Achtung Betrugsversuch einer Datenschutzauskunft-Zentrale

Eine selbsternannte „Datenschutzauskunft-Zentrale“ versucht derzeit im großen Stil, Unternehmen und Freiberufler im Zusammenhang mit der DSGVO (EU-Datenschutz-Grundverordnung) zu betrügen. Reagieren Sie auf keinen Fall auf dieses Schreiben! Haben Sie das Formblatt schon unterschrieben, sollten Sie umgehend einen Widerruf verfassen und an jene Nummer senden, an die Sie das unterschriebene Blatt gesendet haben.

Hintergrund des Betrugsversuchs

Das besagte Formular der Datenschutzauskunft-Zentrale vermittelt dem arglosen Leser den Eindruck, es handele sich um ein behördliches Schreiben. Da heißt es z. B.: „Ergänzen oder korrigieren Sie bei Annahme fehlende oder fehlerhafte Daten bis 09. Oktober 2018“.

Der rechtlich unerfahrene Empfänger könnte glauben, man müsse dieses Formular zwingend ausfüllen. Erst bei näherem Hinschauen erkennt man, dass es sich hierbei um ein Angebot zum Abschluss eines kostenpflichtigen Basisdatenschutzpaketes handelt.

Die thüringische und die bayerische Landesdatenschutzbehörde haben bereits offizielle Pressemitteilungen zur Datenschutzauskunft-Zentrale veröffentlicht. Es bleibt nur zu hoffen, dass derartige Betrugsmaschen im Zusammenhang mit der DSGVO die Ausnahme bleiben.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Datenpanne oder Datenklau: Was Sie nach DSGVO sofort tun müssen (Anleitung)

Datenpannen oder Datendiebstähle passieren in Unternehmen jeden Tag. Doch was müssen Sie tun, wenn Sie z. B. erfahren, dass ein unverschlüsselter USB-Speicherstick mit sensiblen Daten verloren gegangen ist oder personenbezogene Daten durch einen Angriff auf Ihre IT abgeflossen sind? Unter der EU-Datenschutz-Grundverordnung (DSGVO) gelten für Datenpannen insbesondere verschärfte Meldepflichten gegenüber Aufsichtsbehörden bzw. Informationspflichten gegenüber Auftraggebern. Sie sollten deshalb schnell, aber auch achtsam und juristisch korrekt handeln. Unsere Anleitung für Datenpannen und Datenklau hilft Ihnen dabei.

1. Schritt: Datenschutzpannen umgehend bemerken

Wie schnell würde in Ihrem Unternehmen ein Datenklau oder Datenverlust auffallen? Ein möglicher Schaden lässt sich nur dann in Grenzen halten, wenn Vorfälle möglichst sofort entdeckt und Gegenmaßnahmen ergriffen werden. Ihre IT sollte daher für Auffälligkeiten sensibilisiert sein. Kontrollieren Sie, ob entsprechende technische Vorkehrungen der Informationssicherheit getroffen sind und ob ungewöhnliche Ereignisse von den Verantwortlichen genügend ernst genommen und überprüft werden.

  • Erfolgt eine Warnung bei fehlgeschlagenen Anmeldeversuchen und unerlaubten Zugriffen auf das Dateisystem? Wie werden solche Ereignisse behandelt?
  • Besteht ein Monitoring für den Datenverkehr? Wie wird bei Anomalitäten vorgegangen?
  • Inwieweit erfolgt eine regelmäßige Kontrolle zentraler Server?
  • Wie sind die Meldewege für Datenpannen definiert und sind sie allen Mitarbeitern bekannt?
  • Gibt es ein zentrales Regelungsdokument zum Datenschutznotfall?

2. Schritt: Der Situation Herr werden durch Implementation eines Incident-Response-Managements

Um angemessen auf einen Vorfall reagieren zu können, müssen Sie selbstverständlich zunächst erfassen, was passiert ist. Dafür sollten eindeutige Zuständigkeiten definiert sein. Wenn Sie etwa feststellen, dass Ihre Webseite gehackt wurde: Wen können Sie rund um die Uhr erreichen, der die Sicherheitslücke schließt und umgehend prüft, auf welche Daten zugegriffen wurde? Sind auch alle anderen Mitarbeiter darüber informiert, an wen sie sich wenden können und wen sie informieren müssen?

Erstellen Sie für dieses Vorgehen mindestens eine Notfallliste mit sämtlichen Ansprechpartnern und deren Kontaktdaten, insbesondere dem Datenschutzbeauftragten. Ziel ist es, dadurch ein Incident-Response-Management aufzubauen, mit dem auf eine Störung (Incident) unmittelbar reagiert (Response) werden kann. Noch besser ist eine Richtlinie zur Erkennung von und zum Umgang mit Datenschutznotfällen. Unsere kostenlose Vorlage hilft Ihnen dabei.

3. Schritt: Gesetzliche Informationspflichten nach Art. 33 und Art 34 DSGVO beachten

Gemäß Art. 33 DSGVO muss der Verantwortliche eine Verletzung des Schutzes personenbezogener Daten unverzüglich und möglichst binnen 72 Stunden bei der zuständigen Aufsichtsbehörde melden. Die Aufsichtsbehörden haben hierfür online umfangreiche Eingabemasken eingerichtet. Von einer Meldung kann nur dann abzusehen sein, wenn die Verletzung „voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen“ führt.

Sofern Daten im Auftrag verarbeitet werden, muss der Auftragnehmer den Verantwortlichen (Auftraggeber) unverzüglich über die Datenpanne informieren und den Verantwortlichen bei der Meldung der Datenpanne unterstützen, indem er dem Verantwortlichen die ihm zur Verfügung stehenden Informationen bereitstellt (Art. 28 Abs. 3 lit. F DSGVO).

Zur Abschätzung des Risikos hat die Datenschutzkonferenz (Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder – DSK) in ihrem Kurzpapier Nr. 18 eine Hilfestellung veröffentlicht. Im Zweifel ist eine Meldung immer der sicherere Weg.

Stellt sich bei der Risikobewertung heraus, dass voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen besteht, so sind gemäß Art. 34 DSGVO auch die betroffenen Personen zu benachrichtigen.

Doch der Umgang mit einer Datenpanne endet keinesfalls mit der Meldung bei der Aufsichtsbehörde und ggfs. der Wiederherstellung des Normalbetriebs. Bereits bei der Meldung wird abgefragt, welche Maßnahmen zur Eindämmung des Risikos akut unternommen wurden. Teil der Dokumentation des Datenschutznotfalls ist daher auch die Aufarbeitung und das Implementieren von Maßnahmen, die einen weiteren Datenschutznotfall dieser Art verhindern können.

Dieser aktualisierte Artikel wurde zuerst am 31. Dezember 2012 veröffentlicht.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

So funktioniert die Datenschutz­folgenabschätzung (Anleitung)

Bei der Verarbeitung personenbezogener Daten muss das Datenschutzrecht beachtet werden – ganz gleich, ob es sich um vermeintlich „harmlose“ Daten handelt, wie etwa die berufliche E-Mailadresse eines Mitarbeiters, oder aber besonders „schützenswerte“, wie dessen sexuelle Vorlieben. Trotzdem ist nicht jedes Datum gleichermaßen schutzwürdig und nicht jede Datenverarbeitung greift gleichermaßen stark in das Persönlichkeitsrecht des Betroffenen ein. Mit der Datenschutz-Folgenabschätzung (DSFA) sollen Unternehmen die Risiken und Folgen evaluieren, die für Betroffene (z. B. Mitarbeiter) aus Datenverarbeitungen folgen können. Wird eine DSFA nicht oder nur unzureichend durchgeführt, drohen dem Unternehmen ein Bußgeld von bis zu 2 % des gesamten weltweiten Jahresumsatzes und / oder ein Verbot der Datenverarbeitung. Wann eine Datenschutz-Folgenabschätzung notwendig wird und was sie enthalten muss, lesen Sie in diesem Artikel.

Bei welchen Datenverarbeitungen muss eine DSFA durchgeführt werden?

Die Datenschutz-Folgenabschätzung wird in Art. 35 der EU-Datenschutz-Grundverordnung (DSGVO) definiert. Sie ist in folgenden Fällen stets erforderlich:

  1. Mit der Datenverarbeitung soll die Persönlichkeit des Betroffenen systematisch und automatisiert bewertet werden, so dass rechtliche oder andere intensive Eingriffe in die Persönlichkeit des Betroffenen möglich werden.
  2. Es sollen umfangreich besondere Kategorien personenbezogener Daten oder aber Daten über strafrechtliche Verurteilungen und Straftaten verarbeitet werden. Zu den besonderen Kategorien personenbezogener Daten gehören gemäß Art. 9 DSGVO:
    1. Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen;
    2. Gesundheitsdaten, Daten zum Sexualleben oder zur sexuellen Orientierung des Betroffenen;
    3. genetische und biometrische Daten, sofern mit Ihnen eine einzelne Person identifiziert werden kann.
  3. Ein möglicher Anwendungsfall ist hier die Durchführung von unternehmensinternen Ermittlungen gegen Mitarbeiter – diese sollten erst nach einer DSFA eingeleitet werden.
  4. Es sollen öffentlich zugängliche Räume überwacht werden. Öffentlich zugänglich ist z. B. auch der Servicebereich eines Unternehmens, in dem Publikumsverkehr herrscht.

Eine DSFA kann auch dann erforderlich sein, wenn keiner der genannten Fälle einschlägig ist, die Datenverarbeitung aber dennoch ein hohes Risiko für die Rechte und Freiheiten der Betroffenen birgt. Die deutschen Datenschutzaufsichtsbehörden haben sich bereits zum Risikobegriff positioniert (siehe das Kurzpapier Nr. 18 der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz – DSK)). Bei Änderungen an einmal eingeführten Datenverarbeitungen muss geprüft werden, ob diese Auswirkungen auf das zuvor ermittelte Risiko haben (Artikel 35 Abs. 11 DSGVO). Ggf. bedarf es einer erneuten Datenschutz-Folgenabschätzung.

Die Datenschutzaufsichtsbehörden müssen gemäß Art. 35 Abs. 4 DSGVO eine Liste mit Datenverarbeitungen veröffentlichen, für die aus ihrer Sicht unbedingt eine DSFA erforderlich ist (siehe die DSFA-Blacklist der DSK). Eine Datenschutz-Folgenabschätzung wird jedoch auch dann erforderlich sein, wenn die Verarbeitung nicht in der Liste enthalten ist, aber unter einen der oben beschriebenen Fälle gefasst werden kann. Die Liste dient insofern nur der Orientierung.

Was muss Gegenstand der Datenschutz-Folgenabschätzung sein?

Eine rechtmäßige DSFA muss insbesondere folgende Fragen dokumentiert beantworten:

  1. Wie ist die Datenverarbeitung beschaffen, welchen Zwecken dient sie und welche berechtigten Interessen hat das Unternehmen an der Datenverarbeitung?
  2. Ist die Datenverarbeitung vor dem Hintergrund des Zwecks bzw. der Zwecke notwendig und verhältnismäßig?
  3. Wie groß und welcher Art sind die Risiken für die Rechte und Freiheiten der betroffenen Personen? Zu berücksichtigen sind hierbei insbesondere die Art, der Umfang, die Umstände und die Zwecke der Verarbeitung.
  4. Mit welchen Garantien, Sicherheitsvorkehrungen und Verfahren werden die benannten Risiken so bewältigt, dass ein ausreichender Datenschutz im Sinne der Datenschutz-Grundverordnung sichergestellt ist?

Wie muss mit dem Ergebnis der DSFA umgegangen werden?

Ist Ergebnis der DSFA, dass die Datenverarbeitung auf einen gesetzlichen Erlaubnistatbestand oder eine Einwilligung gestützt werden kann (insbesondere Art. 6 DSGVO), muss sichergestellt werden, dass den analysierten Risiken durch Umsetzung entsprechender technischer und / oder organisatorischer Schutzmaßnahmen ausreichend begegnet wird. Das Gesetz verlangt insofern eine Eindämmung des Risikos. Diese Eindämmung ist umso wichtiger, je größer das Risiko für Betroffenen ist.

Können oder sollen keine Maßnahmen zur Risikoeindämmung getroffen werden, muss das Unternehmen gemäß Art. 36 DSGVO die Aufsichtsbehörde konsultieren. Folge dieser Konsultation ist zunächst einmal die erhebliche Verzögerung einer möglichen Einführung der Datenverarbeitung, da das Gesetz der Behörde einen Reaktionszeitraum von mindestens acht Wochen einräumt. Die Behörde darf auf den „Antrag auf Konsultation“ des Unternehmens sowohl mit „Empfehlungen“ als auch mit sämtlichen anderen in Art. 58 DSGVO festgelegten Befugnissen reagieren. Hierzu gehört u. a. die vorübergehende oder endgültige Beschränkung der Verarbeitung, einschließlich eines Verbots. Auch kann die Behörde ein Bußgeld von bis zu 2 % des gesamten weltweiten Jahresumsatzes gegen das Unternehmen verhängen.

Es empfiehlt sich daher, Änderungen an der gewünschten Datenverarbeitung vorzunehmen, falls die Datenschutz-Folgenabschätzung zu keinem positiven Ergebnis kommt.

Wer ist für die Datenschutz-Folgenabschätzung zuständig?

Die Pflicht eine DSFA durchzuführen obliegt grundsätzlich dem Unternehmen (Art. 35 Abs. 1 DSGVO). Die Geschäftsführung eines Unternehmens muss somit (wie auch in anderen Risikomanagement-Bereichen) sicherstellen, dass die Erforderlichkeit einer DSFA geprüft und diese dann ggf. durchgeführt wird. Hierzu hat die Geschäftsführung gemäß Art. 35 Abs. 2 DSGVO den Datenschutzbeauftragten zu konsultieren, sofern ein solcher bestellt wurde.

Zuständig für die Datenschutz-Folgenabschätzung ist somit im Ergebnis der Datenschutzbeauftragte, was in Artikel 39 Abs. 1 lit. c DSGVO nochmals klargestellt wird. Der Datenschutzbeauftragte sollte daher stets rechtzeitig über neue Datenverarbeitungsvorhaben informiert werden.

Ist das Unternehmen weder nach Art. 37 DSGVO noch nach § 38 BDSG verpflichtet, einen Datenschutzbeauftragten zu bestellen, muss es gleichwohl das Erfordernis einer DSFA prüfen – und als Konsequenz ggf. einen Datenschutzbeauftragten bestellen.

Fazit: DSFA ist wichtiger Teil des unternehmerischen Risikomanagements

In anderen unternehmerischen Bereichen, wie etwa der Korruptionsbekämpfung oder aber der Steuerbetrugsprävention, ist ein ausgefeiltes Risikomanagement zumindest auf dem gesetzlichen Papier seit Langem etabliert. Dies gilt mit der Datenschutz-Folgenabschätzung nun auch für den Schutz personenbezogener Daten. Angesichts hoher Bußgeldoptionen und Eingriffsbefugnisse der Datenschutzbehörden sollten Unternehmen ihren Datenschutzbeauftragten stets rechtzeitig über neue Datenverarbeitungen oder Änderungen an bestehenden Datenverarbeitungen unterrichten. So kann der Beauftragte rechtzeitig prüfen, ob eine DSFA erforderlich ist und eine solche dann ggf. durchführen.

Hinweis: Dieser aktualisierte Artikel erschien zuerst am 1. November 2016.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Rechtsgrundlagen für die Datenverarbeitung: Einwilligung, Vertrag oder doch Interessenabwägung?

Die EU-Datenschutz-Grundverordnung (DSGVO) hält verschiedene Rechtsgrundlagen bereit, auf die eine Verarbeitung personenbezogener Daten gestützt werden kann. Da sich die Anwendungsbereiche der Grundlagen oftmals überschneiden, kommt es in der Praxis ganz entscheidend darauf an, die geeignetste und nachhaltigste Rechtsgrundlage zu finden. Der folgende Leitfaden soll hierbei Orientierung bieten.

Welche Rechtsgrundlage ist die Richtige?

In der Unternehmenspraxis sind vor allem die drei folgenden Legitimationsgründe bedeutsam:

  1. Einwilligung des Betroffenen ( 6 Abs. 1 lit. a DSGVO)
  2. Erforderlichkeit für die Abwicklung eines Vertragsverhältnisses (Art. 6 Abs. 1 lit. b DSGVO bzw. § 26 Abs. 1 S. 1 BDSG)
  3. Abwägung zwischen berechtigten Unternehmensinteressen und evtl. schutzwürdigen Interessen des Betroffenen (Art. 6 Abs. 1 lit. f DSGVO).

Die Gründe stehen rechtlich in keinem Hierarchie-Verhältnis zueinander. So ist z.B. die Einwilligung keine „bessere“ Rechtsgrundlage als die Interessensabwägung. Die Rechtsgrundlagen sind vielmehr gleichrangige Optionen, die – je nach Sachverhalt – eine gute, eine schlechte oder keine Lösung für die Verarbeitung personenbezogener Daten sind.

Man kann sich die Grundlagen wie Stromstecker vorstellen, die, je nach Aufenthaltsort, auf die vorhandene Steckdose (= unternehmerische Datenverarbeitung) passen, nur wacklig passen oder gar nicht passen. Die datenschutzrechtliche Herausforderung besteht darin, für einen unternehmerischen Sachverhalt den bestpassendsten Stecker, also die optimale Rechtsgrundlage zu finden.

Einwilligung als Rechtsgrundlage

Das Einholen einer Einwilligung wird vielerorts als Königsweg propagiert. Dabei bleibt oft unberücksichtigt, dass das Bitten um Zustimmung ein Weg mit vielen Tücken ist. So darf die Bereitstellung eines Services in einigen Konstellationen nicht an das „Ja“ des Betroffenen zu einer Datenverarbeitung gekoppelt werden. Die Einwilligung muss vielmehr auch verweigert werden können (sog. „Kopplungsverbot“). Zudem darf eine einmal erteilte Einwilligung jederzeit vom Betroffenen widerrufen werden, woraus eine erhebliche Unsicherheit hinsichtlich des Fortbestands einer Datenverarbeitung resultieren kann.

Der Hype um die Einwilligung ist aber vor allem deshalb irreführend, weil sie faktisch nur für relativ wenige Konstellationen als Legitimationsbasis benötigt wird, also, nach der obigen Metapher, der richtige bzw. der geeignete Stecker ist. Insbesondere für folgende Konstellationen kann die Einwilligung die richtige Lösung sein:

Werden Daten verarbeitet, aus denen Informationen zur rassischen bzw. ethnischen Herkunft, zu politischen Meinungen, religiösen bzw. weltanschaulichen Überzeugungen oder der Gewerkschaftszugehörigkeit einer Person abgeleitet werden können, bedarf die Verarbeitung in der Regel einer Einwilligung. Gleiches gilt, wenn Gesundheitsdaten, Daten zum Sexualleben bzw. zur sexuellen Orientierung oder genetische bzw. biometrische Daten verarbeitet werden sollen. Soweit die Daten zur Durchführung eines Vertrags mit dem Betroffenen (z.B. einem Versicherten) erforderlich sind, kann die Einwilligung ausnahmsweise an den Vertragsschluss gekoppelt werden. Ist die Verarbeitung hingegen bereits aufgrund nationaler (z.B. arbeitsrechtlicher) Vorschriften gesetzlich vorgeschrieben, bedarf es keiner Einwilligung mehr.

Ein starker Persönlichkeitseingriff ist etwa bei manchen Werbemaßnahmen zu bejahen, z.B. beim Telefonmarketing. Marketingmaßnahmen sind vor allem dann als sensitiv anzusehen, wenn auf umfassende Persönlichkeitsprofile zurückgegriffen wird, etwa beim Personal-Pricing. Letzteres kann ggf. auf sogenannten automatisierten Einzelentscheidungen beruhen, die den Persönlichkeitseingriff zusätzlich verstärken. Ein starker Persönlichkeitseingriff kann auch bei der Verarbeitung von Bildnissen (z.B. Mitarbeiterfotos) und Videoaufnahmen vorliegen.

Zahlreiche Verarbeitungen lassen sich vertraglich mit dem Betroffenen vereinbaren (siehe weiter unten). Begrenzt wird die Privatautonomie durch gesetzliche Verarbeitungsverbote. Solche Verbote dürfen Unternehmen nicht torpedieren, indem sie die verbotene Datenverarbeitung zum Vertragsgegenstand machen, also eine Zustimmung vom Betroffenen „abpressen“. Wird dem Betroffenen hingegen freigestellt, die Zustimmung – unabhängig vom Vertragsschluss – zu erteilen oder zu verweigern, kann auf die Einwilligung zurückgegriffen werden. Dies gilt allerdings nicht für Konstellationen, in denen aufgrund eines starken Abhängigkeitsverhältnisses zwischen Betroffenem und Unternehmen bereits die Möglichkeit der Freiwilligkeit fraglich ist, wie dies bei manchen Konstellationen im Dienstverhältnis der Fall sein kann.

Vertrag als Rechtsgrundlage

Datenverarbeitungen brauchen und sollten dann nicht auf die Einwilligung gestützt werden, wenn sie auch vertraglich vereinbart werden könnten. Überschneidet sich im Einzelfall der Anwendungsbereich der Einwilligung mit dem des Vertrags – kann also sowohl der Stecker „Einwilligung“ als auch der Stecker „Vertrag“ genutzt werden – empfiehlt es sich in der Regel, die Verarbeitung auf den Vertrag zu stützen. Der Vertrag ist in folgenden Fällen der richtige Stecker:

Der Vertrag setzt in diesen Fällen die Datenverarbeitung voraus – ohne sie wäre er nicht denkbar. So muss ein Onlineshop Adressdaten verarbeiten, um die bestellte Ware ausliefern zu können.

Ein Beispiel dafür ist die Verarbeitung von Daten für Marketingzwecke als Gegenleistung für einen Download oder die Teilnahme an einem sozialen Netzwerk. Ein solcher Vertrag ist jedoch nur zulässig, wenn er nach zivilrechtlichen Maßstäben vereinbart werden darf (gemäß dem sog. konkret-objektiven Maßstab, Engeler ZD 2018, 57f.). Das Zivilrecht hält Schutzbarrieren bereit, die ein Ausnutzen der (wirtschaftlichen) Unterlegenheit des Betroffenen durch das Unternehmen verhindern sollen, z.B. den Tatbestand der Sittenwidrigkeit (§ 138 BGB). Das Datenschutzrecht ergänzt diese Grenzen der Privatautonomie durch eigene Maßstäbe, etwa den Datenminimierungsgrundsatz (Art. 5 Abs. 1 lit. c DSGVO), den Speicherbegrenzungsgrundsatz (Art. 5 Abs. 1 lit. e DSGVO) und die Grundsätze von Privacy by Design und Privacy by Default (Art. 25 Abs. 1, 2 DSGVO). Diese Grundsätze dienen allesamt dazu, den Eingriff in das Persönlichkeitsrecht des Betroffenen abzumildern. Unverhältnismäßige Eingriffe dürfen auch vertraglich nicht vereinbart werden.

Der Arbeitnehmer muss solche Datenverarbeitungen tolerieren, ohne die eine Abwicklung seines Arbeitsverhältnisses nicht möglich wäre. Hierzu gehören zum einen Verarbeitungen, die die „Verwaltung“ des Mitarbeiters betreffen, allen voran das Führen einer Personalakte. Daneben lassen sich auch solche Verarbeitungen mit dem Arbeitsverhältnis des Mitarbeiters rechtfertigen, ohne die selbiges nicht oder nicht sinnvoll ausgeübt werden könnte. Hierzu gehört die Gesprächsaufzeichnung beim Telefonbanking oder das Lotsen von Lagerarbeitern mittels (schonend auszugestaltender) Ortung. Eine mögliche Folge der Verweigerung des Mitarbeiters kann hier die Auflösung des Arbeitsverhältnisses sein.

Interessenabwägung als Rechtsgrundlage

Kann der Vertag mit dem Betroffenen die Verarbeitung nicht ausreichend legitimieren, kann diese ggf. stattdessen auf die berechtigten Interessen des Unternehmens gestützt werden. In diesem Fall bildet eine Abwägung mit den schutzwürdigen Interessen des Betroffenen die Rechtsgrundlage. Die – zu Gunsten des Unternehmens ausgefallene – Interessenabwägung kann in folgenden Konstellationen die richtige Legitimationsbasis sein:

Beispiel: Ein Unternehmen vermietet an den Betroffenen hochpreisige oder gefährliche Unternehmensgüter und möchte sich mit einer (schonend auszugestaltenden) Überwachungsmaßnahme gegen einen Missbrauch absichern – etwa mithilfe einer zeitlich begrenzten Verarbeitung von Standortdaten im Falle des Angebots eines Mobilitätsdienstes. Ein erhöhtes Risiko kann auch in Räumen bestehen, in denen gefahranfällige Dienstleistungen angeboten (z.B. Bargeldausgabe) oder hochpreisige Güter (z.B. Gemälde) ausgestellt werden. In diesen Fällen kann ausnahmsweise sogar eine (partielle) Videoüberwachung von Mitarbeitern zulässig sein. Nicht zuletzt ist auch der Schutz vor betrügerischen Handlungen ein legitimes Interesse. So darf in einem Onlineshop unter bestimmten Voraussetzungen eine automatisierte Identitäts- und Bonitäts- bzw. Seriositätsprüfung erfolgen.

Bestimmte Mitarbeiterdatenverarbeitungen sind zwar nicht erforderlich, um das Beschäftigtenverhältnis durchführen zu können, jedoch angesichts der Tätigkeit des Mitarbeiters unternehmerisch geboten. So kann in sehr engen Grenzen und bei ausreichender Einbindung des Mitarbeiters eine Gesprächsaufzeichnung im Callcenter datenschutzrechtlich auch dann zulässig sein, wenn der Arbeitgeber diese für legitime Auswertungszwecke nutzen möchte. Auch die Auswertung anderer Arbeitsergebnisse (z.B. E-Mails) lässt sich im konkreten Fall u.U. auf eine Interessenabwägung stützen, wenn sie nicht bereits zur Durchführung des Vertragsverhältnisses erforderlich ist (s.o.).

Hier ist an postalische Werbung und E-Mailwerbung bei Bestandskunden zu denken. Auch ein pseudonymisiertes Tracken von Websitebesuchern kann regelmäßig auf überwiegende Unternehmensinteressen gestützt werden. Anders sehen dies neuerdings die Datenschutzaufsichtsbehörden, die das Einholen einer Einwilligung des Nutzers verlangen (activeMind berichtete). Diese (sehr fragliche) Auffassung haben die Behörden allerdings in einer neueren Stellungnahme bereits wieder etwas relativiert. Darin ist nur noch von einem Tracken „personenbezogener Daten“ die Rede. Gemeint sind hiermit wohl direkt identifizierende Daten wie z.B. die ungekürzte IP-Adresse des Nutzers.

Fazit: Die Suche nach der richtigen Rechtsgrundlage lohnt sich

Die datenschutzkonforme Verarbeitung wird oftmals sehr stark mit der Einwilligung des Betroffenen assoziiert. Neben bzw. statt der Einwilligung ermöglichen jedoch auch die Rechtsgrundlagen Vertrag und Interessenabwägung umfassende Datenverarbeitungen. Bei der Suche nach der richtigen Rechtsgrundlage hilft Ihnen Ihr Datenschutzbeauftragter. Die Rechtsgrundlagen werden auch für die Erstellung eines Verarbeitungsverzeichnisses und die Umsetzung der Informationspflichten benötigt.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Datenschutzrisiken in der Bilanz: Rückstellungen für potentielle Bußgelder

Mit der ab dem 25. Mai 2018 anwendbaren EU-Datenschutz-Grundverordnung (DSGVO) soll der Datenschutz als personenbezogenes Grundrecht gestärkt werden. Weil sich dadurch der Pflichtenkatalog für Unternehmen maßgeblich erweitert, sollten Sie den Datenschutz zu einem zentralen Aspekt unternehmerischer Tätigkeit machen und ihm in der Risikobewertung eine höhere Bedeutung beimessen. Für etwaige Bußgelder bei Datenschutzverstößen können Sie sogar zu bilanziellen Rückstellungen verpflichtet sein. Dieser Artikel hilft Ihnen, die Risiken einzuschätzen.

Ausgangslage: Pflichten und Bußgelder unter der DSGVO

Unter der DSGVO wird es kaum ein Unternehmen geben, das nicht von (einigen) Datenschutzplichten betroffen ist, da im Regelfall jedes Unternehmen personenbezogene Daten – zumindest die von Mitarbeitern – verarbeitet. Als Folge dessen wird es kaum möglich sein, sich der Implementierung einzelner Schutzkonzepte – ggf. sogar der Implementierung eines Datenschutzmanagementsystems – zu entziehen.

Gleichzeitig werden die möglichen Bußgelder für Verstöße mit der DSGVO drastisch erhöht. Für geringfügigere Verstöße sind Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten (Konzern-)Umsatzes der verantwortlichen Stelle möglich. Bei schwerwiegenderen Verstößen erhöhen sich die jeweiligen Maximalstrafen auf 20 Millionen Euro bzw. 4 % des Umsatzes (siehe auch unser Artikel zu Bußgeldern unter der DSGVO).

Welche Risiken erzwingen bilanzielle Rückstellungen?

Die Erweiterung des Pflichtenumfangs und gleichzeitige Erhöhung der korrespondierenden Bußgelder werden weitreichende Auswirkung auf alle Bereiche unternehmerischer Tätigkeit haben. Daher sollte ihnen in der unternehmerischen Risikobewertung eine höhere Bedeutung beigemessen werden.

Es stellt sich insbesondere die Frage, unter welchen Voraussetzungen Datenschutzverstöße oder die Non-Compliance mit datenschutzrechtlichen Pflichten in Form von Rückstellungen gem. § 249 HGB (Handelsgesetzbuch) in der Bilanz zu berücksichtigen sind. An dieser Stelle sei vorsorglich darauf hingewiesen, dass es im Rahmen des Jahresabschlusses für Aktiengesellschaften weitergehende Pflichten geben kann, auf die hier nicht eingegangen wird.

Nach § 249 HGB – der für alle Kaufleute gilt (!) – sind Rückstellungen für ungewisse Verbindlichkeiten zu bilden. Eine ungewisse Verbindlichkeit im Sinne der Norm liegt dann vor, wenn der Bilanzierende ernsthaft mit der Inanspruchnahme wegen einer Verbindlichkeit, die wirtschaftlich in der Zeit vor dem Bilanzstichtag verursacht wurde, rechnen muss.

Bei ungewissen Verbindlichkeiten ist zwischen

  1. der Wahrscheinlichkeit des Bestehens der Verbindlichkeit und
  2. der Wahrscheinlichkeit der tatsächlichen Inanspruchnahme hieraus

zu unterscheiden. Konkret auf das Datenschutzrecht angewendet bedeutet dies: Ein Unternehmen hat im Rahmen des Jahresabschlusses zu entscheiden, ob wegen einer vermeintlichen Verletzung von Datenschutzrecht eine Rückstellung für ein Bußgeld der zuständigen Behörde zu bilden ist:

  1. Einerseits besteht die Unsicherheit, ob überhaupt eine rechtlich belangbare Verletzung von Datenschutzrechtes vorliegt.
  2. Anderseits besteht die Unsicherheit, ob die zuständige Behörde den Fall aufgreifen und ein Bußgeldverfahren einleiten wird.

Wie wahrscheinlich ist eine bußgeldbewehrte Rechtsverletzung?

Um eine mögliche Pflicht zur Rückstellung für Bußgelder aufgrund von Datenschutzverstößen ermitteln zu können, muss zunächst geprüft werden, wie wahrscheinlich letztere vorliegen. Hier sind im Wesentlichen zwei mögliche Szenarien zu unterscheiden:

  • Unternehmen, die bisher gar keine Risikoanalyse und keine Maßnahmen hinsichtlich datenschutzrechtlicher Verpflichtungen eingeleitet haben, und
  • Unternehmen, die eine Risikoanalyse durchgeführt und bereits (erste) Maßnahmen ergriffen haben.

In erstem Fall wird in Zukunft mit sehr großer Wahrscheinlichkeit von datenschutzrechtlichen Regelverstößen bzw. Non-Compliance mit der DSGVO in irgendeiner Art auszugehen sein. Wer seine Pflichten nicht kennt, wird sich in der Regel schwertun, diese (kurzfristig) zu erfüllen.

Unternehmen der zweiten Kategorie, die bereits aufgrund einer Risikoanalyse um ihre Verpflichtungen wissen, können entweder Verstöße oder Non-Compliance vermuten oder positive Kenntnis davon haben. Bei positiver Kenntnis eines Verstoßes entfällt der Wahrscheinlichkeitsmaßstab.

Wie wahrscheinlich ist eine Ahndung durch die Aufsichtsbehörde?

Es kann nicht seriös vorhergesagt werden, wie die Datenschutz-Aufsichtsbehörden in Zukunft ihren Kontrollauftrag ausgestalten. Es sprechen jedoch einige Umstände dafür, dass die Ahndungswahrscheinlichkeit im Vergleich zur Vergangenheit deutlich zunehmen wird.

So sind die jeweiligen Aufsichtsbehörden nach DSGVO verpflichtet, Meldungen nachzugehen und gegebenenfalls vorliegende Verstöße zu ahnden. Da etwa Verstöße gegen Meldepflichten bereits auf Webseiten ersichtlich sein können, tritt neben die Möglichkeit der Zufallskontrolle durch die Behörde auch die Meldung an letztere durch z. B. einen abgelehnten Bewerber oder konkurrierende Marktteilnehmer.

Zusätzlich greift mit der DSGVO eine grundsätzliche Meldepflicht bei Datenpannen innerhalb von 72 Stunden. Um unter diese Meldepflicht zu fallen, reicht es schon, eine E-Mail mit personenbezogenen Daten an einen falschen Adressaten versendet zu haben. Die Pflicht zur Meldung von Datenpannen erhöht demnach zusätzlich das Risiko, dass Verstöße durch die Aufsichtsbehörden aufgedeckt werden.

Fazit: Bilanzielle Rückstellung dürften für viele Unternehmen verpflichtend werden

Je nach datenschutzrechtlichem Risikobewusstsein und Umsetzungsstand von Maßnahmen in Unternehmen ist die Gefahr von Non-Compliance oder Regelverstößen unterschiedlich hoch. Für Unternehmen, die bisher nicht einmal eine Risikoanalyse durchgeführt und gar keine datenschutzrechtlichen Maßnahmen ergriffen haben, dürfte die Wahrscheinlichkeit einer Pflichtverletzung immens hoch sein. Für Unternehmen, die um Ihre Non-Compliance oder Verstöße wissen, ersetzt Kenntnis die Wahrscheinlichkeit.

Die Wahrscheinlichkeit der Ahndung von Verstößen durch die Aufsichtsbehörden ist derzeit eine unbekannte Größe und wird sich erst nach und nach durch die Praxis einordnen lassen. Vieles spricht dafür, dass u. a. aufgrund der Ahndungs- bzw. Verfolgungspflicht von Meldungen, die Wahrscheinlichkeit von Ahndungen hoch anzusiedeln ist.

Dies wiederum erhöht bei Kenntnis eines Verstoßes oder DSGVO-Non-Compliance oder bei bisheriger Tatenlosigkeit im Datenschutz die Wahrscheinlichkeit, zu Rückstellungen verpflichtet zu sein. Fest steht in jedem Fall eines: Wenn es eine Pflicht zu bilanziellen Rückstellungen für Verpflichtungen aus Bußgeldbescheiden wegen Datenschutzverletzungen gibt, dann in potentiell erheblicher Höhe.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Baldiges Aus für US-Daten-Dienstleister in der EU?

Wieder einmal wollen Behörden in den USA den vollen Zugriff auf Kundendaten von US-Unternehmen – auch wenn diese Daten in Rechenzentren in Europa gespeichert sind. Der oberste Gerichtshof der Vereinigten Staaten muss nun entscheiden, ob dies rechtens ist. Falls er den Zugriff auf die Daten für legitim erklärt, hätte dies katastrophale datenschutzrechtliche Auswirkungen.

Der Fall: Microsofts EU-Cloud

Das US-Justizministerium fordert auf Grundlage eines Durchsuchungsbeschlusses von Microsoft die Herausgabe von personenbezogenen Daten (in diesem Fall E-Mails), die in der sogenannten „EU-Cloud“ in Irland gespeichert sind. Microsoft ging gegen den Durchsuchungsbeschluss vor, verlor jedoch in einem ersten Gerichtsverfahren. Die Berufungsinstanz entschied hingegen mit drei zu null der Richterstimmen für Microsoft.

Der oberste Gerichtshof der Vereinigten Staaten (United States Supreme Court) muss nun grundsätzlich entscheiden, ob die US-Justizbehörden mit einem einfachen Durchsuchungsbefehl amerikanische Unternehmen anweisen dürfen, Daten preiszugeben, die sich in Europa befinden. Das für den 27. Februar 2018 festgelegte Revisionsverfahren hat also erhebliche Implikationen für den Datenschutz (No. 17-02 United States, Petitioner v. Microsoft Corporation, umgangssprachlich auch „Microsoft Ireland Case“).

Die Folgen: ein datenschutzrechtliches Dilemma

Sollte der Supreme Court den US-Justizbehörden Recht geben, wäre in letzter Konsequenz für in der EU ansässige Unternehmen eine Zusammenarbeit mit amerikanischen Dienstleistern kaum noch umsetzbar. Denn wenn Dienstleister im Auftrag Daten verarbeiten sollen, muss der Auftraggeber gewährleisten, dass der jeweilige Partner über ein adäquates Datenschutzniveau verfügt. Dies wäre nicht mehr gegeben, sollte US-amerikanischen Behörden nun ein direktes Zugriffsrecht auf Daten, die von amerikanischen Unternehmen physisch in Europa gespeichert werden, zugesprochen werden.

Entsprechendes gilt für europäische Unternehmen, die sowohl in der EU als auch in den USA operieren. Diese müssten sich in vergleichbaren Fällen in Zukunft entscheiden, entweder gegen EU-Datenschutzrecht oder US-Recht zu verstoßen. Auch dies müssten Auftraggeber im Rahmen der Datenverarbeitung in ihre Prüfung des Verarbeiters bzw. Dienstleisters berücksichtigen.

Das EU-U.S. Privacy Shield, ein Abkommen zwischen der EU und den USA hinsichtlich der Gewährleistung von Mindeststandards im Datenschutz von US-Unternehmen, könnte von diesem Urteil ebenfalls zu Fall gebracht werden.

Fazit: Schnelles Handeln und ggfs. Alternativen sind gefragt

Das mit Spannung erwartete Urteil hat also die Sprengkraft, wirtschaftliche und informationstechnische Verflechtungen zwischen der EU und den USA nachhaltig zu beschädigen. Unternehmen, die US-Dienstleister oder Dienstleister mit einem Sitz (bzw. einer Konzernmutter oder -tochter) in den USA bei der Auftragsverarbeitung einsetzen, müssen nach dem Urteil ggfs. schnell handeln. Es kann deswegen ratsam sein, sich jetzt schon nach Alternativen umzusehen.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Austausch der IT und ISO 27001-Zertifizierung im Bereich erneuerbare Energien für die Lampe Equity Management GmbH [Best Practice]

Unternehmen, die im Bereich der erneuerbaren Energien bzw. der Energie-Infrastruktur tätig sind, freuen sich seit Jahren über ein schnelles Wachstum. Da kann es schnell passieren, dass die Unternehmens-IT nicht mehr den höchsten Anforderungen entspricht. Wie man mit Hilfe eines externen Sicherheitsbeauftragten die gesamte IT austauscht und eine Sicherheitszertifizierung nach ISO 27001 meistert, zeigt das Best Practice der Lampe Equity Management GmbH.

Die Herausforderung bei der Kunden-IT

Zum Portfolio der Hamburger CEE Group gehören zahlreiche Photovoltaik- und Windparks in Deutschland. Und es werden immer mehr. Um die Prozesse der vielen Unternehmen der CEE Group zu optimieren, bündelte man die IT-Tätigkeiten der Gruppe in der Lampe Equity Management GmbH. Als dort nach einigen Jahren ein Informationssicherheits-Managementsystem (ISMS) eingeführt werden sollte, um die Zertifizierung nach ISO 27001 zu erreichen, wurde Handlungsbedarf sichtbar:

„Unsere IT-Infrastrukturen sind in großem Umfang und sehr organisch gewachsen. Doch dies ist nicht endlos skalierbar, dafür sind die Anforderungen unseres Unternehmens an Effizienz und Sicherheit zu hoch“, erläutert CEE Operations-Geschäftsführer Christian Bertsch-Engel, verantwortlich für die Umstrukturierung der IT-Landschaft der Lampe Equity Management.

Umsetzung 1: Austausch der gesamten IT

Um die Herausforderungen zu meistern, wurde ein Experte der activeMind AG als externer Sicherheitsbeauftragter bestellt. Zudem besetzte man die Position des technischen Leiters neu, um interne und externe Kompetenzen zu bündeln. In einem ersten Arbeitsschritt ging es dann darum, den vollständigen Austausch der vorhandenen Hardware zu realisieren. Christian Bertsch-Engel: „Im laufenden Geschäftsbetrieb die Unternehmens-IT zu ändern, davor scheut man sich ja eher. Für uns war es daher besonders angenehm, dass unser Team während des gesamten Prozesses durch die activeMind AG begleitet wurde.“

So übernahm der externe Sicherheitsbeauftragte die Ausschreibung des Hardware-Austauschs, die Erstellung des Anbieterkatalogs und den Entwurf des technischen Lösungsvorschlags. Auch die Angebotsprüfung und Auswahl des Anbieters wurde durch die activeMind AG durchgeführt. Parallel dazu konnte durch den neuen technischen Leiter ein internes Störungsmanagement entwickelt und implementiert werden.

„Wir setzen vorwiegend auf eigene IT und lagern nicht in Rechenzentren aus. Daher brauchten wir nicht nur neue Workstations, sondern auch Server bzw. die gesamte Storage-Struktur. Das Ergebnis sollte eine prozessorientierte und hochverfügbare Umgebung sein“, so Christian Bertsch-Engel. „Die juristischen, organisatorischen und IT-Kenntnisse der activeMind AG waren hierbei sehr wertvoll. Auch in die Vertragsverhandlungen und die Überprüfung des Anbieters nach § 11 Bundesdatenschutzgesetz (BDSG) hat sich unser externer Sicherheitsbeauftragter wertstiftend eingebracht.“ Insgesamt begleitete die activeMind AG die Lampe Equity Management GmbH bei der technischen Integration bis zur Abnahme.

Umsetzung 2: Vorbereitung zur ISO-Zertifizierung

Auf Basis der neuen Infrastruktur konnte nun die Zertifizierung nach ISO 27001 durch den TÜV angestrebt werden. Der Ausbau des notwendigen IT-Monitorings wurde intern verwirklicht. Der externe Sicherheitsbeauftragte unterstützte währenddessen bei der Risikoanalyse, der datenschutzrechtlichen Prüfung und bei der Erstellung der IT-Dokumentation. Interne Audits bereiteten optimal auf das Zertifizierungsaudit vor.

„In weniger als anderthalb Jahren seit der Erfassung des technischen Ist-Zustands erlangten wir gemeinsam mit der activeMind AG die erfolgreiche Zertifizierung nach ISO 27001 ohne Abweichungen“, freut sich Christian Bertsch-Engel. „Überzeugt hat uns dabei vor allem der Rundum-Service und die pragmatische Herangehensweise der Experten. Mit der activeMind AG an unserer Seite und mit unserer neuen IT sind wir sicherheitstechnisch und datenschutzrechtlich bestens für zukünftiges Wachstum gerüstet!“

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Terrorlistenscreening – vereinbar mit dem Datenschutz?

Mit den EU-Anti-Terrorverordnungen (2580/2001/EG, 881/2002/EG und 753/2011/EG) soll die Finanzierung terroristischer Handlungen verhindert werden. Steht ein Mitarbeiter auf einer der Verordnungslisten, darf ihm kein Gehalt ausgezahlt werden. Auch mit „terroristischen“ Kunden oder anderen Vertragspartnern darf kein Handel getrieben werden. Doch können Unternehmen die sogenannten Terrorlisten überhaupt datenschutzkonform auswerten? Und falls ja, wie muss das Terrorlistenscreening ausgestaltet sein?

Was schreiben die EU-Anti-Terrorverordnungen vor?

Ca. 230 als Terroristen geltende natürliche Personen und ca. 100 als terroristisch eingestufte juristische Personen, Gruppen und Organisationen sind derzeit im Anhang I der Verordnung 881/2002/EG zu finden. Die Liste wurde bereits 257 Mal geändert, zuletzt am 15. Dezember 2016. Die „Terroristenliste“ der Verordnung 753/2011/EG umfasst demgegenüber exakt 123 natürliche und juristische Personen, Gruppen, Unternehmen und Einrichtungen und wurde zuletzt am 29. September 2016 aktualisiert.

Gemäß Art. 3 Abs. 2 der Verordnung 753/2011/EG dürfen

„[d]en in Anhang I aufgeführten natürlichen oder juristischen Personen, Gruppen, Unternehmen und Einrichtungen […] weder unmittelbar noch mittelbar Gelder oder wirtschaftliche Ressourcen zur Verfügung gestellt werden oder zugutekommen.“

Ein ähnlicher Wortlaut findet sich in Art. 2 Abs. 2 der Verordnung 881/2002/EG. Bei einem Verstoß gegen die Verordnungen sind erhebliche Sanktionen möglich, von einer Geldbuße und Untersagung der Gewerbefortführung bis zur Freiheitsstrafe.

Wer muss die Terrorlisten screenen?

Nach Art. 14 Verordnung 753/2011/EG (ähnlich Art. 11 Verordnung 881/2002/EG) gilt diese u.a.

„d) für die nach dem Recht eines Mitgliedstaats gegründeten oder eingetragenen juristischen Personen, Gruppen, Unternehmen und Einrichtungen;“

„e) für juristische Personen, Gruppen, Unternehmen und Einrichtungen in Bezug auf Geschäfte, die ganz oder teilweise in der Union getätigt werden.“

Somit sind im Prinzip alle Unternehmen, die Geschäfte in Europa tätigen und / oder hier gegründet oder eingetragen sind, verpflichtet, die Verordnungen einzuhalten.

Ein (fortwährendes) Screenen der Listen wird in den Verordnungen allerdings nicht verlangt. Auch Artikel 14 k der Zollkodex-Durchführungsverordnung (ZK-DVO), der „Sicherheitsüberprüfungen“ und „regelmäßige Hintergrundüberprüfungen“ zur Voraussetzung für die Erlangung des mit Zollvorteilen versehenen Status „Zugelassener Wirtschaftsbeteiligter – AEO“ macht, enthält keine explizite Screening-Pflicht. Gleichwohl verlangt der Zoll auf Grundlage der Leitlinien „Zugelassener Wirtschaftsbeteiligter“ von antragstellenden Unternehmen die Bestätigung, dass die Terrorlisten im Rahmen der Sicherheitsüberprüfungen herangezogen werden (vgl. Fragekatalog zur Selbstbewertung – AEO Punkt 6.11.3 und 6.12.1.).

Ist der Abgleich (von Mitarbeiterdaten) datenschutzkonform?

Zunächst ist festzustellen, dass die Verordnungen als solche das Datenschutzrecht nicht „überlagern“ bzw. „verdrängen“. Dies folgt u. a. aus dem Umstand, dass das Screening als solches in den Verordnungen nicht gefordert und somit auch nicht für zulässig erklärt wird.

Vor diesem Hintergrund hatten sich die Datenschutzbehörden in der Vergangenheit kritisch zu einem pauschalen und anlasslosen Screening von Mitarbeitern positioniert. Dieses könne weder als erforderlich angesehen werden, noch genüge es rechtsstaatlichen Prinzipien. Weniger bedenklich (allerdings uneinig) hatte sich der Datenschutzkreis gegenüber dem Screenen von Kundendaten gezeigt. Ausführlich und vergleichsweise differenziert hatte auch der (ehemalige) Bundesbeauftragte für den Datenschutz und die Informationsfreiheit zum Thema Stellung bezogen.

Der Bundesfinanzhof (BFH) hat die durch die Datenschützer mitverursachte Rechtsunsicherheit mit seinem Urteil vom 19.06.2012 beseitigt. Der BFH hält die Vorgabe des Zolls, das Erlangen des AEO-Zertifikats vom Screenen der Anti-Terrorverordnungen abhängig zu machen, für datenschutzkonform. Das Screenen könne als erforderlich angesehen werden; schutzwürdige Interessen der Mitarbeiter würden bereits aufgrund der geringen Sensitivität der für den Abgleich erforderlichen Daten nicht überwiegen.

Was darf bzw. muss gescreent werden?

Hinsichtlich der Art der auszuwertenden Daten ist das Datensparsamkeitsgebot (Art. 5 Abs. 1 lit. c, Art. 25 Abs. 1 DSGVO) zu beachten. Danach dürfen nur Stammdaten gescreent werden, wozu der Name, die Anschrift, das Geburtsdatum und / oder der Geburtsort zählen. Auch eine Pseudonymisierung der Daten sollte vor dem Hintergrund des Datensparsamkeitsgrundsatzes geprüft werden.

Wann und wie oft muss gescreent werden?

Wohl auch angesichts der in den Verordnungen fehlenden Screening-Pflicht hat die Bundesregierung 2010 in einer Stellungnahme die Pflicht eines Unternehmens zu einem systematischen und anlassunabhängigen Abgleich seiner Kunden- und Mitarbeiterdateien verneint. Eine Screening-Pflicht bestehe „allenfalls nach Maßgabe von Sorgfaltspflichten“.

Angesichts der drohenden Sanktionen und der nunmehr (weitgehend) geklärten Datenschutzrechtslage sollten dennoch im Rahmen des betrieblichen Compliance-Managements, soweit praktisch sinnvoll und handhabbar, regelmäßige Abgleiche erfolgen.

Zur Ermittlung einer sinnvollen Prüffrequenz kann bei (kleinen) ressourcenschwachen Unternehmen auf die in den benannten Leitlinien aufgestellte Mindestprüfpflicht von einem Jahr abgestellt werden. Diese Mindestprüfpflicht greift jedoch – zumindest hinsichtlich AEO – nicht, wenn Güter aus einem sicherheitsrelevanten Bereich betroffen sind. In diesem Fall sollte eine höhere Prüffrequenz angesetzt werden.

Worauf muss bei der Einbindung eines Dienstleisters geachtet werden?

Eine fortwährende Überprüfung der Terrorlisten kann für ein Unternehmen sehr lästig sein, weshalb verschiedene Dienstleister den Abgleich anbieten (Beispiel 1, Beispiel 2). Die Beauftragung eines Dienstleisters ist grundsätzlich im Rahmen einer Auftragsverarbeitung (Art. 28, 29 DSGVO) datenschutzkonform möglich.

Erforderlich ist eine dokumentierte Prüfung der organisatorischen und technischen Maßnahmen des Dienstleisters. Es sollte insbesondere geprüft und dokumentiert werden, ob der Dienstleister aktuelle Terrorlisten verwendet und mit welchen konkreten Methoden das Screening erfolgt. Die Einbindung erfordert zudem den Abschluss eines Auftragsverarbeitungsvertrages.

Was muss beim Terrorlistenscreening noch beachtet werden?

Die datenschutzkonforme Einführung des Verfahrens erfordert eine  Datenschutzfolgenabschätzung (Art. 35 DSGVO) durch den  Verantwortlichen. Neben dem Datenschutzbeauftragten muss auch der Betriebsrat rechtzeitig informiert werden, dem beim Einsatz einer Screening-Software u. U. ein Mitbestimmungsrecht im Sinne von § 87 Abs. 1 Nr. 6 BetrVG zusteht.

Schließlich müssen sowohl die Mitarbeiter als auch die Kunden und sonstigen Vertragspartner über die Umstände des Screenings informiert werden.

Fazit: Terrorlistenscreening ist datenschutzkonform durchführbar

Auch wenn die Terrorismusverordnungen ein Screenen nicht ausdrücklich verlangen, kann dieses aus datenschutzrechtlicher Sicht als erforderlich angesehen werden. Der Abgleich kann im Wege der Auftragsverarbeitung auf einen Dienstleister übertragen werden. Neben dem Datenschutzbeauftragten muss auch der Betriebsrat eingebunden werden. Die vom Screening Betroffenen sind über die Umstände zu informieren.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

ISO 27001 Zertifizierung für IT-Beratungsunternehmen Infosys Consulting [Best Practice]

Für IT-, Strategie-, Management- und Unternehmensberatungen spielen Datenschutz und Datensicherheit eine herausragende Rolle. Denn der Umgang mit Daten von Kunden und deren Kunden gehört in Zeiten von Cloud-Computing, Big-Data und Business-Intelligence zum Alltag. Ein gut implementiertes Informationssicherheits-Managementsystem (ISMS) hilft hierbei gleich zweifach: Zum einen stellt ein ISMS unternehmensintern sicher, dass IT-Sicherheitsvorkehrungen den gesetzlichen Mindestanforderungen genügen und stetig optimiert werden. Zum anderen zeigt ein ISMS – wenn es etwa nach der bekannten Norm ISO 27001 zertifiziert ist – gegenüber Kunden und Geschäftspartnern, welch hohen Stellenwert die Datensicherheit einnimmt. Zwei schlagende Argumente auch für die Infosys Consulting GmbH, wie Helena Saldanha, zuständig für Verträge und Compliance, im Best Practice Interview erklärt.

Ihr Unternehmen hat für das Office in den Highlight Towers ohne eine einzige Abweichung das ISO 27001 Zertifizierungs-Audit absolviert. Für die Vorbereitung haben Sie die activeMind AG als externen Dienstleister gesetzt. Warum?

Bei Infosys Consulting gab es intern nicht genügend Ressourcen, um die Voraussetzungen für eine Zertifizierung nach ISO 27001 in einem angemessenen Zeitrahmen zu erfüllen. Die activeMind AG kannten wir schon von Datenschutzschulungen bei der IHK München. Die Nachfrage bei einem anderen von der activeMind AG zur ISO 27001 geführten Unternehmen ergab zudem, dass man dort sehr zufrieden war.

Letztlich überzeugte uns, dass die Berater von activeMind selbst durch den TÜV Hessen berufene Auditoren für die Datensicherheitsnorm sind. Wer selbst prüft, sollte auch wissen, worauf bei der Vorbereitung zum Audit ein besonderes Augenmerk zu legen ist. Diese Annahme hat sich im Prozess definitiv bestätigt.

Wie gestaltete sich die Zusammenarbeit mit den Beratern von activeMind konkret?

Es gab regelmäßige Treffen mit den begleitenden Experten von activeMind, die sich trotz des Zeitdrucks durch Ruhe, Strukturiertheit und Zielorientierung auszeichneten. Dabei gab es für uns ganz konkrete Tipps, etwa wie Türknäufe die Zutrittssicherheit erhöhen oder wo eigene Racks im Rechenzentrum sinnvoll sind. Die technische Versiertheit der Berater löste so manche Herausforderung, die sich durch die Lokalität unserer Büroräume ergab. Hier zeigte sich, dass die Juristen von activeMind nicht nur die gesetzlichen Anforderungen kennen, sondern auch über sehr viel praktische Erfahrung verfügen.

Besonders hilfreich war das eigens für uns bereitgestellte Portal bei der activeMind AG. Hier fanden wir vorgefertigte Templates und Dokumente für die ISO 27001 Zertifizierung bzw. den Aufbau des ISMS, die wir nur noch anpassen mussten. Es gab praktische To-do-Listen, bis wann was erledigt sein musste. Dieses ISO-Portal brachte sofort Struktur und Planbarkeit in den Prozess bis zum Zertifizierungsaudit.

Warum spielt die IT-Sicherheit in Ihrem Unternehmen eine besonders große Rolle?

Infosys Consulting ist ein international tätiges Beratungsunternehmen für IT-Strategie- und Prozessoptimierung sowie IT-Transformationen. Unser Hauptgeschäft erfordert manchmal tiefgreifende Einblicke in Kundendaten und -software. Hier könnten wir uns keine Fehler in Sachen Datensicherheit erlauben.

Hinzukommt, dass in einigen Branchen IT-Sicherheits-Zertifizierungen vorausgesetzt bzw. vom Auftraggeber gefordert werden. Die Infosys Consulting GmbH wird von der ISO 27001 Zertifizierung also mit Sicherheit profitieren.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Medizinischer Datenschutz bei iPrax Systems [Best Practice]

Unternehmen, die im Gesundheitssektor aktiv sind, können sich derzeit über zwei sehr interessante Megatrends freuen: Zum einen ermöglicht die Individualisierung medizinischer Bedürfnisse und gesundheitlicher Vorsorge eine Vielzahl neuer Geschäftsmodelle. Zum anderen hilft die Digitalisierung dabei, Interessierte immer gezielter anzusprechen und Kunden – Patienten ebenso wie Ärzte und Therapeuten – jederzeit mit passenden Dienstleistungen zu versorgen. Eine besonders große Herausforderung stellt jedoch der Datenschutz im medizinischen Bereich dar. Denn Daten über Diagnosen von Ärzten, Medikamente und Therapien sind besonders sensibel. Warum es sich für Gesundheitsunternehmen daher besonders lohnt, einen externen Datenschutzbeauftragten beratend hinzuzuziehen, erklärt Dirk Becker, Geschäftsführer von iPrax Systems im Best Practice Interview.

Welches Produkt bietet Ihr Unternehmen im Gesundheitsbereich an?

Wir vertreiben eine Praxis-Software für Physiotherapeuten, Ergotherapeuten, Logopäden und Podologen. Mit iPrax können Sie alle wichtigen Verwaltungsaktivitäten einer Praxis digital abwickeln: Terminplanung und -vergabe, Patientenmanagement, Rezepte und Abrechnung. Dabei ist es egal, ob Sie gerade in der Praxis sind oder unterwegs, denn mit iPrax haben Sie online wie offline mit Ihrem iPad oder Mac immer Zugriff auf alle relevanten Daten. Mehrere Endgeräte lassen sich einfach synchronisieren, wodurch auch die Zusammenarbeit im Team erleichtert wird.

Wie relevant ist der Datenschutz bei Ihrer Software?

Bei Praxissoftware spielt der Datenschutz natürlich eine sehr große Rolle. Schon die gesetzlichen Vorgaben sind hier besonders streng, weil ja sensible Daten von Patienten verarbeitet werden. Darüber hinaus gebietet unser unternehmerisches Selbstverständnis, alles organisatorisch und technisch Mögliche zu unternehmen, um den Schutz der über unsere Software verarbeiteten Daten zu gewährleisten.

Welche sensiblen Daten werden bei iPrax verarbeitet?

Neben den Stammdaten der Patienten speichern die anwendenden Therapeuten alle relevanten Gesundheitsdaten wie den ärztlichen Befund, die Behandlungsdokumentation und die Rezepthistorie.

Warum haben Sie sich für einen externen Datenschutzbeauftragen entschieden?

Über das Wissen für die Erstellung, Implementierung und Einhaltung eines Datenschutzkonzepts verfügt unserer Meinung nach nur ein Profi als externer Datenschutzbeauftragter. Dies trifft insbesondere auf kleinere Unternehmen zu, die ihre Personalressourcen sehr gezielt einsetzen müssen. Außerdem kann ein „professioneller Datenschützer“ die ganzen Prozesse viel schneller abwickeln – schließlich macht er das ja den ganzen Tag und verfügt über entsprechende Erfahrung.

Was hat sich durch die Beratung der activeMind AG in Ihrem Unternehmen verändert?

Wir konnten bei allen betroffenen Mitarbeitern das Bewusstsein zum Schutz von personenbezogenen Daten stark erhöhen.

Können Sie das erreichte Datenschutzniveau nutzen, um besser Neukunden zu gewinnen?

Indirekt hilft der bei iPrax umgesetzte Datenschutz sicherlich. Unsere Kunden prüfen uns zwar in der Regel nicht im Sinne einer Auftragsdatenverarbeitung. Sie gehen aber davon aus, dass alles technisch und organisatorisch Mögliche durch uns als Anbieter unternommen wird, um die gesetzlichen Vorgaben zum Schutz der Daten zu gewährleisten. Unser Datenschutzmanagement gewährleistet bestmöglich, dass wir dieses Vertrauen niemals aufs Spiel setzen.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!