Sascha Kuhrau, Inhaber a.s.k. Datenschutz

Haben Sie sich auch schon die­se Fra­ge gestellt? Sascha Kuhrau, Inha­ber des bun­des­weit täti­gen Bera­tungs­un­ter­neh­mens a.s.k. Daten­schutz gibt Antworten.

Herr Kuhrau, ist Daten­schutz ein Modethema?

Mit­nich­ten! Schau­en Sie ein­fach auf die His­to­rie des Daten­schutz­rechts in Deutsch­land und der EU. 1977 hat­ten wir das ers­te Bun­des­da­ten­schutz­ge­setz (BDSG) in Deutsch­land, seit 1995 gibt es auf EU Ebe­ne ver­bind­li­che Regeln für alle Mitgliedsstaaten.

Wen betrifft die­ses Bundesdatenschutzgesetz?

Das ist ganz ein­fach. Jedes Unter­neh­men, jeden Gewer­be­trei­ben­den, jeden Frei­be­ruf­ler, jede Behör­de und auch jeden Ver­ein, sofern dort per­so­nen­be­zo­ge­ne Daten vor­lie­gen und ver­ar­bei­tet werden.

Man soll­te auch nicht dem Irr­tum unter­lie­gen, ein eige­nes Stan­des­recht wür­de das Daten­schutz­ge­setz erset­zen. Obwohl die Aus­sa­ge der Geset­ze hier klar ist, muss­ten mitt­ler­wei­le Gerich­te bestä­ti­gen, dass sol­ches Recht nicht pau­schal erset­zend wirkt. Die­se Fehl­ein­schät­zung kann gera­de bei Ärz­ten, Steu­er­be­ra­tern oder auch Anwäl­ten schnell zu Kon­flik­ten führen.

Wirk­lich jeden? Es gibt doch bestimmt Ausnahmen?

Da muss ich Sie ent­täu­schen. § 1 BDSG ist hier ein­deu­tig. Es wer­den kei­ne Unter­schie­de nach Bran­che, Mit­ar­bei­ter­zahl oder Umsatz gemacht. Die­sen Irr­glau­ben trifft man öfter in Gesprä­chen mit Geschäfts­füh­rern, Inha­bern oder auch Behördenleitern.

Eine Aus­nah­me gibt es jedoch bei der Bestell­pflicht des soge­nann­ten Daten­schutz­be­auf­trag­ten.

Wel­che Auf­ga­ben hat ein sol­cher Datenschutzbeauftragter?

Salopp gesagt, küm­mert sich die­ser um die rechts­kon­for­me Umset­zung des Daten­schutz­rechts in der Orga­ni­sa­ti­on vor Ort. Er ist Bera­ter , Tipp­ge­ber und Ansprech­part­ner für Lei­tung und Mitarbeiter.

Und wann muss ein sol­cher Daten­schutz­be­auf­trag­ter bestellt werden?

Die­se Vor­schrift fin­det sich in § 4f BDSG und ist bis auf ganz weni­ge Aus­nah­men eben­falls ein­deu­tig. Sobald mehr als 9 Mit­ar­bei­ter mit per­so­nen­be­zo­ge­nen Daten mit­tels IT arbei­ten, muss ein Daten­schutz­be­auf­trag­ter intern oder extern bestellt wer­den. Und bei der Zahl der Mit­ar­bei­ter ist es uner­heb­lich, ob Voll­zeit, Teil­zeit, Aus­hil­fe oder Geschäfts­füh­rung selbst.

Dann liegt die­se Bestell­pflicht recht schnell vor, ohne dass die Ver­ant­wort­li­chen dies viel­leicht wissen?

Das ist in der Pra­xis häu­fig der Fall. Wir bera­ten hier­zu jedoch kos­ten­los und unver­bind­lich, ob eine Bestell­pflicht vorliegt.

Wer küm­mert sich um das The­ma Daten­schutz, wenn kein Daten­schutz­be­auf­trag­ter vor­han­den ist?

Dann liegt die Umset­zung aller Rechts­vor­schrif­ten bei der Geschäfts­füh­rung oder Behör­den­lei­tung. Die­se haf­tet im Zwei­fel dann auch bei Nicht­er­fül­lung oder ein­tre­ten­den Daten­pan­nen. Das BDSG hat hier einen mitt­ler­wei­le sehr emp­find­li­chen Buß­geld­ka­ta­log.

Also soll­te man schon zur Ver­mei­dung von Buß­gel­dern das The­ma Daten­schutz ernst nehmen?

Das ist nach mei­ner Erfah­rung der fal­sche Ansatz. Wenn sich des The­mas nur ange­nom­men wird, weil Ängs­te vor recht­li­chen Risi­ken und Buß­gel­dern bestehen, dann wur­den die Chan­cen eines bewusst geleb­ten Daten­schut­zes nicht erkannt.

Daten­schutz ist mehr als eine Rechtsvorschrift?

Ja! Kun­den und Bür­ger wer­den immer sen­si­bler. Neh­men Sie nur die aktu­el­le Pres­se. Nicht erst seit der NSA Affä­re, aus­ge­löst durch Herrn Snow­den, stei­gen das Bewusst­sein und auch der Anspruch der soge­nann­ten “Betrof­fe­nen” (im Sin­ne des BDSG) rund um das Recht auf infor­ma­tio­nel­le Selbst­be­stim­mung.

Kom­me ich die­sem Anspruch als Orga­ni­sa­ti­on nach, dann ist geleb­ter Daten­schutz ein Ele­ment der Kun­den­ak­qui­se, aber auch der Kundenbindung.

Und da Daten­schutz auch sehr weit in Berei­che wie der IT-Sicher­heit ein­greift, kom­men Fak­to­ren wie Sen­kung des Aus­fall­ri­si­kos oder Ver­kür­zung von Wie­der­an­lauf­zei­ten von EDV-Sys­te­men ergän­zend hin­zu. Es geht hier um die Kern­zie­le: Schutz vor Zer­stö­rung, Ver­lust und Miss­brauch von per­so­nen­be­zo­ge­nen Daten. Am Ende spart die Orga­ni­sa­ti­on Zeit und Geld, wenn es zum Stör­fall kommt..

Wie unter­stützt a.s.k. Daten­schutz hierbei?

Wir prü­fen das vor­han­de­ne Daten­schutz– und Daten­si­cher­heits­ni­veau, iden­ti­fi­zie­ren Schwach­stel­len, behe­ben die­se gemein­sam mit unse­ren Auf­trag­ge­bern, betreu­en Einzelprojekte—z.B. die Ein­füh­rung einer geplan­ten Videoüberwachung—oder ste­hen als per­ma­nen­ter Ansprech­part­ner für Fra­gen zu die­sen The­men zur Verfügung.

Selbst­ver­ständ­lich über­neh­men wir auch die Auf­ga­ben des (exter­nen) Daten­schutz­be­auf­trag­ten oder unter­stüt­zen einen inter­nen Daten­schutz­be­auf­trag­ten, wenn die­ser aus Zeit­grün­den Sup­port benö­tigt. Letz­te­res kommt in der Pra­xis recht häu­fig vor. Seit eini­ger Zeit haben wir für baye­ri­sche Kom­mu­nen auch zwei Vari­an­ten des AKDB Sicher­heits­checks im Angebot.

Was steht dabei für Sie im Vordergrund?

Wich­tig sind uns der abso­lu­te Pra­xis­be­zug und die Sicher­stel­lung der recht­li­chen Anfor­de­run­gen. Daten­schutz darf kein Selbst­zweck sein oder sich zu wich­tig neh­men. Nicht umsonst lau­tet unser Mot­to „Aus der Pra­xis für die Praxis“.

Ist Daten­schutz teuer?

Ja, wenn Sie sich nicht dar­um kümmern 🙂

Nein, im Ernst. Wir arbei­ten bei lang­fris­ti­gen Betreu­un­gen und Pro­jek­ten mit Pau­scha­len, damit unser Kun­de stets weiß, mit wel­chen Kos­ten er zu rech­nen hat und vor unlieb­sa­men Über­ra­schun­gen sicher ist.

Und da unse­re Leis­tun­gen modu­lar buch­bar sind, kann der Kun­de selbst ent­schei­den, wel­chen Anteil an Zeit er selbst ein­brin­gen will und kann, und wel­chen er an uns auslagert.

Wenn jemand noch Fra­gen zum The­ma hat?

Ein­fach anru­fen oder eine kur­ze Email schreiben.

aboutpixel.de / Euro-Taste © stormpic

Liegt eine gesetz­li­che Bestell­pflicht für einen Daten­schutz­be­auf­trag­ten für Ihr Unter­neh­men vor? Dann sichern Sie sich noch bis zum 23.12.2011 (24.00 Uhr) den a.s.k. Weih­nachts-Rabatt und  erhal­ten 20% Rabatt auf das nor­ma­le Tageshonorar.

Vor­aus­set­zun­gen:

  • Es liegt eine gesetz­li­che Bestell­pflicht für Ihr Unter­neh­men, Ihre Pra­xis, Ihre Kanz­lei, Ihren Ver­ein oder Ihre Behör­de vor
  • Sie haben noch kei­nen inter­nen oder exter­nen Daten­schutz­be­auf­trag­ten bestellt
  • Sie for­dern Ihr Daten­schutz­an­ge­bot bis zum 23.12.2011 (24 Uhr) per Online-For­mular an
  • Der Pro­jekt­start zur Ein­füh­rung der not­wen­di­gen Maß­nah­men zum Daten­schutz muss bis zum 31.03.2012 erfolgt sein — bit­te geben Sie Ihren Wunsch­ter­min im Ange­bots­for­mu­lar mit an
  • Der Rabatt wird aus­schließ­lich auf das Tagesho­no­rar (590.- EUR zzgl. 19% MwSt.) für die Tätig­kei­ten in der Ein­füh­rungs­pha­se gemäß Dienst­leis­tungs­ver­trag gewährt und gilt nicht für spä­te­re Dienst­leis­tun­gen (monat­li­che Bestell­ge­bühr, Ein­zel­tä­tig­kei­ten, Bera­tun­gen etc.)
  • Rei­se- und Über­nach­tungs­kos­ten, sowie mög­li­cher­wei­se anfal­len­de Mate­ri­al­kos­ten kön­nen nicht rabat­tiert werden
Ich freue mich auf Ihre Anfra­ge und wün­sche Ihnen und Ihren Mit­ar­bei­tern eine schö­ne Vorweihnachtszeit
Bil­der­nach­weis
about​pi​xel​.de /​ Euro-Tas­te © storm­pic

Tat­ort: Alt­pa­pier­con­tai­ner, Super­markt-Park­platz in Schwarzenbek

In die­sem fand ein ahnungs­lo­ser Bür­ger unzäh­li­ge Akten meh­re­rer Anwalts­kanz­lei­en, die über einen län­ge­ren Zeit­raum ange­legt wur­den. Bri­san­ter Inhalt: Pfän­dun­gen, Haft­an­trä­ge, ver­trau­li­che Infor­ma­tio­nen u.a. aus Recher­chen pri­va­ter Ermitt­ler. Lapi­da­rer Kom­men­tar des Lan­des­da­ten­schutz­be­auf­trag­ten Dr. Thi­lo Wei­chert (ULD): “Das hat defi­ni­tiv nichts in einem Alt­pa­pier­con­tai­ner zu suchen”. “Lei­der”, so Wei­chert, “pas­siert so etwas aber all­zu oft.”

Damit ist die Sache für die betrof­fe­nen Anwalts­kanz­lei­en jedoch nicht aus­ge­stan­den. Wei­chert hat die Unter­la­gen bereits ange­for­dert und wird der ille­ga­len Ent­sor­gung nach­ge­hen. Sehr zum Leid­we­sen der Anwalts­kam­mer, wel­che die Rechts­auf­fas­sung ver­tritt, die schles­wig-hol­stei­ni­sche Lan­des­da­ten­schutz­be­hör­de sei — und zwar aus Daten­schutz­grün­den — gar nicht zustän­dig, denn Anwäl­te wür­den der Schwei­ge­pflicht unter­lie­gen. Doch mit die­ser scheint es nicht weit her zu sein. Erfährt der Leser der gefun­de­nen Akten doch z.B. zahl­rei­che Details über die wirt­schaft­li­che Situa­ti­on der Mandanten.

Der gefun­de­ne Akten­sta­pel ist über einen hal­ben Meter hoch. Da der Alt­pa­pier­con­tai­ner voll war, klemm­ten die Akten unter dem Deckel und waren für jeder­mann ein­zu­se­hen, so der Finder.

Schwei­ge­pflicht ver­sus Datenschutz

Die­se Dis­kus­si­on fin­det man als Daten­schutz­be­auf­trag­ter sehr häu­fig in der täg­li­chen Pra­xis. Gesetz­lich vor­ge­schrie­be­ne Rege­lun­gen zur Auf­trags­da­ten­ver­ar­bei­tung wer­den ver­neint unter Bezug­nah­me auf die Schwei­ge­pflicht u.a. nach § 203 StGB Ver­let­zung von Pri­vat­ge­heim­nis­sen. Hier­zu hat das ULD eine Stel­lung­nah­me ver­öf­fent­licht, in der nach­voll­zieh­bar die Rege­lungs- und Umset­zungs­pflicht aus dem Bun­des­da­ten­schutz­ge­setz (BDSG) für Anwäl­te dar­ge­legt ist. So hat auch das Ber­li­ner Kam­mer­ge­richt unter dem Akten­zei­chen 2 Ss 23/​07, 1 Ws (B) 51/​07 — 2 Ss 23/​07 im August 2010 klar­ge­stellt, dass die Schwei­ge­pflicht und BDSG sich nicht erset­zen, son­dern ergänzen.

Der DAV (Deut­scher Anwalt­ver­ein) hat dies erkannt und sei­nen Mit­glie­dern in der Depe­che 2010–42 eine ent­spre­chen­de Check­lis­te für die Berei­che IT-Ein­satz, exter­ne Dienst­leis­ter, Daten­si­che­rung und Archi­vie­rung, Ver­schlüs­se­lung und die Bestell­pflicht eines Daten­schutz­be­auf­trag­ten zur Ver­fü­gung gestellt.

Quel­len:

Zum The­ma:
Hilf­rei­che Links
  • Wol­len Sie die Risi­ken aus dem Bun­des­da­ten­schutz­ge­setz für Ihr Unter­neh­men mini­mie­ren? Eine pas­sende Lösung fin­den Sie sicher in unse­rem Leis­tungs­an­ge­bot.
  • Unsi­cher, ob für Ihr Unter­neh­men die gesetz­li­che Bestell­pflicht für einen (exter­nen) Daten­schutz­be­auf­trag­ten vor­liegt? Die Ant­wort gibt unser Daten­schutz-Quick-Check, sie­he Leis­tun­gen.
  • Sie wol­len eine unab­hän­gige Prü­fung, wie gut es um Daten­schutz und Daten­si­cher­heit in Ihrem Unter­neh­men bestellt ist? Kein Pro­blem mit unse­ren Leis­tun­gen.
  • Schu­lungs­be­darf für Ihre Mit­ar­bei­ter? Zusätz­li­che Trai­nings und Work­shops rund um Daten­schutz und Daten­si­cher­heit? Erfah­ren Sie mehr über unse­re Schu­lun­gen und Semi­nare.
  • Anlei­tun­gen, Rat­ge­ber und Links, die das täg­li­che Arbei­ten erleich­tern und hel­fen kön­nen, Daten­pan­nen zu ver­mei­den, fin­den Sie in der Rubrik Anlei­tun­gen /​ Rat­ge­ber.