Procedures
Schutz unser Firmengruppe vor inneren und äusseren Angriffen: Unsere Herausforderung ist, beim DSGVO geht es nur darum die Daten von natürlichen Personen zu schützen. Der Schutz der für die Unternehmen wichtigen Daten und Infrastruktur sind nicht Gegenstand des Gesetzes. Um exemplarisch die Absicherung unser Produktionsanlagen und mobiler Assistenz-Geräte ebenfalls vollumfänglich abzubilden. Es ist davon auszugehen, dass die Aufsichtsbehörden politisch immer mehr zum eigenen Handeln angehalten werden, gilt es doch ein Grundrecht auf Privatssphäre zu schützen.
Es gibt Gewinner und Verlierer in der Datengesellschaft. Die Bürger sind die Verlierer, weil sie nicht in der Lage sein werden, sich zu schützen. Denn Schutz ist eine Frage der Technologie, der Ressourcen und des Wissens. Datenschutz kann zum Luxusgut verkommen, das sich nur die werden leisten können, die die nötigen Ressourcen und das Wissen darüber haben – das sind vornehmlich Unternehmen. Vielleicht auch noch Staaten, aber schon die kleineren werden grosse Mühen haben, das zu bewältigen. Die einzige Möglichkeit unsere Daten zu schützen, sind also Gesetze. Denn wir alle sollten die Matrix kennen, in der wir stecken.
Open Data
Beim Thema Datenschutz reichte es uns nicht, wenn die IT im stillen Kämmerchen konzipiert – da musste die Geschäftsleitung ebenso mit am Tisch sitzen wie die Fachabteilungen, die Personaler, die Rechtsabteilung und natürlich auch alle Betriebsräte und Datenschutzbeauftragten. So war gewährleistet, dass alle Perspektiven Berücksichtigung finden.
Seien wir doch mal ehrlich: ohne Not ändert sich so schnell nichts. Datenschutz ist der Megatrend, aber auch das Schreckgespenst in Unternehmen. Dabei sind Risiko, Unsicherheit, Volatilität und erhöhte Komplexität zukünftig unsere bestimmenden Faktoren. Darüberhinaus gilt die EU-DSGVO nicht nur für europäische Organisationen, die personenbezogene Daten verarbeiten, sondern auch für Organisationen ausserhalb der EU, die auf Personen mit Wohnsitz in der EU abzielen. Egal, ob wir im Marketing-, Vertrieb- oder Support täglich mit Kundendaten umgehen oder ein Datenschutzbeauftragter oder ein für die Compliance verantwortlicher leitender Angestellter sind, wir befolgen einen Masterplan, um die Herausforderungen und Chancen zu befähigen - einschliesslich der Prozesse, die bei der Interaktion mit bestehenden und potenziellen Kunden befolgt werden müssen: also Mehrwert statt Notwendigkeit. Neben den technologischen Rahmenbedingungen sind die Erfolgsfaktoren für eine ganzheitliche Digitale Transformation Aspekte, wie Digital Leadership, People, Space, Culture, Processes; welche ausschlaggebend sind für disruptive und nachhaltige Innovation und damit auch unser neuen wirtschaftliche Stärke in Europa. Im Konzern glauben wir, dass Datenschutz und neue Technologien nicht zur Effizienzoptimierung der alten Wertschöpfungslogik genutzt werden sollten. Ein wirklich nachhaltiger Datenschutz hinterfragt vielmehr fundamental die Logik von Firmen wie auch Branchen. Nicht umsonst hinterfragen wir deswegen auch mit Personen-Verbraucher-Datenschutz Consulting unser eigenes Business fundamental. Auch andere Partner werden daran nicht vorbeikommen. Nichtsdestotrotz: technologische Kompetenz bleibt eine wichtige Basis der Transformation. Natürlich kann man den Datenschutz als eindimensionales Thema betrachten. Man kann sich auf Teamentwicklung fokussieren, man kann Organisationsgestaltung ins Zentrum rücken, Führungskräfte coachen, Kultur fördern und verändern. Man kann aber auch mit einer ganzheitlichen Perspektive auf Personen-, Verbraucher- und Datenschutz blicken. Möge diese Perspektive in die Währung Vertrauen einzahlen und diese in der Wertschätzung und Wahrnehmung stärken.
Eingebauter Datenschutz
Wenn sich nicht noch Feinheiten ändern sollten, dann dürften laut der neuen E-Privacy Richtlinie die gebräuchlichen Cookie-Popups mit Hinweisen wie „Mit dem Besuch dieser Website akzeptieren Sie die Verwendung von Cookies“ und einem dazugehörigen OK-Button demnächst so nicht mehr zulässig sein.
Wer hat Angst vorm Datenschutz?
Den meisten Leuten ist es egal, oder sie meinen, nichts zu verbergen zu haben. Das mag manchmal sogar der Fall sein, ist aber eine sehr selbstbezogene Aussage. Es geht nämlich auch um Solidarität gegenüber Leuten, die tatsächlich darauf angewiesen sind, Geheimnisse hüten zu können. Beispielsweise können das Minderheiten oder Journalisten sein.
Ran an die Prozesse
Die DSGVO basiert auf einer vollständig restriktiven Prämisse, die die Verarbeitung personenbezogener Daten zunächst einmal komplett verbietet. Erst im Nachsatz werden konkrete Ausnahmefälle definiert, in denen der Zugriff erlaubt ist, etwa wenn dies zur Erfüllung bestehender Verträge erforderlich ist oder die Einwilligung der Betroffenen vorliegt. Das ist ein Ansatz, den wir aus der IT-Security kennen und der sich in kritischen Umgebungen sehr bewährt hat.
Alle Unternehmen sind grundsätzlich zur Dokumentation durch ein detailliertes Verzeichnis von Verarbeitungstätigkeiten der personenbezogenen Daten verpflichtet. Die geforderte „Integrität und Vertraulichkeit“ lässt sich für die elektronische Kommunikation von Personendaten nur durch Verschlüsselung erreichen.
Datenschutz wird oft als negativ empfunden. Als Innovationsverhinderer oder Dokumentationsmonster. Dabei ist die Intention eine ganz andere: Niemand möchte sein Bankkonto leergeräumt sehen, seine Identität von einem anderen genutzt wissen oder seine Krankenakte im Netz zugänglich sehen. Gerade heute, in der Zeit der Digitalisierung, rückt Datenschutz den Menschen in den Mittelpunkt einer datenbasierten Wirtschaft.
Die Grundintention der DSGVO kann man im Erwägungsgrund 4 nachlesen. Dort heißt es: “Die Verarbeitung personenbezogener Daten sollte im Dienst der Menschheit stehen.”
Was jetzt getan werden muss! Das Fundament: in guter Hand. Durch die Verdatung werden soft facts einer Person, etwa die Reputation, plötzlich genauso sichtbar wie die Kleidung. Dabei ist Vertrauen gut - Vertrautheit noch besser. Und sie bleibt der Beziehung zwischen Menschen vorbehalten. Zumindest fast immer, unter anderem Open Data; Dekommerzialisierung und Distributed Trust. Denkbar ist eine Organisation der Offliner als politische Partei, als Terrornetzwerk oder als Aussteigerbewegung.
Betrachten wir zuerst einmal die absolut notwendigen Dinge, die wir im Licht der Verordnungen (DSGVO, ePrivacy) beachten und umsetzen müssen. Grundlegend wichtig ist der Unterschied zwischen einem Verantwortlichen und einem Auftragsverarbeiter.
Ein Verantwortlicher ist derjenige natürliche oder juristische Person, Behörde, Agentur oder anderweitige Körperschaft, die alleine oder gemeinsam mit anderen die Zwecke und Mittel der Verarbeitung persönlicher Daten festlegt. Hat eine Person oder Organisation die Sammlung persönlicher Daten direkt oder indirekt veranlasst, so ist sie der Verantwortliche.
Ein Auftragsverarbeiter ist eine natürliche oder juristische Person, Behörde, Agentur oder andere Körperschaft, die persönliche Daten im Auftrag des Verantwortlichen verarbeitet. Bietet eine Person oder eine Organisation einem Unternehmen einen Service oder ein System an, in dem sich persönliche Daten von deren Kunden befinden, so ist sie der Auftragsverarbeiter.
Was muss beachtet werden? Ein Datenverantwortlicher muss dafür sorgen, dass alle IT-Systeme durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen (by default and by design) die entsprechende Sicherheit gewährleisten. Das bedeutet, der IT-Verantwortliche muss entsprechende technische und organisatorische Massnahmen treffen. Diese Massnahmen müssen so gestaltet werden, dass Datenschutzmassnahmen effektiv umgesetzt werden und alle notwendigen Sicherheitsmassnahmen in die Verarbeitung integriert werden, um die Anforderungen der DSGVO und ePrivacy zu erfüllen und die Rechte der betroffenen Personen zu wahren. Es fällt zudem in die Sorgfaltspflicht des Verantwortlichen zu gewährleisten, dass grundsätzlich nur solche persönlichen Daten verarbeitet werden, die für den jeweiligen Zweck der Verarbeitung unbedingt erforderlich sind.
Die Details: nachdem diese grundlegenden Dinge geklärt sind, werfen wir nun einen genauen Blick auf einige der wichtigsten Anforderungen der DSGVO und ePrivacy im Zusammenhang mit den Funktionen eines integrierten IT-Systems. Zur besseren Orientierung sind die jeweiligen zugrundeliegenden Artikel der DSVOG angegeben.
Dritte erbringen Dienstleistungen, zum Beispiel Cloud-Computing, Newsletter-Dienstleister und Provider und Google-Analytics, Postversand-Unternehmen. Mit diesen externen Dienstleistern muss ein Auftragsverarbeitungsvertrag (AVV) abgeschlossen werden, damit diese nicht unter »Daten an Dritte weitergeben« fallen.
Datenverarbeitung: um die geforderte Rechtmässigkeit der Verarbeitung zu erfüllen, müssen eine oder mehrere Erlaubniserteilungen mit einem individuellen Nachweis entsprechend der in der DSGVO definierten Bedingungen zur Zustimmung explizit erfasst und zugeordnet werden (Artikel 6 und 7).
Bezuüglich der personenbezogenen Daten definiert das DSGVO zudem besondere Kategorien (z.B. Herkunft, religiöse Überzeugung, politische Meinung, etc.), die gesonderten Beschränkungen unterliegen. All diese Daten müssen gekennzeichnet und Zugriff, sowie Nutzung dieser Daten beschränkt werden. Ausserdem muss ihnen ein Nachweis der rechtmässigen Verarbeitung beigefügt werden (Artikel 9 und 10).
Ein Vertrag, der die sog. Auftragsdatenverarbeitung regelt, ist natürlich nur dann erforderlich, wenn es sich der Natur der Datenverarbeitung nach um eine Auftragsdatenverarbeitung handelt. Unter Auftragsdatenverarbeitung versteht man die weisungsgebundene Datenverarbeitung durch Externe, bei der die Verantwortung für die ordnungsgemäße Datenverarbeitung beim Auftraggeber verbleibt. In der Regel unterhalten Unternehmen eine Vielzahl von Auftragsdatenverarbeitungsverhältnissen, insbesondere in den Bereichen IT und Personalverwaltung. So liegt häufig bereits eine Auftragsdatenverarbeitung vor, wenn Unternehmen z.B. für ihre Datenverarbeitung Kapazitäten externer Rechenzentren nutzen oder die Lohn- und Gehaltsabrechnung durch andere Unternehmen durchführen lassen. Liegt eine Auftragsdatenverarbeitung vor, ist zwischen den Parteien vor Beginn der Auftragsdatenverarbeitung ein entsprechender Vertrag zu schließen.
Unser Mindest-Vertragsinhalt zur Auftragsdatenverarbeitung mit Festlegungen zu folgenden 10 Punkten enthalten:
01 der Gegenstand und die Dauer des Auftrags,
02 der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen,
03 die nach zu treffenden technischen und organisatorischen Maßnahmen,
04 die Berichtigung, Löschung und Sperrung von Daten,
05 die nach Absatz 4 bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen,
06 die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen,
07 die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers,
08 mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen,
09 der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält,
10 die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags.
In Tech we trust: nein, Sie sollen keinen Roboter heiraten. Aber Sie haben schon heute gute Gründe, um im Zweifel eher einem Algorithmus zu vertrauen als einem Menschen. Und je komplexer die Welt um uns herum wird, desto grösser wird dieser Vertrauensvorsprung werden - von der Stein- bis zur Cloud-Zeit.
Web-Siegel
Wir nutzen die automatischen Let´s Encrypt SSL/TLS-Zertifikate auf der Grundlage des ACME Datenverkehr-Protokolls. So erhalten unsere Besucher stets ein URL Rewrite gültige HTTPS-Version unser Webseiten-Angebote, kommen weltweit in den Genuss von verschlüsselten Verbindungen und bekommen Angaben über unsere Wurzel-Domain-Identität per Cross-Signing (shared hosting).
Prinzipien statt Regeln
Unsere These: Datenschutz ist Qualitätssicherung und man kann damit eine Menge Geld sparen, allein in der Gefahrenabwehr, da Datenschutzverstösse in der Öffentlichkeit schon lange nicht mehr als Kavaliersdelikte angesehen werden. So haben wir unseren Handlungsbedarf nach Bestandsaufnahme der Rahmenbedingungen ermittelt und die Umsetzung kontinuierlich mit Schutzniveau-Prioritäten (über den Zeitpunkt der DS-GVO Rechtsgültigkeit hinaus) versehen. Unter anderem sind Datenschutz-Organisation, Dokumentation, Bewusstsein und technische Prozesse angepasst worden.
Bekanntlich wurden schon immer Rabatt-Marken zum denkbar ungünstigsten Zeitpunkt für den Kolonialwaren-Händler eingelöst, nämlich ausschliesslich zum Nutzen-Zeitpunkt des Verbrauchers: wir arbeiten nach transparenten Prozessen auf Dialog- und Augenhöhe, so dass derartige Überraschungen uns nicht (PR-mässig) umhauen können...
Zwiebel-Prinzip
Datenschutz bleibt Grundrechtsschutz und ist ein Werkzeug, das passen muss. Ein falscher Schlüssel kann eine Tür nicht öffnen. Eine Spitzhacke kann dies durchaus. Trotzdem werden wir stattdessen lieber den passenden Schlüssel nutzen. Und für die Öffnung der eigenen Bürotür werden wir nicht sämtliche Schlüssel des gesamten Betriebs mit Werkhallen bei uns tragen. Entsprechende Gedanken über unsere angepasste Datenverarbeitung, finden sich in der DSGVO. Es gilt Vertrauen in die Sicherheit von Transaktionen über das Internet (wieder?) herzustellen. Es erscheint für uns deshalb bei Unsicherheit richtig, sich uns in der Lage unser Kunden und Beschäftigten zu versetzen - der gesunde Menschenverstand: es ist etwas anderes, ob wir Adressdaten als Lieferanschrift oder zu Werbezwecken verwenden.
Tim stand im Mittelkreis. Die Fan-Gesänge der ausverkauften Allianz-Arena betäubten seine Sinne. Er schloss die Augen. Dann kamen die Tiger.
wir informieren lieber vorher, was Sie erwartet
Neben den Grundangaben zum Unternehmen erläutern wir die Bezeichnung der Verarbeitungstätigkeit (zum Beispiel Newsletterversand), Datenkategorien (beispielsweise Kundenstammdaten und Nutzungsverhalten), die betroffene Person (also Kunden, Interessenten, Websitebesucher, …), Zwecke (Adressierung der Ansprache, Nachweis wirksamer Einwilligung), Rechtsgrundlage, Datenquelle, Information der Betroffenen, Empfänger, Löschung, Schutzmaßnahmen (technische und organisatorische Maßnahmen) vor der Ausführung.
Jeder Mensch besitzt mehrere soziale Identitäten. Wir sind zum Beispiel Mutter, Vertriebsleiterin und Berlinerin. Jede dieser sozialen Aktivitäten ist mit sozialen Normen verknüpft und beeinflusst dadurch unser Verhalten. Wie verändert sich unser Blick darauf, wenn wir einen immer grösseren Teil unseres Lebens online verbringen?
Faktenlage
Wir sind nach Zoll-Sicherheit zertifiziert und daher umzäunt, Kamera überwacht und mit Logbuch geführter Zugangskontrolle ausgestattet. Foto- und Filmaufnahmen unterliegen der gesetzlichen Aufbewahrungsfrist; es sind Hinweis-Schilder, Risikobewertung und künstlicher Horizont in den Aufnahmen eingezogen. Die Infrastruktur ist mit Meldesystemen Einbruch und Brand gekoppelt und dynamisch ausgeleuchet. Im Fall eines behördlichen Rechtshilfe-Ersuchens stellen wir in Bildern und Videosequenzen zur Verfügung. Unsere Firmengruppe nutzt keinen Echtzeit-Datenabgleich.
Aufbewahrungsfristen und Löschkonzept
Sind Angaben über eine Person für eine Verarbeitung nicht mehr notwendig, so hat unsere Firmengruppe diese unverzüglich zu löschen. Gesetzlich vorgegeben sind folgende Aufbewahrungsfristen: 42 Stunden Filmaufnahmen, 6 Jahre Geschäftsbriefe, 12 Jahre steuerrelevante Unterlagen, 6 Monate Bewerbungsunterlagen. Alle anderen Daten bzw. Dokumente mit personenbezogenen Daten müssen gelöscht bzw. vernichtet werden, sobald sie nicht mehr benötigt werden. Unterlagen werden datenschutzkonform vernichtet werden (Datenträger zerstören, Papierunterlagen mit personenbezogenen Daten schreddern).
Ebenfalls neu ist schließlich das Recht auf Datenübertragbarkeit, d.h. das Recht des betroffenen Users auf die Übermittlung seiner gespeicherten Daten durch den Website-Betreiber im Vorfeld der Löschung. Datenvermeidung und Datensparsamkeit unterliegen der Grundidee, dass bei der Datenverarbeitung nur so viele personenbezogene Daten gesammelt werden, wie für die jeweilige Anwendung unbedingt notwendig sind. Die neue DSGVO spricht von Datenminimierung.
Eigentlich ist das ja paradox.
Von etwas eine Dokumentation zu machen, was nicht mehr da sein soll. Beim Löschen von Daten ist die Vernichtung der Daten gemeint. Also Daten die nicht mehr gebraucht werden. Was ist der Grund des Löschens? Ist es im Rahmen eines Betroffenenrechtes? Dann dokumentieren und verweisen wir auf das Aufforderungsschreiben zur Löschung der Daten. Unsere Software ist mit einer Protokollierung für den Auskunft-Suchenden ausgestattet. Auf Wunsch wird diese zur Einsichtnahme und Verfügung gestellt.
An dieser Stelle können wir feststellen: Bild- und Filmaufnahmen von erkennbaren Personen stellen besonders schützenswerte personenbezogene Daten nach DSGVO dar. Es wird gespeichert, wie die Person aussieht, Alter, Geschlecht, Rasse, Ort und Datum der Aufnahme, Umstände der Aufnahme wie z.B. Besuch unser Hausmesse, Zusammensein mit anderen Personen etc. Parallel werden Daten zum Fotografen erhoben: wann er/sie mit welcher Kamera und Kameraeinstellung was bzw. wen und ggf. auch wo fotografiert oder gefilmt hat. Aber auch die anderen Merkmale besonderer Kategorien personenbezogener Daten können problemlos auf Fotos erkennbar sein. So etwa die politischen Meinungen von Personen am Rednerpult einer Partei, die religiöse Überzeugung an der Berufskleidung von Priester, Imam oder Rabbiner, die Gewerkschaftszugehörigkeit bei Fotos von Demonstrationen. Zudem geniessen Fotos von Kindern besonderen Schutz, Art. 8 DSGVO. Schliesslich unterliegt die Verarbeitung von Daten über Straftaten und strafrechtliche Verurteilungen, die z.B. im Zusammenhang mit Fotos aus dem Gerichtssaal verarbeitet werden können, besonderen datenschutzrechtlichen Einschränkungen, Art. 10 DSGVO.
Damals - heute
Erfolgte früher das Speichern von Fotos auf dem Negativ oder Dia und die Speicherung der dazugehörigen Daten auf Karteikarten, Foto- bzw. Negativtaschen o.ä., so erfolgt heutzutage die Speicherung der oft sehr grossen Datenmengen von RAW-Daten, bearbeiteten Dateien und Metadaten. Das Speichern der Fotos durch Dritte (externe Dienstleister z.B. Cloud-Speicherdienste wie Netfiles, TeamDrive, Webhoster) stellt eine sogenannte Verarbeitung von Daten im Auftrag dar, mit technisch-organisatorische Massnahmen zum Schutz der Daten nach Art. 32 DSGVO. Dazu verschlüsseln wir die Daten vor der Übertragung, um einen Missbrauch vorzubeugen.
Die Einwilligung, im Fotobereich auch als Model-Release bezeichnet, ist ein übliches Mittel, um sich als Fotograf, Auftraggeber oder Werbeagentur die Erlaubnis der abgebildeten Person geben zu lassen für eine werbliche Verwendung des Bildes mit der Person. Die Verarbeitung zur Vertragserfüllung ist z.B. dann einschlägig, wenn der Fotograf von der fotografierten Person den Auftrag bekommen hat, sie zu fotografieren, z.B. Porträt- oder Bewerbungsfotos. Viele Websites nutzen zur Beschriftung die kostenlosen und bequem einzubindenden Google Fonts, und nur wenige Personen blocken ihre Referrer oder ähnliches. So erhält Google ein relativ dichtes verwertbares Netz an Daten, anhand derer jeder normale User, der sich im Internet bewegt, nachverfolgt werden kann.
Fazit
Zustimmung zu Bildaufnahmen bei Inhouse Veranstaltungen werden bei Anmeldung erfragt und Ausschluss für Interviews oder Veröffentlichungen respektiert. Wir verwenden keine Google Schriften in unseren Publikationen. Wir beachten stets den Grundsatz der Erforderlichkeit – nämlich dass nur diejenigen personenbezogenen Daten verarbeitet werden dürfen, die für die Erfüllung der jeweiligen Aufgabe benötigt werden – betrifft auch den Systemdatenschutz – und damit sind auch Websites, CMS-Systeme, Newsletter-Services u.a. gemeint.
Die Maschine stand vor ihm wie ein Mahnmal. "Es ist einfach zu gefährlich", murmelte Johannes Gutenberg. Und entzündete das Streichholz.