Muster

Muster für Datenschutzhinweise für Teilnehmende an „Zoom“-Meetings

Ich komme mir langsam vor wie der Kundensupport von „zoom“. Jeden Tag prasseln hier – bedingt durch die Home Office Expansion wegen des Corona-Virus – die Anfragen zu „zoom“ rein.

Ich kann nicht alle Anfragen beantworten, möchte hier aber gerne kostenlos helfen bzw. meinen Teil zur Lösung der aktuellen Herausforderungen leisten.

Unternehmen und öffentliche Stellen, die jetzt „zoom“ einsetzen, fragen danach, ob und wie sie Teilnehmende an einem Online-Meeting vorab über die Datenverarbeitung bei „Zoom“ i.S.d. Art. 13 DSGVO informieren können.

Meiner Meinung nach ist es ausreichend, wenn dazu im Kontext mit einer Einladung zu einem Meeting per E-Mail dieser Hinweis aufgenommen wird:

Zur Durchführung des Online-Meetings verwenden wir „zoom“. Hinweise zur Datenverarbeitung finden Sie insoweit unter [Link einfügen].

Dann solltest du natürlich auch den passenden Link einfügen!, unter dem die Datenschutzhinweise auf deiner Website abrufbar sind. Und als Text für die Datenschutzhinweise zu „zoom“ könntest du dich an diesem Muster orientieren:

Das Muster solltest du an den gelb markierten Stellen zwingend anpassen. Du kannst das Dokument frei und ohne Angabe zum Urheber (meiner Wenigkeit) verwenden. Du kannst außerdem Änderungen vornehmen und es vor allem verbessern, damit es für dich oder euch passt.

Ich hoffe einfach nur, dass es dir ein wenig weiterhilft.

Wenn du keine Möglichkeit hast, die Datenschutzhinweise zu „zoom“ kurzfristig auf eurer Website zu veröffentlichen, dann sende die Hinweise z.B. einfach als PDF an die Meeting-Teilnehmer mit.

„Corona-Virus“ – Richtlinie zur „Telearbeit“ (Home-Office) zum Download

Viele Unternehmen haben bereits Heimarbeit eingeführt bzw. angeordnet, um die Weiterverbreitung von „SARS-CoV-2“, der allgemein als „Corona-Virus“ bezeichnet wird, eindämmen zu helfen.

Home-Office und Heimararbeit sind zwar in vielen Unternehmen schon in Teilbereichen möglich. Und es wäre auch ohne die aktuell Gesundheitslage ein Trend, der in der Arbeitswelt festen Einzug erhalten wird. Aber natürlich birgt eine Arbeit zuhause Risiken für die Vertraulichkeit, Integrität und ggf. auch Verfügbarkeit von personenbezogenen Daten.

Diese Risiken sind nach Art. 32 DSGVO, Art. 24 Abs. 1 DSGVO und Art. 5 Abs. 1 lit. f) DSGVO zu „behandeln“, indem technische und organisatorische Maßnahmen getroffen werden, die diese Risiken ausschließen bzw. minimieren.

Diese Maßnahmen sollten für die Beschäftigten, die Heimarbeit leisten bzw. im Home-Office arbeiten, als Richtlinie verbindlich gemacht werden.

Ein Beispiel für eine Richtlinie stelle ich hier zum kostenlosen Download zur Verfügung:

Die Richtlinie sollte dann die konkreten Gegebenheiten angepasst werden.

Verpflichtung auf das Sozialgeheimnis (Muster)

Das Sozialgeheimnis (§ 35 SGB I) gilt – auch wenn man dies häufig anderswo falsch liest – nur für Sozialleistungsträger i.S.d. § 12 SGB I.

Sozialleistungsträger sind die staatlichen Stellen, die in den §§ 18 bis 29 SGB I genannten Körperschaften, Anstalten und Behörden, die Leistungen nach den Sozialgesetzbüchern erbringen.

Auch wenn „Private“ – also z.B. Unternehmen – an dieser Leistungserbringung mitwirken können, so werden sie dazu dennoch nicht automatisch zu Sozialleistungsträgern. Ob und wie nun für diese „Privaten“ auch das Sozialgeheimnis zu wahren und ob die Beschäftigten in diesen Unternehmen oder Vereinen auf das Sozialgeheimnis zu verpflichten sind…dazu kommen wir später.

Nur wenn Unternehmen im Wege der Auftragsverarbeitung für Sozialleistungsträger tätig werden gilt das Sozialgeheimnis wegen § 35 Abs. 6 SGB I direkt auch für die Auftragsverarbeiter.

Sozialleistungsträger sollten ihre Beschäftigten gesondert über das „Sozialgeheimnis“ und damit den sorgsamen Umgang mit Sozialdaten i.S.d. § 67 Abs. 2 SGB X informieren. Dies kann über eine Verpflichtung auf das Sozialgeheimnis erfolgen. Wenn du dich im Internet auf die Suche nach entsprechenden Mustern begibst, wirst du häufig veraltete Muster wiederfinden, die noch nicht an die DSGVO und die damit einhergegangenen Änderungen an den Sozialgesetzbüchern angepasst sind.

Ich stelle hier ein Muster für die Verpflichtung auf das Sozialgeheimnis von Beschäftigten bei Sozialleistungsträgern zur Verfügung:

Dieses Muster passt jedoch nicht für Unternehmen, die im Zusammenhang mit der Erbringung von Sozialleistungen mitwirken, also z.B. technische oder organisatorische Dienstleistungen erbringen.

Wenn ein Sozialleistungsträger Sozialdaten an eine nicht-öffentliche Stelle übermittelt, dann muss der Sozialleistungsträger nach § 78 Abs. 1 Satz 2 SGB X dies nur tun, wenn die Empfängerin der Daten sich gegenüber der übermittelnden Stelle verpflichtet hat, die Daten nur für den Zweck zu verarbeiten, zu dem sie ihr übermittelt werden.

Dies wird in der Praxis häufig dadurch erfolgen, dass die Empfängerin der Daten sich zur Einhaltung des Sozialgeheimnisses verpflichtet. Dieses Sozialgeheimnis gilt aber dann eben nicht automatisch deswegen, weil es sich um „Sozialdaten“ handelt, die empfangen werden. Sondern diese Verpflichtung auf das Sozialgeheimnis wirkt dann „vertraglich“. Vertraglich deswegen, weil man sich gegenüber dem Sozialleistungsträger zur Wahrung des Sozialgeheimnisses verpflichtet.

In diesen Fällen passt das o.g. Muster nicht mehr Daher sollte für Unternehmen dieses Muster zur Verpflichtung auf das Sozialgeheimnis verwendet werden:

Das Muster kann gerne an eigene Bedürfnisse angepasst und verwendet werden.

Neue Mitarbeiterin oder neuer Mitarbeiter? Was ist datenschutzrechtlich zu „regeln“ (mit Muster)?

Wenn eine neue Mitarbeiterin oder ein neuer Mitarbeiter in einem Unternehmen beschäftigt wird, dann gibt es einiges zu regeln.

Die Kollegin muss in der Personalabteilung „aufgenommen“ werden. Dafür gibt es in der Regel ein sog. Stammdatenblatt, das alle Angaben enthält, die man zur Berechnung und Auszahlung von Lohn oder Gehalt sowie der Bezahlung von Lohnsteuer, sonstigen Abgaben und auch den Krankenkassenbeitragen etc. benötigt.

Außerdem muss der neue Kollege natürlich auch das Unternehmen und vor allem die Abläufe im Unternehmen kennenlernen und in seinen Arbeitsplatz eingewiesen werden. Das ist alles andere als trivial. Ein gutes „Onboarding“ ist hier hilfreich.

Unabhängig davon gibt es auch noch jede Menge weiterer Dinge zu regeln, die dann auch weiter Bezug zum „Datenschutz“ haben können. So erhält die Kollegin in der Regel eine E-Mail-Adresse und auch Berechtigungen für IT-Systeme. Das beinhaltet den Zugang zu internen Inhalten, die z.B. wie im Fall von Windows in der Regel über das „Active Directory“ geregelt werden.

Aber was muss ich nun nach der Datenschutz-Grundverordnung (DSGVO) mit der neuen Kollegin bzw. dem neuen Kollegen „regeln“?

In den Köpfen vieler Mitarbeiterinnen schwirrt da noch dieser Gedanke:

Es muss eine Verpflichtung auf das „Datengeheimnis“ erfolgen.

Das war früher – in „Vor-DSGVO-Zeiten“ – richtig. Mit der DSGVO gibt es das Datengeheimnis nicht mehr. Daher sollte ich Beschäftigte auch nicht mehr auf ein nicht relevantes Datengeheimnis verpflichten.

Aber…es gibt doch noch ein Datengeheimnis…schließlich steht das ja auch in § 53 BDSG – und zwar dem „neuen“ BDSG. Nun…das ist richtig. Allerdings gelten alle Vorschriften ab dem § 45 BDSG (und damit auch § 53 BDSG) nur „für die Verarbeitung personenbezogener Daten durch die für die Verhütung, Ermittlung, Aufdeckung, Verfolgung oder Ahndung von Straftaten oder Ordnungswidrigkeiten zuständigen öffentlichen Stellen, soweit sie Daten zum Zweck der Erfüllung dieser Aufgaben verarbeiten. Das ergibt sich ausdrücklich aus § 45 BDSG.

Und damit bleibt es dabei: Es gibt grundsätzlich kein Datengeheimnis in Unternehmen mehr, auf das verpflichtet werden könnte.

Die DSGVO enthält zwar keine Regelungen zu einem „Datengeheimnis“. Sie setzt aber an mehreren Stellen voraus, dass Unternehmen (und öffentliche Stellen) ihre Beschäftigten auf die Vertraulichkeit verpflichten.

Eine ganz konkrete Regelung existiert z.B. für Auftragsverarbeiter in Art. 28 Abs. 3 lit. b) DSGVO. Danach muss ein Auftragsverarbeiter gewährleisten, dass „sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen“.

Für Verantwortliche, die nicht Auftragsverarbeiter sind, gibt es eine solche unmittelbare Regelung nicht. Jedenfalls nicht direkt. Denn so lässt sich aus der Mutter-„Compliance“-Norm der DSGVO (Art. 24 Abs. 1 DSGVO) in Verbindung mit den Grundsätzen der Datenverarbeitung aus Art. 5 DSGVO durchaus ableiten, dass Verantwortliche ihre Beschäftigten auf den vertraulichen Umgang zu verpflichten haben.

Nach Art. 24 Abs. 1 DSGVO setzt der Verantwortliche technische und organisatorische Maßnahmen um, die sicherzustellen und den Nachweis dafür erbringen können, dass die Verarbeitung im Unternehmen gemäß der DSGVO erfolgt.

Hieraus wird man neben einer Einarbeitung in die Datenverarbeitungsvorgänge im Unternehmen auch eine schriftliche Verpflichtung der Beschäftigten auf die Vertraulichkeit ableiten können. Selbst wenn man diese nicht für zwingend erachten würde, macht eine Verpflichtung in jedem Fall Sinn.

Wie kann nun so eine Verpflichtung aussehen?

Da hat das Unternehmen ziemlich freie Hand. In Deutschland macht es jedoch Sinn neben den Regelungen zur DSGVO auch das BDSG und das Gesetz zum Schutz von Geschäftsgeheimnissen (GeschGehG) anzusprechen. Das kann z.B. ungefähr so erfolgen.

Verpflichtung zur Vertraulichkeit

Wir legen in unserem Unternehmen besonderen Wert auf die Vertraulichkeit im Umgang mit schutzbedürftigen Informationen.

Dabei genießen personenbezogene Daten besonderen gesetzlichen Schutz. Personenbezogene Daten sind nicht nur die Daten, die sich konkret einer bestimmten Person zuordnen lassen (wie z.B. Name, Kontaktdaten, Beruf, Aufgabe im Unternehmen etc.), sondern auch die Daten, bei denen die Person erst über zusätzliche Informationen bestimmbar gemacht werden kann.

Für personenbezogene Daten gelten die jeweils einschlägigen gesetzlichen Vorschriften zum Datenschutz wie z.B. die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union und auch das Bundesdatenschutzgesetz (BDSG).

Nach den Vorgaben DSGVO dürfen personenbezogene Daten nur dann verarbeitet werden, wenn es hierzu eine Rechtsgrundlage gibt oder der Betroffene eingewilligt hat. Die Daten dürfen grundsätzlich nur zu den vorgesehenen Zwecken verwendet werden. Bei der Verarbeitung der Daten ist insbesondere zu gewährleisten, dass die Integrität, Verfügbarkeit und Vertraulichkeit der personenbezogenen Daten gewährleistet ist.

In unserem Unternehmen haben wir Vorgaben und Geschäftsprozesse für die Verarbeitung personenbezogener Daten und insbesondere die Vertraulichkeit definiert und können diese auch durch weitere betriebliche Anweisungen der Unternehmensleitung konkretisieren.

Für Sie konkret bedeutet diese Verpflichtung zur Vertraulichkeit, dass Sie Daten nur im Rahmen unserer internen Vorgaben verwenden und diese gegenüber Dritten vertraulich behandeln.

Darüber hinaus sind aber auch Geschäftsgeheimnisse i.S.d. Gesetzes zum Schutz von Geschäftsgeheimnissen (GeschGehG) schutzbedürftige Daten. Eine Offenlegung von Geschäftsgeheimnissen darf grundsätzlich nur dann erfolgen, wenn der jeweilige Vertrags- oder Geschäftspartner zuvor auf die Vertraulichkeit verpflichtet worden ist und das einzuhaltende Sicherheitsniveau für den Schutz der Daten beim Empfänger der Daten gewährleistet ist.

Wenn Sie hierzu Fragen haben oder sich im Zweifel unsicher sind, welche Regelungen zu treffen bzw. einzuhalten sind, können und sollten Sie sich jederzeit an Ihre/n Vorgesetzte/n wenden.

Ein Verstoß gegen Ihre Vertraulichkeitspflichten kann als arbeitsvertragliche Pflichtverletzung geahndet werden.

Darüber hinaus stellt eine unzulässige Verarbeitung von personenbezogenen Daten in bestimmten Fällen auch eine Straftat oder Ordnungswidrigkeit nach den §§ 42, 43 BDSG (s. Anlage) dar.

Eine Verletzung von Geschäftsgeheimnissen kann zudem nach § 23 GeschGehG strafbar sein.

Beachten Sie ferner auch, dass bei einer unzulässigen Verarbeitung von personenbezogenen Daten durch unser Unternehmen Geldbußen von bis zu 20 Mio. Euro möglich sind. Wir sollten daher gemeinsam darauf achten, dass die Verarbeitung personenbezogener Daten in unserem Unternehmen in zulässiger Art und Weise erfolgt.

Diese Verpflichtung zur Vertraulichkeit besteht auch nach Beendigung des Beschäftigungsverhältnisses fort.

Etwaige andere Vertraulichkeitsvereinbarungen zwischen Ihnen und dem Unternehmen bleiben unberührt.

Dann sollten die wesentlichen Strafvorschriften gerne (auszugsweise) abgedruckt werden.

Und natürlich sollte das Ganze vom Beschäftigten unterschrieben werden und im Unternehmen aufbewahrt werden (z.B. in der Personalakte).

Datenschutz-Coaching-Mitglieder können hier ein Muster einer Vertraulichkeitsverpflichtung für Beschätigte als Word-Dokument herunterladen:

Kostenloser Mustervertrag zur gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO

Es scheint ein guter Tag für Musterverträge zu Art. 26 DSGVO zu sein. Nachdem die Aufsichtsbehörde in Baden-Württemberg ihr Muster heute veröffentlicht hat, stelle ich hier nun meinen Mustervertrag für eine „Vereinbarung zur gemeinsamen Verantwortlichkeit“ kostenlos zur Verfügung.

Haftungsausschluss:
Der Vertrag muss für die Anwendung im Einzelfall angepasst werden. Das Vertragsmuster stellt lediglich einen Vorschlag für eine vertragliche Regelung dar. Es wird dringend empfohlen, den Vertrag im Einzelfall anwaltlich anpassen und prüfen zu lassen. Dies gilt insbesondere im Hinblick auf die tatsächliche Berücksichtigung aktueller Rechtsprechung im Einzelfall. Es wird keine Haftung für Schäden durch die Verwendung des Vertragsmusters übernommen.

Und hier ist der Mustervertrag:

Nutzungsbedingungen:
Urheber für das nachfolgende Vertragsmuster ist Rechtsanwalt Stephan Hansen-Oest. Der Vertrag kann kostenlos verwendet werden. Auch Änderungen an dem Vertrag sind erlaubt und erwünscht.

Nicht erlaubt ist jedoch die gewerbliche Nutzung dergestalt, dass der Vertrag ohne Genehmigung des Urhebers als Vertragsmuster für gewerbliche Zwecke in Online- oder Printmedien vervielfältigt, verbreitet oder öffentlich zugänglich gemacht wird.

Kurzfassung der Nutzungsregeln: Der Vertrag kann gerne in der Praxis von Unternehmen oder auch Anwälten genutzt und verändert werden. Ich möchte jedoch nicht, dass der Vertrag ohne meine Zustimmung auf anderen Internetseiten als Vertragsmuster zum Download angeboten wird oder sich irgendwann in einem Vertragsmusterbuch wiederfindet.

Praxisreihe Videoüberwachung (DSGVO): Das Hinweisschild

Update (21.05.2019): Ich habe das Hinweisschild noch einmal weiter vereinfacht.

Ich beginne hier mit einer kleinen Reihe von Praxis-Beiträgen zur Videoüberwachung. Die Beiträge richten sich – wie der Name schon sagt – an Praktiker. Also z.B. Unternehmen, die Videoüberwachung einsetzen oder einsetzen wollen. Ich blende dabei bewusst juristische Probleme, die wir im Bereich der Videoüberwachung zuhauf haben, weitgehend aus.

Wie hier auf der Seite üblichen verfolge ich den Ansatz der GM-Methode. Das bedeutet, dass die Umsetzung nach gesundem Menschenverstand (GM) erfolgt. Wir schauen uns also den Sinn und Zweck einer Norm an und versuchen die Anforderungen der DSGVO praktikabel umzusetzen.

In diesem ersten Teil geht es um die Erfüllung der Informationspflichten:

Während wir früher relativ einfache Hinweisschilder zur Videoüberwachung benötigten (mein Beitrag zur alten Rechtslage) und nur der Umstand der Beobachtung und die „verantwortliche Stelle“ (heute: „Verantwortlicher“) durch geeignete Maßnahmen erkennbar zu machen war, haben wir es heute mit der gesamten „Armada“ der Informationspflichten aus Art. 13 DSGVO zu tun.

Und das gilt unabhängig von der Streitfrage, ob nun § 4 BDSG als einschlägige Norm für die Videoüberwachung (durch nichtöffentliche Stellen wie z.B. Unternehmen) zum Tragen kommt oder die insoweit meines Erachtens vorrangige Norm des Art. 6 Abs. 1 lit. f) DSGVO anwendbar ist.

Wenn wir alle Pflichtangaben aus den Art. 12, 13 DSGVO auf ein Schild pressen wollten, dann wäre das Schild gänzlich unbrauchbar und würde genau seinen Zweck verfehlen: Die transparente und übersichtliche Information des Betroffenen über die Videoüberwachung. Und das wäre gerade nicht gesunder Menschenverstand.

Auch die deutschen Aufsichtsbehörden haben sich Gedanken über Hinweisschilder zur Videoüberwachung gemacht und auch ein Muster mit Hinweisen dazu veröffentlicht. Das sieht so aus:

Ich habe dieses Muster einigen Mandanten gezeigt. Die Begeisterung hielt sich in Grenzen. Ich habe in den vergangenen Wochen auch diverse dieser Schilder in der Praxis live gesehen. So sehr ich das Bemühen der Aufsichtsbehörden schätze, meine ich, dass das Hinweisschild optimierungsfähig ist. Es hat so viele „Informations-Punkte“, dass es für Passanten oder Besucher „überbordend“ ist.

Ich habe seit Geltung der DSGVO häufiger Freunde und Bekannte angesprochen, wenn wir gemeinsam z.B. bei Veranstaltungen (Hafenfest etc.) vermeintlich „DSGVO-konformen“ Hinweisschildern begegnet sind. Werden diese Schilder wahrgenommen oder gelesen? Wahrgenommen ja, gelesen nicht – war die Regelantwort. Das sei juristisches Kleingedrucktes, das wie AGB nicht gelesen werden würde. Wenn ich ganz ehrlich bin, glaube ich, dass diese Schilder in der Regel nur von „Datenschützern“ gelesen werden, also Menschen, die beruflich mit Datenschutzthemen befasst sind und vielleicht schauen wollen, wie „die anderen“ das so umsetzen. Für alle anderen ist es wohl häufig Verschwendung von Lebenszeit, so der O-Ton eines Bekannten von mir.

Ich habe keine Menschen kennengelernt, die die Hinweise auf den Schildern gelesen haben oder gar lesen wollten. Ein Hinweis, dass eine Videoüberwachung stattfindet, wurde von den meisten Menschen, mit denen ich gesprochen habe, für gut befunden. Dass „Wie“ einer Videoüberwachung hingegen wurde wenig relevant bzw. interessant wahrgenommen.

Kommen wir jetzt zu den Fragen, die sich bei Hinweisen zur Videoüberwachung häufig stellen?

Muss denn nun alles, was in Art. 13 DSGVO als Pflichtinformationen für Betroffene anzugeben ist, auf einem Schild angegeben werden?

Nein, dass muss es nicht. Es dürfte mittlerweile als anerkannt – gerade die europäischen Aufsichtsbehörden waren hier sehr konstruktiv – gelten, dass ein sog. Medienbruch bei Erteilung von Informationen zum Datenschutz zulässig ist.
Was bedeutet Medienbruch? Das ist ganz einfach an z.B. dem Hinweisschild für eine Videoüberwachung zu erklären: Es werden auf dem Schild einige Angaben zur Videoüberwachung und zum Verantwortlichen gemacht. Und dann wird für weitere Informationen auf ein anderes Medium verwiesen. Das kann z.B. das Internet sein. Denn heute hat der Großteil der Bevölkerung Zugang zum Internet – und zwar auch von unterwegs.

Und so sind z.B. in meinem Muster eines Hinweises zur Videoüberwachung nur Grundangaben zur Videoüberwachung gemacht.

 

Welche Zwecke sind rechtlich zulässig?

Auch wenn umstritten ist, ob § 4 BDSG für Unternehmen im Bereich der Videoüberwachung von öffentlichen Räumen anwendbar ist, können wir aus den dort genannten Zweckangaben „Honig saugen“. Denn diese passen in der Praxis sehr häufig. Legitime Zwecke können daher z.B. sein:

  • Wahrnehmung des Hausrechts („Zutritt nur für Berechtigte“ bzw. Schutz/Ahndung von Zutritten Unberechtigter)
  • Wahrnehmung berechtigter Interessen

Die Wahrnehmung berechtigter Interessen kann insbesondere die Prävention von Straftaten sein („präventiv“). Viel häufiger werden die Interessen aber „repressiver“ Natur sein. Es geht also um die Fälle, in denen z.B. etwas gestohlen oder beschädigt wurde und die Videoaufzeichnungen für Zwecke der Beweissicherung und Ermöglichung der Strafverfolgung und damit auch der späteren Geltendmachung von zivilrechtlichen Ansprüchen wie z.B. Schadensersatz verwendet werden sollen.

Auch weitere Zwecke sind denkbar. Die Auflistung oben ist also nicht abschließend.

Was für berechtigte Interessen muss ich angeben?

In dem Muster für das Videoüberwachungsschild der Aufsichtsbehörden ist die Angabe von „Interessen“ vorgesehen. Hintergrund dafür ist, dass ich meine „Interessen“ angeben muss, wenn ich mich auf die für die Videoüberwachung meist einschlägige Rechtsgrundlage der Verarbeitung auf Basis einer „Interessenabwägung“ stütze. In der Praxis sind die Angaben zu Zwecken und Interessen häufig aber identisch. Es ist hier rechtlich nicht zwingend erforderlich, dies doppelt anzugeben. Entscheidend ist, dass der Betroffene nachvollziehen kann, was Zwecke und Interessen des Verantwortlichen bei der Videoüberwachung sind.

Wieso ist dein Schild denn in „gelb“ und nicht wie bei Videoüberwachung „üblich“ in „blau“?

Seit der DIN 33450 wird häufig ein Piktogramm zur Kenntlichmachung von Videoüberwachung genutzt, das eine weiße Kamera auf blauem Grund zeigt. Ein ähnliches Symbol befindet sich auch in dem o.g. Muster der Aufsichtsbehörden.

Ich mag das „Blau“ dieser Kennzeichen zwar. Aber: Da in meinem Muster die von den Aufsichtsbehörden aufgestellten Anforderungen, die rechtlich unverbindlich sind, unterschritten werden, war meine Überlegung, das Ganze nach gesundem Menschenverstand („GM“) so anzugehen, dass das Schild zwar weniger Informationen, dafür aber mehr Wirkung beim Betroffenen entfaltet.

Und da bietet sich die Verwendung von Warnfarben aus der Natur an. Warnfarben sind in der Regel gelb, orange und rot. Da mir rot zu „krass“ war, ich orange nicht passend fand, lag folgender Gedanke bei umhersummenden Wespen im Spätsommer nahe. Warum nicht also gelb und schwarz für das Hinweisschild verwenden? Yep…that’s it. Und wie passend, dass auch andere Schilder zur Warnung diesen Gedanken nutzen:

Mein Hinweisschild soll also nicht ein neutrales „Blau“, sondern vielmehr eine gelbe Warnung mit schwarzer Schrift darstellen. Das hat den Vorteil, dass Betroffene sehr viel deutlicher auf den Umstand der Videoüberwachung hingewiesen werden als bei der Verwendung der blauen Farbe. Und ich meine, dass es dann aber auch vertretbar ist, den Medienbruch zu nutzen, um nur die wesentlichen Informationen anzugeben.

Muss nicht die Speicherdauer direkt auf dem Schild angegeben werden?

Auch wenn die Aufsichtsbehörden dies verlangen, lässt sich der DSGVO nicht direkt entnehmen, dass ein Hinweis auf die Speicherdauer direkt auf dem Schild zwingend erforderlich ist. Ich meine, dass es das nicht ist.

Denn die Angabe der Speicherdauer kann den Zweck einer Videoüberwachung ggf. sogar gefährden. Wenn z.B. eine Person auf einem Hinweisschild zur Videoüberwachung mit der Nase darauf gestoßen wird, dass die Speicherung nur für 24 Stunden erfolgt (die Aufsichtsbehörden halten fälschlicherweise 24-48 Stunden für maximal zulässig – dazu demnächst mehr in einem weiteren Beitrag), dann könnte er z.B. strafbare Handlungen zeitlich so planen, dass die Beweissicherung für die Geltendmachung rechtlicher Ansprüche ins Leere laufen würde.

Natürlich könnte man jetzt argumentieren, dass auch potentielle Straftäter die Datenschutzhinweise im Internet dann nachlesen könnten. Und genau das ist richtig. Denn das hier vorgebrachte Argument ist ein schwaches Argument.

Genauso schwach ist aber auch das Argument, dass die Videohinweise zwingend auf ein Schild müssten, wenn der Zugang zu den Informationen über das Internet doch (für potentielle Straftäter) so einfach wäre. Was ein potentieller Straftäter kann, wird auch jeder andere Bürger hinbekommen können.

Für eine konkrete Angabe der Speicherdauer gibt es im Hinblick auf den Schutz der Betroffenen m.E. kein zwingendes Erfordernis. Es kann angegeben werden, es reicht aber meiner Meinung nach auch aus, dieses in weiteren Datenschutzhinweisen im Internet anzugeben.

Und hier ist nun das Hinweisschild zur Videoüberwachung

Ich stelle das Hinweisschild im Powerpoint-Format zur Verfügung. So kann es von wohl den meisten verwendet und vor allem nach eigenen Bedürfnissen geändert werden. Die Datei findet ihr hier zum Download:

Nutzungsrechte:
Die Datei kann frei für private und gewerbliche Zwecke verwendet werden. Änderungen sind nicht nur zulässig, sondern erwünscht, um die Hinweise an die „eigene“ Videoüberwachung anzupassen. Die Grafiken in der Datei können ebenfalls weiterverwendet werden. Die Schriftart kann (Source Sans Pro) natürlich auch verändert werden.
Viel Spaß damit!

Okay…und was schreibe ich nun in die Datenschutzhinweise zur Videoüberwachung auf die Website?

Für Datenschutz-Coaching-Mitglieder habe ich da ein Muster entwickelt, das als Vorlage dienen kann:


Hinweis: Du siehst hier keine (weiteren) Inhalte, weil du kein Datenschutz-Coaching-Mitglied bist. Vielleicht möchtest du aber auch die Vorteile des Datenschutz-Coachings nutzen? Dann kannst du hier mehr erfahren, buchen und dann sofort auf die Inhalte zugreifen.

Verpflichtung auf das Fernmeldegeheimnis – ein Muster

Schon 2010 habe ich ein Muster für eine Verpflichtung auf das Fernmeldegeheimnis veröffentlicht. In dem Beitrag habe ich auch etwas ausführlicher zu der Streitfrage Stellung genommen, wann denn das Fernmeldegeheimnis in Unternehmen (außerhalb des TK-Bereichs) zur Anwendung kommt.

In Anbetracht der momentan wenig vorhandenen Zeit erspare ich mir hier aber mal weitere Ausführungen und stelle hier einfach ein neues Muster für eine Verpflichtung auf das Fernmeldegeheimnis zur Verfügung, in dem die Änderungen durch die DSGVO und das BDSG n.F. berücksichtig sind:

Muster für technische und organisatorische Maßnahmen zur Datensicherheit nach Art. 32 DSGVO

Ein Beispiel für technische und organisatorische Maßnahmen zur Datensicherheit (TOM) nach Art. 32 DSGVO. Zuletzt aktualisiert am 19.02.2020 (Wegfall des Passwortwechselzwangs). Viele sind derzeit dabei oder werden immer mal wieder …

Muster für technische und organisatorische Maßnahmen zur Datensicherheit nach Art. 32 DSGVO Weiterlesen »

Um auf diese Inhalte zugreifen zu können, musst du eines der folgenden Produkte gekauft haben: Datenschutz-Coaching PRO (12 Monate) [Digital] [Digital] oder Datenschutz-Coaching PRO (6 Monate) [Digital] [Digital]. Wenn du das Produkt schon gekauft hast, kannst du dich hier anmelden: Anmelden

Mustervertrag für externe Datenschutzbeauftragte (DSGVO) – in zwei Varianten

Wer beim Webinar dabei war, hat es mitbekommen: In Vorbereitung auf die Datenschutz-Grundverordnung (DSGVO) sollten externe Datenschutzbeauftragte so langsam überlegen, wie sie die Verträge mit ihren Kunden gestalten wollen, wenn dann ab 25.05.2018 die DSGVO gilt. Es ist keine Frage des „Ob“, sondern des „Wie“. Auf einen bestehenden Vertrag auf Basis des BDSG aufzusetzen, ist in Anbetracht der Haftungsrisiken der DSGVO sicher keine gute Idee.
Ich bin selbst ein großer Freund von Mustern und Vorlagen. Gar nicht immer so sehr, um diese 1:1 zu verwenden. Sondern vor allem, um sich Inspirationen zu holen oder einfach auf der Basis eines Musters eigene Lösungen zu entwickeln. Wenn ich mir so die externen Datenschutzbeauftragten in meinen Mandanten- und Bekanntenumfeld ansehe, dann arbeiten sehr viele auf Basis von aufwandsbasierter Vergütung. Andere gehen aber auch – wie ich – den Weg über Pauschalvergütungen pro Monat. Ich stelle Mitgliedern von Datenschutz-Coaching die Vertragsmuster zur Verfügung:
  • Mustervertrag für externe Datenschutzbeauftragte - Pauschalbetrag (.docx)
  • Mustervertrag für externe Datenschutzbeauftragte - aufwandsbasiert (.docx)
Beide Muster basieren schon auf der DSGVO, können aber jetzt schon verwendet werden. Wer noch kein Coaching-Mitglied ist, kann natürlich einfach hier einen Coaching-Monat erwerben. Das kostet 49,00 € inkl. MwSt. Und der Preis für Vertragsmuster sollte sicher angemessen sein. Und natürlich gibt es auch noch Zugriff auf alle anderen „Coaching-Inhalte“.
Um auf diese Inhalte zugreifen zu können, musst du eines der folgenden Produkte gekauft haben: Datenschutz-Coaching PRO (12 Monate) [Digital] [Digital] oder Datenschutz-Coaching PRO (6 Monate) [Digital] [Digital]. Wenn du das Produkt schon gekauft hast, kannst du dich hier anmelden: Anmelden

Muster: Bestellung zum Informationssicherheitsbeauftragten

In den letzten Jahren gehörten zwei Beiträge zur Erstellung eines „IT-Sicherheitskonzeptes nach der GM-Methode“ (Teil 1 | Teil 2) zu den am meisten aufgerufenen Inhalten meiner Website. Die Beiträge haben allerdings schon gute sechs Jahre auf dem Buckel und sind schlichtweg nicht mehr aktuell. Es ist Zeit, diese abzulösen. Passend ist die Zeit auch, weil die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union sprichwörtlich vor der Tür steht. Mit Wirkung zum 25.5.2018 sieht die DSGVO vor, dass Unternehmen geeignete technische und organisatorische Maßnahmen treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten (Art. 32 Abs. 1 DSGVO).

Die DSGVO nimmt dabei erfreulicherweise die Methodik der derzeitigen Informationssicherheitstandards auf. So werden die klassischen Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit adressiert. Nach Art. 32 Abs. 1 lit. b) DSGVO hat das Unternehmen nämlich insbesondere auch die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen.

Es wird aber noch besser. Denn mit der DSGVO werden auch klassische Methoden des Qualitätsmanagements Voraussetzung. Es ist nicht nur eine Umsetzung von geeigneten technischen und organisatorischen Maßnahmen zur Datensicherheit geboten. Nein, es ist vielmehr ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung einzurichten. Das heißt nichts anderes als ein Informationssicherheitsmanagementsystem (ISMS).

In künftigen Beiträgen werde ich noch einmal etwas näher schildern, wie ein ISMS im Sinne der DSGVO umgesetzt werden kann. Ein Teilelement möchte ich aber schon einmal vorziehen: Die Bestellung eines Informationssicherheitsbeauftragten (ISB)

Warum man eine solche Bestellung durchzuführen hat, könnt ihr dem nachfolgenden Video entnehmen:

Wie sieht nun eine solche Bestellung eines ISB aus? Da habe ich mal ein Muster vorbereitet, an das ihr euch anlehnen bzw. dies einfach übernehmen und für euch anpassen könnt:

Versionshinweis: Aktuelle Version des Dokuments: 1.1 – Stand: 07.03.2017

Muster – Bestellung zum Datenschutzbeauftragten

Ich stelle auf meiner Internetseite selten Muster zur Verfügung, wenn es schon gut gebräuchliche Muster im Internet gibt. In diesem Fall mache ich mal eine Ausnahme.
Update DSGVO: Ich habe hier ein Muster (.docx) für die Benennung eines internen Datenschutzbeauftragten auf Basis der DSGVO veröffentlicht. Dies kann für externe Datenschutzbeauftragte modifiziert werden. Für Datenschutz-Coaching-Mitglieder steht hier auch ein Muster (.docx) für die Benennung eines externen Datenschutzbeauftragten auf Basis der DSGVO zur Verfügung (vorher einloggen).

Es ist nun wirklich keine Raketenwissenschaft ein Muster für die Bestellung einer Person zum Datenschutzbeauftragten eines Unternehmens zu erstellen. Gute Muster finden Sie z.B. hier:

Ich reihe mich dann mal in diese Liste ein und biete hier mein Muster zur Bestellung eines Datenschutzbeauftragten an:

Das in dem Formular die männliche Form verwendet wird, ist nicht böse gemeint. Das sind Formulare, die ich selbst nutze und entsprechend auf meine Bedürfnisse anpasse. Sie können das natürlich selbstverständlich für sich anpassen.

Neue Website zur Auftragsdatenverarbeitung mit neuem Mustervertrag und Videos

Seit gestern ist meine neue Website zur Auftragsdatenverarbeitung online. Möglicherweise kennen Sie noch mein alte Website zur Auftragsdatenverarbeitung, auf der ein Mustervertrag für die Verarbeitung von Daten im Auftrag veröffentlicht und recht regelmäßig aktualisiert wurde. Damals erfolgte das noch unter meiner SAY-HO! Domain. Die alte Seite zur Auftragsdatenverarbeitung wird seit heute morgen auf meine neue Website zur Auftragsdatenverarbeitung umgeleitet. Die Website finden Sie hier: http://www.datenschutz-guru.de/auftragsdatenverarbeitung

Ich wollte meinen altes Auftragsdatenverarbeitungsvertrags-Muster schon seit geraumer Zeit aktualisieren und überarbeiten. Für meine Mandanten nutze ich schon mehrere Monate den neuen Vertrag in verschiedenen Variationen und Anpassungen. In meiner täglichen Praxis hat sich das Muster als gute Ausgangsbasis bewährt, und ich meine, dass es jetzt an der Zeit war, den Vertrag auch wie gewohnt kostenlos online zu veröffentlichen.

Ich habe mich dazu entschieden, jetzt nur noch das Word-Format anzubieten. Denn egal, ob Sie Word mögen oder nicht. Es ist in jedem Fall das Format, das Sie auch mit Produkten anderer Softwareanbieter leicht weiterverarbeiten können. Die Statistiken haben zudem gezeigt, dass in der Regel nur die Word-Version heruntergeladen wurde.

Um das Angebot etwas abzurunden und nicht nur einen „Auftragsdatenverarbeitungsvertrag“ als Mustervertrag anzubieten, habe ich mir gedacht, dass ich nun doch noch die fehlenden 2 Lektionen zur Auftragsdatenverarbeitung, die ich bereits im vergangenen Jahr im Sommer an der Ostsee gedreht habe, zu veröffentlichen.

Ich hatte das lange Zeit nicht vor, da leider wichtige Video mit der 2. Lektion eine abgrundtief schlechte Soundqualität hat, weil ich das Mikrofon sehr ungeschickt am Shirt befestigt hatte. Da die gesamten 3 Videos „freestyle“ und ohne Skript entstanden sind, hatte ich – ehrlich gesagt – weder Zeit noch Lust, das Ganze noch einmal aufzunehmen. Bevor ich aber die beiden Lektionen in den digitalen Mülleimer werfe, habe ich mich dazu durchgerungen, einfach alle Videos hier online zu stellen, auch wenn die 2. Lektion wirklich nur schwer benutzbar ist. Es hilft, wenn Sie ab und an einfach im Video nach vorne springen, um eine besser akustisch verstehbare Passage zu bekommen. Schade – ich kann es aber leider nicht ändern. Das Überarbeiten des Sounds hat nicht wirklich geholfen.

So dürfen Sie zumindest mich am Strand der Geltinger Bucht bei Vogelzwitschern und ruhiger See betrachten. Das hat dann zumindest – bei ausgeschaltetem Ton – vielleicht etwas leicht Meditatives…

Wie dem auch sei…ich freue mich, wenn Sie sich die Seite einmal ansehen: http://www.datenschutz-guru.de/auftragsdatenverarbeitung