Nicht blind in eine digitale Welt: Datenschutz für Schüler*innen.

Die Kinder und Jugendlichen an unseren Schulen sind die ersten, die in einer “digitalen Welt” aufwachsen. Als ich Kind war, traf ich mich mit meiner besten Freundin jeden Morgen vor der Kirche, um mit ihr zusammen zur Schule zu fahren. War sie 10 Minuten nach der ausgemachten Zeit nicht da, fuhr ich halt alleine.

Nach den Hausaufgaben klapperten wir die üblichen Treffpunkte ab, um zu schauen, ob jemand da war, mit dem man spielen oder “abhängen” konnte. War niemand da, ging man halt zu seinen Kumpels nach Hause. Und klingelte dort. Einfach so. Wurde ich zuhause vermisst, rief meine Mutter bei meinen Freunden auf dem Festnetztelefon an und fragte nach mir. 

Das ist heute undenkbar. Viele Kinder haben schon in der Grundschule ihr erstes Smartphone. Das Smartphone ist Normalität für sie und das ist, so für sich betrachtet, zwar anders als früher, aber nicht automatisch schlimm.

„Nicht blind in eine digitale Welt: Datenschutz für Schüler*innen.“ weiterlesen

Schlafmittel DSGVO: die Mitarbeiterschulung

Formulieren wir es zum Start mal gleich ketzerisch: Wer mit Einschlafproblemen zu kämpfen hat, dem sei eine DSGVO-Schulung zur Mitarbeitersensibilisierung ans Herz gelegt. In den allermeisten Fällen ist diese leider dazu geeignet, auch einem gestandenen Juristen ein ausgedehntes Schläfchen zu ermöglichen. Generell ist gegen gut ausgeschlafene Mitarbeiter*innen auch nichts einzuwenden. Nur benötigen wir diese genau jetzt wach und aufnahmefähig.

„Schlafmittel DSGVO: die Mitarbeiterschulung“ weiterlesen

Von DSGVO zu Ethik: Der comspace-Weg

Datenschutz im Unternehmen

Gleich ein Disclaimer vorweg: Dies wird keine allgemeingültige Anleitung, wie man die Umsetzung der DSGVO, den Datenschutz allgemein und die angrenzenden Themen in einem Unternehmen zum Laufen bekommt.
Was ich geben will, ist ein Einblick in den Weg, den wir bei comspace gegangen sind und noch immer gehen. 

Und ich möchte von Anfang an ehrlich sein: Auch bei uns war die DSGVO ein Thema welches – euphemistisch formuliert – zunächst eher mit verhaltener Begeisterung umgesetzt wurde. Das Thema glich sogar einem Wanderpokal auf den niemand sonderlich scharf war. 

„Von DSGVO zu Ethik: Der comspace-Weg“ weiterlesen

DSGVO – was ändert sich? 20 Fragen an unseren Datenschutzbeauftragten Lars Christiansen

Am 25. Mai 2018 tritt die neue europaweite Datenschutzgrundverordnung (DSGVO) in Kraft. Nicht mehr viel Zeit also für Unternehmen, sich für den Stichtag fit zu machen und die neuen gesetzlichen Anforderungen zu erfüllen.
Was ändert sich, was bleibt, wo muss kurzfristig gehandelt werden? Diese und weitere Fragen haben wir unserem DSGVO-Experten und langjährigen externen Datenschutzbeauftragten Lars Christiansen gestellt und praxisorientierte Antworten bekommen.

Was ist die DSGVO?

Die neue Datenschutz-Grundverordnung ist nach meiner Einschätzung die umfangreichste und gleichzeitig am meisten unterschätzte Gesetzesinitiative, die die EU jemals auf den Weg gebracht hat. Viele Beteiligte haben lange nicht wahrgenommen, worum es genau geht und wie komplex sich die Umsetzung gestaltet.
Bei der DSGVO geht es nicht um eine schlichte Gesetzesänderung, sondern einen kompletten Neuanfang im Bereich Datenschutz. In Deutschland sind allein rund 300 Gesetze betroffen, die geändert werden müssen, weil sie in irgendeiner Weise etwas mit Datenschutzregelungen zu tun haben. In Hinblick auf die Umsetzung geben sich die Aufsichtsbehörden noch zurückhaltend, da es bisher weder Erfahrungswerte noch Gerichtsurteile gibt. Daher bleibt in der Praxis leider noch vieles im Unklaren.

Welche Änderungen ergeben sich aus der DSGVO für mittelständische Unternehmen?

Die gesetzlichen Änderungen betreffen alle Unternehmen. Generell gibt es keine Unterscheidung nach kleinen, mittelständischen oder großen Unternehmen.
Die einzige Ausnahme besteht in der Bestellpflicht eines Datenschutzbeauftragten: Dieser müssen Unternehmen erst nachkommen, sobald sie mehr als 10 Mitarbeiter beschäftigen.

Sollten Unternehmen in einigen Bereichen über die DSGVO hinausgehen?

Grundsätzlich gilt bei der Umsetzung der DSGVO der risikobasierte Ansatz, d.h. die DSGVO macht die Erlaubnis der Datenverarbeitung von einer Risikoanalyse abhängig. Jedes Unternehmen muss im Einzelnen abwägen, wie stark die „Interessen, Grundrechte und Grundfreiheiten“ der betroffenen Personen durch die Verarbeitung ihrer personenbezogenen Daten gefährdet wird. Dementsprechend sind geeignete technische und organisatorische Maßnahmen zu ergreifen, die die Datensicherheit der erhobenen und verarbeiteten Daten gewährleisten.

Welche zusätzlichen Pflichten ggü. dem bisherigen Bundesdatenschutzgesetz (BDSG) ergeben sich für deutsche Unternehmen aus der DSGVO?

In vielen Regelungen unterscheidet sich die DSGVO gar nicht so wesentlich vom BDSG. In anderen Punkten gibt es gravierende Änderungen. Die wichtigsten sind folgende:

  • Ausweitung des Begriffs der personenbezogenen Daten: Die Definition ist in der DSGVO wesentlich weiter gefasst als zuvor (s. auch die nächste Frage). Bisher ging es um den Schutz der Daten, um physischen und materiellen Schaden abzuwenden. Zukünftig müssen Daten auch gegen immateriellen Schaden geschützt werden.
  • Informationspflichten: Diese sind umfangreicher geworden. Den Betroffenen muss bei der Erhebung seiner Daten Auskunft darüber gegeben werden, “wer was wann und bei welcher Gelegenheit über sie weiß”.
  • Recht auf Datenportabilität: Die Übertragbarkeit der Daten von einem Anbieter zu einem anderen muss gewährleistet sein. Dies auf Anforderung auch im maschinenlesbaren Format, damit die Daten ggfs. woanders wieder eingelesen werden können.
  • Sicherstellen der Sicherheit und Belastbarkeit der Systeme
  • Rechenschaftspflicht im Sinne der Beweislastumkehr: Bisher musste ein Betroffener vor Gericht selbst nachweisen, dass das Unternehmen für eine fehlerhafte Verarbeitung von Daten verantwortlich ist. Diese Pflicht liegt nun bei dem Unternehmen, das die Daten verarbeitet.

Welche personenbezogenen Daten sind konkret von der Verordnung betroffen und was genau versteht man unter “personenbezogen”?

Personenbezogene Daten sind alle Angaben, die man einer natürlichen Person zuordnen kann. Außer naheliegenden Daten wie Name und Adresse etc. zählen künftig auch digitale Informationen wie Standortdaten, IP, Cookies, Scoring- und Ranking-Daten dazu.

Welche Dokumentationspflichten sind unternehmensintern notwendig?

Die Dokumentationspflichten steigen insofern, als dass jede verantwortliche Stelle den Nachweis erbringen können muss, dass sie personenbezogene Daten DSGVO-konform verarbeitet. Außerdem müssen alle Datenverarbeitungsprozesse dokumentiert werden.
Neu ist, dass ein Unternehmen wie das Ihre (Anm. =comspace) als Auftragnehmer und damit Auftragsverarbeiter jetzt mit in der Haftung sind. Bisher war das nur der Auftraggeber.

Welche Auskünfte müssen bei einem Antrag auf Datenauskunft künftig bereitgestellt werden? Wie schnell und in welcher Form?

Es müssen alle im Unternehmen befindlichen Daten, die die anfragende Person betreffen, zur Verfügung gestellt werden, und dies lt. Gesetzgeber “zeitnah und vollumfänglich”. Zeitnah meint eine Frist von 2 Wochen. Die Bereitstellung der Daten muss kostenfrei und in geeigneter Form (pdf, Mail o.ä.) erfolgen.

Welche Anforderungen werden an wirksame Einwilligungserklärungen gestellt? Warum braucht es überhaupt Einwilligungserklärungen, wenn man sich DSGVO-konform verhält?

Die Einwilligung zur Datenerhebung muss freiwillig und gut informiert erfolgen und sie darf nicht an einen Vertragsabschluss gekoppelt sein. Bei Datenerhebung muss dem Kunden außerdem mitgeteilt werden. was mit seinen Daten geschieht. Bestehende Einwilligungen sind davon unberührt und nach wie vor wirksam, sofern sie den Anforderungen aus dem BDSG genügen.
Neu ist, dass eine Dateneinwilligung von Kindern und Jugendlichen erst ab dem 16. Lebensjahr möglich ist.
Nach meiner Einschätzung wird die Einwilligung zukünftig sicherlich an Bedeutung verlieren.

Was beinhaltet das Recht auf Vergessenwerden? Welche Fristen sind zu beachten?

Das Recht auf Vergessenwerden existiert schon heute. “Vergessen” ist im digitalen Zeitalter ja ein eher unpassendes Wort. Der Begriff “Löschung” trifft es besser. Auch wenn die Daten auf Aufforderung gelöscht werden, verbleiben sie aufgrund der Pflicht zur Aufbewahrung von Unterlagen noch für mindestens 6-10 Jahre im Unternehmen.
Eine genaue Zeitvorgabe für die Löschung gibt es meines Wissens nicht. Man kann allerdings davon ausgehen, dass die Aufsichtsbehörden hier ähnliche Zeiten wie bei einem Auskunftsersuchen ansetzen. Da liegt die Frist bei zwei Wochen. Die Löschung sollte immer so schnell wie möglich erfolgen.

Gibt es spezielle Anforderungen für Daten von Personen ausländischer Nationalität (EU / international)? Ab wann betrifft die DSGVO deutsche Unternehmen nicht?

Die DSGVO greift, sobald die Daten eines europäischen Bürgers betroffen sind bzw. sobald ein Unternehmen Produkte oder Dienstleistungen für europäische Bürger anbietet und zugänglich macht.

Welche Auswirkungen hat die Verordnung auf den Datenschutz für Beschäftigte?

Der Datenschutz für Beschäftigte sollte ursprünglich einmal in einem eigenen Gesetz geregelt werden, dies ist aber nicht geschehen.
Die Verarbeitung von Mitarbeiterdaten erfolgt beispielsweise auf Basis einer Betriebsvereinbarung, im Rahmen eines Arbeitsvertrags oder aufgrund einer Einzeleinwilligung. Aufgrund des Abhängigkeitsverhältnisses, das durch einen Arbeitsvertrag entsteht, kann die Freiwilligkeit einer Einzeleinwilligung ggfs. in Frage gestellt werden. Dies wird mit der DSGVO zukünftig einfacher sein, denn dann gilt: Wenn eine Datenverarbeitung einen wirtschaftlichen oder rechtlichen Vorteil für den Mitarbeiter mit sich bringt, kann der Arbeitgeber von einer Einwilligung ausgehen.
Zusätzlich gibt es höhere Transparenzpflichten für den Arbeitgeber: Er muss die Mitarbeiter über den Zweck der Datenverarbeitung und über ihr Widerrufsrecht informieren.

Welche Folgen kann ein Verstoß gegen die DSGVO haben?

Hier wird unterschieden zwischen organisatorischen Verstöße und Datenverlust. Bei organisatorischen Verstößen können bis zu 10 Mio. Euro bzw. bis zu 2 % des weltweiten Vorjahresumsatzes fällig werden. Bei Datenverlust beträgt die Geldbuße bis zu 20 Mio. Euro bzw. bis zu 4 Prozent des weltweiten Vorjahresumsatzes. Bei Datenschutzverletzungen entsteht außerdem ein Anspruch auf Schadensersatz für materiellen und (neu) immateriellen Schaden.

Welche Herangehensweise empfehlen Sie Unternehmen, um sich möglichst schnell fit zu machen für die neuen Bestimmungen? Was sind die wichtigsten to do’s?

Wer jetzt noch nicht angefangen hat, sich mit dem Thema zu beschäftigen, sollte sich eine gute Versicherung suchen ;). Die wichtigsten Schritte auf dem Weg zur Umsetzung der DSGVO sind folgende:

  • Ist-Aufnahme der Systeme und Prozesse deren saubere Dokumentation
  • Informationspflichten beachten und wahrnehmen
  • Datenschutzerklärung anpassen
  • Datenschutz-Folgenabschätzung vornehmen:
    Diese betrifft jede Datenverarbeitung, die ein besonders hohes Risiko für den Betroffenen darstellt, bspw. bei der Erhebung von Daten zum Scoring oder Profiling. Vor der Datenverarbeitung müssen die Risiken abgeschätzt und es muss dokumentiert werden, wie ein Rechtsrisiko abgefangen werden kann.
  • Meldepflichten bei Datenschutz beachten
  • Abbildung aller Datenschutzvorgänge in Prozessen

Stichwort Online-Marketing: was bringt da die DSGVO für Veränderungen?

Es gibt keine speziellen Vorschriften für die Zulässigkeit von Werbung. Daher gelten nach wie vor die allgemeinen Bestimmungen für die Verarbeitung personenbezogener Daten im Online-Marketing. Das z.Zt. noch bestehende Listenprivileg entfällt mit der DSGVO. Es wird in Zukunft stärker auf eine Interessensabwägung bei der Datenverarbeitung ankommen. Der Bereich Online-Marketing wird durch die kommende ePrivacy-Verordnung neu geregelt werden. Diese wird für das Jahr 2019 erwartet.
Da zukünftig innerhalb der EU über nationale Grenzen hinweg dieselben Bestimmungen angewendet werden, wird die DSGVO für international tätige Unternehmen eher Erleichterungen bringen.

Wie bewerten Sie persönlich die DSGVO?

Ich sehe die DSGVO als einen guten Ansatz in die richtige Richtung: Alte Regelungen des BDSG werden komplett überholt, was im digitalen Zeitalter dringend nötig war, da die Regelungen von 1995 nicht mehr die Realität widerspiegeln. Viele Basisfragen sind noch heute ungeklärt, so dass häufig Richterrecht greifen musste und Stellungnahmen der Aufsichtsbehörden bis heute in der Praxis nicht umgesetzt wurden.
Allerdings wurde die DSGVO mit Blick auf die großen amerikanischen Unternehmen konzipiert mit dem Nachteil, dass sie keine Abstufungen nach Unternehmensgröße vorsieht, d.h. es gibt keine Anpassungen für kleine und mittelständische Unternehmen. Außerdem wird die DSGVO mit viel Angst und Schrecken verkauft.

Lässt sich die DSGVO irgendwie umgehen?

Nein, das ist nicht möglich, denn sie ist ab dem 25. Mai 2018 EU-weit geltendes Datenschutzrecht.

Ist die DSGVO eher ein Wettbewerbsvor- oder Nachteil im internationalen Markt?

Für deutsche Unternehmen ist sie eher ein Vorteil, weil sich die DSGVO in vielen Punkten relativ nah an die Regelungen des Bundesdatenschutzgesetzes hält. Für Unternehmen anderer europäischer Länder, in denen der Datenschutz bisher nicht ganz so strikt geregelt wurde wie in Deutschland, wird die Umstellung viel größer ausfallen.

Wenn Sie Einfluss darauf hätten, welche Änderungen an der Verordnung würden Sie sich wünschen?

Ich würde mir eindeutigere, griffige Vorgaben wünschen. Es gibt noch viel zu viele Unklarheiten in der Interpretation und Umsetzung der Verordnung. Dies führt zu starken Verunsicherungen bei den Unternehmen.

Seit wann beschäftigen Sie sich mit der DSGVO?

Ich habe schon 2011 damit begonnen, seit der erste Entwurf der neuen Verordnung durch die EU-Kommission veröffentlicht wurde. Seit 2015 beschäftige ich mich sehr intensiv mit dem Thema.

Welche weitere Links zur DSGVO können Sie zur weiteren Einarbeitung in das Thema empfehlen?

Auf diesen Seiten finden Sie weitere, detaillierte Informationen rund um die DSGVO-Bestimmungen:
DSGVO – Expertenwissen für die Praxis:
https://dsgvo.expert/materialien/synopse-zur-dsgvo/
Hier findet man eine Gegenüberstellung der alten und neuen Gesetzestexte und eine Zuordnung der Artikel der DSGVO zu den Erwägungsgründen. Da auf EU-Ebene die Erwägungsgründe Teil der Gesetzgebung sind und die Artikel der DSGVO immer mit Blick auf die entsprechenden Erwägungsgründe ausgelegt werden müssen, ist das bei der Beurteilung der neuen Vorgaben hilfreich. In Deutschland kennen wir dieses Vorgehen nicht und die Erwägungsgründe werden oft mit Kommentaren verwechselt, die nicht zur Gesetzgebung gehören. Das führt dann u.U. zu einer fehlerhaften Auslegung.
Informationen des Bayrischen Landesamtes für Datenschutzaufsicht (BayLDA):
https://www.lda.bayern.de/de/datenschutz_eu.html
Diese Informationen findet man zwar bei allen Landesaufsichtsbehörden, aber die Bayern haben m.E.  die übersichtlichste Webseite dazu erstellt. Bei den Informationen handelt es sich um Kurzpapiere der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz DSK). Hier ist die konsolidierte Ansicht der Landesbehörden zu bestimmten Themen beschrieben.
Europäische Kommission zur DSGVO:
https://ec.europa.eu/commission/priorities/justice-and-fundamental-rights/data-protection/2018-reform-eu-data-protection-rules_de
Da sich in Zukunft viel auf europäischer Ebene abspielen wird und es ein europaweites, einheitliches Vorgehen aller Aufsichtsbehörden geben soll, ist ein Blick nach Brüssel hilfreich um abzuschätzen, wohin sich der Datenschutz in Europa und damit auch in Deutschland entwickeln wird.

Datenschutz als Unternehmensaufgabe

Daten - das Gold der Zukunft?

„Informatik und Freiheit“

Datenschutz ist ein wenig geliebtes Thema. Woran liegt das? Provokant geantwortet: Die „Jungen“ verstehen den Wert von Grundrechten nicht mehr, die „Alten“ nicht mehr die Technik, die Datenschutz erst so wichtig macht. Die zahlreichen Skandale und Diskussionen, so hat man den Eindruck, haben nur wenig an einer gewissen Gleichgültigkeit für den Datenschutz geändert, z.B. die:

  • Enthüllungen von Edward Snowden,
  • EuGH kippt EU-Richtlinie zur Vorratsdatenspeicherung (vgl. Frank Bräutigam, SWR, ARD-Rechtsexperte: Spannungsfeld Freiheit und Sicherheit)
  • der offene Brief von dem Vorstandsvorsitzenden von Axel Springer Mathias Döpfner an Google Manager Eric Schmidt: Warum wir Google fürchten
  • US-Urteil: US-Unternehmen müssen im Ausland gespeicherte Daten herausgeben (z.B. Artikel EAID)
  • Suchmaschinen müssen personenbezogene Daten u.U. löschen; Urteil des EuGH: „Recht, vergessen zu werden“

Vielleicht liegt diese Gleichgültigkeit am Wort Datenschutz. In Frankreich nennt man den Datenschutz „informatique et liberté“, also „Informatik und Freiheit“. Das trifft die Sache wesentlich besser (vgl. Prof. Dr. Kongehl: 40 Jahre Datenschutz).
Nun aber der Reihe nach. Es soll zunächst mal den Fragen nachgegangen werden: Was schützt der Datenschutz überhaupt? Warum ist das, was geschützt werden soll überhaupt schutzwürdig? Und- wie setzt man den Datenschutz im Unternehmen um?

Was schützt der Datenschutz?

Der Datenschutz schützt  nicht, wie der Begriff vermuten lässt, alle Daten. Der Schutz erstreckt sich lediglich auf den einzelnen Betroffenen, der vor den Gefahren der Datenverarbeitung geschützt werden soll. Einfach gesagt: Er schützt jeden Mensch aus „Fleisch und Blut“, nicht jedoch reine Unternehmensdaten. (§ 3 Abs.1 BDSG: Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener).)
Der Betroffene soll vor der Beeinträchtigung von Persönlichkeitsrechten geschützt werden. Beispiele für personenbezogene Daten sind:

Adresse
Berufsbezeichnung
Konfession
Krankheiten
Kreditkarten
Mitgliedschaften
Scoringdaten
Vertragsverpflichtungen etc.

„Warum sind meine Daten schutzwürdig? Ich habe doch nichts zu verbergen.“

Daten können nicht nur strafrechtlich zur Verbrechensbekämpfung ausgewertet werden. Daten können auch zur Erstellung von Profilen dienen. So können beispielsweise

  • Kommunikationsprofile,
  • Konsumprofile,
  • Bewegungsprofile
  • und Leistungsprofile erstellt werden.

Dies ist mit Hilfe der automatisierten Datenverarbeitung bzw. der Informatik kein allzu großer Aufwand mehr und hat zur Folge, dass der Betroffene kategorisiert werden kann. Es besteht die Gefahr, digitale Inhalte nur noch entsprechend der vergebenen Kategorie zugewiesen zu bekommen. Dies kann gravierende Auswirkungen auf die Urteilsfindung des Einzelnen haben. Laut Gesetzgeber ist dies mit dem Recht des Betroffenen auf informationelle Selbstbestimmung nicht vereinbar. Dieses Recht leitet sich aus

Art. 2 GG (Recht auf freie Persönlichkeitsentfaltung) und
Art.1 GG (Die Würde des Menschen ist unantastbar) ab.

Zwei Grundpfeiler unserer Demokratie und wichtige Freiheitsrechte.

Abstrakt und deshalb zunächst auch kaum nachvollziehbar ist die Notwendigkeit des Datenschutzes auch deshalb, weil eine unrechtmäßige Individualisierung der Daten, also ein Verstoß gegen Datenschutzbestimmungen z.B. durch unrechtmäßig ausgeführtes Data-Mining, Scoring, Screening, Rasterfahndung (vgl. FAZ, Die Polizei lernt Twitter lieben) etc., zunächst für den Betroffenen überhaupt nicht erkennbar ist. Sogar die Beeinträchtigungen selbst, die diese Datenschutzverstöße mit sich führen können (kein Bankkredit, keine Fortbildung, keine Einstellung, keine Beförderung, keine Privatversicherung, kein freier Zugang zu Informationen, Diskreditierungen etc.) sind für den Betroffenen nicht unbedingt sofort auf die Datenschutz-Verstöße zurückzuführen.
Es fehlt dem Datenschutz also noch an eingängigen Bildern in den Köpfen der Menschen. Bilder, die auf die Gefahren aufmerksam machen können.

Daten sind geduldig und können auch nach Jahren noch ausgewertet werden, so kann ein weiteres Rechtsstaatsprinzip außer Kraft gesetzt werden:

„Die Gnade des Vergessens.“

Gerade die im Internet veröffentlichten Daten sind nur lokal löschbar, denn sie unterliegen zahlreichen Vervielfältigungsmechanismen. Eine je nach Profil zugewiesene Kategorie für den Betroffenen kann unter Umständen falsch sein oder sein Profil, also sein Verhalten, kann sich geändert haben, die zugewiesene Kategorie bleibt jedoch in der Regel bestehen – für immer.  Beispielsweise unterscheidet der Schufa-Eintrag nicht, ob nur ein kurzfristiger Zahlungsengpass vorlag – den man unter Umständen noch nicht mal selbst zu verantworten hat (Kunde zahlt nicht) – oder ob es sich um langfristige Zahlungsprobleme handelt. Da aber die Schufa mit Sitz in Deutschland den hiesigen Datenschutzgesetzen unterliegt, gibt es hier zumindest noch Speicherfristen, beispielsweise bei Krediten gibt es nach  drei Jahren nach dem Jahr der Rückzahlung eine gesetzliche Löschungspflicht des Eintrags.
Suchmaschinen müssen nach jüngster Rechtssprechung des EuGH auf Antrag indexierte, personenbezogene Daten löschen. Dieses Urteil ist wohl ein wichtiger Meilenstein für den Datenschutz, auch wenn es sich nur um eine Löschung aus der Indexierung (->Suchergebnisse) handelt. Diese Indexierung ermöglicht es einem jedoch, sich „auf einen Blick“ ein umfassendes Profil des Betroffenen zu machen.

Personenbezogene Daten können auch je nach Kontext bzw. Blickwinkel „in einem anderen Licht“ erscheinen. Daten die momentan nur zur Mauterfassung genutzt werden oder zur Messung von Geschwindigkeitsverstößen, können auch zur Erstellung eines Bewegungsprofils dienen, beispielsweise für KFZ-Versicherungen. In den Händen eines Überwachungsstaates haben diese Daten noch verheerendere Folgen, wie wir Deutschen wohl mit am besten wissen.

Fazit: Es geht beim Datenschutz nicht nur um Verbrechensbekämpfung (Spannungsfeld zw. Sicherheit und Freiheit) oder personalisierte Werbung. Es sollte gezeigt werden, warum persönliche Daten  schutzwürdig sind, auch wenn man „nichts zu verbergen hat“! Nicht mehr schutzwürdig sind persönliche Daten laut BGH nur dann, wenn sie zur Abwehr „von überragend wichtigen Aufgaben des Rechtsgüterschutzes“ dienen können.

Die 4 wichtigsten Grundzüge des Datenschutzes

1. Verbot mit Erlaubnisvorbehalt

Die Erhebung, Speicherung und Verarbeitung von personenbezogenen Daten ist im Grundsatz immer unzulässig (§ 4 Abs. 1 BDSG).
Zulässig ist die Erhebung, Speicherung und Verarbeitung von personenbezogenen Daten nur bei zwei Alternativen:

  1. Einwilligung des Betroffenen (§ 4a BDSG), unter Beachtung der Formerfordernisse

  2. Es besteht eine gesetzliche Ausnahmevorschrift (z.B. Daten sind zur ordnungsgemäßen Durchführung des Vertragsverhältnisses erforderlich und dürfen deshalb gespeichert werden, § 28 Abs.1 BDSG)

2. Auskunfts- und Korrekturrechte des Betroffenen

Eine kaum bekannte Regelung – doch sehr effektiv nutzbar gegen Datenschutzverstöße.
Die Regelung hilft dem Betroffenen sein Recht auf informationelle Selbstbestimmung durchzusetzen. Der Betroffene (also Du!) hat jederzeit und uneingeschränkt die Möglichkeit, Auskunft darüber zu erhalten, welche Daten beim jeweiligen Unternehmen oder auch der öffentlichen Stelle gespeichert sind. Bei unzulässiger (keine Einwilligung des Betroffenen, keine gesetzliche Ausnahme) oder falscher Speicherung bzw. Erhebung von Daten, hat der Betroffene das Recht auf Löschung bzw. Korrektur. Er kann das Recht auch mit Hilfe der zuständigen Aufsichtsbehörde durchsetzen (mögl. Rechtsfolgen: Bußgelder und behördliche Prüfungen, bis hin zur Freiheitsstrafe der GF). Das Persönlichkeitsrecht setzt an dieser Stelle auf Selbstbestimmung und Eigenverantwortlichkeit, insofern ist die getroffene Regelung ein Teil der Privatautonomie.

3. Datenvermeidung und Datensparsamkeit

Der Grundsatz lautet: “need-to-know” und nicht “nice-to-have”.

4. Zweckbindung

Im Volkszählungsurteil des Bundesverfassungsgerichts von 1983 ist es nicht erlaubt, „Daten auf Vorrat zu unbestimmten Zwecken“ zu speichern. So muss schon vor dem Erheben von personenbezogenen Daten ein zweckdienlicher Nutzen festgelegt werden.
Das Gebot der Zweckbindung soll sicherstellen, dass Daten nur für den Zweck verarbeitet werden, für den sie erhoben worden sind (Zweckidentität). Die Europäische Datenschutzrichtlinie lässt in Art. 6 Abs. 1b S.2 an Stelle der Zweckidentität eine Zweckvereinbarkeit zu.

Sind wir zu klein?

Ich werde Ihnen als Leser nichts Neues erzählen, wenn ich sage, Daten sind heute global und unterliegen keinen Ländergrenzen. Die Anwendbarkeit von Datenschutzgesetzen hingegen schon. Das deutsche Bundesdatenschutzgesetz ist das umgesetzte Europäische Datenschutzrecht. Somit dienen die genannten Grundzüge auch in Europa als Orientierung- zumindest soweit die Europäische Datenschutzrichtlinie auch unionrechtskonform umgesetzt wurde.

Das europäische Datenschutzrecht hat sicherlich eines der weltweit höchsten Schutzniveaus. Eine weltweite Angleichung des Niveaus wird in Zukunft eine sehr, sehr große Herausforderung sein, sowohl politisch-kulturell wie auch ökonomisch (Wer Daten Personalisieren darf, kann sie gezielter zu wirtschaftlichen Zwecken einsetzen. Das kann zu einem Standortvorteil führen,  aufgrund eines niedrigeren Datenschutzniveaus) und ist wohl

  • rechtlich nur auf einer starken europäischer Ebene lösbar, die den Datenschutz nach innen und außen vorantreibt, z.B. bei den anstehenden Freihandelsabkommen mit den USA,
  • ethisch lösbar, durch Selbstbeschränkungen der verantwortlichen Stellen oder/und,
  • durch mehr Eigenverantwortlichkeit der Menschen, die die eigenen Daten zu einfach bereitwillig herausgeben
  • ein Ende der Gratis Kultur und mehr Verständnis für eine kostenpflichtige Nutzung von Diensten
  • mehr Konsistenz in der Verfolgung der Datenschutzverstöße durch die Aufsichtsbehörden.

„Daten sind das Gold der Zukunft“. Datenschutz auch.

Daten - Das Gold der Zukunft
Daten – Das Gold der Zukunft (© RFsole – Fotolia.com)

 

Datenschutz bei comspace

Die Herausforderung ist es, die abstrakten und technikneutralen Vorgaben zum Schutz personenbezogener Daten gem. BDSG, TMG, und TKG in greifbare und anwendbare Kategorien zu übertragen. Bei Mitarbeiterdaten (Arbeitsverträgen etc.), Geschäftsdaten (unterliegen nur bei bestimmbaren Personenbezug dem BDSG) und Daten von Kunden fällt eine Kategorisierung, z.B. in sensitive Daten (Krankheiten, Behinderungen) oder nicht sensitive Daten, personenbezogene und nicht personenbezogene Daten leichter, da die Daten mit Hilfe unseres Datenschutzbeauftragten kategorisiert und entsprechend gesichert werden, beispielsweise durch die Vergabe von Nutzungsrechten, Pseudonymisierung der personenbezogenen Daten und der IT-Sicherheit (Verschlüsselungen, Technisch und Organisatorische Maßnahmen).

Hereinspaziert?
Hereinspaziert?

Schwieriger ist der Datenschutz bei personenbezogenen Daten umzusetzen, die quasi in Echtzeit anfallen. Das Teilen von Informationen und die Zusammenarbeit über Abteilungsgrenzen hinweg sind wohl wesentliche Erfolgsfaktoren von comspace und somit als geschäftliche Notwendigkeit zu betrachten. Dabei fallen Daten an. Hier ist ein Konsens über die Wichtigkeit von Datenschutz im Unternehmen von entscheidender Bedeutung. Um es technisch auszudrücken, der  Datenschutz muss in allen Köpfen des Unternehmens implementiert sein, um Datenschutzverstöße zu vermeiden. comspace pflegt die offene Kommunikation – sowohl extern als auch intern – und es entstand so auch über die Bedeutung von Datenschutz und IT-Sicherheit eine rege und offene Diskussion. Bei der Urteilsfindung in Datenschutz- und IT-Sicherheitsfragen steht uns seit Jahren unser externer Datenschutzbeauftragter Lars Christiansen zur Seite. Ihn habe ich gefragt, wie aus seiner Sicht der Datenschutz und die IT-Sicherheit bei comspace umgesetzt werden und er hat einen wichtigen, hier noch nicht berücksichtigten Aspekt angesprochen, die sogenannten Datenschutz-Audits (§ 11 BDSG).

Dazu Lars Christiansen (Datenschutzbeauftragter):

Lars Christiansen (DSB, udis Zertifiziert)
Lars Christiansen (DSB, Udis-Zertifiziert)

Durch die Verarbeitung von personenbezogenen Daten im Auftrag für andere Unternehmen entstehen für den sogenannten Auftragsdatenverarbeiter umfangreiche Anforderungen an die Bereiche Datenschutz und Informationssicherheit. Die Auftraggeber sind verpflichtet, sich vor Vertragsabschluss und danach regelmäßig von der Einhaltung der vertraglich vereinbarten technischen und organisatorischen Maßnahmen zu überzeugen. Damit werden oftmals externe Unternehmen, wie z.B. der TüV, beauftragt. Hier wurde comspace, bei den bisher durchgeführten Audits, ein gutes Niveau bei der Umsetzung der ,von den Kunden geforderten, Maßnahmen bescheinigt.
Für die Vertragsgestaltung der Auftragsdatenverarbeitung nach § 11 BDSG wurden Standardvorlagen entwickelt, in denen auch die umfangreichen technischen Maßnahmen zur Sicherstellung des geforderten Datenschutzniveaus beschrieben werden. Hierzu zählen z.B. die Zugangskontrolle zum Rechenzentrum, die Rechtevergabe in den Systemen oder die Mandantenfähigkeit von Systemen. Damit wird ein Mehrwert für den Kunden geschaffen, indem hier der Bereich Datenschutz aktiv rechtssicher gestaltet wird. Datenschutz kann so auch für den Vertrieb zu einem entscheidenden Faktor werden.

Guter Datenschutz ist also immer auch ein Qualitätsmerkmal für Kunden. Guter Datenschutz trägt immer zu einer guten IT-Sicherheit bei, die alle Unternehmensdaten schützt (Vermeidung von Betriebsspionage und Hackerangriffen). Das wiegt die überschaubaren Kosten, die der Datenschutz  für uns als mittelständisches Unternehmen verursacht, doppelt und dreifach auf.

Fazit: Datenschutz ist ein wichtiger Baustein für den Schutz unserer Freiheitsrechte und er schützt letztendlich auch die Informationsfreiheit des Internets.

Rechtssichere Integration des Share-Buttons

Allyve Share Plugin - Teilen ButtonAb sofort sind die Share-Plugins auf unseren Seiten von Allyve und somit bieten wir eine rechtssichere Integration des Like-Buttons von Facebook. Deutsche Datenschutzbehörden haben zuletzt immer wieder eine 2-Klick-Lösung für Webseiten gefordert. Im Folgenden möchte ich kurz auf die Vorteile des Share Plugins eingehen aber auch auf die aktuelle Diskussion zum Thema „2-Klick-Lösung“ eingehen.

Warum sollte man ein Share Plugin einsetzen?

Webseiten-Besucher können interessante Inhalte schnell und einfach in alle relevanten sozialen Netzwerke teilen. Der Content kann sich so schnell viral verbreiten, was zu steigenden Nutzerzahlen auf dem eigenen Angebot führt. Da aber niemand eine Vielzahl unterschiedlicher Icons auf der eigenen Seite unterbringen möchte, sind verschiedene Unternehmen auf die Idee gekommen diese Buttons hinter einem „Teilen“-Button zusammenzufassen. Als Mehrwert steht dem Nutzer oft eine Multisharing-Option zur Verfügung, die so das mehrfache Anklicken verschiedener Buttons auf wenige Klicks reduziert.

Datenschutz und 2-Klick-Lösung

Wir möchten uns an dieser Stelle nicht an der aktuellen Diskussion zum Thema beteiligen aber im Sinne des  §3a BDSG sorgt eine 2-Klick-Lösung für eine Datensparsamkeit was die Sammelleidenschaft von Facebook & Co. betrifft. Wer sich selber mit dem Thema beschäftigen möchte, dem empfehlen wir ein paar Links um weiter in das Thema einzusteigen:

Datenschutz bei Facebook

Mitte März hat das Landgericht Berlin (Urt. v. 06.03.2012, Az. 16 O 551/190) die zentralen Nutzungs- und Datenschutzbedingungen des sozialen Netzwerks Facebook für mit deutschem Recht unvereinbar erklärt. In der Kritik der Berliner Richter steht zum einen der umstrittene „Freundefinder“ als auch die vereinfachte Weitergabe von Nutzerdaten an die Werbewirtschaft.

Kritikpunkt 1: Der „Freundefinder“

Im ersten Teil des Urteils kritisierte das Landgericht die mittlerweile geänderte „Freundefinder“-Funktion von Facebook. Mit ihr erlauben die Nutzer Facebook auf ihre Adressbücher von E-Mail-Konten oder Handys zuzugreifen und diesen Kontakten Einladungen zu senden. Wenig überraschend entschied das LG Berlin, dass es sich bei diesen Einladungen um Werbung handelt und diese nur mit Einwilligung der Empfänger versenden werden dürfen.

Kritikpunkt 2: Verwendung der Nutzerprofile für Werbezwecke

Weitaus bedeutsamer erscheint jedoch der zweite Teil des Urteils. Es betrifft im Kern das Geschäftsmodell von Facebook. Mitglieder werden zu optimalen Werbeempfängern gemacht. Dazu gibt Facebook seinen Nutzern die Möglichkeit möglichst viel über sich preis zu geben, wie z.B. Texte, Bilder und Videos auf der Plattform zu veröffentlichen. Mit den so gewonnenen Informationen kann Facebook Nutzerprofile ihrer Mitglieder erstellen. Diese Nutzerprofile sind für die Werbewirtschaft sehr wertvoll. Sie können für sog. Targeted Advertising verwendet werden, also zielgerichtetes, auf bestimmte Typen von Konsumenten und deren Verhalten abgestimmte Werbung. Um die Daten der Nutzer verwenden zu dürfen, muss Facebook sich jedoch das Einverständnis von diesen einholen. Dazu lässt Facebook sich in seinen Allgemeinen Geschäftsbedingungen die Nutzerrechte an allen Inhalten, Bildern und Videos sowie das Recht, diese für zielgerichtete Werbung zu verwenden, einräumen.

Momentan lässt sich Facebook dieses Recht von ihren Nutzern noch durch einen einfachen Klick einräumen. Bei der Anmeldung taucht lediglich der Hinweis auf:

„Wenn Du auf Registrieren klickst, akzeptierst du unsere Nutzungsbedingungen und erklärst unsere Datenverwendungsrichtlinien gelesen und verstanden zu haben.“

Urteil des Landgerichts Berlin

Das Landgericht Berlin stellt in seinem Urteil fest, dass eine derart einfache Rechtsübertragung unwirksam ist. Die Nutzer von Facebook müssen deutlicher darauf hingewiesen werden, welche Rechte sie Facebook einräumen und dazu aktiv ihre Zustimmung geben. Die Nutzung von Facebook ist zwar kostenlos, was jedoch nicht bedeutet, dass sie ohne Gegenleistung ist. Diese Gegenleistung, also die Abgabe von Rechten an eigenen Daten, muss für den Nutzer klar erkennbar sein.