Blog

Aktuelle Informationen zum Thema Datenschutz

Was ist Scoring? 

13 März 2022
3D-Darstellung eines konzeptionellen Messgeräts mit Nadel, die auf ausgezeichnet zeigt. Geschäftskredit-Score-Konzept.

„Scoring-Verfahren“ und „Score-Werte“ sind aus der Wirtschaft nicht mehr wegzudenken. Meist geht es dabei um die Einschätzung der Kreditwürdigkeit. Und Kredit nimmt man viel häufiger in Anspruch, als vielen bewusst ist. 

Kredit ist häufiger als zunächst vermutet 

Wer bei einer Bank einen Ratenkredit aufnimmt, ist sich darüber klar: Den Kredit bekommt er von der Bank nur, wenn er auch kreditwürdig ist. Aber wenn er mit einem Händler eine Ratenzahlung vereinbart, gilt das genauso. Und wer einen Handyvertrag abschließt, nimmt ebenfalls Kredit in Anspruch. Schließlich zahlt er die Rechnung immer erst im Nachhinein.  

Die Kreditwürdigkeit ist ein wichtiger Aspekt 

Wer Kredit gewährt, steht vor dem Problem, die Kreditwürdigkeit seines Vertragspartners zuverlässig einzuschätzen. Das bloße Bauchgefühl ist dabei ein schlechter Ratgeber. Nötig sind rationale Kriterien, die sich objektiv nachvollziehen lassen. 

Score-Werte ermöglichen objektive Aussagen 

An dieser Stelle kommen Score-Werte ins Spiel. Sie knüpfen an Tatsachen an, die Rückschlüsse auf die Kreditwürdigkeit erlauben. Hierzu ein Beispiel: Wer in einem unbefristeten Arbeitsverhältnis steht, wird seltener zahlungsunfähig als jemand, dessen Arbeitsverhältnis befristet ist. Ob diese Aussage stimmt, muss der Kreditgeber im Ernstfall mit statistischen Methoden nachweisen.  

Sie müssen auf aussagekräftigen Tatsachen beruhen 

Aus der Sicht des Datenschutzes ist zunächst wichtig, welche Tatsachen in einen Score-Wert einfließen dürfen. Stets muss es sich um Faktoren handeln, deren Eignung sich nachprüfen lässt. Praktisches Beispiel: frühere Kredite, die der Kreditnehmer ordnungsgemäß zurückgezahlt hat.  

Es dürfen aber auch allgemeine Erfahrungen einfließen. So wäre es etwa denkbar, dass Hauseigentümer Kredite zuverlässiger zurückzahlen als Personen, die keine Hauseigentümer sind. Genausogut könnte es aber umgekehrt sein. Grund hierfür könnte sein, dass Hauseigentümer wegen der Belastungen durch das Haus über weniger Geld verfügen. Wie auch immer: Solche Aussagen müssen sich mit statistischen Mitteln begründen lassen. 

Diskriminierungen sind verboten 

Äußerst umstritten ist es, ob berücksichtigt werden darf, in welchem Stadtviertel oder in welcher Straße jemand wohnt. Ein solcher Ansatz kann schnell zu einer unzulässigen Diskriminierung führen.  

Besonders deutlich wird dies an folgendem Beispiel: In einem bestimmten Haus wohnen mehrere Personen, die in der Vergangenheit Kredite nicht ordnungsgemäß zurückgezahlt haben. Jemand zieht neu in dieses Haus. Der Rückschluss, dass auch diese Person Kredite nicht ordnungsgemäß zurückzahlen wird, würde sie unzulässig diskriminieren. 

Ein Score-Wert ist ein Punktwert 

Für jedes einzelne Merkmal der Kreditwürdigkeit werden Bewertungspunkte vergeben. Die Summe dieser Bewertungspunkte ist der Score-Wert. Der Kreditgeber entscheidet, wie hoch der Wert sein muss, damit er noch einen Kredit gewährt. Hier darf jeder Kreditgeber seine eigenen Maßstäbe anlegen. Welches Risiko er noch eingehen will und welches nicht mehr, ist Teil seiner Geschäftspolitik. 

Auskunfteien berechnen ihn als Dienstleister 

Die wenigsten Kreditgeber berechnen Score-Werte selbst. Dazu fehlt ihnen in aller Regel das Know-how. Sie schalten deshalb Auskunfteien als Dienstleister ein. Sehr bekannt ist in diesem Zusammenhang die SCHUFA. Es gibt aber auch kleinere Auskunfteien, die beispielsweise nur für bestimmte Branchen tätig sind. 

Die Rechtsprechung zu Auskunfteien ist detailliert 

Das Geschäftsmodell der Auskunfteien ist vom Grundsatz her datenschutzrechtlich in Ordnung. Sie müssen jedoch eine Vielzahl von Grundsätzen beachten, die sich aus Entscheidungen von Gerichten ergeben. Das gilt beispielsweise dafür, wie lange negative Tatsachen berücksichtigt werden dürfen. Auch hier gibt es so etwas wie ein Recht auf Vergessen. Zu früh darf dieses Vergessen aber nicht einsetzen. Sonst gefährdet das die berechtigten Interessen von Kreditgebern. 

Betroffene haben Anspruch auf Auskunft 

Wer von einem Score-Wert betroffen ist, kann Auskunft über den Score-Wert verlangen. Er kann auch Auskunft darüber verlangen, welche Tatsachen verwendet wurden, um den Score-Wert zu ermitteln. Die Berechnungsmethode im Einzelnen zählt allerdings zu den Geschäftsgeheimnissen. Darüber kann eine betroffene Person keine Auskunft verlangen. Score-Werte werden jedes Jahr millionenfach erstellt. Gemessen daran gibt es erfreulich wenige berechtigte Beschwerden. 

Mehr lesen

Offene Mailverteiler

13 Februar 2022

Verstärktes Homeoffice hat dazu geführt, dass noch mehr Mails verschickt werden als bisher. Häufig sind das Mails an mehrere Adressaten. Damit taucht das Problem der „offenen Mailverteiler“ auf.

Bei Mails an mehrere Empfänger gibt es drei Adress-Varianten

Wer dieselbe Mail an mehrere Adressaten schicken will, kann dies auf drei Weisen tun:

  • Bei Variante 1 kommen die Mail-Adressen aller Adressaten in das „An-Feld“.
  • Bei Variante 2 kommt nur die Mail-Adresse eines Adressaten in das „An-Feld“. Die Mail-Adressen aller anderen Adressaten werden in das „Cc-Feld“ eingetragen.
  • Bei Variante 3 steht im „An-Feld“ ebenfalls nur die Maildresse eines Adressaten. Die Mail-Adressen aller anderen Adressaten werden in das „Bcc-Feld“ eingetragen.

Entscheidend ist: Wer kann was sehen?

Datenschutzrechtlich ist relevant, wer jeweils sehen kann, welche anderen Adressaten die Mail noch erhalten haben. Das macht einen erheblichen Unterschied bei den drei Varianten:

  • Bei Variante 1 sehen alle Adressaten gegenseitig, wer die Mail sonst noch bekommen hat.
  • Bei Variante 2 ist das im Ergebnis genauso. Sie macht zwar einen Unterschied zwischen dem „unmittelbaren Adressaten“ im „An-Feld“ und den anderen Adressaten im „Cc-Feld“. Diese erhalten nur eine Kopie der Mail an den unmittelbaren Adressaten. Das wirkt sich aber letztlich nicht aus: Jeder kann alle anderen Adressaten sehen.
  • Bei Variante 3 ist das ganz anders. Denn „Bcc“ steht für „Blind Carbon Copy“. Das bedeutet, dass diese Empfänger nicht erkennen können, wer diese Mail sonst noch erhalten hat.

Jede Variante hat ihren legitimen Anwendungsbereich

Keine der drei Varianten ist von vornherein etwas Böses. Sie sind für unterschiedliche Situationen gedacht:

  • Variante 1 passt beispielsweise, wenn mehrere Kollegen in einem Team gleichberechtigt an einem Projekt arbeiten. Sie kennen einander und jeder soll und muss alles sehen können, was die Teammitglieder einander schreiben.
  • Variante 2 eignet sich zum Beispiel dann, wenn zwei Mail-Partner Informationen austauschen und dabei etwas ansprechen, das im konkreten Fall noch jemand wissen muss. Beispiel: Zwei Mitarbeiterinnen des Unternehmens besprechen etwas, das voraussichtlich zu Ausgaben für das Unternehmen führt. Selbst budgetverantwortlich sind sie aber nicht. Dann muss der Budgetverantwortliche wissen, was sie vorhaben. Deshalb erhält er eine „offene Kopie“.
  • Variante 3 ist das Mittel der Wahl, wenn die Adressaten der Mail nichts miteinander zu tun haben und nichts voneinander wissen sollen. Klassisches Beispiel: Eine Marketing-Mail geht an alle Kunden eines Unternehmens.

Der Unterschied hat auch wirtschaftliche Bedeutung

Besonders dieses Beispiel macht klar, dass es bei der Wahl des richtigen Adressatenfelds nicht um eine datenschutzrechtliche Spitzfindigkeit geht. Wer beispielsweise beim Versand einer Marketing-Mail alle Kunden in das „An-Feld“ einträgt, legt den kompletten Kundenverteiler des Unternehmens für alle anderen Kunden sichtbar nach außen offen. Dasselbe gilt, wenn alle Kunden im „Cc-Feld“ stehen und im „An-Feld“ beispielsweise die eigene Mail-Adresse des Absenders. Das ist dann jeweils auch eine Datenschutzfrage. Unabhängig davon verletzt ein solches Vorgehen aber auch wirtschaftliche Interessen des Unternehmens in massiver Weise.

Mail-Adressen sind in der Regel personenbezogen

Warum ist es aber auch eine Datenschutzfrage? Das liegt daran, dass jedenfalls E-Mail-Adressen, die die Namen von Personen enthalten, personenbezogene Daten darstellen. Das gilt auch dann, wenn es sich um die dienstliche Adresse einer Person handelt, also nicht nur bei privaten Mail-Adressen.

Eine unbefugte Weitergabe verletzt den Datenschutz

Sind solche Mail-Adressen für einen anderen sichtbar, obwohl dies gar nicht notwendig ist, verletzt das den Datenschutz. Die Weitergabe der Mail-Adresse ist dann als unbefugt anzusehen.

Verstöße müssen der Datenschutzaufsicht gemeldet werden

Die Folgen für das betroffene Unternehmen sind ausgesprochen unangenehm. Die Datenschutz-Grundverordnung (DSGVO) sieht vor, dass Datenschutzverstöße grundsätzlich der Datenschutzaufsicht zu melden sind. Dafür gibt es auf den Internetseiten der Aufsichtsbehörden sogar eigene Meldeformulare.

Ausnahmen von dieser Meldepflicht gibt es nur dann, wenn nicht mit einer Beeinträchtigung berechtigter Interessen zu rechnen ist. Diese Ausnahmen greifen hier aber nicht. Denn niemand kann ausschließen, dass offene Mail-Adressen missbraucht werden, für was auch immer. Ein Beispiel hierfür wäre die Zusendung unerwünschter Werbung. Alle im Unternehmen sollten deshalb genau beachten, wie sie mit Mailverteilern korrekt umgehen.


Mehr lesen

Dropbox, Google Drive & Co: Darum kann Eigeninitiative gefährlich sein

25 Januar 2022

Legen Sie Daten in einem Cloud-Speicher wie Google Drive ab, können Sie über das Internet von überall darauf zugreifen. Für das flexible Arbeiten im Homeoffice und unterwegs ist das ideal. Für den Datenschutz aber sieht das ganz anders aus.

Das Ziel: Daten speichern, austauschen und sichern

Wer im Homeoffice oder unterwegs arbeitet, muss manchmal kreativ sein, so scheint es. Viele Möglichkeiten, die im Büro bestehen, hat man außerhalb des Unternehmens nicht. Wollen Sie zum Beispiel wichtige Daten speichern, erscheint die Ablage allein auf dem Notebook oder Tablet nicht ausreichend. Was passiert, wenn das Endgerät verloren geht? Dann war alle Arbeit umsonst.

Im Büro können Sie Ihre Daten in einem Verzeichnis im Netzwerk ablegen. Dort können auch Kolleginnen und Kollegen, die mit den Daten arbeiten müssen, bequem darauf zugreifen. Sind Sie aber unterwegs oder im Homeoffice, fehlen mitunter diese Möglichkeiten zur Speicherung im Netzwerk und zum Datenaustausch. Auch die regelmäßigen Backups lassen sich nicht so einfach zentral durchführen, wenn Sie unterwegs oder im heimischen Büro arbeiten.

Bietet das Unternehmen keine entsprechende Unterstützung oder kennt man die vorgesehenen Lösungen zur Datenspeicherung und zum Datentransfer nicht, wird man schnell erfinderisch. Da gibt es doch Lösungen wie Google Drive oder Dropbox, die sich privat bereits bewährt haben. Erkennen Sie sich wieder? Damit sind Sie nicht allein – leider, aus Sicht des Datenschutzes.

Das Problem: Die sogenannte Schatten-IT

Wählen Sie als Nutzer selbst die Lösungen aus, mit denen Sie Daten speichern und austauschen wollen, sorgen Sie für sogenannte Schatten-IT. Gemeint sind damit IT-Lösungen, die die zuständige Stelle im Unternehmen nicht geprüft und genehmigt hat.

Nutzen Sie ungeprüfte und betrieblich nicht freigegebene Lösungen, können damit Risiken für die Daten verbunden sein, die der IT-Abteilung im Unternehmen nicht bekannt sind. Und diese Risiken lassen sich deshalb auch nicht mit den notwendigen IT-Sicherheitslösungen abwenden. Das ist gerade bei den Cloud-Speichern der Fall, die jeder einfach, schnell und meist kostenlos nutzen kann.

Die dringende Empfehlung: Bitte keine Eigeninitiative bei der Datenspeicherung

Normalerweise freut sich jedes Unternehmen über die Eigeninitiative der Mitarbeiterinnen und Mitarbeiter. Doch wenn es um die Sicherheit der Daten und die Einhaltung des Datenschutzes geht, ist es weder gut noch gewünscht, selbst nach Lösungen zu suchen.

Betriebliche Daten dürfen nur in betrieblich genehmigten Lösungen gespeichert und darüber ausgetauscht werden. Andernfalls können die Daten in Gefahr geraten, weil die Sicherheit von Lösungen für private Zwecke nicht den hohen Anforderungen eines Unternehmens entspricht. Zudem kann es gerade bei Cloud-Speichern passieren, dass die personenbezogenen Daten in ein Land übermittelt werden, das nicht ohne Weiteres das notwendige Datenschutzniveau bietet.

Verwenden Sie deshalb nur betrieblich genehmigte Anwendungen, auch im Homeoffice und unterwegs! Kennen Sie die Lösung nicht, fragen Sie bitte nach.

Mehr lesen

Gesichtserkennung, Fingerscan & Co.: Bequem, aber nicht ohne Risiko

20 Januar 2022
Passwörter muss man sich merken, seine Fingerabdrücke nicht. Entsprechend beliebt sind biometrische Verfahren bei der Anmeldung für Geräte und Applikationen. Doch der Datenschutz warnt davor, Biometrie vorschnell einzuführen. Warum eigentlich?

Werden Passwörter bald überflüssig?

In einer Umfrage von Cisco unter 500 Anwenderinnen und Anwendern zeigte sich, dass Fingerabdrücke ein beliebter Ersatz für Passwörter sind. Mehr als die Hälfte (55 Prozent) fühlt sich wohl dabei, den Fingerabdruck für den Zugang zu einem Online-Konto zu verwenden. 40 Prozent haben nichts gegen eine Gesichtserkennung einzuwenden.

Tatsächlich ersetzen Unternehmen den Passwortschutz zunehmend durch andere Sicherheitsverfahren. Das gilt vor allem für die Nutzung der Biometrie in Form von Fingerabdrücken und Gesichtserkennung. Smartphones und andere mobile Endgeräte haben Funktionen zur Anmeldung über Fingerabdruck oder Gesichtserkennung gleich an Bord. Entsprechend häufig erfolgt auch die Anmeldung darüber, wenn sich Beschäftigte im Homeoffice befinden oder unterwegs arbeiten.

Laut einer Umfrage der FIDO Alliance unter 1.000 befragten Deutschen gelten biometrische Verfahren nicht nur als bequem, sondern auch als sicherste Art der Identitätsprüfung. Viele Studien gehen deshalb davon aus, dass Passwörter kaum noch eine Zukunft haben, die Biometrie wird sie ersetzen.

Sollte sich der Datenschutz darüber nicht freuen, wo doch so große Probleme mit ausreichend starken Passwörtern bestehen? Ja und nein, lautet die Antwort.

Passwörter kann man tauschen, Fingerabdrücke nicht

Wollen Unternehmen biometrische Lösungen einsetzen, fordert der Datenschutz, die Risiken genau zu prüfen. Dafür gibt es gute Gründe: Biometrische Daten und ihre Analyse eignen sich zwar sehr gut als Identitätsnachweis. Gelangen biometrische Daten aber in die falschen Hände, lassen sie sich für einen Identitätsdiebstahl nutzen.

Haben Angreifer Passwörter gestohlen, kann und muss man sie ersetzen. Bei biometrischen Merkmalen wie den Fingerabdrücken oder dem Gesicht kann man jedoch nicht beliebig neue, eindeutige Kennzeichen wählen. Man hat nur ein Gesicht und eine begrenzte Zahl von Fingerkuppen.

Biometrische Daten lassen sich missbrauchen

Im Gegensatz zu einem Passwort, das sich bekanntlich nicht mit der jeweiligen Person in Verbindung bringen lassen sollte, also zum Beispiel nicht den Namen enthalten soll, haben biometrische Daten sehr wohl mit der Person zu tun. So lässt sich ein Gesichtsausdruck nicht nur nutzen, um eine Person zu identifizieren. Es sind auch weitere Analysen möglich, wie eine Studie des EU-Parlaments warnt. So könnten sich darüber zum Beispiel menschliche Zustände der betroffenen Person leichter identifizieren lassen, wie Angst, Müdigkeit oder Krankheit, so die Studie.

Biometrie erfordert hohe Sicherheit

Wer also den Komfort einer Anmeldung über Gesichtserkennung oder Fingerabdruck nutzen will, muss das Verfahren besonders gut absichern. Das will der Datenschutz sicherstellen, um Missbrauch zu verhindern. Aus diesem Grund fordert der Datenschutz eine Prüfung vor der Einführung von Biometrie – nicht um die Passwort-Probleme zu erhalten, sondern um die Daten der betroffenen Personen zu schützen.

Denken Sie deshalb auch bei privater Nutzung von Fingerscan und Gesichtserkennung daran, nicht einfach jedes Verfahren zu verwenden. Stehlen Angreifer Ihre biometrischen Muster, sind Ihre privaten und beruflichen Zugänge in Gefahr, wenn sie durch Biometrie geschützt werden.

Kennen Sie die Risiken der Biometrie? Machen Sie den Test!

Frage: Die Erkennung von Fingerabdrücken ist sicher, denn einen Fingerabdruck kann niemand fälschen. Stimmt das?

  1. Nein, man muss Fingerabdrücke nämlich nicht fälschen, um eine Identität vorzutäuschen. Man kann die Muster der Fingerabdrücke auch stehlen, um sie zu missbrauchen.
  2. Ja, Fingerabdrücke sind im Gegensatz zu Passwörtern absolut sicher.

Lösung: Die Antwort 1. ist richtig. Aus den Fingerabdrücken der Nutzerinnen und Nutzer werden bei biometrischen Anmeldeverfahren Muster errechnet und gespeichert. Gelingt es einem Angreifer, diese errechneten Muster zu stehlen, kann er die biometrische Überprüfung der Identität täuschen und die Identität der Person übernehmen. Biometrische Verfahren müssen deshalb gegen Angriffe abgesichert sein.

Frage: Biometrische Daten lassen sich nicht für andere Zwecke missbrauchen. Stimmt das?

  1. Ja, man nutzt die Fingerabdrücke und die Gesichtserkennung nur, um die Identität einer Person zu prüfen.
  2. Nein, biometrische Kennzeichen können mehr über eine Person verraten als die zu prüfende Identität.

Lösung: Die Antwort 2. ist richtig. So kann man zum Beispiel aus einem Gesichtsausdruck mittels Analyse versuchen, Rückschlüsse auf Stimmungen, auf das Alter oder auf Anzeichen für Krankheiten zu ziehen. Biometrische Merkmale sind nicht nur ein möglicher Passwortersatz, sie sind Teil des menschlichen Körpers und können deshalb auch mehr über die Person aussagen als ein sinnvoll gewähltes Passwort, das bekanntlich keine personenbezogenen Angaben enthalten sollte.

Mehr lesen

Drucker, Dokumente und digitale Transformation

22 Dezember 2021

Auch wenn die Corona-Pandemie die Digitalisierung weiter beschleunigt hat: Papierdokumente spielen weiterhin eine wichtige Rolle und enthalten personenbezogene Daten. Vergessen Sie deshalb bei den Schutzmaßnahmen auch das Papier nicht. Gerade im Homeoffice könnte dies leicht geschehen.

Das digitale Büro bleibt Zukunft

Schon lange wird über das digitale Büro gesprochen: Alles wird digitalisiert, Aktenordner verschwinden. Doch diese Vorstellung ist auch heute noch Zukunftsmusik. Bisher verwenden erst 48 Prozent der Unternehmen Lösungen, um Dokumente zu digitalisieren, wie der Digitalverband Bitkom berichtet hat.

So kommt es auch, dass es weiterhin viele Dokumente in Papierform gibt, die personenbezogene Daten enthalten und die deshalb zu schützen sind. Dabei befinden sich die Papierdokumente nicht nur im verschlossenen Aktenschrank.

Vertrauliche Unterlagen pendeln zwischen Büro und Homeoffice

Viele Papierdokumente werden auch außerhalb des Büros und Firmengebäudes genutzt und aufbewahrt.  Die Tätigkeit im Homeoffice und die mobile Arbeit unterwegs haben dies noch verstärkt. Wo in Zukunft die sogenannte Hybride Arbeit als Mischung aus Büro und Homeoffice zum betrieblichen Alltag wird, hat dies auch Folgen für die Papierdokumente.

So transportieren die Beschäftigten dann Akten und andere Dokumente in Papierform zwischen den verschiedenen Arbeitsorten. Es kann etwa sein, dass jemand einen aktuellen Kundenvorgang im Homeoffice ausdruckt und dann später mit ins Büro nimmt, um das Dokument in der entsprechenden Akte abzulegen. Bei diesem Transport jedoch könnte das Dokument verloren gehen oder gar gestohlen werden.

Drucker sind ein mehrfaches Angriffsziel

Aber auch der Ausdruck selbst im Homeoffice birgt Risiken. Viele Drucker werden inzwischen in das WLAN im Homeoffice eingebunden. Manche sind sogar direkt über das Internet zu erreichen, damit man auch unterwegs etwas drucken kann, das dann im Homeoffice wartet.

Cyber-Attacken haben vernetzte Drucker im Visier. Es gibt aktuelle Beispiele, dass Cyberkriminelle Schwachstellen in Verbindung mit Druckern aktiv ausnutzen. Dabei bieten Drucker gleich mehrere Angriffsziele: Angreifer könnten ungeschützte Druckverbindungen abhören, ungeschützte Datenspeicher im Drucker auslesen, dort Malware deponieren und den unzureichend geschützten Drucker als heimlichen Zugang zum Endgerät und ins Netzwerk nutzen.

Mehr Datenschutz für Dokumente und Drucker

Denken Sie bei der digitalen Transformation deshalb nicht nur an den digitalen Datenschutz, sondern auch an Papierdokumente und an die Drucker, die Dokumente in Papierform ausgeben.

Andernfalls könnten Dokumente und Drucker zum Datenleck werden – sei es bei der unsicheren Lagerung, dem ungeschützten Transport oder der fehlerhaften Entsorgung über den normalen Papiermüll. Auch im Homeoffice und unterwegs müssen angemessene Schutzmaßnahmen verfügbar sein, wie zum Beispiel ein Papierschredder, der dem Schutzbedarf der Dokumente, die entsorgt werden sollen, entspricht.

Denken Sie nicht zuletzt daran, dass der Schreibtisch im Homeoffice kein sicherer Ort ist, um Akten aufzubewahren. Ein Homeoffice-Arbeitsplatz kann viel mehr „Publikumsverkehr“ haben als so manches Büro.

Haben Sie Ihre Papierdokumente im Griff? Machen Sie den Test!

Frage: Der Datenschutz betrifft nur Dateien, nicht aber Papierdokumente. Stimmt das?

  1. Nein, auch Papierdokumente können zu schützende personenbezogene Daten enthalten.
  2. Ja, denn der Datenschutz gilt nur für die automatisierte Verarbeitung personenbezogener Daten.

Lösung: Die Antwort 1. ist richtig. Die Datenschutz-Grundverordnung (DSGVO) gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten, aber auch für die nicht automatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Unter Dateisystem versteht die DSGVO jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, also zum Beispiel auch gedruckte Kundenlisten in einem Aktenordner.

Frage: Drucker im Homeoffice sind über das Internet nicht zu erreichen. Stimmt das?

  1. Ja, ist die Tür zum Homeoffice abgeschlossen, kann niemand an den Drucker.
  2. Nein, über WLAN und teils über das offene Internet könnten Drucker für Angreifer erreichbar sein.

Lösung: Die Antwort 2. ist richtig. Inzwischen werden gerade im Homeoffice die meisten Drucker über WLAN angebunden. Schwachstellen im WLAN könnten damit Dritten Zugang zum Drucker und den darauf gespeicherten Druckdaten geben. Zudem bieten viele Druckermodelle eine direkte Verbindung ins Internet und haben eine eigene E-Mail-Adresse. Das macht es möglich, von unterwegs über das Internet darauf zu drucken. Damit sind aber auch Cyberattacken auf diese Drucker möglich. Die Daten, die auf der Festplatte des Druckers liegen, könnten auf diesem Weg ebenso in Gefahr geraten wie die Daten, die für einen Ausdruck auf den Drucker temporär übermittelt werden.

Mehr lesen

Kostenlose Muster der EU für Datenschutzverträge

20 Dezember 2021

Kostenlose Vertragsmuster, frei verwendbar – das bietet die EU für die Auftragsverarbeitung und für die Datenübermittlung in „Drittstaaten“ wie die USA. Diese nützlichen Arbeitsinstrumente sollte man kennen.

Dokumentation ist alles
Verträge über die Verarbeitung von personenbezogenen Daten müssen dokumentiert sein. Mündliche Verträge reichen nicht. Das ist allgemein bekannt. Denn sonst lässt sich nicht nachweisen, dass der Datenschutz eingehalten ist. Aber wo findet man rechtssichere Muster? Für zwei wichtige Konstellationen fällt die Antwort inzwischen leicht: Im Juni 2021 hat die Europäische Kommission offizielle Vertragsmuster veröffentlicht, die sich mit den beiden Themen „Datenübermittlung in Drittstaaten“ und „Auftragsverarbeitung“ befassen.

Die Vertragsmuster sind frei verfügbar
Diese Muster darf jeder frei verwenden. Das verletzt in keiner Weise irgendein Urheberrecht. Die Muster stehen kostenlos zur Verfügung. Und zwar in allen 24 Amtssprachen der EU. Alles in offizieller Übersetzung, angefertigt von den Profis des EU-Übersetzungsdienstes. Vorlagen dieser Qualität könnten selbst große Unternehmen nur mit enormem Aufwand erstellen. Es handelt sich also um einen erheblichen Service der EU-Kommission.

Es gibt „sichere“ und „unsichere“ Drittstaaten
Ein Set von Musterverträgen befasst sich mit der Datenübermittlung in Drittstaaten. Drittstaaten sind alle Staaten, die kein Mitglied der EU sind. Für manche dieser Drittstaaten hat die Europäische Kommission offiziell festgestellt, dass sie gewissermaßen als „datenschutzrechtlich sicher“ gelten. Das ist etwa bei der Schweiz oder auch bei Japan der Fall. Für die meisten Drittstaaten gibt es eine solche Feststellung aber nicht. Wichtigstes Beispiel hierfür sind die USA.

Die Muster sorgen für Rechtssicherheit
Bei diesen „unsicheren“ Drittstaaten braucht man besondere Rechtsgrundlagen, um personenbezogene Daten an Unternehmen in diesen Staaten übermitteln zu dürfen. Ein wichtiges Rechtsinstrument hierfür sind die „EU-Standardvertragsklauseln“. Sie können verwendet werden, wenn ein Unternehmen in der EU personenbezogene Daten an Unternehmen in einen „unsicheren“ Drittstaat übermittelt.

Stichtag für die neuen Muster war der 27.6.2021
Die bisherigen Musterverträge der EU für die Übermittlung in Drittstaaten waren schon über zehn Jahre alt. In dieser Zeit gab es viele neue technische, aber auch rechtliche Entwicklungen. Schon deshalb war es notwendig, die Musterverträge anzupassen. Das ist jetzt geschehen. Seit dem 27.6.2021 sind die neuen Vorlagen maßgeblich. Verträge auf der Basis der alten Vertragsmuster müssen bis zum 27. Dezember 2022 angepasst werden.

Völlig neu: Vertragsmuster für die Auftragsverarbeitung
Völlig neu ist das Set von Musterverträgen für die Auftragsverarbeitung. Die Auftragsverarbeitung kommt vor allem ins Spiel, wenn ein Unternehmen externe Dienstleister einschaltet. Sie brauchen oft personenbezogene Daten von Kunden oder auch Mitarbeitern. Das sind typische Anwendungsfälle der Auftragsverarbeitung.

Sie passen auch innerhalb Deutschlands
Für die neuen „Standardvertragsklauseln zwischen Verantwortlichen und Auftragsverarbeitern“ ist es gleichgültig, ob der Dienstleister in Deutschland ansässig ist oder sonst wo in der EU. Sie sind gerade für den Fall gedacht, dass zwei Unternehmen innerhalb der EU eine Auftragsverarbeitung vereinbaren. Aber auch wenn die beteiligten Unternehmen in Deutschland ansässig sind, können sie die Klauseln verwenden. Sollte der Auftragsverarbeiter dagegen in einem Drittstaat ansässig sein, kommen die Standardvertragsklauseln für die Datenübermittlung in Drittstaaten zur Anwendung. Sie decken den besonderen Fall der Auftragsverarbeitung gewissermaßen mit ab.

Der „modulare Aufbau“ macht vieles leichter
Eine wichtige Neuerung bei allen Vertragsmustern ist der „modulare Aufbau“. Er soll ihre Anwendung so einfach wie möglich machen. Er prägt besonders die Vertragsmuster für die Übermittlung in Drittländer. Dort sind vier Module vorgesehen. Sie gehen auf die jeweilige Situation der beteiligten Unternehmen ein. So erfasst Modul 1 die Situation, dass die beteiligten Unternehmen sich sozusagen auf Augenhöhe gegenüberstehen. Dies ist dann der Fall, wenn die Datenübermittlung zwischen zwei gleichberechtigten Verantwortlichen stattfindet. Modul 2 passt dagegen für die Situation, dass ein Unternehmen in der EU Daten an einen Auftragsverarbeiter in einem Drittstaat übermittelt. Die Wahl des richtigen Moduls ist viel einfacher, als es zunächst wirkt. Und dann kann man gleich anfangen, das Vertragsmuster auszufüllen.    

Mehr lesen

Wie Sie ein VPN einrichten und nutzen

15 November 2021

Ob im Homeoffice oder unterwegs: Für den Zugriff auf das Unternehmensnetzwerk soll nicht das offene Internet, sondern ein Virtual Private Network (VPN) genutzt werden. Doch wie funktioniert das in der Praxis? Lesen Sie wichtige Hinweise zur Einrichtung und Nutzung.

Flexible Arbeit hat Folgen für den Datenschutz

Nach dem Ende der Homeoffice-Pflicht sind bereits viele Beschäftigte in ihr bisheriges Büro zurückgekehrt. In vielen Fällen besteht aber weiterhin die Möglichkeit, zeitweise im Homeoffice zu arbeiten. Gleichzeitig finden wieder mehr Vor-Ort-Termine statt. Dadurch nimmt die mobile Arbeit wieder zu.

Die flexible Arbeitsumgebung hat aber Konsequenzen für den Schutz personenbezogener Daten. Die Datenrisiken im Büro, im Homeoffice und unterwegs können sehr verschieden sein. Die Maßnahmen für den Datenschutz sollten den jeweiligen Schutzbedarf berücksichtigen und damit auch den Arbeitsort.

Eines aber haben die Arbeitsorte außerhalb des Büros gemeinsam: Ist ein Zugriff auf das Unternehmensnetzwerk, auf betriebliche Applikationen oder auf Daten in der Unternehmens-Cloud nötig, kommt ein Dienst zum Aufbau eines VPN (Virtual Private Network) ins Spiel.

Sicherer Netzwerkzugang mit Virtual Private Networks

Nutzen Sie im Homeoffice oder bei der mobilen Arbeit VPN, kommt es zuerst einmal darauf an, den richtigen, vom Unternehmen freigegebenen VPN-Dienst zu verwenden. Im Internet kursieren viele Angebote für kostenlose VPN-Dienste. Doch VPN kann gegen Lauschangriffe durch Dritte auf die Verbindung zum Unternehmen schützen, nicht aber gegen denkbare Zugriffe durch den VPN-Anbieter selbst.

Es ist deshalb entscheidend, einen vertrauenswürdigen, sicheren VPN-Dienst einzusetzen. Die Auswahl trifft Ihr Arbeitgeber, nachdem er den VPN-Service geprüft hat. Sie selbst als Nutzer sollten deshalb keinen anderen VPN-Dienst als den jeweils freigegebenen verwenden. Wissen Sie nicht, welcher das ist, fragen Sie danach bei der im Unternehmen zuständigen Stelle.

VPN im Homeoffice

Sind Sie im Homeoffice tätig und wollen auf das Unternehmensnetzwerk zugreifen, verwenden Sie den VPN-Dienst in aller Regel über Ihren Desktop-PC oder Ihr Notebook. Je nach VPN-Service wird dazu einmalig ein VPN-Client auf dem Endgerät eingerichtet, der VPN-Dienst im Browser oder im Internet-Router konfiguriert oder in den Betriebssystemeinstellungen. Fragen Sie Ihre IT-Administration nach der entsprechenden Anleitung.

Wichtig ist, dass Sie das eingerichtete VPN auch nutzen. Dazu müssen Sie die VPN-Verbindung entsprechend aktivieren. Andernfalls haben Sie zwar die Voraussetzungen für VPN, nutzen aber trotzdem das offene Internet.

VPN unterwegs

Auch außerhalb des Homeoffice, zum Beispiel auf dem Weg vom Homeoffice in Ihr Büro im Unternehmen, kann es notwendig sein, mit Ihrem mobilen Endgerät auf das Firmennetzwerk oder auf betriebliche Cloud-Dienste zuzugreifen. Dazu sollte Ihr Smartphone oder Tablet entsprechend eingerichtet sein. Je nach VPN-Dienst gibt es dazu eine spezielle VPN-App, die Sie dann jeweils zuerst starten müssen, wenn Sie sich bei Firmensystemen anmelden wollen.

Mehr lesen

Die Praxisübernahme und das „Zwei-Schrank-Modell“

31 Oktober 2021

Was passiert eigentlich mit Behandlungsunterlagen, wenn eine Nachfolgerin oder ein Nachfolger eine Arztpraxis übernimmt oder wenn eine neue Betriebsärztin auf den bisherigen Betriebsarzt folgt? Das „Zwei-Schrank-Modell“ stellt in solchen Fällen den Datenschutz sicher.

Höchster Schutz für medizinische Daten

Wer sich ärztlich behandeln lässt, erwartet für seine Daten höchsten Schutz. Die ärztliche Schweigepflicht spielt dabei eine zentrale Rolle. Sie muss auch dann gewahrt bleiben, wenn ein Nachfolger eine Arztpraxis übernimmt oder wenn der Betriebsarzt wechselt.

Aufbewahrungspflicht von zehn Jahren

Rein rechtlich ist alles klar: Nach Abschluss einer Behandlung muss ein Arzt die Patientenakte zehn Jahre lang aufbewahren. Das steht so in § 630f Abs. 3 Bürgerliches Gesetzbuch (BGB). Diese Pflicht besteht fort, wenn ein Arzt beispielsweise in den Ruhestand tritt und die Praxis an einen Nachfolger übergibt. Die Patientenunterlagen müssen weiterhin zuverlässig geschützt sein.

Zu schnell steht die Aufbewahrungspflicht nur auf dem Papier

Doch wie lässt sich das in der Praxis sicherstellen? Der bisherige Praxisinhaber will sich im Ruhestand um die Unterlagen nicht mehr kümmern. Und ein Betriebsarzt, der ausgeschieden ist, hat inzwischen auch anderes zu tun. Verständlich, dass er sich mit den vorhandenen Unterlagen am liebsten nicht mehr befassen möchte.

Die Elemente des „Zwei-Schrank-Modells“

Einen Ausweg aus diesem Dilemma bietet das „Zwei-Schrank-Modell“. Die Datenschutzaufsichtsbehörden empfehlen es. Inzwischen ist es allgemein üblich. Für klassische Patientenakten auf Papier funktioniert es in einer Arztpraxis so:

  • Man stellt in der Arztpraxis zwei Schränke auf.
  • In Schrank 1 kommen die Unterlagen, die bei der Tätigkeit des bisherigen Praxisinhabers entstanden sind. Sie werden eingeschlossen.
  • Schrank 2 ist zunächst völlig leer.
  • Den Schlüssel für beide Schränke erhält der Praxisnachfolger.
  • Der bisherige Inhaber der Praxis und sein Nachfolger schließen einen Vertrag. Darin verpflichtet sich der Nachfolger, die vorhandenen Unterlagen streng gesichert in Schrank 1 aufzubewahren.
  • Kommt ein Patient des bisherigen Praxisinhabers zum Nachfolger, fragt dieser den Patienten, ob er den Zugriff auf die vorhandenen Unterlagen erlaubt.
  • Meist ist das der Fall. Dann wird Schrank 1 geöffnet und die dort vorhandenen Unterlagen des Patienten kommen in Schrank 2.
  • Nach einiger Zeit hat sich Schrank 1 meist ziemlich geleert und Schrank 2 ziemlich gefüllt.
  • Die „Restunterlagen“ in Schrank 1 bleiben dort, bis die Aufbewahrungsfrist von zehn Jahren abgelaufen ist. Dann werden diese Unterlagen datenschutzgerecht vernichtet.

Das Modell funktioniert auch bei elektronischen Unterlagen

Das Beispiel der klassischen Patientenakten auf Papier ist besonders leicht nachzuvollziehen. Das Modell funktioniert jedoch auch, wenn die Patientenunterlagen in elektronischer Form vorhanden sind. In wenigen Jahren dürfte das die Regel sein. In diesem Fall wird das „Zwei-Schrank-Modell“ einfach elektronisch nachgebildet.

Der vorhandene Datenbestand wird bei der Übergabe der Praxis gesperrt und besonders gegen Zugriff gesichert. Erst wenn der Patient gegenüber dem Praxisnachfolger zustimmt, schaltet der Praxisnachfolger den Datensatz frei. Das muss er selbstverständlich nicht unbedingt persönlich tun. Auch jemand aus dem Sprechstundenteam, der dafür besonders eingewiesen ist, kann das erledigen.

Besonders datenschutzkonform: die Protokollierung von Zugriffen

Die elektronische Variante ist besonders datenschutzkonform. Bei ihr ist es problemlos möglich, jeden Zugriff zu protokollieren. Wenn die Protokollierung richtig eingerichtet ist, lassen sich die gespeicherten Daten im Nachhinein nicht mehr verändern. Dann lässt sich bei etwaigen Beschwerden leicht feststellen, ob alles ordnungsgemäß abgelaufen ist oder nicht.

Kleine Besonderheiten beim Wechsel des Betriebsarztes möglich

Beim Wechsel des Betriebsarztes lässt sich das Modell an die Strukturen anpassen, die jeweils vorhanden sind. Manche Unternehmen haben die Funktion des Betriebsarztes bei einer externen Praxis angesiedelt, die auch die Patientenunterlagen aufbewahrt. Dann passt alles, was bisher gesagt wurde, 1:1. Bei anderen Unternehmen erfolgt die Aufbewahrung der Patientenunterlagen im Unternehmen selbst. Zugriff hat dabei selbstverständlich nur der Betriebsarzt. In diesem Fall müsste der Schlüssel für die vorhandenen Unterlagen so lange beim bisherigen Betriebsarzt bleiben, bis ein neuer Betriebsarzt bestimmt ist.

Mehr lesen

Schluss mit Spam: So arbeiten Spam-Filter mit mehr Erfolg

15 Oktober 2021

Unerwünschte Mails, Chat-Nachrichten und Anrufe – Spam hat viele Gesichter. Spam-Filter sollen die Spam-Flut eindämmen. Dazu müssen sie aber richtig eingesetzt werden. Werden sie nicht trainiert, bleiben Spam-Filter erfolglos und dumm, die Spam-Mails weiterhin eine Plage und ein Datenrisiko.

Spam ist mehr als lästig

Zu Beginn des Arbeitstags ruft man seine E-Mails ab, unter den erschreckend vielen Mails, die über Nacht eingetroffen sind, befinden sich zahlreiche Spam-Mails. Ist dies der Fall, sortiert der Mail-Server offensichtlich die Spam-Mails nicht oder nicht gut genug aus. Oder aber der lokale Spam-Filter im E-Mail-Programm verdient wohl seinen Namen nicht.

Wenn man aber viele Spam-Mails im Posteingang hat, ist dies nicht nur ärgerlich. Es kostet Zeit und Nerven, nicht zuletzt kann man versehentlich legitime Mails löschen oder Spam-Mails ungewollt öffnen. Wenn die Spam-Versender dann noch das Öffnen registrieren (über Mail-Tracking), wird die Zahl der Spam-Attacken weiter steigen. Bringt die Spam-Mail Schadsoftware mit, ist schnell der Computer oder das Smartphone verseucht.

Spam-Filter können helfen, wenn man ihnen hilft

Nun stellt sich die Frage, warum die genutzten Spam-Filter diese vielen lästigen und sogar gefährlichen Mails nicht aussortieren. Darauf gibt es mehr als eine Antwort. Zum einen werden die kriminellen Spam-Versender, die Spammer, immer besser. Viele Spam-Mails sind also inzwischen besser getarnt als früher. Dabei hilft den Spammern auch künstliche Intelligenz, die die Spam-Inhalte optimieren, ja sogar auf die Opfer gezielt anpassen kann.

Ein weiteres Problem sind die Spam-Filter selbst, die nicht so eingesetzt werden, wie es eigentlich sein soll. Auch in den Spam-Filtern wird inzwischen zunehmend Maschinelles Lernen eingesetzt. Sie sollen also mit der Zeit immer besser, also immer genauer werden, weniger Spam-Mails übersehen und möglichst keine legitime Mail als Spam einstufen. Dazu müssen die Nutzer aber mit den Spam-Filtern arbeiten.

Das richtige Training für Spam-Filter

Neue Spam-Filter sind relativ dumm. Treffen im Posteingang also viele Spam-Mails ein, sollte man diese nicht einfach löschen, sondern als Spam markieren. Das verschiebt diese Spam-Nachrichten nicht nur in den Spam-Ordner. Man teilt dem Spam-Filter auch mit, dass er einen Fehler gemacht hat.

Umgekehrt sollte man legitime Nachrichten, die in den Spam-Ordner geschoben wurden, von der Spam-Markierung befreien. Das verschiebt sie wieder in den Posteingang und trainiert erneut den Spam-Filter, denn auch hier hat er Fehler gemacht.

Natürlich wird der Spam-Filter nie alles richtig machen, aber er wird mit der Zeit besser. Je nach Anbieter für den Spam-Filter wird er auch durch externe Updates schlauer gemacht, aber ohne das Training durch Sie als Nutzer geht es nicht. Nur der Mail-Empfänger selbst kann die individuellen Vorgaben machen, die der Spam-Filter kennen muss. Diese Vorgaben macht man durch Markieren als Spam und durch Entfernen der Spam-Markierung.

Dies mag nach Aufwand aussehen, zahlt sich später aber aus. Ein gut trainierter Spam-Filter, der den Datenschutz beachtet, also nichts über den Nutzer verrät, ist ein wichtiger Teil der E-Mail-Sicherheit.

Haben Sie Spam-Mails im Griff? Machen Sie den Test!

Frage: Übersieht ein Spam-Filter viele Spam-Mails, lohnt sich der Einsatz nicht. Stimmt das?

  1. Nein, dann muss man den Spam-Filter besser trainieren, also die übersehenen Spam-Mails mit einer Markierung als Spam versehen.
  2. Ja, denn wenn man selbst die Spam-Mails aussortiert, braucht man keinen zusätzlichen Spam-Filter.

Lösung: Die Antwort 1 ist richtig. Spam-Filter müssen trainiert werden. Sie sollten schon zu Anfang möglichst viel (offensichtlichen) Spam erkennen und in den Spam-Ordner verschieben. Aber wenn ein Nutzer einen ungewöhnlichen Newsletter abonniert hat, ist eine Einstufung als Spam für Dritte vielleicht richtig, für den Nutzer selbst jedoch nicht. Nur der Nutzer kann die genauen Vorgaben machen.

Frage: Markiere ich etwas als Spam, verschiebt dies die Nachricht nur in den Spam-Ordner. Stimmt das?

  1. Ja, die Spam-Markierung sorgt für die Sortierung in „Spam“ und „kein Spam“.
  2. Nein, das trainiert zusätzlich den Spam-Filter. Die Wahrscheinlichkeit, dass der Filter in Zukunft selbst die Spam-Markierung richtig setzt, steigt.

Lösung: Die Antwort 2 ist richtig. Wer in seinem Mail-Programm etwas als Spam markiert, hilft dem Spam-Filter und räumt gleichzeitig auf. Wer dagegen Spam-Mails einfach löscht oder anders verschiebt, der teilt dem Spam-Filter nicht mit, dass er etwas übersehen hat. Doch nur mit diesem Training kann der Spam-Filter besser werden und der E-Mail-Sicherheit sowie dem Datenschutz in Zukunft besser helfen.

Spam-Filter gibt es übrigens nicht nur für E-Mail, sondern zum Beispiel auch für SMS und Anrufe auf dem Mobiltelefon sowie für Chat-Nachrichten. Denn auch darüber können Spammer unerwünschte Nachrichten senden.

Mehr lesen

Wann ist die Zugriffskontrolle durch Fingerabdruck erlaubt?

04 Oktober 2021

Der Scan des Fingerabdrucks schützt Rechner besonders effektiv vor unbefugten Zugriffen. In bestimmten Fällen darf der Arbeitgeber ausdrücklich verlangen, dass Beschäftigte diese Methode nutzen.

Fingerabdrücke sind besonders geschützt

Fingerabdrücke gehören zu den biometrischen Daten. Biometrische Daten sagen unmittelbar etwas über den Körper eines Menschen aus. Deshalb sind sie besonders geschützt. Ihre Verarbeitung ist nur unter engen Voraussetzungen zulässig. Das ordnet die Datenschutz-Grundverordnung (DSGVO) für biometrische Daten an, wenn sie „zur eindeutigen Identifizierung einer natürlichen Person“ geeignet sind.

Es passt zur Fürsorgepflicht des Arbeitgebers

Das gilt auch im Arbeitsleben. Daran ist nichts Überraschendes. Das Arbeitsrecht kennt die Fürsorgepflicht des Arbeitgebers. Sie bringt zum Ausdruck, dass die persönlichen Belange von Arbeitnehmerinnen und Arbeitnehmern im Arbeitsalltag wichtig sind. Sie schafft einen geschützten Rahmen, in dem der Arbeitnehmer seine Arbeitsleistung erbringt.

Die Einzelheiten regelt das BDSG

Manchmal ist eine ordnungsgemäße Arbeitsleistung nur möglich, wenn dabei Daten des Arbeitnehmers verarbeitet werden. Hierzu trifft das Bundesdatenschutzgesetz (BDSG) einige Regelungen. Solche ergänzenden nationalen Vorschriften macht die DSGVO für das Arbeitsleben ausdrücklich möglich.

Zweistufige rechtliche Prüfung bei Fingerabdrücken

Das BDSG sieht eine zweistufige Betrachtung vor. Dies lässt sich am Beispiel von Fingerabdrücken sehr gut zeigen:

  • Stufe 1: Zunächst muss feststehen, dass das Scannen von Fingerabdrücken notwendig ist, damit der Arbeitnehmer seine Arbeitsleistung ordnungsgemäß erbringen kann.
  • Stufe 2: Anschließend ist zu prüfen, ob im konkreten Einzelfall ausnahmsweise trotzdem schutzwürdige Interessen des Arbeitnehmers den Vorrang haben. Sollte das der Fall sein, wäre das Scannen zwar an sich erforderlich, aber im Ergebnis trotzdem nicht zulässig.

Im Normalfall ist ein Fingerabdruck-Scan übertrieben

Im normalen Büroalltag ist es nicht erforderlich, den Zugriff auf einen Rechner durch das Scannen eines Fingerabdrucks abzusichern. Sofern die „üblichen Bürodaten“ wie etwa Daten von Bestellungen und Lieferungen verarbeitet werden, wäre das schlicht übertrieben. Natürlich brauchen auch solche Daten einen Schutz gegen unbefugte Zugriffe. Dafür genügen aber die üblichen Mittel wie Passwörter und das Sperren des Bildschirms, wenn einige Zeit keine Eingabe mehr erfolgt ist.

Das macht den Büroalltag unbequemer

Für solche Situationen ist das Scannen von Fingerabdrücken nicht erforderlich. Damit fehlt es an den Voraussetzungen der Stufe 1. Der Arbeitgeber darf in diesen Fällen solche Scans nicht vorsehen. Dies gilt auch dann, wenn es den betroffenen Arbeitnehmern eigentlich ganz recht wäre. Denn für sie wäre es oft bequemer, den Daumen auf einen Scanner zu legen, statt ein Passwort einzugeben, das sie auch noch regelmäßig ändern müssen. Eine Betriebsvereinbarung zu dem Thema könnte weiterhelfen. Eine Einwilligung des Arbeitnehmers sehen die Datenschutzbehörden dagegen mit Skepsis.

In Sonderfällen ist ein Fingerabdruck-Scan geboten

Manchmal ist der Einsatz von Fingerabdruck-Scans erforderlich. Das gilt vor allem für sicherheitssensible Bereiche. Ein Beispiel hierfür ist die Arbeit an technischen Entwicklungen, die später zum Patent angemeldet werden sollen. Ein weiteres Beispiel ist die Durchführung von Aufträgen, die staatlichen Geheimhaltungsvorschriften unterliegen. Dies kommt etwa bei Lieferanten der Bundeswehr vor. Solche Fälle erfüllen die Voraussetzungen der Stufe 1.

Schutzwürdige Interessen stehen fast nie entgegen

Die Prüfung der Stufe 2 ergibt nur ganz selten, dass dennoch schutzwürdige Interessen von Arbeitnehmern als vorrangig anzusehen sind. Denn selbstverständlich wird der Arbeitnehmer schon im eigenen Interesse strikt darauf achten, wer beispielsweise Zugriff auf die Scan-Daten hat. Sonst würde der Schutz, den er mit ihrer Hilfe anstrebt, sofort wieder unterlaufen.

Schutzmaßnahmen brauchen immer ein Gesamtkonzept!

Als einzige Schutzmaßnahme reicht der Einsatz von Fingerabdruck-Scans normalerweise nicht aus. Vor allem das automatische Sperren des Bildschirms, wenn einige Zeit keine Eingabe erfolgt ist, ist zusätzlich notwendig. Und eine ganz banale Absicherung sollte man ebenfalls nie vergessen: Ein PC ist heutzutage so klein, dass er leicht in einer Tasche Platz findet. Es ist deshalb ein Schutz dagegen notwendig, dass ihn ein „Langfinger“ einfach mitnimmt. Jede einzelne Sicherungsmaßnahme taugt eben nur so viel wie das Gesamtkonzept, zu dem sie gehört!

Mehr lesen