Erwei­ter­ter Zuständigkeitsbereich

Seit die­sem Monat ist der hes­si­sche Daten­schutz­be­auf­trag­te nicht mehr nur für die Daten­schutz­kon­trol­le in den Behör­den des Bun­des­lan­des zustän­dig. Sei­ne Befug­nis­se wur­den erwei­tert und auf die nicht-öffent­li­chen Berei­che, also Unter­neh­men ausgeweitet.

Viel Feind’, viel Ehr’

Dies nahm er zum Anlaß, um bereits im Juni 2011 ver­stärk­te Kon­trol­len gegen Strom­ver­sor­ger, Ban­ken und Dro­ge­rie­ket­ten anzu­kün­di­gen. Intel­li­gen­te Strom­zäh­ler, die Bespit­ze­lung von Mit­ar­bei­tern und der Umgang mit Kun­den­da­ten — gera­de bei Ban­ken und der SCHUFA — ste­hen auf sei­ner Prüf­lis­te. Ver­stö­ße will er ahn­den, “mit Sank­tio­nen bis hin zu Buß­geld­be­schei­den”.

Eigen­ver­ant­wor­tung tut Not

In der letz­ten Zeit meh­ren sich die Stim­men, daß Ver­brau­cher auf­grund ihres Rechts auf infor­ma­tio­nel­le Selbst­be­stim­mung auch die Ver­pflich­tung haben, selbst auf­Ih­re Daten zu ach­ten und wem sie die­se anver­trau­en. Er stößt in das sel­be Horn und äußert z.B. zu Kun­den­kar­ten wie PAYBACK: “[…] die Daten der Kun­den wer­den ver­kauft. Doch die Gefahr ist den Men­schen nicht bewusst.”

Sor­ge berei­te ihm eben­falls der sorg­lo­se Umgang von Kin­dern und Jugend­li­chen mit ihren Daten. “Die wis­sen nicht, was sie anrich­ten, und das Inter­net ver­gisst nichts, des­halb muss man sie schützen.” 

Die Hoff­nung stirbt zuletzt

Für die Zukunft hofft er, daß sich Daten­schutz zu einem Wirt­schafts­fak­tor ent­wi­ckelt. “Sobald es sich wirt­schaft­lich aus­zahlt, dass man sei­nen Kun­den Ver­trau­lich­keit zusi­chern kann, ist der Daten­schutz auf dem bes­ten Weg, auch in den pri­va­ten Bereich Ein­zug zu halten.”

Hilf­rei­che Datenschutz-Links

  • Wol­len Sie die Risi­ken aus dem Bun­des­da­ten­schutz­ge­setz für Ihr Unter­neh­men mini­mie­ren? Eine pas­sen­de Lösung fin­den Sie sicher in unse­rem Leis­tungs­an­ge­bot.
  • Unsi­cher, ob für Ihr Unter­neh­men die gesetz­li­che Bestell­pflicht für einen (exter­nen) Daten­schutz­be­auf­trag­ten vor­liegt? Die Ant­wort gibt unser Daten­schutz-Quick-Check, sie­he Leis­tun­gen.
  • Sie wol­len eine unab­hän­gi­ge Prü­fung, wie gut es um Daten­schutz und Daten­si­cher­heit in Ihrem Unter­neh­men bestellt ist? Kein Pro­blem mit unse­ren Leis­tun­gen.
  • Schu­lungs­be­darf für Ihre Mit­ar­bei­ter? Zusätz­li­che Trai­nings und Work­shops rund um Daten­schutz und Daten­si­cher­heit? Erfah­ren Sie mehr über unse­re Schu­lun­gen und Semi­na­re.
  • Anlei­tun­gen, Rat­ge­ber und Links, die das täg­li­che Arbei­ten erleich­tern und hel­fen kön­nen, Daten­pan­nen zu ver­mei­den, fin­den Sie in der Rubrik Anlei­tun­gen /​ Rat­ge­ber.

Nur nicht drän­geln, jeder darf ein Mal

Das Behör­den vor Daten­schutz­pan­nen nicht gefeit sind, zeigt das Land Baden-Würt­tem­berg und bringt etwas Abwechs­lung in die Lis­te aktu­el­ler Ver­ur­sa­cher von Datenpannen.

Der Lan­des­da­ten­schutz­be­auf­trag­te nahm dazu heu­te öffent­lich auf sei­ner Web­sei­te Stel­lung.

Frei­zü­gig­keit? Nicht bei der Steu­er­be­mes­sung, jedoch bei der Datenübermittlung

Kfz-Steu­er­pflich­ti­ge Bür­ger trau­ten ihren Augen nicht. Der Abbu­chungs­text der fäl­li­gen Kfz-Steu­er auf dem Kon­to­aus­zug ent­hielt neben den übli­chen Anga­ben wie Namen des Steu­er­pflich­ti­gen, Kfz-Kenn­zei­chen und Steu­er­sum­me noch wei­te­re Details parat: Anga­ben zu Steu­er­num­mern und Umsatz­steu­er ande­rer Bür­ger und Unter­neh­men sowie zur Religionszugehörigkeit.

Feh­len­de Rechtsgrundlage

Kei­ne noch so wohl­wol­len­de Bewer­tung des Vor­gangs wird eine recht­li­che Legi­ti­ma­ti­on die­ser umfas­sen­den Daten­über­mitt­lung an die mit dem Last­schrift­ver­fah­ren beauf­trag­ten Kre­dit­in­sti­tu­te her­vor­brin­gen. Die Über­mitt­lung fand in der Zeit vom 17. Juni bis 20. Juni 2011 statt. Das Last­schrift­ver­fah­ren wur­de umge­hend gestoppt.

Die Soft­ware ist schuld

Der Übel­tä­ter war schnell gefun­den. Nach dem Update der genutz­ten Soft­ware ist der Feh­ler auf­ge­tre­ten. Im Umkehr­schluß bedeu­tet dies jedoch, die Ver­ant­wort­li­chen haben Ihre Kon­troll­funk­ti­on nicht rich­tig wahr­ge­nom­men. Soft­ware­ak­tua­li­sie­run­gen sind vor dem Ein­spie­len in Pro­duk­tiv­sys­te­me aus­führ­lich und gewis­sen­haft zu tes­ten. Einer­seits wer­den dadurch Sicher­heits­ri­si­ken für die Sys­te­me sowie Daten­ver­lust und letzt­end­lich auch sol­che Daten­pan­nen ver­mie­den. Sys­te­me mit sen­si­blen Daten soll­ten stets  nach dem Mehr-Augen-Sys­tem geprüft werden.

Ver­meid­bar?

Feh­ler kön­nen jedem pas­sie­ren, alle Betei­lig­ten sind auch nur Men­schen. Von daher sind sol­che Pan­nen nie aus­zu­schlie­ßen. Jedoch kann das Risi­ko aktiv mini­miert wer­den. Wie? Das erklärt Ihnen ger­ne Ihr Daten­schutz­be­auf­trag­ter. Sie haben kei­nen? Dann spre­chen Sie uns an, bevor Sie bei einer mög­li­chen Bestell­pflicht auch ganz ohne Daten­pan­nen einem berächt­li­chen Buß­gel­dri­si­ko aus­ge­setzt sind.

Update

Zu die­sem Bei­trag erreich­te uns eine Email-Anfra­ge, die wir ger­ne öffent­lich ohne Nen­nung des Anfra­gen­den beant­wor­ten. Die Fra­ge lau­te­te knapp: “Wie­so müs­sen Behör­den kei­ne Buß­gel­der bezah­len, wenn gegen Daten­schutz­be­stim­mun­gen ver­sto­ßen wird?”

Ohne auf recht­li­che Hin­ter­grün­de ein­ge­hen zu wol­len, wer­fen wir einen Blick auf das Rech­te-Tasche-Lin­ke-Tasche-Prin­zip. Eine Behör­de als öffent­li­che Ein­rich­tung  wür­de das Buß­geld aus der Staats- oder Lan­des­kas­se (je nach Ebe­ne) in die Staats- oder Lan­des­kas­se bezah­len. Wo wür­de da der ange­dach­te Straf­cha­rak­ter bleiben?

Im April letz­ten Jah­res hat der Ham­bur­ger Lan­des­da­ten­schutz­be­auf­trag­te Johan­nes Cas­par ver­stärk­te Daten­schutz­kon­trol­len bei Unter­neh­men ange­kün­digt und dies auch in die Tat umge­setzt. Über 700 Unter­neh­men aus den Berei­chen Spe­di­ti­on, Immo­bi­li­en, Arbeits­ver­mitt­lung, Pfle­ge­diens­te und Arzt­pra­xen stan­den auf der Prüf­lis­te. Die Ergeb­nis­se einer ers­ten Befra­gung lie­gen nun vor.

Wäh­rend Logis­tik- und Pfle­ge­un­ter­neh­men so gut wie kei­nen Grund zur Bean­stan­dung gaben, ist wohl jedes zehn­te Immo­bi­li­en­un­ter­neh­men der Ver­pflich­tung zur Bestel­lung eines Daten­schutz­be­auf­trag­ten nicht nachgekommen.

Cas­par sieht dies posi­tiv, denn er wer­tet die Beach­tung der Bestell­pflicht als Zei­chen, daß sich der Umgang mit dem The­ma Daten­schutz in den Unter­neh­men ver­bes­sert hat. Er schränkt dies jedoch sogleich wie­der ein und kün­digt Vor-Ort-Über­prü­fun­gen an. Zwei­fel über­kom­men ihn bei man­chen Anga­ben, wie die von Unter­neh­men mit mehr als hun­dert Mit­ar­bei­tern, von denen ledig­lich zwei (2!) mit per­so­nen­be­zo­ge­nen Daten gem. Bun­des­da­ten­schutz­ge­setz in Kon­takt kom­men. Die Zwei­fel schei­nen berech­tigt. Zusätz­lich wer­den die Über­prü­fun­gen nun auf wei­te­re Bran­chen ausgeweitet.

Im Kon­flikt mit der ECE-Grup­pe um all­zu über­mä­ßig ein­ge­setz­te Video­über­wa­chung in einem Ham­bur­ger Ein­kaufs­zen­trum hat Cas­par einn Erfolg vor­zu­wei­sen. 24 Kame­ras, die all­zu frei­zü­gig auf­zeich­ne­ten, wur­den auf Druck sei­ner Behör­de mitt­ler­wei­le ent­fernt. Ein deut­li­ches Signal an alle Unter­neh­men, die es mit der Legi­ti­ma­ti­on und dem Umfang die­ses durch­aus pro­ba­ten und zuläs­si­gen Mit­tels nicht sehr genau nehmen.

Hat Ihr Unter­neh­men eigent­lich einen Daten­schutz­be­auf­trag­ten? Liegt eine Bestell­pflicht vor? Unwis­sen­heit schützt vor Stra­fe nicht, Buß­gel­der dro­hen! Spre­chen Sie mich an oder for­dern Sie gleich ein pas­sen­des Ange­bot an.

Ja ja ja, jetzt wird wie­der in die Hän­de gespuckt …

Tho­mas Kra­nig, Amts­lei­ter des Baye­ri­schen Lan­des­amts für Daten­schutz mit Sitz in Ans­bach hat am Mon­tag den Tätig­keits­be­richt für die Jah­re 2009 und 2010 in Mün­chen vor­ge­stellt. Bei der Daten­schutz­be­hör­de gingen3.256 Anfra­gen und Beschwer­den von Bür­gern und Unter­neh­men ein. Das sind 80% mehr als noch fünf Jah­re zuvor. Kra­nig führt dies auf eine deut­lich gestie­ge­ne Sen­si­bi­li­tät für die Siche­rung der Pri­vat­sphä­re bei den Betrof­fe­nen zurück. Was in Anbe­tracht der medi­al auf­be­rei­te­ten Skan­da­le bei der Deut­schen Tele­kom, der Deut­schen Bahn, dem Lebens­mit­tel­dis­coun­ter Lidl und in ver­schie­de­nen Call-Cen­tern auch nicht wei­ter verwundert.

Drah di net um, schau schau, der Kom­mis­sar geht um …

Für den nicht-öffent­li­chen Bereich, also für Unter­neh­men, lis­tet der Tätig­keits­be­richt auf über 100 Sei­ten Daten­schutz­ver­feh­lun­gen auf. Dabei ging es um Ver­stö­ße im Bereich der Video­über­wa­chung, den wenig sen­si­blen Umgang mit Bewer­ber­da­ten und vie­lem mehr. Im Berichts­zeit­raum lei­te­te die Schutz­be­hör­de 22 Ver­fah­ren wegen Ord­nungs­wid­rig­kei­ten gegen Unter­neh­men wegen “nach­hal­ti­ger daten­schutz­recht­li­cher Ver­stö­ße” ein und stell­te sogar zwei Straf­an­trä­ge. Sta­tis­tisch gese­hen, lag jeder zwei­ten Anfra­ge ein Ver­stoß gegen daten­schutz­recht­li­che Bestim­mun­gen zu Grunde.

Mitt­ler­wei­le ver­fügt die Behör­de für den nicht-öffent­li­chen Bereich über 12 Mit­ar­bei­ter, die für Kon­troll- und Bera­tungs­tä­tig­kei­ten bereit­ste­hen. Das Risi­ko einer zufäl­li­gen Über­prü­fung im Rah­men einer Stich­pro­be nimmt für Unter­neh­men in Bay­ern (aber auch bun­des­weit) ste­tig zu.

Wir fahr’n fahr’n fahr’n auf der Autobahn …

Eine Par­al­le­le zwi­schen Stra­ßen­ver­kehr und Daten­ver­kehr zie­hend, mahn­te der baye­ri­sche Innen­mi­nis­ter Joa­chim Herr­mann zur Vor­sicht bei der Preis­ga­be per­sön­li­cher Daten auf dem Daten­high­way. Dies auch im Hin­blick auf die von immer mehr Betrof­fe­nen genutz­ten sozia­len Netz­wer­ke. Nicht nur, daß hier das Risi­ko der über­bor­den­den Frei­ga­be der eige­nen Daten besteht. Auch Tex­te, Bil­der und Vide­os Drit­ter, die einen selbst betref­fen, stel­len eine immer grö­ße­re daten­schutz­recht­li­che Her­aus­for­de­rung dar.

Irgend­wie, irgend­wo, irgendwann …

Den Titel die­ses Hits der Neu­en Deut­schen Wel­le soll­ten Sie sich nicht zum Vor­bild neh­men, wenn es um die Ein­füh­rung aktu­el­ler Kon­zep­te für Daten­schutz und Daten­si­cher­heit in Ihrem Unter­neh­men geht. Erst recht nicht, wenn even­tu­ell bereits eine Bestell­pflicht für einen Daten­schutz­be­auf­trag­ten besteht — denn die feh­len­de, ver­spä­te­te oder nicht kor­rek­te Bestel­lung eines geeig­ne­ten Daten­schutz­be­auf­trag­ten ist buß­geld­be­wehrt. Unsi­cher? Dann spre­chen Sie mich an.

 

Auf den Web­sei­ten des baye­ri­schen Lan­des­da­ten­schutz­be­auf­trag­ten steht der Tätig­keits­be­richt für 2010 zur Ver­fü­gung. Dar­in moniert Tho­mas Petri das mitt­ler­wei­le in die Jah­re gekom­me­ne Lan­des­da­ten­schutz­ge­setz. Gera­de im Hin­blick auf den Umgang mit per­so­nen­be­zo­ge­nen Daten im Inter­net bestün­de Aktua­li­sie­rungs­be­darf. Wei­ter­hin betrach­tet er die Bün­de­lung der IT-Res­sour­cen des Frei­staats an weni­gen zen­tra­li­sier­ten Stel­len kri­tisch unter Daten­schutz­ge­sichts­punk­ten. Bei dem The­ma Cloud-Com­pu­ting für Behör­den mahnt er Zurück­hal­tung an.

Der voll­stän­di­ge Bericht kann auf www​.daten​schutz​-bay​ern​.de online ein­ge­se­hen oder als PDF abge­ru­fen werden.