Aufsichtsbehörde

BfDI überreicht seine Berichte zu Datenschutz und Informationsfreiheit

von Sascha Kuhrau
19. Juni 20209. Dezember 2020

An diesem Mittwoch, den 17.06.2020 legte der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) seine Tätigkeitsberichte für beide Bereiche vor. Wichtige Themen darin sind unter anderem Gesundheitsdaten und Dialog in der Gesetzgebung. Die oberste Datenschutzbehörde ist derzeit mit über 250 Planstellen besetzt, in diesem Jahr sollen es über 300 werden.

In diesem Beitrag wird zunächst nur auf den Datenschutzbericht eingegangen und hierbei einige „Schwerpunkte“ gesetzt. Die Gewichtung erhebt nicht den Anspruch repräsentativ für die inhaltliche Gewichtung des zugrundeliegenden Berichts zu sein oder auf Grund des Umfangs allen — jeweils sehr wichtigen — Themen durch Erwähnungen gerecht zu werden.

Zu den Schwerpunktthemen gehörte insb. die Digitalisierung im Gesundheitswesen und Evaluierung der DSGVO. Kernthemen sind

Alltagserleichterung und Praxistauglichkeit,
Datenpannenmeldungen,
Zweckbindung,
Data Protection by Design,
Befugnisse der Aufsichtsbehörden und Sanktionspraxis,
Zuständigkeitsbestimmung, Zusammenarbeit und Kohärenz,
Direktwerbung,
Profiling und
Akkreditierung.

Ferner lag das Augenmerk auf Aspekten der Datenminimierung, Umsetzung der KI, der Einwilligung als Rechtsgrundlage und Stellungnahmen der Datenethikkommission.

Einige Zahlen zur Tätigkeit des BfDI

Im Berichtszeitraum, dem Jahr 2019, wurden dem BfDI über 3.200 Beschwerden zugetragen, davon 44 nach § 60 BDSG, Direktanrufung des Bundesbeauftragten, und 44 gegen Nachrichtendienste. Über 10.000 Anliegen von betroffenen Personen / Bürgern wurden auf schriftlichem oder telefonischem Wege behandelt. Die Meldungen von Datenpannen beliefen sich auf rund 15.000. Insgesamt kam es zu 6 Verwarnungen, 8 Beanstandungen und 2 Geldbußen. 51 Besuchstermine bei Verantwortlichen wurden zur Information und Beratung genutzt, 73 weitere außerdem zu datenschutzrechtlichen Kontrollen.

Empfehlungen des BfDI für Einrichtungen und Bürger

10 Empfehlungen werden schriftlich ausgeführt. Dazu gehören brisante Themen wie die elektronische Patientenakte, Mailverschlüsselung und biometriegestützte Videoüberwachung. Des weiteren wurden die Umsetzungsstatus von Empfehlungen des vorigen BfDI Datenschutzberichts in 20 Punkten resümiert.

Gremienarbeit und Gesetzgebung

Im ersten der hier gemeinsam zusammengefassten Kapitel geht der Bericht auf die Gremienarbeit bei der DSK, der Internationalen Datenschutzkonferenz, dem Europäischen Datenschutzausschuss sowie dem Datenschutz-Ausschuss des Europarats (Konvention 108) ein.

Im Bereich der Gesetzgebung werden u.a. die Anhebung auf 20 Mitarbeiter bei der DSB Bestellpflicht, Regelungslücken bei der Datenverarbeitung gesetzlicher Krankenkassen und die Ausstehende Anpassung des TKG moniert. Auch im Rahmen der Sicherheitsgesetzgebung — wie etwa StPO, Zollfahndungsdienst und der geplanten Darknet Gesetzgebung — gebe es Überarbeitungsbedarf. Auch wurde auf das ZensG 2021, das Projekt der Registermodernisierung und die Gesetzgebung im Gesundheits- und Sozialwesen eingegangen.

Der BfDI Datenschutzbericht zum Thema Sicherheitsbereich

.. behandelte u.a. den CLOUD Act über den weitreichenden Zugriff US amerikanischer Strafverfolgungsbehörden auf Daten bei Internet-Unternehmen. Stellung bezog der BfDI ebenfalls zum Vorschlag der e‑Evidence-Verordnung über das geplante Recht europäischer Strafverfolgungsbehörden, Bestands, Verkehrs- und Inhaltsdaten unmittelbar bei Providern EU grenzübergreifend zu erheben sowie das Projekt „Polizei 2020“. Dabei wurden u.a. Datenspeicherungen und Transparenz der sowie Kontrollen bei Sicherheitsbehörden thematisiert.

Zu weiteren Themen gehörten Drittstaatentransfers, auch hinsichtlich der Auswirkungen des Brexit, Standardvertragsklauseln und der Datenschutz in weiteren grundlegenden Organisationen wie Postwesen und Arbeitsämtern.

Zusammenfassung

Der große Umfang und das vielschichtige Spektrum der im Berichtsjahr 2019 behandelten Themen in prägnantem Dokumentationsstil machen deutlich, dass Inhalte, Neutralität und Transparenz von dieser Behörde sehr ernst genommen werden. Mit klaren Worten und aufgelockert durch Karikaturen (wie etwa auf Seite 49) Vermittelt der vorliegende Bericht Themen, die an Stammtischen gerne als Verschwörungstheorien abgetan werden, auf sachliche und konstruktive Weise.

Datenpannen — jetzt ganz neu entdecken …

von Sascha Kuhrau
16. April 2020

Hatten Sie 2020 in Ihrer Organisation eine Datenpanne? Wenn Sie direkt Nein sagen, gehören Sie entweder zu den episch seltenen Fällen, in denen der Faktor Mensch sowie technische und organisatorische Maßnahmen zu 100% diszipliniert sind oder es gibt bei der internen / externen Kommunikation einfach noch Optimierungsbedarf bei der Identifikation und Bewertung von Datenpannen nach Art. 33 und 34 DSGVO.

Vermeiden und kommunizieren

Es ist bereits die halbe Miete, Datenpannen präventiv — u.a. durch starke IT-Sicherheit, die richtige Softwareimplementierung und klare Richtlinien — auf einen Bruchteil zu reduzieren. Und zusätzlich sein Personal auf einem Sensibilitätsniveau zu haben, dass es Verstöße gegen Datenschutz / Informationssicherheit sowie entsprechende Verdachtsfälle angstfrei und proaktiv intern mitteilt und einer sachgemäßen Dokumentation zuführt, ist die Königsklasse des gelebten Datenschutzes.

Meldungen von Datenpannen

Seit dem Wirksamwerden der DSGVO wird ein erheblicher Anstieg der Meldungen von Datenpannen verzeichnet. Eine Meldung ist nach den Kriterien des Art. 33 DSGVO gesetzliche Pflicht. Mehr als 40.000 Datenpannen wurden seit DSGVO-Einführung europaweit (Bericht der EU-Kommission) und weit über 10.000 in Deutschland allein für 2019 gemeldet. Dabei sind die Gewichtungen in den Bundesländern sehr unterschiedlich. Während das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) „einen großen Anteil“ seiner täglichen Arbeit in der Bearbeitung von Datenschutzverletzungen mit 4.111 gemeldeten Datenpannen in 2019 sieht, wird den 349 in 2019 dem Unabhängigen Landeszentrum für Datenschutz in Schleswig-Holstein gemeldeten Datenpannen verständlicherweise reserviert begegnet.

Dunkelziffer von Datenpannen

Eine höhere Transparenz durch mehr Meldungen und, insbesondere im EU-Vergleich, hohes Pflichtbewusstsein sind sehr gute Tendenzen. Allerdings müssten es realistisch betrachtet noch wesentlich mehr Meldungen sein. In Deutschland sind mehr als 3 Millionen Unternehmen angemeldet, hinzu kommen die staatlichen Einrichtungen und andere Stellen, die aus der DSGVO heraus zur Meldung von Datenpannen nach Art. 33 DSGVO verpflichtet sind.

Aufsichtsbehörden

Meldungen von Datenpannen müssen durchaus nicht mit Nachfragen, Vorortkontrollen oder Bußgeldern verbunden sein. Vielmehr kommt es den Aufsichtsbehörden auch konkret inhaltlich auf Erkenntnisse an, in welchen Bereichen nachgesteuert werden muss. Im Vergleich zu aufgeflogenen Datenschutzverstößen wird das aktive Melden honoriert.

Nicht nur Unternehmen, sondern auch öffentliche Einrichtungen wurden von den Datenschutzaufsichten einer näheren Prüfung unterzogen, wobei zu beiden Bereichen positive wie negative Ergebnisse festgehalten wurden.

Datenpannen bitte dokumentieren / melden

Es liegt nahe, dass sich Organisationen eher unglaubwürdig machen, wenn keinerlei Datenpannen gemeldet bzw. dokumentiert sind. Es empfiehlt sich, Datenpannen und vergleichbare Auffälligkeiten generell — z.B. in Checklistenform — zu dokumentieren. Das Gesetz befreit per Art. 33 Abs. 1 DSGVO von der Meldepflicht, wenn „die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.“ Reichlich unpräzise wird hier ein einzelfallbezogener Ermessensspielraum eröffnet. Das heißt für harmlose (=nicht meldepflichtige) Fälle: Das Ereignis wird intern dokumentiert und man stimmt sich mit seinem Datenschutzbeauftragten über eine fallgerechte Abgrenzung ab und das war´s.

Für meldepflichtige Fälle stehen üblicherweise Online-Formulare auf den Webseiten der Aufsichtsbehörden zur Verfügung.

Kontaktaufnahme mit Daten aus öffentlichem Register

von Sascha Kuhrau
26. März 20209. Dezember 2020

Die Deutsche Gesellschaft für Politikberatung (degepol) hat eine Verwarnung wegen Datenschutzverstoßes von der Berliner Beauftragten für Datenschutz und Informationsfreiheit erhalten. In diesem Zuge erfolgte die Klarstellung, dass die Gewinnung von Daten aus öffentlichen Registern nicht zu jedem Zweck — wie etwa dem Versand personalisierter Werbung — zulässig ist. Dies hat Auswirkungen sowohl auf die werbliche Kontaktaufnahme als solche als auch auf Umfragen, die mit Hilfe solcher Informationen durchgeführt werden, im vorliegenden Fall gegenüber Lobbys.

Beschwerde durch Betroffenen aus Lobbys

Im vorliegenden Fall waren Verbände / deren Vertreter aus dem öffentlichen Register über Lobbys des Bundestags mittels Tabellenexport in Excel angeschrieben und zu Umfragen eingeladen worden. Die zugrunde liegende Beschwerde wurde durch einen Betroffenen Lobby-Angehörigen eingegeben.

Quellenangaben

Die Daten aus dem Lobby-Register seien von der degepol an den Dienstleister onlineumfragen.com weitergegeben worden für den Versand von Anschreiben mit personalisierter Anrede und ohne Hinweis auf Datenquellen. Unter anderem hierin wurde ein Datenschutzverstoß gesehen. Eine Quellenangabe habe mit dem ersten Anschreiben erfolgen müssen und wurde auch in der verlinkten Datenschutzerklärung vermisst — so die Datenschutzaufsicht.

Namen von Lobbyisten

Die Berliner DSB zog ein berechtigtes Interesse der Deutschen Gesellschaft für Politikberatung in Zweifel, nach dem diese die Daten zur Anfertigung einer “aussagekräftigen Studie” zu Honorarzahlungen in der Lobbywelt Deutschlands für erforderlich hielt. Ferner wurde moniert, dass in diesem Zusammenhang Namen Angehöriger von Lobbys ohne Notwendigkeit verarbeitet worden seien.

“Weitere aufsichtsrechtliche Mittel”, auch für einen Wiederholungfall, schloss die Datenschutzbehörde nicht aus. Generell gesprochen kann es sich bei solchen etwa um Vor-Ort-Prüfungen, die Anordnung von Maßnahmen oder die Verhängung von Bußgeldern handeln, um einige Befugnisse der unabhängigen Datenschutzbehörden zu nennen.

Register des Bundestags

Der Bundestag hat bisher kein verbindliches Verzeichnis hierzu herausgegeben. Das Register des Bundestages über Lobbys umfasst momentan über 2300 Einrichtungen, “die eine Aufnahme von sich aus beantragt“ hätten, um ihre Tätigkeiten damit transparent machen zu wollen.

Sicher auch aus Datenschutzsicht eine begrüßenswerte Intention.

Auftragsverarbeitung — Definition, Beispiele, Massnahmen, Risiken (Update) — früher Auftragsdatenverarbeitung

von Sascha Kuhrau
16. März 20208. Dezember 2020
4 Kommentare

Auftragsverarbeitung, das Auslagern von Datenverarbeitungsprozessen durch den Auftraggeber auf externe Dienstleister, ist ein häufiges Mittel zur Kostensenkung und der Nutzung von externem Know How — Stichwort “Outsourcing”. Sind hiervon personenbezogene Daten betroffen, findet Art. 28 DSGVO Auftragsverarbeiter Anwendung.

Schnell kommt es bei der Einschätzung, ob eine Auftragsverarbeitung vorliegt, zu Mißverständnissen und der Auftraggeber läuft Gefahr, gemäß DSGVO mit Geldbußen durch die Datenschutzbehörden belegt zu werden. Von Imageschäden in der Öffentlichkeitswahrnehmung nicht zu reden. Eine sorgfältige Prüfung durch einen Berater für Datenschutz oder einen Datenschutzbeauftragten hilft, diese Risiken zu minimieren und die notwendigen Regelungen umzusetzen.

Folgende Kriterien (Auswahl) unterstützen die Bewertung über das Vorliegen einer Auftragsverarbeitung:

Dem Auftragnehmer fehlt die Entscheidungsbefugnis über die übermittelten Daten.
Dem Auftragnehmer ist die Nutzung der überlassenen Daten über den eigentlichen Überlassungszweck hinaus verboten.
Der Auftragnehmer nutzt nur die ihm überlassenen Daten.
Die Datenverarbeitung wird nach außen durch den Auftraggeber vertreten.
Der Auftragnehmer steht in keiner vertraglichen Beziehung zu den Betroffenen der personenbezogenen Daten.

Einige praktische Beispiele von Auftragsverarbeitung:

Outsourcing des Rechenzentrums (ganz oder teilweise).
Software as a Service / Cloud-Services (nicht nur reine Dateiablage).
Marketingaktionen, Kundenumfragen, Newsletterversand durch eine externe Agentur.
Beauftragung eines Callcenters für Kundensupport oder Kundengewinnung.
Papier- und Aktenvernichtung sowie die Vernichtung von Datenträgern.
Externe Lohn- und Gehaltsabrechnung.
Externe Rechnungsbearbeitung / Buchhaltung.
Zugriff auf personenbezogene Daten vor Ort bei Auftraggeber

Aber auch weitere Leistungen sind ebenfalls von den Regelungen zu Art. 28 DSGVO betroffen (Beispiele):

Wartung von Servern und Computern durch einen externen Dienstleister (wichtig: auch Fernwartung!)
Parametrisierung oder Pflege von Software (Updates etc.), über die Zugriff auf personenbezogene Daten möglich ist.
Systemmigrationen.

Was heisst das jetzt für Sie als Auftraggeber?

Liegt eine Auftragsverarbeitung vor, muss diese schriftlich geregelt werden.
Sie als Auftraggeber müssen die im Vertrag festgeschriebenen Massnahmen zum Datenschutz und zur Datensicherheit beim Auftraggeber in geeigneter Form kontrollieren — im Zweifel persönlich vor Ort beim Auftragnehmer.
Für die Einhaltung der gesetzlichen Datenschutzvorschriften sind Sie als Auftraggeber verantwortlich, nicht der Auftragnehmer (dies wird oft irrtümlich falsch eingeschätzt).
Eine einfache Erklärung des Auftragnehmers über die Einhaltung der Datenschutzvorschriften ist nicht ausreichend!

Was heisst das jetzt für Auftragnehmer?

Als Auftragnehmer haben Sie sich ebenfalls den Regelungen des Art. 28 DSGVO zu unterwerfen und stehen in der Pflicht, Ihren Auftraggeber bei der Umsetzung zu unterstützen.
Zukunftsorientierte Unternehmen haben ein stichhaltiges Datenschutzkonzept samt einer vorformulierten Vereinbarung gem. Art. 28 DSGVO bereits in der Schublade und gehen damit aktiv auf ihre Bestandskunden zu. Ein kleines, aber sehr wirkungsvolles Detail, um sich positiv vom Wettbewerb abzuheben und ihren Auftraggeber von ihrer Leistungsfähigkeit zu überzeugen.
Wenig hilfreich: den Auftraggeber vor die Wahl stellen — entweder ohne diese Vereinbarung samt Kontrollrechte zusammenzuarbeiten oder es eben sein zu lassen. Außer Sie sind sich sicher, Ihrem Auftraggeber ist Ihre Dienstleistung oder Ihr Produkt ohne Regelungen zur Auftragsverarbeitung ein Bußgeld wert.

Mit Bedacht sollten Musterverträge aus dem Internet eingesetzt werden. Teilweise entsprechen diese nicht den aktuellen Regelungen aus den letzten Novellierungen des Datenschutzrechts. Diese können zwar sinnvolle Ansatzpunkte liefern, ersetzen jedoch weder die individuell notwendige Anpassung auf die vorliegende Auftragsverarbeitung noch die rechtlich sichere Einschätzung, welche Maßnahmen hierzu notwendig sind.

Daher kann zur Vermeidung von Bußgeldern und Imageschäden nur jedem Unternehmen und Unternehmer geraten werden, einen Berater / Anwalt für Datenschutz oder Datenschutzbeauftragten hinzuzuziehen. Dieser stellt die korrekte Umsetzung sicher und haftet im Zweifel für mögliche Versäumnisse aus seiner Tätigkeit.

Hilfreiche Links und Tipps zur Auftragsverarbeitung im Internet:

“15 Irrtümer bei der Auftragsdatenverarbeitung” — sehr interessanter und aufklärender Beitrag über die zahlreichen Möglichkeiten, was bei der Bewertung und Umsetzung von Auftrags(daten)verarbeitung alles falsch gemacht werden kann
Div. Infos und Vorlagen des BayLDA zur Auftragsverarbeitung

Bayerisches Landesamt für Datenschutzaufsicht (BayLDA) stellt Tätigkeitsbericht 2015/2016 vor

von Sascha Kuhrau
8. März 2017
1 Kommentar

Auf 158 Seiten gibt der Präsident des Bayerischen Landesamtes für Datenschutzaufsicht (BayLDA), Thomas Kranig einen Überblick über die Arbeit der Datenschutzaufsichtsbehörde für den nicht-öffentlichen Bereich in Bayern für die Jahre 2015 und 2016 ab.

Das BayLDA ist für ca. 700.000 verantwortliche Stellen im nicht-öffentlichen Bereich (Unternehmen, Vereine, Verbände, freiberuflich Tätige etc.) in Bayern zuständig.

Im vorderen Teil des Berichts wird anschaulich auf die Entwicklung von Bürgerbeschwerden, Datenpannen, aber auch Beratungsanfragen seitens nicht-öffentlicher Stellen eingegangen. Der Übersicht ab 2013 ist zu entnehmen, dass es sich bei der zunehmenden Steigerung nicht um einzelne Spitzen, sondern klar um einen Trend handelt. Sind 2013 “nur” 925 Beschwerden über bayerische Unternehmen und Unternehmer eingegangen, so waren es 2016 schon 1.424. Identisch verhält es sich mit der Zahl der Datenpannen (2013 32 gegenüber 85 in 2016). Wobei hier eine deutlich höhere Dunkelziffer seitens des Amts vermutet wird. Bei den Beschwerden liegt das Thema Videoüberwachung auf dem vordersten Platz. Unter anderem sind dafür die mittlerweile sehr preiswerten Überwachungskameras (wie Wildkameras, Dashcams usw.) verantwortlich, jedoch auch ein gesteigertes Sicherheitsbedürfnis. Letzteres führt schnell mal dazu, nicht nur (zulässigerweise) das eigene Grundstück zu observieren, sondern (zumeist unzulässig) angrenzende Grundstücke oder öffentliche Verkehrsflächen mit einzuschließen.

Klassische Datenpannen wie Verlust, Diebstahl oder Fehlversendungen sind im Berichtszeitraum nahezu gleich geblieben. Eine vermehrte Zunahme wurde jedoch im Bereich Cybercrime festgestellt. Hacking von Webseiten, Datenklau in Webshops sowie Verschlüsselungstrojaner standen dabei ganz oben auf der Liste. Gerade die ersten beiden Punkte oft ausgelöst durch fehlende Sicherheitsupdates der Webseiten- und Shop-Software inklusive dazugehöriger Erweiterungen durch die verantwortlichen Unternehmen und Unternehmer.

Im weiteren Verlauf des Tätigkeitberichts wird ein Blick auf die ab Mai 2018 geltende EU-Datenschutzgrundverordnung (EU-DSGVO) geworfen und welche Auswirkungen diese auf nicht-öffentliche Stellen haben wird. Die Verpflichtung zur Bestellung eines Datenschutzbeauftragten wird voraussichtlich in bekannter Weise fortgeführt. Neu ist jedoch die Meldepflicht der Bestellung an die Landesdatenschutzbehörde. Diese rechnet mit einem erheblichen Arbeitsaufwand aufgrund der zu erwartenden tausendfachen Meldungen. [Anmerkung des Autors: Diese Meldepflicht wird natürlich auch Auswirkungen auf Unternehmen haben, die bisher der Bestellpflicht unterlagen, sich aber eine Bestellung erspart haben. Eine Nichtmeldung kann im weiteren Verlauf unangenehme Nachfragen — und bei Verstößen auf Bußgelder auslösen.]

Eine kurze Zusammenfassung können Sie hier herunterladen. Der komplette Tätigkeitsbericht steht hier zum Download bereit.

Bußgeld wegen fehlerhafter Auftragsdatenverarbeitung verhängt

von Sascha Kuhrau
29. August 2015

Langjährige Kunden und Empfänger unserer Datenschutz-Information werden sich an das wiederkehrende Thema dieses Beitrages sicher erinnern und haben die Information am Tag der Veröffentlichung der Presse-Information des BayLDA bereits als Sonder-Newsletter erhalten. Aufgrund der Tragweite des Vorgangs informieren wir hier noch mal auf unserem Datenschutz-Fachblog.

Es geht um das Thema Outsourcing an externe Dienstleister im Hinblick auf möglicherweise betroffene personenbezogene Daten. Das Datenschutzrecht spricht hier von einer Auftragsdatenverarbeitung. Nicht weil hier ein Auftrag vergeben wird, sondern weil im Auftrag der verantwortlichen Stelle jemand Drittes mit den personenbezogenen Daten zu tun hat oder in Kontakt kommt / kommen kann. Die bayerische Landesdatenschutzbehörde hat jetzt wegen fehlerhafter Umsetzung der gesetzlich vorgeschriebenen Verfahrensweise und Inhalte ein Bußgeld verhängt.

Fehlerhafte Auftragsdatenverarbeitung führt zu Bußgeld

Das ist so klar und deutlich in § 43 Absatz 1 Satz 2b BDSG geregelt.

“(1) Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig

2b.: entgegen § 11 Absatz 2 Satz 2 einen Auftrag nicht richtig, nicht vollständig oder nicht in der vorgeschriebenen Weise erteilt oder entgegen § 11 Absatz 2 Satz 4 sich nicht vor Beginn der Datenverarbeitung von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen überzeugt,”

Mit Datum vom 20. August 2015 gibt das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) in Ansbach nun bekannt, dass es gegen ein Unternehmen ein Bußgeld in fünfstelliger Euro-Höhe verhängt hat.

Auslöser war die fehlerhafte Umsetzung der Auftragsdatenverarbeitung. In mehreren Verträgen mit externen Dienstleistern waren die durch den Dienstleister zu treffenden technischen und organisatorischen Schutzmaßnahmen nur sehr oberflächlich und allgemein festgesetzt. Damit sei die gesetzlich vorgeschriebene Kontrolle durch den Auftraggeber nicht durchführbar, ob der Dienstleister in ausreichendem Umfang für die Sicherheit der Daten sorgen kann.
Dabei hat die Behörde bereits berücksichtigt, dass es kein pauschales Schutzniveau gibt, sondern dieses individuell nach Art der Dienstleistung und der betroffenen Daten definiert und vereinbart werden muss.

Was ist zu tun?

In einem ersten Schritt sollten Sie prüfen, ob Sie alle für eine Auftragsdatenverarbeitung in Frage kommenden Dienstleister überhaupt bereits identifiziert haben. Wenn ja, wäre die vertragliche Situation zu prüfen, ob das Schutzniveau des Dienstleisters in ausreichender schriftlicher Form nachgewiesen ist und ob eine gültige Auftragsdatenverarbeitung (Achtung Novelle in 2009 mit neuen Anforderungen!) schriftlich vereinbart wurde.
Wenn nein, sollten Sie zeitnah Ihren Datenschutzbeauftragten informieren, damit dieser alles weitere mit Ihnen zusammen in die Wege leiten kann.

Pressemitteilung des BayLDA vom 20.08.2015
Informationsblatt des BayLDA zum Thema Auftragsdatenverarbeitung
Blogbeitrag a.s.k. Datenschutz zum Thema Auftragsdatenverarbeitung

Härteres Vorgehen der Datenschutzbehörden bei Wettbewerbsverstößen angekündigt

von Sascha Kuhrau
22. April 201515. Oktober 2023
2 Kommentare

Gerade personalisierte Werbung ist nach wie vor ein bewährtes Mittel, um Kunden zu gewinnen. In den letzten Jahre wurden die Auflagen immer strenger. Zumeist als Reaktion auf ausufernde Mißachtung bestehender gesetzlicher Regelungen durch die Werbetreibenden.

Mit dem Gesetz gegen den unlauteren Wettbewerb (UWG) und den Bestimmungen aus dem Bundesdatenschutzgesetz (BDSG) gilt es einiges zu beachten. Nicht nur, um sich nicht den Unmut der potentiellen Käufer zuzuziehen, weil deren Rechte nicht beachtet wurden. Die Aufmerksamkeit der Landesdatenschutzbehörden sollte man ebenfalls zukünftig nicht erregen. Von drohenden Abmahnrisiken mal ganz zu schweigen.

Da ist es auch wenig tröstlich, dass dies nur auf einige schwarze Schafe unter den Werbetreibenden zurückzuführen ist. Leiden müssen darunter alle, die auf Werbung angewiesen sind.

Zu allem Überfluss haben die Datenschutzbehörden das Thema nun auch für sich entdeckt!

Es bleibt nicht unbemerkt

Rechtliche Verstöße bleiben nicht unbemerkt. Denn selbst wenn sich der Betroffene nicht direkt bei dem Werbetreibenden meldet, so bleibt immer noch der Weg zur zuständigen Landesdatenschutzbehörde offen. Und dieser Weg wird auch beschritten.

In einer Pressemitteilung vom 25.11.2014 des Bayerischen Landesamt für Datenschutzaufsicht heisst es:

“Im Jahr 2013 gingen beim BayLDA zum Thema unzulässige Werbung 162 und im Jahr 2014 bisher 149 Eingaben und Beschwerden ein. Mehr als zwei Drittel dieser Beschwerden stellten sich nach Überprüfung durch das BayLDA als begründet, d.h. als Datenschutzverstoß heraus.”

Fehlende oder fehlerhafte Einwilligung

Im Telefonmarketing wurden das fehlende Vorliegen einer gültigen Einwilligung oder auch die Rufnummernunterdrückung als Grund für das Einschreiten der Schutzbehörde aufgeführt. Eine rechtskonforme Einwilligung ist jedoch ebenfalls Voraussetzung für Werbemaßnahmen per Email oder SMS.

Oft konnten die angeblich vorliegenden Einwilligungen durch das betroffene Unternehmen nicht schlüssig belegt werden. Postalische Werbung ist weniger großen Auflagen unterworden. Jedoch darf der Widerrufshinweis hier (auch) nicht fehlen.

Die unzuässige Nutzung von Email-Adressen und Telefonnummern für elektronische Werbung sowie die Postwerbung trotz ausdrücklich erklärtem Werbewiderspruch stellen Tatbestände dar, die mit einem Bußgeld von bis zu 300.000,00 EUR geahndet werden können. Und da hat das UWG sich noch gar nicht mit seinen Konsequenzen zu Wort gemeldet.

Früher oder später kriegen wir euch

So denkt es sich auch das BayLDA im Verbund mit den übrigen Landesdatenschutzbehörden. Es heißt in der Pressemitteilung weiter:

“Nachdem trotz intensiver Informationsarbeit durch alle Datenschutzaufsichtsbehörden […] und auch guten Hinweisen aus den Verbänden der Werbewirtschaft selbst die Zahl der begründeten Eingaben und Beschwerden wegen unzulässiger Werbung nicht zurückgegangen ist, wird das BayLDA die in der letzten Zeit eher zurückhaltende Praxis der Ahndung dieser Verstöße durch Bußgeldverfahren aufgeben und schwerpunktmäßig in der nächsten Zeit die „Missachtung von Werbewidersprüchen“ und die unzulässige „E‑Mail-Werbung zur Neukundengewinnung“ mit Bußgeldern sanktionieren.”

Interessant ist der abschließende Aspekt dieses Statements, auf die üblicherweise vorgezogenen Auflagen zu Gunsten von Bußgeldern zu verzichten. Die Behörde wird bei dem Thema also keinen Spaß mehr verstehen, hat es den Anschein.

Hilfestellung zum rechtskonformen Einsatz personenbezogener Daten gibt das BayLDA in einem PDF Dokument schon seit geraumer Zeit (Anwendungshinweise zur Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten für werbliche Zwecke).

Sie können aber auch einfach Ihren Datenschutzbeauftragten fragen. Dieser hilft Ihnen auch beim Erstellen rechtsgültiger Einwilligungen. Unangenehm ist nämlich, dass Sie alle Daten löschen müssen, die Sie über eine ungültige (also fehlerhaft formulierte und gestaltete) Einwilligung an sich genommen haben. Sie haben noch keinen Datenschutzbeauftragten? Sprechen Sie uns an

Bayerisches Landesamt für Datenschutz prüft Einsatz von Google Analytics auf bayerischen Webseiten

von Sascha Kuhrau
8. Mai 2012
2 Kommentare

Bayerns Webseitenbetreiber im Visier

Das Bayerische Landesamt für Datenschutzaufsicht teilte gestern mit, den Einsatz des Webtracking-Tools Google Analytics auf 13.404 Webseiten mit Betreibern aus Bayern mittels einer eigens entwickelten Software überprüft zu haben.

10.955 der geprüften Webseiten setzten Google Analytics nicht ein. Auf den verbliebenen 2.449 Webseiten wäre das beliebte Webtracking-Tool lediglich in 3% aller Fälle datenschutzkonform umgesetzt. Die verbleibenden 2.371 Webseitenbetreiber erhalten in den kommenden Tagen Post von der Landesdatenschutzbehörde mit der Aufforderung zur Abstellung des nicht konformen Einsatzes.

Noch zeitgemäß?

Seit langem wird heiß diskutiert, ob und inwieweit Google Analytics datenschutzkonform nach deutschem Recht einsetzbar ist. Viele der notwendigen Sachverhalte lassen sich mit unserem aktuellen Bundesdatenschutzgesetz nicht korrekt umsetzen oder darstellen. Diese Diskussion sollte jedoch nicht dazu verleiten, nach dem Motto “Augen zu und durch” zu verfahren.

Noch dazu, wo es doch eine kostenfreie, leistungsfähige und beanstandungsfreie Alternative wie das Open Source Tool PIWIK gibt. Wie das einzusetzen ist, lesen Sie in unserem Blog-Beitrag (ursprünglich vom 16.03.2011).

Facebooks “Gefällt mir” / “Like” nun bundesweit unter Beschuss

von Sascha Kuhrau
19. Dezember 2011

Bundesweite Unterstützung für Position des ULD

Am 08.12.2011 trat der sog. “Düsseldorfer Kreis”, ein Zusammenschluss der deutschen Datenschutzbehörden zusammen. Tags darauf folgte eine entsprechende Pressemeldung. Bundesweit stellen sich die Landesdatenschutzbehörden hinter die Position des ULD (Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein), wonach der Einsatz des sog. “Gefällt mir”-/Like-Buttons, sog. social plugins sowie von Facebook Fanpages gegen deutsches Datenschutzrecht verstößt.

Im Klartext heißt es im Beschluss der obersten Aufsichtsbehörden:

“In Deutschland ansässige Unternehmen, die durch das Einbinden von Social Plugins eines Netzwerkes auf sich aufmerksam machen wollen oder sich mit Fanpages in einem Netzwerk präsentieren, haben eine eigene Verantwortung hinsichtlich der Daten von Nutzerinnen und Nutzern ihres Angebots. Es müssen zuvor Erklärungen eingeholt werden, die eine Verarbeitung von Daten ihrer Nutzerinnen und Nutzer durch den Betreiber des sozialen Netzwerkes rechtfertigen können. Die Erklärungen sind nur dann rechtswirksam, wenn verlässliche Informationen über die dem Netzwerkbetreiber zur Verfügung gestellten Daten und den Zweck der Erhebung der Daten durch den Netzwerkbetreiber gegeben werden können.

Anbieter deutscher Websites, die in der Regel keine Erkenntnisse über die Datenverarbeitungsvorgänge haben können, die beispielsweise durch Social Plugins ausgelöst werden, sind regelmäßig nicht in der Lage, die für eine informierte Zustimmung ihrer Nutzerinnen und Nutzer notwendige Transparenz zu schaffen. Sie laufen Gefahr, selbst Rechtsverstöße zu begehen, wenn der Anbieter eines sozialen Netzwerkes Daten ihrer Nutzerinnen und Nutzer mittels Social Plugin erhebt. Wenn sie die über ein Plugin mögliche Datenverarbeitung nicht überblicken, dürfen sie daher solche Plugins nicht ohne weiteres in das eigene Angebot einbinden.”

Zur Vorgeschichte

Im August 2011 hat das ULD ausgewählte Stellen in Schleswig-Holstein auf Basis dieser Rechtsauffassung aufgefordert, auf “Gefällt mir”-/Like-Buttons und Fanpages zu verzichten. Gegen diese Anordnungen wurde Widerspruch eingelegt, das ULD rechnet mit Klageerhebung noch im Dezember 2011. Den kompletten Ablauf mit zahlreichen weiteren Rahmeninformationen können Sie hier nachlesen.

Welches Risiko besteht für Webseitenbetreiber?

“Nach einem Gespräch mit Wirtschaftspolitikern der CDU- und der FDP-Landtagsfraktion weist das ULD nochmals darauf hin, dass es kurzfristig nicht gegen kleinere schleswig-holsteinische Unternehmen wegen Facebook-Fanpages oder „Gefällt mir“-Buttons vorgehen wird”, so der Wortlaut in der Pressemeldung vom 09.12.2011. Dies sollte jedoch nicht dahingehend verstanden werden, mit der Nutzung einfach fortzufahren. Der Rechtsverstoß bleibt bestehen.

Mit Augenmaß

Es sind alle Beteiligten (Dienste-Anbieter, Nutzer und Behörden) gefordert, an den Sachverhalt mit Augenmaß heranzugehen und eine Lösung zu finden, die am Ende den Anforderungen und Bedürfnissen aller Beteiligten und dem Thema Datenschutz gerecht wird. Ein komplettes bundesweites Verbot des Facebook “Gefällt mir”- / Like-Buttons, der hier stellvertretend für zahlreiche andere Services dieser Art steht, würde im Zeitalter der Technologisierung, Medialisierung und Vernetzung einen nicht zu unterschätzenden Wettbewerbsnachteil für deutsche Unternehmen bedeuten.

Quellen:

Pressemeldung des ULD vom 09.12.2011
Beschluss des Düsseldorfer Kreises vom 08.12.2011
Gesammelte Informationen des ULD zum Thema
Blog-Beitrag von datenschutzbeauftragter-info.de

Zum Thema auf diesem Blog:

Hilfreiche Links

Wollen Sie die Risiken aus dem Bundesdatenschutzgesetz für Ihr Unternehmen minimieren? Eine passende Lösung finden Sie sicher in unserem Leistungsangebot.
Unsicher, ob für Ihr Unternehmen die gesetzliche Bestellpflicht für einen (externen) Datenschutzbeauftragten vorliegt? Die Antwort gibt unser Datenschutz-Quick-Check, siehe Leistungen.
Sie wollen eine unabhängige Prüfung, wie gut es um Datenschutz und Datensicherheit in Ihrem Unternehmen bestellt ist? Kein Problem mit unseren Leistungen.
Schulungsbedarf für Ihre Mitarbeiter? Zusätzliche Trainings und Workshops rund um Datenschutz und Datensicherheit? Erfahren Sie mehr über unsere Schulungen und Seminare.
Anleitungen, Ratgeber und Links, die das tägliche Arbeiten erleichtern und helfen können, Datenpannen zu vermeiden, finden Sie in der Rubrik Anleitungen / Ratgeber.

Bildnachweis

ULD stellt Webseitenbetreibern Ultimatum — Social Plugins von Facebook müssen weg (Update 2)

von Sascha Kuhrau
9. September 2011
4 Kommentare

Soziale Netzwerke sind aus dem Nutzungsalltag des Internet nicht mehr wegzudenken. Trotz neuer Konkurrenz durch Google+ hat Facebook hier die Nase (noch) deutlich vorn. Doch es ist nicht alles Gold, was glänzt — und erst recht nicht erlaubt.

Das ULD nimmt Stellung

Die Landesdatenschutzbehörde Schleswig-Holsteins (ULD) setzt sich lange und intensiv mit der Problematik der sozialen Netzwerke und der Anwendung des deutschen Bundesdatenschutzgesetzes (BDSG) auseinander. In einer aktuellen Pressemitteilung vom 19.08.2011 findet das ULD sehr klare Worte:

“Das Unabhängige Landeszentrum für Datenschutz (ULD) fordert alle Stellen in Schleswig-Holstein auf, ihre Fanpages bei Facebook und Social-Plugins wie den „Gefällt mir“-Button auf ihren Webseiten zu entfernen. Nach eingehender technischer und rechtlicher Analyse kommt das ULD zu dem Ergebnis, dass derartige Angebote gegen das Telemediengesetz (TMG) und gegen das Bundesdatenschutzgesetz (BDSG) bzw. das Landesdatenschutzgesetz Schleswig-Holstein (LDSG SH) verstoßen. Bei Nutzung der Facebook-Dienste erfolgt eine Datenweitergabe von Verkehrs- und Inhaltsdaten in die USA und eine qualifizierte Rückmeldung an den Betreiber hinsichtlich der Nutzung des Angebots, die sog. Reichweitenanalyse. Wer einmal bei Facebook war oder ein Plugin genutzt hat, der muss davon ausgehen, dass er von dem Unternehmen zwei Jahre lang getrackt wird. Bei Facebook wird eine umfassende persönliche, bei Mitgliedern sogar eine personifizierte Profilbildung vorgenommen. Diese Abläufe verstoßen gegen deutsches und europäisches Datenschutzrecht. Es erfolgt keine hinreichende Information der betroffenen Nutzerinnen und Nutzer; diesen wird kein Wahlrecht zugestanden; die Formulierungen in den Nutzungsbedingungen und Datenschutzrichtlinien von Facebook genügen nicht annähernd den rechtlichen Anforderungen an gesetzeskonforme Hinweise, an wirksame Datenschutzeinwilligungen und an allgemeine Geschäftsbedingungen.”

Das Ultimatum

Bis Ende September 2011 haben Webseitenbetreiber aus Schleswig-Holstein nun Zeit, die entsprechenden Dienste auf ihren eigenen Webseiten zu deaktivieren und damit die unrechtmäßige Datenweitergabe an Facebook einzustellen. Das ULD weist darauf hin, weitergehende Maßnahmen zu ergreifen für den Fall des Zuwiderhandelns — bis hin zu möglichen 50.000 EUR Bußgeld aus dem TMG (Telemediengesetz).

„Das ULD weist schon seit längerem informell darauf hin, dass viele Facebook-Angebote rechtswidrig sind. Dies hat leider bisher wenige Betreiber daran gehindert, die Angebote in Anspruch zu nehmen, zumal diese einfach zu installieren und unentgeltlich zu nutzen sind. Hierzu gehört insbesondere die für Werbezwecke aussagekräftige Reichweitenanalyse. Gezahlt wird mit den Daten der Nutzenden. Mit Hilfe dieser Daten hat Facebook inzwischen weltweit einen geschätzten Marktwert von über 50 Mrd. Dollar erreicht. Allen Stellen muss klar sein, dass sie ihre datenschutzrechtliche Verantwortlichkeit nicht auf das Unternehmen Facebook, das in Deutschland keinen Sitz hat, und auch nicht auf die Nutzerinnen und Nutzer abschieben können.“Weiterlesen »ULD stellt Webseitenbetreibern Ultimatum — Social Plugins von Facebook müssen weg (Update 2)

Aufsichtsbehörde

Eini­ge Zah­len zur Tätig­keit des BfDI

Emp­feh­lun­gen des BfDI für Ein­rich­tun­gen und Bür­ger

Gre­mi­en­ar­beit und Gesetz­ge­bung

Der BfDI Daten­schutz­be­richt zum The­ma Sicher­heits­be­reich

Zusam­men­fas­sung

Ver­mei­den und kom­mu­ni­zie­ren

Mel­dun­gen von Daten­pan­nen

Dun­kel­zif­fer von Daten­pan­nen

Auf­sichts­be­hör­den

Daten­pan­nen bit­te doku­men­tie­ren /​ mel­den

Beschwer­de durch Betrof­fe­nen aus Lobbys

Quel­len­an­ga­ben