Bundesdatenschutzgesetz

Auskunft erteilen — aber richtig

von Sascha Kuhrau
14. September 2012
2 Kommentare

Jeder hat nach § 34 BDSG ein sog. Auskunftsrecht gegenüber Unternehmen und Behörden, welche Daten über einen gespeichert sind. Nimmt ein Betroffener dieses wahr, muss eine Auskunft vollständig, korrekt und zeitnah an den Anfragenden ergehen. Es drohen sonst Bußgelder bis zu 50.000 EUR nach § 43 BDSG.

Seit einiger Zeit wird das Recht auf Auskunft immer häufiger eingeklagt. Und die durch die Gerichte festgesetzten Streitwerte ziehen mit. Folge: höhere Kosten für das beklagte Unternehmen.

Das Auskunftsverlangen

§ 34 Bundesdatenschutzgesetz hat es für die angefragte Stelle in sich. Jeder Betroffene hat das Recht auf vollständige, richtige und zeitnahe Auskunft, welche personenbezogenen Daten über ihn in Ihrem Unternehmen gespeichert sind.

Anfragen nehmen zu

Sicher haben Sie es selbst schon festgestellt: die Auskunftsverlangen sind im Aufwärtstrend. Die Ursachen sind vielfältig. Verbraucher werden aufgrund zunehmender Berichterstattungen kritischer. Unzufriedene Kunden nutzen ihr Recht auf Auskunft als Art „Retourkutsche“. Manchmal ist es einfach nur Neugier.

Auskunftsrecht einklagbar?

Wie andere gesetzlich verbriefte Rechte ist der Auskunftsanspruch aus § 34 BDSG einklagbar. Ignoriert das angefragte Unternehmen den Auskunftswunsch, so steht dem Betroffenen der Weg zum Kadi offen.

Und wenn gar keine Daten über den Anfragenden vorliegen?

Das ist vollkommen unerheblich. In diesem Fall steht dem Betroffenen eine Information über genau diesen Sachverhalt zu.

Was besagt der Streitwert?

Der durch das Gericht festgesetzte Streitwert ist Grundlage für die Kostenermittlung. Da Sie als Unternehmer / Unternehmen im Streitfall bei Nichterteilen einer Auskunft unterliegen werden, ist der Streitwert von großem Interesse im Hinblick auf die zu zahlenden Gerichts– und Anwaltskosten.

Steigen die Streitwerte?

Von einem richtigen Trend kann zur Zeit noch nicht gesprochen werden. Waren jedoch in der Vergangenheit meist Streitwerte zwischen 500 und 700 EUR üblich, sind es mittlerweile beim AG Köln 1.500 EUR (AG Köln v. 08.03.2012, 139 C 283/1 ). Doch schon früher kam es durchaus zu Streitwerten von bis zu 4.000 EUR.

Noch steckt die gerichtliche Aufarbeitung von Datenschutzangelegenheiten in den Kinderschuhen — jedoch nimmt die Zahl zu.

Wie also auf ein Auskunftsverlangen reagieren?

Am einfachsten ist es, die Anfrage direkt an Ihren Datenschutzbeauftragten weiterzuleiten. Dieser weiß, was zu tun ist. Versuchen Sie keine eigenständige Beantwortung. Fehlerhafte, nicht vollständige und nicht zeitnah erteilte Auskünfte sind teuer. Sie haben noch keinen Datenschutzbeauftragten?

Und wenn der Anfragende direkt vor mir steht?

Vergewissern Sie sich von der Identität der Person. Erläutern Sie die Ihnen vorliegenden Daten in einem ruhigen Gespräch. Oftmals ist die Angelegenheit damit bereits erledigt. Geben Sie dabei jedoch keine Internas preis.

Wenn das nicht ausreicht?

Dann wird es Zeit für die Einschaltung Ihres Datenschutzbeauftragten, alternativ der Geschäftsleitung.

Nehmen Sie das Thema bitte nicht auf die leichte Schulter.

Nächste Übergangsfrist läuft aus, Bußgeldrisiko für Werbetreibende

von Sascha Kuhrau
28. August 201215. Oktober 2023

Zum 31.08.2012 läuft die Übergangsregelung für § 28 BDSG für Werbezwecke aus. Ab dem 01.09.2012 heißt es dann, personenbezogene Daten und die sogenannten “Listendaten” ausschließlich noch mit wirksamer Einwilligung für Werbezwecke zu nutzen. Laut dem Bußgeldkatalog des Bundesdatenschutzgesetzes können durchaus Beträge bis 300.000 Euro bei Nichteinhaltung fällig werden. Grund genug für alle Werbetreibenden, sich mit den aktuellen Regelungen auseinanderzusetzen.

Was sind Listendaten?

Die Definition liefert § 28 Absatz 3 BDSG: ” Darüber hinaus ist die Verarbeitung oder Nutzung personenbezogener Daten zulässig, soweit es sich um listenmäßig oder sonst zusammengefasste Daten über Angehörige einer Personengruppe handelt, die sich auf die Zugehörigkeit des Betroffenen zu dieser Personengruppe, seine Berufs‑, Branchen- oder Geschäftsbezeichnung, seinen Namen, Titel, akademischen Grad, seine Anschrift und sein Geburtsjahr beschränken, und die Verarbeitung oder Nutzung erforderlich ist”

Hier sollte gleich beachtet werden, dass weitere Angaben wie Telefon- und Faxnummern, Email-Adresse oder das vollständige Geburtsdatum nicht unter diese Definition fallen!

Betroffen sind ebenfalls Listendaten, die noch vor der BDSG Novelle vom 01.09.2009 erhoben wurden.

Was bedeutet das nun konkret?

Personenbezogene Daten, unabhängig ob Alt- oder Neubestand, wie Telefonnummer und Email-Adresse dürfen ab dem 01.09.2012 nur noch mit gültiger Einwilligung des Betroffenen zu Werbezwecken genutzt werden.

Eine elektronische Einwilligung muss durch den Werbetreibenden protokolliert werden und auf Anforderung nachweisbar sein. Hier gilt es, aktuelle Verfahrensweisen sorgfältig zu prüfen und anzupassen.

Gibt es Ausnahmen?

Der Gesetzgeber hat einige Ausnahmen vorgesehen, den Rahmen jedoch recht eng gestellt:

Für Werbung an Bestandskunden dürfen Listendaten ohne Einwilligung genutzt werden (Achtung: beachten Sie, was Listendaten konkrekt sind, siehe Definition weiter oben)
Listendaten aus allgemein zugänglichen Adress- und Branchenverzeichnissen dürfen ebenfalls ohne Einwilligung genutzt werden
Für berufsbezogene Werbung an eine berufliche Anschrift wird ebenfalls keine Einwilligung benötigt (postalisch)
Gemeinnützige Organisationen dürfen für Spendenaufrufe ebenfalls Listendaten ohne Einwilligung nutzen

Doch Achtung: diese Ausnahmen gelten nur für Briefwerbung. Für Telefon- und Email-Werbung wird die Einwilligung zwingend benötigt.

Tipps zur Umsetzung

Trennen Sie Altdaten von Neudaten, das erleichtert das Handling ungemein. Für Neudaten holen Sie selbstverständlich bereits heute die notwendige Einwilligung beim Betroffenen ein. Wollen Sie Altdaten nutzen, können Sie auf diese übersichtlich zurückgreifen und die fehlende Einwilligung nachholen.
Datensätze sollten generell mit den folgenden Merkmalen versehen werden: Datum des Zugangs, Datenherkunft und idealerweise die dazugehörige Zweckbindung
Vermeiden Sie pauschale Angaben in der Einwilligung
Fragen Sie doch einfach Ihren Datenschutzbeauftragten. Sie haben keinen? Fordern Sie Ihr Angebot komfortabel online an.

Wollen Sie mehr über die in 2009 angestossenen Änderungen des Bundesdatenschutzgesetzes erfahren? Dann finden Sie in unserem Partnerfachblog datenschutzbeauftragter-info.de eine gute Übersicht.

IT-Sicherheit in Unternehmen verbessern und für mehr Datenschutz sorgen

von Sascha Kuhrau
20. August 201215. Oktober 2023
2 Kommentare

Datenschutz und Datensicherheit

Datenschutz ist gesetzliche Vorschrift für Unternehmen aller Größen in Deutschland. So gibt es zwar einige Regelungen, wie z.B. die Bestellpflicht für einen sog. Datenschutzbeauftragten, die erst ab einer gewissen Mitarbeiterzahl greifen, doch das entbindet nicht von der Verpflichtung die übrigen Vorschriften im Unternehmen umzusetzen. Aufgrund des stetig zunehmenden Einsatzes von IT steigen sowohl die Ansprüche an Unternehmen als auch die Zahl der zu treffenden Schutzmaßnahmen durch das Unternehmen. Ohne ausreichende IT-Sicherheit ist der gesetzlich vorgeschriebene Datenschutz heute kaum mehr zu gewährleisten.

Klassische Brennpunkte

Ganz oben auf der Themenliste stehen nach wie vor Klassiker wie Passwort-Sicherheit oder auch die Backup-Strategie. Im Rahmen unserer Datenschutz-Audits sind immer wieder noch Kombinationen für den System-Login zu finden wie Benutzername = Vorname und Passwort = Nachname, sogar für Zugänge mit Administrator-Rechten. Aber auch die Rechte und Pflichten des Administrators wollen genau definiert und festgeschrieben sein. Ob der Leitsatz “Backup ist nur für Feiglinge” im Falle eines Datenverlusts wirklich weiterhilft? Ich wage es zu bezweifeln.

Neue Technologien und Verfahrensweisen

Doch neben diesen Dauerbrennern gilt es mit aktuellen Entwicklungen und Trends mitzuhalten. Nutzen Ihre Mitarbeiter eigene elektronischen Geräte für das Unternehmen wie z.B. Smartphones, Notebook oder Pads? Dann werden Sie nicht darum herumkommen, sich mit dem Begriff BYOD (Bring Your Own Device) auseinanderzusetzen. Denn so charmant das Mitbringen von eigener Hardware durch Mitarbeiter sein kann, z.B. durch den Kosteneinsparungseffekt, so riskant ist der Einsatz von nicht in die Sicherheitsmechanismen des Unternehmens eingebundenen Geräten im Hinblick auf Datensicherheit und Datenschutz.

Licht ins Dunkel bringen

Das Bundesministerium für Wirtschaft hat zur Unterstützung den IT-Sicherheitsnavigator im Web ins Leben gerufen. Hier können Unternehmen und Unternehmer zielgenau nach Branche und Fragestellung Hilfe in Form von Anleitungen, Formulierungsvorschlägen und Tipplisten finden.

Alternativ sprechen Sie doch einfach mit Ihrem Datenschutzbeauftragten? Sie haben keinen? Dann prüfen Sie, ob die gesetzliche Bestellpflicht für Ihr Unternehmen vorliegt. Der Gesetzgeber hat mit dem externen Datenschutzbeauftragten eine kostengünstige und transparente Möglichkeit geschaffen, dieser Verpflichtung nachzukommen -> Angebot anfordern. Doch selbst ohne Bestellpflicht stehen wir beratend zu den Themen Datensicherheit und Datenschutz für Ihr Unternehmen zur Verfügung. Sprechen Sie uns einfach an.

Unternehmen sicher machen, Fördermittel nutzen

Übrigens können Teile unserer Beratungsleistungen mit Fördermitteln aus dem ESF bezuschusst werden — nutzen Sie doch diese Gelegenheit, Ihr Unternehmen überprüfen zu lassen und sicherer zu machen.

Mit Einwilligung wäre das wohl nicht passiert

von Sascha Kuhrau
7. August 2012
4 Kommentare

Sicher haben Sie es in der Presse der letzten Wochen verfolgt: ein bekannter Autovermieter mit Sitz in Hamburg wurde zur Zahlung eines Bußgelds in Höhe von 54.000 Euro verpflichtet. Die zuständige Datenschutzbehörde nahm Anstoß an der Art und Weise der Umsetzung einer in der Branche üblichen Sicherungsmaßnahme hochwertiger Mietfahrzeuge mittels GPS Ortung. Erschwerend kam eine fehlende Regelung zur sog. Auftragsdatenverarbeitung nach § 11 BDSG mit dem eingesetzten Dienstleister hinzu.

Der hamburgische Landesdatenschutzbeauftragte Johannes Caspar äußerte sich dahingehend:

“Grundsätzlich ist die Motivation von Europcar nachvollziehbar. Die heimliche Ortung von Mietfahrzeugen und die heimliche Kontrolle der Mieter stellen jedoch einen schweren Eingriff in deren Persönlichkeitsrecht dar. Der Autovermieter hat es dadurch in der Hand, Bewegungsprofile seiner Kunden zu erstellen. Mit Hilfe der Ortungstechnik lässt sich nicht nur rekonstruieren, wer sich wann wo aufgehalten hat, sondern auch, wer zu welchem Zeitpunkt mit welcher Geschwindigkeit gefahren ist. Insbesondere durch die anlasslose Ortung werden die Mieter regelmäßig unter einen Generalverdacht gestellt.”

In der Pressemitteilung vom 17.07.2012 heißt es weiterhin:

“Da die Übermittlung der Ortungsdaten ohne Wissen und ohne Einwilligung der Mieter erfolgte, war sie ordnungswidrig. Daneben gab es zwischen der Europcar GmbH und der ausführenden Firma keinen Vertrag zur Auftragsdatenverarbeitung nach dem Bundesdatenschutzgesetz. Die Höhe des Bußgeldes wurde zudem maßgeblich davon beeinflusst, dass die Europcar GmbH dem Datenschutzbeauftragten anfänglich keine vollständigen Auskünfte erteilt und trotz Aufforderung das unzulässige Verhalten zunächst nicht beendet hatte.”

§4a BDSG definiert Form und Inhalt einer rechtswirksamen Einwilligungserklärung:

Erfordernis der Schriftform (Ausnahme: elektronische Einwilligung, an die genaue Vorgaben geknüpft sind)
Freiwilligkeit der Einwilligung
Genaue Zweckbeschreibung
Folgen der Nichterteilung
Optische Hervorhebung der Einwilligung

Pauschale Einwilligungen in der Form “Ich willige in die Nutzung meiner Daten zu jedem erdenklichen Zweck im Sinne des Unternehmens ein” sollten sich demnach mittlerweile überholt haben.

Das OLG Köln hat in seiner Entscheidung vom 17.06.2011, AZ: 6 U 8/11 eine durch eine Verbraucherschutzbehörde beanstandete Einwilligungserklärung inhaltlich und der Form nach geprüft und deren Wirksamkeit bestätigt. Es empfiehlt sich durchaus, die Begründung und Bewertung des OLG vor dem Erarbeiten einer eigenen Einwilligungserklärung zu prüfen.

Hilfreich ist ebenfalls, sich in die Position des Einwilligenden zu versetzen. Dieser muss klar erkennen:

Handelt es sich um eine Einwilligung?
Warum soll ich einwilligen?
Welche meiner personenbezogenen Daten sind konkret betroffen?
Für welchen konkreten Verwendungszweck soll ich einwilligen?
Welche Konsequenzen hat es für mich, wenn ich nicht einwillige?
An wen gibt das Unternehmen meine Daten weiter und warum?

Vermeiden Sie dabei auf jeden Fall allgemeine Formulierungen! In eine Einwilligung sollte ausreichend Zeit und Planung investiert werden. Sind die konkreten Zwecke nicht ausreichend und umfänglich definiert, so entfällt aufgrund der im BDSG festgeschriebenen Zweckbindung jegliche weitere Verwendungsmöglichkeit.

Übrigens: Ihr Datenschutzbeauftragter kennt sich mit diesem Thema bestens aus. Sprechen Sie ihn doch einfach rechtzeitig an. Sie haben keinen? Dann fordern Sie noch heute Ihr Angebot an. Er unterstützt Sie auch bei der Umsetzung einer datenschutzkonformen Auftragsdatenverarbeitung.

Neben dem Bundesdatenschutzgesetz spielen je nach Fall weitere Gesetze bei der Erstellung und Umsetzung einer (elektronischen oder schriftlichen) Einwilligung eine Rolle. Mehr erfahren Sie in unserem Partnerblog.

Irrtümer im Datenschutz (Teil 3): Wir haben keine schützenswerten Daten im Unternehmen

von Sascha Kuhrau
3. August 2012
4 Kommentare

“Wir haben keine personenbezogenen Daten im Unternehmen, daher betrifft uns das Bundesdatenschutzgesetz gar nicht” — diese Aussage trifft man immer wieder z.B. im Rahmen von Informationsveranstaltungen oder Kundengesprächen. Im ersten Moment ist man gerade bei reinen B2B-Unternehmen geneigt, zuzustimmen. Doch schnell regen sich Zweifel, denn nur wenige Unternehmen kommen ohne Mitarbeiter aus.

§ 3 BDSG definiert den Begriff der personenbezogenen Daten:

“(1) Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener).”

Damit wäre bereits festgestellt, das personenbezogene Daten im Unternehmen alleine schon durch die Beschäftigung von Mitarbeitern vorliegen. Zieht man jetzt noch die Daten zu Kunden, Lieferanten, Dienstleistern und Interessenten hinzu, wird schnell klar: Es gibt eigentlich immer personenbezogene Daten im Unternehmen.

Bleiben wir jedoch bei den Mitarbeiterdaten unseres Beispiels und in § 3 BDSG:

“(9) Besondere Arten personenbezogener Daten sind Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben.”

Mitarbeiterdaten sind demnach nicht nur reine personenbezogene Daten, sondern nach dieser Definition sogar eine besondere Art personenbezogener Daten (enthalten sie doch einige der og. Merkmale).

§ 3 BDSG definiert im weiteren Verlauf den Begriff “Beschäftigte” detailliert:

“(11) Beschäftigte sind:

Arbeitnehmerinnen und Arbeitnehmer,
zu ihrer Berufsbildung Beschäftigte,
Teilnehmerinnen und Teilnehmer an Leistungen zur Teilhabe am Arbeitsleben sowie an Abklärungen der beruflichen Eignung oder Arbeitserprobung (Rehabilitandinnen und Rehabilitanden),
in anerkannten Werkstätten für behinderte Menschen Beschäftigte,
nach dem Jugendfreiwilligendienstegesetz Beschäftigte,
Personen, die wegen ihrer wirtschaftlichen Unselbständigkeit als arbeitnehmerähnliche Personen anzusehen sind; zu diesen gehören auch die in Heimarbeit Beschäftigten und die ihnen Gleichgestellten,
Bewerberinnen und Bewerber für ein Beschäftigungsverhältnis sowie Personen, deren Beschäftigungsverhältnis beendet ist,
Beamtinnen, Beamte, Richterinnen und Richter des Bundes, Soldatinnen und Soldaten sowie Zivildienstleistende.”

Das Bundesdatenschutzgesetz spendiert in seiner aktuellen Fassung den Beschäftigten sogar einen eigenen Paragraphen:

§ 32 Datenerhebung, ‑verarbeitung und ‑nutzung für Zwecke des Beschäftigungsverhältnisses

“(1) Personenbezogene Daten eines Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung erforderlich ist. Zur Aufdeckung von Straftaten dürfen personenbezogene Daten eines Beschäftigten nur dann erhoben, verarbeitet oder genutzt werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass der Betroffene im Beschäftigungsverhältnis eine Straftat begangen hat, die Erhebung, Verarbeitung oder Nutzung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse des Beschäftigten an dem Ausschluss der Erhebung, Verarbeitung oder Nutzung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind.

(2) Absatz 1 ist auch anzuwenden, wenn personenbezogene Daten erhoben, verarbeitet oder genutzt werden, ohne dass sie automatisiert verarbeitet oder in oder aus einer nicht automatisierten Datei verarbeitet, genutzt oder für die Verarbeitung oder Nutzung in einer solchen Datei erhoben werden.

(3) Die Beteiligungsrechte der Interessenvertretungen der Beschäftigten bleiben unberührt.”

Womit feststeht:

Beschäftigt ein Unternehmen Mitarbeiter, liegen personenbezogene Daten vor.
Aufgrund der vorliegenden Daten eines Mitarbeiters handelt es sich dabei sogar um besondere Arten personenbezogener Daten, die einen erhöhten Schutzstatus besitzen.
Das Bundesdatenschutzgesetz legitimiert das Erheben, Verarbeiten und Nutzen der Mitarbeiterdaten zum Zwecke des Beschäftigungsverhältnisses.
Das Bundesdatenschutzgesetz findet auf Unternehmen mit Mitarbeitern Anwendung.
Es bleibt zu prüfen, ob die gesetzliche Bestellpflicht für einen Datenschutzbeauftragten zusätzlich vorliegt.

Unsicher in Bezug auf die weitere Vorgehensweise? Dann sprechen Sie uns einfach an. Wir helfen schnell, unbürokratisch und unkompliziert.

Lesen Sie hier die anderen Teile der Serie “Irrtümer im Datenschutz”:

Irrtümer im Datenschutz (Teil 1): Datenschutz betrifft mein Unternehmen nicht

von Sascha Kuhrau
12. Juli 2012

Irrtümer im Datenschutz

Willkommen zum ersten Teil unserer Serie “Irrtümer im Datenschutz”. Datenschutz ist in aller Munde, doch kaum jemand kennt das dahinterstehende Bundesdatenschutzgesetz (BDSG). Dabei ist das Datenschutzgesetz auf Bundesebene nicht mehr das Jüngste, existiert es doch bereits seit 1977.

Erstaunlicherweise herrscht über das Thema Datenschutz in der Praxis meist ein risikoreiches Halbwissen. Die Existenz oder die Inhalte des BDSG sind selten konkret bekannt, Aufklärung seitens des Gesetzgebers zu diesem Thema erfolgt bedauerlicherweise ebenfalls keine. Unternehmen und Unternehmer sind auf sich alleine gestellt, wenn es um die rechtliche Auseinandersetzung mit dem Thema Datenschutz und dessen konkrete (vorgeschriebenen) Maßnahmen im Betrieb geht. Was Wunder, wenn Datenschutz im Tagesgeschäft einen geringen Stellenwert einnimmt.

Es kann teuer werden

Im Jahr 2009 hat der Gesetzgeber die Strafen und Sanktionen für Nichteinhaltung der gesetzlichen Datenschutzvorschriften durch Unternehmen verschärft. Konkret werden diese in § 43 BDSG Bußgeldvorschriften und § 44 BDSG Strafvorschriften ähnlich dem aus der Straßenverkehrsordnung bekannten Bußgeldkatalog aufgelistet. Neben Auflagen durch die Landesdatenschutzbehörden können Unternehmer und Unternehmen schnell einem Bußgeldrisiko von bis zu 300.000 Euro ausgesetzt sein — und das sogar ganz ohne Datenpanne. Unwissenheit schützt auch hier vor Strafe nicht.

“Datenschutz und Datenschutzgesetz betreffen mein Unternehmen überhaupt nicht”

Weit gefehlt, denn in jedem Unternehmen wird für gewöhnlich mit personenbezogene Daten hantiert (der Gesetzgeber spricht von Erheben, Verarbeiten und Nutzen). Sind es nicht die Daten von Kunden und Geschäftspartnern, so existieren doch zumeist noch Mitarbeiterdaten im Unternehmen — und diese gelten rechtlich als “sensitiv” und damit besonders schützenswert. Doch schauen wir auf das Bundesdatenschutzgesetz:

Bereits § 1 BDSG Zweck und Anwendungsbereich des Gesetzes macht klar, was das Datenschutzgesetz schützt und wen es betrifft.

(1) Zweck dieses Gesetzes ist es, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird.

(2) Dieses Gesetz gilt für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch

3. nicht-öffentliche Stellen, soweit sie die Daten unter Einsatz von Datenverarbeitungsanlagen verarbeiten, nutzen oder dafür erheben oder die Daten in oder aus nicht automatisierten Dateien verarbeiten, nutzen oder dafür erheben, es sei denn, die Erhebung, Verarbeitung oder Nutzung der Daten erfolgt ausschließlich für persönliche oder familiäre Tätigkeiten.

Betrachten wir die Definition nicht-öffentlicher Stellen:

§ 2 Öffentliche und nicht-öffentliche Stellen

(4) Nicht-öffentliche Stellen sind natürliche und juristische Personen, Gesellschaften und andere Personenvereinigungen des privaten Rechts, soweit sie nicht unter die Absätze 1 bis 3 fallen. Nimmt eine nicht-öffentliche Stelle hoheitliche Aufgaben der öffentlichen Verwaltung wahr, ist sie insoweit öffentliche Stelle im Sinne dieses Gesetzes.

Somit ist klar, die Annahme “Datenschutz und Datenschutzgesetz betreffen mein Unternehmen überhaupt nicht” gehört ins Reich der Mythen und Irrtümer! Sollten Sie bisher mit Ihrem Unternehmen (auch als Ein-Mann-Betrieb) nach dieser Fehleinschätzung agiert haben, lohnt ein Blick in § 43 ff BDSG zwecks Identifikation der Bußgeldrisiken, denen Sie sich und Ihrem Unternehmen ausgesetzt haben.

Licht am Horizont

Bevor Sie sich nun selbst in die juristischen Untiefen des Bundesdatenschutzgesetzes stürzen und Aktivitäten entwickeln, fragen Sie einfach den Fachmann — a.s.k. Datenschutz. Mittels standardisierter Prüf- und Auditierungsverfahren identifizieren wir gemeinsam mit Ihnen schnell, unbürokratisch und zuverlässig die notwendigen Maßnahmen, die für eine gesetzeskonforme Umsetzung des Datenschutzes in Ihrem Unternehmen sorgen. Selbstverständlich unterstützen wir Sie ebenfalls aktiv bei der internen Umsetzung und betreuen Sie im Anschluß als sog. externer Datenschutzbeauftragter, wenn die Überprüfung das Vorliegen einer Bestellpflicht ergibt.

Vertrauen Sie langjähriger Erfahrung aus der bundesweiten Beratung und Betreuung kleiner und großer Unternehmen aus den unterschiedlichsten Branchen und profitieren Sie von diesem übergreifenden Know-How.

Nutzen Sie einfach unseren Rückruf-Service, wir melden uns garantiert! Oder fordern Sie doch gleich Ihr unverbindliches Angebot für einen externen Datenschutzbeauftragten an.

Lesen Sie hier die anderen Teile der Serie “Irrtümer im Datenschutz”:

Bildnachweis: aboutpixel.de / Dead End © Nachtschreck

SCHUFA-Plan ruft Politik auf den Plan: Stopp der Facebook-Schnüffelei gefordert

von Sascha Kuhrau
7. Juni 2012
3 Kommentare

Ungläubiges Augenreiben

Ob dieser Meldung reibt man sich unwillkürlich die Augen und staunt: Die wohl bekannteste Auskunftei in Deutschland — SCHUFA — plant, Nutzer in den sozialen Netzwerken wie Facebook, Twitter und Xing auszuspionieren und die Schnüffel-Ergebnisse in die Bewertung der Kreditwürdigkeit des Einzelnen mit einfließen zu lassen. Dies vermeldete heute Nacht NDR Info. Sogenannte “Projektideen” gehen sogar noch weiter (Auszug NDR Info):

Welche Informationen können aus “nicht-öffentlichen Quellen” (dark web) gezogen werden?
Generierung von elektronischen Identifizierungsdaten (e‑mail-Adressen, e‑Postbriefadresse, facebook-ID …)
Relationship Extraction, um Beziehungen zwischen Entitäten zu gewinnen (Person/Person; Person/Unternehmen; Unternehmen/Unternehmen). Mögliche Quellen: Nachrichten, Blogs, Wikipedia, soziale Netzwerke …
VIP-Identifikation: Automatisierte Identifikation von Personen öffentlichen Interesses, Verbraucherschützern und Journalisten
Ad-hoc-Sentiment Analyse für Personen: Spezialisierte Personensuche, die neben strukturierten Informationen auch zuvor gesammelten Textdaten sowie ad-hoc-angefragte Textdaten nutz, um ein aktuelles Meinungsbild zu der Person zu ermitteln. Mögliche Quellen: Blogs, Twitter, Nachrichtenseiten, Unternehmenshomepage, Aktienkurs …
Jeweils Korrelationen zur Bonität untersuchen

Zeige mir Dein soziales Umfeld und ich entscheide über Deine Kreditwürdigkeit

Bei Datenschützern und Politikern stößt das Projekt der SCHUFA auf heftige Kritik. So äußert Justizministerin Sabine Leutheusser-Schnarrenberger gegenüber SPIEGEL Online “Es darf nicht sein, dass Facebook-Freunde und Vorlieben dazu führen, dass man zum Beispiel keinen Handy-Vertrag abschließen kann.” FDP-Fraktionschef Rainer Brüderle wird gegenüber SPIEGEL Online sogar noch deutlicher: “Die Pläne der Schufa gehen zu weit. Soziale Netzwerke gehören wie der Freundeskreis zur Privatsphäre und dürfen daher nicht von der Schufa angezapft werden.”

Die FAZ berichtet, der schleswig-holsteinische Datenschutzbeauftragte Thilo Weichert nahm in einem Telefonat mit NDR Info wie folgt Stellung: “Hinter einem solchen Forschungsprojekt steckt immer eine Absicht. Sollte die Schufa die gewonnenen Daten tatsächlich einsetzen, wäre das eine völlig neue Dimension.” Weiterhin äußerte er große Zweifel, ob eine solche Umsetzung der Projektideen rechtlich überhaupt haltbar sei.

Theorie und Wirklichkeit

Aktuell rühmt sich die SCHUFA auf ihrer eigenen Webseite (Punkt 4.8), keine Regio- oder Geodaten (also das soziale Wohnumfeld) des Verbrauchers zur Bewertung und Berechnung des Scorewerts heranzuziehen. Wird aus der Projektidee Wirklichkeit, würde die SCHUFA damit sehr viel weiter gehen, als sie ihren Wettbewerbern heute selbst vorwirft. Edda Castelló von der Verbraucherzentrale Hamburg nutzt gegenüber der FAZ bewußt den Begriff “Grenzüberschreitung” für ein solches Vorhaben.

Reaktionen im Netz

Die Netzwelt reagiert sehr unterschiedlich. Kommentare von “Na und?” über “Geschieht den Facebook-Nutzern ganz recht” bis hin zu “Der Untergang der Demokratie” finden sich zuhauf. Findige Nutzer bieten derweil einkommensstarke Facebook-Freundschaften zum Verkauf an zwecks Verbesserung des zukünftigen Score-Werts.

Schutzmöglichkeiten

SPIEGEL Online gibt aktuell Tipps, wie das eigene Facebook-Profil weitestgehend abgeschottet werden kann, um nicht allzu freizügige Einblicke zu gewähren. Das mehr zufällig bekanntgewordene Beispiel der SCHUFA, auch wenn es sich nur um eine Projektidee handeln soll, zeigt die Bedeutung des sorgfältigen Umgangs mit den eigenen personenbezogenen Daten bei der Nutzung des Web 2.0. Es bleibt spannend.

Wie datenschutzbeauftragter-info.de so treffend anmerkt, vergibt die SCHUFA ein eigenes Datenschutz-Siegel. Wird hier der Bock zum Gärtner gemacht? 🙂

Umsetzung der Zutrittskontrolle im Datenschutz

von Sascha Kuhrau
4. Mai 2012

Wie sieht die Zutrittskontrolle in Ihrem Unternehmen aus?

In der Anlage zu § 9 Bundesdatenschutzgesetz (BDSG) steht die lapidare Vorschrift:

“Werden personenbezogene Daten automatisiert verarbeitet oder genutzt, ist die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Dabei sind insbesondere Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind,

1. Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren (Zutrittskontrolle)”

Was heisst das genau?

Sie sind verpflichtet, ausreichende Schutzmaßnahmen zu ergreifen, um unbefugten Zutritt zu Ihren Räumlichkeiten zu verhindern. Die Zutrittskontrolle bildet quasi die äußerste Schutzschicht von mehreren Schichten (Zwiebelprinzip), um die personenbezogenen Daten in Ihrem Unternehmen vor Verlust, Zerstörung oder Mißbrauch zu schützen. Dabei ist es vollkommen unerheblich, ob es sich um Daten von Mitarbeitern, Kunden oder Lieferanten handelt.

Welche Schutzmaßnahmen können das sein?

Das fängt mit simplen Dingen an wie Sicherheitsverglasung oder Sicherheitsschließanlagen (selbstverständlich mit aktueller Übersicht über Schlüssel-Ausgabe und Rücknahme). Technische Maßnahmen können beispielsweise sein:

Alarmanlage
Glasbruchmelder
Zugangskontrollsysteme wie Chipkarten oder biometrische Zugangssperren (je nach Schutzstufe der Daten) oder
Videoüberwachung (wichtig: Vorabkontrolle nicht vergessen).

Es steht eine breite Palette an organisatorischen und technischen Schutzmaßnahmen zur Auswahl.

Müssen diese alle umgesetzt sein?

Selbstverständlich machen nicht alle Maßnahmen (einzeln oder in Kombination) für jedes Unternehmen Sinn. In Abhängigkeit der Schutzstufe der betroffenen personenbezogenen Daten sowie der vorhandenen Gegebenheiten sollten die Maßnahmen ausgewählt und kombiniert werden, die ein angemessenes und möglichst hohes Schutzniveau sicherstellen. Sind Ihre Räumlichkeiten lediglich mit Einfachverglasung und dünnen Holztüren nach außen gesichert, wären Alarmanlage und Glasbruchmelder sicher ratsam. Stehen moderne Sicherheitsverglasung und Schließanlagen zur Verfügung und wird das Gelände zusätzlich durch einen Wachdienst gesichert, kann eine Videoüberwachungsmaßnahme bereits wieder unangemessen sein.

Was tun?

Fragen Sie doch einfach Ihren Datenschutzbeauftragten! Dieser weiß üblicherweise, welche Maßnahmen zum Schutz personenbezogener Daten im Rahmen der sog. Zutrittskontrolle zur Verfügung stehen und welche für das notwendige Schutzniveau in Ihrem Unternehmen notwendig sind. Sie haben keinen Datenschutzbeauftragten? Kein Problem, fragen Sie uns — a.s.k. Datenschutz.

Im Rahmen einer Vor-Ort-Begehung überprüfen wir das benötigte und das vorhandene Schutzniveau. Sie erhalten eine Liste mit Empfehlungen, wie Sie die rechtlichen Vorschriften der Zutrittskontrolle angemessen umsetzen können. Bei der Gelegenheit prüfen wir für Sie gleich kostenfrei mit, ob Ihr Unternehmen möglicherweise der gesetzlichen Bestellpflicht für einen Datenschutzbeauftragten unterliegt. Wenn ja, bieten wir Ihnen hierfür ebenfalls gerne preiswerte Unterstützungsmöglichkeiten an.

Welchen Vorteil hat mein Unternehmen von der Zutrittskontrolle?

Allen voran steht die Erfüllung der gesetzlichen Vorschriften und Auflagen, die personenbezogenen Daten in Ihrem Unternehmen ausreichend zu schützen. Eine dieser Auflagen haben Sie mit korrekt umgesetzter Zutrittskontrolle erfüllt.

Aus anderen Maßnahmen können zusätzliche Mehrwerte für Ihr Unternehmen entstehen. Moderne Zutrittskontrollsysteme sind richtige Allrounder! Vorausgesetzt Sie wählen den passenden Anbieter, der auf Ihre Bedürfnisse eingeht und eventuell vorhandene Systeme integrieren kann. So können elektronische Zutrittskontrollsysteme nicht nur die Berechtigungen verwalten, welche Person wann zu welchen Unternehmensbereichen Zutritt erhält. Elektronische Zeiterfassung, Abgleich mit vorhandenen Dienstplänen, Regelung der Zufahrt zu Tiefgaragen / Parkplätzen, Erfassung und Abrechnung von Zusatzleistungen wie Kantine, Getränke-Automaten, Steuerung elektronischer Tresore (z.B. für besonders sensible Daten oder Datensicherungen) stellen eine Auswahl an zusätzlichen Leistungsmöglichkeiten eines modernen Zutrittskontrollsystems dar.

Einen kompetenten Ansprechpartner für solche Lösungen finden Sie in der LNI Ingenieurgesellschaft für Kommunikationstechnik mbH aus Wendelstein. Die LNI GmbH ist seit Jahren zuverlässiger Anbieter, der die sensiblen datenschutzrechtlichen Aspekte solcher technischen Lösungen kennt und im Sinne Ihres Unternehmens ernst nimmt.

Reicht nicht der Hund auf dem Artikelbild als Zutrittskontrolle?

Als ein Baustein der Zutrittskontrolle sicherlich, als einzige Maßnahme dann eher nicht 🙂

Auch eine Art von “Zielgruppe” — Kunden im Visier heimlicher Videoüberwachung bei ALDI Süd

von Sascha Kuhrau
2. Mai 2012

Das Nachrichtenmagazin DER SPIEGEL brachte den Stein ins Rollen, weitere Berichterstattungen in TV, Radio, Print und Web folgten. Nach Informationen, die dem Magazin vorliegen, gerieten bevorzugt Frauen in kurzen Röcken oder mit tief Einblick gewährenden Tops ins Visier heimlicher Videoüberwachungsmaßnahmen durch einige Filialleiter in Frankfurt / Main, Dieburg und weiteren hessischen Standorten. Doch damit nicht genug. In “lohnenswerten” Fällen wurden die ahnungslosen Kundinnen und Kunden herangezoomt, Videosequenzen auf CD gebrannt und untereinander getauscht.

ALDI Süd schreibt lt. Spiegel in einer Stellungnahme, dass

“das Fehlverhalten eines einzelnen Mitarbeiters nicht ausgeschlossen werden könne. Sollte ein missbräuchlicher Umgang den Vorgesetzten bekannt werden, wird ein solches Vorgehen umgehend untersucht, unterbunden und zieht entsprechende disziplinarische Konsequenzen nach sich.”

Trotz des Videoüberwachungsskandals eines Wettbewerbers im Jahr 2008 sollen weiterhin erneut Kassenbereiche inkl. der Eingabefelder der EC-Terminals auf Aufnahmen zu sehen sein. Mobile Minikamera-Anlagen auch in Bereichen ohne Kundenzutritt sowie fehlende Hinweisschilder runden den sorglosen Umgang des Discounters mit dieser zu Recht per Gesetz restriktiv zu handhabenden Maßnahme ab.

Was sagt denn das Bundesdatenschutzgesetz (BDSG) dazu?

Das Bundesdatenschutzgesetz stellt hohe Anforderungen an die Durchführung von Videoüberwachungsmaßnahmen. Diese sind zwar nicht verboten, jedoch ist es mit Berufung auf das eigene Hausrecht nicht getan. Für weiterführende Informationen empfehlen wir diese Beiträge

Eigener Blogbeitrag: Videoüberwachung — umsichtig einsetzen, Konflikte vermeiden
Externer Blogbeitrag: Überwachung am Arbeitsplatz: Videoüberwachung vs. Datenschutz

Planen Sie die Einführung von Videoüberwachung in Ihrem Unternehmen? Fragen Sie rechtzeitig Ihren Datenschutzbeauftragten. Sie haben keinen? Dann sprechen Sie uns an.

Datenschutz in der Anwaltskanzlei

von Sascha Kuhrau
1. Mai 2012
1 Kommentar

Update vom 03.05.2011

Mit Beschluss vom 20.08.2010 unter dem Aktenzeichen 2 Ss 23/07, 1 Ws (B) 51/07 — 2 Ss 23/07 hat das Kammergericht Berlin festgestellt, daß die Bestimmungen der BRAO keine “bereichsspezifischen Sonderregelungen” im Sinne des § 1 Absatz 3 Satz 1 BDSG darstellen. Die BRAO enthalte lediglich berufsrechtliche Bestimmungen, deren Zweck nicht darin bestehe, die Daten von Prozessgegnern oder von außenstehenden Personen zu schützen. Das sei vielmehr Sache des BDSG.

Das BDSG berühre jedoch nicht die gesetzlichen Geheimhaltungspflichten. Zu diesen Pflichten gehört nach Auffassung des Gerichts auch die Geheimhaltungspflicht des Rechtsanwalts.

Dies bedeutet, daß Rechtsanwälte demnach den gesetzlichen Bestimmungen des BDSG unterworfen sind, woran die Kammer in ihrer ausführlichen Begründung keinen Zweifel ließ. Es gilt nun für Anwälte, die für sie zutreffenden Punkte des BDSG in ihrer Kanzlei umzusetzen (siehe unten)

Originalartikel vom 12.11.2010

In Gesprächen mit Anwälten, aber auch mit Steuerberatern trifft man häufig auf das Argument, die Regelungen des Bundesdatenschutzgesetz (BDSG) würden die Kanzlei oder den Anwalt nicht betreffen, da es eigene Regelungen zur Verschwiegenheit und Vertraulichkeit gäbe.

Das Bundesdatenschutzgesetz sieht hier klar vor, das für Sachverhalte, die durch kein bereichspezifisches Recht explizit geregtl werden, die (allgemeineren) Regelungen des Bundesdatenschutzgesetzes zum Tragen kommen. Dazu gehören insbesondere Punkte wie

Verfahrensverzeichnisse
Datenschutzregelungen
Nutzungsrichtlinien
IT Sicherheit
Backup- und Recovery-Strategien
Verschlüsselung und Signatur
Bestellpflicht eines Datenschutzbeauftragten
Auftragsdatenverarbeitung externe Dienstleister z.B. Fernwartung etc.

Die Brisanz des Themas, u.a. die mit Verstößen gegen das BDSG verbundenen Bußgeldrisiken hat der Deutsche Anwaltverein in seiner Depeche 2010–42 aufgegriffen und zusätzlich eine Checkliste mit Empfehlungen zur Umsetzung in der Kanzlei herausgegeben. Hierin verweist der DAV auf die Möglichkeit der Bestellung eines externen Datenschutzbeauftragten (bei vorliegender Bestellpflicht), aber auch auf die Inanspruchnahme eines externen Datenschutzberaters für die Sicherstellung der notwendigen Umsetzungen und Formulierungen.

Diese Leistungen können Sie als Anwalt oder Kanzlei jederzeit bei mir fachgerecht und kostengünstig in Anspruch nehmen. Gerne unterbreite ich Ihnen hierzu ein Angebot.

Depeche 2010–42 des DAV
Checkliste Datenschutz des DAV

Hilfreiche Links

Wollen Sie die Risiken aus dem Bundesdatenschutzgesetz für Ihr Unternehmen minimieren? Eine passende Lösung finden Sie sicher in unserem Leistungsangebot.
Unsicher, ob für Ihr Unternehmen die gesetzliche Bestellpflicht für einen (externen) Datenschutzbeauftragten vorliegt? Die Antwort gibt unser Datenschutz-Quick-Check, siehe Leistungen.
Sie wollen eine unabhängige Prüfung, wie gut es um Datenschutz und Datensicherheit in Ihrem Unternehmen bestellt ist? Kein Problem mit unseren Leistungen.
Schulungsbedarf für Ihre Mitarbeiter? Zusätzliche Trainings und Workshops rund um Datenschutz und Datensicherheit? Erfahren Sie mehr über unsere Schulungen und Seminare.
Anleitungen, Ratgeber und Links, die das tägliche Arbeiten erleichtern und helfen können, Datenpannen zu vermeiden, finden Sie in der Rubrik Anleitungen / Ratgeber.

« Zurück
1
2
3
4
5
6
…
11
Weiter »