Blog

Aktuelle Informationen zum Thema Datenschutz

Wenn der Firmen-Rechner streikt: Private Geräte als Notfallstrategie?

10 Mai 2022

Der Rechner, den der Arbeitgeber zur Verfügung gestellt hat, fährt nicht hoch. Doch es steht eine dringende Projektarbeit an. Da kommt schnell der Gedanke, das private Notebook zu nutzen. Es handelt sich ja um einen Notfall. Doch stimmt dann auch der Datenschutz?

Shot of concentrated young business woman working with computer while consulting some documents in the office at home.

Immer wenn es eilig ist

Wie könnte es anders sein? Um elf Uhr soll das Konzept bei der Abteilungsleiterin sein, aber der PC, den der Arbeitgeber für die Tätigkeit im Homeoffice bereitgestellt hat, startet nicht. Nur noch zwei Stunden bis zur Abgabe.

Eigentlich ist die Nutzung privater IT-Geräte bei der Heimarbeit ja nicht erlaubt. Der Arbeitgeber hat daher extra spezielle PCs angeschafft und den Beschäftigten nach Hause liefern lassen. Aber jetzt ist eine Art Notfall eingetreten: Der Firmen-Computer will nicht, da könnte man doch das private Gerät nutzen. So zumindest die Idee, die einem in den Kopf kommt. Immerhin war das private Notebook ja teuer, es ist schon sehr professionell, muss man sagen …

Der PC-Streik und die Folgen

Wer einfach das private Notebook verwendet, um das Konzept fertigzustellen, hält vielleicht die gesetzte Frist zur Abgabe ein – doch er verstößt gegen die Richtlinien, die der Arbeitgeber für die Arbeit im Homeoffice aufgestellt hat.

Gehen Sie nicht davon aus, dass die „Frist“ alle Mittel heiligt. Das Konzept ist zwar möglicherweise pünktlich bei der Abteilungsleiterin. Aber das vertrauliche Konzept mit den Kundendaten ist auf einem privaten Gerät gelandet. Sie haben es dort bearbeitet und von dort per Mail verschickt.

Der Arbeitgeber hat die Nutzung des privaten Geräts nicht einfach so verboten. Es gibt gute Gründe dafür. Der Arbeitgeber hat keinen Überblick darüber,

  • ob das private Notebook mit allen Updates versehen ist,
  • ob die Sicherheitssoftware darauf den Anforderungen entspricht,
  • ob der Mail-Versand geschützt erfolgt oder
  • ob das private Notebook zum Beispiel so eingestellt ist, dass alle Dateien darauf automatisch zur Datensicherung in eine Cloud übertragen werden, die nicht den Vorgaben des Datenschutzes entspricht.

Erst fragen und Schutz sicherstellen

Wer ohne Rücksprache von den Sicherheitsrichtlinien des Arbeitgebers abweicht, muss mit Ärger rechnen, auch wenn es um ein dringendes Konzept geht und wenn man für den Notfall eine Ausnahme machen wollte.

Sichern Sie sich grundsätzlich immer selbst ab und fragen Sie die Vorgesetzten, ob Sie das private Gerät für diesen Fall ausnahmsweise nutzen dürfen. Denken Sie dann aber auch an die Absicherung der Daten.

So sollte der Arbeitgeber die Nutzung privater IT, auch BYOD (Bring Your Own Device) genannt, wenn überhaupt nur dann genehmigen, wenn die Maßnahmen für Sicherheit und Datenschutz bei dem Gerät stimmen. Es muss die gleiche hohe Sicherheit herrschen, als wenn Sie den Firmen-PC nutzen würden.

Genehmigt der Arbeitgeber die Ausnahme, müssen alle Schutzmaßnahmen ergriffen werden, die den Zugang auf das Firmennetzwerk absichern und die dafür sorgen, dass keine betrieblichen Daten auf den privaten Geräten zurückbleiben.

Wenn Ausnahme, dann aber nicht die Regel

Hat der Arbeitgeber einmal zugelassen, dass Sie Ihr privates Gerät nutzen, darf sich daraus aber keine Regel entwickeln, weil Sie zum Beispiel mit dem privaten Notebook lieber arbeiten würden.

Mehr lesen

Was genau versteht man im Datenschutz unter Vertraulichkeit?

25 April 2022

Sicher ist Ihnen der Begriff „Vertraulichkeit“ mehr als bekannt, vielleicht sogar aus dem Bereich IT und IT-Sicherheit. Doch bedeutet Vertraulichkeit im Datenschutz auch das, was Sie sich darunter vorstellen? Gerade Alltagsbegriffe können schnell zu Unschärfen oder Missverständnissen führen.

Einmal ganz im Vertrauen gesagt

Vielleicht wundern Sie sich über die Frage, was man denn genau unter Vertraulichkeit im Datenschutz versteht. Offensichtlich geht es im Datenschutz in vielen Fällen darum, Vertrauliches zu schützen, nämlich die personenbezogenen Daten, die nicht jeder sehen, lesen und kennen darf.

Ein gutes Beispiel sind Gesundheitsdaten, die kein Dritter kennen soll. Sie gehen nur Sie, Ihre Ärztin oder Ihren Arzt oder die Krankenversicherung etwas an, aber sicherlich nicht einen Pharma-Hersteller oder den Betreiber einer Drogeriekette.

Datenschutz und Vertraulichkeit hängen tatsächlich eng zusammen. Doch Datenschutz ist mehr als Vertraulichkeit. So müssen personenbezogene Daten nicht nur vertraulich, sondern auch verfügbar sein, sie dürfen nicht manipuliert werden, und die Dienste, mit denen die personenbezogenen Daten verarbeitet werden, müssen vor Ausfällen und Störungen geschützt sein.

Was aber bedeutet nun genau die Vertraulichkeit im Datenschutz?

Es geht um Verschwiegenheit und Zugangsschutz

Zum einen gehört es zur Vertraulichkeit im Datenschutz, dass die Beschäftigten und die beauftragten Dienstleister, die personenbezogene Daten verarbeiten, keine personenbezogenen Daten an unbefugte Dritte verraten, also verschwiegen sind. Das gilt auch für die Datenschutzbeauftragten selbst.

Dann darf niemand die zu schützenden Daten unerlaubt oder ungewollt offenlegen. Unbefugte Dritte dürfen keinen Zugang zu und Zugriff auf die Daten haben. Um das zu erreichen, fordert der Datenschutz geeignete technische und organisatorische Schutzmaßnahmen. Dazu gehört vor allem eine Verschlüsselung, die dem aktuellen Stand der Technik entspricht, also nicht veraltet ist.

Die IT hat ein etwas anderes Bild von Vertraulichkeit

Vielleicht arbeiten Sie in der IT oder IT-Sicherheit, oder Sie wissen einfach, dass auch die IT-Sicherheit das sogenannte Schutzziel Vertraulichkeit besitzt. Tatsächlich nutzt die IT-Sicherheit ähnliche oder sogar die gleichen Schutzmaßnahmen wie der Datenschutz, insbesondere die Verschlüsselung.

Ist deshalb Vertraulichkeit in Datenschutz und IT-Sicherheit wirklich das Gleiche? Nicht ganz, denn der Datenschutz will personenbezogene Daten schützen, die IT-Sicherheit generell Daten mit entsprechendem Schutzbedarf.

Dabei müssen personenbezogene Daten wie die Daten eines IT-Nutzers aus Sicht der IT nicht zwingend einen hohen Bedarf an Vertraulichkeit haben. Es kann der IT-Sicherheit um einen anderen Schutzbedarf gehen.

Dem Datenschutz aber geht es immer um die Daten, die personenbezogen sind, also zu einer Person gehören, oder die personenbeziehbar sind, sich also auf eine bestimmte Person beziehen lassen. Solche Daten dürfen nicht ungewollt oder unerlaubt offengelegt werden, wie in dem Eingangsbeispiel die Gesundheitsdaten. Sie dürfen nicht einfach einem Händler übergeben werden, der diese Daten für ein passendes Angebot an frei verkäuflichen Medikamenten nutzen möchte.

Vertraulichkeit ist deshalb ein Kernthema für den Datenschutz, mit gewissen Unterschieden zur Sicht der IT oder auch zur Alltagssicht.

Ist Ihnen Vertraulichkeit im Datenschutz ein Begriff? Machen Sie den Test!

Frage: Vertraulichkeit, Verschwiegenheit und Datenschutz sind eigentlich identisch. Stimmt das?

  1. Nein, Vertraulichkeit ist zentral für den Datenschutz. Aber es geht auch um andere Datenschutz-Prinzipien, die zu wahren sind.
  2. Ja, es geht immer darum, Geheimnisse zu wahren.

Lösung: Die Antwort 1. ist richtig. Die Datenschutz-Grundverordnung (DSGVO) nennt mehrere Grundsätze für die Verarbeitung personenbezogener Daten. Vertraulichkeit gehört dazu, ist aber nicht alles im Datenschutz. Geheimnisse wie zum Beispiel Geschäftsgeheimnisse müssen keinen Personenbezug haben und unterliegen dann nicht dem Datenschutz. Zudem müssen personenbezogene Daten nicht geheim sein, um schutzbedürftig zu sein. Auch personenbezogene Daten, die nicht geheim sind, dürfen beispielsweise nicht zweckentfremdet werden.

Frage: Sorgt die IT für Vertraulichkeit, stimmt auch der Datenschutz. Ist das so richtig?

  1. Ja, IT-Sicherheit sorgt für die Vertraulichkeit, die der Datenschutz braucht.
  2. Nein, IT-Sicherheit und Datenschutz haben unterschiedliche Ziele. Die IT-Sicherheit schützt nicht automatisch personenbezogene Daten.

Lösung: Die Antwort 2. ist richtig. IT-Sicherheit soll Systeme und Daten schützen, die für den IT-Betrieb wichtig sind oder die anderweitig geschäftsrelevant sind. Für den Datenschutz geht es darum, die Vertraulichkeit personenbezogener und personenbeziehbarer Daten sicherzustellen. Es kann deshalb sein, dass die IT-Sicherheit umfangreich Nutzerdaten analysiert, um Attacken zu erkennen, während der Datenschutz versucht, möglichst den Personenbezug bei den Analysen zu vermeiden.

Mehr lesen

Missbrauch von Daten für private Zwecke

10 April 2022

Wer in einem Unternehmen arbeitet, hat normalerweise Zugang zu Daten von Kunden. Jedem ist klar, dass er diese Daten nicht für private Zwecke nutzen darf. Aber was sind die Folgen, wenn das trotzdem einmal geschieht? Mit einer Geldbuße dürften die wenigsten rechnen.

Nehmen wir einfach einmal an …

Angenommen, Sie haben von jemandem noch Geld zu bekommen. Leider ist Ihr Schuldner inzwischen umgezogen. Sie wissen nur nicht, wohin. Sie vermuten, dass er zu den Kunden Ihres Arbeitgebers gehören könnte. Und tatsächlich: Ein Blick in die Kundendatenbank bestätigt das. Mit einem Mausklick haben Sie seine neue Adresse gefunden.

Auch wenn Sie das sicher nie tun würden: Nehmen wir einmal an, Sie benutzen seine neue Adresse, um mit ihm wegen der Geldsache Verbindung aufzunehmen. Welche rechtlichen Folgen kann das haben?

Der Grundsatz der Zweckbindung ist verletzt

Es liegt auf der Hand, dass hier der Grundsatz der Zweckbindung verletzt ist. Der Kunde hat seine Daten dem Unternehmen genannt, damit das Unternehmen die Daten verwendet. Es braucht sie beispielsweise, um Bestellungen zu bearbeiten und auszuliefern. Nie würde der Kunde auf die Idee kommen, dass ein Mitarbeiter oder eine Mitarbeiterin diese Daten für irgendwelche privaten Zwecke „abzweigt“. Dafür waren sie nicht gedacht. Deshalb kann es gut sein, dass sich der Kunde bei der Datenschutzaufsicht beschwert.

Die Datenschutzaufsicht kann Geldbußen verhängen

Die Datenschutzaufsicht wird sich um den Fall kümmern. Seit die DSGVO gilt, hat die Datenschutzaufsicht viel mehr Befugnisse als vorher. Unter anderem kann sie Geldbußen verhängen. Das kann im Einzelfall richtig teuer werden. Einige Hundert Euro sind sehr schnell fällig. Das gilt natürlich auch, wenn jemand Daten des Arbeitgebers für private Zwecke missbraucht.

Wer muss mit einer Geldbuße rechnen?

Interessant ist dabei die Frage, wer für diesen Datenmissbrauch geradestehen muss. Ist es die beschäftigte Person, die die Daten missbraucht hat? Oder ist es der Arbeitgeber, für den sie tätig ist? Die Meinungen hierzu gehen zwischen den Aufsichtsbehörden auseinander.

Ein „Mitarbeiterexzess“ ist eine hässliche Sache

Die meisten Aufsichtsbehörden sprechen in einem solchen Fall von einem „Mitarbeiterexzess“. Gemeint sind damit nach einer gängigen Definition „Handlungen von Beschäftigten, die bei verständiger Würdigung nicht dem Kreis der jeweiligen unternehmerischen Tätigkeit zugerechnet werden können.“ Das hört sich zwar etwas juristisch an. Aber eigentlich ist ziemlich klar, was damit gemeint ist.

Ständige Überwachung soll nicht sein

Kein Arbeitgeber kann ständig hinter jedem Beschäftigten stehen. Und er soll das auch gar nicht tun. Deshalb kann der Arbeitgeber nicht für alles verantwortlich sein, was ein Beschäftigter an seinem Arbeitsplatz treibt. Wenn der Beschäftigte sich dort um rein private Angelegenheiten kümmert, ist das keine Sache des Arbeitgebers. Dafür muss vielmehr der Beschäftigte selbst geradestehen. Das gilt auch dann, wenn der Beschäftigte seine Möglichkeiten missbraucht, auf dienstliche Daten zuzugreifen.

Die Geldbuße dafür muss der Beschäftigte zahlen

Beim Missbrauch von Daten für private Zwecke hat das für den „Täter“ erhebliche Konsequenzen. Er wird durch diesen Missbrauch selbst zu der Stelle, die für den Umgang mit den Daten verantwortlich ist. Damit haftet er selbst für den Missbrauch der Daten. Die Datenschutzaufsicht kann gegen ihn persönlich ein Bußgeldverfahren einleiten und eine Geldbuße verhängen. 200 oder 300 Euro Geldbuße sind in solchen Fällen die untere Grenze. Es kann auch teurer werden.

Eine Geldbuße für den Arbeitgeber ist keine schöne Alternative

Letztlich noch unangenehmer wird es für den Beschäftigten, wenn eine Aufsichtsbehörde den Vorgang nicht als „Mitarbeiterexzess“ behandelt. Auch dann hat er selbstverständlich rechtliche Folgen. Sie richten sich gegen das Unternehmen. Denn irgendjemand muss natürlich für den Verstoß geradestehen. Und wenn es nicht der Mitarbeiter ist, ist es eben das Unternehmen.

In solchen Fällen gilt der Grundsatz: Unternehmen haften für das Fehlverhalten ihrer Beschäftigten. Deshalb wird die zuständige Datenschutzaufsicht eine Geldbuße gegen das Unternehmen verhängen.

Der Arbeitgeber wird Konsequenzen ziehen

Selbstverständlich wird das Unternehmen dies nicht einfach schulterzuckend zur Kenntnis nehmen. Vielmehr wird es das Fehlverhalten intern aufklären, arbeitsrechtliche Konsequenzen eingeschlossen. Deshalb gilt: Finger weg von dienstlichen Daten für private Zwecke! Das gilt auch dann, wenn es um scheinbar banale Daten wie eine Adresse geht. Die Folgen sind es auch hier nicht wert.

Mehr lesen

Schadensersatz für unerlaubte E-Mails

04 April 2022

Jemand bekommt eine Werbemail, obwohl er Werbemails deutlich abgelehnt hatte. Jetzt möchte er wegen dieser einen Mail Schadensersatz. Hat er damit eine Chance?

Ein Versehen ist schnell passiert

Werbeverbote in eine Adressdatenbank einzutragen, ist eine lästige Arbeit. Da passiert schnell einmal ein Fehler. Und schon ist eine Werbemail verschickt, obwohl der Adressat ausdrücklich keine Werbemails haben will.

Manche wollen dafür Geld sehen

Eine freundliche Entschuldigung sollte doch wohl reichen? Manche Betroffene akzeptieren sie und alles ist gut. Es gibt aber auch betroffene Personen, die Schadensersatz verlangen. Häufig bewegen sich die Forderungen im Bereich von 100 Euro bis 300 Euro. Wohlgemerkt, wegen einer einzigen E-Mail. Bevor es die Datenschutz-Grundverordnung (DSGVO) gab, hätte jedes Gericht über eine solche Idee den Kopf geschüttelt.

Natürlich besteht ein Anspruch auf Unterlassung

Auch damals gewährten die Gerichte schon einen Anspruch auf Unterlassung. Das ist heute noch genauso. Man muss also in einer „Unterlassungserklärung“ versprechen, dass so etwas nicht wieder passieren wird. Mit dieser Erklärung muss das „Versprechen einer Vertragsstrafe“ kombiniert sein. Wird doch wieder eine E-Mail verschickt, ist das Unterlassungsversprechen gebrochen. Das wiederum löst eine Vertragsstrafe aus. Vorher ist sie kein Thema.

Schadensersatz gab es früher aber nicht

Schadensersatz wegen der einen Mail, die schon verschickt wurde, gewährten die Gerichte früher nicht. Das typische Argument lautete: Ein Schaden, den man finanziell beziffern könnte, ist nicht entstanden. Und Anlass für so etwas wie Schmerzensgeld sahen die Gerichte wegen einer solchen Kleinigkeit nicht.

Die DSGVO hat das geändert

Durch die DSGVO hat sich das geändert. Sie enthält in ihrem Artikel 82 eine Regelung über das „Recht auf Schadensersatz“. Schadensersatz gibt es demnach immer dann, wenn „wegen eines Verstoßes gegen diese Verordnung“ ein Schaden entstanden ist. Dabei kann dieser Schaden ausdrücklich materiell oder immateriell sein. Materiell bedeutet, dass er finanziell zu beziffern ist. Immateriell ist ein Schaden, wenn er sich zwar nicht in Geld messen lässt, aber doch „wehtut“.

Ein „ungutes Gefühl“ kann ein immaterieller Schaden sein

Ein typisches Beispiel für einen immateriellen Schaden sind Schmerzen. Schmerzen wird eine unzulässige Werbe-E-Mail kaum jemals auslösen. Eine gewisse Belästigung kann sie aber schon darstellen. Auch kann sie eine Unsicherheit darüber auslösen, ob die Mailadresse noch irgendwohin weitergegeben worden ist.

Ein Amtsgericht gewährte dafür 300 Euro

Tatsächlich hat ein Amtsgericht folgende Auffassung vertreten: „Der Schaden kann bereits in dem unguten Gefühl liegen, dass personenbezogene Daten Unbefugten bekannt geworden sind.“ Das war dem Gericht Anlass genug, 300 Euro Schadensersatz zu gewähren.

Beachten Sie alle Vorgaben Ihres Arbeitgebers genau!

Jede und jeder sollte deshalb unbedingt die Vorgaben beachten, die im Unternehmen für den Umgang mit Mailadressen bestehen. Sonst kann es schnell teuer werden.

Mehr lesen

Was ist Scoring? 

13 März 2022
3D-Darstellung eines konzeptionellen Messgeräts mit Nadel, die auf ausgezeichnet zeigt. Geschäftskredit-Score-Konzept.

„Scoring-Verfahren“ und „Score-Werte“ sind aus der Wirtschaft nicht mehr wegzudenken. Meist geht es dabei um die Einschätzung der Kreditwürdigkeit. Und Kredit nimmt man viel häufiger in Anspruch, als vielen bewusst ist. 

Kredit ist häufiger als zunächst vermutet 

Wer bei einer Bank einen Ratenkredit aufnimmt, ist sich darüber klar: Den Kredit bekommt er von der Bank nur, wenn er auch kreditwürdig ist. Aber wenn er mit einem Händler eine Ratenzahlung vereinbart, gilt das genauso. Und wer einen Handyvertrag abschließt, nimmt ebenfalls Kredit in Anspruch. Schließlich zahlt er die Rechnung immer erst im Nachhinein.  

Die Kreditwürdigkeit ist ein wichtiger Aspekt 

Wer Kredit gewährt, steht vor dem Problem, die Kreditwürdigkeit seines Vertragspartners zuverlässig einzuschätzen. Das bloße Bauchgefühl ist dabei ein schlechter Ratgeber. Nötig sind rationale Kriterien, die sich objektiv nachvollziehen lassen. 

Score-Werte ermöglichen objektive Aussagen 

An dieser Stelle kommen Score-Werte ins Spiel. Sie knüpfen an Tatsachen an, die Rückschlüsse auf die Kreditwürdigkeit erlauben. Hierzu ein Beispiel: Wer in einem unbefristeten Arbeitsverhältnis steht, wird seltener zahlungsunfähig als jemand, dessen Arbeitsverhältnis befristet ist. Ob diese Aussage stimmt, muss der Kreditgeber im Ernstfall mit statistischen Methoden nachweisen.  

Sie müssen auf aussagekräftigen Tatsachen beruhen 

Aus der Sicht des Datenschutzes ist zunächst wichtig, welche Tatsachen in einen Score-Wert einfließen dürfen. Stets muss es sich um Faktoren handeln, deren Eignung sich nachprüfen lässt. Praktisches Beispiel: frühere Kredite, die der Kreditnehmer ordnungsgemäß zurückgezahlt hat.  

Es dürfen aber auch allgemeine Erfahrungen einfließen. So wäre es etwa denkbar, dass Hauseigentümer Kredite zuverlässiger zurückzahlen als Personen, die keine Hauseigentümer sind. Genausogut könnte es aber umgekehrt sein. Grund hierfür könnte sein, dass Hauseigentümer wegen der Belastungen durch das Haus über weniger Geld verfügen. Wie auch immer: Solche Aussagen müssen sich mit statistischen Mitteln begründen lassen. 

Diskriminierungen sind verboten 

Äußerst umstritten ist es, ob berücksichtigt werden darf, in welchem Stadtviertel oder in welcher Straße jemand wohnt. Ein solcher Ansatz kann schnell zu einer unzulässigen Diskriminierung führen.  

Besonders deutlich wird dies an folgendem Beispiel: In einem bestimmten Haus wohnen mehrere Personen, die in der Vergangenheit Kredite nicht ordnungsgemäß zurückgezahlt haben. Jemand zieht neu in dieses Haus. Der Rückschluss, dass auch diese Person Kredite nicht ordnungsgemäß zurückzahlen wird, würde sie unzulässig diskriminieren. 

Ein Score-Wert ist ein Punktwert 

Für jedes einzelne Merkmal der Kreditwürdigkeit werden Bewertungspunkte vergeben. Die Summe dieser Bewertungspunkte ist der Score-Wert. Der Kreditgeber entscheidet, wie hoch der Wert sein muss, damit er noch einen Kredit gewährt. Hier darf jeder Kreditgeber seine eigenen Maßstäbe anlegen. Welches Risiko er noch eingehen will und welches nicht mehr, ist Teil seiner Geschäftspolitik. 

Auskunfteien berechnen ihn als Dienstleister 

Die wenigsten Kreditgeber berechnen Score-Werte selbst. Dazu fehlt ihnen in aller Regel das Know-how. Sie schalten deshalb Auskunfteien als Dienstleister ein. Sehr bekannt ist in diesem Zusammenhang die SCHUFA. Es gibt aber auch kleinere Auskunfteien, die beispielsweise nur für bestimmte Branchen tätig sind. 

Die Rechtsprechung zu Auskunfteien ist detailliert 

Das Geschäftsmodell der Auskunfteien ist vom Grundsatz her datenschutzrechtlich in Ordnung. Sie müssen jedoch eine Vielzahl von Grundsätzen beachten, die sich aus Entscheidungen von Gerichten ergeben. Das gilt beispielsweise dafür, wie lange negative Tatsachen berücksichtigt werden dürfen. Auch hier gibt es so etwas wie ein Recht auf Vergessen. Zu früh darf dieses Vergessen aber nicht einsetzen. Sonst gefährdet das die berechtigten Interessen von Kreditgebern. 

Betroffene haben Anspruch auf Auskunft 

Wer von einem Score-Wert betroffen ist, kann Auskunft über den Score-Wert verlangen. Er kann auch Auskunft darüber verlangen, welche Tatsachen verwendet wurden, um den Score-Wert zu ermitteln. Die Berechnungsmethode im Einzelnen zählt allerdings zu den Geschäftsgeheimnissen. Darüber kann eine betroffene Person keine Auskunft verlangen. Score-Werte werden jedes Jahr millionenfach erstellt. Gemessen daran gibt es erfreulich wenige berechtigte Beschwerden. 

Mehr lesen

Offene Mailverteiler

13 Februar 2022

Verstärktes Homeoffice hat dazu geführt, dass noch mehr Mails verschickt werden als bisher. Häufig sind das Mails an mehrere Adressaten. Damit taucht das Problem der „offenen Mailverteiler“ auf.

Bei Mails an mehrere Empfänger gibt es drei Adress-Varianten

Wer dieselbe Mail an mehrere Adressaten schicken will, kann dies auf drei Weisen tun:

  • Bei Variante 1 kommen die Mail-Adressen aller Adressaten in das „An-Feld“.
  • Bei Variante 2 kommt nur die Mail-Adresse eines Adressaten in das „An-Feld“. Die Mail-Adressen aller anderen Adressaten werden in das „Cc-Feld“ eingetragen.
  • Bei Variante 3 steht im „An-Feld“ ebenfalls nur die Maildresse eines Adressaten. Die Mail-Adressen aller anderen Adressaten werden in das „Bcc-Feld“ eingetragen.

Entscheidend ist: Wer kann was sehen?

Datenschutzrechtlich ist relevant, wer jeweils sehen kann, welche anderen Adressaten die Mail noch erhalten haben. Das macht einen erheblichen Unterschied bei den drei Varianten:

  • Bei Variante 1 sehen alle Adressaten gegenseitig, wer die Mail sonst noch bekommen hat.
  • Bei Variante 2 ist das im Ergebnis genauso. Sie macht zwar einen Unterschied zwischen dem „unmittelbaren Adressaten“ im „An-Feld“ und den anderen Adressaten im „Cc-Feld“. Diese erhalten nur eine Kopie der Mail an den unmittelbaren Adressaten. Das wirkt sich aber letztlich nicht aus: Jeder kann alle anderen Adressaten sehen.
  • Bei Variante 3 ist das ganz anders. Denn „Bcc“ steht für „Blind Carbon Copy“. Das bedeutet, dass diese Empfänger nicht erkennen können, wer diese Mail sonst noch erhalten hat.

Jede Variante hat ihren legitimen Anwendungsbereich

Keine der drei Varianten ist von vornherein etwas Böses. Sie sind für unterschiedliche Situationen gedacht:

  • Variante 1 passt beispielsweise, wenn mehrere Kollegen in einem Team gleichberechtigt an einem Projekt arbeiten. Sie kennen einander und jeder soll und muss alles sehen können, was die Teammitglieder einander schreiben.
  • Variante 2 eignet sich zum Beispiel dann, wenn zwei Mail-Partner Informationen austauschen und dabei etwas ansprechen, das im konkreten Fall noch jemand wissen muss. Beispiel: Zwei Mitarbeiterinnen des Unternehmens besprechen etwas, das voraussichtlich zu Ausgaben für das Unternehmen führt. Selbst budgetverantwortlich sind sie aber nicht. Dann muss der Budgetverantwortliche wissen, was sie vorhaben. Deshalb erhält er eine „offene Kopie“.
  • Variante 3 ist das Mittel der Wahl, wenn die Adressaten der Mail nichts miteinander zu tun haben und nichts voneinander wissen sollen. Klassisches Beispiel: Eine Marketing-Mail geht an alle Kunden eines Unternehmens.

Der Unterschied hat auch wirtschaftliche Bedeutung

Besonders dieses Beispiel macht klar, dass es bei der Wahl des richtigen Adressatenfelds nicht um eine datenschutzrechtliche Spitzfindigkeit geht. Wer beispielsweise beim Versand einer Marketing-Mail alle Kunden in das „An-Feld“ einträgt, legt den kompletten Kundenverteiler des Unternehmens für alle anderen Kunden sichtbar nach außen offen. Dasselbe gilt, wenn alle Kunden im „Cc-Feld“ stehen und im „An-Feld“ beispielsweise die eigene Mail-Adresse des Absenders. Das ist dann jeweils auch eine Datenschutzfrage. Unabhängig davon verletzt ein solches Vorgehen aber auch wirtschaftliche Interessen des Unternehmens in massiver Weise.

Mail-Adressen sind in der Regel personenbezogen

Warum ist es aber auch eine Datenschutzfrage? Das liegt daran, dass jedenfalls E-Mail-Adressen, die die Namen von Personen enthalten, personenbezogene Daten darstellen. Das gilt auch dann, wenn es sich um die dienstliche Adresse einer Person handelt, also nicht nur bei privaten Mail-Adressen.

Eine unbefugte Weitergabe verletzt den Datenschutz

Sind solche Mail-Adressen für einen anderen sichtbar, obwohl dies gar nicht notwendig ist, verletzt das den Datenschutz. Die Weitergabe der Mail-Adresse ist dann als unbefugt anzusehen.

Verstöße müssen der Datenschutzaufsicht gemeldet werden

Die Folgen für das betroffene Unternehmen sind ausgesprochen unangenehm. Die Datenschutz-Grundverordnung (DSGVO) sieht vor, dass Datenschutzverstöße grundsätzlich der Datenschutzaufsicht zu melden sind. Dafür gibt es auf den Internetseiten der Aufsichtsbehörden sogar eigene Meldeformulare.

Ausnahmen von dieser Meldepflicht gibt es nur dann, wenn nicht mit einer Beeinträchtigung berechtigter Interessen zu rechnen ist. Diese Ausnahmen greifen hier aber nicht. Denn niemand kann ausschließen, dass offene Mail-Adressen missbraucht werden, für was auch immer. Ein Beispiel hierfür wäre die Zusendung unerwünschter Werbung. Alle im Unternehmen sollten deshalb genau beachten, wie sie mit Mailverteilern korrekt umgehen.


Mehr lesen

Dropbox, Google Drive & Co: Darum kann Eigeninitiative gefährlich sein

25 Januar 2022

Legen Sie Daten in einem Cloud-Speicher wie Google Drive ab, können Sie über das Internet von überall darauf zugreifen. Für das flexible Arbeiten im Homeoffice und unterwegs ist das ideal. Für den Datenschutz aber sieht das ganz anders aus.

Das Ziel: Daten speichern, austauschen und sichern

Wer im Homeoffice oder unterwegs arbeitet, muss manchmal kreativ sein, so scheint es. Viele Möglichkeiten, die im Büro bestehen, hat man außerhalb des Unternehmens nicht. Wollen Sie zum Beispiel wichtige Daten speichern, erscheint die Ablage allein auf dem Notebook oder Tablet nicht ausreichend. Was passiert, wenn das Endgerät verloren geht? Dann war alle Arbeit umsonst.

Im Büro können Sie Ihre Daten in einem Verzeichnis im Netzwerk ablegen. Dort können auch Kolleginnen und Kollegen, die mit den Daten arbeiten müssen, bequem darauf zugreifen. Sind Sie aber unterwegs oder im Homeoffice, fehlen mitunter diese Möglichkeiten zur Speicherung im Netzwerk und zum Datenaustausch. Auch die regelmäßigen Backups lassen sich nicht so einfach zentral durchführen, wenn Sie unterwegs oder im heimischen Büro arbeiten.

Bietet das Unternehmen keine entsprechende Unterstützung oder kennt man die vorgesehenen Lösungen zur Datenspeicherung und zum Datentransfer nicht, wird man schnell erfinderisch. Da gibt es doch Lösungen wie Google Drive oder Dropbox, die sich privat bereits bewährt haben. Erkennen Sie sich wieder? Damit sind Sie nicht allein – leider, aus Sicht des Datenschutzes.

Das Problem: Die sogenannte Schatten-IT

Wählen Sie als Nutzer selbst die Lösungen aus, mit denen Sie Daten speichern und austauschen wollen, sorgen Sie für sogenannte Schatten-IT. Gemeint sind damit IT-Lösungen, die die zuständige Stelle im Unternehmen nicht geprüft und genehmigt hat.

Nutzen Sie ungeprüfte und betrieblich nicht freigegebene Lösungen, können damit Risiken für die Daten verbunden sein, die der IT-Abteilung im Unternehmen nicht bekannt sind. Und diese Risiken lassen sich deshalb auch nicht mit den notwendigen IT-Sicherheitslösungen abwenden. Das ist gerade bei den Cloud-Speichern der Fall, die jeder einfach, schnell und meist kostenlos nutzen kann.

Die dringende Empfehlung: Bitte keine Eigeninitiative bei der Datenspeicherung

Normalerweise freut sich jedes Unternehmen über die Eigeninitiative der Mitarbeiterinnen und Mitarbeiter. Doch wenn es um die Sicherheit der Daten und die Einhaltung des Datenschutzes geht, ist es weder gut noch gewünscht, selbst nach Lösungen zu suchen.

Betriebliche Daten dürfen nur in betrieblich genehmigten Lösungen gespeichert und darüber ausgetauscht werden. Andernfalls können die Daten in Gefahr geraten, weil die Sicherheit von Lösungen für private Zwecke nicht den hohen Anforderungen eines Unternehmens entspricht. Zudem kann es gerade bei Cloud-Speichern passieren, dass die personenbezogenen Daten in ein Land übermittelt werden, das nicht ohne Weiteres das notwendige Datenschutzniveau bietet.

Verwenden Sie deshalb nur betrieblich genehmigte Anwendungen, auch im Homeoffice und unterwegs! Kennen Sie die Lösung nicht, fragen Sie bitte nach.

Mehr lesen

Gesichtserkennung, Fingerscan & Co.: Bequem, aber nicht ohne Risiko

20 Januar 2022
Passwörter muss man sich merken, seine Fingerabdrücke nicht. Entsprechend beliebt sind biometrische Verfahren bei der Anmeldung für Geräte und Applikationen. Doch der Datenschutz warnt davor, Biometrie vorschnell einzuführen. Warum eigentlich?

Werden Passwörter bald überflüssig?

In einer Umfrage von Cisco unter 500 Anwenderinnen und Anwendern zeigte sich, dass Fingerabdrücke ein beliebter Ersatz für Passwörter sind. Mehr als die Hälfte (55 Prozent) fühlt sich wohl dabei, den Fingerabdruck für den Zugang zu einem Online-Konto zu verwenden. 40 Prozent haben nichts gegen eine Gesichtserkennung einzuwenden.

Tatsächlich ersetzen Unternehmen den Passwortschutz zunehmend durch andere Sicherheitsverfahren. Das gilt vor allem für die Nutzung der Biometrie in Form von Fingerabdrücken und Gesichtserkennung. Smartphones und andere mobile Endgeräte haben Funktionen zur Anmeldung über Fingerabdruck oder Gesichtserkennung gleich an Bord. Entsprechend häufig erfolgt auch die Anmeldung darüber, wenn sich Beschäftigte im Homeoffice befinden oder unterwegs arbeiten.

Laut einer Umfrage der FIDO Alliance unter 1.000 befragten Deutschen gelten biometrische Verfahren nicht nur als bequem, sondern auch als sicherste Art der Identitätsprüfung. Viele Studien gehen deshalb davon aus, dass Passwörter kaum noch eine Zukunft haben, die Biometrie wird sie ersetzen.

Sollte sich der Datenschutz darüber nicht freuen, wo doch so große Probleme mit ausreichend starken Passwörtern bestehen? Ja und nein, lautet die Antwort.

Passwörter kann man tauschen, Fingerabdrücke nicht

Wollen Unternehmen biometrische Lösungen einsetzen, fordert der Datenschutz, die Risiken genau zu prüfen. Dafür gibt es gute Gründe: Biometrische Daten und ihre Analyse eignen sich zwar sehr gut als Identitätsnachweis. Gelangen biometrische Daten aber in die falschen Hände, lassen sie sich für einen Identitätsdiebstahl nutzen.

Haben Angreifer Passwörter gestohlen, kann und muss man sie ersetzen. Bei biometrischen Merkmalen wie den Fingerabdrücken oder dem Gesicht kann man jedoch nicht beliebig neue, eindeutige Kennzeichen wählen. Man hat nur ein Gesicht und eine begrenzte Zahl von Fingerkuppen.

Biometrische Daten lassen sich missbrauchen

Im Gegensatz zu einem Passwort, das sich bekanntlich nicht mit der jeweiligen Person in Verbindung bringen lassen sollte, also zum Beispiel nicht den Namen enthalten soll, haben biometrische Daten sehr wohl mit der Person zu tun. So lässt sich ein Gesichtsausdruck nicht nur nutzen, um eine Person zu identifizieren. Es sind auch weitere Analysen möglich, wie eine Studie des EU-Parlaments warnt. So könnten sich darüber zum Beispiel menschliche Zustände der betroffenen Person leichter identifizieren lassen, wie Angst, Müdigkeit oder Krankheit, so die Studie.

Biometrie erfordert hohe Sicherheit

Wer also den Komfort einer Anmeldung über Gesichtserkennung oder Fingerabdruck nutzen will, muss das Verfahren besonders gut absichern. Das will der Datenschutz sicherstellen, um Missbrauch zu verhindern. Aus diesem Grund fordert der Datenschutz eine Prüfung vor der Einführung von Biometrie – nicht um die Passwort-Probleme zu erhalten, sondern um die Daten der betroffenen Personen zu schützen.

Denken Sie deshalb auch bei privater Nutzung von Fingerscan und Gesichtserkennung daran, nicht einfach jedes Verfahren zu verwenden. Stehlen Angreifer Ihre biometrischen Muster, sind Ihre privaten und beruflichen Zugänge in Gefahr, wenn sie durch Biometrie geschützt werden.

Kennen Sie die Risiken der Biometrie? Machen Sie den Test!

Frage: Die Erkennung von Fingerabdrücken ist sicher, denn einen Fingerabdruck kann niemand fälschen. Stimmt das?

  1. Nein, man muss Fingerabdrücke nämlich nicht fälschen, um eine Identität vorzutäuschen. Man kann die Muster der Fingerabdrücke auch stehlen, um sie zu missbrauchen.
  2. Ja, Fingerabdrücke sind im Gegensatz zu Passwörtern absolut sicher.

Lösung: Die Antwort 1. ist richtig. Aus den Fingerabdrücken der Nutzerinnen und Nutzer werden bei biometrischen Anmeldeverfahren Muster errechnet und gespeichert. Gelingt es einem Angreifer, diese errechneten Muster zu stehlen, kann er die biometrische Überprüfung der Identität täuschen und die Identität der Person übernehmen. Biometrische Verfahren müssen deshalb gegen Angriffe abgesichert sein.

Frage: Biometrische Daten lassen sich nicht für andere Zwecke missbrauchen. Stimmt das?

  1. Ja, man nutzt die Fingerabdrücke und die Gesichtserkennung nur, um die Identität einer Person zu prüfen.
  2. Nein, biometrische Kennzeichen können mehr über eine Person verraten als die zu prüfende Identität.

Lösung: Die Antwort 2. ist richtig. So kann man zum Beispiel aus einem Gesichtsausdruck mittels Analyse versuchen, Rückschlüsse auf Stimmungen, auf das Alter oder auf Anzeichen für Krankheiten zu ziehen. Biometrische Merkmale sind nicht nur ein möglicher Passwortersatz, sie sind Teil des menschlichen Körpers und können deshalb auch mehr über die Person aussagen als ein sinnvoll gewähltes Passwort, das bekanntlich keine personenbezogenen Angaben enthalten sollte.

Mehr lesen

Drucker, Dokumente und digitale Transformation

22 Dezember 2021

Auch wenn die Corona-Pandemie die Digitalisierung weiter beschleunigt hat: Papierdokumente spielen weiterhin eine wichtige Rolle und enthalten personenbezogene Daten. Vergessen Sie deshalb bei den Schutzmaßnahmen auch das Papier nicht. Gerade im Homeoffice könnte dies leicht geschehen.

Das digitale Büro bleibt Zukunft

Schon lange wird über das digitale Büro gesprochen: Alles wird digitalisiert, Aktenordner verschwinden. Doch diese Vorstellung ist auch heute noch Zukunftsmusik. Bisher verwenden erst 48 Prozent der Unternehmen Lösungen, um Dokumente zu digitalisieren, wie der Digitalverband Bitkom berichtet hat.

So kommt es auch, dass es weiterhin viele Dokumente in Papierform gibt, die personenbezogene Daten enthalten und die deshalb zu schützen sind. Dabei befinden sich die Papierdokumente nicht nur im verschlossenen Aktenschrank.

Vertrauliche Unterlagen pendeln zwischen Büro und Homeoffice

Viele Papierdokumente werden auch außerhalb des Büros und Firmengebäudes genutzt und aufbewahrt.  Die Tätigkeit im Homeoffice und die mobile Arbeit unterwegs haben dies noch verstärkt. Wo in Zukunft die sogenannte Hybride Arbeit als Mischung aus Büro und Homeoffice zum betrieblichen Alltag wird, hat dies auch Folgen für die Papierdokumente.

So transportieren die Beschäftigten dann Akten und andere Dokumente in Papierform zwischen den verschiedenen Arbeitsorten. Es kann etwa sein, dass jemand einen aktuellen Kundenvorgang im Homeoffice ausdruckt und dann später mit ins Büro nimmt, um das Dokument in der entsprechenden Akte abzulegen. Bei diesem Transport jedoch könnte das Dokument verloren gehen oder gar gestohlen werden.

Drucker sind ein mehrfaches Angriffsziel

Aber auch der Ausdruck selbst im Homeoffice birgt Risiken. Viele Drucker werden inzwischen in das WLAN im Homeoffice eingebunden. Manche sind sogar direkt über das Internet zu erreichen, damit man auch unterwegs etwas drucken kann, das dann im Homeoffice wartet.

Cyber-Attacken haben vernetzte Drucker im Visier. Es gibt aktuelle Beispiele, dass Cyberkriminelle Schwachstellen in Verbindung mit Druckern aktiv ausnutzen. Dabei bieten Drucker gleich mehrere Angriffsziele: Angreifer könnten ungeschützte Druckverbindungen abhören, ungeschützte Datenspeicher im Drucker auslesen, dort Malware deponieren und den unzureichend geschützten Drucker als heimlichen Zugang zum Endgerät und ins Netzwerk nutzen.

Mehr Datenschutz für Dokumente und Drucker

Denken Sie bei der digitalen Transformation deshalb nicht nur an den digitalen Datenschutz, sondern auch an Papierdokumente und an die Drucker, die Dokumente in Papierform ausgeben.

Andernfalls könnten Dokumente und Drucker zum Datenleck werden – sei es bei der unsicheren Lagerung, dem ungeschützten Transport oder der fehlerhaften Entsorgung über den normalen Papiermüll. Auch im Homeoffice und unterwegs müssen angemessene Schutzmaßnahmen verfügbar sein, wie zum Beispiel ein Papierschredder, der dem Schutzbedarf der Dokumente, die entsorgt werden sollen, entspricht.

Denken Sie nicht zuletzt daran, dass der Schreibtisch im Homeoffice kein sicherer Ort ist, um Akten aufzubewahren. Ein Homeoffice-Arbeitsplatz kann viel mehr „Publikumsverkehr“ haben als so manches Büro.

Haben Sie Ihre Papierdokumente im Griff? Machen Sie den Test!

Frage: Der Datenschutz betrifft nur Dateien, nicht aber Papierdokumente. Stimmt das?

  1. Nein, auch Papierdokumente können zu schützende personenbezogene Daten enthalten.
  2. Ja, denn der Datenschutz gilt nur für die automatisierte Verarbeitung personenbezogener Daten.

Lösung: Die Antwort 1. ist richtig. Die Datenschutz-Grundverordnung (DSGVO) gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten, aber auch für die nicht automatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Unter Dateisystem versteht die DSGVO jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, also zum Beispiel auch gedruckte Kundenlisten in einem Aktenordner.

Frage: Drucker im Homeoffice sind über das Internet nicht zu erreichen. Stimmt das?

  1. Ja, ist die Tür zum Homeoffice abgeschlossen, kann niemand an den Drucker.
  2. Nein, über WLAN und teils über das offene Internet könnten Drucker für Angreifer erreichbar sein.

Lösung: Die Antwort 2. ist richtig. Inzwischen werden gerade im Homeoffice die meisten Drucker über WLAN angebunden. Schwachstellen im WLAN könnten damit Dritten Zugang zum Drucker und den darauf gespeicherten Druckdaten geben. Zudem bieten viele Druckermodelle eine direkte Verbindung ins Internet und haben eine eigene E-Mail-Adresse. Das macht es möglich, von unterwegs über das Internet darauf zu drucken. Damit sind aber auch Cyberattacken auf diese Drucker möglich. Die Daten, die auf der Festplatte des Druckers liegen, könnten auf diesem Weg ebenso in Gefahr geraten wie die Daten, die für einen Ausdruck auf den Drucker temporär übermittelt werden.

Mehr lesen

Kostenlose Muster der EU für Datenschutzverträge

20 Dezember 2021

Kostenlose Vertragsmuster, frei verwendbar – das bietet die EU für die Auftragsverarbeitung und für die Datenübermittlung in „Drittstaaten“ wie die USA. Diese nützlichen Arbeitsinstrumente sollte man kennen.

Dokumentation ist alles
Verträge über die Verarbeitung von personenbezogenen Daten müssen dokumentiert sein. Mündliche Verträge reichen nicht. Das ist allgemein bekannt. Denn sonst lässt sich nicht nachweisen, dass der Datenschutz eingehalten ist. Aber wo findet man rechtssichere Muster? Für zwei wichtige Konstellationen fällt die Antwort inzwischen leicht: Im Juni 2021 hat die Europäische Kommission offizielle Vertragsmuster veröffentlicht, die sich mit den beiden Themen „Datenübermittlung in Drittstaaten“ und „Auftragsverarbeitung“ befassen.

Die Vertragsmuster sind frei verfügbar
Diese Muster darf jeder frei verwenden. Das verletzt in keiner Weise irgendein Urheberrecht. Die Muster stehen kostenlos zur Verfügung. Und zwar in allen 24 Amtssprachen der EU. Alles in offizieller Übersetzung, angefertigt von den Profis des EU-Übersetzungsdienstes. Vorlagen dieser Qualität könnten selbst große Unternehmen nur mit enormem Aufwand erstellen. Es handelt sich also um einen erheblichen Service der EU-Kommission.

Es gibt „sichere“ und „unsichere“ Drittstaaten
Ein Set von Musterverträgen befasst sich mit der Datenübermittlung in Drittstaaten. Drittstaaten sind alle Staaten, die kein Mitglied der EU sind. Für manche dieser Drittstaaten hat die Europäische Kommission offiziell festgestellt, dass sie gewissermaßen als „datenschutzrechtlich sicher“ gelten. Das ist etwa bei der Schweiz oder auch bei Japan der Fall. Für die meisten Drittstaaten gibt es eine solche Feststellung aber nicht. Wichtigstes Beispiel hierfür sind die USA.

Die Muster sorgen für Rechtssicherheit
Bei diesen „unsicheren“ Drittstaaten braucht man besondere Rechtsgrundlagen, um personenbezogene Daten an Unternehmen in diesen Staaten übermitteln zu dürfen. Ein wichtiges Rechtsinstrument hierfür sind die „EU-Standardvertragsklauseln“. Sie können verwendet werden, wenn ein Unternehmen in der EU personenbezogene Daten an Unternehmen in einen „unsicheren“ Drittstaat übermittelt.

Stichtag für die neuen Muster war der 27.6.2021
Die bisherigen Musterverträge der EU für die Übermittlung in Drittstaaten waren schon über zehn Jahre alt. In dieser Zeit gab es viele neue technische, aber auch rechtliche Entwicklungen. Schon deshalb war es notwendig, die Musterverträge anzupassen. Das ist jetzt geschehen. Seit dem 27.6.2021 sind die neuen Vorlagen maßgeblich. Verträge auf der Basis der alten Vertragsmuster müssen bis zum 27. Dezember 2022 angepasst werden.

Völlig neu: Vertragsmuster für die Auftragsverarbeitung
Völlig neu ist das Set von Musterverträgen für die Auftragsverarbeitung. Die Auftragsverarbeitung kommt vor allem ins Spiel, wenn ein Unternehmen externe Dienstleister einschaltet. Sie brauchen oft personenbezogene Daten von Kunden oder auch Mitarbeitern. Das sind typische Anwendungsfälle der Auftragsverarbeitung.

Sie passen auch innerhalb Deutschlands
Für die neuen „Standardvertragsklauseln zwischen Verantwortlichen und Auftragsverarbeitern“ ist es gleichgültig, ob der Dienstleister in Deutschland ansässig ist oder sonst wo in der EU. Sie sind gerade für den Fall gedacht, dass zwei Unternehmen innerhalb der EU eine Auftragsverarbeitung vereinbaren. Aber auch wenn die beteiligten Unternehmen in Deutschland ansässig sind, können sie die Klauseln verwenden. Sollte der Auftragsverarbeiter dagegen in einem Drittstaat ansässig sein, kommen die Standardvertragsklauseln für die Datenübermittlung in Drittstaaten zur Anwendung. Sie decken den besonderen Fall der Auftragsverarbeitung gewissermaßen mit ab.

Der „modulare Aufbau“ macht vieles leichter
Eine wichtige Neuerung bei allen Vertragsmustern ist der „modulare Aufbau“. Er soll ihre Anwendung so einfach wie möglich machen. Er prägt besonders die Vertragsmuster für die Übermittlung in Drittländer. Dort sind vier Module vorgesehen. Sie gehen auf die jeweilige Situation der beteiligten Unternehmen ein. So erfasst Modul 1 die Situation, dass die beteiligten Unternehmen sich sozusagen auf Augenhöhe gegenüberstehen. Dies ist dann der Fall, wenn die Datenübermittlung zwischen zwei gleichberechtigten Verantwortlichen stattfindet. Modul 2 passt dagegen für die Situation, dass ein Unternehmen in der EU Daten an einen Auftragsverarbeiter in einem Drittstaat übermittelt. Die Wahl des richtigen Moduls ist viel einfacher, als es zunächst wirkt. Und dann kann man gleich anfangen, das Vertragsmuster auszufüllen.    

Mehr lesen