> Datenschutz

Whistleblowing und Datenschutz – Datenschutzrechtliches Leck im Arbeitsverbund, Unternehmensverbund und Konzern

Whistleblowing und DatenschutzDie Begnadigung der Whistleblowerin Chelsea Manning, die sensible Daten der US-Regierung an die Plattform Wikileaks weitergab, lässt die Thematik Whistleblower wieder im Gedächtnis der Leute aufleben. Nicht nur durch das Handeln von Chelsea Manning wurde in den Medien das Thema Whistleblowing heiß diskutiert, sondern ebenso durch den Fall Snowden. Die Problematik des Whistleblowing ist indes in der Wirtschaft nicht ganz unbekannt und vor allem in Verbindung mit der Korruptionsbekämpfung in aller Munde.

Besonders im Bereich Datenschutz besteht ein gewisses Interesse für öffentliche wie auch nicht-öffentliche Stellen an der Frage, wie mit dieser Thematik umgegangen werden sollte.

Ihr externer Datenschutzbeauftragter möchte Sie daher im Folgenden über Whistleblowing und Datenschutz informieren.

Definition: Whistleblower

Der Begriff Whistleblower kommt aus dem Englischen und beschreibt eine Person, die für die Allgemeinheit Informationen an die Öffentlichkeit bringt, welche aus einem geschützten oder auch geheimen Zusammenhang stammen. Diese aufgedeckten Informationen klären im Allgemeinen über Missstände oder Verbrechen, wie beispielsweise Korruption, Menschenrechtsverletzung, Insidergeschäfte, Datenmissbrauch oder Ähnliches, auf. Über diese Missstände kann der Whistleblower innerhalb seines Arbeitsplatzes oder anderweitig Kenntnis erlangt haben. International wurde der Begriff mit dem Aufkommen der Plattform Wikileaks bekannt, die allen Menschen gestattet, anonym größere Verstöße der Politik oder Wirtschaft anzuprangern und Beweise für diese Taten einzureichen.

Dasselbe Prinzip wird auch von Unternehmen verwendet mit dem sogenannten Whistleblowing-System. Dieses erlaubt Mitarbeitern und Außenstehenden, Verstöße zu melden, die beispielweise von leitenden Positionen, Mitarbeitern oder auch Lieferanten ausgehen. Dabei sind konkret solche Tatbestände zu melden, die Straftatbestände, wie Verstöße gegen die Menschenrechte, Kultur oder Philosophie sowie Zuwiderhandlungen gegen die von der Organisation zugeteilten Aufgaben darstellen. Die deutsche Gesetzgebung fordert, dass öffentliche (z.B. Stiftungen, Anstalten, Behörden) und auch nicht-öffentliche Stellen (z.B. AG, OHG, GmbH) Maßnahmen ergreifen, um sicherzustellen, dass Gesetze eingehalten werden. Aus diesem Grund könnte die Einrichtung eines Whistleblowing-Systems für verantwortliche Stellen, wie Unternehmen oder Behörden, mit Sitz in Deutschland interessant sein. Besonders relevant ist die Einrichtung einer solchen Plattform allerdings für deutsche Unternehmen, die an der US-Börse gelistet sind, dies anstreben oder Tochtergesellschaft eines US-Konzerns sind, da diese nach dem Sarbanes-Oxley-Act, der für börsennotierte Unternehmen an der US-Börse gilt, eine Vorkehrung für Whistleblowing voraussetzt.

Whistleblowing und Datenschutz

Es ist sinnvoll für Unternehmen, Whistleblowing-Maßnahmen zu integrieren, schaffen diese doch unter anderem eine Verbesserung des Unternehmensimages nach außen sowie eine Vorkehrung gegen interne Verstöße. Bei der Integration solcher Maßnahmen sollte aber der Datenschutz nicht außer Acht gelassen werden, da die Einführung einer Whistleblowing-Plattform schnell mit der Übertragung von personenbezogenen Daten Hand in Hand gehen kann.

Die vom Whistleblower preisgegebenen Daten können insbesondere beim Beschuldigten einen Schaden hervorrufen. Vor allem aus datenschutzrechtlicher Sicht ist die Übermittlung personenbezogener Daten durch den Whistleblower kritisch zu bewerten, da sensible Daten, wozu personenbezogene Daten zählen, einer expliziten Prüfung der Rechtgrundlage bedürfen. Dies sollte bei der Einführung einer Whistleblowing-Plattform nicht unterschätzt werden, da  durch gewisse Konstellationen die Einhaltung der Datenschutzvorschriften erschwert wird.

Diese sind zum einen anzutreffen, wenn eine Whistleblowing-Plattform innerhalb eines Unternehmensverbunds (Konzern) eingeführt werden soll, welcher auch in Drittländern (z.B. USA, Japan, China, Indien) agiert.  Ein Datentransfer in Drittländer ist nämlich mit zusätzlichen Prüfungen verbunden. Danach ist zu prüfen,

  • ob die Datenverarbeitung im Ausgangsland (Versender) zulässig ist und
  • ob die Übermittlung in das Drittland (Empfänger) zulässig ist.

Notwendig ist die Überprüfung aufgrund des zumeist unterschiedlichen Datenschutzniveaus zwischen Versenderland und Empfängerland. Während beispielsweise in den Ländern des EWR (Europäischen Wirtschaftsraumes) ein angemessenes Datenniveau herrscht, ist dieses in Drittländern, wie den USA und Japan, nicht zwangsläufig gegeben. Geeignete Maßnahmen sind mit Unterstützung des Datenschutzbeauftragten sowie mittels vertraglicher Grundlagen, wie zum Beispiel den EU-Standardvertragsklauseln, hergestellt werden.

Zum anderen erfolgt die Mitteilung der Verstöße zum Schutz des Whistleblowers anonym, was nicht mit dem Grundsatz der Transparenz vereinbar sein kann (Transparenzgebot). Der Grund ist, dass Betroffene unter anderem das Recht auf Auskunft haben, dabei sollen Sie erfahren, welche Daten die verantwortliche Stelle erhebt, verarbeitet und nutzt. Auch hat der Betroffene das Recht zu erfahren, für welchen Zweck und wie lange die Daten verarbeitet werden sowie ob eine Weitergabe an Dritte erfolgt. Bei der anonymen Meldung eines Verstoßes kann das Transparenzgebot allerdings nicht gewahrt werden, da die Daten heimlich erhoben werden und die Auskunft über den gemeldeten Verstoß somit nicht möglich ist.

Des Weiteren besteht die Möglichkeit, dass die Aufklärung der Umstände, in denen die Verstöße erfolgt sind, ebenso durch die Anonymität des Whistleblowers erschwert wird. Aufgrund der Anonymität des Whistleblowers können diesem keine Rückfragen zum Tathergang gestellt werden, dabei kann die Whistleblowerposition für niedere Zwecke missbraucht werden, um den Betroffenen anzuschwärzen oder indem eine Aussage getätigt wird, welche nur auf Vermutungen basiert.

Geringer Spielraum für die Umsetzung eines Whistleblowing-Systems

Bevor ein Whistleblowing-System integriert werden darf, ist eine Vorabkontrolle notwendig, die vom Datenschutzbeauftragten durchzuführen ist (§ 4d Abs. 5 BDSG). Schnell wird dabei klar, dass der Datenschutz bei der Integration eines solchen Systems einen begrenzten Spielraum bereit hält und daher eine datenschutzkonforme Umsetzung des angestrebten Systems engen Reglementarien unterliegt, wie beispielswiese dem § 28 BDSG, welcher Maßnahmen zulässt, die spezifische Verhaltensverstöße verhindern.

Vorabkontrolle des Datenschutzbeauftragten bei der Integration einer Wistleblowing-Plattform

Gemäß des § 4d Abs. 5 BDSG ist eine Vorabkontrolle durch den Datenschutzbeauftragten (§ 4d Abs. 6 Satz 1 BDSG) durchzuführen, wenn es sich unter anderem um die Einführung automatisierter Verfahren, die besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweisen, handelt. Die Integration einer Whistleblower-Plattform stellt ein derartiges Verfahren dar und bedarf einer Vorabkontrolle. Leider wird dies in der Praxis meist übersehen, obwohl die Einbindung des Datenschutzbeauftragten in den Prozess der Gefahr entgegenwirkt, gegen datenschutzrechtliche Vorschriften zu verstoßen und ein damit einhergehendes Bußgeld sowie einen Imageverlust zu erleiden.

Der Datenschutzbeauftragte kann dabei schon bei der Entwicklung des Verfahrens eingebunden werden, womit ein System entstehen kann, welches eine ausreichende Rechtsicherheit besitzt. Die spätere Einbindung des Datenschutzbeauftragten ist möglich, jedoch nicht ratsam, da die Möglichkeit besteht, dass erhebliche Anpassungen am System vorgenommen werden müssen und somit ein möglicher Zeit- und Geldaufwand entstehen kann. Weiterhin kann es nützlich sein, zusätzliche Sachverständige bei der Integration eines solchen Verfahrens einzubinden, z.B. einen Datenschutzberater, um den internen Datenschutzbeauftragten zu unterstützen.

Wann wäre eine Vorabkontrolle unter anderem notwendig:

  • Vor Inbetriebnahme von Videoüberwachungsanlagen
  • Einsatz eines Zeiterfassungssystems
  • Einführung eines GPS-Systems
  • Verwendung von Beförderungsranglisten
  • Erstellung von Kundenprofilen/Verbraucherprofilen
  • Einsatz von Chipkarten/Transpondern
  • Assessmentverfahren zur Personalauswahl

Mehr Informationen über die Vorabkontrolle können Sie in unseren Beiträgen über die „Vorabkontrolle – Wann und Wie diese zu erfolgen hat“  sowie „Prüfung der Zweckbindung einer Vorabkontrolle“ erhalten.

Fazit

Die Einführung eines Whistleblowing- Systems bietet einen gewissen Schutz und könnte ein geeignetes Mittel für Unternehmen sein, um gegen Korruption, Datenmissbrauch oder Insidergeschäfte vorzugehen. Dies bietet nicht nur eine gewisse Handhabe gegen rechtswidrige Handlungen, sondern kann sich ebenso positiv auf das Image des Unternehmens auswirken. Bei der Integration eines Whistleblowing-Systems sollte jedoch besonders auf den Datenschutz geachtet werden. Aufgrund der komplexen und eng auszulegenden Datenschutzrechtslage sollte, um möglichen datenschutzrechtlichen Verstößen entgegenzuwirken, auf Datenschutzsachverständige zurückgegriffen werden.

Haben Sie weitere Fragen zu  Whistleblowing und Datenschutz oder benötigen Sie kompetente datenschutzrechtliche Unterstützung?

Brand Consulting steht Ihnen in datenschutzrechtlichen Belangen gerne zur Seite und bietet Ihnen eine vollumfängliche Unterstützung in Sachen Datenschutz. Nehmen Sie gerne Kontakt zu uns auf oder holen Sie sich ein unverbindliches Datenschutz-Angebot ein

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

Datenschutz im Gesundheitswesen – Wieso ein externer Datenschutzbeauftragter bitter nötig ist

Datenschutz im GesundheitswesenHaben Sie sich auch schon mal die Frage gestellt, ob Datenschutz im Gesundheitswesen berücksichtigt wird. Eine Situation, die zu mindestens daran zweifeln lässt, dürfte uns allen bekannt vorkommen. Wer kennt es nicht? Sie betreten eine überfüllte Arztpraxis. Hinter Ihnen hat sich bereits eine lange Schlange gebildet. Zusätzlich befinden sich zahlreiche weitere Patienten im Empfangsbereich und die Arzthelferin bzw. der Arzthelfer fragt Sie ganz unbekümmert: „Was haben Sie denn?“.

„Wird sich an den Datenschutz im Gesundheitswesen gehalten?“ dürfte eine der Fragen sein, die Ihnen als Patient mit nur wenig Berührungspunkten zum Datenschutz, aber auch als Datenschutzbeauftragter daraufhin durch den Kopf schwirren könnte, allerdings fallen nicht nur Arztpraxen unter das Gesundheitswesen. Neben Arztpraxen zählen unter anderem Apotheken, Krankenhäuser, Pflegeeinrichtungen, Zahnärzte sowie Krankenversicherungen zum Gesundheitswesen.

Ihr Datenschutzbeauftragter informiert zum Thema „Datenschutz im Gesundheitswesen“ und erklärt, wieso insbesondere diese Bereiche einen externen Datenschutzbeauftragten bestellen sollten.

Datenschutz im Gesundheitswesen – Der Grund für die hohe Bedeutung

personenbezogene-datenDie hohe Bedeutung für den Datenschutz im Gesundheitswesen liegt an der Vielzahl personenbezogener Daten und der besonderen Angaben personenbezogener Daten, die in diesen Bereichen erhoben, verarbeitet und genutzt werden. Im Gesundheitswesen werden neben zahlreichen personenbezogenen Daten (orange Sprechblasen), wie dem Namen oder der Adresse einer Person, viele besondere Arten personenbezogener Daten (rote Sprechblasen) erhoben, verarbeitet und genutzt. Bei besonderen Arten personenbezogener Daten handelt es sich ebenfalls um personenbezogene Daten für die der Gesetzgeber allerdings einen besonderen Schutz vorsieht. Unter besondere Arten personenbezogener Daten fallen, gemäß § 3 Abs. 9 Bundesdatenschutzgesetz (BDSG), unter anderen Angaben zur rassischen Herkunft, religiösen Überzeugung, politischen Meinung und zur Gesundheit. Letztere werden regelmäßig im Gesundheitswesen erhoben, verarbeitet und genutzt.

Rechtliche Grundlagen im Gesundheitswesen

verschwiegenheitspflicht-datenschutzIm Gesundheitswesen ist zum einen die Verschwiegenheitspflicht zu beachten. Gemäß § 203 Strafgesetzbuch (StGB) sind unter anderem Ärzte, Apotheker und Berufspsychologen zur Verschwiegenheit verpflichtet, wobei eine Verletzung zur einer Freiheitsstrafe von bis zu einem Jahr oder zu Geldstrafen führen kann. Die Verschwiegenheitspflicht schützt Patienten davor, dass zum Beispiel Ärzte ihre persönlichen Daten nicht weitergeben, allerdings werden personenbezogene Gesundheitsdaten zunehmend elektronisch erfasst, was wiederrum „neue“ Risiken birgt und die Bedeutung für den Datenschutz im Gesundheitswesen erhöht.

Werden personenbezogene Daten oder besondere Angaben personenbezogener Daten, die – wie bereits erwähnt- natürlich auch personenbezogene Daten sind, mit oder ohne Datenverarbeitungsanlagen ( PCs, Tablets oder Smartphones) erhoben, verarbeitet oder genutzt, so greift üblicherweise das Datenschutzrecht. Gerade die Nutzung mobiler Endgeräte, insbesondere Smartphones und Tabletts, hält immer weiter Einzug in das Gesundheitswesen. Erfolgten vor 2-3 Jahren die Dokumentation noch überwiegend auf Papier, wird nun immer mehr Technik eingesetzt. Der Datenschutz im Gesundheitswesen gewinnt daher ebenfalls rapide an Bedeutung!

Datenschutz im Gesundheitswesen – Verbot mit Erlaubnisvorbehalt

Zunächst sollte beachtet werden, dass im Datenschutz das Verbot mit Erlaubnisvorbehalt gilt, wodurch jegliche Erhebung, Verarbeitung oder Nutzung personenbezogener Daten sowie besonderer Arten personenbezogener Daten verboten ist, außer es liegen eine gesetzliche Grundlage oder informierte Einwilligungen der Betroffenen vor, die dies erlauben.

Die Erhebung besonderer Angaben personenbezogener Daten im Gesundheitswesen ist in § 28 Abs. 7 BDSG geregelt. Gemäß § 28 Abs. 7 BDSG dürfen besondere Arten personenbezogener Daten zum Zweck

  • der Gesundheitsvorsorge,
  • der medizinischen Diagnostik,
  • der Gesundheitsversorgung oder
  • der Verwaltung von Gesundheitsdiensten

erhoben werden und wenn die Verarbeitung durch

  • ärztliches Personal oder
  • sonstiger Personen, die der Geheimhaltungspflicht unterliegen, erfolgt.

Zu den oben benannten Zwecken dürfen besondere Arten personenbezogener Daten auch durch andere als in § 203 Abs. 1 und 3 StGB benannten Personen erhoben, verarbeitet und genutzt werden, allerdings ist dies, gemäß § 28 Abs. 7 Satz 3 BDSG, „[…]unter den Voraussetzungen zulässig, unter denen ein Arzt selbst hierzu befugt wäre.“ Verwaltungsmitarbeiter, die nicht der Schweigepflicht unterliegen, sollten aus diesem Grund eine Verschwiegenheitserklärung unterzeichnen, bevor sie diese Daten verarbeiten dürfen.

Eine Übermittlung besonderer Angaben personenbezogener Daten, die beim Datenschutz im Gesundheitswesen unter die Verarbeitung fällt, ist nur unter strengen Voraussetzungen möglich. Sollen personenbezogene Daten übermittelt werden, wie zum Beispiel an eine externe Abrechnungsstelle, so müssen regelmäßig neben informierten Einwilligungen auch Schweigepflichtentbindungen eingeholt werden. „Verantwortliche Stellen“, wie Arztpraxen, sollten allerdings beachten, dass das Verweigern der Behandlung, wenn der Patient zur Übermittlung nicht einwilligen möchte, in den meisten Fällen nicht erlaubt ist (Kopplungsverbot).  Eine gesetzeskonforme Lösung ist beim Datenschutz im Gesundheitswesen daher umso wichtiger.

Datenschutz im Gesundheitswesen – Technische und organisatorische Maßnahmen

Bei dem Thema „Datenschutz im Gesundheitswesen“ spielen neben der Frage, wann ist eine Datenerhebung, -verarbeitung und –nutzung erlaubt, die technischen und organisatorischen Maßnahmen (TOM) eine immer größere Rolle. Gemäß § 9 BDSG in Verbindung mit der Anlage zu § 9 Satz 1 BDSG sind alle „verantwortlichen Stellen“, die personenbezogene Daten sowie besondere Arten personenbezogener Daten erheben, verarbeiten oder nutzen zur Einhaltung der technischen und organisatorischen Maßnahmen verpflichtet, um die Anforderungen des BDSG zu erfüllen. Die TOMs, zu denen unter anderem die Zugangskontrolle und Zugriffskontrolle gehören, sollen Informationen vor dem Zugriff durch Unbefugte schützen.

Mögliche Maßnahmen wären, um zu dem Beispiel in der Einleitung zu kommen, ein Formular an den Patienten auszugeben. Dieser könnte mit der Maßnahme seine gesundheitlichen Probleme – ohne, dass es Unbefugte (andere Patienten) erfahren – schildern. Eine weitere erforderliche Maßnahme, die sie hieraus ergeben würde, wäre das ordnungsgemäße Entsorgen bzw. Vernichten der Formulare.

Neben den benannten Schritten sind, um die Anforderungen des Bundesdatenschutzgesetzes, weiterer relevanter Gesetze und perspektivisch  auch der EU-Datenschutz-Grundverordnung (EU-DSGVO) zu erfüllen, weitere Maßnahmen erforderlich. Mit diesen Maßnahmen soll, wie bereits erläutert, verhindert werden, dass Unbefugte auf sensible Daten, wie personenbezogene Daten, zugreifen können. Der Zugriff durch Unbefugte kann für „verantwortliche Stellen“ zu hohen Bußgeldern und einem erheblichen Imageverlust führen. Aus diesem Grund sollte keinesfalls an fachkundiger Unterstützung durch einen Datenschutzbeauftragten gespart werden.  Durch die Vielzahl an Unternehmen, die ein externer Datenschutzbeauftragter berät, bringt in der Regel nur dieser die erforderliche Perspektive für den Support rund um den Datenschutz im Gesundheitswesen mit.

Möchten Sie mehr zu dem Thema „Datenschutz im Gesundheitswesen“ erfahren oder möchten Sie sich grundsätzlich im Datenschutz besser positionieren? Dann holen Sie sich ein unverbindliches Angebot zum Datenschutz ein oder nehmen Sie direkt Kontakt mit uns auf.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

Datenschutz bei Kundenbindungssystemen – Welche personenbezogenen Daten Kundenkarten- oder Rabattkarten-Anbieter wirklich benötigen und welche sie tatsächlich erheben

Kundenbindungssysteme Datenschutz„Kundenbindungssysteme Datenschutz“ sind zwei Begriffe, die insbesondere Datenschutzbeauftragte und Datenschützer selten in einem Satz verwenden würden, außer sie wollen vor neuen Systemen warnen oder die „Alten“ kritisieren. Diese Kundenbindungssysteme haben allerdings nicht nur bei Datenschutzbeauftragten und der Verbraucherzentrale einen schlechten Ruf, sondern auch bei Verbrauchern selbst. Der Grund für das schlechte Ansehen ist u. a. der Verdacht, dass die  Anbieter von Kundenbindungssystemen in Deutschland oder im europäischen bzw. internationalen Ausland:

  • persönliche Kundendaten an Dritte weitergeben könnten,
  • die gesammelten Daten für Marketingforschungszwecke verwenden und
  • die Kunden personenbezogen durch die Auswertung ihrer Daten analysieren.

Trotz der Skepsis, auch auf Seite der Verbraucher, ist die Verlockung, ein „gratis“ Messer-Set oder eine Armbanduhr für 25000 Punkte und einer Zuzahlung von 19,99 € zu erhalten, zumeist größer, weshalb Kundenkarten in zahlreichen Haushalten täglich verwendet werden.

Die Frage, ob wirklich mehr personenbezogene Daten erhoben werden als tatsächlich notwendig und ob die Erhebung und Verwendung datenschutzkonform ist, kommt allerdings regelmäßig hoch. Aus diesem Grund erklärt Ihr externer Datenschutzbeauftragter im Folgenden, die Bedeutung hinter der Begriffskombination „Kundenbindungsysteme Datenschutz“ und welche Gefahren hinter Kundenbindungssystemen lauern.

Wie funktionieren Kundenkarten?

Insbesondere im Einzelhandel sind Kundenbindungssysteme, wie Kundenkarten/Rabattkarten, ein beliebtes Werkzeug, um Verbraucher längerfristig an sich zu binden. Bekannte Anbieter sind u. a. Payback oder DeutschlandCard. Diese Kundenkarten ermöglichen es dem Kunden nicht nur beim Einkaufen von Lebensmitteln oder Kleidung Punkte zu sammeln, sondern auch beim Tanken, beim Buchen von Reisen oder beim Kauf von Medikamenten.

Kundenkarten DatenschutzVielfach zeigt sich, dass durch die vermeintliche „Punkte-Sammel-Wut“ nicht mehr den eigenen wirtschaftlichen Interessen gefolgt wird und nicht die günstigste Tankstelle, sei es vom Preis oder von der Entfernung, sondern z. B. eine Aral-Tankstelle angefahren wird. Hier können die beliebten Payback-Punkte gesammelt werden.

Neben dem Einzelhandel haben weitere Bereiche / Stellen, wie Kinos, die deutsche Bahn, oder verschiedene Fluggesellschaften eine Verwendung für Rabattkarten gefunden und setzen diese im Rahmen ihrer Bonusprogramme ein. Können die meisten Kundenkarten nur bei dem Anbieter der Karte (z. B. IKEA FAMILY), verwendet werden, so ermöglichen Payback oder die DeutschlandCard das Sammeln von Punkten bei einer Vielzahl an Partnern. Ein Datenaustausch bzw. eine gemeinsame Datensammlung liegt daher nahe, wodurch diese Kundenbindungssysteme Datenschutz-Gefahren um ein Vielfaches erhöhen.

Neben Punkten und zahlreichen Rabattaktionen erfreuen sich die Nutzer von Kundenkarten (z. B. Douglas Card) regelmäßig an der vereinfachten Bezahlung der Ware mittels dieser Kundenkarte.

Um von den Kundenkarten Gebrauch zu machen, muss der Besitzer in dem meisten Fällen ein Formular ausfüllen. Neben den Listendaten (z. B. Namen, Adresse) werden regelmäßig weitere Informationen, wie Interessen, der ausgeübte Beruf oder Angaben über die Kleider- bzw. Schuhgröße erfragt. Hat man das Formular ausgefüllt und an den Anbieter versendet bzw. dem Anbieter übergeben, so erhält der Kunde die Karte zum Teil direkt oder bereits nach wenigen Tagen / Wochen auf dem Postweg.  Mit Erhalt der Rabattkarte kann das „große“ Sammeln von Punkten und das Erwerben von vermeintlichen Schnäppchen beginnen.

„Kundenbindungssysteme Datenschutz“ – die Bedeutung hinter der Begriffskombination

Grundsätzlich gilt im Datenschutz das Verbot mit Erlaubnisvorbehalt, wodurch zunächst jegliche Erhebung, Verarbeitung und Nutzung personenbezogener Daten verboten ist, außer sie basiert auf einer Rechtsgrundlage oder einer informierten Einwilligung der Betroffenen.

Auf Basis von § 28 Bundesdatenschutzgesetz (BDSG) dürften personenbezogene Daten erhoben, verarbeitet und genutzt werden, die zu Erfüllung der (eigenen) Geschäftszwecke erforderlich sind. Die Notwendigkeit zur Identifizierung des Verbrauchers würde beispielsweise erlauben, dass der Name und die Adresse verwendet werden. Zudem könnte das Geburtsjahr, wenn die Kundenkarte, ab einem gewissen Alter genutzt werden darf, oder eine Kontaktinformation, wie die Telefonnummer oder E-Mail-Adresse, erforderlich sein. Bei den Vorüberlegungen sollte geprüft werden, ob die Information über eine Person tatsächlich benötigt wird oder ob diese nur „gesammelt“ wird, um diese vielleicht irgendwann mal zu verwenden (Stichwörter „Datensammelwut“ oder „Vorratsdatenspeicherung“).

Die Kontaktdaten sollten allerdings nur zur Erfüllung des definierten Zwecks, zum Beispiel bei Rückfragen zu der Kundenkarte, genutzt werden. Weitere Daten, die auf Basis von § 28 BDSG erhoben werden dürfen, hängen von den einzelnen Systemen ab, allerdings könnten u. a. die Preise der Artikel für die Erfüllung des Geschäftszwecks wichtig sein. Bereits bei der Implementierung der Prozesse sollte der bestellte Datenschutzbeauftragte unbedingt eingebunden werden.

Die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten, die nicht zur Erfüllung des Zwecks erforderlich sind und Daten, die zum Zweck der Werbung oder Meinungsforschung erhoben werden sollen, setzen die informierte Einwilligung der Betroffenen voraus.

Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) erstellte ein Gutachten über Kundenbindungssysteme und kritisierte u. a.,  dass

  • die meisten Kundenbindungssysteme mehr Daten über den Kunden erheben, als für die Durchführung des Bonusprogramms erforderlich sind,
  • bei zahlreichen Bonusprogrammen anfallende Daten zu Zwecken der Werbung und Marktforschung genutzt werden,
  • beim Einsatz der Kundenkarte in den Partnerunternehmen ebenfalls mehr Daten erhoben werden, als erforderlich sind,
  • der Einwilligungserklärung in vielen Fällen eine genaue Beschreibung der zu verarbeitenden Kundendaten fehlt,
  • nicht festgestellt werden kann, ob und welche Kundendaten Partnerunternehmen speichern und weiterverarbeiten.

Wie können sich Verbraucher schützen?

Gläserner MenschVerbraucher, die sich schützen möchte, ist anzuraten, dass sie gewissenhafter mit Kundenkarten / Rabattkarten umgehen und sich nicht von den zumeist sehr geringen Rabatten blenden lassen. Schließlich sollte sich der Kunde darüber bewusst sein, dass er für die Rabatte oder Prämien regelmäßig einen wesentlich höheren Preis, durch starke Einblicke in seine Privatsphäre, bezahlt.

Je häufiger der Verbraucher seine Kundenkarte nutzt, desto dichter werden die Informationen über ihn, bis der Anbieter ein ganzes Benutzerprofil erhält und genau weiß, wann und wo sich der Verbraucher aufgehalten hat und welche Vorlieben, Interessen und Gewohnheiten dieser besitzt. Dies gilt insbesondere für Kundenkarten, die bei zahlreichen Partnern verwendet werden können. Mit Hilfe dieser Rabattkarten könnte der Anbieter – bei regelmäßiger Nutzung – nicht nur erfahren wo und was der Kunde gerne einkauft, sondern auch wo der Kunde im Urlaub war und welche Krankheiten er hat. Die Gefahr ist daher nicht gerade gering, dass Kundenkarten-Nutzer – im Sinne des Datenschutzes – zu „gläsernen Menschen“ werden.

Nichtsdestotrotz sollten Kundenbindungssysteme nicht pauschal verteufelt werden, da Nutzer selbst entscheiden können, welche Informationen die Anbieter der Kundenkarten erhalten dürfen und welche man als Kunde lieber für sich behält.

Was sollten Anbieter von Kundenkarten beachten?

Anbietern von Kundenkarten ist dringendst anzuraten, dass sie für personenbezogene Daten, die für den eigentlichen Zweck nicht erforderlich sind und für die Übermittlung an Dritte erhoben werden, informierte Einwilligungen der Betroffenen einholen.

Anbieter sollten den Verbraucher ausreichend darüber informieren, welche Daten, für welchen Zweck erhoben werden. Über eine Übermittlung an Dritte, über das Widerspruchsrecht und über die Freiwilligkeit der Einwilligung sollten Kunden ebenfalls klare Informationen erhalten. Die verantwortliche Stelle ist des Weiteren eindeutig zu benennen.

Die besonderen Rechte, wie das Recht auf Auskunft, gemäß § 34 BDSG, sollten verantwortliche Stelle ebenfalls nicht außer Acht lassen und ggf. den Rat eines Datenschutzbeauftragten einholen.

Sie haben eine Frage hierzu? Sprechen Sie doch mit Ihrem (betrieblichen) Datenschutzbeauftragten. Sie haben noch keinen? Dann holen Sie sich ein unverbindliches Angebot zum Datenschutz ein oder nehmen Sie direkt Kontakt mit uns auf.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

„Chef-Trojaner“ – wenn der Arbeitgeber die Grenzen des Arbeitnehmerdatenschutzes (Beschäftigtendatenschutzes) überschreitet

ArbeitnehmerdatenschutzDie zunehmende Digitalisierung kann nicht nur den Arbeitsalltag im Büro erleichtern, sondern viele Risiken im Arbeitnehmerdatenschutz respektive Beschäftigtendatenschutz hervorrufen. Der Grund ist, dass sich für Vorgesetze immer mehr Möglichkeiten zur Verhaltens- und Leistungskontrolle sowie zur Überwachung der Mitarbeiter, mittels technisch gestützter IT-Systeme,  bieten. Es ist hierbei zunächst nebensächlich in welcher sogenannten „Verantwortlichen Stelle“ (z. B. Unternehmen, Behörde , Verein oder Verband) das Problem auftritt.

Das private Surfen deutscher Arbeitnehmer soll, so zumindest die Ansicht zahlreicher Arbeitgeber, verstärkt kontrolliert werden. Der Vorgesetzte könnte sich -dank digitaler Datenströme- jederzeit ein exaktes Bild über die Aktivitäten der Mitarbeiter verschaffen, dabei spielt vielfach keine Rolle, ob der Arbeitnehmer nun im Büro, im Homeoffice oder von unterwegs per Smartphone und Tablet arbeitet.

Gründe für die ansteigende Leistungs- und Verhaltenskontrolle sind zum einen der hohe finanzielle Schaden, der dem Arbeitgeber durch das private Surfen entsteht und andererseits auch Überlegungen im Hinblick auf die sogenannte Störerhaftung, die allerdings abgeschafft werden soll. Ein wesentlich höheres Risiko, das dem Arbeitgeber durch die Privatnutzung droht, ist allerdings der Verlust von sensiblen Daten, wie zum Beispiel von Firmengeheimnissen und personenbezogenen Daten, durch bewusstes oder unbewusstes Fehlverhalten der Mitarbeiter. Zum einen steigt die Gefahr vor Viren, Trojanern und anderen Schadprogrammen zum anderen ist das Risiko höher, dass Mitarbeiter sensible Daten an Unbefugte transferieren könnten. Die technische Entwicklung ist, wie bereits erläutert, ein weiterer Faktor, der die Verhaltens- und Leistungskontrolle verstärkt und den Arbeitnehmerdatenschutz / Angestelltendatenschutz gefährdet.

Doch wie viel Kontrolle ist erlaubt? Wo sind Grenzen im Arbeitnehmerdatenschutz / Beschäftigtendatenschutz?

Wie kann überwacht werden?

Zahlreiche Überwachungsprogramme existieren bereits seit Jahren. Jedoch wurden die Produkte ursprünglich, wie bei der Remote-Desktop-Software, für andere Zwecke entwickelt. Zweck der Remote-Desktop-Software war logischerweise der Einsatz zu Wartungsarbeiten und später, nach der Weiterentwicklung, erst  als „Spion-Software“.

Daneben existieren natürlich zahlreiche weitere Programme, die eine Kontrolle des Arbeitnehmers ermöglichen könnten und damit den Arbeitnehmerdatenschutz gefährden würden. Viele Hersteller werben mit sogenannter Monitoring-Software, die nicht nur Bildschirmaufnahmen ermöglicht, sondern regelmäßig Auswertungen an den Arbeitgeber übersendet. Des Weiteren ist eine Kontrolle mittels Filter-Programmen möglich. Je nach Einstellung könnten hier sogar Screenshots vom Bildschirm des Arbeitnehmers erstellt und an den Vorgesetzen verschickt werden. Kommunikationsdienste, wie zum Beispiel Skype for Business, können ebenfalls – wenn auch nur in einem sehr geringen Umfang – zur Kontrolle und Überwachung beitragen, weil der Vorgesetzte einsehen kann, wer verfügbar ist bzw. wer nicht verfügbar ist. Darüber hinaus tragen viele Mitarbeiter selbst zur erhöhten Kontrolle bei, indem sie verstärkt soziale Medien, wie Facebook, einsetzen. Doch selbst bei der typischen Ausübung ihrer Tätigkeit im Unternehmen hinterlassen die Mitarbeiter digitale Spuren, so können viele Unternehmen mittels GPS-Ortung der Firmen-Fahrzeuge den Aufenthaltsort oder Fahr- und Standzeiten ihrer Mitarbeiter ermitteln.

Für die Installation der Überwachungsprogramme auf dem Computer des Mitarbeiters gibt es mehrere Möglichkeiten. Der Systemadministrator kann die Software zum Beispiel unbemerkt installieren oder der Vorgesetzte sendet eine .EXE-Datei an alle Mitarbeiter, die nur noch ausgeführt werden muss. Durch die Versendung einer Anwendungssoftware und der unbemerkten / ungewollten Installation durch Mitarbeiter würde der Vorgesetze die gleichen Wege nutzen, wie die Versender von sonstiger Schadsoftware. Wer durch geeignete Datenschutzschulungen sensibilisiert ist, der dürfte auf eine solche „Masche“ natürlich nicht reinfallen.

Das der Arbeitnehmer nichts von der Installation und Ausführung merkt, ist sogar eine Eigenschaft, die von vielen Herstellern explizit beworben wird.

Was sagt der Arbeitnehmerdatenschutz?

In Hinblick auf den Beschäftigtendatenschutz greift § 32 BDSG für Beschäftigtendaten bzw. Arbeitnehmerdaten. Der richtige Umgang mit den betrieblichen Computern, den Handys und des WLANs bedarf allerdings klar definierter innerbetrieblicher Vorgaben. Diese Vorgaben können sich z. B. aus Arbeitsanweisungen, Betriebsvereinbarungen, Richtlinien oder sonstigen – bestenfalls schriftlichen –  Unterlagen ergeben. Derartige Maßnahmen sind anzuraten, da zu all diesen Themen für die Beschäftigten klare und verständliche rechtliche Regelungen weitestgehend fehlen. Viele Arbeitgeber versuchen den Umgang mit personenbezogenen Daten der Mitarbeiter im Zusammenhang mit der Internetnutzung durch klare und zur Transparenz beitragende Betriebsvereinbarungen zu regeln. In Unternehmen ohne Betriebsrat herrscht hingegen regelmäßig Chaos und Unstimmigkeit. Bei dem Betriebsrat handelt es sich um eine Kontrollinstanz, die auch auf die Einhaltung des Beschäftigtendatenschutzes hinwirkt. Gemäß § 87 Abs. 1 Nr. 6 BetrVG hat der Betriebsrat bei einer technischen Einrichtung, die eine Verhaltens- und Leistungskontrolle der Mitarbeiter ermöglicht, ein Mitbestimmungsrecht. Binden Sie als Firma daher frühzeitig Ihren Betriebsrat, als Behörde Ihren Personalrat und in sozialen Einrichtungen Ihre Mitarbeitervertretung (MAV) ein und schaffen Sie verständliche Vorgaben. Eine gute Zusammenarbeit mit Ihrem Datenschutzbeauftragten ist dabei absolut empfehlenswert.

Darf der Chef zusehen?

Um diese Frage zu beantworten, muss geprüft werden, welche Art der Internetnutzung vorliegt. Grundsätzlich sind drei Arten der Internetnutzung zu differenzieren:

  1. Betriebliche Nutzung

Um diese Art der Nutzung handelt es sich, wenn ein spezifischer Bezug zu den Arbeitsaufgaben des Arbeitnehmers besteht. Der Arbeitnehmer schreibt zum Beispiel E-Mails, um mit Kunden geschäftliche Angelegenheiten zu erörtern.

  1. Dienstlich veranlasste Nutzung

Diese könnte vorliegen, wenn ein Arbeitnehmer seinen Ehepartner kontaktiert, um ihm mitzuteilen, dass er sich aufgrund seiner Arbeit verspäten wird.

  1. Private Nutzung

Eine private Nutzung liegt vor, wenn kein spezifischer Bezug zu den Arbeitsaufgaben des Arbeitnehmers besteht.

Um die private Internetnutzung im Unternehmen zu regeln, bestehen für den Arbeitgeber verschiedene Formen von Nutzungsregelungen:

  1. Verbot

Wurde durch den Arbeitnehmer ein Verbot der privaten Internetnutzung am Arbeitsplatz ausgesprochen, unterliegt der Arbeitgeber auch nicht dem Fernmeldegeheimnis des § 88 Telekommunikationsgesetzes (TKG). Der Arbeitgeber darf in diesem Fall stichprobenartig prüfen, ob das Surfen der Arbeitnehmer dienstlicher Natur ist, wobei eine vollständige Verhaltens- und Leistungskontrolle des Arbeitsnehmers auch bei einem Verbot untersagt ist. Heißt: bestmöglich nur Kontrollen in der Kombination Vertreter des Unternehmens + Vertreter Betriebsrat + externer Datenschutzbeauftragter bzw. interner Datenschutzbeauftragter.

  1. Ausdrückliche Erlaubnis

Bei einer erlaubten Privatnutzung tritt der Arbeitergeber als Telekommunikationsanbieter auf und muss sich an Telekommunikationsgesetz, folglich an das Fernmeldegeheimnis, gemäß § 88 TKG, halten. In diesem Fall sollte der Arbeitgeber weder Verbindungsdaten noch den E-Mail-Verkehr einsehen. Dies gilt sogar, wenn der Mitarbeiter (ungeplant) für einige Wochen/Monate ausfällt oder das Beschäftigungsverhältnis beendet wird. Zudem darf der Arbeitgeber nicht auf die E-Mail-Postfächer und die Verbindungsdaten zugreifen, sogar bei Einwilligung des Arbeitnehmers. Der Grund ist, dass das Fernmeldegeheimnis nicht nur den Arbeitnehmer schützen soll, sondern auch die Kommunikationspartner.  Heißt: Vor sämtlichen Maßnahmen unbedingt  eine Abstimmung zwischen Vertreter des Unternehmens + Vertreter Betriebsrat + externer Datenschutzbeauftragter bzw. interner Datenschutzbeauftragter durchführen.

  1. Duldung

Eine sehr kritische Konstellation stellt die Duldung der privaten Internetnutzung durch den Arbeitgeber dar. Sollte die private Nutzung für den Arbeitgeber erkennbar sein und offensichtlich geduldet werden, entsteht nach einer Zeit von ca. 6-12 Monaten regelmäßig eine sogenannte betriebliche Übung. Diese kann zur Folge haben, dass der Arbeitnehmer auch in Zukunft das Internet zu privaten Zwecken nutzen darf. Das Beenden einer betrieblichen Übung, wenn es zu einer Verschlechterung für den Arbeitnehmer führt, ist in der Praxis gar nicht so einfach. Das Bundesarbeitsgericht (BAG) entschied, dass eine betriebliche Übung nicht mittels gegenläufiger betrieblicher Übung (BAG, Urteil vom 18.03.2009, Az.: 10 AZR 281/08) beseitigt werden kann. Zudem entschied das BAG im Urteil vom 05.08.2009, dass eine Betriebsvereinbarung, in der nicht klar formuliert ist, dass die betriebliche Übung mit der Vereinbarung beendet werden soll, zu keiner Beseitigung führt (Az.: 10 AZR 483/08).

Bei einer Duldung der privaten Nutzung muss sich der Arbeitgeber ebenfalls an das Fernmeldegeheimnis, gemäß § 88 TKG, halten und darf weder die Verbindungsdaten noch den E-Mail-Verkehr einsehen.

Soweit der Arbeitgeber die private Nutzung des Internets am Arbeitsplatz gestattet hat, darf er diese nicht kontrollieren. Das Überwachen des E-Mail-Verkehrs, der Browserverlaufs oder anderer Verbindungsdaten ist bei erlaubter oder geduldeter Privatnutzung untersagt, sonst würde er die Privatsphäre seiner Mitarbeiter verletzen. Insbesondere die informationelle Selbstbestimmung der Mitarbeiter (Arbeitnehmerdatenschutz) sollte gewahrt werden, denn jeder Mensch soll selbst darüber entscheiden, welche personenbezogenen Daten er preisgeben möchte. Bei der Kontrolle der privaten Internetnutzung könnte der Arbeitgeber, ohne Einwilligung des Mitarbeiters und ohne gesetzlicher Grundlage, eine Vielzahl an persönlichen Daten erheben und verarbeiten. Das Fernmeldegeheimnis soll die freie Persönlichkeitsentfaltung gewährleisten. Hierdurch sind sowohl der Inhalt, die näheren Umstände und die beteiligten Personen des Kontakts erfasst, § 88 Abs. 1 S. 1 TKG.

Ist die private Internet-Nutzung durch den Arbeitgeber nicht gestattet, ist es ihm unter bestimmten Voraussetzungen erlaubt Mitarbeiter zu überwachen. Dies wird damit begründet, dass eine unerlaubte private Internet-Nutzung letztlich einen Missbrauch der Arbeitszeit bedeutet. Um dem entgegenzuwirken, ist eine stichprobenartige Überprüfung durch den Arbeitgeber zulässig. Eine permanente Überwachung als eine Art elektronische Verhaltens- und Leistungskontrolle ist aber unter keinen Umständen erlaubt. Sind Prozesse geplant, die eine Leistungs- und Verhaltenskontrolle ermöglichen, so hat der Betriebsrat, gemäß § 87 Abs. 1 Nr. 6 BetrVG, ein Mitbestimmungsrecht und der Datenschutzbeauftragte sollte ebenfalls einbezogen werden. Laut § 4d Abs. 5 BDSG sollten Verfahren, die eine Verhaltens- und Leistungskontrolle ermöglichen durch den Datenschutzbeauftragten vorab kontrolliert werden (sogenannte Vorabkontrolle).

Eine stichprobenartige Kontrolle bei untersagter Internetnutzung sollte, wie bereits erwähnt, ebenfalls nur unter Anwesenheit eines Betriebsratsmitglieds und des Datenschutzbeauftragten erfolgen. Klare Prozesse, die Abstimmungen und gute Zusammenarbeit fordern, sind gefragt.

Strafbarkeit bei Fehlverhalten?

Der Arbeitgeber kann – wie bereits erläutert – durch die ausdrückliche Erlaubnis zur privaten Internetnutzung, rechtlich gesehen zum Anbieter von Telekommunikationsdienstleistungen werden. In diesem Fall unterliegt der Arbeitgeber dem Fernmeldegeheimnis, § 88 TKG. Dies kann erhebliche Konsequenzen mit sich bringen. Der Zugriff auf Inhalte privater E-Mails könnte ggf. zum einen als Ausspähen von Daten nach § 202 a Strafgesetzbuch (StGB) gewertet werden und damit zu einer Geldstrafe oder sogar einer Freiheitsstrafe von bis zu drei Jahren führen. Werden zudem Inhalte blockiert, wie zum Beispiel private E-Mails mittels Spam-Filter, oder teilt der Arbeitgeber die gewonnenen Informationen mit weiteren Personen, greift § 206 StGB. Eine Verletzung des Fernmeldegeheimnisses kann, laut § 206 StGB, zu einer Geldstrafe oder zu einer Freiheitsstrafe von bis zu fünf Jahren führen. Folge ist, dass der Arbeitgeber die näheren Umstände von Seitenaufrufen seitens seiner Arbeitnehmer in der Regel nicht mehr protokollieren und E-Mails nicht einsehen, filtern oder archivieren dürfte.

Der Arbeitgeber darf als Kommunikationsanbieter, gemäß § 100 Abs. 1 TKG, bei Störungen oder Fehlern auf Verkehrsdaten zurückgreifen. Der Zugriff auf die Daten sollte allerdings ausschließlich zum Erkennen und Beseitigen der Fehler erfolgen. Eine unzulässige Verwendung kann, gemäß § 149 Abs. 1 Nr. 16 und Abs. 2 Nr. 2 TKG, zu einem Bußgeld von bis zu 300.000 Euro führen.

Sind Sie innerhalb Ihres Unternehmens auf eine derartige Situation gestoßen und wissen Sie nicht, wie Sie verhalten sollen? Als erster Ansprechpartner sollte Ihr Datenschutzbeauftragter dienen. Falls Sie diese Funktion noch nicht besetzt haben, fordern Sie doch gleich ein unverbindliches Angebot an oder nehmen Sie direkt Kontakt zu uns auf.

Als externer Datenschutzberater oder externer Datenschutzbeauftragter unterstützen wir Sie natürlich sofort in allen Fragen rund um das Thema des Angestelltendatenschutzes / Beschäftigtendatenschutzes /Arbeitnehmerdatenschutz.

 

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

Datenschutz bei Verstorbenen – Hört der Datenschutz NACH dem Tod auf?

Datenschutz bei VerstorbenenHaben Sie sich beim Blick in die Zeitung, insbesondere im Zusammenhang von Todesanzeigen, schon mal gefragt, ob die genannten Menschen überhaupt erwähnt werden dürfen oder ob kein Datenschutz bei Verstorbenen greift? Wer bereits eine Datenschutzschulung erhielt, der weiß, dass wenn Daten einer Person zuzuordnen sind (z. B. die Kontonummer bzw. IBAN) oder die Person dahinter sofort erkennbar ist, dann handelt es sich um die personenbezogenen Daten eines Betroffenen. Müssten daher nicht auch die in einer Traueranzeige genannten Daten dem Datenschutz unterliegen oder hört der Datenschutz nach dem Tod  plötzlich auf?

Wen schützt das Datenschutzrecht?

Das Datenschutzrecht schützt zunächst alle natürlichen Personen, wobei im Datenschutz nicht der Inhalt der Daten, sondern die informationelle Selbstbestimmung im Vordergrund steht. Unter informationeller Selbstbestimmung versteht man allerdings, dass jede natürliche Person selbst darüber entscheiden soll, welche ihrer (eigenen) Daten und von wem diese Daten erhoben, verarbeitet und genutzt werden dürfen.

Das Ziel der informationellen Selbstbestimmung ist, dass die freie Persönlichkeitsentfaltung nicht eingeschränkt wird. Zwar gibt es für Verstorbene keine klaren Regelungen im Bundesdatenschutzgesetz, allerdings kann der Tote weder selbst bestimmen, welche personenbezogenen Daten erhoben, verarbeitet und genutzt werden noch ist die Persönlichkeitsentfaltung durch die Verwendung eingeschränkt. Aus diesem Grund greift das Datenschutzrecht nicht bei Verstorben, allerdings existieren Ausnahmen, die eine Erhebung und Verwendung der Daten einer Person verbieten.

Datenschutz bei Verstorbenen

Werden personenbezogene Daten eines Verstorben erhoben, verarbeitet oder genutzt, so sollte darauf geachtet werden, dass die Verwendung das informationelle Selbstbestimmungsrecht von Lebenden nicht verletzt. Die Angabe, dass der Verstorbene an AIDS erkrankt war, dürfte eine Information sein, die das Selbstbestimmungsrecht naher Angehöriger, insbesondere der oder des Partners (z. B. Witwe / Witwer) einschränkt.

Zudem sollte darauf geachtet werden, dass das Bundesdatenschutzgesetz bei personenbezogenen Daten von Verstorbenen nicht greift, allerdings andere rechtliche Vorschriften existieren, die einen Schutz des verstorbenen Menschen vorsehen können. Hier sind insbesondere Berufsgeheimnisse zu nennen, die im Zweifel einer gesonderten Prüfung unterzogen werden sollten, z. B. die Schweigepflicht von Ärzten,  Rechtsanwälten und Apothekern.

Neben der Schweigepflicht einzelner Berufsgruppen, die in § 203 Strafgesetzbuch (StGB) festgehalten werden, existiert auch eine weitere Ausnahme im Gesetz zum Schutz personenbezogener Daten in der Berliner Verwaltung (Berliner Datenschutzgesetz – BlnDSG). Im Berliner Datenschutzgesetz regelt der § 4 Abs. 1 BlnDSG, den Schutz von Verstorbenen, wenn schutzwürdige Belange des Betroffenen beeinträchtigt werden.

Gesetzesauszug des BlnDSG: „Im Sinne dieses Gesetzes sind personenbezogene Daten Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener). Entsprechendes gilt für Daten über Verstorbene, es sei denn, dass schutzwürdige Belange des Betroffenen nicht mehr beeinträchtigt werden können.

Weitere rechtliche Grundlagen, die die Verwendung personenbezogener Daten der Verstorbenen regeln, könnten sich beispielsweise aus dem Kunsturhebergesetz (KunstUrhG) oder den Sozialgesetzbüchern ergeben.

Wofür werden Daten von Verstorbenen verwendet?

Die Frage, wer Interesse an der Verwendung von Verstorbenen-Daten hat, ist durchaus berechtigt, allerdings erscheint es als sehr praktisch, wenn man mögliche Gründe kennt.

Insbesondere (Groß)städte nutzten, dass bei Verstorbenen i. d. R. kein Datenschutzrecht greift, denn so können sie deutlich leichter z. B. mittels Zeitungen nach Hinterbliebenen suchen. Wieso die Suche? Der Grund ist erscheint einfach, gibt es keine Angehörigen, so übernimmt das Ordnungsamt die Kosten. Lässt sich ein Angehöriger finden, so muss er den ausgelegten Betrag zurückzahlen. Es wurde bewusst auf einen Exkurs ins Erbrecht verzichtet, um den Sachverhalt möglichst einfach darstellen zu können.

Greift das Datenschutzrecht nicht, dürfen Daten von Verstorben übermittelt werden, was Bestattungsunternehmen häufig ausnutzen. Bestatter geben – gegen ein kleines Entgelt –  Informationen über Verstorbene an Adresshändler weiter. Der Grund liegt darin, dass Adresshändler durch die Löschung der Daten der Verstorbenen verhindern möchten, dass postalische Werbung an Verstorbene verschickt wird und Werbefirmen sich ggf. mit Schadensersatzforderungen auseinandersetzen müssen oder Werbende zumindest viel Ärger mit diesen haben werden.

Was „verantwortliche Stellen“ beachten müssen?

Bekannterweise gehören zu den sogenannten Verantwortlichen Stellen: Unternehmen (Einzelunternehmen, Firmen aber auch Konzerne), behördliche Einrichtungen und Körperschaften, Stiftungen und Vereine sowie die Kirchen.

Auch diese verantwortlichen Stellen werden regelmäßig mit „Datenschutz bei Verstorbenen“ konfrontiert, was in der Praxis der Datenschutzbeauftragen zu vielen Fragen führt.

  • „Darf auf E-Mails von verstorbenen Mitarbeitern zugegriffen werden?“

Grundsätzlich gilt, wie bereits erläutert, dass bei Verstorbenen kein Datenschutzrecht greift, allerdings das Recht auf informationelle Selbstbestimmung der Lebenden. Durfte der Mitarbeiter das E-Mail-Postfach auch zu privaten Zwecken nutzen, so sollte unbedingt der Datenschutzbeauftragte einbezogen werden.

  • „Haben Angehörige von Verstorbenen ein Auskunftsrecht, gemäß § 34 BDSG?“

Von dem Auskunftsrecht können Angehörige für einen Verstorben grundsätzlich nicht Gebrauch machen. Ausnahmen können sich ergeben, wenn die Informationen zur Geltendmachung weiterer Ansprüche zwingend erforderlich sind.

Eine weitere Unklarheit, die sich in diesem Zusammenhang ergeben könnte, ist die Frage, was mit personenbezogenen Daten in sozialen Medien nach dem Tod geschieht. Aus aktueller Sicht herrscht hier Uneinigkeit. Es existieren keine klaren Vorschriften, daher empfiehlt es sich auch hier im Zweifel beim Datenschutzbeauftragten „anzuklopfen“ und gemeinsam eine Lösung zu erarbeiten sowie bestenfalls zu dokumentieren.

Haben Sie weitere Fragen zu diesem Thema, dann Sie nehmen Sie direkt Kontakt mit uns auf oder holen Sie sich ein unverbindliches Angebot zum Datenschutz , z. B. zur Dienstleistung „externer Datenschutzbeauftragter“, ein.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

Datenschutz soll kein Hindernis sein – Wie Pflegedienste Datenschutz als Deckmantel verwenden

Pflegedienste DatenschutzEin Datenschutzbeauftragter extern oder intern aber auch Datenschützer würden zustimmen, wenn es darum geht, dass für Pflegedienste Datenschutz eine große Rolle spielen sollte. Der Grund für die große Bedeutung ist die Vielzahl personenbezogener Daten und die besonderen Arten personenbezogener Daten, die Pflegekräfte erheben, verarbeiteten und nutzen.

Nichtsdestotrotz zeigen sich in der Praxis immer wieder Datenschutz-Verletzungen und hohe Datenschutz-Risiken in dieser Branche, unter anderem durch die Nutzung von WhatsApp. Eine neue „Masche“ der Pflegedienste sorgt allerdings ebenfalls für Aufsehen. Hinter dem „Deckmantel Datenschutz“ versuchen sich Pflegedienste vor Qualitätskontrollen durch die Medizinischen Dienste der Krankversicherung (MDK) zu schützen.

Wieso Datenschutz kein Hindernis darstellen sollte und was hinter der neuen „Masche“ steckt, erklärt Ihr externer Datenschutzbeauftragter.

„Pflegedienste Datenschutz“ die hohe Bedeutung hinter der Begriffskombination

Jede Stelle, die personenbezogene Daten erhebt, verarbeitet oder nutzt, sollte sich an das Datenschutzrecht halten, wodurch jegliche Erhebung, Verarbeitung und Nutzung personenbezogener Daten auf einer Rechtgrundlage oder einer informierten Einwilligung des Betroffenen basieren sollte. Zudem sieht das Datenschutzrecht einen besonderen Schutz für sogenannte besondere Arten personenbezogener Daten (hier insbesonere Gesundheitsdaten) vor. Der besondere Schutz spiegelt sich unter anderem in den Anforderungen an informierte Einwilligungen sowie in umfassenderen Prüfungen durch den Datenschutzbeauftragten (sogenannte Vorabkontrolle) wieder.

Die Übermittlung personenbezogener Daten fällt unter die Verarbeitung, wodurch diese ebenfalls vom Datenschutzrecht erfasst wird. Folglich darf eine Datenübermittlung ebenfalls ausschließlich auf Basis einer Rechtsgrundlage oder einer informierten Einwilligung erfolgen.

Im Datenschutzrecht gibt es allerdings eine Ausnahme. Werden personenbezogene Daten an einen Dienstleister übermittelt, der diese Daten ausschließlich nach Weisung der „verantwortlichen Stelle“ verarbeitet, so spricht man von einer Auftragsdatenverarbeitung (§ 11 Bundesdatenschutzgesetz). Die Auftragsdatenverarbeitung, kurz ADV, wird als „Nicht-Übermittlung“ eingestuft, wodurch das Einholen von informierten Einwilligungen nicht notwendig ist. Klassische ADV-Dienstleister der Pflegedienste (gleich ob ambulant, teil- oder stationär) sind z. B. IT-Dienstleister. Das Gegenstück zur Auftragsdatenverarbeitung ist die Funktionsübertragung, wobei die Unterscheidung in der Praxis häufig zu Problemen führt.

Unter einer Funktionsübertragung versteht man das Auslagern ganzer Funktionen an einen Dienstleister, der die Aufgaben weisungsfrei erfüllt. Der Auftragsnehmer trifft bei der Durchführung des Auftrags eigenverantwortlich Entscheidungen, wodurch er mehr als nur Hilfstätigkeiten ausführen kann. Klassische Beispiele sind Steuerberater bei der Steuerberatung oder Rechtsanwälte bei der rechtlichen Vertretung, wobei auch der MDK unter die Funktionsübertragung fällt. Das Bundesdatenschutz (BDSG) sieht für Funktionsübertragungen allerdings keine Ausnahmeregelungen vor, wodurch die Datenübermittlung tatsächlich auch als solche eingestuft wird. Eine Übermittlung an einen Medizinischen Dienst der Krankenversicherung darf also nur erfolgen, wenn eine Rechtsgrundlage oder eine informierte Einwilligung dies erlauben.

Wie Pflegedienste Datenschutz – Vorschriften ausnutzen?

„Hiermit widerspreche ich der Weitergabe meiner personenbezogenen Daten an den Medizinischen Dienst der Krankenversicherung zur Verwendung bei ihrer Qualitätsprüfung.“ Mit diesem oder vergleichbaren kurzen Sätzen fängt die „Masche“ der Pflegedienste an, was die Patienten oder die Bevollmächtigten bei der Unterzeichnung allerdings nicht wissen, dass Pflegedienste Datenschutzvorschriften ausnutzen, um sich selbst zu schützen und möglicherweise ihre mangelnde Qualität den Kontrollen durch den MDK zu entziehen.

Grundsätzlich soll der MDK, gemäß § 114 des Sozialgesetzbuches elftes Buch (SGB XI), Prüfungen durchführen, zu denen der MDK das Einverständnis der Patienten bzw. der Bevollmächtigten benötigt, wenn diese betroffen sind. Widersprechen die Patienten bzw. der Bevollmächtigte der Kontrolle oder ggf. sogar der Kontaktaufnahme, so darf der MDK, basierend auf dem Grundrecht der Unversehrtheit der Wohnung sowie auf Basis von Persönlichkeits- und Datenschutzrechten, keinen Kontakt zu den Betroffenen aufnehmen und folglich keine Kontrollen bei den Patienten durchführen.

Bei einem Widerspruch könnten sich Patienten allerdings selbst schaden. Der Grund ist, dass der MDK nicht nur die Pflegebedürftigkeit der Patienten und die Qualität der Pflege kontrolliert, sondern eine Art Instanz, neben den Aufsichtsbehörden und dem Datenschutzbeauftragten, für den Datenschutz darstellt.

Die große Bedeutung der Kontrollen und die Empörung über die „Masche“ der Pflegedienste hat auch die Bundesregierung hellhörig gemacht, da insbesondere Pflegebedürftige die Leidtragenden sind. Aus diesem Grund wird derzeit eine Gesetzesänderung geprüft.

Exkurs: Datenschutz sollte kein Hindernis sein

Datenschutz HindernisAls neuer externer Datenschutzbeauftragter stellt man häufig fest, dass Datenschutz bei „verantwortlichen Stellen“ zunächst als eine Last, Mehraufwand oder eben als Hindernis angesehen wird. Diese Auffassung ist allerdings falsch, denn die Anforderungen aus dem Bundesdatenschutzgesetz und die damit verbundenen Maßnahmen, unterstützen „verantwortliche Stellen“ beim gewollten Schutz von sensiblen Informationen, wobei nicht nur personenbezogene Daten geschützt werden, sondern auch Betriebsgeheimnisse. Nach einer gewissen Zeit der Zusammenarbeit zwischen Verantwortlicher Stelle (Pflegedienst) und Datenschutzbeauftragten wird dieser Mehrwert gewöhnlich erkannt.

Datenschutz verhilft sowohl Geschäftsführern, Mitarbeitern, Patienten (Kunden) und vielen mehr zu mehr Sicherheit und erhöht parallel die Transparenz. Geschäftsführer können ruhiger schlafen, weil sie wissen, dass Mitarbeiter auf das Datengeheimnis gemäß § 5 BDSG verpflichtet wurden und durch diese und weitere Maßnahmen (wie Datenschutzschulungen) bestens darüber informiert sind, dass sie Daten, die sie im Rahmen des Beschäftigungsverhältnisses erhalten, nicht unbefugt weitergeben dürfen. Mitarbeiter des Pflegedienstes lernen hierdurch die klaren Grenzen des Datenschutzes kennen und können sich durch den Ansprechpartner „externer Datenschutzbeauftragter“ auf ihre Kernaufgaben konzerntrieren. Des Weiteren erhöht es das Vertrauen der Kunden (Imagegewinn durch professionellen Datenschutz anstatt Imageverlust durch vorprogrammierte Datenpannen). Dies wirkt sich sicherlich nicht nachteilig auf die „verantwortliche Stelle Pflegedienst“ aus. Der Datenschutz, so auch der § 32 BDSG, schützt die Daten der beschäftigten Mitarbeiter. Rechte für Mitarbeiter lassen sich allerdings nicht nur in § 32 BDSG finden, denn neben vielen Regelungen im BDSG, wie die erforderliche Vorabkontrolle durch den Datenschutzbeauftragten, können auch bereichsspezifische Vorschriften zum Arbeitnehmerdatenschutz beitragen. Kunden, Ansprechpartner und weitere Betroffene profitieren ebenfalls vom Datenschutzrecht und der damit verbundenen Transparenz.

Alles in allem sollte Datenschutz nicht als Hindernis, sondern als „helfende Hand“, die zum Schutz unserer Daten und zur Wahrung unserer Grundrechte dient, angesehen werden.

Haben Sie weitere Fragen zu der Thematik „Pflegedienste Datenschutz“ oder möchten Sie sich im Datenschutz dauerhaft besser positionieren?  Dann holen Sie sich ein unverbindliches Angebot zum Datenschutz ein oder nehmen Sie direkt Kontakt mit uns auf.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

Datenschutz Apps – Trends der Gamescom mal aus Datenschutzsicht

Datenschutz AppsZu den Trends der diesjährigen Gamescom gehört das „Mobile Gaming“, doch die Begriffskombination „Datenschutz Apps“ wird auf der Computer-Messe sicherlich keine für Besucher spürbare Rolle spielen.

Jedes Jahr strömen Hunderttausende nach Köln, um sich die neusten Trends der Computer- und Videospiele-Welt anzuschauen. An diesem Wochenende wird sich alles um Virtual-Reality-Brillen, E-Sport ( zu deutsch „elektronischer Sport“) und um Mobility Gaming, insbesondere Pokémon-Go, drehen. Letzteres beschäftigt uns bereits seit Wochen und zeigt, welchen Einfluss und welche Bedeutung Applikation (kurz Apps) auf bzw. inzwischen für uns haben.

Jeder, der ein Smartphone besitzt, verwendet eine Vielzahl an Apps, dabei sind die Einsatzmöglichkeiten völlig unterschiedlich. Applikation werden unter anderem verwendet, um Nachrichten zu versenden, das Wetter zu erfragen, Spiele zu spielen, „lustige“ Fotos zu erstellen und zu versenden, Leute kennenzulernen, Musik zu hören, die gelaufenen Schritte zu zählen sowie die dadurch verbrannten Kalorien zu errechnen. Eine Frage, die sich allerdings kaum ein Nutzer stellt ist: „Was geschieht mit meinen Daten?“ Worauf hat die App Zugriff und wer erfährt möglicherweise, dass ich heute nur 5000 anstatt meiner gewohnten 15000 Schritte geschafft habe? Was machen die App-Anbieter mit meinen Daten? Alles in allem, spielt Datenschutz bei Apps überhaupt eine Rolle?

Ihr externer Datenschutzbeauftragter berät, welche Datenschutz-Gefahren und -Risiken Apps hervorrufen und welche Rolle „Datenschutz Apps“ dabei spielt. Zudem erfahren Sie mit welchen einfachen Maßnahmen Privatpersonen sowie „verantwortliche Stellen“, wie Unternehmen / Behörden und Vereine, ihre eigenen Daten und die Daten von anderen Personen schützen können.

Zugriffe der Apps auf Daten der Smartphones

Bildschirmfoto 2016-08-18 um 11.48.56

Die Gefahren für den Datenschutz beginnen zumeist bereits bei der Installation. Möchte man eine App installieren, erhält man – je nach Gerätetyp – vor oder nach der Installation den Hinweis, dass die App auf Kontakte, auf die Kamera, auf die gespeicherten Fotos oder ähnliches zugreifen möchte. Haben Sie sich auch schon gefragt, wieso eine App, die Ihnen lediglich das Wetter für die nächsten Tage anzeigen soll, auf Ihre Kontakte oder auf Ihre Medien zugreifen möchte? Man könnte dieses Vorgehen schon fast in die Schublade „unternehmerische Vorratsdatenspeicherung“ stecken!

Bildschirmfoto 2016-08-18 um 12.13.13Diese Zugriffsrechte lassen sich allerdings ganz einfach einschränken. Abhängig vom Gerätetyp kann unter den Einstellungen -> Datenschutz der Zugriff auf die Funktionen / Informationen wie: Kamera, Kalender, Kontakte, Mikrofon, Standort, … eingeschränkt werden. Zu beachten ist allerdings, dass die Benutzerfreundlichkeit und der Komfort für den Nutzer dadurch abnehmen könnten.

Unsichere Apps

Neben den Zugriffsrechten sollte bereits vor der Installation geprüft werden, ob es sich um eine „sichere App“ handelt, wobei vor allem Apps mit unbekannter Herkunft eine große Gefahr darstellen. Nicht selten handelt es sich bei diesen Apps um sogenannte Trojaner-Apps. Für den Nutzer als vermeintliches Spiel oder irgendeine andere „total geniale“ Anwendung getarnt, kann die App nach der Installation eine Vielzahl an Informationen ausspähen. Sie kann nicht nur die Kamera oder das Mikrofon anzapfen, sondern Eingaben mitschneiden, wodurch das Ausspähen von sensiblen Daten, wie Passwörtern oder Kreditkarteninformationen, zum Klacks wird.

pokemon-1574647_640Um sich gegen „gefährliche Apps“ zu schützen empfiehlt es sich ein Anti-Viren-Programm auf dem Smartphones zu installieren. Vernünftige Anti-Viren-Programme sind aus heutiger Sicht selbst für Apple-Produkte durchaus empfehlenswert. Zudem sollten lediglich Apps aus offiziellen App-Stores installiert werden, da diese vorher auf ihre Sicherheit überprüft werden. Hierdurch lässt sich zwar kein hundertprozentiger Schutz erzielen, aber dafür werden die Datenschutz-Risiken zumindest minimiert. Das Lesen von Rezessionen ist sicherlich ebenfalls nicht nachteilig. Des Weiteren sollte darauf geachtet werden, dass die originale Version eine App installiert wird, da Kriminelle immer wieder den Hype um eine App ausnutzen und eigene, oftmals mit einem Trojaner infizierte Apps, anbieten, wie zuletzt bei der App „Pokémon Go“.

Apps als „Datenkraken“

App-Nutzer sollten darauf achten, dass sie nicht nur die Zugriffsrechte begrenzen, sondern Apps nicht dauerhaft mit Informationen füttern.

boot-1015415_640

Das beste Beispiel hierfür sind Fitness-Uhren oder auch Gesundheits-Uhren genannt. Diese Fitness-Uhren können unter anderem die Herzfrequenz, körperliche Betätigungen, Schlaf- und Ruhezeiten aufnehmen, wobei sich die Uhren automatisch mit der dazugehörigen App verbinden. Nutzer dieser Uhren können auf ihrem Smartphone sehen, wie viele Schritte sie an einem Tag gelaufen sind, wie viele Kalorien sie verbrannt haben oder wie viele Stunden sie unruhig geschlafen haben.  Man sollte sich allerdings die Frage stellen, wer diese Informationen noch sehen kann? Wem werden ggf. Rechte an den „eigenen Daten“ respektive personenbezogenen Daten eingeräumt und möchte man dies als Nutzer? Welche Folgen kann das haben?

Ein weiteres Risiko sind Apps, insbesondere Spiele, bei denen man sich mit anderen Nutzerkonten, wie seinem Facebook-Account, anmelden kann, da dadurch eine Vielzahl an Daten mit dem Nutzerprofil verknüpft werden kann. Zudem haben Hacker ein einfaches Spiel, da sie sich über die App auch Zugriff auf das Profil und in der Kette damit ggf. auch auf weitere Apps verschaffen können. Daraus folgt: Nutzen Sie unbedingt sichere und unterschiedliche Passwörter für unterschiedliche Programme, Apps, Anwendungen, Webseiten und sonstige Dienste. Im Hause Ihres Arbeitgebers kann Sie z. B. Ihre IT-Abteilung oder Ihr externer Datenschutzbeauftragter bei einer sinnvollen Passwortzusammensetzung unterstützen.

Besondere Gefahren für „verantwortliche Stellen“ bei „Datenschutz Apps“

Uneingeschränkte Zugriffe und unsichere Applikationen können für „verantwortliche Stellen“ zu viel höheren Risiken und Gefahren führen als bei Privatpersonen, da sie gewöhnlich über mehr sensible Daten, wie Betriebsgeheimnisse und personenbezogene Daten von Kunden, Mitarbeitern und sonstigen Betroffenen verfügen. Es handelt sich daher um einen evtl. geringeren Umfang, dafür aber um tausende, hunderttausende oder gar einige Millionen an betroffenen Personen und Informationen.

Sind auf dem dienstlichen Smartphone Apps installiert, die auf Kontakte zugreifen können, so führt es bereits zu ersten Schwierigkeiten, da es sich schnell um eine Datenübermittlung handelt. Als „verantwortliche Stelle“ sollte mit Hilfe des Datenschutzbeauftragten geprüft werden, wo der Sitz des (potenziellen) Anbieters ist.

Hat der Anbieter seinen Sitz innerhalb der EU/EWR, so können in dem meisten Fällen – nach einer Prüfung durch den Datenschutzbeauftragten (extern / intern) – Verträge zur Auftragsdatenverarbeitung abgeschlossen werden. Bei einer Übermittlung personenbezogener Daten an einen Anbieter außerhalb der EU- / EWR-Staaten ist die Vorgehensweise schwieriger sowie mit mehr Aufwand und mit vielen Risiken verbunden.

Neben den Gefahren durch uneingeschränkte App-Zugriffe stellen Viren, Trojaner und andere Schadprogramme eine große Gefahr für „verantwortliche Stellen“ dar. Stellt man einen derartigen Angriff fest, sollte der Datenschutzbeauftragte umgehend eingeschaltet werden, da geprüft werden muss, welche Daten verloren gegangen sind. Datenpannen, die personenbezogene Kreditkartendaten oder besondere Angaben personenbezogener Daten betreffen, müssen Betroffenen und der Aufsichtsbehörde von der „verantwortliche Stellen“, gemäß § 42 a Bundesdatenschutzgesetz, gemeldet werden. Dies führt neben hohen Bußgeldern zu einem erheblichen Imageverlust.

Um solche Risiken und Gefahren zu minimieren, sollten „verantwortliche Stellen“ Maßnahmen ergreifen und klare Regelungen treffen. Die „sicherste“ Maßnahme wäre die Privatnutzung von dienstlichen Endgeräten zu verbieten. Möchte oder kann eine „verantwortliche Stelle“ die Privatnutzung nicht verbieten, so ist der Einsatz eines Mobile-Device-Management-Systems (MDM) ausdrücklich anzuraten, da die Risiken durch geeignete Maßnahmen, bei denen Sie Ihr Datenschutzbeauftragter fachkundig unterstützt, wie Container-Lösungen oder die Verwendung von White- und Blacklists zumindest reduziert werden können.

Das Thema Datenschutz sollte allerdings nicht nur bei „verantwortlichen Stellen“, die durch die Nutzung von Apps betroffen sind, sondern auch bei App-Entwicklern ganz oben auf der Agenda stehen. Geeignete Datenschutz-Nutzungsbedingungen und definierte Zugriffsberechtigungen, die auf die entwickelte App angepasst sind, wären sowohl aus datenschutzrechtlichen Aspekten als auch aus Imagegründen anzuraten und ein guter erster Ansatz. An fachkundige Unterstützung, in der Form der Datenschutzberatung oder durch einen versierten Datenschutzbeauftragten, sollte keinesfalls gespart werden. In Abhängigkeit zur Art der App und der Daten könnte dies schlimme finanzielle Folgen nach sich ziehen.

Haben Sie weitere Fragen zu „Datenschutz Apps“ bzw. zu konkreten Apps oder benötigen Sie Hilfe bei der Umsetzung von klaren Richtlinien / Betriebsvereinbarungen? Möchten Sie sich im Datenschutz dauerhaft besser positionieren?  Dann holen Sie sich ein unverbindliches Angebot zum Datenschutz ein oder nehmen Sie direkt Kontakt mit uns auf.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

Beschäftigtendatenschutz und Briefgeheimnis in Unternehmen – Wann darf die Post geöffnet werden?

Briefgeheimnis in UnternehmenKaum werden Mitarbeiter beschäftigt kommt die Frage über das Briefgeheimnis in Unternehmen auf. Es ist hierbei absolut nebensächlich, ob es sich um Unternehmen (von der kleinen Firma bis zum großen Konzern), Behörden, Vereine oder sonstige sogenannte Verantwortliche Stellen handelt. Eingehende Briefe werden regelmäßig von einem Mitarbeiter bzw. der Poststelle geöffnet und an die Kollegen ausgegeben bzw. weitergeleitet. Die geöffnete Post durchläuft hierbei schnell eine Vielzahl an Stationen im Hause des Arbeitgebers bis sie dann schließlich irgendwann im Postfach oder auf dem Schreibtisch des Empfängers landet.  Der Zugriff bzw. die Einsicht in die Post durch die Mitarbeiter oder die Geschäftsführung und das Aufbewahren der Post in offenen Postfächern führen oftmals zu Konflikten, da Unbefugten bzw. Nicht-Berechtigten der Zugriff auf personenbezogene Daten, vertrauliche Daten sowie Betriebsgeheimnisse viel zu leicht ermöglicht wird.

Wissen Sie, welchen Weg die Post in Ihrem Hause durchläuft?

Der Grund für entstehenden Streitigkeiten kann z. B. das Briefgeheimnis sein. Gemäß Artikel 10 des Grundgesetzes (GG) ist das Briefgeheimnis unverletzlich, wobei das unbefugte Öffnen und die unbefugte Kenntnisnahme eines Briefes oder eines anderen Schriftstücks, laut § 202 Strafgesetzbuch (StGB),  zu einer Geld- oder Freiheitsstrafe von einem Jahr führen können. Um gegen § 202 StGB zu verstoßen, reicht das bloße Öffnen des Briefes oder eines anderen Schriftstücks. Aus diesem Grund ist die Wahrung des Briefgeheimnisses, Unternehmen, Vereinen, Behörden sowie anderen verantwortlichen Stellen sowie ihren Beschäftigten dringendst anzuraten. In der Praxis sind sich Arbeitgeber und Arbeitsnehmer allerdings oft uneinig, wann das Öffnen erlaubt bzw. rechtswidrig ist.

Die Adressierung der Post ist entscheidend!

Bei der Entscheidung, ob ein Brief oder ein anderes Schriftstück geöffnet werden darf, spielt zunächst die Adressierung des Briefes eine große Rolle.

Unsere Berater greifen auf das „Ampelsystem“ nicht nur für die Tätigkeitsberichte des externen Datenschutzbeauftragten, sondern auch für Berichte eines Datenschutzaudits zurück.  Einen Auszug der Ampel „rot“ – „Finger weg“ und grün – „alles im grünen Bereich“ haben wir für die nachfolgenden Handlungsempfehlungen für Sie verwendet.

Bildschirmfoto 2016-08-15 um 12.28.12Richtet sich die Post an das Unternehmen, wie in dem aufgeführten Beispiel, so können die Briefe bzw. Schriftstücke ohne Bedenken von dem zuständigen Mitarbeiter bzw. der Posteingangsstelle geöffnet werden.

Bildschirmfoto 2016-08-15 um 12.28.22Das zweite Beispiel sollte in der Praxis ebenfalls zu keinen bzw. wenigen Konflikten führen, da in diesen Fällen das Öffnen üblich ist und der aufgeführte Name lediglich als Hilfestellung für die interne Verteilung der Briefe bzw. Schriftstücke angesehen wird.

Bildschirmfoto 2016-08-15 um 12.28.32Steht der Empfänger über dem Unternehmen, so wird häufig erwartet, dass die Briefe dem Empfänger ungeöffnet überreicht werden. Aus dem Urteil des Landgerichts Hamm vom 19. Februar 2003 (Az.  14 Sa 1972/02) geht allerdings hervor, dass die Post ohne einen Vertrauensvermerk, wie zum Beispiel „persönlich“, geöffnet werden kann.

Bildschirmfoto 2016-08-15 um 12.28.41Auch der Vermerk „zu Händen“ bzw. „z. Hd.“ schützt nicht vor dem Öffnen. Briefe mit dem Vermerk, der zur Erleichterung der Verteilung dient, dürfen vom zuständigen Mitarbeiter bzw. der Poststelle geöffnet werden. (LG Arnsberg, Urteil vom 27. Oktober 1989 – 1 O 367/89)

Bildschirmfoto 2016-08-15 um 12.28.49Bei der Adressierung mit dem Hinweis „care off“, kurz „c/o“, bzw. „per Adresse“, kurz „p. Adr.“, ist vom Öffnen der Post abzuraten. Der Vermerk lässt sich zwar nicht eindeutig zuordnen, allerdings sollte von einem privaten Vorhaben des Absenders ausgegangen werden.

Bildschirmfoto 2016-08-15 um 12.29.02Briefe und weitere Schriftstücke mit Vertraulichkeitsvermerken, wie „Persönlich“, „Vertraulich“, „Privat“ etc.  sollten ebenfalls ungeöffnet ausgehändigt werden. Beim Öffnen der Briefe liegt in diesem Fall ein klarer Verstoß gegen das Briefgeheimnis vor (LAG Hamm, Urteil vom 19. Februar 2003, Az. 14 Sa 1972/02).

Des Weiteren sollten Briefe bzw. andere Schriftstücke, die zum Beispiel an den Betriebsrat, die Personalabteilung, den Betriebsarzt gerichtet sind, ebenfalls nicht durch andere Mitarbeiter, z. B. in der Poststelle, geöffnet werden, da diese sensible Daten enthalten könnten (Stichwörter: Beschäftigtendatenschutz, Mitarbeiterdatenschutz bzw. Personaldatenschutz). Darüber hinaus sollten auch Mitarbeiter der Poststelle auf das Datengeheimnis, gemäß § 5 Bundesdatenschutzgesetz (BDSG), verpflichtet werden.

Benötigen Sie Unterstützung bei der Verpflichtung auf das Datengeheimnis gemäß § 5 BDSG oder bei einer Verpflichtungserklärung auf das Fernmeldegeheimnis gemäß § 88 Telekommunikationsgesetz (TKG)? Gerne stehen Ihnen unsere Berater als externer Datenschutzbeauftragter oder Datenschutzberater unterstützend und bedarfsgerecht zur Seite. Nehmen Sie Kontakt zu uns auf oder fordern Sie bequem ein unverbindliches Datenschutz-Angebot an.

Nach Öffnen der Post sollte zudem sichergestellt werden, dass die Briefe dem Empfänger, ohne Einsicht durch Dritte (Unbefugte), übergeben werden. Es sind geschlossene Postfächer zu empfehlen, da mit dieser Maßnahme der Zugriff auf sensible Daten/Informationen erschwert und somit Risiken minimiert werden können. Hierdurch ist es nicht nur leichter das Briefgeheimnis zu wahren, sondern generell etwas für mehr Datenschutz zu erreichen.

Schutz der elektronischen Post (E-Mail)

Neben dem Briefgeheimnis sieht der Gesetzgeber einen Schutz für die elektronische Post vor. Erlaubt oder duldet der Arbeitsgeber eine Privatnutzung des dienstlichen E-Mail-Postfachs, so tritt er als Telekommunikationsanbieter auf und muss sich an das Fernmeldegeheimnis, gemäß § 88 TKG halten. Das Fernmeldegeheimnis ist, laut § 10 GG, wie das Post- und Briefgeheimnis unverletzlich. Aus diesem Grund darf der Arbeitgeber bei der erlaubten oder geduldeten Privatnutzung unter anderem nicht auf die E-Mail-Postfächer der Mitarbeiter zugreifen.

Wird bei Ihnen jegliche Post vom Personal der Poststelle geöffnet oder habe Sie Fragen zur Privatnutzung des dienstlichen E-Mail-Postfachs? Dann nehmen Sie Kontakt zu uns auf.

Fordern Sie ein kostenloses Angebot zum Datenschutz an.

Nützliche weitere Dienstleistungen können z. B. sein:

 

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

Arbeitgeber aufgepasst! – „ Datenschutz Bewerbungen “ welche Bedeutung hat diese Begriffskombination?

Datenschutz BewerbungenDie Verbundenheit der Begriffe „ Datenschutz Bewerbungen “ wird von Arbeitgebern – trotz der hohen Bedeutung – häufig  schlichtweg ignoriert, vergessen oder falsch behandelt.

Zum Erschrecken der verantwortlichen Stellen (potenziellen Arbeitgeber) entstehen hierdurch allerdings regelmäßig, insbesondere bei Datenschutz-Verletzungen, Debatten über den richtigen Umgang mit Bewerbungsunterlagen. Bereits mehrfach fanden sich Meldungen in Medien, gleich durch Veröffentlichung in Zeitungen, Zeitschriften oder im Internet.

Am 10.08.2016 titelte beispielsweise die Kölner Express (www.express.de) : „Hallo, Datenschutz? Pulheimer findet Bewerbungsmappen einer Versicherung im Müll.

Ein Einwohner der Stadt Pulheim bei Köln fand klar erkennbare Bewerbungsunterlagen eines Unternehmens im Müll. Folglich wurden die Unterlagen nicht zurückgesendet, zerstört bzw. sicher vernichtet. Ähnliche Meldungen betrafen in der Vergangenheit zahlreiche Bereiche/Branchen, angefangen von Unternehmen und Universitäten bis hin zum Bundestag, da sie alle bereits für derartige Datenpannen verantwortlich waren.

Gelangt eine solche Panne an die Öffentlichkeit, so müssen sich „verantwortliche Stellen“ auf Bußgelder und auf einen erheblichen Imageverlust einstellen. Aus diesem Grund ist es Arbeitgebern anzuraten, neben den zahlreichen Anforderungen, die sie an Bewerber stellen, eine wesentliche Anforderung an sich selbst, den DATENSCHUTZ, nicht außer Acht lassen. Denn immer dann, wenn personenbezogene Daten erhoben, verarbeitet oder genutzt werden, greift das Datenschutzrecht. Ein Bewerber soll darauf vertrauen können, dass seine Bewerbungsdaten zum Zwecke der Bewerbung verwendet werden. Aus diesem Grund versendet er die Bewerbung und hierauf sollte dieser vertrauen können. Gleiches gilt bei einer Einstellung. Der Beschäftigtendatenschutz und Bewerberdatenschutz sollte berücksichtigt werden. Doch was ist darunter zu verstehen?

Wieso Datenschutz Bewerbungen („Beschäftigtendatenschutz“) schützt?

Erhebt, verarbeitet und nutzt ein Unternehmen, eine Behörde etc. personenbezogene Daten, wie sie in einer großen Menge in Bewerbungen zu finden sind, so tragen sie die Verantwortung für die Daten und müssen diese vor dem Zugriff durch Unbefugte schützen. Der Begriff „Unbefugte“ sollte dabei breit gefasst werden, da nicht nur Dritte, Personen außerhalb der „verantwortliche Stelle“, keinen Zugriff auf Bewerbungsunterlagen erhalten sollten, sondern auch interne Mitarbeiter, die diese Daten nicht zur Aufgabenerfüllung benötigen. Grundsätzlich gilt, dass der berechtigte Kreis, der auf die Bewerbungsmappe zu greifen darf, möglichst klein gehalten werden sollte.

Neben dem berechtigten Kreis, der auf die Daten zugreifen darf, sollte eine „verantwortliche Stelle“ die Löschung der Bewerbungsunterlagen im Blick behalten, sofern eine Rücksendung der Bewerbungen ausgeschlossen wurde. Im Wesentlichen spielen zwei Kriterien eine große Rolle:

  • Wann sollen Bewerbungsunterlagen aus Datenschutz-Sicht gelöscht werden?
  • Wie sollen Bewerbungsunterlagen datenschutzkonform gelöscht werden?

WANN sollten die Unterlagen gelöscht werden?

Im Datenschutz gilt, dass personenbezogene Daten nach Zweckentfall unmittelbar gelöscht werden sollen. Der Zweck ist dabei häufig an gesetzliche Aufbewahrungsfristen gebunden. Bei Bewerbungen sollte im Hinblick auf die Aufbewahrungsfrist berücksichtigt werden, wie lange die „verantwortliche Stelle“ benötigt, um sich für oder gegen einen Bewerber zu entscheiden. Wurde der Bewerber abgelehnt, entfällt der Zweck. Möchte sich die „verantwortliche Stelle“ gegen mögliche Klagen der abgelehnten Bewerber schützen, wäre nach Ablehnung des Bewerbers eine angemessene Aufbewahrungsdauer denkbar. Auch bei der E-Mail-Archivierung sollte die kürzere Aufbewahrungsdauer der Bewerbungen berücksichtigt werden. Für Fragen sollten Sie sich unbedingt an Ihren Datenschutzbeauftragten wenden.

WIE sollten Unterlagen gelöscht werden?

shredderBewerbungsunterlagen sind nach Zweckentfall (wenn eine Rücksendung nicht vereinbart bzw. ausgeschlossen wurde) ordnungsgemäß zu vernichten, wobei das Entsorgen der vollständigen Unterlagen im Müll oder Container ohne weitere Maßnahmen zu ergreifen, NATÜRLICH NICHT als ordnungsgemäß gilt.

Handelt es sich um Unterlagen in Papierform, so sollten die personenbezogenen Daten, die sich darauf befinden, unkenntlich gemacht werden, wobei das Zerstören mittels Schredder (mit angemessener Sicherheitsstufe) zu empfehlen ist. Kann oder möchte eine „verantwortliche Stelle“ dies nicht selbst durchführen, so wäre ein sogenannter Entsorgungsdienstleister zu beauftragen. (Achtung: Das Abschließen eines Vertrages zur Auftragsdatenverarbeitung und die Kontrolle des Dienstleisters durch Ihren Datenschutzbeauftragten ist dringendst anzuraten.) Sofern Sie Fragen zur Auswahl eines geeigneten Dienstleister haben, nehmen Sie Kontakt zu uns auf.

Bewerbungsunterlagen, die per E-Mail oder über ein Bewerbungsportal eingereicht wurden, sind ebenfalls zu löschen. Es sollte, wie bereits erläutert, sichergestellt werden, dass Bewerbungen nicht archiviert werden.

Notwendige Maßnahmen zum Schutz der Bewerbungen („Beschäftigtendatenschutz“) im Überblick

  • Keine Entsorgung der Bewerbungsunterlagen im Müll/Container, ohne Mappen zu zerstören
  • Zerstören bzw. vollständige Vernichtung der Unterlagen in Papierform mittels Schredder oder Entsorgungsdienstleister
  • Vor Zugriff durch Dritte schützen (u. a. Büro verschließen, Unterlagen im Schrank verschließen)
  • Zugriff nur für kleinen Kreis im Unternehmen ermöglichen
  • Nach Zweckentfall löschen
  • Nicht archivieren

Sie haben weitere Fragen zur Handhabung mit Bewerbungen oder möchten mehr über Datenpannen, die E-Mail-Archivierung etc. erfahren? Dann holen Sie sich ein unverbindliches Angebot zum Datenschutz ein oder nehmen Sie direkt Kontakt mit uns auf.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

Firewall – eine Schutzmauer für den Datenschutz

Firewall für den DatenschutzJede Verbindung des Rechners (oder sonstiger IT-Geräte) mit dem Internet führt unweigerlich, zumindest zu einer theoretischen, Gefährdung durch die Außenwelt. Die Firewall („Brandschutzmauer“) hat die Aufgabe, unerlaubte Zugriffe auf den eigenen Rechner bzw. das lokale Netzwerk zu verhindern.

Grundsätzlich wird zwischen einer „Personal Firewall“, die auf dem eigenen System installiert ist, und einer externen Firewall unterschieden. Bei den meisten Personal Firewalls, auch bekannt unter Desktop Firewall, entsteht mit der Zeit ein eigenes Regelwerk, sodass sich der Nutzer nicht um Konfigurationen kümmern muss.

Unternehmen greifen allerdings meistens auf externe Firewall-Lösungen zurück, da diese auf separaten Geräten installiert sind und manuell nach eigenen Bedürfnissen konfiguriert werden können.

Wie funktioniert eine Firewall?

Um die Funktionsweise einer Firewall zu beschreiben, nehmen wir als Beispiel ein Bürogebäude mit verschiedenen Eingängen. Zunächst gibt es einen Personaleingang, an dem nur Beschäftigte kontrolliert werden. Angestellte, Reinigungskräfte, Hausmeister, Werkstudenten werden über den Personaleingang durchgelassen. Es muss allerdings auch sichergestellt werden, dass nicht berechtigte Personen keinen Einlass erhalten. Zu diesem Zweck erhält der Pförtner eine Liste mit Regeln, wem er die Schranke öffnen darf. In diesem Zusammenhang erhalten z. B. alle Mitarbeiter automatisch einen Berechtigungsausweis, durch den die Kontrolle erleichtert wird. Dienstleister und externe Personen erhalten hier keinen Zutritt. Daneben existiert der Haupteingang, an dem Besucher empfangen und ebenfalls kontrolliert werden. Eine Anmeldung hat bei der Empfangskraft zu erfolgen, damit diese entscheiden kann, wer ins Bürogebäude darf.

Nach dem gleichen Prinzip funktioniert eine Firewall, die mit Hilfe eines sogenannten Firewall-Regelwerks u. a. die Absender- oder Zieladressen von Datenpaketen kontrolliert und prüft, ob diese durchgelassen oder abgewehrt werden. Feste Regeln, entscheiden darüber, ob ein Datenpaket die Schranke passieren (pass) darf, abgelehnt (deny, reject) oder verworfen (drop) wird. Um sich vor Gefahren von außen zu schützen, sollten diese Regeln regelmäßig geprüft und aktualisiert werden.

Die Firewall kann jedoch mehr als nur Zugriffe von außen regeln. Sie ist des Weiteren in der Lage Zugriffe auf das Internet von innen heraus zu steuern. Verbietet der Arbeitgeber seinen Mitarbeitern über den Firmen-Internetzugang den Zugriff auf Webseiten, wie z. B. auf Facebook, kann er die entsprechenden Internetseiten über die Firewall sperren bzw. ggf. durch Black- und Whitelists steuern. Hierdurch ist es möglich, den Zugriff auf bestimmte Seiten zu beschränken und eine Liste erlaubter Programme zu erstellen.

Funktionen einer Firewall

  • Die Zugangskontrolle auf Netzebene (Verhinderung von Zugriffen aus dem Internet),
  • Zugangskontrolle auf Benutzerebene (Identifizierung und Authentifizierung aller Benutzer),
  • Zugangskontrolle auf Dienste-Ebene (Sperrung und Freigabe von Internet-Diensten, wie beispielsweise http, ftp),
  • Kontrolle auf Anwendungsebene (Für bestimmte Dienste, z. B. ftp, werden nur unkritische Befehlsoptionen zugelassen),
  • Beweissicherung und Protokollauswertung (z. B. Protokollierung aller sicherheitsrelevanter Vorkommnisse). Protokolldaten des Firewall-Systems sollten idealerweise pseudonymisiert gespeichert werden, da es sich aus Sicht des Datenschutzes um Daten mit Personenbezug handeln kann.

Firewall als technische Maßnahmen für den Datenschutz

Jede verantwortliche Stelle, die personenbezogene Daten erhebt, verarbeitet und / oder nutzt, ist verpflichtet, technische und organisatorische Maßnahmen (TOM) zu treffen, um die Anforderungen aus der Anlage zu § 9 des Bundesdatenschutzgesetzes (BDSG) zu erfüllen. Der Einsatz einer Firewall sollte als technische Maßnahme fest integriert sein, da der Einsatz für den Schutz von Daten eine erhebliche Rolle spielen kann.

Eine Firewall ermöglicht, wie bereits erläutert, das Sperren von Webseiten (z. B. Facebook, Dropbox, …) , was einerseits den Arbeitgeber erfreut, da diese Seiten durch die Privatnutzung häufig viel Arbeitszeit kosten, und andererseits auch den Datenschutzbeauftragten erfreuen dürfte. Gründe hierfür liegen z. B. darin, dass der unkontrollierte Transfer von internen (sensiblen) Informationen (Betriebsgeheimnisse, personenbezogene Daten) an nicht berechtigte Dritte eingedämmt wird.

Eine Firewall ermöglicht nicht nur den Schutz sensibler Informationen einer „verantwortlichen Stelle“ durch das Sperren von Internetseiten, sie schottet auch das lokale Netzwerk vor „böswilligen“ Zugriffen aus der Außenwelt ab. Mit dieser Maßnahme kann das Risiko von Datenpannen reduziert werden.

Gelangen personenbezogene Daten an Unbefugte, so ist die „Verantwortliche Stelle“ laut § 42 a BDSG bei einer Datenpanne dazu verpflichtet, Betroffene und die Aufsichtsbehörde zu informieren. Dieser Informationspflicht muss vor allem bei besonderen personenbezogenen Daten (z. B. Beispiel Gesundheitsdaten) sowie bei personenbezogenen Daten zu Bank- und Kreditkonten nachgegangen werden. Neben Bußgeldern ist der Imageverlust eines Unternehmens erheblich.

Aus diesem Grund ist der Einsatz einer Firewall, aber auch weiterer Schutzmaßnahmen anzuraten. Kleinere Unternehmen oder Privathaushalte sollten zumindest zu einer aktuellen Anti-Viren-Software greifen. Bei nicht-öffentliche Stellen der Privatwirtschaft [Unternehmen (Einzelfirmen, Freiberufler wie Ärzte, Rechtsanwälte, Steuerberater), Firmen [Aktiengesellschaften (AG) GmbHs, KGs, OHGs, GbR, UGs, Partnergesellschaften usw.] und Konzerne, aber auch Parteien] und bei öffentlichen Stellen (Behörden, Körperschaften des öffentlichen Rechts, Gemeinden, …) sollten weitere der technischen und organisatorischen Maßnahmen ergriffen werden.

Sie haben eine Frage zu diesem Thema oder möchten mehr über die technischen und organisatorischen Maßnahmen erfahren? Sprechen Sie doch mit Ihrem Datenschutzbeauftragten. Sie haben noch keinen? Dann holen Sie sich ein unverbindliches Angebot zum Datenschutz ein oder nehmen Sie direkt Kontakt mit uns auf.

Nützliche weitere Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

Cookies vs. Datenschutz – Warum Cookies Datenschutzbeauftragten nicht schmecken?

Cookies DatenschutzDer IT-Abteilung, Ihrem Datenschutzbeauftragten und mit Sicherheit auch Ihnen ist der Begriff „Cookies“ nicht nur als Plätzchen bekannt. Doch was haben Cookies (wir meinen keine Plätzchen-Krümel) auf dem Computer zu suchen und wieso ist der Einsatz von Cookies seit Jahren ein häufig diskutiertes und zudem sehr umstrittenes Thema? Ihr externer Datenschutzbeauftragter informiert sie.

Was sind Cookies?

Im technologischen Sinn beschreibt ein Cookie eine kleine Textdatei, die beim Besuch von Internetseiten vom Internet-Browser lokal im temporären Speicher abgelegt werden. Entwickelt wurden Cookies, um den Internetbesuch eines Nutzers komfortabler zu gestalten. Die von der Webseite hinterlegten Textdateien enthalten Informationen zum Webserver und werden bei einem erneuten Aufruf von der betreffenden Seite ausgelesen. Doch bringt dies nicht auch Gefahren mit sich?

Vorteile von Cookies

Hauptanwendungsgebiet von Cookies sind soziale Netzwerke oder E-Mail-Konten, um Anmeldedaten zu speichern. Weiterhin kommen sie beispielsweise bei der Warenkorb-Funktion einiger E-Commerce-Seiten zum Einsatz. Die Internetseite merkt sich den vorherigen Aufruf des Nutzers und macht so bei verschlüsselten Seiten eine erneute Anmeldung entbehrlich. Trotz der zahlreichen Vorteile für Webseitenbetreiber und Seitenbesucher, sorgt die Thematik, insbesondere bei Datenschützern, für Bauchschmerzen.

Nachteile von Cookies

Das Setzen von Cookies ist aus Datenschutzsicht kritisch, insbesondere wenn der Betroffene weder zu der Erhebung, Verarbeitung oder Nutzung der personenbezogenen Daten einwilligt noch über die Datenerhebung bzw. Datenspeicherung informiert wird. Der wohl größte Nachteil von Cookies besteht darin, dass hierdurch Profile über die Surfgewohnheiten von Nutzern erstellt werden können. Diese Nutzerprofile ermöglichen persönlich zugeschnittene Werbung oder Werbe-E-Mails (Newsletter), wobei man Cookies von Drittanbietern, welche ihre Daten auf dem Rechner platzieren, obwohl sie nur als Werbung auf der besuchten Seite auftauchen, äußerst kritisch betrachten sollte. Diese sog. Tracking-Cookies speichern explizit die IP-Adresse, um Profile zu erstellen und für Marketingzwecke gezielt personalisierte Werbung anzubieten.

Was kann ich gegen Cookies machen?

Bei nahezu jedem Browser besteht die Option, die Cookie-Nutzung auszuschalten oder zu begrenzen. Des Weiteren können meistens alle bis dahin gespeicherten Cookies gelöscht werden. Wer allerdings nicht auf den Komfort verzichten möchte, für den bieten manche Browser eine Anwendung, mittels der kontrolliert werden kann, welche Cookies von einer Seite verwendet werden. Gleichzeitig können einzelne Cookies gelöscht oder auf Dauer gesperrt werden.

Rechtslage zu Cookies

Fraglich ist noch immer, ob ein Besucher gleich beim Aufruf der Website in die Verwendung von Cookies einwilligen muss (Opt-in), oder ob es ausreicht, wenn er nachträglich widersprechen kann (Opt-out). Grund ist die, im Jahr 2009, eingeführte EU-Richtlinie, die bis heute in Deutschland nicht ausreichend umgesetzt ist. Unklarheiten bestehen zum einen bei der Informationspflicht über den Einsatz von Cookies und zum anderen bei der Einwilligung der Seitenbesucher. Die EU-Richtlinie (Art. 5 Abs. 3 RL 2002/58/EG) sieht vor, dass der Seitenbesucher bereits bei der Speicherung von Informationen über den Einsatz von Cookies informiert werden muss. Wohingegen laut § 13 Abs. 1 S. 2 des Telemediengesetzes (TMG) eine Informationspflicht erst bei Speicherung personenbezogener Daten bzw. bei Beginn dieses Verfahrens zu erfolgen hat.

Die selbe Problematik existiert in Hinblick auf die Einwilligung des Seitenbesuchers. Die EU-Richtlinie legt fest, dass die Einwilligung bei einer Speicherung von Informationen erforderlich ist, wobei das Telemediengesetz erst bei Speicherung personenbezogener Daten, auf eine Einwilligung verpflichtet.

Sie haben eine Frage hierzu? Sprechen Sie doch mit Ihrem (betrieblichen) Datenschutzbeauftragten. Sie haben noch keinen Datenschutzbeauftragten? Dann holen Sie sich ein unverbindliches Angebot zum Datenschutz ein oder nehmen Sie direkt Kontakt mit uns auf.

Nützliche weitere Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

BYOD, CYOD und COPE – Der Weg über das Mobile-Device-Management zum Datenschutz

Mobile Device Management für den DatenschutzZahlreiche Unternehmen sehen sich heutzutage mit dem Problem der ausufernden Verwendung privater Endgeräte innerhalb des Unternehmens konfrontiert. Es handelt sich dabei allerdings nicht um ein Problem, dem sich ausschließlich große Firmen oder Konzerne stellen müssen. Auch in Behörden und Körperschaften (sogenannte „öffentliche Stellen“) wird immer mehr „externe Technik“ zum Einsatz gebracht. Am ersten Twitter-Posting des Bundesministerium des Inneren (BMI): „Wir sind etwas spät hier. Wir mussten noch unsere Zuständigkeit prüfen“ aus 05/2016 lässt sich erkennen, dass behördliche Organe vielfach „ein wenig mehr Zeit“ benötigen, damit der Fortschritt Einzug erhält. Aber auch diese öffentlichen Stellen sehen sich vor und nach der Entscheidung über Neuerung mit ähnlichen Barrieren konfrontiert, wie die Privatwirtschaft.

Gerade bei Führungskräften oder beim Social Media Marketing (SMM) z. B. mittels:

  • Facebook
  • Flickr
  • Google Plus
  • LinkedIn
  • Pinterest
  • Tumblr
  • Twitter
  • Vimeo
  • YouTube
  • Xing

wird eine ständige Erreichbarkeit immer wichtiger. Dies wird nicht zuletzt durch aufkommende Hassrede über Einzelpersonen, aber auch behördliche Organisationen und Wirtschaftsunternehmen erkennbar. Mit Hashtags wie #NoHateSpeech oder #HateSpeech wird in ganzen Kampagnen zwar gegen die Hassrede gekämpft, dennoch ist auch hier eine schnelle Erreichbarkeit wichtig, um ggf. auftretende Gefahr frühzeitig von den Betroffenen abwenden zu können.

Mitarbeiter möchten meist ungerne mehrere Smartphones mit sich führen. Ein dienstliches Smartphone spart mit einer Alltnet-Flat nicht nur direkt private Kosten des Mitarbeiters, sondern dient regelmäßig auch noch der Mitarbeitermotivation. Denn das „brandneue Teil“ hätten sich viele vielleicht selbst nicht gekauft und lieber ihre „alte Möhre“ weiter genutzt.

Es ist somit mehr als nachvollziehbar Überlegungen anzustellen, wie IT-Geräte gesetzeskonform sowohl für die dienstliche als auch für die private Nutzung ausgegeben und genutzt werden können.

Durch diese zunehmende Verschmelzung der Grenzen zwischen beruflicher und privater IT-Nutzung ist zu klären, welche und ob sich Möglichkeiten bieten, um die Sicherheit für unternehmensinterne Daten (Betriebsgeheimnisse / personenbezogene Daten) zu gewährleisten. Gleichzeitig sollen auch die Interessen der Mitarbeiter gewahrt werden (Stichwörter: Beschäftigtendatenschutz, Mitarbeiterdatenschutz, Personaldatenschutz).

Im Weiteren soll dargestellt werden, was überhaupt hinter Abkürzungen wie BYOD, CYOD und COPE zu verstehen ist.

BYOD – Bring Your Own Device

 

monitor-66618_640Bei dem Konzept Bring Your Own Device, kurz BYOD, erlaubt der Arbeitgeber seinen Mitarbeitern das berufliche Arbeiten mit privaten Endgeräten. Der Einsatz ist, anderes als bei der Schatten-IT, mit der Geschäftsführung oder sonstigen Entscheidungsträgern (z. B. IT-Leitung oder IT-Abteilung) abgesprochen, wodurch die Datenschutz-Risiken im Vergleich zur Schatten-IT geringer sein können. Dennoch lauern bei BYOD Gefahren, die von den „verantwortlichen Stellen“ nicht ignoriert werden sollten.

Dürfen Arbeitnehmer ihre eigenen mobilen Endgeräte verwenden, auch bekannt unter „Consumerization“, zu deutsch „Konsumerisierung“, dann ist eine Trennung zwischen privaten und dienstlichen Daten kaum möglich. Durch die fehlende Unterscheidung haben „verantwortlichen Stellen“ zum einen das Problem, dass sie die technischen und organisatorischen Maßnahmen, gemäß § 9 Satz 1 Bundesdatenschutzgesetz (BDSG), gar nicht bzw. mit einem erheblichen Aufwand erfüllen können. Zudem darf der Arbeitgeber i. d. R. nicht auf die Endgeräte zugreifen, wodurch weder der Umgang mit personenbezogenen Daten noch die Einhaltung anderer rechtlicher oder unternehmensinterner Vorschriften geprüft werden darf.

BYOD kann nicht zu Verletzungen des Datenschutzrechts führen, sondern auch das Risiko vor Urheberrechtsverletzungen erhöhen. Verwendet ein Mitarbeiter eine nicht ordnungsgemäß lizensierte Software zur Erfüllung der dienstlichen bzw. arbeitsvertraglichen Aufgaben und kommt dies dem Unternehmen zu Gute, so könnten Ansprüche gegen das Unternehmen und damit die Geschäftsleitung gemäß § 99 Urhebergesetz bestehen. Diese und weitere Risiken erfordern deshalb klare Regelungen, um BYOD möglichst rechtkonform zu gestalten.

Ein weiteres Problem ist, dass die privaten Endgeräte nicht ausreichend geschützt sein könnten und das Risiko vor Datenpannen, durch Verlust eines unverschlüsselten Gerätes oder eines Hackerangriffs, steigt. Aus diesem Grund ist der Einsatz einer Mobile-Device-Management-Software dringendst anzuraten.

Vorteile Nachteile
  • Flexibles Arbeiten (auch von Zuhause) möglich
  • Höhere Mitarbeiterzufriedenheit
  • Kostenersparnis für den Arbeitgeber
  • Der Arbeitgeber darf nicht auf die Geräte zugreifen
  • Datenschutzrechtliche und andere rechtliche Risiken
  • Höheres Risiko vor Datenverlust
  • Hoher Aufwand und hohe Kosten für Mobile-Device-Management-System (MDM), Richtlinien, Regelungen etc.
  • Viele Geräte von unterschiedlichen Herstellern

CYOD – Choose Your Own Device

selection-443127_640Bei Choose Your Own Device, kurz CYOD, stellt der Arbeitgeber eine Auswahl an Geräten, zwischen denen der Arbeitnehmer wählen darf, zur Verfügung. Anders als bei Bring Your Own Device gehören die Geräte somit dem Arbeitgeber, wodurch dieser, wenn er eine Privatnutzung verbietet, auf die Endgeräte zugreifen darf. Eine dauerhafte Überwachung der mobilen Endgeräte, zum Beispiel mittels Spyware, ist allerdings trotz Verbot untersagt. Eine erlaubte Privatnutzung führt zur Vermischung von privaten und dienstlichen Daten, die einige Risiken, wie bereits im Rahmen von BYOD erläutert, mit sich bringt. Macht eine „verantwortliche Stelle“ von diesem Konzept Gebrauch oder strebt CYOD an, so ist das Aufstellen von klaren Regelungen und das Einführen eines MDM-Systems zu empfehlen.

Vorteile Nachteile
  • Die Geräte gehören der „verantwortlichen Stelle“
  • Flexibles Arbeiten (auch von Zuhause) möglich
  • Mitarbeiter können sich ein Gerät aussuchen
  • Bei erlaubter Privatnutzung darf der Arbeitgeber nicht auf die Geräte zugreifen
  • „Verantwortliche Stelle“ trägt die Kosten für die Anschaffung

COPE – Corporate-Owned, Personally Enabled

questions-1014060_640Bei dem dritten Konzept Corporate-Owned, Personally Enabled, kurz COPE, stellt ebenfalls die „verantwortliche Stelle“ eine Auswahl an Endgeräten zur Verfügung. Eine Privatnutzung der vorkonfigurierten Geräte ist grundsätzlich gestattet, wobei der Mitarbeiter die Einrichtung und die Wartung des Gerätes zum Teil eigenverantwortlich durchführt.

Vorteile Nachteile
  • Die Geräte gehören der „verantwortlichen Stelle“
  • Flexibles Arbeiten (auch von Zuhause) möglich
  • Mitarbeiter können sich ein Gerät aussuchen
  • Höhere Mitarbeiterzufriedenheit, da Privatnutzung erlaubt
  • Kostenersparnis der „verantwortlichen Stelle“ durch eigenverantwortliche Wartung durch den Mitarbeiter
  • Bei erlaubter Privatnutzung darf der Arbeitgeber nicht auf die Geräte zugreifen
  • „Verantwortliche Stelle“ trägt die Kosten für die Anschaffung
  • Erhöhtes Risiko vor Datenverlust bzw. –pannen, da kein Support und keine Wartung durch die IT-Abteilung erfolgt

Fazit

Eine heimliche Nutzung privater Geräte kann erhebliche Sicherheitsrisiken mit sich bringen und die Sicherheit des Unternehmensnetzwerks gefährden. Möchten Sie mehr über die Auswirkungen einer ungeregelten Nutzung privater Endgeräte erfahren, dann lesen Sie doch unseren Beitrag „Schatten-IT – Steht der Datenschutz im Schatten der Fachabteilungen?“.

Ist die Nutzung der Endgeräte gestattet, allerdings nicht ausreichend geregelt, führt dies ebenfalls zu Problemen und Risiken. Der Integrationsaufwand für eine Vielzahl von Gerätetypen, wie bei BYOD üblich, kann schnell unüberschaubar werden – vom laufenden Support und Updates ganz zu schweigen. Hier sind COPE oder auch CYOD im Zweifel die bessere Wahl, da sich von vornherein ein Durcheinander in der Endgeräte- und Betriebssystemlandschaft ausschließen oder zumindest einschränken lässt. Ein Problem, das alle drei Konzepte teilen, ist die zunehmend verschwimmende Grenze zwischen privater und geschäftlicher Verwendung der Endgeräte. Aus diesem Grund sollte das Unternehmen den Umfang der privaten Nutzung vorab genau festlegen, um späteren Problemen aus dem Weg zu gehen.

Bei der Konfiguration der Geräte sollten „verantwortliche Stellen“ die Installation einer MDM-Software in Betracht ziehen. Mit dem MDM-Programm sind zwar zusätzliche Kosten verbunden, allerdings können zahlreiche Risiken, die zu einem späteren Zeitpunkt zu wesentlich höheren Kosten führen können, minimiert werden. Die Software ermöglicht zum Beispiel den Einsatz von White- und Backlists, wodurch die Mitarbeiter keine Software, die verboten ist (Blacklist) oder die nicht explizit erlaubt ist (Whitelist), installieren können, oder die Fernlöschung bei Verlust des Gerätes. Bei einer erlaubten Privatnutzung sollte die IT-Abteilung bei der Konfiguration zudem auf eine Container-Lösung zurückgreifen, damit die Vermischung von privaten und dienstlichen Daten vermieden wird.

Sind auch Sie auf der Suche nach einem neuen Konzept für Ihr Unternehmen, um die Verwendung von mobilen Endgeräten zu verbessern oder möchten Sie sich im Datenschutz dauerhaft besser positionieren? Holen Sie sich Unterstützung durch einen versierten externen Datenschutzbeauftragten. Nehmen Sie bequem Kontakt zu uns auf oder fordern Sie direkt ein kostenloses Angebot zum Datenschutz an.

Nützliche weitere Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

Apples Optimized Storage und der Datenschutz – Einsatz in Behörden, Unternehmen und sonstigen verantwortlichen Stellen

Optimized Storage, zu deutsch optimierte Speicherung, ist eine von Apple in macOS Sierra angekündigte Funktion, die das Löschen und Auslagern von nicht bzw. selten benötigten Daten automatisieren soll. Mit Hilfe von Optimized Storage sollen die Nutzer bei der Organisation des Speicherplatzes auf der Festplatte unterstützt werden. Nicht mehr benötigte Daten sollen automatisiert in den Papierkorb wandern und nach 30 Tagen, sofern vom Nutzer gewünscht, gelöscht werden. Selten genutzte Daten sollen hingegen gar nicht gelöscht, allerdings automatisch in die iCloud ausgelagert werden. Zunächst erscheint die Funktion als sehr nützlich, da der begrenzte Speicherplatz auf der Festplatte regelmäßig zum Problem wird. Das automatisierte Löschen und Auslagern von Daten kann allerdings zu datenschutzrechtlichen Risiken führen.

Wieso Optimized-Storage Datenschutz-Probleme hervorruft?

Auslagerung personenbezogener Daten in die Cloud (Optimized Storage Datenschutz)Bei der beruflich veranlassten Erhebung, Verarbeitung und Nutzung personenbezogener Daten sollte stets das Datenschutzrecht befolgt werden. Laut § 3 Abs. 4 BDSG fällt das Speichern, Auslagern (Übermitteln) sowie das Löschen personenbezogener Daten unter die Verarbeitung. Die Verarbeitung darf wiederrum nur erfolgen, wenn eine gesetzliche Grundlage dies erlaubt oder der Betroffene eine informierte Einwilligung abgibt. Das beschriebene Erfordernis einer Rechtsgrundlage oder einer informierten (freiwilligen) Einwilligung kann, insbesondere in Hinblick auf die Auslagerung in die iCloud, zu rechtlichen Schwierigkeiten führen.

Möchte eine „verantwortliche Stelle“ personenbezogene Daten in die iCloud auslagern, so erfordert die Übermittlung eine gesetzliche Grundlage oder die informierte Einwilligung des Betroffenen. Das Speichern in einer Cloud wird regelmäßig als Auftragsdatenverarbeitung (ADV), gemäß § 11 BDSG, eingestuft, die eine Ausnahme darstellt. Der Gesetzgeber betrachtet den Auftraggeber („verantwortliche Stelle“) und den Auftragnehmer (Cloud-Anbieter) als eine Einheit. Die Weitergabe der Daten wird deshalb als „Nicht-Übermittlung“ eingestuft wird. Handelt es sich um eine Auftragsdatenverarbeitung, sollten Auftraggeber und –nehmer einen ADV-Vertrag abschließen. Dieser sollte unter anderem die Weisungsbefugnis des Auftraggebers regeln. Das Einholen einer informierten Einwilligung der Betroffenen ist in diesen Fällen nicht notwendig. Die Fiktion der „Nicht-Übermittlung“ gilt allerdings nur für Auftragsdatenverarbeitungen innerhalb der europäischen Union (EU) und des europäischen Wirtschaftsraums (EWR).

Hat der Auftragnehmer (Cloud-Anbieter) seinen Sitz in einem Drittland (außerhalb der EU / EWR) greift diese Sonderregelung nicht. Das Auslagern in die iCloud, Sitz in den USA, wird als eine Übermittlung, die eine Rechtsgrundlage oder eine informierte Einwilligung erfordert, angesehen. Des Weiteren sollten „verantwortliche Stellen“, wie Unternehmen und Behörden, ein angemessenes Datenschutzniveau herstellen. Der Gesetzgeber geht bis auf wenige Ausnahmen, wie Kanada, davon aus, dass in Drittländern kein angemessenes Datenschutzniveau herrscht. Neben dem erheblichen Aufwand, den ein „verantwortliche Stelle“ mit der Beschaffung der informierten Einwilligungen hätte, müsste sie sich mit Verträgen, wie EU-Standardvertragsklauseln oder Binding Corporate Rules (BCR), beschäftigen. Mit Hilfe dieser Verträge kann die „verantwortliche Stelle“ ein angemessenes Datenschutzniveau herstellen.

Das automatisierte Löschen sollte ebenfalls als sehr kritisch angesehen werden, da die Löschung, ohne angepasstes Backup-Konzept, zu weiteren rechtlichen Problemen führen könnte. Das automatisierte Löschen von Daten, denen gesetzlichen Aufbewahrungsfristen  entgegenstehen, wäre als klares Beispiel für ein zu lösendes Problem zu sehen.

Wo dürften Probleme bei Optimized-Storage verstärkt zu erwarten sein?

Handlungsbedarf dürfte natürlich insbesondere dort auftreten, wo verstärkt Apple-Hardware eingesetzt wird bzw. in der Zukunft Hardware anderer Hersteller, die ähnliche Funktionen ermöglicht. Eine überaus typische Branchenbeispiel sind Agenturen, da Apple-Geräte einfach „schick“ aussehen,  „trendy“ sind und zudem für Grafiker sehr gute Möglichkeiten bieten.

Daneben ist in den letzten Jahren ein klarer Trend zu Gerätewildwuchs rund um den Einsatz von Bring Your Own Device (BYOD) oder Abwandlungen wie Choose Your Own Device (CYOD) zu verzeichnen. Die Entwicklung rund um BYOD / CYOD aber auch Corporate Owned Personally (COPE) ist sowohl in Unternehmen als auch Behörden und natürlich ganz besonders in Vereinen oder bei ehrenamtlich Tätigen zu beobachten. Hier heißt es anzuknüpfen, klare und gesetzlich zulässige Strukturen zu schaffen. Dies geht zumeist nur mit professioneller Unterstützung, z. B. durch einen Datenschutzberater oder Datenschutzbeauftragten.

Fazit

Unternehmen, Vereinen sowie anderen „verantwortlichen Stellen“ ist aus Datenschutzsicht von der Nutzung der Funktion abzuraten. Die Verwendung von Optimized Storage bezweckt einen erheblichen Mehraufwand, der sich mit dem Nutzen zumeist nicht decken lässt. Die Nutzung dieser Funktion, insbesondere das Auslagern der personenbezogenen Daten in die iCloud, führt zu neuen Datenschutz-Risiken. Kann oder möchte eine „verantwortliche Stelle“ nicht auf Cloud-Storage-Lösungen verzichten, so wäre ein deutscher Cloud-Anbieter bzw. ein Anbieter mit dem Sitz innerhalb der EU/EWR anzuraten.

Des Weiteren sollten „verantwortliche Stellen“ die Löschung von Daten „selbst in die Hände nehmen“ und geeignete Löschkonzepte mit Ihrer IT-Abteilung sowie der Unterstützung eines externen (betrieblichen) Datenschutzbeauftragten erarbeiten.

Eine weitere wichtige Maßnahme wäre die Schulung der Mitarbeiter, da diese häufig, vor allem im Rahmen von BYOD / CYOD / COPE auf Cloud-Lösungen, wie iCloud oder Dropbox, zurückgreifen.

Möchten Sie mehr über Optimized Storage, Cloud-Storage, Cloud-Lösungen oder Bring Your Own Device erfahren? Wünschen Sie Datenschutz-Schulungen für Ihre Mitarbeiter? Nehmen Sie bequem Kontakt zu uns auf – wir helfen Ihnen gerne weiter.

Möchten Sie sich im Datenschutz dauerhaft besser aufstellen und suchen noch einen geeigneten Datenschutzbeauftragten? Fordern Sie ein kostenloses Angebot zum Datenschutz an.

Nützliche weitere Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

 

Angriffe in Facebook, E-Mails & Co. – Wenn Phishing Datenschutz – Probleme hervorruft

Bildschirmfoto 2016-07-04 um 13.21.02Für die meisten Internet-Nutzer dürfte die Information, dass im World Wide Web (WWW) zahlreiche Gefahren lauern, nicht neu sein. Zu den Bedrohungen zählen unter anderem Schadprogramme, wie Viren, trojanische Pferde (Trojaner), Spyware etc., und Phishing-Angriffe.

Der Begriff „Phishing“ setzt sich aus den englischen Wörtern „Password“ und „Fishing“ zusammen, die bereits bestens beschreiben, welches Ziel mit Phishing-Angriffen verfolgt wird. Betrüger versuchen zumeist, mittels gefälschter E-Mails und Webseiten, an Zugangsdaten, Passwörter, Kreditkartennummern oder sonstige vermeintlich wertvolle Datensätze zu gelangen.  Die gefälschten E-Mails und Webseiten können auf den ersten Blick sehr professionell wirken, sodass häufig zahlreiche Personen auf die Phishing-Attacken reinfallen.

Brands Consulting, Ihr externer Datenschutzbeauftragter, informiert Sie über die Auswirkungen einer Phishing-Attacke auf den Datenschutz und wie Sie sich vor Phishing-Angriffen schützen können.

Auf welchem Weg erfolgen Phishing-Angriffe?Bildschirmfoto 2016-07-06 um 16.57.50

Die Täter versuchen in den meisten Fällen über gefälschte E-Mails und Webseiten an sensible Daten zu gelangen. Phishing-Attacken über andere Kommunikationskanäle, wie SMS oder Anrufe, können allerdings nicht ausgeschlossen werden. Meistens geben sich die Täter als Banken, Online-Shops oder andere Firmen aus, die aufgrund von abgelaufen Kreditkarten, zu aktualisierenden Kontoeinstellungen, nicht gezahlter Rechnungen etc. den Kontakt zu den Betroffenen suchen. In den gefälschten E-Mails befinden sich meistens Verlinkungen zu gefälschten Webseiten, die einem Anmeldeportal ähneln und die Betroffenen zur Eingabe der Zugangsdaten, Passwörter etc. verleihen sollen. Das Ausspähen von Zugangsdaten im Bereich der sozialen Medien, wie Facebook, Twitter etc. ist ebenfalls keine Seltenheit mehr.

Ähnlich aussehende Domainnamen sind weitere Methoden, die Betroffene auf gefälschte Seiten führen sollen. Möglichkeiten, die sich den Tätern bieten, sind zum Beispiel die Buchstaben „ä“, „ö“ und „ü“ oder die Verwendung von kyrillischen Buchstaben, die sich beispielsweise beim „a“ nicht unterscheiden. Wird die Beispiel-Adresse: http//:www.ihr-externer-datenschutzbeauftragte-baender.com/ gefälscht und heißt nun http//:www.ihr-externer-datenschutzbeauftragte-bänder.com/, wird dies den wenigstens Betroffenen auffallen.

Eine weitere Möglichkeit um Zugangsdaten auszuspähen, ist der Einsatz von Trojanern. Der Betroffene besucht eine infizierte Webseite oder erhält eine E-Mail bzw. eine SMS mit einem Link oder einem Anhang. Beim Öffnen installiert sich der Betroffene ein Schadprogramm auf sein Endgerät. Das trojanische Pferd läuft, ohne Wissen des Betroffenen im Hintergrund und kann sämtliche Zugangsdaten ausspionieren.

Welche Auswirkungen haben Phishing-Angriffe auf den Datenschutz?

Das Ausspähen von Daten bei Privatpersonen, insbesondere von Kreditkarten- und Kontodaten, kann für die betroffenen Personen zu einem hohen finanziellen Schaden führen, wobei eine Phishing-Attacke bei Unternehmen, Behörden, Vereinen etc., neben einem beträchtlichen finanziellen Schaden, zu einem hohen Imageverlust führen kann.

Bei einer Phishing-Attacke werden in der Regel, wie bereits erläutert, Benutzerkennungen, Kreditkartenummer oder sonstige, teilweise sensible, Datensätze ausgespäht. Bei diesen Daten bzw. Informationen handelt es sich um personenbezogene Daten, die vom Datenschutzrecht geschützt werden sollen. Besteht beispielsweise die Gefahr, dass personenbezogene Daten der Mitarbeiter, Kunden oder Lieferanten ausgespäht worden sind, ist die „Verantwortliche Stelle“ laut § 42 a BDSG bei sogenannten Datenpannen dazu verpflichtet, Betroffene und die Aufsichtsbehörde zu informieren. Dieser Informationspflicht muss vor allem bei besonderen personenbezogenen Daten (z. B. Beispiel Gesundheitsdaten) sowie bei personenbezogenen Daten zu Bank- und Kreditkonten nachgegangen werden. Neben Bußgeldern führen Datenpannen zu einem erheblichen Imageverlust. Oder möchten Sie etwa Ihre persönlichen Daten einem Unternehmen anvertrauen, das diese verliert?

Neben den personenbezogenen Daten sollte, jeder „verantwortlichen Stelle“ (wir erinnern uns: sogenannte „verantwortliche Stellen“ können z. B.: Behörden, Unternehmen, Vereine oder Stiftungen sein) der Schutz von weiteren sensiblen Daten, wie Betriebsgeheimnissen, am Herzen liegen.

Wie kann ich mich vor Phishing-Attacken schützen?

Die Internet-Kriminalität hat sich mit der Technik weiterentwickelt, wodurch Betroffenen die Unterscheidung zwischen gefälschten und originalen Webseiten, SMS sowie E-Mails erschwert wird. Nichtsdestotrotz lassen sich zahlreiche Maßnahmen ergreifen, um das Risiko, „Opfer“ einer Phishing-Attacke zu werden, drastisch zu minimieren.

Eine dieser Maßnahmen ist der Einsatz von Spam- und Phishing-Filtern, die gefälschte E-Mails und Webseiten erkennen und blockieren sollen. Privatpersonen und verantwortliche Stellen sollten sich allerdings nicht ausschließlich auf die Filter-Programme verlassen, da die Täter regelmäßig Änderungen vornehmen, wodurch die Filter-Programme umgangen werden können.

Der Faktor Mensch spielt bei Phishing-Attacken eine erheblich große Rolle. Um so wichtiger ist es, dass feste Mitarbeiter, aber insbesondere auch Praktikanten, Freiberufler, ehrenamtliche Hilfskräfte oder sonstige Aushilfen geschult bzw. sensibilisiert werden.

Anzeichen für gefälschte SMS, E-Mails und Webseiten können sein:

  • Nachrichten in fremder Sprache oder in schlechtem Deutsch (Grammatikfehler, fehlende Umlaute, kyrillische Buchstaben, fehlende Sonderzeichen),
  • Absender, die nicht zugeordnet werden können (z.B. die Rechnung eines Online-Shops, den man nicht kennt),
  • Unpersönliche Anrede (z.B. „Sehr geehrte Damen und Herren“, „Sehr geehrter Kunde“ oder besonders kreativ „Hallo“),
  • Die Aufforderung, eine Datei zu öffnen oder einem Link zu folgen,
  • Link-Adresse und anzuzeigender Text verweisen auf verschiedene Webseiten siehe Beispiel 3 (Um die tatsächliche Adresse zu sehen, kann mit dem Cursor über über den Link fahren. Nicht anklicken!),
  • Die Aufforderung, personenbezogene Daten, wie PIN, TAN, Passwörter etc. anzugeben,
  • Die Drohung mit Konsequenzen, wenn eine, meist sehr knapp bemessene, Frist nicht eingehalten wird (z.B. „Wir bitten Sie schnellstmöglich unserer Forderung nachzukommen, ansonsten sind wir gezwungen ein Inkassobüro zu beauftragen“, „Falls Sie der Zahlung bis XXX nicht nachkommen, werden wir Ihnen weitere Kosten des MahnverfahrenBildschirmfoto 2016-07-06 um 16.50.46s und der Verzugszinsen in Rechnung stellen“ oder die verlockende und weniger ermahnende Variante„Sie haben gewonnen! Nur Heute!“)
  • Die Absenderadressen sind gefälscht,
  • Das Kürzel https:// fehlt.

Beispiel 1

Phishing Datenschutz

Beispiel 2

Phishing Datenschutz

Beispiel 3

Phishing Datenschutz

Auf Phishing-Angriff reingefallen – Wie gehen Sie vor?

Sollten Sie auf einen Angriff reingefallen sein und einen Link geöffnet bzw. sensible Daten übermittelt haben, dann sollten Sie schnell reagieren. Zum einen sollten Sie, wenn Sie Mitarbeiter in einem Unternehmen, einer Behörde etc. sind, die IT-Abteilung unverzüglich informieren, damit diese den Rechner auf Schadprogramme untersuchen kann. Wurden Benutzerkennungen und Passwörter eingegeben, so sollten diese UNVERZÜGLICH —-> also SOFORT geändert werden.

Den „Opfern“ einer Phishing-Attacke ist zudem anzuraten, eine Strafanzeige bei der Polizei zu erstatten. „Verantwortliche Stelle“ sollten des Weiteren prüfen, ob die Täter Zugriff auf Informationen / Daten der „verantwortlichen Stellen“ hatten. Kann nicht ausgeschlossen werden, dass Unbefugte auf Informationen zugreifen konnten, so sollte geprüft werden, um welche Art der Daten es sich handelt. Gelangen personenbezogene Daten an Unbefugte, so sollten, wie bereits erläutert, Betroffene und die Aufsichtsbehörde über die Datenpanne informiert werden. Dieser Informationspflicht muss insbesondere bei besonderen personenbezogenen Daten (z. B. Gesundheitsdaten) sowie bei personenbezogenen Daten zu Bank- und Kreditkonten und zwar UNVERZÜGLICH (ohne schuldhaftes Zögern) nachgegangen werden.

Ob und inwieweit dieser Informationspflicht nachgegangen werden muss, hängt dabei von den einzelnen Gegebenheiten ab und kann nicht pauschal beantwortet werden. Umso wichtiger ist es einen Datenschutzbeauftragten einzuschalten, damit dieser den Sachverhalt prüfen und die erforderlichen Maßnahmen einleiten kann.

Haben Sie noch Fragen zu Phishing-Angriffen – sowie zum richtigen Verhalten bei einer Datenpanne oder einem Datenverlust? Wünschen Sie Datenschutz-Schulungen für Ihre Mitarbeiter, um diese zu sensibilisieren? Dann nehmen Sie Kontakt zu uns auf oder fordern Sie sich direkt ein unverbindliches Datenschutz-Angebot an.

Unser Dienstleistungsangebot

Das Dienstleistungsangebot der Brands Consulting umfasst die Kernkompetenzen:

Unsere Zielgruppe/n

Brands Consulting offeriert sein Dienstleistungsangebot:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne/n]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen

Pokémon Go vs. Sicherheit – Gratis-Apps gefährden Ihren Datenschutz (Bezahlung durch personenbezogene Daten) und Menschen im Straßenverkehr

PokéballDas Software-Unternehmen „Niantic“ verwandelte unsere Straßen, durch die Veröffentlichung der kostenlosen Applikation (App) „Pokémon Go“, über Nacht in große Spielflächen.  „Pokémon Go“ hat zu einem regelrechten Hype geführt, da das Spiel, anderes als in den 90-er Jahren, die Monsterjagd im „Real Life“ (echte Welt) ermöglicht und zudem sowohl für Android als auch Apples iOS-Geräte kostenlos erscheint. Das Spiel lässt die Herzen vieler Gamer auf der ganzen Welt höherschlagen, wobei der Blick durch die rosarote Brille zahlreiche Risiken, insbesondere aus Datenschutzsicht, nicht erkennen lässt. Selten wurde der Eingriff in die Privatsphäre in solch einer Form ignoriert und bejubelt, wie dies derzeit durch die zahlreichen Pokémon-Fans erfolgt. Ihr externer Datenschutzbeauftragter / Datenschutzberater informiert über die Risiken und Gefahren, die von vermeintlich „kostenlosen“ Apps ausgehen.

Wie funktioniert „Pokémon Go“?

Um „Pokémon Go“ spielen zu können, sind nur wenige Schritte erforderlich. Hat man die Applikation im App-Store (iTunes / Google Play Store)  heruntergeladen, so muss man sPikachu mit Hundich lediglich mit seinem Google-Konto anmelden und schon kann der Nutzer auf Monsterjagd gehen. Alternativ besteht die Möglichkeit, dass sich der Nutzer ein Trainer-Club-Konto anlegt, indem er sich auf der Pokémon-Webseite mit seiner E-Mail-Adresse anmeldet. Die Verschmelzung zwischen der realen und der virtuellen Welt gelingt, indem der Nutzer der App den Zugriff auf seinen Standort und die Kamera gewährt. Mittels „Pokémon-Go“ können nicht nur Pokémon gesucht und gefangen werden, sondern Kämpfe zwischen Pokémon-Jägern ausgetragen, Pokémon-Eier ausgebrütet und Items an sogenannten Pokéstops gesammelt werden.

Neben moralischen Fragen, ob beispielsweise das Gelände des Konzentrationslagers Auschwitz-Birkenau als „Spielwiese“ angemessen ist, ereigneten sich auch einige Verkehrsunfälle. Mitten in das Spielgeschehen vertieft, kletterten bereits Gamer über fremde Gartenzäune, was zur Vermutung von Überfällen führte, bei deren vermeintlicher Abwehr sogar Baseballschläger zum Einsatz kamen. Somit könnte die Applikation zu erheblichen (Datenschutz-)Risiken führen.

Gefahren für den Datenschutz bei Pokemon Go?

Die Frage, ob „Pokémon Go“ Risiken für den Datenschutz darstellt, sollte bejaht werden, da die Nutzer dem Hersteller der Software zahlreiche Zugriffsrechte einräumen. Verlangte das Software-Unternehmen „Niantic“ bei der Anmeldung der iPhone-Nutzer zunächst den vollen Zugriff auf die Google-Konten (einschließlich z. B: Google Drive, E-Mail-Account „Gmail“), so räumten sie nach steigender Kritik einen Fehler ein und begrenzten den Zugriff auf die Google-Accounts.

Schenkt man der Aussage des Herstellers, dass es sich um ein Versehen gehandelt hat und die Zugriffsrechte eingeschränkt wurden, Vertrauen, so verbleiben nichtsdestotrotz weitere Risiken. Die Hersteller versuchen sich neben der, für die Funktion der App, notwendigen Zugriffsrechte auf den Standort und die Kamera, weiteren Zugriff auf Medien, Fotos, Dateien und Kontakte zu verschaffen.

Mit jeder Nutzung der App werden die Informationen, die mit dem Google-Konto oder der E-Mail-Adresse verknüpft werden, nach und nach verdichtet, wodurch ganze Benutzerprofile erstellt werden könnten. Der Gamer gibt somit durch die Nutzung von „Pokémon Go“ mit jedem Schritt ein Stück von seiner Privatsphäre auf und trägt aktiv zum „gläsernen Menschen“ bei.

Eine weitere Problematik ist, dass die gesammelten personenbezogenen Daten nicht in Deutschland bzw. in der europäischen Union oder des europäischen Wirtschaftsraums verarbeitet werden, sondern eine Übermittlung an die Server in den USA erfolgt. Laut Gesetzgeber handelt es sich um ein Drittland, dass kein angemessenes Datenschutzniveau besitzt, wobei das Safe-Harbor-Abkommen, auf das sich „Niantic“ in der Datenschutzverpflichtung bei der alternativen Anmeldung mit dem Pokémon-Club-Konto bezieht, ungültig ist.  An dieser Stelle der kleine ergänzende und entscheidende Hinweis für alle, die etwas tiefer in der Materie sind: Das Safe-Harbor-Abkommen wurde bereits im Oktober durch den Europäischen Gerichtshof (EuGH) gekippt.  Gestützt auf dieses Abkommen darf keine Übermittlung mehr stattfinden. Derartige Entwicklungen gelten auch für App-Entwickler / Spiele-Entwickler und dürfen nicht außer Acht gelassen werden.

Zudem wird in der „Pokémon Go“-Datenschutzrichtlinie erläutert, dass sich „Niantic“ das Recht einräumt, personenbezogene Daten ggf. an die „The Pokémon Company“ und die „The Pokémon Company International“ sowie an die Regierung und an die Strafverfolgungsbehörden zu übermitteln.

Können Privatpersonen noch selbst über die Weitergabe ihrer Daten entscheiden, liegt in Unternehmen, Vereinen, Behörden etc., die (Haupt-)Verantwortung für den gesetzeskonformen Umgang mit personenbezogenen Daten bei der “verantwortlichen Stelle“. Stellt eine „verantwortliche Stelle“ dienstliche Mobiltelefone zur privaten Nutzung zur Verfügung oder erlaubt im Rahmen von Bring Your Own Device, kurz BYOD, das Arbeiten mit privaten Smartphones, so könnte diese ebenfalls mit „Pokémon Go“ oder anderen (kostenlosen) Apps konfrontiert werden.

Welche Risiken ergeben sich für „verantwortliche Stellen“?

Erhebt, verarbeitet oder nutzt eine „verantwortliche Stelle“ personenbezogene Daten, so sollte sie sich an das Datenschutzrecht halten. Laut § 4 Abs. 1 BDSG ist eine Erhebung, Verarbeitung und Nutzung personenbezogener Daten nur dann zulässig, wenn eine Rechtsgrundlage oder eine informierte Einwilligung der Betroffenen dies erlauben.

Erlaubt der Arbeitgeber seinen Mitarbeitern die private Nutzung von dienstlichen Mobiltelefonen, so neigen Mitarbeiter häufiger zur Installation von Apps, wie „Pokémon-Go“ oder „WhatsApp“, die sie privat nutzen möchten. Bei einer erlaubten Verwendung von privaten Endgräten zu dienstlichen Zwecken kann ebenfalls nicht ausgeschlossen werden, dass sich „risikobehaftete“ Applikationen auf den Mobiltelefonen befinden. Die Vermischung zwischen Daten und Programmen, die sowohl dienstlicher als auch privater Natur sind, kann zu vielen Problemen und Risiken für „verantwortliche Stellen“ führen.

Befinden sich auf den Endgeräten dienstliche Informationen, wie Kontaktdaten von Kunden und Ansprechpartnern der „verantwortlichen Stelle“, und ein Mitarbeiter erlaubt einer App, wie „Pokémon Go“ den Zugriff auf die Kontaktdaten, so dürfte bereits von einer Datenübermittlung ausgegangen werden. Diese Übermittlung benötigt, wie bereits erläutert, eine Rechtsgrundlage oder eine (freiwillige) informierte Einwilligung, die die Übermittlung erlauben. Zudem müsste im Fall von „Pokémon Go“ sowie im Rahmen von „WhatsApp“ ein angemessenes Datenschutzniveau hergestellt werden, da in beiden Fällen eine Übermittlung an Server in den USA (Drittland) erfolgt. Möchten Sie mehr über die Risiken von „WhatsApp“ erfahren, dann lesen Sie doch unsere Beiträge „Eine Revolution: WhatsApp-Verschlüsselung – mehr Datenschutz bzw. Datensicherheit?“ oder „WhatsApp in Unternehmen – Kommunikationskanal, Marketing-Instrument oder eine Datenschutz-Katastrophe?“.

Wie können sich Privatpersonen und „verantwortliche Stelle“ schützen?

Privatpersonen und „verantwortlichen Stellen“ sollte klar sein, dass insbesondere kostenlose Apps in den meisten Fällen „Datenkraken“ sind, die zwar kein Geld kosten, allerdings bezahlen Nutzer häufig mit ihrer Privatsphäre und ihren persönlichen Daten (sogenannte personenbezogene Daten). Aus diesem Pokémon Go DatenschutzGrund sollte bewusster mit der Installation von Applikationen und mit der Vergabe von Zugriffsrechten umgegangen werden.

Im Fall von „Pokémon Go“ hat der Nutzer die Möglichkeit bereits im Anmeldeverfahren den Zugriff auf Kontakte, Medien und Dateien zu verweigern. Nutzen Sie diese Möglichkeit also!Datenschutz bei Pokemon Go

Zudem können Pokémon-Fans sowohl mit einem Android-Gerät als auch mit einem iPhone Pokémon Go Datenschutzdie Zugriffsrechte derPokemon Go Datenschutz Applikation unter den Datenschutz-Einstellungen einsehen und einschränken. In vielen Fällen verlieren die Apps durch die Einschränkung der Zugriffsrechte allerdings an Komfort und Benutzerfreundlichkeit, wie im Fall von „WhatsApp“. Wird der Zugriff auf die Kontakte verweigert, so können die Rufnummern nicht synchronisiert werden und der „WhatsApp“-Nutzer muss diese gesondert eintragen.

„Verantwortlichen Stellen“ ist dringendst anzuraten, eine Privatnutzung von dienstlichen Mobiltelefonen zu untersagen. Möchte oder kann die „verantwortliche Stelle“ dies nicht, so sollten die Mitarbeiter zum richtigen Umgang mit personenbezogenen Daten geschult und zudem sollten klare Vereinbarungen, mittels Richtlinie oder Betriebsvereinbarung, geschlossen werden. Des Weiteren ist der Einsatz eines Mobile-Device-Management-Systems (MDM), um dienstliche Mobiltelefone besser verwalten zu können und Datenschutz-Risiken –auch bei privater Nutzung- zu minimieren, zu empfehlen.

Wie es mit „Pokémon Go“ weitergeht, bleibt abzuwarten, wobei die Hysterie zur Gamescom im August 2016 nochmals zunehmen könnte.  Viele Pokémon-Fans spekulieren bereits, ob zur Gamescom eine große Bombe in Form von „legendären Pokémon“, die man in „freier Wildbahn“ nicht findet, platzen soll. Sollten sich diese Gerüchte bestätigen, dann würde dies den Kampf der „Pokémon-Trainer“ auf ein neues Level katapultieren und das Thema Datenschutz weiter zurückdrängen.

Möchten Sie mehr zu diesem Thema erfahren? Setzen Sie bereits private Mobiltelefone ein oder erlauben Sie eine dienstliche Nutzung der privaten Endgeräte? Planen Sie sich im Datenschutz dauerhaft besser zu positionieren? Holen Sie sich Unterstützung durch einen versierten externen Datenschutzbeauftragten? Nehmen Sie bequem Kontakt zu uns auf oder fordern Sie direkt ein kostenloses Angebot zum Datenschutz an.

Nützliche weitere Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

„Hörst du mich oder lauscht du schon?“ – Auswirkungen von Alexa, Siri und Google auf den Datenschutz

Der gläserne Mensch

„Wie wird das Wetter morgen in Berlin?“, „Suche im Internet nach Datenschutz!“ oder „Ruf Mama an!“  sind Fragen oder Befehle, die wir alltäglich in unsere Smartphones reinsprechen. Allerdings fragen sich nur die Wenigsten, was mit den integrierten Mikrofonen geschieht, wenn wir nicht mit unseren „kleinen Helfern“ kommunizieren. Aus diesem Grund ist es kaum verwunderlich, dass Google und Amazon für ihre neusten Erfindungen, „Google Home“ und „Amazon Echo“, viel Zuspruch erhalten haben. Neben Google und Amazon, die ihre Produkte bereits vorgestellt bzw. auf den Markt gebracht haben, plant auch Apple mit „Siri“, die Eroberung der Wohnzimmer.

Die Audioanlagen mit integrierten Mikrofonen sollen als alltägliche Helfer dienen. Mit Hilfe dieser Anlagen können wir nicht nur erfragen, wie das Wetter wird oder wie lange unser Supermarkt geöffnet hat, sondern auch Nachrichten versenden, Reservierungen verschieben, Einkaufslisten schreiben, Playlisten auf allen WLAN-Lausprechern des Hauses hören oder einen Film abspielen. Zudem soll es uns möglich sein, das Licht ein- bzw. auszuschalten oder die Raumtemperatur zu regulieren. Die zahlreichen Funktionen sollen uns den Alltag vereinfachen, allerdings sollte nicht vergessen werden, dass wir für den Komfort womöglich mit unseren Daten zahlen. Wenn die Vielzahl an Informationen gesammelt, gespeichert und verknüpft wird, werden wir dann nicht zu „gläsernen Menschen“ und welche Auswirkungen haben die Assistenten „Alexa“, „Siri“ und „Google“ auf den Datenschutz?

Wieso sind Amazon Echo, Google Home und Apples Siri so attraktiv?

Um die intelligenten Anlagen zu verwenden, benötigt der Endverbraucher nicht viel IT-Know-how, denn um die Helfer zu aktivieren, reichen die Aktivierungswörter, „Alexa“ für „Amazon Echo“, „Ok Google“ für „Google Home“ und die, noch nicht vorgestellte, Anlage von Apple wird voraussichtlichen wieder auf „Hey Siri“ hören.

Damit „Amazon Echo“, das einzige Gerät, dass bereits im Handel in den USA erhältlich ist, funktioniert, sollte es mit dem WLAN verbunden werden. Dies erfolgt, indem „Amazon Echo“ zunächst ein eigenes WLAN erstellt, in das sich der Nutzer mit seinem Smartphone einwählen kann. Nach diesem Schritt ist ein Zugriff auf „Amazon Echo“ sowie das Anpassen des WLANs und weiterer Einstellungen möglich. Des Weiteren kann die Anlage mit anderen Geräten, die bereits vernetzt sind, gekoppelt werden. Die Vernetzung von Geräten im Haus und die Fernsteuerung mittels Smartphones, Tablets oder anderen Endgeräten, ist bekannt unter dem Begriff „Smart Home“. Für die intelligente Haussteuerung gibt es eine Vielzahl an Anbietern, die eine Steuerung von Heizungen, Fenstern, Türen, Rollläden etc. ermöglichen.

Darüber hinaus können Verbraucher in den USA über „Amazon Echo“, Dienstleistungen des Taxi-Konkurrenten „Uber“, der Pizzadienste „Dominos“ und des Streaming-Dienstes „Spotify“ nutzen.  Die Amazon-Assistentin „Alexa“ soll die Verbraucher zudem bei Amazon-Online-Bestellungen unterstützen. Eine weitere Kooperation ist Amazon mit Ford eingegangen. Dies führt dazu, dass Echo-Nutzer, mittels In-Car-Systems „Ford Sync“, Geräte im Haus aus dem Fahrzeug steuern können und umgekehrt. Zum Beispiel kann die Raumtemperatur für Zuhause aus dem Auto reguliert und umgekehrt die Tank-Reichweite von Zuhause erfragt werden.

„Google Home“ soll ebenfalls über eine Smart-Home-Anbindung verfügen. Zudem soll „Google Home“ eine Vielzahl an Apps, wie WhatsApp, MyTaxi, Ticketmaster, OpenTable etc., unterstützen, wodurch die Nutzer Tickets erwerben, Tische reservieren und Nachrichten schreiben können. „Google Home“ ist eine Erweiterung von „Google Now“, die zukünftig die Wohnzimmer erobern soll.

Bezüglich der „Haushaltshilfe“ von Apple gibt es derzeit keine konkreten Informationen, allerdings dürfte Apple zeitnah ein vergleichbares Produkt auf den Markt bringen.

Datenschutz-Risiken von Google Home, Amazon Echo und Siri

Insbesondere Datenschützer und Datenschutzbeauftragte sind in Hinblick auf die intelligenten „Helfer“ kritisch. Die Bundesdatenschutzbeauftrage, Andrea Voßhoff, warnte vor den Geräten, da die integrierten Mikrofone eine dauerhafte Überwachung ermöglichen.

Datenschutz-Risiken von Google Home, Amazon Echo, Siri

Um die Aktivierungswörter „Alexa“, „Hey Siri“ und „Ok Google“ zu erfassen, müssen die Geräte jede Konversation mithören, was das ständige Abhören zumindest möglich macht. Allerdings behaupten die Hersteller, dass eine Übermittlung der Daten an die Server erst nach Aktivierung der „Haushaltshelfer“ erfolgt. Schenkt man den Herstellern, trotz fehlender Transparenz in Hinblick auf die Erfassung, Verarbeitung und Nutzung der Daten, Vertrauen, so dürfte die Übermittlung der Daten nach der Aktivierung ebenfalls als kritisch angesehen werden.

Der Grund für die Kritik aus Datenschutzsicht ist, dass Google, Amazon und Apple, mit Hilfe von „Google Home“, „Amazon Echo“ und „Siri“, eine Vielzahl an personenbezogenen Daten erfassen, verarbeiten und nutzen können. Sollte die Übermittlung an die Server tatsächlich, wie von den Herstellern behauptet, erst nach der Aktivierung erfolgen, reichen die erfassten Daten aus, um ganze Nutzerprofile zu erstellen.

Ebenfalls kritisch ist, dass eine Übermittlung an die Server in den USA erfolgt. Laut Gesetzgeber handelt es sich um ein Drittland ohne angemessenes Datenschutzniveau. Durch die Nutzung der intelligenten „Haushaltshelfer“ schränken die Nutzer nicht nur ihre Privatsphäre ein und riskieren zu „gläsernen Menschen“ zu werden, sondern können auch die Privatsphäre und das Recht auf informationelle Selbstbestimmung von Personen einschränken, die auf etwaige Funktionen bzw. Geräte bewusst verzichten. Ein Beispiel ist, der Zugriff auf Kontakte und die Übermittlung der personenbezogenen Daten, wie dem Namen, der Rufnummer etc., an die Server in den USA. Eine Übermittlung personenbezogener Daten ist im Datenschutz nur erlaubt, wenn eine Rechtsgrundlage oder die informierte Einwilligung des Betroffenen vorliegt. Zudem sollte ein angemessenes Datenschutzniveau sichergestellt werden.

Insbesondere für Unternehmen, Vereine, Behörden etc. dürfte eine Nutzung der kleiner „Helfer“ zu zahlreichen Problemen und Risiken führen. Aus diesem Grund sollten die „verantwortlichen Stellen“, wie Unternehmen, Vereine, Behörden etc., auf die Nutzung von „Google Home“, „Amazon Echo“ und Apples „Siri“ verzichten. Zudem ist es ratsam, dass Mitarbeiter sensibilisiert werden, damit sie diese Geräte nicht für dienstliche Zwecke nutzen und bewusster mit personenbezogenen Daten umgehen.

Fazit

Die kleinen „Helfer“ würden den Alltag sicherlich um ein Vielfaches erleichtern, da viele Aufgaben im Handumdrehen erledigt werden könnten. Der erhöhte Komfort sollte die potenziellen Nutzer allerdings nicht vergessen lassen, dass ihre Daten übermittelt und gespeichert werden. Jeder Nutzer, der von diesen Geräten Gebrauch machen möchte, sollte sich bewusst sein, dass er eine Stück Privatsphäre gegen den Komfort eintauscht.

Auf der anderen Seite sollten „Amazon Echo“, „Google Home“ und „Siri“ nicht verteufelt werden, da die Mehrheit der potentiellen Nutzer bereits intelligente „Helfer“ mit Mikrofonen, Smartphones genannt, mich sich trägt.

Können Privatpersonen noch selbst über die Weitergabe ihrer Daten entscheiden, liegt in Unternehmen, Vereinen, Behörden etc., die (Haupt-)Verantwortung für den gesetzeskonformen Umgang mit personenbezogenen Daten bei der “verantwortlichen Stelle“.

Erhebt, verarbeitet oder nutzt eine „verantwortliche Stelle“ personenbezogene Daten, so sollte sie sich an das Datenschutzrecht halten. Laut § 4 Abs. 1 BDSG ist eine Erhebung, Verarbeitung und Nutzung personenbezogener Daten nur dann zulässig, wenn eine Rechtsgrundlage oder eine informierte Einwilligung der Betroffenen dies erlauben. Sollen die kleinen „Helfer“ für dienstliche Zwecke eingesetzt werden und es findet eine Übermittlung personenbezogener Daten statt, so müsste sich die „verantwortliche Stelle“ von jedem Betroffenen eine informierte Einwilligung einholen.   Der damit verbundene Aufwand dürfte in den meisten Fällen viel höher sein als der Nutzen durch die intelligenten „Helfer“. Aus diesem Grund sollten die Verantwortlichen die dienstliche Nutzung von „Smart Home“, „Amazon Echo“ und „Siri“ verbieten oder zumindest die Prozesse rund um den Einsatz optimal gestalten. Ferner sollten Mitarbeiter geschult sowie ggf. Betriebsvereinbarungen, Richtlinien zum richtigen Umgang mit personenbezogenen Daten geschaffen werden.

Haben Sie weiteres Interesse am Themengebiet „Google Home“, „Amazon Echo“ und „Siri“ oder möchten Sie sich im Datenschutz dauerhaft besser positionieren? Holen Sie sich Unterstützung durch einen versierten externen Datenschutzbeauftragten? Nehmen Sie bequem Kontakt zu uns auf oder fordern Sie direkt ein kostenloses Angebot zum Datenschutz an.

Nützliche weitere Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

 

Cloud Computing – Durchblicken Sie vor lauter Wolken den Datenschutz?

Als DaDatenschutz Cloud Computingtenschutzbeauftragter wird man häufig gefragt, ob das Auslagern von Daten in die Cloud aus Datenschutzsicht problematisch sein könnte. Diese Frage sollte bejaht werden, denn die Auslagerung personenbezogener Daten kann –je nach Sensibilität- zu Problemen und Risiken führen. Das Ausmaß notwendiger Prüfungen und Prozesse hängt von diversen Faktoren ab. Trotz der Vielzahl an Risiken greifen verantwortliche Stellen, wie Unternehmen, Vereine, Verbände etc., auf Cloud-Lösungen zurück. Aus welchem Grund ist Cloud-Computing so attraktiv und was versteht man unter dem Begriff?

Was versteht man unter Cloud-Computing?

Cloud-LösungenBei Cloud-Computing wird über das Internet auf IT-Leistungen und IT-Infrastrukturen, die sich in einer „Cloud“, zu deutsch Wolke befinden, zugegriffen. Die IT-Leistungen können vom Cloud-Nutzer flexibel eingesetzt und abgerechnet werden. Der Begriff Cloud-Computing kann in einzelne Abstraktionsebenen gegliedert werden. Die erste Ebene ist unter dem Begriff Infrastructure as a Service, kurz IaaS, bekannt. IaaS-Nutzer greifen auf Infrastrukturressourcen, wie Speicher-, Netzkapazitäten und Rechenleistung, zurück. Bei der zweiten Ebene Platform as a Service, kurz PaaS, können die Nutzer Programmierungs- und Laufzeitumgeben nutzen. Endbenutzer kommen meistens mit der dritten Ebene, Software as a Service (SaaS), in Berührung.  Bei Software as a Service wird eine Softwarelösung bereitgestellt, die vom SaaS-Nutzer flexibel verwendet werden kann. Sämtliche Tätigkeiten um die Software, wie zum Beispiel Wartungsarbeiten, übernimmt der SaaS-Anbieter. Bekannte SaaS-Lösungen sind unter anderem Customer-Relationship-Management-Lösungen (CRM-Lösungen), Speicher-Lösungen, wie Dropbox, und die Applikationen, kurz Apps, von Google.

Was sind die Vorteile von Cloud-Computing?

Cloud-Computing zählt nicht grundlos zu den wichtigsten IT-Trends. Die besondere Vertriebsform sorgt, insbesondere bei kleinen und mittelständischen Unternehmen (KMU), für ein hohes Interesse, da sie die Lösungen flexibel nutzen und ebenso variabel bezahlen können. Zudem bleiben den Unternehmen hohe Kosten für Lizenzen, interne Ressourcen, externe Wartungen usw. erspart, da die Lösungen gemietet und zugleich durch den Anbieter gewartet werden.

Nicht nur die Kosteneinsparungen sprechen für den Einsatz von Cloud-Computing, auch das zumeist höhere IT-Wissen der Cloud-Anbieter kann ein klarer Vorteil sein. Insbesondre KMU verfügen in den meisten Fällen nicht über ausreichende Kenntnisse im IT-Bereich und so können sie sich mittels fertiger Cloud-Lösungen auf ihr Kerngeschäft konzentrieren. Des Weiteren bleibt dem Cloud-Nutzer der Installationsaufwand erspart, da man über das Internet auf die Lösungen zugreift. Die Software befindet sich nicht auf dem Rechner, wodurch auch ein ortunabhängiger Zugriff möglich ist.

Cloud-Computing aus Datenschutzsicht

Der Einsatz von Cloud-Computing führt zu zahlreichen Risiken und Problemen. Umso wichtiger ist es, dass sich die verantwortlichen Stellen ausreichend mit diesem Thema beschäftigen und ihre Mitarbeiter diesbezüglich schulen / sensibleren. Insbesondere der Einsatz von Cloud-Lösungen neben der eigentlichen IT und ohne Wissen der IT-Abteilung, der Vorgesetzten und des Datenschutzbeauftragten birgt viele Gefahren.  Die parallele Nutzung von IT-Strukturen und IT-Lösungen der Fachabteilungen ist auch bekannt unter den Bezeichnungen „Schatten-IT“ bzw. „Shadow-IT“. Wenn Sie mehr darüber erfahren möchten, dann lesen Sie doch unseren Beitrag „Schatten-IT – Steht der Datenschutz im Schatten der Fachabteilungen?“.

In Hinblick auf den Datenschutz ist auch das Auslagern von Daten problematisch, obwohl die IT-Abteilung und der Vorgesetze informiert sind, wie häufig im Rahmen von Bring Your Own Device (BYOD).  Bei Bring Your Own Device ist Arbeitnehmern die Arbeit mit privaten Endgeräten gestattet, wodurch Arbeitnehmer mit ihren privaten Geräten auf IT-Ressourcen und Informationen des Unternehmens zugreifen können. Das BYOD-Modell führt zu einer Vermischung privater und dienstlicher Informationen, weshalb der Arbeitgeber nicht auf die privaten Endgeräte zugreifen darf. Derartige Probleme lassen sich allerdings durch fachkundige Unterstützung, z. B. durch die Beratung des externen Datenschutzbeauftragten oder des Datenschutzberaters, vermeiden.

Der Nebeneffekt von BYOD ist zudem, dass Mitarbeiter oftmals nicht nur ihre privaten Endgeräte verwenden, sondern dienstliche Informationen mit Hilfe von privaten Cloud-Lösungen verarbeiten. Die Nutzung von Cloud-Lösungen, die aufgrund der Vermischung nicht kontrolliert werden darf, führt häufig zu zahlreichen Risiken und Problemen.

In der Praxis erfolgt die Inanspruchnahme von Cloud-Leistungen regelmäßig als Auftragsdatenverarbeitung (ADV). Dies ist grundsätzlich eher unproblematisch, da eine Auftragsdatenverarbeitung, gemäß § 11 BDSG, als eine „Nicht-Übermittlung“ eingestuft wird und somit die verantwortliche Stelle weder eine Einwilligung noch eine weitere Rechtsgrundlage benötigt. Das Abschließen eines ADV-Vertrages ist unbedingt anzuraten. Hierbei unterstützt Sie Ihr Datenschutzbeauftragter.

Problematisch ist allerdings, dass die Cloud-Anbieter (Auftragnehmer) häufig ihren Sitz außerhalb der europäischen Union (EU) und des europäischen Wirtschaftsraums (EWR) haben. Der Gesetzgeber stuft eine Auftragsdatenverarbeitung mit einem Dienstleister im Drittland als eine Datenübermittlung ein, wodurch das Einholen einer informierten Einwilligung oder das Übermitteln auf Basis einer Rechtsgrundlage unvermeidbar ist. Werden in der Praxis allerdings Daten in eine Cloud ausgelagert, dann erfolgt dies derzeit eher selten auf Basis eines ADV-Vertrages, einer informierten Einwilligung oder einer Rechtsgrundlage, da vielen verantwortlichen Stellen gar nicht bewusst ist, dass es sich bereits um eine Datenübermittlung handelt.

Ein weiteres Manko ist, dass in Drittländern bis auf wenige Ausnahmen (z. B. die Schweiz), kein angemessenes Schutzniveau herrscht und dieses vor der Übermittlung hergestellt werden muss. Um ein angemessenes Datenschutzniveau zu schaffen, sollte der Auftragsgeber (Cloud-Nutzer) EU-Standardvertragsklauseln, Binding Corporate Rules (BCR) oder andere Regelungen, die von der Aufsichtsbehörde genehmigt werden müssen, mit dem Auftragnehmer (Cloud-Anbieter) treffen.

Weitere Schwachstellen können zudem sein:

  • die fehlenden Kontroll- und Weisungsbefugnisse, die oftmals nicht mit der für Cloud-Computing charakteristischen Standardisierung vereinbar sind,
  • die hohe Vielzahl an Beauftragungsketten, die in der Praxis keine Seltenheit sind.

Der Auftraggeber muss bei einem Unterauftragnehmer mit dem Sitz in der EU/EWR keine Besonderheiten beachten, da § 11 Abs. 2 Nr. 6 BDSG Unterbeauftragungen vorsieht. Haben der Auftragnehmer und der Unterauftragnehmer ihre Sitze in einem Drittland, so sollte es, wenn EU-Standardvertragsklauseln zwischen dem Auftraggeber und Auftragnehmer abgeschlossen sind, ebenfalls nicht zu großen Problemen für den Auftraggeber führen. Die EU-Standardvertragsklauseln sehen ebenfalls Regelungen zu Unterbeauftragungen vor. Hat der Auftragnehmer seinen Sitz in der EU/EWR und der Unterauftragnehmer seinen Sitz in einem Drittland, so gibt es derzeit keinen festen Regelungen. Dem Aufraggeber ist allerdings zumindest anzuraten, EU-Standardvertragsklauseln mit dem Unterauftragnehmer abzuschließen.

Fazit

Alles in allem ist Cloud-Computing gerade für kleine und mittelständische Unternehmen eine reizvolle Alternative, um Kapazitäten / Ressourcen zu sparen und sich auf das Kerngeschäft zu konzentrieren. Es ist allerdings zu empfehlen, dass sich die verantwortlichen Stellen vor Augen halten, dass Informationen an den Cloud-Anbieter übermittelt werden und bei personenbezogenen Daten das Datenschutzrecht greift. Ist die Cloud-Nutzung unvermeidlich, so sollte darauf geachtet werden, dass die Datenübermittlung rechtskonform erfolgt. Um die Probleme/Risiken zu minimieren, ist die Auswahl eines Cloud-Anbieters, der seinen Sitz in der EU/EWR hat, dringendst anzuraten. Bereits bei der Auswahl des Dienstleisters und Dienstes sollten Datenschutzaspekte berücksichtigt und der Datenschutzbeauftragte frühzeitig einbezogen werden.

Möchten auch Sie Cloud-Lösungen nutzen oder greifen Sie bereits auf Cloud-Lösungen zurück? Gerne stehen wir Ihnen auch als externer Datenschutzbeauftragter oder als Datenschutzberater zur Verfügung. Sprechen Sie uns an – nehmen Sie Kontakt auf oder fordern Sie ein unverbindliches Datenschutz-Angebot an.

Nützliche weitere Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.