Die Hype-App Club­hou­se lockt neue Nut­zer in Scha­ren an, auch immer mehr Fir­men wol­len sie für ihre Zwecke nut­zen. Das kann jedoch sehr schnell zu einem Buß­geld wegen Ver­stö­ßen gegen Daten­schutz­vor­ga­ben wie die DSGVO führen.

Der Hype um Club­hou­se wird immer grö­ßer, spä­te­stens mit dem bald erwar­te­ten Erschei­nen der Android-Ver­si­on wird die Audio-Chat-App sich wohl end­gül­tig zu einem Mas­sen­phä­no­men ent­wickeln. Nicht nur Pri­vat­per­so­nen wol­len rat­schen, mit­dis­ku­tie­ren und zuhö­ren, auch zahl­rei­che Unter­neh­men, Poli­ti­ker und Mar­ke­ting-Pro­fis haben die App längst im Blick und ver­su­chen sie für sich zu nut­zen. Manch einer geht das vor lau­ter Eile aller­dings viel zu kopf­los an. Einer­seits inhalt­lich, indem er sich von der schein­bar unge­zwun­ge­nen Plap­per-Atmo­sphä­re zu all­zu unbe­dach­ten Aus­sa­gen hin­rei­ßen lässt, wie jüngst Thü­rin­gens Mini­ster­prä­si­dent Bodo Rame­low. All­zu schnell wer­den in den Gesprächs­run­den pri­va­te oder unter­neh­me­ri­sche Geheim­nis­se aus­ge­plau­dert sowie über­mü­ti­ge Aus­sa­gen in die Welt gesetzt, die im Ernst­fall sogar straf­recht­li­che Kon­se­quen­zen haben könn­ten. Wer sich hier geschäft­li­chen Kon­text bewegt, soll­te sich bei aller Locker­heit und trotz der ver­meint­li­chen Unsicht­bar­keit auch demen­spre­chend seri­ös verhalten.

Ande­rer­seits bie­tet Club­hou­se gera­de für Busi­ness-Nut­zer auch auf recht­li­cher und tech­ni­scher Sei­te gefähr­li­che Fall­stricke, ins­be­son­de­re was den Daten­schutz angeht. Das beginnt bereits auf Sei­ten des Anbie­ters, der bis­lang weder die Bedin­gung einer

deut­schen Daten­schutz­er­klä­rung erfüllt, noch ein Impres­sum angibt. Dar­über hin­aus haben Sicher­heits­for­scher schwe­re Lücken in der App auf­ge­deckt, über die sich Chats und Teil­neh­mer mani­pu­lie­ren und abhö­ren aber auch Mal­wa­re ein­schleu­sen las­sen. Durch die Koope­ra­ti­on mit dem chi­ne­si­schen Anbie­ter Ago­ra, der haupt­säch­lich für den Chat-Teil der Soft­ware ver­ant­wort­lich ist, lan­den Nut­zer­da­ten und Gesprä­che auch auf Ser­vern in Chi­na, wie Secu­ri­ty-Fach­leu­te bereits nach­wei­sen konnten.

Im Zen­trum der recht­li­chen Gefah­ren für Unter­neh­men steht jedoch die Ein­la­dungs­funk­ti­on, mit der Club­hou­se gezielt eine künst­li­che Ver­knap­pung schafft und so den Hype geschickt anfacht. Um selbst ande­re Mit­glie­der mit den begehr­ten »Invi­tes« ver­sor­gen zu kön­nen, müs­sen die Nut­zer dem Dienst zuerst Zugriff auf ihr Adress­buch gewäh­ren. Was im pri­va­ten Kon­text nor­ma­ler­wei­se kein gro­ßes Pro­blem ist, wird im beruf­li­chen Umfeld zur Gefahr.

Denn die Daten der Kon­tak­te aus dem Adress­buch wer­den von der App auf die Ser­ver des Anbie­ters in den USA her­un­ter­ge­la­den und dort ana­ly­siert sowie zudem mit Ago­ra geteilt. Danach folgt ein regel­mä­ßi­ger Abgleich, über den sich auch die ent­stan­de­nen Bezie­hun­gen inner­halb der App ver­fol­gen lassen.

Auch wenn der Anbie­ter wenig glaub­wür­dig beteu­ert, es wür­den hier­zu ein­zig die Tele­fon­num­mern benö­tigt, ist das nach Ansicht der mei­sten Daten­schüt­zer schon eine Wei­ter­ga­be und Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten im Sin­ne der DSGVO. Die wie­der­um setzt vor­aus, dass zumin­dest von jedem ein­zel­nen betrof­fe­nen geschäft­li­chen Kon­takt, der nicht selbst die Bedin­gun­gen der App akzep­tiert hat, eine schrift­li­che Ein­ver­ständ­nis­er­klä­rung für den Vor­gang vor­liegt. Hin­zu kommt, dass bis­her nicht klar ist, ob der Anbie­ter zumin­dest die Vor­ga­ben des EU-US Pri­va­cy Shield erfüllt.

Sau­be­re Tren­nung pri­va­ter und beruf­li­cher Nut­zungs­be­rei­che erforderlich

Dabei spielt es aus Sicht des Daten­schut­zes kei­ne Rol­le, ob es sich um ein pri­va­tes Gerät oder ein Fir­men-Smart­pho­ne han­delt. Was zählt, ist ein­zig die Art der Kon­tak­te und Daten. Um einen ent­spre­chen­den Ver­stoß zu bege­hen, reicht es also schon, wenn auf dem pri­va­ten Smart­pho­ne nur ein ein­zi­ger Arbeits­kon­takt abge­legt ist, des­sen Daten unge­fragt an Club­hou­se gehen. Umso grö­ßer wird die Gefahr dem­entspre­chend, wenn das Gan­ze auf für bei­de Zwecke genutz­ten oder gar Fir­men­ge­rä­ten statt­fin­det und gan­ze geschäft­li­che Kon­takt­li­sten betrof­fen sind.

Die Fir­men ste­hen bei Club­hou­se somit erneut vor ähn­li­chen Pro­ble­men wie schon bei Whats­app. Gera­de die Vor­be­din­gung der schrift­li­chen Ein­ver­ständ­nis­er­klä­rung aller Kon­tak­te lässt sich in der Pra­xis nicht erfül­len. Theo­re­tisch lässt sich das zwar bei Club­hou­se – zumin­dest der­zeit noch – umge­hen, indem vor der ersten Nut­zung die Invi­te-Opti­on deak­ti­viert wird. Da sich das bei der pri­va­ten Nut­zung von Club­hou­se im Unter­neh­mens­um­feld aber kaum durch­set­zen lässt, ist hier eine strik­te Tren­nung der Kon­ten, Daten und Kon­tak­te gebo­ten. Ent­we­der phy­sisch, indem es eige­ne Gerä­te für Busi­ness und Pri­va­tes gibt. Oder tech­nisch, indem es zwei getrenn­te Kon­ten und Berei­che dafür auf einem Gerät gibt, sei es nun ein geschäft­li­ches oder im Rah­men von BYOD genutz­tes Smartphone.

Man­che Her­stel­ler wie Sam­sung bie­ten ent­spre­chen­de Lösun­gen an, der Königs­weg ist jedoch Mobi­le Device Manage­ment (MDM). Des­sen Kern sind eine kla­re Stra­te­gie und eine Lösung mit der ihre Vor­ga­ben auch über die Tren­nung hin­aus umge­setzt wer­den kann. Dazu emp­fiehlt Jan Dzu­lko, der mit Ever­pho­ne Abo-Kom­plett­pa­ke­te für Fir­mens­mart­pho­nes (Pho­ne-as-a-Ser­vice) anbie­tet, strik­te Trenn­li­ni­en. »Bei unse­ren Kun­den haben wir vor­ge­sorgt. Stan­dard­mä­ßig kön­nen kri­ti­sche Apps nur im pri­va­ten Bereich instal­liert und genutzt wer­den. Das rate ich allen Unter­neh­men, um DSGVO-Pro­ble­me und auch saf­ti­ge Buß­gel­der zu vermeiden.«

Die nach wie vor hohen Zah­len derer, die an Coro­na erkran­ken (und ster­ben) bedin­gen, dass auch die mei­sten Schu­len bis auf Wei­te­res nicht zum Prä­senz­un­ter­richt zurück­keh­ren. Dies wie­der­um befeu­ert ein The­ma, wel­ches mit der Pan­de­mie zum daten­schutz­recht­li­chen Dau­er­the­ma gewor­den ist: Wel­che Video­kon­fe­renz­sy­ste­me las­sen sich daten­schutz­kon­form nut­zen? Wel­che Anfor­de­run­gen müs­sen ein­ge­hal­ten wer­den? Was pas­siert, wenn die daten­schutz­recht­li­chen Anfor­de­run­gen nicht so schnell umge­setzt wer­den kön­nen, wie es erfor­der­lich wäre? 

Der Lan­des­be­auf­trag­te für den Daten­schutz und die Infor­ma­ti­ons­frei­heit Rhein­land-Pfalz (LfDI), Pro­fes­sor Die­ter Kugel­mann, macht hier­zu einen sehr prag­ma­ti­schen Vorschlag: 

Aus Daten­schutz-Sicht hat die vom rhein­land-pfäl­zi­schen Bil­dungs­mi­ni­ste­ri­um emp­foh­le­ne Lösung Big Blue But­ton (BBB), die bei der Johan­nes Guten­berg-Uni­ver­si­tät Mainz geho­stet wird, gro­ße Vor­zü­ge. Bei BBB han­delt es sich um eine Open Source-Lösung, die es ermög­licht, sie unter voll­stän­di­ger, eige­ner Kon­trol­le und auf eige­nen Syste­men zu betrei­ben. Die Über­mitt­lung von Nut­zungs­da­ten an Drit­te oder deren Ver­wen­dung gar für Wer­be­zwecke kann aus­ge­schlos­sen werden.”

Die Soft­ware Big Blue But­ton war vor eini­ger Zeit auch im Rah­men der recht­li­chen Kurz­prü­fung der Ber­li­ner Beauf­trag­ten für Daten­schutz und Infor­ma­ti­ons­frei­heit (BlnBDI), Maja Smolt­c­zyk, posi­tiv erwähnt wor­den. Die Liste war als Hil­fe­stel­lung für Ber­li­ner Unter­neh­men, Behör­den, Ver­ei­ne und Frei­be­ruf­ler gedacht.Professor Kugel­mann weiter:

Aus daten­schutz­recht­li­chen Grün­den soll­te dar­auf­hin gear­bei­tet wer­den, dass mit Beginn des Schul­jahrs 2021/​2022 alle Schu­len auf BBB zurück­grei­fen kön­nen. Ange­sichts der der­zei­ti­gen Aus­nah­me­si­tua­ti­on und bestehen­der tech­ni­scher Pro­ble­me ist es ver­tret­bar, wenn im lau­fen­den Schul­jahr Schu­len außer­eu­ro­päi­sche Video­kon­fe­renz­soft­ware ver­wen­den, um dem Bil­dungs­auf­trag nach­zu­kom­men. Um den Schu­len in der schwie­ri­gen Pan­de­mie-Situa­ti­on Mög­lich­kei­ten des Distanz­un­ter­richts zu erhal­ten, wer­den, mit Blick auf den bis Schul­jah­res­en­de zuge­sag­ten per­for­man­ten Aus­bau der Big Blue But­ton-Platt­form, daher Beden­ken hin­sicht­lich einer fort­dau­ern­den Nut­zung durch Schu­len von MS Teams und ver­gleich­ba­ren Lösun­gen US-ame­ri­ka­ni­scher Anbie­ter vor­erst zurückgestellt.

Die Anwen­dung die­ser sehr prag­ma­ti­schen Sicht­wei­se knüpft der LfDI Rhein­land-Pfalz jedoch an eini­ge Bedingungen:

• Bereits ein­ge­setz­te Lösun­gen US-ame­ri­ka­ni­scher Anbie­ter müs­sen auf schul­ei­ge­nen Syste­men betrie­ben wer­den, oder es müs­sen, bei Inan­spruch­nah­me eines Dienst­lei­sters im Rah­men einer Auf­trags­ver­ar­bei­tung gemäß Arti­kel 28 Daten­schutz-Grund­ver­ord­nung, die Kon­fe­renz­da­ten auf Syste­men deut­scher oder euro­päi­scher Anbie­ter ver­ar­bei­tet wer­den. Zudem müs­sen die Lösun­gen daten­spar­sam kon­fi­gu­riert und mit von der Schu­le ver­ge­be­nen, pseud­ony­mi­sier­ten Zugangs­da­ten genutzt wer­den. Es wird eine Ver­wen­dung der Nut­zungs­da­ten für Wer­be­zwecke ver­trag­lich aus­ge­schlos­sen (§ 103 Über­grei­fen­de Schulordnung).

• Die Nut­ze­rin­nen und Nut­zer müs­sen gemäß Arti­kel 13 DS-GVO infor­miert werden.

• Auf die in § 1 Abs. 6 Schul­ge­setz vor­ge­se­he­ne Mög­lich­keit, eine ver­bind­li­che Nut­zung digi­ta­ler Lehr- und Lern­mit­tel vor­zu­se­hen, wird ver­zich­tet. Wenn Eltern, Schü­le­rin­nen oder Schü­ler einer Nut­zung ame­ri­ka­ni­scher Soft­ware­pro­duk­te aus­drück­lich wider­spre­chen, wer­den äqui­va­len­te Lehr­an­ge­bo­te zur Ver­fü­gung gestellt.

Die Bun­des­netz­agen­tur hat gegen das Call-Cen­ter Cell it! GmbH & Co. KG eine Geld­bu­ße in Höhe von 145.000 Euro verhängt.

Die Cell it! hat­te nach Erkennt­nis­sen der Bun­des­netz­agen­tur im Auf­trag des Mobil­funk­an­bie­ters Mobil­com-Debi­tel an des­sen Kun­den ins­be­son­de­re Dritt­an­bie­ter­abon­ne­ments für Hör­bü­cher und Zeit­schrif­ten, Video-on-Demand-Dien­ste, Sicher­heits­soft­ware oder Han­dy­ver­si­che­run­gen ver­trie­ben. Dabei kam es immer wie­der dazu, dass den Ange­ru­fe­nen im Nach­gang des Tele­fo­nats Zusatz­dienst­lei­stun­gen unter­ge­scho­ben und teil­wei­se auch in Rech­nung gestellt wur­den, die die­se über­haupt nicht bestellt hatten.

Dane­ben hat­te Cell it! für den Pay-TV-Anbie­ter Sky Deutsch­land Fern­se­hen tele­fo­ni­sche Neu­kun­den­ak­qui­se über­nom­men. Das Unter­neh­men führ­te all die­se Anru­fe durch, obwohl kei­ne gül­ti­ge Wer­be­ein­wil­li­gung der Ange­ru­fe­nen vor­lag. Vie­le Betrof­fe­ne berich­te­ten zudem gegen­über der Bun­des­netz­agen­tur, dass trotz Unter­sa­gung wei­te­rer Anru­fe gehäuft Kon­takt­auf­nah­men erfolg­ten, durch die sie sich mas­siv belä­stigt fühlten.

Zu den kon­kre­ten For­men der Direkt­wer­bung, also dem Kon­takt­weg zu den betrof­fe­nen Per­so­nen (Anspra­che per Tele­fon­an­ruf, E‑Mail, Fax etc.), regelt das Wett­be­werbs­recht, § 7 des Geset­zes gegen den unlau­te­ren Wett­be­werb (UWG), in wel­chen Fäl­len von einer unzu­mut­ba­ren Belä­sti­gung der Bewor­be­nen aus­zu­ge­hen und eine Wer­bung die­ser Art unzu­läs­sig ist.

Weil Art. 6 Abs. 1 Satz 1 lit. f DS-GVO eine Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten nur für zuläs­sig erklärt, soweit die Inter­es­sen oder Grund­rech­te und Grund­frei­hei­ten der betrof­fe­nen Per­son nicht über­wie­gen, sind auch bei der daten­schutz­recht­li­chen Beur­tei­lung einer Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten für Zwecke der Direkt­wer­bung die Wer­tun­gen in den Schutz­vor­schrif­ten des UWG für die jewei­li­ge Wer­be­form mit­zu­be­rück­sich­ti­gen. Wenn für den wer­ben­den Ver­ant­wort­li­chen ein bestimm­ter Kon­takt­weg zu einer betrof­fe­nen Per­son danach nicht erlaubt ist, kann die Inter­es­sen­ab­wä­gung nach Art. 6 Abs. 1 Satz 1 lit. f DS-GVO auch nicht zugun­sten der Zuläs­sig­keit einer Ver­ar­bei­tung die­ser Kon­takt­da­ten für Zwecke der Direkt­wer­bung ausfallen.

Daten­schutz­kon­fe­renz (DSK): Ori­en­tie­rungs­hil­fe der Auf­sichts­be­hör­den zur Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten für Zwecke der Direkt­wer­bung unter Gel­tung der Datenschutz-Grundverordnung

Pres­se­mit­tei­lung des Bun­des­be­auf­trag­ten für den Daten­schutz und die Infor­ma­ti­ons­frei­heit vom 15.01.2021

Der Bun­des­be­auf­trag­te für den Daten­schutz und die Infor­ma­ti­ons­frei­heit (BfDI), Pro­fes­sor Ulrich Kel­ber, ist sehr zufrie­den mit dem Ergeb­nis des Euro­päi­schen Daten­schutz­aus­schus­ses (EDSA) zu Stan­dard­da­ten­schutz­klau­seln (SDK). Die euro­päi­schen Daten­schutz­auf­sichts­be­hör­den und der Euro­päi­sche Daten­schutz­be­auf­trag­te (EDPS) hat­ten in der Sit­zung vom 14. Janu­ar gemein­sa­me Stel­lung­nah­men zu den Ent­wür­fen der Euro­päi­schen Kom­mis­si­on von SDK beschlossen.

Dazu sag­te BfDI Ulrich Kel­ber: „Es gab inten­si­ve Ver­hand­lun­gen zu den Stel­lung­nah­men, die ich mit mei­nen Kol­le­gin­nen und Kol­le­gen ver­ab­schie­det habe. EDSA und EDPS kom­men zu einem kla­ren Urteil. Unse­re deut­sche Posi­ti­on fin­det sich an vie­len Stel­len der Papie­re wie­der. Die­ser gemein­sa­me Vor­schlag wür­de Rechts­si­cher­heit für den Daten­aus­tausch mit Län­dern außer­halb des Euro­päi­schen Wirt­schafts­rau­mes brin­gen, ohne Ein­schrän­kun­gen beim Daten­schutz zu machen.“

Der BfDI hat­te mit sei­nen Kol­le­gin­nen und Kol­le­gen aus den Bun­des­län­dern die deut­sche Posi­ti­on ent­wickelt. Der EDSA und der EDPS waren zum Jah­res­wech­sel von der Euro­päi­schen Kom­mis­si­on gebe­ten wor­den, eine gemein­sa­me Stel­lung­nah­me zu zwei Ent­wür­fen von SDK nach Art. 28 und Art. 46 der Daten­schutz-Grund­ver­ord­nung (DSGVO) zu erar­bei­ten. Die neu­en SDK zu Art. 46 DSGVO sol­len die bis­he­ri­gen bei inter­na­tio­na­len Daten­über­mitt­lun­gen erset­zen. Neue­run­gen gibt es bei­spiels­wei­se bei Anpas­sun­gen an die Anfor­de­run­gen der DSGVO und die Schrems II Recht­spre­chung des Euro­päi­schen Gerichts­ho­fes. Die SDK zu Arti­kel 28 DSGVO sol­len für die Ver­trags­ge­stal­tung zwi­schen Ver­ant­wort­li­chen und Auf­trags­ver­ar­bei­tern erst­mals einen euro­pa­weit ver­wend­ba­ren Stan­dard set­zen, der den Unter­neh­men und Behör­den die Umset­zung der ent­spre­chen­den Vor­ga­ben der DSGVO deut­lich erleich­tert. Der EDSA wird den gemein­sa­men Vor­schlag in Kür­ze auf sei­ner Home­page ver­öf­fent­li­chen: https://​www​.edpb​.euro​pa​.eu/

Die Pres­se­mit­tei­lun­gen des Bun­des­be­auf­trag­ten für den Daten­schutz und die Infor­ma­ti­ons­frei­heit kön­nen hier abge­ru­fen werden.

Down­load Stel­lung­nah­me zu über­ar­bei­te­ten Stan­dard­da­ten­schutz­klau­seln als PDF

Pres­se­mit­tei­lung der Lan­des­be­auf­trag­ten für den Daten­schutz Nie­der­sach­sen vom 15.01.2021

Die Lan­des­be­auf­trag­te für den Daten­schutz (LfD) Nie­der­sach­sen, Bar­ba­ra Thiel, stellt klar, dass es kein grund­sätz­li­ches daten­schutz­recht­li­ches Hin­der­nis gibt, auf Mel­de­da­ten zurück­zu­grei­fen, um Impf­in­for­ma­tio­nen an Bür­ge­rin­nen und Bür­ger zu schicken. Durch die öffent­li­che Dar­stel­lung der ver­gan­ge­nen Tage war der Ein­druck ent­stan­den, der Daten­schutz ver­hin­de­re gene­rell die Nut­zung der Mel­de­da­ten für die­sen Zweck. Das ist falsch.

Rich­tig ist, dass dem Sozi­al­mi­ni­ste­ri­um die Nut­zung des Mel­de­re­gi­ster­da­ten­spie­gels (die tages­ak­tu­el­le Zusam­men­stel­lung der kom­mu­na­len Mel­de­re­gi­ster­da­ten) auf­grund lan­des­recht­li­cher Rege­lun­gen nicht mög­lich ist, um Impf­in­for­ma­tio­nen an über 80-jäh­ri­ge Per­so­nen zu ver­sen­den. Ins­be­son­de­re die Rege­lun­gen des Nie­der­säch­si­schen Aus­füh­rungs­ge­set­zes zum Bun­des­mel­de­ge­setz ste­hen dem ent­ge­gen. Dies gilt auch für die Ein­bin­dung eines pri­va­ten Dienstleisters.

Aller­dings gibt es ande­re Mög­lich­kei­ten, auf die Mel­de­da­ten zurück­zu­grei­fen, ohne mit dem Mel­de- oder Daten­schutz­recht in Kon­flikt zu gera­ten. Zum einen kön­nen die Infor­ma­tio­nen des Sozi­al­mi­ni­ste­ri­ums über die Kom­mu­nen ver­sen­det wer­den. Die­se hal­ten die nöti­gen Daten ohne­hin vor und dür­fen sie auch für die­sen Zweck ver­wen­den. Es ist des­halb zu begrü­ßen, dass das Sozi­al­mi­ni­ste­ri­um das Ange­bot der kom­mu­na­len Spit­zen­ver­bän­de ange­nom­men hat, bei der Ver­sen­dung der Impf­schrei­ben zu unterstützen.

Zum ande­ren kann das Sozi­al­mi­ni­ste­ri­um die Daten gemäß § 34 Abs. 2 Bun­des­mel­de­ge­setz auch durch eine soge­nann­te Grup­pen­aus­kunft von den jewei­li­gen Kom­mu­nen erhal­ten und für die Impf­in­for­ma­tio­nen ver­wen­den. Für die Ver­sen­dung könn­te das Mini­ste­ri­um hier auch einen pri­va­ten Dienst­lei­ster ein­set­zen. Sofern die­ser Dienst­lei­ster mit per­so­nen­be­zo­ge­nen Daten in Berüh­rung kommt, wäre der Abschluss eines Auf­trags­ver­ar­bei­tungs­ver­tra­ges erfor­der­lich. Ins­be­son­de­re müss­te durch den Ver­trag sicher­ge­stellt wer­den, dass der Dienst­lei­ster die Daten nicht zu eige­nen Zwecken ver­wen­det, wie z. B. für Werbung.

Wir sehen aus daten­schutz­recht­li­cher Sicht kei­ne Not­wen­dig­keit für die Ver­wen­dung der Daten­bank der Deut­schen Post Direkt GmbH“, sagt Lan­des­da­ten­schutz­be­auf­trag­te Bar­ba­ra Thiel. „Es gibt recht­lich gang­ba­re Mög­lich­kei­ten, um die Mel­de­da­ten zu ver­wen­den. Es ist nun wie­der ein­mal der fal­sche Ein­druck ent­stan­den, Daten­schutz stün­de über allen ande­ren Gütern und wür­de not­wen­di­ge Maß­nah­men ver­hin­dern. Bedau­er­li­cher­wei­se ist mein Haus in die­sen Fra­gen nicht vom Sozi­al­mi­ni­ste­ri­um ein­ge­bun­den worden.“

Die Pres­se­mit­tei­lun­gen der Lan­des­be­auf­trag­ten für den Daten­schutz Nie­der­sach­sen kön­nen hier abge­ru­fen werden.

Pres­se­mit­tei­lung der Lan­des­be­auf­trag­ten für den Daten­schutz Nie­der­sach­sen vom 08.01.2021

Die Lan­des­be­auf­trag­te für den Daten­schutz (LfD) Nie­der­sach­sen hat eine Geld­bu­ße über 10,4 Mil­lio­nen Euro gegen­über der note​books​bil​li​ger​.de AG aus­ge­spro­chen. Das Unter­neh­men hat­te über min­de­stens zwei Jah­re sei­ne Beschäf­tig­ten per Video über­wacht, ohne dass dafür eine Rechts­grund­la­ge vor­lag. Die unzu­läs­si­gen Kame­ras erfass­ten unter ande­rem Arbeits­plät­ze, Ver­kaufs­räu­me, Lager und Aufenthaltsbereiche.

Das Unter­neh­men hat­te sich dar­auf beru­fen, dass es Ziel der instal­lier­ten Video­ka­me­ras gewe­sen sei, Straf­ta­ten zu ver­hin­dern und auf­zu­klä­ren sowie den Waren­fluss in den Lagern nach­zu­ver­fol­gen. Zur Ver­hin­de­rung von Dieb­stäh­len muss eine Fir­ma aber zunächst mil­de­re Mit­tel prü­fen (z. B. stich­pro­ben­ar­ti­ge Taschen­kon­trol­len beim Ver­las­sen der Betriebs­stät­te). Eine Video­über­wa­chung zur Auf­deckung von Straf­ta­ten ist zudem nur recht­mä­ßig, wenn sich ein begrün­de­ter Ver­dacht gegen kon­kre­te Per­so­nen rich­tet. Ist dies der Fall, kann es zuläs­sig sein, die­se zeit­lich begrenzt mit Kame­ras zu über­wa­chen. Bei note​books​bil​li​ger​.de war die Video­über­wa­chung aber weder auf einen bestimm­ten Zeit­raum noch auf kon­kre­te Beschäf­tig­te beschränkt. Hin­zu kam, dass die Auf­zeich­nun­gen in vie­len Fäl­len 60 Tage gespei­chert wur­den und damit deut­lich län­ger als erforderlich.

Gene­ral­ver­dacht reicht nicht aus

Wir haben es hier mit einem schwer­wie­gen­den Fall der Video­über­wa­chung im Betrieb zu tun“, sagt die LfD Nie­der­sach­sen, Bar­ba­ra Thiel, „Unter­neh­men müs­sen ver­ste­hen, dass sie mit einer solch inten­si­ven Video­über­wa­chung mas­siv gegen die Rech­te ihrer Mit­ar­bei­te­rin­nen und Mit­ar­bei­ter ver­sto­ßen“. Auch die immer wie­der vor­ge­brach­te, angeb­lich abschrecken­de Wir­kung der Video­über­wa­chung recht­fer­ti­ge kei­nen dau­er­haf­ten und anlass­lo­sen Ein­griff in die Per­sön­lich­keits­rech­te der Beschäf­tig­ten. „Wenn das so wäre, könn­ten Unter­neh­men die Über­wa­chung gren­zen­los aus­deh­nen. Die Beschäf­tig­ten müs­sen aber ihre Per­sön­lich­keits­rech­te nicht auf­ge­ben, nur weil ihr Arbeit­ge­ber sie unter Gene­ral­ver­dacht stellt“, so Thiel. „Video­über­wa­chung ist ein beson­ders inten­si­ver Ein­griff in das Per­sön­lich­keits­recht, da damit theo­re­tisch das gesam­te Ver­hal­ten eines Men­schen beob­ach­tet und ana­ly­siert wer­den kann. Das kann nach der Recht­spre­chung des Bun­des­ar­beits­ge­richts dazu füh­ren, dass die Betrof­fe­nen den Druck emp­fin­den, sich mög­lichst unauf­fäl­lig zu beneh­men, um nicht wegen abwei­chen­der Ver­hal­tens­wei­sen kri­ti­siert oder sank­tio­niert zu werden.“

Auch Kun­din­nen und Kun­den von note​books​bil​li​ger​.de waren von der unzu­läs­si­gen Video­über­wa­chung betrof­fen, da eini­ge Kame­ras auf Sitz­ge­le­gen­hei­ten im Ver­kaufs­raum gerich­tet waren. In Berei­chen, in denen sich Men­schen typi­scher­wei­se län­ger auf­hal­ten, zum Bei­spiel um die ange­bo­te­nen Gerä­te aus­gie­big zu testen, haben die daten­schutz­recht­lich Betrof­fe­nen hohe schutz­wür­di­ge Inter­es­sen. Das gilt beson­ders für Sitz­be­rei­che, die offen­sicht­lich zum län­ge­ren Ver­wei­len ein­la­den sol­len. Des­halb war die Video­über­wa­chung durch note​books​bil​li​ger​.de in die­sen Fäl­len nicht verhältnismäßig.

Die 10,4 Mil­lio­nen Euro sind das bis­her höch­ste Buß­geld, das die LfD Nie­der­sach­sen unter Gel­tung der Daten­schutz-Grund­ver­ord­nung (DS-GVO) aus­ge­spro­chen hat. Die DS-GVO ermög­licht es den Auf­sichts­be­hör­den, Geld­bu­ßen von bis zu 20 Mil­lio­nen Euro oder bis zu 4 Pro­zent des gesam­ten welt­weit erziel­ten Jah­res­um­sat­zes eines Unter­neh­mens zu ver­hän­gen – je nach­dem, wel­cher Betrag höher ist. Das gegen note​books​bil​li​ger​.de aus­ge­spro­che­ne Buß­geld ist noch nicht rechts­kräf­tig. Das Unter­neh­men hat sei­ne Video­über­wa­chung mitt­ler­wei­le recht­mä­ßig aus­ge­stal­tet und dies der LfD Nie­der­sach­sen nachgewiesen.

Mehr Infor­ma­tio­nen

Infor­ma­tio­nen der LfD Nie­der­sach­sen zum The­ma Videoüberwachung

Bera­tung zu Daten­schutz­pflich­ten ent­fällt oft ersatzlos

Ruhr-Uni­ver­si­tät Bochum unter­such­te im Auf­trag des BvD und der Zeit­schrift Daten­schutz PRAXIS die Fol­gen der Erhö­hung der Benenngrenze. 

Ein Jahr ist ver­gan­gen, seit der Gesetz­ge­ber die Gren­ze der Pflicht, einen Daten­schutz­be­auf­trag­ten (DSB) zu benen­nen, von 10 auf 20 daten­ver­ar­bei­ten­de Mit­ar­bei­ter hoch­ge­setzt hat. Die Fol­gen für Unter­neh­men und DSB hat nun die Ruhr-Uni­ver­si­tät Bochum im Auf­trag des Berufs­ver­bands der Daten­schutz­be­auf­trag­ten Deutsch­lands (BvD) e.V. und der Zeit­schrift Daten­schutz PRAXIS in einer Umfra­ge mit ins­ge­samt 353 Teil­neh­men­den analysiert.

Posi­ti­ve Erfah­run­gen mit Exper­ti­se: DSB in 8 von 10 Fäl­len frei­wil­lig beibehalten

62 Pro­zent der Befrag­ten betreu­en als exter­ne DSB ins­ge­samt 8.399 Unter­neh­men, von denen jedes vier­te (3.391) von der Ände­rung betrof­fen ist. Von die­sen haben ledig­lich 16 Pro­zent ihren exter­nen DSB abbe­ru­fen, rund 84 Pro­zent ent­schie­den sich dafür, ihn bei­zu­be­hal­ten. Betrof­fen von den Abbe­ru­fun­gen waren mit 123 jedoch mehr als die Hälf­te (56 %) der befrag­ten exter­nen Datenschutzbeauftragten.

Dass sich acht von zehn Unter­neh­men, die vor­mals zur Benen­nung ver­pflich­tet waren, zu einer Bei­be­hal­tung der exter­nen Daten­schutz­be­auf­trag­ten ent­schlos­sen haben, lässt auf posi­ti­ve Erfah­run­gen mit der damit ein­her­ge­hen­den Exper­ti­se schlie­ßen“, so BvD-Vor­stands­vor­sit­zen­der Tho­mas Spa­eing. „Im Umkehr­schluss bedeu­tet dies aber lei­der auch, dass in Fol­ge der Geset­zes­än­de­rung nun ver­mut­lich weni­ger Unter­neh­men die­se posi­ti­ve Erfah­rung machen werden.“

Oft über­nimmt nie­mand Bera­tung und Über­wa­chung der Datenschutzpflichten

Die Abbe­ru­fung der exter­nen DSB führt in Unter­neh­men zu mas­si­ven Aus­wir­kun­gen für das Daten­schutz-Manage­ment­sy­stem: Sechs von zehn in Unter­neh­men abbe­ru­fe­ne exter­ne DSB gaben an, dass es Fäl­le gibt, in denen ihres Wis­sens nie­mand die Über­wa­chung und Bera­tung hin­sicht­lich der Daten­schutz­pflich­ten wahr­nimmt. Die Risi­ken für die Unter­neh­men und für betrof­fe­ne Per­so­nen sind immens.

Rund 35 Pro­zent gaben an, dass die Geschäfts­füh­rung nun selbst die­se Auf­ga­be über­nimmt. Als ande­re Funk­ti­ons­be­rei­che, die die­se Auf­ga­be über­neh­men, wur­den inter­ne DSB (19,5 %), exter­ne Daten­schutz­be­auf­trag­te ohne Benen­nung (10,6 %), Füh­rungs­kräf­te (8,9 %) und exter­ne Rechts­an­wäl­te (4,1 %) genannt.

Mehr­auf­wand durch Ineffizienz

Über­ra­schend sind die Aus­sa­gen zu den Aus­wir­kun­gen, die die­se Ver­än­de­rung her­vor­ge­ru­fen hat: 43 Pro­zent der in Unter­neh­men abbe­ru­fe­nen DSB sind der Mei­nung, dass sich die Auf­wän­de für den Daten­schutz durch die Abbe­ru­fung des DSB erhöht haben. Eine Abnah­me des Auf­wands – die, wie oben beschrie­ben, aber eben mit einer ris­kan­ten Ver­nach­läs­si­gung der Daten­schutz­pflich­ten ein­her­geht – gaben 39 Pro­zent an, 18 Pro­zent sehen hier kei­ne Veränderung.

Ent­ge­gen der Erwar­tung haben in 40 Pro­zent der Unter­neh­men Auf­wän­de ent­spre­chend der Aus­sa­ge der ehe­ma­li­gen DSB zuge­nom­men. „Die­ses Ergeb­nis wider­spricht dem häu­fig ange­führ­ten Argu­ment des Büro­kra­tie­ab­baus durch die Ände­rung der Benenn­gren­ze“, so Spa­eing. „Das ergibt auch Sinn. Weni­ger Exper­ti­se bedeu­tet Mehr­auf­wand durch Inef­fi­zi­enz und man­geln­de Qua­li­tät – bei gleich­blei­ben­den Anfor­de­run­gen durch die DSGVO und das BDSG.“

Unter­stri­chen wird die­se Wahr­neh­mung durch die Anga­ben zu den wei­te­ren Fol­gen. Die Mehr­heit der in Unter­neh­men abbe­ru­fe­nen exter­nen Daten­schutz­be­auf­trag­ten gab als Fol­gen auch eine Abnah­me der Sen­si­bi­li­tät für das The­ma Daten­schutz (87,5 %), beim Wis­sen­stand in recht­li­chen (86,7 %) sowie tech­nisch-orga­ni­sa­to­ri­schen Fra­gen (84,2 %) des Daten­schut­zes und bei der Klar­heit der Zustän­dig­keit (76,7 %) an.

Auch 135 inter­ne DSB und Unter­neh­mens­ver­tre­ter nah­men an der Umfra­ge teil. Bei die­ser Grup­pe war die über­wie­gen­de Mehr­heit von rund 88 Pro­zent jedoch nicht von der Geset­zes­än­de­rung betrof­fen. Ent­we­der waren bereits vor der Ände­rung weni­ger als 10 Mit­ar­bei­ter mit der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten betraut oder die Benenn­pflicht bestand auch nach der Ände­rung auf­grund der Mit­ar­bei­ter­zahl oder der beson­de­ren Ver­ar­bei­tung weiter.

Hin­weis zur Metho­dik: Grund­la­ge der Anga­ben ist eine Umfra­ge, die die Ruhr-Uni­ver­si­tät Bochum im Auf­trag des BvD und der Zeit­schrift Daten­schutz PRAXIS unter ihren Mit­glie­dern, Lese­rin­nen und Lesern durch­ge­führt hat. Dabei wur­den 504 Per­so­nen (inter­ne und exter­ne Daten­schutz­be­auf­trag­te sowie Unter­neh­mens­ver­tre­ter) in Deutsch­land per Online-Fra­ge­bo­gen befragt.

Ihr BvD-Ansprech­part­ner:
BvD Pres­se­stel­le, Tel: 030 26 36 77 60, Buda­pe­ster Stra­ße 31, 10787 Ber­lin
E‑Mail: pressestelle@​bvdnet.​de, Inter­net: https://​www​.bvd​net​.de, Vor­stands­vor­sit­zen­der Tho­mas Spaeing

Der BvD: Die Inter­es­sen­ver­tre­tung der Daten­schutz­be­auf­trag­ten
Der Berufs­ver­band der Daten­schutz­be­auf­trag­ten Deutsch­lands (BvD) e.V. för­dert die beruf­li­chen Inter­es­sen der Daten­schutz­be­auf­trag­ten in Behör­den und Betrie­ben und setzt sich aktiv für die wei­te­re Ent­wick­lung und Akzep­tanz des Beru­fes „Daten­schutz­be­auf­trag­ter“ in Deutsch­land und Euro­pa ein.

https://​www​.bvd​net​.de/​p​r​e​s​s​e​/​b​e​r​a​t​u​n​g​-​z​u​-​d​a​t​e​n​s​c​h​u​t​z​p​f​l​i​c​h​t​e​n​-​e​n​t​f​a​e​l​l​t​-​o​f​t​-​e​r​s​a​t​z​l​os/

DAFTA 2020: „Schrems II“, Office 365 etc. – Daten­schutz­prak­ti­ker for­dern von Behör­den prak­ti­sche Hil­fe­stel­lung anstatt pau­scha­ler Verbote

Vom 19. bis 20.11.2020 führt die Gesell­schaft für Daten­schutz und Daten­si­cher­heit (GDD) e.V., ihre 44. Daten­schutz­fach­ta­gung (DAFTA) durch. Die tra­di­tio­nell im Köl­ner Mater­nus­haus abge­hal­te­ne Ver­an­stal­tung fin­det auf Grund der Coro­na-Pan­de­mie in die­sem Jahr kom­plett online statt.

Peter Bie­sen­bach, NRW Justiz­mi­ni­ster, begrüßt das Urteil, mit dem das LG Bonn am 11.11.2020 das Buß­geld des Bun­des­be­auf­trag­ten für den Daten­schutz und die Infor­ma­ti­ons­frei­heit gegen den Tele­kom­mu­ni­ka­ti­ons­an­bie­ter 1&1 von ursprüng­lich 9,5 Mil­lio­nen Euro auf 900.000 € her­ab­ge­setzt hat. Mit sei­ner Ent­schei­dung habe das Gericht der daten­ver­ar­bei­ten­den Wirt­schaft wich­ti­ges Ver­trau­en in den Rechts­staat zurück­ge­ge­ben. Die­se müs­se nun nicht mehr mit der Angst vor irra­tio­na­len Buß­gel­dern der Ver­wal­tungs­be­hör­den leben, son­dern dür­fe damit rech­nen, dass Daten­schutz­ver­stö­ße zwar emp­find­li­che, aber risi­ko­ad­äqua­te Sank­tio­nen nach sich zie­hen.

Zur lan­ge geplan­ten ePri­va­cy-Ver­ord­nung berich­tet Rolf Ben­der, Bun­de­mi­ni­ste­ri­um für Wirt­schaft und Ener­gie, dass nun­mehr lei­der klar sei, dass auch im Rah­men der deut­schen Rats­prä­si­dent­schaft kei­ne Ver­stän­di­gung im EU-Mini­ster­rat mehr erreicht wer­de. Damit sei es jetzt an den Por­tu­gie­sen, sich um eine all­ge­mei­ne Aus­rich­tung zu bemü­hen, damit in die Ver­hand­lun­gen mit EU-Par­la­ment und EU-Kom­mis­si­on ein­ge­tre­ten wer­den kön­ne. Auf natio­na­ler Ebe­ne sei mit dem Tele­kom­mu­ni­ka­ti­ons-Tele­me­di­en-Daten­schutz-Gesetz (TTDSG) ein neu­es Stamm­ge­setz für den Daten­schutz geplant, wel­ches die Daten­schutz­re­ge­lun­gen im Tele­kom­mu­ni­ka­ti­ons- und Tele­me­di­en­be­reich zusam­men­füh­re. Die Res­sort­ab­stim­mung soll „sehr bald“ abge­schlos­sen wer­den, so Ben­der. Danach fol­ge die Anhö­rung der Ver­bän­de zum Gesetz­ent­wurf.

Prof. Dr. Gün­ter Krings, MdB, Par­la­men­ta­ri­scher Staats­se­kre­tär beim Bun­des­mi­ni­ster des Innern, für Bau und Hei­mat, begrüßt das Bestre­ben, die Daten­schutz­re­ge­lun­gen im Tele­kom­mu­ni­ka­ti­ons- und Tele­me­di­en­be­reich in einem ein­heit­li­chen Gesetz zusam­men­zu­füh­ren. Der gegen­wär­tig bestehen­de recht­li­che Flicken­tep­pich müs­se schnellst­mög­lich besei­tigt und Rechts­si­cher­heit geschaf­fen wer­den. Die ePri­va­cy-VO kön­ne nicht län­ger abge­war­tet wer­den. Der deut­sche Gesetz­ge­ber habe die Mög­lich­keit, durch das natio­na­le Gesetz­ge­bungs­vor­ha­ben Wege für einen ange­mes­se­nen Inter­es­sen­aus­gleich im ePri­va­cy-Bereich auf­zu­zei­gen.

Nach Prof. Dr. Her­wig Hof­mann, Uni­ver­si­tät Luxem­burg, Kla­ge­ver­tre­ter im Fall Schrems II, ist die seit 2013 dau­ern­de „Schrems Saga“ auch mit dem EuGH Urteil aus dem Juli die­ses Jah­res (Schrems II – C‑311/​18) wei­ter­hin nicht abge­schlos­sen. Die DPC in Irland habe ihr Ver­fah­ren erneut aus­ge­setzt und der Euro­päi­sche Daten­schutz­aus­schuss zwei „Schrems II Task For­ces“ ein­ge­setzt. Die Stan­dard­ver­trags­klau­seln habe der EuGH aus sei­ner Sicht zurecht erhal­ten, so Hof­mann. Inso­fern sei­en aber nun der Trans­port­weg der Daten und die Situa­ti­on im Dritt­staat jeweils im Ein­zel­fall zu prü­fen.

Tho­mas Zer­dick, Refe­rats­lei­ter beim Euro­päi­schen Daten­schutz­be­auf­trag­ten, stell­te die Auf­ga­ben des Euro­päi­schen Daten­schutz­aus­schus­ses (EDSA) vor und ging dabei ins­be­son­de­re auf die The­men Schrems II und Coo­kies ein. Mit­tels des in der DS-GVO vor­ge­se­he­nen Streit­bei­le­gungs­ver­fah­ren kön­ne der Aus­schuss auch in strit­ti­gen Fra­gen zu ver­bind­li­chen Beschlüs­sen kom­men. Durch rasche Stel­lung­nah­men zu Beginn der Coro­na-Pan­de­mie habe der EDSA über­dies gezeigt, dass der Daten­schutz kein Hin­der­nis bei der Pan­de­mie­be­kämp­fung sein müs­se.

„Fin­ger weg von jeder Zen­tra­li­sie­rung“ posi­tio­niert sich Dr. Ste­fan Brink, Lan­des­be­auf­trag­ter für den Daten­schutz und die Infor­ma­ti­ons­frei­heit Baden-Würt­tem­berg, im Hin­blick auf die aktu­el­le Dis­kus­si­on um die Zen­tra­li­sie­rung der Daten­schutz­auf­sicht. Seit 2016 habe es eine „mas­si­ve“ Koor­di­na­ti­on der natio­na­len Behör­den gege­ben. Ohne­dies sei der Daten­schutz ein euro­päi­sches The­ma und vor allem auf die­ser Ebe­ne müs­se eine Ver­ein­heit­li­chung erfol­gen. Die natio­na­le Auf­sichts­struk­tur spie­le aus sei­ner Sicht eher eine unter­ge­ord­ne­te Rol­le.
Nach der Auf­fas­sung von Brink ver­bie­ten sich pau­scha­le Aus­sa­gen zur Zuläs­sig­keit des Ein­sat­zes bestimm­ter Soft­ware­pro­duk­te, wie z.B. Micro­soft Office 365. Aus sei­ner Sicht müs­se vor einer Unter­sa­gung des Ein­sat­zes durch die Behör­de im Übri­gen zunächst geprüft wer­den, ob es im kon­kre­ten Fall zumut­ba­re Alter­na­tiv­an­ge­bo­te ohne Trans­fer­pro­ble­me gibt.

Hin­sicht­lich der im gele­ak­ten TTDSG-Ent­wurf vor­ge­se­he­nen Per­so­nal Infor­ma­ti­on Manage­ment Ser­vices (PIMS) warn­te Klaus Mül­ler, Vor­stand des Ver­brau­cher­zen­tra­le Bun­des­ver­bands (vzbv), zur Vor­sicht. Sol­che Dien­ste sei­en aus sei­ner Sicht zwar prin­zi­pi­ell zu begrü­ßen. Es müs­se aller­dings sicher­ge­stellt sein, dass es sich bei die­sen nur um neu­tra­le Inter­me­diä­re ohne eige­ne wirt­schaft­li­che Inter­es­sen an der Ver­wer­tung der ver­wal­te­ten Infor­ma­tio­nen han­de­le. Letz­te­res schlie­ße indes nicht aus, dass ent­spre­chen­de Anbie­ter für ihre Dien­ste auch Ent­gel­te erhe­ben dür­fen.

Achim Schlos­ser, Euro­pean netID Foun­da­ti­on, Mon­ta­baur, sprach sich für einen euro­päi­schen Ansatz im Hin­blick auf die Dien­ste von Iden­ti­täts- und Ein­wil­li­gungs­treu­hän­dern aus. Euro­pa­wei­te Rah­men­be­din­gun­gen erleich­ter­ten die Durch­set­zung gegen­über den gro­ßen Inter­net­an­bie­tern.

Vor dem Hin­ter­grund, dass mit einem zügi­gen Erlass von novel­lier­ten euro­pa­recht­li­chen ePri­va­cy-Vor­ga­ben im All­ge­mei­nen bzw. Rah­men­be­din­gun­gen zu PIMS im Beson­de­ren nicht zu rech­nen ist, waren sich die Teil­neh­mer der den poli­ti­schen Vor­mit­tag der DAFTA abschlie­ßen­den Podi­ums­dis­kus­si­on jedoch einig, dass der natio­na­le Weg über das geplan­te TTDSG ein guter Ansatz sei. Es sei zu hof­fen, dass das Gesetz­ge­bungs­ver­fah­ren zum TTDSG noch in die­ser Legis­la­tur­pe­ri­ode zum Abschluss kom­me, so Prof. Dr. Rolf Schwart­mann, Vor­stands­vor­sit­zen­der der GDD e.V., Bonn.

Andre­as Jas­pers, Geschäfts­füh­rer der GDD, reg­te an, dass im Rah­men des Gesetz­ge­bungs­ver­fah­rens zum TTDSG der Arbeit­ge­ber als mög­li­cher Adres­sat straf­recht­lich rele­van­ter Ver­stö­ße gegen das Fern­mel­de­ge­heim­nis aus­ge­nom­men wer­den soll­te. Zudem soll­te ein Ein­satz von rei­nen Online­ana­ly­se­tools auch ohne Ein­wil­li­gung der Nut­zer mög­lich sein, so Jas­pers.


Zur GDD:
Die GDD wur­de 1977 in Bonn gegrün­det und unter­stützt seit­dem Unter­neh­men, ins­be­son­de­re deren Daten­schutz­be­auf­trag­te, bei der Lösung der viel­fäl­ti­gen mit Daten­schutz und Daten­si­cher­heit ver­bun­de­nen tech­ni­schen, recht­li­chen und orga­ni­sa­to­ri­schen Fra­gen. Sie tritt als gemein­nüt­zi­ger ein­ge­tra­ge­ner Ver­ein für einen sinn­vol­len, ver­tret­ba­ren und tech­nisch rea­li­sier­ba­ren Daten­schutz ein. Zusam­men mit DATAKONTEXT (über das Onlinelern­por­tal UNIVADO) rich­tet die GDD in die­sem Jahr die Daten­schutz­fach­ta­gung DAFTA aus. 

Der Bun­des­be­auf­trag­te für den Daten­schutz und die Infor­ma­ti­ons­frei­heit (BfDI), Pro­fes­sor Ulrich Kel­ber, sieht sich durch die Ent­schei­dung des Land­ge­richts Bonn bestä­tigt: „Das LG Bonn hat heu­te geur­teilt, dass 1&1 für sei­nen Ver­stoß haf­tet. Das zeigt: Daten­schutz­ver­stö­ße blei­ben nicht ohne Folgen.“

Für den BfDI ist es das erste gro­ße Gerichts­ver­fah­ren seit Inkraft­tre­ten der DSGVO. Dabei wur­den wich­ti­ge und grund­sätz­li­che Fra­ge­stel­lun­gen geklärt. Das Gericht folg­te der Auf­fas­sung des BfDI in wesent­li­chen Punk­ten: Die 1&1 Tele­com GmbH hat durch unzu­rei­chen­de Sicher­heits­maß­nah­men im Call­cen­ter einen Daten­schutz­ver­stoß began­gen. Sie muss als Unter­neh­men nach den Maß­stä­ben der DSGVO dafür haf­ten: „Ich bin über­zeugt, dass die­se Ent­schei­dung in den Chef­eta­gen von Unter­neh­men wahr­ge­nom­men wird. Ich war­te noch auf die schrift­li­che Begrün­dung des Urteils, aber klar ist schon jetzt: Kein Unter­neh­men kann es sich mehr lei­sten den Daten­schutz zu vernachlässigen.“

Der BfDI hat­te den Tele­kom­mu­ni­ka­ti­ons­dienst­lei­ster 1&1 Tele­com GmbH im Dezem­ber 2019 mit einer Geld­bu­ße belegt. Auf­grund eines unzu­rei­chen­den Authen­ti­fi­zie­rungs­ver­fah­rens bei der tele­fo­ni­schen Kun­den­be­treu­ung der 1&1 Tele­com GmbH konn­ten Anru­fer allein mit Anga­be des Namens und Geburts­da­tums eines Kun­den weit­rei­chen­de Infor­ma­tio­nen zu wei­te­ren per­so­nen­be­zo­ge­nen Daten die­ser Per­son erhal­ten. Hier­in sah der BfDI einen Ver­stoß gegen die Datenschutzgrundverordnung.

Die Pres­se­mit­tei­lun­gen des Bun­des­be­auf­trag­ten für den Daten­schutz und die Infor­ma­ti­ons­frei­heit kön­nen hier abge­ru­fen werden.

Down­load BfDI zum Urteil im Ver­fah­ren gegen 1&1 als PDF

Das Baye­ri­sche Lan­des­amt für Daten­schutz­auf­sicht (Daten­schutz-Auf­sichts­be­hör­de für Unter­neh­men in Bay­ern) hat eine lesens­wer­te Check­li­ste für klei­ne und mitt­le­re Unter­neh­men ver­öf­fent­licht, wel­che tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men zur Erfül­lung der DSGVO-Vor­ga­ben an die Infor­ma­ti­ons­si­cher­heit (Art. 32 DSGVO – Sicher­heit der Ver­ar­bei­tung) geprüft wer­den sollten.

Die Daten­schutz­grund­ver­ord­nung for­dert von Unter­neh­men an sich, die eige­nen tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men im Rah­men eines struk­tu­rier­ten Pro­zes­ses lau­fend auf ihre Taug­lich­keit gemes­sen an der Risi­ko-Situa­ti­on zu prü­fen und anzu­pas­sen. Neben der in der Unter­neh­mens­pra­xis dazu bei grö­ße­ren Orga­ni­sa­tio­nen weit ver­brei­te­ten Norm zur Infor­ma­ti­ons­si­cher­heit (ISO 27001/​27002 und der dar­auf auf­bau­en­den Norm ISO27701 für das Daten­schutz-Manage­ment) steht klei­ne­ren Unter­neh­men und Kom­mu­nen der Zer­ti­fi­zie­rungs-Stan­dard ISIS12 zur Ver­fü­gung. Der öffent­li­che Bereich im Bund ori­en­tiert sich am IT-Grund­schutz-Kom­pen­di­um des BSI (und dem dar­an metho­disch ange­lehn­ten Stan­dard-Daten­schutz­mo­dell SDM, des­sen Ansatz im Gegen­satz zur ISO27001/​27002 nicht die Risi­ko-Per­spek­ti­ve des Unter­neh­mens son­dern des Betrof­fe­nen einnimmt).

Die Check­li­ste kann also kein struk­tu­rier­tes Infor­ma­ti­ons­si­cher­heits-Manage­ment erset­zen (und will dies expli­zit auch nicht), gibt aber gera­de klei­ne­ren (mit der Befas­sung beim The­ma Infor­ma­ti­ons­si­cher­heit fach­lich häu­fig über­for­der­ten) Unter­neh­men eine pra­xis­taug­li­che Über­sicht an die Hand, wel­che The­men im Bereich Infor­ma­ti­ons­si­cher­heit adres­siert bzw. geprüft wer­den sollten.

Die Check­li­ste des Baye­ri­schen Lan­des­amts für Daten­schutz­auf­sicht zu den tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men nach Art. 32 DSGVO kön­nen Sie hier ein­se­hen.