Zahlreiche Verordnungen und Gesetze regeln den Datenschutz und die Menschen selbst tun auch vieles dafür, dass nicht jedermann alles über einen erfährt. Einer bestimmten Person vertraut man dennoch allerlei persönliche Informationen an, ohne mit der Wimper zu zucken.

Dem Weihnachtsmann.

Er kennt nicht nur alle Adressen und Wünsche, er weiß sogar, wie er sich unbemerkt Zutritt zu Wohnungen und Häusern verschafft. Da kommt die berechtigte Frage auf, ob diese Daten bei ihm in sicheren Händen sind.

Vorbereitungen des Weihnachtsmannes

Lange, bevor für uns die Weihnachtszeit beginnt, muss der Weihnachtsmann Vorbereitungen treffen. Während draußen noch die Blätter an den Bäumen hängen, liegt vor seiner Hütte hoch im Norden wie immer der Schnee. Doch für den Weihnachtsmann heißt es nicht Schlittenfahren, sondern Weihnachten vorbereiten – und sich Gedanken über Datenschutz machen. Für die Logistik rund um Weihnachten werden Elfen, Rentiere und weitere Helfer benötigt. Die meisten Angestellten des Weihnachtsmannes sind bis nach den Feiertagen in einem festen Arbeitsverhältnis. Für die wichtigen Aufgaben, die er zu erledigen hat, wäre es nicht gut, unqualifiziertes Personal einzustellen. Vorab müssen Daten der Mitarbeiter gesammelt und gesichtet werden. Dazu notiert der Weihnachtsmann wichtige Informationen, wie Name, Geburtsdatum und den beruflichen Werdegang. Somit kann er anschließend besser überprüfen, ob in etwa die Rentiere stark genug sind, um die weiten Strecken an Heiligabend zu meistern.

Mitarbeiterdaten können nicht ohne weiteres gespeichert werden. Laut DSGVO ist die Einwilligung des Mitarbeiters erforderlich. Nur dann dürfen personenbezogene Informationen verarbeitet werden. Am besten verankert er diese Einwilligung direkt im Arbeitsvertrag. Dann muss er nicht bei jedem Mitarbeiter nochmal einzeln nachfragen. Anschließend lädt und speichert er die Daten alle auf den Weihnachtsmann-Server. Vorausgesetzt, die entsprechenden Sicherheitsvorkehrungen wurden getroffen. Der Server muss vor unerlaubtem Zugriff und Hacker-Angriffen geschützt werden. Die Elfen wären bestimmt nicht erfreut, wenn ihre Namen und Adressen plötzlich öffentlich im offenen Internet zu finden sind. Hierfür hat der Weihnachtsmann eine Firewall für seinen Server einrichtet und die Daten verschlüsselt. Alle personenbezogenen Daten liegen völlig DSGVO-konform auf dem Server.

Ansonsten ist nur zu hoffen, dass beim Weihnachtsmann in naher Zukunft keine Datenschutzkontrolle durchgeführt wird. Nicht unwahrscheinlich, dass dabei sogar noch Informationen zu Mitarbeitern der vergangenen Weihnachten gefunden werden. Das würde direkt das nächste Problem mit sich ziehen. Die DSGVO sagt, dass alle Daten von ehemaligen Mitarbeitern 10 Jahre nach der Kündigung vernichtet werden müssen, sobald diese nicht mehr erforderlich sind. Wenn der Weihnachtsmann also nicht gerade für die betriebliche Altersvorsorge von Elfen und Rentieren aufkommt, dürften keine 10 Jahre alten Informationen mehr zu finden sein. Bei einem Verstoß gegen die Datenschutzgrundverordnung werden schließlich hohe Bußgelder fällig.

Auch der Arbeitsvertrag muss genauer beleuchtet werden. Der wichtigste Absatz aus Sicht des Datenschutzes ist hier die Verschwiegenheitspflicht. Alle Helfer müssen sich dazu verpflichten, keine Daten nach außen abzugeben. Alle Vorgänge und Vorbereitungen für den Heiligen Abend müssen geheim bleiben. Das gilt auch bis über die Zeit der Anstellung hinaus.

In Artikel 32 DSGVO steht, dass alle Mitarbeiter auf das Datengeheimnis zu verpflichten sind. Weiterhin steht dort, dass diese Verpflichtung schriftlich erfolgen muss. Es ist üblich, dass regelmäßig Merkblätter und Erinnerungs-Schreiben zur Verschwiegenheitspflicht an die Mitarbeiter ausgegeben werden. Der Weihnachtsmann oder ein Helfer gibt mit Beginn der Vorbereitungen allen Helfern noch mal eine interessante und kurzweilige Datenschutzschulung mit witzigen Beiträgen aus der Praxis.

Was kommt in den Geschenkesack?

Noch komplizierter wird der Sachverhalt, wenn die Adventszeit beginnt. Dem Weihnachtsmann, der alle nötigen Vorbereitungen bereits abgeschlossen hat, erreichen tausende von Briefen und Wunschzetteln. Auf jedem davon eine Liste von Geschenken, die sich Kinder auf der ganzen Welt zu Weihnachten wünschen. Diese wiederum erwarten natürlich, dass ihre Wünsche und Geschenke vertraulich behandelt werden. Auch wenn der Weihnachtsmann keine Gegenleistung verlangt, sind sie sozusagen seine Kunden. Mit deren Daten nimmt es die DSGVO besonders ernst. Alle Briefe und Wunschlisten, die per Post am Nordpol eingehen, müssen mindestens genauso sicher verwahrt werden, wie die Mitarbeiterdaten. Deshalb werden die Briefe und Wunschzettel sofort automatisiert eingescannt und gesichert auf den Weihnachtsmann-Servern gespeichert.

Wenn der Weihnachtsmann Helfer losschickt, die nicht zu seinem festen Mitarbeiterstamm gehören, muss er einen Auftragsverarbeitungsvertrag (AVV) abschließen. Der AVV ist notwendig, da die Helfer eng an die Weisungen des Weihnachtsmannes gebunden sind. Durch den AVV ist er weiterhin für die Daten der Kinder mitverantwortlich. Er muss sicherstellen, dass diese während des gesamten Ablaufs nicht an Dritte gelangen und ausreichend geschützt sind.

Früher war es mühselig, jedem Weihnachtselfen eine eigene Einkaufsliste zusammenzustellen und zu übergeben. Heute löst er das über eine Geschenke-App. So kann der Weihnachtsmann deutlich schneller Geschenke-Aufträge weiterleiten. Er und alle seine Helfer brauchen einen sicheren Login, mit einer Zwei-Faktor-Authentifizierung. Alle Daten wären über das Weihnachtsmann-Netzwerk abrufbar, müssten aber gleichzeitig auch für Fremde verschlüsselt und abgeschottet sein. Damit in der App alles datenschutzkonform abläuft, ließ der Weihnachtsmann noch eine Datenschutzerklärung für seine App anfertigen.

Der Heilige Abend

Die größte Aufgabe für alle Beteiligten wartet natürlich am Heiligen Abend selbst. Dann ist der Weihnachtsmann mit seinem Rentierschlitten rund um die Welt unterwegs, um den Kindern ihre Geschenke zu bringen. Die Adressen aller Kinder hat er ja bereits schon in seiner hochverschlüsselten App. Da der Weihnachtsmann moderne Technologien und Navigationssysteme nutzt, zeigt ihm seine Datenbrille den optimalsten Weg zum nächsten Auslieferungsort. Bei so vielen Geräten, die miteinander kommunizieren, ist allerdings Vorsicht geboten. Je größer das Netzwerk, desto höher auch die Wahrscheinlichkeit für ein Datenleck.

Wie bereits bei den Geschenken, muss er auch mit den Adressdaten vorsichtig umgehen. Nach DSGVO dürfen Kundendaten nur weitergegeben werden, wenn die Betroffenen eingewilligt haben. Da die meisten Wunschzettel jedoch von minderjährigen Personen stammen, übernehmen das in diesem Fall die Eltern.

Der Weihnachtsmann kennt jeden geheimen Zugang zu jedem Haus, zu jeder Wohnung. Er ist der beste Einbrecher der Welt und weiß, wie man unbemerkt in jedes Haus kommt. Nicht auszudenken, wenn dieses Wissen in falsche Hände gelangt. Auch hier hat er besondere und hochtechnisierte Sicherungsmaßnahmen ergriffen, dass diese heiklen Informationen nicht gestohlen oder zufällig offengelegt werden.

Bei der Frage, ob das nun alles rechtmäßig ist, lohnt sich ein Blick auf die Datenschutzgrundsätze. Diese müssen in jedem Fall bei der Verarbeitung eingehalten und erfüllt werden. Man kann dem Weihnachtsmann definitiv zugutehalten, dass sein Vorhaben ehrenwert und an einen Zweck gebunden ist. Er speichert nur Daten, die er unbedingt braucht.

Datenschutz in der Sommerpause

So wenig romantisch und weihnachtlich es auch sein mag: nach Weihnachten ist sein Auftrag für den Weihnachtsmann noch nicht erledigt. Ein Datenschutzgrundsatz besagt, dass alle personenbezogenen Informationen nicht unbegrenzt gespeichert werden dürfen. Sobald der Zweck erfüllt ist, müssen sie gelöscht werden. In Ausnahmefällen können die Daten für einen bestimmten Zeitraum länger aufbewahrt bleiben.

Solange nicht ein einzelnes Kind die Löschung seiner Daten einklagt, kann er sie bis ins nächste Jahr aufbewahren. Fraglich, ob ein Kind so mutig ist, sich das zu trauen. Es stehen immerhin alle zukünftigen Weihnachtsgeschenke auf dem Spiel. Das Gleiche gilt für den Richter, der das Verfahren beurteilen müsste.

Während der Sommerpause wird ihm dennoch die Aufgabe auferlegt, alle Daten vertraulich zu verwahren. Neben schweren Strafen würde ein Datenleck auch einen großen Vertrauensverlust nach sich ziehen. Alle Kinder wollen schließlich das Gefühl haben, dass ihre persönlichen Daten beim Weihnachtsmann in guten Händen sind. Auch er selbst profitiert von Recht und Ordnung. Nur wenn alle Informationen sicher verwahrt sind, kann er im nächsten Jahr wieder darauf zurückgreifen und mit den Vorbereitungen für das nächste Jahr beginnen.