www.datenschutz-praxis.de RECHT S SICHER | VOLL STÄ NDIG | DAUERH A F T Ausgabe Januar 2015 | 14 € zzgl. MwSt. Mitarbeitersensibilisierung Rechtsgrundlage, Umfang, Form Der Auskunftsanspruch nach § 34 BDSG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 Quelle: scanrail/iStock/Thinkstock „Wasserdicht“ organisieren Verräterische Daten Metadaten: Warum Unternehmen sich schützen müssen . . . . . . . . . . . . . . . . . . . . . . . . 4 Best Practice Neue Orientierungshilfe des Düsseldorfer Kreises Praxistipps der Aufsichtsbehörden (nicht nur) für Cloud Computing . . . . . . . . . 6 E-Mail-Sicherheit Kontroll-Know-how Warten Sie nicht auf die Prüfung durch die Aufsicht! Das Landesamt für Datenschutzaufsicht in Bayern hat zahlreiche Mailserver von Unternehmen überprüft und Mängel in der Verschlüsselung festgestellt. Auch in anderen Bundesländern sind ähnliche Prüfungen denkbar. Unternehmen sollten sich aber nicht nur deshalb um ihre E-Mail-Verschlüsselung kümmern. E-Mail-Sicherheit Warten Sie nicht auf die Prüfung durch die Aufsicht! . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1; 10 News & Tipps Düsseldorfer Kreis Leitfaden zu „Werbung und Adresshandel“ . . . . . . . . . . 12 Stellungnahme der Gruppe nach Art. 29 ◗ Langjährige Datenschutzbeauftragte können meist kaum noch zählen, wie oft sie bereits darauf hingewiesen haben, dass sich E-Mails im Internet abfangen und von unbefugten Dritten lesen lassen. Für den Austausch vertraulicher Daten wie beispielsweise Kundenlisten sind E-Mails nicht geeignet, nicht nur wegen der meist bestehenden Größenbeschränkung für Dateianhänge, sondern ganz besonders wegen des fehlenden Schutzes der Vertraulichkeit und der Integrität. Die E-Mail-Verschlüsselung ist immer noch ein Sorgenkind Zweifellos haben Sie deshalb schon mehrere Mitarbeiter-Unterweisungen abgehalten, wie wichtig die Verschlüsselung von E-Mails doch ist. Schaut man sich aber die Situation in Unternehmen an, sieht es weiterhin bedenklich aus: • Etwa zwei Drittel der Berufstätigen, die dienstliche E-Mails verschicken, können an ihrem Arbeitsplatz keine Verschlüsselung für die Nachrichten nutzen. • Weitere 19 Prozent haben zwar die technischen Voraussetzungen für E-Mail-Verschlüsselung, sie können sie aber grundsätzlich nicht einsetzen. • Nur jeder Siebte verschlüsselt zumindest hin und wieder berufliche E-Mails, so das Ergebnis einer repräsentativen Befragung im Auftrag von BITKOM. Folgen aus dem „Google-Spain-Urteil“ Neu gestalteter Internetauftritt Hinweis- und Informationssystem (HIS) . . . . . . . . . . . . . . . 12 Rechtskompass Alles andere als Stillstand Datenschutz-Grundverordnung: Sieben offene Streitpunkte . . . . . . . . . . . . . . 13 Meinung E-Government und die IT-Sicherheitspflicht des Staats . . . . . . . . . . . . . . . . . . . . . . . 16 YouTube, Redtube & Co. Streaming – rechtlich zulässig oder nicht? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18 Deutsch? Juristisch Deutsch! Sozialüblich Fortsetzung auf Seite 10 . . . . . . . . . . . . . . . . . . 12 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20 Vorschau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20 ISSN-Nr. 1614-6867 Mitarbeitersensibilisierung Rechtsgrundlage, Umfang, Form Der Auskunftsanspruch nach § 34 BDSG Editorial Themenvielfalt meistern Liebe Leserinnen und Leser, Je nach Branche ist ein Unternehmen mehr oder weniger häufig mit Auskunftsersuchen von Betroffenen konfrontiert. Dabei reichen die Anfragen der Betroffenen von allgemeinen Formulierungen bis hin zu speziellen Fragen hinsichtlich der bei der verantwortlichen Stelle gespeicherten Daten. Hier stellt sich immer wieder die Frage, wie weit der Auskunftsanspruch geht, wie eine Auskunft konkret aussehen sollte und wie oft sie erteilt werden muss. Dieser Beitrag gibt hierfür Hilfestellungen, die Sie an die Mitarbeiter weitergeben können. das vorliegende Heft ist wieder gespickt mit wichtigen Beiträgen zum Tagesgeschäft wie E-Mail-Sicherheit, zu strategischen Themen, z.B. Metadatenschutz und Cloud Computing, sowie zum Stand der politischen Diskussion bezüglich der Datenschutz-Grundverordnung. ◗ Das informationelle Selbstbestimmungsrecht setzt voraus, dass der Betroffene wissen muss, welche Daten über ihn wo und in welcher Form gespeichert sind. Auch über die Herkunft der Daten sowie den Zweck der Speicherung darf der Betroffene Auskunft verlangen. Ich lege Ihnen jeden einzelnen Beitrag ans Herz, muss Ihnen aber die Priorisierung Ihrer Schritte überlassen. Dies jedoch nicht, ohne Sie auf die Funktion „Weitere Beiträge“ zu einem Thema in den Beiträgen in unserem Online-Portal datenschutzpraxis.de hinzuweisen, das Sie als Abonnent kostenlos nutzen können. Mit der beschriebenen Funktion können Sie in unserem Archiv passende weiterführende Beiträge lesen. Auskunftsanspruch besteht gegenüber der verantwortlichen Stelle Online wie offline stellen unsere Autoren praktikable Praxislösungen vor, die alle notwendigen Schritte beinhalten und gleichzeitig auf das zeitlich und finanziell Machbare abstellen. Wir helfen Ihnen mit unserer Darstellung der Themen, die Umsetzung und die Priorisierung zu erleichtern. Viel Spaß bei der Lektüre! Ihr Dominikus Zwink Chefredakteur 2 Die Anspruchsgrundlage für die Auskunft an den Betroffenen ist § 34 Bundesdatenschutzgesetz (BDSG). Er regelt die Auskunft umfangreich. Der Auskunftsanspruch richtet sich immer gegen die verantwortliche Stelle im Sinne des § 3 Abs. 7 BDSG, also gegen jede Person oder Stelle, die personenbezogene Daten für sich erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt. Jeder Betroffene hat gegenüber der verantwortlichen Stelle einen Anspruch auf Auskunft. Sind keine Daten vorhanden, muss auch das mitgeteilt werden Dies setzt aber notwendigerweise voraus, dass zumindest ein „Betroffener“ vorhanden ist, also eine Person, die davon ausgehen kann, dass eine verantwortliche Stelle überhaupt Daten von ihr gespeichert hat. Sollten dort allerdings keine Daten des Betroffenen gespeichert sein, so ist dies dem Anfragenden ebenfalls mitzuteilen. Zentral: Der Betroffene muss sich identifizieren Wichtig hierbei ist, dass der Betroffene sich gegenüber der verantwortlichen Stelle entsprechend identifiziert, sodass tatsächlich nur der Betroffene Auskunft über seine eigenen Daten erhält und kein Unbefugter. Die Form der Anfrage ist im Gesetz nicht festgelegt Wie eine solche Identifizierung auszusehen hat, ist nicht ausdrücklich geregelt. Hier empfiehlt es sich, firmenintern Vorgaben zu machen, die schriftlich dokumentiert werden. Zum Beispiel wäre die Abfrage von Vor- und Nachnamen, Geburtsdatum, Adresse und ggf. Telefonnummer ein probates Mittel, um den Betroffenen zu identifizieren, falls eine Anfrage telefonisch erfolgt. Dies ist nämlich grundsätzlich möglich. Das Auskunftsverlangen unterliegt keiner bestimmten Form und kann auch telefonisch geltend gemacht werden. Alternativ könnte der Betroffene gebeten werden, sein Auskunftsbegehren schriftlich zu stellen. Zwar bedarf wie eben geschildert die Geltendmachung des Auskunftsanspruchs keiner Form. Allerdings eröffnet die schriftliche Anfrage des Betroffenen die Möglichkeit, seine Unterschrift mit einer etwaig bei der verantwortlichen Stelle vorhandenen Unterschrift abzugleichen. Ausgabe 01 | 15 Mitarbeitersensibilisierung Keine Personalausweiskopie zulässig! Hingegen kann ein Unternehmen grundsätzlich keine Kopie des Personalausweises fordern. Hierbei könnte ein Verstoß gegen das Personalausweisgesetz vorliegen. Falls der Betroffene bei der verantwortlichen Stelle persönlich vorstellig wird, kann man ihn hingegen auffordern, seinen Personalausweis vorzulegen, um eine Identifizierung zu ermöglichen. Wann kann ein Unternehmen die Auskunft verweigern? Unter Umständen muss die verantwortliche Stelle keine Auskunft an den Betroffenen erteilen. Die Information hinsichtlich der Herkunft der Daten des Betroffenen sowie die Empfänger (§ 34 Abs. 1 Satz 1 Nr. 1 und 2 BDSG) kann aber lediglich dann verweigert werden, wenn das Interesse an einem Geschäftsgeheimnis der verantwortlichen Stelle überwiegt. Sollte keine Auskunft erteilt werden, so ist dies dem Betroffenen mit einer Begründung mitzuteilen, sodass er darüber entscheiden kann, ob er weitere (rechtliche) Schritte in Anspruch nehmen möchte. Keine falschen Aussagen treffen! Und betont werden sollte an dieser Stelle: Die verantwortliche Stelle darf Auskunftsverlangen durch einen anderen am besten nur schriftlich Der Betroffene muss nicht selbst den Auskunftsanspruch stellen. Vielmehr ist es möglich, dass er eine andere Person mit diesem Ersuchen beauftragt. Um zu dokumentieren, dass die verantwortliche Stelle keine Auskunft an Unberechtigte erteilt, ist jedoch empfehlenswert, eine Vollmacht zu verlangen. Das ist bei einer telefonischen Anfrage praktisch unmöglich. Daher sollte die verantwortliche Stelle auf einer schriftlichen Anfrage mit Zusenden einer Vollmacht bestehen. Ausgabe 01 | 15 niemals bewusst die falsche Aussage treffen, es seien keine Daten des Betroffenen vorhanden. Auch gar keine Auskunft zu erteilen, ist keine Option. Umfang der Auskunft § 34 BDSG regelt, dass die verantwortliche Stelle dem Betroffenen Auskunft erteilen muss • über die zu seiner Person gespeicherten Daten, auch soweit sie sich auf die Herkunft dieser Daten beziehen, • über den Empfänger oder die Kategorien von Empfängern, an die Daten weitergegeben werden, • sowie über den Zweck der Speicherung der Daten. Fraglich ist dabei, wie umfangreich eine Auskunft ausgestaltet sein muss. Hier sind mehrere Punkte zu beachten, die kurz vorgestellt werden. die Quelle der Daten dem Betroffenen mitgeteilt werden. Daten aus dem Internet Werden Daten aus veröffentlichten Angaben im Internet entnommen und teilt das die verantwortliche Stelle dem Betroffenen mit, so ist dies ausreichend. Erst kürzlich hat für eine solche Konstellation das AG Leipzig (Urteil vom 18.07.2014 – 107 C 2154/14, noch nicht rechtskräftig) entschieden, dass dem Auskunftsanspruch hinsichtlich der Herkunft der Daten Genüge getan wird, wenn die verantwortliche Stelle angibt, dass die Daten veröffentlichten Angaben im Internet entnommen wurden. (Hier war es die Homepage des Rechtsanwalts.) Auch wurde im vorliegenden Fall der Zweck der Speicherung – hier die Organisation von Kongressveranstaltungen durch die Beklagte – dem Kläger in ausreichendem Maße mitgeteilt. Weitergabe an Dritte Art und Weise der Auskunft Da § 34 Abs. 1 Satz 1 Nr. 2 BDSG von „Empfänger“ bzw. Kategorien von Empfängern spricht und gemäß § 3 Abs. 8 BDSG daher keine Dritten mit diesem Wortlaut umfasst sind, hat dies zur Folge, dass auch eine Weitergabe von Daten, die beispielsweise im Rahmen der Auftragsdatenverarbeitung erfolgt ist, dem Betroffenen mitgeteilt werden muss. Was ist mit gesperrten Daten? Auch gesperrte Daten unterliegen als gespeicherte Daten dem Auskunftsanspruch. Nach Bergmann/Möhrle/ Herb, Datenschutzrecht, Ergänzungslieferung, April 2010, § 34 Rn 40, 41, gilt das Verarbeitungs- und Nutzungsverbot der gesperrten Daten nicht gegenüber dem Auskunftsersuchen eines Betroffenen. Während das Auskunftsverlangen an keine Form gebunden ist und damit das Begehren mündlich oder schriftlich – auch ein Auskunftsersuchen per E-Mail ist denkbar – vorgetragen werden kann, ist die Auskunft der verantwortlichen Stelle gemäß § 34 Abs. 6 BDSG auf Verlangen in Textform zu erteilen, soweit nicht wegen der besonderen Umstände eine andere Form der Auskunftserteilung angemessen ist. Immer den Datenschutzbeauftragten einbeziehen! Alles in allem sollte bei einem Auskunftsersuchen immer der Datenschutzbeauftragte hinzugezogen werden, der Art und Umfang der Auskunft im Auge behält. Doris Brandl Grundsätzlich ist der Umfang des Auskunftsanspruchs weit zu verstehen. Auch die Bezeichnung der Daten muss ebenso wie die Herkunft und damit Doris Brandl ist Rechtsanwältin und zertifizierte Datenschutzbeauftragte (IHK) bei der BDO AWT GmbH in München. 3 „Wasserdicht“ organisieren Verräterische Daten Metadaten: Warum Unternehmen sich schützen müssen Wer wann mit wem wie viele Daten austauscht – das verraten die Metadaten. Insbesondere wenn viele davon gesammelt werden, lassen sich aus ihnen mehr Schlüsse ziehen, als den Anwendern lieb sein kann. Vor allem weil sie leicht auszuwerten sind, leichter als die Inhalte einer Verbindung, gefährden ungeschützte Metadaten die Vertraulichkeit. ◗ Metadaten sind „einmalig einfach zu analysieren.“ Zu diesem Schluss kam der Computerwissenschaftler Edward Felten, Professor an der Princeton University, bereits voriges Jahr in einem Gutachten für den US-Senat: Anders als die komplexen Daten, die mühsam aus den Inhalten eines Anrufs, einer Videobotschaft oder einer E-Mail mit all den Variationen in der Sprache, in der Stimme und im Konversationsstil herausgefiltert werden müssten, seien Metadaten „strukturiert“. Maschinell lesbar und auswertbar Zu den Metadaten gehören alle Daten, die Informationen über Inhalte geben, z.B. bei einer E-Mail die Adressen des Senders und des Empfängers oder bei Dateien deren Größe. Da sie generiert werden, um die eigentlichen Daten zu beschreiben, sind sie gerade dann nötig, wenn es größere Datenmengen zu verwalten gibt. Eines der Merkmale von Metadaten ist daher, dass man sie maschinell lesen und auswerten kann. Verbindungsdaten verraten viel zu viel Was verraten diese Daten tatsächlich? Was lässt sich mit ihnen anfangen? Diese Fragen haben Forscher an der Stanford-Universität in einer Studie gestellt. Sie sammelten mit einer legalen Spionagesoftware Daten von Freiwilligen und waren über das Ergebnis verblüfft: Die Forscher konnten in kürzester Zeit 91 Prozent der an sich anonymen Daten ihrer Probanden eindeutig identifizieren. Sie erfuhren einiges über Verfehlungen, Familienplanungen und außereheliche Affären. Fünf Monate dauerte das Experiment insgesamt. Das Resultat: Die vermeintlich anonymen Verbindungsdaten gaben Geheimnisse preis, die man kaum privat jemanden anvertrauen will – geschweige denn einer vom Staat ge- führten oder von einem Unternehmen unterhaltenen Datenbank. Online-Aktivitäten von Mitarbeitern sind verräterisch Dass es dazu nicht unbedingt einer Verfehlung bedarf, zeigt das Experiment des Niederländers Ton Siedsma: Eine Woche ließ er sich freiwillig überwachen. Heraus kamen seine Lebensumstände, Freundschaften und Unternehmungen. Siedsmas Daten verrieten, dass er als Anwalt für die Bürgerrechtsorganisation Bits of Freedom (BoF) arbeitet und sich hauptsächlich mit internationalen Handelsabkommen beschäftigt sowie mit dem Außenministerium und einigen Mitgliedern des Parlaments zu diesem Thema Kontakt hält. Eine Reihe von Nachrichten drehte sich in der überwachten Woche um die Planung einer Leistungsüberprüfung innerhalb der Organisation, die – vermutlich – der Direktor durchführen sollte. Selbst als Siedsma ein paar Dateien im geschützten Teil der BoFWebsite aktualisierte, waren die Themen aus den Metadaten ersichtlich: Die Namen der Dateien schienen in den URLs auf. Informationen wie diese nehmen Kriminelle als Ausgangspunkt, um von Mitarbeitern weitere Daten zu bekommen (Stichwort „social engineering“). Herkömmliche Cloud und Sealed Cloud im Vergleich (Grafik: Dr. Hubert Jäger) 4 Ausgabe 01 | 15 „Wasserdicht“ organisieren Metadaten sind personenbezogene Daten und entsprechend zu schützen Die Tatsache, dass Unternehmen durch Online-Aktivitäten ihrer Mitarbeiter transparenter werden, als dem Geschäftserfolg zuträglich ist, verlangt nach ernst zu nehmenden Maßnahmen. Die Schwierigkeit liegt darin, dass den Systemanbietern, die direkt vom Empfänger zum Sender verbinden, die Empfängeradressen bekannt sein müssen. Das ist der Grund, warum den Anbietern von Kommunikationsdiensten immer die Verbindungsdaten vorliegen, selbst wenn eine Ende-zuEnde-Verschlüsselung eingesetzt wird. Die Metadaten ermöglichen es, auf Inhalte zu schließen. Daher gelten sie als personenbezogene Daten und unterliegen dem Datenschutz. So schützen Sie Metadaten – auch vor dem Anbieter einer Anwendung! Nach heutigem Stand der Forschung und Technik lassen sich Metadaten auf verschiedene Arten schützen: 1. wenn die Botschaft nicht an einen, sondern an eine Gruppe von Empfängern geht, wobei nur einer den richtigen Schlüssel zum Öffnen besitzt. Das Freenet-Projekt folgt dieser Methode und lässt sich für Privatpersonen gut nutzen. Problematisch ist, dass diese Lösung bei den Netzteilnehmern viel Rechenleistung voraussetzt und hohe Übertragungskapazitäten benötigt. 2. mit dem Einsatz von Mix-Netzen. Hier werden Nachrichten über mehrere Zwischenstationen (Mixe) geleitet. Auch damit lässt sich die Anonymisierung der Kommunikationsbeziehung erreichen. Die Sicherheitssoftware TOR nutzt diese Technik, die so gut schützt, dass die National Security Agency (NSA) annimmt, dass jeder, der einen Server dieses Netzwerks betreibt, terrorverdächtig ist, und deshalb in Echtzeit die Kommunikation desselben rastert. Je engmaschiger aber ein Raster ist, desto Ausgabe 01 | 15 einfacher wird es, die Anonymität wieder zu zerstören. 3. mit der in Deutschland entwickelten Sealed-Cloud-Technologie. Sie setzt an zwei Punkten an: Zum einen sichert sie ein Rechenzentrum so ab, dass die Daten nicht nur beim Transport zum und vom Datenzentrum und im StorageSystem in der Datenbank geschützt sind, sondern auch bei der Verarbeitung. Zum zweiten werden die ein- und ausgehenden Datenströme nach Volumen und Zeit verschoben (dekorrelliert), sodass sich zwischen den Verbindungen keine Bezüge herstellen lassen. 4. mit der Kombination einer homomorphen Verschlüsselung mit einem Mix-Network. Auch die homomorphe Verschlüsselung erlaubt eine Weiterverarbeitung bereits verschlüsselt vorliegender Daten, ohne dass der Betreiber zugreifen kann. Allerdings ist das zum Verbergen der Verbindungsdaten nicht ausreichend: Denn welches Pseudonym mit welchem Pseudonym wann und wie viel kommuniziert, bleibt sichtbar. Damit lassen sich schnell die Pseudonyme enttarnen. Schon die Möglichkeit, auf Metadaten zuzugreifen, kann strafbar sein! Anwälte, Wirtschaftsprüfer, Ärzte und Datenschutzbeauftragte, die zu den sogenannten Geheimnisträgern gehören, unterliegen neben den für andere Stellen geltenden Datenschutzgesetzen auch dem strengen, nicht dem Grundsatz der Verhältnismäßigkeit unterliegenden § 203 Strafgesetzbuch (StGB) zur Verletzung von Privatgeheimnissen. Auch Behörden und der öffentliche Dienst müssen sich daran und an § 353b StGB halten, wenn es um Dienstgeheimnisse geht. Diese beiden Gesetze verbieten die Offenbarung von Geheimnissen, was bedeutet, dass allein schon die technische Möglichkeit, auf Daten zuzugreifen, strafbar ist: Auch wenn Daten in einer Cloud durchgängig verschlüs- selt werden, kann es nämlich „zu einer Offenbarung von Geheimnissen auf dem Umweg über Metadaten kommen“, erklärt Steffen Kroschwald, wissenschaftlicher Mitarbeiter bei der Projektgruppe verfassungsverträgliche Technikgestaltung (provet) an der Universität Kassel. Sealed Cloud für Geheimnisträger Da die Verknüpfung von Metadaten höchst verräterisch sein kann, müssen diese Berufsgruppen glaubhaft alles zu deren Schutz unternehmen. Zurzeit sehen Rechtsexperten im Ansatz der Basistechnologie Sealed Cloud einen gangbaren Weg, um sogar den Geheimnisträgern den Einsatz von Cloud Computing rechtlich zu ermöglichen. Denn diese Technologie kann sowohl Inhalte als auch Metadaten schützen. Dr. Hubert Jäger Dr. Hubert Jäger ist Erfinder und Autor zahlreicher Patente. 2009 gründete er mit zwei Partnern die Uniscon GmbH, die sich den Schutz der Daten im Internet zum Ziel gesetzt hat. Weiterführende Informationen • http://www.cs.princeton.edu/~felten/ testimony-2013-10-02.pdf • http://kurzlink.de/sz_metadaten • http://kurzlink.de/netzpolitikmetadaten • http://www.freenet.de/index.html • https://www.torproject.org/ • http://kurzlink.de/netzpolitik_nsa • http://www.uniscon.de/sealedcloud/ • Detlef Hühnlein, Heiko Roßnagel (Ed.): Proceedings of Open Identity Summit 2013, Lecture Notes in Informatics, Volume 223, ISBN 978-3-88579-6176, pp. 185–195. • Steffen Kroschwald: Verschlüsseltes Cloud Computing – Auswirkung der Kryptografie auf den Personenbezug in der Cloud, Zeitschrift für Datenschutz (ZD) 2014, S. 75–80. 5 Best Practice Neue Orientierungshilfe des Düsseldorfer Kreises Praxistipps der Aufsichtsbehörden (nicht nur) für Cloud Computing Der Düsseldorfer Kreis hat am 9.10.2014 die Version 2.0 der „Orientierungshilfe – Cloud Computing“ veröffentlicht. Sie geht inhaltlich weit über die Version 1.0 aus dem Jahr 2011 hinaus. Die Orientierungshilfe (OH) bietet eine praktische Handreichung insbesondere zur Bewertung von Datenschutzfragen bei der Nutzung von Cloud Services. Die Erläuterungen und Aussagen des Düsseldorfer Kreises sind aber nicht auf den Bereich Cloud Computing beschränkt. ◗ Auch wenn man der OH nicht in allen Aussagen folgen möchte, ist sie ein großer Wurf für die Praxis. Denn sie macht erkennbar, welchen Standpunkt die Datenschutzaufsichtsbehörden zu bestimmten Aspekten im Kontext des Cloud Computing und zur Auftragsdatenverarbeitung haben. Auftragsdatenverarbeitung und Auslandsdatentransfer Die OH enthält insbesondere Aussagen zu § 11 Bundesdatenschutzgesetz (BDSG, Auftragsdatenverarbeitung) und §§ 4b, 4c BDSG (Auslandstransfer), die allgemein gelten und nicht nur im Kontext des Cloud Computing. Bedeutung der Orientierungshilfe Die Orientierungshilfe ist rechtlich nicht bindend und hat insbesondere keinen Vorrang vor den gesetzlichen Bestimmungen. Sie enthält aber die Aussage, wie die Datenschutzaufsichtsbehörden das Datenschutzrecht anwenden werden. Es handelt sich insoweit – in gewissem Umfang – um eine Selbstbindung des Verwaltungshandelns. Aufgrund des Vorrangs des Gesetzes ist aber ein Gericht nicht gehindert, das Datenschutzrecht anders auszulegen und anzuwenden – sowohl zum Vorteil als auch zum Nachteil der Beteiligten. Das soll heißen: Soweit die OH Forderungen aufstellen sollte, die nicht durch das Gesetz gedeckt sind, hindert das ein Gericht nicht, die Frage abweichend zu bewerten. 6 Die OH ist mit 41 Seiten sehr umfangreich (zu finden unter http://kurzlink. de/oh_cloud). Nachfolgend werden daher besondere Aspekte, aber nicht alle Aussagen der OH angesprochen. Anwendungsbereich des Datenschutzrechts – Anknüpfungspunkte Im Zentrum der OH steht das Verhältnis zwischen dem Cloud-Nutzer, der die Daten in der Cloud verarbeitet, und dem Cloud-Provider, der den Cloud-Service bereitstellt. Für die Frage, welches Datenschutzrecht die Rahmenbedingungen der Nutzung von Cloud Services vorgibt, kommt es jedoch nicht auf dieses Verhältnis an, sondern vielmehr auf das Verhältnis zwischen dem Cloud-Nutzer und dem Betroffenen – also demjenigen, dessen Daten in der Cloud verarbeitet werden. Ausschlaggebend ist das Verhältnis Cloud-Nutzer – Betroffener Dieses Verhältnis ist der Bewertung nach § 1 Abs. 5 BDSG zugrunde zu legen, ob deutsches Datenschutzrecht zur Anwendung kommt. Danach bestimmt sich ebenso, ob sogenannte besondere Arten personenbezogener Daten verarbeitet werden und daher § 28 Abs. 6 bis 9 BDSG herangezogen werden müssen. Auf dieses Verhältnis ist auch abzustellen für die Frage, ob die Datenschutzbestimmungen des Telekommunikationsgesetzes (TKG) statt die des BDSG zu beachten sind. „Doppelte“ Verantwortung des CloudNutzers Die Verantwortung des Cloud-Nutzers wird in der OH mehrfach angesprochen und damit in der Gesamtschau deutlich betont: • Der Cloud-Nutzer ist sowohl für die Verwendung der personenbezogenen Daten in der Cloud verantwortlich – also z.B. für die Datenschutzkonformität eines CRM-Tools – als auch • für die Nutzung im Wege des Cloud Computing, also für die Auslagerung der Daten an einen Dritten. Aus datenschutzrechtlicher Sicht wird die Verantwortlichkeit also „verdoppelt“. Die OH hat v.a. die datenschutzrechtliche Zulässigkeit der Auslagerung zum Gegenstand. Einschaltung von Subunternehmern Diese Verantwortung wird auch in Bezug auf Unter-Auftragnehmer (Subunternehmer) des Cloud-Providers betont. Praktisch bedeutet das: Der Cloud-Nutzer muss vertraglich sicherstellen, dass der Cloud-Provider seinen Subunternehmern dieselben Pflichten auferlegt, die ihm der Cloud-Nutzer auferlegt hat, und dass der CloudNutzer in Bezug auf Subunternehmer dieselben Kontrollrechte hat. Tipps zur praktischen Umsetzung Während § 11 Abs. 2 S. 2 Nr. 6 BDSG nur fordert, dass die „Berechtigung zur Begründung von Unterauftragsverhältnissen“ vertraglich zu regeln ist, macht die OH deutlich, wie die Aufsichtsbehörden das praktisch umgesetzt sehen möchten: • Der Cloud-Provider muss vertraglich verpflichtet werden, alle Subunternehmer einschließlich sämtlicher Standorte der Datenzentren zu benennen. • Für später hinzukommende Subunternehmer muss der CloudAusgabe 01 | 15 Best Practice Quelle: Wavebreakmedia Ltd/Wavebreak Media/Thinkstock Nutzer vertraglich vorsehen, dass der geplante Subunternehmer dem Cloud-Nutzer mitgeteilt wird, bevor er tatsächlich zum Einsatz kommt. • Außerdem sollte sich der CloudNutzer eine ausreichend bemessene Frist zum Widerspruch bzw. zur Vertragskündigung für diesen Fall einräumen lassen. Die Anerkennung einer solchen „Widerspruchs- bzw. Sonderkündigungslösung“ ist im Ergebnis ein Zugeständnis im Vergleich zu der teilweise geforderten „Zustimmungslösung“, wonach ein Subunternehmer erst nach aktiver Zustimmung des Cloud-Nutzers involviert werden darf. Aus datenschutzrechtlicher Sicht ist entscheidend, dass die Frist zum Einsatz des Subunternehmers so zu bemessen ist, dass effektiv eine Beendigung der Nutzung in Betracht kommt. Auswahl und Kontrolle des Providers Der Auftraggeber hat sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen; das Ergebnis ist zu dokumentieren (§ 11 Abs. 2 S. 4 und 5 BDSG). Konkrete Hinweise zur Umsetzung Die OH stellt klar, dass der Auftraggeber im Rahmen einer Auftragsdatenverarbeitung nicht zwingend eine eigene Kontrolle vor Ort vornehmen muss. Für die Praxis konkretisiert die OH, was dann aber zu beachten ist: Laut der Orientierungshilfe unterfallen auch verschlüsselte personenbezogene Daten dem Datenschutzrecht • Allein damit hat der Cloud-Nutzer seinen Pflichten aber noch nicht genügt. Der Cloud-Nutzer muss sich – so die OH – anhand der in den Zertifizierungs- bzw. Gütesiegelverfahren erarbeiteten Gutachten, Berichte und Analyseergebnisse darüber Klarheit verschaffen, ob und in welchem Umfang sich der Untersuchungsgegenstand auf Cloud-spezifische Datenschutz- und IT-Sicherheitsrisiken bezieht und ob dabei die vom Cloud-Provider zur Verfügung gestellten Dienste geprüft wurden. • Darüber hinaus fordert die OH, dass die unabhängigen Prüfstellen die Untersuchungsgegenstände veröffentlichen oder zumindest dem Cloud-Anwender zur Verfügung stellen müssen. Kontrollrecht vorbehalten! • Nicht ausreichend ist es, sich auf Zusicherungen des Cloud-Providers zu verlassen. Ausreichen können aber Zertifizierungen und Gütesiegel. Mindestvoraussetzung ist dann jedoch, dass diese Prüfung von einer erstens unabhängigen und zweitens auch kompetenten Prüfstelle durchgeführt wird. Ausgabe 01 | 15 Für die Praxis entscheidend ist, dass der Vertrag in keinem Fall das Recht des Cloud-Nutzers ausschließen darf, eigene Kontrollen durchzuführen, so die OH. Mit anderen Worten darf aus dem zwischen Cloud-Anbieter und Cloud-Anwender geschlossenen Vertrag nicht hervorgehen, dass die Vorlage von Zertifikaten die einzige Möglichkeit zur Ausübung der Auftragskontrolle sein soll. Für Subunternehmer stellt die Orientierungshilfe nochmals klar, dass sich im Verhältnis zu ihm dieselben Vertragsbedingungen widerspiegeln müssen. Für die Praxis relevant ist, dass die Aufsichtsbehörden zwar fordern, dass dem Cloud-Nutzer auch gegenüber dem Subunternehmer des CloudProviders ein eigenes Kontrollrecht vertraglich vorbehalten sein muss, aber eine Kontrolle nach vorstehenden Maßgaben durch den Cloud-Provider genügen kann. Kurzum: Der Auftraggeber kann seiner Pflicht zur Überzeugungsbildung zwar gestützt auf Zertifizierungen und Gütesiegel nachkommen. Er darf seine Kontrollbefugnis jedoch nicht hierauf beschränken, sondern muss sich vertraglich ein Kontrollrecht vorbehalten. Auch für verschlüsselte Daten in der Cloud gilt das Datenschutzrecht Die Frage, ob für verschlüsselte Daten in der Cloud das Datenschutzrecht 7 Best Practice gilt, wird immer wieder aufgeworfen und als Lösung für die datenschutzrechtliche Problematik (insbesondere wenn eine Auftragsdatenverarbeitung in Drittstaaten nicht in Betracht kommt (s.u.)) diskutiert. Die OH gibt eine Antwort für die Praxis: „Der Personenbezug von Daten entfällt jedoch regelmäßig nicht durch die Verschlüsselung.“ Die Formulierung „regelmäßig“ spricht an, dass es Sonderfälle geben kann, in denen der Personenbezug doch entfällt. Vor diesem Hintergrund ist die Diskussion nicht vollständig beendet. Für die Praxis wird man dennoch bei den alltäglichen Konstellationen davon ausgehen können, dass die Aufsichtsbehörden von einem Personenbezug auch bei Verschlüsselung ausgehen. Grenzüberschreitendes Cloud-Computing Die Cloud kennt keine geografischen Grenzen – das Datenschutzrecht schon. Dieses Spannungsverhältnis will die OH in der Praxis dadurch aufgelöst sehen, dass vertragliche Vereinbarungen zwischen dem Cloud-Anwender und dem Cloud-Anbieter den Ort bzw. alle Orte der technischen Verarbeitung personenbezogener Daten eindeutig festlegen (vgl. Verantwortlichkeit des Cloud-Anwenders). Damit geht die Anforderung über den Wortlaut des § 11 BDSG hinaus. Drittstaaten erfolgt, auf den Standort der physischen Datenverarbeitung und nicht auf den Sitz des Cloud-Providers ankommt. Was für eine Grenzüberschreitung erfolgt, ist entscheidend für den Prüfungsumfang und die rechtliche Gestaltung (s.u.). Um dies an einem Beispiel zu verdeutlichen: Wird ein Vertrag mit einem USUnternehmen geschlossen, das die Daten in seinem Rechenzentrum in Italien verwaltet, genügt die Verwaltung in Italien, um eine Übermittlung in einen Drittstaat zu verneinen. Diese Ansicht hat Vieles für sich, ist aber nicht unumstritten. Cloud Computing in der Europäischen Union bzw. im EWR Die Nutzung eines Cloud-Service innerhalb der EU bzw. innerhalb des Europäischen Wirtschaftsraums (EWR) stellt datenschutzrechtlich keine weiteren Anforderungen als eine solche innerhalb Deutschlands. Cloud Computing in einem Drittstaat Cloud Computing in einem Drittstaat erfordert eine datenschutzrechtlich komplexere Gestaltung. Denn neben der Prüfung, ob überhaupt eine Auslagerung an einen Cloud-Provider erfolgen darf, muss zusätzlich nach §§ 4b, 4c BDSG geprüft werden, ob die Auslagerung in den Drittstaat zulässig ist. Zulässigkeit der Auslagerung an einen Cloud-Provider in einem Drittstaat Die OH stellt klar, dass aufgrund der Begriffsbestimmung in § 3 Abs. 4 Nr. 3 BDSG in Verbindung mit § 3 Abs. 8 Satz 3 BDSG die privilegierende Wirkung der Auftragsdatenverarbeitung nicht greift, wenn der Dienstleister seinen Sitz außerhalb der EU und des EWR hat. Demnach stellt die Datenweitergabe an einen „Datenverarbeiter“ in einem Drittstaat eine Übermittlung dar, die einer Rechtsgrundlage bedarf. Sie lässt sich unter seinen Voraussetzungen in § 28 BDSG finden. Diese Begrenzung auf die EU steht in Konflikt zum EU-Recht. Daher ist diese Handhabung umstritten. Soweit besondere Arten personenbezogener Daten betroffen sind, scheidet das Cloud Computing aus, so die OH. Denn § 28 Abs. 1 Satz 1 Nr. 2 BDSG ist nicht anwendbar, und die Voraussetzungen der speziellen Erlaubnistatbestände nach § 28 Abs. 6 bis 9 BDSG wären grundsätzlich nicht erfüllt. Cloud-Provider und ihre Subunternehmer können so verpflichtet werden, nur technische Infrastrukturen zu verwenden, die sich physikalisch auf dem Gebiet der EU bzw. des Europäischen Wirtschaftsraums (EWR) befinden. Für die Praxis interessant ist, dass die Aufsichtsbehörden anscheinend davon ausgehen, dass es für die Frage, ob Grenzüberschreitung innerhalb der EU bzw. des EWR oder in sogenannte 8 Quelle: lovin-you/iStock/Thinkstock Entscheidend ist der Standort der physischen Datenverarbeitung EU, EWR oder Drittstaat? Entscheidend für die Frage, welche Form der Grenzüberschreitung vorliegt, ist der physikalische Standort der Datenverarbeitung. Ausgabe 01 | 15 Best Practice Für die Praxis wichtig ist der Hinweis in der Orientierungshilfe, dass eine gleichwohl abgeschlossene Vereinbarung nach Maßgabe von § 11 BDSG die nach § 28 BDSG erforderliche Interessenabwägung zugunsten der Zulässigkeit ausfallen lassen kann. Kurzum: Ein Vertrag zur Auftragsdatenverarbeitung ist zwar nicht die Rechtsgrundlage, wirkt sich aber positiv im Rahmen der Interessenabwägung nach § 28 BDSG aus. Zulässigkeit der Auslagerung in genau diesen Drittstaat Für die Zulässigkeit nach §§ 4b, 4c BDSG kommen verschiedene Gestaltungen in Betracht. Bei allen Gestaltungen fordert die OH, dass zusätzlich eine Vereinbarung nach Maßgabe von § 11 Abs. 2 BDSG geschlossen wird. Das betrifft also auch die Verwendung der EU-Standardvertragsklauseln, der Safe-Harbor-Principles und der Binding Corporate Rules. Eine rechtsdogmatisch stringente Begründung hierfür bleibt die Orientierungshilfe allerdings schuldig, weshalb dieser bereits in der Version 1.0 der OH vertretene Ansatz Kritik erfahren hat. Trotz umfangreicher Kritik akzeptiert die Orientierungshilfe weiterhin ein Vorgehen nach den Safe-HarborPrinciples für Cloud Computing in den USA. Die Anforderungen in diesem Fall beschreibt die OH grundlegend. Bei der Verwendung der EU-Standardvertragsklauseln ist zu beachten, dass sie nur dann genehmigungsfrei zur Zulässigkeit führen, wenn sie – mit Ausnahme der Freitextbereiche – inhaltlich unverändert verwendet werden. Für die Praxis entscheidend ist, dass die Orientierungshilfe nun – und neu gegenüber der Version 1.0 – klarstellt, dass geringfügige Ergänzungen zur Erfüllung der Anforderungen des § 11 Abs. 2 BDSG trotz potenzieller Änderungen keine Genehmigungspflicht auslösen sollen. Ausgabe 01 | 15 Binding Corporate Rules für Auftragsdatenverarbeiter (PBCR) In der Praxis bisher kaum beachtet wurde eine weitere Gestaltung, die die OH hervorhebt: die sogenannten Processor Binding Corporate Rules (BCR für Auftragsdatenverarbeiter, PBCR). Dieser Gestaltungsweg ist auf Konzerne und Unternehmensgruppen zugeschnitten, zu deren Geschäftsgegenständen die Auftragsverarbeitung personenbezogener Daten (ggf. für unterschiedliche Auftraggeber) zählt. Die PBCR können gerade für Unternehmensgruppen geeignet sein, die Cloud-Computing-Dienste anbieten und zu diesem Zweck personenbezogene Daten auch an gruppenangehörige Unternehmen außerhalb des EWR transferieren. Aber Achtung: Verantwortlich für die Drittstaatsübermittlungen bleibt auch dabei stets der jeweilige Cloud-Nutzer. Cloud Computing in der EU/im EWR mit Subunternehmen in Drittstaaten Cloud Computing, bei dem der CloudProvider in der EU bzw. im EWR tätig ist, aber einen Subunternehmer in einem Drittstaat beauftragt, führt zu weiteren Herausforderungen bei der datenschutzrechtlichen Einbindung des Subunternehmers. Denn in Bezug auf diesen kommt weder eine echte Auftragsdatenverarbeitung in Betracht (zur Begründung s.o.), noch lassen sich die EU-Standardvertragsklauseln für Auftragsdatenverarbeitung verwenden (Kommissionsbeschluss 2010/87/EU). Lösungsansätze Daher ist es für die Praxis wichtig, dass die OH Lösungswege anspricht: 1. Abschluss des EU-Standardvertrags zwischen Cloud-Nutzer als Datenexporteur und Subunternehmer als Datenimporteur („Direktvertrag“) 2. Abschluss eines EU-Standardvertrags durch den Cloud-Provider mit entsprechender Vollmacht im Auftrag des Cloud-Nutzers mit dem Subunternehmer („Vertretungslösung“) 3. Abschluss eines Ad-hoc-Vertrags, d.h. eines Vertrags, der nicht den Standardvertragsklauseln entspricht; die Datenübermittlung an den Subunternehmer bedarf dann allerdings gemäß § 4c Abs. 2 Satz 1 BDSG der Genehmigung der zuständigen Aufsichtsbehörde. Für die Praxis ist allerdings entscheidend, dass in den beiden zuletzt genannten Fällen der Auftraggeber den Spielraum für den Cloud-Provider klar und eindeutig absteckt. Das erfordert in der Praxis eine sorgfältige Gestaltung. Technisch-organisatorische Maßnahmen Die OH beschreibt in einem zweiten Kapitel grundlegend und differenzierend nach verschiedenen Cloud-Diensten Risiken, Schutzziele und Cloudspezifische Maßnahmen. Ebenso wird das Thema Zertifizierung und Gütesiegel nochmals aus technischer Sicht betrachtet. Fazit: praxistauglich und nützlich Die aktuelle Orientierungshilfe ist aufgrund ihrer umfangreichen und substanziellen Erweiterung gegenüber der Version 1.0 ein weiterer Meilenstein in der Aufarbeitung der datenschutzrechtlichen Herausforderungen des Cloud Computing. Das kritische Hinterfragen einzelner Standpunkte kann gleichwohl zu rechtlich abweichenden Standpunkten führen. Trotzdem schafft sie Handreichungen für die Praxis und durch die Darlegung der Auffassung der Aufsichtsbehörden insoweit Rechtssicherheit. Dr. Jens Eckhardt Dr. Eckhardt ist als Rechtsanwalt bei JUCONOMY Rechtsanwälte tätig. Er ist zudem Vorstandsmitglied des EuroCloud Deutschland_eco e.V 9 Kontroll-Know-how Fortsetzung von Seite 1 Selbst mit Verschlüsselung sind Mails oftmals nicht sicher Wenn Sie jetzt das Umfrageergebnis zwar generell bedauerlich finden, aber in Ihrem Unternehmen alles im grünen Bereich sehen, sollten Sie nun innehalten. Auch wenn eine Verschlüsselungslösung für E-Mails am Arbeitsplatz zur Verfügung steht und sogar regelmäßig genutzt wird, bedeutet dies leider nicht, dass die E-MailSicherheit wirklich gewährleistet ist. Diese Erkenntnis ist vielen Unternehmen nicht selbst gekommen, sondern sie wurde ihnen von einer Aufsichtsbehörde für den Datenschutz verschafft. Prüfung einer Aufsichtsbehörde ergab deutliche Mängel Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) deckte Datenschutz-Probleme bei vielen Mailservern auf. So hat das BayLDA Anfang September 2014 bei insgesamt 2.236 bayerischen Unternehmen das Sicherheitsniveau der eingesetzten Mailserver automatisiert überprüft. 772 Unternehmen genügten dabei den gestellten datenschutzrechtlichen Anforderungen nicht und wurden deshalb vom BayLDA schriftlich aufgefordert, ihre Mailserver an den Stand der Technik anzupassen. Unternehmen, die nicht Teil dieser Überprüfung in Bayern waren, sollten sich nicht zurücklehnen, sondern stattdessen das Thema Mailserver auch nach der Kontrolle durch die Aufsicht sehr ernst nehmen, und zwar gleich aus mehreren Gründen. Nach der Prüfung ist vor der (eigenen) Prüfung Zum einen kann das BayLDA diese Prüfung ohne Weiteres wiederholen und dabei die Stichprobe verändern. Dank der automatisierten Kontrollen lassen sich mit geringem Aufwand und ohne zeitraubenden Vor-Ort-Ter10 min weitere Prüfungen an Mailservern vornehmen. Es gibt zudem keinen Grund, zu glauben, dass solche automatisierten Kontrollen von Mailservern nicht auch in anderen Bundesländern als Bayern stattfinden könnten. Besser nicht die Prüfung abwarten Nicht zuletzt sollten Unternehmen ein eigenes Interesse daran haben, die Sicherheit ihrer Mailserver und der EMail-Verschlüsselung zu überprüfen – denn was bringt eine nur scheinbare E-Mail-Sicherheit? Ein Warten auf die Prüfung durch die Aufsicht sollte in keinem Fall der Weg der Wahl sein. Das gilt auch dann, wenn ein Dienstleister den Mailserver betreibt. Beispiele für (automatisierte) Prüfungen von Aufsichtsbehörden Die Beispiele von automatisierten Prüfungen zeigen zugleich die nötigen internen Kontrollen, die der betriebliche Datenschutzbeauftragte durchführen sollte: • Online-Prüfung bei Mailservern hinsichtlich STARTTLS, Perfect Forward Secrecy und Heartbleed-Lücke (https://www.lda.bayern.de/onlinepruefung/emailserver.html) • Online-Prüfung Adobe Analytics (Omniture) (https://www.lda.bayern.de/onlinepruefung/adobeanalytics.html) • Online-Prüfung Google Analytics (https://www.lda.bayern.de/onlinepruefung/googleanalytics.html) Bei Auslagerung an die notwendige Auftragskontrolle denken • Mobile Applikationen – App-Prüfung (https://www.lda.bayern.de/MobileApplikationen/index.html) Nicht nur kleine und mittlere Unternehmen gehen zunehmend dazu über, bestimmte Sicherheitsfunktionen auszulagern, die E-Mail-Sicherheit beispielsweise durch einen sogenannten Managed Security Provider organisieren zu lassen. Gerade dann, wenn ein Dienstleister den Mailserver betreibt, ist auch die E-Mail-Sicherheit meist eine eingekaufte Leistung. • Prüfung der Social Plug-ins bei Internetauftritten (https://www.datenschutz-bayern.de/ presse/20131107_SocialPlugins.html) Trotzdem bleibt die Mailserver-Sicherheit ein zentrales Thema für das Anwenderunternehmen selbst. Da die Mail-Sicherheit in diesem Fall als Auftragsdatenverarbeitung (§ 11 BDSG) erbracht wird, bleibt das Unternehmen selbst in der Verantwortung für den Datenschutz. Deshalb sollte ein Unternehmen, das den Mailserver betreiben lässt, an die notwendige Auftragskontrolle denken, mit der sie der Prüfung durch die Aufsichtsbehörde zuvorkommen sollte. Bußgelder und Datenpannen vermeiden Gründe, sich mit den erkannten Mängeln bei Mailservern im eigenen Un- • Prüfung der Zulässigkeit einer Videoüberwachung (http://www.baden-wuerttemberg. datenschutz.de/videouberwachungdurch-nicht-offentliche-stellen/) ternehmen zu befassen, gibt es also reichlich: • Die Aufsichtsbehörden können bei Mängeln im Datenschutz und damit auch bei Mailserver-Schwachstellen Bußgelder erlassen, die sich jedes Unternehmen lieber ersparen sollte. • E-Mail ist trotz Facebook und Chat-Diensten immer noch eines der wichtigsten IT-Verfahren in Unternehmen und wird sehr oft für den Austausch vertraulicher Daten genutzt. Die internen Datenschutzanforderungen an die E-Mail-Sicherheit müssen deshalb hoch sein, denn die Ausgabe 01 | 15 Kontroll-Know-how Verschlüsselung muss möglichen Lauschangriffen standhalten können, die etwa von Industriespionen ausgehen könnten. Einstellungen am Mailserver prüfen Die Motivation, selbst eine Mailserver-Prüfung durchzuführen, ist nach diesen Erläuterungen nun hoffentlich hoch. Nehmen Sie deshalb die Kontrolle des Mailservers und der E-Mail-Verschlüsselung in Ihre nächste Zugangs-, Zugriffs- und Weitergabekontrolle auf. heimlich zu entschlüsseln und zu belauschen. Bei der Prüfung im September hatte das BayLDA festgestellt, dass 44 der geprüften bayerischen Unternehmen Mailserver nutzen, die die HeartbleedLücke aufweisen – ein sehr kritisches Problem, wie die Aufsicht betont, zumal die Sicherheitslücke seit April 2014 als hohes Risiko bekannt ist. Verschlüsselung nach dem Stand der Technik (noch) ernster nehmen Mailserver-Sicherheit ist für sich genommen schon wichtig (und mitunter aufwendig) genug. Trotzdem sollten Sie die erwähnte Prüfung von Mailservern durch die Aufsichtsbehörde nur als ein Beispiel sehen. Die Datenschutzkontrollen der Aufsichtsbehörden und auch die von Ihnen durchzuführenden Kontrollen sind weitaus vielfältiger. Allein schon die automatisierten Prüfungen des BayLDA zeigen exemplarisch die Bandbreite der erforderlichen internen Kontrollen. Weitere automatisierte Prüfungen STARTTLS Dabei sollten Sie hinterfragen, ob die Verschlüsselungsverfahren bei den von Ihrem Unternehmen eingesetzten Mailservern wirklich dem Stand der Technik entsprechen. Wie das BayLDA ausgeführt hat, müssen Mailserver u.a. das Verfahren STARTTLS zur Verschlüsselung unterstützen, damit eine Transport-Verschlüsselung bei der Übermittlung von E-Mails möglich ist. Die Prüfungsergebnisse des Bayerischen Landesamts für Datenschutzaufsicht zeigen, dass selbst die Unternehmen, die eine E-Mail-Verschlüsselung einsetzen, die besondere Bedeutung einer Verschlüsselung nach dem Stand der Technik teilweise übersehen. Nicht ohne Grund unterstreichen die Aufsichtsbehörden in ihren Entschließungen immer wieder, wie wichtig eine dem Stand der Technik entsprechende Verschlüsselung ist, ob in der Cloud oder bei E-Mail. Perfect Forward Secrecy Mail-Administratoren ansprechen Zudem ist Perfect Forward Secrecy zu nutzen, damit sich auch bei unrechtmäßiger Erlangung eines geheimen Schlüssels der mit TLS (Transport Layer Security) verschlüsselte E-MailVerkehr nicht nachträglich entschlüsseln lässt. Perfect Forward Secrecy sieht vor, dass Sitzungsschlüssel für die Mail- und Online-Verschlüsselung so generiert werden, dass sie zu einem späteren Zeitpunkt selbst bei Kenntnis des Langzeitschlüssels nicht mehr rekonstruiert werden können. Heartbleed Prüfen Sie darüber hinaus, ob immer noch die Sicherheitslücke Heartbleed bei der Verschlüsselung des Mailservers vorliegt. Wurde diese Sicherheitslücke nicht geschlossen, könnte es Angreifern möglich sein, die Schlüssel zu einer Mail- oder Online-Verschlüsselung auszulesen und auf diese Weise die verschlüsselte Kommunikation Ausgabe 01 | 15 Sprechen Sie mit den Mail-Administratoren in Ihrem Unternehmen, damit sie den Sicherheitsstatus des eigenen Mail-Servers überprüfen oder aber der E-Mail-Provider oder Managed Security Provider kontaktiert wird, um eine Verschlüsselung nach dem Stand der Technik wirklich sicherzustellen. Damit sollte kein Unternehmen warten, bis die Prüfung durch die zuständige Aufsichtsbehörde erfolgt oder eine Datenpanne im E-Mail-Verkehr eingetreten ist. Der Kasten auf Seite 10 nennt Beispiele für automatisierte und nicht automatisierte Prüfungen, neben der Kontrolle bei Mailservern auch die Prüfung der Reichweitenanalyse mit Adobe Analytics oder Google Analytics, das Angebot und die Nutzung mobiler Apps, die Einbindung sogenannter Social Plugins auf Internetseiten und die Videoüberwachung durch nicht-öffentliche Stellen. Weitere Beispiele und Hinweise zu notwendigen Prüfungen finden Sie immer auch in den Tätigkeitsberichten der Aufsichtsbehörden. Oliver Schonschek Dipl.-Phys. Oliver Schonschek ist freier IT-Fachjournalist, IT-Analyst bei dem Analystenhaus Experton Group sowie Herausgeber und Autor verschiedener WEKA-Werke zu Datenschutz und Datensicherheit. Auch andere Datenschutz-Themen nicht vergessen Das Thema der MailVerschlüsselung und Nutzen Sie u.a. die Tätigkeitsberichte der Aufsichtsbehörden, um wichtige Prüfbereiche zu identifizieren 11 News & Tipps Düsseldorfer Kreis Leitfaden zu „Werbung und Adresshandel“ ◗ Der Düsseldorfer Kreis hat eine Ad-hoc-Arbeitsgruppe „Werbung und Adresshandel“ unter Leitung des Bayerischen Landesamts für Datenschutzaufsicht eingerichtet und diese Gruppe mit der Erarbeitung von Anwendungshinweisen zu den BDSG-Regelungen für den werblichen Umgang mit personenbezogenen Daten beauftragt. In mehreren Sitzungen wurden Anwendungshinweise formuliert. Sie sind in einem Dokument von 14 Seiten zusammengefasst (siehe http://kurzlink. de/Hinweise_Werbung). BDSG hinzugespeichert und für E-Mail-Werbung genutzt werden. Verschärfung der Bußgeldpraxis Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat angekündigt, seine sehr zurückhaltende Bußgeldpraxis in diesem Bereich aufzugeben und in der nächsten Zeit schwerpunktmäßig die „Missachtung von Werbewidersprüchen“ sowie die unzulässige „E-Mail-Werbung zur Neukundengewinnung“ mit Bußgeldern zu sanktionieren (siehe die Presseerklärung vom 25.11.2014, http:// kurzlink.de/BayLDA_Presse). Quelle: luchschen/iStock/Thinkstock Wichtige Aussagen Besonders die Hinweise zu den einzelnen Punkten der umfangreichen Regelung des § 28 Abs. 3 BDSG gehen teilweise sehr in die Tiefe. Das zeigen etwa folgende für die Werbepraxis bedeutsame Aussagen: • Die in § 28 Abs. 3 Satz 2 BDSG beschriebenen Listendaten dürfen nur ein (einziges) Gruppenmerkmal enthalten. • Telefonnummer und E-Mail-Adresse zählen nach dem Wortlaut des Gesetzes in § 28 Abs. 3 Satz 2 BDSG nicht zum Listendatensatz. • Weil § 28 Abs. 3 Satz 2 Nr. 1 BDSG nur allgemein zugängliche Verzeichnisse (Adress-, Rufnummern-, Branchenverzeichnisse etc.) nennt, kommen für eine zulässige Datenerhebung für werbliche Zwecke auch nur solche Verzeichnisse in Betracht. Eine sonstige allgemeine Zugänglichkeit der Anschriftendaten (Zeitungsanzeigen, Anbieterkennzeichnungen im Internet usw.) genügt nach dem Wortlaut des Gesetzes nicht. • E-Mail-Adressen, die unmittelbar von den betroffenen Personen im Rahmen einer Geschäftsbeziehung (Bestandskunden) erhoben wurden, können nach § 28 Abs. 3 Satz 3 12 Das BayLDA wird sich verstärkt mit der Werbepraxis in Unternehmen beschäftigen dazu verpflichtet, vorhandene Links in ihren Verzeichnissen zu löschen. Beanstandete Links müssen lediglich aus den Suchergebnissen entfernt werden, die bei der Eingabe bestimmter Suchbegriffe zustandekommen. Der Zugang zur Originalquelle bei Verwendung anderer Suchbegriffe bleibt dagegen erhalten. Kritisch äußert sich die Gruppe zu der Praxis, den Nutzer darauf hinzuweisen, dass die Liste der Suchergebnisse nicht vollständig ist, weil Ergebnisse unterdrückt wurden. Ein solches Vorgehen sei nur statthaft, wenn ein solcher Hinweis keinerlei Rückschluss darauf erlaubt, welche konkrete Person die Entfernung der Ergebnisse bewirkt hat. Dafür, dass Suchmaschinenbetreiber den Inhaber einer Webseite routinemäßig informieren, wenn Ergebnisse unterdrückt werden, die sich auf diese Website beziehen, fehle es an einer Rechtsgrundlage. Die bisher nur auf Englisch verfügbare Stellungnahme, die am 26.11.2014 veröffentlicht wurde, umfasst 20 Seiten und ist abrufbar unter http://kurzlink.de/wp225_en. Neu gestalteter Internetauftritt Stellungnahme der Gruppe nach Art. 29 Folgen aus dem „Google-Spain-Urteil“ ◗ Die Gruppe nach Art. 29 der EUDatenschutzrichtlinie hat eine umfangreiche Stellungnahme dazu verfasst, wie nach ihrer Auffassung das „Google-Spain-Urteil“ zu interpretieren ist. In diesem Urteil hatte der Europäische Gerichtshof Betreibern von Suchmaschinen unter bestimmten Voraussetzungen die Pflicht auferlegt, Suchergebnisse zu unterdrücken (siehe Datenschutz PRAXIS 9/2014, Seite 1). Links müssen nicht gelöscht, sondern aus Ergebnissen entfernt werden Die Gruppe hebt hervor, dass das Gericht Suchmaschinenbetreiber nicht Hinweis- und Informationssystem HIS ◗ Häufige Fragen zum Hinweis- und Informationssystem (HIS) der Versicherungswirtschaft beantwortet der 2014 neu gestaltete Internetauftritt des Unternehmens informa risk & fraud prevention, das dieses System betreibt (siehe http://kurzlink.de/his-online). Der Internetauftritt bietet auch die Möglichkeit zum Ausdruck von Formularen, mit denen man eine Selbstauskunft aus dem System beantragen kann. Anfragen direkt über die Webseite sind nicht möglich. Zum HIS siehe auch die Meldung in Datenschutz PRAXIS 10/2013, Seite 15. Dr. Eugen Ehmann Ausgabe 01 | 15 Rechtskompass Alles andere als Stillstand Datenschutz-Grundverordnung: Sieben offene Streitpunkte Rein äußerlich scheinen die Beratungen zur Datenschutz-Grundverordnung stillzustehen, seit das Europäische Parlament am 12. März 2014 beschlossen hat, wesentliche Änderungen am Vorschlag der Europäischen Kommission für eine Datenschutz-Grundverordnung vom 25. Januar 2012 (Dokument KOM (2012)11 endgültig) zu fordern. Dieser Eindruck täuscht jedoch. „Hinter den Kulissen“ haben sich inzwischen sieben Hauptstreitpunkte herauskristallisiert, an deren Lösung intensiv gearbeitet wird. Der Beitrag stellt sie kurz dar und wagt erste Prognosen dazu, wie jeweils ein Kompromiss aussehen könnte. ◗ Sie als Leser der Datenschutz PRAXIS wissen es längst: Wenn Beratungen über neue Rechtsvorschriften der EU festgefahren sind, wird ein in der EU-Praxis entstandenes, nicht offiziell geregeltes Verfahren angewandt, in dessen Rahmen die Europäische Kommission, das Europäische Parlament und der Rat versuchen, ihre Positionen einander anzunähern. Es nennt sich „informeller Trilog“. Aber auch dieser Schritt will vorbereitet sein durch informelle Schreiben, Fachgespräche und Fachdiskussionen. Genau dies geschieht im Augenblick. Dabei wird vieles diskutiert; einige Punkte stehen jedoch deutlich im Vordergrund, weil sie darüber entscheiden werden, ob es zu einer Einigung kommt. Streitpunkt 1: Einbeziehung des öffentlichen Bereichs oder nicht? Nach dem jetzt vorliegenden Entwurf soll die Verordnung auch den Umgang mit Daten im öffentlichen Bereich erfassen, also die Aktivitäten der Behörden von Bund, Ländern und Kommunen, und nicht nur den Umgang mit Daten durch Wirtschaftsunternehmen und Privatpersonen. Das ergibt sich aus dem „Sachlichen Anwendungsbereich“ der Verordnung gemäß Art. 2. Sorge um Datenschutz im Sozialbereich Dieser Regelungsansatz hat in Deutschland von Anfang an zu heftiger Kritik Ausgabe 01 | 15 geführt. Die Befürchtungen gehen insbesondere dahin, dass dann schon vorhandene, hochgradig ausdifferenzierte Bestimmungen für den öffentlichen Bereich, wie etwa die Datenschutzregelungen des Sozialgesetzbuchs, künftig nicht mehr möglich wären. fassende Sondervorschriften für den öffentlichen Bereich und sehen auch keine Notwendigkeit, solche Sondervorschriften zu erlassen. Zulassung zusätzlicher Rechtsgrundlagen der Mitgliedstaaten Ein anderer Ansatz bestünde darin, den öffentlichen Bereich zwar prinzipiell weiterhin in die Verordnung einzubeziehen, es den Mitgliedstaaten jedoch zu ermöglichen, ergänzende gesetzliche Regelungen zu erlassen, die eine eigenständige Rechtsgrundlage für Verarbeitungen bilden. Es bliebe dann dem jeweiligen Mitgliedstaat überlassen, ob er die Notwendigkeit einer solchen Ergänzung sieht oder nicht. Deutschland hätte dann die Möglichkeit, beispielsweise weiterhin besondere Datenschutzregelungen für den Sozialbereich vorzusehen und so die Datenschutzvorschriften des Sozialgesetzbuchs zu „retten“. Streitpunkt 2: Datenübermittlung in Drittstaaten wie die USA Quelle: Marina Strizhak/iStock/Thinkstock) Derzeit konzentriert sich die Diskussion auf einige wenige strittige Punkte Herausnahme des öffentlichen Bereichs unwahrscheinlich Eine Lösungsmöglichkeit bestünde darin, den öffentlichen Bereich völlig vom Geltungsbereich der Verordnung auszunehmen und die Regelungsbefugnis vollständig den Mitgliedstaaten zu überlassen. Rechtstechnisch wäre dies etwa durch eine entsprechende Ausnahmeklausel in Kapitel IX („Vorschriften für besondere Datenverarbeitungssituationen“) möglich. Wahrscheinlich ist diese Variante jedoch nicht. Viele Mitgliedstaaten wollen durchaus, dass der öffentliche Bereich von der Verordnung erfasst bleibt. Oft verfügen sie nicht über um- Die breite öffentliche Aufregung über die Aktivitäten der NSA hat sich zwar gelegt, jedoch nicht die Empörung darüber in Fachkreisen. Für die Wirtschaft ist v.a. die Frage von Bedeutung, ob die „Safe-Harbor-Regelungen“ fortgeführt werden können. Immerhin haben einige deutsche Aufsichtsbehörden angekündigt, Datenübermittlungen auf ihrer Grundlage künftig möglicherweise zu beanstanden, weil die betroffenen Daten in nicht kalkulierbarer Weise dem Zugriff durch amerikanische Stellen wie die NSA offen stehen. Mögliches Entgegenkommen der USA Vieles spricht dafür, dass diese Aspekte in der EU-Datenschutz-Grundverordnung selbst keine zusätzliche Berücksichtigung finden – schließlich liegt das Problem mehr auf amerikanischer als auf deutscher Seite, sodass zusätzliche europäische Regelungen wenig helfen. 13 Rechtskompass Berichte der Federal Trade Commission aus jüngster Zeit (siehe Datenschutz PRAXIS 8/2014, Seite 15) deuten darauf hin, dass in den USA eine gewisse Bereitschaft zu Veränderungen besteht. Dies gilt v.a. für die Einführung von Maßnahmen, die eine bessere Überwachung der Einhaltung des Safe-Harbor-Regelungswerks betreffen. Entsprechende Aktivitäten, möglicherweise untermauert durch einen förmlichen Schriftwechsel zwischen der EU und den USA, der Zusagen in diese Richtung enthält, könnten bewirken, dass die Kritik an der jetzigen Situation weitgehend verstummt. Dies liefe dann im Ergebnis auf eine „Lösung außerhalb der Verordnung“ hinaus. behörde in seinem eigenen Land vortragen können und nicht an eine Aufsichtsbehörde in einem anderen Mitgliedstaat verwiesen werden. Das führt zu einem Spannungsverhältnis, wenn Unternehmen und Betroffener in unterschiedlichen Mitgliedstaaten ansässig sind. Keine Lösung zulasten der Betroffenen Die Ausgestaltung der Datenschutzaufsicht über die Grenzen hinweg lässt sich von zwei Seiten betrachten: Eine Lösung zulasten des Betroffenen erscheint schon deshalb ausgeschlossen, weil dies sein Grundrecht auf Datenschutz berühren würde, das im europäischen Recht anerkannt ist („Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten.“ – Art. 8 Abs. 1 der Charta der Grundrechte der Europäischen Union). Dieses Grundrecht würde beeinträchtigt, wenn der Betroffene den Schutz seiner Daten nicht mehr effektiv durchsetzen kann. • Ein Unternehmen, das EU-weit tätig ist, hat v.a. das Interesse, bei seinen Aktivitäten möglichst nur mit einer einzigen Aufsichtsbehörde zu tun zu haben, mit der das Unternehmen EU-weit alles regeln kann. • Ein Betroffener, der sich in seinen Rechten beeinträchtigt fühlt, möchte dies dagegen der Aufsichts- Ein Kompromiss könnte darin bestehen, dass sich Betroffene in jedem Fall an die Aufsichtsbehörde des Mitgliedstaats wenden dürfen, in dem sie ansässig sind, und dass es dann Sache der Aufsichtsbehörden ist, sich intern auszutauschen. Regularien dafür, dass dies in der Praxis dann in hinreichender Geschwindigkeit funktionie- Streitpunkt 3: One-Stop-Shop ren kann, müssen allerdings erst noch entwickelt werden. Streitpunkt 4: Datenschutz im Konzern In Deutschland wird es seit Langem als Mangel des Bundesdatenschutzgesetzes (BDSG) empfunden, dass es keine besonderen Vorschriften für den Umgang mit Daten in Unternehmen gibt, die im Rahmen eines Konzerns miteinander verbunden sind. Diese Diskussion wird unter dem Schlagwort „kein Konzernprivileg im BDSG vorhanden“ geführt. Stärkung der Rolle von BCR Die Regelung für Binding Corporate Rules (BCR) in Art. 43 des Verordnungsentwurfs könnte hier einen ausreichenden Regelungsansatz bieten bzw. – so müsste man wohl aus Sicht vieler deutscher Datenschützer sagen – wird wohl oder übel als ausreichender Ansatz akzeptiert werden müssen. Denn aus der Sicht fast aller anderen Mitgliedstaaten handelt es sich hier um ein „typisch deutsches Problem“, das sie als nicht weiter gravierend empfinden. Man meint dort, auftretende Fragen mit den allgemeinen Regelungen lösen zu können, ohne dass eine Sonderregelung für Datenflüsse Lücken im Datenschutz sind nicht so einfach zu finden ... Bauen Sie als Datenschützer auf kompetente Unterstützung. Praxissoftware Quick Check Datenschutz Mit dieser Software führen Sie Ihre datenschutzrechtliche Bestandsaufnahme schnell, übersichtlich und sicher durch. Best.-Nr. CD1835J 298 €/Jahr, zzgl. Versand & MwSt. z z z z 14 identifizieren Sie Schwachstellen im Betrieb. decken Sie mögliche Risiken auf. wird deutlich, was die Aufsichtsbehörden verlangen. nutzen Sie konkrete Handlungsempfehlungen zum Beheben von Sicherheitslücken und Schwachstellen. Praxissoftware Quick Check Datenschutz Die Tätigkeit als Datenschutzbeauf trag ter beginnt häufig mit einer Ist-Analyse. Die „Praxissoftware Quick Check Datenschutz“ unterstützt Sie dabei. Damit Infos + Bestellung llung ng un unter unter: ter: www.weka.de/1835 Ausgabe 01 | 15 Rechtskompass Streitpunkt 5: Regelung der Einwilligung Viele Datenschützer in Deutschland betonen einerseits, dass mit einer Einwilligung des Betroffenen letztlich alles möglich sei, sind aber andererseits sehr kritisch, was die Wirksamkeit von Einwilligungen angeht. Das gilt v.a., wenn ein (wirtschaftliches oder sonstiges) Ungleichgewicht zwischen dem Betroffenen und der Stelle besteht, die seine Daten verarbeiten möchte. mechanismen in der Verordnung zu schaffen, liegt daher nahe. Deutlich schwieriger ist die Frage zu beantworten, wie solche Regelungen aussehen könnten, ohne Aktivitäten der Wirtschaft in diese Richtung zu blockieren. Vieles spricht daher im Augenblick dafür, dass die Diskussion letztlich zu keinem Ergebnis führen und es besondere Regelungen für Big Data nicht geben wird. Die Rechtsprechung, im Ergebnis v.a. die des Europäischen Gerichtshofs, wird dann präzisieren müssen, was möglich ist und was nicht. Quelle: Zoonar RF/Zoonar/Thinkstock innerhalb eines Konzerns notwendig wäre. Die „deutsche Variante“ könnte dann so aussehen, dass die deutschen Aufsichtsbehörden darauf drängen, Datenflüsse innerhalb von Konzernen über BCR zu regeln, soweit dies für nötig gehalten wird. Weitere Präzisierungen wahrscheinlich Zwar ist die jetzige Formulierung in Art. 4 Abs. 8 des Verordnungsentwurfs ohnehin schon relativ strikt und verlangt insbesondere eine „in Kenntnis der Sachlage erfolgte explizite Willensbekundung“, damit eine Einwilligung als wirksam anzusehen ist. Gleichwohl scheint es denkbar, dass hier noch nähere Präzisierungen vorgenommen werden, um klarzustellen, wann beispielsweise im konkreten Fall von einer „Kenntnis der Sachlage“ auszugehen ist. Wenig wahrscheinlich ist es dagegen, dass die Einwilligung als Legitimationsgrundlage für bestimmte Situationen, in denen ein besonders großes Ungleichgewicht vorliegt, völlig ausgeschlossen wird. Dies würde Aktivitäten der Wirtschaft in vielen Bereichen, etwa bei Werbemaßnahmen, erheblich erschweren. Streitpunkt 6: Besondere Regelungen für Big Data Das Unbehagen über denkbare Konsequenzen von Big-Data-Aktivitäten für Betroffene ist vielfach groß. Die Forderung, hierfür adäquate RegelungsAusgabe 01 | 15 Manche Streitpunkte empfinden andere EU-Länder als typisch deutsche Probleme Streitpunkt 7: Folgerungen aus dem „Google-Urteil“ Das Google-Urteil des Europäischen Gerichtshofs (siehe dazu Datenschutz PRAXIS 9/2014, Seite 1) gibt dem Betroffenen unter bestimmten Voraussetzungen einen Anspruch darauf, dass Suchtreffer, die seine Person betreffen, nicht in einer Suchmaschine gelistet werden dürfen. Im konkret entschiedenen Fall ging es um Daten, die ein wirtschaftliches Scheitern des Betroffenen dokumentierten, durch deren Auffindbarkeit mittels Suchmaschine er bei beruflichen Aktivitäten behindert wurde. Dieses „Recht auf Vergessen“ steht in einem deutlichen Spannungsverhältnis zum Recht auf freie Meinungsäußerung und zum eng damit verbundenen Recht, sich über Sachverhalte zu informieren. Vielfach wird gefordert, dass ein Ausgleich zwischen diesen Rechten schon in der Datenschutz-Grund- verordnung selbst geschaffen werden müsse und nicht den Gerichten überlassen werden könne. Wahrscheinlich eine folgenlose Diskussion Bisher scheint allerdings die Bereitschaft, entsprechende Ergänzungen vorzunehmen, gering entwickelt zu sein. Aus anderen Mitgliedstaaten ist eine solche Forderung nur wenig zu hören, und konkrete Ansätze dafür, wie ein solcher Ausgleich formuliert werden könnte, sind so gut wie nicht zu finden. Derzeit ist es deshalb wahrscheinlich, dass die Diskussion um dieses Urteil keinen ausdrücklichen Niederschlag in der Verordnung finden wird. Gesamtprognose: Die Verordnung wird im Ergebnis kommen Lässt man die angeführten Punkte insgesamt Revue passieren, so könnte der Eindruck entstehen, dass angesichts so grundlegender ungelöster Punkte ein Scheitern der Verordnung wahrscheinlich ist, weil es zumindest da oder dort nicht zu einer Einigung kommen wird. Dagegen spricht allerdings, dass gerade die Wirtschaft ein massives Interesse daran hat, auf der Basis eines weitgehend einheitlichen Datenschutzrechts in der gesamten Europäischen Union arbeiten zu können. Alles andere ist in Zeiten intensiv grenzüberschreitend vernetzter Unternehmen nicht mehr zukunftsfähig. Dieser Überlegung werden sich auch die Akteure in Brüssel im Ergebnis nicht verschließen können. Anders gesagt: Letztlich sind sie zum Erfolg verurteilt, weshalb die Grundverordnung voraussichtlich rascher verabschiedet wird, als viele glauben. Dr. Eugen Ehmann Dr. Eugen Ehmann ist Regierungsvizepräsident von Mittelfranken (Bayern). Er befasst sich seit über 25 Jahren intensiv mit Fragen des Datenschutzes in Unternehmen und Behörden. 15 Rechtskompass Sicherheitslücken E-Government und die IT-Sicherheitspflicht des Staats Laut eGovernment MONITOR 2013 liegt die Zufriedenheit mit E-GovernmentAngeboten in Deutschland bei 52 %. Die Nutzung nimmt zwar zu, doch ebenso die Angst vor Datendiebstahl, v.a. nach den Enthüllungen von Edward Snowden. Wie sieht die Praxis aus? Was meinen die Gerichte zu potenziellen Sicherheitslücken? ◗ Kürzlich beantragte ich einen Parkausweis bei einem Bezirksamt. Die Behörde forderte mich auf, meinen Personalausweis sowie die Zulassungspapiere per E-Mail zu übersenden. Ich schickte einen verschlüsselten Anhang. Die Behörde reagierte nicht. Weder auf der Website noch per E-Mail war es möglich, die Dokumente nach dem Stand der Technik sicher digital zu übertragen. Hinzu kam, dass bereits das Scannen eines Personalausweises rechtlich sehr bedenklich ist (Datenschutz PRAXIS 11/14, S. 1 ff). Oft herrscht Sorglosigkeit Das Beispiel zeigt exemplarisch, wie sorglos manche öffentlichen Stellen mit Datenschutzfragen umgehen in Zeiten, in denen Identitätsdiebstahl jeden Tag passieren kann. Hat die Behörde überhaupt technische und organisatorische Maßnahmen für diesen Verwaltungsvorgang aufgestellt, taucht der Ablauf im Verfahrensverzeichnis auf? Ist sich die Behörde bewusst, dass der Ausweis damit digital dauerhaft gespeichert und erfasst ist und was dies an Gefahren mit sich bringt? Weiß sie, dass diese Daten leicht Dritten zugänglich sein können? Man fragt sich zudem, ob und wann die Behörde die E-MailAnhänge vernichtet. Bewusstsein für Datenschutz? In manchen Fällen Fehlanzeige! Spricht man diese Defizite an, erhält man meist ein Schulterzucken oder wird auf die bisherige Praxis verwie16 sen. Dann müssen Sie uns eben einen Brief senden mit den Kopien, hieß es. Es macht nachdenklich, wenn man erlebt, wie wenig Bewusstsein z.T. für den Datenschutz im E-GovernmentBereich existiert. Vertrauen ins E-Government ist nur mit IT-Sicherheit möglich E-Government mit all seinen Vorteilen sollte für Bürger in einem technischen Rahmen ablaufen, der unter IT-Sicherheitsaspekten zu verantworten ist und dem neuesten Stand der Technik entspricht. Gleichermaßen wichtig ist, dass Behördenmitarbeiter ein Bewusstsein für Datenschutz haben. Andernfalls gewinnen weder Bürger noch Behörden Vertrauen ins E-Government. Wer Bürgern eine Behörden-Dienstleistung anbietet, muss dafür sorgen, dass die IT-Sicherheit gewährleistet und der Verwaltungsvorgang geprüft ist. Dafür ist der Staat verantwortlich, aber gleichermaßen auch der Bürger, der einfordern muss, dass seine Grundrechte gewahrt bleiben. Der Staat hat eine IT-Sicherheitspflicht Diesen Anspruch des Bürgers auf IT-Sicherheit untermauert das Bundesverfassungsgericht mit dem Computer-Grundrecht, dem sogenannten „IT-Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme“. Das Bundesverfassungsgericht hat dieses Recht mit seinem Urteil vom 27.02.2008, BVerfG 120, 274 (306), etabliert. Dort heißt es: „Aus der Bedeutung der Nutzung informationstechnischer Systeme für die Persönlichkeitsgefährdungen, die mit dieser Nutzung verbunden sind, folgt ein grundrechtlich erhebliches Schutzbedürfnis. Der Einzelne ist darauf angewiesen, dass der Staat die mit Blick auf die ungehinderte Persönlichkeitsentfaltung berechtigten Erwartungen an die Integrität und Vertraulichkeit derartiger Systeme achtet.“ Ist der Bürger verpflichtet, potenziell unsichere IT des Staats zu nutzen? Bürger und Unternehmen müssen seit 2011 das Internet nutzen, wenn sie Steuererklärungen abgeben (www.elsteronline.de). Das bringt diverse Probleme mit sich: Vielerorts gibt es keinen schnellen Internetzugang. Manche Bürger wollen nach den Enthüllungen von Edward Snowden diese Technik nicht mehr ohne weitere Schutzmaß- Ausnahmen von der Pflicht zur elektronischen Steuererklärung Kann der Staat Bürger dazu zwingen, derartige Technik zu nutzen? Er kann. Es gibt jedoch eine Ausnahme im Gesetz: Wenn die elektronische Abgabe der Steuererklärung für den Bürger wirtschaftlich oder persönlich unzumutbar ist, etwa wenn es für ihn nur mit einem erheblichen finanziellen Aufwand möglich wäre, die technischen Voraussetzungen für eine elektronische Übermittlung zu schaffen, oder wenn der Steuerpflichtige nach seinen individuellen Kenntnissen und Fähigkeiten nicht oder nur eingeschränkt in der Lage ist, die Möglichkeiten der Datenfernübertragung zu nutzen (§ 150 VIII AO), kann er die Erklärung auf Papier abgeben. Ist die Behörde der Ansicht, die Ausnahme trifft nicht zu, und hält der Betroffene sich nicht an die elektronische Abgabe, kann ein Verspätungszuschlag erhoben werden, oder der Bürger wird geschätzt, was erhebliche finanzielle Auswirkungen für ihn haben kann. Ausgabe 01 | 15 Rechtskompass nahmen nutzen. Es gab zudem das Gerücht, in diese Software sei ein Trojaner eingebaut. Gerichtsurteile Zu diesem Konflikt zwischen IT-Sicherheit, Datenschutz und Bürokratieabbau gibt es viele Gerichtsurteile. Der Bundesfinanzhof (BFH) entschied z.B. am 16.02.2009 (AZ: XI B 86/08) über eine Beschwerde, in der jemand vortrug, es sei verfassungswidrig, dass das Umsatzsteuergesetz verlange, die Umsatzsteuervoranmeldungen auf elektronischem Weg zu übermitteln. Dem BFH war die Beschwerde nicht detailliert genug. Er lehnte sie ab. Das Finanzgericht Hamburg machte in einem Verfahren eine Ausnahme, weil der Antragsteller keinen InternetAnschluss hatte. Allgemeine Bedenken gegenüber der IT-Sicherheit reichen nicht aus Das Niedersächsische Finanzgericht führte am 20. Oktober 2009 aus (AZ: 5 K 149/05): „Allgemeine Bedenken gegen die Sicherheit der elektronischen Voranmeldungen führen nicht stets zu einer Befreiung von der Pflicht zur Abgabe der Voranmeldungen in elektronischer Form … Die Übermittlung der Daten im ELSTER-Verfahren ist nicht manipulationsanfälliger als das papiergebundene System …. Zur Wahrung der Datensicherheit erfolgt die elektronische Übermittlung der Voranmeldung mittels ELSTER im zertifizierten Verschlüsselungsverfahren SSL (Secure-Socket-Layer-Protokoll, vgl. https://www.elster.de/elfo_sec.php).“ übermittlung vor – auch für Privatpersonen. Am 5.8.2014 entschied das Finanzgericht (FG) Nürnberg, nachdem dort ein Antrag auf die Enthüllungen von Snowden verwies: Das Steuergeheimnis sei im Fall der elektronischen Übermittlung von Daten an das Finanzamt nicht betroffen, da dies nur davor schütze, dass bereits erhaltene Daten durch das Finanzamt nicht unbefugt offenbart werden. Das Risiko von Hackerangriffen ist hinzunehmen Dass es theoretisch möglich sei, die Daten während der Übermittlung mitzulesen, bedeute nicht automatisch eine Verfassungswidrigkeit. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) habe ELSTER zertifiziert. Es sei Aufgabe des Bundesfinanzministeriums und des BSI, zu prüfen, ob die Richtlinien des BSI noch aktuell seien, meinte das Gericht. Ernsthafte Zweifel an der Integrität der eingesetzten Verfahren konnte die Antragstellerin nicht wecken. als der, die die Finanzverwaltung verwendet, relevant. Elster Online beträfe diese Sicherheitslücke nicht. Ein Hackerangriff auf die gespeicherten Daten sei als verbleibendes Risiko im überwiegenden Interesse des Gemeinwohls hinzunehmen, so das FG Bremen. Es verwies zudem auf den Bundesfinanzhof (BFH, 14.03.2012, XI R 33/09). Ängste ernster nehmen Wenn die Verwaltung elektronisch kommunizieren möchte, sollte sie die Ängste und Zweifel der Bürger und Experten ernster nehmen. Eine Lösung wäre, im Rahmen des IT-Sicherheitsgesetzes nicht nur Unternehmen kritischer Infrastrukturen auf ITSicherheit, Datenschutz und Meldepflichten zu verpflichten (siehe Datenschutz PRAXIS 12/14), sondern auch die Verwaltung, wenn sie die Bürger immer mehr auffordert, in der digitalen Welt zu agieren. Vilma Niclas Das FG Bremen entschied am 26.06.2014 (2 K 12/14-2): Die öffentlich bekannt gewordene Sicherheitslücke beim Verschlüsselungsverfahren SSL sei erst bei einer höheren Version Vilma Niclas ist Rechtsanwältin und Fachjournalistin für IT-Recht in Berlin. Sie veröffentlicht seit 1997 in verschiedenen Zeitschriften zu Fragen des IT-Rechts. Mit den Enthüllungen von Snowden wurde 2013 jedoch öffentlich: Es gibt ein Programm der NSA zum Überwinden der Netzverschlüsselung, Bullrun. Ziel sei es, in Verschlüsselungssysteme wie SSL Hintertüren einzubauen. Seit dem 1. Januar 2013 schreibt Elster Online Zertifikate für die DatenAusgabe 01 | 15 Quelle: jurgenfr/iStock/Thinkstock Verletzen Hintertüren das Steuergeheimnis? Derzeit hapert es bei der Umsetzung von E-Government in der Praxis noch vielerorts mit der IT-Sicherheit 17 Rechtskompass YouTube, Redtube & Co. Wie ist die Rechtslage? Streaming – rechtlich zulässig oder nicht? Den Kern der juristischen Auseinandersetzung um das Streaming bildet das Urheberrecht. Es räumt dem Urheber umfassende Rechte bei der Zugänglichmachung seines Werks gegenüber der Öffentlichkeit und der Vervielfältigung seines Werks ein (§§ 15 Abs. 2 Satz 2 Nr. 2, 16 Abs. 1 Urhebergesetz – UrhG). Der (Aus-)Tausch von urheberrechtlich geschützten Werken über das Internet ist seit Beginn des World Wide Web ein juristischer Dauerbrenner. In den Anfangszeiten stand die Musikindustrie mit illegalen Tauschbörsen auf Kriegsfuß. Im Rahmen immer höherer Internet-Bandbreiten und der Möglichkeit des Streamings von Inhalten ist zunehmend auch die Filmindustrie betroffen. Große Aufmerksamkeit in der Öffentlichkeit und Presse erlangte 2013 die breit angelegte und heftig umstrittene Abmahnwelle von Privatpersonen im Fall des Erotik-Portals „Redtube“. Wie ist derzeit der Stand der Diskussion? Für die Frage allerdings, ob Nutzer bedenkenlos jedes verfügbare Video streamen dürfen, bedarf es einer genaueren Betrachtung, insbesondere der (urheber)rechtlichen Grundlagen und der zugrunde liegenden Technik. Was passiert technisch beim Streaming? Beim Streaming sendet der Server des Anbieters Datenpakete mithilfe des Internet-Protokolls an das Endgerät des Nutzers. Diese Datenpakete enthalten die stark komprimierten Filminhalte, die auf dem Endgerät des Nutzers, im sogenannten Cache, zwischengespeichert werden. Die Daten werden im Cache zwischengespeichert Die Zwischenspeicherung ist notwendig, damit Filminhalte ruckelfrei dargestellt werden können. Denn im Regelfall ist es trotz immer höherer Internet-Bandbreiten kaum möglich, einen Film (insbesondere bei HD oder 18 Quelle: scanrail/iStock/Thinkstock) ◗ Es ist bequem und (vermeintlich) kostenlos: Im Internet finden sich diverse Video-Portale, die aktuelle Filme und Serien zum sofortigen Betrachten anbieten. Der Nutzer muss im Regelfall nur den „Play“-Button anklicken, und schon kann er die Inhalte auf PC, Tablet, Smartphone oder sonstige kompatible Endgeräte streamen und sich Videos anschauen. Das Streaming ist immer noch umstritten 3D) komplett in Echtzeit zu übertragen. Vielmehr bedarf es der „Vorspeicherung“ einiger Sekunden. Dieses Vorabspeichern von Inhalten wird auch als Buffering bezeichnet. Was passiert mit den zwischengespeicherten Daten? Was mit den Daten passiert, die im Cache auf dem Endgerät des Nutzers gespeichert werden, hängt von den Einstellungen des Browsers bzw. Players ab. So besteht etwa die Möglichkeit, dass die Inhalte des Caches beim Schließen des Programms gelöscht werden. Die Daten können aber auch nach einer bestimmten Zeit, bei Erreichen einer bestimmten Datengröße oder eben gar nicht bzw. erst durch manuelles Tätigwerden des Nutzers gelöscht werden. Grundsätzlich kann der Urheber selbst darüber entscheiden, ob und wie er sein Werk verwertet. Typischerweise wird er einer Verwertung durch andere nur zustimmen, wenn er daraus eine Vergütung oder eine andere Art von Vorteil erzielen kann. Verantwortlichkeit von Betreibern von Streaming-Portalen Da das Urheberrecht grundsätzlich dem Urheber das alleinige Verwertungsrecht einräumt, sind letztlich die Betreiber von Streaming-Portalen für illegale, d.h. ohne Zustimmung des Urhebers bereitgehaltene Inhalte verantwortlich. Denn das Recht zur öffentlichen Zugänglichmachung eines Werks ist exklusiv dem Urheber vorbehalten, nicht dem Betreiber. Verantwortlichkeit von Nutzern von Streaming-Portalen Komplizierter ist die rechtliche Beurteilung bzw. juristische Diskussion zur Verantwortlichkeit von Nutzern von Streaming-Portalen. Bei näherer Betrachtung der technischen Vorgänge beim Streaming (s.o.) findet bei Aufruf eines Streams eine Speicherung im Cache des Endgeräts statt. Das spricht dafür, dass auch der einzelne Nutzer durch das bloße Betrachten des Streams aufgrund der technischen Funktionsweise das Vervielfältigungsrecht des Urhebers verletzt. Argumente der juristischen Diskussion Gegen eine Verantwortlichkeit des Nutzers für das Betrachten eines FilmAusgabe 01 | 15 Rechtskompass Streams führt die juristische Diskussion insbesondere die folgenden Argumente ins Feld: • Keine Vervielfältigung: Es wird argumentiert, dass keine Vervielfältigung im urheberrechtlichen Sinne nach § 16 UrhG stattfindet, da nicht „das Werk“, also der Film als Ganzes auf einmal als Vervielfältigung im Cache des Nutzers lande, sondern es nur in Teilstücken geladen werde. Dem wird entgegengehalten, dass es im Ergebnis keinen Unterschied macht, ob der Film im Ganzen oder in Stücken gespeichert wird. • Recht auf Privatkopie: Teilweise wird argumentiert, dass das Urheberrecht in § 53 Abs. 1 UrhG gerade das Recht auf eine Privatkopie vorsieht; dort heißt es, dass Vervielfältigungen zum privaten Gebrauch auf beliebigen Trägern zulässig sind – allerdings nur, soweit es sich nicht um eine offensichtlich rechtswidrig hergestellte oder öffentlich zugänglich gemachte Vorlage handelt. • Vorübergehende Vervielfältigungshandlung: § 44a UrhG erachtet eine vorübergehende Vervielfältigungshandlung unter bestimmten Bedingung für zulässig. Hier wird argumentiert, dass das Streaming bzw. Verweilen im Cache nur flüchtig bzw. begleitend sei und zugleich wesentlicher Teil eines technischen Verfahrens. Dem ist entgegenzuhal- ten, dass es sich nach § 44a UrhG dann aber um eine rechtmäßige Nutzung handeln muss, was bei illegalen Inhalten nicht der Fall wäre (sofern für den Nutzer erkennbar). gar nicht entschieden wurde und die Entscheidung daher gerade kein „Freifahrtschein“ sei. Wieder eine andere Ansicht stellt auf die Erkennbarkeit der Rechtmäßigkeit des Streams ab. Entscheidung des EuGH Pauschale Aussage nicht möglich Der Europäische Gerichtshof (EuGH) hat am 5. Juni 2014 entschieden (Az. C-360/13), dass eine vorübergehende Vervielfältigung, die nur flüchtig oder begleitend ist und einen integralen und wesentlichen Teil eines technischen Verfahrens darstellt, zulässig ist. Der Entscheidung lag Artikel 5 der entsprechenden Richtlinie (2001/29/EG) zugrunde, die nahezu wortgleich in deutsches Recht übernommen wurde (siehe § 44a UrhG). Die juristische Diskussion ist beim Thema Streaming offensichtlich noch nicht beendet, daran ändert auch die EuGH-Entscheidung einstweilen nichts. Eine pauschale Aussage zur Zulässigkeit des Betrachtens von Streams ist daher nicht möglich. Nicht entschieden wurde hingegen über die Frage der rechtmäßigen Nutzung eines Werks oder die Frage, ob diese Nutzung eine eigenständige wirtschaftliche Bedeutung hat. Das EuGH-Urteil hat keine Klarheit geschaffen Daher lässt sich die Entscheidung in die eine wie in die andere Richtung auslegen. Die einen meinen, dass auch illegale Streams durch das Urteil gedeckt seien, da die Richtlinie bereits den Zweck einer „Übertragung in einem Netz“ privilegiert. Andere verweisen darauf, dass über die Rechtmäßigkeit Fazit: Streamen ja, aber nicht beliebig! Für das Streamen von Videos sind daher etablierte Online-Plattformen bzw. Mediatheken zu empfehlen. Bei unbekannten bzw. „zwielichtigen“ Video-Plattformen sollten StreamingInhalte vor dem Aufruf auf offensichtlich erkennbare Verstöße gegen das Urheberrecht, aber auch auf sonstige Rechte (z.B. Persönlichkeitsrecht, Jugendschutz etc.) gesichtet werden. Die Gretchenfrage, die sich dabei jeder stellen sollte, lautet: Ist es eher wahrscheinlich oder eher unwahrscheinlich, dass hier solche Inhalte umsonst zum Stream angeboten werden? Peer Lambertz Peer Lambertz ist Rechtsanwalt und Datenschutz-Experte. IMPRESSUM Verlag: WEKA MEDIA GmbH & Co. KG Römerstraße 4, 86438 Kissing Telefon: 0 82 33.23-40 00 Fax: 0 82 33.23-74 00 www.weka.de Herausgeber: WEKA MEDIA GmbH & Co. KG Gesellschafter der WEKA MEDIA GmbH & Co. KG sind als Kommanditistin: WEKA Business Information GmbH & Co. KG und als Komplementärin: WEKA MEDIA Beteiligungs-GmbH Geschäftsführer: Stephan Behrens, Michael Bruns, Werner Pehland Chefredakteur: RA Dominikus Zwink, M.B.A. (V.i.S.d.P.) Ausgabe 01 | 15 Redaktion: Adelheid Drotleff, Ricarda Veidt, M.A. E-Mail: [email protected] Anzeigen: Andreas Schamper Telefon: 0 82 33.23-71 05 Fax: 0 82 33.23-5 71 05 E-Mail: [email protected] Druck: Geiselmann Printkommunikation GmbH Leonhardstraße 23, 88471 Laupheim Layout & Satz: metamedien Spitzstraße 31, 89331 Burgau Bestell-Nr.: 09100-4012 Erscheinungsweise: Zwölfmal pro Jahr ISSN-Nr.: 1614-6867 Aboverwaltung: Telefon: 0 82 33.23-40 00 Fax: 0 82 33.23-74 00 E-Mail: [email protected] Bestellung unter: Telefon: 0 82 33.23-40 00 Fax: 0 82 33.23-74 00 www.datenschutz-praxis.de Abonnementpreis: 12 Ausgaben 168,00 € (zzgl. MwSt. und Versandkosten) Einzelheft 14 € (zzgl. MwSt. und Versandkosten) Haftung: Die WEKA MEDIA GmbH & Co. KG ist bemüht, ihre Produkte jeweils nach neuesten Erkenntnissen zu erstellen. Die inhaltliche Richtigkeit und Fehlerfreiheit wird ausdrücklich nicht zugesichert. Bei Nichtlieferung durch höhere Gewalt, Streik oder Aussperrung besteht kein Anspruch auf Ersatz. Erfüllungsort und Gerichtsstand ist Kissing. Zum Abdruck angenommene Beiträge und Abbildungen gehen im Rahmen der gesetzlichen Bestimmungen in das Veröffentlichungs- und Verbreitungsrecht des Verlags über. Für unaufgefordert eingesandte Beiträge übernehmen Verlag und Redaktion keine Gewähr. Namentlich ausgewiesene Beiträge liegen in der Verantwortlichkeit des Autors. Datenschutz PRAXIS und alle in ihr enthaltenen Beiträge und Abbildungen sind urheberrechtlich geschützt. Jeglicher Nachdruck, auch auszugsweise, ist nur mit ausdrücklicher Genehmigung des Verlags und mit Quellenangabe gestattet. Mit Ausnahme der gesetzlich zugelassenen Fälle ist eine Verwertung ohne Einwilligung des Verlags strafbar. 19 Neu im Februar Marketing Datenschutz-Grundverordnung: Werbeverbote als Regelfall? Dass die Datenschutz-Grundverordnung der Verwendung von personenbezogenen Daten für Werbezwecke kritisch gegenüberstehen würde, war von Anfang an zu vermuten. Was inzwischen an neuesten Entwürfen bekannt geworden ist, geht jedoch über eine „nur“ kritische Haltung hinaus. Im Ergebnis laufen die Regelungsvorschläge aus der Sicht vieler Unternehmen auf ein weitgehendes Verbot personalisierter Werbung hinaus. Das Büro in der Wolke MS Office 365: Mehr als Office aus der Cloud Microsoft bietet mit Office 365 die bekannte Bürosoftware als OnlineService aus der Cloud an. Bei der Datenschutzkontrolle sollten Sie Ihren Blick jedoch nicht nur auf die Themen Cloud und Auftragsdatenverarbeitung richten. Office 365 enthält zahlreiche Kommunikationsfunktionen, die Sie datenschutzrechtlich betrachten und betrieblich regeln sollten. Praxistipps Ist Terrorlistenscreening datenschutzkonform? Spätestens seit den Terroranschlägen vom 11. September 2001 ist das Thema Terrorismusbekämpfung in aller Munde. Unter anderem sollen zwei EG-Verordnungen die Finanzierung des Terrorismus unterbinden. Doch immer, wenn es um einen Abgleich von personenbezogenen Daten geht, muss auch der Datenschutz im Auge behalten werden. 20 Deutsch? Juristisch Deutsch! Sozialüblich Was in aller Welt hat dieser schwammige Begriff mit Juristerei und Datenschutz zu tun? Benimmregeln oder auch soziologische Betrachtungen würden da doch eher passen, sollte man meinen. ◗ Doch weit gefehlt – der Begriff „sozialüblich“ hat im Datenschutzrecht Karriere gemacht. Er verdankt dies dem Dauerbrenner Beschäftigtendatenschutz. Diesmal war es § 32 Abs. 2 Bundesdatenschutzgesetz (BDSG), der den Anstoß gab. Am Anfang stand ein Reförmchen In der letzten Novelle zum BDSG im Jahr 2009 hielt unser Gesetzgeber folgende Formulierung für angemessen: „Absatz 1 ist auch anzuwenden, wenn personenbezogene Daten erhoben, verarbeitet oder genutzt werden, ohne dass sie automatisiert verarbeitet oder in oder aus einer nicht automatisierten Datei verarbeitet, genutzt oder für die Verarbeitung oder Nutzung in einer solchen Datei erhoben werden.“ Frei übersetzt: Jede Verarbeitung und Erhebung von Beschäftigtendaten fällt unter dieses Gesetz. Mithin wäre die freundliche Frage des Vorgesetzten: „Wie geht’s Ihnen denn heute so?“ eine vermutlich unzulässige Erhebung von Gesundheitsdaten. Diese Auswirkung war wohl weder erwartet noch gewollt. Sozialüblich – weil nicht sein kann, was nicht sein darf In einem der folgenden Reformvorschläge zum Beschäftigtendatenschutz tauchte dann die Einschränkung „es sei denn, die Daten sind Gegenstand sozialüblicher innerbetrieblicher Kommunikation.“ auf. Und so ist „sozialüblich“ in die Datenschutzwelt, wenn auch nicht ins Gesetz gekommen. Es wird, eigentlich contra legem (entgegen dem Gesetz), munter angewandt und wurde auch schon in Doktorarbeiten gesichtet. So gesehen beschreibt „sozialüblich“ sich selbst – in Datenschutzkreisen ist die Verwendung mittlerweile sozialüblich. Jochen Brandt Diplom-Wirtschafts- und Arbeitsjurist (HWP) Jochen Brandt ist als selbstständiger Trainer und Berater im Bereich Datenschutz tätig (www.brandtschutz.de). Ausgabe 01 | 15
© Copyright 2024 ExpyDoc