Zum Inhalt springen

Risiko

Sony wehrt sich gegen Geld­stra­fe wegen Hacker­an­griffs auf sein Play­sta­ti­on Network

2011 ging das Ereig­nis als bis­her größ­te Daten­pan­ne der Geschich­te durch die Medi­en (wir berich­te­ten). Hackern gelang es, über 75 Mil­lio­nen Kun­den­da­ten aus dem Sony Netz­werk zu ent­wen­den, dar­un­ter Namen, Anmel­de­da­ten und Zah­lungs­an­ga­ben. In wei­te­ren nach­fol­gen­den Hacker-Atta­cken wur­den wei­te­re Mil­lio­nen Daten­sät­ze ent­wen­det mit teil­wei­se noch aus­führ­li­che­ren Nutzerangaben.

Das Kri­sen­ma­nage­ment des Kon­zern war durch­aus als sub­op­ti­mal ein­zu­stu­fen — sie­he Bericht. Auf­grund des Fir­men­sit­zes in Japan wog man sich jedoch in Sicher­heit vor der Ver­fol­gung durch die Schutz­be­hör­den. Doch damit ist nun Schluss. Was nicht nur zahl­rei­che Poli­ti­ker und Daten­schüt­zer, son­dern auch gera­de Kun­den von Sony gefor­dert haben, hat die bri­ti­sche Daten­schutz­be­hör­de nun in die Tat umge­setzt. Sie ver­häng­te eine Geld­stra­fe in Höhe von 300.000 Euro, gegen das Unter­neh­men. Begrün­dung: Wer für so vie­le sen­si­blen Daten mit Miß­brauchs­po­ten­ti­al ver­ant­wort­lich ist, muss dem Schutz die­ser Daten obers­te Prio­ri­tät einräumen.

Sony hat Wider­stand gegen die Stra­fe ange­kün­digt, schließ­lich sei man “Opfer” einer kri­mi­nel­len Atta­cke gewor­den. Das Unter­neh­men blen­det dabei aus, dass es selbst erst durch Män­gel in der IT Infra­struk­tur (schwa­che Pass­wör­ter, feh­len­de Sicher­heits­patches) die Mög­lich­keit für die­se mehr­fa­chen Angrif­fe geschaf­fen hat. The­ma ver­fehlt, Sechs, setzen!

Fra­gen Sie doch Ihren Datenschutzbeauftragten

Ihr Daten­schutz­be­auf­trag­ter muss kein IT Pro­fi sein. Er wird jedoch aus­rei­chend Fach­wis­sen mit­brin­gen, um unter ande­rem auch auf Sicher­heits­lü­cken durch schwa­che Pass­wör­ter oder nicht zeit­na­he /​ feh­len­de Sicher­heits­patches kon­se­quent hin­zu­wei­sen. Lösun­gen las­sen sich meist unkom­pli­ziert durch tech­ni­sche und /​ oder orga­ni­sa­to­ri­sche Maß­nah­men her­bei­füh­ren und das Schutz­ni­veau wei­ter erhö­hen. Sei­en Sie schlau­er und spre­chen Sie mit Ihrem Daten­schutz­be­auf­trag­ten. Ver­mei­den Sie Daten­pan­nen und die damit ver­bun­de­nen Buß­geld­ri­si­ken. Sie haben kei­nen Daten­schutz­be­auf­trag­ten? Wir hel­fen ger­ne weiter.

VHS Hers­bruck: Sozia­le Netz­wer­ke und deren Gefah­ren­po­ten­tia­le — 17.11.2012, 14–17 Uhr

Am Sams­tag, den 17.11.2012 fin­det von 14.00 bis 17.00 Uhr in der Volks­hoch­schu­le Hers­bruck, Emil-Held-Haus, Amber­ger Stra­ße 27, Raum 02 das Seminar

Sozia­le Netz­wer­ke und deren Gefahrenpotentiale

statt. Die Teil­nah­me-Gebühr beträgt 24,– €.

Beschrei­bung:

Wie kann es sein, dass ein eigent­lich klei­nes Unter­neh­men wie Face­book Mil­li­ar­den wert sein soll? Oder han­delt es sich dabei eher um den Wert der gesam­mel­ten per­so­nen­be­zo­ge­nen Daten der Nut­zer? Was steckt hin­ter sozia­len Netz­wer­ken? Was treibt die­se an und was moti­viert deren Nut­zer, so viel über sich preis­zu­ge­ben? Was ist Pro­fil­ing und wie kann ich mich davor schüt­zen? Wel­che unbe­dach­ten Rechts­ver­stö­ße kön­nen bei der Nut­zung sozia­ler Netz­wer­ke unter­lau­fen? Die­se und wei­te­re Fra­gen beant­wor­tet Ihnen der Dozent, frei­be­ruf­li­cher Bera­ter für Daten­schutz und Daten­si­cher­heit im Rah­men die­ser Veranstaltung.

Zur Anmel­dung

Ver­an­stal­tungs­hin­weis 11.10.2012: Sicher und erfolg­reich online unter­wegs — (Rechts-) Sicher­heit bei Web­site, Web­shop und Web 2.0

Unter­neh­men brau­chen (Rechts-) Sicher­heit im Internet

Eine eige­ne Web­site ist für die meis­ten Unter­neh­men eine Selbst­ver­ständ­lich­keit. Auch im Umfeld von Social Media wer­den immer mehr Unter­neh­men aktiv. So groß die Chan­cen der neu­en Medi­en auch sind, so vie­le Gefah­ren ber­gen sie. Recht­li­che Aspek­te und der Daten­schutz fin­den oft­mals nicht die not­wen­di­ge Beach­tung. Und dies kann zu bösen Über­ra­schun­gen füh­ren. Abmah­nun­gen und Rechts­strei­tig­kei­ten sind kei­ne Seltenheit.

Jür­gen Put­zer, aus­ge­wie­se­ner Inter­net- und Social Media Exper­te zeigt im Dia­log mit Sascha Kuhr­au, a.s.k. Daten­schutz, wel­che Feh­ler sehr häu­fig gemacht wer­den und wie man die­se ver­mei­den kann. An Pra­xis­bei­spie­len soll dies ver­deut­licht wer­den. Neben Web­sites ste­hen Web­shops und Sozia­le Netz­wer­ke im Fokus. Die­se Netz­wer­ke, die ursprüng­lich für die pri­va­te Nut­zung gedacht waren, ber­gen für Unter­neh­men ein nicht uner­heb­li­ches Risiko.

Nut­zen Sie die Gele­gen­heit und bie­ten Sie Ihren Inter­net­auf­tritt im Rah­men der Ver­an­stal­tung als Bei­spiel an. Bit­te unter­schrei­ben Sie uns in die­sem Fall die Ein­ver­ständ­nis­er­klä­rung auf dem Anmel­de­fax. Aus den ange­bo­te­nen Auf­trit­ten wer­den wir pas­sen­de Bei­spie­le auswählen.

Agen­da

Don­ners­tag, 11. Okto­ber 2012

18.45 Get Together
19.00 Begrü­ßung durch Bernd Höl­zel, Kreis­ent­wick­lung Nürn­ber­ger Land und Dr. Mar­kus Wolf, netz­werk nordbayern
19.15 Daten­schutz und Rechts­si­cher­heit im Inter­net Jür­gen Put­zer, Social Media Spe­zia­list, Mar­ke­ting­lei­ter Crea­ti­on Gross + Sascha Kuhr­au, a.s.k. Datenschutz
20.45 Aus­klang, Gesprä­che und Networking

Infor­ma­tio­nen und Anmeldung:
Wirt­schafts­för­de­rung Nürn­ber­ger Land
Wald­lust­stra­ße 1 Tel.: 09123/​ 950‑6065
91207 Lauf a.d. Peg­nitz Fax: 09123/​ 950‑8004
E‑Mail: wirtschaft@​nuernberger-​land.​de

Fly­er und Anmel­de­for­mu­lar sind auch online erhältlich 

 

Irr­tü­mer im Daten­schutz (Teil 3): Wir haben kei­ne schüt­zens­wer­ten Daten im Unternehmen

“Wir haben kei­ne per­so­nen­be­zo­ge­nen Daten im Unter­neh­men, daher betrifft uns das Bun­des­da­ten­schutz­ge­setz gar nicht” — die­se Aus­sa­ge trifft man immer wie­der z.B. im Rah­men von Infor­ma­ti­ons­ver­an­stal­tun­gen oder Kun­den­ge­sprä­chen. Im ers­ten Moment ist man gera­de bei rei­nen B2B-Unter­neh­men geneigt, zuzu­stim­men. Doch schnell regen sich Zwei­fel, denn nur weni­ge Unter­neh­men kom­men ohne Mit­ar­bei­ter aus.

§ 3  BDSG defi­niert den Begriff der per­so­nen­be­zo­ge­nen Daten:

“(1) Per­so­nen­be­zo­ge­ne Daten sind Ein­zel­an­ga­ben über per­sön­li­che oder sach­li­che Ver­hält­nis­se einer bestimm­ten oder bestimm­ba­ren natür­li­chen Per­son (Betrof­fe­ner).”

Damit wäre bereits fest­ge­stellt, das per­so­nen­be­zo­ge­ne Daten im Unter­neh­men allei­ne schon durch die Beschäf­ti­gung von Mit­ar­bei­tern vor­lie­gen. Zieht man jetzt noch die Daten zu Kun­den, Lie­fe­ran­ten, Dienst­leis­tern und Inter­es­sen­ten hin­zu, wird schnell klar: Es gibt eigent­lich immer per­so­nen­be­zo­ge­ne Daten im Unternehmen.

Blei­ben wir jedoch bei den Mit­ar­bei­ter­da­ten unse­res Bei­spiels und in § 3 BDSG:

“(9) Beson­de­re Arten per­so­nen­be­zo­ge­ner Daten sind Anga­ben über die ras­si­sche und eth­ni­sche Her­kunft, poli­ti­sche Mei­nun­gen, reli­giö­se oder phi­lo­so­phi­sche Über­zeu­gun­gen, Gewerk­schafts­zu­ge­hö­rig­keit, Gesund­heit oder Sexualleben.”

Mit­ar­bei­ter­da­ten sind dem­nach nicht nur rei­ne per­so­nen­be­zo­ge­ne Daten, son­dern nach die­ser Defi­ni­ti­on sogar eine beson­de­re Art per­so­nen­be­zo­ge­ner Daten (ent­hal­ten sie doch eini­ge der og. Merkmale).

§ 3 BDSG defi­niert im wei­te­ren Ver­lauf den Begriff “Beschäf­tig­te” detailliert:

“(11) Beschäf­tig­te sind:

  1. Arbeit­neh­me­rin­nen und Arbeitnehmer,
  2. zu ihrer Berufs­bil­dung Beschäftigte,
  3. Teil­neh­me­rin­nen und Teil­neh­mer an Leis­tun­gen zur Teil­ha­be am Arbeits­le­ben sowie an Abklä­run­gen der beruf­li­chen Eig­nung oder Arbeits­er­pro­bung (Reha­bi­li­tan­din­nen und Rehabilitanden),
  4. in aner­kann­ten Werk­stät­ten für behin­der­te Men­schen Beschäftigte,
  5. nach dem Jugend­frei­wil­li­gen­dien­ste­ge­setz Beschäftigte,
  6. Per­so­nen, die wegen ihrer wirt­schaft­li­chen Unselb­stän­dig­keit als arbeit­neh­mer­ähn­li­che Per­so­nen anzu­se­hen sind; zu die­sen gehö­ren auch die in Heim­ar­beit Beschäf­tig­ten und die ihnen Gleichgestellten,
  7. Bewer­be­rin­nen und Bewer­ber für ein Beschäf­ti­gungs­ver­hält­nis sowie Per­so­nen, deren Beschäf­ti­gungs­ver­hält­nis been­det ist,
  8. Beam­tin­nen, Beam­te, Rich­te­rin­nen und Rich­ter des Bun­des, Sol­da­tin­nen und Sol­da­ten sowie Zivildienstleistende.”

Das Bun­des­da­ten­schutz­ge­setz spen­diert in sei­ner aktu­el­len Fas­sung den Beschäf­tig­ten sogar einen eige­nen Paragraphen:

§ 32 Daten­er­he­bung, ‑ver­ar­bei­tung und ‑nut­zung für Zwe­cke des Beschäftigungsverhältnisses

“(1) Per­so­nen­be­zo­ge­ne Daten eines Beschäf­tig­ten dür­fen für Zwe­cke des Beschäf­ti­gungs­ver­hält­nis­ses erho­ben, ver­ar­bei­tet oder genutzt wer­den, wenn dies für die Ent­schei­dung über die Begrün­dung eines Beschäf­ti­gungs­ver­hält­nis­ses oder nach Begrün­dung des Beschäf­ti­gungs­ver­hält­nis­ses für des­sen Durch­füh­rung oder Been­di­gung erfor­der­lich ist. Zur Auf­de­ckung von Straf­ta­ten dür­fen per­so­nen­be­zo­ge­ne Daten eines Beschäf­tig­ten nur dann erho­ben, ver­ar­bei­tet oder genutzt wer­den, wenn zu doku­men­tie­ren­de tat­säch­li­che Anhalts­punk­te den Ver­dacht begrün­den, dass der Betrof­fe­ne im Beschäf­ti­gungs­ver­hält­nis eine Straf­tat began­gen hat, die Erhe­bung, Ver­ar­bei­tung oder Nut­zung zur Auf­de­ckung erfor­der­lich ist und das schutz­wür­di­ge Inter­es­se des Beschäf­tig­ten an dem Aus­schluss der Erhe­bung, Ver­ar­bei­tung oder Nut­zung nicht über­wiegt, ins­be­son­de­re Art und Aus­maß im Hin­blick auf den Anlass nicht unver­hält­nis­mä­ßig sind.
(2) Absatz 1 ist auch anzu­wen­den, wenn per­so­nen­be­zo­ge­ne Daten erho­ben, ver­ar­bei­tet oder genutzt wer­den, ohne dass sie auto­ma­ti­siert ver­ar­bei­tet oder in oder aus einer nicht auto­ma­ti­sier­ten Datei ver­ar­bei­tet, genutzt oder für die Ver­ar­bei­tung oder Nut­zung in einer sol­chen Datei erho­ben werden.
(3) Die Betei­li­gungs­rech­te der Inter­es­sen­ver­tre­tun­gen der Beschäf­tig­ten blei­ben unberührt.”
Womit fest­steht:
  1. Beschäf­tigt ein Unter­neh­men Mit­ar­bei­ter, lie­gen per­so­nen­be­zo­ge­ne Daten vor.
  2. Auf­grund der vor­lie­gen­den Daten eines Mit­ar­bei­ters han­delt es sich dabei sogar um beson­de­re Arten per­so­nen­be­zo­ge­ner Daten, die einen erhöh­ten Schutz­sta­tus besitzen.
  3. Das Bun­des­da­ten­schutz­ge­setz legi­ti­miert das Erhe­ben, Ver­ar­bei­ten und Nut­zen der Mit­ar­bei­ter­da­ten zum Zwe­cke des Beschäftigungsverhältnisses.
  4. Das Bun­des­da­ten­schutz­ge­setz fin­det auf Unter­neh­men mit Mit­ar­bei­tern Anwendung.
  5. Es bleibt zu prü­fen, ob die gesetz­li­che Bestell­pflicht für einen Daten­schutz­be­auf­trag­ten zusätz­lich vorliegt.

 

Unsi­cher in Bezug auf die wei­te­re Vor­ge­hens­wei­se? Dann spre­chen Sie uns ein­fach an. Wir hel­fen schnell, unbü­ro­kra­tisch und unkompliziert.

Lesen Sie hier die ande­ren Tei­le der Serie “Irr­tü­mer im Datenschutz”:

Melk­kuh Auftragsdatenverarbeitung

Der Gesetz­ge­ber schreibt für das Out­sour­cing von Dienst­leis­tun­gen mit per­so­nen­be­zo­ge­nen Daten oder Zugriffs­mög­lich­keit auf die­se eine Rege­lung zur soge­nann­ten “Auf­trags­da­ten­ver­ar­bei­tung” nach § 11 Bun­des­da­ten­schutz­ge­setz (BDSG) vor.  So wird z.B. eine Prü­fung der tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men (TOM) nach der Anla­ge zu § 9 BDSG erwar­tet zusam­men mit einer ver­trag­li­chen Rege­lung (meist in Form einer Zusatz­ver­ein­ba­rung), die den Umgang mit per­so­nen­be­zo­ge­nen Daten sehr detail­liert kon­kre­ti­siert und die Rech­te und Pflich­ten der Par­tei­en defi­niert. Auch die­se zu regeln­den Inhal­te sind durch den Gesetz­ge­ber in § 11 BDSG festgeschrieben.

Was liegt also nun näher, als sich als kun­den- und ser­vice­ori­en­tier­ter Dienst­leis­ter her­vor­zu­tun und sei­nem poten­ti­el­len Auf­trag­ge­ber die not­wen­di­ge For­mu­lie­rung samt Anla­ge der TOM gleich mit dem Haupt­ver­trag mit­zu­lie­fern? Schließ­lich ist das teil­wei­se noch ein kla­rer Wett­be­werbs­vor­teil und zusätz­lich zeigt man sei­nem Kun­den gleich, wie wich­tig man ihn und sein Anlie­gen nimmt. Neben­bei erspart man sich das Prü­fen und Frei­ge­ben zahl­rei­cher durch Kun­den selbst for­mu­lier­ter Rege­lun­gen zur Auf­trags­da­ten­ver­ar­bei­tung. Und die Anla­ge mit den tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men (TOM) muss intern so oder so in Ver­bin­dung mit dem Ver­fah­rens­ver­zeich­nis (auch dies ist gesetz­li­che Pflicht) geführt werden.

Kurio­ser­wei­se zeich­net sich in der letz­ten Zeit eine Ent­wick­lung ab, die ich für sehr unglück­lich und kurz­fris­tig gedacht hal­te.  So häu­fen sich Vor­gän­ge,  in denen Dienst­leis­ter für das Aus­fer­ti­gen der gesetz­lich vor­ge­schrie­be­nen Ver­ein­ba­rung zur Auf­trags­da­ten­ver­ar­bei­tung (ohne die sie über­haupt kei­nen Auf­trag erhal­ten dürf­ten) eine “Gebühr” ver­lan­gen. Getoppt wird dies noch gele­gent­lich durch den Wunsch nach einer jähr­li­chen “Ver­län­ge­rungs­ge­bühr”. Um die­se For­de­rung nach zusätz­li­chen Hono­ra­ren zu recht­fer­ti­gen, fin­det man dann durch­aus Argu­men­ta­tio­nen wie das gene­rel­le Abstrei­ten des Vor­lie­gens einer Auf­trags­da­ten­ver­ar­bei­tung und den erhöh­ten Auf­wand, den der Auf­trag­neh­mer hät­te, da er die­se Maß­nah­me ja nur unter­stüt­ze, um dem Auf­trag­ge­ber aus einer mög­li­chen Rechts­mi­se­re zu hel­fen (näm­lich dem Buß­geld­ri­si­ko von bis zu 50.000 Euro für eine nicht oder nicht rich­tig umge­setz­te Auftragsdatenverarbeitung).

Selbst­ver­ständ­lich sind Dienst­leis­tun­gen, die sich aus der Zusam­men­ar­beit erge­ben, zu hono­rie­ren. Wie­so jedoch die Ver­trags­an­bah­nung mit den not­wen­di­gen Unter­la­gen — in die­sem Fall der Anla­gen zur Auf­trags­da­ten­ver­ar­bei­tung — bereits hier­durch kos­ten­pflich­tig wer­den soll, ist nicht nachvollziehbar.

Für mich als poten­ti­el­ler Auf­trag­ge­ber ist in einem sol­chen Fall die Ent­schei­dung klar …  Inter­es­sant wäre sicher auch eine Stel­lung­nah­me einer Lan­des­da­ten­schutz­be­hör­de zu solch einem Vor­ge­hen. Doch selbst wenn die­se recht­lich bean­stan­dungs­frei ist, hät­te sich ein sol­cher Anbie­ter aus mei­ner enge­ren Aus­wahl im wahrs­ten Sin­ne des Wor­tes “aus­ge­preist”.

Irr­tü­mer im Daten­schutz (Teil 2): Ein Daten­schutz­be­auf­trag­ter ist zu teu­er und daher kann auf die Bestel­lung ver­zich­tet werden

Irr­tü­mer im Daten­schutz (Teil 2)

Wei­ter geht es mit dem zwei­ten Teil der Serie “Irr­tü­mer im Daten­schutz”. Nicht aus­zu­rot­ten ist ein Gerücht, auf das ich im Rah­men von zahl­rei­chen Bera­tungs­ge­sprä­chen immer wie­der sto­ße. Hier wird argu­men­tiert, auf die Bestel­lung eines gesetz­lich vor­ge­schrie­be­nen Daten­schutz­be­auf­trag­ten kann ver­zich­tet wer­den, wenn die dafür anfal­len­den Kos­ten für das Unter­neh­men nicht zumut­bar sind.

Was sagt das Bun­des­da­ten­schutz­ge­setz (BDSG) dazu?

Die gesetz­li­che Bestell­pflicht für einen Daten­schutz­be­auf­trag­ten regelt § 4f Absatz 1 Beauf­trag­ter für den Daten­schutz BDSG.

(1) Öffent­li­che und nicht-öffent­li­che Stel­len, die per­so­nen­be­zo­ge­ne Daten auto­ma­ti­siert ver­ar­bei­ten, haben einen Beauf­trag­ten für den Daten­schutz schrift­lich zu bestel­len. Nicht-öffent­li­che Stel­len sind hier­zu spä­tes­tens inner­halb eines Monats nach Auf­nah­me ihrer Tätig­keit verpflichtet.

Wei­ter führt § 4f BDSG aus

Die Sät­ze 1 und 2 gel­ten nicht für die nicht­öf­fent­li­chen Stel­len, die in der Regel höchs­tens neun Per­so­nen stän­dig mit der auto­ma­ti­sier­ten Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten beschäftigen.

Damit ist klar defi­niert: Unter­neh­men mit mehr als 9 Mit­ar­bei­tern, die mit­tels EDV mit per­so­nen­be­zo­ge­nen Daten zu tun haben, sind gesetz­lich zur Bestel­lung eines Daten­schutz­be­auf­trag­ten ver­pflich­tet — und zwar bis spä­tes­tens 4 Wochen nach Auf­nah­me der Geschäftstätigkeit.

Zumut­bar­keit?

Von einer Zumut­bar­keit ist an die­ser Stel­le nicht die Rede. Im Gegen­teil! § 4f Absatz 1 BDSG führt sogar noch wei­te­re Ver­pflich­tungs­kri­te­ri­en an:

Soweit auf­grund der Struk­tur einer öffent­li­chen Stel­le erfor­der­lich, genügt die Bestel­lung eines Beauf­trag­ten für den Daten­schutz für meh­re­re Berei­che. Soweit nicht-öffent­li­che Stel­len auto­ma­ti­sier­te Ver­ar­bei­tun­gen vor­neh­men, die einer Vor­ab­kon­trol­le unter­lie­gen, oder per­so­nen­be­zo­ge­ne Daten geschäfts­mä­ßig zum Zweck der Über­mitt­lung, der anony­mi­sier­ten Über­mitt­lung oder für Zwe­cke der Markt- oder Mei­nungs­for­schung auto­ma­ti­siert ver­ar­bei­ten, haben sie unab­hän­gig von der Anzahl der mit der auto­ma­ti­sier­ten Ver­ar­bei­tung beschäf­tig­ten Per­so­nen einen Beauf­trag­ten für den Daten­schutz zu bestellen.

Auch hier ist kei­ne Rede von einer Zumut­bar­keit für Unter­neh­men. Bestell­pflicht ist Bestell­pflicht! Jedoch gestat­tet der Gesetz­ge­ber mit § 4f Absatz 2 BDSG eine exter­ne Bestellung:

Zum Beauf­trag­ten für den Daten­schutz kann auch eine Per­son außer­halb der ver­ant­wort­li­chen Stel­le bestellt wer­den; die Kon­trol­le erstreckt sich auch auf per­so­nen­be­zo­ge­ne Daten, die einem Berufs- oder beson­de­ren Amts­ge­heim­nis, ins­be­son­de­re dem Steu­er­ge­heim­nis nach § 30 der Abga­ben­ord­nung, unterliegen

Die­se Mög­lich­keit bie­tet gera­de klei­nen und mitt­le­ren mit­tel­stän­di­schen Unter­neh­men ein hohes Maß an Fle­xi­bi­li­tät, Kos­ten­trans­pa­renz und auch Ein­spar­po­ten­ti­al. Denn die Bestel­lung eines exter­nen Daten­schutz­be­auf­trag­ten bringt zahl­rei­che Vor­tei­le für ein Unter­neh­men mit sich.

Die Vor­tei­le des exter­nen Datenschutzbeauftragten

Ein intern bestell­ter Daten­schutz­be­auf­trag­ter ist nicht wei­sungs­ge­bun­den und frei in sei­ner Zeit­ein­tei­lung. Er genießt einen erwei­ter­ten Kün­di­gungs­schutz und kann nicht ein­fach so abbe­ru­fen wer­den. Gleich­zei­tig trägt das Unter­neh­men die Kos­ten für Aus- und Wei­ter­bil­dung (die­se ist gesetz­lich vor­ge­schrie­ben) und muss Raum und Mate­ri­al zur Ver­fü­gung stel­len. Ein inter­ner Daten­schutz­be­auf­trag­ter bringt kei­nen Ver­si­che­rungs­schutz mit sich. Kos­ten­trans­pa­renz und Kos­ten­kon­trol­le Fehlanzeige!

Bestel­len Sie jedoch einen exter­nen Daten­schutz­be­auf­trag­ten, lie­gen die Vor­tei­le klar auf der Hand. Die­ser Exter­ne arbei­tet im Rah­men eines Pro­jekt­auf­trags. Die Kos­ten sind trans­pa­rent und über­schau­bar. Sei­ne Bestel­lung kann wider­ru­fen wer­den, beson­de­ren Kün­di­gungs­schutz kennt ein exter­ner Ver­trag nicht. Die Kos­ten für sei­ne Aus- und Wei­ter­bil­dung trägt der Exter­ne selbst, eben­so wie für die not­wen­di­ge Aus­stat­tung mit Soft­ware (Lizen­zen), Lite­ra­tur und sein Büro. Ein exter­ner Daten­schutz­be­auf­trag­ter ver­fügt über aus­rei­chen­den Ver­si­che­rungs­schutz, wel­cher sich auf sei­ne Tätig­keit für das Unter­neh­men erstreckt (las­sen Sie sich die­se stets nach­wei­sen!!). Ziel­kon­flik­te sind durch die Aus­glie­de­rung kein The­ma. Als Sah­ne­häub­chen erhält Ihr Unter­neh­men Zugriff auf des­sen bran­chen­über­grei­fen­des Know How.

Wer nicht, zu spät oder pro for­ma bestellt, setzt sich einem erheb­li­chen Buß­geld­ri­si­ko bis 50.000 Euro aus.

Über­zeugt? Dann ver­ein­ba­ren Sie doch gleich in unver­bind­li­ches und kos­ten­lo­ses Erstberatungsgespräch!

[vfb id=3]

 

Lesen Sie hier die ande­ren Tei­le der Serie “Irr­tü­mer im Datenschutz”:

 

Irr­tü­mer im Daten­schutz (Teil 1): Daten­schutz betrifft mein Unter­neh­men nicht

Irr­tü­mer im Datenschutz

Will­kom­men zum ers­ten Teil unse­rer Serie “Irr­tü­mer im Daten­schutz”. Daten­schutz ist in aller Mun­de, doch kaum jemand kennt das dahin­ter­ste­hen­de Bun­des­da­ten­schutz­ge­setz (BDSG). Dabei ist das Daten­schutz­ge­setz auf Bun­des­ebe­ne nicht mehr das Jüngs­te, exis­tiert es doch bereits seit 1977.

Erstaun­li­cher­wei­se herrscht über das The­ma Daten­schutz in der Pra­xis meist ein risi­ko­rei­ches Halb­wis­sen. Die Exis­tenz oder die Inhal­te des BDSG sind sel­ten kon­kret bekannt, Auf­klä­rung sei­tens des Gesetz­ge­bers zu die­sem The­ma erfolgt bedau­er­li­cher­wei­se eben­falls kei­ne. Unter­neh­men und Unter­neh­mer sind auf sich allei­ne gestellt, wenn es um die recht­li­che Aus­ein­an­der­set­zung mit dem The­ma Daten­schutz und des­sen kon­kre­te (vor­ge­schrie­be­nen) Maß­nah­men im Betrieb geht. Was Wun­der, wenn Daten­schutz im Tages­ge­schäft einen gerin­gen Stel­len­wert einnimmt.

Es kann teu­er werden

Im Jahr 2009  hat der Gesetz­ge­ber die Stra­fen und Sank­tio­nen für Nicht­ein­hal­tung der gesetz­li­chen Daten­schutz­vor­schrif­ten durch Unter­neh­men ver­schärft. Kon­kret wer­den die­se in § 43 BDSG Buß­geld­vor­schrif­ten und § 44 BDSG Straf­vor­schrif­ten ähn­lich dem aus der Stra­ßen­ver­kehrs­ord­nung bekann­ten Buß­geld­ka­ta­log auf­ge­lis­tet. Neben Auf­la­gen durch die Lan­des­da­ten­schutz­be­hör­den kön­nen Unter­neh­mer und Unter­neh­men schnell einem Buß­geld­ri­si­ko von bis zu 300.000 Euro aus­ge­setzt sein — und das sogar ganz ohne Daten­pan­ne. Unwis­sen­heit schützt auch hier vor Stra­fe nicht.

“Daten­schutz und Daten­schutz­ge­setz betref­fen mein Unter­neh­men über­haupt nicht”

Weit gefehlt, denn in jedem Unter­neh­men wird für gewöhn­lich mit per­so­nen­be­zo­ge­ne Daten han­tiert (der Gesetz­ge­ber spricht von Erhe­ben, Ver­ar­bei­ten und Nut­zen). Sind es nicht die Daten von Kun­den und Geschäfts­part­nern, so exis­tie­ren doch zumeist noch Mit­ar­bei­ter­da­ten im Unter­neh­men — und die­se gel­ten recht­lich als “sen­si­tiv” und damit beson­ders schüt­zens­wert. Doch schau­en wir auf das Bundesdatenschutzgesetz:

Bereits § 1 BDSG Zweck und Anwen­dungs­be­reich des Geset­zes macht klar, was das Daten­schutz­ge­setz schützt und wen es betrifft.

(1) Zweck die­ses Geset­zes ist es, den Ein­zel­nen davor zu schüt­zen, dass er durch den Umgang mit sei­nen per­so­nen­be­zo­ge­nen Daten in sei­nem Per­sön­lich­keits­recht beein­träch­tigt wird.

(2) Die­ses Gesetz gilt für die Erhe­bung, Ver­ar­bei­tung und Nut­zung per­so­nen­be­zo­ge­ner Daten durch

3. nicht-öffent­li­che Stel­len, soweit sie die Daten unter Ein­satz von Daten­ver­ar­bei­tungs­an­la­gen ver­ar­bei­ten, nut­zen oder dafür erhe­ben oder die Daten in oder aus nicht auto­ma­ti­sier­ten Datei­en ver­ar­bei­ten, nut­zen oder dafür erhe­ben, es sei denn, die Erhe­bung, Ver­ar­bei­tung oder Nut­zung der Daten erfolgt aus­schließ­lich für per­sön­li­che oder fami­liä­re Tätigkeiten.

Betrach­ten wir die Defi­ni­ti­on nicht-öffent­li­cher Stellen:

§ 2 Öffent­li­che und nicht-öffent­li­che Stellen

(4) Nicht-öffent­li­che Stel­len sind natür­li­che und juris­ti­sche Per­so­nen, Gesell­schaf­ten und ande­re Per­so­nen­ver­ei­ni­gun­gen des pri­va­ten Rechts, soweit sie nicht unter die Absät­ze 1 bis 3 fal­len. Nimmt eine nicht-öffent­li­che Stel­le hoheit­li­che Auf­ga­ben der öffent­li­chen Ver­wal­tung wahr, ist sie inso­weit öffent­li­che Stel­le im Sin­ne die­ses Gesetzes.

Somit ist klar, die Annah­me “Daten­schutz und Daten­schutz­ge­setz betref­fen mein Unter­neh­men über­haupt nicht” gehört ins Reich der Mythen und Irr­tü­mer! Soll­ten Sie bis­her mit Ihrem Unter­neh­men (auch als Ein-Mann-Betrieb) nach die­ser Fehl­ein­schät­zung agiert haben, lohnt ein Blick in § 43 ff BDSG zwecks Iden­ti­fi­ka­ti­on der Buß­geld­ri­si­ken, denen Sie sich und Ihrem Unter­neh­men aus­ge­setzt haben.

Licht am Horizont

Bevor Sie sich nun selbst in die juris­ti­schen Untie­fen des Bun­des­da­ten­schutz­ge­set­zes stür­zen und Akti­vi­tä­ten ent­wi­ckeln, fra­gen Sie ein­fach den Fach­mann — a.s.k. Daten­schutz. Mit­tels stan­dar­di­sier­ter Prüf- und Audi­tie­rungs­ver­fah­ren iden­ti­fi­zie­ren wir gemein­sam mit Ihnen schnell, unbü­ro­kra­tisch und zuver­läs­sig die not­wen­di­gen Maß­nah­men, die für eine geset­zes­kon­for­me Umset­zung des Daten­schut­zes in Ihrem Unter­neh­men sor­gen. Selbst­ver­ständ­lich unter­stüt­zen wir Sie eben­falls aktiv bei der inter­nen Umset­zung und betreu­en Sie im Anschluß als sog. exter­ner Daten­schutz­be­auf­trag­ter, wenn die Über­prü­fung das Vor­lie­gen einer Bestell­pflicht ergibt.

Ver­trau­en Sie lang­jäh­ri­ger Erfah­rung aus der bun­des­wei­ten Bera­tung und Betreu­ung klei­ner und gro­ßer Unter­neh­men aus den unter­schied­lichs­ten Bran­chen und pro­fi­tie­ren Sie von die­sem über­grei­fen­den Know-How.

Nut­zen Sie ein­fach unse­ren Rück­ruf-Ser­vice, wir mel­den uns garan­tiert! Oder for­dern Sie doch gleich Ihr unver­bind­li­ches Ange­bot für einen exter­nen Daten­schutz­be­auf­trag­ten an.


Lesen Sie hier die ande­ren Tei­le der Serie “Irr­tü­mer im Datenschutz”:

 

 

Bild­nach­weis: about​pi​xel​.de /​ Dead End © Nacht­schreck

SCHUFA-Plan ruft Poli­tik auf den Plan: Stopp der Face­book-Schnüf­fe­lei gefordert

Ungläu­bi­ges Augenreiben

Ob die­ser Mel­dung reibt man sich unwill­kür­lich die Augen und staunt: Die wohl bekann­tes­te Aus­kunf­tei in Deutsch­land — SCHUFA — plant, Nut­zer in den sozia­len Netz­wer­ken wie Face­book, Twit­ter und Xing aus­zu­spio­nie­ren und die Schnüf­fel-Ergeb­nis­se in die Bewer­tung der Kre­dit­wür­dig­keit des Ein­zel­nen mit ein­flie­ßen zu las­sen. Dies ver­mel­de­te heu­te Nacht NDR Info. Soge­nann­te “Pro­jekt­ideen” gehen sogar noch wei­ter (Aus­zug NDR Info):

  • Wel­che Infor­ma­tio­nen kön­nen aus “nicht-öffent­li­chen Quel­len” (dark web) gezo­gen werden?
  • Gene­rie­rung von elek­tro­ni­schen Iden­ti­fi­zie­rungs­da­ten (e‑mail-Adres­sen, e‑Postbriefadresse, facebook-ID …)
  • Rela­ti­onship Extra­c­tion, um Bezie­hun­gen zwi­schen Enti­tä­ten zu gewin­nen (Person/​Person; Person/​Unternehmen; Unternehmen/​Unternehmen). Mög­li­che Quel­len: Nach­rich­ten, Blogs, Wiki­pe­dia, sozia­le Netzwerke …
  • VIP-Iden­ti­fi­ka­ti­on: Auto­ma­ti­sier­te Iden­ti­fi­ka­ti­on von Per­so­nen öffent­li­chen Inter­es­ses, Ver­brau­cher­schüt­zern und Journalisten
  • Ad-hoc-Sen­ti­ment Ana­ly­se für Per­so­nen: Spe­zia­li­sier­te Per­so­nen­su­che, die neben struk­tu­rier­ten Infor­ma­tio­nen auch zuvor gesam­mel­ten Text­da­ten sowie ad-hoc-ange­frag­te Text­da­ten nutz, um ein aktu­el­les Mei­nungs­bild zu der Per­son zu ermit­teln. Mög­li­che Quel­len: Blogs, Twit­ter, Nach­rich­ten­sei­ten, Unter­neh­mens­home­page, Aktienkurs …
  • Jeweils Kor­re­la­tio­nen zur Boni­tät untersuchen

Zei­ge mir Dein sozia­les Umfeld und ich ent­schei­de über Dei­ne Kreditwürdigkeit

Bei Daten­schüt­zern und Poli­ti­kern stößt das Pro­jekt der SCHUFA auf hef­ti­ge Kri­tik. So äußert Jus­tiz­mi­nis­te­rin Sabi­ne Leu­theus­ser-Schnar­ren­ber­ger gegen­über SPIEGEL Online “Es darf nicht sein, dass Face­book-Freun­de und Vor­lie­ben dazu füh­ren, dass man zum Bei­spiel kei­nen Han­dy-Ver­trag abschlie­ßen kann.” FDP-Frak­ti­ons­chef Rai­ner Brü­der­le wird gegen­über SPIEGEL Online sogar noch deut­li­cher: “Die Plä­ne der Schufa gehen zu weit. Sozia­le Netz­wer­ke gehö­ren wie der Freun­des­kreis zur Pri­vat­sphä­re und dür­fen daher nicht von der Schufa ange­zapft werden.”

Die FAZ berich­tet, der schles­wig-hol­stei­ni­sche Daten­schutz­be­auf­trag­te Thi­lo Wei­chert nahm in einem Tele­fo­nat mit NDR Info wie folgt Stel­lung: “Hin­ter einem sol­chen For­schungs­pro­jekt steckt immer eine Absicht. Soll­te die Schufa die gewon­ne­nen Daten tat­säch­lich ein­set­zen, wäre das eine völ­lig neue Dimen­si­on.” Wei­ter­hin äußer­te er gro­ße Zwei­fel, ob eine sol­che Umset­zung der Pro­jekt­ideen recht­lich über­haupt halt­bar sei.

Theo­rie und Wirklichkeit

Aktu­ell rühmt sich die SCHUFA auf ihrer eige­nen Web­sei­te (Punkt 4.8), kei­ne Regio- oder Geo­da­ten (also das sozia­le Wohn­um­feld) des Ver­brau­chers zur Bewer­tung und Berech­nung des Score­werts her­an­zu­zie­hen. Wird aus der Pro­jekt­idee Wirk­lich­keit, wür­de die SCHUFA damit sehr viel wei­ter gehen, als sie ihren Wett­be­wer­bern heu­te selbst vor­wirft. Edda Cas­tel­ló von der Ver­brau­cher­zen­tra­le Ham­burg nutzt gegen­über der FAZ bewußt den Begriff “Grenz­über­schrei­tung” für ein sol­ches Vorhaben.

Reak­tio­nen im Netz

Die Netz­welt reagiert sehr unter­schied­lich. Kom­men­ta­re von “Na und?” über “Geschieht den Face­book-Nut­zern ganz recht” bis hin zu “Der Unter­gang der Demo­kra­tie” fin­den sich zuhauf. Fin­di­ge Nut­zer bie­ten der­weil ein­kom­mens­star­ke Face­book-Freund­schaf­ten zum Ver­kauf an zwecks Ver­bes­se­rung des zukünf­ti­gen Score-Werts.

Schutz­mög­lich­kei­ten

SPIEGEL Online gibt aktu­ell Tipps, wie das eige­ne Face­book-Pro­fil wei­test­ge­hend abge­schot­tet wer­den kann, um nicht all­zu frei­zü­gi­ge Ein­bli­cke zu gewäh­ren. Das mehr zufäl­lig bekannt­ge­wor­de­ne Bei­spiel der SCHUFA, auch wenn es sich nur um eine Pro­jekt­idee han­deln soll, zeigt die Bedeu­tung des sorg­fäl­ti­gen Umgangs mit den eige­nen per­so­nen­be­zo­ge­nen Daten bei der Nut­zung des Web 2.0. Es bleibt spannend.

Wie daten​schutz​be​auf​trag​ter​-info​.de so tref­fend anmerkt, ver­gibt die SCHUFA ein eige­nes Daten­schutz-Sie­gel. Wird hier der Bock zum Gärt­ner gemacht? 🙂

 

Jetzt auch in Nord­rhein-West­fa­len: Web­sei­ten­be­trei­ber erhal­ten Post wegen Ein­satz von Goog­le Analytics

Nach­dem gera­de die baye­ri­sche Lan­des­da­ten­schutz­be­hör­de offi­zi­ell das Vor­ge­hen gegen baye­ri­sche Unter­neh­mens­web­sei­ten mit nicht kor­rekt umge­setz­ten Goog­le Ana­ly­tics Instal­la­tio­nen kund­ge­tan hat, ver­sen­det nun auch die Lan­des­da­ten­schutz­be­hör­de Nord­rhein-Wets­fa­len ers­te Anschrei­ben. Im Visier: Unter­neh­men mit Sitz im Bun­des­land und einem Web­auf­tritt der als Track­ing Tool das belieb­te Goog­le Ana­ly­tics einsetzt.

Den ange­schrie­be­nen Unter­neh­men wird aus­führ­lich die recht­li­che Grund­la­ge erklärt und die lt. Behör­de kor­rek­te Ein­satz­wei­se des Tools dar­ge­stellt. Ein mehr­sei­ti­ger Fra­ge­bo­gen samt Bestä­ti­gung des Unter­neh­mens über den nun kor­ri­gier­ten und bean­stan­dungs­frei­en Ein­satz von Goog­le Ana­ly­tics ist bei­gefügt und inner­halb einer ange­mes­se­nen Frist aus­ge­füllt und unter­schrie­ben zurückzusenden.

Unse­re Emp­feh­lung: neh­men Sie die­ses Schrei­ben ernst und reagie­ren ange­mes­sen und zeit­nah. Die Buß­gel­der für den nicht kor­rek­ten Ein­satz des Tools sowie auf eine feh­len­de oder falsch erteil­te Rück­aus­kunft sind in dem Schrei­ben gleich benannt.

Die ein­fachs­te Lösung: stel­len Sie doch gleich auf das Open Source Tool PIWIK um. Die­ses steht Goog­le Ana­ly­tics als rei­nes Track­ing Tool in nichts nach und es gibt eine ein­fa­che Schritt für Schritt Anlei­tung, wie es rechts­si­cher instal­liert und kon­fi­gu­riert wird. Eine Anlei­tung fin­den Sie auch hier im Blog.

Im Zwei­fel fra­gen Sie doch ein­fach Ihren exter­nen Daten­schutz­be­auf­trag­ten. Sie haben kei­nen? Dann ist mög­li­cher­wei­se Zeit zum Han­deln, falls die gesetz­li­che Bestell­pflicht für Ihr Unter­neh­men vor­liegt. Sonst droht das nächs­te Unge­mach in Form von Buß­gel­dern. For­dern Sie doch ein­fach und schnell Ihr unver­bind­li­ches Ange­bot an.

Daten­schutz in der Anwaltskanzlei

Update vom 03.05.2011

Mit Beschluss vom 20.08.2010 unter dem Akten­zei­chen 2 Ss 23/​07, 1 Ws (B) 51/​07 — 2 Ss 23/​07 hat das Kam­mer­ge­richt Ber­lin fest­ge­stellt, daß die Bestim­mun­gen der BRAO kei­ne “bereichs­spe­zi­fi­schen Son­der­re­ge­lun­gen” im Sin­ne des § 1 Absatz 3 Satz 1 BDSG dar­stel­len. Die BRAO ent­hal­te ledig­lich berufs­recht­li­che Bestim­mun­gen, deren Zweck nicht dar­in bestehe, die Daten von Pro­zess­geg­nern oder von außen­ste­hen­den Per­so­nen zu schüt­zen. Das sei viel­mehr Sache des BDSG.

Das BDSG berüh­re jedoch nicht die gesetz­li­chen Geheim­hal­tungs­pflich­ten. Zu die­sen Pflich­ten gehört nach Auf­fas­sung des Gerichts auch die Geheim­hal­tungs­pflicht des Rechtsanwalts.

Dies bedeu­tet, daß Rechts­an­wäl­te dem­nach den gesetz­li­chen Bestim­mun­gen des BDSG unter­wor­fen sind, wor­an die Kam­mer in ihrer aus­führ­li­chen Begrün­dung kei­nen Zwei­fel ließ. Es gilt nun für Anwäl­te, die für sie zutref­fen­den Punk­te des BDSG in ihrer Kanz­lei umzu­set­zen (sie­he unten)

Ori­gi­nal­ar­ti­kel vom 12.11.2010

In Gesprä­chen mit Anwäl­ten, aber auch mit Steu­er­be­ra­tern trifft  man häu­fig auf das Argu­ment, die Rege­lun­gen des Bun­des­da­ten­schutz­ge­setz (BDSG) wür­den die Kanz­lei oder den Anwalt nicht betref­fen, da es eige­ne Rege­lun­gen zur Ver­schwie­gen­heit und Ver­trau­lich­keit gäbe.

Das Bun­des­da­ten­schutz­ge­setz sieht hier klar vor, das für Sach­ver­hal­te, die durch kein bereich­spe­zi­fi­sches Recht expli­zit geregtl wer­den, die (all­ge­mei­ne­ren) Rege­lun­gen des Bun­des­da­ten­schutz­ge­set­zes zum Tra­gen kom­men. Dazu gehö­ren ins­be­son­de­re Punk­te wie

  • Ver­fah­rens­ver­zeich­nis­se
  • Daten­schutz­re­ge­lun­gen
  • Nut­zungs­richt­li­ni­en
  • IT Sicher­heit
  • Back­up- und Recovery-Strategien
  • Ver­schlüs­se­lung und Signatur
  • Bestell­pflicht eines Datenschutzbeauftragten
  • Auf­trags­da­ten­ver­ar­bei­tung exter­ne Dienst­leis­ter z.B. Fern­war­tung etc.

Die Bri­sanz des The­mas, u.a. die mit Ver­stö­ßen gegen das BDSG ver­bun­de­nen Buß­geld­ri­si­ken hat der Deut­sche Anwalt­ver­ein in sei­ner Depe­che 2010–42 auf­ge­grif­fen und zusätz­lich eine Check­lis­te mit Emp­feh­lun­gen zur Umset­zung in der Kanz­lei her­aus­ge­ge­ben. Hier­in ver­weist der DAV auf die Mög­lich­keit der Bestel­lung eines exter­nen Daten­schutz­be­auf­trag­ten (bei vor­lie­gen­der Bestell­pflicht), aber auch auf die Inan­spruch­nah­me eines exter­nen Daten­schutz­be­ra­ters für die Sicher­stel­lung der not­wen­di­gen Umset­zun­gen und Formulierungen.

Die­se Leis­tun­gen kön­nen Sie als Anwalt oder Kanz­lei jeder­zeit bei mir fach­ge­recht und kos­ten­güns­tig in Anspruch neh­men. Ger­ne unter­brei­te ich Ihnen hier­zu ein Ange­bot.

Hilf­rei­che Links

  • Wol­len Sie die Risi­ken aus dem Bun­des­da­ten­schutz­ge­setz für Ihr Unter­neh­men mini­mie­ren? Eine pas­sende Lösung fin­den Sie sicher in unse­rem Leis­tungs­an­ge­bot.
  • Unsi­cher, ob für Ihr Unter­neh­men die gesetz­li­che Bestell­pflicht für einen (exter­nen) Daten­schutz­be­auf­trag­ten vor­liegt? Die Ant­wort gibt unser Daten­schutz-Quick-Check, sie­he Leis­tun­gen.
  • Sie wol­len eine unab­hän­gige Prü­fung, wie gut es um Daten­schutz und Daten­si­cher­heit in Ihrem Unter­neh­men bestellt ist? Kein Pro­blem mit unse­ren Leis­tun­gen.
  • Schu­lungs­be­darf für Ihre Mit­ar­bei­ter? Zusätz­li­che Trai­nings und Work­shops rund um Daten­schutz und Daten­si­cher­heit? Erfah­ren Sie mehr über unse­re Schu­lun­gen und Semi­nare.
  • Anlei­tun­gen, Rat­ge­ber und Links, die das täg­li­che Arbei­ten erleich­tern und hel­fen kön­nen, Daten­pan­nen zu ver­mei­den, fin­den Sie in der Rubrik Anlei­tun­gen /​ Rat­ge­ber.
Die mobile Version verlassen