Tag Archives: Auftragsdatenverarbeitung

Danke Mailchimp! Abmahnrisiko für deutsche Newsletter-Versender

By | 30. Oktober 2017

Vorteile externer Newsletter-Versender / Anbieter

Exter­ner News­let­ter-Ver­sen­der sind ein pro­ba­tes Mit­tel, um pro­fes­sio­nel­le News­let­ter an den Mann bzw. an die Frau zu brin­gen. Bedien­ba­re Web­ober­flä­chen,  Gestal­tungs­vor­la­gen und auto­ma­ti­sier­te Nut­zer­ver­wal­tung sind nur eini­ge der Punk­te, die einem Wer­be­trei­ben­den das Leben erleich­tern. Neben­bei ver­rin­gert die Nut­zung eines sol­chen Diens­tes das Risi­ko eines offe­nen News­let­ter-Ver­tei­lers, weil die Emp­fän­ger aus Ver­se­hen im „An“- oder „Kopie“- statt im „Blindkopie“-Feld ein­ge­tra­gen wur­den.

Double opt-in

Es dürf­te sich mitt­ler­wei­le unter allen Ver­sen­dern von News­let­tern her­um­ge­spro­chen haben: Die Bestä­ti­gung und Über­prü­fung von News­let­ter-Emp­fän­gern mit­tels des sog. dou­ble opt-in Ver­fah­rens ist in Deutsch­land Pflicht.

Beim doup­le opt-in Ver­fah­ren bestä­tigt der News­let­ter-Emp­fän­ger – zumeist über einen Akti­vie­rungs­link in einer Bestä­ti­gungs­mail – sei­nen tat­säch­li­chen Wunsch zum Erhalt des News­let­ters erneut (daher „dou­ble“). Gleich­zei­tig wird die­ser Vor­gang mit­tels Zeits­tem­peln pro­to­kol­liert, um die Anmel­dung und Akti­vie­rung jeder­zeit bele­gen zu kön­nen.

Danke Mailchimp

Der auch in Deutsch­land oft genutz­te US Ser­vice Mail­chimp hat nun von heu­te auf mor­gen das Stan­dard-Anmel­de­ver­fah­ren auf sin­gle opt-in umge­stellt. Die­se Ver­fah­rens­wei­se wider­spricht den recht­li­chen Anfor­de­run­gen in Deutsch­land. Unter­neh­men in Deutsch­land, die Mail­chimp als exter­nen News­let­ter-Ver­sen­der nut­zen, tun gut dar­an, die­se auto­ma­ti­sier­te Umstel­lung wie­der rück­gän­gig zu machen. Ansons­ten dro­hen Abmah­nun­gen!

Mail­chimp begrün­det die­se Vor­ge­hens­wei­se mit dem erhöh­ten Auf­wand für Nut­zer, … Weiterlesen

Landesdatenschutzbehörden prüfen Cloud-Einsatz in Unternehmen

By | 4. November 2016

Die Lan­des­da­ten­schutz­be­hör­den in Bay­ern, Ber­lin, Bre­men, Ham­burg, Meck­len­burg-Vor­pom­mern, Nie­der­sach­sen, Nord­rhein-West­fa­len, Rhein­land-Pfalz, Saar­land und Sach­sen-Anhalt wäh­len per Zufall 500 Unter­neh­men in die­sen Bun­des­län­dern aus. Die­se erhal­ten im Zuge der Prü­fung einen aus­führ­li­chen Fra­ge­bo­gen (Down­load zur Selbst­über­prü­fung hier) zur zeit­na­hen Beant­wor­tung. Bit­te beach­ten Sie: Sie sind gemäß Bun­des­da­ten­schutz­ge­setz gegen­über der Behör­de aus­kunfts­pflich­tig. Neh­men Sie die Anfra­ge ernst und ertei­len Sie inner­halb des genann­ten Rück­mel­de­zeit­raums aus­führ­lich Aus­kunft. Es besteht sonst ein Buß­gel­dri­si­ko für Ihre Orga­ni­sa­ti­on.

[…] vie­le klei­ne­re und mitt­le­re Unter­neh­men in Deutsch­land ver­ar­bei­ten inzwi­schen zahl­rei­che per­so­nen­be­zo­ge­ne Daten (z. B. von Kun­den, Mit­ar­bei­tern oder Bewer­bern) häu­fig auf Ser­vern exter­ner Dienst­leis­ter, oft außer­halb der Euro­päi­schen Uni­on. Dies ist vor allem bei Ange­bo­ten wie dem sog. Soft­ware as a Ser­vice der Fall. Ein klas­si­sches Bei­spiel hier­für sind Office-Anwen­dun­gen „aus dem Inter­net“, die stand­ortu­n­ab­hän­gig und fle­xi­bel genutzt wer­den kön­nen.”

Inhalt­lich beschäf­tigt sich der Fra­ge­bo­gen daher zu Beginn mit gene­rel­len Daten­über­mitt­lun­gen außer­halb der EU (USA, sons­ti­ge Dritt­staa­ten).

Ein wich­ti­ges Ziel der Prü­fung liegt in der Sen­si­bi­li­sie­rung der Unter­neh­men für Daten­über­mitt­lun­gen in Län­der außer­halb der Euro­päi­schen Uni­on. Um Unter­neh­men das Auf­fin­den sol­cher Über­mitt­lun­gen zu erleich­tern, wird auch gezielt nach dem Ein­satz von Pro­duk­ten und Leis­tun­gen exter­ner Anbie­ter gefragt, die – nach bis­he­ri­gen Erfah­run­gen der Auf­sichts­be­hör­den Weiterlesen

Hilfe bei Auftragsdatenverarbeitung 

By | 23. März 2015

Out­sour­cing ist ein pro­ba­tes Mit­tel zur Kos­ten­kon­trol­le, aber auch um bewähr­tes Know How von extern in die Orga­ni­sa­ti­on zu holen. Sind dabei jedoch per­so­nen­be­zo­ge­ne Daten im Spiel, dann redet das Bun­des­da­ten­schutz­ge­setz mit sei­nem Para­graph 11 Auf­trags­da­ten­ver­ar­bei­tung ein erheb­li­ches Wört­chen mit.

Auf die Rei­hen­fol­ge kommt es an

Was oft nicht bekannt ist,  Para­graph 11 BDSG schal­tet sich schon weit vor dem akti­ven Beginn der Zusam­men­ar­beit ein. Zuerst muss geprüft wer­den, ob eine Auf­trags­da­ten­ver­ar­bei­tung vor­liegt (z.B. exter­nes Rechen­zen­trum, Let­ter­shop, exter­ner News­let­ter, Fern­war­tung für Hard- und Soft­ware, etcpp .)

Ist das der Fall, gilt es, das Schutz­ni­veau des Anbie­ters zu prü­fen und das Ergeb­nis zu doku­men­tie­ren, die sog. Über­prü­fung der tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men (TOM). Sind die­se für das not­wen­di­ge Schutz­ni­veau aus­rei­chend, muss eine soge­nann­te Ver­ein­ba­rung zur Auf­trags­da­ten­ver­ar­bei­tung geschlos­sen wer­den. Hin­wei­se wie “Die Par­tei­en ver­ein­ba­ren, sich an deut­sches Daten­schutz­recht zu hal­ten” sind Geschich­te und unzu­rei­chend. Auch bei der Nut­zung der diver­sen Vor­la­gen aus dem Web soll­te man sehr vor­sich­tig sein. Oft sind die­se ver­al­tet (Novel­le in 2009), feh­ler­haft, unvoll­stän­dig oder ent­hal­ten Pas­sa­gen, die mas­siv gegen ande­res Recht ver­sto­ßen und somit eben­falls nicht gül­tig.

Alles halb so schlimm?

Mei­nen Sie, aber auch nur, bis Sie den Buß­geld­ka­ta­log des BDSG ken­nen­ge­lernt haben. Bis zu 50.000 … Weiterlesen