DSGVO Zertifizierung – ein langer Weg! (und nicht immer aus der Abteilung “Lug und Trug”)

Zertifikate sind als “externes Prüfsiegel” ein guter Weg um Vertrauen zu generieren und Verlässlichkeit nach festgelegten Standards zu belegen. Der Weg ist oft weit und manchmal steinig um ein Zertifikat zu erlagen. Es wird sich auch im Datenschutz lohnen, wenn das Vorhandensein von Zertifikaten mehr und mehr zur “Einkaufsbedingung” wird. Und, es erleichtert auch die Auswahl der eigenen Dienstleister und Partner!

Schöne Grüße, Ihr Stephan Frank
SFC | Stephan Frank Consulting

HINWEIS: Der Text stammt nicht direkt von mir / diesem Projekt. Das Original finden Sie hier: DSGVO Zertifizierung – ein langer Weg!

DSGVO Zertifizierung – ein langer Weg!

Zertifikate bieten Sicherheit und Vertrauen. Sie ermöglichen einen schnellen, ersten Vergleich zwischen Unternehmen. In vielen Bereichen werden regelmäßig Zertifikate vergeben. Obwohl auch die DSGVO ausdrücklich ein Zertifizierungsverfahren vorsieht, lassen die DSGVO-Zertifikate bisher noch auf sich warten.

Chancen und Auswirkungen einer DSGVO Zertifizierung

Durch die Erlangung eines DSGVO-Zertifikats beweist ein Unternehmen, dass es bestimmte datenschutzrechtliche Anforderungen erfüllt.

Vorteile der Zertifizierung

Gemäß Art. 42 Abs. 1 DSGVO obliegt es den Mitgliedstaaten, Aufsichtsbehörden und dem Ausschuss der Europäischen Kommission, insbesondere auf Unionsebene, die Einführung von datenschutzspezifischen Zertifizierungsverfahren zu fördern. Die Vorteile einer Zertifizierung sind im Erwägungsgrund 100 treffend zusammengefasst: Mittels Zertifizierungen wird die Transparenz gefördert, die Einhaltung der DSGVO verbessert und ein rascher Überblick über das Datenschutzniveau einschlägiger Produkte und Dienstleistungen geschaffen.

Durch Zertifizierungen gelingt es Unternehmen die Einhaltung der DSGVO für bestimmte Verarbeitungsvorgänge nachzuweisen und somit ihren Marktwert zu steigern. Da sich die Zertifizierung immer nur auf Verarbeitungstätigkeiten bezieht, kann durch sie jedoch nicht eine umfassende DSGVO-Konformität für ein Unternehmen bestätigt werden.

Rechtliche Konsequenzen einer Zertifizierung

Eine Zertifizierung begründet ein Vertragsverhältnis zwischen der Zertifizierungsstelle bzw. der Aufsichtsbehörde und dem zertifizierten Unternehmen. Neben der Verpflichtung eines Unternehmens sich im Allgemeinen an die Anforderungen der DSGVO zu halten, ist ein zertifiziertes Unternehmen ebenso verpflichtet die Anforderungen der Zertifizierung für die vorgesehene Dauer einzuhalten.

Ein Zertifikat ermöglicht es dem Verantwortlichen seine Nachweis- und Rechenschaftspflichten (Art. 24 Abs. 3, 5 Abs. 2 DSGVO) zu erfüllen oder dem Auftragsverarbeiter ein „Faktor“ vorzulegen, um hinreichende Garantien für eine ordnungsgemäße Durchführung einer Auftragsverarbeitung (Art. 28 Abs. 5 DSGVO) nachzuweisen. Auch bei der Festlegung der Höhe einer Geldbuße kann eine Zertifizierung Berücksichtigung finden (Art. 83 Abs. 2 lit. j DSGVO)

Ablauf eines Zertifizierungsverfahrens

Der Ablauf eines Zertifizierungsverfahrens ist sehr komplex und wird in Art. 42 und 43 DSGVO geregelt. Die Erteilung einer Zertifizierung erfolgt durch die Zertifizierungsstelle oder durch die zuständige Aufsichtsbehörde. In Deutschland werden die Zertifizierungsstellen von der deutschen Akkreditierungsstelle (DAkkS) akkreditiert und kontrolliert. Die Kriterien nach welchen eine Zertifizierung erteilt wird, werden von der zuständigen Aufsichtsbehörde oder dem EDSA genehmigt.

Eine bereits erteilte Zertifizierung wird regelmäßig überprüft und kann ggfs. widerrufen werden. Die Dauer einer Zertifizierung beträgt maximal drei Jahre. Eine Möglichkeit zur Verlängerung besteht immer dann, wenn die einschlägigen Kriterien weiterhin erfüllt sind.

Aktuelle Entwicklungen

Der europäische Datenschutzausschuss (EDSA) hat im Juni 2019 „Leitlinien 1/2018 zur Zertifizierung und zur Ermittlung von Zertifizierungskriterien gemäß Artikel 42 und 43 der Verordnung“ veröffentlicht. Die Leitlinien erläutern die Rollen am Zertifizierungsverfahren Beteiligten und legt Anforderungen und Kriterien für die Erteilung einer Zertifizierung fest.

Vor der DSGVO bestand auf Landesebene teilweise die Möglichkeit einer datenschutzrechtlichen Zertifizierung. Insbesondere die Datenschutzbehörde in Schleswig-Holstein (ULD) bot in der Vergangenheit die Möglichkeit einer Zertifizierung an. Seit Anwendbarkeit der DSGVO heißt es nun, dass geprüft werde, inwieweit eine Zertifizierung nach der DSGVO angeboten werden kann. Bisher gibt es in Deutschland noch keine Zertifizierungsstellen und noch keine DSGVO-Zertifikate i.S.v. Art 42 DSGVO, dies gilt auch für die Zertifizierung nach der ISO 27701 Norm.

Das ULD leitet aber auch seit der Anwendbarkeit der DSGVO weiterhin den Arbeitskreis Zertifizierung (AK Zertifizierung) der deutschen Datenschutzaufsichtsbehörden. In seinem Tätigkeitsbericht informierte man jüngst über dessen Arbeit und den Problemen bei der europäischen Koordination beim Verabschieden der Akkreditierungsregeln.

Ein langer Weg

Das Verfahren für die Erteilung von Zertifikaten ist sehr komplex. Insbesondere die Festlegung der Kriterien für die Zertifizierung ist äußerst zweischneidig. Einerseits müssen diese von Beginn an unmissverständlich und eindeutig sein und auf der anderen Seite noch genügend Flexibilität bieten, damit verschiedene Branchen und Unternehmen die Kriterien erfüllen können. Eine weitere Herausforderung stellen EU-weite Zertifizierungen dar, weil hier teilweise auch nationale Besonderheiten berücksichtigt werden müssen.

Sobald es für Unternehmen möglich ist, DSGVO-Zertifikate zu erlangen, wird sich zeigen, wie viele Unternehmen die datenschutzrechtlichen Anforderungen schon soweit implementiert haben, dass Ihnen ein Zertifikat tatsächlich erteilt wird. Für die Abgrenzung zu anderen Marktteilnehmern ist der Erhalt eines Zertifikats eine gute Möglichkeit.


Gefällt Ihnen der Beitrag?
Dann unterstützen Sie uns doch mit einer Empfehlung per:
TWITTER   FACEBOOK   E-MAIL   XING
Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN


© www.intersoft-consulting.de

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprünglich von: Dr. Datenschutz (Info leider im Original-Beitrag ggf. nicht enthalten) und natürlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht’s zum Original: DSGVO Zertifizierung – ein langer Weg!.

Big Data und die Probleme beim Datenschutz

Liebe Leser! Diesen Artikel finde ich sehr interessant und lesenswert. Viel Spaß beim Lesen!

Schöne Grüße, Ihr Stephan Frank
SFC | Stephan Frank Consulting

HINWEIS: Der Text stammt nicht direkt von mir / diesem Projekt. Das Original finden Sie hier: Big Data und die Probleme beim Datenschutz

Big Data und die Probleme beim Datenschutz

Dieser Beitrag zeigt auf, dass die uneingeschränkte Sammelwut von Daten, Unternehmen auch in Zeiten von Big Data keine Vorteile bringt, sondern vielmehr auch mit Problemen beim Datenschutz verbunden ist.

Big Data und die Sammelwut

Viele verbinden mit Big Data den Begriff Industrie 4.0 und den Spruch: Daten sind das neue Gold. Das mag sein, soweit die gesammelten und ausgewerteten Daten als Grundlage für Entscheidungsprozesse dienen können oder sogar die Möglichkeit bieten, die Geschäftsfelder von morgen zu erkennen. Dies ist aber nicht immer der Fall.

Definition von Big Data

Unter Big Data versteht man eine Unmenge aus unstrukturierten Daten, die mit herkömmlichen IT-Technologien nicht mehr beherrschbar ist. Aus dieser Datensammlung wird mit Hilfe der vier Dimensionen

  • Volume (Datenvolumen)
  • Variety (Bandbreite an Datensourcen und Datentypen)
  • Veracity (Echtheit der Daten)
  • Velocity (Geschwindigkeit)

feingranulare Information gezogen. Algorithmen durchsuchen, analysieren und visualisieren die gewaltigen Datenmengen, um dadurch Antworten auf Fragen zu erhalten, die u.U. zuvor so noch gar nicht gestellt wurden, weil dies nicht möglich war.

Aus Big Data wird Smart Data

Läuft alles optimal, wird aus Big Data durch intelligente Verarbeitung mit dem Einsatz semantischer Technologien Smart Data. Mittels Smart Data kann die Geschwindigkeit und die Qualität der Entscheidungsgrundlagen erheblich verbessert werden, d.h. man erhält zeitnah (Echtzeit) ein geprüftes Wissen oder validiertes Ergebnis in Bezug auf die hinter der Abfrage stehende Fragestellung. Der Unternehmer erfährt mittels Smart Data also bestenfalls nicht nur, was in seinem Unternehmen passiert, sondern auch warum etwas passiert oder was demnächst passieren könnte. Allerdings ist das nur dann der Fall, wenn die auszuwertenden Daten für die Fragestellung nutzbar und geeignet sind, Ergebnisse zu liefern.

Allein schon aus diesem Zusammenspiel von Big Data und Smart Data wird klar, dass die reine unsystematische Datensammlung nichts bringt.

Probleme von Big Data

Die Probleme bei der Anwendung von Big Data liegen auf der Hand:

  1. Kosten der Sammelwut
    Das Speichern der Datenmasse führt nicht nur zu einem hohen CO2-Ausstoss, sondern verursacht auch letztendlich hohe Stromkosten, Kosten für die Speichermedien und die IT-Betreuung. Abgesehen von den rechtlichen Problemen und Bußgeldern, die bei einer unrechtmäßigen Datenverarbeitung, erheblich zu Buche schlagen.
  2. Keine passgenauen Antworten auf drängende Fragestellungen
    Viel hilft viel, kostet ja nichts, denkt sich der Sammelwütige! Oftmals weiß er noch nicht einmal, ob er die Daten jemals nützen wird und wofür. Die Analyse inhaltlich nicht zusammenhängender Daten kann auch keine sinnhaften Ergebnisse liefern.
  3. Kenntnis über die vorhandenen Daten
    Die fleißigen Datensammler speichern Unmengen von Daten, die nicht genutzt werden. Es gilt der alte Grundsatz: Aus den Augen aus dem Sinn! Zuerst belegen die Daten ungenutzt die Speichermedien und irgendwann weiß man gar nicht mehr, dass man sie hat, d.h. sie werden zu Dark Data. So nennt man die Daten, die nur noch beschränkt nutzbar sind. Es kann nicht mehr vollständig auf diese zugegriffen werden, weil das Speichermedium nicht mehr gelesen werden kann (bspw. Diskette) oder weil sich keiner mehr an diese dunklen Daten erinnert.
  4. Datenschutz bei Big Data
    Diese Fragestellung ist wohl die Wesentlichste von allen. Denn auch wenn Dark Data nicht mehr gelesen werden können oder man nicht weiß, dass man die Daten besitzt, so sind diese doch von datenschutzrechtlicher Relevanz.

Vorgaben aus dem Datenschutz bei Big-Data-Anwendungen

Bei Big-Data-Anwendungen sind einige Vorgaben in Bezug auf den Datenschutz zu beachten. Im Wesentlichen sind dies Folgende:

  • Datenminimierung
    Anders als Smart Data berücksichtigt die blinde Sammelleidenschaft bei Big Data, die wahllos Daten ermittelt nicht den Datenminimierungsgedanken aus Art. 5 Abs. 1 lit. c DSGVO i.V.m. Art. 8 Abs. 2 EU-Grundrechtscharta. Mit anderen Worten Big Data ist grundsätzlich eine unzulässige Vorratsdatenspeicherung.
  • Zweckbindung
    Teilweise werden die Daten ermittelt, ohne damit konkret einen Zweck zu verfolgen (nur zur Sicherheit für alle Fälle!), so dass auch ein Verstoß gegen Zweckbindungsgrundsatz aus Art. 5 Abs. 1 lit. b DSGVO gegeben ist.
  • Rechtsgrundlage / Einwilligung
    Zu beachten ist auch, dass wenn die Daten ursprünglich aufgrund einer Rechtsgrundlage erhoben wurden und dann mit Big Data oder Smart Data für einen anderen Zweck verwendet werden, soweit es sich nicht um eine privilegierte Verarbeitung handelt, wie z.B. Forschung gem. Art. 5 Abs. 1 lit.b 2. HS i.V.m. Art. 89 Abs. 1 DSGVO, eine Zweckänderung gem. Art. 6 Abs. IV DSGVO vorliegt. In diesem Fall muss eine Rechtsgrundlage oder Einwilligung der betroffenen Person gegeben sein. Schwierig dürfte es auch werden, die betroffene Person über die Zweckänderung gem. Art. 13 Abs. 3 DSGVO zu informieren sowie ggf. deren Einwilligung für den neuen Zweck einzuholen.
  • Dokumentation
    Darüberhinaus sind im Verarbeitungsverzeichnis entsprechende Prozesse und die Datenverarbeitungen auch in der Datenschutzerklärung anzuführen.

Was wäre aus der Sicht des Datenschutzes noch zu berücksichtigen?

Niemand soll an seiner Sammelleidenschaft gehindert werden – aber weniger ist oft mehr. Gerade im Hinblick auf mögliche Bußgelder und den oftmals geringen Nutzen der Daten insbesondere, wenn diese überhaupt nicht genutzt werden. Wichtiger wäre es, ganz bewusst für spezifische Fragestellungen konkrete Datengruppen zu erheben und dabei auch gleich an das Löschen zu denken.

Die Aufschieberitis in Bezug auf das Löschen ist in den Unternehmen fast so groß wie deren Sammelleidenschaft. Entscheidend für das erfolgreiche Löschen sind organisatorisch klare Zuständigkeiten. Es sollte eine Person geben, die auch die Entscheidung zum Löschen trifft und regelmäßig die Datenbestände kontrolliert. Daneben kann flankierend eine IT-Unterstützung im Datenmanagement herangezogen werden. Die Haltung, dass man sich erst im späteren Verlauf der Datenverarbeitung Gedanken zum Löschen macht, ist weit verbreitet. Sich von etwas zu trennen ist hart, ein bestehendes Löschkonzept erleichtert das und ist im Hinblick auf Big Data unerlässlich.


Gefällt Ihnen der Beitrag?
Dann unterstützen Sie uns doch mit einer Empfehlung per:
TWITTER   FACEBOOK   E-MAIL   XING
Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN


© www.intersoft-consulting.de

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprünglich von: Dr. Datenschutz (Info leider im Original-Beitrag ggf. nicht enthalten) und natürlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht’s zum Original: Big Data und die Probleme beim Datenschutz.

Bundesdatenschutzbeauftragter warnt vor WhatsApp-Nutzung

Liebe Leser! Der Bundesdatenschutzbeauftragte ist eindeutig in seiner Lesart, für eine Behörde ist die Verwendung von WhatsApp ausgeschlossen. Die Kritikpunkte gelten sachlich für uns alle im Datenschutz. Dieser Artikel ist deshalb sehr interessant und lesenswert. Viel Spaß beim Lesen!

Schöne Grüße, Ihr Stephan Frank
SFC | Stephan Frank Consulting

HINWEIS: Der Text stammt nicht direkt von mir / diesem Projekt. Das Original finden Sie hier: Bundesdatenschutzbeauftragter warnt vor WhatsApp-Nutzung

Bundesdatenschutzbeauftragter warnt vor WhatsApp-Nutzung

Kein Messenger-Dienst ist so ein integrierter Bestandteil unseres Alltags geworden wie WhatsApp. Selbst aus unserem Berufsleben ist es nicht mehr wegzudenken ist. Das führt natürlich dazu, dass WhatsApp stets datenschutzrechtlich ein heißes Thema bleibt. Erst recht, wenn Deutschlands oberster Datenschützer eine Mitteilung macht.

Bundesdatenschutzbeauftragter wird deutlich

Am vergangenen Sonntag machte der Bundesdatenschutzbeauftragte, Ulrich Kelber, selten so deutlich, was er von WhatsApp hält. In einem Rundschreiben an alle Bundesministerien und -behörden teilt er unmissverständlich mit,

„dass der Einsatz von WhatsApp für eine Behörde ausgeschlossen ist.“

Sicherheitsrisiko WhatsApp

Der Konflikt zwischen deutschen Datenschützern und WhatsApp ist mittlerweile schon historisch gewachsen. Der Umstand, dass früher mit dem Messenger Daten an den Mutterkonzern Facebook übertragen wurden, hat zu einem juristischen Duell mit dem Unternehmen geführt. Die Sorge, dass Facebook oder Dritte die Nachrichten lesen, versendete Bilder und Videos abgreifen und auswerten können, konnte nie ganz verschwinden. Auch nicht, wenn WhatsApp für Sicherheit gesorgt hat oder zumindest versucht hat zu sorgen.

Die Kommunikation über WhatsApp ist von Ende-zu-Ende verschlüsselt. Darunter versteht man die Verschlüsselung übertragener Daten über alle Übertragungsstationen hinweg. Durch die Verschlüsselung soll das Mitlesen der Nachricht durch alle anderen, inklusive der Telekommunikationsanbieter, Internetprovider und sogar der Anbieter der genutzten Kommunikationsdienste, verhindert werden. Auch Strafverfolgungsbehörden haben dann keinen Zugriff mehr. Ausschließlich die jeweiligen Endpunkte der Kommunikation, Max und Moritz zum Beispiel, können die Nachricht entschlüsseln. So zumindest die Theorie.

Wie sicher ist die Verschlüsselung?

Gebräuchliche Technik für Ende-zu-Ende-Verschlüsselung ist zum Beispiel OpenPGP und S/MIME bei E-Mail-Verkehr, das Signal-Protokoll, OTR und OMEMO bei Chat-Verkehr, sowie ZRTP/SRTP bei Audio-/Video-Chats und SIP-Telefonie. Doch reicht diese Tatsache tatsächlich dazu aus, um sich mit der Anwendung sicher zu fühlen? Werden wirklich keine Daten übertragen?

Aus Sicht des Bundesdatenschutzbeauftragten ist die Antwort klar: es werden trotzdem Daten übertragen! In seinem Rundschreiben führt er aus, man müsse nicht nur davon ausgehen, dass WhatsApp bei jeder Nachricht Metadaten erhebt, sondern diese auch an den Mutterkonzern Facebook weitergegeben werden: „Die Metadaten tragen, wenn auch nur als kleiner Mosaikstein, zur verstärkten Profilbildung bei“, so Kelber an die Behörden. Aus seiner Sicht reicht es aus, dass so beispielsweise durch Art der Behörde und Häufigkeit der Kommunikation sensible Rückschlüsse möglich werden.

Zu besagten Daten gehören etwa folgende:

  • IP-Adresse
  • Standortdaten
  • Informationen über das Smartphone und dessen Betriebssystem

Es geht also auch hier um personenbezogene Daten.

WhatsApp widerspricht

Natürlich widerspricht der Messenger-Dienst:

„WhatsApp kann keine Nachrichten lesen, da diese standardmäßig durchgehend verschlüsselt sind.“

Die Antwort ist nicht nur recht knapp. Sie geht auch nicht wirklich auf die Äußerungen des Bundesdatenschutzbeauftragten ein. In dessen Kritik ging es nämlich um die unverschlüsselten Metadaten, die automatisiert ausgewertet werden können und welche Rückschlüsse auf die Inhalte sowie Kommunikationspartner und -netzwerke zulassen. Konkret auf die Weiterleitung von Metadaten angesprochen führte das Unternehmen dann weiter aus:

„WhatsApp gibt keine Metadaten von Nutzern an Facebook weiter, um den Aufbau von Profilen zu unterstützen oder auf andere Art Facebooks Produkte oder Werbung zu verbessern.“

Mehr als diese knappen Statements gibt es nicht. Diese reihen sich aber dafür in das bisherige Stellungnahmemuster des amerikanischen Unternehmens ein. Allen Statements ist gemein, dass sie datenschutzrechtliche Bedenken schlicht abtun ohne dabei Transparenz anzubieten.

Datenschutz muss auf dem Radar bleiben

Datenschutzrechtliche Bedenken im Zusammenhang mit WhatsApp oder Facebook sind so sicher wie das Amen in der Kirche. Dennoch sollte man sich nicht einfach nur damit abfinden und stets sensibilisiert bleiben. Vor allem dann, wenn wie in der Corona-Krise, man dazu verleitet wird einfacher und schneller mit einander zu kommunizieren, weil der direkte persönliche Kontakt fehlt. Gesundheit steht über allem. Eine möglichst schnelle und sichere Rückkehr zu den Zuständen, wie sie vor Corona bestanden haben, ist zu priorisieren. Der Datenschutz sollte aber dabei nicht völlig auf der Strecke bleiben. Durch sein Rundschreiben hat Ulrich Kelber sicherlich dafür gesorgt, dass wir weiterhin sensibilisiert bleiben.


Gefällt Ihnen der Beitrag?

Dann unterstützen Sie uns doch mit einer Empfehlung per:
TWITTER FACEBOOK E-MAIL XING

Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN


© www.intersoft-consulting.de

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprünglich von: Dr. Datenschutz (Info leider im Original-Beitrag ggf. nicht enthalten) und natürlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht’s zum Original: Bundesdatenschutzbeauftragter warnt vor WhatsApp-Nutzung.

DSGVO: Gästelisten in der Gastronomie zu Zeiten der Corona-Pandemie

Liebe Leser! Diesen Artikel finde ich sehr interessant und lesenswert. Viel Spaß beim Lesen!

Schöne Grüße, Ihr Stephan Frank
SFC | Stephan Frank Consulting

HINWEIS: Der Text stammt nicht direkt von mir / diesem Projekt. Das Original finden Sie hier: DSGVO: Gästelisten in der Gastronomie zu Zeiten der Corona-Pandemie

DSGVO: Gästelisten in der Gastronomie zu Zeiten der Corona-Pandemie

Zugegeben: Der Gastronomie-Sektor war bislang kein typischer Kunde für Datenschutzbeauftragte. Vielleicht ändert sich dies aber, wenn mit Corona die Gastwirte zunehmend zur Datenverarbeitung durch den Staat genötigt werden. Hier ein kleiner Guideline für Gastwirte, was Sie beim Anlegen von Gästelisten zu beachten haben.

Welche Daten sollen Gastwirte verarbeiten?

Die Bundesländer haben nach Art. 70 Abs. 1 GG die Gesetzgebungskompetenz im Bereich der Gaststätten. Im Rahmen von Verordnungen regulieren diese daher nun, unter welchen Voraussetzungen Gastbetriebe trotz der weiterhin herrschende Corona-Pandemie wieder öffnen dürfen. Folgende Themen werden u. a. reguliert:

  • Tragepflicht von Behelfsmasken und sonstige Mundbedeckungen
  • Abstandsregelungen innerhalb der Räumlichkeiten
  • Anzahl an Haushalten, die zusammen an einem Tisch sitzen dürfen
  • zulässige Öffnungszeiten.

Die oben aufgezählten Bereiche waren wohl vorherzusehen. Folgende Regelungen wie in § 2 Abs. 3 Corona-Gaststätten Verordnung Baden-Württemberg wird jedoch so manch einen Gaststättenbetreiber überrascht haben:

„Der Betreiber hat, ausschließlich zum Zweck der Auskunftserteilung gegenüber dem Gesundheitsamt oder der Ortspolizeibehörde nach §§ 16, 25 IfSG, die folgenden Daten bei den Gästen zu erheben und zu speichern:

  1. Name und Vorname des Gastes,
  2. Datum sowie Beginn und Ende des Besuchs, und
  3. Telefonnummer oder Adresse des Gastes.

Die Gäste dürfen die Gaststätte nur besuchen, wenn sie die Daten nach Satz 1 dem Betreiber vollständig und zutreffend zur Verfügung stellen. Diese Daten sind vom Betreiber vier Wochen nach Erhebung zu löschen. Die allgemeinen Bestimmungen über die Verarbeitung personenbezogener Daten bleiben unberührt.“

Ist die Datenerhebung verpflichtend oder freiwillig?

Die konkreten Regulierungen unterscheiden sich in den einzelnen Bundesländern erheblich (eine Übersicht finden Sie z.B. bei der DEHOGA). Manche Bundesländer haben unmissverständlich eine Pflicht zur Datenerhebung normiert, so z. B. Baden-Württemberg, Hamburg oder Hessen. Manche Bundesländer wie Brandenburg schweigen hierüber.

Und andere Bundesländern sind in ihrer Formulierung leider nicht ganz so eindeutig. So heißt es in § 9 Abs. 1 Nr. 1 Dritte Corona Verordnung des Landes Bremen:

„Die Betreiberin oder der Betreiber hat den Namen und die Kontaktdaten jedes Gastes sowie den Zeitpunkt des Betretens und Verlassens der Einrichtung zu dokumentieren und drei Wochen aufzubewahren; ein Gast darf nur bedient werden, wenn er mit der Dokumentation einverstanden ist;“

Ein Einverständnis suggeriert ja, dass der Gast eine Wahl hätte, sodass man von einer datenschutzrechtlichen Einwilligung als Rechtsgrundlage ausgehen könnte. Wenn die Bewirtung aber wiederum nur erfolgt, wenn der Gast zustimmt, dann hat man mit der Freiwilligkeit doch wieder seine Bauchschmerzen. Auch Bayern hat in seinem Hygiene-Konzept lediglich von einer Soll-Formulierung Gebrauch genommen, sodass auch hier ein gewisser Interpretationsspielraum besteht. Hier wären eindeutige Formulierungen für die Gastronomen sicherlich hilfreich.

Wie werden die Daten erhoben?

Leider hat es die Regierung versäumt, den Gastwirten neben diesen gesetzlichen Auflagen auch eine Guideline an die Hand zu geben, wie man diese Informationen datenschutzkonform verarbeitet. So sieht und liest man einige Umsetzungen, die für den Datenschützer das Haar in der Suppe sind.

Der Gastwirt denkt verständlicherweise pragmatisch und will eine schnelle Lösung dieser Aufgabe. Also druckt er sich eine Tabelle aus und legt diese aus, damit die Gäste selbständig ihre Daten eintragen können. Der Umwelt zuliebe möchte man natürlich Papier sparen und die Tabellen sind dann besonders lang, sodass 20 Gäste und mehr sich eintragen können.

Manch ein Gastwirt will den Papierberg gänzlich vermeiden und digital arbeiten. Also lässt er den Personalausweis von den Gästen mit einem Smartphone fotografieren, welches im Optimalfall ein separates Dienstgerät ist. So kann er auch sichergehen, dass die vom Gast angegebenen Daten korrekt sind.

Dem Gastwirt kann man hier aber keinen Vorwurf machen, denn woher sollte er dies wissen. Zwar schützt Unwissenheit grundsätzlich nicht vor Rechtsverfolgung. Allerdings kann man nicht erwarten, dass sich eine ganze Berufsgruppe von heute auf morgen über all die verschiedenen Problematiken eines Rechtsgebietes auseinandersetzt, mit dem es in der Vergangenheit sonst kaum Berührungspunkte hatte. Dem Gastwirt steht auch in der Regel kein Datenschutzbeauftragter, -koordinator oder sonstiger Jurist zur Verfügung, der für ihn schnell die rechtlich zulässigen Handlungsmöglichkeiten ermitteln kann.

Insoweit wäre es wünschenswert gewesen, wenn alle Bundesländer an dieser Stelle ihre Pflicht zur Aufklärung erkannt und entsprechende Informationen zur Verfügung gestellt hätte. Bisweilen gibt es von den Aufsichtsbehörden nur Handreichungen und Hinweise in folgenden Bundesländern:

  • Hamburg (Unter dem Punkt: Verarbeitung personenbezogener Covid-19-Daten durch den stationären Handel und Unternehmen mit Publikumsverkehr)
  • Hessen
  • Mecklenburg-Vorpommern (Unter dem Punkt: Cafés, Restaurants und weitere Gastronomiebetriebe)
  • Niedersachsen
  • Nordrhein Westfalen
  • Rheinland-Pfalz (Unter dem Punkt: Was haben Gaststättenbetreiber und ähnliche Betriebe bei der Wiederöffnung datenschutzrechtlich zu beachten?)
  • Saarland
  • Schleswig-Holstein

Grundsätzlich sollten sich Betriebe zunächst nach den Handreichungen ihrer zuständigen Aufsichtsbehörde richten.

Was gilt es bei den Gästelisten zu beachten?

Der nachfolgende Guideline soll allen Gastwirten helfen, deren Aufsichtsbehörde keine konkreten Vorgaben gemacht haben, ihren Verarbeitungsprozess kritisch überprüfen zu können und datenschutzkonform zu gestalten:

1. Erhebe nur so viele Informationen, wie dies gesetzlich gefordert ist

Die Grundsätze der Zweckbindung und Datenminimierung aus Art. 5 Abs. 1 DSGVO sind wesentliche Säulen im Datenschutzrecht. Die einzelnen Verordnungen der Bundesländer benennen konkret, welche Informationen die Gastwirte erheben müssen. Diese legitimieren die Datenerhebung, sodass Art. 6 Abs. 1 S. 1 lit. c DSGVO als Rechtsgrundlage grundsätzlich greift. Wenn der Gastwirt noch weitere Informationen zu eigenen Zwecken erhebt, muss er dies dem Gast kenntlich machen und auch eine separate Rechtsgrundlage hierfür aufweisen (z. B. Einwilligung oder überwiegend berechtigte Interessen). Andernfalls bewegt sich der Wirt sehr schnell im rechtswidrigen Bereich.

2. Reservierungen können die Datenerfassung erleichtern

Soweit Gäste ihren Restaurantbesuch im Voraus reservieren, können hier schon die Daten erhoben werden, umso Zeit vor Ort zu sparen. Insbesondere über Buchungsapps oder über Webformulare, die in der eigenen Webseite integriert sind, kann dieser Arbeitsschritt digital erfasst werden und so wertvolle Zeit des eigenen Personals eingespart werden. Falls Gastwirte diese digitale Arbeitserleichterung noch nicht für sich entdeckt haben, lohnt sich jetzt auf jeden Fall ein zweiter Blick darauf. Allerdings müssen auch hier die technische Lösung und insbesondere der Drittanbieter sorgfältig ausgewählt werden. Folgende Kriterien gilt es u. a. zu prüfen:

  • Ist die Datenübermittlung durch eine Ende-zu-Ende Verschlüsselung geschützt?
  • Wo werden die Daten gespeichert?
  • Behält sich der Drittanbieter eine eigene Nutzung der Daten vor (insbesondere eine Weitergabe der Daten an Dritte)?
  • Wie lange werden die Daten gespeichert?

3. Vorzeigen des Personalausweises ist okay, Fotokopien anlegen grundsätzlich nicht

Früher hat so manch ein Gast gerne unter einem Pseudonym seinen Platz reserviert. Damit der Wirt seine gesetzliche Pflicht erfüllen kann, muss er aber nun die wahre Identität seiner Gäste erfragen. Hierzu kann er sich auch den Personalausweis vorlegen lassen. Aber Vorsicht beim Fotografieren! Der Personalausweis enthält eine Reihe weiterer Informationen, die der Wirt nicht benötigt, sodass deren Verarbeitung datenschutzrechtlich problematisch ist (siehe auch den Beitrag zum Personalausweis). Es sollte daher gänzlich von Fotokopien der Personalausweise abgesehen werden.

Wenn man hierauf nicht verzichten will, dann ist einerseits mit Hilfe einer Schablone, die man über den Ausweis legt, zu gewährleisten, dass nur die erforderlichen Informationen erfasst werden. Andererseits sollten die Fotografien nicht mit einem privaten Smartphone o. Ä. erhoben und gespeichert werden.

4. Schütze die Informationen vor unberechtigten Zugriffen

Das Auslegen einer auszufüllenden Tabelle birgt zweierlei Risiken. Einerseits ist der eingesetzte Kugelschreiber ein ideales Übertragungsmedium für den Corona-Virus und müsste daher nach jeder Benutzung desinfiziert werden. Andererseits erhalten die nachfolgenden Gäste in unberechtigter Weise Zugang zu den Informationen der vorherigen Gäste. Im schlimmsten Falle fotografieren sie diese Liste und nutzen die Kontaktdaten zu eigenen Zwecken aus.

Der Gastwirt trägt die Pflicht dafür Sorge zu tragen, dass sowas nicht passiert und muss daher entsprechende Vorkehrungen treffen. Wenn die Gäste ihre Informationen in einer langen Tabelle eintragen, dann darf diese Sammeltabelle nicht unbewacht herumliegen. Ein Mitarbeiter sollte insoweit die Aufsicht übernehmen, um ggf. eingreifen zu können. Noch besser ist es, wenn die Mitarbeiter selber die Gästelisten führen.

Auch innerhalb der Organisation ist zu prüfen, wie und wo die Gästelisten aufbewahrt werden und welche Mitarbeiter Zugang zu denen haben sollten.

5. Erstelle ein Informationsblatt für die Gäste

Der Gastwirt muss auch hier seine Informationspflichten aus Art. 12 ff. DSGVO erfüllen. Hierzu bietet sich die Erstellung eines Informationsblattes an, welches zentral an der Bartheke oder an einem anderen für den Gast leicht einsehbaren Bereich ausliegt, sodass diese jederzeit nachlesen können. Wenn das Informationsblatt laminiert wird, kann es besonders lange verwendet werden. Folgende Fragen sollten beantwortet werden:

  • Welche Daten werden erhoben?
  • Warum werden diese Daten erhoben?
  • Wie lange werden diese Daten gespeichert?
  • Welche Rechte haben die Gäste als betroffenen Personen?

Soweit ein Restaurant über eine Webseite verfügt, sollte insbesondere die letzte Frage bereits in der Datenschutzerklärung beantwortet sein, sodass deren Text an dieser Stelle übernommen werden kann. (Unterstützung bei dem Erstellen der Datenschutzhinweise bietet z.B. der Datenschutz Generator des Kollegen Thomas Schwenke) Hinsichtlich der zweiten Frage kann ein Gastwirt dies leicht beantworten, wenn er in der jeweils für ihn geltenden Verordnung eine Pflicht zur Datenerhebung normiert ist. Dann kann er diese konkrete Verordnung benennen und klarstellen, dass er lediglich seine gesetzliche Pflicht erfüllt.

Wenn sich aus der Verordnung selbst keine Pflicht ergibt, kann der Wirt möglicherweise berechtigte Interessen haben, bei der Kontaktpersonenermittlung im Falle einer Infektion mitzuwirken. Hier müsste allerdings eine Interessenabwägung erfolgen und auch entsprechend intern dokumentiert. Für den Wirt ist es an dieser Stelle einfacher und rechtlich sicherer, die Datenerhebung in diesem Falle nur auf freiwilliger Basis einer Einwilligung zu stützen.

6. Entwickle Routinen für das Löschen der Daten

In den Verordnungen sind die Aufbewahrungsfristen von ca. vier Wochen grundsätzlich genannt. Selbst wenn nicht, kann man sich an die Festlegungen der anderen Bundesländer orientieren. Diese Festlegung rührt von der Inkubationszeit her. Nach Ablauf dieser vier Wochen besteht keine Gefahr der Ansteckung mehr. Wenn man diese erhobenen Informationen nach dem Datum sortiert ablegt, behält man leicht den Überblick und man kann schnell sowie routiniert die Löschung vornehmen.

7. Entsorge die Gästelisten nicht unachtsam

Insbesondere wenn man Listen in Papierform führt, ist es ein No-Go, diese einfach achtlos in die Papiertonne zu werfen. Ein Dritter kann diese Gästelisten Leichtens aus der Tonne fischen und die Daten rechtswidrig verwenden. Man sollte sie wenigstens vorab schreddern. Da diese Daten keinen hohen Schutzbedarf unterliegen, ist die Entsorgung über eine Datenschutztonne zwar wünschenswert, aber nicht erforderlich. Die Anmietung einer solchen Tonne ist wohl nur dann sinnvoll, wenn man sie sich mit benachbarten Gastronomiebetrieben teilen und insoweit die Kosten aufteilen kann.

Wenn die Gästelisten digital gespeichert sind, ist daran zu denken, dass die typische Form des Löschens in Form des „in den Papierkorb verschieben“ keine datenschutzkonforme darstellt. Solche Dateien können durch bloß einen Klick wiederhergestellt werden. Dieser digitale Papierkorb ist daher zumindest ebenfalls „zu leeren“.


Gefällt Ihnen der Beitrag?
Dann unterstützen Sie uns doch mit einer Empfehlung per:
TWITTER   FACEBOOK   E-MAIL   XING
Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN


© www.intersoft-consulting.de

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprünglich von: Dr. Datenschutz (Info leider im Original-Beitrag ggf. nicht enthalten) und natürlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht’s zum Original: DSGVO: Gästelisten in der Gastronomie zu Zeiten der Corona-Pandemie.

Vielleicht ist ein externer Datenschutzbeauftragter doch die bessere Idee? Gerichte äußern sich zur Position des Datenschutzbeauftragten

Haben Sie einen internern DSB? Dann lesen Sie unbedingt diesen Artikel…

Schöne Grüße, Ihr Stephan Frank
SFC | Stephan Frank Consulting

HINWEIS: Der Text stammt nicht direkt von mir / diesem Projekt. Das Original finden Sie hier: Gerichte äußern sich zur Position des Datenschutzbeauftragten

Gerichte äußern sich zur Position des Datenschutzbeauftragten

Die Auswahl des Datenschutzbeauftragten im Unternehmen ist kein leichtes Unterfangen. Die gesetzlichen Anforderungen an einen Datenschutzbeauftragten wurden durch die Gerichte jüngst konkretisiert. Auch zur Kündigung eines Datenschutzbeauftragten gibt es Neuigkeiten.

Wer eignet sich als Datenschutzbeauftragter?

Mit einer Entscheidung vom LAG Rostock (Urteil v. 25.02.2020 – Az.: 5 Sa 108/19) konkretisiert das Gericht, welche Qualifikationen ein Datenschutzbeauftragter vorweisen muss. Geklagt hatte ein Volljurist, der bei der Beklagten als interner Datenschutzbeauftragter beschäftigt war. Der Kläger wurde gekündigt, weil die Beklagte der Meinung war, dem Kläger fehle die geeignete Sachkunde.

Gesetzliche Anforderungen

Nach der DSGVO wird ein Datenschutzbeauftragter auf der Grundlage seiner beruflichen Qualifikation und insbesondere seines Fachwissens auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis benannt, sowie auf der Grundlage seiner Fähigkeiten zur Erfüllung seiner Aufgaben (Art. 37 Abs. 5 DSGVO). Die Vorschrift lässt Interpretationsspielraum, bspw. inwieweit eine bestimmte berufliche Qualifikation erforderlich ist.

Entscheidung des LAG Rostocks

Das LAG Rostock betont, dass die erforderliche Sachkunde sich nach Art und Umfang der Tätigkeit richte, wie etwa die Größe des zu betreuenden Unternehmens, die Menge an Datenverarbeitungsvorgängen und eingesetzten IT-Verfahren sowie die Sensibilität der Daten. Zudem könne der Datenschutzbeauftragte auch auf fachkundige Mitarbeiter zurückgreifen, wenn er nur in einem Teilbereich über eigene Qualifikationen verfüge. Fortbildungen seien unerlässlich, um auf dem aktuellen Stand der Entwicklungen zu bleiben.

Neben der Sachkunde müsse ein Datenschutzbeauftragter auch die notwendige Zuverlässigkeit gewähren. Diese könnte durch schwerwiegende Verletzungen arbeitsvertraglicher Pflichten gestört werden.

Datenschutzbeauftragter ist nicht gleich Datenschutzbeauftragter

Die Entscheidung des Gerichts lehnt an Erwägungsgrund 97 der DSGVO an. Hiernach richtet sich das erforderliche Niveau des Fachwissens, insbesondere nach den durchgeführten Datenverarbeitungsvorgängen und dem erforderlichen Schutz für die verarbeiteten personenbezogenen Daten. Grundsätzlich leuchtet es ein, dass die Sachkunde nach Art und Umfang der Tätigkeit zu bemessen ist. Dennoch gibt es in der Praxis erhebliche Unterschiede, gerade im Hinblick auf die Qualifikationen des Datenschutzbeauftragten. Fachliche Mängel können zu verheerenden Konsequenzen führen. Zumindest gewisse Mindestanforderungen würden helfen das Qualitätsniveau ein Stück weit anzugleichen.

Besonderer gesetzlicher Kündigungsschutz des Datenschutzbeauftragten

Die Wahl des Datenschutzbeauftragten sollte letztendlich auch gut überlegt sein, weil ein einst ernannter Datenschutzbeauftragter ziemlich fest im Sattel sitzt.

LAG Nürnberg hält Sonderkündigungsschutz für DSGVO-konform

Nach nationalem Recht genießt der Datenschutzbeauftragte ein Sonderkündigungsschutzrecht, wonach er nur bei Vorliegen eines wichtigen Grundes gekündigt werden kann (§§ 38 Abs. 2, 6 Abs. 4 S.2 BDSG). Die Parteien stritten vor dem LAG Nürnberg (Urteil v. 19.02.2020 – Az.: 2 Sa 274/19) darüber, ob das nationale Sonderkündigungsschutzrecht mit der DSGVO vereinbar sei.

Keine Öffnungsklausel in der DSGVO

Grundsätzlich bedarf es einer Öffnungsklausel in der DSGVO, damit der nationale Gesetzgeber tätig werden darf. Eine solche Öffnungsklausel zur Reglung des besonderen Kündigungsschutzes für den Datenschutzbeauftragten liegt nicht vor.

Arbeitsrechtsspezifische Regelungen nicht durch die DSGVO ausgeschlossen

Allerdings geht das LAG Nürnberg davon aus, dass die DSGVO keine abschließenden Regelungen für das Arbeitsverhältnis eines Datenschutzbeauftragten treffe. Grundsätzlich dürfe der nationale Gesetzgeber arbeitsrechtliche Regelungen für den Datenschutzbeauftragten treffen, wenn der Schutz der DSGVO dahinter nicht zurückbleibt. Denn der arbeitsrechtliche Bereich wird von der EU durch Erlass von Richtlinien bestimmt (Art. 153 Abs. 2 AEUV).

In Art. 38 DSGVO werde die Stellung des Datenschutzbeauftragten nur allgemein normiert. Der in der Vorschrift gewährleistete Abberufung – und Benachteiligungsschutz für den Datenschutzbeauftragten, würde nicht durch die nationale Reglung zum Sonderkündigungsschutz beeinträchtigt werden.

Eine endgültige Klärung der DSGVO-Konformität steht noch aus. Gegen die Entscheidung wurde Revision eingelegt.

Ausnahmefall vom Sonderkündigungsschutz: freiwilliger Datenschutzbeauftragter

Eine wichtige Ausnahme vom Sonderkündigungsschutzrecht besteht insofern, dass dieses Recht nicht für den freiwilligen Datenschutzbeauftragten gilt. Der entscheidende Zeitpunkt für die Feststellung, ob es sich um einen freiwilligen Datenschutzbeauftragten handelt oder nicht, ist der Zeitpunkt der Zugang der Kündigung (BAG Urteil v. 5. Dezember 2019 – Az.: 2 AZR 223/19). Dies ist insbesondere im Hinblick auf die Anpassung des Schwellenwerts für die Bestellung eines Datenschutzbeauftragten wichtig. Nach der Gesetzesanpassung besteht seit November 2019 erst bei 20 Mitarbeitern eine zwingende Pflicht zur Bestellung eines Datenschutzbeauftragten.

Immer noch Klärungsbedarf

Wie es auch bei vielen anderen Bereichen im Datenschutzrecht zu beobachten ist, ist das letzte Wort im Hinblick auf den im BDSG geregelte Sonderkündigungsschutz für den Datenschutzbeauftragten noch nicht gesprochen. Ebenfalls das Urteil des LAG Rostock zur Eignung eines Datenschutzbeauftragten sorgt nur sehr bedingt für mehr Klarheit.

Im Gesetzgebungsverfahren zur DSGVO wurde der Entwurf des EU Parlaments mit Anforderungen an die Mindestqualifikationen an einen Datenschutzbeauftragten nicht umgesetzt. Ob und inwieweit Gerichte gewollt sind durch weitere Urteile eine gewisse Mindestqualifikation festzulegen, bleibt abzuwarten.


Gefällt Ihnen der Beitrag?
Dann unterstützen Sie uns doch mit einer Empfehlung per:
TWITTER   FACEBOOK   E-MAIL   XING
Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN


© www.intersoft-consulting.de

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprünglich von: Dr. Datenschutz (Info leider im Original-Beitrag ggf. nicht enthalten) und natürlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht’s zum Original: Gerichte äußern sich zur Position des Datenschutzbeauftragten.

Zweites Pandemiegesetz: Kein Datenschutz für Gesunde

Liebe Leser! Diesen Artikel finde ich sehr interessant und lesenswert. Viel Spaß beim Lesen!

Schöne Grüße, Ihr Stephan Frank
SFC | Stephan Frank Consulting

HINWEIS: Der Text stammt nicht direkt von mir / diesem Projekt. Das Original finden Sie hier: Zweites Pandemiegesetz: Kein Datenschutz für Gesunde

Zweites Pandemiegesetz: Kein Datenschutz für Gesunde

Man könnte ihn schon fast als episch, als legendär bezeichnen – den Kampf der Giganten, den des Bundesdatenschutzbeauftragten Ulrich Kelber gegen abstruse, den Datenschutz missachtende Gesetzesvorhaben der Bundesregierung. Aktuell ist es wieder so weit: Der Entwurf zum zweiten Pandemiegesetz wurde heute schleunigst durch den Bundestag gemogelt. Trotz gravierender datenschutzrechtlicher Bedenken stießen Herrn Prof. Kelbers mahnende Worte auf taube Ohren.

Gesund oder infiziert – egal, Hauptsache überwacht!

Innerhalb des Corona-Maßnahmen-Dschungels verliert man leicht den Überblick: Ob Tracing-App, Immunitätspass, Ausgangs- oder Kontaktbeschränkungen – all dies wird diskutiert, hin und her, bis auch der Letzte mögliche Zweifel aufgibt und „die da Oben“ aus Resignation einfach gewähren lässt. Die Maßnahmen werden häufig nicht mehr hinterfragt, und wenn doch, dann mit seltsamen Verschwörungstheorien verknüpft. Berechtigte, völlig legitime juristische Kritik geht dabei unter, verbinden viele mit Corona-Kritik doch nur noch wahnhafte Reptiloiden- oder Bill Gates-Theorien.

Abseits haarsträubender Verdächtigungen liegen die wahren Probleme: Corona-Maßnahmen, wie der aktuelle, heute vom Bundestag beschlossene Entwurf zum zweiten Pandemiegesetz, werden unreflektiert verabschiedet, ohne diese verfassungs- und datenschutzrechtlich eingehender zu prüfen. Ganz nach dem Motto, nach mir die Sintflut – erstmal muss das Virus weg!

Wo ist das Problem? Nun, Bundesgesundheitsminister Jens Spahn fischt erneut in trüben Datenschutz-Gewässern, das Gesetz umfasst nämlich eine Meldepflicht für Nicht-Infizierte – Schuster, bleib bei deinen Leisten! Die Labore müssen nach Inkrafttreten des Gesetzes auch Daten von negativ Getesteten an die Gesundheitsämter weiterleiten. Dazu gehören personenbezogene Daten wie Geschlecht, Geburtsmonat und -jahr, Wohnort, Untersuchungsbefunde und der Grund der Untersuchung. Pseudonymisiert – aber nicht anonymisiert! – werden Name sowie Geburtstag.

Trotz erheblicher rechtlicher Bedenken, vorgetragen durch den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit, Herrn Prof. Ulrich Kelber – einer Koryphäe auf seinem Gebiet – wurde das Gesetz im Eiltempo durch das Parlament gebracht. Schon morgen soll sich der Bundesrat dazu äußern. Bahn frei, mit Vollgas gegen die Wand?

Datenschutzrechtlich eine Katastrophe

Die Stellungnahme Herrn Prof. Kelbers zum „Entwurf eines Zweiten Gesetzes zum Schutz der Bevölkerung bei einer epidemischen Lage von nationaler Tragweite“ zieht ein vernichtendes Fazit: In aller Deutlichkeit betont der Bundesdatenschutzbeauftragte, dass der Eingriff in das Recht auf informationelle Selbstbestimmung nach Art. 1 Abs. 1, 2 Abs. 1 GG unverhältnismäßig und daher verfassungswidrig ist.

„Die Ausführungen in der Begründung lassen nicht ansatzweise erkennen, auf welcher Grundlage hier in die Grundrechte einer eklatanten Anzahl von Betroffenen eingegriffen werden soll. Die dürftigen Angaben in der Begründung deuten darauf hin, dass eine rein statistische Erfassung den Zweck ebenso erfüllen würde. Eine Abwägung mit dem Persönlichkeitsrecht der Bürgerinnen und Bürger findet nicht statt. Offenbar wird hier verkannt, dass nach der Datenschutz-Grundverordnung auch bei Pseudonymisierung datenschutzrechtliche Maßgaben zu berücksichtigen sind… Eine generelle, bundesweite Meldepflicht für Nicht-Infizierte… ist nicht gerechtfertigt.“

Laut Herrn Prof. Kelber begegne die Regierung ihrer eigenen Corona-bedingten Unsicherheit, indem sie die umfassende Erhebung personenbezogener Gesundheitsdaten verlange – dabei lasse der Gesetzesentwurf jedoch das nötige Augenmaß vermissen.

Gesundheitsdaten sind äußerst sensibel und nicht ohne Grund Teil der besonderen Kategorien personenbezogener Daten nach Art. 9 Abs. 1 DSGVO. Diese Daten dürfen nur in Ausnahmefällen verarbeitet werden, Art. 9 Abs. 2 DSGVO.

Ist ein solcher Ausnahmefall gegeben? Kurz gesagt: Nein. In Betracht käme Art. 9 Abs. 2 lit. i DSGVO, wenn

„die Verarbeitung… aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie dem Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren oder zur Gewährleistung hoher Qualitäts- und Sicherheitsstandards bei der Gesundheitsversorgung und bei Arzneimitteln und Medizinprodukten, auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedsstaats, das angemessene und spezifische Maßnahmen zur Wahrung der Rechte und Freiheiten der betroffenen Person… vorsieht, erforderlich [ist]“

Bedenken Sie: Die nach dem neuen Gesetz betroffenen Personen sind nicht krank. Die Übermittlung ihrer Daten schützt niemanden vor der Infektion. Die Zweifel des Bundesdatenschutzbeauftragten sind berechtigt: Inwiefern ist es erforderlich, von nicht-infizierten Personen Daten zu erheben? Von diesen geht keine Gefahr aus, die Gesundheitsämter erlangen keinerlei Mehrwert – lediglich einen ganzen Pool sensibler Daten, mit denen sie tun und lassen können, was sie wollen. Warum dabei ausgerechnet die Datensammelinteressen der Gesundheitsämter das Recht der Betroffenen auf informationelle Selbstbestimmung überwiegen sollten, ist ebenfalls unklar. Die betroffenen Personen sind gesund – weshalb hat da die Behörde mitzumischen?

Vom sagenumwobenen Datenschutz scheinen nur wenige Politiker je gehört zu haben. Aus Sicht der Bundesregierung halb so wild! Wie sonst ist es zu erklären, dass man über ein solch schwerwiegendes Gesetz abstimmen kann, ohne auch nur die geringste Ahnung darüber zu haben, dass es einen Unterschied zwischen Pseudonymisierung und Anonymisierung gibt? Sind personenbezogene Daten pseudonymisiert, ist – wenn auch über Umwege – feststellbar, wer dahintersteckt. Die DSGVO erstreckt sich damit auch auf pseudonymisierte Daten. Wieso eine rein statistische Erfassung nicht ausreicht, weiß der Kuckuck. Aber auch nur, wenn er Politiker ist.

Wie die Lemminge…

Corona schürt tiefsitzende Ängste in jedem von uns. Das ist jedoch keine Entschuldigung dafür, panisch sämtliche datenschutz- und verfassungsrechtlichen Prinzipien über Bord zu werfen, zu fliehen und sich ins Verderben zu stürzen. Bei den Politikern, die heute für Herrn Spahns Gesetzesentwurf gestimmt haben, dürfte genau das zutreffen: Um sich nicht vorwerfen lassen zu müssen, in der Krise untätig herumgesessen zu haben, trafen sie eine folgenreiche Entscheidung.

Von Verfassungsrecht keine Ahnung

Fakt ist, die Befürworter des Gesetzes im Bundestag ignorierten den Datenschutzverstoß, manche von ihnen nahmen ihn vielleicht auch gar nicht zur Kenntnis. Besorgniserregend, handelt es sich doch um unser aller Grundrechte!

Das zweite Pandemiegesetz ist nicht nur datenschutzrechtlich äußerst bedenklich, Verfassungsrechtlern dürften ebenfalls die Haare zu Berge stehen. Christine Aschenberg-Dugnus (FDP) sprach von im Gesetz enthaltenen „Blankoermächtigungen“ für das Bundesgesundheitsministerium. Dr. Kirsten Kappert-Gonther (Grüne) merkte an, die pandemische Krise dürfe nicht zu einer Demokratiekrise werden. Gruselig, nicht wahr?

Gegen die Stimmen der Koalition kam die Opposition nicht an. Hausarzt und CSU-Politiker Stephan Pilsinger verwies darauf, nicht die, die Leib und Leben schützen wollten, verstießen gegen die Verfassung, sondern diejenigen, die das Ableben leichtfertig in Kauf nähmen. Klar, weil der Schutz von Leib und Leben ja einfach alles rechtfertigt – ganz große Klasse!

Wie war das nochmal…?

Während der heutigen Bundestagssitzung hätte die Bundesjustizministerin, Frau Christine Lambrecht (SPD) ein Zeichen setzen können – ist es doch Aufgabe des Bundesjustizministeriums Gesetzesentwürfe rechtlich zu prüfen und wenn notwendig, zu widersprechen.

In ihrem vor kurzem erschienenen FAZ-Gastbeitrag betonte sie noch, dass Rechtsstaat und Demokratie auch in dieser Krise aufrechterhalten würden. Corona-Maßnahmen träfe man in gründlicher Abwägung und voller Transparenz. Oberste Maxime sei der Grundsatz der Verhältnismäßigkeit.

Leider scheint das Gegenteil der Fall zu sein.

„Spahnsinn“ ohne Ende

Und wie geht es weiter? Der Bundesrat wird das Gesetz wahrscheinlich billigen. Herr Spahn hat gesiegt – Koste es, was es wolle. Fleißig wie unser Bundesgesundheitsminister nun einmal ist, dürfte die nächste Datenschutz-Katastrophe nicht lange auf sich warten lassen.


Gefällt Ihnen der Beitrag?
Dann unterstützen Sie uns doch mit einer Empfehlung per:
TWITTER   FACEBOOK   E-MAIL   XING
Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN


© www.intersoft-consulting.de

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprünglich von: Dr. Datenschutz (Info leider im Original-Beitrag ggf. nicht enthalten) und natürlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht’s zum Original: Zweites Pandemiegesetz: Kein Datenschutz für Gesunde.

Datenschutz(v)erklärungen auf Streaming-Plattformen

Liebe Leser! Diesen Artikel finde ich sehr interessant und lesenswert. Viel Spaß beim Lesen!

Schöne Grüße, Ihr Stephan Frank
SFC | Stephan Frank Consulting

HINWEIS: Der Text stammt nicht direkt von mir / diesem Projekt. Das Original finden Sie hier: Datenschutz(v)erklärungen auf Streaming-Plattformen

Datenschutz(v)erklärungen auf Streaming-Plattformen

Was haben der Tiger King und Datenschutzerklärungen von Streaming-Plattformen gemeinsam? Auf den ersten Blick nicht viel. Doch weit gefehlt, beide hinterlassen zuverlässig eine tiefgreifende Verwirrung.

Albtraum einer Couch Potato

Vielleicht haben Sie sich auch schon mal gefragt, was eigentlich im Hintergrund passiert, wenn Sie gemütlich auf der Couch liegt und Netflix schauen.

Das haben sich jedenfalls die Arbeiterkammer „AK“ und der Datenschutzverein „NOYB“ aus Österreich gefragt. Schließlich sind Streaming-Plattformen wahre Goldgruben für Datenauswertungen. Anders als beim guten alten Fernseher oder Radio, werden Seh- und Hörgewohnheiten minutiös erfasst.

Dafür haben sie die Datenschutzerklärungen der acht beliebtesten Streamingdienste untersucht: Amazon Prime, Apple Music, DAZN, Flimmit, Netflix, SoundCloud, Spotify und YouTube.

Nur haben die Datenschutzerklärungen mehr Fragen als Antworten aufgeworfen. Keine Spur einer Erklärung, wie die maßgeschneiderten Empfehlungen gegeben werden. Eine Empfehlung am Rande: Wenn Sie von Tiger King & Co. zu aufgerüttelt sind, um direkt einzuschlafen, lesen Sie als Gegenmittel eine Datenschutzerklärung. Das Wirkung tritt in der Regel innerhalb weniger Sekunden ein.

Befähigung zur Selbstbestimmung (Theorie)

Verantwortliche, hier die Betreiber der Streaming-Dienste, sind nach der DSGVO verpflichtet, den Nutzern Informationen zur Datenverarbeitung in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zur Verfügung zu stellen.

Durch die Information zur Existenz der Verarbeitungsvorgänge und deren Zwecken soll eine faire und transparente Verarbeitung gewährleistet werden. Das hehre Ziel: Der Nutzer soll so zur inneren Selbstbestimmung befähigt werden und entscheiden können, ob er die Datenerhebung erlauben oder sonst zu ihr beitragen will.

Verwirrung (Realität)

Die Nutzer werden durch keine der Datenschutzerklärungen wirklich transparent informiert. Was mit den Daten geschieht, bleibt im Dunkeln. Die AK und das NOYB bemängeln (fast) alles an den Datenschutzerklärungen. Es geht los bei fehlenden Kontaktdetails und endet bei fehlenden Zweckangaben. Etwas salopp gesagt, kann man sich viele der Datenschutzerklärungen in der derzeitigen Form sparen. Wir wollen auf einzelne Befunde des Berichts eingehen. Eine Tabelle mit einer Übersicht der Ergebnisse finden Sie auf Seite 9.

Wahllose Zwecke, Rechtsgrundlagen und Datenkategorien

Zwecke werden häufig nur beispielhaft aufgezählt und sind daher zu unbestimmt. Mangels der Verknüpfung der Zwecke mit Rechtsgrundlagen kann sich der Nutzer auch kein Bild von der Rechtmäßigkeit machen. So heißt es bei Amazon Prime

„zu diesen Zwecken zählen: Kauf und Lieferung von Produkten und Dienstleistungen, Bereitstellung, Fehlerbehebung und Verbesserung der Amazon Services, Empfehlungen und Personalisierung, Bereitstellung von Sprachdiensten, Einhaltung rechtlicher Verpflichtungen, Kommunikation mit Ihnen, Anzeigen, Betrugsprävention und Kreditrisiken, Zwecke, für die wir Ihre Einwilligung einholen.“

Zu den Rechtsgrundlagen heißt es nur:

„in bestimmten Fällen unterliegen wir rechtlichen Verpflichtungen, Ihre persönlichen Informationen zu erheben und zu verarbeiten“, und: „eventuell bitten wir Sie um Ihre Einwilligung, Ihre persönlichen Informationen zu einem bestimmten Zweck zu verarbeiten, den wir Ihnen mitteilen werden“.

Man könnte anders herum auch formulieren. Wir verarbeiten ihre Daten für eine unbestimmte Anzahl an Zwecke. Nach dem Motto: Nenne alle möglichen Zwecke und du kannst tun und lassen was du willst. Irgendein Zweck wird schon passen. So wird der Zweckbindungsgrundsatz unterlaufen. Zudem bekommen Nutzer den Eindruck, dass die Verarbeitung sämtlicher personenbezogenen Daten auf alle Rechtsgrundlagen gestützt werden könnte.

Nebulöse Empfänger

Die Datenschutzerklärungen enthalten häufig keine Einschränkungen, welche Kategorien von Daten geteilt werden. Empfänger werden nur sehr unbestimmt genannt. Durch die unbestimmten Angaben wird der Eindruck erweckt, dass alle personenbezogenen Daten weitergegeben werden können.

Bei Youtube heißt es, dass personenbezogene Daten in den folgenden Fällen weitergegeben werden:

„mit Einwilligung der Nutzer, an Domain-Administratoren, mit verbundenen und nicht-verbundenen Unternehmen oder Personen, wie z.B. Dienstleistern, zur externen Verarbeitung und aus rechtlichen Gründen.“

Aha, mmh, was habe ich da eigentlich gerade gelesen? Keine Sorge, auch nach mehrmaliger Lektüre ist man nicht viel schlauer. In einem Wettbewerb „sage etwas sagen, ohne etwas zu sagen“ würde die Erklärungen einen der oberen Ränge belegen.

Amazon wiederum macht widersprüchliche Angaben. So wird erklärt, dass personenbezogene Daten nur an Amazon.com, Inc. und seine Tochtergesellschaften weitergegeben werden. Gleichzeitig erklärt Amazon, dass personenbezogene Daten für bestimmte Zwecke, wie „Transaktionen mit Dritten, Drittdienstleister“, an Dritte weitergegeben werden.

Unbestimmte Speicherdauer

Die Speicherdauer wird meistens nicht konkretisiert. Auch eine Bestimmung anhand von Kriterien ist häufig ebenso nicht möglich.

Bei Amazon Prime heißt es:

„Wir speichern Ihre Informationen solange, wie dies erforderlich ist, um die in dieser Datenschutzerklärung beschriebenen Zwecke zu erfüllen oder wie dies gesetzlich vorgeschrieben wird, z.B. für Steuer-und Buchhaltungszwecke.“

Dumm nur, dass die Zwecke nur beispielhaft aufgezählt werden und keine Verknüpfung der Datenkategorien mit Zwecken stattfindet, sodass der Nutzer überhaupt nicht weiß für welche Zwecke welche Daten genau verarbeitet werden.

Die Datenschutzerklärung von Netflix gibt im Grunde das Gesetz wieder:

„Wir können Informationen, wie gemäß geltenden Gesetzen und Bestimmungen erforderlich oder zugelassen, einschließlich unter Einbeziehung Ihrer Auswahl, zu Zwecken der Rechnungsstellung oder Buchführung und um den Zwecken dieser Datenschutzerklärung nachzukommen, speichern.“

Empfehlungen wie von Geisterhand

Wir alle kennen die Empfehlungen auf Streaming-Plattformen. Viele lassen sich davon leiten. Die Datenschutzerklärungen enthalten hierzu aber keine Informationen, obwohl die DSGVO bei automatisierter Entscheidungsfindung aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person fordert.

Apple behauptet sogar, dass

„keinerlei Entscheidungen unter Zuhilfenahme von Algorithmen oder Profiling mit erheblichen Auswirkungen für Sie”

getroffen werden. In der Apple-Music-Datenschutzerklärung heißt es dann aber:

„Wenn du Apple Music verwendest, erfassen wir Informationen über die Titel und Videos, die du abspielst oder zu deiner Musikmediathek oder deinen Playlists hinzufügst, sowie Inhalte, die du als Favorit wählst, kommentierst oder teilst.“

„Wir nutzen diese Daten, um dein Apple Music-Erlebnis individuell an dich anzupassen. Außerdem möchten wir genauer verstehen, auf welche Art und Weise Apple Music verwendet wird, damit wir es verbessern können.”

„Zudem können wir dir Vorschläge machen, die deinen Geschmack treffen.“

Hier ist eine Profilerstellung mittels automatisierter Profilerstellung wahrscheinlich.

Auch Netflix erklärt nicht klar und deutlich, dass automatisierte individuelle Entscheidungen getroffen werden. Man kann nur mittelbar darauf schließen, z.B. wegen der Zwecke der

„Bereitstellung von speziell auf Sie abgestimmten Empfehlungen für Filme und Serien, die Ihnen unsere Meinung gefallen nach könnten“

und die Optimierung von

„Empfehlungsalgorithmen und die Darstellung“.

Das gleiche gilt für Amazon Prime. Auch hier lässt sich nur mittelbar auf den Einsatz von Algorithmen schließen, z.B. durch den Zweck „Empfehlungen und Personalisierung“:

„Wir verarbeiten Ihre persönlichen Informationen, um Funktionen, Produkte und Dienstleistungen zu empfehlen, die für Sie von Interesse sein könnten, um Ihre Präferenzen zu ermitteln und Ihre Erfahrungen mit Amazon Services zu personalisieren“

Solche Profile werden in der Regel mittels Algorithmen erstellt. Diese Information ist aber auch unvollständig, weil Amazon die Logik hinter den Empfehlungen und der Personalisierung nicht erklärt.

Zum Wegklicken

Nun sagen Sie vielleicht, ist doch alles halb so schlimm. Die Datenschutzerklärungen liest ja eh niemand. Es sind halt die AGBs der Datenschutzwelt. Doch hier stellt sich die Frage nach dem Ei und der Henne. Was war zuerst da? Das Desinteresse der Nutzer oder die Frustration nach der ersten nichtssagenden Datenschutzerklärung.

Der Gesetzgeber hat die Informationspflichten als ein Grundstein der weiteren Rechte und Pflichten der DSGVO gedacht, denn nur wenn man weiß, was passiert, kann man selbstbestimmt handeln und seine Rechte wahrnehmen. Das Bundesverfassungsgericht trifft den Nagel auf den Kopf:

„Wer nicht mit hinreichender Sicherheit überschauen kann, welche ihn betreffende Informationen in bestimmten Bereichen seiner sozialen Umwelt bekannt sind, und wer das Wissen möglicher Kommunikationspartner nicht einigermaßen abzuschätzen vermag, kann in seiner Freiheit wesentlich gehemmt werden, aus eigener Selbstbestimmung zu planen oder zu entscheiden.“


Gefällt Ihnen der Beitrag?
Dann unterstützen Sie uns doch mit einer Empfehlung per:
TWITTER   FACEBOOK   E-MAIL   XING
Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN


© www.intersoft-consulting.de

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprünglich von: Dr. Datenschutz (Info leider im Original-Beitrag ggf. nicht enthalten) und natürlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht’s zum Original: Datenschutz(v)erklärungen auf Streaming-Plattformen.

Bußgeld in Holland: Unrechtmäßige Verarbeitung von Fingerabdrücken

Liebe Leser! Diesen Artikel finde ich sehr interessant und lesenswert. Viel Spaß beim Lesen!

Schöne Grüße, Ihr Stephan Frank
SFC | Stephan Frank Consulting

HINWEIS: Der Text stammt nicht direkt von mir / diesem Projekt. Das Original finden Sie hier: Bußgeld in Holland: Unrechtmäßige Verarbeitung von Fingerabdrücken

Bußgeld in Holland: Unrechtmäßige Verarbeitung von Fingerabdrücken

Die Niederländische Datenschutz-Aufsichtsbehörde „Autoriteit Persoonsgegevens“ hat das bis dato zweithöchste Bußgeld (innerhalb Hollands) seit Einführung der Datenschutz-Grundverordnung erlassen. Wie es zu dem 725.000€-Bußgeld kam und wie die Aufsichtsbehörde den Sachverhalt bewertet, lesen Sie hier.

Was ist vorgefallen?

Jedes Unternehmen macht sich sicherlich Gedanken, wie die Zutrittskontrolle innerhalb des Geländes oder des Gebäudes optimiert werden kann. Dies dachte sich ebenfalls ein holländisches Unternehmen und wollte die gängigen Zutrittskarten nicht mehr einsetzen und stattdessen die Fingerabdrücke der Mitarbeiter nutzen. Der Arbeitgeber hat mehrere Fingerabdruck-Scan-Stationen installieren lassen. Diese Stationen scannen den Fingerabdruck, berechnen daraus ein Template und speichern die Informationen in einer Software. Dadurch einsteht eine individuelle und einzigartige Verbindung zu einer Person – vergleichbar mit einer Mitarbeiter-ID.

Die Aufsichtsbehörde wurde durch einzelne Mitarbeiter aufmerksam gemacht und begann eine Untersuchung. Interne Dokumente des Unternehmens wiesen darauf hin, dass in der Regel vier Fingerabdrücke pro Person abgegeben wurden. Insgesamt fielen 337 Personen mit 1.348 einzigartigen Fingerabdrücken unter dieser Verarbeitung.

Was hat das Unternehmen falsch gemacht?

Im Fokus stehen die Fingerabdrücken der Mitarbeiter. Bei Fingerabdrücken handelt es sich um besondere personenbezogene Daten in Form von biometrischen Daten nach Art. 4 Nr. 14 DSGVO.

„[…]mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen[…]“

Treue Leser unseres Blogs können sich an dieser Stelle sicherlich schon die Problematiken des Falls ausmalen. Transparenz und Rechtmäßigkeit bilden die Grundlagen des Datenschutzes. Demnach sind nach Art.5 DSGVO die Grundsätze in jeder Verarbeitung von personenbezogenen Daten einzuhalten. Liegt dies nicht vor, kann stets von einer unrechtmäßigen Datenverarbeitung ausgegangen werden.

Transparenz

Bei der Untersuchung der Aufsichtsbehörde wurden einige Mitarbeiter befragt. Dabei kam heraus, dass die Systeme wohl sehr überraschend und unerwartet eingeführt wurden. Zudem erhielten die Mitarbeiter keine Informationen über den Verarbeitungsumfang. Dies lässt auf das Nichteinhalten von Art.13 DSGVO schließen. Die Transparenz ist insofern wichtig, dass der Betroffene das Bestehen und den Umfang einer Verarbeitung verstehen soll. Hierbei konnte die holländische Aufsichtsbehörde nachweisen, dass dem nicht ausreichend nachgekommen wurde und ebenfalls die Rechenschaftspflicht außer Acht gelassen wurde.

Rechtmäßigkeit

Datenschutzbeauftragten wird oftmals nachgesagt, dass sie gerne Prozesse definieren. Dies hätte jemand dem Unternehmen ebenfalls ans Herz legen sollen.

Eine Verarbeitung von besonderen personenbezogene Daten stellt i.d.R. einen größeren Aufwand für Verantwortliche dar, denn im Vergleich zu herkömmlichen personenbezogenen Daten sind diese schutzwürdiger. Daher ist eine Verarbeitung unmittelbar nach Art .9 Abs. 1 DSGVO untersagt. Davon ist abzusehen, wenn eine Ausnahme nach Art. 9 Abs. 2 DSGVO greift.

Die Aufsichtsbehörde hat einige Mitarbeiter nach der notwendigen Rechtsgrundlagen befragt. Hierbei gab es unterschiedliche Aussagen. Ein Großteil der Mitarbeiter wurde mit einem Verweis auf den Arbeitsvertrag getröstet – einige haben wohl eine mündliche Einwilligung gegeben.

Freiwilligkeit

Soweit besondere personenbezogene Daten auf Grundlage von Art. 9 Abs. 2 lit. a DSGVO in Form einer Einwilligung verarbeitet werden sollen, müssen die Anforderungen aus Art. 7 DSGVO erfüllt werden. Im Fokus steht hierbei die Freiwilligkeit der Einwilligung.

Die Freiwilligkeit wird im Erwägungsgrund 43 weiter erläutert. Demnach kann keine Freiwilligkeit vorliegen, soweit ein klares Ungleichgewicht besteht. Nach Auffassung der Autoriteit Persoonsgegevens liegt hierbei der Knackpunkt. Da ein klares Abhängigkeitsverhältnis besteht, können die Mitarbeiter in Anbetracht ihres Arbeitsverhältnisses nur unter sehr hohen Anforderungen eine freiwillige Einwilligung abgeben. Da das Unternehmen noch nicht mal eine Rechtsgrundlage für die Verarbeitung definiert und verwendet hatte und einzelne Mitarbeiter im Gespräch mit der Behörde nicht wussten, dass die Nutzung der Fingerabdruck-Scan-Stationen freiwillig ist und eine Nichtnutzung keine Nachteile nach sich zieht, war auch Art. 9 Abs. 2 lit. a DSGVO nicht einschlägig.

Was lernen wir daraus?

Achten Sie darauf, dass besondere personenbezogene Daten auch besonders behandelt werden sollten. Es ist sicherlich reizend die Digitalisierung in sein Unternehmen einfließen zu lassen, jedoch nicht um jeden Preis. Eine Abwägung sollte vor jeder neuen Implementierung solcher Systeme stattfinden. Wir empfehlen den Datenschutzbeauftragten frühestmöglich in den Prozess einzubinden, um solche Bußgelder zu vermeiden. Über die Anforderungen an ein biometrisches Authentifizierungssystem haben wir bereits berichtet.


Gefällt Ihnen der Beitrag?
Dann unterstützen Sie uns doch mit einer Empfehlung per:
TWITTER   FACEBOOK   E-MAIL   XING
Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN


© www.intersoft-consulting.de

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprünglich von: Dr. Datenschutz (Info leider im Original-Beitrag ggf. nicht enthalten) und natürlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht’s zum Original: Bußgeld in Holland: Unrechtmäßige Verarbeitung von Fingerabdrücken.

Kundenakquise auf Messen: Was ist nach der DSGVO zu beachten?

Liebe Leser! Diesen Artikel finde ich sehr interessant und lesenswert. Wenn im kommenden Halbjahr und besonders im nächsten Jahr die verschiedenen Veranstaltungen nachgeholt werden und man sich wieder angemessen präsentieren wird, denke man trotzdem und unbedingt an die Regeln für Datenschutz und Marketing. Viel Spaß beim Lesen!

Schöne Grüße, Ihr Stephan Frank
SFC | Stephan Frank Consulting

HINWEIS: Der Text stammt nicht direkt von mir / diesem Projekt. Das Original finden Sie hier: Kundenakquise auf Messen: Was ist nach der DSGVO zu beachten?

Kundenakquise auf Messen: Was ist nach der DSGVO zu beachten?

Das Messejahr scheint dieses Jahr zwar nicht im gewohnten Umfang stattfinden zu können, trotzdem erreichen uns immer wieder Anfragen zu Themen wie Informationspflichten am Messestand, Kundenakquise und der Umgang mit Visitenkarten. Im Post-Coronazeitalter werden wieder viele Gewerbetreibende auf Messen strömen und dort um die Gunst neuer Kunden buhlen. Hierbei kommen Sie unausweichlich mit personenbezogenen Daten in Kontakt. Es folgt eine Übersicht was bei typischen Messeszenarien zu beachten ist.

Der überzeugte Kunde

Wir nehmen an, Sie sind Aussteller einer großen Automobilmesse. An ihrem Stand liegen verschiedene Kataloge und Infomaterialien zu ihren Flakschiffen Auto A, Auto B und Auto C aus.

Sie konnten einen Besucher ihres Standes aufgrund ihres Verkaufsgeschick von Auto A überzeugen. Kurzerhand entschließt er sich, dass Fahrzeug noch vor Ort zu erwerben. Sie zücken das Bestellformular für Neukunden und nehmen seine Daten auf. Irrelevant ist hierbei, ob Sie zum Erfassen ein good-old Papierformular oder eine digitale Variante einsetzen. Was gilt es nun zu beachten?

Es gilt: So viel wie nötig, so wenig wie möglich

Zunächst ist der Grundsatz der Datenminimierung nach Art. 5 Abs. 1 lit. c DSGVO zu beachten. Sie dürfen daher nur diejenigen personenbezogenen Daten abfragen, die Sie auch tatsächlich zur Abwicklung der Kundenbestellung benötigen. In der Regel dürfte der Name, die Lieferanschrift und eine Kontaktmöglichkeit ausreichend sein. Der ausgeübte Beruf? Der Familienstand? Es ist, wie so oft, eine Frage von Fall zu Fall. Sofern mit dem Autokauf etwa zeitgleich auch ein Finanzierungsdarlehen einhergeht, erweitert sich die zulässige Abfrage etwa auch auf Daten, die Rückschlüsse über die Bonität des Kunden geben können. Überlegen Sie stets, welche Daten sind tatsächlich zur Erbringung meiner vertraglichen Leistungen erforderlich?

Informationspflichten am Messestand

Nach Art.13 DSGVO muss ihr Kunde im Zeitpunkt der Erhebung seiner Daten alle diejenigen Informationen erhalten, die notwendig sind, um eine faire und transparente Verarbeitung zu gewährleisten. Durch das Dokument beantworten Sie als verantwortlicher Datenverarbeiter typische W-Fragen: Wer verarbeitet hier? Welche Zwecke verfolge ich dabei? Wer erhält die Daten noch? Wie lange werden sie gespeichert? Welche Rechte hat mein Kunde?

In unserem Beispiel bietet sich eine abgedruckte Erklärung an. Diese kann als Anhang dem Vertrag oder der Bestellbestätigung beigefügt werden und dem Kunden so dauerhaft zur Verfügung gestellt werden. In der Printversion sicherlich die rechtssicherste Variante. Nicht notwendig ist jedoch, dass der Kunde den Erhalt der Informationen mittels Unterschrift oder Checkbox bestätigt. Um der Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO zu genügen, ist vielmehr entscheidend, dass der gesamte Prozess so organisiert ist, dass jeder Kunde letztlich die Möglichkeit der Kenntnisnahme hat. Sofern die Daten digital erhoben werden und die Bestellbestätigung etwa per Mail an den Kunden verschickt wird, kann es zweckmäßig sein, die Erklärung zusätzlich als Anhang zu verschicken.

Rechtsgrundlage für die Verarbeitung

Die rechtliche Grundlage in diesem Fallbeispiel ist Art. 6 Abs. 1 S. 1 lit. b DSGVO. Die bei Bestellung des Autos verarbeiteten Daten sind zur Vertragserfüllung notwendig. Eine explizite Einwilligung des Kunden bedarf es an dieser Stelle nicht.

Der zweifelnde Kunde

In diesem Fall konnten Sie trotz intensivster Bemühungen den Besucher vom Kauf eines ihrer Autos noch nicht vollends überzeugen. Er interessiert sich sowohl für Modell A, als auch für Modell B und wünscht weitere Informationen. Auch hierzu haben Sie ein Formular (print oder digital). Um dem Kunden die Kaufentscheidung zu erleichtern, bieten Sie ihm den Versand einer Hochglanzbroschüre per Post oder in digitaler Form per E-Mail an. Je nachdem welche Art der Besucher wählt, dürfen sie entsprechend Daten erheben. Zum Versand brauchen Sie zwingend die Anschrift, aber wohl nicht die Mailadresse. Sofern die Broschüre per Mail gewünscht ist, brauchen Sie nicht zwingend die Anschrift.

Berechtigte Interessen an der Verarbeitung?

Sollte es bereits zu konkreten Verkaufsgesprächen gekommen sein, halte ich hier ebenfalls Art. 6 Abs. 1 S. 1 lit. b DSGVO aufgrund der Vertragsanbahnung für vertretbar. Hier kann die Abgrenzung im Einzelfall jedoch schwierig sein. Jedenfalls haben Sie ein berechtigtes Interesse an der Verarbeitung der Daten ihres potenziellen Kunden gemäß Art. 6 Abs. 1 S. 1 lit. f DSGVO. Sie selbst haben ein wirtschaftliches Interesse an der Zusendung des Infomaterials, da Sie sich erhoffen, den Besucher überzeugen zu können und so einen Neukunden zu gewinnen. Die erforderliche Interessenabwägung dürfte in diesem Fall zu ihren Gunsten ausgehen. Die Anfrage, das gewünschte Infomaterial zu erhalten, ist vom Besucher selbst ausgegangen. Ihm ist bewusst und er kann absehen, dass seine Daten gerade zu diesem Zweck verwendet werden und erforderlich sind. Der Besucher hat mithin ein eigenes Interesse an der Verarbeitung seiner Daten zur Beantwortung seiner Broschürenanfrage.

Ein dauerhafter Messe-Lead?

Dürfen Sie die so gewonnen Daten nun dauerhaft nutzen? Nach Art. 5 Abs. 1 lit. b DSGVO gilt ein strenger Zweckbindungsgrundsatz. Sie dürfen personenbezogene Daten nur solange verarbeiten, wie auch der Erhebungszweck fortbesteht. Danach sind die Daten zu löschen. In diesem Fall wäre der Zweck nach der Zusendung des gewünschten Materials zu entfallen. An dieser Stelle begehrt die Marketingabteilung regelmäßig auf. Man habe doch noch weitere tolle Angebote und Informationen für potenzielle Kunden. Können wir die einmal erhobenen Daten nicht auch für weitere werbliche Maßnahmen nutzen?

Einwilligungserfordernis für Werbenewsletter

Zwar kann ein berechtigtes Interesse von Ihnen als Aussteller sein, die am Messestand gewonnen E-Mail oder Kontaktdaten auch weiterhin zu Werbezwecken zu verwenden. Neben der DSGVO müssen Sie jedoch beachten, dass nach § 7 UWG eine werbliche Ansprache per E-Mail grundsätzlich nur mit vorheriger ausdrücklicher Einwilligung des Besuchers möglich ist. Es gilt daher streng zu unterscheiden, zwischen der vom Kunden gewünschten Infos zu Auto A und Auto B und darüber hinaus gehender Werbemails etwa zu Auto C oder Zubehör XYZ.

Wollen Sie dem Besucher also im Nachgang zur Messe über seine konkreten Broschürenwunsch hinaus weiterführende Werbung wie z.B. den Unternehmens-Newsletter per Email zusenden, sollten Sie sich hierfür zuvor eine Einwilligungserklärung einholen. Das kann mittels Checkbox auf dem Formular oder in einer Digitalversion erfolgen.

Double Opt-In und Protokollierung beachten

Durch das Double-Opt-In-Verfahren stellen Sie sicher, dass nur diejenigen E-Mail-Adressen beworben werden deren Inhaber dies auch wünschen. Nur wenn der Inhaber der Mailadresse eine Bestätigungsmail erhält und den darin enthaltenen Aktivierungslink klickt, haben Sie einen Nachweis über seine Einwilligung. Achten Sie darauf, dass die Bestätigungsmail keine werblichen Inhalte enthalten. Ein Firmenlogo oder Impressum, welches die Seriosität ihres Anliegens verdeutlicht, ist zulässig.

Der Großkunde

An ihrem Stand erscheint ein Unternehmer aus dem Taxigewerbe. Zunächst Interessiert er sich für die aktuell angebotene Flotte. Er möchte aber auch künftig informiert bleiben – benötigt er doch regelmäßig Fahrzeuge in hoher Stückzahl. Er überreicht Ihnen seine Visitenkarte. Man möge doch bitte in Kontakt bleiben.

Informationspflichten adäquat erfüllen

Sofern Sie jetzt die Visitenkartendaten in ihr CRM-System übertragen wollen, bestehen erneut die Informationspflichten aus Art. 13 DSGVO. Nun wird kaum ein Besucher Lust dazu haben, von jedem Stand an dem er seine Visitenkarte hinterlässt, im Austausch eine ausgedruckte Erklärung in die Hand gedrückt zu bekommen. Diese Pflicht können Sie daher durch Informationsschilder oder ausgelegten Flyern nachkommen. Gerade bei B2B-Kontakten wird man in der Regel davon ausgehen dürfen, dass der Besucher mit einer Verarbeitung der Kontaktdaten nach der Messe rechnet und dies sogar erwünscht ist. Sollte die Kartenübergabe mit einer konkreten Anfrage zu Produkten oder dem Erhalt von Informationen verbunden ist, erscheint es zudem zweckmäßig bei erstmaliger Kontaktaufnahme auf den Umgang mit Kundendaten hinzuweisen. Dies kann dann entweder per Link auf die Erklärung oder als Mailanhang erfolgen. Aber Achtung: Für weiterführende Werbemails über ein konkretes Angebot oder Anfrage hinaus gilt auch für Geschäftskunden das strenge Einwilligungserfordernis.

Pragmatische Lösungen sind gefragt

Grundsätzlich hat die Datenschutz-Grundverordnung bei der praktikablen Erfüllung von Informationspflichten strukturelle Schwächen. Denken Sie zum Beispiel an die Warenbestellung per Telefon. Ein Vorlesen der Informationspflichten vor Aufnahme der Kontaktdaten wäre unzumutbar. Die Information über Transparenz und Fairness der Verarbeitung müssen hier auf die gegebenen Umstände des Geschäftslebens angepasst werden, ohne ihre Sinnhaftigkeit zu verlieren. Im Zweifel hilft Ihnen ihr Datenschutzbeauftragter bei einer praxisgerechten Umsetzung sicher gerne weiter.


Gefällt Ihnen der Beitrag?

Dann unterstützen Sie uns doch mit einer Empfehlung per:
TWITTER FACEBOOK E-MAIL XING

Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN


© www.intersoft-consulting.de

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprünglich von: Dr. Datenschutz (Info leider im Original-Beitrag ggf. nicht enthalten) und natürlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht’s zum Original: Kundenakquise auf Messen: Was ist nach der DSGVO zu beachten?.

BAG-Urteil: Zugriff auf Inhalte des Arbeitsrechners durch den Arbeitgeber

Liebe Leser! Regeln Sie die private Nutzung von betrieblicher IT-Ausstattung, Smartphone und Laptop & Co. gemeinsam mit Ihren Mitarbeitern. Die grundsätzliche Regelung, Dienst ist Dienst und Schnaps ist Schnaps gilt weiterhin.

Schöne Grüße, Ihr Stephan Frank
SFC | Stephan Frank Consulting

HINWEIS: Der Text stammt nicht direkt von mir / diesem Projekt. Das Original finden Sie hier: BAG-Urteil: Zugriff auf Inhalte des Arbeitsrechners durch den Arbeitgeber

BAG-Urteil: Zugriff auf Inhalte des Arbeitsrechners durch den Arbeitgeber

Das Bundesarbeitsgericht (BAG) hat Ende Januar erneut festgestellt, dass der Arbeitgeber auf Dateien des auch privat genutzten Arbeitsrechners zugreifen kann, wenn diese nicht als „privat“ gekennzeichnet wurden. Zudem kann der Arbeitgeber hierauf auch seine Kündigung stützen. Was heißt das für den Datenschutz des Arbeitnehmers?

Überprüfung von Arbeitsmitteln durch den Arbeitsgeber

Zunächst stellt sich die Frage, ob der Arbeitgeber überhaupt auf den Arbeitsrechner seines Arbeitnehmers zugreifen darf. Nach mittlerweile gefestigter Rechtsprechung des BAG, darf der Arbeitgeber jedenfalls Erkenntnisse oder Beweismittel aus der Verwertung von Dateien-Inhalten eines Arbeitsrechners verwenden, wenn er diese im Einklang mit datenschutzrechtlichen Vorschriften erlangt hat (BAG 23. August 2018 – 2 AZR 133/18 – Rn. 14 ff.).

Aktueller BAG-Fall

Im konkreten Fall befanden die Richter aus Erfurt im Sinne des Beklagten (Arbeitgeber), der auf Grund eines Verdachtsfalles (Hinweis für die Spitzfindigen: nicht aber auf Tatsachen beruhenden Anfangsverdacht) den auch privat genutzten Arbeitsrechner seines Arbeitnehmers durchsuchte und eine darauf gegründete Kündigung aussprach. Die BAG-Richter ließen für die Kündigung einen begründeten Verdacht einer Pflichtverletzung ausreichen.

Entscheidende Norm: § 26 BDSG

Einschlägige datenschutzrechtliche Norm zur Bewertung der Zulässigkeit der Maßnahme ist § 26 Abs. 1 S. 1 BDSG (im Fall der inhaltsgleiche § 32 BDSG aF). Nach dieser Bestimmung dürfen personenbezogene Daten eines Beschäftigten für Zwecke des Beschäftigungsverhältnisses unter anderem dann erhoben, verarbeitet oder genutzt werden, wenn dies für dessen Durchführung oder Beendigung erforderlich ist. Der Begriff der Beendigung umfasst dabei die Abwicklung eines Beschäftigungsverhältnisses (so auch die Vorbereitung einer Kündigung – BAG 23. August 2018 – 2 AZR 133/18 – Rn. 22).

„§ 32 Abs. 1 Satz 2 BDSG aF entfaltet keine „Sperrwirkung“ dergestalt, dass eine anlassbezogene Datenerhebung durch den Arbeitgeber ausschließlich zur Aufdeckung von Straftaten zulässig wäre und sie nicht nach § 32 Abs. 1 Satz 1 BDSG aF zulässig sein könnte (BAG 27. Juli 2017 – 2 AZR 681/16 – Rn. 30, BAGE 159, 380; ausführlich BAG 29. Juni 2017 – 2 AZR 597/16 – Rn. 28 ff., BAGE 159, 278). Allerdings muss die Erhebung, Verarbeitung und Nutzung der personenbezogenen Daten auch nach § 32 Abs. 1 Satz 1 BDSG aF „erforderlich“ sein. Es hat eine „volle“ Verhältnismäßigkeitsprüfung zu erfolgen.“

Die Erhebung, Verarbeitung und Nutzung der personenbezogenen Daten muss geeignet, erforderlich und unter Berücksichtigung der Freiheitsrechte angemessen sein, um den erstrebten Zweck zu erreichen. Es dürfen keine anderen, zur Zielerreichung gleich wirksamen und das Persönlichkeitsrecht der Arbeitnehmer weniger einschränkenden Mittel zur Verfügung stehen.

Im Rahmen der Verhältnismäßigkeit im engeren Sinne (Angemessenheit) ist zu beachten, dass die Schwere des Eingriffs bei einer Gesamtabwägung nicht außer Verhältnis zu dem Gewicht der ihn rechtfertigenden Gründe steht. Die Datenerhebung, -verarbeitung oder -nutzung darf keine übermäßige Belastung für den Arbeitnehmer darstellen und muss der Bedeutung des Informationsinteresses des Arbeitgebers entsprechen. Dies ist für jedes personenbezogene Datum gesondert zu beurteilen (BAG 23. August 2018 – 2 AZR 133/18 – Rn. 24).

Folgen für die Praxis

Der Arbeitgeber hat folglich eine Verhältnismäßigkeitsprüfung vorzunehmen, bevor er den Arbeitsrechner auswertet, die die Rechte seines Arbeitsnehmers entsprechend würdigt.

Datenschutzrechtlich brisant ist, dass das BAG klargestellt hat, dass der Arbeitgeber grundsätzlich auf alle Dateien auf dem Arbeitsrechner zugreifen kann, insofern der Arbeitnehmer diese nicht als explizit „privat“ kennzeichnet. Es liegt folglich in der Sphäre des Arbeitnehmers Dateien auf dem Arbeitsrechner deutlich mit der Kennzeichnung „privat“ zu versehen, wenn er sich vor der Überprüfung schützen möchte. Selbstverständlich ist auch dieser Schutz begrenzt z. B. beim Verdacht einer schweren Verfehlung. Es bleibt somit die in diesem Kontext wiederholende Frage, warum überhaupt private Dateien auf dem Arbeitsrechner speichern?


Gefällt Ihnen der Beitrag?

Dann unterstützen Sie uns doch mit einer Empfehlung per:
TWITTER FACEBOOK E-MAIL XING

Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN


© www.intersoft-consulting.de

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprünglich von: Dr. Datenschutz (Info leider im Original-Beitrag ggf. nicht enthalten) und natürlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht’s zum Original: BAG-Urteil: Zugriff auf Inhalte des Arbeitsrechners durch den Arbeitgeber.