Datenschutzfallen bei Kooperationen mit Fitnessstudios

/in , ,

Es ist gängige Praxis, dass Firmen zur Motivation der Mitarbeiter Kooperationen mit anderen Firmen eingehen. Damit verbunden sind dann Leistungen, die der Mitarbeiter günstiger, gesponsert oder sogar komplett umsonst wahrnehmen kann.

Eine populäre Kooperation ist z.B. die Zusammenarbeit mit einem Fitness- oder Gesundheitsstudio.

Dabei wird i.d.R. zwischen dem Unternehmen und dem Fitnessstudio ein Vertrag über die Nutzung von Kursen oder Geräten im Studio geschlossen und die finanziellen Konditionen für die Mitarbeiter geregelt.

Meist steht dann in einem solchen Vertrag, dass das Unternehmen die Daten aller Mitarbeiter übermittelt. In manchen Verträgen ist sogar festgelegt, dass der Austritt von Mitarbeitern an das Studio gemeldet werden muss.

Vorsicht Fallen

Und hier liegt schon das erste Problem: Diese Übermittlung ist auf Basis eines solchen geschlossenen Vertrages gar nicht zulässig.

Eine Übermittlung ist nur zulässig, wenn der Mitarbeiter für diesen Fall seine Zustimmung erteilt hat. Da diese Dinge selten in Arbeitsverträgen zu finden sind, kann man auch nicht so ohne weiteres auf diese verweisen.

Darüber hinaus würden auch Mitarbeiter gemeldet werden, die den Service gar nicht nutzen werden, d.h. es existiert in diesen Fällen gar keine Zweckbindung für die Datenübermittlung.

Theoretisch dürften die Daten nur übermittelt werden, wenn jeder Einzelne seine schriftliche Zustimmung erteilt hat. In dieser Zustimmung müsste auch Zweck genau spezifiziert sein.

Und hier beginnt das nächste Problem, denn viele Fitnessstudios legen auf Basis diese Informationen direkt die Mitarbeiter als Kunden in ihren Systemen an.

Unter dem Gesichtspunkt dass bereits die Weitergabe der Daten im Kontext einer Auftragsdatenverarbeitungsvertrages zu sehen ist, würde das Fitnessstudio nun auf Basis der vom Unternehmen initiierten Datenanlage mit der Erfassung von Gesundheitsdaten (Fitness-Tracker, Gesundheitstest, Trainingsfortschritt, etc.) beginnen. Und plötzlich befindet sich das Ganze im Bereich der Regeln für den Schutz besonders sensibler Daten (§3 Abs. 9 BDSG, Artikel 9 DSGVO).

Im Falle eines Widerspruchs der Einwilligung müsste das Unternehmen darüber hinaus sicherstellen, dass sämtliche Daten in diesem Kontext auch im Fitnessstudio gelöscht würden, was in der Praxis kaum verifizierbar ist.

Außer Betracht lassen wir in diesen Fällen die Beteiligung von Betriebsrat oder den Abschluss von Betriebsvereinbarungen.

Daher sollte ein Unternehmen auf keinen Fall nur die „Gute Tat“ für die Mitarbeiter weollen, sondern in der Abwicklung auf jeden Fall den Schutz der personenbezogenen Daten und das Risiko für das Unternehmen im Auge behalten. Sonst kann das Ganze nach hinten losgehen.

Eine mögliche Lösung

Daher empfehlen wir, im Beispiel für die Fitnessstudio-Kooperation auf folgende Punkte zu achten:

  • Eine Verpflichtung zur Weitergabe von personenbezogenen Daten in einer woe oben beschriebenen allgemeinen Form gehört nicht in einen Kooperationsvertrag.
  • Jeder Mitarbeiter sollte sich selbständig im Fitnessstudio melden und dort die üblichen vertraglichen Regelungen abschließen. Die Daten, die das Fitnessstudio erfasst obliegen somit in der Verantwortung des Fitnessstudios und der vertraglichen Vereinbarung mit dem Kunden.
  • Mit dem Mitarbeiter wird eine Vereinbarung abgeschlossen, dass das Unternehmen dem Fitnessstudio Auskunft darüber geben kann, ob der Mitarbeiter im Unternehmen beschäftigt ist. Somit ist klar geregelt, was zu welchem Zweck weitergegeben wird. Damit kann das Fitnessstudio bei positiver Bestätigung den Mitarbeiter in einen günstigeren Firmentariuf einstufen.

Dieser Fall kann ebenso bei anderen Kooperationen auftreten (z.B. Kantinennutzung, Fahrzeugpool, etc.). Gehen Sie als Unternehmen auf Nummer sicher und lassen vor Vertragsabschluss dessen Inhalte und die operative Umsetzung auf jeden Fall durch einen Datenschutzberater oder -beauftragten prüfen.

Wer setzt die DSGVO im Unternehmen um?

/in , ,

In verschiedenen Gespräche mit Unternehmen habe ich immer wieder folgendes gehört:

Wir haben einen Datenschutzbeauftragten, der kümmert sich um die DSGVO-Compliance

Hier stelle ich mir das Bild eines in einer riesigen Abstellkammer zurückgelassenen Menschen vor, von dem man erwartet, dass er  die Kammer aufräumt und vorher nicht rauskommt.

Die Annahme, dass ein Datenschutzbeauftragter dafür Sorge trägt, dass ein Unternehmen ab 25.5.2018 die Datenschutzgrundverordnung und des BDSG neu erfüllt  ist dabei nicht nur falsch sondern auch risikoreich – für den Unternehmer.

Auf Handlungsbedarf bzgl. DSGVO hinweisen

Zu den Pflichten des Datenschutzbeauftragten gehört primär die Beratung des Unternehmens und insbesondere der GF in Bezug auf die Verarbeitung personenbezogener Daten. Darüber hinaus pflegt er nach dem aktuellen BDSG das Verfahrensverzeichnis auf Basis der ihm zur Verfügung gestellten Informationen, schult Mitarbeiter und prüft neue oder geänderte Verfahren.

Im Zusammenhang mit der DSGVO ist es daher die Pflicht des Datenschutzbeauftragten, die Geschäftsführung über kommende Änderungen zu informieren und Risiken aufzuzeigen, die sich bei einer Nichtbefolgung ergeben können. Hier gilt auch schon meine erste Empfehlung für Datenschutzbeauftragte:

Informiert den Verantwortlichen über die Neuerungen und Risiken durch die DSGVO unbedingt schriftlich.

Die Einführung der DSGVO definiert den Datenschutzbeauftragten zukünftig primär als Berater des Unternehmens oder wer es böswillig ausdrücken möchte, als verlängerter Arm der Aufsichtsbehörden.

Der DSB sollte im Kontext der kommenden Änderungen daher u.a. auf folgendes hinweisen:

  • Gültigkeit und Neueinholung von Einwilligungserklärungen
  • Neue Informationspflichten bei der Kommunikation mit Kunden (u.a. Webseite, Newsletter, etc.)
  • Anpassung von Verpflichtungserklärungen
  • Anpassung von Schulungsunterlagen
  • usw.

Bzgl. Verfahrensverzeichnis entfällt zwar für einige Unternehmen theoretisch die Pflicht zur Führung eines Verfahrensverzeichnisses. Wenn man aber den Datenschutz entsprechend den Forderungen nach einem Datenschutzmanagement sicherstellen möchte, dann sind hierfür genau diese Verfahren wieder die Grundlage evtl. sogar noch umfangreich als vorher.

Also müssen diese Dokumentationen entsprechend dieser Anforderungen angepasst werden. Hierzu sei auf die Vorlagen z.B. des BSI verwiesen.  Wer noch kein Verfahrensverzeichnis hat, sollte das also jetzt auch noch nachholen (nach dem aktuellen BDSG ist der DSB zum Führen verpflichtet, aber nur auf Basis der Informationen, die er zur Verfügung gestellt bekommt).

Projekt zur DSGVO – Compliance empfehlen

Und damit kommen wir zum größten Thema, das der DSB aussprechen sollte:

Die Einführung eines Datenschutzmanagmentsystems mit allen Richlinien und Prozessen, ein kontinuierlicher Verbesserungsprozesses anlehnend an eine ISO 9001 sowie einer Möglichkeit zur Auditierung.

Hier sind eine Vielzahl von Rollen im Kontext einer entsprechenden Datenschutz- und Informationssicherheitsorganisation zu besetzen und einzubinden. Dazu gehören GF, IT-Leitung, Personalleitung, Abteilungen, etc.

Die Verantwortung für diese ganzen Dinge bleiben beim Verantwortlichen einer Firma, d.h. der Geschäftsführung. Ein vorausschauender DSB empfiehlt nun die Initiierung eines Compliance-Projektes zur Erfüllung der DSGVO und des neuen BDSG. Sofern kein Informationssicherheitsmanagement vorliegt, empfielt er gleichzeitig dieses als Orientierung direkt mit einzuführen und die datenschutzrelevanten Teile (Verfahren, etc.) zu ergänzen. Der DSB ist dabei ein Teil des Projektes und unterstützt den Projektverantwortlichen bei der Beschreibung und Definition der notwendigen Maßnahmen (primär Richtlinien und Verfahren).

Das ganze Thema ist aufwendig und die Zeit bis zum 25.5.2018 sehr knapp, aber wer nicht ein Projekt initiiert, läuft in ein hohes Risiko, dass der Datenschutzbeauftragte bereits heute kommunizieren kann.

VdS 3473 als Basis für Datenschutzmanagement nach DSGVO

/in , ,

Neue Anforderungen der DSGVO

Die ab 25.5.2018 geltende Datenschutz Grundverordnung beinhaltet im Vergleich zum BDSG die Pflicht zur Etablierung eines Datenschutzmanagement Systems, welches wie ein internes Kontrollsystem im Unternehmen etabliert werden soll. Die DSGVO erwartet in diesem Zusammenhang auch die Etablierung eines ständigen Verbesserungsprozesses, um erkannte Schwachstellen / Maßnahmen zu dokumentieren und zu optimieren / fortzuführen.

Schließlich wird eine enge Verbindung zur Datensicherheit und den dem Stand der Technik entsprechenden technischen und organisatorischen Maßnahmen hergestellt.

In Zukunft ist der Unternehmer verpflichtet nachzuweisen, dass Maßnahmen getroffen und ständig verbessert werden.

Für KMUs den VdS 3473 Standard wählen

Im Hinblick auf Nachweise der getroffenen Datenschutzmaßnahmen und insbesondere eines Datenschutzmanagementsystems sollte berücksichtigt werden, dass eine Prüfung i.d.R. auf vorhandene Standards referenziert. Da es für das Datenschutzmanagement bis dato keinen ausreichenden Standard gibt sollte ein Standard aus dem Bereich IT-Sicherheit verwendet, und um Datenschutz erweitert werden. Dieser umfasst dann i.d.R. auch das Qualitätsmanagement nach ISO 9001, welches durch den ständigen Verbesserungsprozess abgebildet wird.

Insbesondere für kleine und mittlere Unternehmen bietet sich die VdS 3473 an, die sowohl zertifizierbar als auch aufwärtskompatibel insbesondere zur ISO 27001 ist.

Alternativ kann mit deutlich größerem Aufwand auch der BSI Grundschutz oder die ISO 27001 als Basis verwendet werden.

Es macht anschließend Sinn, die VdS-Richtlinien um die besonderen Anforderungen des Datenschutzes zu erweitern. Dies kann durch gesonderte Kapitel oder auch durch eigene Dokumente erfolgen, auf die dann verwiesen wird.

Weitere VdS 3473 Informationen

Folgende Informationen zur VdS 3473 können weiterhelfen:

Informationen des VdS inkl. Zertifizierung

https://www.vds.de/cyber/zertifizierung-fuer-kmu/

Dokumentation

https://vds.de/fileadmin/vds_publikationen/vds_3473_web.pdf

Quick-Check zur Statusfeststellung

https://www.vds-quick-check.de/

DSGVO Einführung jetzt beginnen

/0 Kommentare/in , ,

Am 25.5.2018 tritt die neue europäische Datenschutz Grundverordnung DSGVO in Kraft. Bis zu diesem Zeitpunkt haben die Mitgliedsstaaten Zeit, ergänzende Regelungen zu verabschieden.

Was viele nicht wissen:

Die DSGVO löst das aktuelle Bundesdatenschutzgesetz BDSG ab!

Damit werden alle Regelungen und Vereinbarungen (z.B. Einverständniserklärungen, Verschwiegenheitserklärungen der Mitarbeiter, Auftragsdatenverarbeitungsverträge, etc.) möglicherweise ungültig.

Neu ist neben den zukünftig massiv erhöhten Bußgeldern bei Verstößen auch die Einrichtung eines Datenschutzmanagements, welches einem prüfbarem und prozessorientiertem Ansatz eines internen Kontrollsystems entspricht  und einen umfangreichen Aufwand bei der Einrichtung erfordert.

Mit der neuen DSGVO wird auch die Verknüpfung von IT-Sicherheit und Datenschutz hergestellt. Die bisher zu dokumentierenden technischen und organisatorischen Maßnahmen werden wie bei den IT-Sicherheitsnormen behandelt und einer ständigen Verbesserung nach dem Stand der Technik unterworfen. Daher bietet sich  an, einen Blick auf BSI-Grundschutz, ISO 27001 oder VdS 3473 zu werfen.

Die Auskunftspflichten haben Sich in der Form geändert, dass mit der DSGVO deutlich mehr Informationen geliefert werden sollten und insbesondere auf die Widerspruchsrechte des Kunden explizit hingewiesen werden muss. Davon betroffen sind auch die vielen Datenschutzerklärungen auf Webseiten, bei denen in den meisten Fällen eine Anpassung erfolgen muss.

Denken Sie daran, dass Datenschutzverletzungen oder Sicherheitsvorfälle nicht nur ärgerlich für das Unternehemn und die Betroffenen sind, sondern auch erhebliche Reputationsverluste mit sich führen können. Die Sensibilität der Kunden ist in diesem Bereich sehr hoch.

Um darüber hinaus den entstehenden Risiken (Haftung, Abmahnungen) zu entgehen, sollten Sie jetzt mit der Umsetzung der neuen DSGVO beginnen. Dazu empfehlen wir, Ihre existierenden Datenschutz als Startpunkt zu verwenden und die Anpassungen sowie Erweiterungen abzuleiten. Aus unserer Erfahrung dauert eine Ist-Aufnahme eine gewisse Zeit. Und wenn Sie dann noch ein Managementsystem etablieren wollen, welches sich an existierenden Normen wie die ISO 27001 orientieren soll ist der Zeitraum ausgesprochen kurz.

Welche Lösung für Sie die angemessene ist, finden wir in einem Abstimmungsgespräch heraus.

Haben Sie noch keinen Datenschutz umgesetzt, dann wird es höchste Zeit damit zu beginnen und so schnell wie möglich die nowendigen Maßnahmen zur Erfüllung der gesetzlichen Rahmenbedingungen umzusetzen.

Gerne unterstützen wir Sie bei der Identifikation der Risiken und deren Behebung sowie der Etablierung eines Datenschutzmanagements.

Auftragsdatenverarbeitung außerhalb der EU

/in , ,

Die Regelungen für eine Auftragsdatenverarbeitung nach dem BDSG werden hinlänglich praktiziert. Hier sind insbesondere die Verarbeitung der Daten innerhalb der EU durch entsprechende Regelungen abgedeckt. Was aber passiert, wenn ein Dienstleister außerhalb der EU genutzt wird und als Funktionsträger die Daten des Unternehmens verarbeitet? Hierzu zählen beispielsweise Dienste wie Amazon oder Google oder auch das bekannte CRM System Salesforce, die Ihre Daten häufig außerhalb der EU speichern und weiterverarbeiten.

Vor dem Abschluss eine Vertrages zur Auftragsdatenverarbeitung ist zu empfehlen, zuerst die Privacy Policies der Unternehmen zu lesen. Sofern diese Bestandteil eines Vertrages sind oder werden sollen, sind dort bereits Hinweis auf die Verarbeitung der Daten außerhalb der EU zu finden.

Privacy Shield als Nachfolger für Safe Harbour

Explizit für US Unternehmen bestand darüber hinaus ein Abkommen zwischen der EU und den USA, das veraltete Safe Harbour Abkommen. In diesem wurde geregelt, wie der Datenschutz der EU zu erfüllen ist. Unternehmen, die sich dieser Vereinbarung freiwillig unterwerfen wollten, konnten sich diesbezüglich zertifizieren lassen.

Die entsprechende Liste des US Handelsministeriums kann im Web unter hier eingesehen werden. Dort können Sie prüfen, ob das zu beauftragende Unternehmen zertifiziert ist und wie lange diese noch Gültig ist.

Am 8.Oktober 2015 wurde  das Safe Harbour Abkommen durch den europäischen Gerichtshof aufgrund unzureichender Vereinbarungen für nichtig erklärt. Damit wurde für viele Vereinabrungen die Rechtsgrundlage entzogen.

Nähere Informationen hierzu finden Sie auf der Webseite des Bundesdatenschutzbeauftragten unter https://www.bfdi.bund.de/DE/Europa_International/International/Artikel/SafeHarbor.html.

Anstelle des Safe Harbour Abkommens wurde 2016 das „Privacy Shield“ Abkommen abgeschlossen, welches die Beanstandungen des bisherigen Abkommens kompensieren soll. Auch hier müssen sich Unternehmen wieder zertifizieren lassen. Neu ist insbesondere, dass die Gültigkeit der Zertifizierung durch das beauftragte Unternehmen jährlich nachgewiesen werden muss.

Die zertifizierten Unternehmen können wiederum auf der Webseite https://www.privacyshield.gov  eingesehen werden.

EU Vertragsbedingungen für Auftragsdatenverarbeitung

Offen bleibt aber, wie ein Vertrag mit einem Unternehmen in einem Drittstaat abgeschlossen werden soll. Hier hat die EU entsprechende Vorlagen bereitgestellt, die sich in jedem Vertrag wieder finden sollten (https://ec.europa.eu/justice/data-protection/international-transfers/transfer/index_en.htm ). Entscheidend ist dabei die Auswahl der richtigen Vorlage.

Leider basieren die Vorlagen noch auf den bisherigen Datenschutzregelungen der EU, die bekanntlich durch die DSGVO Regelungen abgelöst werden. Es ist daher davon auszugehen, dass diese Vertragsregelungen nur noch eine Übergangszeit ihre Gültigkeit behalten und dann durch neu abzuschließende Verträge abgelöst werden müssen.

Auch die Verbindglichkeit des Privacy Shield Abkommens ist noch nicht abschließend geklärt, insbesondere nach dem Regierungswechsel in den USA.

Hohe Komplexität

Insgesamt ist das Thema zum Abschluss eines Vertrages zur Auftragsdatenverarbeitung hoch komplex. Nützliche Hinweise, wie im Einzelfall zu verfahren ist finden sich auf der Webseite des Landesdatenschutzbeauftragten NRW unter https://www.ldi.nrw.de/mainmenu_Datenschutz/submenu_Datenschutzrecht/Inhalt/InternationalerDatenverkehr/index.php oder auf https://www.datenschutz-notizen.de/sind-die-eu-standardvertragsklauseln-noch-wirksam-10-punkte-die-jetzt-beachtet-werden-sollten-0912785/