Sind Anwältinnen die besseren Datenschutzbeauftragten?

In der Diskussion um Datenschutzbeauftragte taucht neben der Frage der Pflicht zu ihrer Bestellung in regelmäßigen Abständen auch immer wieder eine weitere auf: muss ein Datenschutzbeauftragter eine Juristin sein?

Es gibt keine gesetzliche Anforderung für die Qualifikation einer Person als Datenschutzbeauftragte - oder auch "nur" als Datenschutzberater. Nirgends ist gesetzlich festgelegt, was jemand können muss, der oder die in diesem Beruf arbeiten will. Es ist nicht festgeschrieben, dass man für diese Tätigkeit ein Jura Studium absolviert haben muss. Anforderungen an das Berufsbild wurden im Laufe der Jahre von den Berufsverbänden, der Rechtsprechung und den Aufsichtsbehörden definiert.

Was Anwältinnen können, können nur Anwältinnen

Fest steht, dass im Datenschutz nichts geht ohne Verständnis für Recht und technische Zusammenhänge. Aber wo ist der Schwerpunkt, täglich, im Unternehmensalltag? Ich bin befangen. Trotzdem meine ich, der Einsatz einer Anwältin als Datenschutzbeauftragte ist das Beste, was ein Unternehmen tun kann. Was Anwältinnen können, können eben nur Anwältinnen - Gesetze verstehen, auslegen, anwenden, Compliance Risiken einschätzen und das in allen Feinheiten. Inzwischen müssen wir ja nicht nur die DSGVO beherrschen, sondern auch die ganze verwandte Materie: Dora, Data Act, AI-Act ... um nur ein paar aus der jüngsten Zeit zu nennen.

Gesetze

Bei aller Notwendigkeit auch technische Fragen zu verstehen und anwenden zu können, kommt es am Ende immer auf die Beurteilung an, ob eine bestimmte Situation gegen ein Gesetz verstößt oder nicht und welche möglichen Folgen sich ein Unternehmen damit ggfls. einhandelt. Sollte es zu einem Rechtsstreit mit einer Aufsichtsbehörde kommen, hat ein Unternehmen den nötigen Sachverstand gleich im Haus, sofern der Datenschutzbeauftragte auch Anwalt ist.

Wir stehen Ihnen mit Rat und Tat zur Seite, auch wenn Sie keinen Datenschutzbeauftragten brauchen. Sprechen Sie uns gerne an und vereinbaren Sie ein unverbindliches erstes Gespräch.

Adventskalender

Ich habe für 2025 drei Vorsätze gefasst, mehr schreiben, mehr Vorträge halten und meine Webseiten schöner machen (lassen). Letzteres ist noch nicht gelungen, daher fange ich mit dem ersten an. Mehr schreiben. Offen gesagt, kann ich der Weihnachtszeit nicht viel abgewinnen. Zu dunkel, zu hektisch. Aber ich mag Adventskalender. Ab dem 1. Dezember gibt es deshalb hier im Blog einen Adventskalender Datenschutz mit täglich einem Beitrag zu einem Thema aus dem Datenschutz und der Informationssicherheit. Von schlicht bis speziell. Und mit KI generierten Bilder.

Wenn Sie in 2025 Rat und Tat in Sachen Datenschutz und Informationssicherheit brauchen, melden Sie sich gerne schon jetzt bei uns.

(Dank für die Generierung der Bilder geht an Oliver Welling von KInews24.)

SORMAS-X Datenschutz: Einzelne Themen (2)

Wie in den vorangegangenen Beiträgen bereits erwähnt, besteht die Datenschutz-Dokumentation aus über 50 einzelnen Dokumenten. Nachfolgend werden die wichtigsten kurz vorgestellt. Nach der Datenschutz-Folgenabschätzung geht es hier um Datenfelder und Zwecke in der SORMAS-X Software.

Datenfelder und Zwecke

Ich erinnere den Anfang und den Grund nicht mehr genau, aber jedenfalls erhielten wir von der Projektleitung eine Excel-Tabelle mit allen Datenfeldern, die in der SORMAS-X Software enthalten waren. Zu diesem Zeitpunkt waren es rund 500 Datenfelder, später wuchs die Zahl auf fast 800.

Fast 800 Datenfelder

Die Tabelle war unübersichtlich und mit Anmerkungen versehen, deren Sinn sich uns in Teilen nicht erschloss. Wir bauten die Tabelle so um, dass wir sie nutzen konnten. Wir fügten Rechtsgrundlagen, Zwecke und später auch Löschfristen ein. Die Idee war, auf diese Weise eine umfassende Übersicht und Überprüfbarkeit der Zulässigkeit der Datenerhebung mittels der SORMAS-X Software zu erhalten.

Ich habe diese Datenfeldertabelle mehr als einmal verflucht. So sehr ich von dem Sinn und Nutzen überzeugt war, so schwierig war die praktische Handhabung.

Dadurch, dass nicht nur das Datenschutzteam damit arbeitete, sondern auch die Projektleitung und die Programmierer Rückmeldung und Informationen einfügen mussten, war die Tabelle bald ein Fall von „viele Köche können schnell den Brei verderben“. Wir hätten sie in eine Datenbank überführen müssen, aber das war aus verschiedenen Gründen nicht möglich. Als weitere Herausforderung erwies sich die Tatsache, dass mitunter nicht sicher war, ob das, was in der Tabelle abgebildet, auch wirklich in der Software vorhanden war. Der Prozess des Hinzufügens und der Herausnahme von Feldern lief ja parallel weiter.

Die Datenfeldertabelle diente als Grundlage für die Diskussion mit den Landesdatenschutzbeauftragten über die Zulässigkeit des Betriebs der Software aus datenschutzrechtlicher Sicht. Und sie diente als interne Kontrolle der Rechtmäßigkeit der Datenverarbeitung (Art. 5 DSGVO).

Rechtsgrundlagen bis zum letzten Halbsatz zitiert

„Wir fügten Rechtsgrundlagen ein“, schreibt sich jetzt im Nachhinein einfach hin, aber es war eine wahre Sisyphusarbeit. Auf Wunsch der Landesdatenschutzbeauftragte zitierten wir nicht nur die Vorschriften des IfSG bis in den letzten Halbsatz, sondern auch die Landesdatenschutzgesetze und die Gesetze über den öffentlichen Gesundheitsdienst (so vorhanden). Rückblickend betrachtet meine ich, dieses Vorgehen war im Prinzip gut, hätte aber besser koordiniert umgesetzt und technisch abgebildet werden müssen.

Es sind noch Fragen offen

Ebenfalls rückblickend stelle ich fest, dass uns einige Fragen der Zulässigkeit der Datenerhebung von der Agenda gefallen sind. So haben wir beispielsweise die Frage der Zulässigkeit des Erfragens von Symptomen von Fallpersonen und Kontaktpersonen über ein sog. online Symptomtagebuch überhaupt nicht thematisiert. (Auch die Aufsichtsbehörden fragten nicht danach). Wie problematisch das sein konnte, zeigte eine Beanstandung des bayerischen Landesdatenschutzbeauftragten gegen Ende des Projekts. Die Einzelheiten werden noch Gegenstand eines weiteren Blogartikels.

Stand jetzt muss auch dieses Dokument grundlegend überarbeitet werden, um für den Datenschutz in der SORMAS-X Software eine belastbare Grundlage zu sein. Dies schon deshalb, weil sich derzeit am Übergang von der Pandemie zur endemischen Phase viele rechtliche Grundlagen erneut verändert werden.

Was können wir für Sie tun?

Von der Datenschutzangst und der Datenschutzausrede

Das Ende der Umsetzungsfrist für die Datenschutz-Grundverordnung (DSGVO) Ende Mai 2018 sorgte in vielen Unternehmen für eine Art Torschlusspanik in Sachen Datenschutz und IT-Sicherheit. Die allgemeine Verunsicherung legte sich nur langsam: Das Stichwort Datenschutz-Grundverordnung scheint bei vielen Verantwortlichen in Unternehmen auch Jahre später noch immer einen diffusen Eindruck von Defiziten und Gefahr zu bewirken.

Auf der Grundlage der geltenden Datenschutzgesetze können mehr als 99% aller Prozesse in Unternehmen und Behörden geregelt werden.

Für Panik besteht jedoch kein Anlass. Entgegen anderslautenden Gerüchten stehen nicht alle Verantwortlichen, die die Anforderungen der DSGVO in ihren Unternehmen immer noch nicht umgesetzt haben, mit einem Bein im Gefängnis. Ebenso wenig geht der Mittelstand an hohen Bußgeldern für Datenschutzverstöße zugrunde – oder an den Kosten für die externen Datenschutzbeauftragten, um die Bußgelder zu vermeiden.

Nicht-Entscheidungen werden in Unternehmen und Behören regelmäßig mit Datenschutz gerechtfertigt.

Andererseits sollte sich niemand zurücklehnen und die Themen Datenschutz-Grundverordnung und IT-Sicherheit als Themen betrachten, die wie so viele andere Hypes schon wieder vergehen werden. Nicht-Handeln ist keine Option, Datenschutz als Ausrede auch nicht.

Vergessen Sie für einen Moment die Gesetze. Die Absicherung Ihrer IT-Infrastruktur bedeutet nicht weniger als die Grundlage für Ihren wirtschaftlichen Erfolg.

Als langjährig erfahrene Datenschutzberater und externe Datenschutzbeauftragte leiten wir Sie durch Vorschriften und Prozesse und unterstützen Sie beim Aufbau einer guten Datenschutzorganisation und eines IT-Sicherheitsmanagementsystems. Sofern gewünscht, können Sie uns auch als externe IT-Sicherheitsbeauftragte bestellen.

Es geht um Entscheidungen. Wir helfen Ihnen dabei.

Kontaktieren Sie uns gerne persönlich.

Unterliegen Bewegungen der Datenschutz-Grundverordnung?

Die Datenschutz-Grundverordnung (DSGVO) regelt den Umgang mit personenbezogenen Daten und definiert eigentlich ziemlich genau, wer ihr unterliegt. Trotzdem ist die Frage, ob Bewegungen der DSGVO unterliegen nicht so einfach zu beantworten.

Für wen gilt die DSGVO?

Generell kann man sagen, dass keine Privatpersonen derDSGVO unterliegen. Das bedeutet, wenn Sie einen Geburtstag oder Ihre Hochzeit planen, dann müssen Sie sich nicht an die DSGVO halten.

Das liegt daran, dass dies eine familiäre bzw. persönliche Tätigkeit ist.
DSGVO Artikel 2 Absatz 2c

Wenn Sie aber zum Beispiel in einem Unternehmen, einer Behörde, einem Verein oder ähnlichem arbeiten, dann unterliegt die Datenverarbeitung der DSGVO. Sie sind dann ein so genannter "Verantwortlicher".
Verantwortliche sind natürliche oder juristische Personen, Behörden, Einrichtungen oder andere Stellen, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheiden.
DSGVO Artikel 4 Absatz 7

Und was ist mit Bewegungen?

Bewegungen sind keine juristische Person. Bewegungen sind auch kein Unternehmen, keine Behörden oder Vereine. Jedoch gehören einer Bewegung ja natürliche Personen an. Natürliche Personen sind Menschen so wie Sie und ich.

Laut DSGVO können Verantwortliche allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheiden.
DSGVO Artikel 4 Absatz 7

Man kann also jede einzelne Person innerhalb einer Bewegung als Verantwortlichen sehen. Die Bewegung ist dann ein Zusammenschluss von mehreren Verantwortlichen, die personenbezogene Daten verarbeiten.

Ist das Organisieren von z.B. Demonstrationen ein persönlicher oder familiärer Zweck?

Nein, das ist es nicht. Denn Demonstrationen sind öffentliche Veranstaltungen.

Einige Bewegungen organisieren mehrfach, bzw. wöchentlich Demonstrationen und/oder Veranstaltungen. Damit kann man nicht mehr von einem persönlichen oder familiären Zweck sprechen.

Wer haftet? Und wie?

Im Falle der Bewegung ist es so, dass alle Personen, die an der Erhebung, Verarbeitung, Speicherung usw. der personenbezogenen Daten beteiligt sind, auch Verantwortliche im Sinne der DSGVO sind. Damit sind sie auch für die Datenverarbeitung haftbar.

Gehaftet wird mit dem privaten Vermögen. Auch hier gelten die Summen, die die DSGVO vorsieht. Das können theoretisch bis zu 20.000.000 Euro bzw. bis zu 4% des jährlichen Umsatzes sein. Die Summen bemessen sich an der Art und der Schwere des Verstoßes.
DSGVO Artikel 83

Aber keine Angst. Diese Bußgelder müssen angemessen und verhältnismäßig sein. Es ist relativ unwahrscheinlich, dass Ihnen als Privatperson mit mittlerem Einkommen ein Bußgeld von 1.000.000 Euro und mehr aufgedrückt wird.
DSGVO Artikel 83

Dennoch können diese Bußgelder weh tun.

Wirklich alle? Was, wenn die anderen Mist bauen?

Da Sie ein Zusammenschluss von mehreren Verantwortlichen sind, haften Sie erst einmal alle gleichermaßen.

Sie können allerdings Verträge aufsetzen, in denen Sie die anderen Verantwortlichen zur Einhaltung der in der DSGVO festgelegten Spielregeln verpflichten. Dann können Sie sich der Haftung entziehen, wenn sich an diese, im Vertrag festgelegten, Regeln gehalten wird.

Haben Sie Fragen zu diesem Thema? Kontaktieren Sie uns gerne.

Datenschutz-Grundverordnung?

Als vor knapp 1,5 Jahren die Umsetzung der europäischen Datenschutz-Grundverordnung (DSGVO) endete, war der Frust groß. In vielen Unternehmen herrschte die fixe Idee, dass personenbezogene Daten nur noch mit der Erlaubnis der betroffenen Person verarbeitet werden dürften.

Grundlegende Informationen zur DSGVO

Hier wollen wir nun ein paar grundlegende Informationen über die DSGVO geben.

Die DSGVO regelt den Umgang mit sogenannten personenbezogenen Daten. Personenbezogene Daten sind grob gesagt alle Informationen über eine Person, mit Hilfe derer oder mit Hinzunahme weiterer Informationen, Rückschlüsse auf die Identität einer Person gezogenen werden können. Das sind zum Beispiel Name, Geburtsdatum, Adresse, Kontaktdaten, aber auch Versichertennummern und Besitzverhältnisse.

Besondere Kategorien

Hinzu kommen die sogenannten besonderen Kategorien personenbezogener Daten. Diese gibt es, weil die betroffene Person hier einen besonders großen Schaden nimmt, wenn die Informationen öffentlich werden. Diese müssen daher auch besonders geschützt werden. Das sind: Daten über die ethnische oder "rassische" Herkunft, Religionszugehörigkeit, politische Meinungen, Gewerkschaftszugehörigkeit, Gesundheitsdaten, genetische Daten und biometrische Daten. Außerdem Daten zum Sexualleben oder der sexuellen Orientierung

Für wen die Datenschutz-Grundverordnung gilt

Die Datenschutz-Grundverordnung gilt für alle, die nicht privat personenbezogene Daten verarbeiten. Also zum Beispiel Behörden, Vereine, Unternehmen usw.

Wenn Sie jetzt also Ihre Hochzeit oder Ihren nächsten Geburtstag feiern wollen, dann müssen Sie keine Angst haben, dass die DSGVO greift.

Spielregeln

Die DSGVO gibt quasi die Spielregeln im Umgang mit personenbezogenen Daten vor. Darin stehen die Gründe für eine erlaubte Datenverarbeitung. Sie glauben gar nicht wie viele Gesetze eine Datenverarbeitung erlauben!

Ein sehr erschreckendes und aktuelles Beispiel hierfür ist die Idee von Bundesgesundheitsminister Spahn. Dieser möchte die Gesundheitsdaten, von gesetzlich Versicherten der Forschung zur Verfügung zu stellen. So ein Gesetz würde dann die Datenverarbeitung erlauben. Auch wenn so eine Verarbeitung aus Sicht des Datenschutzes natürlich ein absoluter Albtraum ist!

Was gibt es sonst noch für Spielregeln?

Die DSGVO gibt ein paar weitere Gründe für die Verarbeitung von personenbezogenen Daten vor.

Dazu gehört unter anderem ein berechtigtes Interesse des Verantwortlichen. Also der Behörde, des Unternehmens, des Vereins usw., die bzw. der die Daten verarbeitet … aber auch die Einwilligung der betroffenen Person gehört zu diesen Gründen, die die DSGVO gibt.

Wenn also keine Erlaubnis aus dem Gesetz da ist, dann haben Sie immer noch die Möglichkeit eine Einwilligung der betroffenen Person einzuholen. Ein Beispiel hierfür sind Newsletter.

Außerdem regelt die DSGVO unter anderem noch die technischen und organisatorischen Anforderungen an eine sichere Datenverarbeitung. Das sind die sogenannten "technisch-organisatorischen-Sicherheitsmaßnahmen", kurz TOM. Sie schreiben unter anderem vor, dass personenbezogene Daten wiederhergestellt werden können müssen, in bestimmten Fällen aber beispielsweise auch eine Verschlüsselung. In der DSGVO heißt es außerdem, das diese Sicherheitsmaßnahmen implementiert werden müssen "... um ein dem Risiko angemessenes Schutzniveau zu gewährleisten". Das bedeutet also, dass je höher das Risiko ist, das von einem möglichen Missbrauch der personenbezogenen Daten für die betroffenen Personen ausgeht, desto besser müssen diese geschützt werden (Art. 32 Abs. 1 DSGVO).

Bußgelder?

Eine Neuerung der DSGVO ist die Höhe der Bußgelder. Auch der Schadensersatz an die betroffene Person ist neu. Dieser bemisst sich aus materiellem und immateriellem Schaden.

Mittlerweile erlaubt die DSGVO Bußgelder von bis zu 20.000.000 EUR bzw. 4% des weltweiten Umsatzes eines Unternehmens aus dem vorausgegangenen Geschäftsjahr.

Vor der DSGVO betrugen die Bußgelder max. 50.000 EUR. Solche Bußgelder können mittlerweile also richtig weh tun.

Wir beraten Sie zu allen Fragen der DSGVO und verwandten Themen. Nehmen Sie hier Kontakt auf.

Auskunftsersuchen in Unternehmen

Wechseln wir die Perspektive.

Ihnen kommt nun - auf welchem Weg auch immer - das Auskunftsersuchen einer betroffenen Person in ihr Unternehmen geflattert.

Was nun?

Generell gilt: bei Fragen beziehungsweise Unsicherheiten wenden Sie sich jederzeit an Ihre Datenschutzbeauftragte bzw. Ihren Datenschutzbeauftragten.

Es gibt keine unsinnigen oder peinlichen Fragen!

Ihre Datenschutzbeauftragte (oder Datenschutzbeauftragter) steht außerdem unter Schweigepflicht. Sollten Sie es nicht wollen landet also auch keine Ihrer Fragen bei Ihren Vorgesetzten.

Zu allererst sollten Sie überprüfen, ob Sie die anfragende Person kennen. Haben Sie Daten über die Person gespeichert?

Anschließend überprüfen Sie, ob die Identität der Person belegt ist.

Stellen Sie sich vor, Hans Meyer gibt sich als sein Kollege Max Mustermann aus, und Sie schicken sämtliche Informationen über Herrn Mustermann an Herrn Meyer, dann haben Sie zweifelsfrei ein Problem.

Wenn Sie nun von der Identität, der um Auskunft ersuchenden Person überzeugt sind, geht es an das Zusammenstellen der Informationen.

Wer trägt die Kosten?

Diese müssen laut DSGVO kostenlos zur Verfügung gestellt werden. Allerdings besteht die Möglichkeit, dass die Kosten die betroffene Person trägt, wenn sie zum wiederholten Male um Auskunft ersucht.

Welche Fristen sind einzuhalten?

Sie als Firma haben vier Wochen Zeit auf das Ersuchen zu reagieren. Wenn Sie diese Frist nicht einhalten können, dann können Sie die Frist um bis zu zwei Monate verlängern.

Es ist allerdings darauf zu achten, dass Sie dies begründen müssen. Auch gegenüber der Person, die um Auskunft ersucht!

So eine Begründung könnte zum Beispiel sein, dass Sie erst die Identität klären müssen oder der Datensatz sehr groß ist.

Berichtigung von Daten

Die betroffene Person hat außerdem das Recht von Ihnen zu verlangen, dass ihre personenbezogenen Daten korrigiert werden.

Das geht natürlich nur, wenn die Informationen falsch sind.

Darüberhinaus hat jede Person, deren personenbezogene Daten verarbeitet werden, das Recht auf Löschung dieser Daten.

Sie kann also verlangen, dass die sie betreffenden personenbezogenen Daten unverzüglich gelöscht werden (Art. 17 DSGVO).

Dazu sind Sie dann auch verpflichtet, allerdings gibt es auch Gründe, nach denen Sie die Daten nicht einfach so löschen dürfen. Das ist zum Beispiel in der Medizin der Fall oder bei Bewerbungen.

Sie müssen als Unternehmen oder Ärztin bzw. Arzt beispielsweise entweder belegen, dass Sie keinen Behandlungsfehler begangen haben oder dass Sie nicht diskriminiert haben. Zum Beispiel, indem Sie eine Person auf Grund ihres Geschlechts oder ihres Namens nicht eingestellt haben. Für diesen Beleg brauchen Sie ggfls. die Daten der Person.

Sie leiten also bitte nicht einfach die Email von Hans Mustermann mit der Bitte um Löschung sämtlicher personenbezogener Daten an die IT Abteilung weiter. Sie löschen dann auch bitte nicht einfach als IT Abteilung sämtliche personenbezogenen Daten über Herrn Mustermann.

In so einem Fall wenden Sie sich bitte an Ihre Vorgesetzten und die Datenschutzbeauftragte. Dann entscheiden Sie gemeinsam das weitere Vorgehen und überprüfen, ob eine Löschung rechtens ist.

Datenschutz-Verletzungen (2)

In meiner Beratungspraxis häufen sich die nach Art. 33 und 34 DSGVO meldepflichtigen Datenschutzverletzungen. Die wichtigsten werde ich in loser Reihenfolge hier beschreiben. Auf dass sie noch dazu gut sein mögen, dass jemand die richtigen Schlüsse zieht, bevor etwas schief geht.

Alle Namen und Abläufe wurden soweit verändert, dass die wahren Beteiligten nicht erkennbar sind.

Was passiert ist

Der Geschäftsführer (H) eines Hamburger Unternehmens mit mehreren Standorten in Europa schickte eine E-Mail an eine Kollegin in der Geschäftsführung, die in Amsterdam ihren Sitz hat. Im Anhang befand sich eine Gesprächsnotiz als Worddokument über ein Gespräch mit dem Leiter eines weiteren Standortes, hier als X bezeichnet. Der Inhalt war für X als auch für mehrere andere Kollegen an seinem Standort unvorteilhaft, um es vorsichtig auszudrücken. Wenige Stunden später landete der Vermerk auf einem E-Mail-Verteiler, der für alle Mitarbeiter an allen Standorten des Unternehmens einsehbar war. Absender: die E-Mail-Adresse des Geschäftsführers aus Hamburg. Über einhundert Mitarbeitende hatten Einsicht in ein Gesprächsprotokoll, dessen Inhalt zwischen zwei Personen bleiben sollte.

E-Mail Postfach kompromittiert

Ein Anruf bei H ergab, dass er den ganzen Tag in einer Konferenz verbracht hatte, ohne dass er auch nur Mails abgerufen, geschweige denn geschrieben hatte. Die weitere Untersuchung brachte ans Licht, dass das E-Mail-Postfach des H schon seit rund drei Monaten von einem unbekannten Angreifer übernommen worden war. Offenbar hatte dieser stillschweigend und unbemerkt mitgelesen und erst jetzt „zugeschlagen“. Es war aufgrund der weiteren Umstände davon auszugehen, dass es sich bei dem Angreifer um einen Insider handeln musste - einen ehemaligen Mitarbeiter oder vielleicht sogar um jemanden, der noch im Unternehmen tätig war.

Die Folgen

Für alle Kontaktpersonen und Kommunikationspartner des H bestand ein erhebliches Risiko, dass der Angreifer sein über Wochen gesammeltes Wissen aus den Mails gegen die jeweiligen Personen verwenden würde, immer mit dem Ziel letztlich H zu schaden. Aufgrund der wochenlangen Kontrolle des Angreifers über das Postfach war im Grunde alles möglich, von Erpressung über Rufschädigung bis Betrug. Alle Personen mussten daher über den Vorfall informiert werden. Dies geschah mit einem Rundbrief, der per Mail verschickt wurde, versehen mit dem Hinweis, dass Mails von dem alten, bekannten Account ab sofort nicht mehr H zuzurechnen sind. Die Anzahl lag in einem niedrigen vierstelligen Bereich.

Der Hamburger Standort meldete den Vorfall an die Datenschutzaufsichtsbehörde in den Niederlanden, da das Unternehmen dort seinen Hauptsitz hat (Art. 56 DSGVO), und informierte Hamburg parallel.

Weitere Maßnahmen

Als Sofortmaßnahme froren die IT-Verantwortlichen das Postfach des H ein, und setzten für ihn eine neue Mailadresse auf. Sie änderten sämtliche Administrator Passwörter zum Zugang in geschäftskritische Systeme und übergaben die geänderten Passwörter einem Treuhänder. Bis zur endgültigen Aufklärung des Vorfalls mussten die Administratoren die Passwörter bei dem Treuhänder anfordern und nach Gebrauch wurden sie wiederum geändert. Alle Nutzerpasswörter für die E-Mail-Konten wurden geändert, was für die IT-Verantwortlichen ein riesiger Aufwand war.

Geprüft wurde ebenso, ob X, der in dem unternehmesweit öffentlich gewordenen Vermerk so schlecht dastand, aufgrund der Datenschutzverletzung einen Schadensersatzanspruch nach Art. 82 DSGVO würde geltend machen können.

Was der Vorfall lehrt

Geschäftsführungen und Vorstände müssen sich auf einen technisch sicheren Weg für den internen Austausch und die Speicherung vertraulicher Informationen verständigen. E-Mail ist dafür ungeeignet.

So lästig es ist: Passwörter müssen sorgfältig verwahrt und regelmäßig geändert werden, was im Fall des H offenbar nicht geschehen ist. „They didn’t brute force his password“, wie der in England ansässige IT-Leiter so schön sagte – das-Mail-Account wurde ohne technisch gestützten Angriff auf das Passwort übernommen.

Trennung von geschäftlichen und privaten Inhalten: es ist immer noch weitverbreitet, geschäftliche und private Angelegenheiten in einem (geschäftlichen) E-Mail-Postfach abzuwickeln. Wird dies dann übernommen, hat der Angreifer quasi das ganze Leben des Betroffenen in der Hand und nicht nur das halbe - was ja schon schlimm genug ist, wenn es passiert.

Niemals dasselbe Passwort für verschiedene Accounts verwenden. Begründung, siehe oben: Wenn ein Zugang kompromittiert ist, kann der Angreifer wenigstens nicht auch noch das Online Banking oder den Account fürs Online Dating missbrauchen. Aus denselben Gründen niemals Passwörter per E-Mail-verschicken!

Sicherstellen, dass die Anzahl derer, die über Administratorpasswörter verfügen, begrenzt bleibt. Einführung des Vier-Augen-Prinzips für den Zugang auf unternehmenskritische Systeme.
Sicherstellen, dass Passwörter sofort entzogen werden, wenn jemand das Unternehmen verlässt.

Im nächsten Artikel:

Kommunikation bei Sicherheitsvorfällen

Wenn Sie Rat möchten, wie Ihre interne Kommunikation vertraulich gehalten werden kann, nehmen Sie gerne Kontakt auf. Wir finden mit Ihnen eine Lösung.

Speicherung von Adressdaten

Zwischen 1997 und 2001 war ich eine Legislaturperiode lang Abgeordnete der Hamburgischen Bürgerschaft.

Jetzt, 20 Jahre später, bekam ich vor ein paar Wochen ein Schreiben der Bürgerschaftskanzlei. Die Bürgerschaftskanzlei ist die Rathausverwaltung - so könnte man sie informell nennen - die Servicestelle für die Abgeordneten und Öffentlichkeit. Von dort schrieb mir jetzt der Leiter des Stabsbereichs Protokoll, Projekte und Veranstaltungen:

„Auch von Ihnen haben wir Daten gespeichert. Allerdings dürfen und möchten wir diese Speicherung nur aufrechterhalten, wenn Sie ihr zustimmen. Gleichzeitig ist es unser Wunsch, die vorgehaltenen Daten aktuell zu halten“.

Einwilligung in die Speicherung von Kontaktdaten

Man würde sich freuen, wenn ich das beiliegende Datenblatt durchsehen, ggfls. korrigieren und zurückschicken würde. Falls ich das nicht innerhalb von 6 Wochen tun würde, würde man davon ausgehen, dass ich die Löschung meiner Daten wünsche. Falls ich die Einwilligung unterschreiben würde, würde man meine Daten u.a. für die Einladung zu Veranstaltungen oder für die Zusendung von Unterlagen verwenden.

Ich fand dies in zweierlei Hinsicht einen bemerkenswerten Vorgang. Zum einen deshalb, weil ich auf diesem Wege erfuhr, dass mein Name und meine Anschrift nach all der Zeit immer noch in der Bürgerschaftskanzlei gespeichert sind. (Laut des Datenblatts waren es tatsächlich nur Namen und Anschrift, nicht mal das Geburtsdatum, eine E-Mail-Adresse oder eine Angabe zu meiner damaligen Funktion).

Art. 6 Abs. 1 lit f) DSGVO, berechtigtes Interesse?

Der Gedanke, der sich gleich daran anschloss, war: hätten sie das nicht über Art. 6 Abs. 1 lit f) DSGVO ohne Einwilligung lösen können?

Nach Art. 6 Abs. 1 lit f) findet in solchen Fällen eine Interessenabwägung statt. Abgewogen wird das Interesse des Verantwortlichen – hier der Bürgerschaftskanzlei – meine Daten weiterhin zu nutzen, gegen mein möglicherweise entgegenstehendes „schutzwürdiges Interesse“. Das berechtigte Interesse der Bürgerschaftskanzlei liegt auf der Hand. Aber gibt es ein schutzwürdiges Interesse meinerseits, dass mein Name und meine Anschrift dort nicht weiter gespeichert und genutzt werden?

Ich befürworte eine überlegte und, soweit vertretbar, eine großzügige Interpretation dieser Vorschrift, um die Aufwände durch Einwilligungserklärungen möglichst klein zu halten.

So war ich denn auch geneigt zu sagen,

„meine schutzwürdigen Interessen sind nicht beeinträchtigt, wenn mein Name und meine Anschrift dort noch stehen und gelegentlich genutzt werden. Das sind ohnehin öffentliche Daten“.

Andererseits - nach 20 Jahren noch?

Da dieses Schreiben sicherlich nicht nur an ehemalige Abgeordnete, sondern auch noch an eine Reihe anderer betroffener Personen ging (Presseleute, Mitarbeiterinnen und Mitarbeiter von Abgeordneten …), von denen mehr Informationen als über mich gespeichert sind, hätte ich die Frage der weiteren Speicherung im Ergebnis aus rein praktischen Erwägungen allerdings genauso gelöst wie es die Bürgerschaftskanzlei getan hat. Eine Differenzierung zwischen „diese Speicherung und Nutzung ist auf der Grundlage von Art. 6 Abs. 1 lit f) DSGVO wegen der Art der Daten und der Kürze der Zeit weiter gerechtfertigt“ und „diese braucht eine Einwilligung“ wäre vermutlich nicht praktikabel gewesen.

Die Alternative wäre nur gewesen, aus den alten Datenbeständen diejenigen Datensätze zu löschen, die zu alt waren um ohne Einwilligung weiter gespeichert zu bleiben, und den Rest auf der Grundlage des Art. 6 Abs. 1 lit f) DSGVO zu behalten. Für die hätte sich dann aber zwangsläufig auch irgendwann die Frage nach der Löschfrist bzw. des Einholens einer Einwilligung gestellt.

DSGVO hat Aufräumen in Gang gesetzt

Es zeigt sich an diesem Beispiel einmal mehr, dass die DSGVO an vielen Stellen ein Nachdenken über die Erlaubnis zum Speichern und Nutzen von Datenbeständen in Gang gesetzt hat, ein Aufräumen und Prüfen. Auch nach der alten Rechtslage hätte sich die Bürgerschaftskanzlei Gedanken über die Erlaubnis der Speicherung meiner Daten machen müssen, und zwar nicht erst nach 20 Jahren. Dass sie es jetzt tut, ist ein Verdienst der DSGVO. Richtig und durchdacht angewendet, können die so viel gescholtenen Vorschriften tatsächlich eine größere Transparenz und Kontrolle über unsere Daten bewirken.

Datenschutz in Europa - darauf sollten Sie sich vorbereiten

Brüssel/Hamburg, 23.04.2014.

Die EU kommt ihrer neuen Datenschutzgrundverordnung langsam, aber sicher, näher. Dr. Bettina Kähler von der PrivCom Datenschutz GmbH rät Unternehmern, sich schon jetzt über die Grundzüge der geplanten Veränderungen zu informieren, um mittelfristig die eigenen Prozesse in Bezug auf den Umgang mit personenbezogenen Daten sinnvoll planen zu können.
Am 12. März wurde ein ca. 120 Seiten langer Entwurf der Datenschutzgrundverordnung (DSGVO) vom EU-Parlament verabschiedet, der jetzt dem Ministerrat und der Europäischen Kommission zur weiteren Diskussion vorliegt. Im Anschluss an die Europawahl am 25. Mai werden die Gespräche hierzu aufgenommen.

Die 1995 verfasste Rechtsgrundlage zum Datenschutz innerhalb Europas wird also in absehbarer Zeit durch das längst überfällige Reformpaket ersetzt. Schon jetzt zeichnet sich ein großer Konsens innerhalb der EU ab: Bei der Abstimmung im März gab es unter den insgesamt 653 Abgeordneten mit 621 Ja-Stimmen bereits eine deutliche Mehrheit. Auch wenn sich nationale Interessen im weiteren Prozess bemerkbar machen werden (Großbritannien etwa möchte eine grundsätzlich liberale Datenschutzpolitik durchsetzen, um die ansässigen Unternehmen vor Kosten zu schützen; Deutschland hingegen will den öffentlichen Sektor stärker vom Datenschutz ausnehmen), so steht der grundsätzliche Kurs doch inzwischen fest.

Das sind die geplanten Änderungen

Durch die Neuregelung soll einerseits der Schutz von personenbezogenen Daten verbessert und zum anderen auch der Datenverkehr innerhalb der EU erleichtert werden. Für Unternehmen sind zwei Punkte zentral: Der rechtmäßige Umgang mit dem Thema Datenschutz und die Strafe bei Zuwiderhandlung.

Die Sanktionen bei Verstößen gegen das Datenschutzgesetz werden sich in jedem Fall verschärfen. Das bisherige Bußgeld von maximal 300.000 Euro steigt im aktuellen Entwurf auf eine Höchststrafe von 100 Millionen Euro bzw. 5 % des Jahresumsatzes eines Unternehmens. Diese Strafen sind durchaus mit denen zu vergleichen, die bei Kartellrechtsverstößen anfallen. Unternehmen werden dadurch gezwungen, regelmäßige Compliance-Audits durchzuführen, um dem Risiko hoher Strafen entsprechend entgegen zu treten.
Auch werden die Aufsichtsbehörden enorm gestärkt: Wenn Unternehmen in Zukunft dazu verpflichtet werden, im Vorfeld einer geplanten Datenverarbeitung eine Risikoanalyse und die datenrechtliche Folgenabschätzung zu erstellen, kann die zuständige Aufsichtsbehörde diese Datenverarbeitung bei Gesetzesverstößen sogar bereits im Vorfeld untersagen.

Außerdem werden sich einige grundsätzliche Verfahrensbedingungen ändern: War bislang für ein Unternehmen noch die Zahl derjenigen Mitarbeiter (nämlich mehr als 9), die mit personenbezogenen Daten in Berührung kommen, entscheidend für die Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten, so wird in Zukunft die Anzahl der personenbezogenen Datensätze hierüber entscheiden. Der Entwurf sieht vor, dass ein Datenschutzbeauftragter bestellt werden muss, wenn in einem Jahr mindestens 5.000 Datensätze verarbeitet werden. Auch verantwortliche Stellen, die besonders sensible Datenverarbeitung betreiben, müssen einen Datenschutzbeauftragten bestellen. Abzuwarten bleibt dabei noch, ob IP-Adressen nicht mehr als personenbezogene Daten eingestuft werden. Die Diskussion hierum ist nach wie vor groß.

Die DSGVO sieht ebenfalls vor, dass interne Datenschutzrichtlinien und geeignete Maßnahmen von Unternehmen entwickelt (und diese auch alle 2 Jahre erneuert) werden müssen.

Schließlich ist ein Verbandsklagerecht geplant. Durch dieses könnten sich Daten verarbeitende Unternehmen vermehrt gerichtlichen Auseinandersetzungen gegenüber sehen.

Kontakt:
PrivCom Datenschutz GmbH / Dr. Bettina Kähler / Telefon: 040 48409010 / E-Mail: info@privcom.de