Warten Sie nicht auf die Prüfung durch die Aufsicht!

www.datenschutz-praxis.de
RECHT S SICHER | VOLL STÄ NDIG | DAUERH A F T
Ausgabe Januar 2015 | 14 € zzgl. MwSt.
Mitarbeitersensibilisierung
Rechtsgrundlage, Umfang, Form
Der Auskunftsanspruch nach
§ 34 BDSG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2
Quelle: scanrail/iStock/Thinkstock
„Wasserdicht“ organisieren
Verräterische Daten
Metadaten: Warum Unternehmen sich
schützen müssen . . . . . . . . . . . . . . . . . . . . . . . .
4
Best Practice
Neue Orientierungshilfe des Düsseldorfer Kreises
Praxistipps der Aufsichtsbehörden
(nicht nur) für Cloud Computing . . . . . . . . .
6
E-Mail-Sicherheit
Kontroll-Know-how
Warten Sie nicht auf die Prüfung
durch die Aufsicht!
Das Landesamt für Datenschutzaufsicht in Bayern hat zahlreiche Mailserver von
Unternehmen überprüft und Mängel in der Verschlüsselung festgestellt. Auch in
anderen Bundesländern sind ähnliche Prüfungen denkbar. Unternehmen sollten
sich aber nicht nur deshalb um ihre E-Mail-Verschlüsselung kümmern.
E-Mail-Sicherheit
Warten Sie nicht auf die Prüfung durch
die Aufsicht! . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1; 10
News & Tipps
Düsseldorfer Kreis
Leitfaden zu
„Werbung und Adresshandel“
. . . . . . . . . . 12
Stellungnahme der Gruppe nach Art. 29
◗ Langjährige Datenschutzbeauftragte können meist kaum noch zählen,
wie oft sie bereits darauf hingewiesen
haben, dass sich E-Mails im Internet
abfangen und von unbefugten Dritten
lesen lassen. Für den Austausch vertraulicher Daten wie beispielsweise
Kundenlisten sind E-Mails nicht geeignet, nicht nur wegen der meist bestehenden Größenbeschränkung für
Dateianhänge, sondern ganz besonders wegen des fehlenden Schutzes der
Vertraulichkeit und der Integrität.
Die E-Mail-Verschlüsselung ist immer
noch ein Sorgenkind
Zweifellos haben Sie deshalb schon
mehrere Mitarbeiter-Unterweisungen
abgehalten, wie wichtig die Verschlüsselung von E-Mails doch ist. Schaut
man sich aber die Situation in Unternehmen an, sieht es weiterhin bedenklich aus:
• Etwa zwei Drittel der Berufstätigen, die dienstliche E-Mails
verschicken, können an ihrem
Arbeitsplatz keine Verschlüsselung für die Nachrichten nutzen.
• Weitere 19 Prozent haben zwar
die technischen Voraussetzungen
für E-Mail-Verschlüsselung, sie
können sie aber grundsätzlich
nicht einsetzen.
• Nur jeder Siebte verschlüsselt
zumindest hin und wieder berufliche E-Mails, so das Ergebnis
einer repräsentativen Befragung
im Auftrag von BITKOM.
Folgen aus dem
„Google-Spain-Urteil“
Neu gestalteter Internetauftritt
Hinweis- und
Informationssystem (HIS) . . . . . . . . . . . . . . .
12
Rechtskompass
Alles andere als Stillstand
Datenschutz-Grundverordnung:
Sieben offene Streitpunkte . . . . . . . . . . . . . .
13
Meinung
E-Government und die IT-Sicherheitspflicht des Staats . . . . . . . . . . . . . . . . . . . . . . .
16
YouTube, Redtube & Co.
Streaming – rechtlich zulässig oder
nicht? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
18
Deutsch? Juristisch Deutsch!
Sozialüblich
Fortsetzung auf Seite 10
. . . . . . . . . . . . . . . . . . 12
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
Vorschau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
ISSN-Nr. 1614-6867
Mitarbeitersensibilisierung
Rechtsgrundlage, Umfang, Form
Der Auskunftsanspruch nach
§ 34 BDSG
Editorial
Themenvielfalt meistern
Liebe Leserinnen und Leser,
Je nach Branche ist ein Unternehmen mehr oder weniger häufig mit Auskunftsersuchen von Betroffenen konfrontiert. Dabei reichen die Anfragen der Betroffenen
von allgemeinen Formulierungen bis hin zu speziellen Fragen hinsichtlich der bei
der verantwortlichen Stelle gespeicherten Daten. Hier stellt sich immer wieder die
Frage, wie weit der Auskunftsanspruch geht, wie eine Auskunft konkret aussehen sollte und wie oft sie erteilt werden muss. Dieser Beitrag gibt hierfür Hilfestellungen, die Sie an die Mitarbeiter weitergeben können.
das vorliegende Heft ist wieder gespickt mit wichtigen Beiträgen zum
Tagesgeschäft wie E-Mail-Sicherheit, zu strategischen Themen, z.B.
Metadatenschutz und Cloud Computing, sowie zum Stand der politischen Diskussion bezüglich der
Datenschutz-Grundverordnung.
◗ Das informationelle Selbstbestimmungsrecht setzt voraus, dass der
Betroffene wissen muss, welche Daten über ihn wo und in welcher Form
gespeichert sind. Auch über die Herkunft der Daten sowie den Zweck der
Speicherung darf der Betroffene Auskunft verlangen.
Ich lege Ihnen jeden einzelnen Beitrag ans Herz, muss Ihnen aber die
Priorisierung Ihrer Schritte überlassen. Dies jedoch nicht, ohne Sie auf
die Funktion „Weitere Beiträge“ zu
einem Thema in den Beiträgen in
unserem Online-Portal datenschutzpraxis.de hinzuweisen, das Sie als
Abonnent kostenlos nutzen können.
Mit der beschriebenen Funktion
können Sie in unserem Archiv passende weiterführende Beiträge lesen.
Auskunftsanspruch besteht gegenüber
der verantwortlichen Stelle
Online wie offline stellen unsere
Autoren praktikable Praxislösungen
vor, die alle notwendigen Schritte
beinhalten und gleichzeitig auf das
zeitlich und finanziell Machbare
abstellen. Wir helfen Ihnen mit unserer Darstellung der Themen, die
Umsetzung und die Priorisierung zu
erleichtern.
Viel Spaß bei der Lektüre!
Ihr Dominikus Zwink
Chefredakteur
2
Die Anspruchsgrundlage für die Auskunft an den Betroffenen ist § 34 Bundesdatenschutzgesetz (BDSG). Er regelt die Auskunft umfangreich.
Der Auskunftsanspruch richtet sich
immer gegen die verantwortliche Stelle im Sinne des § 3 Abs. 7 BDSG,
also gegen jede Person oder Stelle, die
personenbezogene Daten für sich erhebt, verarbeitet oder nutzt oder dies
durch andere im Auftrag vornehmen
lässt. Jeder Betroffene hat gegenüber
der verantwortlichen Stelle einen Anspruch auf Auskunft.
Sind keine Daten vorhanden, muss
auch das mitgeteilt werden
Dies setzt aber notwendigerweise voraus, dass zumindest ein „Betroffener“
vorhanden ist, also eine Person, die
davon ausgehen kann, dass eine verantwortliche Stelle überhaupt Daten
von ihr gespeichert hat. Sollten dort
allerdings keine Daten des Betroffenen
gespeichert sein, so ist dies dem Anfragenden ebenfalls mitzuteilen.
Zentral: Der Betroffene muss sich
identifizieren
Wichtig hierbei ist, dass der Betroffene
sich gegenüber der verantwortlichen
Stelle entsprechend identifiziert, sodass tatsächlich nur der Betroffene
Auskunft über seine eigenen Daten erhält und kein Unbefugter.
Die Form der Anfrage ist im Gesetz
nicht festgelegt
Wie eine solche Identifizierung auszusehen hat, ist nicht ausdrücklich
geregelt. Hier empfiehlt es sich, firmenintern Vorgaben zu machen, die
schriftlich dokumentiert werden.
Zum Beispiel wäre die Abfrage von
Vor- und Nachnamen, Geburtsdatum, Adresse und ggf. Telefonnummer ein probates Mittel, um den Betroffenen zu identifizieren, falls eine
Anfrage telefonisch erfolgt. Dies ist
nämlich grundsätzlich möglich. Das
Auskunftsverlangen unterliegt keiner
bestimmten Form und kann auch telefonisch geltend gemacht werden.
Alternativ könnte der Betroffene gebeten werden, sein Auskunftsbegehren
schriftlich zu stellen. Zwar bedarf wie
eben geschildert die Geltendmachung
des Auskunftsanspruchs keiner Form.
Allerdings eröffnet die schriftliche Anfrage des Betroffenen die Möglichkeit,
seine Unterschrift mit einer etwaig bei
der verantwortlichen Stelle vorhandenen Unterschrift abzugleichen.
Ausgabe 01 | 15
Mitarbeitersensibilisierung
Keine Personalausweiskopie zulässig!
Hingegen kann ein Unternehmen
grundsätzlich keine Kopie des Personalausweises fordern. Hierbei könnte
ein Verstoß gegen das Personalausweisgesetz vorliegen. Falls der Betroffene bei der verantwortlichen Stelle
persönlich vorstellig wird, kann man
ihn hingegen auffordern, seinen Personalausweis vorzulegen, um eine Identifizierung zu ermöglichen.
Wann kann ein Unternehmen die
Auskunft verweigern?
Unter Umständen muss die verantwortliche Stelle keine Auskunft an den
Betroffenen erteilen.
Die Information hinsichtlich der Herkunft der Daten des Betroffenen sowie
die Empfänger (§ 34 Abs. 1 Satz 1 Nr.
1 und 2 BDSG) kann aber lediglich
dann verweigert werden, wenn das Interesse an einem Geschäftsgeheimnis
der verantwortlichen Stelle überwiegt.
Sollte keine Auskunft erteilt werden,
so ist dies dem Betroffenen mit einer
Begründung mitzuteilen, sodass er darüber entscheiden kann, ob er weitere
(rechtliche) Schritte in Anspruch nehmen möchte.
Keine falschen Aussagen treffen!
Und betont werden sollte an dieser
Stelle: Die verantwortliche Stelle darf
Auskunftsverlangen durch einen
anderen am besten nur schriftlich
Der Betroffene muss nicht selbst den
Auskunftsanspruch stellen. Vielmehr ist
es möglich, dass er eine andere Person
mit diesem Ersuchen beauftragt. Um zu
dokumentieren, dass die verantwortliche
Stelle keine Auskunft an Unberechtigte
erteilt, ist jedoch empfehlenswert, eine
Vollmacht zu verlangen. Das ist bei einer telefonischen Anfrage praktisch unmöglich. Daher sollte die verantwortliche
Stelle auf einer schriftlichen Anfrage mit
Zusenden einer Vollmacht bestehen.
Ausgabe 01 | 15
niemals bewusst die falsche Aussage
treffen, es seien keine Daten des Betroffenen vorhanden. Auch gar keine
Auskunft zu erteilen, ist keine Option.
Umfang der Auskunft
§ 34 BDSG regelt, dass die verantwortliche Stelle dem Betroffenen Auskunft erteilen muss
• über die zu seiner Person gespeicherten Daten, auch soweit sie
sich auf die Herkunft dieser Daten
beziehen,
• über den Empfänger oder die
Kategorien von Empfängern, an die
Daten weitergegeben werden,
• sowie über den Zweck der Speicherung der Daten.
Fraglich ist dabei, wie umfangreich
eine Auskunft ausgestaltet sein muss.
Hier sind mehrere Punkte zu beachten, die kurz vorgestellt werden.
die Quelle der Daten dem Betroffenen
mitgeteilt werden.
Daten aus dem Internet
Werden Daten aus veröffentlichten
Angaben im Internet entnommen und
teilt das die verantwortliche Stelle dem
Betroffenen mit, so ist dies ausreichend. Erst kürzlich hat für eine solche Konstellation das AG Leipzig (Urteil vom 18.07.2014 – 107 C 2154/14,
noch nicht rechtskräftig) entschieden,
dass dem Auskunftsanspruch hinsichtlich der Herkunft der Daten Genüge
getan wird, wenn die verantwortliche
Stelle angibt, dass die Daten veröffentlichten Angaben im Internet entnommen wurden. (Hier war es die Homepage des Rechtsanwalts.)
Auch wurde im vorliegenden Fall der
Zweck der Speicherung – hier die
Organisation von Kongressveranstaltungen durch die Beklagte – dem Kläger in ausreichendem Maße mitgeteilt.
Weitergabe an Dritte
Art und Weise der Auskunft
Da § 34 Abs. 1 Satz 1 Nr. 2 BDSG
von „Empfänger“ bzw. Kategorien von
Empfängern spricht und gemäß § 3
Abs. 8 BDSG daher keine Dritten mit
diesem Wortlaut umfasst sind, hat dies
zur Folge, dass auch eine Weitergabe
von Daten, die beispielsweise im Rahmen der Auftragsdatenverarbeitung
erfolgt ist, dem Betroffenen mitgeteilt
werden muss.
Was ist mit gesperrten Daten?
Auch gesperrte Daten unterliegen als
gespeicherte Daten dem Auskunftsanspruch. Nach Bergmann/Möhrle/
Herb, Datenschutzrecht, Ergänzungslieferung, April 2010, § 34 Rn 40, 41,
gilt das Verarbeitungs- und Nutzungsverbot der gesperrten Daten nicht gegenüber dem Auskunftsersuchen eines
Betroffenen.
Während das Auskunftsverlangen an
keine Form gebunden ist und damit
das Begehren mündlich oder schriftlich – auch ein Auskunftsersuchen per
E-Mail ist denkbar – vorgetragen werden kann, ist die Auskunft der verantwortlichen Stelle gemäß § 34 Abs. 6
BDSG auf Verlangen in Textform zu
erteilen, soweit nicht wegen der besonderen Umstände eine andere Form der
Auskunftserteilung angemessen ist.
Immer den Datenschutzbeauftragten
einbeziehen!
Alles in allem sollte bei einem Auskunftsersuchen immer der Datenschutzbeauftragte hinzugezogen werden, der Art und Umfang der Auskunft
im Auge behält.
Doris Brandl
Grundsätzlich ist der Umfang des Auskunftsanspruchs weit zu verstehen.
Auch die Bezeichnung der Daten muss
ebenso wie die Herkunft und damit
Doris Brandl ist Rechtsanwältin und zertifizierte
Datenschutzbeauftragte (IHK) bei der BDO AWT
GmbH in München.
3
„Wasserdicht“ organisieren
Verräterische Daten
Metadaten: Warum Unternehmen
sich schützen müssen
Wer wann mit wem wie viele Daten austauscht – das verraten die Metadaten.
Insbesondere wenn viele davon gesammelt werden, lassen sich aus ihnen mehr
Schlüsse ziehen, als den Anwendern lieb sein kann. Vor allem weil sie leicht auszuwerten sind, leichter als die Inhalte einer Verbindung, gefährden ungeschützte
Metadaten die Vertraulichkeit.
◗ Metadaten sind „einmalig einfach zu
analysieren.“ Zu diesem Schluss kam
der Computerwissenschaftler Edward
Felten, Professor an der Princeton University, bereits voriges Jahr in einem
Gutachten für den US-Senat: Anders
als die komplexen Daten, die mühsam
aus den Inhalten eines Anrufs, einer
Videobotschaft oder einer E-Mail mit
all den Variationen in der Sprache, in
der Stimme und im Konversationsstil
herausgefiltert werden müssten, seien
Metadaten „strukturiert“.
Maschinell lesbar und auswertbar
Zu den Metadaten gehören alle Daten,
die Informationen über Inhalte geben,
z.B. bei einer E-Mail die Adressen des
Senders und des Empfängers oder bei
Dateien deren Größe. Da sie generiert
werden, um die eigentlichen Daten zu
beschreiben, sind sie gerade dann nötig, wenn es größere Datenmengen zu
verwalten gibt. Eines der Merkmale
von Metadaten ist daher, dass man sie
maschinell lesen und auswerten kann.
Verbindungsdaten verraten viel zu viel
Was verraten diese Daten tatsächlich?
Was lässt sich mit ihnen anfangen?
Diese Fragen haben Forscher an der
Stanford-Universität in einer Studie
gestellt. Sie sammelten mit einer legalen Spionagesoftware Daten von Freiwilligen und waren über das Ergebnis
verblüfft: Die Forscher konnten in
kürzester Zeit 91 Prozent der an sich
anonymen Daten ihrer Probanden
eindeutig identifizieren. Sie erfuhren
einiges über Verfehlungen, Familienplanungen und außereheliche Affären.
Fünf Monate dauerte das Experiment
insgesamt. Das Resultat: Die vermeintlich anonymen Verbindungsdaten gaben Geheimnisse preis, die man kaum
privat jemanden anvertrauen will –
geschweige denn einer vom Staat ge-
führten oder von einem Unternehmen
unterhaltenen Datenbank.
Online-Aktivitäten von Mitarbeitern
sind verräterisch
Dass es dazu nicht unbedingt einer
Verfehlung bedarf, zeigt das Experiment des Niederländers Ton Siedsma: Eine Woche ließ er sich freiwillig
überwachen. Heraus kamen seine Lebensumstände, Freundschaften und
Unternehmungen.
Siedsmas Daten verrieten, dass er als
Anwalt für die Bürgerrechtsorganisation Bits of Freedom (BoF) arbeitet
und sich hauptsächlich mit internationalen Handelsabkommen beschäftigt
sowie mit dem Außenministerium und
einigen Mitgliedern des Parlaments zu
diesem Thema Kontakt hält.
Eine Reihe von Nachrichten drehte
sich in der überwachten Woche um
die Planung einer Leistungsüberprüfung innerhalb der Organisation, die
– vermutlich – der Direktor durchführen sollte. Selbst als Siedsma ein paar
Dateien im geschützten Teil der BoFWebsite aktualisierte, waren die Themen aus den Metadaten ersichtlich:
Die Namen der Dateien schienen in
den URLs auf. Informationen wie diese nehmen Kriminelle als Ausgangspunkt, um von Mitarbeitern weitere
Daten zu bekommen (Stichwort „social engineering“).
Herkömmliche Cloud und Sealed Cloud im Vergleich (Grafik: Dr. Hubert Jäger)
4
Ausgabe 01 | 15
„Wasserdicht“ organisieren
Metadaten sind personenbezogene
Daten und entsprechend zu schützen
Die Tatsache, dass Unternehmen
durch Online-Aktivitäten ihrer Mitarbeiter transparenter werden, als dem
Geschäftserfolg zuträglich ist, verlangt
nach ernst zu nehmenden Maßnahmen. Die Schwierigkeit liegt darin,
dass den Systemanbietern, die direkt
vom Empfänger zum Sender verbinden, die Empfängeradressen bekannt
sein müssen. Das ist der Grund, warum
den Anbietern von Kommunikationsdiensten immer die Verbindungsdaten
vorliegen, selbst wenn eine Ende-zuEnde-Verschlüsselung eingesetzt wird.
Die Metadaten ermöglichen es, auf Inhalte zu schließen. Daher gelten sie als
personenbezogene Daten und unterliegen dem Datenschutz.
So schützen Sie Metadaten – auch vor
dem Anbieter einer Anwendung!
Nach heutigem Stand der Forschung
und Technik lassen sich Metadaten auf
verschiedene Arten schützen:
1. wenn die Botschaft nicht an einen,
sondern an eine Gruppe von Empfängern geht, wobei nur einer den
richtigen Schlüssel zum Öffnen
besitzt. Das Freenet-Projekt folgt
dieser Methode und lässt sich für
Privatpersonen gut nutzen. Problematisch ist, dass diese Lösung bei
den Netzteilnehmern viel Rechenleistung voraussetzt und hohe
Übertragungskapazitäten benötigt.
2. mit dem Einsatz von Mix-Netzen.
Hier werden Nachrichten über
mehrere Zwischenstationen (Mixe)
geleitet. Auch damit lässt sich die
Anonymisierung der Kommunikationsbeziehung erreichen. Die
Sicherheitssoftware TOR nutzt
diese Technik, die so gut schützt,
dass die National Security Agency
(NSA) annimmt, dass jeder, der
einen Server dieses Netzwerks
betreibt, terrorverdächtig ist, und
deshalb in Echtzeit die Kommunikation desselben rastert. Je engmaschiger aber ein Raster ist, desto
Ausgabe 01 | 15
einfacher wird es, die Anonymität
wieder zu zerstören.
3. mit der in Deutschland entwickelten Sealed-Cloud-Technologie.
Sie setzt an zwei Punkten an: Zum
einen sichert sie ein Rechenzentrum so ab, dass die Daten nicht
nur beim Transport zum und vom
Datenzentrum und im StorageSystem in der Datenbank geschützt
sind, sondern auch bei der Verarbeitung. Zum zweiten werden die
ein- und ausgehenden Datenströme
nach Volumen und Zeit verschoben (dekorrelliert), sodass sich
zwischen den Verbindungen keine
Bezüge herstellen lassen.
4. mit der Kombination einer homomorphen Verschlüsselung mit
einem Mix-Network. Auch die homomorphe Verschlüsselung erlaubt
eine Weiterverarbeitung bereits
verschlüsselt vorliegender Daten,
ohne dass der Betreiber zugreifen
kann. Allerdings ist das zum Verbergen der Verbindungsdaten nicht
ausreichend: Denn welches Pseudonym mit welchem Pseudonym
wann und wie viel kommuniziert,
bleibt sichtbar. Damit lassen sich
schnell die Pseudonyme enttarnen.
Schon die Möglichkeit, auf Metadaten
zuzugreifen, kann strafbar sein!
Anwälte, Wirtschaftsprüfer, Ärzte
und Datenschutzbeauftragte, die zu
den sogenannten Geheimnisträgern
gehören, unterliegen neben den für andere Stellen geltenden Datenschutzgesetzen auch dem strengen, nicht dem
Grundsatz der Verhältnismäßigkeit
unterliegenden § 203 Strafgesetzbuch
(StGB) zur Verletzung von Privatgeheimnissen. Auch Behörden und der
öffentliche Dienst müssen sich daran
und an § 353b StGB halten, wenn es
um Dienstgeheimnisse geht.
Diese beiden Gesetze verbieten die
Offenbarung von Geheimnissen, was
bedeutet, dass allein schon die technische Möglichkeit, auf Daten zuzugreifen, strafbar ist: Auch wenn Daten
in einer Cloud durchgängig verschlüs-
selt werden, kann es nämlich „zu einer
Offenbarung von Geheimnissen auf
dem Umweg über Metadaten kommen“, erklärt Steffen Kroschwald,
wissenschaftlicher Mitarbeiter bei der
Projektgruppe verfassungsverträgliche
Technikgestaltung (provet) an der Universität Kassel.
Sealed Cloud für Geheimnisträger
Da die Verknüpfung von Metadaten
höchst verräterisch sein kann, müssen
diese Berufsgruppen glaubhaft alles zu
deren Schutz unternehmen. Zurzeit
sehen Rechtsexperten im Ansatz der
Basistechnologie Sealed Cloud einen
gangbaren Weg, um sogar den Geheimnisträgern den Einsatz von Cloud
Computing rechtlich zu ermöglichen.
Denn diese Technologie kann sowohl
Inhalte als auch Metadaten schützen.
Dr. Hubert Jäger
Dr. Hubert Jäger ist Erfinder und Autor zahlreicher Patente. 2009 gründete er mit zwei
Partnern die Uniscon GmbH, die sich den Schutz
der Daten im Internet zum Ziel gesetzt hat.
Weiterführende Informationen
• http://www.cs.princeton.edu/~felten/
testimony-2013-10-02.pdf
• http://kurzlink.de/sz_metadaten
• http://kurzlink.de/netzpolitikmetadaten
• http://www.freenet.de/index.html
• https://www.torproject.org/
• http://kurzlink.de/netzpolitik_nsa
• http://www.uniscon.de/sealedcloud/
• Detlef Hühnlein, Heiko Roßnagel (Ed.):
Proceedings of Open Identity Summit
2013, Lecture Notes in Informatics,
Volume 223, ISBN 978-3-88579-6176, pp. 185–195.
• Steffen Kroschwald: Verschlüsseltes
Cloud Computing – Auswirkung der
Kryptografie auf den Personenbezug
in der Cloud, Zeitschrift für Datenschutz (ZD) 2014, S. 75–80.
5
Best Practice
Neue Orientierungshilfe des Düsseldorfer Kreises
Praxistipps der Aufsichtsbehörden
(nicht nur) für Cloud Computing
Der Düsseldorfer Kreis hat am 9.10.2014 die Version 2.0 der „Orientierungshilfe –
Cloud Computing“ veröffentlicht. Sie geht inhaltlich weit über die Version 1.0 aus
dem Jahr 2011 hinaus. Die Orientierungshilfe (OH) bietet eine praktische Handreichung insbesondere zur Bewertung von Datenschutzfragen bei der Nutzung von
Cloud Services. Die Erläuterungen und Aussagen des Düsseldorfer Kreises sind
aber nicht auf den Bereich Cloud Computing beschränkt.
◗ Auch wenn man der OH nicht in allen Aussagen folgen möchte, ist sie ein
großer Wurf für die Praxis. Denn sie
macht erkennbar, welchen Standpunkt
die Datenschutzaufsichtsbehörden zu
bestimmten Aspekten im Kontext des
Cloud Computing und zur Auftragsdatenverarbeitung haben.
Auftragsdatenverarbeitung und
Auslandsdatentransfer
Die OH enthält insbesondere Aussagen zu § 11 Bundesdatenschutzgesetz
(BDSG, Auftragsdatenverarbeitung)
und §§ 4b, 4c BDSG (Auslandstransfer), die allgemein gelten und nicht nur
im Kontext des Cloud Computing.
Bedeutung der Orientierungshilfe
Die Orientierungshilfe ist rechtlich nicht
bindend und hat insbesondere keinen
Vorrang vor den gesetzlichen Bestimmungen. Sie enthält aber die Aussage,
wie die Datenschutzaufsichtsbehörden
das Datenschutzrecht anwenden werden.
Es handelt sich insoweit – in gewissem
Umfang – um eine Selbstbindung des
Verwaltungshandelns.
Aufgrund des Vorrangs des Gesetzes ist
aber ein Gericht nicht gehindert, das Datenschutzrecht anders auszulegen und
anzuwenden – sowohl zum Vorteil als
auch zum Nachteil der Beteiligten. Das
soll heißen: Soweit die OH Forderungen
aufstellen sollte, die nicht durch das Gesetz gedeckt sind, hindert das ein Gericht
nicht, die Frage abweichend zu bewerten.
6
Die OH ist mit 41 Seiten sehr umfangreich (zu finden unter http://kurzlink.
de/oh_cloud). Nachfolgend werden
daher besondere Aspekte, aber nicht
alle Aussagen der OH angesprochen.
Anwendungsbereich des Datenschutzrechts – Anknüpfungspunkte
Im Zentrum der OH steht das Verhältnis zwischen dem Cloud-Nutzer,
der die Daten in der Cloud verarbeitet, und dem Cloud-Provider, der den
Cloud-Service bereitstellt. Für die
Frage, welches Datenschutzrecht die
Rahmenbedingungen der Nutzung
von Cloud Services vorgibt, kommt es
jedoch nicht auf dieses Verhältnis an,
sondern vielmehr auf das Verhältnis
zwischen dem Cloud-Nutzer und dem
Betroffenen – also demjenigen, dessen
Daten in der Cloud verarbeitet werden.
Ausschlaggebend ist das Verhältnis
Cloud-Nutzer – Betroffener
Dieses Verhältnis ist der Bewertung
nach § 1 Abs. 5 BDSG zugrunde zu
legen, ob deutsches Datenschutzrecht
zur Anwendung kommt. Danach bestimmt sich ebenso, ob sogenannte
besondere Arten personenbezogener
Daten verarbeitet werden und daher
§ 28 Abs. 6 bis 9 BDSG herangezogen
werden müssen.
Auf dieses Verhältnis ist auch abzustellen für die Frage, ob die Datenschutzbestimmungen des Telekommunikationsgesetzes (TKG) statt die des
BDSG zu beachten sind.
„Doppelte“ Verantwortung des CloudNutzers
Die Verantwortung des Cloud-Nutzers
wird in der OH mehrfach angesprochen und damit in der Gesamtschau
deutlich betont:
• Der Cloud-Nutzer ist sowohl für
die Verwendung der personenbezogenen Daten in der Cloud verantwortlich – also z.B. für die Datenschutzkonformität eines CRM-Tools
– als auch
• für die Nutzung im Wege des Cloud
Computing, also für die Auslagerung der Daten an einen Dritten.
Aus datenschutzrechtlicher Sicht wird
die Verantwortlichkeit also „verdoppelt“. Die OH hat v.a. die datenschutzrechtliche Zulässigkeit der Auslagerung zum Gegenstand.
Einschaltung von Subunternehmern
Diese Verantwortung wird auch in
Bezug auf Unter-Auftragnehmer (Subunternehmer) des Cloud-Providers
betont. Praktisch bedeutet das: Der
Cloud-Nutzer muss vertraglich sicherstellen, dass der Cloud-Provider seinen
Subunternehmern dieselben Pflichten
auferlegt, die ihm der Cloud-Nutzer
auferlegt hat, und dass der CloudNutzer in Bezug auf Subunternehmer
dieselben Kontrollrechte hat.
Tipps zur praktischen Umsetzung
Während § 11 Abs. 2 S. 2 Nr. 6 BDSG
nur fordert, dass die „Berechtigung
zur Begründung von Unterauftragsverhältnissen“ vertraglich zu regeln
ist, macht die OH deutlich, wie die
Aufsichtsbehörden das praktisch umgesetzt sehen möchten:
• Der Cloud-Provider muss vertraglich verpflichtet werden, alle Subunternehmer einschließlich sämtlicher
Standorte der Datenzentren zu
benennen.
• Für später hinzukommende Subunternehmer muss der CloudAusgabe 01 | 15
Best Practice
Quelle: Wavebreakmedia Ltd/Wavebreak Media/Thinkstock
Nutzer vertraglich vorsehen, dass
der geplante Subunternehmer dem
Cloud-Nutzer mitgeteilt wird, bevor
er tatsächlich zum Einsatz kommt.
• Außerdem sollte sich der CloudNutzer eine ausreichend bemessene
Frist zum Widerspruch bzw. zur
Vertragskündigung für diesen Fall
einräumen lassen.
Die Anerkennung einer solchen „Widerspruchs- bzw. Sonderkündigungslösung“ ist im Ergebnis ein Zugeständnis im Vergleich zu der teilweise
geforderten
„Zustimmungslösung“,
wonach ein Subunternehmer erst nach
aktiver Zustimmung des Cloud-Nutzers involviert werden darf.
Aus datenschutzrechtlicher Sicht ist entscheidend, dass die Frist zum Einsatz des
Subunternehmers so zu bemessen ist,
dass effektiv eine Beendigung der Nutzung in Betracht kommt.
Auswahl und Kontrolle des Providers
Der Auftraggeber hat sich vor Beginn
der Datenverarbeitung und sodann
regelmäßig von der Einhaltung der
beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen; das Ergebnis
ist zu dokumentieren (§ 11 Abs. 2 S. 4
und 5 BDSG).
Konkrete Hinweise zur Umsetzung
Die OH stellt klar, dass der Auftraggeber im Rahmen einer Auftragsdatenverarbeitung nicht zwingend eine
eigene Kontrolle vor Ort vornehmen
muss. Für die Praxis konkretisiert die
OH, was dann aber zu beachten ist:
Laut der Orientierungshilfe unterfallen auch verschlüsselte personenbezogene Daten
dem Datenschutzrecht
• Allein damit hat der Cloud-Nutzer
seinen Pflichten aber noch nicht
genügt. Der Cloud-Nutzer muss sich
– so die OH – anhand der in den
Zertifizierungs- bzw. Gütesiegelverfahren erarbeiteten Gutachten,
Berichte und Analyseergebnisse
darüber Klarheit verschaffen, ob
und in welchem Umfang sich der
Untersuchungsgegenstand auf
Cloud-spezifische Datenschutz- und
IT-Sicherheitsrisiken bezieht und
ob dabei die vom Cloud-Provider
zur Verfügung gestellten Dienste
geprüft wurden.
• Darüber hinaus fordert die OH,
dass die unabhängigen Prüfstellen
die Untersuchungsgegenstände
veröffentlichen oder zumindest dem
Cloud-Anwender zur Verfügung
stellen müssen.
Kontrollrecht vorbehalten!
• Nicht ausreichend ist es, sich auf
Zusicherungen des Cloud-Providers
zu verlassen. Ausreichen können
aber Zertifizierungen und Gütesiegel. Mindestvoraussetzung ist
dann jedoch, dass diese Prüfung
von einer erstens unabhängigen und
zweitens auch kompetenten Prüfstelle durchgeführt wird.
Ausgabe 01 | 15
Für die Praxis entscheidend ist, dass
der Vertrag in keinem Fall das Recht
des Cloud-Nutzers ausschließen darf,
eigene Kontrollen durchzuführen,
so die OH. Mit anderen Worten darf
aus dem zwischen Cloud-Anbieter
und Cloud-Anwender geschlossenen
Vertrag nicht hervorgehen, dass die
Vorlage von Zertifikaten die einzige
Möglichkeit zur Ausübung der Auftragskontrolle sein soll.
Für Subunternehmer stellt die Orientierungshilfe nochmals klar, dass sich
im Verhältnis zu ihm dieselben Vertragsbedingungen widerspiegeln müssen. Für die Praxis relevant ist, dass
die Aufsichtsbehörden zwar fordern,
dass dem Cloud-Nutzer auch gegenüber dem Subunternehmer des CloudProviders ein eigenes Kontrollrecht
vertraglich vorbehalten sein muss,
aber eine Kontrolle nach vorstehenden
Maßgaben durch den Cloud-Provider
genügen kann.
Kurzum: Der Auftraggeber kann seiner
Pflicht zur Überzeugungsbildung zwar gestützt auf Zertifizierungen und Gütesiegel
nachkommen. Er darf seine Kontrollbefugnis jedoch nicht hierauf beschränken,
sondern muss sich vertraglich ein Kontrollrecht vorbehalten.
Auch für verschlüsselte Daten in der
Cloud gilt das Datenschutzrecht
Die Frage, ob für verschlüsselte Daten
in der Cloud das Datenschutzrecht
7
Best Practice
gilt, wird immer wieder aufgeworfen
und als Lösung für die datenschutzrechtliche Problematik (insbesondere
wenn eine Auftragsdatenverarbeitung in Drittstaaten nicht in Betracht
kommt (s.u.)) diskutiert.
Die OH gibt eine Antwort für die Praxis: „Der Personenbezug von Daten
entfällt jedoch regelmäßig nicht durch
die Verschlüsselung.“ Die Formulierung „regelmäßig“ spricht an, dass es
Sonderfälle geben kann, in denen der
Personenbezug doch entfällt. Vor diesem Hintergrund ist die Diskussion
nicht vollständig beendet.
Für die Praxis wird man dennoch bei den
alltäglichen Konstellationen davon ausgehen können, dass die Aufsichtsbehörden
von einem Personenbezug auch bei Verschlüsselung ausgehen.
Grenzüberschreitendes
Cloud-Computing
Die Cloud kennt keine geografischen
Grenzen – das Datenschutzrecht
schon. Dieses Spannungsverhältnis
will die OH in der Praxis dadurch
aufgelöst sehen, dass vertragliche Vereinbarungen zwischen dem Cloud-Anwender und dem Cloud-Anbieter den
Ort bzw. alle Orte der technischen
Verarbeitung personenbezogener Daten eindeutig festlegen (vgl. Verantwortlichkeit des Cloud-Anwenders).
Damit geht die Anforderung über den
Wortlaut des § 11 BDSG hinaus.
Drittstaaten erfolgt, auf den Standort
der physischen Datenverarbeitung und
nicht auf den Sitz des Cloud-Providers
ankommt. Was für eine Grenzüberschreitung erfolgt, ist entscheidend für
den Prüfungsumfang und die rechtliche Gestaltung (s.u.).
Um dies an einem Beispiel zu verdeutlichen: Wird ein Vertrag mit einem USUnternehmen geschlossen, das die Daten
in seinem Rechenzentrum in Italien verwaltet, genügt die Verwaltung in Italien,
um eine Übermittlung in einen Drittstaat
zu verneinen. Diese Ansicht hat Vieles für
sich, ist aber nicht unumstritten.
Cloud Computing in der Europäischen
Union bzw. im EWR
Die Nutzung eines Cloud-Service innerhalb der EU bzw. innerhalb des Europäischen Wirtschaftsraums (EWR)
stellt datenschutzrechtlich keine weiteren Anforderungen als eine solche
innerhalb Deutschlands.
Cloud Computing in einem Drittstaat
Cloud Computing in einem Drittstaat
erfordert eine datenschutzrechtlich
komplexere Gestaltung. Denn neben
der Prüfung, ob überhaupt eine Auslagerung an einen Cloud-Provider erfolgen darf, muss zusätzlich nach §§ 4b,
4c BDSG geprüft werden, ob die Auslagerung in den Drittstaat zulässig ist.
Zulässigkeit der Auslagerung an einen
Cloud-Provider in einem Drittstaat
Die OH stellt klar, dass aufgrund der
Begriffsbestimmung in § 3 Abs. 4 Nr.
3 BDSG in Verbindung mit § 3 Abs. 8
Satz 3 BDSG die privilegierende Wirkung der Auftragsdatenverarbeitung
nicht greift, wenn der Dienstleister
seinen Sitz außerhalb der EU und des
EWR hat. Demnach stellt die Datenweitergabe an einen „Datenverarbeiter“ in einem Drittstaat eine Übermittlung dar, die einer Rechtsgrundlage
bedarf. Sie lässt sich unter seinen Voraussetzungen in § 28 BDSG finden.
Diese Begrenzung auf die EU steht in
Konflikt zum EU-Recht. Daher ist diese Handhabung umstritten.
Soweit besondere Arten personenbezogener Daten betroffen sind, scheidet
das Cloud Computing aus, so die OH.
Denn § 28 Abs. 1 Satz 1 Nr. 2 BDSG
ist nicht anwendbar, und die Voraussetzungen der speziellen Erlaubnistatbestände nach § 28 Abs. 6 bis 9 BDSG
wären grundsätzlich nicht erfüllt.
Cloud-Provider und ihre Subunternehmer können so verpflichtet werden,
nur technische Infrastrukturen zu verwenden, die sich physikalisch auf dem
Gebiet der EU bzw. des Europäischen
Wirtschaftsraums (EWR) befinden.
Für die Praxis interessant ist, dass die
Aufsichtsbehörden anscheinend davon
ausgehen, dass es für die Frage, ob
Grenzüberschreitung innerhalb der
EU bzw. des EWR oder in sogenannte
8
Quelle: lovin-you/iStock/Thinkstock
Entscheidend ist der Standort der
physischen Datenverarbeitung
EU, EWR oder Drittstaat? Entscheidend für die Frage, welche Form der Grenzüberschreitung vorliegt, ist der physikalische Standort der Datenverarbeitung.
Ausgabe 01 | 15
Best Practice
Für die Praxis wichtig ist der Hinweis in
der Orientierungshilfe, dass eine gleichwohl abgeschlossene Vereinbarung nach
Maßgabe von § 11 BDSG die nach § 28
BDSG erforderliche Interessenabwägung
zugunsten der Zulässigkeit ausfallen
lassen kann. Kurzum: Ein Vertrag zur
Auftragsdatenverarbeitung ist zwar nicht
die Rechtsgrundlage, wirkt sich aber positiv im Rahmen der Interessenabwägung
nach § 28 BDSG aus.
Zulässigkeit der Auslagerung in genau
diesen Drittstaat
Für die Zulässigkeit nach §§ 4b, 4c
BDSG kommen verschiedene Gestaltungen in Betracht. Bei allen Gestaltungen fordert die OH, dass zusätzlich
eine Vereinbarung nach Maßgabe von
§ 11 Abs. 2 BDSG geschlossen wird.
Das betrifft also auch die Verwendung
der EU-Standardvertragsklauseln, der
Safe-Harbor-Principles und der Binding Corporate Rules. Eine rechtsdogmatisch stringente Begründung hierfür
bleibt die Orientierungshilfe allerdings
schuldig, weshalb dieser bereits in der
Version 1.0 der OH vertretene Ansatz
Kritik erfahren hat.
Trotz umfangreicher Kritik akzeptiert die Orientierungshilfe weiterhin
ein Vorgehen nach den Safe-HarborPrinciples für Cloud Computing in den
USA. Die Anforderungen in diesem
Fall beschreibt die OH grundlegend.
Bei der Verwendung der EU-Standardvertragsklauseln ist zu beachten, dass sie
nur dann genehmigungsfrei zur Zulässigkeit führen, wenn sie – mit Ausnahme der
Freitextbereiche – inhaltlich unverändert
verwendet werden.
Für die Praxis entscheidend ist, dass die
Orientierungshilfe nun – und neu gegenüber der Version 1.0 – klarstellt, dass
geringfügige Ergänzungen zur Erfüllung
der Anforderungen des § 11 Abs. 2 BDSG
trotz potenzieller Änderungen keine Genehmigungspflicht auslösen sollen.
Ausgabe 01 | 15
Binding Corporate Rules für Auftragsdatenverarbeiter (PBCR)
In der Praxis bisher kaum beachtet
wurde eine weitere Gestaltung, die
die OH hervorhebt: die sogenannten
Processor Binding Corporate Rules
(BCR für Auftragsdatenverarbeiter,
PBCR). Dieser Gestaltungsweg ist auf
Konzerne und Unternehmensgruppen
zugeschnitten, zu deren Geschäftsgegenständen die Auftragsverarbeitung
personenbezogener Daten (ggf. für
unterschiedliche Auftraggeber) zählt.
Die PBCR können gerade für Unternehmensgruppen geeignet sein, die
Cloud-Computing-Dienste
anbieten
und zu diesem Zweck personenbezogene Daten auch an gruppenangehörige Unternehmen außerhalb des
EWR transferieren. Aber Achtung:
Verantwortlich für die Drittstaatsübermittlungen bleibt auch dabei stets
der jeweilige Cloud-Nutzer.
Cloud Computing in der EU/im EWR mit
Subunternehmen in Drittstaaten
Cloud Computing, bei dem der CloudProvider in der EU bzw. im EWR tätig ist, aber einen Subunternehmer in
einem Drittstaat beauftragt, führt zu
weiteren Herausforderungen bei der
datenschutzrechtlichen
Einbindung
des Subunternehmers. Denn in Bezug
auf diesen kommt weder eine echte
Auftragsdatenverarbeitung in Betracht
(zur Begründung s.o.), noch lassen sich
die EU-Standardvertragsklauseln für
Auftragsdatenverarbeitung verwenden
(Kommissionsbeschluss 2010/87/EU).
Lösungsansätze
Daher ist es für die Praxis wichtig,
dass die OH Lösungswege anspricht:
1. Abschluss des EU-Standardvertrags
zwischen Cloud-Nutzer als Datenexporteur und Subunternehmer als
Datenimporteur („Direktvertrag“)
2. Abschluss eines EU-Standardvertrags durch den Cloud-Provider
mit entsprechender Vollmacht im
Auftrag des Cloud-Nutzers mit dem
Subunternehmer („Vertretungslösung“)
3. Abschluss eines Ad-hoc-Vertrags,
d.h. eines Vertrags, der nicht den
Standardvertragsklauseln entspricht; die Datenübermittlung an
den Subunternehmer bedarf dann
allerdings gemäß § 4c Abs. 2
Satz 1 BDSG der Genehmigung
der zuständigen Aufsichtsbehörde.
Für die Praxis ist allerdings entscheidend,
dass in den beiden zuletzt genannten
Fällen der Auftraggeber den Spielraum
für den Cloud-Provider klar und eindeutig
absteckt. Das erfordert in der Praxis eine
sorgfältige Gestaltung.
Technisch-organisatorische
Maßnahmen
Die OH beschreibt in einem zweiten
Kapitel grundlegend und differenzierend nach verschiedenen Cloud-Diensten Risiken, Schutzziele und Cloudspezifische Maßnahmen. Ebenso wird
das Thema Zertifizierung und Gütesiegel nochmals aus technischer Sicht
betrachtet.
Fazit: praxistauglich und nützlich
Die aktuelle Orientierungshilfe ist
aufgrund ihrer umfangreichen und
substanziellen Erweiterung gegenüber
der Version 1.0 ein weiterer Meilenstein in der Aufarbeitung der datenschutzrechtlichen Herausforderungen
des Cloud Computing. Das kritische
Hinterfragen einzelner Standpunkte
kann gleichwohl zu rechtlich abweichenden Standpunkten führen. Trotzdem schafft sie Handreichungen für
die Praxis und durch die Darlegung
der Auffassung der Aufsichtsbehörden
insoweit Rechtssicherheit.
Dr. Jens Eckhardt
Dr. Eckhardt ist als Rechtsanwalt bei JUCONOMY Rechtsanwälte tätig. Er ist zudem Vorstandsmitglied des EuroCloud Deutschland_eco e.V
9
Kontroll-Know-how
Fortsetzung von Seite 1
Selbst mit Verschlüsselung sind Mails
oftmals nicht sicher
Wenn Sie jetzt das Umfrageergebnis zwar generell bedauerlich finden,
aber in Ihrem Unternehmen alles
im grünen Bereich sehen, sollten Sie
nun innehalten. Auch wenn eine Verschlüsselungslösung für E-Mails am
Arbeitsplatz zur Verfügung steht und
sogar regelmäßig genutzt wird, bedeutet dies leider nicht, dass die E-MailSicherheit wirklich gewährleistet ist.
Diese Erkenntnis ist vielen Unternehmen nicht selbst gekommen, sondern
sie wurde ihnen von einer Aufsichtsbehörde für den Datenschutz verschafft.
Prüfung einer Aufsichtsbehörde ergab
deutliche Mängel
Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) deckte
Datenschutz-Probleme bei vielen
Mailservern auf. So hat das BayLDA
Anfang September 2014 bei insgesamt
2.236 bayerischen Unternehmen das
Sicherheitsniveau der eingesetzten
Mailserver automatisiert überprüft.
772 Unternehmen genügten dabei den
gestellten datenschutzrechtlichen Anforderungen nicht und wurden deshalb vom BayLDA schriftlich aufgefordert, ihre Mailserver an den Stand der
Technik anzupassen.
Unternehmen, die nicht Teil dieser
Überprüfung in Bayern waren, sollten
sich nicht zurücklehnen, sondern stattdessen das Thema Mailserver auch
nach der Kontrolle durch die Aufsicht
sehr ernst nehmen, und zwar gleich
aus mehreren Gründen.
Nach der Prüfung ist vor der (eigenen)
Prüfung
Zum einen kann das BayLDA diese
Prüfung ohne Weiteres wiederholen
und dabei die Stichprobe verändern.
Dank der automatisierten Kontrollen
lassen sich mit geringem Aufwand
und ohne zeitraubenden Vor-Ort-Ter10
min weitere Prüfungen an Mailservern
vornehmen.
Es gibt zudem keinen Grund, zu glauben, dass solche automatisierten Kontrollen von Mailservern nicht auch in
anderen Bundesländern als Bayern
stattfinden könnten.
Besser nicht die Prüfung abwarten
Nicht zuletzt sollten Unternehmen ein
eigenes Interesse daran haben, die Sicherheit ihrer Mailserver und der EMail-Verschlüsselung zu überprüfen
– denn was bringt eine nur scheinbare
E-Mail-Sicherheit? Ein Warten auf die
Prüfung durch die Aufsicht sollte in
keinem Fall der Weg der Wahl sein.
Das gilt auch dann, wenn ein Dienstleister den Mailserver betreibt.
Beispiele für (automatisierte)
Prüfungen von Aufsichtsbehörden
Die Beispiele von automatisierten Prüfungen zeigen zugleich die nötigen internen
Kontrollen, die der betriebliche Datenschutzbeauftragte durchführen sollte:
• Online-Prüfung bei Mailservern hinsichtlich STARTTLS, Perfect Forward
Secrecy und Heartbleed-Lücke
(https://www.lda.bayern.de/onlinepruefung/emailserver.html)
• Online-Prüfung Adobe Analytics
(Omniture)
(https://www.lda.bayern.de/onlinepruefung/adobeanalytics.html)
• Online-Prüfung Google Analytics
(https://www.lda.bayern.de/onlinepruefung/googleanalytics.html)
Bei Auslagerung an die notwendige
Auftragskontrolle denken
• Mobile Applikationen – App-Prüfung
(https://www.lda.bayern.de/MobileApplikationen/index.html)
Nicht nur kleine und mittlere Unternehmen gehen zunehmend dazu über,
bestimmte Sicherheitsfunktionen auszulagern, die E-Mail-Sicherheit beispielsweise durch einen sogenannten
Managed Security Provider organisieren zu lassen. Gerade dann, wenn ein
Dienstleister den Mailserver betreibt,
ist auch die E-Mail-Sicherheit meist
eine eingekaufte Leistung.
• Prüfung der Social Plug-ins bei
Internetauftritten
(https://www.datenschutz-bayern.de/
presse/20131107_SocialPlugins.html)
Trotzdem bleibt die Mailserver-Sicherheit ein zentrales Thema für das
Anwenderunternehmen selbst. Da die
Mail-Sicherheit in diesem Fall als Auftragsdatenverarbeitung (§ 11 BDSG)
erbracht wird, bleibt das Unternehmen selbst in der Verantwortung für
den Datenschutz. Deshalb sollte ein
Unternehmen, das den Mailserver betreiben lässt, an die notwendige Auftragskontrolle denken, mit der sie der
Prüfung durch die Aufsichtsbehörde
zuvorkommen sollte.
Bußgelder und Datenpannen
vermeiden
Gründe, sich mit den erkannten Mängeln bei Mailservern im eigenen Un-
• Prüfung der Zulässigkeit einer
Videoüberwachung
(http://www.baden-wuerttemberg.
datenschutz.de/videouberwachungdurch-nicht-offentliche-stellen/)
ternehmen zu befassen, gibt es also
reichlich:
• Die Aufsichtsbehörden können bei
Mängeln im Datenschutz und damit
auch bei Mailserver-Schwachstellen
Bußgelder erlassen, die sich jedes
Unternehmen lieber ersparen sollte.
• E-Mail ist trotz Facebook und
Chat-Diensten immer noch eines
der wichtigsten IT-Verfahren in
Unternehmen und wird sehr oft für
den Austausch vertraulicher Daten
genutzt.
Die internen Datenschutzanforderungen an die E-Mail-Sicherheit
müssen deshalb hoch sein, denn die
Ausgabe 01 | 15
Kontroll-Know-how
Verschlüsselung
muss
möglichen
Lauschangriffen standhalten können,
die etwa von Industriespionen ausgehen könnten.
Einstellungen am Mailserver prüfen
Die Motivation, selbst eine Mailserver-Prüfung durchzuführen, ist nach
diesen Erläuterungen nun hoffentlich
hoch. Nehmen Sie deshalb die Kontrolle des Mailservers und der E-Mail-Verschlüsselung in Ihre nächste Zugangs-,
Zugriffs- und Weitergabekontrolle auf.
heimlich zu entschlüsseln und zu belauschen.
Bei der Prüfung im September hatte
das BayLDA festgestellt, dass 44 der
geprüften bayerischen Unternehmen
Mailserver nutzen, die die HeartbleedLücke aufweisen – ein sehr kritisches
Problem, wie die Aufsicht betont,
zumal die Sicherheitslücke seit April
2014 als hohes Risiko bekannt ist.
Verschlüsselung nach dem Stand der
Technik (noch) ernster nehmen
Mailserver-Sicherheit ist für sich genommen schon wichtig (und mitunter
aufwendig) genug. Trotzdem sollten
Sie die erwähnte Prüfung von Mailservern durch die Aufsichtsbehörde
nur als ein Beispiel sehen. Die Datenschutzkontrollen der Aufsichtsbehörden und auch die von Ihnen durchzuführenden Kontrollen sind weitaus
vielfältiger. Allein schon die automatisierten Prüfungen des BayLDA zeigen
exemplarisch die Bandbreite der erforderlichen internen Kontrollen.
Weitere automatisierte Prüfungen
STARTTLS
Dabei sollten Sie hinterfragen, ob die
Verschlüsselungsverfahren bei den
von Ihrem Unternehmen eingesetzten
Mailservern wirklich dem Stand der
Technik entsprechen. Wie das BayLDA ausgeführt hat, müssen Mailserver u.a. das Verfahren STARTTLS zur
Verschlüsselung unterstützen, damit
eine Transport-Verschlüsselung bei der
Übermittlung von E-Mails möglich ist.
Die Prüfungsergebnisse des Bayerischen Landesamts für Datenschutzaufsicht zeigen, dass selbst die
Unternehmen, die eine E-Mail-Verschlüsselung einsetzen, die besondere
Bedeutung einer Verschlüsselung nach
dem Stand der Technik teilweise übersehen. Nicht ohne Grund unterstreichen die Aufsichtsbehörden in ihren
Entschließungen immer wieder, wie
wichtig eine dem Stand der Technik
entsprechende Verschlüsselung ist, ob
in der Cloud oder bei E-Mail.
Perfect Forward Secrecy
Mail-Administratoren ansprechen
Zudem ist Perfect Forward Secrecy zu
nutzen, damit sich auch bei unrechtmäßiger Erlangung eines geheimen
Schlüssels der mit TLS (Transport
Layer Security) verschlüsselte E-MailVerkehr nicht nachträglich entschlüsseln lässt. Perfect Forward Secrecy
sieht vor, dass Sitzungsschlüssel für
die Mail- und Online-Verschlüsselung
so generiert werden, dass sie zu einem
späteren Zeitpunkt selbst bei Kenntnis
des Langzeitschlüssels nicht mehr rekonstruiert werden können.
Heartbleed
Prüfen Sie darüber hinaus, ob immer
noch die Sicherheitslücke Heartbleed
bei der Verschlüsselung des Mailservers vorliegt. Wurde diese Sicherheitslücke nicht geschlossen, könnte es
Angreifern möglich sein, die Schlüssel
zu einer Mail- oder Online-Verschlüsselung auszulesen und auf diese Weise die verschlüsselte Kommunikation
Ausgabe 01 | 15
Sprechen Sie mit den Mail-Administratoren in Ihrem Unternehmen, damit
sie den Sicherheitsstatus des eigenen
Mail-Servers überprüfen oder aber der
E-Mail-Provider oder Managed Security Provider kontaktiert wird, um
eine Verschlüsselung nach dem Stand
der Technik wirklich
sicherzustellen. Damit sollte kein Unternehmen warten, bis
die Prüfung durch
die zuständige Aufsichtsbehörde erfolgt
oder eine Datenpanne im E-Mail-Verkehr eingetreten ist.
Der Kasten auf Seite 10 nennt Beispiele
für automatisierte und nicht automatisierte Prüfungen, neben der Kontrolle
bei Mailservern auch die Prüfung der
Reichweitenanalyse mit Adobe Analytics oder Google Analytics, das Angebot und die Nutzung mobiler Apps, die
Einbindung sogenannter Social Plugins auf Internetseiten und die Videoüberwachung durch nicht-öffentliche
Stellen. Weitere Beispiele und Hinweise zu notwendigen Prüfungen finden
Sie immer auch in den Tätigkeitsberichten der Aufsichtsbehörden.
Oliver Schonschek
Dipl.-Phys. Oliver Schonschek ist freier
IT-Fachjournalist, IT-Analyst bei dem Analystenhaus Experton Group sowie Herausgeber und
Autor verschiedener WEKA-Werke zu Datenschutz und Datensicherheit.
Auch andere Datenschutz-Themen nicht
vergessen
Das Thema der MailVerschlüsselung und
Nutzen Sie u.a. die Tätigkeitsberichte der Aufsichtsbehörden,
um wichtige Prüfbereiche zu identifizieren
11
News & Tipps
Düsseldorfer Kreis
Leitfaden zu „Werbung
und Adresshandel“
◗ Der Düsseldorfer Kreis hat eine
Ad-hoc-Arbeitsgruppe „Werbung und
Adresshandel“ unter Leitung des Bayerischen Landesamts für Datenschutzaufsicht eingerichtet und diese Gruppe
mit der Erarbeitung von Anwendungshinweisen zu den BDSG-Regelungen
für den werblichen Umgang mit personenbezogenen Daten beauftragt. In
mehreren Sitzungen wurden Anwendungshinweise formuliert. Sie sind in
einem Dokument von 14 Seiten zusammengefasst (siehe http://kurzlink.
de/Hinweise_Werbung).
BDSG hinzugespeichert und für
E-Mail-Werbung genutzt werden.
Verschärfung der Bußgeldpraxis
Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat angekündigt, seine sehr zurückhaltende
Bußgeldpraxis in diesem Bereich
aufzugeben und in der nächsten Zeit
schwerpunktmäßig die „Missachtung
von Werbewidersprüchen“ sowie die
unzulässige „E-Mail-Werbung zur
Neukundengewinnung“ mit Bußgeldern zu sanktionieren (siehe die Presseerklärung vom 25.11.2014, http://
kurzlink.de/BayLDA_Presse).
Quelle: luchschen/iStock/Thinkstock
Wichtige Aussagen
Besonders die Hinweise zu den einzelnen Punkten der umfangreichen Regelung des § 28 Abs. 3 BDSG gehen
teilweise sehr in die Tiefe. Das zeigen
etwa folgende für die Werbepraxis bedeutsame Aussagen:
• Die in § 28 Abs. 3 Satz 2 BDSG
beschriebenen Listendaten dürfen
nur ein (einziges) Gruppenmerkmal
enthalten.
• Telefonnummer und E-Mail-Adresse
zählen nach dem Wortlaut des Gesetzes in § 28 Abs. 3 Satz 2 BDSG
nicht zum Listendatensatz.
• Weil § 28 Abs. 3 Satz 2 Nr. 1
BDSG nur allgemein zugängliche
Verzeichnisse (Adress-, Rufnummern-, Branchenverzeichnisse etc.)
nennt, kommen für eine zulässige
Datenerhebung für werbliche Zwecke auch nur solche Verzeichnisse
in Betracht. Eine sonstige allgemeine Zugänglichkeit der Anschriftendaten (Zeitungsanzeigen, Anbieterkennzeichnungen im Internet
usw.) genügt nach dem Wortlaut des
Gesetzes nicht.
• E-Mail-Adressen, die unmittelbar
von den betroffenen Personen im
Rahmen einer Geschäftsbeziehung
(Bestandskunden) erhoben wurden,
können nach § 28 Abs. 3 Satz 3
12
Das BayLDA wird sich verstärkt mit der
Werbepraxis in Unternehmen beschäftigen
dazu verpflichtet, vorhandene Links
in ihren Verzeichnissen zu löschen.
Beanstandete Links müssen lediglich
aus den Suchergebnissen entfernt werden, die bei der Eingabe bestimmter
Suchbegriffe zustandekommen. Der
Zugang zur Originalquelle bei Verwendung anderer Suchbegriffe bleibt
dagegen erhalten.
Kritisch äußert sich die Gruppe zu der
Praxis, den Nutzer darauf hinzuweisen, dass die Liste der Suchergebnisse
nicht vollständig ist, weil Ergebnisse
unterdrückt wurden. Ein solches Vorgehen sei nur statthaft, wenn ein solcher Hinweis keinerlei Rückschluss
darauf erlaubt, welche konkrete Person die Entfernung der Ergebnisse
bewirkt hat. Dafür, dass Suchmaschinenbetreiber den Inhaber einer Webseite routinemäßig informieren, wenn
Ergebnisse unterdrückt werden, die
sich auf diese Website beziehen, fehle
es an einer Rechtsgrundlage.
Die bisher nur auf Englisch verfügbare
Stellungnahme, die am 26.11.2014
veröffentlicht wurde, umfasst 20 Seiten und ist abrufbar unter http://kurzlink.de/wp225_en.
Neu gestalteter Internetauftritt
Stellungnahme der Gruppe nach Art. 29
Folgen aus dem
„Google-Spain-Urteil“
◗ Die Gruppe nach Art. 29 der EUDatenschutzrichtlinie hat eine umfangreiche Stellungnahme dazu verfasst, wie nach ihrer Auffassung das
„Google-Spain-Urteil“ zu interpretieren ist. In diesem Urteil hatte der
Europäische Gerichtshof Betreibern
von Suchmaschinen unter bestimmten
Voraussetzungen die Pflicht auferlegt,
Suchergebnisse zu unterdrücken (siehe
Datenschutz PRAXIS 9/2014, Seite 1).
Links müssen nicht gelöscht, sondern
aus Ergebnissen entfernt werden
Die Gruppe hebt hervor, dass das Gericht Suchmaschinenbetreiber nicht
Hinweis- und
Informationssystem HIS
◗ Häufige Fragen zum Hinweis- und
Informationssystem (HIS) der Versicherungswirtschaft beantwortet der
2014 neu gestaltete Internetauftritt des
Unternehmens informa risk & fraud
prevention, das dieses System betreibt
(siehe http://kurzlink.de/his-online).
Der Internetauftritt bietet auch die
Möglichkeit zum Ausdruck von Formularen, mit denen man eine Selbstauskunft aus dem System beantragen
kann. Anfragen direkt über die Webseite sind nicht möglich. Zum HIS siehe auch die Meldung in Datenschutz
PRAXIS 10/2013, Seite 15.
Dr. Eugen Ehmann
Ausgabe 01 | 15
Rechtskompass
Alles andere als Stillstand
Datenschutz-Grundverordnung:
Sieben offene Streitpunkte
Rein äußerlich scheinen die Beratungen zur Datenschutz-Grundverordnung
stillzustehen, seit das Europäische Parlament am 12. März 2014 beschlossen hat,
wesentliche Änderungen am Vorschlag der Europäischen Kommission für eine
Datenschutz-Grundverordnung vom 25. Januar 2012 (Dokument KOM (2012)11
endgültig) zu fordern. Dieser Eindruck täuscht jedoch. „Hinter den Kulissen“
haben sich inzwischen sieben Hauptstreitpunkte herauskristallisiert, an deren
Lösung intensiv gearbeitet wird. Der Beitrag stellt sie kurz dar und wagt erste
Prognosen dazu, wie jeweils ein Kompromiss aussehen könnte.
◗ Sie als Leser der Datenschutz PRAXIS wissen es längst: Wenn Beratungen über neue Rechtsvorschriften
der EU festgefahren sind, wird ein in
der EU-Praxis entstandenes, nicht offiziell geregeltes Verfahren angewandt,
in dessen Rahmen die Europäische
Kommission, das Europäische Parlament und der Rat versuchen, ihre Positionen einander anzunähern. Es nennt
sich „informeller Trilog“.
Aber auch dieser Schritt will vorbereitet
sein durch informelle Schreiben, Fachgespräche und Fachdiskussionen. Genau dies geschieht im Augenblick. Dabei wird vieles diskutiert; einige Punkte
stehen jedoch deutlich im Vordergrund,
weil sie darüber entscheiden werden,
ob es zu einer Einigung kommt.
Streitpunkt 1: Einbeziehung des
öffentlichen Bereichs oder nicht?
Nach dem jetzt vorliegenden Entwurf
soll die Verordnung auch den Umgang
mit Daten im öffentlichen Bereich erfassen, also die Aktivitäten der Behörden von Bund, Ländern und Kommunen, und nicht nur den Umgang mit
Daten durch Wirtschaftsunternehmen
und Privatpersonen. Das ergibt sich
aus dem „Sachlichen Anwendungsbereich“ der Verordnung gemäß Art. 2.
Sorge um Datenschutz im Sozialbereich
Dieser Regelungsansatz hat in Deutschland von Anfang an zu heftiger Kritik
Ausgabe 01 | 15
geführt. Die Befürchtungen gehen insbesondere dahin, dass dann schon vorhandene, hochgradig ausdifferenzierte
Bestimmungen für den öffentlichen
Bereich, wie etwa die Datenschutzregelungen des Sozialgesetzbuchs, künftig nicht mehr möglich wären.
fassende Sondervorschriften für den
öffentlichen Bereich und sehen auch
keine Notwendigkeit, solche Sondervorschriften zu erlassen.
Zulassung zusätzlicher Rechtsgrundlagen der Mitgliedstaaten
Ein anderer Ansatz bestünde darin,
den öffentlichen Bereich zwar prinzipiell weiterhin in die Verordnung
einzubeziehen, es den Mitgliedstaaten
jedoch zu ermöglichen, ergänzende
gesetzliche Regelungen zu erlassen,
die eine eigenständige Rechtsgrundlage für Verarbeitungen bilden. Es bliebe dann dem jeweiligen Mitgliedstaat
überlassen, ob er die Notwendigkeit einer solchen Ergänzung sieht oder nicht.
Deutschland hätte dann die Möglichkeit, beispielsweise weiterhin besondere Datenschutzregelungen für den
Sozialbereich vorzusehen und so die
Datenschutzvorschriften des Sozialgesetzbuchs zu „retten“.
Streitpunkt 2: Datenübermittlung in
Drittstaaten wie die USA
Quelle: Marina Strizhak/iStock/Thinkstock)
Derzeit konzentriert sich die Diskussion
auf einige wenige strittige Punkte
Herausnahme des öffentlichen
Bereichs unwahrscheinlich
Eine Lösungsmöglichkeit bestünde
darin, den öffentlichen Bereich völlig
vom Geltungsbereich der Verordnung
auszunehmen und die Regelungsbefugnis vollständig den Mitgliedstaaten
zu überlassen. Rechtstechnisch wäre
dies etwa durch eine entsprechende
Ausnahmeklausel in Kapitel IX („Vorschriften für besondere Datenverarbeitungssituationen“) möglich.
Wahrscheinlich ist diese Variante
jedoch nicht. Viele Mitgliedstaaten
wollen durchaus, dass der öffentliche
Bereich von der Verordnung erfasst
bleibt. Oft verfügen sie nicht über um-
Die breite öffentliche Aufregung über
die Aktivitäten der NSA hat sich zwar
gelegt, jedoch nicht die Empörung
darüber in Fachkreisen. Für die Wirtschaft ist v.a. die Frage von Bedeutung,
ob die „Safe-Harbor-Regelungen“ fortgeführt werden können. Immerhin
haben einige deutsche Aufsichtsbehörden angekündigt, Datenübermittlungen auf ihrer Grundlage künftig
möglicherweise zu beanstanden, weil
die betroffenen Daten in nicht kalkulierbarer Weise dem Zugriff durch
amerikanische Stellen wie die NSA offen stehen.
Mögliches Entgegenkommen der USA
Vieles spricht dafür, dass diese Aspekte in der EU-Datenschutz-Grundverordnung selbst keine zusätzliche
Berücksichtigung finden – schließlich
liegt das Problem mehr auf amerikanischer als auf deutscher Seite, sodass
zusätzliche europäische Regelungen
wenig helfen.
13
Rechtskompass
Berichte der Federal Trade Commission aus jüngster Zeit (siehe Datenschutz PRAXIS 8/2014, Seite 15)
deuten darauf hin, dass in den USA
eine gewisse Bereitschaft zu Veränderungen besteht. Dies gilt v.a. für die
Einführung von Maßnahmen, die eine
bessere Überwachung der Einhaltung
des Safe-Harbor-Regelungswerks betreffen. Entsprechende Aktivitäten,
möglicherweise untermauert durch
einen
förmlichen
Schriftwechsel
zwischen der EU und den USA, der
Zusagen in diese Richtung enthält,
könnten bewirken, dass die Kritik an
der jetzigen Situation weitgehend verstummt. Dies liefe dann im Ergebnis
auf eine „Lösung außerhalb der Verordnung“ hinaus.
behörde in seinem eigenen Land
vortragen können und nicht an eine
Aufsichtsbehörde in einem anderen
Mitgliedstaat verwiesen werden.
Das führt zu einem Spannungsverhältnis, wenn Unternehmen und Betroffener in unterschiedlichen Mitgliedstaaten ansässig sind.
Keine Lösung zulasten der Betroffenen
Die Ausgestaltung der Datenschutzaufsicht über die Grenzen hinweg lässt
sich von zwei Seiten betrachten:
Eine Lösung zulasten des Betroffenen
erscheint schon deshalb ausgeschlossen, weil dies sein Grundrecht auf Datenschutz berühren würde, das im europäischen Recht anerkannt ist („Jede
Person hat das Recht auf Schutz der
sie betreffenden personenbezogenen
Daten.“ – Art. 8 Abs. 1 der Charta
der Grundrechte der Europäischen
Union). Dieses Grundrecht würde beeinträchtigt, wenn der Betroffene den
Schutz seiner Daten nicht mehr effektiv durchsetzen kann.
• Ein Unternehmen, das EU-weit tätig
ist, hat v.a. das Interesse, bei seinen
Aktivitäten möglichst nur mit einer
einzigen Aufsichtsbehörde zu tun
zu haben, mit der das Unternehmen
EU-weit alles regeln kann.
• Ein Betroffener, der sich in seinen Rechten beeinträchtigt fühlt,
möchte dies dagegen der Aufsichts-
Ein Kompromiss könnte darin bestehen, dass sich Betroffene in jedem
Fall an die Aufsichtsbehörde des Mitgliedstaats wenden dürfen, in dem sie
ansässig sind, und dass es dann Sache
der Aufsichtsbehörden ist, sich intern
auszutauschen. Regularien dafür,
dass dies in der Praxis dann in hinreichender Geschwindigkeit funktionie-
Streitpunkt 3: One-Stop-Shop
ren kann, müssen allerdings erst noch
entwickelt werden.
Streitpunkt 4: Datenschutz im Konzern
In Deutschland wird es seit Langem
als Mangel des Bundesdatenschutzgesetzes (BDSG) empfunden, dass es
keine besonderen Vorschriften für den
Umgang mit Daten in Unternehmen
gibt, die im Rahmen eines Konzerns
miteinander verbunden sind. Diese
Diskussion wird unter dem Schlagwort „kein Konzernprivileg im BDSG
vorhanden“ geführt.
Stärkung der Rolle von BCR
Die Regelung für Binding Corporate
Rules (BCR) in Art. 43 des Verordnungsentwurfs könnte hier einen ausreichenden Regelungsansatz bieten
bzw. – so müsste man wohl aus Sicht
vieler deutscher Datenschützer sagen –
wird wohl oder übel als ausreichender
Ansatz akzeptiert werden müssen.
Denn aus der Sicht fast aller anderen
Mitgliedstaaten handelt es sich hier
um ein „typisch deutsches Problem“,
das sie als nicht weiter gravierend
empfinden. Man meint dort, auftretende Fragen mit den allgemeinen Regelungen lösen zu können, ohne dass
eine Sonderregelung für Datenflüsse
Lücken im Datenschutz sind
nicht so einfach zu finden ...
Bauen Sie als Datenschützer auf kompetente
Unterstützung.
Praxissoftware
Quick Check Datenschutz
Mit dieser Software führen
Sie Ihre datenschutzrechtliche
Bestandsaufnahme schnell, übersichtlich und sicher durch.
Best.-Nr. CD1835J
298 €/Jahr, zzgl. Versand & MwSt.
z
z
z
z
14
identifizieren Sie Schwachstellen im Betrieb.
decken Sie mögliche Risiken auf.
wird deutlich, was die Aufsichtsbehörden verlangen.
nutzen Sie konkrete Handlungsempfehlungen zum Beheben
von Sicherheitslücken und Schwachstellen.
Praxissoftware
Quick Check Datenschutz
Die Tätigkeit als Datenschutzbeauf trag ter beginnt häufig mit
einer Ist-Analyse. Die „Praxissoftware Quick Check Datenschutz“
unterstützt Sie dabei. Damit
Infos + Bestellung
llung
ng un
unter
unter:
ter:
www.weka.de/1835
Ausgabe 01 | 15
Rechtskompass
Streitpunkt 5: Regelung der
Einwilligung
Viele Datenschützer in Deutschland
betonen einerseits, dass mit einer Einwilligung des Betroffenen letztlich alles möglich sei, sind aber andererseits
sehr kritisch, was die Wirksamkeit von
Einwilligungen angeht. Das gilt v.a.,
wenn ein (wirtschaftliches oder sonstiges) Ungleichgewicht zwischen dem
Betroffenen und der Stelle besteht, die
seine Daten verarbeiten möchte.
mechanismen in der Verordnung zu
schaffen, liegt daher nahe. Deutlich
schwieriger ist die Frage zu beantworten, wie solche Regelungen aussehen
könnten, ohne Aktivitäten der Wirtschaft in diese Richtung zu blockieren.
Vieles spricht daher im Augenblick
dafür, dass die Diskussion letztlich zu
keinem Ergebnis führen und es besondere Regelungen für Big Data nicht
geben wird. Die Rechtsprechung, im
Ergebnis v.a. die des Europäischen Gerichtshofs, wird dann präzisieren müssen, was möglich ist und was nicht.
Quelle: Zoonar RF/Zoonar/Thinkstock
innerhalb eines Konzerns notwendig
wäre. Die „deutsche Variante“ könnte
dann so aussehen, dass die deutschen
Aufsichtsbehörden darauf drängen,
Datenflüsse innerhalb von Konzernen
über BCR zu regeln, soweit dies für
nötig gehalten wird.
Weitere Präzisierungen wahrscheinlich
Zwar ist die jetzige Formulierung in
Art. 4 Abs. 8 des Verordnungsentwurfs ohnehin schon relativ strikt
und verlangt insbesondere eine „in
Kenntnis der Sachlage erfolgte explizite Willensbekundung“, damit eine
Einwilligung als wirksam anzusehen
ist. Gleichwohl scheint es denkbar,
dass hier noch nähere Präzisierungen
vorgenommen werden, um klarzustellen, wann beispielsweise im konkreten
Fall von einer „Kenntnis der Sachlage“
auszugehen ist.
Wenig wahrscheinlich ist es dagegen,
dass die Einwilligung als Legitimationsgrundlage für bestimmte Situationen, in denen ein besonders großes
Ungleichgewicht vorliegt, völlig ausgeschlossen wird. Dies würde Aktivitäten der Wirtschaft in vielen Bereichen, etwa bei Werbemaßnahmen,
erheblich erschweren.
Streitpunkt 6: Besondere Regelungen
für Big Data
Das Unbehagen über denkbare Konsequenzen von Big-Data-Aktivitäten für
Betroffene ist vielfach groß. Die Forderung, hierfür adäquate RegelungsAusgabe 01 | 15
Manche Streitpunkte empfinden andere
EU-Länder als typisch deutsche Probleme
Streitpunkt 7: Folgerungen aus dem
„Google-Urteil“
Das Google-Urteil des Europäischen
Gerichtshofs (siehe dazu Datenschutz
PRAXIS 9/2014, Seite 1) gibt dem Betroffenen unter bestimmten Voraussetzungen einen Anspruch darauf, dass
Suchtreffer, die seine Person betreffen,
nicht in einer Suchmaschine gelistet
werden dürfen. Im konkret entschiedenen Fall ging es um Daten, die ein
wirtschaftliches Scheitern des Betroffenen dokumentierten, durch deren
Auffindbarkeit mittels Suchmaschine
er bei beruflichen Aktivitäten behindert wurde.
Dieses „Recht auf Vergessen“ steht in
einem deutlichen Spannungsverhältnis
zum Recht auf freie Meinungsäußerung und zum eng damit verbundenen
Recht, sich über Sachverhalte zu informieren. Vielfach wird gefordert, dass
ein Ausgleich zwischen diesen Rechten schon in der Datenschutz-Grund-
verordnung selbst geschaffen werden
müsse und nicht den Gerichten überlassen werden könne.
Wahrscheinlich eine folgenlose
Diskussion
Bisher scheint allerdings die Bereitschaft, entsprechende Ergänzungen
vorzunehmen, gering entwickelt zu
sein. Aus anderen Mitgliedstaaten ist
eine solche Forderung nur wenig zu
hören, und konkrete Ansätze dafür,
wie ein solcher Ausgleich formuliert
werden könnte, sind so gut wie nicht
zu finden. Derzeit ist es deshalb wahrscheinlich, dass die Diskussion um
dieses Urteil keinen ausdrücklichen
Niederschlag in der Verordnung finden wird.
Gesamtprognose: Die Verordnung wird
im Ergebnis kommen
Lässt man die angeführten Punkte insgesamt Revue passieren, so könnte der
Eindruck entstehen, dass angesichts so
grundlegender ungelöster Punkte ein
Scheitern der Verordnung wahrscheinlich ist, weil es zumindest da oder dort
nicht zu einer Einigung kommen wird.
Dagegen spricht allerdings, dass gerade die Wirtschaft ein massives Interesse daran hat, auf der Basis eines
weitgehend einheitlichen Datenschutzrechts in der gesamten Europäischen
Union arbeiten zu können. Alles andere ist in Zeiten intensiv grenzüberschreitend vernetzter Unternehmen
nicht mehr zukunftsfähig. Dieser
Überlegung werden sich auch die
Akteure in Brüssel im Ergebnis nicht
verschließen können. Anders gesagt:
Letztlich sind sie zum Erfolg verurteilt, weshalb die Grundverordnung
voraussichtlich rascher verabschiedet
wird, als viele glauben.
Dr. Eugen Ehmann
Dr. Eugen Ehmann ist Regierungsvizepräsident
von Mittelfranken (Bayern). Er befasst sich seit
über 25 Jahren intensiv mit Fragen des Datenschutzes in Unternehmen und Behörden.
15
Rechtskompass
Sicherheitslücken
E-Government und die
IT-Sicherheitspflicht des Staats
Laut eGovernment MONITOR 2013 liegt die Zufriedenheit mit E-GovernmentAngeboten in Deutschland bei 52 %. Die Nutzung nimmt zwar zu, doch ebenso die
Angst vor Datendiebstahl, v.a. nach den Enthüllungen von Edward Snowden. Wie
sieht die Praxis aus? Was meinen die Gerichte zu potenziellen Sicherheitslücken?
◗ Kürzlich beantragte ich einen Parkausweis bei einem Bezirksamt. Die
Behörde forderte mich auf, meinen
Personalausweis sowie die Zulassungspapiere per E-Mail zu übersenden. Ich schickte einen verschlüsselten Anhang. Die Behörde reagierte
nicht. Weder auf der Website noch per
E-Mail war es möglich, die Dokumente
nach dem Stand der Technik sicher digital zu übertragen. Hinzu kam, dass
bereits das Scannen eines Personalausweises rechtlich sehr bedenklich ist
(Datenschutz PRAXIS 11/14, S. 1 ff).
Oft herrscht Sorglosigkeit
Das Beispiel zeigt exemplarisch, wie
sorglos manche öffentlichen Stellen
mit Datenschutzfragen umgehen in
Zeiten, in denen Identitätsdiebstahl jeden Tag passieren kann.
Hat die Behörde überhaupt technische
und organisatorische Maßnahmen
für diesen Verwaltungsvorgang aufgestellt, taucht der Ablauf im Verfahrensverzeichnis auf? Ist sich die
Behörde bewusst, dass der Ausweis
damit digital dauerhaft gespeichert
und erfasst ist und was dies an Gefahren mit sich bringt? Weiß sie, dass
diese Daten leicht Dritten zugänglich
sein können? Man fragt sich zudem,
ob und wann die Behörde die E-MailAnhänge vernichtet.
Bewusstsein für Datenschutz?
In manchen Fällen Fehlanzeige!
Spricht man diese Defizite an, erhält
man meist ein Schulterzucken oder
wird auf die bisherige Praxis verwie16
sen. Dann müssen Sie uns eben einen
Brief senden mit den Kopien, hieß es.
Es macht nachdenklich, wenn man erlebt, wie wenig Bewusstsein z.T. für
den Datenschutz im E-GovernmentBereich existiert.
Vertrauen ins E-Government ist nur mit
IT-Sicherheit möglich
E-Government mit all seinen Vorteilen sollte für Bürger in einem technischen Rahmen ablaufen, der unter
IT-Sicherheitsaspekten zu verantworten ist und dem neuesten Stand der
Technik entspricht. Gleichermaßen
wichtig ist, dass Behördenmitarbeiter ein Bewusstsein für Datenschutz
haben. Andernfalls gewinnen weder
Bürger noch Behörden Vertrauen ins
E-Government.
Wer Bürgern eine Behörden-Dienstleistung anbietet, muss dafür sorgen,
dass die IT-Sicherheit gewährleistet
und der Verwaltungsvorgang geprüft
ist. Dafür ist der Staat verantwortlich,
aber gleichermaßen auch der Bürger, der einfordern muss, dass seine
Grundrechte gewahrt bleiben.
Der Staat hat eine IT-Sicherheitspflicht
Diesen Anspruch des Bürgers auf
IT-Sicherheit untermauert das Bundesverfassungsgericht mit dem Computer-Grundrecht, dem sogenannten
„IT-Grundrecht auf Gewährleistung
der Vertraulichkeit und Integrität informationstechnischer Systeme“.
Das Bundesverfassungsgericht hat
dieses Recht mit seinem Urteil vom
27.02.2008, BVerfG 120, 274 (306),
etabliert. Dort heißt es: „Aus der Bedeutung der Nutzung informationstechnischer Systeme für die Persönlichkeitsgefährdungen, die mit dieser
Nutzung verbunden sind, folgt ein
grundrechtlich erhebliches Schutzbedürfnis. Der Einzelne ist darauf angewiesen, dass der Staat die mit Blick
auf die ungehinderte Persönlichkeitsentfaltung berechtigten Erwartungen
an die Integrität und Vertraulichkeit
derartiger Systeme achtet.“
Ist der Bürger verpflichtet, potenziell
unsichere IT des Staats zu nutzen?
Bürger und Unternehmen müssen seit
2011 das Internet nutzen, wenn sie
Steuererklärungen abgeben (www.elsteronline.de). Das bringt diverse Probleme mit sich: Vielerorts gibt es keinen schnellen Internetzugang. Manche
Bürger wollen nach den Enthüllungen
von Edward Snowden diese Technik
nicht mehr ohne weitere Schutzmaß-
Ausnahmen von der Pflicht zur
elektronischen Steuererklärung
Kann der Staat Bürger dazu zwingen, derartige Technik zu nutzen? Er kann.
Es gibt jedoch eine Ausnahme im Gesetz:
Wenn die elektronische Abgabe der Steuererklärung für den Bürger wirtschaftlich
oder persönlich unzumutbar ist, etwa
wenn es für ihn nur mit einem erheblichen
finanziellen Aufwand möglich wäre, die
technischen Voraussetzungen für eine
elektronische Übermittlung zu schaffen,
oder wenn der Steuerpflichtige nach
seinen individuellen Kenntnissen und Fähigkeiten nicht oder nur eingeschränkt in
der Lage ist, die Möglichkeiten der Datenfernübertragung zu nutzen (§ 150 VIII AO),
kann er die Erklärung auf Papier abgeben.
Ist die Behörde der Ansicht, die Ausnahme trifft nicht zu, und hält der Betroffene
sich nicht an die elektronische Abgabe,
kann ein Verspätungszuschlag erhoben
werden, oder der Bürger wird geschätzt,
was erhebliche finanzielle Auswirkungen
für ihn haben kann.
Ausgabe 01 | 15
Rechtskompass
nahmen nutzen. Es gab zudem das
Gerücht, in diese Software sei ein Trojaner eingebaut.
Gerichtsurteile
Zu diesem Konflikt zwischen IT-Sicherheit, Datenschutz und Bürokratieabbau gibt es viele Gerichtsurteile.
Der Bundesfinanzhof (BFH) entschied
z.B. am 16.02.2009 (AZ: XI B 86/08)
über eine Beschwerde, in der jemand
vortrug, es sei verfassungswidrig, dass
das Umsatzsteuergesetz verlange, die
Umsatzsteuervoranmeldungen
auf
elektronischem Weg zu übermitteln.
Dem BFH war die Beschwerde nicht
detailliert genug. Er lehnte sie ab.
Das Finanzgericht Hamburg machte
in einem Verfahren eine Ausnahme,
weil der Antragsteller keinen InternetAnschluss hatte.
Allgemeine Bedenken gegenüber der
IT-Sicherheit reichen nicht aus
Das Niedersächsische Finanzgericht
führte am 20. Oktober 2009 aus (AZ:
5 K 149/05): „Allgemeine Bedenken
gegen die Sicherheit der elektronischen
Voranmeldungen führen nicht stets zu
einer Befreiung von der Pflicht zur Abgabe der Voranmeldungen in elektronischer Form … Die Übermittlung der
Daten im ELSTER-Verfahren ist nicht
manipulationsanfälliger als das papiergebundene System …. Zur Wahrung
der Datensicherheit erfolgt die elektronische Übermittlung der Voranmeldung mittels ELSTER im zertifizierten
Verschlüsselungsverfahren
SSL
(Secure-Socket-Layer-Protokoll, vgl.
https://www.elster.de/elfo_sec.php).“
übermittlung vor – auch für Privatpersonen. Am 5.8.2014 entschied das Finanzgericht (FG) Nürnberg, nachdem
dort ein Antrag auf die Enthüllungen
von Snowden verwies: Das Steuergeheimnis sei im Fall der elektronischen
Übermittlung von Daten an das Finanzamt nicht betroffen, da dies nur
davor schütze, dass bereits erhaltene
Daten durch das Finanzamt nicht unbefugt offenbart werden.
Das Risiko von Hackerangriffen ist
hinzunehmen
Dass es theoretisch möglich sei, die
Daten während der Übermittlung
mitzulesen, bedeute nicht automatisch eine Verfassungswidrigkeit. Das
Bundesamt für Sicherheit in der Informationstechnik (BSI) habe ELSTER
zertifiziert. Es sei Aufgabe des Bundesfinanzministeriums und des BSI,
zu prüfen, ob die Richtlinien des BSI
noch aktuell seien, meinte das Gericht.
Ernsthafte Zweifel an der Integrität
der eingesetzten Verfahren konnte die
Antragstellerin nicht wecken.
als der, die die Finanzverwaltung verwendet, relevant. Elster Online beträfe
diese Sicherheitslücke nicht.
Ein Hackerangriff auf die gespeicherten Daten sei als verbleibendes Risiko
im überwiegenden Interesse des Gemeinwohls hinzunehmen, so das FG
Bremen. Es verwies zudem auf den
Bundesfinanzhof (BFH, 14.03.2012,
XI R 33/09).
Ängste ernster nehmen
Wenn die Verwaltung elektronisch
kommunizieren möchte, sollte sie die
Ängste und Zweifel der Bürger und
Experten ernster nehmen. Eine Lösung wäre, im Rahmen des IT-Sicherheitsgesetzes nicht nur Unternehmen
kritischer Infrastrukturen auf ITSicherheit, Datenschutz und Meldepflichten zu verpflichten (siehe Datenschutz PRAXIS 12/14), sondern auch
die Verwaltung, wenn sie die Bürger
immer mehr auffordert, in der digitalen Welt zu agieren.
Vilma Niclas
Das FG Bremen entschied am
26.06.2014 (2 K 12/14-2): Die öffentlich bekannt gewordene Sicherheitslücke beim Verschlüsselungsverfahren
SSL sei erst bei einer höheren Version
Vilma Niclas ist Rechtsanwältin und Fachjournalistin für IT-Recht in Berlin. Sie veröffentlicht seit
1997 in verschiedenen Zeitschriften zu Fragen
des IT-Rechts.
Mit den Enthüllungen von Snowden
wurde 2013 jedoch öffentlich: Es gibt
ein Programm der NSA zum Überwinden der Netzverschlüsselung, Bullrun.
Ziel sei es, in Verschlüsselungssysteme
wie SSL Hintertüren einzubauen.
Seit dem 1. Januar 2013 schreibt Elster Online Zertifikate für die DatenAusgabe 01 | 15
Quelle: jurgenfr/iStock/Thinkstock
Verletzen Hintertüren das
Steuergeheimnis?
Derzeit hapert es bei der Umsetzung von E-Government in der Praxis noch vielerorts mit
der IT-Sicherheit
17
Rechtskompass
YouTube, Redtube & Co.
Wie ist die Rechtslage?
Streaming – rechtlich zulässig
oder nicht?
Den Kern der juristischen Auseinandersetzung um das Streaming bildet das Urheberrecht. Es räumt dem
Urheber umfassende Rechte bei der
Zugänglichmachung seines Werks
gegenüber der Öffentlichkeit und der
Vervielfältigung seines Werks ein
(§§ 15 Abs. 2 Satz 2 Nr. 2, 16 Abs. 1
Urhebergesetz – UrhG).
Der (Aus-)Tausch von urheberrechtlich geschützten Werken über das Internet ist
seit Beginn des World Wide Web ein juristischer Dauerbrenner. In den Anfangszeiten stand die Musikindustrie mit illegalen Tauschbörsen auf Kriegsfuß. Im
Rahmen immer höherer Internet-Bandbreiten und der Möglichkeit des Streamings
von Inhalten ist zunehmend auch die Filmindustrie betroffen. Große Aufmerksamkeit in der Öffentlichkeit und Presse erlangte 2013 die breit angelegte und heftig
umstrittene Abmahnwelle von Privatpersonen im Fall des Erotik-Portals „Redtube“. Wie ist derzeit der Stand der Diskussion?
Für die Frage allerdings, ob Nutzer
bedenkenlos jedes verfügbare Video
streamen dürfen, bedarf es einer genaueren Betrachtung, insbesondere
der (urheber)rechtlichen Grundlagen
und der zugrunde liegenden Technik.
Was passiert technisch beim
Streaming?
Beim Streaming sendet der Server des
Anbieters Datenpakete mithilfe des Internet-Protokolls an das Endgerät des
Nutzers. Diese Datenpakete enthalten
die stark komprimierten Filminhalte,
die auf dem Endgerät des Nutzers, im
sogenannten Cache, zwischengespeichert werden.
Die Daten werden im Cache
zwischengespeichert
Die Zwischenspeicherung ist notwendig, damit Filminhalte ruckelfrei
dargestellt werden können. Denn im
Regelfall ist es trotz immer höherer
Internet-Bandbreiten kaum möglich,
einen Film (insbesondere bei HD oder
18
Quelle: scanrail/iStock/Thinkstock)
◗ Es ist bequem und (vermeintlich)
kostenlos: Im Internet finden sich diverse Video-Portale, die aktuelle Filme
und Serien zum sofortigen Betrachten
anbieten. Der Nutzer muss im Regelfall nur den „Play“-Button anklicken,
und schon kann er die Inhalte auf
PC, Tablet, Smartphone oder sonstige
kompatible Endgeräte streamen und
sich Videos anschauen.
Das Streaming ist immer noch umstritten
3D) komplett in Echtzeit zu übertragen. Vielmehr bedarf es der „Vorspeicherung“ einiger Sekunden. Dieses
Vorabspeichern von Inhalten wird
auch als Buffering bezeichnet.
Was passiert mit den
zwischengespeicherten Daten?
Was mit den Daten passiert, die im
Cache auf dem Endgerät des Nutzers
gespeichert werden, hängt von den
Einstellungen des Browsers bzw. Players ab. So besteht etwa die Möglichkeit, dass die Inhalte des Caches beim
Schließen des Programms gelöscht
werden. Die Daten können aber auch
nach einer bestimmten Zeit, bei Erreichen einer bestimmten Datengröße
oder eben gar nicht bzw. erst durch
manuelles Tätigwerden des Nutzers
gelöscht werden.
Grundsätzlich kann der Urheber selbst
darüber entscheiden, ob und wie er
sein Werk verwertet. Typischerweise
wird er einer Verwertung durch andere nur zustimmen, wenn er daraus
eine Vergütung oder eine andere Art
von Vorteil erzielen kann.
Verantwortlichkeit von Betreibern von
Streaming-Portalen
Da das Urheberrecht grundsätzlich
dem Urheber das alleinige Verwertungsrecht einräumt, sind letztlich die
Betreiber von Streaming-Portalen für
illegale, d.h. ohne Zustimmung des
Urhebers bereitgehaltene Inhalte verantwortlich. Denn das Recht zur öffentlichen Zugänglichmachung eines
Werks ist exklusiv dem Urheber vorbehalten, nicht dem Betreiber.
Verantwortlichkeit von Nutzern von
Streaming-Portalen
Komplizierter ist die rechtliche Beurteilung bzw. juristische Diskussion zur
Verantwortlichkeit von Nutzern von
Streaming-Portalen. Bei näherer Betrachtung der technischen Vorgänge
beim Streaming (s.o.) findet bei Aufruf eines Streams eine Speicherung
im Cache des Endgeräts statt. Das
spricht dafür, dass auch der einzelne
Nutzer durch das bloße Betrachten
des Streams aufgrund der technischen
Funktionsweise das Vervielfältigungsrecht des Urhebers verletzt.
Argumente der juristischen Diskussion
Gegen eine Verantwortlichkeit des
Nutzers für das Betrachten eines FilmAusgabe 01 | 15
Rechtskompass
Streams führt die juristische Diskussion insbesondere die folgenden Argumente ins Feld:
• Keine Vervielfältigung: Es wird
argumentiert, dass keine Vervielfältigung im urheberrechtlichen
Sinne nach § 16 UrhG stattfindet,
da nicht „das Werk“, also der Film
als Ganzes auf einmal als Vervielfältigung im Cache des Nutzers
lande, sondern es nur in Teilstücken
geladen werde. Dem wird entgegengehalten, dass es im Ergebnis
keinen Unterschied macht, ob der
Film im Ganzen oder in Stücken
gespeichert wird.
• Recht auf Privatkopie: Teilweise
wird argumentiert, dass das Urheberrecht in § 53 Abs. 1 UrhG gerade das Recht auf eine Privatkopie
vorsieht; dort heißt es, dass Vervielfältigungen zum privaten Gebrauch
auf beliebigen Trägern zulässig sind
– allerdings nur, soweit es sich nicht
um eine offensichtlich rechtswidrig
hergestellte oder öffentlich zugänglich gemachte Vorlage handelt.
• Vorübergehende Vervielfältigungshandlung: § 44a UrhG erachtet
eine vorübergehende Vervielfältigungshandlung unter bestimmten
Bedingung für zulässig. Hier wird
argumentiert, dass das Streaming
bzw. Verweilen im Cache nur flüchtig bzw. begleitend sei und zugleich
wesentlicher Teil eines technischen
Verfahrens. Dem ist entgegenzuhal-
ten, dass es sich nach § 44a UrhG
dann aber um eine rechtmäßige
Nutzung handeln muss, was bei illegalen Inhalten nicht der Fall wäre
(sofern für den Nutzer erkennbar).
gar nicht entschieden wurde und die
Entscheidung daher gerade kein „Freifahrtschein“ sei. Wieder eine andere
Ansicht stellt auf die Erkennbarkeit
der Rechtmäßigkeit des Streams ab.
Entscheidung des EuGH
Pauschale Aussage nicht möglich
Der Europäische Gerichtshof (EuGH)
hat am 5. Juni 2014 entschieden (Az.
C-360/13), dass eine vorübergehende
Vervielfältigung, die nur flüchtig oder
begleitend ist und einen integralen und
wesentlichen Teil eines technischen
Verfahrens darstellt, zulässig ist. Der
Entscheidung lag Artikel 5 der entsprechenden Richtlinie (2001/29/EG)
zugrunde, die nahezu wortgleich in
deutsches Recht übernommen wurde
(siehe § 44a UrhG).
Die juristische Diskussion ist beim
Thema Streaming offensichtlich noch
nicht beendet, daran ändert auch
die EuGH-Entscheidung einstweilen nichts. Eine pauschale Aussage
zur Zulässigkeit des Betrachtens von
Streams ist daher nicht möglich.
Nicht entschieden wurde hingegen
über die Frage der rechtmäßigen Nutzung eines Werks oder die Frage, ob
diese Nutzung eine eigenständige wirtschaftliche Bedeutung hat.
Das EuGH-Urteil hat keine Klarheit
geschaffen
Daher lässt sich die Entscheidung in die
eine wie in die andere Richtung auslegen. Die einen meinen, dass auch illegale Streams durch das Urteil gedeckt
seien, da die Richtlinie bereits den
Zweck einer „Übertragung in einem
Netz“ privilegiert. Andere verweisen
darauf, dass über die Rechtmäßigkeit
Fazit: Streamen ja, aber nicht beliebig!
Für das Streamen von Videos sind
daher etablierte Online-Plattformen
bzw. Mediatheken zu empfehlen. Bei
unbekannten bzw. „zwielichtigen“
Video-Plattformen sollten StreamingInhalte vor dem Aufruf auf offensichtlich erkennbare Verstöße gegen das
Urheberrecht, aber auch auf sonstige
Rechte (z.B. Persönlichkeitsrecht, Jugendschutz etc.) gesichtet werden. Die
Gretchenfrage, die sich dabei jeder
stellen sollte, lautet: Ist es eher wahrscheinlich oder eher unwahrscheinlich, dass hier solche Inhalte umsonst
zum Stream angeboten werden?
Peer Lambertz
Peer Lambertz ist Rechtsanwalt und
Datenschutz-Experte.
IMPRESSUM
Verlag:
WEKA MEDIA GmbH & Co. KG
Römerstraße 4, 86438 Kissing
Telefon: 0 82 33.23-40 00
Fax:
0 82 33.23-74 00
www.weka.de
Herausgeber:
WEKA MEDIA GmbH & Co. KG
Gesellschafter der WEKA MEDIA GmbH &
Co. KG sind als Kommanditistin:
WEKA Business Information GmbH & Co.
KG und als Komplementärin:
WEKA MEDIA Beteiligungs-GmbH
Geschäftsführer:
Stephan Behrens, Michael Bruns,
Werner Pehland
Chefredakteur:
RA Dominikus Zwink, M.B.A. (V.i.S.d.P.)
Ausgabe 01 | 15
Redaktion:
Adelheid Drotleff,
Ricarda Veidt, M.A.
E-Mail: [email protected]
Anzeigen:
Andreas Schamper
Telefon: 0 82 33.23-71 05
Fax:
0 82 33.23-5 71 05
E-Mail: [email protected]
Druck:
Geiselmann Printkommunikation GmbH
Leonhardstraße 23, 88471 Laupheim
Layout & Satz:
metamedien
Spitzstraße 31, 89331 Burgau
Bestell-Nr.:
09100-4012
Erscheinungsweise:
Zwölfmal pro Jahr
ISSN-Nr.:
1614-6867
Aboverwaltung:
Telefon: 0 82 33.23-40 00
Fax:
0 82 33.23-74 00
E-Mail: [email protected]
Bestellung unter:
Telefon: 0 82 33.23-40 00
Fax:
0 82 33.23-74 00
www.datenschutz-praxis.de
Abonnementpreis:
12 Ausgaben 168,00 €
(zzgl. MwSt. und Versandkosten)
Einzelheft 14 €
(zzgl. MwSt. und Versandkosten)
Haftung:
Die WEKA MEDIA GmbH & Co. KG ist
bemüht, ihre Produkte jeweils nach
neuesten Erkenntnissen zu erstellen. Die
inhaltliche Richtigkeit und Fehlerfreiheit
wird ausdrücklich nicht zugesichert.
Bei Nichtlieferung durch höhere Gewalt,
Streik oder Aussperrung besteht kein
Anspruch auf Ersatz. Erfüllungsort und
Gerichtsstand ist Kissing. Zum Abdruck
angenommene Beiträge und Abbildungen
gehen im Rahmen der gesetzlichen Bestimmungen in das Veröffentlichungs- und
Verbreitungsrecht des Verlags über. Für
unaufgefordert eingesandte Beiträge
übernehmen Verlag und Redaktion keine
Gewähr. Namentlich ausgewiesene Beiträge liegen in der Verantwortlichkeit des
Autors. Datenschutz PRAXIS und alle in
ihr enthaltenen Beiträge und Abbildungen
sind urheberrechtlich geschützt. Jeglicher
Nachdruck, auch auszugsweise, ist nur mit
ausdrücklicher Genehmigung des Verlags
und mit Quellenangabe gestattet.
Mit Ausnahme der gesetzlich zugelassenen
Fälle ist eine Verwertung ohne Einwilligung
des Verlags strafbar.
19
Neu im Februar
Marketing
Datenschutz-Grundverordnung: Werbeverbote als Regelfall?
Dass die Datenschutz-Grundverordnung der Verwendung von personenbezogenen Daten für Werbezwecke kritisch gegenüberstehen
würde, war von Anfang an zu vermuten. Was inzwischen an neuesten Entwürfen bekannt geworden
ist, geht jedoch über eine „nur“ kritische Haltung hinaus. Im Ergebnis
laufen die Regelungsvorschläge aus
der Sicht vieler Unternehmen auf
ein weitgehendes Verbot personalisierter Werbung hinaus.
Das Büro in der Wolke
MS Office 365: Mehr als
Office aus der Cloud
Microsoft bietet mit Office 365 die
bekannte Bürosoftware als OnlineService aus der Cloud an. Bei der
Datenschutzkontrolle sollten Sie
Ihren Blick jedoch nicht nur auf die
Themen Cloud und Auftragsdatenverarbeitung richten. Office 365
enthält zahlreiche Kommunikationsfunktionen, die Sie datenschutzrechtlich betrachten und betrieblich regeln sollten.
Praxistipps
Ist Terrorlistenscreening
datenschutzkonform?
Spätestens seit den Terroranschlägen vom 11. September 2001 ist
das Thema Terrorismusbekämpfung in aller Munde. Unter anderem sollen zwei EG-Verordnungen
die Finanzierung des Terrorismus
unterbinden. Doch immer, wenn es
um einen Abgleich von personenbezogenen Daten geht, muss auch
der Datenschutz im Auge behalten
werden.
20
Deutsch? Juristisch Deutsch!
Sozialüblich
Was in aller Welt hat dieser schwammige Begriff mit Juristerei und Datenschutz
zu tun? Benimmregeln oder auch soziologische Betrachtungen würden da doch
eher passen, sollte man meinen.
◗ Doch weit gefehlt – der Begriff „sozialüblich“ hat im Datenschutzrecht
Karriere gemacht. Er verdankt dies
dem Dauerbrenner Beschäftigtendatenschutz. Diesmal war es § 32 Abs. 2
Bundesdatenschutzgesetz (BDSG), der
den Anstoß gab.
Am Anfang stand ein Reförmchen
In der letzten Novelle zum BDSG im
Jahr 2009 hielt unser Gesetzgeber folgende Formulierung für angemessen:
„Absatz 1 ist auch anzuwenden, wenn
personenbezogene Daten erhoben,
verarbeitet oder genutzt werden, ohne
dass sie automatisiert verarbeitet oder
in oder aus einer nicht automatisierten
Datei verarbeitet, genutzt oder für die
Verarbeitung oder Nutzung in einer
solchen Datei erhoben werden.“
Frei übersetzt: Jede Verarbeitung und
Erhebung von Beschäftigtendaten fällt
unter dieses Gesetz. Mithin wäre die
freundliche Frage des Vorgesetzten:
„Wie geht’s Ihnen denn heute so?“ eine
vermutlich unzulässige Erhebung von
Gesundheitsdaten. Diese Auswirkung
war wohl weder erwartet noch gewollt.
Sozialüblich – weil nicht sein kann,
was nicht sein darf
In einem der folgenden Reformvorschläge zum Beschäftigtendatenschutz
tauchte dann die Einschränkung „es
sei denn, die Daten sind Gegenstand
sozialüblicher innerbetrieblicher Kommunikation.“ auf. Und so ist „sozialüblich“ in die Datenschutzwelt, wenn
auch nicht ins Gesetz gekommen. Es
wird, eigentlich contra legem (entgegen dem Gesetz), munter angewandt
und wurde auch schon in Doktorarbeiten gesichtet. So gesehen beschreibt
„sozialüblich“ sich selbst – in Datenschutzkreisen ist die Verwendung
mittlerweile sozialüblich.
Jochen Brandt
Diplom-Wirtschafts- und Arbeitsjurist (HWP)
Jochen Brandt ist als selbstständiger Trainer
und Berater im Bereich Datenschutz tätig
(www.brandtschutz.de).
Ausgabe 01 | 15