Archive for November 2011

Metropolrad Ruhr – Nextbike GmbH und der Datenschutz

Mittwoch, 23. November 2011

Ein Beispiel aus der Realität

Eine gute Idee: Im Ruhrgebiet kann man an vielen Stellen kurzzeitig und kurzfristig ein Fahrrad mieten und auch an anderer Stelle zurückgeben. Gerade in dieser dichtbesiedelten Region ist dies ein sehr sinnvolles Angebot. Betrieben wird dieses von der Firma nextbike GmbH aus Leipzig.

Um die Fahrradmiete zu nutzen, musste man sich bei der nextbike GmbH registrieren, hierbei wurden auch personenbezogene Daten auf der Seite der nextbike GmbH erfasst: Name, Vorname, Adresse, E-Mail etc. Bei der Zahlungsart „Kreditkarte“ wurde man auf die Seite der Firma „RBS Worldpay“ umgeleitet und dort aufgefordert, die klassischen Kreditkartendaten einzugeben.

Ein Hinweis, dass die Adresse etc. von der nextbike GmbH an den Zahlungsdienstleister RBS Worldpay oder andere Dritte weitergegeben wurde, fand sich weder in den AGB, noch in den Datenschutzhinweisen.

Registrierte man sich, folgte eine Mail der „Royal Bank of Scotland (RBS)“ mit Zugangsdaten zum System der RBS und dort konnte man feststellen, dass sämtliche Kontaktdaten von der Firma nextbike GmbH weitergegeben worden waren. Ein klarer und eindeutiger Verstoß gegen das Bundesdatenschutzgesetz.

Die Intervention des sächsischen Datenschutzbeauftragten führte schließlich dazu, dass AGB und Datenschutzhinweise angepasst wurden, weniger Daten als Pflichtangaben erfasst wurden und eine Kontaktadresse des Datenschutzbeauftragten veröffentlicht wurde.

Empfehlungen

Offensichtlich hatte die Firma nextbike GmbH vor der Intervention des Landesdatenschutzbeauftragten keinen betrieblichen Datenschutzbeauftragten oder dieser war in die Prozesse nicht richtig eingebunden worden. Sonst wäre die Intervention des Landesdatenschutzbeauftragten sicherlich nicht notwendig gewesen, der Aufwand von AGB-Anpassungen usw. wäre gespart worden.

Dieses Beispiel aus der Praxis zeigt, wie wichtig datenschutzrechtliche Beratung für Unternehmen ist. Wenn Sie in Ihrem Unternehmen personenbezogene Daten von Kunden, Lieferanten oder Mitarbeitern erfassen oder verarbeiten: Sprechen Sie mich an und klären Sie so die Zulässigkeit der Datenverarbeitung ab. Das erspart Ihnen unangenehme Nachfragen von Aufsichtsbehörden und gibt Ihnen Rechtssicherheit.

Das haben wir schon immer so gemacht …

Freitag, 4. November 2011

Heute begegnete mir dieser Spruch leider wieder einmal, wörtlich lautete er: „Wir geben die Daten seit 20 Jahren in dieser Form weiter, da ist noch nie etwas passiert.“ Solche Aussagen zu hören, schmerzen jeden Datenschützer und auch jeden Betroffenen. Sie erlauben aber auch einen erschreckenden Einblick in die Mentalität vieler Verantwortlicher. Mein Gesprächspartner hatte Recht: Es war noch nie etwas passiert, kein Kunde hatte bisher nachgefragt und glücklicherweise waren auch noch keine Daten missbraucht worden. Trotzdem musste ich den Unternehmer aufmerksam machen. Zum einen ist sein Handeln illegal. Auch wenn es bisher noch nicht aufgedeckt wurde oder zu Schäden gekommen ist, ändert dies nichts an dem Gesetzesverstoß.

Viel schwerer wiegt jedoch das Risiko, welches er in Bezug auf seine Kunden, aber auch in Bezug auf sein eigenes Unternehmen eingeht. Seine Kunden vertrauen ihm Daten im Vertrauen darauf an, dass er mit den Daten korrekt umgeht und genau dieses Vertrauen enttäuscht er, wenn er nicht die notwendigen Maßnahmen zum Datenschutz durchführt. Er setzt dadurch seine Kunden wissentlich dem Risiko des Datenmissbrauchs aus. Aber er bringt auch sich selbst und sein Unternehmen in Gefahr: Wenn etwas passiert oder seine Vorgehensweise bekannt wird, drohen hoher Imageverlust, Schadenersatzforderung und Bußgeld. Und dies muss doch eigentlich nicht sein.

Im weiteren Gespräch kam heraus, dass Daten früher per Fax weitergegeben wurden und dies heute per E-Mail – wohlgemerkt unverschlüsselt – geschieht. Die Daten gehen immer zu den selben Empfängern, ein Wechsel der Empfänger findet nur sehr selten statt. Dass die Daten überhaupt übermittelt werden, kann der Kunde sich zwar denken, zumindest dann, wenn er sich mit dem Thema näher beschäftigt. Über die Datenweitergabe aufgeklärt wurde der Kunde jedoch nicht, geschweige denn seine Einwilligung eingeholt.

Um es klarzustellen: Ich bin bei diesem Unternehmen kein Datenschutzbeauftragter. Trotzdem habe ich den Unternehmer dringend angeraten, fachlichen Rat einzuholen und ihm folgende Lösung skizziert, die mit sehr wenig Aufwand unzusetzen ist:

  1. Der Unternehmer muss seine Kunden dringend über die Übermittlung der Daten aufklären und die Einwilligung zur Übermittlung einholen. Denn nach meiner ersten Anschauung greift keine Übermittlungserlaubnis z.B. nach § 28 (2) BDSG.
  2. Der Unternehmer sollte die Daten per E-Mail nur verschlüsselt, z.B. mit OpenPGP übertragen. Da es sich ja nur um wenige Empfänger handelt, ist es sehr einfach, ein solches Verfahren umzusetzen.