Zum Inhalt springen

Bußgeld

Lan­des­da­ten­schutz­be­hör­den prü­fen Cloud-Ein­satz in Unternehmen

Die Lan­des­da­ten­schutz­be­hör­den in Bay­ern, Ber­lin, Bre­men, Ham­burg, Meck­len­burg-Vor­pom­mern, Nie­der­sach­sen, Nord­rhein-West­fa­len, Rhein­land-Pfalz, Saar­land und Sach­sen-Anhalt wäh­len per Zufall 500 Unter­neh­men in die­sen Bun­des­län­dern aus. Die­se erhal­ten im Zuge der Prü­fung einen aus­führ­li­chen Fra­ge­bo­gen (Down­load zur Selbst­über­prü­fung hier) zur zeit­na­hen Beant­wor­tung. Bit­te beach­ten Sie: Sie sind gemäß Bun­des­da­ten­schutz­ge­setz gegen­über der Behör­de aus­kunfts­pflich­tig. Neh­men Sie die Anfra­ge ernst und ertei­len Sie inner­halb des genann­ten Rück­mel­de­zeit­raums aus­führ­lich Aus­kunft. Es besteht sonst ein Buß­geld­ri­si­ko für Ihre Organisation.

“[…] vie­le klei­ne­re und mitt­le­re Unter­neh­men in Deutsch­land ver­ar­bei­ten inzwi­schen zahl­rei­che per­so­nen­be­zo­ge­ne Daten (z. B. von Kun­den, Mit­ar­bei­tern oder Bewer­bern) häu­fig auf Ser­vern exter­ner Dienst­leis­ter, oft außer­halb der Euro­päi­schen Uni­on. Dies ist vor allem bei Ange­bo­ten wie dem sog. Soft­ware as a Ser­vice der Fall. Ein klas­si­sches Bei­spiel hier­für sind Office-Anwen­dun­gen „aus dem Inter­net“, die stand­ort­un­ab­hän­gig und fle­xi­bel genutzt wer­den können.”

Inhalt­lich beschäf­tigt sich der Fra­ge­bo­gen daher zu Beginn mit gene­rel­len Daten­über­mitt­lun­gen außer­halb der EU (USA, sons­ti­ge Drittstaaten).

“Ein wich­ti­ges Ziel der Prü­fung liegt in der Sen­si­bi­li­sie­rung der Unter­neh­men für Daten­über­mitt­lun­gen in Län­der außer­halb der Euro­päi­schen Uni­on. Um Unter­neh­men das Auf­fin­den sol­cher Über­mitt­lun­gen zu erleich­tern, wird auch gezielt nach dem Ein­satz von Pro­duk­ten und Leis­tun­gen exter­ner Anbie­ter gefragt, die – nach bis­he­ri­gen Erfah­run­gen der Auf­sichts­be­hör­den – mit einer Über­mitt­lung per­so­nen­be­zo­ge­ner Daten in Nicht-EU-Staa­ten ver­bun­den sind.”

Im zwei­ten Teil wird es ziem­lich kon­kret im Hin­blick auf in der Cloud ein­ge­setz­te Lösun­gen wie Rei­se­ma­nage­ment, Cus­to­mer-Rela­ti­onship-Manage­ment, Bewer­ber­por­ta­le bis hin zu kom­plet­ten Recruit­ment und Per­so­nal­ver­wal­tung und Abrech­nung, Cloud-Spei­cher, News­let­ter-Ser­vices, Cloud Office, aber auch Kol­la­bo­ra­ti­ons­platt­for­men. Hier wol­len die Behör­den sehr kon­kre­te Anga­ben zu den genutz­ten Anbie­tern und Lösungen.

Abge­schlos­sen wird der Fra­ge­bo­gen mit Anga­ben zum betrieb­li­chen Daten­schutz­be­auf­trag­ten. Die­sen soll­ten Sie bei Vor­lie­gen der gesetz­li­chen Bestell­pflicht hof­fent­lich benen­nen kön­nen und in die Beant­wor­tung des Fra­ge­bo­gens ein­be­zo­gen haben.

„Über­mitt­lun­gen per­so­nen­be­zo­ge­ner Daten in Nicht-EU-Staa­ten gehö­ren inzwi­schen auch bei vie­len mit­tel­stän­di­schen Unter­neh­men zum All­tag, nicht zuletzt auf­grund der immer stär­ke­ren Ver­brei­tung von Ange­bo­ten des Cloud Com­pu­ting. Unter­neh­men müs­sen sich aber des­sen bewusst sein, dass hier­für beson­de­re daten­schutz­recht­li­che Anfor­de­run­gen gel­ten. Durch die koor­di­nier­te Prüf­ak­ti­on, an der sich zehn deut­sche Daten­schutz­auf­sichts­be­hör­den betei­li­gen, wol­len wir auch die Sen­si­bi­li­tät der Unter­neh­men in die­sem Bereich erhö­hen.“ betont Tho­mas Kra­nig, der Prä­si­dent des Baye­ri­schen Lan­des­am­tes für Daten­schutz­auf­sicht. „Aus­ge­hend von der Beant­wor­tung des Fra­ge­bo­gens kann und wird das Baye­ri­sche Lan­des­amt für Daten­schutz­auf­sicht dort, wo sich dies als not­wen­dig zeigt, auch in eine tie­fe­re Prü­fung einsteigen.“ 

Sie haben einen sol­chen Fra­ge­bo­gen erhal­ten, jedoch kei­nen betrieb­li­chen Daten­schutz­be­auf­trag­ten zur Beant­wor­tung parat? Spre­chen Sie uns an.

Quel­le: https://​www​.lda​.bay​ern​.de/​m​e​d​i​a​/​p​m​2​0​1​6​_​0​9​.​pdf

Die Auf­trags­ver­ar­bei­tung — Beson­der­hei­ten des Daten­schutz­rechts beim Outsourcing

Um was geht es bei Auf­trags­ver­ar­bei­tung (frü­her Auftragsdatenverarbeitung)?

Ein sper­ri­ger Begriff für einen ein­fa­chen Sach­ver­halt. Auf­trags­ver­ar­bei­tung meint das klas­si­sche Out­sour­cing an einen exter­nen Dienst­leis­ter. Nur sind in die­sem spe­zi­el­len Fall per­so­nen­be­zo­ge­ne Daten betrof­fen. Für die­sen Fall hat die DSGVO den Arti­kel 28 BDSG “Auf­trags­ver­ar­bei­ter” vorgesehen.

Um ein mög­lichst hohes Schutz­ni­veau zu gewähr­leis­ten und das Risi­ko von Daten­pan­nen bei der Aus­la­ge­rung auf Sub­un­ter­neh­mer zu mini­mie­ren, sieht Arti­kel 28 DSGVO eini­ge Auf­la­gen vor. Um die Bedeu­tung und Ernst­haf­tig­keit des The­mas zu unter­strei­chen, ste­hen auf eine feh­len­de oder feh­ler­haf­te Umset­zung emp­find­li­che Bußgelder.

Was fällt alles unter den Begriff Auftragsverarbeitung?

Am ein­fachs­ten läßt sich das an kon­kre­ten Bei­spie­len erklä­ren. Von einer Auf­trags­ver­ar­bei­tung spricht man im Falle

  • der Nut­zung einer Mai­ling­agen­tur oder eines Let­ter­shops zum Erstel­len und Ver­sand von Anschrei­ben, die an natür­li­che Per­so­nen gerich­tet sind oder
  • der Durch­füh­rung der monat­li­chen Gehalts­ab­rech­nung durch eine exter­ne Lohn- und Gehalts­ab­rech­nung­s­tel­le (nicht Steu­er­be­ra­ter) oder
  • des Ein­sat­zes einer extern gehos­te­ten Soft­ware zur Ver­wal­tung und zum Ver­sand von News­let­tern oder
  • der Beauf­tra­gung eines exter­nen Call­cen­ter oder Office-Ser­vices oder
  • dem teil­wei­sen oder voll­stän­di­gen Aus­la­gern des Rechen­zen­trums oder
  • Soft­ware as a Ser­vice /​ Cloud-Lösun­gen oder
  • in vie­len ähn­li­chen ver­gleich­ba­ren Fäl­len — fra­gen Sie Ihren Daten­schutz­be­auf­trag­ten oder gleich uns.

Dar­un­ter fal­len aber auch Leis­tun­gen wie War­tung /​ Kon­fi­gu­ra­ti­on /​ Instal­la­ti­on von Hard- und Soft­ware eben­falls unter die Anwen­dung von Art. 28 DSGVO und sind ent­spre­chend zu regeln. Dabei ist es uner­heb­lich, ob Ihr Dienst­leis­ter das auch so sieht. Sie als Auf­trag­ge­ber sind ver­ant­wort­lich und zah­len am Ende auch das Bußgeld.

Was ist bei einer Auf­trags­ver­ar­bei­tung zu tun?

Schritt 1: Identifizieren

Bereits vor Beginn der Zusam­men­ar­beit muss ein Dienst­leis­ter auf sein Schutz­ni­veau hin geprüft und mit der pas­sen­den Ver­ein­ba­rung zur Auf­trags­da­ten­ver­ar­bei­tung schrift­lich ver­ein­bart sein. Soll­ten Sie mit dem Dienst­leis­ter bereits zusam­men­ar­bei­ten, dann ist schnel­les Han­deln angebracht.

Schritt 2: Prüfen

Sind alle exter­nen Dienst­leis­ter, die unter Art. 28 DGSVO fal­len, iden­ti­fi­ziert oder bereits bekannt, kommt Schritt 2. Es gilt nun das vor­han­de­ne Schutz­ni­veau des Dienst­leis­ters zu prü­fen. Die soge­nann­ten tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men müs­sen aktu­ell und dem not­wen­di­gen Schutz­be­darf für die betrof­fe­nen Daten ent­spre­chen. Bei Lücken sind die­se durch den Dienst­leis­ter zu schlie­ßen oder bei Bedarf ein alter­na­ti­ver Dienst­leis­ter aus­zu­wäh­len. Die Prü­fung sowie des­sen Ergeb­nis sind zu doku­men­tie­ren, damit die­se spä­ter belegt wer­den können.

Schritt 3: Vereinbaren

Alle von Art. 28 DSGVO betrof­fe­nen Dienst­leis­ter soll­ten nun bekannt sein. Das Schutz­ni­veau ist geprüft und aus­rei­chend vor­han­den. Nun kommt Schritt 3 der Auf­trags­ver­ar­bei­tung: die schrift­li­che Vereinbarung.Hier kann viel falsch gemacht wer­den. Über­se­hen Sie einen Rege­lungs­punkt, den die DSGVO vor­sieht, spricht man von einer feh­ler­haf­ten Auf­trags­ver­ar­bei­tung. Die­se ist mit einem Buß­geld risi­ko­be­haf­tet. Auch die Nut­zung der zahl­rei­chen im Inter­net auf­find­ba­ren Vor­la­gen zur Auf­trags­ver­ar­bei­tung kön­nen davor nicht bewah­ren. Vie­le die­ser Vor­la­gen sind lei­der immer noch ver­al­tet, unvoll­stän­dig oder mit Vor­schrif­ten ver­se­hen, die gegen ande­re Rech­te /​ Geset­ze verstoßen.

Schritt 4: Nachprüfen

Iden­ti­fi­ka­ti­on der Dienst­leis­ter voll­stän­dig. Prü­fen des Schutz­ni­veaus erfolgt und doku­men­tiert. Not­wen­di­ge Ver­ein­ba­rung schrift­lich mit dem Dienst­leis­ter geschlossen.

Falsch liegt, wer meint, der Vor­gang sei nun abge­schlos­sen. In regel­mä­ßi­gen Abstän­den müs­sen Sie sich jetzt von dem Erhalt oder der Ver­bes­se­rung des Schutz­ni­veaus Ihres Dienst­leis­ters über­zeu­gen. Die Prü­fung muss eben­falls wie­der nach­voll­zieh­bar und beleg­bar doku­men­tiert werden.

Schritt 5: Über­le­gen, ob Sie sich das wirk­lich alles selbst antun wollen

Wenn Sie sich weder mit den Risi­ken noch dem Zeit­auf­wand für das The­ma Auf­trags­ver­ar­bei­tung aus­ein­an­der­set­zen wol­len, dann las­sen Sie uns das über­neh­men. Wie das geht? Ganz ein­fach — spre­chen Sie uns an und wir infor­mie­ren Sie unver­bind­lich über unse­re Dienst­leis­tun­gen rund um die Auftragsverarbeitung.

Buß­geld wegen feh­ler­haf­ter Auf­trags­da­ten­ver­ar­bei­tung verhängt

Lang­jäh­ri­ge Kun­den und Emp­fän­ger unse­rer Daten­schutz-Infor­ma­ti­on wer­den sich an das wie­der­keh­ren­de The­ma die­ses Bei­tra­ges sicher erin­nern und haben die Infor­ma­ti­on am Tag der Ver­öf­fent­li­chung der Pres­se-Infor­ma­ti­on des BayL­DA bereits als Son­der-News­let­ter erhal­ten. Auf­grund der Trag­wei­te des Vor­gangs infor­mie­ren wir hier noch mal auf unse­rem Datenschutz-Fachblog.

Es geht um das The­ma Out­sour­cing an exter­ne Dienst­leis­ter im Hin­blick auf mög­li­cher­wei­se betrof­fe­ne per­so­nen­be­zo­ge­ne Daten. Das Daten­schutz­recht spricht hier von einer Auf­trags­da­ten­ver­ar­bei­tung. Nicht weil hier ein Auf­trag ver­ge­ben wird, son­dern weil im Auf­trag der ver­ant­wort­li­chen Stel­le jemand Drit­tes mit den per­so­nen­be­zo­ge­nen Daten zu tun hat oder in Kon­takt kommt  /​ kom­men kann. Die baye­ri­sche Lan­des­da­ten­schutz­be­hör­de hat jetzt wegen feh­ler­haf­ter Umset­zung der gesetz­lich vor­ge­schrie­be­nen Ver­fah­rens­wei­se und Inhal­te ein Buß­geld verhängt.

Feh­ler­haf­te Auf­trags­da­ten­ver­ar­bei­tung führt zu Bußgeld

Das ist so klar und deut­lich in § 43 Absatz 1 Satz 2b BDSG geregelt.

“(1) Ord­nungs­wid­rig han­delt, wer vor­sätz­lich oder fahrlässig 

2b.
ent­ge­gen § 11 Absatz 2 Satz 2 einen Auf­trag nicht rich­tig, nicht voll­stän­dig oder nicht in der vor­ge­schrie­be­nen Wei­se erteilt oder ent­ge­gen § 11 Absatz 2 Satz 4 sich nicht vor Beginn der Daten­ver­ar­bei­tung von der Ein­hal­tung der beim Auf­trag­neh­mer getrof­fe­nen tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men überzeugt,”

Mit Datum vom 20. August 2015 gibt das Baye­ri­sche Lan­des­amt für Daten­schutz­auf­sicht (BayL­DA) in Ans­bach nun bekannt, dass es gegen ein Unter­neh­men ein Buß­geld in fünf­stel­li­ger Euro-Höhe ver­hängt hat.

Aus­lö­ser war die feh­ler­haf­te Umset­zung der Auf­trags­da­ten­ver­ar­bei­tung. In meh­re­ren Ver­trä­gen mit exter­nen Dienst­leis­tern waren die durch den Dienst­leis­ter zu tref­fen­den tech­ni­schen und orga­ni­sa­to­ri­schen Schutz­maß­nah­men nur sehr ober­fläch­lich und all­ge­mein fest­ge­setzt. Damit sei die gesetz­lich vor­ge­schrie­be­ne Kon­trol­le durch den Auf­trag­ge­ber nicht durch­führ­bar, ob der Dienst­leis­ter in aus­rei­chen­dem Umfang für die Sicher­heit der Daten sor­gen kann.
Dabei hat die Behör­de bereits berück­sich­tigt, dass es kein pau­scha­les Schutz­ni­veau gibt, son­dern die­ses indi­vi­du­ell nach Art der Dienst­leis­tung und der betrof­fe­nen Daten defi­niert und ver­ein­bart wer­den muss.

Was ist zu tun?

In einem ers­ten Schritt soll­ten Sie prü­fen, ob Sie alle für eine Auf­trags­da­ten­ver­ar­bei­tung in Fra­ge kom­men­den Dienst­leis­ter über­haupt bereits iden­ti­fi­ziert haben. Wenn ja, wäre die ver­trag­li­che Situa­ti­on zu prü­fen, ob das Schutz­ni­veau des Dienst­leis­ters in aus­rei­chen­der schrift­li­cher Form nach­ge­wie­sen ist und ob eine gül­ti­ge Auf­trags­da­ten­ver­ar­bei­tung (Ach­tung Novel­le in 2009 mit neu­en Anfor­de­run­gen!) schrift­lich ver­ein­bart wurde.
Wenn nein, soll­ten Sie zeit­nah Ihren Daten­schutz­be­auf­trag­ten infor­mie­ren, damit die­ser alles wei­te­re mit Ihnen zusam­men in die Wege lei­ten kann.

Pres­se­mit­tei­lung des BayL­DA vom 20.08.2015
Infor­ma­ti­ons­blatt des BayL­DA zum The­ma Auftragsdatenverarbeitung
Blog­bei­trag a.s.k. Daten­schutz zum The­ma Auftragsdatenverarbeitung

 

Här­te­res Vor­ge­hen der Daten­schutz­be­hör­den bei Wett­be­werbs­ver­stö­ßen angekündigt

Gera­de per­so­na­li­sier­te Wer­bung ist nach wie vor ein bewähr­tes Mit­tel, um Kun­den zu gewin­nen. In den let­zten Jah­re wur­den die Aufla­gen  immer stren­ger. Zumeist als Reak­ti­on auf aus­ufern­de Miß­ach­tung bestehen­der gesetz­li­cher Rege­lun­gen durch die Werbetreibenden.

Mit dem Gesetz gegen den unlau­te­ren Wet­tbe­werb (UWG) und den Bes­tim­mungen aus dem Bun­des­daten­schutzge­setz (BDSG) gilt es eini­ges zu beach­ten. Nicht nur, um sich nicht den Unmut der poten­tiellen Käu­fer zuzu­zie­hen, weil deren Rech­te nicht beach­tet wur­den. Die Auf­merk­sam­keit der Lan­des­da­ten­schutz­be­hör­den soll­te man eben­falls zukünf­tig nicht erre­gen. Von dro­hen­den Abmah­n­risiken mal ganz zu schweigen.

Da ist es auch wenig tröst­lich, dass dies nur auf eini­ge schwar­ze Scha­fe unter den Wer­be­treiben­den zurück­zuführen ist. Lei­den müs­sen dar­un­ter alle, die auf Wer­bung ange­wie­sen sind.

Zu allem Über­fluss haben die Daten­schutzbe­hör­den das The­ma nun auch für sich entdeckt!

Es bleibt nicht unbemerkt

Recht­li­che Ver­stö­ße blei­ben nicht unbe­merkt. Denn selbst wenn sich der Betrof­fe­ne nicht direkt bei dem Wer­be­trei­ben­den mel­det, so bleibt immer noch der Weg zur zustän­di­gen Lan­des­da­ten­schutz­be­hör­de offen. Und die­ser Weg wird auch beschritten.

In einer Pressemit­teilung vom 25.11.2014 des Bay­erischen Lan­desamt für Daten­schutza­uf­sicht heisst es:

“Im Jahr 2013 gin­gen beim BayL­DA zum The­ma unzuläs­sige Wer­bung 162 und im Jahr 2014 bis­her 149 Ein­ga­ben und Beschw­er­den ein. Mehr als zwei Drit­tel die­ser Beschw­er­den stell­ten sich nach Über­prü­fung durch das BayL­DA als begrün­det, d.h. als Daten­schutzver­stoß heraus.”

Feh­len­de oder feh­ler­haf­te Einwilligung

Im Tele­fon­mar­ket­ing wur­den das feh­len­de Vor­liegen einer gülti­gen Ein­willi­gung oder auch die Ruf­num­mern­un­ter­drü­ckung als Grund für das Ein­schrei­ten der Schutz­be­hör­de auf­ge­führt. Eine recht­skon­forme Ein­willi­gung ist jedoch eben­falls Voraus­set­zung für Werbe­maß­nah­men per Email oder SMS.

Oft kon­nten die ange­blich vor­liegen­den Ein­willi­gun­gen  durch das betrof­fene Unter­neh­men nicht schlüs­sig belegt wer­den. Postal­is­che Wer­bung ist weni­ger gro­ßen Aufla­gen unter­wor­den. Jedoch darf der Wider­ruf­sh­in­weis hier (auch) nicht fehlen.

Die unzuäs­sige Nut­zung von Email-Adres­sen und Tele­fon­num­mern für elek­tro­n­is­che Wer­bung sowie die Post­wer­bung trotz aus­drück­lich erk­lärtem Wer­be­wider­spruch stel­len Tat­be­stän­de dar, die mit einem Buß­geld von bis zu 300.000,00 EUR geah­n­det wer­den kön­nen. Und da  hat das UWG sich noch gar nicht mit sei­nen Kon­se­quen­zen zu Wort gemeldet.

Frü­her oder spä­ter krie­gen wir euch

So denkt es sich auch das BayL­DA im Ver­bund mit den übri­gen Lan­des­daten­schutzbe­hör­den. Es heißt in der Pressemit­teilung weiter:

“Nach­dem trotz inten­siver Infor­ma­tion­sar­beit durch alle Daten­schutza­uf­sichts­be­hör­den […] und auch guten Hin­weisen aus den Ver­bän­den der Wer­be­wirtschaft selbst die Zahl der begrün­de­ten Ein­ga­ben und Beschw­er­den wegen unzuläs­siger Wer­bung nicht zurück­ge­gan­gen ist, wird das BayL­DA die in der let­zten Zeit eher zurück­hal­tende Pra­xis der Ahn­dung die­ser Ver­stöße durch Bußgeld­ver­fahren auf­ge­ben und schw­er­punk­t­mäßig in der näch­sten Zeit die „Mis­sach­tung von Wer­be­wider­sprüchen“ und die unzuläs­sige „E‑Mail-Wer­bung zur Neukun­dengewin­nung“ mit Buß­gel­dern sanktionieren.”

Inter­es­sant ist der abschlie­ßen­de Aspekt die­ses State­ments, auf die üblicher­weise vorge­zo­ge­nen Aufla­gen zu Gun­sten von Buß­gel­dern zu ver­zich­ten. Die Behör­de wird bei dem The­ma also kei­nen Spaß mehr ver­ste­hen, hat es den Anschein.

Hil­festel­lung zum recht­skon­for­men Ein­satz per­so­n­en­be­zo­gener Daten gibt das BayL­DA in einem PDF Doku­ment schon seit ger­aumer Zeit (Anwen­dung­sh­in­weise zur Erhe­bung, Ver­ar­beitung und Nut­zung von per­so­n­en­be­zo­ge­nen Daten für werb­li­che Zwe­cke).

Sie kön­nen aber auch ein­fach Ihren Daten­schutzbeauf­tragten fra­gen. Die­ser hilft Ihnen auch beim Erstel­len rechts­gültiger Ein­willi­gun­gen. Unan­genehm ist näm­lich, dass Sie alle Daten löschen müs­sen, die Sie über eine ungül­ti­ge (also fehler­haft for­mulierte und gestal­tete) Ein­willi­gung an sich genom­men haben. Sie haben noch kei­nen Daten­schutz­be­auf­trag­ten? Spre­chen Sie uns an

Hil­fe bei Auftragsverarbeitung 

Out­sour­cing ist ein pro­ba­tes Mit­tel zur Kos­ten­kon­trol­le, aber auch um bewähr­tes Know How von extern in die Orga­ni­sa­ti­on zu holen. Sind dabei jedoch per­so­nen­be­zo­ge­ne Daten im Spiel, dann redet die DSGVO mit Art. 28 Auf­trags­ver­ar­bei­ter ein erheb­li­ches Wört­chen mit.

Auf die Rei­hen­fol­ge kommt es an

Was oft nicht bekannt ist,  Art. 28 DSGVO schal­tet sich schon weit vor dem akti­ven Beginn der Zusam­men­ar­beit ein. Zuerst muss geprüft wer­den, ob eine Auf­trags­ver­ar­bei­tung vor­liegt (z.B. exter­nes Rechen­zen­trum, Let­ter­shop, exter­ner News­let­ter, Fern­war­tung für Hard- und Soft­ware, etcpp .)

Ist das der Fall, gilt es, das Schutz­ni­veau des Anbie­ters zu prü­fen und das Ergeb­nis zu doku­men­tie­ren, die sog. Über­prü­fung der tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men (TOM). Sind die­se für das not­wen­di­ge Schutz­ni­veau aus­rei­chend, muss eine soge­nann­te Ver­ein­ba­rung zur Auf­trags­ver­ar­bei­tung geschlos­sen wer­den. Hin­wei­se wie “Die Par­tei­en ver­ein­ba­ren, sich an deut­sches Daten­schutz­recht bzw. die DSGVO zu hal­ten” sind Geschich­te und unzu­rei­chend. Auch bei der Nut­zung der diver­sen Vor­la­gen aus dem Web soll­te man sehr vor­sich­tig sein. Oft sind die­se ver­al­tet, feh­ler­haft, unvoll­stän­dig oder ent­hal­ten Pas­sa­gen, die mas­siv gegen ande­res Recht ver­sto­ßen und somit eben­falls nicht gültig.

Alles halb so schlimm?

Mei­nen Sie, aber auch nur, bis Sie den Buß­geld­ka­ta­log der DSGVO ken­nen­ge­lernt haben. Buß­gel­der wer­den fäl­lig, wenn eine Auf­trags­ver­ar­bei­tung gar nicht, unvoll­stän­dig oder feh­ler­haft umge­setzt ist. Übri­gens pro Dienst­leis­ter, wie uns vor eini­ger Zeit der Ver­tre­ter einer Schutz­be­hör­de erst wie­der bestä­tigt hat.

Wie­so noch selbst pla­gen und das Risi­ko tragen?

Ganz unab­hän­gig, ob Sie einen Daten­schutz­be­auf­rag­ten bestel­len müs­sen oder nicht, a.s.k Daten­schutz küm­mert sich um die rechts­kon­for­me Umset­zung in Ihrer Orga­ni­sa­ti­on. Wir iden­ti­fi­zie­ren die betrof­fe­nen Dienst­leis­ter, prü­fen deren Schutz­ni­veau, doku­men­tie­ren die­ses wie vor­ge­schrie­ben, erstel­len Ihnen die not­wen­di­ge rechts­kon­for­me Ver­ein­ba­rung zur Auf­trags­ver­ar­bei­tung — Sie und Ihr Dienst­leis­ter müs­sen nur noch unter­schrei­ben. Den Fort­schritt und die Doku­men­ta­ti­on fin­den Sie jeder­zeit in unse­rem kom­for­ta­blen Online Pro­jekt Tool. Auf Wunsch über­neh­men wir auch die Nach­prü­fung nach 12, 24 oder 36 Monaten.

Ein­fa­cher und risi­ko­frei­er für Sie geht es nicht!

Spre­chen Sie uns an. Güns­ti­ge Pau­schal­ta­ri­fe war­ten auf Sie, egal ob Ihre Dienst­leis­ter in Deutsch­land, der EU oder in einem soge­nann­ten Dritt­land sitzen.

Offe­ner Email-Ver­tei­ler führt zu Buß­geld gegen Unternehmen

Schon jedem Mal passiert

Sie ken­nen das bestimmt aus Ihrem eige­nen Arbeits­all­tag. Eine wich­ti­ge Nach­richt soll per Email ver­teilt wer­den. Mail­pro­gramm geöff­net, Text geschrie­ben, aus dem Adreß­buch schnell die Emp­fän­ger zusam­men­ge­klickt oder kom­for­ta­bel eine Ver­tei­ler-Lis­te genutzt und auf Sen­den gedrückt. Auf Sei­ten des Emp­fän­gers wer­den sich dann die Augen gerie­ben. Ste­hen doch alle Email-Emp­fän­ger im Klar­text im AN:/TO: Feld der Email. Ordent­lich wie der Absen­der sei­ne Adres­sen gepflegt hat, aku­rat mit Vor‑, Nach­na­me und Email-Adres­se. Übli­cher­wei­se macht man den Absen­der freund­lich auf sein Miß­ge­schick auf­merk­sam und läßt es dar­auf beruhen.

Ihr ist das auch passiert

Eine Mit­ar­bei­te­rin eines baye­ri­schen Han­del­un­ter­neh­mens hat­te weni­ger Glück. Sie schrieb eine sol­che Email an Kun­den des Unter­neh­mens. Kur­zer Inhalt, net­te Ges­te. Jedoch lei­der stan­den vor dem eigent­li­chen Text (hal­be DIN A4 Sei­te) über neun (9) Sei­ten Email-Adres­sen im Klar­text. Einem oder meh­re­ren Emp­fän­gern miß­fiel dies und der Stein des Ansto­ßes wur­de an die zustän­di­ge baye­ri­sche Lan­des­da­ten­schutz­be­hör­de weitergeleitet.

Der ewi­ger Mahner

Das Baye­ri­sche Lan­des­amt für Daten­schutz­auf­sicht (kurz BayL­DA) hat in der Ver­gan­gen­heit bereits mehr­fach auf die daten­schutz­recht­li­che Unzu­läs­sig­keit eines sol­chen Vor­gangs hin­ge­wie­sen. Name plus Email-Adres­se sind per­so­nen­be­zo­ge­ne Daten im Sin­ne des Bun­des­da­ten­schutz­ge­set­zes (BDSG). Eine Über­mitt­lung (nichts ande­res stellt eine Email dar) ist daher nur zuläs­sig, wenn der Betrof­fe­ne (also der eigent­li­che Email-Inha­ber) expli­zit in die Über­mitt­lung an Drit­te schrift­lich ein­ge­wil­ligt hat oder eine gesetz­li­che Grund­la­ge vor­liegt. Bei­des ist im Fal­le einer sol­chen Pan­ne sicher nicht der Fall. 

Die Ver­wen­dung des offe­nen Email-Ver­tei­lers (also das Ein­tra­gen der Emp­fän­ger in das AN:/TO: Feld) stellt somit einen Daten­schutz­ver­stoß dar. Auf­grund der Men­ge der betrof­fe­nen Email-Adres­sen sah das BayL­DA von einem rei­nen Ver­weis auf die recht­li­che Unzu­läs­sig­keit ab. Statt­des­sen wur­de ein Buß­geld ver­hängt, das nun nach Ver­strei­chen der Wider­spruchs­frist rechts­wirk­sam gewor­den ist.

Wer zahlt?

In die­sem kon­kre­ten Fall wur­de das Buß­geld gegen die Mit­ar­bei­te­rin ver­hängt. Ob der Arbeit­ge­ber für Sie ein­springt, ist nicht bekannt.

Das BayL­DA teilt jedoch mit, daß es in einem ähn­li­chen Fall in Kür­ze zu einem Buß­geld gegen ein ande­res Unter­neh­men kom­men wird. Da hier die Mit­ar­bei­ter sei­tens der Unter­neh­mens­leis­tung nicht oder nicht aus­rei­chend für das The­ma sen­si­bi­li­siert wur­den, hat nun das Unter­neh­men selbst für den Faux­pas mit dem offe­nen Email-Ver­tei­ler geradezustehen.

Auf­klä­rung ist Pflicht

Um sol­che Vor­fäl­le von vorn­her­ein zu ver­mei­den und das Ein­tritts­ri­si­ko zu sen­ken, soll­ten Sie Ihre Mit­ar­bei­ter regel­mä­ßig für die­ses The­ma sen­si­bi­li­sie­ren. Ger­ne kön­nen Sie hier­für die­sen Blog­bei­trag einsetzen.

Was ist zu beachten?

Wei­sen Sie dar­auf hin, sol­che Rund­mails stets über das Feld BCC, also Blind Car­bon Kopie zu adre­ßie­ren. Die Nut­zung von TO: und CC: (Car­bon Copy) wird stets den glei­chen recht­li­chen Sach­ver­halt mit allen Kon­se­quen­zen aus­lö­sen. Bei klei­ne­ren falsch genutz­ten Ver­tei­lern kann es bei einer Ver­war­nung blei­ben, das ist jedoch nicht garantiert.

Hier fin­den Sie den gan­zen Bei­trag des BayL­DA vom 28.06.2013.

Sony wehrt sich gegen Geld­stra­fe wegen Hacker­an­griffs auf sein Play­sta­ti­on Network

2011 ging das Ereig­nis als bis­her größ­te Daten­pan­ne der Geschich­te durch die Medi­en (wir berich­te­ten). Hackern gelang es, über 75 Mil­lio­nen Kun­den­da­ten aus dem Sony Netz­werk zu ent­wen­den, dar­un­ter Namen, Anmel­de­da­ten und Zah­lungs­an­ga­ben. In wei­te­ren nach­fol­gen­den Hacker-Atta­cken wur­den wei­te­re Mil­lio­nen Daten­sät­ze ent­wen­det mit teil­wei­se noch aus­führ­li­che­ren Nutzerangaben.

Das Kri­sen­ma­nage­ment des Kon­zern war durch­aus als sub­op­ti­mal ein­zu­stu­fen — sie­he Bericht. Auf­grund des Fir­men­sit­zes in Japan wog man sich jedoch in Sicher­heit vor der Ver­fol­gung durch die Schutz­be­hör­den. Doch damit ist nun Schluss. Was nicht nur zahl­rei­che Poli­ti­ker und Daten­schüt­zer, son­dern auch gera­de Kun­den von Sony gefor­dert haben, hat die bri­ti­sche Daten­schutz­be­hör­de nun in die Tat umge­setzt. Sie ver­häng­te eine Geld­stra­fe in Höhe von 300.000 Euro, gegen das Unter­neh­men. Begrün­dung: Wer für so vie­le sen­si­blen Daten mit Miß­brauchs­po­ten­ti­al ver­ant­wort­lich ist, muss dem Schutz die­ser Daten obers­te Prio­ri­tät einräumen.

Sony hat Wider­stand gegen die Stra­fe ange­kün­digt, schließ­lich sei man “Opfer” einer kri­mi­nel­len Atta­cke gewor­den. Das Unter­neh­men blen­det dabei aus, dass es selbst erst durch Män­gel in der IT Infra­struk­tur (schwa­che Pass­wör­ter, feh­len­de Sicher­heits­patches) die Mög­lich­keit für die­se mehr­fa­chen Angrif­fe geschaf­fen hat. The­ma ver­fehlt, Sechs, setzen!

Fra­gen Sie doch Ihren Datenschutzbeauftragten

Ihr Daten­schutz­be­auf­trag­ter muss kein IT Pro­fi sein. Er wird jedoch aus­rei­chend Fach­wis­sen mit­brin­gen, um unter ande­rem auch auf Sicher­heits­lü­cken durch schwa­che Pass­wör­ter oder nicht zeit­na­he /​ feh­len­de Sicher­heits­patches kon­se­quent hin­zu­wei­sen. Lösun­gen las­sen sich meist unkom­pli­ziert durch tech­ni­sche und /​ oder orga­ni­sa­to­ri­sche Maß­nah­men her­bei­füh­ren und das Schutz­ni­veau wei­ter erhö­hen. Sei­en Sie schlau­er und spre­chen Sie mit Ihrem Daten­schutz­be­auf­trag­ten. Ver­mei­den Sie Daten­pan­nen und die damit ver­bun­de­nen Buß­geld­ri­si­ken. Sie haben kei­nen Daten­schutz­be­auf­trag­ten? Wir hel­fen ger­ne weiter.

“Rekord­stra­fe” für Daten­schutz­ver­stoß von Google

Die letz­ten Tage wur­de oft über eine Rekord­stra­fe für Goog­le auf­grund eines Daten­schutz­ver­sto­ßes berich­tet. Dem Kon­zern wur­de vor­ge­wor­fen, einen Schutz­me­cha­nis­mus in App­les Brow­ser Safa­ri bewußt umge­gan­gen zu haben. Damit konn­te trotz einer mög­li­chen ande­ren Ein­stel­lung des Nut­zers die­ser durch den Kon­zern den­noch getrackt wer­den. Dafür wur­de Goog­le nun in den USA zur Zah­lung von 22,5 Mil­lio­nen Dol­lar (ca. 18,3 Mil­lio­nen Euro) ver­don­nert. Das klingt erst mal viel, gera­de wenn man die in Deutsch­land ver­häng­ten Buß­gel­der betrach­tet. In Anbe­tracht eines Gewinns von 2,8 Mil­li­ar­den Dol­lar allei­ne von April bis Juni 2012 ist die­ser Betrag wenig rekordverdächtig.

Melk­kuh Auftragsdatenverarbeitung

Der Gesetz­ge­ber schreibt für das Out­sour­cing von Dienst­leis­tun­gen mit per­so­nen­be­zo­ge­nen Daten oder Zugriffs­mög­lich­keit auf die­se eine Rege­lung zur soge­nann­ten “Auf­trags­da­ten­ver­ar­bei­tung” nach § 11 Bun­des­da­ten­schutz­ge­setz (BDSG) vor.  So wird z.B. eine Prü­fung der tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men (TOM) nach der Anla­ge zu § 9 BDSG erwar­tet zusam­men mit einer ver­trag­li­chen Rege­lung (meist in Form einer Zusatz­ver­ein­ba­rung), die den Umgang mit per­so­nen­be­zo­ge­nen Daten sehr detail­liert kon­kre­ti­siert und die Rech­te und Pflich­ten der Par­tei­en defi­niert. Auch die­se zu regeln­den Inhal­te sind durch den Gesetz­ge­ber in § 11 BDSG festgeschrieben.

Was liegt also nun näher, als sich als kun­den- und ser­vice­ori­en­tier­ter Dienst­leis­ter her­vor­zu­tun und sei­nem poten­ti­el­len Auf­trag­ge­ber die not­wen­di­ge For­mu­lie­rung samt Anla­ge der TOM gleich mit dem Haupt­ver­trag mit­zu­lie­fern? Schließ­lich ist das teil­wei­se noch ein kla­rer Wett­be­werbs­vor­teil und zusätz­lich zeigt man sei­nem Kun­den gleich, wie wich­tig man ihn und sein Anlie­gen nimmt. Neben­bei erspart man sich das Prü­fen und Frei­ge­ben zahl­rei­cher durch Kun­den selbst for­mu­lier­ter Rege­lun­gen zur Auf­trags­da­ten­ver­ar­bei­tung. Und die Anla­ge mit den tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men (TOM) muss intern so oder so in Ver­bin­dung mit dem Ver­fah­rens­ver­zeich­nis (auch dies ist gesetz­li­che Pflicht) geführt werden.

Kurio­ser­wei­se zeich­net sich in der letz­ten Zeit eine Ent­wick­lung ab, die ich für sehr unglück­lich und kurz­fris­tig gedacht hal­te.  So häu­fen sich Vor­gän­ge,  in denen Dienst­leis­ter für das Aus­fer­ti­gen der gesetz­lich vor­ge­schrie­be­nen Ver­ein­ba­rung zur Auf­trags­da­ten­ver­ar­bei­tung (ohne die sie über­haupt kei­nen Auf­trag erhal­ten dürf­ten) eine “Gebühr” ver­lan­gen. Getoppt wird dies noch gele­gent­lich durch den Wunsch nach einer jähr­li­chen “Ver­län­ge­rungs­ge­bühr”. Um die­se For­de­rung nach zusätz­li­chen Hono­ra­ren zu recht­fer­ti­gen, fin­det man dann durch­aus Argu­men­ta­tio­nen wie das gene­rel­le Abstrei­ten des Vor­lie­gens einer Auf­trags­da­ten­ver­ar­bei­tung und den erhöh­ten Auf­wand, den der Auf­trag­neh­mer hät­te, da er die­se Maß­nah­me ja nur unter­stüt­ze, um dem Auf­trag­ge­ber aus einer mög­li­chen Rechts­mi­se­re zu hel­fen (näm­lich dem Buß­geld­ri­si­ko von bis zu 50.000 Euro für eine nicht oder nicht rich­tig umge­setz­te Auftragsdatenverarbeitung).

Selbst­ver­ständ­lich sind Dienst­leis­tun­gen, die sich aus der Zusam­men­ar­beit erge­ben, zu hono­rie­ren. Wie­so jedoch die Ver­trags­an­bah­nung mit den not­wen­di­gen Unter­la­gen — in die­sem Fall der Anla­gen zur Auf­trags­da­ten­ver­ar­bei­tung — bereits hier­durch kos­ten­pflich­tig wer­den soll, ist nicht nachvollziehbar.

Für mich als poten­ti­el­ler Auf­trag­ge­ber ist in einem sol­chen Fall die Ent­schei­dung klar …  Inter­es­sant wäre sicher auch eine Stel­lung­nah­me einer Lan­des­da­ten­schutz­be­hör­de zu solch einem Vor­ge­hen. Doch selbst wenn die­se recht­lich bean­stan­dungs­frei ist, hät­te sich ein sol­cher Anbie­ter aus mei­ner enge­ren Aus­wahl im wahrs­ten Sin­ne des Wor­tes “aus­ge­preist”.

Irr­tü­mer im Daten­schutz (Teil 2): Ein Daten­schutz­be­auf­trag­ter ist zu teu­er und daher kann auf die Bestel­lung ver­zich­tet werden

Irr­tü­mer im Daten­schutz (Teil 2)

Wei­ter geht es mit dem zwei­ten Teil der Serie “Irr­tü­mer im Daten­schutz”. Nicht aus­zu­rot­ten ist ein Gerücht, auf das ich im Rah­men von zahl­rei­chen Bera­tungs­ge­sprä­chen immer wie­der sto­ße. Hier wird argu­men­tiert, auf die Bestel­lung eines gesetz­lich vor­ge­schrie­be­nen Daten­schutz­be­auf­trag­ten kann ver­zich­tet wer­den, wenn die dafür anfal­len­den Kos­ten für das Unter­neh­men nicht zumut­bar sind.

Was sagt das Bun­des­da­ten­schutz­ge­setz (BDSG) dazu?

Die gesetz­li­che Bestell­pflicht für einen Daten­schutz­be­auf­trag­ten regelt § 4f Absatz 1 Beauf­trag­ter für den Daten­schutz BDSG.

(1) Öffent­li­che und nicht-öffent­li­che Stel­len, die per­so­nen­be­zo­ge­ne Daten auto­ma­ti­siert ver­ar­bei­ten, haben einen Beauf­trag­ten für den Daten­schutz schrift­lich zu bestel­len. Nicht-öffent­li­che Stel­len sind hier­zu spä­tes­tens inner­halb eines Monats nach Auf­nah­me ihrer Tätig­keit verpflichtet.

Wei­ter führt § 4f BDSG aus

Die Sät­ze 1 und 2 gel­ten nicht für die nicht­öf­fent­li­chen Stel­len, die in der Regel höchs­tens neun Per­so­nen stän­dig mit der auto­ma­ti­sier­ten Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten beschäftigen.

Damit ist klar defi­niert: Unter­neh­men mit mehr als 9 Mit­ar­bei­tern, die mit­tels EDV mit per­so­nen­be­zo­ge­nen Daten zu tun haben, sind gesetz­lich zur Bestel­lung eines Daten­schutz­be­auf­trag­ten ver­pflich­tet — und zwar bis spä­tes­tens 4 Wochen nach Auf­nah­me der Geschäftstätigkeit.

Zumut­bar­keit?

Von einer Zumut­bar­keit ist an die­ser Stel­le nicht die Rede. Im Gegen­teil! § 4f Absatz 1 BDSG führt sogar noch wei­te­re Ver­pflich­tungs­kri­te­ri­en an:

Soweit auf­grund der Struk­tur einer öffent­li­chen Stel­le erfor­der­lich, genügt die Bestel­lung eines Beauf­trag­ten für den Daten­schutz für meh­re­re Berei­che. Soweit nicht-öffent­li­che Stel­len auto­ma­ti­sier­te Ver­ar­bei­tun­gen vor­neh­men, die einer Vor­ab­kon­trol­le unter­lie­gen, oder per­so­nen­be­zo­ge­ne Daten geschäfts­mä­ßig zum Zweck der Über­mitt­lung, der anony­mi­sier­ten Über­mitt­lung oder für Zwe­cke der Markt- oder Mei­nungs­for­schung auto­ma­ti­siert ver­ar­bei­ten, haben sie unab­hän­gig von der Anzahl der mit der auto­ma­ti­sier­ten Ver­ar­bei­tung beschäf­tig­ten Per­so­nen einen Beauf­trag­ten für den Daten­schutz zu bestellen.

Auch hier ist kei­ne Rede von einer Zumut­bar­keit für Unter­neh­men. Bestell­pflicht ist Bestell­pflicht! Jedoch gestat­tet der Gesetz­ge­ber mit § 4f Absatz 2 BDSG eine exter­ne Bestellung:

Zum Beauf­trag­ten für den Daten­schutz kann auch eine Per­son außer­halb der ver­ant­wort­li­chen Stel­le bestellt wer­den; die Kon­trol­le erstreckt sich auch auf per­so­nen­be­zo­ge­ne Daten, die einem Berufs- oder beson­de­ren Amts­ge­heim­nis, ins­be­son­de­re dem Steu­er­ge­heim­nis nach § 30 der Abga­ben­ord­nung, unterliegen

Die­se Mög­lich­keit bie­tet gera­de klei­nen und mitt­le­ren mit­tel­stän­di­schen Unter­neh­men ein hohes Maß an Fle­xi­bi­li­tät, Kos­ten­trans­pa­renz und auch Ein­spar­po­ten­ti­al. Denn die Bestel­lung eines exter­nen Daten­schutz­be­auf­trag­ten bringt zahl­rei­che Vor­tei­le für ein Unter­neh­men mit sich.

Die Vor­tei­le des exter­nen Datenschutzbeauftragten

Ein intern bestell­ter Daten­schutz­be­auf­trag­ter ist nicht wei­sungs­ge­bun­den und frei in sei­ner Zeit­ein­tei­lung. Er genießt einen erwei­ter­ten Kün­di­gungs­schutz und kann nicht ein­fach so abbe­ru­fen wer­den. Gleich­zei­tig trägt das Unter­neh­men die Kos­ten für Aus- und Wei­ter­bil­dung (die­se ist gesetz­lich vor­ge­schrie­ben) und muss Raum und Mate­ri­al zur Ver­fü­gung stel­len. Ein inter­ner Daten­schutz­be­auf­trag­ter bringt kei­nen Ver­si­che­rungs­schutz mit sich. Kos­ten­trans­pa­renz und Kos­ten­kon­trol­le Fehlanzeige!

Bestel­len Sie jedoch einen exter­nen Daten­schutz­be­auf­trag­ten, lie­gen die Vor­tei­le klar auf der Hand. Die­ser Exter­ne arbei­tet im Rah­men eines Pro­jekt­auf­trags. Die Kos­ten sind trans­pa­rent und über­schau­bar. Sei­ne Bestel­lung kann wider­ru­fen wer­den, beson­de­ren Kün­di­gungs­schutz kennt ein exter­ner Ver­trag nicht. Die Kos­ten für sei­ne Aus- und Wei­ter­bil­dung trägt der Exter­ne selbst, eben­so wie für die not­wen­di­ge Aus­stat­tung mit Soft­ware (Lizen­zen), Lite­ra­tur und sein Büro. Ein exter­ner Daten­schutz­be­auf­trag­ter ver­fügt über aus­rei­chen­den Ver­si­che­rungs­schutz, wel­cher sich auf sei­ne Tätig­keit für das Unter­neh­men erstreckt (las­sen Sie sich die­se stets nach­wei­sen!!). Ziel­kon­flik­te sind durch die Aus­glie­de­rung kein The­ma. Als Sah­ne­häub­chen erhält Ihr Unter­neh­men Zugriff auf des­sen bran­chen­über­grei­fen­des Know How.

Wer nicht, zu spät oder pro for­ma bestellt, setzt sich einem erheb­li­chen Buß­geld­ri­si­ko bis 50.000 Euro aus.

Über­zeugt? Dann ver­ein­ba­ren Sie doch gleich in unver­bind­li­ches und kos­ten­lo­ses Erstberatungsgespräch!

[vfb id=3]

 

Lesen Sie hier die ande­ren Tei­le der Serie “Irr­tü­mer im Datenschutz”:

 

Die mobile Version verlassen