Rechtliches und technisches Gutachten

 

Einhaltung datenschutzrechtlicher Anforderungen durch das IT-Produkt

 

 

- PTM 2.0 -

 

der

 

nugg.ad AG
Rotherstr. 16
10245 Berlin

 

erstellt von:

 

Andreas Bethke

Dipl. Inf. (FH)

Beim Unabhängigen Landeszentrum für

Datenschutz Schleswig-Holstein anerkannter

Sachverständiger für IT-Produkte (technisch)

Papenbergallee 34

25548 Kellinghusen

tel 04822 – 37 89 05

fax 04822 – 37 89 04

mob 0179 – 321 97 88

email ab@datenschutzkontor.de

 

Stephan Hansen-Oest

Rechtsanwalt

Beim Unabhängigen Landeszentrum für

Datenschutz Schleswig-Holstein anerkannter

Sachverständiger für IT-Produkte (rechtlich)

Neustadt 56

24939 Flensburg

tel 0461 – 90 91 356

fax 0461 – 90 91 357

mob 0171 – 20 44 98 1

email sh@datenschutzkontor.de

 

Stand: 16.09.2009

 

A. Einleitung

Der Produkthersteller hat am 25.09.2007 eine Zertifizierung für seine Software „Predictive Targeting Network (PTN)“ in der Version 2.0 erhalten. Die Zertifizierung läuft aufgrund der Befristung zum 16.09.2009 demnächst ab. Der Produkthersteller hat in der Zwischenzeit einige Verbesserungen an dem Service vorgenommen, die im Zuge der erfolgreichen EuroPriSe-Zertifizierung des Produktes implementiert worden sind. Das Produkt trägt jedoch immer noch die Versionsnummer 2.0, da ansonsten keine Änderungen an dem Verfahren vorgenommen wurden, die für die datenschutzrechtliche Bewertung von Belang sind. Mit dem vorliegenden Gutachten beabsichtigt der Produkthersteller das IT-Verfahren PTN 2.0 für das Gütesiegel für IT-Produkte des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD) rezertifizieren zu lassen.

 

Dem Gutachten wird der Anforderungskatalog in der Version 1.2 zu Grunde gelegt.

 

B. Zeitpunkt der Prüfung

Die Prüfung des Produktes fand am 10.09.2009 und 16.09.2009 statt.

 

C. Änderungen und Neuerungen des Produktes

Das Produkt PTN 2.0 hat im Zuge der Zertifizierung für das EuroPriSe Änderungen erfahren, die zu Verbesserungen des Produktes geführt haben, die als datenschutzfreundlich bezeichnet werden können.

 

In der überarbeiteten Version des Produktes sind folgende Änderungen vorgenommen

worden:

 

- die Speicherdauer („Lifetime“) von Cookies wurde von 12 Monaten auf maximal 26 Wochen abgesenkt. Ebenfalls sind die Speicherzeiten in der nugg.ad eigenen Datenbank, in der nicht personenbezogene Daten für die Berechnung statistischer Modelle verarbeitet und genutzt werden, weiter abgesenkt worden (ebenfalls auf 26 Wochen)

 

- die Privacy Policy auf der Website von nugg.ad (http://www.nugg.ad) wurde angepasst, um der europarechtlichen Auslegung des Begriffs des „Personenbezugs“ und den damit verbundenen Implikationen der Personenbeziehbarkeit von "Cookies“ Rechnung getragen. Die Privacy Policy von nugg.ad ist unter http://www.nugg.ad/de/produkte/datenschutz.html abrufbar.

 

- Der für die Auslieferung von Werbemitteln genutzte Kriterienkatalog ist überarbeitet worden. So sind die nachfolgenden Kategorien „Reproduction“ (sex life + health)“, „Pregnancy fashion“, „doctors“, „opticians“ und „Man seeks / woman seeks“ gelöscht worden, um einen vermeintlichen Bezug zu sensitiven Daten i.S.d. § 3 Abs. 9 BDSG von vornherein zu vermeiden.

 

- Der von nugg.ad verwendete Mustervertrag für die Verarbeitung von Daten im Auftrag wurde verbessert und umformuliert.

 

Weitere Funktionalitäten, die für die datenschutzrechtliche Bewertung des Produktes relevant wäre, sind nicht hinzugekommen.

 

D. Datenschutzrechtliche Bewertung

In rechtlicher Hinsicht hat es zwischenzeitlich eine Änderung des Bundesdatenschutzgesetzes geben, die seit dem 01.09.2009 in Kraft getreten ist. Die in den §§ 28, 29 BDSG vorgenommen Änderungen sind für das IT-Verfahren PTN 2.0 nicht relevant, da sie in inhaltlicher Sicht keine neue rechtliche Bewertung implizieren.

 

Relevant ist jedoch die Änderungen des § 11 BDSG, da hierdurch strengere Anforderungen an die Erteilung schriftlicher Weisungen an den Auftragsdatenverarbeiter einhergehen. Nach §11 Abs. 2 BDSG n.F. muss der schriftliche Auftrag an den Auftragsdatenverarbeiter Folgendes beinhalten:

 

1. der Gegenstand und die Dauer des Auftrags,

2. der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen,

3. die nach § 9 zu treffenden technischen und organisatorischen Maßnahmen,

4. die Berichtigung, Löschung und Sperrung von Daten,

5. die nach Absatz 4 bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen,

6. die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen,

7. die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers,

8. mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen,

9. der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält,

10. die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags.

 

nugg.ad bietet seinen Kunden einen Musterauftragsdatenverarbeitungsvertrag zum Abschluss an, der als Annex zum sog. Hauptvertrag abgeschlossen wird. Dieser beinhaltete schon zuvor die nun in § 11 BDSG n.F. festgelegten Punkte.

 

Bezüglich der Laufzeit verweist der Vertrag zulässigerweise auf den Hauptvertrag. Umfang, Art und Zweck der Verarbeitung sind in Ziff. 2 des Vertrages geregelt. Die Kontrollrechte des Auftraggebers sind in Ziff. 6 des Vertrages geregelt. Ferner sind auch die Rückgabe von Daten/Datenträgern im Vertrag geregelt und Hinweispflichten des Auftragnehmers bei Verstößen enthalten.

 

Das Vertragsmuster erfüllt insgesamt die Anforderungen des § 11 BDSG in der seit dem

01.09.2009 geltenden Fassung.

 

Ferner enthält § 11 BDSG in der neuen Fassung nunmehr eine konkrete Pflicht des Auftraggebers, sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen und das Ergebnis zu dokumentieren. Dieses neue Erfordernis, kann ebenfalls durch das nugg.ad Verfahren eingehalten werden.

 

Auch das Telemediengesetz (TMG) ist mit Wirkung zum 01.09.2009 geändert worden. Die dort vorgenommen Änderungen waren jedoch mit Ausnahme des neuen § 15a TMG nur redaktioneller Art. Der neue § 15a TMG ist im vorliegenden Fall für die datenschutzrechtliche Bewertung des Verfahrens nicht relevant.

 

Die Änderungen an dem Verfahren führen zu keiner anderen Bewertung des Verfahrens in datenschutzrechtlicher Hinsicht. Es lässt sich eher feststellen, dass das Produkt durch die verbesserte Anwendung sich auch aus Sicht der Datenschutzfreundlichkeit noch weiter verbessert hat.

 

E. Zusammenfassung

Das Produkt „PTN 2.0“ der nugg.ad AG lässt sich nach wie vor als insgesamt vorbildlich bewerten. Gegen eine Rezertifizierung bestehen keine Bedenken.

 

Hiermit bestätige ich, dass das oben genannte IT-Produkt den Rechtsvorschriften über den Datenschutz und die Datensicherheit entspricht.

 

Andreas Bethke / Dipl. Inf. (FH) Rechtsanwalt

Beim Unabhängigen Landeszentrum für Beim Unabhängigen Landeszentrum

für Datenschutz Schleswig-Holstein Datenschutz Schleswig-Holstein anerkannter

Sachverständiger für anerkannter Sachverständiger für IT-Produkte (technisch)

 

Stephan Hansen-Oest / Rechtsanwalt

Beim Unabhängigen Landeszentrum für Beim Unabhängigen Landeszentrum

für Datenschutz Schleswig-Holstein Datenschutz Schleswig-Holstein anerkannter

Sachverständiger für anerkannter Sachverständiger für IT-Produkte (rechtlich)