Auftragsverarbeitung und technische Wartungen – Abgrenzungshilfen

18. Mai 2018

Einleitung

Dienstleistern, die Gerätewartungen vornehmen, stellt sich, ausgelöst durch die DS-GVO häufig die Frage: Ist die Wartung von Geräten Auftragsverarbeitung nach Artikel 28 DS-GVO und muss ein entsprechender Vertrag zur Auftragsverarbeitung geschlossen werden – oder reicht der „normale“ Wartungsvertrag aus.

Mögliche Konstellationen in der Wartungspraxis

Zur Beurteilung muss man sich die konkrete Dienstleistung ansehen. Einige Beispiele:

  1. Besteht bei der seitens des Auftraggebers die Absicht, dass der Auftragnehmer personenbezogene Daten des Auftraggebers zur Kenntnis nimmt? Beispielsweise, weil ein konkrete Problem nur so demonstriert werden kann? Oder weil die Arbeit mit den Daten inhaltlich Teil des Auftrages ist? In diesem Fall liegt sicherlich eine Auftragsverarbeitung vor und ein entsprechender Vertrag ist zu schließen.

  2. Findet die rein technische Wartung und Prüfung an einem System mit personenbezogenen Daten statt, aber es ist, durch den Auftraggeber, durch technische und organisatorische Maßnahmen ausgeschlossen, dass der Auftragnehmer Kenntnis von personenbezogenen Daten erhält? In diesem Fall liegt keine Auftragsverarbeitung von Daten vor. Aber der Auftraggeber muss sicherstellen, dass der Auftragnehmer keinen Zugriff auf personenbezogene Daten erhält.

  3. Doch zwischen diesen beiden Extremen liegt häufig die Realität: Vielfach ist für die Wartung oder Prüfung eines Systems der Zugriff auf die realen personenbezogenen Daten nicht vom Auftragnehmer beabsichtigt, aber sie kann durch einen unglücklichen Zufall passieren.

  4. Oder es sind sogar Schutzmaßnahmen durch den Auftraggeber ergriffen worden – aber der Auftragnehmer als technischer Experte für das Gerät kann diese Schutzmaßnahmen einfach umgehen.

  5. Und dann gibt es noch den Fall, dass die Wartung nicht die eigentlichen Systeme betrifft, die personenbezogene Daten halten, sondern „Hilfssysteme“ wie Klimatisierung, Stromversorgung etc. – aber durch das Arbeitsumfeld ist nicht 100%ig auszuschließen, dass der Techniker personenbezogene Daten zur Kenntnis nehmen kann.

Die Beispiele zu Ende gedacht

Um diese Fälle näher zu beleuchten, muss man sich Situationen – etwas extrem dargestellt – einmal vor Augen führen.

Das erste und das zweite Beispiel sind eindeutig. Doch wie sieht es im dritten Beispiel aus: Der Mitarbeiter des Dienstleisters, also der Auftragnehmer, sei in unserem Beispiel fachlich hochkompetent, von Datenschutz habe er jedoch keine Ahnung. Er sieht durch Zufall im Rahmen seiner Arbeit brisante Daten und berichtet davon beim Stammtisch … sicherlich nicht vom Auftraggeber gewollt.

Der Mitarbeiter hat zwar fraglos dumm gehandelt, er hat vielleicht eine vertragliche Nebenpflicht seines Arbeitsvertrages verletzt. Aber im Arbeitsvertrag war er in unserem konkreten Fall nicht zur Verschwiegenheit oder Vertraulichkeit verpflichtet worden. Warum auch, schließlich hatte der Auftraggeber ja sicherzustellen, dass der Dienstleister keine personenbezogenen Daten sehen kann.

Aus dem gleichen Grunde kann man dem Auftragnehmer vielleicht vorwerfen, dass es zum guten Ton gehört, die Mitarbeiter aufzuklären und auf den Datenschutz zu verpflichten etc., aber warum: Eigentlich hätte sein Mitarbeiter ja gar keine personenbezogenen Daten des Auftraggebers zu sehen bekommen dürfen.

Der „schwarze Peter“ liegt primär beim Auftraggeber

Damit liegt der „schwarze Peter“ in diesem Fall beim Auftraggeber: Er hat sich falsch verhalten, er hätte vielleicht dem Mitarbeiter des Dienstleisters die ganze Zeit über auf die Finger schauen müssen und dann verhindern können, dass personenbezogenen Daten offenbart werden.

Gleiches gilt für das vierte Beispiel: Hier agiert der Mitarbeiter, der sich Zugriff verschafft, evtl. schon kriminell. Aber auch hier liegt der „schwarze Peter“ wieder beim Auftraggeber: Seine Schutzmaßnahmen waren nicht genügend, dass ein Wartungstechniker besondere Möglichkeiten mit dem betreffenden System hat, hätte der Auftraggeber wissen müssen.

Echte Auftragsverarbeitung hätte den Auftraggeber geschützt: Der Dienstleister wäre verpflichtet gewesen, seinen Mitarbeiter auch zum Thema Datenschutz zu schulen und entsprechenden sensibilisierte Mitarbeiter einzusetzen.

Auch der Auftragnehmer hat einen „schwarzen Peter“

Doch auch für den Dienstleister, den Auftragnehmer, hätte ein Vertrag zur Auftragsverarbeitung Vorteile: Die Aufgaben und Pflichten zum Datenschutz sind klar definiert, es gibt weniger Grauzonen.

Wieder ein Beispiel: Ein IT-System wird an den Dienstleister zur Reparatur übergeben, die Festplatte scheint defekt. Der Dienstleiter tauscht die Festplatte aus und vernichtet die alte Festplatte. Ohne Zweifel hat der Auftraggeber die Daten an den Dienstleister gegeben. Der Dienstleister sollte das System – technisch – reparieren. Faktisch wurde dem Dienstleister überlassen, zu entscheiden, wie repariert wird, wir die alte Platte vernichtet wird. Und Artikel 28 (10) DS-GVO schreibt:

„.. gilt ein Auftragsverarbeiter, der unter Verstoß gegen diese Verordnung die Zwecke und Mittel der Verarbeitung bestimmt, in Bezug auf diese Verarbeitung als Verantwortlicher.“

Der Auftragnehmer wurde also zum Verantwortlichen, der Daten ohne Rechtsgrundlage und damit widerrechtlich verarbeitete hat. Keine Rolle, in die sich der Dienstleister finden möchte, denn die Auswirkungen sind immens: Information an den Betroffenen (Artikel 15 EU-DS-GVO), wg. der rechtsgrundlosen Verarbeitung eine Meldung an die Aufsichtsbehörde (Artikel 33 (1) DS-GVO) etc. In unserem Fall hätten wir also einen Auftraggeber und einen Auftragnehmer, die beide gegen den Datenschutz verstoßen haben.

Ob die beiden Beteiligten faktisch die Aufgabe unter sich aufgeteilt haben, evtl. gemeinsam Verantwortliche nach Artikel 26 DSGVO geworden sind, möchte ich hier nicht erörtern.

Das sagen die Aufsichtsbehörden

Im Jahr 2016 äußerte sich das Bayerische Landsamt für Datenschutzaufsicht ein einem Papier1 „Dies könnte bei bestimmten Tätigkeiten, wie bei einer rein technischen Wartung, unter Umständen nicht zu einer Qualifikation als Auftragsverarbeiter und zu einer Anwendung von Ar. 28 DS-GVO führen.“ Offen bleibt hier, was unter einer „rein technischen Wartung“ zu verstehen ist. Die Datenschutzkonferenz (DSK) wird in Ihrem „Kurzpapier Nr. 13 – Auftragsverarbeitung, Art. 28 DS-GVO“ vom 16.01.2018 dann exemplarischer:

„besteht in diesem Rahmen [IT-Wartung oder Fernwartung (z. B. Fehleranalysen, Support-Arbeiten in Systemen des Auftraggebers)] für den Auftragsverarbeiter die Notwendigkeit oder Möglichkeit des Zugriffs auf personenbezogene Daten, so handelt es sich im Hinblick auf die weite Definition einer Verarbeitung in Art. 4 Nr. 2 DS-GVO (z. B. Auslesen, Abfragen, Verwenden) ebenfalls um eine Form oder Teiltätigkeit einer Auftragsverarbeitung und die Anforderungen des Art. 28 DS-GVO – wie etwa der Abschluss eines Vertrages zur Auftragsverarbeitung – sind umzusetzen. Anders ist dies bei einer rein technischen Wartung der Infrastruktur einer IT durch Dienstleister (z. B. Arbeiten an Stromzufuhr, Kühlung, Heizung).

Zum einen geht es nicht nur um Notwendigkeit, es reicht die reine Möglichkeit des Zugriffs auf personenbezogene Daten aus. Außerdem sind konkrete Beispiele aufgeführt. Und betrachten wir Arbeiten an Stromzufuhr, Kühlung, Heizung, so ist offensichtlich: Mit Kundendaten kommt der Heizungsmonteur evtl. durch einen zufälligen Blick auf einen Bildschirm beim Entlüften der Heizung in Kontakt. Sicherlich ein anderer Fall, als wenn direkt am datenhaltenden System gearbeitet wird.

Und damit wird auch das fünfte Beispiel von oben beantwortet: Hier liegt keine Auftragsverarbeitung vor. In diesem Fall kam es zu einem Datenverstoß beim Auftraggeber, er hätte bessere Maßnahmen zum Datenschutz umsetzen müssen.

Fazit

Auftraggeber und Auftragnehmer haben beide ein großes Interesse an der Klarheit der Auftragsverarbeitung.

Faktisch lässt sich in einem Bereich die Entscheidung für oder wider Auftragsverarbeitung durch technische und organisatorische Maßnahmen gestalten: Kann und wird die Möglichkeit des Zugriffs auf personenbezogene Daten durch den Auftragnehmer ausgeschlossen, so entfällt ein Vertrag zur Auftragsverarbeitung. Besteht jedoch dies Möglichkeit, so liegt Auftragsverarbeitung vor.

Natürlich haben beide Parteien durch einen Vertrag zur Auftragsverarbeitung mehr Aufwand: Sowohl für den Vertragsschluss als auch in der Durchführung. Insbesondere der Auftragsverarbeiter bekommt klar definierte Pflichten auferlegt. Die größere Sicherheit in der Verarbeitung der Daten wiegt diesen Mehraufwand jedoch auf.

Es ist daher sehr zu empfehlen, lieber einen Vertrag zur Auftragsverarbeitung zu viel als einen Vertrag zu wenig zu schließen.

1(EU-Datenschutz-Grundverordnung (DS-GVO) – Das BayLDA auf dem Weg zur Umsetzung der Verordnung

Leitfaden Verarbeitungstätigkeiten aktualisiert

11. Mai 2018

Eine wichtige Frage bei der Erstellung des Verzeichnisses der Verarbeitungstätigkeiten nach Artikel 30 der EU-DSGVO ist die Frage der „Kleinteiligkeit“:

Was ist eine einzelne Verarbeitungstätigkeit? Wie kleinteilig sind die Prozesse zu zergliedern? Welche Einzelverarbeitungen können beziehungsweise sollen zu einer Verarbeitungstätigkeit zusammengefasst werden?

Antworten hierauf gibt meine Handreichung „Leitfaden Verarbeitungstätigkeiten“, die ich heute in der Version 1.1 veröffentlicht habe. Beschrieben werden die Kriterien, nach denen Sie als Verantwortlicher bei der Erstellung des Verfahrensverzeichnisses vorgehen sollten. Und natürlich finden Sie Beispiele aus der Praxis, die die theoretischen Überlegungen „greifbar machen“.

Wo finden Sie den Leitfaden Verarbeitungstätigkeiten:

Als Kunde finden Sie diese Handreichung in Ihrem Cloud-Bereich. (Noch)-Nicht-Kunden sprechen mich gerne an.

Lange nichts gelesen: Über neue Datenschutzberater und die Goldgräberstimmung in der Branche.

6. Mai 2018

Zwei Jahre lange wurde dieser Blog von mir ziemlich stiefmütterlich behandelt. Kurz zusammengefasst: zu viel zu tun. In den letzten zwei Jahren hat sich viel zum Thema Datenschutz getan: Ich schreibe hier nur „EU-Datenschutzgrundverordnung“. Und obwohl die Arbeitsmenge aktuell – viele Organisationen wachen erst jetzt, zum Zeitpunkt des Ablaufes der zweijährigen Übergangszeit auf – nachwievor zu und nicht abnimmt, so ist es doch Zeit, dringend wieder etwas zu schreiben.

Anlass ist die offensichtliche Goldgräberstimmung bei durchaus zweifelhaften Datenschutzberatern und Datenschutzbeauftragten.

Viele Kollegen – natürlich sind auch die Kolleginnen gemeint – sind seit vielen Jahren tätig, haben die Entstehung der DSGVO begleitet, ihre Stärken und Schwächen analysiert, teilen die Meinung, dass der Grundsatz der DSGVO gut ist und sehen aber auch die Schwierigkeiten in der Umsetzung, gerade für kleinere und mittelständische Organisationen. Sie erarbeiten Wege, ihre Kunden Grundverordnungskonform aufzustellen. Viele ächzen unter der Mehrbelastung und der Problematik, die Rollenverschiebung in der Tätigkeit des betrieblichen Datenschutzbeauftragten zu vermitteln.

Datenschutz ist noch anspruchsvoller geworden, als es als in den letzten Jahren schon war. Die Dokumentationspflichten, sowohl für die verantwortlichen Stellen als auch für die betrieblichen Datenschutzbeauftragten, werden durch die DSGVO erheblich umfangreicher. Zusätzlich wächst das Haftungsrisko für beide massiv. Und nur sorgfältige und sehr gut dokumentierte Arbeit kann diese Haftungsrisiken verbinden.

Gehen Sie, wenn Sie Mitarbeiter beschäftigen, in sich: Kennen Sie z. B. die genauen Rechtsgrundlagen der Datenübermittlung von Beschäftigtendaten an die Finanzbehörden? Sie müssten diese Wissen, um Ihr Verzeichnis der Verarbeitungstätigkeiten korrekt zu führen. Und wissen Sie die korrekten Löschfristen? Sagen Sie jetzt bitte nicht pauschal „10 Jahre“. Wenn Sie dieser Meinung sind, die leider an vielen Stellen zu lesen ist, würde ich mich freuen, wenn Sie mir Ihre Begründung für diese Frist mitteilten.

Was ich vermitteln will: Auf viele Fragen, warum welche personenbezogene Daten auf welche Weise verarbeitet werden, bekomme ich bei Interessenten und Neukunden die Antwort – einfach ausgedrückt „das haben wir schon immer so gemacht“. Doch diese Antwort ist sicherlich angesichts der drohenden Folgen bei Datenschutzverstößen eher suboptimal.

Neue Märkte für Datenschutzberater?

Und ich beobachte mit Schrecken, wie neue Angebote aus dem Boden sprießen: Das „Datenschutzsorglospaket“ für 500 € pro Jahr – inklusive betrieblichem Datenschutzbeauftragtem, Datenschutzhandbuch, Formularen und Zertifikat. Bedenken Sie: Für die korrekte Bestellung eines betriebliche Datenschutzbeauftragten sind Sie als verantwortliche Stelle zuständig. Ist dieser fachlich nicht geeignet oder kommen recht offensichtlich seinen Überwachungsfunktionen Ihnen gegenüber nicht nach, so begehen Sie den Datenschutzverstoß. Ich bekomme Unterlagen, die offensichtlich aus diversen Quellen im Internet zusammen kopiert wurden und nun für teuer Geld an unbedarfte Unternehmen als Weisheiten verkauft werden. Problematisch ist weniger das Geld, das hierfür ausgegeben wird. Problematisch ist, das sich Unternehmen auf diese „Informationen“ vertrauen – und dann Datenschutzverstöße begehen.

Überlegen Sie, wie hochwertig ein qualifizierter Datenschutzbeauftragter, ob Jurist oder Ingenieur oder Informatiker, für 500 € pro Jahr den Datenschutz in Ihrem Unternehmen überwachen kann, Sie beraten kann, Sie unterstützen kann. Es tut mir leid: Eine Organisation datenschutzgrundverordnungskonform aufzustellen, ist teurer.

 

 

EuGH erklärt Safe Harbor für ungültig – und nun?

8. Oktober 2015

Nachdem der EuGH das Safe-Harbor-Abkommen zwischen der EU und den USA faktisch als keine zulässige Grundlage für eine Datenübermittlung in die USA sieht, stellt sich für Unternehmen nun die Frage, welche Grundlagen es geben könnte.

Generell gibt es vier weitere Möglichkeiten, die als rechtliche Grundlage für eine Übermittlung dienen könnten:

  1. Eine gesetzliche Ausnahme nach §4c (1) BDSG besteht, wenn der „Betroffene seine Einwilligung gegeben hat“. Inzwischen wird jedoch diskutiert, ob eine solche Einwilligung gültig gegeben werden kann. Eine wirksame Einwilligung setzt voraus, dass der Betroffene sich der Tragweite seiner Einwilligung bewusst ist. Und es ist fraglich, ob der „Durchschnittsbürger“ sich der Auswirkungen der Einwilligung angesichts der umfassenden staatlichen Überwachung, dem Verzicht auf Rechtsschutz und Auskunftsrecht bewusst ist oder bewusst sein kann.
  2. Die zweite Ausnahme erlaubt „die Übermittlung für die Erfüllung eines Vertrags zwischen dem Betroffenen und der verantwortlichen Stelle oder zur Durchführung von vorvertraglichen Maßnahmen, die auf Veranlassung des Betroffenen getroffen worden sind“. Ist also eine solche Übertragung für die Vertragserfüllung zwingend erforderlich, so ist diese erlaubt. Ein Beispiel wäre z. B. die Buchung eines Zimmers in einem Hotel in den USA über eine deutsche Buchungsplattform.
  3. Auf die weiteren gesetzlichen Ausnahmen, bei juristischen Auseinandersetzungen, bei öffentlichem Interesse und bei Gefahr für Leib und Leben des Betroffenen gehe ich hier nicht weiter ein.
  4. Ferner ist die Datenübertragung erlaubt, wenn im Vertrag zwischen den Unternehmen die EU-Standardvertragsklauseln wörtlich verwendet wurden. Jedoch wurden auch diese Klauseln von der Europäischen Kommission erstellt – und genau hier liegt ja der Kritikpunkt des EuGH. Es könnte also durchaus sein, der der EuGH auch die EU-Standardvertragsklauseln als pauschale Erlaubnis für eine Datenübermittlung als nicht ausreichend betrachtet.
  5. Die letzte Ausnahme betrifft den Fall der konzerninternen Datenübermittlung. Wenn es sogenannte „Binding Corporate Rules“, also verbindliche Konzernregeln gibt, die sicherstellen, dass das europäische Datenschutznivau eingehalten wird, ist eine Übermittlung erlaubt. Aber eben angesichts der juristischen Situation in den USA mit den entsprechenden Verpflichtungen für US-Unternehmen, mit den dortigen Behörden zusammen zu arbeiten und angesichts der behördlichen Überwachungsmaßnahmen stellt sich auch hier die Frage, ob es solche Regeln aktuell geben kann.

Fazit

Der meines Erachtens nach einzig zulässige Weg, personenbezogene Daten in die USA zu übermitteln, führt, wenn nicht eine der oben aufgeführten gesetzlichen Ausnahmen nach Punkt 2 oder Punkt 3 gegeben ist, über die Einwilligung des Betroffenen unter umfassender Aufklärung des Betroffenen, eine Aufklärung, die angesichts der Komplexität der Materie kaum geleistet werden kann. Doch wie sollen Unternehmen nun agieren? Sollen sie schlagartig alle Verträgen mit US-Unternehmen fristlos kündigen? Oder sollen sie weiter machen wie bisher? Die konkreten Handlungsempfehlungen folgen in einem weiteren Artikel.

EuGH erklärt Safe Harbor für ungültig – eine erste Analyse

6. Oktober 2015

In der Rechtssache C-362/14 (Maximillian Schrems gegen die irische Datenschutz-Aufsichtsbehörde bzgl. der Datenübermittlung in die USA innerhalb des Facebook-Konzerns) ist der Europäische Gerichtshof (EuGH) der Einschätzung des Generalanwaltes Yves Bot weitgehend gefolgt. Er „erklärt die Entscheidung der der [europäischen] Kommission, dass die Vereinigten Staten von Amerika ein angemessenes Schutzniveau übermittelter personenbezogener Daten gewährleisten, für ungültig“. Er stellt fest, dass die europäische Kommission kein Recht hat, „die Befugnisse, über die die nationalen Datenschutzbehörden aufgrund der Charta der Grundrechte der Europäischen Union und der Richtlinie verfügen, [… zu …] beseitigen noch auch nur [zu] beschränken“. Dies bedeutet, dass es den nationalen Datenschutzbehörden zu beurteilen zukommt, ob in einem Land, in das personenbezogene Daten übermittelt werden sollen, ein angemessenes Datenschutzniveau herrscht.

Das Prüfungsrecht, ob in einem Land außerhalb der EU ein angemessenes Datenschutzniveaus besteht, obliegt also den nationalen Datenschutzbehörden – und nicht der Europäischen Kommission.

Der EuGH stellt nicht fest, dass eine Übermittlung personenbezogener Daten in die USA generell nicht möglich ist. Er stellt lediglich fest, dass dies von den zuständigen nationalen Behörden überprüft werden muss (weiter aus der Pressemeldung zu dem Urteil):

Aus all diesen Gründen erklärt der Gerichtshof die Entscheidung der Kommission vom 26. Juli 2000 für ungültig. Dieses Urteil hat zur Folge, dass die irische Datenschutzbehörde die Beschwerde von Herrn Schrems mit aller gebotenen Sorgfalt prüfen und am Ende ihrer Untersuchung entscheiden muss, ob nach der Richtlinie die Übermittlung der Daten der europäischen Nutzer von Facebook in die Vereinigten Staaten auszusetzen ist, weil dieses Land kein angemessenes Schutzniveau für personenbezogene Daten bietet.

Zwischen den Zeilen der Pressemeldung geht jedoch hervor, dass Seitens des EuGH zumindest erhebliche Skepsis hinsichtlich des Datenschutzniveaus in den USA vorliegt, da „die amerikanischen Unternehmen ohne jede Einschränkung verpflichtet sind, die in dieser Regelung vorgesehenen Schutzregeln [Safe-Harbour] unangewandt zu lassen, wenn sie in Widerstreit zu solchen Erfordernissen [Erfordernisse der nationalen Sicherheit] stehen.“

Der EuGH stellt ferner fest, „dass eine Regelung, die keine Möglichkeit für den Bürger vorsieht, mittels eines Rechtsbehelfs Zugang zu den ihn betreffenden personenbezogenen Daten zu erlangen oder ihre Berichtigung oder Löschung zu erwirken, den Wesensgehalt des Grundrechts auf wirksamen gerichtlichen Rechtsschutz verletzt. Eine solche Möglichkeit ist dem Wesen eines Rechtsstaats inhärent.“

Für Unternehmen bedeutet dies, dass Übermittlungen von personenbezogenen Daten, die auf der Basis des Safe-Harbour-Abkommens begründet wurden, mit an Sicherheit grenzender Wahrscheinlichkeit rechtswidrig sein werden.

Doch gibt es trotzdem Möglichkeiten, US-amerikanische Cloud-Dienstleister zu nutzen oder Daten an die eigene Tochter- / Mutterfirma in die USA zu übermitteln? Lesen Sie dies im zweiten Teil des Artikels.

Berufliche WhatsApp-Nutzung illegal – zumindest fast immer

10. Dezember 2014

Aus aktuellem Anlass sei darauf hingewiesen: Für Firmen in Deutschland – und auf Grund des vergleichbaren Datenschutzniveaus sogar in ganz Europa – ist die Nutzung der beliebten App WhatsApp illegal. Und zwar immer dann, wenn sich auf dem Smartphone personenbezogene Daten befinden, für die die Firma verantwortlich ist. Z. B. darf ein Vertriebsmitarbeiter mit den Telefonnummern der Kunden auf seinem Smartphone kein WhatsApp auf seinem Smartphone installiert haben.

Dies gilt selbstverständlich auch, wenn Smartphones in Kombination privat / beruflich genutzt werden: Die Firma muss sicherstellen, dass entweder WhatsApp nicht auf dem Smartphone ist oder keine Kundenadressen / Telefonnummern auf dem Smartphone gespeichert sind.

Der Grund

Der Grund ist relativ einfach: Die App WhatsApp überträgt sämtliche Kontaktdaten zu den Servern des Unternehmens in den USA. Dieses Recht lässt sich WhatsApp einräumen

WhatsApp will periodically access your address book or contact list on your mobile phone to locate the mobile phone numbers of other WhatsApp users (“in-network” numbers)

und nutzt dieses Recht nach Beobachtungen auch. Und die Übertragung von personenbezogenen oder personenbeziehbaren Daten (Namen, Telefonnummern etc. gehören selbstverständlich dazu) ist ohne die entsprechende Rechtsgrundlage mit dem Betroffenen (also der Person, deren Daten übertragen werden) und insbesondere in ein Land mit einem geringen Datenschutzniveau wie den USA illegal.

Fazit

Das Fazit ist kurz und einfach: WhatsApp hat auf Firmensmartphones oder anderen, beruflich genutzten Smartphones nichts verloren. Und auch Privatnutzer sollten sich überlegen, ob es ihren Kontakten recht ist, dass Kontaktdaten zu WhatsApp übertragen werden.

„Lenor-Testwochen“ – Datenschutz bei Procter & Gamble

7. September 2014

Beim Zappen durch die private Fernsehwelt sah ich gestern einen Werbespot der Firma Procter & Gamble für deren Marke „Lenor“. Procter & Gamble  möchte eine neue Waschmittelmarke etablieren und bietet in den „Lenor Testwochen“ „Testen ohne Risiko: Zufrieden oder Geld zurück“. Wie leider inzwischen üblich, fand sich auf dem Bildschirm ein „Sternchen“ mit dem Hinweis auf „Teilnahmebedingungen“, die aus dem Werbespot nicht direkt hervorgingen und die ich mir auf der Webseite – unter Datenschutzgesichtspunkten – einmal genauer angesehen habe. Denn die Erfahrung zeigt, dass auch Konzerne nichts zu verschenken haben.

Datenerfassung mit Papierformular: hui

Procter & Gamble sagt zu, den Kaufpreis des getesteten Produktes zu überweisen, wenn man mit dem Produkt nicht zufrieden ist. Hierzu muss als Kaufnachweis der Kassenbon sowie Kontaktdaten und Bankverbindung zugesandt werden. Hierfür bietet Procter & Gamble zwei Möglichkeiten an:

  1. das Herunterladen, Ausfüllen und Einsenden eines Formulares sowie
  2. das Online-Ausfüllen eines Formulares, bei dem der Scan des Kassenbons hochgeladen wird.

Die Teilnahmebedingungen und das Formular zum Herunterladen fallen positiv auf: Es werden nur die notwendigen Daten erfasst, bei der E-Mail-Adresse wird auf die Freiwilligkeit der Angabe hingewiesen, es wird dargestellt „Die Erhebung Ihrer persönlichen Daten erfolgt ausschließlich im Rahmen dieser Aktion unter Einhaltung der Datenschutzgesetze. Ihre Daten werden nach Rückerstattung des Kaufbetrages wieder gelöscht.“ Da ist sogar der Datenschützer zufrieden.

Online-Formular: eher pfui

Da Procter & Gamble an mehreren Stellen darauf aufmerksam macht, dass sie die Portokosten für die Einsendung des Kassenbons nicht übernähmen, werfe ich einen Blick auf das Online-Formular – und wundere mich. Hier wird Datenschutz offensichtlich nicht ernst genommen, sondern im Gegensatz dagegen verstoßen. Procter & Gamble schreibt in der verlinkten Datenschutzerklärung: „P&G hält die Datenschutzgesetze des jeweiligen Landes ein.“ Leider offensichtlich nicht immer. Im Online-Formular

 

Lenor-Testwochen: Online-Formular

wird

  • die Angabe des Geburtsdatums zwingend gefordert – zusätzlich zu einer Erklärung, dass der Teilnehmer mindestens 18 Jahr alt sei,
  • auch die Angabe der E-Mail-Adresse ist als Pflichtfeld markiert – im Papierformular wird ausdrücklich auf die Freiwilligkeit hingewiesen,
  • das Einverständnis, dass die Daten „elektronisch und für schriftliche, telefonische oder elektronische Marketingaktivitäten und Marktforschung genutzt werden“ dürfen, wird zwingend verlangt:

    Zwangszustimmung zur Werbung

    Zwangszustimmung zur Werbung

Diese Punkte sind nach dem Bundesdatenschutzgesetz BDSG nicht erlaubt.

Ich werde Procter & Gamble bzw. die von Procter & Gamble offensichtlich beauftragte Agentur, denn die auf der Webseite genannte E-Mail-Adresse ist lauf Whois nicht auf Procter & Gamble sondern auf eine Firma „Projekt Service GmbH“ in Mainz registriert, um Stellungnahme bitten und, wenn eine Antwort erfolgt, diese gerne auch hier veröffentlichen.

Mein Rat

Seien Sie als Unternehmen konsequent und konsistent im Datenschutz: positive Eindrücke bekommen sonst schnell einen schalen Beigeschmack und untergraben die Glaubwürdigkeit.

 

 

Datenschutz und Trockenbau: Die Wandfrage, über die Absicherung von IT-Räumen

13. Februar 2014

Einbruchsschutz gehört zur IT-Sicherheit und damit auch zum Thema Datenschutz. Gerade in Büroneubauten werden Wände überlicherweise in Trockenbautechnik gesetzt. Ein Ständerwerk, welches üblicherweise mit Decke und Boden verbunden ist, wird durch Gipskartonplatten abgedeckt und z.B. mit Dämmwolle gefüllt. Eine solche Bauweise ist normalerweise billiger als klassisch gemauerte Wände. Doch jeder weiß: Gipskartonplatten sind bei weitem nicht so stabil wie Stahlbeton. Damit widersteht eine Wand aus Gipskartonplatten auch einem Eindringling weniger lang als massives Mauerwerk.

Praktische Versuche zeigen, dass auch bei doppelter Beplankung, es werden also zwei Gipskartonplatten aneinandergelegt und bilden eine Seite der Wand, analog wird auf der anderen Wandseite verfahren, ein Durchtreten der Wand möglich ist. Für den Datenschutz ist das natürlich ein unzulässiger Zustand. Doch wie kann hier gehandelt werden, wie kann die Trockenbauweise mit dem Datenschutz in Übereinstimmung gebracht werden? Schließlich besteht insbesondere bei Serverräumen eine höhere Sicherheitsnotwendigkeit. Empfehlungen findet man z.B. beim BSI, dem Bundesamt für Sicherheit in der Informationstechnik, im sogenannten „Grundschutzhandbuch“ für den Brandschutz, nicht jedoch hinsichtlich des Einbruchsschutzes. In Bezug auf den Einbruchsschutzes wird in Punkt M 1.19 lediglich darauf hingewiesen, dass geeignete und den örtlichen Gegebenheiten angepasste Maßnahmen zu ergreifen sind.

Die DIN EN 1627 unterscheidet hinsichtlich des Einbruchsschutzes zwischen verschiedenen Widerstandsklassen (RC1N bis RC6), die den Widerstand beschreiben, den die Maßnahmen einem unterschiedlich ausgerüsteten Täter entgegen setzen. Die Widerstandszeit ist jedoch bei den üblichen Widerstandsklassen relativ gering. Beispielsweise werden Gebäude von Bauplanern häufig entsprechend RC2 ausgelegt. Hier wird der  Gelegenheitstäter betrachtet, der mit einfachen Werkzeugen, wie Schraubendreher, Zange und Keil versucht, das verschlossene und verriegelte Bauteil aufzubrechen. Es wird eine Widerstandszeit von 3 Minuten betrachtet. Bei der Widerstandsklasse RC3 wird eine Widerstandszeit von 5 Minuten betrachtet und der gewohnt vorgehende Täter versucht zusätzlich mit einem zweiten Schraubendreher und einem Kuhfuß das verschlossene und verriegelte Bauteil aufzubrechen. Erst bei noch höheren Widerstandsklassen werden weitere Werkzeuge berücksichtigt und die Widerstandszeit steigt auf bis zu 20 Minuten an.

Durch die Einbringung zusätzlicher Schichten in die Trockenbauwand kann auch die Stabilität der Trockenbauwand gegenüber einer Zerstörung gesteigert werden. Übliche Möglichkeiten sind hier eine oder mehrere Stahlplatten, die mit den Gipskartonplatten verbunden werden. Hersteller nennen hier bei beidseitiger Doppelbeplankung und zwei Stahlplatten von je 0,6mm Dicke eine Widerstandsklasse von RC3. Sicherer aber auch erheblich aufwändiger ist eine Einbringung und Verschweißung eines Gitters aus Bewehrungsstahl (Moniereisen).

Diese Überlegungen zeigen, dass eine Absicherung, die alleine auf einen hohen Widerstand setzt, sicherlich nicht genügend ist. Es ist also einerseits wichtig, dem Täter einen Widerstand entgegen zu setzen, so dass insbesondere Gelegenheitstäter wegen des Widerstandes aufgeben. Gerade erfahrene Täter mit dem ausgewählten Angriffsziel werden durch solche Maßnahmen zwar behindert, vermutlich aber nicht abgewehrt. Hier ist es zusätzlich notwendig, die dem Täter zur Verfügung stehende Gesamtzeit maximal einzuschränken, z.B. durch eine Alarmanlage, deren Alarm auch ein menschliches Eingreifen, sei es durch einen Sicherheitsdienst oder die Polizei, auslöst.

Erst beide Maßnahmen gemeinsam, also die Erhöhung der Widerstandszeit gemeinsam mit einer Verkürzung der möglichen Handlungszeit, führen zu einer sinnvollen Absicherung der IT und bilden damit einen Baustein des Datenschutzes.

Misstrauen hinsichtlich der Verwendung persönlicher Daten führt zu Verbraucherfrust

25. Dezember 2013

Misstrauen hinsichtlich der Verwendung persönlicher Daten zählt zu den wichtigsten Gründen für den Frust von Verbrauchern, so geht es aus einem Bericht der Welt online am 23.12.2013 über eine aktuelle Untersuchung der Beratungsgesellschaft Accenture hervor. Dies zeigt einmal mehr, dass ein offensiver und transparenter Umgang mit dem Datenschutz zur Kundenbindung und für die Neukundengewinnung für Unternehmen extrem wichtig ist. Nutzen Sie als mein Kunde die Datenschutzberichte und Datenschutzgutachten, um Ihre Interessenten zu Kunden zu machen und Ihre bestehenden Kunden weiter an Sie zu binden. Sie sind noch kein Kunde bei mir? Sprechen Sie mich an!

Datenschutz in der Arztpraxis

20. November 2013

Vom 20. November bis zum 23. November 2013 findet in Düsseldorf wieder die Medica statt. Dies ist für mich der Anlass, für niedergelassene Ärztinnen und Ärzte ein besonderes Paket zum Thema Datenschutz in der ärztlichen Praxis zu schnüren. Informationen zu diesem Paket finden Sie auf meiner Webseite unter http://ing-buero-ludwig.de/arztpraxis/