Was Einwilligungen wert sind

Der Begriff der „Einwilligung“ spielt im Datenschutzrecht eine besondere Rolle. Denn das Bundesdatenschutzgesetz sieht für das Nutzen personenbezogener Daten anderer ein Verbot mit Erlaubnisvorbehalt vor. D.h. das Nutzen solcher Informationen ist grundsätzlich unzulässig, kann aber im Einzelfall und zu festgelegten Zwecken erlaubt sein. Erlaubt ist eine Nutzung personenbezogener Daten nur, wenn es dafür eine gesetzliche Grundlage gibt (z.B. eine Erfassungs- und Dokumentationspflicht) oder die Betroffenen der Nutzung zugestimmt haben; wenn sie also eine Einwilligung i.S.d. Datenschutzes abgegeben haben.

Hintergrund dafür ist das Recht auf informationelle Selbstbestimmung. Jeder soll über Speicherung und Nutzung seiner Daten frei entscheiden können.

Diese Einwilligung  hat daher auf einer freien Entscheidung des Betroffenen zu beruhen und muss im Regelfall schriftlich sowie bezogen auf einen bestimmten Zweck abgegeben werden (§4a BDSG).  Auch die Folgen einer Nicht-Einwilligung (z.B. das Nichtzustandekommens eines Geschäftes oder Vertrages) müssen aufgezeigt werden. Und hier beginnen die Dinge heikel zu werden. Denn wenn etwas Wichtiges wie z.B. ein Mietvertrag, eine neue Stelle usw. von dieser Einwilligung abhängt, kann ihre „Freiwilligkeit“ rechtlich durchaus bezweifelt werden.

Und so hat die Rechtsprechung auch im Laufe der Zeit den Standpunkt entwickelt, dass es z.B. Einwilligungen von Arbeitnehmern regelmäßig an der Freiwilligkeit mangelt, da sie in einem Abhängigkeitsverhältnis zu ihrem Arbeitgeber stehen. Hier ist der Arbeitgeber auf der sicheren Seite, wenn er sich auf die Daten beschränkt, deren Erhebung und Nutzung für den Beginn, die Fortführung oder die Beendigung der Beschäftigung erforderlich sind (§ 32 BDSG). Dazu dürften Kontonummern, Adress- und Sozialversicherungsdaten mit Bestimmtheit zählen. Weniger jedoch umfängliche Persönlichkeitsprofile oder die Ergebnisse mal mehr, mal weniger seriöser psychologischer Tests. Ebenso kritisch ist der Umgang mit Bewerberdaten zu sehen, da auch hier (vorvertragliche) Abhängigkeitsverhältnisse und Machtungleichgewichte vorliegen. Der Bewerber will den Job – notfalls auch mit Abgabe umfangreicher medizinischer Testdaten und sachfremder Analysen ohne Bezug zur konkreten Tätigkeit. Ein Umstand der auch nicht kollektivrechtlich, z.B. durch Abschluss von Betriebsvereinbarungen umgangen werden kann, da Betriebsvereinbarungen kein Ersatz für fehlende Rechtsgrundlagen oder individuelle Einwilligungen sind.

Die Sache wird nicht unbedingt einfacher dadurch, dass es die Einwilligung auch an anderer Stelle in anderen Gesetzen gibt. So z.B. im § 13 des Telemediengesetzes (TMG), wo es allerdings um den speziellen Fall der Nutzung von elektronischen Informations- und Kommunikationsdiensten geht. Hier greift die Gesetzesrangfolge: Das Datenschutzgesetz regelt für Datenfragen das, was nicht in anderen spezielleren Normen geregelt ist. Es ist ein „Gesetz der letzten Instanz“.

Datenschutzrechtliche Einwilligungen kommen im Geschäftsverkehr häufig durch schlüssiges (konkludentes) Handeln zustande. Da wird z.B. etwas in einem Online-Shop bestellt und dazu die Bestelladresse sowie Bankdaten zum Zweck der Bestellabwicklung und Bezahlung angegeben. Das sieht an sich bereits wie eine datenschutzrechtliche Einwilligung aus. Sie würde allerdings wegen der fehlenden Schriftlichkeit im Falle rechtlicher Probleme nicht als solche akzeptiert werden, auch wenn so tagtäglich Hunderttausende Geschäfte getätigt werden. Rechtliche Probleme – das können auch Abmahnungen und Unterlassungsklagen von Wettbewerbern oder Abmahnvereinen sein.

Worin besteht nun eigentlich das Problem mit diesen Einwilligungen? Nun, wenn die Einwilligung unwirksam weil nicht ordentlich zustande gekommen ist, ist auch die Verarbeitung und Nutzung der entsprechenden Daten illegal. Die zahlreichen Datenschutzverstöße der letzten eineinhalb Jahre sowie die Verschärfungen des gesetzlichen Datenschutzes zeigen, dass diesem Problem langsam aber zunehmend mehr öffentliche Aufmerksamkeit zukommen wird.

Dabei muss man sich bei der Planung entsprechender Geschäftsabläufe lediglich Folgendes vergegenwärtigen und es richtig umsetzen:

1. Die Einwilligung wird vom Betroffenen freiwillig abgegeben.
2. Er wurde klar auf den vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung seiner Daten sowie die Folgen der Nichterteilung der Einwilligung hingewiesen.
3. Er gibt seiner Einwilligung dazu schriftlich ab.
4. Die Einwilligung zur Nutzung personenbezogener Daten ist in den Vertragsdokumenten oder geschäftlichen Unterlagen besonders hervorgehoben.

Diese Einwilligung kann vom Betroffenen natürlich später widerrufen werden. Um damit verbundene organisatorische Probleme zu vermeiden, sollten Geschäftsabläufe grundsätzlich datenarm organisiert werden (Prinzip der Datensparsamkeit und Datenvermeidung).

Für denjenigen, der eine solche Einwilligung abgibt, sollten sich aus den begleitenden Informationen die „6 W-Fragen der datenschutzrechtlichen Einwilligung“ beantworten lassen:

1. Willige ich in etwas ein?
2. Warum mache ich das?
3. Welche Daten werden dafür erhoben?
4. Wozu werden diese erhoben?
5. Was geschieht, wenn ich ablehne?
6. Wer erhält die Daten und wozu?

Ein datenschutztechnisches Qualitätsmerkmal im Geschäftsleben besteht darin, dass Kunden, die Einwilligungen abgeben sollen, diese Fragen ohne weiteres Nachfragen aus den ihnen zur Verfügung gestellten Begleitinformationen beantworten können.

Ein Kundenstamm mit solchen Einwilligungen stellt einen nicht zu unterschätzenden immateriellen Wert im Unternehmen dar.

Phishing-Angriff auf die Arbeitsagentur

Datendiebe können sehr kreativ sein, wenn es um das Abschöpfen von finanziell verwertbaren Datenbeständen geht. Oft wird es ihnen aber auch sehr einfach gemacht. So wurde erst kürzlich bekannt, dass die Bundesagentur für Arbeit Probleme mit ihrer Stellenbörse sowie mit dem Handling interner Datenbestände hat. In der Stellenbörse kann jeder als „Arbeitgeber“ auftreten, eine Überprüfung (Gewerbeschein, Handelsregister …) erfolgt nicht. Sozialdaten von Hartz-IV-Beziehern waren bis vor kurzem allen Beschäftigen der Arbeitsagentur zugänglich, nicht nur den dafür zuständigen Fallmanagern am Meldeort des „Kunden“.

Die Mängel im Sicherheitskonzept der Arbeitsagentur sowie in Teilen ihrer Software sind anscheinend so gravierend, dass sie sich kurzfristig nicht beheben lassen. Das muss sich wohl auch eine Berliner Personalvermittlungsfirma gedacht haben, als sie mehrere Tausend Stellenanzeigen in die Stellenbörse einkippte. So viele in so kurzer Zeit, dass es bei einer internen Prüfung den Betreibern bei der Arbeitsagentur auffiel und man der Sache nachging (was für die Wachsamkeit der Agentursystemadmins spricht). Tatsächlich existierte keine einzige Stelle wirklich. Die ausgeschriebenen Positionen für Facharztstellen über pädagogische Berufe bis hin zu Ingenieuren und Managerposten waren ein Phishing-Angriff auf die Vermittler der Arbeitsagentur sowie die Nutzer der Stellenbörse. Sie sollten ihre Bewerbungsunterlagen an die Berliner Firma schicken, so dass diese ihre Datenbestände damit aufstocken und möglichen Firmenkunden eine Datenbank mit Tausenden von Profilen anbieten kann.

Das ist für Personalvermittler an sich nichts Ungewöhnliches. Firmen wie Hays, Datos oder Progressive bieten interessierten Stellensuchenden die Möglichkeit an, ein Profil in einer Datenbank zu hinterlegen und regelmäßig gegen dort ausgeschriebene Stellen von Firmen gegenchecken zu lassen. Auf Projektvermittlungsbörsen wie Gulp oder Projektwerk können Freelancer Profile einstellen und Angebote von daran interessierten Firmen erhalten. Werben gehört zum Geschäft und wer als Stellensuchender einem Personalvermittler seine Daten gibt, um dessen Stellen mit in seine Stellensuche einzubeziehen, tut das i.d.R. bewusst. Das ist eine übliche Praxis an der es grundsätzlich nichts auszusetzen gibt.

Anders diejenigen Arbeitssuchenden, die sich auf eine konkrete Stelle bewerben, die jedoch gar nicht existiert. Sie würden in einem solchen Fall nur eine Textbaustein-Absage erhalten und das Angebot in der Datenbank des Personalvermittlers zu verbleiben, in der Hoffnung das nochmal eine ähnliche Stelle reinkommt. Seriöse Personalvermittlung sieht anders aus.

Und so sieht auch Anja Huth, Sprecherin der Bundesagentur darin einen eindeutigen Missbrauch des Systems und einen Verstoß gegen die Nutzungsbedingungen. Einen Missbrauch dieser Dimension hat man in der Jobbörse der Bundesagentur noch nie erlebt, so die Sprecherin. Mal sehen, ob das mehr als nur die Sperrung des Accounts zur Folge hat.

Inzwischen ist man damit beschäftigt, die zahlreichen fingierten Stellenangebote zu finden und zu löschen. Was aber noch einige Tage dauern kann, so Frau Huth. Schließlich werden täglich etwa 20.000 Stellenangebote neu erstellt oder abgeändert. Verantwortlich für diese Angebote war demnach die Firma Econsulting24, wo jedoch bislang weder die Arbeitsagentur noch die mittlerweile darauf aufmerksam gewordene Presse jemanden erreichen konnte.

Einen ähnlichen Fall hatte es bereits im Winter letzten Jahres gegeben. Ein privater Jobvermittler hatte immer wieder fingierte Stellen ins System gestellt. Wenn sich Bewerber bei dem Vermittler meldeten, erhielten sie stets die Auskunft, dass die Stelle bereits anderweitig besetzt war. Das Unternehmen bot den Bewerbern jedoch an, gegen Bezahlung Bewerbungen für sie zu verfassen.  Und obwohl die Arbeitsagentur den Account des Vermittlers löschte, meldete er sich stets einfach neu an und spammte fröhlich weiter. Das Problem der mangelhaften Kontrolle vermeintlicher „Arbeitgeber“ in der Jobbörse ist also bereits seit langem bekannt.

People Performance Management – wenn die elektronische Leistungssteuerung ins Unternehmen einzieht

In den Personalabteilungen großer Unternehmen beginnt sich eine neue Klasse von Businessanwendungen auszubreiten: Die People Performance Management Systeme (PPM) bzw. Business Performance Management Systeme. Sie sollen Methoden, Tools und Prozesse zur Verbesserung der Leistungsfähigkeit und Profitabilität von Unternehmen durch effizientere Bewirtschaftung ihres Personals bereitstellen. Anbieter wie Stepstone Solutions sprechen auch etwas euphemistisch von „Talent Management“. Es ist also wohl noch offen, welche Bezeichnung sich letztlich für diese Form der Personalverwaltung durchsetzen wird.

Schon seit Jahren versuchen Unternehmen die Leistungsabgabe ihrer Beschäftigten zunehmend zu steigern und gleichzeitig besser verwaltbar zu machen, so dass sie gezielt gemanagt werden kann. Ein Instrument dazu ist die indirekte Steuerung als Managementprinzip. Die mit Hilfe evidenzbasierter Personalplanung und damit letztlich IT-gestützt umgesetzt wird.

Dabei fallen naturgemäß zahlreiche Daten an und es bedarf zum Managen der Mitarbeiterleistung definierter Prozesse, was es naheliegend erscheinen lässt, dazu spezielle Anwendungen einzusetzen. Zielvereinbarungen, freiwillige / ergebnisabhängige Entgeltbestandteile, Beurteilungen und Leistungsbewertungen, Fortbildungsmaßnahmen und Personalentwicklungsprogramme – alles was zur Potentialentwicklung, Selektion und optimalem Einsatz der Beschäftigten im Unternehmen eben so getan wird, soll mit dieser neuen Klasse von Anwendungen erfasst, verwaltet und gemanagt werden.

Mögliche, durch PPM-Systeme zu unterstützende Einsatzbereiche wären u.a. Leistungsbeurteilungen, Zielvereinbarungen sowie deren Monitoring, Auswahl von Beschäftigten für Schulungen, Personalentwicklungsprogramme oder interne Versetzungen. Aber auch interne Vergleiche mit anderen Beschäftigten oder Beschäftigtengruppen zur Optimierung der Leistung durch Wettbewerb und Auslesemechanismen. Wie es auch Stephen Baker bereits in seinem Buch „Die Numerati – Datenhaie und ihre geheimen Machenschaften“ beschreibt. Dort erläutert er einen neuen Ansatz von HR-Planungswerkzeugen zur evidenzbasierten Personalplanung, basierend auf mathematischen Modellen in Kombination mit Data-Mining-Technologien.

Klar ist jedoch, dass solche Systeme nur dann sinnvoll eingesetzt werden können, wenn Arbeitgeber darin weitaus mehr Daten  über ihre Beschäftigen ablegen und auswerten, als es zum Zwecke der Begründung, Durchführung oder Beendigung eines Beschäftigungsverhältnisses „erforderlich“ i.S.d. BDSG ist. Zumal der Gesetzgeber aufgrund der zahlreichen Datenskandale in der Wirtschaft den einschlägigen § 32 BDSG neu und deutlich enger gefasst hat.

Das bringt insbesondere für betriebliche Datenschutzbeauftragte und Betriebsräte Arbeit mit sich, wenn ihr Unternehmen ein solches System zur besseren Leistungsbewirtschaftung des Personals einführen will, wie es z.B. die Fachzeitschrift „Computer & Arbeit“ in ihrer aktuellen Ausgabe 10/2009 in einem Artikel erläutert.

(der auf der Homepage des Autors Achim Thannheiser auch als PDF heruntergeladen werden kann)

Zumindest die Betriebsräte werden vor der Aufgabe stehen, ob sie die Einführung von PPM-Systemen gestalten oder verhindern wollen. Letzteres wäre durchaus möglich, da das BDSG solche Systeme bei entsprechend enger Auslegung des § 32 eigentlich unmöglich macht.

Gestalten wird auf jeden Fall bedeuten, zahlreiche Funktionen abzuschalten, einzuschränken sowie ihre Nutzung an klare nachprüfbare Regularien zu binden. Und so kommt auch Arbeitsrechtler Thannheiser zu dem Schluss, dass PPM-Systeme die Möglichkeit bieten, den gesamten arbeitenden Menschen zu durchleuchten. Und daher rät er den Mitbestimmungsorganen, Positivlisten mit zulässigen Nutzungen festzulegen, die alles sonst noch Mögliche als unzulässig ausschließen.

Vom Standpunkt der IT-Sicherheit sind PPM-Systeme dagegen nur ein weiterer Teil der Personaldatenverarbeitung, die denselben Schutzbedarf hat wie alle anderen HR-Systeme.

Wie die Rechtsprechung zum erst kürzlich reformierten Datenschutzgesetz mit dieser Art der Personaldatennutzung verfahren wird, ist derzeit noch offen. Es bleibt also spannend …

Die Datenbörsen der Arbeitsagentur

In den letzten zwei Wochen konnte man schon den Eindruck gewinnen, bzgl. des Datenschutzes hätte die Wirtschaft inzwischen jede Scham verloren. Ob Bewerber-Bluttests bei Daimler, Beiersdorf und Merck, Bruch des Bankgeheimnisses bei der Postbank, Datenklau bei SchülerVZ, neue Spitzeleien bei der Telekom oder Datenpannen bei Libri – praktisch jeden Tag gab es einen neuen Datenskandal. In einigen Fällen dürfte eine zu schwach aufgestellte IT-Sicherheit oder konzeptionelle Lücken in den Datenschutzbestrebungen der Firmen ursächlich gewesen sein. Oft jedoch auch eine gewisse „Herrenmenschenmentalität“ der jeweiligen Entscheider, die sich dachten „Datenschutz ist für andere – wir machen was wir wollen!“.

Eine besonders dicke Datenschutzsau treibe jedoch ausgerechnet die Agentur für Arbeit derzeit durchs bundesrepublikanische Dorf. Die Arbeitsagentur betreibt mit ihrer Jobbörse eine der größten Datenbanken Deutschlands. In ihr sind etwa 3.800.000 Profile arbeitslos gemeldeter Stellensuchender gespeichert. Darin können potentielle Arbeitgeber anonymisierte Profile, geordnet nach Fertigkeiten und Berufsklassifikationen recherchieren und bei Interesse den zuständigen Bearbeiter der Arbeitsagentur kontakten, damit dieser zwischen Arbeitgeber und Bewerber den direkten Kontakt herstellt. Kürzlich stellte sich aber heraus, dass sich jedermann in den System als „Arbeitgeber“ umtun konnte – auch wenn er weder Unternehmer oder Personaler war und schon gar keine offene Stelle hatte.  Und das er dabei auch an nicht anonymisierte Daten herankam, um sie ggf. auch in größeren Mengen herunterzuladen und für eigene Zwecke weiter nutzen zu können.

Spiegel Online hierzu:

Bei der Jobbörse müssten Arbeitgeber lediglich den Firmennamen, die Branche sowie Anschrift und Ansprechpartner angeben. Die Identität prüfe die Bundesagentur nicht. Nach der Anmeldung bekomme der Arbeitgeber eine persönliche Identifikationsnummer zugeschickt, mit dieser könne bereits ein Teil der Bewerberdaten in nicht mehr anonymisierter Form eingesehen werden. Jeder könne so Bewerbungsunterlagen anfordern, mit Adresse, Telefonnummer, Geburtsdaten, Zeugnissen und Lebenslauf – egal, ob er einen Job zu vergeben habe oder nicht.

Wäre das schon happig, legte die Arbeitsagentur im Bereich Hartz-IV-Empfänger gleich noch nach. Denn das 4-PM („Vier-Phasen-Modell“) , ein System, über das gut 100.000 Mitarbeiter unter anderem Einkommens- und Familiensituation, Schul- und Berufsausbildung, mögliche Erkrankungen und Vorstrafen, Suchtprobleme und Verschuldung von Hartz-IV-Empfängern abrufen können, erwies sich als regelrechte Datenschleuder. Darüber können auch Mitarbeiter, die nichts mit der Betreuung der Arbeitslosen zu tun haben, nach sensiblen personenbezogenen Sozialdaten forschen. Und das bundesweit, also auch außerhalb des eigenen Zuständigkeitsbereiches. Ein Umstand der den Personalräten der Arbeitsagentur schon seit längerem Probleme bereitet. Weshalb sie sich nach wohl fruchtlosen Versuchen, das intern zu regeln, an die Presse wandten und die Sache auffliegen ließen. Sie haben erhebliche Bedenken zum Sozialdatenschutz und sehen das Recht auf informationelle Selbstbestimmung der Bürger verletzt. Diese Bedenken der Personalräte in den Arbeitsagenturen teile ich. Zugleich zeugt das einmal mehr, wie wichtig Mitbestimmungsorgane für das Aufdecken und Angehen fauler Stellen in Wirtschaft und Verwaltung sind.

Zu welchen Formen des Missbrauchs solche Datenlecks führen können, zeigen Insider-Berichte aus der Arbeitsagentur: So wussten die Mitarbeiter der Argen schnell mehr über zwei bestimmte Kandidaten der Fernsehshow von Dieter Bohlen. Das Computersystem der Arbeitsagentur verzeichnete weit über 10.000 Zugriffe auf ihre Datensätze nach deren Auftritt, bei dem die Männer auch ihre zeitweilige Arbeitssuche erwähnten.

Es zeigt sich einmal mehr, dass viele Datenschutz- und Sicherheitsprobleme gar nicht auftreten würden, wenn man sich an banal wirkende Lehrbucherkenntnisse halten würde. Da große Datensammlungen, egal zu welchem Zweck angelegt, immer irgendwann außer Kontrolle geraten und Daten daraus „abfließen“ können, rät schon das Bundesdatenschutzgesetz zu Datensparsamkeit und Datenvermeidung. Daten die erst gar nicht anfallen oder erhoben werden, können auch nicht in falsche Hände geraten. Das ist das Hauptargument, das Datenschützer und Bürgerrechtsaktivisten gegen große zentrale Datensammlungen vorbringen.- Es wird nur leider viel zu selten berücksichtigt.

Zumal solche Datenschleudereien zumindest im öffentlichen Bereich folgenlos bleiben.

Bundesdatenschutzbeauftragter Peter Schaar hierzu in einem Interview mit Ole Reißmannauf Spiegel online:

Ich habe als Bundesbeauftragter für den Datenschutz die Möglichkeit, das zu kritisieren und gegebenenfalls zu beanstanden, mehr nicht. Auch bei der Jobbörse der Arbeitsagentur gibt es ja ein Problem mit dem Datenschutz. Ohne Prüfung der Identität und Seriosität kann sich praktisch jeder als Arbeitgeber registrieren lassen und Unterlagen von Bewerbern anfordern. Das wissen wir seit einem Jahr, unsere Kritik und unsere Hinweise haben nicht geholfen. Es fehlt einfach an der nötigen Sensibilität im Umgang mit persönlichen Daten und an entsprechend wirksamen Durchsetzungsmöglichkeiten für mich als Bundesbeauftragten für den Datenschutz.

…

Wäre die Bundesagentur für Arbeit eine Firma, könnten die zuständigen Datenschützer zumindest Bußgelder verhängen, gegebenenfalls sogar die Datenverarbeitung untersagen, und das Problem müsste öffentlich gemacht werden. Seit September ist das gesetzlich vorgeschrieben. Aber für Behörden gilt diese Verpflichtung nicht – und etwas untersagen oder Geldbußen verhängen, können wir auch nicht.

Narrenfreiheit und Straflosigkeit für Behörden also. Egal was datentechnisch verbockt wird. Da dürften jegliche Anreize fehlen, zumal Stellungnahmen des Bundesdatenschutzbeauftragten für die Behörden wohl nur Empfehlungscharakter zu haben scheinen.

Und das obwohl Privatfirmen für gleichartige Verstöße durchaus zu sechsstelligen Geldstrafen sowie der Abführung der daraus gezogen Gewinne verurteilt werden können.

Man wird die öffentlichen und privaten Datenschleudern wohl nur dadurch stilllegen können, indem hart und unnachsichtig durch Prozesse, Urteile und Skandalisierung Klarheit darüber geschaffen wird, das Verstöße gegen den Datenschutz ähnlich geahndet werden, wie jene gegen das Eigentumsrecht (Betrug, Diebstahl …) oder das Recht auf körperliche Unversehrtheit (tätliche Angriffe, sexuelle Belästigungen …).

Da liegt ein ordentliches Stück Arbeit vor uns. Wird es jedoch angegangen, kann das insbesondere für professionell in der IT-Sicherheit Tätige eine Sonderkonjunktur bedeuten.

Postbank – Wenn die Bank das Bankgeheimnis ignoriert

Die Datenschutzskandale in der deutschen Wirtschaft nehmen einfach kein Ende. Es scheint sich um ein  grundsätzliches Problem der Nichtakzeptanz des Rechts auf Datenschutz zu handeln, sobald diese Daten für andere wirtschaftlich verwertbar sein können.

Und wirtschaftlich verwertbar waren auch die Transaktionsdaten zahlreicher Postbank-Kunden. Denn die Postbank hatte, einem Bericht der Finanztest zufolge, mehreren Tausend freiberuflich tätigen Finanzberatern Zugriff auf die Kontendaten (Kontenstände, Buchungen etc.) ihrer Kunden über eine Datenbank mit Suchfunktion gewährt. Sie sollten damit u.a. Kunden, bei denen größere Geldbeträge eingegangen waren, anrufen und ihnen Finanzprodukte zur Geldanlage anbieten.

Sensible, dem Bankgeheimnis unterliegende Daten, von einer Bank  an externe Dritte herausgegeben zum Zwecke der Vermarktung von Finanzprodukten – da drehen sich jede halbwegs versiertem Datenschützer und IT-Sicherheitsbeauftragten die Zehennägel auf!

Hatten doch in der Vergangenheit solch laxe Praktiken regelmäßig dafür gesorgt, dass Daten aus Unternehmen „abflossen“ und im grauen Sumpf der Datendealer und Cyberkriminellen versickerten.

Der Finanztest liegen nach eigenen Angaben Kontodaten und Briefwechsel zahlreicher Personen aus dieser Datenbank vor. Darunter auch Prominente wie zum Beispiel Axel-Springer-Vorstand Mathias Döpfner, der frühere Präsident von Borussia Dortmund, Gerd Niebaum, oder der Vorstand der Stiftung Warentest, Werner Brinkmann. Sie alle haben der Weitergabe ihrer Daten laut Dateneintrag nicht zugestimmt.

Dagegen schützten sich die Chefs der Postbank-Gruppe gegen allzu große Neugier ihrer Verkäufertruppe, indem sie ihre eigenen Kontodaten von dieser Suchmöglichkeit ausschlossen, wie Recherchen von Finanztest ergaben.

Die für die Postbank zuständige Datenschutzbehörde in Nordrhein-Westfalen hält es der Zeitschrift zufolge für unzulässig, dass freie Berater der Postbank die Girokonten der Kunden einsehen können. Behördensprecherin Bettina Gayk hirzu: „Das ist sicherlich hochproblematisch“. Hoffen wir mal, dass diese Einschätzung in der Folge auch zu rechtlichen Schritten führt. Das erst kürzlich reformierte Datenschutzgesetz sieht hierfür 5-6stellige Geldstrafen vor – für jeden einzelnen Fall. Sowie umfängliche Anzeigepflichten den Betroffenen gegenüber. Falls es in der Folge tatsächlich zu Verurteilungen und Strafen kommt.

Bis dahin schließe ich mich den Empfehlungen der Finanztest an Postbank-Kunden an. Sie rät ihnen folgendes als Ersthilfe:

Tipps für Postbank-Kunden

Forderung: Wenn Sie als Postbankkunde nicht wollen, dass ihre Kontodaten eingesehen werden, sollten Sie sich schriftlich an das Unternehmen wenden. Fordern Sie die Postbank auf, die Weitergabe ihrer Daten zu stoppen.

Widerruf: Sie können außerdem verlangen, dass Ihnen die Postbank Auskunft über gespeicherte und weitergegebene Daten gibt. Bereits erteilte Einwilligungserklärungen können Sie jederzeit widerrufen.

Inzwischen hat die Postbank auch eine eigene Stellungnahme veröffentlicht, in der sie „entschiedenes Vorgehen“ und „strafrechtliche Schritte“ ankündigt sowie „bis zur Klärung des Gesamtzusammenhanges im Dialog mit dem Datenschutz den Zugriff auf die Kontodaten durch die Finanzberater vorsorglich sperren“ lassen will und eine Revision ihrer bisherigen Praxis ankündigt.

Schufa-Auskunft für den Chef – ist das legal?

Die Schufa sammelt und aggregiert zahlreiche Finanzdaten von Unternehmen und Verbrauchern. Über eine Schufa-Auskunft lässt sich u.a. ein Überblick über vorhandene Bankkonten, Kreditkarten und Handyverträge, laufende Kreditverpflichtungen aber auch Negativeinträge wie Informationen über nicht vertragsgemäße Abwicklungen von Geschäften (Mahnbescheide, geplatzte Schecks, Kreditprobleme) und Daten aus öffentlichen Verzeichnissen und amtlichen Bekanntmachungen wie z.B. den Schuldner- und Insolvenzverzeichnissen der Amtsgerichte gewinnen.

Daher gibt es Unternehmen, die im Rahmen ihres Risikomanagements von ihren Angestellten neben einem polizeilichen Führungszeugnis auch eine jährlich erneut vorzulegende Schufa-Selbstauskunft haben wollen. Bankgeheimnis hin oder her.

Doch ist das legal?

Schließlich darf ein Arbeitgeber gemäß § 32 BDSG personenbezogene Daten eines Beschäftigten nur für Zwecke des Beschäftigungsverhältnisses erheben und nutzen. Und auch das nur dann, wenn es erforderlich ist. Reine Neugier oder Nützlichkeitserwägungen reichen also nicht. Und Schufa-Auskünfte enthalten außer Namen, Adresse und Kontonummer nichts, was für Zwecke des Beschäftigungsverhältnisses wirklich erforderlich ist.

Besonderes Interesse am Finanzstatus ihrer Beschäftigten haben Unternehmen des Wach- und Sicherheitsgewerbes. Dort will man – wohl auch angesichts branchenüblich magerer Entlohnung – sichergehen, dass die Fahrer von Geldtransporten eine finanziell gesehen einwandfreie Lebensführung aufweisen. Dazu nahm die Bundesvereinigung Deutscher Geld- und Wertdienste (BDGW), ein Arbeitgeberverband im Sicherheitsgewerbe im Rahmen eines satzungsgemäß für die Verbandsmitglieder verbindlichen jährlich erneut durchzuführenden „Sicherheitschecks“ die Anforderung auf, von Bewerbern Schufa-Selbstauskünfte einzufordern:

Der „klassische“ Sicherheits-Check 1 befasst sich vor allem mit baulich-technischen und personellen Anforderungen sowie der ordnungsgemäßen Durchführung von Geld- und Werttransporten. Überprüfungsschwerpunkte fangen bereits bei den Einstellungsvoraussetzungen für das Personal an. Hier werden wesentlich höhere Maßstäbe angelegt als in den meisten anderen Branchen. Die Vorlage eines polizeilichen Führungszeugnisses, eine ärztlich bestätigte physische und psychische Tauglichkeit, eine persönliche und eine Schufa-Selbstauskunft sowie eine Verschwiegenheitserklärung sind nur einige der Punkte, die von den Bewerbern verlangt werden.

(Quelle: BDGW-Imagebroschüre, PDF 1,2 MB)

Dumm nur, das so eine Klausel rechtlich gesehen die Verbindlichkeit eines Wunsches besitzt. Und in den Unternehmen, in denen ein Betriebsrat existiert, dieser diese Praxis unterbinden kann. Worauf kürzlich die Gewerkschaft Verdi in ihrem Brancheninfodienst „Sicherheitsnadel“ im Rahmen einer ausführlichen juristischen Stellungnahme hinwies.

Arbeitgeber müssen Gesetze einhalten. Da hat ihnen auch kein Betriebsrat dreinzureden. Mitbestimmung gibt es nur da, wo der Gesetzgeber dafür Spielräume gelassen oder explizit Mitbestimmungsrechte eingeräumt hat.

Verbandssatzungen sind aber keine Gesetze. Und sie dürfen auch kein gesetzeswidriges Verhalten zur Norm für die Verbandsmitglieder erheben (legt man das streng aus, könnte ein Verband deswegen sogar verboten werden). Durch sie werden zudem nur die Verbandsmitglieder zu etwas verpflichtet, nicht deren Beschäftigte.

Das Gleiche gilt auch für Verträge aller Art, wie z.B. Versicherungsverträge auf die sich in solchen Fällen auch gern mal bezogen wird. Ein Blick ins BGB zeigt in § 134 dass Verträge, deren Inhalt gegen Gesetze verstößt, nichtig sind.

(interessanter Nebenaspekt: Wie kann man aus einer potentiell nichtigen Versicherungspolice im Schadensfall Leistungen einfordern?)

Hin und wieder müssen ausgerechnet beufsgenossenschaftliche Unfallverhütungsvorschriften wie die für Wach- und Sicherungsdienste relevante Vorschrift BGV C7 „Besondere Bestimmungen für Geldtransporte“, herhalten, um einen gesetzesgleichen Anspruch auf das Einfordern von Schufa-Auskünften abzuleiten.  Eine Durchführungsanweisung zum § 24 (Eignung des Personals) könnte tatsächlich dahingehend ausgelegt werden:

Bei der Eignungsbeurteilung (des Bewerbers für den Wachdienst) ist insbesondere auch auf Unbescholtenheit sowie eine geordnete Lebensführung zu achten, z.B. durch die unbeschränkte Auskunft nach § 41 Abs. 1 Nr. 9 Bundeszentralregistergesetz (BZRG), polizeiliches Führungszeugnis, die aktuelle Schufa-Selbstauskunft.

Allerdings sind auch Durchführungsanweisungen nicht mehr als unverbindliche Handlungsempfehlungen und können gesetzliche Vorschriften wie das Bundesdatenschutzgesetz nicht außer Kraft setzen. Im Gegenteil: Es ist anzunehmen, dass solche Handlungsempfehlungen als Folge von Gesetzesänderungen und Rechtsprechung früher oder später geräuschlos korrigiert werden. Zum auch hier die Schufa-Auskunft nicht als Norm sondern als mögliches Beispiel zu deren Erfüllung genannt wird.

Die Tücke beim Umgang mit Rechtsquellen steckt demnach häufig in den Details, welche gelesen und auch verstanden werden wollen.

So kam auch Arbeitsrechtler Tobias Wolters in der „Sicherheitsnadel“ (Ausgabe 12, S. 7) zu dem Fazit, dass das Einfordern von Schufa-Auskünften von Beschäftigten oder Bewerbern zwar mit unter die Mitbestimmung des Betriebsrats fällt, da es um Fragen des Ordnungsverhaltens der Arbeitnehmer geht. Dieser aber keine entsprechende Betriebsvereinbarung abschließen kann, da auch Betriebsvereinbarungen (ähnlich wie Verträge) nichts Gesetzeswidriges enthalten dürfen.

Er empfiehlt daher das Thema Schufa-Auskünfte aus entsprechenden Verbandssatzungen, Versicherungsverträgen und Anmerkungen zu berufsgenossenschaftlichen Regeln komplett zu streichen.

Wer einmal seine eigene Schufa-Auskunft prüfen will, kann das unter www.meineschufa.de tun. Wer mehr über Scoring-Methoden generell erfahren will, dem bietet die Schufa unter www.scoring-wissen.de eine Einführung in das Thema an.

House of open Scrum 2009

Gestern habe ich an einer Vortragsveranstaltung zum Thema Scrum in Oberhaching teilgenommen. Scrum ist ein Vorgehensmodell für Softwareentwicklungsprojekte, das aus der Welt der agilen Methoden stammt. Scrum fördert die lokale Selbstorganisation von Entwicklerteams, indem es Konzepte aus dem Total-Quality-Management sowie dem Toyota-Produktionssystem auf die Softwareentwicklung überträgt.

Mehrere Referenten stellten Teilaspekte von Scrum sowie konkrete Anwendungen in der Praxis vor.

Andrea Tomasini erläuterte die wichtigsten Grundprinzipien von Scrum. Dazu zählen das Kontrollieren der arbeitslast und des Arbeitsflusses sowie die Vermeidung von Verschwendung (unnötige Entwicklung, Overengineering), das Fördern informeller Lernprozesse und der Austausch von Wissen, die schrittweise Verfeinerung von Produkten ebenso wie das häufige Bereitstellen von sauber durchgetesteten und dokumentierten Zwischenständen und Teilergebnissen.

Scrum bedeutet  im Prinzip, Entscheidungen soweit wie möglich auf die Entwicklerebene zu verlagern und Entwicklerteams lokale Selbstorganisation im Gegenzug für Ergebnisverantwortlichkeit zu ermöglichen. Während definierter Zeitfenster (Sprints) des konzentrierten Arbeitens am Produkt werden Anforderungen und Zielsetzungen stabil gehalten, während sie sich beim Wechsel von einem Sprint zum nächsten verändern dürfen. Auch Einmischungen und Störungen des Entwicklungsprozesses von außen werden so systematisch minimiert, um so Termintreue und Ergebnisqualität zu verbessern.

Christian Binder von Microsoft stellte die Prozessmodelle von Microsoft im Bereich der Entwicklung von Visual Studio vor und zeigte, wie man agiler Ansätze wie Scrum mit formalen Entwicklungsprozessen mit Tausenden von Beteiligten zusammenbringen kann. Interessant auch sein Hinweis auf die hohe Anzahl an Softwaretestern und Qualitätssicherern bei Microsoft. Auf jeden Entwickler kommt bei Microsoft ein Tester. Die Sicherheit und Qualität von Microsoft-Produkte soll als Konsequenz so mancher Kritik der letzten Jahre dauerhaft verbessert werden.

Jens Trompeter von itemis erklärte, wie man bei Festpreisprojekten zu guten Aufwandsabschätzungen kommt, in dem man die Beteiligten mit speziellen Spielkarten „Planning Poker“ spielen lässt. Das agiles Vorgehen in Softwareentwicklungprojekten nicht mit der Abwesenheit von Planung verwechselt werden darf. Und das es neben den „offiziellen“ Scrum-Rollen des Teams, des Scrum-Masters und des Product Owners auch die ebenso einflussreichen Rollen des Kunden, des (späteren) Nutzers der zu entwickelnden Software sowie des Managements gibt. Alle können sowohl zur Förderung als auch zur Behinderung des Projektfortschritts beitragen. Daher sieht das Scrum-Modell deren intensive Beteiligung am Projekt vor.

Susanne Mühlbauer von Hood zeigte, dass auch im iterativ vorgehenden Scrum-Modell ein systematisch betriebenes Anforderungsmanagement essentiell für gute Ergebnisse ist. Und wie es sich in die Teildisziplinen des Software-Engineerings mit einfügt.

Gerhard Müller und Martin Wagner vom Hauptsponsor TNG Technology Consulting stellten ihre Praxiserfahrungen mit Tools und Vorgehensweisen in Scrum-Projekten anschaulich zusammen und gaben Tipps zum Aufsetzen und Ausrüsten von Scrum-Projekten mit nützlicher Infrastruktur und Technik.

Mehrere Anbieter von Projektmanagement-Tools stellten vor, wie man mit Hilfe ihrer Produkte Scrum-Projekte einfach aufsetzen und managen kann. Zumindest was die administrativen Aspekte des Projektmanagements angeht, die man mit Tools gut handhaben kann.

Diese Management-Tools dürften dort, wo man sie einführt, auch das Interesse der Betriebsräte und Datenschutzbeauftragten (sofern vorhanden) wecken. Denn sie verarbeiten personenbezogene Daten und müssten deshalb Bestandteil des betrieblichen Verfahrensverzeichnisses werden. Und sie ermöglichen eine ins Detail gehende Leistungs- und Verhaltensüberwachung der in Scrum-Projekten Beschäftigten. Zum Teil ist das für die operative Kapazitätsplanung durch die Projektmanager zwar erforderlich. Aber die betriebliche Praxis zeigt leider auch, dass mit solchen Funktionen oftmals Missbrauch und Unsinn getrieben wird, falls man keine klaren Regelungen für ihre Nutzung trifft.

Alles in allem eine für mich sehr vielfältige und erkenntnisreiche Veranstaltung.

Datenschutzverband fordert Update für Betriebsvereinbarungen

Mit dem zum 01.09.2009 reformierten Bundesdatenschutzgesetz wurden im neuen § 32 Abs. 1 erste Ansätze eines Arbeitnehmerdatenschutzes implementiert. Danach dürfen personenbezogene Daten eines Beschäftigten für Zwecke des Beschäftigungsverhältnisses nur noch verwendet werden, wenn dies für die Entscheidung über die Begründung, Durchführung oder Beendigung eines Beschäftigungsverhältnisses erforderlich ist.

Bislang mussten diese Daten für ein Vertragsverhältnis lediglich dienlich sein. In der betrieblichen Praxis gab es dazu immer wieder unterschiedliche Auffassungen. Oftmals wurde dabei die Grenze des für das Beschäftigungsverhältnis wirklich Erforderlichen überschritten, so die Erfahrung der Datenschutzpraktiker des Arbeitskreises „Datenschutz in Recht und Praxis“ im Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V.

Für Unternehmen und Behörden besteht jetzt Handlungsbedarf, um die neuen Regelungen zur Stärkung der Persönlichkeitsrechte der Beschäftigten umzusetzen und Vorwürfen nunmehr unrechtmäßiger Datenverarbeitung vorzubeugen. Der Datenschützer-Arbeitskreis empfiehlt daher, die bestehenden Betriebs- und Dienstvereinbarungen zu IT-Anwendungen bezüglich der genutzten Daten, Infotypen, Auswertungen und Zugriffsberechtigungen zu überprüfen und ggf. zu ändern.

So sind Bewerberfragebögen – sowohl in Papierform als auch in Webformularen – auf das für das jeweilige Beschäftigungsverhältnis unbedingt Notwendige zu beschränken. Problematisch sind nach neuem Recht alle Fragen, die weder für die Ausübung der beabsichtigten Tätigkeit noch für die Eingliederung im Betrieb erforderlich sind.

Neben den Personal- und IT-Verantwortlichen sind insbesondere die betrieblichen Interessenvertretungen gefordert, deren Mitbestimmungsrechte bei vielen Personalfragen tangiert werden. Für die betrieblichen und behördlichen Datenschutzbeauftragten sind Prüfungen mit den strengeren Maßstäben der Erforderlichkeit geboten. Alle bisherigen (und künftigen) Vereinbarungen müssen sich an den tatsächlichen Erfordernissen für das Beschäftigungsverhältnis orientieren. Hier sind nach Meinung des Arbeitskreises vielerorts Korrekturen notwendig.

Früher oderspäter dürften sich dann auch IT-Revisoren und Wirtschaftsprüfer für solche Dinge interessieren, da es zu ihren Aufgaben zählt, auf das Entdecken und Abstellen von berichtsrelevanten Compliance-Probleme hinzuwirken.

Die neuen Bestimmungen gelten auch für alle nicht automatisierten Datenerhebungen wie Listen, Karteikarten und sogar Notizen mit personenbezogenen Inhalten in Schubladen oder Zettelkästen. Die Reichweite des neuen Datenschutzgesetzes wurde damit auf nichtelektronische Datenverarbeitung (z.B. in Form von „Nebenakten“ und „Handapparaten“ in den Schubladen mancher Vorgesetzter) ausgedehnt.

Zur Aufdeckung von Straftaten dürfen jetzt personenbezogene Daten eines Beschäftigten nur noch dann verwendet werden, wenn der nachweisbare Verdacht auf eine Straftat im Beschäftigungsverhältnis besteht. Zudem muss die Verwendung dieser Daten zur Aufdeckung der Straftat erforderlich sein. Das schutzwürdige Interesse des Beschäftigten muss hierbei gewahrt bleiben. Insbesondere dürfen Art und Ausmaß der Überwachung im Hinblick auf den Anlass nicht unverhältnismäßig sein. Auf der Suche nach korrupten Einkäufern und gesprächsfreudigen Führungskräften per Massendatenabgleich jeden HiWi im Betrieb durchleuchten zu wollen, wäre in jedem Falle unverhältnismäßig.

Die neuen Bestimmungen zum Beschäftigtendatenschutz sind ein erster Schritt in die richtige Richtung; sie ersetzen aber nicht das dringend notwendige und überfällige Arbeitnehmerdatenschutzgesetz.

Das neue Bundesdatenschutzgesetz

Am 01.09. dieses Jahres trat eine neue Fassung des Bundesdatenschutzgesetzes (BDSG) in Kraft. Die zahlreichen Datenschutzskandale in der Wirtschaft hatten eine lang andauernde und noch keineswegs abgeschlossene Diskussion über strengere Datenschutzstandards sowie das Schließen von Lücken in der Datenschutzgesetzgebung ausgelöst.

Allerdings sorgten Lobbydruck aus der Wirtschaft (speziell der kommerziellen Datenhändler) sowie ein genereller politischer Unwillen dafür, dass bei Fragen der Neuregelung der Datennutzung zum Zwecke der Werbung sowie der Markt- oder Meinungsforschung großzügige Übergangsfristen festgeschrieben werden. Manche im Gesetz enthaltene Veränderungen werden daher erst im Laufe der kommenden Jahre rechtswirksam.  Nicht zuletzt hatte ja auch das Finanzministerium Steuergelder zum Ankauf gestohlener Daten ausgegeben, um so geheime Auslandskonten deutscher Steuerzahler in Staaten mit starkem Bankgeheimnis aufspüren zu können.

Bereits zum 01.04. waren Veränderungen im Datenschutzgesetz in Kraft getreten, mit dem Ziel ausufernden Datenhandel und Scoring mit Hilfe intransparenter Geheimverfahren in den Griff zu bekommen. Gegenstand des nun zweiten Änderungspaketes im Datenschutz sind vor allem die Themen

•    Stärkung der Rechte des Datenschutzbeauftragten (§ 4f Abs. 3)
•    Ordnungsgemäße Auftragsdatenverarbeitung (§ 11 Abs. 2)
•    Umgang mit Adresshandel und Werbung (§ 28 Abs. 3, § 34 Abs. 1a)
•    Elementarer Arbeitnehmerdatenschutz (§ 32)
•    Mitteilungspflichten bei Datenschutzverstößen (§ 42a)
•    Erhöhung der Bußgelder (§ 43 Abs. 3)

Stärkung der Rechte des Datenschutzbeauftragten
Ein betrieblicher Datenschutzbeauftragter genießt jetzt ähnlich starken Kündigungsschutz wie ein Betriebsrat. Um sicherzustellen, dass seine Kenntnisse auf dem aktuellen Stand der Technik bleiben, muss er sich regelmäßig fortbilden. Sein Arbeitgeber muss ihm dazu die Teilnahme an Fortbildungen ermöglichen und die entstehenden Kosten übernehmen.

Auftragsdatenverarbeitung
Von Auftragsdatenverarbeitung spricht man, wenn jemand im Auftrag und nach Weisung eines anderen dessen Datenbestände erhebt, verarbeitet oder nutzt. Ein gutes Beispiel hierfür ist die betriebliche Lohnabrechnung, die von vielen kleineren und mittleren Unternehmen an Dienstleister abgegeben wird. Dabei verbleibt die Verantwortung für das korrekte Tun des Auftragnehmers beim Auftraggeber. Er muss durch entsprechende vertragliche Vereinbarungen und tatsächliche Prüfungen sicherstellen, dass der Auftragnehmer datenschutzrechtlich korrekt arbeitet.  Im Gegensatz zur bisherigen Rechtslage können Nachlässigkeiten hierbei nun mit Bußgeldern von bis zu 50.000 € pro Fall geahndet werden.

Adresshandel und Werbung
Bislang genossen Adresshändler das sogenannte „Listenprivileg“. Sie durften Verbraucherdaten in Tabellenform zu Werbezwecken und zu Zwecken der Markt- und Meinungsforschung an Dritte weitergeben, wenn darin nur bestimmte Kategorien von Daten enthalten waren. Das umstrittene Listenprivileg bleibt auch weiterhin erhalten. Allerdings müssen Unternehmen künftig den Empfänger eines Werbeschreibens darüber informieren, woher sie die über ihn vorhandenen Daten haben. Die Werbung zwischen Unternehmen (B2B) ist davon allerdings nicht betroffen.

Weitere Erleichterungen wurden für Werbemaßnahmen an Bestandskunden, für steuerbegünstigte Spendenwerbung und Werbung nach im Gesetz genauer definierten Transparenzgeboten normiert.

Zudem sind Adresshändler nun verpflichtet, die Herkunft der von ihnen verwendeten Daten sowie die Identität des Empfängers für zwei Jahre zu speichern. Denn bisher scheiterten datenschutzrechtliche Anfragen von Verbrauchern bei Adresshändlern häufig daran, dass diese über die Herkunft ihrer Daten keine Auskunft geben konnten (oder wollten). Dem soll so ein Ende gemacht werden.

Arbeitnehmerdatenschutz
Spitzelskandale wie z.B. die bei Lidl oder der Deutschen Bahn wurden von Verantwortlichen im Nachhinein mit dem Bedürfnis nach präventiven Maßnahmen gegen Wirtschaftskriminalität begründet. Auch wenn hier oftmals Zielsetzung und Vorgehensweise auch bei wohlwollender Betrachtung nicht zusammenpassen wollten. Jetzt dürfen Beschäftigtendaten nur noch bei konkretem und nachweisbarem Anfangsverdacht zur Aufdeckung von Straftaten verwendet werden. Es muss zudem eine Interessensabwägung zwischen den schutzwürdigen Interessen des Beschäftigten und denen des Arbeitgebers stattfinden und dokumentiert werden, die im Zweifel einer rechtlichen Überprüfung standhält.

Mitteilungspflichten
Kommt es in Unternehmen künftig zu einem datenschutzrechtlich relevanten Vorfall und wird dieser bemerkt, so müssen die davon Betroffenen sowie die Datenschutzaufsichtsbehörden informiert werden. Ein solcher Vorfall tritt stets dann ein, wenn es um folgende, besonders sensible Informationsarten geht:

1. Angaben über rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben,
2. personenbezogene Daten, die einem Berufsgeheimnis unterliegen,
3. personenbezogene Daten, die sich auf strafbare Handlungen, Ordnungswidrigkeiten oder den Verdacht auf solches beziehen,
4. personenbezogene Daten zu Bank- oder Kreditkartenkonten.

Inhaltlich muss diese Information bestimmten Mindestanforderungen genügen und unverzüglich herausgegeben werden. Lediglich laufende Ermittlungen der Polizei dürfen die Benachrichtigung Betroffener zeitlich verzögern. Würde die Benachrichtigung aller Betroffenen einen unverhältnismäßigen Aufwand nach sich ziehen, können statt persönlicher Kontaktierung auch eine (mindestens) halbseitige Anzeige in zwei bundesweit erscheinenden Tageszeitungen oder andere vergleichbare Maßnahmen eingesetzt werden.

Fallbeispiel :
Dem Bereichsleiter Vertrieb wird auf einer Dienstreise der Laptop mit darauf gespeicherten Kunden- und Abrechnungsdaten gestohlen (schwerwiegende Beeinträchtigung der Rechte der Betroffenen). Er muss den Vorfall der zuständigen Aufsichtsbehörde melden. Sobald eine Information an die Betroffenen im Falle einer Strafanzeige einen polizeilichen Ermittlungserfolg (Diebstahl) nicht mehr gefährdet, müssen diese ebenfalls über den unrechtmäßigen Datenabfluss informiert werden.

Erhöhung der Bußgelder
Der Bußgeldrahmen für Verstöße gegen den Datenschutz wurde für einfache Verstöße auf 50.000 € und für schwerwiegende Verstöße auf 300.000 € pro Fall aufgestockt. Wurden aus Datenmissbrauch Gewinn gezogen, kann dieser durch höhere Bußgeldansätze eingezogen werden, da künftig der Grundsatz gilt, dass die Geldbuße den wirtschaftlichen Vorteil aus den Datenschutzverstößen übersteigen soll.

Zusammenfassend lässt sich sagen, dass ein Teil der Forderungen, den Datenschutzexperten bereits seit Jahren erheben, nun nach offensichtlichem Handlungsbedarf tatsächlich umgesetzt wurde. Es bleibt abzuwarten, in wie weit die personell nur sehr sparsam ausgestatteten Datenschutzaufsichtsbehörden jedoch überhaupt in der Lage sein werden, das Gesetz angemessen umzusetzen.

Allerdings halte ich es nur für eine Frage der Zeit, bis z.B. Verbraucherschutzverbände und Gewerkschaften öffentliche Datenbanken einrichten, in denen meldepflichtige Datenschutzverstöße allgemein zugänglich gesammelt werden. Der damit verbundene Reputationsverlust dürfe speziell große Unternehmen und Markenfirmen erheblich mehr treffen, als das (gewinnmindernde und daher steuerlich absetzbare) Bußgeld.

Wie so etwas aussehen könnte, ist unter http://datalossdb.org/, einer von der Open Security Foundation betriebenen öffentlichen Datenbank für datenschutzrelevante Sicherheitsprobleme, zu sehen (auch als RSS-Feed sowie über Twitter abonnierbar).

Neue ISO-Norm 38500 betont die Verantwortung der Geschäftsführung in der IT

Schon seit Jahren kann man es beobachten: Die technischen, organisatorischen und geschäftlich bedingten Herausforderungen in der IT steigen langsam aber kontinuierlich an. Da sind insbesondere rein managerial tätige Mitarbeiter zunehmend mit Komplexität und Umfang der Probleme überfordert.

Das ist deutlich am Drang hin zu Outsourcing, Outtasking, Offshoring, Rightsizing, Shared-Services, Virtualisierung, Cloud-Computing und allem anderen zu erkennen, dass die Auslagerung und Fremdvergabe von IT-Leistungen ermöglichen und beschleunigen soll. Weg mit den Problemen, weg mit der Verantwortung dafür und runter mit den Kosten.

Allerdings macht der Gesetzgeber zunehmend klar, dass Verantwortung und Sorgfaltspflichten nicht delegiert werden können. Was externe Dienstleister verbocken bleibt haftungsrechtlich am Auftraggeber hängen. Auf den Dienstleister verweisen und sich auf Unwissenheit, Dummheit und eine bequeme passive Kundenposition zurückzuziehen, wird im Zweifel vor Gericht nicht akzeptiert.

Das macht auch eine erst 2008 rundeerneuerte ISO-Norm, die ISO/IEC 38500:2008 „Corporate Governance of Information Technology“ deutlich. Sie definiert und beschreibt, wie Unternehmen eine auf Best Practices basierende IT-Governance aufbauen können. Gute IT-Governance ist eine Voraussetzung dafür, IT-Probleme, Komplexität und Kosten grundsätzlich in den Griff zu bekommen. Es ist absehbar, dass von IT-Dienstleistern aber auch von Auftraggebern bald entsprechende Vorleistungen in Form von zertifizierbaren Organisationsstrukturen als Vorbedingung für Aufträge gefordert werden dürften.

„Angesichts der bestehenden Frameworks wie ITIL, COBIT und anderer, die alle die Ausrichtung der IT an den Geschäftszielen zum Ziel haben, wirkt der Ruf nach einem neuen Regelwerk auf den ersten Blick verwunderlich“, erläutert so Dr. Gisela Böndgen, Business Consultant beim Beratungshaus Serview. „Was aber, wenn die Geschäftsstrategie und -ziele gar nicht bekannt sind und wenn keine klaren Vorgaben aus den Chefetagen vorliegen“, fragt sie.

Und das dürfte in vielen Unternehmen der Fall sein. Man ist schon froh die technischen Aspekte geregelt zu bekommen, ohne das die Kosten aus dem Ruder laufen.  Kommen dann aber noch organisatorische und rechtliche Themen mit hinzu, ist rasch ein Punkt erreicht, an dem den Geschäftsführungen und ihren internen „Beauftragten für alles“ das Know-how und die Ressourcen ausgehen.

Vor allem aber soll der neue Standard den vielen Auslegungen und Missverständnissen bei der Gestaltung der Corporate Governance ein Ende bereiten. „Das unterschiedliche Verständnis behindert den Erfolg vieler Unternehmungen, deshalb bedarf es verbindlicher Klarheiten, damit die Unternehmen einen höheren Mehrwert aus ihren IT-Investitionen ziehen und die Risiken besser managen können“ so Böndgen weiter.

Die ISO 38500 definiert sechs Grundprinzipien zur Gestaltung der Corporate Governance:

1. Verantwortung (Responsibility): Das Topmanagement sollte die IT-Belange des Unternehmens angemessen wahrnehmen.
2. Strategie (Strategy): Die unternehmensstrategische Planung muss mit Blick auf die IT-Potenziale erweitert und angepasst sowie die IT-Strategie aus den Unternehmensstrategien hergeleitet werden.
3. Beschaffung (Acquisition): Die Gestaltung der IT-Budgets muss sich im Rahmen transparenter Entscheidungsprozesse konsequent am tatsächlichen Bedarf anstatt an politisch gesetzten Größen orientieren.
4. Leistung (Performance): Die IT-Services und –Produkte sind gemäß den konkreten Anforderungen der Fach- und Organisationsbereiche des Unternehmens zu gestalten.
5. Regelkonformität (Conformance): Die IT hat allen rechtlichen Vorgaben, Normen, internen Standards etc. zu entsprechen.
6. Faktor Mensch (Human behaviour): Die IT-Konzepte müssen den Bedürfnissen der internen und externen IT-Nutzern hohe Aufmerksamkeit beimessen.

Diese sechs Prinzipien sind dabei nicht als unverbindliche Leitbildfloskeln zu verstehen. Sondern als Programmüberschriften, die mit entsprechenden unternehmensspezifischen Maßnahmen realisiert werden müssen.

Jedem dieser sechs Prinzipien sind in der Norm drei Funktionen zugeordnet, die insgesamt eine Matrix mit 18 Leistungsfeldern der Unternehmens-IT bilden:

•    Bewertung: Kontinuierliche Beurteilung des IT-Einsatzes im laufenden Betrieb.
•    Leitung: Steuerung einer bedarfsgerechten Ausrichtung der IT-Maßnahmen am Geschäft des Unternehmens (business alignment).
•    Kontrolle: Systematische Überwachung von Regelkonformität (compliance) und Leistungsfähigkeit der IT mit Hilfe von geeigneten Werkzeugen und Verfahren.

Der Standard soll dabei helfen, die IT Prozesse so einzurichten, dass alle internen und externen Regelwerke – wie zum Beispiel Richtlinien, Gesetze und Verträge – eingehalten werden können. Er zielt dabei nicht auf eine bestimmte Art oder Größe von Organisationen ab, sondern soll von Unternehmen, Behörden oder Non-Profit-Organisationen gleichermaßen eingesetzt werden können. Dabei wird „Control Objectives for IT“ (COBiT) als Referenz für die Richtlinien, Prozesse und Controls, welche für Aufbau und Umsetzung eines Governance Management Systems zu implementieren sind, empfohlen – so die Unternehmensberatung Serview, einer der Treiber des Themas in Deutschland auf seiner Unternehmenshomepage.

Und das ist ein Punkt an dem insbesondere IT-Sicherheitsbeauftragte, Datenschützer und Betriebsräte ebenso wie Projektleiter und Methodenspezialisten aufmerken sollten. Denn die ISO 38500 sowie das COBiT-Framework oder auch das ITIL-System beschreiben letztlich Verfahren zur Etablierung, Ausrichtung und Steuerung von informationstechnischen Prozessen, in denen es auch um Fragen der Compliance, der IT-Sicherheit und des Datenschutzes gehen kann. Und nicht zuletzt um die eingangs erwähnte Frage, was intern mit eigenen Beschäftigten getan wird. Und was an Externe und Dienstleister abgegeben werden soll.