ls Datenschutz bezeichnet den Schutz personenbezogener Daten vor Missbrauch.
Basis für die Definition ist die sog. Informationelle Selbstbestimmung. In ihr wird festgelegt welchen Umfang der Datenschutz hat.
Welche Daten sog. personenbezogene Daten sind wird, entsprechend der technischen Gegebenheiten, in regelmäßigen Abständen überarbeitet.
In weiterer Folge werden die Zusammenhänge von Datenschutz und Umgang mit den Daten durch Dritte festgelegt. Dies ist erforderlich da die Teilung der Arbeiten mit den Daten nicht das Recht verändern darf/kann.
Intares liefert Ihnen ein BDSG §11 konformes Managed Server Hosting. Wir unterstützen Sie bei der Umsetzung des Datenschutzes, sowie bei Sicherheit Ihrer wertvollen Daten.
Beschluss
der obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich am 26./27. November 2009 in Stralsund. Datenschutzkonforme Ausgestaltung von Analyseverfahren zur Reichweitenmessung bei Internet-Angeboten. Das Original: Datenschutz.. Der Inhalt des Beschluss lokal.
Speziell die Frage, was sind anonyme Daten und welche Daten sind personenbezogen, ist nur nach eingehender Prüfung der tatsächlichen Verhältnisse feststellbar.
Zum Beispiel, der Datenschutz sieht bereits in der Möglichkeit, dass anonyme Daten aus unterschiedlichen Quellen wieder „zusammengeführt“ werden können (und damit wieder personenbezogen werden), die Notwendigkeit, eine sog. Auftragsdatenverarbeitung anzunehmen.
Dies ist für Betreiber von Websites (managed Hosting) von großer Bedeutung, da ein Verstoß eine Ordnungswidrigkeit darstellt und mit Geldbusse belegt werden kann.
Insbesondere sind davon betroffen:
- Websites mit Registrierung
- Newsletter mit Anmeldung
- Shop mit Anmeldung
- Website mit log-file Auswertung
- Web-Analyse Systeme (IP-Nummer, GEO)
- Blogs mit Anmeldung/Log-File Auswertung
- Social Networks, etc.
Alle Services die NICHT die physikalische Möglichkeit bieten, anonyme Kundendaten zu verknüpfen und damit sie zu personenbezogenen Daten werden zu lassen, sind nicht betroffen. Alle anderen Dienste sind per Gesetz einer Kontrolle durch die Datenschutz-Behörde unterworfen, die gegebenenfalls dies nachprüft.
Behavioral Targeting
Als personenbezogene Daten werden zum Beispiel IP-Nummern gewertet. Allgemein sind örtliche, logische und zeitlich zuordnenbare Daten zu Personen als personenbezogene Daten anzunehmen. Auch wenn dies sehr theoretisch klingt, dies ist die Basis für alle behavioral targeting Werbung.
Behavioral Targeting erfasst das Verhalten des einzelnen Users und macht es für eine individuelle Werbestrategie nutzbar. Dies ist zulässig, solange der Werbetreibende vorab und unmissverständlich eine Einwilligung eingeholt hat. Ausserdem muss der User/Kunde jederzeit Widerruf einlegen können und die Löschung seiner Daten (auch der historisierenden) nachweislich veranlassen können.
Dies stellt die Werbeindustrie und auch Suchmaschinenbetreiber vor eine große Aufgabe, denn es liegt nicht unbedingt im Interesse der Unternehmen Daten zu vermeiden bzw. keine Information über die Kunden zu haben. Die Kosten einer gesetzeskonformen Auftragsdatenverarbeitung sind hoch und der vermeintliche Wert wird aus Sicht der Werbeindustrie durch die Vorgaben eingeschränkt.
Auftragsdatenverarbeitung nach BDSG § 11
Wer als Unternehmer personenbezogene Daten durch ein fremdes Dienstleistungsunternehmen (Auftragnehmer zum Beispiel: Managed Hosting) verarbeiten lässt, bleibt dennoch datenschutzrechtlich weiterhin in der Verantwortung. Der Auftragnehmer ist sorgfältig auszuwählen und dabei ist besonderes Augenmerk auf die Sicherheitsvorkehrungen zu legen.
Der Auftrag ist schriftlich zu erteilen und muss insbesondere klare Aussagen über folgende Teilbereiche enthalten:
Spezifizierung der ausgelagerten Datenerhebung, Datenverarbeitung und Datennutzung
Darstellung der beim Auftragnehmer tatsächlich realisierten technischen und organisatorischen Maßnahmen zur Datensicherheit sowie
Festlegung etwaiger Unterauftragsverhältnisse (Subunternehmer).
Der Auftragnehmer darf die Daten nur im Rahmen dieser so genannten „Weisungen“ des Auftraggebers verarbeiten bzw. nutzen. Ist der Auftragnehmer der Ansicht, dass eine Weisung des Auftraggebers gegen Datenschutzvorschriften verstößt, so hat er den Auftraggeber unverzüglich darauf hinzuweisen.
Vorschlag des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein zur Formulierung des datenschutzrechtlichen Teils vertraglicher Regelungen zur Auftragsdatenverarbeitung nach § 11 BDSG
Der Auftragnehmer erledigt Erledigung folgende Arbeiten:
- Erledigung von Abrechnungsarbeiten
- Erledigung von Schreibarbeiten
- Pflege und Verwaltung von Adressdatenbeständen
- Erledigung von Buchführungsarbeiten (Finanzbuchführung einschließlich Lohn- und Gehaltsabrechnung)
- Erstellung von Adressetiketten
- Mikroverfilmung von Buchführungsunterlagen
- Archivierung von geschäftlichen Unterlagen auf CD
- Durchführung von Mailings und sonstigen Marketingmaßnahmen
- Sonstiges (bitte genau definieren): ….
Folgende technische und organisatorische Maßnahmen zur Datensicherung im Sinne von § 9 BDSG sind beim Auftragnehmer getroffen:
Das zu verarbeitende bzw. zu vernichtende Datenmaterial wird auf direktem Weg vom Auftraggeber zum Auftragnehmer transportiert (Botendienst/Post/Spediteur/……….) und ist vom Zeitpunkt der Anlieferung bis zum Abschluss seiner Verarbeitung gegen unberechtigte Einblicknahme Dritter geschützt.
Die Schlüssel zu den Räumlichkeiten, in denen die Auftragsdaten verarbeitet bzw. vernichtet werden, befinden sich in der ausschließlichen Obhut der Geschäftsleitung des Auftragnehmers sowie ggf. der zuständigen Mitarbeiter. Dritte haben zu den Räumlichkeiten keinen Zutritt. Über ein einheitliches Schließsystem wird (ggf.) gewährleistet, dass Mitarbeiter neben den allgemeinen Bereichen nur ihre eigenen Räume betreten können. Die Vergabe von Schlüsseln ist schriftlich geregelt (z. B. durch eine Schlüssel-Liste).
Die EDV-Anlage des Auftragnehmers (Hersteller und Typ, Betriebssystem, Anwendungssoftware,…..) ist in einem (ggf. fensterlosen) Innenraum / in einem abgeschotteten EDV-Raum / ……. untergebracht. Die Tür zu diesem Raum besteht aus Metall/Holz/ Kunststoff und verfügt über ein eigenes Sicherheitsschloss (Zugangskontrollanlage?). Zugang zum EDV-Raum haben nur die Geschäftsleitung/Inhaber sowie ggf. die zuständigen Mitarbeiter. Die Zugangsberechtigung zum EDV-Raum ist schriftlich geregelt.
Der Zugriff auf das System ist mit Benutzerkennungen und (abgestuften) Passwörtern geschützt. Für Fernwartungstechniker besteht ggf. eine gesonderte USER-ID, die keine Einblicke in Dateien mit personenbezogenen Daten zulässt. Ein Virenscanner der Marke …………….. ist installiert. Außerdem ist folgende Datenschutz-Software implementiert: (z. B.: ………………………………….).
Die Abschottung der Datenbestände verschiedener Auftraggeber untereinander wird beim Auftragnehmer durch Speicherung in getrennten physischen Dateien bzw. Datenbanken erreicht. Sicherungsbestände der Daten lagern (ggf.) in einem Stahlschrank und (ggf.) zusätzlich in einem Schließfach der Hausbank. Für die datenschutzgerechte Vernichtung von Fehldrucken und sonstigem Datenmüll steht ein hauseigener Reißwolf der Marke ……………….. zur Verfügung (Alternative: Anschluss an einen gewerblichen Aktenvernichter).
Außerdem können hier weitere Sicherungsmaßnahmen aufgeführt werden, soweit und sobald sie künftig realisiert werden (z.B.: Installation einer Datenschutzsoftware, Videoüberwachung gefährdeter Bereiche, Anschluss an Bewachungsunternehmen, Kontrollgänge des Hausmeisters, vergitterte Fenster, abschließbare Fenstergriffe, Sichtschutz an den Fenstern, durchwurfhemmende Folie auf den Fensterscheiben, automatisierte Zugangsüberwachung, unterbrechungsfreie Stromversorgung (USV),etc.).
Die bei der Datenverarbeitung ggf. eingesetzten Mitarbeiter des Auftragnehmers sind schriftlich auf das Datengeheimnis nach § 5 BDSG verpflichtet, sowie auf das Sozialdatengeheimnis des Zehnten Buchs des Sozialgesetzbuchs (§§ 67 ff. SGB X).
Der Auftragnehmer verpflichtet sich, die Verarbeitung der ihm übergebenen personenbezogenen Daten ausschließlich im Rahmen der vertraglich festgelegten Weisungen des Auftraggebers durchzuführen (§ 11 BDSG). Ist der Auftragnehmer der Ansicht, dass eine Weisung des Auftraggebers gegen das Bundesdatenschutzgesetz oder andere Vorschriften über den Datenschutz verstößt, hat er den Auftraggeber unverzüglich darauf hinzuweisen.
Der Auftragnehmer ist verpflichtet, dem Auftraggeber jederzeit Auskünfte zu erteilen, soweit seine Daten und Unterlagen betroffen sind. Nicht mehr erforderliche Daten sind beim Auftragnehmer unverzüglich zu löschen.
Bei Beendigung des Auftragsverhältnisses verpflichtet sich der Auftragnehmer, alle ihm in Zusammenhang mit dem Auftrag übergebenen und bis dahin noch nicht verarbeiteten bzw. gelöschten personenbezogenen Daten an den Auftraggeber zurückzugeben bzw. den Nachweis einer ordnungsgemäßen Vernichtung darüber zu führen.
Der Auftraggeber hat sich in den Geschäftsräumen des Auftragnehmers von der ordnungsgemäßen Verarbeitung seiner personenbezogenen Daten sowie von der Einhaltung der beim Auftragnehmer vor Ort getroffenen technischen und organisatorischen Datensicherungsmaßnahmen zu überzeugen.
Es wird gewährleistet, daß zur Verarbeitung/Löschung bestimmte Datenträger während ihres Transportes gegen unberechtigte Einsichtnahme und Verlust geschützt sind (z. B. durch ausschließlichen Einsatz von geschlossenen Transportbehältern bzw. Transportfahrzeugen, durch Einsatz anerkannter Transportunternehmen, durch persönliche Übergabe oder durch Verschlüsselung bei Datenfernübertragung).
Der Auftragnehmer ist verpflichtet, den Auftraggeber bei besonderen Vorkommnissen – wie z. B. bei technischen oder organisatorischen Störungen im Rahmen der vertragsgemäßen Verarbeitung/Löschung der Daten – unverzüglich zu benachrichtigen und die weitere Behandlung der Daten (z. B. kurzfristige Aus- oder Zwischenlagerung oder ausnahmsweise Weitergabe an einen evtl. Subunternehmer bzw. Unterauftragnehmer) mit diesem abzustimmen.
Der Auftragnehmer verpflichtet sich, die ihm übergebenen personenbezogenen Daten grundsätzlich nur in seinen eigenen Geschäftsräumen in Hamburg. und ohne Einschaltung von Subunternehmern / Unterauftragnehmern zu verarbeiten. Vor einer evtl. dennoch einmal erforderlich werdenden Einschaltung eines Subunternehmers / Unter-auftragnehmers (z. B. bei technischen Störungen an der EDV-Anlage bzw. an der Vernichtungsanlage des Auftragnehmers) ist unbedingt das Einverständnis des Auftraggebers einzuholen.
Das Original können Sie sich beim Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein ansehen.