Freitag, 27. Juli 2012

Auftragsdatenverarbeitung vs. Funktionsübertragung – Teil 4: Konsequenzen für den Datenschutzbeauftragten

Nicht nur für die Verantwortlichkeit und die Haftung – siehe Teil 3 dieser Reihe – ist die Unterscheidung zwischen einer Auftragsdatenverarbeitung und einer Funktionsübertragung immens wichtig, auch wenn die Unterscheidung zwischen einer Auftragsdatenverarbeitung und einer Funktionsübertragung in der Praxis manchmal schwierig sein kann (siehe Teil 1 und Teil 2 der Reihe). Auch für den Datenschutzbeauftragten der beteiligten Unternehmen ist es extrem wichtig zu wissen, von welchem Fall auszugehen ist.

Funktionsübertragung
Bei der Datenübermittlung im Sinne des § 3 Abs. 4 Nr. 3 BDSG gibt es für den Datenschutzbeauftragten des übermittelnden und des empfangenden Unternehmens keine Besonderheiten: Er nimmt diese Verfahren jeweils in das Verfahrensverzeichnis des jeweiligen Unternehmens auf und prüft beim übermittelten Unternehmen die Befugnisse zur Datenübermittlung (etwa im Rahmen des § 28 Abs. 1 BDSG) bzw. beim empfangenden Unternehmen der Verarbeitung der personenbezogenen Daten.

Auftragsdatenverarbeitung
Bei einer Auftragsdatenverarbeitung sieht die Situation vollkommen anders aus: Da bei der Auftragsdatenverarbeitung der Auftraggeber für den Datenschutz insgesamt voll verantwortlich bleibt, muss auch der Datenschutzbeauftragte des Auftraggebers die Datenverarbeitung beim Auftragnehmer voll überwachen. Zu diesem Zweck hat er das gesamte Verfahren – auch die Verarbeitung beim Auftraggeber – in seinem internen Verfahrensverzeichnis zu führen. Hierzu ist er zum einen auf die Informationen vom Auftragnehmer angewiesen. Zum anderen hat er sich die erforderlichen Erkenntnisse und Einsichten in die Datenverarbeitungen durch den Auftragnehmer durch die von § 11 Abs. 2 Satz 4 BDSG geforderten Kontrollmaßnahmen einzuholen. Gemäß dieser Vorschrift ist der Datenschutzbeauftragte oder eine andere verantwortliche Person auf Seiten des Auftraggebers verpflichtet, sich regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen (nach § 9 BDSG und der Anlage zu § 9 BDSG) zu überzeugen. Gemäß § 11 Abs. 2 Satz 5 BDSG hat der Prüfer das Ergebnis dieser Kontrollen zu dokumentieren.

Der Datenschutzbeauftragte des Auftragnehmers sollte bei Anfragen durch die verantwortliche Person oder den Datenschutzbeauftragten des Auftraggebers Auskunft zu Details des durchgeführten Prozesses erteilen können. Hierfür kann es sinnvoll sein, diesen Prozess oder dieses Verfahren (zumindest abstrakt) in einem Verfahrensverzeichnis aufzunehmen. Insbesondere sollte der Datenschutzbeauftragte des Auftragnehmers die technischen und organisatorischen Maßnahmen gemäß § 9 BDSG und Anlage dokumentieren, um bei der Erfassung eines Vertrags zur Datenverarbeitung gemäß § 11 Abs. 2 BDSG diese Informationen gemäß § 11 Abs. 2 Nr. 3 BDSG beschreiben und aufführen zu können.

Freilich ist es nicht so, dass der Datenschutzbeauftragte des Auftragnehmers dann nichts mehr zu tun hätte, weil die Verantwortung für den von der Datenverarbeitung betroffenen Prozess beim Auftraggeber liegt. § 11 Abs. 4 BDSG weist explizit darauf hin, dass den Auftragnehmer unter anderem die Pflichten aus § 5 BDSG (Datengeheimnis), § 9 BDSG (technische und organisatorische Maßnahmen), § 43 Abs. 1 Nr. 2, 10 und 11, Abs. 2 Nr. 1-3 und Abs. 3 BDSG sowie § 44 BDSG als auch die §§ 4f, 4g BDSG (Datenschutzbeauftragter) und § 38 BDSG (Aufsichtsbehörde) treffen.

Donnerstag, 26. Juli 2012

„Personenbezogene Daten“, wohl die wichtigste Begrifflichkeit im Bundesdatenschutzgesetz.


Immer wieder kommt es bei der Identifizierung dieser Daten zu Fragen und Missverständnissen.
Die Sache wird ein wenig klarer, wenn man nun zwei Begriffe zugrunde legt, nämlich wie schon erwähnt die personenbezogenen Daten und die personenbeziehbaren Daten.

Wie unterscheidet man aber nun beide Begriffe von einander ?


Die Antwort findet man im § 3 (1) Bundesdatenschutzgesetz, dieser sagt folgendes aus:
 
Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener).
 

Wie Sie sehen, gibt es die Differenzierung auch im Gesetzestext, die rechtliche Wertung ist die gleiche.


Schauen wir uns das einmal genauer an:

Aus Daten über bestimmte Personen geht die Identität eindeutig hervor. Man kann also direkt entnehmen wer der Betroffene ist.
Ein Beispiel wäre ein Auszug aus einer Adressliste, in dem der Name des Betroffenen steht.


Aus Daten über eine bestimmbare Person geht zuerst einmal nicht hervor wer der Betroffene ist, es sind jedoch aber Informationen enthalten, die es möglich machen die Person zu identifizieren.
Beispiele wären hier eine Mitgliederliste, auf der nicht die Namen der Mitglieder verzeichnet sind, jedoch aber eine Mitgliedsnummer.
Anhand dieser Mitgliedsnummer, kann der Betroffene wieder bestimmt werden.

Nach Meinung der Datenschutz Aufsichtsbehörden, sind auch dynamische IP Adressen hiervon betroffen, denn zumindest der Provider kann anhand der IP Adresse Rückschlüsse auf den Betroffenen ziehen.

Wenn man die Begriffe nun genauer untersucht, so wird man feststellen, dass der Schutz von Persönlichkeitsrechten bei bestimmbaren Daten höher ist als bei bestimmten Daten.

Den Austausch von Informationen, die direkt auf eine natürliche Person schließen lassen, also zum Beispiel die Verwendung einer Nummer anstatt des Namens, nennt man Pseudonymisierung.

Die Pseudonymisierung von Daten macht in der Praxis durchaus Sinn, man darf hier jedoch aber nicht ausser acht lassen, dass auch bei pseudonymisierten Daten alle Vorschriften aus dem BDSG beachtet werden müssen.

Auch bei der Verarbeitung von pseudonymisierten Daten benötigt die speichernde Stelle eine Gesetzesgrundlage oder eine Einwilligung des Betroffenen.


xDSB berät Sie gerne.


Dienstag, 24. Juli 2012

Nutzung von Melderegisterdaten zu Zwecken der Werbung und des Adresshandels

Die Aufregung um das neue Gesetz zur Fortentwicklung des Meldewesens (MeldFortG) zeigt: Es existiert derzeit noch großes datenschutzrechtliches Unwissen zu der Frage, was man mit Datenabfragen aus Melderegistern so alles – zulässigerweise – anfangen kann.

Aber erst einmal der Reihe nach:

Nach der Empörung über die Novelle des MeldFortG meldeten sich zuerst einmal die Verantwortlichen für die kurzfristige Änderung des Entwurfs durch den Innenausschuss zu Wort:

Hans-Peter Uhl (CSU) meinte, das verabschiedete MeldFortG stelle eine "deutliche Verbesserung der gegenwärtigen Datenschutzregelung im Meldegesetz dar", während Herr Bosbach (CDU) sich wunderte, warum „man die Verbesserung der Datenschutzlage durch das verabschiedete Gesetz als Verschlechterung verkaufe“. Und auch Frau Gisela Piltz (FDP) findet das Gesetz gut, weil es den Datenschutz stärke – siehe Beitrag bei Spiegel Online.

Naja – den Verantwortlichen dürfte selbst klar sein, dass sich die Empörung der Massen zum einen an der kurzfristigen Abänderung des ursprünglichen Einwilligungsmodells in die Widerspruchslösung entzündete und zudem an der Art und Weise, wie das Gesetz im Bundestag beschlossen wurde.

Ich habe mich nach diesen oben genannten Statements dann aber gefragt: Kann ich nach der jetzigen Rechtslage – also den jeweiligen Meldegesetzen der Länder – Daten über gemeldete Einwohner (und gegebenenfalls Kinder) einfach so anfragen und damit „tun und lassen, was ich will“?

Ich habe mir dazu mal die Regelungen von drei Landesgesetzen (willkürlich) herausgepickt und untersucht:

Meldegesetz Baden-Württemberg:

§ 2 Zulässigkeit der Datenverarbeitung im Meldewesen
(1) Die Meldebehörden dürfen Daten, die im Melderegister gespeichert werden, nur verarbeiten, wenn
1. dieses Gesetz oder eine andere Rechtsvorschrift es erlaubt oder
2. der Betroffene eingewilligt hat.
Satz 1 gilt für die in § 5 Abs. 2 genannten Daten entsprechend.
(2) Soweit dieses Gesetz keine oder keine abschließende Regelung trifft, gilt hinsichtlich der Verarbeitung personenbezogener Daten das Landesdatenschutzgesetz .

§ 32 Melderegisterauskunft
(1) Personen, die nicht Betroffene sind, und anderen als den in § 29 Abs. 1 bezeichneten Stellen darf die Meldebehörde nur Auskunft über
1.  Familiennamen,
2.  Vornamen,
3.  Doktorgrad und
4.  Anschriften
einzelner bestimmter Einwohner erteilen (einfache Melderegisterauskunft). Dies gilt auch, wenn jemand Auskunft über Daten einer Vielzahl namentlich bezeichneter Einwohner begehrt.


Meldegesetz Nordrhein-Westfalen

§ 34 Melderegisterauskunft
(1) Personen, die nicht Betroffene sind, und anderen als den in § 31 Abs. 1 bezeichneten Stellen darf die Meldebehörde nur Auskunft über
1. Vor- und Familiennamen,
2. Doktorgrad und
3. Anschriften
einzelner bestimmter Einwohner erteilen (einfache Melderegisterauskunft). Dies gilt auch, wenn jemand Auskünfte über Daten einer Vielzahl namentlich bezeichneter Einwohner begehrt.

Meldegesetz Sachsen

§ 33 Melderegisterauskunft
(1) Personen, die nicht Betroffene sind, und anderen als den in § 29 Abs. 1 bezeichneten Stellen darf die Meldebehörde aus dem Melderegister nur Auskunft über
1. Vor- und Familiennamen,
2. Doktorgrad und
3. Anschriften
einzelner bestimmter Einwohner geben (einfache Melderegisterauskunft). Dies gilt auch, wenn jemand Auskunft über Daten einer Vielzahl namentlich bezeichneter Einwohner begehrt.

Wie § 2 des Meldegesetzes BW festschreibt, dürfen ohne Einwilligung des Betroffenen Daten nur verarbeitet werden, wenn es das Meldegesetz oder eine andere Rechtsvorschrift erlaubt – die übrigen untersuchten Meldegesetze regeln es ähnlich. Dies entspricht dem Grundsatz des Verbots mit Erlaubnisvorbehalts (vgl. auch § 4 Abs. 1 BDSG).

Wenn wir uns nun fragen, ob eine Datenübermittlung (dies ist eine Datenverarbeitung i.S.d. § 3 Abs. 4 S. 1 BDSG) an Dritte – also etwa an einen Adressverlag oder etwa an mich – der Meldebehörde erlaubt ist, müssen wir daher die entsprechende Erlaubnis in den Meldegesetzen suchen.

Diese findet man in den oben wiedergegebenen Normen, welche die sog. einfache Melderegisterauskunft regeln (also etwas § 32 Abs. 1 MeldeG BW, § 34 Abs. 1 MeldeG NRW oder § 33 MeldeG Sa).

Interessanterweise findet man bei der Befugnis zur Datenübermittlung keinen Hinweis auf einen Verwendungszweck des Daten-Erfragenden. Die Meldebehörde muss bei der einfachen Melderegisterauskunft – welche Vor- und Familiennamen, Doktorgrad und die Anschrift umfasst – in keinem Fall nachfragen oder prüfen, für welche Zwecke der Datenempfänger die Daten nutzen möchte. Man kann also daraus schließen, dass die Meldebehörde im Normalfall bei jeglicher Anfrage diese Daten übermittelt. Kostenpunkt je Adressensatz: Ca. 5-10 EUR (abhängig von Stadt oder Gemeinde).

Darüber hinaus kann man eine sog. erweiterte Melderegisterauskunft verlangen, sofern man ein berechtigtes Interesse geltend macht (etwa einen Schuldtitel angibt). Diese erweiterte Meldeauskunft beinhaltet neben den oben genannten Daten noch (nach Meldegesetz BW): Den früheren Vor- und Familiennamen, den Tag und Ort der Geburt, den gesetzlichen Vertreter, die Staatsangehörigkeiten, die früheren Anschriften, den Tag des Ein- und Auszugs, den Familienstand (beschränkt auf die Angabe, ob verheiratet oder eine Lebenspartnerschaft führend oder nicht), den Vor- und Familiennamen sowie Anschrift des Ehegatten oder Lebenspartners und Sterbetag und -ort. Kostenpunkt: Je nach Stadt oder Gemeinde zwischen 10 bis 20 EUR.

Es ist also in der Tat zutreffend, dass mit der jetzigen Rechtslage ohne weiteres im Wege einer einfachen Melderegisterauskunft auch Daten zum Zwecke des Adresshandels erworben werden dürfen, ohne dass der Betroffene über diesen Umstand informiert wird oder einwilligen muss bzw. widersprechen kann.

(Exkurs: Anders bei der erweiterten Meldeauskunft: Hier hat die Meldebehörde den Betroffenen über die Erteilung einer erweiterten Melderegisterauskunft unter Angabe des Datenempfängers unverzüglich zu unterrichten. Ausnahme: Wenn der Datenempfänger ein rechtliches Interesse, insbesondere zur Geltendmachung von Rechtsansprüchen, glaubhaft gemacht hat.)

Nächster Schritt:
Darf ich nun als Daten-Erfragender mit den im Wege der einfachen Melderegisterauskunft erlangten Daten einfach „tun und lassen, was ich will“ – wie ich es oben etwas flapsig formuliert habe?
Nein, natürlich nicht. Hier muss ich dann – wenn ich eine nicht-öffentliche Stelle im Sinne des Bundesdatenschutzgesetzes (BDSG) bin, gem. § 28 BDSG oder § 29 BDSG prüfen, unter welchen Bedingungen ich die Daten nutzen oder verarbeiten darf.

Das gilt natürlich auch, wenn ich Daten zum Zwecke des Adresshandels verarbeiten oder übermitteln möchte. Hier gilt dann die Vorschrift des § 29 BDSG. Und diese erlaubt zum einen gem. § 29 Abs. 1 Nr. 2 BDSG, dass ich die Daten zum Zweck einer Übermittlung (=Adresshandel) dann „geschäftsmäßig erheben, speichern, verändern oder nutzen“ darf, wenn „die Daten aus allgemein zugänglichen Quellen entnommen werden können oder die verantwortliche Stelle sie veröffentlichen dürfte, es sei denn, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Erhebung, Speicherung oder Veränderung offensichtlich überwiegt“. Hierbei ist anerkannt, dass die durch die einfache Melderegisterauskunft erlangten Daten aus einer allgemein zugänglichen Quelle stammen (Ehmann, in Simitis, BDSG, § 29 Rn. 192) – im Gegensatz zu solchen Daten aus einer erweiterten Melderegisterauskunft.
Wegen der Verweisung in § 29 Abs. 1 S. 2 BDSG ist darüber hinaus aber auch der § 28 Abs. 3 BDSG zu beachten, welcher eine Datenverarbeitung für Werbezwecke oder den Adresshandel gem. § 28 Abs. 3 S. 2 Nr. 1 BDSG auch bei einer Datenherkunft aus „allgemein zugänglichen Adress-, Rufnummern-, Branchen- oder vergleichbaren Verzeichnissen“ erlaubt.
Mithin ist nach derzeitiger Rechtlage eine Verwendung personenbezogener Daten aus einfachen Melderegisterauskünften für die Zwecke der Werbung oder des Adresshandels durchaus erlaubt auch ohne Information, Einwilligung oder Widerspruchsmöglichkeit des Betroffenen.

Hiervon unberührt bleibt natürlich die jederzeitige Möglichkeit des Betroffenen zum Widerspruch der Nutzung der Daten zu Werbezwecken gem. § 28 Abs. 4 BDSG. Diese Widerspruchsmöglichkeit besteht aber gegenüber demjenigen, welcher die Daten für Werbezwecke nutzt und verarbeitet und greift erst nach der Datenherausgabe durch die Meldebehörde.


Natürlich ist es zutreffend, dass die Einholung von personenbezogenen Daten auf diesem Wege recht teuer ist. Allerdings ist zu berücksichtigen, dass aufgrund der Verschärfung der Vorschriften des § 28 Abs. 3 BDSG der Aufwand für einen zu Werbezwecken verwertbaren Datensatz ohnehin wesentlich gestiegen sein dürften und zum anderen die von den Einwohnermeldeämtern eingeholten Daten sicherlich zu den qualitativ hochwertigsten und verifiziertesten Daten gehören dürften. Das dürfte bei einem Verkauf oder einer Vermietung dieser Daten sicherlich nicht unbeachtlich bleiben.
Insoweit bringen die Änderungen durch das neue Gesetz zur Fortentwicklung des Meldewesens (MeldFortG) – egal ob Einwilligungs- oder Widerspruchslösung – in der Tat ein „Mehr an Datenschutz“.