Zum Inhalt springen

Geldstrafe

Was kos­tet ein exter­ner Datenschutzbeauftragter?

“Es kommt dar­auf an” — Was kos­tet ein exter­ner Datenschutzbeauftragter?

Was kos­tet ein exter­ner Daten­schutz­be­auf­trag­ter?”, die­se Fra­ge wird des­öf­te­ren per Email oder als Blog-Kom­men­tar an uns her­an­ge­tra­gen.  Eine nach­voll­zieh­ba­re Fra­ge, gera­de wenn das eige­ne Unter­neh­men unter die gesetz­li­che Bestell­pflicht für einen Daten­schutz­be­auf­trag­ten fällt. Und gera­de in wirt­schaft­lich anstren­gen­den Pha­sen sind die Kos­ten ein rele­van­ter Fak­tor. Sind kei­ne wei­te­ren Anga­ben vor­han­den, dann fällt die Beant­wor­tung in etwa so leicht wie die von Fra­gen wie

  • Was kos­tet ein Auto?
  • Wie teu­er ist es, ein Haus zu bauen?
  • Wie viel muss ich für den nächs­ten Som­mer­ur­laub bezahlen?

Die ehr­li­che Ant­wort auf die Fra­ge nach den Kos­ten für einen exter­nen Daten­schutz­be­auf­trag­ten kann in die­sem Fall nur lau­ten: “Es kommt dar­auf an!”

Auf was kommt es bei den Kos­ten für einen exter­nen Daten­schutz­be­auf­trag­ten an?

Daten­schutz ist kein Pro­dukt von der Stan­ge, auch wenn das eine oder ande­re rei­ße­ri­sche Bil­lig­hei­mer-Ange­bot das glau­ben machen will. Daten­schutz ist stets eine indi­vi­du­el­le Leis­tung maß­ge­schnei­dert auf Ihre Orga­ni­sa­ti­on. Jede Unter­neh­mung ver­fügt über eine eige­ne Aus­gangs­si­tua­ti­on (Sta­tus Quo wie Anzahl der Mit­ar­bei­ter, Filia­len, Betriebs­rat, Richt­li­ni­en etc.), unter­schied­li­che Res­sour­cen zur Umset­zung, eine Viel­falt an zu betrach­ten­den Fak­to­ren (bei­spiels­wei­se die unter­schied­lichs­ten IT-Lösun­gen) und ein not­wen­di­ges Schutz­ni­veau je nach Bran­che und Art der per­so­nen­be­zo­ge­nen Daten in der Organisation.

All die­se Punk­te bedeu­ten ein Mehr oder Weni­ger an Auf­wand in der Umset­zung und Betreu­ung im Rah­men der Auf­ga­ben eines Daten­schutz­be­auf­trag­ten nach Art. 39 DSGVO. Sie wir­ken sich dem­nach direkt auf die ent­ste­hen­den Kos­ten aus. Umso wich­ti­ger ist es, mög­lichst vie­le die­ser Aspek­te zu ken­nen, um die ein­gangs genann­te Fra­ge seri­ös und vor allem ohne spä­te­re Preis­nach­ver­hand­lun­gen beant­wor­ten zu kön­nen. Zu die­sem Zweck kön­nen Sie unser kom­for­ta­bles Online-For­mu­lar nut­zen und damit Ihr Ange­bot anfor­dern. Ihre Anga­ben wer­den selbst­ver­ständ­lich ver­trau­lich behandelt.

Wuss­ten Sie schon, dass zahl­rei­che unse­rer Leis­tun­gen aus offi­zi­el­len För­der­mit­teln bezu­schusst wer­den kön­nen? Hier erfah­ren Sie mehr über För­der­mög­lich­kei­ten und Zuschüs­se für Bera­tungs­leis­tun­gen Daten­schutz & Infor­ma­ti­ons­si­cher­heit von a.s.k. Daten­schutz. Ein wei­te­rer Fak­tor, der Sie unter­stützt, die Belas­tung für die Kos­ten eines exter­nen Daten­schutz­be­auf­trag­ten gering zu halten.

Wie geht a.s.k. Daten­schutz als exter­ne Daten­schutz­be­auf­trag­te vor?

Im Rah­men eines ein- bis mehr­tä­gi­gen Daten­schutz-Audits vor Ort (zu Coro­na-Zei­ten erst mal nur remo­te) wird der Sta­tus Quo des Daten­si­cher­heit- und Daten­schutz-Niveaus Ihrer Orga­ni­sa­ti­on ermit­telt. Klar defi­nier­te Fra­gen­ka­ta­lo­ge zusam­men mit Ein­zel- und Grup­pen­ge­sprä­chen erge­ben ein deut­li­ches Bild und bil­den die Grund­la­ge für alle wei­te­ren Akti­vi­tä­ten. Nach Aus­wer­tung des Audits und der Gesprä­che steht ein Kata­log von Maß­nah­men und Emp­feh­lun­gen fest, mit des­sen Umset­zung die gesetz­lich vor­ge­schrie­be­nen Not­wen­dig­kei­ten in Ihrem Unter­neh­men sicher­ge­stellt wer­den. Der Kata­log wird in der sog. “Ein­füh­rungs­pha­se” gemein­sam unter Zuhil­fe­nah­me eines Online Pro­jekt Tools umge­setzt. Der Auf­wand für die­se Pha­se wird in Mann­ta­gen gemäß Ihren Anga­ben kal­ku­liert und abge­rech­net. Zumeist ist ein Pau­schal­preis ver­ein­bart, der alle Leis­tun­gen die­ser Pha­se umfasst. Beach­ten Sie mög­li­che För­der­mit­tel und Zuschüs­se.

Nach­dem in der Ein­füh­rungs­pha­se die not­wen­di­ge Basis geschaff­ten wur­de,  schließt sich nun die “Betreu­ungs­pha­se” als exter­ner Daten­schutz­be­auf­trag­ter an.  Die­se umfasst ein­ma­li­ge und wie­der­keh­ren­de Auf­ga­ben wie sie Arti­kel 39 DSGVO vor­sieht. Selbst­ver­ständ­lich haben wir die­se Auf­ga­ben um eini­ge wei­te­re Tätig­kei­ten für Sie ergänzt, sofern dadurch kei­ne Inter­es­sens­kon­flik­te zu den Kern­auf­ga­ben des Daten­schutz­be­auf­trag­ten ent­ste­hen. Zu den Auf­ga­ben lesen Sie mehr in unse­rem sepa­ra­ten Blog-Beitrag.

Was kos­tet es Sie auf jeden Fall …

… wenn Sie kei­nen Daten­schutz­be­auf­trag­ten benen­nen, obwohl Sie gesetz­lich dazu ver­pflich­tet sind.

  • Buß­geld (Aus­nah­me: öffent­li­che Stellen)
  • Ihren guten Ruf z.B. bei Datenpannen
  • Viel Ärger mit der Aufsichtsbehörde

Inter­nen oder exter­nen Daten­schutz­be­auf­trag­ten bestellen?

Die Vor­tei­le einer exter­nen Bestel­lung lie­gen für klei­ne und mit­tel­stän­di­sche Unter­neh­men aber auch Kom­mu­nen klar auf der Hand. Dabei spie­len nicht nur die kal­ku­lier­ba­ren und über­schau­ba­ren Kos­ten eine gro­ße Rol­le. Ihre Orga­ni­sa­ti­on pro­fi­tiert spür­bar vom Ein­satz eines exter­nen Datenschutzbeauftragten.

Auf­trags­ver­ar­bei­tung — Defi­ni­ti­on, Bei­spie­le, Mass­nah­men, Risi­ken (Update) — frü­her Auftragsdatenverarbeitung

Auf­trags­ver­ar­bei­tung, das Aus­la­gern von Daten­ver­ar­bei­tungs­pro­zes­sen durch den Auf­trag­ge­ber auf exter­ne Dienst­leis­ter, ist ein häu­fi­ges Mit­tel zur Kos­ten­sen­kung und der Nut­zung von exter­nem Know How — Stich­wort “Out­sour­cing”. Sind hier­von per­so­nen­be­zo­ge­ne Daten betrof­fen, fin­det Art. 28 DSGVO Auf­trags­ver­ar­bei­ter Anwendung.

Schnell kommt es bei der Ein­schät­zung, ob eine Auf­trags­ver­ar­bei­tung vor­liegt, zu Miß­ver­ständ­nis­sen und der Auf­trag­ge­ber läuft Gefahr, gemäß DSGVO mit Geld­bu­ßen durch die Daten­schutz­be­hör­den belegt zu wer­den. Von Image­schä­den in der Öffent­lich­keits­wahr­neh­mung nicht zu reden. Eine sorg­fäl­ti­ge Prü­fung durch einen Bera­ter für Daten­schutz oder einen Daten­schutz­be­auf­trag­ten hilft, die­se Risi­ken zu mini­mie­ren und die not­wen­di­gen Rege­lun­gen umzusetzen.

Fol­gen­de Kri­te­ri­en (Aus­wahl) unter­stüt­zen die Bewer­tung über das Vor­lie­gen einer Auftragsverarbeitung:

  • Dem Auf­trag­neh­mer fehlt die Ent­schei­dungs­be­fug­nis über die über­mit­tel­ten Daten.
  • Dem Auf­trag­neh­mer ist die Nut­zung der über­las­se­nen Daten über den eigent­li­chen Über­las­sungs­zweck hin­aus verboten.
  • Der Auf­trag­neh­mer nutzt nur die ihm über­las­se­nen Daten.
  • Die Daten­ver­ar­bei­tung wird nach außen durch den Auf­trag­ge­ber vertreten.
  • Der Auf­trag­neh­mer steht in kei­ner ver­trag­li­chen Bezie­hung zu den Betrof­fe­nen der per­so­nen­be­zo­ge­nen Daten.

Eini­ge prak­ti­sche Bei­spie­le von Auftragsverarbeitung:

  • Out­sour­cing des Rechen­zen­trums (ganz oder teilweise).
  • Soft­ware as a Ser­vice /​ Cloud-Ser­vices (nicht nur rei­ne Dateiablage).
  • Mar­ke­ting­ak­tio­nen, Kun­den­um­fra­gen, News­let­ter­ver­sand durch eine exter­ne Agentur.
  • Beauf­tra­gung eines Call­cen­ters für Kun­den­sup­port oder Kundengewinnung.
  • Papier- und Akten­ver­nich­tung sowie die Ver­nich­tung von Datenträgern.
  • Exter­ne Lohn- und Gehaltsabrechnung.
  • Exter­ne Rech­nungs­be­ar­bei­tung /​ Buch­hal­tung.
  • Zugriff auf per­so­nen­be­zo­ge­ne Daten vor Ort bei Auftraggeber

Aber auch wei­te­re Leis­tun­gen sind eben­falls von den Rege­lun­gen zu Art. 28 DSGVO betrof­fen (Bei­spie­le):

  • War­tung von Ser­vern und Com­pu­tern durch einen exter­nen Dienst­leis­ter (wich­tig: auch Fern­war­tung!)
  • Para­me­tri­sie­rung oder Pfle­ge von Soft­ware (Updates etc.), über die Zugriff auf per­so­nen­be­zo­ge­ne Daten mög­lich ist.
  • Sys­tem­mi­gra­tio­nen.

Was heisst das jetzt für Sie als Auftraggeber?

  • Liegt eine Auf­trags­ver­ar­bei­tung vor, muss die­se schrift­lich gere­gelt werden.
  • Sie als Auf­trag­ge­ber müs­sen die im Ver­trag fest­ge­schrie­be­nen Mass­nah­men zum Daten­schutz und zur Daten­si­cher­heit beim Auf­trag­ge­ber in geeig­ne­ter Form kon­trol­lie­ren — im Zwei­fel per­sön­lich vor Ort beim Auftragnehmer.
  • Für die Ein­hal­tung der gesetz­li­chen Daten­schutz­vor­schrif­ten sind Sie als Auf­trag­ge­ber ver­ant­wort­lich, nicht der Auf­trag­neh­mer (dies wird oft irr­tüm­lich falsch eingeschätzt).
  • Eine ein­fa­che Erklä­rung des Auf­trag­neh­mers über die Ein­hal­tung der Daten­schutz­vor­schrif­ten ist nicht ausreichend!

Was heisst das jetzt für Auftragnehmer?

  • Als Auf­trag­neh­mer haben Sie sich eben­falls den Rege­lun­gen des Art. 28 DSGVO zu unter­wer­fen und ste­hen in der Pflicht, Ihren Auf­trag­ge­ber bei der Umset­zung zu unterstützen.
  • Zukunfts­ori­en­tier­te Unter­neh­men haben ein stich­hal­ti­ges Daten­schutz­kon­zept samt einer vor­for­mu­lier­ten Ver­ein­ba­rung gem. Art. 28 DSGVO bereits in der Schub­la­de und gehen damit aktiv auf ihre Bestands­kun­den zu. Ein klei­nes, aber sehr wir­kungs­vol­les Detail, um sich posi­tiv vom Wett­be­werb abzu­he­ben und ihren Auf­trag­ge­ber  von ihrer Leis­tungs­fä­hig­keit zu überzeugen.
  • Wenig hilf­reich: den Auf­trag­ge­ber vor die Wahl stel­len — ent­we­der ohne die­se Ver­ein­ba­rung samt Kon­troll­rech­te zusam­men­zu­ar­bei­ten oder es eben sein zu las­sen. Außer Sie sind sich sicher, Ihrem Auf­trag­ge­ber ist Ihre Dienst­leis­tung oder Ihr Pro­dukt ohne Rege­lun­gen zur Auf­trags­ver­ar­bei­tung ein Buß­geld wert.

Mit Bedacht soll­ten Mus­ter­ver­trä­ge aus dem Inter­net ein­ge­setzt wer­den. Teil­wei­se ent­spre­chen die­se nicht den aktu­el­len Rege­lun­gen aus den letz­ten Novel­lie­run­gen des Daten­schutz­rechts. Die­se kön­nen zwar sinn­vol­le Ansatz­punk­te lie­fern, erset­zen jedoch weder die indi­vi­du­ell not­wen­di­ge Anpas­sung auf die vor­lie­gen­de Auf­trags­ver­ar­bei­tung noch die recht­lich siche­re Ein­schät­zung, wel­che Maß­nah­men hier­zu not­wen­dig sind.

Daher kann zur Ver­mei­dung von Buß­gel­dern und Image­schä­den nur jedem Unter­neh­men und Unter­neh­mer gera­ten wer­den, einen Bera­ter /​ Anwalt für Daten­schutz oder Daten­schutz­be­auf­trag­ten hin­zu­zu­zie­hen. Die­ser stellt die kor­rek­te Umset­zung sicher und haf­tet im Zwei­fel für mög­li­che Ver­säum­nis­se aus sei­ner Tätigkeit.

Hilf­rei­che Links und Tipps zur Auf­trags­ver­ar­bei­tung im Internet:

Semi­nar “Recht­li­che Aspek­te der IT-Nutzung”

Am 21.10.2015 fin­det das BVS Semi­nar “Recht­li­che Aspek­te der IT-Nut­zung” in Nürn­berg mit Sascha Kuhr­au als Refe­ren­ten statt. Das Semi­nar rich­tet sich an IT-Füh­rungs­kräf­te, Admi­nis­tra­to­ren, Daten­schutz­be­auf­trag­te, Per­so­nal­re­fe­ren­ten und Betriebs­rä­te, aber auch an Geschäfts­füh­rung /​ Orga­ni­sa­ti­ons­lei­tung.

Inhal­te sind unter anderem:

Juris­ti­sche Kon­se­quen­zen von Schä­den und Fehlverhalten

  • Scha­den­er­satz und Haftung
  • Straf- und Bußgeldvorschriften

IT-Arbeits­rech­t/­Mit­ar­bei­ter­da­ten­schutz

  • Pri­vat­nut­zung von E‑Mail und Internet
  • IT-Pro­to­kol­lie­rung und Auswertung
  • Video­über­wa­chung
  • Heim­ar­beit
  • Bring your own device (BYOD)
  • Mit­ar­bei­ter­fo­tos auf der Webseite
  • Ein­sicht­nah­me in per­sön­li­che E‑Mail-Kon­ten und Ablagen
  • Lega­le Kon­trol­len und inter­ne Ermittlungen

Inter­net-Recht

  • Recht­li­che Risi­ken sozia­ler Medien
  • Impres­sum und Datenschutzerklärung
  • Auf­trags­da­ten­ver­ar­bei­tung (IT-Out­sour­cing und Cloud Computing)

Die Ver­an­stal­tung fin­det im BVS Bil­dungs­zen­trum Nürn­berg statt. Beginn ist um 9.00 Uhr, Ende vor­aus­sicht­lich um 16.30 Uhr. Refe­rent ist Herr Sascha Kuhr­au von a.s.k. Daten­schutz. Ich freue mich auf Ihre Teilnahme.

Zur Anmel­dung (Lehr­gangs­ge­bühr 170 Euro wird von der BVS erhoben)

Wozu Big Brot­her Con­tai­ner? Wasch­an­la­ge reicht!

Per­so­nal, aber auch Kun­den stan­den im Fokus einer aus­ge­dehn­ten Video­übewa­chung der Esse­ner Auto­wasch­ket­te Mr. Wash. In 8 von 33 Filia­len wur­den 60 Kame­ras nicht rechts­kon­form betrie­ben. Das war dem NRW-Lan­des­be­auf­trag­ten für Daten­schutz ein Buß­geld in Höhe von 64.000 Euro wert, mel­det WAZ. Dabei kam der Ket­te zu Gute, sich bei den Ermitt­lun­gen im Ver­fah­ren “koope­ra­tiv” ver­hal­ten zu haben.

Inter­es­sant ist die Auf­tei­lung des Buß­gel­des. 54.000 Euro wur­den wegen des schwe­ren Ver­sto­ßes gegen das Bun­des­da­ten­schutz­ge­setz durch die Video­über­wa­chung ver­hängt. Die rest­li­chen 10.000 Euro wur­den dafür fäl­lig, bis­her kei­nen Daten­schutz­be­auf­trag­ten bestellt zu haben, obwohl die gesetz­li­che Bestell­pflicht vor­lag.

In unse­rem Daten­schutz Blog fin­den Sie einen Bei­trag zur umsich­ti­gen und rechts­kon­for­men Umset­zung einer Video­über­wa­chung.

Pla­nen Sie die Instal­la­ti­on einer Video­über­wa­chungs­an­la­ge? Haben Sie bereits eine sol­che Lösung im Ein­satz und sind sich über die Rechts­kon­for­mi­tät im Unkla­ren? Dann fra­gen Sie doch Ihren Daten­schutz­be­auf­trag­ten. Sie haben kei­nen? Spre­chen Sie uns an.

Offe­ner Email-Ver­tei­ler führt zu Buß­geld gegen Unternehmen

Schon jedem Mal passiert

Sie ken­nen das bestimmt aus Ihrem eige­nen Arbeits­all­tag. Eine wich­ti­ge Nach­richt soll per Email ver­teilt wer­den. Mail­pro­gramm geöff­net, Text geschrie­ben, aus dem Adreß­buch schnell die Emp­fän­ger zusam­men­ge­klickt oder kom­for­ta­bel eine Ver­tei­ler-Lis­te genutzt und auf Sen­den gedrückt. Auf Sei­ten des Emp­fän­gers wer­den sich dann die Augen gerie­ben. Ste­hen doch alle Email-Emp­fän­ger im Klar­text im AN:/TO: Feld der Email. Ordent­lich wie der Absen­der sei­ne Adres­sen gepflegt hat, aku­rat mit Vor‑, Nach­na­me und Email-Adres­se. Übli­cher­wei­se macht man den Absen­der freund­lich auf sein Miß­ge­schick auf­merk­sam und läßt es dar­auf beruhen.

Ihr ist das auch passiert

Eine Mit­ar­bei­te­rin eines baye­ri­schen Han­del­un­ter­neh­mens hat­te weni­ger Glück. Sie schrieb eine sol­che Email an Kun­den des Unter­neh­mens. Kur­zer Inhalt, net­te Ges­te. Jedoch lei­der stan­den vor dem eigent­li­chen Text (hal­be DIN A4 Sei­te) über neun (9) Sei­ten Email-Adres­sen im Klar­text. Einem oder meh­re­ren Emp­fän­gern miß­fiel dies und der Stein des Ansto­ßes wur­de an die zustän­di­ge baye­ri­sche Lan­des­da­ten­schutz­be­hör­de weitergeleitet.

Der ewi­ger Mahner

Das Baye­ri­sche Lan­des­amt für Daten­schutz­auf­sicht (kurz BayL­DA) hat in der Ver­gan­gen­heit bereits mehr­fach auf die daten­schutz­recht­li­che Unzu­läs­sig­keit eines sol­chen Vor­gangs hin­ge­wie­sen. Name plus Email-Adres­se sind per­so­nen­be­zo­ge­ne Daten im Sin­ne des Bun­des­da­ten­schutz­ge­set­zes (BDSG). Eine Über­mitt­lung (nichts ande­res stellt eine Email dar) ist daher nur zuläs­sig, wenn der Betrof­fe­ne (also der eigent­li­che Email-Inha­ber) expli­zit in die Über­mitt­lung an Drit­te schrift­lich ein­ge­wil­ligt hat oder eine gesetz­li­che Grund­la­ge vor­liegt. Bei­des ist im Fal­le einer sol­chen Pan­ne sicher nicht der Fall. 

Die Ver­wen­dung des offe­nen Email-Ver­tei­lers (also das Ein­tra­gen der Emp­fän­ger in das AN:/TO: Feld) stellt somit einen Daten­schutz­ver­stoß dar. Auf­grund der Men­ge der betrof­fe­nen Email-Adres­sen sah das BayL­DA von einem rei­nen Ver­weis auf die recht­li­che Unzu­läs­sig­keit ab. Statt­des­sen wur­de ein Buß­geld ver­hängt, das nun nach Ver­strei­chen der Wider­spruchs­frist rechts­wirk­sam gewor­den ist.

Wer zahlt?

In die­sem kon­kre­ten Fall wur­de das Buß­geld gegen die Mit­ar­bei­te­rin ver­hängt. Ob der Arbeit­ge­ber für Sie ein­springt, ist nicht bekannt.

Das BayL­DA teilt jedoch mit, daß es in einem ähn­li­chen Fall in Kür­ze zu einem Buß­geld gegen ein ande­res Unter­neh­men kom­men wird. Da hier die Mit­ar­bei­ter sei­tens der Unter­neh­mens­leis­tung nicht oder nicht aus­rei­chend für das The­ma sen­si­bi­li­siert wur­den, hat nun das Unter­neh­men selbst für den Faux­pas mit dem offe­nen Email-Ver­tei­ler geradezustehen.

Auf­klä­rung ist Pflicht

Um sol­che Vor­fäl­le von vorn­her­ein zu ver­mei­den und das Ein­tritts­ri­si­ko zu sen­ken, soll­ten Sie Ihre Mit­ar­bei­ter regel­mä­ßig für die­ses The­ma sen­si­bi­li­sie­ren. Ger­ne kön­nen Sie hier­für die­sen Blog­bei­trag einsetzen.

Was ist zu beachten?

Wei­sen Sie dar­auf hin, sol­che Rund­mails stets über das Feld BCC, also Blind Car­bon Kopie zu adre­ßie­ren. Die Nut­zung von TO: und CC: (Car­bon Copy) wird stets den glei­chen recht­li­chen Sach­ver­halt mit allen Kon­se­quen­zen aus­lö­sen. Bei klei­ne­ren falsch genutz­ten Ver­tei­lern kann es bei einer Ver­war­nung blei­ben, das ist jedoch nicht garantiert.

Hier fin­den Sie den gan­zen Bei­trag des BayL­DA vom 28.06.2013.

Sony wehrt sich gegen Geld­stra­fe wegen Hacker­an­griffs auf sein Play­sta­ti­on Network

2011 ging das Ereig­nis als bis­her größ­te Daten­pan­ne der Geschich­te durch die Medi­en (wir berich­te­ten). Hackern gelang es, über 75 Mil­lio­nen Kun­den­da­ten aus dem Sony Netz­werk zu ent­wen­den, dar­un­ter Namen, Anmel­de­da­ten und Zah­lungs­an­ga­ben. In wei­te­ren nach­fol­gen­den Hacker-Atta­cken wur­den wei­te­re Mil­lio­nen Daten­sät­ze ent­wen­det mit teil­wei­se noch aus­führ­li­che­ren Nutzerangaben.

Das Kri­sen­ma­nage­ment des Kon­zern war durch­aus als sub­op­ti­mal ein­zu­stu­fen — sie­he Bericht. Auf­grund des Fir­men­sit­zes in Japan wog man sich jedoch in Sicher­heit vor der Ver­fol­gung durch die Schutz­be­hör­den. Doch damit ist nun Schluss. Was nicht nur zahl­rei­che Poli­ti­ker und Daten­schüt­zer, son­dern auch gera­de Kun­den von Sony gefor­dert haben, hat die bri­ti­sche Daten­schutz­be­hör­de nun in die Tat umge­setzt. Sie ver­häng­te eine Geld­stra­fe in Höhe von 300.000 Euro, gegen das Unter­neh­men. Begrün­dung: Wer für so vie­le sen­si­blen Daten mit Miß­brauchs­po­ten­ti­al ver­ant­wort­lich ist, muss dem Schutz die­ser Daten obers­te Prio­ri­tät einräumen.

Sony hat Wider­stand gegen die Stra­fe ange­kün­digt, schließ­lich sei man “Opfer” einer kri­mi­nel­len Atta­cke gewor­den. Das Unter­neh­men blen­det dabei aus, dass es selbst erst durch Män­gel in der IT Infra­struk­tur (schwa­che Pass­wör­ter, feh­len­de Sicher­heits­patches) die Mög­lich­keit für die­se mehr­fa­chen Angrif­fe geschaf­fen hat. The­ma ver­fehlt, Sechs, setzen!

Fra­gen Sie doch Ihren Datenschutzbeauftragten

Ihr Daten­schutz­be­auf­trag­ter muss kein IT Pro­fi sein. Er wird jedoch aus­rei­chend Fach­wis­sen mit­brin­gen, um unter ande­rem auch auf Sicher­heits­lü­cken durch schwa­che Pass­wör­ter oder nicht zeit­na­he /​ feh­len­de Sicher­heits­patches kon­se­quent hin­zu­wei­sen. Lösun­gen las­sen sich meist unkom­pli­ziert durch tech­ni­sche und /​ oder orga­ni­sa­to­ri­sche Maß­nah­men her­bei­füh­ren und das Schutz­ni­veau wei­ter erhö­hen. Sei­en Sie schlau­er und spre­chen Sie mit Ihrem Daten­schutz­be­auf­trag­ten. Ver­mei­den Sie Daten­pan­nen und die damit ver­bun­de­nen Buß­geld­ri­si­ken. Sie haben kei­nen Daten­schutz­be­auf­trag­ten? Wir hel­fen ger­ne weiter.

Irr­tü­mer im Daten­schutz (Teil 1): Daten­schutz betrifft mein Unter­neh­men nicht

Irr­tü­mer im Datenschutz

Will­kom­men zum ers­ten Teil unse­rer Serie “Irr­tü­mer im Daten­schutz”. Daten­schutz ist in aller Mun­de, doch kaum jemand kennt das dahin­ter­ste­hen­de Bun­des­da­ten­schutz­ge­setz (BDSG). Dabei ist das Daten­schutz­ge­setz auf Bun­des­ebe­ne nicht mehr das Jüngs­te, exis­tiert es doch bereits seit 1977.

Erstaun­li­cher­wei­se herrscht über das The­ma Daten­schutz in der Pra­xis meist ein risi­ko­rei­ches Halb­wis­sen. Die Exis­tenz oder die Inhal­te des BDSG sind sel­ten kon­kret bekannt, Auf­klä­rung sei­tens des Gesetz­ge­bers zu die­sem The­ma erfolgt bedau­er­li­cher­wei­se eben­falls kei­ne. Unter­neh­men und Unter­neh­mer sind auf sich allei­ne gestellt, wenn es um die recht­li­che Aus­ein­an­der­set­zung mit dem The­ma Daten­schutz und des­sen kon­kre­te (vor­ge­schrie­be­nen) Maß­nah­men im Betrieb geht. Was Wun­der, wenn Daten­schutz im Tages­ge­schäft einen gerin­gen Stel­len­wert einnimmt.

Es kann teu­er werden

Im Jahr 2009  hat der Gesetz­ge­ber die Stra­fen und Sank­tio­nen für Nicht­ein­hal­tung der gesetz­li­chen Daten­schutz­vor­schrif­ten durch Unter­neh­men ver­schärft. Kon­kret wer­den die­se in § 43 BDSG Buß­geld­vor­schrif­ten und § 44 BDSG Straf­vor­schrif­ten ähn­lich dem aus der Stra­ßen­ver­kehrs­ord­nung bekann­ten Buß­geld­ka­ta­log auf­ge­lis­tet. Neben Auf­la­gen durch die Lan­des­da­ten­schutz­be­hör­den kön­nen Unter­neh­mer und Unter­neh­men schnell einem Buß­geld­ri­si­ko von bis zu 300.000 Euro aus­ge­setzt sein — und das sogar ganz ohne Daten­pan­ne. Unwis­sen­heit schützt auch hier vor Stra­fe nicht.

“Daten­schutz und Daten­schutz­ge­setz betref­fen mein Unter­neh­men über­haupt nicht”

Weit gefehlt, denn in jedem Unter­neh­men wird für gewöhn­lich mit per­so­nen­be­zo­ge­ne Daten han­tiert (der Gesetz­ge­ber spricht von Erhe­ben, Ver­ar­bei­ten und Nut­zen). Sind es nicht die Daten von Kun­den und Geschäfts­part­nern, so exis­tie­ren doch zumeist noch Mit­ar­bei­ter­da­ten im Unter­neh­men — und die­se gel­ten recht­lich als “sen­si­tiv” und damit beson­ders schüt­zens­wert. Doch schau­en wir auf das Bundesdatenschutzgesetz:

Bereits § 1 BDSG Zweck und Anwen­dungs­be­reich des Geset­zes macht klar, was das Daten­schutz­ge­setz schützt und wen es betrifft.

(1) Zweck die­ses Geset­zes ist es, den Ein­zel­nen davor zu schüt­zen, dass er durch den Umgang mit sei­nen per­so­nen­be­zo­ge­nen Daten in sei­nem Per­sön­lich­keits­recht beein­träch­tigt wird.

(2) Die­ses Gesetz gilt für die Erhe­bung, Ver­ar­bei­tung und Nut­zung per­so­nen­be­zo­ge­ner Daten durch

3. nicht-öffent­li­che Stel­len, soweit sie die Daten unter Ein­satz von Daten­ver­ar­bei­tungs­an­la­gen ver­ar­bei­ten, nut­zen oder dafür erhe­ben oder die Daten in oder aus nicht auto­ma­ti­sier­ten Datei­en ver­ar­bei­ten, nut­zen oder dafür erhe­ben, es sei denn, die Erhe­bung, Ver­ar­bei­tung oder Nut­zung der Daten erfolgt aus­schließ­lich für per­sön­li­che oder fami­liä­re Tätigkeiten.

Betrach­ten wir die Defi­ni­ti­on nicht-öffent­li­cher Stellen:

§ 2 Öffent­li­che und nicht-öffent­li­che Stellen

(4) Nicht-öffent­li­che Stel­len sind natür­li­che und juris­ti­sche Per­so­nen, Gesell­schaf­ten und ande­re Per­so­nen­ver­ei­ni­gun­gen des pri­va­ten Rechts, soweit sie nicht unter die Absät­ze 1 bis 3 fal­len. Nimmt eine nicht-öffent­li­che Stel­le hoheit­li­che Auf­ga­ben der öffent­li­chen Ver­wal­tung wahr, ist sie inso­weit öffent­li­che Stel­le im Sin­ne die­ses Gesetzes.

Somit ist klar, die Annah­me “Daten­schutz und Daten­schutz­ge­setz betref­fen mein Unter­neh­men über­haupt nicht” gehört ins Reich der Mythen und Irr­tü­mer! Soll­ten Sie bis­her mit Ihrem Unter­neh­men (auch als Ein-Mann-Betrieb) nach die­ser Fehl­ein­schät­zung agiert haben, lohnt ein Blick in § 43 ff BDSG zwecks Iden­ti­fi­ka­ti­on der Buß­geld­ri­si­ken, denen Sie sich und Ihrem Unter­neh­men aus­ge­setzt haben.

Licht am Horizont

Bevor Sie sich nun selbst in die juris­ti­schen Untie­fen des Bun­des­da­ten­schutz­ge­set­zes stür­zen und Akti­vi­tä­ten ent­wi­ckeln, fra­gen Sie ein­fach den Fach­mann — a.s.k. Daten­schutz. Mit­tels stan­dar­di­sier­ter Prüf- und Audi­tie­rungs­ver­fah­ren iden­ti­fi­zie­ren wir gemein­sam mit Ihnen schnell, unbü­ro­kra­tisch und zuver­läs­sig die not­wen­di­gen Maß­nah­men, die für eine geset­zes­kon­for­me Umset­zung des Daten­schut­zes in Ihrem Unter­neh­men sor­gen. Selbst­ver­ständ­lich unter­stüt­zen wir Sie eben­falls aktiv bei der inter­nen Umset­zung und betreu­en Sie im Anschluß als sog. exter­ner Daten­schutz­be­auf­trag­ter, wenn die Über­prü­fung das Vor­lie­gen einer Bestell­pflicht ergibt.

Ver­trau­en Sie lang­jäh­ri­ger Erfah­rung aus der bun­des­wei­ten Bera­tung und Betreu­ung klei­ner und gro­ßer Unter­neh­men aus den unter­schied­lichs­ten Bran­chen und pro­fi­tie­ren Sie von die­sem über­grei­fen­den Know-How.

Nut­zen Sie ein­fach unse­ren Rück­ruf-Ser­vice, wir mel­den uns garan­tiert! Oder for­dern Sie doch gleich Ihr unver­bind­li­ches Ange­bot für einen exter­nen Daten­schutz­be­auf­trag­ten an.


Lesen Sie hier die ande­ren Tei­le der Serie “Irr­tü­mer im Datenschutz”:

 

 

Bild­nach­weis: about​pi​xel​.de /​ Dead End © Nacht­schreck

Easy­cash GmbH zahlt 60000 Euro Bußgeld

Die Easy­cash GmbH zahl­te für die unbe­rech­tig­te Wei­ter­ga­be von Kon­to­da­ten — sie­he “Easy­cash sam­melt Daten von EC-Kar­ten­in­ha­bern zwecks Bewer­tung der Zah­lungs­fä­hig­keit” und “Ham­bur­ger Daten­schüt­zer stellt Straf­an­trag gegen easy­cash Loyal­ty Solu­ti­ons” — ein Buß­geld in Höhe von 60.000 Euro.

Der zustän­di­ge Daten­schutz­be­auf­trag­te von Nord­rhein-West­fa­len, Ulrich Lep­per kom­men­tiert sein Vor­ge­hen: “Wer Zah­lungs­vor­gän­ge qua­si als Treu­hän­der für Ein­zel­han­dels­un­ter­neh­men abwi­ckelt, muss beson­ders sorg­fäl­tig mit die­sen Daten umge­hen. Er darf so sen­si­ble Daten über Zah­lungs­ver­hal­ten und Kon­to­ver­bin­dun­gen, die durch­aus auch Pro­fil­bil­dun­gen erlau­ben wür­den, nicht für ande­re Zwe­cke an Drit­te über­mit­teln. Des­we­gen muss­te ich hier einschreiten.”

Die Daten hat­te Easy­cash an die in Ham­burg ansäs­sige Fir­ma easy­cash Loy­alty Solu­ti­ons als Schwes­ter­un­ter­neh­men ver­mit­telt, das Kun­den- und Bonus­pro­gram­me anbie­tet, und die Daten sta­tis­tisch aus­wer­te­te. Easy­cash wickelt im Auf­trag von Ein­zel­händ­lern EC-Kar­ten­zah­lun­gen ab und ver­fügt dar­aus über zahl­rei­che Daten­sät­ze über Kar­ten­zah­lungs­vor­gän­ge. An das Schwes­ter­un­ter­neh­men gab Easy­cash die Daten von rund 400.000 Zah­lungs­vor­gän­gen weiter.

Nach Anga­ben von Lep­per zeig­te sich Easy­cash ein­sich­tig und koope­ra­tiv. Das Buß­geld sei bereits bezahlt.

Quel­len:

Hilf­rei­che Datenschutz-Links

  • Wol­len Sie die Risi­ken aus dem Bun­des­da­ten­schutz­ge­setz für Ihr Unter­neh­men mini­mie­ren? Eine pas­sen­de Lösung fin­den Sie sicher in unse­rem Leis­tungs­an­ge­bot.
  • Unsi­cher, ob für Ihr Unter­neh­men die gesetz­li­che Bestell­pflicht für einen (exter­nen) Daten­schutz­be­auf­trag­ten vor­liegt? Die Ant­wort gibt unser Daten­schutz-Quick-Check, sie­he Leis­tun­gen.
  • Sie wol­len eine unab­hän­gi­ge Prü­fung, wie gut es um Daten­schutz und Daten­si­cher­heit in Ihrem Unter­neh­men bestellt ist? Kein Pro­blem mit unse­ren Leis­tun­gen.
  • Schu­lungs­be­darf für Ihre Mit­ar­bei­ter? Zusätz­li­che Trai­nings und Work­shops rund um Daten­schutz und Daten­si­cher­heit? Erfah­ren Sie mehr über unse­re Schu­lun­gen und Semi­na­re.
  • Anlei­tun­gen, Rat­ge­ber und Links, die das täg­li­che Arbei­ten erleich­tern und hel­fen kön­nen, Daten­pan­nen zu ver­mei­den, fin­den Sie in der Rubrik Anlei­tun­gen /​ Rat­ge­ber.

Behör­den mischen mit: Daten­pan­ne bei Kfz-Steu­er in Baden-Württemberg

Nur nicht drän­geln, jeder darf ein Mal

Das Behör­den vor Daten­schutz­pan­nen nicht gefeit sind, zeigt das Land Baden-Würt­tem­berg und bringt etwas Abwechs­lung in die Lis­te aktu­el­ler Ver­ur­sa­cher von Datenpannen.

Der Lan­des­da­ten­schutz­be­auf­trag­te nahm dazu heu­te öffent­lich auf sei­ner Web­sei­te Stel­lung.

Frei­zü­gig­keit? Nicht bei der Steu­er­be­mes­sung, jedoch bei der Datenübermittlung

Kfz-Steu­er­pflich­ti­ge Bür­ger trau­ten ihren Augen nicht. Der Abbu­chungs­text der fäl­li­gen Kfz-Steu­er auf dem Kon­to­aus­zug ent­hielt neben den übli­chen Anga­ben wie Namen des Steu­er­pflich­ti­gen, Kfz-Kenn­zei­chen und Steu­er­sum­me noch wei­te­re Details parat: Anga­ben zu Steu­er­num­mern und Umsatz­steu­er ande­rer Bür­ger und Unter­neh­men sowie zur Religionszugehörigkeit.

Feh­len­de Rechtsgrundlage

Kei­ne noch so wohl­wol­len­de Bewer­tung des Vor­gangs wird eine recht­li­che Legi­ti­ma­ti­on die­ser umfas­sen­den Daten­über­mitt­lung an die mit dem Last­schrift­ver­fah­ren beauf­trag­ten Kre­dit­in­sti­tu­te her­vor­brin­gen. Die Über­mitt­lung fand in der Zeit vom 17. Juni bis 20. Juni 2011 statt. Das Last­schrift­ver­fah­ren wur­de umge­hend gestoppt.

Die Soft­ware ist schuld

Der Übel­tä­ter war schnell gefun­den. Nach dem Update der genutz­ten Soft­ware ist der Feh­ler auf­ge­tre­ten. Im Umkehr­schluß bedeu­tet dies jedoch, die Ver­ant­wort­li­chen haben Ihre Kon­troll­funk­ti­on nicht rich­tig wahr­ge­nom­men. Soft­ware­ak­tua­li­sie­run­gen sind vor dem Ein­spie­len in Pro­duk­tiv­sys­te­me aus­führ­lich und gewis­sen­haft zu tes­ten. Einer­seits wer­den dadurch Sicher­heits­ri­si­ken für die Sys­te­me sowie Daten­ver­lust und letzt­end­lich auch sol­che Daten­pan­nen ver­mie­den. Sys­te­me mit sen­si­blen Daten soll­ten stets  nach dem Mehr-Augen-Sys­tem geprüft werden.

Ver­meid­bar?

Feh­ler kön­nen jedem pas­sie­ren, alle Betei­lig­ten sind auch nur Men­schen. Von daher sind sol­che Pan­nen nie aus­zu­schlie­ßen. Jedoch kann das Risi­ko aktiv mini­miert wer­den. Wie? Das erklärt Ihnen ger­ne Ihr Daten­schutz­be­auf­trag­ter. Sie haben kei­nen? Dann spre­chen Sie uns an, bevor Sie bei einer mög­li­chen Bestell­pflicht auch ganz ohne Daten­pan­nen einem berächt­li­chen Buß­geld­ri­si­ko aus­ge­setzt sind.

Update

Zu die­sem Bei­trag erreich­te uns eine Email-Anfra­ge, die wir ger­ne öffent­lich ohne Nen­nung des Anfra­gen­den beant­wor­ten. Die Fra­ge lau­te­te knapp: “Wie­so müs­sen Behör­den kei­ne Buß­gel­der bezah­len, wenn gegen Daten­schutz­be­stim­mun­gen ver­sto­ßen wird?”

Ohne auf recht­li­che Hin­ter­grün­de ein­ge­hen zu wol­len, wer­fen wir einen Blick auf das Rech­te-Tasche-Lin­ke-Tasche-Prin­zip. Eine Behör­de als öffent­li­che Ein­rich­tung  wür­de das Buß­geld aus der Staats- oder Lan­des­kas­se (je nach Ebe­ne) in die Staats- oder Lan­des­kas­se bezah­len. Wo wür­de da der ange­dach­te Straf­cha­rak­ter bleiben?

Wie­so die Schwei­ge­pflicht nicht den Daten­schutz ersetzt …

Bereits in einem Blog­bei­trag vom 12.11.2010 habe ich auf den Umstand hin­ge­wie­sen, daß Stan­des­re­ge­lun­gen oder Geset­ze das Bun­des­da­ten­schutz­ge­setz nicht zwin­gend erset­zen. Hin­ter­grund war und ist die regel­mä­ßig wie­der­keh­ren­de Fehl­ein­schät­zung sei­tens Anwäl­ten, Ärz­ten und Steu­er­be­ra­tern, daß ihr “Stan­des­recht” die vor­ge­schrie­be­nen Rege­lun­gen des Bun­des­da­ten­schutz­ge­setz (BDSG) obso­let machen würde.

Die­se Pro­ble­ma­tik hat nun eben­falls der Betrei­ber von www​.daten​schutz​be​auf​trag​ter​-info​.de in einem aktu­el­len, lesens­wer­ten Bei­trag auf­ge­nom­men: Wenn der Daten­schutz Ärz­te und Rechts­an­wäl­te zum Schwei­gen bringt. Anschau­lich wird hier noch­mals die Rechts­la­ge nach­voll­zieh­bar dar­ge­stellt: Schwei­ge­pflicht ergänzt Daten­schutz, ersetzt die­sen jedoch nicht. Die Fol­gen — abge­se­hen vom Image­ver­lust und dro­hen­den Man­dan­ten-/Pa­ti­en­ten­schwund — sind emp­find­li­che Buß­gel­der in der Kate­go­rie bis 300.000 EUR. Ger­ne wird bei der gan­zen Dis­kus­si­on dann die mög­li­cher­wei­se vor­lie­gen­de Bestell­pflicht eines Daten­schutz­be­auf­trag­ten über­se­hen. Ein zusätz­li­cher Ver­stoß aus der Kate­go­rie bis 50.000 EUR.

Wel­che Maß­nah­men aus dem BDSG bis hin zur Bestel­lung eines Daten­schutz­be­auf­trag­ten für Ihre Kanz­lei, Ihre Pra­xis oder Ihr Büro not­wen­dig sind, kann der a.s.k. Daten­schutz Quick-Check beant­wor­ten. Eine über­schau­ba­re Inves­ti­ti­on, die Ihnen, Ihren Kun­den und deren meist sen­si­blen Daten zu Gute kommt.

Spre­chen Sie mich an!

Die mobile Version verlassen