Header graphic for print
Datenschutz News & Trends
Rubrik: Datensicherheit, Kundendatenschutz

Die Do’s und Don’t’s des deutschen Datenschutzes: Jahresberichte der Bayerischen und Berliner Behörden

Das Bayerische Landesamt für die Datenschutzaufsicht (BayLDA) und der Berliner Beauftragte für Datenschutz und Informationsfreiheit (BerlinBDI) haben im März ihre Jahresberichte für 2012 (Berlin) und 2011/2012 (Bayern) vorgelegt. Die Berichte betreffen in erster Linie Unternehmen mit Datenverarbeitungen in Bayern und Berlin, haben wegen der aufgeworfenen Probleme und Lösungsvorschläge für viele Bereiche des Datenschutzes aber allgemeine Bedeutung.

Deutlicher Anstieg von Kontrollen

Die Zahl der von der BayLDA eingeleiteten Ordnungswidrigkeitenverfahren ist deutlich gestiegen (144 Verfahren im Jahr 2012 im Vergleich zu 30 Verfahren im Vorjahr). Die 2371 Fälle des vom BayLDA beanstandeten Einsatzes von Google Analytics sind ebenfalls ein deutliches Zeichen für die gestiegene Kontrollaktivität der Aufsichtsbehörden. 39 Bußgeldbescheide und drei Strafanträge bekunden einen deutlichen Willen zur Durchsetzung des Datenschutzrechts. Die hohe Anzahl der Kontrollen ohne vor-Ort-Besuch (13.404 im Jahr 2012) geht auf die elektronische Prüfung der Einhaltung der Regelungen zu Google Analytics zurück.

Auch im Bereich der Banken ist das BayLDA proaktiv tätig geworden und hat stichprobenartig bei 42 Banken und Sparkassen die Einhaltung datenschutzrechtlicher Pflichten abgefragt (Bestellung von Datenschutzbeauftragten, Verträge mit Auftragsdatenverarbeitern, technische und organisatorische Schutzmaßnahmen).

„Wenn die Aufsichtsbehörde klingelt“

Der BerlinBDI weist darauf hin, dass die Behörde bei Beschwerden über Datenschutzverstöße vor Ort Kontrollen vornimmt. Er listet die klassischen Fehler unter der treffenden Überschrift „Wenn die Aufsichtsbehörde klingelt“ wie folgt auf: Fehlendes Verfahrensverzeichnis, unzureichende Verträge mit Auftragsdatenverarbeitern, fehlende Unabhängigkeit oder Sachkunde des Datenschutzbeauftragten, fehlendes Lösch- und Sperrkonzept, Missachtung der Auskunftsrechte von Betroffenen, fehlende Verpflichtung auf das Datengeheimnis.

Welche Punkte sind besonders interessant für Unternehmen?

Cloud Computing: Das BayLDA verweist in erster Linie auf die Orientierungshilfe Cloud Computing der deutschen Datenschutzbehörden aus dem Jahr 2011, sowie das Arbeitspapier WP196 der Artikel 29 Arbeitsgruppe. Besonders geht das BayLDA aber auf die gestufte Unterauftragsvergabe ein. Bei der Vergabe von Unteraufträgen durch einen Auftragnehmer aus dem Europäischen Wirtschaftsraum (EWR) an Nicht-EWR-Unterauftragnehmer wird auf die bereits bekannte Anforderung verwiesen, dass der Kunde einen eigenen Vertrag mit dem Unterauftragnehmer braucht.

Datenschutzbeauftragter: Mitglieder der Rechtsabteilung und der Revision können nach der BayLDA diese Aufgabe übernehmen; bei Personalleitern, IT-Leitern und auch IT-Administratoren wird ein Interessenkonflikt nahe liegen.

Google Analytics: Das BayLDA kontrollierte mit einer selbst geschriebenen Software, ob Internetseiten von bayerischen Unternehmen die Beschlüsse des Düsseldorfer Kreises zum Einsatz von Analysetools im Internet umsetzen. Die entdeckten Verstöße (2.371) wurden zum größten Teil nach Einleitung des Verfahrens von den Unternehmen abgestellt, von den verbliebenen Bußgeldverfahren führten nur sechs zu bestandskräftigen Bußgeldbescheiden.

Technische Datenschutzmängel bei Internet-Angeboten („Privacy by design“): Eine Reihe von Mängeln bei der technischen Umsetzung von Internet-Angeboten wird vom BayLDA gerügt. Bemängelt wurde der Einsatz von Webapplikationen (im konkreten Fall: Verwaltung von Schülerdaten im Internet zur Nutzung von Schulessen), die über eine Änderung von URL-Daten auch Zugriffe auf andere Personen erlauben, und zwar auch unbeteiligten Dritten, die über einen Demo-Zugriff der Applikation das System erkennen können. Auch wird die Verwendung von Analysetools in Verbindung mit Programmfehlern gerügt, die dazu führt, dass vom Internet-Anbieter während der Seitennutzung generierte URLs, die persönliche Daten bis hin zum Login-Passwort enthalten, an die Anbieter der Analysetools weitergeleitet werden (Stichwort: „ungewollte Datenübertragung an Dritte“). In der konkreten Ausgestaltung liege ein Verstoß gegen die Bestimmung von § 9 BDSG (Bundesdatenschutzgesetz), Anlage, Ziffer 2 (Zugangskontrolle), die einen sicheren Umgang mit Zugangsdaten fordert. Dies zeigt, dass sich das BayLDA zunehmend mit technischen Fragen auseinandersetzt.

Versicherungswirtschaft: Als erster praktischer Anwendungsfall des § 38a BDSG (Verhaltensregeln zum Datenschutz) wurde ein Code of Conduct zum Umgang mit personenbezogenen Daten durch die deutsche Versicherungswirtschaft nach Diskussion im Düsseldorfer Kreis vom für den Gesamtverband zuständigen BerlinBDI am 2.11.2012 als geeignet iSd. § 38a BDSG festgestellt. Ebenfalls verhandelt wurde eine neue Einwilligungs- und Schweigepflichtsentbindungserklärung für die Versicherungswirtschaft, über die für bestehende Verträge allerdings nur informiert werden muss, die für Neuabschlüsse aber verwendet werden sollte.

Banken: Relevant für Banken, aber auch alle freien Berufe ist das Bußgeld durch das BayLDA für den freien Zugang zu personenbezogenen Kundendaten einer Bank, den diese einem Unternehmensberater eingeräumt hatte, und zwar in größerem Umfang als dies für den Auftrag des Unternehmensberaters erforderlich gewesen wäre. Damit wird in Zukunft die verantwortliche Stelle genau prüfen müssen, ob Daten vor der Weitergabe an einen Berater (selbst bei entsprechenden Verschwiegenheitspflichten) anonymisiert werden müssen. Der BerlinBDI weist darauf hin, dass Grenzen des BDSG auch dann zu beachten sind, wenn Banken Daten nach dem Gesetz über das Kreditwesen (KWG) erheben, oder sich auf Genehmigungen der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) stützen, insbesondere im Zusammenhang mit Maßnahmen zur Aufdeckung von Geldwäsche.

Internationaler Datentransfer und Sub-Unternehmer: Hier verweist die BayLDA auf eine intensive Diskussion aller deutschen Datenschutzbehörden und die „Inländerdiskrimierung“: Wenn z.B. ein deutsches Unternehmen einen US-amerikanischen Dienstleister als Auftragsdatenverarbeiter einschaltet, so darf dieser Auftragnehmer unter Safe Harbor Regelungen und nach den EU-Standardvertragsklauseln weitere Sub-Unternehmer im eigenen Namen (unter-)beauftragen (nach Zustimmung des Auftraggebers). Anders ist es, wenn die deutsche verantwortliche Stelle zunächst einen deutschen Auftragsdatenverarbeiter einschaltet, und dieser nunmehr einen US-amerikanischen Sub-Unternehmer einschalten will: Für dieses Modell gibt es keine passenden EU-Standardverträge. Neben dem Direktvertrag zwischen deutschem Auftraggeber und US-amerikanischem Sub-Unternehmer kommt nur eine Stellvertretung in Frage: Der Auftragnehmer schließt im Namen und im Auftrag seines Kunden dann die Verträge mit den Sub-Unternehmern. Die EU-Standardverträge passen aber nicht auf diese Stellvertretung, so dass für diese Fälle das Erfordernis einer Einzelgenehmigung gesehen wird.

Internationaler Datentransfer und Kontrollrechte: Die unmittelbaren Kontrollrechte des Auftraggebers auch bei ausländischen Subunternehmern in „gestuften“ Auftragsverhältnissen hält das BayLDA für „unverzichtbar“, auch wenn diese in der Praxis häufig durch die Vorlage von Zertifikaten durchgeführt werden.

Binding Corporate Rules (BCRs): BCRs gewinnen an Bedeutung. Das BayLDA verweist auf die Notwendigkeit, Datenübermittlung unter genehmigten BCRs in einzelnen Ländern und auch Bundesländern genehmigen zu lassen, und die Zusammenfassung dieser Anforderung in einem Arbeitspapier der Artikel 29 Arbeitsgruppe. Antragsteller sollten frühzeitig klären, ob nur eine Haftung für Verstöße übernommen werden soll, die Daten aus dem EWR betreffen, oder ob eine weitergehende Haftung für Daten auch aus sonstigen Regionen (freiwillig) übernommen wird.

Bewerberdaten: Das BayLDA sieht bei der Speicherung von Bewerberdaten aus Gründen der Abwehr von Ansprüchen nach dem Allgemeinen Gleichbehandlungsgesetz (AGG) eine Frist von sechs Monaten nach Abschluss des Bewerbungsverfahrens als gerechtfertigt an. Diese Frist gelte auch für die Speicherung von Daten aus Initiativbewerbungen.

Unternehmenskäufe: Eine Weitergabe von bestimmten personenbezogenen Daten der Leitungsebene (Gehälter, Pensionsverpflichtungen etc.) an einen potentiellen Erwerber des Unternehmens ist nach Auffassung des BayLDA vertretbar, nicht jedoch die Weitergabe der gesamten Arbeitsverträge. Bei „normalen“ Arbeitnehmern dürfen Daten allenfalls anonymisiert weitergegeben werden.

Archivierung von E-Mails der Beschäftigten: Soweit eine private Nutzung erlaubt ist, sieht das BayLDA die Notwendigkeit, eine Einwilligung der Beschäftigen einzuholen, bevor diese E-Mails archiviert werden, denn die Vorschriften des Handelsrechts rechtfertigen nur die Speicherung von dienstlichen E-Mails. (Die Frage der Freiwilligkeit dieser Einwilligung wird nicht problematisiert.)

Abgleich mit Terrorlisten: Der Abgleich von Bewerberdaten mit den EU-Terrorlisten (EG-Verordnungen Nr. 2580/2001 und Nr. 881/2002) ist nach Auffassung des BayLDA nach § 28 Abs. 1 Nr. 2 BDSG (Wahrung berechtigter Interessen) gerechtfertigt. Auf die unterschiedliche Begründung des Bundesfinanzhofes (BFH) in seinem Urteil vom 19.6.2012 (§ 32 Abs. 1 Satz 1 BDSG) wird hingewiesen. Die Mitarbeiter sind auf die Abgleiche hinzuweisen, und sie sollten nicht häufiger als jährlich erfolgen.

Zugriff des Arbeitgebers auf E-Mails verdächtiger Mitarbeiter: Das BayLDA hat es für gerechtfertigt angesehen, in einem Unternehmen mit erlaubter Privatnutzung der E-Mails die E-Mail-Konten von Mitarbeitern, gegen die konkrete Verdachtsmomente vorlagen, nach bestimmten Begriffen durchsuchen zu lassen. Voraussetzung sei, dass die Suchbegriffe so gewählt sind, dass private E-Mails gemieden werden, und dass möglichst neben einem IT-Mitarbeiter der Datenschutzbeauftragte an der Kontrolle teilnimmt.

Mitarbeiterbefragungen: Bei anonymen Mitarbeiterbefragungen ist nach Auffassung der BayLDA sicherzustellen, dass eine Re-Personalisierung ausgeschlossen ist, dabei ist eine Mindestzahl von drei Personen in einer Auswertungsgruppe nicht ausreichend. Ein Zugang zu den Rohdaten durch den Arbeitgeber ist möglichst auszuschließen (bei Durchführung durch externen Dienstleister). Komplexere Fragen wirft eine Online-Mitarbeiterbefragung auf wegen der elektronischen Spur des Mitarbeiters (IP-Adresse, Cookies).

BYOD: Die Nutzung privater Telefon- und Datengeräte für berufliche Zwecke (Bring Your Own Device) beschäftigte BayLDA und BerlinBDI: Die Praxis habe noch keine datenschutzrechtlich ausreichenden Antworten gefunden (BayLDA). Der BerlinBDI hält fest, dass das Unternehmen verantwortliche Stelle bleibt und eine schriftliche (freiwillige) Vereinbarung zu schließen sei, unter Beachtung von Mitbestimmungsrechten des Betriebsrates, zur Nutzung der Geräte, insbesondere zur Trennung von und Zugriff auf dienstliche und private Daten, und zur Löschung von Daten. Wichtig sind Sicherheitsmaßnahmen (Zwei-Faktoren-Authentifizierung: SIM-Kartensperre und Bildschirmsperre).

Smart Metering: Der BerlinBDI verweist auf die Orientierungshilfe zu dem Einsatz „intelligenter“ Strom-Messgeräte (Smart Meter), die Anwendungsbeispiele gibt.

Social Plug-ins und Zwei-Klick-Lösung: Der BerlinBDI begrüßt, dass zunehmend Unternehmen, die ihre Webseiten mit Sozialen Netzwerken verknüpfen, die sog. „Zwei-Klick-Lösung“ anwenden. Dabei werden personenbezogene Daten des Nutzers (IP-Adresse und Browser-Einstellung) nur übertragen, wenn der Nutzer die entsprechende Schaltfläche des Sozialen Netzwerks auf der Webseite angeklickt hat.

Die Berichte sind im Internet abrufbar:

Jahresbericht des Bayerischen Landesamts für die Datenschutzaufsicht:
http://www.lda.bayern.de/lda/datenschutzaufsicht/lda_daten/dsa_Taetigkeitsbericht20112012.pdf

Bericht 2012 des Berliner Beauftragten für Datenschutz und Informationsfreiheit:
http://www.datenschutz-berlin.de/attachments/942/2012-JB-Datenschutz.pdf?1363963098 

Diese Webseite verwendet Cookies. Wenn Sie diese Webseite nutzen, akzeptieren Sie die Verwendung von Cookies. Mehr erfahren

Ich stimme zu