Neuregelung des Datenschutzes in der EU

Kommt bereits in wenigen Monaten eine verbindliche EU-Datenschutzverordnung? Es gibt einige Anzeichen dafür. Damit könnte sehr bald der Weg für ein EU-weit gleich ausgestaltetes Datenschutzrecht frei sein. Eine Verordnung gilt unmittelbar für alle Mitgliedstaaten, ohne dass noch ein Umsetzungsverfahren in das Inlandsrecht notwendig wäre. Erfreulich ist dabei, es werden wohl viele Regelungen, die in Deutschland bereits gelten, in die Regelung übernommen. Das Datenschutzniveau wird also nicht auf den kleinsten gemeinsamen Nenner gebracht, sondern vielmehr auf einen vergleichbaren Stand angehoben.

Eine Hauptaussage des Entwurfs ist, dass jede Verarbeitung persönlicher Daten im Tätigkeitskontext des Betriebs eines Halters oder Verarbeiters in der Union in Übereinstimmung mit dieser Verordnung durchgeführt werden muss, unabhängig davon, ob die Verarbeitung selbst innerhalb der Union stattfindet oder nicht.

Was sind die aus deutscher Sicht wesentlichen Regelungen, was könnte sich ändern?

  • Es soll eine zentrale, unabhängige Europäische Aufsicht entstehen. Mitglieder sind die jeweils obersten Datenschutzbeauftragten der Mitgliedsländer.
  • Die Unabhängigkeit der Aufsichtsbehörden soll noch weiter betont werden.
  • Klargestellt wird, dass unabhängig vom tatsächlichen Verarbeitungsort der Datenschutz zu beachten ist, solange sich die für die Verarbeitung verantwortliche Stelle im Geltungsbereich befindet.
  • Entsprechend ist ein inländischer Ansprechpartner für den Datenschutz vorgesehen.
  • Der betriebliche Datenschutzbeauftragte soll europaweit ab einer bestimmten Unternehmensgröße verbindlich werden.
  • Das Instrument der Standardvertragsklauseln bei Verarbeitung von Daten in Staaten ohne vergleichbares Datenschutzniveau soll ausgeweitet werden.
  • Der Datenschutz gilt, sobald es sich nicht mehr zweifelsfrei um eine rein private Verarbeitung handelt.
  • Eine Einwilligung ist nur noch dann taugliche Grundlage für eine Verarbeitung, wenn diese nicht im Rahmen eines Abhängigkeitsverhältnis erteilt wird.
  • Die Auskunftsansprüche Betroffener werden sehr deutlich detaillierter und formalisierter zu beantworten sein.
  • Vor der Aufnahme einer Datenverarbeitung sind deren mögliche Auswirkungen detailiert zu analysieren.
  • Neben dem Recht auf Löschung, soll ein weitergehendes “Recht, vergessen zu werden” geschaffen werden.
  • Natürliche Personen dürfen grundsätzlich keinen Maßnahmen mehr ausgesetzt sein, die auf einer Profilbildung beruhen.
  • Biometrische und genetische Daten werden explizit in den Datenschutz einbezogen.
  • Die Meldepflichten werden verschärft. Vermutete oder bestätigte Zugriffe durch Unberechtigten müssen innerhalb von 24 Stunden der Aufsichtsbehörde gemeldet werden. Regelmäßig sind auch die Betroffenen innerhalb eines Tages zu benachrichtigen.
  • Die verhängbaren Bußgelder werden teils drastisch erhöht. Es können künftig bis zu 5% des weltweiten Umsatzes des Unternehmens verhängt werden. Stets sollen Bußgelder die finanziellen Vorteile eines Datenschutzverstoßes überschreiten.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Cloud Computing und Datenschutz außerhalb der EU

Verarbeitet ein Cloud-Dienst Daten außerhalb der EU und des Europäischen-Wirtschaftsraums (EWR), so gelten die besonderen Anforderungen der §§ 4b, 4c BDSG für den Drittstaatentransfer. Zu den Drittstaaten in diesem Sinne zählen beispielsweise die USA.

Falls in dem Drittstaat kein angemessenes Datenschutzniveau besteht, müssen daher durch den Cloud-Anwender als verantwortliche Stelle ausreichende Garantien zum Schutz des allgemeinen Persönlichkeitsrechts und der Ausübung der damit verbundenen Rechte vorgewiesen werden. Die Garantien können sich aus Standardvertragsklauseln oder u. U. aus Binding Corporate Rules ergeben. In jedem Fall ist auch ein besonderes Augenmerk auf die Festlegung eines technischen und organisatorischen Datenschutzes iRd § 9 BDSG zu legen.

Im Prinzip möchte der Gestzgeber damit ein einheitliches Datenschutzniveau erreichen. Personenbezogene Daten, z.B. aus Deutschland, sollen unabhängig davon, wo diese gelagert werden, ob Inland, EU oder EU-Ausland, immer annäherend gleich behandelt werden, so dass auch das Datenschutzniveau überall auf dem gleichen Stand ist. Unternehmen haben dabei verschiedene Möglichkeiten, dies zu realisieren:

Sicherstellung eines “angemessenen Datenschutzniveaus”

Wenn ein Unternehmen mit Sitz in Deutschland oder einem anderen EU-Mitgliedsland Kunden-, Mitarbeiter- oder andere personenbezogene Daten von einem Unternehmen außerhalb der EU speichern, nutzen oder verarbeiten lässt, muss es ein “angemessenes Datenschutzniveau” sicherstellen. Dies gilt auch, wenn es sich z.B. um ein Tochterunternehmen in der EU und Mutterunternehmen in den USA handelt, der Datentransfer also innerhalb des gleichen Unternehmens erfolgt.

Die Sicherstellung eines “angemessenen Datenschutzniveaus” ist in § 4b Absatz 2 Satz 2 (BDSG) geregelt, der den Artikel 25 Abs. 1 der EU-Datenschutzrichtlinie 95/46/EG umsetzt. Ohne “angemessenes Datenschutzniveau” dürfen personenbezogene Daten nicht übermittelt bzw. kein Zugriff darauf gewährt werden. Verstöße können mit bis zu € 300.000 Geldbuße geahndet werden.

Gibt der im Drittstaat ansässige Cloud-Anbieter Daten an einen Unter-Anbieter, der ebenfalls seinen Sitz im außereuropäischen Raum hat, so wird Ersterer als Übermittler mitverantwortlich für die Rechtmäßigkeit der Datenübermittlung und -verarbeitung. Gleichwohl verbleibt eine Verantwortlichkeit des Cloud-Anwenders. Der Cloud-Anwender bleibt in jedem Fall haftungsrechtlich für sämtliche Schäden verantwortlich, die der Cloud-Anbieter oder Unter-Anbieter den Betroffenen zufügen.

Standardvertragsklauseln

Im Rahmen der durch eine Entscheidung der EU-Kommission erlassenen Standardvertragsklauseln, die vom Cloud-Anwender und Cloud-Anbieter unverändert übernommen werden müssen, wurden allerdings die spezifischen Regelungen der Auftragsdatenverarbeitung ( § 11 BDSG) nicht vollständig abgebildet, obwohl die vertraglichen und faktischen Beziehungen zwischen Datenexporteur und Datenimporteur einer solchen Verarbeitung ähnlich sind. Aus diesem Grunde muss der Cloud-Anwender über die Vereinbarung von Standardvertragsklauseln hinaus die Anforderungen nach § 11 Abs. 2 BDSG erfüllen und entsprechend vertraglich abbilden. Dies kann durch Regelungen in den Anlagen zum Standardvertrag und/oder ergänzende geschäftsbezogene Klauseln oder durch separate vertragliche Regelungen erfolgen.

Ist das EU-Unternehmen verantwortliche Stelle und der Datenimporteur im Drittland Auftragsdatenverarbeiter, so sind die “Standardvertragsklauseln” der EU zu verwenden.

Hierbei ist für Neuverträge ab dem 15. Mai 2010 zwingend auf die neue Fassung der Klauseln zurückzugreifen; die bisher gültigen Klauseln können grundsätzlich nicht mehr verwendet werden. Für Altverträge existieren Übergangsregelungen.

Rechtsgrundlage

Es wird darüber hinaus eine Rechtsgrundlage benötigt für das Cloud-Computing anbieten. Hier kann § 28 Abs. 1 Satz 1 Nr. 2 BDSG in Betracht kommen. Soweit besondere Arten personenbezogener Daten betroffen sind (z.B. Daten über rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit, Sexualleben), scheidet das Cloud-Computing regelmäßig aus.

Safe Harbor

Erfolgt eine Verarbeitung personenbezogener Daten durch einen Cloud-Anbieter oder Unter-Anbieter mit Sitz in den USA, so können die EU-Standardvertragsklauseln ebenso wie Binding Corporate Rules entbehrlich sein, wenn sich der Cloud-Anbieter zur Einhaltung der Safe-Habor-Grundsätze verpflichtet hat. Soweit EU-Personaldaten verarbeitet werden sollen, muss der Cloud-Anwender ferner prüfen, ob der Cloud-Anbieter sich gemäß des Safe-Harbor-Abkommens zur Zusammenarbeit mit den EU-Datenschutzaufsichtsbehörden verpflichtet hat. Der Cloud-Anwender muss sich darüber hinaus auch davon überzeugen, ob das Zertifikat des Cloud-Anbieters noch gültig ist und sich auf die betreffenden Daten bezieht. Die Liste für die Safe Harbor beigetretenen Unternehmen kann hier abgerufen werden. Eine Rechtsgrundlage muss aber auch in diesem Fall vorliegen.

Binding Corporate Rules

Beim Drittstaatentransfer können bei konzernangehörigen Auftragnehmern die erforderlichen ausreichenden Garantien zum Schutz der Persönlichkeitsrechte durch Binding Corporate Rules geschaffen werden. Wenn Cloud-Anwender und Cloud-Anbieter derselben Unternehmensgruppe angehören, sind Binding Corporate Rules selbstverständlich ohne weiteres möglich. Auch hier wäre zu beachten, dass Binding Corporate Rules den Cloud-Anwender nicht von dem Erfordernis befreien, eine schriftliche Vereinbarungen entsprechend § 11 Abs. 2 BDSG zu treffen. Es besteht ebenfalls das Erfordernis einer Rechtsgrundlage für die Übermittlung.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

IPv6 und Datenschutz aktuelle Empfehlungen

Ein aktuelles und akutes Problem im Internet: die Adressen werden knapp! Bereits Anfang 2011 wurden die letzten Blöcke des IP4 Adressraums vergeben. Neue Adressen wird es nicht geben. Eine Lösung ist aber bereits in Sicht – mit der Einführung des IPv6 Protokolls steigt die Zahl der möglichen Adressen von bisher 4,3 Milliarden auf 340 Sextillionen. Genug Adressen, um jedem denkbaren Gerät und damit jedem Benutzer eine eindeutige Adresse zu vergeben.

Genau hier entstehen neue Probleme.

Eine stets gleich bleibende Adresse würde es sehr leicht machen, einen Nutzer im Internet jederzeit wiederzuerkennen, sobald er einmal identifiziert wurde. Die derzeit eingesetzten Mechanismen, etwa Cookies, mit denen ein anders nicht wiedererkennbarer PC “markiert” wird, würden größtenteils überflüssig.

Auf der gerade zu Ende gegangenen 33. Internationalen Konferenz der Beauftragten für den Datenschutz und für die Privatsphäre wurden daher unter anderem folgende Empfehlungen aussprochen:

  • Nutzer sollen nach wie vor die Möglichkeit haben, dynamische, also wechselnde, IP-Adressen zu nutzen.
  • Dies soll technisch als die Standardmöglichkeit vorgegeben und nur auf Wunsch des Nutzers geändert werden.
  • Soweit etwa Standortinformationen zur Nutzung bestimmter Dienste notwendig sind, soll die Übermittlung dieser Informationen verschlüsselt erfolgen.

Der vollständige Text des Entschlusses ist hier zu finden.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Erforderlichkeit der Erhebung oder Verarbeitung von Daten

“Aber wir brauchen diese Daten doch!”

An einigen Stellen erlaubt das Gesetz die Erhebung und Verarbeitung von personenbezogenen Daten auch ohne Einwilligung des Betroffenen und sogar gegen seinen Willen. So etwa im Zusammenhang mit der Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen Verhältnisses, § 29 Abs. 1 Nr. 1 BDSG. Wie auch hier, so stehen diese Ausnahmen vom grundsätzlichen Verbot, personenbezogene Daten zu erheben oder zu nutzen, regelmäßig unter dem Vorbehalt der “Erforderlichkeit”. Dieser Begriff wird häufig zu eigenen Gunsten falsch interpretiert. Die Folge dieser Fehleinschätzung ist die Rechtswidrigkeit der fraglichen Aktion. Es drohen Bußgelder, Haftung und andere negative Folgen.

“Erforderlich” ist nicht im Sinne von zweckmäßig, praktisch, hilfreich oder sinnvoll zu verstehen. Erst recht unterliegt dieser Begriff nicht subjektiven Maßstäben, er ist objektiv zu bestimmen. Im Hinblick darauf, dass es sich hierbei stets um eine Ausnahme von einem gesetzlichen Verbot handelt, darf der Begriff auch keinesfalls weit verstanden werden. Vielmehr ist er eng, eben im Sinne einer Ausnahme, zu interpretieren. Die Ausnahme darf nie zur Regel werden.

Ob Daten erforderlich sind, ist von den berechtigten Interessen der Beteiligten abhängig. Auch diese Interessen und ihre Berechtigtheit sind wiederum objektiv zu beurteilen und richten sich nicht etwa nach der subjektiven Einschätzung des an den Daten Interessierten. Die Einschätzung muss objektiv und vernünftig nachvollziehbar sein. Weder zählt ein verschärftes Sicherungsbedürfnis des einen, noch ein übersteigertes Geheimhaltungsinteresse des anderen.

Erforderlichkeit ist nicht gegeben, wenn sich die berechtigten Interessen auch ohne die fraglichen Informationen wahren lassen. Andererseits muss auch keine zwingende Abhängigkeit bestehen; die Daten müssen nicht unverzichtbar sein. Gibt es aber zumutbare Alternativen, sind primär diese zu nutzen. Erst dann, wenn ein Ausweichen oder der Verzicht auf eine Information nicht sinnvoll oder unzumutbar wäre, kann die Erforderlichkeit wieder bejaht werden.

Beispiele:

  • Die Adresse eines Kunden ist etwa erforderlich, um eine Bestellung auszuführen, eine Lieferung durchzuführen oder eine Rechnung zu erstellen. Auch kann hier zusätzlich eine Telefonnummer erforderlich sein, wenn vorhersehbar Nachfragen entstehen oder kurzfristig ein Liefertermin vereinbart werden muss.
  • Die Angabe einer eMail-Adresse wird erforderlich sein, zum Beispiel in Fällen in denen ein Dienst aus Sicherheitsgründen nur über ein double opt-in Verfahren bereitgestellt wird. Ebenso zur Beantwortung einer elektronisch gestellten Anfrage. Die Abfrage einer Telefonnummern dagegen ist hier kaum gerechtfertigt.
  • Eine Bank wird im Rahmen einer Kreditvergabe Informationen über die Bonität des Interessenten einholen dürfen, selbst wenn die Abwicklung des Kreditvertrages auch ohne diese Informationen möglich wäre. Entsprechendes wird für den Vermieter einer Wohnung gelten. Immerhin besteht hier ein erhöhtes Schutzbedürfnis für die Genannten.  Für Geschäfte ohne besondere Risiken gilt dies jedoch nicht.

Zu beachten ist zusätzlich, dass einmal zulässig erhobene und verarbeitete Daten weiterhin einer Zweckbindung unterliegen. So darf etwa die für Rückfragen zulässig erfasste Telefonnummer oder eMailAdresse nicht auch für Werbung genutzt werden.

Fazit: “Erforderlich” ist nicht, was bequem oder sinnvoll erscheint, sonden nur, was zur Erreichung eines vom Datenschutz (!) legitimierten Zwecks direkt unterstützend notwendig ist. Die Grenze ist eng zu ziehen.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Dokumenten – Datenschutz

Viele Computer-Dateien (doc, docx, xls, xlsx, pdf, jpg usw.) enthalten Metadaten. Metadaten sind zusätzliche Dateiinformationen, die Sie z.B. erzeugen, wenn Sie eine neue Word- oder Excel-Datei speichern. In diesen Dateien werden teilweise Informationen abgelegt, die eigentlich keine andere Person etwas angehen. Trotzdem werden diese Daten oftmals vergessen und nicht bewusst gelöscht.

Typische Metadaten zu einem Dokument sind beispielsweise der Name des Autors, Speicherpfade und Informationen zu Software-Versionen, Zugriffsrechten und dem Datum der letzten Änderung. Diese Daten können durch einen Angreifer ausgelesen, gesammelt und anschließend für gezielte Angriffe missbraucht werden.

Zusätzlich werden weitere Daten über die Zielpersonen in sozialen Netzen wie Xing oder Facebook gesucht. Eine eigene Homepage oder Informationen auf den Seiten des Arbeitgebers liefern noch weitere Informationen über die Zielperson. Diese Daten zusammen liefern einem Angreifer eine ausreichende Grundlage für gezielte technische oder Social-Engineering Attacken.

Einige Dokumentenformate sind auskunftsfreudiger als andere: Powerpoint-Präsentationen liefern z.B. mehr Informationen als etwa PDF-Dokumente und sind daher auch interessanter für den Angreifer. Eine spezielle Software zum Auslesen solcher Informationen kann unter anderem aus eingebetteten Bildern weitere Metadaten wie die benutzte Kamera auslesen (EXIF). Oftmals enthalten die EXIF-Daten auch noch ein Thumbnail des Originalfotos. Diese Vorschaubilder bleiben, trotz Bearbeitung des Orginals, unverändert. Ein unkenntlich gemachter Bildausschnitt im Foto kann also im Thumbnail unter Umständen noch zu erkennen sein.

Sobald Sie nun z.B. eine Office-Datei per E-Mail versenden, erhält der Empfänger nicht nur die Datei sondern auch alle zusätzlichen Informationen, die zu der Datei gespeichert sind. Das kann nicht immer wünschenswert sein. Abrufen können Sie diese Informationen einfach, indem Sie mit der rechten Maustaste auf die Datei klicken und Details anwählen.

Ein guter Schutz vor solchen Aufklärungsversuchen ist es, Metadaten aus Dokumenten vor der Veröffentlichung zu entfernen oder mit Dummy-Daten zu füllen.

Office enthält ab der Version 2007 die Funktion der Dokumentenprüfung, mit der Metadaten bequem gelöscht werden können:

  • Klicken Sie auf den Office-Button.
  • Wählen Sie den Eintrag „Vorbereiten“.
  • Klicken Sie auch den Befehl „Dokument prüfen“.
  • Wählen Sie in diesem Dialogfenster die Elemente aus, die überprüft werden sollen und klicken anschließend auf die Schaltfläche „Prüfen“.
  • Im Prüfungsergebnis werden Elemente, die zusätzliche Informationen enthalten mit einem Ausrufezeichen versehen. Sie können nun einzelne Elemente oder über die Schaltfläche „Alle entfernen“ sämtliche aufgeführte Informationen löschen.

In der Office-Version 2010 funktioniert das Löschen von Metadaten folgendermaßen:

  • Sie erreichen die Dokumentenprüfung über den Reiter „Datei“ und hier den Button „Informationen“.
  • Wählen Sie unter „Für die Freigabe vorbereiten“ den Eintrag „Auf Probleme überprüfen“.
  • Klicken Sie auch den Befehl „Dokument prüfen“.
  • Wählen Sie in der Dokumentenprüfung die zu prüfenden Elemente aus und klicken anschließend auf die Schaltfläche „Prüfen“.
  • Im Prüfungsergebnis sehen Sie die Elemente, die zusätzliche Informationen enthalten. Sie können nun einzelne Elemente oder über die Schaltfläche „Alle entfernen“ sämtliche aufgeführte Informationen löschen.

Beachten Sie, dass manche Informationen wie Kopf- und Fußzeilen eventuell doch nützlich sein könnten und im Dokument verbleiben sollten. Zur Sicherheit können Sie vor dem Löschen der Metadaten Ihr Dokument am Ende der Bearbeitung abspeichern und eine Kopie erstellen. Falls beim Löschen der Metadaten zu viele Informationen entfernt wurden, können Sie auf die Kopie zurückgreifen.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Bonitätsprüfungen und Datenschutz

Forderungsausfälle können schwerwiegende Folgen haben – es ist daher verständlich, dass ein Unternehmer wissen möchte, ob sein (potentieller) Vertragspartner fähig und willig ist, die geschuldete Gegenleistung zu erbringen. Dieses Sicherheitsbedürfnis wird durch Auskunfteien bedient, die verschiedene Informationen zu einer Aussage über die Bonität und möglicherweise Zuverlässigkeit des in Frage stehenden Geschäftspartners verdichten. Doch die Aussagekraft solcher Ratings ist aufgrund zweifelhafter Methoden umstritten. Zu beachten ist auch, in welchem Verhältnis das Informationsinteresse des Auskunft erfragenden Unternehmens zum Datenschutzinteresse des Vertragspartners steht.

Welche Informationen werden erfasst?

Informationen über Privatpersonen erhalten Auskunfteien zum Großteil von Vertragspartnern wie Banken, Versicherungen, Energieversorgern oder Immobiliengesellschaften. Nicht beglichene Rechnungsbeträge können ebenso in die Bewertung mit einfließen, wie die Dauer von Vertragsverhältnissen oder die Häufigkeit von Kreditanfragen. Bei Unternehmen werden zusätzlich Informationen wie die Vermögens- und Finanzlage, die Firmenhistorie oder das unternehmerische Umfeld ausgewertet. Dazu werden auch öffentlich zugängliche Quellen wie Schuldner- und Handelsregister herangezogen.

Aussagekraft von Scoringverfahren zweifelhaft

In die Beurteilung der Bonität fließen aber nicht nur individuelle Daten ein. In so genannten Scoring-Verfahren wird nicht die persönliche Zahlungsmoral untersucht, sondern es werden allgemeine statistische  Informationen zu Grunde gelegt. Die Auskunftei errechnet die Wahrscheinlichkeit eines Zahlungsausfalls anhand von Daten wie Alter, Geschlecht, Wohnort oder der Anzahl an Girokonten – unabhängig von deren Deckung.

Das Bundesministerium für Verbraucherschutz hat im Jahr 2009 die GP Forschungsgruppe mit einer Studie über Scoring-Anbieter beauftragt. Neben der zweifelhaften Methodik wurden bei allen untersuchten Instituten auch schwerwiegende Fehler, wie die falsche oder unvollständige Erfassung von Daten, festgestellt.

Informationsinteresse vs. Datenschutzinteresse

Die rechtmäßige Erhebung und Nutzung von personenbezogenen Daten setzt stets entweder eine gesetzliche Ermächtigung oder eine wirksame Einwilligung des Betroffenen voraus. Dazu sind Daten grundsätzlich direkt beim Betroffenen zu erheben (§ 4 Abs. 2 BDSG).

Ausnahmesweise erlaubt § 4 Abs. 2 Nr. 2a BDSG die Erhebung personenbezogener Daten auch ohne Mitwirkung des Betroffenen, wenn dies dem Geschäftszweck nach erforderlich ist. Erforderlich ist in diesem Sinne aber nicht alles, was der Unternehmer als sinnvoll oder wünschenswert ansieht. Als Ausnahme von der Regel ist der Begriff eng auszulegen. Es ist damit nur die Erhebung von Daten erlaubt, auf die der Unternehmer vernünftigerweise und alternativlos angewiesen ist, um seine berechtigten (!) Interessen zu wahren. Diese Interessen müssen einer objektiven Überprüfung standhalten. Es genügt nicht, dass sich ein Unternehmer auf sein individuell erhöhtes Bedürfniss nach Sicherheit beruft. Damit kann eine Bonitätsprüfung ohne Einwilligung etwa im Rahmen der Anbahnung einer Kreditvergabe datenschutzrechtlich zulässig sein. Eine Kundenbeziehung im Versandhandel rechtfertigt dagegen keine dauerhafte Bonitätsprüfung – siehe dazu auch die Stellungnahme des Düsseldorfer Kreises.

Auch in einer weiteren Stellungnahme haben die obersten Aufsichtsbehörden ihre restriktive Haltung unterstrichen: Sie sprechen auch Vermietern von Wohnraum, die durch das auf Dauer angelegte und besonders geschützte Mietvertragsverhältnis ein großes Interesse an der Bonität des Mieters haben, ebenfalls kein grundsätzliches Auskunftsrecht zu.

Fazit

Es besteht grundsätzlich kein Anspruch auf die Prüfung der Bonität von (möglichen) Vertragspartnern. Regelmäßig muss hierzu die Einwilligung des Betroffenen eingeholt werden. Diesem muss klar erkennbar sein, welche Daten abgefragt werden sollen. Andernfalls ist seine Einwilligung nicht wirksam.

Eine datenschutzrechtlich unzulässige Bonitätsprüfung kann Bußgelder und Strafmaßnahmen der Kontrollbehörden zur Folge haben. Auch der Betroffene kann Ansprüche geltend machen.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Anforderungen an den Datenschutzbeauftragten

Durch die moderne Informationstechnologie lassen sich auch größte Datenmengen schnell und einfach verarbeiten, auswerten, weitergeben und speichern. Aus der Perspektive des Datenschutzes ist das eine dementsprechend große Herausforderung. Das Gesetz stellt daher zurecht strenge Anforderungen an die innerbetriebliche Selbstkontrolle durch den Datenschutzbeauftragten (DSB) auf. Die obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich haben die Mindestanforderungen an den Datenschutzbeauftragten in einem Beschluss formuliert.

Die Anforderungen muss der Datenschutzbeauftragte bereits zum Zeitpunkt seiner Bestellung erfüllen. Andernfalls ist die Bestellung eventuell nicht wirksam und die gesetzlichen Vorgaben sind nicht erfüllt. Dies stellt ein Risiko dar – nicht nur deshalb, weil diese Ordnungswidrigkeit unter Umständen mit einem empfindlichen Bußgeld geahndet werden kann.

Die Aufsichtsbehörden empfehlen folgerichtig auch ausdrücklich die Teilnahme an entsprechenden Schulungen bereits vor Beginn der Tätigkeit, um eventuelle Informationsdefizite zu beheben, und auch regelmäßig nach der Bestellung, um einen stets aktuellen Informationsstand sicherzustellen.

1. Fachkunde im Datenschutzrecht

Der Beauftragte für den Datenschutz muss mindestens über folgende technisch-organisatorische Kenntnisse verfügen:

  • Grundkenntnisse zu den Persönlichkeitsrechten der Betroffenen und Mitarbeiter
  • umfassende Kenntnisse der einschlägigen Regelungen des BDSG
  • Kenntnisse des Anwendungsbereiches datenschutzrechtlicher und technischer Vorschriften, der Datenschutzprinzipien und der Datensicherheitsanforderungen insbesondere nach § 9 BDSG. Dies schließt die Fähigkeit ein, die Geeignetheit von technischen und organsisatorischen Maßnahmen zu beurteilen.

2. Branchenspezifische Kenntnisse

Je nach Branche, IT-Infrastruktur und Größe der Organisation und der Sensibilität Daten stellt der Gesetzgeber folgende Anforderungen an den Datenschutzbeauftragten:

  • Umfassende Kenntnis der für das Unternehmen relevanten Vorschriften
  • Fachwissen im Bereich der Informationstechnologie und der Datensicherheit
  • Betriebswirtschaftliches Sachverständnis
  • Kenntnis der Strukturen und Abläufe im Unternehmen
  • Kenntnis über das praktische Datenschutzmanagement

3. Rahmenanforderungen

Neben den persönlichen Anforderungen an den Datenschutzbeauftragten verlangt der Gesetzgeber die Gewährleistung bestimmter Rahmenbedingungen, insbesondere im Hinblick auf die Unabhängigkeit des Datenschutzbeauftragten. Dazu gehören folgende:

  • Der Datenschutzbeauftragte darf bei Erfüllung seiner Aufgaben keinen Interessenkonflikten ausgesetzt sein. Dies bedeutet unter anderem, dass eine Bestellung nicht erfolgen darf, sobald der Beauftragte sich in irgendeiner Weise selbst überwachen müsste. Angehörige der Geschäftsleitung oder Mitarbeiter, die sonst zentrale Verantwortung tragen, scheiden danach regelmäßig aus. Durch ihre Bestellung wird die gesetzliche Verpflichtung nicht erfüllt.
  • Datenschutzbeauftragte sind grundsätzlich auch gegenüber den Verantwortlichen des von ihnen betreuten Unternehmens zur Verschwiegenheit über Informationen verpflichtet, die Rückschlüsse auf bestimmte Personen zulassen.
  • Die Verantwortlichen der zu betreuenden Organisation müssen dem Datenschutzbeauftragten erforderliche Zutritts- und Einsichtsrechte einräumen und gewährleisten, dass er durch entsprechende Weiterbildungen die für die Erfüllung seiner Verpflichtungen notwendigen Kenntnisse pflegt.
  • Internen Datenschutzbeauftragten ist ausreichend Zeit zur Erfüllung ihrer Aufgaben einzuräumen.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Kündigungsschutz für Datenschutzbeauftragte

Mit der Novellierung des Bundesdatenschutzgesetzes am 1.9.2009 wurde der Datenschutzbeauftragte mit einem Kündigungsschutz ausgestattet, § 4f Abs. 3 BDSG. Außer wenn Gründe für eine fristlose Entlassung vorliegen, ist die Kündigung des mit dem betrieblichen Datenschutzbeauftragten abgeschlossenen Arbeitsverhältnisses unzulässig.

Dieser Kündigungsschutz bleibt auch nach einer Abberufung als betrieblicher Datenschutzbeauftragter für ein weiteres Jahr nach der Beendigung der Bestellung bestehen. In dieser Zeit ist eine Entlassung des früheren betrieblichen Datenschutzbeauftragten nur bei Vorliegen von Gründen für eine fristlose Kündigung aus wichtigem Grund (§ 626 BGB) gestattet.

Jedoch kann die Aufsichtsbehörde den bestellten Datenschutzbeauftragten abberufen, wenn er die erforderliche Fachkunde oder Zuverlässigkeit nicht besitzt. Damit kann die Bestellung durch die Unternehmensleitung widerrufen werden, wenn die Aufsichtsbehörde dies verlangt, oder ein wichtiger Grund i.S.v. § 626 BGB gegeben ist.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.