Mann mit Lupe - Unter Beobachtung

Mann mit Lupe - Unter BeobachtungNach­dem gera­de die baye­ri­sche Lan­des­da­ten­schutz­be­hör­de offi­zi­ell das Vor­ge­hen gegen baye­ri­sche Unter­neh­mens­web­sei­ten mit nicht kor­rekt umge­setz­ten Goog­le Ana­ly­tics Instal­la­tio­nen kund­ge­tan hat, ver­sen­det nun auch die Lan­des­da­ten­schutz­be­hör­de Nord­rhein-Wets­fa­len ers­te Anschrei­ben. Im Visier: Unter­neh­men mit Sitz im Bun­des­land und einem Web­auf­tritt der als Tracking Tool das belieb­te Goog­le Ana­ly­tics einsetzt.

Den ange­schrie­be­nen Unter­neh­men wird aus­führ­lich die recht­li­che Grund­la­ge erklärt und die lt. Behör­de kor­rek­te Ein­satz­wei­se des Tools dar­ge­stellt. Ein mehr­sei­ti­ger Fra­ge­bo­gen samt Bestä­ti­gung des Unter­neh­mens über den nun kor­ri­gier­ten und bean­stan­dungs­frei­en Ein­satz von Goog­le Ana­ly­tics ist bei­gefügt und inner­halb einer ange­mes­se­nen Frist aus­ge­füllt und unter­schrie­ben zurückzusenden.

Unse­re Emp­feh­lung: neh­men Sie die­ses Schrei­ben ernst und reagie­ren ange­mes­sen und zeit­nah. Die Buß­gel­der für den nicht kor­rek­ten Ein­satz des Tools sowie auf eine feh­len­de oder falsch erteil­te Rück­aus­kunft sind in dem Schrei­ben gleich benannt.

Die ein­fachs­te Lösung: stel­len Sie doch gleich auf das Open Source Tool PIWIK um. Die­ses steht Goog­le Ana­ly­tics als rei­nes Tracking Tool in nichts nach und es gibt eine ein­fa­che Schritt für Schritt Anlei­tung, wie es rechts­si­cher instal­liert und kon­fi­gu­riert wird. Eine Anlei­tung fin­den Sie auch hier im Blog.

Im Zwei­fel fra­gen Sie doch ein­fach Ihren exter­nen Daten­schutz­be­auf­trag­ten. Sie haben kei­nen? Dann ist mög­li­cher­wei­se Zeit zum Han­deln, falls die gesetz­li­che Bestell­pflicht für Ihr Unter­neh­men vor­liegt. Sonst droht das nächs­te Unge­mach in Form von Buß­gel­dern. For­dern Sie doch ein­fach und schnell Ihr unver­bind­li­ches Ange­bot an.

Mann mit Lupe - Unter Beobachtung

Mann mit Lupe - Unter BeobachtungBay­erns Web­sei­ten­be­trei­ber im Visier

Das Baye­ri­sche Lan­des­amt für Daten­schutz­auf­sicht teil­te ges­tern mit, den Ein­satz des Web­tracking-Tools Goog­le Ana­ly­tics auf 13.404 Web­sei­ten mit Betrei­bern aus Bay­ern mit­tels einer eigens ent­wi­ckel­ten Soft­ware über­prüft zu haben.

10.955 der geprüf­ten Web­sei­ten setz­ten Goog­le Ana­ly­tics nicht ein. Auf den ver­blie­be­nen 2.449 Web­sei­ten wäre das belieb­te Web­tracking-Tool ledig­lich in 3% aller Fäl­le daten­schutz­kon­form umge­setzt. Die ver­blei­ben­den 2.371 Web­sei­ten­be­trei­ber erhal­ten in den kom­men­den Tagen Post von der Lan­des­da­ten­schutz­be­hör­de mit der Auf­for­de­rung zur Abstel­lung des nicht kon­for­men Einsatzes.

Noch zeit­ge­mäß?

Seit lan­gem wird heiß dis­ku­tiert, ob und inwie­weit Goog­le Ana­ly­tics daten­schutz­kon­form nach deut­schem Recht ein­setz­bar ist. Vie­le der not­wen­di­gen Sach­ver­hal­te las­sen sich mit unse­rem aktu­el­len Bun­des­da­ten­schutz­ge­setz nicht kor­rekt umset­zen oder dar­stel­len. Die­se Dis­kus­si­on soll­te jedoch nicht dazu ver­lei­ten, nach dem Mot­to “Augen zu und durch” zu verfahren.

Noch dazu, wo es doch eine kos­ten­freie, leis­tungs­fä­hi­ge und bean­stan­dungs­freie Alter­na­ti­ve wie das Open Source Tool PIWIK gibt. Wie das ein­zu­set­zen ist, lesen Sie in unse­rem Blog-Bei­trag (ursprüng­lich vom 16.03.2011).

Vor­tei­le eines exter­nen Datenschutzbeauftragten

Unter­neh­men und Ver­ei­ne hat­ten schon vor der DSGVO die Mög­lich­keit, sich die Vor­tei­le eines exter­nen Daten­schutz­be­auf­trag­ten zu sichern. Bis Mai 2018 war es für öffent­li­che Stel­len (Behör­den, Kom­mu­nen) je nach Bun­des­land sehr unter­schied­lich gere­gelt. Doch mit der DSGVO hat sich das geän­dert und auch die­se Ein­rich­tun­gen kom­men nun in den Genuß der Vor­tei­le eines exter­nen Datenschutzbeauftragten.

Daten­schutz geht alle an — Unter­neh­men, Unter­neh­mer und Behörden

Wer per­so­nen­be­zo­ge­ne Daten erhebt, ver­ar­bei­tet oder nutzt, unter­liegt den Rege­lun­gen der DSGVO, zusätz­lich des Bun­des­da­ten­schutz­ge­set­zes (BDSG) und als kom­mu­na­le Ein­rich­tun­gen des jewei­li­gen Lan­des­da­ten­schutz­ge­set­zes. Die­se Geset­ze gel­ten aus­nahms­los für Unter­neh­men, Unter­neh­mer, Behör­den und kom­mu­na­le Ein­rich­tun­gen — unab­hän­gig von der Anzahl der Mit­ar­bei­ter oder vor­han­de­nen Schwei­ge­pflich­ten. Die Anfor­de­run­gen sind hoch und Ver­stö­ße — ganz unab­hän­gig von image­schä­di­gen­den Daten­pan­nen — kos­ten schnell mal Geld.

Die Pflicht zur Benen­nung eines Daten­schutz­be­auf­trag­ten wur­de im Zuge der DSGVO für öffent­li­che Stel­len ver­ein­heit­licht. Wie Unter­neh­men kön­nen die­se sich nun die Vor­tei­le eines exter­nen Daten­schutz­be­auf­trag­ten sichern, die Pflicht zur Benen­nung eines Daten­schutz­be­auf­trag­ten besteht gene­rell für alle Behör­den und Kommunen.

Per­so­nen­be­zo­ge­ne Daten

Die­se fal­len im Tages­ge­schäft über­all an — Mit­ar­bei­ter, Bewer­ber, Kun­den, Bür­ger, Lie­fe­ran­ten, Inter­es­sen­ten — und sind ent­we­der in IT-Sys­te­men oder auf Papier (z.B. Per­so­nal­ak­te) gespei­chert. Die­se Daten gilt es, vor Ver­lust, Zer­stö­rung und Miß­brauch (auch im eige­nen Haus) zu schüt­zen. Wer­den die Vor­schrif­ten nicht umge­setzt oder kommt es zu einer Daten­pan­ne, wer­den oft­mals gera­de für Unter­neh­men und Ver­ei­ne emp­find­li­che Buß­gel­der fällig.

Qual der Wahl, wenn ein Daten­schutz­be­auf­trag­ter benannt wer­den muss

Ab einer gewis­sen Mit­ar­bei­ter­an­zahl (manch­mal reicht jedoch bereits ein bestimm­ter Geschäfts­zweck) ist die Bestel­lung eines Daten­schutz­be­auf­trag­ten gesetz­lich vor­ge­schrie­ben. Öffent­li­che Stel­len müs­sen unab­hän­gig von der Mit­ar­bei­ter­zahl einen Daten­schutz­be­auf­trag­ten benen­nen. Die Benen­nung kann intern oder extern erfol­gen. Eine feh­len­de, eine ver­spä­te­te oder eine sog. “pro for­ma” Bestel­lung ist kein Kava­liers­de­likt und wird eben­falls mit Buß­gel­dern geahndet

Der Gesetz­ge­ber läßt Ihnen die freie Wahl – sichern Sie sich daher die Vor­tei­le eines exter­nen Daten­schutz­be­auf­trag­ten für Ihre Orga­ni­sa­ti­on. Die Auf­ga­ben eines Daten­schutz­be­auf­trag­ten sind sehr viel­fäl­tig. Exter­ne Daten­schutz­be­auf­trag­te haben hier schnell die Vor­tei­le auf ihrer Seite.

Externer Datenschutzbeauftragter als Team die bessere Lösung

Kla­re Vor­tei­le für die Wahl eines exter­nen Datenschutzbeauftragten

Inter­ner Daten­schutz­be­auf­trag­terExter­ner Datenschutzbeauftragter
Nicht wei­sungs­ge­bun­denArbei­tet im Rah­men des Projektauftrags
Frei in sei­ner ZeiteinteilungFest defi­nier­te Zeitrahmen
Erwei­ter­ter KündigungsschutzKann wie jeder Ver­trag gekün­digt werden
Kann nicht abbe­ru­fen werdenExter­ne Bestel­lung widerrufbar
Kos­ten für Fort­bil­dung trägt das UnternehmenTrägt Kos­ten für Fort- und Wei­ter­bil­dun­gen selbst, muss die­se nachweisen
Kein Ver­si­che­rungs­schutzVer­si­che­rungs­schutz im Rah­men der Beraterhaftung
Intrans­pa­ren­te KostenKos­ten sind kal­ku­lier­bar und jeder­zeit nachvollziehbar
Inter­es­sens­kon­flik­te vorprogrammiertKei­ne Kon­flik­te, da nur ein Ziel: Datenschutz
Inter­dis­zi­pli­när und branchenübergreifend

Der obers­te Daten­schüt­zer Deutsch­lands Peter Schaar bringt es auf den Punkt:

“Mei­ne Befürch­tun­gen hin­sicht­lich der zuneh­men­den Ver­wen­dung der Steu­er-ID in den ver­schie­dens­ten Lebens­be­rei­chen haben sich lei­der bestä­tigt. Ich stel­le mit Besorg­nis fest, dass die Ver­wen­dungs­mög­lich­kei­ten der Steu­er-ID schlei­chend aus­ge­wei­tet wer­den. Nicht nur Finanz­be­hör­den, son­dern auch Ban­ken, Ver­si­che­run­gen und Kran­ken­kas­sen ver­wen­den mitt­ler­wei­le die Steu­er-ID. Wer heu­te ein Kon­to eröff­nen will oder Eltern­geld bean­tragt, muss dafür sei­ne Steu­er-ID ange­ben. Damit droht die Steu­er-ID durch die Hin­ter­tür zu einem all­ge­mei­nen Per­so­nen­kenn­zei­chen zu wer­den, eine Ent­wick­lung, die von Ver­ant­wort­li­chen bei der Ein­füh­rung der Steu­er-ID vehe­ment bestrit­ten wurde.”

Schaar übt berech­tig­te Kri­tik an der Aus­wei­tung des ursprüng­lich ange­dach­ten Ein­satz­be­rei­ches der Steu­er-ID, weit über die Gren­zen der Steu­er­ver­wal­tung hinaus.

Durch die zuneh­men­de Abfra­ge und Spei­che­rung der ID, z.B. bei der Eröff­nung eines Bank­kon­tos oder der Bean­tra­gung von Sozi­al­leis­tun­gen ent­wick­le sich die Steu­er-ID immer mehr zu einem ein­deu­ti­gen Per­so­nen­kenn­zei­chen. Dies wur­de von den Ver­ant­wort­li­chen bei der Ein­füh­rung vor vier Jah­ren vehe­ment bestrit­ten, die Rea­li­tät sieht wohl anders aus.

Hilf­rei­che Datenschutz-Links

  • Wol­len Sie die Risi­ken aus dem Bun­des­da­ten­schutz­ge­setz für Ihr Unter­neh­men mini­mie­ren? Eine pas­sen­de Lösung fin­den Sie sicher in unse­rem Leis­tungs­an­ge­bot.
  • Unsi­cher, ob für Ihr Unter­neh­men die gesetz­li­che Bestell­pflicht für einen (exter­nen) Daten­schutz­be­auf­trag­ten vor­liegt? Die Ant­wort gibt unser Daten­schutz-Quick-Check, sie­he Leis­tun­gen.
  • Sie wol­len eine unab­hän­gi­ge Prü­fung, wie gut es um Daten­schutz und Daten­si­cher­heit in Ihrem Unter­neh­men bestellt ist? Kein Pro­blem mit unse­ren Leis­tun­gen.
  • Schu­lungs­be­darf für Ihre Mit­ar­bei­ter? Zusätz­li­che Trai­nings und Work­shops rund um Daten­schutz und Daten­si­cher­heit? Erfah­ren Sie mehr über unse­re Schu­lun­gen und Semi­na­re.
  • Anlei­tun­gen, Rat­ge­ber und Links, die das täg­li­che Arbei­ten erleich­tern und hel­fen kön­nen, Daten­pan­nen zu ver­mei­den, fin­den Sie in der Rubrik Anlei­tun­gen /​ Rat­ge­ber.

Mel­de­pflicht von Datenpannen

Seit 2009 müs­sen sich Unter­neh­men, die per­so­nen­be­zo­ge­ne Daten “ver­lie­ren” und eine mel­de­pflich­ti­ge Daten­pan­ne ver­ur­sa­chen, unter ande­rem eigen­stän­dig bei der für sie zustän­di­gen Lan­des­da­ten­schutz­be­hör­de mel­den und die Betrof­fe­nen aus­führ­lich infor­mie­ren. Der erzie­he­ri­sche Effekt durch das Bekannt­wer­den in der Öffent­lich­keit ist bewußt eingeplant.

Gleich­be­rech­ti­gung — auch im Datenschutz?

Der Gesetz­ge­ber war jedoch der Mei­nung, “sei­ne” Behör­den und deren Daten­pan­nen von der Mel­de­pflicht aus­neh­men zu müs­sen. Über die Grün­de läßt sich nur spe­ku­lie­ren. Nur so ist jedoch zu erklä­ren, wie­so Ver­brau­cher Behör­den mit der Schul­no­te 2,9 noch als ver­trau­ens­wür­di­ger vor allen ande­ren “Bran­chen” ein­stu­fen. Pan­nen wer­den meist nur durch den Pro­test sei­tens Betrof­fe­ner bekannt.

Kri­tik vom Bundesdatenschutzbeauftragten

Der Bun­des­da­ten­schutz­be­auf­trag­te Peter Schaar übt Kri­tik. Sei­ner Mei­nung nach müss­ten Behör­den hier den glei­chen stren­gen Rege­lun­gen unter­wor­fen wer­den wie Unter­neh­men. Behör­den und Ver­wal­tun­gen set­zen auf EDV-gestütz­te Ver­fah­ren, sind unter­ein­an­der ver­netzt, spei­chern teil­wei­se sen­si­ble­re Infor­ma­tio­nen als die meis­ten Unter­neh­men. Schaar sieht kei­nen Grund, war­um hier mit unter­schied­li­chen Maß­stä­ben bemes­sen wird.

“Eine sol­che Infor­ma­ti­ons­pflicht moti­viert die ver­ant­wort­li­chen Stel­len, mehr für die Daten­si­cher­heit und den Daten­schutz zu tun. Ich kann über­haupt nicht nach­voll­zie­hen, war­um hier für Daten­schutz­ver­stö­ße staat­li­cher und pri­va­ter Stel­len unter­schied­li­che Maß­stä­be ange­legt werden.”

Er emp­fiehlt, das Ber­li­ner Lan­des­da­ten­schutz­ge­setz zum Vor­bild zu neh­men. Dies sieht in § 18 a BlnDSG bereits die Mel­de­pflicht für Behör­den vor.

Wie ist Ihre Mei­nung dazu? Hin­ter­las­sen Sie einen Kom­men­tar, dis­ku­tie­ren Sie mit.

Hilf­rei­che Datenschutz-Links

  • Wol­len Sie die Risi­ken aus dem Bun­des­da­ten­schutz­ge­setz für Ihr Unter­neh­men mini­mie­ren? Eine pas­sen­de Lösung fin­den Sie sicher in unse­rem Leis­tungs­an­ge­bot.
  • Unsi­cher, ob für Ihr Unter­neh­men die gesetz­li­che Bestell­pflicht für einen (exter­nen) Daten­schutz­be­auf­trag­ten vor­liegt? Die Ant­wort gibt unser Daten­schutz-Quick-Check, sie­he Leis­tun­gen.
  • Sie wol­len eine unab­hän­gi­ge Prü­fung, wie gut es um Daten­schutz und Daten­si­cher­heit in Ihrem Unter­neh­men bestellt ist? Kein Pro­blem mit unse­ren Leis­tun­gen.
  • Schu­lungs­be­darf für Ihre Mit­ar­bei­ter? Zusätz­li­che Trai­nings und Work­shops rund um Daten­schutz und Daten­si­cher­heit? Erfah­ren Sie mehr über unse­re Schu­lun­gen und Semi­na­re.
  • Anlei­tun­gen, Rat­ge­ber und Links, die das täg­li­che Arbei­ten erleich­tern und hel­fen kön­nen, Daten­pan­nen zu ver­mei­den, fin­den Sie in der Rubrik Anlei­tun­gen /​ Rat­ge­ber.