2011 ging das Ereignis als bisher größte Datenpanne der Geschichte durch die Medien (wir berichteten). Hackern gelang es, über 75 Millionen Kundendaten aus dem Sony Netzwerk zu entwenden, darunter Namen, Anmeldedaten und Zahlungsangaben. In weiteren nachfolgenden Hacker-Attacken wurden weitere Millionen Datensätze entwendet mit teilweise noch ausführlicheren Nutzerangaben.
Das Krisenmanagement des Konzern war durchaus als suboptimal einzustufen — siehe Bericht. Aufgrund des Firmensitzes in Japan wog man sich jedoch in Sicherheit vor der Verfolgung durch die Schutzbehörden. Doch damit ist nun Schluss. Was nicht nur zahlreiche Politiker und Datenschützer, sondern auch gerade Kunden von Sony gefordert haben, hat die britische Datenschutzbehörde nun in die Tat umgesetzt. Sie verhängte eine Geldstrafe in Höhe von 300.000 Euro, gegen das Unternehmen. Begründung: Wer für so viele sensiblen Daten mit Mißbrauchspotential verantwortlich ist, muss dem Schutz dieser Daten oberste Priorität einräumen.
Sony hat Widerstand gegen die Strafe angekündigt, schließlich sei man “Opfer” einer kriminellen Attacke geworden. Das Unternehmen blendet dabei aus, dass es selbst erst durch Mängel in der IT Infrastruktur (schwache Passwörter, fehlende Sicherheitspatches) die Möglichkeit für diese mehrfachen Angriffe geschaffen hat. Thema verfehlt, Sechs, setzen!
Fragen Sie doch Ihren Datenschutzbeauftragten
Ihr Datenschutzbeauftragter muss kein IT Profi sein. Er wird jedoch ausreichend Fachwissen mitbringen, um unter anderem auch auf Sicherheitslücken durch schwache Passwörter oder nicht zeitnahe / fehlende Sicherheitspatches konsequent hinzuweisen. Lösungen lassen sich meist unkompliziert durch technische und / oder organisatorische Maßnahmen herbeiführen und das Schutzniveau weiter erhöhen. Seien Sie schlauer und sprechen Sie mit Ihrem Datenschutzbeauftragten. Vermeiden Sie Datenpannen und die damit verbundenen Bußgeldrisiken. Sie haben keinen Datenschutzbeauftragten? Wir helfen gerne weiter.
Am Samstag, den 17.11.2012 findet von 14.00 bis 17.00 Uhr in der Volkshochschule Hersbruck, Emil-Held-Haus, Amberger Straße 27, Raum 02 das Seminar
Soziale Netzwerke und deren Gefahrenpotentiale
statt. Die Teilnahme-Gebühr beträgt 24,– €.
Beschreibung:
Wie kann es sein, dass ein eigentlich kleines Unternehmen wie Facebook Milliarden wert sein soll? Oder handelt es sich dabei eher um den Wert der gesammelten personenbezogenen Daten der Nutzer? Was steckt hinter sozialen Netzwerken? Was treibt diese an und was motiviert deren Nutzer, so viel über sich preiszugeben? Was ist Profiling und wie kann ich mich davor schützen? Welche unbedachten Rechtsverstöße können bei der Nutzung sozialer Netzwerke unterlaufen? Diese und weitere Fragen beantwortet Ihnen der Dozent, freiberuflicher Berater für Datenschutz und Datensicherheit im Rahmen dieser Veranstaltung.
Unternehmen brauchen (Rechts-) Sicherheit im Internet
Eine eigene Website ist für die meisten Unternehmen eine Selbstverständlichkeit. Auch im Umfeld von Social Media werden immer mehr Unternehmen aktiv. So groß die Chancen der neuen Medien auch sind, so viele Gefahren bergen sie. Rechtliche Aspekte und der Datenschutz finden oftmals nicht die notwendige Beachtung. Und dies kann zu bösen Überraschungen führen. Abmahnungen und Rechtsstreitigkeiten sind keine Seltenheit.
Jürgen Putzer, ausgewiesener Internet- und Social Media Experte zeigt im Dialog mit Sascha Kuhrau, a.s.k. Datenschutz, welche Fehler sehr häufig gemacht werden und wie man diese vermeiden kann. An Praxisbeispielen soll dies verdeutlicht werden. Neben Websites stehen Webshops und Soziale Netzwerke im Fokus. Diese Netzwerke, die ursprünglich für die private Nutzung gedacht waren, bergen für Unternehmen ein nicht unerhebliches Risiko.
Nutzen Sie die Gelegenheit und bieten Sie Ihren Internetauftritt im Rahmen der Veranstaltung als Beispiel an. Bitte unterschreiben Sie uns in diesem Fall die Einverständniserklärung auf dem Anmeldefax. Aus den angebotenen Auftritten werden wir passende Beispiele auswählen.
Agenda
Donnerstag, 11. Oktober 2012
18.45 Get Together
19.00 Begrüßung durch Bernd Hölzel, Kreisentwicklung Nürnberger Land und Dr. Markus Wolf, netzwerk nordbayern
19.15 Datenschutz und Rechtssicherheit im Internet Jürgen Putzer, Social Media Spezialist, Marketingleiter Creation Gross + Sascha Kuhrau, a.s.k. Datenschutz
20.45 Ausklang, Gespräche und Networking
Informationen und Anmeldung:
Wirtschaftsförderung Nürnberger Land
Waldluststraße 1 Tel.: 09123/ 950‑6065
91207 Lauf a.d. Pegnitz Fax: 09123/ 950‑8004
E‑Mail: wirtschaft@nuernberger-land.de
Flyer und Anmeldeformular sind auch online erhältlich
“Wir haben keine personenbezogenen Daten im Unternehmen, daher betrifft uns das Bundesdatenschutzgesetz gar nicht” — diese Aussage trifft man immer wieder z.B. im Rahmen von Informationsveranstaltungen oder Kundengesprächen. Im ersten Moment ist man gerade bei reinen B2B-Unternehmen geneigt, zuzustimmen. Doch schnell regen sich Zweifel, denn nur wenige Unternehmen kommen ohne Mitarbeiter aus.
§ 3 BDSG definiert den Begriff der personenbezogenen Daten:
“(1) Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener).”
Damit wäre bereits festgestellt, das personenbezogene Daten im Unternehmen alleine schon durch die Beschäftigung von Mitarbeitern vorliegen. Zieht man jetzt noch die Daten zu Kunden, Lieferanten, Dienstleistern und Interessenten hinzu, wird schnell klar: Es gibt eigentlich immer personenbezogene Daten im Unternehmen.
Bleiben wir jedoch bei den Mitarbeiterdaten unseres Beispiels und in § 3 BDSG:
“(9) Besondere Arten personenbezogener Daten sind Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben.”
Mitarbeiterdaten sind demnach nicht nur reine personenbezogene Daten, sondern nach dieser Definition sogar eine besondere Art personenbezogener Daten (enthalten sie doch einige der og. Merkmale).
§ 3 BDSG definiert im weiteren Verlauf den Begriff “Beschäftigte” detailliert:
“(11) Beschäftigte sind:
Arbeitnehmerinnen und Arbeitnehmer,
zu ihrer Berufsbildung Beschäftigte,
Teilnehmerinnen und Teilnehmer an Leistungen zur Teilhabe am Arbeitsleben sowie an Abklärungen der beruflichen Eignung oder Arbeitserprobung (Rehabilitandinnen und Rehabilitanden),
in anerkannten Werkstätten für behinderte Menschen Beschäftigte,
nach dem Jugendfreiwilligendienstegesetz Beschäftigte,
Personen, die wegen ihrer wirtschaftlichen Unselbständigkeit als arbeitnehmerähnliche Personen anzusehen sind; zu diesen gehören auch die in Heimarbeit Beschäftigten und die ihnen Gleichgestellten,
Bewerberinnen und Bewerber für ein Beschäftigungsverhältnis sowie Personen, deren Beschäftigungsverhältnis beendet ist,
Beamtinnen, Beamte, Richterinnen und Richter des Bundes, Soldatinnen und Soldaten sowie Zivildienstleistende.”
Das Bundesdatenschutzgesetz spendiert in seiner aktuellen Fassung den Beschäftigten sogar einen eigenen Paragraphen:
§ 32 Datenerhebung, ‑verarbeitung und ‑nutzung für Zwecke des Beschäftigungsverhältnisses
“(1) Personenbezogene Daten eines Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung erforderlich ist. Zur Aufdeckung von Straftaten dürfen personenbezogene Daten eines Beschäftigten nur dann erhoben, verarbeitet oder genutzt werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass der Betroffene im Beschäftigungsverhältnis eine Straftat begangen hat, die Erhebung, Verarbeitung oder Nutzung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse des Beschäftigten an dem Ausschluss der Erhebung, Verarbeitung oder Nutzung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind.
(2) Absatz 1 ist auch anzuwenden, wenn personenbezogene Daten erhoben, verarbeitet oder genutzt werden, ohne dass sie automatisiert verarbeitet oder in oder aus einer nicht automatisierten Datei verarbeitet, genutzt oder für die Verarbeitung oder Nutzung in einer solchen Datei erhoben werden.
(3) Die Beteiligungsrechte der Interessenvertretungen der Beschäftigten bleiben unberührt.”
Womit feststeht:
Beschäftigt ein Unternehmen Mitarbeiter, liegen personenbezogene Daten vor.
Aufgrund der vorliegenden Daten eines Mitarbeiters handelt es sich dabei sogar um besondere Arten personenbezogener Daten, die einen erhöhten Schutzstatus besitzen.
Das Bundesdatenschutzgesetz legitimiert das Erheben, Verarbeiten und Nutzen der Mitarbeiterdaten zum Zwecke des Beschäftigungsverhältnisses.
Das Bundesdatenschutzgesetz findet auf Unternehmen mit Mitarbeitern Anwendung.
Der Gesetzgeber schreibt für das Outsourcing von Dienstleistungen mit personenbezogenen Daten oder Zugriffsmöglichkeit auf diese eine Regelung zur sogenannten “Auftragsdatenverarbeitung” nach § 11 Bundesdatenschutzgesetz (BDSG) vor. So wird z.B. eine Prüfung der technischen und organisatorischen Maßnahmen (TOM) nach der Anlage zu § 9 BDSG erwartet zusammen mit einer vertraglichen Regelung (meist in Form einer Zusatzvereinbarung), die den Umgang mit personenbezogenen Daten sehr detailliert konkretisiert und die Rechte und Pflichten der Parteien definiert. Auch diese zu regelnden Inhalte sind durch den Gesetzgeber in § 11 BDSG festgeschrieben.
Was liegt also nun näher, als sich als kunden- und serviceorientierter Dienstleister hervorzutun und seinem potentiellen Auftraggeber die notwendige Formulierung samt Anlage der TOM gleich mit dem Hauptvertrag mitzuliefern? Schließlich ist das teilweise noch ein klarer Wettbewerbsvorteil und zusätzlich zeigt man seinem Kunden gleich, wie wichtig man ihn und sein Anliegen nimmt. Nebenbei erspart man sich das Prüfen und Freigeben zahlreicher durch Kunden selbst formulierter Regelungen zur Auftragsdatenverarbeitung. Und die Anlage mit den technischen und organisatorischen Maßnahmen (TOM) muss intern so oder so in Verbindung mit dem Verfahrensverzeichnis (auch dies ist gesetzliche Pflicht) geführt werden.
Kurioserweise zeichnet sich in der letzten Zeit eine Entwicklung ab, die ich für sehr unglücklich und kurzfristig gedacht halte. So häufen sich Vorgänge, in denen Dienstleister für das Ausfertigen der gesetzlich vorgeschriebenen Vereinbarung zur Auftragsdatenverarbeitung (ohne die sie überhaupt keinen Auftrag erhalten dürften) eine “Gebühr” verlangen. Getoppt wird dies noch gelegentlich durch den Wunsch nach einer jährlichen “Verlängerungsgebühr”. Um diese Forderung nach zusätzlichen Honoraren zu rechtfertigen, findet man dann durchaus Argumentationen wie das generelle Abstreiten des Vorliegens einer Auftragsdatenverarbeitung und den erhöhten Aufwand, den der Auftragnehmer hätte, da er diese Maßnahme ja nur unterstütze, um dem Auftraggeber aus einer möglichen Rechtsmisere zu helfen (nämlich dem Bußgeldrisiko von bis zu 50.000 Euro für eine nicht oder nicht richtig umgesetzte Auftragsdatenverarbeitung).
Selbstverständlich sind Dienstleistungen, die sich aus der Zusammenarbeit ergeben, zu honorieren. Wieso jedoch die Vertragsanbahnung mit den notwendigen Unterlagen — in diesem Fall der Anlagen zur Auftragsdatenverarbeitung — bereits hierdurch kostenpflichtig werden soll, ist nicht nachvollziehbar.
Für mich als potentieller Auftraggeber ist in einem solchen Fall die Entscheidung klar … Interessant wäre sicher auch eine Stellungnahme einer Landesdatenschutzbehörde zu solch einem Vorgehen. Doch selbst wenn diese rechtlich beanstandungsfrei ist, hätte sich ein solcher Anbieter aus meiner engeren Auswahl im wahrsten Sinne des Wortes “ausgepreist”.
Weiter geht es mit dem zweiten Teil der Serie “Irrtümer im Datenschutz”. Nicht auszurotten ist ein Gerücht, auf das ich im Rahmen von zahlreichen Beratungsgesprächen immer wieder stoße. Hier wird argumentiert, auf die Bestellung eines gesetzlich vorgeschriebenen Datenschutzbeauftragten kann verzichtet werden, wenn die dafür anfallenden Kosten für das Unternehmen nicht zumutbar sind.
Was sagt das Bundesdatenschutzgesetz (BDSG) dazu?
Die gesetzliche Bestellpflicht für einen Datenschutzbeauftragten regelt § 4f Absatz 1 Beauftragter für den Datenschutz BDSG.
(1) Öffentliche und nicht-öffentliche Stellen, die personenbezogene Daten automatisiert verarbeiten, haben einen Beauftragten für den Datenschutz schriftlich zu bestellen. Nicht-öffentliche Stellen sind hierzu spätestens innerhalb eines Monats nach Aufnahme ihrer Tätigkeit verpflichtet.
Weiter führt § 4f BDSG aus
Die Sätze 1 und 2 gelten nicht für die nichtöffentlichen Stellen, die in der Regel höchstens neun Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.
Damit ist klar definiert: Unternehmen mit mehr als 9 Mitarbeitern, die mittels EDV mit personenbezogenen Daten zu tun haben, sind gesetzlich zur Bestellung eines Datenschutzbeauftragten verpflichtet — und zwar bis spätestens 4 Wochen nach Aufnahme der Geschäftstätigkeit.
Zumutbarkeit?
Von einer Zumutbarkeit ist an dieser Stelle nicht die Rede. Im Gegenteil! § 4f Absatz 1 BDSG führt sogar noch weitere Verpflichtungskriterien an:
Soweit aufgrund der Struktur einer öffentlichen Stelle erforderlich, genügt die Bestellung eines Beauftragten für den Datenschutz für mehrere Bereiche. Soweit nicht-öffentliche Stellen automatisierte Verarbeitungen vornehmen, die einer Vorabkontrolle unterliegen, oder personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung automatisiert verarbeiten, haben sie unabhängig von der Anzahl der mit der automatisierten Verarbeitung beschäftigten Personen einen Beauftragten für den Datenschutz zu bestellen.
Auch hier ist keine Rede von einer Zumutbarkeit für Unternehmen. Bestellpflicht ist Bestellpflicht! Jedoch gestattet der Gesetzgeber mit § 4f Absatz 2 BDSG eine externe Bestellung:
Zum Beauftragten für den Datenschutz kann auch eine Person außerhalb der verantwortlichen Stelle bestellt werden; die Kontrolle erstreckt sich auch auf personenbezogene Daten, die einem Berufs- oder besonderen Amtsgeheimnis, insbesondere dem Steuergeheimnis nach § 30 der Abgabenordnung, unterliegen
Diese Möglichkeit bietet gerade kleinen und mittleren mittelständischen Unternehmen ein hohes Maß an Flexibilität, Kostentransparenz und auch Einsparpotential. Denn die Bestellung eines externen Datenschutzbeauftragten bringt zahlreiche Vorteile für ein Unternehmen mit sich.
Die Vorteile des externen Datenschutzbeauftragten
Ein intern bestellter Datenschutzbeauftragter ist nicht weisungsgebunden und frei in seiner Zeiteinteilung. Er genießt einen erweiterten Kündigungsschutz und kann nicht einfach so abberufen werden. Gleichzeitig trägt das Unternehmen die Kosten für Aus- und Weiterbildung (diese ist gesetzlich vorgeschrieben) und muss Raum und Material zur Verfügung stellen. Ein interner Datenschutzbeauftragter bringt keinen Versicherungsschutz mit sich. Kostentransparenz und Kostenkontrolle Fehlanzeige!
Bestellen Sie jedoch einen externen Datenschutzbeauftragten, liegen die Vorteile klar auf der Hand. Dieser Externe arbeitet im Rahmen eines Projektauftrags. Die Kosten sind transparent und überschaubar. Seine Bestellung kann widerrufen werden, besonderen Kündigungsschutz kennt ein externer Vertrag nicht. Die Kosten für seine Aus- und Weiterbildung trägt der Externe selbst, ebenso wie für die notwendige Ausstattung mit Software (Lizenzen), Literatur und sein Büro. Ein externer Datenschutzbeauftragter verfügt über ausreichenden Versicherungsschutz, welcher sich auf seine Tätigkeit für das Unternehmen erstreckt (lassen Sie sich diese stets nachweisen!!). Zielkonflikte sind durch die Ausgliederung kein Thema. Als Sahnehäubchen erhält Ihr Unternehmen Zugriff auf dessen branchenübergreifendes Know How.
Wer nicht, zu spät oder pro forma bestellt, setzt sich einem erheblichen Bußgeldrisiko bis 50.000 Euro aus.
Überzeugt? Dann vereinbaren Sie doch gleich in unverbindliches und kostenloses Erstberatungsgespräch!
[vfb id=3]
Lesen Sie hier die anderen Teile der Serie “Irrtümer im Datenschutz”:
Willkommen zum ersten Teil unserer Serie “Irrtümer im Datenschutz”. Datenschutz ist in aller Munde, doch kaum jemand kennt das dahinterstehende Bundesdatenschutzgesetz (BDSG). Dabei ist das Datenschutzgesetz auf Bundesebene nicht mehr das Jüngste, existiert es doch bereits seit 1977.
Erstaunlicherweise herrscht über das Thema Datenschutz in der Praxis meist ein risikoreiches Halbwissen. Die Existenz oder die Inhalte des BDSG sind selten konkret bekannt, Aufklärung seitens des Gesetzgebers zu diesem Thema erfolgt bedauerlicherweise ebenfalls keine. Unternehmen und Unternehmer sind auf sich alleine gestellt, wenn es um die rechtliche Auseinandersetzung mit dem Thema Datenschutz und dessen konkrete (vorgeschriebenen) Maßnahmen im Betrieb geht. Was Wunder, wenn Datenschutz im Tagesgeschäft einen geringen Stellenwert einnimmt.
Es kann teuer werden
Im Jahr 2009 hat der Gesetzgeber die Strafen und Sanktionen für Nichteinhaltung der gesetzlichen Datenschutzvorschriften durch Unternehmen verschärft. Konkret werden diese in § 43 BDSG Bußgeldvorschriften und § 44 BDSG Strafvorschriften ähnlich dem aus der Straßenverkehrsordnung bekannten Bußgeldkatalog aufgelistet. Neben Auflagen durch die Landesdatenschutzbehörden können Unternehmer und Unternehmen schnell einem Bußgeldrisiko von bis zu 300.000 Euro ausgesetzt sein — und das sogar ganz ohne Datenpanne. Unwissenheit schützt auch hier vor Strafe nicht.
“Datenschutz und Datenschutzgesetz betreffen mein Unternehmen überhaupt nicht”
Weit gefehlt, denn in jedem Unternehmen wird für gewöhnlich mit personenbezogene Daten hantiert (der Gesetzgeber spricht von Erheben, Verarbeiten und Nutzen). Sind es nicht die Daten von Kunden und Geschäftspartnern, so existieren doch zumeist noch Mitarbeiterdaten im Unternehmen — und diese gelten rechtlich als “sensitiv” und damit besonders schützenswert. Doch schauen wir auf das Bundesdatenschutzgesetz:
Bereits § 1 BDSG Zweck und Anwendungsbereich des Gesetzes macht klar, was das Datenschutzgesetz schützt und wen es betrifft.
(1) Zweck dieses Gesetzes ist es, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird.
(2) Dieses Gesetz gilt für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch
3. nicht-öffentliche Stellen, soweit sie die Daten unter Einsatz von Datenverarbeitungsanlagen verarbeiten, nutzen oder dafür erheben oder die Daten in oder aus nicht automatisierten Dateien verarbeiten, nutzen oder dafür erheben, es sei denn, die Erhebung, Verarbeitung oder Nutzung der Daten erfolgt ausschließlich für persönliche oder familiäre Tätigkeiten.
Betrachten wir die Definition nicht-öffentlicher Stellen:
§ 2 Öffentliche und nicht-öffentliche Stellen
(4) Nicht-öffentliche Stellen sind natürliche und juristische Personen, Gesellschaften und andere Personenvereinigungen des privaten Rechts, soweit sie nicht unter die Absätze 1 bis 3 fallen. Nimmt eine nicht-öffentliche Stelle hoheitliche Aufgaben der öffentlichen Verwaltung wahr, ist sie insoweit öffentliche Stelle im Sinne dieses Gesetzes.
Somit ist klar, die Annahme “Datenschutz und Datenschutzgesetz betreffen mein Unternehmen überhaupt nicht” gehört ins Reich der Mythen und Irrtümer! Sollten Sie bisher mit Ihrem Unternehmen (auch als Ein-Mann-Betrieb) nach dieser Fehleinschätzung agiert haben, lohnt ein Blick in § 43 ff BDSG zwecks Identifikation der Bußgeldrisiken, denen Sie sich und Ihrem Unternehmen ausgesetzt haben.
Licht am Horizont
Bevor Sie sich nun selbst in die juristischen Untiefen des Bundesdatenschutzgesetzes stürzen und Aktivitäten entwickeln, fragen Sie einfach den Fachmann — a.s.k. Datenschutz. Mittels standardisierter Prüf- und Auditierungsverfahren identifizieren wir gemeinsam mit Ihnen schnell, unbürokratisch und zuverlässig die notwendigen Maßnahmen, die für eine gesetzeskonforme Umsetzung des Datenschutzes in Ihrem Unternehmen sorgen. Selbstverständlich unterstützen wir Sie ebenfalls aktiv bei der internen Umsetzung und betreuen Sie im Anschluß als sog. externer Datenschutzbeauftragter, wenn die Überprüfung das Vorliegen einer Bestellpflicht ergibt.
Vertrauen Sie langjähriger Erfahrung aus der bundesweiten Beratung und Betreuung kleiner und großer Unternehmen aus den unterschiedlichsten Branchen und profitieren Sie von diesem übergreifenden Know-How.
Nutzen Sie einfach unseren Rückruf-Service, wir melden uns garantiert! Oder fordern Sie doch gleich Ihr unverbindliches Angebot für einen externen Datenschutzbeauftragten an.
Lesen Sie hier die anderen Teile der Serie “Irrtümer im Datenschutz”:
Ob dieser Meldung reibt man sich unwillkürlich die Augen und staunt: Die wohl bekannteste Auskunftei in Deutschland — SCHUFA — plant, Nutzer in den sozialen Netzwerken wie Facebook, Twitter und Xing auszuspionieren und die Schnüffel-Ergebnisse in die Bewertung der Kreditwürdigkeit des Einzelnen mit einfließen zu lassen. Dies vermeldete heute Nacht NDR Info. Sogenannte “Projektideen” gehen sogar noch weiter (Auszug NDR Info):
Welche Informationen können aus “nicht-öffentlichen Quellen” (dark web) gezogen werden?
Generierung von elektronischen Identifizierungsdaten (e‑mail-Adressen, e‑Postbriefadresse, facebook-ID …)
Relationship Extraction, um Beziehungen zwischen Entitäten zu gewinnen (Person/Person; Person/Unternehmen; Unternehmen/Unternehmen). Mögliche Quellen: Nachrichten, Blogs, Wikipedia, soziale Netzwerke …
VIP-Identifikation: Automatisierte Identifikation von Personen öffentlichen Interesses, Verbraucherschützern und Journalisten
Ad-hoc-Sentiment Analyse für Personen: Spezialisierte Personensuche, die neben strukturierten Informationen auch zuvor gesammelten Textdaten sowie ad-hoc-angefragte Textdaten nutz, um ein aktuelles Meinungsbild zu der Person zu ermitteln. Mögliche Quellen: Blogs, Twitter, Nachrichtenseiten, Unternehmenshomepage, Aktienkurs …
Jeweils Korrelationen zur Bonität untersuchen
Zeige mir Dein soziales Umfeld und ich entscheide über Deine Kreditwürdigkeit
Bei Datenschützern und Politikern stößt das Projekt der SCHUFA auf heftige Kritik. So äußert Justizministerin Sabine Leutheusser-Schnarrenberger gegenüber SPIEGEL Online“Es darf nicht sein, dass Facebook-Freunde und Vorlieben dazu führen, dass man zum Beispiel keinen Handy-Vertrag abschließen kann.” FDP-Fraktionschef Rainer Brüderle wird gegenüber SPIEGEL Online sogar noch deutlicher: “Die Pläne der Schufa gehen zu weit. Soziale Netzwerke gehören wie der Freundeskreis zur Privatsphäre und dürfen daher nicht von der Schufa angezapft werden.”
Die FAZ berichtet, der schleswig-holsteinische Datenschutzbeauftragte Thilo Weichert nahm in einem Telefonat mit NDR Info wie folgt Stellung: “Hinter einem solchen Forschungsprojekt steckt immer eine Absicht. Sollte die Schufa die gewonnenen Daten tatsächlich einsetzen, wäre das eine völlig neue Dimension.” Weiterhin äußerte er große Zweifel, ob eine solche Umsetzung der Projektideen rechtlich überhaupt haltbar sei.
Theorie und Wirklichkeit
Aktuell rühmt sich die SCHUFA auf ihrer eigenen Webseite (Punkt 4.8), keine Regio- oder Geodaten (also das soziale Wohnumfeld) des Verbrauchers zur Bewertung und Berechnung des Scorewerts heranzuziehen. Wird aus der Projektidee Wirklichkeit, würde die SCHUFA damit sehr viel weiter gehen, als sie ihren Wettbewerbern heute selbst vorwirft. Edda Castelló von der Verbraucherzentrale Hamburg nutzt gegenüber der FAZ bewußt den Begriff “Grenzüberschreitung” für ein solches Vorhaben.
Reaktionen im Netz
Die Netzwelt reagiert sehr unterschiedlich. Kommentare von “Na und?” über “Geschieht den Facebook-Nutzern ganz recht” bis hin zu “Der Untergang der Demokratie” finden sich zuhauf. Findige Nutzer bieten derweil einkommensstarke Facebook-Freundschaften zum Verkauf an zwecks Verbesserung des zukünftigen Score-Werts.
Schutzmöglichkeiten
SPIEGEL Online gibt aktuell Tipps, wie das eigene Facebook-Profil weitestgehend abgeschottet werden kann, um nicht allzu freizügige Einblicke zu gewähren. Das mehr zufällig bekanntgewordene Beispiel der SCHUFA, auch wenn es sich nur um eine Projektidee handeln soll, zeigt die Bedeutung des sorgfältigen Umgangs mit den eigenen personenbezogenen Daten bei der Nutzung des Web 2.0. Es bleibt spannend.
Wie datenschutzbeauftragter-info.de so treffend anmerkt, vergibt die SCHUFA ein eigenes Datenschutz-Siegel. Wird hier der Bock zum Gärtner gemacht? 🙂
Nachdem gerade die bayerische Landesdatenschutzbehörde offiziell das Vorgehen gegen bayerische Unternehmenswebseiten mit nicht korrekt umgesetzten Google Analytics Installationen kundgetan hat, versendet nun auch die Landesdatenschutzbehörde Nordrhein-Wetsfalen erste Anschreiben. Im Visier: Unternehmen mit Sitz im Bundesland und einem Webauftritt der als Tracking Tool das beliebte Google Analytics einsetzt.
Den angeschriebenen Unternehmen wird ausführlich die rechtliche Grundlage erklärt und die lt. Behörde korrekte Einsatzweise des Tools dargestellt. Ein mehrseitiger Fragebogen samt Bestätigung des Unternehmens über den nun korrigierten und beanstandungsfreien Einsatz von Google Analytics ist beigefügt und innerhalb einer angemessenen Frist ausgefüllt und unterschrieben zurückzusenden.
Unsere Empfehlung: nehmen Sie dieses Schreiben ernst und reagieren angemessen und zeitnah. Die Bußgelder für den nicht korrekten Einsatz des Tools sowie auf eine fehlende oder falsch erteilte Rückauskunft sind in dem Schreiben gleich benannt.
Die einfachste Lösung: stellen Sie doch gleich auf das Open Source Tool PIWIK um. Dieses steht Google Analytics als reines Tracking Tool in nichts nach und es gibt eine einfache Schritt für Schritt Anleitung, wie es rechtssicher installiert und konfiguriert wird. Eine Anleitung finden Sie auch hier im Blog.
Im Zweifel fragen Sie doch einfach Ihren externen Datenschutzbeauftragten. Sie haben keinen? Dann ist möglicherweise Zeit zum Handeln, falls die gesetzliche Bestellpflicht für Ihr Unternehmen vorliegt. Sonst droht das nächste Ungemach in Form von Bußgeldern. Fordern Sie doch einfach und schnell Ihr unverbindliches Angebot an.
Mit Beschluss vom 20.08.2010 unter dem Aktenzeichen 2 Ss 23/07, 1 Ws (B) 51/07 — 2 Ss 23/07 hat das Kammergericht Berlin festgestellt, daß die Bestimmungen der BRAO keine “bereichsspezifischen Sonderregelungen” im Sinne des § 1 Absatz 3 Satz 1 BDSG darstellen. Die BRAO enthalte lediglich berufsrechtliche Bestimmungen, deren Zweck nicht darin bestehe, die Daten von Prozessgegnern oder von außenstehenden Personen zu schützen. Das sei vielmehr Sache des BDSG.
Das BDSG berühre jedoch nicht die gesetzlichen Geheimhaltungspflichten. Zu diesen Pflichten gehört nach Auffassung des Gerichts auch die Geheimhaltungspflicht des Rechtsanwalts.
Dies bedeutet, daß Rechtsanwälte demnach den gesetzlichen Bestimmungen des BDSG unterworfen sind, woran die Kammer in ihrer ausführlichen Begründung keinen Zweifel ließ. Es gilt nun für Anwälte, die für sie zutreffenden Punkte des BDSG in ihrer Kanzlei umzusetzen (siehe unten)
Originalartikel vom 12.11.2010
In Gesprächen mit Anwälten, aber auch mit Steuerberatern trifft man häufig auf das Argument, die Regelungen des Bundesdatenschutzgesetz (BDSG) würden die Kanzlei oder den Anwalt nicht betreffen, da es eigene Regelungen zur Verschwiegenheit und Vertraulichkeit gäbe.
Das Bundesdatenschutzgesetz sieht hier klar vor, das für Sachverhalte, die durch kein bereichspezifisches Recht explizit geregtl werden, die (allgemeineren) Regelungen des Bundesdatenschutzgesetzes zum Tragen kommen. Dazu gehören insbesondere Punkte wie
Verfahrensverzeichnisse
Datenschutzregelungen
Nutzungsrichtlinien
IT Sicherheit
Backup- und Recovery-Strategien
Verschlüsselung und Signatur
Bestellpflicht eines Datenschutzbeauftragten
Auftragsdatenverarbeitung externe Dienstleister z.B. Fernwartung etc.
Die Brisanz des Themas, u.a. die mit Verstößen gegen das BDSG verbundenen Bußgeldrisiken hat der Deutsche Anwaltverein in seiner Depeche 2010–42 aufgegriffen und zusätzlich eine Checkliste mit Empfehlungen zur Umsetzung in der Kanzlei herausgegeben. Hierin verweist der DAV auf die Möglichkeit der Bestellung eines externen Datenschutzbeauftragten (bei vorliegender Bestellpflicht), aber auch auf die Inanspruchnahme eines externen Datenschutzberaters für die Sicherstellung der notwendigen Umsetzungen und Formulierungen.
Diese Leistungen können Sie als Anwalt oder Kanzlei jederzeit bei mir fachgerecht und kostengünstig in Anspruch nehmen. Gerne unterbreite ich Ihnen hierzu ein Angebot.
Wollen Sie die Risiken aus dem Bundesdatenschutzgesetz für Ihr Unternehmen minimieren? Eine passende Lösung finden Sie sicher in unserem Leistungsangebot.
Unsicher, ob für Ihr Unternehmen die gesetzliche Bestellpflicht für einen (externen) Datenschutzbeauftragten vorliegt? Die Antwort gibt unser Datenschutz-Quick-Check, siehe Leistungen.
Sie wollen eine unabhängige Prüfung, wie gut es um Datenschutz und Datensicherheit in Ihrem Unternehmen bestellt ist? Kein Problem mit unseren Leistungen.
Schulungsbedarf für Ihre Mitarbeiter? Zusätzliche Trainings und Workshops rund um Datenschutz und Datensicherheit? Erfahren Sie mehr über unsere Schulungen und Seminare.
Anleitungen, Ratgeber und Links, die das tägliche Arbeiten erleichtern und helfen können, Datenpannen zu vermeiden, finden Sie in der Rubrik Anleitungen / Ratgeber.