Zum Inhalt springen

DSGVO

Arti­kel 32 DSGVO — Sicher­heit der Verarbeitung

Es dürf­te sich rum­ge­spro­chen haben: Per­so­nen­be­zo­ge­ne Daten sind zu schüt­zen. Das es dabei nur sekun­där um die per­so­nen­be­zo­ge­nen Daten an sich geht, son­dern pri­mär die Per­son vor Scha­den bewahrt wer­den soll, auf die sich die­se Daten bezie­hen (der sog. “Betrof­fe­ne”), wird den meis­ten Anwen­dern der DSGVO eben­falls klar sein. Doch was will der Gesetz­ge­ber hier eigent­lich von den sog. “Ver­ant­wort­li­chen”, also all den Unter­neh­men, Ver­ei­nen, Bun­des- und Lan­des­be­hör­den sowie Kom­mu­nal­ver­wal­tun­gen? Wer­fen wir mal einen Blick auf Arti­kel 32 DSGVO.

So steht es in Arti­kel 32 DSGVO

  1. Unter Berück­sich­ti­gung des Stands der Tech­nik, der Imple­men­tie­rungs­kos­ten und der Art, des Umfangs, der Umstän­de und der Zwe­cke der Ver­ar­bei­tung sowie der unter­schied­li­chen Ein­tritts­wahr­schein­lich­keit und Schwe­re des Risi­kos für die Rech­te und Frei­hei­ten natür­li­cher Per­so­nen tref­fen der Ver­ant­wort­li­che und der Auf­trags­ver­ar­bei­ter geeig­ne­te tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men, um ein dem Risi­ko ange­mes­se­nes Schutz­ni­veau zu gewähr­leis­ten; die­se Maß­nah­men schlie­ßen gege­be­nen­falls unter ande­rem Fol­gen­des ein: a) die Pseud­ony­mi­sie­rung und Ver­schlüs­se­lung per­so­nen­be­zo­ge­ner Daten; b) die Fähig­keit, die Ver­trau­lich­keit, Inte­gri­tät, Ver­füg­bar­keit und Belast­bar­keit der Sys­te­me und Diens­te im Zusam­men­hang mit der Ver­ar­bei­tung auf Dau­er sicher­zu­stel­len; c) die Fähig­keit, die Ver­füg­bar­keit der per­so­nen­be­zo­ge­nen Daten und den Zugang zu ihnen bei einem phy­si­schen oder tech­ni­schen Zwi­schen­fall rasch wie­der­her­zu­stel­len; d) ein Ver­fah­ren zur regel­mä­ßi­gen Über­prü­fung, Bewer­tung und Eva­lu­ie­rung der Wirk­sam­keit der tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men zur Gewähr­leis­tung der Sicher­heit der Verarbeitung.

  2. Bei der Beur­tei­lung des ange­mes­se­nen Schutz­ni­veaus sind ins­be­son­de­re die Risi­ken zu berück­sich­ti­gen, die mit der Ver­ar­bei­tung ver­bun­den sind, ins­be­son­de­re durch – ob unbe­ab­sich­tigt oder unrecht­mä­ßig – Ver­nich­tung, Ver­lust, Ver­än­de­rung oder unbe­fug­te Offen­le­gung von bezie­hungs­wei­se unbe­fug­ten Zugang zu per­so­nen­be­zo­ge­nen Daten, die über­mit­telt, gespei­chert oder auf ande­re Wei­se ver­ar­bei­tet wurden.

  3. Die Ein­hal­tung geneh­mig­ter Ver­hal­tens­re­geln gemäß Arti­kel 40 oder eines geneh­mig­ten Zer­ti­fi­zie­rungs­ver­fah­rens gemäß Arti­kel 42 kann als Fak­tor her­an­ge­zo­gen wer­den, um die Erfül­lung der in Absatz 1 des vor­lie­gen­den Arti­kels genann­ten Anfor­de­run­gen nachzuweisen.

  4. Der Ver­ant­wort­li­che und der Auf­trags­ver­ar­bei­ter unter­neh­men Schrit­te, um sicher­zu­stel­len, dass ihnen unter­stell­te natür­li­che Per­so­nen, die Zugang zu per­so­nen­be­zo­ge­nen Daten haben, die­se nur auf Anwei­sung des Ver­ant­wort­li­chen ver­ar­bei­ten, es sei denn, sie sind nach dem Recht der Uni­on oder der Mit­glied­staa­ten zur Ver­ar­bei­tung verpflichtet.

Was will Arti­kel 32 DSGVO in der Praxis?

Dreh- und Angel­punkt sind die tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men, auch kurz TOM genannt. Mit­tels einer geeig­ne­ten Aus­wahl und Anwen­dung die­ser Schutz­maß­nah­men (qua­si eine Art Werk­zeug­kas­ten) sol­len per­so­nen­be­zo­ge­ne Daten vor den all­täg­li­chen Risi­ken bei deren Ver­ar­bei­tung (also Erhe­bung, Spei­che­rung, Nut­zung, aber auch beab­sich­tig­ter Löschung und Ver­nich­tung) geschützt wer­den. Dabei soll nicht alles an Schutz­maß­nah­men ergrif­fen wer­den, was irgend­wie geht, son­dern der Gesetz­ge­ber spricht von einer Ange­mes­sen­heit. Die Schutz­maß­nah­men müs­sen also zum Schutz­wert der betrof­fe­nen per­so­nen­be­zo­ge­nen Daten pas­sen. Dabei sol­len dann auch Fak­to­ren wie die Ein­tritts­wahr­schein­lich­keit und das zu erwar­ten­de Scha­dens­aus­maß für den Betrof­fe­nen — ganz wich­tig: nicht für die eige­ne Orga­ni­sa­ti­on — berück­sich­tigt werden.

Inter­es­san­ter­wei­se erfin­det “der Daten­schutz” hier das Rad mal nicht neu.  Wir fin­den Punk­te wie

  • Ver­trau­lich­keit,
  • Inte­gri­tät und
  • Ver­füg­bar­keit,
  • die Sicher­stel­lung der Wie­der­her­stell­bar­keit von Daten z.B. im Rah­men von Busi­ness Con­ti­nui­ty Manage­ment und Not­fall­ma­nage­ment, aber auch
  • Revi­si­ons­zy­klen (PDCA) zur Über­prü­fung der Wirk­sam­keit vor­han­de­ner Schutz­maß­nah­men sowie zur
  • Iden­ti­fi­ka­ti­on von mög­li­cher­wei­se zusätz­li­chen oder anzu­pas­sen­den Schutz­maß­nah­men auf­grund neu­er Risi­ken oder Ver­än­de­run­gen an bestehen­den Risiken.

Und ganz egal, ob man das hören mag oder nicht: Am Ende beschrei­ben die­se Punk­te und Begriff­lich­kei­ten ein klas­si­sches Infor­ma­ti­ons­si­cher­heits­ma­nage­ment­sys­tem, kurz ISMS. Wer sich mit dem The­ma Infor­ma­ti­ons­si­cher­heit schon näher befasst hat, wird fest­stel­len: Per­so­nen­be­zo­ge­ne Daten sind eine Unter­men­ge der schüt­zens­wer­ten Infor­ma­tio­nen einer Orga­ni­sa­ti­on. Na, schau mal einer an.

Schreibt Arti­kel 32 DSGVO nun ein ISMS vor?

Die Begrif­fe Infor­ma­ti­ons­si­cher­heit oder ISMS fal­len zwar nicht wört­lich, aber gera­de die in Arti­kel 32 Absatz 1 DSGVO genann­ten Punk­te, beschrei­ben dem Sinn nach nichts ande­res als ein Infor­ma­ti­ons­si­cher­heits­kon­zept bzw. ISMS. Das bedeu­tet nun nicht, dass man ein sol­ches ISMS zur Ein­hal­tung von Art. 32 DSGVO ein­füh­ren muss, um rechts­kon­form unter­wegs zu sein. Aber es wird halt müh­se­lig. Gut, es gibt immer Men­schen und Orga­ni­sa­tio­nen, die mögen es umständlich 🙂

Was liegt also näher, als sich die­sen Anfor­de­run­gen sys­te­ma­tisch zu nähern, statt ein­fach wild ein paar mög­li­cher­wei­se geeig­ne­te Schutz­maß­nah­men zusam­men­zu­schus­tern? Und sobald man ein Infor­ma­ti­ons­si­cher­heits­kon­zept ein­ge­führt hat, geht es ja nicht nur den per­so­nen­be­zo­ge­nen Daten gut. Auch alle ande­ren “Kron­ju­we­len” einer Orga­ni­sa­ti­on füh­len sich behü­tet und beschützt. Also gleich meh­re­re Flie­gen mit einer Klap­pe erschla­gen. Grü­ße vom tap­fe­ren Schneiderlein.

Dabei soll­te man jedoch im Hin­ter­kopf behal­ten, dass Infor­ma­ti­ons­si­cher­heit sich im Rah­men der sog. Risi­ko­ana­ly­se vor­ran­gig mit den Aus­wir­kun­gen auf die Orga­ni­sa­ti­on befasst. Die Fra­ge­stel­lung lau­tet zu Beginn: Was für Aus­wir­kun­gen haben die Ver­let­zung der Ver­trau­lich­keit, Inte­gri­tät oder Ver­füg­bar­keit von schüt­zens­wer­ten Infor­ma­tio­nen (und damit sind per­so­nen­be­zo­ge­ne Daten ein­ge­schlo­sen) für mei­ne Orga­ni­sa­ti­on im Hin­blick auf

  • mög­li­che Ver­trags­ver­let­zun­gen und Rechtsverstöße,
  • finan­zi­el­le Schä­den wie Ver­trags­stra­fen, Buß­gel­der oder auch Schadenersatz,
  • nega­ti­ve Aus­wir­kun­gen auf Repu­ta­ti­on /​ Image,
  • mög­li­che Beein­träch­ti­gung der Aufgabenerfüllung,
  • mög­li­che Beein­träch­ti­gun­gen der infor­ma­tio­nel­len Selbst­be­stim­mung (Daten­schutz) und
  • bei einem Side­kick in Rich­tung Not­fall­ma­nage­ment auch Gefahr für Leib und Leben.

Die Risi­ken im Bereich Daten­schutz wer­den zwar schon grob erfasst, aber im Hin­blick auf die Aus­wir­kun­gen für die Orga­ni­sa­ti­on. Der Trick besteht dar­in, mög­li­che Risi­ken für den Betrof­fe­nen wie Iden­ti­täts­dieb­stahl oder Ver­lust sei­ner Betrof­fe­nen­rech­te und noch wei­te­rer Punk­te zu inklu­die­ren. Kein Hexen­werk. Und vor allem muss man das Rad nicht neu erfinden.

Wel­che Sys­te­ma­tik für ein Infor­ma­ti­ons­si­cher­heits­kon­zept darf es denn sein?

Das Schö­ne ist, es gibt auf dem Markt seit Jahr­zehn­ten bewähr­te und kon­ti­nu­ier­lich wei­ter­ent­wi­ckel­te Stan­dards für Infor­ma­ti­ons­si­cher­heit. Und selbst wenn die­se die Aus­wir­kun­gen im Daten­schutz für den Betrof­fe­nen nicht bereits inklu­diert haben, sind die­se in der Risi­ko­be­trach­tung mit weni­gen Hand­grif­fen inte­griert und berück­sich­tigt. “That’s no rocket science!”

Sicher ken­nen vie­le Leser eine ISO 27001 als welt­wei­te Norm für Infor­ma­ti­ons­si­cher­heit oder auch den IT-Grund­schutz des Bun­des­amts für Sicher­heit in der Infor­ma­ti­ons­tech­nik (kurz BSI). Es hält sich das Gerücht hart­nä­ckig, die­se sei­en für klei­ne und kleins­te Orga­ni­sa­tio­nen viel zu groß und auf­wän­dig. Die Pra­xis zeigt, dem ist nicht so. Aber selbst, wenn man die­ser Argu­men­ta­ti­on folgt, so gibt es Alter­na­ti­ven wie (Rei­hen­fol­ge nicht wertend)

  • ISIS12 /​ CISIS12 — ein Infor­ma­ti­ons­si­cher­heits­kon­zept in 12 Schritten
  • SiKo­SH — in 7 Schrit­ten zu einem ISMS
  • VDS 10000 — ehe­mals 3473, ursprüng­lich ein Fra­ge­bo­gen für Risi­ken im Bereich Cybersicherheit
  • TISAX — im Kon­text von Auto­mo­bil­zu­lie­fe­rern weit ver­brei­tet oder
  • das unter dem Titel “Arbeits­hil­fe” bekann­te Kon­zept zu Ein­füh­rung und Betrieb eines ISMS der Inno­va­ti­ons­stif­tung Bay­ri­sche Kommune.

Dar­über­hin­aus gibt es auch noch wei­te­re Sys­te­ma­ti­ken und Vor­ge­hens­wei­sen, aber wir beschrän­ken uns mal auf die oben genann­ten Ver­tre­ter. Unse­re Emp­feh­lung lau­tet stets: Nut­zen Sie eine der vor­han­de­nen Vor­ge­hens­wei­sen und erfin­den Sie das Rad bit­te nicht neu. War­um? Die­se Vor­ge­hens­wei­sen /​ Ver­tre­ter für ein ISMS

  • haben sich über lan­ge Zeit in der Pra­xis bewährt,
  • sind für jede Art von Orga­ni­sa­ti­on anwend­bar, da — welch’ Über­ra­schung — Infor­ma­ti­ons­si­cher­heit uni­ver­sell ist,
  • decken alle­samt stets die Min­dest­an­for­de­run­gen an Infor­ma­ti­ons­si­cher­heit ab,
  • sind ska­lier­bar im Hin­blick auf Orga­ni­sa­ti­ons­grö­ßen aber auch auf das zu errei­chen­de Sicherheitsniveau,
  • spa­ren Ihnen Zeit und Nerven,
  • hel­fen, gern gemach­te Feh­ler bei Ein­füh­rung und Betrieb eines ISMS von vorn­her­ein zu ver­mei­den (RTFM).

Die “Arbeits­hil­fe” — der idea­le Ein­stieg in Arti­kel 32 DSGVO für klei­ne und gro­ße Einrichtungen

Wes­sen Orga­ni­sa­ti­on noch so gar kei­ne Erfah­rung hat mit dem The­ma Infor­ma­ti­ons­si­cher­heit oder die ISO 27001 und dem IT-Grund­schutz für zu wuch­tig hält, steigt idea­ler­wei­se über die “Arbeits­hil­fe” in das The­ma ein. Damit kön­nen grö­ße­re Orga­ni­sa­tio­nen ers­te Erfah­run­gen sam­meln, bevor es danach mit “grö­ße­ren” Stan­dards ans Ein­ge­mach­te geht. Und bei klei­ne­ren Ein­rich­tun­gen kommt man bei kon­se­quen­ter Anwen­dung des Stan­dards “Arbeits­hil­fe” bereits zu einem funk­tio­nie­ren­den ISMS mit dazu­ge­hö­ri­gen PDCA-Zyklus.

Die­ser Stan­dard wur­de 2016 im Auf­trag der Bay­ri­schen Kom­mu­na­len Spit­zen­ver­bän­de von uns für die Inno­va­ti­ons­stif­tung Bay­ri­sche Kom­mu­ne ent­wi­ckelt. Mitt­ler­wei­le ist Ver­si­on 4.0 aktu­ell. Ein Update auf Ver­si­on 5.0 wird vor­aus­sicht­lich in 2023 erschei­nen. Ist der Stan­dard dann über­haupt für Unter­neh­men und Ver­ei­ne geeig­net, wenn er doch aus dem kom­mu­na­len Bereich stammt? Ja klar. Wie zuvor schon geschrie­ben, ist Infor­ma­ti­ons­si­cher­heit eine uni­ver­sel­le Ange­le­gen­heit, die vom anzu­stre­ben­den Schutz­wert für schüt­zens­wer­te Infor­ma­tio­nen aus­geht. Dabei ist es uner­heb­lich, ob eine Fir­ma oder eine Ver­wal­tung Infor­ma­ti­ons­si­cher­heit betreibt. Der ein­zi­ge Knack­punkt bei Nut­zung der Arbeits­hil­fe: Gele­gent­lich muss man Begriff­lich­kei­ten wie Bür­ger­meis­ter, Land­rat oder Ver­wal­tung gegen die Pen­dants aus der frei­en Wirt­schaft tau­schen. Aber das bekom­men Sie hin 🙂

In 9 Kapi­teln führt die “Arbeits­hil­fe” eine Orga­ni­sa­ti­on in die not­wen­di­gen Anfor­de­run­gen für ein ISMS ein und legt die Grund­la­gen für den spä­te­ren Betrieb im Hin­blick auf “ein Ver­fah­ren zur regel­mä­ßi­gen Über­prü­fung, Bewer­tung und Eva­lu­ie­rung der Wirk­sam­keit der tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men zur Gewähr­leis­tung der Sicher­heit der Ver­ar­bei­tung.” Gleich­zei­tig unter­stützt die Sys­te­ma­tik bei der Ent­de­ckung mög­li­cher Schwach­stel­len und zeigt Lösungs­we­ge auf, die­se zeit­nah zu beseitigen.

Die Sys­te­ma­tik, Anlei­tung und Doku­men­te zur Bear­bei­tung der “Arbeits­hil­fe” ste­hen kos­ten­frei zum Down­load zur Ver­fü­gung. Im ers­ten Durch­lauf wer­den auch kei­ne Inves­ti­tio­nen in eine ISMS-Soft­ware not­wen­dig. Im lau­fen­den Betrieb emp­fiehlt sich die­se dann spä­ter jedoch, um die Doku­men­ta­ti­on und regel­mä­ßi­ge Nach­prü­fung, aber auch das Berichts­we­sen zu erleich­tern. Bei Inter­es­se an einer sol­chen Lösung spre­chen Sie uns bit­te an.

Klei­nes Schman­kerl: Je nach Bun­des­land kön­nen För­der­mit­tel aus diver­sen Töp­fen zur Erhö­hung der Infor­ma­ti­ons­si­cher­heit oder IT-Sicher­heit oder Digi­ta­li­sie­rung ange­zapft wer­den. Wenn Sie sich also zur Unter­stüt­zung und Beglei­tung der Ein­füh­rung oder auch für Mit­ar­bei­ter­schu­lun­gen exter­ne Hil­fe her­an­ho­len, kön­nen die Aus­ga­ben hier­für geför­dert werden.

Wei­te­re Infos zur Arbeits­hil­fe fin­den Sie hier auf unse­rem Blog.

Wenn man ein sol­ches ISMS dann auch noch mit einem funk­tio­nie­ren­den Daten­schutz­ma­nage­ment­sys­tem (DSMS) ver­knüpft, dann hat man eini­ge Sor­gen weni­ger bzw. sich unnö­ti­ge Umstän­de und Mühen auf­grund unsys­te­ma­ti­scher Vor­ge­hens­wei­sen erfasst. Gleich­zei­tig hat man, den akti­ven Betrieb bei­der Sys­te­me vor­aus­ge­setzt, auch nicht ban­ge zu sein, soll­te die Lan­des­da­ten­schutz­be­hör­de mal klin­geln. Und das ist viel wert. Das wis­sen zumin­dest die Orga­ni­sa­tio­nen, bei denen das schon der Fall war 😉

 

Infor­ma­ti­ons­pflich­ten des Weih­nachts­manns zu Art. 13 und 14 DSGVO geleakt

Auch wenn sich die meis­ten Betrof­fe­nen nicht für die Anga­ben zu den Infor­ma­ti­ons­pflich­ten nach Art. 13 und 14 DSGVO inter­es­sie­ren, ist es uns gelun­gen, die­se Anga­ben dem Weih­nachts­mann und sei­nem Team zu ent­lo­cken. Wie es scheint, gab es da oben aber schon eini­ges an Glüh­wein. Anders kön­nen wir uns die­ses Doku­ment nicht erklä­ren. Doch lesen Sie selbst oder laden das PDF im Anhang.

Wir wün­schen allen Lese­rIn­nen unse­res Blogs und News­let­ters ein geseg­ne­tes Weih­nachts­fest und einen guten Rusch ins Neue Jahr. Bit­te blei­ben Sie gesund #flat­ten­the­cur­ve

Infor­ma­ti­ons­pflich­ten des Weih­nachts­manns zu Art. 13 und 14 DSGVO

Im Rah­men die­ses Doku­ments infor­mie­ren wir Sie über die Ver­ar­bei­tung Ihrer per­so­nen­be­zo­ge­nen Daten in unse­rer Orga­ni­sa­ti­on, auch wenn das eigent­lich nie­man­den inter­es­siert. Alle wol­len immer nur Geschenke.

Ver­ant­wort­li­che Stel­le: Der Weih­nachts­mann, Christ­baum­stra­ße, 99999 Wol­ken­schlosss. Wir sind aus­schließ­lich per Wunsch­zet­tel erreichbar.

Daten­schutz­be­auf­trag­ter: Das Christ­kind. Kon­takt via Notiz auf dem Wunschzettel.

Sie wol­len doch was von uns, näm­lich Geschen­ke. Also her mit Vor­na­men (bei Kin­dern unter 18 Jah­ren aus­rei­chend) und /​ oder Nach­na­me, Adres­se (wäre toll, wenn Sie aus­nahms­wei­se mal nicht ver­schlüs­selt, son­dern leser­lich schrei­ben), dem Weih­nachts­wunsch (Dezen­ter Hin­weis: Das sind Wün­sche, kei­ne Bestel­lun­gen!). Wir ergän­zen unse­rer­seits Ihr Betra­gen im letz­ten Jahr.

Die Rechts­grund­la­gen unse­rer Ver­ar­bei­tung sind ganz ein­fach: Sie bekom­men Geschen­ke, wir Ihre Daten.

Falls Rudi und sei­ne Kol­le­gen mal wie­der zu vie­le Weih­nachts­kek­se gefres­sen haben, geben wir Ihre Daten unge­fragt an Ver­sand­dienst­leis­ter zwecks Zustel­lung der Geschen­ke wei­ter. Da wir auch in Deutsch­land tätig sind, erhält die Buch­hal­tung noch über alles einen Beleg. Sie ken­nen das ja mit die­sem Finanz­amt, die ver­ste­hen kei­nen Spaß.

Wir erbrin­gen unse­re Leis­tun­gen zwar aus einem Wol­ken­schloss, nut­zen aber ansons­ten kei­ner­lei Cloud-Ser­vices. Zur Sicher­stel­lung der Sicher­heit der Ver­ar­bei­tung gemäß Art. 32 DSGVO ste­hen uns jedoch aus­rei­chend Schutz­maß­nah­men in Form von

zur Ver­fü­gung. Las­sen Sie sich vom nied­li­chen Äuße­ren nicht täuschen.

Ihre Daten löschen wir direkt bei Weg­fall des Ver­wen­dungs­zwecks mit der Zustel­lung des Geschenks. Rekla­ma­tio­nen direkt bei uns sind daher aus­ge­schlos­sen. Wir wis­sen von nichts! Nach­fra­gen zwecklos.

Für gewöhn­lich erhal­ten wir Ihre Daten direkt von Ihnen. Aus­nah­men sind Wün­sche, die von Ver­wand­ten in direk­ter bzw. indi­rek­ter Linie für Sie über­mit­telt wer­den. Ok, manch­mal auch von Freun­den. Aber nur von wirk­lich guten Freun­den … „Engel!! Wer hat jetzt schon wie­der das Was­ser gegen die­sen Anis­schnaps ausgetauscht?“

Wir selbst recher­chie­ren kei­ne per­so­nen­be­zo­ge­nen Daten z.B. in sozia­len Netz­wer­ken. Das wür­de uns zwar eini­ges an Arbeit spa­ren, da zahl­rei­che Geschen­ke ent­fal­len könn­ten, aber wir wol­len mal nicht so sein. Ist ja schließ­lich Weih­nach­ten. Aber: „Maik und Ingrid, löscht doch bit­te mal die Bil­der von eurem letz­ten Par­ty-Absturz. Die will wirk­lich kei­ner sehen!“

Sie haben zwar das Recht, Aus­kunft über die zu Ihrer Per­son gespei­cher­ten Daten zu erhal­ten (Art. 15 DSGVO), nur was wol­len Sie fra­gen, was Sie nicht selbst schon alles über sich wis­sen? Nein, unser Aus­kunfts­ser­vice steht nicht zur Ver­fü­gung, um die Lücken Ihres letz­ten Hang Over zu schließen.

Lie­gen die gesetz­li­chen Vor­aus­set­zun­gen vor, so kön­nen Sie die Löschung oder Ein­schrän­kung der Ver­ar­bei­tung ver­lan­gen sowie Wider­spruch gegen die Ver­ar­bei­tung ein­le­gen (Art. 17, 18 und 21 DSGVO). Dann gibt es aber auch kei­ne Geschen­ke – ganz ein­fach. Allabätsch!

Wei­ter­hin besteht ein Beschwer­de­recht bei einer Daten­schutz­auf­sicht Ihrer Wahl. Aus­wir­kun­gen einer sol­chen Beschwer­de auf zukünf­ti­ge Geschen­ke sind Zufall und kei­nes­falls in Ver­bin­dung mit Ihrer Beschwer­de zu sehen.

Und jetzt: Geseg­ne­te Fei­er­ta­ge! Wir haben zu arbei­ten, also sehen Sie bit­te von Nach­fra­gen ab.

Weih­nachts­mann und Team

PS: Bit­te schwär­zen Sie im Zuge der DSGVO weder Namen und Anschrift auf Ihrem Wunsch­zet­tel. DANKE!

291 Downloads

E‑Privacy und der geleb­te Datenschutz

Am 04.11.2020 wur­de ein Ent­wurf für eine E‑Privacy Ver­ordnung von der EU-Rats­prä­si­dent­schaft den Mit­glieds­staa­ten vor­ge­legt. Die­sem zufol­ge sind die Ver­ar­bei­tung etwa von Stand­ort- und Zugriffs­da­ten /​ das Set­zen von cookies, die auf den End­ge­rä­ten von ‘visi­tors´ gespei­chert wer­den, unter dem pau­scha­len Ver­weis auf berech­tig­tes Inter­es­se und ohne fun­dier­te(re) Rechts­grund­la­ge nicht zuläs­sig. 

Aus­nah­men die­ser E-Priva­cy Aspek­te 

Für ver­tret­ba­re Ver­ar­bei­tun­gen, die aus Sicht der Ent­wer­fen­den ohne Rechts­grund­la­ge zuläs­sig blei­ben müssten, sind Erlaub­nis­tat­be­stän­de in den E‑Privacy Ent­wurf ein­ge­flos­sen. Hier kamen etwa IT-Sicher­heitfraud pre­ven­ti­onDirekt­wer­bung in Betracht. Auch für mes­sa­ging- und (ande­re) Tele­kom­mu­ni­ka­ti­ons­an­bie­ter ist die Ver­ar­bei­tung der Daten ihrer Nut­zer unter Ein­wil­li­gung wei­ter­hin eingeräumt. Wenn Inhal­te auf einer web­site unent­gelt­lich ange­bo­ten wer­den und die Finan­zie­rung des­sen über Wer­be­ban­ner erfolgt, dür­fe die Nut­zung durch die visi­tors wei­ter­hin an das Set­zen von coo­kies ohne Ein­wil­li­gung /​ Geneh­mi­gung gekop­pelt wer­den, soweit ihm ver­schie­de­ne Optio­nen mittels ‘prä­zi­ser Infor­ma­tio­nen´ auf­ge­zeigt wür­den. In sei­nem Bei­trag zu die­sem The­ma führt hei​se​.de ein Bei­spiel die­ser Pra­xis mit “Spie­gel Online” an, wonach man der Ver­ar­bei­tung sei­ner Daten im vor­ge­nann­ten Sin­ne nur durch Abon­ne­ment ent­ge­hen kön­ne. 

Inte­gri­tät und Vertraulichkeit

Im Fokus steht auch die mit der geplan­ten E‑Privacy Ver­ord­nung den Mit­glied­staa­ten ein­zu­räu­men­de Mög­lich­keit der ‘recht­mä­ßigen Über­wachung´ elek­tro­ni­scher Kom­mu­ni­ka­ti­on, d.h. Tele­kom­mu­ni­ka­ti­ons­an­bie­ter ent­spre­chend in die Pflicht zur Her­aus­ga­be von Stand­ort- und Ver­bin­dungs­da­ten neh­men zu kön­nen. Geset­zen zur Vor­rats­da­ten­spei­che­rung auf natio­na­ler Ebe­ne soll in bestimm­ten Gren­zen eben­falls Raum gege­ben wer­den. 

E‑Privacy und das Nut­zer­ver­hal­ten 

Hand aufs Herz — wer kennt die ‘do not track´ Funk­tio­na­li­tät und wer nutzt sie? Las­sen Sie es uns im Kom­men­tar­feld wis­sen und was Sie davon hal­ten. Der Ansatz, die Ver­ar­bei­tung von User­da­ten ein­zu­gren­zen schei­ter­te, u.a. weil Wer­be­indus­trie & Co. ihn nicht aner­kann­te. Wie kann man nur so gemein sein? 🙂 Auch in der vor­lie­gen­den E‑Privacy Ver­ord­nung in spe ist eine erset­zen­de oder ver­bes­sern­de Rege­lung nicht ent­hal­ten. Indes wur­de der EDSA (Euro­päi­scher Daten­schutz­aus­schuss) ersucht, ent­spre­chen­de Richt­li­ni­en sowie Empfehlungen zu fas­sen. 

Wei­te­re Aus­nah­men von dem Ein­wil­li­gungs­ge­bot könn­ten sich bei Waren­kör­ben, der im Hin­ter­grund ablau­fen­den Prü­fung der Iden­ti­tät von Per­so­nen bei online Trans­ak­tio­nen und zum Zwe­cke des Web­de­signs und der Wer­bung erge­ben. 

Die vor­ge­schla­ge­ne E‑Privacy Ver­ord­nung erstreckt sich auch auf das IoT über öffent­li­che Net­ze. Intel­li­gen­te Hab­se­lig­kei­ten wie medi­zi­ni­sche Gerä­te, Autos, Wasch­ma­schi­nen etc dür­fen auch wei­ter­hin in Daten­ver­ar­bei­tun­gen durch Anbie­ter invol­viert wer­den, ohne dass eine Ein­wil­li­gung /​ Kennt­nis des Besit­zers not­wen­dig wäre. Indes dür­fen die ‘Funk­tio­na­li­tä­ten´ der hard- und soft­wares nicht abge­än­dert wer­den. Das ist schon eine Beru­hi­gung, wenn man die Futura­ma Fol­ge kennt, in der die (Nutz-)Roboter rebellieren 😉 Lie­be Ver­schwö­rungs­theo­re­ti­ker — dies ist ein Scherz und bit­te nut­zen Sie die­sen nicht weiter. 

Dash­cams erlaubt? Im Daten­schutz Check

Wer hat nicht schon ein­mal mit einer sol­chen gelieb­äu­gelt? Der Kom­fort und die Rechts­si­cher­heit der Dash­cams, klei­ne Kame­ras hin­ter der Wind­schutz­schei­be, am Len­ker oder wel­che Vehi­kel auch immer bevor­zugt wer­den, erschei­nen als ein­deu­ti­ges Ver­hält­nis­mä­ßig­keits­kri­te­ri­um. Aller­dings sind sie durch­aus nicht unein­ge­schränkt und in jedem Land erlaubt. Was zu beach­ten ist, erklärt die­ser Beitrag. 

Die Funk­ti­ons­wei­se  

Dash­cams sol­len ins­be­son­de­re das Ver­kehrs­ge­sche­hen und ‑unfäl­le auf­zeich­nen, um tat­sa­chen­wid­ri­gen bzw. par­tei­ischen Aus­sa­gen ent­ge­gen­zu­wir­ken und eine ein­deu­ti­ge Beweis­füh­rung zu ermög­li­chen. Dass die Vide­os jeden Auf­ge­nom­me­nen belas­ten kön­nen — ein­schließ­lich des Dash­cam Besit­zers, muss nicht geson­dert erwähnt wer­den. Ange­schlos­sen an die Bord­elek­tro­nik und /​ oder per Akku sind sie in der Lage, auf Micro SD Kar­ten im Giga­byte Bereich in End­los­schlei­fe auf­zu­zeich­nen. Diver­se Model­le haben auch Bewe­gungs­sen­so­ren und Infrarotsicht. 

Dash­cams in der prak­ti­schen Anwen­dung 

Die Auf­zeich­nung amt­li­cher Kenn­zei­chen und Per­so­nen ist eine Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten. Das online Stel­len kennt­li­cher Inhal­te ist selbst­ver­ständ­lich ein­deu­tig ein Ver­stoß gegen die infor­ma­tio­nel­le Selbst­be­stim­mung. Aus behörd­li­cher Daten­schutz­sicht geht der Tenor dahin, dass der Betrieb von Dash­cams auch dann als unzu­läs­sig zu betrach­ten ist, wenn kurz und anlass­be­zo­gen auf­ge­zeich­net wird, da natur­ge­mäß kei­ne Infor­ma­ti­ons­pflich­ten über Zweck etc. mit­ge­teilt wer­den kön­nen. Nicht umsonst ach­tet man bei Video­über­wa­chung in Fir­men und ande­ren Ein­rich­tun­gen auf Beschil­de­rung außer­halb des Erfas­sungs­be­reichs u.a. mit den Zwe­cken und den Daten des Aufzeichnenden. 

Die Kri­te­ri­en einer daten­schutz­kon­for­men Video­auf­zeich­nung sind nicht in Stein gemei­ßelt, aber klar defi­nier­bar. Gene­rell geht es um die Kennt­nis der kon­kre­ten Umstän­de und einer sach­ge­rech­ten Abwä­gung der Rechtsgüter. 

Auch Gene­rell Iin Fra­gen der rich­ti­gen Beur­tei­lung und der rechts­si­che­ren daten­schutz­kon­for­men Pro­zess­ge­stal­tung steht Ihnen unser Team als exter­ne Daten­schutz­be­auf­trag­te und Infor­ma­ti­ons­si­cher­heits­be­auf­trag­te zur Sei­te

Die Fra­ge zur Zuläs­sig­keit von Dash­cams vor dem BGH 

In sei­ner Ent­schei­dung VI ZR 233/​17 vom 15.05.2018 ent­schied der Bun­des­ge­richts­hof, dass Dash­cam-Auf­zeich­nun­gen im Unfall­haft­pflicht­pro­zess aus zivil­recht­li­cher Sicht ver­wert­bar sein kön­nen. Im Ein­zel­fall sei jeden­falls eine Inter­es­sen- und Güter­ab­wä­gung vorzunehmen. 

Über­wie­gen­de Inter­es­sen beim Ein­satz von Dash­cams 

Grund­sätz­lich wird man wohl das Inter­es­se des Dash­cam Betrei­bers den schutz­wür­di­gen Inter­es­sen ande­rer Ver­kehrs­teil­neh­mer unter­ord­nen müs­sen, ins­be­son­de­re dann, wenn per­ma­nen­te und nicht anlass­be­zo­ge­ne Auf­zeich­nun­gen vor­ge­nom­men wer­den. Ande­ren­falls wäre das Rechts­gut der infor­mel­len Selbst­be­stim­mung gefähr­det. Aller­dings ist die Anwen­dung von Dash­cams auch hin­sicht­lich der Ver­wer­tungs­fra­ge wei­ter­hin umstritten. 

Das BayL­DA kün­dig­te an, dass Über­mitt­lun­gen von Dash­cam-Auf­zeich­nun­gen an Poli­zei und Ver­si­che­run­gen als Ver­stoß gewer­tet und mit einem Buß­geld geahn­det wer­den könnten. 

Euro­pa­tag 2020 — Vide­orei­he des LfDI

In einer Pres­se­mit­tei­lung des Lan­des­be­auf­trag­ten für den Daten­schutz und die Infor­ma­ti­ons­frei­heit Baden-Würt­tem­berg (LfDI) vom 15.05.2020 wird zum Euro­pa­tag 2020 eine Vide­orei­he vorgestellt.

Jubi­lä­um — 70 Jah­re EU und der Daten­schutz zum Euro­pa­tag 2020

Der fran­zö­si­sche Außen­mi­nis­ter Robert Schu­man präg­te mit dem Aus­spruch, dass „Euro­pa [..] durch kon­kre­te Tat­sa­chen ent­ste­hen [wird], die zunächst eine Soli­da­ri­tät der Tat schaf­fen.“ am 09. Mai 1950 das poli­ti­sche Bewusst­sein für die Grün­dung der Euro­päi­sche Uni­on. Als Urhe­ber der DSGVO wird die EU sowie der Euro­pa­tag 2020 selbst­ver­ständ­lich auch von Daten­schüt­zern aller Her­ren Län­der began­gen und gefei­ert. Anläss­lich die­ses — 70-jäh­ri­gen — Jubi­lä­ums ehrt der Lan­des­be­auf­trag­te für den Daten­schutz und die Infor­ma­ti­ons­frei­heit Baden-Würt­tem­berg ein zusam­men­wach­sen­des Euro­pa auf beson­de­re Art.

Vide­orei­he des LfDI

Unter dem für „LfDI“ akro­ny­men Titel „Daten­schutz – zum Lua­ga fir Daho­im ond Ibe­r­all“ wer­den in locke­rer und auf­schluss­rei­cher Form The­men des Daten­schut­zes und der Infor­ma­ti­ons­si­cher­heit behan­delt und wie euro­pa­weit gel­ten­de Rege­lun­gen in dem Bun­des­land umge­setzt werden.

Das aktu­el­le Video zum Euro­pa­tag 2020

In der ers­ten Fol­ge wird eine Ein­füh­rung pas­send zum The­ma Daten­schutz zum Euro­pa­tag 2020 in das The­ma Daten­schutz ver­mit­telt mit Grund­be­grif­fen und Tipps. Neben Erläu­te­run­gen der Begrif­fe per­so­nen­be­zo­ge­ner Daten und der Ver­ar­bei­tung die­ser wer­den Sinn und Nut­zen des Daten­schut­zes prä­gnant the­ma­ti­siert. Letz­te­res ist noch nicht über­all eine Selbst­ver­ständ­lich­keit. Die Zuor­den­bar­keit von Daten zu Per­so­nen wird mit Bei­spie­len wie KFZ-Kenn­zei­chen und Video­auf­zeich­nun­gen ver­an­schau­licht. Tra­gen­de Grund­sät­ze des Daten­schut­zes wie u.a. die nach­fol­gen­den wer­den erklärt: 

  • Inte­gri­tät
  • Ver­trau­lich­keit
  • Zweck­bin­dung
  • Trans­pa­renz

Auch Recht­mä­ßig­keit, Rechen­schafts­pflich­ten und die Betrof­fe­nen­rech­te nach Artt. 15 ff. DSGVO sind Gegen­stand der Betrach­tung. Das Pro­zess­prin­zip Plan, Do, Check, Act sowie die Mel­dung von Daten­pan­nen auf dem online Wege und die Abgren­zung von Auf­trags­ver­ar­bei­tung und Gemein­sa­mer Ver­ant­wort­lich­keit iSd. Art. 26 DSGVO wer­den dem Zuschau­er näher gebracht.

Wei­te­re Epi­so­den zum Datenschutz

Nicht nur zum Euro­pa­tag 2020, son­dern gene­rell ist dies eine viel­ver­spre­chen­de Rei­he, Anwen­dern und Betrof­fe­nen wich­ti­ge Aspek­te des Daten­schut­zes und auch der Infor­ma­ti­ons­si­cher­heit in einem infor­ma­ti­ven und gut kon­su­mier­ba­ren For­mat anzu­bie­ten. Für die fol­gen­den Vide­os wer­den detail­lier­te­re The­men wie „Lösch­kon­zept“ und „Trans­pa­renz­pflicht“ ange­kün­digt. Adres­sa­ten der Vide­orei­he sei­en „ins­be­son­de­re [..] klei­ne und mit­tel­stän­di­sche Unter­neh­men, Ver­ei­ne und natür­lich auch an unse­re Kommunen.“

Trai­ning und Betreu­ung von Datenschutzexperten

Die Her­aus­for­de­run­gen für Unter­neh­men und Kom­mu­nen im Daten­schutz sind sehr anspruchs­voll. Ruf­schä­di­gen­de oder kos­ten­in­ten­si­ve Feh­ler sind schnell pas­siert. Wen­den Sie sich ver­trau­ens­voll an Ihren Daten­schutz­be­auf­trag­ten. Sie haben kei­nen? Dann for­dern Sie doch ein­fach ein unver­bind­li­ches Ange­bot für einen exter­nen Daten­schutz­be­auf­trag­ten bei uns an.

Infor­ma­ti­ons­si­cher­heit — IT-Sicher­heits­lü­cken und Daten­pan­nen 2019 und 2020 — Teil 2

Nach­fol­gend die Fort­set­zung des Bei­trags vom 18.04.2020 zu Cyber-Angrif­fen und Pan­nen in der Infor­ma­ti­ons­si­cher­heit /​ im Daten­schutz der letz­ten 12 Monate. 

Ober­lan­des­ge­richt Ber­lin wird gehackt - Infor­ma­ti­ons­si­cher­heit frag­lich 

Wer im Begriff war, ein Anlie­gen vor dem Ober­lan­des­ge­richt von Ber­lin (=Kam­mer­ge­richt Ber­lin) ver­han­deln zu las­sen, hat hof­fent­lich recht­zei­tig davon Abstand neh­men kön­nen. Denn damit konn­te er ver­hin­dern, dass sen­si­bels­te per­so­nen­be­zo­ge­ne und juris­ti­sche Infor­ma­tio­nen bei die­ser his­to­ri­schen Daten­pan­ne kom­pro­mit­tiert wur­den. Hier­mit wird nicht gesagt, dass es in ande­ren Berei­chen der Ber­li­ner Ver­wal­tung  bes­ser um die Infor­ma­ti­ons­si­cher­heit bestellt ist. Gene­rell ist in man­gel­haft gesi­cher­ten Berei­chen meis­tens nur die Stär­ke des Ver­mark­tungs- /​ Sabo­tag­einter­es­ses poten­zi­el­ler Hacker das maß­geb­li­che Kri­te­ri­um der tat­säch­li­chen Informationssicherheit. 

Im Sep­tem­ber 2019 wur­de fest­ge­stellt, dass von Sys­te­men des Kam­mer­ge­richts mit Ser­vern ver­bun­den war, die für die Fern­steue­rung schäd­li­cher Soft­ware typisch sind. 7 Tage spä­ter erfolg­te eine Vor­ort­prü­fung durch den IT-Dienst­leis­ter T‑Systems, der Emo­tet-Infek­tio­nen in diver­sen Sys­tem­be­rei­chen fest­stell­te und wei­te­re 14 Tage spä­ter wur­de der mut­maß­li­che Erst­in­fek­ti­ons-PC unter­sucht. Ursprung des Angriffs, wie vie­le Daten abge­flos­sen sind und seit wann, konn­te nicht fest­ge­stellt wer­den. Lücken in der Ermitt­lung wur­den mit Zeit- und finan­zi­el­len Aspek­ten begrün­det. Die Schad­soft­ware könn­te über einen USB-Stick auf die Sys­te­me gelangt sein. Die Sicher­heits­rou­ti­nen des Kam­mer­ge­richts erkann­ten die Emo­tet-Infil­trie­rung nicht. Eine Seg­men­tie­rung des Netz­werks hat­te man nicht vor­ge­nom­men, sodass sich die Schad­soft­ware unge­hin­dert aus­brei­ten und über eine Fern­steue­rung Daten expor­tie­ren konn­te. Fer­ner hat­te man die Datei­grö­ße des Event­logs der­ge­stalt limi­tiert, dass die rele­van­ten Pha­sen der Ereig­nis­do­ku­men­ta­ti­on bereits über­schrie­ben waren, als mit den Unter­su­chun­gen begon­nen wur­de. Wie­der­holt wur­de auf die beson­de­re Raf­fi­nes­se des Hackings hin­ge­wie­sen und „Sicher­heits­krei­se“ ver­mu­ten hin­ter dem Angriff orga­ni­sier­te Kri­mi­na­li­tät unter Feder­füh­rung des Nach­rich­ten­diens­tes der rus­si­schen Regie­rung. Wenn James Bond das wüsste … 

Der Bericht über den Vor­fall und die Unter­su­chun­gen vom Sep­tem­ber 2019 wur­de auf den 23.12.2019 datiert und Ende Janu­ar 2020 der Ber­li­ner Daten­schutz­be­auf­trag­ten zeit­gleich mit der Ver­öf­fent­li­chung vor­ge­legt. Die­se war hier­über „not amu­sed“ und for­der­te, dass „aus­schließ­lich mit dienst­li­chen Gerä­ten über eine zen­tral zur Ver­fü­gung gestell­te und aus­rei­chend abge­si­cher­te Infra­struk­tur“ Daten­ver­ar­bei­tun­gen zu erfol­gen haben. 

Es ist abzu­war­ten, ob Kon­se­quen­zen aus dem Vor­fall gezo­gen und die Stan­dards der Infor­ma­ti­ons­si­cher­heit in den Ver­wal­tungs­ein­rich­tun­gen der Haupt­stadt einer pro­fes­sio­nel­len Prü­fung unter­zo­gen wer­den oder ob wei­ter­hin Sicher­heits­vor­fäl­le fest­ge­stellt /​ öffent­lich gemacht werden. 

Bereits 2017/​2018 waren Sys­te­me des Bun­des­tags gehackt wor­den, wodurch die per­sön­li­chen Twit­ter­da­ten hun­der­ter Poli­ti­ker, Schau­spie­ler und Fern­seh­mo­de­ra­to­ren erbeu­tet wurden. 

2019-11 — Sicher­heits­lü­cke bei chi­ne­si­schem Smart­phone-Her­stel­ler 

Bereits zum zwei­ten Mal inner­halb von 2 Jah­ren kam es zu einer Daten­pan­ne bei dem chi­ne­si­schen Smart­phone-Her­stel­ler One­Plus. Über einen nicht bekann­ten Zeit­raum hin­weg war der Zugriff auf Kun­den­da­ten für Unbe­fug­te mög­lich. Betrof­fen sei­en Stamm- und Kon­takt­da­ten der Käu­fer gewe­sen. Eine Benach­rich­ti­gung der betrof­fe­nen Per­so­nen sei erfolgt. 

2019-12 — Daten­pan­ne bei der Luft­hansa

Für Kun­den der Miles & More GmbH, Toch­ter der Luft­han­sa, war es auf Grund eines mut­maß­li­chen tech­ni­schen Pro­blems für 40 Minu­ten mög­lich, auf per­so­nen­be­zo­ge­nen Daten ande­rer ein­ge­logg­ter Nut­zer der Online-Platt­form zuzu­grei­fen. Laut Luft­han­sa sei­en höchs­tens die Daten von 9.885 Miles & More-Kun­den betrof­fen. Betrof­fe­ne Daten waren: Stamm‑, Kon­takt- Kun­den- und Transaktionsdaten. 

2020-02 — Vor­fall in der Infor­ma­ti­ons­si­cher­heit bei Sam­sung 

Über den Dienst „Find My Mobi­le“, womit Smart­phones über eine Platt­form des Her­stel­lers geor­tet wer­den, ver­sand­te Sam­sung an „einen klei­nen Kreis“ von Nut­zern eine unver­ständ­li­che Nach­richt. Als sich die Betrof­fe­nen in ihrem Online-Kon­to bei Sam­sung ein­logg­ten, um Ihre Log­in-Daten zu ändern, erhiel­ten sie auf Grund eines Ser­ver­pro­blems Zugriff auf Daten ande­rer Nut­zer. Dies umfass­te Stamm- und Kon­takt­da­ten sowie die letz­ten 4 Zif­fern der Kre­dit­kar­ten waren sicht­bar. Bei Fest­stel­lung des Pro­blems wur­de der Log­in vor­über­ge­hend gesperrt. 

Fra­gen wirft aller­dings der Umstand auf, dass die Nach­richt auch von Nut­zern emp­fan­gen wur­de, die das Ortungs-Fea­ture deak­ti­viert hatten. 

Die­sen Monat wur­de fer­ner bekannt, dass eine Kon­takt­ver­fol­gungs-Funk­tio­na­li­tät bereits Mit­te Mai als ver­bind­li­ches Update von iPho­nes, iPads ab iOS 13 und Android-Gerä­ten ab Ver­si­on 6 instal­liert wird. Im Fall von Apple vor­aus­sicht­lich als gän­gi­ges Firm­ware-Update, bei Android vor­aus­sicht­lich als Update der Goog­le Play Services. 

Mit Instal­la­ti­on die­ser Funk­ti­on und Erlaub­nis von Apple /​ Goog­le wird es Behör­den künf­tig mög­lich sein, Daten aus den Kon­takt­pro­fi­len der Tablet- und Han­dy­nut­zer auszuwerten. 

2020-03 — Mas­si­ve Pan­ne in der Infor­ma­ti­ons­si­cher­heit bei der Inves­ti­ti­ons­bank Ber­lin 

Durch Mit­tei­lung der Ber­li­ner Daten­schutz­be­auf­trag­ten wur­de Ende März 2020 eine gra­vie­ren­de Daten­pan­ne der IBB bekannt. Bei der Ver­ar­bei­tung der 150.000 ein­ge­gan­ge­nen Anträ­ge auf Coro­na-Unter­stüt­zung trat ein Pro­gram­mier­feh­ler auf, durch den Antrag­stel­lern per­so­nen­be­zo­ge­ne /​ Ergeb­nis­da­ten ande­rer Antrag­stel­ler ange­zeigt wur­den. Betrof­fen waren Ausweis‑, Bank‑, Steu­er- und Unternehmensdaten. 

Bei Fest­stel­lung der Daten­pan­ne wur­de das Antrags­ver­fah­ren bis zur Besei­ti­gung des Pro­gram­mier­feh­lers pausiert. 

Hack­ing, Sicher­heits­lü­cken und pro­mi­nen­te Daten­pan­nen aus 2019 und 2020 — Teil 1

Im vori­gen Post haben wir über das Image von und den Umgang mit Daten­pan­nen berich­tet. Dabei haben wir ver­sucht, dem durch­schnitt­li­chen Daten­pan­nen-Ver­ur­sa­cher ein Stück weit die Angst davor zu neh­men, sol­che Ereig­nis­se pro­fes­sio­nell fest­zu­stel­len und an die Auf­sichts­be­hör­den zu mel­den. Aller­dings tra­ten und tre­ten Sicher­heits­lü­cken, Hack­ing und Daten­pan­nen welt­weit und hier­zu­lan­de auf, die kei­nes­wegs amü­sant oder hin­nehm­bar sind. Betrach­tet wer­den hier­bei die letz­ten zwölf Monate. 

2019-04 - 540 Mil­lio­nen Face­book-Kun­den­da­ten auf öffent­lich zugäng­li­chen Ser­vern 

Zwei Koope­ra­ti­ons­part­ner des bekann­tes­ten Online Social Media Netz­werks haben Daten von Face­book auf offen zugäng­li­chen Ama­zon-Ser­vern gespei­chert. Dabei han­delt es sich um 

  • das Unter­neh­men Cul­tu­ra Colec­ti­va, das Account­na­men, Kom­men­ta­re und Likes frei zugäng­lich im AWS Cloud Dienst speicherte 
  • die Ent­wick­ler­fir­ma der Face­book App «At the Pool», die Pass­wör­ter im Klar­text von 22 000 Face­book Nut­zern auf öffent­lich zugäng­li­chen Ser­ver­be­rei­chen speicherte. 

Im Lich­te des Cam­bridge Ana­ly­ti­ca Skan­dals, bei dem Infor­ma­tio­nen über Mil­lio­nen Face­book-Nut­zer an das gleich­na­mi­ge Unter­neh­men zwecks Ana­ly­sen wei­ter­ge­ge­ben wur­den, war Face­book bereits unter Daten­schutz-Druck gera­ten. Die Zukunft wird zei­gen, ob aus den Ereig­nis­sen Lern­erfol­ge gezo­gen wer­den konn­ten. Ein gewis­ser Trost dürf­te mög­li­cher­wei­se dar­in bestehen, dass Face­book Pro­fi­le ohne­hin über­wie­gend zur Ver­öf­fent­li­chung geschön­ter und damit allen­falls bedingt rea­ler per­so­nen­be­zo­ge­ner Infor­ma­tio­nen genutzt wer­den 🙂 Das schmä­lert jedoch nicht die Bri­sanz die­ser Datenpanne. 

2019-05 — Hack­ing und Daten­pan­nen im Arztbereich 

Der Lan­des­be­auf­trag­te für den Daten­schutz und die Infor­ma­ti­ons­frei­heit Baden-Würt­tem­berg (LfDI) beklagt die hohe Anzahl von daten­schutz­be­zo­ge­nen Sicher­heits­vor­fäl­len in Arzt­pra­xen. Hack­ing wie Ver­schlüs­se­lungs­tro­ja­ner und Fehl­ver­sand von Pati­en­ten­be­rich­ten, Rezep­ten und Rönt­gen­bil­dern bil­de­ten dabei die Spit­ze des Eis­bergs. Ins­be­son­de­re bei der Ver­ar­bei­tung solch sen­si­bler Pati­en­ten­da­ten sei­en star­ke tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men (TOM) „wie Daten­si­che­rung, Ver­schlüs­se­lung, Schu­lung und Sen­si­bi­li­sie­rung“ unabdingbar. 

2019-08 — Hack­ing — Daten von 106 Mil­lio­nen Bank­kun­den der Capi­tal One erbeu­tet 

Einer Hacke­rin, die in der Ent­wick­lungs­ab­tei­lung des genutz­ten Ama­zon Cloud Ser­vices AWS der US-Bank Capi­tal One gear­bei­tet hat­te, gelang es, von den Sys­te­men der Bank per­so­nen­be­zo­ge­ne Daten zu Kre­dit­kar­ten und ‑anträ­gen zu erbeu­ten. Betrof­fen waren nebst Stamm- und Kon­takt­da­ten die ange­ge­be­nen Ein­kom­men, Infor­ma­tio­nen zur Kre­dit­wür­dig­keit und Ver­fü­gungs­rah­men. Laut Aus­sa­ge der Bank soll nicht an einer Schwach­stel­le des Cloud Ser­vices, son­dern die man­gel­haf­te Kon­fi­gu­ra­ti­on eine Fire­wall gehan­delt haben. 

2019-08 — Daten­pan­ne im Hau­se Twit­ter 

Twit­ter teil­te mit, dass mehr als zwölf Mona­te lang Daten von ca 300 Mil­lio­nen Twit­ter Usern mit Wer­be­kun­den ohne ent­spre­chen­de Ein­wil­li­gung geteilt wur­den. Ver­bots­wid­rig wur­den somit Daten an exter­ne Emp­fän­ger wei­ter­ge­ge­ben. Betrof­fen gewe­sen sei­en laut Twit­ter Daten über Kon­sum­dau­er von Wer­be­an­zei­gen. Mail­kon­ten und Pass­wör­ter waren lt. Twit­ter nicht betroffen. 

2019-09 — Hack­ing nicht not­wen­dig — Fahr­läs­sig­keit bei Mil­lio­nen von Pati­en­ten­da­ten 

Hoch­sen­si­ble Daten­sät­ze von welt­weit meh­re­ren Mil­lio­nen Pati­en­ten, davon mehr als 13.000 Daten­sät­ze aus Deutsch­land, online unver­schlüs­selt und frei ver­füg­bar auf hun­der­ten von unge­si­cher­ten Ser­vern. Der Bun­des­da­ten­schutz­be­auf­trag­te Ulrich Kel­ber hat­te einen “ver­hee­ren­den ers­ten Ein­druck” von dem Skan­dal. Eine Kol­la­bo­ra­ti­on des Baye­ri­schen Rund­funks und Pro­Pu­bli­ca deck­ten die­sen inter­na­tio­nal bestehen­den, und bis heu­te nicht besei­tig­ten bei­na­he nicht fass­ba­ren Miss­stand auf. Laut BR sei­en u.a. Daten wie Brust­krebs­scree­nings, Wir­bel­säu­len­bil­der, Rönt­gen­auf­nah­men eines Brust­korbs etc., ein­schließ­lich zuge­hö­ri­ger Behand­lungs­in­for­ma­tio­nen betrof­fen. Eine 2016 ver­öf­fent­lich­te Stu­die des Har­vard-Pro­fes­sors Oleg Pia­nykh wur­de in Fach­krei­sen zu Kennt­nis genom­men, führ­ten jedoch zu kei­ner Ver­bes­se­rung der Zustän­de. Für die­je­ni­gen Daten­sät­ze, die trotz des bis heu­te akut bestehen Pro­blems nicht in die Hän­de von Unbe­fug­ten /​ Hackern gelangt sind, gilt, dass sich dies dem rela­ti­ven Des­in­ter­es­se von Hackern auf Grund der nur sehr beding­ten Ver­wert­bar­keit pri­va­ter Gesund­heits­da­ten verdankt. 

Daten­pan­nen — jetzt ganz neu entdecken …

Hat­ten Sie 2020 in Ihrer Orga­ni­sa­ti­on eine Daten­pan­ne? Wenn Sie direkt Nein sagen, gehö­ren Sie ent­we­der zu den episch sel­te­nen Fäl­len, in denen der Fak­tor Mensch sowie tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men zu 100% dis­zi­pli­niert sind oder es gibt bei der inter­nen /​ exter­nen Kom­mu­ni­ka­ti­on ein­fach noch Opti­mie­rungs­be­darf bei der Iden­ti­fi­ka­ti­on und Bewer­tung von Daten­pan­nen nach Art. 33 und 34 DSGVO. 

Ver­mei­den und kom­mu­ni­zie­ren 

Es ist bereits die hal­be Mie­te, Daten­pan­nen prä­ven­tiv — u.a. durch star­ke IT-Sicher­heit, die rich­ti­ge Soft­ware­im­ple­men­tie­rung und kla­re Richt­li­ni­en — auf einen Bruch­teil zu redu­zie­ren. Und zusätz­lich sein Per­so­nal auf einem Sen­si­bi­li­täts­ni­veau zu haben, dass es Ver­stö­ße gegen Daten­schutz /​ Infor­ma­ti­ons­si­cher­heit sowie ent­spre­chen­de Ver­dachts­fäl­le angst­frei und pro­ak­tiv intern mit­teilt und einer sach­ge­mä­ßen Doku­men­ta­ti­on zuführt, ist die Königs­klas­se des geleb­ten Datenschutzes. 

Mel­dun­gen von Daten­pan­nen 

Seit dem Wirk­sam­wer­den der DSGVO wird ein erheb­li­cher Anstieg der Mel­dun­gen von Daten­pan­nen ver­zeich­net. Eine Mel­dung ist nach den Kri­te­ri­en des Art. 33 DSGVO gesetz­li­che Pflicht. Mehr als 40.000 Daten­pan­nen wur­den seit DSGVO-Ein­füh­rung euro­pa­weit (Bericht der EU-Kom­mis­si­on) und weit über 10.000 in Deutsch­land allein für 2019 gemel­det. Dabei sind die Gewich­tun­gen in den Bun­des­län­dern sehr unter­schied­lich. Wäh­rend das Baye­ri­sche Lan­des­amt für Daten­schutz­auf­sicht (BayL­DA) „einen gro­ßen Anteil“ sei­ner täg­li­chen Arbeit in der Bear­bei­tung von Daten­schutz­ver­let­zun­gen mit 4.111 gemel­de­ten Daten­pan­nen in 2019 sieht, wird den 349 in 2019 dem Unab­hän­gi­gen Lan­des­zen­trum für Daten­schutz in Schles­wig-Hol­stein gemel­de­ten Daten­pan­nen ver­ständ­li­cher­wei­se reser­viert begegnet. 

Dun­kel­zif­fer von Daten­pan­nen 

Eine höhe­re Trans­pa­renz durch mehr Mel­dun­gen und, ins­be­son­de­re im EU-Ver­gleich, hohes Pflicht­be­wusst­sein sind sehr gute Ten­den­zen. Aller­dings müss­ten es rea­lis­tisch betrach­tet noch wesent­lich mehr Mel­dun­gen sein. In Deutsch­land sind mehr als 3 Mil­lio­nen Unter­neh­men ange­mel­det, hin­zu kom­men die staat­li­chen Ein­rich­tun­gen und ande­re Stel­len, die aus der DSGVO her­aus zur Mel­dung von Daten­pan­nen nach Art. 33 DSGVO ver­pflich­tet sind. 

Auf­sichts­be­hör­den 

Mel­dun­gen von Daten­pan­nen müs­sen durch­aus nicht mit Nach­fra­gen, Vor­ort­kon­trol­len oder Buß­gel­dern ver­bun­den sein. Viel­mehr kommt es den Auf­sichts­be­hör­den auch kon­kret inhalt­lich auf Erkennt­nis­se an, in wel­chen Berei­chen nach­ge­steu­ert wer­den muss. Im Ver­gleich zu auf­ge­flo­ge­nen Daten­schutz­ver­stö­ßen wird das akti­ve Mel­den honoriert. 

Nicht nur Unter­neh­men, son­dern auch öffent­li­che Ein­rich­tun­gen wur­den von den Daten­schutz­auf­sich­ten einer nähe­ren Prü­fung unter­zo­gen, wobei zu bei­den Berei­chen posi­ti­ve wie nega­ti­ve Ergeb­nis­se fest­ge­hal­ten wurden. 

Daten­pan­nen bit­te doku­men­tie­ren /​ mel­den 

Es liegt nahe, dass sich Orga­ni­sa­tio­nen eher unglaub­wür­dig machen, wenn kei­ner­lei Daten­pan­nen gemel­det bzw. doku­men­tiert sind. Es emp­fiehlt sich, Daten­pan­nen und ver­gleich­ba­re Auf­fäl­lig­kei­ten gene­rell — z.B. in Check­lis­ten­form — zu doku­men­tie­ren. Das Gesetz befreit per Art. 33 Abs. 1 DSGVO von der Mel­de­pflicht, wenn „die Ver­let­zung des Schut­zes per­so­nen­be­zo­ge­ner Daten vor­aus­sicht­lich nicht zu einem Risi­ko für die Rech­te und Frei­hei­ten natür­li­cher Per­so­nen führt.“ Reich­lich unprä­zi­se wird hier ein ein­zel­fall­be­zo­ge­ner Ermes­sens­spiel­raum eröff­net. Das heißt für harm­lo­se (=nicht mel­de­pflich­ti­ge) Fäl­le: Das Ereig­nis wird intern doku­men­tiert und man stimmt sich mit sei­nem Daten­schutz­be­auf­trag­ten über eine fall­ge­rech­te Abgren­zung ab und das war´s. 

Für mel­de­pflich­ti­ge Fäl­le ste­hen übli­cher­wei­se Online-For­mu­la­re auf den Web­sei­ten der Auf­sichts­be­hör­den zur Verfügung. 

Was ist Datenschutz?

Unter Daten­schutz ver­steht man den Schutz per­so­nen­be­zo­ge­ner Daten vor Miss­brauch, oft im Zusam­men­hang auch mit dem Schutz der Pri­vat­sphä­re. Zweck und Ziel im Daten­schutz ist die Siche­rung des Grund­rechts auf infor­ma­tio­nel­le Selbst­be­stim­mung der Ein­zel­per­son. Jeder soll selbst bestim­men kön­nen, wem er wann wel­che sei­ner Daten und zu wel­chem Zweck zugäng­lich macht. 

Daten­schutz-Defi­ni­ti­on 

Per­so­nen­be­zo­ge­ne Daten sind gemäß Art. 4 Abs. 1 DSGVO “alle Infor­ma­tio­nen, die sich auf eine iden­ti­fi­zier­te oder iden­ti­fi­zier­ba­re natür­li­che Per­son bezie­hen”. 

Das Gesetz sieht eine natür­li­che Per­son als iden­ti­fi­zier­bar an, “die direkt oder indi­rekt, ins­be­son­de­re mit­tels Zuord­nung zu einer Ken­nung wie“ 

  • Namen 
  • einer Kenn­num­mer 
  • Stand­ort­da­ten 
  • einer Online-Ken­nung oder 
  • „einem oder meh­re­ren beson­de­ren Merk­ma­len, die Aus­druck der phy­si­schen, phy­sio­lo­gi­schen, gene­ti­schen, psy­chi­schen, wirt­schaft­li­chen, kul­tu­rel­len oder sozia­len Iden­ti­tät die­ser natür­li­chen Per­son sind, iden­ti­fi­ziert wer­den kann” 

Rechts­grund­la­gen im Daten­schutz 

Um per­so­nen­be­zo­ge­ne Daten ver­ar­bei­ten zu dür­fen, braucht es eine recht­li­che Grund­la­ge. Ein­fach so erlang­te Daten ande­rer Per­so­nen zu spei­chern, bear­bei­ten, ana­ly­sie­ren .. das klingt nicht logisch oder? 

Arti­kel 6 Absatz 1 DSGVO lie­fert eini­ge mög­li­che Rechts­grund­la­gen, die eine Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten recht­mä­ßig machen kön­nen. In den sechs auf­ge­zähl­ten Punk­ten a bis f wer­den bekann­te und viel­leicht auch noch nicht so bekann­te Rechts­grund­la­gen wie etwa die Ein­wil­li­gung (a), die (vor)vertraglichen Maß­ga­ben (b) und die berech­tig­ten Inter­es­sen (f) prä­sen­tiert. Ins­be­son­de­re letz­te­re sind sehr beliebt, weil ver­meint­lich unbü­ro­kra­tisch, jedoch auch häu­fig überstrapaziert. 

Auch gesetz­li­che Vor­schrif­ten unter c, sehr wich­tig gera­de für öffent­li­che Stel­len, und lebens­wich­ti­ge Inter­es­sen per se unter d sowie die Öffent­lich­keit /​ öffent­li­che Inter­es­sen sind uns als Rechts­grund­la­gen an die Hand gegeben. 

Norm­ge­bungen 

Nicht nur in der DSGVO und dem neu­en BDSG ist der Daten­schutz anzu­tref­fen. Auch in den spe­zi­al­ge­setz­li­chen Lan­des­da­ten­schutz­ge­set­zen für Lan­des­be­hör­den /​ Kom­mu­nen — wie z.B. dam vie­len unse­rer Kun­den wohl­be­kann­ten BayDSG — sowie dem TMGSGB und Kir­chen­recht, z.B. DSG-EKD

Lei­der ist jedoch der Urva­ter jeden Daten­schut­zes schon lan­ge in Ver­ges­sen­heit gera­ten. Das Grund­recht, dass es kein Ver­bre­chen ist, über die Preis­ga­be sei­ner Daten selbst zu bestimmen. 

Daten­schutz im Bewusst­sein 

Der ste­tig zuneh­men­den Erhe­bung, Spei­che­rung, Wei­ter­ga­be, Ver­net­zung und Nut­zung von Daten durch fort­schrei­ten­de Tech­no­lo­gi­sie­rung (Email, Inter­net, Mobil­te­le­fo­ne, sozia­le Netz­wer­ke, Kun­den­kar­ten etc.) steht oft eine gewis­se Gleich­gül­tig­keit ent­ge­gen. In wei­ten Tei­len der Bevöl­ke­rung, aber auch auf Unter­neh­mer­sei­te, wird dem Daten­schutz teils kein oder nur ein gerin­ger Stel­len­wert zuge­bil­ligt. Dabei ist Daten­schutz gera­de im Lich­te fort­schrei­ten­der Glo­ba­li­sie­rung ein wich­ti­ger Weg­be­glei­ter von Kind­heit an und in zahl­lo­sen Aspek­ten des All­tags. Die welt­wei­te Ver­net­zung und eine Ver­la­ge­rung von Daten in Län­der, in denen deut­sche und euro­päi­sche Schutz­ge­set­ze kei­ne Gül­tig­keit haben, machen Daten­schutz oft wir­kungs­los oder erschwe­ren die­sen zumin­dest. Daten­schutz ist daher nicht als umständ­li­che Eigen­art son­dern Län­der­über­grei­fen­de Ver­ant­wor­tung zu aufzufassen. 

Daten­schutz prak­tisch gelebt 

Von daher geht es beim The­ma Daten­schutz mitt­ler­wei­le nicht mehr um die rei­ne Daten­si­cher­heit z.B. durch tech­ni­sche Hilfs­mit­tel, son­dern auch um eine effek­ti­ve Durch­set­zung.  Das Yin und Yang eines zeit­ge­mä­ßen und sou­ve­rä­nen Daten­schut­zes sind die tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men. Auch als TOM bekannt sind sie das Herz­stück von IT-Sicher­heit und Daten­schutz, die bei­den Ele­men­te der Infor­ma­ti­ons­si­cher­heit

.. eine ech­te Errun­gen­schaft 

Bei uns in Deutsch­land ist Daten­schutz kein neu­es The­ma. Schon 1977 trat ein Bun­des­da­ten­schutz­ge­setz in Kraft, wel­ches sich jedoch mit dem Daten­schutz in der öffent­li­chen Bun­des­ver­wal­tung befass­te. Öffent­lich­keits­wirk­sam trat der Daten­schutz mit dem sog. “Volks­zäh­lungs­ur­teil” des Bun­des­ver­fas­sungs­ge­richts 1983 in den Vor­der­grund. Aus­lö­ser waren die zahl­rei­chen Wei­ge­run­gen vie­ler Mit­bür­ger, sich und ihre per­sön­li­chen Lebens­ver­hält­nis­se anläss­lich der bun­des­wei­ten Volks­zäh­lung kund­zu­tun. Das Volks­zäh­lungs­ge­setz wur­de — spek­ta­ku­lär — in Tei­len auf­ge­ho­ben und der Begriff der “infor­ma­tio­nel­len Selbst­be­stim­mung” geprägt. Die­se lei­tet sich aus dem Arti­kel 2 des Grund­ge­set­zes ab — dem Recht auf freie Ent­fal­tung der Persönlichkeit. 

Mehr zum The­ma bei Wiki­pe­dia 

Auf­trags­ver­ar­bei­tung — Defi­ni­ti­on, Bei­spie­le, Mass­nah­men, Risi­ken (Update) — frü­her Auftragsdatenverarbeitung

Auf­trags­ver­ar­bei­tung, das Aus­la­gern von Daten­ver­ar­bei­tungs­pro­zes­sen durch den Auf­trag­ge­ber auf exter­ne Dienst­leis­ter, ist ein häu­fi­ges Mit­tel zur Kos­ten­sen­kung und der Nut­zung von exter­nem Know How — Stich­wort “Out­sour­cing”. Sind hier­von per­so­nen­be­zo­ge­ne Daten betrof­fen, fin­det Art. 28 DSGVO Auf­trags­ver­ar­bei­ter Anwendung.

Schnell kommt es bei der Ein­schät­zung, ob eine Auf­trags­ver­ar­bei­tung vor­liegt, zu Miß­ver­ständ­nis­sen und der Auf­trag­ge­ber läuft Gefahr, gemäß DSGVO mit Geld­bu­ßen durch die Daten­schutz­be­hör­den belegt zu wer­den. Von Image­schä­den in der Öffent­lich­keits­wahr­neh­mung nicht zu reden. Eine sorg­fäl­ti­ge Prü­fung durch einen Bera­ter für Daten­schutz oder einen Daten­schutz­be­auf­trag­ten hilft, die­se Risi­ken zu mini­mie­ren und die not­wen­di­gen Rege­lun­gen umzusetzen.

Fol­gen­de Kri­te­ri­en (Aus­wahl) unter­stüt­zen die Bewer­tung über das Vor­lie­gen einer Auftragsverarbeitung:

  • Dem Auf­trag­neh­mer fehlt die Ent­schei­dungs­be­fug­nis über die über­mit­tel­ten Daten.
  • Dem Auf­trag­neh­mer ist die Nut­zung der über­las­se­nen Daten über den eigent­li­chen Über­las­sungs­zweck hin­aus verboten.
  • Der Auf­trag­neh­mer nutzt nur die ihm über­las­se­nen Daten.
  • Die Daten­ver­ar­bei­tung wird nach außen durch den Auf­trag­ge­ber vertreten.
  • Der Auf­trag­neh­mer steht in kei­ner ver­trag­li­chen Bezie­hung zu den Betrof­fe­nen der per­so­nen­be­zo­ge­nen Daten.

Eini­ge prak­ti­sche Bei­spie­le von Auftragsverarbeitung:

  • Out­sour­cing des Rechen­zen­trums (ganz oder teilweise).
  • Soft­ware as a Ser­vice /​ Cloud-Ser­vices (nicht nur rei­ne Dateiablage).
  • Mar­ke­ting­ak­tio­nen, Kun­den­um­fra­gen, News­let­ter­ver­sand durch eine exter­ne Agentur.
  • Beauf­tra­gung eines Call­cen­ters für Kun­den­sup­port oder Kundengewinnung.
  • Papier- und Akten­ver­nich­tung sowie die Ver­nich­tung von Datenträgern.
  • Exter­ne Lohn- und Gehaltsabrechnung.
  • Exter­ne Rech­nungs­be­ar­bei­tung /​ Buch­hal­tung.
  • Zugriff auf per­so­nen­be­zo­ge­ne Daten vor Ort bei Auftraggeber

Aber auch wei­te­re Leis­tun­gen sind eben­falls von den Rege­lun­gen zu Art. 28 DSGVO betrof­fen (Bei­spie­le):

  • War­tung von Ser­vern und Com­pu­tern durch einen exter­nen Dienst­leis­ter (wich­tig: auch Fern­war­tung!)
  • Para­me­tri­sie­rung oder Pfle­ge von Soft­ware (Updates etc.), über die Zugriff auf per­so­nen­be­zo­ge­ne Daten mög­lich ist.
  • Sys­tem­mi­gra­tio­nen.

Was heisst das jetzt für Sie als Auftraggeber?

  • Liegt eine Auf­trags­ver­ar­bei­tung vor, muss die­se schrift­lich gere­gelt werden.
  • Sie als Auf­trag­ge­ber müs­sen die im Ver­trag fest­ge­schrie­be­nen Mass­nah­men zum Daten­schutz und zur Daten­si­cher­heit beim Auf­trag­ge­ber in geeig­ne­ter Form kon­trol­lie­ren — im Zwei­fel per­sön­lich vor Ort beim Auftragnehmer.
  • Für die Ein­hal­tung der gesetz­li­chen Daten­schutz­vor­schrif­ten sind Sie als Auf­trag­ge­ber ver­ant­wort­lich, nicht der Auf­trag­neh­mer (dies wird oft irr­tüm­lich falsch eingeschätzt).
  • Eine ein­fa­che Erklä­rung des Auf­trag­neh­mers über die Ein­hal­tung der Daten­schutz­vor­schrif­ten ist nicht ausreichend!

Was heisst das jetzt für Auftragnehmer?

  • Als Auf­trag­neh­mer haben Sie sich eben­falls den Rege­lun­gen des Art. 28 DSGVO zu unter­wer­fen und ste­hen in der Pflicht, Ihren Auf­trag­ge­ber bei der Umset­zung zu unterstützen.
  • Zukunfts­ori­en­tier­te Unter­neh­men haben ein stich­hal­ti­ges Daten­schutz­kon­zept samt einer vor­for­mu­lier­ten Ver­ein­ba­rung gem. Art. 28 DSGVO bereits in der Schub­la­de und gehen damit aktiv auf ihre Bestands­kun­den zu. Ein klei­nes, aber sehr wir­kungs­vol­les Detail, um sich posi­tiv vom Wett­be­werb abzu­he­ben und ihren Auf­trag­ge­ber  von ihrer Leis­tungs­fä­hig­keit zu überzeugen.
  • Wenig hilf­reich: den Auf­trag­ge­ber vor die Wahl stel­len — ent­we­der ohne die­se Ver­ein­ba­rung samt Kon­troll­rech­te zusam­men­zu­ar­bei­ten oder es eben sein zu las­sen. Außer Sie sind sich sicher, Ihrem Auf­trag­ge­ber ist Ihre Dienst­leis­tung oder Ihr Pro­dukt ohne Rege­lun­gen zur Auf­trags­ver­ar­bei­tung ein Buß­geld wert.

Mit Bedacht soll­ten Mus­ter­ver­trä­ge aus dem Inter­net ein­ge­setzt wer­den. Teil­wei­se ent­spre­chen die­se nicht den aktu­el­len Rege­lun­gen aus den letz­ten Novel­lie­run­gen des Daten­schutz­rechts. Die­se kön­nen zwar sinn­vol­le Ansatz­punk­te lie­fern, erset­zen jedoch weder die indi­vi­du­ell not­wen­di­ge Anpas­sung auf die vor­lie­gen­de Auf­trags­ver­ar­bei­tung noch die recht­lich siche­re Ein­schät­zung, wel­che Maß­nah­men hier­zu not­wen­dig sind.

Daher kann zur Ver­mei­dung von Buß­gel­dern und Image­schä­den nur jedem Unter­neh­men und Unter­neh­mer gera­ten wer­den, einen Bera­ter /​ Anwalt für Daten­schutz oder Daten­schutz­be­auf­trag­ten hin­zu­zu­zie­hen. Die­ser stellt die kor­rek­te Umset­zung sicher und haf­tet im Zwei­fel für mög­li­che Ver­säum­nis­se aus sei­ner Tätigkeit.

Hilf­rei­che Links und Tipps zur Auf­trags­ver­ar­bei­tung im Internet:

Die mobile Version verlassen