Ein Schulungsklassiker So schließen Sie die Schwachstelle ... · men einer Datenschutzschulung...

www.datenschutz-praxis.de

R E C H T S S I C H E R | V O L L S T Ä N D I G | D A U E R H A F T Dezember 2018

Eigentlich müsste es mittler- weile jeder wissen …

Immer dann, wenn Mitarbeiter Bildschir-me nicht sperren, sobald sie den Arbeits-platz verlassen, können Unbefugte Daten einsehen. Handelt es sich dabei um per-sonenbezogene Daten, liegt stets eine Schutzverletzung im Sinne der Daten-schutz-Grundverordnung (DSGVO) vor. Sie ist nur dann nicht meldepflichtig nach Art. 33 DSGVO, wenn für die betroffene Person kein Risiko für die Grundrechte und Grundfreiheiten vorliegt.

Die unbefugte Offenlegung von Daten auf Monitoren ist ein selten beachtetes, oft aber erhebliches Risiko. Für die Kolle-ginnen und Kollegen ist es normal, dass an Bildschirmen Daten zu sehen

erkennen. Ah, da ist sein Termin. Darüber stehen zwei Mitbewerber, darunter noch einer. Weitere Termine zum möglichen Auftrag sieht er nicht. Da er die Mitbewer-ber kennt, kann er sein Angebot um zwei Prozent verteuern und bleibt dennoch der günstigste Anbieter. Wäre der Bildschirm gesperrt gewesen, hätte das Unterneh-men viel Geld gespart!

Vertriebsmitarbeiter Seller kommt zum Kundentermin an den Emp-fang eines Unternehmens. Es geht

um einen Auftrag in Millionenhöhe. Am vorübergehend nicht besetzten Empfang ist der Bildschirm ganz bequem einzuse-hen, darauf: der geöffnete Terminkalen-der. Herr Seller sieht sich den Kalender der aktuellen Woche an, er kann ihn gut

Ein Schulungsklassiker

So schließen Sie die Schwachstelle „Bildschirme“Sind Monitore für Unbefugte einsehbar, müssen Beschäftigte sie vor un-

liebsamen Blicken schützen. Bildschirmsperren und Blickschutzfolien sind

dabei immer noch die wichtigsten Helfer.

Immer noch Standard: Wer mobil arbeitet, tut dies oft genug ohne Blickschutzfolie

Foto

: iSt

ock.

com

/mon

keyb

usin

essi

mag

es

T I T E L

01 So schließen Sie die Schwachstelle „Bildschirme“

S C H U L E N & S E N S I B I L I S I E R E N

05 Berechtigtes Interesse: Genügt das für Direktwerbung?

B E S T P R AC T I C E

08 Datenträger ordnungs-gemäß entsorgen

N E W S & T I P P S

12 Datenschutz im Verein

12 Zeitbudget eines DSB

N E W S & T I P P S

12 Externe Dienstleister und Schweigepflicht

B E R AT E N & Ü B E R WAC H E N

13 Rechtsanwälte als DSB

15 So setzen Arztpraxen die DSGVO um (Teil 2)

B E R AT E N & Ü B E R WAC H E N

17 Persönlichkeitstests – was ist zulässig?

DAT E N - S C H LU S S

20 T90 hält am längsten

➞

2 T I T E L

Ausgabe 12 / 2018

sind, dafür sind diese ja da. Dass die Daten für Dritte möglicherweise eine wichtige Information darstellen, liegt für sie nicht unbedingt auf der Hand.

Hier sind Datenschutzrichtlinien nötig – und immer wieder Schulungen. Nur so wird es Unternehmen und Behör-den gelingen, die zwei wichtigsten und doch so einfachen Schutzmaßnahmen Bildschirmsperren und Blickschutzfolien nachhaltig im Bewusstsein der Mitarbei-ter zu verankern.

Praxisbeispiele für Ihre Schulungen

Erfahrungsgemäß sind echte Praxisfälle die besten Schulungsinhalte. Vielleicht haben Sie selbst schon Situationen er-lebt, die Sie verwenden können? Denn mit solchen Geschichten erreichen Sie die Schulungsteilnehmer am direktesten. Auch die folgenden Konstellationen, die sicher jeder so oder ähnlich kennt, kön-nen Sie dafür nutzen.

Bildschirme am Empfang

Nicht selten ist der Empfang ein off enes Rondell im Eingangsbereich eines Unter-

Editorial

Liebe Leserinnen, liebe Leser, an dieser Stelle möchte ich mich einmal ausdrücklich bei Ihnen bedanken – sowohl bei den vielen langjährig treuen Kunden als auch bei den zahlreichen neu-en Lesern, die hoff entlich zu ebenso langjährigen werden. Ohne Sie und Ihre Anregungen gäbe es diese Zeitschrift nicht.

Eine Neuerung, die aus Ihren Rückmeldungen entstanden ist, haben Sie wahrscheinlich schon bemerkt: Wir liefern die Datenschutz PRAXIS nun ohne die Plastikhülle aus. Damit tragen wir zumindest ein klein wenig dazu bei, die Müllber-ge nicht noch weiter zu vergrößern. Ich hoff e, die Zeitschrift kommt trotzdem in einem guten

Zustand bei Ihnen an. Sollte das nicht der Fall sein, melden Sie sich bitte. Nur so können wir beurteilen, ob der Umstieg funktioniert.

Ein aufregendes und anstrengendes Jahr neigt sich langsam dem Ende zu. Glücklicherwei-se steht die Welt auch nach Inkrafttreten der Datenschutz-Grundverordnung noch (das war ja nicht immer so sicher ...), und viele Arbeiten sind erledigt. Eine möglichst ruhige und schöne Weihnachtszeit wünscht Ihnen daher

Hüllenlos

Ricarda Veidt,Chefredakteurin

Ihre Ricarda Veidt

Empfehlen Sie am Empfang daher neben der verpfl ichtenden Bildschirmsperre, Blickschutzfolien anzubringen.

Bildschirme, die von außen durch Fenster einsehbar sind

Immer wieder sind Monitore so aufge-stellt, dass Vorbeikommende sie von der Straßenseite aus durchs Fenster einsehen können. Das ist v.a. in der dunklen Jahres-zeit von Bedeutung. Denn die arbeiten-den Personen können spätestens dann einen stehengebliebenen Passanten nicht mehr sehen, dieser aber den Bildschirm sehr wohl. Hier helfen Milchglasfolien auf den Scheiben. Möglicherweise lassen sich auch die Bildschirme anders drehen oder mit Blickschutzfolien ausstatten. Sind Vor-hänge oder Jalousien vorhanden, sollten die Mitarbeiter sie spätestens ab der Däm-merung nutzen.

Elektronische Patientenakten auf Klinikfl uren

Eigentlich sollte das Personal ja die PCs oder Clients, die auf den üblichen Schie-betischen stehen, mit in das jeweilige Krankenzimmer nehmen, wenn eine Visi-te stattfi ndet. Ist das Zimmer aber schon

nehmens. Bildschirme, die dort stehen, sind ohne weitere Maßnahmen immer von irgendwoher einsehbar. Die Wahr-scheinlichkeit, dass eine Schutzverletzung eintritt, ist hier sehr groß. Sie geschieht ohne Schutz mehrfach am Tag. Die Scha-denshöhe dürfte im Allgemeinen nicht sehr hoch sein. Allerdings kann es auch hier zu einem hohen Schaden kommen, wenn Unbefugten sensible Informatio-nen zugänglich sind und die Meldepfl icht greift. Oder in Fällen wie dem eingangs beschriebenen, bei dem ein Anbieter ei-nen höheren Preis verlangt, weil er mehr Informationen hat, als er haben dürfte.

Planen Sie als Teil der Schulungs-maßnahmen eine gemeinsame

Begehung der verschiedenen Arbeits-plätze ein. Das zeigt ganz konkret auf, wie die Arbeitsumgebung etwa in Bezug auf Publikumsverkehr beschaff en ist, ob jemand einen Bildschirm von außen einsehen kann, welche Fehlerquellen es gibt und welche Gegenmaßnahmen am sinnvollsten sind.

P R A X I S - T I P P

3T I T E L T I T E L

Ausgabe 12 / 2018

voll, passen diese Wagen oft nicht mehr hinein. Die Folge: Sie bleiben auf dem Gang stehen, wie sicher viele Kranken-hausbesucher bestätigen können. Sind PC und Notebook, also die ei-gentliche elektronische Patientenak-te, nicht eigens gesichert, können sich

Unbefugte höchst vertrauliche Informati-onen verschaffen. Hier hilft nur die Bild-

schirmsperre mit der Kombination „Windows-Taste“ und „L“.

Es geschah auf dem Klinikflur. Der Patientenwagen stand vor

dem Patientenzimmer. Eine Pflegerin ruft aus einem Krankenzimmer um Hilfe, ein Patient ist kollabiert. Die Pflegekraft, die am Klinikwagen steht und damit di-rekt auf die Patientenakte Einfluss hat, will sofort losrennen. Sie zögert nur ganz kurz und sperrt den Bildschirm. Die ➞

Begriffsbestimmung, Risiko und Schadenshöhe

Nach Art. 4 Abs. 12 DSGVO bezeichnet der Ausdruck „Verletzung des Schutzes personenbezogener Daten“ eine Verlet-zung der Sicherheit, die dazu führt, dass personenbezogene Daten vernichtet oder verändert werden oder verloren gehen. Auch ein unbefugtes Offenle-gen oder ein unbefugter Zugang zu den Daten zählt dazu. Dabei kommt es nicht darauf an, ob dies unbeabsichtigt oder unrechtmäßig geschieht. Sehen Unbefugte personenbezogene oder auf Personen beziehbare Daten auf Bildschirmen, liegt eine unbefugte Offenlegung vor, die gleichzeitig ei-ne Schutzverletzung bedeutet. Ist der Rechner insgesamt verlassen und der Bildschirm nicht gesperrt, etwa in Be-sprechungsräumen während der Pau-sen, kann auch ein unbefugter Zugang zu Daten erfolgen.

Risiko ermitteln und bewerten

Je nachdem, wie viele unbefugte Perso-nen an Arbeitsplätzen vorbeikommen, an denen Beschäftigte mit personenbe-zogenen oder auf Personen beziehbaren Daten arbeiten, ist das Risiko, dass eine Schutzverletzung durch unbefugte Of-fenlegung eintritt, unterschiedlich zu bewerten:■■ In Büros, in die nur selten eine nicht

befugte Person kommt, ist die Wahr-scheinlichkeit, dass eine unbefugte Offenlegung eintritt, als eher gering zu betrachten. Dafür dürfte die Ge-fahr, dass Unbefugte sich über das System Zugang zu Daten verschaffen,

größer sein. Denn das Risiko, entdeckt zu werden, ist geringer.

■■ Kommen regelmäßig Unbefugte in den Raum, egal ob interne oder exter-ne Personen, dann ist die Gefahr, dass eine unbefugte Offenlegung stattfin-det, als mittel bis hoch zu bewerten. Das Risiko eines unbefugten Zugangs ist hingegen geringer, da die unbe-fugte Person rascher gestört wird.

■■ Befindet sich der Arbeitsplatz stän-dig im Mittelpunkt von Unbefugten, etwa am Empfang einer Arztpraxis, ist die Eintrittswahrscheinlichkeit der unbefugten Offenlegung als hoch bis sehr hoch einzustufen, die Gefahr des unbefugten Zugangs eher als gering.

Schadenshöhe ist abhängig von den Datenkategorien

Die Schadenshöhe richtet sich v.a. nach der Datenkategorie der offengelegten Daten. Personenbezogene Daten von Abonnenten eines Newsletters sind von der Gefährdung her anders einzustufen als Patientendaten. Diese Bewertung ist auch maßgeblich für die Frage, ob bei einer Schutzverletzung eine Meldung an die Aufsichtsbehörde für den Daten-schutz nötig ist oder ob sich herausstellt, dass für die betroffenen Personen kein Risiko für die Rechte und Freiheiten vor-liegt und daher eine Meldung unterblei-ben kann.

Unbefugte Offenlegung und unbefugter Zugang

Gerade am Empfang ist die Gefahr besonders groß, dass Unbefugte einen Blick auf perso-nenbezogene Daten, die am Bildschirm geöffnet sind, werfen können

Foto

: iSt

ock.

com

/Med

iaPr

oduc

tion

4

Ausgabe 12 / 2018

S C H U L E N & S E N S I B I L I S I E R E NT I T E L

Eberhard Häcker hat lange Jahre Erfahrun-gen in der Weiterbildung gesammelt, bevor er zum Datenschutz kam, u.a. als Berufsschullehrer, als Abteilungsleiter für Berufsbildung bei einer Handwerks-

kammer sowie als Mitglied der Geschäftsführung der IHK Saarland, wo er den Geschäftsbereich Aus- und Weiterbildung betreute.

Verzögerung betrug insgesamt keine 0,5 Sekunden.

Im Vorzimmer der Geschäftsführung

Vorzimmer der Geschäftsführung oder des Vorstands sind immer Räume mit besonders schützenswerten Daten. Dabei geht es nicht nur um Ge-schäftsgeheimnisse, sondern auch um zahlreiche personenbezogene Daten. Bewerbungen, Kündigungen und Zeugnisse sind nur einige Beispiele. Hier sollten alle Bildschirme so stehen, dass sie nicht auch nur zufällig durch Unbefugte eingesehen werden können.

Immer wieder werden Assistentinnen und Assistenten abgerufen, und immer wieder findet man ihre Bildschirme nicht gesperrt vor. Dass hier nicht nur unbefugt perso-nenbezogene Daten oder Geschäftsge-heimnisse eingesehen, sondern auch ge-fälschte Nachrichten per Mail verschickt werden können, liegt auf der Hand. Daher sind Arbeitsplätze in solchen Räumen be-sonders vor unbefugten Eingriffen in die Daten zu schützen. Hier helfen ebenfalls Bildschirmsperren und Blickschutzfolien.

Blickschutzfolien und Bild-schirmsperren richtig anwenden

Den Beschäftigten nur zu sagen, sie möchten doch bitte ab sofort diese zwei Instrumente anwenden, reicht erfah-rungsgemäß nicht. Anwendungstipps und praktische Demonstrationen im Rah-men einer Datenschutzschulung helfen da schon viel weiter.

Bildschirmfolien

Blickschutzfolien werden auf den Monitor aufgelegt und mittels Klemmen befes-tigt. Der einsehbare Winkel beträgt nor-malerweise 30°. Wer weiter seitlich steht, erkennt den Bildschirminhalt nicht mehr. Das kann an exponierten Arbeitsplätzen wie am Empfang schon ausreichen, um die Gefahr, dass jemand unbefugt Einsicht bekommt, deutlich zu verringern. Gleiches gilt beim Arbeiten unterwegs, etwa im Zug. Nebensitzer können den Bildschirm- inhalt nicht mehr sehen – allerdings gilt dies nicht für Personen, die in der Sitzreihe

hinter der arbeitenden Person sitzen und einen ähnlichen Einblickwinkel haben wie die Beschäftigten. Dennoch müssen Blick-schutzfolien auf Reisen unbedingt zur Standardausrüstung gehören!

Beschäftigte empfinden Blick-schutzfolien anfangs meist als läs-tig und hinderlich, wenn niemand

ihnen erklärt und zeigt, wie sie an-zuwenden sind. Denn gewohnte Bild-

schirmeinstellungen funktionieren nicht mehr wie sonst: Man möchte z.B. Kollegen am Bildschirm etwas zeigen, und diese se-hen das Bild nicht oder zu dunkel. Da sich Bildschirme in ihrer Position verändern lassen, v.a. was den Neigungswinkel be-trifft, können die Mitarbeiter dieses Man-ko leicht selbst korrigieren. Hier hilft eine einfache Demonstration während der Schulung, diese Vorurteile abzubauen.

Folien selbst vorführen

Es spricht ja nichts dagegen, dass Daten-schutzbeauftragte ihr eigenes Notebook mit einer Blickschutzfolie vor unbefug-ter Einsicht schützen. So können sie in Schulungen direkt vorführen, wie diese Blickschutzfolien wirken. Stellen Sie den Bildschirm so auf, dass die Teilnehmer der Schulung den geschützten Bildschirm erst frontal sehen und so den Bildschirminhalt lesen können. Drehen Sie dann den Rech-ner langsam so weg, dass das sichtbare Bild verschwindet. Diese Vorführung ist für Menschen, die die Wirkung der Blick-schutzfolien noch nicht kennen, oft sehr interessant und lehrreich.

Richtiges Anbringen üben

Blickschutzfolien müssen direkt auf dem Monitor angebracht sein. Hier ist bei der Bestellung die exakte Größe wichtig. Ist die Folie zu groß und liegt sie daher auf dem höher liegenden Rahmen des Bild-schirms auf, wird das Bild unscharf. Wei-sen Sie hierauf schon in der Schulung hin, auch wenn normalerweise die Kollegen von der IT die Folien an stationären Ar-beitsplätzen anbringen. Sonst kann es zu kuriosen Situationen kommen, wie Sie in einem der nächsten „Daten-Schlüsse“ le-sen werden …

Bildschirme sperren

Eine äußerst sinnvolle Maßnahme nicht nur an exponierten Arbeitsplätzen ist der Einsatz von Bildschirmsperren. Für Windows ist dies die Tastenkombination „Windows-Taste“ und gleichzeitig „L“ oder „Strg + Alt + Entf“. Verlässt ein Kollege sei-nen Arbeitsplatz, muss ihm eine dieser Tastenkombinationen in Fleisch und Blut übergegangen sein. Das ist Übung und erfordert ständige Wiederholung.

Um die Motivation zu erhöhen, lassen sich flankierende Maßnahmen einführen: Erfahrungsgemäß helfen hier Vereinba-rungen, wie mit „erwischten“ Personen, die die Sperre nicht eingeschaltet und den Arbeitsplatz dennoch verlassen ha-ben, zu verfahren ist. Bewährt haben sich Maßnahmen wie ein Croissant für jeden im Großraumbüro – eine von der Ge-meinschaft beschlossene Maßnahme, die im Praxisfall nur zweimal greifen musste, danach hatte jeder seinen Bildschirm vor-bildlich gesperrt. Oder erinnern Sie sich noch an die unfreiwillige Einladung des Chefs zum Eis für alle, den Daten-Schluss aus der September-Ausgabe der Daten-schutz PRAXIS?

Fazit: Ohne regelmäßige Schulungen geht es nicht

Arbeiten Beschäftigte an Plätzen, an de-nen Unbefugte die Monitore einsehen können, empfehlen Sie Schulungen oder führen Sie sie selbst durch, um die Risiken bewusst zu machen und damit weitge-hend auszuschließen. Sinnvolle Gegen-maßnahmen sind die Verwendung von Bildschirmsperren und Blickschutzfolien. Der richtige Umgang mit diesen zwei In-strumenten und ein Bewusstsein für die Verantwortung, die jeder einzelne Mitar-beiter hat, um Datenschutzverletzungen zu verhindern, sollten ebenfalls Gegen-stand dieser Schulungen sein.

5T I T E L

Ausgabe 12 / 2018

5S C H U L E N & S E N S I B I L I S I E R E N S C H U L E N & S E N S I B I L I S I E R E NT I T E L

Grundlage für Direktwerbung

Berechtigtes Interesse: Genügt das für Direktwerbung?Vielerorts ist zu lesen, dass ein berechtigtes Interesse als Grundlage –

sogar für E-Mail-Werbung – genügen soll. Datenschutzrechtlich ist das

nur die halbe Wahrheit. Ein genauerer Blick ist daher zwingend.

Das berechtigte Interesse des Verant-wortlichen ist Ausgangspunkt für eine weitergehende Interessenabwägung. Beim berechtigten Interesse allein ste-henzubleiben, reicht nicht.

Foto

: iSt

ock.

com

/Car

men

Mur

illo

Das Marketing freut sich, dass es mit der Datenschutz-Grundver- ordnung (DSGVO) nun freie

Fahrt bei der Werbung hat? Ganz so ein-fach ist es leider nicht. Bringen Sie den Kolleginnen und Kollegen näher, dass es schon etwas mehr braucht als das „berechtigte Interesse“.

Die DSGVO hat als EU-Verordnung Vor-rang vor allen nationalen Regelungen, die denselben Sachverhalt regeln. Auf den ersten Blick ließe sich also argumentieren, dass die Vorgaben des Gesetzes gegen den unlauteren Wettbewerb (UWG) nicht mehr gelten. Beispiel: Nach § 7 Abs. 2 Nr. 2 UWG ist Telefonwerbung gegenüber Ver-brauchern nur mit vorheriger ausdrück-licher Einwilligung zulässig. Die DSGVO fordert eine solche aber nicht, und Erwä-gungsgrund 47 bezeichnet zudem die Direktwerbung als berechtigtes Interesse. Hätte die DSGVO nun Vorrang vor dem UWG, wäre keine Einwilligung mehr nötig.

Das Argument ist schön, aber zu kurz ge-sprungen. Die Gesichtspunkte, die der Infokasten auf der folgenden Seite ver-tiefend erklärt, machen dies deutlich. Die skizzierte Diskussion ist juristisch span-nend (und muss in der Zukunft vertieft werden). Aber ist der Ansatz, dass die DSGVO das UWG verdrängt, überhaupt alltagstauglich?

Nicht zu verachtendes Risiko

Das Risiko besteht darin, ein Gericht in einem Rechtsstreit davon überzeugen zu müssen, dass es nicht einfach § 7 Abs. 2 Nr. 3 und Abs. 3 UWG anwenden kann, son-dern sich spitzfindig im „Klein-Klein“ mit dem Vorrang von EU-Verordnungen und der Umsetzung von Richtlinien befassen muss. Das soll nicht heißen, dass das nicht möglich ist. Aber eines erscheint weit-gehend sicher: Das ist zeit- und kosten-intensiv. Und falls sich das Gericht nicht überzeugen lassen sollte, hängt daran die gesamte Marketingkampagne …

Auch der Bundesgerichtshof (BGH) hat in seinem Urteil vom 10.07.2018 (Az. VI ZR 225/17) – also nach Anwendungsbeginn der DSGVO – darauf abgestellt, dass die Zulässigkeit von E-Mail-Werbung an § 7 Abs. 3 UWG bzw. Art. 13 ePrivacy-Richt-linie zu messen ist. Er hat nicht allein das berechtigte Interesse nach Art. 6 Abs. 1 Buchst. f. DSGVO herangezogen. Der BGH scheint damit jedenfalls von der Fortgel-tung des UWG auszugehen.

Ein Blick in die Zukunft darf ebenfalls nicht fehlen: Artikel 16 des aktuellen Entwurfs der ePrivacy-Verordnung, die nach ihrem Anwendungsbeginn Vorrang vor der DS-GVO hätte, enthält erneut eine Regelung, die weitgehend Art. 13 der ePrivacy-Richt-linie und damit § 7 Abs. 2 Nr. 2, Nr. 2 und Abs. 3 UWG entspricht.

➞

Um es ganz klar zu sagen: Es besteht Spielraum für juristische

Auslegungen und Diskussionen. Aber in der Beratung und der Bewertung im Un-ternehmen müssen auch die „Schatten-seiten“ deutlich beleuchtet werden, um ein böses Erwachen zu vermeiden. Wer sichergehen will, sollte sich sowohl an der DSGVO als auch am UWG orientieren.

W I C H T I G

Anforderungen des UWG

§ 7 UWG regelt die wettbewerbsrecht-lichen Voraussetzungen für Direktwer-bung. Danach kommt nur in bestimmten Konstellationen eine Direktwerbung ohne eine vorherige ausdrückliche Einwilligung in Betracht:

6 T I T E L

Ausgabe 12 / 2018

6 S C H U L E N & S E N S I B I L I S I E R E N

■■ Briefpostwerbung ■■ Telefonwerbung gegenüber Nicht-Ver-

brauchern (mutmaßliche Einwilligung) ■■ E-Mail-Werbung (Anforderungen von

§ 7 Abs. 3 UWG).

In allen anderen Fällen ist eine Einwilli-gung nach Maßgabe von Art. 6 Abs. 1 Buchst. a DSGVO erforderlich (zu den An-forderungen an Einwilligungen in Direkt-werbung: Eckhardt, Datenschutz PRAXIS 10/18, S. 8 ff.).

Direktwerbung per Briefpost ohne Einwilligung

Nach § 7 UWG ist Briefpostwerbung so lange zulässig, bis die beworbene Person widerspricht oder sonst erkennbar ist, dass sie keine Zusendung wünscht. Auch nach Art. 6 Abs. 1 Buchst. f DSGVO kann Direktwerbung mittels Briefpost

zulässig sein. Sie ist es aber nicht allein schon deshalb, weil Erwägungsgrund 47 DSGVO Direktwerbung als berechtigtes Interesse anerkennt. Denn der Wortlaut von Art. 6 Abs. 1 Buchst. f DSGVO macht deutlich, dass das Vorliegen eines berech-tigten Interesses nur der Einstieg in die nach Art. 6 Abs. 1 Buchst. f DSGVO erfor-derliche Abwägung der wechselseitigen Interessen ist.

Erwägungsgrund 47 DSGVO erspart damit in der Praxis nur den ersten Schritt

– nämlich die Begründung, dass Direktwerbung ein berechtigtes Interesse ist. Im nächsten Schritt

müssen Verantwortliche dem eigenen berechtigten Interesse die

schutzwürdigen Interessen der betroffe-nen Personen gegenüberstellen und so-dann beides gegeneinander abwägen.

Die „vernünftigen Erwartungen“

Das ist nicht vollkommen neu. Das sah das alte Bundesdatenschutzgesetz in § 28 ähnlich vor. Durch die DSGVO wird aber ein bisher nicht so sehr beachteter Aspekt in der Interessenabwägung eine größere Rolle spielen: die „vernünftigen Erwar-tungen der betroffenen Person, die auf ihrer Beziehung zu dem Verantwortlichen beruhen“ (Erwägungsrund 47 DSGVO). In diesem Zusammenhang sind die Infor-mationspflichten nach Art. 13, 14 DSGVO wichtig. Denn mit einer Verarbeitung, über die die betroffene Person informiert ist, wird sie auch im Sinne dieser Regelun-gen rechnen müssen.

In der Regel wird daher bei Daten, die der Werbetreibende direkt bei der betroffenen Person erhoben hat, weiterhin davon aus-zugehen sein, dass Direktwerbung mittels Briefpost an diese Adressdaten zulässig ist.

Direktwerbung per Telefon ohne Einwilligung

Telefonwerbung ist gegenüber Nicht-Ver-brauchern ohne vorherige ausdrückliche Einwilligung zulässig. Daher ist auch da-tenschutzrechtlich eine Zulässigkeit nach Art. 6 Abs. 1 Buchst. f DSGVO – also über die Interessenabwägung – möglich. Da-mit gilt das zur Briefpostwerbung Gesag-te. Allerdings fordert § 7 Abs. 2 Nr. 2 UWG eine mutmaßliche Einwilligung. Allein die häufig in diesem Kontext bemühte „(be-stehende) Geschäftsbeziehung“ genügt nicht. Die Rechtsprechung hat hierzu zwei weitere Kriterien herausgearbeitet:

■■ Zunächst ist Voraussetzung, dass sich aufgrund objektiver Anhaltspunkte annehmen lässt, dass der Angerufene zur beworbenen Leistung Werbung wünscht.

■■ Darüber hinaus ist erforderlich, dass sich objektiv annehmen lässt, dass er dies gerade per Telefon und nicht auf anderem Weg wünscht.

Damit ist klar, dass ein berechtigtes In-teresse allein nicht genügt, um die Tele-fonwerbung zu rechtfertigen. Gleichwohl macht die DSGVO damit die Telefonwer-

Warum die DSGVO das UWG nicht verdrängt

Die Regelung in § 7 UWG dient der Umsetzung von Art. 13 der Daten-schutzrichtlinie 2002/58/EG, also der sogenannten ePrivacy-Richtlinie. Die DSGVO sieht in ihrem Art. 95 – verein-facht – vor, dass die DSGVO nationale Regelungen, die die ePrivacy-Richt-linie umsetzen, nicht verdrängt. Ein gewisser Argumentationsspielraum bleibt dennoch. Denn Art. 13 der ePri-vacy-Richtlinie gibt den § 7 UWG nicht wörtlich vor (vertiefend: Eckhardt, Da-tenschutzrichtlinie für elektronische Kommunikation – Auswirkungen auf Werbung mittels elektronischer Post, MMR 2003, 557 ff.).Einen Schritt weitergedacht, ließe sich argumentieren, dass die Vorgaben in § 7 Abs. 2 Nr. 3 und Abs. 3 UWG nach Art. 13 der ePrivacy-Richtlinie nur zum Schutz natürlicher Personen zwin-gend seien. Dies als zutreffend unter-

stellt, würde Spielraum für Werbung gegenüber juristischen Personen ent-stehen, und diesen gegenüber wäre dann eventuell E-Mail-Werbung nur nach Maßgabe der DSGVO möglich. Da aber die DSGVO ihrerseits nur na-türliche Personen schützt (Art. 1 Abs. 1 DSGVO), hat sie auch nur insoweit Vor-rang. Somit würde sie dann wieder die Beschränkung von § 7 Abs. 2 Nr. 3 und Abs. 3 UWG nicht verdrängen.Ein weiterer Aspekt ist, dass die DS-GVO und das UWG nicht dasselbe Schutzziel haben. Das UWG befasst sich nicht mit der Verarbeitung perso-nenbezogener Daten wie die DSGVO (Art. 2 Abs. 1 DSGVO). Das UWG regelt den Schutz vor Belästigung durch Di-rektwerbung im Interesse eines fairen Wettbewerbs. Kurzum: Der Ansatz, dass die DSGVO § 7 UWG verdrängt, ist nicht schnell begründet.

DSGVO und UWG: nur zusammen ein vollständiges Bild

7T I T E L T I T E L

Ausgabe 12 / 2018

7S C H U L E N & S E N S I B I L I S I E R E N S C H U L E N & S E N S I B I L I S I E R E N

■■ Zum einen gibt es die bereits ange-sprochenen Vorgaben in Art. 21 DS-GVO und § 7 Abs. 3 UWG.

■■ Zum anderen besteht auch nach Art. 13 Abs. 2 Buchst. b und Art. 14 Abs. 2 Buchst. c DSGVO die Pflicht, die betrof-fene Person auf ihr Widerspruchsrecht hinzuweisen.

Dem Wortlaut und der Systematik nach begründen Art. 13 Abs. 2 Buchst. b und Art. 14 Abs. 2 Buchst. c DSGVO kein ei-genständiges, zusätzliches Widerspruchs-recht, sondern fordern nur den Hinweis auf das nach Art. 21 DSGVO bestehende

Widerspruchsrecht. Damit genügt ein einziger Hinweis auf das Wi-derspruchsrecht, der alle Vorga-ben gleichzeitig erfüllt. Allerdings

sind die unterschiedlichen Zeit-punkte zu beachten, zu denen der

Hinweis jeweils erfolgen muss.

Fazit: insgesamt bessere Rechtslage

Allein das „berechtigte Interesse“ führt nicht dazu, dass Direktwerbung ohne Einwilligung zulässig ist. Das gilt auch und obwohl Erwägungsgrund 47 die Di-rektwerbung als berechtigtes Interesse anerkennt. Schon der Wortlaut von Art. 6 Abs. 1 Buchst. f DSGVO macht dies deut-lich. Darüber hinaus sieht § 7 UWG Vorga-ben vor, die im Rahmen der Interessenab-wägung Auswirkungen zeigen und für die Zulässigkeit der Werbung ohne Einwilli-gung maßgeblich sind.

Obgleich die Anforderungen nicht ge-ring sind, wenn das UWG zur Anwendung kommt, ist die Rechtslage unter der DS-GVO besser als unter dem alten BDSG. Denn es sah keine Ausnahmen vom Ein-willigungserfordernis bei Telefon- und E-Mail-Werbung vor. Unterm Strich bleibt es aber dabei, dass auch unter der DSGVO im Wesentlichen die gleichen Anforderun-gen wie davor zu beachten sind. Das ist maßgeblich § 7 UWG geschuldet.

Der BGH hat sich jüngst in seinem Urteil vom 10.07.2018 (Az. VI ZR 225/17) mit § 7 Abs. 3 UWG befasst. Leider bot der zu entscheidende Fall keinen Anlass, sich mit den unklaren Fragen zu befassen. Aus der Entscheidung lässt sich aber entnehmen, dass der Hinweis nicht erst in der ersten E-Mail-Werbung erfolgen darf, sondern bereits davor erfolgen muss.

Die Interessenabwägung nach Art. 6 Abs. 1 Buchst. f DSGVO wird typischerweise dazu führen, dass kein Interesse der be-troffenen Person (also des Werbe-Emp-fängers) entgegensteht, wenn die An-forderungen von § 7 Abs. 3 UWG (bzw. Art. 13 Abs. 2 Datenschutzrichtlinie 2002/58/EG) beachtet sind. Aber das lässt sich nicht pauschal unterstellen, sondern ist im konkreten Fall zu prü-fen. Auch diese Bewertung macht die DS-GVO – anders als § 28 Abs. 3 Satz BDSG-alt – erstmals zwanglos möglich.

Hinweis auf Widerspruchsrecht

Nach Art. 21 DSGVO besteht die Pflicht, die betroffene Person auf das Recht hin-zuweisen, der Verarbeitung der personen-bezogenen Daten auf der Grundlage der Interessenabwägung zu widersprechen. Der Hinweis „muss spätestens zum Zeit-punkt der ersten Kommunikation mit ihr ausdrücklich“ erfolgen (Art. 21 Abs. 4 DS-GVO). Der Widerspruch ist stets zu beach-ten (Art. 21 Abs. 3 DSGVO).

Auch wenn der fehlende Hinweis auf das Widerspruchsrecht die Verarbeitung nicht zwingend unzulässig sein lässt, da die DSGVO dies nicht ausdrücklich regelt, so droht gleichwohl eine Geldbuße. An dieser Stelle sei aber nicht verhehlt, dass sich – wie bei vielen Punkten zur DSGVO – auch die Ansicht finden lässt, der fehlende Hinweis müsse automatisch zur Unzuläs-sigkeit führen. Der fehlende Hinweis kann jedoch im Rahmen von § 7 Abs. 3 UWG zur Unzulässigkeit der Werbung führen.

Mehrere Hinweise nötig?

In der Praxis kollidieren mehrere Pflichten, die betroffene Person auf ihr Recht zum Widerspruch hinzuweisen:

bung – anders als § 28 Abs. 3 Satz BDSG-alt – ohne Einwilligung erstmals problem-los möglich. Aber Achtung: Das gilt nur gegenüber Nicht-Verbrauchern!

E-Mail-Werbung ohne Einwilligung

Auch E-Mail-Werbung kann nach Maßga-be von § 7 Abs. 3 UWG ohne vorherige ausdrückliche Einwilligung zulässig sein. Damit ist datenschutzrechtlich eine Zuläs-sigkeit nach Art. 6 Abs. 1 Buchst. f DSGVO – also über die Interessenabwägung – mög-lich. Somit gilt das zur Briefpostwerbung Gesagte. Allerdings sieht § 7 Abs. 3 UWG als Voraussetzung für eine E-Mail-Wer-bung ohne Einwilligung vor, dass

1. ein Unternehmer im Zusammenhang mit dem Verkauf einer Ware oder Dienstleistung vom Kunden dessen elektronische Postadresse erhalten hat,

2. der Unternehmer die Adresse zur Di-rektwerbung für eigene ähnliche Wa-ren oder Dienstleistungen verwendet,

3. der Kunde der Verwendung nicht wi-dersprochen hat und

4. der Kunde bei Erhebung der Adresse und bei jeder Verwendung klar und deutlich darauf hingewiesen wird, dass er der Verwendung jederzeit wider-sprechen kann, ohne dass hierfür an-dere als die Übermittlungskosten nach den Basistarifen entstehen.

Nur wenn alle vier Voraussetzungen ge-meinsam (!) vorliegen, ist nach § 7 UWG ei-ne E-Mail-Werbung ohne Einwilligung zu-lässig. Es ist klar, dass auch das mehr ist als nur das mythische „berechtigte Interesse“. Ein wesentlicher Aspekt ist dabei, dass der Verantwortliche nach § 7 Abs. 3 UWG bei der Erhebung der Daten auf die Verwen-dung hinweisen muss. Damit ist zugleich die Erwartungshaltung der betroffenen Personen, die nach Erwägungsgrund 47 DSGVO bei der Interessenabwägung zu berücksichtigen ist, geschaffen. Doch auch hier darf das Marketing die Vor- aussetzungen von § 7 Abs. 3 UWG nicht auf den Nenner „bestehende Geschäfts-beziehung“ verkürzen. Denn es müssen weitere Voraussetzungen vorliegen.

Dr. Jens Eckhardt ist Rechtsanwalt und Fachanwalt für Informationstechnologie- recht bei Derra, Meyer & Partner Rechtsan-wälte in Düsseldorf.

Ausgabe 12 / 2018

8 B E S T P R A C T I C E

vertrauliche und geheime Daten wie Zeugen-schutzprogramme, Informationen aller Geheim-haltungsgrade des Bundes und der Länder, geheime bzw. streng geheime Unterlagen aus Forschung und Entwicklung von Wirtschafts-unternehmen, Verschlusssachen oder Gesund-heitsdaten. Der Schaden bei einem Datenabfluss kann sehr groß werden.

Sicherheitsstufen

Während die Schutzklassen den Schutzbedarf von Daten wiedergeben, geht es bei den Sicher-heitsstufen darum, wie groß der Aufwand für die Wiederherstellung von Daten ist. Es gibt sie-ben Sicherheitsstufen, die dann den Schutzklas-sen zugeordnet werden, je nach Schutzbedarf und Aufwand, den ein Angreifer zum Lesen der Daten treiben muss. Die einzelnen Stufen haben folgende Bedeutung:

■ Bei Stufe 1 (allgemeine Daten) wird der Da-tenträger so vernichtet, dass die Wiederher-stellung der Daten ohne besondere Hilfsmit-tel und ohne Fachkenntnisse, jedoch nicht ohne besonderen Zeitaufwand möglich ist.

Bei der Entsorgung von Datenträgern tref-fen sich Datenschutz und Informationssi-cherheit. Aktuell gilt der deutsche Stan-

dard DIN 66399, der seit diesem Jahr als ISO/IEC 21964 auch international anerkannt ist.

Schutzklassen und Schutzbedarf

Es hängt vom Schutzbedarf der gespeicherten Daten ab, mit welchen Methoden eine Entsor-gung stattfinden muss. Ohne eine zumindest qualitative Klassifizierung der Daten geht also gar nichts. Um diese Klassifizierung zu erleich-tern, schlägt die Norm drei Schutzklassen vor. Unter die Schutzklasse 1 fallen ganz normale interne Daten wie etwa Telefonlisten, Produkt-listen, Lieferantendaten oder Adressdaten.

Die Schutzklasse 2 verlangt einen hohen Schutz für vertrauliche Daten wie Personaldaten, betriebswirtschaftliche Auswertungen, inter-ne Reportings, Finanzbuchhaltungsunterlagen oder Bilanzen bzw. Jahresabschlüsse. Hier ist der potenzielle Schaden schon größer als bei Schutzklasse 1. Schutzklasse 3 schließlich ver-langt einen sehr hohen Schutz für besonders

Schutzklassen, Sicherheitsstufen und Entsorgungskonzept

Datenträger sicher entsorgenKein Server, keine Workstation, kein Smartphone ist denkbar ohne Datenträger.

Und die Speicherkapazitäten werden immer größer. Damit steigt das Risiko, dass

über gelöschte, aber wiederhergestellte Datenträger sensible Informationen in

fremde Hände fallen. Eine sichere Entsorgung ist daher unverzichtbar.

Foto

: iSt

ock.

com

/geo

rgec

lerk

Der wohl wichtigste Punkt ist ein schlüssiges Entsorgungs-

konzept, das Verfahren und Kontrollen definiert

und umsetzt

Kriterien für die KlassenzuordnungSchutzklasse 1:

■ Es besteht die Gefahr, dass ein Datenabfluss ei-nen Betroffenen in seiner Stellung und seinen wirt-schaftlichen Verhältnissen beeinträchtigt.

■ Die unbefugte Kennt-nisnahme der Daten hat negative Auswirkungen für die speichernde Stelle.

Schutzklasse 2: ■ Beim Datenabfluss be-

steht die Gefahr, dass ein Betroffener in seiner ge-sellschaftlichen Stellung oder in seinen wirtschaftli-chen Verhältnissen erheb-lich beeinträchtigt wird.

■ Die unbefugte Kennt-nisnahme der Daten hat erhebliche negative Auswirkungen für die speichernde Stelle.

Schutzklasse 3: ■ Es besteht Gefahr für Leib

oder Leben von Personen oder für die Freiheit eines Betroffenen.

■ Es kommt zu existenzbe-drohenden Auswirkungen für die speichernde Stelle.

■ Der Datenabfluss verstößt gegen Berufsgeheimnis-se, Verträge oder Gesetze.

Ausgabe 12 / 2018

9B E S T P R A C T I C EB E S T P R A C T I C E

■ Bei Stufe 2 (interne Daten) ist die Wieder-herstellung mit Hilfsmitteln und nur mit be-sonderem Zeitaufwand möglich. Beispiele für Stufe 2 sind Behördenrichtlinien, Aushän-ge und Formulare.

■ Bei Stufe 3 (sensible Daten) ist die Wieder-herstellung nur unter erheblichem Aufwand an Personen, Hilfsmitteln und Zeit möglich. Beispiele: Unterlagen mit vertraulichen Daten.

■ Bei Stufe 4 (besonders sensible Daten) ist die Wiederherstellung nur unter Verwen-dung gewerbeunüblicher Einrichtungen bzw. Sonderkonstruktionen möglich, die im Fall kleiner Auflagen sehr aufwendig sind. Beispiele: Gehaltsabrechnungen, Personal-daten/-akten, Arbeitsverträge, medizinische Berichte, Steuerunterlagen von Personen.

■ Bei Stufe 5 (geheim zu haltende Daten) ist es nach dem Stand der Technik unmöglich, die Daten wiederherzustellen. Beispiele: Da-tenträger mit geheim zu haltenden Informa-tionen von existenzieller Wichtigkeit für eine Person, eine Behörde, ein Unternehmen oder eine Einrichtung.

■ Bei Stufe 6 (geheime Hochsicherheitsda-ten) ist die Wiederherstellung nach dem Stand der Technik ebenfalls nicht möglich. Beispiele: geheimdienstliche oder militäri-sche Daten.

■ Bei Stufe 7 (Top-Secret-Hochsicherheits-daten) ist die Wiederherstellung nach dem Stand der Technik ebenfalls nicht möglich. Beispiele: Datenträger mit strengst geheim zu haltenden Daten, bei denen höchste Si-cherheitsvorkehrungen einzuhalten sind.

Material- und Datenträgertypen

Es hängt vom Material bzw. vom Typ des Daten-trägers ab, wie die Vernichtung in jeder Sicher-heitsstufe erfolgen muss. Der Standard definiert sechs Typen:

■ P – Informationsdarstellung in Originalgröße (Papier, Film, Druckformen etc.)

■ F – Informationsdarstellung verkleinert (Film, Folie etc.)

■ O – Informationsdarstellung auf optischen Datenträgern (CD, DVD etc.)

■ T – Informationsdarstellung auf magneti-schen Datenträgern (Disketten, ID-Karten, Magnetkassetten etc.)

■ H – Informationsdarstellung auf Festplatten mit magnetischen Datenträgern (Festplatten)

■ E – Informationsdarstellung auf elektroni-schen Datenträgern (Speicherstick, Chipkar-te, mobile Kommunikationsmittel, Halblei-terfestplatten etc.)

Für jeden Typ gibt es in den Sicherheitsstufen Vorgaben, wie die Vernichtung erfolgen muss.

Sicherheitsstufen bestimmen

Zunächst muss der Anwender für die infrage kommenden Daten die Schutzklasse, also den Schutzbedarf festlegen: normal, hoch oder sehr hoch. Im zweiten Schritt erfolgt die Bestim-mung der Sicherheitsstufen. Dabei ist es nicht möglich, Schutzbedarf und Sicherheitsstufen beliebig zu kombinieren. Im Prinzip erfordern Daten mit ansteigendem Schutzbedarf auch größer werdende Sicherheitsstufen. Es gibt je-doch keinen linearen Zusammenhang zwischen den beiden Größen. Bei personenbezogenen Daten gilt die folgende Matrix:

Als Anwender, der sich Geräte für die Vernichtung beschaffen will oder der einen Dienstleister sucht, müssen Sie sich nicht für alle Details inter-essieren. Wesentlich ist die Be-stimmung der Sicherheitsstufen, die Sie bzw. der Verantwortliche je nach Art der Daten und dem Sicherheitsbedarf auswählen.

P R A X I S - T I P P

Sch

utzk

lass

e

Sicherheitsstufen

1 2 3 4 5 6 7

1 x

2 x x x

3 x x x x

Entsorgungskonzept

Es reicht nicht aus, die Sicherheitsstufe für die Datenentsorgung zu bestimmen und sich an-schließend ein passendes Gerät bzw. einen Dienstleister zu suchen. Es ist ein umfassendes Entsorgungskonzept nötig, das nicht nur die technischen Aspekte der Entsorgung, sondern auch organisatorische und personelle Aspekte berücksichtigt.

Dabei muss sich ein Entsorgungskonzept für Datenträger in das allgemeine Konzept zum Umgang mit Datenträgern einfügen. Jeder Da-tenträger hat einen Lebenszyklus. Er beginnt mit seiner Anschaffung, geht dann in die Nut-zung des Datenträgers über und endet mit seiner Vernichtung. Innerhalb dieses Lebens-zyklus kann es immer wieder dazu kommen, dass Löschvorgänge notwendig sind. Das

Bei personenbezogenen Daten muss mindestens die Sicherheitsstufe 3 zum Einsatz kommen

Ein schlüssiges Konzept zum Umgang mit Daten-trägern bildet den gesamten Lebenszyklus aller genutzten Datenträger ab. Das Entsor-gungskonzept ist dabei ein wichtiger Bestandteil, der aber nicht zu Konflikten mit anderen Teilen führen darf. Das Entsor-gungskonzept muss mit den an-deren Vorgaben für Datenträger abgeglichen und harmonisiert werden.

W I C H T I G

➞

Ausgabe 12 / 2018

10 B E S T P R A C T I C E

geschieht oft aus Gründen des Datenschutzes oder der Informationssicherheit, etwa weil eine gesetzliche Löschfrist erreicht ist oder ein Gerät zum Dienstleister in Reparatur kommt und die Festplatte des Systems zuvor sicher gelöscht wird, um sie anschließend erneut zu beschrei-ben. Die Entsorgung ist der letzte Schritt im Le-benszyklus eines Datenträgers. Ihm kann eine Löschung vorausgehen. Das muss aber keine grundsätzliche Anforderung sein.

Schritt für Schritt zum Entsorgungskonzept

Ein Entsorgungskonzept lässt sich nach folgen-dem Muster Schritt für Schritt erstellen:

können eine Rolle spielen (Forschungs-ergebnisse, Geschäftsgeheimnisse etc.).

3. Erforderliche Sicherheitsstufen festlegen nach oben angegebenem Muster.

4. Bereits vorhandene Entsorgungsmöglich- keiten zusammenstellen, die den ge-wünschten Sicherheitsstufen entsprechen.

5. Anforderungen analysieren, welche Maß-nahmen noch erforderlich sind. Zu beach- tende Punkte sind die Art der Daten träger, die Sicherheitsstufe und die Menge an zu vernichtenden Datenträgern inkl. des si-cheren Transports bzw. der Lagerung der Datenträger vor der Vernichtung. Hier muss auch geklärt werden, ob die Daten intern oder durch einen Dienstleister entsorgt werden sollen.

6. Soll ein Dienstleister die Daten entsorgen, müssen Kriterien zur Auswahl des Dienst-leisters her. Dabei spielen Zertifizierungen, die örtliche Nähe und der Preis eine wich-tige Rolle.

Prüfpunkt Ja Nein

Sind die gesetzlichen Verpflichtungen zur Löschung von Daten bekannt?

Existiert ein vollständiges Entsorgungskonzept, und ist es eingeführt?

Sind die Verfahren, wie Datenträger zu entsorgen sind, beschrieben?

Werden die Regelungen zur Entsorgung regelmäßig geprüft bzw. aktualisiert? Werden sie auf ihre Wirksamkeit hin kontrolliert?

Sind die Verfahren zur Entsorgung allen Mitarbeitern bekannt und halten sie die Vorgaben ein?

Sind die Mitarbeiter, die mit der Entsorgung beauftragt sind, entsprechend geschult und unterwiesen?

Gibt es Rollen und Verantwortlichkeiten für alle Aspekte der Entsorgung?

Gibt es eine Liste der zu entsorgenden Datenträger?

Werden die zu entsorgenden Datenträger zentral gesammelt?

Stehen verschließbare Sammelbehälter oder andere Lagerungsorte für Datenträger zur Verfügung?

Werden die Datenträger auch beim Transport gesichert?

Werden die Vorgaben der DIN 66399 (Schutzklassen, Sicherheitsstufen etc.) eingehalten?

Entsprechen die Geräte zur Entsorgung den Anforderungen der DIN 66399 (Sicherheitsstufen)?

Wird die Vernichtung sensibler Daten protokolliert?

Wird die Entsorgung stichprobenartig überprüft?

Checkliste 1: Die Entsorgung soll in Eigenregie passieren? Dann bietet diee Checkliste einen Überblick, welche Punkte zu bearbeiten sind.

1. Gesetzliche oder andere Compliance-Vor- gaben (Aufbewahrungspflichten bzw. Lö-schungsfristen) bestimmen.

2. Frage klären, welche Datenträger am Ende ihres Lebenszyklus entsorgt werden müs-sen. Besonders wichtig sind hier personen-bezogene Daten, aber auch andere Daten

Ausgabe 12 / 2018

11B E S T P R A C T I C EB E S T P R A C T I C E

7. Verfahren, Rollen und Verantwortlichkeiten festlegen, um die Abläufe standardisiert, nachvollziehbar und sicher zu machen.

8. Verfahren festlegen zur revisionssicheren Dokumentation der Entsorgungsvorgänge.

9. Mitarbeiter von den geplanten Abläufen unterrichten und

10. für die Risiken einer nicht ordnungsgemä-ßen Entsorgung sensibilisieren.

Dr.-Ing. Markus a Campo arbeitet als unabhän-giger Berater, Auditor und Gutachter im Bereich der Informationssicherheit. Seine Schwerpunkte liegen bei der ISO 27001, dem BSI-Grundschutz,

der Sicherheit im Finanzwesen sowie dem Schutz vor Cyber- crime-Attacken.

1. Im Vertrag berücksichtigt? Ja Nein

Zuständigkeiten des Dienstleisters

Art und Menge der zu entsorgenden Datenträger

Sicherheitsstufen

Festlegung der Vernichtungsverfahren

Maßnahmen zum Zutritt von Mitarbeitern des Dienstleisters

Übergabe der Datenträger, Ort und Zeitpunkt der Vernichtung

Vernichtung in der Regel unverzüglich entsprechend den Weisungen des Auftraggebers, Festlegung von Ausnahmen

Technische und organisatorischen Maßnahmen während der Laufzeit des Vertrags

Verbot/Erlaubnis, unter bestimmten Bedingungen Subunternehmer einzuschalten

Informationspflicht des Dienstleisters über alle relevanten Vorfälle und des Auftraggebers bei außergewöhnlichen Vorfällen

Verantwortlichkeiten und Schutzmaßnahmen für Aufbewahrung und Transport der Datenträger

Verpflichtung des Personals des Auftragnehmers auf Datengeheimnis (Muster unter http://ogy.de/muster-datengeheimnis)

Schutz der Daten vor einem Zugriff durch Unbefugte

Protokollierung des Entsorgungsvorgangs durch Dienstleister, Art und Form der Dokumentation

Kontrollrecht des Auftraggebers, Haftung und Schadensersatz, Möglichkeit einer außerordentlichen Kündigung

Checkliste 2: Soll ein Dienstleister die Datenträger entsorgen, sind zwei Aspekte zu beachten. Zunächst gilt es, einen vernünftigen Vertrag auszuhandeln, anschließend, die Abläufe zu planen und zu kontrollieren.

2. Planung und Kontrolle der Abläufe Ja Nein

Gesetzliche Verpflichtungen zur Löschung von Daten sind bekannt

Vollständiges Entsorgungskonzept entwickelt und eingeführt

Sorgfältige Auswahl des Dienstleisters, ggf. Zertifizierung beachten, ggf. Prüfung des Dienstleisters durch Aufsichtsbehörde

Schriftlicher Vertrag vorhanden; Vertrag enthält alle Punkte gemäß dieser Checkliste

Arbeitnehmer des Auftragnehmers auf Datenschutzgeheimnis verpflichtet und geschult

Entsorgung der Datenträger erfolgt gemäß DIN 66399, Geräte zur Entsorgung entsprechen Anforderungen der DIN 66399

Dienstleister protokolliert Datenträgervernichtung

stichprobenartige, unangemeldete Überprüfungen der Entsorgung vor Ort

12

Ausgabe 12 / 2018

B E R A T E N & Ü B E R W A C H E NN E W S & T I P P S

Bayerische Sicht

Zeitbudget eines DSBWelches Zeitbudget ein Datenschutz-beauftragter (DSB) haben muss, ist eine häufi g gestellte Frage. Gerade die Daten-schutzaufsichtsbehörden halten sich mit Antworten dazu meist zurück.

Empfehlungen des Landes beauftragten

Für DSBs kreisangehöriger Gemeinden in Bayern gibt der Bayerische Landesbeauf-tragte für den Datenschutz nun konkrete Empfehlungen. Sie lehnen sich an Er-kenntnisse des Bayerischen Kommunalen Prüfungsverbands an:

„Der Bayerische Kommunale Prüfungs-verband hat in seinem Geschäftsbericht 2016 … auf der Grundlage des alten Da-tenschutzrechts den für die Aufgaben eines Datenschutz- und Informationssi-cherheitsbeauftragten bereitzustellen-den Arbeitszeitanteil für eine Gemeinde von 5.000 Einwohnern mit 10 v. H. und für eine Gemeinde von 10.000 Einwoh-nern mit 13 v. H. der Arbeitszeit einer Normalarbeitskraft (Vollzeit) bemessen.

Die Arbeitszeitanteile sind im Einzelfall nach Maßgabe der örtlichen Verhältnisse … anzupassen. Sie sollten auch unter der Geltung des neuen Datenschutzrechts keinesfalls unterschritten werden.“

Der Geschäftsbericht, auf den sich die Dar-stellung bezieht, ist abrufbar unter www.bkpv.de/ unter dem Pfad Veröff entlichun-gen > Geschäftsbericht 2016 > Organisa-tionsmodelle und Musterstellenpläne, hier die Tabellen 4.1.2.1 und 4.2.2.1. Das Zitat ist im Papier „Aktuelle Kurzinforma-tion 7“ des Landesbeauftragten unter Nr. 3 (Zeitbudget) enthalten. Es ist abrufbar unter http://ogy.de/kurzinfo-7.

Muster des Bitkom

Externe Dienstleister und Schweigepfl ichtVor allem Ärzte, Rechtsanwälte und Steuer-berater unterliegen besonderen Regelun-gen über das Berufsgeheimnis (siehe § 203 Strafgesetzbuch). Oft können sie allerdings gar nicht anders, als externe IT-Dienstleis-ter in Anspruch zu nehmen. Das ist mit der Schweigepfl icht nur dann vereinbar, wenn sie dabei bestimmte Voraussetzungen ein-

halten. Vor allem müssen sie die Dienst-leister förmlich zur Verschwiegenheit ver-pfl ichten. Dabei ist eine ganze Reihe von Details sorgfältig zu beachten.

Musterklauseln

Der Bitkom hat hierfür in Zusammenar-beit mit anderen Verbänden – etwa der Deutschen Krankenhausgesellschaft – Musterklauseln zur Verfügung gestellt. Sie unterscheiden zwischen Fällen, in denen eine Auftragsverarbeitung vorliegt, und Konstellationen, bei denen das nicht der Fall ist. Die Muster sind mit umfassenden Erläuterungen abrufbar unter http://ogy.de/muster-vertraulichkeit (Umfang des Leitfadens: 17 Seiten).

Zu berücksichtigen ist, dass sich im Einzel-fall zusätzliche und abweichende Vorga-ben aus landesgesetzlichen Regelungen ergeben können, etwa für Krankenhäuser aus dem jeweiligen Landeskrankenhaus-gesetz (für Bayern beispielsweise aus Art. 27 Bayer. Krankenhausgesetz).

Zahlreiche Handreichungen

„Datenschutz im Verein“ hat sich zu ei-nem regelrechten Modethema entwi-ckelt. Inzwischen haben die Aufsichtsbe-hörden von Baden-Württemberg, Bayern (Landesamt für Datenschutzaufsicht), Hessen, Rheinland-Pfalz, Saarland und Schleswig-Holstein jeweils eigene Hand-reichungen herausgegeben. Sie setzen unterschiedliche Akzente sowohl beim Inhalt als auch was den Umfang angeht, mit dem sie Fragestellungen behandeln.

Besonders umfangreich ist der Praxisrat-geber „Datenschutz im Verein nach der DS-GVO“ aus Baden-Württemberg (33 Seiten), eher checklistenartig sind die

Darstellungen aus Bayern und Hessen (jeweils mit zahlreichen weiterführen-den Links). Übersichtlich zusammenge-stellt sind alle Handreichungen auf der Seite der hessischen Aufsichtsbehörde (siehe https://datenschutz.hessen.de/datenschutz/vereine). Dabei ist der Link zur Datenschutzaufsicht Schleswig-Hol-stein nicht mehr aktuell. Er lautet nun-mehr: http://ogy.de/uld-vereine.

Einen alternativen Ansatz der Darstel-lung wählt das Bayerische Staatsministe-rium des Innern mit seinem Webauftritt „Schritt für Schritt zum neuen Daten-schutz“ (siehe dazu Datenschutz PRAXIS

09/18, S. 10). Er bietet einen eigenen But-ton „Vereine“, der zu den wichtigsten Fra-gestellungen verzweigt. Die Antworten sind dabei eher plakativ und teils auch schlagwortartig. Das soll eine rasche erste Orientierung ermöglichen, aber tiefergehende Handreichungen nicht er-setzen. Die Darstellung ist abrufbar un-ter www.dsgvo-verstehen-bayern.de/.

Datenschutz im Verein

Gra

fi k: i

Stoc

k.co

m/p

ijam

a61

Dr. Eugen Ehmann ist Regierungsvize-präsident von Mittelfranken (Bayern). Er befasst sich seit vielen Jahren intensiv mit Fragen des Datenschutzes.

13

Ausgabe 12 / 2018

B E R A T E N & Ü B E R W A C H E NB E R A T E N & Ü B E R W A C H E NN E W S & T I P P S

Ein Problem oder nicht?

Rechtsanwälte als externe DSB„Externe DSB können nicht als Rechtsanwalt zugelassen sein.“ Solche

Äußerungen hat eine Entscheidung des BGH vom 2. Juli 2018 ausgelöst.

Sie betrifft jedoch nur „Syndikus-Anwälte“. Was ist das eigentlich? Und

wann kann ein externer DSB nun als Rechtsanwalt zugelassen sein?

Der Weg zur Zulassung als Rechts-anwalt sieht regelmäßig so aus: An das Jurastudium mit abschlie-

ßender „erster Prüfung“ schließt sich ein Vorbereitungsdienst bei verschiedenen Stellen (Gerichte, Staatsanwaltschaft, Be-hörden, Unternehmen) mit abschließen-der „zweiter Staatsprüfung“ an. Wer das geschafft hat, erwirbt als Lohn der Mühen die „Befähigung zum Richteramt“. Sie ist in § 5 Deutsches Richtergesetz geregelt. Jeder, der über diese Befähigung verfügt, kann im Prinzip als Rechtsanwalt zugelas-sen werden (siehe § 4 Nr. 1 Bundesrechts-anwaltsordnung – BRAO).

Rechtsanwälte als Arbeitnehmer?

Dass ein Rechtsanwalt zugleich Beamter auf Lebenszeit ist, ist unzulässig. Unter bestimmten Voraussetzungen kann ein Rechtsanwalt jedoch zugleich Arbeitneh-mer sein. Unproblematisch ist das nicht. Denn ein Arbeitnehmer ist den Weisun-gen seines Arbeitgebers unterworfen. Ein Rechtsanwalt dagegen muss seinen Beruf

unabhängig ausüben können. Das betont § 1 BRAO mit dem leicht pathetisch klin-genden Satz „Der Rechtsanwalt ist ein un-abhängiges Organ der Rechtspflege.“

Diese Anforderung hat ihren guten Sinn. Sie meint v.a., dass ein Rechtsanwalt stets nur die Interessen seines Mandanten im Blick haben darf. Das funktioniert jedoch nur, wenn er nicht gleichzeitig andere In-teressen berücksichtigen muss, etwa die seines Arbeitgebers.

Angestellte Rechtsanwälte in Anwaltskanzleien

Vom Ansatz her schließen sich die Tätig-keit als Rechtsanwalt und die Eigenschaft als Arbeitnehmer deshalb aus. Nur in be-stimmten Konstellationen ist dies anders. Sie sind ausdrücklich gesetzlich geregelt. Am häufigsten ist der Fall, dass ein Rechts-anwalt bei einem anderen Rechtsanwalt angestellt ist (§ 46 Abs. 1 BRAO). Dies gefährdet die Interessen des Mandanten nicht. Denn sowohl der Kanzleiinhaber

als auch sein angestellter Rechtsanwalt orientieren sich gewissermaßen automa-tisch ausschließlich an den Interessen der Mandanten dieser Kanzlei.

Der Syndikus-Anwalt als Spezialfall

Schwieriger wird es, wenn ein Rechtsan-walt einen Arbeitgeber hat, der selbst kein Rechtsanwalt ist. Das ist v.a. der Fall, wenn ein gewöhnliches Unternehmen (also kei-ne Rechtsanwaltskanzlei) einen Juristen beschäftigt und dieser Jurist zugleich als Rechtsanwalt zugelassen ist. Er wird dann als „Syndikus-Anwalt“ bezeichnet. Seine Aufgabe ist es, sich um „Rechtsangelegen-heiten des Arbeitgebers“ zu kümmern. Das allein genügt jedoch nicht, um als Syndikus-Anwalt zugelassen wer-den zu können. Dazu ist vielmehr noch zusätzlich erforderlich, dass er bei seiner Tätigkeit innerhalb des Unternehmens „fachlich unab-hängig und eigenverantwortlich“ handelt (siehe § 46 Abs. 2 und Abs. 5 BRAO).

Fehlt es an einer dieser Voraussetzungen, kann ein Jurist mit der Befähigung zum Richteramt natürlich trotzdem als Ange-stellter in einem Unternehmen juristisch arbeiten. Er darf dabei auch den rechtlich nicht geschützten Titel „Justiziar“ führen. Eine Zulassung als Rechtsanwalt ist dann jedoch nicht möglich.

Der besondere Fall des BGH

Dies ist der Hintergrund, vor dem der Fall spielt, den der Bundesgerichtshof (BGH) zu entscheiden hatte. Eine Juristin mit der Befähigung zum Richteramt arbeitet seit mehreren Jahren als Angestellte bei

Rechtsanwälte sind verpflichtet, stets im Interesse ihres Mandanten zu handeln

Foto

: iSt

ock.

com

/med

iap

hoto

s

➞

14

Ausgabe 12 / 2018

B E R A T E N & Ü B E R W A C H E N

befreien lassen kann (siehe § 6 Abs. 1 Sozialgesetzbuch VI).

■■ Dies empfi ndet sie deshalb als attrak-tiv, weil die Versorgungsleistungen der Anwaltsversorgung nach den Er-fahrungen der letzten Jahrzehnte teils deutlich über den Leistungen der ge-setzlichen Rentenversicherung lagen.

Dass man ihr damit nichts unterstellt, zeigt ein kurzer Blick in die Entscheidung des BGH. Dort heißt es ganz klar: „Im Kern geht es der Klägerin mit der … Zulassung als Syndikus-Rechtsanwältin … darum, eine Befreiung von der gesetzlichen Ren-tenversicherungspfl icht … zu erreichen.“

Entscheidung durch den BGH

Allerdings wird daraus in ihrem Fall nichts. Denn der Bundesgerichtshof sieht keine Möglichkeit, sie als Syndikus-Rechtsan-wältin zuzulassen. Seine Argumente:

■■ Bei der Tätigkeit der Juristin als externe DSB wird sie nicht in Rechtsangelegen-heiten ihres Arbeitgebers tätig.

einer Aktiengesellschaft. Dabei handelt es sich um ein Beratungsunternehmen, das Leistungen auf dem Gebiet des Daten-schutzes und der IT-Sicherheit anbietet. Zu den angebotenen Dienstleistungen gehört es auch, einen externen Daten-schutzbeauftragten (DSB) zu stellen. Die Juristin ist für verschiedene Kunden ihres Arbeitgebers als externe Datenschutz-beauftragte tätig. Grundlage ist dabei jeweils ein Vertrag zwischen ihrem Arbeit-geber und dem Kunden.

Vorteile der Altersversorgung für Rechtsanwälte

Die Juristin beantragte bei der zustän-digen Rechtsanwaltskammer, als Syndi-kus-Rechtsanwältin zugelassen zu werden. Das führt zu der Frage, welchen Vorteil sie sich davon verspricht. Um dies zu beant-worten, muss man einen Blick auf den As-pekt der Rentenversicherung werfen:

■■ Solange die Juristin als „gewöhnliche Angestellte“ beschäftigt ist, unterliegt sie ganz regulär der gesetzlichen Ren-tenversicherungspfl icht.

■■ Kann sie dagegen erreichen, dass sie als Syndikus-Rechtsanwältin zugelas-sen wird, ist sie Pfl ichtmitglied in der Versorgungseinrichtung für Rechtsan-wälte („Anwaltsversorgung“).

■■ Dies ebnet dann den Weg dafür, dass sie sich von der Versicherungspfl icht in der gesetzlichen Rentenversicherung

■■ Zwar bearbeitet ein externer DSB typi-scherweise auch rechtliche Fragen. Da-bei handelt es sich jedoch um Rechts-angelegenheiten eines Kunden ihres Arbeitgebers und nicht um Rechtsan-gelegenheiten des Arbeitgebers selbst.

■■ Dies macht einen erheblichen Unter-schied:■− Bei Rechtsangelegenheiten des Ar-beitgebers selbst besteht ein „Gleich-lauf der Interessen“ zwischen dem Arbeitgeber und der bei ihm ange-stellten Juristin.■− Geht es dagegen um Rechtsangele-genheiten eines Kunden des Arbeit-gebers, fehlt es daran. Die wirtschaft-lichen Interessen des Kunden und des Arbeitgebers laufen keineswegs parallel. Sie können vielmehr gerade-zu entgegengesetzt sein.

Schutz vor Interessenkonfl ikten

Dieses Argument erscheint überzeugend, wie folgende Überlegung zeigt: Ange-nommen, der Arbeitgeber der Juristin hat einem Kunden bestimmte Leistungen zu-gesagt, die er durch die Juristin erbringen lässt. Sollte sich nun herausstellen, dass er sich verkalkuliert hat und der Aufwand viel höher ist als geplant, haben der Ar-beitgeber der Juristin und dessen Kunde entgegengesetzte wirtschaftliche Interes-sen. Der Kunde erwartet eine umfassende und qualifi zierte Leistung. Der Arbeitge-ber hat dagegen ein Interesse daran, sei-nen Aufwand zu minimieren. In solchen Situationen sitzt die Juristin gewisserma-ßen zwischen den Stühlen und muss sich entscheiden, wessen Interessen sie den Vorrang gibt. Von einer fachlichen Unab-hängigkeit, die den Anwaltsberuf prägen muss, kann dann keine Rede mehr sein.

Es ist deshalb zwar kein Problem, wenn die Juristin als weisungsabhängige Ar-beitnehmerin als externe DSB tätig wird. Eine Zulassung zur Anwaltschaft kann sie dabei jedoch nicht beanspruchen.

Dr. Eugen Ehmann ist Herausgeber mehrerer Datenschutz-Werke, u.a. von Datenschutz-Management kompakt (weka.de/1720).

Was der BGH nicht entschieden hat

Mit folgenden Konstellationen be-fasst sich die Entscheidung nicht. Sie sind rechtlich völlig unproblematisch:■■ Ein Rechtsanwalt kann für einen

Mandanten als externer Daten-schutzbeauftragter tätig sein.

■■ Ein Rechtsanwalt, der bei einem anderen Rechtsanwalt angestellt ist, kann für einen Mandanten der Kanzlei als externer DSB tätig sein.

■■ Ein Unternehmen, das nicht von einem Rechtsanwalt geleitet wird, kann Juristen beschäftigen, die für dieses Unternehmen bei Kunden als externe DSBs tätig werden.

Gegenstand der Entscheidung des Bundesgerichtshofs ist lediglich, dass in der zuletzt genannten Konstella-tion eine Zulassung solcher Juristen zur Anwaltschaft nicht möglich ist.

Unproblematische Konstellationen

Die Entscheidung vom 2. Juli 2018 trägt das Aktenzeichen AnwZ(Brfg)

49/17 und umfasst 39 Seiten. Sie ist beim Bundesgerichtshof kostenlos abrufbar (http://ogy.de/bgh-syndikus-anwalt).

O N L I N E - T I P P

15

Ausgabe 12 / 2018

B E R A T E N & Ü B E R W A C H E NB E R A T E N & Ü B E R W A C H E N

Risiken erkennen und vorbeugen

So setzen Arztpraxen die DSGVO um (Teil 2)Im zweiten Teil lesen Sie Vorschläge zu praktischen Vorgehensweisen in

einzelnen Bereichen und erste Klarstellungen der Landesdatenschutz-

behörden. Darüber hinaus beleuchten wir die gemeinschaftliche Berufs-

ausübung in ihren datenschutzrechtlichen Auswirkungen.

Vor allem die Informationspflichten haben zu großer Unsicherheit ge-führt. Wie muss eine Praxis infor-

mieren und über was?

Informationspflichten umsetzen

Die Inhalte der Informationspflichten ergeben sich aus Art. 13 und 14 der Da-tenschutz-Grundverordnung (DSGVO). Sinnvoll ist ein Formular, das vollumfäng-lich die Informationspflichten erfüllt. Ob ein Aushang in den Praxisräumen allein ausreichend ist, beurteilen die Aufsichts-behörden der Bundesländer unterschied-lich. Das Bayerische Landesamt für Da-tenschutzaufsicht (BayLDA) sieht dies als genügend an. In Schleswig-Holstein kön-nen Ärzte allein mit einem Aushang ihre Informationspflichten jedoch nicht erfül-len. Empfehlenswert ist deshalb eine Aus-händigung an Patienten oder Mitarbeiter. Musterinformationsblätter finden Sie z.B. im Ratgeber „QM in der Zahnarztpraxis –

Datenschutz nach DS-GVO“ (http://ogy.de/qm-zahnarztpraxis). Wer ganz sicher gehen will, dass er korrekt dokumentiert, nimmt entweder Vermerke in die Akte des Patienten bzw. in die Personalakte des Mitarbeiters auf oder heftet eine Kopie des ausgehändigten Blatts ab.

Hat die Praxis eine Website, ist eine kor-rekte Datenschutzerklärung, die alles umfasst, was beim Besuch der Website mit den Daten des Nutzers passiert, sehr wichtig (siehe dazu im Einzelnen Bauer, Heft 06/28, S. 6). Besonderes Augenmerk müssen Ärzte auf eine mögliche Daten-

übertragung in Drittstaaten haben. Das kann schneller gehen, als man glaubt. Wer beispielsweise einen Cloud-Anbieter mit Sitz außerhalb der EU bzw. des Europäi-schen Wirtschaftsraums (EWR) oder Goo-gle Analytics nutzt, ist davon betroffen. Wer keine oder eine unzureichende Da-tenschutzerklärung auf seiner Homepage hat, setzt sich dem Risiko aus, dass es zu einem Bußgeldverfahren kommt. Even-tuell sind auch Abmahnungen möglich. Doch das ist umstritten (siehe http://ogy.de/abmahnung-datenschutzerklaerung).

Verzeichnis der Verarbeitungs-tätigkeiten strukturiert führen

Arztpraxen verarbeiten in der Regel be-sondere Kategorien von Daten gemäß Art. 9 DSGVO, nämlich Gesundheitsdaten. Damit sind sie verpflichtet, ein Verzeichnis der Verarbeitungstätigkeiten zu führen. Die erforderlichen Inhalte gibt Art. 30 DS-GVO vor. Um das Verzeichnis erstellen zu können, ist es wichtig, zunächst eine In-ventur über alle Datenverarbeitungsvor-gänge in der Praxis durchzuführen:

■■ Wer verarbeitet welche Daten zu wel-chen Zwecken?

■■ An wen bzw. wohin werden die Daten weitergegeben?

Danach lassen sich die Verarbeitungsvor-gänge unter Oberbegriffen nach ihrem Verarbeitungszweck beschreiben, etwa Be-handlungsdokumentation, Terminverga-be, Abrechnung, Personalverwaltung oder Aktenvernichtung. Ein Muster für Arztpra-xen – ebenso wie für andere kleine

Eine Inventur der Verarbeitungsprozesse und ein strukturiertes Vorgehen helfen nicht nur Arztpraxen dabei, die DSGVO umzusetzen. Noch vorhandene Unsi-cherheiten werden die Landesdaten-schutzbehörden und Gerichte im Laufe der Zeit hoffentlich beseitigen.

Foto

: iSt

ock.

com

/SA

RIN

YAPI

NN

GA

M

➞

Es ist übrigens nicht nötig, diese Infoblätter unterschreiben zu las-

sen. Es handelt sich um Datenschutzhin-weise, nicht um eine Einwilligung!

W I C H T I G

16

Ausgabe 12 / 2018


Unternehmen – findet sich unter www.lda.bayern.de/de/kleine-unternehmen.html.

Daten löschen!

Auch Arztpraxen müssen Daten löschen, wenn sie die Informationen für ihren ur-sprünglichen Zweck nicht mehr benöti-gen (Art. 17 DSGVO). Ärzte müssen jedoch vielfältige gesetzliche Aufbewahrungs-pflichten beachten, die einer Löschung entgegenstehen. Behandlungsdokumenta-

tionen sind z.B. zehn Jahre nach Abschluss der Behandlung aufzubewahren, steuer-liche Aufbewahrungspflichten bringen ähnlich lange Fristen mit sich oder auch die Röntgenverordnung (30 Jahre). Darü-ber hinaus kann das Interesse des Arztes, bestimmte Daten weiter zu speichern, das Interesse an der Löschung überwiegen. Das gilt etwa bei Medikamentenunver-träglichkeiten des Patienten. Bei der Lö-schung von Daten bzw. der Vernichtung

von Patientenakten in Papierform ist darauf zu achten, dass sich diese Daten nicht wiederherstellen lassen bzw. ein Aktenvernichter der entsprechenden Si-cherheitsklasse vorhanden ist. Beauftragt die Praxis einen externen Dienstleister mit der Vernichtung, ist ein Auftragsverarbei-tungsvertrag nötig.

Datenschutz-Folgenabschätzung

Für die meisten Arztpraxen ist nach Ein-schätzung der Datenschutzbehörden keine Folgenabschätzung durchzuführen. Das gilt aber nur, wenn sie keine „neuen Technologien“ einsetzen. Zu den neuen Technologien zählt mit Sicherheit die Tele-medizin. Aber auch Gesundheits-Apps oder die Speicherung von Patientendaten in der Cloud können davon umfasst sein.

Bei gemeinsamer Berufsaus-übung besonders aufpassen

Arbeiten mehrere Ärzte in einer Praxisge-meinschaft zusammen, nutzen sie meist gemeinsam die Praxisräume und eventu-ell auch die EDV-Systeme. Hierbei ist jede teilnehmende Arztpraxis rechtlich selbst-ständig und muss deshalb jeweils als Ver-antwortlicher für den Datenschutz sorgen.

Im Hinblick auf große Gemeinschaftspra-xen bzw. Berufsausübungsgemeinschaf-ten verlangen die Datenschutzbehörden auch ohne „neue Technologien“ eine Da-tenschutz-Folgenabschätzung. Unklar ist, ab welcher Anzahl von Ärzten eine Berufs-ausübungsgemeinschaft als „groß“ gilt. In Zweifelsfällen empfiehlt es sich, bei der zuständigen Datenschutzbehörde unter Schilderung des Einzelfalls nachzufragen. Im Gegensatz zur Praxisgemeinschaft schließt ein Patient bei einer Berufsaus-übungsgemeinschaft mit allen Ärzten ei-nen Behandlungsvertrag, nicht nur mit ei-nem. Alle Ärzte sind Verantwortliche und müssen entsprechend Art. 26 DSGVO ihre Rechte und Pflichten untereinander in ei-nem Vertrag regeln (Joint Controllership, siehe Gailus, Heft 06/18, S. 4).

Rechtsanwältin Andrea Gailus ist in eige-ner Anwaltskanzlei tätig und befasst sich neben dem Zivilrecht schwerpunktmäßig mit IT- und Datenschutzrecht.

Nur in wenigen Fällen nötig

Ob Arztpraxen einen Datenschutzbe-auftragten (DSB) bestellen müssen, ist anhand von vier Kriterien zu beurteilen.

Mindestens zehn Personen?

Für die meisten Arztpraxen wird die relevante Vorschrift § 38 des neuen Bundesdatenschutzgesetzes (BDSG) sein. Danach müssen mindestens zehn Personen ständig mit der auto-matisierten Verarbeitung personen-bezogener Daten beschäftigt sein. Bei der Anzahl der Personen zählt jede Person, d.h. der Verantwortliche (Arzt) und alle Mitarbeiter, unabhän-gig davon, ob sie in Teilzeit oder Voll-zeit arbeiten, Auszubildende und freie Mitarbeiter. Allerdings gehören Per-sonen, die lediglich mit Papier-Kartei-karten arbeiten oder Papierformulare ausfüllen, wie z.B. Pflegekräfte, nicht dazu. Denn das Merkmal „automati-sierte Verarbeitung“ ist nicht erfüllt.

Ständig?

Außerdem müssen diese Personen „ständig“ mit der Verarbeitung be-schäftigt sein. Dazu ist nicht erforder-lich, dass sie sich ausschließlich mit der Datenverarbeitung beschäftigen. In jedem Fall sind damit Arzthelfe-rinnen, die Termine vergeben, Pati-entendaten verwalten und Abrech-nungsdaten bearbeiten, als „ständig“

mit der Verarbeitung Beschäftigte anzusehen. Dagegen sind Mitarbei-ter, die überwiegend handwerkliche Tätigkeiten ausführen, z.B. angestellte Zahntechniker in einer Zahnarztpra-xis, nicht mitzuzählen.

Hohes Risiko?

Ist die Datenverarbeitung mit einem hohen Risiko für die Rechte und Frei-heiten der betroffenen Personen ver-bunden, z.B. bei der Verwendung neu-er Technologien, so ist zum einen eine Datenschutz-Folgenabschätzung nö-tig. Zum anderen ist zwingend ein DSB zu benennen. Für die meisten Arztpraxen in Deutschland wird die-ses Kriterium nicht zutreffen.

Umfangreich?

Nach der Entschließung der Daten-schutzkonferenz vom 26. April 2018 ist bei Arztpraxen in der Regel nicht von einer umfangreichen Verarbei-tung besonderer Kategorien von per-sonenbezogenen Daten als Kerntätig-keit nach Art. 37 DSGVO auszugehen. Dies gilt auch für die meisten Fälle von Praxisgemeinschaften, in denen Ärzte Räume gemeinsam nutzen, und Gemeinschaftspraxen (die neue Be-zeichnung lautet „Berufsausübungs-gemeinschaft“), in denen alle Ärzte Behandler der Patienten sein können.

Müssen Arztpraxen einen DSB bestellen?

17

Ausgabe 12 / 2018


Beschäftigtendatenschutz

Persönlichkeitstests bei Beschäftigten – was ist zulässig?Persönlichkeitstests bei künftigen oder bereits beschäftigen Mitarbei-

tern sollen helfen, Personalentscheidungen zu verbessern. Es liegt in

der Natur der Sache, dass dabei eine Vielzahl personenbezogener Daten

verarbeitet wird. Doch was ist datenschutzrechtlich erlaubt?

Fehlentscheidungen bei der Stellen-besetzung sind teuer und beein-trächtigen häufig das Betriebsklima

negativ. Persönlichkeitstests waren und sind daher ein beliebtes Mittel, um zu prüfen, ob ein Bewerber charakterlich für die geplante Stelle optimal geeignet ist. Sie helfen aber auch, herauszufinden, ob beispielsweise ein Mitarbeiter Führungs-qualitäten hat oder ob er besser auf einer anderen Stelle eingesetzt werden sollte.

Personalabteilungen steht eine Vielzahl solcher Tests zur Verfügung. Viele sind on-line abrufbar oder sind bereits Bestandteil diverser Personalsoftware, die in Unter-nehmen im Einsatz ist.

Worauf zielt ein solcher Persönlichkeitstest ab?

Ein Persönlichkeitstest zielt darauf ab, das Verhalten einer Person, ihre Stimmung, ihre Interessen, ihre Persönlichkeitsmerk-

male oder ihre Motivation zu erfassen und zu bewerten. Die fachliche Quali-fikation, die rhetorischen Fähigkeiten oder der Auftritt fallen nicht darunter. Das muss ergänzend ein Vorstellungsge-spräch überprüfen. Die Daten, die der (po-tenzielle) Arbeitgeber im Rahmen eines Persönlichkeitstests erhebt, bilden daher nur einen Teilkomplex des Beurteilungs-prozesses ab.

Wie wähle ich einen geeigneten Test aus?

Da ein Persönlichkeitstest letztlich Cha-raktermerkmale beurteilt, die je nach der Methodik des jeweiligen Tests z.B. einem bestimmten Persönlichkeitstyp zugeord-net werden, greift ein solcher Test erheb-lich in die Privatsphäre der getesteten Per-son ein. Um sicherzustellen, dass der Test seriös und das Ergebnis tatsächlich belast-bar sowie für den Arbeitgeber verwertbar ist, sollten nur wissenschaftlich anerkann-

te Tests zum Einsatz kommen. Hier hilft die DIN 33430 zur „Berufsbezogenen Eig-nungsdiagnostik fachlicher Qualitätsstan-dards für Personalentscheidungen“: Die DIN-Norm enthält Qualitätsstandards und -kriterien für Eignungstests und ähnliche Verfahren. Sie gibt u.a. Leitlinien für Ver-antwortlichkeiten, Prozesse und Auswer-tungen vor.

Orientiert sich der Anbieter des Persön-lichkeitstests an dieser DIN-Norm,

ist dies für den Datenschützer zu-mindest ein erster Hinweis, dass ein gewisser Schutz der Persön-

lichkeitsrechte durch die Auswahl eines geeigneten Anbieters erfolgt ist.

Was ist datenschutzrechtlich zulässig?

Wer einen Persönlichkeitstest durchführt, verarbeitet personenbezogene Daten von Bewerbern oder Mitarbeitern. Beide Gruppen gelten als Beschäftigte im Sinne des Datenschutzrechts. Für die Verarbei-tung von Beschäftigtendaten gilt gemäß Art. 88 Datenschutz-Grundverordnung (DSGVO) i.V.m. dem neuen Bundesda-tenschutzgesetz (BDSG) seit dem 25. Mai 2018 § 26 BDSG als spezielle Norm. § 26 BDSG erlaubt – entsprechend den Re-gelungen, die vor dem 25. Mai 2018 an-wendbar waren – die Verarbeitung von Beschäftigtendaten unter den folgenden Voraussetzungen:

Persönlichkeitstests sind nicht grund-sätzlich unmöglich. Die Tools müssen bestimmten Anforderungen genügen, und die Rechtsgrundlage muss stimmen.

Foto

: iSt

ock.

com

/Ver

tigo3

d

➞

18

Ausgabe 12 / 2018


■■ Die Verarbeitung ist für Zwecke des Be-schäftigungsverhältnisses erforderlich (Abs. 1).

■■ Sie erfolgt auf Grundlage einer Einwilli-gung (Abs. 2).

■■ Oder sie erfolgt auf Basis einer Betriebsverein barung (Abs. 4).

Erforderlich für Zwecke des Beschäftigungsverhältnisses?

Es ist umstritten, ob ein Persönlichkeits-test tatsächlich erforderlich ist, um über die Begründung, Durchführung oder Beendigung eines Beschäftigungsver-hältnisses zu entscheiden. Das Bundes-arbeitsgericht (BAG) erkennt hier bereits seit mehreren Jahren grundsätzlich das Erfordernis solcher Tests und auch ent-sprechender medizinischer Tests unter bestimmten Voraussetzungen an.

Diese Richtlinien des BAG können als ers-ter Anhaltspunkt dienen, um die daten-schutzrechtliche Zulässigkeit zu beurtei-len. Das BAG fordert u.a.:

■■ Der Arbeitgeber muss im ganz konkre-ten Fall ein berechtigtes und billigens-wertes Interesse an der Kenntnis über die psychische Eignung des Beschäf-tigten haben.

■■ Eine Einschätzung der psychischen Eignung ist erforderlich, um den Ar-beitsplatz zu besetzen und die künfti-ge Tätigkeit auszuüben; ein Fehlen die-ser Eignung würde die Arbeitsfähigkeit auf Dauer oder zumindest in regelmä-ßigen Abständen beeinträchtigen.

■■ Das Testverfahren ist fachlich abgesi-chert und darf nur so tief in die Privat-

sphäre des Arbeitnehmers eingreifen, wie dies für den Zweck des jeweiligen Arbeitsverhältnisses unbedingt erfor-derlich ist.

Die Ausführungen bzw. Anforderungen des BAG zum Fragerecht des Arbeitge-bers und die Regelungen des Allgemei-nen Gleichbehandlungsgesetzes (AGG) ergänzen diese Anforderungen. Danach sind grundsätzlich u.a. Fragen zum Pri-vatleben, zur Gesundheit oder auch zur sexuellen Ausrichtung nicht erlaubt. Ein Persönlichkeitstest sollte daher auf solche Fragen verzichten bzw. es sollte eine gute Begründung vorliegen, warum genau die-se Abfrage für die Tätigkeit erheblich ist.

Aufgabe: Verhältnismäßigkeitsprüfung nach § 26 BDSG

Um die datenschutzrechtliche Zulässig-keit eines Persönlichkeitstests auf Grund-lage von § 26 Abs. 1 BDSG zu prüfen, ist zudem eine sorgfältige Verhältnismä-ßigkeitsprüfung Vorausaussetzung. Es ist also zu prüfen, ob die Verarbei-tung geeignet, erforderlich und ange-messen ist. Hier steht beispielsweise auf der Frageliste,

■■ ob der Arbeitgeber einen wissen-schaftlich fundierten Test ausgewählt hat,

■■ ob der Test die Auswahl eines geeigne-ten Bewerbers fördert und ohne Test die Auswahl erheblich erschwert wird oder ob die Auswahl auch auf anderem Weg erfolgen könnte,

■■ ob der Arbeitsplatz bzw. die Tätigkeit einen solchen Test erfordert, um diese Stelle adäquat zu besetzen,

■■ ob eine Fehlauswahl z.B. einer Füh-rungskraft erhebliche Konsequenzen – auch wirtschaftlicher und organisa-torischer Natur – haben kann,

■■ wer Zugriff auf die Testergebnisse hat und warum,

■■ wie lange die Daten gespeichert wer-den und

■■ wo Daten verarbeitet werden.

Die Überlegungen und Ergebnisse sind in geeigneter Weise zu dokumentieren,

wenn § 26 Abs. 1 BDSG als Rechtsgrund-lage dienen soll.

Ist die Einwilligung eine Alternative?

Sofern sich die Verarbeitung der Daten – weil z.B. für das konkrete Arbeitsverhältnis nicht erforderlich – nicht über § 26 Abs. 1 BDSG rechtfertigen lässt, ließe sich auch eine Einwilligung einholen. Neben der grundsätzlichen Frage, ob jemand in ei-nem Beschäftigtenverhältnis eine Einwilli-gung tatsächlich freiwillig abgeben kann, ist kritisch zu werten, dass § 26 Abs. 2 BDSG besondere Anforderungen an diese Freiwilligkeit stellt. Sie ist z.B. nur zulässig, wenn beide Parteien gleiche Interessen verfolgen oder für den Beschäftigten ein wirtschaftlicher oder rechtlicher Vorteil vorliegt.

Auch wenn diese Aufzählung nicht ab-schließend zu verstehen ist, stellt sich die

Frage, inwieweit ein Beschäftigter, der sich auf eine Stelle bewirbt, nicht in eine Zwangslage kommt, wenn er den Test verweigert.

Letztlich muss er befürchten, dass seine Weigerung zu negativen Kon-

sequenzen führt. So lässt sich kaum von einer Freiwilligkeit ausgehen.

Soll eine Einwilligung als Rechtsgrundla-ge dienen, muss der Verantwortliche je-denfalls sicherstellen, dass

■■ der Umfang der Einwilligung sehr ge-nau definiert ist,

■■ es sich nicht um eine Pauschaleinwilli-gung handelt,

■■ die Auswirkungen der Ablehnung um-fassend erläutert werden und

■■ die Einwilligung ebenfalls die Verhält-nismäßigkeit berücksichtigt.

Ist das alles nicht der Fall, wäre diese Ein-willigung in einen Persönlichkeitstest als massiver Eingriff in die Persönlichkeits-rechte wohl unwirksam.

Betriebsvereinbarung als Rechtsgrundlage?

Ob Betriebsvereinbarungen als Rechts-grundlagen für die Verarbeitung von Be-

Sofern besondere Kategorien personenbezogener Daten verar-

beitet werden, z.B. Gesundheitsdaten, sofern Fragen zur Fitness Gegenstand des Tests sind oder aufgrund besonderer Anforderungen politische oder religiöse Einstellungen abgefragt werden, gilt Art. 9 DSGVO i.V.m. § 26 Abs. 3 BDSG.

W I C H T I G

19

Ausgabe 12 / 2018


I M P R E S S U M

Verlag:WEKA MEDIA GmbH & Co. KGRömerstraße 4, 86438 KissingTelefon: 0 82 33.23-40 00Fax: 0 82 33.23-74 00Website: www.weka.de

Herausgeber: WEKA MEDIA GmbH & Co. KGGesellschafter der WEKA MEDIA GmbH & Co. KG sind als Kommanditistin:WEKA Business Information GmbH & Co. KG und als Komplementärin:WEKA MEDIA Beteiligungs-GmbH

Geschäftsführer: Stephan Behrens, Michael Bruns, Werner Pehland

Redaktion:Ricarda Veidt, M.A. (V.i.S.d.P)E-Mail: [email protected]

Anzeigen: Anton SigllechnerTelefon: 0 82 33.23-72 68 Fax: 082 33.23-5 72 68E-Mail: [email protected]

Erscheinungsweise:Zwölfmal pro Jahr

Aboverwaltung: Telefon: 0 82 33.23-40 00Fax: 0 82 33.23-740E-Mail: [email protected]

Abonnementpreis:12 Ausgaben 198,00 € (zzgl. MwSt. und Versandkosten)Einzelheft 18 € (zzgl. MwSt. und Versandkosten)

Druck:Geiselmann Printkommunikation GmbHLeonhardstraße 23, 88471 Laupheim

Layout & Satz:metamedien Spitzstraße 31, 89331 Burgau

Bestell-Nr.: 09100-4059

ISSN-Nr.: 1614-6867

Bestellung unter:Telefon: 0 82 33.23-40 00Fax: 0 82 33.23-74 00www.datenschutz-praxis.de

Haftung: Die WEKA MEDIA GmbH & Co. KG ist bemüht, ihre Produkte jeweils nach neues ten Erkenntnissen zu erstellen. Die inhaltliche Richtigkeit und Fehlerfreiheit wird ausdrücklich nicht zugesichert. Bei Nichtlieferung durch höhere Gewalt,

Streik oder Aussperrung besteht kein Anspruch auf Ersatz. Erfüllungsort und Gerichtsstand ist Kissing. Zum Abdruck angenommene Beiträge und Abbildun-gen gehen im Rahmen der gesetzlichen Bestim mungen in das Veröffentlichungs- und Verbreitungsrecht des Verlags über. Für unaufgefordert eingesandte Beiträge übernehmen Verlag und Redaktion keine Gewähr. Namentlich ausgewiesene Bei träge liegen in der Verantwortlichkeit des Autors. Datenschutz PRAXIS und alle in ihr enthaltenen Beiträge und Abbil-dungen sind urheberrechtlich geschützt. Jeglicher Nachdruck, auch auszugsweise, ist nur mit ausdrücklicher Genehmigung des Verlags und mit Quellenangabe gestattet.

werberdaten gelten, ist umstritten. Dies dahingestellt, ist jedenfalls grundsätzlich anerkannt, dass eine Betriebsvereinba-rung die Verarbeitung von Daten für Zwe-cke von Persönlichkeitstests regeln kann. Letztlich muss die Vereinbarung den Re-gelungen des Datenschutzrechts entspre-chen. Daher gelten die obigen Ausführun-gen zur Prüfung der Rechtmäßigkeit auch hier. Dazu kommen die Anforderungen an eine Betriebsvereinbarung, die Art. 88 DSGVO stellt. Insbesondere sind die im-plementierten datenschutzrechtlichen Maßnahmen zu beschreiben, mit denen der Arbeitgeber die Rechte der Beschäf-tigten schützt.

Und sonst: Dokumentation in Datenschutz-Folgenabschätzung

Der Arbeitgeber sollte seine sämtlichen Überlegungen zum Umgang mit den Da-ten dokumentieren. Da Persönlichkeits- tests erhebliche Eingriffe in die Persön-lichkeitsrechte nach sich ziehen, ist eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO wohl unentbehrlich. In deren Rahmen kann dann zugleich die Dokumentation erfolgen. Zudem muss der Verantwortliche sicherstellen, dass die Beschäftigten umfassend nach Art. 13 DSGVO über den Umgang mit ihren Daten informiert und ihre Rechte nach Art. 15 ff. DSGVO sowie selbstverständlich die weiteren Anforderungen der Daten-schutz-Grundverordnung umgesetzt sind.

Fazit: umfassend prüfen und dokumentieren

Plant ein Verantwortlicher, Persönlich- keitstests durchzuführen, muss er sorgfäl-tig prüfen, wer welche Daten für welchen Zweck verarbeiten darf. Die Ergebnisse sind umfassend zu dokumentieren. Eine genaue Sachverhaltsanalyse und Einzel-

fallprüfung ist neben der Datenschutz-Fol-genabschätzung unentbehrlich. Dies gilt unabhängig von der Rechtsgrundlage, die die Verarbeitung letztlich erlaubt bzw. erlauben soll.

Silvia C. Bauer ist Rechtsanwältin bei der Luther Rechtsanwaltsgesellschaft mbH in Köln mit Schwerpunkt Datenschutz-beratung.

Wichtig für die Auswahl

Plant der Arbeitgeber, Online-Tools Dritter einzusetzen, um Persönlich-keitstests durchzuführen, muss er vor ihrem Einsatz prüfen, ob sie zum einen den Anforderungen der DSGVO genü-gen und zum anderen den Anforde-rungen, die er selbst definiert hat. Er-hebt ein Tool mehr Daten als zulässig, sollte es nicht zum Einsatz kommen. Zudem muss der Verantwortliche re-geln, welche Daten der Toolanbieter erhält und ob er als Dritter ggf. als ei-gener Verantwortlicher auftritt. Dies entlässt den Arbeitgeber jedoch nicht aus seiner Verantwortung, zu prüfen, ob der angebotene Test legitim ist. Und er hat die erforderlichen Verträge abzuschließen.

Sitzt der Drittanbieter außerhalb der Europäischen Union oder des Europä-ischen Wirtschaftsraums in einem un-sicheren Drittstaat, ist ein angemesse-nes Datenschutzniveau unabdingbar.

Achtung: Risiko Drittanbieter

Gra

fik: i

Stoc

k.co

m/l

ukb

ar

Idealerweise sitzt der Anbieter in der EU

20

Ausgabe 12 / 2018

D A T E N - S C H L U S S

I N D E R N ÄC H S T E N AU S G A B E

DSFA: Black- und WhitelistsWann ist eine Datenschutz-Folgenab-schätzung nötig, wann nicht? Die Aufsich-ten haben erste Listen dazu veröffentlicht.

Fehlversendungen vermeidenDie häufigsten Datenpannen sind derzeit Fehlversendungen. Grund genug, die Kol-legen zu dem Thema zu schulen.

Audit im Serverraum

T90 hält am längsten Bei Datenschutz-Audits spielt auch das Thema Brandschutz eine Rolle. Das gilt zumindest dann, wenn Server-

räume auf dem Programm stehen. Dass es dabei immer auf die Gesamtheit der Maßnahmen ankommt und

nicht darauf, dass einzelne Vorkehrungen besonders wirkungsvoll sind, zeigt die folgende Begebenheit.

In seiner Eigenschaft als externer Daten-schutzbeauftragter war Eberhard Häcker schon bei vielen Datenschutz-Begehun-gen dabei.

DSGVO & AbmahnungenAuch wenn bisher die große Welle ausge- blieben ist: Abmahnungen sind weiterhin ein Thema, das Unsicherheit auslöst.

weise „F90“ oder „T60“. Die Dauer richtet sich in vielen Fällen nach den baulichen Gegebenheiten vor Ort und kann durch-aus kürzer sein.

Der Standard: 90 Minuten

Auditoren kennen hier oft nur den ge-bräuchlichsten Wert, der im Zusammen-hang mit Serverräumen gefordert wird: F90 bzw. T90. Ein Serverraum muss dann ohne fremde Hilfe 90 Minuten durchhal-ten, um die Verfügbarkeit der Daten hin-reichend sicherzustellen. Dieser Wert fin-det sich in der Tür, meistens in der Nähe des Schlosses, auf einer Metallplatte.

60 oder 90 Minuten?

Serverraumkontrolle. Der Auditor findet die Ziffer T60. Lakonisch meint er, dass ja

eigentlich T90 zu erfüllen sei. Er quittiert die Differenz in seinem Prüfbericht mit einer Abweichung. Der anwesende IT-Lei-ter versucht zu erklären. Ärgerlich wehrt der Auditor ab, er will keine Diskussion um Brandschutz. Der IT-Leiter verweist auf den Vertrag mit dem Auftraggeber, in dem ein anderer Wert, nämlich 60 Minu-ten, vereinbart ist. Der Auditor bleibt hart.

Schließlich gibt der IT-Leiter entnervt auf mit dem Kommentar: „Wenn es hier mal brennt, schicke ich Ihnen ein Bild, wie die T90-Tür noch steht, während die F60-Wän-de längst abgebrannt sind!“

Bekanntlich kann der Brandschutz nicht nur die Bauzeiten für be-stimmte Flughäfen um mehrere Jah-

re verlängern. In Unternehmen, die alles, was möglich ist, wirklich richtig machen möchten, kann das Thema ebenfalls or-dentlich Ärger verursachen.

Durchhaltevermögen gefragt

Bei Auftragsverarbeitern, die die Infra-struktur der Informationstechnik vor-halten, stehen in den Verträgen oft klare Vorgaben zum Zeitraum, die ein Raum im Brandfall durchhalten muss, bevor die Feuerwehr eintrifft. Die Dauer, die ein Bau-teil halten soll, wird mit einem Buchsta-ben und der Zahl in Minuten angegeben. Für Wände steht das „F“, für Türen das „T“, gefolgt von den Minuten, also beispiels-

Ein Schulungsklassiker So schließen Sie die Schwachstelle ... · men einer Datenschutzschulung...

Documents

Transcript of Ein Schulungsklassiker So schließen Sie die Schwachstelle ... · men einer Datenschutzschulung...