Datenschutz Steinfurt

Crashkurs: Datenschutzrechtliche Einwilligung

Wann braucht man eine Einwilligung – Datenschutz Steinfurt gibt Tipps

Die Datenschutzgrundverordnung ist nun schon seit einiger Zeit in Kraft. In meiner täglichen Praxis als Datenschutzbeauftragte – auch für Unternehmen im Kreis Steinfurt – stelle ich oft fest, dass in vielen Unternehmen noch intensiv an der Umsetzung der DSGVO gearbeitet wird. Vieles ist auf dem Weg und an einigen Stellen herrscht nach wie vor Unklarheit. Gerade die datenschutzrechtliche Einwilligung sorgt in der Praxis für große Unsicherheit.

Nach wie vor habe ich das Gefühl überall in irgendetwas „einwilligen“ zu müssen. Das geht schon los mit Kontaktformularen im Web, die erst verschickt werden, wenn man anhakt, dass man in die  Verarbeitung der Daten einwilligt bis hin zur Generaleinwilligung für den Arzt, der die Behandlung nur durchführt, wenn man den Zettel unterschreibt. Ich habe oft den Eindruck, Verantwortliche wissen gar nicht so genau, wann eine Einwilligung wirklich erforderlich ist und wann nicht. Gehandelt wird da lieber nach dem Gießkannen-Prinzip : Was man hat, das hat man.

Doch gerade bei der datenschutzrechtlichen Einwilligung hilft viel nicht unbedingt viel. Ganz im Gegenteil: Einwilligungen die neben einer gesetzlich vorhandenen Legitimation eingeholt werden, können sich unter Umständen sogar schädlich auswirklich. Hinzu kommt, dass für die Gültigkeit einer Einwilligung ganz bestimmte Voraussetzungen erfüllt sein müssen.

Heute werde ich einmal beleuchten, wann eine Einwilligung wirklich erforderlich ist und wann lieber darauf verzichtet werden sollte.

Datenverarbeitung erfordert Rechtsgrundlage

Möchte man als Unternehmer personenbezogene Daten verarbeiten, braucht es eine Rechtsgrundlage. Hier hilft ein Blick ins Gesetz. Art. 6 Abs. I führt verschiedene Erlaubnistatbestände auf. Art. 9 spezifiziert die Rechtfertigungsgründe noch mal für „besondere Verarbeitungskategorien“ – dazu aber später mehr.

Blöderweise steht die „Einwilligung“ in Art. 6 an erster Stelle. Man könnte also auf die Idee kommen, dass das Instrument der Einwilligung besonders wichtig sei. Doch in unserer täglichen Praxis als Datenschutzbeauftragter spielt die Einwilligung eher eine untergeordnete Rolle.Weitaus wichtigere gesetzliche Legitimationen sind:

Datenverarbeitung aufgrund eines Vertrages oder vorvertraglicher Maßnahmen

Wir von Datenschutz Steinfurt finden, dass Fallkonstellationen die Thematik am besten veranschaulichen. Darum hier einmal folgendes Beispiel: Mal angenommen, Sie haben einen Fahrradladen, eine Boutique, einen Heimwerkerbedarfsladen etc. Ein Kunde kommt rein und kauft etwas. Bezahlen möchte er mit EC-Cash. Brauchen Sie hier eine Einwilligung, um seine Zahlungsdaten zu verarbeiten? Nein – die Datenverarbeitung für den Verkauf und die Zahlungsabwicklung ist erlaubt, weil Sie mit dem Kunden einen Kaufvertrag geschlossen haben. In Ihrem Verarbeitungsverzeichnis könnte so ein Prozess z. B. als „Verkauf mit bargeldloser Zahlung“ auftauchen. Auf einem ganz anderen Blatt steht in diesem Zusammenhang jedoch, dass Sie als Unternehmer Informationspflichten gegenüber dem Kunden haben, der bargeldlos bezahlen möchte. Dazu in einem Artikel, der sich mit den Informationspflichten der DSGVO beschäftigt, mehr.

Gleiches Szenario, nur dass es nun um Dienstleistung geht: Sie sind z. B. Heizungs-Sanitär-Unternehmer, Elektroinstallateur oder Dachdecker. Der Kunde ruft an, und bestellt ihren Service. Auch hier benötigen Sie natürlich keine Einwilligung, da Sie ja auch aus Vertrag tätig werden. Nur, dass es hier eben kein Kaufvertrag ist, sondern ein Werkvertrag nach § 631 BGB. Nun möchte ein Interessent noch nicht direkt kaufen oder einen Auftrag erteilen, sondern er bittet erst mal um ein Angebot. Selbstverständlich dürfen Sie dann seine Daten verarbeiten, die für die Zusendung und Erstellung des Angebots erforderlich sind. Das sind sog. vorvertragliche Tätigkeiten, die ebenfalls über Art. 6 Abs. 1 lit. b) erlaubt sind.

Einwilligung erforderlich bei Werbung?

Werbung, Newsletter, aktuelle Infos und Aktionen – Tipps von Datenschutz Steinfurt

Datenschutz Steinfurt gibt Tipps zur datenschutzrechtlichen Einwilligung

Nun möchten Sie vielleicht hin oder wieder Werbung verschicken. Hier ist folgende Unterscheidung zu treffen:

Mal angenommen, Sie möchten ausschließlich (und absolut sicher!) nur Personen anschreiben, die innerhalb der letzten 3 Jahre etwas bei Ihnen gekauft haben – das wären dann also aktive Kunden. Bei Bestandskunden wird davon ausgegangen, dass diese ein mutmaßliches Interesse an Informationen zu Ihren Produkten haben. Beispiel: Sie als Fahrradhändler bewerben das neueste Mountainbike mit Carbonrahmen und Druckluftfederung zum Sonderpreis. Dazu schreiben Sie alle Personen an, die in den letzten 3 Jahren bei Ihnen ein Fahrrad gekauft haben.

In so einem Fall benötigt das werbende Unternehmen keine explizite Einwilligung. E-Mail-Werbung an Bestandskunden ist ohne ausdrückliche Einwilligung zulässig, sofern die Voraussetzungen des § 7 Absatz 3 UWG erfüllt sind. Unternehmen haben ein anerkanntes (berechtigtes) Interesse an Direktwerbung. Das Oberlandesgericht München hatte ein Urteil in einem Fall zu sprechen, in dem sich der Kläger gegen Werbung eines Partnerportals wehren wollte. Die Richter urteilten wie folgt: „Unter den Voraussetzungen des § 7 Abs. 3 UWG sei nicht von einer unangemessenen Beeinträchtigung des Empfängers einer E-Mail auszugehen und diese daher hinzunehmen.“ Das gesamte Urteil finden Sie hier: http://www.gesetze-bayern.de/Content/Document/Y-300-Z-BECKRS-B-2018-N-7250 .

Vorsicht ist allerdings geboten, wenn es sich bei den angeschriebenen Personen eben nicht um aktive Kunden handelt (also vielleicht Kunden die schon sehr lange nichts mehr bei Ihnen gekauft haben), Interessenten, sich nur einmal von Ihnen haben beraten lassen oder selbst recherchierte, zugekaufte oder gemietete Adressen. In diesen Fällen muss eine datenschutzrechtliche Einwilligung vorliegen (die nach Art. 6 Abs. 1 lit. a).

Kreative Unternehmen lösen das Problem, indem Sie ihren Kunden und Interessen die kostenlose Mitgliedschaft in ihrem Kundenclub anbieten :-).  Kundenclub-Mitglieder werden von der Rechtsprechung als „Bestandskunden“ angesehen und dürfen ohne Einwilligung Werbung erhalten.

Datenschutz Steinfurt empfiehlt darum:

Bei Werbemaßnahmen muss für den konkreten Fall geprüft werden, ob Einwilligungen erforderlich sind oder nicht.

Einwilligung erforderlich bei sensiblen Daten?

Sie möchten besondere Datenkategorien verarbeiten? Dann kann es anders aussehen!

Datenschutz Steinfurt gibt Tipps für die Einwilligung bei Speicherung "besonderer Daten"Gestalten wir den Fall nun ein wenig anders. Sie sind Inhaberin eines Friseursalons oder Kosmetikstudios. Auf Kundenkarten notieren Sie nicht nur den Namen und die Kontaktdaten des Kunden, sondern Sie haben auch vermerkt, ob die Person bestimmte Allergien hat – da Sie diese Information ja benötigen, um Unfälle beim Färben oder in der kosmetischen Behandlung zu vermeiden.

Damit verarbeiten Sie streng genommen schon besondere Kategorien von Daten (nämlich Gesundheitsdaten). Deren Verarbeitung ist nach Art. 9 Abs. 1 verboten. Die erforderliche Legitimation ergibt sich auch nicht aus Art. 9 Abs. 2 lit. h), da Sie als Friseurin oder Kosmetikerin nicht Angehörige eines Heilberufes sind. Jetzt kommt die datenschutzrechtliche Einwilligung ins Spiel. Sobald Sie die Information zu einer bestehenden Allergie in Ihrem System hinterlegen möchten, benötigen Sie von dem Kunden eine wirksame Einwilligung (und zwar in diesem Fall die Einwilligung nach Art. 9 Abs. 2 lit.a)). Welche Anforderungen eine Einwilligung erfüllen muss, werde ich in einem weiteren Beitrag erläutern.

Aber die DSGVO schützt doch nur Dokumente, die im EDV-System gespeichert werden?!

Bei der Lektüre von Art. 2 DSGVO könnten nun findige Leute auf die Idee kommen, dass Papierdokumente nicht von der DSGVO erfasst sind. Doch bevor Sie vor Freude in die Hände klatschen, lesen Sie bitte auch den Erwägungsgrund 15. Darin wird ausdrücklich gesagt, dass es völlig egal ist, wie die personenbezogenen Daten gespeichert werden. Sie sind schützenswert und damit basta. Das bedeutet auch, dass Sie die Daten technisch und organisatorisch vor unberechtigtem Zugriff schützen müssen. Für die Karteikartenbox im Friseurladen heisst das z. B. dass die Karteikarten nicht einfach nur im Regal für jeden zugänglich stehen dürfen, sondern, dass die Box beispielsweise abschließbar ist oder in einem abschließbaren Schrank steht.

Datenschutz Steinfurt empfiehlt darum:

Sobald Sie besonders sensible Daten speichern und verarbeiten, benötigen Sie eine Einwilligung (die Sie auch nachweisen können sollten), darum lassen Sie sich die Einwilligung am besten schriftlich erteilen. Eine Kopie geht an den Kunden, eine kommt in Ihren Datenschutzordner.

Einwilligung erforderlich bei Datenweitergabe an Dritte?

Datenschutz Steinfurt gibt Tipps zur Datenweitergabe an DritteWie verhalten Sie sich, wenn Sie zur Auftragserfüllung Hilfe von Dritten benötigen?

In unserer heutigen arbeitsteiligen Wirtschaft ist es oft so, dass Sie eine Dienstleistung nicht komplett allein erbringen können. Stellen wir uns einfach einmal vor, Sie sind Architekt und sollen für einen Kunden ein Haus bauen. Typischerweise steht der Architekt nicht selbst auf der Baustelle und mauert, betoniert und schreinert. Vielmehr werden Spezialunternehmen mit den jeweiligen Gewerken beauftragt.

Wenn es darum geht, die personenbezogenen Daten Ihres Kunden an Firmen weiterzugeben, die zur Vertragserfüllung erforderlich sind, ist das aus Art. 6 Abs. 1 lit. b) „Vertragserfüllung“ erlaubt. Die Weitergabe steht dann im Interesse des Kunden. Eine gesonderte Einwilligung benötigen Sie nicht! Allerdings gehört ein Hinweis in Ihre Datenschutzerklärung, dass die personenbezogenen Daten des Kunden eben in bestimmten Fällen an ausführende Unternehmen weitergegeben werden. Dazu aber auch an anderer Stelle mehr.

Oder nehmen wir exemplarisch einmal den IT-Service: Gerade kleinere Unternehmen lagern das Thema IT komplett an einen Dienstleister aus. Dieser richtet Rechner ein, verwaltet die Benutzerrechte im Netzwerk, sorgt für Sicherheit und kümmert sich um Backups – kurz: der externe Dienstleister hat Vollrechte im Netzwerk. Während solcher Arbeiten ist es zumindest sehr wahrscheinlich, dass dem Dienstleister auch personenbezogene Daten bekannt werden können. Dabei kann es sich um Usernamen und Loginzeiten Ihrer Mitarbeiter handeln oder einfach nur um Adresslisten Ihrer Kunden, die sich auf der Festplatte befinden. Für die Einbindung eines solchen Dienstleisters gelten die Grundsätze der Auftragsverarbeitung – dazu auch an anderer Stelle mehr. Doch benötigen Sie eine Einwilligung Ihrer Mitarbeiter / Kunden, dass der Dienstleister an den Rechner darf?

Nein! Natürlich nicht. Sie als Unternehmer haben ein berechtigtes Interesse daran, dass Ihre Technik stabil und sicher läuft. Die Erlaubnis findet sich dazu in Art. 6 Abs. 1 lit.f) DSGVO. Ein berechtigtes Interesse besteht u. a. auch dann, wenn Sie Daten an Ihren Steuerberater weitergeben müssen.

 

Datenschutz Steinfurt empfiehlt:

Datenweitergabe an Dritte ist erlaubt, wenn sie auftragsbezogen und im Interesse des Kunden erfolgt.

 

Einwilligung erforderlich bei zweckfremder Datenweitergabe

Geschäftsmodell Adressverkauf

Nun stellen wir uns weiterhin vor, der findige Unternehmer hat die gute Idee, nicht nur seine Produkte und Dienstleistungen gewinnbringend zu vermarkten, sondern zusätzlich aus seinen vorhandenen qualifizierten Kundendaten Profit zu schlagen. Die Überlegung ist, das qualifizierte Adressmaterial – angereichert mit Informationen, wofür sich die Person genau interessiert und eventuell gar mit einer Kaufkrafteinschätzung an einen Adresshandel zu verkaufen. Sie ahnen es sicher schon: Das entspricht natürlich keinesfalls dem Interesse des Kunden und ist somit grundsätzlich verboten. Ein solches Geschäftsmodell setzt die Einwilligung zur Datenweitergabe voraus.

 

Datenschutz Steinfurt empfiehlt:

 Sie benötigen eine Einwilligung, wenn Sie die Daten für andere, weitergehende Zwecke weitergeben möchten.

Einwilligung erforderlich für die Website?

Einwilligung erforderlich beim Absenden des Kontaktformulars?

Beim Ausfüllen und Absenden eines Kontaktformulars auf einer Website werden naturgemäß personenbezogene Daten übertragen. Einerseits sind das die durch den Nutzer eingetragenen Daten im Formular (also z. B. Name, Vorname, Email, Telefonnummer und Anliegen) andererseits werden auch sogenannte Session-Daten übertragen. Das sind z. B. Informationen zum Browser, zum verwendeten Betriebssystem, Uhrzeit der Anfrage und IP-Adresse. Hier stellt sich häufig die Frage, ob für das bloße Absenden des Kontaktformulars eine Einwilligung erforderlich ist.

Auch in so einem Fall empfiehlt sich, das Kontaktformular im Einzelfall anzuschauen. Ergibt die Prüfung, dass es in erster Linie darum geht vorvertragliche Fragen zu klären ergibt sich die Legitimation aus Art. 6 Abs. 1 lit. b). Ein weiterer Aspekt ist auch, dass Unternehmer natürlich ein berechtigtes Interesse daran haben, Anfragen potentieller Kunden schneller als der Wettbewerb zu beantworten und darum diesen Kommunikationskanal anbieten. Damit liegt eine Legitmation aus Art. 6 Abs. 1 lit. f) vor. Darüber hinaus kann das Unternehmen sogar rechtlich dazu verpflichtet sein, Kontaktanfragen über ein Webformular anzubieten. Dies ist z. B. der Fall wenn es um Anfragen zum Datenschutz geht. In diesem Fall ist die Erlaubnisnorm Art. 6 Abs. 1 lit. c).

Datenschutz Steinfurt empfiehlt darum:

Wird das Kontaktformular abgeschickt

  • für vorvertragliche oder vertragliche Anfragen,
  • zur Erfüllung einer rechtlichen Pflicht oder
  • aus berechtigtem Interesse des Unternehmers

brauchen Sie keine Einwilligung. Die Zwangscheckbox kann also weg. Gut und sinnvoll ist es allerdings, dem Kunden vor dem Absenden des Formulars die Möglichkeit zu geben, in Ihre Datenschutzerklärung zu schauen. Ein Deep-Link bietet sich vor dem Absenden-Button darum an.

 

Anders ist es aber beim Newsletterversand!

Anders sieht es aus, wenn Sie die Daten auch für einen Newsletter verarbeiten möchten. Dann ist es erforderlich den Kunden explizit zu fragen, ob er zukünftig den Newsletter erhalten möchte. Diese Checkbox darf auch nicht vor ausgefüllt sein und das Verarbeiten des Formulars darf nicht davon abhängig sein, dass das Kästchen angehakt ist. Sie lassen sich dann einen Einwilligung zum Newsletterempfang geben – die Sie nach Möglichkeit auch dokumentieren.

 

Analyse von Websitedaten

Möchten Sie das Nutzungsverhalten Ihrer Websitebesucher näher untersuchen und auswerten ist es sehr beliebt, dies z. B über Tools wie Google Analytics oder den Facebook-Pixel zu machen. Beliebt sind auch Trackingtools und Cookies. Dabei entstehen oft Mehrfachprobleme:Datenschutz-Steinfurt_Besucheranalyse und Datenschutz

  • personenbezogene Daten (in der Regel die IP-Adresse des Nutzers) werden ungefragt an ein drittes Unternehmen weitergegeben
  • diese Daten landen dann häufig auf Servern außerhalb der Europäischen Union – in einem sogenannten Drittland.

Ein weiterer ausführlicher Artikel wird sich mit diesem Thema beschäftigen. Hier sei an dieser Stelle nur gesagt, dass Sie für den Einsatz von Analyse- und Trackingtools auf Ihrer Website eine Einwilligung des Nutzers benötigen, es sei denn, Sie nutzen anonymisierte Webanalyse-Tools. Damit ist z. B. gemeint, eine IP-Adresse soweit zu maskieren, dass kein Rückschluss mehr auf eine konkrete Person mehr erfolgen werden kann. Google-Analytics z. B. verfügt über eine solche Möglichkeit, so dass der Einsatz des Tools im anonymisierten Modus dsgvo-konform möglich ist.

Zum Thema Cookies hat der EuGH jüngst ein Urteil veröffentlicht, in dem klargestellt wird, dass auch für die Verwendung von Cookies die aktive Einwilligung des Nutzers erforderlich ist. Das Besondere am Urteil der Richter ist, dass es unerheblich ist, ob im Cookie personenbezogene Daten gespeichert werden oder nicht. Es wird lediglich darauf abgestellt, dass das Setzen von Cookies ein Eingriff in die allgemeinen Persönlichkeitsrechte ist und damit zustimmungspflichtig. Die Pressemitteilung des EuGH zu dieser Rechtssache verlinke ich Ihnen hier.

Wie und mit welchen Tools Sie einen Cookie-Banner in Ihre Website einbauen, werde ich ebenfalls in einem der folgenden Artikel erläutern.

Einwilligung erforderlich bei Datenweitergabe durch Ärzte, Apotheker und Therapeuten?

Datenschutz bei Ärzten, Apotheken und Therapeuten

Für Angehöriger medizinischer Berufe gelten einige Besonderheiten, auf die wir ebenfalls nochmal in einem gesonderten Beitrag eingehen werden. An dieser Stelle sei schon einmal folgendes gesagt:

Wenn Sie Angehöriger der o.g. Berufsgruppen sind, dann ist Ihre Erlaubnisnorm Art. 9 Abs. 2 lit. h). D. h. Daten von Patienten und den zugehörigen Befunden dürfen Sie zunächst einmal in Ihrem IT-System speichern und verarbeiten. Absoluter Quatsch ist es, die Behandlungsdienstleistung von der Einwilligung des Patienten abhängig zu machen. Das ist weder erforderlich noch im Interesse des Behandelnden.

Anders sieht es aus, wenn Sie Patientendaten weitergeben möchten. Das kann z. B. dann der Fall sein, wenn Sie mit einem Spezialkollegen die weitere Therapie absprechen möchten oder Informationen statt an den Patienten direkt an Angehörige geben wollen. Dann greift eher nicht der Datenschutz. Vielmehr ist es Berufsgeheimnisträgern nach § 203 StGB (Strafgesetzbuch) verboten, sensible Daten an Dritte weiterzugeben.  § 203 StGB stellt die Verletzung der Schweigepflicht sogar unter Strafe.

Möchten Sie als Arzt, Apotheker, Psychologe oder sonstiger Angehöriger eines Gesundheitsberufes Patientendaten weitergeben (z. B. an Angehörige), dann benötigen Sie eine Einwilligung zur Weitergabe der Daten (nach Art. 9 Abs. 2 lit. a) ) und die Entbindung von der Schweigepflicht.

 

Was, wenn weitere Unternehmen mit bestimmten Tätigkeiten beauftragt werden sollen?

Auch Praxen und Apotheken bündeln ihre Kompetenzen aus Effizienz- und Kostengründen und lagern Arbeiten an Dienstleister aus. Das kann z. B. ein Clouddienst zum Speichern von Patientenakten sein oder ein IT-Dienstleister, der umfassende Rechte im IT-System der Arztpraxis benötigt. Der neu gefasste § 203 StGB definiert in Absatz 4 einige Tatbestände, die dies ermöglichen, sofern bestimmte Voraussetzungen erfüllt sind. Auch hierzu wird es noch einen speziellen Artikel geben – wenden Sie sich bei Fragen einfach telefonisch an uns. Eine Einwilligung des Patienten ist hierfür jedenfalls nicht erforderlich.

Datenverarbeitung auf Basis der Einwilligung ist eher problematisch

Einwilligung nur im Ausnahmefall anwenden!

Das Instrument der datenschutzrechtlichen Einwilligung ist gleich aus mehreren Gründen mit Vorsicht zu genießen:

  1. Eine Einwilligung muss ganz bestimmte, strenge Anforderungen erfüllen, um gültig zu sein:
    Sie muss z. B. freiwillig erteilt werden, einfach formuliert sein, und über die Zwecke der Datenverarbeitung ganz konkret informieren. Wie das aussehen muss und was los ist, wenn die Einwilligung die Bedingungen nicht erfüllt werde ich gesondert ausführen.
  2. Einwilligungen im Beschäftigendatenschutz müssen noch strengere Voraussetzungen erfüllen:
    Dazu im Spezialartikel über die Voraussetzungen für eine wirksame Einwilligung Genaueres.
  3. Es gilt ein Kopplungsverbot hinsichtlich datenschutzrechtlicher Einwilligung und Leistungserbringung:
    auch dazu an anderer Stelle mehr
  4. Eine einmal erteilte Einwilligung kann jederzeit vom Kunden widerrufen werden:
    Stellen Sie sich nur mal vor, Sie sind Inhaberin eines Yoga-Studios, und möchten Laufzeitverträge mit Ihren Kunden schließen. Weil Sie dachten, dass es ab jetzt nötig sei, Einwilligung zu haben, wenn Sie Daten von Kunden verarbeiten wollen, haben Sie von Ihren Kunden eben jeweils eine Einwilligung zur Datenverarbeitung eingeholt. Clevere Kunden könnten nun auf die Idee kommen, fristlos vor Ablauf der Vertragsdauer zu kündigen, indem sie der weiteren Datenverarbeitung widersprechen.

 

Datenschutz Steinfurt empfiehlt darum:

Ein Rückgriff auf den gesetzlichen Tatbestand ist ausgeschlossen. Heißt auf Deutsch: Wenn die Einwilligung widerrufen wird, können Sie als Unternehmer nicht argumentieren: „Wir haben doch einen Vertrag!“. Darum sollten Sie immer dort, wo es eine vertragliche Grundlage für die Datenverarbeitung gibt, auf keinen Fall zusätzlich noch eine Einwilligung holen!

Hier kommt noch ein besonderer Praxistipp von Ihrer Datenschutzbeauftragten: Formulierungen folgender Art sollten Sie in Ihren Verträgen und Formularen suchen und am besten entfernen:

  • „Ich stimme der Verarbeitung meiner Daten im Rahme der Kundenbeziehung zu“
  • „Ich stimme der Datenschutzerklärung und den AGB zu“
  • „Ich stimme der Datenverarbeitung zu Zwecken der Begründung und Durchführung des Beschäftigungsverhältnisses zu“.

Datenschutz Steinfurt und in der Region Münsterland

Wir hoffen, dass dieser Beitrag spannend und interessant für Sie war. Wir freuen uns über die aktive Weiterempfehlung von Datenschutz Steinfurt. Gern dürfen Sie auch unsere Website verlinken oder verbinden Sie sich mit uns in den Sozialen Medien wie z. B. XING, LinkedIn oder Twitter. Im folgenden erhalten Sie einen kurzen Überblick, wer wir sind und was wir machen:

Ihr externer Datenschutzberater in Steinfurt

Datenschutz Steinfurt ist ein Service von Datenschutzberater Münsterland – Anke Blömer. Wir bieten Datenschutzservice als externe Datenschutzbeauftragte für kleine und mittlere Unternehmen in und um Steinfurt und in den Regionen Münsterland, südliches Niedersachsen sowie im Ruhrgebiet an. Unser Schwerpunkt liegt dabei auf der Entwicklung eines belastbaren Datenschutzkonzeptes. Ganz besonders wichtig ist dabei der persönliche und direkte Kontakt zu unseren Klienten. Die Ausgestaltung der gesetzlichen Vorgaben erfolgt in jedem Unternehmen individuell. Darum ist es uns so wichtig, gemeinsam mit Ihnen, eine aussagefähige Datenschutzdokumentation zu erarbeiten. In bestimmten Fällen ist ein Datenschutzbeauftragter erforderlich. Lesen Sie in unserem Artikel „Wann muss ein Datenschutzbeauftragter bestellt werden?“ nach, in welchen Fällen eine Bestellpflicht für den Datenschutzbeauftragten besteht und wann nicht.

Was kostet Datenschutz in Steinfurt?

Bei Datenschutzbeauftragter Münsterland werden Sie keine bösen Überraschung hinsichtlich der Kosten erleben. Es fallen keine teuren „Erstbegehungskosten“ an oder Sonderzahlungen für Schulungen, außerplanmäßige Servicetermine oder sonst irgendwelche Extrakosten. Datenschutz und Datenschutzberatung ist Vertrauenssache und sehr persönlich. Darum zahlen Sie eine festgelegte Flatrate-Rate. So bleiben die Kosten für Ihre Datenschutzorganisation kalkulierbar und transparent. Unsere Datenschutz-Tarife sind auf die Größe des Unternehmens angepasst. So können sich auch als Einzelkämpfer professionelle Datenschutzorganisation leisten und gewinnen Wettbewerbsvorteile.

Datenschutzservice für wen?

Den Datenschutzservice von Datenschutzbeauftragter Münsterland können Sie buchen, wenn Sie Ihr Unternehmen in Billerbeck, Coesfeld, Münster, Steinfurt, Ahaus, Bocholt, Borken, Steinfurt, Rheine, Gronau, Velen, Metelen, Emsdetten, Haltern am See, Dülmen, Lüdinghausen, Ascheberg, Nordkirchen haben.
Datenschutzberatung und Datenschutzservice bieten wir darüber hinaus auch für Bad Bentheim, Lingen, Nordhorn, Ibbenbüren, Osnabrück sowie im Ruhrgebiet an.
Als Externer Datenschutzberater sind wir auch in Essen, Gelsenkirchen, Dortmund, Bochum, Düsseldorf, Neuss, Ratingen, Velbert, Wuppertal, Remscheid und Bottrop sowie in der gesamten Rhein-Ruhr Region für Unternehmen tätig.

 




Münster: Wann muss ein Datenschutzbeauftragter bestellt werden?

Unternehmen aus Münster fragen: Muss ich einen Datenschutzbeauftragten bestellen oder nicht?

Sorgenvoll und mit großer Verunsicherung werden mir Immer wieder Fragen wie folgende gestellt:

  • Brauche ich überhaupt einen Datenschutzbeauftragten?
  • Und falls ja – kann ich doch einfach einem Mitarbeiter diese Aufgabe übertragen?
  • Bin ich verpflichtet, einen externen Datenschutzbeauftragten zu bestellen?

Zugegeben: Das Thema Datenschutz ist komplex. Der heutige Artikel beschäftigt sich mit der Frage, für wen bzw. für welche Unternehmen denn überhaupt eine Pflicht zur Bestellung eines Datenschutzbeauftragten besteht. Ich kann Entwarnung geben: Eigentlich ist es ganz einfach :-).

Die beiden weiteren Punkte folgen dann in den nächsten Tagen.

 

Datenschutzbeauftragter - Bestellpflicht, Münster

Der Datenschutzbeauftragte – freiwillig bestellt oder lästige Pflicht?

Da wäre zunächst einmal die Frage zu klären: Möchten Sie einen Datenschutzbeauftragten bestellen, oder unterliegt Ihr Unternehmen einer gesetzlichen Verpflichtung? Denn, ja, auch den Fall gibt es, dass Unternehmer die vielen Vorteile sehen, den professionelle Unterstützung bei der Organisation des Datenschutzes bringt – aber dazu an anderer Stelle mehr.

In welchen Fällen eine Bestellpflicht für einen Datenschutzbeauftragten besteht, definieren Art. 37 DSGVO und § 38 BDSG neu. Zu unterscheiden sind hier drei Fälle:

Bestellung des Datenschutzbeauftragten ist abhängig von der Unternehmensgröße

Als Richtgröße gilt hier: Hat Ihr privatwirtschaftlich tätiges Unternehmen mehr als 20 Personen, die regelmäßig mit personenbezogenen Daten zu tun haben (Email, Angebote schreiben, Rechnungen erstellen, Kundensupport usw.) ist schon per Gesetz ein Datenschutzbeauftragter zu bestellen. Das ergibt sich aus § 38 BDSG-neu.

Obligatorischer Datenschutzbeauftragter je nach Art der Geschäftstätigkeit

Je nach Art Ihrer Geschäftstätigkeit kann sich ebenfalls eine Bestellpflicht für einen Datenschutzbeauftragten ergeben. Und zwar immer dann, wenn die Kerntätigkeit des Unternehmens in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen. Zu denken ist hier insbesondere an folgende Tätigkeiten und Branchen:

  • Marketingagenturen, die z. B. datengesteuert Kaufverhalten analysieren und Kundenprofile erstellen, Marktforschungs- und Meinungsforschungsunternehmen
  • Finanzunternehmen, Banken, die Informationen über Kreditinteressenten systematisch zusammentragen (scoring) und diese dann in bestimmte Risikoklassen einteilen (profiling)
  • Sicherheits- und Überwachungsunternehmen
  • Social Media Anbieter
  • Versicherungsunternehmen – weil auch hier die Versicherungswilligen aufgrund von Datenanalysen in bestimmte Risikoklassen eingeteilt werden.

Bestellpflicht eines Datenschutzbeauftragten je nach Kerntätigkeit und Umfang der Verarbeitung

Desweiteren begründet eine Kerntätigkeit, die in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 DSGVO besteht, die Bestellpflicht eines Datenschutzbeauftragten. Auf deutsch: Immer dann, wenn Sie besondere Kategorien von Daten verarbeiten wie z. B. Daten über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder Informationen aus denen die Gewerkschaftszugehörigkeit hervorgeht, falls Sie genetische Daten oder biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person verarbeiten, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung, ist es wahrscheinlich, dass Sie einen Datenschutzbeauftragten bestellen müssen. Das trifft häufig zu auf

  • Arztpraxen
  • Apotheken
  • Labore
  • Krankenhäuser
  • ggf. Rechtsanwälte (z. B. Medizinrechtler)

Ausschlaggeben für die Bestellpflicht eines Datenschutzbeauftragten ist, dass die Verarbeitung „umfangreich“ ist. Auch hier sind verschiedene Parameter zu berücksichtigen:

  • Anzahl der betroffenen Personen
  • Menge der verarbeiteten Daten
  • Dauer der Verarbeitung
  • geografische Ausdehnung der Verarbeitung
  • Risiken für die betroffenen Personen

Die Datenschutzkonferenz (DSK),  Konfernz der unabhängigen Datenschutzbehören des Bundes und der Länder, hat zum Glück einen Beschluss herausgegeben, an dem man sich ganz gut orientieren kann. Dort wird er Begriff der „umfangreichen Datenverarbeitung“ ein wenig geklärt. Den Beschluss der Datenschutzkonferenz vom 26.04.2018 finden Sie hier zum Download.

Zusammengefasst steht da in etwa folgendes:

  • Betreiben Sie als einzelner Arzt Ihre Praxis und haben Sie unter 10 Angestellte (Helferinnen, die regelmäßig mit Patientendaten umgehen), dann müssen Sie keinen Datenschutzbeauftragten bestellen. Gleiches gilt für kleine Apotheken und einzelne Rechtsanwälte.
  • Praxisgemeinschaften mit mehr als 10 Mitarbeitern – also immer dort wo mehrere Ärzte oder andere Angehörige eines Gesundheitsberufes eine Praxisgemeinschaft führen – liegt auch keine „umfangreiche“ Verarbeitung vor. Die Bestellpflicht richtet sich hier – wie immer – nach der Anzahl der Mitarbeiter, die regelmäßig Daten verarbeiten.

Falls jemand behauptet, Sie hätten die Pflicht zur Bestellung eines Datenschutzbeauftragten nur weil Sie Arzt oder Apotheker sind oder anderweitige Gesundheitsdienstleistung anbieten, bleiben Sie wachsam! So einfach ist es nämlich nicht. Mein Tipp: Bedanken Sie sich freundlich für den Hinweis und lenken Sie das Gespräch auf ein anderes Thema oder beenden Sie es.

 

 

 

Datenschutz Münster und im Münsterland

Ihr externer Datenschutzberater in Münster

Datenschutzberater Münsterland – Anke Blömer bietet Datenschutzservice als externe Datenschutzbeauftragte für kleine und mittlere Unternehmen in und um Münster und in den Regionen Münsterland, südliches Niedersachsen sowie im Ruhrgebiet an. Unser Schwerpunkt liegt dabei auf der Entwicklung eines belastbaren Datenschutzkonzeptes. Ganz besonders wichtig ist dabei der persönliche und direkte Kontakt zu unseren Klienten. Die Ausgestaltung der gesetzlichen Vorgaben erfolgt in jedem Unternehmen individuell. Darum ist es uns so wichtig, gemeinsam mit Ihnen, eine aussagefähige Datenschutzdokumentation zu erarbeiten.

Was kostet Datenschutz in Münster?

Bei Datenschutzbeauftragter Münsterland werden Sie keine bösen Überraschung hinsichtlich der Kosten erleben. Es fallen keine teuren „Erstbegehungskosten“ an oder Sonderzahlungen für Schulungen, außerplanmäßige Servicetermine oder sonst irgendwelche Extrakosten. Datenschutz und Datenschutzberatung ist Vertrauenssache und sehr persönlich. Darum zahlen Sie eine festgelegte Flatrate-Rate. So bleiben die Kosten für Ihre Datenschutzorganisation kalkulierbar und transparent. Unsere Datenschutz-Tarife sind auf die Größe des Unternehmens angepaßt. So können sich auch als Einzelkämpfer professionelle Datenschutzorganisation leisten und gewinnen Wettbewerbsvorteile.

Datenschutzservice für wen?

Den Datenschutzservice von Datenschutzbeauftragter Münsterland können Sie buchen, wenn Sie Ihr Unternehmen in Billerbeck, Coesfeld, Münster, Ahaus, Bocholt, Borken, Steinfurt, Rheine, Gronau, Velen, Metelen, Emsdetten, Haltern am See, Dülmen, Lüdinghausen, Ascheberg, Nordkirchen haben.
Datenschutzberatung und Datenschutzservice bieten wir darüberhinaus auch für Bad Bentheim, Lingen, Nordhorn, Ibbenbüren, Osnabrück sowie im Ruhrgebiet an.
Als Externer Datenschutzberater sind wir auch in Essen, Gelsenkirchen, Dortmund, Bochum, Düsseldorf, Neuss, Ratingen, Velbert, Wuppertal, Remscheid und Bottrop für Unternehmen tätig.

D




Wenn USB-Sticks angreifen

Datenschutzverletzungen durch "böse" USB-Sticks

Datenschutz und technische Datensicherheit gehören untrennbar zusammen. Darum kommt das Gespräch bei der Datenschutzberatung vor Ort natürlich schnell auf das Thema „Mobile Datenträger“ und USB-Sticks. Diese kleinen alltäglichen Helferlein haben viele Datenschutzverantwortliche gar nicht auf dem Schirm, wenn das Thema auf die technischen und organisatiorischen Maßnahmen (kurz: TOM’s)-

Doch durch USB-Schnittstellen ist es Angreifern möglich, vollen Zugriff auf einen Rechner oder gar auf das gesamte Netzwerk zu erhalten. Darum ist es grundsätzlich immer eine Überlegung, USB-Schnittstellen dauerhaft zu deaktivieren – was in der Praxis meistens auf wenig Gegenliebe stößt.

USB Sticks können die Datensicherheit beeinträchtigen

Datenschutz und technische Datensicherheit durch geeignete Schutzmaßnahmen

Umso wichtiger ist es, sich darüber bewußt zu sein, dass eine reale Gefahr von sog. BadUSBs ausgeht. Dabei handelt es sich um USB-Sticks, die wie ein ganz normaler USB-Stick aussehen, die sich aber nicht so verhalten. Grundsätzlich ist es möglich, jeden handelsüblichen USB-Stick so zu manipulieren, dass diese Rechner und Systeme angreifen können. Dazu wird einfach der Firmware-Speicherbereich neu beschrieben und im freien Speicherbereich zusätzlicher Code eingefügt.

Mögliche Angriffsszenarien sind:

  • Ein Angreifer verschafft sich über einen erstellten Fernzugriff völlige Kontrolle. Datendiebstahl, Veröffentlichung von Betriebsgeheimnissen und vieles Weitere kann die Folge sein
  • Der Computer oder das gesamte System werden durch einen Virus infiziert / durch Ramsomsoftware angegriffen.
  • Denkbar ist auch, dass der gesamte Internet Datenverkehr umgelenkt und mitgeschnitten wird, z. B. in der Absicht Identitätsdiebstahl zu begehen.

 

Datenpannen vermeiden durch funktionierende Datensicherheit

Die sicherste aber auch unbeliebteste Möglichkeit sich gegen solche BadUSB-Angriffe zu schützen ist es, das Anschließen von USB-Sticks physisch zu verhindern und die USB-Ports dauerhaft und irreversibel zu versiegeln.

Eine weitere Möglichkeit besteht darin, softwareseitig ein Device Control Tool zu aktivieren. Dadurch wird es möglich, den Zugriff auf unbekannte USB-Geräte zu blockieren. Unter Windows kann über Gruppenrichtlinien festgelegt werden, ob neue, unbekannte USB-Geräte installiert werden dürfen, oder ob sie blockiert werden.

Eine weitere Möglichkeit ist das sogenannte Whitelisting. Dabei werden die USB-Geräde, die erlaubt sind, in eine Liste mit „guten“ USB-Geräten aufgenommen. Die Liste ist änderbar und kann natürlich ergänzt werden. USB-Geräte, die nicht auf der Liste stehen, können auch nicht verwendet werden.

 

Die genannten Risiken sind nicht auf USB-Sticks beschränkt. Grundsätzlich kann jedes USB-Gerät also auch Smartphones, externe Festplatten, Kameras, Drucker usw. so manipuliert werden, dass Schadsoftware eingeschleppt werden kann. Darum ist es unbedingt erforderlich, sich für den Umgang mit USB-Geräten sichere Methoden und Vorgehensweisen zu überlegen und diese in der Praxis dann auch umzusetzen. Technische Unterstützung erhalten Sie sicher von Ihrem IT-Fachmann – wir helfen gern bei der Erarbeitung von Richtlinien und Handlungsanweisungen für Ihre Datenschutzdokumentation.

Externer Datenschutzberater in Münster und in der Region Münsterland

Ihr externer Datenschutzberater

Datenschutzberater Münsterland – Anke Blömer bietet Datenschtuzservice als externe Datenschutzbeauftragte für kleine und mittlere Unternehmen in der Region Münsterland,südliches Niedersachsen sowie im Ruhrgebiet an. Unser Schwerpunkt liegt dabei auf der Entwicklung eines belastbaren Datenschutzkonzeptes. Ganz besonders wichtig ist dabei der persönliche und direkte Kontakt zu unseren Klienten. Die Ausgestaltung der gesetzlichen Vorgaben erfolgt in jedem Unternehmen individuell. Darum ist es uns so wichtig, gemeinsam mit Ihnen, eine aussagefähige Datenschutzdokumentation zu erarbeiten.

Was kostet Datenschutz?

Bei Datenschutzbeauftragter Münsterland werden Sie keine bösen Überraschung hinsichtlich der Kosten erleben. Es fallen keine teuren „Erstbegehungskosten“ an oder Sonderzahlungen für Schulungen, außerplanmäßige Servicetermine oder sonst irgendwelche Extrakosten. Datenschutz und Datenschutzberatung ist Vertrauenssache und sehr persönlich. Darum zahlen Sie eine festgelegte Flatrate-Rate. So bleiben die Kosten für Ihre Datenschutzorganisation kalkulierbar und transparent. Unsere Datenschutz-Tarife sind auf die Größe des Unternehmens angepaßt. So können sich auch als Einzelkämpfer professionelle Datenschutzorganisation leisten und gewinnen Wettbewerbsvorteile.

Datenschutzservice für wen?

Den Datenschutzservice von Datenschutzbeauftragter Münsterland können Sie buchen, wenn Sie Ihr Unternehmen in Billerbeck, Coesfeld, Münster, Ahaus, Bocholt, Borken, Steinfurt, Rheine, Gronau, Velen, Metelen, Emsdetten, Haltern am See, Dülmen, Lüdinghausen, Ascheberg, Nordkirchen haben.
Datenschutzberatung und Datenschutzservice bieten wir darüberhinaus auch für Bad Bentheim, Lingen, Nordhorn, Ibbenbüren, Osnabrück sowie im Ruhrgebiet an.
Als Externer Datenschutzberater sind wir auch in Essen, Gelsenkirchen, Dortmund, Bochum, Düsseldorf, Neuss, Ratingen, Velbert, Wuppertal, Remscheid und Bottrop für Unternehmen tätig.




Achtung Abzocke!

Faxe der Datenschutzauskunft-Zentrale verunsichern den Mittelstand

Der europäische Datenschutz gilt nun verbindlich seit ca. 3 Monaten. Die Verunsicherung im Mittelstand ist nach wie vor groß. Auch Nepper, Schlepper, Bauernfänger wittern in diesem wichtigenThema eine gute Möglichkeit, ehrlichen Unternehmer eine fragliche Dienstleistung für viel Geld zu verkaufen. Heute morgen erlangte ich davon Kenntnis, dass ein Unternehmen mit dem klangvollen Namen Datenschutzauskunfts-Zentrale Gewerbebetriebe zum Basisdatenschutz nach EU-DSGVO erfasst. Wie nett von denen!

Dieses Fax erweckt den Anschein, von einer offiziellen Stelle zu kommen. Flüchtige Leser könnten auf die Idee kommen, es handele sich lediglich um eine kostenlose Erfassung zum Datenschutz.  Erst ein Blick ins Kleingedruckte zeigt, dass derjenige der dieses Fax unterschreibt und zurücksendet ein jährliches Abo von 498,00 Euro abschließt, das 3 Jahre Laufzeit hat. Dafür erhält man Formulare und ausfüllfertige Muster.  Wie dieses Unternehmen ein individuelles Verarbeitungsverzeichnis erstellen oder den Melde- und Informationspflichten nachkommen möchte, bleibt ein Rätsel.

Solche Geschäftspraktiken entsprechen ganz und gar nicht unserer Berufsethik als Datenschützer. Hiermit wird vielmehr eine ganze Branche in Verruf gebracht. Das Thema Datenschutz sorgt schon für genügend Verunsicherung im Mittelstand. Da braucht es mit Sicherheit keine zusätzlichen Marktteilnehmer, die im Datenschutz eine willkommene Gelegenheit zur Geldabschöpfung sehen.

Falls Sie so etwas auf den Tisch bekommen, melden Sie sich bitte. Unterschreiben Sie solch ein Formular nicht und faxen Sie es auch nicht zurück. Ihre Unterschrift würde nur bedeuten, dass Sie gut 1.500 Euro ausgegeben haben, dafür den Datenschutz nach wie vor allein angehen müssen. Der Vorgang ist bereits beim Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V. bekannt und zur Zeit wird geprüft, wie gegen diese Geschäftspraktiken vorgegangen wird.

Der Firmensitz der Datenschutzauskunft-Zentrale ist in der Lehnitzstrasse 11 in 16515 Oranienburg.

Abzocker unterwegs: Faxe der Datenschutzauskunftszentrale verunsichern den Mittelstand



Datenschutz-RAP

Wie sensibilisiert man Jugendliche zum Thema Datenschutz? Dazu haben sich der Rapper und Online-Berater Kevin Lehmann und der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e. V.  mit Unterstützung der DATEV-Stiftung Zukunft Gedanken gemacht und ein cooles  Musik-Video produziert. Der Rap-Song „Datenschutz“, den der 18-jährige Musiker und ehrenamtliche Berater bei JUUUPORT selbst geschrieben hat, erzählt von den Gefahren vor allem für junge Leute, die aus Unkenntnis oder Nachlässigkeit im Umgang mit Datenschutz im Internet entstehen können.

Einen ganz herzlichen Dank an die Macher und Unterstützer für diese tolle Arbeit!

Datenschutz goes RAP




Facebook bessert nach

Facebook stellt Vereinbarung für Fanpage Betreiber onlineAm 11.09.2018 hat Facebook erste Informationen zum Abschluss einer Vereinbarung zum Thema gemeinsame Verantwortlichkeit für die Datenverarbeitung auf Fanpages („Page Controller Addendum“) veröffentlicht.

Hier werden Regelungen zur Datenverarbeitung durch Facebook „Insights“ getroffen. Im Moment kann man noch nicht sagen, ob diese Zusätze die Vorgaben des EuGH tatsächlich erfüllt und was die Datenschutzbehörden dazu sagen. Erkennbar ist jedoch, dass Facebook um Rechtssicherheit und DSGVO-Konformität bemüht ist.

Betreiber einer Fanpage sollten nun folgendes tun:

  • Binden Sie eine von Facebook angepasste Datenschutzerklärung (hinsichtlich des EuGH Urteils und des Page Controller Addendums) ein oder verlinken sie diese
  • Nennen Sie eine Rechtsgrundlage für das Tracking. Hier kommt der Auffangtatbestand des Art. 6 I lit f. der DSGVO (Berechtigtes Interesse) in Frage
  • Darüber hinaus treffen Sie Regelungen zur Verantwortlichkeit von Facebook und zur Möglichkeit der Nutzer getroffen werden, ihre datenschutzrechtlich in der DSGVO dargestellten Rechte in Anspruch zu nehmen

 




Facebook-Fanpages weiterhin rechtswidrig

Neues zum Streit um Facebook-FanpagesAm 5. September 2018 beschloss die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder, dass der Betrieb von Facebook-Fanpages weiterhin rechtswidrig bleibt.

Zwar hat Facebook bereits seit längerem Verbesserungen und Maßnahmen angekündigt, mit denen Seitenbetreiber einfacher ihre rechtlichen Verpflichtungen erfüllen können. Doch die bisher umgesetzten Änderungen erachtet die DSK als nicht ausreichend. Insbesondere trackt Facebook weiterhin auch Personen über sog. Cookies mit Identifikatoren, die eigentlich gar keine Facebook-Nutzer sind. Da personenbezogene Daten gerade von Nicht-Facebook-Mitgliedern als besonders schutzwürdig eingestuft werden, verlangt die DSK eine Vereinbarung nach Art. 26 DSGV. Für die Datenverarbeitung verantwortlich sind sowohl Facebook als auch der Seitenbetreiber und müssen somit die Rechtmäßigkeit nachweisen. Der dazu erarbeitete Fragenkatalog der DSK ist jedoch nicht ohne die Mitwirkung von Facebook zu beantworten. Also kann keine Vereinbarung nach Art. 26 zustande kommen.

Aktueller Status ist, dass sämtliche Facebook Fanpages als rechtswidrig einzuschätzen sind und verletzte Personen ihre Rechte gegenüber dem Verantwortlichen geltend machen können. Das ist einerseits Facebook und andererseits der Fanpage-Betreiber selbst. Möglich sind also Abmahnungen und Klagen.




Facebook Fanpages und Datenschutz

Facebookfanpages und Datenschutz
Gerade war wieder etwas Ruhe an der Datenschutzfront eingekehrt. Doch dann kam am 5. Juni 2018 das Urteil des Europäischen Gerichtshofs (EuGH), dass Facebook Fanpage-Betreiber für Datenschutzverstöße auf Facebook mitverantwortlich sind. Im Kern geht es hier um die Tracking-Funktionen von Facebook Insight, die dazugehörigen Cookies und die Frage, wer letzendlich für das Datensammeln auf Facebook verantwortlich ist. Nur Facebook allein oder eben auch der Betreiber einer Fanpage.

Im fraglichen Fall hatte das Unabhängige Landeszentrum für Datenschutz Schlewsig-Holstein (ULD)  der Wirtschaftsakademie Schleswig-Holstein das Betreiben seiner Facebook-Fanpage untersagt. Während deutsche Gerichte stets die alleinige Datenschutzverantwortung bei Facebook gesehen hatten, entschied nun der EuGH höchstinstanzlich, dass

„der Betreiber einer Facebook-Fanpage gemeinsam mit Facebook für die Verarbeitung der personenbezogenen Daten der Besucher seiner Seite verantwortlich ist.“

„Sodann befindet der Gerichtshof, dass ein Betreiber wie die Wirtschaftsakademie als in der Union gemeinsam mit Facebook Ireland für die fragliche Datenverarbeitung verantwortlich anzusehen ist.“

„Nach Ansicht des Gerichtshofs kann der Umstand, dass ein Betreiber einer Fanpage die von Facebook eingerichtete Plattform nutzt, um die dazugehörigen Dienstleistungen in Anspruch zu nehmen, diesen (Anm: den Fanpage-Betreiber) nicht von der Beachtung seiner Verpflichtungen im Bereich des Schutzes personenbezogener Daten befreien.“

Das komplette Urteil finden Sie hier: https://curia.europa.eu/jcms/upload/docs/application/pdf/2018-06/cp180081de.pdf .

Den Rechtshütern der EU kann man hier „Feigheit vor dem Feind“ vorwerfen: Anstatt dafür zu sorgen, dass der US-Konzern Facebook nun endlich datenschutzkonform arbeitet, wählen die Gerichte hiermit den indirekten Weg. Tausende von Fanpagebetreibern, meistens kleinere und mittlere Unternehmen werden nun in die Pflicht genommen, datenschutzkonform mit Facebook-Nutzerdaten umzugehen. Das ist in der Praxis schier unmöglich, da Fanpagebetreiber nicht bzw. nur in sehr geringem Umfang beeinflussen können, was Facebook mit Nutzerdaten letztlich anstellt.

Da der EuGH hat im gleichen Urteil auch ausgeführt,

„dass die amerikanische Gesellschaft Facebook und … deren irische Tochtergesellschaft Facebook Ireland als „für die Verarbeitung“ der personenbezogenen Daten… „Verantwortliche“ anzusehen sind.“

Aus dieser Formulierung lässt sich noch eine weitere Sichtweise ableiten, nämlich dass Abmahnungen und behördliches Vorgehen gegen Fanpage-Betreiber unverhältmäßig sein kann. Hinzukommt, dass der EuGH den Fall an das Bundesverwaltungsgericht zurückverwiesen hat, der den Fall nun national entscheiden wird.

Fazit: Eigentlich müßte Facebook reagieren und offenlegen, was genau mit den Daten der Nutzer geschieht. Ob das passiert bleibt fraglich. Solange der US-Riese nicht reagiert, herrscht in Sachen Fanpages große rechtliche Unsicherheit.

Was kann die Konsquenz aus diesem Urteil sein?

  • Fanpage-Betreiber, die kein Risiko eingehen möchten, sollten ihre Fanpage zumindest solange deaktivieren, bis die Rechtslage klarer ist.
  • Fanpage-Betreiber, die etwas mehr Mut haben, warten ggf. auf das abschließende Urteil des Bundesverwaltungsgerichts und lassen die Fanpage solange aktiv.

In jedem Fall ist aber eine auf das Urteil angepasste Datenschutzerklärung in die Fanpage einzubinden oder zu verlinken. Ein Muster senden wir Ihnen auf Anfrage gern zu.