, ,

Geschäftsgeheimnisgesetz: Das müssen Unternehmen jetzt tun!

Nach monatelangen Verhandlungen hat der Bundestag am 21.03.2019 das Geschäftsgeheimnisgesetz (GeschGehG) beschlossen, das bereits in Kraft getreten ist. Es ist also höchste Zeit für Unternehmen sich damit auseinanderzusetzen, was das neue GeschGehG für den Schutz ihrer Geschäftsgeheimnisse bedeutet und welcher Handlungsbedarf besteht.

Der Begriff des Geschäftsgeheimnisses

Bisher existierte in der Europäischen Union kein einheitliches Recht, was dem Schutz von Geschäftsgeheimnissen diente. In Deutschland waren Geschäftsgeheimnisse vor allem nach § 17 UWG geschützt. Nach der Rechtsprechung des Bundesgerichtshofs (BGH) galt als Geschäfts- oder Betriebsgeheimnis jede im Zusammenhang mit einem Geschäftsbetrieb stehende Tatsache, die nicht offenkundig sondern nur einem begrenzten Personenkreis bekannt war und nach dem bekundeten, auf wirtschaftlichen Interessen beruhenden Willen des Betriebsinhabers geheim gehalten werden sollte.

Nach der Definition in § 2 Nr. 1 GeschGehG ist hingegen ein Geschäftsgeheimnis eine Information,

  • die geheim ist (nicht allgemein bekannt bei Kreisen, die üblicherweise mit solchen Informationen umgehen, und nicht ohne weiteres zugänglich),
  • die von wirtschaftlichem Wert ist (geschützt wird nur ein wirtschaftliches und kein privates Geheimhaltungsinteresse),
  • die mit angemessenen Geheimhaltungsmaßnahmen geschützt wird und
  • bei der ein berechtigtes Interesse an der Geheimhaltung besteht.

Maßnahmen, die der Geheimhaltung dienen, sind daher nach momentan geltendem Recht nicht mehr nur notwendig, um tatsächlich dem Verlust von Geschäftsgeheimnissen entgegenzuwirken, vielmehr gilt jetzt: Werden keine angemessenen Geheimhaltungsmaßnahmen getroffen, liegt schon gar kein Geschäftsgeheimnis vor und der Schutz des GeschGehG greift nicht.

Wie sehen angemessene Geheimhaltungsmaßnahmen aus?

Wann Geheimhaltungsmaßnahmen den Umständen nach angemessen im Sinne des § 2 Nr. 1 GeschGehG sind, ist eine Frage des Einzelfalls. Die wirtschaftliche Bedeutung ist hierbei das wichtigste Kriterium für ein Geschäftsgeheimnis des Unternehmens. Handelt es sich vorliegend um die „Kronjuwelen“, deren Offenlegung oder Nutzung durch Wettbewerber existenzbedrohend sein könnte? Oder geht es um Geheimnisse, die zwar wichtig für das Unternehmen sind, aber in ihrer Gesamtheit doch eher untergeordnete wirtschaftliche Bedeutung haben? Je wichtiger ein Geschäftsgeheimnis für das Unternehmen ist, desto striktere Schutzmaßnahmen müssen ergriffen werden, damit diese als angemessen gelten können. Im Übrigen ist es wohl verfehlt, alle geheimhaltungsbedürftigen Informationen mit der höchsten Geheimhaltungsstufe zu versehen und mit besonderen Sicherungsmaßnahmen zu schützen. Insbesondere müssen die Geheimhaltungsmaßnahmen und der damit einhergehende Aufwand in einem angemessenen Verhältnis zur wirtschaftlichen Bedeutung des Geschäftsgeheimnisses stehen. Von einem Konzern könnten zudem möglicherweise striktere Geheimhaltungsmaßnahmen verlangt werden, als von einem mittleren oder kleineren Unternehmen. Was genau „angemessener Schutz“ bedeutet, wird daher noch durch die Rechtsprechung zu konkretisie-ren sein.

Wie verhält es sich jetzt mit dem Reengineering?

Ein Reengineering – mithin der Nachbau eines Produktes – um ein Nachvollziehen von Geheimnissen oder vielmehr deren Entschlüsselung zu ermöglichen, wird nach momentaner Rechtslage in Zukunft – zumindest teilweise – zulässig sein!

Welche rechtlichen Möglichkeiten habe ich nun bei Geheimnisverletzungen?

Der Inhaber eines verletzten Geschäftsgeheimnisses hat nach der neuen Gesetzeslage dieselben Ansprüche wie etwa der Inhaber eines verletzten Patents. Konnte bisher vom Verletzenden lediglich Schadensersatz, Unterlassung und Auskunft verlangt werden, wird der „juristische Werkzeugkasten“ nun etwa auch um Ansprüche auf Vernichtung verletzender Produkte, Herausgabe, Rückruf sowie dauerhafte Entfernung der verletzenden Produkte aus dem Markt erweitert. Dies ist eine erhebliche Besserstellung von Inhabern verletzter Geheimnisse.

Wie steht es nun um das „Whistleblowing“?

Der Schutz von sog. Whistleblowern und Journalisten, die Geschäftsgeheimnisse im Rahmen ihrer Veröffentlichung von Missständen in Unternehmen offenlegen, war einer der wesentlichen Gründe für komplexe Diskussionen im Rahmen des Gesetzgebungsverfahrens in Deutschland. Im Ergebnis einigte man sich auf einen hohen Whistleblower-Schutz.

Solange sich die Offenlegung des Geschäftsgeheimnisses durch den Whistleblower zum Schutz des öffentlichen Interesses eignet, macht er sich im Falle eines Geschäftsgeheimnisverrats nicht strafbar. Was auch dies im Einzelnen bedeutet, bleibt weiter – insbesondere mit Blick auf die Rechtsprechung – abzuwarten.

Was müssen Unternehmen jetzt tun?

Der Schutz von Geschäftsgeheimnissen nach dem GeschGehG ist nicht verpflichtend, anders als etwa die Vorgaben der DS-GVO umzusetzen. Dennoch müssen Unternehmen handeln, um ihre Geschäftsgeheimnisse zu schützen und sich im Streitfall auch durchsetzen zu können.

Wir empfehlen ein 3-stufiges Konzept:

Zunächst sollten alle Geschäftsgeheimnisse im gesamten Unternehmen identifiziert werden. Anschließend sollten in einem zweiten Schritt alle Geheimnisse bewertet und kategorisiert werden.

Je nach Wichtigkeit des Geschäftsgeheimnisses sind in einem dritten Schritt entsprechende Schutzmaßnahmen zu treffen. Schutzmaßnahmen sind jedoch keinesfalls nur rechtlicher Natur. Neben vertraglichen Vereinbarungen, Compliance-Maßnahmen und Arbeitsanweisungen sind auch technische und organisatorische Maßnahmen zu treffen, vor allem sollte hier eine Mitarbeiter-Sensibilisierung sowie die Verbesserung der IT- und Werkssicherheit stattfinden. Dies ist – wie bei der Umsetzung des Datenschutzes oder der Informationssicherheit im Unternehmen – nur unter Einbeziehung verschiedenster Abteilungen sowie Fachrichtungen im Unternehmen umsetzbar. Entscheidende Werkzeuge für den Erfolg einer Umsetzung können hier wiederum ein Datenschutz- oder Informationssicherheitsmanagementsystem sein.

Ergebnis

Sie müssen jetzt handeln! Unternehmen, die ihre Geheimnisse auch zukünftig schützen möchten und vor allem entsprechende Ansprüche durchsetzen wollen, sind jetzt gefordert, angemessene Schutzmaßnahmen zu ergreifen und zu dokumentieren!

/von

DS-GVO – Dokumentationspflichten

Verantwortliche haben nach der DS-GVO eine Rechenschaftspflicht in der sie nachweisen müssen, dass die Datenschutzgrundsätze eingehalten werden und die Datenverarbeitung DS-GVO-konform erfolgt. Um im Zweifelsfall ihrer Rechenschafts- und Nachweispflicht nachkommen zu können, ist eine entsprechende Dokumentation erforderlich.

Die wichtigsten Dokumentationspflichten, haben wir hier aufgelistet:

Verarbeitungsverzeichnis:

Die Erstellung eines Verarbeitungsverzeichnisses ist für alle Verantwortlichen und Auftragsverarbeiter eine Pflicht, die sich aus Art. 30 der DS-GVO ergibt. Hier muss nachgewiesen werden, dass die Datenschutzgrundsätze erfüllt werden. Dazu gehört auch, dass geeignete technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten ergriffen werden und diese regelmäßig zu überprüfen und zu aktualisieren. Am Besten wird die Rechtsgrundlage auf die sich die Verarbeitung stützt gleich mit dokumentiert.

Einwilligungs-Management:

Ist für die Datenverarbeitung eine Einwilligung erforderlich, muss diese durch eine unmissverständliche Willensbekundung erfolgen (Text, E-Mail, Fax) oder durch elektronische Einwilligung per Mausklick. In jedem Fall ist eine Widerrufserklärung erforderlich in der der Betroffene darüber informiert wird, dass einer Verarbeitung jederzeit widersprochen werden kann. Eine entsprechende Dokumentation darüber ist nach Art. 7 DS-GVO erforderlich und muss nachgewiesen werden können. Alte rechtswirksame Einwilligungen bleiben zwar wirksam, müssen aber ebenfalls nachgewiesen werden können.
Kinder ab 16 Jahren dürfen zwar eine Einwilligung erklären, allerdings ist dazu die Zustimmung der Eltern erforderlich. Dies haben Verantwortliche zu prüfen und nachzuweisen.

Datenpannen:

Im Falle einer Datenpanne sollte ein Meldeprozess implementiert werden, damit klar ist wer zu informieren ist und wer die Panne gegenüber der Aufsichtsbehörde und den Betroffenen entsprechend Art. 33, 34 DS-GVO meldet. In der Regel übernimmt dies der Datenschutzbeauftragte bzw. wenn keiner benannt wurde die Geschäftsleitung. Wird durch die Datenpanne keine Verletzung des Datenschutzes erkannt (z.B. die Daten auf dem gestohlenen Mobilgerät verschlüsselt sind), muss keine Meldung an die Aufsichtsbehörde erfolgen. Die Panne selbst ist allerdings zu dokumentieren.

Datenschutz-Folgenabschätzung:

Verantwortliche und Auftragsverarbeiter sind dazu verpflichtet zu prüfen, welche Risiken eine Verarbeitung von personenbezogenen Daten für die Betroffenen hat. Dies kann durch eine Datenschutz-Folgenabschätzung entsprechend Erwägungsgrund 90 DS-GVO erfolgen und schreibt zwingend eine Dokumentation vor. Wird keine Analyse durchgeführt, sind die Gründe dafür ebenfalls zu dokumentieren.

Auftragsverarbeitung:

Wer Dienstleister damit beauftragt Aufgaben zu übernehmen, die die Verarbeitung von personenbezogenen Daten erfordert, benötigt einen Vertrag. Dieser soll sicherstellen, das die personenbezogenen Daten nur nach ihren Weisungen und nur zum Zwecke der Vertragserfüllung verarbeitet werden. Damit kann der Verantwortliche gegenüber der Datenschutzsaufsichtsbehörde nachweisen, dass der Beauftragte die Anforderungen der DS-GVO erfüllt. Eine Übersicht darüber, welche Dienstleister beauftragt wurden, hilft wenn Betroffene, einen Wiederspruch geltend machen oder das Recht auf Löschung in Anspruch nehmen.

Mitarbeiter:

Da Mitarbeiter auf Anweisung des Verantwortlichen die personenbezogenen Daten verarbeiten dürfen, sind entsprechende interne Datenschutzregelungen (Betriebsanweisung/Dienstanweisung) zu erstellen. Auch wenn private Arbeitgeber nach der DS-GVO nicht mehr verpflichtet sind, die Mitarbeiter zur Verschwiegenheit zur verpflichten, ist es ratsam eine Verschwiegenheitserklärung unterschreiben zu lassen und die Mitarbeiter im erforderlichen Umfang im Datenschutz zu schulen.

Löschkonzept:

Ist ein Zweck für die Verarbeitung von personenbezogenen Daten erfüllt oder macht ein Betroffener sein Recht auf Löschung geltend, sind diese zu löschen. Ausnahmen bilden die gesetzlichen Aufbewahrungsfristen oder wenn andere zwingend schutzwürdige Gründe angegeben werden können. Daher ist es sinnvoll ein Löschkonzept zu etablieren, aus dem hervorgeht wie lange bestimmte Daten aufbewahrt werden müssen und dies zu dokumentieren. Wer personenbezogene Daten an Dritte zur Auftragsverarbeitung weitergibt oder im Internet veröffentlicht, sollte festhalten an wen welche Daten weitergegeben wurden, um diese bei Bedarf löschen zu können.

Zertifizierungen:

Zertifizierungen die von einer Datenschutzaufsicht genehmigt wurden, können als Nachweis herangezogen werde, dass die Vorgaben der DS-GVO eingehalten werden. Dies ist entsprechend zu dokumentieren.

Fazit:

Grundsätzlich gilt, was die Dokumentation angeht: „so wenig wie möglich – so viel wie nötig“. Denn die DS-GVO soll ein Unternehmen nicht lähmen, sondern Betroffene schützen. Dazu muss ein Unternehmen nachweisen können, dass es sich an die Datenschutzgrundsätze hält und alles getan hat um die Daten zu schützen.

/von

Datenschutz wird 2019 noch schlimmer?

Das Datenschutzjahr 2018 ist endlich vorbei! Haben Sie es heil überstanden? Wie viele Haare haben Sie in 2018 an den Datenschutz verloren? Hat Sie Ihre Familie zum Jahresende 2018 noch wiedererkannt, nachdem Sie 2018 so viele Überstunden für den Datenschutz machen mussten? Kaum war ein Jahr für den Datenschutz aufregender und hektischer als 2018. Doch was ist mit 2019? Wird alles noch schlimmer? Kommt noch mehr „Hardcore-Datenschutz“?

Wir haben einen Helden! Wir nennen Ihn „Datenschutzbeauftragter“!

Eines hat sich in 2018 definitiv verändert: Es ist die Rolle des Datenschutzbeauftragten (DSB)! Früher oft nur müde belächelt oder sogar als „kauzig“ gemieden, ist die Wahrnehmung von Unternehmen gegenüber dem Datenschutzbeauftragten – und ggf. auch seinem Team – mittlerweile eine deutlich andere. Der durchschnittliche Datenschutzbeauftragte hat in 2018 insbesondere bei Workshops deutlich an Publikum dazugewonnen, ihm hören mittlerweile vom Pförtner bis zum Vorstand alle sehr genau zu, er wird wesentlich häufiger von Mitarbeitern zu unterschiedlichsten Fragestellungen kontaktiert. All die Unsicherheiten aufgrund der neuen Gesetzeslage, aber auch aufgrund der oftmals nicht vorhandenen „Best Practice“, haben ganzjährig dafür gesorgt, dass der DSB so gefragt war wie noch nie.

Das gleiche Bild auch im Privatleben: Während es bis 2018 nie jemand wirklich interessierte, was man eigentlich beruflich macht, es oftmals auch keiner verstand, war man 2018 selbst bei Familientreffen gefeierter Star einer eifrigen Fragerunde, in der mitunter auf Servietten mitgeschrieben wurde. Selbst zum noch so besinnlichsten Weihnachtskaffeetrinken wurde man teilweise mit den Worten, „Ich hab‘ da nachher noch mal ’ne Frage…“, begrüßt.

Was kommt 2019 in Sachen Datenschutz?

Und was passiert nun 2019? Wird alles noch schlimmer mit dem Datenschutz? Die bedauerlicherweise uneindeutige Antwort lautet hier: „Na ja…!“

Zunächst stehen nach wie vor die Datenschutz-Grundverordnung (DS-GVO) sowie die jeweiligen nationalen Gesetze mit ihren Anforderungen im Raum. Diesen gilt es weiter entschlossen und fleißig gerecht zu werden. Eine Verschärfung oder ein „Schlimmerwerden“ im eigentlichen Sinne ist hier erstmal nicht zu erwarten.

Der Hysterie-Welle betreffend die bereits seit längerem verhandelte ePrivacy-Verordnung (ePVO) sollten Sie sich aber eher nicht anschließen. Diese wird voraussichtlich 2019 nicht fertig verhandelt worden sein, weshalb auch das viel beschworene und zu Unrecht befürchtete Ende des Online-Marketings mit großer Wahrscheinlichkeit erst in 2020 kommen wird.

Höchst fraglich ist jedoch, wie sich die Datenschutzaufsichtsbehörden 2019 verhalten werden. Auf der einen Seite haben diese immer noch nur sehr begrenzte Kapazitäten, auf der anderen Seite kommen die Aufsichtsbehörden jedoch dann in Schwung, wenn sich ihnen ein Anlass bietet. So geschehen etwa beim Bußgeld in Höhe von 400.000 Euro der portugiesischen Datenschutzaufsichtsbehörde, mit dem ein portugiesisches Krankenhaus belegt wurde, sowie beim Bußgeld in Höhe von 20.000 EURO der baden-württembergische Datenschutzaufsichtsbehörde, mit dem das soziale Netzwerk Knuddels.de belegt wurde. Auch der Besuch eines Datenschutzexperten der ANMATHO AG bei der portugiesischen Datenschutzaufsichtsbehörde in Lissabon Ende November 2018 sowie mehrere Gespräche der ANMATHO AG mit Vertretern deutscher Aufsichtsbehörden konnten hier noch kein Licht ins Dunkel bringen. Es bleibt also mit Blick auf das Verhalten der Aufsichtsbehörden – auch was die eigentliche Ausschöpfung des Bußgeldrahmens angeht – in 2019 sehr spannend.

Gute Vorsätze für das Jahr 2019

Ein Rat von Herzen in Sachen Datenschutz für das Jahr 2019: Ein weiteres Jahr schreiend panisch im Kreis zu laufen hilft keinem weiter! Gehen Sie die Herausforderungen des neuen Datenschutzrechtes mit Herz, Verstand sowie mehr Gelassenheit in 2019 an und behalten Sie vor allem die weitere Entwicklung des Datenschutzes immer im Auge. Schlimmer als in 2018 kann es vermutlich nicht werden. Bleiben Sie tapfer!

/von
,

Rückblick ANMATHO Forum 2018

Unter dem Motto: „Mission (Im)possible“ brachte unser Forum am 11.12.2018 Kunden aus unterschiedlichen Branchen zusammen. Für die brennenden Themen zur Informationssicherheit und Datenschutz konnten wir Experten gewinnen, die die Probleme aus unterschiedlichen Perspektiven betrachten.

Nach einer kurzen Begrüßung durch unseren COO, Herrn Westerkamp, hat Herr Dondera vom LKA Hamburg in dem Vortrag „Cybercrime – reale Gefahren im Netz“ kurzweilige und mit vielen Fallbeispielen auf die aktuelle Bedrohungslage in der digitalen Welt aufmerksam gemacht. Er hat besonders darauf hingewiesen, wie wichtig neben der technischen Sicherheit auch die Schulung der Mitarbeiter ist. Denn niemand sollte der Meinung sein, dass er im Unternehmen blindlings Mailanhänge öffnen kann – so nach dem Motto „Das Firmennetzwerk ist doch gut geschützt“.

In dem Vortrag „Wirtschaftsspionage durch Social Engineering“ machte Herr Peine-Paulsen, vom Wirtschaftsschutz Niedersachsen, deutlich, dass das größte Risiko heute nicht mehr von dem klassischem Hacker im Keller ausgeht, der versucht auf technischem Wege an interessante Daten zu gelangen. Unternehmen werden heute mithilfe von gezielt geknüpften Kontakten und dem Aufbau von Vertrauen ausspioniert. Mitarbeiter jeder Hierarchiestufe werden manipuliert und so verleitet Interna preiszugeben. Dies betrifft nicht unbedingt nur die großen Unternehmen. Im Visier von Kriminellen sind besonders innovative Firmen. Und auch hier wurde darauf hingewiesen, wie wichtig die Sensibilisierung der Mitarbeiter ist.
Der Part „Technische Lösungen für mehr Sicherheit“ hat Herr Blohm von der Dr. Netik und Partner GmbH übernommen. Er zeigte technische Lösungen auf, die den Vorgaben der Informationssicherheit entsprechen und in der Praxis erfolgreich eingesetzt werden.

Nach einem leckeren Lunchbuffet in dem angenehmen Ambiente des Business Club Hamburg, ging es weiter mit dem Thema Datenschutz. Herr Dr. Frhr von dem Busche von der Kanzlei Taylor Wessing hat in seinem Vortrag „200 Tage DS-GVO – Erfahrungen aus der anwaltlichen Praxis“, deutlich gemacht, dass die DS-GVO weltweit immer häufiger als Maßstab für richtigen Datenschutz angesehen wird. Vorausdenkende Unternehmen sollten die Umsetzung der DS-GVO als Wettbewerbsvorteil nutzen, denn Sie hat Einfluss auf den nationalen und internationalen Markt.

Im Anschluss hat Frau Thiel, Landesdatenschutzbeauftragte für den Datenschutz Niedersachsen, mit Ihrem Vortrag „Ein halbes Jahr DS-GVO aus Sicht der Aufsichtsbehörde“ die neuen Herausforderungen, die die DS-GVO mit sich gebracht hat, aus Sicht der Behörde geschildert. Sie zeigte den Teilnehmern auf, wie die niedersächsische Behörde in Datenschutzfragen vorgeht und welche Art von Prüfungen bisher in die Wege geleitet wurden und künftig zu erwarten sind.

In der abschließenden Podiumsdiskussion diskutierten die Referenten und Teilnehmer lebhaft und kontrovers aktuelle Fragen zu den Themen Informationssicherheit und Datenschutz.

Alles in Allem war das Feedback der Teilnehmer sehr positiv und wir freuen uns schon jetzt auf die Veranstaltung im nächsten Jahr.

/von

20.000 Euro Bußgeld nach DS-GVO-Verstoß für Knuddels.de

In Sachen Datenschutz gab es erneut ein hohes Bußgeld. Nachdem Nutzerdaten nicht ausreichend geschützt waren, ist Knuddels.de ein fünfstelliges Bußgeld auferlegt worden. Die zuständige Datenschutzaufsichtsbehörde lobte die Chat-Plattform trotzdem.

Das soziale Netzwerk Knuddels.de hat nach eigenen Angaben mehr als zwei Millionen registrierte Mitglieder und muss nun ein Bußgeld in Höhe von 20.000 Euro zahlen, weil es Passwörter von Nutzern unverschlüsselt gespeichert hatte. Damit habe das hinter Knuddels.de stehende Unternehmen gegen die Pflicht verstoßen, die Sicherheit von personenbezogenen Daten zu gewährleisten, teilte der baden-württembergische Datenschutzbeauftragte am Donnerstag mit.

Zugutegehalten wurde dem Unternehmen jedoch, dass es sich nach einem Hackerangriff an die Datenschutzaufsichtsbehörde gewandt habe und die Nutzer sofort und umfangreich über den Angriff informierte. Bei dem Angriff waren nach Angaben von Knuddels.de rund 808.000 E-Mail-Adressen sowie 1.872.000 Pseudonyme und Passwörter erbeutet und im Internet veröffentlicht worden.

Von manchen Nutzern sind so neben dem Chatnamen auch Passwort, Mailadresse sowie Angaben zum tatsächlichen Vornamen oder zum Wohnort öffentlich geworden.

Der baden-württembergische Datenschutzbeauftragte führte jedoch aus, das Unternehmen habe in vorbildlicher Weise mit seiner Behörde zusammengearbeitet und die IT-Sicherheit im Nachhinein erheblich verbessert. Es sei sogar gestärkt aus dem Angriff hervorgegangen, da es dazugelernt habe.

Nach Angaben der Knuddels GmbH & Co. KG selbst, war der Hackerangriff eine echte Belastungsprobe für das Unternehmen. Zudem sei ihm unmittelbar im Anschluss an den Angriff klar gewesen, dass das Vertrauen der Nutzer nur mit einer transparenten Kommunikation und einer sofort spürbaren Verbesserung der IT-Sicherheit zurückgewonnen werden kann.

/von

Portugiesische Datenschutzaufsichtsbehörde verhängt eine Geldbuße von 400.000 Euro gegen ein Krankenhaus

In Sachen Datenschutz gab es nun einen der ersten „Schüsse“ durch eine Aufsichtsbehörde und sogleich einen „Treffer“.

In Portugal ist die erste Geldbuße wegen eines Verstoßes gegen die Datenschutz-Grundverordnung (DS-GVO) verhängt worden. Wie die portugiesische Datenschutzaufsichtsbehörde CNPD (Comissão Nacional de Protecção de Dados) vor kurzem bekannt gab, muss das Krankenhaus Barreiro Montijo eine Geldbuße von 400.000 Euro für Datenschutzverstöße zahlen. Im Wesentlichen wird das Krankenhaus dafür bestraft, dass zu viele Personen Zugriff auf Patientendaten hatten. Gegen die Entscheidung der Behörde wird das Krankenhaus nun jedoch gerichtlich vorgehen.

Das Krankenhaus Barreiro Montijo hatte über sein System mindestens neun Personen, die keine medizinischen Fachkräfte sind, Zugang zu den klinischen Daten der Patienten gewährt. Darüber hinaus stellte die CNPD fest, dass 985 Benutzer mit einer Zugangsrolle für Ärzte registriert waren, während im Krankenhaus nur 296 Ärzte tätig waren. Zudem wurden die Patientendaten im Krankenhaus Barreiro Montijo nicht ordnungsgemäß von den Archivdaten eines anderen Krankenhauses getrennt und die jeweiligen Mechanismen für die Zugriffsauthentifizierung waren vollkommen unzureichend.

Das Bußgeld wurde nach einer Inspektion der Aufsichtsbehörde im Krankenhaus verhängt, nachdem diese von der Ärztekammer auf die Missstände aufmerksam gemacht worden war. Die CNPS vertrat hierbei die Auffassung, dass die Grundsätze der Integrität und Vertraulichkeit, der Datenminimierung betreffend die Beschränkung des Zugangs zu klinischen Daten der Patienten und die Unfähigkeit des für die Verarbeitung Verantwortlichen, die Vertraulichkeit und Integrität der Daten im System (Datensicherheit) zu gewährleisten, verletzt wurden. Die ersten beiden Verstöße wurden mit jeweils 150.000 Euro geahndet, während der Dritte zu einer Erhöhung um 100.000 Euro führte.

Im Weiteren ist nun die etwaige Entscheidung des zuständigen Gerichts in dieser Sache abzuwarten.

/von

Keine Änderung der Benennungspflicht für Datenschutzbeauftragte

Vor kurzem war noch in mehreren Medien von einer Änderung der Benennungspflicht für Datenschutzbeauftragte durch nichtöffentliche Stellen zu lesen. Die Bundesratsausschüsse für Inneres und Wirtschaft hatten in ihrer Empfehlung zum Regierungsentwurf des 2. EU-Datenschutz-Anpassungs- und Umsetzungsgesetzes (2. DSAnpUGEU) zusätzliche Änderungen im Bundesdatenschutzgesetz (BDSG nF) gefordert. Nach den Wünschen der Ausschüsse sollte sich der Bundesrat verstärkt für eine Änderung der Benennungspflicht für den Datenschutzbeauftragten einsetzen.

Beide Ausschüsse forderten den Wegfall der deutschen Sonderregelungen in § 38 BDSG nF. Nach diesen sind in Deutschland Datenschutzbeauftragte durch nichtöffentliche Stellen neben den Regelungen in Art. 37 DS-GVO dann zu benennen, wenn

1. mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind oder
2. eine Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung besteht oder
3. die personenbezogenen Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet werden.

Insgesamt standen mehrere Forderungen der Ausschüsse im Raum: Zunächst wurde eine Benennungspflicht nur für den Fall gefordert, dass personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet werden. Sollte diese Forderung keine Zustimmung im Bundesrat finden, gab es zwei Alternativen. Die erste Alternative sah vor, dass zwar die Personengrenze von 10 bestehen bleibt, aber nur, wenn die Verarbeitung gewerblichen Zwecken dient. Die andere Alternative sah eine Benennungspflicht nicht ab 10 Personen sondern erst ab 50 Personen vor.

In seiner 971. Sitzung am 19. Oktober 2018 hat sich der Bundesrat nun auf eine Stellungnahme zum 2. EU-Datenschutz-Anpassungs- und Umsetzungsgesetz verständigt, die keinerlei Änderungen an § 38 BDSG nF vorsieht. Auch der ursprüngliches Gesetzesentwurf der Bundesregierung lässt keinerlei Änderungen in diesem Punkt erkennen.

/von

PRIVACY CONFERENCE BERLIN 2018

Hochkarätige Rechtsvorträge, lebhafte Diskussionen, über 300 internationale Datenschutzexperten aus Wirtschaft, Wissenschaft und Politik: Die vierte Bitkom-Datenschutzkonferenz am 27. September 2018 in Berlin hat auch den teilnehmenden Experten der ANMATHO wieder einmal bestätigt, dass die DS-GVO auch noch vier Monate nach dem 25. Mai 2018 im Zentrum vieler Debatten steht.

Die Ergebnisse einer aktuellen repräsentativen Umfrage – die Bitkom im Vorfeld der Konferenz vorstellte – ergaben, dass nur ein Viertel (24 Prozent) aller deutschen Unternehmen die DS-GVO bereits vollständig umgesetzt haben, 5 Prozent haben dagegen gerade erst mit einer Umsetzung begonnen.

Diese Erkenntnisse entsprechen nicht nur den Einschätzungen der Datenschutzexperten der ANMATHO, sondern spiegelten sich auch bei der Privacy Conference 2018 wider: Emily Sharpe von Facebook bestätigte, dass sich die Umsetzung der DS-GVO auch für große Unternehmen als schwierig erwiesen habe. „Um die DS-GVO umzusetzen, haben wir das größte interdisziplinäre Team in der Facebook-Geschichte gegründet”, erklärte sie in einer Podiumsdiskussion zum Thema „E-Privacy & DS-GVO”.

Auch die Deutsche Telekom bietet enorme Ressourcen auf, um die Umsetzung der DS-GVO voranzutreiben: „Wir haben bereits 2016 damit begonnen, das Thema in Angriff zu nehmen und die Einhaltung der DS-GVO in insgesamt drei Phasen umgesetzt”, sagte Dr. Claus D. Ulmer, Datenschutzbeauftragter der Telekom. Auch wenn die Umsetzung der DS-GVO bisher ein Erfolg war, steht er der Datenschutzverordnung skeptisch gegenüber: „Wir haben die DS-GVO sehr stark unterstützt, können aber durchaus mit einer weniger starken Regulierung durch den Datenschutz leben. Wenn wir alle betroffenen Geschäftsmodelle zu sehr mit dem Thema Datenschutz strapazieren, könnten wir langsamer werden, was unsere technische Entwicklung in Europa betrifft.“

Mehrere Redner auf der Datenschutzkonferenz, wie auch die ANMATHO selbst in Diskussionen mit anderen Teilnehmern, wiesen zudem darauf hin, dass gerade kleine Unternehmen mehr als andere mit der DS-GVO zu kämpfen haben. Googles Global Privacy Counsel Peter Fleischer kündigte aus diesem Grund an, dass sein Unternehmen kleinen und mittleren Unternehmen helfen möchte, eine hinreichende Compliance zu erreichen.

Auch der bevorstehende Brexit war ein zentrales Thema bei den Podiumsdiskussionen zur DS-GVO und den unter ihr stattfindenden internationalen Datentransfers. „Die oberste Priorität besteht darin, den kontinuierlichen Fluss internationaler Daten auch nach dem Austritt sicherzustellen”, erklärte Claire Bradshaw vom britischen Ministerium für Medien, Kultur und Sport, „es gibt jedoch hierzu noch keinen konkreten Plan“. Dr. Axel Kessler von Siemens bat hingegen die Politik, Bürokratie abzubauen: „Wir verschwenden zu viel Zeit mit Verträgen. Ich bitte die Politiker dafür pragmatische Lösungen zu finden!”

Selbst das Internet der Dinge nahm bei der Konferenz eine zentrale Position ein, denn mit einer Stärkung des Datenschutzes in diesem Bereich, wird jede einzelne Branche betroffen sein. So wies etwa am Ende der Veranstaltung Gerd Billen vom Bundesministerium für Justiz und Verbraucherschutz darauf hin, dass Datenschutz nicht nur für die IT-Branche wichtig sei. „Mit dem Internet der Dinge werden Milliarden und Milliarden von Produkten verbunden sein, das bedeutet, dass immer mehr Produkte High-Tech-Produkte sein werden. Der Datenschutz betrifft daher jede einzelne Branche.“

Nach einem Tag voller Diskussionen, schlossen die Teilnehmer den Konferenztag mit einem entspannten Treffen bei Bier und Brezeln ab.

Rückblick vom Veranstalter

/von

INTERVIEW PROF. DR. CASPAR

Prof. Dr. Caspar ist seit 2009 Hamburgischer Beauftragter für Datenschutz und Informationsfreiheit. Auf unserem Forum am 13. Dezember stellte er den Teilnehmern die Sicht der Datenschutzbehörde auf die EU-Datenschutz-Grundverordung (DS-GVO) vor. In den vielen nachfolgenden Gesprächen mit unseren Kunden und Beratern, ergaben sich immer wieder Fragen zur DS-GVO, dies haben wir zum Anlass genommen, mit Prof. Dr. Caspar ein Interview zu führen, in dem wir die häufigsten Fragen aufgegriffen haben.

ANMATHO:

Betrachtet man den sachlichen Anwendungsbereich der DS-GVO, kommt es darauf an, ob personenbezogenen Daten ganz oder teilweise automatisiert verarbeitet werden oder ob bei einer nichtautomatisierten Verarbeitung eine Speicherung in einem Dateisystem erfolgt bzw. erfolgen soll. Nur in diesen Fällen ist der sachliche Anwendungsbereich der DS-GVO eröffnet. Hier stellt sich die Frage, ob auch handgeschriebene Notizen durch die DS-GVO geschützt sind?

Prof. Dr. Caspar:

Handgeschriebene Notizen sind dann durch die DS-GVO geschützt, wenn sie in einem Dateisystem (= jede strukturierte Sammlung personenbezogener Daten, die nach bestimmtem Kriterien zugänglich sind) gespeichert werden sollen. Sofern dies nicht der Fall ist, ist die DS-GVO nicht anwendbar.

ANMATHO:

Die DS-GVO normiert u.a. das „Recht auf Vergessenwerden“. Wurden hier personenbezogene Daten von einem Verantwortlichen öffentlich gemacht, so hat er unter Berücksichtigung der verfügbaren Technologie und der entsprechenden Kosten angemessene Maßnahmen zu treffen, um andere für die Datenverarbeitung Verantwortliche darüber zu informieren, dass die betroffene Person die Löschung aller Daten verlangt. Interessant ist hierbei, ob es mit der Information allein schon getan ist oder ob der Löschungsanspruch gegen die anderen Stellen im Namen der betroffenen Personen durchgesetzt werden muss. Und was passiert, wenn Unternehmen die schwammigen Formulierungen des Gesetzes ausnutzen werden, um technische Probleme als Hinderungsgrund anzuführen?

Prof. Dr. Caspar:

Gesetzlich verpflichtet ist der Verantwortliche nur zur Information weiterer Verantwortlicher über das Löschungsverlangen Betroffener.

Angesichts der gesetzlichen Formulierung „unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten“ scheint das Ausnutzen der gesetzlichen Formulierung schwierig. Die Frage, ob der Verantwortliche unter Zugrundelegung des Wortlauts der DS-GVO angemessene Maßnahmen getroffen hat, um seinen Verpflichtungen nachzukommen, ist durch die zuständigen Aufsichtsbehörden nachprüfbar und bei Verstößen ordnungswidrig, vgl. § 41 DSAnpUG-EU i.V.m. Art. 83 Abs. 5 lit. b) DS-GVO.

ANMATHO:

Mit dem „Recht auf Datenübertragbarkeit“ soll insbesondere ein einfacher und unkomplizierter Anbieterwechsel ermöglicht werden. Fraglich ist hier, welche Daten von Art. 20 DS-GVO erfasst sind. Fallen hierunter nur solche Daten, die der Nutzer aktiv eingegeben hat (etwa Name, Gewicht, Größe, Kontodaten, Social-Media-Posts) oder auch Daten, die durch die Nutzung des Dienstes entstehen (Fitnessprofil, Kaufhistorie, Finanzkonzept)? Und wie können hier vor allem auch Geschäftsgeheimnisse oder das geistige Eigentum eines Verantwortlichen – etwa eines Online-Shops – geschützt werden?

Prof. Dr. Caspar:

Gemäß Art. 2 Abs. 1 DS-GVO sind solche Daten herauszugeben, die der Betroffene „bereitgestellt“ hat. Darunter fallen nicht nur die direkt in ein Textfeld eingegebenen Daten, sondern auch weitere Rohdaten, die auf aktivem Verhalten des Betroffenen beruhen. Dies betrifft etwa die Kaufhistorien in einem Onlineshop sowie die Standortdaten oder Herzfrequenzmessungen, die ein Fitnesstracker aufzeichnet. Nicht „bereitgestellt“ sind hingegen die aus der Analyse generierten Daten, also etwa Bewertung der Gesundheit durch die Software eines Fitnesstrackers.

Auch Geschäftsgeheimnisse und geistiges Eigentum fallen grundsätzlich unter Art. 20 Abs. 4 DS-GVO. Diese Einschränkung ist aber eng auszulegen und darf nicht dazu führen, dass jegliche Auskunft verweigert wird. In der Regel sind Geschäftsgeheimnisse dadurch ausreichend geschützt, dass nur die Rohdaten, nicht aber die Analyseergebnisse herausgegeben werden müssen.

ANMATHO:

Sind in diesem Zusammenhang auch Daten, die Dritte betreffen, erfasst oder vielmehr ausgeschlossen? Davon hängt ab, ob insbesondere Gruppenfotos aus sozialen Netzwerken oder E-Mail-Verläufe an einen neuen Anbieter übermittelt werden dürfen.

Prof. Dr. Caspar:

Gemäß den Festlegungen der europäischen Art.-29-Gruppe ist die Ausnahmeklausel des Art. 20 Abs. 4. DS-GVO nicht zu restriktiv auszulegen. Danach dürfen etwa Chatverläufe komplett angefordert werden. Die Übermittlung der Chatverläufe an einen neuen Verantwortlichen ist hingegen nur zulässig, wenn eine Rechtsgrundlage oder Einwilligung dafür vorliegt beziehungsweise die Haushaltsausnahme greift und die Rechte und Freiheiten Anderer nicht beeinträchtigt werden. Dies ist vor allem dann zumeist nicht der Fall, wenn der neue Verantwortliche die Daten zu anderen Zwecken verarbeitet als der alte.

ANMATHO:

Die ePrivacy-Verordnung sollte zeitnah neben die Datenschutz-Grundverordnung (DS-GVO) treten und die sog. ePrivacy-Richtlinie ablösen. Dies wird so jedoch bisher nicht umgesetzt, da die ePrivacy-Verordnung noch im Entwurfsstadium steckt. Dies bedeutet, dass ab dem 25. Mai 2018 ein Zusammenspiel zwischen DS-GVO, dem TMG und der Richtlinie eintritt. Hier stellt sich die Frage, welche Rechtslage dann gilt?

Prof. Dr. Caspar:

Es ist davon auszugehen, dass die datenschutzrechtlichen Teile des TMG durch die DS-GVO größtenteils verdrängt werden. Das genaue Verhältnis von DS-GVO und TMG sowie einer künftigen ePrivacy-Verordnung ist Gegenstand aktueller Diskussionen der deutschen Aufsichtsbehörden. Vor dem Hintergrund der Auswirkung auf nahezu alle Telemedienangebote ist es entscheidend, ein gemeinsames Ergebnis in dieser rechtlichen Bewertung zu erzielen.

ANMATHO:

In einem CRM (Customer-Relationship-Management) werden nicht nur Daten von juristischen Personen, sondern auch personenbezogene Daten – etwa von Ansprechpartnern –gespeichert. Ist eine Verarbeitung personenbezogener Daten mit einem CRM rechtmäßig oder bedarf es hier einer Einwilligung der betroffenen Person?

Prof. Dr. Caspar:

Das Abspeichern von Ansprechpartnern anderer Unternehmen im firmeneigenen CRM-System kann auf Art. 6 Abs. 1 UAbs. 1 lit. f DS-GVO gestützt werden, solange keine entgegenstehenden Betroffeneninteressen überwiegen. Insbesondere dann, wenn die berufliche Aufgabe des Betroffenen in der Kontaktpflege zu anderen Unternehmen besteht, wird er in der Regel hinnehmen müssen, dass diese seinen Namen notieren.

ANMATHO:

Bewerberdaten sind nach altem als auch neuem Datenschutzrecht geschützt. Zudem wird regelmäßig gerade bei postalisch versandten Bewerbungsunterlagen keine Einwilligung für die Verarbeitung zu anderen Zwecken vorliegen, so dass die jeweiligen Daten gerade nach dem Abschluss des Bewerbungsprozesses für eine konkrete Stelle gelöscht werden müssen. Einer Löschung stehen aber möglicherweise bestehende Aufbewahrungsfristen oder Interessen des mitarbeitersuchenden Unternehmens entgegen. Welche Bewerberdaten darf ein Unternehmen aufbewahren und welche Aufbewahrungsfristen gibt es?

Prof. Dr. Caspar:

Die Daten aller Bewerber dürfen auch künftig aufbewahrt werden, solange mit rechtlichen Schritten einzelner im Auswahlverfahren unterlegener Kandidaten zu rechnen ist. Dies ist regelmäßig nach sechs Monaten nicht mehr der Fall. Spätestens dann sind die Unterlagen zu vernichten, mit Ausnahme der Dokumente, die bei eingestellten Bewerbern in die Personalakte gelangen. Sollen Bewerbungsunterlagen im Hinblick auf später freiwerdende Stellen weiter vorgehalten werden, ist eine entsprechende Einwilligung erforderlich.

ANMATHO:

Insbesondere im Rahmen der Auftragsverarbeitung stellt das zukünftige Datenschutzregime neue Anforderungen an die Zusammenarbeit mit Dienstleistern und Lieferanten. Können Unternehmen weiterhin mit Dienstleistern und Lieferanten aus Drittländern zusammenarbeiten? Welche Anforderungen der DS-GVO müssen diese erfüllen?

Prof. Dr. Caspar:

Ja, Unternehmen können weiterhin mit Dienstleistern und Lieferanten aus Drittländern zusammenarbeiten. Dabei müssen Sie – wie bisher auch – sicherstellen, dass das durch die DS-GVO gewährleistete Schutzniveau für natürliche Personen nicht untergraben wird. Hierfür stellen die Art. 44 bis 50 DS-GVO verschiedene Instrumente (z.B. Angemessenheitsbeschluss, Vereinbarung geeigneter Garantien, interne Datenschutzvorschriften etc.) zur Verfügung.

Daneben sind die Vorgaben des Art. 28 DS-GVO (Auftragsverarbeiter) zu beachten.

ANMATHO:

Stellt eine IP-Adresse ein personenbezogenes Datum gemäß Art. 4 Nr. 1 DS-GVO dar, unterliegt sie regelmäßig dem Datenschutz, was für Unternehmen einen erheblichen Mehraufwand beim Umgang mit IP-Adressen bedeutet. Dies trifft häufig auf Unverständnis und viele stellen sich die Frage, weshalb eine IP-Adresse ein personenbezogenes Datum ist?

Prof. Dr. Caspar:

Zur Frage des Personenbezugs von (auch dynamischen) IP-Adressen hat sich der EuGH zuletzt im Okt. 2016 geäußert (C-582/14). Dabei stellt er klar den Personenbezug fest (RN 49), wenn „er über rechtliche Mittel verfügt, die es ihm erlauben, die betreffende Person anhand der Zusatzinformationen, über die der Internetzugangsanbieter dieser Person verfügt, bestimmen zu lassen“. Diese rechtlichen Möglichkeiten bestehen in Deutschland.

Diese Auffassung steht mit der Definition personenbezogener Daten in Art 4 Nr. 1 DS-GVO im Einklang.

Mehr zu Herrn Prof. Dr. Caspar finden Sie auf seiner Webseite.

/von

Grundlage DSMS

Die Datenschutz-Grundverordnung (DSGVO) hält zahlreiche Veränderungen zum bisherigen Datenschutzgesetz. Unternehmen kommen damit, um ein geordnetes System zur Sicherstellung des Datenschutzes nicht herum. Die ANMATHO AG hat hierzu einen Beitrag in der aktuellen Ausgabe der kes geschrieben.

Mehr…

/von

ANMATHO AG

Beratungsunternehmen für
Informationssicherheit & Datenschutz

Erste Brunnenstraße 1
20459 Hamburg

Tel: +49(0)4022947190
Fax: +49(0)40229471919
E-Mail: info@anmatho.de

Wir sind Mitglied im:

© ANMATHO AG

Impressum

Datenschutzhinweise

Veranstaltungsbedingungen

Cookie-Einstellungen