Schlagwort-Archive: Datenschutz Themen

Auswertung elektronischer Bezahlverfahren vs. Datenschutz

Möglichkeiten zur Auswertung von elektronischen Bezahlverfahren vs. Datenschutz

Datenschutz und Mestro Zahlung

Datenschutz und Kartenzahlung

Wer sich heute mit elektronischen Zahlungssystemen und Bezahlverfahren beschäftigt kommt schnell auf den Gedanken, dass seine Daten ausgewertet werden könnten. Denn durch den Zahlungsvorgang entstehen mannigfaltige und für jeden Händler oder Werbetreibenden absolut interessante Daten. Hier einige Anwendungsmöglichkeiten, ohne Wert auf Vollständigkeit oder extreme Beispiele zu legen:

a) Erfassen der Warenkörbe, daher die Analyse der gekauften Waren, dies ist besonders interessant um Rückschlüsse auf weitere Lebensumstände zu erhalten. Fragen die hier gestellt, bzw. beantwortet werden sind:

o Auswertung der Warengruppen, bzw. die Zusammenstellungen von Warengruppen, die wieder in Relation zu bestehenden Gewohnheiten, oder Lebensumständen gesetzt werden können
o Preisstruktur der gekauften Artikel
o Wege-, bzw. Sortimentsoptimierungen innerhalb eines Ladengeschäftes, daher was kauft man zusammen
o Käufergruppenanalysen: Zu welcher Gruppe von Käufern gehört die Person

b) Das Bewegungsprofil einer Person. Da man die Zahlstellen kennt und schon alleine aus rechtlichen Gründen kaum jemand seine Zahlkarten an eine weitere Person weitergibt, kennt man die Wege und Muster der betroffenen Person bald sehr gut.

o Bewegungsmuster des Kartennutzers
o Gewohnheiten des Kartennutzers
o Mobilität, daher wie komme ich von A nach B

c) Psychologische Typenbestimmung und Lebensumstände:

o Gewohnheitstier oder Spontankäufer
o Partymaus oder Stubenhocker
o Single oder Familienmensch
o Einkommensverhältnisse
o Beschäftigungsart

d) Aus a, b, und c lassen sich wiederum weitere Dinge wie die Bonität des einkaufenden errechnen. Daher ist aus einem Zahlenstrom sehr viel über eine Person ablesbar, z.B.: Was kauft diese Person, wo, in welchem Zusammenhang und unter Einfluss welcher Werbemaße ein. Bestehend Abhängigkeiten zu anderen Personen, wird für andere eingekauft, werden die Rechnungen immer bezahlt, wird in Raten gezahlt, oder lieber komplett? Wenn ja, bis zu welchen Beträgen, was für Artikel werden gekauft und wann im Monat, daher besteht eine Abhängigkeit zu Geldeingängen, oder Gehaltszahlungen.

Das sind alles Daten die für eine Person alleine schon interessant sind, insbesondere wenn ich diese Daten noch mit anderen personenbezogenen Daten verknüpfen kann. Je umfassender die Daten über mehrere Personen sind, desto eher lassen sich dann auch Ableitungen für Dritte Personen ziehen. Stichwort Predictive Analysis.

Einige Möglichkeiten zur Erlangung dieser Daten, ohne große Mühen, sind die Bezahlkarte eines Sammelsystems, die Bezahlvorgänge mit einer MAESTRO-, oder Kreditkarte, bzw. den Buchungen auf Bankkonten und natürlich die damit verknüpften Daten aus den Warenwirtschaftssystemen der Händler die diese Umsätze tätigen. Solche Auswertungen sind damit in unterschiedlich ausgeprägter Form einfach und sogar noch personenbezogen möglich. Voraussetzung ist eigentlich nur eine entsprechend große Anzahl von Datensätzen und die richtigen Systeme und Mitarbeiter zur Analyse.

Sollten Sie jetzt erschrocken sein, so ist das kein Wunder, denn selbst das unfähigste Unternehmen wird irgendwann mal in der Lage sein, mit externen Beratern, solche Systeme zu bauen. Der Aufwand ist überschaubar und der Ertrag, in die richtigen Hände gelegt, ungemein hochwertig und wertvoll. Zahlungs- und Kontodaten, sowie Bewegungsdaten die damit verknüpft sind, sind zwar vom Gesetzgeber nicht explizit als „besondere Arten personenbezogener Daten“ eingestuft, dennoch werden diese Daten in §42a BDSG besonders geschützt. Diese Daten sind zwar nicht direkt personenbezogen, aber durch die Verknüpfung mit einer Person, der eine solche Zahlungsmöglichkeit nun mal persönlich gehört, sehr wohl personenbeziehbar und damit nach dem Datenschutzgesetz zu behandeln.

Ein Beispiel für eine erfolgreiche bestehende Implementierung solcher Auswertungen ist die Zahlung per MAESTRO bzw. EC-Karte.

Es gibt zwei technische Verfahren für das Zahlen mit der EC-Karten, bzw. MAESTRO-Karte
Wird bei einem Einzelhändler statt mit Bargeld mit einer EC bzw. MAESTRO-Karte gezahlt so stehen dem Händler grundsätzlich zwei verschiedene Bezahlverfahren zur Verfügung. Entweder der Kunde identifiziert sich mittels Unterschrift und erlaubt somit den Geldeinzug durch den Händler mittels Lastschriftverfahren von seinem Konto, oder er wir zur Eingabe einer PIN aufgefordert.

Im ersten Fall ist für den Händler nicht sichergestellt, dass das Konto des Kunden gedeckt ist, zudem hat der Kunde noch ein erweitertes Wiederspruchsrecht für die Zahlung. Bei der Eingabe der PIN stellt die Bank jedoch die Kontodeckung sicher und dem Händler wird die Zahlung sofort bestätigt und gutgeschrieben.

Das PIN Verfahren ist daher das wesentlich zuverlässigere und mit weniger Risiko behaftete Verfahren für den Händler. Allerdings ist das Lastschriftverfahren das wesentlich günstigere und wird, wenn eine große Anzahl von Transaktionen vorliegt, oder die Margen sehr klein sind, umso interessanter.

Was machen nun Händler um sich vor Zahlungsausfällen zu schützen?

Der Zahlungsdienstanbieter des Händlers übernimmt für den Händler heute ganz selbstverständlich einen Teil der Prüfung, welches Verfahren für den Händler vorteilhafter ist. Die Entscheidung kommt in Form eine Vorschlages, man könnte auch sagen als Auskunft, aus den Systemen des Dienstanbieters. Eigentlich müsste sich jeder Händler die Entscheidung selbst, aufgrund seiner persönlichen Erfahrung mit dem einzelnen Kunden, überlegen. Da dies aber nicht wirklich in der Praxis funktioniert kommt der Dienstanbieter ins Spiel. Beurteilt dieser eine Zahlung per Lastschriftverfahren als zu riskant, dann wird entweder das PIN Verfahren verlangt oder eine Zahlung per alternativer Zahlungsweise (Barkauf) empfohlen. Die Entscheidung trifft dann der Händler öffiziell immer noch selbst.

Um diese Beurteilung durchzuführen werden derzeit im Standard die folgenden Merkmale geprüft:

  • Wurde die Karte gesperrt?
  • Ist die Karte noch gültig?
  • Wurde die Karte in kurzen Abständen in zwei weit voneinander liegenden Orten eingesetzt?
  • Erfolgten unlängst Rücklastschriften auf diese Bankverbindung?

Das hieraus generierte Datum mit den Werten, „Zahlung per Lastschriftverfahren“, „Zahlung per PIN Verfahren“, „Alternative Zahlungsart bevorzugt“ ist dann auch laut Dienstleister kein persönliches Datum und erlaubt eigentlich auch keinen Hinweis auf die Bonität des Kunden, was eindeutig ein personenbezogenes Datum wäre, dennoch kann für diese Auskunft natürlich eine Personenbezug her leitbar sein, insbesondere wenn eine Verknüpfung der Daten zu weiteren Systeme erfolgt. Die Diskussion entflammt hier an der Interpretation als nicht personenbezogenes Datum.

Hier zeigt sich sehr klar ein Problem in der Datenschutzkonformen Nutzung von Zahlungsdaten, ein Personenbezug ist sehr leicht herstellbar und damit hängt es stark von derNutzung, bzw. der potenziellen Nutzbarkeit, ab welchen Vorschriften die Daten und die darauf resultierenden Erkenntnisse unterliegen.

Ist Kartenzahlung damit Datenschutzrechtlich überhaupt möglich?

Nun stellt sich natürlich die Frage ob diese Art der Datenverarbeitung in einem Bezahlverfahren rechtlich zulässig ist. Die von der Zahlungskarten ausgebenden Industrie propagierte Unbedenklichkeit ist nicht ohne weiteres ersichtlich, da es, gerade für Unternehmen die den Stand der Technik nutzen, eine Leichtigkeit ist die so entstehenden Daten zur Generierung eines wirtschaftlichen Mehrwertes zu nutzen.

Was geht wird auch eingesetzt, zumindest sollte dies bei jedem ordentlichen und der Gewinnerzielung verpflichteten Kaufmann der Fall sein. Nutzbar sind diese Verfahren aber natürlich trotzdem, wenn statt auf Verschleierung, dem Gesetzgeber entsprechend, auf Transparenz gesetzt wird.

Ein Teil der großen Ketten tut dies bereits, indem Erläuterungen zu eingesetzten Verfahren öffentlich zugänglich aufgestellt werden. Andere Versuchen diese Erläuterung auf die Rückseite der Lastschrifteinwilligungsdurchschriften zu drucken, was als Belehrung oder Einverständnis wenig wirksam sein dürfte, da die Zustimmung mittels Unterschrift ja eigentlich zeitlich nach der Durchführung des Verfahrens kommt. Hier wäre die Umgestaltung des Gesamtprozesses eine interessante Alternative, wäre aber nur praktikabel wenn alle, inkl. Kassenhersteller involviert sind. Daneben kann noch mit berechtigtem Interesse argumentiert werden, dies ist in jedem Fall zu bejahen, zumindest wenn die Auskunft Adhoc gilt und nicht gespeichert wird, den Schutz vor Kreditbetrug ist ja auch im Interesse des ehrlichen Kunden und unterliegt damit dem §28 Abs. 1 Satz 1 BDSG.

Fazit zum MAESTRO/EC Bezahlverfahren und Datenschutz

Die öffentliche Diskussionen und damit die Diskussionen mit den einzelnen Aufsichtsbehörden über Bezahlverfahren im allgemeinen sind gestartet. Auf der einen Seite steht natürlich das berechtigte Interesse eines jeden nicht ausgespäht zu werden, auf der anderen Seite fragt man sich warum der Handel nicht einfach die Datenpreisgabe mit entsprechenden Entlohnungen und Transparenz belohnt. Die eingesetzten Bezahlverfahren wurden in der Vergangenheit von verschiedenen Datenschutz-Aufsichtsbehörden geprüft und für zulässig befunden, dennoch wird sich hier wohl im Zuge der neu entdeckten Möglichkeiten noch eine weitere Diskussion anschließen müssen. Wichtiger Punkt dabei wird sicher sein, dass letztlich ein Verbot dieser Prüfungen, auf die Nutzbarkeit des elektronischen Lastschriftverfahrens, zu einer Verteuerung von Zahlungssystemen führen wird. Denn kein Händler wird auf diesen Sicherheitsmechanismus so ohne weiteres verzichten wollen. Dies wiederum stellt eine Chance für alle alternativen Anbieter dar, die diese Schwierigkeiten vielleicht nicht haben!

Datenschutz bei US Unternehmen

Mit dem, leider nicht von allen beachteten, Urteil eines US Richters in New York (Reuters) gegen die Firma Microsoft wird klar, dass nicht nur Microsoft, sondern jeder US Konzern mit Cloud Diensten ein Problem für Europäische Firmen sein kann. Der Einsatz von Produkten eines in den USA ansässigen Unternehmens birgt hierdurch ungeahnte Risiken, die in auch nicht durch die Anwendung bestehenden Europäischen Rechts abgedeckt werden können.
Auch die Vereinbarung von Standardklauseln zum Datenschutz hilft nicht mehr viel und ist somit eigentlich noch nicht einmal das Papier wert, auf dass diese Verträge gedruckt werden. Von dem Urteil sind alle betroffen und alle müssten nun zugeben, dass jeder der US Dienste geschäftlich für personenbezogene Daten nutzt einen Bruch des Deutschen Datenschutzgesetzes begeht. Denn die Sicherheit eines Dienstes ist hinfällig wenn der Dienstanbieter so einfach dazu gezwungen werden kann alle Daten des Kunden weiter zu reichen.

Was ist genau passiert?

Microsoft hat versucht dagegen vorzugehen gezwungen zu werden Daten zu einem in Irland gehosteten E-Mail Account herauszugeben. Für die Herausgabe der Daten lag ein Beschluss einer US Strafverfolgungsbehörde vor der dies verlangte, genannt wird diese Behörde nicht und auch der Grund ist unklar. Alle weiteren Angaben zu diesem Fall stehen unter Verschluss.

Interessant ist die Begründung dafür dass es zu einer Herausgabe der Daten notwendig ist, da “… wenn U.S. Dienste gezwungen wären, Ihr Bemühen um die Sicherung solcher Informationen mit fremden Regierungen abzustimmen, wäre die Belastung der Regierung substanziell und die Durchsetzung von Gesetzen wäre wesentlich behindert …”

Das Argument von Microsoft, dass Durchsetzungsbeschlüsse über Landesgrenzen der USA nicht zulässig wären, wurde mit einem Hinweis des Richters darauf, dass dies nur für „traditionelle“ Durchsuchungsbeschlüsse, aber nicht für Beschlüsse die sich auf digitale Inhalte die unter der Kontrolle des sogenannten „Stored Communications Act“ stehen gelte. Ein Durchsuchungsbeschluss vereint damit, laut Auffassung des Richters, eine Hybridfunktion zwischen Durchsuchungsbeschluss, der nur innerhalb der USA gelten könne und einer Vorladung, bzw. Zwangsmaßnahme, der sich nach langjähriger US Justizpraxis jeder und überall zu beugen hätte egal wo er sich aufhalte.

Konflikt zischen US und Europäischem Recht

Quintessenz hieraus ist das es nach diesem Urteil zwar die Aussage von Microsoft gibt für die Rechte Ihrer Kunden zu kämpfen, aber dies leider nichts an der Tatsache ändert, dass Microsoft dem US Gesetz entsprechend handeln muss.

Hier entsteht nun ein Konflikt zwischen dem Europäischen und dem US Recht. Einerseits kann ein deutsches Unternehmen nach geltendem Recht Möglichkeiten finden personenbezogene Daten auch bei US Anbietern zu speichern, andererseits ist es einem US Unternehmen nicht möglich sich an die Vereinbarung zu halten. Denn allen Verträgen zum Trotz wird am Ende immer die Herausgabe der digitalen Inhalte des Kundenkontos an die US Behörden möglich sein.

Dies zwar nur auf Grundlage eines richterlichen Beschlusses, aber den Besonderheiten des US Rechts nach, ist dabei nicht mal der Grund oder der Antragsteller zu veröffentlichen. Da solche Anträge vor US Gerichten wohl eher häufig vorkommen, stellt sich natürlich die Frage ob die gestellten Anträge immer nur der nationalen Sicherheit dienen oder nicht auch schon mal den Interessen von einzelnen Konzernen. Den seit einigen Jahren wissen wir aus der laufenden Rechtsprechung in den USA, das Konzerninteressen durchaus deckungsgleich mit Interessen der nationalen Sicherheit der USA sein können. Arbeitsplätze wachsen dort, ebenso wie hier, nicht auf den Bäumen und ein Schelm ist, wer Böses dabei denkt.

Google Search – Datenschutz Urteil des Europäischen Gerichtshofes

Das Urteil des Europäischen Gerichtshofes (EuGH) wird weitreichende Folgen für alle Marktteilnehmer in Europa im Punkte Datenschutz haben. Wie bereits weithin berichtet, hatte ein spanischer Bürger dagegen geklagt, dass bei Google ein Link zu einem Bericht über eine schon seit Jahren abgeschlossene Pfändung, aufgrund von nicht entrichteter Sozialabgaben, gegen ein Grundstück von Ihm auffindbar ist. Er verlangte die Löschung des Suchtreffers zu seinem Namen da er noch heute wegen diesem Zwischenfall zu leiden hätte.

Dem Argumenten von Google Spain, dass diese keinen Einfluss auf die nicht in Spanien gespeicherten Daten der Google Inc., dem Betreiber der Google Search, hätte und dies damit nicht dem europäischen Datenschutzrecht unterliegen würde, folgte das Gericht genausowenig, wie dem Hinweis das Google ja keine Datenverarbeitung betreiben würde, sondern lediglich Daten anderer darstellen würde und diese ja auch berechtigt veröffentlicht wären.
Dagegen kann als Kernaussage des Urteils folgendes gefolgert werden:
• Suchergebnisse sind bereits eine Datenverarbeitung, da einer strukturierte Aufbereitung der Daten und damit eine Art Profilierung erfolgt. Das Medienprivileg kann in diesem Fall nicht gelten, außer in den engen Grenzen die Personen von öffentlichem Interesse gelten.
• Niederlassungen von ausländischen Unternehmen unterliegen ja bereits seit längerem unstrittiger weise dem europäischem, bzw. dem Datenschutzrecht des jeweiligen Sitzlandes. Dies gilt erweitert nunmehr auch für die dort angebotenen Daten, daher ist es zukünftig egal wo diese gespeichert werden! Entscheidend ist das Kriterium ob die gespeicherten Daten in den entsprechendem Land zu geschäftlichen Zwecken genutzt werden.

Folgen:
Ein “Recht auf vergessen” im Internet ist nur die offensichtlichste Folge dieses Urteils, viel wichtiger sind die Auswirkungen auf internationale Unternehmen. Die großen Player vieler Branchen betreiben fast alle Tochtergesellschaften in Europa um den hiesigen Markt zu bedienen. Bisher haben sich viele mit dem Hinweis auf den Hauptsitz in einem anderen Land aus der Affäre gezogen. Gerade US Anbieter, ziehen sich gerne darauf zurück, das der Vertragspartner eines Nutzers, ja die Muttergesellschaft sei und damit kein Europäisches, bzw. Landesrecht gelte, sondern alleine das Recht Ihres Herkunftslandes. Mit der Verknüpfung an die geschäftliche Tätigkeit ändert dieses Urteil dies aber entscheidend! Interessant ist hierzu auch die Frage was mit den entsprechenden Auskunftsrechten zum Beispiel der US Behörden wird. Solche Auskünfte sind nach europäischem Recht zwar nicht unmöglich, aber immerhin auf komplett andere Umstände und rechtliche Voraussetzungen gestützt.
Gleiches sollte in diesem Zusammenhang auch für öffentliche Foren und Unternehmensplattformen gelten. Sollten diese Verlinkungen zu Personenbezogenen Daten enthalten kann der betroffene zukünftig die Löschung des Links verlangen.

Urteil des Europäischen Gerichtshofes

Auftragsdatenverarbeitung ADV

Auftragsdatenverarbeitung – seit wann gibt es das?

die gesetzlichen Vorgaben bei der Verarbeitung von personenbezogenen Daten im Auftrag sind alles andere als neu. Der § 11 des Bundesdatenschutzgesetzes wurde mit der Novelle II vom 14.08.2009 neu gefasst und trat bereits zum 01.09.2009 in Kraft. Die Vorgaben des § 11 galten sodann für alle neuen Verträge, Altverträge mussten angepasst werden. Somit dürfte es zum jetzigen Zeitpunkt keine Verhältnisse über Auftragsdatenverarbeitung mehr geben, die nicht den aktuellen Anforderungen des Gesetzes genügen.

Dennoch stellen wir im Alltag regelmäßig fest, dass es immer noch in vielen Unternehmen deutliche Abweichungen zwischen den Vorschriften des § 11 und der tatsächlichen Umsetzung gibt.

Dabei ist es leider nicht nur so, dass die Verträge oft nicht die „zehn wichtigen Punkte“ beinhalten. Sehr häufig werden die Auftragnehmer gar nicht oder nur unzureichend geprüft, und dann auch meist erst nach Beginn der Verarbeitung und nur einmalig. Von regelmäßigen Kontrollen kann ebenso wenig die Rede sein wie von einer aussagekräftigen Dokumentation einzelner Prüfungen oder gar der gesamten Beauftragung.

Bedingt durch diesen Umstand ist in Zukunft vermutlich mit einer erhöhten Kontrolle der Verhältnisse über Auftragsdatenverarbeitung durch die Landesdatenschutzbehörden zu rechnen. Wie nachteilig sich eine unzureichende Dokumentation des gesamten Auftragsverhältnisses bei einer Prüfung auswirken kann, ist mit Blick auf die Bußgeldvorschriften in § 43 BDSG leicht festzustellen.

Die Grundlage

Die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten im Auftrag ist in § 11 BDSG klar geregelt. Demnach liegt eine Auftragsdaten-verarbeitung (kurz: ADV) immer dann vor, wenn personenbezogene Daten weisungsabhängig durch externe Stellen im Auftrag erhoben, verarbeitet oder genutzt werden. Klassische Beispiele für Auftragsdatenverarbeitung sind z.B. externe Auftragnehmer, die Lohn- und Gehaltsabrechnungen durchführen oder Lettershop-Dienstleister, die Werbemailings erstellen und versenden. Aber auch IT-Dienstleister gehören zur Gruppe der Auftragnehmer, wenn im Rahmen der Aufgabenstellung ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann.

Weitere Beispiele für eine Auftragsdatenverarbeitung

  • Nutzung von Rechenzentrumsdienstleistungen, wie z.B. gehostete E-Mail Server oder cloud-basierte Verarbeitung von personenbezogenen Daten,
  • Einsatz eines Call Centers für z. B. Kontaktdatenerhebung oder Zufriedenheitsabfragen,
  • Papier- und Altaktenentsorgung oder Datenträgervernichtung,
  • Einsatz von Personalberatern zur Rekrutierung von Mitarbeitern,
  • Versand eines Newsletters durch eine Marketingagentur,
  • ausgelagerte Speicherung von Datensicherungen oder Archivierungen.

Verantwortung und Haftung können nicht abgegeben werden

Bei einer Datenverarbeitung im Auftrag ist der Auftraggeber für die Einhaltung der Vorschriften und Gesetze verantwortlich, der Auftragnehmer wird hierbei als Teil der verantwortlichen Stelle angesehen. Der Auftraggeber bleibt somit Herr der Daten und haftet für Schäden, die den Betroffenen durch die Datenverarbeitung beim Auftragnehmer entstehen können. Auch die Rechte der Betroffenen auf Auskunft, Berichtigung, Löschung und Sperrung bleiben unberührt und richten sich einzig und allein an den Auftraggeber.

Umso wichtiger ist es, bei der Auswahl der Auftragnehmer sorgfältig vorzugehen und diese vor Auftragsvergabe auf die Einhaltung gesetzlicher Pflichten zu prüfen.

Keine Auftragsdatenverarbeitung

Werden Tätigkeiten durch externe Stellen in Anspruch genommen, die nicht die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten zum Gegenstand haben, liegt keine Auftragsdatenverarbeitung vor.

Selbst dann nicht, wenn ein Kontakt mit personenbezogenen Daten bei der Auftragserfüllung unvermeidlich ist oder zumindest nicht ausgeschlossen werden kann. Es muss allerdings klar erkennbar sein, dass der Umgang mit personenbezogenen Daten nicht Kernaufgabe der Leistungserbringung ist.

Nicht unter Auftragsdatenverarbeitung fallen somit in der Regel Dienstleistungen wie Gebäudereinigungen, Objektbewachungsdienste sowie Einsätze von Handwerksunternehmen.

Aber auch Transportleistungen von Post-, Kurier- und Speditionsdiensten sind nicht als Auftragsdatenverarbeitung zu bewerten, ebenso wenig Bank- oder Telekommunikationsdienstleistungen.

Geheimhaltung ist trotzdem notwendig

Obschon man in solchen Fällen auf ein Vertragswerk gemäß § 11 BDSG verzichten kann, ist es dennoch notwendig, die externen Personen schriftlich auf Geheimhaltung zu verpflichten. Solche Vereinbarungen sollten sich inhaltlich an die Verpflichtung auf das Datengeheimnis nach § 5 BDSG anlehnen und können separat abgeschlossen oder auch in den bestehenden Dienstleistungsvertrag integriert werden.

Der Abschluss einer Geheimhaltungsvereinbarung ist dann entbehrlich, wenn der externe Dienstleister bereits einer gesetzlichen Pflicht zur Geheimhaltung unterliegt, wie z.B. dem Post- und Bankgeheimnis oder dem Telekommunikations- bzw. Fernmeldegeheimnis.

Manchmal kann es aber je nach Zweck der Verarbeitung dennoch notwendig oder sinnvoll sein, die vertragliche Regelung mit dem Auftragnehmer inhaltlich an den Vorgaben des § 11 BDSG zu orientieren.

Funktionsübertragung

Nicht jede Verarbeitung von personenbezogenen Daten durch externe Stellen ist auch automatisch als Auftragsdatenverarbeitung einzustufen. Denn sobald das beauftragte Unternehmen im Rahmen des Auftrags eigenverantwortlich Funktionen ausübt oder selbsttätig Entscheidungen trifft, ist dies als Funktionsübertragung einzustufen. Die Weisungsbindung des Auftraggebers entfällt hierbei, der Auftrag geht in der Regel weit über Hilfstätigkeiten hinaus. Der Auftragnehmer hat somit als Daten verarbeitende Stelle die Verantwortung zu tragen und die Zulässigkeit und Richtigkeit der Datenverarbeitung sicherzustellen.

Wesentliche Merkmale einer Funktionsübertragung

  • Übernahme der Verantwortung für die Zulässigkeit und Richtigkeit der Datenverarbeitung,
  • fehlender Einfluss des Auftraggebers auf Teile der Erhebung, Verarbeitung oder Nutzung der Daten,
  • die Daten verarbeitende Stelle erhält Nutzungsrechte an den Daten,
  • keine gesetzliche Privilegierung für die Weitergabe und Verarbeitung von personenbezogenen Daten durch einen externen Dienstleister.

Beispiele für eine Funktionsübertragung

Es gibt nicht wenige Dienstleistungen, die aufgrund der jeweiligen Aufgaben­stellung mit eigenverantwortlicher Wahrnehmung und der fehlenden Weisungsabhängigkeit durch den Auftraggeber keine Auftragsdatenverarbei­tung darstellen, z.B. externe Dienstleister für folgende Aufgaben/ Bereiche:

  • Unternehmensberatung und Wirtschaftsprüfung,
  • Personalverwaltung, Mitarbeiterrekrutierung,
  • Finanz- und Steuerberatung,
  • Vertragskundenbetreuung,
  • Inkassomanagement mit Forderungsübertragung.

Richtige Vorgehensweise bei der Abwicklung von ADV

Die richtige Vorgehensweise bei der Durchführung von Auftragsdaten-verarbeitung wird durch das Bundesdatenschutzgesetz vorgegeben. Hier heißt es in § 11 Absatz 2 Satz 1 und 2 BDSG: Der Auftragnehmer ist unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen. Der Auftrag ist schriftlich zu erteilen…

Weiterhin finden wir in § 11 Absatz 2 Satz 4 und 5 BDSG folgende Aussagen: Der Auftraggeber hat sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. Das Ergebnis ist zu dokumentieren.

Somit ergibt sich also folgender chronologischer Ablauf zur Umsetzung der gesetzlichen Vorgaben:

  1. Auswahl des Auftragnehmers und Begutachtung der von ihm getroffenen technischen und organisatorischen Maßnahmen.
  2. Abschluss eines Vertrages mit dem Auftragnehmer gemäß § 11 BDSG. Der Vertragsabschluss muss noch vor Beginn der Verarbeitung erfolgen.
  3. Prüfung der vom Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen und Dokumentation der Prüfung. Beides muss ebenfalls vor Beginn der Verarbeitung durchgeführt werden.
  4. Zukünftig ist eine regelmäßige Prüfung des Auftragnehmers auf Einhaltung der vertraglich vereinbarten technischen und organisatorischen Maßnahmen erforderlich. Das Ergebnis der Prüfung muss ebenfalls dokumentiert werden.

Details zu den inhaltlichen Vorgaben eines solchen Vertrages sowie zur Durchführung von Prüfungen und Kontrollen des Auftragnehmers finden Sie weiter unten.

Vertrag nach §11 BDSG – Was muss geregelt sein?

Der Gesetzgeber schreibt den Regelungsumfang eines Vertrages über Auftragsdatenverarbeitung in § 11 Absatz 2 Satz 2 Nrn. 1 bis 10 BDSG genau vor. Demnach sind folgende Punkte mit dem Auftragnehmer zu regeln:

1.) Gegenstand und Dauer des Auftrags

Welche Leistung ist Gegenstand des Auftrags?

Gehaltsabrechnung, Werbemailing, Papierentsorgung etc.

Wie lange soll der Auftrag ausgeführt werden? Einmalig, dauerhaft?

Befristet bis…, läuft auf unbestimmte Zeit und ist kündbar zum…

 2.) Umfang, Art und Zweck der Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen

  1. Welche Leistungen sind im Detail zu erbringen? Dauer der Speicherung der Daten? Welche Besonderheiten sind zu beachten?
  2. Personaldaten, Kundendaten, Protokollierungsdaten etc.
  3. Mitarbeiter, Kunden, Interessenten, Lieferanten, Messekontakte etc.

3.) Nach § 9 zu treffende technische und organisatorische Maßnahmen

Hier wird Bezug auf die Anlage zu § 9 Satz 1 BDSG genommen, erforderlich ist jedoch die Nennung konkreter Maßnahmen, die den Auftrag betreffen, zum Beispiel:

  • Art der Übermittlung und Sicherheit bei der Übertragung der Daten,
  • Art der Speicherung (Trennungsgebot) der Daten,
  • Sicherung/Backup der Daten beim Auftragnehmer sowie Vereinbarungen zur sicheren Löschung/Vernichtung,
  • Maßnahmen zur Ausfallsicherheit der Systeme des Auftragnehmers.

 4.) Die Berichtigung, Löschung und Sperrung der Daten

Es muss festgelegt werden, wann und wie Daten gesperrt oder gelöscht werden sollen. Ferner hat der Auftragnehmer eine Mitwirkungspflicht zur Bearbeitung von Anfragen Betroffener bei der Ausübung ihrer Rechte auf Auskunft, Berichtigung, Sperrung oder Löschung.

5.) Nach Absatz 4 bestehende Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrolle

Folgende Pflichten ergeben sich für den Auftragnehmer aus dem § 11 Absatz 4 BDSG:

  • Verpflichtung der Mitarbeiter auf das Datengeheimnis (§ 5)
  • Umsetzung geeigneter Maßnahmen zur Datensicherheit (§ 9)
  • Bestellung eines Datenschutzbeauftragten, wenn zutreffend (§§ 4f, 4g)

Weiterhin muss der Auftragnehmer durch eigene Kontrollen die ordnungsgemäße Verarbeitung sicherstellen und die getroffenen technischen und organisatorischen Maßnahmen überprüfen. Die Kontrollen müssen nachweisbar sein und können auf vielfältige Weise durchgeführt werden, z.B. durch die interne Revision, den eigenen Datenschutzbeauftragten oder externe Audits.

Werden Subunternehmer eingesetzt, erstreckt sich die Pflicht zur Kontrolle auch auf diese.

6.) Etwaige Berechtigung zur Begründung von Unterauftragsverhältnisse

Es sollten Festlegungen hinsichtlich des Einsatzes von Subunternehmern getroffen werden. Ist die Vergabe an Unterauftragnehmer notwendig oder gewünscht, sollte in jedem Fall geregelt werden, unter welchen Voraus­setzungen dies geschehen soll, z.B.:

  • Nur nach vorheriger Genehmigung des Auftraggebers,
  • nur Subunternehmer aus dem Inland und/oder EU bzw. EWR,
  • Subunternehmer übernimmt nur Teile der Verarbeitung,
  • Auftragnehmer muss mit Subunternehmer gleichartigen Vertrag gemäß § 11 schließen.

7.) Kontrollrechte des Auftraggebers und Duldungs- und Mitwirkungs­pflichten des Auftragnehmers.

Der Auftraggeber muss sich dem Sachverhalt angemessene Kontrollrechte beim Auftragnehmer vertraglich einräumen, da er ja verpflichtet ist, sich regelmäßig von der Einhaltung der vom Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen.

Gleichzeitig muss der Auftragnehmer die vereinbarten Kontrollen nicht nur dulden, sondern hat an deren Durchführung auch mitzuwirken.

8.) Mitzuteilende Verstöße des Auftragnehmers gegen Vorschriften zum Datenschutz oder gegen die im Auftrag getroffenen Festlegungen

Der Auftragnehmer muss verpflichtet werden, alle Verstöße, die bei der Verarbeitung der im Auftrag definierten Daten des Auftraggebers vorfallen, innerhalb einer definierten Frist zu melden. Handelt es sich um Daten, die der Informationspflicht des Auftraggebers nach §42a unterliegen, sollte der Auftragnehmer darauf gesondert hingewiesen werden.

9.) Umfang der Weisungsbefugnisse des Auftraggeber

Die Weisungsbefugnisse ergeben sich in der Regel bereits aus dem Auftrag selbst. Es empfiehlt sich aber immer eine namentliche Nennung der Weisung gebenden und Weisung empfangenden Mitarbeiter. Sind darüber hinaus weitere Weisungsbefugnisse notwendig, sollten diese schriftlich fixiert werden.

10.) ckgabe überlassener Datenträger und Löschung der Daten beim Auftragnehmer

Dieser Punkt ist besonders wichtig und wird oft vernachlässigt. Es ist genau zu regeln, wie die Daten und/oder Datenträger zu löschen bzw. zurückzugeben sind. Bei der Löschung von Daten, die auf den Systemen des Auftragnehmers gespeichert sind, sind auch die Datensicherungen und eventuelle Archivierungen des Auftragnehmers zu berücksichtigen.

Mögliche Bußgelder nach § 43 BDSG

Wer einen Auftrag nicht richtig, nicht vollständig oder nicht in der vor-geschriebenen Weise erteilt oder sich nicht vor Beginn der Datenverarbeitung von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen überzeugt, handelt ordnungswidrig und ist dem Risiko eines Bußgeldes bis zu 50.000,00 Euro ausgesetzt.

Zugegeben dies klingt hart und eine Strafe wurde in Bayern noch nicht oft in dieser Höhe verhängt, aber dies ist nunmal der Strafrahmen gegen den sich eine Abwägung bewegen sollte.

Prüfung und Kontrolle der Auftragnehmer

Wer ist zuständig und verantwortet die Prüfung?

Zuständig ist zunächst immer die verantwortliche Stelle. Deren Leiter wird diese Aufgaben in der Regel ganz oder teilweise an Personen übertragen, die unmittelbar mit dem Auftrag beschäftigt sind oder über die nötige Sicherheit in der Anwendung des § 11 verfügen, z.B. entsprechende Fachabteilungen oder der Datenschutzbeauftragte selbst. Aber auch externe Dienstleister können eingesetzt werden, sofern diese über die nötige Fachkompetenz verfügen.

Müssen Kontrollen vor Ort durchgeführt werden?

Zur Umsetzung der vom Gesetzgeber geforderten Kontrollen, die erstmalig vor Beginn der Verarbeitung und sodann regelmäßig vorgenommen werden müssen, stehen dem Auftraggeber mehrere Möglichkeiten zur Verfügung. Die Durchführung von Vor-Ort-Kontrollen ist nicht als ausdrückliche Pflicht im Gesetz verankert. Es können auch andere geeignete Maßnahmen angewendet werden:

  • Beantwortung eines Fragebogens des Auftraggebers
  • Internes Datenschutzkonzept des Auftragnehmers
  • Interne Prüfberichte des Datenschutzbeauftragten des Auftragnehmers
  • Zertifizierung / Datenschutz-Audit durch externe Stellen
  • Nachweis der Zertifizierung einer ISO 27001 (nach BSI Grundschutz)

Wichtig ist aber in jedem Falle, die Kontrollen und die Begründung für die getroffene Bewertung entsprechend zu dokumentieren.

Festlegung der Regelmäßigkeit von Kontrollen

In laufenden Auftragsverhältnissen muss der Auftraggeber regelmäßig prüfen, ob der Auftragnehmer die getroffenen Maßnahmen auch tatsächlich einhält. Im Gesetz finden sich richtigerweise keine definierten Vorgaben oder Fristen, denn die Vielfalt an möglichen Verarbeitungen von personenbezogenen Daten im Auftrag ist nahezu unbegrenzt. Hier muss der Prüfungsrhythmus je nach Sach­lage individuell und unter Berücksichtigung der Art und Weise der zu verarbei­tenden Daten bestimmt werden. Als Richtwert werden häufig Fristen zwischen ein bis drei Jahren genannt. Generell gilt aber, dass der Prüfungsturnus mit steigender Sensibilität der Daten im Zweifel eher kürzer zu wählen ist.

Gerne beantworte ich weitere Fragen auch persönlich, rufen Sie mich einfach an oder schreiben mir einen Mail!

Hier gibts den Artikel zum Download als PDF

Cloud Computing und Datenschutz

Cloud-Computing

Datenschutz & die Cloud Seit der Novelle des Bundesdatenschutzgesetzes zum September 2009 gelten strenge sicherheitsrelevante Anforderungen hinsichtlich der Auslagerung von Daten im Rahmen einer Auftragsdatenverarbeitung.
Doch wie sicher ist die Auslagerung wirklich? Was passiert, wenn mein Cloud-Anbieter seinen Hauptsitz zum Beispiel in den USA hat, wo die Rechtslage ganz anders ist?

Nachfolgend zeigen wir Ihnen die wichtigsten Fakten auf, um sich einen ersten Überblick über die aktuellen Regelungen zu verschaffen.

Datenschutz bei Cloud Computing

Sobald personenbezogene Daten im Sinne des § 3 Absatz 1 BDSG verarbeitet werden, sind die einschlägigen Datenschutzgesetze zu beachten.

Problematisch ist jedoch, dass beim Cloud Computing Daten theoretisch von überall auf der Welt verteilt und gespeichert werden können, so dass sich zunächst die Frage der rechtlichen Zulässigkeit von Datentransfers in weltweite Clouds stellt.

Auftragsdatenverarbeitung innerhalb des Europäischen Wirtsachftsraumes (EWR)

Grundsätzlich soll der Anwender bei Clouds selbst darüber bestimmen dürfen, was mit seinen Daten geschieht. Somit stellen technisch gesehen auf die EU beziehungsweise den EWR beschränkte Clouds eine klassische Auftragsdatenverarbeitung gemäß § 11 BDSG dar.

Der Anwender ist also für die übermittelten Daten verantwortlich (“Verantwortliche Stelle”). Hierzu hat der Gesetzgeber zum 1. Januar 2009 in § 11 Absatz 2 BDSG einen Maßnahmenkatalog zur Auftragsdatenverarbeitung vorgegeben, wonach ein Auftraggeber den jeweiligen Auftragnehmer (Cloud-Dienstleister) unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auswählen muss.

Darüber hinaus ist der Auftrag schriftlich zu erteilen und insbesondere sind festzulegen:

  • Gegenstand und Dauer des Auftrags,
  • Umfang, Art und Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen,
  • die nach § 9 zu treffenden technischen und organisatorischen Maßnahmen,
  • die Berichtigung, Löschung und Sperrung von Daten,
  • die nach Absatz 4 bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen,
  • die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen,
  • die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers,
  • mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen,
  • der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält,
  • die Rückgabe überlassener Datenträger und die Löschung der beim Auftragnehmer gespeicherten Daten nach Beendigung des Auftrags.

Überdies hat sich der Auftraggeber nach § 11 Absatz 2 S. 4, 5 BDSG vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen und das Ergebnis zu dokumentieren.

Datentransfers außerhalb des Europäischen Wirtschaftsraums (EWR)

Die Zulässigkeit von Datentransfers in Drittländer ist in zwei Stufen unterteilt. Auf der ersten Stufe ist zu prüfen, welcher Erlaubnistatbestand für die Übermittlung der Daten einschlägig ist. Dies richtet sich in Deutschland nach § 4 Absatz 1 BDSG. Demnach ist “die Erhebung, Verarbeitung und Nutzung personenbezogener Daten (…) nur zulässig, soweit dieses Gesetz oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat.”

Sofern ein Erlaubnistatbestand einschlägig ist, muss auf der zweiten Stufe untersucht werden, ob beim Empfänger der übermittelten Daten gemäß § 4b BDSG ein angemessenes Datenschutzniveau gewährleistet ist.

Datenübermittlungen innerhalb der EU beziehungsweise des EWR (Europäischer Wirtschaftsraum) erweisen sich als insoweit unproblematisch, da in diesen Ländern aufgrund der EU-Datenschutzrichtlinie (EU-DSRL) vergleichbare Regelungen wie in Deutschland bestehen.

Bei Datentransfers in alle übrigen Staaten (sogenannte unsichere Drittstaaten) ist eine Datenübermittlung aufgrund des nicht vorhandenen angemessenen Datenschutzniveaus gemäß § 4b Absatz 2 Satz 2 BDSG grundsätzlich unzulässig. Jedoch bleibt die Möglichkeit, durch einen sog. EU-Standardvertrag ein angemessenes Datenschutzniveau gemäß Art. 26 Absatz 2 EU-DSRL herzustellen.

Oftmals fällt in diesem Zusammenhang auch der Begriff „Safe Harbor-Abkommen“, der von US-Unternehmen zur Herstellung eines angemessenen Datenschutzniveaus vorgebracht wird. Die Tatsache, dass Unternehmen dem Safe Harbor-Abkommen beigetreten sind, genügt nach Ansicht der Aufsichtsbehörden nicht zur Gewährleistung eines entsprechenden Datenschutzniveaus, da das Abkommen bisweilen undurchsichtig ist und viele Schwachstellen aufweist, zumal die Safe Harbor-Zertifizierung recht willkürlich und ohne flächendeckende Kontrolle abläuft.

In der Praxis stellt Safe Harbor, also der vermeintliche “sichere Hafen”, letztendlich eher einen “unsicheren Hafen” dar, der den EU-Standard nicht immer gewährleisten kann. Deshalb muss auch beim Datentransfer mit US-Unternehmen das erforderliche Datenschutzniveau mittels eines EU-Standardvertrages hergestellt werden.

Daneben lässt sich bei unsicheren Drittstaaten ein angemessenes Datenschutzniveau gemäß § 4c Absatz 2 BDSG auch durch sogenannte Binding Corporate Rules (BCR), die von der zuständigen Aufsichtsbehörde genehmigt werden, erreichen.

Zu beachten ist jedoch auch, dass bei internationalen Clouds eine Kontrolle der jeweiligen Subunternehmer nicht möglich ist. Ebenso wenig kann nachvollzogen werden, wann sich welche Daten wo befinden.

Aufgrund der oben geschilderten Problematik im Umgang mit Cloud Computing hat das Bundesamt für Sicherheit und Informationstechnik (BSI) Anfang Mai 2011 das finale Eckpunktepapier “Sicherheitsempfehlungen für Cloud Computing Anbieter (Mindestsicherheitsanforderungen in der Informationssicherheit)” veröffentlicht. Dieses stellt einen ersten Schritt zur Schaffung von Standards dar, auf deren Grundlage die Sicherheit von Cloud Diensten überprüft werden kann.

Fazit:
Vor Nutzung eines Cloud Systems ist genau zu prüfen, wie die jeweilige Cloud aufgebaut ist und in welchen Ländern sich die jeweiligen Server befinden – wo genau also die Daten verarbeitet werden.

Politik und Wirtschaft stehen bislang noch vor der Herausforderung, internationale Cloud-Standards zu entwickeln und festzulegen, damit ein angemessenes Datenschutzniveau gewährleistet und Risiken für alle Beteiligten minimiert werden können.

Cloud Computing kann aktuell mit entsprechendem technischem und juristischem Know-how mit den bestehenden gesetzlichen Vorgaben in vielen Fällen in Einklang gebracht werden. Bei der Auslagerung von sensiblen Informationen, insbesondere von personenbezogenen Daten in internationalen Public Clouds, ist Cloud Computing jedoch ohne entsprechende vertragliche Regelungen mit dem aktuellen deutschen Datenschutzrecht kaum in Einklang zu bringen.

Es kommt daher darauf an, dedizierte Regelungen mit dem Cloud-Anbieter zu treffen und ein umsetzbares Datenschutzkonzept zu vereinbaren. Die klare Empfehlung lautet deshalb, mit dem Cloud-Anbieter die Einhaltung der lokalen Datenschutzanforderungen zu vereinbaren.