Von Treuhändern erwarten die Kunden, dass sie ihre Daten geheim halten. Nur gibt es leider Betriebssysteme wie Windows 10 und andere Netzwerke, die viele private oder geheime Daten sammeln. Werden diese von Treuhändern genutzt, kann das eine häufig unabsichtliche Verletzung des Datenschutzrechts bedeuten.
In den Standesregeln des Schweizerischen Treuhänderverbands TREUHAND|SUISSE wird die Beachtung des Berufsgeheimnisses gefordert. Die Mitglieder verpflichten sich, die während ihrer Berufsausübung gemachten Feststellungen sowie die ihnen anvertrauten Geheimnisse nicht weiterzugeben. Man soll auch darauf verzichten, Informationen aus Mandaten für eigene Zwecke oder zu Zwecken von Dritten zu verwenden.
Die Verpflichtung zur Bewahrung des Berufsgeheimnisses beginnt in dem Augenblick, in dem der Treuhänder oder sein Personal die ersten Informationen für die Ausübung eines Mandats erhalten hat. Diese Verpflichtung wird durch den Abschluss des Mandats nicht aufgehoben.
Die Standesregeln entsprechen auch dem Datenschutzrecht. Das Datenschutzgesetz (Art. 12 DSG) untersagt es, ohne Rechtfertigungsgrund besonders schützenswerte Personendaten oder Persönlichkeitsprofile Dritten bekannt zu geben. In der Regel liegt aber dann keine Persönlichkeitsverletzung vor, wenn die betroffene Person die Daten allgemein zugänglich gemacht und eine Bearbeitung nicht ausdrücklich untersagt hat.
Seriöse Treuhänder haben die Absicht, sich an diese Regeln zu halten. Nur kann ihnen die elektronische Datenbearbeitung dabei einen dicken Strich durch diesen guten Vorsatz machen. Ein aktuelles Beispiel ist das Betriebssystem Windows 10 von Microsoft. Die Gratisversion wurde den Nutzern als Update geradezu aufgedrängt, was natürlich nicht aus reiner Kundenfreundlichkeit geschah. Das erkennt man, wenn man die Datenschutzbestimmungen liest. Windows 10 basiert auf einer Cloud und man kann es nicht nur für Computer, sondern auch für Tablets oder Smartphones verwenden.
Laut den sogenannten «Datenschutzbestimmungen» erhebt Windows u. a. folgende Daten: Kontaktdaten, Kennwörter, Kennworthinweise und ähnliche Sicherheitsinformationen, die für die Authentifizierung und den Kontozugriff verwendet werden, Interessen, Zahlungsdaten, Nutzungsdaten. Diese umfassen auch Daten über die Geräte, einschliesslich IP-Adresse, Informationen über die Betriebssysteme, Kontakte und Beziehungen.
Dazu heisst es: «Sie haben die Wahl zu bestimmen, welche Daten wir erheben. Wenn Sie aufgefordert werden, personenbezogene Daten zur Verfügung zu stellen, können Sie dies ablehnen. Wenn Sie sich jedoch dazu entscheiden, keine Daten anbieten zu wollen, die für eine Bereitstellung eines Dienstes erforderlich sind, werden Sie möglicherweise nicht in der Lage sein, einige Funktionen oder Dienste zu verwenden.» Selbst wenn man die Datenübertragung an Windows so weit wie möglich ausschliesst, ist Vorsicht geboten. Nach Aussagen von Computerfachleuten gilt für alle Clouds: Über Daten, die mal drin sind, verliert man praktisch die Kontrolle.
So kann man allein mit der Nutzung von Windows 10 und anderen Clouds gegen das Datenschutzgesetz verstossen, ohne dass man das beabsichtigt. Man hat als Treuhänder die Daten an Dritte, z. B. Windows, ohne Erlaubnis des Kunden weitergegeben.
Das ist keine harmlose Angelegenheit: Wer vorsätzlich geheime, besonders schützenswerte Personendaten oder Persönlichkeitsprofile unbefugt bekannt gibt, von denen er bei der Ausübung seines Berufs erfahren hat, wird auf Antrag mit Busse bestraft (Art. 35 DSG). Das gilt auch nach Beendigung der Berufsausübung oder während der Ausbildung.
Der Kunde kann auch eine Klage zum Schutz der Persönlichkeit nach den Bestimmungen des Zivilgesetzbuchs (Art. 28 ff. ZGB) einreichen (Art. 15 DSG). Die klagende Partei kann insbesondere verlangen, dass die Datenbearbeitung gesperrt wird, keine Daten an Dritte bekannt gegeben oder die Personendaten berichtigt oder vernichtet werden. Allerdings liegt in der Regel keine Persönlichkeitsverletzung vor, wenn eine betroffene Person die Daten allgemein zugänglich gemacht und eine Bearbeitung nicht ausdrücklich untersagt hat. Das Urheberrecht ist allerdings immer zu berücksichtigen.
Wie erwähnt, muss man bei der Speicherung von Kundendaten in einer Cloud äusserst vorsichtig sein. In externen Clouds passiert es oft, dass der sogenannte direkte Provider, mit dem man als Kunde einen Vertrag abschliesst, die Daten des Kunden an einen sogenannten Drittprovider zur Verarbeitung abgibt. Dieser kann sich ausserhalb von Europa befinden, sodass sich die Datenzugriffe erst recht nicht mehr kontrollieren lassen.
Wenn sich die Nutzung einer Cloud nicht umgehen lässt, muss man den Cloud-Anbieter sorgfältig auswählen. Personendaten dürfen vom Cloud-Service-Anbieter nur so bearbeitet werden, wie der Cloud-Nutzer es selbst nach Datenschutzgesetz (DSG) tun dürfte.
Wichtig: Ein Unternehmen wird durch das Auslagern von Daten und Prozessen nicht von der Eigenverantwortung befreit, selbst wenn man den Cloud-Anbieter überprüft und solide vertragliche Vereinbarungen trifft.
Um die Sicherheit und den Datenschutz zu gewährleisten, wählt man am besten Clouds in der Schweiz, die eine Garantie abgeben, Daten nicht ins Ausland zu verlagern. Die Schweiz zeichnet sich durch ein Datenschutzrecht aus, das im internationalen Vergleich sehr streng ist.
In soziale Netzwerke wie Facebook usw. gehören nur Informationen, die öffentlich sein dürfen. Gerade bei automatisierten Vorgängen gibt es oft unerwünschte Nebeneffekte. Ausserdem lassen sich Betreiber von kostenfreien sozialen Netzwerken und sonstige Unternehmen oft Nutzungsrechte zur Vermarktung und Weitergabe der eingestellten und veröffentlichten Inhalte einräumen und verwenden diese für Werbezwecke. Dabei verlieren die Nutzer die Kontrolle darüber, was mit ihren Daten geschieht. Dagegen nützen die besten Datenschutzgesetze in der Praxis nicht viel.
Ein Beispiel ist die neue Datenschutzerklärung von Google. Wer Google nutzen will, ist gezwungen, dieser zuzustimmen. Google erfasst unter anderen sogar gerätespezifische Informationen und nimmt Standortbestimmungen vor.
Die Begründung für Googles Datensammlung ist sinngemäss auch in Datenschutzerklärungen anderer Unternehmen enthalten: «Wir nutzen die im Rahmen unserer Dienste erhobenen Daten zur Bereitstellung, zur Wartung, zum Schutz und zur Verbesserung unserer Dienste, zur Entwicklung neuer Dienste sowie zum Schutz von Google und unseren Nutzern. Wir verwenden diese Daten ausserdem, um Ihnen massgeschneiderte Inhalte anzubieten.»
Eine andere Gefahr ist die unfreiwillige Verbreitung von geheimen Daten durch Smart-Geräte. Dass Smartphone-Apps vor allem den Sinn haben, die Nutzer auszuspionieren, ist schon lange bekannt. Auch andere Smart-Geräte, z. B. Fernseher, sind heute mit Videokamera und Mikrofon ausgerüstet. Sobald sie mit dem Internet verbunden sind, können die Zuschauer überwacht werden, sogar mit Gesichtserkennung. Deshalb sollte man Smart-Geräte nur mit dem Internet verbinden, wenn es unbedingt notwendig ist. Bei Smart-Bildschirmen kann man auch den Zugang zur Kamera vorsichtig zukleben.
Smart-Geräte sollte man bei einem vertrauenswürdigen Unternehmer besorgen, der garantieren kann, dass das Gerät nicht vorher manipuliert wurde. Auch für mobile Geräte ist ein Antiviren-Scanner notwendig. Mobile Geräte mit sensiblen (Kunden-)Daten soll man niemals verleihen oder unbeaufsichtigt lassen. Es ist sehr zu empfehlen, für berufliche Zwecke andere Smart-Geräte zu verwenden als für private.
- Nach Art. 4 DSG dürfen Personendaten nur rechtmässig, verhältnismässig und nach Treu und Glauben bearbeitet werden. Die Beschaffung von Personendaten und insbesondere der Zweck ihrer Bearbeitung müssen für die betroffene Person erkennbar sein. Personendaten dürfen nur zu dem Zweck bearbeitet werden, der bei der Beschaffung angegeben wurde oder aus den Umständen ersichtlich ist.
- Bei der Bearbeitung von besonders schützenswerten Personendaten oder Persönlichkeitsprofilen ist eine ausdrückliche Einwilligung erforderlich.
- Wer Personendaten bearbeitet, hat sich zu vergewissern, dass diese richtig sind (Art. 5 DSG). Jede betroffene Person kann verlangen, dass unrichtige Daten berichtigt werden.
- Jede Person kann vom Inhaber einer Datensammlung Auskunft darüber verlangen, ob Daten über sie bearbeitet werden (Art. 8 DSG).
- Das Bearbeiten von Personendaten kann durch Vereinbarung oder durch Gesetz Dritten übertragen werden, wenn die Daten nur so bearbeitet werden, wie der Auftraggeber selbst es tun dürfte und keine gesetzliche oder vertragliche Geheimhaltungspflicht es verbietet (Art. 10a DSG). Der Auftraggeber muss sich insbesondere vergewissern, dass der Dritte die Datensicherheit gewährleistet.
- Personendaten darf man nicht ins Ausland bekannt geben, wenn dadurch die Persönlichkeit der betroffenen Personen schwerwiegend gefährdet würde, namentlich weil eine Gesetzgebung fehlt, die einen angemessenen Schutz gewährleistet (Art. 6 DSG). Fehlt eine entsprechende Gesetzgebung, können Personendaten ins Ausland nur bekanntgegeben werden, wenn hinreichende Garantien, insbesondere durch Vertrag, einen angemessenen Schutz der Daten gewährleisten.
- «Sie kennen dich! Sie haben dich! Sie steuern dich! Die wahre Macht der Datensammler», Markus Morgenroth, Droemer Knaur, 2014, www.droemer-knaur.de/buch/Sie+kennen+dich!+Sie+haben+dich!+Sie+steuern+dich!.7987432.html
- Ich glaube, es hackt! Tobias Schrödel, Springer Spektrum, ich-glaube-es-hackt.de