Was würde ein externer Datenschutzbeauftragter NIE sagen? Jede Berufsgruppe / Branche hat ihre eigenen Probleme, Anforderungen, Merkmale und folglich Aussagen, die von den einzelnen Gruppen stammen können oder die einzelne Berufsgruppen niemals treffen würden. Im Folgenden erfahren Sie, was Sie nie aus dem Mund eines externen Datenschutzbeauftragten hören werden, wobei dies in den meisten Fällen auch auf den internen Datenschutzbeauftragten zutreffen dürfte.
Externer Datenschutzbeauftragter: „Hierfür übernehme ich die Verantwortung!“
Die Aussage „Hierfür übernehme ich die Verantwortung!“ würde ein externer Datenschutzbeauftragter nicht tätigen, weil er sie üblicherweise auch nicht übernimmt.
Grund: Als Datenschutzbeauftragte haben wir die Pflicht auf die Einhaltung des Datenschutzes hinzuwirken. Das heißt unsere Aufgabe ist es „verantwortlichen Stellen“, wie Unternehmen und Vereinen, den richtigen Weg „auszuleuchten“ und sie bei der Umsetzung zu unterstützen, wobei die Umsetzung selbst bei der „verantwortlichen Stelle“, demzufolge bei der Geschäftsführung respektive Behördenleitung liegt.
Externer Datenschutzbeauftragter: „Natürlich können Sie alle Daten in der Dropbox sichern.“
Ein externer Datenschutzbeauftragter würde immer von einer Nutzung der Dropbox abraten.
Grund: Werden personenbezogene Daten in eine Cloud, so auch in die Dropbox, ausgelagert, so handelt es sich bereits um eine Datenübermittlung. Eine Übermittlung personenbezogener Daten bedarf allerdings grundsätzlich einer Rechtsgrundlage oder einer informierten Einwilligung.
Bei einer Auslagerung personenbezogener Daten an einen Cloud-Anbieter, der seinen Sitz innerhalb der europäischen Union (EU) / des europäischen Wirtschaftsraums (EWR) hat, ist die Ausgangslage etwas einfacher, da es sich bei Cloud-Diensten in den meisten Fällen um eine Auftragsdatenverarbeitung (ADV), gemäß § 11 Bundesdatenschutzgesetz (BDSG) handelt. Die Übermittlung an einen ADV-Dienstleister wird hingegen als „Nicht-Übermittlung“ eingestuft, wodurch das Einholen von informierten Einwilligungen nicht notwendig ist. Achtung: Das Abschließen eines Vertrages zur Auftragsdatenverarbeitung, der die Rechte und Pflichten des Auftraggebers / Auftragnehmers klar regelt, ist allerdings unbedingt anzuraten.
Hat der Cloud-Anbieter seinen Sitz außerhalb der EU / EWR (Drittland), wie dies bei der Dropbox Inc. der Fall ist, so gilt nicht die Fiktion der „Nicht-Übermittlung“. Aus diesem Grund dürfen die Daten nur auf Basis einer Rechtsgrundlage respektive alternativer vertraglicher Regelungen zum klassischen ADV-Vertrag oder einer informierten Einwilligung in die Dropbox ausgelagert werden.
Externer Datenschutzbeauftragter: „Im Datenschutz ist alles erlaubt, außer es wird explizit verboten.“
Bei dieser Aussage wurden Satzteile bewusst verdreht und der Satz gewinnt eine neue, allerdings komplett falsche Bedeutung.
Grund: Im Datenschutz gilt, anders als in der Überschrift formuliert, das Verbot mit Erlaubnisvorbehalt. Dies bedeutet, dass jegliche Erhebung, Verarbeitung oder Nutzung personenbezogener Daten VERBOTEN ist, außer eine Rechtsgrundlage oder informierte Einwilligungen der Betroffenen erlauben die Datenverarbeitung.
Externer Datenschutzbeauftragter: „Den Ausweis können Sie bedenkenlos kopieren.“
Das Kopieren von Personalausweisen ist ein Thema, das in der Praxis häufig zu Streitigkeiten führt, allerdings ist das Kopieren von Ausweisen, anderes als von vielen „verantwortlichen Stellen“ erwartet und gelebt, bis auf wenige Ausnahmen, verboten.
Grund: Im Personalausweisgesetz (PAuswG) findet man zu dem Kopierverbot zwar keinen Passus, jedoch geht dies aus der Gesetzesbegründung, aus Urteilen und allgemeinen Grundsätzen des Datenschutzes hervor. Grundsätzlich gilt, dass der Ausweis sogar bestmöglich nicht einmal aus der Hand gegeben werden sollte, wobei es Ausnahmen gibt, wie zum Beispiel in Banken gemäß Geldwäschegesetz (GwG).
Unternehmen und anderen „verantwortlichen Stellen“ ist deshalb von dem Kopieren von Personalausweisen ohne legitimen Zweck abzuraten.
Externer Datenschutzbeauftragter: „Es gibt kein Restrisiko!“
Auch den Satz werden Sie von einem externen Datenschutzbeauftragten nicht hören.
Grund: Der Grund ist ganz einfach, wo personenbezogene Daten erhoben, verarbeitet und genutzt werden, kann nie vollkommen ausgeschlossen werden, dass diese Daten von Unbefugten eingesehen werden.
„Verantwortliche Stelle“ sind allerdings dazu verpflichtet, geeignete technische und organisatorische Maßnahmen (sogenannte TOM) zutreffen, um personenbezogene Daten zu schützen. Die Anforderungen sind in der Anlage zu § 9 BDSG aufgeführt. Erforderliche Maßnahmen sind unter anderem die Verpflichtung der Mitarbeiter auf das Datengeheimnis sowie sämtliche Maßnahmen, die den Zugriff auf Datenverarbeitungsanlagen (z. B. verschlossene Räume) und in Datenverarbeitungsprogramme (z. B. Passwörter) erschweren bzw. verhindern sollen. Daneben sind weitere Anforderungen umzusetzen.
Trotz der zahlreichen Maßnahmen, die getroffenen werden bzw. getroffenen werden sollten, verbleiben Restrisiken, da Unbefugte immer neue Wege finden könnten, um an sensible Informationen zu gelangen.
Externer Datenschutzbeauftragter: „Nein – die Datenerhebung benötigt keiner gesetzlichen Grundlage oder Einwilligung.“
Die Aussage, dass eine Datenerhebung keine gesetzliche Grundlage bzw. keine Einwilligung benötigt ist falsch.
Grund: Wie bereits unter Punkt 3 erläutert, bedarf jede Erhebung, Verarbeitung und Nutzung personenbezogener Daten einer Rechtsgrundlage oder einer informierten Einwilligung.
Rechtliche Grundlagen für eine Erhebung, Verarbeitung und Nutzung personenbezogener Daten findet man allerdings nicht nur im Bundesdatenschutzgesetz, sondern in anderen landesspezifischen Vorschriften, wie dem Datenschutzgesetz Nordrhein-Westfalen (DSG NRW) oder in bereichsspezifischen Gesetzen, wie dem Telemediengesetz (TMG) oder Telekommunikationsgesetz (TKG). Liegt keine Rechtsgrundlage vor, die die Erhebung, Verarbeitung und/oder Nutzung erlaubt, so ist die „verantwortliche Stelle“ verpflichtet, informierte Einwilligungen einzuholen, wobei das Datenschutzrecht konkrete Anforderungen an die „Informiertheit“ der Einwilligungen stellt.
Zudem sollte der gesetzesübergreifende Grundsatz der Zweckbindung nicht außer Acht gelassen werden. Dies bedeutet, dass personenbezogene Daten ausschließlich für den Zweck erhoben, verarbeitet und genutzt werden dürfen, für den die Rechtsgrundlage bzw. die informierte Einwilligung vorliegt. Plant eine „verantwortliche Stelle“ die Daten für einen anderen Zweck zu verwenden, so bedarf es einer erneuten Prüfung der Rechtsgrundlage oder es müssen für den „neuen“ Zweck informierte Einwilligungen eingeholt werden.
Externer Datenschutzbeauftragter: „Kameraattrappen sind nie ein Problem!“
Kameraattrappen stellen für „verantwortliche Stelle“ zunächst ähnliche Probleme / Risiken dar, wie „normale“ Videoanlagen.
Grund: Kameraattrappen sollten zunächst genauso behandelt werden, wie Videoanlagen mit denen Aufnahmen angefertigt werden können, da im Datenschutzrecht nicht nur der Inhalt oder die Bedeutung der Daten im Vordergrund steht, sondern das „informationelle Selbstbestimmungsrecht“.
Weiß einer Betroffener nicht, dass es sich um eine Kameraattrappe handelt, so wird er sich automatisch anpassen und ist in seinem Handeln eingeschränkt, was wiederrum das Grundrecht der freien Persönlichkeitsentfaltung und folglich das informationelle Selbstbestimmungsrecht verletzt.
Kameraattrappen sollten deshalb vor Anbringung durch einen Datenschutzbeauftragten geprüft werden, sogenannte Vorabkontrolle, die auch bei funktionierenden Anlagen ein absolutes MUSS ist.
Externer Datenschutzbeauftragter: „Verstecken Sie Ihr Passwort ruhig unter der Tastatur, dort ist es sicher!“
Als externer Datenschutzbeauftragter sieht man in der Praxis häufig mehr oder weniger kreative Verstecke für Passwörter. Eines das weniger kreativ, allerdings fast überall zu finden ist, dürfte die Tastatur sein.
Sollten auch Sie sich beim Lesen ertappt fühlen, dann „nix wie weg damit“!
Grund: Sie sollten Ihr Passwort nicht unter der Tastatur verstecken, weil das Versteck einfach nicht sicher ist. Schafft es ein Unbefugter an Ihren Arbeitsplatz, so kann er sich schnell und einfach Zugriff auf personenbezogene Daten verschaffen. Der Datenklau ist allerdings nicht das einzige Risiko, da der Unbefugte ebenso Daten in Ihrem Namen manipulieren oder löschen kann. Dies könnte auch schnell für Sie selbst zu unschönen Konsequenzen führen.
Externer Datenschutzbeauftragter: „Mein Kollege ist krank.“
„Mein Kollege ist krank“ oder „Mein Kollege ist für zwei Wochen im Urlaub auf Mallorca“ sind Informationen, die wir regelmäßig zuhören bekommen, wenn wir unter anderem in Unternehmen anrufen, allerdings würden Sie diese Informationen nicht von einem Datenschutzbeauftragten erhalten.
Grund: Bei diesen Informationen handelt es sich bereits um personenbezogene Daten, die wir ohne Rechtsgrundlage oder ohne informierter Einwilligung des Betroffenen nicht weitergeben sollten. Es kann zwar wie ein betriebliches Interesse klingen, sich nach dem Aufenthalt des Mitarbeiters eines Unternehmens zu erkundigen, aber dahinter mehr verbergen. Auch wenn es abstrakt klingt, könnten sich Anrufer nach Mitarbeitern erkundigen, erfahren, dass sich diese länger im Ausland befinden und diese Informationen dazu nutzen, um bei der Person einzubrechen. Auch sollten Privatadressen der Kollegen nicht einfach rausgegeben werden.
Bei der Angabe „Mein Kollege ist krank“ handelt es sich zumal um besonders sensiblen Angaben personenbezogener Daten. Für diese sogenannten besonderen Angaben personenbezogener Daten sieht der Gesetzgeber einen, wie das Wort schon sagt, „besonderen“ Schutz vor.
Externer Datenschutzbeauftragter: „WhatsApp können Sie jetzt ruhig verwenden, ist schließlich verschlüsselt.“
Ein externer Datenschutzbeauftragter würde Ihnen gegenwärtig von der Nutzung von WhatsApp abraten.
Grund: Schenkt man dem Anbieter von WhatsApp, was die Verschlüsselung angeht, Vertrauen, so verbleiben aus Datenschutzsicht Risiken, die „verantwortliche Stellen“ nicht bewältigen können.
Das Problem tritt üblicherweise bereits im Installationsprozess auf, denn – je nach Geräretyp – greift WhatsApp während oder nach der Installation auf die gespeicherten Kontakte des Telefonbuchs zu. Diese Kontaktdaten werden an die Server in den USA übermittelt, wodurch, wie bereits unter Punkt 2 erläutert, informierte Einwilligungen der Betroffenen eingeholt werden müssten.
Zudem sollte nicht außer Acht gelassen werden, dass die geänderte Nutzungsvereinbarung und damit die Datenübermittlung an Facebook sowie an weitere Unternehmen der Facebook-Unternehmensgruppe zu noch höheren Datenschutz-Risiken führt.
