Tag Archives: Bußgeld

Bußgeld wegen fehlerhafter Auftragsdatenverarbeitung verhängt

Von | 29. August 2015

Lang­jäh­rige Kun­den und Emp­fän­ger unse­rer Datenschutz-Information wer­den sich an das wie­der­keh­rende Thema die­ses Bei­tra­ges sicher erin­nern und haben die Infor­ma­tion am Tag der Ver­öf­fent­li­chung der Presse-Information des BayLDA bereits als Sonder-Newsletter erhal­ten. Auf­grund der Trag­weite des Vor­gangs infor­mie­ren wir hier noch mal auf unse­rem Datenschutz-Fachblog.

Es geht um das Thema Out­sour­cing an externe Dienst­leis­ter im Hin­blick auf mög­li­cher­weise betrof­fene per­so­nen­be­zo­gene Daten. Das Daten­schutz­recht spricht hier von einer Auf­trags­da­ten­ver­ar­bei­tung. Nicht weil hier ein Auf­trag ver­ge­ben wird, son­dern weil im Auf­trag der ver­ant­wort­li­chen Stelle jemand Drit­tes mit den per­so­nen­be­zo­ge­nen Daten zu tun hat oder in Kon­takt kommt  / kom­men kann. Die baye­ri­sche Lan­des­da­ten­schutz­be­hörde hat jetzt wegen feh­ler­haf­ter Umset­zung der gesetz­lich vor­ge­schrie­be­nen Ver­fah­rens­weise und Inhalte ein Buß­geld verhängt.

Feh­ler­hafte Auf­trags­da­ten­ver­ar­bei­tung führt zu Bußgeld

Das ist so klar und deut­lich in § 43 Absatz 1 Satz 2b BDSG geregelt.

“(1) Ord­nungs­wid­rig han­delt, wer vor­sätz­lich oder fahrlässig 

2b.
ent­ge­gen § 11 Absatz 2 Satz 2 einen Auf­trag nicht rich­tig, nicht voll­stän­dig oder nicht in der vor­ge­schrie­be­nen Weise erteilt oder ent­ge­gen § 11 Absatz 2 Satz 4 sich nicht vor Beginn der Daten­ver­ar­bei­tung von der Ein­hal­tung der beim Auf­trag­neh­mer getrof­fe­nen tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men überzeugt,”

Mit Datum vom 20. August 2015 gibt das Baye­ri­sche Lan­des­amt … Weiterlesen

Offener Email-Verteiler führt zu Bußgeld gegen Unternehmen

Von | 5. August 2014

Datenpanne (c) Sascha KuhrauSchon jedem Mal passiert

Sie ken­nen das bestimmt aus Ihrem eige­nen Arbeits­all­tag. Eine wich­tige Nach­richt soll per Email ver­teilt wer­den. Mail­pro­gramm geöff­net, Text geschrie­ben, aus dem Adreß­buch schnell die Emp­fän­ger zusam­men­ge­klickt oder kom­for­ta­bel eine Verteiler-Liste genutzt und auf Sen­den gedrückt. Auf Sei­ten des Emp­fän­gers wer­den sich dann die Augen gerie­ben. Ste­hen doch alle Email-Empfänger im Klar­text im AN:/TO: Feld der Email. Ordent­lich wie der Absen­der seine Adres­sen gepflegt hat, aku­rat mit Vor-, Nach­name und Email-Adresse. Übli­cher­weise macht man den Absen­der freund­lich auf sein Miß­ge­schick auf­merk­sam und läßt es dar­auf beruhen.

Ihr ist das auch passiert

Eine Mit­ar­bei­te­rin eines baye­ri­schen Han­del­un­ter­neh­mens hatte weni­ger Glück. Sie schrieb eine sol­che Email an Kun­den des Unter­neh­mens. Kur­zer Inhalt, nette Geste. Jedoch lei­der stan­den vor dem eigent­li­chen Text (halbe DIN A4 Seite) über neun (9) Sei­ten Email-Adressen im Klar­text. Einem oder meh­re­ren Emp­fän­gern miß­fiel dies und der Stein des Ansto­ßes wurde an die zustän­dige baye­ri­sche Lan­des­da­ten­schutz­be­hörde weitergeleitet.

Fotolia_37944046_XS_roundedDer ewi­ger Mahner

Das Baye­ri­sche Lan­des­amt für Daten­schutz­auf­sicht (kurz BayLDA) hat in der Ver­gan­gen­heit bereits mehr­fach auf die daten­schutz­recht­li­che Unzu­läs­sig­keit eines sol­chen Vor­gangs hin­ge­wie­sen. Name plus Email-Adresse sind per­so­nen­be­zo­gene Daten im Sinne des Bun­des­da­ten­schutz­ge­set­zes (BDSG). Eine Über­mitt­lung (nichts ande­res stellt eine Email dar) Weiterlesen

Was kostet ein externer (betrieblicher) Datenschutzbeauftragter?

Von | 13. Mai 2013

Es kommt dar­auf an

Was kos­tet ein exter­ner Daten­schutz­be­auf­trag­ter?”, diese Frage wird desöf­te­ren per Email oder als Blog­kom­men­tar an mich her­an­ge­tra­gen.  Eine nach­voll­zieh­bare Frage, gerade wenn das eigene Unter­neh­men unter die gesetz­li­che Bestell­pflicht für einen Daten­schutz­be­auf­trag­ten fällt. Und gerade in wirt­schaft­lich anstren­gen­den Pha­sen sind die Kos­ten ein rele­van­ter Fak­tor. Sind keine wei­te­ren Anga­ben vor­han­den, dann fällt die Beant­wor­tung in etwa so leicht wie die von Fra­gen wie

  • Was kos­tet ein Auto?
  • Wie teuer ist es, ein Haus zu bauen?
  • Wie viel muss ich für den nächs­ten Som­mer­ur­laub bezahlen?

Die ehr­li­che Ant­wort auf die Frage nach den Kos­ten für einen exter­nen Daten­schutz­be­auf­trag­ten kann in die­sem Fall nur lau­ten: “Es kommt dar­auf an!”

Auf was kommt es an?

Daten­schutz ist kein Pro­dukt von der Stange, son­dern eine indi­vi­du­elle Leis­tung maß­ge­schnei­dert auf Ihr Unter­neh­men. Jede Unter­neh­mung ver­fügt über eine eigene Aus­gangs­si­tua­tion (Sta­tus Quo wie Anzahl der Mit­ar­bei­ter, Filia­len, Betriebs­rat, Richt­li­nien etc.), unter­schied­li­che Res­sour­cen zur Umset­zung, eine Viel­falt an zu betrach­ten­den Fak­to­ren (bei­spiels­weise die unter­schied­lichs­ten IT-Lösungen) und ein not­wen­di­ges Schutz­ni­veau je nach Bran­che und per­so­nen­be­zo­ge­nen Daten im Unternehmen.

All diese Punkte bedeu­ten ein Mehr oder Weni­ger an Auf­wand in der Umset­zung. Sie wir­ken sich dem­nach direkt auf die ent­ste­hen­den Kos­ten aus. Umso … Weiterlesen

Sony wehrt sich gegen Geldstrafe wegen Hackerangriffs auf sein Playstation Network

Von | 28. Januar 2013

Datenschutz Recht2011 ging das Ereig­nis als bis­her größte Daten­panne der Geschichte durch die Medien (wir berich­te­ten). Hackern gelang es, über 75 Mil­lio­nen Kun­den­da­ten aus dem Sony Netz­werk zu ent­wen­den, dar­un­ter Namen, Anmel­de­da­ten und Zah­lungs­an­ga­ben. In wei­te­ren nach­fol­gen­den Hacker-Attacken wur­den wei­tere Mil­lio­nen Daten­sätze ent­wen­det mit teil­weise noch aus­führ­li­che­ren Nutzerangaben.

Das Kri­sen­ma­nage­ment des Kon­zern war durch­aus als sub­op­ti­mal ein­zu­stu­fen — siehe Bericht. Auf­grund des Fir­men­sit­zes in Japan wog man sich jedoch in Sicher­heit vor der Ver­fol­gung durch die Schutz­be­hör­den. Doch damit ist nun Schluss. Was nicht nur zahl­rei­che Poli­ti­ker und Daten­schüt­zer, son­dern auch gerade Kun­den von Sony gefor­dert haben, hat die bri­ti­sche Daten­schutz­be­hörde nun in die Tat umge­setzt. Sie ver­hängte eine Geld­strafe in Höhe von 300.000 Euro, gegen das Unter­neh­men. Begrün­dung: Wer für so viele sen­si­blen Daten mit Miß­brauchs­po­ten­tial ver­ant­wort­lich ist, muss dem Schutz die­ser Daten oberste Prio­ri­tät einräumen.

Sony hat Wider­stand gegen die Strafe ange­kün­digt, schließ­lich sei man “Opfer” einer kri­mi­nel­len Atta­cke gewor­den. Das Unter­neh­men blen­det dabei aus, dass es selbst erst durch Män­gel in der IT Infra­struk­tur (schwa­che Pass­wör­ter, feh­lende Sicher­heits­patches) die Mög­lich­keit für diese mehr­fa­chen Angriffe geschaf­fen hat. Thema ver­fehlt, Sechs, setzen!

Fra­gen Sie doch Ihren Datenschutzbeauftragten

Ihr Daten­schutz­be­auf­trag­ter muss kein IT Profi sein. Er wird jedoch … Weiterlesen

Rekordstrafe” für Datenschutzverstoß von Google

Von | 13. August 2012

Die letz­ten Tage wurde oft über eine Rekord­strafe für Google auf­grund eines Daten­schutz­ver­sto­ßes berich­tet. Dem Kon­zern wurde vor­ge­wor­fen, einen Schutz­me­cha­nis­mus in App­les Brow­ser Safari bewußt umge­gan­gen zu haben. Damit konnte trotz einer mög­li­chen ande­ren Ein­stel­lung des Nut­zers die­ser durch den Kon­zern den­noch getrackt wer­den. Dafür wurde Google nun in den USA zur Zah­lung von 22,5 Mil­lio­nen Dol­lar (ca. 18,3 Mil­lio­nen Euro) ver­don­nert. Das klingt erst mal viel, gerade wenn man die in Deutsch­land ver­häng­ten Buß­gel­der betrach­tet. In Anbe­tracht eines Gewinns von 2,8 Mil­li­ar­den Dol­lar alleine von April bis Juni 2012 ist die­ser Betrag wenig rekordverdächtig.

Melkkuh Auftragsdatenverarbeitung

Von | 25. Juli 2012

Warnung, Stopp, Rote LampeDer Gesetz­ge­ber schreibt für das Out­sour­cing von Dienst­leis­tun­gen mit per­so­nen­be­zo­ge­nen Daten oder Zugriffs­mög­lich­keit auf diese eine Rege­lung zur soge­nann­ten “Auf­trags­da­ten­ver­ar­bei­tung” nach § 11 Bun­des­da­ten­schutz­ge­setz (BDSG) vor.  So wird z.B. eine Prü­fung der tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men (TOM) nach der Anlage zu § 9 BDSG erwar­tet zusam­men mit einer ver­trag­li­chen Rege­lung (meist in Form einer Zusatz­ver­ein­ba­rung), die den Umgang mit per­so­nen­be­zo­ge­nen Daten sehr detail­liert kon­kre­ti­siert und die Rechte und Pflich­ten der Par­teien defi­niert. Auch diese zu regeln­den Inhalte sind durch den Gesetz­ge­ber in § 11 BDSG festgeschrieben.

Was liegt also nun näher, als sich als kun­den– und ser­vice­o­ri­en­tier­ter Dienst­leis­ter her­vor­zu­tun und sei­nem poten­ti­el­len Auf­trag­ge­ber die not­wen­dige For­mu­lie­rung samt Anlage der TOM gleich mit dem Haupt­ver­trag mit­zu­lie­fern? Schließ­lich ist das teil­weise noch ein kla­rer Wett­be­werbs­vor­teil und zusätz­lich zeigt man sei­nem Kun­den gleich, wie wich­tig man ihn und sein Anlie­gen nimmt. Neben­bei erspart man sich das Prü­fen und Frei­ge­ben zahl­rei­cher durch Kun­den selbst for­mu­lier­ter Rege­lun­gen zur Auf­trags­da­ten­ver­ar­bei­tung. Und die Anlage mit den tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men (TOM) muss intern so oder so in Ver­bin­dung mit dem Ver­fah­rens­ver­zeich­nis (auch dies ist gesetz­li­che Pflicht) geführt werden.

Kurio­ser­weise zeich­net sich in der letz­ten Zeit eine Ent­wick­lung ab, die ich für … Weiterlesen

Irrtümer im Datenschutz (Teil 2): Ein Datenschutzbeauftragter ist zu teuer und daher kann auf die Bestellung verzichtet werden

Von | 12. Juli 2012

Irr­tü­mer im Daten­schutz (Teil 2)

Wei­ter geht es mit dem zwei­ten Teil der Serie “Irr­tü­mer im Daten­schutz”. Nicht aus­zu­rot­ten ist ein Gerücht, auf das ich im Rah­men von zahl­rei­chen Bera­tungs­ge­sprä­chen immer wie­der stoße. Hier wird argu­men­tiert, auf die Bestel­lung eines gesetz­lich vor­ge­schrie­be­nen Daten­schutz­be­auf­trag­ten kann ver­zich­tet wer­den, wenn die dafür anfal­len­den Kos­ten für das Unter­neh­men nicht zumut­bar sind.

Was sagt das Bun­des­da­ten­schutz­ge­setz (BDSG) dazu?

Die gesetz­li­che Bestell­pflicht für einen Daten­schutz­be­auf­trag­ten regelt § 4f Absatz 1 Beauf­trag­ter für den Daten­schutz BDSG.

(1) Öffent­li­che und nicht-öffentliche Stel­len, die per­so­nen­be­zo­gene Daten auto­ma­ti­siert ver­ar­bei­ten, haben einen Beauf­trag­ten für den Daten­schutz schrift­lich zu bestel­len. Nicht-öffentliche Stel­len sind hierzu spä­tes­tens inner­halb eines Monats nach Auf­nahme ihrer Tätig­keit verpflichtet.

Wei­ter führt § 4f BDSG aus

Die Sätze 1 und 2 gel­ten nicht für die nicht­öf­fent­li­chen Stel­len, die in der Regel höchs­tens neun Per­so­nen stän­dig mit der auto­ma­ti­sier­ten Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten beschäftigen.

Damit ist klar defi­niert: Unter­neh­men mit mehr als 9 Mit­ar­bei­tern, die mit­tels EDV mit per­so­nen­be­zo­ge­nen Daten zu tun haben, sind gesetz­lich zur Bestel­lung eines Daten­schutz­be­auf­trag­ten ver­pflich­tet — und zwar bis spä­tes­tens 4 Wochen nach Auf­nahme der Geschäftstätigkeit.

Zumut­bar­keit?

Von einer Zumut­bar­keit ist an die­ser Stelle nicht die Rede. Im Gegen­teil! § 4f Absatz 1 … Weiterlesen

Irrtümer im Datenschutz (Teil 1): Datenschutz betrifft mein Unternehmen nicht

Von | 12. Juli 2012

Irr­tü­mer im Datenschutz

Will­kom­men zum ers­ten Teil unse­rer Serie “Irr­tü­mer im Daten­schutz”. Daten­schutz ist in aller Munde, doch kaum jemand kennt das dahin­ter­ste­hende Bun­des­da­ten­schutz­ge­setz (BDSG). Dabei ist das Daten­schutz­ge­setz auf Bun­des­ebene nicht mehr das Jüngste, exis­tiert es doch bereits seit 1977.

Erstaun­li­cher­weise herrscht über das Thema Daten­schutz in der Pra­xis meist ein risi­ko­rei­ches Halb­wis­sen. Die Exis­tenz oder die Inhalte des BDSG sind sel­ten kon­kret bekannt, Auf­klä­rung sei­tens des Gesetz­ge­bers zu die­sem Thema erfolgt bedau­er­li­cher­weise eben­falls keine. Unter­neh­men und Unter­neh­mer sind auf sich alleine gestellt, wenn es um die recht­li­che Aus­ein­an­der­set­zung mit dem Thema Daten­schutz und des­sen kon­krete (vor­ge­schrie­be­nen) Maß­nah­men im Betrieb geht. Was Wun­der, wenn Daten­schutz im Tages­ge­schäft einen gerin­gen Stel­len­wert einnimmt.

Es kann teuer werden

Im Jahr 2009  hat der Gesetz­ge­ber die Stra­fen und Sank­tio­nen für Nicht­ein­hal­tung der gesetz­li­chen Daten­schutz­vor­schrif­ten durch Unter­neh­men ver­schärft. Kon­kret wer­den diese in § 43 BDSG Buß­geld­vor­schrif­ten und § 44 BDSG Straf­vor­schrif­ten ähn­lich dem aus der Stra­ßen­ver­kehrs­ord­nung bekann­ten Buß­geld­ka­ta­log auf­ge­lis­tet. Neben Auf­la­gen durch die Lan­des­da­ten­schutz­be­hör­den kön­nen Unter­neh­mer und Unter­neh­men schnell einem Buß­gel­d­ri­siko von bis zu 300.000 Euro aus­ge­setzt sein — und das sogar ganz ohne Daten­panne. Unwis­sen­heit schützt auch hier vor Strafe nicht.

“Daten­schutz und Daten­schutz­ge­setz betref­fen mein Unter­neh­men über­haupt nicht”Weiterlesen

Auftragsdatenverarbeitung — Definition, Beispiele, Massnahmen, Risiken (Update)

Von | 16. März 2012

Auf­trags­da­ten­ver­ar­bei­tung, das Aus­la­gern von Daten­ver­ar­bei­tungs­pro­zes­sen durch den Auf­trag­ge­ber auf externe Dienst­leis­ter, ist ein häu­fi­ges Mit­tel zur Kos­ten­sen­kung und der Nut­zung von exter­nem Know How — Stich­wort “Out­sour­cing”. Sind hier­von per­so­nen­be­zo­gene Daten betrof­fen, fin­det § 11 “Erhe­bung, Ver­ar­bei­tung oder Nut­zung per­so­nen­be­zo­ge­ner Daten im Auf­trag” BDSG (Bun­des­da­ten­schutz­ge­setz) Anwendung.

Schnell kommt es bei der Ein­schät­zung, ob eine Auf­trags­da­ten­ver­ar­bei­tung vor­liegt, zu Miß­ver­ständ­nis­sen und der Auf­trag­ge­ber läuft Gefahr, gemäß § 43 BDSG mit Geld­bu­ßen bis 50.000 € durch die Daten­schutz­be­hör­den belegt zu wer­den. Von Image­schä­den in der Öffent­lich­keits­wahr­neh­mung nicht zu reden. Eine sorg­fäl­tige Prü­fung durch einen Bera­ter für Daten­schutz oder einen Daten­schutz­be­auf­trag­ten hilft, diese Risi­ken zu mini­mie­ren und die not­wen­di­gen Rege­lun­gen umzusetzen.

 

Fol­gende Kri­te­rien (Aus­wahl) unter­stüt­zen die Bewer­tung über das Vor­lie­gen einer Auftragsdatenverarbeitung:

  • Dem Auf­trag­neh­mer fehlt die Ent­schei­dungs­be­fug­nis über die über­mit­tel­ten Daten.
  • Dem Auf­trag­neh­mer ist die Nut­zung der über­las­se­nen Daten über den eigent­li­chen Über­las­sungs­zweck hin­aus verboten.
  • Der Auf­trag­neh­mer nutzt nur die ihm über­las­se­nen Daten.
  • Die Daten­ver­ar­bei­tung wird nach außen durch den Auf­trag­ge­ber vertreten.
  • Der Auf­trag­neh­mer steht in kei­ner ver­trag­li­chen Bezie­hung zu den Betrof­fe­nen der per­so­nen­be­zo­ge­nen Daten.

 

Einige prak­ti­sche Bei­spiele von Auftragsdatenverarbeitung:

Ist Ihr Webauftritt datenschutzkonform? Mit Sicherheit mit dem Zertifikat a.s.k. websecure

Von | 12. März 2012

Kaum ein Unter­neh­men kommt ohne Webauf­tritt aus heut­zu­tage. Der Auf­tritt im World Wide Web ist zu mehr her­an­ge­wach­sen als die ursprüng­li­che digi­tale Visi­ten­karte. Mit zahl­rei­chen Funk­tio­nen wird um die Gunst der Besu­cher gebuhlt. News­let­ter, Kon­takt­for­mu­lare, Stel­len­aus­schrei­bun­gen, Gewinn­spiele, Social Media, Daten­schutz­er­klä­rung oder auch das Impres­sum haben natur­ge­mäß ihre Tücken und ber­gen das Risiko von Abmah­nun­gen und Buß­gel­dern. Prä­sen­tie­ren Sie Ihren Webseiten-Besuchern das Datenschutz-Zertifikat a.s.k. websecure und demons­trie­ren damit den daten­schutz­kon­for­men Umgang mit per­so­nen­be­zo­ge­nen Daten Ihrer Webseite.

Und so ein­fach kom­men Sie zum Ziel:

  1. Schi­cken Sie uns mit dem unten­ste­hen­den For­mu­lar die URL Ihrer Web­seite und Ihre Kon­takt­da­ten. Sie erhal­ten zeit­nah Ihr Angebot.
  2. Nach Auf­trags­ver­gabe folgt ein umfang­rei­cher Check Ihres Webauf­tritts. Im Anschluß liegt Ihnen ein detail­lier­ter Ergeb­nis– und Maß­nah­men­be­richt vor.
  3. Jetzt gilt es für Sie, die iden­ti­fi­zier­ten Schwach­stel­len zu beseitigen.
  4. Nach posi­ti­ver Nach­prü­fung erhal­ten Sie das Datenschutz-Zertifikat a.s.k. websecure.

 

Die Prüf­punkte

  1. Impres­sum
  2. Daten­schutz­er­klä­rung (Umfang und Inhalt)
  3. Web­tracking Umsetzung
  4. News­let­ter Umsetzung
  5. Online-Buchungen / Kontaktformulare
  6. Stel­len­an­ge­bote online
  7. Social Media Inte­gra­tion / Umsetzung
  8. Zuläs­sig­keit der Datenerhebun
  9. Con­tent Manage­ment Sys­tem (CMS)

 

a.s.k. webse­cure

Das Datenschutz-Zertifikat a.s.k. webse­cure hat eine Gül­tig­keit von 12 Mona­ten und kann nach ent­spre­chen­der Nach­prü­fung ver­län­gert werden.

Inter­esse? Dann ein­fach For­mu­lar aus­fül­len — wir mel­den uns mit … Weiterlesen