it-vergabe-blog.de - Anwaltsberatung online bestellen www.shopanwalt.de

Unternehmen, die personenbezogene Daten speichern, sind dem Betroffenen auf dessen Verlangen hin gemäß § 34 des Bundesdatenschutzgesetzes zur Auskunft verpflichtet. Der Auskunftsanspruch erstreckt sich auf die zur Person des Betroffenen gespeicherten Daten, deren Herkunft, den Zweck der Speicherung sowie die Empfänger, an welche die Daten weitergegeben werden. Der Auskunftsanspruch ist ein grundlegendes Recht des Betroffenen, das diesem immer zusteht und auf das er auch nicht durch Vertrag verzichten kann. Es soll ihn in die Lage versetzen, die über ihn gespeicherten Daten zu kontrollieren und gegebenenfalls weitere Rechte, wie Löschung oder Korrektur fehlerhafter Daten, geltend zu machen.

Der Betroffene soll zwar laut Gesetz seine Anfrage dahingehend präzisieren, über welche Daten er eine Auskunft wünscht. Gezwungen werden kann er hierzu jedoch nicht. Im Zweifel muss die verantwortliche Stelle daher davon ausgehen, dass eine Auskunft über alle relevanten Daten gewünscht ist.

Die verantwortliche Stelle muss allen Auskunftsersuchen nachkommen und darf nur bei offensichtlich schikanösen und rechtsmissbräuchlichen Anfragen eine Auskunft verweigern. Die Kosten der Auskunft hat das Unternehmen gem. § 34 Abs. 8 BDSG selbst zu tragen. Für den Betroffenen ist die Auskunft stets kostenfrei. Eine Ausnahme hinsichtlich der Kostentragung gilt für Auskunfteien, bei denen nur einmal jährlich ein unentgeltlicher Auskunftsanspruch besteht.

Erteilt eine verantwortliche Stelle keine Auskunft, kann der Betroffene dies gerichtlich einklagen oder die Aufsichtsbehörde einschalten, die den Gesetzesverstoß als Ordnungswidrigkeit mit einem Bußgeld von bis zu 50.000 Euro ahnden kann.

Bedeutung für die Praxis: Unternehmen haben die Kosten der Auskunftserteilung zu tragen. Es liegt daher in ihrem eigenen Interesse, möglichst frühzeitig über eine kostengünstige und effiziente Organisationsstruktur zur Auskunftserteilung an Betroffene nachzudenken.

Das Datenschutzrecht verpflichtet verantwortliche Stellen, personenbezogene Daten zu löschen, wenn sie nicht mehr benötigt werden, ihre Speicherung unzulässig ist oder der Betroffene sein Recht auf Löschung der über ihn gespeicherten Daten verlangt. Dies kann jedoch in der Praxis sehr schwer zu bewerkstelligen sein. Schon der Einsatz handelsüblicher Datensicherungslösungen kann eine Löschung äußerst kompliziert gestalten, weil eine Löschung aus dem aktuellen Bestand nicht die Kopien im Backup-Bestand mit erfasst.

Eine praktikable Lösung des Problems ließe sich durch Kryptographie erreichen. Dazu wird jeder Datensatz bereits beim Anlegen mit einem individuellen Schlüssel chiffriert. Die Schlüssel werden in einer Datenbank abgelegt und getrennt von den chiffrierten Dateien aufbewahrt. Die Dateien können nun mit einer Backup-Lösung gesichert werden. Anstatt eine Datei nun zu löschen, kann einfach der zugehörige Schlüssel vernichtet werden. Was sich wie eine unnötige Verkomplizierung anhört, macht bei näherer Betrachtung Sinn. Mit einem Löschvorgang des Schlüssels wären auch gleichzeitig alle Sicherungskopien mit den zugehörigen personenbezogenen Daten nicht mehr abrufbar, ohne dass eine Änderung am Sicherungsdatensatz erforderlich wäre.

Eine solche Vorgehensweise würde auch die datenschutzrechtlichen Anforderungen an einen Löschvorgang erfüllen. § 3 Abs. 4 Nr. 5 definiert Löschen als „das Unkenntlichmachen gespeicherter personenbezogener Daten“. Das Löschen des Schlüssels führt, ein modernes Kryptographieverfahren vorausgesetzt, zu einem Unkenntlichmachen der verschlüsselten Daten. Ohne den Schlüssel ist es unmöglich, Kenntnis vom Inhalt der chiffrierten Daten zu erlangen. Ein physisches Einwirken auf die Daten selbst ist dabei, anders als beim natürlichen Verständnis des Begriffs des Löschens, nicht erforderlich.

Bedeutung für die Praxis: Das Verschlüsseln von Dateien könnte bei praktikabler softwaretechnischer Umsetzung eine echte Alternative zum physischen Löschen von Daten sein. Ein praktischer Nebeneffekt wäre, dass die Daten bei effektiver Sicherung der Schlüsseldateien schon vor dem Unkenntlichmachen vor dem Zugriff Unbefugter geschützt sind.

Das Landesarbeitsgericht Niedersachsen hat in seinem Urteil vom 31. Mai 2010 (Az. 12 Sa 875/09) entschieden, dass eine exzessive private Nutzung des Dienst-PC eine außerordentliche Kündigung rechtfertigen kann.

http://www.hannover.ihk.de/ihk-themen/recht-steuern/recht/arbeitsrecht/vwei81.html

Das Auslagern von Datenspeichern und Rechenkapazitäten auf die Server eines Diensteanbieters bietet wirtschaftliche Vorteile. Nach dem Hochladen der Dateien in die „Cloud“ müssen sie nicht mehr lokal verwaltet und gesichert werden und sind potenziell weltweit abrufbar. Die Abgabe der Daten aus dem Herrschaftsbereich des Besitzers provoziert zahlreiche, bislang zum Teil ungeklärte haftungsrechtliche und datenschutzrechtliche Problemstellungen. Die grundlegendste Frage ist die, welches nationale Datenschutzrecht denn überhaupt auf einen Sachverhalt im Zusammenhang mit dem Cloud Computing anwendbar ist, wenn ein Unternehmen in einem anderen Staat ansässig ist.

Werden Daten in Deutschland durch eine verantwortliche Stelle, die in einem anderen Mitgliedsstaat der Europäischen Union ihren Sitz hat, erhoben, verarbeitet oder genutzt, so bestimmt § 1 Abs. 5 S. 1 des Bundesdatenschutzgesetzes, dass das deutsche Datenschutzrecht keine Anwendung findet. Erhebt und speichert beispielsweise ein Unternehmen mit Sitz in Luxemburg Daten in Deutschland, so ist belgisches Datenschutzrecht einschlägig. Der Hintergedanke dabei ist, dass angenommen wird, dass alle Mitgliedsstaaten ein hohes Datenschutzniveau haben und es europäischen Unternehmen leicht gemacht werden soll, in anderen Mitgliedsstaaten tätig zu werden, ohne alle datenschutzrechtlichen Vorschriften kennen zu müssen.

Hat ein europäisches Unternehmen dagegen eine Niederlassung in Deutschland, so gilt das deutsche Datenschutzrecht auch gegenüber diesem Unternehmen, sofern die Erhebung, Verarbeitung oder Speicherung durch eine Niederlassung in der Bundesrepublik erfolgt. Beim Cloud Computing interessiert dabei die Frage, ob ein Rechenzentrum im Inland, auf dem Daten verwaltet werden und auf dem Anwendungen bereitgestellt werden, bereits als Niederlassung zu qualifizieren ist. Tatsächlich legen Erwägungsgrund 19 der europäischen Datenschutzrichtlinie sowie die deutsche Gewerbeordnung dies nahe, da sie im Wesentlichen lediglich eine feste Einrichtung und eine gewerbliche Tätigkeit voraussetzen. Damit ist deutsches Datenschutzrecht auch dann anwendbar, wenn ein europäisches Unternehmen sich eines Rechenzentrums in Deutschland bedient.

Für außereuropäische Unternehmen, beispielsweise solche in den USA, gilt das Territorialitätsprinzip. Das bedeutet, dass bei einer Datenverarbeitung in Deutschland auch deutsches Recht anwendbar ist. Dabei genügt laut Art. 4 Abs 1 lit. c) der europäischen Datenschutzrichtlinie bereits, dass das Unternehmen auf „Mittel zurückgreift“, die sich im Mitgliedsstaat befinden. Dies lässt den Schluss zu, dass nicht einmal ein Rechenzentrum nötig ist, sondern bereits das Hochladen von Dateien durch den Benutzer aus Deutschland auf einen amerikanischen Server deutsches Datenschutzrecht für anwendbar erklärt.

Bedeutung für die Praxis: Cloud Computing birgt im Bereich des Datenschutzrechts unzählige juristische Fallstricke. Während die oben genannten Beispiele noch relativ übersichtlich erscheinen, können bei der dynamisch verteilten Speicherung in unterschiedlichen Staaten schier unlösbare rechtliche Probleme auftreten. Dies bringt eine gewisse Rechtsunsicherheit für Betroffene und für Diensteanbieter mit sich.