1

Millionen Deutsche betroffen: Wirtschaftsauskunftei ignoriert geltende Gesetze

Der rechtswidrige Adresshandel des Adresshändler Acxiom und der Kreditauskunftei CRIF Bürgel verstößt gegen die DSGVO und geltendes nationales Datenschutzrecht

Millionen Deutsche vom rechtswidrigen Datenhandel betroffen


Der Datenschutzverein none of your business (noyb) reichte darum am 18. Oktober 2021 Beschwerde gegen das Unternehmen und gegen den Adresshändler Acxiom ein. Es ist gängige Praxis, dass Wirtschaftsauskunfteien Adressen hinzukaufen. Auf die Art kam auch die Auskunftei CRIF Bürgel lange Zeit an frische Daten. Geliefert wurden vom Adresshändler Acxiom Adressen von Privatpersonen, die ursprünglich zum Zwecke des Direktmarketings erhoben wurden.

Nun wissen wir alle, das einer der Grundsätze der Datenschutz-Grundverordnung die Zweckbindung ist (Art. 5 DS-GVO). Es ist also verboten, Daten, die ursprünglich einmal für Direktmarketingaktionen gedacht waren, für die Berechnung von Bonitätsscores umzufunktionieren. Schlimmer noch: Im vorliegenden Fall, wird die Kreditwürdigkeit von mehr als 60 Millionen Deutschen aus bloßen Adress- und Geburtsdaten abgeleitet.

Damit verstößt die Wirtschaftsauskunftei CRIF Bürgel nicht nur gegen die DS-GVO sondern auch gegen geltendes Recht, da das Bundesdatenschutzgesetz ganz ausdrücklich verbietet, Bonitätsscores ausschließlich anhand von Adressdaten zu berechnen. Vielmehr müssen Positivdaten, wie z. B. vergangene Zahlungserfahrungen in die Berechnungen einfließen.

Darüber hinaus ist für die Zweckentfremdung der ursprünglich erhobenen Daten natürlich! die Einwilligung der betroffenen Personen erforderlich. Doch Fehlanzeige: Die betroffenen Personen wurden weder informiert geschweige denn wurde ihre Einwilligung durch CRIF Bürgel eingeholt.

Die meisten Betroffenen bemerken den Datenmißbrauch gar nicht – oder wenn überhaupt erst in Situationen, in denen es dann schon zu spät ist. Aus heiterem Himmel wird Verbrauchern der Abschluss eines Handyvertrags, ein Kredit oder z. B. der Kauf auf Rechnung verwehrt – ohne das ein ersichtlicher Grund vorliegt. Fast alle Deutschen sind betroffen. Laut Aussage der Wirtschaftsauskunftei CRFI Bürgel enthält die Datenbank Datensätze von beinahe aller am Wirtschaftsleben teilnehmenden Privatpersonen. In Zahlen bedeutet das: mehr als 62 Millionen Privatpersonen in Deutschland.

Wenn Sie wissen möchten, welche Daten CRIF Bürgel über Sie hat, woher diese stammen und ob und an wen die Daten weitergegeben wurden senden Sie eine Email an selbstauskunft@crifbuergel.de. Auskunftsersuchen müssen innerhalb von 30 Tagen beantwortet werden. Ein Musteranschreiben können Sie hier herunterladen.

Noch ein Wort: Das Unternehmen (im Fachjargon: der Verantwortliche) wird Sie bitten, sich eindeutig zu identifizieren. Das geschieht bei Auskunftsersuchen in der Regel über die Übersendung einer Personalausweiskopie. Soweit ist das auch ok – aber: Gerät ein Personalausweis in die falschen Hände, kann damit sehr viel Unfug angestellt werden. Darum überlegen Sie sich ganz genau, ob Sie Ihren Personalausweis wirklich per Mail und dann wohlmöglich sogar noch unverschlüsselt auf die Reise durch’s Internet schicken wollen? Besser geeignet ist da der gute alte Brief.

Wirtschaftsauskunfteien benötigen zur eindeutigen Identifizierung auch nicht alle Informationen: Angaben, die für die Identifizierung nicht notwendig sind (Seriennummer, Größe, Augenfarbe etc.), sind zu schwärzen. Das ergibt sich aus dem Prinzip der Datensparsamkeit.

Und last but not least verlangen Sie vom Veranwortlichen eine Nachweis der Löschung Ihrer Ausweisdaten, da die reine Einsichtnahme mit Nachweisvermerk zur eindeutigen Identifizierung ausreicht. Eine Speicherung hingegen kann für Sie eine Gefahr darstellen (im Falle einer Cyberattacke) und ist auch nicht nötig – auch hier gilt der Grundsatz der Datensparsamkeit.


Brauchen Sie Unterstützung und überlegen Sie einen externen Datenschutzbeauftragten bestellen? Dann nehmen Sie doch einfach Kontakt auf. Datenschutz kann auch Spaß machen!

Ansprechpartner:Datenschutz - Anke Blömer

Anke Blömer

Datenschutzbeauftragter Münsterland

Telefon: 0 25 43 / 9 30 20 29




Datenschutzkonforme Website – heute: Anforderungen an Cookie-Consent Banner

Der BGH hat geurteilt…

pixabay cookies-1805_640


Zusammenfassung:

Ein einfacher Cookiehinweis ist nicht mehr datenschutzkonform. Lesen Sie in diesem Artikel, was ein moderner Cookiebanner leisten muss, um die komplexen Anforderungen der datenschutzrechtlichen Einwilligung zu erfüllen.

Die Unternehmens-Webseite als Indikator für Compliance

Die Unternehmens Website ist das Schaufenster zur großen, weiten Welt. Kunden, Interessenten und mögliche Job-Kandidaten nutzen Webseiten gern für einen ersten Überblick über angebotene Leistungen. Aber auch Wettbewerber, Abmahnanwälte und Aufsichtsbehörden verschaffen sich mit einem Besuch der Firmenwebseiten einen ersten Eindruck, wie sich ein Unternehmen wettbewerbsrechtlich oder datenschutztechnisch aufstellt. Fallen auf der Website schon auf den ersten Blick bestimmte Punkte auf, impliziert das zumindest, dass es mit der Compliance (=Einhaltung bestehender rechtlicher Vorschriften) im Unternehmen nicht allzu weit her ist.

Als absolutes „Must-Have“ ist die Datenschutzerklärung zu betrachten, die dem Nutzer Informationen darüber gibt, wie personenbezogene Daten generell verarbeitet werden. Diese muss den Anforderungen der DSGVO entsprechen. Eine Checkliste zur Prüfung, ob alle relevanten Inhalte in Ihrer Datenschutzerklärung enthalten sind, finden Sie hier: Checkliste Datenschutzerklärung.

Cookies auf Webseiten

Im Mai diesen Jahres kam es zu einer lange erwarteten Entscheidung des BGH zum Thema Cookies. Cookies sind kleineTextdateien, die beim Websitebesuch gern auf Endgeräten des Nutzers gespeichert werden und in denen Informationen gespeichert werden. Einige Cookies müssen gesetzt werden, damit eine Website überhaupt richtig angezeigt werden kann – das sind dann technisch notwendige Cookies.
Andere Cookies werden verwendet, um dem Websitebenutzer maximalen Service zu bieten. Dabei werden dann z. B. die bevorzugte Spracheinstellung, Geoinformationen, Schriftgrößen u.a. gespeichert.
Manche Cookies speichern das Nutzerverhalten: Was schaut man sich wie lange an, welche Links klickt man an usw. Weitere dienen statistischen Zwecken.

Cookies sind mitunter durchaus sinnvolle Helferlein: In der Regel werden beim erneuten Besuch einer Website die Einstellungen aus der Textdatei eingelesen, was den Ladevorgang beschleunigt. Über Cookies ist eine gewisse „Wiedererkennung“ möglich und sie sorgen u.a. dafür, dass auf kostenlosen Informationswebseiten nur relevante Werbung angezeigt wird.

Erwähnt werden muss auch, dass auch heute noch auf vielen Webseiten lediglich technisch-notwendige Cookies gespeichert werden.

Dennoch ist das Setzen von Cookies grundsätzlich eine Verarbeitung von personenbezogenen Daten und fällt unter das Selbstbestimmungsrecht des Einzelnen. Der BGH hatte zu entscheiden, ob und wie weit Websitebetreiber Cookies nur mit vorheriger Einwilligung setzen dürfen. Im konkreten Fall ging es darum, ob eine vorangekreuzte Checkbox eine Einwilligung zum Setzen eines Cookies ist, oder nicht. Des weiteren war zu prüfen, ob der bloße Hinweis, „Wir setzen Cookies, surfen Sie ruhig weiter…“ ausreicht.

Die bisherige Cookie-Praxis

Wie Sie sich als datenschutz-informierter Nutzer schon denken können, kam das Gericht dann natürlich zu der Überzeugung, dass die bisher geübte Cookie-Praktik nicht unbedingt ausreicht. Bisher galt nämlich, dass das Setzen von technisch notwendigen Cookies ohne Einwilligung möglich war. Die Rechtsgrundlage hierzu war berechtigtes Interesse nach Art. 6 Abs. 1 lit. f). Für andere – nicht-technisch notwendige Cookies benötigte man als Websitebetreiber schon immer eine Einwilligung (Art. 6 Abs. 1 lit. a DSGVO).

Nach dem Urteil ist die Situation für Websitebetreiber nicht wesentlich einfacher geworden. Der BGB bestätigt die bisherige Praxis, allerdings werden die Regeln deutlich verschärft: Eine Einwilligung ist für (fast) alle zu setzenden Cookies und auch für einen Zugriff auf bereits auf dem Gerät des Nutzers abgelegte Cookies einzuholen. Das gilt für Cookies, die zu Werbezwecken eingesetzt werden (sowieso!) aber jetzt auch für Cookies, die nur bestimmte Nutzerpräferenzen (wie z. B. die Sprache oder Geoinformationen) speichern. (Das war bisher anders).

Das Gericht ist der Auffassung, dass der Regelungsumfang über personenbezogene Daten hinaus für alle Cookies gilt. Es geht in erster Linie darum, dass Nutzer die Selbstbestimmung darüber behalten, welche Dateien auf dem eigenen Gerät gespeichert werden und welche nicht.

Cookie ist nicht gleich Cookie

Es ist also immer noch zwischen technisch notwendigen Cookies (Art. 6 Abs. 1 lit. f) und technisch nicht notwendigen Cookies (Art. 6 Abs. 1 lit a) zu unterscheiden. Welche Cookies nun aber technisch notwendig sind und welche von diesem Begriff nicht mehr erfasst werden, sagt das Urteil natürlich nicht. Darum lautet unsere Empfehlung: Gehen Sie eher konservativ an das Thema heran.

Setzt Ihre Website Cookies und handelt es sich dabei um

  • Präferenzcookies,
  • Cookies für Werbeinformation
  • Analyse- und Statistik Cookies

benötigen Sie eine ausdrückliche, informierte, aktive Einwilligungserklärung.

Technisch unabdingbare Cookies dürfen Sie weiterhin setzen – darüber ist lediglich zu informieren. Dafür reicht ein einfacher Cookie Banner aus.

Wie bekommt man die erforderliche Einwilligung?

Bis dato ist es weit verbreitete Praxis, dass Websitebesucher über das Setzen von Cookies informiert werden und dem Nutzer erklärt wird, dass das Weitersurfen als Einwilligung betrachtet wird. Solche Cookie-Banner / Cookie Hinweise sind definitiv nicht mehr konform und der Websitebetreiber setzt sich der Gefahr einer Abmahnung aus bzw. es droht ein Bußgeld.

Erforderlich ist es nun, einen Cookie Banner zu verwenden, der eine aktive Einwilligung im Sinne von Art. 4 Nr. 11 DSGVO holt. Darunter zu verstehen ist „eine unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder sonstigen eindeutigen bestätigenden Handlung, durch die die betroffene Person ihr Einverständnis zur Datenverarbeitung erteilt.“

Klartext: vorangekreuzte Kästchen oder ein einfacher Hinweistext gehen nicht mehr – der Nutzer muss aktiv Ankreuzen, dass er erlaubt, dass Cookies gespeichert werden.

Hinzu kommt, dass an eine Einwilligungserklärung ganz besondere Merkmale erfüllen muss, um juristisch als „freiwillig abgegeben“ anerkannt zu werden. Das Merkmal der Freiwilligkeit ist nicht erfüllt, wenn zu verschiedenen Verarbeitungsvorgängen von personenbezogenen Daten nicht gesondert eine Einwilligung erteilt werden kann. Ein Cookie-Banner, der dem Stand der Technik entspricht, muss also u.a. jeden einzelnen Verarbeitungsvorgang gesondert anwählbar darstellen und kurz erklären, wofür das Cookie ist. Es genügt, die verschiedenen Cookies zu kategorisieren (also z. B. : Werbung, Tracking, Statistik, Präferenzen usw.).

Was muss denn nun ein moderner, DSGVO-konformer Cookie-Banner können?

  • Es dürfen bis zur Erteilung der Einwilligung keine einwilligungsbedürftigen Cookies gesetzt werden. An diesem Punkt scheitern viele Websites. Hat man z. B. ein YouTube-Video eingebunden, darf das Cookie theoretisch nicht vor der Zustimmung des Nutzers gesetzt werden – praktisch wird das Cookie in den meisten Fällen beim Öffnen der Website gesetzt.
  • Weitersurfen des Nutzers, das Anklicken von Links oder scrollen durch die Seite stellt keine Einwilligung dar.
  • Der Nutzer muss vor Abgabe der Einwilligung über ihr Recht auf Widerruf der Einwilligung informiert werden. Der Widerruf muss dabei genauso einfach möglich sein, wie die Erteilung der Einwilligung.
  • Die Cookies, für die eine Einwilligung eingeholt wird, müssen alle! – wenn zwar nicht unbedingt im Banner – dann zu mindestens doch in der Datenschutzerklärung oder in einer Cookie-Richtlinie auf die verwiesen wird, aufgeführt werden. Über die mittels der Cookies stattfindenden Verarbeitung ist zu informieren.
  • Der Nachweis der Einwilligungserklärung erfolgt durch das Setzen eines notwendigen Cookies. Darüber ist der Nutzer zu informieren.

Der Cookie-Banner sollte also nun folgendes enthalten:

  • Eine Auswahlmöglichkeit der Cookies, in die eingewilligt werden, kategorisiert nach ihrem Zweck. Die Checkboxen dürfen auf keinen Fall vorangekreuzt sein!
  • Erklärung über den Zweck des Cookies, der gesetzt werden soll
  • Hinweis auf das Widerrufsrecht nach Art. 7 DSGVO
  • Einen Verweis auf die Datenschutzerklärung, die mit einem Klick erreichbar sein muss. Ruft der Nutzer sie auf, dürfen noch keine nicht-erforderlichen Cookies gesetzt werden!
  • Eine Schaltfläche zum Erteilen der Einwilligung
  • Eine Schaltfläche zum Verweigern der Einwilligung

So könnte ein Hinweistext im Cookiebanner aussehen:

„Diese Webseite verwendet neben technisch notwendigen Cookies auch solche, deren Zweck, die Analyse von Websitezugriffen oder die Personalisierung Ihrer Nutzererfahrung ist. Ihre Einwilligung in die Verwendung können Sie jederzeit hier widerrufen. Mehr Informationen zu den im Einzelnen genutzten Cookies und ihrem Widerrufsrecht erhalten Sie in der Datenschutzerklärung.“

Natürlich müssen Sie noch mal genau schauen, welche Cookies Ihre Website zu welchen Zwecken verwendet und den o. g. Hinweistext dementsprechend anpassen!

Wie bekommen Sie jetzt raus, welche Cookies Ihre Website verwendet?

Die gute Nachricht ist: Die meisten von Ihnen greifen für die Bereitstellung einer Website auf eine spezialisierte Webagentur zurück. Sofern die Dienstleister noch nicht pro-aktiv auf Sie zugekommen sind, um Sie über die geänderte Rechtslage zu informieren und Ihnen eine rechtskonforme Lösung anzubieten, holen Sie den Dienstleister Ihrerseits ins Boot. Von Ihrem Webdienstleister benötigen Sie eine Aufstellung, welche Cookies zu welchem Zweck gesetzt werden (auch allein schon für die entsprechende Verarbeitungstätigkeit). Ihr Dienstleister kennt mit Sicherheit auch Anbieter dsgvo-konformer Cookie-Banner (so z. B. Borblabs Cookie 2.2 für WordPress -Webs oder Cookiebot) und kann einen solchen dann problemlos in Ihre Website implementieren.

Die verwendeten Cookies müssen dann

  1. in der entsprechenden Verarbeitungstätigkeit ergänzt und
  2. in Ihrer Datenschutzerklärung berücksichtigen werden.

Alle, die die ihre Unternehmenswebsite selbst betreuen, müssen wohl oder übel diese Funktionalität selbst einbauen (Recherche: welche Cookies werden zu welchem Zweck gesetzt, Einbindung des neuen Cookie Banners, ggf. weitere Anpassungen).

Zu überlegen wäre generell einmal, ob die Pflege der Website allein schon aus haftungsrechtlichen Gründen nicht doch lieber an einen spezialisierten Dienstleister ausgelagert werden sollte. Denn über einen adäquaten Auftragsverarbeitungsvertrag können Sie den Dienstleister verpflichten, die Website dem jeweiligen Stand der Technik anzupassen 😊.


Brauchen Sie Unterstützung und überlegen Sie einen externen Datenschutzbeauftragten bestellen? Dann nehmen Sie doch einfach Kontakt auf. Datenschutz kann auch Spaß machen!

Ansprechpartner:Datenschutz - Anke Blömer

Anke Blömer

Datenschutzbeauftragter Münsterland

Telefon: 0 25 43 / 9 30 20 29




Erfassung von Kontaktdaten zur Seuchenabwehr – Muster für eine Datenschutzerklärung

So vermeiden Sie datenschutzrechtliche Fallstricke bei der Wiedereröffnung

Die strengen gesetzlichen Maßgaben zur Beendung des Lockdowns stellen an Geschäftsinhaber und Gastronomen besondere Anforderungen. In einigen Branchen fordert der Gesetzgeber die Erfassung von Kontaktdaten von Besuchern und Kunden. Damit das ohne datenschutzrechtliche Fallstricke abläuft, stellen wir Ihnen heute ein kostenloses Muster zur Verfügung, mit dem Sie als Unternehmer Ihre „Informationspflichten nach Art. 13 DSGVO bei der Erhebung von Daten bei der betroffenen Person im Zuge der Corna-Pandemie“ erfüllen. Unser Dank gilt Herrn Rechtsanwalt Stephan Hansen-Ost und der Partneragentur ask. Das Anforderungs-Formular für das individualisierbare Muster finden Sie unten.

Seit Anfang der letzten Woche sind in NRW Gastronomiebetriebe und andere Einrichtungen des täglichen Lebens wieder geöffnet. Die Öffnung erfolgte unter der Maßgabe, strenge Hygiene- und Abstandsregelungen einzuhalten. Diese allein sind oft schon eine Herausforderung für Geschäftsinhaber und Gastronomen.

Der Datenschutz ist dabei oft gar nicht im Bewußtsein.

Doch genau hier können ganz böse Überraschungen auf Sie als Geschäftsinhaber warten. Denn nach der Länderverordnung sind Sie verpflichtet, personenbezogene Daten Ihrer Kunden und Besucher zu erfassen. Dazu gehören:

• Name, Vorname
• Adresse (Straße, Hausnummer, Postleitzahl, Ort)
• Rufnummer

Erfasst wird teilweise auch die Email-Adresse und einige lassen die Kunden / Besucher sogar unterschreiben. Manche Geschäftsinhaber lassen sich sogar die Ausweisdokumente zeigen und in Ausnahmefällen wird sogar eine Ausweisnummer notiert. Ob das Rechtens ist sollte einer eingehenden Prüfung unterzogen werden.

Die Erfassung und Aufbewahrung zum Zweck der Infektionsabwehr ist eine Verarbeitung von personenbezogenen Daten nach Art. 13 DSGVO. Das bedeutet für Sie als Geschäftsinhaber / Gastronom, dass Sie Ihre Kunden / Besucher über die Verarbeitung vor der Datenerfassung informieren müssen. Darüber hinaus ist darüber zu informieren, wann die Daten wieder gelöscht werden. In NRW muss das z. B. nach einem Monat passieren.

Die Kundeninformation können Sie z. B. über einen Aushang machen in Kombination mit mündlicher Erklärung. Alternativ bietet sich ein Flyer mit den Datenschutzinformationen im Rahmen der Corona-Bekämpfung zum Mitnehmen an. Damit haben Sie auch einen Nachweis, dass Sie Ihren Datenschutz-Informationspflichten nachgekommen sind.

Ein Muster für eine solche „Datenschutzinformation im Rahmen der Pandemie-Bekämpfung“ senden wir Ihnen auf Anfrage gern zu. Das Dokument passen Sie dann für sich an und händigen es vor der Datenerhebung aus. Denken Sie auch daran, dass diese Verarbeitung als neue Verarbeitungstätigkeit in Ihr Verzeichnis von Verarbeitungstätigkeiten aufzunehmen ist.

Für eine einmalige Kostenpauschale von 9,90 € nehmen wir die Individualisierung der Datenschutzinformation auch gern für Sie vor.
Bitte sprechen Sie uns an!

 

Ansprechpartner:

Anke Blömer

Datenschutzbeauftragter Münsterland

Telefon: 0 25 43 / 9 30 20 29

Muster anfordern






Fordern Sie hier das Muster für die Erfüllung Ihrer „Informationspflichten nach Art. 13 DSGVO bei der Erhebung von Daten bei der betroffenen Person im Zuge der Corona Pandemie“ an.

Ja, bitte senden Sie mir das allgemeine Muster kostenlos zu.Ja, bitte nehmen Sie Kontakt auf, zwecks Individualisierung des Musters zum einmaligen Aktionspreis von 9,90 €.

Bitte senden Sie mir den kostenlosen Datenschutznewsletter zu.

Mit dem Absenden Ihrer Anfrage erklären Sie sich mit der Verarbeitung Ihrer übermittelten Daten zum Zweck der Bearbeitung Ihrer Anfrage einverstanden. Weitere Informationen entnehmen Sie bitte unserer Datenschutzerklärung.




Datenschutz Steinfurt

Crashkurs: Datenschutzrechtliche Einwilligung

Wann braucht man eine Einwilligung – Datenschutz Steinfurt gibt Tipps

Die Datenschutzgrundverordnung ist nun schon seit einiger Zeit in Kraft. In meiner täglichen Praxis als Datenschutzbeauftragte – auch für Unternehmen im Kreis Steinfurt – stelle ich oft fest, dass in vielen Unternehmen noch intensiv an der Umsetzung der DSGVO gearbeitet wird. Vieles ist auf dem Weg und an einigen Stellen herrscht nach wie vor Unklarheit. Gerade die datenschutzrechtliche Einwilligung sorgt in der Praxis für große Unsicherheit.

Nach wie vor habe ich das Gefühl überall in irgendetwas „einwilligen“ zu müssen. Das geht schon los mit Kontaktformularen im Web, die erst verschickt werden, wenn man anhakt, dass man in die  Verarbeitung der Daten einwilligt bis hin zur Generaleinwilligung für den Arzt, der die Behandlung nur durchführt, wenn man den Zettel unterschreibt. Ich habe oft den Eindruck, Verantwortliche wissen gar nicht so genau, wann eine Einwilligung wirklich erforderlich ist und wann nicht. Gehandelt wird da lieber nach dem Gießkannen-Prinzip : Was man hat, das hat man.

Doch gerade bei der datenschutzrechtlichen Einwilligung hilft viel nicht unbedingt viel. Ganz im Gegenteil: Einwilligungen die neben einer gesetzlich vorhandenen Legitimation eingeholt werden, können sich unter Umständen sogar schädlich auswirklich. Hinzu kommt, dass für die Gültigkeit einer Einwilligung ganz bestimmte Voraussetzungen erfüllt sein müssen.

Heute werde ich einmal beleuchten, wann eine Einwilligung wirklich erforderlich ist und wann lieber darauf verzichtet werden sollte.

Datenverarbeitung erfordert Rechtsgrundlage

Möchte man als Unternehmer personenbezogene Daten verarbeiten, braucht es eine Rechtsgrundlage. Hier hilft ein Blick ins Gesetz. Art. 6 Abs. I führt verschiedene Erlaubnistatbestände auf. Art. 9 spezifiziert die Rechtfertigungsgründe noch mal für „besondere Verarbeitungskategorien“ – dazu aber später mehr.

Blöderweise steht die „Einwilligung“ in Art. 6 an erster Stelle. Man könnte also auf die Idee kommen, dass das Instrument der Einwilligung besonders wichtig sei. Doch in unserer täglichen Praxis als Datenschutzbeauftragter spielt die Einwilligung eher eine untergeordnete Rolle.Weitaus wichtigere gesetzliche Legitimationen sind:

Datenverarbeitung aufgrund eines Vertrages oder vorvertraglicher Maßnahmen

Wir von Datenschutz Steinfurt finden, dass Fallkonstellationen die Thematik am besten veranschaulichen. Darum hier einmal folgendes Beispiel: Mal angenommen, Sie haben einen Fahrradladen, eine Boutique, einen Heimwerkerbedarfsladen etc. Ein Kunde kommt rein und kauft etwas. Bezahlen möchte er mit EC-Cash. Brauchen Sie hier eine Einwilligung, um seine Zahlungsdaten zu verarbeiten? Nein – die Datenverarbeitung für den Verkauf und die Zahlungsabwicklung ist erlaubt, weil Sie mit dem Kunden einen Kaufvertrag geschlossen haben. In Ihrem Verarbeitungsverzeichnis könnte so ein Prozess z. B. als „Verkauf mit bargeldloser Zahlung“ auftauchen. Auf einem ganz anderen Blatt steht in diesem Zusammenhang jedoch, dass Sie als Unternehmer Informationspflichten gegenüber dem Kunden haben, der bargeldlos bezahlen möchte. Dazu in einem Artikel, der sich mit den Informationspflichten der DSGVO beschäftigt, mehr.

Gleiches Szenario, nur dass es nun um Dienstleistung geht: Sie sind z. B. Heizungs-Sanitär-Unternehmer, Elektroinstallateur oder Dachdecker. Der Kunde ruft an, und bestellt ihren Service. Auch hier benötigen Sie natürlich keine Einwilligung, da Sie ja auch aus Vertrag tätig werden. Nur, dass es hier eben kein Kaufvertrag ist, sondern ein Werkvertrag nach § 631 BGB. Nun möchte ein Interessent noch nicht direkt kaufen oder einen Auftrag erteilen, sondern er bittet erst mal um ein Angebot. Selbstverständlich dürfen Sie dann seine Daten verarbeiten, die für die Zusendung und Erstellung des Angebots erforderlich sind. Das sind sog. vorvertragliche Tätigkeiten, die ebenfalls über Art. 6 Abs. 1 lit. b) erlaubt sind.

Einwilligung erforderlich bei Werbung?

Werbung, Newsletter, aktuelle Infos und Aktionen – Tipps von Datenschutz Steinfurt

Datenschutz Steinfurt gibt Tipps zur datenschutzrechtlichen Einwilligung

Nun möchten Sie vielleicht hin oder wieder Werbung verschicken. Hier ist folgende Unterscheidung zu treffen:

Mal angenommen, Sie möchten ausschließlich (und absolut sicher!) nur Personen anschreiben, die innerhalb der letzten 3 Jahre etwas bei Ihnen gekauft haben – das wären dann also aktive Kunden. Bei Bestandskunden wird davon ausgegangen, dass diese ein mutmaßliches Interesse an Informationen zu Ihren Produkten haben. Beispiel: Sie als Fahrradhändler bewerben das neueste Mountainbike mit Carbonrahmen und Druckluftfederung zum Sonderpreis. Dazu schreiben Sie alle Personen an, die in den letzten 3 Jahren bei Ihnen ein Fahrrad gekauft haben.

In so einem Fall benötigt das werbende Unternehmen keine explizite Einwilligung. E-Mail-Werbung an Bestandskunden ist ohne ausdrückliche Einwilligung zulässig, sofern die Voraussetzungen des § 7 Absatz 3 UWG erfüllt sind. Unternehmen haben ein anerkanntes (berechtigtes) Interesse an Direktwerbung. Das Oberlandesgericht München hatte ein Urteil in einem Fall zu sprechen, in dem sich der Kläger gegen Werbung eines Partnerportals wehren wollte. Die Richter urteilten wie folgt: „Unter den Voraussetzungen des § 7 Abs. 3 UWG sei nicht von einer unangemessenen Beeinträchtigung des Empfängers einer E-Mail auszugehen und diese daher hinzunehmen.“ Das gesamte Urteil finden Sie hier: http://www.gesetze-bayern.de/Content/Document/Y-300-Z-BECKRS-B-2018-N-7250 .

Vorsicht ist allerdings geboten, wenn es sich bei den angeschriebenen Personen eben nicht um aktive Kunden handelt (also vielleicht Kunden die schon sehr lange nichts mehr bei Ihnen gekauft haben), Interessenten, sich nur einmal von Ihnen haben beraten lassen oder selbst recherchierte, zugekaufte oder gemietete Adressen. In diesen Fällen muss eine datenschutzrechtliche Einwilligung vorliegen (die nach Art. 6 Abs. 1 lit. a).

Kreative Unternehmen lösen das Problem, indem Sie ihren Kunden und Interessen die kostenlose Mitgliedschaft in ihrem Kundenclub anbieten :-).  Kundenclub-Mitglieder werden von der Rechtsprechung als „Bestandskunden“ angesehen und dürfen ohne Einwilligung Werbung erhalten.

Datenschutz Steinfurt empfiehlt darum:

Bei Werbemaßnahmen muss für den konkreten Fall geprüft werden, ob Einwilligungen erforderlich sind oder nicht.

Einwilligung erforderlich bei sensiblen Daten?

Sie möchten besondere Datenkategorien verarbeiten? Dann kann es anders aussehen!

Datenschutz Steinfurt gibt Tipps für die Einwilligung bei Speicherung "besonderer Daten"Gestalten wir den Fall nun ein wenig anders. Sie sind Inhaberin eines Friseursalons oder Kosmetikstudios. Auf Kundenkarten notieren Sie nicht nur den Namen und die Kontaktdaten des Kunden, sondern Sie haben auch vermerkt, ob die Person bestimmte Allergien hat – da Sie diese Information ja benötigen, um Unfälle beim Färben oder in der kosmetischen Behandlung zu vermeiden.

Damit verarbeiten Sie streng genommen schon besondere Kategorien von Daten (nämlich Gesundheitsdaten). Deren Verarbeitung ist nach Art. 9 Abs. 1 verboten. Die erforderliche Legitimation ergibt sich auch nicht aus Art. 9 Abs. 2 lit. h), da Sie als Friseurin oder Kosmetikerin nicht Angehörige eines Heilberufes sind. Jetzt kommt die datenschutzrechtliche Einwilligung ins Spiel. Sobald Sie die Information zu einer bestehenden Allergie in Ihrem System hinterlegen möchten, benötigen Sie von dem Kunden eine wirksame Einwilligung (und zwar in diesem Fall die Einwilligung nach Art. 9 Abs. 2 lit.a)). Welche Anforderungen eine Einwilligung erfüllen muss, werde ich in einem weiteren Beitrag erläutern.

Aber die DSGVO schützt doch nur Dokumente, die im EDV-System gespeichert werden?!

Bei der Lektüre von Art. 2 DSGVO könnten nun findige Leute auf die Idee kommen, dass Papierdokumente nicht von der DSGVO erfasst sind. Doch bevor Sie vor Freude in die Hände klatschen, lesen Sie bitte auch den Erwägungsgrund 15. Darin wird ausdrücklich gesagt, dass es völlig egal ist, wie die personenbezogenen Daten gespeichert werden. Sie sind schützenswert und damit basta. Das bedeutet auch, dass Sie die Daten technisch und organisatorisch vor unberechtigtem Zugriff schützen müssen. Für die Karteikartenbox im Friseurladen heisst das z. B. dass die Karteikarten nicht einfach nur im Regal für jeden zugänglich stehen dürfen, sondern, dass die Box beispielsweise abschließbar ist oder in einem abschließbaren Schrank steht.

Datenschutz Steinfurt empfiehlt darum:

Sobald Sie besonders sensible Daten speichern und verarbeiten, benötigen Sie eine Einwilligung (die Sie auch nachweisen können sollten), darum lassen Sie sich die Einwilligung am besten schriftlich erteilen. Eine Kopie geht an den Kunden, eine kommt in Ihren Datenschutzordner.

Einwilligung erforderlich bei Datenweitergabe an Dritte?

Datenschutz Steinfurt gibt Tipps zur Datenweitergabe an DritteWie verhalten Sie sich, wenn Sie zur Auftragserfüllung Hilfe von Dritten benötigen?

In unserer heutigen arbeitsteiligen Wirtschaft ist es oft so, dass Sie eine Dienstleistung nicht komplett allein erbringen können. Stellen wir uns einfach einmal vor, Sie sind Architekt und sollen für einen Kunden ein Haus bauen. Typischerweise steht der Architekt nicht selbst auf der Baustelle und mauert, betoniert und schreinert. Vielmehr werden Spezialunternehmen mit den jeweiligen Gewerken beauftragt.

Wenn es darum geht, die personenbezogenen Daten Ihres Kunden an Firmen weiterzugeben, die zur Vertragserfüllung erforderlich sind, ist das aus Art. 6 Abs. 1 lit. b) „Vertragserfüllung“ erlaubt. Die Weitergabe steht dann im Interesse des Kunden. Eine gesonderte Einwilligung benötigen Sie nicht! Allerdings gehört ein Hinweis in Ihre Datenschutzerklärung, dass die personenbezogenen Daten des Kunden eben in bestimmten Fällen an ausführende Unternehmen weitergegeben werden. Dazu aber auch an anderer Stelle mehr.

Oder nehmen wir exemplarisch einmal den IT-Service: Gerade kleinere Unternehmen lagern das Thema IT komplett an einen Dienstleister aus. Dieser richtet Rechner ein, verwaltet die Benutzerrechte im Netzwerk, sorgt für Sicherheit und kümmert sich um Backups – kurz: der externe Dienstleister hat Vollrechte im Netzwerk. Während solcher Arbeiten ist es zumindest sehr wahrscheinlich, dass dem Dienstleister auch personenbezogene Daten bekannt werden können. Dabei kann es sich um Usernamen und Loginzeiten Ihrer Mitarbeiter handeln oder einfach nur um Adresslisten Ihrer Kunden, die sich auf der Festplatte befinden. Für die Einbindung eines solchen Dienstleisters gelten die Grundsätze der Auftragsverarbeitung – dazu auch an anderer Stelle mehr. Doch benötigen Sie eine Einwilligung Ihrer Mitarbeiter / Kunden, dass der Dienstleister an den Rechner darf?

Nein! Natürlich nicht. Sie als Unternehmer haben ein berechtigtes Interesse daran, dass Ihre Technik stabil und sicher läuft. Die Erlaubnis findet sich dazu in Art. 6 Abs. 1 lit.f) DSGVO. Ein berechtigtes Interesse besteht u. a. auch dann, wenn Sie Daten an Ihren Steuerberater weitergeben müssen.

 

Datenschutz Steinfurt empfiehlt:

Datenweitergabe an Dritte ist erlaubt, wenn sie auftragsbezogen und im Interesse des Kunden erfolgt.

 

Einwilligung erforderlich bei zweckfremder Datenweitergabe

Geschäftsmodell Adressverkauf

Nun stellen wir uns weiterhin vor, der findige Unternehmer hat die gute Idee, nicht nur seine Produkte und Dienstleistungen gewinnbringend zu vermarkten, sondern zusätzlich aus seinen vorhandenen qualifizierten Kundendaten Profit zu schlagen. Die Überlegung ist, das qualifizierte Adressmaterial – angereichert mit Informationen, wofür sich die Person genau interessiert und eventuell gar mit einer Kaufkrafteinschätzung an einen Adresshandel zu verkaufen. Sie ahnen es sicher schon: Das entspricht natürlich keinesfalls dem Interesse des Kunden und ist somit grundsätzlich verboten. Ein solches Geschäftsmodell setzt die Einwilligung zur Datenweitergabe voraus.

 

Datenschutz Steinfurt empfiehlt:

 Sie benötigen eine Einwilligung, wenn Sie die Daten für andere, weitergehende Zwecke weitergeben möchten.

Einwilligung erforderlich für die Website?

Einwilligung erforderlich beim Absenden des Kontaktformulars?

Beim Ausfüllen und Absenden eines Kontaktformulars auf einer Website werden naturgemäß personenbezogene Daten übertragen. Einerseits sind das die durch den Nutzer eingetragenen Daten im Formular (also z. B. Name, Vorname, Email, Telefonnummer und Anliegen) andererseits werden auch sogenannte Session-Daten übertragen. Das sind z. B. Informationen zum Browser, zum verwendeten Betriebssystem, Uhrzeit der Anfrage und IP-Adresse. Hier stellt sich häufig die Frage, ob für das bloße Absenden des Kontaktformulars eine Einwilligung erforderlich ist.

Auch in so einem Fall empfiehlt sich, das Kontaktformular im Einzelfall anzuschauen. Ergibt die Prüfung, dass es in erster Linie darum geht vorvertragliche Fragen zu klären ergibt sich die Legitimation aus Art. 6 Abs. 1 lit. b). Ein weiterer Aspekt ist auch, dass Unternehmer natürlich ein berechtigtes Interesse daran haben, Anfragen potentieller Kunden schneller als der Wettbewerb zu beantworten und darum diesen Kommunikationskanal anbieten. Damit liegt eine Legitmation aus Art. 6 Abs. 1 lit. f) vor. Darüber hinaus kann das Unternehmen sogar rechtlich dazu verpflichtet sein, Kontaktanfragen über ein Webformular anzubieten. Dies ist z. B. der Fall wenn es um Anfragen zum Datenschutz geht. In diesem Fall ist die Erlaubnisnorm Art. 6 Abs. 1 lit. c).

Datenschutz Steinfurt empfiehlt darum:

Wird das Kontaktformular abgeschickt

  • für vorvertragliche oder vertragliche Anfragen,
  • zur Erfüllung einer rechtlichen Pflicht oder
  • aus berechtigtem Interesse des Unternehmers

brauchen Sie keine Einwilligung. Die Zwangscheckbox kann also weg. Gut und sinnvoll ist es allerdings, dem Kunden vor dem Absenden des Formulars die Möglichkeit zu geben, in Ihre Datenschutzerklärung zu schauen. Ein Deep-Link bietet sich vor dem Absenden-Button darum an.

 

Anders ist es aber beim Newsletterversand!

Anders sieht es aus, wenn Sie die Daten auch für einen Newsletter verarbeiten möchten. Dann ist es erforderlich den Kunden explizit zu fragen, ob er zukünftig den Newsletter erhalten möchte. Diese Checkbox darf auch nicht vor ausgefüllt sein und das Verarbeiten des Formulars darf nicht davon abhängig sein, dass das Kästchen angehakt ist. Sie lassen sich dann einen Einwilligung zum Newsletterempfang geben – die Sie nach Möglichkeit auch dokumentieren.

 

Analyse von Websitedaten

Möchten Sie das Nutzungsverhalten Ihrer Websitebesucher näher untersuchen und auswerten ist es sehr beliebt, dies z. B über Tools wie Google Analytics oder den Facebook-Pixel zu machen. Beliebt sind auch Trackingtools und Cookies. Dabei entstehen oft Mehrfachprobleme:Datenschutz-Steinfurt_Besucheranalyse und Datenschutz

  • personenbezogene Daten (in der Regel die IP-Adresse des Nutzers) werden ungefragt an ein drittes Unternehmen weitergegeben
  • diese Daten landen dann häufig auf Servern außerhalb der Europäischen Union – in einem sogenannten Drittland.

Ein weiterer ausführlicher Artikel wird sich mit diesem Thema beschäftigen. Hier sei an dieser Stelle nur gesagt, dass Sie für den Einsatz von Analyse- und Trackingtools auf Ihrer Website eine Einwilligung des Nutzers benötigen, es sei denn, Sie nutzen anonymisierte Webanalyse-Tools. Damit ist z. B. gemeint, eine IP-Adresse soweit zu maskieren, dass kein Rückschluss mehr auf eine konkrete Person mehr erfolgen werden kann. Google-Analytics z. B. verfügt über eine solche Möglichkeit, so dass der Einsatz des Tools im anonymisierten Modus dsgvo-konform möglich ist.

Zum Thema Cookies hat der EuGH jüngst ein Urteil veröffentlicht, in dem klargestellt wird, dass auch für die Verwendung von Cookies die aktive Einwilligung des Nutzers erforderlich ist. Das Besondere am Urteil der Richter ist, dass es unerheblich ist, ob im Cookie personenbezogene Daten gespeichert werden oder nicht. Es wird lediglich darauf abgestellt, dass das Setzen von Cookies ein Eingriff in die allgemeinen Persönlichkeitsrechte ist und damit zustimmungspflichtig. Die Pressemitteilung des EuGH zu dieser Rechtssache verlinke ich Ihnen hier.

Wie und mit welchen Tools Sie einen Cookie-Banner in Ihre Website einbauen, werde ich ebenfalls in einem der folgenden Artikel erläutern.

Einwilligung erforderlich bei Datenweitergabe durch Ärzte, Apotheker und Therapeuten?

Datenschutz bei Ärzten, Apotheken und Therapeuten

Für Angehöriger medizinischer Berufe gelten einige Besonderheiten, auf die wir ebenfalls nochmal in einem gesonderten Beitrag eingehen werden. An dieser Stelle sei schon einmal folgendes gesagt:

Wenn Sie Angehöriger der o.g. Berufsgruppen sind, dann ist Ihre Erlaubnisnorm Art. 9 Abs. 2 lit. h). D. h. Daten von Patienten und den zugehörigen Befunden dürfen Sie zunächst einmal in Ihrem IT-System speichern und verarbeiten. Absoluter Quatsch ist es, die Behandlungsdienstleistung von der Einwilligung des Patienten abhängig zu machen. Das ist weder erforderlich noch im Interesse des Behandelnden.

Anders sieht es aus, wenn Sie Patientendaten weitergeben möchten. Das kann z. B. dann der Fall sein, wenn Sie mit einem Spezialkollegen die weitere Therapie absprechen möchten oder Informationen statt an den Patienten direkt an Angehörige geben wollen. Dann greift eher nicht der Datenschutz. Vielmehr ist es Berufsgeheimnisträgern nach § 203 StGB (Strafgesetzbuch) verboten, sensible Daten an Dritte weiterzugeben.  § 203 StGB stellt die Verletzung der Schweigepflicht sogar unter Strafe.

Möchten Sie als Arzt, Apotheker, Psychologe oder sonstiger Angehöriger eines Gesundheitsberufes Patientendaten weitergeben (z. B. an Angehörige), dann benötigen Sie eine Einwilligung zur Weitergabe der Daten (nach Art. 9 Abs. 2 lit. a) ) und die Entbindung von der Schweigepflicht.

 

Was, wenn weitere Unternehmen mit bestimmten Tätigkeiten beauftragt werden sollen?

Auch Praxen und Apotheken bündeln ihre Kompetenzen aus Effizienz- und Kostengründen und lagern Arbeiten an Dienstleister aus. Das kann z. B. ein Clouddienst zum Speichern von Patientenakten sein oder ein IT-Dienstleister, der umfassende Rechte im IT-System der Arztpraxis benötigt. Der neu gefasste § 203 StGB definiert in Absatz 4 einige Tatbestände, die dies ermöglichen, sofern bestimmte Voraussetzungen erfüllt sind. Auch hierzu wird es noch einen speziellen Artikel geben – wenden Sie sich bei Fragen einfach telefonisch an uns. Eine Einwilligung des Patienten ist hierfür jedenfalls nicht erforderlich.

Datenverarbeitung auf Basis der Einwilligung ist eher problematisch

Einwilligung nur im Ausnahmefall anwenden!

Das Instrument der datenschutzrechtlichen Einwilligung ist gleich aus mehreren Gründen mit Vorsicht zu genießen:

  1. Eine Einwilligung muss ganz bestimmte, strenge Anforderungen erfüllen, um gültig zu sein:
    Sie muss z. B. freiwillig erteilt werden, einfach formuliert sein, und über die Zwecke der Datenverarbeitung ganz konkret informieren. Wie das aussehen muss und was los ist, wenn die Einwilligung die Bedingungen nicht erfüllt werde ich gesondert ausführen.
  2. Einwilligungen im Beschäftigendatenschutz müssen noch strengere Voraussetzungen erfüllen:
    Dazu im Spezialartikel über die Voraussetzungen für eine wirksame Einwilligung Genaueres.
  3. Es gilt ein Kopplungsverbot hinsichtlich datenschutzrechtlicher Einwilligung und Leistungserbringung:
    auch dazu an anderer Stelle mehr
  4. Eine einmal erteilte Einwilligung kann jederzeit vom Kunden widerrufen werden:
    Stellen Sie sich nur mal vor, Sie sind Inhaberin eines Yoga-Studios, und möchten Laufzeitverträge mit Ihren Kunden schließen. Weil Sie dachten, dass es ab jetzt nötig sei, Einwilligung zu haben, wenn Sie Daten von Kunden verarbeiten wollen, haben Sie von Ihren Kunden eben jeweils eine Einwilligung zur Datenverarbeitung eingeholt. Clevere Kunden könnten nun auf die Idee kommen, fristlos vor Ablauf der Vertragsdauer zu kündigen, indem sie der weiteren Datenverarbeitung widersprechen.

 

Datenschutz Steinfurt empfiehlt darum:

Ein Rückgriff auf den gesetzlichen Tatbestand ist ausgeschlossen. Heißt auf Deutsch: Wenn die Einwilligung widerrufen wird, können Sie als Unternehmer nicht argumentieren: „Wir haben doch einen Vertrag!“. Darum sollten Sie immer dort, wo es eine vertragliche Grundlage für die Datenverarbeitung gibt, auf keinen Fall zusätzlich noch eine Einwilligung holen!

Hier kommt noch ein besonderer Praxistipp von Ihrer Datenschutzbeauftragten: Formulierungen folgender Art sollten Sie in Ihren Verträgen und Formularen suchen und am besten entfernen:

  • „Ich stimme der Verarbeitung meiner Daten im Rahme der Kundenbeziehung zu“
  • „Ich stimme der Datenschutzerklärung und den AGB zu“
  • „Ich stimme der Datenverarbeitung zu Zwecken der Begründung und Durchführung des Beschäftigungsverhältnisses zu“.

Datenschutz Steinfurt und in der Region Münsterland

Wir hoffen, dass dieser Beitrag spannend und interessant für Sie war. Wir freuen uns über die aktive Weiterempfehlung von Datenschutz Steinfurt. Gern dürfen Sie auch unsere Website verlinken oder verbinden Sie sich mit uns in den Sozialen Medien wie z. B. XING, LinkedIn oder Twitter. Im folgenden erhalten Sie einen kurzen Überblick, wer wir sind und was wir machen:

Ihr externer Datenschutzberater in Steinfurt

Datenschutz Steinfurt ist ein Service von Datenschutzberater Münsterland – Anke Blömer. Wir bieten Datenschutzservice als externe Datenschutzbeauftragte für kleine und mittlere Unternehmen in und um Steinfurt und in den Regionen Münsterland, südliches Niedersachsen sowie im Ruhrgebiet an. Unser Schwerpunkt liegt dabei auf der Entwicklung eines belastbaren Datenschutzkonzeptes. Ganz besonders wichtig ist dabei der persönliche und direkte Kontakt zu unseren Klienten. Die Ausgestaltung der gesetzlichen Vorgaben erfolgt in jedem Unternehmen individuell. Darum ist es uns so wichtig, gemeinsam mit Ihnen, eine aussagefähige Datenschutzdokumentation zu erarbeiten. In bestimmten Fällen ist ein Datenschutzbeauftragter erforderlich. Lesen Sie in unserem Artikel „Wann muss ein Datenschutzbeauftragter bestellt werden?“ nach, in welchen Fällen eine Bestellpflicht für den Datenschutzbeauftragten besteht und wann nicht.

Was kostet Datenschutz in Steinfurt?

Bei Datenschutzbeauftragter Münsterland werden Sie keine bösen Überraschung hinsichtlich der Kosten erleben. Es fallen keine teuren „Erstbegehungskosten“ an oder Sonderzahlungen für Schulungen, außerplanmäßige Servicetermine oder sonst irgendwelche Extrakosten. Datenschutz und Datenschutzberatung ist Vertrauenssache und sehr persönlich. Darum zahlen Sie eine festgelegte Flatrate-Rate. So bleiben die Kosten für Ihre Datenschutzorganisation kalkulierbar und transparent. Unsere Datenschutz-Tarife sind auf die Größe des Unternehmens angepasst. So können sich auch als Einzelkämpfer professionelle Datenschutzorganisation leisten und gewinnen Wettbewerbsvorteile.

Datenschutzservice für wen?

Den Datenschutzservice von Datenschutzbeauftragter Münsterland können Sie buchen, wenn Sie Ihr Unternehmen in Billerbeck, Coesfeld, Münster, Steinfurt, Ahaus, Bocholt, Borken, Steinfurt, Rheine, Gronau, Velen, Metelen, Emsdetten, Haltern am See, Dülmen, Lüdinghausen, Ascheberg, Nordkirchen haben.
Datenschutzberatung und Datenschutzservice bieten wir darüber hinaus auch für Bad Bentheim, Lingen, Nordhorn, Ibbenbüren, Osnabrück sowie im Ruhrgebiet an.
Als Externer Datenschutzberater sind wir auch in Essen, Gelsenkirchen, Dortmund, Bochum, Düsseldorf, Neuss, Ratingen, Velbert, Wuppertal, Remscheid und Bottrop sowie in der gesamten Rhein-Ruhr Region für Unternehmen tätig.

 




Münster: Wann muss ein Datenschutzbeauftragter bestellt werden?

Unternehmen aus Münster fragen: Muss ich einen Datenschutzbeauftragten bestellen oder nicht?

Sorgenvoll und mit großer Verunsicherung werden mir Immer wieder Fragen wie folgende gestellt:

  • Brauche ich überhaupt einen Datenschutzbeauftragten?
  • Und falls ja – kann ich doch einfach einem Mitarbeiter diese Aufgabe übertragen?
  • Bin ich verpflichtet, einen externen Datenschutzbeauftragten zu bestellen?

Zugegeben: Das Thema Datenschutz ist komplex. Der heutige Artikel beschäftigt sich mit der Frage, für wen bzw. für welche Unternehmen denn überhaupt eine Pflicht zur Bestellung eines Datenschutzbeauftragten besteht. Ich kann Entwarnung geben: Eigentlich ist es ganz einfach :-).

Die beiden weiteren Punkte folgen dann in den nächsten Tagen.

 

Datenschutzbeauftragter - Bestellpflicht, Münster

Der Datenschutzbeauftragte – freiwillig bestellt oder lästige Pflicht?

Da wäre zunächst einmal die Frage zu klären: Möchten Sie einen Datenschutzbeauftragten bestellen, oder unterliegt Ihr Unternehmen einer gesetzlichen Verpflichtung? Denn, ja, auch den Fall gibt es, dass Unternehmer die vielen Vorteile sehen, den professionelle Unterstützung bei der Organisation des Datenschutzes bringt – aber dazu an anderer Stelle mehr.

In welchen Fällen eine Bestellpflicht für einen Datenschutzbeauftragten besteht, definieren Art. 37 DSGVO und § 38 BDSG neu. Zu unterscheiden sind hier drei Fälle:

Bestellung des Datenschutzbeauftragten ist abhängig von der Unternehmensgröße

Als Richtgröße gilt hier: Hat Ihr privatwirtschaftlich tätiges Unternehmen mehr als 20 Personen, die regelmäßig mit personenbezogenen Daten zu tun haben (Email, Angebote schreiben, Rechnungen erstellen, Kundensupport usw.) ist schon per Gesetz ein Datenschutzbeauftragter zu bestellen. Das ergibt sich aus § 38 BDSG-neu.

Obligatorischer Datenschutzbeauftragter je nach Art der Geschäftstätigkeit

Je nach Art Ihrer Geschäftstätigkeit kann sich ebenfalls eine Bestellpflicht für einen Datenschutzbeauftragten ergeben. Und zwar immer dann, wenn die Kerntätigkeit des Unternehmens in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen. Zu denken ist hier insbesondere an folgende Tätigkeiten und Branchen:

  • Marketingagenturen, die z. B. datengesteuert Kaufverhalten analysieren und Kundenprofile erstellen, Marktforschungs- und Meinungsforschungsunternehmen
  • Finanzunternehmen, Banken, die Informationen über Kreditinteressenten systematisch zusammentragen (scoring) und diese dann in bestimmte Risikoklassen einteilen (profiling)
  • Sicherheits- und Überwachungsunternehmen
  • Social Media Anbieter
  • Versicherungsunternehmen – weil auch hier die Versicherungswilligen aufgrund von Datenanalysen in bestimmte Risikoklassen eingeteilt werden.

Bestellpflicht eines Datenschutzbeauftragten je nach Kerntätigkeit und Umfang der Verarbeitung

Desweiteren begründet eine Kerntätigkeit, die in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 DSGVO besteht, die Bestellpflicht eines Datenschutzbeauftragten. Auf deutsch: Immer dann, wenn Sie besondere Kategorien von Daten verarbeiten wie z. B. Daten über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder Informationen aus denen die Gewerkschaftszugehörigkeit hervorgeht, falls Sie genetische Daten oder biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person verarbeiten, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung, ist es wahrscheinlich, dass Sie einen Datenschutzbeauftragten bestellen müssen. Das trifft häufig zu auf

  • Arztpraxen
  • Apotheken
  • Labore
  • Krankenhäuser
  • ggf. Rechtsanwälte (z. B. Medizinrechtler)

Ausschlaggeben für die Bestellpflicht eines Datenschutzbeauftragten ist, dass die Verarbeitung „umfangreich“ ist. Auch hier sind verschiedene Parameter zu berücksichtigen:

  • Anzahl der betroffenen Personen
  • Menge der verarbeiteten Daten
  • Dauer der Verarbeitung
  • geografische Ausdehnung der Verarbeitung
  • Risiken für die betroffenen Personen

Die Datenschutzkonferenz (DSK),  Konfernz der unabhängigen Datenschutzbehören des Bundes und der Länder, hat zum Glück einen Beschluss herausgegeben, an dem man sich ganz gut orientieren kann. Dort wird er Begriff der „umfangreichen Datenverarbeitung“ ein wenig geklärt. Den Beschluss der Datenschutzkonferenz vom 26.04.2018 finden Sie hier zum Download.

Zusammengefasst steht da in etwa folgendes:

  • Betreiben Sie als einzelner Arzt Ihre Praxis und haben Sie unter 10 Angestellte (Helferinnen, die regelmäßig mit Patientendaten umgehen), dann müssen Sie keinen Datenschutzbeauftragten bestellen. Gleiches gilt für kleine Apotheken und einzelne Rechtsanwälte.
  • Praxisgemeinschaften mit mehr als 10 Mitarbeitern – also immer dort wo mehrere Ärzte oder andere Angehörige eines Gesundheitsberufes eine Praxisgemeinschaft führen – liegt auch keine „umfangreiche“ Verarbeitung vor. Die Bestellpflicht richtet sich hier – wie immer – nach der Anzahl der Mitarbeiter, die regelmäßig Daten verarbeiten.

Falls jemand behauptet, Sie hätten die Pflicht zur Bestellung eines Datenschutzbeauftragten nur weil Sie Arzt oder Apotheker sind oder anderweitige Gesundheitsdienstleistung anbieten, bleiben Sie wachsam! So einfach ist es nämlich nicht. Mein Tipp: Bedanken Sie sich freundlich für den Hinweis und lenken Sie das Gespräch auf ein anderes Thema oder beenden Sie es.

 

 

 

Datenschutz Münster und im Münsterland

Ihr externer Datenschutzberater in Münster

Datenschutzberater Münsterland – Anke Blömer bietet Datenschutzservice als externe Datenschutzbeauftragte für kleine und mittlere Unternehmen in und um Münster und in den Regionen Münsterland, südliches Niedersachsen sowie im Ruhrgebiet an. Unser Schwerpunkt liegt dabei auf der Entwicklung eines belastbaren Datenschutzkonzeptes. Ganz besonders wichtig ist dabei der persönliche und direkte Kontakt zu unseren Klienten. Die Ausgestaltung der gesetzlichen Vorgaben erfolgt in jedem Unternehmen individuell. Darum ist es uns so wichtig, gemeinsam mit Ihnen, eine aussagefähige Datenschutzdokumentation zu erarbeiten.

Was kostet Datenschutz in Münster?

Bei Datenschutzbeauftragter Münsterland werden Sie keine bösen Überraschung hinsichtlich der Kosten erleben. Es fallen keine teuren „Erstbegehungskosten“ an oder Sonderzahlungen für Schulungen, außerplanmäßige Servicetermine oder sonst irgendwelche Extrakosten. Datenschutz und Datenschutzberatung ist Vertrauenssache und sehr persönlich. Darum zahlen Sie eine festgelegte Flatrate-Rate. So bleiben die Kosten für Ihre Datenschutzorganisation kalkulierbar und transparent. Unsere Datenschutz-Tarife sind auf die Größe des Unternehmens angepaßt. So können sich auch als Einzelkämpfer professionelle Datenschutzorganisation leisten und gewinnen Wettbewerbsvorteile.

Datenschutzservice für wen?

Den Datenschutzservice von Datenschutzbeauftragter Münsterland können Sie buchen, wenn Sie Ihr Unternehmen in Billerbeck, Coesfeld, Münster, Ahaus, Bocholt, Borken, Steinfurt, Rheine, Gronau, Velen, Metelen, Emsdetten, Haltern am See, Dülmen, Lüdinghausen, Ascheberg, Nordkirchen haben.
Datenschutzberatung und Datenschutzservice bieten wir darüberhinaus auch für Bad Bentheim, Lingen, Nordhorn, Ibbenbüren, Osnabrück sowie im Ruhrgebiet an.
Als Externer Datenschutzberater sind wir auch in Essen, Gelsenkirchen, Dortmund, Bochum, Düsseldorf, Neuss, Ratingen, Velbert, Wuppertal, Remscheid und Bottrop für Unternehmen tätig.

D




Wenn USB-Sticks angreifen

Datenschutzverletzungen durch "böse" USB-Sticks

Datenschutz und technische Datensicherheit gehören untrennbar zusammen. Darum kommt das Gespräch bei der Datenschutzberatung vor Ort natürlich schnell auf das Thema „Mobile Datenträger“ und USB-Sticks. Diese kleinen alltäglichen Helferlein haben viele Datenschutzverantwortliche gar nicht auf dem Schirm, wenn das Thema auf die technischen und organisatiorischen Maßnahmen (kurz: TOM’s)-

Doch durch USB-Schnittstellen ist es Angreifern möglich, vollen Zugriff auf einen Rechner oder gar auf das gesamte Netzwerk zu erhalten. Darum ist es grundsätzlich immer eine Überlegung, USB-Schnittstellen dauerhaft zu deaktivieren – was in der Praxis meistens auf wenig Gegenliebe stößt.

USB Sticks können die Datensicherheit beeinträchtigen

Datenschutz und technische Datensicherheit durch geeignete Schutzmaßnahmen

Umso wichtiger ist es, sich darüber bewußt zu sein, dass eine reale Gefahr von sog. BadUSBs ausgeht. Dabei handelt es sich um USB-Sticks, die wie ein ganz normaler USB-Stick aussehen, die sich aber nicht so verhalten. Grundsätzlich ist es möglich, jeden handelsüblichen USB-Stick so zu manipulieren, dass diese Rechner und Systeme angreifen können. Dazu wird einfach der Firmware-Speicherbereich neu beschrieben und im freien Speicherbereich zusätzlicher Code eingefügt.

Mögliche Angriffsszenarien sind:

  • Ein Angreifer verschafft sich über einen erstellten Fernzugriff völlige Kontrolle. Datendiebstahl, Veröffentlichung von Betriebsgeheimnissen und vieles Weitere kann die Folge sein
  • Der Computer oder das gesamte System werden durch einen Virus infiziert / durch Ramsomsoftware angegriffen.
  • Denkbar ist auch, dass der gesamte Internet Datenverkehr umgelenkt und mitgeschnitten wird, z. B. in der Absicht Identitätsdiebstahl zu begehen.

 

Datenpannen vermeiden durch funktionierende Datensicherheit

Die sicherste aber auch unbeliebteste Möglichkeit sich gegen solche BadUSB-Angriffe zu schützen ist es, das Anschließen von USB-Sticks physisch zu verhindern und die USB-Ports dauerhaft und irreversibel zu versiegeln.

Eine weitere Möglichkeit besteht darin, softwareseitig ein Device Control Tool zu aktivieren. Dadurch wird es möglich, den Zugriff auf unbekannte USB-Geräte zu blockieren. Unter Windows kann über Gruppenrichtlinien festgelegt werden, ob neue, unbekannte USB-Geräte installiert werden dürfen, oder ob sie blockiert werden.

Eine weitere Möglichkeit ist das sogenannte Whitelisting. Dabei werden die USB-Geräde, die erlaubt sind, in eine Liste mit „guten“ USB-Geräten aufgenommen. Die Liste ist änderbar und kann natürlich ergänzt werden. USB-Geräte, die nicht auf der Liste stehen, können auch nicht verwendet werden.

 

Die genannten Risiken sind nicht auf USB-Sticks beschränkt. Grundsätzlich kann jedes USB-Gerät also auch Smartphones, externe Festplatten, Kameras, Drucker usw. so manipuliert werden, dass Schadsoftware eingeschleppt werden kann. Darum ist es unbedingt erforderlich, sich für den Umgang mit USB-Geräten sichere Methoden und Vorgehensweisen zu überlegen und diese in der Praxis dann auch umzusetzen. Technische Unterstützung erhalten Sie sicher von Ihrem IT-Fachmann – wir helfen gern bei der Erarbeitung von Richtlinien und Handlungsanweisungen für Ihre Datenschutzdokumentation.

Externer Datenschutzberater in Münster und in der Region Münsterland

Ihr externer Datenschutzberater

Datenschutzberater Münsterland – Anke Blömer bietet Datenschtuzservice als externe Datenschutzbeauftragte für kleine und mittlere Unternehmen in der Region Münsterland,südliches Niedersachsen sowie im Ruhrgebiet an. Unser Schwerpunkt liegt dabei auf der Entwicklung eines belastbaren Datenschutzkonzeptes. Ganz besonders wichtig ist dabei der persönliche und direkte Kontakt zu unseren Klienten. Die Ausgestaltung der gesetzlichen Vorgaben erfolgt in jedem Unternehmen individuell. Darum ist es uns so wichtig, gemeinsam mit Ihnen, eine aussagefähige Datenschutzdokumentation zu erarbeiten.

Was kostet Datenschutz?

Bei Datenschutzbeauftragter Münsterland werden Sie keine bösen Überraschung hinsichtlich der Kosten erleben. Es fallen keine teuren „Erstbegehungskosten“ an oder Sonderzahlungen für Schulungen, außerplanmäßige Servicetermine oder sonst irgendwelche Extrakosten. Datenschutz und Datenschutzberatung ist Vertrauenssache und sehr persönlich. Darum zahlen Sie eine festgelegte Flatrate-Rate. So bleiben die Kosten für Ihre Datenschutzorganisation kalkulierbar und transparent. Unsere Datenschutz-Tarife sind auf die Größe des Unternehmens angepaßt. So können sich auch als Einzelkämpfer professionelle Datenschutzorganisation leisten und gewinnen Wettbewerbsvorteile.

Datenschutzservice für wen?

Den Datenschutzservice von Datenschutzbeauftragter Münsterland können Sie buchen, wenn Sie Ihr Unternehmen in Billerbeck, Coesfeld, Münster, Ahaus, Bocholt, Borken, Steinfurt, Rheine, Gronau, Velen, Metelen, Emsdetten, Haltern am See, Dülmen, Lüdinghausen, Ascheberg, Nordkirchen haben.
Datenschutzberatung und Datenschutzservice bieten wir darüberhinaus auch für Bad Bentheim, Lingen, Nordhorn, Ibbenbüren, Osnabrück sowie im Ruhrgebiet an.
Als Externer Datenschutzberater sind wir auch in Essen, Gelsenkirchen, Dortmund, Bochum, Düsseldorf, Neuss, Ratingen, Velbert, Wuppertal, Remscheid und Bottrop für Unternehmen tätig.




Achtung Abzocke!

Faxe der Datenschutzauskunft-Zentrale verunsichern den Mittelstand

Der europäische Datenschutz gilt nun verbindlich seit ca. 3 Monaten. Die Verunsicherung im Mittelstand ist nach wie vor groß. Auch Nepper, Schlepper, Bauernfänger wittern in diesem wichtigenThema eine gute Möglichkeit, ehrlichen Unternehmer eine fragliche Dienstleistung für viel Geld zu verkaufen. Heute morgen erlangte ich davon Kenntnis, dass ein Unternehmen mit dem klangvollen Namen Datenschutzauskunfts-Zentrale Gewerbebetriebe zum Basisdatenschutz nach EU-DSGVO erfasst. Wie nett von denen!

Dieses Fax erweckt den Anschein, von einer offiziellen Stelle zu kommen. Flüchtige Leser könnten auf die Idee kommen, es handele sich lediglich um eine kostenlose Erfassung zum Datenschutz.  Erst ein Blick ins Kleingedruckte zeigt, dass derjenige der dieses Fax unterschreibt und zurücksendet ein jährliches Abo von 498,00 Euro abschließt, das 3 Jahre Laufzeit hat. Dafür erhält man Formulare und ausfüllfertige Muster.  Wie dieses Unternehmen ein individuelles Verarbeitungsverzeichnis erstellen oder den Melde- und Informationspflichten nachkommen möchte, bleibt ein Rätsel.

Solche Geschäftspraktiken entsprechen ganz und gar nicht unserer Berufsethik als Datenschützer. Hiermit wird vielmehr eine ganze Branche in Verruf gebracht. Das Thema Datenschutz sorgt schon für genügend Verunsicherung im Mittelstand. Da braucht es mit Sicherheit keine zusätzlichen Marktteilnehmer, die im Datenschutz eine willkommene Gelegenheit zur Geldabschöpfung sehen.

Falls Sie so etwas auf den Tisch bekommen, melden Sie sich bitte. Unterschreiben Sie solch ein Formular nicht und faxen Sie es auch nicht zurück. Ihre Unterschrift würde nur bedeuten, dass Sie gut 1.500 Euro ausgegeben haben, dafür den Datenschutz nach wie vor allein angehen müssen. Der Vorgang ist bereits beim Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V. bekannt und zur Zeit wird geprüft, wie gegen diese Geschäftspraktiken vorgegangen wird.

Der Firmensitz der Datenschutzauskunft-Zentrale ist in der Lehnitzstrasse 11 in 16515 Oranienburg.

Abzocker unterwegs: Faxe der Datenschutzauskunftszentrale verunsichern den Mittelstand



Datenschutz-RAP

Wie sensibilisiert man Jugendliche zum Thema Datenschutz? Dazu haben sich der Rapper und Online-Berater Kevin Lehmann und der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e. V.  mit Unterstützung der DATEV-Stiftung Zukunft Gedanken gemacht und ein cooles  Musik-Video produziert. Der Rap-Song „Datenschutz“, den der 18-jährige Musiker und ehrenamtliche Berater bei JUUUPORT selbst geschrieben hat, erzählt von den Gefahren vor allem für junge Leute, die aus Unkenntnis oder Nachlässigkeit im Umgang mit Datenschutz im Internet entstehen können.

Einen ganz herzlichen Dank an die Macher und Unterstützer für diese tolle Arbeit!




Facebook bessert nach

Facebook stellt Vereinbarung für Fanpage Betreiber onlineAm 11.09.2018 hat Facebook erste Informationen zum Abschluss einer Vereinbarung zum Thema gemeinsame Verantwortlichkeit für die Datenverarbeitung auf Fanpages („Page Controller Addendum“) veröffentlicht.

Hier werden Regelungen zur Datenverarbeitung durch Facebook „Insights“ getroffen. Im Moment kann man noch nicht sagen, ob diese Zusätze die Vorgaben des EuGH tatsächlich erfüllt und was die Datenschutzbehörden dazu sagen. Erkennbar ist jedoch, dass Facebook um Rechtssicherheit und DSGVO-Konformität bemüht ist.

Betreiber einer Fanpage sollten nun folgendes tun:

  • Binden Sie eine von Facebook angepasste Datenschutzerklärung (hinsichtlich des EuGH Urteils und des Page Controller Addendums) ein oder verlinken sie diese
  • Nennen Sie eine Rechtsgrundlage für das Tracking. Hier kommt der Auffangtatbestand des Art. 6 I lit f. der DSGVO (Berechtigtes Interesse) in Frage
  • Darüber hinaus treffen Sie Regelungen zur Verantwortlichkeit von Facebook und zur Möglichkeit der Nutzer getroffen werden, ihre datenschutzrechtlich in der DSGVO dargestellten Rechte in Anspruch zu nehmen

 




Facebook-Fanpages weiterhin rechtswidrig

Neues zum Streit um Facebook-FanpagesAm 5. September 2018 beschloss die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder, dass der Betrieb von Facebook-Fanpages weiterhin rechtswidrig bleibt.

Zwar hat Facebook bereits seit längerem Verbesserungen und Maßnahmen angekündigt, mit denen Seitenbetreiber einfacher ihre rechtlichen Verpflichtungen erfüllen können. Doch die bisher umgesetzten Änderungen erachtet die DSK als nicht ausreichend. Insbesondere trackt Facebook weiterhin auch Personen über sog. Cookies mit Identifikatoren, die eigentlich gar keine Facebook-Nutzer sind. Da personenbezogene Daten gerade von Nicht-Facebook-Mitgliedern als besonders schutzwürdig eingestuft werden, verlangt die DSK eine Vereinbarung nach Art. 26 DSGV. Für die Datenverarbeitung verantwortlich sind sowohl Facebook als auch der Seitenbetreiber und müssen somit die Rechtmäßigkeit nachweisen. Der dazu erarbeitete Fragenkatalog der DSK ist jedoch nicht ohne die Mitwirkung von Facebook zu beantworten. Also kann keine Vereinbarung nach Art. 26 zustande kommen.

Aktueller Status ist, dass sämtliche Facebook Fanpages als rechtswidrig einzuschätzen sind und verletzte Personen ihre Rechte gegenüber dem Verantwortlichen geltend machen können. Das ist einerseits Facebook und andererseits der Fanpage-Betreiber selbst. Möglich sind also Abmahnungen und Klagen.