Category Archives: Strafe

Danke Mailchimp! Abmahnrisiko für deutsche Newsletter-Versender

By | 30. Oktober 2017

Vorteile externer Newsletter-Versender / Anbieter

Exter­ner News­let­ter-Ver­sen­der sind ein pro­ba­tes Mit­tel, um pro­fes­sio­nel­le News­let­ter an den Mann bzw. an die Frau zu brin­gen. Bedien­ba­re Web­ober­flä­chen,  Gestal­tungs­vor­la­gen und auto­ma­ti­sier­te Nut­zer­ver­wal­tung sind nur eini­ge der Punk­te, die einem Wer­be­trei­ben­den das Leben erleich­tern. Neben­bei ver­rin­gert die Nut­zung eines sol­chen Diens­tes das Risi­ko eines offe­nen News­let­ter-Ver­tei­lers, weil die Emp­fän­ger aus Ver­se­hen im „An“- oder „Kopie“- statt im „Blindkopie“-Feld ein­ge­tra­gen wur­den.

Double opt-in

Es dürf­te sich mitt­ler­wei­le unter allen Ver­sen­dern von News­let­tern her­um­ge­spro­chen haben: Die Bestä­ti­gung und Über­prü­fung von News­let­ter-Emp­fän­gern mit­tels des sog. dou­ble opt-in Ver­fah­rens ist in Deutsch­land Pflicht.

Beim doup­le opt-in Ver­fah­ren bestä­tigt der News­let­ter-Emp­fän­ger – zumeist über einen Akti­vie­rungs­link in einer Bestä­ti­gungs­mail – sei­nen tat­säch­li­chen Wunsch zum Erhalt des News­let­ters erneut (daher „dou­ble“). Gleich­zei­tig wird die­ser Vor­gang mit­tels Zeits­tem­peln pro­to­kol­liert, um die Anmel­dung und Akti­vie­rung jeder­zeit bele­gen zu kön­nen.

Danke Mailchimp

Der auch in Deutsch­land oft genutz­te US Ser­vice Mail­chimp hat nun von heu­te auf mor­gen das Stan­dard-Anmel­de­ver­fah­ren auf sin­gle opt-in umge­stellt. Die­se Ver­fah­rens­wei­se wider­spricht den recht­li­chen Anfor­de­run­gen in Deutsch­land. Unter­neh­men in Deutsch­land, die Mail­chimp als exter­nen News­let­ter-Ver­sen­der nut­zen, tun gut dar­an, die­se auto­ma­ti­sier­te Umstel­lung wie­der rück­gän­gig zu machen. Ansons­ten dro­hen Abmah­nun­gen!

Mail­chimp begrün­det die­se Vor­ge­hens­wei­se mit dem erhöh­ten Auf­wand für Nut­zer, … Weiterlesen

Datenpanne: Offener Newsletter-Verteiler führt zu Bußgeld – Augen auf beim Direktmarketing

By | 21. August 2017

Schon jedem Mal passiert – Newsletter oder Email an viele Empfänger verschickt

Sie ken­nen das bestimmt aus Ihrem eige­nen Arbeits­all­tag. Eine wich­ti­ge Nach­richt soll per Email oder News­let­ter ver­teilt wer­den. Mail- oder News­let­ter-Pro­gramm geöffnet, Text geschrie­ben, aus dem Adress­buch schnell die Empfänger zusam­men­ge­klickt oder kom­for­ta­bel eine Ver­tei­ler-Lis­te genutzt und auf Sen­den gedrückt. Auf Sei­ten des Empfängers wer­den sich dann die Augen gerie­ben. Ste­hen doch alle Email-Empfänger im Klar­text im AN:/TO: Feld der Email. Ordent­lich wie der Absen­der sei­ne Adres­sen gepflegt hat, akku­rat mit Vor-, Nach­na­me und Email-Adres­se. Üblicherweise macht man den Absen­der freund­lich auf sein Miss­ge­schick auf­merk­sam und läßt es dar­auf beru­hen.

Offene Newsletter-Verteiler kommen nicht immer gut an

Die Mit­ar­bei­te­rin eines baye­ri­schen Han­del­un­ter­neh­mens hat­te weni­ger Glück. Sie schrieb eine sol­che Email an Kun­den des Unter­neh­mens. Kur­zer Inhalt, net­te Ges­te. Jedoch lei­der stan­den vor dem eigent­li­chen Text (hal­be DIN A4 Sei­te) über neun (9!) Sei­ten Email-Adres­sen im Klar­text. Einem oder meh­re­ren Empfängern miß­fiel dies und der Stein des Ansto­ßes wur­de an die zuständige baye­ri­sche Landesdatenschutzbehörde wei­ter­ge­lei­tet.

Landesdatenschutzbehörde prüft offene Newsletter-Verteiler und verhängt Bußgeld

Das Baye­ri­sche Lan­des­amt für Daten­schutz­auf­sicht (kurz BayL­DA) hat in der Ver­gan­gen­heit bereits mehr­fach über die eige­ne Web­sei­te und auf Ver­an­stal­tun­gen vor und mit Unter­neh­men auf die daten­schutz­recht­li­che … Weiterlesen

Der Hype um das (private) Whatsapp-Abmahnrisiko

By | 28. Juni 2017

Kaum hat das Amts­ge­richt Bad Hers­feld sein Urteil gefällt und die Begrün­dung ver­öf­fent­licht, gras­siert ein media­ler Hype um ein angeb­li­ches Abmahn­ri­si­ko für pri­va­te Whats­app-Nut­zer durch das Netz. Doch was steckt dahin­ter?

Etwas Auf­klä­rung zur pri­va­ten Nut­zung von Whats­app

Das Amts­ge­richt Bad Hers­feld, wohl­ge­merkt ein Amts­ge­richt, sieht auf Basis des § 823 BGB sowie des § 1004 BGB das Risi­ko eines pri­va­ten Whats­app-Nut­zers, auf­grund der nicht ein­ge­wil­lig­ten Daten­über­mitt­lung der Kon­tak­te in des­sen Adress­buch durch den auto­ma­ti­sier­ten Abgleich mit den Whats­app-Ser­vern durch die Kon­tak­te selbst auf Unter­las­sung in Anspruch genom­men zu wer­den. Selbst eine kos­ten­pflich­ti­ge Abmah­nung wird nicht aus­ge­schlos­sen. Kaum war die ers­te Nach­richt hier­zu im Web lan­ciert, ging der Copy & Pas­te – Mecha­nis­mus des Bou­le­vard­jour­na­lis­mus inklu­si­ve der sozia­len Netz­wer­ke los. Angst und Panik für Quo­te und Klicks lau­tet die Devi­se.

Was davon zu hal­ten ist, kön­nen Sie unter ande­rem im Blog des Anwalts Dr. Cars­ten Ulb­richt nach­le­sen, der zu die­sem The­ma kein Unbe­kann­ter ist.

Whats­app und geschäft­li­che oder dienst­li­che Nut­zung?

Nutzt ein Unter­neh­men oder eine Behör­de nun Whats­app sieht die Rechts­la­ge etwas unbe­que­mer aus. Das Bun­des­da­ten­schutz­ge­setz schreibt für die betrieb­li­che Nut­zung per­so­nen­be­zo­ge­ner Daten die Aus­wahl geeig­ne­ter tech­ni­scher und orga­ni­sa­to­ri­scher Schutz­maß­nah­men vor. Bedient man sich bei der Umset­zung eines Drit­ten (in … Weiterlesen

Datenschutzbeauftragter darf keinen Interessenkonflikten unterliegen

By | 23. Januar 2017

Baye­ri­sches Unter­neh­men kas­siert Buß­geld, weil IT-Mana­ger gleich­zei­tig als Daten­schutz­be­auf­trag­ter bestellt war.

Eine der­art expo­nier­te Posi­ti­on im Hin­blick auf die Daten­ver­ar­bei­tungs­pro­zes­se im Unter­neh­men ist in aller Regel unver­ein­bar mit den Auf­ga­ben eines Daten­schutz­be­auf­trag­ten”, so das Baye­ri­sche Lan­des­amt für Daten­schutz­auf­sicht (BayL­DA) in Ans­bach.

Wer muss einen Daten­schutz­be­auf­trag­ten bestel­len?

Unter­neh­men und auch Ver­ei­ne müs­sen einen Daten­schutz­be­auf­trag­ten (DSB) bestel­len, wenn bei ihnen min­des­tens zehn Per­so­nen (“mehr als neun”, so das Bun­des­da­ten­schutz­ge­setz) mit der auto­ma­ti­sier­ten Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten befasst sind. Dabei ist es uner­heb­lich, a) ob es sich dabei um inter­ne oder exter­ne per­so­nen­be­zo­ge­ne Daten han­delt und b) mit wel­chem Zeit­an­teil die Per­so­nen beschäf­tigt sind (Voll­zeit, Teil­zeit, Aus­hil­fe etc.). Es zählt hier allei­ne die Zahl der “Köp­fe”.

Zahl­rei­che Unter­neh­men und Ver­ei­ne erfül­len die­se Vor­aus­set­zun­gen. Das Gesetz stellt es dabei frei, ob die Funk­ti­on des Daten­schutz­be­auf­trag­ten an eine exter­ne Per­son ver­ge­ben wird („exter­ner Daten­schutz­be­auf­trag­ter“) oder aber durch einen Mit­ar­bei­ter („inter­ner Daten­schutz­be­auf­trag­ter“) erfüllt wird. Je nach Bun­des­land schrei­ben die Lan­des­da­ten­schutz­ge­set­ze einen Daten­schutz­be­auf­trag­ten eben­falls für Behör­den und kom­mu­na­le Ein­rich­tun­gen (sog. öffent­li­che Stel­len) ver­pflich­tend vor. In eini­gen Bun­des­län­dern besteht bereits heu­te die Mög­lich­keit einer exter­nen Bestel­lung des behörd­li­chen Daten­schutz­be­auf­trag­ten. Mit der EU-Daten­schutz­grund­ver­ord­nung (EU-DSGVO) wird die Bestell­pflicht für öffent­li­che Stel­len ver­ein­heit­licht. Eben­so soll … Weiterlesen

Abmahnung für den Einsatz von Google Analytics

By | 29. März 2016

Goog­le Ana­ly­tics als Web­tracking- und Ana­ly­se-Tool ist bei Web­mas­tern recht beliebt. Eine aus Daten­schutz­sicht bean­stan­dungs­freie Umset­zung ist seit gerau­mer Zeit mög­lich. Dabei gilt es jedoch, eini­ges zu beach­ten. Wer sich dar­um nicht küm­mert, kann zukünf­tig vom Wett­be­werb dazu mit recht­li­chen Mit­teln – im Zwei­fel mit­tels Abmah­nung – gezwun­gen wer­den.

In einer einst­wei­li­gen Ver­fü­gung des Land­ge­richts Ham­burg vom 10.03.2016 mit dem Akten­zei­chen 312 O 127/16 unter­sagt das Gericht dem Betrei­ber einer Web­sei­te den Ein­satz von Goog­le Ana­ly­tics auf­grund feh­len­der Hin­wei­se auf den Ein­satz, bei­spiel­wei­se im Rah­men der Daten­schutz­er­klä­rung. Das Land­ge­richt Ham­burg droht dem Web­sei­ten­be­trei­ber für den Fall der Zuwi­der­hand­lung gegen die­se Anord­nung ein Ord­nungs­geld von bis zu 250.000 Euro an (als Ersatz Ord­nungs­haft bis zu 6 Mona­ten).

Nicht ein­deu­tig geklärt ist bis­her, ob § 13 Absatz 1 Satz 1 Tele­me­di­en­ge­setz (TMG) Grund­la­ge für eine Abmah­nung sein kann. Das Ober­lan­des­ge­richt (OLG) Mün­chen hat 2012 die­sen Sach­ver­halt ver­neint. Dem ent­ge­gen hat das OLG Ham­burg in 2013 die Abmahn­fä­hig­keit bestä­tigt.

Wer dem­nach zur Zeit Abmah­nung und wei­te­res Unge­mach wegen des Ein­sat­zes von Goog­le Ana­ly­tics ver­mei­den will, tut gut dar­an, die Emp­feh­lun­gen aus 2011 für die Ein­füh­rung und Nut­zung von Goog­le Ana­ly­tics als Web­tracking- und Ana­ly­se-Tool umzu­set­zen:

  1. Abschluss einer Rege­lung zur Auf­trags­da­ten­ver­ar­bei­tung nach § 11 BDSG. Eine gemein­sam erar­bei­te­te
Weiterlesen

Härteres Vorgehen der Datenschutzbehörden bei Wettbewerbsverstößen angekündigt

By | 22. April 2015

Gera­de per­so­na­li­sier­te Wer­bung ist nach wie vor ein bewähr­tes Mit­tel, um Kun­den zu gewin­nen. In den let­zten Jah­re wur­den die Aufla­gen  immer stren­ger. Zumeist als Reak­ti­on auf aus­ufern­de Miß­ach­tung bestehen­der gesetz­li­cher Rege­lun­gen durch die Wer­be­trei­ben­den.

Mit dem Gesetz gegen den unlau­te­ren Wet­tbe­werb (UWG) und den Bes­tim­mungen aus dem Bun­des­daten­schutzge­setz (BDSG) gilt es eini­ges zu beach­ten. Nicht nur, um sich nicht den Unmut der poten­tiellen Käu­fer zuzu­zie­hen, weil deren Rech­te nicht beach­tet wur­den. Die Auf­merk­sam­keit der Lan­des­da­ten­schutz­be­hör­den soll­te man eben­falls zukünf­tig nicht erre­gen. Von dro­hen­den Abmah­n­risiken mal ganz zu schwei­gen.

Da ist es auch wenig tröst­lich, dass dies nur auf eini­ge schwar­ze Scha­fe unter den Wer­be­treiben­den zurück­zuführen ist. Lei­den müs­sen dar­un­ter alle, die auf Wer­bung ange­wie­sen sind.

Zu allem Über­fluss haben die Daten­schutzbe­hör­den das The­ma nun auch für sich ent­deckt!

Es bleibt nicht unbe­merkt

Recht­li­che Ver­stö­ße blei­ben nicht unbe­merkt. Denn selbst wenn sich der Betrof­fe­ne nicht direkt bei dem Wer­be­trei­ben­den mel­det, so bleibt immer noch der Weg zur zustän­di­gen Lan­des­da­ten­schutz­be­hör­de offen. Und die­ser Weg wird auch beschrit­ten.

In einer Pressemit­teilung vom 25.11.2014 des Bay­erischen Lan­desamt für Daten­schutza­uf­sicht heisst es:

Im Jahr 2013 gin­gen beim BayL­DA zum The­ma unzuläs­sige Wer­bung 162 und im Jahr 2014 bis­her 149 Ein­ga­ben und Beschw­er­den ein. Weiterlesen

Offener Email-Verteiler führt zu Bußgeld gegen Unternehmen

By | 5. August 2014

Datenpanne (c) Sascha KuhrauSchon jedem Mal pas­siert

Sie ken­nen das bestimmt aus Ihrem eige­nen Arbeits­all­tag. Eine wich­ti­ge Nach­richt soll per Email ver­teilt wer­den. Mail­pro­gramm geöff­net, Text geschrie­ben, aus dem Adreß­buch schnell die Emp­fän­ger zusam­men­ge­klickt oder kom­for­ta­bel eine Ver­tei­ler-Lis­te genutzt und auf Sen­den gedrückt. Auf Sei­ten des Emp­fän­gers wer­den sich dann die Augen gerie­ben. Ste­hen doch alle Email-Emp­fän­ger im Klar­text im AN:/TO: Feld der Email. Ordent­lich wie der Absen­der sei­ne Adres­sen gepflegt hat, aku­rat mit Vor-, Nach­na­me und Email-Adres­se. Übli­cher­wei­se macht man den Absen­der freund­lich auf sein Miß­ge­schick auf­merk­sam und läßt es dar­auf beru­hen.

Ihr ist das auch pas­siert

Eine Mit­ar­bei­te­rin eines baye­ri­schen Han­del­un­ter­neh­mens hat­te weni­ger Glück. Sie schrieb eine sol­che Email an Kun­den des Unter­neh­mens. Kur­zer Inhalt, net­te Ges­te. Jedoch lei­der stan­den vor dem eigent­li­chen Text (hal­be DIN A4 Sei­te) über neun (9) Sei­ten Email-Adres­sen im Klar­text. Einem oder meh­re­ren Emp­fän­gern miß­fiel dies und der Stein des Ansto­ßes wur­de an die zustän­di­ge baye­ri­sche Lan­des­da­ten­schutz­be­hör­de wei­ter­ge­lei­tet.

Fotolia_37944046_XS_roundedDer ewi­ger Mah­ner

Das Baye­ri­sche Lan­des­amt für Daten­schutz­auf­sicht (kurz BayL­DA) hat in der Ver­gan­gen­heit bereits mehr­fach auf die daten­schutz­recht­li­che Unzu­läs­sig­keit eines sol­chen Vor­gangs hin­ge­wie­sen. Name plus Email-Adres­se sind per­so­nen­be­zo­ge­ne Daten im Sin­ne des Bun­des­da­ten­schutz­ge­set­zes (BDSG). Eine Über­mitt­lung (nichts ande­res stellt eine Email dar) ist daher nur zuläs­sig, wenn der Weiterlesen

Webtracking datenschutzkonform umsetzen: Webanalyse-Tool PIWIK

By | 19. Januar 2014

Update vom 19.01.2014

Mitt­ler­wei­le ist das Tool PIWIK in der Ver­si­on 2.x ver­füg­bar. Neben einem deut­lich über­ar­bei­te­ten Inter­face wur­den die Aus­wer­tungs­mög­lich­kei­ten noch­mals ver­fei­nert. Rein­schau­en lohnt sich für jeden Web­mas­ter alle­mal. http://piwik.org/

Update vom 08.05.2012

Das Baye­ri­sche Lan­des­amt für Daten­schutz­auf­sicht teil­te ges­tern mit, den Ein­satz des Web­tracking-Tools Goog­le Ana­ly­tics auf 13.404 Web­sei­ten mit Betrei­bern aus Bay­ern mit­tels einer eigens ent­wi­ckel­ten Soft­ware über­prüft zu haben. 10.955 der geprüf­ten Web­sei­ten setz­ten Goog­le Ana­ly­tics nicht ein. Auf den ver­blie­be­nen 2.449 Web­sei­ten wäre das belieb­te Web­tracking-Tool ledig­lich in 3% aller Fäl­le daten­schutz­kon­form umge­setzt. Die 2.371 Web­sei­ten­be­trei­ber mit nicht daten­schutz­kon­for­men Ein­satz des Tools erhal­ten in den kom­men­den Tagen Post von der Lan­des­da­ten­schutz­be­hör­de mit der Auf­for­de­rung zur Abstel­lung des nicht kon­for­men Ein­sat­zes.

Seit lan­gem wird heiß dis­ku­tiert, ob und inwie­weit Goog­le Ana­ly­tics über­haupt daten­schutz­kon­form nach deut­schem Recht ein­setz­bar ist. Vie­le der not­wen­di­gen Sach­ver­hal­te las­sen sich mit unse­rem aktu­el­len Bun­des­da­ten­schutz­ge­setz nicht kor­rekt umset­zen oder dar­stel­len. Die­se Dis­kus­si­on soll­te jedoch nicht dazu ver­lei­ten, nach dem Mot­to “Augen zu und durch” zu ver­fah­ren. Noch dazu, wo es doch eine kos­ten­freie, leis­tungs­fä­hi­ge und bean­stan­dungs­freie Alter­na­ti­ve wie das Open Source Tool PIWIK gibt. Wie das ein­zu­set­zen ist, lesen Sie in unse­rem Blog-Bei­trag vom 16.03.2011:

Ori­gi­nal-Bei­trag vom 16.03.2011

Goog­le steht mit sei­nem … Weiterlesen

Sony wehrt sich gegen Geldstrafe wegen Hackerangriffs auf sein Playstation Network

By | 28. Januar 2013

Datenschutz Recht2011 ging das Ereig­nis als bis­her größ­te Daten­pan­ne der Geschich­te durch die Medi­en (wir berich­te­ten). Hackern gelang es, über 75 Mil­lio­nen Kun­den­da­ten aus dem Sony Netz­werk zu ent­wen­den, dar­un­ter Namen, Anmel­de­da­ten und Zah­lungs­an­ga­ben. In wei­te­ren nach­fol­gen­den Hacker-Atta­cken wur­den wei­te­re Mil­lio­nen Daten­sät­ze ent­wen­det mit teil­wei­se noch aus­führ­li­che­ren Nut­zer­an­ga­ben.

Das Kri­sen­ma­nage­ment des Kon­zern war durch­aus als sub­op­ti­mal ein­zu­stu­fen – sie­he Bericht. Auf­grund des Fir­men­sit­zes in Japan wog man sich jedoch in Sicher­heit vor der Ver­fol­gung durch die Schutz­be­hör­den. Doch damit ist nun Schluss. Was nicht nur zahl­rei­che Poli­ti­ker und Daten­schüt­zer, son­dern auch gera­de Kun­den von Sony gefor­dert haben, hat die bri­ti­sche Daten­schutz­be­hör­de nun in die Tat umge­setzt. Sie ver­häng­te eine Geld­stra­fe in Höhe von 300.000 Euro, gegen das Unter­neh­men. Begrün­dung: Wer für so vie­le sen­si­blen Daten mit Miß­brauchs­po­ten­ti­al ver­ant­wort­lich ist, muss dem Schutz die­ser Daten obers­te Prio­ri­tät ein­räu­men.

Sony hat Wider­stand gegen die Stra­fe ange­kün­digt, schließ­lich sei man “Opfer” einer kri­mi­nel­len Atta­cke gewor­den. Das Unter­neh­men blen­det dabei aus, dass es selbst erst durch Män­gel in der IT Infra­struk­tur (schwa­che Pass­wör­ter, feh­len­de Sicher­heits­patches) die Mög­lich­keit für die­se mehr­fa­chen Angrif­fe geschaf­fen hat. The­ma ver­fehlt, Sechs, set­zen!

Fra­gen Sie doch Ihren Daten­schutz­be­auf­trag­ten

Ihr Daten­schutz­be­auf­trag­ter muss kein IT Pro­fi sein. Er wird jedoch … Weiterlesen

Rekordstrafe” für Datenschutzverstoß von Google

By | 13. August 2012

Die letz­ten Tage wur­de oft über eine Rekord­stra­fe für Goog­le auf­grund eines Daten­schutz­ver­sto­ßes berich­tet. Dem Kon­zern wur­de vor­ge­wor­fen, einen Schutz­me­cha­nis­mus in App­les Brow­ser Safa­ri bewußt umge­gan­gen zu haben. Damit konn­te trotz einer mög­li­chen ande­ren Ein­stel­lung des Nut­zers die­ser durch den Kon­zern den­noch getrackt wer­den. Dafür wur­de Goog­le nun in den USA zur Zah­lung von 22,5 Mil­lio­nen Dol­lar (ca. 18,3 Mil­lio­nen Euro) ver­don­nert. Das klingt erst mal viel, gera­de wenn man die in Deutsch­land ver­häng­ten Buß­gel­der betrach­tet. In Anbe­tracht eines Gewinns von 2,8 Mil­li­ar­den Dol­lar allei­ne von April bis Juni 2012 ist die­ser Betrag wenig rekord­ver­däch­tig.… Weiterlesen