Mittwoch, 18. Januar 2017

Unternehmen und die Transparenz im Datenschutz

Das Bundesdatenschutzgesetz schreibt in §4g Abs. 2 und 2a vor, dass jedes Unternehmen für jeden Bereich, in dem es personenbezogene Informationen erhebt und in irgendeiner Weise flüchtig oder permanent speichert, auf Antrag jedermann die Angaben zu den Punkte 1 bis 8 aus BDSG §4e Satz 1 (auch Verfahrensverzeichnis genannt) in geeigneter Weise zur Verfügung stellen muss.

Hierbei ist es egal, ob es sich dabei um die notwendigen Informationen rund um die WhatsApp-Kommunikation der Tupperware-Beraterin mit den Kunden handelt oder die Krankenkasse, die Gesundheitsdaten verarbeitet. Sobald eine Information, die sich auf eine Einzelperson zurückführen lässt angefragt und den Hauch eines Speichermediums spürt, muss ein Verfahrensverzeichnis erstellt und jedermann auf Antrag verfügbar gemacht werden.

Wie viele Firmen halten sich hier an das Gesetz? Wie viele Firmen gehen mit personenbezogenen Informationen gesetzeskonform um? Welche Unternehmen sind vertrauenswürdig, was den Umgang und die Unversehrtheit der Daten angeht?

Ich wollte es genauer wissen und habe die Verfahrensverzeichnisse von Organisation und Unternehmen unterschiedlichster Bereiche angefordert bzw. auf den jeweiligen Internetseiten eingesehen. Das Ergebnis war erschreckend.

Ich habe nur ein einziges Verfahrensverzeichnis gefunden, dass nach meiner Auffassung den gesetzlichen Vorgaben entspricht. Das Verfahrensverzeichnis der Techniker Krankenkasse (https://www.tk.de/tk/datenschutz-und-informationsfreiheit/datenschutz/oeffentliches-verfahrensverzeichnis/93208).

Das Einzige, was mir bei der Techniker Krankenkasse fehlte, sind die Angaben zur Rechtsgrundlage der Erhebung. Allerdings geht aus dem Verfahrensverzeichnis auch ohne Angabe der Rechtsgrundlage die Zweckbindung der einzelnen Informationen eindeutig hervor.

Alle anderen Verfahrensverzeichnisse waren mehr schlecht als recht. Einen vertrauenswürdigen und verantwortungsvollen Umgang mit personenbezogen Informationen erweckten sie alle nicht.

Einige Verkehrsverbunde haben ihre Verfahrensverzeichnisse im Internet veröffentlicht.

Allerdings warten wir bis heute auf die Verfahrensverzeichnisse zu den Kameras in Zügen und Stationen / Bahnhöfen (angefragt: VRR, Der Sechser, Nordwestbahn, Kölner Verkehrsbetriebe, Hauptbahnhöfe in Bielefeld, Köln und Hannover).

Telekom und Vodafon geben in ihren Verfahrensverzeichnis an, dass Sie die erhobenen Vertragsdaten zu Marketingzwecken verwenden. Die Rechtsgrundlage wird nicht angegeben. Eine Zweckbindung kann ich hier ebenfalls nicht erkennen, sondern eher, dass die Vertragsinformationen, ohne Rechtsgrundlage für Werbezwecke weitergegeben werden.

Leider musste ich bei der Telekom auch schon genau diese Erfahrung machen, dass meine Vertragsdaten, ohne mein Einverständnis, an ein Callcenter weitergegeben wurde, das versucht hat mir einen teureren Vertrag aufzuschwatzen.

Der Mitarbeiter des Callcenter konnte mein Vertragsende und meine Kontaktdaten einsehen. Bei Vodafon habe ich vor ein paar Jahren eine ähnlich Erfahrung gemacht.

Bei Tupperware will bis heute kein Unternehmen für die Kundendaten und schon gar nicht für die WhatsApp-Kommunikationsdaten verantwortlich und damit haftbar sein. Die selbständigen Beraterinnen (Handelsvertreterinnen) schieben die Verantwortung auf die selbstständigen Händler. Die Händler auf die Zentrale in Frankfurt oder die Beraterinnen. Die Zentrale in Frankfurt schiebt sie auf die Händler.

Da keiner die Verantwortung übernimmt, gibt es, auch nach mehrfachem Nachfragen und Anmahnen, kein Verfahrensverzeichnis. Vertrauenswürdiger und verantwortungsvoller Umgang mit Kundendaten sieht anders aus.

Unsere Nachforschungen bei Eismann waren denen von Tupperware entsprechend.

Ich bekam bei meiner Suche nach Verfahrensverzeichnis Hilfe von meinen Schulungsteilnehmern sowie Aktivisten von Digitalcourage.

Wir haben das Internet nach Verfahrensverzeichnissen durchstöbert und tatsächlich eine Vielzahl Firmen gefunden, die mittlerweile das Verfahrensverzeichnis im Netz zur Verfügung stellen.

Allerdings nicht ein einziges dabei, dass uns zufrieden stellte.

Verfahrensverzeichnisse für Überwachungskameras haben wir dann auch noch von mehreren Unternehmen (Wachdiensten, Kaufhäusern, ECE) und Arztpraxen (Wartezimmerüberwachung) angefordert, aber bis heute von keinem Unternehmen bzw. deren Datenschutzbeauftragten eine Antwort erhalten.

Unsere Erfahrung ist, dass die Unternehmen erst noch antworten, aber sobald nach dem Verfahrensverzeichnis für Überwachungskameras gefragt wird, keine Reaktion mehr kommt. Auch nicht, wenn der Datenschutzbeauftragte des Unternehmens darauf angesprochen wird.

Die Kontaktdaten des Datenschutzbeauftragten eines Unternehmens, sollten eigentlich bekannte gegeben werden. Doch es ist bei vielen Organisation äusserst schwierig, überhaupt einen Datenschutzbeauftragten ausfindig zu machen. Es gab sogar Firmen, die uns mitteilten, wir sollten unser Datenschutzanliegen doch an kontakt@firmenname.de oder info@firmenname.de schreiben.

Traurig war auch die Reaktion der großen Parteien auf meine Anfrage. Eine Partei verwies mich an die IT-Abteilung. Bei einer anderen wurde ich hingehalten und bekam nach ein paar Wochen das Verzeichnis.

Tatsächlich erhalten habe ich bis jetzt nur je ein Verfahrensverzeichnis von der SPD und eines von den Grünen. Der Bundesverband und einige Landesverbände der Piratenpartei haben ihre Verfahrensverzeichnisse online.

CDU, FDP und Linke haben bis heute, auf keiner Ebene reagiert. Dabei unterliegen Parteien, genau wie Krankenkassen, besonderen Bestimmungen.

Bei den Parteien hatte ich den Eindruck, dass ihnen nicht wirklich klar war, wer verantwortlich und somit haftbar für die Mitgliedsdaten ist (Ortsverband, Kreisverband, ..., Landesverband, Bundesverband).

Das Bundesdatenschutzgesetz schreibt in §4g Abs. 2, dass, sofern es einen Datenschutzbeauftragten gibt, dieser für die Verteilung des Verfahrensverzeichnis zuständig ist. Bei einigen Verfahrensverzeichnissen habe ich mich gefragt, wie frustriert muss der Datenschutzbeauftragte sein, dass er so ein Verfahrensverzeichnis veröffentlicht bzw. raus gibt?

Bis jetzt sind die Bußgelder ja nur bis zu 50-Tausend Euro.

Sind die Unternehmen bereit für den 25. Mai  2018? Die EU sieht Bußgelder von bis zu 4% des gesamten weltweiten Jahresumsatzes des vergangenen Geschäftsjahres vor.

Die Informationen, die heute in das Verfahrensverzeichnis gehören, sollen ab 25. Mai 2018 jedem Betoffenen bei der Erhebung, klar verständlich, in einfacher Sprache und mit Angabe der Rechtsgrundlage bekannt gegeben werden. Die Nachweispflicht, dass Betroffene die Informationen erhalten haben, liegt bei den Unternehmen (EU 2016/679 Artikel 12 und 13).

Es empfiehlt sich in jedem Fall, immer nachzufragen, wofür die angefragten Informationen benötigt werden und mit welcher Rechtsgrundlage es begründet wird.

Keine Kommentare:

Kommentar veröffentlichen