Bring Your Own Device: So begegnen Sie den Herausforderungen

Die Qualitätsansprüche von Endnutzern an mobile IT-Geräte wachsen – damit auch der Unwille, sich am Arbeitsplatz mit weniger leistungsfähigem Equipment zufrieden zu geben. Immer mehr Arbeitnehmer bringen daher ihre eigenen Geräte mit ins Unternehmen. Da sich die Arbeitgeber dadurch ebenfalls Vorteile erhoffen, hält das Phänomen “Bring Your Own Device” (BYOD) auf breiter Fläche Einzug in deutsche Unternehmen. Damit dabei mehr Nutzen als Schaden entsteht, sind einige technische und organisatorische Vorkehrungen jedoch unerlässlich.

Die meisten Unternehmen erkennen darin einen Mehrwert für sich, wenn ihre Mitarbeiter private Endgeräte für die Arbeit nutzen. Neben Kostenvorteilen ist auch die dadurch gesteigerte Flexibilität der Beschäftigten ein Plus für das Unternehmen: Der Übergang zwischen Arbeits- und Freizeit wird durchlässiger, die Mitarbeiter arbeiten oft effektiv länger, weil sie mit den privaten Geräten auch die Arbeit aus dem Büro mitnehmen. Außerdem wollen Firmen insbesondere für hart umworbenes, qualifiziertes Fachpersonal attraktiv bleiben, das eine Einschränkung der erlaubten Arbeitsmittel schon jetzt weitgehend nicht mehr für akzeptabel hält.

Wie jede Neuerung bringt BYOD auch Herausforderungen mit sich, denen auf Unternehmensebene sinnvoll zu begegnen ist. Vor allem werden über Jahre mühevoll entwickelte und oft auch teure Datenschutz- und Datensicherheits-Mechanismen bedeutungslos, wenn vertrauliche Daten über private Geräte verarbeitet werden, auf denen die unternehmensinternen Schutzmechanismen schlicht nicht greifen.

Die meisten Unternehmen sind sich bewusst, dass eine Verletzung der Datensicherheit teuer bis existenzgefährdend für sie sein kann. Deshalb wird auch unabhängig von Compliance-Anforderungen viel Energie in den Schutz von Daten investiert. Daher ist es erstaunlich, dass sich viele Verantwortliche in Organisationen, in denen BYOD längst gelebte Praxis ist, bisher kaum Gedanken über die Absicherung in diesem Bereich gemacht haben.

Einer Studie von Dimensional Research zufolge betrachten 72 % der Befragten unvorsichtige Beschäftigte als eine größere Gefahr für die Datensicherheit als Hacker-Angriffe. Dennoch ist ein grundsätzliches Verbot, private Geräte zu nutzen, nicht notwendig – zumal häufig gegen ein solches Verbot verstoßen wird. Sinnvoller ist eine praktikable BYOD-Policy. Dabei muss ein Unternehmen nicht nur eine Richtlinie formulieren und kommunizieren, sondern auch Lösungen für deren praktische Umsetzung anbieten, indem beispielsweise notwendige Sicherheitssoftware zur Verfügung gestellt und die Möglichkeit gegeben wird, dass die IT-Abteilung sich um die Implementierung kümmert. Um Unstimmigkeiten zu vermeiden, sollte eine transparente Kostenregelung für solche Maßnahmen existieren, die auch ihre steuerliche Behandlung zwischen Mitarbeiter und Arbeitgeber eindeutig klärt.

Auf folgende Punkte sollten Sie achten:

Zunächst muss definiert werden, auf welche Daten mit unternehmensfremder Hardware überhaupt zugegriffen werden kann und wo das nicht erforderlich ist. Daten, die nicht über private Geräte erreicht werden müssen, sollten auch in einem Bereich liegen, auf den ein solcher Zugriff technisch nicht möglich ist.
Zugriffe sollten zuordenbar sein. Mitarbeiter sollten sich immer über ein Anmeldeverfahren mit individuellem Passwort identifizieren, um über eigene Geräte Zugang zum Firmennetzwerk zu erhalten. Um die Integrität der Unternehmensdaten zu gewährleisten, sollten die Zugriffe und vorgenommenen Änderungen nachvollziehbar protokolliert werden.

Ebenso wie innerhalb des Unternehmens müssen vertrauliche Daten auf privaten Geräten und während der Übermittlung zwischen dem Firmennetzwerk und dem Endgerät des Mitarbeiters vor unbefugtem Zugriff geschützt werden. Die gleichen Sicherheitsanforderungen bezüglich Virenschutz, Verschlüsselung und gesicherter Datenverbindung, die innerhalb des Unternehmens gültig sind, müssen daher auch auf den privaten Geräten umgesetzt werden. Richtlinien für Backups und Löschfristen sind auch auf Privatgeräten einzuhalten.

Eine besondere Herausforderung stellt sich in diesem Zusammenhang bei mobilen Geräten, die sowohl privat als auch geschäftlich genutzt werden, durch Apps, die oft unbemerkt durch den Nutzer Daten an ihre Hersteller und verbundene Unternehmen übertragen. Sehr häufig greifen Apps beispielsweise auf das Adressbuch von Smartphones und Tablets zu. Auch wenn ein Mitarbeiter für sich in Kauf nimmt, durch die Nutzung solcher Apps seine privaten Daten preiszugeben, kann er die gleiche Entscheidung natürlich nicht für Unternehmensdaten treffen, sondern ist verpflichtet, diese vor einem solchen Zugriff zu schützen.

Eine technische Lösung dafür bieten Datencontainer für mobile Geräte. Alle geschäftlichen Daten werden innerhalb dieses abgetrennten Containers verarbeitet und gespeichert. Die Lösung der Firma Good Dynamics beispielsweise bietet auch ein separates E-Mail-Programm, einen eigenen Browser und einen getrennten Personal Information Manager (PIM) für die Verwaltung von Kontakten, Aufgaben und Terminen an. Sämtliche Daten, die über diese Programme verarbeitet werden, bleiben im geschützten Datencontainer und kommen nicht mit privaten Anwendungen in Berührung.

Ein weiteres Problem, das die Trennung von privaten und geschäftlichen Daten erforderlich macht, ist der gesetzlich vorgeschriebene Schutz der Privatsphäre des Arbeitnehmers. Das Unternehmen muss im eigenen Interesse beispielsweise die Möglichkeit haben, über private Geräte verarbeitete Daten automatisiert zu sichern beziehungsweise über Remote-Funktionen zu löschen, wenn es deren Vertraulichkeit gefährdet sieht. Dabei ist aber zu vermeiden, dass von den Maßnahmen auch die privaten Daten des Mitarbeiters betroffen sind. Auch deshalb ist eine Container-Lösung, die die strikt getrennte Behandlung von privaten und geschäftlichen Daten erlaubt, von Vorteil.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Geschrieben am:

Inkassodienste und Datenschutz: Rechtskonformes Forderungsmanagement

Hohe Außenstände können empfindliche Auswirkungen auf die Liquidität haben. Daher beauftragen Unternehmen gerne Inkassobüros mit der der Beitreibung ausstehender Forderungen. Notwendigerweise werden dabei personenbezogene Daten der Schuldner verarbeitet, die teils sensibler Natur sind. Darum gelten hier besondere Regelungen zum Schutz dieser Informationen.

Welche Bestimmungen bei der Durchführung des Forderungsmanagements zu beachten sind, hängt von der Vertragsgestaltung zwischen dem Gläubiger und dem Inkassounternehmen ab:

Factoring: Übertragung der Forderung

Tritt ein Gläubiger seine Forderung in Form eines Verkaufs an ein Inkassounternehmen ab, handelt es sich datenschutzrechtlich um den Fall einer Funktionsübertragung. Das Inkassobüro macht die Forderung anschließend im eigenen Namen geltend und handelt nicht weisungsgebunden. Bei diesem Verfahren wählt das Inkassounternehmen die Maßnahmen zur Beitreibung der Forderung eigenverantwortlich.

Die Erhebung und Verarbeitung der Daten durch das Inkassounternehmen erfolgt in dem Fall für eigene Geschäftszwecke und unterliegt somit den Vorschriften des § 28 Abs. 1 Bundesdatenschutzgesetz (BDSG).

Der Gläubiger kann sich bezüglich der Übermittlung der Daten an das Inkassounternehmen ebenfalls auf die genannte Regelung berufen. Die Begleichung der Forderung kann als berechtigtes Interesse des übermittelnden Unternehmens angesehen werden. So schätzt etwa der Datenschutzbeauftragte des Landes Rheinland-Pfalz den Sachverhalt in seinem 23. Tätigkeitsbericht ein.

Die Vorschrift greift jedoch nur so lange, wie kein schutzwürdiges Interesse des Schuldners überwiegt. Vorsicht ist beispielsweise dann geboten, wenn das beauftragte Inkassounternehmen gleichzeitig als Auskunftei tätig ist. In einem solchen Fall sind vor allen Dingen zwei Punkte zu beachten:

  • Zweckgebundenheit der Datenübermittlung an das Inkassounternehmen: Das Inkassounternehmen darf die ihm zum Zwecke des Forderungseinzugs übermittelten Daten ausschließlich dafür verwenden. Die Informationen dürfen keinesfalls in die Tätigkeit als Auskunftei mit einfließen.
  • Besondere Sorgfalt bei der Übermittlung durch den Gläubiger: Da dem Betroffenen durch die Übermittlung seiner Daten an eine Auskunftei erhebliche Einschränkungen drohen, gelten für die Weitergabe besondere Regelungen. Hier können Sie mehr über die in dem Zusammenhang relevanten Vorschriften des § 28a BDSG erfahren.

Reiner Forderungseinzug: Datenverarbeitung im Auftrag

Ist das Vertragsverhältnis zwischen dem Gläubiger-Unternehmen und dem beauftragten Inkassobüro so gestaltet, dass letzteres im Rahmen des Forderungseinzugs lediglich weisungsgebundene Hilfstätigkeiten ausführt, liegt der Fall der Auftragsdatenverarbeitung vor. Zu den lediglich unterstützenden Tätigkeiten können die Erstellung von Mahnungen, Feststellung der aktuellen Anschrift oder Überwachung des Zahlungseingangs gehören. In dem Fall greifen die Vorschriften des § 11 BDSG.

Der Gesetzgeber betrachtet die Übermittlung der Daten bei der gegebenen Sachlage nicht als Weitergabe an Dritte – das Inkassobüro wird vielmehr als dem beauftragenden Unternehmen zugehörig angesehen. Dies bedeutet eine Erleichterung im Bezug auf die Datenübermittlung. Jedoch sind mit der Auftragsdatenverarbeitung einige Implikationen verbunden, die beachtet werden müssen.

  • Die Voraussetzung für eine Einstufung als Auftragsdatenverarbeitung ist, dass das beauftragte Inkassounternehmen strikt weisungsgebunden agiert. Daher trägt das beauftragende Unternehmen die Verantwortung für die Prozesse und hat somit auch den Schutz der personenbezogenen Daten des Schuldners zu verantworten. Dies gilt auch während der Speicherung und sonstigen Verarbeitung beim beauftragten Inkassobüro. Bei eventuellen Verstößen des Inkassounternehmens gegen datenschutzrechtliche Bestimmungen ist der beauftragende Gläubiger zu belangen.
  • Der Gläubiger ist dazu verpflichtet, mit dem Dienstleister einen Vertrag über die Datenverarbeitung im Auftrag zu schließen, der genau regelt, wie mit den übermittelten Daten umzugehen ist. Dieser muss unter anderem Regeln zur Sperrung oder Löschung von Daten, Vorgaben zu den technischen Maßnahmen, die zum Schutz der übermittelten Daten zu treffen sind und die Definition der Kontrollbefugnisse des Auftraggebers beinhalten.
  • Das Gläubiger-Unternehmen ist verpflichtet, sich zu vergewissern, dass der beauftragte Dienstleister die gesetzlichen Anforderungen zum Datenschutz tatsächlich erfüllt. Bereits vor der ersten Übermittlung von Schuldnerdaten an den Dienstleister muss eine sogenannte Erstkontrolle erfolgen.

Fazit

Die Beauftragung eines Inkassounternehmens zur Beitreibung einer Forderung ist grundsätzlich zulässig. Dabei sollten Sie jedoch die Rechte des betroffenen Schuldners berücksichtigen.

Im Falle einer Forderungsübertragung liegt eine Datenübermittlung an Dritte vor. Besondere Vorsicht ist geboten, wenn das Inkassounternehmen gleichzeitig als Auskunftei tätig ist.

Handelt es sich dagegen um die bloße Hilfstätigeit der Forderungseinziehung, liegt eine Datenverarbeitung im Auftrag vor – mit der Folge, dass das Inkassounternehmen nicht als dritte Stelle betrachtet wird. Als Auftraggeber bleiben Sie in diesem Fall jedoch weiterhin dazu verpflichtet, dafür Sorge zu tragen, dass die Daten des Schuldners – auch während der Verarbeitung durch den Dienstleister – ausreichend geschützt sind.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Geschrieben am:

Smartphones und Profilbildung

Der große Reiz von Smartphones liegt in den zahllosen nützlichen oder spaßigen Funktionen, die diese Geräte neben dem Telefonieren haben können. Ihre vielseitige Nutzung macht sie aber auch zu idealen Datenkraken, die in einem Maß Informationen über Ihre Nutzer sammeln, welches diese meist kaum erahnen.

Statistisch gesehen ist jeder dritte Deutsche laut einer Bitkom-Studie Besitzer eines Smartphones, unter den jüngeren Bundesbürgern ist der Anteil tatsächlich weit höher. Das Telefonieren ist bei den mobilen Alleskönnern inzwischen nur noch eine von vielen Funktionen. Vom Surfen im Internet über intelligente Einkaufszettel bis hin zu verrückten Funktionen wie dem Ausblasen von Kerzen mit der “Blower” App schätzen Nutzer ihre Smartphones für allerlei praktische oder unterhaltsame Anwendungen.

Kein Wunder also, dass die Geräte ständige Begleiter ihrer Besitzer sind und auch viel häufiger genutzt werden als herkömmliche Mobiltelefone. Doch bei der vermehrten Nutzung der Geräte mit Anbindung ans Internet und Standortermittlung per GPS geben die Nutzer auch ungemein mehr Informationen über sich preis – meist mehr als sie ahnen. Dabei lässt die Euphorie über die immer neuen Möglichkeiten der bunten Smartphone-Welt die Anwender allzu häufig eine kritische Auseinandersetzung damit vergessen.

Wie vielen Nutzern ist es wohl bewusst, dass manche teilweise recht simple Anwendung, etwa wie eine Taschenlampenfunktion, möglicherweise umfassende Daten über ihren Anwender wie Adressbuch, Standortdaten, Anruflisten oder angesurfte Webseiten weitergibt?

Die Entwicklung und der Vertrieb von Apps erfordern oft einen großen Aufwand. Bei der regelrechten Flut an sehr preiswerten bis kostenlosen Anwendungen muss man sich fragen, wie sich das für die Anbieter rechnet. Die Antwort lautet: Man bezahlt mit seinen persönlichen Daten und unter Umständen auch mit denen der Freunde und Bekannten, mit denen man kommuniziert oder die man in seinem Adressbuch führt.

Der Wert von Nutzerprofilen

Mehr als 6 Milliarden Euro wird dem Onlinevermarkterkreis im BVDW zufolge dieses Jahr in Deutschland mit Onlinewerbung umgesetzt. Dabei steigt im Internet die Bedeutung von personalisierter Werbung. Je genauer Werbung einen potenziellen Kunden erreicht, desto mehr ist sie wert. Dabei wird nicht mehr in groben Zielgruppen gedacht, Werbung soll an die Vorlieben, Gewohnheiten und Wünsche einzelner Personen angepasst werden.

Noch effektiver ist Werbung, wenn das soziale Umfeld eines Nutzers mit einbezogen wird. Wenn das Verkaufsargument als vermeintliche „Empfehlung“ eines Bekannten oder Freundes verpackt wird, steigt die Wahrscheinlichkeit, dass das Produkt wahrgenommen und gekauft wird enorm.

Der gläserne Smartphone-Nutzer

Um maßgeschneiderte Werbung platzieren zu können, wollen Anbieter möglichst alles über einen Nutzer erfahren und ihn auch immer wiedererkennen können. So kommt es zu einer ausufernden Datensammlung und umfassenden Protokollierung jedes digitalen Schrittes, den ein Anwender macht. Dabei ist den meisten von ihnen gar nicht bewusst, dass sie von ihren mobilen Begleitern regelrecht ausspioniert werden.

Allein schon die Nutzung mancher Betriebssysteme für Smartphones setzt voraus, dass man dem Anbieter gestattet, umfassende Informationen aufzuzeichnen. Den Datenschutzbestimmungen des Android-Anbieters Google ist etwa zu entnehmen, dass bei der Nutzung seiner Dienste unter anderem folgende Informationen ermittelt und gespeichert werden können: eindeutige Gerätekennungen, Hardware-Einstellungen, Browser-Typ und -Sprache, die eindeutige IP-Adresse, aufgerufene Seiten, eingegebene Suchbegriffe, Telefonnummer, Anrufprotokolle inklusive der Nummern der Anrufer, Datum und Uhrzeit und Dauer von Anrufen, SMS-Routing-Informationen sowie Standortdaten selbst wenn kein GPS genutzt wird. Auch andere Systeme zeigen sich nicht unbedingt weniger datenhungrig.

Die Verantwortung liegt beim Einzelnen

Die deutsche und europäische Gesetzgebung versucht, das Persönlichkeitsrecht von Bürgern weitgehend zu schützen. So unterliegen Anwendungen für Smartphones – theoretisch – ebenfalls gesetzlichen Regelungen. Das Bundesdatenschutzgesetz (BDSG) erlaubt beispielsweise die Erhebung und Verarbeitung personenbezogener Daten nur dann, wenn dies ein Gesetz für bestimmte Zwecke vorsieht oder eine wirksame Einwilligung des Betroffenen vorliegt. Grundsätzlich gilt dabei das Gebot der Datensparsamkeit: Es dürfen nur genau die Daten erhoben werden, die für die Erfüllung des vorbestimmten Zweckes zwingend erforderlich sind und diese sind grundsätzlich auch zu löschen, sobald dieser Zweck entfällt. Weiterhin haben Nutzer umfangreiche Rechte gegenüber Anbietern, beispielsweise auf Auskunft über die über sie gespeicherten Informationen, auf Löschung bestimmter Daten oder auf den Widerruf zuvor erteilter Einwilligungen.

Doch in der Praxis ist die Durchsetzung dieser Rechte denkbar schwierig, wenn die Anbieter-Unternehmen ihren Sitz im Ausland haben. Dann können auch deutsche Datenschutzbehörden keinen Einfluss nehmen. Darum weicht die Realität der Datensammlung durch Smartphone-Anwendungen gravierend vom Soll-Zustand der deutschen Gesetzgebung ab.

An dieser Tatsache können nur die Anwender selbst etwas ändern, indem sie ein Bewusstsein für ihre Nutzung von mobilen Geräten und den damit verbundenen Konsequenzen entwickeln. Erst wenn immer mehr Anwender Angebote ablehnen, die zu weit in ihr Persönlichkeitsrecht eingreifen, sehen die Anbieter eine Notwendigkeit, ihr Verhalten anzupassen.

Darauf sollten Nutzer von Smartphones achten:

Freiwillige Angaben

Viele Informationen über einen Nutzer werden direkt bei diesem erfragt. Das kann im jeweiligen Moment nicht nach einer allzu großen Datenmenge aussehen, aber wenn man bedenkt, dass viele Unternehmen bei der Profilbildung alle verfügbaren Informationen zusammenführen möchten, sieht das Bild anders aus: Die Kombination daraus, was Sie freiwillig als Ihre Hobbies angeben, mit welchen Personen Sie online kommunizieren, welche Suchanfragen Sie stellen, wie Ihre Telefonie- und Surfgewohnheiten sind, was Sie online einkaufen sowie zahlreichen anderen Daten ergibt schon ein detailliertes Profil, von dem Sie vielleicht nicht unbedingt möchten, dass es existiert. Darum hinterfragen Sie die Notwendigkeit von Angaben, um die Sie gebeten werden. Häufig sind viele Angaben beispielsweise bei Anmeldevorgängen optional. Denken Sie also daran, dass Sie in einem Webformular nicht sämtliche Felder ausfüllen müssen und lassen Sie es auch einen Anbieter wissen, wenn Ihnen nicht gefällt, dass dieser Angaben zwingend verlangt, die nicht erforderlich sind.

Datenschutzbestimmungen von Apps

Nehmen Sie genauer unter die Lupe, welche Daten eine Anwendung an wen weitergibt und was damit gemacht wird. In der Vergangenheit ist zwar bekannt geworden, dass manche Anbieter auch heimlich bestimmte Daten sammeln, ohne darüber in irgendeiner Form zu informieren, aber in der Regel sollten Sie aus den Datenschutzhinweisen wertvolle Informationen ableiten können. Auf welche Punkte Sie dabei besonders achten sollten, erfahren Sie in unserem separaten Überblick hier.

Sicherheitseinstellungen am Gerät

Je nachdem, welches Gerät Sie verwenden, gibt es unterschiedliche Grundeinstellungen am Smartphone, mit denen Sie Ihre Daten schützen können. Anleitungen für Ihren speziellen Gerätetyp finden sich im Internet. Grundsätzlich sollten die Browsereinstellungen überprüft werden. Beispielsweise sollten Cookies regelmäßig gelöscht werden. Innerhalb von Anwendungen sollten Einstellungen vorgenommen werden, die verhindern, dass diese eine Internet- oder GPS-Verbindung aufbauen, wenn dies nicht notwendig ist. Ortungsdienste wie GPS sollten nur dann überhaupt eingeschaltet sein, wenn sie tatsächlich genutzt werden.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Geschrieben am:

Neuregelung des Datenschutzes in der EU

Kommt bereits in wenigen Monaten eine verbindliche EU-Datenschutzverordnung? Es gibt einige Anzeichen dafür. Damit könnte sehr bald der Weg für ein EU-weit gleich ausgestaltetes Datenschutzrecht frei sein. Eine Verordnung gilt unmittelbar für alle Mitgliedstaaten, ohne dass noch ein Umsetzungsverfahren in das Inlandsrecht notwendig wäre. Erfreulich ist dabei, es werden wohl viele Regelungen, die in Deutschland bereits gelten, in die Regelung übernommen. Das Datenschutzniveau wird also nicht auf den kleinsten gemeinsamen Nenner gebracht, sondern vielmehr auf einen vergleichbaren Stand angehoben.

Eine Hauptaussage des Entwurfs ist, dass jede Verarbeitung persönlicher Daten im Tätigkeitskontext des Betriebs eines Halters oder Verarbeiters in der Union in Übereinstimmung mit dieser Verordnung durchgeführt werden muss, unabhängig davon, ob die Verarbeitung selbst innerhalb der Union stattfindet oder nicht.

Was sind die aus deutscher Sicht wesentlichen Regelungen, was könnte sich ändern?

  • Es soll eine zentrale, unabhängige Europäische Aufsicht entstehen. Mitglieder sind die jeweils obersten Datenschutzbeauftragten der Mitgliedsländer.
  • Die Unabhängigkeit der Aufsichtsbehörden soll noch weiter betont werden.
  • Klargestellt wird, dass unabhängig vom tatsächlichen Verarbeitungsort der Datenschutz zu beachten ist, solange sich die für die Verarbeitung verantwortliche Stelle im Geltungsbereich befindet.
  • Entsprechend ist ein inländischer Ansprechpartner für den Datenschutz vorgesehen.
  • Der betriebliche Datenschutzbeauftragte soll europaweit ab einer bestimmten Unternehmensgröße verbindlich werden.
  • Das Instrument der Standardvertragsklauseln bei Verarbeitung von Daten in Staaten ohne vergleichbares Datenschutzniveau soll ausgeweitet werden.
  • Der Datenschutz gilt, sobald es sich nicht mehr zweifelsfrei um eine rein private Verarbeitung handelt.
  • Eine Einwilligung ist nur noch dann taugliche Grundlage für eine Verarbeitung, wenn diese nicht im Rahmen eines Abhängigkeitsverhältnis erteilt wird.
  • Die Auskunftsansprüche Betroffener werden sehr deutlich detaillierter und formalisierter zu beantworten sein.
  • Vor der Aufnahme einer Datenverarbeitung sind deren mögliche Auswirkungen detailiert zu analysieren.
  • Neben dem Recht auf Löschung, soll ein weitergehendes “Recht, vergessen zu werden” geschaffen werden.
  • Natürliche Personen dürfen grundsätzlich keinen Maßnahmen mehr ausgesetzt sein, die auf einer Profilbildung beruhen.
  • Biometrische und genetische Daten werden explizit in den Datenschutz einbezogen.
  • Die Meldepflichten werden verschärft. Vermutete oder bestätigte Zugriffe durch Unberechtigten müssen innerhalb von 24 Stunden der Aufsichtsbehörde gemeldet werden. Regelmäßig sind auch die Betroffenen innerhalb eines Tages zu benachrichtigen.
  • Die verhängbaren Bußgelder werden teils drastisch erhöht. Es können künftig bis zu 5% des weltweiten Umsatzes des Unternehmens verhängt werden. Stets sollen Bußgelder die finanziellen Vorteile eines Datenschutzverstoßes überschreiten.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Geschrieben am:

Cloud Computing und Datenschutz außerhalb der EU

Verarbeitet ein Cloud-Dienst Daten außerhalb der EU und des Europäischen-Wirtschaftsraums (EWR), so gelten die besonderen Anforderungen der §§ 4b, 4c BDSG für den Drittstaatentransfer. Zu den Drittstaaten in diesem Sinne zählen beispielsweise die USA.

Falls in dem Drittstaat kein angemessenes Datenschutzniveau besteht, müssen daher durch den Cloud-Anwender als verantwortliche Stelle ausreichende Garantien zum Schutz des allgemeinen Persönlichkeitsrechts und der Ausübung der damit verbundenen Rechte vorgewiesen werden. Die Garantien können sich aus Standardvertragsklauseln oder u. U. aus Binding Corporate Rules ergeben. In jedem Fall ist auch ein besonderes Augenmerk auf die Festlegung eines technischen und organisatorischen Datenschutzes iRd § 9 BDSG zu legen.

Im Prinzip möchte der Gestzgeber damit ein einheitliches Datenschutzniveau erreichen. Personenbezogene Daten, z.B. aus Deutschland, sollen unabhängig davon, wo diese gelagert werden, ob Inland, EU oder EU-Ausland, immer annäherend gleich behandelt werden, so dass auch das Datenschutzniveau überall auf dem gleichen Stand ist. Unternehmen haben dabei verschiedene Möglichkeiten, dies zu realisieren:

Sicherstellung eines “angemessenen Datenschutzniveaus”

Wenn ein Unternehmen mit Sitz in Deutschland oder einem anderen EU-Mitgliedsland Kunden-, Mitarbeiter- oder andere personenbezogene Daten von einem Unternehmen außerhalb der EU speichern, nutzen oder verarbeiten lässt, muss es ein “angemessenes Datenschutzniveau” sicherstellen. Dies gilt auch, wenn es sich z.B. um ein Tochterunternehmen in der EU und Mutterunternehmen in den USA handelt, der Datentransfer also innerhalb des gleichen Unternehmens erfolgt.

Die Sicherstellung eines “angemessenen Datenschutzniveaus” ist in § 4b Absatz 2 Satz 2 (BDSG) geregelt, der den Artikel 25 Abs. 1 der EU-Datenschutzrichtlinie 95/46/EG umsetzt. Ohne “angemessenes Datenschutzniveau” dürfen personenbezogene Daten nicht übermittelt bzw. kein Zugriff darauf gewährt werden. Verstöße können mit bis zu € 300.000 Geldbuße geahndet werden.

Gibt der im Drittstaat ansässige Cloud-Anbieter Daten an einen Unter-Anbieter, der ebenfalls seinen Sitz im außereuropäischen Raum hat, so wird Ersterer als Übermittler mitverantwortlich für die Rechtmäßigkeit der Datenübermittlung und -verarbeitung. Gleichwohl verbleibt eine Verantwortlichkeit des Cloud-Anwenders. Der Cloud-Anwender bleibt in jedem Fall haftungsrechtlich für sämtliche Schäden verantwortlich, die der Cloud-Anbieter oder Unter-Anbieter den Betroffenen zufügen.

Standardvertragsklauseln

Im Rahmen der durch eine Entscheidung der EU-Kommission erlassenen Standardvertragsklauseln, die vom Cloud-Anwender und Cloud-Anbieter unverändert übernommen werden müssen, wurden allerdings die spezifischen Regelungen der Auftragsdatenverarbeitung ( § 11 BDSG) nicht vollständig abgebildet, obwohl die vertraglichen und faktischen Beziehungen zwischen Datenexporteur und Datenimporteur einer solchen Verarbeitung ähnlich sind. Aus diesem Grunde muss der Cloud-Anwender über die Vereinbarung von Standardvertragsklauseln hinaus die Anforderungen nach § 11 Abs. 2 BDSG erfüllen und entsprechend vertraglich abbilden. Dies kann durch Regelungen in den Anlagen zum Standardvertrag und/oder ergänzende geschäftsbezogene Klauseln oder durch separate vertragliche Regelungen erfolgen.

Ist das EU-Unternehmen verantwortliche Stelle und der Datenimporteur im Drittland Auftragsdatenverarbeiter, so sind die “Standardvertragsklauseln” der EU zu verwenden.

Hierbei ist für Neuverträge ab dem 15. Mai 2010 zwingend auf die neue Fassung der Klauseln zurückzugreifen; die bisher gültigen Klauseln können grundsätzlich nicht mehr verwendet werden. Für Altverträge existieren Übergangsregelungen.

Rechtsgrundlage

Es wird darüber hinaus eine Rechtsgrundlage benötigt für das Cloud-Computing anbieten. Hier kann § 28 Abs. 1 Satz 1 Nr. 2 BDSG in Betracht kommen. Soweit besondere Arten personenbezogener Daten betroffen sind (z.B. Daten über rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit, Sexualleben), scheidet das Cloud-Computing regelmäßig aus.

Safe Harbor

Erfolgt eine Verarbeitung personenbezogener Daten durch einen Cloud-Anbieter oder Unter-Anbieter mit Sitz in den USA, so können die EU-Standardvertragsklauseln ebenso wie Binding Corporate Rules entbehrlich sein, wenn sich der Cloud-Anbieter zur Einhaltung der Safe-Habor-Grundsätze verpflichtet hat. Soweit EU-Personaldaten verarbeitet werden sollen, muss der Cloud-Anwender ferner prüfen, ob der Cloud-Anbieter sich gemäß des Safe-Harbor-Abkommens zur Zusammenarbeit mit den EU-Datenschutzaufsichtsbehörden verpflichtet hat. Der Cloud-Anwender muss sich darüber hinaus auch davon überzeugen, ob das Zertifikat des Cloud-Anbieters noch gültig ist und sich auf die betreffenden Daten bezieht. Die Liste für die Safe Harbor beigetretenen Unternehmen kann hier abgerufen werden. Eine Rechtsgrundlage muss aber auch in diesem Fall vorliegen.

Binding Corporate Rules

Beim Drittstaatentransfer können bei konzernangehörigen Auftragnehmern die erforderlichen ausreichenden Garantien zum Schutz der Persönlichkeitsrechte durch Binding Corporate Rules geschaffen werden. Wenn Cloud-Anwender und Cloud-Anbieter derselben Unternehmensgruppe angehören, sind Binding Corporate Rules selbstverständlich ohne weiteres möglich. Auch hier wäre zu beachten, dass Binding Corporate Rules den Cloud-Anwender nicht von dem Erfordernis befreien, eine schriftliche Vereinbarungen entsprechend § 11 Abs. 2 BDSG zu treffen. Es besteht ebenfalls das Erfordernis einer Rechtsgrundlage für die Übermittlung.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Geschrieben am:

Erforderlichkeit der Erhebung oder Verarbeitung von Daten

“Aber wir brauchen diese Daten doch!”

An einigen Stellen erlaubt das Gesetz die Erhebung und Verarbeitung von personenbezogenen Daten auch ohne Einwilligung des Betroffenen und sogar gegen seinen Willen. So etwa im Zusammenhang mit der Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen Verhältnisses, § 29 Abs. 1 Nr. 1 BDSG. Wie auch hier, so stehen diese Ausnahmen vom grundsätzlichen Verbot, personenbezogene Daten zu erheben oder zu nutzen, regelmäßig unter dem Vorbehalt der “Erforderlichkeit”. Dieser Begriff wird häufig zu eigenen Gunsten falsch interpretiert. Die Folge dieser Fehleinschätzung ist die Rechtswidrigkeit der fraglichen Aktion. Es drohen Bußgelder, Haftung und andere negative Folgen.

“Erforderlich” ist nicht im Sinne von zweckmäßig, praktisch, hilfreich oder sinnvoll zu verstehen. Erst recht unterliegt dieser Begriff nicht subjektiven Maßstäben, er ist objektiv zu bestimmen. Im Hinblick darauf, dass es sich hierbei stets um eine Ausnahme von einem gesetzlichen Verbot handelt, darf der Begriff auch keinesfalls weit verstanden werden. Vielmehr ist er eng, eben im Sinne einer Ausnahme, zu interpretieren. Die Ausnahme darf nie zur Regel werden.

Ob Daten erforderlich sind, ist von den berechtigten Interessen der Beteiligten abhängig. Auch diese Interessen und ihre Berechtigtheit sind wiederum objektiv zu beurteilen und richten sich nicht etwa nach der subjektiven Einschätzung des an den Daten Interessierten. Die Einschätzung muss objektiv und vernünftig nachvollziehbar sein. Weder zählt ein verschärftes Sicherungsbedürfnis des einen, noch ein übersteigertes Geheimhaltungsinteresse des anderen.

Erforderlichkeit ist nicht gegeben, wenn sich die berechtigten Interessen auch ohne die fraglichen Informationen wahren lassen. Andererseits muss auch keine zwingende Abhängigkeit bestehen; die Daten müssen nicht unverzichtbar sein. Gibt es aber zumutbare Alternativen, sind primär diese zu nutzen. Erst dann, wenn ein Ausweichen oder der Verzicht auf eine Information nicht sinnvoll oder unzumutbar wäre, kann die Erforderlichkeit wieder bejaht werden.

Beispiele:

  • Die Adresse eines Kunden ist etwa erforderlich, um eine Bestellung auszuführen, eine Lieferung durchzuführen oder eine Rechnung zu erstellen. Auch kann hier zusätzlich eine Telefonnummer erforderlich sein, wenn vorhersehbar Nachfragen entstehen oder kurzfristig ein Liefertermin vereinbart werden muss.
  • Die Angabe einer eMail-Adresse wird erforderlich sein, zum Beispiel in Fällen in denen ein Dienst aus Sicherheitsgründen nur über ein double opt-in Verfahren bereitgestellt wird. Ebenso zur Beantwortung einer elektronisch gestellten Anfrage. Die Abfrage einer Telefonnummern dagegen ist hier kaum gerechtfertigt.
  • Eine Bank wird im Rahmen einer Kreditvergabe Informationen über die Bonität des Interessenten einholen dürfen, selbst wenn die Abwicklung des Kreditvertrages auch ohne diese Informationen möglich wäre. Entsprechendes wird für den Vermieter einer Wohnung gelten. Immerhin besteht hier ein erhöhtes Schutzbedürfnis für die Genannten.  Für Geschäfte ohne besondere Risiken gilt dies jedoch nicht.

Zu beachten ist zusätzlich, dass einmal zulässig erhobene und verarbeitete Daten weiterhin einer Zweckbindung unterliegen. So darf etwa die für Rückfragen zulässig erfasste Telefonnummer oder eMailAdresse nicht auch für Werbung genutzt werden.

Fazit: “Erforderlich” ist nicht, was bequem oder sinnvoll erscheint, sonden nur, was zur Erreichung eines vom Datenschutz (!) legitimierten Zwecks direkt unterstützend notwendig ist. Die Grenze ist eng zu ziehen.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Geschrieben am:

Dokumenten – Datenschutz

Viele Computer-Dateien (doc, docx, xls, xlsx, pdf, jpg usw.) enthalten Metadaten. Metadaten sind zusätzliche Dateiinformationen, die Sie z.B. erzeugen, wenn Sie eine neue Word- oder Excel-Datei speichern. In diesen Dateien werden teilweise Informationen abgelegt, die eigentlich keine andere Person etwas angehen. Trotzdem werden diese Daten oftmals vergessen und nicht bewusst gelöscht.

Typische Metadaten zu einem Dokument sind beispielsweise der Name des Autors, Speicherpfade und Informationen zu Software-Versionen, Zugriffsrechten und dem Datum der letzten Änderung. Diese Daten können durch einen Angreifer ausgelesen, gesammelt und anschließend für gezielte Angriffe missbraucht werden.

Zusätzlich werden weitere Daten über die Zielpersonen in sozialen Netzen wie Xing oder Facebook gesucht. Eine eigene Homepage oder Informationen auf den Seiten des Arbeitgebers liefern noch weitere Informationen über die Zielperson. Diese Daten zusammen liefern einem Angreifer eine ausreichende Grundlage für gezielte technische oder Social-Engineering Attacken.

Einige Dokumentenformate sind auskunftsfreudiger als andere: Powerpoint-Präsentationen liefern z.B. mehr Informationen als etwa PDF-Dokumente und sind daher auch interessanter für den Angreifer. Eine spezielle Software zum Auslesen solcher Informationen kann unter anderem aus eingebetteten Bildern weitere Metadaten wie die benutzte Kamera auslesen (EXIF). Oftmals enthalten die EXIF-Daten auch noch ein Thumbnail des Originalfotos. Diese Vorschaubilder bleiben, trotz Bearbeitung des Orginals, unverändert. Ein unkenntlich gemachter Bildausschnitt im Foto kann also im Thumbnail unter Umständen noch zu erkennen sein.

Sobald Sie nun z.B. eine Office-Datei per E-Mail versenden, erhält der Empfänger nicht nur die Datei sondern auch alle zusätzlichen Informationen, die zu der Datei gespeichert sind. Das kann nicht immer wünschenswert sein. Abrufen können Sie diese Informationen einfach, indem Sie mit der rechten Maustaste auf die Datei klicken und Details anwählen.

Ein guter Schutz vor solchen Aufklärungsversuchen ist es, Metadaten aus Dokumenten vor der Veröffentlichung zu entfernen oder mit Dummy-Daten zu füllen.

Office enthält ab der Version 2007 die Funktion der Dokumentenprüfung, mit der Metadaten bequem gelöscht werden können:

  • Klicken Sie auf den Office-Button.
  • Wählen Sie den Eintrag „Vorbereiten“.
  • Klicken Sie auch den Befehl „Dokument prüfen“.
  • Wählen Sie in diesem Dialogfenster die Elemente aus, die überprüft werden sollen und klicken anschließend auf die Schaltfläche „Prüfen“.
  • Im Prüfungsergebnis werden Elemente, die zusätzliche Informationen enthalten mit einem Ausrufezeichen versehen. Sie können nun einzelne Elemente oder über die Schaltfläche „Alle entfernen“ sämtliche aufgeführte Informationen löschen.

In der Office-Version 2010 funktioniert das Löschen von Metadaten folgendermaßen:

  • Sie erreichen die Dokumentenprüfung über den Reiter „Datei“ und hier den Button „Informationen“.
  • Wählen Sie unter „Für die Freigabe vorbereiten“ den Eintrag „Auf Probleme überprüfen“.
  • Klicken Sie auch den Befehl „Dokument prüfen“.
  • Wählen Sie in der Dokumentenprüfung die zu prüfenden Elemente aus und klicken anschließend auf die Schaltfläche „Prüfen“.
  • Im Prüfungsergebnis sehen Sie die Elemente, die zusätzliche Informationen enthalten. Sie können nun einzelne Elemente oder über die Schaltfläche „Alle entfernen“ sämtliche aufgeführte Informationen löschen.

Beachten Sie, dass manche Informationen wie Kopf- und Fußzeilen eventuell doch nützlich sein könnten und im Dokument verbleiben sollten. Zur Sicherheit können Sie vor dem Löschen der Metadaten Ihr Dokument am Ende der Bearbeitung abspeichern und eine Kopie erstellen. Falls beim Löschen der Metadaten zu viele Informationen entfernt wurden, können Sie auf die Kopie zurückgreifen.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Geschrieben am: