Sascha Kuhrau

Vorsicht Falle: “Scoring Novelle” des BDSG ab 01.04.2010 in Kraft

von Sascha Kuhrau
23. März 2010

Der irreführende Name “Scoring Novelle” im Rahmen aktueller Anpassungen des Bundesdatenschutzgesetz (BDSG) mag dazu verleiten, sich mit dieser Änderung nicht näher zu befassen. Der Teufel steckt im Detail, denn es werden darin klare Regelungen für die Weitergabe von personenbezogenen Daten an Auskunfteien getroffen. Deren Nichtbeachtung kann für Unternehmer / Unternehmen ab dem 01.04.2010 fatale Folgen haben. Geben sie die Daten des Schuldners im Zuge des Mahnwesens an Auskunfteien weiter, so gilt die “Scoring Novelle” ohne Ausnahmen.

Die wichtigsten Regelungen in Stichpunkten:

Betroffen sind Forderungen, die bei der Übergabe noch nicht rechtssicher festgestellt sind (Urteil, Titel)
Der Schuldner muss zwei Mal mindestens schriftlich vom Unternehmen angemahnt worden sein
Die Übermittlung an den Dienstleister darf frühestens vier Wochen nach der ersten schriftlichen Mahnung stattfinden
Vorher ist der Schuldner rechtzeitig auf die bevorstehende Datenübermittlung hinzuweisen, jedoch nicht vor der ersten Mahnung
Bestreitet der Schuldner die Forderung, darf die Übermittlung nicht stattfinden. Die Gründe des Bestreitens sind irrelevant, es zählt der Vorgang des Bestreitens. Der Vorgang ist zu prüfen und zu dokumentieren

Unternehmen sollten daher zeitnah ihr Forderungsmanagement und Mahnwesen auf diese neue Rechtslage hin überprüfen und anpassen. Verstöße gegen diese Regelungen können — wie vom BDSG vorgesehen — mit Strafen belegt werden und auch Schadensersatzforderungen seitens der Schuldner nach sich ziehen.

Sind Sie unsicher, ob Ihr Unternehmen die aktuellen Regelungen bereits umsetzt und rechtzeitig erfüllt? Gerne prüfe ich dies für Sie als externer Datenschutzbeauftragter und empfehle Ihnen notwendige Korrekturen / Anpassungen. Sprechen Sie mich unverbindlich an.

Novellierungen - Bundesgesetzblatt Br. 48 vom 31.07.2009 (als PDF einsehbar)

Update 26.03.2010:

Es gibt erste Diskussionen in Webforen und Bloggs, daß diese Regelungen über Auskunfteien hinaus in der pratischen Anwendung auch auf Inkassodienste ausgeweitet werden könnten. Der Wortlaut der Novelle spricht eindeutig nur von Auskunfteien — es bleibt also abzuwarten.

Problematisch könnte die Übermittlung theoretisch zumindest jetzt schon sein, wenn Auskunftei und Inkassodienst in einem Unternehmen gebündelt angeboten werden und die übermittelten Daten dort nicht scharf genug voneinander abgegrenzt werden, also die Auskunftei z.B. auf Informationen über laufende Inkassoverfahren im Bereich des Inkassodienstes zugreift. Hier sollte man sich vertraglich im Vorfeld absichern.

[wpfilebase tag=‘file’ id=‘2’]

Bundesjustizministerin behält Augenmaß — Vorratsdatenspeicherung nicht zwingend notwendig

von Sascha Kuhrau
22. März 2010

Bundesjustizministerin Sabine Leutheusser-Schnarrenberger denkt in Alternativen zur gerade vom Bundesverfassungsgericht gekippten Vorratsdatenspeicherung.

Im Gegensatz zu Ihrem Ministerkollegen de Maizière (Bundesinnenminister), der eine zügige Umformulierung und Neuverabschiedung des gekippten Gesetzes bei ihr anmahnt, verweist Sie mit Blick über den Tellerrand auf andere Länder ohne Vorratsdatenspeicherung. Interessantes Beispiel ist hier gerade die USA, die statt auf Sammelwut auf die sog. “Quick-Freeze-Methode” setzen. Bei vorliegendem Verdacht werden die Daten zur Auswertung eingefroren, statt pauschal fortlaufend bevorratet.

Zusätzlich wirft die Bundesjustizministerin einen weiteren Ball ins Spiel — die EG Datenschutzrichtlinie sei dahingehend zu prüfen, ob sie generell mit der europäischen Grundrechtscharta vereinbar sei. Dies wird Wasser auf die Mühlen derjenigen sein, die parallel eine Prüfung / Klage vor dem europäischen Gerichtshof anstreben, nachdem Karlsruhe so klare Worte fand.

Deutschland verstößt gegen EG-Datenschutzrecht

von Sascha Kuhrau
17. März 2010

Mit Urteil vom 09.03.2010 stellt der Europäische Gerichtshof klar: Deutschland verstößt mit seiner Organisation und Einbindung der Aufsichtsbehörden für die Privatwirtschaft gegen die EG-Datenschutzrichtlinie. Hierbei wird nicht nur die organisatorische Einbindung dieser Aufsichtsbehörden in fast 50% aller Fälle in die jeweiligen Innenministerien der Länder moniert, zusätzlich erregt die Unterstellung der Datenschutzbehörden für den nicht-öffentlichen Bereich zu den Landesregierungen das Mißfallen der Richter.

Die EG-Datenschutzrichtlinie schreibt in§ 28 vor, daß die Datenschutzbehörden in “völliger Unhabhängigkeit” ihre Tätigkeit ausüben können müssen. Die Tragweite dieser Formulierung war bis zu diesem Urteil umstritten — nun ist sie klar: jedes Risiko einer Einflußnahme auf die Tätigkeiten und Entscheidungen der Datenschutzbehörden muss vermieden werden.

Der Bundesbeauftragte für Datenschutz und Informationsfreiheit, Peter Schaar begrüßt dieses Urteil und sieht darin eine deutliche Stärkung des Datenschutz in Deutschland. Jetzt müssen die Verantwortlichen alles daran setzen, die Umstände für die Richtlinienverstöße zu beseitigen.

Pressemeldung des Bundesdatenschutzbeauftragten
Urteil des Europäischen Gerichtshofs

Datenschutz ad absurdum

von Sascha Kuhrau
15. März 2010

Mit Datum vom 13.03.2010 warnt Stiftung Warentest auf ihrer Webseite vor Betrügern in Sachen Datenschutz. Die Masche ist ziemlich durchsichtig, dennoch sei davor gewarnt.

Ein Anrufer gibt sich als Vertreter der Bundesnetzagentur aus und verspricht, für einen jährlichen “Servicebetrag” von 69 EUR den Mißbrauch von persönlichen Daten zu stoppen. Ein legitimer Wunsch des Angerufenen, jedoch ist der Anrufer weder von der Bundesnetzagentur, noch kann er die versprochene Leistung erbringen. Die Frage nach der Bankverbindung sollte man daher nicht beantworten, sofern man den Anrufer bis hierhin überhaupt hat kommen lassen.

Neben der reinen telefonischen Akquise für solche “Dienstleistungen” sind aktuell auch postalische Angebote unterwegs, Absender ist eine Firma Verbraucher Datenschutz 24 (VDS-24) aus Hilden. Diese netten Offerten sollte man ebenfalls dankend ablehnen und nicht den beigefügten Überweisungsträger nutzen.

Seit kurzem wird ebenfalls die Verbraucherzentrale Rheinland-Pfalz bemüht, in deren Namen ähnliche Leistungen zu Preisen von 39 bis 68 EUR erbracht werden sollen. Die Verbraucherzentrale stellt — wie die Bundesnetzagentur — klar, daß ihrerseits keine solchen Anrufe getätigt oder Leistungen angeboten werden.

Helfen Sie, dem Spuk ein Ende zu bereiten und versuchen Sie in einem freundlichen Telefonat, Ansprechpartner und Firma herauszufinden. Diese leiten Sie im Anschluß direkt an die Verbraucherzentrale oder den Verbraucherservice der Bundesnetzagentur weiter — dort wird man sich entsprechend den selbst ernannten “Datenschützern” annehmen.

Zum vollständigen Beitrag der Stiftung Warentest
Zur Verbraucherzentrale
Zum Verbraucherservice der Bundesnetzagentur

Schwachstelle im Internet Explorer (6+7): Vorsicht vor manipulierten Webseiten

von Sascha Kuhrau
12. März 2010

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor dem Besuch manipulierter Webseiten im Zusammenhang mit der Nutzung des Internet Explorers in den Versionen 6 und 7. Es existiert lt. BSI eine Sicherheitslücke, die es erlaubt, Schadcode in ein Windows System einzuschleusen und auf dem Rechner zu starten.

Microsoft hat eine Anleitung (Security Advisory) veröffentlicht, anhand der das Sicherheitsrisiko gemindert werden kann. Alternativ stellen Sie die Sicherheitszone für “Internet” und “Lokales Intranet” in den Internet Explorer Einstellungen auf “Hoch” oder steigen auf die Version 8 um. Ich selbst empfehle den Einsatz von Mozilla Firefox in seiner aktuellen Version (Download).

BSI und das sog. Bürger-CERT sind empfehlenswerte Informationsquellen für Datensicherheit in der Informationstechnik. Aktuelle Informationen und Nachrichten können dort per Email abonniert werden und Sie sind somit stets aktuell.

Vorratsdatenspeicherung verfassungswidrig — und jetzt?

von Sascha Kuhrau
11. März 2010

Am 02.03.2010 hat das Bundesverfassungsgericht entschieden, die jetzige Form des Gesetzes zur Vorratsdatenspeicherung verstößt gegen Artikel 10 Absatz 1 des Grundgesetzes und ist damit hinfällig. Fazit: alle auf Basis dieses Gesetzes bisher gepeicherten Daten sind zu löschen.

Ein Sieg für den Datenschutz, könnte man meinen. Doch die Angelegenheit hat einen Haken: nicht die Vorratsdatenspeicherung an sich wurde für verfassungswidrig erklärt, sondern nur die bisherige Ausgestaltung des Gesetzes. Im Hintergrund steht die europäische Regelung zur Datenspeicherung, die es nach wie vor umzusetzen gilt. Die Regierung hat es dabei mit seiner bisherigen Fassung übertrieben, wurde in die Schranken gewiesen und muss entsprechend neue Ausgestaltungen und Formulierungen finden. Bis dahin ist die jetzige Regelung schlicht ungültig.

Das bedeutet, eine neue gesetzliche Regelung zur Vorratsdatenspeicherung wird kommen — angelehnt an die Auflagen des Bundesverfassungsgerichts und vor dem Hintergrund der europäischen Regelungen. Wie diese in der Praxis ausgestaltet werden, bleibt abzuwarten. Ebenso wie die Frage, ob das neue Gesetz erneut der konsequenten und harten Prüfung durch das Bundesverfassungsgericht aufgrund von Klagen unterzogen wird.

Zu begrüßen ist auf jeden Fall die klare Ansage, daß der Bundesdatenschutzbeauftragte in die Kontrolle über die Verwendung der gespeicherten Daten einbezogen werden soll.

Die Kläger, welche das deutsche Gesetz vor das Bundesverfassungsgericht gebracht haben, wollen nun im nächsten Schritt in Brüssel gegen das europäische Regelwerk ankämpfen, das als Grundlage für die deutsche Gesetzgebung diente. Die EU-Richtlinie 2006/24/EG über die Vorratsspeicherung von Daten schreibt den Mitgliedstaaten der EU vor, entsprechende nationale Gesetzte zu verabschieden, welche die Telekommunikationsanbieter dazu verpflichten, Verbindungsdaten über einen Zeitraum von sechs Monaten zu speichern.

Es bleibt spannend!

Hier finden Sie die Pressemitteilung des Bundesverfassungsgerichts vom 02.03.2010

“Datenschutz ist Teil der Menschenwürde”

von Sascha Kuhrau
10. März 2010

So prägnant bringt es der Landesdatenschutzbeauftragte von Rheinland-Pfalz, Edgar Wagner in seinem heute (10.03.2010) veröffentlichten Tätigkeitsbericht 2008/2009 auf den Punkt (Zitat):

“Die Trends zur Nutzung des Internet für nahezu alle Lebensbereiche und zur Kommerzialisierung personenbezogener Daten haben sich mit atemberaubender Geschwindigkeit verstärkt. Spürbar wurde dies im Berichtszeitraum durch eine Häufung von Datenschutzproblemen im Bereich der Internet-Nutzung, hier vor allem im privatwirtschaftlichen Bereich. Außerdem bereitet die Verbreitung von Überwachungstechniken der unterschiedlichsten Art Sorge, von der Videoüberwachung über die RFID-Nutzung bis zur Vorratsdatenspeicherung. Das Datenschutzbewusstsein der Nutzer, aber auch der Anbieter ist nicht besonders ausgeprägt. Die Defizite sind groß und werden im Zuge der technologischen Entwicklung immer größer. Das kann nicht einfach achselzuckend hingenommen werden. Denn der Datenschutz ist Teil der Menschenwürde und gehört zu den Grundlagen unserer freiheitlichen Ordnung”

Weiterhin bemängelt er das Fehlen eines Arbeitnehmerdatenschutzgesetz. Zur Zeit erfahren die Daten von Arbeitnehmern und deren Schutz in § 32 Bundesdatenschutzgesetz (BDSG) nicht die erforderliche Aufmerksamkeit.

Doch auch die Privatwirtschaft bekommt für ihren oft laxen Umgang mit personenbezogenen Daten — gerade im Bereich der Auftragsdatenverarbeitung — einen Rüffel. Dies soll durch weitere Aufklärung und Kontrolle geändert werden.

Ein weiteres Ziel sei die Vernetzung der mit dem Datenschutz befassten Personen — den behördlichen und betrieblichen Datenschutzbeauftragten. Denn diesen kommt in der Umsetzung des Datenschutz eine immer bedeutendere Schlüsselposition zu.

Lesen Sie mehr auf den Seiten des Landesdatenschutzbeauftragen von Rheinland-Pfalz.

Wie bestelle ich den externen Datenschutzbeauftragten?

von Sascha Kuhrau
10. März 2010

Liegt die Notwendigkeit zur Bestellung eines Datenschutzbeauftragten für Ihr Unternehmen vor und haben Sie sich aufgrund der zahlreichen Vorteile für einen externen Datenschutzbeauftragten entschieden, dann sind einige Formalitäten zu beachten.

Sind Sie noch nicht sicher, ob das BDSG für Sie die Bestellung eines Datenschutzbeauftragten notwendig macht, dann sprechen Sie mich an. Ich unterstütze Sie gerne bei der Bewertung. Selbstverständlich stehe ich Ihnen aufgrund meiner bundesweiten Tätigkeit zeitnah als extener Datenschutzbeauftragter zur Verfügung.

Die Bestellung eines Datenschutzbeauftragten bedarf in jedem Fall der Schriftform. Der notwendige Schriftsatz für meine Bestellung als Ihr externer Datenschutzbeauftragter liegt im Haus vor und kann jederzeit — nach Ergänzung Ihrer Unternehmensangaben — zum Einsatz kommen.

Zusätzlich wird ein sog. Geschäftsbesorgungsvertrag / Dienstvertrag benötigt, der die Aufgaben, Kompetenzen, Verantwortlichkeiten, Haftung und das Zusammenspiel zwischen Ihrem Unternehmen und meiner Person als externem Datenschutzbeauftragten regelt. Hierfür gibt es ebenfalls eine geprüfte und bewährte Vorlage, die ich Ihnen bei einer Bestellung und Auftragsvergabe gerne zur Verfügung stelle — Sie sparen somit die Kosten für die Erstellung durch einen Anwalt.

Sind diese Formalitäten geklärt und erledigt, kann es ans Werk gehen.

Bitte haben Sie Verständnis dafür, daß ich diese Vorlagen nur für die Bestellung meiner Person als externen Datenschutzbeauftragten einsetze und nicht — auch nicht gegen Bezahlung — an Dritte veräußere.

[wpfilebase tag=‘file’ id=‘2’]

Externer vs. interner Datenschutzbeauftragter

von Sascha Kuhrau
9. März 2010
1 Kommentar

Ein externer Datenschutzbeauftragter hat die gleichen Aufgaben wie ein interner Datenschutzbeauftragter (DSB). Für ein Unternehmen jedoch von entscheidendem Vorteil: der externe Datenschutzbeauftragte hat eine andere Stellung und ist oftmals preiswerter.

Wegfall des erweiterten Kündigungsschutzes: im Gegensatz zu einem internen DSB verfügt der externe DSB über keinen gesetzlich festgeschriebenen erweiterten Kündigungsschutz. D.h. der Vertrag der externen Bestellung kann regelmäßige Kündigungsfristen vorsehen! Dahingegen geniesst der interne DSB während seiner Tätigkeit als interner DSB und ein Jahr darüberhinaus einen erweiterten Kündigungsschutz.

Verbesserte Haftung / Absicherung: während für den internen DSB in Haftungsfragen die sog. “betriebliche Veranlassung” gilt, kann in externer DSB für sein Handeln verantwortlich gemacht werden. Üblicherweise verfügt der externe DSB über eine dahingehend spezialisierte Betriebs- und Vermögensschadenshaftplicht.

Überschaubarer und transparenter Kostenfaktor: ein interner DSB ist in seiner Zeiteinteilung und Tätigkeit als DSB frei und weisungsungebunden. Die Kostenkontrolle für den Bereich Datenschutz und Datenschutzbeauftragter ist faktisch ausgehebelt. Anders verhält sich es sich beim Einsatz eines externen Datenschutzbeauftragen, mit dem das Unternehmen einen transparenten und nachvollziehbaren Vertrag über Aufgaben, Verantwortlichkeiten und Kosten schliessen. Oftmals ist der externe DSB für das Unternehmen die deutlich preiswertere Alternative.

(Kosten der) Weiterbildung / Erfüllung der gesetzlichen Anforderungen an die Fachkunde eines DSB: ein DSB — unabhängig ob intern oder extern — ist gehalten, sich neben der notwendigen Aneignung der Grundkenntnisse regelmäßig in Bezug auf aktuelle Gesetzesänderungen und Anwendungen fort- und weiterzubilden. Diese Kosten (Fortbildung, Reise, Übernachtung, Materialien) spart ein Unternehmen beim Einsatz eines externen Datenschutzbeauftragten. Dieser ist üblicherweise schon aus Gründen der Wettbewerbsfähigkeit stets up to date.

Vermeidung von Interessenskonflikten: da der externe DSB nicht im Unternehmen verankert ist, sind Interessenkonflikte mit anderen Bereichen und Themen nicht zu vermuten und unwahrscheinlich. Er kann daher seinen Aufgaben und Verpflichtungen unbefangen nachkommen.

Interidsziplinäres und unternehmensübergreifendes Know How: ein externer Datenschutzbeauftragter verfügt zumeist über das Know How aus mehreren Bereichen und Erfahrungen aus zahlreichen Tätigkeiten und Einsätzen, welches für ein Unternehmen durch seinen Einsatz verfügbar wird.

Immer noch nicht überzeugt? Sprechen Sie mich an!

[wpfilebase tag=‘file’ id=‘2’]

« Zurück
1
…
39
40
41
42
Weiter »