Monthly Archives: August 2015

Datenflüsse beim Softwareeinsatz: Bundestag lehnt erweiterte Transparenzpflicht für Hersteller ab

Posted on by

Der Petitionsausschuss des Bundestages hat eine Online-Petition mit dem Titel „Kundenschutz im Telekommunikationsbereich – Bestätigungsfunktion bei Rücksendung von Daten an Softwarehersteller“ am 2.7.2015 abgeschlossen und den in der Petition aufgestellten Forderungen eine Absage erteilt.

Nach der Petition sollte der Bundestag beschließen,

dass die Hersteller von Software grundsätzlich die Daten, die im Hintergrund an den Hersteller – oder andere Zielsysteme – gesendet werden sollen, auf dem Bildschirm anzeigt und vom Nutzer der Software eine Bestätigung erfolgen muss, bevor diese Daten an den Hersteller – oder andere Zielsysteme – gesendet werden.

In seinem ablehnenden Beschluss (PDF), führt der Petitionsausschuss zunächst an, dass das Datenschutzrecht (und damit verbundene Informationspflichten) überhaupt nur dann Anwendung findet, wenn personenbezogene Daten betroffen sind. Danach befasst sich der Ausschuss mit den rechtlichen Grundlagen, wann personenbezogene Daten im Verhältnis zwischen Softwarenutzer und –hersteller verarbeitet werden dürfen.

Dabei kommen insbesondere § 28 Abs. 1 S. 1 Nr. 1 und Nr. 2 BDSG in Betracht. Insofern weist der Ausschuss darauf hin, dass bei Vorliegen der Voraussetzung eine Datenverarbeitung durch die Softwarehersteller auch ohne (die von der Petition geforderte) Einwilligung erlaubt ist. Jedoch sei auch dafür Sorge getragen, dass personenbezogene Daten nicht ohne Kenntnis der Betroffenen verarbeitet werden. Denn nach § 4 Abs. 2 S. 1 BDSG gelte der Grundsatz der Direkterhebung. Daten sollen also grundsätzlich direkt beim Betroffenen erhoben werden. Zudem soll dieser nach § 4 Abs. 3 S. 1 BDSG von dem Softwarehersteller über dessen Identität, die Zweckbestimmung der Verarbeitung und die Kategorien von Empfängern informiert werden.

Zudem sind nach Auffassung des Ausschusses die benannten Erlaubnistatbestände eng auszulegen. Der Softwarehersteller als verantwortliche Stelle könne nicht frei darüber befinden, welche Daten er zu welchen Zwecken erheben und verwenden möchte. Lediglich die für Vertragserfüllung objektiv erforderlichen Daten dürfen genutzt werden. Zudem müssen nach § 28 Abs. 1 S. 2 BDSG schon bei der Erhebung der Daten die Zwecke konkret festgelegt werden, für die die Daten verarbeitet werden sollen.
Für den Fall, dass einer der Erlaubnistatbestände nicht greift und die Einwilligung des Nutzers eingeholt werden muss, weist der Ausschuss darauf hin, dass diese informiert abgegeben werden muss. Nutzer sind also auf die vorgesehenen Zwecke der Datenverarbeitung hinzuweisen.

In beiden Konstellationen ist nach Auffassung des Ausschusses folglich eine hinreichende Transparenz gewährleistet.

Zuletzt begründet der Ausschuss seine Entscheidung mit dem Verweis auf das Auskunftsrecht (§ 34 BDSG) der Nutzer und die Benachrichtigungspflicht (§ 33 BDSG) der verantwortlichen Stelle, wenn personenbezogene Daten nicht direkt beim Betroffenen erhoben werden. Auch durch diese Instrumente ist gewährleistet, dass interessierte Betroffene in Erfahrung bringen können, welche Daten zu welchen Zwecken verarbeitet werden.

Einsatz von Dienstleistern: Geldbuße in fünfstelliger Höhe wegen fehlerhaftem Vertrag

Posted on by

In der Praxis ist die Figur der sog. Auftragsdatenverarbeitung nicht mehr wegzudenken. Unternehmen setzen für unzählige Prozesse externe Dienstleister ein. Werden durch einen solchen Dienstleister personenbezogene Daten im Auftrag erhoben, verarbeitet oder genutzt, so ist nach § 11 Abs. 1 BDSG der Auftraggeber für die Einhaltung der Vorschriften des BDSG und anderer Vorschriften über den Datenschutz verantwortlich. Als externe Dienstleister gelten im Datenschutzrecht übrigens auch solche Stellen, die innerhalb eines Konzerns miteinander verbunden sind. So kann etwa auch zwischen zwei Tochtergesellschaften derselben Mutter eine ADV vorliegen und der Abschluss eines entsprechenden Vertrages erforderlich sein.

Die bayerische Aufsichtsbehörde für den Datenschutz im privaten Bereich (BayLDA), hat nun bekanntgegeben (PDF), dass ein Unternehmen, welches einen fehlerhaften Vertrag zur Auftragsdatenverarbeitung nutzte, mit einer Geldbuße in fünfstelliger Höhe belegt wurde. Grund genug für Unternehmen, auf einen rechtkonformen Einsatz externer Dienstleister und Stellen zu achten. Dazu gehört auch der Abschluss eines Vertrages zur Auftragsdatenverarbeitung.

Wann liegt eine „ADV“ vor?
Oft schneller als man denkt. Es existiert jedoch kein fester Katalog an Beispielen. In der Kommentarliteratur werden jedoch etwa folgende Sachverhalte als fall der ADV klassifiziert: Beauftragung eines externen Rechenzentrums mit der Durchführung bestimmter Datenverarbeitungsaufgaben; Beauftragung eines externen Entsorgungsunternehmens mit dem Vernichten von Altpapier; Call-Center-Leistungen, wenn die Kommunikation mit den Anrufern klar vorgegebenen ist; oft auch der Einsatz von Softwarelösungen im Wege des Cloud-Computing.

Grundsätzlich bedarf es jedoch stets einer Prüfung im Einzelfall, ob tatsächlich eine Auftragsdatenverarbeitung vorliegt.

Welchen Inhalt muss der Vertrag haben?
§ 11 Abs. 2 BDSG legt die Mindestanforderungen an einen solchen Vertrag fest. Danach ist der Auftrag schriftlich zu erteilen und insbesondere im Einzelnen festzulegen:

  • der Gegenstand und die Dauer des Auftrags,
  • der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen,
  • die nach § 9 BDSG zu treffenden technischen und organisatorischen Maßnahmen
  • die Berichtigung, Löschung und Sperrung von Daten,
  • die nach § 11 Abs. 4 BDSG bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen,
  • die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen,
  • die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers,
  • mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen,
  • der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält,
  • die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags.

Im Fall des BayLDA hat das Unternehmen, als Auftraggeber und verantwortliche Stelle, keine konkreten technischen und organisatorischen Maßnahmen (vgl. § 9 BDSG) in den Verträgen festgelegt und bei den Auftragnehmern deren Implementierung nicht geprüft. Diese dürfen nicht pauschal an einen Vertrag abgehängt werden, sondern müssen von Fall zu Fall festgelegt und in dem Vertrag vorgeschrieben werden. Das BayLDA selbst bietet eine Übersicht zur Auftragsdatenverarbeitung mit Erläuterungen an (PDF).

Melderegisterauskunft im Internet – Erhöhte Anforderungen an Portalbetreiber

Posted on by

Im November 2015 tritt das neue Bundesmeldegesetz (BMG) in Kraft. Nach dessen § 49 Abs. 3 wird in Zukunft die Möglichkeit bestehen, sog. einfache Melderegisterauskünfte in einem automatisierten Verfahren über Onlineportale zu erteilen. Diese Portale können auch in privatrechtlicher Form (also etwa als GmbH) betrieben werden. Dann ist jedoch eine Zulassung durch die jeweilige oberste Landesbehörde erforderlich. Die Voraussetzungen einer solchen Zulassung sollen nun in einer Verordnung festgelegt werden, der sog. Portalverordnung – PortalVO (PDF). Selbstverständlich spielen hierbei auch Datenschutz und Datensicherheit eine Rolle. Immerhin handelt es sich ja um personenbezogene Daten aus den Melderegistern.

In § 2 Nr. 1 PortalVO wird festgelegt, dass ein Portal den Anfragenden (also jene Person, die Auskunft aus dem Melderegister begehrt) so registrieren können muss, dass dessen Identität festgestellt werden kann. Eine Registrierung einer eventuell anfragenden Stelle (also etwa eines Vereins oder eines Unternehmens) reicht nach der Verordnungsbegründung nicht aus. Es muss eine „die Anfragen verantwortende Person…zu registrieren“. Die Identität dieser Person muss feststellbar sein. Eine Registrierung allein mit dem Namen und einer E-Mail-Adresse wird daher wohl nicht ausreichen.

§ 3 PortalVO statuiert eine umfangreiche Protokollierungspflicht für das Portal. Aufzuzeichnen sind u.a. die Kennung des Anfragenden, die Daten, mit denen angefragt wurde und der Zeitpunkt der Anfrage. Nach § 3 Abs. 2 PortalVO muss zudem gewährleistet sein, dass die Protokolldaten mindestens (also nicht etwa maximal) 12 Monate aufbewahrt und gesichert werden. Spätestens zu Löschen sind die Daten am Ende des Kalenderjahres, das auf die Speicherung folgt. Bedeutet: Daten zu einer Anfrage am 1.1.2015 können bis zum 31.12.2016 aufbewahrt werden.

Zudem sieht § 3 Abs. 2 Nr. 3 PortalVO eine gesetzliche Zweckbindung für die Nutzung der Protokolldaten vor. Sie dürfen für Zwecke der Datenschutzkontrolle, hieraus folgender Strafverfahren und zur Sicherstellung des Portalbetriebs genutzt werden. Eine Weitergabe der Protokolldaten an Strafverfolgungsbehörden wird also erlaubt, jedoch nur, wenn sich ein Verdacht auf eine Straftat aus einer Datenschutzkontrolle ergibt. Aufgrund der im Bundesdatenschutzgesetz recht spärlich gesäten Straftatbestände (vgl. § 44 BDSG), dürfte dies also praktisch nie erlaubt sein.

§ 4 PortalVO normiert datenschutzrechtliche und datensicherheitsrechtliche Pflichten für den Portalbetreiber. So muss die Auskunft an den anfragenden Nutzer verschlüsselt erfolgen, wobei der Verschlüsselungsstandard offen gelassen wird. Auch muss der Betreiber technische und organisatorische Maßnahmen vorsehen, um den Datenschutz und die Datensicherheit zu gewährleisten. Die Verordnungsbegründung verweist u.a. auf die Vorschrift des § 9 BDSG. Der Betreiber darf außerdem die an den Anfragenden übermittelten Daten zudem nach der Weitergabe nicht in seinem System speichern. In der Praxis sollten Betreiber diesbezüglich vor allem auf automatische Backups und Datensicherungen achten, die eventuell ungewollt dennoch derartige Daten enthalten könnten.