Category Archives: Unternehmen

Die DSGVO Schonfrist ist vorbei – Aufsichtsbehörden machen ernst

By | 27. November 2018

Seit Mai 2018 ist die EU Daten­schutz-Grund­ver­ord­nung (DSGVO) wirk­sam, nach­dem sie bereits Mai 2016 in Kraft getre­ten ist. Zeit bestand aus­rei­chend, sich auf die Neue­run­gen vor­zu­be­rei­ten. Die eine oder ande­re Orga­ni­sa­ti­on hat die Gele­gen­heit genutzt, bestehen­de Lücken in der eige­nen Daten­schutz-Orga­ni­sa­ti­on zu schlie­ßen. In den letz­ten Mona­ten haben wir öfter mal den Satz gehört „Woher soll ich wis­sen, was da im Daten­schutz zu tun ist?“. Hier gilt eine Hol­schuld durch die Orga­ni­sa­ti­ons­lei­tung getreu dem Mot­to „Unwis­sen­heit schützt vor Stra­fe nicht“. Für die Ein­hal­tung gesetz­li­cher Vor­schrif­ten ist die Lei­tung zustän­dig und ver­ant­wort­lich. Für Geschäfts­füh­rer gilt hier § 130 Gesetz über Ord­nungs­wid­rig­kei­ten (OWiG) mit der tref­fen­den Bezeich­nung “Ver­let­zung der Auf­sichts­pflicht in Betrie­ben und Unter­neh­men“. Ähn­li­che Ver­pflich­tun­gen für Behör­den trifft sogar unser Grund­ge­setz.

Die DSGVO-Schonzeit ist vorbei

Die meis­ten Lan­des­da­ten­schutz­be­hör­den haben jedoch in den letz­ten Mona­ten ein Auge zuge­drückt und eine im Gesetz nicht vor­ge­se­he­ne frei­wil­li­ge Karenz­zeit ein­ge­scho­ben. In die­sem Zeit­raum soll­ten Orga­ni­sa­tio­nen die Gele­gen­heit letzt­ma­lig nut­zen, die recht­li­chen Ver­pflich­tun­gen aus der DSGVO in Ver­bin­dung mit dem neu­en Bun­des­da­ten­schutz­ge­setz (BDSG) für Unter­neh­men und den Lan­des­da­ten­schutz­ge­set­zen für Lan­des­be­hör­den und kom­mu­na­le Ein­rich­tun­gen umzu­set­zen. Die­se Schon­zeit ist nun vor­bei!

Es wird ernst – aber Buß­gel­der sind nicht das eigent­li­che Pro­blem

Ende Okto­ber wur­de … Weiterlesen

Danke Mailchimp! Abmahnrisiko für deutsche Newsletter-Versender

By | 30. Oktober 2017

Vorteile externer Newsletter-Versender / Anbieter

Exter­ner News­let­ter-Ver­sen­der sind ein pro­ba­tes Mit­tel, um pro­fes­sio­nel­le News­let­ter an den Mann bzw. an die Frau zu brin­gen. Bedien­ba­re Web­ober­flä­chen,  Gestal­tungs­vor­la­gen und auto­ma­ti­sier­te Nut­zer­ver­wal­tung sind nur eini­ge der Punk­te, die einem Wer­be­trei­ben­den das Leben erleich­tern. Neben­bei ver­rin­gert die Nut­zung eines sol­chen Diens­tes das Risi­ko eines offe­nen News­let­ter-Ver­tei­lers, weil die Emp­fän­ger aus Ver­se­hen im „An“- oder „Kopie“- statt im „Blindkopie“-Feld ein­ge­tra­gen wur­den.

Double opt-in

Es dürf­te sich mitt­ler­wei­le unter allen Ver­sen­dern von News­let­tern her­um­ge­spro­chen haben: Die Bestä­ti­gung und Über­prü­fung von News­let­ter-Emp­fän­gern mit­tels des sog. dou­ble opt-in Ver­fah­rens ist in Deutsch­land Pflicht.

Beim doup­le opt-in Ver­fah­ren bestä­tigt der News­let­ter-Emp­fän­ger – zumeist über einen Akti­vie­rungs­link in einer Bestä­ti­gungs­mail – sei­nen tat­säch­li­chen Wunsch zum Erhalt des News­let­ters erneut (daher „dou­ble“). Gleich­zei­tig wird die­ser Vor­gang mit­tels Zeits­tem­peln pro­to­kol­liert, um die Anmel­dung und Akti­vie­rung jeder­zeit bele­gen zu kön­nen.

Danke Mailchimp

Der auch in Deutsch­land oft genutz­te US Ser­vice Mail­chimp hat nun von heu­te auf mor­gen das Stan­dard-Anmel­de­ver­fah­ren auf sin­gle opt-in umge­stellt. Die­se Ver­fah­rens­wei­se wider­spricht den recht­li­chen Anfor­de­run­gen in Deutsch­land. Unter­neh­men in Deutsch­land, die Mail­chimp als exter­nen News­let­ter-Ver­sen­der nut­zen, tun gut dar­an, die­se auto­ma­ti­sier­te Umstel­lung wie­der rück­gän­gig zu machen. Ansons­ten dro­hen Abmah­nun­gen!

Mail­chimp begrün­det die­se Vor­ge­hens­wei­se mit dem erhöh­ten Auf­wand für Nut­zer, … Weiterlesen

Email-Werbung ohne schriftliche Einwilligung – geht das überhaupt?

By | 5. September 2017

Keine Email-Werbung ohne Einwilligung

Oft wer­den wir als Daten­schutz­be­auf­trag­te gefragt, ob für Email-Wer­bung  oder Wer­bung per SMS eine schrift­li­che Ein­wil­li­gung wirk­lich not­wen­dig ist. Dabei wird über­se­hen, dass hier das Gesetz gegen den unlau­te­ren Wett­be­werb (kurz UWG) der ers­te Spiel­ver­der­ber ist. Das all­ge­mei­ne Daten­schutz­recht tritt hier erst mal zurück.

Und in § 7 Absatz 1 sowie Absatz 2 Num­mer 3 des UWG wird Email-Wer­bung zusam­men mit SMS- und Tele­fax-Wer­bung grund­sätz­lich als unzu­mut­ba­re Beläs­ti­gung im Sin­ne des UWG ein­ge­stuft. Daher ist Email-Wer­bung nur mit aus­drück­li­cher (vor­he­ri­ger schrift­li­cher) Ein­wil­li­gung der betrof­fe­nen Per­son erlaubt. Mit der wett­be­werbs­recht­li­chen Zuläs­sig­keit steht und fällt zugleich auch die daten­schutz­recht­li­che Zuläs­sig­keit.

Ausnahmsweise doch Email-Werbung ohne Einwilligung?

Ja, Email-Wer­bung ohne vor­he­ri­ge schrift­li­che Ein­wil­li­gung kann in einer ein­zi­gen Aus­nah­me mög­lich sein. Die­se Aus­nah­me beschreibt der Lan­des­be­auf­trag­te für den Daten­schutz und die Infor­ma­ti­ons­frei­heit Baden-Würt­tem­berg. Ver­brau­cher, aber auch Wer­be­trei­ben­de kön­nen sich in dem frei ver­füg­ba­ren und aktua­li­sier­ten Merk­blatt „Was Sie gegen uner­wünsch­te Wer­bung tun kön­nen” (Stand 10. Mai 2017) infor­mie­ren.

Wie lautet diese Ausnahme für Email-Werbung ohne Einwilligung?

Nach Auf­fas­sung des Lan­des­be­auf­trag­ten ist Email-Wer­bung ohne (vor­he­ri­ge) schrift­li­che Ein­wil­li­gung mög­lich nach § 7 Absatz 3 UWG, wenn der Wer­be­trei­ben­de (also das Unter­neh­men) schrift­lich alle nach­fol­gen­den Vor­aus­set­zun­gen nach­wei­sen kann (Ori­gi­nal-Zitat aus dem Merk­blatt):

  • Er hat die
Weiterlesen

Personalausweis einfach kopieren – einfach rechtswidrig

By | 18. August 2017

Personalausweis als Pfand, Personalausweis-Kopie als Beleg – üblich, aber verboten

Usus, Rechts­ver­stoß inklu­si­ve. Der Per­so­nal­aus­weis wird als Pfand hin­ter­legt, eine Kopie zur Iden­ti­fi­ka­ti­on im Ver­trags­ord­ner abge­legt oder als Scan ins Doku­men­ten-Manage­ment-Sys­tem gespei­chert. Bran­chen­über­grei­fend üblich, vom Fit­ness-Stu­dio bis zur Auto­ver­mie­tung.

Der neue Personalausweis

Seit dem 01. Novem­ber 2010 wird nur noch der neue Per­so­nal­aus­weis her­aus­ge­ge­ben, ger­ne auch als „ePer­so“ bezeich­net. Im Zuge der Umstel­lung hat das Per­so­nal­aus­weis­ge­setz (PAuswG) eini­ge Ände­run­gen erfah­ren. Zahl­rei­che Kom­men­tie­run­gen und Begrün­dun­gen beglei­ten den neu­en Aus­weis.

Kein ausdrückliches Kopierverbot, aber …

Neben der bis­her übli­chen Aus­weis­funk­ti­on beinhal­tet der „ePer­so“ nun auch die Mög­lich­keit zu Signa­tur und zur Authen­ti­sie­rung. Zum Schutz die­ser Funk­tio­nen schreibt unse­re Regie­rung in ihrer Begrün­dung zur Neu­re­ge­lung: “Die Erhe­bung und Ver­wen­dung per­so­nen­be­zo­ge­ner Daten aus oder mit­hil­fe des Aus­wei­ses darf künf­tig nur über die dafür vor­ge­se­he­nen Wege erfol­gen. (.) Wei­te­re Ver­fah­ren z.B. über die opto­elek­tro­ni­sche Erfas­sung (“scan­nen”) von Aus­weis­da­ten oder dem maschi­nen­les­ba­ren Bereich sol­len aus­drück­lich aus­ge­schlos­sen wer­den.” In den Aus­le­gun­gen hier­zu wird deut­lich davon gespro­chen, weder Kopi­en des Per­so­nal­aus­wei­ses zuzu­las­sen, noch die­sen aus der Hand zu geben.

Warum den Personalausweis nicht kopieren?

Da der neue Per­so­nal­aus­weis auf­grund des­sen Gestal­tung noch eine sog. Berech­ti­gungs­num­mer trägt, weist das Bun­des­in­nen­mi­nis­te­ri­um auf einen zusätz­li­chen Sach­ver­halt hin. Die Berech­ti­gungs­num­mer soll
Weiterlesen

Auslegungshilfen zur EU Datenschutzgrundverordnung veröffentlicht

By | 7. Juli 2017

Die Kon­fe­renz der unab­hän­gi­gen Daten­schutz­be­hör­den des Bun­des und der Län­der (DSK) hat ers­te Aus­le­gungs­hil­fen zum neu­en Daten­schutz­recht der EU Daten­schutz­grund­ver­ord­nung (EU-DSGVO) ver­öf­fent­licht.

Die­se Hil­fen ste­hen auf der Web­sei­te der Lan­des­be­auf­trag­ten für den Daten­schutz Nie­der­sach­sen zum Down­load zur Ver­fü­gung.

Wie bereits in einem frü­he­ren Bei­trag beschrie­ben, ist die Unter­stüt­zung mit Vor­la­gen und Hilfs­mit­teln zur Umset­zung der EU-DSGVO noch recht „über­schau­bar“. Dies wird auch am Umfang der jetzt ver­öf­fent­lich­ten – und noch zu erwei­tern­den – Aus­le­gungs­hil­fen deut­lich. 3 The­men wer­den behan­delt:

  1. Ver­zeich­nis der Ver­ar­bei­tungs­tä­tig­kei­ten nach Art. 30 DS-GVO
  2. Auf­sichts­be­fug­nis­se / Sank­tio­nen
  3. Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten für Wer­bung
Weiterlesen

Der Hype um das (private) Whatsapp-Abmahnrisiko

By | 28. Juni 2017

Kaum hat das Amts­ge­richt Bad Hers­feld sein Urteil gefällt und die Begrün­dung ver­öf­fent­licht, gras­siert ein media­ler Hype um ein angeb­li­ches Abmahn­ri­si­ko für pri­va­te Whats­app-Nut­zer durch das Netz. Doch was steckt dahin­ter?

Etwas Auf­klä­rung zur pri­va­ten Nut­zung von Whats­app

Das Amts­ge­richt Bad Hers­feld, wohl­ge­merkt ein Amts­ge­richt, sieht auf Basis des § 823 BGB sowie des § 1004 BGB das Risi­ko eines pri­va­ten Whats­app-Nut­zers, auf­grund der nicht ein­ge­wil­lig­ten Daten­über­mitt­lung der Kon­tak­te in des­sen Adress­buch durch den auto­ma­ti­sier­ten Abgleich mit den Whats­app-Ser­vern durch die Kon­tak­te selbst auf Unter­las­sung in Anspruch genom­men zu wer­den. Selbst eine kos­ten­pflich­ti­ge Abmah­nung wird nicht aus­ge­schlos­sen. Kaum war die ers­te Nach­richt hier­zu im Web lan­ciert, ging der Copy & Pas­te – Mecha­nis­mus des Bou­le­vard­jour­na­lis­mus inklu­si­ve der sozia­len Netz­wer­ke los. Angst und Panik für Quo­te und Klicks lau­tet die Devi­se.

Was davon zu hal­ten ist, kön­nen Sie unter ande­rem im Blog des Anwalts Dr. Cars­ten Ulb­richt nach­le­sen, der zu die­sem The­ma kein Unbe­kann­ter ist.

Whats­app und geschäft­li­che oder dienst­li­che Nut­zung?

Nutzt ein Unter­neh­men oder eine Behör­de nun Whats­app sieht die Rechts­la­ge etwas unbe­que­mer aus. Das Bun­des­da­ten­schutz­ge­setz schreibt für die betrieb­li­che Nut­zung per­so­nen­be­zo­ge­ner Daten die Aus­wahl geeig­ne­ter tech­ni­scher und orga­ni­sa­to­ri­scher Schutz­maß­nah­men vor. Bedient man sich bei der Umset­zung eines Drit­ten (in … Weiterlesen

Bayerisches Landesamt für Datenschutzaufsicht (BayLDA) stellt Tätigkeitsbericht 2015/2016 vor

By | 8. März 2017

Auf 158 Sei­ten gibt der Prä­si­dent des Baye­ri­schen Lan­des­am­tes für Daten­schutz­auf­sicht (BayL­DA), Tho­mas Kra­nig einen Über­blick über die Arbeit der Daten­schutz­auf­sichts­be­hör­de für den nicht-öffent­li­chen Bereich in Bay­ern für die Jah­re 2015 und 2016 ab.

Das BayL­DA ist für ca. 700.000 ver­ant­wort­li­che Stel­len im nicht-öffent­li­chen Bereich (Unter­neh­men, Ver­ei­ne, Ver­bän­de, frei­be­ruf­lich Täti­ge etc.) in Bay­ern zustän­dig.

Im vor­de­ren Teil des Berichts wird anschau­lich auf die Ent­wick­lung von Bür­ger­be­schwer­den, Daten­pan­nen, aber auch Bera­tungs­an­fra­gen sei­tens nicht-öffent­li­cher Stel­len ein­ge­gan­gen. Der Über­sicht ab 2013 ist zu ent­neh­men, dass es sich bei der zuneh­men­den Stei­ge­rung nicht um ein­zel­ne Spit­zen, son­dern klar um einen Trend han­delt. Sind 2013 “nur” 925 Beschwer­den über baye­ri­sche Unter­neh­men und Unter­neh­mer ein­ge­gan­gen, so waren es 2016 schon 1.424. Iden­tisch ver­hält es sich mit der Zahl der Daten­pan­nen (2013 32 gegen­über 85 in 2016). Wobei hier eine deut­lich höhe­re Dun­kel­zif­fer sei­tens des Amts ver­mu­tet wird. Bei den Beschwer­den liegt das The­ma Video­über­wa­chung auf dem vor­ders­ten Platz. Unter ande­rem sind dafür die mitt­ler­wei­le sehr preis­wer­ten Über­wa­chungs­ka­me­ras (wie Wild­ka­me­ras, Dash­cams usw.) ver­ant­wort­lich, jedoch auch ein gestei­ger­tes Sicher­heits­be­dürf­nis. Letz­te­res führt schnell mal dazu, nicht nur (zuläs­si­ger­wei­se) das eige­ne Grund­stück zu obser­vie­ren, son­dern (zumeist unzu­läs­sig) angren­zen­de Grund­stü­cke oder öffent­li­che Ver­kehrs­flä­chen mit ein­zu­schlie­ßen.

Klas­si­sche Daten­pan­nen wie Ver­lust, Dieb­stahl oder … Weiterlesen

Datenschutzbeauftragter darf keinen Interessenkonflikten unterliegen

By | 23. Januar 2017

Baye­ri­sches Unter­neh­men kas­siert Buß­geld, weil IT-Mana­ger gleich­zei­tig als Daten­schutz­be­auf­trag­ter bestellt war.

Eine der­art expo­nier­te Posi­ti­on im Hin­blick auf die Daten­ver­ar­bei­tungs­pro­zes­se im Unter­neh­men ist in aller Regel unver­ein­bar mit den Auf­ga­ben eines Daten­schutz­be­auf­trag­ten”, so das Baye­ri­sche Lan­des­amt für Daten­schutz­auf­sicht (BayL­DA) in Ans­bach.

Wer muss einen Daten­schutz­be­auf­trag­ten bestel­len?

Unter­neh­men und auch Ver­ei­ne müs­sen einen Daten­schutz­be­auf­trag­ten (DSB) bestel­len, wenn bei ihnen min­des­tens zehn Per­so­nen (“mehr als neun”, so das Bun­des­da­ten­schutz­ge­setz) mit der auto­ma­ti­sier­ten Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten befasst sind. Dabei ist es uner­heb­lich, a) ob es sich dabei um inter­ne oder exter­ne per­so­nen­be­zo­ge­ne Daten han­delt und b) mit wel­chem Zeit­an­teil die Per­so­nen beschäf­tigt sind (Voll­zeit, Teil­zeit, Aus­hil­fe etc.). Es zählt hier allei­ne die Zahl der “Köp­fe”.

Zahl­rei­che Unter­neh­men und Ver­ei­ne erfül­len die­se Vor­aus­set­zun­gen. Das Gesetz stellt es dabei frei, ob die Funk­ti­on des Daten­schutz­be­auf­trag­ten an eine exter­ne Per­son ver­ge­ben wird („exter­ner Daten­schutz­be­auf­trag­ter“) oder aber durch einen Mit­ar­bei­ter („inter­ner Daten­schutz­be­auf­trag­ter“) erfüllt wird. Je nach Bun­des­land schrei­ben die Lan­des­da­ten­schutz­ge­set­ze einen Daten­schutz­be­auf­trag­ten eben­falls für Behör­den und kom­mu­na­le Ein­rich­tun­gen (sog. öffent­li­che Stel­len) ver­pflich­tend vor. In eini­gen Bun­des­län­dern besteht bereits heu­te die Mög­lich­keit einer exter­nen Bestel­lung des behörd­li­chen Daten­schutz­be­auf­trag­ten. Mit der EU-Daten­schutz­grund­ver­ord­nung (EU-DSGVO) wird die Bestell­pflicht für öffent­li­che Stel­len ver­ein­heit­licht. Eben­so soll … Weiterlesen

Landesdatenschutzbehörden prüfen Cloud-Einsatz in Unternehmen

By | 4. November 2016

Die Lan­des­da­ten­schutz­be­hör­den in Bay­ern, Ber­lin, Bre­men, Ham­burg, Meck­len­burg-Vor­pom­mern, Nie­der­sach­sen, Nord­rhein-West­fa­len, Rhein­land-Pfalz, Saar­land und Sach­sen-Anhalt wäh­len per Zufall 500 Unter­neh­men in die­sen Bun­des­län­dern aus. Die­se erhal­ten im Zuge der Prü­fung einen aus­führ­li­chen Fra­ge­bo­gen (Down­load zur Selbst­über­prü­fung hier) zur zeit­na­hen Beant­wor­tung. Bit­te beach­ten Sie: Sie sind gemäß Bun­des­da­ten­schutz­ge­setz gegen­über der Behör­de aus­kunfts­pflich­tig. Neh­men Sie die Anfra­ge ernst und ertei­len Sie inner­halb des genann­ten Rück­mel­de­zeit­raums aus­führ­lich Aus­kunft. Es besteht sonst ein Buß­gel­dri­si­ko für Ihre Orga­ni­sa­ti­on.

[…] vie­le klei­ne­re und mitt­le­re Unter­neh­men in Deutsch­land ver­ar­bei­ten inzwi­schen zahl­rei­che per­so­nen­be­zo­ge­ne Daten (z. B. von Kun­den, Mit­ar­bei­tern oder Bewer­bern) häu­fig auf Ser­vern exter­ner Dienst­leis­ter, oft außer­halb der Euro­päi­schen Uni­on. Dies ist vor allem bei Ange­bo­ten wie dem sog. Soft­ware as a Ser­vice der Fall. Ein klas­si­sches Bei­spiel hier­für sind Office-Anwen­dun­gen „aus dem Inter­net“, die stand­ortu­n­ab­hän­gig und fle­xi­bel genutzt wer­den kön­nen.”

Inhalt­lich beschäf­tigt sich der Fra­ge­bo­gen daher zu Beginn mit gene­rel­len Daten­über­mitt­lun­gen außer­halb der EU (USA, sons­ti­ge Dritt­staa­ten).

Ein wich­ti­ges Ziel der Prü­fung liegt in der Sen­si­bi­li­sie­rung der Unter­neh­men für Daten­über­mitt­lun­gen in Län­der außer­halb der Euro­päi­schen Uni­on. Um Unter­neh­men das Auf­fin­den sol­cher Über­mitt­lun­gen zu erleich­tern, wird auch gezielt nach dem Ein­satz von Pro­duk­ten und Leis­tun­gen exter­ner Anbie­ter gefragt, die – nach bis­he­ri­gen Erfah­run­gen der Auf­sichts­be­hör­den Weiterlesen

Privacy Shield für ein Jahr toleriert – Europäische Datenschutzbehörden unzufrieden

By | 28. Juli 2016

Zumin­dest für den Zeit­raum eines Jah­res kann das oft kri­ti­sier­te Pri­va­cy Shield als Nach­fol­ger von Safe Har­bor fun­gie­ren. Nach Aus­sa­gen der soge­nann­ten Arti­kel-29-Grup­pe sei das neue Abkom­men nach wie vor nicht geeig­net, grund­sätz­li­che Kri­tik aus­zu­räu­men. Dabei wur­den die nach wie vor zuläs­si­gen Geheim­dienst­zu­grif­fe auf Daten von EU Bür­gern sowie die man­geln­den Durch­set­zungs­mög­lich­kei­ten der Schutz­rech­te der Betrof­fe­nen bemän­gelt.

Den­noch kön­ne Pri­va­cy Shield vor­erst als Zuläs­sig­keits­tat­be­stand für den Trans­fer per­so­nen­be­zo­ge­ner Daten in die USA ein­ge­setzt wer­den. Nach 12 Mona­ten Eva­lu­ie­rungs­pha­se soll das Abkom­men neu bewer­tet wer­den. Bis dahin sicher­ten die euro­päi­schen Daten­schutz­be­hör­den akti­ve Unter­stüt­zung bei der Gel­tend­ma­chung der Rech­te Betrof­fe­ner in den USA zu.… Weiterlesen