Dienstag, 20. Juni 2017

Was genau bedeutet eigentlich Datenschutz?

Schüler fragten mich, was genau eigentlich Datenschutz ist. Da ich immer wieder auf Menschen treffe, die Datenschutz und Datensicherheit völlig durcheinander bringen, nehme ich das jetzt zum Anlass, einen Blogbeitrag zu dem Thema zu verfassen.

Was bedeutet Datenschutz?

Beim Datenschutz geht es um die persönliche Unversehrtheit und informationelle Selbstbestimmung. Selbstbestimmung im Gegensatz zu Fremdbestimmung. Ich entscheide selbst, was mit Informationen zu und über mich passiert. Ich entscheide, wer mir Werbung zuschicken darf und wer nicht. Ich entscheide, wer Informationen über mich erhält und wer nicht. Es geht also auch um Mündigkeit. Nicht der Staat oder Wirtschaftsunternehmen entscheiden was gut für mich ist, sondern ich selbst.

Es geht beim Datenschutz darum, dass die Freiheit des Einzelnen garantiert wird. Die Freiheit, Dienste zu nutzen und genaustens darüber informiert zu werden, welche Informationen dabei für welche Zwecke gespeichert werden.

Es geht um die Offenlegung, an wen die Informationen weitergegeben werden.

Und es geht darum, dass einer Verarbeitung und Weiterleitung jederzeit mit sofortiger Wirkung widersprochen werden kann.

Daten, die nicht zwingend für den gewünschten Geschäftsprozess benötigt werden, dürfen ohne schriftliches Einverständnis gar nicht erst erhoben werden. Wird das Einverständnis gegeben, hat der Betroffene das Recht, jederzeit mit sofortiger Wirkung zu widersprechen und alle Informationen sind unverzüglich zu löschen und zu vergessen, und zwar auch von allen, an die die Informationen weitergeleitet wurden.

Werden Informationen zur Herkunft, politischen Meinung, religiösen oder philosophischen Überzeugung, Gewerkschaftszugehörigkeit, Gesundheit, Sexualleben sowie genetische oder biometrische Daten erfasst, so sind hierfür noch strengere Geheimhaltungspflichten und Vorschriften zu beachten.

Informationen der oben genannten Kategorien werden sensitive Informationen genannt und lassen sich natürlich auch aus Fotos und Videos schliessen. Das ist einer von vielen Gründen, warum die Speicherung bzw. Veröffentlichung von Fotos und Videos besonders riskant ist.

Beim Datenschutz geht es um den Schutz der Privatheit der einzelnen Person.

Wenn ich nicht möchte, dass irgendjemand ausser meinem Arzt und der Krankenkasse weiss, dass ich Krebs habe, so darf weder der Arzt noch die Mitarbeiter der Krankenkasse diese Informationen einem Dritten zustecken.

Dem Datenschutz reicht hierfür eine Verpflichtung auf das Datengeheimnis. Das hiesst, die Mitarbeiter verpflichten sich, die Daten geheim zu halten und nicht an Unbefugte bzw. Dritte weiterzuleiten.

Ich möchte nicht, dass mir Firma xy Werbung zuschickt, also werden die Mitarbeiter per Unterschrift verpflichtet, meine Kundendaten nicht für Werbezwecke zu nutzen sondern ausschließlich für Rechnungen bzw. Lieferungen.

Wer sich nicht an die Verpflichtung hält, dem drohen hohe Geld- und Freiheitsstrafen. Vom Verlust des Arbeitsplatzes ganz zu schweigen.

Und was ist Datensicherheit?

Datensicherheit bedeutet, mit technischen Hilfsmitteln Informationen vor dem Zugriff bzw. Abgriff durch Unbefugte zu schützen.

Daten im Internetverkehr schützen ist wie den Koffer für die Reise schliessen. Niemand reisst mit einem offenen Wäschekorb, in dem während der Reise theoretisch jeder herumwühlen und sich bedienen kann. Wenn wir reisen, verpacken wir unsere Wäsche in Koffer, damit nicht jeder in unseren Unterhosen wühlen kann. Viele Menschen schließen ihre Koffer sogar auf Reisen ab.

Es geht niemanden etwas an, was in meinem Koffer ist.

So ist das auch mit unseren Daten im Internet. Sie sind quasi unsere Wäsche und das Internet ist der Frachtraum des Flugzeuges oder die Kofferabfertigung oder die Gepäckablage im Zug.

Wer nicht möchte, dass die Daten jederzeit von jedem x-beliebigen, egal ob gut oder böse, eingesehen, kopiert, weitergegeben und verwendet werden, sollte sie schützen.

Wie verhalte ich mich richtig?

Ein Onlineshop zum Beispiel braucht selbstverständlich eine Lieferadresse, wenn er Euch das gekaufte zuschicken soll. Wenn Ihr eine Rechnung wünscht, braucht der Händler auch Eure Rechnungsadresse.

Natürlich ist es beim Kleider- und Schuhekauf auch zwingend erforderlich, dass Ihr die Größen angebt.

Bei allem, was Ihr eingebt, immer erst einmal überlegen, ob es wirklich für den Geschäftsabschluss zwingend erforderlich ist.

Alles was nicht erforderlich ist, braucht nicht ausgefüllt werden. Hierfür muss eine schriftliche Genehmigung eingeholt werden. Wird die Genehmigung zum Beispiel mit der Bestätigung der AGB eingeholt, so müssen die Passagen, in denen es um die Genehmigung für Eure Daten geht, besonders hervorgehoben sein und zwar auch für Farbenblinde. Das heisst, die Passagen sollten nicht nur andersfarbig sein, sondern auch noch besonders dick. Sie müssen sofort ins Auge stechen. So will es der Gesetzgeber.

Ist Euch der Zweck nicht klar, oder seht Ihr die zwingende Erforderlichkeit für den Geschäftsprozess nicht, ist es Euer gutes Recht nachzuhaken. Die Datenschutzbeauftragte des  entsprechenden Unternehmens muss Euch hier Auskunft geben.

Allerdings sind die Kontaktdaten der Datenschutzbeauftragten der Firmen häufig schwierig ausfindig zu machen.

Nur ganz kleine Firmen brauchen keinen Datenschutzbeauftragten, sofern sie keine sensitiven Informationen speichern und verarbeiten. Der Gesetzgeber schreibt aber in diesem Fall vor, dass die Geschäftsleitung die Aufgaben des Datenschutzbeauftragten erfüllen muss.

Lasst Euch niemals auf ein direktes Gespräch mit der Firma ein, um dann von einem Verkäufer freundlich abgewimmelt zu werden, sondern verlangt immer die Kontaktdaten des Datenschutzbeauftragten. Sollte Ihr die Kontaktdaten nicht bekommen, so schaltet die Behörde ein (siehe unten).

Sobald Ihr die Kontaktdaten habt, verlangt von der Datenschutzbeauftragten das Verfahrensverzeichnis nach BDSG §4e.

Schaut aber bitte vorher, ob die Firma das Verfahrensverzeichnis nicht bereits auf ihren Webseiten veröffentlicht hat. Manche Firmen machen das tatsächlich mittlerweile.

In dem Verfahrensverzeichnis sollte genau drinstehen, wofür die einzelnen Daten erfasst werden, wann sie gelöscht werden, an wen sie weitergegeben wurden und so weiter.

Ist das nicht der Fall,  sondern das Verfahrensverzeichnis ist nur sehr schwammig oder erhält mehr Firmenwerbung als Informationen zu den einzelnen Informationen über Euch, sollte unbedingt die Behörde informiert werden.

Klassische Beispiele sind:
Ihr fragt nach dem Verfahrensverzeichnis für die Aufzeichnungen der Überwachungskamera und im Verfahrensverzeichnis steht nur etwas von Kundendaten und Rechnungen, aber kein einziges Wort zu den Videodaten.

Es wird zwar im Verfahrensverzeichnis darauf hingewiesen, dass die Daten an Geschäftspartner weitergegeben werden, aber es ist nicht genau aufgelistet, an wen genau.

Neben dem Zwecken der Geschäftsabwicklung werden noch Werbezwecken oder die Weiterleitung an die Marketingabteilung angegeben

Es werden wegen des Steuerrechtes alle Daten 10 Jahre aufbewahrt. Das ist nicht in Ordnung, da das Steuerrecht nur die Aufbewahrung ganz bestimmter Informationen fordert.

Es wird auf Gesetze verwiesen, die aber weder eine Erhebung, Speicherung oder Aufbewahrung von Informationen vorsehen.

Und vieles mehr.


Hier gilt es mit wachsamen Verstand zu lesen und alles genaustens zu hinterfragen. Wenn auf Paragraphen / Gesetze verwiesen wird, lohnt sich ein Blick in das entsprechende Gesetz. Die meisten Gesetzestexte sind heutzutage online zu finden. Meine Erfahrung ist, dass durchaus auch schon mal auf Fantasiegesetze verwiesen wird. In einem mir vorgelegten Verfahrenverzeichnis wurde sogar schon auf Grundgesetz Artikel 22 verwiesen. Das ist der Artikel, in dem steht, dass unsere Hauptstadt Berlin und die Flagge schwarz-rot-gold ist. Was das mit der Speicherung, Verarbeitung und Weitergabe meiner Daten zu tun hat, konnte mir auf Nachfrage niemand erklären.

Die Behörde darf nur auf Beschwerden von Betroffenen reagieren. Da Ihr betroffen seid, ist es wichtig, dass Ihr es meldet.

Wichtig ist, dass ihr Euch bei der Behörde selbst melden. Es reicht nicht, wenn Eure Ehefrau / Ehemann oder Mutter / Vater (sofern Ihr über 18 seid), das für Euch erledigen möchte. Die Mitarbeiterin einer Behörde erzählte mir einst am Telefon: "Oh, endlich eine Betroffene! Jetzt darf ich endlich reagieren. Ich habe schon viele Beschwerden von Ehemännern oder Freunden bekommen, aber nie von einer Betroffenen." Ich muss dazu sagen, die von mir angezeigte Firma vertreibt Ware, die aus biologischen Gründen nur von Frauen genutzt wird.

Selbst wenn Ihr lediglich aus dem Verfahrensverzeichnis nicht schlau werdet und nicht wirklich nachvollziehen könnt, was mit Euren Daten passiert und an wen genau sie weitergegeben werden, ist das eine Anzeige wert. Denn das Verfahrensverzeichnis sollte dem Betroffenen schon deutlich und verständlich aufzeigen, was mit den Informationen passiert. Solange sich niemand beklagt, ändern die Firmen ihr Verhalten nicht.

Leider verstoßen sehr viele Firmen gegen die Gesetze, da sich sehr wenige Betroffene wehren und sich beschweren. Viele der Verfahrensverzeichnisse, die die Firmen ins Netz gestellt haben, sind unzureichend. Den Firmen drohen hohe Bußgelder, wenn sie sich nicht an die Gesetze halten und hier keine genauste Auskunft geben.

Wer ist die Behörde und wie erreiche ich sie?

Die Behörde bedeutet die Landesbeauftragte für Datenschutz und Informationsfreiheit des Bundeslandes, in dem die Firma ihren Sitz hat (Liste zu den Webseiten der Behörden siehe unten).

Aus Erfahrung kann ich sagen, wenn die Beschwerde versehentlich oder aus Unwissenheit an die Behörde des falschen Bundeslandes geschickt wird, haben die Behörden, bei denen mir das bis jetzt passiert ist, die Beschwerde an die zuständige Behörde weitergeleitet und mich kurz darüber informiert.

Meine Erfahrung mit den Behörden ist, dass sie stets sehr freundlich und zuvorkommend sind.

Webseiten der Datenschutzbehörden

Baden-Württemberg: https://www.baden-wuerttemberg.datenschutz.de
Bayern: https://www.lda.bayern.de/de/index.html
Berlin: https://datenschutz-berlin.de
Brandenburg: http://www.lda.brandenburg.de
Bremen: http://www.datenschutz-bremen.de
Hamburg: http://www.datenschutz-hamburg.de
Hessen: https://www.datenschutz.hessen.de
Mecklenburg-Vorpommern: https://www.datenschutz-mv.de
Niedersachsen: http://www.lfd.niedersachsen.de/startseite/
NRW: https://www.ldi.nrw.de
Rheinland Pfalz: https://www.datenschutz.rlp.de/de/startseite/
Saarland: https://datenschutz.saarland.de
Sachsen: https://www.saechsdsb.de
Sachsen-Anhalt: https://datenschutz.sachsen-anhalt.de/nc/datenschutz-sachsen-anhalt/
Schleswig Holstein: https://www.datenschutzzentrum.de
Thüringen: https://www.tlfdi.de/tlfdi/

Samstag, 18. März 2017

Eu-Datenschutz-Grundverordnung: Was kommt ab Mai 2018 auf Unternehmen zu?

Am 25. Mai 2018 tritt die europäische Datenschutz-Grundverordnung (EU 2016/679) in Kraft. Was ändert sich? Was muss beachtet, was ausgearbeitet und was angepasst werden, um die extrem hohen Bußgelder im zweistelligen Millionenbereich bzw. bis zu 4% des gesamten, weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres zu vermeiden?

Profitorientierte Unternehmen und Organisationen ist die Erhebung, Speicherung und Verwaltung von sensitiven Informationen generell untersagt. Für Unternehmen des Gesundheitswesens (Ärzte, Krankenhäuser, Krankenkassen usw.) gibt es eine Ausnahme.

Sensitive Informationen sind Angaben zu rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit, genetischen Daten, biometrischen Daten sowie Informationen zum Sexualleben oder der sexuellen Orientierung (Artikel 9). Die Speicherung und Verarbeitung von Informationen zu strafrechtlichen Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln darf nur unter behördlicher Aufsicht vorgenommen werden (Artikel 10).

Das bedeutet, dass derartige Informationen weder in Bewerbungsunterlagen noch in Personal- oder Kundenakten vermerkt sein dürfen. Die bloße Anfrage derartiger Informationen kann Bußgelder von bis zu 20 Millionen Euro bzw. 4% des gesamten, weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres zur Folge haben (Artikel 83 Abs. 5).

Vorsicht ist hier auch bei Bildmaterial geboten, denn Fotos und Videos können Aufschluss über den Gesundheitszustand, Sehfehler und andere sensitive Informationen zu Einzelpersonen enthalten.

Die Löschpflicht ist verschärft worden. Die Erlaubnis zum Sperren, wenn das Vernichten der Informationen zu aufwendig ist, sieht die europäische Datenschutz-Grundverordnung nicht vor. Hier empfiehlt sich der rechtzeitige Austausch von Software, bei der eine endgültige Löschung von auf Einzelpersonen zurückführbarer Informationen zu aufwendig ist.

Das noch aktuelle Bundesdatenschutzgesetz verpflichtet in §4g Abs. 2 und 2a Unternehmen, sobald auf Einzelpersonen zurückführbare Informationen erhoben und gespeichert werden, auf Antrag jedermann in geeigneter Weise die Punkte eins bis acht aus dem Verfahrensverzeichnis nach BDSG §4e zur Verfügung zu stellen. Egal, ob es dabei um die erfassten Kontaktdaten in WhatsApp-Chats von Handelsvertretern, Kontaktinformationen bei Gewinnspielen, Kundeninformationen, E-Mail-Schriftverkehr, Personalakten, Bewerbungsunterlagen oder Aufzeichnungen von Videokameras geht. Das Gesetz greift überall da, wo Informationen, die auf Einzelpersonen zurückführbar sind, flüchtig oder permanent gespeichert werden.

Die EU-Datenschutz-Grundverordnung geht hier mit Artikel 13 noch einen Schritt weiter. Schon bei der Erhebung von personenbezogenen Informationen muss zukünftig Betroffenen nicht nur mitgeteilt werden, wer für die Datenerhebung, -speicherung und –verarbeitung verantwortlich und somit haftbar ist, sondern auch die Kontaktdaten des Datenschutzbeauftragten. Den Betroffenen muss vor der Erhebung transparent, unter Angabe der Rechtsgrundlage, dargelegt werden, zu welchem Zweck die einzelnen Informationen für wie lange gespeichert und verarbeitet werden. Darüber hinaus muss genau aufgelistet werden, an wen die Daten weitergegeben werden. Für die Weitergabe an Drittländer oder internationale Unternehmen sind besondere Bedingungen zu beachten. Zusätzlich muss der Betroffenen bei der Erhebung über seine Rechte aufgeklärt werden. Die Grundverordnung legt dabei besonderen Wert darauf, dass dem Betroffenen die Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache übermittelt wird (Artikel 12 Abs. 1). Die Nachweispflicht, dass Betroffenen informiert wurden, liegt hierbei auf der Seite des Unternehmens (Artikel 12 Abs. 5).

Bei der webbasierten Erhebung lässt sich die Vorgabe recht einfach, zum Beispiel durch einen Bestätigungshaken, lösen. Es gibt viele Situationen, in denen ein Aushändigen der Angaben mit Bestätigung durch Unterschrift denkbar ist. Wie aber sieht das in Supermärkten bei Kartenzahlung, bei Videoüberwachungsdaten oder bei Kommunikationsdaten, wie Email, SMS, Chat usw. aus? Hier ist der Einfallsreichtum der Unternehmen gefragt. Die Beweispflicht, dass Betroffene informiert wurden, liegt in jedem Fall bei den Unternehmen. Auch Kommunikationsdaten sind umgehend nach Zweckerfüllung zu löschen, es sei denn, der Kommunikationsinhalt fällt unter die Aufbewahrungsfrist eines anderen Gesetzes, wie beispielweise dem Handelsgesetzbuch. Bei der Kommunikation haben beide Seite Rechte und Pflichten. Ein Aufheben von Emails, SMS, Chat-Historie usw. ohne entsprechende Rechtsgrundlage ist nach wie vor für alle Kommunikationspartner nicht erlaubt.

Wer auf die Idee kommt, dass mit Einwilligung alles erlaubt ist, dem sollte bewusst sein, dass die Einwilligung bewusst, freiwillig und auf unmissverständliche Weise passieren muss und jederzeit durch den Betroffenen mit unverzüglicher Wirkung widerrufen werden kann. Freiwillig bedeutet, so lange es keine Rechtsgrundlage für die Erhebung, Speicherung oder Verarbeitung gibt, darf dem Betroffenen kein Nachteil entstehen, wenn er nicht einwilligt.  Erfolgt die Einwilligung durch eine schriftliche Erklärung, die noch andere Sachverhalte betrifft, wie beispielsweise AGBs, so muss das Ersuchen um Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache so erfolgen, dass es von den anderen Sachverhalten klar zu unterscheiden ist. Teile der Erklärung sind dann nicht verbindlich, wenn sie einen Verstoß gegen diese Verordnung darstellen (Artikel 7). Der Betroffene hat das Recht, die Einwilligung jederzeit mit unverzüglicher Wirkung zu widerrufen. Die Nachweispflicht, dass der Betroffene eingewilligt hat, liegt auch hier bei den Unternehmen (Artikel 7 Abs. 1).

Betroffenen Personen haben darüber hinaus das Recht, von dem verantwortlichen Unternehmen, die sie betreffenden Informationen strukturiert in einem gängigen, maschinenlesbaren Format zu erhalten (Artikel 20). Darüber hinaus möchte die EU, dass verantwortliche Unternehmen den Betroffenen Personen einen Fernzugang zu einem sicheren System bereitstellen, der den Betroffenen direkten Zugang zu den über sie gesammelten Informationen ermöglicht (Grund 63).

Besondere Aufmerksam widmet die EU-Datenschutz-Grundverordnung dem Profiling. Profiling ist jede Art der automatisierten Verarbeitung, um bestimmte persönliche Aspekte zu bewerten, zu analysieren oder vorherzusagen. Insbesondere, wenn es sich dabei um Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel handelt. Entscheidungen mit rechtlicher Wirkung oder erheblichen Beeinträchtigungen dürfen nicht ausschließlich auf Profiling beruhen (Artikel 22).

Ein besonderes Augenmerk legt die EU beim Thema Datenschutz auf Kinder und Jugendliche. Hier darf allerdings Deutschland noch an der Altersgrenze schrauben.

Montag, 13. Februar 2017

Staatssicherheit bei der Bahn?

Im WDR wurde berichtet, dass die Bahn für 100 Millionen Euro ihre Züge mit Kameras ausstatten möchte. Nachlesen lässt sich das auch hier:
http://www.epochtimes.de/politik/deutschland/schutz-vor-diebesbanden-und-terroranschlaegen-bahn-will-bei-videoueberwachung-in-zuegen-und-auf-bahnhoefen-aufruesten-a2046011.html

Unser Innenministerium schraubt immer weiter daran, dass die Staatssicherheit auch den Westen übermannt. Natürlich verstößt die Ausstattung mit Überwachungskameras in Zügen genauso gegen Grundrechte, wie die Überwachung bei PKW-Maut.

Es können Bewegungsprofile einzelner Personen aus den gesammelten Daten erstellt werden.

Überwachungskameras schränken die Freiheit der Bürger massiv ein.

Das noch gültige deutsche Datenschutzgesetz hat hier einige Paragraphen, die eine Installation von Kameras erschweren. Die europäische Datenschutzgrundverordnung, die am 25. Mai 2018 in Kraft tritt, verbietet die Installation von Kameras im öffentlichen Raum generell, es sei denn, der Kamerabetreiber ist eine nicht-gewinnorientierte Organisation, deren Geschäftszweck im Bereich der gesammelten Informationen, wie Gesundheitsdaten, ist.

Ja, Kameras erfassen den Gesundheitszustand von Menschen und das ist verboten.

Darüber hinaus müsste jeder einzeln zustimmen, dass er gefilmt wird. Und wer nicht zustimmt, darf nicht gefilmt werden.

Wenn die Bahn Kameras in ihren Zügen instsalliert, muss sie Bereiche schaffen, die nicht überwacht werden. Bereiche, in denen Bürger, z.B. auf dem Weg zur Arbeit oder in den Urlaub, nicht erfasst werden.

Alternativ könnte die Bahn auch an den Bahnhöfen Masken und Kapuzenmäntel verteilen, mit denen sich die Bürger vor Überwachung schützen können.

Krimineller Schwerpunkt Bahn? Ist das wirklich so? Oder ist das Panikmache unseres Innenministeriums? StaSi-Propaganda?

Seit der Einführung des ICE habe ich noch nie ein Verbrechen im ICE beobachtet. Die Fahrgästen sind hier in der Regel alle friedlich.

Auch in den Regionalzügen, sehe ich zwar manchmal Fahrräder zu Uhrzeiten, an denen sie eigentlich nicht mitgenommen werden sollten, aber ansonsten, an normalen Tagen, nie Verbrechen.

Früher gab es Vandalismus, wenn Wehrpflichtige entlassen wurden. Und es gibt immer mal wieder Vandalismus, Gewalt und Belästigung nach Fussballspielen. Aber reicht das für eine Massenüberwachung aus? Das sind Ereignisse, auf die sich die Bahn gezielt einstellen kann.

Meiner Meinung nach, möchte die Bahn durch den Einsatz von Kameras Ihr Personal weiter abbauen. Denn statt Kameras, könnten ja auch Schaffner und Bundespolizei in solchen Zügen mitfahren. Meine Erfahrung ist, dass in den Zügen, in denen es zu kriminellen Übergriffen kommen könnte, die Fahrgäste auf sich allein gestellt sind. Weder Schaffner noch Polizei ist vor Ort.

Mittwoch, 18. Januar 2017

Unternehmen und die Transparenz im Datenschutz

Das Bundesdatenschutzgesetz schreibt in §4g Abs. 2 und 2a vor, dass jedes Unternehmen für jeden Bereich, in dem es personenbezogene Informationen erhebt und in irgendeiner Weise flüchtig oder permanent speichert, auf Antrag jedermann die Angaben zu den Punkte 1 bis 8 aus BDSG §4e Satz 1 (auch Verfahrensverzeichnis genannt) in geeigneter Weise zur Verfügung stellen muss.

Hierbei ist es egal, ob es sich dabei um die notwendigen Informationen rund um die WhatsApp-Kommunikation der Tupperware-Beraterin mit den Kunden handelt oder die Krankenkasse, die Gesundheitsdaten verarbeitet. Sobald eine Information, die sich auf eine Einzelperson zurückführen lässt angefragt und den Hauch eines Speichermediums spürt, muss ein Verfahrensverzeichnis erstellt und jedermann auf Antrag verfügbar gemacht werden.

Wie viele Firmen halten sich hier an das Gesetz? Wie viele Firmen gehen mit personenbezogenen Informationen gesetzeskonform um? Welche Unternehmen sind vertrauenswürdig, was den Umgang und die Unversehrtheit der Daten angeht?

Ich wollte es genauer wissen und habe die Verfahrensverzeichnisse von Organisation und Unternehmen unterschiedlichster Bereiche angefordert bzw. auf den jeweiligen Internetseiten eingesehen. Das Ergebnis war erschreckend.

Ich habe nur ein einziges Verfahrensverzeichnis gefunden, dass nach meiner Auffassung den gesetzlichen Vorgaben entspricht. Das Verfahrensverzeichnis der Techniker Krankenkasse (https://www.tk.de/tk/datenschutz-und-informationsfreiheit/datenschutz/oeffentliches-verfahrensverzeichnis/93208).

Das Einzige, was mir bei der Techniker Krankenkasse fehlte, sind die Angaben zur Rechtsgrundlage der Erhebung. Allerdings geht aus dem Verfahrensverzeichnis auch ohne Angabe der Rechtsgrundlage die Zweckbindung der einzelnen Informationen eindeutig hervor.

Alle anderen Verfahrensverzeichnisse waren mehr schlecht als recht. Einen vertrauenswürdigen und verantwortungsvollen Umgang mit personenbezogen Informationen erweckten sie alle nicht.

Einige Verkehrsverbunde haben ihre Verfahrensverzeichnisse im Internet veröffentlicht.

Allerdings warten wir bis heute auf die Verfahrensverzeichnisse zu den Kameras in Zügen und Stationen / Bahnhöfen (angefragt: VRR, Der Sechser, Nordwestbahn, Kölner Verkehrsbetriebe, Hauptbahnhöfe in Bielefeld, Köln und Hannover).

Telekom und Vodafon geben in ihren Verfahrensverzeichnis an, dass Sie die erhobenen Vertragsdaten zu Marketingzwecken verwenden. Die Rechtsgrundlage wird nicht angegeben. Eine Zweckbindung kann ich hier ebenfalls nicht erkennen, sondern eher, dass die Vertragsinformationen, ohne Rechtsgrundlage für Werbezwecke weitergegeben werden.

Leider musste ich bei der Telekom auch schon genau diese Erfahrung machen, dass meine Vertragsdaten, ohne mein Einverständnis, an ein Callcenter weitergegeben wurde, das versucht hat mir einen teureren Vertrag aufzuschwatzen.

Der Mitarbeiter des Callcenter konnte mein Vertragsende und meine Kontaktdaten einsehen. Bei Vodafon habe ich vor ein paar Jahren eine ähnlich Erfahrung gemacht.

Bei Tupperware will bis heute kein Unternehmen für die Kundendaten und schon gar nicht für die WhatsApp-Kommunikationsdaten verantwortlich und damit haftbar sein. Die selbständigen Beraterinnen (Handelsvertreterinnen) schieben die Verantwortung auf die selbstständigen Händler. Die Händler auf die Zentrale in Frankfurt oder die Beraterinnen. Die Zentrale in Frankfurt schiebt sie auf die Händler.

Da keiner die Verantwortung übernimmt, gibt es, auch nach mehrfachem Nachfragen und Anmahnen, kein Verfahrensverzeichnis. Vertrauenswürdiger und verantwortungsvoller Umgang mit Kundendaten sieht anders aus.

Unsere Nachforschungen bei Eismann waren denen von Tupperware entsprechend.

Ich bekam bei meiner Suche nach Verfahrensverzeichnis Hilfe von meinen Schulungsteilnehmern sowie Aktivisten von Digitalcourage.

Wir haben das Internet nach Verfahrensverzeichnissen durchstöbert und tatsächlich eine Vielzahl Firmen gefunden, die mittlerweile das Verfahrensverzeichnis im Netz zur Verfügung stellen.

Allerdings nicht ein einziges dabei, dass uns zufrieden stellte.

Verfahrensverzeichnisse für Überwachungskameras haben wir dann auch noch von mehreren Unternehmen (Wachdiensten, Kaufhäusern, ECE) und Arztpraxen (Wartezimmerüberwachung) angefordert, aber bis heute von keinem Unternehmen bzw. deren Datenschutzbeauftragten eine Antwort erhalten.

Unsere Erfahrung ist, dass die Unternehmen erst noch antworten, aber sobald nach dem Verfahrensverzeichnis für Überwachungskameras gefragt wird, keine Reaktion mehr kommt. Auch nicht, wenn der Datenschutzbeauftragte des Unternehmens darauf angesprochen wird.

Die Kontaktdaten des Datenschutzbeauftragten eines Unternehmens, sollten eigentlich bekannte gegeben werden. Doch es ist bei vielen Organisation äusserst schwierig, überhaupt einen Datenschutzbeauftragten ausfindig zu machen. Es gab sogar Firmen, die uns mitteilten, wir sollten unser Datenschutzanliegen doch an kontakt@firmenname.de oder info@firmenname.de schreiben.

Traurig war auch die Reaktion der großen Parteien auf meine Anfrage. Eine Partei verwies mich an die IT-Abteilung. Bei einer anderen wurde ich hingehalten und bekam nach ein paar Wochen das Verzeichnis.

Tatsächlich erhalten habe ich bis jetzt nur je ein Verfahrensverzeichnis von der SPD und eines von den Grünen. Der Bundesverband und einige Landesverbände der Piratenpartei haben ihre Verfahrensverzeichnisse online.

CDU, FDP und Linke haben bis heute, auf keiner Ebene reagiert. Dabei unterliegen Parteien, genau wie Krankenkassen, besonderen Bestimmungen.

Bei den Parteien hatte ich den Eindruck, dass ihnen nicht wirklich klar war, wer verantwortlich und somit haftbar für die Mitgliedsdaten ist (Ortsverband, Kreisverband, ..., Landesverband, Bundesverband).

Das Bundesdatenschutzgesetz schreibt in §4g Abs. 2, dass, sofern es einen Datenschutzbeauftragten gibt, dieser für die Verteilung des Verfahrensverzeichnis zuständig ist. Bei einigen Verfahrensverzeichnissen habe ich mich gefragt, wie frustriert muss der Datenschutzbeauftragte sein, dass er so ein Verfahrensverzeichnis veröffentlicht bzw. raus gibt?

Bis jetzt sind die Bußgelder ja nur bis zu 50-Tausend Euro.

Sind die Unternehmen bereit für den 25. Mai  2018? Die EU sieht Bußgelder von bis zu 4% des gesamten weltweiten Jahresumsatzes des vergangenen Geschäftsjahres vor.

Die Informationen, die heute in das Verfahrensverzeichnis gehören, sollen ab 25. Mai 2018 jedem Betoffenen bei der Erhebung, klar verständlich, in einfacher Sprache und mit Angabe der Rechtsgrundlage bekannt gegeben werden. Die Nachweispflicht, dass Betroffene die Informationen erhalten haben, liegt bei den Unternehmen (EU 2016/679 Artikel 12 und 13).

Es empfiehlt sich in jedem Fall, immer nachzufragen, wofür die angefragten Informationen benötigt werden und mit welcher Rechtsgrundlage es begründet wird.