Zum Inhalt springen

Unternehmen

Per­so­nal­aus­weis ein­fach kopie­ren — ein­fach rechtswidrig

Per­so­nal­aus­weis als Pfand, Per­so­nal­aus­weis-Kopie als Beleg — üblich, aber verboten

Usus, Rechts­ver­stoß inklu­si­ve. Der Per­so­nal­aus­weis wird als Pfand hin­ter­legt, eine Kopie zur Iden­ti­fi­ka­ti­on im Ver­trags­ord­ner abge­legt oder als Scan ins Doku­men­ten-Manage­ment-Sys­tem gespei­chert. Bran­chen­über­grei­fend üblich, vom Fit­ness-Stu­dio bis zur Autovermietung.

Der neue Personalausweis

Seit dem 01. Novem­ber 2010 wird nur noch der neue Per­so­nal­aus­weis her­aus­ge­ge­ben, ger­ne auch als „ePer­so“ bezeich­net. Im Zuge der Umstel­lung hat das Per­so­nal­aus­weis­ge­setz (PAuswG) eini­ge Ände­run­gen erfah­ren. Zahl­rei­che Kom­men­tie­run­gen und Begrün­dun­gen beglei­ten den neu­en Ausweis.

Kein aus­drück­li­ches Kopier­ver­bot, aber …

Neben der bis­her übli­chen Aus­weis­funk­ti­on beinhal­tet der „ePer­so“ nun auch die Mög­lich­keit zu Signa­tur und zur Authen­ti­sie­rung. Zum Schutz die­ser Funk­tio­nen schreibt unse­re Regie­rung in ihrer Begrün­dung zur Neu­re­ge­lung: “Die Erhe­bung und Ver­wen­dung per­so­nen­be­zo­ge­ner Daten aus oder mit­hil­fe des Aus­wei­ses darf künf­tig nur über die dafür vor­ge­se­he­nen Wege erfol­gen. (.) Wei­te­re Ver­fah­ren z.B. über die opto­elek­tro­ni­sche Erfas­sung (“scan­nen”) von Aus­weis­da­ten oder dem maschi­nen­les­ba­ren Bereich sol­len aus­drück­lich aus­ge­schlos­sen wer­den.” In den Aus­le­gun­gen hier­zu wird deut­lich davon gespro­chen, weder Kopien des Per­so­nal­aus­wei­ses zuzu­las­sen, noch die­sen aus der Hand zu geben.

War­um den Per­so­nal­aus­weis nicht kopieren?

Da der neue Per­so­nal­aus­weis auf­grund des­sen Gestal­tung noch eine sog. Berech­ti­gungs­num­mer trägt, weist das Bun­des­in­nen­mi­nis­te­ri­um auf einen zusätz­li­chen Sach­ver­halt hin. Die Berech­ti­gungs­num­mer soll näm­lich ledig­lich dem Aus­weis­in­ha­ber bekannt sein. Eine Kopie oder ein Scan ste­hen die­sem Umstand jedoch entgegen.

Der alte Per­so­nal­aus­weis darf aber kopiert werden?

Trägt die­ser zwar nicht die elek­tro­ni­schen Merk­ma­le sei­nes Nach­fol­gers so ist eine Kopie hier nur sehr schwer als daten­schutz­recht­lich erfor­der­lich zu begrün­den. Sub­jek­ti­ve Maß­stä­be hier­über sind aus­ge­schlos­sen. So soll­te auch hier auf eine Kopie ver­zich­tet wer­den. Notie­ren Sie die erfor­der­li­chen Daten. Vor­teil: Sie erspa­ren sich das vor­ge­schrie­be­ne Aus­schwär­zen nicht erfor­der­li­cher Daten und müs­sen spä­ter im Rah­men der Auf­be­wah­rungs– und Lösch­fris­ten nicht in Akten­sta­peln oder EDV Sys­te­men nach den zu löschen­den Doku­men­ten fahnden.

Dann neh­men wir den Per­so­nal­aus­weis eben als Pfand

Hier spricht das PAuswG eine kla­re Spra­che § 1 Abs. 1. S. 3+4 PAuswG — für bei­de Aus­weis­for­men: „Vom Aus­weis­in­ha­ber darf nicht ver­langt wer­den, den Per­so­nal­aus­weis zu hin­ter­le­gen oder in sons­ti­ger Wei­se den Gewahr­sam auf­zu­ge­ben. Dies gilt nicht für zur Iden­ti­täts­fest­stel­lung berech­tig­te Behör­den sowie in den Fäl­len der Ein­zie­hung und Sicher­stel­lung.” Ihre Orga­ni­sa­ti­on wird schwer­lich als berech­tig­te Behör­de anzu­se­hen sein, Aus­nah­men bestä­ti­gen die Regel.

Aus­nah­men vom Kopier­ver­bot und Pfand­ver­bot für Personalausweise?

Ja, u.a. § 8 Geld­wä­sche­ge­setz oder § 95 TKG (z.B. für Han­dy-Ver­trä­ge). Trifft das auf Ihr Unter­neh­men zu? Ihr Daten­schutz­be­auf­trag­ter klärt Sie ger­ne über den Sach­ver­halt auf. Sie haben kei­nen? Dann spre­chen Sie uns an. Wir unter­stüt­zen Sie als exter­ne Daten­schutz­be­auf­trag­te und exter­ne Informationssicherheitsbeauftragte.

Aus­le­gungs­hil­fen zur EU Daten­schutz­grund­ver­ord­nung veröffentlicht

Die Kon­fe­renz der unab­hän­gi­gen Daten­schutz­be­hör­den des Bun­des und der Län­der (DSK) hat ers­te Aus­le­gungs­hil­fen zum neu­en Daten­schutz­recht der EU Daten­schutz­grund­ver­ord­nung (EU-DSGVO) veröffentlicht.

Die­se Hil­fen ste­hen auf der Web­sei­te der Lan­des­be­auf­trag­ten für den Daten­schutz Nie­der­sach­sen zum Down­load zur Ver­fü­gung.

Wie bereits in einem frü­he­ren Bei­trag beschrie­ben, ist die Unter­stüt­zung mit Vor­la­gen und Hilfs­mit­teln zur Umset­zung der EU-DSGVO noch recht „über­schau­bar“. Dies wird auch am Umfang der jetzt ver­öf­fent­lich­ten — und noch zu erwei­tern­den — Aus­le­gungs­hil­fen deut­lich. 3 The­men wer­den behandelt:

  1. Ver­zeich­nis der Ver­ar­bei­tungs­tä­tig­kei­ten nach Art. 30 DS-GVO
  2. Auf­sichts­be­fug­nis­se /​ Sank­tio­nen
  3. Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten für Werbung

Baye­ri­sches Lan­des­amt für Daten­schutz­auf­sicht (BayL­DA) stellt Tätig­keits­be­richt 2015/​2016 vor

Auf 158 Sei­ten gibt der Prä­si­dent des Baye­ri­schen Lan­des­am­tes für Daten­schutz­auf­sicht (BayL­DA), Tho­mas Kra­nig einen Über­blick über die Arbeit der Daten­schutz­auf­sichts­be­hör­de für den nicht-öffent­li­chen Bereich in Bay­ern für die Jah­re 2015 und 2016 ab.

Das BayL­DA ist für ca. 700.000 ver­ant­wort­li­che Stel­len im nicht-öffent­li­chen Bereich (Unter­neh­men, Ver­ei­ne, Ver­bän­de, frei­be­ruf­lich Täti­ge etc.) in Bay­ern zuständig.

Im vor­de­ren Teil des Berichts wird anschau­lich auf die Ent­wick­lung von Bür­ger­be­schwer­den, Daten­pan­nen, aber auch Bera­tungs­an­fra­gen sei­tens nicht-öffent­li­cher Stel­len ein­ge­gan­gen. Der Über­sicht ab 2013 ist zu ent­neh­men, dass es sich bei der zuneh­men­den Stei­ge­rung nicht um ein­zel­ne Spit­zen, son­dern klar um einen Trend han­delt. Sind 2013 “nur” 925 Beschwer­den über baye­ri­sche Unter­neh­men und Unter­neh­mer ein­ge­gan­gen, so waren es 2016 schon 1.424. Iden­tisch ver­hält es sich mit der Zahl der Daten­pan­nen (2013 32 gegen­über 85 in 2016). Wobei hier eine deut­lich höhe­re Dun­kel­zif­fer sei­tens des Amts ver­mu­tet wird. Bei den Beschwer­den liegt das The­ma Video­über­wa­chung auf dem vor­ders­ten Platz. Unter ande­rem sind dafür die mitt­ler­wei­le sehr preis­wer­ten Über­wa­chungs­ka­me­ras (wie Wild­ka­me­ras, Dash­cams usw.) ver­ant­wort­lich, jedoch auch ein gestei­ger­tes Sicher­heits­be­dürf­nis. Letz­te­res führt schnell mal dazu, nicht nur (zuläs­si­ger­wei­se) das eige­ne Grund­stück zu obser­vie­ren, son­dern (zumeist unzu­läs­sig) angren­zen­de Grund­stü­cke oder öffent­li­che Ver­kehrs­flä­chen mit einzuschließen.

Klas­si­sche Daten­pan­nen wie Ver­lust, Dieb­stahl oder Fehl­ver­sen­dun­gen sind im Berichts­zeit­raum nahe­zu gleich geblie­ben. Eine ver­mehr­te Zunah­me wur­de jedoch im Bereich Cyber­crime fest­ge­stellt. Hack­ing von Web­sei­ten, Daten­klau in Web­shops sowie Ver­schlüs­se­lungs­tro­ja­ner stan­den dabei ganz oben auf der Lis­te. Gera­de die ers­ten bei­den Punk­te oft aus­ge­löst durch feh­len­de Sicher­heits­up­dates der Web­sei­ten- und Shop-Soft­ware inklu­si­ve dazu­ge­hö­ri­ger Erwei­te­run­gen durch die ver­ant­wort­li­chen Unter­neh­men und Unternehmer.

Im wei­te­ren Ver­lauf des Tätig­keitbe­richts wird ein Blick auf die ab Mai 2018 gel­ten­de EU-Daten­schutz­grund­ver­ord­nung (EU-DSGVO) gewor­fen und wel­che Aus­wir­kun­gen die­se auf nicht-öffent­li­che Stel­len haben wird. Die Ver­pflich­tung zur Bestel­lung eines Daten­schutz­be­auf­trag­ten wird vor­aus­sicht­lich in bekann­ter Wei­se fort­ge­führt. Neu ist jedoch die Mel­de­pflicht der Bestel­lung an die Lan­des­da­ten­schutz­be­hör­de. Die­se rech­net mit einem erheb­li­chen Arbeits­auf­wand auf­grund der zu erwar­ten­den tau­send­fa­chen Mel­dun­gen. [Anmer­kung des Autors: Die­se Mel­de­pflicht wird natür­lich auch Aus­wir­kun­gen auf Unter­neh­men haben, die bis­her der Bestell­pflicht unter­la­gen, sich aber eine Bestel­lung erspart haben. Eine Nicht­mel­dung kann im wei­te­ren Ver­lauf unan­ge­neh­me Nach­fra­gen — und bei Ver­stö­ßen auf Buß­gel­der auslösen.]

Eine kur­ze Zusam­men­fas­sung kön­nen Sie hier her­un­ter­la­den. Der kom­plet­te Tätig­keits­be­richt steht hier zum Down­load bereit.

Daten­schutz­be­auf­trag­ter darf kei­nen Inter­es­sen­kon­flik­ten unterliegen

Baye­ri­sches Unter­neh­men kas­siert Buß­geld, weil IT-Mana­ger gleich­zei­tig als Daten­schutz­be­auf­trag­ter bestellt war.

“Eine der­art expo­nier­te Posi­ti­on im Hin­blick auf die Daten­ver­ar­bei­tungs­pro­zes­se im Unter­neh­men ist in aller Regel unver­ein­bar mit den Auf­ga­ben eines Daten­schutz­be­auf­trag­ten”, so das Baye­ri­sche Lan­des­amt für Daten­schutz­auf­sicht (BayL­DA) in Ansbach.

Wer muss einen Daten­schutz­be­auf­trag­ten bestellen?

Unter­neh­men und auch Ver­ei­ne müs­sen einen Daten­schutz­be­auf­trag­ten (DSB) bestel­len, wenn bei ihnen min­des­tens zehn Per­so­nen (“mehr als neun”, so das Bun­des­da­ten­schutz­ge­setz) mit der auto­ma­ti­sier­ten Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten befasst sind. Dabei ist es uner­heb­lich, a) ob es sich dabei um inter­ne oder exter­ne per­so­nen­be­zo­ge­ne Daten han­delt und b) mit wel­chem Zeit­an­teil die Per­so­nen beschäf­tigt sind (Voll­zeit, Teil­zeit, Aus­hil­fe etc.). Es zählt hier allei­ne die Zahl der “Köp­fe”.

Zahl­rei­che Unter­neh­men und Ver­ei­ne erfül­len die­se Vor­aus­set­zun­gen. Das Gesetz stellt es dabei frei, ob die Funk­ti­on des Daten­schutz­be­auf­trag­ten an eine exter­ne Per­son ver­ge­ben wird („exter­ner Daten­schutz­be­auf­trag­ter“) oder aber durch einen Mit­ar­bei­ter („inter­ner Daten­schutz­be­auf­trag­ter“) erfüllt wird. Je nach Bun­des­land schrei­ben die Lan­des­da­ten­schutz­ge­set­ze einen Daten­schutz­be­auf­trag­ten eben­falls für Behör­den und kom­mu­na­le Ein­rich­tun­gen (sog. öffent­li­che Stel­len) ver­pflich­tend vor. In eini­gen Bun­des­län­dern besteht bereits heu­te die Mög­lich­keit einer exter­nen Bestel­lung des behörd­li­chen Daten­schutz­be­auf­trag­ten. Mit der EU-Daten­schutz­grund­ver­ord­nung (EU-DSGVO) wird die Bestell­pflicht für öffent­li­che Stel­len ver­ein­heit­licht. Eben­so soll dann eine gene­rel­le Mög­lich­keit der exter­nen Bestel­lung für Behör­den /​ Kom­mu­nen gege­ben sein.

Wann ist von einem Inter­es­sens­kon­flikt auszugehen?

Wird ein Mit­ar­bei­ter zum Daten­schutz­be­auf­trag­ten bestellt, so darf er jedoch dane­ben nicht zusätz­lich /​ wei­ter­hin für sol­che Auf­ga­ben zustän­dig sein, wel­che die Gefahr von Inter­es­sens­kon­flik­ten mit sei­ner Funk­ti­on als Daten­schutz­be­auf­trag­ter mit sich brin­gen kön­nen. Der Gesetz­ge­ber ver­langt hier salopp, nicht “den Bock zum Gärt­ner zu machen”. Ähn­lich hat dies auch die EU-Daten­schutz­richt­li­nie (Art. 18) gefor­dert, völ­li­ge Unab­hän­gig­keit des DSB in sei­ner Funk­ti­on als Kon­troll­in­stanz. Mit Arti­kel 38 und 39 der EU-DSGVO wird dies in 2018 kei­ne Ände­rung erfahren.

In ein­schlä­gi­gen Kom­men­ta­ren zum Bun­des­da­ten­schutz­ge­setz (z.B. Gola /​ Schome­rus) wird expli­zit dar­auf ver­wie­sen, dass sich hier­aus bestimm­te Funk­tio­nen für die Tätig­keit des Daten­schutz­be­auf­trag­ten von vorn­her­ein aus­schlie­ßen. Dazu zäh­len auf jeden Fall

  • Inha­ber, Vor­stand, Geschäfts­füh­rer (aus­nahms­los),
  • Lei­ter der IT,
  • Per­so­nal­lei­ter,
  • Ver­triebs­lei­ter (zumin­dest im Direktvertrieb).

Für alle ande­ren Funk­tio­nen ist zu prü­fen, ob ein Inter­es­sens­kon­flikt aus­ge­schlos­sen wer­den kann und auch kei­ne wei­te­ren Beein­träch­ti­gun­gen für die Aus­übung der Funk­ti­on des Daten­schutz­be­auf­trag­ten bestehen. So ist es nicht unbe­dingt ziel­füh­rend, einen IT-Mit­ar­bei­ter zum Daten­schutz­be­auf­trag­ten zu bestel­len, wenn der Kon­flikt mit dem Vor­ge­setz­ten — dem IT-Lei­ter — bereits vor­pro­gram­miert ist und der IT-Mit­ar­bei­ter sei­ne zusätz­li­che Auf­ga­be als DSB z.B. aus Angst vor Repres­sa­li­en nicht aus­üben kann /​ wird.

Wie kam es jetzt zu die­sem Buß­geld auf­grund eines Interessenskonflikts?

Das Baye­ri­sche Lan­des­amt für Daten­schutz­auf­sicht (BayL­DA) berich­tet in sei­ner Press­mit­tei­lung davon, dass im Rah­men der Über­prü­fung eines baye­ri­schen Unter­neh­mens die Bestel­lung des IT-Lei­ters zum inter­nen Daten­schutz­be­auf­trag­ten fest­ge­stellt wur­de. Dies lie­fe nach Mei­nung der Behör­de “letzt­lich auf eine Daten­schutz­kon­trol­le eines der maß­geb­li­chen zu kon­trol­lie­ren­den Funk­ti­ons­trä­ger im Unter­neh­men durch sich selbst hin­aus”. Aus Sicht der Behör­de (und der ein­schlä­gi­gen Rechts­kom­men­ta­re) wider­spricht dies der Funk­ti­on des Daten­schutz­be­auf­trag­ten, als unab­hän­gi­ge Instanz im Unter­neh­men auf die Ein­hal­tung des Daten­schut­zes hin­zu­wir­ken (eine der Kern­auf­ga­ben des DSB).

Nach­dem das Lan­des­amt das Unter­neh­men mehr­fach über Mona­te auf­ge­for­dert hat, eine Bestel­lung ohne Inter­es­sens­kon­flikt her­bei­zu­füh­ren und dies sei­tens des Unter­neh­mens zuge­sagt, jedoch nicht umge­setzt wur­de, ver­häng­te die Behör­de ein Buß­geld. Die Geld­bu­ße ist mitt­ler­wei­le bestandskräftig.

„Der betrieb­li­che Daten­schutz­be­auf­trag­te ist ein Erfolgs­mo­dell und ein sehr wich­ti­ges Ele­ment der Daten­schutz­or­ga­ni­sa­ti­on in Deutsch­land. Die Funk­ti­on des Daten­schutz­be­auf­trag­ten kann aber nicht durch eine Per­son wahr­ge­nom­men wer­den, die dane­ben im Unter­neh­men noch Auf­ga­ben inne­hat, die in einem Span­nungs­ver­hält­nis mit einer unab­hän­gi­gen, effek­ti­ven inter­nen Auf­sicht über den Daten­schutz ste­hen. Unter­neh­men, die gesetz­lich zur Bestel­lung eines Daten­schutz­be­auf­trag­ten ver­pflich­tet sind, kön­nen daher nur eine sol­che Per­son zum Daten­schutz­be­auf­trag­ten bestel­len, die in der Lage ist, die­se Auf­ga­be frei von sach­frem­den Zwän­gen aus­zu­üben. Und wenn sie das trotz wie­der­hol­ter Auf­for­de­rung nicht machen, müs­sen sie not­falls mit Buß­geld dazu gezwun­gen wer­den.“, betont Tho­mas Kra­nig, der Prä­si­dent des BayLDA.

Was kön­nen Sie als Unter­neh­men tun, um sol­ches Buß­gel­der zu vermeiden?

Ent­we­der Sie ver­mei­den sol­che Inter­es­sens­kon­flik­te oder Sie grei­fen zu einer trans­pa­ren­ten und kos­ten­güns­ti­gen exter­nen Bestel­lung des Daten­schutz­be­auf­trag­ten, wie sie bei­spiels­wei­se a.s.k. Daten­schutz anbie­tet. Ein Ange­bot erhal­ten Sie zeit­nah mit­tels unse­rer Online-Anfra­ge.

Übri­gens gilt das The­ma Inter­es­sens­kon­flikt auch für behörd­li­che Datenschutzbeauftragte!!

Quel­le: Pres­se­mit­tei­lung des BayLDA

 

Lan­des­da­ten­schutz­be­hör­den prü­fen Cloud-Ein­satz in Unternehmen

Die Lan­des­da­ten­schutz­be­hör­den in Bay­ern, Ber­lin, Bre­men, Ham­burg, Meck­len­burg-Vor­pom­mern, Nie­der­sach­sen, Nord­rhein-West­fa­len, Rhein­land-Pfalz, Saar­land und Sach­sen-Anhalt wäh­len per Zufall 500 Unter­neh­men in die­sen Bun­des­län­dern aus. Die­se erhal­ten im Zuge der Prü­fung einen aus­führ­li­chen Fra­ge­bo­gen (Down­load zur Selbst­über­prü­fung hier) zur zeit­na­hen Beant­wor­tung. Bit­te beach­ten Sie: Sie sind gemäß Bun­des­da­ten­schutz­ge­setz gegen­über der Behör­de aus­kunfts­pflich­tig. Neh­men Sie die Anfra­ge ernst und ertei­len Sie inner­halb des genann­ten Rück­mel­de­zeit­raums aus­führ­lich Aus­kunft. Es besteht sonst ein Buß­geld­ri­si­ko für Ihre Organisation.

“[…] vie­le klei­ne­re und mitt­le­re Unter­neh­men in Deutsch­land ver­ar­bei­ten inzwi­schen zahl­rei­che per­so­nen­be­zo­ge­ne Daten (z. B. von Kun­den, Mit­ar­bei­tern oder Bewer­bern) häu­fig auf Ser­vern exter­ner Dienst­leis­ter, oft außer­halb der Euro­päi­schen Uni­on. Dies ist vor allem bei Ange­bo­ten wie dem sog. Soft­ware as a Ser­vice der Fall. Ein klas­si­sches Bei­spiel hier­für sind Office-Anwen­dun­gen „aus dem Inter­net“, die stand­ort­un­ab­hän­gig und fle­xi­bel genutzt wer­den können.”

Inhalt­lich beschäf­tigt sich der Fra­ge­bo­gen daher zu Beginn mit gene­rel­len Daten­über­mitt­lun­gen außer­halb der EU (USA, sons­ti­ge Drittstaaten).

“Ein wich­ti­ges Ziel der Prü­fung liegt in der Sen­si­bi­li­sie­rung der Unter­neh­men für Daten­über­mitt­lun­gen in Län­der außer­halb der Euro­päi­schen Uni­on. Um Unter­neh­men das Auf­fin­den sol­cher Über­mitt­lun­gen zu erleich­tern, wird auch gezielt nach dem Ein­satz von Pro­duk­ten und Leis­tun­gen exter­ner Anbie­ter gefragt, die – nach bis­he­ri­gen Erfah­run­gen der Auf­sichts­be­hör­den – mit einer Über­mitt­lung per­so­nen­be­zo­ge­ner Daten in Nicht-EU-Staa­ten ver­bun­den sind.”

Im zwei­ten Teil wird es ziem­lich kon­kret im Hin­blick auf in der Cloud ein­ge­setz­te Lösun­gen wie Rei­se­ma­nage­ment, Cus­to­mer-Rela­ti­onship-Manage­ment, Bewer­ber­por­ta­le bis hin zu kom­plet­ten Recruit­ment und Per­so­nal­ver­wal­tung und Abrech­nung, Cloud-Spei­cher, News­let­ter-Ser­vices, Cloud Office, aber auch Kol­la­bo­ra­ti­ons­platt­for­men. Hier wol­len die Behör­den sehr kon­kre­te Anga­ben zu den genutz­ten Anbie­tern und Lösungen.

Abge­schlos­sen wird der Fra­ge­bo­gen mit Anga­ben zum betrieb­li­chen Daten­schutz­be­auf­trag­ten. Die­sen soll­ten Sie bei Vor­lie­gen der gesetz­li­chen Bestell­pflicht hof­fent­lich benen­nen kön­nen und in die Beant­wor­tung des Fra­ge­bo­gens ein­be­zo­gen haben.

„Über­mitt­lun­gen per­so­nen­be­zo­ge­ner Daten in Nicht-EU-Staa­ten gehö­ren inzwi­schen auch bei vie­len mit­tel­stän­di­schen Unter­neh­men zum All­tag, nicht zuletzt auf­grund der immer stär­ke­ren Ver­brei­tung von Ange­bo­ten des Cloud Com­pu­ting. Unter­neh­men müs­sen sich aber des­sen bewusst sein, dass hier­für beson­de­re daten­schutz­recht­li­che Anfor­de­run­gen gel­ten. Durch die koor­di­nier­te Prüf­ak­ti­on, an der sich zehn deut­sche Daten­schutz­auf­sichts­be­hör­den betei­li­gen, wol­len wir auch die Sen­si­bi­li­tät der Unter­neh­men in die­sem Bereich erhö­hen.“ betont Tho­mas Kra­nig, der Prä­si­dent des Baye­ri­schen Lan­des­am­tes für Daten­schutz­auf­sicht. „Aus­ge­hend von der Beant­wor­tung des Fra­ge­bo­gens kann und wird das Baye­ri­sche Lan­des­amt für Daten­schutz­auf­sicht dort, wo sich dies als not­wen­dig zeigt, auch in eine tie­fe­re Prü­fung einsteigen.“ 

Sie haben einen sol­chen Fra­ge­bo­gen erhal­ten, jedoch kei­nen betrieb­li­chen Daten­schutz­be­auf­trag­ten zur Beant­wor­tung parat? Spre­chen Sie uns an.

Quel­le: https://​www​.lda​.bay​ern​.de/​m​e​d​i​a​/​p​m​2​0​1​6​_​0​9​.​pdf

Pri­va­cy Shield für ein Jahr tole­riert — Euro­päi­sche Daten­schutz­be­hör­den unzufrieden

Zumin­dest für den Zeit­raum eines Jah­res kann das oft kri­ti­sier­te Pri­va­cy Shield als Nach­fol­ger von Safe Har­bor fun­gie­ren. Nach Aus­sa­gen der soge­nann­ten Arti­kel-29-Grup­pe sei das neue Abkom­men nach wie vor nicht geeig­net, grund­sätz­li­che Kri­tik aus­zu­räu­men. Dabei wur­den die nach wie vor zuläs­si­gen Geheim­dienst­zu­grif­fe auf Daten von EU Bür­gern sowie die man­geln­den Durch­set­zungs­mög­lich­kei­ten der Schutz­rech­te der Betrof­fe­nen bemängelt.

Den­noch kön­ne Pri­va­cy Shield vor­erst als Zuläs­sig­keits­tat­be­stand für den Trans­fer per­so­nen­be­zo­ge­ner Daten in die USA ein­ge­setzt wer­den. Nach 12 Mona­ten Eva­lu­ie­rungs­pha­se soll das Abkom­men neu bewer­tet wer­den. Bis dahin sicher­ten die euro­päi­schen Daten­schutz­be­hör­den akti­ve Unter­stüt­zung bei der Gel­tend­ma­chung der Rech­te Betrof­fe­ner in den USA zu.

EU US Pri­va­cy Shield tritt in Kraft — alles wird gut?

EU US Pri­va­cy Shield ist da

Nach­dem die euro­päi­sche Kom­mis­si­on erwar­tungs­ge­mäß das recht umstrit­te­ne Pri­va­cy Shield als Nach­fol­ger von Safe Har­bor durch­ge­wun­ken hat, tritt die­se Rege­lung zum 01. August 2016 in Kraft. Nach Weg­fall der Safe Har­bor Rege­lung auf­grund eines Urteils des EUGH im Herbst 2015 — wir berich­te­ten — soll Pri­va­cy Shield eine belast­ba­re Grund­la­ge für die Zuläs­sig­keit des Aus­tauschs per­so­nen­be­zo­ge­ner Daten zwi­schen Euro­pa und den USA bil­den. Durch das Urteil des EUGH blie­ben hier­für ja ledig­lich die EU Stan­dard­ver­trags­klau­seln oder Ver­fah­rens­wei­sen im Rah­men der soge­nann­ten “bin­ding cor­po­ra­te rules” (BCR). Nach­dem eini­ge Unter­neh­men eine recht­zei­ti­ge Umstel­lung nach Weg­fall von Safe Har­bor auf die Stan­dard­ver­trags­klau­seln ver­säumt haben, wur­de zum Bei­spiel der Daten­schutz­be­auf­trag­te Ham­burgs, Prof. Dr. Johan­nes Cas­par bereits aktiv und ging dage­gen aktiv vor.

Und jetzt wird alles gut?

Es ver­wun­dert wenig, dass die betei­lig­ten EU Kom­mis­sa­re den Stel­len­wert und Wir­kungs­grad des von ihnen umge­setz­ten Pri­va­cy Shields loben. Nach ihrer Sicht sei­en erheb­li­che Zuge­ständ­nis­se zum Schutz per­so­nen­be­zo­ge­ner Daten in den USA von EU Bür­gern geleis­tet wor­den. Dass die­se ledig­lich in kur­zer Brief­form und ohne belast­ba­re recht­li­che Unter­maue­rung in Form von neu­en oder ange­pass­ten Geset­zen in den USA erbracht wur­den, stellt das Pri­va­cy Shield auf kein soli­des Fundament.

Die hier­durch gewon­ne­ne Erleich­te­rung im Daten­trans­fer ist gene­rell zu begrü­ßen. Jedoch unter­schei­den sich Safe Har­bor und Pri­va­cy Shield im Schutz­wert für per­so­nen­be­zo­ge­ne Daten von EU Bür­gern ledig­lich gering­fü­gig. Der Initia­tor des EUGH-Urteils (Max Schrems) ver­weist daher nicht ganz zu Unrecht auf die man­geln­de Umset­zung der Schutz­rech­te, die der EUGH für ein neu­es Abkom­men als Vor­aus­set­zung genannt hat. Die Halb­werts­zeit des Pri­va­cy Shields könn­te dem­nach recht kurz sein, mit einer neu­en Kla­ge ist zu rechnen.

Was tun?

Unse­rer Mei­nung nach reicht es nicht aus, auf die Rege­lun­gen des Pri­va­cy Shields und deren Fort­be­stand zu hof­fen. Wer es nach Weg­fall von Safe Har­bor bis­her immer noch ver­säumt hat, bei­spiels­wei­se die EU Stan­dard­ver­trags­klau­seln umzu­set­zen, soll­te dies zeit­nah nach­ho­len oder zumin­dest als zwei­te Säu­le neben dem Pri­va­cy Shield ver­trag­lich regeln. Da jedoch auch die Stan­dard­ver­trags­klau­seln ähn­li­chen argu­men­ta­ti­ven Schwä­chen unter­liegt wie Safe Har­bor respek­ti­ve Pri­va­cy Shield , ist dies kei­ne Garan­tie, auch lang­fris­tig recht­lich sau­ber zu arbei­ten. Es gilt, die Ent­wick­lung wei­ter zu beobachten.

Abmah­nung für den Ein­satz von Goog­le Analytics

Goog­le Ana­ly­tics als Web­track­ing- und Ana­ly­se-Tool ist bei Web­mas­tern recht beliebt. Eine aus Daten­schutz­sicht bean­stan­dungs­freie Umset­zung ist seit gerau­mer Zeit mög­lich. Dabei gilt es jedoch, eini­ges zu beach­ten. Wer sich dar­um nicht küm­mert, kann zukünf­tig vom Wett­be­werb dazu mit recht­li­chen Mit­teln — im Zwei­fel mit­tels Abmah­nung — gezwun­gen werden.

In einer einst­wei­li­gen Ver­fü­gung des Land­ge­richts Ham­burg vom 10.03.2016 mit dem Akten­zei­chen 312 O 127/​16 unter­sagt das Gericht dem Betrei­ber einer Web­sei­te den Ein­satz von Goog­le Ana­ly­tics auf­grund feh­len­der Hin­wei­se auf den Ein­satz, bei­spiel­wei­se im Rah­men der Daten­schutz­er­klä­rung. Das Land­ge­richt Ham­burg droht dem Web­sei­ten­be­trei­ber für den Fall der Zuwi­der­hand­lung gegen die­se Anord­nung ein Ord­nungs­geld von bis zu 250.000 Euro an (als Ersatz Ord­nungs­haft bis zu 6 Monaten).

Nicht ein­deu­tig geklärt ist bis­her, ob § 13 Absatz 1 Satz 1 Tele­me­di­en­ge­setz (TMG) Grund­la­ge für eine Abmah­nung sein kann. Das Ober­lan­des­ge­richt (OLG) Mün­chen hat 2012 die­sen Sach­ver­halt ver­neint. Dem ent­ge­gen hat das OLG Ham­burg in 2013 die Abmahn­fä­hig­keit bestätigt.

Wer dem­nach zur Zeit Abmah­nung und wei­te­res Unge­mach wegen des Ein­sat­zes von Goog­le Ana­ly­tics ver­mei­den will, tut gut dar­an, die Emp­feh­lun­gen aus 2011 für die Ein­füh­rung und Nut­zung von Goog­le Ana­ly­tics als Web­track­ing- und Ana­ly­se-Tool umzusetzen:

  1. Abschluss einer Rege­lung zur Auf­trags­da­ten­ver­ar­bei­tung nach § 11 BDSG. Eine gemein­sam erar­bei­te­te Vor­la­ge samt Anlei­tung fin­den Sie unter www​.goog​le​.com/​a​n​a​l​y​t​i​c​s​/​t​e​r​m​s​/​d​e​.​pdf oder Sie suchen bei goog​le​.de nach „ana­ly­tics +tos.pdf“.
  2. Detail­lier­te For­mu­lie­rung der Nut­zung in der Daten­schutz­er­klä­rung Ihrer Web­sei­te zusam­men mit dem Hin­weis auf die Wider­spruchs­mög­lich­keit durch das Goog­le Tool „gaop­t­aut“ inkl. Down­load­link.
  3. Akti­vie­rung der anony­mi­zeIP-Funk­ti­on (Ach­tung: hier­für ist ein geson­der­ter Track­ing-Code notwendig!)
  4. Löschen ALLER bis­her zu Unrecht erho­be­nen Daten

Viel Erfolg beim daten­schutz­kon­for­men Ein­satz von Goog­le Ana­ly­tics. Wer es unkom­pli­zier­ter mag, setzt auf das Open Source Tool PIWIK, wie in unse­rem Blog­bei­trag beschrieben.

Die Auf­trags­ver­ar­bei­tung — Beson­der­hei­ten des Daten­schutz­rechts beim Outsourcing

Um was geht es bei Auf­trags­ver­ar­bei­tung (frü­her Auftragsdatenverarbeitung)?

Ein sper­ri­ger Begriff für einen ein­fa­chen Sach­ver­halt. Auf­trags­ver­ar­bei­tung meint das klas­si­sche Out­sour­cing an einen exter­nen Dienst­leis­ter. Nur sind in die­sem spe­zi­el­len Fall per­so­nen­be­zo­ge­ne Daten betrof­fen. Für die­sen Fall hat die DSGVO den Arti­kel 28 BDSG “Auf­trags­ver­ar­bei­ter” vorgesehen.

Um ein mög­lichst hohes Schutz­ni­veau zu gewähr­leis­ten und das Risi­ko von Daten­pan­nen bei der Aus­la­ge­rung auf Sub­un­ter­neh­mer zu mini­mie­ren, sieht Arti­kel 28 DSGVO eini­ge Auf­la­gen vor. Um die Bedeu­tung und Ernst­haf­tig­keit des The­mas zu unter­strei­chen, ste­hen auf eine feh­len­de oder feh­ler­haf­te Umset­zung emp­find­li­che Bußgelder.

Was fällt alles unter den Begriff Auftragsverarbeitung?

Am ein­fachs­ten läßt sich das an kon­kre­ten Bei­spie­len erklä­ren. Von einer Auf­trags­ver­ar­bei­tung spricht man im Falle

  • der Nut­zung einer Mai­ling­agen­tur oder eines Let­ter­shops zum Erstel­len und Ver­sand von Anschrei­ben, die an natür­li­che Per­so­nen gerich­tet sind oder
  • der Durch­füh­rung der monat­li­chen Gehalts­ab­rech­nung durch eine exter­ne Lohn- und Gehalts­ab­rech­nung­s­tel­le (nicht Steu­er­be­ra­ter) oder
  • des Ein­sat­zes einer extern gehos­te­ten Soft­ware zur Ver­wal­tung und zum Ver­sand von News­let­tern oder
  • der Beauf­tra­gung eines exter­nen Call­cen­ter oder Office-Ser­vices oder
  • dem teil­wei­sen oder voll­stän­di­gen Aus­la­gern des Rechen­zen­trums oder
  • Soft­ware as a Ser­vice /​ Cloud-Lösun­gen oder
  • in vie­len ähn­li­chen ver­gleich­ba­ren Fäl­len — fra­gen Sie Ihren Daten­schutz­be­auf­trag­ten oder gleich uns.

Dar­un­ter fal­len aber auch Leis­tun­gen wie War­tung /​ Kon­fi­gu­ra­ti­on /​ Instal­la­ti­on von Hard- und Soft­ware eben­falls unter die Anwen­dung von Art. 28 DSGVO und sind ent­spre­chend zu regeln. Dabei ist es uner­heb­lich, ob Ihr Dienst­leis­ter das auch so sieht. Sie als Auf­trag­ge­ber sind ver­ant­wort­lich und zah­len am Ende auch das Bußgeld.

Was ist bei einer Auf­trags­ver­ar­bei­tung zu tun?

Schritt 1: Identifizieren

Bereits vor Beginn der Zusam­men­ar­beit muss ein Dienst­leis­ter auf sein Schutz­ni­veau hin geprüft und mit der pas­sen­den Ver­ein­ba­rung zur Auf­trags­da­ten­ver­ar­bei­tung schrift­lich ver­ein­bart sein. Soll­ten Sie mit dem Dienst­leis­ter bereits zusam­men­ar­bei­ten, dann ist schnel­les Han­deln angebracht.

Schritt 2: Prüfen

Sind alle exter­nen Dienst­leis­ter, die unter Art. 28 DGSVO fal­len, iden­ti­fi­ziert oder bereits bekannt, kommt Schritt 2. Es gilt nun das vor­han­de­ne Schutz­ni­veau des Dienst­leis­ters zu prü­fen. Die soge­nann­ten tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men müs­sen aktu­ell und dem not­wen­di­gen Schutz­be­darf für die betrof­fe­nen Daten ent­spre­chen. Bei Lücken sind die­se durch den Dienst­leis­ter zu schlie­ßen oder bei Bedarf ein alter­na­ti­ver Dienst­leis­ter aus­zu­wäh­len. Die Prü­fung sowie des­sen Ergeb­nis sind zu doku­men­tie­ren, damit die­se spä­ter belegt wer­den können.

Schritt 3: Vereinbaren

Alle von Art. 28 DSGVO betrof­fe­nen Dienst­leis­ter soll­ten nun bekannt sein. Das Schutz­ni­veau ist geprüft und aus­rei­chend vor­han­den. Nun kommt Schritt 3 der Auf­trags­ver­ar­bei­tung: die schrift­li­che Vereinbarung.Hier kann viel falsch gemacht wer­den. Über­se­hen Sie einen Rege­lungs­punkt, den die DSGVO vor­sieht, spricht man von einer feh­ler­haf­ten Auf­trags­ver­ar­bei­tung. Die­se ist mit einem Buß­geld risi­ko­be­haf­tet. Auch die Nut­zung der zahl­rei­chen im Inter­net auf­find­ba­ren Vor­la­gen zur Auf­trags­ver­ar­bei­tung kön­nen davor nicht bewah­ren. Vie­le die­ser Vor­la­gen sind lei­der immer noch ver­al­tet, unvoll­stän­dig oder mit Vor­schrif­ten ver­se­hen, die gegen ande­re Rech­te /​ Geset­ze verstoßen.

Schritt 4: Nachprüfen

Iden­ti­fi­ka­ti­on der Dienst­leis­ter voll­stän­dig. Prü­fen des Schutz­ni­veaus erfolgt und doku­men­tiert. Not­wen­di­ge Ver­ein­ba­rung schrift­lich mit dem Dienst­leis­ter geschlossen.

Falsch liegt, wer meint, der Vor­gang sei nun abge­schlos­sen. In regel­mä­ßi­gen Abstän­den müs­sen Sie sich jetzt von dem Erhalt oder der Ver­bes­se­rung des Schutz­ni­veaus Ihres Dienst­leis­ters über­zeu­gen. Die Prü­fung muss eben­falls wie­der nach­voll­zieh­bar und beleg­bar doku­men­tiert werden.

Schritt 5: Über­le­gen, ob Sie sich das wirk­lich alles selbst antun wollen

Wenn Sie sich weder mit den Risi­ken noch dem Zeit­auf­wand für das The­ma Auf­trags­ver­ar­bei­tung aus­ein­an­der­set­zen wol­len, dann las­sen Sie uns das über­neh­men. Wie das geht? Ganz ein­fach — spre­chen Sie uns an und wir infor­mie­ren Sie unver­bind­lich über unse­re Dienst­leis­tun­gen rund um die Auftragsverarbeitung.

Buß­geld wegen feh­ler­haf­ter Auf­trags­da­ten­ver­ar­bei­tung verhängt

Lang­jäh­ri­ge Kun­den und Emp­fän­ger unse­rer Daten­schutz-Infor­ma­ti­on wer­den sich an das wie­der­keh­ren­de The­ma die­ses Bei­tra­ges sicher erin­nern und haben die Infor­ma­ti­on am Tag der Ver­öf­fent­li­chung der Pres­se-Infor­ma­ti­on des BayL­DA bereits als Son­der-News­let­ter erhal­ten. Auf­grund der Trag­wei­te des Vor­gangs infor­mie­ren wir hier noch mal auf unse­rem Datenschutz-Fachblog.

Es geht um das The­ma Out­sour­cing an exter­ne Dienst­leis­ter im Hin­blick auf mög­li­cher­wei­se betrof­fe­ne per­so­nen­be­zo­ge­ne Daten. Das Daten­schutz­recht spricht hier von einer Auf­trags­da­ten­ver­ar­bei­tung. Nicht weil hier ein Auf­trag ver­ge­ben wird, son­dern weil im Auf­trag der ver­ant­wort­li­chen Stel­le jemand Drit­tes mit den per­so­nen­be­zo­ge­nen Daten zu tun hat oder in Kon­takt kommt  /​ kom­men kann. Die baye­ri­sche Lan­des­da­ten­schutz­be­hör­de hat jetzt wegen feh­ler­haf­ter Umset­zung der gesetz­lich vor­ge­schrie­be­nen Ver­fah­rens­wei­se und Inhal­te ein Buß­geld verhängt.

Feh­ler­haf­te Auf­trags­da­ten­ver­ar­bei­tung führt zu Bußgeld

Das ist so klar und deut­lich in § 43 Absatz 1 Satz 2b BDSG geregelt.

“(1) Ord­nungs­wid­rig han­delt, wer vor­sätz­lich oder fahrlässig 

2b.
ent­ge­gen § 11 Absatz 2 Satz 2 einen Auf­trag nicht rich­tig, nicht voll­stän­dig oder nicht in der vor­ge­schrie­be­nen Wei­se erteilt oder ent­ge­gen § 11 Absatz 2 Satz 4 sich nicht vor Beginn der Daten­ver­ar­bei­tung von der Ein­hal­tung der beim Auf­trag­neh­mer getrof­fe­nen tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men überzeugt,”

Mit Datum vom 20. August 2015 gibt das Baye­ri­sche Lan­des­amt für Daten­schutz­auf­sicht (BayL­DA) in Ans­bach nun bekannt, dass es gegen ein Unter­neh­men ein Buß­geld in fünf­stel­li­ger Euro-Höhe ver­hängt hat.

Aus­lö­ser war die feh­ler­haf­te Umset­zung der Auf­trags­da­ten­ver­ar­bei­tung. In meh­re­ren Ver­trä­gen mit exter­nen Dienst­leis­tern waren die durch den Dienst­leis­ter zu tref­fen­den tech­ni­schen und orga­ni­sa­to­ri­schen Schutz­maß­nah­men nur sehr ober­fläch­lich und all­ge­mein fest­ge­setzt. Damit sei die gesetz­lich vor­ge­schrie­be­ne Kon­trol­le durch den Auf­trag­ge­ber nicht durch­führ­bar, ob der Dienst­leis­ter in aus­rei­chen­dem Umfang für die Sicher­heit der Daten sor­gen kann.
Dabei hat die Behör­de bereits berück­sich­tigt, dass es kein pau­scha­les Schutz­ni­veau gibt, son­dern die­ses indi­vi­du­ell nach Art der Dienst­leis­tung und der betrof­fe­nen Daten defi­niert und ver­ein­bart wer­den muss.

Was ist zu tun?

In einem ers­ten Schritt soll­ten Sie prü­fen, ob Sie alle für eine Auf­trags­da­ten­ver­ar­bei­tung in Fra­ge kom­men­den Dienst­leis­ter über­haupt bereits iden­ti­fi­ziert haben. Wenn ja, wäre die ver­trag­li­che Situa­ti­on zu prü­fen, ob das Schutz­ni­veau des Dienst­leis­ters in aus­rei­chen­der schrift­li­cher Form nach­ge­wie­sen ist und ob eine gül­ti­ge Auf­trags­da­ten­ver­ar­bei­tung (Ach­tung Novel­le in 2009 mit neu­en Anfor­de­run­gen!) schrift­lich ver­ein­bart wurde.
Wenn nein, soll­ten Sie zeit­nah Ihren Daten­schutz­be­auf­trag­ten infor­mie­ren, damit die­ser alles wei­te­re mit Ihnen zusam­men in die Wege lei­ten kann.

Pres­se­mit­tei­lung des BayL­DA vom 20.08.2015
Infor­ma­ti­ons­blatt des BayL­DA zum The­ma Auftragsdatenverarbeitung
Blog­bei­trag a.s.k. Daten­schutz zum The­ma Auftragsdatenverarbeitung

 

Die mobile Version verlassen