Eine wich­ti­ge Auf­ga­be des Daten­schutz (und der IT-Sicher­heit) ist die sog. Ein­ga­be­kon­trol­le gem. § 9 BDSG (Bun­des­da­ten­schutz­ge­setz) sowie Anla­ge zu § 9 Satz 1. Im Wortlaut:

“Wer­den per­so­nen­be­zo­ge­ne Daten auto­ma­ti­siert ver­ar­bei­tet oder genutzt, ist die inner­be­hörd­li­che oder inner­be­trieb­li­che Orga­ni­sa­ti­on so zu gestal­ten, dass sie den beson­de­ren Anfor­de­run­gen des Daten­schut­zes gerecht wird. Dabei sind ins­be­son­de­re Maß­nah­men zu tref­fen, die je nach der Art der zu schüt­zen­den per­so­nen­be­zo­ge­nen Daten oder Daten­ka­te­go­rien geeig­net sind, [.…]

5. zu gewähr­leis­ten, dass nach­träg­lich über­prüft und fest­ge­stellt wer­den kann, ob und von wem per­so­nen­be­zo­ge­ne Daten in Daten­ver­ar­bei­tungs­sys­te­me ein­ge­ge­ben, ver­än­dert oder ent­fernt wor­den sind (Ein­ga­be­kon­trol­le) […]”

Das freie myS­QL ent­hält in sei­ner Ent­wick­ler­ver­si­on 5.5.4‑m3 eine Audit API, über die alle Ereig­nis­se, die einen Ein­trag im Gene­ral Que­ry Log erzeu­gen wür­den, einen Plug-In Auf­ruf aus­lö­sen. Dies geschieht voll­kom­men unab­hän­gig davon, ob Gene­ral Que­ry Log ein- oder aus­ge­schal­tet ist, was dem Sinn des BDSG sehr ent­ge­gen­kommt (Ein­ga­be­kon­trol­le /​ Audit — Funk­ti­on). Die Doku­men­ta­ti­on ist noch recht dürf­tig, der Autor ver­weist daher auf das myS­QL Launchpad.

Es soll­te selbst­ver­ständ­lich sein, daß eine sol­che Funk­ti­on nicht zur Kon­trol­le der Mit­ar­bei­ter (z.B. in Bezug auf Arbeits­leis­tung) her­an­ge­zo­gen wird. Dies wür­de der Nut­zung im Sin­ne des BDSG widersprechen.

Erst­ma­lig haben sich Prü­fer von Stif­tung Waren­test als Hacker betä­tigt — mit (teil­wei­ser) Erlaub­nis der Betrei­ber der 10 zu prü­fen­den sozia­len Netz­wer­ke. Nicht jedes “Netz” woll­te sich in die Kar­ten schau­en las­sen. Dies führ­te zu einer Abwer­tung durch “man­geln­de Trans­pa­renz”. Im Rah­men des Tests sind ekla­tan­te Män­gel im Daten­schutz zum Vor­schein gekom­men. In der April Aus­ga­be wird zu lesen sein, daß gera­de die Berei­che Daten­si­cher­heit und  Daten­wei­ter­ga­be noch über erheb­li­che Ver­bes­se­rungs­po­ten­tia­le verfügen.

Fazit von Stif­tung Waren­test: “Ein Netz­werk, das Infor­ma­ti­ons­aus­tausch und Daten­schutz in Ein­klang bringt, exis­tiert noch nicht. Solan­ge es sol­che Netz­wer­ke nicht gibt, muss der Nut­zer selbst aktiv werden.”

Aus dem ges­tern ver­öf­fent­lich­ten Tätig­keits­be­richt der bran­den­bur­gi­schen Lan­des­be­auf­trag­ten für Daten­schutz (LDA), Frau Dag­mar Hart­ge geht her­vor, daß Bran­den­burgs 216 Kom­mu­nen in punk­to Daten­schutz Nach­hol­be­darf haben. Im Rah­men einer Umfra­ge in 2009, die von ca. 80% der Kom­mu­nen beant­wor­tet wur­de, soll­te der Bedarf an Unter­stüt­zung in den öffent­li­chen Ein­rich­tun­gen im Bereich Daten­schutz und IT-Sicher­heit ermit­telt werden.

80% der Kom­mu­nen set­zen zwar einen Daten­schutz­be­auf­trag­ten ein. Die­ser wen­det jedoch in 80% aller Fäl­le maxi­mal 10% sei­ner Arbeits­zeit für das The­ma Daten­schutz auf. Ein Auf­wand, der von der Lan­des­be­auf­trag­ten auf­grund der Erfah­run­gen im öffent­li­chen Bereich, als zu gering und nicht aus­rei­chend ein­ge­stuft wird. Kri­tisch wird eben­falls das The­ma IT-Sicher­heits­be­auf­trag­ter beleuch­tet. Des­sen Bestel­lung ist zwar nicht zwin­gend vor­ge­schrie­ben, den­noch beset­zen nur 25% der Kom­mu­nen die­se Posi­ti­on. Dem­entspre­chend mau sieht es mit der Exis­tenz funk­ti­ons­fä­hi­ger IT-Sicher­heits­kon­zep­te aus: nur 12% der Kom­mu­nen ver­fü­gen über ein sol­ches Kon­zept, bei mehr als 60% liegt über­haupt kein Kon­zept vor.

Als Grün­de wer­den feh­len­des qua­li­fi­zier­tes Per­so­nal sowie nicht aus­rei­chen­de finan­zi­el­le und zeit­li­che Res­sour­cen ange­führt. Ob man die­se Begrün­dung akzep­tie­ren mag, war­um ein Bun­des­ge­setz im öffent­li­chen Bereich kei­ne aus­rei­chen­de Anwen­dung fin­det, mag jeder für sich selbst entscheiden.

Bri­sant am Ran­de: der Städ­te- und Gemein­de­bund Bran­den­burg e.V. rief die Kom­mu­nen dazu auf, die Umfra­ge in Tei­len nicht zu beant­wor­ten, da kei­ne recht­li­che Grund­la­ge hier­für vor­han­den sei. Dem stand /​ steht jedoch § 26 des Bran­den­bur­gi­schen Daten­schutz­ge­set­zes (BbgD­SG) ent­ge­gen, die Aus­kunfts- und Unter­stüt­zungs­pflicht. “Im Ergeb­nis führ­ten die Akti­vi­tä­ten des Städ­te- und Gemein­de­bun­des sowohl zu einer erheb­li­chen Ver­zö­ge­rung der Umfra­ge als auch zu teils inkon­sis­ten­ten (weil unvoll­stän­di­gen) Ant­wor­ten der Kom­mu­nen”, so die Landesdatenschutzbeauftragte.

  • Tätig­keits­be­richt 2008/​2009 LDA Brandenburg

Tele­fon­wer­bung ist in Deutsch­land nur noch nach vor­he­ri­ger Ein­wil­li­gung des Ange­ru­fe­nen und ohne Unter­drü­ckung der Ruf­num­mer zuläs­sig. Den­noch gehen die täg­li­chen Wer­be­an­ru­fe in die Mil­lio­nen. Die Ver­brau­cher­zen­tra­len sagen den unse­riö­sen Anru­fern nun offen den Kampf an. Über ein Online-For­mu­lar (z.B. der Ver­brau­cher­zen­tra­le Nie­der­sach­sen) erbit­ten sie die Unter­stüt­zung durch die Ange­ru­fe­nen. Weni­ge Anga­ben genü­gen bereits und jeder ist auf­ge­ru­fen, mitzumachen.

Buss­gel­der und ande­re gesetz­li­che Rege­lun­gen konn­ten dem Trei­ben unse­riö­ser Anbie­ter kein Ende berei­ten. Karin Gold­beck, Rechts­ex­per­tin der Ver­brau­cher­zen­tra­le Nie­der­sach­sen, meint hier­zu: “Uner­laub­te Tele­fon­wer­bung lässt sich nur wirk­sam unter­bin­den, wenn sie sich für Anbie­ter nicht mehr lohnt”. Für Anru­fer, die nach den Tele­fo­na­ten den ange­ru­fe­nen Per­so­nen Ver­trä­ge unter­schie­ben oder sogar Abbu­chun­gen von deren Kon­ten vor­neh­men, scheint sich das Über­ge­hen recht­li­cher Vor­schrif­ten zu rech­nen. Daher for­dern die Ver­brau­cher­zen­tra­len vom Gesetz­ge­ber seit Jah­ren, dass am Tele­fon abge­schlos­se­ne Ver­trä­ge erst nach schrift­li­cher Bestä­ti­gung durch den Kun­den /​ Ange­ru­fe­nen Gül­tig­keit erlangen.

Wer­den auch Sie von sol­chen Anru­fen beläs­tigt und wol­len die Akti­on aktiv unter­stüt­zen? Dann nut­zen Sie das Online-For­mu­lar. Die Akti­on läuft noch bis Mit­te Juni.

  • Pres­se­mit­tei­lung Ver­brau­cher­zen­tra­le Niedersachsen

Der irre­füh­ren­de Name “Sco­ring Novel­le” im Rah­men aktu­el­ler Anpas­sun­gen des Bun­des­da­ten­schutz­ge­setz (BDSG) mag dazu ver­lei­ten, sich mit die­ser Ände­rung nicht näher zu befas­sen. Der Teu­fel steckt im Detail, denn es wer­den dar­in kla­re Rege­lun­gen für die Wei­ter­ga­be von per­so­nen­be­zo­ge­nen Daten an Aus­kunftei­en getrof­fen. Deren Nicht­be­ach­tung kann für Unter­neh­mer /​ Unter­neh­men ab dem 01.04.2010 fata­le Fol­gen haben. Geben sie die Daten des Schuld­ners im Zuge des Mahn­we­sens an Aus­kunftei­en wei­ter, so gilt die “Sco­ring Novel­le” ohne Ausnahmen.

Die wich­tigs­ten Rege­lun­gen in Stichpunkten:

  • Betrof­fen sind For­de­run­gen, die bei der Über­ga­be noch nicht rechts­si­cher fest­ge­stellt sind (Urteil, Titel)
  • Der Schuld­ner muss zwei Mal min­des­tens schrift­lich vom Unter­neh­men ange­mahnt wor­den sein
  • Die Über­mitt­lung an den Dienst­leis­ter darf frü­hes­tens vier Wochen nach der ers­ten schrift­li­chen Mah­nung stattfinden
  • Vor­her ist der Schuld­ner recht­zei­tig auf die bevor­ste­hen­de Daten­über­mitt­lung hin­zu­wei­sen, jedoch nicht vor der ers­ten Mahnung
  • Bestrei­tet der Schuld­ner die For­de­rung, darf die Über­mitt­lung nicht statt­fin­den. Die Grün­de des Bestrei­tens sind irrele­vant, es zählt der Vor­gang des Bestrei­tens. Der Vor­gang ist zu prü­fen und zu dokumentieren

Unter­neh­men soll­ten daher zeit­nah ihr For­de­rungs­ma­nage­ment und Mahn­we­sen auf die­se neue Rechts­la­ge hin über­prü­fen und anpas­sen. Ver­stö­ße gegen die­se Rege­lun­gen kön­nen — wie vom BDSG vor­ge­se­hen — mit Stra­fen belegt wer­den und auch Scha­dens­er­satz­for­de­run­gen sei­tens der Schuld­ner nach sich ziehen.

Sind Sie unsi­cher, ob Ihr Unter­neh­men die aktu­el­len Rege­lun­gen bereits umsetzt und recht­zei­tig erfüllt? Ger­ne prü­fe ich dies für Sie als exter­ner Daten­schutz­be­auf­trag­ter und emp­feh­le Ihnen not­wen­di­ge Kor­rek­tu­ren /​ Anpas­sun­gen. Spre­chen Sie mich unver­bind­lich an.

Update 26.03.2010:

Es gibt ers­te Dis­kus­sio­nen in Web­fo­ren und Bloggs, daß die­se Rege­lun­gen über Aus­kunftei­en hin­aus in der pra­ti­schen Anwen­dung auch auf Inkas­so­diens­te aus­ge­wei­tet wer­den könn­ten. Der Wort­laut der Novel­le spricht ein­deu­tig nur von Aus­kunftei­en — es bleibt also abzuwarten.

Pro­ble­ma­tisch könn­te die Über­mitt­lung theo­re­tisch zumin­dest jetzt schon sein, wenn Aus­kunf­tei und Inkas­so­dienst in einem Unter­neh­men gebün­delt ange­bo­ten wer­den und die über­mit­tel­ten Daten dort nicht scharf genug von­ein­an­der abge­grenzt wer­den, also die Aus­kunf­tei z.B. auf Infor­ma­tio­nen über lau­fen­de Inkas­so­ver­fah­ren im Bereich des Inkas­so­diens­tes zugreift. Hier soll­te man sich ver­trag­lich im Vor­feld absichern.

[wpfi­le­ba­se tag=‘file’ id=‘2’]