Speicherung von Adressdaten

Zwischen 1997 und 2001 war ich eine Legislaturperiode lang Abgeordnete der Hamburgischen Bürgerschaft.

Jetzt, 20 Jahre später, bekam ich vor ein paar Wochen ein Schreiben der Bürgerschaftskanzlei. Die Bürgerschaftskanzlei ist die Rathausverwaltung - so könnte man sie informell nennen - die Servicestelle für die Abgeordneten und Öffentlichkeit. Von dort schrieb mir jetzt der Leiter des Stabsbereichs Protokoll, Projekte und Veranstaltungen:

„Auch von Ihnen haben wir Daten gespeichert. Allerdings dürfen und möchten wir diese Speicherung nur aufrechterhalten, wenn Sie ihr zustimmen. Gleichzeitig ist es unser Wunsch, die vorgehaltenen Daten aktuell zu halten“.

Einwilligung in die Speicherung von Kontaktdaten

Man würde sich freuen, wenn ich das beiliegende Datenblatt durchsehen, ggfls. korrigieren und zurückschicken würde. Falls ich das nicht innerhalb von 6 Wochen tun würde, würde man davon ausgehen, dass ich die Löschung meiner Daten wünsche. Falls ich die Einwilligung unterschreiben würde, würde man meine Daten u.a. für die Einladung zu Veranstaltungen oder für die Zusendung von Unterlagen verwenden.

Ich fand dies in zweierlei Hinsicht einen bemerkenswerten Vorgang. Zum einen deshalb, weil ich auf diesem Wege erfuhr, dass mein Name und meine Anschrift nach all der Zeit immer noch in der Bürgerschaftskanzlei gespeichert sind. (Laut des Datenblatts waren es tatsächlich nur Namen und Anschrift, nicht mal das Geburtsdatum, eine E-Mail-Adresse oder eine Angabe zu meiner damaligen Funktion).

Art. 6 Abs. 1 lit f) DSGVO, berechtigtes Interesse?

Der Gedanke, der sich gleich daran anschloss, war: hätten sie das nicht über Art. 6 Abs. 1 lit f) DSGVO ohne Einwilligung lösen können?

Nach Art. 6 Abs. 1 lit f) findet in solchen Fällen eine Interessenabwägung statt. Abgewogen wird das Interesse des Verantwortlichen – hier der Bürgerschaftskanzlei – meine Daten weiterhin zu nutzen, gegen mein möglicherweise entgegenstehendes „schutzwürdiges Interesse“. Das berechtigte Interesse der Bürgerschaftskanzlei liegt auf der Hand. Aber gibt es ein schutzwürdiges Interesse meinerseits, dass mein Name und meine Anschrift dort nicht weiter gespeichert und genutzt werden?

Ich befürworte eine überlegte und, soweit vertretbar, eine großzügige Interpretation dieser Vorschrift, um die Aufwände durch Einwilligungserklärungen möglichst klein zu halten.

So war ich denn auch geneigt zu sagen,

„meine schutzwürdigen Interessen sind nicht beeinträchtigt, wenn mein Name und meine Anschrift dort noch stehen und gelegentlich genutzt werden. Das sind ohnehin öffentliche Daten“.

Andererseits - nach 20 Jahren noch?

Da dieses Schreiben sicherlich nicht nur an ehemalige Abgeordnete, sondern auch noch an eine Reihe anderer betroffener Personen ging (Presseleute, Mitarbeiterinnen und Mitarbeiter von Abgeordneten …), von denen mehr Informationen als über mich gespeichert sind, hätte ich die Frage der weiteren Speicherung im Ergebnis aus rein praktischen Erwägungen allerdings genauso gelöst wie es die Bürgerschaftskanzlei getan hat. Eine Differenzierung zwischen „diese Speicherung und Nutzung ist auf der Grundlage von Art. 6 Abs. 1 lit f) DSGVO wegen der Art der Daten und der Kürze der Zeit weiter gerechtfertigt“ und „diese braucht eine Einwilligung“ wäre vermutlich nicht praktikabel gewesen.

Die Alternative wäre nur gewesen, aus den alten Datenbeständen diejenigen Datensätze zu löschen, die zu alt waren um ohne Einwilligung weiter gespeichert zu bleiben, und den Rest auf der Grundlage des Art. 6 Abs. 1 lit f) DSGVO zu behalten. Für die hätte sich dann aber zwangsläufig auch irgendwann die Frage nach der Löschfrist bzw. des Einholens einer Einwilligung gestellt.

DSGVO hat Aufräumen in Gang gesetzt

Es zeigt sich an diesem Beispiel einmal mehr, dass die DSGVO an vielen Stellen ein Nachdenken über die Erlaubnis zum Speichern und Nutzen von Datenbeständen in Gang gesetzt hat, ein Aufräumen und Prüfen. Auch nach der alten Rechtslage hätte sich die Bürgerschaftskanzlei Gedanken über die Erlaubnis der Speicherung meiner Daten machen müssen, und zwar nicht erst nach 20 Jahren. Dass sie es jetzt tut, ist ein Verdienst der DSGVO. Richtig und durchdacht angewendet, können die so viel gescholtenen Vorschriften tatsächlich eine größere Transparenz und Kontrolle über unsere Daten bewirken.

#FridaysForFuture

Liebe Leute von #FridaysForFuture,

ich hörte, dass es bei euch Diskussionen um den Datenschutz bei #FridaysForFuture gibt. Hier sind ein paar Hinweise, wie ihr mit den persönlichen Daten von Aktivist*innen richtig umgeht.

Welche Informationen dürft ihr speichern?

Alle, die ihr braucht, um Menschen für die Demonstrationen zu vernetzen. Das werden die Namen und die Telefonnummern sein. Möglicherweise auch Angaben zu besonderen Aufgaben, die jemand übernimmt: Sanitätsdienste, Ordnerdienste, Ansprechpersonen für die Presse. Wenn bei Planungstreffen übers Wochenende Minderjährige dabei sind, ist für Notfälle auch die Telefonnummer eines Sorgeberechtigten erforderlich.

Um das Alter festzustellen, fragt bitte auf keinen Fall das volle Geburtsdatum ab. Hier reicht die Frage minderjährig ja oder nein.

Müsst ihr die Postanschrift abfragen? Zum Beispiel für den Fall, dass bei einem Planungstreffen etwas schief geht, was dann Geld kostet?

Nein. Wenn ihr übers Wochenende einen Raum für ein Planungstreffen mietet, gibt es einen (oder mehrere) Verantwortliche, die gegenüber dem Vermieter des Raums dafür bürgen, dass der Raum so zurückgegeben wird, wie ihr ihn bekommen habt. Das reicht. Nur für den Fall, dass jemand zuviel trinkt, gegen die Wand kotzt und die Wand neu gestrichen werden muss … müsst ihr nicht die Postadressen und Geburtsdaten aller Teilnehmenden einsammeln, um dann im Fall der Fälle eine Identifizierung zu ermöglichen.

Wie lange dürft ihr die Daten speichern?

So lange wie es weitere Demonstrationen gibt. Wenn jemand sagt, dass sie oder er aus den entsprechenden Verteilern gestrichen werden möchte, müsst ihr sie allerdings sofort löschen.

Wo dürft ihr die Daten speichern?

Am besten auf Servern innerhalb Deutschlands und verschlüsselt. Wenn ihr die Daten auf eigenen Laptops speichert, solltet ihr die Festplatten verschlüsseln. Sichere Passwörter bestehen übrigens aus mindestens 12 Zeichen und einer Mischung aus großen und kleinen Buchstaben, Zahlen und Sonderzeichen.

Ist die Nutzung von WhatsApp o.k.?

Nein. WhatsApp gehört zu Facebook und Facebook handelt mit Daten. Auch mit euren. Wenn es ganz dumm kommt, sind eure Daten die Grundlage für die Manipulation von Wahlen und Abstimmungen. Datenschutzfreundliche Alternativen sind z.B. Signal oder Threema. Telegram ist wegen mangelnder Transparenz und einiger Voreinstellungen, die datenschutzproblematisch sind, ebenfalls keine gute Alternative.

Was ist ansonsten wichtig?

Wichtig ist, dass ihr die Daten nur zum Zweck der Organisation der Demos benutzt. Es ist nicht erlaubt sie beispielsweise an politische Gruppen oder Parteien weiterzugeben, damit diese neue Mitglieder werben können.

Update 08. April 2019

Wer darf auf die Daten der Aktivist*innen Zugriff nehmen? Oder anders gefragt, darf die Landesgruppe Hamburg die Daten aus Hessen einsehen?

Das Datenschutzrecht verlangt auch eine Abschottung von personenbezogenen Daten innerhalb einer Organistion. Nicht immer und zwingend, aber die Regel ist: Zugriff auf personenbezogene Daten dürfen auch innerhalb einer Organisation immer nur diejenigen haben, die den Zugriff für ihre Arbeit brauchen. Wenn also die Hamburg-Sektion Daten aus Hessen braucht, damit bestimmte Aufgaben erledigt werden können, kann der Zugriff problemlos freigegeben werden.

Speicherung bei Google.

Google ist praktisch, aber hier gilt dasselbe, wie ich oben zu Facebook anmerkte (mit Ausnahme der Manipulation von Wahlen. Das ist eine Spezialität von Facebook). Ich suche noch nach einer brauchbaren Alternative und ergänze dann hier noch eine Empfehlung.

Müsst ihr bei der Verarbeitung von Daten Minderjähriger etwas Besonderes beachten?

Nein - da ihr nur Kontaktdaten zu Zwecken der Organisation speichert und nutzt. Anders wäre es nur, wenn Ihr für eine Datenverarbeitung eine Einwilligung braucht.

Update 18. April 2019

Welche Daten dürfen wir erfragen, wenn auf unserer Webseite eine Petition unterschrieben werden kann?

Name und E-Mail Adresse. Die E-Mail-Adresse darf nicht veröffentlicht werden. Wenn der Name veröffentlicht wird, müssen diejenigen, die unterschreiben, dem zustimmen.

Wir wüssten gerne, wie alt die Leute sind, die unsere Petitionen unterschreiben, und woher sie kommen. Dürfen wir das über die Webseiten auch erfragen?

Ja, aber das muss eine freiwillige Angabe sein. Die Unterschrift unter die Petition darf nicht an die Angabe von Alter und Wohnort gekoppelt sein. Am besten fragt ihr nach der Altersgruppe (15-20 Jahre, 20-30 usw.) und nach der Postleitzahl und kennzeichnet das als freiwillige Angabe.

Müssen wir die Daten zu den Petitionen wieder löschen?

Die Daten müsst ihr löschen, sobald die Petition nicht mehr aktuell ist.

Informationspflicht nach Art. 13 DSGVO

Sobald die Funktion mit den Petitionen online geht, solltet ihr auf den Webseiten in der Datenschutzerklärung die Angaben aufnehmen, über die nach Art. 13 DSGVO bei der ersten Erhebung von Daten informiert werden muss.

Welche Fragen gibt es noch?

Meldet euch gerne.

Herzliche Grüße,

Bettina Kähler

Umzug

5 Jahre lang hat PrivCom Datenschutz in der Hallerstraße an der Kreuzung zur Hochallee "gewohnt"; jetzt lief unser Mietvertrag aus und seit Anfang der Woche finden Sie uns unter der folgenden Adresse:

Rothenbaumchaussee 165
20149 Hamburg.

Alle weiteren Kontaktdaten bleiben dieselben.

Hier grenzt ein recht großes Stück Garten an die Büroräume, in dem man gerade jetzt im Sommer unter dem Sonneschirm gut sitzen kann. Kommen Sie gerne einmal vorbei!

Datenschutz in der Wohnungswirtschaft

Wer nicht gerade auf dem Land in einer strukturschwachen Gegend umziehen will, weiß wie schwierig und aufreibend die Suche nach einer Wohnung oder einem Haus sein kann. Bezahlbarer Wohnraum wird gerade in Großstädten immer mehr zu einer knappen Ressource, auf eine Wohnung kommen oftmals hunderte von Interessenten und Bewerbern. Die Frage nach dem Datenschutz für Wohnungssuchende erscheint da fast wie eine Kleinigkeit, die hinter den wirklich entscheidenden Fragen zurücktreten kann.

Werden Sie polizeilich gesucht?

Vermieter fragen schon bei der ersten Interessenbekundung an einer Wohnung völlig ungeniert die persönlichsten Daten der Wohnungssuchenden ab: Höhe Ihrer monatlichen Verbindlichkeiten aus Unterhaltszahlungen? Aus Kreditverträgen, aus Pfändungen? Haben Sie in den letzten 5 Jahren eine eidesstattliche Versicherung über Ihre wirtschaftlichen Verhältnisse abgegeben? Wo sind Ihre Kinder geboren und Geburtsdatum der Kinder? Selbst die Frage, ob denn ein aktueller Haftbefehl gegen den Interessenten vorliege, habe ich schon in einem Fragebogen gefunden.

Eine Vielzahl Daten gegen eine vage Aussicht

Das und noch einiges mehr sollen Wohnungssuchende sofort bei der ersten Interessensbekundung von sich preisgeben, mit der sehr vagen Aussicht, überhaupt erstmal ein Angebot für eine Wohnung zu erhalten. Recht pauschal werden „grundsätzlich alle“ solche Fragen für zulässig erklärt, mit der Begründung der Vermieter habe „ein großes Interesse an diesen Informationen“.

Übersehen wird dabei, dass sich das große Interesse im Rahmen der datenschutzrechtlichen Vorgaben bewegen muss.

Unter Datenschutzaspekten ist die Zulässigkeit von Fragen an Wohnungssuchende an recht enge Grenzen gebunden. Die Datenschutzaufsichtsbehörden haben schon im Jahr 2014 eine Orientierungshilfe zum Thema herausgegeben, die die Voraussetzungen darstellt. Ein daran angelehntes Beispiel für einen datenschutzkonformen Fragebogen zur Selbstauskunft im Rahmen der Wohnungssuche, findet sich hier.

Anforderungen unter DSGVO nicht verändert

Deren Gültigkeit besteht auch mit der Datenschutz-Grundverordnung (DSGVO) fort. Mit Einwilligungen kann an dieser Stelle nicht gearbeitet werden, weil die Freiwilligkeit nicht gegeben ist. Leitlinie ist der Interessensausgleich zwischen der Sicherheit für den Vermieter, einen passenden und solventen Mieter zu finden, und dem Schutz der Wohnungssuchenden vor dem Missbrauch sehr persönlicher Daten. Weder soll der Vermieter durch Mieter wirtschaftlichen Schaden erleiden, noch sollen Wohnungssuchende am Ende in ihrem Auto schlafen müssen, weil eine Flut sensibler Daten sie zu unerwünschten Mietern macht.

Dieser Interessensausgleich ist herstellbar. Wohnungsunternehmen kostet er möglicherweise eine Investition in die Umstellung von internen Prozessen, das in diesem Zusammenhang oft gehörte Argument - "wenn ich Datenschutz beachten soll kann ich nicht mehr arbeiten" - ist allerdings kein Kriterium. Man fährt ja auch nicht konsequent mit der Begründung über rote Ampeln, dass man dann schneller durch die Stadt kommt.

DSGVO Umsetzung beginnen

Wohnungsunternehmen sollten spätestens jetzt anfangen, die Rechtmäßigkeit ihrer Datenverarbeitung im Hinblick auf die Regeln der DSGVO zu überprüfen und insbesondere die Fragebögen für Interessenten auf eine neue Grundlage zu stellen. Die Tatsache, dass Wohnungssuchende für die Aussicht auf ein neues Zuhause im Zweifel (vermeintlich) freiwillig alles von sich preisgeben, wird Vermieter zukünftig nicht vor Komplikationen wegen unzulässiger Datenverarbeitung bewahren – und auch nicht vor den entsprechenden Bußgeldern, die mit der DSGVO erheblich gestiegen sind. Hinzu kommen Schadensersatzansprüche, die betroffene Personen zukünftig wegen der unerlaubten Verarbeitung ihrer persönlichen Daten geltend machen können.

Workshops zum Datenschutz in der Wohnungswirtschaft

Zusammen mit unserem Kunden, der Immosolve GmbH, arbeiten wir seit vielen Jahren kontinuierlich an der Verbesserung der datenschutzkonformen Abläufe bei der Organisation von Mietverhältnissen und Wohnungssuchen. Wer sich für ein paar mehr Einzelheiten zu diesem Thema interessiert, kann bei Immosolve noch an einem Webinar teilnehmen ("Fit für die DSGVO"), das einen etwas erweiterten Überblick über die Thematik gibt, und bei dem ich Referentin bin. Sowohl bei Immosolve als auch bei uns können auch weiterführende Workshops und ausführliche Beratung zum Thema „Die Umsetzung der DSGVO im Wohnungsunternehmen“ gebucht werden. Sprechen Sie uns gerne an.

Nachlese: Vortrag zur DSGVO

Sollten Sie nach einem Ort für eine Veranstaltung suchen, der nicht so langweilig ist wie die immer gleichen Hotel-Konferenzräume, sei Ihnen der Heidepark Soltau empfohlen. Dort tagt man in dem parkeigenen Hotel, das in einer eigenwilligen Märchen- und Piratenoptik gestaltet ist, und bahnt sich seinen Weg zum Konferenzraum zwischen Großeltern mit kleinen Enkelkindern hindurch.

Mitte September fand im Heidepark Soltau der Jahreskongress der BFI Beratungsgesellschaft für Informationstechnologie mbH (BFI) statt, der mit dem Titel „Safety First im Zeitalter der EU-Datenschutz-Grundverordnung“ ganz im Zeichen der neuen Regeln der EU-Datenschutz-Grundverordnung (DSGVO) stand. Die BFI ist Vertriebspartner der Telekom, so dass auch diese als Mitveranstalter dabei war.

DSGVO - Was Unternehmen jetzt tun sollten

Von der DSGVO handelte dann auch mein Vortrag „Die EU-Datenschutz-Grundverordnung – was Unternehmen jetzt tun sollten“, der vom Veranstalter als der Keynote Vortrag angekündigt wurde und auf großes Interesse traf. Darüber hinaus gab es weitere Vortragsblöcke, in denen Hersteller technische Lösungen vorstellten – und am Abend Achterbahnfahren. Letzteres vor dem Abendessen, safety first eben. Auf diese Weise wurde der Jahreskongress zu einem Ereignis im besten Sinne, mit einer Mischung aus Fortbildung, interessanten Gesprächen und Spaß (auch wenn ich, was die Achterbahn anging, lieber am Boden blieb).

Workshops und Vorträge zur DSGVO

Mein Vortrag kann bei uns auch für andere Gelegenheiten und Veranstaltungen gebucht werden. In rund einer Stunde gibt er einen Überblick über die Veränderungen, die sich für Unternehmen mit der Datenschutz-Grundverordnung ergeben, und stellt die notwendigen nächsten Schritte für die Umsetzung vor. Fragen aus dem Publikum und Diskussion sind dabei willkommen. Wer die sich aus der DSGVO ergebenden Fragestellungen gleich ganz konkret für sein Unternehmen vertiefen möchte, kann auch einen halbtägigen Workshop buchen. Darin entwickeln wir einen Fahrplan für die Umsetzung der wichtigsten Punkte.

Nehmen Sie gerne mit uns Kontakt auf und wir besprechen die Einzelheiten.

Datenschutzmanagementsytem nach DSGVO

Der Countdown läuft in Bezug auf die Umsetzung der Vorgaben der EU-Datenschutz-Grundverordnung (DSGVO): ab dem 25. Mai 2018 müssen die Vorgaben in Unternehmen und Behörden umgesetzt sein, dazu kommen die Anforderungen des neuen Bundesdatenschutzgesetzes (BDSG-neu). Viele Unternehmen haben mit der Umsetzung begonnen oder suchen zurzeit nach einer Möglichkeit, die neuen Anforderungen möglichst einfach und mit überschaubarem Aufwand zu implementieren.

Das Ziel der möglichst einfachen Umsetzung verfolgt eine neue Richtlinie der VdS Schadenverhütung, die in diesen Wochen unter dem Namen VdS 10010 entwickelt und für jedermann kostenfrei abrufbar sein wird. Die neue Richtlinie knüpft an die schon bekannte Richtlinie VdS 3473 an. Während die VdS 3473 jedoch ausschließlich die Informationssicherheit im Fokus hat, erweitert die geplante VdS 10010 diesen um die Anforderungen des Datenschutzes nach der DSGVO. Die Richtlinie beschreibt ein auditier- und zertifizierfähiges Datenschutzmanagementsystem (DSMS), welches insbesondere auf die Anforderungen von kleinen und mittleren Unternehmen zugeschnitten ist.

Meine Kollegin Anna Cardillo und unser Kooperationspartner Michael Wiesner von der Michael Wiesner GmbH arbeiten als Autoren im Kernteam für die Entwicklung der VdS-Richtlinien 10010. Die Entwicklung erfolgt über ein Wiki, das von Mark Semmler koordiniert wird. Interessierte sind weiterhin eingeladen, sich als Unterstützer bei der Erstellung zu engagieren; die Anmeldung kann hier erfolgen: https://www.mark-semmler.de/vds/doku.php

Wir werden an dieser Stelle über die weitere Entwicklung und das Ergebnis weiter berichten.

EU-Datenschutz-Grundverordnung // Mitarbeiterschulungen

„Vielen Dank für den kurzweiligen Nachmittag“, verabschiedete mich kürzlich der Mitarbeiter eines Kunden. Manchmal bekomme ich schöne Komplimente, dachte ich, als die Tür hinter mir zufiel - der „kurzweilige Nachmittag“ war eine Datenschutzschulung für Mitarbeiter, Dauer 1,5 Stunden, in einem gegen Ende ziemlich überhitzten Raum. Eine Veranstaltung also, die in der Regel bei der Ankündigung eher nicht mit derlei Adjektiven verbunden wird. Die Teilnehmer machten es mir allerdings auch leicht, fragten und widersprachen und hatten griffige Beispiele parat („Mit welchem Verschlüsselungsverfahren muss ich eine Festplatte verschlüsseln, auf der sich ein Nacktbild von Alicia Keys befindet?“ – männlicher Humor ist was Feines).

Schulungen zu Datenschutzthemen mit doppeltem Nutzen

Nach meiner Erfahrung sind Datenschutzschulungen oder Workshops zu Datenschutzthemen mit Mitarbeitern ein Mittel mit doppeltem Nutzen. Die Referentin erfährt viel über die Abläufe im Unternehmen und über mögliche kritische Prozesse, was für den Fall der Bestellung als externe Datenschutzbeauftragte hilfreich ist. Außerdem ist es die Gelegenheit Geschäftsführung und Mitarbeitern zu vermitteln, dass der Aufbau einer Datenschutzorganisation im Unternehmen nicht eine so furchtbar komplizierte Angelegenheit sein muss, wie vielfach vermutet. Komplex ja – kompliziert nein.

Eine Pflicht nach DSGVO

Anders als noch das BDSG schreibt die EU-Datenschutz-Grundverordnung (DSGVO) Mitarbeiterschulungen zum Datenschutz als eine Aufgabe von Datenschutzbeauftragten vor. „Dem Datenschutzbeauftragten obliegen zumindest folgende Aufgaben“, heißt es im ersten Absatz des Art. 39 DSGVO. „Die Unterrichtung ... der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach dieser Verordnung sowie nach sonstigen Datenschutzvorschriften der Union oder der Mitgliedstaaten“. Die Schulungen können dann auch ein Baustein des Nachweises angemessener technischer und organisatorischer Sicherheitsmaßnahmen sein, den das Unternehmen nach der DSGVO zu führen hat. Insofern wird der beschriebene doppelte Nutzen nunmehr noch um einen dritten ergänzt.

Mit rotem Faden improvisieren

Ich arbeite bei solchen Gelegenheiten schon lange fast vollständig ohne Power Point Folien. Die Inhalte entwickele ich anhand eines in Gedanken festgelegten roten Fadens mit den Fragen und Anmerkungen der Teilnehmer und den Beispielen aus meiner Beratungspraxis. Vorbereitete Präsentationen setze ich nur dazu ein, einzelne Abbildungen und vereinzelt mal kurze Übersichten in Textform zu zeigen und sie im Anschluss den Teilnehmern zur Verfügung zu stellen.

Webcast EU-DSGVO in englischer Sprache

In unserer seit mehreren Jahren bestehenden Zusammenarbeit mit Sophos gab es Mitte Mai eine Premiere: Nach dem gefühlten guten Dutzend Webcasts, die ich als Referentin für Sophos schon mit gestaltet habe war dies der erste in englischer Sprache für die Sophos Kunden aus Nord- und Osteuropa. Deutlich über tausend Zuhörer von Island über Litauen, Bulgarien bis Griechenland und Malta waren dabei; ein deutliches Zeichen, dass die EU-DSGVO nicht nur in Deutschland ein wichtiges Thema ist. Wer will, kann hier noch mal hören - https://attendee.gotowebinar.com/recording/1974428597092975106

Auf Wiedersehen Alex. Ein Nachruf

Unsere erste Begegnung begann im Frühjahr 2009 mit einer handfesten Kontroverse. Kunden-Bonusprogramme seien nur ein anderes Wort für Datenhandel, hatte ich gesagt als wir im ICE zwischen Hamburg und Berlin ins Gespräch gekommen waren. Alexander Kroll hielt dagegen – ich könne doch nicht so pauschal ein legitimes Interesse gerade großer Unternehmen verdammen! Er würde zum Beispiel der Lufthansa durchaus vertrauen, dass diese mit seinen persönlichen Daten angemessen umgehe.

Alexander Kroll studierte in den achtziger Jahren Jura und wurde im Anschluss daran bei der Lufthansa als Luftverkehrskaufmann ausgebildet. Dort war er lange in der Öffentlichkeitsarbeit tätig, bevor er sich mit zwei Kollegen mit einer PR-Agentur selbständig machte.

Körperlich von einer schweren chronischen Erkrankung gezeichnet, baute er in den folgenden Monaten und Jahren nach unserer Diskussion im Zug für unser damals noch sehr kleines Unternehmen auf, was es bis dahin nicht gegeben hatte: eine durchdachte und kontinuierlich weiterentwickelte PR- und Öffentlichkeitsarbeit. Zu diesem Zweck erarbeitete er sich in kürzester Zeit ein umfangreiches Wissen über Fragen des Datenschutzes und der Datensicherheit. „Ich muss die Materie verstehen, wenn ich gut beraten will“, lautete sein Credo.

Die Optik und die Texte unserer Webseiten tragen nach wie vor seine Handschrift, auch wenn sie seither mehrfach neu gestaltet wurden.

Im Laufe der Zeit wurde er mir nicht nur ein unentbehrlicher Ratgeber in Sachen Öffentlichkeitsarbeit, sondern auch in strategischen Fragen der Unternehmensentwicklung und der täglichen Kommunikation mit unseren Kunden.

Ende des Jahres 2011 überlebte Alexander Kroll eine weitere gesundheitliche Krise nur sehr knapp und diese ließ seinen Körper noch zerstörter zurück als vorher. Als das Leben ihn zurück hatte tat er, was er immer getan hatte; er kämpfte um so viel Eigenständigkeit wie möglich.

Neben vielem anderen verdanke ich Alexander Kroll auch den Anstoß, PrivCom Datenschutz zu vergrößern, die Führung zu teilen und die kleine Beratungsagentur in ein Unternehmen umzuwandeln. Im Frühjahr 2013 leiteten wir diesen Prozess zusammen mit Martin Hübner ein und Alexander stand uns solange zur Seite, bis die Weichen für den Wandel gestellt waren. Danach beendeten wir schweren Herzens unsere Zusammenarbeit. Meinen Vorschlag, dass er mit vermindertem Umfang weiter für PR-Angelegenheiten zuständig sein sollte, lehnte er ab. Ganz oder gar nicht war sein professioneller Anspruch und dem Ganz stand nunmehr seine gesundheitliche Situation im Weg.

Wir blieben befreundet. Wann immer ich einen Rat brauchte, war er zur Stelle. Wie zuvor auch hörte er zu, fragte nach, provozierte und widersprach, und jedes Ende eines Gesprächs ließ mich mit ein wenig besser geordneten Gedanken zurück.

Als er Ende des letzten Jahres erneut schwerwiegende gesundheitliche Probleme bekam, die eine weitere Einschränkung seiner ohnehin sehr eingeschränkten Möglichkeiten bedeuteten, wollte er nicht mehr weiter leben. In den folgenden Monaten verabschiedete er sich von allen Verwandten und Freunden so, wie er auch gelebt hat. Offen und zugewandt trotzte er bis zu allerletzt dem Leben die schönen Momente ab.

Alexander Kroll starb letzten Freitag am frühen Morgen in einem Berliner Hospiz.

Auf Wiedersehen Alex, du wirst uns immer fehlen.

EU-Datenschutz-Grundverordnung: Webcasts

Pech und Pannen haben dazu geführt, dass der urspünglich für den 29. März 2017 vorgesehende Webcast mit dem Institut für Berufliche Bildung zum Thema EU-Datenschutz-Grundverordnung nicht stattfinden konnte und nunmehr auf den 26. April, 11 Uhr verschoben wurde. Im Rahmen der Reihe "Business Inside" des IBB geben wir Auskunft zu den grundlegenden Veränderungen, die die DSGVO mit sich bringen wird. Anschließend besteht die Möglichkeit Fragen zu stellen. Anmelden können Sie sich noch hier (Webinar 3).

Wer an diesem Termin nicht kann und trotzdem das Thema Überblick über die DSGVO in einem Webcast hören möchte, hat am 19. Mai um 11 Uhr die nächste Gelegenheit. Ich freue mich, wie schon vor zwei Jahren wieder mit Sophos zu diesem Thema zusammen zu arbeiten. Anmelden können Sie sich für diesen Webcast hier.

Zwei Tage zuvor, am 17. Mai um 10 Uhr, findet der gleiche Webcast schon einmal in englischer Sprache statt, ebenfalls mit Sophos und mir als Referentin. Wer daran teilnehmen möchte, möge sich bitte per Mail direkt mit mir in Verbindung setzen.

Auftragsdatenverarbeitung nach Art. 28 DSGVO

Das Thema Auftragsdatenverarbeitung ist eine Geschichte, die nur manchmal gut endet. Nach wie vor besteht ein erheblicher Teil unserer Beratungstätigkeit in der Erklärung, was Auftragsdatenverarbeitung ist, warum die vertragliche Regelung sein muss sowie der Prüfung der entsprechenden Verträge. Wer möchte, kann das Wieso-Weshalb-Warum in meinen alten Artikeln der letzten Jahre zum Thema Anforderungen an eine Auftragsdatenverarbeitung und Auftragsdatenverarbeitung? nachlesen. Die dort beschriebenen Beispiele einer grob fahrlässig nicht oder nur sehr unzureichend geregelten Auftragsdatenverarbeitung begegnen uns in Varianten noch immer. Die EU-Datenschutz-Grundverordnung macht die Auftragsdatenverarbeitung nun nicht wesentlich schwieriger - aber auch nicht einfacher, denn die Anforderungen an die Auftragsverarbeiter sind an einigen Stellen erhöht. Wir haben einen kurzen Überblick über die wichtigsten Punkte zusammengestellt.

DSGVO und Auftragsdatenverarbeitung

Art. 28 DSVO sieht weiterhin eine Regelung der Auftragsdatenverarbeitung in einem Vertrag vor, der die wichtigsten Punkte im Umgang mit den personenbezogenen Daten des auftraggebenden Unternehmens regelt (Art. 28 Abs. 3 DSGVO). So, wie auch das BDSG bisher schon tat. Auftraggebende Unternehmen sind gehalten, nur Auftragsverarbeiter einsetzen, die "hinreichend Garantien" dafür bieten, dass sie "geeignete technische und organisatorische Maßnahmen" für einen ausreichenden Datenschutz im Sinne der DSGVO etabliert haben (Art. 28 Abs. 1 DSGVO). Wichtig ist in diesem Zusammenhang: diese Garantien müssen nachgewiesen werden, und zwar vor der Beauftragung und auch im Vertrag (Art. 28 Abs. 5 DSGVO).

Einhaltung DSGVO nachweisen

Bis die von der DSGVO vorgesehenen Möglichkeiten eines standardisierten Nachweises in Form von Zertifizierungen und Verhaltensregeln etabliert sein werden, wird voraussichtlich noch viel Zeit vergehen. In der Praxis muss daher auf andere Faktoren des Nachweises geeigneter Sicherheitsmaßnahmen zurück gegriffen werden. Dies können z.B. sein: Berichte eigener, interner Prüfungen und Audits, Ergebnisse externer Audits, ISO-Zertifizierungen. An dieser Stelle hakt es in der Praxis noch gewaltig. Erst kürzlich wollte mir ein Datenschutzbeauftragter eines Rechenzentrums erzählen, die Vorlage eines Zertifikats, dass das Rechenzentrum ISO 27001 zertifiziert sei, reiche als Nachweis für das Vorliegen von Sicherheitsmaßnahmen aus. Nein - da muss schon mehr vorgelegt werden.

Neue Pflichten für Auftragsverarbeiter

Neben den altbekannten Pflichten bringt die DSGVO Neuerungen insbesondere für Auftragsverarbeiter mit sich. Verstößt ein Auftragsverarbeiter bei der Datenverarbeitung gegen die Anweisungen des auftraggebenden Unternehmens, gilt er nach Art. 28 Abs. 10 DSGVO jetzt selbst als Verantwortlicher - alle rechtlichen Folgen inklusive. Neu hinzugekommen sind für den Fall von Datenschutzverletzungen durch Auftragsverarbeiter auch spezielle Haftungsregelungen (Art. 82 DSGVO). Betroffene können einen entstandenen Schaden entweder beim Verantwortlichen oder beim Auftragsverarbeiter geltend machen.

Meldepflichten und Bußgeld

In der Praxis dürfte auch Art. 33 Abs. 2 DSGVO Bedeutung bekommen. Danach muss ein Auftragsverarbeiter eine Verletzung des Schutzes personenbezogener Daten nach Bekanntwerden unverzüglich dem Verantwortlichen (Auftraggeber) melden. Ebenso sind die Bußgeldvorschriften des Art. 83 Abs. 4, 5 und 6 DSGVO zu berücksichtigen; sie können bei Verstößen auch bei einem Auftragsverarbeiter ohne Umweg über den Verantwortlichen zur Anwendung kommen.

Muster für einen Vertrag nach Art. 28 DSGVO

Die GDD hat einen Mustervertrag für eine Auftragsdatenverareitung nach DSGVO veröffentlicht. Er ist auf den Seiten der GDD abrufbar. Bitte beachten Sie, dass er im Einzelfall auf die konkreten Umstände der individuellen Vereinbarung angepasst werden muss.

Webcast(s) zur EU-Datenschutz-Grundverordnung

Am 29. März 2017 führen wir in Zusammenarbeit mit dem Institut für Berufliche Bildung einen Webcast zum Thema EU-Datenschutz-Grundverordnung durch. Im Rahmen der dortigen Reihe "Business Inside" geben wir Auskunft zu den grundlegenden eränderungen, die die DSGVO mit sich bringen wird. Anschließend besteht die Möglichkeit Fragen zu stellen. Anmelden können Sie sich noch hier (Webinar 3).

Ab Mitte April werden wir voraussichtlich auch eigene Webcasts zum Thema EU-Datenschutz-Grundverordnung anbieten. Über die Einzelheiten werden wir Sie hier im Blog informieren.