Es gibt jedoch ein Problem mit diesem Mustervertrag: Wie Sie vielleicht wissen, finden die Regelungen zur Auftragsdatenverarbeitung auch dann Anwendung, wenn der Auftragnehmer lediglich die Wartung und/oder Pflege von IT-Systemen durchführt. Wie ich weiß, sind einige von Ihnen selbst IT-Dienstleister und führen in diesem Zusammenhang regelmäßig auch IT-Wartungen für Ihre Kunden durch. Und viele andere von Ihnen wiederum lassen ihre IT-Systeme von externen Dienstleistern warten.

Oftmals passen dann die Regelungen eines umfangreichen Auftragsdatenverarbeitungsvertrag nicht so ganz für die Wartungsarbeiten, die ein externer Dienstleister durchführen soll. Eine Wartung von IT-Systemen läuft eben doch anders ab als eine klassische Auftragsdatenverarbeitung, bei der der externe Dienstleister standardmäßig in seinen eigenen Büroräumen Daten des Auftraggebers verarbeitet oder nutzt.

Es sollte allerdings nicht vergessen werden, dass der Gesetzgeber sich zu Recht über das Thema „Wartung“ Gedanken gemacht hat und entsprechend auch hier die Regelungen für die Auftragsdatenverarbeitung verpflichtend vorsieht. Denn ein externer IT-Dienstleister erhält häufig in recht hohem Umfang Kenntnis von personenbezogenen Daten, die bei seinem Kunden auf dessen IT-Systemen gespeichert sind. Hier reicht eine einfache Verpflichtung auf das Datengeheimnis in der Praxis nicht aus.

Das „Gefährdungspotenzial“ steigert sich noch einmal erheblich, wenn der IT-Dienstleister die Wartungsarbeiten per Fernwartung durchführt. Hier kann dann noch einmal unterschieden werden zwischen einer „stillen“ Fernwartung und einer Fernwartung „auf Zuruf“. Die Art und Weise der Fernwartung sollte zwischen den Parteien unbedingt vertraglich festgehalten werden.

Ein besonderes Risiko gibt es dann noch im Bereich von so genannten Berufsgeheimnissen. Wir alle kennen die ärztliche Schweigepflicht und wissen, dass ein Bruch der ärztlichen Schweigepflicht strafbar ist (§ 203 StGB). Das Strafrecht schützt jedoch nicht nur vor unbefugten Kenntnisnahme von Daten, die der ärztlichen Schweigepflicht unterliegen. Gleichermaßen betrifft dies auch andere Berufsgruppen wie zum Beispiel Rechtsanwälte, Steuerberater, Wirtschaftsprüfer, Psychologen und auch Beschäftigte bei Kranken-, Unfall-oder Lebensversicherungen.

Wie ich aus meiner Mandatspraxis weiß, finden auch in diesen Bereichen, bei denen es um Daten von Berufsgeheimnisträgern geht, im großen Umfang IT-Wartungen statt. Das ist zunächst auch nichts schlechtes, denn schließlich ist es für die Integrität und den Schutz der Daten in vielen Fällen ratsamer, die IT-Systeme, auf denen die Daten verarbeitet werden, durch externe Fachleute warten zu lassen. Dennoch kommt es immer noch sehr häufig vor, dass in diesen Bereichen keine ausreichenden vertraglichen Regelungen oder technischen Vorkehrungen dafür getroffen werden, um die strafrechtlichen Risiken zu minimieren.

Häufig ist den Berufsgeheimnisträgern noch nicht einmal bekannt, dass schon die Kenntnisnahme von Daten durch einen externen Dienstleister eine unbefugte Offenbarung eines Geheimnisses im Sinne des § 203 BGB darstellen kann.

Es macht daher Sinn, entsprechende Wartungsverhältnisse vernünftig zu regeln. An entsprechenden Wartungsverträgen, aus denen die Rechte und Pflichten der Vertragsparteien zu entnehmen sind, fehlt es häufig in der Praxis nicht. Hier hat der Dienstleister zumindest meist entsprechende AGB, wo sich Regelungen zu den Leistungen und Leistungsstörungen und zur Haftungsbeschränkung des Dienstleisters finden lassen. In den meisten AGB finden sich jedoch nicht die Regelungen, die nach § 11 Abs. 2 BDSG erforderlich sind.

Ich habe daher versucht, einmal eine entsprechende Datenschutzvereinbarung zu erstellen, die als Anlage zu einem Wartungsvertrag abgeschlossen werden kann, um die Vorgaben des § 11 BDSG in der Praxis zu erfüllen.

Den Mustervertrag und weitere Informationen finden Sie hier.

Denken Sie bitte in der Praxis daran, dass neben einem Auftragsdatenverarbeitungsvertrag vor allem auch vor der Auftragserteilung vom Auftraggeber geprüft werden muss, ob der Auftragnehmer die erforderlichen technischen und organisatorischen Maßnahmen zum Schutz der Daten getroffen hat.

Sowohl ein fehlender oder fehlerhafter Auftragsdatenverarbeitungsvertrag als auch die unterlassene Vorab-Prüfung können eine Ordnungswidrigkeit darstellen und nach § 43 Abs. 1 2b) BDSG mit einem Bußgeld von bis zu 50.000 € geahndet werden.

Laden Sie sich doch einfach den kostenlosen Mustervertrag „Datenschutzvereinbarung Wartung & Pflege von IT-Systemen“ (.docx) auf nachfolgender Internetseite herunter:

http://www.datenschutz-guru.de/wartungsvertrag/

Ich freue mich, wenn Ihnen der Vertrag gefällt. Sie dürfen ihn gerne ändern und vor allem verbessern. Genau dazu ist er da.

Mit dem Beck’schen Kommentar zum Recht der Telemediendienste haben sich die Autoren zum Ziel gesetzt, einen praxisorientierten wissenschaftlichen Kommentar des Rechts der Telemediendienste zu veröffentlichen. Dabei sind folgende Gesetze in dem Werk kommentiert worden:

• Telemediengesetz (TMG)
• Jugendmedienschutz-Staatsvertrag (JMStV) – in Auszügen
• Signaturgesetz (SigG)
• Signaturverordnung (SigV)
• Bürgerliches Gesetzbuch (BGB) – in Auszügen
• Zivilprozessordnung (ZPO) – in Auszügen
• Verwaltungsverfahrensgesetz (VwVfG) – in Auszügen

Ich beschränke mich bei meiner Rezension auf die Kommentierung der §§ 11-15 TMG.

Die Kommentierung von § 11 TMG hat Professor Dr. Wolfgang Schulz übernommen. In § 11 TMG geht es um das Anbieter-Nutzer-Verhältnis bei der Inanspruchnahme von Telemediendiensten und damit um die Anwendung der Regelungen des TMG auf die Verarbeitung personenbezogener Daten im Zusammenhang mit der Nutzung von Telemediendiensten. Neben ersten allgemeinen Ausführungen zur Historie der Norm wird es dann ab Rn. 20 ff. spannend, wenn es um den Begriff der personenbezogenen Daten geht. Kenner der Materie wissen, dass ein Autor bei dieser Frage regelmäßig Farbe bekennen muss, und zwar dahingehend, ob er nun der objektiven oder der relativen Theorie des Personbezuges anhängt oder nicht. Schulz vertritt die Theorie, des relativen Personbezuges. Danach bestimmt sich der Personenbezug von Installationen abhängig von der Kenntnis der verantwortlichen Stelle.

Im Hinblick auf IP-Adressen sieht der Autor folgerichtig allenfalls bei statischen IP-Adressen die Möglichkeit eines Personenbezuges. Bei dynamischen IP-Adressen sei jedoch davon auszugehen, dass die IP-Adresse nur für den Provider ein personenbezogenes Datum darstelle, nicht jedoch für einen Dritten.

Damit wird der zumindest in Deutschland nach wie vor bestehende Trend, dass der Personenbezug relativ zu bestimmen sei, unterstützt. Hier wäre jedoch wünschenswert gewesen, auf die insoweit weitergehende Auslegung des Begriffs des Personbezuges durch die Art. 29 Gruppe hinzuweisen, zumal diese von den Aufsichtsbehörden in Deutschland sehr häufig maßgeblich zugrunde gelegt wird. Und genau das wäre z.B. für Praktiker ein wichtiger Hinweis gewesen, der hier leider fehlt, soweit ich das gesehen habe.

Auch die Ausführungen zu Cookies und einem möglichen Personenbezug von IDs in Cookies hätten vielleicht mehr auf den diesbezüglichen Meinungsstand und die absolute Theorie des Personbezuges eingehen können.

Der § 12 TMG ist von Dr. Johannes Bizer und Professor Dr. Gerrit Hornung bearbeitet worden. Die Autoren stellen neben der Historie der Norm sehr schön die Grundsätze der Anonymisierung und Pseudonymisierung dar. Insbesondere wird auf den Streit eingegangen, ob pseudonyme Daten einen Personenbezug aufweisen oder nicht.

§ 13 TMG wird dann von dem Autorentrio Dr. Silke Jandt, Peter Schaar und Professor Dr. Wolfgang Schulz kommentiert. Dem Aufbau der Norm folgend wenden sich die Autoren zunächst der Unterrichtungspflicht des Diensteanbieters zu. Hier geht es um Fragen, die Zeitpunkt, Art und Umfang von Datenschutzhinweisen auf einer Internetseite betreffen. Insgesamt finden sich hier recht brauchbare Hinweise zu Zeitpunkt, Gegenstand und Gestaltung von Datenschutzhinweisen. Allerdings fand ich die Hinweise im ersten Teil zur Unterrichtung (Rn. 29 f.) etwas verwirrend, was den Zeitpunkt der Unterrichtung angeht. Später wird dies jedoch deutlicher dargestellt (Rn. 46).

Im nächsten Schritt beschäftigen sich die Autoren dann mit der elektronischen Einwilligung. Im Hinblick auf das Merkmal der eindeutigen und bewussten Handlung habe ich Zweifel an der Praxisorientierung der Ausführungen. So gehen die Autoren zum Beispiel im Hinblick auf das erforderliche „aktive Tun“ davon aus, dass für die Abgabe einer Einwilligung ein einfacher Mausklick, ein Tastendruck oder das Berühren eines Touchscreens nicht ausreichend sei.

Ich bin mir sicher, dass es bei der Frage des „aktiven Tuns“ nicht darauf ankommt, ob dies durch einen einfachen Mausklick o.Ä. erfolgt, sondern vielmehr ob beim Nutzer durch eine transparente Darstellung des Interface deutlich wird, dass er durch seinen z.B. Mausklick eine verbindliche Erklärung, nämlich eine elektronische Einwilligung abgibt.

Wenig zielführend sind daher die Ausführungen der Autoren, nach denen zum Beispiel das Ausfüllen eines Freitext-Feldes nach dem Motto „Ja, ich bin einverstanden“ besser geeignet sei. Da Anbieter von Online-Services sehr häufig darauf angewiesen sind, Einwilligungen von ihren Nutzern einzuholen, wäre es für reichweitenstarke Angebote nur schwer zumutbar, auf derartige Methoden zurückzugreifen. Ich kenne zurzeit auch keinen Anbieter, der eine solche Methode ernsthaft anwenden würde bzw. wollte.

Bei der Kommentierung der Pflicht zur „anonymen oder pseudonymen Nutzung“ hätte ich mir etwas mehr Mut zum Konkreten gewünscht. Neben allgemeinen Hinweisen zum Regelungsinhalt verpassen die Autoren hier die offensichtliche Chance, einen Sachverhalt mal konkret anzupacken. So hätte z.B. zum seit langem bekannten Streit, ob Anbieter von Social Networks eine pseudonyme Nutzung erlauben müssen oder nicht, hier wunderbar Stellung genommen werden können. Das passiert leider nicht, oder es fehlte einfach der Mut. Schade.

Die Ausführungen zum Auskunftsanspruch sind gut brauchbar. Allerdings fehlt es an einer Stelle auch hier wieder an einem Abgleich mit der derzeitigen Praxis der Anbieter. So weisen die Autoren zu Recht darauf hin, dass der Auskunftsanspruch sich auch auf die personenbezogenen Daten erstreckt, die in Logfiles gespeichert sind. Bei der dann von den Autoren favorisierten (wenn auch nicht zwingenden) elektronischen Auskunftserteilung wird eine Auskunftserteilung im Hinblick auf personenbezogene Daten in Logfiles häufig scheitern, weil die protokollierenden IT-Systeme aus guten Gründen häufig von den Frontend-Systemen getrennt sind. Eine automatische Auskunftserteilung würde hier möglicherweise sogar zu IT-Sicherheitsrisiken führen können.

Der § 14 TMG wird dann von Professor Dr. Alexander Dix kommentiert. Hier geht es um die Verwendung von Bestandsdaten. Dabei handelt es sich eine ganz ordentliche Kommentierung, auch wenn zum Beispiel bei der Frage, ob dynamische IP-Adressen Bestands- oder Nutzungsdaten sind, nicht die aktuelle Rechtsprechung (vgl. BGH, Urteil v. 12.05.2010, Az. I ZR 121/0 – „Sommer unseres Lebens“ und vor allem BGH, Urteil vom 13. Januar 2011, Az. III ZR 146/10) genannt wird.

Besonders hohe Erwartungen hatte ich dann an die Kommentierung des § 15 TMG. Diese ist von Professor Dr. Alexander Dix und Peter Schaar geschrieben worden. Nach einer allgemeinen Einführung in die Historie der Norm beschäftigen sich die Autoren dann schon bald mit der Zulässigkeit und Aufbewahrungsdauer von Logfiles. Die Autoren wenden sich gegen eine langfristige Speicherung von Protokolldateien, insbesondere wenn diese vollständige IP-Adressen beinhalten. In rechtlicher Hinsicht ist das diesbezüglich richtig, da vollständige IP-Adressen zumindest nicht für die Webanalyse benötigt werden. Die Autoren irren jedoch, wenn sie heute noch davon ausgehen, dass IP-Adressen eine Grundlage für Nutzungsprofile sind. Alle heutigen Webanalyse-Verfahren nutzen die IP-Adresse lediglich für Zwecke der Geolokalisierung. Die Profilbildung selbst erfolgt in der Regel über vergebene Identifikationsnummern (IDs) in z.B. Cookies.

Weitere Hinweise zur Kommentierung des § 15 TMG möchte ich mir lieber ersparen. Die Autoren haben leider die Chance verpasst, insbesondere die zuhauf vorkommenden Probleme bei der Anwendung des § 15 Abs. 3 TMG im Hinblick auf die Verwendung von Cookies, Tracking-Pixel, Conversion-Tracking, Targeting, Retargeting, Behavioral Targeting anzugehen.

Die Kommentierung des § 15 TMG ist leider von der Gewichtung her kaum mit den tatsächlich bestehenden Fragestellungen in Einklang zu bringen. Es fehlen konkrete Ausführungen zur möglicherweise bestehenden direkten Anwendung des „Cookie Law“ der ePrivacy-Richtlinie.

Und die Tatsache, dass nahezu alle reichweitenstarken Internetangebote heute ganz oder teilweise werbefinanziert und entsprechende Tracking- und Targeting-Technologien verwenden, wird allenfalls mit kleinen Pauschalaussagen erwähnt, ohne dass hier die hochkomplexen Probleme der Anwendung ansatzweise angegangen würden.

Ganz zu schweigen von neuen Trends wie Realtime-Bidding und Markplätzen für Interessenprofile von Nutzern….es findet sich eigentlich so gut wie nichts Handfestes zu diesen Fragestellungen.

Ich muss leider sagen, dass hier vielleicht doch zu merken ist, dass zumindest die Kommentierungen der Datenschutznormen des TMG nicht von Personen geschrieben wurden, die Kontakt zur alltäglichen Praxis bei Anbietern von Online-Services haben. Es ist immer spannend, wenn – wie hier – Mitarbeiter bzw. Leiter von Aufsichtsbehörden Kommentierungen schreiben, weil es insbesondere in der Praxis der anwaltlichen Beratung extrem hilfreich für die Risikoabschätzung und -minimierung sein kann. Wenn die fehlende Behandlung tatsächlich hochrelevanter Fragestellungen dann in einem Kommentar aber ausbleibt, ist das einerseits schade und andererseits bestätigt es ggf. das Vorurteil, dass bei Aufsichtsbehörden möglicherweise die tatsächlich bestehenden Probleme gar nicht bekannt sind. Vielleicht hat es auch einfach damit zu tun, dass das TMG nicht ansatzweise mehr in der Lage ist, die heute im Internet übliche arbeitsteilige Verarbeitung „in den Griff zu bekommen“.

Fazit: Ich bin mir relativ sicher, dass dieses Werk auch wieder als „Standardwerk“ bezeichnet werden wird. Und das mag auch zu Recht so sein. Ich bin allerdings – gerade bei einem Preis von 199,00 € – enttäuscht worden, was den Umfang, die Qualität und z.T. auch die Aktualität der Ausführungen angeht.

Ich würde mir sehr wünschen, dass es mal einen TMG-Kommentar von Praktikern gibt, die den Mut und die fachliche Kenntnis aufbringen, über das zu schreiben, was im TMG momentan für den Online-Bereich wirklich relevant ist.

Das Dokument steht z.B. hier zum Download bereit:

• Orientierungshilfe „Soziale Netzwerke“ (PDF)

Nach einer Einführung werden zunächst die allgemeinen datenschutzrechtlichen Anforderungen an Social Networks dargestellt. Dabei geht es um die Themen Information, Standard-Einstellungen, Betroffenenrechte, biometrische Daten, die pseudonyme Nutzung und Löschverpflichtungen, Social Plug-Ins, Datensicherheit, Minderjährigenschutz und die Angabe von Kontaktpersonen.

Sodann folgen Ausführungen zur Datensicherheit. Neben der Datenhaltung und entsprechenden Anforderungen an den Zugriffsschutz und Löschtechniken geht es um biometrische Verfahren, das Tracking von Nutzerverhalten, Werbung sowie technische und organisatorische Maßnahmen zur Datensicherheit. Im Hinblick auf den letzten Punkt werden dann folgende Angriffsszenarien zu Grunde gelegt:

• Verhinderung systematische Massendownloads von Profildaten
• Angriffe auf den sozialen Graphen

Im weiteren Teil des Dokuments geht es dann um die Verantwortlichkeit für die Datenverarbeitung in Social Networks. Hier gehen die Aufsichtsbehörden auf die Problematik ein, dass neben dem Betreiber des Social Networks möglicherweise auch die Nutzer der Social Networks eine Verantwortlichkeit für die Datenverarbeitung haben könnten. Hier differenzieren die Aufsichtsbehörden zu Recht zwischen professionellen und privaten Nutzern.

Im vierten Teil der Orientierungshilfe geht es dann um die rechtlichen Grundlagen und die Zulässigkeit der Datenverarbeitung. Neben der Frage, welches Recht anwendbar ist, werden dann die rechtlichen Grundlagen in Deutschland (TMG, BDSG) dargelegt. Gut dargestellt ist zum Beispiel die Frage, wann eine Datenverarbeitung aufgrund einer vertraglichen Regelung zulässig ist. Auch die Frage, ob und wie auf Basis von Einwilligungen Daten verarbeitet werden dürfen, wird in der Orientierungshilfe erörtert.

Die für Social Networks extrem wichtige Analyse des Nutzungsverhaltens von Besuchern der Website bzw. des Dienstes, die von Aufsichtsbehörden gerne als Reichweitenanalyse bezeichnet wird, findet sich dann, obwohl es sich um eine klassische TMG-Problematik handelt, erst recht weit hinten im Dokument.

Zuvor finden sich dann noch Ausführungen über die anonyme und pseudonyme Nutzung, die Zeitplanung, Transparenz & Kontrolle und weitere Schutzziele den Informationssicherheit. Dabei liegen die Behörden dogmatisch die so genannten neuen Schutzziele an, wie sie zum Beispiel im schleswig-holsteinischen Landesdatenschutzgesetz niedergelegt. Neben der Vertraulichkeit, Integrität und Verfügbarkeit von Daten geht es daher auch um die Ziele der Nicht-Verkettbarkeit und die Intervenierbarkeit (Betroffenenrechte).

Im letzten Kapitel finden sich dann Ausführungen zu Einzelthemen wie zum Beispiel dem Umgang mit Geo-Daten, die Nutzung von mobilen Endgeräten und dem Zugriff auf Adressen.

Die Orientierungshilfe stellt den derzeitigen Argumentationsstand der deutschen Aufsichtsbehörden für den Datenschutz dar. Die Betreiber der Social Networks werden in vielen Punkten nicht der gleichen Meinung sein. Positiv an der Veröffentlichung einer solchen Orientierungshilfe ist in jedem Fall, dass die Betreiber der Social Networks ihr Verhalten und ihre Geschäftsmodelle nunmehr besser nach den Vorgaben der Aufsichtsbehörden bundesweit richten können bzw. ein Risikopotenzial wesentlich besser einschätzen können.

Nach meiner persönlichen Auffassung stellt die Orientierungshilfe in vielen Punkten eine Auffassung dar. Es muss nicht notwendigerweise die richtige sein. Die Betreiber von Social Networks stehen vor großen Herausforderungen. Die Innovationsfähigkeit der Social Networks muss, um neue Nutzer zu gewinnen und bestehende Nutzer zu halten, sehr hoch sein. Alle Betreiber arbeiten meiner Kenntnis nach hier mit sehr kurzfristigen Entwicklung-Sprints, bei denen es in der Regel nur sehr schwer ist, alle rechtlichen Erwägungen zu berücksichtigen. Hier hilft die Orientierungshilfe in jedem Fall. Und sei es für eine Risikoabwägung.

Hier noch einmal der Link zur Orientierungshilfe: Orientierungshilfe „Soziale Netzwerke“ (PDF)

Ich wollte meinen altes Auftragsdatenverarbeitungsvertrags-Muster schon seit geraumer Zeit aktualisieren und überarbeiten. Für meine Mandanten nutze ich schon mehrere Monate den neuen Vertrag in verschiedenen Variationen und Anpassungen. In meiner täglichen Praxis hat sich das Muster als gute Ausgangsbasis bewährt, und ich meine, dass es jetzt an der Zeit war, den Vertrag auch wie gewohnt kostenlos online zu veröffentlichen.

Ich habe mich dazu entschieden, jetzt nur noch das Word-Format anzubieten. Denn egal, ob Sie Word mögen oder nicht. Es ist in jedem Fall das Format, das Sie auch mit Produkten anderer Softwareanbieter leicht weiterverarbeiten können. Die Statistiken haben zudem gezeigt, dass in der Regel nur die Word-Version heruntergeladen wurde.

Um das Angebot etwas abzurunden und nicht nur einen “Auftragsdatenverarbeitungsvertrag” als Mustervertrag anzubieten, habe ich mir gedacht, dass ich nun doch noch die fehlenden 2 Lektionen zur Auftragsdatenverarbeitung, die ich bereits im vergangenen Jahr im Sommer an der Ostsee gedreht habe, zu veröffentlichen.

Ich hatte das lange Zeit nicht vor, da leider wichtige Video mit der 2. Lektion eine abgrundtief schlechte Soundqualität hat, weil ich das Mikrofon sehr ungeschickt am Shirt befestigt hatte. Da die gesamten 3 Videos “freestyle” und ohne Skript entstanden sind, hatte ich – ehrlich gesagt – weder Zeit noch Lust, das Ganze noch einmal aufzunehmen. Bevor ich aber die beiden Lektionen in den digitalen Mülleimer werfe, habe ich mich dazu durchgerungen, einfach alle Videos hier online zu stellen, auch wenn die 2. Lektion wirklich nur schwer benutzbar ist. Es hilft, wenn Sie ab und an einfach im Video nach vorne springen, um eine besser akustisch verstehbare Passage zu bekommen. Schade – ich kann es aber leider nicht ändern. Das Überarbeiten des Sounds hat nicht wirklich geholfen.

So dürfen Sie zumindest mich am Strand der Geltinger Bucht bei Vogelzwitschern und ruhiger See betrachten. Das hat dann zumindest – bei ausgeschaltetem Ton – vielleicht etwas leicht Meditatives…

Wie dem auch sei…ich freue mich, wenn Sie sich die Seite einmal ansehen: http://www.datenschutz-guru.de/auftragsdatenverarbeitung

Das Problem ist in der Tat nicht nur schwierig, sondern auch vielschichtig. Denn ob ein Problem besteht oder nicht, hängt von vielen Faktoren ab. Bei E-Mails ist der Zugriff besonders problematisch. Denn wenn ein Unternehmen z.B. die Privatnutzung von E-Mails nicht untersagt hat – oder untersagt hat und die Einhaltung dieses Verbots nicht regelmäßig kontrolliert (Stichwort “betriebliche Übung”) -, dann kann der Zugriff auf E-Mails auf dem E-Mail-Server theoretisch ein strafrechtlichen Problem darstellen, da eine Verletzung des Fernmeldegeheimnisses i.S.d. § 206 StGB vorliegen könnte. Es gibt allerdings kaum einen Bereich im Hinblick auf die Verwendung von E-Mails im Unternehmen, der noch komplexer als dieses Detailproblem ist. Und dabei wäre eine Lösung durch den Gesetzgeber doch so einfac und dringend benötigt. Nur…diese steht leider bis heute aus.

Ich möchte allerdings auch gar nicht so sehr auf den Problemen “herumreiten”, sondern vielmehr fragen, wie denn eine praktikable Lösung aussehen kann? Und zwar völlig unabhängig davon, ob nun die Privatnutzung von E-Mails oder sonstigen IT-Systemen im Unternehmen erlaubt ist oder nicht.

Sie kennen vielleicht einen meiner Leitsprüche: “Erfolgreiche Menschen stellen die besseren Fragen…und als Resultat erhalten sie die besseren Ergebnisse.”

Überlegen wir uns doch einfach einmal, wie eine gute Frage lauten würde. Wie wäre es damit: “Was kann ein Unternehmen tun, damit nach dem Ausscheiden eines Mitarbeiters aus dem Unternehmen, ohne dass der Mitarbeiter hintergangen wird und/oder Rechtsverletzungen begangen werden?”

Und sind die Antworten nicht gleich ganz einfach? Um den Mitarbeiter nicht zu hintergehen, ist Transparenz wichtig. Wenn ein Mitarbeiter weiß, dass ein Unternehmen möglicherweise später Zugriff auf seine E-Mails und Dateiverzeichnisse nehmen möchte, dann kann er Sorge dafür tragen, dass dort auch wirklich nur noch unternehmensbezogene Daten zu finden sind.

Und zur Vermeidung von Rechtsverletzungen können wir den Mitarbeiter einfach bitten, dem Unternehmen gegenüber zu bestätigen, dass er E-Mail-Accounts und Dateiverzeichnisse etc. noch einmal geprüft hat und sichergestellt ist, dass dort keine privaten Daten mehr von ihm zu finden sind. Wenn er dies bestätigt und dann später ein Zugriff auf diese Daten durch das Unternehmen erfolgt, so fehlt es regelmäßig an einer Rechtsgutsverletzung, da bestätigt wurde, dass das Rechtsgut “private Daten” sich nicht mehr in den Daten befinden und darüber hinaus das Unternehmen auf die Daten mit Einverständnis des Mitarbeiters zugreifen durfte.

Viele Unternehmen haben bereits so eine Art von “Laufzetteln”, für den Einstieg von Mitarbeitern im Unternehmen und auch für den Ausstieg von Mitarbeitern aus dem Unternehmen. Auf diesen “Laufzetteln” ist – meist in Form einer Checkliste – vermerkt, was der Mitarbeiter noch zu regeln hat, wenn er neu im Unternehmen anfängt oder eben aufhört.

Ich habe mir erlaubt, einfach mal so ein Muster dafür zu erstellen. Ich nenne es:

• Pflichtenliste für Mitarbeiterinnen oder Mitarbeiter, die das Unternehmen verlassen (.docx)

Wenn es Ihnen gefällt, dürfen Sie es gerne frei verwenden (aber nicht verkaufen) und vor allem auch verbessern oder in bestehende “Laufzettel” integrieren.

Ich hoffe, dass das vielleicht ein wenig die Arbeit vereinfacht.

Ich habe dieses Intensiv-Seminar Datenschutz II, in dem es um IT-Sicherheit und Datenschutz geht, im Januar noch einmal für einen weiteren Termin vorbereitet und in dem Zusammenhang auch noch einmal weiter überlegt, wie ein mittelständisches Unternehmen mit vertretbarem Aufwand zu einem ausreichenden IT-Sicherheitskonzept kommen kann. Und dabei ist mir wieder aufgefallen: Letztlich basiert alles doch auf einem wesentlichen Pfeiler: Dem gesunden Menschenverstand!

Warum also nicht, den gesunden Menschenverstand nutzen, um auf diese Weise ein sinnhaftes Konzept für die Dokumentation von IT-Sicherheit im Unternehmen zu erstellen.
Und das ist nun daraus entstanden: IT-Sicherheitskonzept nach der „GM“-Methode

Und wofür steht “GM”? Richtig, den gesunden Menschenverstand. Denn wenn wir ehrlich sind, geht es doch schließlich bei einem Sicherheitskonzept darum, dass es in lesbarer Form die in einem Unternehmen bestehenden Risiken für die Datensicherheit sowie die zur Minimierung der Risiken bestehenden Maßnahmen beschreibt. Nicht mehr und nicht weniger. Dazu brauchen wir – zumindest bei kleinen und mittelständischen Unternehmen – nicht zwingend einen Standard eines Normungsinstituts/-gremiums.

Und so sieht das Ganze in der Übersicht aus:



Das Ganze erledigen Sie also in neun Schritten. Bevor wir zu den Schritten und den dazugehörigen Dokumenten kommen, möchte ich Ihnen empfehlen, das Hintergrund-Video zur Entstehung der Idee anzusehen:

Das IT-Sicherheitskonzept erläutere ich normalerweise im Rahmen eines zweitägigen Seminars. Eine ausführliche Darstellung würde hier den Rahmen sprengen. Die einzelnen Schritte sind aber anhand des übersichtlichen Aufbaus und der Musterdokumente meiner Meinung nach leicht nachvollziehbar. Und so funktioniert es:

1. Erstellen Sie eine Sicherheits-Leitlinie & benennen Sie einen IT-Sicherheitsbeauftragten – und hier ist ein Muster für eine IT-Sicherheitsleitlinie (.doc).
2. Machen Sie eine Bestandsanalyse. Besorgen Sie sich Unterlagen und erstellen Sie dann tabellenartig Pläne mit allen IT-Systemen, allen IT-Anwendungen, allen Büroräumen und erstellen Sie einen Netzplan – wie das geht, können Sie dem u.a. Muster des IT-Sicherheitskonzepts (s. Ziff 9) entnehmen.
3. Schreiben Sie eine Einleitung zum IT-Sicherheitskonzept, aus dem sich ergibt, was der Zweck des Konzeptes ist. Geben Sie unbedingt auch die 3 Säulen der sicheren Informationstechnik an: Verfügbarkeit, Integrität, Vertraulichkeit – ein Beispiel für eine Formulierung finden Sie im Muster-IT-Sicherheitskonzept (Ziff. 9)
4. In einem gesonderten Dokument machen Sie dann die Basisangaben für Ihr Unternehmen im Hinblick auf die getroffenen technischen und organisatorischen Maßnahmen i.S.d. § 9 BDSG und der Anlage zu § 9 Satz 1 BDSG – hier finden Sie ein Musterdokument zur stark vereinfachten Darstellung der technischen und organisatorischen Maßnahmen nach § 9 BDSG (.doc).
5. Machen Sie eine Liste aller Verfahren, bei denen Sie personenbezogene Daten im Auftrag verarbeiten („Auftragsdatenverarbeitung“) in einem gesonderten Dokument. Prüfen Sie für jedes Verfahren, ob schon ein Auftragsdatenverarbeitungsvertrag geschlossen und eine Vorabprüfung der vom Auftragsdatenverarbeiter getroffenen technischen und organisatorischen Maßnahmen erfolgt ist. Wenn noch kein Vertrag geschlossen wurde, sollten Sie das unverzüglich nachholen. Wenn ein Vertrag geschlossen wurde, dann sollten Sie den Vertrag noch einmal darauf hin prüfen, ob er den aktuellen Vorgaben des § 11 BDSG entspricht. Hier finden Sie dazu ein hilfreiches Prüfdokument (.doc).
6. Dann kommt der Kern des Dokumentes: Fassen Sie in einem Dokument die Einleitung zum Sicherheitskonzept und die Bestandsanalyse zusammen, machen eine Schutzbedarfsfeststellung für IT-Systeme, Anwendungen und Räume, und dann schreiben Sie anhand der Beantwortung von Fragen, die Maßnahmen auf, die die bestehenden Risiken minimieren. Hört sich kompliziert an, ist es aber nicht. Schauen Sie einfach das Musterdokument (Ziff. 9) und folgen Sie den Hinweisen.
7. Sie brauchen dann noch eine IT-Richtlinie für die Mitarbeiter. Das verstehe ich eher als eine „Benutzerrichtlinie“. Die ist wichtig, da sie immer wieder im Hinblick auf organisatorische Maßnahmen auf diese IT-Richtlinie verweisen können. Passen Sie einfach das Muster einer IT-Richtlinie (.doc) an und verbessern Sie es.
8. Dann brauchen Sie noch einen Notfallplan. Hierzu lesen Sie am besten das BSI-Dokument BSI Standard 100–4 (PDF) und „picken“ sich die Maßnahmen heraus.
9. Im letzten Schritt stellen Sie das Dokument für das IT-Sicherheitskonzept zusammen. Wie das beispielhaft (und vereinfacht) aussehen kann, können Sie in diesem Muster eines IT-Sicherheitskonzeptes (.doc) sehen.

Ich möchte mich an dieser Stelle beim Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD) bedanken, da ein nicht unerheblicher Teil der Idee aus dem sog. “backup-Magazin 01” (PDF) stammt, das ich hier nachdrücklich für eine Vertiefung empfehlen möchte.

Den Ablauf stelle ich im nachfolgenden Video anhand der Mindmap auch noch einmal zusammenfassend dar:

Sicher ist das Dokument nicht perfekt. Und ganz sicher können Sie das besser machen. Worum es mir bei dem IT-Sicherheitskonzept nach der „GM“-Methode geht, ist, dass Sie einen Startpunkt haben, der es Ihnen ermöglicht, zumindest mit überschaubarem Aufwand überhaupt ein IT-Sicherheitskonzept zustande zu bringen. Auch wenn das, was dabei herauskommt, vielleicht noch nicht optimal oder eben ausbaufähig ist…Sie haben zumindest ein IT-Sicherheitskonzept und dürfen damit dann wohl von sich behaupten, dass Sie besser sind als 80% aller anderen Unternehmen in der Republik (noch). Und das ist doch schon einmal etwas, oder?

Wir sind schon mittendrin in einem neuen Jahr…, und das Jahr 2012 steht bei mir wieder unter dem Motto, das ich einfach mal „Besser“ nenne. Was meine ich damit? In Japan wird ein ähnliches Motto oder Modell von Leben gerne als Kaizen bezeichnet. Wer sich mal mit dem amerikanischen Self Improvement Guru Tony Robbins beschäftigt hat, der kennt es sicher als das “CANI“, damit ist das „Constant and Neverending Improvement“ gemeint. Nun gut…und bei mir ist dieses Motto „besser werden“ oder kurz „Besser“.

Und während ich so über die Weihnachts- und Silvesterfeiertage über das neue Jahr nachgedacht habe, da hatte ich die Idee, frischen Wind in meine Beiträge für den Newsletter Datenschutz-Tipps für Unternehmen zu bringen. Und zwar durch die neue „Besser“-Reihe. Konkret wurde die Idee dann, als ich an einem Onlinegewinnspiel im Internet mitmachen wollte und mir gedacht habe, dass es eine prima und vor allem lehrreiche Idee wäre, das, was im täglichen Leben so an Datenschutztexten (wie z.B. Einwilligungen etc.) produziert wird, einfach mal darzustellen, um dann meine ganz persönliche Meinung darüber schreiben, wie ich persönlich die Umsetzung noch besser machen würde – im Sinne der Einhaltung von Datenschutzvorschriften.

Der Fokus steht dabei nicht auf dem Fehler, also den Dingen, die das Unternehmen falsch gemacht hat, sondern ganz einfach darauf, was nach meiner persönlichen Meinung einfach besser gemacht werden könnte.

Aber sehen Sie selbst…ich habe die Gedanken für die “Besser“-Reihe hier einfach mal auf Video aufgenommen:

Wenn Sie auch immer frisch und aktuell über neue Artikel von „Besser“ informiert sein wollen, dann tragen Sie sich doch einfach als Abonnent für meinen kostenlosen Newsletter Datenschutz-Tipps für Unternehmen ein. So verpassen Sie keinen Artikel und können bequem frische Ideen für eine bessere und vor allem auch einfachere Umsetzung von Datenschutz lesen.

DevonThink Pro Office gibt es nur für den Mac, und – ganz ehrlich – es wäre für mich neben OmniFocus einer der Gründe für die Nutzung eines Macs, selbst wenn ich ansonsten ein anderes Betriebssystem nutzen würde.

DevonThink Pro Office ist meine zentrale Speicherstelle für Dokumente jeder Art. Gerade in Verbindung mit meinem Fujitsu ScanSnap S1500M wird das Abarbeiten von Papierpost ein wahrer Genuss. Grundsätzlich wird jedes Stück Papier, das in der Kanzlei eingeht, mit dem ScanSnap eingescannt und in DevonThink Pro Office abgelegt. Vertragsdokumente oder auch juristische Literatur wird durch DevonThink Pro automatisch einer Texterkennung unterzogen. So werden Volltextsuchen in der Datenbank in juristischen Dokumenten effizient möglich. Außerdem wird jedes Dokument in der Regel mit Tags versehen, so dass über diese Schlagwörter später auch Dokumente zu gleichen oder ähnlichen Themengebieten auf Schlagwortbasis gefunden werden können.

DevonThink Pro Office ist vor allem auch Grundlage für ein neues Beratungsprodukt von mir geworden, dass noch vor Weihnachten angeboten werden wird. Diese neue Beratungsdienstleistung heißt “DatenschutzSupport”, und wenn Sie neugierig sind, dann können Sie jetzt schon einen ersten Eindruck davon gewinnen. Denn das dazugehörige Video ist bereits online. Bei dieser Dienstleistung findet neben DevonThink Pro Office vor allem auch TextExpander Anwendung. TextExpander ist ein Tool, mit dem Sie über Buchstabenkombinationen Textbausteine einsetzen können. TextExpander ist mit DevonThink Pro Office die Grundlage für die sehr schnelle Beantwortung der 80% der Fragen, die regelmäßig bei Unternehmen im Datenschutzbereich als FAQ auftauchen. Ohne TextExpander und DevonThink Pro Office würde es “DatenschutzSupport” nicht geben.

Ein Beispiel dafür, wie ich DevonThink Pro Office für die Wissensverarbeitung einsetze, habe ich im nachfolgenden Video dokumentiert. Hier zeige ich, wie halbautomatisch alle Beschlüsse des Düsseldorfer Kreises in DevonThink Pro Office importiert und kategorisiert werden können – in stark vereinfachter Form. Außerdem kommt noch ein bisschen MindManager zum Einsatz.

Sie sollten in den Vollbildmodus switchen, um die Bildschirminhalte besser erkennen zu können.

Allgemein kann ich sagen, dass ich als Anwalt folgende Software-Produkte täglich im Einsatz habe:

• OmniFocus
• Mail.app mit GPGMail-Plugin
• Postbox 3 (wegen besserem Support für Verschlüsselung von Mails per PGP/GPG)
• DevonThink Pro Office
• TextExpander
• Dragon Dictate for Mac
• Scrivener for Mac
• Pixelmator
• Pages 09
• Microsoft Word
• Numbers 09
• iA Writer, mittlerweile aber meistens Byword wegen des einfachen Markdown-To-HTML-Exports. Update: Seit Version 1.2.2 kann iA Writer “Copy to HTML”, und damit bye, bye Byword – I’m back on iA Writer

Und was nutzt ihr bzw. nutzen Sie so? Ich habe die Kommentarfunktion hier freigeschaltet. Ich freue mich insbesondere über Tipps dazu, wie ihr DevonThink einsetzt.

Auch ich habe dieses Jahr wieder die Ehre, dort einen Vortrag im Audimax halten zu dürfen. In ca. 45 min möchte ich die Zuhörer in gewohnt lockerer Form über das Thema „Webanalyse, Cookies, Facebook & Co. – Recht und Haftung aus anwaltlicher Sicht“ informieren.

Anhand von konkreten Beispielen möchte ich die aktuellen rechtlichen Herausforderungen beim Einsatz von Webanalyse-Tools darstellen und bei der Gelegenheit gleich die künftigen Anforderungen im Hinblick auf die erforderliche Einwilligung beim Einsatz von Cookie-Technologie erklären und Lösungsmöglichkeiten aufzeigen.

Natürlich darf auch das Thema Facebook nicht fehlen. Ich möchte mich dabei weniger mit marken-und urheberrechtlichen Problemen befassen, sondern vielmehr datenschutzrechtliche Aspekte und vor allem Aspekte der Datensicherheit/Industriespionage ansprechen.

Die Teilnahme an der Veranstaltung kostenfrei. Jedoch ist eine Anmeldung erforderlich.

Hier finden Sie das Programm der Veranstaltung: http://www.it-kontor.com/aktuelles/veranstaltungen/agenda/

Und hier ist ein Formular, über das Sie sich anmelden können: http://www.it-kontor.com/aktuelles/veranstaltungen/

Wie Sie wahrscheinlich wissen, bin ich Jurist. Genau genommen bin ich Rechtsanwalt. Ich bin also eigentlich gar nicht prädestiniert und wohlmöglich auch nicht qualifiziert dafür, hier Anleitungen und Hinweise zu geben, die Ihnen dabei helfen, ein IT-Sicherheitskonzept zu erstellen. Und vielleicht haben Sie sogar Recht. Es hat sicher einen Grund, dass IT-Sicherheitskonzepte von Technikern erstellt werden, oder? Und dennoch…bei meinem Internet-Angebot Datenschutz-Guru geht es eben nicht darum, dass ich der Guru bin. Es geht darum, die besseren Fragen zu stellen, um zu den besseren Ergebnissen zu gelangen. Genau das führt letztlich zu Erfolg. Aber was ist Erfolg? Erfolg ist, wenn Sie ihre Ziele erreichen! Und wenn Ihr und unser Ziel ist, IT-Sicherheit im Unternehmen einfach und effektiv besser umzusetzen als vorher, dann ist es auch Fachfremden erlaubt, Fragen zu stellen.
Und kennen Sie das nicht auch, dass Sie häufig so tief in Ihrer Fachwelt stecken, dass Sie den Wald vor lauter Bäumen nicht mehr sehen. Und wenn dann z.B. ein Arbeitskollege oder noch besser Ihr Lebenspartner fragt, warum Sie das nicht einfach “so und so“ machen, geht Ihnen auf einmal ein Licht auf, und es fällt der Groschen…die Lösung war viel einfacher als Sie dachten.

Ich erlaube mir daher – frech wie ich bin – hier Ausführungen als Jurist zu einem Technikthema zu machen. Und wenn wir es einmal näher betrachten, sehen wir sogar, dass es gar nicht nur ein technisches Thema ist. Auch wenn die Durchführung der Erstellung eines IT-Sicherheitskonzeptes ein primär techniklastiges Thema ist; die wesentlichen Motive für die Erstellung eines IT-Sicherheitskonzepts sind Rechtssicherheit und vor allem Risikominimierung und Risikominderung. Und diese Themen wiederum sind nicht nur mittelbar beeinflusst durch Recht, sondern sogar getrieben von Recht.

Meine Erfahrung als Anwalt mit IT-Sicherheitskonzepten: Meine erste unmittelbare mit IT-Sicherheitskonzepten stammt aus einer Zeit, in der ich noch als Referendar beim Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD) tätig war. Das war 2002. In diesem Jahr ist im ULD das „backUP – Magazin für IT-Sicherheit“ zum ersten Mal veröffentlicht worden. Und in der ersten Ausgabe, die nach wie vor gelungen und in den wesentlichen Teilen immer noch aktuell ist, wurde das Thema „IT-Sicherheitskonzepte – Planung, Erstellung und Umsetzung“ ziemlich umfassend und vor allem verständlich abgehandelt. Das war das erste Mal, das ich wirklich verstanden habe, wie so ein IT-Sicherheitskonzept erstellt wird und was dabei beachtet werden muss. Wenn Sie gleich in die Materie einsteigen wollen…einen Link zum Magazin finden Sie hier:

• backUP-Magazin 01: IT-Sicherheitskonzepte: Planung, Erstellung, Umsetzung (PDF)

Da ich schon zu Beginn meiner Anwaltszeit vornehmlich im IT-Recht und mittlerweile nur noch im Datenschutzrecht (und Recht der IT-Sicherheit) tätig bin, habe ich seitdem etliche IT-Sicherheitskonzepte gesehen, geprüft und evaluiert. Und noch häufiger habe ich erlebt, dass IT-Sicherheitskonzepte nicht vorhanden waren, obwohl wir das hätten erwarten können. Selbst in Verfahren für Datenschutz-Gütesiegel wie das Gütesiegel für IT-Produkte des ULD oder das European Privacy Seal (EuroPriSe) dürfen wir Gutachter uns manchmal wundern, dass selbst datenschutzaffine Unternehmen ihre Hausaufgaben im Bereich der Informationssicherheit nicht gemacht haben und z.B. IT-Sicherheitskonzepte fehlen.

Mit den Newsletter-Ausgaben „So erstellen Sie ein IT-Sicherheitskonzept“ möchte ich versuchen, gerade kleinen und mittelständischen Unternehmen das Thema näher zu bringen und ihnen zu ermöglichen, ein passendes IT-Sicherheitskonzept für ihr Unternehmen mit vertretbarem Aufwand zu erstellen und nach Möglichkeit auch zu pflegen. Die Idee dazu hatte ich, nachdem ich vor kurzem in Berlin eine Schulung für Mitarbeiter von mittelständischen Unternehmen durchgeführt habe, die das Thema IT-Sicherheitskonzepte im Hinblick auf den Datenschutz in Unternehmen beleuchten sollte. Es war das zweite Mal, dass ich dieses Seminar gehalten habe. Und als ich am Ende des ersten Seminartages in die Gesichter der Teilnehmer schaute, sah ich ziemlich genau, dass sie wahrscheinlich niemals Zeit und Ressourcen dafür aufbringen können, in ihren eher kleinen Unternehmen ein IT-Sicherheitskonzept nach BSI-Standard zu erstellen. Selbst bei Verwendung von Software-Tools bleibt der Aufwand immer noch enorm.

Was ich jedoch noch für viel relevanter halte, ist die Tatsache, dass ein IT-Sicherheitskonzept, das den BSI-Standard entspricht, sehr häufig weniger aussagekräftig ist, als ein zusammenhängend geschriebenes – selbstgestricktes – IT-Sicherheitskonzept, sofern dies bestimmte Kriterien erfüllt.

Als ich am Abend nach einer schönen Lauf-Runde durch den Tiergarten in Berlin in meinem Hotelzimmer angekommen war, habe ich die gesamte Seminarkonzeption für den zweiten Tag komplett neu gestaltet. Meine Idee war, zwar eine Anlehnung an BSI-Standard vorzunehmen, bei den wesentlichen Inhalten eines IT-Sicherheitskonzeptes jedoch die inhaltlichen Vorgaben für die Erstellung eines IT-Sicherheitskonzeptes aus dem o.g. backUP-Magazin des ULD als Grundlage anzusetzen.

Das ergab sich im Ergebnis für mich folgender Aufbau der IT-Sicherheitskonzeption:

• Jedes Unternehmen braucht eine IT-Richtlinie, die grundlegende Vorgaben für die Benutzung von IT-Systemen und Applikationen enthält und die sich an die Benutzer – also in der Regel die Mitarbeiter – richtet.
• Ein IT-Sicherheitskonzept, das in verständlicher Weise die grundlegenden technischen und organisatorischen Maßnahmen darstellt, die im Unternehmen zur Gewährleistung von Datenschutz und Datensicherheit getroffen werden.
• Flankierend zum IT-Sicherheitskonzept wird für jedes Unternehmen eine Auflistung der nach § 9 BDSG Betroffenen technischen und organisatorischen Maßnahmen in übersichtlicher Weise vorgenommen.

Kommen wir in diesem Newsletter am besten doch gleich zum ersten Punkt. Sie finden im Internet zahlreiche Muster für IT-Richtlinien, EDV-Benutzerrichtlinien oder ähnliche Dokumente, in denen es darum geht, dass ein Unternehmen (oder eine öffentliche Stelle) den Nutzern von IT-Systemen und -anwendungen Vorgaben im Umgang mit diesen Ressourcen macht. Es gibt sehr umfangreiche Dokumente, und es gibt sehr kurze Dokumente.

Für mich ist entscheidend, dass das Dokument neben den Basis-Inhalten vor allem auch für die Adressaten noch verständlich bleibt. Für meine Seminarteilnehmer habe ich einfach ein neues Dokument erstellt, das dem entspricht, wie ich mir eine IT-Richtlinie für ein kleines oder mittelständisches Unternehmen grundsätzlich vorstelle. Es ist nur ein Vorschlag, und Sie können das sicherlich besser machen als ich. Und Sie wissen ja wie das ist…manchmal ist es einfach hilfreich, wenn wir ein Muster haben, an dem wir uns orientieren können, um selbst unseren Weg zu einem noch besseren Dokument zu finden.

Also…warum fangen Sie nicht auch einfach an, ihre eigene IT-Richtlinie zu schreiben? Sie sind herzlich eingeladen, hierfür mein Muster zu verwenden, dass ich hier als Word-Dokument zur Verfügung stelle:

• IT-Richtlinie – Muster (.doc) – Version 2 (06.02.2012)

Es ist wirklich sehr leicht, so einen Anfang zu machen und das Dokument an ihre persönlichen Bedürfnisse anzupassen und – vor allem – zu verbessern.

Wenn Sie jedoch lieber auf Nummer sicher gehen wollen, dann sollten Sie in der Tat den Weg über BSI-Standard (“Grundschutz”) gehen. Hier brauchen Sie dann die BSI-Dokumente “Standard 100-1 bis 100-4″. Es handelt sich jeweils um PDF-Dokumente. Im BSI-Standard 100-1 geht es um die Erstellung einer Sicherheitsleitlinie werden allgemeine Anforderungen an Informationssicherheits-Management-Systeme beschrieben. Das eigentliche “Brot-und-Butter”-Dokument ist dann BSI-Standard 100-2, wo erläutert wird, wie die Strukturanalyse der IT-Systeme, Anwendungen, Räume und Netzkomponenten erfolgt und wie Sie dann die Schutzbedarfsfeststellung und die Ermittlung der Gefährdungen und der jeweils zu treffenden Maßnahmen aus den IT-Grundschutzkatalogen/-bausteinen entnehmen. Die BSI-Dokumente finden Sie hier:

• BSI Standard 100-1
• BSI Standard 100-2
• BSI Standard 100-3
• BSI-Standard 100-4

Für viele Unternehmen ist dies jedoch nach wie vor etwas komplex und daher vielleicht nicht die beliebteste Wahl.

Früher…so jauchzen einige Mitarbeiter aus Personalabteilungen…da war das mit den Bewerbungen irgendwie einfacher. Die Bewerbung kam per Post, und mit Abschluss des Auswahlverfahrens wurden die Bewerbungsunterlagen im Original zurückgesendet. So einfach war das.

Heute heißt die Personalabteilung “HR“ und die Vergabe von Stellen über Bewerbungen läuft auch durchaus anders. Ja, es gibt noch die klassischen alten Bewerbungsmappen, aber heute werden auch diese Daten in der Regel elektronisch ausgewertet und mit anderen Daten angereichert.

Das können zusätzliche Erkenntnisse aus einem Bewerbungsgespräche, aus einer Online-Recherche zum Bewerber in einer Personensuchmaschine wie z.B. yasni sein oder Ergebnisse aus einem Test bei einem Assessment Center sein. Diese Daten werden dann möglicherweise aggregiert in einer Bewerberdatendank gespeichert, und wir Juristen streiten uns heute immer noch darüber, ob für die Speicherung dieser Daten in einer Datenbank eine Einwilligung erforderlich ist oder nicht (dazu vielleicht in einem anderen Tipp mehr).

Aber ich möchte zum eigentlichen Thema zurück kommen. Die Ausgangsfrage lautet, wann Sie Bewerberdaten löschen müssen. Die klassische Juristenantwort “Es kommt darauf an.“ passt natürlich auch hier.

Nun aber ernsthaft: Immer wenn ich als Rechtsanwalt eine Frage zur Beantwortung vorgelegt bekomme, in der es um den Schutz von Daten im Arbeitsverhältnis bzw. im arbeitsrechtlichen „Anbahnungsverhältnis“ (Bewerbungsstadium, Auswahlverfahren), sind neben den datenschutzrechtlichen Fragen zunächst auch arbeitsrechtliche Besonderheiten zu beachten. Denn die arbeitsgerichtliche Rechtsprechung enthält ab und an durchaus Abweichungen von datenschutzrechtlichen Grundsätzen, die bei einer Recherche in einschlägigen juristischen Datenbanken und rechtswissenschaftlicher Literatur ermittelt werden können.

Für die Löschung von Bewerberdaten gibt es z.B. eine Entscheidung des Bundesarbeitsgerichts (BAG), die interessant ist. Das Urteil stammt vom 06.06.1984 (Az.: 5 AZR 286/81), dürfte aber immer noch Bedeutung haben. In dem Fall ging es um die Löschung eines Personalfragebogens eines abgelehnten Bewerbers.

Nach diesem Urteil gilt nach Rechtsprechung des BAG zunächst Folgendes:

• Die dauerhafte Aufbewahrung von Bewerberunterlagen kann das Persönlichkeitsrecht des Bewerbers verletzen.
• Eine Verletzung des Persönlichkeitsrechts liegt nicht vor, wenn der Arbeitgeber ein berechtigtes Interesse an der Aufbewahrung des Fragebogens hat.
• Die Absicht, den Fragebogen bei einer nochmaligen Bewerbung zu einem Datenvergleich heranzuziehen oder den Bewerber später zu einer nochmaligen Bewerbung anzuhalten, begründet ein solches berechtigtes Interesse nicht.
• Im Falle einer Verletzung des Persönlichkeitsrechts hat der Bewerber Anspruch auf Vernichtung (Löschung) der Daten.

Neben den arbeitsrechtlichen Aspekten sind aber auch die datenschutzrechtlichen Anforderungen zu beachten. Merke: es gibt nicht immer nur ein Gesetz oder ein einschlägig anzuwendendes Recht. So können z.B. Ansprüche aus dem Arbeitsrecht, aus dem Persönlichkeitsrecht und aus dem Datenschutzrecht konkurrierend nebeneinander zur Anwendung kommen. Das trägt nicht gerade zur Rechtsklarheit bei, ist aber eben so.

Nach § 32 Abs. 1 Satz 1 Alt. 1 BDSG dürfen personenbezogene Daten von Bewerbern für die Begründung eines Beschäftigungsverhältnisses erhoben, verarbeitet und genutzt werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses erforderlich ist.

Eine Regelung zur Löschung der Daten ist in § 32 BDSG nicht enthalten. Daher ist für die datenschutzrechtliche Lösung der Ausgangsfrage ein Blick in § 35 BDSG zu werfen. Dort ist nämlich die Löschung von personenbezogenen Daten geregelt. Nach § 35 Abs. 2 Satz 2 BDSG sind Daten u.a. zu löschen, wenn ihre Speicherung unzulässig ist oder sie für eigene Zwecke verarbeitet werden und ihre Kenntnis für die Erfüllung des Zwecks der Speicherung nicht mehr erforderlich ist.

Klar ist: Wenn Sie unzulässig Daten über den Bewerber speichern, die sie gar nicht erhoben durften, dann sind die Daten sofort zu löschen.

Wann müssen Sie jetzt aber rechtmäßig erhobene Daten eines Bewerbers löschen, der im Auswahlverfahren nicht den Zuschlag für den Job erhalten hat?

Wenn Sie sich den Gesetzestext durchlesen, dann könnte man meinen, dass mit der – für den Bewerber – negativen – Auswahlentscheidung der Zweck einer weiteren Speicherung der Bewerberdaten entfallen ist. Ausnahme wäre – arbeitsrechtlich (s.o.) – wenn der Bewerber z.B. in seinem Anschreiben zum Ausdruck gebracht hat, auch an künftigen anderen Stellenangeboten Interesse zu haben. Oder – noch besser – Sie haben im Zuge des Bewerbungsverfahrens eine schriftliche Einwilligung des Bewerbers eingeholt.

Was aber, wenn die Ausnahmen nicht vorliegen? Sicher ist mit der negativen Auswahlentscheidung ein wesentliches Element des Bewerbungsverfahrens abgeschlossen. Und früher hätte man sicher auch annehmen können, dass dann unverzüglich die Bewerberdaten hätten gelöscht werden müssen. Heute müssen aber auch etwaige Ansprüche aus dem Allgemeines Gleichbehandlungsgesetz (AGG) berücksichtigt werden..
Denn wie wollen Sie sich gegen jemanden verteidigen, der vor dem Arbeitsgericht Ansprüche wegen einer gesetzlich unzulässigen Benachteiligung im Auswahlverfahren gegen das Unternehmen geltend macht, wenn Sie überhaupt keine Daten mehr über den Bewerber haben und daher gar keine Aussage darüber treffen können, warum die Person nicht berücksichtigt werden konnte?

Auch die Verteidigung gegen erhobene Ansprüche ist ein berechtigtes Interesse des Unternehmens und eine in diesem Zusammenhang erfolgende weitere Speicherung der Daten ist für den Zweck (hier: Begründung eines Arbeitsverhältnisses bzw. die Entscheidung über die Begründung eines Arbeitsverhältnisses) erforderlich und damit datenschutzrechtlich zulässig.

Ein Bewerber muss seine Ansprüche aus dem AGG spätestens nach zwei Monaten geltend machen (§ 21 Abs. 5 AGG). Für die Frist entscheidend ist der Eingang der Klagschrift beim Arbeitsgericht.
Da man bedenken muss, dass die Klage vom Arbeitsgericht erst noch an das Unternehmen zugestellt werden muss, und dies – unter Berücksichtigung von durchaus vorkommenden Zustellungsschwierigkeiten – auch einmal einige Wochen dauern kann, ergeben sich für die datenschutzrechtliche Bewertung folgende Konsequenzen:

Meine rechtliche Empfehlung:
• Bewerberdaten dürfen nach Abschuss des Auswahlverfahrens für vier Monate gespeichert werden.
• Für den Fall, dass ein Rechtsstreit bei einem Gericht anhängig ist, dürfen die Daten bis zum rechtskräftigen Abschluss des Verfahrens gespeichert werden.

Zum Teil wird in der rechtswissenschaftlichen Literatur vertreten, dass eine weitere Speicherung von Bewerberdaten bis zum Ablauf der regelmäßigen zivilrechtlichen Verjährungsfrist von drei Jahren (§ 195 BGB) zum Ende eines Kalenderjahres rechtlich zulässig sei (vgl. Tager/Gabel-Zöll, § 32 BDSG Rn. 19). Begründet wird dies damit, dass neben Ansprüchen aus dem AGG auch allgemeine Unterlassungsansprüche z.B. wegen Verletzung von Persönlichkeitsrechten gegen das Unternehmen vom Bewerber geltend gemacht werden könnten und zur Abwehr die Bewerberdaten erforderlich seien.

Auch wenn die Argumentation nachvollziehbar ist, ist die Praxis der Aufsichtsbehörden m.E. eine andere. Die bayerische Aufsichtsbehörde hält z.B. 6 Monate noch für vertretbar, wie sie im Tätigkeitsbericht für 2011/2012 geschrieben hat (S. 62). Die Wahrscheinlichkeit, dass ein Unternehmen sich über den Ablauf der Verjährungsfristen hinaus gegen zivilrechtlich Ansprüche eines abgelehnten Bewerbers zur Wehr setzen muss, scheint mir zudem nicht sehr praxisrelevant bzw. risikobehaftet zu sein.

Ich empfehle daher eine kürzere Speicherung.

Es ist jetzt Anfang August 2011, und wir stecken momentan noch mitten in der Urlaubszeit. Und: Was haben Sie für Ihre Urlaubsabwesenheit für ihren dienstlichen E-Mail-Account geplant? Bleibt dieser etwa für die Zeit des Urlaubs komplett ruhen und bleibt ungelesen?
Dann laufen Sie allenfalls Gefahr, dass wichtige E-Mails nicht bearbeitet werden oder Fristen versäumt werden. Vielleicht haben Sie aber einen Auto-Responder aktiviert, der die Absender von E-Mails an Sie darüber informiert, dass Sie sich gerade im wohlverdienten Urlaub befinden und sich nach Rückkehr aus dem Urlaub zurückmelden werden. Vielleicht informiert der Auto-Responder den Absender freundlicherweise auch darüber, dass Sie für eilige Fälle einen Vertreter haben, bei dem das dringliche Anliegen gegebenenfalls noch einmal selbst durch eine weitere E-Mail vorgebracht werden kann.

Diese Konstellation ist eine einfache und rechtlich unproblematisch Konstellation, die ich immer empfehlen würde, wenn der jeweilige E-Mail-Account nicht regelmäßig mit Fristsachen oder Kundenanliegen beglückt wird.

Was aber können Sie tun, wenn die Bearbeitung der E-Mails während ihres Urlaubs durch Kollegen (oder die Unternehmensleitung) unbedingt erforderlich ist? Dann fangen die rechtlichen Probleme erst so richtig „schön“ an. Dürfen Sie zum Beispiel einem Kollegen Zugriffsrechte auf Ihren E-Mail-Account einräumen? Oder dürfen Sie gar eine Weiterleitung der E-Mail an einen oder mehrere Kollegen einrichten? Das alles sind wunderbare Fragen, auf die es bis heute keine eindeutigen Antworten gibt. Es gibt nämlich keine einschlägige, klare Rechtsprechung zu diesen Fragen, und die Literatur zu diesem Thema schweigt sich zu den wesentlichen Probleme aus oder ist heillos zerstritten.

Für die Beantwortung all dieser Fragen ist stets entscheidend, ob in Ihrem Unternehmen die private Nutzung des dienstlichen E-Mail-Accounts erlaubt ist oder nicht. Ist die private Nutzung erlaubt, wäre nach bisher herrschender Meinung ein Zugriff auf E-Mails während ihres Urlaubs durch Vorgesetzte, Kollegen oder die Unternehmensleitung rechtlich unzulässig. Abhängig von der technischen Ausgestaltung würde nämlich entweder eine Verletzung des Fernmeldegeheimnisses oder eine Verletzung des Rechts auf Integrität und Vertraulichkeit informationstechnischer Systeme vorliegen. Nach einer noch ganz frischen arbeitsrechtlichen Entscheidung des LAG Berlin-Brandenburg (Urteil vom 16.02.2011, Az.: 4 Sa 2132/10) soll aber das Fernmeldegeheimnis zumindest in bestimmten Konstellationen das Fernmeldeheimnis auch bei erlaubter Privatnutzung nicht für den Arbeitgeber greifen. Die Begründung ist jedoch nicht ganz überzeugend, wie ich finde. Ob sich diese Auffassung durchsetzt, wird sich zeigen.

Nach strenger Auffassung dürfte im Fall einer erlaubten Privatnutzung von E-Mail Ihr Vorgesetzter im Übrigen auch nicht von Ihnen verlangen können, dass Sie dem Zugriff auf Ihren E-Mail-Account während ihrer Abwesenheit zustimmen. In diesem Fall würde es nämlich an der erforderlichen „Freiwilligkeit“ der Zustimmung/Einwilligung fehlen.

Wenn Sie jedoch freien Herzens und aus eigener Überzeugung gerne während ihrer Abwesenheit ihre E-Mails von einem Kollegen bearbeitet wissen wollen, dann spricht zunächst nichts dagegen, dass Sie eine entsprechende Zustimmung/Einwilligung erteilen. Diese kann in diesen Fällen auch regelmäßig konkludent – also durch stillschweigendes, schlüssiges Handeln – erfolgen, so dass es ausreicht wenn Sie selbst die entsprechende Berechtigung in Ihrem E-Mail-Programm einrichten.

Das hört sich alles auf den ersten Blick nachvollziehbar und gar nicht so komplex an. Jetzt wundern Sie sich vielleicht, warum ich am Anfang geschrieben habe, dass die Rechtslage komplex und und eindeutig sei. Nun ja…dazu dürfen Sie wissen, dass Sie nicht alleine auf diesen Planeten sind. Was meine ich jetzt aber damit? Lassen Sie mich das am besten anhand eines konkreten Beispiels darstellen:

Ich hatte einmal einen Mandanten, einen Geschäftsführer einer GmbH, den ich aufgrund meiner Tätigkeit als Anwalt für das Unternehmen auch einmal in einer etwas pikanten, privaten Angelegenheit strafrechtlich vertreten – bzw. strafrechtlich korrekter ausgedrückt – verteidigt habe. Ohne auf weitere Details einzugehen, ging es in dem Fall um eine nicht besonders schwerwiegende Straftat, die sich jedoch – für den Mandanten etwas peinlich – im „Rotlichtbereich“ zugetragen haben soll. Mit Zustimmung des Mandanten ist die E-Mail-Kommunikation in dieser Angelegenheit über den dienstlichen E-Mail-Account des Geschäftsführers geführt worden und mit seiner Zustimmung auch in unverschlüsselter Form.

Wie es in strafrechtlichen Angelegenheiten üblich ist, habe ich zunächst die so genannte Verteidigungsanzeige an die Staatsanwaltschaft gesendet, in der ich darauf hingewiesen habe, dass mein Mandant zunächst keine Angaben zur Sache macht, bevor nicht Akteneinsicht erteilt wurde, und ein entsprechendes Akteneinsichtsgesuch (das ist mal „Juristendeutsch“) gestellt.

Und dann passierte – auch für Strafsachen nicht unüblich – lange nichts. Nach ca. 3 Monaten erhielt ich dann die Akte von der Staatsanwaltschaft und habe den Mandanten entsprechend über den Inhalt der Akte per E-Mail informieren wollen. Gesagt – getan. Die E-Mail habe ich geschrieben, Korrektur gelesen, und ordnungsgemäß an den Geschäftsführer per E-Mail adressiert.

Als ich ungefähr eine Stunde später meine E-Mails abgerufen habe, bekam ich Gänsehaut. In meiner „Inbox“ hatte ich eine E-Mail, die mich leider nicht auf einen Lottogewinn hingewiesen hat, sondern darauf, dass mein Mandant (der Geschäftsführer) sich im Urlaub befindet und diese E-Mail automatisch an seinen Vertreter im Unternehmen, Herrn Max Mustermann (Name natürlich von mir geändert) weitergeleitet wird. Na toll…auf diese Weise wurde der Geschäftsführer (mein Mandant) durch die Weiterleitung an den Kollegen im Unternehmen als „Rotlicht-Gänger“ geoutet. Diese Situation war mir natürlich sehr unangenehm. Auch wenn ich nicht unmittelbar für die Offenbarung des Geheimnisses verantwortlich war (schließlich musste der Geschäftsführer selbst am besten wissen, dass möglicherweise auch unangenehme E-Mails in seiner E-Mail-Inbox landen, die seine Kollegen nichts angehen), war es doch ein ziemlich blödes Gefühl, daran mitgewirkt zu haben, dass der Ruf des Geschäftsführers in seinem eigenen Unternehmen möglicherweise erheblich geschädigt worden ist.

Was hat diese Geschichte nun mit unserem Thema zu tun? Ganz einfach: in einer Kommunikation, die über Telekommunikationsmittel wie zum Beispiel Telefon oder E-Mail erfolgt, geht es nicht immer nur um den Schutz des Empfängers einer E-Mail, sondern eben manchmal auch um den Schutz des Absenders einer E-Mail. Im Beispielsfall habe ich zwar keine Geheimnisse über mich verraten, sondern über den Mandanten, der die E-Mail empfangen hat. Das hätte natürlich aber auch noch anders sein können.

Wie dem auch sei, in meinem konkreten Beispielsfall hätte ich mir sehr gewünscht, dass meine E-Mail nicht automatisch an den Vertreter meines Mandanten weitergeleitet worden wäre. Ideal wäre für mich gewesen, wenn ich lediglich eine Benachrichtigung durch einen Auto-Responder bekommen hätte, der mich auf den Urlaub des Mandanten und einen gegebenenfalls bestellten Vertreter hingewiesen hätte. Dann wäre die E-Mail mit dem pikanten Inhalt lediglich bei dem gelandet, den es angeht: meinen Mandanten.

Ob die automatische Weiterleitung von E-Mails während der Abwesenheit (z.B. urlaubsbedingt) an Kollegen oder die Erteilung von Zugriffsrechten auf Ihren E-Mail-Account rechtlich zulässig ist oder nicht, ist juristisch bis heute nicht eindeutig geklärt. Während eine Auffassung davon ausgeht, dass der Absender einer E-Mail damit rechnen müsse, dass auch Kollegen – z.B. während des Urlaubs – auf die E-Mails des Empfängers zugreifen können, geht eine andere Auffassung davon aus, dass auch der Schutz des so genannten B-Teilnehmers (Absender der E-Mail) gewährleistet sein muss und daher eine entsprechende Weiterleitung oder Kenntnisnahme von E-Mails durch Dritte nur mit Zustimmung des E-Mail-Absenders zulässig ist.

Die rechtliche „Bewältigung“ der Herausforderungen der Informationsgesellschaft scheitert also auch einmal wieder an diesem Punkt. Wir Juristen dürfen uns daher immer mehr damit anfreunden, dass wir es – zumindest im Bereich der rechtlichen Beratung – immer weniger mit „Compliance“, also der Einhaltung von Rechtsgrundlagen, und immer mehr mit „Best Practice” zu tun haben. Der Best-Practice-Ansatz zeigt dabei einen Weg auf, bei dem die Einhaltung der Rechtsvorschriften mit relativ hoher Sicherheit gewährleistet ist. Er zielt weniger darauf ab, dass rechtlich Mögliche zu erreichen, sondern eher durch eine größere Vorsicht eine höhere Wahrscheinlichkeit für die Einhaltung der Rechtsgrundlagen zu erhalten.

Tja… und wie sieht nun der Best-Practice-Ansatz für Ihren E-Mail-Account während Ihrer Urlaubsabwesenheit aus? Ich würde – nach meiner ganz persönlichen Meinung – sagen, so:

1. Wenn Sie im Urlaub selbst ihre E-Mails lesen, dann brauchen Sie weder eine Weiterleitung von E-Mails an Kollegen oder eine Zugriffsberechtigung von Kollegen auf Ihren E-Mail-Account. Sie sollten entsprechend diese Dinge unterlassen. Teilen Sie doch ggf. ihren häufigen Gesprächspartnern im Vorwege mit, dass Sie sich in der Zeit von X bis Y im Urlaub befinden und ihre E-Mails mindestens einmal am Tag (z.B vormittags oder abends) lesen und bearbeiten. Dann können Sie dringliche Sachen immer noch an Kollegen delegieren.
2. Wenn Sie im Urlaub nicht Ihre E-Mails lesen wollen UND es nicht zwingend erforderlich ist, dass der E-Mail-Account z.B. für Wahrung von Fristangelegenheiten von Kollegen gelesen wird, dann richten Sie einen Auto-Responder ein („Abwesenheitsbenachrichtigung“), der den Absender einer E-Mail an Sie darüber informiert, dass Sie sich im Urlaub befinden und wann Sie zurück wieder zurück sind. Außerdem sollten Sie gerne darauf hinweisen, dass die E-Mail nicht an einen Kollegen weitergeleitet bzw. gelesen wird. Hilfreich ist es daher, auf Namen und E-Mail-Adresse (ggf. auch Telefonnummer etc.) eines Kollegen hinzuweisen, der sich um das Anliegen kümmern kann, damit der E-Mail-Absender eine Chance der Bearbeitung seines Anliegens bekommt.
3. Wenn durch Nichtbearbeitung Ihrer E-Mails mit hoher Wahrscheinlichkeit ein Schaden für Absender von E-Mails an Sie entstehen kann, dann kann es unter Umständen geboten (und auch zulässig sein), eine Zugriffsberechtigung auf Ihren E-Mail-Account für Kollegen einzurichten. Dies sollte jedoch stets die Ausnahme sein. Wenn Sie regelmäßig mit denselben Personen kommunizieren und z.B. E-Mails von Personen, mit denen Sie vorher keinen Kontakt gehabt haben, selten bekommen, dann können Sie ihre üblichen Kontaktpersonen besser im Vorwege über einen Vertreter informieren, an den diese sich während Ihrer Abwesenheit wenden sollen. Oder Sie verweisen auf einen ggf. bestehen Gruppen-E-Mail-Account (z.B. vertrieb@mustermann-firma-xyz.de). Dann wird eine Kenntnisnahme der E-Mails an Sie durch Kollegen entbehrlich, und der Schutz des E-Mail-Empfängers bleibt gewährleistet.

Ach ja…„one more thing“: Wenn Sie Datenschutzbeauftragter eines Unternehmens sind, sollten Sie während der Urlaubsabwesenheit sehr vorsichtig mit Weiterleitungen und Zugriffsberechrtigungen für Dritte sein, wenn es sich um die E-Mail-Adresse handelt, die in der Außendarstellung oder in der bisherigen Korrespondenz mit Betroffenen verwendet wurde. Denn nach § 4f Abs. 4 BDSG unterliegt der Datenschutzbeauftragte einer besonderen Verschwiegenheitspflicht zugunsten des Betroffenen. Der Datenschutzbeauftragte ist – soweit nicht eine Befreiung durch den Betroffenen erteilt wurde – verpflichtet, Stillschweigen über die Identität des Betroffenen sowie der Umstände seines Anliegens zu bewahren. Wenn nun jedoch ein Kollege die E-Mail an den Datenschutzbeauftragten während dessen Urlaubs zur Kenntnis bekommt, dann gibt es ein Problem. Das erkennen Sie selbst, nicht wahr?
Allerdings sieht das BDSG erstaunlicherweise keine Sanktionen bei der Verletzung der Verschwiegenheitspflicht durch den Datenschutzbeauftragten vor. Jedoch kann im Falle eines materiellen oder immateriellen Schadens des Betroffenen durch die Verletzung der Verschwiegenheitspflicht ggf. ein Schadensersatzanspruch gegenüber dem Datenschutzbeauftragten durch den Betroffenen geltend gemacht werden.

Sie merken…alles nicht ganz so einfach mit diesen E-Mails.

Und ich bin mir sicher, dass Sie den für Sie passenden Weg nun finden werden.

Der nächste Urlaub kommt bestimmt. Ich freue mich für Sie. Genießen Sie ihn – mit Auto-Responder

Ihr Stephan Hansen-Oest

Mittlerweile haben viele Unternehmen Musterverträge für ihre eigenen Bedürfnisse erstellt. Und das betrifft sowohl Unternehmen als Auftraggeber als auch Unternehmen als Auftragnehmer.

Wenn Sie z.B. als Datenschutzbeauftragter, Justitiar oder sonstiger Verantwortlicher für die Prüfung eines Auftragsdatenverarbeitungsvertrages verantwortlich sind, stehen Sie regelmäßig vor der Herausforderung – und das meist auch noch schnell – eine Prüfung des Vertrages im Hinblick auf die Einhaltung der Vorgaben des § 11 BDSG, und insbesondere bzgl. § 11 Abs. 2 BDSG durchzuführen.

Natürlich können Sie jetzt ins Gesetz schauen und Punkt für Punkt prüfen, ob die Voraussetzungen vorliegen. Vielleicht geht es aber auch noch einfacher. Ich gebe zu: Ich bin ja normalerweise nicht so ein Checklisten-Fan, da ich eher nicht prozedural, sondern optional “programmiert” bin; gleichwohl hat mir die nachfolgende Checkliste in meiner anwaltlichen Praxis erheblich geholfen, die Vertragsprüfungen zu beschleunigen.

Die Checkliste ist eine Hilfestellung und ersetzt keine vollständige juristische Prüfung. Ich habe die Inhalte nach meinen persönlichen Vorlieben und Schwerpunkten gewählt. Bitte beachten Sie, dass Ihre Aufsichtsbehörde möglicherweise andere Punkte wichtig findet. Klären Sie die Vollständigkeit der Punkte daher unbedingt auch noch mal für Ihre Bedürfnisse ab.

So benutzen Sie die Checkliste:

• Laden Sie sich die Checkliste herunter.
• Öffnen Sie die Checkliste mit Microsoft Word oder einer anderen Textverarbeitung, die in der Lage ist, mit Formularfeldern zu arbeiten.
• Legen Sie sich den zu prüfenden Auftragsdatenverarbeitungsvertrag zurecht.
• Gehen Sie die Fragen der Checkliste durch.
• Wenn Sie die jeweilige Frage mit “Ja” beantworten könnten, dann geben Sie die Fundstelle im Vertrag in dem betreffenden Feld an. Das ist für Sie ein idealer Nachweis der Prüfung und eine prima Gedankenstütze, wenn Sie den Vertrag noch einmal prüfen bzw. den Abschluss begründen sollen.
• Wenn Sie Fragen mit “Nein” beantworten müssen, ist dies ein starkes Anzeichen dafür, dass der Vertrag überarbeitungsbedürftig ist. Klären Sie diesen Punkt am besten in Ihrem Unternehmen und vor allem mit dem Vertragspartner, um etwaige Zweifel an der Einhaltung der Voraussetzungen des § 11 Abs. 2 BDSG gar nicht erst entstehen zu lassen.
• Wenn Sie mit der Prüfung fertig sind, können Sie als Prüfender die Checkliste für Nachweiszwecke unterzeichnen – müssen Sie aber nicht.
• Belohnen Sie sich nach getaner Arbeit – Sie haben mit der Checkliste sicher Zeit eingespart. Die können Sie nutzen, z.B. für einen leckeren Milchkaffee, Bürosport oder einen Plausch mit den Kollegen.

Und wenn Sie die Checkliste gut finden, dann freue ich mich über ein Lob! Empfehlen Sie dann doch gerne anderen meinen kostenlosen Newsletter Datenschutz-Tipps für Unternehmen weiter. Denn Empfehlungen sind für mich ein großes Lob! Herzlichen Dank!

Wichtiger Hinweis zum Urheberrecht:
- Die Nutzung der Checkliste für eigene Zwecke ist kostenfrei.
- Der Verkauf der Checkliste ist untersagt.

Oder mit anderen Worten: Sie können die Checkliste für eigene Zwecke jederzeit gerne verwenden, insbesondere vervielfältigen und bearbeiten. Ich möchte lediglich nicht, dass ein Unternehmen die Checkliste dazu nutzt, um diese an Dritte zu verkaufen. Die Checkliste in dieser Fassung soll stets kostenfrei bleiben, und ich möchte nicht, dass dies durch Dritte umgangen wird.

Sie können die Checkliste als Word-Datei (.docx) hier herunterladen:

• Checkliste Auftragsdatenverarbeitung V1 (.docx)

Für mehr Klarheit darf dann gerne Literatur sorgen. Und zum BDSG gibt es mittlerweile (neben Lehrbüchern) eine Reihe von Gesetzeskommentaren, die auch den Datenschutzbeauftragten bei der Bewältigung von Anfragen und bei der Klärung von datenschutzrechtlichen Sachverhalten unterstützen sollen. Die Preisspanne ist dabei sehr unterschiedlich.

Wie Sie als Datenschutzrechtler oder Datenschutzbeauftragte das richtige Buch auswählen und bzw. oder herausfinden, was zu Ihnen passen könnte, das zeige ich Ihnen im nachfolgenden Video:

Ja…ich weiß, das Video ist recht lang und eignet sich vielleicht nicht dazu, es mal kurz zwischendurch zu sehen. Wenn Sie sich aber ernsthaft mit der Anschaffung eines passenden BDSG-Kommentars beschäftigen, dann ist das Anschauen hilfreich und wertvoll – das verspreche ich Ihnen. Natürlich können Sie auch einfach zu den Passagen “vorspulen”, die Sie interessieren. Sie müssen ja nicht zwingend das komplette Video sehen.

Neben der reinen Vorstellung und Kritik an den einzelnen Büchern, gibt es auch ein paar (wenige) Insider-Infos zu den Autoren.

Folgende BDSG-Kommentare bzw. Bücher werden im Video besprochen:

• Simitis, Bundesdatenschutzgesetz, 7. Auflage 2011, ISBN: 3832941835, Preis: 178,00 €
• Gola/Schomerus, BDSG – Bundesdatenschutzgesetz, 11. Auflage 2012, Preis: 54,00 €
• Rolf G. Abel, Praxiskommentar Bundesdatenschutzgesetz – Schnelle Klarheit im novellierten BDSG, 5. Auflage 2009, Preis: 89,00 €
• Däubler/Klebe/Wedde/Weichert, Bundesdatenschutzgesetz, 3. Auflage 2009, Preis: 69,90 €
• Schaffland/Wiltfang, Bundesdatenschutzgesetz (BDSG), Loseblattwerk, Preis: 98,00 € (dann Ergänzungslieferungen im Abonnementbezug, alternativ: Einzelkauf des aktuellen Werkes ohne Ergänzungslieferungen für 168,00 €) – Hinweis: Im Video habe ich mich über die Loseblattsammlungen beschwert und stattdessen Online-Kommentare gewünscht. Auf den Seiten des ESV-Verlages habe ich jetzt gesehen, dass es außerdem auch eine Online-Version des Werkes gibt. Ich nehme meine Kritik natürlich zurück
• Taeger/Gabel, Kommentar zum BDSG und den einschlägigen Vorschriften des TMG und TKG, 1. Auflage 2010, Preis: 218,00 €
• Wybitul, Datenschutz im Unternehmen, 1. Auflage 2011, Preis: 59,00 €
• Bergmann/Möhrle/Herb, Datenschutzrecht, Loseblattsammlung, Preis: 84,00 €

Oh je…vielleicht kennen Sie die Situation – sei es als Auftraggeber oder Auftragnehmer: Ihr Vertragspartner, für den die Daten verarbeiten oder von dem Sie Daten bekommen sollen, verlangt von ihnen eine Aufstellung der sog. technischen und organisatorischen Maßnahmen im Sinne des § 9 BDSG und der sog. Anlage zu § 9 Satz 1 BDSG. In dem Thema Datenschutz gut aufgestellt sind und ihre interne Verarbeitungsübersicht aktuell ist, haben Sie mit dieser Anfrage möglicherweise überhaupt kein Problem.

Vielleicht geht es Ihnen aber auch wie vielen anderen Unternehmen, und Sie haben im Bereich des Datenschutzes und gerade im Bereich der Dokumentation noch ein wenig Nachholungsbedarf. Und wenn Sie dann noch nie mit den sog. 8 Geboten der Anlage zu § 9 Satz 1 BDSG zu tun gehabt haben, kann es schon ein wenig Zeit in Anspruch nehmen, die von ihrem Vertragspartner geforderten Informationen zusammenzutragen.

Ich habe mir überlegt, wie ich Unternehmen dabei unterstützen kann, diese Aufgabe effektiv und vor allem einfach zu erledigen. In der praktischen Arbeit geht ein Großteil der Zeit dafür “flöten”, dass Sie gar nicht wissen, was denn überhaupt mögliche Maßnahmen z.B. einer Zutrittskontrolle sein können. Wäre es dann nicht einfacher und vor allem schneller, wenn ich auf einem “Set” von Maßnahmen die passenden ankreuzen kann? Sicher wäre das eine Hilfe, oder?

Hier ein Video mit einer Demonstration der Ausfüll-Hilfe:

Und Ja…natürlich wäre es professioneller, wenn Sie die von Ihnen getroffenen Maßnahmen einzeln aufführen und nicht auf Basis einer “Ankreuzliste” an ihren Vertragspartner senden. Manchmal haben sie aber eben nicht die Zeit, und vor allem kann so eine Liste dann auch dafür genutzt werden, um durch Fleißarbeit eine individuelle, auf das Unternehmen abgestimmte Liste zu erstellen.

Wie dem auch sei, schaden kann so eine Liste jedenfalls nicht. Und sei es, dass sie eine Gedankenstütze ist, für die Maßnahmen, die Sie als technische und organisatorische Maßnahmen zur Datensicherheit treffen müssen.

Und denken Sie daran, dass nach herrschender Auffassung in der rechtswissenschaftlichen Literatur eine reine Aufzählung bzw. Wiedergabe des Textes der Anlage zu § 9 Satz 1 BDSG als Dokumentation der von Ihnen getroffenen technischen und auch organisatorischen Maßnahmen zu Datenschutz und Datensicherheit nicht ausreichend ist.

Natürlich sind die von mir in der Ausfüll-Hilfe aufgeführten Maßnahmen nicht vollständig. Es dürften gleichwohl die gängigen Maßnahmen sein, die in der Praxis häufig gebraucht werden.

Vielleicht kann der eine oder andere von Ihnen damit etwas anfangen. Darüber würde ich mich sehr freuen.

Wichtiger Hinweis zum Urheberrecht:

• Die Nutzung der Ausfüll-Hilfe für eigene Zwecke ist kostenfrei.
• Der Verkauf der Ausfüll-Hilfe ist untersagt.

Oder mit anderen Worten: Sie können die Ausfüll-Hilfe für eigene Zwecke jederzeit gerne verwenden, insbesondere vervielfältigen und bearbeiten. Ich möchte lediglich nicht, dass ein Unternehmen die Ausfüll-Hilfe dazu nutzt, um diese an Dritte zu verkaufen. Die Ausfüll-Hilfe in dieser Fassung soll stets kostenfrei bleiben, und ich möchte nicht, dass dies durch Dritte umgangen wird.

Viel Spaß mit der Ausfüll-Hilfe und beim Ankreuzen der passenden Maßnahmen. Wenn Sie noch Fragen zu dem Formular haben, melden Sie sich gerne bei mir.

Sie können die Word-Datei (.docx) hier herunterladen:

• Ausfüll-Hilfe technische und organisatorische Maßnahmen nach § 9 BDSG (.docx) [Stand: 25.08.2011 (V2)]

Haben Sie schon einmal ein Verfahren bei der für Sie zuständigen Aufsichtsbehörde für den Datenschutz im nicht-öffentlichen Bereich gemeldet? Nein? Falls Sie jedoch zehn oder mehr Mitarbeiter im Unternehmen haben, die automatisiert personenbezogene Daten verarbeiten (dafür reicht heutzutage schon aus, dass jemand ein E-Mail-Programm benutzt), dann könnte es gut sein, dass sie sich ordnungswidrig verhalten haben.

Das Bußgeld für diese Fälle beträgt nach § 43 BDSG bis zu 50.000,00 €. Das hört sich sehr nach Angstmacherei an, soll es aber nicht sein. Ich persönlich habe in all den Jahren meiner Tätigkeit als spezialisierter Anwalt im Datenschutzrecht keinen Fall mitbekommen, in dem ein Unternehmen wegen der Verletzung der Meldepflicht ein Bußgeldbescheid bekommen hätte. Das heißt zwar nicht zwingend, dass es diese Fälle nicht gibt; sie scheinen aber zumindest in der Praxis nicht häufig vorzukommen.

Und der Grund dafür liegt auch auf der Hand. Denn die Meldepflicht entfällt nicht nur, wenn sie weniger als zehn Personen beschäftigen, die automatisiert personenbezogene Daten verarbeiten, sondern auch, wenn sie einen betrieblichen Datenschutzbeauftragten bestellt haben.

Und wenn Sie jetzt ganz schlau überlegen, dann kommen Sie sicher zu dem Ergebnis, dass ein Unternehmen (wenn die handelnden Personen nicht ganz auf den Kopf gefallen sind) in der Praxis sehr leicht ein Meldepflicht-Versäumnis heilen kann.

Aber Achtung: eine rechtmäßige „Heilung“ bekommen Sie so nicht hin. Es ist lediglich ein taktisches Manöver, das in der Praxis aber offenbar häufig zu funktionieren scheint.

Das hört sich jetzt mittlerweile wahrscheinlich etwas zu kryptisch an, oder? Nehmen wir zur Verdeutlichung einfach ein praktisches Beispiel:

Angenommen Sie haben ein Unternehmen bzw. arbeiten einem Unternehmen, das Zeitschriften auf dem Markt anbietet. Und nehmen wir weiter an, dass Sie für Zwecke der Vergrößerung des Abonnentenkreises auch Adressen von Altkunden nutzen, um diese noch drei Jahre nach Kündigung ihres letzten Abonnements anzuschreiben, um ein neues Probe-Abo anzubieten. Hierfür nutzen Sie ein wunderbar neues und buntes CRM-Tool.

Und es passiert, was passieren muss. Der angeschriebene Ex-Abonnent ist empört über die erneute Werbung für ein Probe-Abo. Er wendet sich an die zuständige Aufsichtsbehörde für den Datenschutz und will wissen, wie es sein kann, dass Sie ihn noch einmal als Ex-Abonnenten anschreiben. Und die Aufsichtsbehörde wendet sich jetzt an Sie. Sie bekommen also dieses Schreiben von der Aufsichtsbehörde und denken sich „Was zum Teufel…“ bzw. neudeutsch “WTF” (das Akronym forschen Sie nach, wenn Sie es nicht kennen, ja?)

Und die Aufsichtsbehörde möchte einiges von Ihnen wissen. Sie möchte zum Beispiel wissen, ob ein betrieblicher Datenschutzbeauftragter bestellt ist. Und für den Fall, dass keiner bestellt worden ist, mögen Sie bitte darlegen, wieviele Mitarbeiter in Ihrem Unternehmen automatisiert personenbezogene Daten verarbeiten.

Spätestens dann sollten die Alarmglocken schallen. Denn wenn sie nämlich keinen Datenschutzbeauftragten bestellt haben und zehn oder mehr Mitarbeiter in Ihrem Unternehmen beschäftigen, hätten sie mit hoher Wahrscheinlichkeit das CRM-Verfahren bei der Aufsichtsbehörde melden müssen. Und zwar vor der Inbetriebnahme.

Ein Datenschutz-Berater oder ein fachkundiger Anwalt wird Ihnenspätestens jetzt raten, einen betrieblichen Datenschutzbeauftragten zu bestellen. Außerdem sollte dann unverzüglich die interne Verfahrensdokumentation für das Unternehmen erstellt werden. Denn – auch wenn die Meldepflicht entfällt – geht der Gesetzgeber gleichwohl davon aus, dass das, was sie hätten melden müssen, jetzt als Dokumentation intern vorgehalten wird.

Sie können dann auf jeden Fall der Aufsichtsbehörde mitteilen, dass ein Datenschutzbeauftragter bestellt worden ist. Problematisch bzw. peinlich kann es nur werden, wenn die Aufsichtsbehörde – was häufig der Fall ist – die Bestellungsurkunde des Datenschutzbeauftragten sehen möchte. Dann fällt das Datum der Bestellung natürlich auf. Und wenn sie keine strafrechtlichen Risiken eingehen wollen, würden ich tunlichst von einer Rückdatierung absehen.

Wenn sich dann aus der Bestellungsurkunde ergibt, dass der Datenschutzbeauftragte erst seit kurzem bestellt worden ist, kann die Aufsichtsbehörde sich natürlich ihren Teil denken. In der Regel wissen die betreffenden Mitarbeiter der Aufsichtsbehörde dann Bescheid, dass die eigentlich zu erfolgende Meldung des Verfahrens in der Vergangenheit eben nicht erfolgt ist. Meiner Erfahrung nach nutzen die Aufsichtsbehörden diese Kenntnis jedoch regelmäßig nicht dafür aus, im Nachhinein noch Bußgeldbescheide wegen Verletzungen der Meldepflicht zu erlassen. Vielmehr hat es den Anschein, dass die Aufsichtsbehörden es wohlwollend zur Kenntnis nehmen, dass das Unternehmen jetzt seine Hausaufgaben macht und durch einen Datenschutzbeauftragten dabei unterstützt wird.

Zu guter letzt: Was viele vergessen bzw. nicht wissen, ist, dass die Meldepflicht für bestimmte Unternehmen auch dann nicht entfällt, wenn ein Datenschutzbeauftragter bestellt worden ist. Dies betrifft die Unternehmen, die geschäftsmäßig personenbezogene Daten zum Zweck der Übermittlung oder für Zwecke der Markt-oder Meinungsforschung verarbeiten. Diese müssen die automatisierten Verarbeitungen bei der Aufsichtsbehörde zu sog. Verfahrensregister melden, in denen die Daten von der jeweiligen Stelle zum Zweck der Übermittlung bzw. der Markt- oder Meinungsforschung gespeichert werden.

Skurril wird diese Ausnahme von der Ausnahme übrigens für Webservices wie Social Networks oder Bewertungsportale. Denn nach der Rechtsprechung des BGH („spickmich.de”) ist das Vorhalten von Nutzerdaten für Besucher oder andere registrierte Mitglieder einer Website als geschäftsmäßige Übermittlung von Daten im Sinne des § 29 BDSG anzusehen. Hier wird wieder einmal deutlich, wie wenig das BDSG an die moderne Informationsgesellschaft angepasst ist. Denn wenn wir die Rechtsprechung des BGH strikt anwenden würden, würde dies dazu führen, dass ein nicht unbedeutender Teil der deutschen Online-Anbieter sich in der Vergangenheit wegen der Verletzung von Meldepflichten ordnungswidrig verhalten haben und künftig ihre Verfahren bei der jeweils für sie zuständigen Aufsichtsbehörde für den Datenschutz zum Register melden müssen. Na dann Prostmahlzeit.

In diesem Sinne… bis zum nächsten Mal,

Ihr Stephan Hansen-Oest

Es ist schon eine Weile her, seit der letzte Datenschutz-Tipp erschienen ist. In der Zwischenzeit ist eine Menge passiert (glücklicherweise wenig Negatives), und jetzt habe ich endlich wieder die Möglichkeit gehabt, mir die erforderliche Zeit zu nehmen, um diese Tipp-Serie fortzuführen. Ich habe auch ein wenig Urlaub gemacht, und sie kennen das vielleicht selbst: in einem Zustand absoluter Erholung haben Sie meist die besten Ideen. Und als ich so auf dem Balkon des Hotelzimmers auf Fuerteventura saß, habe ich mir gedacht, dass ich auch einfach jetzt den nächsten Tipp auf Video für Sie aufnehmen könnte. Gesagt – getan.

Wenn Sie das Video gesehen haben, wissen Sie, dass es um ein Auskunftsersuchen in eigener Angelegenheit geht. Ich habe in einem Onlineshop ein Weihnachtsgeschenk gekauft, und während des Bestellprozesses wurde ich nach meinem Geburtsdatum gefragt. Nun ja… Ich habe es angegeben.

Jetzt möchte ich wissen, ob der Onlineshop mein Geburtsdatum dann immer noch hat. Möglicherweise wird das ein wunderbares Beispiel dafür, wie so ein Auskunftsersuchen in der Praxis mal ablaufen kann. Ich hoffe nicht, dass ich auch die Aufsichtsbehörde einschalten muss. Und wenn doch: nun ja, dann wird es zumindest ein schöner Praxis-Einblick für sie.

Und so sah mein Auskunftsersuchen (anonymisiert) aus:

Sehr geehrte………,

ich habe am xx.xx. des letzten Jahres in Ihrem Onlineshop einen Artikel bestellt. Ich möchte nun gerne wissen, welche Daten Sie zu meiner Person gespeichert haben. In rechtlicher Hinsicht stütze ich mein Auskunftsbegehren auf § 34 BDSG.

Folgende Daten zu meiner Person sollten Ihnen die Zuordnung der bei Ihnen gespeicherten Daten ermöglichen:

Kundennummer: xxxx
Bestelldatum: xxxx
Name: xxxxx
Adresse: xxxxx
Auftragsnummer: xxxxx

Bitte teilen Sie mir bis spätestens xx.xx.xxxx mit, welche Daten Sie zu meiner Person gespeichert haben. Ich möchte außerdem gerne wissen, ob meine Daten an andere Empfänger oder Kategorien von Empfängern weitergegeben werden (oder worden sind). Im Falle einer Weitergabe bitte ich um Benennung der Empfänger. Schließlich möchte ich Sie auch noch bitten, mir den Zweck der Speicherung meiner personenbezogenen Daten zu benennen.

Mir ist bekannt, dass der unverschlüsselte Versand von personenbezogenen Daten per E-Mail vor der unbefugten Kenntnisnahme von Dritten nicht geschützt ist. Ich erkläre hiermit meine Einwilligung, dass sie mir die begehrte Auskunft per E-Mail erteilen.

Mit freundlichen Grüßen

….

Und nun bin ich gespannt, was daraus wird. Ich halte Sie auf dem Laufenden.

Ich sage meinen Mandanten gerne, dass die Umsetzung von Datenschutz im Unternehmen zu 40% aus Fachwissen und zu 60% aus Psychologie besteht. Und ja, ich meine das durchaus und sogar sehr ernst.

Das lässt sich anhand des Beispiels einer perfekten Einwilligungserklärung recht gut erklären. Für viele Unternehmen stellt die Umsetzung der verschärften Voraussetzungen für die Verwendung von personenbezogenen Daten von Kunden oder Dritten für eigene Werbezwecke eine Herausforderung dar. Viele Unternehmen haben wegen der verschärften Bedingungen und des Erfordernisses, nahezu ausschließlich mit Einwilligungen zu arbeiten, das Problem, dass immer weniger Kunden und/oder Dritte beworben werden können, weil es an Einwilligungen fehlt.

Denn viele Kunden sind einfach nicht gewillt, eine Einwilligung in Werbung gesondert zu unterzeichnen bzw. zu erklären. Für die Zusendung von Werbung wie z.B. Newslettern per E-Mail müssen nicht nur die Voraussetzugnen des § 28 Abs. 3 BDSG, sondern auch Voraussetzungen des § 7 UWG eingehalten werden. Ohne Sie hier mit Details zu langweilen, kann ich sagen, dass Unternehmen künftig für die Versendung von Werbung an Kunden in der Regel eine Einwilligung des Kunden bekommen. Nicht zuletzt die Entscheidung des OLG Thüringen (Urteil, Urteil vom 21.04.2010, Az.: 2 U 88/10) hat gezeigt, dass die Luft hier sehr dünn geworden ist.

Und damit sind wir quasi wieder am Anfang der “Herausforderung”. Denn viele Unternehmen beklagen, dass keine Einwilligungen vorliegen und die Neigung der Kunden oder Interessieren, in Werbung “einzuwilligen”, geringer geworden sind.

Wenn wir davon ausgehen können, dass 60% der Umsetzung von Datenschutz Psychologie sind, dann liegt das Problem der fehlenden Einwilligung aber vielleicht gar nicht am Datenschutzrecht, sondern an der psychologischen Umsetzung.

Sind Sie bereit für etwas “Verrücktes”, das Sie bzw. Ihre Marketingabteilung aber ganz bestimmt dazu bringt, dass mehr Einwilligungen erteilt werden?

Schön…ich bin kein Psychologe, aber ich beschäftige mich seit einiger Zeit recht umfassend mit Neurowissenschaften und der Schnittstelle zur Psychologie (sehr spannendes Thema übrigens), und hier habe ich einen vielleicht neuen Ansatz für Sie, das Thema einmal ganz anders anzugehen. Sie werden dabei den Mut haben dürfen, Ihre bisherige Unternehmenskommunikation etwas abzuwandeln oder – besser gesagt – strategisch zu erweitern.

Bevor ich Ihnen erläutere, was Sie genau tun können und dies anhand eines konkreten Beispiels erkläre, müssen Sie eine kleine Hausaufgabe erfüllen:

Hausaufgabe:

1. Nehmen Sie sich einen Stift und einen Zettel oder machen Sie sich am Rechner schreibbereit.
2. Überlegen Sie sich, welches Kundensegment Sie gerne bewerben wollen, aus dem Sie also möglichst viele Einwilligungen generieren wollen. Versuchen Sie das Segment so einzugrenzen, dass eine möglichst homogene Gruppe entsteht. Mit homogener Gruppe meine ich eine gewisse Interessenidentität innerhalb der Gruppe. Dabei müssen es nicht unbedingt Sachinteressen sein. Es können auch emotionale Interessen sein (Leute, die an einer bestimmten Sportart interessiert sind, Hundehalter sind o.ä.).
3. Nehmen Sie sich eine Person aus dieser Gruppe heraus und geben Sie ihr einen Namen, z.B. Peter oder Marie. Ihrer Phantasie sind keine Grenzen gesetzt.
4. Überlegen Sie sich einmal, was Marie oder Peter wirklich für Menschen sind – in Ihrer Phantasie. Was arbeiten sie, wie viele Kinder haben Sie. Wo leben Sie (Einfamilienhaus, Mietswohnung). Was tragen Sie für Kleidung? Was würden Marie oder Peter wirklich gerne tun (stattdem, was sie z.B. beruflich tun). Welche Träume haben Sie, was begehren Sie?
   Fühlen Sie sich dabei doch einfach wie ein Schriftsteller und entwickeln einen kurzen Charakter einer typischen Person.

Wenn Sie das geschafft haben, haben Sie einen großen Teil der Arbeit geschafft. Im nächsten Part möchte ich Ihnen zeigen, wie Sie anhand dieser Charakterbildung eine ideal angepasste Einwilligungserklärung formulieren.

Sie dürfen gespannt sein…

Ihr
Stephan Hansen-Oest….

Erinnern Sie sich an TIM? Das ist gut.

TIMs Gespräch mit seinem Chef über die Gefahr, die durch Bußgeldrisiken drohen kann, ist gut gelaufen. Er war in der Lage, das Wesentliche in komprimierter Form gut zusammen zu fassen. Er hat nicht dramatisiert, aber auch nichts schön geredet. Er hat getan, was er für richtig hielt.

Wenn der Geschäftsführer von TIMs Firma manchmal auch etwas cholerisch ‘rübergekommen ist…wenn es um ernstzunehmende Themen ging, dann hat er meist ein Ohr und vor allem auch den Mut, Entscheidungen zu treffen.

Die Neural Pathway GmbH, in der TIM neuerdings arbeitet, ist ein noch junges Unternehmen. Sehr erfolgreich dazu und ziemlich schnell dynamisch gewachsen. “Dynamisch gewachsen” – das kennen Sie vielleicht auch in der Praxis als gern gesehene Ausrede, um einen “klitzekleinen” Missstand zu rechtfertigen oder – korrekter formuliert – zu entschuldigen.

Bei Neural Pathway sah das dynamische Wachstum so aus, dass innerhalb von 18 Monaten aus einem Unternehmen mit vier festen und einigen freien Mitarbeitern ein fester Mitarbeiterstamm von knapp 50 Leuten entstanden ist. So ein Thema wie DATENSCHUTZ ist für Neural Pathway wichtig. Denn Datenschutz ist ein wesentlicher Baustein für Vertrauen gegenüber den Kunden. Wenn Sie IT-Systeme von Kunden warten wollen, dann ist es schon beim Verkaufsgespräch von immenser Bedeutung, dass der Kunde ein gutes Gefühl hat: Ein gutes Gefühl, dass die Wartung der IT-Systeme durch Neural Pathway SICHER ist.

Und ja…die Sicherheit der Daten von Kunden wird im Unternehmen groß geschrieben. Das hat TIM schon kurz nach seinem Einstieg in das neue Unternehmen kennengelernt. Keine Passwortschludrigkeit, neue Technologien nach dem Stand der Technik und und und…im Hinblick auf die praktische Umsetzung von Datensicherheit war Neural Pathway wirklich gut davor.

Nun war es aber TIMs Aufgabe, das Thema Datenschutz näher zu beleuchten. Und TIM musste dabei feststellen, dass die praktische Umsetzung von Datensicherheit wirklich in guten Händen war. Aber immer, wenn es um die Dokumentation der getroffenen Maßnahmen ging, wurde die Luft dünner. Ja…es gab Listen der Passwörter und Zugriffsberechtigungen. Und ja, die Daten wurden verschlüsselt gespeichert. Aber weitergehende Dokumentation? Fehlanzeige.

Und wenn wir ehrlich sind, ist das sicher kein Einzelfall. Es gibt für IT-Praktiker häufig nichts Lästigeres als die kontinuierliche und vollständige Dokumentation von IT-Systemen und IT-Vorgängen. Und wer könnte das nicht nachvollziehen. Wenn Sie ein prozedural ausgerichteter “Detailsortierer” sind, dann hätten Sie sicher Spaß an einer solchen Aufgabe. In der IT-Praxis sind viele Mitarbeiter aber eben nicht prozedural und häufig auch nicht an Details, sondern eher am “großen Ganzen” interessiert.

Als TIM im Unternehmen gebeten worden war, sich des Themas “Datenschutz” näher anzunehmen, hatte er schon mit an Sicherheit grenzender Wahrscheinlichkeit geahnt, dass es bislang keinen formal bestellten DATENSCHUTZBEAUFTRAGTEN bei Neural Pathway gegeben hat. Wenn er seine Kollegen fragte, erhielt er keine sichere Antwort: “Macht das nicht der Müller?”, “Das macht doch unser Geschäftsführer.”, “Weiß ich nicht. Ich bin’s jedenfalls nicht.” – So und ähnlich lauteten die Antworten.

Es war also so, wie er dachte. Und im schon angesprochenen Gespräch mit dem Geschäftsführer bestätigte dieser, dass bisher kein Datenschutzbeauftragter bestellt wurde. TIM möge sich bitte darum kümmern. Heißt: Recherchieren, was es für Anforderungen gibt und wer es machen kann.

TIM wollte das Thema gerne schnell lösen. Denn in einem alten Wartungsvertrag für ein Projekt für einen größeren Kunden hatte er diese Klausel gesehen:

“Der Auftragnehmer sichert zu, dass er einen betrieblichen Datenschutzbeauftragten gemäß § 4f BDSG bestellt hat.”

TIM stieß bei seiner Recherche zum Thema BETRIEBLICHER DATENSCHUTZBEAUFTRAGTER schnell darauf, dass die Person zum Zeitpunkt der Bestellung über die erforderliche “Fachkunde” und “Zuverlässigkeit” verfügen muss. Aber was Fachkunde und vor allem Zuverlässigkeit bedeutet? Fehlanzeige.

In einem Internetforum stieß er auf einen sinnvollen Hinweis: Ganz aktuell habe der “Düsseldorfer Kreis” eine Stellungnahme zu dem Thema abgegeben, welche Anforderungen ein Datenschutzbeauftragter zu erfüllen habe.

Düsseldorfer Kreis? Das ist ein Zusammenschluss der Datenschutzaufsichtsbehörden für den nichtöffentlichen Bereich. Also eine Gruppe der Aufsichtsbehörden, die in einzelnen Bundesländern für den Datenschutz von Unternehmen zuständig sind. Die treffen sich ab und zu mal und geben dann Stellungnahmen zu bestimmten Themen ab, die dann eine harmonisierte Ansicht aller Aufsichtsbehörden darstellt. Für Unternehmen ist das enorm praktisch, denn wenn diese die Anforderungen des Düsseldorfer Kreises einhalten, dürfen sie sich gegenüber der Aufsichtsbehörde auf die Stellungnahme berufen.

TIM hat sich die Stellungnahme dann hier als PDF heruntergeladen:

Mindestanforderungen an Datenschutzbeauftragte (Düsseldorfer Kreis)

Wenn Neural Pathway die dort genannten Mindestanforderungen einhalten würde, dann könnten – so TIMs Überzeugung – auch die vertraglichen Anforderungen gegenüber den Kunden eingehalten werden.

Was sind denn nun die Mindestanforderungen?

Bei der erforderlichen FACHKUNDE unterscheiden die Aufsichtsbehörden zwischen allgemeinen Kenntnissen, die immer vorliegen müssen, und branchenspezifischen Kenntnissen, die im Einzelfall – je nach Art des Unternehmens – gegeben sein müssen.

TIM findet das Dokument sehr übersichtlich, es lässt aber leider einige Fragen offen. Der Punkt der FACHKUNDE ist recht gut erläutert. Nach Auffassung der Aufsichtsbehörden muss ein Datenschutzbeauftragter Grundkenntnisse im Bereich des Datenschutzes von Mitarbeitern und anderen Betroffenen (z.B. Kunden) haben. Außerdem soll er umfassende Kenntnisse der für das Unternehmen maßgeblichen rechtlichen Regelungen des BDSG haben. Und das soll auch Kenntnisse über die zu treffenden technischen und organisatorischen Maßnahmen beinhalten.

Das ist schon eine ganze Menge. Und hinzu kommen dann noch Kenntnisse der “Datenschutzprinzipien” und der Datensicherheitsanforderungen nach § 9 BDSG. Was “Datenschutzprinzipien” sind…das sagt uns der Düsseldorfer Kreis nicht. Hier darf Tim “ahnen”.

Die Fachkunde soll dann abhängig von der Branche noch weitere Inhalte umfassen, z.B. Kenntnis von Datenschutzregelungen in Spezialgesetzen, besondere Kenntnisse im Bereich der Informations- und Telekommunikationstechnologie etc.

Neben der Fachkunde soll der Datenschutzbeauftragte ja aber auch ZUVERLÄSSIG sein – so das Gesetz. Davon ist in dem Papier des Düsseldorfer Kreises aber nicht die Rede bzw. es wird nur an einer Stelle darauf hingewiesen, dann aber nichts weiter dazu ausgeführt. In dem Dokument werden dann weiter nur die Begriffe der Fachkunde und UNABHÄNGIGKEIT erwähnt. TIM findet das ein wenig schade. Denn seine bisherigen Recherchen waren gerade beim Punkt der ZUVERLÄSSIGKEIT kontrovers. Denn dort ging es darum, wer im Unternehmen (oder als Externer) überhaupt Datenschutzbeauftragter werden darf. ZUVERLÄSSIGKEIT wurde in dem Zusammenhang immer mit bestehenden bzw. nicht erlaubten Interessenkonflikten und der Vermeidung einer “In-Sich-Kontrolle” diskutiert. Einigkeit bestand darin, dass der Geschäftsführer einer GmbH nicht gleichzeitig Datenschutzbeauftragter sein darf…und auch beim IT-Leiter – so TIMs Recherche – besteht ein Interessenkonflikt. Aber was ist mit der Personalleiterin oder dem Justitiar und vor allem dem Leiter des Controllings – also ihm? TIM hatte gehofft, in dem Dokument der Aufsichtsbehörden Klarheit zu bekommen. Leider bleibt diese Frage im Nebel verborgen. Schade.

Die Antworten zur Unabhängigkeit des Datenschutzbeauftragten im Unternehmen waren für TIM eine Aneinanderreihung von Selbstverständlichkeiten. TIMs Aufgabe bestand nun darin, eine Lösung für einen SINNVOLLEN VORSCHLAG zu finden: einen Vorschlag, den er dem Geschäftsführer vorlegen kann, indem konkret dargelegt wird, welche Anforderungen bestehen und wer als DATENSCHUTZBEAUFTRAGTER von NEURAL PATHWAY in Betracht kommt.

TIM beschloss, das Thema erst einmal sacken zu lassen. Vielleicht findet sich dann eine Lösung.

In einer nächsten Folge…

INHALTSÜBERSICHT
==============================

1. Die Matrix der Bußgeldrisiken im Datenschutz
2. Organisatorisches zum Newsletter – Neue Gestaltung

1. Die Matrix der Bußgeldrisiken im Datenschutz
———————————————————————-
Ich möchte Ihnen gerne jemanden vorstellen: TIM JANKE

TIM JANKE, nennen wir ihn einfach TIM, ist 42 Jahre alt und hat nach seinem Studium der Wirtschaftsinformatik in einigen Unternehmen gearbeitet. Zunächst als Trainee, dann als Projektmanager und später als Leiter einer Unterabteilung. Mit praktischer Informatik hat TIM nicht mehr viel zu tun. Im Laufe der Jahre hat er viel mehr Spaß daran gehabt, neue Projekte zu planen, auf die Beine zu stellen und dann die Umsetzung zu begleiten. Ich denke, wir können das im weitesten Sinne “Projektmanagement” nennen.

Nun hat TIM ein neues Projekt. In einer neuen Firma. Mit einem neuen Chef. Einem neuen Gehalt. Einem neuen Dienstwagen. Und, und, und…

Sie werden TIM in den kommenden Wochen ein wenig über die Schulter schauen. Denn TIM ist auch ein bisschen wie Sie. In seinem Assessment-Training für den Job, den er bekommen hat, wurde ihm ein nach einem Interview ein Persönlichkeitsprofil ausgestellt. Dort stand Folgendes, das Ihnen vielleicht auch bekannt vorkommt. Nehmen Sie sich bitte kurz die Zeit, das Profil AUFMERKSAM zu lesen:

Herr TIM JANKE hat ein großes Bedürfnis, dass andere Menschen ihn mögen und bewundern.
Er hat einen leichten Hang zur Selbstkritik. TIM hat eine ganze Menge ungenutzter Fähigkeiten, die er noch nicht zu seinem Vorteil umgewandelt hat. Auch wenn er einige persönliche Schwächen hat, ist er allgemein in der Lage, diese zu kompensieren.

Seine Einstellung zur Sexualität hat ihm einige, kleinere Probleme bereitet. Nach außen wirkt TIM JANKE diszipliniert und kontrolliert. Im Inneren neigt er dazu, etwas unruhig und unsicher zu sein. Manchmal hat er ernsthafte Zweifel, ob er eine Entscheidung richtig getroffen oder eine Sache richtig gemacht hat.

TIM JANKE mag ein gewisses Maß an Veränderung und Vielfalt. Er wird unzufrieden, wenn er durch Verbote und Beschränkungen eingeengt wird. TIM ist stolz darauf, ein unabhängiger Denker zu sein und akzeptiert keine Äußerungen von anderen ohne hinreichenden Nachweis. TIM JANKE hält es für unklug, anderen gegenüber zu offen zu sein. Manchmal ist er extrovertiert, umgänglich und gesellig, und zu anderen Zeiten ist er in sich gekehrt, misstrauisch und ein wenig scheu.
Sicherheit ist ein wichtiges Ziel in TIMs Leben.

Finden SIE sich in dieser Beschreibung nicht auch wieder? Das ist kein Wunder. Googlen Sie einfach mal nach dem Barnum-Effekt oder Forer-Effekt. Dann werden Sie sehr schnell herausfinden, warum das Profil oben zu großen Teilen auch von Ihnen als passend empfunden werden durfte. Und wenn Sie das Ganze einmal in der Praxis sehen möchten und Englisch verstehen können, dann empfehle ich wärmstens dieses Video des Engländers Derren Brown, das Sie auf YouTube finden:

http://youtu.be/haP7Ys9ocTk

Wie dem auch sei – ich bin vom Thema abgekommen.

TIM hat einen neuen Job. Sein bisheriger Erfolg, Projekte zu planen und dabei auch das Budget einzuhalten oder gar zu drücken, hat ihm nun einen neuen Job eingebracht. Er ist nun CONTROLLER in der neuen Firma. Die Firma, in der TIM nun arbeitet, heißt “NEURAL PATHWAY GmbH” und ist ein IT-Dienstleister, der Unternehmen bei der Planung, Installation und Wartung von komplexen IT-Umgebungen unterstützt.

Bei seinem Einstellungsgespräch hat der Geschäftsführer TIM gebeten, sich auch dem bisher etwas stiefmütterlich behandeltem Thema DATENSCHUTZ im Unternehmen anzunehmen. Sein Persönlichkeitsprofil passe dazu recht gut. Und da TIM schon in Projekten mit dem Thema häufiger zu tun hatte und zumindest einen groben Überblick über die Materie hatte, hat er sich dazu bereit erklärt, diese Aufgabe zu übernehmen.

Die ersten Arbeitstage von TIM in seinem neuen Job waren recht ereignisreich. Viele Eindrücke…und so langsam konnte er sich in seine neuen Aufgabengebiete einarbeiten. Für Datenschutz war bis dahin keine Zeit.

In der wöchentlichen Reporting-Besprechung hat er seinem Chef dann auch offenbart, dass er bisher noch keine Zeit gehabt hatte, sich dem Thema Datenschutz zu widmen. Sein Geschäftsführer fand das sehr nachvollziehbar und hat dann angeregt, das es hilfreich, wenn TIM zunächst einmal grob die Risiken zusammentragen könnte, die sich aus der fehlerhaften Umsetzung von Datenschutzanforderungen ergeben können.

Viel hat TIM dazu nicht gefunden. Was er aber ganz hilfreich fand, war eine Übersicht über die gängigen Bußgeldrisiken bei Verletzungen des Bundesdatenschutzgesetzes (BDSG).

In der Übersicht fand er die gängigsten Bußgeldtatbestände, gegliedert nach den jeweiligen Bußgeldhöhen, die er im nächsten Gespräch mit seinem Chef als Gedankenstütze nutzen könnte.

Habe Sie auch Interesse an dieser Übersicht? Sie finden Sie hier:

MATRIX DER BUßGELDRISIKEN
http://www.datenschutz-guru.de/2010/04/matrix-der-bussgeldrisiken-bei-datenschutzverstosen/

Und was TIM künftig noch so erlebt bei seiner Bewältigung des Themas Datenschutz im Unternehmen…das lesen Sie bald…HIER!

2. Organisatorisches zum Newsletter – Neue Gestaltung
——————————————————–
Oha…wenn Sie das jetzt lesen, wundern Sie sich möglicherweise etwas. Sah das sonst nicht anders aus, dieses Newsletter-Ding vom Datenschutz-Guru? Ja…Sie haben Recht. Das sah es. Vielleicht sogar irgendwie hübscher.

Vielleicht haben Sie sich auch gewundert, warum es in der letzten Zeit gar keine Newsletter per E-Mail mehr gab? Das würde mich freuen. Denn das würde ja bedeuten, dass Sie mich vielleicht sogar ein bisschen vermisst haben.

Ich habe von Ihnen ziemlich viel Feedback bekommen. Und das ist klasse! Teilweise habe ich unaufgefordert Wünsche und Verbesserungshinweise bekommen (großartig!), und ich habe auch bei einigen von Ihnen gezielt Nachfragen gestellt und um Feedback gebeten.

Die letzten Wochen waren extrem arbeitsreich, und ich war etwas unzufrieden mit dem bisherigen Aufbau des Newsletters. Kennen Sie das, wenn Sie mit etwas unzufrieden sind, und sie sich deswegen nicht dazu hingezogen fühlen? Natürlich kennen Sie das! Vielleicht sogar nur zu gut von Ihrer Arbeit. Doch die müssen Sie machen. Dafür gibt es faktischen (externen) Druck. Nun, den habe ich in diesem Projekt ja nur bedingt. Ich bin nicht verpflichtet, diesen Newsletter für Sie zu schreiben. Zumindest nicht rechtlich. Aber moralisch fühle ich mich schon verpflichtet. Also habe ich in der knappen Zeit versucht darüber nachzudenken, wie ich es besser machen kann. Besser in dem Sinne, dass ich wieder mehr “Traktion” im Sinne von einem “Hinzu” zu diesem Projekt finde. Und das, was Sie hier gelesen haben, ist das Ergebnis. Ich hoffe, Sie können damit leben.

Wenn Sie diesen Newsletter schon ein wenig länger verfolgen oder eines meiner Seminare besucht haben, dann wissen Sie, dass ich mich laienhaft mit etwas beschäftige, was wir weitestgehend vereinfacht als “Hirnforschung” beschreiben können. Mein Interesse gilt dabei insbesondere der Wissensvermittlung mit dem Fokus auf eine EFFEKTIVE Wissensvermittlung. Neben dem Feedback und den Wünschen, die ich von Ihnen erhalten habe, wollte ich auf jeden Fall einige Methoden der effektiven Wissensvermittlung aus der Hirnforschung nutzen, um diesen Newsletter noch “verrückter” zu gestalten. Ich habe mein Ziel erreicht, wenn Sie diesen Newsletter nie vergessen und ihn als DEN Newsletter in Erinnerung behalten, in dem ein Thema (Datenschutz) auf eine vollkommen unübliche Weise “angegangen” wurde.

Vielleicht werden einige Wenige diese Methode nicht mögen. Das kann ich leider nicht ändern. Für die, die bleiben wollen, kann ich versprechen, dass die Methode der Wissensaufbereitung sicher besser “anhaftet” als das, was sie von klassischen Newslettern und/oder juristischen Ausführungen kennen.

In diesem Sinne…viel Spaß!

Ihr Stephan Hansen-Oest