verschaffen. Kompensiert wird das Kontrollrecht durch die Geheimhaltungspflicht, die der Datenschutzbeauftragte einzuhalten hat. Weiterhin kann ein Zustimmungsvorbehalt des Betroffenen über die Überprüfung der Daten vereinbart werden.

„ Datenschutzbeauftragter Pflichten “ – Kontrolle der Datenverarbeitungsprogramme (§ 4g Abs. 1 Satz 4 Nr. 1 BDSG)

Für die Überwachung der ordnungsgemäßen Anwendung von Verarbeitungsprogrammen ist der Datenschutzbeauftragte verantwortlich (§ 4g Abs. 1 Satz 3 Nr.1 BDSG). Dabei sind nicht nur die vorhandenen Programme durch den Datenschutzbeauftragten zu prüfen. Der Fokus liegt hierbei wieder auf der Prävention möglicher Verstöße der datenschutzrechtlichen Regelungen. Eine Kontrolle der Programme ist damit primär die Kontrolle des gesamten Prozesses der personenbezogenen Datenverarbeitung, d.h. bei Änderung/Umstellung eines Prozesses, ist eine Prüfung durch den Datenschutzbeauftragten erforderlich. Eine Änderung bzw. Umstellung eines Prozesses (Programmgestaltung) kann bei der Einführung eines neuen Systems, Durchführung eines Updates etc., welches für die Verarbeitung personenbezogener Daten genutzt wird, vorliegen.   Die Prüfung wäre zum Beispiel erforderlich, wenn die verantwortliche Stelle weitere personenbezogene Daten erheben möchte. Der Datenschutzbeauftragte sollte rechtzeitig über das Vorhaben informiert werden und die Möglichkeit haben, seine Meinung über das Vorhaben zu äußern (§ 4f Abs. 5 Satz 1 BDSG). Die sogenannte Informationspflicht (§ 4f Abs. 5 Satz 1 BDSG) konkretisiert somit die generelle Verpflichtung der verantwortlichen Stelle (Unternehmen, Behörde, Vereins etc.), den Datenschutzbeauftragten zu unterstützen.

„ Datenschutzbeauftragter Pflichten “ – Schulungen (§ 4g Abs. 1 Satz 4 Nr. 2 BDSG)

Eine weitere Aufgabe des Datenschutzbeauftragten ist es, das Personal, welches mit der Datenverarbeitung betraut ist, über die Inhalte und Ziele der Datenschutzvorschriften aufzuklären (§ 4g Abs. 1 Satz 4 Nr. 2 BDSG). Es reicht dabei nicht aus, dass der Datenschutzbeauftragte die Arbeitnehmer auf Wunsch berät.   Vielmehr ist es seine Aufgabe, die für die Datenverarbeitung zuständigen Arbeitnehmer soweit über ihre Aufgaben aufzuklären, dass diese wissen, welche datenschutzrechtlichen Anforderungen erfüllt werden müssen. Das notwendige Wissen wird dem Personal mit entsprechenden Datenschutz-Schulungen durch den Datenschutzbeauftragten vermittelt. Die Schulungsfunktion des Datenschutzbeauftragten bringt nicht nur den Vorteil der Weitergabe von datenschutzrechtlichen Kenntnissen, sondern kann bei richtiger Ausführung u. a. auch zu einer Verbesserung der Kommunikation zwischen den Beschäftigten und ihrem Datenschutzbeauftragten führen. So sichert eine Schulung im Datenschutz nicht nur die Kenntnis der Datenschutzanforderungen, sondern kann ebenso die Chance bieten, durch die Zusammenarbeit von Datenschutzbeauftragtem und zuständigem Personal Datenschutzvorkehrungen effektiver zu gestalten, insbesondere wenn ein externer Datenschutzbeauftragter bestellt ist. Benötigt Ihr Unternehmen eine Datenschutz-Schulung? Nehmen Sie Kontakt mit uns auf oder holen Sie sich ein unverbindliches Datenschutz-Angebot ein.

„Datenschutzbeauftragter Pflicht“ – Verschwiegenheitspflicht (§ 4f Abs. 4 BDSG)

Ein Gegengewicht zu den umfangreichen Kontrollrechten des Datenschutzbeauftragten, welche ihm Einblicke in sensible personenbezogene Daten verschaffen, ist die Verschwiegenheitspflicht nach § 4f Abs. 4 BDSG. Nach dieser Norm ist der Datenschutzbeauftragte verpflichtet, Stillschweigen über die Identität des Betroffenen sowie über Umstände, die Rückschlüsse auf den Betroffenen zulassen, zu bewahren. Diese Regelung greift nicht, wenn der Betroffene den Datenschutzbeauftragten von der Verschwiegenheitspflicht befreit (§ 4f Abs. 4 Halbsatz 4 BDSG).

„ Datenschutzbeauftragter Pflichten “ – Öffentlichkeitsaufgaben (§ 4g Abs. 2 Satz 2 BDSG)

Die Datenschutzgesetze, insbesondere das Bundesdatenschutzgesetz, schreiben vor, dass der Datenschutzbeauftragte ebenso verpflichtet ist, der Öffentlichkeit Informationen über die „verantwortliche Stelle“ (§ 4e Abs. 2 Satz 1 Nr. 1 bis 8 BDSG) zu gewährleisten (§ 4g Abs. 2 Satz 2 BDSG). Die im § 4e Abs. 2 Satz 1 Nr. 1 bis 8 BDSG aufgezählten Angaben sind dabei „jedermann“ auf Antrag zur Verfügung zu stellen, da die Informationen der Öffentlichkeit nicht vorenthalten werden sollen. Die Verpflichtung des Datenschutzbeauftragten die Informationen an die Öffentlichkeit weiterzugeben ist nicht uneingeschränkt, gemäß § 4g Abs. 3 Satz 1 BDSG. Die Informationsweitergabe an die Öffentlichkeit durch den Datenschutzbeauftragten hört dort auf, wo diese in den Zuständigkeitsbereich des Staates fällt. So findet der § 4g Abs. 2 Satz 2 BDSG für die in § 6 Abs. 2 Satz 4 BDSG genannten Behörden keine Anwendung.

„ Datenschutzbeauftragter Pflichten “ – Vorabkontrolle (§ 4d Abs. 6 BDSG)

Wenn eine automatisierte Datenverarbeitung besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweist, ist nach § 4d Abs. 6 Bundesdatenschutzgesetz eine Vorabkontrolle durchzuführen. Diese Vorabkontrolle erfolgt durch den Datenschutzbeauftragten unter Mitwirkung der verantwortlichen Stelle. Eine Vorabkontrolle stellt eine Vorüberprüfung eines automatisierten Datenverarbeitungsverfahrens dar und ermöglicht der Organisation, potenzielle Datenschutz-Risiken und Gefahren zu erkennen, die sich durch die automatische Erhebung, Verarbeitung und/oder Nutzung personenbezogener Daten ergeben.

Wenn Sie mehr zu dem Thema „Vorabkontrolle Datenschutzbeauftragter“ erfahren möchten, dann lesen Sie unseren Beitrag „Vorabkontrolle Datenschutzbeauftragter  – Wann und unter welchen Umständen eine „Datenschutz Vorabkontrolle“ erfolgen sollte“.

„ Datenschutzbeauftragter Pflichten “ – weitere Aufgaben

Das BDSG hindert die verantwortliche Stelle nicht daran, dem Datenschutzbeauftragten weitere Aufgaben zu übertragen. Sollen weitere Aufgaben durch den Datenschutzbeauftragten wahrgenommen werden, so unterliegt dies einem doppelten Vorbehalt.

So darf der Datenschutzbeauftragte keine Aufgaben übernehmen, die unmittelbar oder mittelbar in den Kompetenzbereich der verantwortlichen Stelle fallen und der Datenschutzbeauftragte nicht Entscheidungsträger bei Maßnahmen ist, da die Tätigkeit vielmehr empfehlenden / beratenden oder prüfenden Charakter hat. Ein Kernbereich ist die im § 4e Satz 1 Nr. 1 bis 8 BDSG genannte Meldepflicht der verantwortlichen Stelle. Diese ist nach § 4g Abs. 2 Satz 1 BDSG verpflichtet, eine Übersicht über die im § 4e Satz 1 Nr. 1 bis 8 BDSG genannten Punkte zu erstellen und dem Datenschutzbeauftragten zur Verfügung zu stellen. Außerdem muss gewährleistet werden, dass die zusätzliche Aufgabe den Datenschutzbeauftragten nicht in der ordnungsgemäßen Ausübung seiner gesetzlich vorgeschriebenen Aufgaben behindert (§ 4f Abs. 2 Satz 1 BDSG).

„ Datenschutzbeauftragter Pflichten “ – Erweiterung des Aufgabenbereiches durch die EU-DSGVO

Die EU-Datenschutz-Grundverordnung (EU-DSGVO) ist am 25. Mai 2016 in Kraft getreten und gilt ab 2018 in ganz Europa. Im Gegensatz zur Richtlinie 95/46/EG wirkt die EU-Datenschutz-Grundverordnung direkt in den EU-Mitgliedsstaaten und bedarf keiner Umsetzung z. B. in das BDSG. Mit einigen Vorschriften, die das BDSG nicht erfasst hat, weitet die DSGVO auch die Stellung des Datenschutzbeauftragten aus. Hat dieser nach dem § 4f Abs. 1 Satz 1 BDSG noch eine Beratungsfunktion, worauf es keine Gewähr gibt, ist er nach Art. 39 Abs. 1 lit. b EU-DSGVO dazu verpflichtet, eine umfassende Überwachungsfunktion zu übernehmen. Diese umfassende Überwachungspflicht geht dabei über das bloße „Hinwirken“ hinaus. Es könnte hierzu eine Konkretisierung bzw. Erweiterung dieses Bereiches im BDSG bzw. in der Nachfolgeregelung geben.

Fazit

Ein interner / externer Datenschutzbeauftragter sieht Maßnahmen zur Präventionen gegen mögliche datenschutzrechtliche Verstöße vor und schafft somit eine optimale Basis für den sicheren Umgang mit personenbezogenen Daten. Das Beratung/ Unterstützung durch den Datenschutzbeauftragten kann eine verantwortliche Stelle,  insbesondere die Geschäftsführung, vor Haftungsansprüchen von außerhalb bewahren.

Die Auswahl des Datenschutzbeauftragten sollte daher stets mit Bedacht getätigt werden, da diese wichtige Position (gleich ob interner Datenschutzbeauftragter oder externer Datenschutzbeauftragter) umfangreiche Aufgaben mit sich bringt, die nicht durch Laien durchgeführt werden sollten. Besonders durch die kommende Einführung der EU-Datenschutz-Grundverordnung (DSGVO), welche das Aufgabenfeld des Datenschutzbeauftragten erweitert, ist ein kompetenter Datenschutzbeauftragter unerlässlich. Aufgrund der notwendigen Fachkunde und Zuverlässigkeit raten wir zur Bestellung eines externen Datenschutzbeauftragten, der bereits umfangreiche Erfahrung sowie fundiertes Wissen im Datenschutz besitzt und dieses zielgerichtet einsetzen kann. Sofern Sie eine Unterstützung Ihres internen Datenschutzbeauftragten durch einen externen Berater wünschen, nutzen Sie doch einen Datenschutz-Berater. Durch gezielte Datenschutz-Beratung profitiert nicht nur Ihr interner Datenschutzbeauftragter.

Möchten Sie mehr zur Position Datenschutzbeauftragter oder zum Thema „ Datenschutzbeauftragter Pflichten “ erfahren oder sich im Datenschutz dauerhaft besser positionieren? Holen Sie sich ein unverbindliches und kostenloses Angebot zum Datenschutz ein oder nehmen Sie direkt Kontakt zu uns auf und profitieren Sie von unserer Erfahrung. Brands Consulting bietet Ihnen individuelle Unterstützung und Beratung rund um den in Datenschutz.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.