Wir sind schon mittendrin in einem neuen Jahr…, und das Jahr 2012 steht bei mir wieder unter dem Motto, das ich einfach mal „Besser“ nenne. Was meine ich damit? In Japan wird ein ähnliches Motto oder Modell von Leben gerne als Kaizen bezeichnet. Wer sich mal mit dem amerikanischen Self Improvement Guru Tony Robbins beschäftigt hat, der kennt es sicher als das “CANI“, damit ist das „Constant and Neverending Improvement“ gemeint. Nun gut…und bei mir ist dieses Motto „besser werden“ oder kurz „Besser“.

Und während ich so über die Weihnachts- und Silvesterfeiertage über das neue Jahr nachgedacht habe, da hatte ich die Idee, frischen Wind in meine Beiträge für den Newsletter Datenschutz-Tipps für Unternehmen zu bringen. Und zwar durch die neue „Besser“-Reihe. Konkret wurde die Idee dann, als ich an einem Onlinegewinnspiel im Internet mitmachen wollte und mir gedacht habe, dass es eine prima und vor allem lehrreiche Idee wäre, das, was im täglichen Leben so an Datenschutztexten (wie z.B. Einwilligungen etc.) produziert wird, einfach mal darzustellen, um dann meine ganz persönliche Meinung darüber schreiben, wie ich persönlich die Umsetzung noch besser machen würde – im Sinne der Einhaltung von Datenschutzvorschriften.

Der Fokus steht dabei nicht auf dem Fehler, also den Dingen, die das Unternehmen falsch gemacht hat, sondern ganz einfach darauf, was nach meiner persönlichen Meinung einfach besser gemacht werden könnte.

Aber sehen Sie selbst…ich habe die Gedanken für die “Besser“-Reihe hier einfach mal auf Video aufgenommen:

Wenn Sie auch immer frisch und aktuell über neue Artikel von „Besser“ informiert sein wollen, dann tragen Sie sich doch einfach als Abonnent für meinen kostenlosen Newsletter Datenschutz-Tipps für Unternehmen ein. So verpassen Sie keinen Artikel und können bequem frische Ideen für eine bessere und vor allem auch einfachere Umsetzung von Datenschutz lesen.

No related posts.

Da ich schon mehrfach danach gefragt wurde, möchte ich hier einmal die Gelegenheit nutzen, einen kleinen Einblick in meine Arbeitsweisen zu geben. In diesem Beitrag geht es zunächst einmal um ein Tool für das Wissensmanagement, das ich seit einigen Jahren (der Anwaltskollege Michael Seidlitz, der unter Anwälten dafür bekannt ist, dass er für die Beantwortung einer Frage binnen drei Minuten gleich ein halbes Dutzend Fundstellen zu Rechtsprechung und Literatur in einer E-Mail benennt, hat mir dieses Produkt empfohlen) einsetze. Es ist nicht übertrieben zu sagen, dass dieses Stück Software ein ganz wesentlicher Bestandteil meiner täglichen Arbeit als Anwalt ist und ich nur schwer ohne diese Software so effizient arbeiten könnte. Bei dieser Software handelt es sich um: DevonThink Pro Office

DevonThink Pro Office gibt es nur für den Mac, und – ganz ehrlich – es wäre für mich neben OmniFocus einer der Gründe für die Nutzung eines Macs, selbst wenn ich ansonsten ein anderes Betriebssystem nutzen würde.

DevonThink Pro Office ist meine zentrale Speicherstelle für Dokumente jeder Art. Gerade in Verbindung mit meinem Fujitsu ScanSnap S1500M wird das Abarbeiten von Papierpost ein wahrer Genuss. Grundsätzlich wird jedes Stück Papier, das in der Kanzlei eingeht, mit dem ScanSnap eingescannt und in DevonThink Pro Office abgelegt. Vertragsdokumente oder auch juristische Literatur wird durch DevonThink Pro automatisch einer Texterkennung unterzogen. So werden Volltextsuchen in der Datenbank in juristischen Dokumenten effizient möglich. Außerdem wird jedes Dokument in der Regel mit Tags versehen, so dass über diese Schlagwörter später auch Dokumente zu gleichen oder ähnlichen Themengebieten auf Schlagwortbasis gefunden werden können.

DevonThink Pro Office ist vor allem auch Grundlage für ein neues Beratungsprodukt von mir geworden, dass noch vor Weihnachten angeboten werden wird. Diese neue Beratungsdienstleistung heißt “DatenschutzSupport”, und wenn Sie neugierig sind, dann können Sie jetzt schon einen ersten Eindruck davon gewinnen. Denn das dazugehörige Video ist bereits online. Bei dieser Dienstleistung findet neben DevonThink Pro Office vor allem auch TextExpander Anwendung. TextExpander ist ein Tool, mit dem Sie über Buchstabenkombinationen Textbausteine einsetzen können. TextExpander ist mit DevonThink Pro Office die Grundlage für die sehr schnelle Beantwortung der 80% der Fragen, die regelmäßig bei Unternehmen im Datenschutzbereich als FAQ auftauchen. Ohne TextExpander und DevonThink Pro Office würde es “DatenschutzSupport” nicht geben.

Ein Beispiel dafür, wie ich DevonThink Pro Office für die Wissensverarbeitung einsetze, habe ich im nachfolgenden Video dokumentiert. Hier zeige ich, wie halbautomatisch alle Beschlüsse des Düsseldorfer Kreises in DevonThink Pro Office importiert und kategorisiert werden können – in stark vereinfachter Form. Außerdem kommt noch ein bisschen MindManager zum Einsatz.

Sie sollten in den Vollbildmodus switchen, um die Bildschirminhalte besser erkennen zu können.

Allgemein kann ich sagen, dass ich als Anwalt folgende Software-Produkte täglich im Einsatz habe:

• OmniFocus
• Mail.app mit GPGMail-Plugin
• Postbox 3 (wegen besserem Support für Verschlüsselung von Mails per PGP/GPG)
• DevonThink Pro Office
• TextExpander
• Dragon Dictate for Mac
• Scrivener for Mac
• Pixelmator
• Pages 09
• Microsoft Word
• Numbers 09
• iA Writer

Und was nutzt ihr bzw. nutzen Sie so? Ich habe die Kommentarfunktion hier freigeschaltet. Ich freue mich insbesondere über Tipps dazu, wie ihr DevonThink einsetzt.

No related posts.

Am 2. November 2011 ist es wieder soweit. Die Veranstaltung „Forum IT im Fokus“, die von den Firmen IT-Kontor GmbH & Co. KG und ACO Severin Ahlmann GmbH & Co. KG findet dann wieder in den schönen Räumen der ACO Academy in Rendsburg/Büdelsdorf (Schleswig-Holstein) statt. Thema dieses Jahr ist “Der virtuelle Mensch – im Spannungsfeld von Cloud, Facebook und harter Währung”

Auch ich habe dieses Jahr wieder die Ehre, dort einen Vortrag im Audimax halten zu dürfen. In ca. 45 min möchte ich die Zuhörer in gewohnt lockerer Form über das Thema „Webanalyse, Cookies, Facebook & Co. – Recht und Haftung aus anwaltlicher Sicht“ informieren.

Anhand von konkreten Beispielen möchte ich die aktuellen rechtlichen Herausforderungen beim Einsatz von Webanalyse-Tools darstellen und bei der Gelegenheit gleich die künftigen Anforderungen im Hinblick auf die erforderliche Einwilligung beim Einsatz von Cookie-Technologie erklären und Lösungsmöglichkeiten aufzeigen.

Natürlich darf auch das Thema Facebook nicht fehlen. Ich möchte mich dabei weniger mit marken-und urheberrechtlichen Problemen befassen, sondern vielmehr datenschutzrechtliche Aspekte und vor allem Aspekte der Datensicherheit/Industriespionage ansprechen.

Die Teilnahme an der Veranstaltung kostenfrei. Jedoch ist eine Anmeldung erforderlich.

Hier finden Sie das Programm der Veranstaltung: http://www.it-kontor.com/aktuelles/veranstaltungen/agenda/

Und hier ist ein Formular, über das Sie sich anmelden können: http://www.it-kontor.com/aktuelles/veranstaltungen/

No related posts.

Wie Sie wahrscheinlich wissen, bin ich Jurist. Genau genommen bin ich Rechtsanwalt. Ich bin also eigentlich gar nicht prädestiniert und wohlmöglich auch nicht qualifiziert dafür, hier Anleitungen und Hinweise zu geben, die Ihnen dabei helfen, ein IT-Sicherheitskonzept zu erstellen. Und vielleicht haben Sie sogar Recht. Es hat sicher einen Grund, dass IT-Sicherheitskonzepte von Technikern erstellt werden, oder? Und dennoch…bei meinem Internet-Angebot Datenschutz-Guru geht es eben nicht darum, dass ich der Guru bin. Es geht darum, die besseren Fragen zu stellen, um zu den besseren Ergebnissen zu gelangen. Genau das führt letztlich zu Erfolg. Aber was ist Erfolg? Erfolg ist, wenn Sie ihre Ziele erreichen! Und wenn Ihr und unser Ziel ist, IT-Sicherheit im Unternehmen einfach und effektiv besser umzusetzen als vorher, dann ist es auch Fachfremden erlaubt, Fragen zu stellen.
Und kennen Sie das nicht auch, dass Sie häufig so tief in Ihrer Fachwelt stecken, dass Sie den Wald vor lauter Bäumen nicht mehr sehen. Und wenn dann z.B. ein Arbeitskollege oder noch besser Ihr Lebenspartner fragt, warum Sie das nicht einfach “so und so“ machen, geht Ihnen auf einmal ein Licht auf, und es fällt der Groschen…die Lösung war viel einfacher als Sie dachten.

Ich erlaube mir daher – frech wie ich bin – hier Ausführungen als Jurist zu einem Technikthema zu machen. Und wenn wir es einmal näher betrachten, sehen wir sogar, dass es gar nicht nur ein technisches Thema ist. Auch wenn die Durchführung der Erstellung eines IT-Sicherheitskonzeptes ein primär techniklastiges Thema ist; die wesentlichen Motive für die Erstellung eines IT-Sicherheitskonzepts sind Rechtssicherheit und vor allem Risikominimierung und Risikominderung. Und diese Themen wiederum sind nicht nur mittelbar beeinflusst durch Recht, sondern sogar getrieben von Recht.

Meine Erfahrung als Anwalt mit IT-Sicherheitskonzepten: Meine erste unmittelbare mit IT-Sicherheitskonzepten stammt aus einer Zeit, in der ich noch als Referendar beim Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD) tätig war. Das war 2002. In diesem Jahr ist im ULD das „backUP – Magazin für IT-Sicherheit“ zum ersten Mal veröffentlicht worden. Und in der ersten Ausgabe, die nach wie vor gelungen und in den wesentlichen Teilen immer noch aktuell ist, wurde das Thema „IT-Sicherheitskonzepte – Planung, Erstellung und Umsetzung“ ziemlich umfassend und vor allem verständlich abgehandelt. Das war das erste Mal, das ich wirklich verstanden habe, wie so ein IT-Sicherheitskonzept erstellt wird und was dabei beachtet werden muss. Wenn Sie gleich in die Materie einsteigen wollen…einen Link zum Magazin finden Sie hier:

• backUP-Magazin 01: IT-Sicherheitskonzepte: Planung, Erstellung, Umsetzung (PDF)

Da ich schon zu Beginn meiner Anwaltszeit vornehmlich im IT-Recht und mittlerweile nur noch im Datenschutzrecht (und Recht der IT-Sicherheit) tätig bin, habe ich seitdem etliche IT-Sicherheitskonzepte gesehen, geprüft und evaluiert. Und noch häufiger habe ich erlebt, dass IT-Sicherheitskonzepte nicht vorhanden waren, obwohl wir das hätten erwarten können. Selbst in Verfahren für Datenschutz-Gütesiegel wie das Gütesiegel für IT-Produkte des ULD oder das European Privacy Seal (EuroPriSe) dürfen wir Gutachter uns manchmal wundern, dass selbst datenschutzaffine Unternehmen ihre Hausaufgaben im Bereich der Informationssicherheit nicht gemacht haben und z.B. IT-Sicherheitskonzepte fehlen.

Mit den Newsletter-Ausgaben „So erstellen Sie ein IT-Sicherheitskonzept“ möchte ich versuchen, gerade kleinen und mittelständischen Unternehmen das Thema näher zu bringen und ihnen zu ermöglichen, ein passendes IT-Sicherheitskonzept für ihr Unternehmen mit vertretbarem Aufwand zu erstellen und nach Möglichkeit auch zu pflegen. Die Idee dazu hatte ich, nachdem ich vor kurzem in Berlin eine Schulung für Mitarbeiter von mittelständischen Unternehmen durchgeführt habe, die das Thema IT-Sicherheitskonzepte im Hinblick auf den Datenschutz in Unternehmen beleuchten sollte. Es war das zweite Mal, dass ich dieses Seminar gehalten habe. Und als ich am Ende des ersten Seminartages in die Gesichter der Teilnehmer schaute, sah ich ziemlich genau, dass sie wahrscheinlich niemals Zeit und Ressourcen dafür aufbringen können, in ihren eher kleinen Unternehmen ein IT-Sicherheitskonzept nach BSI-Standard zu erstellen. Selbst bei Verwendung von Software-Tools bleibt der Aufwand immer noch enorm.

Was ich jedoch noch für viel relevanter halte, ist die Tatsache, dass ein IT-Sicherheitskonzept, das den BSI-Standard entspricht, sehr häufig weniger aussagekräftig ist, als ein zusammenhängend geschriebenes – selbstgestricktes – IT-Sicherheitskonzept, sofern dies bestimmte Kriterien erfüllt.

Als ich am Abend nach einer schönen Lauf-Runde durch den Tiergarten in Berlin in meinem Hotelzimmer angekommen war, habe ich die gesamte Seminarkonzeption für den zweiten Tag komplett neu gestaltet. Meine Idee war, zwar eine Anlehnung an BSI-Standard vorzunehmen, bei den wesentlichen Inhalten eines IT-Sicherheitskonzeptes jedoch die inhaltlichen Vorgaben für die Erstellung eines IT-Sicherheitskonzeptes aus dem o.g. backUP-Magazin des ULD als Grundlage anzusetzen.

Das ergab sich im Ergebnis für mich folgender Aufbau der IT-Sicherheitskonzeption:

• Jedes Unternehmen braucht eine IT-Richtlinie, die grundlegende Vorgaben für die Benutzung von IT-Systemen und Applikationen enthält und die sich an die Benutzer – also in der Regel die Mitarbeiter – richtet.
• Ein IT-Sicherheitskonzept, das in verständlicher Weise die grundlegenden technischen und organisatorischen Maßnahmen darstellt, die im Unternehmen zur Gewährleistung von Datenschutz und Datensicherheit getroffen werden.
• Flankierend zum IT-Sicherheitskonzept wird für jedes Unternehmen eine Auflistung der nach § 9 BDSG Betroffenen technischen und organisatorischen Maßnahmen in übersichtlicher Weise vorgenommen.

Kommen wir in diesem Newsletter am besten doch gleich zum ersten Punkt. Sie finden im Internet zahlreiche Muster für IT-Richtlinien, EDV-Benutzerrichtlinien oder ähnliche Dokumente, in denen es darum geht, dass ein Unternehmen (oder eine öffentliche Stelle) den Nutzern von IT-Systemen und -anwendungen Vorgaben im Umgang mit diesen Ressourcen macht. Es gibt sehr umfangreiche Dokumente, und es gibt sehr kurze Dokumente.

Für mich ist entscheidend, dass das Dokument neben den Basis-Inhalten vor allem auch für die Adressaten noch verständlich bleibt. Für meine Seminarteilnehmer habe ich einfach ein neues Dokument erstellt, das dem entspricht, wie ich mir eine IT-Richtlinie für ein kleines oder mittelständisches Unternehmen grundsätzlich vorstelle. Es ist nur ein Vorschlag, und Sie können das sicherlich besser machen als ich. Und Sie wissen ja wie das ist…manchmal ist es einfach hilfreich, wenn wir ein Muster haben, an dem wir uns orientieren können, um selbst unseren Weg zu einem noch besseren Dokument zu finden.

Also…warum fangen Sie nicht auch einfach an, ihre eigene IT-Richtlinie zu schreiben? Sie sind herzlich eingeladen, hierfür mein Muster zu verwenden, dass ich hier als Word-Dokument zur Verfügung stelle:

• IT-Richtlinie – Muster (.doc)

Es ist wirklich sehr leicht, so einen Anfang zu machen und das Dokument an ihre persönlichen Bedürfnisse anzupassen und – vor allem – zu verbessern.

Wenn Sie jedoch lieber auf Nummer sicher gehen wollen, dann sollten Sie in der Tat den Weg über BSI-Standard (“Grundschutz”) gehen. Hier brauchen Sie dann die BSI-Dokumente “Standard 100-1 bis 100-4″. Es handelt sich jeweils um PDF-Dokumente. Im BSI-Standard 100-1 geht es um die Erstellung einer Sicherheitsleitlinie werden allgemeine Anforderungen an Informationssicherheits-Management-Systeme beschrieben. Das eigentliche “Brot-und-Butter”-Dokument ist dann BSI-Standard 100-2, wo erläutert wird, wie die Strukturanalyse der IT-Systeme, Anwendungen, Räume und Netzkomponenten erfolgt und wie Sie dann die Schutzbedarfsfeststellung und die Ermittlung der Gefährdungen und der jeweils zu treffenden Maßnahmen aus den IT-Grundschutzkatalogen/-bausteinen entnehmen. Die BSI-Dokumente finden Sie hier:

• BSI Standard 100-1
• BSI Standard 100-2
• BSI Standard 100-3
• BSI-Standard 100-4

Für viele Unternehmen ist dies jedoch nach wie vor etwas komplex und daher vielleicht nicht die beliebteste Wahl.

Related posts:

1. So erstellen Sie schnell eine Übersicht der Maßnahmen nach § 9 BDSG (mit Muster)
2. Datenschutz-Tipp Nr. 26: So formulieren Sie eine perfekte Einwilligungserklärung (Teil 2)

Früher…so jauchzen einige Mitarbeiter aus Personalabteilungen…da war das mit den Bewerbungen irgendwie einfacher. Die Bewerbung kam per Post, und mit Abschluss des Auswahlverfahrens wurden die Bewerbungsunterlagen im Original zurückgesendet. So einfach war das.

Heute heißt die Personalabteilung “HR“ und die Vergabe von Stellen über Bewerbungen läuft auch durchaus anders. Ja, es gibt noch die klassischen alten Bewerbungsmappen, aber heute werden auch diese Daten in der Regel elektronisch ausgewertet und mit anderen Daten angereichert.

Das können zusätzliche Erkenntnisse aus einem Bewerbungsgespräche, aus einer Online-Recherche zum Bewerber in einer Personensuchmaschine wie z.B. yasni sein oder Ergebnisse aus einem Test bei einem Assessment Center sein. Diese Daten werden dann möglicherweise aggregiert in einer Bewerberdatendank gespeichert, und wir Juristen streiten uns heute immer noch darüber, ob für die Speicherung dieser Daten in einer Datenbank eine Einwilligung erforderlich ist oder nicht (dazu vielleicht in einem anderen Tipp mehr).

Aber ich möchte zum eigentlichen Thema zurück kommen. Die Ausgangsfrage lautet, wann Sie Bewerberdaten löschen müssen. Die klassische Juristenantwort “Es kommt darauf an.“ passt natürlich auch hier.

Nun aber ernsthaft: Immer wenn ich als Rechtsanwalt eine Frage zur Beantwortung vorgelegt bekomme, in der es um den Schutz von Daten im Arbeitsverhältnis bzw. im arbeitsrechtlichen „Anbahnungsverhältnis“ (Bewerbungsstadium, Auswahlverfahren), sind neben den datenschutzrechtlichen Fragen zunächst auch arbeitsrechtliche Besonderheiten zu beachten. Denn die arbeitsgerichtliche Rechtsprechung enthält ab und an durchaus Abweichungen von datenschutzrechtlichen Grundsätzen, die bei einer Recherche in einschlägigen juristischen Datenbanken und rechtswissenschaftlicher Literatur ermittelt werden können.

Für die Löschung von Bewerberdaten gibt es z.B. eine Entscheidung des Bundesarbeitsgerichts (BAG), die interessant ist. Das Urteil stammt vom 06.06.1984 (Az.: 5 AZR 286/81), dürfte aber immer noch Bedeutung haben. In dem Fall ging es um die Löschung eines Personalfragebogens eines abgelehnten Bewerbers.

Nach diesem Urteil gilt nach Rechtsprechung des BAG zunächst Folgendes:

• Die dauerhafte Aufbewahrung von Bewerberunterlagen kann das Persönlichkeitsrecht des Bewerbers verletzen.
• Eine Verletzung des Persönlichkeitsrechts liegt nicht vor, wenn der Arbeitgeber ein berechtigtes Interesse an der Aufbewahrung des Fragebogens hat.
• Die Absicht, den Fragebogen bei einer nochmaligen Bewerbung zu einem Datenvergleich heranzuziehen oder den Bewerber später zu einer nochmaligen Bewerbung anzuhalten, begründet ein solches berechtigtes Interesse nicht.
• Im Falle einer Verletzung des Persönlichkeitsrechts hat der Bewerber Anspruch auf Vernichtung (Löschung) der Daten.

Neben den arbeitsrechtlichen Aspekten sind aber auch die datenschutzrechtlichen Anforderungen zu beachten. Merke: es gibt nicht immer nur ein Gesetz oder ein einschlägig anzuwendendes Recht. So können z.B. Ansprüche aus dem Arbeitsrecht, aus dem Persönlichkeitsrecht und aus dem Datenschutzrecht konkurrierend nebeneinander zur Anwendung kommen. Das trägt nicht gerade zur Rechtsklarheit bei, ist aber eben so.

Nach § 32 Abs. 1 Satz 1 Alt. 1 BDSG dürfen personenbezogene Daten von Bewerbern für die Begründung eines Beschäftigungsverhältnisses erhoben, verarbeitet und genutzt werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses erforderlich ist.

Eine Regelung zur Löschung der Daten ist in § 32 BDSG nicht enthalten. Daher ist für die datenschutzrechtliche Lösung der Ausgangsfrage ein Blick in § 35 BDSG zu werfen. Dort ist nämlich die Löschung von personenbezogenen Daten geregelt. Nach § 35 Abs. 2 Satz 2 BDSG sind Daten u.a. zu löschen, wenn ihre Speicherung unzulässig ist oder sie für eigene Zwecke verarbeitet werden und ihre Kenntnis für die Erfüllung des Zwecks der Speicherung nicht mehr erforderlich ist.

Klar ist: Wenn Sie unzulässig Daten über den Bewerber speichern, die sie gar nicht erhoben durften, dann sind die Daten sofort zu löschen.

Wann müssen Sie jetzt aber rechtmäßig erhobene Daten eines Bewerbers löschen, der im Auswahlverfahren nicht den Zuschlag für den Job erhalten hat?

Wenn Sie sich den Gesetzestext durchlesen, dann könnte man meinen, dass mit der – für den Bewerber – negativen – Auswahlentscheidung der Zweck einer weiteren Speicherung der Bewerberdaten entfallen ist. Ausnahme wäre – arbeitsrechtlich (s.o.) – wenn der Bewerber z.B. in seinem Anschreiben zum Ausdruck gebracht hat, auch an künftigen anderen Stellenangeboten Interesse zu haben. Oder – noch besser – Sie haben im Zuge des Bewerbungsverfahrens eine schriftliche Einwilligung des Bewerbers eingeholt.

Was aber, wenn die Ausnahmen nicht vorliegen? Sicher ist mit der negativen Auswahlentscheidung ein wesentliches Element des Bewerbungsverfahrens abgeschlossen. Und früher hätte man sicher auch annehmen können, dass dann unverzüglich die Bewerberdaten hätten gelöscht werden müssen. Heute müssen aber auch etwaige Ansprüche aus dem Allgemeines Gleichbehandlungsgesetz (AGG) berücksichtigt werden..
Denn wie wollen Sie sich gegen jemanden verteidigen, der vor dem Arbeitsgericht Ansprüche wegen einer gesetzlich unzulässigen Benachteiligung im Auswahlverfahren gegen das Unternehmen geltend macht, wenn Sie überhaupt keine Daten mehr über den Bewerber haben und daher gar keine Aussage darüber treffen können, warum die Person nicht berücksichtigt werden konnte?

Auch die Verteidigung gegen erhobene Ansprüche ist ein berechtigtes Interesse des Unternehmens und eine in diesem Zusammenhang erfolgende weitere Speicherung der Daten ist für den Zweck (hier: Begründung eines Arbeitsverhältnisses bzw. die Entscheidung über die Begründung eines Arbeitsverhältnisses) erforderlich und damit datenschutzrechtlich zulässig.

Ein Bewerber muss seine Ansprüche aus dem AGG spätestens nach zwei Monaten geltend machen (§ 21 Abs. 5 AGG). Für die Frist entscheidend ist der Eingang der Klagschrift beim Arbeitsgericht.
Da man bedenken muss, dass die Klage vom Arbeitsgericht erst noch an das Unternehmen zugestellt werden muss, und dies – unter Berücksichtigung von durchaus vorkommenden Zustellungsschwierigkeiten – auch einmal einige Wochen dauern kann, ergeben sich für die datenschutzrechtliche Bewertung folgende Konsequenzen:

Meine rechtliche Empfehlung:
• Bewerberdaten dürfen nach Abschuss des Auwahlverfahrens für vier Monate gespeichert werden.
• Für den Fall, dass ein Rechtsstreit bei einem Gericht anhängig ist, dürfen die Daten bis zum rechtskräftigen Abschluss des Verfahrens gespeichert werden.

Zum Teil wird in der rechtswissenschaftlichen Literatur vertreten, dass eine weitere Speicherung von Bewerberdaten bis zum Ablauf der regelmäßigen zivilrechtlichen Verjährungsfrist von drei Jahren (§ 195 BGB) zum Ende eines Kalenderjahres rechtlich zulässig sei (vgl. Tager/Gabel-Zöll, § 32 BDSG Rn. 19). Begründet wird dies damit, dass neben Ansprüchen aus dem AGG auch allgemeine Unterlassungsansprüche z.B. wegen Verletzung von Persönlichkeitsrechten gegen das Unternehmen vom Bewerber geltend gemacht werden könnten und zur Abwehr die Bewerberdaten erforderlich seien.

Auch wenn die Argumentation nachvollziehbar ist, ist die Praxis der Aufsichtsbehörden m.E. eine andere. Die Wahrscheinlichkeit, dass ein Unternehmen sich über den Ablauf der Verjährungsfristen hinaus gegen zivilrechtlich Ansprüche eines abgelehnten Bewerbers zur Wehr setzen muss, scheint mir zudem nicht sehr praxisrelevant bzw. risikobehaftet zu sein.

Ich empfehle daher eine kürzere Speicherung.

Hinweis: Dieser Beitrag stammt aus meinem Newsletter Datenschutz-Tipps für Unternehmen, den Sie kostenlos abonnieren können.

No related posts.

Es ist jetzt Anfang August 2011, und wir stecken momentan noch mitten in der Urlaubszeit. Und: Was haben Sie für Ihre Urlaubsabwesenheit für ihren dienstlichen E-Mail-Account geplant? Bleibt dieser etwa für die Zeit des Urlaubs komplett ruhen und bleibt ungelesen?
Dann laufen Sie allenfalls Gefahr, dass wichtige E-Mails nicht bearbeitet werden oder Fristen versäumt werden. Vielleicht haben Sie aber einen Auto-Responder aktiviert, der die Absender von E-Mails an Sie darüber informiert, dass Sie sich gerade im wohlverdienten Urlaub befinden und sich nach Rückkehr aus dem Urlaub zurückmelden werden. Vielleicht informiert der Auto-Responder den Absender freundlicherweise auch darüber, dass Sie für eilige Fälle einen Vertreter haben, bei dem das dringliche Anliegen gegebenenfalls noch einmal selbst durch eine weitere E-Mail vorgebracht werden kann.

Diese Konstellation ist eine einfache und rechtlich unproblematisch Konstellation, die ich immer empfehlen würde, wenn der jeweilige E-Mail-Account nicht regelmäßig mit Fristsachen oder Kundenanliegen beglückt wird.

Was aber können Sie tun, wenn die Bearbeitung der E-Mails während ihres Urlaubs durch Kollegen (oder die Unternehmensleitung) unbedingt erforderlich ist? Dann fangen die rechtlichen Probleme erst so richtig „schön“ an. Dürfen Sie zum Beispiel einem Kollegen Zugriffsrechte auf Ihren E-Mail-Account einräumen? Oder dürfen Sie gar eine Weiterleitung der E-Mail an einen oder mehrere Kollegen einrichten? Das alles sind wunderbare Fragen, auf die es bis heute keine eindeutigen Antworten gibt. Es gibt nämlich keine einschlägige, klare Rechtsprechung zu diesen Fragen, und die Literatur zu diesem Thema schweigt sich zu den wesentlichen Probleme aus oder ist heillos zerstritten.

Für die Beantwortung all dieser Fragen ist stets entscheidend, ob in Ihrem Unternehmen die private Nutzung des dienstlichen E-Mail-Accounts erlaubt ist oder nicht. Ist die private Nutzung erlaubt, wäre nach bisher herrschender Meinung ein Zugriff auf E-Mails während ihres Urlaubs durch Vorgesetzte, Kollegen oder die Unternehmensleitung rechtlich unzulässig. Abhängig von der technischen Ausgestaltung würde nämlich entweder eine Verletzung des Fernmeldegeheimnisses oder eine Verletzung des Rechts auf Integrität und Vertraulichkeit informationstechnischer Systeme vorliegen. Nach einer noch ganz frischen arbeitsrechtlichen Entscheidung des LAG Berlin-Brandenburg (Urteil vom 16.02.2011, Az.: 4 Sa 2132/10) soll aber das Fernmeldegeheimnis zumindest in bestimmten Konstellationen das Fernmeldeheimnis auch bei erlaubter Privatnutzung nicht für den Arbeitgeber greifen. Die Begründung ist jedoch nicht ganz überzeugend, wie ich finde. Ob sich diese Auffassung durchsetzt, wird sich zeigen.

Nach strenger Auffassung dürfte im Fall einer erlaubten Privatnutzung von E-Mail Ihr Vorgesetzter im Übrigen auch nicht von Ihnen verlangen können, dass Sie dem Zugriff auf Ihren E-Mail-Account während ihrer Abwesenheit zustimmen. In diesem Fall würde es nämlich an der erforderlichen „Freiwilligkeit“ der Zustimmung/Einwilligung fehlen.

Wenn Sie jedoch freien Herzens und aus eigener Überzeugung gerne während ihrer Abwesenheit ihre E-Mails von einem Kollegen bearbeitet wissen wollen, dann spricht zunächst nichts dagegen, dass Sie eine entsprechende Zustimmung/Einwilligung erteilen. Diese kann in diesen Fällen auch regelmäßig konkludent – also durch stillschweigendes, schlüssiges Handeln – erfolgen, so dass es ausreicht wenn Sie selbst die entsprechende Berechtigung in Ihrem E-Mail-Programm einrichten.

Das hört sich alles auf den ersten Blick nachvollziehbar und gar nicht so komplex an. Jetzt wundern Sie sich vielleicht, warum ich am Anfang geschrieben habe, dass die Rechtslage komplex und und eindeutig sei. Nun ja…dazu dürfen Sie wissen, dass Sie nicht alleine auf diesen Planeten sind. Was meine ich jetzt aber damit? Lassen Sie mich das am besten anhand eines konkreten Beispiels darstellen:

Ich hatte einmal einen Mandanten, einen Geschäftsführer einer GmbH, den ich aufgrund meiner Tätigkeit als Anwalt für das Unternehmen auch einmal in einer etwas pikanten, privaten Angelegenheit strafrechtlich vertreten – bzw. strafrechtlich korrekter ausgedrückt – verteidigt habe habe. Ohne auf weitere Details einzugehen, ging es in dem Fall um eine nicht besonders schwerwiegende Straftat, die sich jedoch – für den Mandanten etwas peinlich – im „Rotlichtbereich“ zugetragen haben soll. Mit Zustimmung des Mandanten ist die E-Mail-Kommunikation in dieser Angelegenheit über den dienstlichen E-Mail-Account des Geschäftsführers geführt worden und mit seiner Zustimmung auch in unverschlüsselter Form.

Wie es in strafrechtlichen Angelegenheiten üblich ist, habe ich zunächst die so genannte Verteidigungsanzeige an die Staatsanwaltschaft gesendet, in der ich darauf hingewiesen habe, dass mein Mandant zunächst keine Angaben zur Sache macht, bevor nicht Akteneinsicht erteilt wurde, und ein entsprechendes Akteneinsichtsgesuch (das ist mal „Juristendeutsch“) gestellt.

Und dann passierte – auch für Strafsachen nicht unüblich – lange nichts. Nach ca. 3 Monaten erhielt ich dann die Akte von der Staatsanwaltschaft und habe den Mandanten entsprechend über den Inhalt der Akte per E-Mail informieren wollen. Gesagt – getan. Die E-Mail habe ich geschrieben, Korrektur gelesen, und ordnungsgemäß an den Geschäftsführer per E-Mail adressiert.

Als ich ungefähr eine Stunde später meine E-Mails abgerufen habe, bekam ich Gänsehaut. In meiner „Inbox“ hatte ich eine E-Mail, die mich leider nicht auf einen Lottogewinn hingewiesen hat, sondern darauf, dass mein Mandant (der Geschäftsführer) sich im Urlaub befindet und diese E-Mail automatisch an seinen Vertreter im Unternehmen, Herrn Max Mustermann (Name natürlich von mir geändert) weitergeleitet wird. Na toll…auf diese Weise wurde der Geschäftsführer (mein Mandant) durch die Weiterleitung an den Kollegen im Unternehmen als „Rotlicht-Gänger“ geoutet. Diese Situation war mir natürlich sehr unangenehm. Auch wenn ich nicht unmittelbar für die Offenbarung des Geheimnisses verantwortlich war (schließlich musste der Geschäftsführer selbst am besten wissen, dass möglicherweise auch unangenehme E-Mails in seiner E-Mail-Inbox landen, die seine Kollegen nichts angehen), war es doch ein ziemlich blödes Gefühl, daran mitgewirkt zu haben, dass der Ruf des Geschäftsführers in seinem eigenen Unternehmen möglicherweise erheblich geschädigt worden ist.

Was hat diese Geschichte nun mit unserem Thema zu tun? Ganz einfach: in einer Kommunikation, die über Telekommunikationsmittel wie zum Beispiel Telefon oder E-Mail erfolgt, geht es nicht immer nur um den Schutz des Empfängers einer E-Mail, sondern eben manchmal auch um den Schutz des Absenders einer E-Mail. Im Beispielsfall habe ich zwar keine Geheimnisse über mich verraten, sondern über den Mandanten, der die E-Mail empfangen hat. Das hätte natürlich aber auch noch anders sein können.

Wie dem auch sei, in meinem konkreten Beispielsfall hätte ich mir sehr gewünscht, dass meine E-Mail nicht automatisch an den Vertreter meines Mandanten weitergeleitet worden wäre. Ideal wäre für mich gewesen, wenn ich lediglich eine Benachrichtigung durch einen Auto-Responder bekommen hätte, der mich auf den Urlaub des Mandanten und einen gegebenenfalls bestellten Vertreter hingewiesen hätte. Dann wäre die E-Mail mit dem pikanten Inhalt lediglich bei dem gelandet, den es angeht: meinen Mandanten.

Ob die automatische Weiterleitung von E-Mails während der Abwesenheit (z.B. urlaubsbedingt) an Kollegen oder die Erteilung von Zugriffsrechten auf Ihren E-Mail-Account rechtlich zulässig ist oder nicht, ist juristisch bis heute nicht eindeutig geklärt. Während eine Auffassung davon ausgeht, dass der Absender einer E-Mail damit rechnen müsse, dass auch Kollegen – z.B. während des Urlaubs – auf die E-Mails des Empfängers zugreifen können, geht eine andere Auffassung davon aus, dass auch der Schutz des so genannten B-Teilnehmers (Absender der E-Mail) gewährleistet sein muss und daher eine entsprechende Weiterleitung oder Kenntnisnahme von E-Mails durch Dritte nur mit Zustimmung des E-Mail-Absenders zulässig ist.

Die rechtliche „Bewältigung“ der Herausforderungen der Informationsgesellschaft scheitert also auch einmal wieder an diesem Punkt. Wir Juristen dürfen uns daher immer mehr damit anfreunden, dass wir es – zumindest im Bereich der rechtlichen Beratung – immer weniger mit „Compliance“, also der Einhaltung von Rechtsgrundlagen, und immer mehr mit „Best Practice” zu tun haben. Der Best-Practice-Ansatz zeigt dabei einen Weg auf, bei dem die Einhaltung der Rechtsvorschriften mit relativ hoher Sicherheit gewährleistet ist. Er zielt weniger darauf ab, dass rechtlich Mögliche zu erreichen, sondern eher durch eine größere Vorsicht eine höhere Wahrscheinlichkeit für die Einhaltung der Rechtsgrundlagen zu erhalten.

Tja… und wie sieht nun der Best-Practice-Ansatz für Ihren E-Mail-Account während Ihrer Urlaubsabwesenheit aus? Ich würde – nach meiner ganz persönlichen Meinung – sagen, so:

1. Wenn Sie im Urlaub selbst ihre E-Mails lesen, dann brauchen Sie weder eine Weiterleitung von E-Mails an Kollegen oder eine Zugriffsberechtigung von Kollegen auf Ihren E-Mail-Account. Sie sollten entsprechend diese Dinge unterlassen. Teilen Sie doch ggf. ihren häufigen Gesprächspartnern im Vorwege mit, dass Sie sich in der Zeit von X bis Y im Urlaub befinden und ihre E-Mails mindestens einmal am Tag (z.B vormittags oder abends) lesen und bearbeiten. Dann können Sie dringliche Sachen immer noch an Kollegen delegieren.
2. Wenn Sie im Urlaub nicht Ihre E-Mails lesen wollen UND es nicht zwingend erforderlich ist, dass der E-Mail-Account z.B. für Wahrung von Fristangelegenheiten von Kollegen gelesen wird, dann richten Sie einen Auto-Responder ein („Abwesenheitsbenachrichtigung“), der den Absender einer E-Mail an Sie darüber informiert, dass Sie sich im Urlaub befinden und wann Sie zurück wieder zurück sind. Außerdem sollten Sie gerne darauf hinweisen, dass die E-Mail nicht an einen Kollegen weitergeleitet bzw. gelesen wird. Hilfreich ist es daher, auf Namen und E-Mail-Adresse (ggf. auch Telefonnummer etc.) eines Kollegen hinzuweisen, der sich um das Anliegen kümmern kann, damit der E-Mail-Absender eine Chance der Bearbeitung seines Anliegens bekommt.
3. Wenn durch Nichtbearbeitung Ihrer E-Mails mit hoher Wahrscheinlichkeit ein Schaden für Absender von E-Mails an Sie entstehen kann, dann kann es unter Umständen geboten (und auch zulässig sein), eine Zugriffsberechtigung auf Ihren E-Mail-Account für Kollegen einzurichten. Dies sollte jedoch stets die Ausnahme sein. Wenn Sie regelmäßig mit denselben Personen kommunizieren und z.B. E-Mails von Personen, mit denen Sie vorher keinen Kontakt gehabt haben, selten bekommen, dann können Sie ihre üblichen Kontaktpersonen besser im Vorwege über einen Vertreter informieren, an den diese sich während Ihrer Abwesenheit wenden sollen. Oder Sie verweisen auf einen ggf. bestehen Gruppen-E-Mail-Account (z.B. vertrieb@mustermann-firma-xyz.de). Dann wird eine Kenntnisnahme der E-Mails an Sie durch Kollegen entbehrlich, und der Schutz des E-Mail-Empfängers bleibt gewährleistet.

Ach ja…„one more thing“: Wenn Sie Datenschutzbeauftragter eines Unternehmens sind, sollten Sie während der Urlaubsabwesenheit sehr vorsichtig mit Weiterleitungen und Zugriffsberechrtigungen für Dritte sein, wenn es sich um die E-Mail-Adresse handelt, die in der Außendarstellung oder in der bisherigen Korrespondenz mit Betroffenen verwendet wurde. Denn nach § 4f Abs. 4 BDSG unterliegt der Datenschutzbeauftragte einer besonderen Verschwiegenheitspflicht zugunsten des Betroffenen. Der Datenschutzbeauftragte ist – soweit nicht eine Befreiung durch den Betroffenen erteilt wurde – verpflichtet, Stillschweigen über die Identität des Betroffenen sowie der Umstände seines Anliegens zu bewahren. Wenn nun jedoch ein Kollege die E-Mail an den Datenschutzbeauftragten während dessen Urlaubs zur Kenntnis bekommt, dann gibt es ein Problem. Das erkennen Sie selbst, nicht wahr?
Allerdings sieht das BDSG erstaunlicherweise keine Sanktionen bei der Verletzung der Verschwiegenheitspflicht durch den Datenschutzbeauftragten vor. Jedoch kann im Falle eines materiellen oder immateriellen Schadens des Betroffenen durch die Verletzung der Verschwiegenheitspflicht ggf. ein Schadensersatzanspruch gegenüber dem Datenschutzbeauftragten durch den Betroffenen geltend gemacht werden.

Sie merken…alles nicht ganz so einfach mit diesen E-Mails.

Und ich bin mir sicher, dass Sie den für Sie passenden Weg nun finden werden.

Der nächste Urlaub kommt bestimmt. Ich freue mich für Sie. Genießen Sie ihn – mit Auto-Responder

Ihr Stephan Hansen-Oest

Hinweis: Dieser Beitrag stammt aus meinem Newsletter Datenschutz-Tipps für Unternehmen, den Sie kostenlos abonnieren können:

No related posts.

Auftragsdatenverarbeitung ist in aller Munde und aus der Unternehmenspraxis nicht mehr wegzudenken. Ob es nun die Wartung von IT-Systemen oder die Durchführung komplexer Datenanalysen für den Auftraggeber ist….es muss nach § 11 BDSG neben der sorgfältigen Auswahl des Auftragnehmers unbedingt auch der Auftrag zur Verarbeitung der Daten schriftlich erteilt werden.

Mittlerweile haben viele Unternehmen Musterverträge für ihre eigenen Bedürfnisse erstellt. Und das betrifft sowohl Unternehmen als Auftraggeber als auch Unternehmen als Auftragnehmer.

Wenn Sie z.B. als Datenschutzbeauftragter, Justitiar oder sonstiger Verantwortlicher für die Prüfung eines Auftragsdatenverarbeitungsvertrages verantwortlich sind, stehen Sie regelmäßig vor der Herausforderung – und das meist auch noch schnell – eine Prüfung des Vertrages im Hinblick auf die Einhaltung der Vorgaben des § 11 BDSG, und insbesondere bzgl. § 11 Abs. 2 BDSG durchzuführen.

Natürlich können Sie jetzt ins Gesetz schauen und Punkt für Punkt prüfen, ob die Voraussetzungen vorliegen. Vielleicht geht es aber auch noch einfacher. Ich gebe zu: Ich bin ja normalerweise nicht so ein Checklisten-Fan, da ich eher nicht prozedural, sondern optional “programmiert” bin; gleichwohl hat mir die nachfolgende Checkliste in meiner anwaltlichen Praxis erheblich geholfen, die Vertragsprüfungen zu beschleunigen.

Die Checkliste ist eine Hilfestellung und ersetzt keine vollständige juristische Prüfung. Ich habe die Inhalte nach meinen persönlichen Vorlieben und Schwerpunkten gewählt. Bitte beachten Sie, dass Ihre Aufsichtsbehörde möglicherweise andere Punkte wichtig findet. Klären Sie die Vollständigkeit der Punkte daher unbedingt auch noch mal für Ihre Bedürfnisse ab.

So benutzen Sie die Checkliste:

• Laden Sie sich die Checkliste herunter.
• Öffnen Sie die Checkliste mit Microsoft Word oder einer anderen Textverarbeitung, die in der Lage ist, mit Formularfeldern zu arbeiten.
• Legen Sie sich den zu prüfenden Auftragsdatenverarbeitungsvertrag zurecht.
• Gehen Sie die Fragen der Checkliste durch.
• Wenn Sie die jeweilige Frage mit “Ja” beantworten könnten, dann geben Sie die Fundstelle im Vertrag in dem betreffenden Feld an. Das ist für Sie ein idealer Nachweis der Prüfung und eine prima Gedankenstütze, wenn Sie den Vertrag noch einmal prüfen bzw. den Abschluss begründen sollen.
• Wenn Sie Fragen mit “Nein” beantworten müssen, ist dies ein starkes Anzeichen dafür, dass der Vertrag überarbeitungsbedürftig ist. Klären Sie diesen Punkt am besten in Ihrem Unternehmen und vor allem mit dem Vertragspartner, um etwaige Zweifel an der Einhaltung der Voraussetzungen des § 11 Abs. 2 BDSG gar nicht erst entstehen zu lassen.
• Wenn Sie mit der Prüfung fertig sind, können Sie als Prüfender die Checkliste für Nachweiszwecke unterzeichnen – müssen Sie aber nicht.
• Belohnen Sie sich nach getaner Arbeit – Sie haben mit der Checkliste sicher Zeit eingespart. Die können Sie nutzen, z.B. für einen leckeren Milchkaffee, Bürosport oder einen Plausch mit den Kollegen.

Und wenn Sie die Checkliste gut finden, dann freue ich mich über ein Lob! Empfehlen Sie dann doch gerne anderen meinen kostenlosen Newsletter Datenschutz-Tipps für Unternehmen weiter. Denn Empfehlungen sind für mich ein großes Lob! Herzlichen Dank!

Wichtiger Hinweis zum Urheberrecht:
- Die Nutzung der Checkliste für eigene Zwecke ist kostenfrei.
- Der Verkauf der Checkliste ist untersagt.

Oder mit anderen Worten: Sie können die Checkliste für eigene Zwecke jederzeit gerne verwenden, insbesondere vervielfältigen und bearbeiten. Ich möchte lediglich nicht, dass ein Unternehmen die Checkliste dazu nutzt, um diese an Dritte zu verkaufen. Die Checkliste in dieser Fassung soll stets kostenfrei bleiben, und ich möchte nicht, dass dies durch Dritte umgangen wird.

Sie können die Checkliste als Word-Datei (.docx) hier herunterladen:

• Checkliste Auftragsdatenverarbeitung V1 (.docx)

Hinweis: Dieser Beitrag stammt aus meinem Newsletter Datenschutz-Tipps für Unternehmen, den Sie kostenlos abonnieren können:

No related posts.

Das Bundesdatenschutzgesetz (BDSG) ist nicht gerade ein Gesetzeswerk, das durch das einfache Lesen des Gesetzestextes verstanden werden kann. Im Gegenteil: häufig verwirrt die Lektüre der Rechtsnormen, und Sie wissen nach dem Lesen noch weniger als vorher bzw. verstehen gar nichts mehr. Trösten Sie sich! Es geht nicht nur Ihnen so. Selbst für gestandene Datenschutzrechtler sind einige Normen im BDSG bei reiner Zugrundelegung des Wortlautes nicht mehr verstehbar. Die Lage ist skurril. Einerseits betont das Bundesverfassungsgericht (BVerfG) gerade für das Recht auf informationelle Selbstbestimmung das Erfordernis von gesetzlichen Regelungen, die dem Gebot von Normenbestimmtheit und Normenklarheit entsprechen; andererseits ist der Gesetzgeber derzeit offenbar nicht in der Lage, diesem Gebot durch verständliche Regelungen im Datenschutzrecht gerecht zu werden.

Für mehr Klarheit darf dann gerne Literatur sorgen. Und zum BDSG gibt es mittlerweile (neben Lehrbüchern) eine Reihe von Gesetzeskommentaren, die auch den Datenschutzbeauftragten bei der Bewältigung von Anfragen und bei der Klärung von datenschutzrechtlichen Sachverhalten unterstützen sollen. Die Preisspanne ist dabei sehr unterschiedlich.

Wie Sie als Datenschutzrechtler oder Datenschutzbeauftragte das richtige Buch auswählen und bzw. oder herausfinden, was zu Ihnen passen könnte, das zeige ich Ihnen im nachfolgenden Video:

Ja…ich weiß, das Video ist recht lang und eignet sich vielleicht nicht dazu, es mal kurz zwischendurch zu sehen. Wenn Sie sich aber ernsthaft mit der Anschaffung eines passenden BDSG-Kommentars beschäftigen, dann ist das Anschauen hilfreich und wertvoll – das verspreche ich Ihnen. Natürlich können Sie auch einfach zu den Passagen “vorspulen”, die Sie interessieren. Sie müssen ja nicht zwingend das komplette Video sehen.

Neben der reinen Vorstellung und Kritik an den einzelnen Büchern, gibt es auch ein paar (wenige) Insider-Infos zu den Autoren.

Folgende BDSG-Kommentare bzw. Bücher werden im Video besprochen:

• Simitis, Bundesdatenschutzgesetz, 7. Auflage 2011, ISBN: 3832941835, Preis: 178,00 €
• Gola/Schomerus, BDSG – Bundesdatenschutzgesetz, 10. Auflage 2010, Preis: 54,00 €
• Rolf G. Abel, Praxiskommentar Bundesdatenschutzgesetz – Schnelle Klarheit im novellierten BDSG, 5. Auflage 2009, Preis: 89,00 €
• Däubler/Klebe/Wedde/Weichert, Bundesdatenschutzgesetz, 3. Auflage 2009, Preis: 69,90 €
• Schaffland/Wiltfang, Bundesdatenschutzgesetz (BDSG), Loseblattwerk, Preis: 98,00 € (dann Ergänzungslieferungen im Abonnementbezug, alternativ: Einzelkauf des aktuellen Werkes ohne Ergänzungslieferungen für 168,00 €) – Hinweis: Im Video habe ich mich über die Loseblattsammlungen beschwert und stattdessen Online-Kommentare gewünscht. Auf den Seiten des ESV-Verlages habe ich jetzt gesehen, dass es außerdem auch eine Online-Version des Werkes gibt. Ich nehme meine Kritik natürlich zurück
• Taeger/Gabel, Kommentar zum BDSG und den einschlägigen Vorschriften des TMG und TKG, 1. Auflage 2010, Preis: 218,00 €
• Wybitul, Datenschutz im Unternehmen, 1. Auflage 2011, Preis: 59,00 €
• Bergmann/Möhrle/Herb, Datenschutzrecht, Loseblattsammlung, Preis: 84,00 €

Hinweis: Dieser Beitrag stammt aus meinem Newsletter Datenschutz-Tipps für Unternehmen, den Sie kostenlos abonnieren können:

Related posts:

1. Datenschutz-Tipp Nr. 30: Was es mit der Meldepflicht nach dem BDSG so auf sich hat…
2. So erstellen Sie schnell eine Übersicht der Maßnahmen nach § 9 BDSG (mit Muster)

Oh je…vielleicht kennen Sie die Situation – sei es als Auftraggeber oder Auftragnehmer: Ihr Vertragspartner, für den die Daten verarbeiten oder von dem Sie Daten bekommen sollen, verlangt von ihnen eine Aufstellung der sog. technischen und organisatorischen Maßnahmen im Sinne des § 9 BDSG und der sog. Anlage zu § 9 Satz 1 BDSG. In dem Thema Datenschutz gut aufgestellt sind und ihre interne Verarbeitungsübersicht aktuell ist, haben Sie mit dieser Anfrage möglicherweise überhaupt kein Problem.

Vielleicht geht es Ihnen aber auch wie vielen anderen Unternehmen, und Sie haben im Bereich des Datenschutzes und gerade im Bereich der Dokumentation noch ein wenig Nachholungsbedarf. Und wenn Sie dann noch nie mit den sog. 8 Geboten der Anlage zu § 9 Satz 1 BDSG zu tun gehabt haben, kann es schon ein wenig Zeit in Anspruch nehmen, die von ihrem Vertragspartner geforderten Informationen zusammenzutragen.

Ich habe mir überlegt, wie ich Unternehmen dabei unterstützen kann, diese Aufgabe effektiv und vor allem einfach zu erledigen. In der praktischen Arbeit geht ein Großteil der Zeit dafür “flöten”, dass Sie gar nicht wissen, was denn überhaupt mögliche Maßnahmen z.B. einer Zutrittskontrolle sein können. Wäre es dann nicht einfacher und vor allem schneller, wenn ich auf einem “Set” von Maßnahmen die passenden ankreuzen kann? Sicher wäre das eine Hilfe, oder?

Hier ein Video mit einer Demonstration der Ausfüll-Hilfe:

Und Ja…natürlich wäre es professioneller, wenn Sie die von Ihnen getroffenen Maßnahmen einzeln aufführen und nicht auf Basis einer “Ankreuzliste” an ihren Vertragspartner senden. Manchmal haben sie aber eben nicht die Zeit, und vor allem kann so eine Liste dann auch dafür genutzt werden, um durch Fleißarbeit eine individuelle, auf das Unternehmen abgestimmte Liste zu erstellen.

Wie dem auch sei, schaden kann so eine Liste jedenfalls nicht. Und sei es, dass sie eine Gedankenstütze ist, für die Maßnahmen, die Sie als technische und organisatorische Maßnahmen zur Datensicherheit treffen müssen.

Und denken Sie daran, dass nach herrschender Auffassung in der rechtswissenschaftlichen Literatur eine reine Aufzählung bzw. Wiedergabe des Textes der Anlage zu § 9 Satz 1 BDSG als Dokumentation der von Ihnen getroffenen technischen und auch organisatorischen Maßnahmen zu Datenschutz und Datensicherheit nicht ausreichend ist.

Natürlich sind die von mir in der Ausfüll-Hilfe aufgeführten Maßnahmen nicht vollständig. Es dürften gleichwohl die gängigen Maßnahmen sein, die in der Praxis häufig gebraucht werden.

Vielleicht kann der eine oder andere von Ihnen damit etwas anfangen. Darüber würde ich mich sehr freuen.

Wichtiger Hinweis zum Urheberrecht:

• Die Nutzung der Ausfüll-Hilfe für eigene Zwecke ist kostenfrei.
• Der Verkauf der Ausfüll-Hilfe ist untersagt.

Oder mit anderen Worten: Sie können die Ausfüll-Hilfe für eigene Zwecke jederzeit gerne verwenden, insbesondere vervielfältigen und bearbeiten. Ich möchte lediglich nicht, dass ein Unternehmen die Ausfüll-Hilfe dazu nutzt, um diese an Dritte zu verkaufen. Die Ausfüll-Hilfe in dieser Fassung soll stets kostenfrei bleiben, und ich möchte nicht, dass dies durch Dritte umgangen wird.

Viel Spaß mit der Ausfüll-Hilfe und beim Ankreuzen der passenden Maßnahmen. Wenn Sie noch Fragen zu dem Formular haben, melden Sie sich gerne bei mir.

Sie können die Word-Datei (.docx) hier herunterladen:

• Ausfüll-Hilfe technische und organisatorische Maßnahmen nach § 9 BDSG (.doc) [Stand: 25.08.2011 (V2)]

Hinweis: Dieser Beitrag stammt aus meinem Newsletter Datenschutz-Tipps für Unternehmen, den Sie kostenlos abonnieren können:

Related posts:

1. Datenschutz-Tipp Nr. 30: Was es mit der Meldepflicht nach dem BDSG so auf sich hat…
2. So erstellen Sie ein IT-Sicherheitskonzept (Teil 1 – IT-Richtlinie)
3. Bücher für den Datenschutzbeauftragten: BDSG-Kommentare (Video-Rezension)

Dieser Beitrag stammt aus meinem Newsletter Datenschutz-Tipps für Unternehmen, den Sie kostenlos abonnieren können:

Haben Sie schon einmal ein Verfahren bei der für Sie zuständigen Aufsichtsbehörde für den Datenschutz im nicht-öffentlichen Bereich gemeldet? Nein? Falls Sie jedoch zehn oder mehr Mitarbeiter im Unternehmen haben, die automatisiert personenbezogene Daten verarbeiten (dafür reicht heutzutage schon aus, dass jemand ein E-Mail-Programm benutzt), dann könnte es gut sein, dass sie sich ordnungswidrig verhalten haben.

Das Bußgeld für diese Fälle beträgt nach § 43 BDSG bis zu 50.000,00 €. Das hört sich sehr nach Angstmacherei an, soll es aber nicht sein. Ich persönlich habe in all den Jahren meiner Tätigkeit als spezialisierter Anwalt im Datenschutzrecht keinen Fall mitbekommen, in dem ein Unternehmen wegen der Verletzung der Meldepflicht ein Bußgeldbescheid bekommen hätte. Das heißt zwar nicht zwingend, dass es diese Fälle nicht gibt; sie scheinen aber zumindest in der Praxis nicht häufig vorzukommen.

Und der Grund dafür liegt auch auf der Hand. Denn die Meldepflicht entfällt nicht nur, wenn sie weniger als zehn Personen beschäftigen, die automatisiert personenbezogene Daten verarbeiten, sondern auch, wenn sie einen betrieblichen Datenschutzbeauftragten bestellt haben.

Und wenn Sie jetzt ganz schlau überlegen, dann kommen Sie sicher zu dem Ergebnis, dass ein Unternehmen (wenn die handelnden Personen nicht ganz auf den Kopf gefallen sind) in der Praxis sehr leicht ein Meldepflicht-Versäumnis heilen kann.

Aber Achtung: eine rechtmäßige „Heilung“ bekommen Sie so nicht hin. Es ist lediglich ein taktisches Manöver, das in der Praxis aber offenbar häufig zu funktionieren scheint.

Das hört sich jetzt mittlerweile wahrscheinlich etwas zu kryptisch an, oder? Nehmen wir zur Verdeutlichung einfach ein praktisches Beispiel:

Angenommen Sie haben ein Unternehmen bzw. arbeiten einem Unternehmen, das Zeitschriften auf dem Markt anbietet. Und nehmen wir weiter an, dass Sie für Zwecke der Vergrößerung des Abonnentenkreises auch Adressen von Altkunden nutzen, um diese noch drei Jahre nach Kündigung ihres letzten Abonnements anzuschreiben, um ein neues Probe-Abo anzubieten. Hierfür nutzen Sie ein wunderbar neues und buntes CRM-Tool.

Und es passiert, was passieren muss. Der angeschriebene Ex-Abonnent ist empört über die erneute Werbung für ein Probe-Abo. Er wendet sich an die zuständige Aufsichtsbehörde für den Datenschutz und will wissen, wie es sein kann, dass Sie ihn noch einmal als Ex-Abonnenten anschreiben. Und die Aufsichtsbehörde wendet sich jetzt an Sie. Sie bekommen also dieses Schreiben von der Aufsichtsbehörde und denken sich „Was zum Teufel…“ bzw. neudeutsch “WTF” (das Akronym forschen Sie nach, wenn Sie es nicht kennen, ja?)

Und die Aufsichtsbehörde möchte einiges von Ihnen wissen. Sie möchte zum Beispiel wissen, ob ein betrieblicher Datenschutzbeauftragter bestellt ist. Und für den Fall, dass keiner bestellt worden ist, mögen Sie bitte darlegen, wieviele Mitarbeiter in Ihrem Unternehmen automatisiert personenbezogene Daten verarbeiten.

Spätestens dann sollten die Alarmglocken schallen. Denn wenn sie nämlich keinen Datenschutzbeauftragten bestellt haben und zehn oder mehr Mitarbeiter in Ihrem Unternehmen beschäftigen, hätten sie mit hoher Wahrscheinlichkeit das CRM-Verfahren bei der Aufsichtsbehörde melden müssen. Und zwar vor der Inbetriebnahme.

Ein Datenschutz-Berater oder ein fachkundiger Anwalt wird Ihnenspätestens jetzt raten, einen betrieblichen Datenschutzbeauftragten zu bestellen. Außerdem sollte dann unverzüglich die interne Verfahrensdokumentation für das Unternehmen erstellt werden. Denn – auch wenn die Meldepflicht entfällt – geht der Gesetzgeber gleichwohl davon aus, dass das, was sie hätten melden müssen, jetzt als Dokumentation intern vorgehalten wird.

Sie können dann auf jeden Fall der Aufsichtsbehörde mitteilen, dass ein Datenschutzbeauftragter bestellt worden ist. Problematisch bzw. peinlich kann es nur werden, wenn die Aufsichtsbehörde – was häufig der Fall ist – die Bestellungsurkunde des Datenschutzbeauftragten sehen möchte. Dann fällt das Datum der Bestellung natürlich auf. Und wenn sie keine strafrechtlichen Risiken eingehen wollen, würden ich tunlichst von einer Rückdatierung absehen.

Wenn sich dann aus der Bestellungsurkunde ergibt, dass der Datenschutzbeauftragte erst seit kurzem bestellt worden ist, kann die Aufsichtsbehörde sich natürlich ihren Teil denken. In der Regel wissen die betreffenden Mitarbeiter der Aufsichtsbehörde dann Bescheid, dass die eigentlich zu erfolgende Meldung des Verfahrens in der Vergangenheit eben nicht erfolgt ist. Meiner Erfahrung nach nutzen die Aufsichtsbehörden diese Kenntnis jedoch regelmäßig nicht dafür aus, im Nachhinein noch Bußgeldbescheide wegen Verletzungen der Meldepflicht zu erlassen. Vielmehr hat es den Anschein, dass die Aufsichtsbehörden es wohlwollend zur Kenntnis nehmen, dass das Unternehmen jetzt seine Hausaufgaben macht und durch einen Datenschutzbeauftragten dabei unterstützt wird.

Zu guter letzt: Was viele vergessen bzw. nicht wissen, ist, dass die Meldepflicht für bestimmte Unternehmen auch dann nicht entfällt, wenn ein Datenschutzbeauftragter bestellt worden ist. Dies betrifft die Unternehmen, die geschäftsmäßig personenbezogene Daten zum Zweck der Übermittlung oder für Zwecke der Markt-oder Meinungsforschung verarbeiten. Diese müssen die automatisierten Verarbeitungen bei der Aufsichtsbehörde zu sog. Verfahrensregister melden, in denen die Daten von der jeweiligen Stelle zum Zweck der Übermittlung bzw. der Markt- oder Meinungsforschung gespeichert werden.

Skurril wird diese Ausnahme von der Ausnahme übrigens für Webservices wie Social Networks oder Bewertungsportale. Denn nach der Rechtsprechung des BGH („spickmich.de”) ist das Vorhalten von Nutzerdaten für Besucher oder andere registrierte Mitglieder einer Website als geschäftsmäßige Übermittlung von Daten im Sinne des § 29 BDSG anzusehen. Hier wird wieder einmal deutlich, wie wenig das BDSG an die moderne Informationsgesellschaft angepasst ist. Denn wenn wir die Rechtsprechung des BGH strikt anwenden würden, würde dies dazu führen, dass ein nicht unbedeutender Teil der deutschen Online-Anbieter sich in der Vergangenheit wegen der Verletzung von Meldepflichten ordnungswidrig verhalten haben und künftig ihre Verfahren bei der jeweils für sie zuständigen Aufsichtsbehörde für den Datenschutz zum Register melden müssen. Na dann Prostmahlzeit.

In diesem Sinne… bis zum nächsten Mal,

Ihr Stephan Hansen-Oest

Related posts:

1. Datenschutz-Tipp Nr. 27 – Die Matrix der Bußgeldrisiken – Wie Sie sich einen Überblick über Bußgeldrisiken verschaffen
2. So erstellen Sie schnell eine Übersicht der Maßnahmen nach § 9 BDSG (mit Muster)
3. Datenschutz-Tipp Nr. 28 – Was ein Datenschutzbeauftragter können muss

Dieser Beitrag stammt aus meinem Newsletter Datenschutz-Tipps für Unternehmen, den Sie kostenlos abonnieren können:

Es ist schon eine Weile her, seit der letzte Datenschutz-Tipp erschienen ist. In der Zwischenzeit ist eine Menge passiert (glücklicherweise wenig Negatives), und jetzt habe ich endlich wieder die Möglichkeit gehabt, mir die erforderliche Zeit zu nehmen, um diese Tipp-Serie fortzuführen. Ich habe auch ein wenig Urlaub gemacht, und sie kennen das vielleicht selbst: in einem Zustand absoluter Erholung haben Sie meist die besten Ideen. Und als ich so auf dem Balkon des Hotelzimmers auf Fuerteventura saß, habe ich mir gedacht, dass ich auch einfach jetzt den nächsten Tipp auf Video für Sie aufnehmen könnte. Gesagt – getan.

Wenn Sie das Video gesehen haben, wissen Sie, dass es um ein Auskunftsersuchen in eigener Angelegenheit geht. Ich habe in einem Onlineshop ein Weihnachtsgeschenk gekauft, und während des Bestellprozesses wurde ich nach meinem Geburtsdatum gefragt. Nun ja… Ich habe es angegeben.

Jetzt möchte ich wissen, ob der Onlineshop mein Geburtsdatum dann immer noch hat. Möglicherweise wird das ein wunderbares Beispiel dafür, wie so ein Auskunftsersuchen in der Praxis mal ablaufen kann. Ich hoffe nicht, dass ich auch die Aufsichtsbehörde einschalten muss. Und wenn doch: nun ja, dann wird es zumindest ein schöner Praxis-Einblick für sie.

Und so sah mein Auskunftsersuchen (anonymisiert) aus:

Sehr geehrte………,

ich habe am xx.xx. des letzten Jahres in Ihrem Onlineshop einen Artikel bestellt. Ich möchte nun gerne wissen, welche Daten Sie zu meiner Person gespeichert haben. In rechtlicher Hinsicht stütze ich mein Auskunftsbegehren auf § 34 BDSG.

Folgende Daten zu meiner Person sollten Ihnen die Zuordnung der bei Ihnen gespeicherten Daten ermöglichen:

Kundennummer: xxxx
Bestelldatum: xxxx
Name: xxxxx
Adresse: xxxxx
Auftragsnummer: xxxxx

Bitte teilen Sie mir bis spätestens xx.xx.xxxx mit, welche Daten Sie zu meiner Person gespeichert haben. Ich möchte außerdem gerne wissen, ob meine Daten an andere Empfänger oder Kategorien von Empfängern weitergegeben werden (oder worden sind). Im Falle einer Weitergabe bitte ich um Benennung der Empfänger. Schließlich möchte ich Sie auch noch bitten, mir den Zweck der Speicherung meiner personenbezogenen Daten zu benennen.

Mir ist bekannt, dass der unverschlüsselte Versand von personenbezogenen Daten per E-Mail vor der unbefugten Kenntnisnahme von Dritten nicht geschützt ist. Ich erkläre hiermit meine Einwilligung, dass sie mir die begehrte Auskunft per E-Mail erteilen.

Mit freundlichen Grüßen

….

Und nun bin ich gespannt, was daraus wird. Ich halte Sie auf dem Laufenden.

No related posts.

Ich sage meinen Mandanten gerne, dass die Umsetzung von Datenschutz im Unternehmen zu 40% aus Fachwissen und zu 60% aus Psychologie besteht. Und ja, ich meine das durchaus und sogar sehr ernst.

Das lässt sich anhand des Beispiels einer perfekten Einwilligungserklärung recht gut erklären. Für viele Unternehmen stellt die Umsetzung der verschärften Voraussetzungen für die Verwendung von personenbezogenen Daten von Kunden oder Dritten für eigene Werbezwecke eine Herausforderung dar. Viele Unternehmen haben wegen der verschärften Bedingungen und des Erfordernisses, nahezu ausschließlich mit Einwilligungen zu arbeiten, das Problem, dass immer weniger Kunden und/oder Dritte beworben werden können, weil es an Einwilligungen fehlt.

Denn viele Kunden sind einfach nicht gewillt, eine Einwilligung in Werbung gesondert zu unterzeichnen bzw. zu erklären. Für die Zusendung von Werbung wie z.B. Newslettern per E-Mail müssen nicht nur die Voraussetzugnen des § 28 Abs. 3 BDSG, sondern auch Voraussetzungen des § 7 UWG eingehalten werden. Ohne Sie hier mit Details zu langweilen, kann ich sagen, dass Unternehmen künftig für die Versendung von Werbung an Kunden in der Regel eine Einwilligung des Kunden bekommen. Nicht zuletzt die Entscheidung des OLG Thüringen (Urteil, Urteil vom 21.04.2010, Az.: 2 U 88/10) hat gezeigt, dass die Luft hier sehr dünn geworden ist.

Und damit sind wir quasi wieder am Anfang der “Herausforderung”. Denn viele Unternehmen beklagen, dass keine Einwilligungen vorliegen und die Neigung der Kunden oder Interessieren, in Werbung “einzuwilligen”, geringer geworden sind.

Wenn wir davon ausgehen können, dass 60% der Umsetzung von Datenschutz Psychologie sind, dann liegt das Problem der fehlenden Einwilligung aber vielleicht gar nicht am Datenschutzrecht, sondern an der psychologischen Umsetzung.

Sind Sie bereit für etwas “Verrücktes”, das Sie bzw. Ihre Marketingabteilung aber ganz bestimmt dazu bringt, dass mehr Einwilligungen erteilt werden?

Schön…ich bin kein Psychologe, aber ich beschäftige mich seit einiger Zeit recht umfassend mit Neurowissenschaften und der Schnittstelle zur Psychologie (sehr spannendes Thema übrigens), und hier habe ich einen vielleicht neuen Ansatz für Sie, das Thema einmal ganz anders anzugehen. Sie werden dabei den Mut haben dürfen, Ihre bisherige Unternehmenskommunikation etwas abzuwandeln oder – besser gesagt – strategisch zu erweitern.

Bevor ich Ihnen erläutere, was Sie genau tun können und dies anhand eines konkreten Beispiels erkläre, müssen Sie eine kleine Hausaufgabe erfüllen:

Hausaufgabe:

1. Nehmen Sie sich einen Stift und einen Zettel oder machen Sie sich am Rechner schreibbereit.
2. Überlegen Sie sich, welches Kundensegment Sie gerne bewerben wollen, aus dem Sie also möglichst viele Einwilligungen generieren wollen. Versuchen Sie das Segment so einzugrenzen, dass eine möglichst homogene Gruppe entsteht. Mit homogener Gruppe meine ich eine gewisse Interessenidentität innerhalb der Gruppe. Dabei müssen es nicht unbedingt Sachinteressen sein. Es können auch emotionale Interessen sein (Leute, die an einer bestimmten Sportart interessiert sind, Hundehalter sind o.ä.).
3. Nehmen Sie sich eine Person aus dieser Gruppe heraus und geben Sie ihr einen Namen, z.B. Peter oder Marie. Ihrer Phantasie sind keine Grenzen gesetzt.
4. Überlegen Sie sich einmal, was Marie oder Peter wirklich für Menschen sind – in Ihrer Phantasie. Was arbeiten sie, wie viele Kinder haben Sie. Wo leben Sie (Einfamilienhaus, Mietswohnung). Was tragen Sie für Kleidung? Was würden Marie oder Peter wirklich gerne tun (stattdem, was sie z.B. beruflich tun). Welche Träume haben Sie, was begehren Sie?
   Fühlen Sie sich dabei doch einfach wie ein Schriftsteller und entwickeln einen kurzen Charakter einer typischen Person.

Wenn Sie das geschafft haben, haben Sie einen großen Teil der Arbeit geschafft. Im nächsten Part möchte ich Ihnen zeigen, wie Sie anhand dieser Charakterbildung eine ideal angepasste Einwilligungserklärung formulieren.

Sie dürfen gespannt sein…

Ihr
Stephan Hansen-Oest….

Related posts:

1. Datenschutz-Tipp Nr. 28 – Was ein Datenschutzbeauftragter können muss
2. Datenschutz-Tipp Nr. 27 – Die Matrix der Bußgeldrisiken – Wie Sie sich einen Überblick über Bußgeldrisiken verschaffen
3. Datenschutz-Tipp Nr. 30: Was es mit der Meldepflicht nach dem BDSG so auf sich hat…

Erinnern Sie sich an TIM? Das ist gut.

TIMs Gespräch mit seinem Chef über die Gefahr, die durch Bußgeldrisiken drohen kann, ist gut gelaufen. Er war in der Lage, das Wesentliche in komprimierter Form gut zusammen zu fassen. Er hat nicht dramatisiert, aber auch nichts schön geredet. Er hat getan, was er für richtig hielt.

Wenn der Geschäftsführer von TIMs Firma manchmal auch etwas cholerisch ‘rübergekommen ist…wenn es um ernstzunehmende Themen ging, dann hat er meist ein Ohr und vor allem auch den Mut, Entscheidungen zu treffen.

Die Neural Pathway GmbH, in der TIM neuerdings arbeitet, ist ein noch junges Unternehmen. Sehr erfolgreich dazu und ziemlich schnell dynamisch gewachsen. “Dynamisch gewachsen” – das kennen Sie vielleicht auch in der Praxis als gern gesehene Ausrede, um einen “klitzekleinen” Missstand zu rechtfertigen oder – korrekter formuliert – zu entschuldigen.

Bei Neural Pathway sah das dynamische Wachstum so aus, dass innerhalb von 18 Monaten aus einem Unternehmen mit vier festen und einigen freien Mitarbeitern ein fester Mitarbeiterstamm von knapp 50 Leuten entstanden ist. So ein Thema wie DATENSCHUTZ ist für Neural Pathway wichtig. Denn Datenschutz ist ein wesentlicher Baustein für Vertrauen gegenüber den Kunden. Wenn Sie IT-Systeme von Kunden warten wollen, dann ist es schon beim Verkaufsgespräch von immenser Bedeutung, dass der Kunde ein gutes Gefühl hat: Ein gutes Gefühl, dass die Wartung der IT-Systeme durch Neural Pathway SICHER ist.

Und ja…die Sicherheit der Daten von Kunden wird im Unternehmen groß geschrieben. Das hat TIM schon kurz nach seinem Einstieg in das neue Unternehmen kennengelernt. Keine Passwortschludrigkeit, neue Technologien nach dem Stand der Technik und und und…im Hinblick auf die praktische Umsetzung von Datensicherheit war Neural Pathway wirklich gut davor.

Nun war es aber TIMs Aufgabe, das Thema Datenschutz näher zu beleuchten. Und TIM musste dabei feststellen, dass die praktische Umsetzung von Datensicherheit wirklich in guten Händen war. Aber immer, wenn es um die Dokumentation der getroffenen Maßnahmen ging, wurde die Luft dünner. Ja…es gab Listen der Passwörter und Zugriffsberechtigungen. Und ja, die Daten wurden verschlüsselt gespeichert. Aber weitergehende Dokumentation? Fehlanzeige.

Und wenn wir ehrlich sind, ist das sicher kein Einzelfall. Es gibt für IT-Praktiker häufig nichts Lästigeres als die kontinuierliche und vollständige Dokumentation von IT-Systemen und IT-Vorgängen. Und wer könnte das nicht nachvollziehen. Wenn Sie ein prozedural ausgerichteter “Detailsortierer” sind, dann hätten Sie sicher Spaß an einer solchen Aufgabe. In der IT-Praxis sind viele Mitarbeiter aber eben nicht prozedural und häufig auch nicht an Details, sondern eher am “großen Ganzen” interessiert.

Als TIM im Unternehmen gebeten worden war, sich des Themas “Datenschutz” näher anzunehmen, hatte er schon mit an Sicherheit grenzender Wahrscheinlichkeit geahnt, dass es bislang keinen formal bestellten DATENSCHUTZBEAUFTRAGTEN bei Neural Pathway gegeben hat. Wenn er seine Kollegen fragte, erhielt er keine sichere Antwort: “Macht das nicht der Müller?”, “Das macht doch unser Geschäftsführer.”, “Weiß ich nicht. Ich bin’s jedenfalls nicht.” – So und ähnlich lauteten die Antworten.

Es war also so, wie er dachte. Und im schon angesprochenen Gespräch mit dem Geschäftsführer bestätigte dieser, dass bisher kein Datenschutzbeauftragter bestellt wurde. TIM möge sich bitte darum kümmern. Heißt: Recherchieren, was es für Anforderungen gibt und wer es machen kann.

TIM wollte das Thema gerne schnell lösen. Denn in einem alten Wartungsvertrag für ein Projekt für einen größeren Kunden hatte er diese Klausel gesehen:

“Der Auftragnehmer sichert zu, dass er einen betrieblichen Datenschutzbeauftragten gemäß § 4f BDSG bestellt hat.”

TIM stieß bei seiner Recherche zum Thema BETRIEBLICHER DATENSCHUTZBEAUFTRAGTER schnell darauf, dass die Person zum Zeitpunkt der Bestellung über die erforderliche “Fachkunde” und “Zuverlässigkeit” verfügen muss. Aber was Fachkunde und vor allem Zuverlässigkeit bedeutet? Fehlanzeige.

In einem Internetforum stieß er auf einen sinnvollen Hinweis: Ganz aktuell habe der “Düsseldorfer Kreis” eine Stellungnahme zu dem Thema abgegeben, welche Anforderungen ein Datenschutzbeauftragter zu erfüllen habe.

Düsseldorfer Kreis? Das ist ein Zusammenschluss der Datenschutzaufsichtsbehörden für den nichtöffentlichen Bereich. Also eine Gruppe der Aufsichtsbehörden, die in einzelnen Bundesländern für den Datenschutz von Unternehmen zuständig sind. Die treffen sich ab und zu mal und geben dann Stellungnahmen zu bestimmten Themen ab, die dann eine harmonisierte Ansicht aller Aufsichtsbehörden darstellt. Für Unternehmen ist das enorm praktisch, denn wenn diese die Anforderungen des Düsseldorfer Kreises einhalten, dürfen sie sich gegenüber der Aufsichtsbehörde auf die Stellungnahme berufen.

TIM hat sich die Stellungnahme dann hier als PDF heruntergeladen:

Mindestanforderungen an Datenschutzbeauftragte (Düsseldorfer Kreis)

Wenn Neural Pathway die dort genannten Mindestanforderungen einhalten würde, dann könnten – so TIMs Überzeugung – auch die vertraglichen Anforderungen gegenüber den Kunden eingehalten werden.

Was sind denn nun die Mindestanforderungen?

Bei der erforderlichen FACHKUNDE unterscheiden die Aufsichtsbehörden zwischen allgemeinen Kenntnissen, die immer vorliegen müssen, und branchenspezifischen Kenntnissen, die im Einzelfall – je nach Art des Unternehmens – gegeben sein müssen.

TIM findet das Dokument sehr übersichtlich, es lässt aber leider einige Fragen offen. Der Punkt der FACHKUNDE ist recht gut erläutert. Nach Auffassung der Aufsichtsbehörden muss ein Datenschutzbeauftragter Grundkenntnisse im Bereich des Datenschutzes von Mitarbeitern und anderen Betroffenen (z.B. Kunden) haben. Außerdem soll er umfassende Kenntnisse der für das Unternehmen maßgeblichen rechtlichen Regelungen des BDSG haben. Und das soll auch Kenntnisse über die zu treffenden technischen und organisatorischen Maßnahmen beinhalten.

Das ist schon eine ganze Menge. Und hinzu kommen dann noch Kenntnisse der “Datenschutzprinzipien” und der Datensicherheitsanforderungen nach § 9 BDSG. Was “Datenschutzprinzipien” sind…das sagt uns der Düsseldorfer Kreis nicht. Hier darf Tim “ahnen”.

Die Fachkunde soll dann abhängig von der Branche noch weitere Inhalte umfassen, z.B. Kenntnis von Datenschutzregelungen in Spezialgesetzen, besondere Kenntnisse im Bereich der Informations- und Telekommunikationstechnologie etc.

Neben der Fachkunde soll der Datenschutzbeauftragte ja aber auch ZUVERLÄSSIG sein – so das Gesetz. Davon ist in dem Papier des Düsseldorfer Kreises aber nicht die Rede bzw. es wird nur an einer Stelle darauf hingewiesen, dann aber nichts weiter dazu ausgeführt. In dem Dokument werden dann weiter nur die Begriffe der Fachkunde und UNABHÄNGIGKEIT erwähnt. TIM findet das ein wenig schade. Denn seine bisherigen Recherchen waren gerade beim Punkt der ZUVERLÄSSIGKEIT kontrovers. Denn dort ging es darum, wer im Unternehmen (oder als Externer) überhaupt Datenschutzbeauftragter werden darf. ZUVERLÄSSIGKEIT wurde in dem Zusammenhang immer mit bestehenden bzw. nicht erlaubten Interessenkonflikten und der Vermeidung einer “In-Sich-Kontrolle” diskutiert. Einigkeit bestand darin, dass der Geschäftsführer einer GmbH nicht gleichzeitig Datenschutzbeauftragter sein darf…und auch beim IT-Leiter – so TIMs Recherche – besteht ein Interessenkonflikt. Aber was ist mit der Personalleiterin oder dem Justitiar und vor allem dem Leiter des Controllings – also ihm? TIM hatte gehofft, in dem Dokument der Aufsichtsbehörden Klarheit zu bekommen. Leider bleibt diese Frage im Nebel verborgen. Schade.

Die Antworten zur Unabhängigkeit des Datenschutzbeauftragten im Unternehmen waren für TIM eine Aneinanderreihung von Selbstverständlichkeiten. TIMs Aufgabe bestand nun darin, eine Lösung für einen SINNVOLLEN VORSCHLAG zu finden: einen Vorschlag, den er dem Geschäftsführer vorlegen kann, indem konkret dargelegt wird, welche Anforderungen bestehen und wer als DATENSCHUTZBEAUFTRAGTER von NEURAL PATHWAY in Betracht kommt.

TIM beschloss, das Thema erst einmal sacken zu lassen. Vielleicht findet sich dann eine Lösung.

In einer nächsten Folge…

Related posts:

1. Datenschutz-Tipp Nr. 26: So formulieren Sie eine perfekte Einwilligungserklärung (Teil 2)
2. Datenschutz-Tipp Nr. 27 – Die Matrix der Bußgeldrisiken – Wie Sie sich einen Überblick über Bußgeldrisiken verschaffen
3. Datenschutz-Tipp Nr. 30: Was es mit der Meldepflicht nach dem BDSG so auf sich hat…

INHALTSÜBERSICHT
==============================

1. Die Matrix der Bußgeldrisiken im Datenschutz
2. Organisatorisches zum Newsletter – Neue Gestaltung

1. Die Matrix der Bußgeldrisiken im Datenschutz
———————————————————————-
Ich möchte Ihnen gerne jemanden vorstellen: TIM JANKE

TIM JANKE, nennen wir ihn einfach TIM, ist 42 Jahre alt und hat nach seinem Studium der Wirtschaftsinformatik in einigen Unternehmen gearbeitet. Zunächst als Trainee, dann als Projektmanager und später als Leiter einer Unterabteilung. Mit praktischer Informatik hat TIM nicht mehr viel zu tun. Im Laufe der Jahre hat er viel mehr Spaß daran gehabt, neue Projekte zu planen, auf die Beine zu stellen und dann die Umsetzung zu begleiten. Ich denke, wir können das im weitesten Sinne “Projektmanagement” nennen.

Nun hat TIM ein neues Projekt. In einer neuen Firma. Mit einem neuen Chef. Einem neuen Gehalt. Einem neuen Dienstwagen. Und, und, und…

Sie werden TIM in den kommenden Wochen ein wenig über die Schulter schauen. Denn TIM ist auch ein bisschen wie Sie. In seinem Assessment-Training für den Job, den er bekommen hat, wurde ihm ein nach einem Interview ein Persönlichkeitsprofil ausgestellt. Dort stand Folgendes, das Ihnen vielleicht auch bekannt vorkommt. Nehmen Sie sich bitte kurz die Zeit, das Profil AUFMERKSAM zu lesen:

Herr TIM JANKE hat ein großes Bedürfnis, dass andere Menschen ihn mögen und bewundern.
Er hat einen leichten Hang zur Selbstkritik. TIM hat eine ganze Menge ungenutzter Fähigkeiten, die er noch nicht zu seinem Vorteil umgewandelt hat. Auch wenn er einige persönliche Schwächen hat, ist er allgemein in der Lage, diese zu kompensieren.

Seine Einstellung zur Sexualität hat ihm einige, kleinere Probleme bereitet. Nach außen wirkt TIM JANKE diszipliniert und kontrolliert. Im Inneren neigt er dazu, etwas unruhig und unsicher zu sein. Manchmal hat er ernsthafte Zweifel, ob er eine Entscheidung richtig getroffen oder eine Sache richtig gemacht hat.

TIM JANKE mag ein gewisses Maß an Veränderung und Vielfalt. Er wird unzufrieden, wenn er durch Verbote und Beschränkungen eingeengt wird. TIM ist stolz darauf, ein unabhängiger Denker zu sein und akzeptiert keine Äußerungen von anderen ohne hinreichenden Nachweis. TIM JANKE hält es für unklug, anderen gegenüber zu offen zu sein. Manchmal ist er extrovertiert, umgänglich und gesellig, und zu anderen Zeiten ist er in sich gekehrt, misstrauisch und ein wenig scheu.
Sicherheit ist ein wichtiges Ziel in TIMs Leben.

Finden SIE sich in dieser Beschreibung nicht auch wieder? Das ist kein Wunder. Googlen Sie einfach mal nach dem Barnum-Effekt oder Forer-Effekt. Dann werden Sie sehr schnell herausfinden, warum das Profil oben zu großen Teilen auch von Ihnen als passend empfunden werden durfte. Und wenn Sie das Ganze einmal in der Praxis sehen möchten und Englisch verstehen können, dann empfehle ich wärmstens dieses Video des Engländers Derren Brown, das Sie auf YouTube finden:

http://youtu.be/haP7Ys9ocTk

Wie dem auch sei – ich bin vom Thema abgekommen.

TIM hat einen neuen Job. Sein bisheriger Erfolg, Projekte zu planen und dabei auch das Budget einzuhalten oder gar zu drücken, hat ihm nun einen neuen Job eingebracht. Er ist nun CONTROLLER in der neuen Firma. Die Firma, in der TIM nun arbeitet, heißt “NEURAL PATHWAY GmbH” und ist ein IT-Dienstleister, der Unternehmen bei der Planung, Installation und Wartung von komplexen IT-Umgebungen unterstützt.

Bei seinem Einstellungsgespräch hat der Geschäftsführer TIM gebeten, sich auch dem bisher etwas stiefmütterlich behandeltem Thema DATENSCHUTZ im Unternehmen anzunehmen. Sein Persönlichkeitsprofil passe dazu recht gut. Und da TIM schon in Projekten mit dem Thema häufiger zu tun hatte und zumindest einen groben Überblick über die Materie hatte, hat er sich dazu bereit erklärt, diese Aufgabe zu übernehmen.

Die ersten Arbeitstage von TIM in seinem neuen Job waren recht ereignisreich. Viele Eindrücke…und so langsam konnte er sich in seine neuen Aufgabengebiete einarbeiten. Für Datenschutz war bis dahin keine Zeit.

In der wöchentlichen Reporting-Besprechung hat er seinem Chef dann auch offenbart, dass er bisher noch keine Zeit gehabt hatte, sich dem Thema Datenschutz zu widmen. Sein Geschäftsführer fand das sehr nachvollziehbar und hat dann angeregt, das es hilfreich, wenn TIM zunächst einmal grob die Risiken zusammentragen könnte, die sich aus der fehlerhaften Umsetzung von Datenschutzanforderungen ergeben können.

Viel hat TIM dazu nicht gefunden. Was er aber ganz hilfreich fand, war eine Übersicht über die gängigen Bußgeldrisiken bei Verletzungen des Bundesdatenschutzgesetzes (BDSG).

In der Übersicht fand er die gängigsten Bußgeldtatbestände, gegliedert nach den jeweiligen Bußgeldhöhen, die er im nächsten Gespräch mit seinem Chef als Gedankenstütze nutzen könnte.

Habe Sie auch Interesse an dieser Übersicht? Sie finden Sie hier:

MATRIX DER BUßGELDRISIKEN
http://www.datenschutz-guru.de/2010/04/matrix-der-bussgeldrisiken-bei-datenschutzverstosen/

Und was TIM künftig noch so erlebt bei seiner Bewältigung des Themas Datenschutz im Unternehmen…das lesen Sie bald…HIER!

2. Organisatorisches zum Newsletter – Neue Gestaltung
——————————————————–
Oha…wenn Sie das jetzt lesen, wundern Sie sich möglicherweise etwas. Sah das sonst nicht anders aus, dieses Newsletter-Ding vom Datenschutz-Guru? Ja…Sie haben Recht. Das sah es. Vielleicht sogar irgendwie hübscher.

Vielleicht haben Sie sich auch gewundert, warum es in der letzten Zeit gar keine Newsletter per E-Mail mehr gab? Das würde mich freuen. Denn das würde ja bedeuten, dass Sie mich vielleicht sogar ein bisschen vermisst haben.

Ich habe von Ihnen ziemlich viel Feedback bekommen. Und das ist klasse! Teilweise habe ich unaufgefordert Wünsche und Verbesserungshinweise bekommen (großartig!), und ich habe auch bei einigen von Ihnen gezielt Nachfragen gestellt und um Feedback gebeten.

Die letzten Wochen waren extrem arbeitsreich, und ich war etwas unzufrieden mit dem bisherigen Aufbau des Newsletters. Kennen Sie das, wenn Sie mit etwas unzufrieden sind, und sie sich deswegen nicht dazu hingezogen fühlen? Natürlich kennen Sie das! Vielleicht sogar nur zu gut von Ihrer Arbeit. Doch die müssen Sie machen. Dafür gibt es faktischen (externen) Druck. Nun, den habe ich in diesem Projekt ja nur bedingt. Ich bin nicht verpflichtet, diesen Newsletter für Sie zu schreiben. Zumindest nicht rechtlich. Aber moralisch fühle ich mich schon verpflichtet. Also habe ich in der knappen Zeit versucht darüber nachzudenken, wie ich es besser machen kann. Besser in dem Sinne, dass ich wieder mehr “Traktion” im Sinne von einem “Hinzu” zu diesem Projekt finde. Und das, was Sie hier gelesen haben, ist das Ergebnis. Ich hoffe, Sie können damit leben.

Wenn Sie diesen Newsletter schon ein wenig länger verfolgen oder eines meiner Seminare besucht haben, dann wissen Sie, dass ich mich laienhaft mit etwas beschäftige, was wir weitestgehend vereinfacht als “Hirnforschung” beschreiben können. Mein Interesse gilt dabei insbesondere der Wissensvermittlung mit dem Fokus auf eine EFFEKTIVE Wissensvermittlung. Neben dem Feedback und den Wünschen, die ich von Ihnen erhalten habe, wollte ich auf jeden Fall einige Methoden der effektiven Wissensvermittlung aus der Hirnforschung nutzen, um diesen Newsletter noch “verrückter” zu gestalten. Ich habe mein Ziel erreicht, wenn Sie diesen Newsletter nie vergessen und ihn als DEN Newsletter in Erinnerung behalten, in dem ein Thema (Datenschutz) auf eine vollkommen unübliche Weise “angegangen” wurde.

Vielleicht werden einige Wenige diese Methode nicht mögen. Das kann ich leider nicht ändern. Für die, die bleiben wollen, kann ich versprechen, dass die Methode der Wissensaufbereitung sicher besser “anhaftet” als das, was sie von klassischen Newslettern und/oder juristischen Ausführungen kennen.

In diesem Sinne…viel Spaß!

Ihr Stephan Hansen-Oest

Related posts:

1. Datenschutz-Tipp Nr. 30: Was es mit der Meldepflicht nach dem BDSG so auf sich hat…
2. Datenschutz-Tipp Nr. 26: So formulieren Sie eine perfekte Einwilligungserklärung (Teil 2)
3. Datenschutz-Tipp Nr. 28 – Was ein Datenschutzbeauftragter können muss

Viviane Reding, derzeitige Vizepräsidentin der Europäischen Kommission, hat am 16.09.2010 auf einer Konferenz in Lissabon “Unleashing the digital single market Conference” eine Rede (PDF) gehalten, in der sie sich auch mit der von EU erwarteten Reform bzw. Modernisierung des Datenschutzrechts befasst. Genau genommen geht es um die Reform der EG-Datenschutz-Richtlinie (95/45/EG), die mittlerweile etwas in die Jahre gekommen ist und nun an die neuen Trend und Arbeitsweisen der digitalen Informationsgesellschaft angepasst werden soll.

Die wesentlichen Ausführungen in Ihrer Rede zum Datenschutz lassen sich auf 6 Themenkreise reduzieren (Hervorhebungen von mir):

Transparenz:

Transparency must be strictly applied. Whether you are online or offline, you should get full, easily accessible and easy to understand information on how your data is being processed.

Grundsatz der Zweckbindung und Erforderlichkeit und Datensparsamkeit/-vermeidung:

Moreover, the collection of personal data should serve a legitimate purpose and not go beyond what is strictly necessary. I therefore intend to strengthen the concept of data minimisation.

Verschärfung und Konkretisierung von Einwilligungsanforderungen:

Data should be collected and processed only under informed consent of a person to whom they relate. The current rules say that the individual’s consent should be “a freely given specific and informed indication of his or her wishes”. Unfortunately, this rule is interpreted in different ways. Therefore, I want to clarify and strengthen the rules of consent.

Abbau von Bürokratie bei Meldepflichten:

In order to lessen the administrative burden and to reduce costs for businesses, the current notification system must be simplified. I have heard many complaints on the cumbersome general obligation to notify all data processing.

Datenübermittlung ins Ausland:

The internet is global and data from the EU should also be protected when transferred and processed outside the EU. To that end, I intend to improve, strengthen and streamline the current procedures for international data transfers.

Privacy by Design:

In tackling data protection, particularly online, and preparing new rules, we are very much looking into the future: how can we build a strong, coherent Digital Single Market? What can we do to encourage new technologies in an environment in which consumers know their rights?
Let me give you an example. ‘‘Privacy by design” could be the solution. Data protection compliance should be embedded throughout the entire life cycle of technologies and procedures.

Privacy by Design ist derzeit schlichtweg das Buzzword auf allen Datenschutzkonferenzen. Auf diesen Trend bin ich vor einiger Zeit in einer meiner Newsletter-Ausgaben “260 Tipps für besseren Datenschutz im Unternehmen” eingegangen und habe versucht, zu erklären, was es damit auf sich hat.

Einige Newsletter-Ausgaben veröffentliche ich ab und an. Und da die Themen Privacy by Design und Privacy by Default derzeit extrem relevant sind, ist der Inhalt der Newsletter-Ausgabe vielleicht für den einen oder anderen interessant:

Auszug: Newsletter Tipp 15…

So werden Sie Datenschutz-Vorreiter!
Privacy by Design & Privacy by Default

An diesem Montag war ich auf der Sommerakademie des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein in Kiel – einer der bedeutenden Datenschutzkonferenzen in Deutschland. Thema der Sommerakademie 2010 war „Codex digitalis: Optimierter Persönlichkeitsschutz – digital und vernetzt“

Es war – wie meistens – eine sehr interessante Veranstaltung, die wieder deutlich gemacht hat, dass der Datenschutz weltweit und auch in Deutschland vor einem wesentlichen Umbruch steht. Wir leben – nach wie vor – in einer globalisierten Welt. In Zeiten von immer beliebter werdenden Diensten wie Cloud Computing, in denen Daten quer verteilt auf dem Planeten simultan verarbeitet werden, ist eine Kontrolle von (personenbezogenen) Daten durch Aufsichtsbehörden in Nationalstaaten immer schwieriger.

Ja, eigentlich ist eine durchgängige Kontrolle schlichtweg nicht mehr möglich.
So wurden auf der Sommerakademie Möglichkeiten des Gesetzgebers zur Regulierung und zum Eingriff diskutiert. Nahezu alle Vortragenden – dazu gehörten Dr. Thilo Weichert, Peter Schaar, Dr. Gerrit Hornung, Marit Hansen – haben in ihren Vorträgen jeweils zwei neue Begriffe verwendet. Die Häufigkeit war so auffallend, dass ich sie – neudeutsch – einfach als Buzzwords des modernen Datenschutzes bezeichnen würde. Bei den Begriffen handelt es sich um Privacy by Design und Pricacy by Default.

Genau genommen bedeuten die neuen Begriffe eigentlich nicht viel Neues. Wir diskutieren die Bedeutungen aus diesen Begriffen eigentlich schon seit gut 10 Jahren. Früher wurde Ähnliches unter dem Begriff Systemdatenschutz und später auch Privacy Enhancing Technologies (PET) diskutiert.

Ich möchte Sie jetzt nicht mit allen möglichen Einzelheiten über diese neuen Begriffe langweilen. Ich möchte viel lieber, dass Sie auf diesen Zug aufspringen können, um zumindest in Teilbereichen Vorreiter im Datenschutz zu sein.

Denn völlig egal, ob wir nun eine Stiftung Datenschutz oder ein ähnliches Instrument bekommen. Sie werden erleben, dass Unternehmen mehr und mehr dazu übergehen werden, Datenschutz nach außen zu kommunizieren. Zumindest die Unternehmen, die den Anspruch haben, für Ihre Kunden herausragende Leistungen zu erbringen.

Wenn Sie Datenschutz nach Vorschrift machen wollen (das ist vollkommen okay und steht Ihnen frei), dann brauchen Sie jetzt nicht mehr weiterzulesen.

Wenn Sie aber einen Unterschied machen wollen, wenn Sie nicht nur exzellent, sondern herausragend sein wollen, dann setzen Sie doch einfach Privacy by Design und Privacy by Default in die Praxis um. Und Sie dürfen dabei berücksichtigen, dass z.B. auf EU-Ebene zu erwarten ist, dass künftige Verordnungen der EU oder EU-Richtlinien sich an dem Grundsatz von „Privacy by Design“ anlehnen werden. So ist die Forderung des Europäischen Datenschutzbeauftragten Hustinx nach mehr „Privacy by Design“ vom März 2010 in einschlägigen Kreisen durchaus begrüßt worden.

So setzen Sie Privacy by Design um:
Angenommen, Sie haben ein neues Produkt entwickelt. Das könnte ein Kühlschrank mit Internetzugang und LCD-Display an der Fronttür sein, der es Ihnen ermöglicht, fehlende Produkte gleich beim Online-Händler ihrer Wahl nachzubestellen oder im lokalen Supermarkt zur Abholung bereit legen zu lassen.

Und nehmen wir weiter an, dass der Kühlschrank beim Herausnehmen von Lebensmittelprodukten über einen RFID-Chip erkennen würde, wann Lebensmittel dauerhaft aus dem Kühlschrank entnommen wurden und daher wohl nachbestellt werden müssen (Kühlschrank: „Ihre Milch ist leer, wir haben einen neuen Liter Milch in Ihren Warenkorb beim Kühlmarkt24 gelegt. Wollen Sie die Bestellung auslösen?“).

Privacy by Design würde in einem solchen Fall bedeuten, dass Sie bei der Gestaltung der zugrunde liegenden Technik daran denken, dass es Leute gibt, die keinen solche Funktion haben wollen und die auch von vornherein nicht wollen, dass eine Erkennung von RFID-Chips durch den Kühlschrank erfolgt. Privacy by Design würde also bedeuten, dass der Kunde nicht nur verhindern kann, dass Waren in einen Warenkorb kommen, sondern dass der Kühlschrank schon technisch gar nicht erst eine Erhebung von RFID-Tags vornimmt, die Erhebung also schon ausbleibt. Denken Sie daran, dass es einen Unterschied macht, ob Daten nicht erst erhoben werden oder erhobene Daten nicht verwendet werden. Denn auch ein Kühlschrank, der ans Internet angeschlossen wird, ist ein potentielles Angriffsobjekt für böswillige Cracker oder gutwillige Hacker. Sicher…es mag unwahrscheinlich sein, dass unbefugte Dritte ihren Kühlschrankinhalt auslesen, aber Sie dürfen nicht vergessen: Fehlerfreie Software gibt es nicht. Und alles, was IT ist und am Internet „hängt“, kann gehackt werden. 100%ige Sicherheit gibt es nicht.

Warum besetzen Sie also dieses Thema nicht aktiv und positiv. Seien Sie doch der Kühlschrankanbieter, der nicht nur Convenience, sondern auch Privacy als Leistungsmerkmal bietet. Ich bin bei Ihnen, wenn Sie meinen, dass der Kreis der Personen, der dieses Thema interessiert klein sein mag. Aber: es sind häufig die Leute, die Mavens sind (Haben Sie Malcolm Gladwells „The Tipping Point“ gelesen? Tun Sie es!). Und das sind vielleicht genau die Leute, die ihr Produkt in Ihrem Wunschsegment zum Erfolg bringen können. Sie werden (noch) der Vorreiter sein, und ich bin mir sicher, dass ihr Kühlschrank dafür euch ein wenig teurer sein darf.

Und so nutzen Sie “Privacy by Default“
Privacy by Default ist ganz ähnlich wie Privacy by Design. Default bezieht sich auf Standardeinstellungen in Produkten oder bei Dienstleistungen. Bei „Privacy by Default“ sind Produkte also standardmäßig datenschutzfreundlich eingestellt. So wäre ein Internet-Browser nach der Installation standardmäßig so eingestellt, dass ein Setzen von Cookies nicht möglich wäre bzw. nur mit Zustimmung des Nutzers möglich wäre. Das das beim Surfen im Internet ziemlich lästig wäre, das steht auf einem anderen Blatt.

Weniger „nervig“ wäre eine „Privacy by Default“-Einstellung bei Internetseiten oder Sozialen Netzwerken. So könnten viele Leute es gut finden, wenn ihr Benutzerprofil nach der Registrierung in einem Sozialen Netzwerk nicht standardmäßig öffentlich und von Suchmaschinen auffindbar gespeichert wird, sondern zunächst nur für sich selbst. Das mag den Verbreitungs- und Streuungseffekt des Dienstes schmälern, stärkt aber den Datenschutz der Nutzer. Für die Nutzer, die zu Recht mehr von sich in der Öffentlichkeit zeigen wollen, besteht dann die Möglichkeit, ihr Profil selbst Schritt für Schritt nach außen zu öffnen.

Und nun, nachdem wir uns mit diesen neuen Buzzwords beschäftigt haben, schauen Sie einmal aufmerksam in den § 3a BDSG. Dort steht unter der Überschrift Datenvermeidung und Datensparsamkeit:

Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten und die Auswahl und Gestaltung von Datenverarbeitungssystemen sind an dem Ziel auszurichten, so wenig personenbezogene Daten wie möglich zu erheben, zu verarbeiten oder zu nutzen. Insbesondere sind personenbezogene Daten zu anonymisieren oder zu pseudonymisieren, soweit dies nach dem Verwendungszweck möglich ist und keinen im Verhältnis zu dem angestrebten Schutzzweck unverhältnismäßigen Aufwand erfordert.

Sie merken: Privacy by Design und Privacy by Default sind schon lange im BDSG verankert. Es halten sich bloß nicht viele daran. Vielleicht bringen die neuen Buzzwords wieder etwas mehr Schwung in die Sache.

Überlegen Sie doch einmal in einem kleinen Bereich, wie Sie zumindest testweise einen dieser Gedanken umsetzen könnten. Und berichten Sie mir über Ihre Erfahrungen. Ich kenne einige negative aber auch einige sehr beachtliche positive Erfahrungen. Und wenn Sie es nicht ausprobieren…können Sie nicht profitieren. Und das wollen Sie doch, oder?

In diesem Sinne..

Ihr
Stephan Hansen-Oest….

Wenn Ihnen das gefallen hat, dann dürfen Sie sich sehr gerne für den Newsletter anmelden.

No related posts.

In sehr vielen Unternehmen wird bei der Einstellung von neuen Mitarbeitern daran gedacht, dass die Mitarbeiter auf das Datengeheimmis i.S.d. § 5 BDSG verpflichtet werden.
Apropos: ein entsprechendes Muster zur Verpflichtung auf das Datengeheimnis nach § 5 BDSG finden Sie im Beitrag: Verpflichtung auf das Datengeheimnis – ein Muster

Was in vielen Unternehmen nicht berücksichtigt wird, allerdings auch nicht alle Mitarbeiter betrifft, ist eine Verpflichtung auf das Fernmeldegeheimnis i.S.d. § 88 des Telekommunikationsgesetzes (TKG).

Aber: Ist das überhaupt erforderlich?

Wann ist auf das Fernmeldegeheimnis zu verpflichten?
Wenn ein Unternehmen geschäftsmäßig Telekommunikationsdienste für Dritte anbietet, dann ist das Unternehmen als Diensteanbieter nach § 88 Abs. 2 TKG zur Wahrung des Fernmeldegeheimnisses verpflichtet.

Das betrifft aber nicht, wie Sie vielleicht meinen könnten, nur Anbieter von Telekommunikationsdiensten, die gewerbsmäßig ihre Dienstleistungen anbieten, also z.B. Telefonanschlüsse, DSL-Zugänge etc.
Nein…es reicht aus, wenn ein Unternehmen seinen Mitarbeitern (oder anderen Unternehmen in einer Konzernstruktur) die Privatnutzung von Telefon, Telefax oder E-Mail erlaubt. Auch dann liegt ein geschäftsmäßiges Anbieten von Telekommunikationsdiensten i.S.d. TKG vor. Auf eine Gewinnerzielungsabsicht kommt es bei dem Tatbestandsmerkmal der “Geschäftsmäßigkeit” nämlich nicht an.

Im Gegensatz zur Verpflichtung auf das Datengeheimnis nach § 5 BDSG enthält § 88 TKG keine ausdrückliche Pflicht, die betroffenen Personen gesondert auf das Fernmeldegeheimnis zu verpflichten.
Sie müssen also die Mitarbeiter nach dem Wortlaut des Gesetzes nicht zwingend informieren und verpflichten.

Trotzdem kann eine Verpflichtung auf das Fernmeldegeheimnis sinnvoll und geboten sein, denn ein Arbeitgeber (oder Dienstherr) hat eine Fürsorgepflicht gegenüber seinen Beschäftigten. Schließlich kennen viele Beschäftigten die Pflicht zur Wahrung des Fernmeldegeheimnisses und die damit verbundenen Pflichten und Verbote nicht. Da eine Verletzung des Fernmeldegeheimnis aber nach § 206 StGB strafbar ist, dürfen die Mitarbeiter erwarten, dass sie entsprechend informiert werden.

In der Unternehmenspraxis ist es zudem in Auftragsdatenverarbeitungsverträgen häufig geregelt, dass der Auftragnehmer seine Mitarbeiter nicht nur auf das Datengeheimnis, sondern auch auf das Fernmeldegeheimnis verpflichtet hat. Insoweit kann auch eine vertragliche Pflicht des Unternehmens bestehen, die betreffenden Mitarbeiter auf das Fernmeldegeheimnis zu verpflichten.

Wer ist zur Wahrung des Fernmeldegeheimnisses verpflichtet?
Die Verpflichtung zur Wahrung des Fernmeldegeheimnis betrifft nicht nur das Unternehmen als Diensteanbieter, sondern alle Personen, die an der Erbringung der Dienste mitwirken (so zumindest die h.M. in der rechtswissenschaftlichen Literatur). Damit gehören auch die Mitarbeiter bzw. sonstige Erfüllungsgehilfen des Unternehmens zum Kreis der Verpflichteten, soweit diese Zugriff auf Daten haben (können), die dem Fernmeldegeheimnis unterliegen.
Das sind insbesondere die Administratoren der jeweiligen TK- oder IT-Systeme, die für die Erbringung der Kommunikationsleistungen genutzt werden oder aber auch alle Mitarbeiter, die z.B. Kenntnis von Daten auf dem E-Mail-Server erhalten können.

Gibt es konkrete Vorgaben oder geforderte Mindestinhalte an eine Verpflichtung auf das Datengeheimnis?
Nein! In der Praxis kann man sich aber recht gut an den üblichen Muster zur Verpflichtung auf das Datengeheimnis orientieren.

Folgendes Muster einer Verpflichtung auf das Fernmeldegeheimnis stelle ich in zwei Formaten zur Verfügung:

• Verpflichtung auf das Fernmeldegeheimnis – § 88 TKG (.doc)
• Verpflichtung auf das Fernmeldegeheimnis – § 88 TKG (.pdf)

Wichtiger Hinweis zum Urheberrecht:
Sie dürfen das Muster für eigene Zwecke vervielfältigen, verändern und an ihre jeweiligen Bedürfnisse anpassen. Erlaubt ist auch eine Verwendung durch Rechtsanwälte für ihre Mandanten und die Vornahme entsprechender Änderungen und Anpassungen nach persönlichen Vorlieben oder Bedürfnisses des jeweiligen Mandanten.
Nicht erlaubt ist jedoch die gewerbliche Nutzung dergestalt, dass das Muster ohne Genehmigung des Urhebers als Muster für gewerbliche Zwecke in Online- oder Printmedien vervielfältigt, verbreitet oder öffentlich zugänglich gemacht wird.
Mit anderen Worten: Das Muster kann gerne in der Praxis von Unternehmen oder auch Anwälten genutzt und verändert werden. Ich möchte jedoch nicht, dass das Muster ohne meine Zustimmung auf anderen Internetseiten als Musterdokument zum Download angeboten wird oder sich irgendwann in einem Vertragsmusterbuch wiederfindet.

Übrigens: Der Beitrag beruht auf einem Newsletter-Beitrag meiner 260 Tipps für einen besseren Datenschutz in Unternehmen, den ich natürlich gerne hier empfehle.

Hier ein Auszug:

Verpflichtungserklärung Fernmeldegeheimnis
i.S.d. § 88 des Telekommunikationsgesetzes (TKG)

Mustermann GmbH
Musterstr. 123
12345 Musterstadt

Sehr geehrte(r) Frau/Herr ,

unser Unternehmen ist geschäftsmäßiger Anbieter von Telekommunikationsdiensten i.S.d. TKG und damit nach § 88 TKG zur Einhaltung des Fernmeldegeheimnisses verpflichtet.
Aufgrund Ihrer Tätigkeit und Aufgabenstellung in unserem Unternehmen wirken Sie an der Erbringung der Telekommunikationsdienste mit und sind daher ebenfalls verpflichtet, das Fernmeldegeheimnis zu wahren. Die Verpflichtung zur Wahrung des Fernmeldegeheimnisses besteht auch über das Ende Ihrer Tätigkeit in unserem Unternehmen hinaus.

Näheres können Sie dem anliegenden Merkblatt entnehmen.

Wir weisen Sie darauf hin, dass eine Verletzung des Fernmeldegeheimnisses nach § 206 des Strafgesetzbuches (StGB) strafbar ist und mit einer Freiheitsstrafe bis zu fünf Jahren oder Geldstrafe geahndet werden kann. Soweit die Daten personenbezogen sind, kommt zudem eine Strafbarkeit nach § 43 des Bundesdatenschutzgesetzes (BDSG) in Betracht.

Ihre sich ggf. aus dem Arbeits- bzw. Dienstvertrag oder gesonderten Anweisungen ergebende allgemeine Geheimhaltungsverpflichtung und eine Verpflichtung auf das Datengeheimnis i.S.d. § 5 BDSG wird durch diese Erklärung nicht berührt.

Bitte unterzeichnen Sie die Erklärung auf der nachfolgenden Seite, auf der Sie den Erhalt und die Kenntnisnahme dieser Informationen bestätigen und übermitteln diese an Ihren Vorgesetzten.

……………. …………………………………………
Ort, Datum Unterschrift Mustermann GmbH

Bestätigung

Über die gesetzlichen Bestimmungen des Fernmeldegeheimnisses wurde ich unterrichtet. Die sich daraus ergebenden Verhaltensweisen wurden mir mitgeteilt. Meine Verpflichtung auf das Fernmeldegeheimnis nach § 88 TKG habe ich hiermit zur Kenntnis genommen.

…………….. ………………………………….
Ort, Datum Unterschrift der Mitarbeiterin
bzw. des Mitarbeiters

Merkblatt zum Fernmeldegeheimnis

Das Fernmeldegeheimnis schützt nicht nur die Inhalte von Telekommunikation, sondern auch die näheren Umstände der Telekommunikation. Dies umfasst insbesondere die Information, ob jemand an einem Telekommunikationsvorgang beteiligt war, wann und wie lange eine Telekommunikation stattgefunden hat und auch die Umstände erfolgloser Verbindungsversuche.

Vom Fernmeldegeheimnis umfasst sind dabei nicht nur Telefonate und Faxe, sondern grundsätzlich auch die E-Mail-Kommunikation.

Wir weisen Sie darauf hin, dass es Ihnen nach § 88 TKG untersagt ist, sich oder anderen über das für die geschäftsmäßige Erbringung der Telekommunikationsdienste einschließlich des Schutzes ihrer technischen Systeme erforderliche Maß hinaus Kenntnis vom Inhalt oder den näheren Umständen der Telekommunikation zu verschaffen.

Kenntnisse über Tatsachen, die dem Fernmeldegeheimnis unterliegen, dürfen Sie zudem nur für Zwecke der geschäftsmäßigen Erbringung der Telekommunikationsdienste verwenden. Eine zweckfremde Verwendung, insbesondere eine Weitergabe der Daten an Dritte ist untersagt, sofern keine gesetzliche Verpflichtung zur Datenweitergabe besteht.

Im Falle von Anfragen Dritter zu Telekommunikationsvorgängen wenden Sie sich bitte an Ihren Vorgesetzten, sofern keine verbindliche Arbeitsanweisung oder Unternehmensrichtlinie für die Weitergabe von Informationen, die dem Fernmeldegeheimnis unterliegen, im Unternehmen besteht.

Beachten Sie bitte auch, dass in Einzelfällen auch bei Verletzungen des Fernmeldegeheimnisses Ordnungsmaßnahmen durch die Bundesnetzagentur verhängt werden können, die den Betrieb unseres Unternehmens erheblich beeinträchtigen können.

Wir fühlen uns zur Wahrung des Fernmeldegeheimnisses verpflichtet. Bitte tragen Sie auch in Ihrem Interesse Sorge dafür, dass die gesetzlichen Anforderungen in unserem Unternehmen eingehalten werden.

Vielen Dank für Mithilfe!

Auszug aus dem Telekommunikationsgesetz:

§ 88 Fernmeldegeheimnis
(1) Dem Fernmeldegeheimnis unterliegen der Inhalt der Telekommunikation und ihre näheren Umstände, insbesondere die Tatsache, ob jemand an einem Telekommunikationsvorgang beteiligt ist oder war. Das Fernmeldegeheimnis erstreckt sich auch auf die näheren Umstände erfolgloser Verbindungsversuche.
(2) Zur Wahrung des Fernmeldegeheimnisses ist jeder Diensteanbieter verpflichtet. Die Pflicht zur Geheimhaltung besteht auch nach dem Ende der Tätigkeit fort, durch die sie begründet worden ist.
(3) Den nach Absatz 2 Verpflichteten ist es untersagt, sich oder anderen über das für die geschäftsmäßige Erbringung der Telekommunikationsdienste einschließlich des Schutzes ihrer technischen Systeme erforderliche Maß hinaus Kenntnis vom Inhalt oder den näheren Umständen der Telekommunikation zu verschaffen. Sie dürfen Kenntnisse über Tatsachen, die dem Fernmeldegeheimnis unterliegen, nur für den in Satz 1 genannten Zweck verwenden. Eine Verwendung dieser Kenntnisse für andere Zwecke, insbesondere die Weitergabe an andere, ist nur zulässig, soweit dieses Gesetz oder eine andere gesetzliche Vorschrift dies vorsieht und sich dabei ausdrücklich auf Telekommunikationsvorgänge bezieht. Die Anzeigepflicht nach § 138 des Strafgesetzbuches hat Vorrang.
(4) Befindet sich die Telekommunikationsanlage an Bord eines Fahrzeugs für Seefahrt oder Luftfahrt, so besteht die Pflicht zur Wahrung des Geheimnisses nicht gegenüber der Person, die das Fahrzeug führt oder gegenüber ihrer Stellvertretung.

Auszug aus dem Strafgesetzbuch:

§ 206 Verletzung des Post- oder Fernmeldegeheimnisses
(1) Wer unbefugt einer anderen Person eine Mitteilung über Tatsachen macht, die dem Post- oder Fernmeldegeheimnis unterliegen und die ihm als Inhaber oder Beschäftigtem eines Unternehmens bekanntgeworden sind, das geschäftsmäßig Post- oder Telekommunikationsdienste erbringt, wird mit Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe bestraft.
(2) Ebenso wird bestraft, wer als Inhaber oder Beschäftigter eines in Absatz 1 bezeichneten Unternehmens unbefugt
1. eine Sendung, die einem solchen Unternehmen zur Übermittlung anvertraut worden und verschlossen ist, öffnet oder sich von ihrem Inhalt ohne Öffnung des Verschlusses unter Anwendung technischer Mittel Kenntnis verschafft,
2. eine einem solchen Unternehmen zur Übermittlung anvertraute Sendung unterdrückt oder
3. eine der in Absatz 1 oder in Nummer 1 oder 2 bezeichneten Handlungen gestattet oder fördert.
(3) Die Absätze 1 und 2 gelten auch für Personen, die
1. Aufgaben der Aufsicht über ein in Absatz 1 bezeichnetes Unternehmen wahrnehmen,
2. von einem solchen Unternehmen oder mit dessen Ermächtigung mit dem Erbringen von Post- oder Telekommunikationsdiensten betraut sind oder
3. mit der Herstellung einer dem Betrieb eines solchen Unternehmens dienenden Anlage oder mit Arbeiten daran betraut sind.
(4) Wer unbefugt einer anderen Person eine Mitteilung über Tatsachen macht, die ihm als außerhalb des Post- oder Telekommunikationsbereichs tätigem Amtsträger auf Grund eines befugten oder unbefugten Eingriffs in das Post- oder Fernmeldegeheimnis bekanntgeworden sind, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft.
(5) Dem Postgeheimnis unterliegen die näheren Umstände des Postverkehrs bestimmter Personen sowie der Inhalt von Postsendungen. Dem Fernmeldegeheimnis unterliegen der Inhalt der Telekommunikation und ihre näheren Umstände, insbesondere die Tatsache, ob jemand an einem Telekommunikationsvorgang beteiligt ist oder war. Das Fernmeldegeheimnis erstreckt sich auch auf die näheren Umstände erfolgloser Verbindungsversuche.

Auszug aus dem Bundesdatenschutzgesetz:

§ 43 Bußgeldvorschriften
[....]

Related posts:

1. Verpflichtung auf das Datengeheimnis – ein Muster
2. So erstellen Sie schnell eine Übersicht der Maßnahmen nach § 9 BDSG (mit Muster)

Für die Abonnenten meines E-Mail-Newsletters “Datenschutz-Tipps” habe ich ergänzend zu den Tipps, wie man eine Verpflichtung auf das Datengeheimnis i.S.d. § 5 BDSG richtig umsetzt, ein Muster für eine Verpflichtungserklärung angekündigt.

Das Muster finden Sie hier im Word-Format:
Verpflichtung Datengeheimnis § 5 BDSG (Muster / Format .doc)

Oder im PDF-Format:
Verpflichtung Datengeheimnis § 5 BDSG (Muster / Format .pdf)

Wenn Sie sich gerne für den kostenlosen Newsletter anmelden möchten, dürfen Sie dies hier tun.

Als kleines Bonbon finden Sie den Newsletter zum Thema Datengeheimnis hier:
“Verpflichtung auf das Datengeheimnis – Wie Sie die gesetzlichen Vorgaben korrekt umsetzen”

Related posts:

1. Richtig auf das Fernmeldegeheimnis verpflichten – ein kostenloses Muster
2. So erstellen Sie schnell eine Übersicht der Maßnahmen nach § 9 BDSG (mit Muster)

Heute ist mein neuer E-Mail-Newsletter “260 Tipps für besseren Datenschutz im Unternehmen“ gestartet.

Damit es etwas greifbarer wird, können Sie hier sehen, wie der Inhalt eines “Datenschutz-Tipps” aussieht.

Anmelden kann man sich hier:

Hier ist das Beispiel, in dem es um das Thema geht, wann Bewerberdaten zu löschen sind:

Related posts:

1. Löschen von Bewerberdaten
2. Datenschutzrechtlicher Anspruch auf Löschung der E-Mail-Adresse bei unverlangter Werbung (SPAM)
3. Verpflichtung auf das Datengeheimnis – ein Muster

Der – das darf ich sagen – sehr beliebte Mustervertrag Auftragsdatenverarbeitung liegt seit ein paar Tagen in Version 1.41.5 vor. Es gab im Vergleich zu Version 1.3 (und Version nur 1.4) nur eine kleine Fehlerteufelbereinigung bei der Beschreibung der technischen und organisatorischen Maßnahmen und in § 3 Abs. 5.

Den Vertrag erhalten Sie in den Dateiformaten (PDF, Word, Pages 09) Sie wie immer hier:

http://www.say-ho.com/auftragsdatenverarbeitung

Related posts:

1. Kostenloser Mustervertrag zur Auftragsdatenverarbeitung in Version 1.3 erschienen
2. Auftragsdatenverarbeitung – Mustervertrag
3. Neue Version des Mustervertrages Auftragsdatenverarbeitung

ACHTUNG: Bitte beachten Sie, dass mittlerweile die neue Version 1.4 erschienen ist. Weitere Hinweise dazu finden Sie hier.

Mein Mustervertrag für die Verarbeitung von Daten im Auftrag erfreut sich nach wie vor großer Beliebtheit.

Ich habe heute die Version 1.3 veröffentlicht. Änderungen im Vergleich zur Version 1.2 bestehen lediglich darin, dass das Trennungsgebot i.S.d. Nr. 8 der Anlage zu § 9 Satz 1 BDSG (sicherheitshalber) aufgenommen wurde.

Im Übrigen kann ich auf die Ausführungen im Hinblick auf die letzte Aktualisierung verweisen.

Hier ist der Vertrag im PDF-Format:

Weitere Dateiformate (Word, Pages 09) finden Sie wie immer hier:

http://www.say-ho.com/auftragsdatenverarbeitung

Related posts:

1. Kostenloser Mustervertrag Auftragsdatenverarbeitung jetzt in Version 1.4 erhältlich
2. Auftragsdatenverarbeitung – Mustervertrag
3. Neue Version des Mustervertrages Auftragsdatenverarbeitung