Sofern Sie hier kommentieren, verpflichten Sie sich zur Einhaltung der nachfolgend genannten Spielregeln:

1. Sie kommentieren sachlich und ohne persönliche Angriffe. Sie sind für jeden Inhalt, den Sie hier schreiben alleine verantwortlich.
2. Sie verpflichten sich, keine Kommentare mit strafbarem, diskriminierendem, rassistischem, anstößigem, beleidigendem oder kommerziellem Inhalt zu posten. Verweise auf Seiten mit solchem Inhalt sind verboten und werden gelöscht.
3. Sie verpflichten sich, keine personenbezogenen Daten Dritter zu veröffentlichen (z.B. Name, Adresse, Telefonnummer oder E-Mail-Adresse), es sei denn, das ausdrückliche Einverständnis des Betroffenen liegt vor.
4. Sie beachten auch ansonsten die Rechte Dritter und veröffentlichen ohne das ausdrückliche Einverständnis der Urheber keine fremden Texte oder Bilder. Auch diesbezüglich sind ausschließlich Sie verantwortlich und haften bei einer Verletzung der Rechte anderer allein.
5. Sie können für einen Kommentar Ihren richtigen Namen oder ein Pseudonym verwenden.
6. Wir als PrivCom Datenschutz entscheiden darüber, ob Kommentare dauerhaft angezeigt, Themen und Beiträge bearbeitet, verschoben, geschlossen oder gelöscht werden.
7. Verstößt ein Kommentar gegen die Nutzerregeln oder die allgemeinen Prinzipien des guten und respektvollen Benehmens im Rahmen der elektronischen Kommunikation ("Netiquette")‚ kann dieser gelöscht und der Kommentator für zukünftige Beiträge gesperrt werden.
8. PrivCom Datenschutz haftet nicht für die sachliche und rechtliche Richtigkeit von Beiträgen, Kommentaren oder von Seiteninhalten, auf die verwiesen wird.
9. Im Übrigen beachten Sie bitte auch unsere Datenschutzerklärung.

Es passiert nicht so häufig, aber es passiert: Vor ein paar Wochen haben wir das Mandat mit einem Kunden beendet, den wir gut zwei Jahre lang als externe betriebliche Datenschutzbeauftragte beraten haben.
Die Zusammenarbeit im Rahmen eines solchen Mandats als externe betriebliche Datenschutzbeauftragte setzt eine Einigkeit über das gemeinsame Vorgehen beim Aufbau einer Datenschutzorganisation in dem jeweiligen Unternehmen voraus. Sie setzt auch eine gute Kommunikation und verlässliche Absprachen über die notwendigen Aufgaben und deren Umsetzung voraus. Für den Fall, dass etwas nicht gut läuft, ist es hilfreich wenn man Probleme rechtzeitig offen benennt.

Datenschutz ist Führungsaufgabe?

Das Wichtigste aber ist die Tatsache, dass Datenschutz eine Führungsaufgabe ist und diese Verantwortung müssen die zuständigen Führungskräfte im Unternehmen wahrnehmen. Wir können noch so gute Ideen für den Aufbau eines Datenschutzmanagements in einem Unternehmen haben - wenn die Geschäftsführung diese inhaltlich und auch ihre Umsetzung nicht unterstützt, ist der Nutzen für das Unternehmen gering bis nicht vorhanden.

Die Rolle des externen Datenschutzbeauftragten

In dem Mandat, das ich eingangs erwähnte, trafen unterschiedliche Vorstellungen von der Rolle eines externen Datenschutzbeauftragten aufeinander. Das Unternehmen hatte eine Reihe von sehr grundlegenden internen Umstrukturierungen und mehrere Führungskräftewechsel vorgenommen. Als wir bestellt wurden, war das Unternehmen gerade dabei sich weitgehend neu zu organisieren und erhoffte sich von uns die Dienstleistung Datenschutz etwa so, wie man einen Dienstleister mit einer Aktenvernichtung beauftragt: Abholung der Akten beauftragt, datenschutzkonforme Vernichtung bestätigt, Angelegenheit aus dem Sinn. So einfach ist es aber leider in Bezug auf die Etablierung von Datenschutz und Informationssicherheit in einem Unternehmen nicht.

Wechselspiel in der Zusammenarbeit

Im konkreten Fall ist es uns nicht gelungen, eine Zusammenarbeit aufzubauen, in der unsere Handlungsempfehlungen aufgenommen und umgesetzt wurden. Man erwartete von uns fertige Konzepte und wir schafften es nicht zu vermitteln, dass wir Konzepte nur individuell auf die jeweiligen Besonderheiten des Unternehmens zuschneiden können (und wollen). Damit das gelingt, ist aber ein „Input“ seitens des Unternehmens erforderlich.

Richtlinie "BYOD"

Beispiel: wir sollen eine Richtlinie für den Einsatz privater Smartphones, Laptops etc. für dienstliche Zwecke („Bring Your Own Device - BYOD") erarbeiten, weil es dazu im Unternehmen keine Regelung gibt. Jeder Mitarbeiter tut diesbezüglich was er für richtig hält, mit den entsprechenden Folgen für die Informationssicherheit. Um eine sinnvolle Richtlinie zu entwerfen, muss es allerdings in einem Unternehmen vorher eine Reihe grundsätzlicher Entscheidungen geben. Soll der Einsatz von privaten Geräten für dienstliche Zwecke erlaubt oder verboten sein? Falls erlaubt, soll die Erlaubnis für alle denkbaren Geräte gelten und für alle Mitarbeiter oder nur für einzelne? Diese Richtungsentscheidungen muss die Unternehmensleitung getroffen haben, bevor wir ernsthaft an die Arbeit gehen können. Selbstverständlich umfasst unsere Beratungstätigkeit auch die Vorbereitung der Richtungsentscheidung. Wir zeigen die Vorteile einer bestimmten Regelung auf, die Nachteile, die rechtlichen Risiken und die technischen Voraussetzungen. Auf der Grundlage dieser Beratung kann dann die Unternehmensleitung eine Entscheidung treffen und wir können wiederum auf der Grundlage dieser Entscheidung daran gehen die Details einer Richtlinie auszuarbeiten.

Weichenstellung durch das Unternehmen

Die entscheidenden Weichen können aber nicht wir stellen, das muss das Unternehmen selber tun und anderenfalls können wir höchstens einen allgemeinen Mustertext für eine „Bring Your Own Device“ - Richtlinie liefern. Einen allgemeinen Mustertext findet man aber jederzeit im Netz, dafür braucht man keinen externen betrieblichen Datenschutzbeauftragten. Wird die Grundsatzentscheidung nicht getroffen, weil im Unternehmen niemand die Führungsverantwortung wahrnimmt und notfalls auch unpopuläre Entscheidungen trifft, zieht sich diese Fragestellung als offener Punkt über Monate oder gar Jahre.

Vorgaben für externe Dienstleister

Ein weiteres Beispiel umfasste ein Ersuchen an uns, die Zusammenarbeit mit einem Dienstleister vertraglich abzusichern, der in dem Unternehmen die unternehmenseigene IT warten sollte. Hier galt es vorrangig, den Zugriff des Dienstleisters auf die Patientendaten zu verhindern, die das Unternehmen im Auftrag von Arztpraxen verarbeitete. Ein Projektleiter, dessen technischer Sachverstand sich in überschaubaren Grenzen hielt, war als unser verantwortlicher Ansprechpartner benannt. Eine direkte Kommunikation mit den internen IT-Verantwortlichen wurde uns mit der Begründung vorenthalten, diese hätten das Vorhaben geprüft und es gebe keine Möglichkeit, den Zugriff des Dienstleisters auf die Patientendaten durch technische Maßnahmen zu verhindern. Jede Frage zu den technischen Details der Unternehmens-IT und dem geplanten Vorhaben gerieten auf diese Weise zu einem umständlichen Lauf zwischen dem Projektleiter und uns, der unsere Fragen weiterreichte und die Antworten aufbereitete. Gleichzeitig wurden unsere Empfehlungen durch ihn fast durchweg mit dem Prädikat „nicht praktikabel“ versehen und letztlich so eine datenschutzkonforme Regelung der Angelegenheit verhindert. Die Geschäftsführung, die von uns schließlich informiert und um Entscheidung gebeten wurde, lavierte unentschlossen hin und her, und war offenbar nicht gewillt, den Konflikt mit dem Projektleiter zu suchen und auszutragen.

Klare Vorgaben sind nötig

Nötig wäre eine Entscheidung gewesen, ob man unsere Vorschläge umsetzen wollte, und die entsprechende Anweisung an die verantwortlichen Mitarbeiter, für die Einleitung der nötigen Schritte zu sorgen. Sofern Patientendaten (oder andere als sensibel einzustufende Daten) betroffen sind, kann so eine unentschlossene Haltung verheerende Folgen für das Unternehmen haben, von dem Haftungsrisiko für den Geschäftsführer selber einmal ganz abgesehen.

Datenschutz ist Führungsaufgabe!

Derartige Beispiele gibt es viele und immer läuft die Lösung solcher Konflikte darauf hinaus, dass Führungsverantwortung erkannt und wahrgenommen werden muss. Leider ist gerade die Wahrnehmung der zentralen Bedeutung des Themas Datenschutz und Informationssicherheit für ein Unternehmen unter Geschäftsführern und Vorständen noch immer nicht sehr ausgeprägt. Zu oft wird es als ein Thema betrachtet, „mit dem sich mal die IT beschäftigen soll“ und mit dem die Unternehmensleitung möglichst wenig behelligt werden möchte. Diese Sichtweise verkennt aber auch die Chancen, die eine entschlossene Herangehensweise an die Themen Datenschutz und Informationssicherheit birgt.

Nach der „Milestone decision“ des Europäischen Gerichtshofs (EuGH) am letzten Dienstag, mit dem das höchste europäische Gericht das Safe Harbor Abkommen für ungültig erklärte, wird nun intensiv über die Folgen diskutiert.

Ein kurzer Blick zurück - was bedeutet Safe Harbor?

Das Safe Harbor Abkommen ist eine Entscheidung der Europäischen Kommission aus dem Jahr 2000, aufgrund derer es Unternehmen ermöglicht werden sollte, personenbezogene Daten in Übereinstimmung mit der europäischen Datenschutzrichtlinie aus einem Land der Europäischen Union in die USA zu übermitteln. Grundlage für den Beitritt zum Safe Harbor war eine Selbstverpflichtung der (amerikanischen) Unternehmen, europäische Datenschutzstandards einzuhalten. Allerdings haben Datenschützer das Prinzip des Sicheren Hafens schon lange angezweifelt: Die deutschen Datenschutzbehörden erklärten schon im Jahr 2010, dass sich die Übertragung von Daten nicht allein auf eine Safe-Harbor-Zertifizierung von US-Unternehmen stützen dürfe. Nach der Veröffentlichung der Snowden-Dokumente und dem Wissen um die Überwachung durch amerikanische Geheimdienste, wurde diese Kritik noch verstärkt. Insofern war all denjenigen, die mit der Materie vertraut sind, schon länger klar, dass der Sichere Hafen eben kein Sicherer Hafen ist.

Was genau ist geschehen?

Geklagt hatte der österreichische Jurist Max Schrems, der schon seit Jahren in rechtlichen Auseinandersetzungen mit Facebook über Datenschutz streitet. Er wollte nicht akzeptieren, dass Facebook persönliche Daten von Facebook Nutzern auf Servern in den USA speichert, wo sie, so Schrems, nur unzureichend vor dem Zugriff durch die amerikanischen Geheimdienste geschützt sind. Deshalb sollten die Richter des EuGH klären, ob sich die europäische Facebook-Niederlassung mit Sitz in Dublin an die EU-Grundrechtecharta zum Schutz personenbezogener Daten halten muss und möglicherweise europäisches Datenschutzrecht verletzt.
Der EuGH stellt in seiner Entscheidung fest, dass die Safe-Harbour-Vereinbarung nicht den Anforderungen von Art. 7 und 8 der EU-Grundrechtecharta genügt, die die Grundrechte auf Datenschutz und Privatsphäre garantieren. Faktisch unbegrenzte Zugriffsmöglichkeiten von US-Geheimdiensten auf Daten europäischer Herkunft verletzten den Kernbereich der Grundrechte, so der EuGH, und die sehr weit gehenden Befugnisse der amerikanischen Geheimdienste widersprächen den grundlegenden Anforderungen an ein rechtsstaatliches Verfahren. Letzteres, weil betroffene EU-Bürger keinen Anspruch darauf haben, in den USA Auskunft über die Datenverarbeitung staatlicher Stellen zu erlangen und die entsprechenden Zugriffe und die anschließende Datenverarbeitung gerichtlich überprüfen zu lassen. Aus diesen Gründen sei das Safe Harbour Abkommen ungültig. Damit ist gleichzeitig eine rechtliche Erlaubnis für Unternehmen entfallen, personenbezogene Daten in die USA zu übermitteln.

Die Entscheidung ist im Volltext auf Deutsch hier abrufbar: http://www.cr-online.de/blog/wp-content/uploads/2015/10/C_0362_2014-DE-ARR.pdf

Die Folgen der Entscheidung

Facebook und die alle anderen Unternehmen, die auf der Grundlage des Safe Harbor Abkommens personenbezogene Daten in die USA übermittelt haben, können sich jetzt nicht länger auf die Annahme stützen, dass die Verarbeitung personenbezogener Daten, die aus der EU übermittelt wurden, generell der Vermutung unterliegen, sie würden in Übereinstimmung mit dem EU-Datenschutzrecht verarbeitet (Art. 25 der EU-Datenschutzrichtlinie von 1995). Die Unternehmen benötigen für Datentransfers in die USA nunmehr grundsätzlich die Genehmigung durch die zuständigen Datenschutzaufsichtsbehörden der EU-Mitgliedstaaten. Die Datenschutzbehörden dürfen diese Genehmigung allerdings nur erteilen, wenn der Empfänger der Daten in den USA ein angemessenes Datenschutzniveau gewährleistet – die Angemessenheit ist bezogen die jeweiligen personenbezogenen Daten, die übermittelt werden sollen. Die irische Datenschutzbehörde muss die Beschwerde von Max Schrems prüfen und darf sich nicht länger auf bestehende Verträge berufen, die den Datenaustausch bisher erlaubten.

Der Nachweis, dass amerikanische Unternehmen auch ohne Safe Harbor ein angemessenes Datenschutzniveau einhalten, dürfte generell schwer zu führen sein, und in der Praxis langwierige Verfahren nach sich ziehen. Davon abgesehen fällt die Vorstellung grundsätzlich schwer, dass Facebook, Microsoft, Google und all die anderen ihre Verfahren mal eben so auf eine andere Rechtsgrundlage umstellen können, die die Angemessenheit des Datenschutzes garantieren soll, wie z.B. die sog. „Standardvertragsklauseln. (Eine gute Übersicht über alternative rechtliche Lösungen findet sich in diesem Artikel von heise.de: http://www.heise.de/newsticker/meldung/Nach-dem-EuGH-Urteil-Alternativen-zu-Safe-Harbor-2837700.html).

Auch andere Lösungen bieten keinen Schutz

Die alternativen rechtlichen Lösungen für die Zulässigkeit von Datentransfers in die USA können im Grunde ebenso wenig wie der nicht mehr „Sichere Hafen“ vor staatlicher Überwachung schützen und es sprechen gute Gründe dafür, dass die vom EuGH in der Sache Schrems formulierten Anforderungen auch auf sie anwendbar sind. Davon geht auch die Art. 29 Arbeitsgruppe aus, die in einer Pressemitteilung schreibt: "The Working party is aware that this decision, taken in the context of the negotiation on the European Regulation and the discussions on the Safe Harbour between the European Commission and the US authorities, has major consequences on all stakeholders”.

Vorerst offen

Die Situation ist also vorerst offen. Die Vertreter der Datenschutzbehörden beraten national und europaweit, wie es weitergehen kann. Dank des europäischen Gerichtshofes besteht nun die Chance, die in den USA und auch in Teilen Europas weitverbreitete „Datenschutz-ist-uns-völlig-egal-Haltung“ zumindest ein wenig aufzubrechen und wir hoffen, dass Heribert Prantl recht behält und das Urteil „die globale Datenwirtschaft“ tatsächlich verändern wird.

Als Referentin beim Hamburger Sportbund führt Frau Dr. Bettina Kähler regelmäßig Workshops zum Thema Datenschutz im Sportverein durch. Wir möchten Ihnen mit unserer neuen Serie die wichtigsten und immer wiederkehrenden Themen aus der Praxis kurz und kompakt darstellen. Gleichzeitig lösen wir damit ein von Frau Kähler lange gegebenes Versprechen ein, ein kleines „Nachschlagewerk“ zum Thema Datenschutz im Sportverein zu schaffen.

Anmeldeformular

Der erste Schritt in den Sportverein ist – neben der Auswahl der Sportart ... - das Anmeldeformular. Erster Schritt, erste datenschutzrechtliche Frage: Welche Daten dürfen darauf erhoben werden?

Ein Verein darf nach § 28 Abs. 1 BDSG nur die Daten von den Mitgliedern erheben, die für die Organisation der Vereinsmitgliedschaft und für die Betreuung und Verwaltung der Mitglieder erforderlich sind. Dazu zählen alle Daten, ohne die ein geregeltes Wirken des Vereins nicht möglich wäre. Im Einzelnen sind dies Name und Anschrift des Mitglieds sowie das Geburtsdatum, bei Lastschriftverfahren die Bankverbindung sowie die Zugehörigkeit des Mitglieds zu einer bestimmten Abteilung. Nicht erforderlich und daher nach Ansicht der Aufsichtsbehörden nur mit freiwilliger Einwilligung zu erheben sind Telefonnummer und E-Mail Adresse. Gleiches gilt für die Frage nach früheren Vereinsmitgliedschaften eines Beitrittswilligen.

Transparenz

Aus Gründen der Transparenz sollten die Beitrittswilligen bei der Anmeldung verschiedene Informationen zum Datenschutz erhalten. Dies sind:

- Die für die Datenverarbeitung verantwortliche Stelle (d.h. der jeweilige Verein),
- die Zweckbestimmung der Datenverarbeitung (d.h. die Betreuung der Mitgliedschaft und Vernetzung innerhalb des Vereins),
- die möglichen Datenempfänger (z.B. der Dachverband, andere Vereine im Fall von Wettkämpfen),
- eine Information, wann welche Daten gelöscht werden.

Praktisch lässt sich dies am besten so lösen, dass der Verein als Anhang zum Anmeldeformular eine entsprechende datenschutzrechtliche Belehrung aufnimmt, aus der sich die Einzelheiten der oben genannten Datenverarbeitung ergeben.

Einwilligung

Für bestimmte Daten, etwa Gesundheitsdaten, die nach § 3 Abs. 9 BDSG zu den besonders sensiblen Daten gehören, oder Daten, deren Erhebung nicht für die Durchführung der Vereinsmitgliedschaft und der Verwaltung der Mitglieder erforderlich sind, muss eine Einwilligung der Mitglieder eingeholt werden (§ 4a Abs. 1 BDSG).

Die datenschutzrechtliche Einwilligung muss bestimmte Voraussetzungen erfüllen. Sie muss schriftlich erteilt werden und der Betroffene muss zuvor ausreichend klar darüber informiert worden sein, welche Daten für welchen Zweck vom Verein erhoben, dann verarbeitet und genutzt werden sollen. Wenn eine Weitergabe der Daten beabsichtigt oder wegen Verbandszugehörigkeit ggf. erforderlich ist, fällt auch diese unter die Informationspflicht. Die Einwilligung kann auch, wie heute in der Vereinspraxis üblich, auf dem Anmeldeformular eingeholt werden. Allerdings muss sie in geeigneter Weisen deutlich gemacht werden, etwa durch drucktechnische Hervorhebung der Erklärung oder abgesetzt vom sonstigen Text.

Was ist mit Kindern und Jugendlichen als Mitglieder?

Auch Kinder und Jugendliche können eine datenschutzrechtliche Einwilligung verbindlich erteilen, soweit sie in der Lage sind, die Konsequenzen der Speicherung und Verwendung ihrer Daten zu übersehen. Eine Altersgrenze, an wann die Einsichtsfähigkeit angenommen wird gibt es nicht. Bestehen beim Verein Zweifel an der Einsichtsfähigkeit, sollte eine Erhebung und Verwendung der personenbezogenen Daten erst nach vorheriger Einwilligung der Eltern erfolgen.

Fazit

Bei Beachtung dieser wichtigen Hinweise, ausreichender Transparenz und Information der Mitglieder, steht einer Erhebung von Mitgliederdaten bei der Anmeldung durch den Verein nichts mehr im Wege. An welchen Stellen bei der weiteren Verwendung trotzdem Vorsicht geboten ist und wann der Sportverein einen Datenschutzbeauftragten benötigt, erfahren Sie im nächsten Teil.

Wer diese Termine für Vorträge zum IT-Sicherheitsgesetz nicht wahrnehmen kann oder uns auf der it sa verpasst, hat hier noch die Gelegenheit, den Vortrag von Anna Cardillo zu hören:

Am 13. Oktober in Düsseldorf und am

24. November in Hannover

bei der BCS Bartels Computer Systeme GmbH.

Veranstalter ist die Infinigate Deutschland GmbH, die von verschiedenen Kooperationspartnern und von uns unterstützt wird.

Darüberhinaus wird es noch mindestens einen Webcast zum Thema geben, sowie einen zur geplanten EU-Datenschutzgrundverordnung. Die Termine werden wir dann hier ebenfalls rechtzeitig ankündigen.

Große Ereignisse werfen wieder mal ihre Schatten voraus: In zwei Wochen reisen wir nach Nürnberg zur it sa, wo wir in diesem Jahr „Untermieter“ am Stand der Infinigate Deutschland GmbH sind. Für die Dauer der Messe nennen wir dort eine von Infinigate sogenannte Workstation unser eigen. Kommen Sie uns besuchen! Sie finden uns in Halle 12.0 am Stand 12.0-403. Unsere Geschäftsführerin Anna Cardillo wird die vollen drei Tage vor Ort sein; sie wird verstärkt von mir und Jutta Löwe (6. und 7.10.) sowie von Ilona Pawlowska (7. und 8.10.). Und am 6.10. gibt es als Teil der Infinigate Roadshow einen Vortrag von Anna Cardillo und mir zum neuen IT-Sicherheitsgesetz (13:00 Uhr im Konferenzraum Venedig). Wir freuen uns auf Sie.

Das kann teuer werden. Die noch immer weit verbreitete Praxis, bei der Übergabe von personenbezogenen Daten an externe Dienstleister entweder keinen Vertrag über Auftragsdatenverarbeitung zu schließen oder aber einen, der nur ein Papiertiger ist, wurde jetzt vom Bayerischen Landesamt für Datenschutzaufsicht mit einem Bußgeld in fünfstelliger Höhe sanktioniert. Wie das Bayerische Landesamt in einer Pressemitteilung darstellt, hatte das betroffene Unternehmen in seinen schriftlichen Aufträgen mit mehreren Auftragsdatenverarbeitern keine konkreten technisch-organisatorischen Maßnahmen zum Schutz der personenbezogenen Daten festgelegt. Die Aufträge enthielten statt einer detaillierten Regelung nur einige wenige pauschale Aussagen und Wiederholungen des Gesetzestextes. Die Bayern haben damit den vom Bundesdatenschutzgesetz vorgesehenen Bußgeldrahmen für solche Verstöße gründlich ausgeschöpft – er liegt bei maximal 50.000 EUR (§ 43 Abs. 2b i.V.m. Abs. 3 BDSG).

Schlecht geregelte Auftragsdatenverarbeitung ist Alltag

Fehlende oder mangelhaft geregelte Verträge über Auftragsdatenverarbeitung erleben wir in unserer Beratungstätigkeit auch so gut wie täglich. Eine ebenfalls immer noch kursierende Variante ist das Kopieren eines Mustervertrages aus dem Netz, in den dann einfach nur die Kontaktdaten von Auftraggeber und Auftragnehmer eingefügt werden. Übersehen wird dabei, dass eine sorgfältige Regelung der Pflichten eines Auftragnehmers von Datenverarbeitung letztlich beide Parteien vor den Folgen schlampiger oder gar missbräuchlicher Datenverarbeitung schützt. Wer noch einmal etwas ausführlicher zu den grundsätzlichen Aspekten einer Auftragsdatenverarbeitung lesen möchte, kann dies hier in den alten Blogartikeln "Anforderungen an eine Auftragsdatenverarbeitung" und "Auftragsdatenverarbeitung?" tun.

Das Szenario

Ein Mitglied des Vorstands eines mittelständischen Unternehmens, dessen wirtschaftliche Grundlage auch Bankdaten und –informationen sind, ließ durch eine externe IT-Firma verschiedene Server, Back-Ups und Laptops von Mitarbeitern abtransportieren. Die eigenen, internen IT-Mitarbeiter waren ebenso wenig informiert wie die hauseigene Rechtsabteilung und die zwei anderen Vorstandskollegen. Ein aufmerksamer Mitarbeiter meldete die fehlenden Gegenstände an die Rechtsabteilung und ein paar Tage nach der klandestinen Aktion wurde zur Begründung vorgetragen: Es gebe den Verdacht der Begehung von Straftaten durch Mitarbeiter, verdächtig sei im Grunde jeder und man habe so handeln müssen um das Unternehmen zu schützen. Die mitgenommenen Gegenstände lagerten im Büro eines Notars und sollten von der externen Firma zwecks Beweissicherung untersucht werden. Mehrere leitende IT-Mitarbeiter erhielten die Kündigung.

Ein Fall für die Meldepflicht nach § 42a BDSG?

Der (externe) Datenschutzbeauftragte wurde von der Rechtsabteilung gebeten, eine Einschätzung abzugeben, ob dieser Vorfall nach § 42a BDSG an den zuständigen Landesdatenschutzbeauftragten und die Betroffenen gemeldet werden muss. Der Wortlaut des § 42a BDSG lautet auszugsweise wie folgt:

"Stellt eine nichtöffentliche Stelle ... fest, dass bei ihr gespeicherte ... personenbezogene Daten zu Bank- oder Kreditkartenkonten unrechtmäßig übermittelt oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sind, und drohen schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen, hat sie dies nach den Sätzen 2 bis 5 unverzüglich der zuständigen Aufsichtsbehörde sowie den Betroffenen mitzuteilen. Die Benachrichtigung des Betroffenen muss unverzüglich erfolgen, sobald angemessene Maßnahmen zur Sicherung der Daten ergriffen worden oder nicht unverzüglich erfolgt sind und die Strafverfolgung nicht mehr gefährdet wird. Die Benachrichtigung der Betroffenen muss eine Darlegung der Art der unrechtmäßigen Kenntniserlangung und Empfehlungen für Maßnahmen zur Minderung möglicher nachteiliger Folgen enthalten. Die Benachrichtigung der zuständigen Aufsichtsbehörde muss zusätzlich eine Darlegung möglicher nachteiliger Folgen der unrechtmäßigen Kenntniserlangung und der von der Stelle daraufhin ergriffenen Maßnahmen enthalten. ...“.

Voraussetzungen erfüllt, aber ...

Einige Tatbestandsmerkmale des § 42a BDSG sind unproblematisch erfüllt: Das Unternehmen ist eine nichtöffentliche Stelle, die Daten sind bei ihr gespeichert und auf den „entführten“ Servern etc. befinden sich personenbezogene Daten zu Bank- oder Kreditkartenkonten. Ebenso unproblematisch kann davon ausgegangen werden, dass der IT-Dienstleister bei der Untersuchung zu Zwecken der Beweissicherung von den Daten Kenntnis erhalten hat – eine Aktion, die unmittelbar nach der Mitnahme der Hardware durchgeführt wurde, während der Vorfall intern erst nach und nach bekannt wurde. Die Anforderungen an die „Kenntniserlangung“ werden von der Literatur zum Thema Meldepflicht nach § 42a eher niedrig angesetzt; die Kenntniserlangung durch einen Dritten muss nicht positiv festgestellt werden. Es ist bereits ausreichend, wenn anhand von tatsächlichen Anhaltspunkten mit einer gewissen Wahrscheinlichkeit davon ausgegangen werden kann, dass eine Kenntniserlangung stattgefunden hat.

Unrechtmäßig

Schwieriger wird es mit der nächsten Voraussetzung. Die personenbezogenen Daten müssen unrechtmäßig übermittelt oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sein.
Der Datenschutzbeauftragte stolperte in diesem Zusammenhang über das Wort „unrechtmäßig“. Immerhin war das handelnde Vorstandsmitglied innerhalb des Vorstandes für IT zuständig, es war alleinvertretungsberechtigt und wollte mit der Aktion Schaden vom Unternehmen abwenden. Letzteres ist nach § 93 Aktiengesetz (AktG) sogar die Pflicht von Vorständen. Kommen sie der nicht nach, sind sie unter Umständen gegenüber der Gesellschaft schadensersatzpflichtig (§ 93 Abs. 2 AktG).

Ohne Rechtsgrund

Unrechtmäßig im Sinne von § 42a BDSG ist die Übermittlung oder sonstige Kenntniserlangung der dort genannten Daten dann, wenn sie ohne Rechtsgrund erfolgt. Dies kann einmal der Fall sein, wenn die Betroffenen nicht zugestimmt haben, obwohl sie mangels einer gesetzlichen Erlaubnis hätten zustimmen müssen. Werden – wie in diesem Fall – personenbezogene Daten in die Hände eines Dienstleisters gegeben, muss dieses als Auftragsdatenverarbeitung geregelt werden. Eine kurze Recherche des Datenschutzbeauftragten ergab, dass es im Zusammenhang mit § 42a BDSG kaum thematisiert ist, ob auch das Fehlen eines Vertrages über Auftragsdatenverarbeitung eine Unrechtmäßigkeit in diesem Sinne begründet, mit der Folge, dass eine Meldepflicht gegeben ist. Hinzu kam noch eine weiterer Stein des Anstoßes:

Mitarbeiter als „Dritte“

Auch Mitarbeiter können „Dritte“ im Sinne des § 42a Satz 1 BDSG sein. Dies wird angenommen, wenn Mitarbeiter beispielsweise Daten unbefugt an private eigene E-Mail-Adressen versenden oder auf externen Medien speichern und diese mitnehmen. Mit solchem Vorgehen verarbeitet/erhält der Mitarbeiter die Daten nicht im Rahmen seiner arbeitsvertraglich festgelegten Befugnisse, sondern als Privatperson. Als private Person ist er nicht mehr Teil des Unternehmens, der verantwortlichen Stelle, sondern steht außerhalb und wird dadurch zum externen „Dritten“ gemäß der Definition in § 3 Abs. 8 Satz 2 BDSG. Mit der Speicherung durch ihn sind die Daten, die er gespeichert und/oder mitgenommen hat, damit einem Dritten unrechtmäßig zur Kenntnis gelangt. Es spielt dabei keine Rolle, ob das Handeln des Mitarbeiters dem Arbeitgeber zuzurechnen ist oder nicht. Die Informationspflicht des Arbeitgebers wird allein dadurch ausgelöst, dass die Daten, die beim Arbeitgeber gespeichert waren, nunmehr einer Person zur Kenntnis gelangt sind, die aus Rechtsgründen vom Mitarbeiter zum Dritten verwandelt wurde.

Verwandlung aus Rechtsgründen

Auch diese Verwandlung aus Rechtsgründen könnte im Fall der Bank- und Kreditkartendaten eine Rolle spielen, so die Überlegung des Datenschutzbeauftragten. Auch ein Vorstand ist in der Regel ein Mitarbeiter des Unternehmens und wenn die eigenmächtige Entfernung der Server, Back-Ups und Laptops durch keine rechtliche Erlaubnis legitimiert wäre, könnte das betroffene Vorstandmitglied zum „Dritten“ geworden sein. Wiederum mit der Folge einer Meldepflicht.

Fehlende Verträge

Währenddessen wurden dem Datenschutzbeauftragten erst ein Vertrag über Auftragsdatenverarbeitung mit dem externen Dienstleister vorgelegt und dann ein zweiter. Beide Versionen entsprachen nach Einschätzung des Datenschutzbeauftragten nicht den Anforderungen des § 11 BDSG. Eine Leistungsbeschreibung wurde ebenfalls nachträglich erstellt, in der aber nur sehr allgemein der Auftrag zur „Beweissicherung auf allen in Frage kommenden IT-Systemen“ festgeschrieben war. Der Auftrag war inzwischen erweitert worden auf die Untersuchung nicht nur der entfernten Systeme, sondern auch der laufenden. Abgesehen davon war der Datenschutzbeauftragte auch nicht sicher, ob der Auftrag zu einer Art forensischen Untersuchung eines Netzwerkes und einer kompletten IT-Infrastruktur überhaupt eine Auftragsdatenverarbeitung darstellt und nicht eine Funktionsübertragung – die wiederum eine Rechtsgrundlage benötigt hätte, die aber hier nicht ersichtlich war.

Eine Anfrage bei der Datenschutzaufsichtsbehörde ...

Der Datenschutzbeauftragte entschloss sich zu einer Anfrage beim Hamburgischen Datenschutzbeauftragten, ob dieser seine Einschätzung teilte, dass aufgrund der fehlenden vertraglichen Regelung zur Auftragsdatenverarbeitung eine Meldepflicht auf der Grundlage von § 42a BDSG gegeben sei. Dieses Vorgehen bietet sich für Datenschutzbeauftragte in solchen Fällen an, die weitreichende Folgen nach sich ziehen können. Die beim Hamburgischen Datenschutzbeauftragten zuständige Sachbearbeiterin sagte nach der – anonymen - Schilderung des Vorfalls, sie würde durchaus von einer Meldepflicht ausgehen, sofern kein Vertrag über Auftragsdatenverarbeitung vorliege. Ob eine Funktionsübertragung anzunehmen sei, vermöge sie ohne nähere Kenntnisse der Sachlage nicht zu sagen. Würde nachträglich ein Vertag über Auftragsdatenverarbeitung vorgelegt, der den gesetzlichen Anforderungen entspreche, könne man möglicherweise von einer „Heilung“ und damit vom Wegfall der Meldepflicht ausgehen.

... und eine Zwickmühle

Das Gespräch mit der Sachbearbeiterin bei Hamburgischen Datenschutzbeauftragten förderte eine Zwickmühle zu Tage, in der sich Unternehmen in diesen Fällen ganz schnell wiederfinden. Die Meldung nach § 42a BDSG hat „unverzüglich“ zu erfolgen. In der Regel ist eine Datenpanne, die meldepflichtig sein kann, aber möglicherweise mit höchstheiklen Folgen für das betroffene Unternehmen verbunden – wirtschaftliche Einbußen, Rufschädigung und dergleichen. Daher ist es ratsam, eine Meldung nur dann zu machen, wenn tatsächlich die Pflicht besteht. Man muss darüber hinaus ja auch nicht Betroffene beunruhigen, wenn dies nicht zwingend nötig ist. Sofern die Bejahung der Meldepflicht allerdings von einer Reihe von zumindest diskussionsbedürftigen (Rechts-) fragen abhängt, bietet es sich an, den jeweiligen Landesdatenschutzbeauftragten um eine Auskunft zu bitten, ob aus seiner Sicht eine Pflicht gegeben ist. Eine solche Einschätzung will man jedenfalls in Hamburg verbindlich aber nur geben, sofern der Name des Unternehmens genannt wird. Verbunden wurde diese Bedingung mit dem Hinweis, komme die Meldung zu spät oder erfolge sie gar nicht und werde dann auf anderem Wege bekannt, könne dies zu einem Bußgeld führen.

Wer ist eigentlich meldepflichtig?

Eine weitere Zwickmühle tat sich in dem Fall bei der weiteren Frage auf, wer denn eigentlich die Meldung zu machen hätte. Grundsätzlich ist dies der Vorstand oder die Geschäftsführung des betroffenen Unternehmens. Dieser kann (und sollte) sich vom Datenschutzbeauftragten unterstützen lassen. Was aber tritt ein, wenn von drei Vorständen einer den eventuell meldepflichtigen Vorfall ausgelöst hat und nur seine beiden Kollegen und der Datenschutzbeauftragte der Meinung sind, dass er falsch gehandelt hat? Von der grundsätzlichen Problematik einmal abgesehen, richtet sich dies dann nach der Frage der Alleinvertretungsbefugnis, die ein Vorstandsmitglied hat oder nicht. Ist ein einzelner Vorstand auch ohne die anderen berechtigt, Entscheidungen zu treffen, kann er die Meldung bei der Datenschutzaufsicht abgegeben. Ansonsten muss er je nach Regelung der Vertretungsbefugnisse das Einvernehmen mit einem weiteren Vorstand oder allen herstellen.

Wieder mal werfen große Ereignisse ihre Schatten voraus: Am 25. Juni feiert die Com-Sys GmbH ihr 25jähriges Jubliäum und den Umzug an den neuen Standort in Neu-Isenburg. Meine Geschäftsführer Kollegin Anna Cardillo nimmt als Key-Note Speakerin teil; sie spricht zum Thema "Fahrlässigkeit kann teuer werden - Cyber-Kriminalität auf dem Vormarsch" und wird in ihrem Vortrag u.a. die Bedeutung des neuen IT-Sicherheitsgesetzes für die Praxis vorstellen. Das volle, interessante Programm finden Sie hier: http://bit.ly/1f6SXkU. Wir freuen uns dabei zu sein und auf einen interessanten Tag!