Archive for Februar 2019

Vertrauliche Daten in E-Mails

Freitag, 15. Februar 2019

Privat musste ich den Stromanbieter wechseln. Ein neuer Anbieter war Dank der diversen Vergleichsportale schnell gefunden, ein Vertrag über einen dieser Vermittler schnell beantragt.

Der Vermittler stellte mir die Vertragsunterlagen über einen personalisierten Link zur Verfügung, bei dem ich mich mittels meines Geburtsdatums authentifizieren musste. Nicht optimal, besser wäre es gewesen beim Bestellprozess ein „Geheimnis“ zu vereinbaren, aber eine Möglichkeit.

Das Problem: E-Mail mit vertraulichen Daten im Klartext

Das böse Datenschutzerwachen kam dann, als der neue Versorger mir seine Auftragsbestätigung per E-Mail schickte: unverschlüsselt als für jeden lesbare PDF-Datei und inklusive sensibler personenbezogener Daten.

Ich dachte mir, dass in dem Unternehmen offensichtlich nicht genügend über Datenschutz, den aktuellen Stand der Technik und die notwendigen technischen und organisatorischen Maßnahmen zum Datenschutz nachgedacht worden war und schrieb den Datenschutzbeauftragten des Unternehmens an. Hierbei schlug ich als Lösungen die Vereinbarung eines Geheimnisses beim Vertragsschluss, eben die Verwendung des Geburtsdatums oder der Bankverbindung als Geheimnis zur Verschlüsselung oder zum Download der Unterlagen vor.

Die Stellungnahme des Unternehmens

Meine Anfrage wurde, das war positiv, sehr schnell vom Datenschutzbeauftragten von einer Mail-Adresse des Mutterkonzerns aus Süddeutschland aus beantwortet.

Der Inhalt lässt jedoch leider nicht auf zu geringes Nachdenken, sondern auf Ignoranz der Risiken schließen. Ich zitiere wörtlich:

[…] Nach Ziffer 6 der AGB der [Namen des Unternehmens entfernt] für Strom- oder Gaslieferverträge verpflichtet sich die [Namen des Unternehmens entfernt] zur Online-Kommunikation mit dem Kunden. Dies bedeutet u.a., dass die [Namen des Unternehmens entfernt] die vertragliche Korrespondenz dem Kunden per E-Mail sendet oder in den passwortgeschützten Online-Kundenbereich „Mein [Namen des Unternehmens entfernt]“ einstellt. Mit der Tarifauswahl entscheidet sich der Kunde freiwillig für diese Form der Kommunikation und bestätigt diese über das Einverständnis in die AGB per Opt-In.[…]

Antwort des Datenschutzbeauftragten, Firmen- und Produktnamen entfernt

Der Vollständigkeit halber sei der Passus aus den AGB hier auch aufgeführt:

(1) Wenn Sie sich für Online-Kommunikation entschieden haben, werden Rechnungen und sämtliche sonstigen Mitteilungen zur Durchführung dieses Stromvertrags Ihnen per E-Mail zugesendet oder in Ihrem persönlichen „Mein [Namen des Unternehmens entfernt]“ Bereich als PDF-Dateien zur Verfügung gestellt.
[Namen des Unternehmens entfernt] wird Sie stets über eine neue Einstellung in Ihrem „Mein [Namen des Unternehmens entfernt]“ Bereich per E-Mail informieren. Sie verzichten ausdrücklich auf den postalischen Versand von Rechnungen und sonstigen Mitteilungen durch [Namen des Unternehmens entfernt]. [Namen des Unternehmens entfernt] behält sich das Recht vor, einzelne Mitteilungen, wie z. B. Mahnungen, per Post versenden zu dürfen.
(2) [Namen des Unternehmens entfernt] stellt Ihnen zur Abwicklung des Vertrags einen passwortgeschützten persönlichen Zugang zum geschlossenen „Mein [Namen des Unternehmens entfernt]“ Bereich online zur Verfügung. Hierfür müssen Sie sich mit Ihrer E-Mail Adresse und einem Passwort registrieren. Um die Online-Vertragsabwicklung gewährleisten zu können, sind Sie verpflichtet, die technischen Voraussetzungen, wie insbesondere Zugang zu einem PC mit Internetanschluss und installiertem Browserprogramm und E-Mail-
Adresse, zu schaffen sowie zu unterhalten. Sie sind verpflichtet, [Namen des Unternehmens entfernt] stets eine aktuelle empfangsbereite E-Mail-Adresse anzugeben

relevanter Auszug aus den AGB des Versorgers, Firmen- und Produktnamen entfernt

Bewertung der Antwort des Datenschutzbeauftragten

Die Antwort des Datenschutzbeauftragten und das Verhalten des Unternehmens kranken hier gleich an zwei wichtigen Punkten:

  1. Bedeutet eine Vereinbarung zur elektronischen Kommunikation keine Vereinbarung zur unsicheren elektronischen Kommunikation. Es gibt technische Maßnahmen, auch elektronischen Kommunikation sicher zu machen und diese Maßnahmen sind von Unternehmen als Verantwortlichen zu ergreifen.
  2. Außerdem kann eine „Einwilligung in AGB“, die durch das Setzen eines Hakens stattgefunden hat, niemals eine datenschutzrechtliche Einwilligung i.S.d. Artikels 7 DSGVO sein. Es fehlen Aufklärung des Betroffenen, Hervorhebung der Erklärung etc.

Das Verhalten macht also leider deutlich, dass man sich bei dem Unternehmen entweder zu wenig Gedanken um den Schutz der sensiblen Kundendaten gemacht hat oder sich bewusst gegen den Datenschutz entschieden hat und damit die Rechte seiner Kunden bewusst verletzt oder keine Kompetenz in diesem Bereich besitzt. Ich finde keine dieser Möglichkeiten Vertrauen erweckend.

Dass der Datenschutzbeauftragte des Unternehmens offensichtlich mit dem Unternehmenshandeln übereinstimmt, stimmt mich nicht nur traurig, es lässt mich an der Aufgabenwahrnehmung zweifeln.

Fazit und Lehre

  • Wenn Sie E-Mail als Verantwortlicher als Kommunikationsform nutzen, so nutzen Sie bitte auch die Möglichkeiten, die personenbezogenen Daten zu schützen: Nutzen Sie verschlüsselte Archive. Ein Passwort / Geheimnis können Sie mit Ihren Kunden direkt beim Vertragsschluss vereinbaren oder Sie nutzen ein Geheimnis, das beim Vertragsschluss automatisch angefallen ist und nicht allgemein bekannt ist. Beispiele sind die Bankverbindung des Kunden, ggf. verknüpft mit dem Geburtsdatum etc.
  • Wenn sich Kunden bei Ihnen mit einem Datenschutzverstoß oder auch nur einem Hinweis beschweren, so überlegen Sie bitte, ob die Hinweise evtl. eine Grundlage haben. Denn seien wir ehrlich: Unsere Prozesse sind nicht fehlerfrei und durch Fehler und Hinweise können wir lernen und unsere Prozesse verbessern. Das ist auch Datenschutzmanagement und eine der Verpflichtungen, die uns die DSGVO aufgibt.
  • Und wenn Sie eine Einwilligung als Rechtsgrundlage, als Begründung heranziehen, dann achten Sie darauf, dass diese auch wirklich korrekt angefordert und erteilt worden ist, beachten Sie die Anforderungen des Artikels 7 der DSGVO.


TOMs alleine machen nicht glücklich

Dienstag, 12. Februar 2019

Vorhin wurde ich von einem befreundeten Unternehmer angesprochen, dem von seinem Auftraggeber ein Auftragsverarbeitungsvertrag und ein Fragebogen vorgelegt worden war. Der befreundete Unternehmer soll als Auftragsverarbeiter seine TOMs, seine „technischen und organisatorischen Maßnahmen zur Sicherstellung des Datenschutzes“ aufführen.

TOMs-Checklisten

Wie leider üblich, führte der Fragebogen, im konkreten Fall geordnet nach der Sortierung der Anlage zu §9 des alten BDSG (1990), eine Reihe technischer und organisatorischer Maßnahmen auf, die der Auftragsverarbeiter ankreuzen solle, ob er diese erfülle. Der Vertrags zur Auftragsverarbeitung war – auch hier war offensichtlich ein Muster aus dem Internet genommen worden – zwar hinsichtlich der zu Regelnden Punkte nach Artikel 28 DSGVO korrekt: alle zu regelnden Punkte waren angesprochen. Er war jedoch im Hinblick auf die Leistungsbeschreibung bemerkenswert unkonkret. Offensichtlich hatten sich Auftraggeber und Auftragnehmer im Groben geeinigt, dass man zusammen arbeiten wolle und festgestellt, dass dann wohl personenbezogene Daten von Auftraggeber zum Auftraggeber flössen. Vermutlich war dem Auftraggeber gesagt worden, dann bräuchte er einen AVV, Muster gäbe es im Internet.

Doch bevor man sich Gedanken über TOMs macht, muss man sich über die Daten und die Datenverarbeitung Gedanken machen. Man muss zuerst wissen was man tut bzw. tun möchte. Dann kann man die Risiken ermitteln und bewerten und dann die adäquaten TOMs festlegen und umsetzen.

Es ist nicht sinnvoll, allgemein – ohne Wissen der Verarbeitung – über TOMs zu schreiben. TOMs müssen zur Verarbeitung passen. Wird ein Auftragsverarbeiter gefragt, ob er ein Schließsystem einsetzt, wird er, wenn er ein solches einsetzt, sicherlich mit „Ja“ antworten – leider ist das wenig hilfreich, wenn genau der Bereich, in dem die Daten des Auftraggebers verarbeitet werden, davon nicht erfasst werden. Und seien wir ehrlich: Die Mitarbeiter, die den Fragebogen dann ausfüllen, handeln im besten Wissen und Gewissen. Haben Sie, wie in meinem Beispielfall, nur den Fragebogen, so sind sie chancenlos, diesen sinnvoll auszufüllen.

Die Seite des Auftraggebers

Daher, liebe Auftraggeber: Beschreiben Sie die Leistungen genau, beschreiben Sie genau, welche Daten wie verarbeitet werden sollen. Definieren Sie, gemeinsam mit dem Auftragnehmer, die TOMs. Aber überlassen Sie Ihren Auftragnehmern nicht irgendwelche „Checklisten“, die diese dann ohne Hintergrundwissen ausfüllen müssen.

Die Seite des Auftragnehmers

Und liebe Auftragnehmer: Wenn Sie Ihre TOM-Listen an die Auftraggeber geben, so geben Sie die TOM-Listen immer gemeinsam mit den jeweiligen Leistungsbeschreibungen ab. Damit klar ist: Für Datenverarbeitung in Verbindung mit Leistung „A“ werden die TOMs „TA“ eingehalten.

Und noch einmal an die Auftragnehmer: Wenn Sie Checklisten von einem Auftraggeber bekommen, die Sie „abhaken“ sollen: Prüfen Sie, ob die Leistung konkret im Vertrag beschrieben ist und beziehen Ihre Antworten nur auf die Datenverarbeitung in Verbindung mit dieser Leistung. Konkretisieren Sie ggf. mit dem Auftraggeber die Leistungsbeschreibung.

Fazit

Auftragsverarbeitung und TOMs bedeuten nicht das lästige Schließen von Verträgen und das Abhaken von Checklisten. Auftragsverarbeitung bedeutet, sich gemeinsam, Auftraggeber mit Auftragnehmer, Gedanken über die Datenverarbeitung und den Datenschutz zu machen, gemeinsam mögliche Risiken aufzudecken und zu bewerten und gemeinsam für die konkrete Datenverarbeitung sinnvolle TOMs zu entwickeln.

DSGVO: Was bedeutet die Pflicht zur Angabe der Rechtsgrundlagen in den Betroffeneninformationen

Freitag, 1. Februar 2019

Die Artikel 13 und 14 der EU Datenschutz-Grundverordung (DSGVO) legen dem Verantwortlichen komplexe Informationspflichten auf. Insbesondere verlangen sie, dass der Verantwortliche dem Betroffenen „die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung“ mitteilt.

Nun benennt Artikel 6 (1) der DSGVO die Rechtsgrundlagen der Datenverarbeitung eigentlich abschließend. Es handelt sich um die Datenverarbeitung

  • auf Grund einer Einwilligung des Betroffenen (lit. a),
  • zur Vertragserfüllung oder zur konkreten Vertragsanbahnung (lit. b),
  • zur Erfüllung einer gesetzlichen Verpflichtung (lit. c),
  • zum Schutz lebenswichtiger Interessen (lit. d),
  • zur Wahrnehmung einer Aufgabe im öffentlichen Interesse (lit. e) oder
  • zur Wahrung berechtigter Interessen (lit. f).

Generell verlangt die DSGVO ein sehr hohes Maß an Transparenz (z. B. die Information in „präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“, Artikel 12 DSGVO). Der Betroffene soll, plastisch ausgedrückt, nach der Information durch den Verantwortlichen wissen, worum es geht und warum was mit seinen Daten gemacht wird.

Zu Artikel 6 (1) lit. f der DSGVO legt die Verordnung beispielsweise fest, dass der Betroffene nicht nur informiert werden muss, dass seine Daten auf Grund der Wahrung eines berechtigten Interesses verarbeitet werden. Vielmehr muss das konkrete Interesse beschrieben werden.

In Bezug auf Artikel 6 (1) lit. c weisen viele Muster und daraus folgend viele Informationen nach Artikel 13 bzw. Artikel 14 DSGVO meines Erachtens nach massive Lücken auf, sind daher unvollständig und daher ungenügend. Diese Muster nennen nämlich als Rechtsgrundlage lediglich „Artikel 6 (1) lit. c“. Sie geben also lediglich an, dass die Datenverarbeitung „zur Erfüllung einer rechtlichen Verpflichtung erforderlich“ sei, ohne die konkrete rechtliche Verpflichtung zu benennen.

Bei diesem Vorgehen kann der Betroffene natürlich nicht beurteilen, geschweige denn überprüfen, ob die Datenverarbeitung rechtmäßig ist. Woher soll der Betroffene wissen, welchen rechtlichen Verpflichtungen der Verantwortliche unterliegt?

Unabhängig von den Informationspflichten gegenüber den Betroffenen benötigt der Verantwortliche eine Rechtsgrundlage für die Datenverarbeitung. Er muss also, wenn er sich auf Artikel 6 (1) lit. c beruft, selbst genau wissen, welche rechtliche Verpflichtung ihn trifft.

Auch hieraus folgt, dass der Verantwortliche die genauen gesetzlichen Bestimmungen ermitteln und dann auch aufführen muss, aus der sich die Verpflichtung zur konkreten Datenverarbeitung ergibt.

Für die Personaldatenverarbeitung reicht es also nicht aus, pauschal zu schreiben, man müsse die personenbezogenen Daten wie Name, Vorname, Adresse, Steuernummer, Sozialversicherungsnummer etc. verarbeiten, weil man als Verantwortlicher einer rechtlichen Verpflichtung unterliege. Nein, der Verantwortliche muss die konkreten Bestimmungen des SGB, der AO etc. aufführen.

Leider haben sich die Anbieter von Musterlösungen für die Informationen nach Artikel 13 / 14 DSGVO selten die Mühe gemacht, die genauen Bestimmungen zu ermitteln und aufzuschreiben. Um es offen zu sagen: Außer meinen eigenen Mustern ist mir kein weiteres Muster bekannt, welches die konkreten Angaben enthält.

Falls Sie als ein anderer Anbieter von Musterlösungen für die Informationen nach Artikel 13 / 14 DSGVO diesen Artikel hier lesen sollten und ebenso wie ich den Aufwand der komplexen Recherche betrieben und entsprechende Muster erarbeitet haben, so nehmen Sie doch bitte mir mir Kontakt auf. Sehr gerne würde ich mit Ihnen gemeinsam ein möglichst vollständiges Archiv solcher Musterlösungen aufbauen und ggf. gemeinsam anbieten.

Und wenn Sie, liebe Leserin, lieber Leser eine verantwortliche Stelle vertreten und für sich diese Informationen nach Artikel 13 / Artikel 14 DSGVO erstellen müssen, selbst wissen müssen bzw. wissen wollen, was im Einzelfall die konkreten gesetzlichen Grundlagen sind, so nehmen Sie bitte auch mit mir Kontakt auf und fragen nach meinen Musterlösungen.