Austausch der IT und ISO 27001-Zertifizierung im Bereich erneuerbare Energien für die Lampe Equity Management GmbH [Best Practice]

Unternehmen, die im Bereich der erneuerbaren Energien bzw. der Energie-Infrastruktur tätig sind, freuen sich seit Jahren über ein schnelles Wachstum. Da kann es schnell passieren, dass die Unternehmens-IT nicht mehr den höchsten Anforderungen entspricht. Wie man mit Hilfe eines externen Sicherheitsbeauftragten die gesamte IT austauscht und eine Sicherheitszertifizierung nach ISO 27001 meistert, zeigt das Best Practice der Lampe Equity Management GmbH.

Die Herausforderung bei der Kunden-IT

Zum Portfolio der Hamburger CEE Group gehören zahlreiche Photovoltaik- und Windparks in Deutschland. Und es werden immer mehr. Um die Prozesse der vielen Unternehmen der CEE Group zu optimieren, bündelte man die IT-Tätigkeiten der Gruppe in der Lampe Equity Management GmbH. Als dort nach einigen Jahren ein Informationssicherheits-Managementsystem (ISMS) eingeführt werden sollte, um die Zertifizierung nach ISO 27001 zu erreichen, wurde Handlungsbedarf sichtbar:

„Unsere IT-Infrastrukturen sind in großem Umfang und sehr organisch gewachsen. Doch dies ist nicht endlos skalierbar, dafür sind die Anforderungen unseres Unternehmens an Effizienz und Sicherheit zu hoch“, erläutert CEE Operations-Geschäftsführer Christian Bertsch-Engel, verantwortlich für die Umstrukturierung der IT-Landschaft der Lampe Equity Management.

Umsetzung 1: Austausch der gesamten IT

Um die Herausforderungen zu meistern, wurde ein Experte der activeMind AG als externer Sicherheitsbeauftragter bestellt. Zudem besetzte man die Position des technischen Leiters neu, um interne und externe Kompetenzen zu bündeln. In einem ersten Arbeitsschritt ging es dann darum, den vollständigen Austausch der vorhandenen Hardware zu realisieren. Christian Bertsch-Engel: „Im laufenden Geschäftsbetrieb die Unternehmens-IT zu ändern, davor scheut man sich ja eher. Für uns war es daher besonders angenehm, dass unser Team während des gesamten Prozesses durch die activeMind AG begleitet wurde.“

So übernahm der externe Sicherheitsbeauftragte die Ausschreibung des Hardware-Austauschs, die Erstellung des Anbieterkatalogs und den Entwurf des technischen Lösungsvorschlags. Auch die Angebotsprüfung und Auswahl des Anbieters wurde durch die activeMind AG durchgeführt. Parallel dazu konnte durch den neuen technischen Leiter ein internes Störungsmanagement entwickelt und implementiert werden.

„Wir setzen vorwiegend auf eigene IT und lagern nicht in Rechenzentren aus. Daher brauchten wir nicht nur neue Workstations, sondern auch Server bzw. die gesamte Storage-Struktur. Das Ergebnis sollte eine prozessorientierte und hochverfügbare Umgebung sein“, so Christian Bertsch-Engel. „Die juristischen, organisatorischen und IT-Kenntnisse der activeMind AG waren hierbei sehr wertvoll. Auch in die Vertragsverhandlungen und die Überprüfung des Anbieters nach § 11 Bundesdatenschutzgesetz (BDSG) hat sich unser externer Sicherheitsbeauftragter wertstiftend eingebracht.“ Insgesamt begleitete die activeMind AG die Lampe Equity Management GmbH bei der technischen Integration bis zur Abnahme.

Umsetzung 2: Vorbereitung zur ISO-Zertifizierung

Auf Basis der neuen Infrastruktur konnte nun die Zertifizierung nach ISO 27001 durch den TÜV angestrebt werden. Der Ausbau des notwendigen IT-Monitorings wurde intern verwirklicht. Der externe Sicherheitsbeauftragte unterstützte währenddessen bei der Risikoanalyse, der datenschutzrechtlichen Prüfung und bei der Erstellung der IT-Dokumentation. Interne Audits bereiteten optimal auf das Zertifizierungsaudit vor.

„In weniger als anderthalb Jahren seit der Erfassung des technischen Ist-Zustands erlangten wir gemeinsam mit der activeMind AG die erfolgreiche Zertifizierung nach ISO 27001 ohne Abweichungen“, freut sich Christian Bertsch-Engel. „Überzeugt hat uns dabei vor allem der Rundum-Service und die pragmatische Herangehensweise der Experten. Mit der activeMind AG an unserer Seite und mit unserer neuen IT sind wir sicherheitstechnisch und datenschutzrechtlich bestens für zukünftiges Wachstum gerüstet!“

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Neufassung des deutschen Datenschutzrechts schreitet zügig voran

Am 25. Mai 2018 wird die EU-Datenschutz-Grundverordnung (DSGVO) unmittelbar anwendbar. Bis zu diesem Zeitpunkt müssen die nationalen Gesetzgeber dafür Sorge tragen, dass Aufsichtsbehörden und Unternehmen gleichermaßen wissen, worauf sie zu achten haben. Auch das deutsche Datenschutzrecht ändert sich in entscheidenden Punkten. Das wichtigste Gesetz dafür könnte schon sehr bald in Kraft treten. Spätestens dann kommt auf datenverarbeitende Unternehmen ein gutes Stück Arbeit zu.

Die Anpassung des deutschen Datenschutzrechts

Um den Anforderungen der neuen europäischen Datenschutz-Grundverordnung gerecht zu werden, muss das bestehende Bundesdatenschutzgesetz (BDSG) in Deutschland geändert werden. Dafür diskutieren die deutschen Gesetzgebungsorgane derzeit das Datenschutz-Anpassungs- und -Umsetzungsgesetz EU (DSAnpUG-EU). Nach dem Entwurf der Bundesregierung (activeMind berichtete) und der ersten Lesung im Bundestag am 9. März 2017 fand bereits am 27. März 2017 eine öffentliche Anhörung im Innenausschuss des Bundestages statt (siehe dieses Video und die Protokolle).

Nach weiteren Überarbeitungen des Gesetzentwurfes könnten die 2. und 3. Lesung im Plenum des Bundestages recht bald stattfinden. Das „BDSG-neu“ wird also recht zügig Realität für alle Unternehmen, die personenbezogene Daten verarbeiten oder durch Dritte verarbeiten lassen.

Kritik am Gesetzesentwurf

Das Datenschutz-Anpassungs- und -Umsetzungsgesetz EU  (als PDF beim Bundestag verfügbar) hat also vor allem zwei Aufgaben: Einerseits muss das BDSG hinsichtlich einiger Aspekte an die Vorschriften der DSGVO angeglichen werden. Andererseits ist der Gesetzgeber aufgerufen, die in der DSGVO vorgesehenen Gestaltungsspielräume für nationales Recht auszudifferenzieren. Auf diesem Wege soll möglichst umfassend Rechtssicherheit geschaffen werden.

Anlässlich der Anhörung im Innenausschuss äußerten einige Sachverständige und Verbände in mündlichen und schriftlichen Stellungnahmen (siehe diese Liste) Kritik am Gesetzesentwurf. Auf der einen Seite würde nicht ausreichend Rechtssicherheit geschaffen. Man würde sogar hinter das derzeit geltende Datenschutzrecht in Deutschland und das Schutzniveau der DSGVO zurückfallen.

Auf der anderen Seite würden mit der Novelle des deutschen Datenschutzrechts zu viele nationale Sonderregelungen geschaffen, die den eigentlichen Zweck der DSGVO konterkarieren – das Datenschutzrecht in der EU zu harmonisieren, um einen grenzüberschreitenden Datenverkehr zu vereinfachen. Peter Schaar, ehemaliger Bundesbeauftragter für Datenschutz und Informationsfreiheit, fasst diese Aspekte in seiner Stellungnahme so zusammen:

„Zu befürchten ist, dass der deutsche Datenschutz teils unter dem in der übrigen EU vorgesehenen Niveau bleibt und auch darüber hinaus Sonderwege beschreitet, die weder im Sinne der Bürgerinnen und Bürger noch der Unternehmen sein können. Zu befürchten ist auch, dass andere Mitgliedstaaten sich an der deutschen Gesetzgebung orientieren und ebenfalls eigene Wege gehen könnten. Im Ergebnis wäre schlimmstenfalls ein weiterhin zersplittertes Datenschutzrecht in der EU.“

Das neue Datenschutzrecht kommt mit Aufgaben

Unabhängig davon, wie berechtigt die angebrachten Kritikpunkte sein mögen, wird die grundlegendste Reform des deutschen Datenschutzrechts der letzten zwei Jahrzehnte sehr bald abgeschlossen sein. Immerhin ist seit Inkrafttreten der DSGVO im Mai 2016 fast die Hälfte der Übergangsfrist bis zur Anwendbarkeit abgelaufen. Der deutsche Gesetzgeber muss sich also tatsächlich beeilen, wenn den Unternehmen Zeit bleiben soll, die neuen Regelungen umzusetzen.

Die Kritik der Sachverständigen und auch des Bundesrates (siehe diese Stellungnahme) zeigt, dass noch akuter Anpassungsbedarf beim Anpassungsgesetz vorliegt. Dennoch könnten nach Einschätzung einiger Experten die 2. und 3. Lesung im Bundestag schon Ende April 2017 erfolgen. Vermutlich will man an federführender Stelle das Gesetz in jedem Fall noch vor der Sommerpause und der Bundestagswahl im September 2017 durchbringen.

Update (20.04.2017): Die zweite und dritte Lesung im Bundestag finden am Donnerstag, 27. April 2017 statt. Zum Gesetzesentwurf liegt eine Beschlussempfehlung des Innenausschusses vor, ebenso die Stellungnahme des Bundesrates mit der Gegenäußerung der Bundesregierung sowie ein Antrag der Fraktion von Die Linke.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Terrorlistenscreening – vereinbar mit dem Datenschutz?

Mit den EU-Anti-Terrorverordnungen (2580/2001/EG, 881/2002/EG und 753/2011/EG) soll die Finanzierung terroristischer Handlungen verhindert werden. Steht ein Mitarbeiter auf einer der Verordnungslisten, darf ihm kein Gehalt ausgezahlt werden. Auch mit „terroristischen“ Kunden oder anderen Vertragspartnern darf kein Handel getrieben werden. Doch können Unternehmen die sogenannten Terrorlisten überhaupt datenschutzkonform auswerten? Und falls ja, wie muss das Terrorlistenscreening ausgestaltet sein?

Was schreiben die EU-Anti-Terrorverordnungen vor?

Ca. 230 als Terroristen geltende natürliche Personen und ca. 100 als terroristisch eingestufte juristische Personen, Gruppen und Organisationen sind derzeit im Anhang I der Verordnung 881/2002/EG zu finden. Die Liste wurde bereits 257 Mal geändert, zuletzt am 15. Dezember 2016. Die „Terroristenliste“ der Verordnung 753/2011/EG umfasst demgegenüber exakt 123 natürliche und juristische Personen, Gruppen, Unternehmen und Einrichtungen und wurde zuletzt am 29. September 2016 aktualisiert.

Gemäß Art. 3 Abs. 2 der Verordnung 753/2011/EG dürfen

„[d]en in Anhang I aufgeführten natürlichen oder juristischen Personen, Gruppen, Unternehmen und Einrichtungen […] weder unmittelbar noch mittelbar Gelder oder wirtschaftliche Ressourcen zur Verfügung gestellt werden oder zugutekommen.“

Ein ähnlicher Wortlaut findet sich in Art. 2 Abs. 2 der Verordnung 881/2002/EG. Bei einem Verstoß gegen die Verordnungen sind erhebliche Sanktionen möglich, von einer Geldbuße und Untersagung der Gewerbefortführung bis zur Freiheitsstrafe.

Wer muss die Terrorlisten screenen?

Nach Art. 14 Verordnung 753/2011/EG (ähnlich Art. 11 Verordnung 881/2002/EG) gilt diese u.a.

„d) für die nach dem Recht eines Mitgliedstaats gegründeten oder eingetragenen juristischen Personen, Gruppen, Unternehmen und Einrichtungen;“

„e) für juristische Personen, Gruppen, Unternehmen und Einrichtungen in Bezug auf Geschäfte, die ganz oder teilweise in der Union getätigt werden.“

Somit sind im Prinzip alle Unternehmen, die Geschäfte in Europa tätigen und / oder hier gegründet oder eingetragen sind, verpflichtet, die Verordnungen einzuhalten.

Ein (fortwährendes) Screenen der Listen wird in den Verordnungen allerdings nicht verlangt. Auch Artikel 14 k der Zollkodex-Durchführungsverordnung (ZK-DVO), der „Sicherheitsüberprüfungen“ und „regelmäßige Hintergrundüberprüfungen“ zur Voraussetzung für die Erlangung des mit Zollvorteilen versehenen Status „Zugelassener Wirtschaftsbeteiligter – AEO“ macht, enthält keine explizite Screening-Pflicht. Gleichwohl verlangt der Zoll auf Grundlage der Leitlinien „Zugelassener Wirtschaftsbeteiligter“ von antragstellenden Unternehmen die Bestätigung, dass die Terrorlisten im Rahmen der Sicherheitsüberprüfungen herangezogen werden (vgl. Fragekatalog zur Selbstbewertung – AEO Punkt 6.11.3 und 6.12.1.).

Ist der Abgleich (von Mitarbeiterdaten) datenschutzkonform?

Zunächst ist festzustellen, dass die Verordnungen als solche das Datenschutzrecht nicht „überlagern“ bzw. „verdrängen“. Dies folgt u. a. aus dem Umstand, dass das Screening als solches in den Verordnungen nicht gefordert und somit auch nicht für zulässig erklärt wird.

Vor diesem Hintergrund hatten sich die Datenschutzbehörden in der Vergangenheit kritisch zu einem pauschalen und anlasslosen Screening von Mitarbeitern positioniert. Dieses könne weder als erforderlich angesehen werden, noch genüge es rechtsstaatlichen Prinzipien. Weniger bedenklich (allerdings uneinig) hatte sich der Datenschutzkreis gegenüber dem Screenen von Kundendaten gezeigt. Ausführlich und vergleichsweise differenziert hatte auch der (ehemalige) Bundesbeauftragte für den Datenschutz und die Informationsfreiheit zum Thema Stellung bezogen.

Der Bundesfinanzhof (BFH) hat die durch die Datenschützer mitverursachte Rechtsunsicherheit mit seinem Urteil vom 19.06.2012 beseitigt. Der BFH hält die Vorgabe des Zolls, das Erlangen des AEO-Zertifikats vom Screenen der Anti-Terrorverordnungen abhängig zu machen, für datenschutzkonform. Das Screenen könne als erforderlich angesehen werden; schutzwürdige Interessen der Mitarbeiter würden bereits aufgrund der geringen Sensitivität der für den Abgleich erforderlichen Daten nicht überwiegen.

Was darf bzw. muss gescreent werden?

Hinsichtlich der Art der auszuwertenden Daten ist das Datensparsamkeitsgebot (Art. 5 Abs. 1 lit. c, Art. 25 Abs. 1 DSGVO) zu beachten. Danach dürfen nur Stammdaten gescreent werden, wozu der Name, die Anschrift, das Geburtsdatum und / oder der Geburtsort zählen. Auch eine Pseudonymisierung der Daten sollte vor dem Hintergrund des Datensparsamkeitsgrundsatzes geprüft werden.

Wann und wie oft muss gescreent werden?

Wohl auch angesichts der in den Verordnungen fehlenden Screening-Pflicht hat die Bundesregierung 2010 in einer Stellungnahme die Pflicht eines Unternehmens zu einem systematischen und anlassunabhängigen Abgleich seiner Kunden- und Mitarbeiterdateien verneint. Eine Screening-Pflicht bestehe „allenfalls nach Maßgabe von Sorgfaltspflichten“.

Angesichts der drohenden Sanktionen und der nunmehr (weitgehend) geklärten Datenschutzrechtslage sollten dennoch im Rahmen des betrieblichen Compliance-Managements, soweit praktisch sinnvoll und handhabbar, regelmäßige Abgleiche erfolgen.

Zur Ermittlung einer sinnvollen Prüffrequenz kann bei (kleinen) ressourcenschwachen Unternehmen auf die in den benannten Leitlinien aufgestellte Mindestprüfpflicht von einem Jahr abgestellt werden. Diese Mindestprüfpflicht greift jedoch – zumindest hinsichtlich AEO – nicht, wenn Güter aus einem sicherheitsrelevanten Bereich betroffen sind. In diesem Fall sollte eine höhere Prüffrequenz angesetzt werden.

Worauf muss bei der Einbindung eines Dienstleisters geachtet werden?

Eine fortwährende Überprüfung der Terrorlisten kann für ein Unternehmen sehr lästig sein, weshalb verschiedene Dienstleister den Abgleich anbieten (Beispiel 1, Beispiel 2). Die Beauftragung eines Dienstleisters ist grundsätzlich im Rahmen einer Auftragsverarbeitung (Art. 28, 29 DSGVO) datenschutzkonform möglich.

Erforderlich ist eine dokumentierte Prüfung der organisatorischen und technischen Maßnahmen des Dienstleisters. Es sollte insbesondere geprüft und dokumentiert werden, ob der Dienstleister aktuelle Terrorlisten verwendet und mit welchen konkreten Methoden das Screening erfolgt. Die Einbindung erfordert zudem den Abschluss eines Auftragsverarbeitungsvertrages.

Was muss beim Terrorlistenscreening noch beachtet werden?

Die datenschutzkonforme Einführung des Verfahrens erfordert eine  Datenschutzfolgenabschätzung (Art. 35 DSGVO) durch den  Verantwortlichen. Neben dem Datenschutzbeauftragten muss auch der Betriebsrat rechtzeitig informiert werden, dem beim Einsatz einer Screening-Software u. U. ein Mitbestimmungsrecht im Sinne von § 87 Abs. 1 Nr. 6 BetrVG zusteht.

Schließlich müssen sowohl die Mitarbeiter als auch die Kunden und sonstigen Vertragspartner über die Umstände des Screenings informiert werden.

Fazit: Terrorlistenscreening ist datenschutzkonform durchführbar

Auch wenn die Terrorismusverordnungen ein Screenen nicht ausdrücklich verlangen, kann dieses aus datenschutzrechtlicher Sicht als erforderlich angesehen werden. Der Abgleich kann im Wege der Auftragsverarbeitung auf einen Dienstleister übertragen werden. Neben dem Datenschutzbeauftragten muss auch der Betriebsrat eingebunden werden. Die vom Screening Betroffenen sind über die Umstände zu informieren.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Wann dürfen Arbeitgeber von Mitarbeitern ein Führungszeugnis verlangen?

Wer als Unternehmen neue Mitarbeiter sucht, hat ein berechtigtes Interesse daran, den Bewerbern ordentlich „auf den Zahn zu fühlen“. Schließlich gehen mit jedem Mitarbeiter nicht unerhebliche Kosten einher. Neben Ausbildung, Berufserfahrung und Soft-Skills könnten dabei auch das Legalverhalten eines Bewerbers bzw. im Umkehrschluss etwaige Straftaten interessieren. Die Anforderung eines Führungszeugnisses liegt da nahe. Doch in welchen Fällen erlaubt der Datenschutz dem Arbeitgeber überhaupt ein solches Führungszeugnis zu verlangen? Wann ist das Zeugnis sogar vorgeschrieben? Welche Version dieses Bundeszentralregisterauszuges ist die richtige? Und wie darf mit den darin enthaltenen Daten des Bewerbers umgegangen werden?

Was steht in einem Führungszeugnis?

Das Führungszeugnis, umgangssprachlich auch „polizeiliches Führungszeugnis“ genannt, ist ein Auszug aus dem Bundeszentralregister. Dort werden strafrechtliche Verurteilungen durch deutsche Gerichte, Vermerke über Schuldunfähigkeit, bestimmte Verwaltungsentscheidungen und weitere besondere gerichtliche Feststellungen eingetragen. Auch ausländische Verurteilungen gegen deutsche Staatsbürger sowie gegen in Deutschland geborene oder wohnhafte Personen werden dort eingetragen.

Jeder, der über 14 Jahre alt ist, kann einen Auszug aus dem Bundeszentralregister, also ein Führungszeugnis, beantragen. Das geht entweder persönlich beim Einwohnermeldeamt am Haupt- oder Nebenwohnsitz oder schriftlich, sofern die Identität des Beantragenden nachgewiesen ist, etwa durch eine amtliche Beglaubigung der Unterschrift.

Welche Arten und Zwecke von Führungszeugnissen gibt es?

Das Führungszeugnis kann entweder für private Zwecke oder zur Vorlage bei einer Behörde beantragt werden:

Das „Führungszeugnis für private Zwecke“ wird vom Bundesjustizministerium direkt an den Antragsteller geschickt, so dass dieser weiß, welche Angaben über ihn im Bundeszentralregister vermerkt sind. Dabei werden jedoch nur Verurteilungen aufgeführt, bei denen die Geldstrafe über 90 Tagessätze liegt bzw. eine Bewährungsstrafe von mehr als drei Monaten verhängt wurde, sofern keine weiteren Vorstrafen bestehen.

Das „Führungszeugnis für eine Behörde“ wird dagegen nach Beantragung durch den Betroffenen direkt an die Behörde geschickt, die das Führungszeugnis verlangt hat.  Es muss dazu auch angegeben werden, zu welchem Zweck die Behörde das Führungszeugnis benötigt. Im Führungszeugnis für eine Behörde sind deutlich mehr Informationen vermerkt, als im Führungszeugnis für private Zwecke, zum Beispiel auch der Widerruf eines Waffenscheines oder einer Gewerbeerlaubnis, die gerichtlich angeordnete Unterbringung in einer psychiatrischen Anstalt oder gerichtliche Entscheidungen über eine mögliche Schuldunfähigkeit. Jeder Betroffene hat aber die Möglichkeit, das Führungszeugnis für eine Behörde zunächst beim zuständigen Amtsgericht einzusehen. Dann kann immer noch entschieden werden, ob das Führungszeugnis an die Behörde weitergeleitet werden soll. Entscheidet sich der Betroffene dagegen, so wird das Führungszeugnis direkt vom Amtsgericht vernichtet.

Das „Europäische Führungszeugnis“ ist vor allem für Menschen wichtig, die die Staatsangehörigkeit eines anderen EU-Mitgliedsstaates besitzen. Denn auf diesem Wege wird zusätzlich zur Bundeszentralregisterauskunft auch ein Nachweis über Verurteilungen erbracht, die im Herkunftsland stattgefunden haben.

In aller Munde ist seit einigen Jahren auch das „Erweiterte Führungszeugnis“, für dessen Beantragung man ein zusätzliches Aufforderungsschreiben vorlegen muss. Das erweiterte Führungszeugnis ist deutlich umfangreicher als das „Führungszeugnis für private Zwecke“, denn dort werden zusätzlich noch Verurteilungen wegen Sexualstraftaten, weiterer Sexualdelikte und anderer für den Schutz von Kindern und Jugendlichen besonders relevanter Straftatbestände vermerkt, auch wenn diese Verurteilungen schon lange zurückliegen und die verhängten Strafen gering waren. Hintergrund ist, dass das erweiterte Führungszeugnis gemäß § 72a SGB VIII zur Prüfung der persönlichen Eignung von Menschen benötigt wird, die in ihrer beruflichen oder ehrenamtlichen Tätigkeit mit Minderjährigen in Kontakt kommen. Das betrifft etwa Erzieher, Lehrer, Nachhilfelehrer, Leiter von Jugendgruppen usw.

Wie kommt der Arbeitgeber an das Führungszeugnis?

Der Arbeitgeber hat nicht die Möglichkeit, das Führungszeugnis beim Bundesjustizministerium selbst anzufordern. Beantragen kann das Führungszeugnis nur der Betroffene selbst. Es wird daher in aller Regel eine Klausel in den Arbeitsvertrag aufgenommen werden, wonach der Arbeitnehmer die Vorlage eines Führungszeugnisses, in den Fällen des § 72a SGB VIII sogar eines erweiterten Führungszeugnisses, bis zu einem bestimmten Zeitpunkt schuldet.

In welchen Fällen darf der Arbeitgeber ein Führungszeugnis verlangen?

Artikel 32 Bundesdatenschutzgesetz (BDSG) stellt klar, dass vom Arbeitgeber nur solche personenbezogenen Daten erhoben, verarbeitet und genutzt werden dürfen, die notwendig sind, um zu entscheiden, ob jemand eingestellt wird bzw. die für die Durchführung und später die Beendigung des Arbeitsverhältnisses gebraucht werden.

Sofern

  • der Arbeitgeber als freier Träger der Jugendhilfe anerkannt oder ein gemeinnütziger Verein ist oder
  • der Arbeitnehmer durch seine Tätigkeit in Kontakt mit Minderjährigen kommen kann bzw. die Tätigkeit in vergleichbarer Weise geeignet ist, Kontakt mit zu Minderjährigen aufzunehmen,

ist die Vorlage eines erweiterten Führungszeugnisses durch das Gesetz vorgeschrieben bzw. erlaubt (§ 72a SGB VIII, § 30a BZRG). Also müssen die Träger der Jugendhilfe bzw. dürfen die übrigen Arbeitgeber aus diesem Bereich das erweiterte Führungszeugnis verlangen.

Erforderlich ist jedoch, dass die jeweiligen Berufsgruppen tatsächlich von ihrer Aufgabenstellung her Kontakt mit Kindern und Jugendlichen haben können, der zu einer besonderen Gefahrensituation führen kann. Nur die Tatsache, dass z. B. ein Bäckereifachverkäufer morgens auch belegte Brote an Schulkinder verkauft, reicht hier nicht aus. Das Landesarbeitsgericht Hamm hat dazu zwar entschieden, dass dem Arbeitgeber ein Beurteilungsspielraum bei der Frage zusteht, ob eine besondere Gefahrensituation entstehen kann. Die bloße Möglichkeit, dass ein Arbeitnehmer zukünftig mit minderjährigen Kunden, Praktikanten oder Auszubildenden in Kontakt treten könnte, rechtfertigt die Vorlage eines erweiterten Führungszeugnisses jedoch regelmäßig nicht (LAG Hamm, Urteil vom 4.7.2014, Az. 10 Sa 171/14).

In allen anderen Fällen sollte der Arbeitgeber abwägen:

  • Ist die Frage nach möglichen Vorstrafen für den angestrebten Arbeitsplatz und die Tätigkeit von Bedeutung?
  • Und wenn ja, wäre die Anforderung des Führungszeugnisses mit einem unverhältnismäßigen Eingriff in die Privatsphäre des Bewerbers bzw. des Arbeitnehmers verbunden?

Es steht also das Informationsinteresse des Arbeitgebers im Kontrast zu einem möglichen Resozialisierungsinteresse des Arbeitnehmers. Und genau hier liegt das Problem: Denn es gibt zwar bei fast jedem Arbeitsplatz mögliche Verurteilungen, an deren Mitteilung der Arbeitgeber ein berechtigtes Interesse hat. Andererseits enthält das Führungszeugnis gegebenenfalls auch Angaben zu Verurteilungen, die den Arbeitgeber im Rahmen der aktuellen Stellenausschreibung nichts angehen (z. B. Verurteilung wegen Steuerhinterziehung bei einem Bewerber um die Stelle, bei der der Arbeitnehmer keinen Zugriff auf die Kasse hat).

Aus diesem Grund ist es rechtlich höchst umstritten, ob ein Arbeitgeber generell ein Führungszeugnis von seinem Arbeitnehmer verlangen darf. Die herrschende Meinung verweist darauf, dass der Arbeitgeber seine Fragen im Vorstellungsgespräch klären kann. Die Rechtsprechung erlaubt ihm nämlich, nach Straftaten oder Vorstrafen zu fragen, die einen konkreten Bezug zum Arbeitsverhältnis aufweisen. Diese Fragen muss der Bewerber wahrheitsgemäß beantworten. Die zusätzliche Anforderung eines Führungszeugnisses wird daher von vielen Juristen als „unverhältnismäßig“ abgelehnt.

Eine Ausnahme besteht nur dann, wenn für die zu besetzende Stelle jegliches strafrechtliches Vorverhalten relevant ist. Das wird zum Beispiel bei Datenschutzbeauftragten, Compliance-Verantwortlichen oder Kundenberatern bei einer Bank angenommen.

Welche Angaben aus dem Führungszeugnis der Arbeitgeber verwenden?

Auch ein rechtmäßig angefordertes Führungszeugnis eines Arbeitnehmers kann Angaben enthalten, die den Arbeitgeber eigentlich nicht interessieren dürfen. Das betrifft insbesondere Verurteilungen aus Bereichen, die in keinem direkten Zusammenhang mit der ausgeübten Tätigkeit stehen (z. B. eine Verurteilung wegen Fahrens ohne Fahrerlaubnis bei einem Büromitarbeiter).

Von diesen Verurteilungen erhält der Arbeitnehmer durch die Vorlage des Führungszeugnisses Kenntnis, darf aber hiernach im Vorstellungsgespräch nicht fragen. Es ist daher erforderlich, den Kreis der Personen, die Zugriff auf das Führungszeugnis hat, auf das Notwendigste zu begrenzen. Gleichzeitig muss sichergestellt werden, dass diese „Zufallsfunde“ keine Auswirkungen auf das Arbeitsverhältnis haben. Sie dürfen insbesondere nicht als Grundlage für Abmahnungen oder Kündigungen herangezogen werden.

Praxistipp: Prinzipien von Datensparsamkeit und Datenschutz anwenden

In denjenigen Fällen, in denen ein Arbeitgeber zu Recht ein Führungszeugnis oder erweitertes Führungszeugnis anfordert, sollte dafür Sorge getragen werden, dass nur diejenigen Informationen beim Arbeitgeber verbleiben, auf die der Arbeitgeber einen Anspruch hat. Dazu kann zunächst für die im Unternehmen vorkommenden Berufsbilder definiert werden, über welche möglichen Verurteilungen der Arbeitgeber Bescheid wissen sollte.

Dann wird eine zur Verschwiegenheit auch gegenüber dem Arbeitgeber verpflichtete Person beauftragt, die eingehenden Führungszeugnisse dahingehend zu überprüfen, ob in diesen eine der vorher festgelegten Verurteilungen aufgeführt ist. Diese Person erstellt dann für die Personalakte eine Bestätigung, dass das Führungszeugnis vorlegt wurde und dass es entweder keine relevanten Eintragungen enthält oder dass es solche enthält.

Enthält es keine relevanten Einträge verbleibt das Führungszeugnis beim Arbeitnehmer und die Bestätigung wird in die Personalakte aufgenommen. Damit ist sichergestellt, dass niemand Kenntnis von möglichen, nicht-einschlägigen Verurteilungen Kenntnis erlangt.

Sollten dagegen im Führungszeugnis tatsächlich relevante Einträge enthalten sein, so geht diese Information an diejenigen Personen, die über die Einstellung entscheiden. Denn in diesem Fall gibt es ganz sicher Gesprächsbedarf mit dem Arbeitnehmer.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Haftung des Datenschutzbeauftragten

Wer von einem Unternehmen als interner oder externe Datenschutzbeauftragter (DSB) bestellt wird, hat darauf hinzuwirken, dass das Unternehmen ausschließlich datenschutzkonform tätig ist. Mit dieser Verantwortung kommt auf den betrieblichen Datenschutzbeauftragten auch eine gewisse Haftung zu. Wann und in welchem Umfang der DSB haftet und wie sich Haftungsrisiken von internen und externen Datenschutzbeauftragten unterscheiden, erklären wir Ihnen in diesem Artikel.

Wofür haftet der Datenschutzbeauftragte?

Ein Datenschutzbeauftragter kann viele Fehler machen, für die er haftbar gemacht werden kann:

  1. Besonders gravierend sind Problembereiche, die der DSB zwar erkannt, aber nicht gegenüber der verantwortlichen Stelle moniert hat und aus denen dann ein Schaden entsteht, etwa, weil ein Bußgeld gegen das Unternehmen verhängt wird.
  2. Auch wenn der Datenschutzbeauftragte in einer Schulung falsche Informationen an die Mitarbeiter weitergegeben hat und in Folge sensible Daten nach außen dringen, muss sich der DSB in der Verantwortung sehen.
  3. Und schließlich gibt es Mängel, die der Datenschutzbeauftragte (aus einem Mangel an Fachkunde) nicht erkennt, aber hätte erkennen müssen. Auch hierfür sind zahlreiche Konstellationen denkbar.

Wichtig ist dabei vor allem zu wissen, dass der Datenschutzbeauftragte grundsätzlich sowohl für sein eigenes Tun (insbesondere falsche, unvollständige oder zu späte Datenschutzberatung) als auch für sein Unterlassen (fehlender Hinweis auf organisatorische Probleme, „Übersehen“ von Fehlern und Pannen) haftet.

Hat der Datenschutzbeauftragte jedoch die Probleme klar benannt, der Auftraggeber als „verantwortliche Stelle“ dann allerdings die Umsetzung unterlassen oder verzögert, so ist dies zunächst erstmal nicht das Problem des Datenschutzbeauftragten. Denn er selbst hat nicht die Macht oder die Pflicht, Veränderungen im Unternehmen herbeizuführen. Der DSB kann und soll nur auf die Einhaltung der einschlägigen rechtlichen Regelungen „hinwirken“ – und nur dafür haftet er. Er muss sich jedoch bewusst sein, dass es im schlimmsten Fall auch seine Aufgabe sein kann, die Aufsichtsbehörde zu informieren, dass in dem Unternehmen in datenschutzrechtlicher Hinsicht etwas ziemlich schiefläuft.

Wer könnte Haftungsansprüche an den DSB stellen?

Zu Veranschaulichung der möglichen Haftungsansprüche an einen Datenschutzbeauftragten, soll ein Worst-Case-Szenario herangezogen werden: Wenn durch ein Datenleck personenbezogene Daten an Unbefugte gelangen, kann das schnell zu einem großen Schaden führen. Man denke nur an Kreditkartendaten von Kunden, die plötzlich durch Kriminelle genutzt werden. Das führt nicht nur zu konkreten finanziellen Schäden auf dem Konto der Betroffenen. Auch das beklaute Unternehmen selbst trägt von einer solchen Aktion regelmäßig einen großen finanziellen und Imageschaden davon.

Der Datenschutzbeauftragte sieht sich nun gleich einer ganzen Reihe von Anspruchstellern gegenüber:  Neben den direkt Betroffenen werden auch die mittelbar Betroffenen (in diesem Beispiel die Banken und deren Versicherungen) und der Auftraggeber Schadenersatzansprüche erheben. Und nicht zuletzt könnten sich auch die Aufsichtsbehörde und die Staatsanwaltschaft einschalten. Es drohen Geldbußen und -strafen.

Aufsichtsbehörde, Staatsanwaltschaft und Betroffene werden sich mit ihren Ansprüchen in der Regel an den Auftraggeber des Datenschutzbeauftragten wenden. Denn dieser ist „verantwortliche Stelle“ im Sinne des Gesetzes. Der Auftraggeber wird jedoch bei Geldforderungen oft versuchen, möglichst viel davon vom Datenschutzbeauftragten erstattet zu bekommen.

Welches finanzielle Risiko geht mit der Haftung einher?

Interner Datenschutzbeauftragter

Der interne Datenschutzbeauftragte ist beim Auftraggeber als Arbeitnehmer beschäftigt und genießt daher die Vorteile des sogenannten „innerbetrieblichen Schadensausgleichs“. Danach muss ein Schaden nur dann vom Mitarbeiter aus der eigenen Tasche gezahlt werden, wenn er vorsätzlich oder grob fahrlässig verursacht wurde:

  1. Im Falle der groben Fahrlässigkeit ist bei einem deutlichen Missverhältnis zwischen der Schadenshöhe und dem Einkommen des Datenschutzbeauftragten jedoch auch eine Haftungserleichterung möglich.
  2. Bei mittlerer Fahrlässigkeit wird der Schaden zwischen Arbeitgeber und Arbeitnehmer aufgeteilt. Wie hoch der Anteil des Datenschutzbeauftragten ist, hängt dabei von den Umständen des konkreten Falles ab.
  3. Im Ergebnis trägt aber nur bei leichter Fahrlässigkeit der Arbeitgeber den Schaden komplett und kann nicht auf den internen Datenschutzbeauftragten zurückgreifen.

Dabei ist es wichtig zu wissen, dass „grob fahrlässig“ auch handelt, wer Aufgaben übernimmt, die er vorhersehbar nicht ordentlich erledigen können wird – etwa wegen mangelnder Fachkunde.

Diese Regelungen gelten, sofern im Arbeitsvertrag oder im Rahmen der Bestellung keine für den Datenschutzbeauftragten besseren Regelungen getroffen wurden. Schlechtere Haftungsregelungen für den Datenschutzbeauftragten wären im Arbeitsvertrag allerdings grundsätzlich unzulässig.

Externer Datenschutzbeauftragter

Der externe Datenschutzbeauftragte ist im Gegensatz zum internen Datenschutzbeauftragten beim Auftraggeber nicht angestellt. Er ist selbständig oder ist bei einer anderen Firma angestellt. Immer wieder gibt es auch Fälle, in denen ein angestellter, also interner Datenschutzbeauftragter gleichzeitig noch andere Unternehmen seines Konzerns betreut. Bei diesen ist er dann externer Datenschutzbeauftragter.

Ein externer Datenschutzbeauftragter profitiert selbstredend nicht vom „innerbetrieblichen Schadenausgleich“. Deshalb gilt: Für einen Schaden ist zu haften, wenn er verschuldet, also wenigstens fahrlässig verursacht wurde.

Ist der Datenschutzbeauftragte im Auftrag seines Arbeitsgebers beim Geschädigten eingesetzt, wirken die Grundsätze des innerbetrieblichen Schadensausgleichs nur indirekt. Dann haftet nach außen das Unternehmen, welches den DSB stellt, im Innenverhältnis gelten die oben beschriebenen Regeln.

Welche strafrechtlichen Aspekte betreffen den Datenschutzbeauftragten?

Da der Datenschutzbeauftragte selbst keine Weisungsbefugnisse hat und für die Umsetzung des Datenschutzes nicht verantwortlich ist, kann er sich nur wegen Beihilfe zu Datenschutzverletzungen strafbar machen. Das wäre insbesondere dann der Fall, wenn der Datenschutzbeauftragte eine datenschutzrechtlich unzulässige Aktion – aus welchen Gründen auch immer – bewusst „durchgehen lässt“.

Wie können sich Datenschutzbeauftragte gegen Haftung absichern?

Sorgfältige Arbeit ist ohne Zweifel die beste Absicherung für einen Datenschutzbeauftragten. Dazu gehören neben eigener Sach- bzw. Fachkunde und regelmäßiger Fortbildung auch die genaue Dokumentation der eigenen Arbeit. Als letzter Ausweg müssen die Einschaltung der Aufsichtsbehörde in Betracht gezogen und die Argumente für die getroffene Entscheidung über die Einschaltung dokumentiert werden.

Gerade beim Konzern-Datenschutzbeauftragten gibt es darüber hinaus häufig auch den Wunsch, diesen von allen Haftungsrisiken bestmöglich zu befreien. Denn die ab Mai 2018 anwendbare EU-Datenschutz-Grundverordnung stellt deutlich höhere – existenzbedrohende! – Bußgelder und Sanktionen für Datenschutzverletzungen in Aussicht.

Um den Datenschutzbeauftragten vor solchen Zahlungen bestmöglich zu schützen, sind daher Vereinbarungen möglich, wonach die Unternehmen die Schadenersatzforderungen in den relevanten Fällen selbst tragen und den Datenschutzbeauftragten von der Haftung freistellen. Eine andere Möglichkeit wäre, eine Berufshaftpflichtversicherung für den Datenschutzbeauftragten abzuschließen.

Wichtig ist: Weder Freistellungserklärung noch Versicherung dürfen dazu führen, dass der Datenschutzbeauftragte seine Arbeit schleifen oder in kritischen Situationen den Arbeitgeber gewähren lässt. Denn vorsätzliches Handeln ist bei Freistellungserklärungen und Versicherungen immer, grob fahrlässiges Handeln in der Regel ausgenommen. In diesen Fällen würde der Datenschutzbeauftragte also dennoch selbst haften.

Vollständig aktualisierte Version des Artikels, zuerst erschienen am 15. April 2011.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Wie bestellt man einen externen Datenschutzbeauftragten?

Die meisten Unternehmen in der EU mit mehr als neun Mitarbeitern müssen einen Datenschutzbeauftragten bestellen. Für die allermeisten lohnt es sich dabei, auf einen externen Datenschutzbeauftragten zu setzen. Denn ein solcher Experte verfügt bereits über das notwendige juristische, technische und organisatorische Wissen, um den Datenschutz im Unternehmen effektiv und rechtskonform umzusetzen. Wie die Bestellung eines externen Datenschutzbeauftragten (DSB) funktioniert, erklären wir Ihnen in fünf einfachen Schritten!

1. Schritt: Auswahl des geeigneten Datenschutzbeauftragten

Wenn Sie sich im Unternehmen entschieden haben, anstelle eines Mitarbeiters (als internen betrieblichen DSB) lieber einen Datenschutz-Experten als externen Datenschutzbeauftragten zu bestellen, sollten Sie bei der Auswahl des geeigneten Dienstleisters mindestens auf folgende Merkmale achten:

  • Die als externe DSB zu bestellenden Mitarbeiter des Anbieters verfügen über eine entsprechende juristische Qualifikation mit Spezialisierung auf das Datenschutzrecht und die datenschutzrechtlichen Nachbargebiete.
  • Der Anbieter hat Mitarbeiter, die umfassende IT-Kenntnisse vorweisen können, denn nur so kann der Anbieter Ihre IT überhaupt richtig prüfen und Ihnen bei der konkreten Umsetzung der gesetzlichen Vorgaben in Ihrem Unternehmen helfen.
  • Das Team des Anbieters verfügt nachweislich über eine mehrjährige (Berufs-)Erfahrung im Bereich Datenschutz und Datensicherheit, damit alle Beratungsprozesse möglichst hochgradig optimiert sind.
  • Der Anbieter kann Erfahrungen aus Ihrer Branche vorweisen, so dass etwaige Spezialisierungen Ihres Geschäftsmodells nicht zu unerwarteten Hindernissen werden.
  • Die Integration des internationalen Datenschutzrechts ist beim Anbieter eingeschlossen, damit Sie beim Einsatz von Cloud-Computing, Datentransfers in die USA oder dem Einsatz von Software-as-a-Service (SaaS) datenschutzkonform arbeiten können.
  • Im Idealfall gestaltet der Anbieter seine Leistungs- und / oder Kostenstruktur für den externen Datenschutzbeauftragten transparent (z. B. als Datenschutz-Flatrate), so dass Sie vor Kostenfallen bzw. bösen Überraschungen sicher sind.

2. Schritt: Kick-off-Meeting & Dokumentenprüfung

Nachdem Sie sich für das zu Ihrem Unternehmen passende Angebot entschieden haben, wird bzw. sollte ein Kick-off-Meeting stattfinden. Bei dieser ersten Besprechung (vor Ort) werden Ihr Management und andere Verantwortliche

  • über die rechtlichen und tatsächlichen Anforderungen des Datenschutzes und der damit zusammenhängenden Fragen der Datensicherheit informiert
  • und auf die zu erfüllenden Aufgaben vorbereitet.

Zu diesem Kick-off-Meeting sollten Sie dem Datenschutz-Dienstleister vorhandene Unterlagen über den aktuellen organisatorischen und technischen Status im Bereich Datenschutz und IT-Sicherheit vorlegen können. Manche Anbieter wollen diese Unterlagen bereits vorab sichten. Sie können in der Regel anonymisiert und von Geschäftszahlen bereinigt sein.

Der zukünftige externe Datenschutzbeauftragte wird diese Unterlagen sichten, bewerten und auf Vollständigkeit sowie Rechtskonformität überprüfen. Dabei prüft er unter Umständen auch gleich die Website Ihres Unternehmens mit.

[av_sidebar widget_area=’artikelserie-dsb‘ av_uid=’av-1qzwnh3′]

3. Schritt: Datenschutz-Audit

Als nächster Schritt bei der Bestellung des externen Datenschutzbeauftragten folgt das Datenschutz-Audit direkt bei Ihnen im Unternehmen. Das Audit sollte an dem Standort erfolgen, an dem die maßgebliche Unternehmens-IT betrieben wird, damit sich die Prüfer einen konkreten Eindruck verschaffen können.

Im Rahmen des Datenschutz-Audits werden mit unterschiedlichen Verantwortlichen – insbesondere aus den Bereichen IT, Personal, Marketing und Vertrieb – Fragen zu IT-Sicherheitsmanagement, Datenschutzmanagement und Gebäudesicherheit abgeklärt.

Das Audit dient dazu, den Ist-Zustand im Bereich des Datenschutzes zu dokumentieren. Es werden die im Unternehmen bereits getroffenen und noch umzusetzenden Maßnahmen erfasst, die für einen datenschutzkonformen Zustand erforderlich sind.

Im Idealfall prüfen die Experten des Datenschutz-Anbieters nach anerkannten und systematischen Kriterien, etwa den Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Davon können Sie ausgehen, wenn ein entsprechend zertifizierter BSI-Auditor dabei ist.

4. Schritt: Auditbericht & Maßnahmenkatalog

Der folgende Auditbericht stellt gewissermaßen die Arbeitsgrundlage für den zu bestellenden externen Datenschutzbeauftragten dar. Dieser kann daraus die fortlaufende Verbesserung der datenschutzrechtlichen Situation in Ihrem Unternehmen herleiten bzw. herbeiführen. Dafür sollte der Bericht

  • eine ausführliche Beschreibung der beim Audit vorgefundenen datenschutzrechtlichen Situation im Unternehmen beinhalten und
  • zu den einzelnen Befunden jeweils eine Handlungsempfehlung geben.

Bei sehr guten Datenschutz-Anbietern sind die Handlungsempfehlungen im Auditbericht mit verschiedenen Prioritätsstufen und Reifegraden versehen. Dadurch können Sie schnell erkennen, ob die Umsetzung die Erfüllung des gesetzlich geforderten Mindeststandards darstellt oder ein darüberhinausgehendes Datenschutz- und Datensicherheitsmanagement verwirklicht.

Übrigens: Für viele kleinere Unternehmen sind die Datenschutz-Maßnahmen bis zu diesem Zeitpunkt bei einigen Anbietern durch das Bundesamt für Wirtschaft und Ausfuhrkontrolle (BAFA) finanziell förderbar.

5. Schritt: Bestellung des externen Datenschutzbeauftragten

Nach diesen wichtigen Vorbereitungsschritten sind Sie soweit: Sie können den Experten des Anbieters als externen Datenschutzbeauftragten bestellen. Die Bestellung als formaler Akt sollte dokumentiert erfolgen (z. B. mit unserer Vorlage zur DSB-Bestellung).

Je nach Anbieter kann es sein, dass Sie hierbei zwischen verschiedenen Tarifen wählen können, z. B. von der einfachen Umsetzung der gesetzlichen Mindestanforderungen bis hin zum proaktiven Datenschutz-Management. Bei der Entscheidungsfindung sollten Sie vor allem folgende Aspekte beachten:

  • Wie viele Aufgaben wollen Sie an den externen Datenschutzbeauftragten delegieren – und wie viele können Sie überhaupt intern erledigen?
  • Ist Ihr Unternehmen in einer hinsichtlich des Datenschutzes besonderen Branche (z. B. Finanzen, Gesundheit) tätig?
  • Verfügt Ihr Unternehmen über mehrere Standorte, ggfs. sogar im Ausland bzw. handelt es sich um einen Konzern?

Fazit: Machen Sie den Datenschutz zur Chefsache

Die geschilderten fünf Schritte sind ein prototypischer Weg zur Bestellung eines externen Datenschutzbeauftragten im Unternehmen. Die Vorschläge beruhen auf der langjährigen Praxis der activeMind AG in diesem Bereich. Andere Anbieter können durchaus andere Wege nehmen.

Als Unternehmer sollten Sie jedoch darauf achten, dass Ihr Weg zum externen Datenschutzbeauftragten ähnlich systematisch erfolgt. Denn nur systematisch umgesetzter und entsprechend dokumentierter Datenschutz macht Ihr Unternehmen rechtskonform – und verschafft Ihnen darüber hinaus einen Wettbewerbsvorteil. Selbst wenn Ihnen das Thema Datenschutz also lästig erscheinen sollte, die Bestellung eines externen Datenschutzbeauftragten sollten Sie zur Chefsache machen!

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

ISO 27001 Zertifizierung für IT-Beratungsunternehmen Infosys Consulting [Best Practice]

Für IT-, Strategie-, Management- und Unternehmensberatungen spielen Datenschutz und Datensicherheit eine herausragende Rolle. Denn der Umgang mit Daten von Kunden und deren Kunden gehört in Zeiten von Cloud-Computing, Big-Data und Business-Intelligence zum Alltag. Ein gut implementiertes Informationssicherheits-Managementsystem (ISMS) hilft hierbei gleich zweifach: Zum einen stellt ein ISMS unternehmensintern sicher, dass IT-Sicherheitsvorkehrungen den gesetzlichen Mindestanforderungen genügen und stetig optimiert werden. Zum anderen zeigt ein ISMS – wenn es etwa nach der bekannten Norm ISO 27001 zertifiziert ist – gegenüber Kunden und Geschäftspartnern, welch hohen Stellenwert die Datensicherheit einnimmt. Zwei schlagende Argumente auch für die Infosys Consulting GmbH, wie Helena Saldanha, zuständig für Verträge und Compliance, im Best Practice Interview erklärt.

Ihr Unternehmen hat für das Office in den Highlight Towers ohne eine einzige Abweichung das ISO 27001 Zertifizierungs-Audit absolviert. Für die Vorbereitung haben Sie die activeMind AG als externen Dienstleister gesetzt. Warum?

Bei Infosys Consulting gab es intern nicht genügend Ressourcen, um die Voraussetzungen für eine Zertifizierung nach ISO 27001 in einem angemessenen Zeitrahmen zu erfüllen. Die activeMind AG kannten wir schon von Datenschutzschulungen bei der IHK München. Die Nachfrage bei einem anderen von der activeMind AG zur ISO 27001 geführten Unternehmen ergab zudem, dass man dort sehr zufrieden war.

Letztlich überzeugte uns, dass die Berater von activeMind selbst durch den TÜV Hessen berufene Auditoren für die Datensicherheitsnorm sind. Wer selbst prüft, sollte auch wissen, worauf bei der Vorbereitung zum Audit ein besonderes Augenmerk zu legen ist. Diese Annahme hat sich im Prozess definitiv bestätigt.

Wie gestaltete sich die Zusammenarbeit mit den Beratern von activeMind konkret?

Es gab regelmäßige Treffen mit den begleitenden Experten von activeMind, die sich trotz des Zeitdrucks durch Ruhe, Strukturiertheit und Zielorientierung auszeichneten. Dabei gab es für uns ganz konkrete Tipps, etwa wie Türknäufe die Zutrittssicherheit erhöhen oder wo eigene Racks im Rechenzentrum sinnvoll sind. Die technische Versiertheit der Berater löste so manche Herausforderung, die sich durch die Lokalität unserer Büroräume ergab. Hier zeigte sich, dass die Juristen von activeMind nicht nur die gesetzlichen Anforderungen kennen, sondern auch über sehr viel praktische Erfahrung verfügen.

Besonders hilfreich war das eigens für uns bereitgestellte Portal bei der activeMind AG. Hier fanden wir vorgefertigte Templates und Dokumente für die ISO 27001 Zertifizierung bzw. den Aufbau des ISMS, die wir nur noch anpassen mussten. Es gab praktische To-do-Listen, bis wann was erledigt sein musste. Dieses ISO-Portal brachte sofort Struktur und Planbarkeit in den Prozess bis zum Zertifizierungsaudit.

Warum spielt die IT-Sicherheit in Ihrem Unternehmen eine besonders große Rolle?

Infosys Consulting ist ein international tätiges Beratungsunternehmen für IT-Strategie- und Prozessoptimierung sowie IT-Transformationen. Unser Hauptgeschäft erfordert manchmal tiefgreifende Einblicke in Kundendaten und -software. Hier könnten wir uns keine Fehler in Sachen Datensicherheit erlauben.

Hinzukommt, dass in einigen Branchen IT-Sicherheits-Zertifizierungen vorausgesetzt bzw. vom Auftraggeber gefordert werden. Die Infosys Consulting GmbH wird von der ISO 27001 Zertifizierung also mit Sicherheit profitieren.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Medizinischer Datenschutz bei iPrax Systems [Best Practice]

Unternehmen, die im Gesundheitssektor aktiv sind, können sich derzeit über zwei sehr interessante Megatrends freuen: Zum einen ermöglicht die Individualisierung medizinischer Bedürfnisse und gesundheitlicher Vorsorge eine Vielzahl neuer Geschäftsmodelle. Zum anderen hilft die Digitalisierung dabei, Interessierte immer gezielter anzusprechen und Kunden – Patienten ebenso wie Ärzte und Therapeuten – jederzeit mit passenden Dienstleistungen zu versorgen. Eine besonders große Herausforderung stellt jedoch der Datenschutz im medizinischen Bereich dar. Denn Daten über Diagnosen von Ärzten, Medikamente und Therapien sind besonders sensibel. Warum es sich für Gesundheitsunternehmen daher besonders lohnt, einen externen Datenschutzbeauftragten beratend hinzuzuziehen, erklärt Dirk Becker, Geschäftsführer von iPrax Systems im Best Practice Interview.

Welches Produkt bietet Ihr Unternehmen im Gesundheitsbereich an?

Wir vertreiben eine Praxis-Software für Physiotherapeuten, Ergotherapeuten, Logopäden und Podologen. Mit iPrax können Sie alle wichtigen Verwaltungsaktivitäten einer Praxis digital abwickeln: Terminplanung und -vergabe, Patientenmanagement, Rezepte und Abrechnung. Dabei ist es egal, ob Sie gerade in der Praxis sind oder unterwegs, denn mit iPrax haben Sie online wie offline mit Ihrem iPad oder Mac immer Zugriff auf alle relevanten Daten. Mehrere Endgeräte lassen sich einfach synchronisieren, wodurch auch die Zusammenarbeit im Team erleichtert wird.

Wie relevant ist der Datenschutz bei Ihrer Software?

Bei Praxissoftware spielt der Datenschutz natürlich eine sehr große Rolle. Schon die gesetzlichen Vorgaben sind hier besonders streng, weil ja sensible Daten von Patienten verarbeitet werden. Darüber hinaus gebietet unser unternehmerisches Selbstverständnis, alles organisatorisch und technisch Mögliche zu unternehmen, um den Schutz der über unsere Software verarbeiteten Daten zu gewährleisten.

Welche sensiblen Daten werden bei iPrax verarbeitet?

Neben den Stammdaten der Patienten speichern die anwendenden Therapeuten alle relevanten Gesundheitsdaten wie den ärztlichen Befund, die Behandlungsdokumentation und die Rezepthistorie.

Warum haben Sie sich für einen externen Datenschutzbeauftragen entschieden?

Über das Wissen für die Erstellung, Implementierung und Einhaltung eines Datenschutzkonzepts verfügt unserer Meinung nach nur ein Profi als externer Datenschutzbeauftragter. Dies trifft insbesondere auf kleinere Unternehmen zu, die ihre Personalressourcen sehr gezielt einsetzen müssen. Außerdem kann ein „professioneller Datenschützer“ die ganzen Prozesse viel schneller abwickeln – schließlich macht er das ja den ganzen Tag und verfügt über entsprechende Erfahrung.

Was hat sich durch die Beratung der activeMind AG in Ihrem Unternehmen verändert?

Wir konnten bei allen betroffenen Mitarbeitern das Bewusstsein zum Schutz von personenbezogenen Daten stark erhöhen.

Können Sie das erreichte Datenschutzniveau nutzen, um besser Neukunden zu gewinnen?

Indirekt hilft der bei iPrax umgesetzte Datenschutz sicherlich. Unsere Kunden prüfen uns zwar in der Regel nicht im Sinne einer Auftragsdatenverarbeitung. Sie gehen aber davon aus, dass alles technisch und organisatorisch Mögliche durch uns als Anbieter unternommen wird, um die gesetzlichen Vorgaben zum Schutz der Daten zu gewährleisten. Unser Datenschutzmanagement gewährleistet bestmöglich, dass wir dieses Vertrauen niemals aufs Spiel setzen.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Zertifizierung nach ISO 27001 und ISO 9001 für MediaKom [Best Practice]

Wenn Unternehmen einen Dienstleister für Business-Process-Outsourcing (BPO) suchen, sollten die Faktoren Informationssicherheit, Datenschutz und Qualitätsmanagement eine ausschlaggebende Rolle spielen. Immerhin werden dem Anbieter meist sensible Geschäfts- und Kundendaten anvertraut. Dazu kommt, dass die DSGVO die Sicherstellung der Integrität, Verfügbarkeit und Sicherheit von Daten verlangt. Genau diese Anforderungen werden auch bei einer ISO 27001-Zertifizierung geprüft. Wie diese mithilfe der activeMind AG zu erlangen sind, erklärt Thomas Dittmar, Technischer Leiter der MediaKom GmbH & Co. KG – Gesellschaft für Informations- und Dialogmanagement im Best Practice Interview.

Warum spielen IT-Sicherheit und Datenschutz für Ihr Unternehmen eine besonders große Rolle?

Als Mailing- und BPO-Dienstleister verarbeiten wir täglich sensible personenbezogene Daten unserer Kunden, z. B. Krankenkassen, Gewerkschaften, Versicherungen, Kirchen oder Banken. Insofern stellen die Themen Datenschutz und Datensicherheit unternehmensweit eine übergeordnete Anforderung dar. Hierbei spielt die Einhaltung der strengen Vorgaben der Datenschutzgesetze sowie des Sozialgesetzbuches für uns die zentrale Rolle.

Welche Vorteile einer IT-Sicherheitszertifizierung nach ISO 27001 sehen Sie im B2B-Bereich?

Die ISO 27001 ist zwar keine gesetzliche Forderung, jedoch erfüllt sie umfangreiche gesetzliche Auflagen und bietet viele Vorteile. Gerade bei der Verarbeitung von sensiblen personenbezogenen Daten, die ein hohes Maß an Datenschutz und Datensicherheit erfordern, lässt sich mit ihr eindeutig nachweisen, dass beispielsweise Sicherheitsanforderungen nach § 11 BDSG erfüllt sind. Und in den letzten Jahren stellen wir fest, dass die ISO 27001 bei vielen unserer Kunden eine Mindestvoraussetzung für die Auftragsvergabe ist, was wir natürlich sehr begrüßen.

Wieso entschieden Sie sich bei der Vorbereitung für die Zertifizierung auf einen externen Dienstleister wie die activeMind AG zu setzen?

Zwar haben Datenschutz und IT-Sicherheit und die damit verbundene Einhaltung von gesetzlichen Anforderungen für uns schon immer eine sehr hohe Bedeutung, der Umgang mit den Anforderungen einer ISO-Norm war jedoch zum damaligen Zeitpunkt für uns neu. Als wir uns im Jahr 2010 für die Zertifizierung nach DIN ISO/IEC 27001 entschieden, suchten wir also einen Dienstleister, der uns vollumfänglich beim Aufbau unseres Informationssicherheits-Managementsystems (ISMS) unterstützt und dementsprechend auch über ausreichend Erfahrung verfügt – die activeMind AG.

Wie verlief die Zertifizierung vom Erstkontakt bis zum finalen Audit?

Im Dezember 2010 beauftragten wir die activeMind mit der Durchführung einer Erstaufnahme im Bereich Informationssicherheit und Qualitätsmanagement. Auf Basis der bestehenden Unterlagen wurde uns im Januar/Februar 2011 der umfangreiche Dokumentenrahmen – angepasst auf die Bedürfnisse unseres Unternehmens – durch die activeMind zur Verfügung gestellt.

Im Rahmen einer Kick-Off-Veranstaltung für alle Mitarbeiter und die Geschäftsführung wurde das Unternehmen auf die kommenden Schritte bis zur Zertifizierungsreife vorbereitet. Schulungen durch die activeMind AG für Qualitätsmanagement- und Sicherheitsbeauftragte halfen bei der Einarbeitung in die anspruchsvollen Themengebiete der Normen.

Bereits im März 2011 wurde eine umfangreiche Risikoanalyse durchgeführt. Auf Basis der Ergebnisse konnten zusätzliche Schwachstellen erkannt und bestehende Maßnahmen priorisiert werden. Im Mai 2011 erfolgte eine vollständige interne Auditierung nach ISO/IEC 27001 und DIN ISO 9001 unter Zertifizierungsbedingungen durch activeMind. Dieses Audit zeigte den aktuellen Status der Umsetzung und bereitete die Mitarbeiter optimal auf das kommende Zertifizierungsaudit vor.

Ende Juni 2011 erfolgte dann die Auditierung durch den TÜV Hessen. Das Ergebnis war die uneingeschränkte (!) Empfehlung der Auditoren für beide Zertifikate ohne Abweichungen.

In welchem Zeitrahmen konnten Sie Ihr ISO 27001-Zertifikat erlangen?

Vom Zeitpunkt der Entscheidung uns nach ISO/IEC 27001 und zusätzlich DIN ISO 9001 zertifizieren zu lassen bis zur Zertifizierung durch den TÜV Hessen benötigte es ca. sechs Monate.

Die erste Re-Zertifizierung haben Sie bereits erfolgreich absolviert. Inwiefern konnten Sie Ihr Informationssicherheits-Managementsystem noch verbessern?

Die wesentliche Verbesserung sehen wir darin, dass die Anforderungen der Norm mittlerweile vollständig in unsere Geschäftsprozesse integriert sind und vor allem auch bei den Mitarbeiterinnen und Mitarbeitern das Bewusstsein für Datenschutz und Datensicherheit noch einmal deutlich gesteigert werden konnte. Aber natürlich wurden in den letzten Jahren auch viele Sicherheitsmechanismen überarbeitet, denn ein ISMS ist ein dynamischer Prozess und lebt von der regelmäßigen Auditierung. Die activeMind AG unterstützt uns dabei kontinuierlich, indem Sie jährlich interne Audits zur Vorbereitung auf die Zertifizierungsaudits durchführt.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

EU-Standardvertragsklauseln für die Datenverarbeitung durch außereuropäische Dienstleister

Der Transfer personenbezogener Daten an einen Dienstleister in einem sogenannten unsicheren Drittstaat bedarf zusätzlich zur Transfergrundlage einer eigenen Datenschutzgarantie. Für US-Dienstleister kann hier seit dem 1. August 2016 auf das EU-US-Privacy-Shield zurückgegriffen werden, sofern sich der gewünschte Dienstleister (bereits) entsprechend verpflichtet hat. Für datenverarbeitende Dienstleister in anderen unsicheren Drittländern wie z. B. China oder Indien muss auch weiterhin auf die sogenannten EU-Standardvertragsklauseln zurückgegriffen werden. Der Beitrag zeigt auf, in welchen Konstellationen ein Abschluss der Klauseln möglich und sinnvoll ist und was dabei insbesondere aus deutscher Sicht zu beachten ist.

Wozu dienen Standardvertragsklauseln?

Möchte ein Unternehmen Daten an ein anderes Unternehmen weitergeben, bedarf es für diese Weitergabe stets einer eigenen Rechtsgrundlage sowie eines adäquaten Datenschutzrechts im Land des datenempfangenden Unternehmens.

Als Rechtsgrundlage infrage kommen insbesondere die Erforderlichkeit zur Durchführung eines Vertrags mit dem Betroffenen (z. B. Weitergabe an ein vom Betroffenen gebuchtes Hotel durch das Reisebüro, § 28 Abs. 1 S. 1 Nr. 1 Bundesdatenschutzgesetz [BDSG]), ein überwiegendes Unternehmensinteresse (z. B. bei der Erstellung eines konzernweiten Telefonverzeichnisses durch die datenempfangende Konzernmutter, § 28 Abs. 2 Nr. 2a BDSG) oder eine ausdrückliche Einwilligung des Betroffenen (z. B. in die Bonitätsprüfung eines Onlineshops durch eine Auskunftei, § 4 Abs. 1, 3 i. V. m. § 4a Abs. 1 BDSG).

Zusätzliche Herausforderungen können sich dem datenweitergebenden Unternehmen dann stellen, wenn die Daten vom datenempfangenden Unternehmen in einem sogenannten unsicheren Drittstaat ohne adäquates Datenschutzrecht verarbeitet werden sollen. Hierbei handelt es sich um Staaten außerhalb der EU und des EWR, die kein dem europäischen Recht vergleichbares Datenschutzniveau aufweisen. Zu diesen Ländern zählen auch die bedeutsamen Datenverarbeiter-Länder USA, China und Indien. Bei einer Datenverarbeitung in diesen Ländern sind die Daten des Betroffenen erhöhten Datenschutzrisiken ausgesetzt. Erteilt der Betroffene daher nicht mittelbar (wie beim Datentransfer zum Zwecke der Vertragsdurchführung) oder ausdrücklich (wie bei einer ausreichend informativen Einwilligungserklärung) sein Einverständnis in den Datenexport in ein solches Drittland, muss er durch zusätzliche Maßnahmen geschützt werden. Eine solche zusätzliche Maßnahme stellt insbesondere der Abschluss der Standardvertragsklauseln dar.

Was sind Standardvertragsklauseln?

Bei den Standardvertragsklauseln handelt es sich um von der Europäischen Kommission verabschiedete Vertragswerke. Unterzeichnet der Datenimporteur einen solchen Standardvertrag, verpflichtet er sich damit auf die Einhaltung europäischer Datenschutzstandards. Standardvertragsklauseln gibt es für zwei verschiedene Konstellationen:

In der einen Konstellation sollen Daten an ein Unternehmen weitergegeben werden, das – so, wie auch das weitergebende Unternehmen selbst – für die (weitere) Verarbeitung der Daten verantwortlich ist. Hierbei kann es sich zum Beispiel um die außereuropäische Konzernmutter des weitergebenden Unternehmens handeln, wenn diese ein konzernweites Telefonverzeichnis anlegen möchte und hierfür die entsprechenden Daten der Mitarbeiter der deutschen Tochter braucht. Als Rechtsgrundlage kommen hier u. U. die berechtigten Interessen der Mutter an einer Datenweitergabe infrage. Durch Unterzeichnen der Standardvertragsklauseln verpflichtet sich die Mutter darauf, die weitergebebenen Daten nach denselben Datenschutzstandards zu verarbeiten, denen auch ihre Tochter als Arbeitgeberin der betroffenen Mitarbeiter unterliegt.

In der zweiten Konstellation sollen Daten an ein Unternehmen gegeben werden, das die Daten nicht wie die Konzernmutter eigenverantwortlich, sondern als Dienstleister (z.B. Cloud-Dienstleister) – nur auf Weisung des weitergebenden Unternehmens – verarbeiten soll. Ein solches Verhältnis deutet auf eine Auftragsdatenverarbeitung hin. Diese ist jedoch, folgt man dem Wortlaut des deutschen Bundesdatenschutzgesetzes, mit Dienstleistern außerhalb des EU-/ EWR-Raums derzeit nicht möglich. Das Gesetz ist an der entsprechenden Stelle (§ 3 Abs. 8 S. 3 BDSG) unglücklich formuliert – und wurde bis heute nicht korrigiert. Eine Änderung der Gesetzeslage wird es erst mit der ab 2018 geltenden EU-Datenschutz-Grundverordnung geben.

Auftragsdatenverarbeitung mit außereuropäischen Dienstleistern – der Standardvertrag als Krücke

Dass es sich bei der deutschen Begrenzung der Auftragsdatenverarbeitung auf den EU-/ EWR-Raum aller Voraussicht nach um einen Gesetzesfehler handelt, ist auch den deutschen Aufsichtsbehörden bewusst. Sie verweisen in einer gemeinsamen Stellungnahme auf die zahlreiche Parallelen zwischen den gesetzlichen Anforderungen an einen deutschen Auftragsdatenverarbeitungsvertrag und den Inhalten des Dienstleister-Standardvertrags. Das Regierungspräsidium Darmstadt (das bis 1. Juli 2011 die hessische Datenschutzaufsichtsbehörde für den nichtöffentlichen Bereich war) sieht die gesetzlichen Anforderungen an eine Auftragsdatenverarbeitung nach deutschem Recht zum Teil erfüllt, wenn der Dienstleister-Standardvertrag abgeschlossen wird.

Diese Feststellung der ehemaligen Datenschutzaufsichtsbehörde ist aus rechtsdogmatischer Sicht sehr bedenklich, da hier die Ebene der rechtlichen Übermittlungsgrundlage mit der Selbstverpflichtung des datenempfangenden Unternehmens auf ein europäisches Datenschutzniveau vermischt wird. Aus Unternehmenssicht ist diese Vermischung der Behörden jedoch sehr zu begrüßen, da sich aus ihr im Ergebnis der Standardvertrag als „neuer Auftragsdatenverarbeitungsvertrag“ entpuppt. Was nach deutschem Recht also eigentlich nicht geht, soll aus Sicht der Behörden durch die europäischen Standardvertragsklauseln – die eigentlich einem ganz anderen Zweck dienen – möglich sein.

Oft übersehen: Aufsichtsbehörden verlangen Ergänzungen zum Standardvertrag

So einfach soll es dann aber doch nicht sein. Bei den Standardvertragsklauseln handelt es sich um ein vorgefertigtes Vertragswerk, das, um wirksam zu sein, zunächst einmal nur ausgefüllt, nicht jedoch individuell angepasst werden darf. Erlaubt sind nach der Aussage der Europäischen Kommission lediglich auftragsspezifische Ergänzungen, solange diese den vorgefertigten Regelungen des Vertrags nicht widersprechen.

Der Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI) verlangt in Anlehnung an die oben erwähnte Gegenüberstellung des Düsseldorfer Kreises, dass der Standardvertrag (mindestens) um Vertragselemente ergänzt wird, die das deutsche Recht für die Auftragsdatenverarbeitung vorsieht, die jedoch im vorgefertigten Text fehlen bzw. nur rudimentär geregelt sind. Hierbei handelt es sich insbesondere um Regelungen zur Genehmigung bereits eingesetzter Subdienstleister des Datenimporteurs, zum Inhalt, zum Umfang und zur Dauer der Datenverarbeitung, zu den Betroffenenrechten und zum Weisungsrecht des Datenexporteurs. Entsprechende Regelungen sollen den Vorstellungen der Aufsichtsbehörden zufolge entweder in den Annex 1 zum Standardvertrag in den dortigen Punkt „Processing operations“ („Verarbeitung“) aufgenommen oder aber in einer Zusatzvereinbarung festgehalten werden.

Sensible Daten dürfen auch mittels Standardvertragsklauseln nur in bestimmten Fällen transferiert werden

Das Regierungspräsidium Darmstadt, das mit seiner Stellungnahme zu den Standardvertragsklauseln wohl einen der ersten wirtschaftsfreundlichen Akzente setzte, ist sich der vorgenommenen Vermischung der sogenannten ersten Prüfstufe (Rechtsgrundlage für den Datentransfer als solchen) und der zweiten Stufe (Sicherstellung eines ausreichenden Datenschutzniveaus) wohl bewusst. Die weitgehende Deckungsgleichheit der Regelungen der Vertragsklauseln mit dem deutschen Auftragsdatenverarbeitungsvertrag soll dem Regierungspräsidium zufolge daher nur im Rahmen einer Interessenabwägung zwischen datentransferierendem Unternehmen und den schutzwürdigen Interessen des Betroffenen „berücksichtigt“ werden. Faktisch sendet die Behörde damit jedoch ein klares Signal, dass eine Auftragsdatenverarbeitung mit außereuropäischen Dienstleisters über die Standardvertragsklauseln möglich ist, sobald eine Datenweitergabe – unabhängig vom Exportland – zulässig ist.

Eine Interessenabwägung scheidet allerdings aus, wenn sensible Daten im Sinne von § 3 Abs. 9 BDSG transferiert werden sollen, da in diesem Fall besondere gesetzliche Übermittlungsvoraussetzungen (§ 28 Abs. 6-9 BDSG) beachtet werden müssen. Sofern die Datenübertragung daher nicht zur Abwicklung des Vertragsverhältnisses erforderlich ist und der Betroffene auch nicht in rechtskonformer Weise in den Datentransfer eingewilligt hat, scheidet dieser in den meisten Fällen aus. Für den Fall, dass eine Datenweitergabe doch (ausnahmeweise) möglich ist, verlangt der Standardvertrag darüber hinaus in Klausel 4f, dass

„die betroffene Person bei der Übermittlung besonderer Datenkategorien vor oder sobald wie möglich nach der Übermittlung davon in Kenntnis gesetzt worden ist oder gesetzt wird, dass ihre Daten in ein Drittland übermittelt werden könnten, das kein angemessenes Schutzniveau im Sinne der Richtlinie 95/46/EG bietet“.

Rechtskonformer Transfer von Mitarbeiterdaten auf Basis von Standardvertragsklauseln: kritisch, aber nicht unmöglich

Neben der Übermittlung der gesetzlich definierten sensiblen Datenkategorien erweist sich auch eine Übermittlung von Mitarbeiterdaten als kritisch. Denn auch bei Mitarbeiterdaten erlaubt das Gesetz – zumindest auf den ersten Blick – keine Interessenabwägung. Der bundesdatenschutzrechtliche Mitarbeiterparagraph (§ 32 BDSG) gestattet eine Datenverarbeitung nur, wenn diese zur Abwicklung des Arbeitsverhältnisses oder zur Aufdeckung von Straftaten des Mitarbeiters erfolgen soll. Beides ist jedoch meist auch möglich, ohne, dass die Daten an einen Dienstleister (insbesondere an einen außereuropäischen) übertragen werden. Eine Einwilligung als Rechtsgrundlage scheidet als Übermittlungsgrundlage meist ebenfalls aus, da diese frei widerruflich wäre und die Rechtswirksamkeit aufgrund des Abhängigkeitsverhältnisses zwischen Arbeitgeber und Arbeitnehmer von Behörden angezweifelt wird.

Die im bundesdatenschutzrechtlichen Mitarbeiterparagraphen fehlende Interessenabwägungsnorm ist wirtschaftsschädlich und widerspricht dem Anliegen der Europäischen Kommission sowie – wie oben gezeigt – auch der deutschen Aufsichtsbehörden, den Datenaustausch mit außereuropäischen Dienstleistern zu ermöglichen. Es ist daher sinnvoll, wie auch bei innereuropäischen Datentransfers, zumindest für den Austausch nichtsensibler Mitarbeiterdaten (Beispiel: konzernweites Telefonverzeichnis), eine Interessenabwägung als Rechtsgrundlage (§§ 28 Abs. 1 S. 1 Nr. 2, 28 Abs. 2 Nr. 2a BDSG) gelten zu lassen. Die sichere Alternative bleibt freilich der Einsatz eines europäischen Dienstleisters – sofern am Markt vorhanden.

Fazit: Datenaustausch mit außereuropäischen Dienstleistern erfordert Fingerspitzengefühl

Die Verarbeitung personenbezogener Daten durch einen Dienstleister in einem unsicheren Drittland ist – auch, wenn es auf den ersten Blick anders scheint – in sehr vielen Fällen rechtskonform möglich. Die deutschen Datenschutzbehörden erkennen eine Auftragsdatenverarbeitung mit außereuropäischen Dienstleistern auf Basis der Standardvertragsklauseln faktisch als Möglichkeit an. Dies sollte grundsätzlich auch für Mitarbeiterdaten gelten, solange keine sensiblen Daten betroffen sind. Letztere dürfen ohne ausreichend informierte Einwilligung des Betroffenen nur in den engen Grenzen des § 28 Abs. 6-9 BDSG exportiert werden.

 

Zuerst veröffentlicht am 6. Mai 2015, zuletzt aktualisiert am 5. September 2016

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.