Bußgeld

Dashcams erlaubt? Im Datenschutz Check

von Sascha Kuhrau
25. Mai 20209. Dezember 2020
6 Kommentare

Wer hat nicht schon einmal mit einer solchen geliebäugelt? Der Komfort und die Rechtssicherheit der Dashcams, kleine Kameras hinter der Windschutzscheibe, am Lenker oder welche Vehikel auch immer bevorzugt werden, erscheinen als eindeutiges Verhältnismäßigkeitskriterium. Allerdings sind sie durchaus nicht uneingeschränkt und in jedem Land erlaubt. Was zu beachten ist, erklärt dieser Beitrag.

Die Funktionsweise

Dashcams sollen insbesondere das Verkehrsgeschehen und ‑unfälle aufzeichnen, um tatsachenwidrigen bzw. parteiischen Aussagen entgegenzuwirken und eine eindeutige Beweisführung zu ermöglichen. Dass die Videos jeden Aufgenommenen belasten können — einschließlich des Dashcam Besitzers, muss nicht gesondert erwähnt werden. Angeschlossen an die Bordelektronik und / oder per Akku sind sie in der Lage, auf Micro SD Karten im Gigabyte Bereich in Endlosschleife aufzuzeichnen. Diverse Modelle haben auch Bewegungssensoren und Infrarotsicht.

Dashcams in der praktischen Anwendung

Die Aufzeichnung amtlicher Kennzeichen und Personen ist eine Verarbeitung personenbezogener Daten. Das online Stellen kenntlicher Inhalte ist selbstverständlich eindeutig ein Verstoß gegen die informationelle Selbstbestimmung. Aus behördlicher Datenschutzsicht geht der Tenor dahin, dass der Betrieb von Dashcams auch dann als unzulässig zu betrachten ist, wenn kurz und anlassbezogen aufgezeichnet wird, da naturgemäß keine Informationspflichten über Zweck etc. mitgeteilt werden können. Nicht umsonst achtet man bei Videoüberwachung in Firmen und anderen Einrichtungen auf Beschilderung außerhalb des Erfassungsbereichs u.a. mit den Zwecken und den Daten des Aufzeichnenden.

Die Kriterien einer datenschutzkonformen Videoaufzeichnung sind nicht in Stein gemeißelt, aber klar definierbar. Generell geht es um die Kenntnis der konkreten Umstände und einer sachgerechten Abwägung der Rechtsgüter.

Auch Generell Iin Fragen der richtigen Beurteilung und der rechtssicheren datenschutzkonformen Prozessgestaltung steht Ihnen unser Team als externe Datenschutzbeauftragte und Informationssicherheitsbeauftragte zur Seite.

Die Frage zur Zulässigkeit von Dashcams vor dem BGH

In seiner Entscheidung VI ZR 233/17 vom 15.05.2018 entschied der Bundesgerichtshof, dass Dashcam-Aufzeichnungen im Unfallhaftpflichtprozess aus zivilrechtlicher Sicht verwertbar sein können. Im Einzelfall sei jedenfalls eine Interessen- und Güterabwägung vorzunehmen.

Überwiegende Interessen beim Einsatz von Dashcams

Grundsätzlich wird man wohl das Interesse des Dashcam Betreibers den schutzwürdigen Interessen anderer Verkehrsteilnehmer unterordnen müssen, insbesondere dann, wenn permanente und nicht anlassbezogene Aufzeichnungen vorgenommen werden. Anderenfalls wäre das Rechtsgut der informellen Selbstbestimmung gefährdet. Allerdings ist die Anwendung von Dashcams auch hinsichtlich der Verwertungsfrage weiterhin umstritten.

Das BayLDA kündigte an, dass Übermittlungen von Dashcam-Aufzeichnungen an Polizei und Versicherungen als Verstoß gewertet und mit einem Bußgeld geahndet werden könnten.

Was kostet ein externer Datenschutzbeauftragter?

von Sascha Kuhrau
22. April 202030. November 2020
4 Kommentare

“Es kommt darauf an” — Was kostet ein externer Datenschutzbeauftragter?

“Was kostet ein externer Datenschutzbeauftragter?”, diese Frage wird desöfteren per Email oder als Blog-Kommentar an uns herangetragen. Eine nachvollziehbare Frage, gerade wenn das eigene Unternehmen unter die gesetzliche Bestellpflicht für einen Datenschutzbeauftragten fällt. Und gerade in wirtschaftlich anstrengenden Phasen sind die Kosten ein relevanter Faktor. Sind keine weiteren Angaben vorhanden, dann fällt die Beantwortung in etwa so leicht wie die von Fragen wie

Was kostet ein Auto?
Wie teuer ist es, ein Haus zu bauen?
Wie viel muss ich für den nächsten Sommerurlaub bezahlen?

Die ehrliche Antwort auf die Frage nach den Kosten für einen externen Datenschutzbeauftragten kann in diesem Fall nur lauten: “Es kommt darauf an!”

Auf was kommt es bei den Kosten für einen externen Datenschutzbeauftragten an?

Datenschutz ist kein Produkt von der Stange, auch wenn das eine oder andere reißerische Billigheimer-Angebot das glauben machen will. Datenschutz ist stets eine individuelle Leistung maßgeschneidert auf Ihre Organisation. Jede Unternehmung verfügt über eine eigene Ausgangssituation (Status Quo wie Anzahl der Mitarbeiter, Filialen, Betriebsrat, Richtlinien etc.), unterschiedliche Ressourcen zur Umsetzung, eine Vielfalt an zu betrachtenden Faktoren (beispielsweise die unterschiedlichsten IT-Lösungen) und ein notwendiges Schutzniveau je nach Branche und Art der personenbezogenen Daten in der Organisation.

All diese Punkte bedeuten ein Mehr oder Weniger an Aufwand in der Umsetzung und Betreuung im Rahmen der Aufgaben eines Datenschutzbeauftragten nach Art. 39 DSGVO. Sie wirken sich demnach direkt auf die entstehenden Kosten aus. Umso wichtiger ist es, möglichst viele dieser Aspekte zu kennen, um die eingangs genannte Frage seriös und vor allem ohne spätere Preisnachverhandlungen beantworten zu können. Zu diesem Zweck können Sie unser komfortables Online-Formular nutzen und damit Ihr Angebot anfordern. Ihre Angaben werden selbstverständlich vertraulich behandelt.

Wussten Sie schon, dass zahlreiche unserer Leistungen aus offiziellen Fördermitteln bezuschusst werden können? Hier erfahren Sie mehr über Fördermöglichkeiten und Zuschüsse für Beratungsleistungen Datenschutz & Informationssicherheit von a.s.k. Datenschutz. Ein weiterer Faktor, der Sie unterstützt, die Belastung für die Kosten eines externen Datenschutzbeauftragten gering zu halten.

Wie geht a.s.k. Datenschutz als externe Datenschutzbeauftragte vor?

Im Rahmen eines ein- bis mehrtägigen Datenschutz-Audits vor Ort (zu Corona-Zeiten erst mal nur remote) wird der Status Quo des Datensicherheit- und Datenschutz-Niveaus Ihrer Organisation ermittelt. Klar definierte Fragenkataloge zusammen mit Einzel- und Gruppengesprächen ergeben ein deutliches Bild und bilden die Grundlage für alle weiteren Aktivitäten. Nach Auswertung des Audits und der Gespräche steht ein Katalog von Maßnahmen und Empfehlungen fest, mit dessen Umsetzung die gesetzlich vorgeschriebenen Notwendigkeiten in Ihrem Unternehmen sichergestellt werden. Der Katalog wird in der sog. “Einführungsphase” gemeinsam unter Zuhilfenahme eines Online Projekt Tools umgesetzt. Der Aufwand für diese Phase wird in Manntagen gemäß Ihren Angaben kalkuliert und abgerechnet. Zumeist ist ein Pauschalpreis vereinbart, der alle Leistungen dieser Phase umfasst. Beachten Sie mögliche Fördermittel und Zuschüsse.

Nachdem in der Einführungsphase die notwendige Basis geschafften wurde, schließt sich nun die “Betreuungsphase” als externer Datenschutzbeauftragter an. Diese umfasst einmalige und wiederkehrende Aufgaben wie sie Artikel 39 DSGVO vorsieht. Selbstverständlich haben wir diese Aufgaben um einige weitere Tätigkeiten für Sie ergänzt, sofern dadurch keine Interessenskonflikte zu den Kernaufgaben des Datenschutzbeauftragten entstehen. Zu den Aufgaben lesen Sie mehr in unserem separaten Blog-Beitrag.

Was kostet es Sie auf jeden Fall …

… wenn Sie keinen Datenschutzbeauftragten benennen, obwohl Sie gesetzlich dazu verpflichtet sind.

Bußgeld (Ausnahme: öffentliche Stellen)
Ihren guten Ruf z.B. bei Datenpannen
Viel Ärger mit der Aufsichtsbehörde

Internen oder externen Datenschutzbeauftragten bestellen?

Die Vorteile einer externen Bestellung liegen für kleine und mittelständische Unternehmen aber auch Kommunen klar auf der Hand. Dabei spielen nicht nur die kalkulierbaren und überschaubaren Kosten eine große Rolle. Ihre Organisation profitiert spürbar vom Einsatz eines externen Datenschutzbeauftragten.

Datenpannen — jetzt ganz neu entdecken …

von Sascha Kuhrau
16. April 2020

Hatten Sie 2020 in Ihrer Organisation eine Datenpanne? Wenn Sie direkt Nein sagen, gehören Sie entweder zu den episch seltenen Fällen, in denen der Faktor Mensch sowie technische und organisatorische Maßnahmen zu 100% diszipliniert sind oder es gibt bei der internen / externen Kommunikation einfach noch Optimierungsbedarf bei der Identifikation und Bewertung von Datenpannen nach Art. 33 und 34 DSGVO.

Vermeiden und kommunizieren

Es ist bereits die halbe Miete, Datenpannen präventiv — u.a. durch starke IT-Sicherheit, die richtige Softwareimplementierung und klare Richtlinien — auf einen Bruchteil zu reduzieren. Und zusätzlich sein Personal auf einem Sensibilitätsniveau zu haben, dass es Verstöße gegen Datenschutz / Informationssicherheit sowie entsprechende Verdachtsfälle angstfrei und proaktiv intern mitteilt und einer sachgemäßen Dokumentation zuführt, ist die Königsklasse des gelebten Datenschutzes.

Meldungen von Datenpannen

Seit dem Wirksamwerden der DSGVO wird ein erheblicher Anstieg der Meldungen von Datenpannen verzeichnet. Eine Meldung ist nach den Kriterien des Art. 33 DSGVO gesetzliche Pflicht. Mehr als 40.000 Datenpannen wurden seit DSGVO-Einführung europaweit (Bericht der EU-Kommission) und weit über 10.000 in Deutschland allein für 2019 gemeldet. Dabei sind die Gewichtungen in den Bundesländern sehr unterschiedlich. Während das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) „einen großen Anteil“ seiner täglichen Arbeit in der Bearbeitung von Datenschutzverletzungen mit 4.111 gemeldeten Datenpannen in 2019 sieht, wird den 349 in 2019 dem Unabhängigen Landeszentrum für Datenschutz in Schleswig-Holstein gemeldeten Datenpannen verständlicherweise reserviert begegnet.

Dunkelziffer von Datenpannen

Eine höhere Transparenz durch mehr Meldungen und, insbesondere im EU-Vergleich, hohes Pflichtbewusstsein sind sehr gute Tendenzen. Allerdings müssten es realistisch betrachtet noch wesentlich mehr Meldungen sein. In Deutschland sind mehr als 3 Millionen Unternehmen angemeldet, hinzu kommen die staatlichen Einrichtungen und andere Stellen, die aus der DSGVO heraus zur Meldung von Datenpannen nach Art. 33 DSGVO verpflichtet sind.

Aufsichtsbehörden

Meldungen von Datenpannen müssen durchaus nicht mit Nachfragen, Vorortkontrollen oder Bußgeldern verbunden sein. Vielmehr kommt es den Aufsichtsbehörden auch konkret inhaltlich auf Erkenntnisse an, in welchen Bereichen nachgesteuert werden muss. Im Vergleich zu aufgeflogenen Datenschutzverstößen wird das aktive Melden honoriert.

Nicht nur Unternehmen, sondern auch öffentliche Einrichtungen wurden von den Datenschutzaufsichten einer näheren Prüfung unterzogen, wobei zu beiden Bereichen positive wie negative Ergebnisse festgehalten wurden.

Datenpannen bitte dokumentieren / melden

Es liegt nahe, dass sich Organisationen eher unglaubwürdig machen, wenn keinerlei Datenpannen gemeldet bzw. dokumentiert sind. Es empfiehlt sich, Datenpannen und vergleichbare Auffälligkeiten generell — z.B. in Checklistenform — zu dokumentieren. Das Gesetz befreit per Art. 33 Abs. 1 DSGVO von der Meldepflicht, wenn „die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.“ Reichlich unpräzise wird hier ein einzelfallbezogener Ermessensspielraum eröffnet. Das heißt für harmlose (=nicht meldepflichtige) Fälle: Das Ereignis wird intern dokumentiert und man stimmt sich mit seinem Datenschutzbeauftragten über eine fallgerechte Abgrenzung ab und das war´s.

Für meldepflichtige Fälle stehen üblicherweise Online-Formulare auf den Webseiten der Aufsichtsbehörden zur Verfügung.

Auftragsverarbeitung — Definition, Beispiele, Massnahmen, Risiken (Update) — früher Auftragsdatenverarbeitung

von Sascha Kuhrau
16. März 20208. Dezember 2020
4 Kommentare

Auftragsverarbeitung, das Auslagern von Datenverarbeitungsprozessen durch den Auftraggeber auf externe Dienstleister, ist ein häufiges Mittel zur Kostensenkung und der Nutzung von externem Know How — Stichwort “Outsourcing”. Sind hiervon personenbezogene Daten betroffen, findet Art. 28 DSGVO Auftragsverarbeiter Anwendung.

Schnell kommt es bei der Einschätzung, ob eine Auftragsverarbeitung vorliegt, zu Mißverständnissen und der Auftraggeber läuft Gefahr, gemäß DSGVO mit Geldbußen durch die Datenschutzbehörden belegt zu werden. Von Imageschäden in der Öffentlichkeitswahrnehmung nicht zu reden. Eine sorgfältige Prüfung durch einen Berater für Datenschutz oder einen Datenschutzbeauftragten hilft, diese Risiken zu minimieren und die notwendigen Regelungen umzusetzen.

Folgende Kriterien (Auswahl) unterstützen die Bewertung über das Vorliegen einer Auftragsverarbeitung:

Dem Auftragnehmer fehlt die Entscheidungsbefugnis über die übermittelten Daten.
Dem Auftragnehmer ist die Nutzung der überlassenen Daten über den eigentlichen Überlassungszweck hinaus verboten.
Der Auftragnehmer nutzt nur die ihm überlassenen Daten.
Die Datenverarbeitung wird nach außen durch den Auftraggeber vertreten.
Der Auftragnehmer steht in keiner vertraglichen Beziehung zu den Betroffenen der personenbezogenen Daten.

Einige praktische Beispiele von Auftragsverarbeitung:

Outsourcing des Rechenzentrums (ganz oder teilweise).
Software as a Service / Cloud-Services (nicht nur reine Dateiablage).
Marketingaktionen, Kundenumfragen, Newsletterversand durch eine externe Agentur.
Beauftragung eines Callcenters für Kundensupport oder Kundengewinnung.
Papier- und Aktenvernichtung sowie die Vernichtung von Datenträgern.
Externe Lohn- und Gehaltsabrechnung.
Externe Rechnungsbearbeitung / Buchhaltung.
Zugriff auf personenbezogene Daten vor Ort bei Auftraggeber

Aber auch weitere Leistungen sind ebenfalls von den Regelungen zu Art. 28 DSGVO betroffen (Beispiele):

Wartung von Servern und Computern durch einen externen Dienstleister (wichtig: auch Fernwartung!)
Parametrisierung oder Pflege von Software (Updates etc.), über die Zugriff auf personenbezogene Daten möglich ist.
Systemmigrationen.

Was heisst das jetzt für Sie als Auftraggeber?

Liegt eine Auftragsverarbeitung vor, muss diese schriftlich geregelt werden.
Sie als Auftraggeber müssen die im Vertrag festgeschriebenen Massnahmen zum Datenschutz und zur Datensicherheit beim Auftraggeber in geeigneter Form kontrollieren — im Zweifel persönlich vor Ort beim Auftragnehmer.
Für die Einhaltung der gesetzlichen Datenschutzvorschriften sind Sie als Auftraggeber verantwortlich, nicht der Auftragnehmer (dies wird oft irrtümlich falsch eingeschätzt).
Eine einfache Erklärung des Auftragnehmers über die Einhaltung der Datenschutzvorschriften ist nicht ausreichend!

Was heisst das jetzt für Auftragnehmer?

Als Auftragnehmer haben Sie sich ebenfalls den Regelungen des Art. 28 DSGVO zu unterwerfen und stehen in der Pflicht, Ihren Auftraggeber bei der Umsetzung zu unterstützen.
Zukunftsorientierte Unternehmen haben ein stichhaltiges Datenschutzkonzept samt einer vorformulierten Vereinbarung gem. Art. 28 DSGVO bereits in der Schublade und gehen damit aktiv auf ihre Bestandskunden zu. Ein kleines, aber sehr wirkungsvolles Detail, um sich positiv vom Wettbewerb abzuheben und ihren Auftraggeber von ihrer Leistungsfähigkeit zu überzeugen.
Wenig hilfreich: den Auftraggeber vor die Wahl stellen — entweder ohne diese Vereinbarung samt Kontrollrechte zusammenzuarbeiten oder es eben sein zu lassen. Außer Sie sind sich sicher, Ihrem Auftraggeber ist Ihre Dienstleistung oder Ihr Produkt ohne Regelungen zur Auftragsverarbeitung ein Bußgeld wert.

Mit Bedacht sollten Musterverträge aus dem Internet eingesetzt werden. Teilweise entsprechen diese nicht den aktuellen Regelungen aus den letzten Novellierungen des Datenschutzrechts. Diese können zwar sinnvolle Ansatzpunkte liefern, ersetzen jedoch weder die individuell notwendige Anpassung auf die vorliegende Auftragsverarbeitung noch die rechtlich sichere Einschätzung, welche Maßnahmen hierzu notwendig sind.

Daher kann zur Vermeidung von Bußgeldern und Imageschäden nur jedem Unternehmen und Unternehmer geraten werden, einen Berater / Anwalt für Datenschutz oder Datenschutzbeauftragten hinzuzuziehen. Dieser stellt die korrekte Umsetzung sicher und haftet im Zweifel für mögliche Versäumnisse aus seiner Tätigkeit.

Hilfreiche Links und Tipps zur Auftragsverarbeitung im Internet:

“15 Irrtümer bei der Auftragsdatenverarbeitung” — sehr interessanter und aufklärender Beitrag über die zahlreichen Möglichkeiten, was bei der Bewertung und Umsetzung von Auftrags(daten)verarbeitung alles falsch gemacht werden kann
Div. Infos und Vorlagen des BayLDA zur Auftragsverarbeitung

Übersicht der DSGVO Bußgelder

von Sascha Kuhrau
5. Februar 2020

Mit schöner Regelmäßigkeit hört und liest man in den Medien etwas von Bußgeldern im Datenschutz basierend auf der DSGVO oder anderer Datenschutzgesetze. Merken kann man sich die alle nicht. Doch es kann nicht schaden, das eine oder andere Bußgeld für verschiedene Formen an Datenschutzverstößen zu kennen. DSGVO Bußgelder sollten zwar nicht der alleinige Antrieb zur Einhaltung von Rechtsvorschriften sein, aber vielleicht muss man als interner oder externer Datenschutzbeauftragter auch mal mit Zahlen kommen, damit sich etwas in der Organisation bewegt 🙂

Übersicht der DSGVO Bußgelder

Und da ist es sehr hilfreich, dass sich die Betreiber von https://dsgvo-portal.de die Mühe machen, stets aktuelle Bußgelder zu erfassen und zu katalogisieren. Kann ja ganz hilfreich sein, zu wissen und anzuführen, dass für Werbeanrufe ohne Einwilligung, Informationsmängel in Apps und unzureichende TOM (technische und organisatorische Maßnahmen) die italienische Datenschutzaufsicht im Januar 2020 ein Bußgeld in Höhe von 27,8 Mio Euro verhängt hat. Die genannten Verstöße sind ja nicht selten. Vielleicht ein weiterer Anstoß, um solche Mängel in der eigenen Organisation anzugehen.

Die im Portal gelisteten DSGVO Bußgelder lassen sich nach diversen Kriterien sortieren und anzeigen, z.B. nach Bußgeldhöhe, Datum, Land und auch Bußgeldempfänger (da finden sich einige alte Bekannte, aber auch sehr viele neue Namen). Ein Wermutstropfen, wenn man das so sehen mag, ist jedoch vorhanden: In der Übersicht finden sich die Bußgelder, welche von den Aufsichtsbehörden verhängt wurden. Das muss nicht identisch sein, was von den betroffenen Organisationen z.B. nach Beschreiten des Rechtsweges dann wirklich gezahlt wurde. Sofern es hierzu Erkenntnisse gibt, finden sich diese unter den Details, die man zu jedem Vorgang aufrufen kann. Darin wird auch die Art des Verstoßes weiter konkretisiert.

Danke an die Betreiber des Portals.

Email-Werbung ohne schriftliche Einwilligung — geht das überhaupt?

von Sascha Kuhrau
5. September 2017
1 Kommentar

Keine Email-Werbung ohne Einwilligung

Oft werden wir als Datenschutzbeauftragte gefragt, ob für Email-Werbung oder Werbung per SMS eine schriftliche Einwilligung wirklich notwendig ist. Dabei wird übersehen, dass hier das Gesetz gegen den unlauteren Wettbewerb (kurz UWG) der erste Spielverderber ist. Das allgemeine Datenschutzrecht tritt hier erst mal zurück.

Und in § 7 Absatz 1 sowie Absatz 2 Nummer 3 des UWG wird Email-Werbung zusammen mit SMS- und Telefax-Werbung grundsätzlich als unzumutbare Belästigung im Sinne des UWG eingestuft. Daher ist Email-Werbung nur mit ausdrücklicher (vorheriger schriftlicher) Einwilligung der betroffenen Person erlaubt. Mit der wettbewerbsrechtlichen Zulässigkeit steht und fällt zugleich auch die datenschutzrechtliche Zulässigkeit.

Ausnahmsweise doch Email-Werbung ohne Einwilligung?

Ja, Email-Werbung ohne vorherige schriftliche Einwilligung kann in einer einzigen Ausnahme möglich sein. Diese Ausnahme beschreibt der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg. Verbraucher, aber auch Werbetreibende können sich in dem frei verfügbaren und aktualisierten Merkblatt „Was Sie gegen unerwünschte Werbung tun können” (Stand 10. Mai 2017) informieren.

Wie lautet diese Ausnahme für Email-Werbung ohne Einwilligung?

Nach Auffassung des Landesbeauftragten ist Email-Werbung ohne (vorherige) schriftliche Einwilligung möglich nach § 7 Absatz 3 UWG, wenn der Werbetreibende (also das Unternehmen) schriftlich alle nachfolgenden Voraussetzungen nachweisen kann (Original-Zitat aus dem Merkblatt):

Er hat die elektronische Postadresse im Zusammenhang mit dem Verkauf einer Ware oder Dienstleistung von dem Kunden erhalten,
er verwendet die Adresse zur Direktwerbung für eigene ähnliche Waren oder Dienstleistungen,
der Kunde hat der Verwendung nicht widersprochen und
der Kunde wurde bei Erhebung der Email-Adresse und wird bei jeder Verwendung klar und deutlich darauf hingewiesen, dass er der Verwendung jederzeit widersprechen kann, ohne dass hierfür andere als die Übermittlungskosten nach den Basistarifen entstehen (in der Regel ist hiermit ein Abmeldelink gemeint).

Verbraucher können zur Wahrnehmung ihrer Rechte bei unzulässiger Werbung konkrete Handlungsanweisungen zur Abwehr und Reaktion gegen das werbende Unternehmen aus dem Merkblatt entnehmen. Werbetreibenden ist diese Übersicht sehr zu empfehlen. Sie können damit prüfen, ob die eigenen Gepflogenheiten dem aktuellen Recht entsprechen oder eventuell Abmahnung, Bußgelder und weiteres Ungemach drohen. Das die Datenschutzbehörden hier keinen Spaß mehr verstehen, haben Sie bereits früher klar zum Ausdruck gebracht — siehe früheren Blog-Beitrag.

Bitte beachten Sie: Wir beziehen uns hier auf die Aussagen in dem verlinkten Merkblatt und führen selbst keine Rechtsberatung zum UWG durch. Sollten die Inhalte des Merkblatts nicht korrekt (wiedergegeben) sein, übernehmen wir keine Haftung.

Datenpanne: Offener Newsletter-Verteiler führt zu Bußgeld — Augen auf beim Direktmarketing

von Sascha Kuhrau
21. August 2017
2 Kommentare

Schon jedem Mal passiert — Newsletter oder Email an viele Empfänger verschickt

Sie kennen das bestimmt aus Ihrem eigenen Arbeitsalltag. Eine wichtige Nachricht soll per Email oder Newsletter verteilt werden. Mail- oder Newsletter-Programm geöffnet, Text geschrieben, aus dem Adressbuch schnell die Empfänger zusammengeklickt oder komfortabel eine Verteiler-Liste genutzt und auf Senden gedrückt. Auf Seiten des Empfängers werden sich dann die Augen gerieben. Stehen doch alle Email-Empfänger im Klartext im AN:/TO: Feld der Email. Ordentlich wie der Absender seine Adressen gepflegt hat, akkurat mit Vor‑, Nachname und Email-Adresse. Üblicherweise macht man den Absender freundlich auf sein Missgeschick aufmerksam und läßt es darauf beruhen.

Offene Newsletter-Verteiler kommen nicht immer gut an

Die Mitarbeiterin eines bayerischen Handelunternehmens hatte weniger Glück. Sie schrieb eine solche Email an Kunden des Unternehmens. Kurzer Inhalt, nette Geste. Jedoch leider standen vor dem eigentlichen Text (halbe DIN A4 Seite) über neun (9!) Seiten Email-Adressen im Klartext. Einem oder mehreren Empfängern mißfiel dies und der Stein des Anstoßes wurde an die zuständige bayerische Landesdatenschutzbehörde weitergeleitet.

Landesdatenschutzbehörde prüft offene Newsletter-Verteiler und verhängt Bußgeld

Das Bayerische Landesamt für Datenschutzaufsicht (kurz BayLDA) hat in der Vergangenheit bereits mehrfach über die eigene Webseite und auf Veranstaltungen vor und mit Unternehmen auf die datenschutzrechtliche Unzulässigkeit eines solchen Vorgangs hingewiesen. Name plus Email- Adresse sind personenbezogenen Daten im Sinne des Bundesdatenschutzgesetzes (BDSG). Eine Übermittlung (nichts anderes stellt eine Email dar) ist daher nur zulässig, wenn der Betroffene (also der eigentliche Email-Inhaber) explizit in die Übermittlung an Dritte schriftlich eingewilligt hat oder eine gesetzliche Grundlage vorliegt. Beides ist im Falle einer solchen Panne sicher nicht der Fall. Die Verwendung des offenen Email-Verteilers (also das Eintragen der Empfänger in das AN:/TO: Feld) stellt somit einen Datenschutzverstoß dar. Aufgrund der Menge der betroffenen Email-Adressen sah das BayLDA von einem reinen Verweis auf die rechtliche Unzulässigkeit ab. Stattdessen wurde ein Bußgeld verhängt, das nun nach Verstreichen der Widerspruchsfrist rechtswirksam geworden ist.

Doch wer zahlt jetzt das Bußgeld für den offenen Newsletter-Verteiler?

In diesem konkreten Fall wurde das Bußgeld gegen die Mitarbeiterin verhängt. Ob der Arbeitgeber für Sie einspringt, ist nicht bekannt. Das BayLDA teilte jedoch mit, daß es in einem ähnlichen Fall in zu einem Bußgeld gegen ein weiteres Unternehmen kam. Da hier die Mitarbeiter seitens der Unternehmensleistung nicht oder nicht ausreichend für das Thema sensibilisiert wurden, hatte nun das Unternehmen selbst für den Fauxpas mit dem offenen Email-Verteiler geradezustehen.

Aufklärung ist Pflicht — Sorgfältiger Umgang mit Newslettern-Verteilern vermeidet Bußgelder

Um solche Vorfälle von vornherein zu vermeiden und das Eintrittsrisiko zu senken, sollten Sie Ihre Mitarbeiter regelmäßig für dieses Thema sensibilisieren. Gerne können Sie hierfür diesen Blogbeitrag einsetzen. Was ist zu beachten? Weisen Sie darauf hin, solche Rundmails stets über das Feld BCC, also Blind Carbon Kopie zu adressieren. Die Nutzung von TO: und CC: (Carbon Copy) wird stets den selben rechtlichen Sachverhalt mit allen Konsequenzen auslösen. Bei kleineren falsch genutzten Verteilern kann es bei einer Verwarnung bleiben, das ist jedoch nicht garantiert.

Fragen Sie doch Ihren Datenschutzbeauftragten

Zum richtigen Umgang mit personenbezogenen Daten im Rahmen des Direktmarketings hilft Ihnen kompetent Ihr Datenschutzbeauftragter weiter. Sie haben keinen? Dann sollten Sie sich darum kümmern, da eine gesetzliche Bestellpflicht vorliegen kann. Sprechen Sie uns unverbindlich und kostenfrei an!

Personalausweis einfach kopieren — einfach rechtswidrig

von Sascha Kuhrau
18. August 2017

Personalausweis als Pfand, Personalausweis-Kopie als Beleg — üblich, aber verboten

Usus, Rechtsverstoß inklusive. Der Personalausweis wird als Pfand hinterlegt, eine Kopie zur Identifikation im Vertragsordner abgelegt oder als Scan ins Dokumenten-Management-System gespeichert. Branchenübergreifend üblich, vom Fitness-Studio bis zur Autovermietung.

Der neue Personalausweis

Seit dem 01. November 2010 wird nur noch der neue Personalausweis herausgegeben, gerne auch als „ePerso“ bezeichnet. Im Zuge der Umstellung hat das Personalausweisgesetz (PAuswG) einige Änderungen erfahren. Zahlreiche Kommentierungen und Begründungen begleiten den neuen Ausweis.

Kein ausdrückliches Kopierverbot, aber …

Neben der bisher üblichen Ausweisfunktion beinhaltet der „ePerso“ nun auch die Möglichkeit zu Signatur und zur Authentisierung. Zum Schutz dieser Funktionen schreibt unsere Regierung in ihrer Begründung zur Neuregelung: “Die Erhebung und Verwendung personenbezogener Daten aus oder mithilfe des Ausweises darf künftig nur über die dafür vorgesehenen Wege erfolgen. (.) Weitere Verfahren z.B. über die optoelektronische Erfassung (“scannen”) von Ausweisdaten oder dem maschinenlesbaren Bereich sollen ausdrücklich ausgeschlossen werden.” In den Auslegungen hierzu wird deutlich davon gesprochen, weder Kopien des Personalausweises zuzulassen, noch diesen aus der Hand zu geben.

Warum den Personalausweis nicht kopieren?

Da der neue Personalausweis aufgrund dessen Gestaltung noch eine sog. Berechtigungsnummer trägt, weist das Bundesinnenministerium auf einen zusätzlichen Sachverhalt hin. Die Berechtigungsnummer soll nämlich lediglich dem Ausweisinhaber bekannt sein. Eine Kopie oder ein Scan stehen diesem Umstand jedoch entgegen.

Der alte Personalausweis darf aber kopiert werden?

Trägt dieser zwar nicht die elektronischen Merkmale seines Nachfolgers so ist eine Kopie hier nur sehr schwer als datenschutzrechtlich erforderlich zu begründen. Subjektive Maßstäbe hierüber sind ausgeschlossen. So sollte auch hier auf eine Kopie verzichtet werden. Notieren Sie die erforderlichen Daten. Vorteil: Sie ersparen sich das vorgeschriebene Ausschwärzen nicht erforderlicher Daten und müssen später im Rahmen der Aufbewahrungs– und Löschfristen nicht in Aktenstapeln oder EDV Systemen nach den zu löschenden Dokumenten fahnden.

Dann nehmen wir den Personalausweis eben als Pfand

Hier spricht das PAuswG eine klare Sprache § 1 Abs. 1. S. 3+4 PAuswG — für beide Ausweisformen: „Vom Ausweisinhaber darf nicht verlangt werden, den Personalausweis zu hinterlegen oder in sonstiger Weise den Gewahrsam aufzugeben. Dies gilt nicht für zur Identitätsfeststellung berechtigte Behörden sowie in den Fällen der Einziehung und Sicherstellung.” Ihre Organisation wird schwerlich als berechtigte Behörde anzusehen sein, Ausnahmen bestätigen die Regel.

Ausnahmen vom Kopierverbot und Pfandverbot für Personalausweise?

Ja, u.a. § 8 Geldwäschegesetz oder § 95 TKG (z.B. für Handy-Verträge). Trifft das auf Ihr Unternehmen zu? Ihr Datenschutzbeauftragter klärt Sie gerne über den Sachverhalt auf. Sie haben keinen? Dann sprechen Sie uns an. Wir unterstützen Sie als externe Datenschutzbeauftragte und externe Informationssicherheitsbeauftragte.

Der Hype um das (private) Whatsapp-Abmahnrisiko

von Sascha Kuhrau
28. Juni 201715. Oktober 2023
1 Kommentar

Kaum hat das Amtsgericht Bad Hersfeld sein Urteil gefällt und die Begründung veröffentlicht, grassiert ein medialer Hype um ein angebliches Abmahnrisiko für private Whatsapp-Nutzer durch das Netz. Doch was steckt dahinter?

Etwas Aufklärung zur privaten Nutzung von Whatsapp

Das Amtsgericht Bad Hersfeld, wohlgemerkt ein Amtsgericht, sieht auf Basis des § 823 BGB sowie des § 1004 BGB das Risiko eines privaten Whatsapp-Nutzers, aufgrund der nicht eingewilligten Datenübermittlung der Kontakte in dessen Adressbuch durch den automatisierten Abgleich mit den Whatsapp-Servern durch die Kontakte selbst auf Unterlassung in Anspruch genommen zu werden. Selbst eine kostenpflichtige Abmahnung wird nicht ausgeschlossen. Kaum war die erste Nachricht hierzu im Web lanciert, ging der Copy & Paste — Mechanismus des Boulevardjournalismus inklusive der sozialen Netzwerke los. Angst und Panik für Quote und Klicks lautet die Devise.

Was davon zu halten ist, können Sie unter anderem im Blog des Anwalts Dr. Carsten Ulbricht nachlesen, der zu diesem Thema kein Unbekannter ist.

Whatsapp und geschäftliche oder dienstliche Nutzung?

Nutzt ein Unternehmen oder eine Behörde nun Whatsapp sieht die Rechtslage etwas unbequemer aus. Das Bundesdatenschutzgesetz schreibt für die betriebliche Nutzung personenbezogener Daten die Auswahl geeigneter technischer und organisatorischer Schutzmaßnahmen vor. Bedient man sich bei der Umsetzung eines Dritten (in diesem Fall des Betreibers von Whatsapp), so ist dieser nach § 11 Bundesdatenschutzgesetz (BDSG), aber auch nach EU-Datenschutzrecht vorab auf ausreichende Schutzmaßnahmen zu prüfen und zusätzlich eine Vereinbarung zur Auftragsdatenverarbeitung zu schließen. Die Umsetzung wird sich in der Praxis als unmöglich herausstellen.

Zumindest könnte man Whatsapp aufgrund der nun seit einiger Zeit aktivierten Ende-zu-Ende-Verschlüsselung bei den technischen Schutzmaßnahmen ein technisches Schutzniveau im positiven Sinne unterstellen. Ein Mitlesen der Nachrichten auf dem Transportweg ist dadurch ja ausgeschlossen.

Dann steht der betrieblichen Nutzung ja nichts im Wege?

Leider doch. Denn Whatsapp überträgt die Kontaktdaten aus dem Adressbuch des Geräts auf die Server des Betreibers in den USA. Diese Datenübermittlung ist im Datenschutzrecht nur zulässig, wenn von dem Betroffenen, auf den sich die jeweiligen Kontaktdaten beziehen, eine (schriftliche) Einwilligung vorliegt. Diese kann nach geltender Meinung auch nicht pauschal angenommen werden nach dem Motto “Whatsapp nutzt ja heutzutage jeder.”

Eine fehlende Einwilligung bedeutet eine unrechtmäßige Datenübermittlung. Damit drohen Bußgelder und im Zweifel weitere Auflagen durch die Landesdatenschutzbehörde(n).

Dies gilt übrigens sowohl für die betriebliche / dienstliche Nutzung des Smartphones als auch eine möglicherweise zulässige Privatnutzung.

Wer es nicht glauben mag, hier ein Beitrag unter vielen zu diesem Thema, in diesem Fall von Dr. Hans Markus Wulf, Fachanwalt für IT-Recht.

Von daher kann das Fazit zur Whatsapp-Nutzung im geschäftlichen oder behördlichen Umfeld nur lauten: Finger weg! Aber das ist nun auch nichts Neues.

Datenschutzbeauftragter darf keinen Interessenkonflikten unterliegen

von Sascha Kuhrau
23. Januar 201715. Oktober 2023
3 Kommentare

Bayerisches Unternehmen kassiert Bußgeld, weil IT-Manager gleichzeitig als Datenschutzbeauftragter bestellt war.

“Eine derart exponierte Position im Hinblick auf die Datenverarbeitungsprozesse im Unternehmen ist in aller Regel unvereinbar mit den Aufgaben eines Datenschutzbeauftragten”, so das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) in Ansbach.

Wer muss einen Datenschutzbeauftragten bestellen?

Unternehmen und auch Vereine müssen einen Datenschutzbeauftragten (DSB) bestellen, wenn bei ihnen mindestens zehn Personen (“mehr als neun”, so das Bundesdatenschutzgesetz) mit der automatisierten Verarbeitung personenbezogener Daten befasst sind. Dabei ist es unerheblich, a) ob es sich dabei um interne oder externe personenbezogene Daten handelt und b) mit welchem Zeitanteil die Personen beschäftigt sind (Vollzeit, Teilzeit, Aushilfe etc.). Es zählt hier alleine die Zahl der “Köpfe”.

Zahlreiche Unternehmen und Vereine erfüllen diese Voraussetzungen. Das Gesetz stellt es dabei frei, ob die Funktion des Datenschutzbeauftragten an eine externe Person vergeben wird („externer Datenschutzbeauftragter“) oder aber durch einen Mitarbeiter („interner Datenschutzbeauftragter“) erfüllt wird. Je nach Bundesland schreiben die Landesdatenschutzgesetze einen Datenschutzbeauftragten ebenfalls für Behörden und kommunale Einrichtungen (sog. öffentliche Stellen) verpflichtend vor. In einigen Bundesländern besteht bereits heute die Möglichkeit einer externen Bestellung des behördlichen Datenschutzbeauftragten. Mit der EU-Datenschutzgrundverordnung (EU-DSGVO) wird die Bestellpflicht für öffentliche Stellen vereinheitlicht. Ebenso soll dann eine generelle Möglichkeit der externen Bestellung für Behörden / Kommunen gegeben sein.

Wann ist von einem Interessenskonflikt auszugehen?

Wird ein Mitarbeiter zum Datenschutzbeauftragten bestellt, so darf er jedoch daneben nicht zusätzlich / weiterhin für solche Aufgaben zuständig sein, welche die Gefahr von Interessenskonflikten mit seiner Funktion als Datenschutzbeauftragter mit sich bringen können. Der Gesetzgeber verlangt hier salopp, nicht “den Bock zum Gärtner zu machen”. Ähnlich hat dies auch die EU-Datenschutzrichtlinie (Art. 18) gefordert, völlige Unabhängigkeit des DSB in seiner Funktion als Kontrollinstanz. Mit Artikel 38 und 39 der EU-DSGVO wird dies in 2018 keine Änderung erfahren.

In einschlägigen Kommentaren zum Bundesdatenschutzgesetz (z.B. Gola / Schomerus) wird explizit darauf verwiesen, dass sich hieraus bestimmte Funktionen für die Tätigkeit des Datenschutzbeauftragten von vornherein ausschließen. Dazu zählen auf jeden Fall

Inhaber, Vorstand, Geschäftsführer (ausnahmslos),
Leiter der IT,
Personalleiter,
Vertriebsleiter (zumindest im Direktvertrieb).

Für alle anderen Funktionen ist zu prüfen, ob ein Interessenskonflikt ausgeschlossen werden kann und auch keine weiteren Beeinträchtigungen für die Ausübung der Funktion des Datenschutzbeauftragten bestehen. So ist es nicht unbedingt zielführend, einen IT-Mitarbeiter zum Datenschutzbeauftragten zu bestellen, wenn der Konflikt mit dem Vorgesetzten — dem IT-Leiter — bereits vorprogrammiert ist und der IT-Mitarbeiter seine zusätzliche Aufgabe als DSB z.B. aus Angst vor Repressalien nicht ausüben kann / wird.

Wie kam es jetzt zu diesem Bußgeld aufgrund eines Interessenskonflikts?

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) berichtet in seiner Pressmitteilung davon, dass im Rahmen der Überprüfung eines bayerischen Unternehmens die Bestellung des IT-Leiters zum internen Datenschutzbeauftragten festgestellt wurde. Dies liefe nach Meinung der Behörde “letztlich auf eine Datenschutzkontrolle eines der maßgeblichen zu kontrollierenden Funktionsträger im Unternehmen durch sich selbst hinaus”. Aus Sicht der Behörde (und der einschlägigen Rechtskommentare) widerspricht dies der Funktion des Datenschutzbeauftragten, als unabhängige Instanz im Unternehmen auf die Einhaltung des Datenschutzes hinzuwirken (eine der Kernaufgaben des DSB).

Nachdem das Landesamt das Unternehmen mehrfach über Monate aufgefordert hat, eine Bestellung ohne Interessenskonflikt herbeizuführen und dies seitens des Unternehmens zugesagt, jedoch nicht umgesetzt wurde, verhängte die Behörde ein Bußgeld. Die Geldbuße ist mittlerweile bestandskräftig.

„Der betriebliche Datenschutzbeauftragte ist ein Erfolgsmodell und ein sehr wichtiges Element der Datenschutzorganisation in Deutschland. Die Funktion des Datenschutzbeauftragten kann aber nicht durch eine Person wahrgenommen werden, die daneben im Unternehmen noch Aufgaben innehat, die in einem Spannungsverhältnis mit einer unabhängigen, effektiven internen Aufsicht über den Datenschutz stehen. Unternehmen, die gesetzlich zur Bestellung eines Datenschutzbeauftragten verpflichtet sind, können daher nur eine solche Person zum Datenschutzbeauftragten bestellen, die in der Lage ist, diese Aufgabe frei von sachfremden Zwängen auszuüben. Und wenn sie das trotz wiederholter Aufforderung nicht machen, müssen sie notfalls mit Bußgeld dazu gezwungen werden.“, betont Thomas Kranig, der Präsident des BayLDA.

Was können Sie als Unternehmen tun, um solches Bußgelder zu vermeiden?

Entweder Sie vermeiden solche Interessenskonflikte oder Sie greifen zu einer transparenten und kostengünstigen externen Bestellung des Datenschutzbeauftragten, wie sie beispielsweise a.s.k. Datenschutz anbietet. Ein Angebot erhalten Sie zeitnah mittels unserer Online-Anfrage.

Übrigens gilt das Thema Interessenskonflikt auch für behördliche Datenschutzbeauftragte!!

Quelle: Pressemitteilung des BayLDA

1
2
3
4
Weiter »

Bußgeld

Die Funk­ti­ons­wei­se

Dash­cams in der prak­ti­schen Anwen­dung

Die Fra­ge zur Zuläs­sig­keit von Dash­cams vor dem BGH

Über­wie­gen­de Inter­es­sen beim Ein­satz von Dash­cams

“Es kommt dar­auf an” — Was kos­tet ein exter­ner Datenschutzbeauftragter?

Auf was kommt es bei den Kos­ten für einen exter­nen Daten­schutz­be­auf­trag­ten an?

Wie geht a.s.k. Daten­schutz als exter­ne Daten­schutz­be­auf­trag­te vor?

Was kos­tet es Sie auf jeden Fall …

Inter­nen oder exter­nen Daten­schutz­be­auf­trag­ten bestellen?

Ver­mei­den und kom­mu­ni­zie­ren

Mel­dun­gen von Daten­pan­nen

Dun­kel­zif­fer von Daten­pan­nen

Auf­sichts­be­hör­den

Daten­pan­nen bit­te doku­men­tie­ren /​ mel­den

Über­sicht der DSGVO Bußgelder

Kei­ne Email-Wer­bung ohne Einwilligung

Aus­nahms­wei­se doch Email-Wer­bung ohne Einwilligung?

Wie lau­tet die­se Aus­nah­me für Email-Wer­bung ohne Einwilligung?

Schon jedem Mal pas­siert — News­let­ter oder Email an vie­le Emp­fän­ger verschickt

Offe­ne News­let­ter-Ver­tei­ler kom­men nicht immer gut an

Lan­des­da­ten­schutz­be­hör­de prüft offe­ne News­let­ter-Ver­tei­ler und ver­hängt Bußgeld

Doch wer zahlt jetzt das Buß­geld für den offe­nen Newsletter-Verteiler?

Aufklärung ist Pflicht — Sorg­fäl­ti­ger Umgang mit News­let­tern-Ver­tei­lern ver­mei­det Bußgelder

Fra­gen Sie doch Ihren Datenschutzbeauftragten

Per­so­nal­aus­weis als Pfand, Per­so­nal­aus­weis-Kopie als Beleg — üblich, aber verboten

Der neue Personalausweis

Kein aus­drück­li­ches Kopier­ver­bot, aber …

War­um den Per­so­nal­aus­weis nicht kopieren?

Der alte Per­so­nal­aus­weis darf aber kopiert werden?

Dann neh­men wir den Per­so­nal­aus­weis eben als Pfand

Aus­nah­men vom Kopier­ver­bot und Pfand­ver­bot für Personalausweise?

Die Funktionsweise

Dashcams in der praktischen Anwendung

Die Frage zur Zulässigkeit von Dashcams vor dem BGH

Überwiegende Interessen beim Einsatz von Dashcams

“Es kommt darauf an” — Was kostet ein externer Datenschutzbeauftragter?

Auf was kommt es bei den Kosten für einen externen Datenschutzbeauftragten an?

Wie geht a.s.k. Datenschutz als externe Datenschutzbeauftragte vor?

Was kostet es Sie auf jeden Fall …

Internen oder externen Datenschutzbeauftragten bestellen?

Vermeiden und kommunizieren

Meldungen von Datenpannen

Dunkelziffer von Datenpannen

Aufsichtsbehörden

Datenpannen bitte dokumentieren / melden

Übersicht der DSGVO Bußgelder

Keine Email-Werbung ohne Einwilligung

Ausnahmsweise doch Email-Werbung ohne Einwilligung?

Wie lautet diese Ausnahme für Email-Werbung ohne Einwilligung?

Schon jedem Mal passiert — Newsletter oder Email an viele Empfänger verschickt

Offene Newsletter-Verteiler kommen nicht immer gut an

Landesdatenschutzbehörde prüft offene Newsletter-Verteiler und verhängt Bußgeld

Doch wer zahlt jetzt das Bußgeld für den offenen Newsletter-Verteiler?

Aufklärung ist Pflicht — Sorgfältiger Umgang mit Newslettern-Verteilern vermeidet Bußgelder

Fragen Sie doch Ihren Datenschutzbeauftragten

Personalausweis als Pfand, Personalausweis-Kopie als Beleg — üblich, aber verboten

Kein ausdrückliches Kopierverbot, aber …

Warum den Personalausweis nicht kopieren?

Der alte Personalausweis darf aber kopiert werden?

Dann nehmen wir den Personalausweis eben als Pfand

Ausnahmen vom Kopierverbot und Pfandverbot für Personalausweise?