Kategorien
Datenschutz

Die neue EU-Datenschutzgrundverordnung (DS-GVO)

Liebe Mitglieder der Frauen Union,

am  25. Mai 2018 tritt die neue EU Datenschutzgrundverordnung (DS-GVO) in Kraft und wird in deutsches Recht überführt. Ziel der DS-GVO ist neben einer Anpassung der Vorschriften an den technischen Fortschritt, die Vermeidung eines Datenschutzgefälles innerhalb der EU durch die Schaffung eines weitestgehend einheitlichen Datenschutzrechtes. Hierdurch werden vor allem die Rechte und Kontrollmöglichkeiten derjenigen gestärkt, deren Daten verarbeitet werden (Betroffene). Ihre Rechte werden durch neue Transparenz- und Informationspflichten gegenüber den datenverarbeitenden Unternehmen und Organisationen gestärkt. Betroffene sollen leichter Zugang zu ihren Daten und Informationen über deren Nutzung haben. Außerdem wird der Anspruch auf Löschung ihrer personenbezogenen Daten nun gesetzlich geregelt.
Neben bereits bekannten Pflichten stellt die neue DS-GVO weitergehende Anforderungen an den Datenschutz in Organisationen. Neu ist beispielsweise die Pflicht, elektronische Geräte und Anwendungen datenschutzfreundlich voreinzustellen. Ebenfalls neu eingeführt wird die Pflicht zur Datenschutz- Folgenabschätzung (DSFA), also einer Vorabkontrolle der möglichen Risiken zum Schutz der persönlichen Rechte und Freiheiten der Betroffenen.

Die damit verbundene sogenannte Beweisumkehrpflicht führt zu erheblichen Nachweispflichten aller datenverarbeitenden Stellen, Unternehmen und Organisationen. Hierzu gehört auch die Frauen Union als eine Vereinigung der CDU.

Die beiden grundsätzlichen Hauptaufgaben, die das neue DS-GVO für alle datenverarbeitenden Stellen vorsieht, sind:

1. das Transparenzgebot: weitreichende Informationspflicht gegenüber dem Betroffenen 2. die Beweisumkehrpflicht zu Lasten der Dateninhaber (z.B. Parteien). Zur Durchsetzung der neuen DS-GVO wird es künftig erheblich wirksamere und abschreckendere Sanktionsmechanismen gegen Verstöße in Form von hohen Bußgeldern geben. Diese können je nach Fall und Verstoß mit 10-20 Millionen Euro oder bis zu 4% eines gesamten Jahresumsatzes einer Firma oder Organisation betragen. Hinzu kommen möglicherweise erhebliche Schadenersatzansprüche der Betroffenen. Daher ist es dringend erforderlich, sich mit diesem Thema zu beschäftigen und rechtlich einwandfreie Regelungen zu treffen!
Um Ihnen einen ersten Überblick zu verschaffen, finden Sie nachfolgend einige der wichtigsten Begrifflichkeiten und deren Erklärungen anhand von Beispielen in Bezug auf unsere Arbeit innerhalb der Frauen Union – ohne Garantie auf Vollständigkeit.

Wichtig hierbei ist, dass Sie und wir nachweisen können, dass für einen möglicherweise entstandenen Schaden keine Verantwortung unserer Organisation vorliegt.
Die kontrollierenden Aufsichtsbehörden sind dabei weisungsungebunden und autark; dies geht im Verstoßfall bis zu Zutrittsrechten in Ihre und unsere Büro- oder möglicherweise sogar Privaträume.
Sie sind nach dem Gesetz „verantwortlich“ bezüglich aller personenbezogenen Daten anderer (ggfs. auch externe Daten von Nichtparteimitgliedern), wenn Sie über deren Zwecke und Mittel der Verarbeitung und Nutzung entscheiden. Neben allen hauptamtlichen Mitarbeiterinnen unserer Partei und der Vereinigungen fallen darunter auch alle Vorsitzenden und alle Vorstandsmitglieder, Mitgliederbeauftragte oder ehrenamtliche Geschäftsführer in allen Gliederungsebenen! Wichtig für Sie zu wissen ist, dass wir als Vereinigung der CDU im Rahmen der Verarbeitung personenbezogener Mitgliederdaten lediglich sogenannte „Dritte“ sind. Als Mitglied („Daten-Erstinhaber“) tritt man in einen CDU Kreisverband ein, aufgrund dessen ist dieser der Inhaber dieser Daten; daher liegt die Datenherrschaft immer beim jeweiligen Kreisverband („Zweiter“). Wir als Vereinigung der CDU sind daher nur als „Dritte“ zu sehen. Darüber hinaus gibt es oft eigene Datensammlungen, z.B. zur Einladung von Nicht-Mitgliedern zu Veranstaltungen.

Die CDU-Bundesdatenschutzbeauftragte rät daher, die Grundsätze des Umganges mit personenbezogenen Daten und den entsprechenden IT Richtlinien innerhalb jedes Kreisverbandes mittels eines entsprechenden Vorstandsbeschlusses zu bestätigen.

Was sind personenbezogene Daten:
Grundsätzlich sind alle Daten „personenbezogen“, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Klassisch sind dies: Name, Adresse, E-Mail-Kennung, aber auch die IP-Adresse, Cookies, Geräteinformationen, Software-Anwendungen des Betroffenen, genutzte Portale und Kanäle des Betroffenen usw. Darüber hinaus erfahren Sie im Rahmen ihrer Tätigkeiten oft besondere persönliche Daten. Diese sogenannten „sensitiven“ oder „sensiblen“ Daten und Informationen stehen ebenfalls unter Datenschutz – dazu zählen nach dem Gesetz:
– rassische Zugehörigkeit (Hautfarbe, Volkszugehörigkeit),
– ethnische Herkunft,
– religiöse und weltanschauliche Überzeugungen,
– sexuelle Orientierung, u.v.m.
– und auch die politische Meinung gehört dazu!
Gerade letzter Punkt ist nach den künftig geltenden Bestimmungen sehr weit zu verstehen. Personenbezug ist nur bei natürlichen lebenden Personen möglich, juristische Personen genießen keinen Schutz nach der DS-GVO. Ebenso fallen persönliche oder familiäre Tätigkeiten (z.B. private Post) nicht unter das DS-GVO.
Nachfolgend einige Beispiele aus der Praxis:
1. Sie planen eine Mitgliederversammlung in ihrem Kreisverband und verwenden eine Mitgliederliste. Schon die Information, dass jemand Mitglied der Frauen Union ist, vermittelt eine persönliche politische Einstellung und gehört somit zu den personenbezogenen Daten und bedarf deshalb des besonderen Schutzes vor dem Zugriff Dritter.
2. Sie laden zu  Vorstandssitzungen und Veranstaltungen ein. Dafür nutzen sie einen E-Mail-Verteiler. Diese Mailadressen sind personenbezogene Daten, sofern Sie keine Aliasadressen: z.B. vorname.nachname@fu-musterstadt.de verwenden. Auch bei öffentlich zugänglichen (E-Mail)-Adressen muss nachgewiesen werden können, dass sie ebensolche sind oder waren.
3. Bildrechte / Verlinkung z.B. in den sozialen Medien: Das Gesetz erlaubt nur die Verarbeitung für interne Zwecke. Eine Offenlegung wie z.B. Veröffentlichung im Internet oder Übermittlung an Dritte ohne vorherige Einwilligung der betroffenen Person ist nicht gestattet. Die Einwilligung muss sich genau auf einen bestimmten dargestellten Zweck beziehen. Eine Einwilligung für unbestimmte Zwecke ist nicht zulässig!
Beispiel: Sie erstellen Bilder bei einer Veranstaltung, die Sie in den sozialen Medien wie Facebook oder auf Ihrer Homepage veröffentlichen bzw. posten möchten? Hier reicht es in der Regel, wenn entweder vorab z.B. bereits im Eingangsbereich der Veranstaltung ein für alle unübersehbares Schild aufgestellt wird, mit einem entsprechenden Hinweis zur Abtretung der Bildrechte. Tipp: machen Sie vor der Veranstaltung von dem / den aufgestellten Schildern ein Foto per Smartphone mit den exakten GPS Daten. So können Sie im Nachhinein immer nachweisen, dass Sie hier Ihrer Informationspflicht nachgekommen sind. Bei spontanen Fotos z.B. von mehreren Personen ist es durchaus ausreichend laut und unter Zeugen mitzuteilen, dass dieses Bild evtl. veröffentlicht wird (am besten so exakt wie möglich- z.B. Veröffentlichung auf Facebook) – wer hiermit nicht einverstanden ist, sollte sich nicht mit ablichten lassen. Auch bei Verlinkungen einzelner Personen über Facebook/ Twitter oder Instagram etc. zu Texten oder Bildern sollten Sie sich immer vorab die Einwilligung der jeweiligen Person einholen!
4. Zweckbindung:
Die Zwecke der Datenverarbeitung müssen eindeutig und bereits vor der Erhebung festgelegt sein und dürfen nicht nachgeschoben werden. Schwammige Zweckbekundungen müssen unterbleiben. Wichtig ist immer eine konkrete Zweckbenennung.
Sie erhalten eine Visitenkarte von jemandem, der zu einer bestimmten Veranstaltung eine Einladung wünscht? Bitte vermerken Sie sich am besten direkt auf der Visitenkarte, zu welchem Zweck Sie diese erhalten haben und nutzen diese auch nur hierfür. Eine Einwilligung zur Datennutzung ist immer fallbezogen!
5. Weitergabe an Dritte nur nach vorheriger dezidierter Einwilligung der  Betroffenen Beispiele: Ihre ortsansässige Bundestags- oder Landtagskandidatin möchte gerne regelmäßig die FU Mitglieder informieren und bittet Sie um eine Adressliste oder einen E-Mail Verteiler; oder ein Mitglied möchte z.B. für eine Veranstaltung oder zum Informationsaustausch eine Mitgliederliste. Sie dürfen diese Daten nicht herausgeben! Lediglich wenn der Betroffene vorab schriftlich dem Kreisverband seine persönliche Einwilligung z.B. zum Erhalt des Newsletters eines Abgebordneten zugestimmt hat, darf er in dieser Angelegenheit auch angeschrieben werden. Besondere Vorsicht ist bei der Beantwortung von E-Mails (elektronischer Post) geboten, insbesondere, wenn in der Adresszeile mehr als ein Empfänger vermerkt ist. Eine Weiterleitung, in der alle Adressen ersichtlich bleiben, ist unzulässig und stellt einen Verstoß gegen das Gesetz dar! Ferner ist das Ablegen von z.B. Mitgliederlisten auf Medien wie Laptop, CD oder USB-Stick nur in verschlüsselter Form zulässig, damit ein ungehinderter Datenmissbrauch durch einen unberechtigten verhindert wird.
6. Welche Daten darf ich ohne vorherige Einwilligung nutzen?
Hierunter fallen die Nutzung von Kontakt- oder Adressdaten z.B. für Einladungen zu Veranstaltungen per Post. Voraussetzung hierfür ist, dass die zu erhebenden Daten grundsätzlich für jedermann zugänglich sind, z.B. im Telefonbuch oder im Internet. Die öffentliche Zugänglichkeit muss im Nachgang nachweisbar sein! Es empfiehlt sich zur Absicherung einen Nachweis abzulegen.

Beispiel: Sie möchten für eine Veranstaltung eine bestimmte Berufsgruppe einladen (z.B. Hebammen). Dann dürfen Sie die öffentlich zugängigen Daten für einen Postversand der Einladung verwenden. Eine Ansprache per E-Mail ist nur im Falle von Verbänden (= juristische Person) zulässig. (Auf keinen Fall die persönliche oder dienstliche E-Mail Adresse einer Hebamme, die Ihnen aus privaten Gründen zufällig vorliegt, verwenden!)Datenverarbeitung und Nutzung Wichtig für Sie ist, dass Sie selbst für viele Bereiche die Verantwortung dafür tragen, wie und wofür Sie Daten speichern, aufbewahren und ggfs. weitergeben. Dabei reicht die Beteiligung eines „Verantwortlichen“ an einem Verarbeitungsvorgang bereits für die Haftung im Grundsatz aus. „Nichtverantwortlichkeit“ muss bei solchen Vorgängen immer nachgewiesen werden können. Deswegen sollte jeder Einzelne seinen Verpflichtungen möglichst sorgfältig und voll umfänglich nachkommen und sich durch Dokumentation seiner Handlungen beweissicher verhalten.

Daten-Sammlungen, Datenverarbeitungen, Verwendung und Nutzen:
Hierzu bedarf es entweder:
1. einer konkreten und nachweisbaren Einwilligung zu einem bestimmten Zweck
2. einer gesetzlichen Grundlage
Aufgaben der Kreis-, Bezirks-, Stadt- und Landesverbände:
1. Lassen Sie die Grundsätze im Umgang mit Daten und IT durch einen Vorstandsbeschluss festlegen und bestätigen. Voraussichtlich werden die meisten CDU-Kreisgeschäftsstellen einen Musterbeschluss für ihre Gliederungen und Vereinigungen zur Verfügung stellen, den Sie dann beschließen lassen können.

2. Jede datenverarbeitende Stelle muss einen Datenschutzbeauftragten benennen. Dies sind nach Auskunft der CDU-Bundesdatenschutzbeauftragten auch Parteigliederungen. Ein Datenschutzbeauftragter muss zwangsläufig alle entsprechenden Ausbildungsgrundlagen haben. Idealerweise einigen sich alle Gliederungen auf einen gemeinsamen Datenschutzbeauftragten; diese/r kann im Idealfall dieselbe Person wie beim CDU KV sein. Dazu muss jede Parteigliederung einen offiziellen Beschluss fassen.

Ein Datenschutzbeauftragter muss sowohl über technische Grundkenntnisse als auch über sehr gute Kenntnisse der DS-GVO verfügen und entsprechend geschult / zertifiziert sein.

3. Prüfen Sie alle Datenerhebungen bei Ihnen vor Ort darauf, ob die Maßstäbe für eine korrekte Datenerhebung vorliegen. Passen Sie im Zweifel Ihre Beitrittsformulare, Einladungs-Antwortkarten, Online-Formulare und Kontaktformulare im Internet an. Vergessen sie dabei nicht die folgenden sieben Grundsätze:
– Erhebung in Treu und Glauben
– Transparenz (nachvollziehbare Erhebung und Verarbeitung für den Datengeber)
– Zweckbindung (festgelegte und rechtmäßige Zwecke)
– Datenminimierungsgrundsatz (Beschränkung auf das sachlich angemessene und notwendige Maß)
– Richtigkeit (Ziel von richtigen und aktuellen Daten)
– Speicherbegrenzung (maximal so lange wie für den genannten Zweck erforderlich speichern.

Integrität und Vertraulichkeit (geeignete technische und organisatorische

Maßnahmen zum Schutz vor unbefugtem Zugriff, Zerstörung oder

Schädigung)

Fallbeispiele für Verstöße gegen die DS-GVO:

1. Sie veranstalten eine Mitgliederversammlung und legen am Eingang der Lokalität eine Teilnehmerliste aus. Nicht nur jede/r geladene TeilnehmerIn kann in diese Liste schauen und Namen sowie Adressen nachlesen, sondern auch jeder normale Gast. Ein Gast zückt sogar sein Handy und fotografiert die Liste ab.

2. Sie laden Ihren Vorstand zu einer Vorstandssitzung per Mail ein und setzen die privaten E-Mailadressen (die sie nachvollziehbar zu diesem Zwecke erhalten haben – immer dokumentieren!) nicht ins BCC (Blindkopie) , sondern (versehentlich) ins CC (Kopie). Sie verstoßen damit gegen Integrität und Vertraulichkeit.

3. Sie führen Mitgliederlisten und heften sie zuhause ab. Sie bewahren die Ordner sogar sicher auf. Sie legen Ihr Amt nieder, aber übergeben die Akten (inklusive vieler Daten über teilweise längst ausgeschiedene oder verstorbene Mitglieder) weder dem Nachfolger noch der Kreisgeschäftsstelle. Ein Verstoß gegen den Grundsatz der Speicherzeitbegrenzung liegt dann in jedem Fall vor.

4. Sie erhalten Mailadressen von einigen Mitgliedern, um diese per E-Mail mit einem regelmäßigen „Newsletter“ zu versorgen. Irgendwann nutzen Sie diese Mailadessen für Ihre Firma und schreiben sie mit anderem Bezug (Werbung) an. Sie verstoßen klar gegen die Zweckbindung (und diverse andere Gesetze)!

5. Sie erhalten bei einer Veranstaltung von einem Mitglied die Bitte, in den Verteiler eines Arbeitskreises eingeladen zu werden. Das Mitglied drückt Ihnen dafür seine/ihre Visitenkarte in die Hand. Sie können damit jedoch nicht klar nachweisen, dass er/sie das explizit so gewünscht hat. Tipp: Lassen Sie auf der Rückseite notieren:
„alle Daten zum Zwecke der Aufnahme einer Kontaktaufnahme“ mit Unterschrift. Und: Archivieren Sie die Visitenkarte mit dieser Notiz! (Transparenz und Zweckbindung)

Fazit: Sie dürfen als Funktionsträgerin nur mit den Mitgliederdaten arbeiten, die zur Erfüllung Ihrer Aufgaben und nur für diesen ausgewiesenen Zweck notwendig sind! Bei allen Verstößen gegen die DS-GVO müssen diese innerhalb von 72 Stunden Ihrem zuständigen Datenschutzbeauftragten gemeldet werden!

Internetauftritt
Auch hier sollten Sie sich mit Ihrem Anbieter/Dienstleister und ggfs. Ihrer CDU Kreisgeschäftsstelle abstimmen. Fragen Sie nach, wo Sie sogenannte „Double-Opt-In-Verfahren“ (ausdrückliches Zustimmungsverfahren aus dem Marketing, bei dem der Endverbraucher Werbekontaktaufnahmen vorher explizit bestätigen muss) benötigen. Sichern Sie sich auch gegenüber Ihren eigenen Funktionsträgern rechtlich ab. Holen Sie immer deren schriftliche Genehmigung ein, um personenbezogene Daten, die Platzierung eines autorisierten Fotos und auch die Nennung einzelner Personen z.B. im Rahmen von Pressemitteilungen online rechtssicher zu gestalten. Ihre Homepage muss bis zum 25. Mai der neuen DS GVO entsprechen, ansonsten empfehlen wir Ihnen, die Homepage bis zu einer entsprechenden Überprüfung offline zu stellen.
Nachfolgend ein gutes Textbeispiel eines KV aus NRW, das in jeder Einladung zu einer Mitgliederversammlung abgedruckt wird:
„Mit Annahme seiner Wahl stimmt ein jedes Mitglied der Speicherung, Bearbeitung, Verarbeitung, Veröffentlichung und Übermittelung seiner personenbezogenen Daten im Rahmen der Erfüllung der Aufgaben der CDU-Kreisverbandes XX, seinen Gliederungen sowie Vereinigungen und Sonderorganisationen zu. Durch seine Mitgliedschaft und die damit verbundene Anerkennung der Satzung des Kreisverbandes stimmt ein jedes Mitglied der Veröffentlichung von Bildern und Namen, Videos und mp3 Dateien in Print- und Telemedien sowie elektronischen / sozialen Medien zu.
Sämtliche Urheberrechte nach dem UrhG und verwandten Gesetzen an Werken, die ein Mitglied im Rahmen seiner Mitgliedschaft und seiner Vorstandsarbeit schöpft, deren Neuschöpfung oder Bearbeitung steht ausschließlich und alleine dem Kreisverband XX, seinen Gliederungen sowie Vereinigungen und Sonderorganisationen zu.“

In Veranstaltungseinladungen sollte ein ähnlicher Passus bereits heute Praxis sein. Zusätzlich ist eine entsprechende (fotografierte) Beschilderung vor Ort sinnvoll.
Resümée: Diese Beispiele sollen Ihnen übersichtlich beschreiben, welche die wichtigsten von Ihnen zu treffenden Maßnahmen sein sollten. Trotzdem bitten wir Sie, sich zunächst an Ihre CDU-Kreisgeschäftsstellen zu wenden und dort nachzufragen, was genau davon vor Ort zu beachten ist. Evtl. sind noch weitere Aspekte der neuen EU DS-GVO für Ihre Arbeit relevant, wie die Nutzung von Cloud-Diensten, Ansprüche an IT-Sicherheit oder die Meldung von Datenpannen. Die CDU Kreisgeschäftsführer haben selbst ein großes Interesse daran, dass alle ihre Untergliederungen rechtskonform agieren. Alle FU Kreisvorsitzenden bitten wir möglichst zeitnah in ihren Vorständen über die neue EU Datenschutzgrundverordnung zu diskutieren, einen Vorstandsbeschluss über die Grundsätze im Umgang mit Daten und IT zu fassen und vor allem: bis zum 25. Mai einen Datenschutzbeauftragten zu nominieren.
Darüber hinaus müssen alle neuen FunktionsträgerInnen – insbesondere Nachfolgerinnen oder neu gewählte Vorstandsmitglieder – regelmäßig über die neue DS-GVO informiert werden.
Wir hoffen Ihnen mit dieser Zusammenstellung die wichtigsten Punkte nahegebracht zu haben, die Sie und die FU vor Ort sensibilisiert und vor Rechtsfolgen schützt.Ihre Geschäftsstelle der Frauen Union der CDU Nordrhein-Westfalen

Source: Frauen Union der CDU Nordrhein-Westfalen

Kategorien
Datenschutz

Datenschutz

Merkblatt zur Verpflichtung auf die Vertraulichkeit und zur Verpflichtung auf das Telekommunikationsgeheimnis

Die vorliegende Auswahl gesetzlicher Vorschriften soll Ihnen einen Überblick über das datenschutzrechtliche Regelwerk verschaffen. Die Darstellung erfolgt exemplarisch und ist keineswegs vollständig. Weitere Informationen zu daten-schutzrechtlichen Fragestellungen erhalten Sie beim betrieblichen Daten-schutzbeauftragten.

Begrifflichkeiten

„Personenbezogene Daten“ sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen – gleichgültig, ob Mitarbeiter, Kollege oder Kunde bzw. Lieferant oder deren Ansprechpartner.

Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.

Beispiele hierfür sind: Adresse, Telefonnummer, Geburtsdatum, Foto, Arbeitgeber, Gehalt, Vermögen, Besitz, Urlaubsplanung, Arbeitsverhalten und Arbeitsergebnisse. Auch Daten ohne direkten Personenbezug (z.B. ohne Namensangabe) können personenbezogene Daten sein, wenn aus ihnen auf die zugehörigen Personen Bezug genommen werden kann (z.B. Personalnummer, PC-Benutzerkennung, maschinenbezogene Nutzungszeiten bei nur einem in-frage kommenden Benutzer).

„Besondere Kategorien personenbezogener Daten“ sind solche Daten aus denen sich die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit ergeben. Darüber hinaus zählen genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung ebenfalls zu den besonderen Kategorien personenbezogener Daten.

Hier gelten besondere Vorschriften, da diese Daten besonders schutzwürdig sind! In der CDU werden vorwiegend diese besonders schützenswerten Daten (Mitgliedschaft in der CDU, politische Meinung) verarbeitet.

„Verarbeitung“ meint jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.

Das Fernmeldegeheimnis schützt nicht nur Telefonate und Faxe, sondern auch moderne Kommunikationsformen wie E-Mail. Es wird daher auch Telekommunikationsgeheimnis genannt. Es handelt sich um ein Grundrecht (Art. 10 des Grundgesetzes – GG), das in § 88 des Telekommunikationsgesetzes (TKG) und § 206 des Strafgesetzbuches (StGB) genauer geregelt ist. §§ 91 ff. TKG regeln den Datenschutz bei Telekommunikation. In besonderen Fällen kann statt des TKG auch die Datenschutz-Grundverordnung (DS-GVO), ggf. auch das Bundesdatenschutzgesetz (BDSG), anwendbar sein.

Das Fernmeldegeheimnis schützt einerseits den Inhalt der Kommunikation: Was wurde bei dem Telefonat besprochen? Welche Daten wurden übertragen? Was steht in der E-Mail oder der Chat-Nachricht? Und auch: Was steht im Betreff der E-Mail?

Das Fernmeldegeheimnis schützt andererseits aber auch die „näheren Umstände der Telekommunikation“: Wer hat wann mit wem telefoniert oder gemailt? Welche WWW-Seiten wurden aufgerufen? Wer hat vergeblich versucht, eine Telefonverbindung aufzubauen?

Nicht nur wir als Unternehmen, sondern auch Sie persönlich müssen das Fernmeldegeheimnis einhalten. Diese Pflicht ergibt sich übrigens bereits aus dem Gesetz (§ 88 TKG, § 206 StGB). Ihre heutige förmliche Verpflichtung auf das Fernmeldegeheimnis dient nur dazu, Ihnen deutlich zu machen, wie wichtig diese Pflicht ist.

Bitte beachten Sie: Das Fernmeldegeheimnis gilt zeitlich unbefristet, und zwar selbst dann, wenn Sie nicht mehr für uns tätig sind (so ausdrücklich § 88 Abs. 1 S. 2 TKG; dies gilt aber auch für § 206 StGB). Es gilt gegenüber allen Personen, die nicht dienstlich für die jeweilige Sache zuständig sind – also auch gegenüber allen anderen Kollegen, Ihrer Familie und der Presse.

Ihre Pflicht zur Wahrung des Fernmeldegeheimnisses

Informationen, die dem Fernmeldegeheimnis unterliegen, müssen Sie absolut vertraulich behandeln. Sie dürfen also beispielsweise nicht Einzelverbindungsnachweise oder Logfiles über Telekommunikationsverbindungen aus-werten, E-Mail-Postfächer einsehen oder Ähnliches, außer dies ist ausnahmsweise gesetzlich erlaubt. Die wichtigste Erlaubnis enthält § 88 Abs. 3 S. 1 TKG: Wenn wir den Telekommunikationsdienst nur erbringen können bzw. unsere Telekommunikationssysteme nur schützen können, wenn wir von be-stimmten dem Fernmeldegeheimnis unterliegenden Informationen Kenntnis haben, ist uns die Kenntnisnahme erlaubt. §§ 96 und 97 TKG erlauben uns, Verbindungsdaten zu speichern und zu verwenden, soweit das für die Abrechnung erforderlich ist. Zur Störungs- und Betrugsbekämpfung erlaubt uns § 100 TKG in bestimmten Fällen, Verbindungsdaten zu nutzen. (In besonderen Fällen kann statt des TKG auch die DS-GVO, evtl. das BDSG, anwendbar sein.) Welche Daten im konkreten Fall wofür gespeichert und genutzt werden dürfen, erläutert Ihnen Ihr Vorgesetzter.

Beachten Sie bitte, dass diese Erlaubnisse nur soweit bestehen, wie die Kennt-nis, Speicherung oder Nutzung unbedingt für den jeweiligen Zweck erforderlich ist. Müssen Sie zur Behebung eines technischen Fehlers beispielsweise zwingend in eine Mailbox schauen, dürfen Sie dies nur insoweit, wie es sich nicht vermeiden lässt: Genügt es etwa, den Header einer E-Mail auszuwerten, dürfen Sie den Nachrichtentext selbst nicht lesen. Natürlich dürfen Sie Dinge, die dem Fernmeldegeheimnis unterliegen, auch dann nicht weitersagen, wenn Sie zur Administration ausnahmsweise legal davon Kenntnis erlangt haben – auch nicht Ihrem Vorgesetzten. Ausnahme: Wenn Sie zufällig davon erfahren, dass eine schwere, in § 138 StGB genannte Straftat geplant wird.

Auskunftsverlangen

Es kann sein, dass die Polizei oder andere Stellen auf Sie zukommen und bestimmte Informationen wünschen, etwa zu Nutzern oder Angaben, die dem Telekommunikationsgeheimnis unterliegen. Derartige Anfragen leiten Sie bitte sofort an [Ansprechpartner, Telefon, usw.] weiter. Sie selbst dürfen keine Auskünfte erteilen, wenn dies nicht ausdrücklich zu Ihrem Aufgabengebiet gehört.

Folgen von Verstößen

Verstoßen Sie gegen das Fernmeldegeheimnis, drohen Ihnen dafür unter Um-ständen bis zu fünf Jahre Haft. § 206 StGB stellt es (unter anderem) unter Strafe, Informationen weiterzugeben, die dem Fernmeldegeheimnis unterliegen. Ebenfalls ist es strafbar, anvertraute Sendungen (insbesondere E-Mails) unbefugt zu unterdrücken, etwa zu löschen oder über längere Zeit zurückzuhalten.

Bestimmte Verstöße gegen das TKG können zudem ein Bußgeld zur Folge haben, z. B. wenn unzulässig Daten erhoben oder nicht gelöscht werden (§ 149 TKG). Unter Umständen kommen weitere Bußgeld- und Straftatbestände in Betracht, etwa Verstöße gegen das Datenschutzrecht (Art. 83 DS-GVO, §§ 42, 43 BDSG), Verrat von Geschäfts- und Betriebsgeheimnissen (§ 17 UWG), Ausspähen von Daten (§ 202 a StGB), Computerbetrug (§ 263 a StGB).

Schwere Schäden für die CDU kann es verursachen, wenn eine so genannte Datenpanne öffentlich bekannt wird. Kunden verlieren das Vertrauen und nutzen nicht mehr unsere Dienste, wenn sie nicht sicher sein können, dass ihre Daten bei uns in guten Händen sind. Hinzu kommt, dass wir nach der Datenpannen Verordnung verpflichtet sein können, eine Datenpanne allen Betroffenen mitzuteilen und ggf. zusätzlich die Öffentlichkeit informieren müssen. Bitte helfen Sie mit, dass das Telekommunikationsgeheimnis bei uns immer gewahrt bleibt.

Kommt es durch Verstöße gegen das Fernmeldegeheimnis zu Schäden, müssen wir und ggf. auch Sie persönlich Schadensersatz leisten. Ihnen persönlich drohen zudem arbeitsrechtliche Konsequenzen, wenn Sie gegen das Fernmeldegeheimnis verstoßen. Denkbar sind je nach Schwere Ihres Fehlverhaltens insbesondere eine Abmahnung, eine fristgerechte Kündigung oder sogar eine fristlose Kündigung ohne vorherige Verwarnung.

Rechtliche Grundlagen

Art. 5 Abs. 1 lit. a DS-GVO: Personenbezogene Daten müssen […] auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“).

Art. 5 Abs. 1 lit. f DS-GVO: Personenbezogene Daten müssen […] in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“).

Art. 9 Abs. 1: Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder welt-anschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt.

Art. 9 Abs. 2: d) Die Verarbeitung der in Art. 9 Abs. 1 genannten Daten er-folgt auf der Grundlage geeigneter Garantien durch eine politisch, weltanschaulich, religiös oder gewerkschaftlich ausgerichtete Stiftung, Vereinigung oder sonstige Organisation ohne Gewinnerzielungsabsicht im Rahmen ihrer rechtmäßigen Tätigkeiten und unter der Voraussetzung, dass sich die Verarbeitung ausschließlich auf die Mitglieder oder ehemalige Mitglieder der Organisation oder auf Personen, die im Zusammenhang mit deren Tätigkeitszweck regelmäßige Kontakte mit ihr unterhalten, bezieht und die personenbezogenen Daten nicht ohne Einwilligung der betroffenen Personen nach außen offengelegt werden,

Art. 29 DS-GVO: Der Auftragsverarbeiter und jede dem Verantwortlichen oder dem Auftragsverarbeiter unterstellte Person, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich auf Weisung des Verantwortlichen verarbeiten, es sei denn, dass sie nach dem Unionsrecht oder dem Recht der Mitgliedstaaten zur Verarbeitung verpflichtet sind.

Art. 32 Abs. 2 DS-GVO: Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung – insbesondere durch Vernichtung, Verlust oder Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden – verbunden sind.

Art. 33 Abs. 1 Satz 1 DS-GVO: Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der […] zuständigen Aufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.

Art. 82 Abs. 1 DS-GVO: Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.

Art. 83 Abs. 1 DS-GVO: Jede Aufsichtsbehörde stellt sicher, dass die Verhängung von Geldbußen gemäß diesem Artikel für Verstöße gegen diese Verordnung […] in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist.

  • 42 BDSG

(1) Mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe wird bestraft, wer wissentlich nicht allgemein zugängliche personenbezogene Daten einer großen Zahl von Personen, ohne hierzu berechtigt zu sein,

  1. einem Dritten übermittelt oder
  2. auf andere Art und Weise zugänglich macht

und hierbei gewerbsmäßig handelt.

(2) Mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe wird bestraft, wer personenbezogene Daten, die nicht allgemein zugänglich sind,

  1. ohne hierzu berechtigt zu sein, verarbeitet oder
  2. durch unrichtige Angaben erschleicht

und hierbei gegen Entgelt oder in der Absicht handelt, sich oder einen anderen zu bereichern oder einen anderen zu schädigen.

  • 202a Abs. 1 StGB

Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn be-stimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.

  • 206 StGB

(1) Wer unbefugt einer anderen Person eine Mitteilung über Tatsachen macht, die dem Post- oder Fernmeldegeheimnis unterliegen und die ihm als Inhaber oder Beschäftigtem eines Unternehmens bekanntgeworden sind, das geschäftsmäßig Post- oder Telekommunikationsdienste erbringt, wird mit Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe bestraft.

(2) Ebenso wird bestraft, wer als Inhaber oder Beschäftigter eines in Absatz 1 bezeichneten Unternehmens unbefugt

  1. eine Sendung, die einem solchen Unternehmen zur Übermittlung anvertraut worden und verschlossen ist, öffnet oder sich von ihrem Inhalt ohne Öffnung des Verschlusses unter Anwendung technischer Mittel Kenntnis verschafft,
  2. eine einem solchen Unternehmen zur Übermittlung anvertraute Sendung unterdrückt oder
  3. eine der in Absatz 1 oder in Nummer 1 oder 2 bezeichneten Handlungen gestattet oder fördert.

(3) Die Absätze 1 und 2 gelten auch für Personen, die

1.

  1. Aufgaben der Aufsicht über ein in Absatz 1 bezeichnetes Unternehmen wahrnehmen,
  2. von einem solchen Unternehmen oder mit dessen Ermächtigung mit dem Erbringen von Post- oder Telekommunikationsdiensten betraut sind oder
  3. mit der Herstellung einer dem Betrieb eines solchen Unternehmens dienenden Anlage oder mit Arbeiten daran betraut sind.

(4) Wer unbefugt einer anderen Person eine Mitteilung über Tatsachen macht, die ihm als außerhalb des Post- oder Telekommunikationsbereichs tätigem Amtsträger auf Grund eines befugten oder unbefugten Eingriffs in das Post- oder Fernmeldegeheimnis bekanntgeworden sind, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft.

(5) Dem Postgeheimnis unterliegen die näheren Umstände des Postverkehrs bestimmter Personen sowie der Inhalt von Postsendungen. Dem Fernmeldegeheimnis unterliegen der Inhalt der Telekommunikation und ihre näheren Um-stände, insbesondere die Tatsache, ob jemand an einem Telekommunikationsvorgang beteiligt ist oder war. Das Fernmeldegeheimnis erstreckt sich auch auf die näheren Umstände erfolgloser Verbindungsversuche.

  • 303a Abs. 1 StGB

Wer rechtswidrig Daten […] löscht, unterdrückt, unbrauchbar macht oder verändert, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft.

  • 88 TKG

(1) Dem Fernmeldegeheimnis unterliegen der Inhalt der Telekommunikation und ihre näheren Umstände, insbesondere die Tatsache, ob jemand an einem Telekommunikationsvorgang beteiligt ist oder war. Das Fernmeldegeheimnis erstreckt sich auch auf die näheren Umstände erfolgloser Verbindungsversuche.

(2) Zur Wahrung des Fernmeldegeheimnisses ist jeder Dienstanbieter verpflichtet. Die Pflicht zur Geheimhaltung besteht auch nach dem Ende der Tätigkeit fort, durch die sie begründet worden ist.

(3) Den nach Absatz 2 Verpflichteten ist es untersagt, sich oder anderen über das für die geschäftsmäßige Erbringung der Telekommunikationsdienste ein-schließlich des Schutzes ihrer technischen Systeme erforderliche Maß hinaus Kenntnis vom Inhalt oder den näheren Umständen der Telekommunikation zu verschaffen. Sie dürfen Kenntnisse über Tatsachen, die dem Fernmeldegeheimnis unterliegen, nur für den in Satz 1 genannten Zweck verwenden. Eine Verwendung dieser Kenntnisse für andere Zwecke, insbesondere die Weitergabe an andere, ist nur zulässig, soweit dieses Gesetz oder eine andere gesetzliche Vorschrift dies vorsieht und sich dabei ausdrücklich auf Telekommunikationsvorgänge bezieht. Die Anzeigepflicht nach § 138 des Strafgesetzbuches hat Vorrang. […]

Stand: April 2018
Source: Frauen Union der CDU Deutschlands
Geschäftsführerin
Klingelhöferstraße 8
10785 Berlin