EuGH erklärt Safe Harbor für ungültig – und nun?

8. Oktober 2015

Nachdem der EuGH das Safe-Harbor-Abkommen zwischen der EU und den USA faktisch als keine zulässige Grundlage für eine Datenübermittlung in die USA sieht, stellt sich für Unternehmen nun die Frage, welche Grundlagen es geben könnte.

Generell gibt es vier weitere Möglichkeiten, die als rechtliche Grundlage für eine Übermittlung dienen könnten:

  1. Eine gesetzliche Ausnahme nach §4c (1) BDSG besteht, wenn der „Betroffene seine Einwilligung gegeben hat“. Inzwischen wird jedoch diskutiert, ob eine solche Einwilligung gültig gegeben werden kann. Eine wirksame Einwilligung setzt voraus, dass der Betroffene sich der Tragweite seiner Einwilligung bewusst ist. Und es ist fraglich, ob der „Durchschnittsbürger“ sich der Auswirkungen der Einwilligung angesichts der umfassenden staatlichen Überwachung, dem Verzicht auf Rechtsschutz und Auskunftsrecht bewusst ist oder bewusst sein kann.
  2. Die zweite Ausnahme erlaubt „die Übermittlung für die Erfüllung eines Vertrags zwischen dem Betroffenen und der verantwortlichen Stelle oder zur Durchführung von vorvertraglichen Maßnahmen, die auf Veranlassung des Betroffenen getroffen worden sind“. Ist also eine solche Übertragung für die Vertragserfüllung zwingend erforderlich, so ist diese erlaubt. Ein Beispiel wäre z. B. die Buchung eines Zimmers in einem Hotel in den USA über eine deutsche Buchungsplattform.
  3. Auf die weiteren gesetzlichen Ausnahmen, bei juristischen Auseinandersetzungen, bei öffentlichem Interesse und bei Gefahr für Leib und Leben des Betroffenen gehe ich hier nicht weiter ein.
  4. Ferner ist die Datenübertragung erlaubt, wenn im Vertrag zwischen den Unternehmen die EU-Standardvertragsklauseln wörtlich verwendet wurden. Jedoch wurden auch diese Klauseln von der Europäischen Kommission erstellt – und genau hier liegt ja der Kritikpunkt des EuGH. Es könnte also durchaus sein, der der EuGH auch die EU-Standardvertragsklauseln als pauschale Erlaubnis für eine Datenübermittlung als nicht ausreichend betrachtet.
  5. Die letzte Ausnahme betrifft den Fall der konzerninternen Datenübermittlung. Wenn es sogenannte „Binding Corporate Rules“, also verbindliche Konzernregeln gibt, die sicherstellen, dass das europäische Datenschutznivau eingehalten wird, ist eine Übermittlung erlaubt. Aber eben angesichts der juristischen Situation in den USA mit den entsprechenden Verpflichtungen für US-Unternehmen, mit den dortigen Behörden zusammen zu arbeiten und angesichts der behördlichen Überwachungsmaßnahmen stellt sich auch hier die Frage, ob es solche Regeln aktuell geben kann.

Fazit

Der meines Erachtens nach einzig zulässige Weg, personenbezogene Daten in die USA zu übermitteln, führt, wenn nicht eine der oben aufgeführten gesetzlichen Ausnahmen nach Punkt 2 oder Punkt 3 gegeben ist, über die Einwilligung des Betroffenen unter umfassender Aufklärung des Betroffenen, eine Aufklärung, die angesichts der Komplexität der Materie kaum geleistet werden kann. Doch wie sollen Unternehmen nun agieren? Sollen sie schlagartig alle Verträgen mit US-Unternehmen fristlos kündigen? Oder sollen sie weiter machen wie bisher? Die konkreten Handlungsempfehlungen folgen in einem weiteren Artikel.

EuGH erklärt Safe Harbor für ungültig – eine erste Analyse

6. Oktober 2015

In der Rechtssache C-362/14 (Maximillian Schrems gegen die irische Datenschutz-Aufsichtsbehörde bzgl. der Datenübermittlung in die USA innerhalb des Facebook-Konzerns) ist der Europäische Gerichtshof (EuGH) der Einschätzung des Generalanwaltes Yves Bot weitgehend gefolgt. Er „erklärt die Entscheidung der der [europäischen] Kommission, dass die Vereinigten Staten von Amerika ein angemessenes Schutzniveau übermittelter personenbezogener Daten gewährleisten, für ungültig“. Er stellt fest, dass die europäische Kommission kein Recht hat, „die Befugnisse, über die die nationalen Datenschutzbehörden aufgrund der Charta der Grundrechte der Europäischen Union und der Richtlinie verfügen, [… zu …] beseitigen noch auch nur [zu] beschränken“. Dies bedeutet, dass es den nationalen Datenschutzbehörden zu beurteilen zukommt, ob in einem Land, in das personenbezogene Daten übermittelt werden sollen, ein angemessenes Datenschutzniveau herrscht.

Das Prüfungsrecht, ob in einem Land außerhalb der EU ein angemessenes Datenschutzniveaus besteht, obliegt also den nationalen Datenschutzbehörden – und nicht der Europäischen Kommission.

Der EuGH stellt nicht fest, dass eine Übermittlung personenbezogener Daten in die USA generell nicht möglich ist. Er stellt lediglich fest, dass dies von den zuständigen nationalen Behörden überprüft werden muss (weiter aus der Pressemeldung zu dem Urteil):

Aus all diesen Gründen erklärt der Gerichtshof die Entscheidung der Kommission vom 26. Juli 2000 für ungültig. Dieses Urteil hat zur Folge, dass die irische Datenschutzbehörde die Beschwerde von Herrn Schrems mit aller gebotenen Sorgfalt prüfen und am Ende ihrer Untersuchung entscheiden muss, ob nach der Richtlinie die Übermittlung der Daten der europäischen Nutzer von Facebook in die Vereinigten Staaten auszusetzen ist, weil dieses Land kein angemessenes Schutzniveau für personenbezogene Daten bietet.

Zwischen den Zeilen der Pressemeldung geht jedoch hervor, dass Seitens des EuGH zumindest erhebliche Skepsis hinsichtlich des Datenschutzniveaus in den USA vorliegt, da „die amerikanischen Unternehmen ohne jede Einschränkung verpflichtet sind, die in dieser Regelung vorgesehenen Schutzregeln [Safe-Harbour] unangewandt zu lassen, wenn sie in Widerstreit zu solchen Erfordernissen [Erfordernisse der nationalen Sicherheit] stehen.“

Der EuGH stellt ferner fest, „dass eine Regelung, die keine Möglichkeit für den Bürger vorsieht, mittels eines Rechtsbehelfs Zugang zu den ihn betreffenden personenbezogenen Daten zu erlangen oder ihre Berichtigung oder Löschung zu erwirken, den Wesensgehalt des Grundrechts auf wirksamen gerichtlichen Rechtsschutz verletzt. Eine solche Möglichkeit ist dem Wesen eines Rechtsstaats inhärent.“

Für Unternehmen bedeutet dies, dass Übermittlungen von personenbezogenen Daten, die auf der Basis des Safe-Harbour-Abkommens begründet wurden, mit an Sicherheit grenzender Wahrscheinlichkeit rechtswidrig sein werden.

Doch gibt es trotzdem Möglichkeiten, US-amerikanische Cloud-Dienstleister zu nutzen oder Daten an die eigene Tochter- / Mutterfirma in die USA zu übermitteln? Lesen Sie dies im zweiten Teil des Artikels.

Berufliche WhatsApp-Nutzung illegal – zumindest fast immer

10. Dezember 2014

Aus aktuellem Anlass sei darauf hingewiesen: Für Firmen in Deutschland – und auf Grund des vergleichbaren Datenschutzniveaus sogar in ganz Europa – ist die Nutzung der beliebten App WhatsApp illegal. Und zwar immer dann, wenn sich auf dem Smartphone personenbezogene Daten befinden, für die die Firma verantwortlich ist. Z. B. darf ein Vertriebsmitarbeiter mit den Telefonnummern der Kunden auf seinem Smartphone kein WhatsApp auf seinem Smartphone installiert haben.

Dies gilt selbstverständlich auch, wenn Smartphones in Kombination privat / beruflich genutzt werden: Die Firma muss sicherstellen, dass entweder WhatsApp nicht auf dem Smartphone ist oder keine Kundenadressen / Telefonnummern auf dem Smartphone gespeichert sind.

Der Grund

Der Grund ist relativ einfach: Die App WhatsApp überträgt sämtliche Kontaktdaten zu den Servern des Unternehmens in den USA. Dieses Recht lässt sich WhatsApp einräumen

WhatsApp will periodically access your address book or contact list on your mobile phone to locate the mobile phone numbers of other WhatsApp users (“in-network” numbers)

und nutzt dieses Recht nach Beobachtungen auch. Und die Übertragung von personenbezogenen oder personenbeziehbaren Daten (Namen, Telefonnummern etc. gehören selbstverständlich dazu) ist ohne die entsprechende Rechtsgrundlage mit dem Betroffenen (also der Person, deren Daten übertragen werden) und insbesondere in ein Land mit einem geringen Datenschutzniveau wie den USA illegal.

Fazit

Das Fazit ist kurz und einfach: WhatsApp hat auf Firmensmartphones oder anderen, beruflich genutzten Smartphones nichts verloren. Und auch Privatnutzer sollten sich überlegen, ob es ihren Kontakten recht ist, dass Kontaktdaten zu WhatsApp übertragen werden.

„Lenor-Testwochen“ – Datenschutz bei Procter & Gamble

7. September 2014

Beim Zappen durch die private Fernsehwelt sah ich gestern einen Werbespot der Firma Procter & Gamble für deren Marke „Lenor“. Procter & Gamble  möchte eine neue Waschmittelmarke etablieren und bietet in den „Lenor Testwochen“ „Testen ohne Risiko: Zufrieden oder Geld zurück“. Wie leider inzwischen üblich, fand sich auf dem Bildschirm ein „Sternchen“ mit dem Hinweis auf „Teilnahmebedingungen“, die aus dem Werbespot nicht direkt hervorgingen und die ich mir auf der Webseite – unter Datenschutzgesichtspunkten – einmal genauer angesehen habe. Denn die Erfahrung zeigt, dass auch Konzerne nichts zu verschenken haben.

Datenerfassung mit Papierformular: hui

Procter & Gamble sagt zu, den Kaufpreis des getesteten Produktes zu überweisen, wenn man mit dem Produkt nicht zufrieden ist. Hierzu muss als Kaufnachweis der Kassenbon sowie Kontaktdaten und Bankverbindung zugesandt werden. Hierfür bietet Procter & Gamble zwei Möglichkeiten an:

  1. das Herunterladen, Ausfüllen und Einsenden eines Formulares sowie
  2. das Online-Ausfüllen eines Formulares, bei dem der Scan des Kassenbons hochgeladen wird.

Die Teilnahmebedingungen und das Formular zum Herunterladen fallen positiv auf: Es werden nur die notwendigen Daten erfasst, bei der E-Mail-Adresse wird auf die Freiwilligkeit der Angabe hingewiesen, es wird dargestellt „Die Erhebung Ihrer persönlichen Daten erfolgt ausschließlich im Rahmen dieser Aktion unter Einhaltung der Datenschutzgesetze. Ihre Daten werden nach Rückerstattung des Kaufbetrages wieder gelöscht.“ Da ist sogar der Datenschützer zufrieden.

Online-Formular: eher pfui

Da Procter & Gamble an mehreren Stellen darauf aufmerksam macht, dass sie die Portokosten für die Einsendung des Kassenbons nicht übernähmen, werfe ich einen Blick auf das Online-Formular – und wundere mich. Hier wird Datenschutz offensichtlich nicht ernst genommen, sondern im Gegensatz dagegen verstoßen. Procter & Gamble schreibt in der verlinkten Datenschutzerklärung: „P&G hält die Datenschutzgesetze des jeweiligen Landes ein.“ Leider offensichtlich nicht immer. Im Online-Formular

 

Lenor-Testwochen: Online-Formular

wird

  • die Angabe des Geburtsdatums zwingend gefordert – zusätzlich zu einer Erklärung, dass der Teilnehmer mindestens 18 Jahr alt sei,
  • auch die Angabe der E-Mail-Adresse ist als Pflichtfeld markiert – im Papierformular wird ausdrücklich auf die Freiwilligkeit hingewiesen,
  • das Einverständnis, dass die Daten „elektronisch und für schriftliche, telefonische oder elektronische Marketingaktivitäten und Marktforschung genutzt werden“ dürfen, wird zwingend verlangt:

    Zwangszustimmung zur Werbung

    Zwangszustimmung zur Werbung

Diese Punkte sind nach dem Bundesdatenschutzgesetz BDSG nicht erlaubt.

Ich werde Procter & Gamble bzw. die von Procter & Gamble offensichtlich beauftragte Agentur, denn die auf der Webseite genannte E-Mail-Adresse ist lauf Whois nicht auf Procter & Gamble sondern auf eine Firma „Projekt Service GmbH“ in Mainz registriert, um Stellungnahme bitten und, wenn eine Antwort erfolgt, diese gerne auch hier veröffentlichen.

Mein Rat

Seien Sie als Unternehmen konsequent und konsistent im Datenschutz: positive Eindrücke bekommen sonst schnell einen schalen Beigeschmack und untergraben die Glaubwürdigkeit.

 

 

Datenschutz und Trockenbau: Die Wandfrage, über die Absicherung von IT-Räumen

13. Februar 2014

Einbruchsschutz gehört zur IT-Sicherheit und damit auch zum Thema Datenschutz. Gerade in Büroneubauten werden Wände überlicherweise in Trockenbautechnik gesetzt. Ein Ständerwerk, welches üblicherweise mit Decke und Boden verbunden ist, wird durch Gipskartonplatten abgedeckt und z.B. mit Dämmwolle gefüllt. Eine solche Bauweise ist normalerweise billiger als klassisch gemauerte Wände. Doch jeder weiß: Gipskartonplatten sind bei weitem nicht so stabil wie Stahlbeton. Damit widersteht eine Wand aus Gipskartonplatten auch einem Eindringling weniger lang als massives Mauerwerk.

Praktische Versuche zeigen, dass auch bei doppelter Beplankung, es werden also zwei Gipskartonplatten aneinandergelegt und bilden eine Seite der Wand, analog wird auf der anderen Wandseite verfahren, ein Durchtreten der Wand möglich ist. Für den Datenschutz ist das natürlich ein unzulässiger Zustand. Doch wie kann hier gehandelt werden, wie kann die Trockenbauweise mit dem Datenschutz in Übereinstimmung gebracht werden? Schließlich besteht insbesondere bei Serverräumen eine höhere Sicherheitsnotwendigkeit. Empfehlungen findet man z.B. beim BSI, dem Bundesamt für Sicherheit in der Informationstechnik, im sogenannten „Grundschutzhandbuch“ für den Brandschutz, nicht jedoch hinsichtlich des Einbruchsschutzes. In Bezug auf den Einbruchsschutzes wird in Punkt M 1.19 lediglich darauf hingewiesen, dass geeignete und den örtlichen Gegebenheiten angepasste Maßnahmen zu ergreifen sind.

Die DIN EN 1627 unterscheidet hinsichtlich des Einbruchsschutzes zwischen verschiedenen Widerstandsklassen (RC1N bis RC6), die den Widerstand beschreiben, den die Maßnahmen einem unterschiedlich ausgerüsteten Täter entgegen setzen. Die Widerstandszeit ist jedoch bei den üblichen Widerstandsklassen relativ gering. Beispielsweise werden Gebäude von Bauplanern häufig entsprechend RC2 ausgelegt. Hier wird der  Gelegenheitstäter betrachtet, der mit einfachen Werkzeugen, wie Schraubendreher, Zange und Keil versucht, das verschlossene und verriegelte Bauteil aufzubrechen. Es wird eine Widerstandszeit von 3 Minuten betrachtet. Bei der Widerstandsklasse RC3 wird eine Widerstandszeit von 5 Minuten betrachtet und der gewohnt vorgehende Täter versucht zusätzlich mit einem zweiten Schraubendreher und einem Kuhfuß das verschlossene und verriegelte Bauteil aufzubrechen. Erst bei noch höheren Widerstandsklassen werden weitere Werkzeuge berücksichtigt und die Widerstandszeit steigt auf bis zu 20 Minuten an.

Durch die Einbringung zusätzlicher Schichten in die Trockenbauwand kann auch die Stabilität der Trockenbauwand gegenüber einer Zerstörung gesteigert werden. Übliche Möglichkeiten sind hier eine oder mehrere Stahlplatten, die mit den Gipskartonplatten verbunden werden. Hersteller nennen hier bei beidseitiger Doppelbeplankung und zwei Stahlplatten von je 0,6mm Dicke eine Widerstandsklasse von RC3. Sicherer aber auch erheblich aufwändiger ist eine Einbringung und Verschweißung eines Gitters aus Bewehrungsstahl (Moniereisen).

Diese Überlegungen zeigen, dass eine Absicherung, die alleine auf einen hohen Widerstand setzt, sicherlich nicht genügend ist. Es ist also einerseits wichtig, dem Täter einen Widerstand entgegen zu setzen, so dass insbesondere Gelegenheitstäter wegen des Widerstandes aufgeben. Gerade erfahrene Täter mit dem ausgewählten Angriffsziel werden durch solche Maßnahmen zwar behindert, vermutlich aber nicht abgewehrt. Hier ist es zusätzlich notwendig, die dem Täter zur Verfügung stehende Gesamtzeit maximal einzuschränken, z.B. durch eine Alarmanlage, deren Alarm auch ein menschliches Eingreifen, sei es durch einen Sicherheitsdienst oder die Polizei, auslöst.

Erst beide Maßnahmen gemeinsam, also die Erhöhung der Widerstandszeit gemeinsam mit einer Verkürzung der möglichen Handlungszeit, führen zu einer sinnvollen Absicherung der IT und bilden damit einen Baustein des Datenschutzes.

Misstrauen hinsichtlich der Verwendung persönlicher Daten führt zu Verbraucherfrust

25. Dezember 2013

Misstrauen hinsichtlich der Verwendung persönlicher Daten zählt zu den wichtigsten Gründen für den Frust von Verbrauchern, so geht es aus einem Bericht der Welt online am 23.12.2013 über eine aktuelle Untersuchung der Beratungsgesellschaft Accenture hervor. Dies zeigt einmal mehr, dass ein offensiver und transparenter Umgang mit dem Datenschutz zur Kundenbindung und für die Neukundengewinnung für Unternehmen extrem wichtig ist. Nutzen Sie als mein Kunde die Datenschutzberichte und Datenschutzgutachten, um Ihre Interessenten zu Kunden zu machen und Ihre bestehenden Kunden weiter an Sie zu binden. Sie sind noch kein Kunde bei mir? Sprechen Sie mich an!

Datenschutz in der Arztpraxis

20. November 2013

Vom 20. November bis zum 23. November 2013 findet in Düsseldorf wieder die Medica statt. Dies ist für mich der Anlass, für niedergelassene Ärztinnen und Ärzte ein besonderes Paket zum Thema Datenschutz in der ärztlichen Praxis zu schnüren. Informationen zu diesem Paket finden Sie auf meiner Webseite unter http://ing-buero-ludwig.de/arztpraxis/

Datenschutz im Handwerk: Artikel in Computern im Handwerk 9/2013

31. Oktober 2013

Auch im Handwerk und im Baugewerbe ist Datenschutz ein Thema. Einen knappen Überblick über das Thema Datenschutz im Handwerk und wie man die Pflicht als Handwerksunternehmen zum Vertrauensaufbau nutzen kann, gebe ich im Artikel „Datenschutz als Wettbewerbsvorteil“ in „Computern im Handwerk, Fachmagazin für Bauhaupt- und Baunebengewerbe“ in der Ausgabe 9/2013, Seite 26.

Datenschutz im Autohaus: Probleme für Marken-Autohändler

30. Oktober 2013

Kürzlich sprach ich mit der Inhaberin eines Marken-Autohauses über die Datenschutzprobleme, mit denen ihr Haus konfrontiert ist. Gerade Autohäuser mit Herstellerverträgen, also alle Marken-Autohäuser, sitzen mit den Datenschutzanforderungen zwischen den Stühlen. Hier eine Lösung zu finden, die sowohl den mit den Herstellern getroffenen Verträgen als auch dem Gesetz genügt und vor allem auch praktikabel ist, ist nicht ganz einfach.

Die Hersteller verlangen eine weitgehende Datenweitergabe. Dies betrifft sowohl klassische personenbezogenen Daten wie Namen, Adresse und Kontaktdaten der Kunden, als auch – z.B. anlässlich von Werkstattbesuchen – Fahrzeugdaten, die dann jedoch einem konkreten Kunden zugeordnet werden.

Da der Hersteller diese Daten selbst vollumfänglich verarbeiten möchte, eine Verarbeitung also nicht im Auftrag der Werkstatt oder des Autohauses erfolgt, liegt eindeutig eine Datenweitergabe von personenbezogenen Daten vor.

Das Gesetz erlaubt so eine Weitergabe durch das Autohaus an den Hersteller jedoch nur unter klar definierten Voraussetzungen:

  1. Wenn es gesetzlich explizit erlaubt ist oder
  2. die Datenweitergabe erfolgt, um einen Vertrag – mit dem Kunden, nicht mit dem Hersteller – zu erfüllen oder
  3. der Kunde der Datenweitergabe explizit und aufgeklärt zugestimmt hat.

Eine gesetzliche Erlaubnis oder gar Verpflichtung eines Autohauses oder einer Werkstatt, Kundendaten an den Hersteller weiter zu geben, gibt es natürlich nicht.

Und auch um den Kaufvertrag oder den Reparaturvertrag mit einem Kunden zu erfüllen, ist eine Datenweitergabe nicht notwendig. Auch wenn der Herstellervertrag eine solche Datenweitergabe vorgibt, so kann daraus nicht gefolgert werden, dass der Kaufvertrag sonst nicht erfüllt werden könne. Der Kaufvertrag mit dem Kunden hat nichts mit der Beschaffung des Autos durch den Händler beim Hersteller zu tun.

Es bleibt also als Rechtsgrundlage für die Datenübermittlung durch das Autohaus an den Hersteller nur die Möglichkeit, für die Datenübermittlung die Einwilligung des Kunden einzuholen. An eine solche Einwilligung hat der Gesetzgeber einige Voraussetzungen geknüpft. So muss diese freiwillig sein, der Kunde muss sich über die Folgen der Einwilligung im klaren sein, der Kunde muss also wissen, zu welchen Zwecken seine Daten weiterverarbeitet werden, usw. Schon aus Nachweisgründen ist es sinnvoll, eine solche Einwilligung schriftlich einzuholen.

Wenn Sie Fragen hierzu haben oder Muster für eine solche Einwilligungserklärung benötigen oder erfahren möchten, wie man mit Transparenz diese zusätzlichen Aufwand so gestaltet, dass die Kundenbindung erhöht wird, so wenden Sie sich gerne an mich. Denn verantwortlich für die Einhaltung des Datenschutzes ist das Autohaus oder die Werkstatt, nicht der Hersteller.

Ein weiterer Fallstrick lauert bei der von den Herstellern vorgegebenen Qualitätskontrolle durch Kundenanrufe. Wird ein solcher Anruf nämlich nicht durch das Autohaus selbst durchgeführt, sondern z.B. ein externes Callcenter damit beauftragt, so benötigt dieses ja die Kundendaten, zumindest den Kundennamen und seine Telefonnummer. Normalerweise wird hier eine sogenannte Auftragsdatenverarbeitung vorliegen, also das Callcenter macht genau das mit den Daten, was das Autohaus ihm vorgibt, juristisch bleiben die Daten quasi beim Autohaus. Eine solche Auftragsdatenverarbeitung ist unkritisch, wenn bestimmte Formalien, die in §11 des BDSG aufgeführt sind, eingehalten werden, also der Vertrag zwischen dem Autohaus und dem Callcenter entsprechend aufgesetzt wird. Gerne unterstütze ich Sie hierbei.

Es gibt jedoch auch Konstruktionen, bei denen eine sogenannte Funktionsübertragung vorliegt. In diesem Fall verarbeitet das Callcenter die Daten des Kunden im eigenen Ermessen – die Daten werden damit vom Autohaus an das Callcenter weitergegeben. Und hier sind wir wieder, wie oben bei der Datenweitergabe an die Hersteller, bei der Notwendigkeit, ein Einverständnis beim Kunden einzuholen.

Haben Sie Fragen? Gerne können Sie mich telefonisch oder per E-Mail oder Brief erreichen, hier meine Kontaktdaten.

 

IfG Institut für Grundschutz: Wie einzelne schwarze Schafe auf Kundenfang gehen und den Ruf der externen, betrieblichen Datenschutzbeauftragten schädigen

5. Oktober 2012

Harte Worte für eine Überschrift, aber anders kann man meines Erachtens nach die nachfolgend beschriebene Methode nicht beschreiben. Ein D. O. aus Düsseldorf – oder vielleicht aus Duisburg (laut dem Eintrag seiner Domäne) – schreibt zur Zeit in größerer Zahl Arztpraxen an. Dieses Schreiben versucht, einen offiziellen, quasi behördlichen Eindruck zu machen, droht mit Bußgeldern und fragt ab, wer der betriebliche Datenschutzbeauftragte ist bzw. ermöglicht gleich die Bestellung eines betrieblichen Datenschutzbeauftragten des „Instituts für Grundschutz“. In einigen Ärzteforen im Netz wird von Ärzten schon überlegt, Anzeige wg. Betruges zu stellen.

Ich warne vor einer Beauftragung dieses „Institut für Grundschutz“. Einerseits sind Methoden eines solchen Schreibens offensichtlich unseriös. Solche Methoden sind bekannt aus Bereichen der Abzocke mit vermeintlichen Aufforderungen zu Addressbucheintragen, Messekatalogen etc.

Ein Arzt, als Leiter einer verantwortlichen Stelle einen betrieblichen Datenschutzbeauftragten bestellen muss – wenn mehr als 9 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt werden – kann nur eine Person zum betrieblichen Datenschutzbeauftragten bestellen, die die notwendige Fachkunde und Zuverlässigkeit besitzt. Ob die Zuverlässigkeit bei einem Absender solcher Werbemaßnahmen gegeben ist, mag jeder selbst beurteilen.

Auch an der Fachkunde des Herrn D. O., eingetragener Kaufmann, drängen sich dem Fachmann Zweifel auf: Auf seiner Webseite, die sich zur Zeit in einem „Wartungsmodus“ befindet und nicht erreichbar ist, veröffentlichte er (Zugegriffen über den Google-Cache), ein „Verfahrensverzeichns gemäß § 4e BDSG (öffentliches Verfahrensverzeichnis)“, welches den Anforderungen des Bundesdatenschutzgesetzes in keiner Weise genügt. Auch dass das von Herrn O. und seinem „Institut für Grundschutz“ genutzte Bestellungsformular die Bestellung eben des „Instituts“ und keiner Person vorsieht ist nicht haltbar. Fachkunde und Zuverlässigkeit können nur Menschen besitzen, die Bestellung eines betrieblichen Datenschutzbeauftragten ist daher immer an eine natürliche Person gebunden.

Da Herr O. dem Anschein nach eine TÜV-Prüfung im Bereich Datenschutz abgelegt hat, sollte der TÜV die eigenen Kriterien für das Bestehen seiner Prüfungen oder das Aberkennen seiner Zertifikate einmal überdenken. Leider ist Herr O. damit auch ein Beispiel dafür, dass „Zertifikate“ im Bereich des Datenschutzes mit Vorsicht zu genießen sind und „verantwortliche Stellen“ die Fachkompetenz und Zuverlässigkeit ihres betrieblichen Datenschutzbeauftragten konkret selbst prüfen müssen.

Falls Sie, liebe Leserin, lieber Leser, Opfer der Werbemethode des „Instituts für Grundschutz“ geworden sind und Herrn O. beauftragt haben: Melden Sie sich bitte bei mir. Ich werde Sie gerne bei der Auflösung oder Anfechtung des Vertrages unterstützen.

Mehr zu den Themen: