Datenschutz: Geheimnis ist unser Geschäft

Jede Verschlüsselung verwandelt einen ‚Klartext‘ in einen ‚Geheimtext‘ (‚Chiffrat‘), den der Empfänger nur lesen kann, wenn er den passenden ‚Schlüssel‘ zur Entzifferung besitzt. Diese Verfahren sind älter als die ‚große Digitalisierung der Welt‘. Eine besonders einfache Form der ‚Codierung‘ wäre bspw. das Morsealphabet. Wer die akustischen Zeichen mit Hilfe eines erlernten Schlüssels nicht in sinnvolle Buchstabenfolgen zurückverwandeln kann, der hört eben nur ein ‚Biep-biiiep-biep‘.

Im digitalen Bereich verläuft die Verschlüsselung heute weitgehend automatisiert. Wer eine E-Mail schreibt, dem fällt – wenn er unseren IT-Service in Anspruch nahm – gar nicht mehr auf, dass seine Nachricht vor dem Absenden ‚verschlüsselt‘ wurde. Zum Entschlüsseln wird dann wiederum der passende Schlüssel benötigt, der einen Geheimtext in einen Klartext zurückverwandelt. Die meisten Hackversuche konzentrieren sich auf den Raub solcher ‚Schlüssel‘ (z.B. auf Passwörter).

Die Sorglosigkeit mancher Nutzer hier ist wirklich atemberaubend. Zum Einsatz kommen tausendfach noch immer Zeichenfolgen wie ‚1234‘, ‚Ich‘ oder ‚Passwort‘. Vom ‚Schlüsselraub‘ oder von der ‚Entschlüsselung‘ muss die ‚De-Chiffrierung‘ oder das ‚Entziffern‘ getrennt werden. Hier kommen ‚Kryptoanalytiker‘ zum Einsatz, die aus Regelmäßigkeiten in den Zeichenfolgen auf das verwendete Verfahren rückschließen können. Historisch wäre das ‚Knacken‘ der deutschen Enigma-Maschine mit Hilfe der Turing-Bombe das berühmteste Beispiel.

Unser IT-Service setzt bei seinen Seminaren und Schulungen beim Datenschutz daher vor allem auf die ‚Awareness‘ der Nutzer. Und wir installieren Verschlüsselungssysteme, die allen Daten ein Höchstmaß an Sicherheit gewähren. Der Vorteil für unsere Kunden: Ihr ‚Datentresor‘ steht nicht länger jedem Hans und Franz offen.

Auftragsdatenverarbeitung (ADV) mit Hürden

In Deutschland regeln der § 11 des Bundesdatenschutzgesetzes und der § 80 im Zehnten Buch des Sozialgesetzes die ‚Datenverarbeitung im Auftrag‘ bzw. die ‚Auftragsdatenverarbeitung (ADV)‘. Sie geben den Rahmen vor für das ‚Outsourcing‘ von Datenverarbeitungsaufträgen an externe Dritte. Seit dem Jahr 2009 verweist das das Bundesdatenschutzgesetz auf eine Zehn-Punkte-Regel, die unter anderem Fragen der Löschung, der Meldepflicht und der Kontrollrechte gerichtsfest klärt.

Jeder Auftraggeber hat sich – abhängig von der Art der erhobenen Daten – zunächst davon zu überzeugen, dass der Auftragnehmer für die Aufgabe überhaupt zertifiziert ist, und dass er darüber hinaus ein Sicherheitskonzept eingeführt hat, und dieses umsetzt. Diese Auskunft erfolgt in der Regel schriftlich. Erst nach dieser Bestätigung darf der Auftraggeber personenbezogene Daten übermitteln.

Haftungsrechtlich steht bei Verstößen nicht primär der Dienstleister in der Verantwortung, sondern unverändert der Auftraggeber.

www.datenschutzbeauftragter-info.de/fachbeitraege/auftragsdatenverarbeitung-mustervertrag-%C2%A711-bdsg/

BCR: Heute schon von gestern

Im Juni 2003 tauchte der Begriff der ‚Binding Corporate Rules‘ (BCR) erstmals in der EU-Datenschutzgruppe auf. Die Überlegungen richteten sich darauf, ein flexibles Instrument für den Datentransfer zu schaffen, welches zugleich die Vorgaben des Datenschutzgesetzes erfüllen sollte. Das Resultat war ein Verfahren, dass es Unternehmen gestattet, den Datenschutz beim Transfer in Drittstaaten individuell zu gestalten, sofern die angewandten ‚Binding Corporate Rules‘ einige Mindeststandards erfüllen.

Hierzu zählten u.a.:

1. Aufbau und Umsetzung eines Sicherheitskonzeptes 2. Datenschutzschulung von Mitarbeitern 3. Verpflichtende Teilnahme an einem Audit-Programm 4. Leistung von Schadenersatz bei Verstößen 5. Geregeltes Beschwerdeverfahren 6. Zusicherung von Transparenz 7. Festlegung des Geltungsbereichs.

Der Vorteil der Einführung von ‚Corporate Binding Rules‘ schien die Möglichkeit einer individuellen Ausgestaltung der Datenübermittlung in ‚unsichere Drittstaaten‘. Der Nachteil war vor allem der hohe Organisationsaufwand und das langwierige Prüfungsverfahren. Da aber der Datenschutz in der Folge selbst in den ‚sicheren Drittstaaten‘ nicht gewährleistet wurde (s. bspw. Facebook-Skandal und Cambridge Analytica), ersetzt jetzt eine europäische Datenschutzgrundverordnung (DSGVO) die BCR. Die neue Verordnung sieht ungeahnt hohe Strafen für Unternehmen vor, welche den Datenschutz nicht verantwortlich handhaben.

Die DSGVO tritt in Kraft

Am 25. Mai 2018 tritt die Europäische Datenschutzgrundverordnung (DSGVO) europaweit in Kraft. Ein Gesetz, an das Datenschützer große Hoffnungen knüpfen, das aber auch für Webseitenbetreiber und Unternehmen viele Probleme birgt. In Hinsicht zum Beispiel auf die Auftragsdatenverarbeitung, auf die neuen Privacy-Bestimmungen und auf den dokumentierten Umgang mit User-Daten. Bei Fehlverhalten drohen hohe Geldstrafen. Der Grundgedanke des Gesetzes ist es, dass alle Nutzer jetzt ein ‚Recht auf Vergessenwerden‘ erhalten. Wir bei b.r.m. in Bremen sind der kompetente Ansprechpartner für alle Fragen rings um die DSGVO. Wenden Sie sich einfach an uns, wenn Sie Fragen zum neuen europäischen Datenschutzgesetz haben. 

Datenschutzgrundverordnung (DSVGO)

Am Wochenende trat die neue Europäische Datenschutzgrundverordnung (DSGVO) nun in Kraft. Eine Fülle von Mails mit geänderten ‚Allgemeinen Geschäftsbedingungen‘ (AGB) aller möglichen Anbieter füllte die Postfächer, viele nutzten auch durch schieres Nichtstun die Gelegenheit, endlich unverlangt zugestellte Newsletter stumm zu schalten. Ansonsten aber ist bisher noch nicht viel passiert. Alles Wissenswerte zur DSGVO finden sie hier …

DSGVO hoch zwei …

Europas Verleger geben nicht auf. Sie sind unverdrossen der Überzeugung, dass sich keineswegs ihre Verlage an das Internet anpassen müssen, sondern dass dies Internet ihren Verlagen zu gehorchen hat. Nachdem sie in Deutschland bereits mit dem ‚Leistungsschutzrecht‘ auf die Nase fielen, soll nun ein ‚europäisches Leistungsschutzrecht‘ folgen. Der gescheiterte Stunt soll damit in einem größeren Rahmen wiederholt werden.

Die DSGVO wäre ein Sommerlüftchen gegen den Sturm, der dann absehbar losbrechen wird. Die geplante ‚EU-Urheberrechtsreform‘ umfasst 24 Artikel. Unter anderem sollen künftig alle ‚User‘ für Inhalte von Verlagen zahlen, die solche Inhalte „nutzen“ (Art. 11). Unter Umständen genügt da schon die Verlinkung auf eine Verlags-Quelle, und schon stünde erwartungsfroh der Mann mit dem Klingelbeutel vor der Tür. Wie dieses Inkasso angesichts der schieren Masse im Netz funktionieren soll, ist dabei natürlich die große Frage.

Der größte Knackpunkt besteht aber darin, dass ‚urheberrechtlich geschütztes Material‘ nicht länger ‚ohne Erlaubnis‘ im Netz überhaupt verfügbar sein soll (Art. 13). Jeder Plattformbetreiber soll bei Verstößen gegen diese Regel haften. Die Folge wird sein, dass Facebook, Google usw. gewaltige ‚Upload-Filter‘ installieren, die verhindern, dass Verlagsinhalte noch länger im Netz erscheinen. Da aber die ‚Verbreitung‘ den Rang eines publizistischen Angebots ausmacht, ist heute schon absehbar, dass sich die vereinigte Verlegerschaft mal wieder mit Aplomp ins Knie geschossen hat. Und das Netz wiederum wird in der Folge ärmer und politisch einseitiger werden …

DSGVO: Visitenkarten zur Visite

Ein altgewohntes Bild: Am Ende eines Kundengesprächs tauschen die Partner ihre Visitenkarten aus. Beide pflegen später die darauf enthaltenen Daten auch in ihre jeweilige Kundendatenbank ein, Schon aber hätten sie beide gleich mehrfach gegen die neue Datenschutzgrundverordnung (DSGVO) verstoßen. Jedenfalls dann, wenn man den Wortlaut des Gesetzes mal beim Wort nimmt. Denn die DSGVO soll vor allem ‚mehr Datentransparenz‘ schaffen. Jeder Partner müsste also unverzüglich darüber informiert werden, welche personenbezogenen Visitenkarten-Daten auf welche Weise verarbeitet werden, und welche Widerspruchsrechte dieser Person im Zuge der Datenverarbeitung zustehen.

Wie diese Informationspflichten zu erfüllen sind, das beschreiben insbesondere die Art. 13 und 14 der DSGVO. Dort steht auch, dass diese Belehrung unverzüglich zu erfolgen habe. Überreichen sich also zwei Personen ihre Visitenkarten, beispielsweise auf einer Messe, dann müssten sich beide gemäß Art. 13 DSGVO über den wechselseitigen Umgang mit den Daten informieren. Dazu genügt dann aber keinesfalls ein kurzer Satz, sondern die erforderliche datenschutzrechtliche Belehrung fände selbst auf einer DIN-A4-Seite kaum genügend Platz. In der Realität gliche die Beachtung der DSGVO daher eher einer Slapstick-Nummer, wo beide Gesprächspartner einander seitenlang ‚zutexten‘. Fern der Realität wäre es auch, bei der Übergabe von Visitenkarten dem anderen ein Papier mit Datenschutz-Hinweisen in die Hand zu drücken. Verbunden mit der Bitte, diese Kenntnisnahme schriftlich zu bestätigen. Zumal sich hierbei ein Problem bezüglich der späteren Nachweisbarkeit ergeben würde.

Die Politik eiert angesichts der Undurchführbarkeiten der DSGVO nicht nur in diesem Punkt bereits kräftig herum. Ein Sprecher der Berliner Aufsichtsbehörde sagte, dass die bloße „Entgegennahme der Visitenkarte für sich genommen noch keine Informationspflicht auslöse“. Diese ‚Informationspflicht‘ würde sich nur in den Fällen ergeben, in denen die darauf enthaltenen Daten gespeichert werden. Das käme zwar einer Erleichterung gleich, es widerspräche aber immer noch der Absicht, weshalb Visitenkarten überhaupt ausgetauscht werden. Unternehmen hinterlegen die Daten aus übergebenen Visitenkarten in ihrem Kundendatenverwaltungs-Programm, damit sie in Geschäftsinteresse beider Seiten das eigene Partnernetzwerk ausbauen können. Ganz abgesehen davon, nennt die Aufsichtsbehörde auch nicht die rechtliche Grundlage, wie sie zu ihrer aparten Ansicht gelangte. Denn die Aussage des oben genannten Mitarbeiters steht im Widerspruch zum Wortlaut der Verordnung. Mit anderen Worten: Die DSGVO steht in vielen Punkten noch im Konflikt mit der Realität.

Die Bitkom-Geschäftsleiterin Dehmel empfiehlt, jeder Person, welche eine Visitenkarte überreicht hat, zeitnah im Nachgang über die Pflichtangaben nach Art. 13 DSGVO aufzuklären, um ihr so nachträglich eine Möglichkeit zu bieten, der Datenverarbeitung zu widersprechen. Eine solche Lösung widerstritte zwar immer noch dem direkten Wortlaut des Gesetzes, immerhin aber scheint sie bereits ‚praktikabler‘. Woran es der DSGVO aber vor allem mangelt, das sind konkrete und rechtssichere Stellungnahmen und Hilfestellungen der Aufsichtsbehörden. Die DSGVO bedarf dringend praxisnaher ‚Ausführungsbestimmungen‘.

Finger weg von WhatsApp!

Der Messenger-Dienst WhatsApp ist mit der Datenschutzgrundverordnung (DSGVO) nicht vereinbar. Seine Nutzung in Job und Beruf sollte daher unterbleiben. In den Worten des niedersächsischen Landesamtes für Datenschutz: „Die LfD Niedersachsen hat bereits mehrfach öffentlich betont, dass der Einsatz von WhatsApp durch Unternehmen zur betrieblichen Kommunikation gegen die Datenschutz-Grundverordnung (DS-GVO) verstößt.“

Der Grund für die Rechtsverletzung liegt vor allem an dem technischen Verfahren, welches die Facebook-Tochter WhatsApp Inc. in Kalifornien verwendet. Ein Nutzer registriert sich dort mit seiner Mobilfunknummer, der Messenger-Dienst liest daraufhin unbemerkt das Adressbuch der Nutzer auf deren Smartphones aus. Vorgeblich, um so andere WhatsApp-Nutzer ausfindig zu machen. Dieser Abgleich wird in Intervallen regelmäßig wiederholt.

Bei aller Daten-Sammelwut versucht das Unternehmen sich selbst einen ‚schlanken Fuß‘ zu machen: Allein die Nutzer seien für die Rechtmäßigkeit der Datenübertragung verantwortlich. Im Falle eines Falles würden damit dann auch die Strafbestimmungen der DSGVO allein die Anwender treffen. Ausweislich seiner ‚Datenschutzrichtlinie‘ nutzt WhatsApp die gewonnenen Daten auch zu eigenen Zwecken: Das Unternehmen behält sich eine umfassende Verwendung der gesammelten Informationen vor, zum Beispiel für „Messungen, Analysen und sonstige Unternehmens-Dienste“. Darüber hinaus teilt WhatsApp grundsätzlich Informationen mit anderen Facebook-Unternehmen.

Das Fazit der deutschen Datenschützer: „Die Übermittlung von Kontaktdaten aus dem Adressbuch an WhatsApp ist regelmäßig unzulässig.“ Erschwerend kommt hinzu, dass mögliche Sanktionen gemäß DSGVO allein jenes Unternehmen träfen, das den Einsatz von WhatsApp in seinem Zuständigkeitsbereich erlaubt hat.

Der Ratschlag an Unternehmen und Organisationen kann daher nur lauten: Verbieten Sie den Einsatz von WhatsApp auf allen betrieblichen Ebenen.

DSGVO: Fünffach betroffen

Verglichen mit dem Bundesdatenschutzgesetz (BDSG) bringt die DSGVO In Bezug auf ‚Betroffenenrechte‘ wenig Neues – mit Ausnahme des Rechtes auf Datenübertragbarkeit. Allerdings konkretisiert sie die wolkigen Vorgaben des BDSG oft erheblich. Die neuen Betroffenenrechte im Einzelnen:

1. Die Informationspflicht (Art. 13 u. 14 DSGVO): Sie gibt es prinzipiell bereits im BDSG. Es reicht aber nun nicht mehr aus, nur die Identität einer datenerhebenden Stelle zu nennen. Künftig ist auch die Angabe von Kontaktdaten sowohl für den Verarbeiter wie auch für den zuständigen Datenschutzbeauftragten Pflicht. Zu nennen ist ferner die Rechtsgrundlage, auf deren Basis eine Datenerhebung erfolgt, sowie die vorgesehene Dauer der Speicherung. Die größte Neuerung besteht wohl darin, dass über jede Datenübermittlung an einen Drittstaat oder an eine internationale Organisation unverlangt Auskunft gegeben werden muss. Auch der Widerruf einer Einwilligung muss jederzeit möglich sein.

2. Das Auskunftsrecht (Art. 15 DSGVO): Jeder Datengeber hat das Recht zu erfahren, ob seine personenbezogenen Daten verarbeitet werden, und an wen sie weitergeleitet werden. Das entspricht in etwa dem § 34 BDSG. Die DSGVO erweitert allerdings das Auskunftsgebiet. Grundsätzlich sind die Dauer der Speicherung, der Verwendungszweck und die Herkunft der Daten zu nennen. Demjenigen, dessen Daten erfasst wurden, steht das Recht auf Berichtigung, Löschung und Beschwerde zu. Jede Auskunft muss unentgeltlich erfolgen (Art. 12 Abs. 5 DSGVO).

3. Das ‚Recht auf Vergessenwerden‘ (Art. 17 Abs. 2 DSGVO): Personen, deren Daten erhoben wurden, können eine Löschung ihrer Daten verlangen, sofern nicht gesetzliche Aufbewahrungsfristen bestehen (z.B. im Strafregister). Unklar ist hier bisher, ob Datenerfasser auch eine Löschung bei jenen Folge-Institutionen durchsetzen müssen, an welche Daten weitergeleitet wurden – oder ob dort nur eine Informationspflicht über das gestellte Verlangen besteht.

4. Das Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Hierbei handelt es sich um eine Vorschrift, die das BDSG bisher nicht kannte. In einem ‚strukturierten, gängigen und maschinenlesbaren Format‘ müssen Datenerheber ihre gesammelten Daten auf Verlangen dem Betroffenen zur Verfügung stellen. Dieser Paragraph zielt vor allem auf die ‚sozialen Netzwerke‘. Wer bspw. von Facebook zu einem anderen Anbieter wechseln will, muss seinen gesammelten ‚Datenschatz‘ (Fotos, Texte usw.) in einer lesbaren Form erhalten, die mit den technischen Gegebenheiten auf der neuen Plattform kompatibel ist. Die beliebte Ausrede ‚technischer Hürden‘ gilt damit nicht mehr. Wie sich dies in der Praxis darstellt, ist noch unklar.

5. Das Widerspruchsrecht (Art. 21 DSGVO): Jede Person, die ihre Daten zur Verfügung stellt, muss gegen jede Form der Weiterverarbeitung, zum Beispiel zu werblichen Zwecken, Widerspruch einlegen können. Diese Regelung findet sich aber auch bereits im BDSG (§ 28, Abs. 4).