.. aber oftmals ist gar nicht so klar, was damit eigentlich gemeint ist. Ein Unternehmen spricht in Werbekampagnen massiv Privatkunden an, persönliche Daten und Dokumente doch einfach in der Cloud zu speichern, um “in”, “hip” und “trendy” zu sein. Andere Anbieter richten sich mit etwas gezielteren Informationen und Leistungsbeschreibungen an Unternehmen und Unternehmer.
Neben der ganzen Verwirrung um die Definition beflügeln weitere Verkaufsargumente wie Überall-Zugriff und Kosteneinsparpotentiale die Phantasie. Darüber geraten die datenschutzrechtlichen Aspekte und Notwendigkeiten einer solchen Outsourcing-Lösung schnell außer Acht.
Denn oftmals wird vergessen: Cloud Computing ist nach deutschem Datenschutzrecht klassische Auftragsdatenverarbeitung nach § 11 BDSG. Und diese bedarf einiger Voraussetzungen, die vor Inbetriebnahme umzusetzen und einzuhalten sind. Zuwiderhandlungen können nach § 43 BDSG mit Bußgeldern bis 50.000 EUR belegt werden. Da ist die Kosteneinsparung schnell wieder aufgezehrt.
Drei Artikel kann ich zur vertiefenden Lektüre wärmstens empfehlen:
“Herausforderung Cloud Computing” von Guido Strunck
Sie wollen mit Ihrem Unternehmen selbst in die Cloud? Dann binden Sie Ihren Datenschutzbeauftragten frühzeitig ein. Sie haben noch keinen Datenschutzbeauftragten? Dann wird es Zeit, sprechen Sie mich an.
Hilfreiche Links
Wollen Sie die Risiken aus dem Bundesdatenschutzgesetz für Ihr Unternehmen minimieren? Eine passende Lösung finden Sie sicher in unserem Leistungsangebot.
Unsicher, ob für Ihr Unternehmen die gesetzliche Bestellpflicht für einen (externen) Datenschutzbeauftragten vorliegt? Die Antwort gibt unser Datenschutz-Quick-Check, siehe Leistungen.
Sie wollen eine unabhängige Prüfung, wie gut es um Datenschutz und Datensicherheit in Ihrem Unternehmen bestellt ist? Kein Problem mit unseren Leistungen.
Schulungsbedarf für Ihre Mitarbeiter? Zusätzliche Trainings und Workshops rund um Datenschutz und Datensicherheit? Erfahren Sie mehr über unsere Schulungen und Seminare.
Anleitungen, Ratgeber und Links, die das tägliche Arbeiten erleichtern und helfen können, Datenpannen zu vermeiden, finden Sie in der Rubrik Anleitungen / Ratgeber.
Bundesweite Unterstützung für Position des ULD
Am 08.12.2011 trat der sog. “Düsseldorfer Kreis”, ein Zusammenschluss der deutschen Datenschutzbehörden zusammen. Tags darauf folgte eine entsprechende Pressemeldung. Bundesweit stellen sich die Landesdatenschutzbehörden hinter die Position des ULD (Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein), wonach der Einsatz des sog. “Gefällt mir”-/Like-Buttons, sog. social plugins sowie von Facebook Fanpages gegen deutsches Datenschutzrecht verstößt.
Im Klartext heißt es im Beschluss der obersten Aufsichtsbehörden:
“In Deutschland ansässige Unternehmen, die durch das Einbinden von Social Plugins eines Netzwerkes auf sich aufmerksam machen wollen oder sich mit Fanpages in einem Netzwerk präsentieren, haben eine eigene Verantwortung hinsichtlich der Daten von Nutzerinnen und Nutzern ihres Angebots. Es müssen zuvor Erklärungen eingeholt werden, die eine Verarbeitung von Daten ihrer Nutzerinnen und Nutzer durch den Betreiber des sozialen Netzwerkes rechtfertigen können. Die Erklärungen sind nur dann rechtswirksam, wenn verlässliche Informationen über die dem Netzwerkbetreiber zur Verfügung gestellten Daten und den Zweck der Erhebung der Daten durch den Netzwerkbetreiber gegeben werden können.
Anbieter deutscher Websites, die in der Regel keine Erkenntnisse über die Datenverarbeitungsvorgänge haben können, die beispielsweise durch Social Plugins ausgelöst werden, sind regelmäßig nicht in der Lage, die für eine informierte Zustimmung ihrer Nutzerinnen und Nutzer notwendige Transparenz zu schaffen. Sie laufen Gefahr, selbst Rechtsverstöße zu begehen, wenn der Anbieter eines sozialen Netzwerkes Daten ihrer Nutzerinnen und Nutzer mittels Social Plugin erhebt. Wenn sie die über ein Plugin mögliche Datenverarbeitung nicht überblicken, dürfen sie daher solche Plugins nicht ohne weiteres in das eigene Angebot einbinden.”
Zur Vorgeschichte
Im August 2011 hat das ULD ausgewählte Stellen in Schleswig-Holstein auf Basis dieser Rechtsauffassung aufgefordert, auf “Gefällt mir”-/Like-Buttons und Fanpages zu verzichten. Gegen diese Anordnungen wurde Widerspruch eingelegt, das ULD rechnet mit Klageerhebung noch im Dezember 2011. Den kompletten Ablauf mit zahlreichen weiteren Rahmeninformationen können Sie hier nachlesen.
Welches Risiko besteht für Webseitenbetreiber?
“Nach einem Gespräch mit Wirtschaftspolitikern der CDU- und der FDP-Landtagsfraktion weist das ULD nochmals darauf hin, dass es kurzfristig nicht gegen kleinere schleswig-holsteinische Unternehmen wegen Facebook-Fanpages oder „Gefällt mir“-Buttons vorgehen wird”, so der Wortlaut in der Pressemeldung vom 09.12.2011. Dies sollte jedoch nicht dahingehend verstanden werden, mit der Nutzung einfach fortzufahren. Der Rechtsverstoß bleibt bestehen.
Mit Augenmaß
Es sind alle Beteiligten (Dienste-Anbieter, Nutzer und Behörden) gefordert, an den Sachverhalt mit Augenmaß heranzugehen und eine Lösung zu finden, die am Ende den Anforderungen und Bedürfnissen aller Beteiligten und dem Thema Datenschutz gerecht wird. Ein komplettes bundesweites Verbot des Facebook “Gefällt mir”- / Like-Buttons, der hier stellvertretend für zahlreiche andere Services dieser Art steht, würde im Zeitalter der Technologisierung, Medialisierung und Vernetzung einen nicht zu unterschätzenden Wettbewerbsnachteil für deutsche Unternehmen bedeuten.
Quellen:
Pressemeldung des ULD vom 09.12.2011
Beschluss des Düsseldorfer Kreises vom 08.12.2011
Wollen Sie die Risiken aus dem Bundesdatenschutzgesetz für Ihr Unternehmen minimieren? Eine passende Lösung finden Sie sicher in unserem Leistungsangebot.
Unsicher, ob für Ihr Unternehmen die gesetzliche Bestellpflicht für einen (externen) Datenschutzbeauftragten vorliegt? Die Antwort gibt unser Datenschutz-Quick-Check, siehe Leistungen.
Sie wollen eine unabhängige Prüfung, wie gut es um Datenschutz und Datensicherheit in Ihrem Unternehmen bestellt ist? Kein Problem mit unseren Leistungen.
Schulungsbedarf für Ihre Mitarbeiter? Zusätzliche Trainings und Workshops rund um Datenschutz und Datensicherheit? Erfahren Sie mehr über unsere Schulungen und Seminare.
Anleitungen, Ratgeber und Links, die das tägliche Arbeiten erleichtern und helfen können, Datenpannen zu vermeiden, finden Sie in der Rubrik Anleitungen / Ratgeber.
Kaum ist die aktuelle Werbekampagne zu “Touch & Travel” in Fahrt gekommen, da gerät das neue elektronische Ticketsystem der Deutschen Bahn mit einer Datenpanne in die Schlagzeilen. Der Hessische Rundfunk (HR) berichtete am Dienstag über einen Kunden, der nach dem Anmelden am “Touch & Travel”-Portal die Daten des Besuchers zu sehen bekam, der sich zuvor am Portal registriert hatte. Die Deutsche Bahn reagierte schnell und deaktivierte diese Funktion, bis der Fehler behoben ist. Alle anderen Funktionen der Bahn-Webseite seien nicht betroffen und sind weiterhin nutzbar.
Welche Daten der überraschte Nutzer zu sehen bekam, wurde nicht bekanntgegeben. Sollten Zahlungsdaten von dieser Panne betroffen sein, so würde § 42a BDSGInformationspflicht bei unrechtmäßiger Kenntniserlangung von Daten die Deutsche Bahn treffen. Wir bleiben dran.
Achja, Ihr Datenschutzbeauftragter hilft dabei, solche Pannen zu verhindern oder zumindest deren Risiko zu minimieren. Ihr Unternehmen verfügt noch über keinen Datenschutzbeauftragten? Dann ist es möglicherweise höchste Zeit, es kann eine gesetzliche Bestellpflicht vorliegen.
Wollen Sie die Risiken aus dem Bundesdatenschutzgesetz für Ihr Unternehmen minimieren? Eine passende Lösung finden Sie sicher in unserem Leistungsangebot.
Unsicher, ob für Ihr Unternehmen die gesetzliche Bestellpflicht für einen (externen) Datenschutzbeauftragten vorliegt? Die Antwort gibt unser Datenschutz-Quick-Check, siehe Leistungen.
Sie wollen eine unabhängige Prüfung, wie gut es um Datenschutz und Datensicherheit in Ihrem Unternehmen bestellt ist? Kein Problem mit unseren Leistungen.
Schulungsbedarf für Ihre Mitarbeiter? Zusätzliche Trainings und Workshops rund um Datenschutz und Datensicherheit? Erfahren Sie mehr über unsere Schulungen und Seminare.
Anleitungen, Ratgeber und Links, die das tägliche Arbeiten erleichtern und helfen können, Datenpannen zu vermeiden, finden Sie in der Rubrik Anleitungen / Ratgeber.
Für einiges Aufsehen sorgte im August letzten Jahres der Entwurf der Bundesregierung für ein neues Arbeitnehmerdatenschutzgesetz. Der Name sollte nicht irreführen, es wird wohl kein eigenständiges Gesetz geben. Es ist vielmehr beabsichtigt, die ergänzenden Regelungen in das Bundesdatenschutzgesetz (BDSG) zu integrieren. Ziel ist es, diese noch vor Sommer 2011 in Kraft treten zu lassen.
Bei aller Euphorie um die notwendigen Regelungen sorgte der Entwurf jedoch auch für kritische Stimmen. Im November 2010 nahm der Bundesrat zu den geplanten Ausgestaltungen Stellung und bemängelte unter anderem fehlende Regelungen für einen möglichen Konzerndatenschutz, die schwere Les- und Nachvollziehbarkeit der ausformulierten Regelungen (gerade für juristische Laien) oder auch die Vereinbarkeit mit anderen gesetzlichen Regelungen.
Der Tagesspiegel bringt es am 30.01.2011 auf den Punkt: es ist für alle Beteiligten zu früh, sich gegenseitig auf die Schulter zu klopfen. Ein zitiertes Gutachten stellt fest, die geplanten Regelungen schützen nicht die Arbeitnehmer besser in Sachen Datenschutz. Im Gegenteil, diese sind ein Katalog an Erlaubnistatbeständen für Arbeitgeber, umfassend Daten über ihre Mitarbeiter zu erheben.
Es bleibt spannend!
Sind in Ihrem Unternehmen die bereits geltenden Aspekte des Arbeitnehmerdatenschutz regelkonform umgesetzt? Diese Frage beantwortet Ihnen ihr betrieblicher Datenschutzbeauftragter. Sie haben noch keinen? Dann sprechen Sie mich an.
Der Gesetzentwurf der Bundesregierung vom 25.08.2010
Guido Strunck schreibt in seinem Blog zur IT-Sicherheit nicht ganz unbegründet von einem Arbeitnehmerdatennutzgesetz. Lesen Sie mehr.
Update vom 12.10.2011:
Wie das Handelsblatt in seiner aktuellen Mittwochsausgabe berichtet, formiert sich weiterer Widerstand gegen das geplante Arbeitnehmerdatenschutzgesetz. Über 3.000 Personal- und Betriebsräte haben sich deutschlandweit zu einer Initiative zusammengeschlossen. “Statt nach den Datenschutzskandalen wie angekündigt die Beschäftigten besser zu schützen, werden Bespitzelungen mit dem vorliegenden Gesetzentwurf auch noch legalisiert”, sagte der DGB-Vorsitzende Michael Sommer dem “Handelsblatt”. Lesen Sie mehr.
Soziale Netzwerke sind aus dem Nutzungsalltag des Internet nicht mehr wegzudenken. Trotz neuer Konkurrenz durch Google+ hat Facebook hier die Nase (noch) deutlich vorn. Doch es ist nicht alles Gold, was glänzt — und erst recht nicht erlaubt.
Das ULD nimmt Stellung
Die Landesdatenschutzbehörde Schleswig-Holsteins (ULD) setzt sich lange und intensiv mit der Problematik der sozialen Netzwerke und der Anwendung des deutschen Bundesdatenschutzgesetzes (BDSG) auseinander. In einer aktuellen Pressemitteilung vom 19.08.2011 findet das ULD sehr klare Worte:
“Das Unabhängige Landeszentrum für Datenschutz (ULD) fordert alle Stellen in Schleswig-Holstein auf, ihre Fanpages bei Facebook und Social-Plugins wie den „Gefällt mir“-Button auf ihren Webseiten zu entfernen. Nach eingehender technischer und rechtlicher Analyse kommt das ULD zu dem Ergebnis, dass derartige Angebote gegen das Telemediengesetz (TMG) und gegen das Bundesdatenschutzgesetz (BDSG) bzw. das Landesdatenschutzgesetz Schleswig-Holstein (LDSG SH) verstoßen. Bei Nutzung der Facebook-Dienste erfolgt eine Datenweitergabe von Verkehrs- und Inhaltsdaten in die USA und eine qualifizierte Rückmeldung an den Betreiber hinsichtlich der Nutzung des Angebots, die sog. Reichweitenanalyse. Wer einmal bei Facebook war oder ein Plugin genutzt hat, der muss davon ausgehen, dass er von dem Unternehmen zwei Jahre lang getrackt wird. Bei Facebook wird eine umfassende persönliche, bei Mitgliedern sogar eine personifizierte Profilbildung vorgenommen. Diese Abläufe verstoßen gegen deutsches und europäisches Datenschutzrecht. Es erfolgt keine hinreichende Information der betroffenen Nutzerinnen und Nutzer; diesen wird kein Wahlrecht zugestanden; die Formulierungen in den Nutzungsbedingungen und Datenschutzrichtlinien von Facebook genügen nicht annähernd den rechtlichen Anforderungen an gesetzeskonforme Hinweise, an wirksame Datenschutzeinwilligungen und an allgemeine Geschäftsbedingungen.”
Das Ultimatum
Bis Ende September 2011 haben Webseitenbetreiber aus Schleswig-Holstein nun Zeit, die entsprechenden Dienste auf ihren eigenen Webseiten zu deaktivieren und damit die unrechtmäßige Datenweitergabe an Facebook einzustellen. Das ULD weist darauf hin, weitergehende Maßnahmen zu ergreifen für den Fall des Zuwiderhandelns — bis hin zu möglichen 50.000 EUR Bußgeld aus dem TMG (Telemediengesetz).
„Das ULD weist schon seit längerem informell darauf hin, dass viele Facebook-Angebote rechtswidrig sind. Dies hat leider bisher wenige Betreiber daran gehindert, die Angebote in Anspruch zu nehmen, zumal diese einfach zu installieren und unentgeltlich zu nutzen sind. Hierzu gehört insbesondere die für Werbezwecke aussagekräftige Reichweitenanalyse. Gezahlt wird mit den Daten der Nutzenden. Mit Hilfe dieser Daten hat Facebook inzwischen weltweit einen geschätzten Marktwert von über 50 Mrd. Dollar erreicht. Allen Stellen muss klar sein, dass sie ihre datenschutzrechtliche Verantwortlichkeit nicht auf das Unternehmen Facebook, das in Deutschland keinen Sitz hat, und auch nicht auf die Nutzerinnen und Nutzer abschieben können.“Weiterlesen »ULD stellt Webseitenbetreibern Ultimatum — Social Plugins von Facebook müssen weg (Update 2)
Der oberste Datenschützer Deutschlands Peter Schaar bringt es auf den Punkt:
“Meine Befürchtungen hinsichtlich der zunehmenden Verwendung der Steuer-ID in den verschiedensten Lebensbereichen haben sich leider bestätigt. Ich stelle mit Besorgnis fest, dass die Verwendungsmöglichkeiten der Steuer-ID schleichend ausgeweitet werden. Nicht nur Finanzbehörden, sondern auch Banken, Versicherungen und Krankenkassen verwenden mittlerweile die Steuer-ID. Wer heute ein Konto eröffnen will oder Elterngeld beantragt, muss dafür seine Steuer-ID angeben. Damit droht die Steuer-ID durch die Hintertür zu einem allgemeinen Personenkennzeichen zu werden, eine Entwicklung, die von Verantwortlichen bei der Einführung der Steuer-ID vehement bestritten wurde.”
Schaar übt berechtigte Kritik an der Ausweitung des ursprünglich angedachten Einsatzbereiches der Steuer-ID, weit über die Grenzen der Steuerverwaltung hinaus.
Durch die zunehmende Abfrage und Speicherung der ID, z.B. bei der Eröffnung eines Bankkontos oder der Beantragung von Sozialleistungen entwickle sich die Steuer-ID immer mehr zu einem eindeutigen Personenkennzeichen. Dies wurde von den Verantwortlichen bei der Einführung vor vier Jahren vehement bestritten, die Realität sieht wohl anders aus.
Hilfreiche Datenschutz-Links
Wollen Sie die Risiken aus dem Bundesdatenschutzgesetz für Ihr Unternehmen minimieren? Eine passende Lösung finden Sie sicher in unserem Leistungsangebot.
Unsicher, ob für Ihr Unternehmen die gesetzliche Bestellpflicht für einen (externen) Datenschutzbeauftragten vorliegt? Die Antwort gibt unser Datenschutz-Quick-Check, siehe Leistungen.
Sie wollen eine unabhängige Prüfung, wie gut es um Datenschutz und Datensicherheit in Ihrem Unternehmen bestellt ist? Kein Problem mit unseren Leistungen.
Schulungsbedarf für Ihre Mitarbeiter? Zusätzliche Trainings und Workshops rund um Datenschutz und Datensicherheit? Erfahren Sie mehr über unsere Schulungen und Seminare.
Anleitungen, Ratgeber und Links, die das tägliche Arbeiten erleichtern und helfen können, Datenpannen zu vermeiden, finden Sie in der Rubrik Anleitungen / Ratgeber.
Seit 2009 müssen sich Unternehmen, die personenbezogene Daten “verlieren” und eine meldepflichtige Datenpanne verursachen, unter anderem eigenständig bei der für sie zuständigen Landesdatenschutzbehörde melden und die Betroffenen ausführlich informieren. Der erzieherische Effekt durch das Bekanntwerden in der Öffentlichkeit ist bewußt eingeplant.
Gleichberechtigung — auch im Datenschutz?
Der Gesetzgeber war jedoch der Meinung, “seine” Behörden und deren Datenpannen von der Meldepflicht ausnehmen zu müssen. Über die Gründe läßt sich nur spekulieren. Nur so ist jedoch zu erklären, wieso Verbraucher Behörden mit der Schulnote 2,9 noch als vertrauenswürdiger vor allen anderen “Branchen” einstufen. Pannen werden meist nur durch den Protest seitens Betroffener bekannt.
Kritik vom Bundesdatenschutzbeauftragten
Der Bundesdatenschutzbeauftragte Peter Schaar übt Kritik. Seiner Meinung nach müssten Behörden hier den gleichen strengen Regelungen unterworfen werden wie Unternehmen. Behörden und Verwaltungen setzen auf EDV-gestützte Verfahren, sind untereinander vernetzt, speichern teilweise sensiblere Informationen als die meisten Unternehmen. Schaar sieht keinen Grund, warum hier mit unterschiedlichen Maßstäben bemessen wird.
“Eine solche Informationspflicht motiviert die verantwortlichen Stellen, mehr für die Datensicherheit und den Datenschutz zu tun. Ich kann überhaupt nicht nachvollziehen, warum hier für Datenschutzverstöße staatlicher und privater Stellen unterschiedliche Maßstäbe angelegt werden.”
Er empfiehlt, das Berliner Landesdatenschutzgesetz zum Vorbild zu nehmen. Dies sieht in § 18 a BlnDSG bereits die Meldepflicht für Behörden vor.
Wie ist Ihre Meinung dazu? Hinterlassen Sie einen Kommentar, diskutieren Sie mit.
Hilfreiche Datenschutz-Links
Wollen Sie die Risiken aus dem Bundesdatenschutzgesetz für Ihr Unternehmen minimieren? Eine passende Lösung finden Sie sicher in unserem Leistungsangebot.
Unsicher, ob für Ihr Unternehmen die gesetzliche Bestellpflicht für einen (externen) Datenschutzbeauftragten vorliegt? Die Antwort gibt unser Datenschutz-Quick-Check, siehe Leistungen.
Sie wollen eine unabhängige Prüfung, wie gut es um Datenschutz und Datensicherheit in Ihrem Unternehmen bestellt ist? Kein Problem mit unseren Leistungen.
Schulungsbedarf für Ihre Mitarbeiter? Zusätzliche Trainings und Workshops rund um Datenschutz und Datensicherheit? Erfahren Sie mehr über unsere Schulungen und Seminare.
Anleitungen, Ratgeber und Links, die das tägliche Arbeiten erleichtern und helfen können, Datenpannen zu vermeiden, finden Sie in der Rubrik Anleitungen / Ratgeber.