Datenschutz beim Einsatz von RFID-Chips

Unternehmen und Behörden dürfen RFID-Chips nur nach einer Datenschutz-Folgenabschätzung (DSFA) einsetzen. Bereits seit 2011 gilt eine Selbstverpflichtung, wodurch für Unternehmen Rechtssicherheit bei Investitionen in die RFID-Technik geschaffen wurde. Seit 2018 ist die Pflicht zur Datenschutz-Folgenabschätzung sogar gesetzlich in der Datenschutz-Grundverordnung (DSGVO) verankert.

Datenschutzbedenken bei der RFID-Technik

RFID-Chips sind vor allem aus der modernen Logistik nicht mehr wegzudenken. Aber sie werden nicht nur beim Warentransport eingesetzt, sondern auch in Ausweisdokumenten, bei elektronischen Bezahlverfahren sowie zur Kennzeichnung von Fahrzeugen oder Nutztieren. Weil mit der RFID-Technik Daten berührungslos, unauffällig und zuverlässig übertragen werden können, wachsen die Anwendungsgebiete beständig.

Es verwundert allerdings nicht, dass die RFID-Technik nicht nur Begeisterung hervorruft, sondern auch Besorgnis erregt. Wer die Vorteile der kleinen Chips nutzen möchte, kann nicht darauf verzichten, die Datenschutzbedenken von Kunden, Mitarbeitern und Behörden zu berücksichtigen.

Um für Rechtssicherheit zu sorgen, hat sich die Wirtschaft daher bereits 2011 gegenüber der EU-Kommission dazu verpflichtet, für jede RFID-Anwendung vor deren Inbetriebnahme eine so genannte Datenschutz-Folgenabschätzung durchzuführen. Dabei werden mögliche Datenschutz-Risiken in Zusammenhang mit dem RFID-Projekt sowie die jeweilige Eintrittswahrscheinlichkeit für die Risiken ermittelt. Erst wenn geeignete Vorkehrungen zur Abwendung aller bestehenden Risiken definiert und eingeleitet worden sind, darf die Anwendung in Betrieb genommen werden.

Die Vorgehensweise für die Folgenabschätzung ist im „Privacy Impact Assessment Framework“ (PIA) festgeschrieben.

Beim Einsatz von RFID folgt die Pflicht zur DSFA schnell aus der DSGVO

Seit Anwendbarkeit der DSGVO regelt Art. 35 DSGVO regelt die Datenschutz-Folgenabschätzung. Er sieht eine DSFA in den Fällen vor, in denen eine Verarbeitung ein hohes Risiko für Betroffene darstellen kann. Zur konkreten Anwendung dieser offen formulierten Pflicht sind die Aufsichtsbehörden gehalten, Listen mit Verfahren herauszugeben, die zwingend der DSFA unterliegen (siehe die Blacklist der DSK für DSFA).

Sieht man sich diese Liste an, landet man beim Einsatz von RFID je nach Einsatzszenario schnell Treffer:

  • Umfangreiche Verarbeitung von personenbezogenen Daten über den Aufenthalt von Menschen
  • Zusammenführung von personenbezogenen Daten aus verschiedenen Quellen und Weiterverarbeitung der Daten zu bestimmten Zwecken
  • Erfassung personenbezogener Daten in öffentlichen Bereichen durch mehrere Erfassungssysteme, die zentral zusammengeführt werden
  • Umfangreiche Erhebung, Veröffentlichung oder Übermittlung von personenbezogenen Daten zur Bewertung von Verhalten oder anderer persönlicher Aspekte von Menschen
  • Verarbeitung von personenbezogenen Daten über das Verhalten von Beschäftigten
  • Erstellung von Profilen über Interessen und persönliche Beziehungen sowie Persönlichkeit von Menschen
  • Erhebung personenbezogener Daten über Schnittstellen elektronischer Geräte ohne Kenntnis des Betroffenen
  • Erstellung umfassender Profile über Bewegung und Kaufverhalten von Personen

Die DSGVO erzeugt damit im Zweifel ohnehin die Pflicht, eine DSFA vor dem Einsatz von RFID-Chips durchzuführen. Die Selbstverpflichtung war vorausschauend, ist nun aber gar nicht mehr notwendig, da die Pflicht nun direkt aus dem Datenschutzrecht folgt.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Geschrieben am:

5 Thesen zu Bußgeldern unter der DSGVO

Dass in der EU-Datenschutz-Grundverordnung (DSGVO) drastisch höhere Bußgelder vorgesehen sind, als im bisherigen Datenschutzrecht, hat mittlerweile wohl jedes Unternehmen gehört. Was aber bedeuten die neuen Bußgeldvorschriften in der DSGVO für die Praxis? Worauf müssen sich Unternehmen konkret einstellen? Während vieles davon abhängt, wie die Datenschutz-Aufsichtsbehörden tatsächlich sanktionieren, können wir einige gut begründete Thesen bereits jetzt aufstellen.

1. Bußgelder werden Pflicht

Datenschutzverstöße müssen künftig geahndet werden (Art. 83 DSGVO). Es steht also nicht mehr im Ermessen der Aufsichtsbehörden, ob ein Verstoß „bestraft“ wird; lediglich über die Höhe des zu verhängenden Bußgeldes ist noch eine Entscheidung möglich. Die DSGVO schreibt den Aufsichtsbehörden eindeutig vor, dass Geldbußen in jedem Einzelfall wirksam, abschreckend und verhältnismäßig sein müssen.

2. Bußgelder werden höher

Das „durchschnittlich“ verhängte Bußgeld wird deutlich steigen. Bisher endete der Regelrahmen für Bußgelder bei 50.000 Euro, in Ausnahmefällen bei 300.000 Euro. In der DSGVO ist das Regelbußgeld nach oben auf 20 Mio. Euro bzw. 4 % des letztjährigen globalen Umsatzes begrenzt. Dabei gilt der kleinere Rahmen von bis zu 10 Mio. Euro bzw. 2 % als Ausnahme für einige konkret bestimmte Fälle (vgl. Art. 83 Abs. 4 DSGVO).

Mit welchen Strafen müssen Unternehmen demnach künftig rechnen? Aktuell liegen durchschnittliche Bußgelder in Deutschland bei 10.000 bis 15.000 Euro, wie die Aufsichtsbehörden selbst mitteilen. Die Aufsichtsbehörden verlangen also etwa 20 bis 25 % der möglichen Maximalstrafe. Bei gleicher Praxis müssten durchschnittliche Bußgelder unter der DSGVO bei 4 bis 5 Mio. Euro liegen.

Zu solch drastischen Strafgeldern wird es vermutlich nicht kommen. Aber es ist klar, dass die Bußen steigen – und so ist es vom Gesetzgeber auch eindeutig beabsichtigt. Wie die Aufsichtsbehörden künftig ahnden, wird man abwarten müssen. Auf einer aktuellen Veranstaltung äußerte sich jedoch ein Landesbeauftragter für Datenschutz beispielhaft zu Fehlern bei der Bestellung des betrieblichen Datenschutzbeauftragten: Bei nicht korrekter Bestellung ist offenbar künftig mit 300.000 Euro Bußgeld zu rechnen!

Interessant bzw. schmerzhaft dürften auch die Regressansprüche gegen Datenschutzbeauftragte werden, wenn diese nicht die persönlichen und fachlichen Voraussetzungen mitbringen – und dies hätten erkennen können. Die Bußgelder erreichen zukünftig Höhen, die Unternehmen nicht mehr einfach „schlucken“.

3. Bußgelder werden häufiger verhängt

Die Aufsichtsbehörden werden künftig häufiger von Datenschutzverletzungen erfahren, denn diese sind unter der DSGVO grundsätzlich innerhalb von 72 Stunden meldepflichtig! Da die Aufsichtsbehörden ahnden müssen (siehe oben), werden sie häufiger Bußgelder verhängen.

Hinzukommt, dass das öffentliche Bewusstsein, ein Recht auf Datenschutz zu haben, deutlich gestiegen ist. Beschwerden bei den Aufsichtsbehörden nehmen bereits seit einiger Zeit zu. Eine solche Beschwerde bei einer Behörde – die jedem möglich ist – ist zudem ein einfaches und unter Umständen sehr taugliches Mittel, um ein Unternehmen, über das man sich geärgert hat, „zurück zu ärgern“.

4. Gerichtsverfahren zu Bußen werden zunehmen

Aktuell zahlen viele Unternehmen ein Bußgeld lieber, als den unangenehmen Datenschutz-Vorfall an die große Glocke zu hängen. Diese Entscheidung ist bei „nur“ 15.000 Euro Bußgeld durchaus nachvollziehbar. Bei sechs- oder siebenstelligen Summen sieht das schon anders aus. Widersprüche, Prozesse und öffentliche Gerichtsverhandlungen sowie veröffentlichte Urteile dürften mit einer gewissen Verzögerung die Regel werden.

Dass Unternehmen im Falle eines Falles auch versuchen werden, sich vom eigentlichen Verursacher wenigstens einen Teil des Bußgeldes zurückzuholen, ist ebenfalls vorhersehbar. Klagen gegen Geschäftsführer, verantwortliche Sachbearbeiter, eingesetzte Dienstleister (Auftragsverarbeiter) oder aber eben auch gegen Datenschutzbeauftragte werden sicher häufiger.

5. Bußgelder werden sich EU-weit angleichen

Zu guter Letzt ist davon auszugehen, dass ein europäischer Angleichungsprozess entsteht. Es kann schließlich nicht weiterhin sein, dass in einigen EU-Mitgliedsländern der Datenschutz eher streng durchgesetzt wird und in anderen kaum. Ebenso wenig sollten in einem Land heftige Bußgelder verhängt werden und in anderen eher milde Strafen. Das würde die Rahmenbedingungen und letztlich den Wettbewerb verzerren.

Spätestens auf Ebene der EU dürfte daher eine aufmerksame Kontrolle und Korrektur stattfinden, wenn es in Einzelstaaten nicht so läuft, wie mit der DSGVO geplant. Einige Länder und die dortigen Unternehmen dürften sich also bald umgewöhnen müssen, was den Verfolgungsdruck angeht.

Aufgrund dieser rechtlichen Harmonisierungsbestrebungen der EU wird es also (zumindest mittelfristig) kaum einen Unterschied machen, ob eine italienische, estnische oder deutsche Aufsichtsbehörde Datenschutz-Verstöße ahndet.

Fazit: Vorsorge ist viel, viel besser, als das Nachsehen zu haben

Zusammengefasst werden Bußgelder unter der Datenschutz-Grundverordnung überall höher und häufiger verhängt werden. Die umtriebigen Vorbereitungen und Umfragen der Aufsichtsbehörden deuten darauf hin, dass mit Anwendbarkeit der DSGVO am 25. Mai 2018 schnell, koordiniert und konsequent gehandelt wird.

Unternehmen ist deshalb nur zu raten, durch entsprechend gute Vorbereitung erst gar nicht in die Verlegenheit zu kommen, sich mit Bußgeldern auseinandersetzen zu müssen. Ein proaktiver Kontakt mit der zuständigen Datenschutzbehörde kann dabei sehr hilfreich sein. Insbesondere die bereits sehr erfahrenen und breit aufgestellten deutschen Aufsichtsbehörden gelten als kooperativ und unterstützen gerne.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Geschrieben am:

Technische und organisatorische Maßnahmen nach DSGVO

Wer personenbezogene Daten verarbeitet, muss diese mittels technischer und organisatorischer Maßnahmen schützen. Die EU-Datenschutz-Grundverordnung (DSGVO) ersetzt hierbei die vom alten Bundesdatenschutzgesetz (BDSG) gewohnten Datenschutzkontrollen sowie die Acht Gebote des Datenschutzes nach Anlage zu § 9 BDSG. Eine Konkretisierung bleibt in der DSGVO jedoch aus. Deshalb empfiehlt es sich, auf einen anderen Standard zurückzugreifen, um die Datenschutz– und Datensicherheits-Maßnahmen zu implementieren bzw. bei Dienstleistern zu überprüfen.

Was schreibt die DSGVO für Maßnahmen vor?

Die DSGVO verpflichtet Verarbeiter von personenbezogenen Daten in Art. 32 dazu, „geeignete technische und organisatorische Maßnahmen [zu treffen], um ein dem Risiko angemessenes Schutzniveau zu gewährleisten“. Eine weitere Konkretisierung erfolgt nicht, die DSGVO führt stattdessen einige Schutzziele auf:

  • die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
  • die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;
  • die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;
  • ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

Was schreiben deutsche Aufsichtsbehörden für Maßnahmen vor?

Auch im neuen Bundesdatenschutzgesetz (BDSG-neu) finden sich für die Privatwirtschaft keine genaueren Definitionen zu den technischen und organisatorischen Maßnahmen. Die deutschen Aufsichtsbehörden haben sich jedoch die in der DSGVO genannten Begriffe – die alle als Ziele aus dem Bereich der Informationssicherheit bekannt sind – nun zu eigen gemacht. Im Rahmen einer Arbeitsgruppe zu Verzeichnissen für Verarbeitungstätigkeiten nach Art. 30 DSGVO wurde eine Mustervorlage zur Beschreibung der „technischen und organisatorischen Maßnahmen“ herausgegeben. Darin werden aufgeführt:

  1. Pseudonymisierung;
  2. Verschlüsselung;
  3. Gewährleistung der Vertraulichkeit;
  4. Gewährleistung der Integrität;
  5. Gewährleistung der Verfügbarkeit;
  6. Gewährleistung der Belastbarkeit der Systeme;
  7. Verfahren zur Wiederherstellung der Verfügbarkeit personenbezogener Daten nach einem physischen oder technischen Zwischenfall;
  8. Verfahren regelmäßiger Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen.

Das alte und neue Definitionsproblem der Maßnahmen

Schon im alten BDSG verwendeten die Acht Gebote des Datenschutzes aus Sicht des Datenschutz-Praktikers wenig aussagekräftige und schlecht voneinander abzugrenzende Begriffe. So unterstützen „verschlossene Türen“ sowohl Vertraulichkeit und Integrität als auch Verfügbarkeit. Sie müssten aber bei Anwendung der Systematik oder Gliederung des neuen Musterdokuments auch an allen drei Stellen genannt werden.

Leider hat auch der EU-Gesetzgeber die Chance nicht genutzt, klarzustellen, dass es sich bei den in der DSGVO genannten Maßnahmen in Wahrheit um Ziele handelt, die es mit entsprechenden Maßnahmen erst zu erreichen gilt.

Es wäre sehr zu begrüßen gewesen, statt einer nicht sonderlich brauchbaren Gliederung mehr konkrete Tätigkeiten oder Handlungsvorschläge zu liefern, die zur Erreichung der Sicherheitsziele geeignet sind. So steht die Praxis nun weiterhin vor dem Problem, selbst eine Lösung zu finden.

Die ISO 27002 als Hilfestellung

Wenn Sie in Ihrem Unternehmen geeignete technische und organisatorische Maßnahmen entwickeln und implementieren oder diese bei einem Auftragsverarbeiter überprüfen wollen, empfiehlt es sich deshalb, auf einen anderen Standard zurückzugreifen: Eine gute Hilfestellung bietet die ISO 27002, ein international anerkannter Leitfaden für Informationssicherheits-Maßnahmen.

Die Norm beschreibt ab Kapitel 5 detailliert und ganz konkret „gemeinhin akzeptierte Maßnahmen für die Informationssicherheit“. Ein an dieser Norm orientiertes Vorgehen stellt also sicher, keine wesentlichen Bereiche zu übersehen. Die Gliederung der ISO 27002 vermeidet außerdem Überschneidungen:

Hinweis: Die folgende Darstellung zur ISOI 27002 bezieht sich auf die (inzwischen veraltete) Version EN ISO/IEC 27002:2017.

5 Informationssicherheitsrichtlinien

Hier wird beschrieben, welche Vorgaben und welche Unterstützung seitens der Unternehmens- oder Behördenleitung notwendig sind.

6 Organisation der Informationssicherheit

Dieses Kapitel enthält Hinweise, wie die Umsetzung der Informationssicherheit in einer Organisation eingeleitet und gesteuert werden kann. Die Informationssicherheit bei Telearbeit und der Nutzung von Mobilgeräten ist ebenfalls Thema.

7 Personalsicherheit

Inhalt dieses Kapitels ist die Sicherstellung, dass Beschäftigte und Auftragnehmer für ihre Aufgaben geeignet sind und dass sie ihre Verantwortlichkeiten kennen und erfüllen.

8 Verwaltung der Werte

Hier wird beschrieben, wie Werte der Organisation identifiziert und Verantwortlichkeiten festgelegt werden können, um ein angemessenes Schutzniveau zu erreichen. Ebenfalls wird eingegangen auf Maßnahmen gegen die unerlaubte Offenlegung, Veränderung, Entfernung oder Zerstörung von Informationen, die auf Datenträgern gespeichert sind.

9 Zugangssteuerung

Thema ist die Beschränkung des Zugangs zu Informationen und informationsverarbeitenden Einrichtungen und die Sicherstellung, dass nur befugte Benutzer Zugang zu Systemen und Diensten haben.

10 Kryptographie

Dieses Kapitel behandelt alles, was mit dem wirksamen Gebrauch von Kryptographie in Verbindung steht.

11 Physische und umgebungsbezogene Sicherheit

Enthalten sind Maßnahmen, um unbefugten Zutritt, Beschädigungen oder andere Beeinträchtigungen von Informationen und informationsverarbeitenden Einrichtungen zu verhindern. Ebenfalls wird der Schutz vor Verlust, Beschädigung, Diebstahl oder Gefährdung von Werten und die Unterbrechung von Organisationstätigkeiten behandelt.

12 Betriebssicherheit

Kapitel 12 beschreibt den ordnungsgemäßen und sicheren laufenden Betrieb von informationsverarbeitenden Einrichtungen: etwa den Schutz vor Schadsoftware, den Schutz vor Datenverlust, die Sicherstellung der Integrität von Systemen im Betrieb.

13 Kommunikationssicherheit

Hier ist der Schutz von Informationen in Netzwerken und den unterstützenden informationsverarbeitenden Einrichtungen thematisiert. Auch die Sicherheit von übertragener Information, sowohl innerhalb einer Organisation als auch mit jeglicher externen Stelle, wird behandelt.

14 Anschaffung, Entwicklung und Instandhaltung von Systemen

Dieses Kapitel soll sicherstellen, dass Informationssicherheit ein fester Bestandteil über den gesamten Lebenszyklus von Informationssystemen ist. Entwicklung und Testphasen sind einbezogen.

15 Lieferantenbeziehungen

Hier wird der extrem wichtige Bereich „Dienstleister“ behandelt. Wie werden die für Lieferanten zugänglichen Werte des Unternehmens geschützt? Wie lässt sich ein vereinbartes Niveau der Informationssicherheit und der Dienstleistungserbringung bei Lieferantenverträgen aufrechterhalten?

16 Handhabung von Informationssicherheitsvorfällen

Kapitel 16 beschreibt das Event- und Störungsmanagement. Wie sieht eine konsistente und wirksame Herangehensweise für die Handhabung von Informationssicherheitsvorfällen einschließlich der Benachrichtigung über Sicherheitsereignisse und Schwächen aus?

17 Informationssicherheitsaspekte beim Business-Continuity-Management

Welche Anforderungen bestehen an die eigene Betriebsbereitschaft und wie lässt sich diese aufrechterhalten? Wir wird die Verfügbarkeit von informationsverarbeitenden Einrichtungen sichergestellt?

18 Compliance

Zuletzt wird das geeignete Vorgehen beschrieben, allgemein Verstöße gegen gesetzliche, regulatorische, selbstauferlegte oder vertragliche Verpflichtungen zu vermeiden.

Fazit: Anpassung auf Einzelfall bleibt notwendig

Mit der ISO 27002 liegt ein geeigneter Kriterienkatalog für die konkrete Umsetzung technischer und organisatorischer Maßnahmen (sogenannte „Controls“) vor, um die in der DSGVO genannten Schutzziele zu erreichen.

Je nach Szenario der Datenverarbeitung im Unternehmen können aber auch andere Bewertungen erfolgen. Die Maßnahmen der ISO 27002 müssen deshalb stets auf den Einzelfall angepasst angewandt werden.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Geschrieben am:

Anforderungen an die IT-Sicherheit für Websitebetreiber

Bereits im Juli 2015 wurden Betreiber von Websites durch das IT-Sicherheitsgesetz verpflichtet, ihre technische Umgebung ausreichend zu schützen. Auch die EU-Datenschutz-Grundverordnung (DSGVO) fordert allgemein, dem Stand der Technik entsprechende Sicherheitsmaßnahmen. Die Anforderungen sind jedoch sehr offen formuliert. Dieser Beitrag erklärt, welche IT-Sicherheitsmaßnahmen Websitebetreiber zu treffen haben.

Welche IT-Sicherheitsmaßnahmen sind erforderlich?

Der unbefugte Zugriff auf die Einrichtungen, mittels derer die Website betrieben wird, ist zu verhindern. Dritten darf es nicht möglich sein, den Server bzw. die IT-Systeme, auf denen die Website gehostet oder mittels derer sie administriert wird, auszulesen oder gar zu kompromittieren. Primär soll das dazu dienen, die immer stärker verbreiteten sogenannten „Drive-by-downloads“ zu verhindern, also solche Schadsoftware, die sich unbemerkt auf fremden Websites einnistet und die Rechner von Websitebesuchern infiziert.

Verhindert werden kann der unbefugte Zugriff Dritter auf Server und IT-Systeme unter anderem durch die sichere Konfiguration der eingesetzten Betriebssysteme, die Etablierung eines geeigneten Patch-Managements und den Einsatz einer Firewall, eines Virenscanners sowie von Intrusion-Detection-/Prevention-Systemen. Auch die Auswertung von Protokollen kann hilfreich sein.

Zudem verlangt das Gesetz auch den Schutz personenbezogener Daten, was durch den Einsatz von sicheren Verschlüsselungstechnologien geschehen kann. Dies umfasst neben einer verschlüsselten Datenhaltung auch den Einsatz von Transportverschlüsselungen, so dass der Weg der Daten zwischen Website und Browser des Besuchers ausreichend gesichert ist. Für Websites bedeutet dies insbesondere den Einsatz einer SSL- oder TLS-Verschlüsselung.

Ebenfalls betroffen sind aber auch entsprechende Analysetools für Websites, wie beispielsweise Google-Analytics, Piwik oder auch Wiredminds, da auch hier bis zur Anonymisierung der IP-Adressen eine Rückverfolgbarkeit einzelner Personen möglich ist. Beim Einsatz sind also ausreichend sichere Zugangspasswörter zu wählen, welche innerhalb eines angemessenen Zyklus gewechselt werden sollten.

Schließlich wird vom Gesetzgeber erwartet, dass Websitebetreiber ausreichende Sicherungen gegen Störungen durch äußere Angriffe, insbesondere DoS- oder DDoS- Attacken ergreifen. Solche Angriffe zielen darauf ab, dass die Website durch eine gezielt hervorgerufene Überlastung zusammenbricht und folglich nicht mehr erreichbar ist. Diese – zugegebenermaßen recht schwierige – Aufgabe wird die Praxis vor große Hürden stellen, da dauerhaft effektive Gegenmaßnahmen schwer zu finden sind.

Müssen alle Websitebetreiber die gleichen Sicherheitsmaßnahmen leisten?

Der Tatsache geschuldet, dass nicht alle Websitebetreiber das gleiche Maß an Sicherheit leisten können und müssen, hat der Gesetzgeber das Korrektiv der technischen Möglichkeit und wirtschaftlichen Zumutbarkeit von Sicherungsmaßnahmen geschaffen. Es ist also für jede Website individuell zu beurteilen, wie hoch die zu treffenden Sicherheitsmaßnahmen sein müssen.

Leider gibt der Gesetzgeber den Betreibern jedoch keine Kategorien an die Hand, die zu einer solchen Beurteilung herangezogen werden können. Deshalb wird man sich im Zweifel selbst helfen müssen und Kriterien wie die Reichweite des Angebots, die Menge und Kritikalität der Daten oder auch die regelmäßige Besucherzahl bemühen müssen. Dies schafft für die Betreiber von Websites auf der einen Seite natürlich Spielräume hinsichtlich der Umsetzung, auf der anderen Seite ist damit aber stets eine gewisse Unklarheit verbunden, ob das gesetzlich zu erfüllende Maß tatsächlich eingehalten wurde.

Hinweis: Die Positionsbestimmung der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder – Düsseldorf, 26. April 2018 zur Anwendbarkeit des TMG für nicht-öffentliche Stellen ab dem 25. Mai 2018 dürfte auf die folgenden Aussagen keinen Einfluss haben. Das Papier behandelt die Frage der anwendbaren Rechtsgrundlagen und geht auf Folgepflichten nicht ein. Da im Ergebnis DSGVO und IT-Sicherheitsgesetz gleichförmige Pflichten aussprechen, hätte auch ein „Totalentfall“ des 4. Abschnitts des TMG keine wesentliche Auswirkung.

Dieser aktualisierte Artikel wurde zuerst am 9. Juni 2016 veröffentlicht.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Geschrieben am:

Mehr Datenschutz durch neues Melderecht

Seit November 2015 gilt in Deutschland ein neues Melderecht. Neben einer bundesweiten Vereinheitlichung des Meldewesens bringt das neue Meldegesetz vor allem auch eine längst überfällige Stärkung des Datenschutzes mit sich. Die bisherige Praxis bei der Auskunftserteilung durch die Meldebehörden wurde abgeschafft. Künftig sind die Hürden für Auskünfte seitens der Meldeämter deutlich höher. In diesem Artikel stellen wir Ihnen die datenschutzrelevanten Änderungen beim Melderecht vor.

Adressweitergabe: Einwilligung statt Widerspruch

In der ehemaligen Ausformung des Meldegesetzes gestattete die Rechtslage den Meldebehörden die Erteilung von Auskünften zum Zwecke der Werbung und des Adresshandels dem Grunde nach immer, außer es wurde seitens des Bürgers ein Widerspruch gegen die Auskunftserteilung erhoben. Für den Bürger bedeutete dies, dass er stets aktiv tätig werden musste, um eine Weitergabe der eigenen Daten zu verhindern. Bedenkt man dabei, über welche Arten von Daten die Meldeämter verfügen, war diese Widerspruchslösung eher ungeeignet, um einen angemessen Schutz der Bürgerdaten zu gewährleisten.

Dieses Modell wurde nun umgekehrt, eine Weitergabe der Daten zum Zweck der Werbung und des Adresshandels ist nur noch dann zulässig, wenn der Betroffene aktiv seine Einwilligung erklärt hat. Bleibt man also untätig bzw. gibt man keine Erklärung zum Thema Datenweitergabe ab, so darf eine solche also künftig nicht mehr stattfinden. Diese Variante dürfte dem Rechtsempfinden der Bürger zum Datenschutz im Ergebnis wohl wesentlich gerechter werden.

Datennutzung: Beschränkung durch Zweckbindung

Ebenfalls haben sich die Voraussetzungen für Auskünfte zur gewerblichen Nutzung geändert. So müssen künftig solche Auskunftsanfragen stets den Zweck der Anfrage angeben. Die weitere Nutzung der Daten darf sodann ausschließlich zu dem in der Anfrage angegebenen Zweck erfolgen. Diese Neuregelung ermöglicht künftig eine effektivere Kontrolle der Einhaltung des bereits bestehenden datenschutzrechtlichen Zweckbindungsgrundsatzes.

Zugriffserleichterung für Sicherheitsbehörden

Daneben bringt das neue Meldegesetz auch im Bereich des staatlichen Zugriffs eine Änderung mit sich. Denn Sicherheitsbehörden und andere, noch zu bestimmende, amtliche Stellen haben künftig durch die Einrichtung eines Online-Zugangs rund um die Uhr die Möglichkeit, auf die Meldedaten zuzugreifen. Dies soll insbesondere die Strafverfolgung erleichtern und effizienter gestalten.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Geschrieben am: