Tag Archives: Strafe

Datenpanne: Offener Newsletter-Verteiler führt zu Bußgeld – Augen auf beim Direktmarketing

By | 21. August 2017

Schon jedem Mal passiert – Newsletter oder Email an viele Empfänger verschickt

Sie ken­nen das bestimmt aus Ihrem eige­nen Arbeits­all­tag. Eine wich­ti­ge Nach­richt soll per Email oder News­let­ter ver­teilt wer­den. Mail- oder News­let­ter-Pro­gramm geöffnet, Text geschrie­ben, aus dem Adress­buch schnell die Empfänger zusam­men­ge­klickt oder kom­for­ta­bel eine Ver­tei­ler-Lis­te genutzt und auf Sen­den gedrückt. Auf Sei­ten des Empfängers wer­den sich dann die Augen gerie­ben. Ste­hen doch alle Email-Empfänger im Klar­text im AN:/TO: Feld der Email. Ordent­lich wie der Absen­der sei­ne Adres­sen gepflegt hat, akku­rat mit Vor-, Nach­na­me und Email-Adres­se. Üblicherweise macht man den Absen­der freund­lich auf sein Miss­ge­schick auf­merk­sam und läßt es dar­auf beru­hen.

Offene Newsletter-Verteiler kommen nicht immer gut an

Die Mit­ar­bei­te­rin eines baye­ri­schen Han­del­un­ter­neh­mens hat­te weni­ger Glück. Sie schrieb eine sol­che Email an Kun­den des Unter­neh­mens. Kur­zer Inhalt, net­te Ges­te. Jedoch lei­der stan­den vor dem eigent­li­chen Text (hal­be DIN A4 Sei­te) über neun (9!) Sei­ten Email-Adres­sen im Klar­text. Einem oder meh­re­ren Empfängern miß­fiel dies und der Stein des Ansto­ßes wur­de an die zuständige baye­ri­sche Landesdatenschutzbehörde wei­ter­ge­lei­tet.

Landesdatenschutzbehörde prüft offene Newsletter-Verteiler und verhängt Bußgeld

Das Baye­ri­sche Lan­des­amt für Daten­schutz­auf­sicht (kurz BayL­DA) hat in der Ver­gan­gen­heit bereits mehr­fach über die eige­ne Web­sei­te und auf Ver­an­stal­tun­gen vor und mit Unter­neh­men auf die daten­schutz­recht­li­che … Weiterlesen

Was kostet ein externer (betrieblicher) Datenschutzbeauftragter?

By | 22. April 2016

Es kommt dar­auf an

Was kos­tet ein exter­ner Daten­schutz­be­auf­trag­ter?”, die­se Fra­ge wird desöf­te­ren per Email oder als Blog­kom­men­tar an mich her­an­ge­tra­gen.  Eine nach­voll­zieh­ba­re Fra­ge, gera­de wenn das eige­ne Unter­neh­men unter die gesetz­li­che Bestell­pflicht für einen Daten­schutz­be­auf­trag­ten fällt. Und gera­de in wirt­schaft­lich anstren­gen­den Pha­sen sind die Kos­ten ein rele­van­ter Fak­tor. Sind kei­ne wei­te­ren Anga­ben vor­han­den, dann fällt die Beant­wor­tung in etwa so leicht wie die von Fra­gen wie

  • Was kos­tet ein Auto?
  • Wie teu­er ist es, ein Haus zu bau­en?
  • Wie viel muss ich für den nächs­ten Som­mer­ur­laub bezah­len?

Die ehr­li­che Ant­wort auf die Fra­ge nach den Kos­ten für einen exter­nen Daten­schutz­be­auf­trag­ten kann in die­sem Fall nur lau­ten: “Es kommt dar­auf an!”

Auf was kommt es an?

Daten­schutz ist kein Pro­dukt von der Stan­ge, son­dern eine indi­vi­du­el­le Leis­tung maß­ge­schnei­dert auf Ihr Unter­neh­men. Jede Unter­neh­mung ver­fügt über eine eige­ne Aus­gangs­si­tua­ti­on (Sta­tus Quo wie Anzahl der Mit­ar­bei­ter, Filia­len, Betriebs­rat, Richt­li­ni­en etc.), unter­schied­li­che Res­sour­cen zur Umset­zung, eine Viel­falt an zu betrach­ten­den Fak­to­ren (bei­spiels­wei­se die unter­schied­lichs­ten IT-Lösun­gen) und ein not­wen­di­ges Schutz­ni­veau je nach Bran­che und per­so­nen­be­zo­ge­nen Daten im Unter­neh­men.

All die­se Punk­te bedeu­ten ein Mehr oder Weni­ger an Auf­wand in der Umset­zung. Sie wir­ken sich dem­nach direkt auf die ent­ste­hen­den Kos­ten aus. Umso … Weiterlesen

Wozu Big Brother Container? Waschanlage reicht!

By | 14. August 2014

Per­so­nal, aber auch Kun­den stan­den im Fokus einer aus­ge­dehn­ten Video­ü­bewa­chung der Esse­ner Auto­wasch­ket­te Mr. Wash. In 8 von 33 Filia­len wur­den 60 Kame­ras nicht rechts­kon­form betrie­ben. Das war dem NRW-Lan­des­be­auf­trag­ten für Daten­schutz ein Buß­geld in Höhe von 64.000 Euro wert, mel­det WAZ. Dabei kam der Ket­te zu Gute, sich bei den Ermitt­lun­gen im Ver­fah­ren “koope­ra­tiv” ver­hal­ten zu haben.

Inter­es­sant ist die Auf­tei­lung des Buß­gel­des. 54.000 Euro wur­den wegen des schwe­ren Ver­sto­ßes gegen das Bun­des­da­ten­schutz­ge­setz durch die Video­über­wa­chung ver­hängt. Die rest­li­chen 10.000 Euro wur­den dafür fäl­lig, bis­her kei­nen Daten­schutz­be­auf­trag­ten bestellt zu haben, obwohl die gesetz­li­che Bestell­pflicht vor­lag.

In unse­rem Daten­schutz Blog fin­den Sie einen Bei­trag zur umsich­ti­gen und rechts­kon­for­men Umset­zung einer Video­über­wa­chung.

Pla­nen Sie die Instal­la­ti­on einer Video­über­wa­chungs­an­la­ge? Haben Sie bereits eine sol­che Lösung im Ein­satz und sind sich über die Rechts­kon­for­mi­tät im Unkla­ren? Dann fra­gen Sie doch Ihren Daten­schutz­be­auf­trag­ten. Sie haben kei­nen? Spre­chen Sie uns an.… Weiterlesen

Sony wehrt sich gegen Geldstrafe wegen Hackerangriffs auf sein Playstation Network

By | 28. Januar 2013

Datenschutz Recht2011 ging das Ereig­nis als bis­her größ­te Daten­pan­ne der Geschich­te durch die Medi­en (wir berich­te­ten). Hackern gelang es, über 75 Mil­lio­nen Kun­den­da­ten aus dem Sony Netz­werk zu ent­wen­den, dar­un­ter Namen, Anmel­de­da­ten und Zah­lungs­an­ga­ben. In wei­te­ren nach­fol­gen­den Hacker-Atta­cken wur­den wei­te­re Mil­lio­nen Daten­sät­ze ent­wen­det mit teil­wei­se noch aus­führ­li­che­ren Nut­zer­an­ga­ben.

Das Kri­sen­ma­nage­ment des Kon­zern war durch­aus als sub­op­ti­mal ein­zu­stu­fen – sie­he Bericht. Auf­grund des Fir­men­sit­zes in Japan wog man sich jedoch in Sicher­heit vor der Ver­fol­gung durch die Schutz­be­hör­den. Doch damit ist nun Schluss. Was nicht nur zahl­rei­che Poli­ti­ker und Daten­schüt­zer, son­dern auch gera­de Kun­den von Sony gefor­dert haben, hat die bri­ti­sche Daten­schutz­be­hör­de nun in die Tat umge­setzt. Sie ver­häng­te eine Geld­stra­fe in Höhe von 300.000 Euro, gegen das Unter­neh­men. Begrün­dung: Wer für so vie­le sen­si­blen Daten mit Miß­brauchs­po­ten­ti­al ver­ant­wort­lich ist, muss dem Schutz die­ser Daten obers­te Prio­ri­tät ein­räu­men.

Sony hat Wider­stand gegen die Stra­fe ange­kün­digt, schließ­lich sei man “Opfer” einer kri­mi­nel­len Atta­cke gewor­den. Das Unter­neh­men blen­det dabei aus, dass es selbst erst durch Män­gel in der IT Infra­struk­tur (schwa­che Pass­wör­ter, feh­len­de Sicher­heits­patches) die Mög­lich­keit für die­se mehr­fa­chen Angrif­fe geschaf­fen hat. The­ma ver­fehlt, Sechs, set­zen!

Fra­gen Sie doch Ihren Daten­schutz­be­auf­trag­ten

Ihr Daten­schutz­be­auf­trag­ter muss kein IT Pro­fi sein. Er wird jedoch … Weiterlesen

Rekordstrafe” für Datenschutzverstoß von Google

By | 13. August 2012

Die letz­ten Tage wur­de oft über eine Rekord­stra­fe für Goog­le auf­grund eines Daten­schutz­ver­sto­ßes berich­tet. Dem Kon­zern wur­de vor­ge­wor­fen, einen Schutz­me­cha­nis­mus in App­les Brow­ser Safa­ri bewußt umge­gan­gen zu haben. Damit konn­te trotz einer mög­li­chen ande­ren Ein­stel­lung des Nut­zers die­ser durch den Kon­zern den­noch getrackt wer­den. Dafür wur­de Goog­le nun in den USA zur Zah­lung von 22,5 Mil­lio­nen Dol­lar (ca. 18,3 Mil­lio­nen Euro) ver­don­nert. Das klingt erst mal viel, gera­de wenn man die in Deutsch­land ver­häng­ten Buß­gel­der betrach­tet. In Anbe­tracht eines Gewinns von 2,8 Mil­li­ar­den Dol­lar allei­ne von April bis Juni 2012 ist die­ser Betrag wenig rekord­ver­däch­tig.… Weiterlesen

Irrtümer im Datenschutz (Teil 2): Ein Datenschutzbeauftragter ist zu teuer und daher kann auf die Bestellung verzichtet werden

By | 12. Juli 2012

Irr­tü­mer im Daten­schutz (Teil 2)

Wei­ter geht es mit dem zwei­ten Teil der Serie “Irr­tü­mer im Daten­schutz”. Nicht aus­zu­rot­ten ist ein Gerücht, auf das ich im Rah­men von zahl­rei­chen Bera­tungs­ge­sprä­chen immer wie­der sto­ße. Hier wird argu­men­tiert, auf die Bestel­lung eines gesetz­lich vor­ge­schrie­be­nen Daten­schutz­be­auf­trag­ten kann ver­zich­tet wer­den, wenn die dafür anfal­len­den Kos­ten für das Unter­neh­men nicht zumut­bar sind.

Was sagt das Bun­des­da­ten­schutz­ge­setz (BDSG) dazu?

Die gesetz­li­che Bestell­pflicht für einen Daten­schutz­be­auf­trag­ten regelt § 4f Absatz 1 Beauf­trag­ter für den Daten­schutz BDSG.

(1) Öffent­li­che und nicht-öffent­li­che Stel­len, die per­so­nen­be­zo­ge­ne Daten auto­ma­ti­siert ver­ar­bei­ten, haben einen Beauf­trag­ten für den Daten­schutz schrift­lich zu bestel­len. Nicht-öffent­li­che Stel­len sind hier­zu spä­tes­tens inner­halb eines Monats nach Auf­nah­me ihrer Tätig­keit ver­pflich­tet.

Wei­ter führt § 4f BDSG aus

Die Sät­ze 1 und 2 gel­ten nicht für die nicht­öf­fent­li­chen Stel­len, die in der Regel höchs­tens neun Per­so­nen stän­dig mit der auto­ma­ti­sier­ten Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten beschäf­ti­gen.

Damit ist klar defi­niert: Unter­neh­men mit mehr als 9 Mit­ar­bei­tern, die mit­tels EDV mit per­so­nen­be­zo­ge­nen Daten zu tun haben, sind gesetz­lich zur Bestel­lung eines Daten­schutz­be­auf­trag­ten ver­pflich­tet – und zwar bis spä­tes­tens 4 Wochen nach Auf­nah­me der Geschäfts­tä­tig­keit.

Zumut­bar­keit?

Von einer Zumut­bar­keit ist an die­ser Stel­le nicht die Rede. Im Gegen­teil! § 4f Absatz 1 BDSG führt sogar … Weiterlesen

Irrtümer im Datenschutz (Teil 1): Datenschutz betrifft mein Unternehmen nicht

By | 12. Juli 2012

Irr­tü­mer im Daten­schutz

Will­kom­men zum ers­ten Teil unse­rer Serie “Irr­tü­mer im Daten­schutz”. Daten­schutz ist in aller Mun­de, doch kaum jemand kennt das dahin­ter­ste­hen­de Bun­des­da­ten­schutz­ge­setz (BDSG). Dabei ist das Daten­schutz­ge­setz auf Bun­des­ebe­ne nicht mehr das Jüngs­te, exis­tiert es doch bereits seit 1977.

Erstaun­li­cher­wei­se herrscht über das The­ma Daten­schutz in der Pra­xis meist ein risi­ko­rei­ches Halb­wis­sen. Die Exis­tenz oder die Inhal­te des BDSG sind sel­ten kon­kret bekannt, Auf­klä­rung sei­tens des Gesetz­ge­bers zu die­sem The­ma erfolgt bedau­er­li­cher­wei­se eben­falls kei­ne. Unter­neh­men und Unter­neh­mer sind auf sich allei­ne gestellt, wenn es um die recht­li­che Aus­ein­an­der­set­zung mit dem The­ma Daten­schutz und des­sen kon­kre­te (vor­ge­schrie­be­nen) Maß­nah­men im Betrieb geht. Was Wun­der, wenn Daten­schutz im Tages­ge­schäft einen gerin­gen Stel­len­wert ein­nimmt.

Es kann teu­er wer­den

Im Jahr 2009  hat der Gesetz­ge­ber die Stra­fen und Sank­tio­nen für Nicht­ein­hal­tung der gesetz­li­chen Daten­schutz­vor­schrif­ten durch Unter­neh­men ver­schärft. Kon­kret wer­den die­se in § 43 BDSG Buß­geld­vor­schrif­ten und § 44 BDSG Straf­vor­schrif­ten ähn­lich dem aus der Stra­ßen­ver­kehrs­ord­nung bekann­ten Buß­geld­ka­ta­log auf­ge­lis­tet. Neben Auf­la­gen durch die Lan­des­da­ten­schutz­be­hör­den kön­nen Unter­neh­mer und Unter­neh­men schnell einem Buß­gel­dri­si­ko von bis zu 300.000 Euro aus­ge­setzt sein – und das sogar ganz ohne Daten­pan­ne. Unwis­sen­heit schützt auch hier vor Stra­fe nicht.

Daten­schutz und Daten­schutz­ge­setz betref­fen mein Unter­neh­men über­haupt nicht”

Weit … Weiterlesen

Auftragsdatenverarbeitung – Definition, Beispiele, Massnahmen, Risiken (Update)

By | 16. März 2012

Auf­trags­da­ten­ver­ar­bei­tung, das Aus­la­gern von Daten­ver­ar­bei­tungs­pro­zes­sen durch den Auf­trag­ge­ber auf exter­ne Dienst­leis­ter, ist ein häu­fi­ges Mit­tel zur Kos­ten­sen­kung und der Nut­zung von exter­nem Know How – Stich­wort “Out­sour­cing”. Sind hier­von per­so­nen­be­zo­ge­ne Daten betrof­fen, fin­det § 11 “Erhe­bung, Ver­ar­bei­tung oder Nut­zung per­so­nen­be­zo­ge­ner Daten im Auf­trag” BDSG (Bun­des­da­ten­schutz­ge­setz) Anwen­dung.

Schnell kommt es bei der Ein­schät­zung, ob eine Auf­trags­da­ten­ver­ar­bei­tung vor­liegt, zu Miß­ver­ständ­nis­sen und der Auf­trag­ge­ber läuft Gefahr, gemäß § 43 BDSG mit Geld­bu­ßen bis 50.000 € durch die Daten­schutz­be­hör­den belegt zu wer­den. Von Image­schä­den in der Öffent­lich­keits­wahr­neh­mung nicht zu reden. Eine sorg­fäl­ti­ge Prü­fung durch einen Bera­ter für Daten­schutz oder einen Daten­schutz­be­auf­trag­ten hilft, die­se Risi­ken zu mini­mie­ren und die not­wen­di­gen Rege­lun­gen umzu­set­zen.

 

Fol­gen­de Kri­te­ri­en (Aus­wahl) unter­stüt­zen die Bewer­tung über das Vor­lie­gen einer Auf­trags­da­ten­ver­ar­bei­tung:

  • Dem Auf­trag­neh­mer fehlt die Ent­schei­dungs­be­fug­nis über die über­mit­tel­ten Daten.
  • Dem Auf­trag­neh­mer ist die Nut­zung der über­las­se­nen Daten über den eigent­li­chen Über­las­sungs­zweck hin­aus ver­bo­ten.
  • Der Auf­trag­neh­mer nutzt nur die ihm über­las­se­nen Daten.
  • Die Daten­ver­ar­bei­tung wird nach außen durch den Auf­trag­ge­ber ver­tre­ten.
  • Der Auf­trag­neh­mer steht in kei­ner ver­trag­li­chen Bezie­hung zu den Betrof­fe­nen der per­so­nen­be­zo­ge­nen Daten.

 

Eini­ge prak­ti­sche Bei­spie­le von Auf­trags­da­ten­ver­ar­bei­tung:Weiterlesen

Kein Datenschutz aus Kostengründen? Das muss nicht sein

By | 5. Januar 2012

Ein Exper­te der IHK Regens­burg für Oberpfalz/Kelheim äußert sich aktu­ell fol­gen­der­ma­ßen: „Gera­de für klei­ne­re Betrie­be ist es ver­mut­lich schwie­rig, auch die ent­spre­chen­den finan­zi­el­len Mit­tel für den Daten­schutz auf­zu­brin­gen, um immer alle Bestim­mun­gen ein­zu­hal­ten.“  Der Daten­schutz­be­auf­trag­te der IHK für Nie­der­bay­ern in Pas­sau schiebt nach: „Bei vie­len Unter­neh­men besteht eine erheb­li­che Rechts­un­si­cher­heit, wie sie mit den Daten ihrer Kun­den umge­hen sol­len.“

Kein Daten­schutz aus Kos­ten­grün­den oder Unsi­cher­heit? Das muss nicht sein!

Der Gesetz­ge­ber unter­stützt

Mit § 4f BDSG (Bun­des­da­ten­schutz­ge­setz) schreibt der Gesetz­ge­ber die Vor­aus­set­zun­gen für die gesetz­li­che Bestell­pflicht eines Daten­schutz­be­auf­trag­ten vor. Wohl wis­send, dass ein inter­ner Daten­schutz­be­auf­trag­ter für vie­le mit­tel­stän­di­sche Betrie­be kei­ne Ide­al­lö­sung ist (erwei­ter­ter Kün­di­gungs­schutz, man­geln­de Kos­ten­trans­pa­renz und Kon­trol­le, sie­he die­sen Bei­trag), bie­tet das BDSG auch gleich in Absatz 2 die pas­sen­de Lösung an – “Zum Beauf­trag­ten für den Daten­schutz kann auch eine Per­son außer­halb der ver­ant­wort­li­chen Stel­le bestellt wer­den.”

Vie­le Vor­tei­le spre­chen für Out­sour­cing

Wer die Vor- und Nach­tei­le des Ein­sat­zes eines inter­nen oder exter­nen Daten­schutz­be­auf­trag­ten gegen­über­stellt, wird die unter­neh­me­ri­schen und zahl­rei­chen Vor­tei­le der exter­nen Bestell­mög­lich­keit für einen Daten­schutz­be­auf­trag­ten klar erken­nen. Bei­spiel­haft sei­en hier kurz ange­führt

  • Vol­le Kos­ten­kon­trol­le und Trans­pa­renz
  • Weg­fall des erwei­ter­ten Kün­di­gungs­schut­zes
  • Über­grei­fen­des, inter­dis­zi­pli­nä­res Bran­chen-Know-How des exter­nen Spe­zia­lis­ten
  • Weg­fall der inter­nen Kos­ten für Grund­aus­bil­dung, Fort- und Wei­ter­bil­dung,
Weiterlesen

Easycash GmbH zahlt 60000 Euro Bußgeld

By | 22. September 2011

Die Easy­cash GmbH zahl­te für die unbe­rech­tig­te Wei­ter­ga­be von Kon­to­da­ten – sie­he “Easy­cash sam­melt Daten von EC-Kar­ten­in­ha­bern zwecks Bewer­tung der Zah­lungs­fä­hig­keit” und “Ham­bur­ger Daten­schüt­zer stellt Straf­an­trag gegen easy­cash Loyal­ty Solu­ti­ons” – ein Buß­geld in Höhe von 60.000 Euro.

Der zustän­di­ge Daten­schutz­be­auf­trag­te von Nord­rhein-West­fa­len, Ulrich Lep­per kom­men­tiert sein Vor­ge­hen: “Wer Zah­lungs­vor­gän­ge qua­si als Treu­hän­der für Ein­zel­han­dels­un­ter­neh­men abwi­ckelt, muss beson­ders sorg­fäl­tig mit die­sen Daten umge­hen. Er darf so sen­si­ble Daten über Zah­lungs­ver­hal­ten und Kon­to­ver­bin­dun­gen, die durch­aus auch Pro­fil­bil­dun­gen erlau­ben wür­den, nicht für ande­re Zwe­cke an Drit­te über­mit­teln. Des­we­gen muss­te ich hier ein­schrei­ten.”

Die Daten hat­te Easy­cash an die in Ham­burg ansäs­sige Fir­ma easy­cash Loy­alty Solu­ti­ons als Schwes­ter­un­ter­neh­men ver­mit­telt, das Kun­den- und Bonus­pro­gram­me anbie­tet, und die Daten sta­tis­tisch aus­wer­te­te. Easy­cash wickelt im Auf­trag von Ein­zel­händ­lern EC-Kar­ten­zah­lun­gen ab und ver­fügt dar­aus über zahl­rei­che Daten­sät­ze über Kar­ten­zah­lungs­vor­gän­ge. An das Schwes­ter­un­ter­neh­men gab Easy­cash die Daten von rund 400.000 Zah­lungs­vor­gän­gen wei­ter.

Nach Anga­ben von Lep­per zeig­te sich Easy­cash ein­sich­tig und koope­ra­tiv. Das Buß­geld sei bereits bezahlt.

Quel­len:

Hilf­rei­che Daten­schutz-Links

  • Wol­len Sie die Risi­ken aus dem Bun­des­da­ten­schutz­ge­setz für Ihr Unter­neh­men mini­mie­ren? Eine pas­sen­de Lösung fin­den Sie sicher in unse­rem Leis­tungs­an­ge­bot.
  • Unsi­cher, ob für Ihr Unter­neh­men die gesetz­li­che
Weiterlesen