Laptop, Smartphone und Kaffeetasse auf dem Sofatisch symbolisieren ein Homeoffice

Die Corona-bedingte Schonzeit beim Thema Homeoffice ist vorbei!

Aufsichtsbehörden sehen wieder genau hin.

Als zu Beginn des ersten Corona-bedingten Lockdowns im Frühjahr 2020 die halbe Republik ins Homeoffice abwanderte, haben die Datenschutz-Aufsichtsbehörden den Unternehmen eine (inoffizielle) Schonzeit eingeräumt, um die Arbeitsplätze zu Hause datenschutzgerecht auszustatten. In meiner „Handreichung Homeoffice in Corona-Zeiten“ habe ich beschrieben, wie während dieser „Schonzeit“ durch organisatorischen Maßnahmen manch technische Lösung ersetzt werden kann. Diese Schonfrist ist nun allerdings definitiv vorbei. Die „Handreichung“ gilt nicht mehr. Bitte richten Sie sich jetzt nach dieser Ausarbeitung!

Was bedeutet das „Ende der Schonzeit“ für Arbeitgeber- und Arbeitnehmer*innen? Der Präsident des Bayerischen Landesamtes für Datenschutzaufsicht Michael Will hat auf dem in diesem Jahr online stattgefundenen „Dozententag“ der Initiative „Datenschutz geht zur Schule“ des Bundesverbandes der Datenschutzbeauftragten in acht Punkten klargestellt, was er von einem datenschutzgerechten Home-Arbeitsplatz erwartet.

1. Die Arbeitsumgebung

Home-Arbeitsplätze sollen die Vertraulichkeit und Verfügbarkeit der Daten* auf dem gleichen Niveau wahren, das auch am Arbeitsplatz im Unternehmen gewährleistet werden muss. Dazu gehören:

  • Familienmitglieder oder Besucher haben keine Möglichkeit am Notebook oder auf Papierunterlagen „mitzulesen“
  • Am Ende des Tages verbleiben keine Daten offen sichtbar am Home-Arbeitsplatz (Clean-Desk-Policy)
  • Wenn erforderlich, werden den Homeoffice-Mitarbeiter*innen Blickschutzfilter angeboten
  • Für Papierunterlagen stehen ein abschließbarer Schrank oder eine entsprechende Dokumentenmappe zur Verfügung

2. Die genutzte Hardware

„Bring Your Own Device“ wird nicht gern gesehen.

  • Notebooks werden vom Arbeitgeber gestellt
  • Dienstlich verwendete Smartphones werden ebenso vom Arbeitgeber gestellt
  • Alternativ können Mitarbeiter*innen mit „Softphones“ ausgestattet werden (bspw. Headsets zur Telefonie über das Internet)
  • Müssen private Computer verwendet werden sind Remoteverbindungen zu nutzen
  • Für dienstlich zur Verfügung gestellte Kommunikationsmittel ist die private Nutzung untersagt

3. Der Umgang mit Papierdokumenten

Papierdokumente können in Privaträumen ein höheres Risiko darstellen als im Unternehmen.

  • Papierunterlagen werden in mit dem Namen des Unternehmens beschrifteten Dokumentenmappen transportiert
  • In einer Richtlinie ist festgelegt, dass Papierunterlagen keinen höheren Risiken ausgesetzt sind (auf dem Autorücksitz/im Rucksack usw.)

4. Die Nutzung von Videokonferenzsystemen

Videokonferenzsysteme müssen einige Anforderungen erfüllen.

  • Ein Auftragsverarbeitungsvertrag mit dem Anbieter ist abzuschließen
  • Hat der Anbieter seinen Sitz in einem Drittstaat, sind die Anforderungen an Verarbeitungen personenbezogener Daten in Drittstaaten zu beachten
  • Bei der Verwendung ist eine sichere TLS-Verschlüsselung zu nutzen
  • Bei Besprechungen, deren Ausforschen zu einem hohen Risiko für die Grundfreiheiten- und Rechte der betroffenen Personen führen könnten ist eine Ende-zu-Ende-Verschlüsselung zu verwenden
  • Virtuelle Konferenzräume sind über individuelle Einladungslinks und/oder durch Passwörter zu schützen
  • Aufzeichnungen des Inhalts durch den Anbieter sind zu unterbinden
  • Konfigurationsmöglichkeiten bei der Erhebung von Telemetriedaten durch den Anbieter sind zu deaktivieren
  • Aufzeichnungen durch den Arbeitgeber finden nicht statt
  • Biometrische Features wie Aufmerksamkeitserkennung sind zu deaktivieren

5. Die Sicherheit

Bei der Anbindung des Homeoffice an das Internet sind technische Lösungen zu implementieren

  • Anbindung an das Firmennetz nur per verschlüsselter VPN-Verbindungen nach dem Stand der Technik
  • Zwei-Faktor-Authentifizierung bei VPN-Verbindungen
  • Bei Einsatz des heimischen WLAN ist ein starkes Passwort zu wählen

6. Die Nutzung von Cloud-Diensten

Zur Zusammenarbeit von Teams im Unternehmen werden oft Cloud-Dienste genutzt, beispielsweise Kollaboration-Tools wie Microsoft Teams®, Asana®, Slack®, Google Hangouts® usw., aber auch Cloud-Speicher. Voraussetzungen für eine datenschutzgerechte Nutzung sind

  • Ein Auftragsverarbeitungsvertrag mit dem Anbieter ist abzuschließen
  • HTTPS wird eingesetzt (Transportverschlüsselung)
  • Der Anbieter darf die verschlüsselten Daten* selbst nicht entschlüsseln können
  • Eine wirksame Löschung der Daten* nach Beendigung des Vertrages muss gewährleistet sein

7. Die Nutzung von Messenger-Diensten

Messenger-Dienste müssen datenschutzgerecht sein.

  • Kommunikation ausschließlich über eine echte Ende-zu-Ende-Verschlüsselung, auch für Anhänge wie Bilder und für Sprachnachrichten
  • Metadaten (wer wann mit wem kommuniziert) dürfen vom Anbieter nicht zu Werbezwecken oder zum Profiling genutzt werden

8. Allgemeine organisatorische Regelungen

Eine Richtlinie für Homeoffice-Arbeitsplätze hilft, neben den technischen auch die organisatorischen Maßnahmen planvoll umzusetzen. So können Einfallstore für tief greifende Cyberangriffe verhindert werden.

  • Liste der Mitarbeiter*innen im Homeoffice
  • Liste der eingesetzten technischen Hilfsmittel bei jedem/r Mitarbeiter*in im Homeoffice
  • Homeoffice ist in einer schriftlichen Richtlinie geregelt
  • Über die Inhalte Richtlinie finden Schulungen mit allen Homeoffice-Mitarbeiter*innen statt
  • Die Homeoffice-Mitarbeiter*innen werden schriftlich auf die Richtlinie verpflichtet – nach Auffassung des Bayerischen Landesamtes für Datenschutzaufsicht kann damit in der Regel eine Vor-Ort-Kontrolle des heimischen Arbeitsplatzes entfallen

* Personenbezogene Daten

Werden die oben genannten Punkte weitgehend erfüllt, steht auch aus Sicht der Aufsichtsbehörden dem Homeoffice nichts mehr im Wege. Dem anfänglichen Laizzes faire bei der Beurteilung von Homeoffice-Arbeitsplätzen folgt nun eine strengere Sicht darauf.

Ich unterstütze Sie gern bei der Umsetzung der erforderlichen Prozesse für datenschutzgerechte Homeoffice-Arbeitsplätze. Sie erreichen mich unter dirk.wolf@skriptura.de oder telefonisch unter 0511/54294-44.

Symbolbild der Erde mit "überspringenden" Signalen

Den datenschutzgerechten Austausch personenbezogener Daten mit Unternehmen aus Drittländern richtig gestalten

Wie lassen sich Geschäftsmodelle retten, die auf den Austausch von personenbezogenen Daten mit Dienstleistern aus Drittländern (vor allem aus den USA) fußen UND die sich keinesfalls mit Dienstleistern aus Europa oder einem sicheren Drittstaat verwirklichen lassen?

Das Urteil des Europäischen Gerichtshofs (EUGH) im sogenannten Schrems II-Urteil hatten Fachleute vorausgesehen. Trotzdem war niemand wirklich vorbereitet. Auch heute, Wochen nach dem Urteil, stehen die meisten (alle?) Unternehmen und Organisationen noch vor der Frage, wie sie ihre Geschäftsmodelle retten, wenn diese denn auf den Leistungen US-amerikanischer Dienstleister und/oder Dienstleister aus anderen Drittstaaten aufbauen.

Davon betroffen sind (fast) alle Unternehmen, die digitale Dienste in Anspruch nehmen. Microsoft 365 ist sicher eines der bedeutendsten Anwendungen, weil es sehr häufig von europäischen Unternehmen eingesetzt wird. Google-Dienste sind (fast) immer betroffen. Von Google Analytics über Google Fonts und Google Maps bis Youtube reichen die Beispiele, die klar machen, wie abhängig europäische Unternehmen von US-Dienstleistern sind. Mailchimp, Zoom, Amazon Web Services, Dropbox und viele andere Namen machen klar, dass sich praktisch kein Unternehmen, das seinen Kunden moderne Dienstleistungen anbieten will, von US-Unternehmen frei machen kann. Für all diese Anbieter gibt es quasi keine adäquaten Alternativen in Europa. Einen Sitz in Europa zu haben nützt seit der Einführung des Cloud Acts, mit dem die USA sich Zugriff auf in Europa gespeicherte personenbezogene Daten von Europäern verschafft haben, auch nichts mehr.

Ist es überhaupt möglich a) weiter arbeiten zu können und b) trotzdem datenschutzkonform zu sein?

Die Antwort lautet: ja, aber. Der Landesbeauftragte für Datenschutz und Informationsfreiheit (LfDI) Baden-Württemberg hat am 7. Septembert 2020 eine überarbeitete „Orientierungshilfe“ veröffentlicht, die Wege aufzeigt. Eine Orientierungshilfe eines Landesamtes wird in der Regel von allen anderen anerkannt und ebenso umgesetzt. Die Orientierungshilfe ist also das „ja“. Das „aber“ bedeutet leider, dass die dort aufgezeigten Wege steinig sind.

Ein Muster aus dem Internet zu ziehen, seine eigenen und die Daten des Drittland-Dienstleisters einzutragen und die Sache zu vergessen ist nicht möglich; es reicht jedenfalls auf keinen Fall aus. Die Datenschutz-Aufsichtsbehörden werden sich, das macht der LfDI Baden-Württemberg SEHR klar, ganz genau ansehen, ob sich Unternehmen tatsächlich mit den für sie geltenden Umständen der Verarbeitung personenbezogener Daten durch Drittland-Unternehmen auseinandergesetzt und die erforderlichen Schritte konsequent umgesetzt haben.

Das LfDI Baden-Württemberg stellt für den Fall, dass alle denkbaren Anstrengungen unternommen wurden – inkl. der Überlegung, den Dienstleister zu wechseln, wenn ein anderer besseren Datenschutz gewährleisten kann – in Aussicht, dass sie die Verarbeitung dennoch tolerieren könnten, wenn das Unternehmen nachweisen kann, dass alle unten in der Auflistung genannten Punkte umgesetzt sind und der gewählte Dienstleister kurz- und mittelfristig unersetzlich ist. Dieser Nachweis muss selbstverständlich lückenlos dokumentiert sein. Dringend zu empfehlen ist, sich dazu mit der zuständigen Aufsichtsbehörde zu verständigen. 

Diese fünf Dinge sind aus Sicht des LfDI Baden-Württemberg unbedingt zu tun:

  1. eine Bestandsaufnahme erstellen, in welchen Fällen personenbezogene Daten von Unternehmen in Drittländern verarbeitet werden
  2. sich mit dem Dienstleister im Drittland in Verbindung setzen und ihn über die EUGH-Entscheidung und deren Konsequenzen zu informieren
  3. sich zu informieren, wie die Rechtslage in dem Drittland ist
  4. zu überprüfen, ob die Standard-Datenschutzklauseln für das Drittland anwendbar sind
  5. Verträge mit Drittland-Unternehmen zu schließen, die die Standard-Datenschutzklauseln beinhalten und darüber hinaus Garantien dafür bieten, dass der Schutz personenbezogene Daten nach EU-Standard tatsächlich gewährleistet ist

In meinem Klienten-Kreis gibt es mehrere Unternehmen/Organisationen, die regen Drittländerverkehr haben. Das Thema steht bei mir also derzeit ganz oben auf der Agenda. Ich unterstütze Sie gern bei der Umsetzung der erforderlichen Prozesse. Sie erreichen mich unter dirk.wolf@skriptura.de oder telefonisch unter 0511/54294-44.

Die komplette Orientierungshilfe gibt es hier.

Symbolbild mit Schriftzug "FACEBOOK" aus Scrabble-Buchstaben

Was sagt uns das EUGH-Urteil zu Facebook Like-Buttons wirklich?

 

„Internetseiten, die den Like-Button von Facebook einbinden, müssen eine Einwilligung der Nutzer einholen. Das hat der Europäische Gerichtshof jetzt festgestellt. Betreiber der Internetseite sind damit verantwortlich für die Erhebung und Übermittlung der Daten. …“ Sagt in einem Videoeinspieler Welt.de, das gemeinsame Internetportal der angesehenen Tageszeitung „Die Welt“ und dem Fernsehsender N24 aus dem Hause Axel Springer. Aber stimmt diese Meldung überhaupt?

In einer ersten Meldung hatte auch netzpolitik.org, eine mindestens ebenso angesehene Plattform des gleichnamigen Vereins, die sich selbst laut Wikipedia als „Mittelding zwischen Nichtregierungsorganisation und Medium, vergleichbar mit einer Mischung aus Greenpeace und taz“ sieht, gemeldet „dass Webseitenbetreibende aufgrund des EuGH-Urteils eine Einverständniserklärung einholen müssen“. netzpolitik.org hat das später korrigiert und auch welt.de schreibt in ihrem Artikel unterhalb des Videos, dass es so einfach denn doch nicht ist.

Was hat also der EUGH tatsächlich entschieden?

Die klagende und sich am Ende im Recht sehende Verbraucherzentrale NRW (e.V.) äußert sich wesentlich zurückhaltender. Ihre Headline auf der Internetseite verbraucherzentrale.de lautet „EUGH-Urteil: Like-Button von Facebook nur mit Info an Nutzer“. Aha. Das klingt doch schon ganz anders. Und es bestätigt meine „ständige Predigt“ von der Wunderwaffe „Transparente Information“. Werden die NutzerInnen von Internetseiten transparent darüber informiert, was mit ihren personenbezogenen Daten dort passiert, braucht es in der Regel KEINE ausdrückliche Einwilligung. Dafür erforderlich ist, dass, gemäß Artikel 12 DS-GVO, „in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ zu informieren ist. Dazu hat es sich bewährt, in einem deutlich sichtbaren Bereich auf diese transparente Erklärung hinzuweisen. Ein Beispiel: „Bevor Sie sich hier anmelden, lesen Sie bitte diese wichtigen Informationen zum Datenschutz und zur DSGVO.“ Statt „anmelden“ kann es natürlich auch heißen „Bevor Sie diese Seite betreten…“.

Transparente Information ist allerdings nur die Grundlage. Sie wird von der DS-GVO gefordert, ohne dass damit „Privilegien“ verbunden sind. Dazu müssen den NutzerInnen einfache Zugänge zur Verfügung gestellt werden, mit denen Sie sich gegen die Nutzung ihrer personenbezogenen Daten zu Werbezwecken wirksam schützen können. In einem Newsletter ist das der altbekannt „Abbestellen-Link“. Auf einer Website könnte das ein Link zu einer Auswahl-Seite sein.

Bedarf es einem Zwang zur Auswahl?

Genau an dieser Stelle trennt sich der ideologisch aufgeladene Datenschützer vom Praktiker (merke: „Datenschutz-Praktiker Dirk Wolf 😉 ). Der Ideologe will die NutzerInnen dazu zwingen, sich aktiv zu entscheiden. Der Praktiker lässt den NutzerInnen die Auswahl: sie können sich zu einer aktiven Wahl entscheiden, sie können sich aber auch dazu entschließen, dass es ihnen vollkommen gleichgültig ist, was mit ihren Daten passiert. So, wie wir es beispielsweise Facebook-NutzerInnen ja auch gestatten, einen für manche unglaublichen „Datenstrip“ hinzulegen. Oder sie sich mit, zugegeben, immer noch viel zu versteckten Einstellung auf Facebook, sehr gut vor dem Zugriff durch die Öffentlichkeit zu schützen. Wohlgemerkt, vor dem Zugriff durch die Öffentlichkeit. Das gilt (derzeit?) noch nicht für Facebook selbst, die die Daten hemmungslos nutzen für die Werbung ihrer zahlenden Kunden (zu denen ich übrigens auch zähle, und auch ich schätze die zielgruppengenaue Auswahl).

Um rechtssicher den Facebook Like-Button und andere Tracking-Methoden einsetzen zu können, bedarf es aber noch mehr. So muss eine Interessenabwägung stattfinden, wenn auf Basis des Artikel 6 Abs. 1 (f) die Verarbeitung personenbezogener Daten auf die „berechtigte Interessen“ abgestellt werden soll. Berechtigte Interessen des Websitebetreibers oder Dritter allein reichen nicht. Es muss abgewogen werden, ob die schutzwürdigen Interessen der Betroffenen den berechtigten Interessen nicht überwiegen. Das muss schriftlich dokumentiert werden (auch elektronisch) und selbstverständlich gehört das auch ins Verarbeitungsverzeichns. Das alles bitte sorgsam erledigen – oder einen Fachmann fragen. Oder besser: einen Datenschutz-Praktiker!

Fazit:

Genau hinsehen, was im Urteil wirklich steht und nicht den Schlagzeilen aufmerksamkeitshaschender Medien allzu schnell hinterherlaufen!

 

PS      Im aktuellen Fall hat der EUGH gar nichts entschieden. Er hat lediglich dem anfragenden Oberlandesgericht Düsseldorf Hinweise zur seiner Entscheidung geliefert, indem es festgestellt hat, dass Website-Betreiber gemeinsam Verantwortlichen gem. Artikel 26 DS-GVO sein können.

Kopplungsverbot

Das Oberlandesgericht Frankfurt hat in einer inzwischen rechtskräftigen Entscheidung vom 26. Juni diesen Jahres das sogenannte Kopplungsverbot gekippt.

1. Was ist das Kopplungsverbot?

Es war unter Werbetreibenden ein gängiges Modell: Gibst Du mir Deine E-Mail-Adresse und die Einwilligung, Dir Werbung zu schicken, schenke ich Dir etwas. Zum Beispiel ein E-Book oder irgendein Gimmick. Unter der alten Datenschutzgesetzgebung war das unter bestimmten Umständen erlaubt, allerdings gab es Einschränkungen. So musste die Einwilligung sich klar und eindeutig auf die zu beziehende Werbung beziehen.

2. Warum hat die DS-GVO das Kopplungsverbot angeblich verschärft?

Im Prinzip hatte sich durch die DS-GVO erst einmal nichts geändert. Allerdings waren viele Experten der Meinung, dass durch die unklaren Formulierungen des Artikel 7 DS-GVO und der zugehörigen Erwägungsgründe eine wirksame Einwilligung gar nicht mehr eingeholt werden könne.

3. Was hat das OLG Frankfurt geurteilt?

Das OLG Frankfurt hat nun im Urteil 6 U 6/19 festgestellt, dass das sehr wohl weiter möglich ist. Es hat entschieden, dass der Deal „Daten gegen Leistung“ durchaus auch unter der DS-GVO Gültigkeit behält.

4. Was heißt das für Werbetreibende?

Wer die Bedingungen der DS-GVO einhält, also vor allem der Dokumentationspflicht genügt (Double-opt-in), darf wieder im vollen Umfang „Daten gegen Leistung“ betreiben. Dafür gilt natürlich weiterhin:

  • Ordentliche Information gem. Art. 13 DS-GVO bei der Erhebung der Daten
  • Einwilligung muss klar und verständlich formuliert sein
  • Unbedingtes Widerrufsrecht des Betroffenen

Um das Geschäft „Daten gegen Leistung“ zu betreiben, ist es sehr hilfreich, sich professionell auszurüsten. So ist ein leistungsstarker E-Mail-Service unverzichtbar. Ein hervorragender Dienstleister, mit dem ich seit Jahren sehr gut zusammenarbeite, ist Klick-Tipp. Klick-Tipp ist ein deutscher Anbieter mit Sitz in der Europäischen Union, der alles mitbringt, um erfolgreich professionelles Online-Marketing umzusetzen. Klick-Tipp bietet ein hoch informatives Webinar an, in dem aufgezeigt wird, welche Chancen für deutsche Unternehmen im Bereich E-Mail-Marketing liegen. Klicken Sie auf folgenden Link, um sich einen Termin zum Webinar zu sichern. Es ist kostenlos. Schauen sie hier: https://dirkwolf.de/klick-tipp

Symbolbild mit Schloss für sicheres Internet

TOM-Konzept

Technische und organisatorischen Maßnahmen

Die vorliegende Ausarbeitung betrifft die technischen und organisatorischen Maßnahmen (TOM), die der Verantwortliche für die Verarbeitung personenbezogener Daten zu treffen hat, um die Sicherheit dieser Daten sicherzustellen. Sie muss zwingend überarbeitet werden und darf auf keinen Fall ohne eine intensive Beschäftigung mit ihr eingesetzt werden.

Technische und organisatorischen Maßnahmen sind auf Verlangen dem betrieblichen (auch externen) Datenschutzbeauftragten und gegebenenfalls auch den Aufsichtsbehörden vorzulegen. Sie dienen außerdem den Verantwortlichen dazu, die technischen und organisatorischen Maßnahmen des Auftragsverarbeiters auf einen ausreichenden Schutz der personenbezogenen Daten zu prüfen, die der Auftragsverarbeiter für den Verantwortlichen verarbeitet.

Hinweis zum Gebrauch

Die vorliegenden TOM sind so aufgebaut, dass sie den Artikeln der DS-GVO folgen. Bitte lesen Sie jeden einzelnen Punkt durch und vergleichen ihn mit der Situation in Ihrem Unternehmen. Ist es genau so, wie beschrieben, können Sie den Punkt übernehmen, ist es etwas anders, ändern Sie bitte die Beschreibung entsprechend. Trifft der Punkt auf Ihr Unternehmen nicht zu – beispielsweise „Klimaanlage im Serverraum“, wenn Sie gar keinen Serverraum haben – löschen Sie ihn bitte ganz. Haben Sie eine Maßnahme umgesetzt, die hier nicht erwähnt wird, vermerken Sie diese Maßnahme bitte an passender Stelle in den TOM. So kommen Sie zu einem individuellen TOM-Konzept.

Wenn Sie alles verstanden haben, können Sie diesen Text bis hierher löschen und das Dokument unter einem für Sie passenden Namen in Ihrem Datenschutzordner speichern.

 

Anlage Technische und organisatorische Maßnahmen

1.Vertraulichkeit (Art. 32 Abs. 1 Buchstabe b DSGVO)

  • Zutrittskontrolle

Maßnahmen, die geeignet sind, Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren.

 

  • Bereiche sind in verschiedene Sicherheitsbereiche unterteilt
  • Zugänge sind gegen unbefugten Zugang gesichert
  • Alarmanlage (Einbruchmeldesystem)
  • Zugangsauthentisierung (Schlüsselregelung, Chipkartensystem)
  • Sicherheitsschlösser
  • Besucherregelung (Begleitung, Besucherausweis, Protokollierung)
  • Sicherheits- und Wachdienst (Wochenende);
  • Zugangskontrolle

Maßnahmen, die geeignet sind zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können.

    • Zugangsschutz zu allen DV-System durch Benutzerauthentisierung
    • Es existieren Passwortkonventionen
    • Authentisierung mit Benutzername / Passwort
    • Zuordnung von Benutzerrechten
    • Sperren von externen Schnittstellen (USB etc.)
    • Erstellung und Zuordnung von Benutzerprofilen
    • Einsatz von Anti-Viren-Software
    • Einsatz einer Hard- und Software-Firewall
    • Verschlüsselung (bei entsprechendem Bedarf);
  • Zugriffskontrolle

Maßnahmen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.

  • Anzahl der Administratoren auf das „Notwendigste“ reduziert
  • Regelungen und Verfahren zum Anlegen, Ändern und Löschen von Berechtigungsprofilen
  • Prozess zur Beantragung, Genehmigung, Vergabe und Rückgabe von Zugriffsberechtigungen ist implementiert
  • Protokollierung von Zugriffen auf Anwendungen, insbesondere bei der Eingabe, Änderung und Löschung von Daten
  • Einsatz von Aktenvernichtern
  • Sichere Aufbewahrung von Datenträgern
  • Ordnungsgemäße Vernichtung von Datenträgern;

 

  • Trennungskontrolle

Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.

  • Trennung von Produktiv und Testsystem
  • Es werden nur solche Daten erhoben, gespeichert und verarbeitet die unmittelbar dem eigentlichen Zweck dienen.
  • Physikalisch getrennte Speicherung auf gesonderten Systemen oder Datenträgern
  • Technische und Operative Regelung und Maßnahmen zur Sicherstellung der getrennten Verarbeitung;

Pseudonymisierung (Art. 32 Abs. 1 Buchstabe a DSGVO; Art. 25 Abs. 1 DSGVO) Die Verarbeitung personenbezogener Daten in einer Weise, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und entsprechende technischen und organisatorischen Maßnahmen unterliegen; Bitte beschreiben, so vorhanden. Ansonsten komplett löschen!

  1. Integrität (Art. 32 Abs. 1 Buchstabe b DSGVO)
  • Weitergabekontrolle

Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.

  • Es findet eine Protokollierung statt
  • Die Festlegung ist dokumentiert und den betroffenen Mitarbeitern bekannt
  • Die Verbindung zu den Backendsystemen ist geschützt
  • Es existiert eine Verfahrensregelung über den Einsatz von Datenträgern
  • Datenträgerverwaltung – Durchführung regelmäßiger Bestandskontrollen
  • Es gibt Regelungen zur datenschutzkonformen Vernichtung von Datenträgern.
  • Die Vernichtung wird dokumentiert.
  • Bei Übertragungen werden dem Stand der Technik entsprechenden Verschlüsselungsverfahren eingesetzt;
  • Eingabekontrolle

Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind.

  • Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch individuelle Benutzernamen (Protokollierung)
  • Es existiert eine Dokumentation der Eingabeberechtigungen;
  1. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 Buchstabe b DSGVO)
  • Verfügbarkeitskontrolle

Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind.

  • Es existiert ein Backup-Konzept
  • Verantwortliche Personen und Vertreter sind benannt
  • Unterbrechungsfreie Stromversorgung (USV)
  • Klimaanlage im Serverraum
  • Geräte zur Überwachung von Temperatur und Feuchtigkeit in Serverraum
  • Regelmäßige Prüfung von Notstromaggregat und Überspannungsschutzeinrichtung sowie permanente Überwachung der Betriebsparameter
  • Lagerung von Datensicherungen in feuer- und wassergeschützten Datensicherheitsschränken, bzw. zusätzlich extern;

 

  • Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 Buchstabe d DSGVO; Art. 25 Abs. 1 DSGVO)
    • Datenschutz-Leitlinien sind vorhanden;
    • Vorfalls-Reaktionsplan;
    • Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DSGVO);
    • Auftragskontrolle

Serie „Europäische Datenschutz-Grundverordnung (DS-GVO)“ 1.3

Teil 1 Grundlagen

1.3. Räumlicher Anwendungsbereich

Der räumliche Anwendungsbereich einer Verordnung definiert, wo sie gilt. Der Artikel 3 „Räumlicher Anwendungsbereich“ der DS-GVO zunächst im Wortlaut:

  1. Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten, soweit diese im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt, unabhängig davon, ob die Verarbeitung in der Union stattfindet.
  2. Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der Union befinden, durch einen nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeiter, wenn die Datenverarbeitung im Zusammenhang damit steht
    1. betroffenen Personen in der Union Waren oder Dienstleistungen anzubieten, unabhängig davon, ob von diesen betroffenen Personen eine Zahlung zu leisten ist;
    2. das Verhalten betroffener Personen zu beobachten, soweit ihr Verhalten in der Union erfolgt.
  3. Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten durch einen nicht in der Union niedergelassenen Verantwortlichen an einem Ort, der aufgrund Völkerrechts dem Recht eines Mitgliedstaats unterliegt.

Das bedarf einiger Erklärungen für juristische Laien. Die Verordnung findet also Anwendung, wenn die Verarbeitung personenbezogener Daten im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen in der (Europäischen) Union erfolgt. Und zwar unabhängig davon, ob sie auf dem Boden der Union stattfindet oder nicht.

Was konkret mit „personenbezogen Daten“ und „Verarbeitung“ gemeint ist lesen Sie hier.

„Verantwortlicher“ meint die Person, Behörde, Organisation oder juristische Person (Unternehmen), die über die Mittel und Zwecke der Verarbeitung personenbezogener Daten entscheidet. Der Begriff ersetzt die „Verantwortliche Stelle“ aus dem BDSG (alt).

Absatz 1 sagt also aus, dass der Verantwortliche, der in der Union eine Niederlassung hat (gleichgültig, ob das die Hauptniederlassung, die einzige Niederlassung oder eine Zweigstelle eines großen Unternehmens ist), wenn er personenbezogene Daten verarbeitet, er sich an die DS-GVO halten muss. Dabei ist völlig gleichgültig, ob es sich um Daten von EU-Bürgern oder um Daten von Nicht-EU-Bürgern handelt. Und eben ist es auch unabhängig davon, ob die Server, mit denen das geschieht in Kalifornien oder in Katalonien stehen.

Abs. 2 regelt, dass sich auch jene Verantwortliche, die ihren Sitz nicht in der EU haben, sich an die DS-GVO halten müssen, wenn sie ihre Waren und Dienstleistungen Menschen anbieten, die sich in der EU aufhalten. Das heißt auch, dass die DS-GVO auf alle Menschen angewendet wird; nicht etwa nur auf EU-Bürger. Dafür genügt es aber nicht, dass man einen Dienst oder einen Shop aus der heraus EU erreichen kann. Wenn man beispielsweise die Seite https://amazon.com aufruft, gilt für den Verantwortlichen die DS-GVO nicht. Ruft man hingegen in Deutschland die Seite http:// amazon.de auf, hat sich der Verantwortliche an die DS-GVO zu halten. Festzumachen ist das aber nicht etwa an der Endung „.de“, sondern allein daran, ob sich der Anbieter an Menschen in der EU wendet. Das ist zum Beispiel daran erkennbar, dass die Landessprache verwendet wird, und/oder die Bezahlung in der landesüblichen Währung angeboten wird. Entscheidend ist auch, ob überhaupt in das Land geliefert wird. Es kann also durchaus dazu kommen, dass ein US-Bürger, der während seines Urlaubs in Europa bei Amazon in Europa einkauft, vor dem Missbrauch seiner personenbezogenen Daten durch den US-Konzern Amazon durch die DS-GVO geschützt wird.

Ferner stellt Abs. 2 auch die Menschen unter Schutz, deren Verhalten beobachtet wird, sofern sie sich in der EU aufhalten. Diese Bestimmung ist aufgenommen worden für Unternehmen, die ihre Dienstleistungen nicht diesen Bürgern anbieten, sondern die Menschen beobachten, die sich in der EU befindenden, um diese Informationen an Unternehmen zu verkaufen, die wiederum Waren und Dienstleistungen in der EU anbieten.

Abs. 3 schließt letzte Lücken, indem sie ausdrücklich auch die Gebiete einschließt, die außerhalb Europas liegen, die aber dem Recht der EU unterstehen. Dabei geht es um ehemalige Kolonien, deren Bürger die Staatsangehörigkeit eines europäischen Landes besitzen.

Artikel 3 DS-GVO weitet den räumlichen Anwendungsbereich damit im Vergleich mit dem BDSG erheblich aus. Wann immer es irgendeinen Bezug zur EU gibt, verlangt die EU, die DS-GVO anzuwenden. Es wird interessant sein, zu beobachten, wie das beispielsweise gegenüber US-amerikanischen Internetgiganten durchgesetzt wird.

 

Serie „Europäische Datenschutz-Grundverordnung (DS-GVO)“ 1.2

Teil 1 Grundlagen

1.2. Sachlicher Anwendungsbereich

Der sachliche Anwendungsbereich einer Verordnung definiert, in welchen Fällen sie gilt. Der Artikel 2 „Sachlicher Anwendungsbereich“ der DS-GVO zunächst im Wortlaut:

  1. Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.
  2. Diese Verordnung findet keine Anwendung auf die Verarbeitung personenbezogener Daten
    1. im Rahmen einer Tätigkeit, die nicht in den Anwendungsbereich des Unionsrechts fällt,
    2. durch die Mitgliedstaaten im Rahmen von Tätigkeiten, die in den Anwendungsbereich von Titel V Kapitel 2 EUV fallen,
    3. durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten,
    4. durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit.
  3. Für die Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen, Ämter und Agenturen der Union gilt die Verordnung (EG) Nr. 45/2001. Die Verordnung (EG) Nr. 45/2001 und sonstige Rechtsakte der Union, die diese Verarbeitung personenbezogener Daten regeln, werden im Einklang mit Artikel 98 an die Grundsätze und Vorschriften der vorliegenden Verordnung angepasst.
  4. Die vorliegende Verordnung lässt die Anwendung der Richtlinie 2000/31/EG und speziell die Vorschriften der Artikel 12 bis 15 dieser Richtlinie zur Verantwortlichkeit der Vermittler unberührt.

Das bedarf einiger Erklärungen für juristische Laien. Die Verordnung soll also immer dann gelten, wenn personenbezogene Daten ganz oder teilweise automatisiert verarbeitet werden.

Es muss also zunächst geklärt werden, was personenbezogene Daten sind. Es handelt sich dabei um alle Informationen über identifizierte oder identifizierbare natürliche Personen. Natürliche Personen sind in Abgrenzung zu juristischen Personen (Firmen, Behörden, Vereine usw.) schlicht Menschen. Identifizierbar sind natürliche Personen, wenn eine direkte Zuordnung über Name, Kennziffer, Standortdaten, Online-Kennung, besondere Merkmals usw. möglich ist. Es müssen also nicht bspw. der Name und die Adresse bekannt sein, um personenbezogene Daten zu sein. Wenn anhand von Daten ein einzelner Mensch (wieder)erkannt werden kann, handelt es sich um personenbezogene Daten. Selbst wenn die Personenbezogenheit nicht direkt, sondern nur indirekt mithilfe der Daten Dritter hergestellt werden kann, fallen sie unter die DS-GVO. Allerdings muss diese indirekte Möglichkeit auch tatsächlich bestehen; eine rein theoretisch bestehende Möglichkeit, die aber nicht ausgeübt werden kann, reicht dafür nicht aus. Alle Informationen in Wort, Schrift, Bild, Audio oder Video heißt, dass wirklich selbst banalste Tatsachen, wie zum Beispiel, dass die Person zwei Arme hat, personenbezogene Daten sind. Es gibt im Zusammenhang mit personenbezogenen Daten keine irrelevanten Informationen.

Nachdem wir geklärt haben, was personenbezogene Daten sind, wenden wir uns der ganz oder teilweise automatisierten Verarbeitung zu. Auch hier ist zunächst zu klären, was Verarbeitung bedeutet. Artikel 4 Nummer 2 DS-GVO definiert Verarbeitung als „jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;“. Das ist zweifellos eine Vereinfachung gegenüber der Regelung im Bundesdatenschutzgesetz (BDSG), das in § 11 noch zwischen erheben, verarbeiten und nutzen unterschieden hat. Die DS-GVO schenkt uns die Definition, dass schlicht alles, was mit personenbezogenen Daten passiert „verarbeiten“ ist.

Wenn also eine Verarbeitung personenbezogener Daten ganz oder teilweise automatisiert, das heißt mithilfe von Computern, passiert, soll die DS-GVO zur Anwendung kommen.

Aber auch wenn die Verarbeitung nicht automatisiert erfolgt soll die DS-GVO gelten. Allerdings nur dann, wenn die Daten in einem Dateisystem gespeichert werden oder werden sollen. Hier gilt es nun einen weitverbreiteten Irrtum zu korrigieren. Ein Dateisystem ist gemäß Artikel 4 Nummer 6 DS-GVO „jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird;“ Dateisysteme sind also bei weitem nicht nur in Computern zu finden, sondern bspw. auch in Akten. Selbst in Schuhkartons gesammelte Zettel mit personenbezogenen Daten sind ein Dateisystem, wenn sie nach bestimmten Kriterien zugänglich sind. Das ist im Zweifel sogar dann schon anzunehmen, wenn sie einfach in chronologischer Reihenfolge übereinander liegen, schlicht, weil der letzte Zettel immer obenauf gelegt wird. Letzteres könnte bspw. für Messe-Notizen gelten, die immer gleich nach einem Gespräch in einen vorbereiteten Karton gelegt werden. Selbst wenn die Zettel gar nicht streng übereinander gelegt werden, sondern ohne jedes System einfach abgelegt werden, stellen sie ein Dateisystem dar, wenn die Absicht besteht, sie später, in welcher Form auch immer, zu sortieren.

Einige Ausnahmen sieht Artikel 2 allerdings vor. Die wichtigste Ausnahme für alle, die nicht Behörde sind, ist, dass alle durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten verarbeiteten personenbezogenen Daten nicht unter die DS-GVO fallen sollen.

Entwicklung des Datenschutzes in Deutschland

Dieser Beitrag behandelt die Entwicklung des Datenschutzes in Deutschland und Europa.

Anfänge der Datenschutzgesetzgebung

Der Schutz personenbezogener Daten ist seit langem in Standes- oder Berufsethiken geregelt. Beispiele sind die ärztliche Schweigepflicht, das Steuergeheimnis, das Postgeheimnis oder auch das Beichtgeheimnis. Erste Überlegungen, Datenschutz in einem Gesetz zu regeln wurden in Deutschland in den 1960er Jahren angestellt. Das Bundesland Hessen hat 1970 das erste Datenschutzgesetz weltweit vorgelegt, der Bund zog 1977 nach. Bereits in diesen frühen Fassungen wurde vor allem auf die automatisierte Verarbeitung von Daten durch Behörden und Unternehmen eingegangen. Aktenmäßig erfasste Daten waren ausdrücklich ausgenommen. Unternehmen wurde die Speicherung, Verarbeitung und Nutzung – hier vor allem: Übermittlung, also Überlassung von Daten für andere, meist zu Werbezwecken – von personenbezogenen Daten ausdrücklich erlaubt, wenn sie sich auf

  1. Namen
  2. Titel, akademische Grade,
  3. Geburtsdatum,
  4. Beruf, Branchen- oeder Geschäftsbezeichnung,
  5. Anschrift,
  6. Rufnummer

beschränkten und nicht mehr als eine „Angabe der Zugehörigkeit des Betroffenen zu einer Personengruppe“ enthielt.

Entwicklung des Datenschutzes in Deutschland und Europa

Bereits wenige Jahre nach der Einführung des BDSG 1977 hat das Bundesverfassungsgericht in seinem berühmten Urteil zur Volkszählung am 15. Dezember 1983 den Grundsatz der „informationellen Selbstbestimmung“ aufgestellt und damit dem BDSG bescheinigt, dass es den verfassungsrechtlichen Ansprüchen nicht genüge. Wieder war es das Bundesland Hessen, das diesen Grundsatz 1986 als erstes in ein Landesdatenschutzgesetz übernahm. Der Bund hat die informationelle Selbstbestimmung erst 1990 ins BDSG eingearbeitet.

Die Richtlinie 95/46/EG

Am 24. Oktober 1995 erließ die Europäische Union die Richtlinie 95/46/EG des Europäischen Parlaments und des Rates. In ihr wird erstmals auf europäischer Ebene der „Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr“ geregelt. Allein die Begründung für die Richtlinie umfasst in 72 Artikeln 4501 Wörter.

„Gegenstand der Richtlinie
(1) Die Mitgliedstaaten gewährleisten nach den Bestimmungen dieser Richtlinie den Schutz der Grundrechte und Grundfreiheiten und insbesondere den Schutz der Privatsphäre natürlicher Personen bei der Verarbeitung personenbezogener Daten.
(2) Die Mitgliedstaaten beschränken oder untersagen nicht den freien Verkehr personenbezogener Daten zwischen Mitgliedstaaten aus Gründen des gemäß Absatz 1 gewährleisteten Schutzes.“

Europäische Richtlinien sind nicht direkt geltendes Recht, sondern müssen innerhalb gesetzter Fristen in nationales Recht umgesetzt werden. In Deutschland wurde die Richtlinie durch das „Gesetz zur Änderung des Bundesdatenschutzgesetzes und anderer Gesetze“ am 23. Mai 2001 umgesetzt. Es bedurfte dazu erst der Einleitung eines Vertragsverletzungsverfahrens, weil die ursprünglich gesetzte Frist von drei Jahre bereits 1998 verstrichen war.

2010 unterlag Deutschland in einem weiteren, 2005 eingeleiteten, Vertragsverletzungsverfahren vor dem Europäischen Gerichtshof (EuGH). Der EuGH urteilte, dass die Bundesländer „staatliche Aufsicht über die Instanzen der Datenschutzkontrolle“ ausübten.

Datenschutznovelle 2009

Eine bedeutsame Änderung für die Werbewirtschaft wurde mit der zweiten Datenschutznovelle am 3. Juli 2009 vom Deutschen Bundestag verabschiedet. Dieser „Novelle II“ genannten Änderung des BDSG gingen jahrelange, teils erbittert geführte Verhandlungen zwischen der Werbewirtschaft und dem Deutschen Bundestag voraus. Hardliner auf Seiten der Datenschützer forderten eine schriftliche Einverständniserklärung für jeden Kontaktversuch eines Unternehmens mit einem potenziellen Kunden. Diese „opt-in“ genannte Regelung galt seit 2004 bereits für telefonische Kontaktanbahnung. Rechtliche Grundlage war hier allerdings nicht das BDSG, sondern das „Gesetz gegen den unlauteren Wettbewerb“. Es zielte vor allem auf am Telefon geschlossene Verkaufsverträge, die in den Jahren zuvor immens zugenommen hatten und zu einer regelrechten Plage wurden.

Die konsequente Anwendung des opt-in-Verfahrens für alle Werbeformen, besonders für die Werbung mit postalisch zugestellten Briefen (Mailings), hätte die Werbewirtschaft vor unlösbare Probleme gestellt. Der letztlich gefundene Kompromiss hat sich in der Praxis durchaus bewährt.

Bedeutsame Änderungen waren vor allem die faktische Aufhebung des Listenprivilegs, die zur Folge hatte, dass die qualitativ beste Quelle für Adressen weitgehend versiegt ist und die Einführung des opt-in-Verfahrens für Mailings, die aber abgemildert werden konnte.

Die Zukunft: Die Datenschutz-Grundverordnung

Mit der am 25. Januar 2012 im Rahmen der EU-Datenschutzreform von der Europäischen Kommission vorgestellten EU Datenschutz-Grundverordnung kommt eine Regelung, die europaweit einheitliche Datenschutz-Standards bringen wird, die für alle Unternehmen und Behörden gelten, die in Europa personenbezogene Daten nutzen, auch wenn sie außerhalb Europas ihren Sitz haben. Im Gegensatz zur Richtlinie 95/46/EG wird die Datenschutz-Grundverordnung unmittelbar geltendes Recht sein. Es bedarf nicht der Umsetzung in nationales Recht. Die EU Datenschutz-Grundverordnung ist am 24. Mai 2016 in Kraft getreten und wird ab dem 25. Mai 2018 angewendet. In Kürze wird es hier einen ausführlichen Artikel über die EU Datenschutz-Grundverordnung geben.

 

Checkliste Verarbeitungsverzeichnis

Aufbau eines Verarbeitungsverzeichnisses nach der DS-GVO

Über das „Verzeichnis von Verarbeitungstätigkeiten“ gibt es viele Schauermärchen im Internet zu lesen. Es sei viel zu kompliziert. Es sei ein Bürokratiemonster. „Die da“ in Europa könnten sich überhaupt nicht vorstellen, wie viele Stunden, ja Wochen man daran arbeiten müsse…

Dabei hilft ein einfacher Blick in das Gesetz, um erstaunt festzustellen, dass das „Verarbeitungsverzeichnis“, wie es vereinfacht genannt wird, genau 8 Einträge pro Tätigkeit verlangt:

  • Der/Dir Verantwortliche und, wenn vorhanden, der/die Datenschutzbeauftragte mit Kontaktdaten
  • Der Zweck der Verarbeitung
  • Die Kategorien der von der Verarbeitung Betroffenen
  • Die Kategorien der personenbezogenen Daten
  • Die Empfänger der personenbezogenen Daten
  • Ob die Daten in Drittländer übermittelt werden und wenn ja, wie dort der Schutzstatus ist
  • Eine eventuelle Löschfrist
  • Ein allgemeiner Hinweis auf die technischen und organisatorischen Maßnahmen

Nach meiner Erfahrung fällt es den Menschen erstaunlich leicht, den Rest des Verzeichnisses selbst in wenigen Minuten zu erstellen, nachdem sie mit mir gemeinsam die ersten zwei Einträge erstellt haben. Das Ausfüllen der wenigen geforderten Zeilen ist dabei meist nicht das größte Hindernis.

Wie lässt sich also die Hürde der ersten zwei Einträge ohne teure persönliche Beratung durch einen Datenschutz-Praktiker nehmen? Die folgende Checkliste soll Ihnen dabei eine praktische Unterstützung sein.

Zuvor sollten wir noch kurz klären, was eigentliche eine zu beschreibende Verarbeitung personenbezogene Daten ist. Denn daran scheitern nach meiner Erfahrung die meisten Menschen, weil ihnen dieser Begriff viel zu Abstrakt ist. Verarbeitungen personenbezogener Daten sind beispielsweise:

  • Der E-Mail-Verkehr
  • Die Personalverwaltung
  • Die Arbeitszeiterfassung
  • Urlaubspläne
  • Telefonlisten
  • Geburtstagskalender
  • Dienstpläne
  • Vertriebsaktivitäten (Telefonische Terminvereinbarung)
  • Auftragsabwicklung (sofern personenbezogene Daten dabei eine Rolle spielen)

Um sich ein Verarbeitungsverzeichnis zu erstellen schlage ich Ihnen vor, dies in Form einer Excel-Tabelle zu tun. In diese tragen Sie den Verantwortlichen ein, dessen Kontaktdaten sowie die entsprechenden Daten eines eventuellen Datenschutzbeauftragten (Grundeinträge). In die Spaltenüberschriften gehören die oben aufgezählten 8 Einträge. Eine Spalte für die Daten der Überprüfungen gehört in jedes Verarbeitungsverzeichnis. Zu den Daten sollten Sie Namenskürzel dazuschreiben, damit später nachvollzogen werden kann, wer die Einträge vorgenommen bzw. überprüft hat. Ans Ende der Tabelle gehört eine Legende dazu.

Zu den einzelnen Einträgen:

  • Der/Dir Verantwortliche und, wenn vorhanden, der/die Datenschutzbeauftragte mit Kontaktdaten
    • Name und Anschrift des Unternehmens/des Vereins/ der Stiftung usw., Daten des/der zuständigen Geschäftsführers/Geschäftsführerin, Name und Kontaktdaten der/des Datenschutzbeauftragten, alle Einträge können oberhalb der eigentlichen Tabelle eingetragen werden
  • Der Zweck der Verarbeitung
    • Der E-Mail-Verkehr
    • Die Personalverwaltung
    • Die Arbeitszeiterfassung
    • Urlaubspläne
    • Telefonlisten
    • Geburtstagskalender
    • Dienstpläne
    • Vertriebsaktivitäten (Telefonische Terminvereinbarung)
    • Auftragsabwicklung (sofern personenbezogene Daten dabei eine Rolle spielen)
  • Die Kategorien der von der Verarbeitung Betroffenen
    • MitarbeiterInnen, MitarbeiterInnen von Lieferanten, Dienstleistern, Kunden, Interessenten. Kunden, Interessierte, Klienten, Patienten usw. (Betroffene)
  • Die Kategorien der personenbezogenen Daten
    • Name, Titel, Anschrift, Sozialversicherungsnummer, Kirchenzugehörigkeit, Arbeitszeiten, Vorlieben, Kundenhistorie usw.
  • Die Empfänger der personenbezogenen Daten
    • Externe Lohnbuchhaltung, Auftragsverarbeiter, Steuerbüro, Banken usw. Jede(r), der/die die Daten für welchen Zwecke auch immer bekommt bzw. Einsicht hat
  • Ob die Daten in Drittländer übermittelt werden und wenn ja, wie dort der Schutzstatus ist
    • Drittländer sind alle Länder außerhalb des Europäischen Wirtschaftraums (EU plus Norwegen, Liechtenstein, Island), siehe dazu meine Ausarbeitung „Drittländerverkehr“
  • Eine eventuelle Löschfrist
    • Wann müssen die Daten gelöscht werden (evtl. beim Steuerberater zu erfragen oder „googeln“.
  • Ein allgemeiner Hinweis auf die technischen und organisatorischen Maßnahmen
    • Hier bitte eintragen, wo die TOM (technischen und organisatorischen Maßnahmen) zu finden sind, siehe dazu meine Ausarbeitung „Technische und organisatorischen Maßnahmen – TOM“

 

 

Checkliste Verarbeitungsverzeichnis

 

  • Excel-Liste erstellen
  • Grundeinträge vornehmen
  • Spalten anlegen
    • Laufende Nummer in die erste Spalte
    • Tag der ersten Eintragung in die zweite Spalte
    • Kürzel der/des Eintragenden
    • 8 Einträge als Spaltenüberschriften anlegen
    • Eine Spaltenüberschrift für die Daten der Überprüfungen
  • Legende für die Namenskürzel unter die Tabelle schreiben
  • Tabelle unter einem „sprechenden Namen“ in ein Datenschutz-Verzeichnis auf dem Server legen
  • Einträge vornehmen (siehe oben „Zu den einzelnen Einträgen)
  • Tabelle, wenn gewünscht, ausdrucken und abheften