Neuregelung des Datenschutzes in der EU

Kommt bereits in wenigen Monaten eine verbindliche EU-Datenschutzverordnung? Es gibt einige Anzeichen dafür. Damit könnte sehr bald der Weg für ein EU-weit gleich ausgestaltetes Datenschutzrecht frei sein. Eine Verordnung gilt unmittelbar für alle Mitgliedstaaten, ohne dass noch ein Umsetzungsverfahren in das Inlandsrecht notwendig wäre. Erfreulich ist dabei, es werden wohl viele Regelungen, die in Deutschland bereits gelten, in die Regelung übernommen. Das Datenschutzniveau wird also nicht auf den kleinsten gemeinsamen Nenner gebracht, sondern vielmehr auf einen vergleichbaren Stand angehoben.

Eine Hauptaussage des Entwurfs ist, dass jede Verarbeitung persönlicher Daten im Tätigkeitskontext des Betriebs eines Halters oder Verarbeiters in der Union in Übereinstimmung mit dieser Verordnung durchgeführt werden muss, unabhängig davon, ob die Verarbeitung selbst innerhalb der Union stattfindet oder nicht.

Was sind die aus deutscher Sicht wesentlichen Regelungen, was könnte sich ändern?

  • Es soll eine zentrale, unabhängige Europäische Aufsicht entstehen. Mitglieder sind die jeweils obersten Datenschutzbeauftragten der Mitgliedsländer.
  • Die Unabhängigkeit der Aufsichtsbehörden soll noch weiter betont werden.
  • Klargestellt wird, dass unabhängig vom tatsächlichen Verarbeitungsort der Datenschutz zu beachten ist, solange sich die für die Verarbeitung verantwortliche Stelle im Geltungsbereich befindet.
  • Entsprechend ist ein inländischer Ansprechpartner für den Datenschutz vorgesehen.
  • Der betriebliche Datenschutzbeauftragte soll europaweit ab einer bestimmten Unternehmensgröße verbindlich werden.
  • Das Instrument der Standardvertragsklauseln bei Verarbeitung von Daten in Staaten ohne vergleichbares Datenschutzniveau soll ausgeweitet werden.
  • Der Datenschutz gilt, sobald es sich nicht mehr zweifelsfrei um eine rein private Verarbeitung handelt.
  • Eine Einwilligung ist nur noch dann taugliche Grundlage für eine Verarbeitung, wenn diese nicht im Rahmen eines Abhängigkeitsverhältnis erteilt wird.
  • Die Auskunftsansprüche Betroffener werden sehr deutlich detaillierter und formalisierter zu beantworten sein.
  • Vor der Aufnahme einer Datenverarbeitung sind deren mögliche Auswirkungen detailiert zu analysieren.
  • Neben dem Recht auf Löschung, soll ein weitergehendes „Recht, vergessen zu werden“ geschaffen werden.
  • Natürliche Personen dürfen grundsätzlich keinen Maßnahmen mehr ausgesetzt sein, die auf einer Profilbildung beruhen.
  • Biometrische und genetische Daten werden explizit in den Datenschutz einbezogen.
  • Die Meldepflichten werden verschärft. Vermutete oder bestätigte Zugriffe durch Unberechtigten müssen innerhalb von 24 Stunden der Aufsichtsbehörde gemeldet werden. Regelmäßig sind auch die Betroffenen innerhalb eines Tages zu benachrichtigen.
  • Die verhängbaren Bußgelder werden teils drastisch erhöht. Es können künftig bis zu 5% des weltweiten Umsatzes des Unternehmens verhängt werden. Stets sollen Bußgelder die finanziellen Vorteile eines Datenschutzverstoßes überschreiten.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Do Not Track wird Standard

Das Do-Not-Track-Verfahren zum Schutz der Privatsphäre im Internet entwickelt sich zum Standard: Nachdem immer mehr Browser-Hersteller die Funktion implementiert haben, hat das W3C-Konsortium einen Entwurf für eine entsprechende Leitlinie veröffentlicht.

Um das Surfverhalten von Internetnutzern für Marketingzwecke zu analysieren und ihnen maßgeschneiderte Werbung zu präsentieren, setzen Werbetreibende beim Besuch einer Webseite Cookies, über die sie einen User wiedererkennen können. Die Werbeindustrie ging bisher grundsätzlich davon aus, dass Internetnutzer nichts dagegen haben, auf diese Weise durch das Netz verfolgt zu werden. Wer das nicht wollte, musste selbst aktiv werden und Maßnahmen dagegen ergreifen.

Die internationale Arbeitsgruppe W3C hat einen Entwurf veröffentlicht, mit dem der von Mozilla entwickelte Do-Not-Track-Header jetzt zum Standard erhoben werden soll. Die Idee hinter dem Verfahren ist, den Spieß umzudrehen: Mit einer einmaligen Einstellung im Browser erklärt der Nutzer, dass er nicht getrackt werden möchte.

Das bedeutet allerdings nicht, dass die Trackingfunktionen damit automatisch ausgeschaltet werden. Die Werbetreibenden werden lediglich von dem Wunsch des Nutzers in Kenntnis gesetzt. Eine Verpflichtung, sich daran zu halten, gibt es bisher nicht. Viele Anbieter lehnen Do Not Track (DNT) kategorisch ab. Google beispielsweise bietet diese Funktion gar nicht erst in seinem Chrome-Browser an.

Das könnte sich jedoch bald ändern. In den USA wird derzeit ein Gesetzentwurf diskutiert, nach dem Anbieter dazu verpflichtet werden sollen, sich an den Wunsch der Nutzer zu halten. Bleibt abzuwarten, ob die Gesetzgeber in Europa nachziehen.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Cloud Computing und Datenschutz in der EU

Bei der personenbezogenen Datenverarbeitung im Rahmen des Cloud Computing treten teilweise rechtliche und technische Fragen auf, die bisher nur unzureichend aufgearbeitet sind. Da sich diese Form der Datenverarbeitung immer größerer Beliebtheit erfreut, ist es nötig, die Rahmenbedingungen des Datenschutzes abzuleiten und zu benennen.

Das zentrale Problem des Cloud Computing besteht darin, die Integrität und Vertraulichkeit der Datenverarbeitung in der Cloud zu gewährleisten. Es geht im Kern darum, den Zugriff durch Dritte zu verhindern.

Anwendbarkeit des Datenschutzrechtes

Aus Datenschutzsicht relevant ist Cloud Computing nur, wenn personenbezogene Daten gemäß § 3 Abs. 1 BDSG verarbeitet werden, also wenn die Einzelangaben einer bestimmten oder bestimmbaren natürlichen Person, also einem Menschen zugeordnet werden können. Betroffene können zum einen Mitarbeiter der verantwortlichen Stelle sein, die bei der Cloud-Nutzung beschäftigt sind und deren Daten in diesem Zusammenhang verarbeitet werden. In Hinblick auf die Nutzungsdaten ist das Arbeitnehmerdatenschutzrecht anwendbar.

Keine Anwendbarkeit des Datenschutzrechtes ist gegeben bei einer ausreichenden Anonymisierung (vgl. § 3 Abs. 6 BDSG).

Nach der Europäischen Datenschutzrichtlinie soll aber innerhalb des europäischen Binnenmarktes der Umstand einer grenzüberschreitenden Datenverarbeitung kein rechtliches Hindernis mehr darstellen.

Beim grenzüberschreitenden Cloud-Computing außerhalb der EU ist nicht gewährleistet, dass in den von der konkreten Anwendung betroffenen Staaten überhaupt Regelungen zum Datenschutz bestehen. Hierbei ist eine ganze Menge an weiteren Voraussetzungen zu beachten. Diese haben wir für Sie in einem separaten Artikel zum internationalen Datenschutz zusammengefasst.

Auftragsdatenverarbeitung

Cloud Computing ist aus technischer Sicht eine Auftragsdatenverarbeitung gemäß § 11 BDSG. Der Cloud-Nutzer (Auftraggeber), soll vollständig über die Art und Weise der Datenverarbeitung bestimmen. Der Auftraggeber bleibt für die Sicherstellung der Vertraulichkeit und Integrität der Daten verantwortlich. Der Auftragnehmer, der Cloud-Anbieter, ist ihm gegenüber weisungsgebunden.

Bei einer klassischen Auftragsdatenverarbeitung muss sich der Auftraggeber umfassend darüber vergewissern, dass die technisch-organisatorischen Maßnahmen gemäß § 9 Anlage 1 BDSG beachtet werden.

Mindestanforderung

Die Anforderungen an eine Auftragsdatenverarbeitung wurden mit Wirkung vom 01.01.2009 in § 11 Abs. 2 BDSG konkretisiert. In einem schriftlichen Auftrag, also einem zivilrechtlichen Vertrag, sind präzise festzulegen:

  1. Gegenstand und Dauer des Auftrags,
  2. Umfang, Art und Zweck der Verarbeitung, Art der Daten und Kreis der Betroffenen,
  3. die Datensicherungsmaßnahmen nach § 9 BDSG,
  4. Berichtigung, Löschung und Sperrung der Daten,
  5. die (Kontroll-)Pflichten der Auftragnehmer (AN),
  6. Unterauftragsverhältnisse,
  7. Kontrollrechte der Auftraggeber,
  8. Mitteilungspflichten der Arbeitnehmer bei Verstößen,
  9. Weisungsgebundenheit und
  10. Datenlöschung bei Arbeitnehmern.
  11. Nach § 11 Abs. 2 S. 4, 5 BDSG muss sich der Auftraggeber regelmäßig über die Beachtung der Datensicherungsmaßnahmen überzeugen, was zu dokumentieren ist.

Gemäß § 11 Abs. 2 S. 1 ist der Auftragnehmer unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen.

Besteht eine Erlaubnis zur Beauftragung von Unter-Anbietern, so müssen im Rahmen der Unterbeauftragung die Vorgaben des Vertrags zwischen Cloud-Anwender und Cloud-Anbieter berücksichtigt werden. Der Cloud-Anbieter muss in diesem Fall vor Beginn der Datenverarbeitung im Rahmen der Unterbeauftragung eine Kontrolle nach § 11 Abs. 2 Satz 4 BDSG vornehmen. Weiterhin sollte der Cloud-Anbieter gegenüber dem Cloud-Anwender vertraglich verpflichtet sein, auf Verlangen vorhandene Nachweise zu Zertifizierungen oder Datenschutz-Gütesiegeln der Unter-Anbieter vorzulegen.

Technisch-organisatorische Lösungen

Die technischen und organisatorischen Maßnahmen der Datensicherung nach § 9 BDSG  müssen dem Nutzer offengelegt werden und sind gemäß § 11 Abs. 2 S. 2 Nr. 3 BDSG ausdrücklich im Vertrag zu benennen.

Cloud Computing bedeutet, dass mehrere Nutzende auf den gleichen Rechnern und Plattformen arbeiten. Dadurch entstehen Risiken, sie sich aus einer nicht hinreichenden Trennung (Trennungsgebot) der gespeicherten Daten ergeben. Der Cloud-Auftrag muss zur Absicherung die Methoden zur Trennung der Daten unterschiedlicher Auftraggeber genau benennen. Erfolgt dies durch Verschlüsselung, so muss geprüft werden, ob die genutzten Systeme eine hinreichende Sicherheit bieten und nicht durch andere Nutzende oder durch die Anbieter selbst einfach umgangen werden können.

Es bedarf beim Cloud-Anbieter und im Cloud-Verbund eines dokumentierten Datenschutzmanagements, zu dem ein IT-Sicherheitsmanagement gehört.

Betroffenenrechte

Der Cloud-Anwender bleibt als Auftraggeber nach § 11 Abs. 1 BDSG zur Einhaltung der datenschutzrechtlichen Bestimmungen verpflichtet, wobei ihm auch die Verpflichtung obliegt, personenbezogene Daten nach den §§ 34, 35 BDSG zu berichtigen, zu löschen, zu sperren und auf Verlangen des Betroffenen Auskünfte vor allem zu den zu seiner Person gespeicherten Daten und zur Herkunft der Daten zu erteilen.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Cloud Computing und Datenschutz außerhalb der EU

Verarbeitet ein Cloud-Dienst Daten außerhalb der EU und des Europäischen-Wirtschaftsraums (EWR), so gelten die besonderen Anforderungen der §§ 4b, 4c BDSG für den Drittstaatentransfer. Zu den Drittstaaten in diesem Sinne zählen beispielsweise die USA.

Falls in dem Drittstaat kein angemessenes Datenschutzniveau besteht, müssen daher durch den Cloud-Anwender als verantwortliche Stelle ausreichende Garantien zum Schutz des allgemeinen Persönlichkeitsrechts und der Ausübung der damit verbundenen Rechte vorgewiesen werden. Die Garantien können sich aus Standardvertragsklauseln oder u. U. aus Binding Corporate Rules ergeben. In jedem Fall ist auch ein besonderes Augenmerk auf die Festlegung eines technischen und organisatorischen Datenschutzes iRd § 9 BDSG zu legen.

Im Prinzip möchte der Gestzgeber damit ein einheitliches Datenschutzniveau erreichen. Personenbezogene Daten, z.B. aus Deutschland, sollen unabhängig davon, wo diese gelagert werden, ob Inland, EU oder EU-Ausland, immer annäherend gleich behandelt werden, so dass auch das Datenschutzniveau überall auf dem gleichen Stand ist. Unternehmen haben dabei verschiedene Möglichkeiten, dies zu realisieren:

Sicherstellung eines „angemessenen Datenschutzniveaus“

Wenn ein Unternehmen mit Sitz in Deutschland oder einem anderen EU-Mitgliedsland Kunden-, Mitarbeiter- oder andere personenbezogene Daten von einem Unternehmen außerhalb der EU speichern, nutzen oder verarbeiten lässt, muss es ein „angemessenes Datenschutzniveau“ sicherstellen. Dies gilt auch, wenn es sich z.B. um ein Tochterunternehmen in der EU und Mutterunternehmen in den USA handelt, der Datentransfer also innerhalb des gleichen Unternehmens erfolgt.

Die Sicherstellung eines „angemessenen Datenschutzniveaus“ ist in § 4b Absatz 2 Satz 2 (BDSG) geregelt, der den Artikel 25 Abs. 1 der EU-Datenschutzrichtlinie 95/46/EG umsetzt. Ohne „angemessenes Datenschutzniveau“ dürfen personenbezogene Daten nicht übermittelt bzw. kein Zugriff darauf gewährt werden. Verstöße können mit bis zu € 300.000 Geldbuße geahndet werden.

Gibt der im Drittstaat ansässige Cloud-Anbieter Daten an einen Unter-Anbieter, der ebenfalls seinen Sitz im außereuropäischen Raum hat, so wird Ersterer als Übermittler mitverantwortlich für die Rechtmäßigkeit der Datenübermittlung und -verarbeitung. Gleichwohl verbleibt eine Verantwortlichkeit des Cloud-Anwenders. Der Cloud-Anwender bleibt in jedem Fall haftungsrechtlich für sämtliche Schäden verantwortlich, die der Cloud-Anbieter oder Unter-Anbieter den Betroffenen zufügen.

Standardvertragsklauseln

Im Rahmen der durch eine Entscheidung der EU-Kommission erlassenen Standardvertragsklauseln, die vom Cloud-Anwender und Cloud-Anbieter unverändert übernommen werden müssen, wurden allerdings die spezifischen Regelungen der Auftragsdatenverarbeitung ( § 11 BDSG) nicht vollständig abgebildet, obwohl die vertraglichen und faktischen Beziehungen zwischen Datenexporteur und Datenimporteur einer solchen Verarbeitung ähnlich sind. Aus diesem Grunde muss der Cloud-Anwender über die Vereinbarung von Standardvertragsklauseln hinaus die Anforderungen nach § 11 Abs. 2 BDSG erfüllen und entsprechend vertraglich abbilden. Dies kann durch Regelungen in den Anlagen zum Standardvertrag und/oder ergänzende geschäftsbezogene Klauseln oder durch separate vertragliche Regelungen erfolgen.

Ist das EU-Unternehmen verantwortliche Stelle und der Datenimporteur im Drittland Auftragsdatenverarbeiter, so sind die „Standardvertragsklauseln“ der EU zu verwenden.

Hierbei ist für Neuverträge ab dem 15. Mai 2010 zwingend auf die neue Fassung der Klauseln zurückzugreifen; die bisher gültigen Klauseln können grundsätzlich nicht mehr verwendet werden. Für Altverträge existieren Übergangsregelungen.

Rechtsgrundlage

Es wird darüber hinaus eine Rechtsgrundlage benötigt für das Cloud-Computing anbieten. Hier kann § 28 Abs. 1 Satz 1 Nr. 2 BDSG in Betracht kommen. Soweit besondere Arten personenbezogener Daten betroffen sind (z.B. Daten über rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit, Sexualleben), scheidet das Cloud-Computing regelmäßig aus.

Safe Harbor

Erfolgt eine Verarbeitung personenbezogener Daten durch einen Cloud-Anbieter oder Unter-Anbieter mit Sitz in den USA, so können die EU-Standardvertragsklauseln ebenso wie Binding Corporate Rules entbehrlich sein, wenn sich der Cloud-Anbieter zur Einhaltung der Safe-Habor-Grundsätze verpflichtet hat. Soweit EU-Personaldaten verarbeitet werden sollen, muss der Cloud-Anwender ferner prüfen, ob der Cloud-Anbieter sich gemäß des Safe-Harbor-Abkommens zur Zusammenarbeit mit den EU-Datenschutzaufsichtsbehörden verpflichtet hat. Der Cloud-Anwender muss sich darüber hinaus auch davon überzeugen, ob das Zertifikat des Cloud-Anbieters noch gültig ist und sich auf die betreffenden Daten bezieht. Die Liste für die Safe Harbor beigetretenen Unternehmen kann hier abgerufen werden. Eine Rechtsgrundlage muss aber auch in diesem Fall vorliegen.

Binding Corporate Rules

Beim Drittstaatentransfer können bei konzernangehörigen Auftragnehmern die erforderlichen ausreichenden Garantien zum Schutz der Persönlichkeitsrechte durch Binding Corporate Rules geschaffen werden. Wenn Cloud-Anwender und Cloud-Anbieter derselben Unternehmensgruppe angehören, sind Binding Corporate Rules selbstverständlich ohne weiteres möglich. Auch hier wäre zu beachten, dass Binding Corporate Rules den Cloud-Anwender nicht von dem Erfordernis befreien, eine schriftliche Vereinbarungen entsprechend § 11 Abs. 2 BDSG zu treffen. Es besteht ebenfalls das Erfordernis einer Rechtsgrundlage für die Übermittlung.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

RFID-Chips: Folgeabschätzung ist Pflicht

Seit September dürfen Unternehmen und Behörden keine RFID-Anwendungen in Betrieb nehmen, ohne vorab eine Datenschutz-Folgeabschätzung durchzuführen. Mit der Selbstverpflichtung wurde für die Unternehmen Rechtssicherheit bei Investitionen in die RFID-Technik geschaffen, für die EU-Bürger bringt die Vereinbarung einen Schutz ihres Bedürfnisses nach informationeller Selbstbestimmung.

RFID-Chips sind aus der modernen Logistik nicht mehr wegzudenken. Nicht nur beim Warentransport, sondern auch in Ausweisdokumenten, bei elektronischen Bezahlverfahren, zur Kennzeichnung von Fahrzeugen oder Nutztieren werden die Funkchips bereits eingesetzt – und die Anwendungsgebiete wachsen ständig. Unauffällig und zuverlässig können mit der RFID-Technik Daten berührungslos übertragen werden.

Es verwundert nicht, dass diese Technik nicht nur Begeisterung hervorruft, sondern auch Besorgnis erregt. Dabei gilt es nicht nur, kritische Datenschützer zu beruhigen. Wer die Vorteile der kleinen Chips nutzen möchte, kann nicht darauf verzichten, die Datenschutzbedenken von Kunden, Mitarbeitern und Behörden zu berücksichtigen. Um für Rechtssicherheit zu sorgen, hat sich die Wirtschaft daher gegenüber der EU-Kommission dazu verpflichtet, für jede RFID-Anwendung vor deren Inbetriebnahme eine so genannte Datenschutz-Folgeabschätzung durchzuführen.

Dabei werden mögliche Datenschutz-Risiken in Zusammenhang mit dem RFID-Projekt sowie deren Eintrittswahrscheinlichkeiten ermittelt. Erst wenn geeignete Vorkehrungen zur Abwendung aller bestehenden Risiken definiert und eingeleitet worden sind, darf die Anwendung in Betrieb genommen werden.

Die Vorgehensweise für die Folgeabschätzung ist in der „Privacy Impact Assessment Framework“ (PIA) festgeschrieben. Das Rahmenwerk wurde im April 2011 unterzeichnet, seit September müssen Unterhemen und Behörden die hohen Anforderungen erfüllen.

Die Datenschutz-Experten der activeMind AG unterstützen Sie gerne bei der Durchführung einer RFID-Folgeabschätzung und der Erstellung einer Dokumentation, die den Anforderungen der EU-Kommission entspricht. Kontaktieren Sie uns für ein unverbindliches Angebot unter anfrage@activemind.de oder telefonisch unter +49 (0) 89 / 418 560 170.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Erforderlichkeit der Erhebung oder Verarbeitung von Daten

„Aber wir brauchen diese Daten doch!“

An einigen Stellen erlaubt das Gesetz die Erhebung und Verarbeitung von personenbezogenen Daten auch ohne Einwilligung des Betroffenen und sogar gegen seinen Willen. So etwa im Zusammenhang mit der Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen Verhältnisses, § 29 Abs. 1 Nr. 1 BDSG. Wie auch hier, so stehen diese Ausnahmen vom grundsätzlichen Verbot, personenbezogene Daten zu erheben oder zu nutzen, regelmäßig unter dem Vorbehalt der „Erforderlichkeit“. Dieser Begriff wird häufig zu eigenen Gunsten falsch interpretiert. Die Folge dieser Fehleinschätzung ist die Rechtswidrigkeit der fraglichen Aktion. Es drohen Bußgelder, Haftung und andere negative Folgen.

„Erforderlich“ ist nicht im Sinne von zweckmäßig, praktisch, hilfreich oder sinnvoll zu verstehen. Erst recht unterliegt dieser Begriff nicht subjektiven Maßstäben, er ist objektiv zu bestimmen. Im Hinblick darauf, dass es sich hierbei stets um eine Ausnahme von einem gesetzlichen Verbot handelt, darf der Begriff auch keinesfalls weit verstanden werden. Vielmehr ist er eng, eben im Sinne einer Ausnahme, zu interpretieren. Die Ausnahme darf nie zur Regel werden.

Ob Daten erforderlich sind, ist von den berechtigten Interessen der Beteiligten abhängig. Auch diese Interessen und ihre Berechtigtheit sind wiederum objektiv zu beurteilen und richten sich nicht etwa nach der subjektiven Einschätzung des an den Daten Interessierten. Die Einschätzung muss objektiv und vernünftig nachvollziehbar sein. Weder zählt ein verschärftes Sicherungsbedürfnis des einen, noch ein übersteigertes Geheimhaltungsinteresse des anderen.

Erforderlichkeit ist nicht gegeben, wenn sich die berechtigten Interessen auch ohne die fraglichen Informationen wahren lassen. Andererseits muss auch keine zwingende Abhängigkeit bestehen; die Daten müssen nicht unverzichtbar sein. Gibt es aber zumutbare Alternativen, sind primär diese zu nutzen. Erst dann, wenn ein Ausweichen oder der Verzicht auf eine Information nicht sinnvoll oder unzumutbar wäre, kann die Erforderlichkeit wieder bejaht werden.

Beispiele:

  • Die Adresse eines Kunden ist etwa erforderlich, um eine Bestellung auszuführen, eine Lieferung durchzuführen oder eine Rechnung zu erstellen. Auch kann hier zusätzlich eine Telefonnummer erforderlich sein, wenn vorhersehbar Nachfragen entstehen oder kurzfristig ein Liefertermin vereinbart werden muss.
  • Die Angabe einer eMail-Adresse wird erforderlich sein, zum Beispiel in Fällen in denen ein Dienst aus Sicherheitsgründen nur über ein double opt-in Verfahren bereitgestellt wird. Ebenso zur Beantwortung einer elektronisch gestellten Anfrage. Die Abfrage einer Telefonnummern dagegen ist hier kaum gerechtfertigt.
  • Eine Bank wird im Rahmen einer Kreditvergabe Informationen über die Bonität des Interessenten einholen dürfen, selbst wenn die Abwicklung des Kreditvertrages auch ohne diese Informationen möglich wäre. Entsprechendes wird für den Vermieter einer Wohnung gelten. Immerhin besteht hier ein erhöhtes Schutzbedürfnis für die Genannten.  Für Geschäfte ohne besondere Risiken gilt dies jedoch nicht.

Zu beachten ist zusätzlich, dass einmal zulässig erhobene und verarbeitete Daten weiterhin einer Zweckbindung unterliegen. So darf etwa die für Rückfragen zulässig erfasste Telefonnummer oder eMailAdresse nicht auch für Werbung genutzt werden.

Fazit: „Erforderlich“ ist nicht, was bequem oder sinnvoll erscheint, sonden nur, was zur Erreichung eines vom Datenschutz (!) legitimierten Zwecks direkt unterstützend notwendig ist. Die Grenze ist eng zu ziehen.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Dokumenten – Datenschutz

Viele Computer-Dateien (doc, docx, xls, xlsx, pdf, jpg usw.) enthalten Metadaten. Metadaten sind zusätzliche Dateiinformationen, die Sie z.B. erzeugen, wenn Sie eine neue Word- oder Excel-Datei speichern. In diesen Dateien werden teilweise Informationen abgelegt, die eigentlich keine andere Person etwas angehen. Trotzdem werden diese Daten oftmals vergessen und nicht bewusst gelöscht.

Typische Metadaten zu einem Dokument sind beispielsweise der Name des Autors, Speicherpfade und Informationen zu Software-Versionen, Zugriffsrechten und dem Datum der letzten Änderung. Diese Daten können durch einen Angreifer ausgelesen, gesammelt und anschließend für gezielte Angriffe missbraucht werden.

Zusätzlich werden weitere Daten über die Zielpersonen in sozialen Netzen wie Xing oder Facebook gesucht. Eine eigene Homepage oder Informationen auf den Seiten des Arbeitgebers liefern noch weitere Informationen über die Zielperson. Diese Daten zusammen liefern einem Angreifer eine ausreichende Grundlage für gezielte technische oder Social-Engineering Attacken.

Einige Dokumentenformate sind auskunftsfreudiger als andere: Powerpoint-Präsentationen liefern z.B. mehr Informationen als etwa PDF-Dokumente und sind daher auch interessanter für den Angreifer. Eine spezielle Software zum Auslesen solcher Informationen kann unter anderem aus eingebetteten Bildern weitere Metadaten wie die benutzte Kamera auslesen (EXIF). Oftmals enthalten die EXIF-Daten auch noch ein Thumbnail des Originalfotos. Diese Vorschaubilder bleiben, trotz Bearbeitung des Orginals, unverändert. Ein unkenntlich gemachter Bildausschnitt im Foto kann also im Thumbnail unter Umständen noch zu erkennen sein.

Sobald Sie nun z.B. eine Office-Datei per E-Mail versenden, erhält der Empfänger nicht nur die Datei sondern auch alle zusätzlichen Informationen, die zu der Datei gespeichert sind. Das kann nicht immer wünschenswert sein. Abrufen können Sie diese Informationen einfach, indem Sie mit der rechten Maustaste auf die Datei klicken und Details anwählen.

Ein guter Schutz vor solchen Aufklärungsversuchen ist es, Metadaten aus Dokumenten vor der Veröffentlichung zu entfernen oder mit Dummy-Daten zu füllen.

Office enthält ab der Version 2007 die Funktion der Dokumentenprüfung, mit der Metadaten bequem gelöscht werden können:

  • Klicken Sie auf den Office-Button.
  • Wählen Sie den Eintrag „Vorbereiten“.
  • Klicken Sie auch den Befehl „Dokument prüfen“.
  • Wählen Sie in diesem Dialogfenster die Elemente aus, die überprüft werden sollen und klicken anschließend auf die Schaltfläche „Prüfen“.
  • Im Prüfungsergebnis werden Elemente, die zusätzliche Informationen enthalten mit einem Ausrufezeichen versehen. Sie können nun einzelne Elemente oder über die Schaltfläche „Alle entfernen“ sämtliche aufgeführte Informationen löschen.

In der Office-Version 2010 funktioniert das Löschen von Metadaten folgendermaßen:

  • Sie erreichen die Dokumentenprüfung über den Reiter „Datei“ und hier den Button „Informationen“.
  • Wählen Sie unter „Für die Freigabe vorbereiten“ den Eintrag „Auf Probleme überprüfen“.
  • Klicken Sie auch den Befehl „Dokument prüfen“.
  • Wählen Sie in der Dokumentenprüfung die zu prüfenden Elemente aus und klicken anschließend auf die Schaltfläche „Prüfen“.
  • Im Prüfungsergebnis sehen Sie die Elemente, die zusätzliche Informationen enthalten. Sie können nun einzelne Elemente oder über die Schaltfläche „Alle entfernen“ sämtliche aufgeführte Informationen löschen.

Beachten Sie, dass manche Informationen wie Kopf- und Fußzeilen eventuell doch nützlich sein könnten und im Dokument verbleiben sollten. Zur Sicherheit können Sie vor dem Löschen der Metadaten Ihr Dokument am Ende der Bearbeitung abspeichern und eine Kopie erstellen. Falls beim Löschen der Metadaten zu viele Informationen entfernt wurden, können Sie auf die Kopie zurückgreifen.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.