Verantwortung, Haftung und Delegierbarkeit des Datenschutzes im Unternehmen

Die Verantwortung für die Einhaltung des Datenschutzes trägt der „Verantwortliche“. Handelt es sich um ein Unternehmen, also eine juristische Person, kann diese natürlich nicht selbst handeln. Die Verantwortung für den Datenschutz im Unternehmen trägt daher der für das Unternehmen bzw. die juristische Person Vertretungsberechtigte, in der Regel also der Geschäftsführer, Vorstand oder allgemein Manager.

In der Praxis wird oft versucht, das Thema Datenschutz abzugeben. Vielfach erhofft sich die Geschäftsführung dadurch auch eine Übertragung der Verantwortung und im Ergebnis eine Befreiung von der eigenen Haftung. Jedoch kann durch die bloße Delegation einer Aufgabe keine Befreiung von der Verantwortung erreicht werden. Unter welchen Bedingungen zumindest eine anteilige „Enthaftung“ möglich ist, erläutert dieser Artikel.

Inwieweit kann der Datenschutz delegiert werden?

Selbst wenn Unternehmen einen Datenschutzbeauftragten bestellt haben, verringert sich nicht automatisch die Verantwortung der Unternehmensleitung für den Datenschutz. Denn die Pflichten des Datenschutzbeauftragten bestehen im Wesentlichen darin, zu kontrollieren, ob der Datenschutz im Unternehmen korrekt umgesetzt wird und insbesondere, ob die Unternehmensleitung eine hierfür geeignete Strategie verfolgt. Zusätzlich hat der Datenschutzbeauftragte Beratungs- und Hinweispflichten in Bezug auf datenschutzrechtliche Belange.

Für die korrekte Umsetzung des Datenschutzes ist und bleibt das Unternehmen selbst verantwortlich; in letzter Linie also die Geschäftsführung. Diese kann nun zwar Aufgaben zur Erledigung an Mitarbeiter oder Externe übertragen. Mit der Delegation einer Aufgabe geht die Verantwortung aber keinesfalls verloren, sondern sie wandelt sich lediglich um.

Kriterien zur Delegation des Datenschutzes im Unternehmen

Bei der Delegation des unternehmerischen Datenschutzes muss die eigentlich verantwortliche Geschäftsführung besondere Kriterien erfüllen, um ihrer Sorgfaltspflicht nachzukommen:

Die Geschäftsführung hat sich bereits im Rahmen der Auswahl des Aufgabenempfängers zu vergewissern, dass dieser über ausreichende persönliche und fachliche Kompetenzen verfügt, um die Aufgabe fachgerecht durchzuführen (siehe auch der Beschluss des Düsseldorfer Kreis vom November 2010).

Wann ein Mitarbeiter für eine bestimmte Position geeignet ist, bestimmt sich jeweils nach dem Einzelfall. Als Richtwert gilt: Je verantwortungsvoller die Aufgabe ist, desto größer sollte die Fachkunde und Praxiserfahrung im künftigen Tätigkeitsbereich sein. Bei leitenden Angestellten sollte zudem darauf geachtet werden, dass diese über genügend Führungskompetenzen verfügen und auch in der Lage sind, größerem Druck standzuhalten. Zusätzlich sind Interessenskonflikte zu vermeiden: Niemand sollte einen Prozess überwachen, für den er selbst verantwortlich ist.

Der Aufgabenempfänger sollte, soweit notwendig, vor der Aufnahme der Tätigkeit in sein neues Aufgabenfeld eingewiesen werden. Dabei sind ihm insbesondere die mit der neuen Tätigkeit verbundenen Aufgaben und Pflichten zu erklären sowie die gängigen Arbeitsabläufe zu erläutern. Auch der korrekte Umgang mit benötigten Betriebsmitteln, beispielsweise der Einsatz von Verschlüsselungs- und Datenübertragungstechnologien spielt hierbei ggf. eine wichtige Rolle.

Im Hinblick auf den Datenschutzbeauftragten ist hier insbesondere die Beschreibung der Verarbeitungstätigkeiten zu nennen, die den Beauftragten auf seine Aufgaben vorbereiten und bei ihrer Erledigung unterstützen sollen.

Ein besonderes Augenmerk verdient die Organisation bzw. die Position oder Rolle des mit dem Datenschutz Beauftragten im Unternehmen. Die Geschäftsführung sollte stets darauf achten, dass dem Aufgabenempfänger sämtliche Ressourcen zur Verfügung stehen, die zur Erfüllung der Aufgaben und Pflichten nötig sind. Auch müssen dem Beauftragten die nötigen Kompetenzen und Berechtigungen eingeräumt und die entsprechenden Aufgabengebiete klar definiert werden.

Aus Gründen der Transparenz und Nachweisbarkeit sollten Gegenstand und Umfang der Delegation jeweils konkret festgelegt und festgehalten werden. Denn genau diese Dokumentation kann unter Umständen im Streitfall darüber entscheiden, wer die tatsächliche Verantwortung für ein (ausgebliebenes) Handeln trägt. Mit der durch die Datenschutz-Grundverordnung eingeführten Rechenschaftspflicht sind Aufzeichnungen zum Beweis, dass man dieser Pflicht nachgekommen ist, ohnehin unabdingbar.

Der Aufgabenempfänger sollte mit den einschlägigen gesetzlichen Bestimmungen vertraut gemacht werden. Je nach Reichweite der Tätigkeit kann eine allgemeine Belehrung unter Umständen nicht mehr ausreichend sein; stattdessen sind spezifische Fortbildungen zu Datenschutzthemen angemessen.

Zudem muss bei jedem Angestellten zu jeder Zeit Klarheit darüber herrschen, für welchen Teil des Betriebsablaufes der jeweilige Mitarbeiter verantwortlich ist und welche gesetzlichen Regelungen und anderweitigen Rahmenbedingungen bei der Ausübung der Tätigkeit einzuhalten sind.

Die Aufklärungs- und Schulungspflicht besteht übrigens grundsätzlich auch dann, wenn die Geschäftsführung davon ausgehen kann, dass der Mitarbeiter bereits über einschlägige Kenntnisse verfügt. Auf die Besonderheiten des jeweiligen Einsatzes muss immer hingewiesen werden.

Die Geschäftsführung muss sich grundsätzlich von der korrekten Erledigung der übertragenen Aufgabe überzeugen. Eine umfassende Pflicht zur Kontrolle einzelner Umsetzungsschritte besteht jedoch grundsätzlich nicht. Auch hier bestimmt sich der Umfang der Kontrolle entsprechend den Umständen des jeweiligen Einzelfalls. Was verlangt die eigene Sorgfalt?

Wichtige Kriterien dabei sind insbesondere die Zumutbarkeit von Überwachungsmaßnahmen, die Unternehmensgröße, die Qualifikation des Mitarbeiters, die Bedeutung oder Komplexität der Aufgabe sowie der Aufbau der innerbetrieblichen Organisation. So kann im Regelfall die Durchführung von Stichprobenprüfungen für eine Erfüllung der Kontrollpflichten genügen. Ebenso ist zu erwarten, dass sich das Management regelmäßig durch die Beauftragten berichten lässt, um ggf. steuernd einzugreifen.

Fazit: Datenschutz ist delegierbar, die Haftung bleibt

Erst wenn alle oben genannten Kriterien bei der Delegation des Datenschutzes erfüllt sind, ist kein Zweifel an der Sorgfaltspflicht der Geschäftsführung mehr gegeben. Verantwortliche Manager müssen sich aber letztendlich von dem Traum verabschieden, den Datenschutz durch Delegation oder Bestellung eines Beauftragten vollständig ad acta legen zu können.

Dieser aktualisierte Artikel erschien zuerst am 23. Februar 2016.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Datenschutz bei Mitarbeiterscreenings für das AEO-Zertifikat

Die zunehmende Globalisierung einerseits und die Wirtschaftskriminalität andererseits erfordern immer häufiger ein länderübergreifendes Risikomanagement. Für international tätige Spediteure, Hersteller, Händler und Lieferanten hat sich dafür das AEO-Zertifikat (Authorized Economic Operator) etabliert. Das Problem: Zur Erlangung des AEO-Zertifikats sind Sicherheitsüberprüfungen der Mitarbeiter nötig. Doch lassen diese sich mit der EU-Datenschutz-Grundverordnung (DSGVO) und dem Beschäftigtendatenschutz im Bundesdatenschutzgesetz (BDSG) überhaupt vereinbaren?

Datenschutzrechtliche Probleme beim Mitarbeiterscreening

Der Düsseldorfer Kreis hat sich bereits mehrfach mit dem Problem des Mitarbeiterscreenings befasst, zuletzt durch Beschluss vom 23./24. April 2009. Die Anwendbarkeit der DSGVO gibt Anlass, die Problematik erneut aufzugreifen.

In den letzten Jahren ist insbesondere die Zollverwaltung im Rahmen der Bewilligung des zollrechtlichen Status eines „zugelassenen Wirtschaftsbeteiligten“ (AEO-Zertifizierungen) dazu übergegangen, von den Unternehmen umfangreiche Screenings von Mitarbeitern – und gegebenenfalls Daten Dritter – zu verlangen. Diese Screenings werden zum Teil in Abständen von wenigen Wochen ohne konkreten Anlass und undifferenziert durchgeführt.

In diesem Geschäftsfeld betätigen sich bereits spezialisierte Dienstleister, die sich die bestehende Unsicherheit bei den Unternehmen zunutze machen. Dies ist auch der Grund, warum diese Screenings immer häufiger durchgeführt werden. Nach den praktischen Erfahrungen der Aufsichtsbehörden mangelt es an klaren Regelungen, wie mit den Ergebnissen von Datenscreenings umzugehen ist (Treffermanagement). Das Bundesministerium der Finanzen hat zwar am 14. Juni 2010 anlässlich dieser Praxis einschränkende Vorgaben erlassen, diese werden jedoch von den zuständigen Zollbehörden nicht einheitlich umgesetzt.

Der Düsseldorfer Kreis hält in seinem vorgenannten Beschluss derartige Screenings nur aufgrund einer speziellen Rechtsgrundlage für zulässig. Denn sowohl der damals geltende § 32 BDSG (alter Fassung) als auch der aktuell gültige § 26 BDSG erlauben keine verdachtsunabhängige Überprüfung

Welche Rechtsgrundlagen greifen bei Screening von Beschäftigten?

Möglich ist die Anwendung von Art. 6 Abs. 1 f) DGSVO. Danach ist eine Datenverarbeitung zulässig, sofern sie als Mittel für die Erfüllung eigener Geschäftszwecke zur Wahrung berechtigter Interessen erforderlich ist. Allerdings dürfen schutzwürdige Interessen der betroffenen Mitarbeiter nicht überwiegen.

Da es sich beim Wunsch eines Unternehmens, den AEO-Status zu erreichen, um wirtschaftlich international erfolgreich zu bleiben, durchaus sowohl um einen eigenen Geschäftszweck als auch um ein berechtigtes Interesse des Unternehmens handelt, wären die ersten Voraussetzungen zunächst einmal erfüllt.

Je nach Einzelfall könnte möglicherweise auch das Überwiegen der Interessen des Unternehmens auf Wettbewerbsfähigkeit am internationalen Markt gegenüber den Interessen der betroffenen Mitarbeiter auf Schutz ihres allgemeinen Persönlichkeitsrechts bejaht werden.

Möglich ist ebenfalls die Berufung auf Art. 6 Abs. 1 c) DSGVO. Geschäftskontakte mit Terroristen sollen ja immerhin aufgrund EU-Verordnungen unterbunden werden. Diese Bestimmungen sehen die Führung von Terrorlisten und den Abgleich damit vor (siehe unser Ratgeber zum datenschutzkonformen Terrorlistenscreening).

Verdrängt § 26 BDSG als Spezialvorschrift die allgemeine Rechtsnorm?

Probleme bereitet im Moment jedoch die Anwendbarkeit des Art. 6 DSGVO neben § 26 BDSG. Hintergrund ist, dass normalerweise Spezialvorschriften die allgemeinen Rechtsnormen verdrängen.

Es gilt jedoch zu bedenken, dass sich § 26 BDSG auf die Regelung von Beschäftigungsverhältnissen beschränkt. Er regelt aber gerade nicht andere Situationen – wie hier die Beantragung eines AEO-Zertifikats. Es gibt daher durchaus Argumente, die für die Anwendbarkeit des Art. 6 Abs. 1 c) bzw. f) DSGVO sprechen.

Mögliche Zusatzlösungen: Betriebsverein­barung oder Einwilligung

Wem als Unternehmer die derzeitige Situation rechtlich zu unsicher ist, hat noch die Möglichkeit, für die AEO-Screenings eine Betriebsvereinbarung abzuschließen oder die Einwilligungen der betroffenen Mitarbeiter einzuholen. Bedenken Sie aber, dass auch diese Schritte aus rechtlicher Sicht problematisch sein können.

Auch die Bundesregierung ist der Auffassung, dass die Terrorismusverordnungen keinen systematischen, anlassunabhängigen Abgleich von Mitarbeiterdateien mit den Sanktionslisten verlangen. Allenfalls nach Maßgabe von Sorgfaltspflichten und differenzierend nach verschiedenen Verkehrskreisen und Risikolagen seien solche Abgleiche zulässig. Es bleibe den Unternehmen überlassen, wie sie die Einhaltung der Terrorismusverordnungen sicherstellen (Bundestags-Drucksache 17/4136 vom 03. Dezember 2010).

Vor diesem Hintergrund empfiehlt und fordert der Düsseldorfer Kreis:

  • Unternehmen sollten Datenscreenings nicht pauschal und anlasslos durchführen. Da die Lohnzahlung nur unbar erfolgt, die Kreditinstitute nach § 25c Kreditwesengesetz (KWG) ohnehin Abgleiche mit den Terrorlisten vornehmen, ist ein Datenabgleichverfahren innerhalb des Unternehmens mit Mitarbeiterdaten nicht geboten.
  • Die Zollbehörden werden aufgefordert, die rechtsstaatlichen Vorgaben im Rahmen der AEO-Zertifizierung zu beachten. Eine einheitliche Praxis nach diesen Vorgaben gibt den Unternehmen Rechtssicherheit.
  • Die Bundesregierung wird gebeten, die derzeitige AEO-Zertifizierungspraxis einer baldigen und umfassenden Evaluation zu unterziehen.

Dieser aktualisierte Artikel wurde zuerst am 22. Februar 2012 veröffentlicht.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Blacklist der DSK für Datenschutz-Folgenabschätzungen

Mit der Datenschutz-Folgenabschätzung (DSFA) prüfen Unternehmen mögliche Risiken bei der Verarbeitung personenbezogener Daten. Zur Unterstützung veröffentlichen die Datenschutzaufsichtsbehörden Positiv- bzw. Negativlisten für die Fälle, in denen die DSFA zwingend bzw. entbehrlich ist. Die von der Datenschutzkonferenz (DSK) veröffentlichte gemeinsame Version der deutschen Aufsichtsbehörden liegt mittlerweile in der Version 1.1 vor.

Verarbeitungen, für die eine DSFA erfolgen muss

Die „DSFA Liste Deutschland“ der DSK (PDF, Version 1.1 vom 17. Oktober 2018) wurde im Vergleich zur ersten Version vom Juli 2018 teilweise erweitert (Punkte 1 und 2) und ansonsten präzisiert bzw. eingeschränkt. So kam bei einigen Punkten der Liste hinzu, dass die Verarbeitung geeignet sein muss, Betroffene rechtlich oder sonst erheblich zu betreffen. Achtung: Diese Formulierung legt nahe, dass es auf die tatsächliche Absicht des Verarbeitenden nicht ankommen soll. Die abstrakte Eignung an sich reicht aus. Im Ergebnis wurde der Anwendungsbereich der Liste eingeschränkt.

Folgende Verarbeitungstätigkeiten unterliegen der Pflicht einer vorherigen Datenschutz-Folgenabschätzung:

  1. Verarbeitung von biometrischen Daten zur eindeutigen Identifizierung von Personen, soweit diese Verarbeitung (die Erfüllung eines der folgenden Merkmale genügt):
    • besonders schutzwürdige Personen betrifft
    • der systematischen Überwachung dient
    • unter innovativer Nutzung oder Anwendung neuer technologischer oder organisatorischer Lösungen erfolgt
    • der Bewertung oder Einstufung (Scoring) dient
    • bei gleichzeitiger Abgleichung oder Zusammenführung von Datensätzen erfolgt
    • im Rahmen einer automatisierten Entscheidungsfindung mit Rechtswirkung oder ähnlich bedeutsamer Wirkung erfolgt
    • Betroffene an der Ausübung ihrer Rechte, der Nutzung einer Dienstleistung oder der Durchführung eines Vertrags hindert
  2. Verarbeitung von genetischen Daten, soweit diese Verarbeitung (die Erfüllung eines der folgenden Merkmale genügt):
    • besonders schutzwürdige Personen betrifft
    • der systematischen Überwachung dient
    • unter innovativer Nutzung oder Anwendung neuer technologischer oder organisatorischer Lösungen erfolgt
    • der Bewertung oder Einstufung (Scoring) dient
    • bei gleichzeitiger Abgleichung oder Zusammenführung von Datensätzen erfolgt
    • im Rahmen einer automatisierten Entscheidungsfindung mit Rechtswirkung oder ähnlich bedeutsamer Wirkung erfolgt
    • Betroffene an der Ausübung ihrer Rechte, der Nutzung einer Dienstleistung oder der Durchführung eines Vertrags hindert
  3. Umfangreiche Verarbeitung von Daten, die einem Sozial-, Berufs- oder Amtsgeheimnis unterliegen
  4. Umfangreiche Verarbeitung von personenbezogenen Daten über den Aufenthalt von Menschen
  5. Zusammenführung von personenbezogenen Daten aus verschiedenen Quellen und Weiterverarbeitung der Daten, soweit dies entweder in großem Umfang vorgenommen wird oder für Zwecke erfolgt, für die auch nicht direkt bei der betroffenen Person erhobene Daten verarbeitet werden, oder unter Anwendung von Algorithmen erfolgt, welche für die betroffenen Personen nicht nachvollziehbar sind, und die Zusammenführung eine Grundlage dafür bieten kann, Entscheidungen zu treffen, die Rechtswirkung gegenüber den betroffenen Personen haben oder diese Personen ähnlich erheblich beeinträchtigen können
  6. Optisch-elektronische Erfassung personenbezogener Daten in öffentlichen Bereichen, die in großem Umfang zentral zusammengeführt werden
  7. Umfangreiche Erhebung, Veröffentlichung oder Übermittlung von personenbezogenen Daten zur Bewertung von Verhalten oder anderer persönlicher Aspekte von Menschen, soweit diese von Dritten dazu genutzt werden können, Rechtswirkung gegenüber der bewerteten Person zu entfalten oder diese in ähnlich erheblicher Weise zu beeinträchtigen
  8. Verarbeitung von personenbezogenen Daten über das Verhalten von Beschäftigten, die zur Bewertung der Arbeitstätigkeit eingesetzt werden können, so dass sich Rechtsfolgen für den Betroffenen ergeben oder ihn in anderer erheblicher Weise beeinträchtigen
  9. Erstellung umfassender Profile über Interessen, das Netz ihrer persönlichen Beziehungen sowie die Persönlichkeit von Menschen
  10. Zusammenführung von personenbezogenen Daten aus verschiedenen Quellen und Weiterverarbeitung dieser Daten, sofern dies in großem Umfang erfolgt oder für Zwecke, für die nicht alle Daten bei der betroffenen Person direkt erhoben wurden, oder  wenn dies unter Einsatz von Algorithmen geschieht, die für die betroffenen Personen nicht nachvollziehbar sind, oder die Verarbeitung erfolgt um bislang unbekannte Zusammenhänge zwischen den Daten zu bislang nicht festgelegten Zwecken zu entdecken (Datamining)
  11. Verarbeitung unter Einsatz von künstlicher Intelligenz zur Steuerung einer Interaktion mit dem Betroffenen oder zur Bewertung persönlicher Aspekte
  12. Nicht bestimmungsgemäße Nutzung von Sensoren eines Mobilfunkgeräts oder von Funksignalen, die von solchen Geräten versendet werden, zur Ermittlung von Aufenthaltsorten oder Bewegungen von Personen über einen substanziellen Zeitraum
  13. Automatisierte Auswertung von Video- oder Audioaufnahmen zur Bewertung von Persönlichkeiten
  14. Erstellung umfassender Profile über Bewegung und Kaufverhalten von Personen
  15. Anonymisierung besonderer personenbezogener Daten zum Zwecke der Übermittlung an Dritte, soweit dies in Bezug auf die Zahl der betroffenen Personen als auch den Angaben je Person nicht nur in Einzelfällen erfolgt
  16. Die auch nicht umfangreiche Verarbeitung von besonderen personenbezogenen Daten sowie von Daten im Zusammenhang mit strafrechtlichen Verurteilungen und Straftaten unter Verwendung neuer Technologien zur Bestimmung der Leistungsfähigkeit von Personen

Wie sollte mit der DSFA-Liste umgegangen werden?

In der DSFA-Negativliste der DSK sind einzelne Beispiele mit Erläuterungen enthalten. Sie ist nicht abschließend!

Völlige Klarheit bringt diese Blacklist leider nicht, da ein gewisser Interpretationsspielraum besteht. Insbesondere der in der Liste häufig gebrauchte Begriff der „umfangreichen Verarbeitung“ ist in der Datenschutzpraxis bislang nicht wirklich greifbar. Hier wird man abwarten müssen, ob sich in der Anwendung verlässliche Grenzwerte herausbilden.

Auch andere Begriffe müssen ausgelegt werden und haben keine eindeutige Bedeutung. Im Ergebnis besitzt diese DSFA-Liste aber eine sehr starke Indizwirkung. Mit anderen Worten: Bei Verarbeitungen, die grundsätzlich in die beschriebenen Kategorien passen, auf eine DSFA zu verzichten, muss sehr gut begründet werden. Im Zweifel sollte die Datenschutz-Folgenabschätzung erfolgen.

Ergänzend anzumerken bleibt, dass man sich bei etlichen der genannten Verarbeitungszwecke grundsätzlich fragt, welche Rechtsgrundlage für diese zugrunde gelegt werden kann. Zur Erinnerung: Lässt sich die Verarbeitung nicht auf eine Rechtsgrundlage stützen, erübrigt sich die Frage nach der Datenschutz-Folgenabschätzung. Denn dann ist die Verarbeitung schlicht und einfach verboten und muss unterbleiben. Es darf also keinesfalls der Fehler gemacht werden, Verarbeitungen allein deshalb für grundsätzlich zulässig zu halten, weil sie in dieser Liste enthalten sind!

Dieser aktualisierte Artikel wurde zuerst am 30. Juli 2018 veröffentlicht.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Müssen Passwörter regelmäßig geändert werden, um sicher zu sein?

Immer wieder veröffentlichen Hacker Listen mit Unmengen von Onlinezugangsdaten verschiedenster Natur. Ein Hauptproblem sind dabei schwache Passwörter. Unternehmen sollten also ein verstärktes Augenmerk auf sichere Passwörter legen. Eine der häufigsten Empfehlungen ist das regelmäßige (erzwungene) Ändern von Passwörtern. Doch es gibt auch Alternativen zu dieser lästigen Pflicht.

Aktuelle Empfehlungen einer Aufsichtsbehörde

Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg hat kürzlich „Hinweise zum sicheren Umgang mit Passwörtern“ herausgegeben. Eine bemerkenswerte Aussage darin ist, dass Passwörter nicht mehr regelmäßig geändert werden sollen, sondern nur noch bei Kompromittierung. Was ist davon zu halten?

Immer wieder hört man Ansätze, lieber dauerhaft wirklich sichere Passworte zu verwenden, anstatt Benutzer mit dem erzwungenen Wechsel von Passworten zu gängeln. Dieser Ansatz hat sicher einen richtigen Kern. Aus praktischen Gründen ist er aber regelmäßig kaum umzusetzen, ohne die Sicherheit im Unternehmen zu gefährden!

Das Problem in der Praxis ist, dass ein Absehen von Passwortwechseln voraussetzt, dass alle anderen Vorgaben an die Sicherheit von Passwörtern erfüllt sind. Nur unter dieser Voraussetzung wäre der Ansatz diskutabel.

Empfehlungen der Aufsichtsbehörde für Passwortsicherheit (die ein regelmäßiges Wechseln von Passwörtern erübrigen würden)

Hierbei handelt es sich zweifellos um die primäre Voraussetzung, um über dauerhaft eingesetzte Passwörter nachzudenken. Neben der Komplexität ist hierbei vor allem auch die Länge entscheidend. Die Hinweise der baden-württembergischen Aufsichtsbehörde sehen zwölf und mehr Stellen vor. Bereits dies wird in der Praxis auf wenig bis gar keine Gegenliebe stoßen und im Zweifel nicht umgesetzt.

Zudem werden  Tipps gegeben, mit denen Mitarbeiter sich ein solch sicheres Passwort wählen und auch merken können sollen. Das Problem ist, findige Mitarbeiter werden immer Wege entdecken, zwar alle technischen Vorgaben zu erfüllen, im Ergebnis aber ein nicht sicheres Passwort oder einen nicht sicheren Satz zu verwenden. Das Unternehmen kennt aber das gewählte geheime Passwort nicht und kann dementsprechend nicht reagieren. Sollte es sich um ein tatsächlich sicheres Passwort handeln, wird dieses im Zweifel dann doch „sicherheitshalber“ irgendwo notiert.

Die Vorgabe ist sinnvoll, aber vom Unternehmen nicht wirksam zu kontrollieren. Die einzige Methode, um zu verhindern, dass das im Unternehmen eingesetzte Passwort nicht das gleiche ist, wie das möglicherweise jahrelang auch im privaten Bereich großflächig eingesetzte (das per Post-it am privaten Monitor klebt), ist die erzwungene Änderung.

Auch dieser Hinweis ist grundsätzlich sinnvoll. Aber er stellt Unternehmen vor weitere Schwierigkeiten. Welche Lösung soll eingesetzt werden? Ist diese sicher? Wer ist der Anbieter? Wo sitzt der Anbieter? Wer administriert die Lösung? Wer bezahlt sie? Wer sorgt für die Datensicherung?

Der Tipp ist richtig – er kann aber durch das Unternehmen kaum sichergestellt werden. Das Unternehmen kann zwar technisch Vorgaben machen, diese lassen sich aber sehr leicht durch minimale Veränderungen des Wortes oder Zusätze dazu erfüllen bzw. umgehen.

Auch das ist grundsätzlich richtig, lässt sich aber weder unterbinden noch wirksam kontrollieren.

Ein völlig richtiger Hinweis. Spätestens jetzt ist das Passwort zu ändern. Auch hier aber besteht das Problem wie beim zweiten Punkt: Das Unternehmen bekommt von einer Kompromittierung im privaten Umfeld des Mitarbeiters möglicherweise gar nichts mit. Im Zweifel merkt es der Mitarbeiter selbst nicht.

Richtig – aber mit allen Problemen verbunden, die entstehen, wenn mobile Geräte nicht wirksam der technischen Verwaltung des Unternehmens unterworfen sind.

Der Hinweis ist uneingeschränkt richtig. Die Umsetzung sollte aber ohnehin dem zuständigen IT-Personal und nicht dem „normalen“ Mitarbeiter obliegen.

Korrekt. Hat aber mit der eigentlichen Thematik nichts zu tun.

Diese wäre – bei korrekter und lückenloser Implementierung (!) — tatsächlich ein wirklich belastbares Argument, Passworte nicht mehr regelmäßig zu ändern.

Fazit: Wechsel von Passwörtern ist in der Praxis kaum zu ersetzen

Der Gedanke, Passwortwechsel nicht mehr zu erzwingen, ist nachvollziehbar und wäre wohl diskutabel, wenn tatsächlich alle genannten Anforderungen erfüllt sind. Viele der Anforderungen wird das Unternehmen aber faktisch nicht kontrollieren können – oder erst gar nicht umsetzen. Es steht zu befürchten, dass IT-Verantwortliche und Benutzer sich nun selektiv merken, dass hier eine Aufsichtsbehörde aussagt, Passwörter müssten nicht mehr geändert werden und die übrigen Voraussetzungen „übersehen“.

In dieser Hinsicht gilt zudem: Vertrauen in den Umgang mit sicheren Passwörtern durch Mitarbeiter ist gut; technische Kontrolle ist besser. Solange Verantwortliche nicht mit guter Begründung sicher sein können, dass sich alle Mitarbeiter tatsächlich an alle Vorgaben halten, sollten doch-nicht-so-sichere Passworte regelmäßig getauscht werden.

Zur Erinnerung: Es besteht Rechenschaftspflicht! Wer behauptet, dass alle Voraussetzungen für den Verzicht auf Passwortwechsel vorliegen, muss dies auch messen und belegen!

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Zunehmende Sanktionen und steigende DSGVO-Bußgelder in Deutschland

Die gewährte Schonzeit nach (!) Anwendbarkeit der Datenschutz-Grundverordnung (DSGVO) scheint vorbei zu sein. Die deutschen Aufsichtsbehörden sanktionieren Datenschutzverstöße immer häufiger und verhängen höhere Bußgelder nach DSGVO.

Aktuelle Bußgeldverfahren

Ende 2018 berichteten wir über das erste in Deutschland verhängte Bußgeld nach DSGVO. Während diese Sanktion noch eine größere Pressemitteilung durch die Aufsichtsbehörde wert war, scheint nun der Alltag eingetreten zu sein. Ohne großen Rummel sind mittlerweile deutschlandweit zahlreiche Bußgelder für Verstöße gegen die DSGVO und/oder das Bundesdatenschutzgesetz (BDSG) verhängt worden. Viele entsprechende Verfahren laufen noch. Wie einem Bericht des Handelsblatts zu entnehmen ist, sind Kontrollen und Sanktionen durch Datenschutz-Aufsichtsbehörden nun (wieder) gängig. Die Zeit der ersten Zurückhaltung ist damit offenbar vorbei. Allein in Bayern laufen aktuell deutlich über 80 Bußgeldverfahren. Der Großteil wird durch Beschwerden Betroffener ausgelöst, so gingen z. B. in Thüringen offenbar bereits 22.000 Eingaben ein.

Auch die Bußgeldhöhe steigt. Nachdem das erste Bußgeld mit 20.000 Euro überraschend mild ausfiel, werden nun auch Größenordnungen von 80.000 Euro erreicht. Die bekannten Zahlen deuten aber immer noch auf eine gewisse Zurückhaltung der Aufsichtsbehörden hin, den möglichen Rahmen an Bußgeldern wirklich auszureizen.

Was Unternehmen tun sollten

Das Risiko infolge rechtswidriger Datenverarbeitung oder mangelhafter Datensicherheit empfindlich herangezogen zu werden, ist damit wie erwartet deutlich gestiegen. Unternehmen sind gut beraten, sich durch professionellen Rat im rechtlichen und technischen Bereich abzusichern und die entsprechende Mehrfachkompetenz des gewählten Beraters ggf. zu hinterfragen. Die zu stellenden Anforderungen an die juristischen und technisch-praktischen Kenntnisse sind hoch.

Dabei gilt es immer zu bedenken: Die Verantwortung für die korrekte Umsetzung des Datenschutzes liegt ausschließlich beim Unternehmen. Es muss im Zweifel bewiesen werden, dass der Datenschutz korrekt beachtet wurde. Mangelhafte Beratung ist kein Entschuldigungsgrund!

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Erstes DSGVO-Bußgeld in Deutschland verhängt

Wie der Landesbeauftragte für Datenschutz und Informationssicherheit Baden-Württemberg mitteilte, wurde am 21. November 2018 das erste Mal in Deutschland ein Bußgeld nach den Regelungen der Datenschutz-Grundverordnung (DSGVO) verhängt. Der Fall ist gleich in mehrfacher Hinsicht interessant.

Der DSGVO-Verstoß und das Bußgeld

Auslöser für das Bußgeld war offenbar, dass das betroffene Unternehmen seiner Pflicht nachkam, eine Datenschutzpanne an die Aufsichtsbehörde zu melden. Das Unternehmen teilte Anfang September der baden-württembergischen Aufsichtsbehörde mit, dass es einen erfolgreichen Hackerangriff gegeben hatte und Nutzerdaten abgezogen wurden, unter denen sich auch die Passwörter der Nutzer im Klartext befanden.

Der Fall verdeutlicht, dass es sich bei der Meldepflicht nach Art. 33 DSGVO nicht nur um eine lästige Formalität handelt sondern um einen Vorgang, der durchaus wirtschaftlich relevante Konsequenzen haben kann.

Allerdings fiel das Bußgeld überraschend günstig aus. Im Vergleich zu den in diesem Fall möglichen Beträgen (der Bußgeldrahmen bis zu 20 Millionen Euro wäre eröffnet gewesen), wirken die verhängten 20.000 Euro doch etwas seltsam. Dementsprechend ausführlich fällt auch die Begründung durch den Landesbeauftragten aus. Entscheidend für die bemerkenswerte Milde waren folgende Punkte:

  1. Das Unternehmen hat sich in jeder Hinsicht bestmöglich und nach Kräften um transparente Aufklärung und Kooperation mit der Behörde bemüht.
  2. Es wurden nach dem Zwischenfall große Anstrengungen zur Verbesserung der IT-Sicherheit unternommen, die das Niveau auch deutlich erhöhten.
  3. Diese Anstrengungen haben für das Unternehmen zusätzlich Kosten in beträchtlicher Höhe verursacht und die Strafe damit „indirekt“ erhöht.

Konsequenzen aus dem Bußgeldverfahren

Die transparente Bußgeldbegründung der Datenschutzaufsichtsbehörde ermöglicht es anderen Unternehmen, viel über die zukünftige Ahndung von Verstößen gegen die DSGVO in Deutschland zu lernen:

  • Die Speicherung von Passwörtern im Klartext ist ein klarer Datenschutzverstoß. Das ist aber nicht wirklich neu.
  • Die Aufsichtsbehörden reagieren auf Datenschutzverstöße und verhängen wie vorgesehen Bußgelder (siehe unser Grundlagenartikel zu Bußgeldern unter der DSGVO).
  • Zumindest in diesem Fall war die Behörde bereit, die Bemühungen des Unternehmens sehr deutlich zu berücksichtigen.

Kann man sich nun darauf verlassen, dass Bußgelder gering ausfallen, wenn man nur artig meldet und dann mitwirkt? Wohl kaum.

  • Bußgelder sollen laut Art. 83 DSGVO abschreckend und verhältnismäßig sein. Über die Verhältnismäßigkeit mag man hier diskutieren können. Von einer Abschreckung kann aber bei dieser niedrigen Bußgeldhöhe kaum gesprochen werden.
  • Außerdem sollen eigentlich die wirtschaftlichen Vorteile, die ein Unternehmen aus dem Datenschutzverstoß zog, durch das Bußgeld mindestens abgezogen werden. Hier wurde dem Unternehmen nun „strafmildernd“ angerechnet, die – zweifellos – hohen Investitionen jetzt nachgeholt zu haben, die ohnehin nötig gewesen wären. Für das betroffene Unternehmen ist das ein sehr angenehmes Ergebnis: Die eigentlich von vornherein geforderte Investition wurde mit behördlichem Segen gestundet, bis sie nicht mehr zu vermeiden war und ihre Höhe verringerte dann auch noch das Bußgeld. Aus Unternehmenssicht könnte sich dieses Vorgehen damit sogar gelohnt haben. Das unterstützt die Zielrichtung der mit der DSGVO beabsichtigten Rechtsänderung sicher nicht und es dürfte zweifelhaft sein, ob andere Fälle ähnlich glimpflich ausgehen.
  • Auch dem allgemeinen Gebot, das EU-Recht im nationalen Bereich durch taugliche Maßnahmen angemessen durchzusetzen, dürfte nicht zweifelsfrei nachgekommen sein. Die klar gewünschte Erhöhung der Bußgelder erfolgt soweit nicht, sondern bewegt sich vielmehr in dem bisher üblichen Bereich. Ob ein solches Vorgehen von der EU langfristig toleriert werden wird, ist sehr fraglich.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Das Standard-Datenschutzmodell

Das Standard-Datenschutzmodell (SDM) liegt mittlerweile in Version 1.1 vor, die auf die europäische Datenschutz-Grundverordnung (DSGVO) angepasst wurde. Das SDM soll Unternehmen bei der konkreten Umsetzung der Datenschutzvorschriften helfen. Als Orientierungshilfe bietet es standardisierte Empfehlungen der Aufsichtsbehörden sowie eine vordefinierte Umsetzungssystematik. Für Unternehmen lohnt es sich also, sich mit dem „Konzept zur Datenschutzberatung und -prüfung auf Basis einheitlicher Gewährleistungsziele“ auseinandersetzen.

Für wen gilt das Standard-Datenschutzmodell?

Das SDM stellt lediglich ein Konzept dar und beansprucht damit keine absolute Verbindlichkeit, wie beispielsweise ein Gesetz oder eine Verordnung.

Allerdings entspringt das Modell der Feder der Konferenz der Datenschutzbeauftragten des Bundes und der Länder (Datenschutzkonferenz, DSK). Zumindest aufgrund der Autorschaft muss man also davon ausgehen, dass das Modell gewisse Grunderwartungen der Aufsichtsbehörden enthält.

Welchen Zweck verfolgt das Standard-Datenschutzmodell?

Ein großes Problem bei der praktischen Umsetzung des Datenschutzes und besonders beim Aufbau eines Datenschutzmanagementsystems sind die Vielfältigkeit und Komplexität der Regelungen und Anforderungen, die an die Verarbeitung personenbezogener Daten gestellt werden, seien sie rechtlicher, technischer oder organisatorischer Art. Zudem sind die datenschutzrechtlichen Vorgaben im Regelfall recht allgemein gehalten und bedürfen einer manchmal intensiven Auslegung.

Das Standard-Datenschutzmodell knüpft hier an: Es versucht die relevanten Anforderungen und Maßnahmen zu systematisieren, mit deren Hilfe Unternehmen ihre Verfahren und Prozesse auf Rechtskonformität trimmen können.

Welche Methodik liegt dem Standard-Datenschutzmodell zugrunde?

Wenn man sich die Inhalte des Standard-Datenschutzmodells genauer ansieht, wird man gewisse Parallelen zu der Methodik des IT-Grundschutz des BSI (Bundesamt für Sicherheit in der Informationstechnik) feststellen. So werden im Rahmen des SDM zunächst alle datenschutzrechtlichen Anforderungen in sogenannte Gewährleistungsziele überführt, deren Einhaltung bei der Durchführung der verwendeten Verfahren zu beachten ist (im Einzelnen siehe unten).

Unternehmen wird durch diesen Katalog von Gewährleistungszielen ein zumindest teilweise vorgefertigtes Gesamtpaket an die Hand gegeben, so dass eine eigene Anforderungsrecherche entfallen kann.

Des Weiteren werden Verarbeitungen in ihre einzelnen Komponenten zerteilt, namentlich in Daten, IT-Systeme und Prozesse. Mittels dieser einheitlichen Strukturierung soll eine gewisse Klarheit über den Ablauf der Datenverarbeitung erreicht werden. Denn erst wenn die Prozesse der Datenverarbeitung geklärt sind, kann eine weitere Beurteilung stattfinden.

Zudem definiert das Standard-Datenschutzmodell abgestufte Schutzbedarfskategorien, mittels derer die einzelnen Verarbeitungsstufen kategorisiert und bewertet werden können. Auf diesem Wege soll Wichtiges von Unwichtigem getrennt und so ein angemessenes Level an zu treffenden Schutzmaßnahmen für jede einzelne Verarbeitung festgelegt werden.

Die 7 wichtigsten Gewährleistungsziele im Standard-Datenschutzmodell

Der Begriff der Gewährleistungsziele wurde gewählt, um eine klare Abgrenzung zu dem Begriff der „Schutzziele“ in der IT-Sicherheit herzustellen. Insbesondere soll so eine datenschutzrechtliche Terminologie aufgebaut werden.

Jedes zu erreichende Gewährleistungsziel soll durch Umsetzung geeigneter Maßnahmen erreicht werden. Die Vorschläge zur Umsetzung werden im Standard Datenschutzmodell „generische Maßnahmen“ genannt.

Das nach dem Standard-Datenschutzmodell grundlegendste Gewährleistungsziel ist die Datenminimierung. Die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten hat sich grundsätzlich auf das unvermeidliche / erforderliche Maß zu beschränkten. Dies bezieht sich auf die vollständige Verarbeitungskette; von der Erhebung der Daten bis hin zu deren Löschung sollten alle Prozesse so ausgerichtet sein, dass ausschließlich die tatsächlich benötigten Daten verarbeitet bzw. verfügbar gehalten werden. Letztlich stellt sich hier stets die gleiche Frage: „Brauche ich die Daten für die Verarbeitung wirklich unbedingt?“

Um eine optimale Datensparsamkeit zu erreichen, sollte z. B. über folgende generische Maßnahmen nachgedacht werden:

  • Reduzierung von erfassten Attributen
  • Reduzierung der Verarbeitungsoptionen
  • Reduzierung von Möglichkeiten der Kenntnisnahme
  • Verarbeitungsprozesse, die eine Kenntnisnahme verarbeiteter Daten entbehrlich machen
  • automatische Sperr- und Löschroutinen, Pseudonymisierungs- und Anonymisierungsverfahren,
  • Kontrolle der Änderung von Verarbeitungstätigkeiten

Der Grundsatz der Verfügbarkeit fordert, dass vorhandene Daten einerseits vor mutwilliger Zerstörung oder auch fahrlässigem Verlust geschützt werden müssen, andererseits aber auch im Falle des Bedarfs jederzeit abrufbar sein sollen. Die Verfügbarkeit muss dabei nicht nur die jederzeitige Nutzung der Daten für den eigentlichen Zweck sicherstellen, sondern auch mögliche Auskunftsverlangen an Betroffene, über die Daten gespeichert sind.

In der Praxis wird die Verfügbarkeit meist über entsprechende Datensicherungen, Schutzvorrichtungen und Redundanzen von Hard- und Software sowie IT-Infrastrukturen gewährleistet. Bei Auslagerungen sollte stets auf entsprechende Service-Level-Agreements (SLAs) geachtet werden, z. B. Auftragsverarbeitungs-Verträge. Aber auch alltägliche organisatorische Maßnahmen, wie Vertretungsregelungen für abwesende Mitarbeiter, stellen die Verfügbarkeit der Daten sicher.

Beispiele für geeignete Maßnahmen:

  • Anfertigung von Sicherheitskopien,
  • Schutz vor äußeren Einflüssen (Schadsoftware, Sabotage, höhere Gewalt),
  • Dokumentation der Syntax der Daten,
  • Redundanzen,
  • Reparaturstrategien und Ausweichprozesse,
  • Vertretungsregelungen

Als Integrität wird der Schutz vor ungewollter bzw. unautorisierter Veränderung von Daten verstanden. Sie besagt, dass einmal erstellte Daten auch zu einem späteren Zeitpunkt noch denselben – unveränderten – Inhalt besitzen müssen, sofern sie nicht in legitimer Weise verändert worden sind. Die anfängliche inhaltliche Richtigkeit der Daten ist hiervon allerdings nicht umfasst.

Unternehmen müssen folglich (generische) Maßnahmen ergreifen, die eine ungewünschte nachträgliche Veränderung von Daten verhindern. Dies kann beispielsweise gewährleitet werden durch:

  • Begrenzung von Schreib- und Änderungsrechten,
  • Einsatz von Prüfsummen, elektronischen Siegeln und Signaturen,
  • dokumentierte Zuweisung von Berechtigungen und Rollen,
  • Aufrechterhaltung der Aktualität von Daten,
  • Festlegung des Soll-Verhaltens von Prozessen und regelmäßiges Durchführen von Tests zur Feststellung und Dokumentation der Funktionalität, von Risiken sowie Sicherheitslücken und Nebenwirkungen von Prozessen,
  • Festlegung des Soll-Verhaltens von Abläufen bzw. Prozessen und regelmäßiges Durchführen von Tests zur Feststellbarkeit bzw. Feststellung der Ist-Zustände von Prozessen.

Als Vertraulichkeit wird der Schutz der Daten vor unbefugtem Zugriff oder unbefugter Kenntnisnahme verstanden.

Generische Maßnahmen um die Vertraulichkeit zu gewährleisten wären beispielsweise:

  • Festlegung eines Rechte- und Rollen-Konzeptes,
  • sichere Authentisierungsverfahren,
  • Personalkonzept,
  • Festlegung und Kontrolle zugelassener Ressourcen,
  • für die Verarbeitungstätigkeit geeignete Umgebungen,
  • Festlegung und Kontrolle organisatorischer Abläufe, interner Regelungen und vertraglicher Verpflichtungen ,
  • Kryptokonzept,
  • Schutz vor äußeren Einflüssen (Spionage, Hacking).

Das Gewährleistungsziel der Nichtverkettbarkeit hat seinen Ausgangspunkt im Zweckbindungsgrundsatz und soll sicherstellen, dass für alle Daten der legitime Zweck für die Bearbeitung feststeht und erhalten bleibt. Dementsprechend darf im Laufe der Verarbeitungsprozesse stets nur der ursprünglich festgelegte Zweck verfolgt werden. Die in der Praxis oft vorgefundene Situation, dass Daten, die einmal im Unternehmen angekommen sind, dort frei umherirren und so auch für verschiedene Zwecke verarbeitet werden, ist daher gesetzeswidrig.

Um die Nichtverkettbarkeit zu gewährleisten, kommen etwa folgende Maßnahmen in Betracht:

  • Einschränkung von Verarbeitungs-, Nutzungs- und Übermittlungsrechten,
  • Schließung von Schnittstellen,
  • Compliance bei der Softwareentwicklung,
  • Trennung nach Organisations-/Abteilungsgrenzen,
  • Trennung mittels Rollenkonzepten,
  • Identitätsmanagement,
  • Pseudonyme, Anonymisierung,
  • geregelte Zweckänderungsverfahren.

Die Verarbeitung personenbezogener Daten hat grundsätzlich transparent zu erfolgen. Es muss also nachvollziehbar sein, wo und zu welchem Zweck personenbezogene Daten verarbeitet und genutzt werden. Dieser Grundsatz findet seinen Ausfluss unter anderem in der Verpflichtung zur Führung eines internen und externen Verfahrensverzeichnisses. Zudem kann nur mittels einer transparenten Datenverarbeitung dem Recht des Betroffenen auf Auskunft sowie den Rechten der Aufsichtsbehörden auf Auskunft und Einsicht entsprochen werden.

Typische Maßnahmen wären in diesem Zusammenhang vor allem die Dokumentationen über Verfahren, Prozesse, Anwendungen, Verträge, Systemtests, Freigaben, Vorabkontrollen, Verträge (sowohl interne z. B. mit Mitarbeitern als auch externe mit Dienstleistern). Außerdem sollten Zugriffe auf und Änderungen in Anwendungen dokumentiert sowie Dokumente versioniert werden.

Beispiele:

  • Dokumentation der Geschäftsprozesse, Datenbestände, Datenflüsse, IT-Systeme, Betriebsabläufe, Beschreibungen von Verarbeitungstätigkeiten,
  • Tests der Freigabe und ggf. Datenschutz-Folgenabschätzung von neuen oder geänderten Verarbeitungstätigkeiten,
  • Dokumentation der Verträge mit den internen Mitarbeitenden, Dienstleistern und Dritten,
  • Dokumentation von Einwilligungen und Widersprüchen,
  • Protokollierung von Zugriffen und Änderungen,
  • Nachweis der Quellen von Daten (Authentizität),
  • Versionierung,
  • Dokumentation der Verarbeitungsprozesse,
  • Berücksichtigung der Auskunftsrechte von Betroffenen im Protokollierungs- und Auswertungskonzept.

Unter das Gewährleistungsziel der Intervenierbarkeit werden im Wesentlichen die Betroffenenrechte auf Auskunft, Berichtigung und Sperrung bzw. Löschung der eigenen Daten gefasst. Sofern also ein Betroffener zurecht die Löschung seiner Daten verlangt, so muss dies konsequenterweise auch technisch umsetzbar sein.

Dies ist es beispielsweise nicht, wenn gar nicht klar ist, auf welchen Datensicherungsbändern dessen Daten überhaupt gespeichert sind bzw. in welchen Systemen dessen Daten abgelegt wurden. In diesem Fall wäre erst eine umfangreiche Suche erforderlich. Derartige technische Erschwernisse können die Pflicht der Unternehmen, dem Verlangen des Betroffenen nachzukommen, jedoch nicht entgegengehalten werden. Vielmehr muss Unternehmen bereits bei Speicherung der Daten klar sein, dass auch einzelne Datensätze gegebenenfalls wieder gelöscht werden müssen.

Infrage kommende Maßnahmen sind hier u. a. standardisierte Dialog- und Abfragestellen über vorhandene Datensätze von Betroffenen sowie ein konkret benannter Ansprechpartner, Deaktivierungsmöglichkeiten von einzelnen Systemkomponenten, ohne das gesamte System außer Betrieb zu setzen, Möglichkeiten der Einsichtnahme in das System durch den Datenschutzbeauftragten oder aber auch Aufsichtsbehörden.

Beispiele:

  • differenzierte Einwilligungs-, Rücknahme- sowie Widerspruchsmöglichkeiten,
  • Schaffung notwendiger Datenfelder z. B. für Sperrkennzeichen,
  • dokumentierte Bearbeitung von Störungen, Problembearbeitungen und Änderungen am Verarbeitungstätigkeiten sowie an den Schutzmaßnahmen der IT-Sicherheit und des Datenschutzes,
  • Deaktivierungsmöglichkeit von Funktionalitäten,
  • Abfrage- und Dialogschnittstellen für Betroffene zur Geltendmachung und/oder Durchsetzung von Ansprüchen,
  • Nachverfolgbarkeit der Aktivitäten,
  • Einrichtung eines Single Point of Contact (SPoC) für Betroffene,
  • operative Möglichkeit zur Zusammenstellung, konsistenten Berichtigung, Sperrung und Löschung aller zu einer Person gespeicherten Daten.

Fazit: Das Standard-Datenschutzmodell hilft beim strukturellen Vorgehen

Insgesamt zeigt sich, dass das Standard-Datenschutzmodell eine Erleichterung für Unternehmen bei der Gewährleistung der datenschutzrechtlichen Compliance darstellen kann. Denn nur eine strukturierte Herangehensweise führt im Ergebnis dazu, dass ein konsistenter und vergleichbarer Datenschutz-Standard im Unternehmen etabliert werden kann, der alle Bereiche des Unternehmens umfasst. Eben diese Struktur gewährleistet das SDM bei richtiger Umsetzung.

Praktisch ist dabei, dass mit den generischen Maßnahmen im Standard-Datenschutzmodell praktikable und effiziente Wege für eine Umsetzung im Unternehmen aufgezeigt werden.

Bei richtiger und konsequenter Anwendung des Standard-Datenschutzmodells ist zu erwarten, dass im Falle einer Prüfung durch eine Aufsichtsbehörde das betroffene Unternehmen und die Behörde „die gleiche Sprache sprechen“ und der Aufwand sich im Optimalfall auf ein Minimum reduziert.

Dieser aktualisierte Artikel wurde zuerst am 22. Dezember 2016 veröffentlicht.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Aktuelle Prüfungen der Datenschutzaufsichtsbehörden

Die Datenschutzaufsichtsbehörden der Bundesländer prüfen schon seit Jahren die Umsetzung des Datenschutzes gemäß Bundesdatenschutzgesetz (BDSG) in Unternehmen. Mit der europäischen Datenschutz-Grundverordnung (DSGVO) dürften diese Prüfungen häufiger und umfassender werden. Ein wesentlicher Grund dafür sind die deutlich umfangreicheren Dokumentationspflichten. Weil unter der DSGVO empfindliche Bußgelder für Datenschutzverstöße drohen, sind Unternehmen gut beraten, genau zu wissen, wie die Aufsichtsbehörden vorgehen. Die jeweils aktuellen Prüfungen finden Sie in diesem Artikel.

Datenschutzprüfungen bei bayerischen Unternehmen und Ärzten (BayLDA, 7. November 2018)

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat seine Prüfaktivitäten wieder verstärkt aufgenommen und neue flächendeckende Datenschutzkontrollen in Bayern angestoßen. Dabei werden unter anderem Arztpraxen auf ihre Cybersicherheit (Stichwort „Ransomware“) überprüft und Fragebögen an kleine und mittelständische Unternehmen versandt.

Laut Pressemitteilung des BayLDA sei es nicht das Ziel, kleine Betriebe mit Datenschutzkontrollen zu überfordern, sondern größere und risikobehaftete Organisationen hinsichtlich möglicher Gefährdungsquellen zu sensibilisieren. Außerdem wolle man darauf hinwirken, dass personenbezogene Daten gerade dort wirksam und angemessen geschützt werden.

Achtung, sollten Sie von den Prüfungen betroffen sein: Das BayLDA plant im Nachgang zu den schriftlichen Prüfungen ausgewählte Unternehmen zum Teil auch vor Ort zu besuchen und die gemachten Angaben auf Richtigkeit zu kontrollieren.

Derzeit werden folgende Bereiche bzw. Unternehmen geprüft:

Sicherer Betrieb von Online-Shops (Cybersicherheit)

Zwanzig bayerische Online-Shops, zufällig aus allen Branchen zusammengestellt, wurden hinsichtlich der Verwendung von veralteten und unsicheren eCommerce-Systemen geprüft. Die Unternehmen haben ein detailliertes Prüfschreiben erhalten und sind aufgerufen, festgestellte Defizite zu beheben.

Verschlüsselungstrojaner in Arztpraxen (Cybersicherheit)

Verschlüsselungstrojaner („Ransomware“) sind auch in Bayern weiterhin aktiv: […] Das BayLDA hat sich deshalb entschieden, Ärzte zum Umgang und Prävention von Ransomware-Attacken zu kontrollieren.

Rechenschaftspflicht bei Großkonzernen

Das BayLDA hat drei Großkonzernen jeweils 50 Fragen gestellt und prüft damit, ob in der jeweiligen Organisation eine datenschutzkonforme Verarbeitung personenbezogener Daten stattfindet und mit Betroffenenrechten sowie Datenschutzverletzungen richtig umgegangen wird.

Erfüllung der Informationspflichten in Bewerbungsverfahren

Mit dieser Erfahrung entschied sich das BayLDA deshalb nun im Oktober 2018, erneut bei zufällig ausgewählten Verantwortlichen die Verarbeitung personenbezogener Daten in Bewerbungsverfahren zu untersuchen. […] Hierzu werden derzeit 15 Verantwortliche in Bayern, ausschließlich größere Betriebe und Vereine, geprüft.

Umsetzung der DSGVO bei kleinen und mittelständischen Unternehmen (KMUs)

In einer Prüfung zur allgemeinen Datenschutzorganisation sind 20 Fragen zu beantworten und zum Teil Unterlagen vorzulegen. […] Die 15 geprüften Unternehmen (mit jeweils über 100 Mitarbeitern) wurde nach folgenden Kriterien ausgesucht: Die Hälfte ist beim BayLDA bereits durch Beschwerden aufgefallen. Ansonsten wurden Verantwortliche aus unterschiedlichen Branchen aus ganz Bayern berücksichtigt.

Weitere angekündigte Prüfungen des BayLDA

Achtung: Auf seiner Website kündigt das BayLDA bereits weitere Prüfungen an:

  • Noch im November 2018 sollen Datenschutzverletzungen bei (Unter-)Auftragsverarbeitern geprüft werden. Das BayLDA fragt sich insbesondere, warum von (internationalen) Dienstleistern verhältnismäßig wenige Datenpannen gemeldet werden, während die Meldungen von Verantwortlichen gemäß Art. 33 und 34 DSGVO deutlich zugenommen hätten. Geprüft werden voraussichtlich 15 größere und datengetriebene Unternehmen mit (vermutlich) vielen Dienstleistern im internationalen Umfeld. Bei sieben dieser Unternehmen könnten auch Vor-Ort-Kontrollen stattfinden.
  • Im Dezember 2018 geht es dem BayLDA um das DSGVO-konforme und fristgerechte Löschen personenbezogener Daten in ERP-Systemen. Welche Unternehmen bzw. welche Kategorien von Unternehmen geprüft werden, ist aktuell noch offen.

[av_hr class=’default‘ height=’50‘ shadow=’no-shadow‘ position=’center‘ custom_border=’av-border-thin‘ custom_width=’50px‘ custom_border_color=“ custom_margin_top=’30px‘ custom_margin_bottom=’30px‘ icon_select=’yes‘ custom_icon_color=“ icon=’ue808′ font=’entypo-fontello‘ av_uid=’av-uvmryv‘ custom_class=“ admin_preview_bg=“]

Frühere Prüfungen der Datenschutzaufsichtsbehörden

Die Landesbeauftragte für den Datenschutz Niedersachsen prüft als eine der ersten Datenschutzaufsichtsbehörden die Umsetzung der DSGVO in Unternehmen. In einer branchenübergreifenden Querschnittsprüfung sollen 50 Unternehmen zu je zehn Bereichen des Datenschutzes Stellung beziehen.

Im Fokus der Prüfung stehen 20 große und 30 mittelgroße Unternehmen. Es gehe explizit nicht um kleine Handwerksbetriebe oder ähnliches, teilte die Aufsichtsbehörde in ihrer Pressemitteilung mit. Man wolle zum einen prüfen, ob es bei den verantwortlichen Stellen Nachholbedarf gäbe. Zum anderen ginge es auch darum, das Bewusstsein für Datenschutz und die neuen DSGVO-Vorschriften zu stärken. Die Suche nach Fehlern und das Verhängen von Bußgeldern seien zum jetzigen Zeitpunkt nicht vorrangig.

Nach Auswertung der versandten Fragebögen sollten vereinzelt auch Vorort-Überprüfungen bei Unternehmen stattfinden, so die Landesbeauftragte für den Datenschutz in Niedersachsen, Barbara Thiel. Insgesamt erhoffe sie zu ermitteln, wo die Aufsichtsbehörde in Zukunft vermehrt aufklären und beraten müsse.

Welche Fragen stellt die Aufsichtsbehörde?

Der Fragenkatalog der niedersächsischen Datenschutzaufsichtsbehörde (hier als PDF verfügbar) vermittelt einen ersten Eindruck, wie umfangreich Prüfungen zukünftig ausfallen könnten. Folgende Themen werden abgefragt:

  1. Wie erfolgte die Vorbereitung auf die DSGVO?
  2. Wie wurde das Verzeichnis von Verarbeitungstätigkeiten erstellt? Wie wird es aktualisiert?
  3. Auf Basis welcher Rechtsgrundlagen werden Daten verarbeitet?
  4. Mittels welcher Prozesse werden Betroffenenrechte gewahrt?
  5. Mit welchen technischen und organisatorischen Maßnahmen (TOM) werden Daten geschützt und wie werden diese TOM aktualisiert?
  6. In welchem Umfang geschieht eine Datenschutz-Folgenabschätzung?
  7. Welche Verträge werden bei der Auftragsverarbeitung eingesetzt?
  8. Wie wird der Datenschutzbeauftragte eingesetzt?
  9. Auf welche Art und Weise wird den Meldepflichten gegenüber der Aufsichtsbehörde nachgekommen?
  10. Wie können die vorgenannten Punkte nachgewiesen werden?

Fachliche Einschätzung der Datenschutzprüfung

Die Aufsichtsbehörde Niedersachsens begnügt sich in ihrem Fragebogen nicht mit einfachen Aussagen. Stattdessen haben geprüfte Unternehmen ihren Antworten Muster und Beispiele beizufügen, damit die tatsächliche Umsetzung des Datenschutzes geprüft werden kann. Hier gilt es, gut vorbereitet zu sein.

Zudem ist zumindest kritisch zu hinterfragen, ob es tatsächlich bei einer solch gutwilligen Haltung der Aufsichtsbehörde bleibt. Denn Art. 83 DSGVO sieht explizit eine Pflicht zur Ahndung von Datenschutzverstößen vor. Handlungsspielraum haben die Aufsichtsbehörden lediglich bei der Höhe der Bußgelder.

Darüber hinaus sollten Unternehmen, bei denen die Prüfung zu Beanstandungen führt, diese Mängel umgehend beheben. Denn selbst wenn derzeit noch keine Bußgelder verhängt werden bzw. würden, sind einmal bekannt gewordene Defizite ein guter Grund für die Datenschutzaufsichtsbehörde, bald wieder vorstellig zu werden.

Ab 25. Mai 2018 ist die EU-Datenschutz-Grundverordnung (DSGVO) unmittelbar anwendbar. Damit ist seit Inkrafttreten der neuen europäischen Datenschutz-Vorschriften genau die Hälfte der Zeit zur Umsetzung verstrichen. Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) nutzt diesen Anlass, um 150 zufällig ausgewählte Unternehmen zu überprüfen. Inhalt der Kontrolle via Fragebogen ist der Stand der Umsetzung der DSGVO im Unternehmen.

Ziel des BayLDA ist es, den Unternehmen in Bayern bereits jetzt ein Gefühl darüber zu vermitteln, wie sich ab Mai 2018 die verstärkten Prüfaktivitäten gestalten. Denn zwar bleiben viele Prinzipien des Datenschutzrechts vergleichbar mit dem noch geltenden Bundesdatenschutzgesetz (BDSG). Bei der konkreten Umsetzung ergeben sich jedoch maßgebliche Änderungen; insbesondere umfassendere Rechenschaftspflichten schlagen hier zu Buche.

Damit nicht nur die überprüften Unternehmen wissen, wie sich Datenschutz-Kontrollen unter der DSGVO (zumindest in Bayern) gestalten, hat das BayLDA den Prüffragebogen als PDF veröffentlicht.

Die Datenschutz-Aufsichtsbehörden von zehn Bundesländern prüfen seit November 2016 in einer koordinierten Aktion deutschlandweit 500 Unternehmen im Bereich der grenzüberschreitenden Datenübermittlung. Die Kontrolle erfolgt vorerst durch einen detaillierten Fragebogen. Je nach Ergebnis ist mit Folgemaßnahmen zu rechnen.

Durch die zunehmende Nutzung von Cloud-Computing und Software-as-a-Service (SaaS) in Unternehmen, aber auch durch die Auslagerung von Management- oder IT-Prozessen, werden immer häufiger personenbezogene Daten (etwa von Kunden oder Mitarbeitern) ins Nicht-EU-Ausland transferiert, weil die Server der jeweiligen Anbieter z. B. in den USA stehen. Vor dem Transfer der Daten muss vom Unternehmen sichergestellt werden, dass die Daten im Empfängerland ausreichend geschützt sind. Andernfalls hat die Übermittlung zu unterbleiben.

Die bisherige Erfahrung der Datenschutzaufsichtsbehörden zeige, dass sich Unternehmen bei Nutzung solcher Produkte nicht immer der Tatsache bewusst sind, dass daraus datenschutzrechtliche Konsequenzen resultieren. Die aktuelle Überprüfung habe deshalb den Zweck, Unternehmen für diese Herausforderung zu sensibilisieren, so das Bayerische Landesamt für Datenschutzaufsicht in seiner betreffenden Pressemitteilung (PDF).

Wo prüfen die Aufsichtsbehörden welche Unternehmen?

Die aktuelle Überprüfung wird koordiniert von den Datenschutz-Aufsichtsbehörden in den Bundesländern Bayern, Berlin, Bremen, Hamburg, Mecklenburg-Vorpommern, Niedersachsen, Nordrhein-Westfalen, Rheinland-Pfalz, Saarland und Sachsen-Anhalt angegangen. Im Rahmen der Prüfung werden rund 500 Unternehmen angeschrieben, die nach dem Zufallsprinzip ausgewählt wurden. Es wurde Wert daraufgelegt, Unternehmen unterschiedlicher Größenordnungen und verschiedener Branchen einzubeziehen.

Was wird überprüft?

Betroffene Unternehmen erhalten einen „Fragebogen zur Prüfung des internationalen Datenverkehrs“ (beim BayLDA als Download verfügbar). Gefragt wird zum Beispiel nach der Inanspruchnahme externer Leistungen und Produkte in Bereichen wie Fernwartung, Support, Ticketing-Bearbeitung, aber auch Customer-Relationship-Management oder Bewerbermanagement. Die Unternehmen werden dann aufgefordert, die entsprechenden von ihnen genutzten Dienstleistungen und Produkte konkret zu nennen.

Sofern personenbezogene Daten in Nicht-EU-Staaten übermittelt werden, sind die kontrollierten Unternehmen darüber hinaus aufgefordert anzugeben, auf welcher datenschutzrechtlichen Grundlage die Übermittlungen erfolgen. Mitgeteilt werden muss bspw., ob für das Zielland durch Beschluss der Europäischen Kommission ein angemessenes Datenschutzniveau anerkannt ist (dazu zählt auch das EU-U.S. Privacy Shield), ob Standardvertragsklauseln als Grundlage verwendet werden, ob die Übermittlungen auf Einwilligungen der Betroffenen gestützt werden und ob der Datenschutzbeauftragte des Unternehmens entsprechend konsultiert wurde.

Datenschutzrechtliche Einschätzung

Anzumerken ist, dass die aktuelle Prüfung der Aufsichtsbehörden sich vorwiegend auf den letzten zu klärenden Bereich beim Datentransfer in Drittstaaten bezieht. Denn die angemessene Datensicherheit am Empfängerort zu gewährleisten, ist längst nicht das einzige, was Unternehmen tun müssen.

Voraussetzung für einen zulässigen Drittstaatentransfer ist, dass für diesen an sich eine belastbare Rechtsgrundlage vorliegt und die gegebenenfalls notwendigen Formalien (etwa der Abschluss von Vereinbarungen zur Auftragsdatenverarbeitung) beachtet werden. Sind diese Voraussetzungen nicht erfüllt, ist die Datenübermittlung allein dadurch rechtswidrig. Diese Vorbedingungen werden im Fragebogen der Aufsichtsbehörden nur angedeutet.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Datenschutz im Hotel

Jedes Unternehmen ist dazu verpflichtet, verantwortungsbewusst mit den Daten von Kunden, Mitarbeitern und Geschäftspartnern umzugehen. An den Datenschutz im Hotel stellt der Gesetzgeber jedoch noch höhere Anforderungen, weil hier mit sensiblen Daten der Gäste umgegangen wird, die als besonders schützenswert gelten.

Sensible Daten im Hotelbetrieb

Erfolgreiche Hoteliers sind sich bewusst darüber, dass Diskretion eine unabdingbare Voraussetzung für Ihr Geschäft ist. Ein Gast gibt bei einem Hotelbesuch viel über sich preis. Entsprechend empfindlich fällt verständlicherweise die Reaktion aus, wenn mit diesen persönlichen Informationen nachlässig umgegangen wird. Für ein Hotel kann der unzureichende Schutz von personenbezogenen Daten eine existenzgefährdende Rufschädigung zur Folge haben.

Auch der Gesetzgeber betrachtet bestimmte Kategorien von personenbezogenen Daten als besonders schützenswert und stellt entsprechend höhere Anforderungen an deren Schutz. Bei einem Hotelaufenthalt gewinnt der Betreiber Einblick in viele und teils intime Lebensbereiche der Gäste. Informationen über die Gesundheit, das Sexualleben, die ethnische Zugehörigkeit oder auch politische, religiöse oder philosophische Überzeugungen zählt die Datenschutz-Grundverordnung (DSGVO) zu den besonderen personenbezogenen, sensiblen Daten.

Allgemeine Datenschutzpflichten des Hotelbetreibers

Für die Verarbeitung von personenbezogenen Daten gilt ein „Verbot mit Erlaubnisvorbehalt“. Das bedeutet, dass Informationen, die bestimmten Personen zuordenbar sind, grundsätzlich nicht erhoben, verarbeitet oder gespeichert werden dürfen, wenn nicht eine der im Gesetz vorgesehenen Ausnahmen vorliegt, die das erlaubt. Solche Ausnahmen sind teilweise im Gesetz selbst enthalten oder bestehen, wenn die betroffene Person ihre Einwilligung erteilt. Dabei ist zu beachten, dass gespeicherte Daten für keinen anderen Zweck verwendet werden dürfen, als den, der ihre Erhebung ursprünglich rechtfertigte.

Eine Einwilligung in die Nutzung von personenbezogenen Daten ist nur dann gültig, wenn die betroffene Person vollständig darüber aufgeklärt wurde, was mit ihren Daten geschehen soll, und die Einwilligung freiwillig erfolgte. Durch die DSGVO sind neben die Informationen, die zur Grundlage der Einwilligung gemacht werden, weitere Hinweispflichten getreten, die beachtet werden müssen.

Besondere Datenschutzanforderungen im Hotel

Meldedaten von Hotelgästen

Das Melderecht sieht vor, dass ein Hotelbetreiber die Meldedaten von Gästen bei deren Ankunft abfragt. Dabei sollen mithilfe eines Meldescheins Informationen über den Tag der Anreise sowie der voraussichtlichen Abreise, Vor- und Nachname, Geburtsdatum, Anschrift und Staatsangehörigkeit erhoben werden. Mitreisende Lebenspartner müssen keinen eigenen Meldeschein ausfüllen, sondern können im ersten Dokument mit vermerkt werden. Bei mitreisenden minderjährigen Kindern ist lediglich ihre Anzahl zu notieren. Gäste aus dem Ausland müssen sich mit einem Identitätsdokument ausweisen.

Die Meldescheine sind ein Jahr lang aufzubewahren. In dieser Zeit müssen sie vor einer Einsicht durch Unbefugte geschützt und nach dem Ablauf eines Jahres binnen drei Monaten vernichtet werden.

Der Hotelbetreiber ist verpflichtet, die genannten Informationen zu erheben – das Meldegesetz rechtfertigt aber nicht, dass mehr als die erforderlichen Daten abgefragt werden. Der Hotelier muss die Datenschutzrechte des Gastes beachten. Konkret bedeutet dies:

  • Das Grundprinzip der Datensparsamkeit ist einzuhalten.
  • Der Hotelbetreiber muss den Gast auf den Zweck und die Rechtsgrundlage der Datenerhebung hinweisen.
  • Eine Prüfpflicht besteht nur für die Daten von ausländischen Gästen. Wenn der Gast angibt, deutscher Staatsbürger zu sein, darf die Vorlage eines Ausweises nicht verlangt werden.
  • Das Kopieren von deutschen Personalausweisen ist nur in sehr engen Ausnahmen (§ 20 PAuswG)gestattet und kann schnell eine Ordnungswidrigkeit darstellen.

Datenerhebung für Werbezwecke

Will der Hotelbetreiber über die Meldeangaben hinaus weitere Daten – beispielsweise für Zwecke der Werbung und Kundenbindung – erheben, muss er dies deutlich kenntlich machen. Neben den gesetzlich erforderlichen Daten fragen Hotels gerne Informationen wie E-Mail-Adresse, Telefonnummer, Firmenzugehörigkeit, Ausweisnummer, Hobbies und weitere Reisepläne ab.

Dazu ist aber die ausdrückliche Einwilligung des Gastes erforderlich. Aus der Gestaltung der Einwilligung muss ersichtlich sein, dass dem Gast unmissverständlich bewusst ist, dass die Angabe dieser Informationen freiwillig erfolgt. Der Hotelbetreiber ist verpflichtet, dies deutlich zu kennzeichnen. Außerdem muss der Gast über die beabsichtigte Verarbeitung der Daten vollständig auch im Hinblick auf Art. 13 DSGVO informiert werden.

Werden die Meldeinformationen und die freiwilligen Zusatzangaben auf einem gemeinsamen Formular abgefragt, müssen die Bereiche drucktechnisch deutlich getrennt und voneinander unterscheidbar sein. Außerdem muss es möglich sein, der Meldebehörde bei Bedarf Einblick in die Meldedaten zu gewähren und gleichzeitig eine Einsicht in die freiwilligen Zusatzangaben zu verhindern. Dies kann beispielsweise durch die Einfügung einer Perforation erreicht werden.

Die nach dem Melderecht zu leistende Unterschrift des Gastes und die Unterschrift zur Einwilligung in die Nutzung der zusätzlichen Daten müssen in separaten Feldern erfolgen. Sonst ist nicht von einer freiwilligen Einwilligung auszugehen und die Erklärung ist somit ungültig.

Erhebung von Kreditkartendaten

In der Praxis werden die Kreditkartendaten von Hotelgästen häufig bereits bei der Ankunft erfasst. Dies kann dem Hotelbetreiber als Kaution dienen, sollten nach der Abreise des Gastes offene Forderungen bestehen. Teilweise wird die Kreditkarte auch für eine Bonitätsprüfung verwendet, um durch die Abbuchung eines symbolischen Betrags zu kontrollieren, ob der Gast Kredit genießt. Ein solches Vorgehen ist rechtmäßig, sofern die folgenden Bedingungen beachtet werden:

  • Der Hotelgast ist unbedingt darüber aufzuklären, zu welchem Zweck seine Kreditkartendaten erfasst werden. Dabei genügt es nicht, pauschale oder abstrakte Angaben zu machen. Nur wenn dem Hotelgast unmissverständlich klar ist, was mit seinen Daten geschieht, ist die Erfassung rechtmäßig. Die zu einem bestimmten Zweck erhoben Daten dürfen auch nicht für andere als die angegebenen Gründe verwendet werden.
  • Der Gast ist darüber zu informieren, dass die Erfassung seiner Kreditkartendaten freiwillig erfolgt.
  • Außerdem muss der Hotelbetreiber den Gast darüber aufklären, welches die Folgen einer Verweigerung der Datenerfassung sind, wie etwa die Erforderlichkeit einer Barkaution oder Vorauskasse.

Dieser aktualisierte Artikel wurde zuerst am 25. August 2014 veröffentlicht.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Datenschutz in der Apotheke

Völlig selbstverständlich werden beim Betrieb einer Apotheke personenbezogene Daten verarbeitet. Diesem Begriff unterfallen sämtliche Informationen, die im Zusammenhang mit einer konkreten Person stehen, wie beispielsweise Name, Telefonnummer oder auch ein Foto. Das Persönlichkeitsrecht beinhaltet, dass es jedem Menschen im Grunde zusteht, selbst zu bestimmen, ob und wie seine Daten durch Dritte verwendet werden. Dies will der Gesetzgeber durch die Regelungen zum Datenschutz sicherstellen. Dabei ist es unerheblich, in welchem Verhältnis man zur betroffenen Person steht: Grundsätzlich sind etwa die Daten von Mitarbeitern ebenso zu schützen, wie die von Kunden.

Gesetzliche Vorschriften zum Datenschutz in Apotheken

Die meisten Regelungen zum Datenschutz finden sich in der EU-Datenschutz-Grundverordnung (DSGVO) und ergänzend im Bundesdatenschutzgesetz (BDSG). Aber auch andere Vorschriften sind im Zusammenhang mit der Nutzung von personenbezogenen Daten relevant. Dazu zählen beispielsweise das Sozialgesetzbuch (SGB), das Telemediengesetz (TMG) oder das Strafgesetzbuch (StGB). Apotheken sind darüber hinaus an die Vorschriften der Apothekenbetriebsordnung (ApBetrO) gebunden.

Datenschutzrechtliche Aspekte für Apotheker sind z. B.:

„Der Apotheker ist zur Verschwiegenheit über alle Vorkommnisse verpflichtet, die ihm in Ausübung seines Berufes bekannt werden. Der Apotheker hat […] sicherzustellen, dass alle unter seiner Leitung tätigen Personen […] über die gesetzliche Pflicht zur Verschwiegenheit belehrt werden […]“

(§ 14 Berufsordnung für Apothekerinnen und Apotheker, abgeleitet aus Heilberufe-Kammergesetz)

„Wer unbefugt ein fremdes Geheimnis […] offenbart, das ihm als […] Apotheker […] anvertraut worden oder sonst bekanntgeworden ist, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft“.

(§ 203 Abs. 1 StGB)

Auch die Art der personenbezogenen Daten, die eine Apotheke verarbeitet, ist relevant für die Einschätzung bezüglich des Datenschutzes. Einige Datenkategorien sind dem Datenschutzrecht zufolge besonders schützenswert: So gelten etwa Informationen zur Gesundheit oder zum Sexualleben als besonders sensibel. Im Umgang mit solchen Daten gelten daher strengere Vorschriften als sonst.

Rechtsgrundlagen für die Nutzung personenbezogener Daten in Apotheken

Das Gesetz verbietet es grundsätzlich, personenbezogene Daten überhaupt zu verarbeiten und nennt gleichzeitig Bedingungen, unter denen die Nutzung solcher Daten dennoch rechtmäßig ist. Art. 6 und 9 der DSGVO enthalten etwa solche Ausnahmen vom grundsätzlichen Verbot. Lässt sich keine gesetzliche Erlaubnis finden, dürfen Daten einer Person nur dann verarbeitet werden, wenn diese Person ausdrücklich dazu eingewilligt hat.

Mögliche Rechtsgrundlagen für die Verarbeitung personenbezogener Daten in Apotheken sind:

  • Erforderlichkeit für die Durchführung eines Vertrages, Art. 6 Abs. 1 b) DSGVO bzw. Art. 9 Abs. 2 h) DSGVO
  • Übermittlung von Abrechnungsdaten an Krankenkassen, § 300 I Nr.2 SGB V,
  • Einwilligung des Kunden

Eine solche Einverständniserklärung muss freiwillig erfolgen und konkret formuliert sein. Es muss also ersichtlich sein, dass dem Betroffenen bewusst ist, welche konkreten Daten von welcher verantwortlichen Stelle zu welchem Zweck verwendet werden. Außerdem muss die Einwilligung auf eine Art und Weise erfolgen, dass man davon ausgehen kann, dass dem Betroffenen tatsächlich bewusst gewesen sein muss, wozu er sein Einverständnis erteilt (siehe unser Ratgeber zur rechtskonformen Einwilligung).

Soll sich die Erklärung auf besondere personenbezogene Daten erstrecken (wie dies in Apotheken oft der Fall ist), muss die Einwilligung ausdrücklich erfolgen und ist zudem aktiv zu erteilen. Opt-out-Verfahren, bei denen der Betroffene etwas streichen oder in einem Onlineformular ein bereits gesetztes Häkchen deaktivieren müsste, sind unzulässig.

Weitere Vorgaben zum Datenschutz in der Apotheke

Die Verarbeitung von personenbezogenen Daten innerhalb einer Apotheke muss so organisiert sein, dass sie den Anforderungen des Datenschutzrechts entspricht. Seit Wirksamkeit der DSGVO gilt als zusätzliche Anforderung die „Rechenschaftspflicht“. Es genügt seither nicht mehr, den Datenschutz so zu betreiben, dass keine Verstöße erfolgen. Stattdessen muss jetzt nachweisbar sein, dass ein geregelter und erfolgreicher Datenschutzprozess betrieben wird. Im Ergebnis kommen damit Unternehmen, unabhängig ihrer Branche und Größe nicht mehr umhin, ein sogenanntes Datenschutzmanagementsystem aufzubauen und zu betreiben. Dies gilt ungeachtet etwaigen Standesrechts und damit auch für Apotheker.

Zur Umsetzung der Anforderungen müssen sowohl organisatorische als auch technische Maßnahmen ergriffen werden.

Zu den technischen Maßnahmen gehören beispielsweise Vorkehrungen, die verhindern, dass Unbefugte Einsicht in die Daten erlangen. Dies beinhaltet unter anderem, dass die Räume, in denen die Daten verarbeitet werden, abgesichert sind und dass die Nutzer der Datenverarbeitungssysteme ausschließlich auf die Daten zugreifen können, für die sie berechtigt sind. Die Daten müssen auch gegen Manipulation und Verlust geschützt werden.

Organisatorische Maßnahmen beziehen sich auf Regelungen innerhalb der Apotheke, die auf den Schutz der verarbeiteten Daten abzielen. Dazu zählen beispielsweise Verfahrensanweisungen zur Datenlöschung, festgelegte Intervalle für Datenschutzschulungen oder Regelungen für die Rechtevergabe.

Jede Apotheke, die personenbezogene Daten verarbeitet, muss in einem sogenannten Verzeichnis der Verarbeitungstätigkeiten, dokumentieren, wie sie mit diesen Daten umgeht. Selbständig daneben bestehen umfangreiche Informationspflichten, die Betroffenen gegenüber unaufgefordert zu erfüllen sind.

Muss eine Apotheke einen Datenschutzbeauftragten bestellen?

Sind in einer Apotheke mehr als neun Personen mit der Verarbeitung von personenbezogenen Daten beschäftigt, muss ein Datenschutzbeauftragter bestellt werden. Für die Funktion des Datenschutzbeauftragten kann entweder ein interner Mitarbeiter ausgewählt oder ein externer Datenschutzbeauftragter bestimmt werden.

Dieser aktualisierte Artikel wurde zuerst am 13. März 2013 veröffentlicht.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.