von Oliver Gönner
Der Berliner Beauftragter für Datenschutz und Informationsfreiheit stellt in seiner heutigen Pressemledung fest, dass ein “Beanstandungsfreier Betrieb von Google Analytics ab sofort möglich” ist.
Mit gleichlautender Meldung stellt auch der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit gleiches fest.
Die Aufsichtsbehörde Hamburg stellt konkrete Handlungesempfehlungen bereit.
Wesentliche Forderungen sind:
- Vertrag zur Auftragsdatenverarbeitung
- Auftragskontrolle
- Datenschutzerklärung auf der eigenen Webseite
- Widerspruchsmöglichkeit (Opt-Out)
- Gekürzte IP (anonymizeIP())
- Löschung möglicher Altdaten
Die Aufsichtsbehörden weisen ausdrücklich darauf hin, dass mit einer möglichen Umsetzung der ePrivacy Directive ins Deutsche Recht sich diese Rechtslage ändern kann.
Interessant ist, dass die Deutschen Aufsichtsbehörden damit eine Auftragsdatenverarbeitung mit einem Auftragnehmer ausserhalb des Europäischen Wirtschaftsraumes anerkennen. Die bisher herrschen Kommentarmeinerung hat die Defintion des Dritten so verstanden, dass jeder Datenverarbeiter ausserhalb des Europäischen Wirtschaftsraumes Dritter sein müsse und damit die Datenübertragung zwingend eine Übermittlung darstelle. Inwieweit die Aufsichtbehörden durch die Forderung der IP Anonymisierung in der EU an dieser Forderung festhalten, kann nicht abgesehen werden.
von Oliver Gönner
Viele Unternehmen bedienen sich Dienstleistern, wie Lettershops, Callcentern, IT Wartungsfirmen, externen Rechenzentren, externer Lohn- und Gehaltsabrechnung, Datenvernichtungsfirmen und vielen mehr.
Diese Dienstleistungen sind typischerweise Auftragsdatenverarbeitungen (ADV) gem. § 11 BDSG. Die ADV ist ein gesetzliches Privileg, dass es Unternehmen (Auftraggeber) erlaubt, personenbezogene Daten durch dritte Unternehmen
(Auftragnehmer) verarbeiten zu lassen. Für die mit der ADV verbundene Übermittlung von personenbezogenen Daten an den Auftragnehmer bedarf es keines gesonderten Erlaubnistatbestandes.Liegt keine ADV gem. § 11 BDSG vor, müsste
für die Übermittlung der Daten an den Dienstleister eine gesetzliche Erlaubnis oder eine Einwilligung jedes einzelnen Betroffenen vorliegen.
Der Gesetzgeber hat das Privileg der ADV mit einer Reihe von Auflagen verbunden, für deren Einhaltung vor allem der Auftraggeber verantwortlich ist. Werden diese Auflagen nicht eingehalten, kann ein Verstoß gegen das BDSG vorliegen, der als Ordnungswidrigkeit geahndet werden kann.
Zudem kann es sein, dass eine nicht ordnungsgemäß durchgeführte Auftragsdatenverarbeitung als Übermittlung im Sinne des Datenschutzrechtes angesehen werden kann, für dieses möglicherweise keinen Erlaubnistatbestand gibt und die somit nicht zulässig ist bzw. war.
Eine unzulässige Übermittlung von Daten kann für die übermittelnde und verantwortliche Stelle und für die empfangende verantwortliche Stelle weit reichende Folgen haben, z.B. dass die gesamte Datenverarbeitung unzulässig ist und beispielsweise Geldbußen, Schadensersatz und andere Folgen für alle beteiligten verantwortlichen Stellen haben kann.
Auftraggeber und Auftragnehmer sollten daher stets darauf achten, dass die ADV entsprechend den rechtlichen Vorschriften durchgeführt wird.
Anforderungen an die ADV sind:
- Weisungsbefugnis des Auftraggebers
- Weisungsgebundenheit des Auftragnehmers
- Schriftliche Beauftragung entsprechend den gesetzlichen Vorgaben
- Vorgaben für die technischen und organisatorischen Maßnahmen des Auftragnehmers
- Kontrolle des Auftragnehmers durch den Auftraggeber
Fehlen eine oder mehrere der genannten Anforderungen, können die oben angeführten Folgen auftreten.
von Oliver Gönner
Das deutsche Amazon Unternehmen BuyVIP das sich als “Private Sales Club” für Markenangebote versteht, wurde gehackt. Das Unternehmen hat unverzüglich alle Kunden über diesen Umstand informiert. Nach eigenen Angaben seien Bankdaten nicht betroffen und die Zugangsdaten seien verschlüsselt gewesen.
Trotzdem ist allen Kunden zu empfehlen, die Zugangsdaten zu wechseln. An diesem Beispiel zeigt sich wieder einmal eindrucksvoll, dass der Schutz von Daten im Internet gleich ob personenbezogene Daten oder Firmendaten eine sehr große Herausforderung darstellt.
Eine Informationspflicht nach § 42a BDSG hat nicht bestanden. Das Unternehmen hat mit der Information sehr vorbildlich auf den Hack reagiert.
von Oliver Gönner
Wie das Bundesarbeitsgericht in seiner Pressemitteilung zum Urteil vom 23. März 2011 – 10 AZR 562/09 – bekannt gegeben hat, kann der Widerruf der Bestellung zum Datenschutzbeauftragten nur aus wichtigem Grund gemäß § 626 BGB erfolgen.
Weder die Mitgliedschaft des Datenschutzbeauftragten im Betriebsrat noch betrieblich geplante organisatorische Änderungen begründen den Widerruf der Bestellung zum Datenschutzbeauftragten.
Unternehmen sollten ihre Datenschutzbeauftragten mit Bedacht auswählen, da der Widerruf der Bestellung nur in Ausnahmefällen möglich ist.
Sollte aber durch eine Beförderung ein Interessenskonflikt zwischen der angebotenen neuen Stelle und der Funktion Datenschutzbeauftragter bestehen, dann wird die Entscheidung des BAG neu überdacht werden müssen.
Auch bei der Bestellung von externen Datenschutzbeauftragten wird in der Regel eine Ausstiegsklausel vereinbart. Mit Wegfall des Dienstleistungsvertrags verpflichtet sich der externe Datenschutzbeauftragte üblicherweise zur Niederlegung des Amtes.
von Oliver Gönner
Auftragsdatenverarbeitung
Was muss in dem Vertrag zur Auftragsdatenverarbeitung geregelt sein?
- Gegenstand und Dauer des Auftrags
- Umfang der Datenverarbeitung
- Art und Zweck der Datenverarbeitung
- Technische und organisatorische Maßnahmen
- Betroffenenrechte
- Unterauftragsverhältnisse
- Kontrollrechte des Auftraggebers
- Informationspflichten des Auftragnehmers
- Weisungsbefugnis des Auftraggebers
- Rückgabe und Löschung von Daten und Datenträgern nach Beendigung des Auftrags
Mustervertrag des Landesbeauftragten für Datenschutz Niedersachsen:
http://www.lfd.niedersachsen.de/download/32351
von Oliver Gönner
Für eine Neugestaltung der technisch organisatorischen Maßnahmen spricht sich der Bundesbeauftragte für Datenschutz aus und fordert in seinem 23. Tätigkeitsbericht eine Abkehr von den konkret auf eine bestimmte technische Umgebung fixierten Sicherheitsmaßnahmen zugunsten allgemein verbindlicher Schutzziele.
Diese Schutzziele sollen sein:
- Verfügbarkeit
Es ist zu gewährleisten, dass personenbezogene Daten und Verfahren zu ihrer Verarbeitung zeitgerecht zur Verfügung stehen und ordnungsgemäß angewendet werden können.
- Vertraulichkeit
Es ist zu gewährleisten, dass nur befugt auf personenbezogene Verfahren und Daten zugegriffen werden kann.
- Integrität
Es ist zu gewährleisten, dass Daten aus personenbezogenen Verfahren unversehrt, zurechenbar und vollständig bleiben.
- Transparenz
Es ist zu gewährleisten, dass die Erhebung und Verarbeitung personenbezogener Verfahren und die Nutzung mit zumutbarem Aufwand nachvollzogen, überprüft und bewertet werden können.
- Zweckbindung
Es ist zu gewährleisten, dass personenbezogene Verfahren so eingerichtet sind, dass deren Daten nicht oder nur mit unverhältnismäßig großem Aufwand für einen Anderen als den ausgewiesenen Zweck erhoben, verarbeitet und genutzt werden können.
- Intervenierbarkeit
Es ist zu gewährleisten, dass personenbezogene Verfahren so gestaltet werden, dass sie dem Betroffenen die Ausübung der ihm zustehenden Rechte wirksam ermöglichen.
Die klassischen IT-Sicherheitsschutzziele Verfügbarkeit, Unversehrtheit und Vertraulichkeit werden im Datenschutz um die Schutzziele Transparenz, Zweckbindung und Intervenierbarkeit erweitert. Diese Erweiterung trägt den Anforderungen im Datenschutz Rechnung. Durch die Abkehr von konkret benannten Maßnahmen im Gesetz, hin zu Schutzzielen wird erreicht, dass die gesetzliche Regelung nachhaltig bestehen bleibt.
So können die Maßnahmen, die die Schutzziele umsetzen, den konkreten Anforderungen und Einsatzbedingungen entsprechend weiterentwickelt werden.
