Das Verfahrensverzeichnis nach §4e / §4g BDSG

13. Mai 2012

Immer wieder erreichen mich Fragen zum Verfahrensverzeichnis: Wie muss es aussehen? Wie umfangreich muss das “externe Verfahrensverzeichnis” sein? …

Und mit gewissem Erstaunen beobachte ich, wie einige Unternehmen versuchen, mit reinen Marketingverzeichnissen, deren Informationsgehalt das Papier bzw. die Pixel nicht wert sind, auf denen sie erscheinen, sich um ihre Verpflichtungen nach dem BDSG herzumzudrücken. Ich denke, hier kann vielfach Vorsatz vermutet werden und jeder Kunde mag selbst entscheiden, wie viel Vertrauen er solchen Unternehmen entgegen bringt.

Auf einer kleinen Unterseite zum Thema Verfahrensverzeichnis habe ich einmal einige wichtige Punkte zum Verfahrensverzeichnis nach §4e (Anforderungen an das Verfahrensverzeichnis) und §4g (Hinweis auf das “Jedermannverzeichnis”) zusammengestellt.

Veröffentlicht in Allgemein, Datenschutz | Keine Kommentare »

Outsourcing und Datenschutz

20. März 2012

Die Auslagerung von Aufgaben und Funktionen, die nicht zum Kerngeschäft eines Unternehmens gehören, ist Gang und Gäbe. Outsourcing schafft schlanke Strukturen, Flexibilität und hilft, Kosten zu sparen und die Unternehmensressourcen gezielt einzusetzen.

Doch Outsourcing bedeutet immer auch, Daten an die Outsourcing-Partner zu übermitteln. Und wenn es sich um personenbezogene Daten handelt, kommen der Datenschutz und das Bundesdatenschutzgesetz (BDSG) ins Spiel. Die hiermit verbundene Materie – “Datenverarbeitung im Auftrag (Auftragsdatenverarbeitung)” oder “Funktionsübertragung” ist sehr komplex.

Das akualisierte Informationsblatt “Outsourcing und Datenschutz” aus der Informationsserie “Informationen zum Datenschutz” des Ingenieurbüros Dr. Martin H. Ludwig gibt einen fundierten Überblick über die Zusammenhänge und zeigt auf, welche Punkte man bei der vertraglichen und inhaltlichen Gestaltung des Outsourcings bedenken muss.

Nehmen Sie mit mir Kontakt auf, wenn Sie das Informationsblatt oder weitere Informationen benötigen!

Markierungen: , , ,
Veröffentlicht in Datenschutz | Keine Kommentare »

Metropolrad Ruhr – Nextbike GmbH und der Datenschutz

23. November 2011

Ein Beispiel aus der Realität

Eine gute Idee: Im Ruhrgebiet kann man an vielen Stellen kurzzeitig und kurzfristig ein Fahrrad mieten und auch an anderer Stelle zurückgeben. Gerade in dieser dichtbesiedelten Region ist dies ein sehr sinnvolles Angebot. Betrieben wird dieses von der Firma nextbike GmbH aus Leipzig.

Um die Fahrradmiete zu nutzen, musste man sich bei der nextbike GmbH registrieren, hierbei wurden auch personenbezogene Daten auf der Seite der nextbike GmbH erfasst: Name, Vorname, Adresse, E-Mail etc. Bei der Zahlungsart “Kreditkarte” wurde man auf die Seite der Firma “RBS Worldpay” umgeleitet und dort aufgefordert, die klassischen Kreditkartendaten einzugeben.

Ein Hinweis, dass die Adresse etc. von der nextbike GmbH an den Zahlungsdienstleister RBS Worldpay oder andere Dritte weitergegeben wurde, fand sich weder in den AGB, noch in den Datenschutzhinweisen.

Registrierte man sich, folgte eine Mail der “Royal Bank of Scotland (RBS)” mit Zugangsdaten zum System der RBS und dort konnte man feststellen, dass sämtliche Kontaktdaten von der Firma nextbike GmbH weitergegeben worden waren. Ein klarer und eindeutiger Verstoß gegen das Bundesdatenschutzgesetz.

Die Intervention des sächsischen Datenschutzbeauftragten führte schließlich dazu, dass AGB und Datenschutzhinweise angepasst wurden, weniger Daten als Pflichtangaben erfasst wurden und eine Kontaktadresse des Datenschutzbeauftragten veröffentlicht wurde.

Empfehlungen

Offensichtlich hatte die Firma nextbike GmbH vor der Intervention des Landesdatenschutzbeauftragten keinen betrieblichen Datenschutzbeauftragten oder dieser war in die Prozesse nicht richtig eingebunden worden. Sonst wäre die Intervention des Landesdatenschutzbeauftragten sicherlich nicht notwendig gewesen, der Aufwand von AGB-Anpassungen usw. wäre gespart worden.

Dieses Beispiel aus der Praxis zeigt, wie wichtig datenschutzrechtliche Beratung für Unternehmen ist. Wenn Sie in Ihrem Unternehmen personenbezogene Daten von Kunden, Lieferanten oder Mitarbeitern erfassen oder verarbeiten: Sprechen Sie mich an und klären Sie so die Zulässigkeit der Datenverarbeitung ab. Das erspart Ihnen unangenehme Nachfragen von Aufsichtsbehörden und gibt Ihnen Rechtssicherheit.

Veröffentlicht in Datenschutz, Der Markt | Keine Kommentare »

Das haben wir schon immer so gemacht …

4. November 2011

Heute begegnete mir dieser Spruch leider wieder einmal, wörtlich lautete er: “Wir geben die Daten seit 20 Jahren in dieser Form weiter, da ist noch nie etwas passiert.” Solche Aussagen zu hören, schmerzen jeden Datenschützer und auch jeden Betroffenen. Sie erlauben aber auch einen erschreckenden Einblick in die Mentalität vieler Verantwortlicher. Mein Gesprächspartner hatte Recht: Es war noch nie etwas passiert, kein Kunde hatte bisher nachgefragt und glücklicherweise waren auch noch keine Daten missbraucht worden. Trotzdem musste ich den Unternehmer aufmerksam machen. Zum einen ist sein Handeln illegal. Auch wenn es bisher noch nicht aufgedeckt wurde oder zu Schäden gekommen ist, ändert dies nichts an dem Gesetzesverstoß.

Viel schwerer wiegt jedoch das Risiko, welches er in Bezug auf seine Kunden, aber auch in Bezug auf sein eigenes Unternehmen eingeht. Seine Kunden vertrauen ihm Daten im Vertrauen darauf an, dass er mit den Daten korrekt umgeht und genau dieses Vertrauen enttäuscht er, wenn er nicht die notwendigen Maßnahmen zum Datenschutz durchführt. Er setzt dadurch seine Kunden wissentlich dem Risiko des Datenmissbrauchs aus. Aber er bringt auch sich selbst und sein Unternehmen in Gefahr: Wenn etwas passiert oder seine Vorgehensweise bekannt wird, drohen hoher Imageverlust, Schadenersatzforderung und Bußgeld. Und dies muss doch eigentlich nicht sein.

Im weiteren Gespräch kam heraus, dass Daten früher per Fax weitergegeben wurden und dies heute per E-Mail – wohlgemerkt unverschlüsselt – geschieht. Die Daten gehen immer zu den selben Empfängern, ein Wechsel der Empfänger findet nur sehr selten statt. Dass die Daten überhaupt übermittelt werden, kann der Kunde sich zwar denken, zumindest dann, wenn er sich mit dem Thema näher beschäftigt. Über die Datenweitergabe aufgeklärt wurde der Kunde jedoch nicht, geschweige denn seine Einwilligung eingeholt.

Um es klarzustellen: Ich bin bei diesem Unternehmen kein Datenschutzbeauftragter. Trotzdem habe ich den Unternehmer dringend angeraten, fachlichen Rat einzuholen und ihm folgende Lösung skizziert, die mit sehr wenig Aufwand unzusetzen ist:

  1. Der Unternehmer muss seine Kunden dringend über die Übermittlung der Daten aufklären und die Einwilligung zur Übermittlung einholen. Denn nach meiner ersten Anschauung greift keine Übermittlungserlaubnis z.B. nach § 28 (2) BDSG.
  2. Der Unternehmer sollte die Daten per E-Mail nur verschlüsselt, z.B. mit OpenPGP übertragen. Da es sich ja nur um wenige Empfänger handelt, ist es sehr einfach, ein solches Verfahren umzusetzen.

Veröffentlicht in Datenschutz | Keine Kommentare »

Der Streit geht weiter: Facebooks “Like-Button” und der Datenschutz.

7. Oktober 2011

Er spitzt sich zu und wird hoffentlich zu einem rechtsverbindlichen Ergebnis führen: Der Streit um die Nutzung des “Facebook-Like-Buttons” auf Webseiten. Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) und sein Leiter, der Landesdatenschutzbeauftragte Dr. Thilo Weichert, fragt Unternehmen und Behörden in Schleswig-Holstein an, wie Sie ihre jeweilige Fanpage bei Facebook datenschutzrechtlich zulässig betreiben. Hierbei geht Herr Dr. Weichert davon aus, dass dies nicht möglich sei. Die generelle Problematik liegt sowohl darin, dass schon beim Besuch einer Webseite, die eine “Like-Button” enthält, Daten zu Facebook übertragen werden, ohne dass dar Besucher auf den Like-Button klickt, als auch darin, dass auch vor einem Klick keine Zustimmungen eingeholt werden und auch keine Aufklärung erfolgt.

Die Kieler Landesregierung ist hier anderer Auffassung als das ULD.

Eine einfache 2-Klick-Lösung, wie sie z.B. vom Heise-Verlag angeboten wird, wird ebenfalls vom ULD als nicht rechtmäßig gesehen. Die Problematiken in der Sichtweise sind hier vielfältig: Es geht um die Fragen, wer Daten übermittelt und wer für die Übermittlung verantwortlich ist, in welcher Form eine Aufklärung notwendig ist und in welcher Form ggf. eine rechtsgültige Zustimmung erteilt werden kann. Seien Sie gespannt auf mein Gutachten zu diesen Fragen.

Markierungen: , ,
Veröffentlicht in Datenschutz | Keine Kommentare »

Ergänzung zum Artikel: “Hoffen, dass es keiner merkt…”

27. August 2011

Wie in einem Update auf Heise-Online zu lesen war, äußerte sich ein CDU-Sprecher im Gespräch mit heise online: “Der Hackerangriff 2009 sei zwar registriert worden, zum damaligen Zeitpunkt konnte aber kein Datenverlust festgestellt werden.”

Leider macht diese Aussage die im Blogeintrag “Hoffen, dass es keiner merkt: Datenpanne bei der CDU” geschilderte Situation in keiner Weise besser: Hackerangriffe können, wenn die passende Infrastruktur installiert ist, relativ einfach bemerkt werden. So treten z. B. Login-Versuche von unzulässigen IP-Adressen auf etc., Aktionen, die häufig auch von Kontrollsystemen außerhalb des angegriffenen Systems bemerkt werden können. Da Daten jedoch bei einem “Datendiebstahl” nicht abhanden kommen, sondern überlicherweise kopiert werden, ist ein konkreter “Diebstahl” erheblich schwerer festzustellen. Spuren des Kopierens finden sich häufig nur auf dem befallenen System selbst und sind dort durch Manipulation von Log-Datien und History-Dateien etc. durch den Angreifer verwischbar. Insofern wird man bei vielen Hackerangriffen zwar feststellen, dass diese stattgefunden haben, jedoch die genauen Tätigkeiten des Angreifers nicht nachvollziehen, sondern lediglich vermuten können.

Vor diesem Hintergrund, sehe ich eine Aussage, man habe den Angriff zwar registriert, aber keinen Datenverlust festgestellt, für leichtsinnig.

Markierungen: , ,
Veröffentlicht in Datensicherheit, Meinung | Keine Kommentare »

Hoffen, dass es keiner merkt: Datenpanne bei der CDU

26. August 2011

Leider kann man den Umgang der CDU mit der berichteten Datenpanne nur so beschreiben. Zwei Jahre nach einer Datenpanne wurden heute die betroffenen Mitglieder darüber informiert, dass Ihre Daten – Nachname, eine interne Nummer und die E-Mail-Adresse – beim IT-Dienstleister der CDU, der Union Betriebs-GmbH entwendet wurden. Aber die Information erfolgte nicht nur erst zwei Jahre nach der Entwendung, sondern auch 14 Tage nach der Veröffentlichung der Daten im Internet.

Die Begründung für die 2-Jahres-Verspätung:

“Durch die Logfiles hatten wir Anhaltspunkte für einen Hackerangriff, wir waren uns aber nicht ganz sicher.”

Natürlich ist es peinlich, wenn der eigene Server offensichtlich gehackt wurde. Aber die “Kopf-in-den-Sand-Methode” und das Versuchen des Todschweigens ist nicht der richtige Umgang mit Datenpannen.

Die Daten sind in der Kombination auf Grund der Datenquelle und der damit verbundenen Zusatzeigenschaft “CDU-Mitglied” sicherlich als personenbezogene Daten besonderer Art i.S.d. BDSG anzusehen. Somit wäre zu überprüfen, ob ein Verstoß gegen §42a BDSG (Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten) vorliegt. Wobei in der von der CDU verschickten E-Mail  steht: “Heute müssen wir Sie darüber informieren, dass im August 2009 ein Hackerangriff auf unseren Web-Server stattgefunden hat.” Und der erwähnte §42a BDSG ist erst zum 1.9.2009 in Kraft getreten. Und am 27.10.2009 war Bundestagswahl – die Veröffentlichung der Datenpanne wäre sicherlich besonders unangenehm gewesen. Der Leser wundert sich und würde sicherlich gerne einen Blick in die erwähnte Log-Dateien werfen.

Ist dieses Vorgehen sinnvoll? Und ist es ethisch?

Markierungen: , ,
Veröffentlicht in Datenschutz, Meinung | Keine Kommentare »

Datenschutz als Marketinginstrument

26. August 2011

Es ist erschreckend, wie wenig Firmen den Datenschutz als Marketinginstrument nutzen! Sucht man auf den Webseiten der Firmen nach Informationen über den Datenschutz findet man, überwiegend etwas versteckt, nichtssagende Aussagen wie

“Wir nehmen den Schutz Ihrer persönlichen Daten sehr ernst und halten uns strikt an die Regeln der Datenschutzgesetze. Personenbezogene Daten werden auf dieser Webseite nur im technisch notwendigen Umfang erhoben. In keinem Fall werden die erhobenen Daten verkauft oder aus anderen Gründen an Dritte weitergegeben.”

Häufig gefolgt von Aussagen über Cookies etc. Sucht man bei Google nach der Kombination der Begriffe “Datenschutz nehmen sehr ernst”, so werden einem über 4,6 Millionen Ergebnisse präsentiert.

Schaut man sich dann einige dieser Webseiten oder der Firmen genauer an, so findet man normalerweise weder Angaben über einen Datenschutzbeauftragten noch über ein Verfahrensverzeichnis etc. Insbesondere Firmen, bei denen eine offensive Kommunikation Marktvorteile generieren würden, gegenüber Kunden oder Bewerbern, haben diese Chancen weitestgehend nicht erkannt. Nachfragen per E-Mail führen regelmäßig zu Techniken des “Erledigens durch Ignoranz”.

Auch in der physischen Welt erlebt man als Kunde vor allem Absurditäten: Ein Beispiel ist die inzwischen fast allgegenwärtige Videoüberwachung: Nahezu jeder Kunde fühlt sich durch die Kameras irgendwie beeinträchtigt und unwohl, aber wir haben diese Kameras “irgendwie” vielfach akzeptiert. Es gibt ja auch gute Gründe, in denen der Einsatz der Videoüberwachung legal und legitim ist. Viele Firmen versuchen jedoch, diese Techniken unauffällig und verdeckt einzusetzen, “Dome-Kameras” nehmen rasant zu. Dass dies in öffentlichen Bereich illegal ist, steht außer Frage. Aber warum arbeiten Firmen nicht offensiv, sondern verstoßen gegen Gesetze. Warum sagen Unternehmen nicht klar und gut sichtbar am Eingang, dass Sie eine Videoüberwachung durchführen, schreiben, warum sie das tun und schreiben, was sie mit den Bilden und Daten machen. Das Vertrauensverhältnis gegenüber dem Kunden wäre gestärkt!

Stattdessen erhält man auf Nachfrage Informationen der Art “Ich darf Ihnen nicht sagen, was wir mit der Videoüberwachung machen, das unterliegt dem Datenschutz.” Absurd und ein Gesetzesverstoß. Wenige Firmen haben diese Problematik erkannt und agieren proaktiv: Ein deutlicher Hinweis am Eingang, klar erkennbare Kameras, auf Nachfrage freundliche Auskünfte, dass man nur live überwache und nicht aufzeichnet etc. – aber diese Geschäfte bilden die Ausnahme.

Machen Sie als Unternehmerin oder Unternehmer mehr aus de Thema Datenschutz! Gehen Sie offensiv mit dem Thema um, informieren Sie sich über Ihre Pflichten und kommunizieren Sie Ihre Handlungen nach außen: Sie setzen sich dadurch positiv von der Konkurrenz ab und schaffen sich so Marktvorteile. Sprechen Sie mich an! Wir finden gemeinsam innovative Lösungen, mit denen Sie

  • Ihr Unternehmen positiv präsentieren,
  • dem Datenschutz gerecht werden,
  • die Schutzbedürfnisse Ihres Unternehmens beachten.

 

Markierungen: , ,
Veröffentlicht in Datenschutz, Der Markt | Keine Kommentare »

Weitverbreitete Unwissenheit

16. August 2011

Ein Kunde bekam heute einen Anruf eines Softwaredistributors. Im Gespräch kam heraus, dass dieser Distributor die Kontaktdaten, inklusive personenbezogener Daten, von seinem Hersteller bekommen hatte. Somit ein eindeutiger Fall der Datenweitergabe. Natürlich hatte mein Kunde dem Hersteller,  der bei der Nutzung der Produkte persönliche Daten verlangt, keine Einwilligung zur Datenübertragung gegeben.

Die Rückfrage bei dem Hersteller führte dann zu großem Erstaunen. Zum einen sei dafür Finnland zuständig, schließlich sei man ein finnisches Unternehmen (wohlgemerkt, eine deutsche GmbH mit 16 Mitarbeitern), und zum anderen habe man keinen Datenschutzbeauftragten.

Dies ist ein leider fast typischer Fall. Ob in dem Unternehmen ein Datenschutzbeauftragter vorhanden sein muss, kann aus der Ferne nicht überprüft werden – obwohl bei einem Vertriebsunternehmen mit 16 Mitarbeitern schon davon ausgegangen werden kann, dass mehr als 9 Personen ständig mit den personenbezogenen Daten umgehen. Sicher ist jedoch, dass die Mitarbeiter ungenügend informiert und damit ungenügend geschult sind. Und sicher ist damit auch, dass sich die Geschäftsleitung sich ihrer Aufgaben offensichtlich nicht bewusst ist.

Mein Rat an alle Unternehmen dieser Größenordnung: Lassen Sie sich kompetent beraten. Eine regelmäßige Unterstützung in Datenschutzfragen ist bereits ab 50 € / Monat realisierbar, eine sinnvolle Investition.

Markierungen:
Veröffentlicht in Absurditäten, Datenschutz | Keine Kommentare »

Geführter Datenschutzfragebogen zur Selbstinformation

12. August 2011

Gerade für die Verantwortlichen von mittelständischen und kleinen Unternehmen ist es sehr schwer, sich einen Überblick über die Notwendigkeiten des Datenschutzes zu machen. Man weiß, dass man was machen und sich informieren müsste – aber das Thema ist lästig und der Aufwand ist so ungewiss.

Gut wäre es, wenn man sich in wenigen Minuten über die wichtigsten Punkte informieren könnte, ohne sich mit überflüssigen Informationen zu beschäftigen. Am Ende sollte die Anleitunge stehen: So muss es gemacht werden.

Diese Aufgabe geht der Fragebogen “Informationen zum Datenschutz” des Ingenieurbüros Dr. Martin H. Ludwig an: Der Besucher wird in wenigen Minuten durch wichtige Fragen zum Thema Datenschutz aus der Sicht des Unternehmens gelotst und erhält am Ende die zu den gegebenen Antworten passenden Hinweise. Natürlich kann der Fragebogen anonym ausgefüllt werden, Name und Adresse sind nur notwendig, wenn ein Kontakt gewünscht ist.

Veröffentlicht in Datenschutz | Keine Kommentare »

« Ältere Einträge