Integrität und Vertraulichkeit bei der Datenverarbeitung

Integrität und Vertraulichkeit gehören zu den komplexesten Grundsätzen der Datenschutz-Grundverordnung (DSGVO). Bei der Umsetzung müssen Unternehmen einerseits die Risiken bei der Datenverarbeitung richtig einschätzen und andererseits technologische Aspekte der Informationssicherheit beachten. Wir zeigen Ihnen, wie das am besten funktioniert.

Integrität und Vertraulichkeit in der DSGVO

Der Grundsatz der Integrität und Vertraulichkeit nach Art. 5 Abs. 1 f) DSGVO sieht vor, dass personenbezogene Daten in einer Art und Weise verarbeitet werden, die eine angemessene Sicherheit dieser Daten gewährleistet. Insbesondere ist dafür zu sorgen, dass die personenbezogenen Daten

  1. vor unbefugter und unrechtmäßiger Verarbeitung (Vertraulichkeit) und
  2. vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung (Integrität) bewahrt werden.

Um dies zu erreichen, muss der Verantwortliche oder Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen (TOM) treffen.

Der Grundsatz der Integrität und Vertraulichkeit wird insbesondere in Art. 32 DSGVO (Sicherheit der Verarbeitung) konkretisiert. Dort werden über die Schutzziele der Integrität und Vertraulichkeit hinaus noch weitere Schutzziele genannt, welche jedoch nach dem Gesetzeswortlaut („schließen gegebenenfalls unter anderem Folgendes ein“) nicht abschließend sind:

  • Pseudonymisierung
  • Verschlüsselung
  • Verfügbarkeit
  • Belastbarkeit der Systeme
  • Rasche Wederherstellbarkeit der Verfügbarkeit
  • Verfahren zur regelmäßigen Überprüfung

Risikoangemessenes Schutzniveau

Doch welche konkreten Maßnahmen eignen sich, um Vertraulichkeit und Integrität zu gewährleisten? Im Gegensatz zum alten Bundesdatenschutzgesetz (BDSG a.F.) mit seinen „Acht Datenschutzgeboten“ lässt die DSGVO dies offen. Nach Art. 5 Abs. 1 f) DSGVO und Art. 32 Abs. 1 DSGVO müssen individuell „angemessene“ technische und organisatorische Maßnahmen getroffen werden. Welche Maßnahmen angemessen sind, bestimmt sich laut Art. 32 Abs. 1 DSGVO nach dem Risiko. Wichtig ist, dass es stets auf Risiken für Betroffene ankommt, nicht auf Risiken für den Verantwortlichen bzw. das Unternehmen.

Eine Legaldefinition des Risikos ist in der DSGVO nicht vorgesehen. Aus den Erwägungsgründen 75 und 94 DSGVO kann jedoch hergeleitet werden, dass es zur Ermittlung des Risikos einerseits auf die Schwere eines Schadens, andererseits auf dessen Eintrittswahrscheinlichkeit ankommt. Bei dem Schaden kann es sich um „physische, materielle und immaterielle“ Schäden handeln, wie beispielsweise „Diskriminierung, Identitätsdiebstahl oder-betrug, finanzieller Verlust, Rufschädigung“.

Die Schwierigkeit besteht darin, dass es weder einen konkreten Risikobegriff noch einen festgelegten Maßstab für angemessene TOM gibt. Vielmehr ist relativ viel Interpretationsspielraum gegeben. Entscheidend dürfte sein, dass es sich um vertretbare Risikobewertung und vertretbare Maßnahmen handelt. Je höher das Risiko, desto weitreichender müssen die technischen und organisatorischen Maßnahmen sein.

Besteht für Betroffene ein hohes Risiko, so muss der Verantwortliche eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO vornehmen. Im Rahmen dieser Datenschutz-Folgenabschätzung muss der Verantwortliche versuchen, das Risiko einzudämmen. Aus dem Umkehrschluss kann man schließen, dass die TOM nicht alle Risiken vollständig beseitigen, sondern es ausreichend ist, wenn das Risiko auf ein normales Niveau gesenkt wird.

Das Kurzpapier Nr. 18 der DSK (Datenschutzkonferenz, das Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder) bietet hilfreiche Informationen zur Risikobewertung, wenn auch ohne konkret auf die Relevanz für die technischen und organisatorischen Maßnahmen einzugehen.

Weitere Kriterien für das Schutzniveau

Bei der Implementierung angemessener technischer und organisatorischer Maßnahmen ist insbesondere auch Stand der Technik zu berücksichtigen. Die TOM müssen zudem ständig angepasst werden, wenn die technologische Entwicklung dies erfordert.

Der Stand der Technik meint allerdings nicht zwingend die besten und effektivsten Maßnahmen. Wie bereits erläutert, ist es ausreichend, die Risiken auf ein normales Risiko zu senken. Hierbei kann sich das Unternehmen an den markt- und branchenüblichen Maßnahmen orientieren. Teilweise gibt es auch Informationen und Empfehlungen wie beispielsweise die IT-Grundschutz-Kataloge des BSI (Bundesamt für Sicherheit in der Informationstechnik).

Die Implementierungskosten können bei der Bewertung der Angemessenheit ebenfalls berücksichtigt werden. Sind die Implementierungskosten zu hoch, muss ein Unternehmen dennoch alle anderen Möglichkeiten ausschöpfen und entsprechende Maßnahmen treffen um ein hohes Risiko für die Rechte und Freiheiten von Betroffenen zu verhindern.

Nachweis durch Verhaltensregeln oder Zertifizierungsverfahren

Im Rahmen der Nachweise technischer und organisatorischer Maßnahmen trifft man oft auf eine ISO/IEC 27001:2013 Zertifizierung. Hierbei handelt es sich um ein zertifiziertes Informationssicherheits-Managementsystems (ISMS) welches im Anhang A Controls beinhaltet, die sich mit den Schutzzielen des Art. 32 DSGVO decken.

Neben der ISO/IEC 27001:2013 Zertifizierung ist jedoch zu bedenken, dass der Geltungsbereich des Zertifikats nur das ISMS umfasst. Ein solches Zertifikat allein genügt nicht den Anforderungen der DSGVO; es ist zusätzlich an die Erfordernisse eines Datenschutzmanagementsystems (DSMS) zu denken. Insbesondere sind die in der ISO/IES 27001:2013 aufgeführten Controls aus der Sicht des Datenschutzes und der DSGVO zu betrachten. Im Rahmen der Lieferantenbeziehungen ist etwa an die Anforderungen der Auftragsverarbeitung zu denken, und beim Umgang mit Sicherheitsvorfällen auch an Datenschutzverletzungen nach Art. 33 bzw. 34 DSGVO.

Verstöße gegen Vertraulichkeit und Integrität können teuer werden

Der Grundsatz von Vertraulichkeit und Integrität fordert der verantwortlichen Stelle viel ab, auch, weil hier Datenschutz und Informationssicherheit kombiniert werden müssen. Unternehmen sollten die Umsetzung jedoch nicht auf die lange Bank schieben. Denn Verstöße gegen die Grundsätze des Art. 5 DSGVO können laut Art. 83 Abs. 5 lit. a DSGVO mit den höchsten in der DSGVO vorgesehenen Bußgeldern geahndet werden.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Geschrieben am:

Rechenschaftspflichten bei der Datenverarbeitung

Viele Unternehmen erlassen seit Inkrafttreten der Europäischen Datenschutz-Grundverordnung (DSGVO) munter zahllose interne Regelungen zum Umgang mit personenbezogenen Daten. So will man den neuen datenschutzrechtlichen Anforderungen nachkommen und auf Kontrollen der Aufsichtsbehörden vorbereitet sein. Doch über welche Datenverarbeitungen und deren Schutz müssen Unternehmen überhaupt Rechenschaft ablegen?

Die Rechenschaftspflicht in der DSGVO

Die Rechenschaftspflicht ist in Art. 5 Abs. 2 DSGVO verankert. Hiernach ist der Verantwortliche für die Einhaltung der in Art. 5 Abs. 1 DSGVO aufgezählten Grundsätze (Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit) verantwortlich und muss deren Einhaltung nachweisen können. Was aber steckt nun hinter dieser verantwortungsschweren Aussage?

Umfang der Rechenschaftspflicht

Die Rechenschaftspflicht lässt sich in zwei einzelne Pflichten gliedern: Einerseits folgt hieraus die Verantwortlichkeit. Diese findet sich im sog. risikobasierten Ansatz wieder (Art. 24 Abs. 1 DSGVO). Er besagt, dass sich Art und Umfang der vom Verantwortlichen zu ergreifenden datenschutzrechtlichen Maßnahmen nach dem Ergebnis einer Risikoanalyse richten sollen. Beim lokalen Gewürzgurkenfabrikant ist das Risiko eines Datenschutzvorfalls grundsätzlich wesentlich geringer als in einem Krankenversicherungsunternehmen, in dem viel mehr und sensiblere Daten verarbeitet werden. Die erforderlichen Maßnahmen sind allerdings fortlaufend zu überprüfen und zu aktualisieren. Wird der Gewürzgurkenproduzent plötzlich international tätig oder und wird fortan die gesamte Mitarbeiterverwaltung grenzüberschreitend gesteuert und bewertet, so steigen die Anforderungen an den Datenschutz.

Andererseits folgt aus der Rechenschaftspflicht die sog. Nachweispflicht, die vor allem auf die Erbringung von Nachweisen gegenüber der Aufsichtsbehörde abzielt (Art. 58 Abs. 1 lit. a) DSGVO). Kontaktiert die Aufsichtsbehörde also ein Unternehmen und verlangt Auskunft darüber, ob dieses denn auch die Daten seiner Kunden datenschutzkonform aufbewahrt, so muss das Unternehmen in irgendeiner Form diese Frage beantworten können. Das Gesetz legt dabei keine bestimmte Form des Nachweises fest, sondern überlasst es dem Verantwortlichen, wie er dieser Pflicht nachkommt.

Praktische Umsetzung der Rechenschaftspflicht

Die Umsetzung der Rechenschaftspflicht sollte entsprechend der o.g. Verantwortlichkeit und Nachweispflicht in zwei Schritten erfolgen. Es sollte also zunächst eine Risikoanalyse vorgenommen werden, die dann den Umfang der zu dokumentierende Nachweise festlegt.

Wenn die Risikoanalyse ergeben hat, dass ein relativ hohes datenschutzrechtliches Risiko besteht, weil die Firma z. B. als soziales Netzwerk die Daten von Mitgliedern verschiedener Parteien verarbeitet, kann sich zunächst die Einführung eines Datenschutzmanagementsystems (DSMS) anbieten. Ein solches DSMS bietet den Vorteil, dass bspw. im Kontaktfall durch die Aufsichtsbehörde, schnell und effizient auf deren Nachfragen reagiert werden kann. Beim Aufbau eines solchen kann man sich an vorhandenen Compliance-Managementsystemen wie z. B. einem Qualitäts-Service-Management-System (QSMS) orientieren. Denkbar ist es auch, das DSMS in bestehende Compliancesysteme zu integrieren.

Im Einzelnen tragen u.a. die folgenden Maßnahmen zur Erfüllung der Rechenschaftspflicht bei:

  • Aufbau einer internen Datenschutzrichtlinie (Inhalt: Anwendungsumfang der Richtlinie, Verantwortlichkeiten des Mitarbeiters/Managements, Datenschutzvorfallmeldung, Konsequenzen der Nichteinhaltung der Richtlinie, etc.)
  • verbindliche interne Datenschutzvorschriften (Binding Corporate Rules – BCR) gem. Art. 47 Abs. 1, 2 DSGVO (Beispiel.: Der o.g. Gewürzgurkenkonzern unterhält weltweit mehrere Standorte. Damit die Standorte in und außerhalb der EU miteinander z. B. ihre Personaldaten austauschen dürfen, müssen für die Dependancen außerhalb der EU verbindliche, interne Datenschutzvorschriften erstellt und angewendet werden. Diese werden von der zuständigen Aufsichtsbehörde genehmigt.)
  • Technikgestaltung, Art. 25 Abs. 1 DSGVO/datenschutzfreundliche Voreinstellungen, Art. 25 Abs. 2 DSGVO
    • zur Technikgestaltung: Das im Gewürzgurkenkonzern verwendete Mitarbeiterverwaltungsprogramm pseudonymisiert die Daten der Mitarbeiter direkt nach der Erfassung (Erwägungsgrund 78 DSGVO).
    • zu datenschutzfreundlichen Voreinstellungen: Das Social-Media-Profil des Gewürzgurkenkonzerns enthält schon bei seiner Erstellung die datenschutzfreundlichsten Voreinstellungen der jeweiligen Plattform.
  • Erstellung eines Verarbeitungsverzeichnisses ( 30 Abs. 1 und 2 DSGVO)
  • Durchführung einer Datenschutz-Folgenabschätzung (Art. 35 Abs. 1 und 3 DSGVO)
  • Bestellung eines Datenschutzbeauftragten (Art. 37 DSGVO)
  • Dokumentation von Datenschutzverletzungen ( 33 Abs. 5 DSGVO)
  • Einhaltung genehmigter Verhaltensregeln/Zertifizierungsverfahren ( 24 Abs. 3 DSGVO)
    • zu Verhaltensregeln: Der Verband europäischer Gewürzgurkenhersteller erlässt eine Verhaltensregel, nach welchen Datenschutzstandards mit Daten in den Mitgliedsunternehmen zu verfahren ist, (Art 40 DSGVO).
    • zu Zertifizierungsverfahren: Das Gewürzgurkenunternehmen erhält nach entsprechender Überprüfung seiner Datenschutzcompliance das Zertifikat EuroPriSe (European Privacy Seal) (Art. 42 Abs. 1 DSGVO). Das Unternehmen kann dieses Zertifikat bei einer Überprüfung durch die Aufsichtsbehörde vorweisen.

Weitere Beispiele, wie man seiner Nachweispflicht nachkommen kann, hält auch die Artikel-29-Datenschutzgruppe in ihrem Arbeitspapier Nr. 173 vor.

Wenn sich der Unternehmer nun selbst fragt, ob er der Nachweispflicht in genügender Weise entsprochen hat, so sollte er sich die Frage stellen, ob er alle Prozesse, bei denen personenbezogene Daten erhoben und verarbeitet werden, hinreichend dokumentiert hat.

Haftungsrisiken hinsichtlich der Rechenschaftspflicht

Wer angesichts dieses doch recht herausfordernden Pensums der Rechenschaftspflicht den Kopf in den Sand steckt oder die Verantwortung von sich weisen will, ist schlecht beraten. Es sollte jedem Verantwortlichen klar sein, dass er auch dann haftet, wenn die Verarbeitung der personenbezogenen Daten nicht durch ihn selbst, sondern durch einen Dienstleister erfolgt (Erwägungsgrund 74 DSGVO). Sprich: Nur weil die Datenschutzverletzung nicht im eigenen Unternehmen, sondern z. B. bei einem Subunternehmer erfolgt, heißt das noch nicht, dass das Unternehmen von der Haftung befreit ist. Im Übrigen kann sich der Unternehmer auch nicht dadurch der Haftung entziehen, dass er einen Datenschutzbeauftragten bestellt.

Im Übrigen kommt eine Haftung durch eine Beschwerde einer betroffenen Person bei der zuständigen Aufsichtsbehörde nach Art. 77 DSGVO in Betracht. Ist eine Person mit dem Ergebnis des Beschwerdeverfahrens nicht einverstanden, so kann sie das Untersuchungsergebnis auch gerichtlich angreifen (Art. 78 Abs. 1 und 2 DSGVO).

Natürlich findet bei nicht ausreichender Dokumentation im Ernstfall auch eine Sanktionierung durch die Aufsichtsbehörde statt. Bußgelder können bis zu 20 Mio. Euro oder 4 % des weltweiten Umsatzes des Unternehmens betragen, je nachdem welcher Betrag höher ist (Art. 83 Abs. 5 DSGVO).

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Geschrieben am:

Speicherbegrenzung bei der Datenverarbeitung

Die Speicherbegrenzung ist einer der Grundsätze der Datenschutz-Grundverordnung (Art. 5 Abs. 1 e) DSGVO). Speicherbegrenzung bedeutet, dass personenbezogene Daten derart zu speichern sind, dass eine Identifizierung von Betroffenen nur so lange möglich ist, wie für die Zweckerreichung erforderlich. Bei der konkreten Umsetzung im Unternehmen kommen dafür vor allem eine Löschung oder Anonymisierung infrage.

Gesetzliche Pflichten der Speicherbegrenzung

Der Grundsatz der Speicherbegrenzung sieht vor, dass personenbezogene Daten nur so lange aufbewahrt werden dürfen, wie dies zur Erreichung des Zwecks notwendig ist. Dies konkretisiert zum einen den Grundsatz der Datenminimierung, dass immer so wenig personenbezogene Daten wie möglich verarbeitet werden sollen, zum anderen den Grundsatz der Zweckbindung, da der Maßstab der Speicherbegrenzung stets der festgelegte Zweck ist.

Die DSGVO verankert die Pflicht der Speicherbegrenzung an mehreren Stellen: Im Rahmen der Informationspflichten nach Art. 13 Abs. 2 a) DSGVO und Art. 14 Abs. 2 a) DSGVO oder des Auskunftsanspruchs Betroffener nach Art. 15 Abs. 1 d) DSGVO muss der Verantwortliche gegenüber dem Betroffenen Auskunft über die Dauer der Datenspeicherung oder zumindest die „Kriterien für die Festlegung dieser Dauer“ erteilen.

Weiterhin besteht das Recht des Betroffenen auf Löschung sowie eine allgemeine Löschpflicht unter den Voraussetzungen des Art. 17 DSGVO.

Im Verzeichnis von Verarbeitungstätigkeiten des Verantwortlichen sind gem. Art. 30 Abs.1 f) DSGVO soweit möglich vorgesehene Löschfristen aufzuführen.

Speicherfristen und Löschfristen

Sowohl im Rahmen der Informationspflichten als auch der Betroffenenrechte auf Auskunft und Löschung muss sich der Verantwortliche mit einer Speicherfrist oder zumindest mit deren Kriterien auseinandersetzen und diese festlegen. Als Alternative zu einer konkreten Löschfrist sieht Erwägungsgrund 39 DSGVO vor, dass der Verantwortliche regelmäßige Überprüfungen vornimmt. Eine kalendermäßige Festlegung ist somit nicht zwingend erforderlich. Es ist jedoch wichtig, dass die Umstände und Kriterien für die Speicherbegrenzung nach objektiven Maßstäben feststellbar sind. Hierdurch kann im Rahmen von Löschroutinen einzeln festgestellt werden ob eine Speicherung der Daten weiterhin zulässig oder eine Löschung erforderlich ist.

Eine bestimmte Löschfrist ist in den meisten Fällen feststellbar. Hierbei kann man sich insbesondere an gesetzlichen Aufbewahrungs-, Verjährungs- oder Klagefristen orientieren. Schwierigkeiten entstehen nur dann wenn es solche Fristen nicht gibt und man sich lediglich punktuell daran orientieren kann ob der Zweck bereits erreicht wurde (siehe unser Ratgeber für ein Löschkonzept).

Praktische Umsetzung der Speicherbegrenzung

Mit der Speicherbegrenzung ist nicht zwingend die Löschung personenbezogener Daten gemeint. Die Speicherbegrenzung sieht vor, dass personenbezogene Daten „in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist“. Es kommt somit auf die Möglichkeit der Identifizierung von Personen an.

Die Aufhebung der Identifizierung kann in erster Linie natürlich dadurch erfolgen, dass Daten gelöscht werden. Es ist für die Speicherbegrenzung jedoch auch möglich, dass personenbezogene Daten anonymisiert werden. Die Anonymisierung ermöglicht im Gegensatz zur Pseudonymisierung keine nachträgliche Identifizierung einzelner Personen, da die Daten nicht mehr durch Hinzuziehung weiterer Informationen zuordenbar sind.

Vorsicht ist hinsichtlich des Löschrechts nach Art. 17 DSGVO geboten: Hier wird ausdrücklich die Löschung von Daten gefordert. In diesem Fall ist eine Anonymisierung nicht ausreichend. Anonymisieren ist eine Inhaltsänderung lediglich durch Aufhebung des Personenbezugs. Löschung ist die gesamte Entfernung der personenbezogenen Daten.

Der Unterschied macht sich insbesondere im Rahmen der Frage der Rechtmäßigkeit bemerkbar. Hinsichtlich der Löschung besteht spätestens nach Fortfall des Zwecks nach Art. 17 Abs. 1 DSGVO eine Löschpflicht. Es bedarf keiner Rechtsgrundlage für die Löschung.

Bei der Anonymisierung handelt es sich hingegen um eine weitere Datenverarbeitung im Rahmen einer Zweckänderung, welche einer Rechtsgrundlage bedarf. Für eine Anonymisierung kann ein überwiegendes berechtigtes Interesse gem. Art. 6 Abs. 1 f) DSGVO angeführt werden. Bei besonderen personenbezogenen Daten gem. Art. 9 DSGVO gibt es jedoch kein Äquivalent zu Art. 6 Abs. 1 f) DSGVO. Eine Anonymisierung besonderer personenbezogener Daten kann in den meisten Fällen nur durch Einwilligung gem. Art. 9 Abs. 2 a) DSGVO gerechtfertigt werden. Im Rahmen einer Zweckänderung ist auch an eine weitere Informationspflicht nach Art. 13 Abs. 3 DSGVO oder Art. 14 Abs. 3 DSGVO zu denken.

Ausnahmen von der Speicherbegrenzung

Von der Pflicht zur Speicherbegrenzung sind nur solche Datenverarbeitungen ausgeschlossen, welche ausschließlich im öffentlichen Interesse, für Archivzwecke oder für wissenschaftliche und historische Forschungszwecke gem. Art. 89 Abs. 1 DSGVO erfolgen.

In diesen Fällen hat der Verantwortliche dafür zu sorgen, dass entsprechende technische und organisatorische Maßnahmen vorgesehen sind, welche die steigenden Risiken, die mit der längeren Datenspeicherung und -ansammlung einhergehen, im Zaum halten können.

Verstöße gegen Grundsätze sind keine Kavaliersdelikte

Verstöße gegen die Grundsätze des Art. 5 DSGVO, hierunter auch der Grundsatz der Speicherbegrenzung, gehören zu der Kategorie von Verstößen, die mit höheren Bußgeldern geahndet werden. Gemäß Art. 83 Abs. 5 lit. a DSGVO können die Aufsichtsbehörden Bußgelder bis zu 20 Millionen Euro oder bis zu 4 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängen.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Geschrieben am:

Datenschutzschulung von Mitarbeitern und Betriebsräten

Neben den technischen und organisatorischen Schwachstellen im Datenschutz gibt es selbstverständlich auch die menschlichen. Da nichts normaler ist, als menschliche Fehlbarkeit, muss die Unternehmensführung dem durch Schulung von Mitarbeitern und insbesondere Betriebsräten entgegenwirken. Unser Ratgeber erklärt, worauf Sie laut Datenschutz-Grundverordnung (DSGVO) bei Datenschutz- und Informationssicherheitsschulungen im Unternehmen achten sollten.

Wer ist für Schulungen von Beschäftigten verantwortlich?

Entgegen der allgemeinen Auffassung ist der betriebliche Datenschutzbeauftragte nicht verantwortlich für die Durchführung von Schulungen. Es zählt nichtsdestotrotz gemäß Art. 39 Abs. 1 lit. b DSGVO zu seinen Aufgaben, die Strategien des Verantwortlichen bezüglich der Schulung von Mitarbeitern zu überwachen. Verantwortlich für die Datenverarbeitung ist deshalb in der Regel die Gesellschaft und damit deren Geschäftsführung.

Die betriebliche Praxis zeigt jedoch, dass die Durchführung von Mitarbeiterschulungen in der Regel an den Datenschutzbeauftragten delegiert wird. Dieses Vorgehen deckt sich mit der Pflicht des Datenschutzbeauftragten aus Art. 39 Abs. 1 lit. a DSGVO, die ihm die Unterrichtung und Beratung von Beschäftigten auferlegt.

Der Verantwortliche hat die nötigen Ressourcen zur Verfügung zu stellen, damit Mitarbeiter in ihrer Arbeitszeit geschult werden können und der Datenschutzbeauftragte (oder sonstige mit der Schulung beauftragte Stellen) die Mitarbeiter zum Datenschutz sensibilisieren kann.

Welche Mitarbeiter sollen geschult werden?

Alle Mitarbeiter, die an Verarbeitungen von personenbezogenen Daten beteiligt sind, müssen geschult werden. Zunächst sollte sich der Verantwortliche also die Frage stellen, was überhaupt „verarbeiten“ im Sinne der Datenschutz-Grundverordnung ist. Der Gesetzgeber gibt in Art. 4 Nr. 2 DSGVO folgende Beispiele, die so ziemlich jede Handhabung von personenbezogenen Daten einschließt: das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.

Doch diese Vorgabe schließt nicht jede Art von Daten ein. Nur personenbezogene Daten lösen die Schulungspflicht aus. Darunter fallen alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Beispiele für solche Informationen sind Namen, Kennnummern, IP-Adressen, Standort- und Körperdaten sowie sonstige identifizierende Merkmale.

Das bedeutet in der Praxis, dass ein Fantasie-Benutzername in einem Internetportal selbst noch kein personenbezogenes Datum ist, aber sich durch die verknüpfte IP-Adresse ein Personenbezug herstellen lässt. Im Ergebnis handelt es sich also auch dabei um personenbezogene Daten.

Einen Programmierer, der nur Software erstellt, wird keine Schulungspflicht treffen, weil er zwar Daten verarbeitet, diese aber nicht personenbezogen sind. Es ist aber allgemein bekannt, dass Bürojobs heutzutage diversifiziert sind und auch Programmierer durchaus in Kontakt mit Kunden kommen. Sobald der Programmierer dafür Zugriff auf ein Kontaktadressbuch hat oder Gesprächsnotizen in ein Dateisystem einpflegt, werden personenbezogene Daten verarbeitet und der Mitarbeiter muss geschult werden.

Andererseits müssen z. B. Reinigungskräfte und Mitarbeiter an Produktionslinien nicht unbedingt geschult werden, wenn sie nicht Leiter eines Teams sind und keinen Kundenkontakt haben. Nichtsdestotrotz solle man diese Mitarbeiter z. B. über den Zutrittsschutz belehren.

Datenschutz für Mitarbeiter

Lehrreiche und unterhaltsame Onlineschulung zur DSGVO für Ihre Mitarbeiter - inklusive Zertifikat für Ihre Nachweise!

Wie sollten Mitarbeiter geschult werden?

Die Inhalte einer Schulung sollten auf das Zielpublikum zugeschnitten und nah am täglichen Berufsalltag sein. In einem Freizeitpark ist die Verarbeitung von Besucherdaten an der Anmeldung wesentlich wichtiger für die Belegschaft, als der Umgang mit Gesundheitsdaten, die von der DSGVO besonders schützenswert behandelt werden. Gesundheitsdaten hätten dagegen hohe Brisanz bei medizinischen Fachangestellten, die in einer Arztpraxis arbeiten.

Schließlich ist der Umgang mit Beschäftigtendaten und insbesondere Daten von Kollegen ein Thema, das in jeder Organisation angesprochen werden sollte. Dauerbrenner sind dabei häufig der Einsatz von WhatsApp zu betrieblichen Zwecken und Gruppenchats in Abteilungen.

Die Gliederung einer Schulung kann wie folgt aussehen, um die relevanten Inhalte zu vermitteln:

  1. Einführung in den Datenschutz: Warum ist Datenschutz wichtig, wen schützt der Datenschutz, Stellung und Kontaktdaten des Datenschutzbeauftragten
  2. Anwendungsbereich des Datenschutzes im Unternehmen: Was ist ein personenbezogenes Datum, was sind besondere personenbezogene Daten, Haftung bei Verstößen durch Mitarbeiter, Bedeutung der Verpflichtungserklärung
  3. Kundendatenschutz: Handlungshinweise bei Datenschutzpannen, Beantwortung von Betroffenenanfragen, Erstellung des Verzeichnisses von Verarbeitungstätigkeiten und Erfüllung der Informationspflichten
  4. Datenschutz in der Praxis: Unternehmensinterne Richtlinien zum Datenschutz, Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle, IT-Angriffsszenarien

Sollte Ihr Unternehmen Auftragsverarbeiter für andere Verantwortliche sein, sollte die Schulung ein Kapitel enthalten, das den Mitarbeitern nahelegt, was eine Auftragsverarbeitung ist und die Weisungsgebundenheit erklärt (Auftragskontrolle).

Online-Schulungen zum Datenschutz bzw. zur Informationssicherheit sind effizient und schaffen einen guten Beitrag zur Sensibilisierung von Mitarbeitern. Es sollte darauf geachtet werden, dass die oben genannten Punkte gebührend vermittelt werden. Demnach kann es hilfreich sein, den Mitarbeitern zusätzliche relevante Informationen z. B. auf einem Informationsblatt nachzureichen.

Nachweispflicht und Turnus der Schulung

Nach Art. 5 Abs. 2 DSGVO trifft den Verantwortlichen die sogenannte Rechenschaftspflicht. Diese verpflichtet den Arbeitgeber unter anderem dazu, die Teilnahme an der Schulung zu dokumentieren. Dabei sollte beachtet werden, dass auch Schulungsteilnahmeaufzeichnungen bestimmten Löschfristen unterliegen und nach Austritt eines Mitarbeiters vernichtet werden müssen. Deshalb bietet es sich an, die Listen in einer Excel-Tabelle zu führen, wo Mitarbeiternamen leicht entfernt werden können. Zudem ist es sinnvoll, auch den jeweiligen Schulungsinhalt für spätere Nachweise zu dokumentieren.

Auch der Nachweis einer regelmäßigen Durchführung muss vom Verantwortlichen erbracht werden können. Gesetzlich ist dazu keine Frist angegeben. Es bietet sich also an, den Turnus dem betrieblichen Hintergrund anzupassen. Wenn es sich um ein datengetriebenes Unternehmen handelt, in dem z. B. die Offenlegung von sensiblen Daten großen Schaden für Betroffene anrichten kann, ist ein drei- bis sechsmonatiger Turnus angeraten. Als Beispiele seien hier Gesundheits-App- oder Datingplattform-Anbieter genannt. Sofern das Unternehmen z. B. in der Baubranche tätig ist und nur wenige Ansprechpartnerdaten in unverfänglichen Kontexten anfallen, ist ein Schulungsturnus von ein bis eineinhalb Jahren durchaus angemessen.

Schulung von Betriebsräten

Der Betriebsrat hat im Unternehmen eine besondere Stellung. Als Gegenspieler des Arbeitgebers ist er weitestgehend autonom in seinen Handlungen. Der Arbeitgeber hat in der Regel keine Einsicht, wie der Betriebsrat personenbezogene Daten verarbeitet. Nach seiner Rechtsprechung ging das Bundesarbeitsgericht davon aus, dass der Betriebsrat kein Verantwortlicher ist, aber mit dem Arbeitgeber zusammen für die Einhaltung des Datenschutzes zuständig ist.

Aufgrund der zumindest gemeinsamen Zuständigkeit für den Datenschutz ist momentan anzunehmen, dass der Betriebsrat datenschutzrechtliche Anforderungen eigenständig erfüllen muss. Somit reicht eine allgemeine Schulung für Betriebsräte wie oben beschrieben nicht aus. Es ist empfohlen einen „Datenschutzexperten“ im Betriebsrat zu benennen und diesem ein tiefergehendes Schulungsangebot zugänglich zu machen.

Die erhöhten Anforderungen an das datenschutzrechtliche Betriebsratswissen rühren daher, dass für den Verantwortungsbereich außerhalb der Einsicht des Arbeitgebers (z. B. für Kommunikation und Veranstaltung von Versammlungen sowie Entgegennahme von Anregungen Beschäftigter) Maßnahmen im Datenschutz durch den Betriebsrat selbst getroffen werden sollten.

Deswegen ist zu empfehlen, alle Betriebsräte an den oben beschriebenen Mitarbeiterschulungen teilnehmen zu lassen sowie zumindest einem Betriebsrat eine Weiterbildung bezüglich folgender Fragestellungen zu ermöglichen:

  1. Sicherstellung eigener Rechtsgrundlage gem. Art. 6 DSGVO
  2. Erfüllung der Informationspflichten gem. Art. 13 und 14 DSGVO gegenüber den Betroffenen;
  3. Beantwortung von Betroffenenanfragen / Sicherstellung von Betroffenenrechten gem. Art. 15 ff. DSGVO
  4. Führen eines Verzeichnisses von Verarbeitungstätigkeiten über die Verarbeitungen als Verantwortlicher gem. Art. 30 Abs. 1 DSGVO
  5. Wahrung der Sicherheit der Verarbeitung gem. Art. 32 DSGVO
  6. Meldung von Verletzungen des Schutzes personenbezogener Daten (Datenpanne) gem. Art. 33 und 34 DSGVO
  7. Durchführung der Datenschutz-Folgenabschätzung gem. Art. 35 DSGVO
  8. Durchführung von vorherigen Konsultationen gem. Art. 36 DSGVO

Fazit: Systematische Schulungen helfen allen

Die systematische Schulung von Mitarbeitern zum sicheren Umgang mit Daten ist einer der wichtigsten Bestandteile des unternehmerischen Datenschutzes. Viele Datenpannen oder Verstöße gegen die DSGVO passieren aufgrund von Unkenntnis und fehlender Achtsamkeit. Mit Schulungen lassen sie beide Ursachen wirksam reduzieren; Wissen und Sensibilisierung rund um Datenschutz und Informationssicherheit werden verbessert.

Für die Datenschutzschulung von Mitarbeitern haben sich insbesondere Onlineschulungssysteme als praktikabel erwiesen, da sie individuelle Trainingsinhalte und -zeiten ermöglichen und zugleich die Dokumentation sicherstellen. Interaktive Elemente sowie zu erwerbende Zertifikate können zudem die Motivation der Mitarbeiter erhöhen.

Um einen oder mehrere Betriebsräte angemessen auf die datenschutzrechtlichen Aufgaben vorzubereiten, empfehlen sich ausführlichere Schulungen, wie sie zum Beispiel Industrie- und Handelskammern anbieten.

Onlineschulung mit Effekt

Schulen Sie Ihre Mitarbeiter einfach online zum Datenschutz. Setzen Sie auf unsere erprobten Onlinekurse: Kurzweilige Lektionen, Übungen und Abschlusstest mit Zertifikat!
activemind-academy-schulungen-datenschutz-hero
Geschrieben am:

Wie Sie sich auf die ePrivacy-Verordnung vorbereiten

Die derzeitige ePrivacy-Richtlinie, die elektronische Kommunikation bzgl. der Nutzung von Cookies und E-Marketing regelt, wird in Kürze durch die ePrivacy-Verordnung ersetzt (vollständiger Name: Verordnung des Europäischen Parlaments und Rates bezüglich des Respektes der Privatsphäre und des Schutzes personenbezogener Daten in elektronischer Kommunikation die die Richtlinie 2002/58/EC widerruft (Richtlinie über Privatsphäre und Elektronische Kommunikation)).

Die letztendlichen Inhalte und auch das Datum des Inkrafttretens der ePrivacy-Verordnung sind bislang nicht bekannt. Bereits Anfang 2017 wurde jedoch ein Entwurf veröffentlicht, von dem nicht erwartet wird, dass er sich bis zur Anwendbarkeit noch maßgeblich verändern wird. Die ePrivacy-Verordnung hätte eigentlich gemeinsam mit der Datenschutz-Grundverordnung (DSGVO) fertig sein und in Kraft treten sollen und wird nun für spätestens 2019 erwartet.

Die ePrivacy-Verordnung ist in Bezug auf die DSGVO ein lex specialis (Sondergesetz). Das bedeutet, dass sie die Regelungen der DSGVO für den Kommunikations-Sektor spezifiziert und ergänzt. Im Ergebnis müssen beide Gesetze erfüllt werden. Viele Unternehmen haben bestimmt noch vor Augen, welch Aufwand die Umstellung auf die DSGVO bedeutete. Es ist also anzuraten, die neue Gesetzgebung sobald wie möglich in Ihre Geschäftsprozesse zu integrieren.

Hintergrund: Wozu brauchen wir den Wechsel zur ePrivacy-Verordnung?

Die Verordnung ist ein Update der derzeit angewendeten ePrivacy-Richtlinie und geht auf technologische Entwicklungen der letzten 15 Jahre ein (z. B. das „Internet of Things“ und Technologien, die das Tracking von Online-Verhalten ermöglichen). Weil es sich um eine Verordnung handelt, findet sie sofort in allen EU-Ländern Anwendung, ohne dass sie noch in nationales Recht  übertragen werden muss. Obwohl sie – ähnlich wie die DSGVO – darauf abzielt, die Gesetze innerhalb der gesamten EU zu harmonisieren, lässt die ePrivacy-Verordnung zu, dass Mitgliedsstaaten einige Bestimmungen weiter ausführen, etwa Regelungen bzgl. Marketingregulierungen und Voice-to-Voice-Calls oder die Verpflichtung, die eigene Telefonnummer zu senden.

Die ePrivacy-Verordnung steht in enger Verbindung zur DSGVO. Deswegen gelten nicht nur die Begrifflichkeiten der DSGVO, sondern auch die Regelungen bzgl. der Meldung von Datenschutzverstößen oder die Strafen, die bei Missachtung verhängt werden. Darüber hinaus werden auch die gleichen Datenschutzbehörden verantwortlich dafür sein, die Umsetzung und Einhaltung der Regelungen zu überwachen.

ePrivacy-Verordnung und DSGVO: die Hauptunterschiede

Wie bereits erwähnt, führt die ePrivacy-Verordnung die Bestimmungen der DSGVO weiter aus. Während die DSGVO die Verwendung personenbezogener Daten im Allgemeinen regelt, behandelt die ePrivacy Verordnung ausschließlich elektronische Kommunikation und den Datenschutz auf dem eigenen Gerät (sowohl personenbezogener als auch nicht-personenbezogener Daten).

Darüber hinaus stattet die DSGVO Privatpersonen mit einer Reihe von Datenschutzrechten aus, die von den EU-Bürgern nachdrücklich gefordert wurden. Als nachvollziehbare Konsequenz daraus führt die DSGVO eine ganze Ansammlung neuer Verpflichtungen für Unternehmen ein, die personenbezogene Daten verarbeiten. Die ePrivacy-Verordnung dagegen beschäftigt sich mit Apps und anderen Internet-Kommunikationsdienstleistungen. Sie verbietet ein Abfangen, Aufzeichnen und anderweitiges Abschöpfen von Kommunikation.

Was verändert sich durch die ePrivacy Verordnung?

Zusätzliche Player

Die neuen Regelungen betreffen alle Anbieter elektronischer Kommunikationsdienstleistungen, inklusive sogenannter „Over the Top“- und „Voice over Internet Protocol“-Anbieter (OTTs und VoIPs), wie auch Instant- und Social-Media-Messenger wie WhatsApp, Skype, Facebook-Messenger usw. Diese werden nun durch die gleichen Gesetze reguliert, wie klassische Telekommunikationsdienstleister.

Ähnlich wie bei der DSGVO betreffen die Regelungen der ePrivacy-Verordnung auch Dienstleister, die ihre Dienste von außerhalb der EU Endverbrauchern in der EU anbieten – und zwar unabhängig davon, wo die Datenverarbeitung tatsächlich stattfindet. Das bedeutet, dass Ihr Unternehmen möglicherweise verpflichtet wird, einen EU-Vertreter zu benennen, der in einem der EU-Länder ansässig ist, in dem Endverbraucher Ihre Dienstleistungen in Anspruch nehmen. Die Hauptaufgabe dieses Vertreters ist es, Anfragen der Datenschutzbehörden zu beantworten und diesen sowie den Endverbrauchern Informationen über alle verarbeiteten Kommunikationsdaten zur Verfügung zu stellen.

Metadaten

Die Verordnung definiert als „elektronische Kommunikationsdaten“ sowohl den Inhalt von Kommunikationen als auch Metadaten wie z. B. Uhrzeit, Ort und Dauer eines Anrufs. Der Grund dafür ist, dass auch solche Daten bereits die Privatsphäre beeinträchtigen können.

Cookies und andere Tracking-Technologien

Die DSGVO hat bereits strengere Richtlinien für die Einwilligung von Nutzern geschaffen (muss freiwillig erteilt werden, für einen spezifischen Zweck, informiert und eindeutig sein). Die ePrivacy-Verordnung wird darüber hinaus vermutlich noch weitere Regelungen dazu einführen.

Beispielsweise wird sie eine solche Zustimmung durch das Ändern technischer Einstellungen des Internetbrowsers und anderer Anwendungen erlauben, wann immer diese technisch möglich und machbar sind. Dies ermöglicht den Anwendern, nicht jedes Mal zustimmen zu müssen, wenn sie eine Website besuchen, denn sie können grundlegend über ihre Einstellungen bestimmen. Solch eine Lösung ist voraussichtlich sehr viel nutzerfreundlicher und könnte das Problem nervtötender Cookiebanner bei jedem Besuch einer Website lösen.

Die gute Nachricht dabei ist, dass es für die Verwendung von Cookies, die nicht die Privatsphäre betreffen, und für First-Party-Cookies keiner Zustimmung bedarf, wenn diese zur Verbesserung der Services beitragen (dabei könnte man an das Speichern von Warenkörben denken oder an das Zählen von Besuchern). Gleichfalls bedeutet dies, dass alle nicht erforderlichen und Third-Party-Cookies – wie zum Beispiel von Google Analytics und ähnlichen – nicht von dieser Ausnahme betroffen sein werden und einer Einwilligung des Endverbrauchers bedürfen.

SPAM

E-Marketing-Kommunikation ist nur erlaubt, wenn sie sich an Bestandskunden richtet, die bereits ähnliche Produkte gekauft haben – oder wenn jemand ihr ausdrücklich zustimmt. In beiden Fällen muss jeweils eine Opt-out-Option angeboten werden. Diese Regeln gelten sowohl für B2C- als auch für B2B-Szenarien.

Im Falle von telefonischem Marketing werden die EU-Mitgliedsstaaten jeweils selbst entscheiden, ob  sie „Do-not-call-Listen“ erlauben werden, um Marketingtelefonate per Grundeinstellung zu vermeiden. Darüber hinaus müssen Telefonmarketing-Anrufer entweder ihre Rufnummer senden oder einen Code/Präfix verwenden, der kennzeichnet, dass es sich um einen Marketinganruf handelt. Solche Codes bzw. Präfixe werden dann später von der Kommission übernommen.

Da sich die Zuständigkeit der ePrivacy-Verordnung auf weitere Player ausgeweitet hat, finden diese Regeln bei allen Methoden der E-Marketing-Kommunikation Anwendung, inklusive zum Beispiel auch bei Push-Benachrichtigungen und dergleichen.

Wie bereiten Sie sich auf die ePrivacy Verordnung vor?

  • Dokumentieren Sie sämtliche internen und externen Datenströme.
  • Halten Sie alle Kommunikations-Services, die Sie verwenden, fest.
  • Kennzeichnen Sie alle Geräte, die zu Kommunikationszwecken verwendet werden.
  • Prüfen Sie Ihre Sicherheitsvorkehrungen.
  • Sichern Sie alle Geräte, die zu Ihrem Firmennetzwerk gehören.

Grundsätzlich sollten Sie auf Neuigkeiten zur ePrivacy-Verordnung achten. Beispielsweise hat die Artikel 29-Arbeitsgruppe ihre umfangreiche Stellungnahme über den Entwurf der ePrivacy-Verordnung veröffentlicht. Dieser führt sowohl  positive als auch negative Aspekte auf und gibt Empfehlungen für Verbesserungen der Gesetzgebung.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Geschrieben am:

Speicherungsdauer bei Videoüberwachung

Wie lange dürfen die Daten von einer Videoüberwachung gespeichert werden? Wann müssen laut Datenschutz-Grundverordnung (DSGVO) und Bundesdatenschutzgesetz (BDSG) Videoaufnahmen gelöscht werden? Wie sehen die Datenschutz-Aufsichtsbehörden und deutsche Gerichte die Speicherungsdauer bei der Videoüberwachung? Ein Überblick.

Speichern und Löschen von Videodaten

Die Datenschutz-Grundverordnung benennt in Art. 35 Abs. 3 lit. c DSGVO bzw. Erwägungsgrund 91 DSGVO Videoüberwachung als „systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche, insbesondere mittels optoelektronischer Vorrichtungen“. Sofern eine solche Überwachung erfolgt, ist aufgrund des hohen Risikos für die Rechte und Freiheiten der Betroffenen grundsätzlich die Durchführung einer Datenschutz-Folgenabschätzung erforderlich. Darüber hinaus macht die DSGVO keine konkreten Angaben zur Speicherdauer bzw. zu Löschfristen für Daten einer Videoüberwachung.

Im BDSG finden sich vor allem Angaben dazu, wann Überwachungsdaten gelöscht werden müssen. Die ehemalige Regelung in § 6b Abs. 5 BDSG (a. F.) schrieb vor, dass die Daten unverzüglich zu löschen sind, wenn sie zur Erreichung des Zwecks nicht mehr erforderlich sind oder schutzwürdige Interessen der Betroffenen einer weiteren Speicherung entgegenstehen. Genau dies ist auch im aktuellen deutschen Datenschutzrecht in § 4 Abs. 5 BDSG normiert.

Noch nicht abschließend ist jedoch geklärt, ob und in welchem Umfang diese nationale Regelung aufgrund des Anwendungsvorrangs der europäischen Norm angewendet werden kann. Dies bleibt einer Entscheidung im jeweiligen konkreten Einzelfall vorbehalten.

Wann ist die Speicherung von Videodaten zulässig?

Da das Gesetz keine verbindlichen Fristen nennt, sollte sich an folgenden Voraussetzungen orientiert werden.

  • Die Speicherung oder Verwendung von Daten ist zulässig, wenn sie erforderlich ist, um den verfolgten Zweck zu erreichen. Gleichzeitig dürfen keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der Betroffenen überwiegen.
  • Sofern die Daten zur Erreichung des Zwecks nicht mehr erforderlich sind oder schutzwürdige Interessen der Betroffenen einer weiteren Speicherung entgegenstehen, sind die Daten unverzüglich zu löschen.
  • Sofern Videodaten gespeichert werden, muss die Begründung für die Speicherung dokumentiert werden. Diese Begründung muss sich auf den Aufnahmezweck beziehen.
  • Für andere Zwecke als den ursprünglichen darf der Verantwortliche Videoüberwachungsdaten nur weiterverarbeiten, soweit dies erforderlich ist, um Gefahren für die staatliche und öffentliche Sicherheit abzuwehren sowie um Straftaten zu verfolgen.
  • Es muss zudem ein technisches Verfahren eingesetzt werden, mit dem die Speicherdauer von Videodaten konkret begrenzt wird, wie z. B. eine automatisierte periodische Löschung oder das Selbstüberschreiben zurückliegender Aufnahmen.

Datenschutzkonforme Videoüberwachung

Unser Workbook mit 45 Seiten voller Anwendungsbeispiele und Praxistipps
Jetzt bestellen

Welche Speicherdauer ist für Videodaten angemessen?

Grundsätzlich gilt also, dass die Speicherdauer für Videodaten

  1. dem Zweck entsprechen,
  2. notwendig und verhältnismäßig sowie
  3. derart begrenzt sein muss, dass die Risiken für Betroffene eingedämmt werden.

Die Datenschutzkonferenz (DSK) der unabhängigen Datenschutzbehörden des Bundes und der Länder vertritt die Meinung, dass grundsätzlich innerhalb von ein bis zwei Tagen geklärt werden kann, ob das Videomaterial einer Sicherung bedarf (um die Aufnahmen z. B. vor Gericht verwerten zu können). Auch die Einhaltung der datenschutzrechtlichen Grundsätze der Datenminimierung und Speicherbegrenzung (vgl. Artikel 5 Abs. 1 lit. c und e DSGVO) gebietet, dass die Daten von Videoüberwachung wie bisher grundsätzlich nach 48 Stunden gelöscht werden (Kurzpapier Nr. 15 der DSK).

Bereits im Jahr 2014 konstatierte jedoch das Oberverwaltungsgericht Lüneburg in einem Urteil (Az.: 11 LC 114/12), dass eine zehntägige Speicherung der Daten aus einer Videoüberwachung durchaus zulässig sei. Das Bundesarbeitsgericht (BAG) entschied in seinem Urteil vom 23. August 2018 (Az.: 2 AZR 133/18) nun, dass es Arbeitgebern vorbehalten ist, mit der Auswertung von Videoaufzeichnungen so lange warten zu dürfen, wie dafür ein berechtigtes Interesse angenommen werden kann.

Daraus folgt, dass Arbeitgeber nicht dazu verpflichtet sind bspw. offen angebrachte Kameras in Geschäften täglich zu kontrollieren, um evtl. Zuwiderhandlungen von Mitarbeitern aufzudecken und somit längere Speicherfristen möglich sind. Dass der Richterspruch des BAG jedoch nicht als Freifahrtschein für unbegrenzte Speicherung von Videoüberwachungsmaterial verstanden werden sollte, zeigt unsere datenschutzrechtliche Einschätzung des Urteils.

Fazit: Zwei Tage Speicherdauer sind zu empfehlen

Aus Sicht des Datenschutzes sollte die Speicherdauer von Aufnahmen einer Videoüberwachung grundsätzlich auf 48 Stunden begrenzt werden. Ausnahmen davon lassen sich nur mit einem erhöhten Schutzbedarf sowie der Verfolgung eines Straftatverdachts von Mitarbeitern begründen. Immer gilt jedoch, dass die Aufzeichnung selbst DSGVO-konform erfolgt sein muss.

Dieser aktualisierte Artikel wurde zuerst am 12. Dezember 2014 veröffentlicht.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Geschrieben am:

Namen auf Klingelschildern sind kein Verstoß gegen die DSGVO

Wer als Vermieter den Namen eines Mieters am Klingelschild des Mietobjektes anbringt, verstößt nicht gegen die europäische Datenschutz-Grundverordnung (DSGVO). In der Regel können Vermieter sich beim Anbringen eines namentlich gekennzeichneten Klingelschilds auf ihr berechtigtes Interesse berufen. Nur in Einzelfällen überwiegt das berechtigte Interesse des Mieters an der Anonymisierung seines Namens überwiegen.

Der skurrile Klingelschild-Fall aus Wien

Was auf dem ersten Blick wie ein schlechter Scherz klingt ist, wurde tatsächlich bei einer Wiener Wohnungsbaugesellschaft diskutiert: Diese hatte mit Verweis auf die Regelungen der DSGVO die Absicht geäußert, die Namen der Mieter auf tausenden Klingelschildern zu entfernen und durch Nummern zu ersetzen.

Mittlerweile haben sich auch mehrere Landesdatenschutzbehörden in Deutschland zu diesem Thema geäußert, so dass hier von einer gefestigten Auffassung gesprochen werden kann. Insoweit dürfte die Unsicherheit, insbesondere bei der gewerbsmäßigen Vermietung durch Wohnungsgesellschaften ein Ende haben.

Unstreitig ist sicherlich, dass es sich bei der Anbringung von Namen auf Klingelschildern um eine Verarbeitung von personenbezogenen Daten handelt und deshalb der sachliche Anwendungsbereich der DSGVO eröffnet ist. Wie der gemeinsamen Auffassung der Landesämter zu entnehmen ist, handelt es sich bei der Anbringung von Namensschildern jedoch nicht um eine automatisierte Verarbeitung.

Berechtigtes Interesse von Vermietern

Ohne hierüber überhaupt eine Diskussion zu eröffnen, können sich Vermieter bzw. Wohnungsgesellschaften auf ein berechtigtes Interesse gem. Art. 6 Abs. 1f DSGVO stützen. Der Vermieter hat ein überwiegend berechtigtes Interesse an einer geordneten Darstellung des Mietobjektes nach außen. Dies dient beispielsweise dem allgemeinen Wirtschaftsverkehr, wie ordnungsgemäße Zustelllungen oder der Zuordnung von Klingeln an den richtigen Bewohner zum erleichterten Auffinden durch Besucher.

In Einzelfällen kann aber auch das berechtigte Interesse des Mieters überwiegen. Gründe hierfür wären beispielsweise der Schutz des Mieters vor Gefährdungen wie Stalking oder bei Personen im Rahmen eines Zeugenschutzprogramms. Wie so oft ist dies aber eine Abwägung im Einzelfall, die dazu führen kann, dass bei diesen Personen das berechtigte Interesse an der Anonymisierung des Klingelschildes überwiegt.

In aller Regel wird das Anbringen des Namens aber auch durch vertragliche Regelungen, wie z.B. Mietvertrag oder Hausordnung gegeben sein, so dass auch dadurch eine Rechtsgrundgrundlage für die Verarbeitung vorliegt.

Wichtig in diesem Zusammenhang ist aber die Information des Betroffenen, also des Mieters gem. Art. 13 DSGVO. Dies sollte durch die Wohnungsgesellschaft bzw. den Vermieter im Rahmen der Informationspflicht bei Abschluss des Mietvertrags erfüllt werden.

Fazit: Viel Wind um ein typisches Missverständnis der DSGVO

Zusammenfassend lässt sich sagen, dass Vermieter bis auf die vorgenannten Einzelfälle in aller Regel ein überwiegend berechtigtes Interesse, wenn nicht sogar eine vertragliche Rechtsgrundlage an der Anbringung des Namens auf dem Klingelschild (wie auch dem Briefkasten) des Mietobjekts haben. Die interessante, wenn auch etwas überspannte Diskussion sollte deshalb durch eine mittlerweile gefestigte einheitliche Auffassung zu Ende gebracht worden sein.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Geschrieben am:

Richtlinien schützen Daten und Mitarbeiter

Richtlinien zum Datenschutz und zur Informationssicherheit im Unternehmen schaffen Klarheit über gewünschtes Verhalten, Pflichten und Verbote für Mitarbeiter. Mit gut implementierten und durch das Management vorgelebten Richtlinien beugen Sie Datenmissbrauch vor und schaffen ein transparentes Arbeitsklima. Welche Richtlinien Sie dafür benötigen, was diese enthalten sollten und wie Sie die Richtlinien am besten umsetzen, zeigt Ihnen unsere Anleitung.

Warum brauchen Unternehmen Sicherheits- und Datenschutzrichtlinien?

Wenn es um den Schutz von Daten geht, kommen Verantwortlichen oft zuerst Hacker-Angriffe von außen als mögliche Bedrohung in den Sinn. Doch häufig ist das Aussickern von Informationen oder der Datenverlust durch Unternehmensangehörige verschuldet – oft eher aus Unwissenheit, denn aus böser Absicht. Gut durchdachte Sicherheits- und Datenschutzrichtlinien sind ein effektives Mittel, um ein Bewusstsein für den richtigen Umgang mit vertraulichen Informationen zu schaffen.

Sie können sogar dazu beitragen, den absichtlichen Missbrauch von Daten zu verhindern. Denn leider kann auch aus dem ehemals treuen Mitarbeiter unter Umständen ein Innentäter werden, der seine Zugangsberechtigungen ausnutzt und sensible Informationen in Hände spielt, in die sie nicht gehören. Wiegen solche Risiken in einer Organisation besonderes schwer, mag es nahe liegen, strikte Überwachungsmechanismen einzuführen. Doch dem steht nicht nur entgegen, dass das Betriebsklima hierdurch leiden könnte, es sind auch gesetzliche Regelungen zu beachten, die eine Überwachung von Mitarbeitern nur eingeschränkt zulassen.

Auch hier können Richtlinien helfen. Zwar wird eine Sicherheits- oder Datenschutzrichtlinie an der grundsätzlichen Motivation eines potenziellen Innentäters nicht unbedingt etwas ändern. Aber geschickt umgesetzt, können Richtlinien im Unternehmen ein Umfeld schaffen, das den vorsätzlichen Missbrauch zumindest deutlich erschwert und die Mitarbeiteraufmerksamkeit schult.

Zudem schreibt die europäische Datenschutz-Grundverordnung (DSGVO) vor, dass das Mitarbeiterverhalten in Richtlinien z. B. zur Informationssicherheit und IT-Nutzung vorgegeben werden soll. Dies lässt sich aus Art. 32 Abs. 4 DSGVO sowie der Rechenschaftspflicht gem. Art. 5 Abs. 2 DSGVO ableiten.

Wie können Richtlinien effektiv eingesetzt werden?

Der entscheidende Punkt dabei ist, die Unternehmensmitglieder davon zu überzeugen, dass der Schutz vertraulicher Daten ihrem eigenen Wohl dient. In der Richtlinie sollte daher glaubhaft aufgezeigt werden, welche Bedeutung der Datenschutz für die Existenz des Unternehmens und damit auch der Arbeitsplätze hat. Auch sollte ausgeführt werden, dass die Regelungen zu einem wesentlichen Teil dazu dienen, die persönlichen Daten der Beschäftigten selbst zu schützen.

Eine sinnvoll ausgearbeitete Richtlinie motiviert die Mitarbeiter dazu, sie einzuhalten und darauf zu achten, dass sie von anderen Organisationszugehörigen eingehalten wird. Gleichzeitig macht sie von Anfang an klar, welche Strafen drohen, wenn gegen sie verstoßen wird. Im Rahmen eines Whistleblowing-Verfahrens können Mitarbeiter aktiv und anonym dabei helfen, geschäftsschädigendem Verhalten vorzubeugen und sich damit gleichzeitig selbst einen Gefallen tun. Somit kann eine durchdachte Sicherheitsrichtlinie schwer durchsetzbare und aufwendige Überwachungsmechanismen überflüssig machen.

Was sind die wichtigsten Richtlinien für Ihr Unternehmen?

  • Sicherheitsrichtlinie: enthält Grundsätze, Ziele, Maßnahmen und Verantwortlichkeiten für die Gewährleistung der IT-Sicherheit
  • IT-Nutzungsrichtlinie: regelt die ordnungsgemäße Nutzung von Endgeräten und Datenträgern durch Mitarbeiter
  • Datenschutznotfallrichtlinie: beugt der unrechtmäßigen Offenlegung von persönlichen Informationen vor und gibt Handlungsanweisungen im Schadensfall
  • Datenschutzkonzept: beschreibt die konkreten technischen und organisatorischen Maßnahmen, die zur Daten- und Informationssicherheit beitragen (Nutzen Sie unsere kostenlose Vorlage für ein Datenschutzkonzept)

Was sind die wichtigsten Inhalte für Ihre Richtlinien?

  • Betroffene Arbeitsprozesse und Verfahren
  • Bedarf und Ziele des Schutzes
  • Gesetzliche Verordnungen und Standards
  • Kurze und prägnante Ausformulierung der Schutzmaßnahmen
  • Konsequenzen der Nichtbeachtung
  • Kontaktdetails der Verantwortlichen und Ansprechpartner
  • Verweis auf Vertraulichkeit von Missstandsmeldungen

Wie werden Richtlinien erfolgreich implementiert?

  • Der Nutzen der Regelungen für die Mitarbeiter selbst sollte deutlich werden (Schutz von Arbeitsplätzen, Schutz der personenbezogenen Daten der Mitarbeiter)
  • Die Mitarbeiter sollten mit ins Boot geholt werden, um die gemeinsamen Ziele zu erreichen. Die Richtlinie sollte dazu animieren, sich für die Sicherheit von unternehmenseigenen Informationen einzusetzen.
  • Es sollte deutlich sein, dass die Geschäftsleitung voll und ganz hinter der Sicherheitsrichtlinie steht. Sonst wird sie auch von den Mitarbeitern nicht ernst genommen.
  • Die Richtlinie sollte im Unternehmen von Vorgesetzten vorgelebt werden. Eine allgemeine Nichtbeachtung kann ansonsten dazu führen, dass sich der Arbeitgeber bei arbeitsrechtlichen Sanktionen nicht mehr auf die Richtlinie stützen kann.
  • Es sollte detaillierte Prozess- und Verfahrensanweisungen geben, die den operativen Mitarbeitern zur korrekten Ausführung der Richtlinieninhalte verhelfen.
  • Den Mitarbeitern sollte klar sein, wie Sie sich verhalten sollen, wenn sie relevante Vorfälle beobachten. Die Hürde, um aktiv zu werden, sollte so gering wie möglich sein.
  • Die Einhaltung der Richtlinie sollte in regelmäßigen Abständen von einem festgelegten Zuständigen überprüft werden, Inhalte der Richtlinien sind ggfs. zu aktualisieren.

Dieser aktualisierte Artikel wurde zuerst am 13. Juni 2012 veröffentlicht.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Geschrieben am:

Datenminimierung bei der Verarbeitung

Die Datenminimierung ist ein in der europäischen Datenschutz-Grundverordnung (DSGVO) verankertes Prinzip (Art. 5 DSGVO). Demnach sind immer so wenig wie möglich Daten zu verarbeiten, wie zur Erreichung des Zwecks notwendig sind. Um dem Grundsatz der Datenminimierung gerecht zu werden, bieten sich diverse Methoden an.

Grundsätze der DSGVO

Das Prinzip der Datenminimierung

Der Grundsatz der Datenminimierung des Art. 5 DSGVO entspricht teilweise dem früheren Grundsatz der Datenvermeidung des alten Bundesdatenschutzgesetzes (§ 3a BDSG a.F.). Die Datenvermeidung besagte, dass „so wenig personenbezogene Daten wie möglich zu erheben, zu verarbeiten oder zu nutzen“ seien. Anonymisierung und Pseudonymisierung galten als geeignete Mittel zur Datenvermeidung. Hieran hat sich nach der Gesetzesänderung nichts geändert.

Im Rahmen der Datenminimierung ist insbesondere darauf zu achten, dass personenbezogene Daten dem „Zweck angemessen“ und unter Heranziehung des verfolgten Zweckes auf das „notwendige Maß beschränkt sein“ müssen. Das notwendige Maß ist erreicht, wenn der verfolgte Zweck nicht mit weniger Daten erreicht werden kann. Dies gilt nicht nur für die Menge der erhobenen Daten, sondern auch für den Umfang der Verarbeitung sowie die Dauer der Aufbewahrung und der Zugriffsberechtigung.

Datenminimierung sollte gem. Art. 25 DSGVO frühzeitig durch datenschutzfreundliche Voreinstellungen gewährleistet werden.

„Erforderlichkeit“ im Rahmen der Datenminimierung bedeutet, dass zunächst so wenig Daten wie möglich erhoben und verarbeitet werden sollen. Dabei muss der Zweck konkret vorab festgelegt werden. Eine Vorratsdatensammlung ist nämlich nicht erlaubt.

Stellt ein Arbeitgeber beispielsweise keine Arbeitskleidung, benötigt dieser weder Schuh- oder Kleidergröße seiner Mitarbeiter. Denselben Maßstab muss man etwa bei einem Kontaktformular anwenden: Wird ausschließlich per E-Mail geantwortet, ist es nicht erforderlich, die Telefonnummer zu erheben. Diese zusätzliche und nicht notwendige Information darf somit kein Pflichtfeld sein. Weiterhin ist zu bedenken, dass freiwillige Angaben, welche nicht zur Erfüllung des Auskunftsbegehrens erforderlich sind, eine zusätzliche Rechtsgrundlage, meist in Gestalt einer Einwilligung, erfordern.

Datenminimierung durch Pseudonymisierung und Anonymisierung

Zur Datenminimierung muss insbesondere überlegt werden, ob derselbe Zweck auch dann erreicht werden kann, wenn personenbezogene Daten ganz oder teilweise pseudonymisiert oder anonymisiert werden.

Eine Anonymisierung oder Pseudonymisierung von Daten ist etwa im Rahmen statistischer Auswertungen relevant. Denn dort werden zur Erlangung aussagekräftiger statistischer Ergebnisse oftmals keine oder nicht alle personenbezogenen Daten benötigt.

Ein Beispiel dafür ist der weitverbreitete Einsatz von Google Analytics zur Messung von Besucherzahlen auf Websites und Beobachtung des Verhaltens der Websitebesucher. Hierzu werden zunächst die vollständigen IP-Adressen erhoben. Für die Analysen ist die vollständige IP-Adresse jedoch nicht notwendig, weshalb für einen datenschutzkonformen Einsatz von Google Analytics eine IP-Anonymisierung implementiert werden muss.

Die Möglichkeit zur Pseudonymisierung und Anonymisierung sollte im Hinblick auf den Gedanken des Privacy by Design and Default gem. Art. 25 DSGVO insbesondere im Rahmen der technischen Lösungen berücksichtigt werden. Datenverarbeitungssysteme sollten also von Grund auf die Möglichkeit bieten, nicht mehr benötigte Daten zu pseudonymisieren oder anonymisieren.

Datenminimierung durch Zugriffsbeschränkung

Welche Daten verarbeiten werden dürfen, ist nicht nur auf die Gesamtheit eines Unternehmens zu beziehen. Vielmehr muss im Rahmen der Berechtigungsvergabe darauf geachtet werden, dass Mitarbeiter jeweils nur Zugriff auf diejenigen Daten erhalten, welche sie zur Erfüllung ihrer Aufgaben benötigen.

Datenminimierung durch zeitliche Beschränkung

Datenminimierung beschränkt sich jedoch nicht nur darauf, welche Daten verarbeitet werden, sondern regelt auch, wie lange die Datenverarbeitung zur Zweckerreichung notwendig ist. Die Erforderlichkeit der Daten ist für den gesamten Zeitverlauf eines Prozesses neu zu evaluieren. Was das genau bedeutet, wird nochmals konkret unter dem Grundsatz der Speicherbegrenzung verankert. Grundsätzlich gilt: Es ist für jeden Verarbeitungsvorgang eine individuelle Speicherfrist festzulegen.

Ein praktisches Beispiel: Im Rahmen eines Bestellvorganges in einem Onlineshop werden personenbezogene Daten zum Zwecke der Zahlung und zur Übersendung einer Bestellung erhoben. Nach Abwicklung der Bestellung dürfen die Daten für den Zeitraum bis zum Ablauf relevanter Verjährungsfristen in Bezug auf die Bestellung aufbewahrt werden. Hierbei könnten beispielsweise einige Daten der Regelverjährungsfrist von drei Jahren unterliegen. Verkürzte Fristen sind hinsichtlich vereinzelter Daten stets möglich. Nach Ablauf dieser Verjährungsfristen dürfen nur noch steuerrechtlich relevante Daten sechs bis zehn Jahre aufbewahrt werden. Somit wäre zu überlegen, welche Daten nicht steuerrechtlich relevant sind und deswegen gelöscht werden müssen.

Verstöße gegen DSGVO-Grundsätze können teuer werden

Verstöße gegen die Grundsätze des Art. 5 DSGVO gehören zu der Kategorie von Verstößen, die mit höheren Bußgeldern geahndet werden. Wer den Grundsatz der Datenminimierung missachtet, kann gemäß Art. 83 Abs. 5 lit. a DSGVO von den Aufsichtsbehörden mit einem Bußgeld von bis zu 20 Millionen Euro oder bis zu 4 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres belangt werden.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Geschrieben am:

Datenschutzkonforme Zufriedenheitsbefragung per Telefon

Wenn ein Unternehmen nach Beendigung eines Auftrages von seinem Kunden erfahren möchte, wie zufrieden dieser mit der erbrachten Leistung war, könnte man dies als ein zuvorkommendes Verhalten des Anbieters verstehen, der den Service für seine Kunden optimieren möchte. Rechtlich gesehen kann eine solche Handlung aber durchaus als unlautere Werbung gewertet werden, insbesondere wenn die Befragung telefonisch erfolgt.

Anrufe bei Kunden nur mit ausdrücklicher Einwilligung

Das Gesetz gegen den unlauteren Wettbewerb (UWG) geht bei einem Werbeanruf bei einem Verbraucher ohne dessen ausdrückliche Einwilligung von einer „unzumutbaren Belästigung“ aus (§ 7 Abs. 2 Nr. 2 UWG). Eine Zufriedenheitsabfrage nach Abschluss eines Auftrags wird in der Rechtsprechung als Werbung verstanden. So sieht es etwa das Oberlandesgericht Köln in mehreren Urteilen (Az. 6 U 41/08 und Az. 6 U 191/11).

Für die telefonische Kontaktaufnahme gelten zudem strengere Regeln als beispielsweise für ein postalisches Anschreiben, weil der Adressat sich einem Anruf schwerer entziehen kann. Seine Aufmerksamkeit wird sofort und direkt für das Anliegen des Anrufers gebunden. Wenn ein Adressat wenig interessiert ist, kann er einen Brief einfach beiseitelegen, wohingegen ein Callcenter-Mitarbeiter nachhaken und im direkten Gespräch vehementer versuchen kann, den Angerufenen von den Vorzügen seines Angebots zu überzeugen.

Deshalb ist bei der telefonischen Ansprache von Kunden mehr Fingerspitzengefühl gefragt. Dabei sollte immer bedacht werden, dass ein Anruf viel schneller als belästigend empfunden wird, als andere Formen der Ansprache. Nicht nur um eventuelle Abmahnungen zu vermeiden, sollte hier streng darauf geachtet werden, dass eine rechtskonforme Einwilligung vorliegt.

Regelungen der DSGVO zur telefonischen Werbung

Laut EU-Datenschutz-Grundverordnung (DSGVO) bedarf es – wie auch schon nach dem alten Bundesdatenschutzgesetz – für Werbung entweder einer ausdrücklichen Einwilligung oder einer gesetzlichen oder rechtlichen Vorschrift, die dies erlaubt bzw. anordnet. Insbesondere kommt hier die Generalklausel aus Art. 6 Abs. 1 lit. f DSGVO in Betracht, sofern die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen erforderlich ist und nicht die Interessen oder Rechte der betroffenen Personen diesen entgegenstehen. Hierfür spricht insbesondere auch Erwägungsgrund 47 DSGVO:

„Die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung kann als eine einem berechtigten Interesse dienende Verarbeitung betrachtet werden.“

Praktische Umsetzung der neuen Informationspflichten

In der Praxis stellt sich allerdings das Problem, wie der Verantwortliche seinen Informationspflichten gemäß Art. 13 und Art. 14 DSGVO am Telefon nachkommen kann. Hiernach muss der Verantwortliche der betroffenen Person bereits bei Erhebung der Daten eine Fülle von Informationen mitteilen, etwa die Identität des Verantwortlichen, die Zwecke der Datenverarbeitung etc.

Eine einheitliche Lösung gibt es hierfür derzeit noch nicht. Die Artikel 29 Gruppe vertritt die Ansicht, dass beim telefonischen Kontakt ein Identitätsnachweis nicht eingeholt werden muss. Die gesetzlich vorgeschriebenen Informationen und für das Gespräch nicht relevanten Informationen müssen den Betroffenen auch nicht direkt am Telefon angesagt werden, sondern können durch vorab aufgezeichnete Aufnahmen oder auf einer Website bereitgestellt werden, um den Betroffenen nicht durch die Masse von Informationen zu belasten und die Möglichkeit anzubieten, die Informationen öfter abzurufen.

Dieser aktualisierte Artikel wurde zuerst am 14. November 2012 veröffentlicht.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Geschrieben am: