> externer Datenschutzbeauftragter

Übertragung von Personaldaten und Kundendaten – Datenschutz beim Unternehmenskauf (Asset Deal vs. Share Deal)

Datenschutz beim UnternehmenskaufEin Unternehmenskauf kann vielerlei Gründe haben, beispielsweise der Erwerb von Kundendaten, die Übernahme von Schlüsselmitarbeitern des Zielunternehmens oder auch die Übernahme von Lieferbeziehungen. Nicht selten wird er als Einstieg in die Selbstständigkeit genutzt, die hierfür bekanntesten Beispiele sind wohl die häufig praktizierten Übernahmen von Arztpraxen, Apotheken oder Zahnarztpraxen. Ein Unternehmenskauf bringt in der Regel auch einen Übergang von personenbezogenen Daten mit sich. Aus diesem Grund sollten die datenschutzrechtlichen Regelungen beachtet werden, um möglichen Sanktionen entgegenzuwirken.

Ihr externer Datenschutzbeauftragter unterstützt Sie in allen datenschutzrechtlichen Belangen und klärt auf, warum der Datenschutz beim Unternehmenskauf beachtet werden sollte.

Personenbezogene Daten – Währung des 21. Jahrhunderts

Das Pflegen von Kundenbeziehungen war und ist das A und O für mögliche Umsatzsteigerungen im Unternehmen. Je mehr Informationen über die Verhaltensweisen des Kunden gesammelt werden können, desto einfacher ist es, gezielt die individuellen Bedürfnisse des Einzelnen zu erfassen, um diesem direkt die Produkte oder Dienstleistungen anzubieten, die er braucht oder die er nach ähnlichen Verhaltensmustern anderer Konsumenten in Betracht ziehen könnte. Wer Kundendaten sammelt und effektiv auswertet erhält folglich nicht nur einen Vorsprung im Verhältnis zu anderen Mitbewerbern, sondern kann sich Umsatzsteigerungen durch effiziente Datenauswertung und damit verbundene Vermarktung sichern. Somit stellen Kundendaten einen wesentlichen Vermögenswert dar und können ein Grund für einen Unternehmenskauf sein. Auf das oben aufgeführte Beispiel der Übernahme einer Arztpraxis bezogen, kann es sich hierbei um die unmittelbare Gewinnung von 500 und mehr Kunden handeln. Der Kunde, in diesem Fall Patient, wird dabei indirekt und vermeintlich zur Ware.

Aufgrund des Personenbezugs von Kunden-, Mitarbeiter- und Lieferantendaten sollten nicht-öffentliche Stellen den Datenschutz beim Unternehmenskauf daher nicht außer Acht lassen (§ 3 BDSG). Personenbezogene Daten bedürfen nach § 4 Abs. 1 Bundesdatenschutzgesetz (BDSG) eines besonderen Schutzes. So ist das Verarbeiten, Nutzen und Speichern personenbezogener Daten nur dann gestattet, wenn

  • der Betroffene dem freiwillig zustimmt oder
  • eine gesetzliche Vorschrift existiert, die das Verfahren erlaubt.

Neben den Kundendaten stellen auch Mitarbeiterdaten oder auch Lieferantendaten personenbezogene Daten dar, welche ebenso unter den § 4 Abs. 1 BDSG fallen und einer vorvertraglichen Prüfung, ob eine Zustimmung der Betroffenen einzuholen ist, bedürfen.

Datenschutz beim Unternehmenskauf

Vor einem Unternehmenskauf ist der Austausch von Informationen unerlässlich — sei es, um die Haftung zu beschränken, indem die Aufklärungspflicht durch den Verkäufer statuiert wird, oder um im Interesse des Käufers vollumfängliche Informationen über das Kaufobjekt zu erhalten. Dabei besteht besonders bei der Übertragung von Personendaten, welche von den Kunden, Lieferanten und Mitarbeitern des Unternehmens gesammelt wurden, eine Möglichkeit, gegen datenschutzrechtliche Reglementarien zu verstoßen.

Wie oben bereits erwähnt, stellt die Übermittlung personenbezogener Daten nach dem § 4 BDSG einen vom Betroffenen zustimmungsbedürftigen Vorgang dar, sofern keine gesetzliche Bestimmung besteht. Folglich ist es relevant, zu prüfen, ob die Übertragung eine Zustimmung des Betroffenen benötigt oder nicht.

Im Fokus eines Unternehmenskaufes steht oft der Erwerb von Kundendaten, da diese einen wichtigen Teil des Unternehmenswertes darstellen. Gerade weil der Käufer den wertvollen Kundenstamm (verbunden mit den Kundendaten) übernehmen will, wird der Käufer einen entsprechenden Betrag verlangen wollen. Ein Übergang dieser Daten ist jedoch datenschutzrechtlich gesehen nicht immer zulässig. Es muss im Einzelfall geprüft werden, welche Daten zu welchem Zweck genutzt und übertragen werden sollen. Dies gilt vor allem, wenn es sich nicht um einen Anteilskauf (Share Deal) oder eine Verschmelzung des Unternehmens mit einem anderen handelt, sondern um einen Kauf von Vermögenswerten des Unternehmens (Asset Deal), bei dem die Rechtspersönlichkeit des Unternehmens bestehen bleibt.

Share Deal

Der Share Deal ist neben dem Asset Deal eine Möglichkeit des Unternehmenskaufes und beschreibt den Anteilskauf (z. B. Kauf von Aktien oder von GmbH-Anteilen) eines Unternehmens. Obwohl bei einem hundertprozentigen Anteilskauf die Gesamtheit des Unternehmens übergeht, bieten sich einige datenschutzrechtliche Risiken, welche beachtet werden sollten.

Wie erwähnt, wird der Käufer vor einem Unternehmenskauf Informationen über das Unternehmen verlangen. Dies geschieht mithilfe der Due Diligence (kurz DD), auch bekannt als Due-Diligence-Prüfung (im Geschäftsverkehr gebotene Sorgfaltspflicht), welche eine Risikoprüfung darstellt und i. d. R. vom Käufer angefertigt oder beauftragt wird, Aufklärung über die tatsächliche Unternehmenssituation zu schaffen. Es ist nicht selten der Fall, dass der Käufer hierbei von „Dritten“, wie Steuerberatern, Unternehmensberater, Wirtschaftsprüfern oder Rechtsanwälten, unterstützt wird. Eine Due Diligence kann somit dem Käufer und weiteren „Dritten“ Zugang zu Kundenlisten oder Arbeitnehmerdaten liefern. In einem solchen Fall ist das Informieren der Betroffenen oder die Einholung ihrer Zustimmung meist nicht notwendig.

Der § 28 Abs. 1 Nr. 2 BDSG sieht zwar vor, dass der Zugriff auf personenbezogene Daten zulässig ist, sofern dieser der „Wahrung berechtigter Interessen der verantwortlichen Stelle“ dient und „kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung überwiegt“. Fraglich ist jedoch, ob die Veräußerung des Unternehmens ein „berechtigtes Interesse“ darstellt, da es sich dabei vorrangig um das Interesse der Gesellschafter handelt. Aus diesem Grund ist es empfehlenswert, bei der Vorlage einer Due Diligence personenbezogene Daten unkenntlich zu machen oder zu anonymisieren. Sonstige Fälle sollten mit dem zuständigen Datenschutzbeauftragten besprochen werden.

Asset Deal

Im Unterschied zum Share Deal werden beim Asset Deal nicht Anteilsrechte am Unternehmen erworben, sondern einzelne Wirtschaftsgüter. Dabei gehen die bestehenden Verhältnisse (z.B. Verträge) nicht mit auf den Erwerber über. Sollen diese mit übergehen, muss eine Vereinbarung des Überganges zwischen Verkäufer und Käufer vereinbart werden. Datenschutzrechtlich brisant wird das Thema, wenn ein Kundenstamm veräußert werden soll. Hierbei handelt es sich um die Übertragung personenbezogener Daten. Bei Kundendaten handelt es sich i. d. R. um Einzelangaben (wie Name, Adresse, Geburtsdatum usw.), welche unmittelbare oder mittelbare Rückschlüsse auf die Person (Betroffener) zulassen. In den meisten Fällen wird deshalb eine Zustimmung des Betroffenen notwendig sein.

In diesem Zusammenhang ist die Übermittlung von Namen, Postanschrift, Geburtsjahr und Beruf durch das im § 28 Abs. 3 BDSG enthaltene „Listenprivileg“ in den meisten Fällen unproblematisch.

Anders sieht es jedoch aus bei Kundeninformationen des Unternehmens, z.B. E-Mail-Adresse, Telefonnummer, Kaufhistorie oder auch Konto- oder Kreditkartendaten. Nach Auffassung des Bayerischen Landesamtes für Datenschutzaufsicht ist die Übermittlung solcher personenbezogenen Daten nur zulässig, sofern eine Belehrung der betroffenen Kunden stattgefunden hat und die Widerspruchsmöglichkeit dem Kunden mitgeteilt wurde. Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) verhängte, in dem von ihr entschieden Fall, wegen des Verstoßes genannter Kriterien ein Bußgeld von 3000 €.

Aus diesem Grund sollte vor Vertragsschluss immer die Einwilligung des Kunden eingeholt werden, da dies die spätere Weitergabe und Nutzung der Daten durch den Käufer erheblich erleichtert. Wird vorab beim Kunden keine Zustimmung eingeholt, besteht die Möglichkeit den Kunden über sein Widerspruchsrecht zu informieren und diesem eine Frist für den Widerspruch zu gewähren. Ein Verstoß gegen diese Vorgaben kann zu empfindlichen Sanktionen führen, welche nicht nur einen finanziellen Verlust mit sich bringen, sondern sich auch negativ auf das Image des Unternehmens auswirken können.

Fazit

Bei einem Unternehmenskauf ist immer eine genaue Analyse des Unternehmens erforderlich. Diese ist nicht nur relevant für den Käufer, indem dieser u.a. Informationen über das Zielobjekt erhält, sondern schützt den Verkäufer mitunter durch die Dokumentation der Vorverkaufsmaßnahmen (z.B. Due Diligence) vor möglichen Ansprüchen des Käufers, wegen Verletzung der Nebenpflichten aufgrund von nicht ordnungsgemäßer Aufklärung über das Objekt.

Datenschutzrechtlich relevant ist dieser Vorgang beim Unternehmenskauf besonders dann, wenn personenbezogene Daten übertragen werden. Um mögliche Haftungsrisiken zu vermeiden, sollte vorab geprüft werden, wie diese zu kategorisieren sind. Zu unterscheiden ist dabei die Zulässigkeit der Datenübermittlung und die Verwertbarkeit der Daten für den Käufer, welche ebenso erhebliche Kriterien für die Kaufpreisfindung sind und den Kernbereich einer Due Diligence bilden.

Sollte eine umfangreiche Datenschutzanalyse entfallen, ist von einer grob fahrlässigen Handlung auszugehen, da eine solche Analyse ein in der Praxis häufig angewendetes Verfahren ist. Eine daraus resultierende widerrechtliche Handlung in Sachen Datenschutz kann durch die Aufsichtsbehörde mit empfindlichen Sanktionen belegt werden und hat weitreichendere Folgen als den Verlust von Kapital, da ein Verlust des Ansehens (Image) des Unternehmens meist auch den Verlust von Kundschaft bedeutet.

Sie sollten daher den Datenschutz beim Unternehmenskauf nicht außer Acht lassen und den Rat eines Datenschutzberaters oder Ihres internen/externen Datenschutzbeauftragten einholen.

Sollten Sie noch Fragen zum Datenschutz beim Unternehmenskauf haben oder sich im Bereich Datenschutz besser positionieren wollen, dann steht Brands Consulting Ihnen gerne zur Seite. Wir unterstützen Sie in allen datenschutzrechtlichen Belangen und stehen Ihnen stets als kompetenter und zuverlässiger Ansprechpartner in Sachen Datenschutz zur Verfügung.

Holen Sie sich ein unverbindliches und kostenloses Angebot zum Datenschutz bei uns ein oder nehmen Sie mit uns Kontakt auf und profitieren Sie von unserer Erfahrung.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

Statt Payback, Daten weg! – Wie Phishing Datenschutzrisiken hervorruft

Phishing DatenschutzrisikenDas Thema „Phishing Datenschutz“ beschäftigt, wenn neue Phishing-Attacken „die Runde machen“, nicht nur die Betroffenen selbst, sondern auch Datenschützer und Datenschutzbeauftragte.

Der Begriff „Phishing“ ist ein Kunstwort und setzt sich aus den englischen Wörtern „Password“ sowie „Fishing“ zusammen. Das Ziel der Täter ist es mittels gefälschter E-Mails, SMS und Webseiten an Datensätze, wie Passwörter und Kreditkartennummern, zu gelangen.

Ihr externer Datenschutzbeauftragter hat die wiederkehrenden Phishing-Attacken, ob auf Payback- oder Amazon-Kunden, gutgläubige „Gewinnspielteilnehmer“, denen Gutscheine von Saturn oder Ikea versprochen worden sind, oder Betroffene, die in der Hoffnung auf Steuerrückzahlungen auf die Phishing-Attacken reingefallen sind, zum Anlass genommen, um Sie über die Gefahren zu informieren und das Thema „Phishing Datenschutzrisiken“ näher zu durchleuchten.

Wieso Phishing Datenschutzrisiken für Payback-Nutzer verursacht hat

In den vergangenen Wochen hörte man vermehrt über neue Phishing-Attacken, die verstärkt auf Kunden, wie Payback- oder Amazon-Kunden ausgerichtet waren. Im Fall von Payback versendeten die Täter  E-Mails, die die Kunden über den 15. Geburtstag von Payback informierten und Payback-Nutzern die Verdopplung ihrer Payback-Punkte versprachen, dabei sollten Kunden einen Link anklicken. Diese E-Mails waren so gut gefälscht, dass nur den wenigsten Kunden auffiel, dass Payback bereits den 15. Geburtstag ein Jahr zuvor gefeiert hat. Folgte man nun dem Link, so wurde man auf eine gefälschte Webseite geführt, die sich ebenfalls kaum von der Originalen unterschied und wurde aufgefordert, seine Benutzerdaten einzugeben, die direkt in die Hände der Täter fielen.

Trotz der Mühe der Täter, die E-Mail möglichst echt aussehen zu lassen, sollte kritischen Nutzern unter anderem auffallen, dass sie, wie bei Phishing-Mails üblich, nicht persönlich angesprochen werden. Möchten Sie sich über weitere Anzeichen für gefälschte E-Mails, Webseiten und SMS informieren, dann lesen sich unseren Beitrag „Angriffe in Facebook, E-Mails & Co. – Wenn Phishing Datenschutz – Probleme hervorruft“.

Wer von Phishing-Attacken bis jetzt verschont geblieben ist, sollte sich dennoch mit dieser Thematik befassen, da die Täter nicht nur gefälschte Newsletter verschicken, sondern in sämtlichen Bereichen sowohl für Privatpersonen als auch für „verantwortliche Stellen“ eine Gefahr darstellen. Dies wurde in den vergangenen Wochen und Monaten deutlich, denn neben den gefälschten Payback-E-Mails tauchten vermeintliche E-Mails vom Finanzamt und von der Telekom auf. Die gefälschten E-Mails vom Finanzamt lockten die Betroffenen mit Steuerrückerstattungen. Während die Telekom angeblich vor einem vollen Speicher warnte. Genauso wie bei den Payback-E-Mails führte man die Betroffenen auf eine gefälschte Webseite und forderte zur Eingabe der E-Mail-Adresse und des Passwortes sowie weiterer Daten, z. B. Bankdaten, auf. Ähnlich von der Vorgehensweise, allerdings unter einem anderen Vorwand, sollten Amazon-Kunden ihre Daten zur Bekämpfung von Terrorismus überprüfen lassen.

Neben Privatpersonen und „verantwortlichen Stellen“ wurden in den letzten Monaten auch Politiker „Opfer“ von Spear-Phishing-Mails. Bezieht sich der Phishing-Angriff auf eine bestimmte Personengruppe und ist nicht breit gestreut, wie die Payback-Attacken, so ist die Rede von einem Spear-Phishing-Angriff. Der in der E-Mail eingebettete Link sollte die Politiker auf eine Malware verseuchte Webseite führen. Möchten Sie mehr zu den Gefahren durch Malware erfahren, dann lesen Sie unseren Beitrag „Verschlüsselungs-Trojaner „Locky“ – Die unerwünschte Verschlüsselung im Datenschutz“.

Die zahlreichen Fälle zeigen, dass die Kreativität der Täter keine Grenzen kennt und sich nicht nur Privatpersonen, sondern auch „verantwortliche Stellen“ mit dem Thema „Phishing Datenschutz“ auseinandersetzen sollten.

Wieso Phishing Datenschutzrisiken für „verantwortliche Stellen“ hervorrufen

DatenpannePhishing-Attacken, insbesondere, wenn Kreditkarten- und Bankdaten ausgespäht worden sind, führen für Betroffene häufig zu viel Stress und können zu einem hohen finanziellen Schaden führen, allerdings sind die Auswirkungen für „verantwortliche Stellen“ wesentlich schlimmer.

Der Grund ist, dass verantwortliche Stellen über weitaus mehr personenbezogene Daten verfügen, wodurch das Datenschutzgesetz klare Regelungen für derartige Datenpannen getroffen hat. Laut § 42 a Bundesdatenschutzgesetz (BDSG) sind verantwortliche Stellen bei sogenannten Datenpannen dazu verpflichtet, Betroffene und die Aufsichtsbehörde über den Verlust der Daten zu informieren. Dieser Informationspflicht muss insbesondere bei besonderen Angaben personenbezogener Daten (z. B. Beispiel Gesundheitsdaten) sowie bei personenbezogenen Daten zu Bank- und Kreditkonten nachgegangen werden. Solche Datenpannen führen zu hohen Bußgeldern und einem erheblichen Imageverlust.

Verantwortlichen Stellen, wie Unternehmen und Vereinen, ist deshalb dringend anzuraten, sich mit dem Thema „Phishing Datenschutzrisiken“ auseinanderzusetzen sowie die Mitarbeiter ausreichend zu schulen. Eine weitere Maßnahme, die ergriffen werden sollte, ist der Einsatz von Spam- und Phishing-Filtern, die gefälschte E-Mails und Webseiten erkennen und blockieren sollen.

Möchten Sie mehr zu dem Thema „Phishing Datenschutz“ erfahren oder wünschen Sie Datenschutz-Schulungen, um Ihre Mitarbeiter ausreichend zu sensibilisieren? Dann holen Sie sich ein unverbindliches Angebot zum Datenschutz ein oder nehmen Sie direkt Kontakt mit uns auf.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

Lädst du noch oder überträgst du schon? – Datenschutzrisiko öffentliche Ladestationen

öffentliche Ladestationen DatenschutzWer kennt das nicht? Man befindet sich auf Geschäftsreise oder ist anderweitig unterwegs und prompt ist der Akku des mobilen Endgerätes (z.B. Handy, Laptop, Tablet etc.) leer. Das Ladekabel hat man vergessen und die mobile Powerbank ist ebenfalls nicht zur Hand. In der Regel passiert dies in besonders ungünstigen Situationen: Die Verabredung wollte sich per Anruf melden oder es sollte noch eine wichtige E-Mail an den Kunden geschrieben werden. Retter in der Not sind die öffentlichen Ladestationen, welche in Fernzügen, Cafés, Flughäfen und auch in Linienbussen aufzufinden sind. Dankend wird in den oben genannten Notsituationen der kostenlose Dienst in Gebrauch genommen und in manchen Fällen später bitterlich bereut. Durch solche Ladekabel können Schäden am Handy sowie die Übertragung personenbezogener Daten nicht ausgeschlossen werden.

Ihr externer Datenschutzbeauftragter erklärt, warum durch öffentliche Ladestationen Datenschutz-Risiken bestehen und gibt Hinweise zum Schutz.

Beschädigung des Gerätes bei der Nutzung von offenen Ladestationen

Sie sollten sich vorab bewusst machen, dass nicht nur datenschutzrechtliche Probleme beim Laden mit fremden Ladegeräten entstehen können. Ein anderes Kabel kann vor allem dann Ihr Handy schädigen, wenn dieses eine zu hohe Spannung aufweist. Aus diesem Grund ist es sicherer, das eigene Ladekabel zu verwenden oder, sofern dieses vergessen wurde, eine geeignete Powerbank zu nutzen oder im Notfall ein geeignetes Ladekabel neu zu erwerben.

Wie öffentliche Ladestationen Datenschutz -Risiken hervorrufen können

Neben den Schäden am Gerät sollte allerdings vor allem das Datenschutzrisiko nicht außer Acht gelassen werden, das neben hohen Bußgeldern zu einem erheblichen Imageverlust führen könnte.

Unberechtigter Zugang Dritter durch USB-Anschluss

Fast alle Mobilgeräte lassen sich mithilfe eines USB-Kabels aufladen, dabei dient das USB-Kabel nicht nur der reinen Lieferung von Energie an das Endgerät, sondern ebenso dem Datentransfer. Wird ein mobiles Endgerät über den USB-Port eines Computers angeschlossen, kann nicht nur der Akku des Endgerätes aufgeladen werden, sondern per Computer auf die Daten des Endgerätes zugegriffen und sogar Daten von einem Computer auf das mobile Endgerät transferiert werden. Folglich kann bei einer öffentlichen Ladenstation nicht ausgeschlossen werden, dass unberechtigte Dritte Zugang auf die Daten des mobilen Endgerätes haben und darauf befindliche Daten von diesen eingesehen, transferiert und andernorts gespeichert werden könnten.

Voller Akku inkl. Malware aus der Ladestation

Ein anderes Risiko neben dem Zugang Unberechtigter stellt das sogenannte „Juice Jacking“ dar. Juice Jacking beschreibt einen zielgerichteten Cyberangriff auf ein mobiles Endgerät über dessen Stromzufuhr. Auf einer Hackerveranstaltung namens „DEF CON“, einer Messe, die über die neuesten Entwicklungen im Computerbereich und über bestimmte Computerrisiken aufklärt, wurden einige Ladestationen aufgebaut. Diese wurden vorher so präpariert, dass bei Anschluss der mobilen Geräte an die Ladestationen die Nachricht „[…] should not trust public charging station […]“, zu deutsch („[…]es sollte den öffentlichen Ladestationen kein Vertrauen geschenkt werden […]“), auf den Endgräten angezeigt wurde. Die simulierten Angriffe lassen erkennen, wie einfach es für Fremde ist, Zugang zum mobilen Gerät zu erlangen, indem die Täter öffentliche Ladestationen manipulieren. Vergleichbare Manipulationen kennen wir beispielsweise bei EC- und Kredit-Karten an Geldautomaten. Hier werden Karten kopiert und PIN-Nummern abgegriffen.

In der Regel bemerkt der Eigentümer den Zugriff auf sein Handy im ersten Moment nicht. Die Täter gehen dabei sehr geschickt vor, indem beim Anschluss des mobilen Endgerätes an eine öffentliche Ladestation eine darauf befindliche App durch eine gleich aussehende Schadsoftware ersetzt wird. Diese erlaubt dem unberechtigten Dritten nicht nur vollen Einblick in Ihre Daten auf dem Handy, sondern kann ihm auch ermöglichen auf Ihr Handy zuzugreifen.

Möglichkeiten zum Schutz des mobilen Gerätes und der Daten

Die sicherste und einfachste Möglichkeit ist es, den Dienst einer öffentlichen Ladestation nicht in Anspruch zu nehmen und somit seine Daten zu schützen. Sofern Sie unterwegs auf eine Lademöglichkeit angewiesen sind, so sollte immer das eigene Ladegerät genutzt werden. Das Ladegerät sollte dabei nicht an einen fremden USB-Anschluss angeschlossen werden, sondern immer direkt an eine Steckdose. Weitere Schutzmöglichkeiten bieten Charge-Only-Cable, welche einen Datentransfer ausschließen und nur eine Aufladung des Endgerätes ermöglichen. Eine mobile Powerbank kann ebenso eine sichere Energieversorgung des Handys garantieren.

Je nach Anbieter des mobilen Endgerätes bieten bereits vorhandene Handyeinstellungen einen Schutz. Apple beispielsweise sperrt den Datenaustausch, jedoch nur solange das iPhone nicht durch Eingabe des Codes entsperrt wird. In diesem Zustand ist der Zugriff durch einen fremden PC über die USB-Verbindung nicht möglich. Unbekannt ist der PC allerdings nicht mehr, wenn das iPhone während des Ladevorgangs entsperrt wurde. Nutzen Sie während des Ladens an einer Ladestation das Gerät, so ist ein Zugriff Unberechtigter auf ihr iPhone möglich. Schließen Sie es erneut an diese Ladestation an, so ist diese Ladestation als „bekannt“ deklariert und ein Datentransfer ist theoretisch auch im gesperrten Zustand nicht völlig ausgeschlossen. Sie sollten daher, solange das iPhone lädt, nicht darauf zugreifen. Gerade bei dringlichen Anrufen oder E-Mails erscheint dies schwierig zu realisieren.

Trotzdem ist eine völlige Sicherheit gegen den Zugriff nicht garantiert, da es gewisse Software gibt, welche Codes leicht entschlüsseln kann. Eine Software-Lösung für dieses Problem bietet Jailbreak. Jailbreak (dt. Gefängnisausbruch) beschreibt das Verändern des Betriebssystems (iOS), damit bestimmte Funktionen intergiert werden können, auch solche, die den Zugriff durch Fremde unterbinden.

Bei Android-Geräten kann ein Datentransfer während des Ladens unterbunden werden, wenn in den Einstellungen unter Entwickleroptionen eine Deaktivierung des USB-Debugging vorgenommen wird. Nutzt man diese Funktion bei einem Datentransfer auf den eigenen Computer, sollte diese nach Beendigung des Datenaustausches wieder deaktiviert werden.

Möchten Sie mehr zum Thema „ Öffentliche Ladestationen Datenschutz “ erfahren oder sich dauerhaft im Datenschutz besser positionieren? Nehmen Sie gerne Kontakt zu uns auf oder holen Sie sich ein unverbindliches Datenschutz-Angebot ein

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

Wirkungsbereich der Datenschutzgesetze – Datenschutz bei juristischen Personen

Datenschutz bei juristischen PersonenMit stetig neuen Verfahren und Services, wie Facebook, Twitter und Co., die die Privatsphäre des Einzelnen immer mehr einschränken, drängt sich nicht zuletzt die die Frage nach dem Datenschutz auf. Das Recht auf  informationelle Selbstbestimmung / Datenschutz dient dazu, dem Einzelnen die Möglichkeit zu geben, über seine eigenen (persönlichen) Daten und wie mit diesen zu verfahren ist, zu bestimmen. Informationen (spezifische Daten) werden jedoch nicht nur von natürlichen Personen (Menschen) erzeugt, sondern ebenso von öffentlichen Stellen, von juristischen Personen der öffentlichen Hand (z.B. Anstalten, Körperschaften des öffentlichen Rechts) und der Privatwirtschaft (Unternehmensformen, wie GmbH, AG, OHG, etc.). Diese Stellen haben, ebenso wie natürliche Personen, regelmäßig ein Interesse daran, dass ihre Daten den gleichen Schutz genießen.

Ob die deutschen Datenschutzbestimmungen auch für juristische Personen anwendbar sein sollten, steht seit längerem im Diskurs. Ihr externer Datenschutzbeauftragter informiert im Folgenden, inwieweit eine Ausweitung des Datenschutzrechts auf juristische Personen möglich ist oder zukünftig denkbar sein könnte.

Geltungsbereich der deutschen Datenschutzbestimmungen

Geregelt ist der Geltungsbereich der deutschen Datenschutzbestimmungen im § 1 des Bundesdatenschutzgesetztes (BDSG). Nach diesem werden personenbezogene Daten geschützt, welche in den weiteren Bestimmungen des § 3 Abs. 1 BDSG näher erläutert sind. Nach dieser Legaldefinition sind „personenbezogene Daten Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener).“

So ergibt sich nach dem § 3 Abs. 1 BDSG eine Zuweisung des Schutzes personenbezogener Daten auf natürliche Personen.  Hinter der Begrifflichkeit der natürlichen Person steckt das Rechtssubjekt Mensch, als Träger von Rechten und Pflichten. Rechtsubjekte, die ebenso Träger von Rechten und Pflichten sind, jedoch keine Menschen darstellen, z. B.  Unternehmen, werden unter dem Begriff der juristischen Personen geführt und fallen nach dem Wortlaut des § 3 Abs. 1 BDSG nicht in den Schutzbereich des Bundesdatenschutzgesetzes.

Das Recht auf informationelle Selbstbestimmung

Es besteht jedoch das Recht auf informationelle Selbstbestimmung, welches sich aus den Artikeln 1 und 2 des Grundgesetzes ergibt. Dieser Schutz der informationellen Selbstbestimmung wird wiederum ausgeformt durch die deutschen Datenschutzbestimmungen. Die Datenschutzbestimmungen beziehen sich nach § 3 Abs. 1 BDSG jedoch nur auf natürliche Personen. Das impliziert, dass der deutsche Datenschutz, der durch das Grundgesetz konkretisiert wird, nur auf natürliche Personen Anwendung findet. Eine Anwendung auf juristische Personen ist jedoch nicht auszuschließen, da Art. 19 Abs. 3 GG eine Geltung der Grundrechte auch auf inländische juristische Personen ausweitet. Die Anwendung der Datenschutzbestimmungen auf juristische Personen kann folglich nicht direkt aus dem deutschen Datenschutzgesetz entnommen werden. Der Umweg der Ausweitung des Datenschutzes auf juristische Personen über das Grundgesetz könnte zielführend sein, da juristische Personen des öffentlichen Rechts (z.B. Anstalten, Stiftungen) wie auch des Privatrechtes (z.B. AG, GmbH) ein Interesse daran haben könnten, über ihre unternehmensbezogenen Daten selbst bestimmen zu können.

Datenschutz bei juristischen Personen – Träger der informationellen Selbstbestimmung

Das Oberlandesgericht Niedersachsen hat in seiner Entscheidung 10 ME 385/08 v. 15.05.2009 festgestellt, dass juristische Personen auch Träger informationeller Selbstbestimmung sein können. Dies soll sich aus dem Teilbereich des Persönlichkeitsrechts erschließen, welches juristische Personen innehaben, jedoch sei die Schutzschwelle sehr hoch anzusetzen und daher nicht immer gegeben. Die besagte Schutzschwelle ist erreicht, wenn ein starker Bezug von der natürlichen Person zu der juristischen Person vorliegt, was im folgenden Abschnitt näher erläutert wird.

Datenschutzrechtlicher Schutz der Mitglieder

Eine juristische Person agiert an sich nicht, sondern die dahinterstehenden natürlichen Personen (z.B. Geschäftsführer, Angestellte etc.). Aus diesem Grund wäre eine Ausweitung des Datenschutzes auf die juristische Person denkbar. Wie bereits festgestellt, fallen nur natürliche Personen unter den Geltungsbereich des deutschen Datenschutzes, allerdings kann der Schutz nicht direkt aus der Konstellation „natürliche Person agiert für juristische Person“ entnommen werden. Der Schutz erstreckt sich lediglich auf Belange der natürlichen Person. Die Daten der juristischen Person müssen somit einen unmittelbaren Bezug zu der natürlichen Person aufweisen, um in den Schutzbereich des deutschen Datenschutzes zu gelangen. Somit fallen beispielsweise Angaben über Beschäftigte, die in einem Unternehmen agieren („Der Geschäftsführer Max Mustermann ist seit 2007 zum Geschäftsführer berufen worden.“), oder Angaben über die Gesellschafter des Unternehmens („Der Gesellschafter X ist Wohnhaft in Stadt Y.“),  in den Schutzbereich des deutschen Datenschutzrechtes, allerdings bestehen hier regelmäßig Sondersituationen, da z. B. der Name des Geschäftsführers einer Veröffentlichungspflicht unterliegt.

Anwendbarkeit der Datenschutzgesetze auf Ein-Mann-GmbH und Einzelfirma

Ebenso kann eine Unternehmensbezeichnung unter den Schutzbereich des deutschen Datenschutzgesetzes fallen, indem sie ein personenbezogenes Datum nach dem § 3 Abs. 1 BDSG bildet. Ein solcher Zustand liegt nach der Erklärung des Verwaltungsgerichts Wiesbaden vom 07.12.2007 im Verfahren Az. 6E 928/07 vor, sofern die dahinter agierende natürliche Person Alleinaktionär oder Gesellschafter ist. Diese personelle und finanzielle Verflechtung muss dabei eine so starke Bindung aufweisen, dass die Aktivitäten des Unternehmens direkt der dahinter agierenden natürlichen Person zugewiesen werden kann. Eine solche finanzielle und personelle Verflechtung tritt vermehrt bei Ein-Mann-GmbHs und Einzelfirmen auf. Der Europäische Gerichtshof (EuGH) bestätigte den vom Verfassungsrecht Wiesbaden dargelegten Schutzumfang in dem Urteil vom 9. November 2016, Az. C 92/09 und 93/09, Rz. 54, jedoch besteht nach der Ansicht des Europäischen Gerichtshofes keine Gleichwertigkeit von personenbezogenen Daten und der Daten der juristischen Person.

Differenzierte Betrachtungsweisen des Geltungsbereiches in Nachbarländern

Eine strikte Zuweisung des datenschutzrechtlichen Geltungsbereiches nur auf natürliche Personen, ist jedoch nicht aus der RL 95/46/EG zu entnehmen. Dies gab den Mitgliedstaaten der EU einen Handlungsspielraum, die darin enthaltenen Vorgaben in eigenes Recht umzusetzen. Aus diesem Grund besteht in einigen EU-Ländern (z.B. Österreich, Luxemburg, Dänemark) auch für juristische Personen die Anwendungsmöglichkeit der Datenschutznormen. Der deutsche Gesetzgeber hat die Anwendung der datenschutzrechtlichen Regelungen jedoch auf natürliche Personen beschränkt. Eine Ausnahme von dieser Regelung besteht lediglich dann, wenn ein starker Personenbezug vorliegt, wie bei Ein-Mann-GmbHs und Einzelfirmen, der den Anwendungsbereich des deutschen Datenschutzrechtes auf juristische Personen ausweitet.

Regelungen im Telekommunikationsgesetz (TKG)

Während das Bundesdatenschutzgesetz (BDSG) lediglich auf natürliche Personen anzuwenden ist, erstreckt sich der Anwendungsbereich des Telekommunikationsgesetzes (TKG) auch auf juristische Personen (§ 91 Abs. 1 TKG). Nach diesem werden Daten von juristischen Personen (z.B. AG) oder Personengesellschaften (z.B. OHG) denen von natürlichen Personen gleichgestellt und nach Abschnitt 2 des TKG geschützt. Nach diesem erstreckt sich der Schutzbereich des Telekommunikationsgesetzes auch auf Daten, welche beim Telekommunikationsvorgang von juristischen Personen erzeugt werden oder wurden (Verbindungsdaten).

Anpassung des Geltungsbereiches durch die EU-DSGVO

Mit der Einführung der Europäischen Datenschutzgrundverordnung ist mit einigen Änderungen zu rechnen. Die Verordnung, die 2016 verabschiedet wurde und ab 2018 in allen Mitgliedstaaten der EU gelten soll, hat einen klaren Duktus in Bezug auf den Schutzumfang. Demnach enthält die Europäische Datenschutzverordnung nach Art. 1 DSGVO Vorschriften zum Schutz natürlicher Personen. Ein vollkommener Ausschluss der Anwendung des Datenschutzes für juristische Personen ist fraglich, da die derzeitige Rechtsprechung unter bestimmten Vorrausetzungen den Datenschutzbereich auch auf juristische Personen ausweitet.

Fazit

Die europäische Grundverordnung vereinheitlicht in Europa den Schutzbereich des Datenschutzrechtes und weist diesen nur natürlichen Personen zu. Für Länder außerhalb der EU (z.B. Schweiz) kann ein Schutz der juristischen Person in datenschutzrechtlichen Belangen bestehen. Die Beschränkung des Datenschutzbereiches auf natürliche Personen ist indes nicht fesselndes Paradigma, da derzeit eine richterliche Ausformung des Gesetzes besteht, welches einen Bezug des Datenschutzes auf juristische Personen unter bestimmten Voraussetzungen (Ein-Mann-GmbH und Einzelfirmen) nicht vollkommen ausschließt. Inwiefern sich dies durch die Einführung der Europäischen Datenschutzgrundverordnung im Jahr 2018 ändern wird, bleibt abzuwarten.

Es ist daher ratsam, sich kompetente Unterstützung im Bereich des Datenschutzes einzuholen, um einen Überblick über datenschutzrechtliche Themenbereiche zu bekommen und einer möglichen Haftung wegen Missachtung oder inkorrekter Anwendung des Datenschutzrechts entgegenzuwirken.

Haben Sie weitere Fragen zu Datenschutz bei juristischen Personen oder wollen Sie sich im Datenschutz dauerhaft besser positionieren? Brands Consulting bietet Ihnen optimal Unterstützung in Sachen Datenschutz. Holen Sie sich ein unverbindliches und kostenloses Angebot zum Datenschutz bei uns ein oder nehmen Sie mit uns Kontakt auf und profitieren Sie von unserer Erfahrung.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen

Telegram und Threema – Mehr Datenschutz mit WhatsApp-Alternativen

Datenschutz WhatsApp-AlternativenSind Telegram und Threema Alternativen? Sowohl Datenschutzbeauftragte als auch die Benutzer selbst fragen sich seit Langem, ob Datenschutz mit WhatsApp möglich ist. Insbesondere Nach dem Aufkauf von WhatsApp durch Facebook im Jahre 2014 wechselten viele WhatsApp-Nutzer zu alternativen Instant-Messaging Dienstleistern. Die wohl am häufigsten in den Medien genannten WhatsApp-Alternativen sind Threema und Telegram.

Ihr externer Datenschutzbeauftragter informiert, ob Sie mehr Datenschutz mit den WhatsApp-Alternativen Telegram und Threema erreichen können und gibt ihnen Hinweise, auf was Sie bei der Auswahl eines Instant Messaging Dienstes achten sollten, damit eine ausreichende Datensicherheit sowie der möglichst nachhaltige Schutz Ihrer personenbezogenen Daten besteht.

Instant-Messaging-Dienste

Der wohl erste, den meisten Personen bekannte, Instant-Messaging-Dienst dürfte wohl ICQ sein. Ein Dienst der seit 1998 zu AOL gehörte. Auch nach dem Aufkommen von Smartphones sind die Nachfolger kaum wegzudenken. Nicht nur für Privatpersonen sind Instant-Messaging-Dienste interessant, sondern auch für Unternehmen, da diese eine schnelle und kostengünstige Übermittlung von Daten ermöglichen. Als diese Dienstleistungen aufkamen, waren sie nur für die schnelle Übermittlung von Textnachrichten und kleinen Bildern bekannt. Schnell wurden jedoch neue Funktionen integriert und gestatteten den heutigen Nutzern die Möglichkeit, Bilder wie auch Audio- und Video-Streams an andere Instant-Messaging-Nutzer zu übermitteln.

Datenschutzrechtliche Bewertung der WhatsApp-Übernahme durch Facebook

Besonders der Instant-Messaging-Dienst WhatsApp erfreute sich immer größerer Beliebtheit bei den Nutzern und verbreitete sich rasant. Vor allem in Erinnerung geblieben ist die Übernahme WhatsApp durch die Social-Network-Plattform Facebook im Februar 2014. Die Übernahme durch Facebook wurde hinreichend kritisch betrachtet, nicht zuletzt aufgrund des mangelhaften Umgangs von Facebook mit dem Datenschutz, der wohl bis heute bestehen dürfte. Grund für die Defizite im Bereich Datenschutz könnte sich aus dem Unternehmenssitz von Facebook, welcher sich in den Vereinigen Staaten befindet, erschließen, da derzeit noch keine hinreichenden Vereinbarungen mit den Vereinigten Staaten hergestellt werden konnten, um dem datenschutzrechtlichen Standard der EU zu genügen. Zumindest wird erhebliche Kritik am EU-US-Privacy-Shield durch Datenschützer geäußert. Besonders im Fokus stand bei der Übernahme die Anpassung der Datenschutzbestimmungen in WhatsApp durch Facebook. Diese erlaubt dem Betreiber (WhatsApp), Benutzermedien für kommerzielle Zwecke zu Nutzen. Viele Medien rieten, inspiriert durch Datenschützer und Datenschutzbeauftragte, daher zu alternativen Anbietern zu wechseln, um dem Risiko der unfreiwilligen Datenweitergabe zu entgehen. Häufig angepriesen wurden die Anbieter Threema und Telegram. Diese und WhatsApp sollen in den Punkten:

  • Standort des Servers (da nicht in jedem Land ein gleiches Datenschutzniveau besteht),
  • Verfahren,
  • Sicherheitsdefizite,
  • weitere Entwicklung

auf ihre datenschutzrechtliche Konformität überprüft werden, um Ihnen einen Überblick über die datenschutzrechtliche Sicherheit der genannten Dienste zu gestatten.

Datenschutz mit WhatsApp – Marktführer mit Datenschutzmängeln

WhatsApp ist derzeit der Markführer im Bereich der Instant-Messaging-Dienste. Im vergangenen Jahr 2016 knackte der Anbieter die Marke von einer Milliarde Nutzer und ist derzeit der Instant-Messaging-Dienst mit der höchsten Nutzerzahl.

  • Standort des Servers

Der Sitz des Anbieters befindet sich in den USA, wo sich auch der entsprechende Server befindet. Datenschutzrechtlich ist dies kritisch zu betrachten, da derzeit in den USA ein niedrigerer Datenschutzstandard bestehen dürfte als in der EU.

  • Verfahren

Für die Nutzung der App ist nach der Installation eine Registrierung mit Angabe der eigenen Telefonnummer vorgesehen. Die Nummer, die der Nutzer preisgibt wird von WhatsApp gespeichert, dabei wird die Nummer so spezifiziert, dass sie nur diesem Nutzer zugeschrieben werden kann. Mit dieser Methode ist es dem Nutzer nun möglich, mit der Eingabe von Telefonnummern andere WhatsApp-Nutzer ausfindig zu machen und mit diesen über die App / durch Push-Mitteilungen zu kommunizieren.

  • Sicherheit

Seit 5. April 2016 führte WhatsApp die End-to-End-Verschlüsselung ein, die dem Nutzer unter anderem nach dem Einscannen eines QR-Codes bestätigt wird. Die Nachrichten oder Telefonate werden beim Versenden verschlüsselt und können nur vom Empfänger und Versender der Nachricht eingesehen werden. Die Sicherheit des Verfahrens basiert auf den Aussagen von WhatsApp und kann nicht überprüft werden, da es sich um eine Software handelt, welche dem Nutzer und Dritten nur eingeschränkt zugänglich ist. Eine abschließende Bewertung, ob es sich tatsächlich um eine sichere Verschlüsselung handelt, ist daher nicht möglich. Wenn Sie mehr zu der End-to-End-Verschlüsselung von WhatsApp erfahren möchten, dann lesen Sie gerne unseren Beitrag „Eine Revolution: WhatsApp-Verschlüsselung – mehr Datenschutz bzw. Datensicherheit?“.

  • Sicherheitsdefizite

In die Schlagzeilen geriet WhatsApp, wie bereits erwähnt, mit dessen Aufkauf durch den Betreiber der Social Media Plattform Facebook. Anders als zunächst angekündigt, strebte Facebook mit dem Kauf die kommerzielle Nutzung der Benutzerdaten von WhatsApp an. Weiterhin wurde bekannt, dass

  • die Telefondaten der WhatsApp-Nutzer an Facebook unverschlüsselt übermittelt wurden.
  • Fremde sich leicht Zugang zu WhatsApp-Konten verschaffen konnten. Für den Zugang benötigten diese nur geringfügige Informationen (Handynummer oder Seriennummer des Handys) des Nutzers.
  • Weiterhin konnte sich eine Hackergruppe Zugang zu einer Mehrzahl von WhatsApp-Nutzerkonten verschaffen.
  • Ebenso wurde bekannt, dass das System mehrere Sicherheitslücken aufwies, die WhatsApp in gewissen Abständen behob.
  • Weitere Entwicklung

Im September 2016 hatte WhatsApp eine Änderung seiner Datenschutzerklärung verkündet. Diese gab WhatsApp das Recht, Kontaktdaten des Nutzers an Facebook weiterzuleiten. Mit diesem Vorgehen versprach sich Facebook, Werbung besser personalisieren zu können. Der Verbraucher konnte zwar der Zusendung personalisierter Werbung widersprechen, nicht jedoch der Datenübertragung. Eine Vielzahl von datenschutzrechtlichen Klagen gingen gegen dieses Verfahren ein und erreichten einen derzeitigen Datenweitergabe-Stopp (nähere Informationen erhalten Sie in unserem Beitrag: „Facebook stoppt Datenweitergabe – Hoffnung für den „ WhatsApp Datenschutz“?“)

Datenschutz mit Threema – Messenger mit Fokus auf Datensicherheit

Bei dem Instant-Messenger Dienst Threema steht besonders die Datensicherheit im Fokus der Dienstleistung. Die kostenpflichtige App ist dabei, wie andere Instant-Messaging-Dienste, auf Smartphones und auch auf Tablets nutzbar.

  • Standort des Servers

Der Standort des Unternehmens befindet sich in der Schweiz, wo sich nach Aussagen des Unternehmens auch der Server befindet.

Die europäische Kommission hat der Schweiz, welche als Drittstaat gilt, ein mit der EU vergleichbares Datenschutzniveau attestiert.

  • Verfahren

Mit Herunterladen der Threema-App auf das Handy ist der Registrierungsvorgang abgeschlossen. Es ist für die Anmeldung nicht nötig, personenbezogene Daten wie Name, Alter, etc. anzugeben. Das Hinzufügen von Kontakten kann über drei verschiede Verfahren erfolgen. Diese haben verschiede Sicherheitsstufen und bestimmen den Grad, wie „genau“ nach dem Kontakt gesucht werden soll. Threema erklärte dabei, dass bei der höchsten Stufe ein personifizierter QR-Code des gesuchten Kontaktes eingescannt wird und somit mit größter Wahrscheinlichkeit der gesuchte Kontakt ermittelt werden kann. Das Verfahren sei im Vergleich zu der Variante, bei der Telefonnummern abgeglichen werden, konkreter und sicherer, da mit einer höheren Wahrscheinlichkeit die gesuchte Person erreicht wird und nicht ein fremder Dritter.

  • Sicherheit

Threema nutzt mehrere Verschlüsselungsverfahren, darunter nach eigenen Angaben die quelloffene NaCl („salt“ ausgesprochen) Bibliothek — dabei werden längere Zeichenketten (Schlüssel) vom Versender an den Empfänger weitergeleitet. Diese Zeichenketten sind dem Empfänger und dem Versender zugewiesen, d.h. jeder sendet seine eigene Zeichenkette, ohne dass eine mögliche Zuweisung auf den anderen möglich wäre. Die Zeichenketten besitzen dabei jeweils zwei Teile, einen geheimen und einen nicht geheimen Teil. Mit dem nicht geheimen Teil können die verschlüsselten Daten entschlüsselt werden und eine digitale Signatur (einer bestimmten Person zugeschrieben) erzeugen oder die Person authentifizieren.

Außerdem wird bei der Kommunikation zwischen dem Server und der App das Verfahren PFS (Perfect Forward Secrecy) verwendet. Dieses soll einen umfangreichen Schutz beim Datentransfer ermöglichen, da dieses System die Nachricht so stark verschlüsselt, dass die eigentliche Nachricht nach einer Sitzung nicht mehr rekonstruiert werden kann.

Ebenso wie WhatsApp nutzt Threema die End-to-End-Verschlüsselung. Threema ließ verlauten, dass bei der End-to-End-Verschlüsselung von der Verwendung des PFS-Verfahrens abgesehen wurde, da dies zu erhöhter Komplexität beim Protokoll und Server führen würde und dadurch Sicherheitslücken auftauchen könnten.

  • Sicherheitsdefizite

Zum derzeitigen Stand sind keine Datenschutzmängel bekannt. Kritisiert wurde der Anbieter lediglich dafür, seine Quellcodes nicht offen zu legen. Daher ist nicht bekannt, ob Threema tatsächlich die genannten Methoden anwendet. Threema ermöglicht dem Nutzer einen Einblick in die Funktionen und die Sicherheit des Programmes per Reserve Engineering (Nachgestellter Quellcode), was wiederum keinen Nachweis bietet, dass genau diese Funktionen angewandt werden. Im November 2015 wurde jedoch ein Sicherheitsdienstleister aus der Schweiz (cnlab security AG) eingeschaltet, welcher das Programm auditierte und für sicher befand. Es ist allerdings unklar, ob der vom Sicherheitsdienstleister überprüfte Quellcode, der tatsächlich genutzte Code ist.

  • Weitere Entwicklung

Derzeit erwägt Threema einen Wegzug aus der Schweiz, da dort nach einer neuen Verordnung Messaging-Dienste in bestimmten Fällen unter die Pflicht der Vorratsdatenspeicherung fallen.

Datenschutz mit Telegram –  Sicherheit durch verschlüsselte Chats

Die Telegram-App erfreut sich derzeit großer Beliebtheit, was vor allem daran liegen könnte, dass diese App im Gegensatz zu Threema kostenlos heruntergeladen werden kann.

  • Standort des Servers

Laut Telegram sind deren genutzte Server weltweit ansässig. Telegram spezifizierte diese Angabe auf dessen Twitter-Account, wonach für Europa ein in London befindlicher Server genutzt wird. Derzeit bestehen zwar noch keine Bedenken bezüglich des Datenschutzniveaus in Großbritannien, jedoch könnte sich dies in Zukunft ändern, sobald der Brexit vollzogen ist. Bedenklich wiederum sind, die von Telegram verwendeten Cloud-basierten Chats, wodurch Daten auf mehreren verschieden Servern weltweit gespeichert werden. Nach Angaben von Telegram besitzt das Unternehmen ebenso Server in Drittstaaten, die kein angemessenes Datenschutzniveau besitzen.

  • Verfahren

Telegram agiert im Bereich der Kontaktsuche, wie auch WhatsApp, mit der Personalisierung der Telefonnummer, die durch eine SMS bestätigt wird. Der Dienst ist nicht an ein Gerät gebunden, sondern kann mit der eingegebenen Telefonnummer, die der „Zugangscode“ ist, auch mit anderen Geräten genutzt werden. Die Kontaktsuche erfolgt, ebenso wie bei WhatsApp, per Eingabe der Telefonnummer oder per Synchronisation mit dem Handy-Adressbuch.

Durch eine offene Programmierschnittstelle (API) können auch unabhängige Entwickler eigene Clients entwickeln, weshalb auch inoffizielle Versionen von Telegram existieren.

  • Sicherheit

Telegram verwendet mehrere Verschlüsselungssysteme, u.a. die End-to-End-Verschlüsselung. Diese bestehen zum Teil aus bestehenden Verfahren und aus eigens entwickelten Verfahren, wie beispielsweise Cloud-basierte Chats.  Daten zwischen dem Endgerät (Handy) und den Servern, die auf der ganzen Welt verteilt sind, werden verschlüsselt. Die verschlüsselten Daten und der Schlüssel werden dabei auf unterschiedlichen Servern gespeichert.

  • Sicherheitsdefizite

Telegram-Kritiker bemängeln, dass der Anbieter teilweise quelloffene Verfahren und teils veraltete Algorithmen sowie nicht häufig verwendete Verfahren nutzt. Telegram reagierte prompt auf diese Kritik und schaltete einen Wettbewerb, der die Sicherheit des Programmes nachweisen sollte. Herausgefundene Sicherheitslücken wurden dabei behoben, jedoch verebbten die Kritikerstimmen nicht. Zu kurz sei die Zeit und zu gering die Informationen, die Telegram den Wettbewerbsteilnehmern gewährte, wodurch diesen keine hinreichende Möglichkeit gegeben wurde, einen geeigneten Hackerangriff zu simulieren.

Weiterhin wird bemängelt, dass die App Adressdaten der Nutzer ohne Benachrichtigung der Nutzer speichert. Dieses Verfahren ist aber in den AGB des Dienstleisters angegeben.

  • Weitere Entwicklung

Im Herbst 2016 wurde bekannt, dass iranische Hacker sich Zugang zu einer Vielzahl von Telegram-Accounts verschafften und Nutzer identifiziert wurden. Der Telegram-Gründer gab dabei an, dass ihm das Risiko bekannt sei und Nutzer in bestimmten Ländern zunehmend davor gewarnt wurden. Er rät Nutzern zu einer Zwei-Wege-Authentifizierung, die neben der SMS-Verifizierung durch ein Passwort bestätigt werden muss.

Anfang 2017 führte Telegram eine neue Funktion ein, die dem Nutzer die Möglichkeit gibt, bereits gesendete Nachrichten zu löschen. Weiterhin soll im Verlauf des Jahres eine Funktion eingeführt werde, die dem Nutzer ermöglicht, via Telegram zu telefonieren.

Datenschutz mit WhatsApp-Alternativen – Fazit

Threema und Telegram bieten im Vergleich zu WhatsApp in bestimmten Bereichen eine datenschutzrechtlich adäquatere Handhabe, dennoch sollten Sie sich bewusst machen, dass kein Programm der Welt Ihnen 100% Sicherheit garantieren kann. Die ständige Weiterentwicklung der technischen Möglichkeiten bietet sowohl Erleichterungen als auch Risiken. Hackerangriffe können jedes Programm treffen. Genauso können erst nach längerer Zeit Sicherheitslücken auftreten, da neue Verfahren alte Verschlüsselungstechniken hinfällig machen können. Jede Anwendung, die personenbezogene Daten verarbeitet, beinhaltet einen Risikofaktor, welcher nicht beseitigt, jedoch minimiert werden kann. Sofern Sie beabsichtigen, neue Verfahren oder Programme in Ihr Unternehmen einzuführen, sollten Sie stets die Meinung Ihres Datenschutzbeauftragten einholen und das Verfahren durch eine Vorabkontrolle von diesem prüfen lassen. Daneben müssen sich Nutzer darüber bewusst sein, dass derartige Tools einer Finanzierung bedürfen. Ist für den Nutzer keine dauerhafte Einnahmequelle des Betreibers ersichtlich, so könnte dies ein Indiz für eine Zweckentfremdung der eigenen Daten sein.

Möchten Sie mehr zum Datenschutz mit WhatsApp, Threema, Telegram oder anderer Instant-Messaging-Dienste erfahren oder sich im Datenschutz dauerhaft besser positionieren? Brands-Consulting steht Ihnen als Ansprechperson gerne zur Seite. Nehmen Sie gerne Kontakt zu uns auf oder holen Sie sich ein unverbindliches Datenschutz-Angebot ein

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen

Versendung von E-Mails mit „An“ und „CC“ – Wieso offene E-Mail-Verteiler Datenschutz-Risiken verursachen können

E-Mail-Verteiler DatenschutzDas Versenden von E-Mails an eine Vielzahl von Empfängern erfolgt alltäglich, besonders im hektischen Büroalltag können durch offene E-Mail-Verteiler Datenschutz-Risiken entstehen.  Diese Unachtsamkeit kann dabei nicht nur Sanktionen für den Mitarbeiter bedeuten, sondern Folgen für die Unternehmensleitung mit sich bringen.

Ihr externer Datenschutzbeauftragter informiert über die datenschutzrechtlichen Risiken und erklärt, wie Sie diese vermeiden können.

Namensbezogene E-Mail-Adressen

E-Mail-Adressen aus den Bestandteilen des Namens sind in der Praxis häufig anzutreffen, vor allem im beruflichen Zusammenhang ist z.B. die Konstellation (vorname.)name@unternehmen.de üblich, da somit einerseits eine direkte Zuweisung der E-Mail auf einen Mitarbeiter möglich ist und andererseits der Absender dem Kunden/Nutzer vertrauenswürdiger erscheint, da ein direkter Bezug zu einer Person ermöglicht wird. Das Bundesdatenschutzgesetz schützt solche Informationen mit Personenbezug, unabhängig davon, ob diese eine direkte oder indirekte Zuweisung zu einer natürlichen Person ermöglichen (§ 3 Abs. 1 Bundesdatenschutzgesetz (BDSG)). Aus diesem Grund sollten auch die E-Mail-Adressen, die keine direkte Zuordnung zu einer Person ermöglichen, geschützt werden, da unter Zuhilfenahme weiterer Informationen in der Regel eine Zuordnung möglich ist.

Kriterien für die Nutzung personenbezogener Daten

Eine Nutzung, Verarbeitung oder Speicherung von personenbezogenen Daten ist öffentlichen sowie nicht öffentlichen Stellen nur dann gestattet, sofern

  • der Betroffene dem Verfahren zustimmt oder
  • eine entsprechende gesetzliche Regelung dies erlaubt (§ 4 Abs. 1 BDSG).

Wieso offene E-Mail-Verteiler Datenschutz-Risiken verursachen können

Bei E-Mails handelt es sich um personenbezogene Daten, da grundsätzlich eine Zuweisung zu einer Person möglich ist. Wird darauf nicht geachtet, kann es schnell zu einem Verstoß und zu Sanktionen führen. So verhängte das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) ein Bußgeld an einen Mitarbeiter eines Handelsunternehmens. Der Mitarbeiter hatte eine E-Mail an einen größeren Empfängerkreis verschickt und die beabsichtigten Empfänger im „An:“ oder „CC:“ Feld des E-Mail-Programmes angegeben. Durch das Versenden der E-Mails waren die E-Mail-Adressen nun allen Empfängern sichtbar. Da es sich bei E-Mails – wie bereits erwähnt – um personenbezogene Daten handelt, sind diese vom Bundesdatenschutz geschützt. Aufgrund des Versendens der Mitarbeiter-E-Mails an fremde Dritte, mit denen kein Arbeitsverhältnis bestand, war auch kein interner Arbeitsbezug gegeben. Eine Zustimmung der betroffenen Mitarbeiter war folglich notwendig, da diese Dritten sichtbar waren. Weiterhin kündigte das Bayerische Landesdatenschutzamt an, in Zukunft bei ähnlich gelagerten Fällen ebenso gegen die Unternehmensleitung vorzugehen. Diese sei laut BayLDA dazu verpflichtet, entsprechende Dienstanweisungen und Überwachungsmaßnahmen zu stellen, die einen Verstoß vermeiden würden.

Kurzum hatte der Mitarbeiter des geschilderten Falles gravierende Fehler begangen, welche das Bußgeld begründeten. Diese bestanden hauptsächlich darin, die E-Mail Liste offen zu versenden, welche nicht nur Mitarbeitern des Unternehmens kenntlich war, sondern auch einem Empfängerkreis außerhalb des Unternehmens ermöglichte, von den E-Mail-Adressen Kenntnis zu nehmen.

Wie diese Umstände vermieden werden können und worauf bei der Versendung von E-Mails an mehrere Empfänger zu achten ist, wird in den folgenden Abschnitten näher erläutert. In Zweifelsfällen können Sie sich immer an Ihren Datenschutzbeauftragten wenden.

Interne und externe Versendung von E-Mails – datenschutzrechtlich konforme Vorgehensweise beim Versenden von E-Mails an mehrere Empfänger

Eine entsprechende gesetzliche Regelung, welche den Zustimmungsvorbehalt des Betroffenen aushebeln könnte, findet sich im § 28 BDSG. Hiernach ist die Verarbeitung, Nutzung, Übermittelung und Speicherung personenbezogener Daten öffentlichen Stellen des Bundes und nicht öffentlichen Stellen gestattet, sofern es zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen überwiegt. Dies könnte beispielweise vorliegen, wenn eine Rund-E-Mail an die Arbeitskollegen versendet werden soll und die E-Mail-Adressen der Kollegen intern bekannt sind oder wenn eine E-Mail an einen Kunden versendet wird und der Kollege ebenfalls an dem Projekt beteiligt ist.

Versendungsmöglichkeiten von E-Mail – „CC“, „An:“ und „BCC:“

Wird eine E-Mail nur an einen Empfänger versendet, werden nur zwei Adressen angegeben: die des Versenders und des Empfängers. Dies ändert sich jedoch, wenn die E-Mail an eine Vielzahl von Empfängern gerichtet ist. In diesem Fall gibt es drei alternative Adressfelder. Diese sind:

  • „An:“
  • „CC:“ (Carbon Copy = Kopie)
  • „BCC:“ (Blind Copy = nicht sichtbare Kopie)

Wird dabei eine Empfänger-Adresse in „BCC:“ eingetragen und versendet, ist diese Adresse nicht in der E-Mail-Liste vermerkt. Die anderen E-Mail-Adressen, welche in „An:“ und „CC:“ eingetragen wurden, sind hingegen in der E-Mail-Liste vermerkt und allen Empfängern der E-Mail sichtbar. Wie bereits im oberen Abschnitt erläutert ist eine offene E-Mail-Adressenliste datenschutzrechtlich unbedenklich, solange der E-Mail-Verkehr innerhalb der verantwortlichen Stelle stattfindet oder die Mitarbeiter des Unternehmens mit dem Dritten vertraut sind und Kenntnis über dessen E-Mail-Adresse haben. Soll die E-Mail auch an Personen außerhalb der verantwortlichen Stelle weitergeleitet werden, welche den Mitarbeitern unbekannt sind, so ist von diesen für die Haftungsvermeidung entweder

  • eine Zustimmung der Weiterleitung der E-Mail-Adresse via offener E-Mail-Verteiler erforderlich oder
  • die betroffenen Mitarbeiter sind in „BCC:“ zu setzen.

Fazit

Aufgrund der Haftungsmöglichkeit bei einer datenschutzverletzenden Versendung offener E-Mail-Adresslisten an fremde Dritte sollte sich die Unternehmensleitung um datenschutzrechtliche Vorkehrungen bemühen, um möglichen Bußgeldern zu entgehen. Eine sinnvolle Maßnahme wäre, die Mitarbeiter über datenschutzrechtliche Risiken in Form einer Datenschutzschulung aufzuklären, um den Mitarbeitern die Möglichkeit zu geben, Datenschutzrisiken zu erkennen und zu vermeiden. Datenschutzrechtliche Schulungen fallen dabei in der Regel in den Aufgabenbereich des Datenschutzbeauftragten. Ferner kann es sinnvoll sein, klare Vorgaben in Betriebsvereinbarungen, Richtlinien und Arbeitsanweisungen zum Datenschutz zu erlassen / zu schließen. Auch in diesem Zusammenhang unterstützen wir Sie sehr gerne mit fachkundigem Rat.

Haben Sie noch Fragen zum Thema „ E-Mail-Verteiler Datenschutz “ oder möchten Sie sich im Datenschutz dauerhaft besser positionieren?  Dann holen Sie sich ein unverbindliches Angebot zum Datenschutz ein oder nehmen Sie direkt Kontakt mit uns auf.

Nützliche Dienstleistungen können z. B. sein:

 Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

Warum Marketing und Datenschutz manchmal nicht miteinander können, aber ohne einander nicht sollten

Marketing und DatenschutzVielen Unternehmen fällt es schwer Marketing und Datenschutz unter einen Hut zu bekommen. Wurde früher Werbung vermehrt auf dem postalischen Weg übersendet, so ergeben sich für Unternehmen heute viele weitere Wege, um für Produkte und Dienstleistungen zu werben. Neben dem Einsatz von Newslettern, die via E-Mail übersendet werden, gewinnt auch die Freundschafts- oder Beipackwerbung an Bedeutung, allerdings wird bei den Werbemaßnahmen der Datenschutz häufig in den Hintergrund gestellt.

Ihr externer Datenschutzbeauftragter erklärt, wieso Sie Marketing und Datenschutz nicht getrennt betreiben sollten und welche Datenschutz-Risiken beim Einsatz bzw. dem Versand von Werbung drohen.

Marketing und Datenschutz – Datenschutzrechtliche Grundlagen

Laut § 4 Abs. 1 des Bundesdatenschutzgesetzes (BDSG) ist eine Erhebung, Verarbeitung und/oder Nutzung personenbezogener Daten nur erlaubt, wenn eine Rechtgrundlage oder informierte und wirksame Einwilligungen der Betroffenen vorliegen.

Werbung auf dem postalischen Weg

Möchten Unternehmen für ihre Angebote, Dienstleistungen und Produkte auf dem Postweg werben, so sollten sie insbesondere einen Blick auf § 28 Abs. 3 Satz 2 BDSG werfen, denn dieser erlaubt die Verarbeitung und Nutzung von Listendaten. Zu den Listendaten zählen unter anderem der Name, die Anschrift, der akademische Grad sowie das Geburtsjahr.

Unternehmen, die Werbung via Post versenden, sollten allerdings beachten, dass sie Betroffene über ihr Widerspruchsrecht informieren sollten und sofern ein Betroffener von diesem Recht Gebrauch gemacht hat, eine weitere Verarbeitung und Nutzung zu Werbezwecken zwingend unterbleiben sollte.

Werbung auf dem telefonischen Weg

Werbemaßnahmen via Telefon haben in den letzten Jahren stark abgenommen, wobei zum einen die „neuen“ Möglichkeiten aber auch der hohe Aufwand eines datenschutzkonformen Einsatzes ein Grund dafür sein können.

Unternehmen ist von Werbemaßnahmen via Telefon ohne informierter und freiwilliger Einwilligung abzuraten, wobei diese insbesondere von Privatkunden eingeholt werden sollten. Bei Geschäftskunden reicht die mutmaßliche Einwilligung aus. Dies bedeutet, dass konkrete Umstände, dass der Betroffene ein Interesse am Telefonat hat, vorliegen müssen, wobei das Risiko für die fehlerhafte Einschätzung beim werbenden Unternehmen liegt. Aus diesem Grund ist auch im Business-to-Business-Bereich von einer Werbeansprache via Telefon eher abzuraten oder zumindest eine strukturierte Umsetzung sinnvoll. Für diesbezügliche Fragen sollten Sie Ihren betrieblichen Datenschutzbeauftragten konsultieren.

Werbung auf dem elektronischen Weg

Die Werbeansprache via E-Mail dürfte derzeit der beliebteste Weg sein. Ursächlich ist hierbei in der Regel der vermeintlich günstige Preis eines digitalen Mailings. Allerdings sollten auch hier einige Maßnahmen ergriffen werden, um Datenschutz-Risiken zu minimieren. Insbesondere im Business-to-Customer-Bereich (B2C-Geschäft) ist das Einholen von informierten Einwilligungen anzuraten, außer das Unternehmen erfüllt die in § 7 Abs. 3 Gesetz gegen den unlauteren Wettbewerb (UWG) genannten Bedingungen. Diese wären Folgende:

  1. das Unternehmen hat die E-Mail-Adresse mit dem Verkauf einer Ware oder Dienstleistung von dem Kunden erhalten,
  2. das Unternehmen verwendet Werbung für eigene ähnliche Waren oder Dienstleistungen,
  3. der Kunde/der Empfänger der Werbung hat der Verwendung nicht widersprochen und
  4. der Kunde/der Empfänger wird sowohl bei der Erhebung der E-Mail-Adresse als auch bei jeder Verwendung über sein Widerrufsrecht informiert.

Sind die Bedingungen nicht bzw. teilweise nicht erfüllt, so ist das Einholen von informierten und freiwilligen Einwilligungen, insbesondere bei Privatkunden, dringend anzuraten. Unternehmen sollten darauf achten, dass sie den Betroffenen beim Einholen der Einwilligung ausreichend über die Datenerhebung, -verarbeitung und –nutzung sowie über das Widerspruchsrecht informieren. Auch sollte darauf geachtet werden, dass Betroffene bewusst einwilligen, indem sie zum Beispiel gezielt Häkchen setzen.

Ja ich willige ein, dass …

Ein weiterer Fehler, der in der Praxis häufig vorkommt, ist die Kopplung von Einwilligungen an Gewinnspielen oder Bestellungen. Unternehmen sollten darauf achten, dass sie für den Versand von elektronischer Werbung (Newsletter) explizite Einwilligungen einholen sollten.

Im Business-to-Business-Bereich (B2B-Geschäft) sollte der Versand von Newslettern ebenfalls über das sogenannte Double-Opt-in-Verfahren erfolgen. Dies bedeutet, dass Newsletter, wie bereits erläutert, erst versendet werden dürfen, wenn der Betroffene eingewilligt hat. Nach Einwilligung des Betroffenen sollte dieser eine Verifizierungs-E-Mail erhalten, um zu bestätigen, dass die angegebene E-Mail-Adresse auch ihm gehört.

Wurde allerdings ein Interesse des Geschäftskunden geäußert (gilt nicht für Privatkunden!!!) und dieser hat die Kontaktdaten hinterlassen, dann dürfen Newsletter ohne vorheriges Einholen von Einwilligungen übersendet werden, allerdings sollte der Geschäftskunde über sein Widerrufsrecht informiert werden. Zudem sollte auch hier beachtet werden, dass das Risiko für die fehlerhafte Einschätzung beim werbenden Unternehmen liegt. Durch Unternehmen eigenständig durchgeführte Risikokalkulationen führen in der Regel dazu, dass einfach geworben wird. Binden Sie daher zur konkreten Beurteilung auch hierbei Ihren Datenschutzbeauftragten

Sonstige Werbemaßnahmen

Neben den klassischen Werbemaßnahmen gewinnen auch Freundschafts- oder Beipackwerbung an Bedeutung. Auch werden verstärkt soziale Medien oder zielgerichtete Werbung auf der Basis von Analyseverfahren eingesetzt, um möglichst gezielt für Produkte und Dienstleistungen zu werben.

Bei Freundschaftswerbungen erhalten die Kunden die Möglichkeit, Freunden ein bestimmtes Produkt oder den Newsletter zu empfehlen. Dabei wird die Empfehlungs-E-Mail oftmals mit Gutscheinen, Werbegeschenken, etc. verknüpft. Bietet ein Unternehmen seinen Kunden diese Option an, so sollten ebenfalls einige Risiken beachtet werden, da auch bei den Empfehlungs-E-Mails Abmahnungen und Bußgelder keine Seltenheit sind. Insbesondere die fehlende ausdrückliche und informierte Einwilligung des Empfängers der Empfehlungs-E-Mail stellt Unternehmen vor viele offene Fragen und zahlreiche Risiken. Aus diesem Grund ist vor dem Einsatz von Freundschaftswerbung abzuraten.

Anderes sieht dies allerdings bei der Beipackwerbung aus, sofern einige Maßnahmen ergriffen werden. Soll Beipackwerbung verschickt werden, so sollte ebenfalls darauf geachtet werden, dass ausschließlich Listendaten verwendet werden dürfen. Zudem sollte der Betroffene/der Empfänger ebenfalls über sein Widerrufsrecht und, um von diesem Gebrauch machen zu können, über die verantwortliche Stelle informiert werden.

Werden soziale Medien eingesetzt, um das Unternehmen vorzustellen, so sollte z. B. grundsätzlich darauf geachtet werden, dass das Impressum und die Datenschutzerklärung hinterlegt oder von der Seite des jeweiligen Mediums, wie zum Beispiel Facebook, verlinkt werden. Sofern soziale Netzwerke für weitere Zwecke, wie zum Beispiel für Gewinnspiele, eingesetzt werden, sollten weitere Maßnahmen, die im Einzelfall unterschiedlich ausfallen können, ergriffen werden. Spätestens bei der Planung von Werbung auf der Basis der Datensätze, die über Analysetools gewonnen wurden, sollte fachkundiger Rat eingeholt werden. Ihr Ansprechpartner ist hierfür Ihr interner oder externer Datenschutzbeauftragter.

Fazit

Werbemaßnahmen, ob telefonisch, postalisch, elektronisch oder auf einem anderen Weg, waren und werden für Unternehmen wichtig bleiben, allerdings sollten Unternehmen nicht außer Acht lassen, dass Marketing und Datenschutz nicht voneinander zu trennen sind. Der Einsatz von Werbung kann – je nach Maßnahme – zahlreiche Datenschutz-Risiken mit sich bringen, die vor der Durchführung genauestens betrachtet und minimiert werden sollten.

Möchten Sie mehr zu Marketing und Datenschutz erfahren oder sich im Datenschutz dauerhaft besser positionieren? Brands-Consulting steht Ihnen als Ansprechperson gerne zur Seite. Nehmen Sie gerne Kontakt zu uns auf oder holen Sie sich ein unverbindliches Datenschutz-Angebot ein

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen

Skype, WhatsApp, Facebook Messenger, iMessage & Co. – Datenschutz-Risiken bei Instant Messaging-Diensten

Instant-Messaging-Dienste DatenschutzDas Aufkommen neuer Messaging-Dienstleister geht Hand in Hand mit der Verbreitung sowie dem beruflichen und gemischten (privat / beruflich) Einsatz von Handys und sonstigen meist mobilen Endgeräten. Insbesondere in Unternehmen, aber auch in anderen Organisationen (Behörden, Vereine, der Kirche …), ist der Gebrauch
von Instant-Messaging-Dienstleistungen attraktiv, da diese eine schnelle Nachrichtenübermittlung garantieren und eine günstige Alternative zur SMS bilden. Es sollte dabei aber nicht außer Acht gelassen werden, dass solche Instant-Messaging-Dienste Datenschutz-Risiken mit sich bringen können. Daher ist es ratsam, zu wissen, wie solche Dienste mit personenbezogenen Daten, Geschäfts- und Betriebsgeheimnissen verfahren.

Ihr externer Datenschutzbeauftragter informiert, worauf verantwortliche Stellen bei der Nutzung von Instant-Messaging-Dienstleistungen achten sollten und wieso Instant-Messaging-Dienste Datenschutz-Risiken verursachen können.

Instant-Messaging-Dienstleistungen

Instant Messaging ist, wie der Name sagt, ein Nachrichtensofortversand und stellt eine Kommunikationsmöglichkeit dar. Diese erfolgt durch das Versenden von Kurzmitteilungen, welche der Absender durch das sogenannte Push-Verfahren auslöst. Die versendete Nachricht erhält der Empfänger dabei unmittelbar auf seinem Handy, Computer oder sonstigem mobilen Endgerät. Um diesen Dienst nutzen zu können, müssen die Nutzer über ein Programm (Client) verfügen. Eine wichtige Gruppe der Clients bzw. hierfür erforderlichen Programme sind neben klassischen Apps die Webbrowser. Ein Einsatz ist daher regelmäßig mit nur sehr geringen Hürden möglich.  Die eingesetzten Clients verbinden die Nutzer über ein Netz direkt mit dem Server. In der Regel ist es auch möglich, Nachrichten an Teilnehmer zu senden, welche derzeit gar nicht online sind. Diese erhalten ihre Nachrichten, sobald sie wieder mit dem Internet verbunden sind. Hierbei ist es offensichtlich, dass Datensätze zumindest zwischengespeichert werden müssen.

Mit der Updateinformation zum WhatsApp Messenger der Version 2.17.2 vom 26.01.2017 informiert  Whatsapp wie folgt „Du kannst jetzt bei Nachrichten auf Senden tippen, auch wenn du keine Verbindung hast. Diese Nachrichten werden dann automatisch gesendet, sobald dein Telefon wieder mit dem Internet verbunden ist.“ Hat der Versender Internet, wird die Nachricht somit versendet. Hat zu diesem Zeitpunkt der Empfänger allerdings keinen Netzzugang, so wird die Nachricht gespeichert, bis der Nutzer wieder erreichbar ist. Zwischen Versand und Empfang kann hierdurch eine längere Zeitperiode entstehen, in der die Daten / Informationen zumindest zwischengespeichert werden.

Instant-Messaging-Systeme innerhalb von IT-Richtlinien/-Betriebsvereinbarungen/-Dienstvereinbarungen

Häufig werden Instant-Messaging-Systeme innerhalb der IT-Sicherheitsrichtlinien, Betriebsvereinbarungen oder Dienstvereinbarungen von Organisationen nicht ausreichend eingebunden bzw. berücksichtigt. Messaging Systeme werden zu pauschal ohne individuelle Betrachtung und Berücksichtigung den Telekommunikationsdiensten zugeordnet, worunter auch die E-Mail fällt. Organisationen sollten nicht nur klare Regelungen für die Nutzung des dienstlichen E-Mail-Postfachs treffen, sondern Differenzieren und auch die Nutzung von Instant-Massaging-Diensten, wie zum Beispiel von WhatsApp oder Apples iMessage, klar regeln.

Neben WhatsApp und iMessage findet unter anderem Skype for Business, früher Microsoft Lync, Verwendung. Dieser Message-Dienst ermöglicht den Mitarbeitern, Sofortnachrichten sowie Daten auszutauschen. Gleichzeitig können mit Skype for Business verschiedenste Messaging-Systeme verbunden werden, womit ebenso Kunden und Dienstleister, welche ein anderes System nutzen, erreicht werden können.

Die Problematik liegt hierbei nicht nur bei der rechtlichen Zuordnung des Systems, sondern vielmehr auch bei der Bewertung, ob damit Kontroll- und Überwachungsmaßnahmen durch den Arbeitgeber erfolgen könnten.

Verwendung von Instant-Messaging-Systemen für eine Verhaltens- und Leistungskontrolle

Die Möglichkeit einer dauerhaften, technisch gestützten Leistungs- und Verhaltenskontrolle könnte sich theoretisch bereits durch die Statusmeldungen (verfügbar, beschäftigt, abwesend) des Mitarbeiters ergeben. Daraus kann der Arbeitgeber beispielsweise auf mögliche Fehlzeiten, Aktivität und Arbeitszeiteinteilungen des Arbeitnehmers schließen. Ein berechtigtes Interesse des Arbeitgebers auf Chatverläufe zu zugreifen kann unter anderem dann vorliegen, wenn die Inhalte eines Chats archivierungspflichtige Geschäftsbriefe bzw. Geschäftskommunikation betreffen. Derartige relevante Kommunikation mag derzeit vielleicht nur in Einzelfällen vorkommen, gerade bei technischen Arbeitsmitteln ist ein schneller, regelmäßig auch zeitgemäßer Wandel, allerdings nichts Verwunderliches.

Grundsätzlich kann der Arbeitgeber eine Kontrolle ansetzen, sofern ein konkreter Missbrauchsverdacht gegenüber den Arbeitnehmern vorliegt, wobei es eine große Rolle spielt, ob eine Privatnutzung erlaubt ist. Darf der Arbeitnehmer die Instant-Message-Dienste zu privaten Zwecken nutzen, so tritt der Arbeitgeber als Telekommunikationsanbieter auf und ist den Vorschriften des Telekommunikationsgesetztes (TKG) unterworfen. Laut § 88 TKG gilt das Fernmeldegeheimnis, wodurch die Zugriffsrechte des Arbeitsgebers auf die Chatverläufe erheblich eingeschränkt werden. Selbst bei einem Verdacht auf eine Straftat könnte sogar die Strafanzeige als milderes Mittel gelten. Bei einem Verbot der Privatnutzung dürfte der Arbeitgeber auf die Chatverläufe zugreifen, allerdings sollte dies ebenfalls stichprobenartig und in angemessenen Zeiträumen bzw. im Missbrauchsverdachtsfall erfolgen (anlassbezogen).

Instant-Message-Dienste können eine Verhaltens- und Leistungskontrolle der Mitarbeiter erleichtern. Beispiel: Nutzt eine Firma ein Chatprogramm, um zeitnah auf Supportanfragen von Kunden einzugehen, so könnte der Arbeitgeber mittels Protokollierung der Chatverläufe prüfen, wie lange ein Mitarbeiter für die Beantwortung benötigt oder wie viele Anfragen der Mitarbeiter am Tag beantwortet. Um eine Verhaltens- und Leistungskontrolle durch den Arbeitgeber zu vermeiden, ist von einer grundlosen Protokollierung der Chatverläufe abzuraten. Eine konkete Protokollierung mit Zweckbindung könnte hingegen denkbar sein. Zudem sollten klare Regelungen geschaffen werden. Mit diesen soll zum einen geregelt werden, ob eine Privatnutzung erlaubt oder verboten ist. Des Weiteren soll klar formuliert werden, wann der Arbeitgeber bzw. andere Vorgesetzte unter Einbeziehung des Datenschutzbeauftragten und – sofern vorhanden – eines Betriebsratsmitglieds auf die Daten zugreifen dürfen. Um gesetzliche Aufbewahrungsfristen nicht zu verletzen, sollte zudem festgelegt werden, dass keine Dateien versendet werden dürfen, die gesetzlichen Archivierungspflichten unterliegen oder bei denen Löschfristen einzuhalten sind, die auf diesem Wege überschritten würden.

Wieso Instant-Messaging-Dienste Datenschutz-Risiken hervorrufen

Besonders kritisch ist die Nutzung von extern betriebenen Instant-Messaging-Dienstleistungen, wie WhatsApp oder auch iMessage. Besonders dann, wenn iPhones oder sonstige Smartphones dienstlich vom Unternehmen zur Verfügung gestellt werden, sollte ausdrücklich darauf hingewiesen werden, dass die Instant Messaging Funktionen untersagt sind. Eine derartige Vorgabe erteilte eine der großen deutschen Banken zur Umsetzung im Jahr 2017.

Sofern dies nicht gewünscht ist und den Mitarbeitern eine Privatnutzung der Smartphones erlaubt werden soll, wäre zu prüfen, ob die Einführung eines Mobile-Device-Management-Systems einschließlich Containersystem notwendig ist, wobei die Verhältnismäßigkeit nicht außer Acht gelassen werden sollte. Bei einem Unternehmen mit fünf Smartphones dürfte regelmäßig anders vorzugehen sein als bei 500 oder mehr Endgeräten und der erlaubten Privatnutzung. Grundsätzlich gilt jedoch, dass Organisationen klare Regelungen schaffen sollten, da der Einsatz von Instant-Messaging-Diensten Datenschutz-Risiken verursacht. Dies ergibt sich unter anderem daraus, dass der Arbeitnehmer meist über seinen privaten WhatsApp- oder iTunes-Account kommuniziert. Dabei scannen beide Programme das Adressbuch und führen die gesammelten Informationen in eine Datenbank. Diese befinden sich auf den Servern der Anbieter. Problematisch wird es insbesondere dann, wenn der Server sich in einem Land befindet, welches sich außerhalb der EU/des EWR befindet und über kein angemessenes Datenschutzniveau verfügt. Darunter fallen mitunter die USA. In unserem Beitrag zu „Cloud Computing – Durchblicken Sie vor lauter Wolken den Datenschutz?“ finden Sie mehr Informationen dazu.

Ebenso bedenklich ist die kommerzielle Nutzung der persönlichen Daten durch einige Anbieter von Instant-Messaging-Systemen. Sie sollten sich daher erkundigen, inwiefern der Anbieter Ihre Daten verwertet.

Weiterhin wurde durch zahlreiche Meldungen verkündet, dass einige externe Instant-Messaging-Dienstleistungen gewisse Sicherheitslücken aufweisen. So hatte beispielsweise Microsoft bei seinem Windows Live Messenger sowie auch MSN einige Sicherheitsprobleme, welche sich unter anderem bei deren integrierten Webcam-Sitzungen und Video-Chats befanden. Das Problem bestand darin, dass der Instant-Messaging-Client die Webcam-Sitzung und Video-Chats nicht korrekt verarbeitet und damit möglichen Angreifern (Hackern) die Chance bietet, beliebige Codes ausführen zu können. Um dies zu ermöglichen, müsste das potenzielle Opfer lediglich zu einer Webcam- oder Video-Chat-Sitzung durch den Angreifer eingeladen werden. Die Opfer werden dabei von vermeintlichen Bekannten auf interessante Webseiten gelockt, wo Schadprogramme (Malware) auf sie warten.

Es ist daher unerlässlich, einen Datenschutzbeauftragten und IT-Sicherheitsbeauftragten zur Seite zu haben, damit datenschutzrechtliche Probleme und IT-Sicherheitsrisiken optimal behandelt oder umgangen werden können.

Falls Sie sich für die Risiken bei der Nutzung von Instant-Messaging-Diensten in Organisationen interessieren, könnten die Beiträge

von uns für Sie interessant sein.

Sicherheitskriterien bei Instant-Messaging-Diensten

Eine gewisse Sicherheit bei einigen Instant-Messaging-Diensten bietet die End-to-End-Verschlüsselung, die die gesendeten Daten so verfremdet, dass diese ohne Datenschlüssel nicht mehr nachvollziehbar sind. Erst wenn die Nachricht bei dem Empfänger ankommt, wird die Nachricht entschlüsselt. Grundsätzlich bietet dieses Verfahren eine gewisse Sicherheit, jedoch sollte beispielsweise bei WhatsApp darauf geachtet werden, dass die aktuelle Version installiert ist. 2016 führte WhatsApp offiziell mit Kennzeichnung im Chatverlauf die End-to-End-Verschlüsselung ein, bei älteren Versionen gilt diese jedoch nicht. Sie sollten daher möglichst die neueste Version besitzen.

Wie bereits erwähnt, besitzen nicht alle Länder ein angemessenes Datenschutzniveau. Auch sind je nach Sitz des Anbieters unterschiedliche Maßnahmen zu ergreifen, dabei ist es entscheidend, ob der Anbieter seinen Sitz innerhalb der EU/des EWR hat oder eine Datenübermittlung an einen Dienstleister außerhalb der EU/des EWR (Drittland) stattfindet. Kann oder möchte eine Organisation nicht auf den Einsatz von Instant-Message Diensten verzichten, so sollten Anbieter gewählt werden, die Ihren Sitz innerhalb der EU/des EWR haben. Zudem sollten klare Regelungen mittels Richtlinien/Betriebsvereinbarungen/Dienstvereinbarungen geschaffen und Mitarbeiter – mittels Datenschutz-Schulungen – ausreichend sensibilisiert werden.

Fazit

Instant-Messaging-Dienste stellen eine Erleichterung der Kommunikation dar, da diese die Nachrichten sofort übermitteln und der Empfänger diese ebenso ohne Zeitverzug einsehen kann. Jedoch bieten die angebotenen Dienste keine vollkommene Sicherheit der Datenübertragung und vor ungewolltem Zugriff oder missbräuchlicher Verwendung. Besonders problematisch sind unter anderem:

  • Anbieter außerhalb der EU/des EWR,
  • mögliche kommerzielle Nutzung der privaten Daten durch Instant-Messaging-Dienste,
  • Sicherheitslücken innerhalb der Software.

Es ist daher unerlässlich, kompetente Unterstützung bei dieser Thematik zu haben.

Brands Consulting steht Ihnen dabei gerne zur Seite. Wir bieten Ihnen optimal Unterstützung in Sachen Datenschutz. Holen Sie sich ein unverbindliches und kostenloses Angebot zum Datenschutz bei uns ein oder nehmen Sie mit uns Kontakt auf und profitieren Sie von unserer Erfahrung.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

Zutrittskontrolle durch intelligente Türschlösser – Welche Risiken und Gefahren für den Datenschutz Smart Locks hervorrufen können

Datenschutz Smart LocksSmart Locks zum Öffnen und Verschließen von Türen werden immer beliebter. Nicht nur für Hauseigentümer bieten sie eine gute Alternative, wenn man seinen Schlüssel im Haus vergessen hat, auch für beruflich veranlasste Zwecke können diese nützlich sein. Gerade kleinere Unternehmen oder behördliche Organisationen (z. B. kleinere Körperschaften) können durch die Verwendung von Smart Locks ihr Schlüsselmanagement besser gestalten und dokumentieren. Neben zahlreichen Vorteilen sollte allerdings nicht ignoriert werden, welche Gefahren für den Datenschutz Smart Locks verursachen können.

Ihr externer Datenschutzbeauftragter informiert über die Vor- und Nachteile von Smart Locks und erklärt, worauf insbesondere Organisationen bei der Installation von Smart Locks achten sollten.

Was sind Smart Locks?

Smart Locks sind, wie der Name bereits preisgibt, intelligente Türschlösser. Bedient werden diese via Smartphone-App oder über eine Web-Oberfläche und ermöglichen berechtigten Personen den Zugang oder das Abschließen einer Räumlichkeit, welche mit einem Smart Lock ausgestattet ist. Je nach Anbieter eines Smart Locks werden auch Alternativen zur App und Web-Oberfläche angeboten. Zum Beispiel das Öffnen der Türen mittels Handsender, der auf das intelligente Türschloss, eingestellt wird, oder das Anbringen eines Zahlenfeldes an der Außenseite der Tür. Durch die Eingabe eines Zahlencodes kann die Tür – ohne Smartphone und Internet – geöffnet und verschlossen werden.

Wie funktioniert ein Smart Lock?

Die Installation erfolgt auf unterschiedlichste Weise. Bei einigen Anbietern, wie zum Beispiel Danalock, muss mitunter der Schlüsselzylinder ausgetauscht werden. Bei dem Anbieter Nuki hingegen werden lediglich zwei Adapter am Türschloss angebracht.

Beide Varianten basieren jedoch auf demselben Prinzip. Der Hausschlüssel bleibt dabei im Schloss oder dem neu in die Tür einzubauenden Schlüsselzylinder. Der Schlüsselzylinder wie auch die Adapter bedingen die Rotation des Schlüssels, zum Beispiel nach links zum Aufschließen oder rechts zum Abschließen. Gesteuert wird das Ganze in den meisten Fällen via Smartphone-App oder per Internet im Nutzerkonto des jeweiligen Anbieters. Berechtigte Personen (Hausbesitzer, Familienmitglied oder Gast) haben somit die Möglichkeit, auch ohne Schlüssel in den verschlossenen Raum zu gelangen, sofern er sein Handy bei sich hat oder mit dem Internet verbunden ist. Weiterhin bietet z. B. der Anbieter Nuki eine automatische Auf- und Verschließ-Funktion, die durch GPS, Geofences und Bluetooth ausgelöst wird. Dies geschieht in folgenden Schritten:

  • Die berechtige Person nähert sich mit dem Handy der Haustür,
  • was durch das Handy-GPS geortet wird (Aufenthaltsort der Person).
  • Nähert sich die berechtigte Person der Haustür und erreicht eine bestimmte Distanz wird eine digital generierte Grenze durchbrochen (Gofences) und ein Bluetooth-Signal vom Handy zum Schloss gesendet.
  • Das Bluetooth-Signal löst die entsprechende Auf- Funktion des Smart Locks aus und ermöglich den Zugang in die Räumlichkeit.
  • Verlässt die Person den Raum wird ebenfalls der Standort ermittelt und ab einer bestimmten Distanz ein Bluetooth-Signal gesendet. Der Smart Lock verschließt die Tür.

Daneben kann durch die App oder per Nutzerkonto anderen Personen durch den Eigentümer der Räumlichkeit oder eine dazu berechtigte Person (Administrator) der Zugang zu der Räumlichkeit regelmäßig durch Freischaltung eines weiteren Nutzers (berechtigter Nutzer) erlaubt werden.

Welche Chancen und Risiken für den Datenschutz Smart Locks hervorrufen

Aufgrund des Agierens via App benötigt der Anbieter eines Smart Locks Informationen, die für den Vertragsschluss und für die Inbetriebnahme relevant sind, hierzu gehören regelmäßig insbesondere:

  • Name
  • Vorname
  • Passwort
  • Standort
  • uvm.

Darüber hinaus dürfte die Nutzung protokolliert werden:

  • Öffnender Nutzer
  • Uhrzeit der Öffnungen
  • uvm.

Diese gesammelten Daten stellen personenbezogene Daten dar und werden insbesondere durch das Bundesdatenschutzgesetz geschützt. So darf eine Erhebung, Verarbeitung und Nutzung personenbezogener Daten, nach § 4 BDSG, nur dann erfolgen, wenn

  • ein Gesetz besteht, welches dies zulässt oder
  • der Betroffene dem Verfahren zustimmt.

Sollten Organisationen die intelligenten Türschlösser einsetzen oder den Einsatz planen, so sollte das Datenschutzrecht nicht außer Acht gelassen werden.

Datenschutzrechtliche Chancen –  Zentrale und revisionsfähige Zutrittsberechtigungen

Für verantwortliche Stellen (Unternehmen, Vereine und Behörden…) könnte es als nützlich erachtet werden, dass eine zentrale und revisionsfähige Vergabe von Zutrittsberechtigungen erleichtert wird. Solche Schlösser können insbesondere für Räume, wie zum Beispiel Akten- oder Serverräume genutzt werden, die sensible und personenbezogene Daten enthalten. Es könnte entsprechend gewährleistet werden, dass berechtigte Personen einen temporären Zugang erhalten (Gast bzw. berechtigter Wartungstechniker); diese Berechtigung kann bei Bedarf entzogen werden, ohne die Person darauf hinweisen zu müssen, den Schlüssel abzugeben. Es sollte jedoch darauf geachtet werden, dass das angewendete Programm gewisse Sicherungen aufweist, denn schnell könnte aus dem Vorteil ein Risiko entstehen, wenn unter anderem alle Berechtigten über Administratoren-Rechte verfügen.

Datenschutzrechtliche Risiken – Keine bzw. keine geeigneten Benutzerrollen

Bei gewissen Anbietern von Smart Locks steht jeder Person, welche eine Zugangsberechtigung besitzt, die Möglichkeit zu, jeden darin befindlichen Nutzer zu löschen oder zu sperren. So kann auch der eigentliche Berechtigte (z.B. Administrator), sofern keine Sicherung (z.B. Passwort) für die Lösung besteht, entfernt werden.

Weiterhin sollte darauf geachtet werden, dass eine Sicherung in dem Programm enthalten ist, welche dem hinzugefügten Gast verbietet, weiteren Personen den Zugang zu dem Programm zu verschaffen. Hier zeigt sich, ohne konkrete Produkte zu benennen, dass die derzeit im Handel erhältlichen Produkte eher die Zielgruppe der Privathaushalte haben und weniger gut für kleinere Unternehmen, Behörden und Vereine geeignet sind. Hier dürften weiterhin professionelle, zumeist deutlich teurere Lösungen, notwendig sein.

Datenschutzrechtliche Risiken – Keine Regelungen zum Einsatz dienstlicher/privater Smartphones

Wird den Mitarbeitern die Möglichkeit gewährt, sich Zugang zum Gebäude bzw. zu den einzelnen Büros via Smartphone-App zu verschaffen, so ist das Aufstellen von klaren Regelungen/Richtlinien unvermeidbar. Zunächst sollte geklärt werden, mit welchen Smartphones (dienstliche oder private) ein Zugang möglich ist, wobei der Einsatz privater Smartphones weitere Risiken hervorruft.

Datenschutzrechtliche Risiken – Datenübermittlung

Neben den Regelungen zur Nutzung der Smartphones, sollte zudem beachtet werden, dass bei der Nutzung der Smart Locks eine Datenübermittlung an den Anbieter der eingesetzten Smart Locks nicht ausgeschlossen werden kann. Dies erfordert weitere Maßnahmen, die von den einzelnen Anbietern und dem Umfang/der Art der Datenübermittlung abhängt. Werden personenbezogene Mitarbeiterdaten an den Anbieter übermittelt, so könnte zum Beispiel das Abschließen eines Vertrags zur Auftragsdatenverarbeitung notwendig sein. Dies wäre allerdings im Einzelfall zu prüfen, da dies unter anderem vom Sitz des Anbieters abhängig ist.

Datenschutzrechtliche Risiken –  Verhaltens- und Leistungskontrolle durch den Einsatz von Smart Locks

Es wird – je nach Anbieter – ein Protokoll (Wer, wann, welche Tür geöffnet hat) geführt, auf das der Administrator zugreifen kann. Auch dies erfordert klare Regelungen und die Durchführung von Maßnahmen, wie zum Beispiel einer Vorabkontrolle durch den Datenschutzbeauftragten, da ansonsten eine Verhaltens- und Leistungskontrolle der Mitarbeiter möglich wäre. Ggf. sollte der Betriebsrat vor Inbetriebnahme der Smart Locks eingebunden werden.

Datenschutzrechtliche Risiken –  Zugang/Zugriff durch Unbefugte

Mit dem Smart Lock entsteht außerdem ein Risiko auf anderer Ebene. Kein Programm ist je vor Hackerangriffen gefeit, so wenig wie ein Schloss vor allen Einbrüchen bzw. Einbrechern. Jedoch braucht es für den unberechtigten Zugang zu einer herkömmlich verschlossenen Haustür entweder den Schlüssel oder rohe Gewalt. Der Schlüssel stellt ein spezifizierbares Objekt dar, das lediglich für ein Türschloss konzipiert ist. Ein Smart Lock jedoch gibt jedem Berechtigten Zugang, wobei lediglich der Zugang zu dem Benutzerkonto oder der Handy-App notwendig ist, um die Tür öffnen zu können. Zudem sollte beachtet werden, dass – je nach Anbieter – das Abstellen der Alarmanlage mittels Smart Lock-App möglich ist. Der Verlust/Klau eines Smartphones oder ein Hackerangriff könnte sowohl für Privatpersonen als auch für verantwortliche Stellen schlimme Folgen haben. Sicherheitsmaßnahmen müssen daher auf allen Ebenen bedacht werden.

Sonstige Vor- und Nachteile 

Das Smart Lock stellt keine Alternative zum Schlüssel dar. Es wird in den meisten Fällen weiterhin ein Medium, wie zum Beispiel ein Smartphone oder ein Handsender benötigt, welches das Türschloss öffnet und schließt. Geht das Handy verloren, hat der Finder Zugangsmöglichkeiten zu den Räumlichkeiten. Smart Locks bieten aber bessere und kostengünstigere Möglichkeiten, gegen den Verlust vorzugehen, da lediglich ein Internetanschluss notwendig ist, um die Nutzung zu sperren.

Ein weiter Risikofaktor ist die Batterie, welche die Automatik der Smart Locks bei einigen Anbietern betreibt. Ist die Batterie leer hat man auch keine Zugangsmöglichkeit mehr. Daher ist es sinnvoll, ein Türschloss zu haben, mit dem das Öffnen der Tür auch dann möglich ist, wenn auf der anderen Seite ein Schlüssel steckt. Nutzer müssen insofern regelmäßig den Stand des Akkus kontrollieren oder sich auf die systemseitigen Warnsignale der Anbieter verlassen.

Fazit

Smart Locks bieten einen gewissen Komfort. Mit dem Handy oder – je nach Anbieter – mit einem Handsender können Türschlösser geöffnet und geschlossen werden, auch ohne entsprechenden Schlüssel. Dennoch sollten die damit verbundenen Risiken auch unter datenschutzrechtlichen Gesichtspunkten nicht unterschätzt werden. Ein solches Schloss ist nicht vor Hackerangriffen gefeit. Ebenso besteht die Möglichkeit vor verschlossener Tür zu stehen, weil beispielsweise vergessen wurde, die Batterie zu wechseln. Auch sollten Maßnahmen ergriffen werden, um die Mitarbeiter vor einer Verhaltens- und Leistungskontrolle zu schützen.

Haben Sie weitere Fragen zu „ Datenschutz Smart Locks “, dann nehmen Sie gerne Kontakt zu uns auf. Sollten Sie über die Anschaffung eines Smart Locks nachdenken, ist es nicht verkehrt, einen kompetenten Partner zu haben, der sich mit den zu beachtenden Punkten im Datenschutz und damit verbundener Technik auskennt. Brands-Consulting steht Ihnen als Ansprechperson gerne zur Seite. Nehmen Sie gerne Kontakt zu uns auf oder holen Sie sich ein unverbindliches Datenschutz-Angebot ein

Brands Consulting – steht für kompetente Dienstleistungen rund um Datenschutz & Beratung

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen

Europäischer Datenschutztag 2017 – eine Brücke für den Datenschutz

Datenschutztag

Der 28.01.2017 rückt immer näher und damit auch der Europäische Datenschutztag. Dieser geht auf eine Initiative des Europarates zurück und wird seit 2007 jährlich am 28. Januar durchgeführt. Das Ziel des Datenschutztages ist die Sensibilisierung der Bevölkerung Europas im Bereich des Datenschutzes und der Datensicherheit.

Relevanz des Datenschutzes

Die Entwicklung neuer Technologien erleichtert nicht nur das Leben der Bevölkerung, sondern ist mitunter auch Ursache neuer Probleme, wie zum Beispiel der Vervielfältigung und Zweckentfremdung von Daten. Diese fand im Anfangsstadium der „technischen Revolution“, auch in Europa, relativ wenig Aufmerksamkeit. Nur wenige Verantwortliche befassten sich mit dem Thema Datenschutz. Mit Fortschreiten der Zeit etablierten sich neue Technologien wie Handy, Computer und Co. So ist beispielsweise das Handy zum Allroundgerät mutiert, das Fotos, E-Mails, SMS, Videos usw. erzeugen, versenden oder speichern kann. Ebenso entstanden mit den neuen technischen Möglichkeiten neue Geschäftszweige, welche Dienstleistungen anbieten, die das Speichern (z.B. Cloud-Computing), Auswerten, Verwerten (Werbe-und Analysenetzwerke) und Weiterleiten (z.B. Instant Messaging Dienste) von Daten beinhalten. Mit diesen verstärkte sich die Frage, wie der korrekte Umgang mit Daten erfolgen sollte, da sensible persönliche Informationen damit zusammenhängen. Gleichzeitig werden die Technologien immer komplexer und undurchsichtiger, die Schutzregelungen für personenbezogene Daten allerdings immer schärfer. Besonders Unternehmen, aber auch Vereine und Behörden, die mit sehr vielen personenbezogenen Daten agieren, setzen sich hohen Risiken bei unsachgemäßem Umgang mit diesen aus.

Der korrekte Umgang mit Daten stellt nicht nur eine Vermeidung einer möglichen Haftung dar, sondern ist auch ein wichtiger Erfolgsfaktor für eine Organisation. Datenschutzrechtliche Sicherheitslücken können dazu führen, dass Kunden den Anbieter wechseln — so geschehen bei der Übernahme von WhatsApp durch Facebook. Viele Nutzer wechselten bei der Übernahme von Facebook zu anderen Instant Messaging Diensten, wie z.B. Threema, da sie als „Kunde“ fürchteten, dass Facebook die von WhatsApp gesammelten Daten gewerblich nutzen könnte.

Datenschutztag – Datenschutzrechtliche Schwerpunkte 2017

Das Jahr 2016 brachte umfangreiche Themen, welche auf dem Europäischen Datenschutztag 2016 vorgestellt und diskutiert wurden. Diese werden wohl auch 2017 eine Rolle spielen.  Relevante Themen 2017 sind beispielsweise:

  • die 2016 beschlossene Europäische Datenschutz-Grundverordnung, die 2018 in allen Mitgliedsstaaten der EU Anwendung finden wird
  • die Vorratsdatenspeicherung, da ab 1. Juli 2017 eine gesetzliche Speicherung aller Telefon- und Internetverbindungen in Aussicht steht, und besonders die Frage, ob der damit verfolgte Zweck der Terrorismusbekämpfung dadurch erzielt werden kann
  • die Fragestellung, ob die regelmäßig anlasslose Überwachung von Flughäfen, Telefonaten, Internetverbindungen und Verhalten im Internet, welche seit ca. 3 Jahren bestehen, zu mehr Sicherheit geführt hat
  • die nachträgliche Verarbeitung von Kundendaten für einen anderen Zweck
  • der Umgang mit personenbezogenen Daten durch Apps, Werbe- und Analysenetzwerke (interessant dazu der Beitrag über Firefox Klar)
  • die Sensibilisierung des Verbrauchers, seine E-Mails zu verschlüsseln, um Fremden den Zugang zu darin enthaltenen Informationen zu erschweren oder zu verwehren
  • der Brexit und die datenschutzrechtlichen Folgen, welche sich daraus ergeben
  • die Problematik, dass nach dem Wegfall des Safe-Harbor-Abkommens trotz EU-US-Privacy-Shield immer noch kein Nachfolgeabkommen mit den USA besteht, welches als ausreichend betrachtet werden kann, weshalb derzeit bei der Übermittlung von Daten in die USA kein ausreichender Schutz garantiert werden kann, da diese einen niedrigeren datenschutzrechtlichen Standard (nicht angemessenes Datenschutzniveau) besitzen.

Haben Sie weitere Fragen zum europäischen Datenschutztag 2017 oder anderen datenschutzrechtlichen Themengebieten? Möchten Sie sich im Datenschutz dauerhaft besser aufstellen und suchen noch einen geeigneten Datenschutzbeauftragten? Fordern Sie ein kostenloses Angebot zum Datenschutz an oder nehmen Sie direkt Kontakt mit uns auf.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen

Online-Skimming und EC-Karten-Skimming – Welche Gefahren für den Datenschutz Skimming verursacht

Datenschutz SkimmingFür die Meisten dürfte EC-Karten-Skimming, das Ausspähen bzw. Abschöpfen von Zahlungsdaten, nicht neu sein, allerdings hört man vermehrt, dass bei der Bestellung in Online-Shops Zahlungsdaten ausgespäht werden. Auf der Webseite des Bundesamts für Sicherheit in der Informationstechnik (BSI) wurde am 09.01.2017 von mehr als 1000 deutschen Online-Shops berichtet, die derzeit von Online-Skimming betroffen seien.

Ihr externer Datenschutzbeauftragter erklärt, welche Gefahren für den Datenschutz Skimming verursachen kann und worauf Betroffene als auch verantwortliche Stellen, wie zum Beispiel Banken und Online-Shops, achten sollten.

Vorgehensweise bei EC-Karten- und Online-Skimming

Bei Skimming, zu deutsch Abschöpfen, werden Zahlungsinformationen ausgespäht. Bei EC-Karten-Skimming setzten die Täter überwiegend auf manipulierte Geldautomaten, dabei werden an den Bankautomaten vollständige Frontplatten angebracht oder die Täter installieren vor den Kartenlesegeräten manipulierte Einschubschächte. Mit den manipulierten Lesegeräten werden die Kartendaten ausgelesen und auf gefälschte Karten kopiert. Zeitgleich wird der PIN des Betroffenen / der Betroffenen mittels Kamera oder Tastatur-Attrappe aufgezeichnet. Neben veränderten Bankautomaten wurden allerdings auch manipulierte Türöffner identifiziert. Auch hier setzen die Täter auf Einschubschächte, die das Auslesen der Kartendaten ermöglichen. Dürften die meisten Bankkunden von dieser Masche bereits gehört haben und sensibler im Umgang mit ihren EC- und Kreditkarten verfahren, so könnte die Information, dass Täter ähnliche Vorgehensweisen bei der Bestellung in Online-Shops anwenden, allerdings neu sein.

Wie das Bundesamt für Sicherheit in der Informationstechnik berichtet, nutzen die Täter Sicherheitslücken in veralteten Programmen der Shops, dabei seien Online-Shops, die auf der Software Magento beruhen, betroffen. Die Cyber-Kriminellen schleusen eine Programm-Code ein, womit die Zahlungsdaten an die Täter übermittelt werden.

„ Datenschutz Skimming “ – Wie sich Betroffene vor Skimming schützen können  

Betroffenen ist anzuraten sowohl beim Einsatz von EC-Karten bzw. Kreditkarten als auch bei Bestellungen in Online-Shops etwas vorsichtiger zu sein, da neben Skimming auch Phishing zum Datenklau führen kann. Wenn Sie mehr zu den Gefahren durch Phishing erfahren möchten, dann lesen Sie dich unseren Beitrag „Angriffe in Facebook, E-Mails & Co. – Wenn Phishing Datenschutz – Probleme hervorruft“.

Neben dem sensiblen Umgang sind ansonsten die Möglichkeiten der Betroffenen zum Schutz vor Skimming sehr eingeschränkt, da diese in dem meisten Fällen zunächst von dem Klau / Abfluss ihrer Daten nichts bemerken.

„ Datenschutz Skimming “ – Was verantwortliche Stellen beachten sollten

Sind die Möglichkeiten der Betroffenen zum Schutz ihrer personenbezogenen Daten vor Cyber-Kriminellen überschaubar, so gilt dies allerdings nicht für verantwortliche Stellen, insbesondere nicht für die Anbieter von Online-Shops.

Gemäß § 13 Abs. 7 des Telemediengesetztes (TMG) sind Betreiber von Online-Shops verpflichtet, ihre Systeme durch technische und organisatorische Vorkehrungen gegen unerlaubte Zugriffe und Störungen zu schützen. Zu diesen technischen Vorkehrungen gehört unter anderem das zeitnahe Einspielen von Sicherheitsupdates. Laut § 16 Abs. 2 Nr. 3 TMG handelt es sich um eine Ordnungswidrigkeit, die mit einer Geldbuße von bis zu 50000 Euro bestraft werden kann, wenn der Betreiber vorsätzlich oder fahrlässig über eine in § 13 Abs. 7 Nr. 1 und 2 Buchstabe a genannte Pflicht zur Sicherstellung verstößt.

Des Weiteren sollten sowohl Banken als auch Betreiber von Online-Shops beachten, dass die gemäß § 42a BDSG dazu verpflichtet sind, Betroffene und die Aufsichtsbehörde über den Datenverlust durch Skimming, Phishing oder andere Formen von Datenklau/Datenverlust (gilt auch bei Verlust eines USB-Sticks mit personenbezogenen Daten) zu informieren. Dieser Informationspflicht muss vor allem bei besonderen Arten personenbezogener Daten, wie zum Beispiel Gesundheitsdaten, sowie bei personenbezogenen Daten zu Bank- und Kreditkonten nachgegangen werden. Aus diesem Grund sollte eine verantwortliche Stelle, wenn sie eine Datenpanne feststellt, – sofern vorhanden – den internen / externen Datenschutzbeauftragten unverzüglich einschalten.

Das schlimmste Szenario (Worst-Case) dürfte sein, dass der betroffene Personenkreis sehr groß ist und unter anderem personenbezogene Bankdaten, wie bei Skimming üblich, gestohlen wurden. In solchen Fällen sieht § 42a BDSG vor, dass über die Datenpanne in mindestens zwei bundesweit erscheinenden Zeitungen informiert wird oder eine andere Maßnahme ergriffen werden soll, die in ihrer Wirksamkeit hinsichtlich der Information der Betroffenen gleichgestellt werden kann.

Neben Bußgeldern droht verantwortlichen Stellen bei einer Datenpanne ein erheblicher Imageverlust. Möchten Sie mehr zum Thema Datenpanne erfahren, dann lesen Sie unseren Beitrag „Prävention statt Datenpanne – Bußgelder, Imageverlust und Informationspflichten bei Datenpannen gemäß § 42a BDSG“ und erfahren Sie, wie Sie sich gegen Datenpannen schützen können.

Falls Sie mehr zum Thema „ Datenschutz Skimming “ erfahren möchten oder sich nicht sicher sind, ob die getroffenen organisatorischen und technischen Vorkehrungen den datenschutzrechtlichen Bestimmungen genügen, können Sie sich gern an uns wenden. Holen Sie sich ein unverbindliches Angebot zum Datenschutz ein oder nehmen Sie direkt Kontakt mit uns auf.

Wir bieten unsere Dienste als externer Datenschutzbeauftragter an und führen nicht nur eine fachgerechte Prüfung ihres Anliegens aus, sondern stehen Ihnen mit Rat für die Findung alternativer Lösungen zur Verfügung, um das bestmöglichste Resultat zu erzielen. Sofern Sie einen Mitarbeiter als internen Datenschutzbeauftragten für diese Aufgabe vorsehen wollen, bieten wir ebenso Weiterbildungen und Schulungen an, um optimale Voraussetzungen zu schaffen. Auch der Support des internen Datenschutzbeauftragten durch unsere Datenschutzberater, die mit gezielter Datenschutzberatung unterstützen, führt für unsere Auftraggeber zu einem klaren Mehrwert.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

 

Arbeitsplatzüberwachung: GPS-Ortung und Datenschutz – „Ich weiß, wo du heute, gestern und letzten Monat warst!“

GPS-Ortung und DatenschutzDas Thema der Arbeitsplatzüberwachung z. B. durch GPS-Ortung in Verbindung mit Datenschutz, insbesondere Beschäftigtendatenschutz gewinnt stetig an Bedeutung. Ortungssysteme sind weder in Dienstfahrzeugen noch in Smartphones keine Seltenheit mehr, schnell kann dies zu einer dauerhaften, anlasslosen Überwachung am Arbeitsplatz führen.  Die Bestimmung eines Standortes ist unter anderem mittels Global Positioning System (GPS), Location-based Services (LBS) sowie radio-frequency identification (RFID) möglich. Bei der Global Positioning System-Ortung (GPS) wird die Position mithilfe von Satelliten bestimmt. GPS wird insbesondere für Navigationssysteme verwendet. Neben GPS ermöglicht Location-based Services, zu deutsch standortbezogene Dienste, die Positionsbestimmung eines mobilen Endgerätes – respektive des Besitzers – über nahegelegene Funkzugangsknoten. Bei RFID können Standortdaten mit Hilfe eines Transponders und eines Schreib-/Lesegerätes mit Antenne berührungslos ausgelesen werden, allerdings muss der Transponder in die Reichweite der Antenne gelangen.

Neben zahlreichen privaten und betriebswirtschaftlichen Vorteilen bergen Ortungssysteme eine Vielzahl an Datenschutz-Risiken. Ihr externer Datenschutzbeauftragter erklärt, warum Systeme zur Ortung und Datenschutz nicht voneinander zu trennen sind und was verantwortliche Stellen, wie zum Beispiel Unternehmen, Vereine oder Behörden, berücksichtigen sollten, damit eine unzulässige Arbeitsplatzüberwachung vermieden wird.

GPS-Ortung und Datenschutz – Was Organisationen beachten sollten

Werden die Standorte von Dienstfahrzeugen oder dienstlichen Smartphones ermittelt, so kann daraus geschlossen werden, wo sich eine kleine Gruppe an Arbeitnehmern oder der einzelne Arbeitnehmer aufhält bzw. aufgehalten hat. Ein Personenbezug ist damit spätestens unter Zuhilfenahme der Einsatzpläne der Mitarbeiter gegeben, folglich greift das Datenschutzrecht. Sollen personenbezogene Daten erhoben, verarbeitet und/oder genutzt werden, so sollte stets das Verbot mit Erlaubnisvorbehalt bedacht werden. Laut § 4 Abs. 1 Bundesdatenschutzgesetz (BDSG) ist eine Erhebung, Verarbeitung und/oder Nutzung personenbezogener Daten erlaubt, wenn eine Rechtgrundlage oder die informierte und wirksame Einwilligung des Betroffenen dies erlauben.

Laut § 28 Abs. 1 Nr. 2 BDSG (Hinweis: Siehe auch § 32 BDSG für Zwecke des Beschäftigungsverhältnisses) dürfen personenbezogene Daten erhoben werden, wenn sie zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich sind und das schutzwürdige Interesse des Betroffenen nicht überwiegt. Um dies festzustellen, ist eine Interessensabwägung zwischen der verantwortlichen Stelle und dem Betroffenen notwendig. Mögliche Gründe für eine Ortung wären

  • der Diebstahl des Fahrzeugs oder Endgeräts,
  • die Aufdeckung von Straftaten bei einem begründeten Verdacht,
  • die Wahrung berechtigter Interessen der Organisation/eines Dritten, z.B. Geldtransporter, Krankenwagen

Der Einsatz von Ortungssystemen zur Überwachung der Mitarbeiter, sogenannte Verhaltens- und Leistungskontrolle ist allerdings untersagt und sollte dringend unterbunden werden. Selbst bei einer erlaubten Datenerhebung und –verarbeitung ist der Grundsatz der Datensparsamkeit zu beachten. Das heißt, dass nur die personenbezogenen Daten erhoben und verarbeitet werden dürfen, die tatsächlich notwendig sind. Zum Beispiel liegt für die Ortung des Standortes ein berechtigtes Interesse einer Speditionsfirma zur Warenverfolgung vor, allerdings ist für diesen Zweck die Erhebung der Dauer von Fahrtunterbrechungen nicht notwendig. Bei erlaubter privater Verwendung von Dienstfahrzeugen/Endgeräten darf ebenfalls keine Ortung durchgeführt werden.

Zwischen einer Erlaubnis und dem Verbot von Ortungssystemen liegt in dem meisten Fällen nur ein schmaler Grat. Umso wichtiger ist es, dass sich Organisationen mit dem Thema „GPS-Ortung und Datenschutz“ auseinandersetzen und nicht auf fachkundige Beratung durch einen Datenschutzbeauftragten oder Datenschutzberater verzichten. Zumal verantwortliche Stellen gemäß § 4d Abs. 5 BDSG bei automatisierten Verarbeitungen, die besondere Risiken für die Rechte der Betroffenen aufweisen, verpflichtet sind, eine Vorabkontrolle durch den Datenschutzbeauftragten durchführen zu lassen.

GPS-Ortung und Datenschutz – Beteiligung des Datenschutzbeauftragten und ggf. des Betriebsrates

Grundsätzlich sind alle Verfahren, in denen personenbezogene Daten automatisiert verarbeitet werden, der zuständigen Aufsichtsbehörde zu melden. Die Meldepflicht an die Aufsichtsbehörde entfällt allerdings, wenn die verantwortliche Stelle einen Datenschutzbeauftragten bestellt hat. Für diese Position kann ein interner Mitarbeiter (interner Datenschutzbeauftragter) oder auch externer Datenschutzbeauftragter bestellt werden.

Bei automatisierten Verarbeitungen, die besondere Risiken für die Rechte und Freiheiten eines Betroffenen aufweisen, muss, wie bereits erläutert, vor Beginn der Verarbeitung eine Prüfung, sogenannte Vorabkontrolle, durch den Datenschutzbeauftragten erfolgen.

Neben der Beteiligung des Datenschutzbeauftragten sollte – sofern vorhanden – der Betriebsrat vor Beginn der Verarbeitung einbezogen werden, da dieser gemäß § 87 Abs. 1 Nr. 6 Betriebsverfassungsgesetz (BetrVG) bei technischen Einrichtungen, die eine Verhaltens- und Leistungskontrolle der Mitarbeiter ermöglichen, ein Mitbestimmungsrecht hat.

Als verantwortliche Stelle ist man zudem gemäß § 9 Bundesdatenschutzgesetz in Verbindung mit der Anlage zu § 9 Satz 1 BDSG verpflichtet, technische und organisatorische Maßnahmen zu treffen, um die Anforderungen des BDSG zu erfüllen und den Zugriff durch Unbefugte zu vermeiden.

Fazit

Der Einsatz von Ortungssystemen kann unter gewissen Umständen aus Sicht der verantwortlichen Stelle (z. B. Unternehmen) erforderlich sein, im überwiegenden Interesse des Betreibers liegen und gleichzeitig kein Grund zur Annahme vorliegt, dass die schutzwürdigen Interessen des oder der Betroffenen überwiegen. Es sollten daher unbedingt bei der Planung der Maßnahmen, die Rechte der Betroffenen nicht außer Acht gelassen werden. Für den datenschutzkonformen Einsatz von Ortungssystemen sind viele Kriterien/Grundsätze, insbesondere die Datensparsamkeit, Zweckbindung und Verhältnismäßigkeit, zu beachten. Des Weiteren sollten klaren Regelungen, unter anderem zum Zweck, zur Löschung und zu den Zugriffsberechtigungen, mit Hilfe von Betriebsvereinbarungen/Dienstvereinbarungen/Richtlinien geschaffen werden.

Möchten Sie mehr zu Ortung und Datenschutz erfahren oder möchten Sie sich im Datenschutz dauerhaft besser positionieren? Wählen sie einen fachkundigen und zuverlässigen Datenschutzbeauftragten als Ansprechpartner für datenschutzrechtliche Belange. Falls Sie noch auf der Suche nach einem geeigneten Dienstleister für diese Aufgabe sind, stehen wir Ihnen gern als externer Datenschutzbeauftragter zur Seite. Haben Sie bereits einen Datenschutzbeauftragten, so nehmen Sie gerne auch unsere anderen Dienstleistungen, wie, Datenschutz-Schulungen oder eine Datenschutzberatung in Anspruch. Holen Sie sich ein unverbindliches Datenschutz-Angebot ein oder nehmen Sie direkt Kontakt mit uns auf.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

Wirtschaftswachstum am Beispiel Sachsens – Datenschutz in Unternehmen muss mitwachsen

Datenschutz in UnternehmenNach der neusten Statistik steigt das Wirtschaftswachstum in Sachsen um ca. 2 %. Ein kontinuierlich anziehendes Wachstum, welches mit großer Wahrscheinlichkeit in Zukunft weiter anhalten wird. Doch was verursacht dieses Wachstum und wieso muss der Datenschutz in Unternehmen mitwachsen?

Geprägt ist die sächsische Industrielandschaft durch klein- und mittelständische Unternehmen (KMU), welche den Motor für das Wirtschaftswachstum darstellen. Dabei nehmen sächsische Unternehmen eine technologische Top-Stellung ein, insbesondere in den Bereichen Automobilindustrie, Mikroelektronik sowie Maschinen- und Anlagenbau.

Ihr externer Datenschutzbeauftragter informiert über das Wirtschaftswachstum in Sachsen und erklärt, welche Auswirkungen das Wirtschaftswachstum auf den Datenschutz in Unternehmen haben könnte.

Was ist unter Wirtschaftswachstum grundsätzlich zu verstehen?

Ziel fast jeder Volkswirtschaft dürfte das Erreichen eines Wirtschaftswachstumes sein, da mit höherer Einnahmeerzielung des Einzelnen auch dessen persönlicher bzw. finanzieller Wohlstand zunimmt. Das Wirtschaftswachstum sorgt folglich für eine höhere Verteilungsmasse (Geld), mit dem Ziele wie Umweltschutz, Bildung, etc. besser verwirklicht werden können, da mehr Mittel zur Verfügung stehen. Gemessen wird das Wirtschaftswachstum mit dem Anstieg des Bruttoinlandproduktes. Das Bruttoinlandprodukt (BIP) wiederum ist die Ermittlung der Gesamtheit von Waren und Dienstleistungen, welche im Inland produziert werden, unter Abzug aller Vorleistungen.

Datenschutzrechtliche Relevanz

Das Bundesdatenschutzgesetz (BDSG) gilt nach § 1 BDSG für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch

  • Öffentliche Stellen des Bundes
  • Öffentliche Stellen der Länder, sofern nicht durch das Landesgesetz geregelt und die Stellen Bundesrecht ausführen oder als Organe der Rechtspflege tätig werden, sowie
  • nicht öffentliche Stellen (private Unternehmen).

Eine Erhebung, Verarbeitung und/oder Nutzung personenbezogener Daten wird dabei durch praktisch alle verantwortlichen Stellen durchgeführt, da gerade Wirtschaftswachstum zu Neueinstellungen, Erweiterungen von Unternehmen oder Unternehmensgründungen führt.

Ein Beispiel für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten stellt das Bewerbungsverfahren für die Einstellung neuer Mitarbeiter dar. Bei diesem werden sensible personenbezogene Daten gesammelt, wie Geburtsdatum, Geschlecht und Name. Bewerbungsunterlagen enthalten zahlreiche sensible personenbezogene Daten und müssen deshalb mit besonderer Sorgfalt behandelt werden. So muss unter anderem gewährleistet werden, dass kein Unbefugter Zugang zu den Unterlagen hat. Weiterhin stellt sich die Frage, wer die Daten sichten darf, wie die Übermittlung der Daten erfolgen darf und wann eine Löschung der Daten stattfinden sollte. Ansprechperson für diese Fragen ist der Datenschutzbeauftragte. Bei einem Wachstum der Wirtschaft darf somit von einem Mehr an Datensätzen in den Unternehmen gerechnet werden. Dieser Effekt tritt nicht nur in den Unternehmen auf, die neues Personal einstellen, sondern erweitert sich durch den Geldkreislauf bzw. steigenden Konsum (z. B. durch Einkauf der neuen Arbeitskräfte in Supermärkten oder Online-Shops).

Das Bundesdatenschutzgesetz und sächsische Datenschutzgesetz

Das sächsische Datenschutzgesetz (SächsDSG) regelt die Anwendung des Datenschutzes für öffentliche Stellen des Landes Sachsen. Dabei regelt es die datenschutzrechtlichen Vorrausetzungen, wie öffentliche Stellen in Sachsen mit personenbezogenen Daten zu verfahren haben. Das Bundesdatenschutzgesetz hingegen findet dann Anwendung, wenn unter anderem die Bundesbehörde oder nicht-öffentliche Stellen mit personenbezogenen Daten agieren.

In anderen Bereichen, wie dem Polizei- und Sozialrecht, gelten primär die jeweiligen speziellen Datenschutzregelungen. Weiterhin existieren noch zahlreiche andere datenschutzrechtliche Spezialvorschriften, welche auf EU-, Bundes- und Landesebene angesiedelt sind.

Bestellung der Datenschutzbeauftragten

Der Datenschutzbeauftragter ist nach § 4f BDSG zu bestellen, wenn eine öffentliche oder nicht öffentliche Stelle personenbezogene Daten automatisiert verarbeitet. Er ist somit dann tätig, wenn eine Erhebung, Verarbeitung und Nutzung personenbezogener Daten durchgeführt wird, und für die Aufgaben zuständig, welche im § 4g BDSG geregelt sind. Dabei wirkt der Datenschutzbeauftragte als internes Kontrollorgan, welches auf die Einhaltung der Datenschutzvorschriften hinweist.

Eine interner / externer betrieblicher Datenschutzbeauftragter sollte durch nicht-öffentliche Stellen bestellt werden, wenn …

  • mindestens 10 Personen personenbezogene Daten automatisiert verarbeiten oder
  • die automatisierte Verarbeitung eine Vorabkontrolle erfordert oder
  • die automatisierte Verarbeitung zum Zweck der (anonymisierten) Übermittelung dient oder
  • die automatisierte Verarbeitung zum Zweck der Markt- und Meinungsforschung erfolgt oder
  • mindestens 20 Personen personenbezogene Daten auf einer anderen Weise verarbeiten.

Ein interner / externer behördlicher Datenschutzbeauftragter sollte durch öffentliche Stellen des Bundes bestellt werden, wenn …

  • personenbezogene Daten automatisiert verarbeitet werden oder
  • mindestens 20 Personen personenbezogene Daten auf einer anderen Weise verarbeiten.

Das sächsische Landesdatenschutzgesetz regelt, dass ein interner / externer behördlicher Datenschutzbeauftragter durch öffentliche Stellen des Landes bestellt werden kann, allerdings besteht keine Verpflichtung.

Die Bestellung eines Datenschutzbeauftragten ist laut BDSG unter dieser Personengrenze und laut SächsDSG gar nicht verpflichtend. Dennoch sollten kleinere Unternehmen diesbezüglich vorsichtig sein, falls sie stark expandieren (möchten). Fallen sie durch die Expansion in diesen Bereich, ist nach §4f Abs. 1 Satz 2 BDSG spätestens nach einem Monat ein geeigneter Datenschutzbeauftragter zu bestellen. Geschieht dies nicht und wird das Unternehmen durch die Datenschutzaufsicht, die zuständigen Aufsichtsbehörde „Landesdatenschutzbeauftragter“, kontrolliert, könnte dies rechtliche Konsequenzen für das Unternehmen bedeuten. Auch für öffentliche Stellen des Landes, die keiner Bestpflicht unterliegen, ist eine frühzeitige Einbindung eines Datenschutzbeauftragten anzuraten, um geeignete Maßnahmen zu ergreifen, Datenschutzverstöße zu vermeiden und insbesondere Sanktionen abzuwenden. Wenn Sie mehr zu den Sanktionen im Datenschutz erfahren möchten, lesen Sie unseren Beitrag „Bußgelder, Geld- und Freiheitsstrafen – Zu erwartende Sanktionen im Datenschutz

Datenschutz in Unternehmen – Fördermittel für Datenschutz- und Datensicherheitsleistungen durch den Staat

Bestimmte Datenschutz- und Datensicherheitsleistungen können mit Fördermitteln vom Bundesamt für Wirtschaft und Ausfuhrkontrolle (BAFA) bezuschusst werde. Nach den Leitlinien der BAFA können kleine und mittelständische Unternehmen der gewerblichen Wirtschaft und Freiberufler (KMU) Anträge für Fördermittel stellen. Nach den Leitlinien der BAFA ist ein Unternehmen ein KMU, wenn

  • das Unternehmen seinen Sitz oder eine Zweigniederlassung in der Bundesrepublik Deutschland hat,
  • weniger als 250 Leute darin beschäftigt sind und
  • das Unternehmen einen Jahresumsatz von nicht mehr als 50 Millionen Euro oder eine Jahresbilanzsumme von nicht mehr als 43 Millionen Euro hat. Neu gegründete Unternehmen, welche noch keine Jahresbilanz erstellt haben, können die Angaben nach Treu und Glauben schätzen.

Bei Konzernunternehmen müssen für die Ermittlung der Mitarbeiterzahl und des Jahresumsatzes die Partnerunternehmen des Unternehmens mit einbezogen werden.

Der Fördersatz beträgt dabei in Sachsen um die 80%, für Unternehmen in der wirtschaftlichen Krise um die 90%. Dabei richten sich die maximalen förderfähigen Beratungskosten danach, wie lange ein Unternehmen auf dem Markt aktiv ist oder ob es sich in einer schwierigen Lage befindet. Gegliedert werden die Unternehmen dabei in

  • Jungunternehmen (nicht länger als 2 Jahre am Markt), welche einen Höchstzuschuss von 3200 Euro,
  • Bestandsunternehmen mit Höchstsatz von 2400 Euro und
  • Unternehmen in Schwierigkeiten, welche im Höchstsatz 2700 Euro

Förderung erhalten können.

Wirtschaftswachstum und die Notwendigkeit des Datenschutzes

Die sächsische Wirtschaft wächst kontinuierlich, was auf die Expansion von kleinen und mittelständigen Unternehmen zurückzuführen ist. Daneben wird das Wirtschaftswachstum auch zu Neugründungen von Unternehmen führen. Das Thema Datenschutz in Unternehmen gewinnt somit stetig an Bedeutung. Organisationen, die personenbezogene Daten erheben, verarbeiten oder nutzen, sollten auf Datenschutzregelungen ein Auge haben – nicht nur, um Sanktionen, welche bei datenschutzrechtlichen Verstößen durch die Datenschutzbehörde verhängt werden können, zu umgehen, sondern auch, um datenschutzrechtliche Sicherheitslücken im Unternehmen zu schließen. Weiterhin ist zu beachten, dass eine Verpflichtung zur Bestellung eines Datenschutzbeauftragten ab einer bestimmten Organisationsgröße besteht. Der Datenschutzbeauftragte sollte dabei nicht nur als weiterer Kostenfaktor angesehen werden, sondern als Hilfsorgan, welches nicht nur die Organisation vor datenschutzrechtlichen Sanktionen bewahren kann, sondern auch den richtigen Umgang mit personenbezogenen Daten aufzeigt.

Weiter oben wurde bereits der folgende Satz erwähnt: „Das Wirtschaftswachstum sorgt folglich für eine höhere Verteilungsmasse (Geld), mit dem Ziele wie Umweltschutz, Bildung, etc. besser verwirklicht werden können, da mehr Mittel zur Verfügung stehen.

Ein solches Wachstum dürfte auch auf die Arbeit im Datenschutz zu übertragen sein. Der Datenschutz in Unternehmen wird regelmäßig durch die Verhältnismäßigkeit begrenzt. Geht es einem Unternehmen wirtschaftlich besonders gut, wären an diese Verhältnismäßigkeit regelmäßig andere Maßstäbe zu setzen. Kritiker mögen dies vielleicht als „Luxusprobleme“ bezeichnen, ein externer Datenschutzbeauftragter wohl eher als „Sicherstellung des Rechts des Menschen auf informationelle Selbstbestimmung, einer Ausprägung des allgemeinen Persönlichkeitsrechts“!

Wählen sie einen fachkundigen und zuverlässigen Datenschutzbeauftragten als Ansprechpartner für datenschutzrechtliche Belange. Falls Sie noch auf der Suche nach einem geeigneten Dienstleister für diese Aufgabe sind, stehen wir, Brands Consulting, Ihnen gern als externer Datenschutzbeauftragter zur Seite. Haben Sie bereits einen Datenschutzbeauftragten, so nehmen Sie gerne auch unsere anderen Dienstleistungen, wie, Datenschutz-Schulungen oder eine Datenschutzberatung in Anspruch. Holen Sie sich ein unverbindliches Datenschutz-Angebot ein oder nehmen Sie direkt Kontakt mit uns auf.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen

 

„ (Vorab)Kontrolle Datenschutzbeauftragter “ – Die Prüfung der Zweckbindung und Verhältnismäßigkeit

Kontrolle DatenschutzbeauftragterDie Bedeutsamkeit für das Thema „ (Vorab)Kontrolle Datenschutzbeauftragter “ resultiert aus der hohen Relevanz unserer personenbezogenen Daten, also der Informationen, die uns als Menschen vereinfacht ausgedrückt „zuzuordnen sind“. Der Umgang mit personenbezogenen Daten ist für die sogenannten verantwortlichen Stellen, so insbesondere für Unternehmen, wichtig, sei es, um Marktforschung oder Werbung zu betreiben, zur Suche nach geeigneten Bewerbern oder zur Arbeitszeitplanung.

Es ist unerlässlich, personenbezogene Daten zu erheben, um den Geschäftszweck zu erfüllen. Dabei sollte nicht außer Acht gelassen werden, dass der von der Datenerhebung betroffene Mensch Schutzrechte hat, die nicht übergangen werden dürfen.

Ihr externer Datenschutzbeauftragter informiert zum Thema „ (Vorab)Kontrolle Datenschutzbeauftragter “ und über relevante Kriterien, die nicht außer Acht gelassen werden sollten.

„ Kontrolle Datenschutzbeauftragter “ – Wann ist eine Datenerhebung, -verarbeitung oder –nutzung erlaubt?

Grundsätzlich ist die Erhebung personenbezogener Daten nach § 4 Abs. 1 Bundesdatenschutzgesetz (BDSG) nur zulässig, soweit

  • das BDSG dies erlaubt
  • eine andere Rechtsvorschrift dies erlaubt oder
  • der Betroffene zustimmt

Durchbrochen wird diese Vorschrift u.a. durch den § 28 BDSG:

Nach diesem ist die Verarbeitung oder Nutzung personenbezogener Daten zulässig, wenn diese für die Begründung, Durchführung oder Beendigung eines rechtgeschäftlichen oder rechtgeschäftsähnlichen Schuldverhältnisses erforderlich sind (Abs. 1 Nr.1). Bei Arbeitsverhältnissen tritt jedoch der § 32 BDSG an die Stelle des § 28 BDSG. Weiterhin ist nach Nr. 2 der Umgang mit personenbezogenen Daten gestattet, soweit diese für die Wahrung berechtigter Interessen der verantwortlichen Stelle dienen. Das bedeutet, dass stets eine Abwägung der Interessen der zuständigen Stelle mit denen des Betroffenen stattfinden sollte.

§ 32 BDSG Datenerhebung, -verarbeitung und -nutzung für Zwecke der Beschäftigungsverhältnisse

Besonderes Augenmerk sollte auf die Verarbeitung personenbezogener Daten innerhalb eines Beschäftigungsverhältnisses gelegt werden. Natürlich in Abhängigkeit zur Branche werden regelmäßig insbesondere im Mittelstand in kaum einem anderen Gebiet bzw. in keiner Abteilung so viele personenbezogene Daten erhoben.

Diese Datenerhebung ist nicht grundlos, da sie u.a. für die Planung der Personalpolitik, die Sicherung eines effizienten Personaleinsatzes oder die Kontrolle des Arbeitseinsatzes vom Arbeitgeber erforderlich ist. Gegen die Datenerhebung und –verarbeitung im Rahmen des Beschäftigungsverhältnisses würde sich der Mitarbeiter/Beschäftigte auch aus Sorge seinen Arbeitsplatz zu verlieren, in den seltensten Fällen zur Wehr setzen. Um den Mitarbeiter zu schützen, hat der Gesetzgeber den § 32 BDSG eingesetzt. Er gestattet den Umgang mit personenbezogenen Daten, sofern diese erforderlich sind und die Zweckbindung gewahrt bleibt und es somit zu keiner Zweckentfremdung für andere Nutzungen kommt.

Beispiel: Die Bezahlkarte in der hauseigenen Kantine des Arbeitgebers dient der Vereinfachung des Bezahlvorganges und nicht der Analyse über das Ess- und Trinkverhalten des einzelnen Mitarbeiters. Personenbezogene Daten werden hier zweckgebunden erfasst. Die Info, der Mitarbeiter konsumierte für 4,00 € ist ausreichend. Nicht erforderlich ist es regelmäßig die Portion Currywurst + Pommes zu erfassen. Auch dürfte es selbstverständlich sein, dass ein Mitarbeiter keine Hinweise auf der Basis seines „ungesunden Essverhaltens“ erhält und Datensätze zu diesen Zwecken ohne informierte und freiwillige Einwilligung verknüpft werden.

Hinweis: Zur Zweckbestimmung können Sie sich weiter unten im Text konkreter informieren.

Durchgeführt wird eine solche Prüfung oder die Beratung hierzu i. d. R. von einem kirchlichen / behördlichen oder betrieblichen Datenschutzbeauftragten (Kontrolle Datenschutzbeauftragter).

„ Kontrolle Datenschutzbeauftragter “ – Die Zweckbestimmung

Bei der Kontrolle durch den Datenschutzbeauftragten wird zum einen die Zweckbestimmung geprüft, wobei eine Interessenabwägung des Arbeitgebers und des/der betroffenen Mitarbeiter stattfindet. In diesem Rahmen prüft der Datenschutzbeauftragte, ob die geplante Maßnahme zur Erfüllung des Zwecks geeignet ist.

Will ein Arbeitgeber z.B. eine Videoüberwachungsanlage in seinem Ladenlokal installieren, so verfolgt er eventuell nicht unbedingt den Zweck, seine Mitarbeiter zu überwachen, sondern will sein Eigentum und das seiner Kunden schützen. Dessen ungeachtet wird durch den Gebrauch der Kameras der Mitarbeiter in seinen Persönlichkeitsrechten (z.B. Recht am eigenen Bild) verletzt. Auch könnte eine Videoüberwachung zur dauerhaften Verhaltens- und Leistungskontrolle der Mitarbeiter, die unzulässig ist, genutzt werden. Eine Interessenskollision von Arbeitgeber und Arbeitnehmer entsteht.

Neben der Zweckbestimmung muss die Verhältnismäßigkeit geprüft werden. Im Datenschutz gilt, dass immer zum „milderen Mittel“ gegriffen werden muss. Der Datenschutzbeauftragte muss aus diesem Grund nicht nur prüfen, ob die (geplante) Maßnahme geeignet ist, sondern ob die Maßnahme erforderlich. Beschäftigt sich der Datenschutzbeauftragte mit der (Vorab-)Kontrolle, so lässt sich die Prüfung der Verhältnismäßigkeit nicht verhindern bzw. sollte nicht vergessen werden.

„ Kontrolle Datenschutzbeauftragter “ – Verhältnismäßigkeitsprüfung

Ebenfalls durchzuführen vom Datenschutzbeauftragten ist eine Verhältnismäßigkeitsprüfung.

Bei der Prüfung der Verhältnismäßigkeit muss einzelfallspezifisch geprüft werden:

(1) Ist die Maßnahme geeignet für das Vorhaben?

(2) Ist die Maßnahme zulässig?

(3) Gibt es andere Möglichkeiten, welche besser geeignet sind, das Vorhaben zu erfüllen?

Wendet man diese Kriterien auf die oben genannte Fallkonstellation mit der Videoüberwachung an, kann folgendes entnommen werden:

(1) Ist die Maßnahme geeignet für das Vorhaben?

Ja, da durch die Videoüberwachung ermittelt werden kann, wer einen Diebstahl getätigt hat. Weiterhin dient eine Videoüberwachung als Abschreckungsmittel, da der mögliche Dieb ein erhöhtes Risiko hat, erwischt zu werden, versucht er es möglicherweise erst gar nicht.

(2) Ist die Maßnahme zulässig?

Bei einer Videoüberwachung ist zu beachten, wo sich die Videoüberwachungsanlage befindet. Ist eine Installation in öffentlich zugänglichen Räumen, wie in dem Fallbeispiel, gewollt, so wird der § 32 Abs. 1 BDSG vom § 6b BDSG verdrängt. Nach § 6b wäre so eine Maßnahme innerhalb des Beschäftigungsverhältnisses nur zulässig, sofern sie eingesetzt wird, um berechtigte Interessen des Arbeitgebers zu schützen. Vorrausetzung dafür ist einerseits das Bestehen eines konkret festgelegten Zwecks für die Nutzung, andererseits darf es keinen Anhaltspunkt geben, der die schutzwürdigen Interessen der betroffenen Mitarbeiter überwiegen lässt (§ 6b Abs. 1 Nr. 3 BDSG). Weiterhin muss die Videoüberwachung und die dafür verantwortliche Stelle durch geeignete Maßnahmen kenntlich gemacht werden (§ 6b Abs. 2 BDSG).

(3) Gibt es andere Möglichkeiten, welche besser geeignet sind, das Vorhaben zu erfüllen?

Maßgeblich für den Arbeitnehmer sind in dem Beispiel der Schutz seines Eigentums und das seiner Kunden. Somit könnte er alternativ zu dem Videoüberwachungssystem auch Alarmanlagen, elektronische Schließsysteme, Schlösser etc. verwirklichen, ohne in die Persönlichkeitsrechte seiner Mitarbeiter einzugreifen.

Führen die alternativen Möglichkeiten nicht zum Erfolg, kann eine heimliche Videoüberwachung durchgeführt werden.

Nach dem BAG-Urteil (2 AZR 51/02) vom 27.03.2003 ist eine verdeckte Videoüberwachung zulässig, wenn:

  1. ein konkreter Verdacht einer Strafhandlung besteht
  2. mildere Mittel erfolglos waren und folglich
  3. die Videoüberwachung das einzige Mittel darstellt.

In der Praxis ist eine solche Prüfung nicht nur für die Frage der Modalitäten für die Nutzung von Videoüberwachungssystemen interessant, sondern ebenso bei

  • Bewerberdatenbanken
  • Telefonüberwachung
  • E-Mail-Kontrollen
  • BYOD (Bring Your Own Device)
  • Cloud Computing
  • Detektiv/Testkunden zur Überwachung
  • Due Diligence

und vielen anderen Bereichen, welche durch die unterschiedlichen Gestaltungsformen und dem Fortschreiten der technischen Entwicklung nicht immer klar zu deuten sind.

Rechtsfolgen

Die unbefugte Erhebung, Verarbeitung und Nutzung personenbezogener Daten kann zu unterschiedlichen Saktionen führen. Dies möglichen Strafen reichen von arbeitsrechtlichen Konsequenzen, über Bußgeldern bis hin zu Freiheitsstrafen. Des Weiteren führt das Bekanntwerden von Datenschutzverstößen unabdingbar zu erheblichem Imageverlust. Um solche Rechtfolgen und die Verschlechterung des Ansehens der „verantwortlichen Stelle“ zu vermeiden bedarf es einer ordnungsgemäßen Prüfung durch einen Datenschutzbeauftragten.

Fazit

Gerade in der Praxis ist die Thematik „ Kontrolle Datenschutzbeauftragter “ und die damit verbundene Prüfung der Zweckbindung respektive Zweckgebundenheit und der Verhältnismäßigkeit des beabsichtigten Vorhabens unerlässlich. Dabei muss bei jeder geplanten Maßnahme eine einzelfallbezogene Prüfung stattfinden, um ein optimales Ergebnis zu erreichen.

Gerade, weil eine unterlassene oder nicht sachgerechte Prüfung negative Rechtfolgen und einen erheblichen Imageverlust mit sich bringen kann, sollte diese Prüfung durch einen kompetenten Datenschutzbeauftragten durchgeführt werden.

Falls Sie mehr zum Thema „(Vorab)Kontrolle Datenschutzbeauftragter“ erfahren möchten oder sich nicht sicher sind, ob das von Ihnen beabsichtigte Verfahren den datenschutzrechtlichen Bestimmungen genügt, können Sie sich gern an uns wenden. Holen Sie sich ein unverbindliches Angebot zum Datenschutz ein oder nehmen Sie direkt Kontakt mit uns auf.

Wir bieten unsere Dienste als externer Datenschutzbeauftragter an und führen nicht nur eine fachgerechte Prüfung ihres Anliegens aus, sondern stehen Ihnen mit Rat für die Findung alternativer Lösungen zur Verfügung, um das bestmöglichste Resultat zu erzielen. Sofern Sie einen Mitarbeiter als internen Datenschutzbeauftragten für diese Aufgabe vorsehen wollen, bieten wir ebenso Weiterbildungen und Schulungen an, um optimale Voraussetzungen zu schaffen. Auch der Support des internen Datenschutzbeauftragten durch unsere Datenschutzberater, die mit gezielter Datenschutzberatung unterstützen, führt für unsere Auftraggeber zu einem klaren Mehrwert.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

Interner / Externer Behördlicher Datenschutzbeauftragter in der Gemeinde, Kommunalverwaltung und Stadtverwaltung

Externer behördlicher DatenschutzbeauftragterNeben den nicht-öffentlichen Stellen (betrieblicher Datenschutzbeauftragter) gewinnt die Relevanz des Datenschutzes auch in öffentlichen Stellen (behördlicher Datenschutzbeauftragter) an Bedeutung, wodurch sich auch Gemeinden, Kommunal- und Stadtverwaltungen nicht den gesetzlichen Anforderungen entziehen können und die Position „ interner / externer behördlicher Datenschutzbeauftragter “ besetzen sollten.

Ist für nicht öffentliche Stellen das Bundesdatenschutzgesetz (BDSG) ausschlaggebend, so muss bei öffentlichen Stellen zwischen den Stellen des Bundes und des Landes unterschieden werden. Öffentliche Stellen des Bundes sollten ebenfalls die Vorschriften des BDSG beachten, wobei für Stellen des Landes einzelne Landesdatenschutzgesetze federführend sind. Die Landesdatenschutzgesetze weisen zwar i. d. R. viele Gemeinsamkeiten zum BDSG auf, allerdings sind je nach Landesdatenschutzgesetz (LDSG) einige – nicht unerhebliche – Unterschiede erkennbar. Sieht zum Beispiel das Bundesdatenschutzgesetz unter gewissen Voraussetzungen eine Bestellpflicht des Datenschutzbeauftragten vor, so wird es öffentlichen Stellen des Landes – je nach Landesdatenschutzgesetz – freigestellt, ob sie einen behördlichen Datenschutzbeauftragten bestellen wollen. Andere Landesdatenschutzgesetze sehen wiederrum eine Bestellpflicht vor.

Ihr externer Datenschutzbeauftragter erklärt, wann ein interner / externer behördlicher Datenschutzbeauftragter in der Gemeinde, Kommunalverwaltung und Stadtverwaltung bestellt werden sollte und wie dieser Gemeinden, Kommunal- und Stadtverwaltungen bei der Einhaltung des Datenschutzes unterstützen kann.

Interner / Externer behördlicher Datenschutzbeauftragter – Wann sollten Gemeinden, Stadt- und Kommunalverwaltungen einen DSB bestellen?

Übersicht LandesdatenschutzgesetzeFür Gemeinden, Stadt- und Kommunalverwaltungen ist, wie bereits in der Einleitung erläutert, das jeweilige Landesdatenschutzgesetz ausschlaggebend. Diese weisen allerdings Unterschiede in Hinblick auf die Bestpflicht auf. Die Landesdatenschutzgesetze der Bundesländer Bayern, Berlin, Rheinland-Pfalz, Nordrhein-Westfalen etc. sehen eine Bestellpflicht vor, wobei unter anderem das Saarland und Schleswig-Holstein zu keiner Bestellung eines behördlichen Datenschutzbeauftragten verpflichten.

Die Landesdatenschutzgesetze unterscheiden sich des Weiteren darin, ob ein interner oder externer behördlicher Datenschutzbeauftragter bestellt werden soll/darf. Stellen zum Beispiel Rheinland-Pfalz und Hessen die Entscheidung frei, so legen andere Bundesländer, wie Nordrhein-Westfalen oder Bayern fest, dass nur ein interner behördlicher Datenschutzbeauftragter bestellt werden darf. Möchten Sie mehr zu den einzelnen Landesdatenschutzgesetzen und den konkreten Regelungen zu der Bestellung des Datenschutzbeauftragten erfahren, dann lesen Sie doch unseren Beitrag „Übersicht Landesdatenschutzgesetze (LDSG) – interner oder externer behördlicher Datenschutzbeauftragter“.

Die Funktion des behördlichen Datenschutzbeauftragten in Gemeinden, Stadt- und Kommunalverwaltungen

Neben den erläuterten Unterschieden weisen die einzelnen Landesdatenschutzgesetze sowie das Bundesdatenschutzgesetz auch einige Gemeinsamkeiten auf. Zum Beispiel wird sowohl im Bundesdatenschutzgesetz als auch in den Landesdatenschutzgesetzen die nötige Fachkunde und Zuverlässigkeit vom behördlichen Datenschutzbeauftragen gefordert. Unter die Fachkunde fällt sowohl die Kenntnis des Datenschutzrechts als auch der organisatorischen Strukturen der öffentlichen Stelle und der technischen Abläufe, wobei unter der Zuverlässigkeit die persönliche Eignung zu verstehen ist. Der behördliche Datenschutzbeauftragte steht sowohl der Behördenleitung als auch den Mitarbeitern und dem Personalrat in allen Datenschutzfragen zur Verfügung und agiert als unabhängige Vertrauensperson. Aus diesem Grund ist für die Position des Datenschutzbeauftragten ein hohes Maß an Verantwortungsbewusstsein, Integrität und Sensibilität gefragt. Umso wichtiger ist es, dass sich aus den Arbeitsaufgaben und aus der Arbeit als Datenschutzbeauftragter kein Interessenskonflikt ergibt. Daher kommen insbesondere Behördenleiter oder die Leiter der Personal- oder IT-Abteilungen regelmäßig nicht für die Position des behördlichen Datenschutzbeauftragten infrage.

Der behördliche Datenschutzbeauftragte ist, ebenso wie der betriebliche Datenschutzbeauftragte, der Leitung der verantwortlichen Stelle, zum Beispiel der Behördenleitung direkt unterstellt, um auf die Einhaltung des Datenschutzes bestmöglich hinwirken zu können.

Die Aufgaben eines behördlichen Datenschutzbeauftragten können sehr vielseitig, wodurch die notwendige Fachkunde für einen internen behördlichen Datenschutzbeauftragten bereits eine große Hürde darstellen kann. Zu den Aufgaben eines Datenschutzbeauftragten gehören von A, wie Auftragsdatenverarbeitung, bis Z, wie Zeiterfassung, wobei zu weiteren typische Themenfeldern unter anderem die

  • Erstellung von Verfahrensverzeichnissen,
  • Durchführung von Datenschutz-Kontrollen,
  • Beratung der Behördenleitung, der Personalvertretung und der Mitarbeiter,
  • Entwicklungen von Richtlinie und Dienstvereinbarungen

zählen.

Möchten Sie mehr zu der Position „interner / externer behördlicher Datenschutzbeauftragter in der Gemeinde, Kommunalverwaltung und Stadtverwaltung erfahren, dann lesen Sie unseren Beitrag „Interner / externer behördlicher Datenschutzbeauftragter“ oder nehmen Sie direkt Kontakt mit uns.

Gerne unterstützen wir Sie als externer behördlicher Datenschutzbeauftragter oder sorgen für zielgerichteten Support Ihres internen Datenschutzbeauftragten als Datenschutz-Berater. Die Datenschutzberatung setzt genau dort an, wo Ihr interner behördlicher Datenschutzbeauftragter Unterstützung benötigt. Holen Sie sich gerne ein unverbindliches Angebot zum Datenschutz ein.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

 

Kein Recht am eigenen Bild – Zigarettenhersteller planen personalisierte Schockfotos (Achtung Datenschutz-Satire)

Recht am eigenen BildDie EU-Kommission plant, angesichts der Unwirksamkeit der seit Mai 2016 eingeführten Schockfotos für Zigarettenschachteln, das Thema „Recht am eigenen Bild“ in den Hintergrund zu rücken und mittels personalisierter Schockbilder zu warnen. Eine Sprecherin der EU-Kommission sagte diesbezüglich: „Nachdem wird festgestellt haben, dass verfaulte Zähne, abgestorbene Füße und schwarze Lungen ohne das dazugehörende Gesicht nicht zu dem gewünschten Effekt geführt haben, starteten wir vor einigen Wochen einen Testlauf mit personalisierten Bildern und der gewünschte Effekt trat bei den betroffenen Rauchern ein. Endlich konnten wir schockieren.“  Neben der EU-Kommission zeigte sich vor allem der Chef eines sozialen Netzwerkes hellauf begeistert: „Endlich haben wir Abnehmer für die hochgeladenen Bilder unserer User gefunden.“

Bei den Schockbildern auf Zigarettenschachteln soll es allerdings nicht bleiben. Nächstes Jahr plant die Kommission vor den Gefahren des Alkoholmissbrauchs zu warnen. Auch für alkoholische Getränke sind personalisierte Schockbilder geplant. Auf die Frage nach der Herkunft der Schockfotos erläuterte die Sprecherin: „Ausreichend Material sollten wir zunächst von Unternehmen erhalten, die ihre Betriebsfeiern umfangreich festhalten und Bildmaterial veröffentlichen. Neben den Betriebsfeiern hat uns der Veranstalter eines bedeutenden Volksfestes „feuchtfröhliches“ Bildmaterial versprochen. Seiner Ansicht bietet die Wiese in der Nähe des Volksfestes, der sogenannte „Kotzhügel“, der bereits letztes Jahr von vielen „Gaffern“ und „Hobbyfotografen“ in sozialen Netzwerken als (Groß-)Event gefeiert wurde, ausreichend Material, um vor „so ziemlich allem“ zu warnen, so der Veranstalter.

Nun zur Aufklärung des vorstehenden satirischen Beitrags:

Recht am eigenen Bild – Was sagen Datenschützer und Datenschutzbeauftrage?

Datenschützer und Datenschutzbeauftragte warnen vor der unbefugten Erhebung, Verarbeitung und Nutzung personenbezogener Daten. Auch bei Bildern handelt es sich um sogenannte personenbezogene Daten, da auf diesen Bildern Merkmale erkennbar sind, die auf eine Person zurückschließen lassen.

Ein Datenschutzbeauftragter erklärte zum Thema „Recht am eigenen Bild“: „Eine Erhebung, Verarbeitung und Nutzung personenbezogener Daten ist nur erlaubt, wenn eine Rechtsgrundlage vorliegt oder der Betroffene einwilligt hat. Das Heranziehen vom Kunsturheberrechtsgesetz ist unabdingbar.“

Zum Thema „Recht am eigenen Bild“ steht im Kunsturhebergesetz, dass die Verbreitung von Bildern erlaubt ist, wenn der Abgebildete eingewilligt hat. Die Einwilligung gilt auch als erteilt, wenn der Abgebildete entlohnt wurde. Zudem legt das Kunsturheberrechtsgesetz Ausnahmen fest, wann das Verbreiten von Bilder erlaubt ist. Eine Ausnahme, gemäß § 23 Kunsturheberrechtsgesetz, stellt das Erfassen und Verbreiten von Versammlungen dar.

Nun wieder etwas Humor:

Datenschutz SatireUm das Recht am eigenen Bild, trotz der Pläne der EU-Kommission zu schützen, geben Datenschützer und Datenschutzbeauftragte schützen folgende Sicherheitsmaßnahmen raus:

  • Mit dem Rauchen und Trinken aufhören
  • Keine Versammlungen oder andere Veranstaltungen mit großem Menschenaufkommen besuchen
  • Nicht vor schönen Landschaften/Sehenswürdigkeiten rauchen oder trinken
  • Tragen von Sturmhauben, Masken oder Burkas

Recht am eigenen Bild – Was sagt die Politik?

Politiker in aller Welt reagierten prompt. Ein Politiker verkündete: „Als großer Fan vom Datenschutz, insbesondere der Datensparsamkeit, sperre ich bis auf weiteres sämtliche sozialen Medien. Sie glauben nicht, was die Menschen tagtäglich für einen Quatsch veröffentlichen.“

Ein Anderer reagierte wiederrum völlig gegensätzlich und erklärte: „Das Rauchen und Trinken stellt seit Jahren eine Gefahr für die innere Sicherheit unseres Landes dar. Einzig illegal eingeschleuste Überraschungseier seien für das Land gefährlicher. Aus diesem Grund habe man beschlossen, die EU-Kommission zu unterstützen.“ Aus Insiderkreisen hört man, dass sämtliche Geheimdienste mit der Aufspürung von Rauchern und mit der Übermittlung von Fotos beschäftigt seien.

Auch hörte man verstärkt sowohl auf politischer als journalistischer Seite die Sätze: „Wir schaffen das!“, „Mit mir wird es das nicht geben!“ oder „Wir haben nichts gegen die Schockfotos, aber bitte nicht hier!“.

Möchten Sie mehr zum Thema „Recht am eigenen Bild“ erfahren? Wünschen Sie Datenschutz-Schulungen für Ihre Mitarbeiter, um diese zu sensibilisieren? Dann nehmen Sie direkt Kontakt mit uns auf oder holen Sie sich ein unverbindliches Angebot zum Datenschutz ein.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

 

Prävention statt Datenpanne – Bußgelder, Imageverlust und Informationspflichten bei Datenpannen gemäß § 42a BDSG

Personenbezogene DatenIm Zuge der Informationspflichten bei Datenpannen, die sich aus § 42a Bundesdatenschutzgesetz (BDSG) ergeben, müssen Organisationen Datenpannen melden. Im Datenschutz ist die Rede von einer Datenpanne, wenn sich Dritte unbefugt Zugriff auf personenbezogene Daten verschafft haben, dabei spielt es keine Rolle, ob die Datenpanne durch einen Hackerangriff, einen verlorenen Datenträger oder auf einem anderen Weg verursacht wurde.

Von Datenpannen waren bereits zahlreiche Organisationen, wie zum Beispiel Unternehmen sämtlicher Branchen, aber auch Behörden und Vereine, betroffen. Zuletzt hörte man unter anderem von der Datenpanne, die bei der Plattform „BlaBlaCar“ identifiziert wurde, dabei seien eine Vielzahl an personenbezogenen Daten, wie E-Mail-Adressen, IBAN- und Kontonummern, gestohlen worden.

Ihr externer Datenschutzbeauftragter erklärt, welche Maßnahmen verantwortliche Stellen, wie Unternehmen oder Behörden, ergreifen können, um sich vor Datenpannen zu schützen und erklärt, welche Informationspflichten bei Datenpannen beachtet werden sollten.

Informationspflichten bei Datenpannen

Informationspflichten bei DatenpannenDas Datenschutzrecht sieht bestimmte Maßnahmen vor, die bei einer sogenannten Datenpanne bzw. bei einem Datenverlust zu ergreifen sind. Gelangen personenbezogene Daten an Unbefugte, so ist die verantwortliche Stelle laut § 42a BDSG dazu verpflichtet, Betroffene und die Aufsichtsbehörde über den Datenverlust zu informieren. Dieser Informationspflicht muss vor allem bei besonderen Arten personenbezogener Daten, wie zum Beispiel Gesundheitsdaten, sowie bei personenbezogenen Daten zu Bank- und Kreditkonten nachgegangen werden. Aus diesem Grund sollte eine verantwortliche Stelle, wenn sie eine Datenpanne feststellt, – sofern vorhanden – den internen / externen Datenschutzbeauftragten unverzüglich einschalten. Der Datenschutzbeauftragte sollte prüfen, auf welche Daten der unbefugte Zugriff stattgefunden hat und welcher Personenkreis betroffen ist. Das Worst-Case-Szenario dürfte, wie in dem aktuellen Vorfall bei BlaBlaCar eingetroffen, sein, dass der betroffene Personenkreis sehr groß ist und unter anderem personenbezogene Bankdaten gestohlen wurden. In solchen Fällen sieht § 42a BDSG vor, dass über die Datenpanne in mindestens zwei bundesweit erscheinenden Zeitungen informiert wird oder eine andere Maßnahme ergriffen werden soll, die in ihrer Wirksamkeit hinsichtlich der Information der Betroffenen gleichgestellt werden kann. Neben Bußgeldern droht verantwortlichen Stellen bei einer Datenpanne ein erheblicher Imageverlust. Aus diesem Grund sollten verantwortliche Stellen Maßnahmen treffen, um Datenpannen vorzubeugen und die Eintrittswahrscheinlichkeit zu reduzieren.

Prävention statt Datenpanne – Maßnahmen zum Schutz vor Datenpannen

Unternehmen, Vereine, Behörden und auch alle übrigen verantwortlichen Stellen sollten, sofern sie personenbezogene Daten erheben, verarbeiten und nutzen, Maßnahmen ergreifen, um diese Informationen über Menschen zu schützen. Ein positiver Nebeneffekt, der sich aus dem Schutz personenbezogener Daten ergibt, ist der Schutz von weiteren sensiblen Daten, wie zum Beispiel Betriebsgeheimnissen. Neben den technischen und organisatorischen Maßnahmen, die im Bundesdatenschutzgesetz in § 9 und in der Anlage zu § 9 Satz 1 erläutert werden, können verantwortliche Stellen weitere Mittel ergreifen. Zum einem empfiehlt es sich einen Datenschutzbeauftragten (interner / externer Datenschutzbeauftragter) zu bestellen. Der Datenschutzbeauftragte wirkt auf die Einhaltung des Datenschutzes hin, dabei zeigt er verantwortlichen Stellen Schwachpunkte auf und empfiehlt Maßnahmen, die zur einer Verbesserung beitragen.

Typische Themenfelder, bei denen Sie ein interner / externer Datenschutzbeauftragter zum Schutz von personenbezogenen Daten unterstützen kann, sind z. B.:

  • Betriebsvereinbarungen / Richtlinien / Dienstvereinbarungen
  • Entwicklung / Bekanntmachung von hausinternen Datenschutzrichtlinien und damit verbundene Sensibilisierung von Mitarbeitern (Datenschutz-Schulung)
  • Beratung von Mitarbeitern, dem Betriebsrat/Personalrat/Mitarbeitervertretungen zu Datenschutzfragen
  • Risikoanalyse und Bewertung von Verfahren zur Datenverarbeitung
  • Durchführung von Datenschutz-Kontrollen
  • Prüfung von Dienstleistern
  • Beratung und Kontrolle der gesetzeskonformen Aufbewahrung und Vernichtung von Akten und Datenträgern

Möchten Sie mehr zu den Informationspflichten bei Datenpannen oder über mögliche Maßnahmen zum Schutz vor Datenpannen erfahren? Dann holen Sie sich gerne ein unverbindliches Angebot zum Datenschutz ein oder nehmen Sie gerne direkt Kontakt mit uns auf.

Besetzen Sie die Funktion des Datenschutzbeauftragten extern oder sorgen Sie für eine zielgerichtete Beratung Ihres internen Datenschutzbeauftragten durch einen Datenschutz-Berater. Die Datenschutzberatung setzt genau dort an, wo Ihr interner Datenschutzbeauftragter Unterstützung benötigt.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen in

 

 

Interner / Externer betrieblicher Datenschutzbeauftragter – Pflichten und Aufgaben des Datenschutzbeauftragten

Datenschutzbeauftragter PflichtenAls Datenschutz-Dienstleister stellen wir – insbesondere im Mittelstand – erschreckend häufig fest, dass viele Arbeitgeber respektive verantwortliche Stellen von der Funktion des Datenschutzbeauftragten regelmäßig erst durch ein Audit im Qualitätsmanagement (QM-Audit) oder die Wirtschaftsprüfer erfahren.

Welche konkreten Funktionen, Aufgaben und  Pflichten mit der Position interner/externer Datenschutzbeauftragter verbunden ist, erklären wir zumeist erst im Akquisegespräch oder bei der Bestellung.  Aus diesem Grunde möchten wir die Gelegenheit nutzen und uns zu den Aufgaben und Pflichten der Person interner/externer Datenschutzbeauftragter äußern.

Unter einer verantwortlichen Stelle sind Unternehmen, Behörden, Körperschaften oder sonstige Organisationen zu verstehen. Theoretisch kann es auch innerhalb einer Organisation mehrere verantwortliche Stellen geben, dies ist allerdings seltener der Fall.

In dem Beitrag „Externer Datenschutzbeauftragter“ haben wir bereits erläutert, unter welchen Voraussetzungen ein interner oder externer Datenschutzbeauftragter bestellt werden sollte. Nun möchte Ihr externer Datenschutzbeauftragter und Datenschutz-Berater über das Thema „ Datenschutzbeauftragter Pflichten “ informieren und dabei wesentliche Aufgaben des Datenschutzbeauftragten (DSB) erklären.

„ Datenschutzbeauftragter Pflichten “ – Aufgabenbeschreibung des DSB

Welche Pflichten sollte ein interner / externer Datenschutzbeauftragter erfüllen? Soll das Thema „ Datenschutzbeauftragter Pflichten “ kurz umrissen werden, kann gesagt werden: Nach § 4g Abs. 1 Bundesdatenschutzgesetz (BDSG) ist die Pflicht des Datenschutzbeauftragten, die Einhaltung des Datenschutzes sicherzustellen. Weiterhin wird geschrieben, dass ein Datenschutzbeauftragter…

  • …für die Überwachung und Kontrolle des Gebrauchs von Datenverarbeitungsprogrammen verantwortlich ist,
  • …als Ansprechpartner bei datenschutzrechtlich relevanten Themen zur Verfügung steht sowie
  • …das Personal über die gesetzeskonforme Verarbeitung von Daten informieren und beraten soll.

Außerdem…

  • …unterliegt er der Verschwiegenheitspflicht (§ 4f Abs. 4 BDSG),
  • … muss gesetzlich vorgeschriebene Informationen über die verantwortliche Stelle der Öffentlichkeit zugänglich machen (§ 4g Abs. 2 Satz 2 BDSG) und
  • …ist für die Vorabkontrolle/n (§ 4d Abs. 6 BDSG) zuständig.

Des Weiteren ist es möglich, dass die verantwortliche Stelle dem Datenschutzbeauftragten weitere Aufgaben zuweisen kann, die sich nicht aus dem Bundesdatenschutzgesetz perspektivisch aus der EU-Datenschutzgrundverordnung (EU-DSGVO) ergeben.

„ Datenschutzbeauftragter Pflichten “ – Einhaltung der Datenschutzregelungen (§ 4g Abs. 1 Satz 1 BDSG)

Der Datenschutzbeauftragte muss auf die Einhaltung des Datenschutzes „hinwirken“ – diese recht schwammige Formulierung lässt das Ziel der Aktivität des Datenschutzbeauftragten erkennen, aber ebenso seine beschränken Einwirkungsmöglichkeiten. Im Vordergrund stehen sowohl Kontrollfunktionen als auch die Funktion des Datenschutzbeauftragten als Berater, der Datenschutzdefizite ermitteln und zu erforderlichen Verbesserungen anregen soll. Der Datenschutzbeauftragte kann die Verbesserungen jedoch nicht verwirklichen oder gewährleisten. Diese Aufgabe obliegt der jeweiligen Organisation respektive verantwortlichen Stelle, der der Datenschutzbeauftragte unterstellt ist.   Nach § 4f Abs. 3 BDSG ist jedoch der Datenschutzbeauftragte in Ausübung seiner Fachkunde auf dem Gebiet des Datenschutzes weisungsfrei und unterliegt somit nicht der Weisungsbefugnis der verantwortlichen Stelle. Bei der Unterzeichnung der Bestellungsurkunde sollte an die Aufnahme eines entsprechenden Passus gedacht werden. Auch kann die Konkretisierung der Aufgaben durch die Stellenbeschreibung, die Bestellungsurkunde oder einen Arbeits- bzw. Dienstleistungsvertrag mit einem Dienstleister erfolgen.

Die Anknüpfungspunkte der datenschutzrechtlichen Regelungen reichen dabei von bereichsspezifischen Vorschriften bis hin zu Vereinbarungen der Arbeitnehmervertretungen (z.B. Betriebsrat). Bestimmungen wie die §§ 67 ff. Sozialgesetzbuch X (SGB X), §§ 91 ff. Telekommunikationsgesetz (TKG) oder auch Sondervorschriften über Personalfragebögen (§§ 94 Betriebsverfassungsgesetz (BetrVG), 75 Abs. 3 Nr. 8, 76 Abs. 2 Nr. 2 Bundespersonalvertretungsgesetz (BPersVG) etc. sind ebenso vom Datenschutzbeauftragten zu beachten wie die Regelungen des Bundesdatenschutzgesetzes.

Bezogen auf das Bundesdatenschutzgesetz sollte ein interner / externer Datenschutzbeauftragter,

  • die einzelnen Datenschutzsicherungsmaßnahmen, sogenannte technische und organisatorische Maßnahmen (§ 9 und Anlage zu § 9 Satz 1 BDSG),
  • die strikten Verwendungsbeschränkungen von Protokolldaten (§ 14 Abs. 4 BDSG) die das Grundprinzip der Datensparsamkeit und der Zweckbindung im Datenschutz bestätigt sowie
  • die Einhaltung des Datenschutzes bei der Auftragsvergabe (§ 11 BDSG)

prüfen sowie dabei beraten und sich mit

  • der Reaktion der verantwortlichen Stellen auf das Auskunfts- und Berichtigungsersuch des Betroffenen (§§ 19, 20, 34, 35 BDSG),
  • der Zulässigkeit von Übermittlungen in Drittstaaten (§§ 4b, 4c BDSG) und
  • der Rechtmäßigkeit von Profilbildungen (§ 6a BDSG)

befassen auch auch hier prüfen und datenschutz-organisatorisch und datenschutz-rechtlich fundiert beraten.

Weiterhin fällt unter die Pflicht des Datenschutzbeauftragten die Kontrolle von

  • Personalakten (§§ 83 BetrVG, 65 Abs. 2 Satz 3 BPersVG),
  • Systemen, die zur Überwachung der Angestellten der Organisation genutzt werden könnten (sogenannte Verhaltens- und Leistungskontrolle) (§§ 87 Nr. 6 BetrVG, 75 Abs. 3 Nr. 16 BPersVG),
  • der Installation von Videoüberwachungsanlagen an öffentlichen Stellen, wie dem Kundenbereich und in Kaufhäusern (§ 6b BDSG) und
  • Telefondiensten, welche personenbezogene Daten für einen Marketingzweck (§ 28 Abs. 1 und 3 Nr. 3 BDSG) generieren.

Es ist daher unerlässlich, einen fachkundigen Datenschutzbeauftragten an der Seite zu haben, welcher eine vollumfängliche datenschutzrechtliche Unterstützung garantieren kann. Dabei ist es grundsätzlich von Vorteil, einen externen Datenschutzbeauftragten zu bestellen, denn dieser besitzt bereits die entsprechende Fachkunde und Erfahrung, die sich ein interner Datenschutzbeauftragter erst (u. a. durch Schulungen) aneignen muss. Wenn Sie mehr zu den Unterschieden zwischen interner und externer Datenschutzbeauftragter erfahren möchten, dann lesen Sie unseren Beitrag „Interner (betrieblicher) Datenschutzbeauftragter (DSB) vs. externer DSB – ein Vergleich“.

„ Datenschutzbeauftragter Pflichten “ – Kontrollrecht des DSB

Mitunter fällt in den Aufgabenbereich des Datenschutzbeauftragten das Kontrollrecht, welches sich auf alle personenbezogenen Daten erstreckt. Bei dem Kontrollrecht spielt es keine Rolle, ob die Position Datenschutzbeauftragten extern oder intern besetzt wurde oder es sich um einen behördlichen Datenschutzbeauftragten, betrieblichen Datenschutzbeauftragten oder kirchlichen Datenschutzbeauftragten handelt – alle sind gesetzlich festgeschriebene Kontrollinstanzen (§ 4f Abs. 1 BDSG). Um die Aufgabe als Kontrollinstanz erfüllen zu können, wird dem Datenschutzbeauftragten gestattet, sich Einblick in sensible Daten (z.B. Personenakten) zu verschaffen. Kompensiert wird das Kontrollrecht durch die Geheimhaltungspflicht, die der Datenschutzbeauftragte einzuhalten hat. Weiterhin kann ein Zustimmungsvorbehalt des Betroffenen über die Überprüfung der Daten vereinbart werden.

„ Datenschutzbeauftragter Pflichten “ – Kontrolle der Datenverarbeitungsprogramme (§ 4g Abs. 1 Satz 4 Nr. 1 BDSG)

Für die Überwachung der ordnungsgemäßen Anwendung von Verarbeitungsprogrammen ist der Datenschutzbeauftragte verantwortlich (§ 4g Abs. 1 Satz 3 Nr.1 BDSG). Dabei sind nicht nur die vorhandenen Programme durch den Datenschutzbeauftragten zu prüfen. Der Fokus liegt hierbei wieder auf der Prävention möglicher Verstöße der datenschutzrechtlichen Regelungen. Eine Kontrolle der Programme ist damit primär die Kontrolle des gesamten Prozesses der personenbezogenen Datenverarbeitung, d.h. bei Änderung/Umstellung eines Prozesses, ist eine Prüfung durch den Datenschutzbeauftragten erforderlich. Eine Änderung bzw. Umstellung eines Prozesses (Programmgestaltung) kann bei der Einführung eines neuen Systems, Durchführung eines Updates etc., welches für die Verarbeitung personenbezogener Daten genutzt wird, vorliegen.   Die Prüfung wäre zum Beispiel erforderlich, wenn die verantwortliche Stelle weitere personenbezogene Daten erheben möchte. Der Datenschutzbeauftragte sollte rechtzeitig über das Vorhaben informiert werden und die Möglichkeit haben, seine Meinung über das Vorhaben zu äußern (§ 4f Abs. 5 Satz 1 BDSG). Die sogenannte Informationspflicht (§ 4f Abs. 5 Satz 1 BDSG) konkretisiert somit die generelle Verpflichtung der verantwortlichen Stelle (Unternehmen, Behörde, Vereins etc.), den Datenschutzbeauftragten zu unterstützen.

„ Datenschutzbeauftragter Pflichten “ – Schulungen (§ 4g Abs. 1 Satz 4 Nr. 2 BDSG)

Eine weitere Aufgabe des Datenschutzbeauftragten ist es, das Personal, welches mit der Datenverarbeitung betraut ist, über die Inhalte und Ziele der Datenschutzvorschriften aufzuklären (§ 4g Abs. 1 Satz 4 Nr. 2 BDSG). Es reicht dabei nicht aus, dass der Datenschutzbeauftragte die Arbeitnehmer auf Wunsch berät.   Vielmehr ist es seine Aufgabe, die für die Datenverarbeitung zuständigen Arbeitnehmer soweit über ihre Aufgaben aufzuklären, dass diese wissen, welche datenschutzrechtlichen Anforderungen erfüllt werden müssen. Das notwendige Wissen wird dem Personal mit entsprechenden Datenschutz-Schulungen durch den Datenschutzbeauftragten vermittelt. Die Schulungsfunktion des Datenschutzbeauftragten bringt nicht nur den Vorteil der Weitergabe von datenschutzrechtlichen Kenntnissen, sondern kann bei richtiger Ausführung u. a. auch zu einer Verbesserung der Kommunikation zwischen den Beschäftigten und ihrem Datenschutzbeauftragten führen. So sichert eine Schulung im Datenschutz nicht nur die Kenntnis der Datenschutzanforderungen, sondern kann ebenso die Chance bieten, durch die Zusammenarbeit von Datenschutzbeauftragtem und zuständigem Personal Datenschutzvorkehrungen effektiver zu gestalten, insbesondere wenn ein externer Datenschutzbeauftragter bestellt ist. Benötigt Ihr Unternehmen eine Datenschutz-Schulung? Nehmen Sie Kontakt mit uns auf oder holen Sie sich ein unverbindliches Datenschutz-Angebot ein.

„Datenschutzbeauftragter Pflicht“ – Verschwiegenheitspflicht (§ 4f Abs. 4 BDSG)

Ein Gegengewicht zu den umfangreichen Kontrollrechten des Datenschutzbeauftragten, welche ihm Einblicke in sensible personenbezogene Daten verschaffen, ist die Verschwiegenheitspflicht nach § 4f Abs. 4 BDSG. Nach dieser Norm ist der Datenschutzbeauftragte verpflichtet, Stillschweigen über die Identität des Betroffenen sowie über Umstände, die Rückschlüsse auf den Betroffenen zulassen, zu bewahren. Diese Regelung greift nicht, wenn der Betroffene den Datenschutzbeauftragten von der Verschwiegenheitspflicht befreit (§ 4f Abs. 4 Halbsatz 4 BDSG).

„ Datenschutzbeauftragter Pflichten “ – Öffentlichkeitsaufgaben (§ 4g Abs. 2 Satz 2 BDSG)

Die Datenschutzgesetze, insbesondere das Bundesdatenschutzgesetz, schreiben vor, dass der Datenschutzbeauftragte ebenso verpflichtet ist, der Öffentlichkeit Informationen über die „verantwortliche Stelle“ (§ 4e Abs. 2 Satz 1 Nr. 1 bis 8 BDSG) zu gewährleisten (§ 4g Abs. 2 Satz 2 BDSG). Die im § 4e Abs. 2 Satz 1 Nr. 1 bis 8 BDSG aufgezählten Angaben sind dabei „jedermann“ auf Antrag zur Verfügung zu stellen, da die Informationen der Öffentlichkeit nicht vorenthalten werden sollen. Die Verpflichtung des Datenschutzbeauftragten die Informationen an die Öffentlichkeit weiterzugeben ist nicht uneingeschränkt, gemäß § 4g Abs. 3 Satz 1 BDSG. Die Informationsweitergabe an die Öffentlichkeit durch den Datenschutzbeauftragten hört dort auf, wo diese in den Zuständigkeitsbereich des Staates fällt. So findet der § 4g Abs. 2 Satz 2 BDSG für die in § 6 Abs. 2 Satz 4 BDSG genannten Behörden keine Anwendung.

„ Datenschutzbeauftragter Pflichten “ – Vorabkontrolle (§ 4d Abs. 6 BDSG)

Wenn eine automatisierte Datenverarbeitung besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweist, ist nach § 4d Abs. 6 Bundesdatenschutzgesetz eine Vorabkontrolle durchzuführen. Diese Vorabkontrolle erfolgt durch den Datenschutzbeauftragten unter Mitwirkung der verantwortlichen Stelle. Eine Vorabkontrolle stellt eine Vorüberprüfung eines automatisierten Datenverarbeitungsverfahrens dar und ermöglicht der Organisation, potenzielle Datenschutz-Risiken und Gefahren zu erkennen, die sich durch die automatische Erhebung, Verarbeitung und/oder Nutzung personenbezogener Daten ergeben.

Wenn Sie mehr zu dem Thema „Vorabkontrolle Datenschutzbeauftragter“ erfahren möchten, dann lesen Sie unseren Beitrag „Vorabkontrolle Datenschutzbeauftragter  – Wann und unter welchen Umständen eine „Datenschutz Vorabkontrolle“ erfolgen sollte“.

„ Datenschutzbeauftragter Pflichten “ – weitere Aufgaben

Das BDSG hindert die verantwortliche Stelle nicht daran, dem Datenschutzbeauftragten weitere Aufgaben zu übertragen. Sollen weitere Aufgaben durch den Datenschutzbeauftragten wahrgenommen werden, so unterliegt dies einem doppelten Vorbehalt.

So darf der Datenschutzbeauftragte keine Aufgaben übernehmen, die unmittelbar oder mittelbar in den Kompetenzbereich der verantwortlichen Stelle fallen und der Datenschutzbeauftragte nicht Entscheidungsträger bei Maßnahmen ist, da die Tätigkeit vielmehr empfehlenden / beratenden oder prüfenden Charakter hat. Ein Kernbereich ist die im § 4e Satz 1 Nr. 1 bis 8 BDSG genannte Meldepflicht der verantwortlichen Stelle. Diese ist nach § 4g Abs. 2 Satz 1 BDSG verpflichtet, eine Übersicht über die im § 4e Satz 1 Nr. 1 bis 8 BDSG genannten Punkte zu erstellen und dem Datenschutzbeauftragten zur Verfügung zu stellen. Außerdem muss gewährleistet werden, dass die zusätzliche Aufgabe den Datenschutzbeauftragten nicht in der ordnungsgemäßen Ausübung seiner gesetzlich vorgeschriebenen Aufgaben behindert (§ 4f Abs. 2 Satz 1 BDSG).

„ Datenschutzbeauftragter Pflichten “ – Erweiterung des Aufgabenbereiches durch die EU-DSGVO

Die EU-Datenschutz-Grundverordnung (EU-DSGVO) ist am 25. Mai 2016 in Kraft getreten und gilt ab 2018 in ganz Europa. Im Gegensatz zur Richtlinie 95/46/EG wirkt die EU-Datenschutz-Grundverordnung direkt in den EU-Mitgliedsstaaten und bedarf keiner Umsetzung z. B. in das BDSG. Mit einigen Vorschriften, die das BDSG nicht erfasst hat, weitet die DSGVO auch die Stellung des Datenschutzbeauftragten aus. Hat dieser nach dem § 4f Abs. 1 Satz 1 BDSG noch eine Beratungsfunktion, worauf es keine Gewähr gibt, ist er nach Art. 39 Abs. 1 lit. b EU-DSGVO dazu verpflichtet, eine umfassende Überwachungsfunktion zu übernehmen. Diese umfassende Überwachungspflicht geht dabei über das bloße „Hinwirken“ hinaus. Es könnte hierzu eine Konkretisierung bzw. Erweiterung dieses Bereiches im BDSG bzw. in der Nachfolgeregelung geben.

Fazit

Ein interner / externer Datenschutzbeauftragter sieht Maßnahmen zur Präventionen gegen mögliche datenschutzrechtliche Verstöße vor und schafft somit eine optimale Basis für den sicheren Umgang mit personenbezogenen Daten. Das Beratung/ Unterstützung durch den Datenschutzbeauftragten kann eine verantwortliche Stelle,  insbesondere die Geschäftsführung, vor Haftungsansprüchen von außerhalb bewahren.

Die Auswahl des Datenschutzbeauftragten sollte daher stets mit Bedacht getätigt werden, da diese wichtige Position (gleich ob interner Datenschutzbeauftragter oder externer Datenschutzbeauftragter) umfangreiche Aufgaben mit sich bringt, die nicht durch Laien durchgeführt werden sollten. Besonders durch die kommende Einführung der EU-Datenschutz-Grundverordnung (DSGVO), welche das Aufgabenfeld des Datenschutzbeauftragten erweitert, ist ein kompetenter Datenschutzbeauftragter unerlässlich. Aufgrund der notwendigen Fachkunde und Zuverlässigkeit raten wir zur Bestellung eines externen Datenschutzbeauftragten, der bereits umfangreiche Erfahrung sowie fundiertes Wissen im Datenschutz besitzt und dieses zielgerichtet einsetzen kann. Sofern Sie eine Unterstützung Ihres internen Datenschutzbeauftragten durch einen externen Berater wünschen, nutzen Sie doch einen Datenschutz-Berater. Durch gezielte Datenschutz-Beratung profitiert nicht nur Ihr interner Datenschutzbeauftragter.

Möchten Sie mehr zur Position Datenschutzbeauftragter oder zum Thema „ Datenschutzbeauftragter Pflichten “ erfahren oder sich im Datenschutz dauerhaft besser positionieren? Holen Sie sich ein unverbindliches und kostenloses Angebot zum Datenschutz ein oder nehmen Sie direkt Kontakt zu uns auf und profitieren Sie von unserer Erfahrung. Brands Consulting bietet Ihnen individuelle Unterstützung und Beratung rund um den in Datenschutz.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

Datenschutz im Internet – Surfen mit Mozillas Browser Firefox Klar

Firefox Klar DatenschutzSeit kurzer Zeit gibt es auch in Deutschland Mozillas mobilen Browser „Firefox Klar“ für das Betriebssystem iOS. Viele Nutzer stellen sich die Frage, ob Firefox Klar oder die Browsererweiterung des Content-Blockers „Klar by Firefox“ Datenschutz-Risiken minimiert. Die Entwickler aus dem Hause Mozilla versprechen den Nutzern mit Firefox Klar jedenfalls eine höhere Privatsphäre und damit einen verbesserten Datenschutz.

Ihr externer Datenschutzbeauftragter informiert über den neuen Browser und erklärt, ob Firefox Klar für mehr Datenschutz im Internet sorgt und Datenschutz-Probleme sowie Datenschutz–Risiken lösen kann.

Datenschutz mit Firefox Klar – Wie Firefox Klar Datenschutz und eine höhere Privatsphäre schafft

Datenschutz im InternetUmgesetzt wird die Sicherung der Privatsphäre des Nutzers unter anderem durch den im Browser integrierten „Tracking-Blocker“, welcher verhindert, dass der Nutzer von Werbe- und Analysenetzwerken verfolgt wird.

Werbe- und Analysenetzwerke sorgen dafür, dass Sie über mehrere Netzwerke hinweg identifiziert werden können. Wird Ihnen auf einer Internetseite Werbung für ein Produkt angezeigt, welches Sie zuvor auf einer anderen Internetseite begutachtet haben, steckt dahinter ein Werbe- und Analysenetzwerk. Durch den Einsatz dieser Form des Marketings kann Werbung äußerst zielgerichtet erfolgen. Durch den „Tracking Blocker“ des Browsers Firefox Klar werden diese Netzwerke blockiert. Positiver Nebeneffekt dieser Funktion ist, dass Werbung weitestgehend ausgeblendet wird. Das Blockieren kann allerdings auch dazu führen, dass einzelne Funktionen von Webseiten nicht mehr genutzt werden können. Klar by FirefoxDies führt zwar zu mehr Datenschutz im Internet für den Nutzer, allerdings könnte die eingeschränkte Nutzerfreundlichkeit („Usability“) auch dazu führen, dass die Nutzerzahlen nach einem kurzfristigen Ansturm wieder rückläufig sein werden.

  1. Der Entwickler Mozilla empfiehlt für diesen Fall, die Internetseite in Firefox oder Safari zu öffnen und bietet dafür in Firefox Klar einen Button an, welcher die Seite auf den genannten Browsern öffnet.
  2. Ebenso existiert ein Löschbutton, der den gesamten Browserverlauf entfernt und somit verhindert, dass Dritte nachvollziehen können, auf welchen Webseiten Sie waren. Eine Löschfunktion für den Verlauf existiert zwar bereits in anderen bzw. nahezu allen gängigen Browsern, Firefox Klar bietet für den Nutzer lediglich einen vereinfachten Weg der Funktionsnutzung.

Surfen mit Mozillas Browser Firefox KlarWeiterhin kann der Nutzer innerhalb der Einstellungen des Browsers selbst und recht einfach bestimmen, welche Inhalte durch Firefox Klar geblockt werden sollen. So lassen sich mitunter Social-Tracker blocken, so dass beispielsweise der Tweet-Button auf Twitter oder auch Like- und Teilen-Buttons auf Facebook verschwinden. Dies hat den Vorteil, dass Social-Media Plattformen wie Facebook, Twitter und Co., das Surfverhalten nicht mehr überwachen können.

Optional lässt sich bei Firefox Klar das Laden von Webfonts (individuelle Schriftarten auf Webseiten) unterbinden, was regelmäßig die Surfgeschwindigkeit und vermutlich auch den genutzten Traffic erhöht. Außerdem ist in Firefox Klar ein Content-Blocker enthalten, der in den iOS-Einstellungen aktivierbar ist. Mit diesem werden Werbe- und Analysenetzwerke auch für Safari blockiert. Möchten Sie weiterhin Safari nutzen, ist auch dies kein Problem. Durch Verschieben des Schiebereglers lässt sich Firefox Klar für Safari aktivieren und die beschriebenen Funktionen in Safari nutzen.

Fazit

Die Funktionen, die Firefox Klar mit sich bringt, dürften für die meisten Nutzer nicht neu sein, da die Einstellungen auch bei der Nutzung anderer Browser eingestellt werden können, allerdings werden diese Funktionen sehr nutzerfreundlich verpackt und lassen sich durch nur wenige Klicks aktivieren. Dazu kommt, dass viele Funktionen, wie die blockierte Werbeverfolgung oder die blockierte Verfolgung durch Social-Media-Buttons, bereits nach Installation des Browsers aktiviert sind. Der Entwickler Mozilla legt, wie schon erwähnt, seinen Schwerpunkt auf die Privatsphäre des Nutzers. Wer mehr Privatsphäre mit wenig Klicks sucht, sollte einen Blick auf Firefox Klar  werfen, allerdings können nicht nur mit Firefox Klar Datenschutz-Risiken minimiert werden.

Wünschen Sie sich mehr Privatsphäre,  Sicherheit und Datenschutz im Internet beim Surfen, möchten allerdings Ihren bisherigen Browser nutzen, dann lesen Sie unseren Beitrag „Cookies anzeigen, entfernen und löschen – Datenschutz mit Firefox, Safari, Chrome, Internet Explorer und Co.“ oder „JavaScript deaktivieren – Datenschutz mit Chrome, Firefox, Internet Explorer, Safari und Co.“. Gerne können Sie auch direkt Kontakt zu uns aufnehmen oder fordern Sie ein unverbindliches Angebot zum Datenschutz an.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

Auftragsdatenverarbeitung oder Funktionsübertragung – datenschutzrechtliche und –organisatorische Unterscheidung von Dienstleistern

Auftragsdatenverarbeitung oder FunktionsübertragungSobald Unternehmensaufgaben an externe Dienstleister ausgelagert werden (Outsourcing), erfolgt häufig auch die Weitergabe personenbezogener Daten und anderer interner Informationen. An dieser Stelle sollte bereits zwischen Auftragsdatenverarbeitung oder Funktionsübertragung bzw. auch in „nicht datenschutzrechtlich relevant“ unterschieden werden. Ermöglicht ein Auftraggeber bereits den (potenziellen) Zugriff auf personenbezogene Daten, so muss sich dieser an die rechtlichen Vorgaben der Datenschutzgesetze halten. Im Datenschutz gilt grundsätzlich das sogenannte Verbot mit Erlaubnisvorbehalt (oder auch Verbotsprinzip mit Erlaubnisvorbehalt), eine Rechtsregel des deutschen und europäischen Datenschutzrechts. Jede Erhebung, Verarbeitung oder Nutzung personenbezogener Daten ist, außer eine gesetzliche Grundlage oder der Betroffene selbst erlauben dies, verboten. Die Übermittlung personenbezogener Daten fällt unter die Verarbeitung. Werden personenbezogene Daten an einen Dritten weitergegeben bzw. gewährt die verantwortliche Stelle einem Dritten den Zugriff auf personenbezogene Daten, so spricht man im Datenschutzrecht von einer Übermittlung. Als klassisches Beispiel einer Datenübermittlung könnte die Weitergabe von Lohnsteuerbescheinigungen bzw. deren Informationen durch den Arbeitgeber an das Finanzamt angesehen werden. Hierfür existiert allerdings eine gesetzliche Grundlage, die in § 41 b Abs. 1 Einkommenssteuergesetz (EStG) zu finden ist.

Geht es um personenbezogene Daten und existiert keine gesetzliche Grundlage, so ist die verantwortliche Stelle zur Einholung einer informierten und freiwilligen Einwilligung verpflichtet, sobald diese Daten Ihren Verantwortungsbereich verlassen. Das Einholen einer informierten und freiwilligen Einwilligung kann von Fall zu Fall auch mal etwas schwieriger sein. Im Rahmen eines Beschäftigungsverhältnisses bestehen oftmals begründete Zweifel an der Freiwilligkeit der Einwilligung. Ein Arbeitnehmer wird, wenn es um seinen Arbeitsplatz geht, mit höherer Wahrscheinlichkeit einwilligen als unter anderen Umständen. Ein gewisser Zwang ist somit zumindest denkbar.

Der Gesetzgeber hat allerdings eine Ausnahme im Bundesdatenschutzgesetz (BDSG) aufgeführt. Bei dieser Ausnahme handelt es sich gemäß § 11 BDSG um eine sogenannte Auftragsdatenverarbeitung (kurz ADV), die – basierend auf dem BDSG – als „Nicht-Übermittlung“ eingestuft wird. Bei der Weitergabe von personenbezogenen Daten an einen Dienstleister, der die Daten im Sinne von § 11 BDSG im Auftrag verarbeitet, muss keine Einwilligung des Betroffenen eingeholt werden. Zudem ist für die Weitergabe keine weitere Rechtsgrundlage erforderlich. Das Gegenstück zur Auftragsdatenverarbeitung ist die Funktionsübertragung, wobei die Unterscheidung in der Praxis häufig zu Problemen führt.

Ihr externer Datenschutzbeauftragter erklärt, wann es sich um eine Auftragsdatenverarbeitung oder Funktionsübertragung handelt und welche Maßnahmen Sie bei der Übermittlung, der Weitergabe oder dem bloßen potenziellen Einblick auf personenbezogene Daten ergreifen sollten.

Was ist unter der Auftragsdatenverarbeitung zu verstehen?

AuftragsdatenverarbeitungIm Rahmen der Auftragsdatenverarbeitung werden personenbezogene Daten im Auftrag des Auftraggebers verarbeitet, wobei sowohl die Verantwortung als auch die Weisungsbefugnis bei dem Auftraggeber liegen. Der Auftragnehmer darf die personenbezogenen Daten demzufolge nur nach Weisung des Auftraggebers erheben, verarbeiten oder nutzen. Bei Vorliegen einer Auftragsdatenverarbeitung, muss ein Vertag zwischen den beiden Parteien abgeschlossen werden, wobei § 11 Abs. 2 BDSG sowohl die Form als auch den Inhalt des ADV-Vertrages vorschreibt. In § 11 Abs. 2 BDSG werden zehn Punkte festgehalten, die Bestandteil jedes ADV-Vertrages sein sollten. Aus diesem Grund spricht man häufig auch von einem Zehnpunktekatalog zur Auftragsdatenverarbeitung, der unter anderem den Gegenstand und die Dauer des Vertrages sowie die technischen und organisatorischen Maßnahmen erfasst.

Bei einer Auftragsdatenverarbeitung innerhalb der europäischen Union (EU) oder des europäischen Wirtschaftsraumes (EWR) sieht, wie bereits in der Einleitung erläutert, der Gesetzgeber eine Sonderregelung vor. Solch eine Übermittlung personenbezogener Daten wird als „Nicht-Übermittlung“ eingestuft, dabei werden Auftraggeber und Auftragnehmer als eine Einheit angesehen. Der Dienstleister führt den Auftrag in diesen Fällen quasi als „externe Abteilung“ des Auftragnehmers aus. Die Fiktion als „Nicht-Übermittlung“ ermöglicht die Weitergabe personenbezogener Daten an einen Dienstleister ohne die Erforderlichkeit einer weiteren gesetzlichen Grundlage oder einer informierten Einwilligung. Externe IT-Dienstleister oder Dienstleister für Entgeltabrechnungen verarbeiten häufig personenbezogene Daten im Auftrag und sind aus diesem Grund klassische Beispiele für eine Auftragsdatenverarbeitung. Weitere Beispiele sind Entsorgungsunternehmen, die Unterlagen und Datenträger mit personenbezogenen Daten im Auftrag entsorgen bzw. vernichten oder Dienstleister, die Newsletter an die Kunden des Auftraggebers versenden. Die Auswertung von Daten mit Hilfe von Google Analytics erfolgt ebenfalls als Auftragsdatenverarbeitung.

Bei einem Dienstleister, der seinen Sitz außerhalb der EU/des EWR hat, sieht der Gesetzgeber allerdings keine Sonderregelung vor.  Dies bedeutet, dass die Datenübermittlung auch als solche angesehen wird. Eine Datenübermittlung sollte wiederrum, wie bereits erläutert, auf einer gesetzlichen Grundlage oder einer informierten und freiwilligen Einwilligung des Betroffenen erfolgen. Bei Dienstleistern außerhalb der EU/des EWR muss zudem vor der Übermittlung, bis auf wenige Ausnahmen, wie zum Beispiel der Schweiz und Kanada, ein angemessenes Datenschutzniveau hergestellt werden. Ein angemessenes Schutzniveau kann beispielsweise mittels EU-Standardvertragsklauseln oder Binding Corporate Rules (BCR) sichergestellt werden.

Was ist unter eine Funktionsübertragung zu verstehen?

FunktionsübertragungUnter einer Funktionsübertragung versteht man das Auslagern ganzer Funktionen an einen Dienstleister, der die Aufgaben weisungsfrei erfüllt. Der Auftragsnehmer trifft bei der Durchführung des Auftrags eigenverantwortlich Entscheidungen, wodurch er mehr als nur Hilfstätigkeiten ausführen kann.

Als klassische Beispiele gelten die Steuerberatung durch einen Steuerberater oder die juristische Beratung des Rechtanwaltes.  Bei einer Funktionsübertragung handelt es sich um eine Datenübermittlung, die üblicherweise eine informierte Einwilligung des Betroffenen oder eine Rechtsgrundlage vorrausetzt, da der Gesetzgeber den Auftragsnehmer und –geber nicht als geschlossene Einheit sieht.

Bei einer Funktionsübertragung an einen Auftragnehmer außerhalb der EU/des EWR sollte allerdings trotz Vorliegen einer Rechtsgrundlage ein angemessenes Datenschutzniveau sichergestellt werden. Die Herstellung des Schutzniveaus sollte ebenfalls mittels EU-Standardvertragsklauseln oder BCR erfolgen.

Kein Konzernprivileg im Datenschutzrecht

Übermittelt ein Konzernunternehmen personenbezogene Daten an ein anderes gesellschaftsrechtlich verknüpftes Unternehmen der Unternehmensgruppe, das eine selbstständige Unternehmenseinheit darstellt, dann handelt es sich zunächst ebenfalls um eine Übermittlung an einen Dritten. Bei einer Weitergabe personenbezogener Daten sollte aus diesem Grund festgestellt werden, ob die Übermittlung im Rahmen einer Auftragsdatenverarbeitung oder einer Funktionsübertragung stattfindet.

Bei einer Auftragsdatenverarbeitung innerhalb der EU/EWR ist das Abschließen eines ADV-Vertrages (Vertrag zur Auftragsdatenverarbeitung gemäß § 11 BDSG) dringendst anzuraten. Handelt es sich dagegen um eine Funktionsübertragung oder um eine Auftragsdatenverarbeitung außerhalb der EU/EWR, so sollte die Datenübermittlung auf Basis einer Rechtsgrundlage bzw. auf einer informierten und freiwilligen Einwilligung erfolgen. Bei der Datenübermittlung an ein Konzernunternehmen oder einen sonstigen Dienstleister außerhalb der EU/EWR sollte darüber hinaus ein sicheres Datenschutzniveau hergestellt werden.

Auftragsdatenverarbeitung oder Funktionsübertragung – Unterschiede / Gemeinsamkeiten auf einen Blick

           Auftragsdatenverarbeitung           Funktionsübertragung
Reine Hilfs- und Unterstützungsfunktion des Auftragnehmers Auftragsnehmer übernimmt ganze Aufgaben/Funktonen
Weisungsgebundenheit Weisungsfreiheit
Auftraggeber und –nehmer stellen per Gesetz eine geschlossene Einheit dar Auftraggeber und –nehmer stellen per Gesetz keine geschlossene Einheit dar
Weitergabe der Daten als „Nicht-Übermittlung“ Weitergabe als Datenübermittlung
§ 11 BDSG stellt Rechtsgrundlage für Weitergabe der Daten dar Datenübermittlung bedarf einer Rechtsgrundlage oder einer informierten Einwilligung
Praxisbeispiele: Externer IT-Dienstleister, Dienstleister für die Entgeltabrechnung Praxisbeispiele: Rechtsanwalt, Steuerberatung durch Steuerberater
Streitfall: Entgeltabrechnung durch einen Steuerberater. Hierbei existieren unterschiedliche Rechtsauffassungen.
Die Weitergabe personenbezogener Daten im Rahmen einer Auftragsdatenverarbeitung oder Funktionsübertragung an einen Dienstleister außerhalb der EU/des EWR bedarf einer rechtlichen Grundlage oder der informierten (freiwilligen) Einwilligung. Der Auftraggeber hat dafür Sorge zu tragen, dass beim Auftragnehmer ein angemessenes Datenschutzniveau gewährleistet wird.

Exkurs: Datenschutz beim Cloud-Computing

Ist die Rede von Cloud-Computing, so meint man das Auslagern der eigenen IT-Ressourcen, dabei werden über das Internet IT-Infrastrukturen und IT-Leistungen, wie zum Beispiel Rechenleistung (Infrastructure as a Service, IaaS), Entwicklungsumgebungen (Platform as a Service, PaaS) und Anwendungssoftware (Software as a Service, SaaS), bereitgestellt.

In diesem Zusammenhang werden häufig personenbezogene Daten übermittelt bzw. wird dem Auftragnehmer der Zugriff auf personenbezogene Daten ermöglicht. In diesen Fällen greift das Bundesdatenschutzgesetz (BDSG) und es muss geprüft werden, ob es sich um eine Auftragsdatenverarbeitung, gemäß § 11 BDSG, oder um eine Funktionsübertragung handelt. Der Sitz des Auftragnehmers (Cloud-Anbieters) ist, wie seine übrigen Standorte, auch hier entscheidend.

Die Inanspruchnahme von Cloud-Leistungen erfolgt regelmäßig als Auftragsdatenverarbeitung. Dennoch kommt es häufig vor, dass der Auftragnehmer seinen Sitz außerhalb der EU/EWR hat, was den datenschutzkonformen Einsatz regelmäßig um ein Vielfaches erschwert, da zum einen ein sicheres Datenschutzniveau hergestellt werden muss und zum anderen eine Übermittlung ohne Einwilligung oder einer Rechtsgrundlage nicht rechtskonform ist. Weitere Schwachstellen sind zudem die fehlenden Kontroll- und Weisungsbefugnisse, die oftmals nicht mit der für Cloud-Computing charakteristischen Standardisierung vereinbar sind. Eine weitere Problematik, die sich für Cloud-Nutzer, sogenannte „verantwortliche Stellen“, wie Unternehmen, Behörden etc., ergibt, ist die hohe Vielzahl an Beauftragungsketten.

Möchten Sie mehr zum Thema „Datenschutz Cloud“ erfahren, dann lesen Sie doch unseren Beitrag „Cloud Computing – Durchblicken Sie vor lauter Wolken den Datenschutz?“.

Benötigen Sie Unterstützung bei der Verifikation von ADV-Dienstleistern (Auftragsdatenverarbeitung oder Funktionsübertragung) oder beim Abschluss von Verträgen, wie zum Beispiel von EU-Standardvertragsklauseln oder Verträgen zur Auftragsdatenverarbeitung etc.? Dann nehmen Sie Kontakt zu uns auf oder fordern Sie ein unverbindliches Angebot zum Datenschutz an. Gerne unterstützen wir Sie als externer Datenschutzbeauftragter oder Datenschutzberater in allen Fragen rund um den Datenschutz.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

JavaScript deaktivieren – Datenschutz mit Chrome, Firefox, Internet Explorer, Safari und Co.

JavaScript deaktivieren - Datenschutz mit Chrome, Firefox, Internet Explorer, Safari und Co.In der heutigen Zeit beinhaltet fast jede Webseite JavaScript, eine Skriptsprache, die in Browsern läuft. Die Aufgabe von JavaScript ist es, Webseiten für einen bestimmten Zweck funktional zu gestalten. Dies geschieht, indem durch bestimmte Aktionen am eigenen Rechner (z.B. Mausklick oder Texteingabe) Programmcodes ausgeführt werden, die von einem anderen Rechner stammen. Beispiele hierfür sind die Suchfunktion in Google, das Abspielen von YouTube-Videos etc. Der Programmcode kann jedoch ein Sicherheitsrisiko für den Rechner sein, insbesondere wenn der Urheber des Codes nicht eindeutig bestimmbar ist.

Gerade dann, wenn Sie als „Administrator“ an Ihrem Rechner eingeloggt sind und sich auf unbekannte, nicht vertrauenswürdige Internetseiten begeben, setzen Sie Ihren Computer möglicherweise einem Infektionsrisiko (u.a. mit Viren, Trojanern) bei der Anwendung von JavaScript aus.

Daher raten wir Ihnen, JavaScript zu deaktivieren, wenn Sie

  • als Administrator eingeloggt sind
  • und auf unbekannten, nicht autorisierten Internetseiten unterwegs sind.

Generell ist Administratoren zu empfehlen für den Arbeitsalltag nicht mit ihrem „Admin-Konto“ eingeloggt zu sein, sondern einen weiteren Benutzer für sich anzulegen. Hierdurch wird eine zusätzliche Sicherheitshürde geschaffen.

Sollten Sie jedoch auf vertrauenswürdige Webseiten zugreifen oder diese nutzen wollen, ist der Gebrauch von JavaScript in der Regel unbedenklich.

Ihr externer Datenschutzbeauftragter informiert Sie im Folgenden, wie Sie JavaScript deaktivieren können, dabei wird auf die gängigen Browser Chrome, Firefox, Internet Explorer und Safari eingegangen.

JavaScript deaktivieren – Beim Einsatz von Google Chrome

JavaScript deaktivieren

JavaScript können Sie in Chrome deaktivieren, indem Sie auf den Menü-Button rechts im Fenster klicken und „Einstellungen“ auswählen.

Scrollen Sie anschließend nach unten und klicken Sie auf den Link „Erweiterte Einstellungen anzeigen“, dann auf „Datenschutz“.

Datenschutz mit Chrome

Klicken Sie danach auf den Button „Inhaltseinstellungen…“.

JavaScript deaktivieren - Google Chrome

Suchen Sie nun die Kategorie „JavaScript“. Aktivieren Sie dort die Option „Ausführung von JavaScript für keine Webseite zulassen“.

Wählen sie danach unten rechts „Fertig“ aus, um die Einstellung zu übernehmen. Bei einer Aktivierung bzw. Deaktivierung von JavaScript besteht die Möglichkeit unter „Ausnahmen verwalten…“ JavaScript für bestimmte Webseiten zu aktivieren bzw zu deaktivieren.

JavaScript deaktivieren – Beim Einsatz von Mozilla Firefox

JavaScript deaktivieren - Mozilla FirefoxGeben Sie in die Adressleiste „about:config“ ein und drücken Sie die Eingabetaste.

Falls eine Warnmeldung kommt klicken Sie auf „Ich bin mir der Gefahr bewusst!“.

Geben Sie nun in das Suchfeld „javascript.enabled“ ein und ändern Sie den Wert für eine Deaktivierung von JavaScript auf „false“ mit einem Doppelklick auf „true“.

Datenschutz mit FirefoxKlicken Sie auf den „Reaload“-Button um die Seite neu aufzurufen.

JavaScript deaktivieren – Beim Einsatz vom Internet Explorer

Datenschutz mit dem Internet ExplorerIm ersten Schritt wählen Sie in der Internetoption in der Menüleiste „Extras“ aus und klicken auf „Internetoptionen“.

JavaScript deaktivieren - Internet ExplorerDanach ist die „Zone“ auszuwählen, in der JavaScript aktiv sein soll. Sie haben dabei die Wahl „vertrauenswürdige Seiten“ auszuwählen oder JavaScript für alle Internetseiten zu aktivieren bzw. zu deaktivieren. Daraufhin fahren sie mit „Stufe anpassen“ fort.

JavaScript deaktivieren

Nun gelangen Sie zu den Feineinstellungen der ausgewählten Zone, wo Sie JavaScript unter den Begriff „Active Scripting“ finden, dieses können Sie nun Aktivieren oder Deaktivieren.

JavaScript deaktivieren – Beim Einsatz von Apple Safari

JavaScript deaktivieren - Apple SafariGehen Sie in der Menüleiste auf „Safari“ und klicken Sie auf „Einstellungen“.

Datenschutz mit SafariKlicken Sie daraufhin auf „Sicherheiten“, wo Sie einen Haken für die Aktivierung von JavaScript setzen können oder den Haken entfernen können, um JavaScript zu deaktivieren.

JavaScript deaktivieren – Was sind die Folgen?

Es sollte Ihnen bewusst sein, dass die Deaktivierung von JavaScript zu Einschränkungen bei der Nutzerfreundlichkeit führen kann. Einige Funktionen auf Webseiten sind regelmäßig nicht mehr im vollen Umfang nutzbar und Bedienelemente funktionieren nicht mehr oder nur eingeschränkt.

JavaScript selbst stellt üblicherweise kein Sicherheitsrisiko dar. Vielmehr ist es die fehlerhafte Implementierung im Webbrowser, die ein Sicherheitsleck bildet. Die Implementierung im Webbrowser wird jedoch immer besser umgesetzt. Ein guter Rat wäre daher Ihren Webbrowser immer auf dem aktuellsten Stand zu halten und nicht auf unbekannten Seiten bzw. insbesondere nicht auf unseriös erscheinenden Seiten zu surfen.

Weitere Gefahrenquellen für den Datenschutz auf Ihrem PC

Die Ausführung von JavaScript ist mit Sicherheit nicht die einzige Gefahrenquelle in Bezug auf sogenannte „aktive“ Inhalte (z.B. Änderung der Seiteninhalte bei Mausklick auf einen Link). Andere Techniken, welche darauf basieren, Inhalte auf Ihrem Rechner auszuführen, können ebenso ein Risikopotenzial bieten. Zu diesen Techniken gehören unter anderem Silverlight, Java-Applets, ActiveX-Controls, VBScript und Adobe Flash (Actionscript).

Interessieren Sie sich für das Thema „Schutz im Web“, so könnten unsere Beiträge „Cookies anzeigen, entfernen und löschen — Datenschutz mit Firefox, Safari, Chrome, Internet Explorer und Co.“ sowie „Angriffe in Facebook, E-Mail & Co. — Wenn Phishing Datenschutz-Probleme hervorruft“ interessant für Sie sein.

Haben Sie weitere Frage zum Thema „JavaScript deaktivieren“ oder möchten Sie mehr zur Thematik „Datenschutz im Internet“ erfahren, dann nehmen Sie gerne Kontakt mit uns auf.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

Bußgelder, Geld- und Freiheitsstrafen – Zu erwartende Sanktionen im Datenschutz

Sanktionen im DatenschutzDie Frage nach Sanktionen im Datenschutz beschäftigt sowohl Arbeitgeber als auch Mitarbeiter. Schließlich war in der Vergangenheit von erheblichen Bußgeldern, die unter anderem für die Überwachung von Mitarbeitern und Kunden sowie aufgrund von Datenpannen verhängt worden sind, die Rede.

Ihr externer Datenschutzbeauftragter informiert Sie über mögliche Sanktionen im Datenschutz und erklärt, welche Änderungen die EU-Datenschutzgrundverordnung bezüglich der Sanktionen vorsieht.

Sanktionen, Ordnungswidrigkeiten, Bußgelder, Geld- und Freiheitstrafen – Was ist darunter zu verstehen?

Mit dem Oberbegriff „Sanktionen“ sind die Rechtsfolgen bei Datenschutz-Verstößen gemeint, dabei fallen unter Sanktionen sowohl Ordnungswidrigkeiten als auch strafrechtlich relevante Verstöße. Des Weiteren ist auch bei arbeitsrechtlichen Folgen, wie der Abmahnung oder Kündigung, von Sanktionen die Rede.

Ordnungswidrigkeiten sind Verstöße gegen geltendes Recht, die in der Regel – anderes als Straftaten – mit einer Geldbuße (Bußgeld) bestraft werden.  Im Bundesdatenschutzgesetz (BDSG) werden Ordnungswidrigkeiten und die damit verbundenen Bußgelder im § 43 BDSG erfasst, wobei Straftaten in § 44 BDSG erläutert werden. Straftaten werden mit einer Freiheitsstrafe oder eine Geldstrafte geahndet.

Mit welchen Sanktionen im Datenschutz gerechnet werden sollte

Die sogenannten „Verantwortliche Stellen“, zu denen insbesondere Unternehmen, Behörden, Vereine und Köperschaften gehören, müssen bei Bekanntwerden von Datenschutzverstößen nicht, wie auf dem Bild dargestellt, zur Strafe viele Male „Ich muss mich an den Datenschutz halten!“ schreiben, die möglichen Folgen sind natürlich weitaus schlimmer. So muss bei Verstößen mit hohen Bußgeldern oder sogar einer Geld- oder Freiheitsstrafe gerechnet werden.

Gemäß § 43 Abs. 3 Bundesdatenschutzgesetz (BDSG) können Ordnungswidrigkeiten aus § 43 Abs. 1 BDSG mit einer Geldbuße von bis zu 50.000 Euro und Ordnungswidrigkeiten aus § 43 Abs. 2 BDSG sogar mit einer Geldbuße bis zu 300.000 Euro bestraft werden, wobei die benannten Beträge überschritten werden können, wenn der wirtschaftliche Vorteil aus der Ordnungswidrigkeit höher ist als die Geldbuße.

Gemäß § 43 Abs. 1 BDSG handelt man ordnungswidrig, wenn unter anderem vorsätzlich oder fahrlässig

  • der Meldepflicht nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig nachgegangen wird,
  • die Bestellung des Datenschutzbeauftragten nicht, nicht in der vorgeschriebenen Weise oder nicht rechtzeitig erfolgt,
  • die Erteilung eines Auftrags nicht richtig, nicht vollständig, nicht in der vorgegebenen Weise erfolgt oder vor Beginn der Datenverarbeitung keine Kontrolle der technischen und organisatorischen Maßnahmen stattfindet,
  • auf ein Auskunftsersuchen nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig reagiert wird.

Gemäß § 43 Abs. 2 BDSG handelt man ordnungswidrig, wenn unter anderem vorsätzlich oder fahrlässig

  • personenbezogene Daten, die nicht allgemein zugänglich sind, erhoben oder verarbeitet werden,
  • der Abschluss eines Vertrages von der Einwilligung des Betroffenen abhängig gemacht wird,
  • die Mitteilung bei einer Datenpanne nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig erfolgt.

Werden die in § 43 Abs. 2 BDSG benannten Ordnungswidrigkeiten gegen Entgelt oder in der Absicht, sich bzw. einen anderen zu bereichern oder zu schädigen, begangen, so handelt es sich um eine Straftat. Strafrechtlich relevante Verstöße können im Sinne des § 44 Abs. 1 BDSG mit einer Geldstrafe oder mit einer Freiheitsstrafe von bis zu zwei Jahren bestraft werden.

Des Weiteren sollten verantwortliche Stellen nicht außer Acht lassen, dass sie, gemäß § 7 BDSG zum Schadensersatz verpflichtet sind, wenn die unzulässige oder unrichtige Erhebung, Verarbeitung oder Nutzung personenbezogener Daten dem Betroffenen einen Schaden zufügt. Kann sie allerdings beweisen, dass sie erforderliche Maßnahmen zur ordnungsgemäßen Erhebung, Verarbeitung und Nutzung getroffen hat, so haftet sie nicht. Es geht hierbei also um die Einhaltung der Sorgfaltspflichten.

Sanktionen im Datenschutz – Wieso Ordnungswidrigkeiten bereits mit Bußgeldern in Millionenhöhe gezahlt wurden

Zusätzlich sollte bei Sanktionen im Datenschutz beachtet werden, dass die benannten Bußgelder pro Vergehen verhängt werden und bei mehreren Vergehen die Bußgelder aufsummiert werden können. In der Folge kam es bereits zu  Bußgelder in Millionenhöhe. Ist beispielsweise kein interner/externer Datenschutzbeauftragter bestellt und es wird nicht auf Auskunftsersuchen reagiert, so können direkt für beide Vergehen Sanktionen verhängt werden.

Wer haftet für Datenschutzverstöße?

Haftung DatenschutzGrundsätzlich können sowohl die Geschäftsführung bzw. der Vorstand als auch die Mitarbeiter einer verantwortlichen Stelle haften. Auch ein Haftungstatbestand des Datenschutzbeauftragten kann bei Vorsatz oder grober Fahrlässigkeit nicht ausgeschlossen werden.

Übernimmt zunächst zwar die Geschäftsführung die Gesamtverantwortung, so kann unter anderem die Verletzung des Datengeheimnisses gemäß § 5 BDSG für den Mitarbeiter zu arbeitsrechtlichen Konsequenzen (Abmahnung oder Kündigung), zu Bußgeldern oder zu strafrechtlichen Konsequenzen führen.

Die Hinwirkungspflicht verpflichtet den Datenschutzbeauftragten auf die Einhaltung des Datenschutzes hinzuwirken. Der Datenschutzbeauftragte kann somit keine Weisungen erteilen, wodurch in der Regel die verantwortliche Stelle die Verantwortung und Haftung trägt, allerdings ist die Haftung des Datenschutzbeauftragten, wie bereits erläutert, nicht vollumfänglich auszuschließen.

Welche Auswirkungen hat die EU-Datenschutzgrundverordnung auf die Sanktionen im Datenschutz?

Die im Mai 2016 verabschiedete EU-Datenschutzgrundverordnung (DSGVO), die nach einer zweijährigen Übergangsfrist 2018 wirkt und bis dahin schon – sofern nicht bereits geschehen – umgesetzt werden sollte, sieht neben weiteren Rechten für Betroffene höhere Sanktionen im Datenschutz vor.

Die Bußgelder werden mit der kommenden EU-DSGVO erheblich steigen und bis zu 20 Millionen oder vier Prozent des weltweiten Jahresumsatzes aus dem Vorjahr betragen, wobei bei Konzernen der Vorjahresumsatz des Konzerns als Grundlage genommen wird.

Neue strafrechtliche Konsequenzen sieht die EU-DSGVO nicht vor, allerdings bleibt abzuwarten, wie die Datenschutzgrundverordnung in den einzelnen Ländern umgesetzt wird. Artikel 84 der EU-DSGVO sieht vor, dass die Mitgliedsstaaten insbesondere für Verstöße, die keiner Geldbuße gemäß Artikel 83 EU-DSGVO unterliegen, andere Sanktionen festlegen. Auch hier laufen bereits die Verhandlungen zur Anpassung des Bundesdatenschutzgesetzes.

Fazit

Die Nichtbeachtung von Datenschutzvorschriften kann neben erheblichen Sanktionen im Datenschutz, die zukünftig aufgrund der EU-DSGVO höher ausfallen könnten, zu einem enormen Imageverlust führen.

Umso wichtiger ist es, dass sich „verantwortliche Stellen“, wie Unternehmen und Behörden, an Datenschutzvorschriften halten und sich Unterstützung in Form eines Datenschutzbeauftragten oder Datenschutzberaters holen.

Haben Sie noch Fragen zu den Sanktionen im Datenschutz oder zur EU-DSGVO? Dann holen Sie sich ein unverbindliches Datenschutz-Angebot ein oder nehmen Sie direkt Kontakt mit uns auf.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

Übersicht Landesdatenschutzgesetze (LDSG) – interner oder externer behördlicher Datenschutzbeauftragter

Interner oder externer behördlicher DatenschutzbeauftragterEin behördlicher Datenschutzbeauftragter gewinnt, wie bereits im Fachbeitrag „Interner / externer behördlicher Datenschutzbeauftragter“ ausführlich erläutert, für öffentliche Stellen zunehmend an Bedeutung. Entscheidungsträger werden daher vermehrt mit der Frage, wann überhaupt ein behördlicher Datenschutzbeauftragter bestellt werden muss und ob ein interner oder externer behördlicher Datenschutzbeauftragter bestellt werden sollte, konfrontiert.

Ist die Rede von öffentlichen Stellen, so wird zwischen öffentlichen Stellen des Bundes oder des Landes unterschieden. Erheben, verarbeiten oder nutzen öffentliche Stellen des Bundes personenbezogene Daten, so sollte sich diese insbesondere an das Bundesdatenschutzgesetz halten, wobei für öffentliche Stellen des Landes jeweils das entsprechende Landesdatenschutzgesetz maßgebend ist. Ein wesentlicher Unterschied, der sich aus den unterschiedlichen Datenschutzvorschriften ergibt, ist die Bestellpflicht des Datenschutzbeauftragten.

Ihr externer Datenschutzbeauftragter erklärt im Folgenden, wann ein interner oder externer behördlicher Datenschutzbeauftragter bestellt werden sollte und liefert Ihnen die entsprechende Übersicht über die einzelnen Landesdatenschutzgesetze.

Interner oder externer Datenschutzbeauftragter – Bestellpflicht im Bundesdatenschutzgesetz (BDSG)

Bevor auf öffentliche Stellen des Landes und somit auf die Landesdatenschutzgesetze eingegangen wird, möchten wir Ihnen kurz erläutern, welche Regelungen das Bundesdatenschutzgesetz für öffentliche Stellen des Bundes und für nicht-öffentliche Stellen vorsieht.

Eine interner / externer betrieblicher Datenschutzbeauftragter sollte durch nicht-öffentliche Stellen bestellt werden, wenn …

  • mindestens 10 Personen personenbezogene Daten automatisiert verarbeiten oder
  • die automatisierte Verarbeitung eine Vorabkontrolle erfordert oder
  • die automatisierte Verarbeitung zum Zweck der (anonymisierten) Übermittelung dient oder
  • die automatisierte Verarbeitung zum Zweck der Markt- und Meinungsforschung erfolgt oder
  • mindestens 20 Personen personenbezogene Daten auf einer anderen Weise verarbeiten.

Ein interner / externer behördlicher Datenschutzbeauftragter sollte durch öffentliche Stellen des Bundes bestellt werden, wenn …

  • personenbezogene Daten automatisiert verarbeitet werden oder
  • mindestens 20 Personen personenbezogene Daten auf einer anderen Weise verarbeiten.

Das BDSG regelt zwar, ab wann ein betrieblicher und behördlicher Datenschutzbeauftragter bestellt werden sollte, allerdings lässt das BDSG die Entscheidung, ob ein interner oder externer Datenschutzbeauftragter bestellt werden soll, bei der verantwortlichen Stelle.

Interner oder externer behördlicher Datenschutzbeauftragter – Bestellpflicht in den Landesdatenschutzgesetzen (LDSG)

Im Folgenden stellen wir Ihnen zunächst eine Übersicht über die einzelnen Landesdatenschutzgesetze und die Landesdatenschutzbeauftragten zur Verfügung.

BundeslandGesetzLandesdatenschutz-beauftragte/r
Baden-WürttembergGesetz zum Schutz personenbezogener Daten (LDSG)Jörg Klingbeil - Ruhestand, Nachfolger noch nicht bekannt
BayernBayerisches Datenschutzgesetz (BayDSG)Prof. Dr. Thomas Petri
BerlinBerliner Datenschutzgesetz (BlnDSG)Maja Smoltczyk
BrandenburgBrandenburgisches Datenschutzgesetz (BbgDSG)Dagmar Hartge
BremenBremisches Datenschutzgesetz (BremDSG)Imke Sommer
HamburgHamburgisches Datenschutzgesetz (HmbDSG)Prof. Dr. Johannes Caspar
HessenHessisches Datenschutzgesetz (HDSG)Prof. Dr. Michael Ronellenfitsch
Mecklenburg-VorpommernGesetz zum Schutz des Bürgers bei der Verarbeitung seiner Daten (DSG M-V)Reinhard Dankert
NiedersachsenNiedersächsisches Datenschutzgesetz (NDSG)Barbara Thiel
Nordrhein-WestfalenDatenschutzgesetz Nordrhein-Westfalen (DSG NRW)Helga Block
Rheinland-PfalzLandesdatenschutzgesetz (LDSG)Prof. Dr. Dieter Kugelmann
SaarlandSaarländisches Gesetz zum Schutz personenbezogener Daten (SDSG)Monika Grethel
SachsenGesetz zum Schutz der informationellen Selbstbestimmung im Freistaat Sachsen (SächsDSG)Andreas Schurig
Sachsen-AnhaltGesetz zum Schutz personenbezogener Daten der Bürger (DSG LSA)Dr. Harald von Bose
Schleswig-HolsteinSchleswig-Holsteinisches Gesetz zum Schutz personenbezogener Informationen (Landesdatenschutzgesetz - LDSG -)Marit Hansen
ThüringenThüringer Datenschutzgesetz (ThürDSG)Dr. Lutz Hasse

Einige Landesdatenschutzgesetze überlassen die Entscheidung, ob ein interner oder externer behördlicher Datenschutzbeauftragter bestellt wird, ebenfalls den verantwortlichen Stellen, wobei wiederum andere LDSG genaue Regelungen, ob interner oder externer behördlicher Datenschutzbeauftragter, treffen. Auch unterscheiden sich die einzelnen Landesdatenschutzgesetze in der Frage, ob und wann überhaupt ein behördlicher Datenschutzbeauftragter bestellt werden soll. In der folgenden Übersicht haben wir aus diesem Grund aufgeführt, ob die öffentliche Stelle zur Bestellung verpflichtet ist („haben“) oder selbst entscheiden kann, ob sie einen behördlichen Datenschutzbeauftragten („können“) bestellen möchte. Einige Landesdatenschutzgesetze sehen die Verpflichtung zur Verschwiegenheit des behördlichen Datenschutzbeauftragten vor. Wie Sie im Folgenden aus der Übersicht entnehmen können, weisen Sie auch Unterschiede bei der Frage, ob einer Vertreter für den behördlichen Datenschutzbeauftragten bestellt werden muss, auf.

BundeslandBestellungintern/externVertreterSchriftform    
Baden-Württembergöffentliche Stellen "können"grds. intern, auch Bediensteter der Aufsichtsbehörde mit deren Zustimmung. +
Bayernöffentliche Stellen, die personenbezogene Daten mit Hilfe von automatisierten Verfahren verarbeiten oder nutzen, "haben"intern, bei Staatsbehörden ist auch eine Bestellung durch eine höhere Behörde möglich
BerlinBehörden und sonstige öffentliche Stellen "haben"grds. intern, muss in einem Dienst- oder Arbeitsverhältnis bei einer Behörde oder sonstigen öffentlichen Stelle des Landes Berlin oder einer landesunmittelbaren Körperschaft, Anstalt oder Stiftung stehen + +
BrandenburgDaten verarbeitende Stellen "haben"grds. intern, können einen Bediensteten einer anderen datenverarbeitenden Stelle bestellen
Bremenöffentliche Stellen "haben"extern möglich, auch die Bestellung eines Bediensteten der verantwortlichen Stelle ist zulässig
Hamburgdie in § 2 Abs. 1 S. 1 HmbDSG genannten Stellen "können"grds. intern, Bestellung eines Beschäftigten einer anderen in § 2 Abs. 1 Satz 1 HmbDSG genannten Stelle zulässig
Hessendie datenverarbeitende Stelle "hat"auch extern, dies ist dem Hessischen Datenschutzbeauftragten mitzuteilen + +
Mecklenburg-Vorpommerndie Daten verarbeitende Stelle "hat"grds. intern ("soll Beschäftigter der Daten verarbeitenden Stelle sein"), unter gewissen Voraussetzungen/Gründen extern möglich + +
Niedersachsenjede öffentliche Stelle, die personenbezogene Daten automatisiert verarbeitet, "hat"auch extern
Nordrhein-Westfalenöffentliche Stellen, die personenbezogene Daten verarbeiten, "haben"intern + +
Rheinland-Pfalzöffentliche Stellen, bei denen mindestens zehn Beschäftigte regelmäßig personenbezogene Daten verarbeiten, "haben"auch extern, mit Zustimmung der zuständigen Aufsichtsbehörde auch ein Bediensteter anderer öffentlicher Stellen +
Saarlandöffentliche Stellen, die personenbezogene Daten verarbeiten, "können"auch extern +, kann +
Sachsenöffentliche Stellen im Sinne des § 2 Abs. 1 und 2 SächsDSG "können"auch extern +, kann +
Sachsen-Anhalt~ öffentliche Stellen "haben" bei Einsatz automatisierter Verfahren zur Erhebung, Verarbeitung oder Nutzung personenbezogener Daten, soweit es sich nicht ausschließlich um Verfahren im Sinne des § 14 Abs. 4 Nr. 2 DSG LSA handelt
~ die Einsetzung kann auch durch die Dienstaufsichtsbehörde erfolgen
~ Notare und die in § 3 Abs. 1 Satz 2 DSG LSA genannten Stellen haben erst, wenn mindestens fünf Personen bei der automatisierten Erhebung, Verarbeitung oder Nutzung beschäftigt werden
auch extern, Einsetzung kann auch durch Dienstaufsichtsbehörde erfolgen +
Schleswig-Holsteindie datenverarbeitende Stelle "kann"intern, durch einen Beschäftigten oder eine Beschäftigte der datenverarbeitenden Stelle +
Thüringen~ Daten verarbeitende Stellen, die personenbezogene Daten mit Hilfe automatisierter Verfahren verarbeiten oder nutzen, "haben"
~ einer Bestellung bedarf es nicht, wenn in der Daten verarbeitenden Stelle ausschließlich Verfahren der in § 34 Abs. 3 ThürDSG genannten Art eingesetzt werden
~ Notare und die in § 2 Abs. 2 Satz 3 ThürDSG genannten Stellen haben einen Beauftragten erst dann einzusetzen, wenn mindestens fünf Personen bei der automatisierten Verarbeitung oder Nutzung personenbezogener Daten beschäftigt werden
intern, für staatliche Schule kann die Aufsichtsbehörde einen ihrer Beschäftigten bestellen +

Vorträge ob zum Datenschutz, zur IT oder tangierter – auch regelmäßig ganz alltäglicher – Bereiche enthalten immer mehr Begriffe wie „Digitalisierung“, die klar auf mehr Technik, einen verstärkten Einsatz von IT-Systemen und damit automatisierter Verfahren hinweisen. Ein Behördlicher Datenschutzbeauftragter muss zu einer Vielzahl von Fragestellungen Auskunft geben und nach Prüfung hierzu auch beraten können.

Typische Themenfelder können z. B. sein:

  • Dienstvereinbarungen
    • Dienstvereinbarungen zur Zeiterfassung
    • Dienstvereinbarungen zur Nutzung von E-Mails und Internet
    • Dienstvereinbarungen zu IT und Datenschutz
  • Entwicklung / Bekanntmachung von hausinternen Datenschutzrichtlinien und damit verbundene Sensibilisierung der Beschäftigten
  • Beratung von Mitarbeitern, dem Personalrat und der Behördenleitung zu Datenschutzfragen
  • Prozessberatung im Datenschutz
  • Bearbeitung sowie Erteilung von Auskunftsersuchen von Betroffenen (z. B. Beschäftigten / Mitarbeitern und Bürgern)
  • Risikoanalyse und Bewertung von Verfahren zur Datenverarbeitung
  • Erstellung von Verfahrensverzeichnissen
  • Durchführung von Datenschutz-Kontrollen
  • Prüfung von Dienstleistern
  • Beratung zum Einsatz von Auftragsdatenverarbeitern (Auftragsdatenverarbeitung)
  • Beratung und Kontrolle der gesetzeskonformen Aufbewahrung und Vernichtung von Akten und Datenträgern
  • Erstellung eines Tätigkeitsberichtes

Fachkundige und zuverlässige externe Dienstleister sowie deren Unterstützung ist hierbei häufig gar nicht mehr wegzudenken.

Nutzen Sie daher die Möglichkeit und besetzen Sie die Funktion des behördlichen Datenschutzbeauftragten extern oder sorgen Sie für zielgerichteten Support Ihres internen Datenschutzbeauftragten durch einen Datenschutz-Berater. Die Datenschutzberatung setzt genau dort an, wo Ihr interner behördlicher Datenschutzbeauftragter Unterstützung benötigt.

Haben Sie weitere Fragen zum Thema „interner oder externer behördlicher Datenschutzbeauftragter“ oder möchten Sie sich im Datenschutz dauerhaft besser positionieren? Dann holen Sie sich gerne ein unverbindliches Angebot zum Datenschutz ein oder nehmen Sie gerne direkt Kontakt mit uns auf.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

Datenschutz für Kirchen – interner / externer kirchlicher Datenschutzbeauftragter gemäß DSG-EKD (Kirchengesetz über den Datenschutz in der EKD) und KDO (Anordnung über den kirchlichen Datenschutz)

Kirchlicher DatenschutzbeauftragterNatürlich befassen sich auch Kirchen mit sensiblen personenbezogenen Daten, so dass der Datenschutz für Kirchen nicht ignoriert und ein kirchlicher Datenschutzbeauftragter extern oder intern bestellt werden sollte.  Aufgrund der Trennung von Kirche und Staat und dem darauf basierenden Selbstverwaltungsrecht der Kirchen, gelten das Bundesdatenschutzgesetz und die Landesdatenschutzgesetze nicht für kirchliche Einrichtungen. Die Kirchen haben das Recht eigene Datenschutz-Gesetze sowie Durchführungsverordnungen zu bestimmen, daher hat die Evangelische Kirche Deutschland (EKD) das Kirchengesetz über den Datenschutz in der EKD (DSG-EKD) und die katholische Kirche die Anordnung über den kirchlichen Datenschutz (KDO) erlassen.

Ihr externer Datenschutzbeauftragter informiert im Folgenden über den Datenschutz für Kirchen und erklärt, wann ein interner kirchlicher Datenschutzbeauftragter bzw. ein externer kirchlicher Datenschutzbeauftragter bestellt werden sollte.

Sowohl das DSG-EKD als auch die KDO unterscheiden sich in der Umsetzung für einen Datenschutzbeauftragten nicht stark von den staatlichen Datenschutzregelungen bzw. denen für Behörden und Unternehmen. Beide kirchlichen Regelungen legen fest, dass es die Position „kirchlicher Datenschutzbeauftragter“ auf zwei Ebenen gibt.

Datenschutz für Kirchen – Kirchlicher Datenschutzbeauftragter der ersten Ebene

Zunächst gibt es die Datenschutzbeauftragten, welche für einen jeweiligen Verwaltungsbezirk innerhalb der Kirchen zuständig sind. Im DSG-EKD werden diese lediglich als Datenschutzbeauftragte bezeichnet und sind für eine Gliedkirche bzw. einen gliedkirchlichen Zusammenschluss zuständig. Als Besonderheit gibt es auch einen Datenschutzbeauftragten für die EKD insgesamt, diesem kommt allerdings keine übergeordnete Stellung zu, er ist vielmehr für die gesamtkirchlichen Einrichtungen zuständig.

In der katholischen Kirche entsprechen diese Positionen den Diözesandatenschutzbeauftragten, deren Zuständigkeitsbereich in dem eines Bistums liegt.

Beiden Regelungen ist gemein, dass die Amtszeit vier bis acht Jahre betragen soll, aber erneute Bestellungen derselben Person zulässig sind. Ein kirchlicher Datenschutzbeauftragter kann auch für mehrere Bereiche tätig sein und es ist auch ein Vertreter zu bestellen. Der Datenschutzbeauftragte bzw. Diözesandatenschutzbeauftragte darf insoweit auch andere Tätigkeiten ausüben, sofern diese das Vertrauen in seine Unabhängigkeit und Unparteilichkeit als kirchlicher Datenschutzbeauftragter nicht gefährden. Vergleichbare Vorgaben ergeben sich auch aus dem Bundesdatenschutzgesetz. So darf z. B. der Geschäftsführer eines Unternehmens nicht gleichzeitig Datenschutzbeauftragter (DSB) sein. Die Unabhängigkeit wäre in diesem Fall klar gefährdet, denn der „Geschäftsführer-DSB“ kann sich schlecht selbst kontrollieren.

Genauso, wie bei behördlichen / betrieblichen Datenschutzbeauftragten, sieht der Datenschutz für Kirchen vor, dass der Datenschutzbeauftragte bzw. Diözesandatenschutzbeauftragte die nötige Fachkunde und Zuverlässigkeit für die Tätigkeit als kirchlicher Datenschutzbeauftragter besitzt. Darüber hinaus muss er Mitglied der jeweiligen Kirche sein. Laut DSG-EKD muss der Datenschutzbeauftragte die Befähigung zum Richteramt oder zum höheren Dienst besitzen. Der Diözesandatenschutzbeauftragte soll die Befähigung zum Richteramt haben. Beide stehen ihrer jeweiligen Behörde vor, sind nicht weisungsgebunden, zur Verschwiegenheit verpflichtet und sachlich und organisatorisch unabhängig.

Das DSG-EKD gewährt dem Datenschutzbeauftragten während seiner Amtszeit und bis ein Jahr nach seiner Amtszeit Kündigungsschutz. Auch hier findet sich eine klare Paralelle zum Bundesdatenschutzgesetz. Ausnahmen bilden bei einem Datenschutzbeauftragten im Arbeitsverhältnis eine Kündigung aus wichtigem Grund und bei einem Datenschutzbeauftragten im Kirchenbeamtenverhältnis das Vorliegen von §§ 76, 77, 79 oder 80 Kirchenbeamtengesetz der EKD. Die KDO unterscheidet begrifflich zwischen dem Widerruf der Bestellung zum Diözesandatenschutzbeauftragten und der Kündigung des zugrundeliegenden Arbeitsverhältnisses. Für beides gilt allerdings, dass ein Grund vorliegen muss, der bei einem Richter auf Lebenszeit dessen Entlassung aus dem Dienst rechtfertigen würde oder der nach der Grundordnung des kirchlichen Dienstes im Rahmen kirchlicher Arbeitsverhältnisse eine Kündigung rechtfertigen würde. Im Übrigen gilt der Kündigungsschutz auch hier bis ein Jahr nach Beendigung der Amtszeit.

Die Aufgaben des Datenschutzbeauftragten bzw. Diözesandatenschutzbeauftragten bestehen wie beim staatlichen Datenschutzbeauftragten im Wesentlichen darin, die Einhaltung und Umsetzung der Datenschutzvorschriften zu überwachen. Außerdem soll er mit den Datenschutzbeauftragten der anderen kirchlichen Stellen und den Datenschutzbeauftragten der staatlichen Stellen zusammenarbeiten. Im Übrigen räumen sowohl das DSG-EKD als auch die KDO Auskunfts- und Einsichtsrechte bezüglich aller Unterlagen und Akten über die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten ein.

Datenschutz für Kirchen – Kirchlicher Datenschutzbeauftragter der zweiten Ebene

Die zweite Ebene der Datenschutzbeauftragten bilden in der evangelischen Kirche die Betriebsbeauftragten und örtlich Beauftragen für Datenschutz. Der Unterschied dieser beiden liegt lediglich darin, ob die kirchliche Einrichtung eine eigene Rechtspersönlichkeit besitzt (Betriebsbeauftragter) oder nicht (örtlich Beauftragter).

Sie sollen schriftlich bestellt werden, wenn regelmäßig mehr als neun Personen ständig mit der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten beschäftigt sind. In der katholischen Kirche können kirchliche Stellen gem. § 1 Abs. 2 KDO, die personenbezogene Daten automatisiert erheben, verarbeiten oder nutzen, einen betrieblichen Datenschutzbeauftragten schriftlich bestellen. Sind mehr als zehn Personen damit befasst, soll ein betrieblicher Datenschutzbeauftragter bestellt werden. Auch eine externe Person kann betrieblicher Datenschutzbeauftragter (externer Datenschutzbeauftragter) werden.

Darüber hinaus kann ein Betriebsbeauftragter, örtlich Beauftragter bzw. betrieblicher Datenschutzbeauftragter auch für mehrere Stellen tätig werden. Er muss die nötige Fachkunde und Zuverlässigkeit besitzen, ist nicht weisungsgebunden und darf aufgrund seiner Amtsausübung nicht benachteiligt werden. Dementsprechend gilt ein Kündigungsschutzrecht bis ein Jahr nach Beendigung des Amtes, mit Ausnahme des Vorliegens eines wichtigen Grundes für die Kündigung. Der Betriebsbeauftragte bzw. örtlich Beauftragte hat Auskunfts- und Einsichtsrechte, aber auch eine Verschwiegenheitspflicht. In beiden Regelungen ist festgehalten, dass die verantwortliche Stelle die Teilnahme an Fort- und Weiterbildungen auf ihre Kosten ermöglichen muss.

Ein kirchlicher Datenschutzbeauftragter der zweiten Ebene sollte ebenfalls auf die Einhaltung der Datenschutzvorschriften hinwirken und die kirchliche Stelle bei der Umsetzung unterstützen. Insbesondere überwacht er die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme und sensibilisiert die bei der Verarbeitung personenbezogener Daten tätigen Personen bezüglich der relevanten Datenschutzbestimmungen .

Möchten Sie mehr über den Datenschutz für Kirchen und zur Position „kirchlicher Datenschutzbeauftragter“ erfahren oder möchten Sie sich im Datenschutz dauerhaft besser positionieren? Dann holen Sie sich ein unverbindliches Angebot zum Datenschutz ein oder nehmen Sie direkt Kontakt mit uns auf.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.