aboutpixel.de / Datenschutz © Rainer Sturm

Die Lan­des­da­ten­schutz­be­hör­den in Bay­ern, Ber­lin, Bre­men, Ham­burg, Meck­len­burg-Vor­pom­mern, Nie­der­sach­sen, Nord­rhein-West­fa­len, Rhein­land-Pfalz, Saar­land und Sach­sen-Anhalt wäh­len per Zufall 500 Unter­neh­men in die­sen Bun­des­län­dern aus. Die­se erhal­ten im Zuge der Prü­fung einen aus­führ­li­chen Fra­ge­bo­gen (Down­load zur Selbst­über­prü­fung hier) zur zeit­na­hen Beant­wor­tung. Bit­te beach­ten Sie: Sie sind gemäß Bun­des­da­ten­schutz­ge­setz gegen­über der Behör­de aus­kunfts­pflich­tig. Neh­men Sie die Anfra­ge ernst und ertei­len Sie inner­halb des genann­ten Rück­mel­de­zeit­raums aus­führ­lich Aus­kunft. Es besteht sonst ein Buß­gel­dri­si­ko für Ihre Organisation.

“[…] vie­le klei­ne­re und mitt­le­re Unter­neh­men in Deutsch­land ver­ar­bei­ten inzwi­schen zahl­rei­che per­so­nen­be­zo­ge­ne Daten (z. B. von Kun­den, Mit­ar­bei­tern oder Bewer­bern) häu­fig auf Ser­vern exter­ner Dienst­leis­ter, oft außer­halb der Euro­päi­schen Uni­on. Dies ist vor allem bei Ange­bo­ten wie dem sog. Soft­ware as a Ser­vice der Fall. Ein klas­si­sches Bei­spiel hier­für sind Office-Anwen­dun­gen „aus dem Inter­net“, die stand­ortu­n­ab­hän­gig und fle­xi­bel genutzt wer­den können.”

Inhalt­lich beschäf­tigt sich der Fra­ge­bo­gen daher zu Beginn mit gene­rel­len Daten­über­mitt­lun­gen außer­halb der EU (USA, sons­ti­ge Drittstaaten).

“Ein wich­ti­ges Ziel der Prü­fung liegt in der Sen­si­bi­li­sie­rung der Unter­neh­men für Daten­über­mitt­lun­gen in Län­der außer­halb der Euro­päi­schen Uni­on. Um Unter­neh­men das Auf­fin­den sol­cher Über­mitt­lun­gen zu erleich­tern, wird auch gezielt nach dem Ein­satz von Pro­duk­ten und Leis­tun­gen exter­ner Anbie­ter gefragt, die – nach bis­he­ri­gen Erfah­run­gen der Auf­sichts­be­hör­den – mit einer Über­mitt­lung per­so­nen­be­zo­ge­ner Daten in Nicht-EU-Staa­ten ver­bun­den sind.”

Im zwei­ten Teil wird es ziem­lich kon­kret im Hin­blick auf in der Cloud ein­ge­setz­te Lösun­gen wie Rei­se­ma­nage­ment, Cus­to­mer-Rela­ti­ons­hip-Manage­ment, Bewer­ber­por­ta­le bis hin zu kom­plet­ten Recruit­ment und Per­so­nal­ver­wal­tung und Abrech­nung, Cloud-Spei­cher, News­let­ter-Ser­vices, Cloud Office, aber auch Kol­la­bo­ra­ti­ons­platt­for­men. Hier wol­len die Behör­den sehr kon­kre­te Anga­ben zu den genutz­ten Anbie­tern und Lösungen.

Abge­schlos­sen wird der Fra­ge­bo­gen mit Anga­ben zum betrieb­li­chen Daten­schutz­be­auf­trag­ten. Die­sen soll­ten Sie bei Vor­lie­gen der gesetz­li­chen Bestell­pflicht hof­fent­lich benen­nen kön­nen und in die Beant­wor­tung des Fra­ge­bo­gens ein­be­zo­gen haben.

„Über­mitt­lun­gen per­so­nen­be­zo­ge­ner Daten in Nicht-EU-Staa­ten gehö­ren inzwi­schen auch bei vie­len mit­tel­stän­di­schen Unter­neh­men zum All­tag, nicht zuletzt auf­grund der immer stär­ke­ren Ver­brei­tung von Ange­bo­ten des Cloud Com­pu­ting. Unter­neh­men müs­sen sich aber des­sen bewusst sein, dass hier­für beson­de­re daten­schutz­recht­li­che Anfor­de­run­gen gel­ten. Durch die koor­di­nier­te Prüf­ak­ti­on, an der sich zehn deut­sche Daten­schutz­auf­sichts­be­hör­den betei­li­gen, wol­len wir auch die Sen­si­bi­li­tät der Unter­neh­men in die­sem Bereich erhö­hen.“ betont Tho­mas Kra­nig, der Prä­si­dent des Baye­ri­schen Lan­des­am­tes für Daten­schutz­auf­sicht. „Aus­ge­hend von der Beant­wor­tung des Fra­ge­bo­gens kann und wird das Baye­ri­sche Lan­des­amt für Daten­schutz­auf­sicht dort, wo sich dies als not­wen­dig zeigt, auch in eine tie­fe­re Prü­fung einsteigen.“ 

Sie haben einen sol­chen Fra­ge­bo­gen erhal­ten, jedoch kei­nen betrieb­li­chen Daten­schutz­be­auf­trag­ten zur Beant­wor­tung parat? Spre­chen Sie uns an.

Quel­le: https://​www​.lda​.bay​ern​.de/​m​e​d​i​a​/​p​m​2​0​1​6​_​0​9​.​pdf

Jeder hat nach § 34 BDSG ein sog. Aus­kunfts­recht gegen­über Unter­neh­men und Behör­den, wel­che Daten über einen gespei­chert sind. Nimmt ein Betrof­fe­ner die­ses wahr, muss eine Aus­kunft voll­stän­dig, kor­rekt und zeit­nah an den Anfra­gen­den erge­hen. Es dro­hen sonst Buß­gel­der bis zu 50.000 EUR nach § 43 BDSG.

Seit eini­ger Zeit wird das Recht auf Aus­kunft immer häu­fi­ger ein­ge­klagt. Und die durch die Gerich­te fest­ge­setz­ten Streit­wer­te zie­hen mit. Fol­ge: höhe­re Kos­ten für das beklag­te Unternehmen.

Das Aus­kunfts­ver­lan­gen

§ 34 Bun­des­da­ten­schutz­ge­setz hat es für die ange­frag­te Stel­le in sich. Jeder Betrof­fe­ne hat das Recht auf voll­stän­di­ge, rich­ti­ge und zeit­na­he Aus­kunft, wel­che per­so­nen­be­zo­ge­nen Daten über ihn in Ihrem Unter­neh­men gespei­chert sind.

Anfra­gen neh­men zu

Sicher haben Sie es selbst schon fest­ge­stellt: die Aus­kunfts­ver­lan­gen sind im Auf­wärts­trend. Die Ursa­chen sind viel­fäl­tig. Ver­brau­cher wer­den auf­grund zuneh­men­der Bericht­erstat­tun­gen kri­ti­scher. Unzu­frie­de­ne Kun­den nut­zen ihr Recht auf Aus­kunft als Art „Retour­kut­sche“. Manch­mal ist es ein­fach nur Neugier.

Aus­kunfts­recht einklagbar?

Wie ande­re gesetz­lich ver­brief­te Rech­te ist der Aus­kunfts­an­spruch aus § 34 BDSG ein­klag­bar. Igno­riert das ange­frag­te Unter­neh­men den Aus­kunfts­wunsch, so steht dem Betrof­fe­nen der Weg zum Kadi offen.

Und wenn gar kei­ne Daten über den Anfra­gen­den vorliegen?

Das ist voll­kom­men uner­heb­lich. In die­sem Fall steht dem Betrof­fe­nen eine Infor­ma­ti­on über genau die­sen Sach­ver­halt zu.

Was besagt der Streitwert?

Der durch das Gericht fest­ge­setz­te Streit­wert ist Grund­la­ge für die Kos­ten­er­mitt­lung. Da Sie als Unter­neh­mer /​ Unter­neh­men im Streit­fall bei Nicht­er­tei­len einer Aus­kunft unter­lie­gen wer­den, ist der Streit­wert von gro­ßem Inter­es­se im Hin­blick auf die zu zah­len­den Gerichts– und Anwaltskosten.

Stei­gen die Streitwerte?

Von einem rich­ti­gen Trend kann zur Zeit noch nicht gespro­chen wer­den. Waren jedoch in der Ver­gan­gen­heit meist Streit­wer­te zwi­schen 500 und 700 EUR üblich, sind es mitt­ler­wei­le beim AG Köln 1.500 EUR (AG Köln v. 08.03.2012, 139 C 283/​1 ). Doch schon frü­her kam es durch­aus zu Streit­wer­ten von bis zu 4.000 EUR.

Noch steckt die gericht­li­che Auf­ar­bei­tung von Daten­schutz­an­ge­le­gen­hei­ten in den Kin­der­schu­hen — jedoch nimmt die Zahl zu.

Wie also auf ein Aus­kunfts­ver­lan­gen reagieren?

Am ein­fachs­ten ist es, die Anfra­ge direkt an Ihren Daten­schutz­be­auf­trag­ten wei­ter­zu­lei­ten. Die­ser weiß, was zu tun ist. Ver­su­chen Sie kei­ne eigen­stän­di­ge Beant­wor­tung. Feh­ler­haf­te, nicht voll­stän­di­ge und nicht zeit­nah erteil­te Aus­künf­te sind teu­er. Sie haben noch kei­nen Datenschutzbeauftragten?

Und wenn der Anfra­gen­de direkt vor mir steht?

Ver­ge­wis­sern Sie sich von der Iden­ti­tät der Per­son. Erläu­tern Sie die Ihnen vor­lie­gen­den Daten in einem ruhi­gen Gespräch. Oft­mals ist die Ange­le­gen­heit damit bereits erle­digt. Geben Sie dabei jedoch kei­ne Inter­nas preis.

Wenn das nicht ausreicht?

Dann wird es Zeit für die Ein­schal­tung Ihres Daten­schutz­be­auf­trag­ten, alter­na­tiv der Geschäftsleitung.

Neh­men Sie das The­ma bit­te nicht auf die leich­te Schulter.

Die sog. “Sco­ring-Novel­le” des Bun­des­da­ten­schutz­ge­setz (BDSG) vom 01.04.2010 hat weit­rei­chen­de Ver­än­de­run­gen für Ver­brau­cher und Unter­neh­men mit sich gebracht. Die Lek­tü­re des rei­nen Geset­zes­tex­tes (Ände­run­gen an §28 sowie §34) ist nicht jeder­manns Sache und muss auch nicht sein.

Unter­neh­men und Unter­neh­mer waren und sind auf­grund des ein­gren­zen­den Begriffs “Sco­ring” ver­sucht, die Novel­lie­rung nicht wei­ter zu beach­ten. Sie sind jedoch gut bera­ten, sich gera­de im Bereich Mahn­we­sen inten­siv damit aus­ein­an­der­zu­set­zen, denn hier lau­ern eini­ge Fall­stri­cke.

Die wohl bekann­tes­te Ände­rung für Ver­brau­cher ist das jähr­li­che ein­ma­li­ge Aus­kunfts­recht gegen­über Aus­kunftei­en gem. §34 BDSG. Gute Diens­te leis­tet ein Online-Ser­vice der Pira­ten­par­tei zur Anfor­de­rung der jähr­li­chen Selbstauskunft.

Der Lan­des­be­auf­trag­te für Daten­schutz und Infor­ma­ti­ons­frei­heit Nord­rhein-West­fa­len, Ulrich Lep­per hat nun auf sei­ner Web­sei­te zwei über­sicht­li­che FAQs (Fre­quent­ly asked ques­ti­ons — Häu­fig gestell­te Fra­gen) zusammengestellt:

Gehen Sie als Unter­neh­mer und Unter­neh­men auf Num­mer Sicher. Das Bun­des­da­ten­schutz­ge­setz bie­tet zahl­rei­che Fall­stri­cke und schnell ist ein Sach­ver­halt gege­ben, der nach §§ 43 und 44 BDSG mit emp­find­li­chen Geld­stra­fen belegt wer­den kann. Ich hel­fe Ihnen, die­se zu vermeiden.

Die sog. “Sco­ring-Novel­le” des Bun­des­da­ten­schutz­ge­setz zum 01.04.2010 erwei­ter­te die Rech­te Betrof­fe­ner gegen­über Aus­kunftei­en. Ein­mal jähr­lich müs­sen die­se seit­her auf Anfor­de­rung kos­ten­frei über den gespei­cher­ten Sco­ring Wert sowie des­sen Zusam­men­set­zung infor­mie­ren (sie­he auch “Sco­ring Novel­le: Ihr gutes Recht – kos­ten­lo­se Aus­künf­te über gespei­cher­te Per­so­nen­da­ten”). Stif­tung Waren­test über­prüf­te im Zeit­raum Dezem­ber 2009 bis März 2010 die sechs größ­ten deut­schen Aus­kunftei­en und deren über­mit­tel­ten Anga­ben — mit erschre­cken­dem Ergebnis.

Aus­künf­te sind Grund­la­ge vie­ler Ver­trags­ge­schäf­te, die­nen der Anbah­nung von Geschäfts­be­zie­hun­gen sowie der Ent­schei­dungs­fin­dung und der Kon­di­tio­nen­be­rech­nung (Risi­ko-Auf­schlä­ge). Infor­ma­tio­nen über lau­fen­de Zah­lungs­ver­pflich­tun­gen, Mobil­te­le­fon­ver­trä­ge, Bank­kon­ten, Kre­dit­kar­ten, aber auch Mahn­ver­fah­ren, (Pri­vat-) Insol­ven­zen oder Haft­be­feh­le wer­den von Aus­kunftei­en gespei­chert und auf Anfra­ge an die Ver­trags­part­ner über­mit­telt. Im Gegen­zug erhal­ten die Aus­kunftei­en aktua­li­sier­te Infor­ma­tio­nen durch die Ver­trags­part­ner zurück.

Stif­tung Waren­test über­prüf­te die Aus­künf­te in Bezug auf Anga­ben zu Giro­kon­ten, Kre­dit­kar­ten, Raten­kre­di­te und Mobil­funk­ver­trä­ge, da hier­von bekannt ist, dass die­se zumin­dest bei der Schufa durch Ver­trags­part­ner zurück­ge­mel­det werden.

Das Ergeb­nis: Fast 90% der ange­for­der­ten Aus­künf­te (bei der Schufa) waren unvoll­stän­dig oder falsch . Ledig­lich 11 von 89 Aus­künf­ten der Schufa waren rich­tig und aktu­ell. Am häu­figs­ten fehl­ten Daten zu aktu­el­len Bank­ver­bin­dun­gen, Mobil­te­le­fon­ver­trä­gen oder lau­fen­den Kre­di­ten. Gele­gent­lich wur­den gespei­cher­te Kre­dit­kar­ten bean­stan­det, die der Kun­de schon längst gekün­digt hat­te.  Bei den ande­ren geprüf­ten Anbie­tern war der Infor­ma­ti­ons­ge­halt nied­ri­ger, da hier nach eige­nen Anga­ben nur sog. Nega­tiv­aus­künf­te (z.B. Mahn­ver­fah­ren, eides­statt­li­che Ver­si­che­run­gen etc.) gespei­chert werden.

Stif­tung Waren­test zwei­felt zu Recht dar­an, wie hilf­reich und nütz­lich unvoll­stän­di­ge oder über­al­ter­te Infor­ma­tio­nen zur Ein­schät­zung der Kre­dit­wür­dig­keit eines Ver­brau­chers sind.

Ein Grund mehr für jeden Ver­brau­cher, sei­ne Rech­te auf jähr­li­che, kos­ten­freie Selbst­aus­kunft nach §34 BDSG wahr­zu­neh­men und die gespei­cher­ten Infor­ma­tio­nen auf Rich­tig­keit und Aktua­li­tät zu prü­fen. Hilf­reich ist hier u.a. der Online — Form­brief­ge­ne­ra­tor der deut­schen Pira­ten­par­tei — nur eige­nen Namen und Anschrift ein­tra­gen, Aus­kunftei­en aus­wäh­len und mit einem Klick ist das not­wen­di­ge Anschrei­ben zur Anfor­de­rung der Selbst­aus­kunft fer­tig zum Aus­druck und Versand.

Bun­des­in­nen­mi­nis­ter Tho­mas de Mai­ziè­re hat mit der kurz­fris­tig ein­be­ru­fe­nen Exper­ten­grup­pe rund um den sog. “Daten­brief” hef­ti­ge Dis­kus­sio­nen über Pro und Kon­tra einer sol­chen Lösung aus­ge­löst. Er griff damit eine For­de­rung des Cha­os Com­pu­ter Club und zahl­rei­cher Daten­schüt­zer auf. Im Tages­spie­gel äußer­te er sich dahin­ge­hend: “Auch wenn hier der Teu­fel im Detail steckt, ist der Vor­schlag prü­fens­wert.” Das Grund­recht zur infor­ma­tio­nel­len Selbst­be­stim­mung wür­de auch die Mög­lich­keit der nach­träg­li­chen Kon­trol­le beinhalten.

Um was geht es?

Auf­grund der Erfah­run­gen und nega­ti­ven Pres­se aus den Daten­skan­da­len der jüngs­ten Ver­gan­gen­heit wird über die Ein­füh­rung des sog. “Daten­briefs” nach­ge­dacht. Jähr­lich sol­len Unter­neh­men jeden Betrof­fe­nen dar­über auf­klä­ren, wel­che per­so­nen­be­zo­ge­nen Daten über sei­ne Per­son im Unter­neh­men gespei­chert sind. Ergän­zend soll ange­ge­ben wer­den, wel­che Erkennt­nis­se das Unter­neh­men aus die­sen Infor­ma­tio­nen gezo­gen hat. Über die mög­li­chen Ver­sand­we­ge wird zur Zeit noch dis­ku­tiert. Email und Post­brief ste­hen zur Debat­te. Dis­ku­tiert wer­den eben­falls Baga­tell­gren­zen oder mög­li­che Aus­nah­men für bestimm­te Berei­che. Gro­ßen Wert wird auf die Daten­si­cher­heit gelegt.

Kri­ti­ker aus Wirt­schaft und unter­neh­mens­na­hen Krei­sen ver­wei­sen auf die mit einem sol­chen Daten­brief ver­bun­de­nen Kos­ten und einem zusätz­li­chen Risi­ko für die gespei­cher­ten Daten, soll­ten die­se für einen sol­chen Brief zen­tral ver­eint und gespei­chert wer­den. Viel­mehr sol­len von vorn­her­ein weni­ger Daten gesam­melt und die­se nach einer ange­mes­se­nen Zeit wie­der gelöscht wer­den. Dies ent­spricht den bereits bestehen­den gesetz­li­chen Rege­lun­gen des Bun­des­da­ten­schutz­ge­setz § 3a “Daten­ver­mei­dung und Daten­spar­sam­keit”. Der Ver­sand­weg per Email ist zumin­dest ohne Ein­satz von Signa­tur und Ver­schlüs­se­lung bedenk­lich, könn­ten sen­si­ble Infor­ma­tio­nen doch schnell in fal­sche Hän­de geraten.

Über die wei­te­re Ent­wick­lung kön­nen Sie sich hier im Blog zukünf­tig informieren.

Als Bera­ter für Daten­schutz und Daten­si­cher­heit sowie exter­ner Daten­schutz­be­auf­trag­ter über­prü­fe ich Ihr Unter­neh­men in einem Daten­schutz-Quick-Check auf die Ein­hal­tung der gesetz­li­chen Rege­lun­gen des Bun­des­da­ten­schutz­ge­setz (BDSG), erar­bei­te mit Ihnen Emp­feh­lun­gen und unter­stüt­ze Sie bei der Umset­zung. Spre­chen Sie mich an.