Das neue IT-Sicherheitsgesetz ist zurzeit in aller Munde. Wenn Sie mehr erfahren wollen melden Sie sich zum Webinar an, das wir am 10. Juli 2015 vormittags in Zusammenarbeit mit der Sophos GmbH zum Thema gestalten. Wir freuen uns über zahlreiche Beteiligung! Anmelden können Sie sich hier: https://attendee.gotowebinar.com/register/6863091474662214145.
Gestern stellte Bundesjustizminister Heiko Maas Leitlinien für die neue Vorratsdatenspeicherung vor. Der Kompromiss in der Großen Koalition sieht die zehnwöchige Speicherung aller Verkehrsdaten und die vierwöchige aller Standortdaten vor. Das heißt, alle an einem Telefonat beteiligten Telefonnummern, das Datum und die Uhrzeit des Gesprächs und bei Mobilgesprächen auch die Funkzelle, sollen über diese Zeiträume gespeichert werden. Bei Internet-Telefongesprächen soll zusätzlich die IP-Adresse aufgezeichnet werden. Nicht gespeichert werden sollen hingegen die Daten, die bei der E-Mail Kommunikation anfallen. Auch ansonsten sind ein paar Beruhigungspillen vorgesehen, wohl in der Hoffnung, Kritiker zu besänftigen und eine erneute Niederlage vor dem Bundesverfassungsgericht nach 2010 zu vermeiden: Vorgesehen ist u.a., den Zugriff auf die Daten nur nach Genehmigung durch einen Richter zu erlauben und nur zu eng definierten Strafverfolgungszwecken. Geplant sind offenbar auch bußgeldbewehrte Löschauflagen nach Ablauf der maximalen Speicherfrist und der Einsatz besonders sicherer Verschlüsselungsverfahren. Die Daten von Berufsgeheimnisträgern wie Anwälten, Ärzten, Geistlichen oder Journalisten sollen von der Überwachung ausgenommen sein - jedoch nur in der Form, dass die einmal erfassten Daten einem Verwertungsverbot unterliegen. "Oberste Richtschnur aller Regelungen sind die strengen Vorgaben des Bundesverfassungsgerichts und des Europäischen Gerichtshofes", heißt es gleich auf der ersten Seite des Leitlinienpapiers.
Heribert Prantl fühlt sich angesichts dieser Entwicklung in Sachen Vorratsdatenspeicherung in einem Kommentar in der Süddeutschen Zeitung an eine Filmkomödie von Anfang der 90iger Jahre erinnert, in der ein Wettermoderator in einer Zeitschleife festhängt. Aber eine Komödie sei das nicht, so Prantl weiter, sondern ein rechtsstaatliches Trauerspiel, das in seiner steten Wiederholung nicht besser werde. Wir als Praktiker fügen hinzu: es gäbe soviele Datenschutzthemen über die nachgedacht und die dringend (besser) geregelt werden müssten - die Ausstattung der Aufsichtsbehörden, der Datenschutz in Arbeitsverhältnissen, um nur zwei zu nennen. Statt desssen wird versucht, Grundrechtsverstöße zu legalieren, die nicht zu legalisieren sind und deren Nutzen nicht einmal erwiesen ist, nirgendwo in Europa. In der Tat ein Trauerspiel.
Für mich gab es letzte Woche einen Auftrag der etwas anderen Art: Ich begleitete unsere Geschäftsführerin Dr. Bettina Kähler nach Bad Bevensen, um sie im Rahmen einer Schulung bei einem langjährigen Kunden zu filmen.
Bad Bevensen - wo ist das denn? fragen Sie sich jetzt vielleicht. Genau das habe ich mich auch gefragt. Google antwortete spontan und zuverlässig: „Bad Bevensen ist eine Kleinstadt und ein Kurort nördlich von Uelzen in Niedersachsen." Super, dachte ich. Dann kann es ja losgehen.
Die Schulung richtete sich an Führungskräfte und umfasste sämtliche vorstellbare Fragen aus dem Arbeitsalltag einer großen, dezentral organisierten Firma.
Das Wichtigste beim Datenschutz ist zunächst, eine vernünftige Bestandsaufnahme zu machen. Womit haben wir es eigentlich auf der technischen Seite zu tun, wie sieht es beim Mitarbeiterverhalten aus? Nachdem die „Hardware" – zumindest an den wichtigsten Standorten – bereits einem Audit unterzogen worden war, wandte sich Bettina Kähler also in dieser Schulung dem „softeren" Aspekt des Datenschutzes zu: den Menschen.
Die anschaulichsten Beispiele kommen aus der Praxis und so erzählte unsere Geschäftsführerin von einer jungen Frau, die es einmal ganz unumwunden auf den Punkt gebracht hatte, als sie wissen wollte: „Wenn etwas schief läuft im Datenschutz, wer wird dann gehängt?" Seitdem veranschaulicht Bettina Kähler den Aspekt der Haftung mit einem kleinen Galgenmännchen (siehe Foto). Und wie so oft im Leben ist die Antwort ist komplex. Neben dem Firmenvorstand kann nämlich auch der externe Datenschutzbeauftragte in Regress genommen werden. Das Publikum war gut gelaunt am Mittwochvormittag. Um die Frage zu beantworten, die dann kam: Ja, wir sind gut versichert.
Als Grundlage für datenschutzkonformes Verhalten wurde neben dem Arbeitsalltag mit seinen kleinen und großen Tücken im Umgang mit personenbezogenen Daten auch noch einmal die Technik betrachtet. Dabei sorgte ein Foto aus dem Chaos-Server-Raum der Firma für allgemeine Belustigung. Kabel hingen wild durcheinander, eine Pflanze stand mitten im Raum und auch allerhand andere Dinge versperrten den Weg. Frei nach dem Motto "Hier ist doch noch Platz!" Darüber hinaus war der Serverraum nicht abschließbar und praktisch jedem frei zugänglich. Die Teilnehmer der Schulung identifizierten aber zielsicher die größte Gefahr des überfüllten, desorganisierten Serverraums: Die Brandgefahr!
Es folgte die Frage aus dem Publikum: Handelt es sich denn dabei überhaupt um Datenschutz?" Das ist doch "nur technische Sicherheit". Aber was auf den ersten Blick „nur" die Sicherheit betrifft, ist bei näherem Hinsehen tatsächlich ein Datenschutz-Faktor. Wir berichten ja selbst gerade über das Thema Datenauskunft(srecht). Hat eine Firma ihre Daten nicht hinreichend gesichert, wird sie also auch bei Datenverlust einer solchen Anfrage nicht nachkommen können – und hat damit im Datenschutz versagt. Die Verknüpfung zwischen dem einen und dem anderen findet sich im Übrigen in § 9 BDSG und auch in § 11 BDSG.
Am Ende blieb nur noch eine Frage offen: Was geschieht denn mit unserem Videomaterial? Nun, unser Ziel ist es, irgendwann einen kleinen Grundlagenfilm zum Datenschutz zu veröffentlichen. Erste potentielle Abnehmer meldeten sich gleich nach der Schulung ... aber soweit ist es leider noch nicht. Wir befinden uns noch in der Versuchsphase und sind selbst gespannt, was dabei am Ende herauskommt.
Manchmal braucht es jemanden, der einen sachte anschubst – und man setzt ein Vorhaben fort, das man irgendwann einmal aufgegeben hat. So ging es mir nach der Veranstaltung mit Malte Spitz und Prof. Caspar Anfang Februar. Hatte ich doch vor Jahren aus einer professionellen Neugier heraus auch schon mal einen Anlauf genommen, bei verschiedenen Unternehmen das Recht auf Auskunft über die über mich gespeicherten Daten in Anspruch zu nehmen. Doch in dem ganzen alltäglichen Trubel einer berufstätigen Alleinerziehenden mit noch recht kleinen Kindern fehlte mir das Durchhaltevermögen, das es für eine ernsthafte Verfolgung des Rechts auf Einsicht in die eigenen Daten braucht.
„Aufgeben ist keine Option", sagte Malte Spitz sinngemäß und dass man ja Schritt für Schritt verfahren könne – nicht gleich 50 Unternehmen auf einmal anschreiben und um Auskunft bitten, sondern nach und nach, immer eins nach dem anderen. Ein zweiter „Anschubser" kreuzte in Gestalt einer langjährigen, chronisch kranken Mandantin meine Wege, die Einsicht in ihre Patientenakten nehmen wollte und mich für dieses Vorhaben um Hilfe bat. Inzwischen bei ganz stabiler Gesundheit wollte sie sich ein vollständiges Bild über ihre Krankengeschichte der letzten Jahre verschaffen. Auf diese Weise war dann auch meiner Faulheit eine Grenze gesetzt ... konnte ich doch das Vorhaben im Auftrag meiner Mandantin nicht einfach aufgeben.
Das Recht auf Einsicht in die eigene Krankenakte ist eine besondere Form der datenschutzrechtlichen Auskunftserteilung, wie sie in § 38 Bundesdatenschutzgesetz (BDSG) niedergelegt ist.
"Das Recht auf Akteneinsicht zählt zu den zentralen Datenschutzrechten der Patienten",
schreibt der Berliner Beauftragte für Datenschutz und Informationsfreiheit auf seinen Webseiten. Und weiter:
"Es ist Grundlage für die Kenntnis des eigenen Gesundheitszustandes und für die Bewertung der Behandlung und damit Voraussetzung für die Wahrnehmung der medizinischen Selbstbestimmung und des medizinischen Rechtsschutzes".
So hat jede Patientin, jeder Patient grundsätzlich das Recht, Einsicht in die sie oder ihn betreffende ärztliche Akte zu nehmen und sich selber ein Bild über die dort erfassten Details zu Anamnese, Diagnose und Therapie zu machen.
Ganz grundsätzlich betrachtet ergibt sich dieser Anspruch aus dem Recht auf Selbstbestimmung und dem allgemeinen Persönlichkeitsrecht des Patienten. Darüber hinaus regelt aber auch § 630g des Bürgerlichen Gesetzbuchs (BGB) einen Anspruch auf Einsicht in die eigene Patientenakte und ggfls. die Herausgabe einer Kopie, der nur für den Fall versagt werden kann, dass „erhebliche therapeutische Gründe" oder „sonstige erhebliche Rechte Dritter" der Einsichtnahme entgegenstehen. Unter bestimmten Umständen gilt dieses Einsichtsrecht sogar über den Tod des betroffenen Patienten hinaus für die Angehörigen (§ 603g Abs. 3 BGB). Ebenso ist in den Berufsordnungen der Ärztekammern und Zahnärztekammern das Recht der Patienten auf Einsicht in ihre Akte und das Zur-Verfügung-Stellen einer Kopie derselben festgeschrieben (vgl. z.B. § 10 Abs. 2 der Berufsordnung der Hamburger Ärztinnen und Ärzte).
Schon der Wortlaut dieser Vorschriften macht deutlich, dass das Recht auf Einsicht in die Patientenakte besteht, ohne dass dafür ein besonderes Interesse erklärt, nachgewiesen oder sonst eine Begründung für den Wunsch geliefert werden müsste.
Zusammen mit der Mandantin wählte ich für einen ersten Versuch drei verschiedene Abteilungen im Hamburger Universitätsklinikum-Eppendorf (UKE) aus, in denen sie jeweils in Behandlung bzw. zu Untersuchungen gewesen war. Diese Ereignisse lagen zum Teil schon ein paar Jahre zurück; wir rekonstruierten die Monate und Jahre, sie unterschrieb eine Vollmacht und ich schickte drei Schreiben raus, mit denen ich Namens und im Auftrag meiner Mandantin um die Übersendung von Kopien ihrer Patientenakte bat.
Für eine bessere Abwicklung eines solchen Akteneinsichtsgesuchs ist es wichtig, den Wunsch nach Auskunft direkt an die jeweilige Abteilung zu richten, in der die Behandlung stattgefunden hat. Dies jedenfalls dann, sofern es sich um ein Krankenhaus oder eine größere Praxis handelt. Ebenso ist es wichtig, die näheren Umstände der Behandlung zu beschreiben, wenn dies für eine vollständige Antwort auch keine zwingende Voraussetzung ist. Je größer die Klinik oder Arztpraxis ist, desto schwieriger oder gar unmöglich wird es, die Krankengeschichte einer „Frau Doris Schröder" zu finden, wenn außer dem Namen keine weiteren Angaben zur Person gemacht werden.
Die Art und Weise, wie die Einsicht in die Patientenakte genau geschieht (Ort und Zeit), kann das Krankenhaus oder die Ärztin / der Arzt vorgeben. Wir haben statt der Einsicht in die Originalakte um die Zusendung von Kopien oder Ausdrucken gebeten, was nach den gesetzlichen Vorgaben grundsätzlich möglich ist. Zwar besteht kein Anspruch auf Zusendung solcher Kopien, aber es besteht der Anspruch, dass diese im Krankenhaus oder in der Arztpraxis bereitgehalten werden und von der Patientin oder einem Bevollmächtigten abgeholt werden können. Eventuell entstehende Kosten hat der anfragende Patient zu übernehmen.
Die Briefe mit den Auskunftsersuchen waren abgeschickt und wir warteten einigermaßen gespannt, ob und welche Antworten eintreffen würden. Den Fortgang sowie weitere Hintergründe zum Recht auf Einsicht in die eigene Patientenakte erfahren Sie demnächst an dieser Stelle.
Vor einiger Zeit haben Sie wir an dieser Stelle dazu aufgerufen, Ihre ganz persönliche Datenschutzgeschichte zu erzählen. Anlässlich des vorgestrigen Europäischen Datenschutz Tages sammelte die Gesellschaft für Datenschutz und Datensicherheit e.V. lustige, interessante oder einfach irrwitzige Geschichten aus dem bunten Alltag des Datenschutzes.
Auch wir haben eine Geschichte eingereicht – die hier neben vielen anderen interessanten und witzigen Erzählungen veröffentlicht wurde. Dr. Bettina Kähler erzählt darin von einem Vorfall, der ihr zwar in ihrer Funktion als Datenschützerin widerfuhr, sich aber auf schicksalhafte Weise mit ihrem eigenen Privatleben vermischte. Aber lesen Sie selbst:
Wir schrieben das Jahr 2011/2012: Unser Datenschutz-Beratungsunternehmen stand kurz vor seinem zehnjährigen Jubiläum und einer unserer neuen Kunden war ein kleines Unternehmen, das Dienstleistungen für Krankenhäuser und Arztpraxen anbot, „Diktatservice"* genannt.
Dem Firmennamen entsprechend diktierten Ärztinnen und Ärzte ihre Berichte zu Operationen und Behandlungen mittels Telefon als Audiodatei direkt auf den Server des Unternehmens. Dort holten die Schreibkräfte die Dateien, schrieben die Berichte und legten sie zur Abholung durch die auftraggebenden Kliniken wieder ab. Eine erste Analyse der Prozesse beim Diktatservice durch uns ergab ein ziemlich ausgeprägtes datenschutzrechtliches Wildwest. Auf den Servern waren tausende von Jahren alte Berichte gespeichert, deren Löschung nie ein Krankenhaus verlangt hatte.
Der Diktatservice war der Meinung, nicht einfach löschen zu dürfen. Man könnte damit ja gegen gesetzliche Vorschriften verstoßen. Verträge zur Auftragsdatenverarbeitung waren ebenso Fehlanzeige wie eine Dokumentation technischer Sicherheitsmaßnahmen. Wir begannen, das alles in geordnete Bahnen zu lenken. Ironischerweise erkundigten sich auch immer wieder die Verantwortlichen in den Krankenhäusern, die den Diktatservice beauftragen wollten, bei uns nach der datenschutzrechtlichen Zulässigkeit der Ausgliederung dieser Dienstleistung. Zur selben Zeit erkrankte meine Tochter einigermaßen schwerwiegend und ich war viele Monate damit beschäftigt, sie zu verschiedenen Untersuchungen und Therapien zu begleiten. Ich erhielt aus einer ganz anderen Perspektive zahlreiche interessante Einblicke in Abläufe unterschiedlicher medizinischer Einrichtungen, die jede Menge Potential zur Verbesserung ihrer Datenschutzkonformität bargen. Jedes Mal wieder fand ich mich in dem Konflikt, einerseits reflexartig die Unzulässigkeit bestimmter Verfahren anmahnen zu wollen, aber andererseits zusätzlich zu der ohnehin großen Belastung durch die Krankheit meiner Tochter nicht auch noch mit den Ärzten über Datenschutz streiten zu wollen. (Zumal diese auch nicht diejenigen sind, die für die Organisation des Datenschutzmanagements in einem Krankenhaus zuständig sind).
Eines Tages war ich wieder bei unserem Diktatservice-Kunden zu Besuch, wo der Aufbau einer Datenschutzorganisation mittlerweile Fortschritte machte. Unvermittelt platzte ein Mitarbeiter in unsere Besprechung und bat seinen Kollegen um Rat: „Ich komme mit der Frau Dr. Schattschneider-Böhle nicht weiter, die Frau kann einfach nicht diktieren! Nuschelt vor sich hin und dann motzt sie ohne Ende, dass die Berichte so viele Fehler haben!"
Ich horchte auf. Schattschneider-Böhle? So einen sperrigen Doppelnamen hätte ich bis dahin eher bei Lehrerinnen Mitte fünfzig vermutet; er identifizierte aber eine noch recht junge Ärztin, die wenige Wochen zuvor eine Untersuchung meiner Tochter geleitet hatte. Meine Gesprächspartner bejahten meine Frage, ob die Klinik von Dr. Schattschneider-Böhle ein Auftraggeber von ihnen sei und schimpften gleich weiter.
Ich bat darum, einen Blick in die Datenbank werfen zu können, um zu sehen, ob der Bericht über die Untersuchung meiner Tochter dort gespeichert wäre. „Julie Kähler?", fragte der zuständige Mitarbeiter – es dauerte keine fünf Sekunden, dann hatte er den Bericht aufgerufen, inklusive ihres vollen Namens, Geburtsdatums und der medizinischen Historie der letzten zwei Jahre. Nun war ich diejenige, die schimpfte. Eine Einwilligungserklärung oder wenigstens eine Information, dass die Daten meiner Tochter an externe Dienstleister des Krankenhauses übermittelt würden, hatte ich nie gesehen. Zusätzlich stellte sich bei dieser Gelegenheit heraus, dass es mit dem zügigen Löschen der abgeschlossenen Aufträge im Diktatservice noch nicht so klappte, wie ich mir das vorgestellt hatte.
„Willst du jetzt das Krankenhaus verklagen?", fragte meine Tochter, als ich ihr davon erzählte, und in der Tat war dies mein erster Reflex gewesen. Wenn nie jemand diese Dinge beanstandet, werden sie immer so weitergehen, dachte ich verärgert. Und wer sollte denn anfangen, wenn nicht diejenigen, die sich auskennen. Die kühlköpfige Beraterin in mir gewann aber doch schnell die Oberhand und ich einigte mich stattdessen mit meinen Ansprechpartnern im Diktatservice auf eine bessere Umsetzung und Kontrolle der Löschung alter Berichte. Sie sagten außerdem zu, das betreffende Krankenhaus wie auch alle anderen Auftraggeber bei nächster Gelegenheit nochmals nachdrücklich auf die Möglichkeit des Diktierens ohne Nennung des Patientennamens hinzuweisen. Die einzige Vorteilsannahme, die ich mir erlaubte, bestand darin, dass der Bericht über meine Tochter vorzeitig aus der Datenbank meiner Kunden gelöscht wurde.
*Die Namen aller beteiligten Personen und Unternehmen wurden geändert.
Kurz vor Jahresende können wir uns noch über einen neuen Kooperationspartner freuen: Beginnend im nächsten Frühjahr gestalten wir für den PARITÄTISCHEN Wohlfahrtsverband Hamburg e.V. Datenschutzseminare für die dem Verband angeschlossenen sozialen Dienste und Einrichtungen. Nachdem wir schon viele Jahre für gemeinnützige und soziale Einrichtungen als externe betriebliche Datenschutzbeauftragte tätig sind, können wir auf diese Weise unsere Erfahrungen einem breiten Publikum zugänglich machen.
Im Angebot sind nunmehr Grundlagenschulungen für Datenschutzbeauftragte und Mitarbeiter der sozialen Dienste und Einrichtungen sowie ein zweitägiges Seminar für Datenschutzbeauftragte, die ihre Kenntnisse vertiefen wollen. Hinzu kommen soll möglicherweise noch ein weiteres Seminar mit dem vorläufigen Arbeitstitel „Was Betriebsräte über Datenschutz wissen sollten". Die genaue Beschreibung der Inhalte und Termine finden Sie in diesem PDF, das uns der PARITÄTISCHE Wohlfahrtsverband zur Verfügung gestellt hat.
Der PARITÄTISCHE Wohlfahrtsverband Hamburg ist einer der sechs anerkannten Spitzenverbände der freien Wohlfahrtspflege. Er ist konfessionell, weltanschaulich und parteipolitisch unabhängig. In Hamburg verbindet er über 350 selbständige Mitgliedsorganisationen mit weit über 1.000 sozialen Diensten und Einrichtungen. Zu den Hamburger Mitgliedern gehören große überregionale Vereinigungen, aber auch kleine lokale Selbsthilfeorganisationen, Schuldnerberatungen, ambulante Pflegedienste und ähnliche Einrichtungen in den Stadtteilen.
Wir sind gespannt und hoffen auf massenhafte Anmeldungen. Diese richten Sie bitte direkt an den PARITÄTISCHEN Wohlfahrtsverband Hamburg.
Weitere Fragen zu den geplanten Seminaren können Sie auch gerne an uns richten.
Man könnte einen ganzen Adventskalender mit Beispielen für eine Auftragsdatenverarbeitung füllen, so weit ist sie in unserer spezialisierten und arbeitsteiligen Welt verbreitet: Das Unternehmen, das eine IT-Firma mit der Hilfestellung für die Anwender bei Computerproblemen beauftragt. Arztbriefe und OP-Berichte eines großen Krankenhauses werden von Schreibkräften in einem Schreibbüro geschrieben. Eine Lebensversicherung lässt mehrere Millionen Datensätze zu Versicherungsverträgen bei einem Dienstleister von einem alten System auf ein neues übertragen. Ein Steuerbüro mietet in einem Rechenzentrum einen Server und speichert dort seine Kundendaten.
Allen diesen Beispielen ist gemein, dass die jeweiligen Auftraggeber (das Unternehmen, das Krankenhaus ...) für die Sicherheit ihrer Daten verantwortlich bleiben. Deshalb müssen die Auftraggeber schon bei der Auswahl der Auftragnehmer, bevor also Aufträge erteilt und Daten übergeben werden, sehr genau prüfen, ob der Auftragnehmer genügend Sicherheitsmaßnahmen während des Umgangs mit fremden Daten einhält. Dies sollte nicht nur das ganz eigene Interesse der Auftraggeber sein, sondern ist auch ihre gesetzliche Pflicht (§ 11 Abs. 2 BDSG).
Es gibt eine Reihe von Möglichkeiten, die Zuverlässigkeit eines Dienstleisters vor Auftragsvergabe einschätzen zu können. Ein Besuch vor Ort ist eine davon. Findet die Datenverarbeitung in einer als Büro zweckentfremdeten Wohnung statt und werden die Sicherungsmedien in einer Badewanne mit einem Brett darüber gelagert, sollte man von der Beauftragung dieses Dienstleisters Abstand nehmen. (Nein, kein Scherz. Das ist noch vor wenigen Jahren so passiert, allerdings weit südlich von Hamburg).
Weniger aufwändig ist, die Vorlage von Datenschutz- und Sicherheitskonzepten zu verlangen und eine Liste der technischen und organisatorischen Maßnahmen, die der Dienstleister etabliert hat. Auditsiegel, die nahelegen, dass in dem Unternehmen datenschutzkonforme Zustände gelten, sind eine weitere Möglichkeit. So ist beispielsweise eine ISO 27001 Zertifizierung ein Hinweis für die Zuverlässigkeit des Dienstleisters, auch wenn der Focus dieses Zertifikats eigentlich auf IT-Sicherheit ausgelegt ist. Seit einiger Zeit gibt es auch ein Datenschutzsiegel speziell für Auftragsdatenverarbeiter, das vom Bundesverband der Datenschutzbeauftragten und der Gesellschaft für Datenschutz und Datensicherheit entwickelt wurde.
Papier ist geduldig, aber trotzdem ist anhand solcher Unterlagen schon eine Einschätzung möglich, ob ein Dienstleister gut organisiert ist und vollständige und überzeugende Beschreibungen seiner Sicherheitsmaßnahmen vorlegt oder ob er schnell im Netz zusammen kopierte Papiere übersendet.
Der Auftrag zur Verarbeitung fremder Daten muss schriftlich geregelt werden. Es muss also zwei Verträge geben: Den eigentlichen Dienstleistungsvertrag („migriere meine Daten von System A nach System B zu Preis XX") und den Vertrag über Auftragsdatenverarbeitung („diese Daten werden übergeben" ... „nach Abschluss des Auftrages wieder gelöscht"). Bezüglich der zu regelnden Inhalte verweise ich auf den Wortlaut des § 11 BDSG, der die Vorgaben durchaus klar beschreibt.
Im Internet kursiert eine ganze Reihe Musterverträge zur Regelung einer Auftragsdatenverarbeitung. Es reicht jedoch nicht - wie es in der Praxis immer wieder vorkommt – einen solchen Mustervertrag mit je einer Unterschrift von Auftragnehmer und Auftraggeber zu versehen und das für einen vollständigen Vertrag zu halten. Es müssen individuelle und genau auf den in Frage stehenden Auftrag zugeschnittene Vereinbarungen getroffen werden. Für die Beauftragung eines Schreibbüros muss beispielsweise festgelegt werden
- In welcher Form die Originaldateien (Diktate) übermittelt werden
- Wo sie gespeichert werden
- Wer Zugriff auf die Originaldateien hat
- Wer nach Abschluss eines Schreibauftrags noch Änderungen vornehmen darf und auf wessen Anweisung
- Wie die Rückübermittlung der fertigen Aufträge an den Auftraggeber erfolgt
- Wann die Originaldateien und die geschriebenen Aufträge gelöscht werden
- Wer für die Löschung verantwortlich ist.
Diese Festlegungen zu treffen verursacht durchaus Aufwand und Mühe. Davon abgesehen, dass ein nicht richtig, nicht vollständig oder nicht in der vorgeschriebenen Weise erteilter Auftrag zur Datenverarbeitung durch Auftragnehmer ein Bußgeld bis 50.000 EUR kosten kann, sollte es wie gesagt im eigenen Interesse der Auftraggeber liegen, eine sorgfältige Regelung herbei zu führen. Alle Datenschutzpannen beim Dienstleister fallen direkt auf den Auftraggeber zurück.
Soweit meine Übersicht für heute. Zur Frage der laufenden Kontrolle der Einhaltung der Vereinbarungen durch den Dienstleister folgt in den nächsten Tagen ein gesonderter Beitrag.
Wir bekommen gerne Besuch – und der am gestrigen Tage hat uns besonders gefreut. Drei Zehntklässler der Klosterschule in Hamburg waren bei uns und stellten mir Fragen zum Datenschutz. Hintergrund war ein Projekt aus dem Politikunterricht, für das sie sich dieses Thema ausgesucht hatten.
Neben ein paar allgemeinen Fragen zu unserer Tätigkeit und der Geschichte des Datenschutzes in Deutschland und Europa kamen wir dann sehr schnell auf die täglichen Datenschutz-Fallen zu sprechen. So überraschte die bereits gut informierten Jugendlichen der Hinweis, dass über Whatsapp verschickte Nachrichten offene Postkarten sind, die auch noch umfassend gespeichert und ausgewertet werden. Zu diesem Thema passte als ganz praktisches Beispiel eine Nachricht aus der vergangenen Woche hervorragend: Die amerikanische Bürgerrechtsorganisation „Electronic Frontier Foundation" hat in einer Übersicht zusammengestellt, welche Nachrichten Apps welche technischen und sonstigen Anforderungen zum Datenschutz erfüllen. Auf großes Interesse trafen bei den Jugendlichen auch meine Ausführungen zu den Möglichkeiten im Browser das Werbetracking zu blockieren. Schmunzeln musste ich, als in diesem Zusammenhang die Frage gestellt wurde, woher man denn wissen könne, dass der Anbieter solcher Software-Tool trotz gegenteiliger Beteuerungen nicht doch heimlich die persönlichen Daten sammele. Die Frage nach dem Vertrauen; die Grundlage jeglichen Datenschutzes nach der auch Erwachsene immer wieder fragen.
Für mich war es ebenso eine lehrreiche Erfahrung: Wo stehen 16- bis 17-jährige Schüler mit ihrem Wissen zum Thema Datenschutz? Mein Eindruck ist, diese Generation weiß und will mehr Datenschutz, als gemeinhin angenommen wird. Auch aus Diskussionen mit jungen Erwachsenen zwischen 18 und 25 nehme ich immer wieder mit, dass die „junge Generation" diesbezüglich aufmerksamer und nachdenklicher ist, als die Vorurteile der Alten annehmen.
Schade, dass ich meine Besucher zu fragen vergaß, ob ich bei der Präsentation der Projektergebnisse zuhören kann. Das Ergebnis würde mich interessieren.
Update am 20.11.2014: Das Schreiben dieses Artikels überschnitt sich mit der Nachricht, dass Whatsapp nunmehr einen neue Version vorgestellt hat, die eine sehr sichere Ende-zu-Ende-Verschlüsselung einsetzt. Demnächst sind Whatsapp Nachrichten also auch im verschlossenen Umschlag erhältlich, um in dem oben gewählten, wenn auch nicht sehr passenden Bild zu bleiben.
Heute stellen wir weitere Verstärkung des PrivCom-Teams vor: Frank Rohe. An unserem neuen Standort Nordrhein-Westfalen arbeiten wir mit dem sympathischen und kompetenten Trainer zusammen.
Bereits seit 2009 schult der Computerprofi zu den Themen Datenschutz und IT, gleich mehrfach erhielt er die Auszeichnung zum „besten Office Trainer weltweit". Für die Firma New Horizons arbeitete er bis 2013, seitdem ist er selbstständig tätig.
Der ausgebildete Einzelhandelskaufmann war von 1982 bis 1994 Zeitsoldat bei der Bundeswehr, wo er auch eine mehrmonatige Weiterbildung absolvierte. Im Anschluss erlangte er seine Fachhochschulreife, um dann beim Bauordnungsamt der Stadt Ahlen zu arbeiten. Anschließend verbrachte er ein paar Monate bei der Softwarefirma Gekos. 2009 begann er schließlich seine Karriere bei New Horizons mit mehreren Lehrgängen und wurde dann zunächst zum freien Office Trainer, bevor er als Trainer für New Horizons in den Städten Köln und Dortmund arbeitete.
Seine Klientel umfasst sämtliche Altersgruppen – Auszubildende kommen ebenso wie langjährige Mitarbeiter auf ihre Kosten. Büroangestellte schult Rohe ebenso wie Handwerker. Sogar Schulungen für Senioren bietet der erfahrene Trainer an. Dabei erklärt er die Passwortsicherheit genauso anschaulich wie das Thema Zeitmanagement.
Die PrivCom Datenschutz GmbH arbeitet im Rahmen der zahlreichen, vielseitigen Mitarbeiterschulungen mit dem Freiberufler aus Leichlingen in Nordrhein-Westfalen zusammen – für beide Seiten ein großer Gewinn.
Zeit ist Geld, heißt der alte Satz. Heute muss ein weiterer hinzukommen: Informationen sind Geld. Vor allem persönliche Informationen. Vor ein paar Tagen landete eine Mail von einem Online-Shop in meinem Postfach, bei dem ich vor einigen Jahren einmal Unterwäsche gekauft hatte. Für 15 EUR Rabatt sollte ich mich anmelden, meine BH-Größe und sonst noch allerhand Informationen über meine körperlichen Merkmale hinterlegen und dann würde ich zukünftig bei jeder Bestellung weitere Rabatte erhalten. Und ganz individuelle Angebote, extra für mich ausgesucht, versteht sich.
Da müsste man mir schon deutlich mehr als 15 EUR bieten bevor ich solche Informationen in einem Online-Shop hinterlegen würde, dachte ich. Sofern ich das überhaupt täte. Jede Wette, dass der Gewinn, der mit der Verwertung meiner Daten gemacht wird, ein Vielfaches von 15 EUR und ein paar Rabatten beträgt.
Ziemlich zeitgleich versuchte meine zehnjährige Tochter eine Klassenkameradin davon zu überzeugen, sich Threema für ihr Smartphone anzuschaffen. „Mama hat Whatsapp verboten, weil sie im Datenschutz arbeitet", lautete die Begründung. Der Vater der Klassenkameradin wiederum verhinderte die Anschaffung von Threema. Dafür Geld auszugeben würde sich ja nicht lohnen, wo es doch schließlich kostenlos Whatsapp gebe, das ohnehin alle Leute nutzten.
Verkehrte Welt. 1,79 EUR für eine App, die Privatsphäre schützt, sind zu viel. Lieber füttern wir Firmen mit intransparenten Datenschutzpraktiken mit allen erdenklichen Intimitäten, die diese dann zu Geld machen, und freuen uns über „kostenlose" Apps. Es ist höchste Zeit, dass das aufhört. Leider nur wurde und wird der wirtschaftliche Wert von Daten im Zusammenhang mit der Reform des Datenschutzrechts schwerpunktmäßig nur in Bezug auf die Unternehmen diskutiert. Das ist sicher nicht falsch, aber ebenso dringend nötig wären aber Regelungen, die uns alle am Geldwert unserer Daten teilhaben lassen und zwar am tatsächlichen Wert.
Fast noch wichtiger wäre es allerdings uns im ersten Schritt eine wirkliche Wahl zu lassen, ob wir unsere Daten Firmen zur Verwertung überlassen. Im Fall des Online-Shops habe ich noch die Wahl, ob ich meine persönlichen Informationen für 15 EUR und nachfolgende Rabatte verkaufe. In der Regel aber haben wir diese Wahl nicht; es sei denn wir wollen gleich ganz auf die Nutzung des Internets und unserer Smartphones verzichten. Gleichzeitig werden die Unternehmen mit Milliardenwerten gehandelt, deren Geschäftsmodell die Ausbeutung unserer Daten ist, Facebook und Google sind nur die bekanntesten Beispiele.
Diese Dinge könnten gesetzlich geregelt werden. Das hieße aber, unser bisheriges Verständnis von Datenschutz abzulösen und durch ein ganz anderes Modell zu ersetzen. Ich fürchte, dafür ist die Zeit noch nicht reif, obwohl sie es sein müsste.
Wer sich für die Einzelheiten dieses Blicks auf den Umgang mit persönlichen Daten interessiert, dem sei das Buch des amerikanischen Autors Jaron Lanier empfohlen, „Who owns the Future?", auf Deutsch unter dem Titel „Wem gehört die Zukunft?" im Hoffmann und Campe Verlag erschienen.
Viele Unternehmen brauchen sehr spezielle Datenschutzmaßnahmen: Datenschutz und Informationssicherheit bei IT-Dienstleistern, in Krankenhäusern oder bei Firmen, die Big-Data-Verfahren einsetzen, stellen erhöhte Anforderungen an alle Beteiligten. Dasselbe gilt für Konzerndatenschutz oder Banken und Versicherungen. In diesen Unternehmen müssen auf der Grundlage der anerkannten Standards spezielle Datenschutz- und Informationssicherheitskonzepte erstellt werden, die über die Grundlagen hinausgehen und dem erhöhten Bedarf an Sicherheit Rechnung tragen.
Für diese Unternehmen kann auch die längerfristige Bestellung eines externen betrieblichen Datenschutzbeauftragten oder die laufende Beratung Ihres internen betrieblichen Datenschutzbeauftragten hilfreich sein. Sprechen Sie uns an.
In welchem Umfang Sie auch Rat benötigen: Wir entwickeln zusammen eine individuelle Lösung. Wir beherrschen auch die schwierigen Fälle.
Zertifizierungen als Nachweis der Einhaltung von standardisierten Sicherheitsmaßnahmen werden für viele Unternehmen immer wichtiger. Wichtigstes Beispiel sind hier die verschiedenen Varianten der ISO-Zertifizierungen, wie die aus der ISO 27000 Familie oder die ISO 9001 Zertifizierung. Aber auch auf der Grundlage der ab Mai 2018 geltenden EU-Datenschutz-Ggrundverordnung (EU-DSGVO) wird nicht nur die Etablierung, sondern auch der Nachweis angemessener technischer und organisatorischer Sicherheitsmaßnahmen zur Verhinderung von Datenverlusten eine erheblich größere Rolle spielen als bisher.
Die gründliche Vorbereitung jedweder Zertifizierungen erleichtert das insgesamt tendenziell aufwändige Verfahren zur Erlangung des entsprechenden Zertifikats, indem die nötigen Grundlagen gelegt sind und nicht erst während des laufenden Zertifizierungsverfahrens bearbeitet werden müssen. Hier können wir Ihnen unterstützend zur Seite stehen: Schritt für Schritt identifizieren wir mit Ihnen Ihre internen Prozesse und Verfahren, ordnen und sortieren das Vorgehen. Sofern gewünscht, können wir auch die Projektleitung übernehmen.