Vertrauliche Daten in E-Mails

15. Februar 2019

Privat musste ich den Stromanbieter wechseln. Ein neuer Anbieter war Dank der diversen Vergleichsportale schnell gefunden, ein Vertrag über einen dieser Vermittler schnell beantragt.

Der Vermittler stellte mir die Vertragsunterlagen über einen personalisierten Link zur Verfügung, bei dem ich mich mittels meines Geburtsdatums authentifizieren musste. Nicht optimal, besser wäre es gewesen beim Bestellprozess ein „Geheimnis“ zu vereinbaren, aber eine Möglichkeit.

Das Problem: E-Mail mit vertraulichen Daten im Klartext

Das böse Datenschutzerwachen kam dann, als der neue Versorger mir seine Auftragsbestätigung per E-Mail schickte: unverschlüsselt als für jeden lesbare PDF-Datei und inklusive sensibler personenbezogener Daten.

Ich dachte mir, dass in dem Unternehmen offensichtlich nicht genügend über Datenschutz, den aktuellen Stand der Technik und die notwendigen technischen und organisatorischen Maßnahmen zum Datenschutz nachgedacht worden war und schrieb den Datenschutzbeauftragten des Unternehmens an. Hierbei schlug ich als Lösungen die Vereinbarung eines Geheimnisses beim Vertragsschluss, eben die Verwendung des Geburtsdatums oder der Bankverbindung als Geheimnis zur Verschlüsselung oder zum Download der Unterlagen vor.

Die Stellungnahme des Unternehmens

Meine Anfrage wurde, das war positiv, sehr schnell vom Datenschutzbeauftragten von einer Mail-Adresse des Mutterkonzerns aus Süddeutschland aus beantwortet.

Der Inhalt lässt jedoch leider nicht auf zu geringes Nachdenken, sondern auf Ignoranz der Risiken schließen. Ich zitiere wörtlich:

[…] Nach Ziffer 6 der AGB der [Namen des Unternehmens entfernt] für Strom- oder Gaslieferverträge verpflichtet sich die [Namen des Unternehmens entfernt] zur Online-Kommunikation mit dem Kunden. Dies bedeutet u.a., dass die [Namen des Unternehmens entfernt] die vertragliche Korrespondenz dem Kunden per E-Mail sendet oder in den passwortgeschützten Online-Kundenbereich „Mein [Namen des Unternehmens entfernt]“ einstellt. Mit der Tarifauswahl entscheidet sich der Kunde freiwillig für diese Form der Kommunikation und bestätigt diese über das Einverständnis in die AGB per Opt-In.[…]

Antwort des Datenschutzbeauftragten, Firmen- und Produktnamen entfernt

Der Vollständigkeit halber sei der Passus aus den AGB hier auch aufgeführt:

(1) Wenn Sie sich für Online-Kommunikation entschieden haben, werden Rechnungen und sämtliche sonstigen Mitteilungen zur Durchführung dieses Stromvertrags Ihnen per E-Mail zugesendet oder in Ihrem persönlichen „Mein [Namen des Unternehmens entfernt]“ Bereich als PDF-Dateien zur Verfügung gestellt.
[Namen des Unternehmens entfernt] wird Sie stets über eine neue Einstellung in Ihrem „Mein [Namen des Unternehmens entfernt]“ Bereich per E-Mail informieren. Sie verzichten ausdrücklich auf den postalischen Versand von Rechnungen und sonstigen Mitteilungen durch [Namen des Unternehmens entfernt]. [Namen des Unternehmens entfernt] behält sich das Recht vor, einzelne Mitteilungen, wie z. B. Mahnungen, per Post versenden zu dürfen.
(2) [Namen des Unternehmens entfernt] stellt Ihnen zur Abwicklung des Vertrags einen passwortgeschützten persönlichen Zugang zum geschlossenen „Mein [Namen des Unternehmens entfernt]“ Bereich online zur Verfügung. Hierfür müssen Sie sich mit Ihrer E-Mail Adresse und einem Passwort registrieren. Um die Online-Vertragsabwicklung gewährleisten zu können, sind Sie verpflichtet, die technischen Voraussetzungen, wie insbesondere Zugang zu einem PC mit Internetanschluss und installiertem Browserprogramm und E-Mail-
Adresse, zu schaffen sowie zu unterhalten. Sie sind verpflichtet, [Namen des Unternehmens entfernt] stets eine aktuelle empfangsbereite E-Mail-Adresse anzugeben

relevanter Auszug aus den AGB des Versorgers, Firmen- und Produktnamen entfernt

Bewertung der Antwort des Datenschutzbeauftragten

Die Antwort des Datenschutzbeauftragten und das Verhalten des Unternehmens kranken hier gleich an zwei wichtigen Punkten:

  1. Bedeutet eine Vereinbarung zur elektronischen Kommunikation keine Vereinbarung zur unsicheren elektronischen Kommunikation. Es gibt technische Maßnahmen, auch elektronischen Kommunikation sicher zu machen und diese Maßnahmen sind von Unternehmen als Verantwortlichen zu ergreifen.
  2. Außerdem kann eine „Einwilligung in AGB“, die durch das Setzen eines Hakens stattgefunden hat, niemals eine datenschutzrechtliche Einwilligung i.S.d. Artikels 7 DSGVO sein. Es fehlen Aufklärung des Betroffenen, Hervorhebung der Erklärung etc.

Das Verhalten macht also leider deutlich, dass man sich bei dem Unternehmen entweder zu wenig Gedanken um den Schutz der sensiblen Kundendaten gemacht hat oder sich bewusst gegen den Datenschutz entschieden hat und damit die Rechte seiner Kunden bewusst verletzt oder keine Kompetenz in diesem Bereich besitzt. Ich finde keine dieser Möglichkeiten Vertrauen erweckend.

Dass der Datenschutzbeauftragte des Unternehmens offensichtlich mit dem Unternehmenshandeln übereinstimmt, stimmt mich nicht nur traurig, es lässt mich an der Aufgabenwahrnehmung zweifeln.

Fazit und Lehre

  • Wenn Sie E-Mail als Verantwortlicher als Kommunikationsform nutzen, so nutzen Sie bitte auch die Möglichkeiten, die personenbezogenen Daten zu schützen: Nutzen Sie verschlüsselte Archive. Ein Passwort / Geheimnis können Sie mit Ihren Kunden direkt beim Vertragsschluss vereinbaren oder Sie nutzen ein Geheimnis, das beim Vertragsschluss automatisch angefallen ist und nicht allgemein bekannt ist. Beispiele sind die Bankverbindung des Kunden, ggf. verknüpft mit dem Geburtsdatum etc.
  • Wenn sich Kunden bei Ihnen mit einem Datenschutzverstoß oder auch nur einem Hinweis beschweren, so überlegen Sie bitte, ob die Hinweise evtl. eine Grundlage haben. Denn seien wir ehrlich: Unsere Prozesse sind nicht fehlerfrei und durch Fehler und Hinweise können wir lernen und unsere Prozesse verbessern. Das ist auch Datenschutzmanagement und eine der Verpflichtungen, die uns die DSGVO aufgibt.
  • Und wenn Sie eine Einwilligung als Rechtsgrundlage, als Begründung heranziehen, dann achten Sie darauf, dass diese auch wirklich korrekt angefordert und erteilt worden ist, beachten Sie die Anforderungen des Artikels 7 der DSGVO.


TOMs alleine machen nicht glücklich

12. Februar 2019

Vorhin wurde ich von einem befreundeten Unternehmer angesprochen, dem von seinem Auftraggeber ein Auftragsverarbeitungsvertrag und ein Fragebogen vorgelegt worden war. Der befreundete Unternehmer soll als Auftragsverarbeiter seine TOMs, seine „technischen und organisatorischen Maßnahmen zur Sicherstellung des Datenschutzes“ aufführen.

TOMs-Checklisten

Wie leider üblich, führte der Fragebogen, im konkreten Fall geordnet nach der Sortierung der Anlage zu §9 des alten BDSG (1990), eine Reihe technischer und organisatorischer Maßnahmen auf, die der Auftragsverarbeiter ankreuzen solle, ob er diese erfülle. Der Vertrags zur Auftragsverarbeitung war – auch hier war offensichtlich ein Muster aus dem Internet genommen worden – zwar hinsichtlich der zu Regelnden Punkte nach Artikel 28 DSGVO korrekt: alle zu regelnden Punkte waren angesprochen. Er war jedoch im Hinblick auf die Leistungsbeschreibung bemerkenswert unkonkret. Offensichtlich hatten sich Auftraggeber und Auftragnehmer im Groben geeinigt, dass man zusammen arbeiten wolle und festgestellt, dass dann wohl personenbezogene Daten von Auftraggeber zum Auftraggeber flössen. Vermutlich war dem Auftraggeber gesagt worden, dann bräuchte er einen AVV, Muster gäbe es im Internet.

Doch bevor man sich Gedanken über TOMs macht, muss man sich über die Daten und die Datenverarbeitung Gedanken machen. Man muss zuerst wissen was man tut bzw. tun möchte. Dann kann man die Risiken ermitteln und bewerten und dann die adäquaten TOMs festlegen und umsetzen.

Es ist nicht sinnvoll, allgemein – ohne Wissen der Verarbeitung – über TOMs zu schreiben. TOMs müssen zur Verarbeitung passen. Wird ein Auftragsverarbeiter gefragt, ob er ein Schließsystem einsetzt, wird er, wenn er ein solches einsetzt, sicherlich mit „Ja“ antworten – leider ist das wenig hilfreich, wenn genau der Bereich, in dem die Daten des Auftraggebers verarbeitet werden, davon nicht erfasst werden. Und seien wir ehrlich: Die Mitarbeiter, die den Fragebogen dann ausfüllen, handeln im besten Wissen und Gewissen. Haben Sie, wie in meinem Beispielfall, nur den Fragebogen, so sind sie chancenlos, diesen sinnvoll auszufüllen.

Die Seite des Auftraggebers

Daher, liebe Auftraggeber: Beschreiben Sie die Leistungen genau, beschreiben Sie genau, welche Daten wie verarbeitet werden sollen. Definieren Sie, gemeinsam mit dem Auftragnehmer, die TOMs. Aber überlassen Sie Ihren Auftragnehmern nicht irgendwelche „Checklisten“, die diese dann ohne Hintergrundwissen ausfüllen müssen.

Die Seite des Auftragnehmers

Und liebe Auftragnehmer: Wenn Sie Ihre TOM-Listen an die Auftraggeber geben, so geben Sie die TOM-Listen immer gemeinsam mit den jeweiligen Leistungsbeschreibungen ab. Damit klar ist: Für Datenverarbeitung in Verbindung mit Leistung „A“ werden die TOMs „TA“ eingehalten.

Und noch einmal an die Auftragnehmer: Wenn Sie Checklisten von einem Auftraggeber bekommen, die Sie „abhaken“ sollen: Prüfen Sie, ob die Leistung konkret im Vertrag beschrieben ist und beziehen Ihre Antworten nur auf die Datenverarbeitung in Verbindung mit dieser Leistung. Konkretisieren Sie ggf. mit dem Auftraggeber die Leistungsbeschreibung.

Fazit

Auftragsverarbeitung und TOMs bedeuten nicht das lästige Schließen von Verträgen und das Abhaken von Checklisten. Auftragsverarbeitung bedeutet, sich gemeinsam, Auftraggeber mit Auftragnehmer, Gedanken über die Datenverarbeitung und den Datenschutz zu machen, gemeinsam mögliche Risiken aufzudecken und zu bewerten und gemeinsam für die konkrete Datenverarbeitung sinnvolle TOMs zu entwickeln.

DSGVO: Was bedeutet die Pflicht zur Angabe der Rechtsgrundlagen in den Betroffeneninformationen

1. Februar 2019

Die Artikel 13 und 14 der EU Datenschutz-Grundverordung (DSGVO) legen dem Verantwortlichen komplexe Informationspflichten auf. Insbesondere verlangen sie, dass der Verantwortliche dem Betroffenen „die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung“ mitteilt.

Nun benennt Artikel 6 (1) der DSGVO die Rechtsgrundlagen der Datenverarbeitung eigentlich abschließend. Es handelt sich um die Datenverarbeitung

  • auf Grund einer Einwilligung des Betroffenen (lit. a),
  • zur Vertragserfüllung oder zur konkreten Vertragsanbahnung (lit. b),
  • zur Erfüllung einer gesetzlichen Verpflichtung (lit. c),
  • zum Schutz lebenswichtiger Interessen (lit. d),
  • zur Wahrnehmung einer Aufgabe im öffentlichen Interesse (lit. e) oder
  • zur Wahrung berechtigter Interessen (lit. f).

Generell verlangt die DSGVO ein sehr hohes Maß an Transparenz (z. B. die Information in „präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“, Artikel 12 DSGVO). Der Betroffene soll, plastisch ausgedrückt, nach der Information durch den Verantwortlichen wissen, worum es geht und warum was mit seinen Daten gemacht wird.

Zu Artikel 6 (1) lit. f der DSGVO legt die Verordnung beispielsweise fest, dass der Betroffene nicht nur informiert werden muss, dass seine Daten auf Grund der Wahrung eines berechtigten Interesses verarbeitet werden. Vielmehr muss das konkrete Interesse beschrieben werden.

In Bezug auf Artikel 6 (1) lit. c weisen viele Muster und daraus folgend viele Informationen nach Artikel 13 bzw. Artikel 14 DSGVO meines Erachtens nach massive Lücken auf, sind daher unvollständig und daher ungenügend. Diese Muster nennen nämlich als Rechtsgrundlage lediglich „Artikel 6 (1) lit. c“. Sie geben also lediglich an, dass die Datenverarbeitung „zur Erfüllung einer rechtlichen Verpflichtung erforderlich“ sei, ohne die konkrete rechtliche Verpflichtung zu benennen.

Bei diesem Vorgehen kann der Betroffene natürlich nicht beurteilen, geschweige denn überprüfen, ob die Datenverarbeitung rechtmäßig ist. Woher soll der Betroffene wissen, welchen rechtlichen Verpflichtungen der Verantwortliche unterliegt?

Unabhängig von den Informationspflichten gegenüber den Betroffenen benötigt der Verantwortliche eine Rechtsgrundlage für die Datenverarbeitung. Er muss also, wenn er sich auf Artikel 6 (1) lit. c beruft, selbst genau wissen, welche rechtliche Verpflichtung ihn trifft.

Auch hieraus folgt, dass der Verantwortliche die genauen gesetzlichen Bestimmungen ermitteln und dann auch aufführen muss, aus der sich die Verpflichtung zur konkreten Datenverarbeitung ergibt.

Für die Personaldatenverarbeitung reicht es also nicht aus, pauschal zu schreiben, man müsse die personenbezogenen Daten wie Name, Vorname, Adresse, Steuernummer, Sozialversicherungsnummer etc. verarbeiten, weil man als Verantwortlicher einer rechtlichen Verpflichtung unterliege. Nein, der Verantwortliche muss die konkreten Bestimmungen des SGB, der AO etc. aufführen.

Leider haben sich die Anbieter von Musterlösungen für die Informationen nach Artikel 13 / 14 DSGVO selten die Mühe gemacht, die genauen Bestimmungen zu ermitteln und aufzuschreiben. Um es offen zu sagen: Außer meinen eigenen Mustern ist mir kein weiteres Muster bekannt, welches die konkreten Angaben enthält.

Falls Sie als ein anderer Anbieter von Musterlösungen für die Informationen nach Artikel 13 / 14 DSGVO diesen Artikel hier lesen sollten und ebenso wie ich den Aufwand der komplexen Recherche betrieben und entsprechende Muster erarbeitet haben, so nehmen Sie doch bitte mir mir Kontakt auf. Sehr gerne würde ich mit Ihnen gemeinsam ein möglichst vollständiges Archiv solcher Musterlösungen aufbauen und ggf. gemeinsam anbieten.

Und wenn Sie, liebe Leserin, lieber Leser eine verantwortliche Stelle vertreten und für sich diese Informationen nach Artikel 13 / Artikel 14 DSGVO erstellen müssen, selbst wissen müssen bzw. wissen wollen, was im Einzelfall die konkreten gesetzlichen Grundlagen sind, so nehmen Sie bitte auch mit mir Kontakt auf und fragen nach meinen Musterlösungen.

Betriebsrat und Datenschutz: Datenverarbeitungsrechte des Betriebsrates

29. Januar 2019

Der Betriebsrat eines Betriebes hat aus dem BetrVG (Betriebsverfassungsgesetz) weitgehende Rechte in Bezug auf die personenbezogenen Daten der Mitarbeiter eines Betriebes.

Im Licht der DSGVO stellen sich jedoch neue Fragen:

  • Bestehen die Rechte des Betriebsrates auch nach der DSGVO fort oder müssen diese im Hinblick auf die ausdrücklichen Anforderungen der DGSVO z. B. in Bezug auf eine Pseudonymisierung neu bewertet werden?
  • Welche Daten muss und darf ein Unternehmen an den Betriebsrat übermitteln?
  • Wie muss der Betriebsrat intern mit übermittelten Daten vorgehen, um den Anforderungen der DSGVO gerecht zu werden?

In der gutachterlichen Stellungnahme werden diese Fragen analysiert und Handlungsempfehlungen für Unternehmen und Betriebsräte erarbeitet.

Bei Interesse an der gutachterlichen Stellungnahme zu den Fragen der Datenverarbeitungsrechte des Betriebsrates nehmen Sie bitte mir mir Kontakt auf.

Datenschutzverstoß: Was tun?

29. Januar 2019

Ein Datenschutzverstoß passiert leider recht schnell. Fast jedem ist es schon einmal passiert, dass z. B. E-Mail-Empfänger bei einer Mail, die an mehrere Empfänger gehen solle, in „CC“ statt in „BCC“ geschrieben wurden und damit alle Empfänger die Adressen aller anderen Empfänger gesehen haben. Das ist, zumindest wenn sich die Empfänger nicht alle gegenseitig kannten, schon ein Datenschutzverstoß. Wichtig ist, hier schon vorher einen definierten Prozess für die nun notwendigen Aktionen zu implementieren. Denn nach einem Verstoß hat der Verantwortliche, also das Unternehmen, nur 72 Stunden Zeit, den Verstoß der Behörde zu melden. In meinem neuen Leitfaden habe ich erarbeitet, wie Unternehmen vorgehen sollten, damit im Falle eines Falles kein Aktionsmus oder gar Panik ausbrechen.

Der Leitfaden betrachtet z. B. die zu berücksichtigen Punkte:

  • Welche Informationen sind zu ermitteln und an wen zu melden?
  • Welche Handlungskette ist in einer Organisation sinnvoll?
  • Welche Maßnahmen müssen ergriffen werden und wie ist zu priorisieren?
  • Welche Zeitvorgaben sind zu beachten?

Wenn Sie den Leitfaden benötigen, nehmen Sie mit mir Kontakt auf!

Aua: Klingelschilder und DSGVO

18. Oktober 2018

Laut einem Artikel auf bild.de [Ergänzung vom 19.10.2018: Im Laufe des Tages berichteten auch andere Medien darüber.] von heute möchte der Immobilien-Eigentümerverband „Haus & Grund“ seinen 900 000 Mitgliedern empfehlen, die Namensschilder bei vermieteten Wohnungen abzuschrauben und durch Nummern zu ersetzen.

Beim Lesen dieses Artikels habe ich doch sehr große Augen bekommen. Natürlich veröffentlicht der Vermieter einer Mitwohnung den Namen des Mieters, wenn er diesen am Klingelschild anbringt. Und natürlich muss es für eine solche Handlung eine Rechtsgrundlage geben, möglich sind Artikel 6 (1) lit. a der DSGVO, die individuelle Einwilligung des bzw. der Betroffenen, eine vertragliche Verpflichtung zur Veröffentlichung, die der Mieter dem Vermieter aufgegeben hat (Artikel 6 (1) lit. b der DSGVO) oder auch Artikel 6 (1) lit. b der DSGVO, z. B. das berechtigte Interesse des Besuchers, einen Mieter schnell zu finden, das berechtigte Interesse des Vermieters, die Wohnanlage persönlich zu präsentieren etc..

Es wird eine Verfahrensbeschreibung für das Verfahren benötigt, ggf. eine dokumentierte Interessensabwägung und die Information der Betroffenen nach Artikel 13 der DSGVO. Ggf. müssen, wenn einzelne Mieter gegen ihr Namensschild sind, diese Namensschilder entfernt werden. Aber das vorsorgliche Abschrauben aller Namensschilder ist doch sehr übertrieben.

Wenn Sie, lieber Vermieter, Informationen brauchen, z. B. Musterinformationen für das Namensschild, eine Mustereinwilligungserklärung, eine allgemeine Interessensabwägung im Falle der Namensschilder, so wenden Sie sich bitte an mich.

[Ergänzung vom 19.10.2018: Inzwischen gibt es Stellungnahmen mehrerer Landesdatenschutzbeauftragten, die eine Empfehlung, Namensschilder an Klingeln abzuschrauben, ebenfalls für nicht sinnvoll erachten.]

Ergänzung vom 19.10.2018:

Ist die DSGVO für Klingelschilder anwendbar?

Jetzt wird es akademisch mit der Frage, ob die DSGVO für Klingelschilder überhaupt anwendbar ist. Auf heise.de wird die Bundesdatenschutzbeauftragte Andrea Voßhoff zitiert „Das Ausstatten der Klingelschilder mit Namen für sich genommen stellt weder eine automatisierte Verarbeitung noch eine tatsächliche oder beabsichtigte Speicherung in Dateisystemen dar”. Dort wird dann gefolgert, Klingelschilder würden also gar nicht von der DSGVO erfasst. Frau Voßhoff wird wieder zitiert, der Mieter hätte nur „in besonderen Fällen ein Widerspruchsrecht“.

Artikel 2 (1) der DSGVO legt fest „Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.“ Betrachten wir den Fall der nichtautomatisierten Namensverarbeitung bei den Klingelschildern, so stellt sich die Frage der tatsächlichen Speicherung in einem Dateisystem. Wie ist also die physische Tabelle der Namen neben den Klingeln an der Haustür zu sehen? Ist ein „Dateisystem“ ausschließlich ein „Dateisystem in einem Computer“? Dann würden aber auch Karteikartensammlungen nicht unter die DSGVO fallen und wir hätten den Fall, dass die Verordnung technikabhängig wäre und dies ist nach Erwägungsgrund 15 ausdrücklich nicht gewünscht („Um ein ernsthaftes Risiko einer Umgehung der Vorschriften zu vermeiden, sollte der Schutz natürlicher Personen technologieneutral sein und nicht von den verwendeten Techniken abhängen.“). Schließlich stellte sich dann die Frage, warum, also auf welcher Rechtsgrundlage, der Mieter „in besonderen Fällen ein Widerspruchsrecht“ haben sollte.

Artikel 4 Nr. 6 definiert ein Dateisystem als „jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird“. Der Begriff umfasst dabei auch Akten und Aktensammlungen, allerdings nur (Erwägungsgrund 15) für solche Akten oder Aktensammlungen sowie ihre Deckblätter, die nach bestimmten Kriterien geordnet sind. Fehlt es daran, soll eine Akte nicht in den Anwendungsbereich der DS-GVO fallen (Erwägungsgrund 15). Namen auf Klingelschildern in Wohnblöcken sind normalerweise nach Kriterien geordnet (z. B. alle Wohnungen einer Etage nebeneinander etc.), mindestens dadurch, dass sie einem Haus zugeordnet sind. Es ist daher nicht erkennbar, warum Klingelschilder per se nicht unter die DSGVO fallen sollen.

DAZ Datenschutzauskunft-Zentrale: zweifelhaftes Angebot

1. Oktober 2018

Ein Kunde von mir bekam heute per Fax ein „offiziell“ aussehendes Schreiben einer „DAZ Datenschutz-Auskunftzentrale“, laut Postanschrift Lehnitzstraße 11 in 16515 Oranienburg. Ähnliche Schreiben kennen Unternehmer für Eintragungen in zweifelhafte Unternehmensregister, Gewerberegister etc. Bei diesen üblichen Schreiben werden Einträge in Datenbanken für hohe Preise verkauft und die Absender hoffen offensichtlich darauf, dass das „Angebot“ nicht komplett gelesen wird.

Bei diesem Angebot werden nun zum Preis von 498 € pro Jahr zzgl. MwSt mit einer Mindestlaufzeit von drei Jahren Vordrucke und Muster angeboten, deren Wert ich mangels Kenntnis der Unterlagen nicht beurteilen kann. Doch schon auf Grund der Aufmachung warne ich vor einer Antwort auf dieses Schreiben der DAZ Datenschutz-Auskunftzentrale, nach meinem Eindruck handelt es sich um „Bauernfängerei“.

Nur am Rande sei noch erwähnt, dass solche Werbung bzw. Angebote per Fax rechtswidrig sind. Absendernummer des Faxes war 00800 77 000 777, dorthin sollen auch Antworten geschickt werden.

Aus dem Schreiben geht an keiner Stelle hervor, wer wirklich der Vertragspartner sein soll, wer oder was also die „DAZ Datenschutz-Auskunftzentrale“ ist. Es bestehen daher erhebliche Zweifel, dass auch bei einer Antwort hierdurch ein rechtsgültiger Vertrag zustande kommt.

Auftragsverarbeitung und technische Wartungen – Abgrenzungshilfen

18. Mai 2018

Einleitung

Dienstleistern, die Gerätewartungen vornehmen, stellt sich, ausgelöst durch die DS-GVO häufig die Frage: Ist die Wartung von Geräten Auftragsverarbeitung nach Artikel 28 DS-GVO und muss ein entsprechender Vertrag zur Auftragsverarbeitung geschlossen werden – oder reicht der „normale“ Wartungsvertrag aus.

Mögliche Konstellationen in der Wartungspraxis

Zur Beurteilung muss man sich die konkrete Dienstleistung ansehen. Einige Beispiele:

  1. Besteht bei der seitens des Auftraggebers die Absicht, dass der Auftragnehmer personenbezogene Daten des Auftraggebers zur Kenntnis nimmt? Beispielsweise, weil ein konkrete Problem nur so demonstriert werden kann? Oder weil die Arbeit mit den Daten inhaltlich Teil des Auftrages ist? In diesem Fall liegt sicherlich eine Auftragsverarbeitung vor und ein entsprechender Vertrag ist zu schließen.

  2. Findet die rein technische Wartung und Prüfung an einem System mit personenbezogenen Daten statt, aber es ist, durch den Auftraggeber, durch technische und organisatorische Maßnahmen ausgeschlossen, dass der Auftragnehmer Kenntnis von personenbezogenen Daten erhält? In diesem Fall liegt keine Auftragsverarbeitung von Daten vor. Aber der Auftraggeber muss sicherstellen, dass der Auftragnehmer keinen Zugriff auf personenbezogene Daten erhält.

  3. Doch zwischen diesen beiden Extremen liegt häufig die Realität: Vielfach ist für die Wartung oder Prüfung eines Systems der Zugriff auf die realen personenbezogenen Daten nicht vom Auftragnehmer beabsichtigt, aber sie kann durch einen unglücklichen Zufall passieren.

  4. Oder es sind sogar Schutzmaßnahmen durch den Auftraggeber ergriffen worden – aber der Auftragnehmer als technischer Experte für das Gerät kann diese Schutzmaßnahmen einfach umgehen.

  5. Und dann gibt es noch den Fall, dass die Wartung nicht die eigentlichen Systeme betrifft, die personenbezogene Daten halten, sondern „Hilfssysteme“ wie Klimatisierung, Stromversorgung etc. – aber durch das Arbeitsumfeld ist nicht 100%ig auszuschließen, dass der Techniker personenbezogene Daten zur Kenntnis nehmen kann.

Die Beispiele zu Ende gedacht

Um diese Fälle näher zu beleuchten, muss man sich Situationen – etwas extrem dargestellt – einmal vor Augen führen.

Das erste und das zweite Beispiel sind eindeutig. Doch wie sieht es im dritten Beispiel aus: Der Mitarbeiter des Dienstleisters, also der Auftragnehmer, sei in unserem Beispiel fachlich hochkompetent, von Datenschutz habe er jedoch keine Ahnung. Er sieht durch Zufall im Rahmen seiner Arbeit brisante Daten und berichtet davon beim Stammtisch … sicherlich nicht vom Auftraggeber gewollt.

Der Mitarbeiter hat zwar fraglos dumm gehandelt, er hat vielleicht eine vertragliche Nebenpflicht seines Arbeitsvertrages verletzt. Aber im Arbeitsvertrag war er in unserem konkreten Fall nicht zur Verschwiegenheit oder Vertraulichkeit verpflichtet worden. Warum auch, schließlich hatte der Auftraggeber ja sicherzustellen, dass der Dienstleister keine personenbezogenen Daten sehen kann.

Aus dem gleichen Grunde kann man dem Auftragnehmer vielleicht vorwerfen, dass es zum guten Ton gehört, die Mitarbeiter aufzuklären und auf den Datenschutz zu verpflichten etc., aber warum: Eigentlich hätte sein Mitarbeiter ja gar keine personenbezogenen Daten des Auftraggebers zu sehen bekommen dürfen.

Der „schwarze Peter“ liegt primär beim Auftraggeber

Damit liegt der „schwarze Peter“ in diesem Fall beim Auftraggeber: Er hat sich falsch verhalten, er hätte vielleicht dem Mitarbeiter des Dienstleisters die ganze Zeit über auf die Finger schauen müssen und dann verhindern können, dass personenbezogenen Daten offenbart werden.

Gleiches gilt für das vierte Beispiel: Hier agiert der Mitarbeiter, der sich Zugriff verschafft, evtl. schon kriminell. Aber auch hier liegt der „schwarze Peter“ wieder beim Auftraggeber: Seine Schutzmaßnahmen waren nicht genügend, dass ein Wartungstechniker besondere Möglichkeiten mit dem betreffenden System hat, hätte der Auftraggeber wissen müssen.

Echte Auftragsverarbeitung hätte den Auftraggeber geschützt: Der Dienstleister wäre verpflichtet gewesen, seinen Mitarbeiter auch zum Thema Datenschutz zu schulen und entsprechenden sensibilisierte Mitarbeiter einzusetzen.

Auch der Auftragnehmer hat einen „schwarzen Peter“

Doch auch für den Dienstleister, den Auftragnehmer, hätte ein Vertrag zur Auftragsverarbeitung Vorteile: Die Aufgaben und Pflichten zum Datenschutz sind klar definiert, es gibt weniger Grauzonen.

Wieder ein Beispiel: Ein IT-System wird an den Dienstleister zur Reparatur übergeben, die Festplatte scheint defekt. Der Dienstleiter tauscht die Festplatte aus und vernichtet die alte Festplatte. Ohne Zweifel hat der Auftraggeber die Daten an den Dienstleister gegeben. Der Dienstleister sollte das System – technisch – reparieren. Faktisch wurde dem Dienstleister überlassen, zu entscheiden, wie repariert wird, wir die alte Platte vernichtet wird. Und Artikel 28 (10) DS-GVO schreibt:

„.. gilt ein Auftragsverarbeiter, der unter Verstoß gegen diese Verordnung die Zwecke und Mittel der Verarbeitung bestimmt, in Bezug auf diese Verarbeitung als Verantwortlicher.“

Der Auftragnehmer wurde also zum Verantwortlichen, der Daten ohne Rechtsgrundlage und damit widerrechtlich verarbeitete hat. Keine Rolle, in die sich der Dienstleister finden möchte, denn die Auswirkungen sind immens: Information an den Betroffenen (Artikel 15 EU-DS-GVO), wg. der rechtsgrundlosen Verarbeitung eine Meldung an die Aufsichtsbehörde (Artikel 33 (1) DS-GVO) etc. In unserem Fall hätten wir also einen Auftraggeber und einen Auftragnehmer, die beide gegen den Datenschutz verstoßen haben.

Ob die beiden Beteiligten faktisch die Aufgabe unter sich aufgeteilt haben, evtl. gemeinsam Verantwortliche nach Artikel 26 DSGVO geworden sind, möchte ich hier nicht erörtern.

Das sagen die Aufsichtsbehörden

Im Jahr 2016 äußerte sich das Bayerische Landsamt für Datenschutzaufsicht ein einem Papier1 „Dies könnte bei bestimmten Tätigkeiten, wie bei einer rein technischen Wartung, unter Umständen nicht zu einer Qualifikation als Auftragsverarbeiter und zu einer Anwendung von Ar. 28 DS-GVO führen.“ Offen bleibt hier, was unter einer „rein technischen Wartung“ zu verstehen ist. Die Datenschutzkonferenz (DSK) wird in Ihrem „Kurzpapier Nr. 13 – Auftragsverarbeitung, Art. 28 DS-GVO“ vom 16.01.2018 dann exemplarischer:

„besteht in diesem Rahmen [IT-Wartung oder Fernwartung (z. B. Fehleranalysen, Support-Arbeiten in Systemen des Auftraggebers)] für den Auftragsverarbeiter die Notwendigkeit oder Möglichkeit des Zugriffs auf personenbezogene Daten, so handelt es sich im Hinblick auf die weite Definition einer Verarbeitung in Art. 4 Nr. 2 DS-GVO (z. B. Auslesen, Abfragen, Verwenden) ebenfalls um eine Form oder Teiltätigkeit einer Auftragsverarbeitung und die Anforderungen des Art. 28 DS-GVO – wie etwa der Abschluss eines Vertrages zur Auftragsverarbeitung – sind umzusetzen. Anders ist dies bei einer rein technischen Wartung der Infrastruktur einer IT durch Dienstleister (z. B. Arbeiten an Stromzufuhr, Kühlung, Heizung).

Zum einen geht es nicht nur um Notwendigkeit, es reicht die reine Möglichkeit des Zugriffs auf personenbezogene Daten aus. Außerdem sind konkrete Beispiele aufgeführt. Und betrachten wir Arbeiten an Stromzufuhr, Kühlung, Heizung, so ist offensichtlich: Mit Kundendaten kommt der Heizungsmonteur evtl. durch einen zufälligen Blick auf einen Bildschirm beim Entlüften der Heizung in Kontakt. Sicherlich ein anderer Fall, als wenn direkt am datenhaltenden System gearbeitet wird.

Und damit wird auch das fünfte Beispiel von oben beantwortet: Hier liegt keine Auftragsverarbeitung vor. In diesem Fall kam es zu einem Datenverstoß beim Auftraggeber, er hätte bessere Maßnahmen zum Datenschutz umsetzen müssen.

Fazit

Auftraggeber und Auftragnehmer haben beide ein großes Interesse an der Klarheit der Auftragsverarbeitung.

Faktisch lässt sich in einem Bereich die Entscheidung für oder wider Auftragsverarbeitung durch technische und organisatorische Maßnahmen gestalten: Kann und wird die Möglichkeit des Zugriffs auf personenbezogene Daten durch den Auftragnehmer ausgeschlossen, so entfällt ein Vertrag zur Auftragsverarbeitung. Besteht jedoch dies Möglichkeit, so liegt Auftragsverarbeitung vor.

Natürlich haben beide Parteien durch einen Vertrag zur Auftragsverarbeitung mehr Aufwand: Sowohl für den Vertragsschluss als auch in der Durchführung. Insbesondere der Auftragsverarbeiter bekommt klar definierte Pflichten auferlegt. Die größere Sicherheit in der Verarbeitung der Daten wiegt diesen Mehraufwand jedoch auf.

Es ist daher sehr zu empfehlen, lieber einen Vertrag zur Auftragsverarbeitung zu viel als einen Vertrag zu wenig zu schließen.

1(EU-Datenschutz-Grundverordnung (DS-GVO) – Das BayLDA auf dem Weg zur Umsetzung der Verordnung

Leitfaden Verarbeitungstätigkeiten aktualisiert

11. Mai 2018

Eine wichtige Frage bei der Erstellung des Verzeichnisses der Verarbeitungstätigkeiten nach Artikel 30 der EU-DSGVO ist die Frage der „Kleinteiligkeit“:

Was ist eine einzelne Verarbeitungstätigkeit? Wie kleinteilig sind die Prozesse zu zergliedern? Welche Einzelverarbeitungen können beziehungsweise sollen zu einer Verarbeitungstätigkeit zusammengefasst werden?

Antworten hierauf gibt meine Handreichung „Leitfaden Verarbeitungstätigkeiten“, die ich heute in der Version 1.1 veröffentlicht habe. Beschrieben werden die Kriterien, nach denen Sie als Verantwortlicher bei der Erstellung des Verfahrensverzeichnisses vorgehen sollten. Und natürlich finden Sie Beispiele aus der Praxis, die die theoretischen Überlegungen „greifbar machen“.

Wo finden Sie den Leitfaden Verarbeitungstätigkeiten:

Als Kunde finden Sie diese Handreichung in Ihrem Cloud-Bereich. (Noch)-Nicht-Kunden sprechen mich gerne an.

Lange nichts gelesen: Über neue Datenschutzberater und die Goldgräberstimmung in der Branche.

6. Mai 2018

Zwei Jahre lange wurde dieser Blog von mir ziemlich stiefmütterlich behandelt. Kurz zusammengefasst: zu viel zu tun. In den letzten zwei Jahren hat sich viel zum Thema Datenschutz getan: Ich schreibe hier nur „EU-Datenschutzgrundverordnung“. Und obwohl die Arbeitsmenge aktuell – viele Organisationen wachen erst jetzt, zum Zeitpunkt des Ablaufes der zweijährigen Übergangszeit auf – nachwievor zu und nicht abnimmt, so ist es doch Zeit, dringend wieder etwas zu schreiben.

Anlass ist die offensichtliche Goldgräberstimmung bei durchaus zweifelhaften Datenschutzberatern und Datenschutzbeauftragten.

Viele Kollegen – natürlich sind auch die Kolleginnen gemeint – sind seit vielen Jahren tätig, haben die Entstehung der DSGVO begleitet, ihre Stärken und Schwächen analysiert, teilen die Meinung, dass der Grundsatz der DSGVO gut ist und sehen aber auch die Schwierigkeiten in der Umsetzung, gerade für kleinere und mittelständische Organisationen. Sie erarbeiten Wege, ihre Kunden Grundverordnungskonform aufzustellen. Viele ächzen unter der Mehrbelastung und der Problematik, die Rollenverschiebung in der Tätigkeit des betrieblichen Datenschutzbeauftragten zu vermitteln.

Datenschutz ist noch anspruchsvoller geworden, als es als in den letzten Jahren schon war. Die Dokumentationspflichten, sowohl für die verantwortlichen Stellen als auch für die betrieblichen Datenschutzbeauftragten, werden durch die DSGVO erheblich umfangreicher. Zusätzlich wächst das Haftungsrisko für beide massiv. Und nur sorgfältige und sehr gut dokumentierte Arbeit kann diese Haftungsrisiken verbinden.

Gehen Sie, wenn Sie Mitarbeiter beschäftigen, in sich: Kennen Sie z. B. die genauen Rechtsgrundlagen der Datenübermittlung von Beschäftigtendaten an die Finanzbehörden? Sie müssten diese Wissen, um Ihr Verzeichnis der Verarbeitungstätigkeiten korrekt zu führen. Und wissen Sie die korrekten Löschfristen? Sagen Sie jetzt bitte nicht pauschal „10 Jahre“. Wenn Sie dieser Meinung sind, die leider an vielen Stellen zu lesen ist, würde ich mich freuen, wenn Sie mir Ihre Begründung für diese Frist mitteilten.

Was ich vermitteln will: Auf viele Fragen, warum welche personenbezogene Daten auf welche Weise verarbeitet werden, bekomme ich bei Interessenten und Neukunden die Antwort – einfach ausgedrückt „das haben wir schon immer so gemacht“. Doch diese Antwort ist sicherlich angesichts der drohenden Folgen bei Datenschutzverstößen eher suboptimal.

Neue Märkte für Datenschutzberater?

Und ich beobachte mit Schrecken, wie neue Angebote aus dem Boden sprießen: Das „Datenschutzsorglospaket“ für 500 € pro Jahr – inklusive betrieblichem Datenschutzbeauftragtem, Datenschutzhandbuch, Formularen und Zertifikat. Bedenken Sie: Für die korrekte Bestellung eines betriebliche Datenschutzbeauftragten sind Sie als verantwortliche Stelle zuständig. Ist dieser fachlich nicht geeignet oder kommen recht offensichtlich seinen Überwachungsfunktionen Ihnen gegenüber nicht nach, so begehen Sie den Datenschutzverstoß. Ich bekomme Unterlagen, die offensichtlich aus diversen Quellen im Internet zusammen kopiert wurden und nun für teuer Geld an unbedarfte Unternehmen als Weisheiten verkauft werden. Problematisch ist weniger das Geld, das hierfür ausgegeben wird. Problematisch ist, das sich Unternehmen auf diese „Informationen“ vertrauen – und dann Datenschutzverstöße begehen.

Überlegen Sie, wie hochwertig ein qualifizierter Datenschutzbeauftragter, ob Jurist oder Ingenieur oder Informatiker, für 500 € pro Jahr den Datenschutz in Ihrem Unternehmen überwachen kann, Sie beraten kann, Sie unterstützen kann. Es tut mir leid: Eine Organisation datenschutzgrundverordnungskonform aufzustellen, ist teurer.