IPv6 und Datenschutz aktuelle Empfehlungen

Ein aktuelles und akutes Problem im Internet: die Adressen werden knapp! Bereits Anfang 2011 wurden die letzten Blöcke des IP4 Adressraums vergeben. Neue Adressen wird es nicht geben. Eine Lösung ist aber bereits in Sicht – mit der Einführung des IPv6 Protokolls steigt die Zahl der möglichen Adressen von bisher 4,3 Milliarden auf 340 Sextillionen. Genug Adressen, um jedem denkbaren Gerät und damit jedem Benutzer eine eindeutige Adresse zu vergeben.

Genau hier entstehen neue Probleme.

Eine stets gleich bleibende Adresse würde es sehr leicht machen, einen Nutzer im Internet jederzeit wiederzuerkennen, sobald er einmal identifiziert wurde. Die derzeit eingesetzten Mechanismen, etwa Cookies, mit denen ein anders nicht wiedererkennbarer PC „markiert“ wird, würden größtenteils überflüssig.

Auf der gerade zu Ende gegangenen 33. Internationalen Konferenz der Beauftragten für den Datenschutz und für die Privatsphäre wurden daher unter anderem folgende Empfehlungen aussprochen:

  • Nutzer sollen nach wie vor die Möglichkeit haben, dynamische, also wechselnde, IP-Adressen zu nutzen.
  • Dies soll technisch als die Standardmöglichkeit vorgegeben und nur auf Wunsch des Nutzers geändert werden.
  • Soweit etwa Standortinformationen zur Nutzung bestimmter Dienste notwendig sind, soll die Übermittlung dieser Informationen verschlüsselt erfolgen.

Der vollständige Text des Entschlusses ist hier zu finden.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

RFID-Chips: Folgeabschätzung ist Pflicht

Seit September dürfen Unternehmen und Behörden keine RFID-Anwendungen in Betrieb nehmen, ohne vorab eine Datenschutz-Folgeabschätzung durchzuführen. Mit der Selbstverpflichtung wurde für die Unternehmen Rechtssicherheit bei Investitionen in die RFID-Technik geschaffen, für die EU-Bürger bringt die Vereinbarung einen Schutz ihres Bedürfnisses nach informationeller Selbstbestimmung.

RFID-Chips sind aus der modernen Logistik nicht mehr wegzudenken. Nicht nur beim Warentransport, sondern auch in Ausweisdokumenten, bei elektronischen Bezahlverfahren, zur Kennzeichnung von Fahrzeugen oder Nutztieren werden die Funkchips bereits eingesetzt – und die Anwendungsgebiete wachsen ständig. Unauffällig und zuverlässig können mit der RFID-Technik Daten berührungslos übertragen werden.

Es verwundert nicht, dass diese Technik nicht nur Begeisterung hervorruft, sondern auch Besorgnis erregt. Dabei gilt es nicht nur, kritische Datenschützer zu beruhigen. Wer die Vorteile der kleinen Chips nutzen möchte, kann nicht darauf verzichten, die Datenschutzbedenken von Kunden, Mitarbeitern und Behörden zu berücksichtigen. Um für Rechtssicherheit zu sorgen, hat sich die Wirtschaft daher gegenüber der EU-Kommission dazu verpflichtet, für jede RFID-Anwendung vor deren Inbetriebnahme eine so genannte Datenschutz-Folgeabschätzung durchzuführen.

Dabei werden mögliche Datenschutz-Risiken in Zusammenhang mit dem RFID-Projekt sowie deren Eintrittswahrscheinlichkeiten ermittelt. Erst wenn geeignete Vorkehrungen zur Abwendung aller bestehenden Risiken definiert und eingeleitet worden sind, darf die Anwendung in Betrieb genommen werden.

Die Vorgehensweise für die Folgeabschätzung ist in der „Privacy Impact Assessment Framework“ (PIA) festgeschrieben. Das Rahmenwerk wurde im April 2011 unterzeichnet, seit September müssen Unterhemen und Behörden die hohen Anforderungen erfüllen.

Die Datenschutz-Experten der activeMind AG unterstützen Sie gerne bei der Durchführung einer RFID-Folgeabschätzung und der Erstellung einer Dokumentation, die den Anforderungen der EU-Kommission entspricht. Kontaktieren Sie uns für ein unverbindliches Angebot unter anfrage@activemind.de oder telefonisch unter +49 (0) 89 / 418 560 170.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Erforderlichkeit der Erhebung oder Verarbeitung von Daten

„Aber wir brauchen diese Daten doch!“

An einigen Stellen erlaubt das Gesetz die Erhebung und Verarbeitung von personenbezogenen Daten auch ohne Einwilligung des Betroffenen und sogar gegen seinen Willen. So etwa im Zusammenhang mit der Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen Verhältnisses, § 29 Abs. 1 Nr. 1 BDSG. Wie auch hier, so stehen diese Ausnahmen vom grundsätzlichen Verbot, personenbezogene Daten zu erheben oder zu nutzen, regelmäßig unter dem Vorbehalt der „Erforderlichkeit“. Dieser Begriff wird häufig zu eigenen Gunsten falsch interpretiert. Die Folge dieser Fehleinschätzung ist die Rechtswidrigkeit der fraglichen Aktion. Es drohen Bußgelder, Haftung und andere negative Folgen.

„Erforderlich“ ist nicht im Sinne von zweckmäßig, praktisch, hilfreich oder sinnvoll zu verstehen. Erst recht unterliegt dieser Begriff nicht subjektiven Maßstäben, er ist objektiv zu bestimmen. Im Hinblick darauf, dass es sich hierbei stets um eine Ausnahme von einem gesetzlichen Verbot handelt, darf der Begriff auch keinesfalls weit verstanden werden. Vielmehr ist er eng, eben im Sinne einer Ausnahme, zu interpretieren. Die Ausnahme darf nie zur Regel werden.

Ob Daten erforderlich sind, ist von den berechtigten Interessen der Beteiligten abhängig. Auch diese Interessen und ihre Berechtigtheit sind wiederum objektiv zu beurteilen und richten sich nicht etwa nach der subjektiven Einschätzung des an den Daten Interessierten. Die Einschätzung muss objektiv und vernünftig nachvollziehbar sein. Weder zählt ein verschärftes Sicherungsbedürfnis des einen, noch ein übersteigertes Geheimhaltungsinteresse des anderen.

Erforderlichkeit ist nicht gegeben, wenn sich die berechtigten Interessen auch ohne die fraglichen Informationen wahren lassen. Andererseits muss auch keine zwingende Abhängigkeit bestehen; die Daten müssen nicht unverzichtbar sein. Gibt es aber zumutbare Alternativen, sind primär diese zu nutzen. Erst dann, wenn ein Ausweichen oder der Verzicht auf eine Information nicht sinnvoll oder unzumutbar wäre, kann die Erforderlichkeit wieder bejaht werden.

Beispiele:

  • Die Adresse eines Kunden ist etwa erforderlich, um eine Bestellung auszuführen, eine Lieferung durchzuführen oder eine Rechnung zu erstellen. Auch kann hier zusätzlich eine Telefonnummer erforderlich sein, wenn vorhersehbar Nachfragen entstehen oder kurzfristig ein Liefertermin vereinbart werden muss.
  • Die Angabe einer eMail-Adresse wird erforderlich sein, zum Beispiel in Fällen in denen ein Dienst aus Sicherheitsgründen nur über ein double opt-in Verfahren bereitgestellt wird. Ebenso zur Beantwortung einer elektronisch gestellten Anfrage. Die Abfrage einer Telefonnummern dagegen ist hier kaum gerechtfertigt.
  • Eine Bank wird im Rahmen einer Kreditvergabe Informationen über die Bonität des Interessenten einholen dürfen, selbst wenn die Abwicklung des Kreditvertrages auch ohne diese Informationen möglich wäre. Entsprechendes wird für den Vermieter einer Wohnung gelten. Immerhin besteht hier ein erhöhtes Schutzbedürfnis für die Genannten.  Für Geschäfte ohne besondere Risiken gilt dies jedoch nicht.

Zu beachten ist zusätzlich, dass einmal zulässig erhobene und verarbeitete Daten weiterhin einer Zweckbindung unterliegen. So darf etwa die für Rückfragen zulässig erfasste Telefonnummer oder eMailAdresse nicht auch für Werbung genutzt werden.

Fazit: „Erforderlich“ ist nicht, was bequem oder sinnvoll erscheint, sonden nur, was zur Erreichung eines vom Datenschutz (!) legitimierten Zwecks direkt unterstützend notwendig ist. Die Grenze ist eng zu ziehen.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Dokumenten – Datenschutz

Viele Computer-Dateien (doc, docx, xls, xlsx, pdf, jpg usw.) enthalten Metadaten. Metadaten sind zusätzliche Dateiinformationen, die Sie z.B. erzeugen, wenn Sie eine neue Word- oder Excel-Datei speichern. In diesen Dateien werden teilweise Informationen abgelegt, die eigentlich keine andere Person etwas angehen. Trotzdem werden diese Daten oftmals vergessen und nicht bewusst gelöscht.

Typische Metadaten zu einem Dokument sind beispielsweise der Name des Autors, Speicherpfade und Informationen zu Software-Versionen, Zugriffsrechten und dem Datum der letzten Änderung. Diese Daten können durch einen Angreifer ausgelesen, gesammelt und anschließend für gezielte Angriffe missbraucht werden.

Zusätzlich werden weitere Daten über die Zielpersonen in sozialen Netzen wie Xing oder Facebook gesucht. Eine eigene Homepage oder Informationen auf den Seiten des Arbeitgebers liefern noch weitere Informationen über die Zielperson. Diese Daten zusammen liefern einem Angreifer eine ausreichende Grundlage für gezielte technische oder Social-Engineering Attacken.

Einige Dokumentenformate sind auskunftsfreudiger als andere: Powerpoint-Präsentationen liefern z.B. mehr Informationen als etwa PDF-Dokumente und sind daher auch interessanter für den Angreifer. Eine spezielle Software zum Auslesen solcher Informationen kann unter anderem aus eingebetteten Bildern weitere Metadaten wie die benutzte Kamera auslesen (EXIF). Oftmals enthalten die EXIF-Daten auch noch ein Thumbnail des Originalfotos. Diese Vorschaubilder bleiben, trotz Bearbeitung des Orginals, unverändert. Ein unkenntlich gemachter Bildausschnitt im Foto kann also im Thumbnail unter Umständen noch zu erkennen sein.

Sobald Sie nun z.B. eine Office-Datei per E-Mail versenden, erhält der Empfänger nicht nur die Datei sondern auch alle zusätzlichen Informationen, die zu der Datei gespeichert sind. Das kann nicht immer wünschenswert sein. Abrufen können Sie diese Informationen einfach, indem Sie mit der rechten Maustaste auf die Datei klicken und Details anwählen.

Ein guter Schutz vor solchen Aufklärungsversuchen ist es, Metadaten aus Dokumenten vor der Veröffentlichung zu entfernen oder mit Dummy-Daten zu füllen.

Office enthält ab der Version 2007 die Funktion der Dokumentenprüfung, mit der Metadaten bequem gelöscht werden können:

  • Klicken Sie auf den Office-Button.
  • Wählen Sie den Eintrag „Vorbereiten“.
  • Klicken Sie auch den Befehl „Dokument prüfen“.
  • Wählen Sie in diesem Dialogfenster die Elemente aus, die überprüft werden sollen und klicken anschließend auf die Schaltfläche „Prüfen“.
  • Im Prüfungsergebnis werden Elemente, die zusätzliche Informationen enthalten mit einem Ausrufezeichen versehen. Sie können nun einzelne Elemente oder über die Schaltfläche „Alle entfernen“ sämtliche aufgeführte Informationen löschen.

In der Office-Version 2010 funktioniert das Löschen von Metadaten folgendermaßen:

  • Sie erreichen die Dokumentenprüfung über den Reiter „Datei“ und hier den Button „Informationen“.
  • Wählen Sie unter „Für die Freigabe vorbereiten“ den Eintrag „Auf Probleme überprüfen“.
  • Klicken Sie auch den Befehl „Dokument prüfen“.
  • Wählen Sie in der Dokumentenprüfung die zu prüfenden Elemente aus und klicken anschließend auf die Schaltfläche „Prüfen“.
  • Im Prüfungsergebnis sehen Sie die Elemente, die zusätzliche Informationen enthalten. Sie können nun einzelne Elemente oder über die Schaltfläche „Alle entfernen“ sämtliche aufgeführte Informationen löschen.

Beachten Sie, dass manche Informationen wie Kopf- und Fußzeilen eventuell doch nützlich sein könnten und im Dokument verbleiben sollten. Zur Sicherheit können Sie vor dem Löschen der Metadaten Ihr Dokument am Ende der Bearbeitung abspeichern und eine Kopie erstellen. Falls beim Löschen der Metadaten zu viele Informationen entfernt wurden, können Sie auf die Kopie zurückgreifen.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Bonitätsprüfungen und Datenschutz

Forderungsausfälle können schwerwiegende Folgen haben – es ist daher verständlich, dass ein Unternehmer wissen möchte, ob sein (potentieller) Vertragspartner fähig und willig ist, die geschuldete Gegenleistung zu erbringen. Dieses Sicherheitsbedürfnis wird durch Auskunfteien bedient, die verschiedene Informationen zu einer Aussage über die Bonität und möglicherweise Zuverlässigkeit des in Frage stehenden Geschäftspartners verdichten. Doch die Aussagekraft solcher Ratings ist aufgrund zweifelhafter Methoden umstritten. Zu beachten ist auch, in welchem Verhältnis das Informationsinteresse des Auskunft erfragenden Unternehmens zum Datenschutzinteresse des Vertragspartners steht.

Welche Informationen werden erfasst?

Informationen über Privatpersonen erhalten Auskunfteien zum Großteil von Vertragspartnern wie Banken, Versicherungen, Energieversorgern oder Immobiliengesellschaften. Nicht beglichene Rechnungsbeträge können ebenso in die Bewertung mit einfließen, wie die Dauer von Vertragsverhältnissen oder die Häufigkeit von Kreditanfragen. Bei Unternehmen werden zusätzlich Informationen wie die Vermögens- und Finanzlage, die Firmenhistorie oder das unternehmerische Umfeld ausgewertet. Dazu werden auch öffentlich zugängliche Quellen wie Schuldner- und Handelsregister herangezogen.

Aussagekraft von Scoringverfahren zweifelhaft

In die Beurteilung der Bonität fließen aber nicht nur individuelle Daten ein. In so genannten Scoring-Verfahren wird nicht die persönliche Zahlungsmoral untersucht, sondern es werden allgemeine statistische  Informationen zu Grunde gelegt. Die Auskunftei errechnet die Wahrscheinlichkeit eines Zahlungsausfalls anhand von Daten wie Alter, Geschlecht, Wohnort oder der Anzahl an Girokonten – unabhängig von deren Deckung.

Das Bundesministerium für Verbraucherschutz hat im Jahr 2009 die GP Forschungsgruppe mit einer Studie über Scoring-Anbieter beauftragt. Neben der zweifelhaften Methodik wurden bei allen untersuchten Instituten auch schwerwiegende Fehler, wie die falsche oder unvollständige Erfassung von Daten, festgestellt.

Informationsinteresse vs. Datenschutzinteresse

Die rechtmäßige Erhebung und Nutzung von personenbezogenen Daten setzt stets entweder eine gesetzliche Ermächtigung oder eine wirksame Einwilligung des Betroffenen voraus. Dazu sind Daten grundsätzlich direkt beim Betroffenen zu erheben (§ 4 Abs. 2 BDSG).

Ausnahmesweise erlaubt § 4 Abs. 2 Nr. 2a BDSG die Erhebung personenbezogener Daten auch ohne Mitwirkung des Betroffenen, wenn dies dem Geschäftszweck nach erforderlich ist. Erforderlich ist in diesem Sinne aber nicht alles, was der Unternehmer als sinnvoll oder wünschenswert ansieht. Als Ausnahme von der Regel ist der Begriff eng auszulegen. Es ist damit nur die Erhebung von Daten erlaubt, auf die der Unternehmer vernünftigerweise und alternativlos angewiesen ist, um seine berechtigten (!) Interessen zu wahren. Diese Interessen müssen einer objektiven Überprüfung standhalten. Es genügt nicht, dass sich ein Unternehmer auf sein individuell erhöhtes Bedürfniss nach Sicherheit beruft. Damit kann eine Bonitätsprüfung ohne Einwilligung etwa im Rahmen der Anbahnung einer Kreditvergabe datenschutzrechtlich zulässig sein. Eine Kundenbeziehung im Versandhandel rechtfertigt dagegen keine dauerhafte Bonitätsprüfung – siehe dazu auch die Stellungnahme des Düsseldorfer Kreises.

Auch in einer weiteren Stellungnahme haben die obersten Aufsichtsbehörden ihre restriktive Haltung unterstrichen: Sie sprechen auch Vermietern von Wohnraum, die durch das auf Dauer angelegte und besonders geschützte Mietvertragsverhältnis ein großes Interesse an der Bonität des Mieters haben, ebenfalls kein grundsätzliches Auskunftsrecht zu.

Fazit

Es besteht grundsätzlich kein Anspruch auf die Prüfung der Bonität von (möglichen) Vertragspartnern. Regelmäßig muss hierzu die Einwilligung des Betroffenen eingeholt werden. Diesem muss klar erkennbar sein, welche Daten abgefragt werden sollen. Andernfalls ist seine Einwilligung nicht wirksam.

Eine datenschutzrechtlich unzulässige Bonitätsprüfung kann Bußgelder und Strafmaßnahmen der Kontrollbehörden zur Folge haben. Auch der Betroffene kann Ansprüche geltend machen.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Anforderungen an den Datenschutzbeauftragten

Durch die moderne Informationstechnologie lassen sich auch größte Datenmengen schnell und einfach verarbeiten, auswerten, weitergeben und speichern. Aus der Perspektive des Datenschutzes ist das eine dementsprechend große Herausforderung. Das Gesetz stellt daher zurecht strenge Anforderungen an die innerbetriebliche Selbstkontrolle durch den Datenschutzbeauftragten (DSB) auf. Die obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich haben die Mindestanforderungen an den Datenschutzbeauftragten in einem Beschluss formuliert.

Die Anforderungen muss der Datenschutzbeauftragte bereits zum Zeitpunkt seiner Bestellung erfüllen. Andernfalls ist die Bestellung eventuell nicht wirksam und die gesetzlichen Vorgaben sind nicht erfüllt. Dies stellt ein Risiko dar – nicht nur deshalb, weil diese Ordnungswidrigkeit unter Umständen mit einem empfindlichen Bußgeld geahndet werden kann.

Die Aufsichtsbehörden empfehlen folgerichtig auch ausdrücklich die Teilnahme an entsprechenden Schulungen bereits vor Beginn der Tätigkeit, um eventuelle Informationsdefizite zu beheben, und auch regelmäßig nach der Bestellung, um einen stets aktuellen Informationsstand sicherzustellen.

1. Fachkunde im Datenschutzrecht

Der Beauftragte für den Datenschutz muss mindestens über folgende technisch-organisatorische Kenntnisse verfügen:

  • Grundkenntnisse zu den Persönlichkeitsrechten der Betroffenen und Mitarbeiter
  • umfassende Kenntnisse der einschlägigen Regelungen des BDSG
  • Kenntnisse des Anwendungsbereiches datenschutzrechtlicher und technischer Vorschriften, der Datenschutzprinzipien und der Datensicherheitsanforderungen insbesondere nach § 9 BDSG. Dies schließt die Fähigkeit ein, die Geeignetheit von technischen und organsisatorischen Maßnahmen zu beurteilen.

2. Branchenspezifische Kenntnisse

Je nach Branche, IT-Infrastruktur und Größe der Organisation und der Sensibilität Daten stellt der Gesetzgeber folgende Anforderungen an den Datenschutzbeauftragten:

  • Umfassende Kenntnis der für das Unternehmen relevanten Vorschriften
  • Fachwissen im Bereich der Informationstechnologie und der Datensicherheit
  • Betriebswirtschaftliches Sachverständnis
  • Kenntnis der Strukturen und Abläufe im Unternehmen
  • Kenntnis über das praktische Datenschutzmanagement

3. Rahmenanforderungen

Neben den persönlichen Anforderungen an den Datenschutzbeauftragten verlangt der Gesetzgeber die Gewährleistung bestimmter Rahmenbedingungen, insbesondere im Hinblick auf die Unabhängigkeit des Datenschutzbeauftragten. Dazu gehören folgende:

  • Der Datenschutzbeauftragte darf bei Erfüllung seiner Aufgaben keinen Interessenkonflikten ausgesetzt sein. Dies bedeutet unter anderem, dass eine Bestellung nicht erfolgen darf, sobald der Beauftragte sich in irgendeiner Weise selbst überwachen müsste. Angehörige der Geschäftsleitung oder Mitarbeiter, die sonst zentrale Verantwortung tragen, scheiden danach regelmäßig aus. Durch ihre Bestellung wird die gesetzliche Verpflichtung nicht erfüllt.
  • Datenschutzbeauftragte sind grundsätzlich auch gegenüber den Verantwortlichen des von ihnen betreuten Unternehmens zur Verschwiegenheit über Informationen verpflichtet, die Rückschlüsse auf bestimmte Personen zulassen.
  • Die Verantwortlichen der zu betreuenden Organisation müssen dem Datenschutzbeauftragten erforderliche Zutritts- und Einsichtsrechte einräumen und gewährleisten, dass er durch entsprechende Weiterbildungen die für die Erfüllung seiner Verpflichtungen notwendigen Kenntnisse pflegt.
  • Internen Datenschutzbeauftragten ist ausreichend Zeit zur Erfüllung ihrer Aufgaben einzuräumen.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Konzerninterner Datentransfer

Die Anzahl großer auch multinationaler Konzerne wächst weiter. Zugleich verstärken sich die Tendenzen zur konzernweit ausgerichteten Personalverwaltung. Während Konzerne sich als wirtschaftliche Einheit verstehen, ist für das Datenschutzrecht das einzelne Unternehmen maßgeblich. Es besteht in Deutschland kein Konzernprivileg. Übermittlungen zwischen rechtlich selbständigen Unternehmen sind nur unter besonderen Voraussetzungen zulässig. Hierzu hat der Düsseldorfer Kreis im November 2009 Voraussetzungen aufgestellt, die im Folgenden erläutert werden.

Datensparsamkeit

Grundsätzlich sollte unter Berücksichtigung der Datensparsamkeit (§ 3 a BDSG) vorab durch das verantwortliche Unternehmen geprüft werden, ob der mit der Weitergabe von personenbezogenen Daten an andere Konzern-Unternehmen verfolgte Zweck auch mit Pseudonymisierung oder Anonymisierung der Daten erreicht werden kann.

Auftragsdatenverarbeitung

Wird ein Konzern-Unternehmen als Auftragsdatenverarbeiter für ein oder mehrere andere Konzernunternehmen im Rahmen einer Hilfsfunktion weisungsgebunden tätig, so sind Auftraggeber und Auftragnehmer im Verhältnis zueinander nicht „Dritte“, so bleibt der Auftraggeber verantwortliche Stelle und die Datenweitergabe zwischen beiden stellt keine „Übermittlung“ dar (§ 3 Abs. 8 Satz 3 BDSG, § 3 Abs. 4 Nr. 3 BDSG). Es ist auch nicht generell anzunehmen, dass eine Konzern-Ober- bzw. Muttergesellschaft als Auftragnehmer fungiert. Dennoch wird es meist nicht der Fall sein, da die Konzernmutter meist eigenständigen Nutzungsrechten an den vom Auftraggeber zur Verfügung gestellten Daten haben will.

Funktionstrennung

Wenn hingegen eine ganze Funktion zur eigenverantwortlichen Wahrnehmung übertragen wird, wird der Datenverarbeiter selbst zur verantwortlichen Stelle. Die personenbezogenen Daten werden an ihn übermittelt. Dieser Fall soll hier betrachtet werden. Worin kann eine Rechtsgrundlage gesehen werden?

Erlaubnis aus der Zweckbestimmung des Vertrages.(§ 28 Abs. 1 Satz 1 Nr. 1 BDSG)

Das Erfordernis der „Zweckbestimmung“ des Arbeitsvertrages i.S.d. § 28 Abs. 1 Satz 1 Nr. 1 BDSG ist erfüllt, sofern der Arbeitsvertrag bei Vertragsschluss ein Tätigwerden des Arbeitnehmers auch in anderen Konzernunternehmen vorsieht.

Berechtigtes Interesse der verantwortlichen Stelle (§ 28 Abs. 1 Satz 1 Nr. 2 BDSG)

Grundsätzlich ist von einem vorangingen Interesse des Betroffenen an keiner Weitergabe auszugehen. Eine Übermittlung könnte sich jedoch dann im Rahmen des berechtigten Interesse des weitergebenden Konzernunternehmens rechtfertigen lassen, wenn die beteiligten Konzernunternehmen besondere Maßnahmen zugunsten der Arbeitnehmer treffen. So kann das Ergebnis der Abwägung zugunsten der berechtigten Interessen der Konzernunternehmen ausfallen. Dies ist im Einzelfall zu entscheiden. Es kommen folgende Komponenten für die Betrachtung des Einzelfalles in Frage:

  • konzernweites Datenschutzkonzept;
  • einheitliche Standards zur Gewährleistung und Durchsetzung der Datenschutzrechte der Betroffenen;
  • koordinierte Sicherheitsmaßnahmen;
  • der Verarbeitungsverlauf muss für die Betroffenen transparent sein;
  • der Arbeitgeber muss umfassender Ansprechpartner für den Arbeitnehmer bleiben, d.h. auch für die Erfüllung dessen Rechte auf Auskunft, Löschung, Berichtigung, Sperrung und Schadensersatz einstehen.

Die Regelungen müssen zwischen den Konzernunternehmen verbindlich getroffen werden, z.B. durch Verträge oder in Form von Unternehmensregelungen. Eine solche Regelung müsste auch im Verhältnis zu den Betroffenen verbindlich gemacht werden. Soweit die hier genannten Voraussetzungen eingehalten werden können auch Besondere Arten personenbezogener Daten (§ 3 Abs. 9 BDSG) nach § 28 Abs. 6 Nr. 3 BDSG übertragen werden.

Einwilligung als Rechtsgrundlage

Eine Einwilligung des Beschäftigten sollte nur in den Fällen in Anspruch genommen werden, in denen dieser eine echte Wahl hat und seine Einwilligung zu einem späteren Zeitpunkt widerrufen kann, ohne dass ihm daraus Nachteile erwachsen. Daher scheidet eine Einwilligung i.d.R. als Rechtsgrundlage aus.

Betriebsvereinbarungen

Wenn mit Hilfe von Betriebsvereinbarungen die oben beim Berechtigten Interesse der verantwortlichen Stelle genannten Anforderungen erfüllt sind bestehen keine Bedenken gegen deren Anerkennung als datenschutzrechtliche Legitimation zur Datenübermittlung.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Kündigungsschutz für Datenschutzbeauftragte

Mit der Novellierung des Bundesdatenschutzgesetzes am 1.9.2009 wurde der Datenschutzbeauftragte mit einem Kündigungsschutz ausgestattet, § 4f Abs. 3 BDSG. Außer wenn Gründe für eine fristlose Entlassung vorliegen, ist die Kündigung des mit dem betrieblichen Datenschutzbeauftragten abgeschlossenen Arbeitsverhältnisses unzulässig.

Dieser Kündigungsschutz bleibt auch nach einer Abberufung als betrieblicher Datenschutzbeauftragter für ein weiteres Jahr nach der Beendigung der Bestellung bestehen. In dieser Zeit ist eine Entlassung des früheren betrieblichen Datenschutzbeauftragten nur bei Vorliegen von Gründen für eine fristlose Kündigung aus wichtigem Grund (§ 626 BGB) gestattet.

Jedoch kann die Aufsichtsbehörde den bestellten Datenschutzbeauftragten abberufen, wenn er die erforderliche Fachkunde oder Zuverlässigkeit nicht besitzt. Damit kann die Bestellung durch die Unternehmensleitung widerrufen werden, wenn die Aufsichtsbehörde dies verlangt, oder ein wichtiger Grund i.S.v. § 626 BGB gegeben ist.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Aufgaben des Datenschutzbeauftragten

Gemäß § 4 f BDSG haben Unternehmen, die personenbezogene Daten automatisiert erheben, verarbeiten und nutzen, einen Beauftragten für den Datenschutz schriftlich zu bestellen, wenn mehr als neun Beschäftigte mit dieser Aufgabe betraut sind. Personenbezogene Daten sind z.B. das Geburtsdatum, die Telefonnummer, die Postanschrift oder eine E-Mailadresse; auch eine verwendete IP- Adresse kann hierunter fallen. Der Begriff ist sehr weit zu verstehen. Die betroffenen Daten müssen nicht „vertraulich“ oder „geheim“ sein. Für die in Unternehmen bestellten Datenschutzbeauftragten hat sich die Bezeichnung „betrieblicher Datenschutzbeauftragter“ etabliert.

Aufgaben und Stellung des betrieblichen Datenschutzbeauftragten

Mitwirkung bei der Gewährleistung der Einhaltung der Datenschutzgesetze

Die gesetzlichen Aufgaben des betrieblichen Datenschutzbeauftragten sind in § 4g BDSG definiert. Nach dieser Bestimmung wirkt der betriebliche Datenschutzbeauftragte auf die Einhaltung des BDSG „und anderer Vorschriften über den Datenschutz hin“. Die Verantwortung für die Einhaltung der datenschutzrechtlichen Bestimmungen trifft jedoch zunächst den Rechtsträger des Unternehmens, also entweder eine natürliche oder eine juristische Person.

1. Beratungsaufgaben

Die Beratungsfunktion stellt die zentrale Aufgabe des betrieblichen Datenschutzbeauftragten dar. Diese Beratungsfunktion erstreckt sich keinesfalls ausschließlich auf eine gutachterliche, juristische Tätigkeit im Hinblick auf vorgefundene Sachverhalte und ihre datenschutzrechtliche Bewertung. Die Aufgabe des betrieblichen Datenschutzbeauftragten sollte es sein, das operative Ziel des Unternehmens zu unterstützen und dabei darauf zu achten, dass geltende datenschutzrechtliche Bestimmungen nicht verletzt werden.

2. Schulungsaufgaben

Die Schulung des Personals im Bereich Datenschutz und Datensicherheit ist eine unmittelbare gesetzliche Aufgaben des betrieblichen Datenschutzbeauftragten. Diese wird in

unterteilt.

3. Kontrollaufgaben

Der betriebliche Datenschutzbeauftragte hat eine umfassende Kontrollaufgabe hinsichtlich der datenschutzrechtlichen Unbedenklichkeit der Aktivitäten innerhalb eines Unternehmens, die in Zusammenhang mit der Verarbeitung personenbezogener Daten steht.

4. Registeraufgaben

Gemäß § 4g Abs. 2 in Verbindung mit § 4e Satz 1 Nr. 1-9 BDSG ist dem betrieblichen Datenschutzbeauftragten von der verantwortlichen Stelle eine Übersicht über DV-Systeme, mit denen automatisiert personenbezogene Daten verarbeitet werden, zur Verfügung zu stellen. Diese hat gesetzlich definierte Mindestangaben zu enthalten.

Organisatorische Aufgaben des betrieblichen Datenschutzbeauftragten

Ab einer bestimmten Größenordnung muss sich ein betrieblicher Datenschutzbeauftragter über die Organisation seiner Beratungs-, Schulungs- und Kontrollfunktionen Gedanken machen. Damit besteht für ihn die Pflicht und die Notwendigkeit, ein auf der organisatorischen Ausgestaltung des Unternehmens aufbauendes Konzept für die Organisation der Aufgabenerledigung im Bereich des Datenschutzes zu entwickeln bzw. fortzuentwickeln (Datenschutzkonzept).

Bestellung und formale Position innerhalb des Unternehmens

Interner betrieblicher Datenschutzbeauftragter

Gemäß § 4f Abs. 1 BDSG ist der betriebliche Datenschutzbeauftragte vom Unternehmen schriftlich zu bestellen. Hierfür ist also ein Dokument erforderlich, das von einem befugten Vertreter des Rechtsträgers des Unternehmens zu unterschreiben und vom betrieblichen Datenschutzbeauftragten gegenzuzeichnen ist. Die Bestellung hat den Charakter einer besonderen Vereinbarung (Arbeitsvertragsänderung) und kann nicht im Wege des arbeitsrechtlichen Direktionsrechts auf einen Beschäftigten übertragen werden.

Nach § 4f Abs. 3 Satz 1 BDSG ist der betriebliche Datenschutzbeauftragte der Leitung eines Unternehmens unmittelbar zu unterstellen. Aus dem Wortlaut der Vorschrift ergibt sich direkt, dass ein Mitglied der Unternehmensleitung nicht zum betrieblichen Datenschutzbeauftragten bestellt werden kann. Achtung: seit dem 1.9.2009 besteht für interne Datenschutzbeauftragte Kündigungsschutz! Der interne Datenschutzbeauftragte kann gegen seinen Willen grundsätzlich nicht mehr abberufen werden.

Externer betrieblicher Datenschutzbeauftragter

Nach dem BDSG muss der betriebliche Datenschutzbeauftragte nicht zwingend Beschäftigter des betroffenen Unternehmens sein. Insbesondere bei kleineren Unternehmen kann es sinnvoll sein, einen externen Datenschutzexperten zum betrieblichen Datenschutzbeauftragten zu bestellen. Es ist jedoch immer nur die Bestellung einer natürlichen Person, nicht eines Unternehmens, möglich.

Qualifikation des betrieblichen Datenschutzbeauftragten

Der Datenschutzbeauftragte muss Fachkompetenz in Bezug auf IT-Technologien, Kenntnisse im allgemeinen Datenschutzrecht und im Bereich der datenschutzrechtlich relevanten Bestimmungen des BetrVG, sowie Kenntnisse der Aufgaben-, Struktur- und Funktionsweise des Unternehmens und nicht zuletzt auch Schulungskompetenz besitzen.

Arbeitsrechtliche Stellung des Datenschutzbeauftragten

Werden Mitarbeiter des Unternehmens bestellt, so müssen als Besonderheiten im Hinblick auf die arbeitsrechtliche Stellung des Datenschutzbeauftragten das gesetzliche Benachteiligungsverbot, die direkte Unterstellung unter die Unternehmensleistung bei Ausübung der Tätigkeit des Datenschutzbeauftragten sowie der Kündigungsschutz berücksichtigt werden.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.