Sascha Kuhrau, Inhaber a.s.k. Datenschutz

Haben Sie sich auch schon die­se Fra­ge gestellt? Sascha Kuhrau, Inha­ber des bun­des­weit täti­gen Bera­tungs­un­ter­neh­mens a.s.k. Daten­schutz gibt Antworten.

Herr Kuhrau, ist Daten­schutz ein Modethema?

Mit­nich­ten! Schau­en Sie ein­fach auf die His­to­rie des Daten­schutz­rechts in Deutsch­land und der EU. 1977 hat­ten wir das ers­te Bun­des­da­ten­schutz­ge­setz (BDSG) in Deutsch­land, seit 1995 gibt es auf EU Ebe­ne ver­bind­li­che Regeln für alle Mitgliedsstaaten.

Wen betrifft die­ses Bundesdatenschutzgesetz?

Das ist ganz ein­fach. Jedes Unter­neh­men, jeden Gewer­be­trei­ben­den, jeden Frei­be­ruf­ler, jede Behör­de und auch jeden Ver­ein, sofern dort per­so­nen­be­zo­ge­ne Daten vor­lie­gen und ver­ar­bei­tet werden.

Man soll­te auch nicht dem Irr­tum unter­lie­gen, ein eige­nes Stan­des­recht wür­de das Daten­schutz­ge­setz erset­zen. Obwohl die Aus­sa­ge der Geset­ze hier klar ist, muss­ten mitt­ler­wei­le Gerich­te bestä­ti­gen, dass sol­ches Recht nicht pau­schal erset­zend wirkt. Die­se Fehl­ein­schät­zung kann gera­de bei Ärz­ten, Steu­er­be­ra­tern oder auch Anwäl­ten schnell zu Kon­flik­ten führen.

Wirk­lich jeden? Es gibt doch bestimmt Ausnahmen?

Da muss ich Sie ent­täu­schen. § 1 BDSG ist hier ein­deu­tig. Es wer­den kei­ne Unter­schie­de nach Bran­che, Mit­ar­bei­ter­zahl oder Umsatz gemacht. Die­sen Irr­glau­ben trifft man öfter in Gesprä­chen mit Geschäfts­füh­rern, Inha­bern oder auch Behördenleitern.

Eine Aus­nah­me gibt es jedoch bei der Bestell­pflicht des soge­nann­ten Daten­schutz­be­auf­trag­ten.

Wel­che Auf­ga­ben hat ein sol­cher Datenschutzbeauftragter?

Salopp gesagt, küm­mert sich die­ser um die rechts­kon­for­me Umset­zung des Daten­schutz­rechts in der Orga­ni­sa­ti­on vor Ort. Er ist Bera­ter , Tipp­ge­ber und Ansprech­part­ner für Lei­tung und Mitarbeiter.

Und wann muss ein sol­cher Daten­schutz­be­auf­trag­ter bestellt werden?

Die­se Vor­schrift fin­det sich in § 4f BDSG und ist bis auf ganz weni­ge Aus­nah­men eben­falls ein­deu­tig. Sobald mehr als 9 Mit­ar­bei­ter mit per­so­nen­be­zo­ge­nen Daten mit­tels IT arbei­ten, muss ein Daten­schutz­be­auf­trag­ter intern oder extern bestellt wer­den. Und bei der Zahl der Mit­ar­bei­ter ist es uner­heb­lich, ob Voll­zeit, Teil­zeit, Aus­hil­fe oder Geschäfts­füh­rung selbst.

Dann liegt die­se Bestell­pflicht recht schnell vor, ohne dass die Ver­ant­wort­li­chen dies viel­leicht wissen?

Das ist in der Pra­xis häu­fig der Fall. Wir bera­ten hier­zu jedoch kos­ten­los und unver­bind­lich, ob eine Bestell­pflicht vorliegt.

Wer küm­mert sich um das The­ma Daten­schutz, wenn kein Daten­schutz­be­auf­trag­ter vor­han­den ist?

Dann liegt die Umset­zung aller Rechts­vor­schrif­ten bei der Geschäfts­füh­rung oder Behör­den­lei­tung. Die­se haf­tet im Zwei­fel dann auch bei Nicht­er­fül­lung oder ein­tre­ten­den Daten­pan­nen. Das BDSG hat hier einen mitt­ler­wei­le sehr emp­find­li­chen Buß­geld­ka­ta­log.

Also soll­te man schon zur Ver­mei­dung von Buß­gel­dern das The­ma Daten­schutz ernst nehmen?

Das ist nach mei­ner Erfah­rung der fal­sche Ansatz. Wenn sich des The­mas nur ange­nom­men wird, weil Ängs­te vor recht­li­chen Risi­ken und Buß­gel­dern bestehen, dann wur­den die Chan­cen eines bewusst geleb­ten Daten­schut­zes nicht erkannt.

Daten­schutz ist mehr als eine Rechtsvorschrift?

Ja! Kun­den und Bür­ger wer­den immer sen­si­bler. Neh­men Sie nur die aktu­el­le Pres­se. Nicht erst seit der NSA Affä­re, aus­ge­löst durch Herrn Snow­den, stei­gen das Bewusst­sein und auch der Anspruch der soge­nann­ten “Betrof­fe­nen” (im Sin­ne des BDSG) rund um das Recht auf infor­ma­tio­nel­le Selbst­be­stim­mung.

Kom­me ich die­sem Anspruch als Orga­ni­sa­ti­on nach, dann ist geleb­ter Daten­schutz ein Ele­ment der Kun­den­ak­qui­se, aber auch der Kundenbindung.

Und da Daten­schutz auch sehr weit in Berei­che wie der IT-Sicher­heit ein­greift, kom­men Fak­to­ren wie Sen­kung des Aus­fall­ri­si­kos oder Ver­kür­zung von Wie­der­an­lauf­zei­ten von EDV-Sys­te­men ergän­zend hin­zu. Es geht hier um die Kern­zie­le: Schutz vor Zer­stö­rung, Ver­lust und Miss­brauch von per­so­nen­be­zo­ge­nen Daten. Am Ende spart die Orga­ni­sa­ti­on Zeit und Geld, wenn es zum Stör­fall kommt..

Wie unter­stützt a.s.k. Daten­schutz hierbei?

Wir prü­fen das vor­han­de­ne Daten­schutz– und Daten­si­cher­heits­ni­veau, iden­ti­fi­zie­ren Schwach­stel­len, behe­ben die­se gemein­sam mit unse­ren Auf­trag­ge­bern, betreu­en Einzelprojekte—z.B. die Ein­füh­rung einer geplan­ten Videoüberwachung—oder ste­hen als per­ma­nen­ter Ansprech­part­ner für Fra­gen zu die­sen The­men zur Verfügung.

Selbst­ver­ständ­lich über­neh­men wir auch die Auf­ga­ben des (exter­nen) Daten­schutz­be­auf­trag­ten oder unter­stüt­zen einen inter­nen Daten­schutz­be­auf­trag­ten, wenn die­ser aus Zeit­grün­den Sup­port benö­tigt. Letz­te­res kommt in der Pra­xis recht häu­fig vor. Seit eini­ger Zeit haben wir für baye­ri­sche Kom­mu­nen auch zwei Vari­an­ten des AKDB Sicher­heits­checks im Angebot.

Was steht dabei für Sie im Vordergrund?

Wich­tig sind uns der abso­lu­te Pra­xis­be­zug und die Sicher­stel­lung der recht­li­chen Anfor­de­run­gen. Daten­schutz darf kein Selbst­zweck sein oder sich zu wich­tig neh­men. Nicht umsonst lau­tet unser Mot­to „Aus der Pra­xis für die Praxis“.

Ist Daten­schutz teuer?

Ja, wenn Sie sich nicht dar­um kümmern 🙂

Nein, im Ernst. Wir arbei­ten bei lang­fris­ti­gen Betreu­un­gen und Pro­jek­ten mit Pau­scha­len, damit unser Kun­de stets weiß, mit wel­chen Kos­ten er zu rech­nen hat und vor unlieb­sa­men Über­ra­schun­gen sicher ist.

Und da unse­re Leis­tun­gen modu­lar buch­bar sind, kann der Kun­de selbst ent­schei­den, wel­chen Anteil an Zeit er selbst ein­brin­gen will und kann, und wel­chen er an uns auslagert.

Wenn jemand noch Fra­gen zum The­ma hat?

Ein­fach anru­fen oder eine kur­ze Email schreiben.

Update vom 03.05.2011

Mit Beschluss vom 20.08.2010 unter dem Akten­zei­chen 2 Ss 23/​07, 1 Ws (B) 51/​07 — 2 Ss 23/​07 hat das Kam­mer­ge­richt Ber­lin fest­ge­stellt, daß die Bestim­mun­gen der BRAO kei­ne “bereichs­spe­zi­fi­schen Son­der­re­ge­lun­gen” im Sin­ne des § 1 Absatz 3 Satz 1 BDSG dar­stel­len. Die BRAO ent­hal­te ledig­lich berufs­recht­li­che Bestim­mun­gen, deren Zweck nicht dar­in bestehe, die Daten von Pro­zess­geg­nern oder von außen­ste­hen­den Per­so­nen zu schüt­zen. Das sei viel­mehr Sache des BDSG.

Das BDSG berüh­re jedoch nicht die gesetz­li­chen Geheim­hal­tungs­pflich­ten. Zu die­sen Pflich­ten gehört nach Auf­fas­sung des Gerichts auch die Geheim­hal­tungs­pflicht des Rechtsanwalts.

Dies bedeu­tet, daß Rechts­an­wäl­te dem­nach den gesetz­li­chen Bestim­mun­gen des BDSG unter­wor­fen sind, wor­an die Kam­mer in ihrer aus­führ­li­chen Begrün­dung kei­nen Zwei­fel ließ. Es gilt nun für Anwäl­te, die für sie zutref­fen­den Punk­te des BDSG in ihrer Kanz­lei umzu­set­zen (sie­he unten)

Ori­gi­nal­ar­ti­kel vom 12.11.2010

In Gesprä­chen mit Anwäl­ten, aber auch mit Steu­er­be­ra­tern trifft  man häu­fig auf das Argu­ment, die Rege­lun­gen des Bun­des­da­ten­schutz­ge­setz (BDSG) wür­den die Kanz­lei oder den Anwalt nicht betref­fen, da es eige­ne Rege­lun­gen zur Ver­schwie­gen­heit und Ver­trau­lich­keit gäbe.

Das Bun­des­da­ten­schutz­ge­setz sieht hier klar vor, das für Sach­ver­hal­te, die durch kein bereich­spe­zi­fi­sches Recht expli­zit geregtl wer­den, die (all­ge­mei­ne­ren) Rege­lun­gen des Bun­des­da­ten­schutz­ge­set­zes zum Tra­gen kom­men. Dazu gehö­ren ins­be­son­de­re Punk­te wie

  • Ver­fah­rens­ver­zeich­nis­se
  • Daten­schutz­re­ge­lun­gen
  • Nut­zungs­richt­li­ni­en
  • IT Sicher­heit
  • Back­up- und Recovery-Strategien
  • Ver­schlüs­se­lung und Signatur
  • Bestell­pflicht eines Datenschutzbeauftragten
  • Auf­trags­da­ten­ver­ar­bei­tung exter­ne Dienst­leis­ter z.B. Fern­war­tung etc.

Die Bri­sanz des The­mas, u.a. die mit Ver­stö­ßen gegen das BDSG ver­bun­de­nen Buß­gel­dri­si­ken hat der Deut­sche Anwalt­ver­ein in sei­ner Depe­che 2010–42 auf­ge­grif­fen und zusätz­lich eine Check­lis­te mit Emp­feh­lun­gen zur Umset­zung in der Kanz­lei her­aus­ge­ge­ben. Hier­in ver­weist der DAV auf die Mög­lich­keit der Bestel­lung eines exter­nen Daten­schutz­be­auf­trag­ten (bei vor­lie­gen­der Bestell­pflicht), aber auch auf die Inan­spruch­nah­me eines exter­nen Daten­schutz­be­ra­ters für die Sicher­stel­lung der not­wen­di­gen Umset­zun­gen und Formulierungen.

Die­se Leis­tun­gen kön­nen Sie als Anwalt oder Kanz­lei jeder­zeit bei mir fach­ge­recht und kos­ten­güns­tig in Anspruch neh­men. Ger­ne unter­brei­te ich Ihnen hier­zu ein Ange­bot.

Hilf­rei­che Links

  • Wol­len Sie die Risi­ken aus dem Bun­des­da­ten­schutz­ge­setz für Ihr Unter­neh­men mini­mie­ren? Eine pas­sende Lösung fin­den Sie sicher in unse­rem Leis­tungs­an­ge­bot.
  • Unsi­cher, ob für Ihr Unter­neh­men die gesetz­li­che Bestell­pflicht für einen (exter­nen) Daten­schutz­be­auf­trag­ten vor­liegt? Die Ant­wort gibt unser Daten­schutz-Quick-Check, sie­he Leis­tun­gen.
  • Sie wol­len eine unab­hän­gige Prü­fung, wie gut es um Daten­schutz und Daten­si­cher­heit in Ihrem Unter­neh­men bestellt ist? Kein Pro­blem mit unse­ren Leis­tun­gen.
  • Schu­lungs­be­darf für Ihre Mit­ar­bei­ter? Zusätz­li­che Trai­nings und Work­shops rund um Daten­schutz und Daten­si­cher­heit? Erfah­ren Sie mehr über unse­re Schu­lun­gen und Semi­nare.
  • Anlei­tun­gen, Rat­ge­ber und Links, die das täg­li­che Arbei­ten erleich­tern und hel­fen kön­nen, Daten­pan­nen zu ver­mei­den, fin­den Sie in der Rubrik Anlei­tun­gen /​ Rat­ge­ber.
aboutpixel.de / Euro-Taste © stormpic

Liegt eine gesetz­li­che Bestell­pflicht für einen Daten­schutz­be­auf­trag­ten für Ihr Unter­neh­men vor? Dann sichern Sie sich noch bis zum 23.12.2011 (24.00 Uhr) den a.s.k. Weih­nachts-Rabatt und  erhal­ten 20% Rabatt auf das nor­ma­le Tageshonorar.

Vor­aus­set­zun­gen:

  • Es liegt eine gesetz­li­che Bestell­pflicht für Ihr Unter­neh­men, Ihre Pra­xis, Ihre Kanz­lei, Ihren Ver­ein oder Ihre Behör­de vor
  • Sie haben noch kei­nen inter­nen oder exter­nen Daten­schutz­be­auf­trag­ten bestellt
  • Sie for­dern Ihr Daten­schutz­an­ge­bot bis zum 23.12.2011 (24 Uhr) per Online-For­mular an
  • Der Pro­jekt­start zur Ein­füh­rung der not­wen­di­gen Maß­nah­men zum Daten­schutz muss bis zum 31.03.2012 erfolgt sein — bit­te geben Sie Ihren Wunsch­ter­min im Ange­bots­for­mu­lar mit an
  • Der Rabatt wird aus­schließ­lich auf das Tagesho­no­rar (590.- EUR zzgl. 19% MwSt.) für die Tätig­kei­ten in der Ein­füh­rungs­pha­se gemäß Dienst­leis­tungs­ver­trag gewährt und gilt nicht für spä­te­re Dienst­leis­tun­gen (monat­li­che Bestell­ge­bühr, Ein­zel­tä­tig­kei­ten, Bera­tun­gen etc.)
  • Rei­se- und Über­nach­tungs­kos­ten, sowie mög­li­cher­wei­se anfal­len­de Mate­ri­al­kos­ten kön­nen nicht rabat­tiert werden
Ich freue mich auf Ihre Anfra­ge und wün­sche Ihnen und Ihren Mit­ar­bei­tern eine schö­ne Vorweihnachtszeit
Bil­der­nach­weis
about​pi​xel​.de /​ Euro-Tas­te © storm­pic

Tat­ort: Alt­pa­pier­con­tai­ner, Super­markt-Park­platz in Schwarzenbek

In die­sem fand ein ahnungs­lo­ser Bür­ger unzäh­li­ge Akten meh­re­rer Anwalts­kanz­lei­en, die über einen län­ge­ren Zeit­raum ange­legt wur­den. Bri­san­ter Inhalt: Pfän­dun­gen, Haft­an­trä­ge, ver­trau­li­che Infor­ma­tio­nen u.a. aus Recher­chen pri­va­ter Ermitt­ler. Lapi­da­rer Kom­men­tar des Lan­des­da­ten­schutz­be­auf­trag­ten Dr. Thi­lo Wei­chert (ULD): “Das hat defi­ni­tiv nichts in einem Alt­pa­pier­con­tai­ner zu suchen”. “Lei­der”, so Wei­chert, “pas­siert so etwas aber all­zu oft.”

Damit ist die Sache für die betrof­fe­nen Anwalts­kanz­lei­en jedoch nicht aus­ge­stan­den. Wei­chert hat die Unter­la­gen bereits ange­for­dert und wird der ille­ga­len Ent­sor­gung nach­ge­hen. Sehr zum Leid­we­sen der Anwalts­kam­mer, wel­che die Rechts­auf­fas­sung ver­tritt, die schles­wig-hol­stei­ni­sche Lan­des­da­ten­schutz­be­hör­de sei — und zwar aus Daten­schutz­grün­den — gar nicht zustän­dig, denn Anwäl­te wür­den der Schwei­ge­pflicht unter­lie­gen. Doch mit die­ser scheint es nicht weit her zu sein. Erfährt der Leser der gefun­de­nen Akten doch z.B. zahl­rei­che Details über die wirt­schaft­li­che Situa­ti­on der Mandanten.

Der gefun­de­ne Akten­sta­pel ist über einen hal­ben Meter hoch. Da der Alt­pa­pier­con­tai­ner voll war, klemm­ten die Akten unter dem Deckel und waren für jeder­mann ein­zu­se­hen, so der Finder.

Schwei­ge­pflicht ver­sus Datenschutz

Die­se Dis­kus­si­on fin­det man als Daten­schutz­be­auf­trag­ter sehr häu­fig in der täg­li­chen Pra­xis. Gesetz­lich vor­ge­schrie­be­ne Rege­lun­gen zur Auf­trags­da­ten­ver­ar­bei­tung wer­den ver­neint unter Bezug­nah­me auf die Schwei­ge­pflicht u.a. nach § 203 StGB Ver­let­zung von Pri­vat­ge­heim­nis­sen. Hier­zu hat das ULD eine Stel­lung­nah­me ver­öf­fent­licht, in der nach­voll­zieh­bar die Rege­lungs- und Umset­zungs­pflicht aus dem Bun­des­da­ten­schutz­ge­setz (BDSG) für Anwäl­te dar­ge­legt ist. So hat auch das Ber­li­ner Kam­mer­ge­richt unter dem Akten­zei­chen 2 Ss 23/​07, 1 Ws (B) 51/​07 — 2 Ss 23/​07 im August 2010 klar­ge­stellt, dass die Schwei­ge­pflicht und BDSG sich nicht erset­zen, son­dern ergänzen.

Der DAV (Deut­scher Anwalt­ver­ein) hat dies erkannt und sei­nen Mit­glie­dern in der Depe­che 2010–42 eine ent­spre­chen­de Check­lis­te für die Berei­che IT-Ein­satz, exter­ne Dienst­leis­ter, Daten­si­che­rung und Archi­vie­rung, Ver­schlüs­se­lung und die Bestell­pflicht eines Daten­schutz­be­auf­trag­ten zur Ver­fü­gung gestellt.

Quel­len:

Zum The­ma:
Hilf­rei­che Links
  • Wol­len Sie die Risi­ken aus dem Bun­des­da­ten­schutz­ge­setz für Ihr Unter­neh­men mini­mie­ren? Eine pas­sende Lösung fin­den Sie sicher in unse­rem Leis­tungs­an­ge­bot.
  • Unsi­cher, ob für Ihr Unter­neh­men die gesetz­li­che Bestell­pflicht für einen (exter­nen) Daten­schutz­be­auf­trag­ten vor­liegt? Die Ant­wort gibt unser Daten­schutz-Quick-Check, sie­he Leis­tun­gen.
  • Sie wol­len eine unab­hän­gige Prü­fung, wie gut es um Daten­schutz und Daten­si­cher­heit in Ihrem Unter­neh­men bestellt ist? Kein Pro­blem mit unse­ren Leis­tun­gen.
  • Schu­lungs­be­darf für Ihre Mit­ar­bei­ter? Zusätz­li­che Trai­nings und Work­shops rund um Daten­schutz und Daten­si­cher­heit? Erfah­ren Sie mehr über unse­re Schu­lun­gen und Semi­nare.
  • Anlei­tun­gen, Rat­ge­ber und Links, die das täg­li­che Arbei­ten erleich­tern und hel­fen kön­nen, Daten­pan­nen zu ver­mei­den, fin­den Sie in der Rubrik Anlei­tun­gen /​ Rat­ge­ber.

Frech kommt weiter?

“Der Wes­ten”, ein Online-Por­tal der WAZ-Grup­pe berich­tet von einer wil­den Müll­kip­pe in Wit­ten und empör­te Ord­nungs­amt-Mit­ar­bei­ter, die eine sol­che Art der Müll­ent­sor­gung in aller Öffent­lich­keit zurecht als “Frech­heit” emp­fin­den -> zum Online-Bericht.

Doch damit nicht genug …

Denn die­ser Vor­gang an sich, hät­te so ja nichts auf einem Daten­schutz-Blog ver­lo­ren, wenn da nicht noch mehr dahin­ter­ste­cken wür­de. Acht blaue Säcke wur­den in Sicht­wei­te der Behör­de und der angren­zen­den Feu­er­wehr auf öffent­li­chem Grund ent­sorgt. Inhalt: Sprit­zen, Kanü­len, Gum­mi­hand­schu­he und Pati­en­ten­un­ter­la­gen (inkl. Name und Behand­lung) einer Wit­te­ner Zahnarztpraxis.

Ärz­te­kam­mer droht mit Konsequenzen

Obwohl sich die Pra­xis auf ihre übli­che Vor­ge­hens­wei­se der Ent­sor­gung per Haus­müll beruft und kei­ne plau­si­ble Erklä­rung für das Auf­tau­chen die­ser Abfall­sä­cke hat, prüft die zustän­di­ge Ärz­te­kam­mer berufs­recht­li­che Kon­se­quen­zen. „Die­ser Ver­stoß gegen das Qua­li­täts­ma­nage­ment hat berufs­recht­li­che Kon­se­quen­zen. Unter­la­gen über Pati­en­ten dür­fen nicht im Müll lan­den, schon gar nicht auf einer wil­den Kip­pe. Das darf einem Arzt ein­fach nicht passieren.“

Was hilft?

Zum Bei­spiel die Bestel­lung eines Daten­schutz­be­auf­trag­ten und des­sen kon­ti­nu­ier­li­che Betreu­ung und Sen­si­bi­li­sie­rung der Pra­xis­mit­ar­bei­ter in Sachen Daten­schutz und Daten­si­cher­heit. Bei der Gele­gen­heit wür­de auch ein mög­li­cher Dienst­leis­ter, der für die Ent­sor­gung sol­cher Mate­ria­li­en ein­ge­schal­tet ist, im Rah­men der sog. Auf­trags­da­ten­ver­ar­bei­tung nach § 11 BDSG geprüft. Sie haben in Ihrer Pra­xis kei­nen Daten­schutz­be­auf­trag­ten? Dann ist es even­tu­ell höchs­te Zeit, es kann sogar eine Bestell­pflicht vor­lie­gen. Fra­gen dazu? Spre­chen Sie mich an.

Übri­gens …

Auch Anwäl­te und Steu­er­be­ra­ter kön­nen von der Bestell­pflicht eines Daten­schutz­be­auf­trag­ten gem. § 4f BDSG betrof­fen sein, auch wenn dies ger­ne mit dem Ver­weis auf Stan­des­recht ver­neint wird (ein teu­rer Irr­tum, wenn es zu einer Über­prü­fung duch die Daten­schutz­be­hör­de oder zu einer Daten­pan­ne kommt).