it-sicherheitsblog.de

Endlich hat Google ein Einsehen und passt seine Tracking-Software Google Analytics an die Forderungen der Datenschutzbeauftragten an. Mittels eines Scripts ist es nun möglich, Google Analytics so zu konfigurieren, dass die letzten beiden Oktette der IP-Adresse anonymisiert werden. So möchte Google die Zuordnung der Daten zu realen Personen verhindern und sie vom lästigen Makel der Personenbezogenheit frei halten. Dies gelingt Google allerdings nicht vollständig, was ich mit den folgenden Überlegungen zeigen möchte. Eines der wichtigsten Argumente für den Einsatz von Google Analytics ist das sogenannte Conversion Tracking von geschalteten Google Adwords. (Erläuterung zu Adwords siehe unten)

Damit der Anzeigenkunde herausfinden kann, welche seiner geschalteten Suchwörter großen Umsatz bringen, hilft die adwordsinterne Statistik nicht viel, da diese nur Auskunft gibt, wie oft eine Suche zur Anzeige und einem Klick auf die Anzeige geführt hat. Mit dem sogannten Conversion Tracking bietet Google die Möglichkeit, Adwords und Analytics zu verbinden. So kann der Anzeigenkunde verfolgen, was derjenige, der eine Anzeige anklickt, nachfolgend auf der Webseite des Anzeigekunden macht. Beispielweise sieht man so, dass ein Kunde der die Anzeige „Wir bieten kostenlose Versicherungsvergleiche“ beim Suchbegriff „Autoversicherung“ angeklickt hat, den Versicherungsrechner auf der eigenen Homepage benutzt und nachfolgend über die eigene Seite eine Versicherung abgeschlossen hat. So kann der Anzeigenkunde sehen, welche Adwordsanzeigen zu Umsatz führen und welche nur zu Seitenbesuchen ohne Umsatz. Nun ist er in der Lage, seine Werbung optimal auszurichten. Dies ist der entscheidende Vorteil von Google Analytics zu anderen Trackingprodukten, die ja nicht auf die Daten von Adwords zugreifen können.

Und an dieser Stelle kommt der Datenschutz wieder ins Spiel. Auch wenn Google durch das Script nicht mehr die IP-Adresse direkt von Analytics bekommt, so wird sie aber bei der Google Suche und dem Klicken auf die Adwordsanzeige an Google übertragen. Und damit bei Google das Conversion Tracking funktioniert, muss Google die Daten von Adwords mit den Daten von Analytics verbinden, z.B. in Form einer Session-ID. Das wieder bedeutet, dass Google die IP von Analytics gar nicht mehr bracht, da sie ja bereits durch den Suchvorgang und den Adwordsklick bekannt sind. Die gewonnenen Daten aus Analytics sind somit nach wie vor personenbezogen und ohne Einwilligung der Betroffenen erhoben, verarbeitet und ins Ausland übertragen worden.

Einen Vorteil hat die neue Funktion allerdings gebracht: Besucher, die die Seite direkt durch Eingabe der Adresse ansurfen, bleiben anonym.

Erläuterung zu Google Adwords

Mit Adwords hat Google ein Anzeigensystem geschaffen, das Unternehmen ermöglicht, bezahlte Anzeigen neben den eigentlichen Suchergebnissen zu positionieren. Diese Anzeigeblöcke werden pro Klick abgerechnet, wobei jedoch der Preis pro Klick nicht von Google bestimmt wird, sondern von den Unternehmen. Hierzu legt der Anzeigenkunde im Administrationsbereich von Adwords fest, wie viel Geld er bereit ist, pro Klick auf eine Anzeige zu einem bestimmten Suchwort zu bezahlen, beispielweise für das Suchwort „Autoversicherung“ 2,30 Euro pro Klick. Wenn nun jemand bei Google nach dem Wort „Autoversicherung“ sucht, schaut Google nach, welche Anzeigekunden für das Suchwort einen Betrag eingetragen haben und zeigt deren Anzeige an. Bezahlen muss der Kunde jedoch nur bei Anklicken der Anzeige. Nun könnte man ja denken, dann sollte man nur wenige Cent pro Klick eintragen und schon bekommt man viel Werbung für wenig Geld. Um dies zu verhindern, werden die Anzeigen von Google nach Höhe der eingetragenen Geldbeträge sortiert und beginnend mit dem höchsten absteigend angezeigt. Pro Suchergebnisseite werden 8 Anzeigen geschaltet, d.h. wenn man mit der Höhe des Betrages auf Rang 26 in der Liste steht, erscheint die Anzeige auf Seite 4. Da jedoch die meisten Nutzer der Googlesuche sich nur die erste Seite, höchstens noch die zweite Seite anschauen, findet niemand die Werbung auf Seite 4. Das bedeutet, um effektiv werben zu können, ist eine Platzierung auf der ersten Seite notwendig. Dies führt dazu, dass sich bei guten Suchwörtern die Unternehmen immer weiter bei dem Betrag, den Sie bereit sind pro Klick zu bezahlen, überbieten. (z.B. kostet Datenschutz auf Seite eins derzeit 4,20 Euro pro Klick)

Sehr geehrte Leserin, sehr geehrter Leser,

mit dem 01.04.2010 hat sich im Bereich Datenschutz einiges zum Vorteil der Verbraucher getan. Die Firma Great Oak stellt Ihnen die Änderungen kurz und übersichtlich vor. Für die im Text erwähnten Anfragen finden Sie unter dem Text Links zu den Vorlagen für solche Anfragen, die Sie gerne benutzen dürfen.

Den gesamten Text finden Sie auch im Downloadbereich zum speichern als PDF http://www.great-oak.de/downloads-informationsmaterial/
Anfragen bei Schufa oder anderen Auskunfteien (Gewerbliche Händler und Auswerter von Personendaten)

Die Gesetzesänderungen geben Ihnen das Recht, einmal im Jahr kostenlos eine Auskunft über Ihre Daten von der Schufa oder anderen Auskunfteien zu bekommen. Sie brauchen lediglich das Formular auszufüllen und hinzu schicken, um einen Einblick in die dort gespeicherten Daten von Ihnen zu bekommen. Zudem muss der Datenverarbeiter Ihnen in allgemein verständlicher Form erklären, wie die Werte (sog. Scorings) zustande kommen.

Wenn Sie mehr als eine Auskunft im Jahr haben möchten, darf der Datenverarbeiter dafür eine Gebühr verlangen, die aber nur so hoch sein darf, wie die Kosten, die ihm durch die Anfrage durch Sie entstehen wirklich sind. Diese sind erfahrungsgemäß normalerweise zwischen 5 und 25 Euro hoch.

Wenn Sie jedoch den begründeten Verdacht haben, dass der Datenverarbeiter falsche Daten von Ihnen speichert, muss die Auskunft kostenlos sein. Ein Beispiel hierfür wäre, wenn eine Bank Ihren Antrag auf eine Kreditkarte mit Begründung ablehnt, dass Sie zu viele Kredite hätten, obwohl Sie keinen Kredit aufgenommen haben und Sie jeden vergangen Kredit ordnungsgemäß zurückgezahlt haben.

Automatisierte Entscheidungen

Mit zunehmender Digitalisierung unserer Welt kann man als Händler oder Bank leicht in die Versuchung kommen, Anfragen automatisiert durch einen Rechner entscheiden zu lassen. Auf einmal entscheidet nicht mehr Ihr Bankberater, ob Sie einen Hausbaukredit bekommen, sondern nur noch das Bankprogramm. Damit solche Verfahren nicht überhand nehmen oder Sie als Verbraucher stark benachteiligt werden, hat der Gesetzgeber hier einige Regeln für Unternehmen erlassen.

Die automatisierten Entscheidungen sind grundsätzlich verboten, aber es gibt Ausnahmen, wo sie dennoch erlaubt sind.

• Bei positiven  Entscheidungen, d.h. eine Bank kann Ihre Anfrage automatisch prüfen lassen. Wenn das Ergebnis für Sie positiv ist, darf sie die Entscheidung ungeprüft übernehmen. Wenn sie hingegen negativ für Sie ist, muss sie noch von einem entscheidungsbefugten Mitarbeiter ausführlich geprüft werden.
• Wenn Sie darüber informiert wurden, dass die Entscheidung ausschließlich durch ein Programm getroffen wurde, das Programm sie nicht ungerechtfertigt benachteiligt und sie auf Verlangen die Gründe für die Entscheidung mitgeteilt und erläutert bekommen.

Übermittlung von fälligen Forderungen

Eine wichtige Einnahmequelle der Datenhändler sind Informationen über die Wahrscheinlicht, dass Sie Ihre Rechnung bezahlen bzw. nicht bezahlen. Dazu müssen Ihre Zahlungsgewohnheiten den Händlern erstmal bekannt werden. Dies geschieht durch die Übermittlung Ihres Zahlungsverhaltens von Onlineshops, Versandkatalogen, Geschäften usw. an die Auskunfteien.

Eine solche Übermittlung ist auch nach der Gesetzesänderung zulässig, allerdings nur in sehr engen Grenzen und lediglich für Forderungen (also z.B. nicht Ihre zähen Feilschversuche oder eine nachträgliche Minderung des Kaufpreises weil die Ware defekt war)

Folgende Vorraussetzungen müssen immer erfüllt sein:

• Obwohl eine Rechnung fällig ist, haben Sie sie nicht bezahlt.

• Dritte (also anderen Händler etc.) müssen ein berechtigtes Interesse an dieser Information haben. Dies ist beispielsweise nicht der Fall, wenn Sie in der Kneipe einmalig 5 Euro geschuldet haben, weil Sie vergessen haben diese zu bezahlen.

Zu den beiden oberen Bedingungen muss noch eine der nachfolgenden Bedingungen erfüllt sein:

• Sie sind rechtskräftig oder vorläufig vollstreckbar zur Zahlung verurteilt worden.
• ein Schuldtitel gegen Sie liegt vor
• die Forderung wurde nach der Insolvenzordnung festgestellt und Sie haben sie nicht rechtzeitig gültig bestritten
• Sie haben die Forderung (Rechnung) ausdrücklich anerkannt (z.B. haben Sie den Händler angeschrieben und ihm mitgeteilt, dass Sie die Summe X zur Zeit nicht zahlen können, sich aber bemühen das Geld schnell aufzutreiben)
• der Vertrag gestattet die fristlose Kündigung bei Zahlungsrückständen und Sie wurden über die geplante Übermittlung unterrichtet (Achtung: Unterrichtet heißt nur, dass sie Bescheid bekommen, auf Ihre Zustimmung kommt es hierbei nicht an.) Dies ist häufig bei Handyverträgen der Fall.
• Sie wurden bereits zwei Mal nach Eintritt der Zahlungsfälligkeit gemahnt, zwischen der ersten Mahnung und dem Datum der Übermittlung liegen mindestens vier Wochen, Sie wurden vor der Übermittlung über die geplante Übermittlung in Kenntnis gesetzt und Sie haben die Rechtmäßigkeit der Rechnung nicht bestritten.

Gerade der letzte Punkt ist wichtig, da unseriöse Unternehmen versuchen den Kunden schnell zur Zahlung zu bewegen, indem Sie ihm drohen, dass sie, wenn er nicht sofort bei Fälligkeit der Rechnung zahlt, die Daten an die Schufa übermitteln würden. Lassen Sie sich nicht einschüchtern!

Übermittlung von Kreditdaten

Fast jeder kennt den Vorgang: Sie eröffnen ein Konto, beantragen eine Kreditkarte oder einen Kredit  und das Erste was Sie vorgelegt bekommen ist die Einwilligung zur Schufa-Anfrage. Doch irgendwie müssen die Daten ja auch dorthin kommen. Hierfür hat der Gesetzgeber den rechtlichen Rahmen ebenfalls neu abgesteckt.

Übermittelt werden dürfen Daten zur Begründung, ordnungsgemäßen Durchführung und Beendigungen von Kreditverhältnissen, Garantiegeschäften und Girogeschäften.  Eine gesonderte Einwilligung ist für die Übermittlung nicht notwendig.

Bloße Konditionsanfragen (z.B. um Kredite zu vergleichen) dürfen nicht übermittelt werden. Auch Informationen zu Girokonten ohne Überziehungsmöglichkeit dürfen nicht übermittelt werden.

Falls sich an Ihren Rahmenbedingungen etwas ändert, sowohl im positiven wie auch negativen Sinne, muss die Bank dies der Schufa innerhalb eines Monats mitteilen.

Benachteiligungsverbot

Bisher war es teilweise üblich, dass jedes Mal, wenn Sie eine Anfrage nach Ihren Daten bei einem Datenbewerter wie der Schufa getätigt haben, Ihr Wert etwas schlechter wurde. Dies wurde damit begründet, dass nur Leute die ein schlechtes Gewissen haben, solche Anfragen starten und folglich bei diesen auch ein höheres Kreditausfallrisiko besteht.

Diese Form der Benachteiligung ist nun explizit verboten. Auch sog. Querulanten-Dateien sind nicht zulässig. Also nehmen Sie Ihre Rechte war und schauen Sie den Datenhändlern auf die Finger.

Wie gehen Sie vor bei Problemen oder dem Verdacht eines Datenmissbrauchs?

1. Wenden Sie sich an den Datenschutzbeauftragten des fraglichen Unternehmens. Häufig finden Sie hier einen hilfsbereiten Ansprechpartner. Fragen Sie bei der Telefonzentrale nach oder schauen Sie auf der Homepages des Unternehmens nach seinem Namen und den Kontaktmöglichkeiten. Schildern Sie ihm den Fall sehr ausführlich, da er nur so die Chance hat, den Sachverhalt aufzuklären.
2. Wenn der Datenschutzbeauftragte des Unternehmens Ihnen nicht weiterhelfen konnte oder wollte, können Sie sich auch an die jeweilige Landesbehörde wenden und dort um Hilfe bitten. Eine Anfrage an die Behörde dauert allerdings ein wenig, so können durchaus schon mal 12 Wochen bis zu einer Antwort vergehen. Also haben Sie etwas Geduld.
3. Sie können sich zudem an einen Datenschutzdienstleister oder fachlich auf Datenschutz versierten Anwalt wenden.

Musterschreiben Auskunftsersuchen unter http://www.great-oak.de/downloads-informationsmaterial/

Am 01.04.2010 ist die Novelle I des Bundesdatenschutzgesetzes in Kraft getreten. Auch Sie bringt wieder zahlreiche Neuerungen mit, von denen besonders Verbraucher stark profitieren können.

Den vollständigen Artikel als PDF finden Sie unter http://www.great-oak.de/downloads-informationsmaterial/

Nachfolgend finden Sie die wichtigsten Neuerungen erläutert:

1.    Auskunftspflichten

Die Auskunftspflicht nach § 34 BDSG ist weiterhin aktuell, wurde jedoch um einige Punkte erweitert. So müssen nun bei Fällen, die unter § 28 b BDSG fallen erweiterte Auskünfte erteilt werden. Diese hängen davon ab, um welche Stelle der Verarbeitung es geht. Bei der für die Entscheidung verantwortlichen Stelle (z.B. Hausbank) müssen zusätzlich zu den normalen Auskünften folgende Informationen zur Verfügung gestellt werden:

• die innerhalb der letzten sechs Monate vor Zugang des Auskunftsverlangens  erhobenen oder erstmalig gespeicherten Wahrscheinlichkeitswerte
• die zur Berechnung der Wahrscheinlichkeitswerte genutzten Datenarten
• das Zustandekommen und die Bedeutung der Wahrscheinlichkeitswerte einzelfallbezogen und nachvollziehbar in allgemein verständlicher Form

Da die Novelle am 01.04.2010 in Kraft getreten ist, ist das erste Fälligkeitsdatum für den Ablauf der 6-monatigen Frist der 01.10.2010.

Externe Datenverarbeiter, die Daten zum Zwecke der Übermittlung erheben, verarbeiten oder speichern (z.B. Schufa, Ratingagenturen, Auskunfteien) haben nach § 34 Abs. 4 BDSG zusätzliche Informationspflichten. Diese sind:

• Auskunft über die in den letzten 12 Monaten vor dem Zugang der des Auskunftsverlangens übermittelten Wahrscheinlichkeitswerte, die Namen und letztbekannten Anschriften der Empfänger
• die Wahrscheinlichkeitswerte, die sich zum Zeitpunkt des Auskunftsverlangens nach den von dem Verarbeiter zur Berechnung angewandten Verfahren ergeben
• Auskunft über die zur Berechnung eingesetzten Datenarten
• Auskunft über das Zustandekommen und die Bedeutung der Wahrscheinlichkeitswerte einzelfallbezogen und nachvollziehbar in allgemein verständlicher Form

Allgemein gilt zudem nach § 34 Abs. 8 BDSG, dass die Auskunft unentgeltlich einmal pro Jahr dem Betroffenen auf Anfrage zukommen zu lassen ist. Für weitere Auskünfte in einem Jahr darf eine Gebühr erhoben werden, die jedoch die unmittelbar durch die Anfrage entstandenen Kosten nicht übersteigen darf. Keine Gebühr darf zudem erhoben werden, wenn besondere Umstände die Annahme stützen, dass die Daten unrichtig sind.

2.    Neuregelung des Scoring

Das Scoring, ein mathematisches-statistisches Verfahren zur Ermittlung, ob eine bestimmte Person ein bestimmtes Verhalten zeigen (z.B. den Kredit nicht zurück zahlen) wird, wird durch die Neufassung des § 28 b BDSG geregelt. Anzuwenden ist § 28 b BDSG sowohl bei externen Scorings (z.B. Auskunfteien) als auch bei internen Scorings (Unternehmensscoring), die personenbezogene Daten unter Einsatz von Datenverarbeitungsanlagen erheben, verarbeiten oder nutzen.
Nach § 28 b BDSG ist ein Scoring zulässig wenn

1. Ein wissenschaftlich nachvollziehbares Verfahren zum Einsatz kommt, dass für den gewünschten Zweck auch geeignet ist,
2. Entweder bei externen Auskunfteien die zulässige Übermittlung der Daten nach § 29 BDSG  gegeben ist oder bei allen anderen Fällen die Vorrausetzungen des § 28 BDSG erfüllt sind,
3. für die Berechung nicht ausschließlich Anschriftdaten des Betroffen verwendet werden oder die weiteren verwendeten Daten nur einen verschwindend geringen Einfluss auf das Ergebnis haben (z.B. Bonität nach Wohnviertel bestimmen)
4. und im Falle der Nutzung der Anschriftdaten der Betroffene unterrichtet wurde, wobei die Unterrichtung zu dokumentieren ist.

3.    Datenübermittlung an Auskunfteien

Da die Auskunfteien davon leben, dass Dritte ihnen Daten übermitteln, die sie dann auswerten und weiterverkaufen, ist auch hier die gesetzliche Regelung überarbeitet worden. Die Zulässigkeit und Durchführung werden in § 28 a BDSG bestimmt. Unterschieden wird in § 28 a BDSG zwischen personenbezogenen Forderungsdaten (Zahlungsausfälle) an Auskunfteien in Abs. 1 und der Übermittlung von Kreditdaten an Auskunfteien durch Banken in Abs. 2.

Die Übermittlung von Forderungsausfällen ist grundsätzlich nur nach Eintritt der Fälligkeit zulässig. Des Weiteren muss zur Übermittlung die Wahrung eines berechtigten Interesses der verantwortlichen Stelle selbst oder eines Dritten gegeben sein. Und zusätzlich einer der nachfolgenden Fälle vorliegen:

• Forderung durch rechtskräftiges oder vorläufig vollstreckbares Urteil bestätigt bzw. Vorliegen eines Schuldtitels
• Zum Prüfungstermin nicht durch den Schuldner bestrittene Forderung nach § 178 InsO
• Anerkennung der Forderung durch den Betroffenen
• Der Betroffene wurde zwei Mal nach Eintritt der Fälligkeit gemahnt. Die erste Mahnung und die Übermittlung haben Abstand von mindestens vier Wochen und der Betroffenen wurde mit oder nach der ersten Mahnung aber noch vor Übermittlung über die geplante Übermittlung informiert. Zudem darf der Betroffene die Forderung nicht bestritten haben.
• das der Forderung zugrunde liegende Vertragsverhältnis darf auf Grund von Zahlungsrückständen fristlos gekündigt werden und die verantwortliche Stelle hat den Betroffenen über die bevorstehende Übermittlung unterrichtet.

Zur Übermittlung von Daten über die Begründung, ordnungsgemäße Durchführung und Beendigung eines Vertragsverhältnisses muss ein Bankgeschäft nach § 1 Abs. 1 S. 2 Nr. 2, ,8 oder 9 Kreditwesengesetz vorliegen. Eine Übermittlung ist zudem nur zulässig, wenn schützenswürdige Interessen des Betroffen die Interessen der Auskunfteien an den Daten nicht überwiegen.

Eine Übermittlung bei Girokontoverträgen ohne Überziehungsmöglichkeit ist nicht zulässig. Eine Übermittlung von Verhaltensweisen des Betroffenen ist generell immer verboten. Dies kann auch nicht durch eine Einwilligung durch den Betroffenen zulässig gemacht werden.

Nachträgliche Änderungen an einer der übermittelten Tatsachen hat die verantwortliche Stelle innerhalb eines Monats  der Auskunftei mitzuteilen. Diese hat der verantwortlichen Stelle die Löschung der alten Tatsachen zu bestätigen.  Diese Pflicht gilt sowohl für negative als auch positive Änderungen.

4.    Automatisierte Einzelentscheidungen

Die Neuregelung des § 6 a BDSG unterstreicht in Abs. 1 durch zusätzliche Erläuterung wann eine rein automatisierte Verarbeitung vorliegt, dass grundsätzlich alle automatisierten Einzelentscheidungen, die rechtliche Folgen haben oder den Betroffenen erheblich beeinträchtigen,  verboten sind. Mit der automatisierten Einzelentscheidung ist gemeint, dass Daten automatisiert durch Datenverarbeitungsanlagen erhoben, verarbeitet oder genutzt werden. Sobald ein menschlicher Entscheidungsträger ins Spiel kommt, liegt jedoch nach der Legaldefinition keine automatisierte Einzelentscheidung vor.

Ein zum Schein eingesetzter Entscheider zählt hier jedoch nicht.  Der Entscheider muss zur Änderung der Entscheidung sowohl befugt, als auch durch die Datengrundlage und Technik zur Entscheidungsänderung in der Lage sein.
In der Praxis sollte der Sachbearbeiter die erforderliche Ausbildung besitzen, einen Zugriff auf alle relevanten Daten haben und durch die Stellendefinition zur Entscheidung befugt sein.

Es gibt jedoch Ausnahmen, die eine solche Verarbeitung zulassen. Diese sind in § 6 a Abs. 2 BDSG geregelt.  Dies sind zum einen Entscheidungen die im Rahmen des Abschlusses oder der Erfüllung eines Vertragsverhältnisses getroffen wurden und positiv für den Betroffenen entschieden wurden. Und zum anderen, wenn die berechtigten Interessen des Betroffenen gewahrt wurden und dieser über das Vorliegen einer automatisierten Entscheidung nach Abs. 1 informiert wurde.

Zusätzlich müssen dem Betroffenen auf Verlangen die relevanten Informationen und Verfahren, die zu der Entscheidung geführt haben, vorgelegt und erläutert werden.
Der Abs. 3 des § 6 a BDSG hat sich nicht geändert. Nach wie vor hat der Betroffene durch ihn ein erweitertes Auskunftsrecht nach §§ 19 und 34 BDSG, dass um den logischen Aufbau der automatisierten Verfahren erweitert ist.

5.    Neue Bußgeldtatbestände

Mit den Neuregelungen kamen auch einige neue Bußgeldtatbestände hinzu. Diese sind in § 43 BDSG zu finden.

Bis zu 50.000 Euro sind fällig bei:

• unterbliebene, unrichtige, unvollständige oder verspätete Übermittlung von geänderten Tatsachen aus § 28 a BDSG an die Auskunftei
• allgemeine Verletzung nach Auskunftspflichten aus § 34 BDSG
• Verletzung der speziellen Auskunftspflicht nach § 34 BDSG (Scoring)
• Keine oder nicht rechtzeitige Verweisung des Betroffenen an die den Wahrscheinlichkeitswert berechnende Stelle durch die verantwortliche Stelle
• Fehlende, falsche, nicht vollständige oder nicht rechtzeitige Unterrichtung nach § 29 Abs. 7 BDSG

Bis zu 300.000 Euro oder bis zur Höhe des wirtschaftlichen Vorteils (Gewinnabschöpfung) sind fällig bei:

• unzulässiger Übermittlung an eine Auskunftei

Häufig wissen Unternehmen nicht sicher, ob sie einen betrieblichen Datenschutzbeauftragten bestellen müssen oder nicht. In der Praxis herrschen die unterschiedlichsten Vorstellungen wann eine Bestellpflicht besteht und wann nicht. Wenn Sie einen Datenschutzbeauftragten bestellen müssten und dies nicht machen, kann das durchaus negative finanzielle Folgen für Sie haben. Deshalb sollten Sie unbedingt klären, ob Sie zur Bestellung eines betrieblichen Datenschutzbeauftragten verpflichtet sind.

Um Ihnen die Suche nach den einzelnen Voraussetzungen zu ersparen, haben ich eine Checkliste erstellt, die Sie durch die einzelnen Vorraussetzungen führt.

Checkliste – Müssen Sie einen Datenschutzbeauftragten bestellen?

Eine ganz neue aber dafür umso interessantere Situation hat sich im Umgang mit den personenbezogenen Daten der Spieler der MMORPG World of Warcraft in den letzte Tagen ergeben. Der Hersteller und Betreiber des Spieles Blizzard Entertainment Inc. hat eine Funktion ins Leben gerufen, bei der ohne Möglichkeit der Einflussnahme durch den Spieler, jeder Internetnutzer verfolgen kann, wann ein Spieler im Spiel mit seinem Charakter welche Erfolge ganz oder teilweise abgeschlossen hat, zu welcher Zeit Instanzen erfolgreich besucht wurden oder der Charakter besondere Gegenstände im Spiel fand.

Aus diesen Zeitangaben lässt sich hervorragend ableiten, zu welcher Zeit der Spieler gespielt hat und was er so getrieben hat. Und so kann ein Arbeitgeber dies zum Beispiel zur Überwachung eines krankgemeldeten Arbeitsnehmers nutzen oder feststellen wie viel Zeit jemand wirklich vor dem Spiel sitzt.

Soweit die Einführung, aber warum verstößt dieser Sachverhalt gegen das BDSG (Bundesdatenschutzgesetz)? Zu allererst muss geklärt werden, ob überhaupt das deutsche Recht anzuwenden ist, da der Hersteller seinen Europasitz in Frankreich hat, aber seinen Hauptsitz in den USA. Dies kann man aber nicht pauschal beantworten, es spielt aber auch keine so große Rolle, da innerhalb der EU der Datenschutzstandard nach der Richtlinie 95/46/E allgemein gleich ist. Zudem trifft der Hersteller aber in den Nutzungsbedingungen indirekt eine Rechtswahl nach US-Recht, folglich würde in diesem Falle das EGBGB auf Grund der aktiven Tätigkeit des Herstellers in Deutschland auf jeden Fall dem Verbraucher die Rechtswahl gestatten. Um die Sache nicht unnötig kompliziert zu machen wird davon ausgegangen, dass das deutsche Recht anzuwenden ist. (Die betroffenen Paragraphen stehen ebenso auch in der EU-Richtlinie)

Nun stellt sich die Frage, ob es sich bei den Daten überhaupt um personenbezogene Daten handelt, da es ja eine fiktive Figur ist. Dies ist analog wie ein Spitzname zu bewerten. Die Allgemeinheit kennt zwar nicht die Person hinter der Figur, aber der Freundeskreis, die Arbeitskollegen, die Familie und der Hersteller schon. Somit lässt sich ein eindeutiger Bezug zu einer natürlich Person herstellen. Die personenbezogenheit der Daten ist gegeben.

Die etwas schwierigere Frage ist nun, kann der Hersteller durch seine AGBs oder einen direkten Vertrag die Erlaubnis zur Veröffentlichung dieser Daten erlangen oder liegt gar eine Zulässigkeit durch Erlaubnis vor? (§ 4 BDSG) Dies könnte der Fall sein, wenn ihm die freiwillige Erlaubnis dazu geben wurde. (§ 4a BDSG) Das wiederum würde bedeuten, sie könnte ihm jederzeit wieder wieder durch den Betroffenen entzogen werden und die Löschung der Daten verlangt werden. (§ 35 BDSG) Diese Möglichkeit ist bisher allerdings nicht vorgesehen. Abgesehen davon scheint auf Grund der massenhaften Kritik an dem System kaum eine freiwillige Freigabe der Daten vorab abgefragt worden zu sein. Der zweite Weg für den Hersteller führt über die Vertragsgestaltung, also AGB oder Individualvertrag. Bei beiden Varianten schreibt der Gesetzgeber aber die Datensparsamkeit vor, d.h. es dürfen nur Daten erhoben und verarbeitet werden, die zur Vertragsabwicklung unbedingt nötig sind. (§ 3a BDSG) Das Koppeln von der Genehmigung zur Verarbeitung notwendiger und nice-to-have Daten in der Form des Vertragszwang, also nach dem Motto „ Du bekommt nur die Dienstleistung wenn du auch die ganzen unnötigen Daten angibst“ ist ebenfalls nicht zulässig. (§28 BDSG) Nun gilt es noch zu klären, ob die Daten wann wer was im Spiel gemacht hat für die Vertragserfüllung notwendig sind. Das grundsätzliche Erheben könnte für die Wartung und den Support im Spiel durchaus notwendig sein, die Veröffentlichung ist dies aber keinesfalls. Ein Beweis dafür ist, dass WoW bereits 5 Jahre erfolgreich ohne die Veröffentlichung dieser Daten betrieben werden konnte.(§ 3a BDSG)

Abschließend kann man also sagen, die Daten werden widerrechtlich genutzt.

Es bleibt zu Hoffen, dass der Hersteller seinen Fehler schnell korrigiert und beispielsweise eine freiwillige Freischaltung einbaut.

Seit dem 01.09.09 ist die zweite Novelle des Bundesdatenschutzgesetzes in Kraft. Sie wartet mit zahlreichen Neuerungen und Verbesserungen im Datenschutz auf. Nachfolgend möchte ich einige der Neuerungen und deren Auswirkungen vorstellen.

Auftragsdatenverarbeitung

Häufig kommt es gerade in kleinen und mittelständischen Unternehmen sowie in Gesundheitseinrichtungen zur Auftragsdatenverarbeitung. Diese war bisher meist durch Verträge geregelt, in denen zum Thema Datenschutz höchstens ein Satz wie etwa „Wir verpflichten uns das BDSG einzuhalten“ zu lesen war.

Diese Zeit ist nun vorbei, die Neufassung des § 11 regelt zum einen die Punkte, die im Vertrag aufgeführt sein müssen und zum anderen die Pflicht des Auftraggebers zu Kontrollen der Einhaltung beim Auftragnehmer. Die vertraglich zu beschreibenden Sachverhalte sind:

1. der Gegenstand und die Dauer des Auftrags,
2. der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen,
3. die nach § 9 zu treffenden technischen und organisatorischen Maßnahmen,
4. die Berichtigung, Löschung und Sperrung von Daten,
5. die nach Absatz 4 bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen,
6. die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen,
7. die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers,
8. mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen,
9. der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält,
10. die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags.

Der Auftraggeber hat die Kontrollen vor Beginn und regelmäßig während der Datenverarbeitung durchzuführen und zu protokollieren.

Arbeitnehmerdatenschutz

Nach den letzten Datenschutzskandalen hat der Arbeitnehmerdatenschutz wörtlichen Einzug in das BDSG gehalten. Die Zulässigkeit der Erhebung von Arbeitnehmerdaten wird in § 32 geregelt. Personenbezogene Daten von Beschäftigten dürfen nur noch für die Zwecke des Beschäftigungsverhältnisses erhoben werden, wenn diese für Begründung, Durchführung oder Beendigung des solchen Verhältnisses notwendig sind. Die Erhebung von Daten zur Aufdeckung von Straftaten ist nur noch zulässig bei konkretem Verdacht und dann auch nur auf die betroffene Person bezogen. Ein Massenscreening ist somit nicht mehr zulässig. Die genau Auflistung, wer als Beschäftigter zählt, finden Sie in § 3 Abs. 11.

Kündigungsschutz für Datenschutzbeauftragte

Endlich hält auch der Kündigungsschutz Einzug in das BDSG. In § 4f Abs. 3 wird dem betrieblichen DSB ein Kündigungsschutz gewährt, der bis Ablauf eines Jahres nach seiner Abberufung als DSB gültig ist. Eine Kündung ist in dieser Zeit nur bei Tatsachen zulässig, die eine fristlose Kündigung rechtfertigen.

Fortbildungen Datenschutzbeauftragte

Im gleichen Absatz (§ 4f Abs. 3) wird bestimmt, dass der betriebliche DSB zur Erhaltung seiner Fachkunde das Recht hat, an Fort- und Weiterbildungsveranstaltungen teilzunehmen. Die Kosten hierfür hat der Arbeitgeber zu tragen.

Daten für Marketingzwecke und Adresshandel

Nach wie vor ist das Listenprivileg gültig, d.h. Listendaten dürfen weiterhin für Eigenwerbung, berufsbezogene und Spendenwerbung genutzt werden. Die Übermittlung ist zulässig, wenn Herkunft und Empfänger gespeichert werden (s. Auskunftsansprüche). Betroffene haben das Recht der werblichen Verwendung ihrer Daten zu widersprechen.

Auskunftsansprüche

Sowohl § 33 (Benachrichtigung) als auch § 34 (Auskunft) sind geändert worden. Im Bezug auf die Benachrichtigungspflicht ist die Ausnahme, dass bei allgemein zugänglichen Quellen und einem unverhältnismäßig hohem Aufwand für die Benachrichtigung der Einsatz für Markt- und Meinungsforschung ohne Benachrichtigung zulässig ist.

§ 34 ist umfangreicher überarbeitet und tritt teilweise erst mit der Novelle 1 im April 2010 in Kraft. Die bereit jetzt gültigen Änderungen betreffen die Speicherpflicht über die Herkunft der Daten, die in § 28 (Scoringwerte etc.) beschrieben sind. So hat die übermittelnde Stelle die Herkunft und den Empfänger der Daten für zwei Jahre zu speichern und dem Betroffenen auf Anfrage Auskunft hierüber zu erteilen.

Pflicht zur Selbstanzeige

Bisher konnte man der Aufsichtsbehörde Verstöße gegen die Datenschutzbestimmungen melden, musste dies aber nicht. Nun besteht bei zu unrecht gespeicherten oder genutzten Daten die Pflicht, sowohl die Aufsichtsbehörde als auch die Betroffenen unverzüglich zu informieren (§ 42a).

Wenn der Aufwand der Benachrichtigung der Betroffenen zu hoch ist, muss in zwei bundesweit erscheinenden Tageszeitungen Anzeigenschaltungen zum Sachverhalt erfolgen. Auch der Umfang der Benachrichtigung ist definiert. Den Betroffenen muss das Unternehmen eine Beschreibung der Art der unrechtmäßigen Kenntniserlangungen und Empfehlungen für Maßnahmen zur Minderung möglicher nachteiliger Folgen zukommen lassen. Die Meldung an die Behörde muss zusätzlich noch mögliche nachteilige Folgen und die Maßnahmen zur Beseitigung des Missstandes enthalten. Bei Verstößen kommt das neue Bußgeld in Höhe bis 300.000 Euro oder in Höhe des wirtschaftlichen Vorteils zum Tragen.

Generelle Datensparsamkeit

In der Neufassung des § 3a wird nun für alle Erhebungen, Verarbeitungen und Nutzungen die Pflicht zur Datensparsamkeit und Anonymisierung festgelegt. So müssen alle Daten anonymisiert werden, wenn nicht hierzu ein unverhältnismäßig hoher Aufwand nötig ist und dies der Einsatzzweck der Daten zulässt. Zudem muss bei der Auswahl und Herstellung von Softwareprodukten darauf geachtet werden, dass diese so wenig personenbezogene Daten benutzen wie möglich.

Erweiterung der Behördenbefugnisse

Durch die Erweiterung des § 38 haben die Aufsichtsbehörden nun nicht nur die Befugnis technische oder organisatorische Mängel zu beseitigen, sondern sie dürfen nun generell die Beseitigung von Datenschutzverstößen anordnen und bei Nicht-Abschaffung Bußgelder verhängen.

Ausblick

In wenigen Monaten, am 01.04.2010, tritt die erste Novelle des Bundesdatenschutzgesetzes in Kraft und mit ihr halten weitere Verbesserungen zum Datenschutz Einzug in das Gesetz. Auch diese Änderungen werden Sie hier zu gegebener Zeit nachlesen können.

Das neue BDSG finden Sie unter http://bundesrecht.juris.de/bdsg_1990/

Den Artikel als PDF auf great-oak.de.

Alle Angabe und Beschreibungen sind ohne Gewähr auf Vollständigkeit und Richtigkeit!