Zum Inhalt springen

Ratgeber

Ver­falls­da­tum von Einwilligungen

Unter­lie­gen Ein­wil­li­gun­gen einem Verfallsdatum?

Eine Fra­ge, die immer wie­der an uns gestellt wird: “Wie lan­ge ist eine ein mal erteil­te Ein­wil­li­gun­gen z.B. für einen News­let­ter-Emp­fang denn gül­tig?” Wir haben uns mal auf die Suche nach belast­ba­ren Aus­sa­gen dazu gemacht. Denn nicht erst seit der DSGVO ist die­ses The­ma immer wie­der Gegen­stand von Anfra­gen bei uns.

Beschränkt die DSGVO die Gül­tig­keits­dau­er von Einwilligungen?

Ers­te Anlauf­stel­le ist natür­lich stets das Gesetz. Die DSGVO äußert sich zum The­ma Ein­wil­li­gun­gen in Art. 7 Bedin­gun­gen für die Ein­wil­li­gung (exter­ner Link). Den ein­zi­gen Anhalts­punkt zur Gül­tig­keits­dau­er einer Ein­wil­li­gung fin­den wir in Abs. 3:

Die betrof­fe­ne Per­son hat das Recht, ihre Ein­wil­li­gung jeder­zeit zu wider­ru­fen. Durch den Wider­ruf der Ein­wil­li­gung wird die Recht­mä­ßig­keit der auf­grund der Ein­wil­li­gung bis zum Wider­ruf erfolg­ten Ver­ar­bei­tung nicht berührt. Die betrof­fe­ne Per­son wird vor Abga­be der Ein­wil­li­gung hier­von in Kennt­nis gesetzt. Der Wider­ruf der Ein­wil­li­gung muss so ein­fach wie die Ertei­lung der Ein­wil­li­gung sein.

Somit sind Ein­wil­li­gun­gen wohl bis auf Wider­ruf gül­tig und der Wider­ruf dann auch nur für die Zukunft mög­lich. Auch der Zweck­bin­dungs­grund­satz aus Art. 5 DSGVO steht die­ser Aus­le­gung nicht ent­ge­gen, sofern kei­ne grund­sätz­li­che Zweck­än­de­rung vor­liegt. In die­sem Fall soll­te die Gül­tig­keit von Ein­wil­li­gun­gen auf jeden Fall stets über­prüft werden.

Neben der daten­schutz­recht­li­chen Ein­wil­li­gung ist bei einer Ein­wil­li­gung zu Wer­be­zwe­cken auch das Gesetz gegen den unlau­te­ren Wett­be­werb (kurz UWG) (exter­ner Link) zu berück­sich­ti­gen. So schreibt § 7 Abs. 2 Nr. 3 UWG (exter­ner Link) eine Ein­wil­li­gung zu Wer­be­zwe­cken im Sin­ne des UWG für Wer­bung per Email vor. Von einem Ablauf­da­tum ist hier jedoch kei­ne kon­kre­te Rede.

Was sagen die Gerich­te zum The­ma Gül­tig­keits­dau­er von Einwilligungen?

Hier wird es nun etwas wider­sprüch­lich. In einem Urteil des AG Bonn vom 10.05.2016 mit dem Akten­zei­chen 104 C 227/​15 (exter­ner Link) wird kon­kret für den Fall von Wer­be-Mails ein Ver­fall der Gül­tig­keit von 4 Jah­ren genannt. Dem ent­ge­gen steht ein Urteil des Bun­des­ge­richts­hof vom 01.02.2018 mit dem Akten­zei­chen III ZR 196/​17 (exter­ner Link), nach dem ein News­let­ter Opt-In nicht allein durch Zeit­ab­lauf erlischt (Sei­ten 15, 16; Rand­num­mern 30–32).

Ja was denn nun? Ablauf der Gül­tig­keit einer Ein­wil­li­gung oder nicht?

Aktu­ell spre­chen wohl mehr Argu­men­te dafür, dass es kein Ablauf­da­tum für gül­ti­ge Ein­wil­li­gun­gen gibt. Den­noch soll­ten wei­te­re Urtei­le zu dem The­ma kon­kret beob­ach­tet und im Zwei­fel her­an­ge­zo­gen wer­den. Eine gute Über­sicht über die Argu­men­te pro und kon­tra Ver­fall von Ein­wil­li­gun­gen fin­den Sie auch auf unse­rem Part­ner­blog (exter­ner Link).

Inter­es­sens­kon­flik­te bei Daten­schutz­be­auf­trag­ten vermeiden

Rechts­la­ge: Ver­mei­dung von Inter­es­sens­kon­flik­ten bei einem Daten­schutz­be­auf­trag­ten vorgeschrieben

Bereits im Anwen­dungs­rah­men des alten BDSG (vor Mai 2018) galt es, Inter­es­sens­kon­flik­te eines Daten­schutz­be­auf­trag­ten bei der Aus­übung sei­ner Tätig­keit zu ver­mei­den. Art. 38 Abs. 6 DSGVO (exter­ner Link) regelt das seit Mai 2018 nicht anders:

“Der Daten­schutz­be­auf­trag­te kann ande­re Auf­ga­ben und Pflich­ten wahr­neh­men. Der Ver­ant­wort­li­che oder der Auf­trags­ver­ar­bei­ter stellt sicher, dass der­ar­ti­ge Auf­ga­ben und Pflich­ten nicht zu einem Inter­es­sen­kon­flikt führen.”

Der Lan­des­be­auf­trag­te für den Daten­schutz und die Infor­ma­ti­ons­frei­heit von Baden-Würt­tem­berg, Dr. Ste­fan Brink hat dies in sei­nem 38. Tätig­keits­be­richt 2018 (exter­ner Link) aus­führ­li­cher beleuch­tet. “Der Ver­ant­wort­li­che bzw. Auf­trags­ver­ar­bei­ter hat aller­dings dafür Sor­ge zu tra­gen, dass […] kei­ne Unver­ein­bar­kei­ten bzw. Befan­gen­heit vorliegen.”

Wer darf bzw. darf die Funk­ti­on des Daten­schutz­be­auf­trag­ten in einem Unter­neh­men oder einer Behör­de ausüben?

In Anbe­tracht der wei­ten Prüf- und Kon­troll­pflich­ten eines Daten­schutz­be­auf­trag­ten, zieht Brink hier eine deut­li­che Grenze:

“Für eine kor­rek­te Erfül­lung der Auf­ga­ben des DSB ist viel­mehr eine wei­test­ge­hen­de Distanz gegen­über der zu kon­trol­lie­ren­den Stel­le uner­läss­lich, denn eine effek­ti­ve Kon­trol­le ist dann zu bezwei­feln, wenn der Kon­trol­leur sich selbst kon­trol­lie­ren muss.”

Das mit der zu kon­trol­lie­ren­den Stel­le die Orga­ni­sa­ti­on (Unter­neh­men, Behör­de, Ver­ein) gemeint ist, wel­che den Daten­schutz­be­auf­trag­ten zu bestel­len hat, liegt auf der Hand. Gene­rell soll der DSB kei­ne ande­re Funk­ti­on aus­üben, in der er oder sie über die Zwe­cke oder Mit­tel der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten selbst zu ent­schei­den hat. Doch was bedeu­tet das nun kon­kret (Sei­ten 28–30 des TB), wer schei­det für die Aus­übung des Daten­schutz­be­auf­trag­ten gene­rell aus:

  1. Leitungs‑, Chef- und Inha­ber­ebe­ne: Inha­ber, Lei­ter, Part­ner, Vor­stand, Geschäfts­füh­rer, Mit­glied der Geschäfts­lei­tung, Mana­ger, Bür­ger­meis­ter, Land­rat oder ander­wei­tig beru­fe­ne Lei­tung der Organisation
  2. Nach­ge­ord­ne­te Posi­tio­nen mit Füh­rungs­auf­ga­ben und Ent­schei­dungs­kom­pe­tenz über die Fest­le­gung von Zwe­cken und Mit­teln der Daten­ver­ar­bei­tung (IT): IT-Lei­ter, Lei­ter des ope­ra­ti­ven Geschäfts­be­reichs, Lei­ter Mar­ke­ting, Lei­ter Per­so­nal, Betriebs­lei­ter, Amts- bzw- Geschäfts­lei­ter, aber durch­aus auch nach­ge­la­ger­te Funk­tio­nen, wenn die­se ähn­li­che Inter­es­sens­kon­flik­te mit sich bringen
  3. Berei­che mit hohem Ver­ar­bei­tungs­um­fang: Mit­ar­bei­ter aus dem Personal‑, Ver­triebs- oder Marketingbereich
  4. Beauf­trag­te: Geheim­schutz­be­auf­trag­te, Geldwäschebeauftragte

Bei der Prü­fung auf mög­li­che Inter­es­sens­kon­flik­te sind auch fami­liä­re Ver­hält­nis­se zu berück­sich­ti­gen. So kann bei zu engen fami­liä­ren Bezie­hun­gen zwi­schen Orga­ni­sa­ti­ons­lei­tung bzw. Inha­ber und dem zu bestel­len­den Daten­schutz­be­auf­trag­ten die not­wen­di­ge Unab­hän­gig­keit nach Art. 38 Abs. 3 DSGVO nicht mehr gewähr­leis­tet sein. Das gilt übri­gens unab­hän­gig davon, ob der oder die Ver­wand­te bei der bestel­len­den Orga­ni­sa­ti­on beschäf­tigt ist oder nicht.

Dann bestel­len wir doch ein­fach einen exter­nen Daten­schutz­be­auf­trag­ten, der hat kei­ne Interessenskonflikte

Vom Ansatz her gut, aber auch hier gilt es, vor­han­de­ne Inter­es­sens­kon­flik­te zu ver­mei­den. So ist lt. Brink der genutz­te IT-Dienst­leis­ter eben­falls befan­gen und soll­te daher nicht als exter­ner Daten­schutz­be­auf­trag­ter bestellt wer­den. Das gilt auch für den Fall, dass der Dienst­leis­ter für die IT-Betreu­ung und den Daten­schutz zwei unter­schied­li­che Mit­ar­bei­ter ein­setzt. Soll­te der exter­ne Daten­schutz­be­auf­trag­te die Orga­ni­sa­ti­on in daten­schutz­recht­li­chen Sachen vor Gericht ver­tre­ten, ist eben­falls ein Inter­es­sens­kon­flikt anzunehmen.

Durch unse­re Fokus­sie­rung auf die bei­den The­men Daten­schutz und Infor­ma­ti­ons­si­cher­heit sind wir bei Aus­übung der Funk­ti­on des exter­nen Daten­schutz­be­auf­trag­ten frei von Inter­es­sens­kon­flik­ten. Wir sind in kei­nen ande­ren Berei­chen für Sie tätig und bestim­men wei­ter­hin nicht über Zweck und Mit­tel zur Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten in Ihrer Orga­ni­sa­ti­on. Spre­chen Sie uns an (inter­ner Link).

 

 

Siche­re und kom­for­ta­ble Pass­wort-Ver­wal­tung mit Keepass

Pass­wör­ter — zu vie­le, zu kom­plex, kaum zu merken

Es gibt zahl­rei­che Mythen rund um die The­men Pass­wort und Sicher­heit, die sich hart­nä­ckig hal­ten. Und das obwohl allen Akteu­ren eigent­lich klar sein soll­te, dass die Ideen dahin­ter aus dem Bereich Fan­ta­sy ent­stam­men, jedoch nicht zur Pass­wort-Sicher­heit bei­tra­gen. Anhän­ger der Theo­rien “Pass­wör­ter müs­sen immer Son­der­zei­chen und Zah­len ent­hal­ten” und “Pass­wör­ter muss man regel­mä­ßig wech­seln” las­sen sich davon eh nicht abbrin­gen. Die Ver­nünf­ti­gen der Zunft haben die Zei­chen der Zeit erkannt und drang­sa­lie­ren die Nut­zer nicht mehr mit die­sem Bal­last, der kon­kret beleuch­tet eher Unsi­cher­heit statt Sicher­heit bringt. Doch hier sol­len kei­ne Glau­bens­krie­ge aus­ge­foch­ten wer­den. Wen es inter­es­siert, hier haben wir wei­te­re Details dazu zusammengetragen:

Fakt ist, unter­schied­li­che Log­ins /​ Accounts soll­ten auch unter­schied­li­che Pass­wör­ter nut­zen. Damit ist sicher­ge­stellt, dass ein ein­zel­ner kom­pro­mit­tier­ter Zugang nicht zum Öff­nen aller ande­ren Zugän­ge genutzt wer­den kann. Unab­hän­gig von Pass­wort­län­ge und Kom­ple­xi­tät kom­men hier für einen Anwen­der im Lau­fe der digi­ta­len Nut­zung zig Log­in-Daten zusam­men (PC Anmel­dung, Pro­gramm Anmel­dung, Cloud-Spei­cher Anmel­dung, diver­se Accounts bei Online-Shops, PINs und und und). Und alle Zugän­ge haben ein unter­schied­li­ches Pass­wort. Wer soll sich das alles mer­ken? Abhil­fe schaf­fen soge­nann­te Pass­wort-Tre­so­re wie Keepass.

Kee­pass — oder das letz­te Pass­wort, dass Sie sich mer­ken müssen

Wenn Sie die Such­ma­schi­ne Ihrer Wahl bemü­hen, wer­den Sie mit den Such­be­grif­fen “Pass­wort Tre­sor” unzäh­li­ge Tref­fer fin­den. Über die Sinn­haf­tig­keit vie­ler Ange­bo­te lässt sich treff­lich strei­ten. Es bleibt immer zu hin­ter­fra­gen, ob Sie Ihre Zugangs­da­ten einem frem­den Dienst /​ Anbie­ter anver­trau­en (mög­li­cher­wei­se noch aus den USA oder Russ­land) oder nicht doch lie­ber Herr über Ihre eige­nen Pass­wör­ter blei­ben wol­len. Ein Tool hier­zu ist Kee­pass. Kee­pass steht für eigent­lich alle gän­gi­gen Platt­for­men wie Win­dows, Linux, MacOS, iOS, Android und ande­re zur Ver­fü­gung. Somit ist sicher­ge­stellt, den eige­nen Pass­wort-Tre­sor auch platt­form­über­grei­fend nut­zen zu kön­nen. Ein Tre­sor an einer zen­tra­len Stel­le erleich­tert den Aktua­li­sie­rungs­auf­wand enorm. Wir haben unse­re Pass­wort-Tre­so­re bei­spiels­wei­se in einem Cloud-Spei­cher abge­legt. Bevor jetzt jemand den Kopf schüt­telt, die­ser Spei­cher­platz ist zusätz­lich noch mal mit einem sepa­ra­ten und platt­form­un­ab­hän­gi­gen Tool verschlüsselt 🙂

In einem mit einem guten Mas­ter­pass­wort ver­schlüs­sel­ten Pass­wort-Tre­sor mit Kee­pass haben Sie ab sofort eine zen­tra­le Zugriffs­mög­lich­keit auf  alle Ihre schüt­zens­wer­ten Infor­ma­tio­nen begin­nend mit Log­in-Infor­ma­tio­nen (Benut­zer­na­men und Pass­wör­ter), aber auch für PIN oder Lizenz­schlüs­sel für gekauf­te Soft­ware. Die Ein­satz­zwe­cke eines sol­chen Tre­sors mit Kee­pass sind sehr umfang­reich. Was und wie erfah­ren Sie in in unse­rer PDF Anleitung.

Doch jetzt genug geschrie­ben. Am Ende die­ses Bei­trags fin­den Sie eine kon­kre­te Anlei­tung zur Instal­la­ti­on und Nut­zung von Kee­pass sowohl für den geschäft­li­chen /​ dienst­li­chen als auch pri­va­ten Ein­satz. Ger­ne dür­fen Sie das Doku­ment intern und extern wei­ter­ge­ben. Wir wür­den uns freu­en, wenn Sie die Hin­wei­se auf unse­re Urhe­ber­schaft nicht ent­fer­nen. Ver­hin­dern kön­nen und wol­len wir das nicht. Was wir aber ungern sehen wür­den, wäre die­ses Doku­ment im Rah­men von Bezahl­an­ge­bo­ten online oder Print wie­der­zu­fin­den. Fair play!

Kri­ti­sche Stim­me zu Passwort-Tresoren

Alles was Licht hat, wirft auch Schat­ten. Auch Pass­wort-Tre­so­re haben Schwä­chen. Einen sehr emp­feh­lens­wer­ten Bei­trag gibt es von Ralph Dom­bach hier zu lesen:

https://​www​.secu​ri​ty​-insi​der​.de/​p​a​s​s​w​o​r​d​-​m​a​n​a​g​e​r​-​n​e​i​n​-​d​a​n​k​e​-​a​-​6​8​9​7​95/

Doch hier der Down­load “Anlei­tung und Ein­satz­mög­li­chen­kei­ten Keepass”

Siche­re Pass­wort­ver­wal­tung mit Keepass
1882 Downloads

Kos­ten­lo­se Check­lis­te Mul­ti­funk­ti­ons­ge­rä­te Daten­schutz und Informationssicherheit

Risi­ko auf dem Flur — Multifunktionsgeräte

Mul­ti­funk­ti­ons­ge­rä­te – eier­le­gen­de Woll­mi­ch­sau und nicht uner­heb­li­ches Sicher­heits­ri­si­ko. Heut­zu­ta­ge sind die­se Gerä­te aus fast kei­nem Büro mehr weg­zu­den­ken. Egal ob klei­ne­re Gerä­te direkt am Arbeits­platz oder wuch­ti­ge Stand­ge­rä­te an zen­tra­len Stel­len im Haus. Es wird flei­ßig gedruckt, gescannt, gefaxt und kopiert. Doch bei all dem Kom­fort soll­ten die Sicher­heits­aspek­te nicht außer Acht gelas­sen wer­den. Gro­ße Druck­auf­trä­ge, die noch eine Wei­le bis zum Abho­len im Druck­aus­gang ver­blei­ben; Fehl­aus­dru­cke, die im Papier­korb neben dem Gerät ent­sorgt wer­den; Faxe, zen­tral ein­ge­gan­gen und durch ver­schie­de­ne Hän­de gegan­gen, bevor sie den eigent­li­chen Emp­fän­ger errei­chen. Das sind nur eini­ge Pro­ble­me und Risi­ken, denen aus Sicht des Daten­schut­zes und der Infor­ma­ti­ons­si­cher­heit mit geeig­ne­ten tech­ni­schen und orga­ni­sa­to­ri­schen Mit­teln begeg­net wer­den muss.

Kos­ten­lo­se Check­lis­te Daten­schutz und Informationssicherheit

Unse­re Check­lis­te soll hel­fen, vor­han­de­ne Schwach­stel­len zu iden­ti­fi­zie­ren und mög­lichst zeit­nah zu schlie­ßen. Auch wenn hier haupt­säch­lich von Mul­ti­funk­ti­ons­ge­rä­ten die Rede ist, so kön­nen die Schwach­stel­len auch bei Ein­zel­funk­ti­ons­ge­rä­ten vor­han­den sein. Prü­fen Sie bit­te penibel.

Grund­la­ge der Check­lis­te: BSI IT-Grund­schutz 200–2 Bau­stein SYS 4.1 sowie Ori­en­tie­rungs­hil­fe Foto­ko­pie­rer der Lan­des­da­ten­schutz­be­hör­de Freie Han­se­stadt Bremen.

Wir emp­feh­len, die Check­lis­te von dem Fach­be­reich (oder den Fach­be­rei­chen) aus­fül­len zu las­sen, der oder die für Beschaf­fung, Kon­fi­gu­ra­ti­on, Inbe­trieb­nah­me und Betreu­ung wäh­rend des Betriebs sowie die Außer­be­trieb­nah­me zustän­dig ist bzw. sind. Im Anschluss soll­ten die Ergeb­nis­se vom Daten­schutz­be­auf­trag­ten (DSB) und /​ oder Infor­ma­ti­ons­si­cher­heits­be­auf­trag­ten (ISB) auf­ge­grif­fen wer­den, um durch Nach­jus­tie­rung oder Ergän­zung geeig­ne­ter tech­ni­scher und orga­ni­sa­to­ri­scher Maß­nah­men das Risi­ko für Daten­pan­nen zu min­dern bzw. deren Kon­se­quen­zen zu begrenzen.

Über­prü­fung Wirk­sam­keit tech­ni­scher und orga­ni­sa­to­ri­scher Maß­nah­men (TOM)

Je nach Ernst­haf­tig­keit der Bear­bei­tung die­ser Check­lis­te kann die­se durch­aus als ein Nach­weis (von vie­len) über Prü­fung der Wirk­sam­keit von tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men in Ihrer Orga­ni­sa­ti­on dienen.

Viel Erfolg bei der Umset­zung wünscht das
Team von a.s.k. Datenschutz

Check­lis­te Sicher­heit Daten­schutz Mul­ti­funk­ti­ons­ge­rä­te 2019 V1_​​0_​​quer Webversion
956 Downloads

Die DSGVO Schon­frist ist vor­bei — Auf­sichts­be­hör­den machen ernst

Seit Mai 2018 ist die EU Daten­schutz-Grund­ver­ord­nung (DSGVO) wirk­sam, nach­dem sie bereits Mai 2016 in Kraft getre­ten ist. Zeit bestand aus­rei­chend, sich auf die Neue­run­gen vor­zu­be­rei­ten. Die eine oder ande­re Orga­ni­sa­ti­on hat die Gele­gen­heit genutzt, bestehen­de Lücken in der eige­nen Daten­schutz-Orga­ni­sa­ti­on zu schlie­ßen. In den letz­ten Mona­ten haben wir öfter mal den Satz gehört „Woher soll ich wis­sen, was da im Daten­schutz zu tun ist?“. Hier gilt eine Hol­schuld durch die Orga­ni­sa­ti­ons­lei­tung getreu dem Mot­to „Unwis­sen­heit schützt vor Stra­fe nicht“. Für die Ein­hal­tung gesetz­li­cher Vor­schrif­ten ist die Lei­tung zustän­dig und ver­ant­wort­lich. Für Geschäfts­füh­rer gilt hier § 130 Gesetz über Ord­nungs­wid­rig­kei­ten (OWiG) mit der tref­fen­den Bezeich­nung “Ver­let­zung der Auf­sichts­pflicht in Betrie­ben und Unter­neh­men“. Ähn­li­che Ver­pflich­tun­gen für Behör­den trifft sogar unser Grundgesetz.

Die DSGVO-Schon­zeit ist vorbei

Die meis­ten Lan­des­da­ten­schutz­be­hör­den haben jedoch in den letz­ten Mona­ten ein Auge zuge­drückt und eine im Gesetz nicht vor­ge­se­he­ne frei­wil­li­ge Karenz­zeit ein­ge­scho­ben. In die­sem Zeit­raum soll­ten Orga­ni­sa­tio­nen die Gele­gen­heit letzt­ma­lig nut­zen, die recht­li­chen Ver­pflich­tun­gen aus der DSGVO in Ver­bin­dung mit dem neu­en Bun­des­da­ten­schutz­ge­setz (BDSG) für Unter­neh­men und den Lan­des­da­ten­schutz­ge­set­zen für Lan­des­be­hör­den und kom­mu­na­le Ein­rich­tun­gen umzu­set­zen. Die­se Schon­zeit ist nun vorbei!

Es wird ernst — aber Buß­gel­der sind nicht das eigent­li­che Problem

Ende Okto­ber wur­de ein ers­tes Buß­geld gegen ein por­tu­gie­si­sches Kran­ken­haus ver­hängt. 400.000 Euro für den laxen Umgang mit Pati­en­ten­da­ten. Das ist erst mal ein Bro­cken. Wei­te­re Buß­gel­der und ver­stärkt Sank­tio­nen in Form von Auf­la­gen haben jetzt auch die deut­schen Lan­des­da­ten­schutz­be­hör­den ange­kün­digt. In den nächs­ten Wochen wird in der Pres­se davon zu lesen und zu hören sein. Glück­li­cher­wei­se gilt es für die Auf­sichts­be­hör­den nach wie vor, bei der Bemes­sung von Buß­gel­dern Ange­mes­sen­heit und Ver­hält­nis­mä­ßig­keit zu wah­ren. Die in der Pres­se oder auch in Bera­tungs­an­ge­bo­ten ger­ne zitier­ten 10 bis 20 Mil­lio­nen Euro (bzw. 2–4% des welt­wei­te­ren Kon­zern­um­sat­zes im Vor­jahr) sind natür­lich im Gesetz so vor­ge­se­hen. In der unre­flek­tier­ten Kom­mu­ni­ka­ti­on sind die­se Zah­len jedoch rei­ne Panik­ma­che. Klei­ne und mit­tel­stän­di­sche Betrie­be wer­den sich mit sol­chen Sum­men sicher nicht kon­fron­tiert sehen. Das heißt aber nicht, sich wei­ter zurück­leh­nen und das The­ma aus­sit­zen zu können.

Denn abge­se­hen von Buß­gel­dern und Sank­tio­nen, geht schnell mit Daten­schutz­ver­stö­ßen auch ein Image­scha­den ein­her. Auch Scha­den­er­satz ist im Daten­schutz mög­lich. Grund genug, zumin­dest ein paar „Basics“ in der eige­nen Orga­ni­sa­ti­on umzusetzen.

Hier ein paar Tipps und Hin­wei­se zur Umset­zung der DSGVO Anforderungen:

1. Ver­zeich­nis der Ver­ar­bei­tungs­tä­tig­kei­ten (VVT)

Ihre Orga­ni­sa­ti­on wird im Zwei­fel mit einer Viel­falt und Viel­zahl an per­so­nen­be­zo­ge­nen Daten von Mit­ar­bei­tern, Kun­den, Bür­gern, Inter­es­sen­ten, Geschäfts­part­nern etc. umge­hen. Aus die­sem Grund trifft eigent­lich (fast) jede Orga­ni­sa­ti­on die Pflicht, ein sog. Ver­zeich­nis der Ver­ar­bei­tungs­tä­tig­kei­ten zu füh­ren. Dabei han­delt es sich um detail­lier­te Über­sich­ten, wo und wie und in wel­chen sog. „Ver­fah­ren“ (nicht immer iden­tisch mit Pro­gram­men) Ihre Orga­ni­sa­ti­on per­so­nen­be­zo­ge­ne Daten ver­ar­bei­tet. Das VVT ist Grund­la­ge für wei­te­re Daten­schutz-Tätig­kei­ten und ele­men­ta­rer Bestand­teil Ihrer Rechen­schafts­pflicht, die recht­li­chen Daten­schutz-Anfor­de­run­gen in Ihrer Orga­ni­sa­ti­on umge­setzt zu haben

2. Rech­te der Kund­schaft sicherstellen

Im Rah­men der DSGVO haben sich die Rech­te der sog. Betrof­fe­nen wei­ter ver­bes­sert. So kann jede Per­son von Unter­neh­men und Behör­den sehr umfäng­lich Aus­kunft über die gespei­cher­ten und ver­ar­bei­te­ten Daten ver­lan­gen. Neben der rei­nen Aus­kunft ist eine sog. „Daten­ko­pie“, sowohl von vor­han­de­nen ana­lo­gen als auch digi­ta­len Daten in geeig­ne­ter Form mit­zu­lie­fern. Wenn Sie kei­ne Über­sicht haben, wo und wie wel­che per­so­nen­be­zo­ge­nen Daten in Ihrer Orga­ni­sa­ti­on gespei­chert sind, wird es schwer­fal­len, die­sem aus­führ­li­chen Anspruch ohne Feh­ler und /​ oder Bean­stan­dung gerecht zu werden.
Wei­ter­hin sind per­so­nen­be­zo­ge­ne Daten nach Ablauf der gesetz­li­chen Auf­be­wah­rungs­frist umge­hend zu löschen. Pein­lich, wenn Sie im Rah­men der Aus­kunft Infor­ma­tio­nen her­aus­ge­ben, die schon längt hät­ten gelöscht sein müssen.

3. Infor­ma­ti­ons­pflich­ten

Jede Orga­ni­sa­ti­on muss Betrof­fe­ne bei direk­ter und indi­rek­ter Erhe­bung über die Ver­ar­bei­tung der per­so­nen­be­zo­ge­nen Daten auf­klä­ren (Art. 13+14 DSGVO). Die­se Pflicht­an­ga­ben sind recht umfang­reich und müs­sen leicht zugäng­lich sein. Hier gilt es, die­se Pflicht­an­ga­ben für die Ver­ar­bei­tun­gen in der Orga­ni­sa­ti­on zusam­men­zu­stel­len und dann z.B. über Web­sei­te, Aus­hän­ge, Hin­wei­se auf die Anga­ben auf der Web­sei­te an die Betrof­fe­nen zu kom­mu­ni­zie­ren. Bit­te ver­wech­seln Sie das nicht mit der Daten­schutz­er­klä­rung auf Ihrer Web­sei­te. Das ist ein ganz ande­res Thema.
Da das Vor­han­den­sein und Durch­füh­ren der Infor­ma­ti­ons­pflich­ten mit einem Blick auf die Web­sei­te oder einem ein­fa­chen Anruf bei Ihnen sofort fest­ge­stellt wer­den kann, sind feh­len­de Umset­zun­gen schnell festzustellen.

4. Ein­wil­li­gun­gen

Wenn Sie per­so­nen­be­zo­ge­ne Daten zur Durch­füh­rung eines Ver­tra­ges oder auf­grund einer Rechts­vor­schrift erhe­ben, benö­ti­gen Sie kei­ne Ein­wil­li­gung (das wird auch nicht wah­rer, wenn vie­le Medi­en das Gegen­teil behaup­ten). In vie­len ande­ren Fäl­len (Email-Wer­bung, Tele­fon-Wer­bung etc.) ist eine Ein­wil­li­gung uner­läß­lich. Ein­wil­li­gun­gen müs­sen aktiv, frei­wil­lig, trans­pa­rent und aus­führ­lich sowie mit Hin­weis auf die Wider­rufs­mög­lich­keit erteilt wer­den. Prü­fen Sie Ihre Ein­wil­li­gun­gen, ob die­se den Anfor­de­run­gen entsprechen.

5. Wer­bung

Brief­wer­bung (also wirk­lich klas­si­sche Post) ist nach der DSGVO im Ein­klang mit dem UWG (Gesetz gegen den unlau­te­ren Wett­be­werb) ohne Ein­wil­li­gung mög­lich. Für Email-Wer­bung gilt dies nur für Bestands­kun­den. Dabei darf aber der vor­ge­schrie­be­ne Hin­weis auf die jeder­zei­ti­ge Wider­rufs­mög­lich­keit nicht ver­ges­sen wer­den. Alle ande­ren Daten dür­fen nur mit gül­ti­ger Ein­wil­li­gung (sie­he 4) für Wer­be­zwe­cke genutzt werden.

6. Sicher­heit der Datenverarbeitung

Unge­schütz­te Daten­spei­che­rung, unver­schlüs­sel­te Daten­über­tra­gung, End­ge­rä­te (PC, Lap­tops, Tablet und Smart­phone) ohne Pass­wort­schutz, unzu­rei­chen­de oder nicht dem Stand der Tech­nik ent­spre­chen­de Daten­si­che­run­gen sind Geschich­te. Die DSGVO schiebt dem laxen Umgang mit der IT-Sicher­heit einen hef­ti­gen Rie­gel vor. Zukünf­tig muss nicht der Betrof­fe­ne im Scha­den­fall nach­wei­sen, dass Ihre Orga­ni­sa­ti­on kei­ne aus­rei­chen­den Schutz­maß­nah­men für des­sen per­so­nen­be­zo­ge­ne Daten ergrif­fen hat. Statt­des­sen ist Ihre Orga­ni­sa­ti­on beweis­pflich­tig, das alles Mach- und Zumut­ba­re an Sicher­heits­maß­nah­men ein­ge­führt und regel­mä­ßig auf Funk­ti­ons­fä­hig­keit geprüft wurde.

7. Mel­de­pflicht von Datenpannen

Ver­bum­mel­te Papier­un­ter­la­gen, ver­lo­re­ne tech­ni­schen Gerä­te, feh­ler­haf­ter Ver­sand (Post /​ Email), mit Schad­code befal­le­ne IT-Sys­te­me und vie­le Anläs­se mehr füh­ren schnell zu einer mel­de­pflich­ti­gen Daten­pan­ne, wenn per­so­nen­be­zo­ge­ne Daten im Spiel sind. Die­se Daten­pan­nen sind alle­samt intern zu doku­men­tie­ren und auf Risi­ko für den Betrof­fe­nen zu bewer­ten. Liegt ein Risi­ko für Betrof­fe­ne vor, gilt es die Daten­pan­ne inner­halb von 72h an die zustän­di­ge Auf­sichts­be­hör­de online zu mel­den. Bei beson­ders hohem Risi­ko müs­sen zusätz­lich die Betrof­fe­nen durch Sie infor­miert wer­den. Schau­en Sie auf die Web­sei­te Ihrer Lan­des­da­ten­schutz­be­hör­de mit dem dazu­ge­hö­ri­gen Mel­de­for­mu­lar. Sie wer­den stau­nen, wie schnell und umfang­reich eine sol­che Mel­dung getä­tigt wer­den muss. Ohne inter­ne Pro­zes­se zur Erken­nung, Bewer­tung und Mel­dung sind die Anfor­de­run­gen nicht zu erfül­len. Damit ist nicht zu spa­ßen. Und nach der Daten­pan­ne nicht die Nach­be­ar­bei­tung ver­ges­sen: Was ist zu tun, damit sich die­se Art der Daten­pan­ne mög­lichst nicht wiederholt.

8. Daten­schutz­be­auf­trag­ter /​ DSB

Sobald mehr als 9 Mit­ar­bei­ter regel­mä­ßig per­so­nen­be­zo­ge­ne Daten von Kun­den und /​ oder Mit­ar­bei­tern ver­ar­bei­ten, muss Ihre Orga­ni­sa­ti­on einen Daten­schutz­be­auf­trag­ten bestel­len. Öffent­li­che Stel­len unter­lie­gen einer gene­rel­len Bestell­pflicht, ganz unab­hän­gig von der Mit­ar­bei­ter­an­zahl. Die Aus­füh­rung die­ser Bestell­pflicht kann die Auf­sichts­be­hör­de seit Mai 2018 ganz ein­fach über­prü­fen. Denn Ihre Orga­ni­sa­ti­on muss den Daten­schutz­be­auf­trag­ten offi­zi­ell bei der Auf­sichts­be­hör­de mit Name und Kon­takt­da­ten mel­den. Ein Abgleich bringt schnell zuta­ge, wel­che Ein­rich­tung wohl der Bestell­pflicht unter­liegt, aber kei­ne Mel­dung vor­ge­nom­men hat. Zusätz­lich müs­sen Sie Ihren Daten­schutz­be­auf­trag­ten offi­zi­ell im Rah­men der Daten­schutz­er­klä­rung auf Ihrer Web­sei­te mit Kon­takt­da­ten benen­nen. Sie haben noch kei­nen Daten­schutz­be­auf­trag­ten? Dann wird es Zeit. Die­ser hilft Ihnen übri­gens auch sofort bei der Umset­zung der 7 ande­ren Punk­te aus die­ser Lis­te — und bei vie­len wei­te­ren Daten­schutz-The­men, die Ihre Orga­ni­sa­ti­on umge­setzt haben muss.

Viel Erfolg!

PS: Die Punk­te 1–8 sind einer Infor­ma­ti­ons­bro­schü­re des Baye­ri­schen Lan­des­amts für Daten­schutz­auf­sicht ent­nom­men. Unser Arti­kel stellt kei­ne Rechts­be­ra­tung dar.

Word­Press und die DSGVO — Zusam­men­stel­lung für Umzug und Konfiguration

Panik­ma­che mit der DSGVO

Lei­der häu­fen sich die letz­ten Mona­te wie­der die Panik­ma­cher nach dem Mot­to “Die DSGVO kos­tet Sie Ihre Exis­tenz, außer Sie kau­fen unse­re Dienst­leis­tun­gen, Vor­la­gen, Bücher .….”.  Web­sei­ten­be­trei­ber (egal ob mit Word­Press oder ande­ren CMS erstellt) sind extrem ver­un­si­chert, was die DSGVO für sie bereithält.

Das ist in wei­ten Tei­len abso­lu­ter Quatsch und in unse­ren Augen unse­riö­se Geschäf­te­ma­che­rei. Sicher­lich bringt die Daten­schutz­grund­ver­ord­nung (DSGVO) eini­ges an Ver­än­de­run­gen und Neue­run­gen mit sich. Aber die Grund­zü­ge des Daten­schutz­rechts sind gleich geblie­ben. Wer also bis­her schon im Anwen­dungs­raum des BDSG oder der Lan­des­da­ten­schutz­ge­set­ze rechts­kon­form gear­bei­tet hat, nimmt noch eini­ge Anpas­sun­gen und Ergän­zun­gen an sei­nem Web­auf­tritt vor und das war es. Das mag unbe­quem sein, aber wel­ches Recht ist das nicht. Wen das Daten­schutz­recht bis­her nicht geküm­mert hat, ok, der hat jetzt eini­ges an Arbeit vor der Brust.

Das DSGVO-Blog-Ster­ben

In zahl­rei­chen Medi­en wer­den Schlie­ßun­gen von Blogs ange­kün­digt. Teil­wei­se pri­vat betrie­be­ne Blogs, teil­wei­se sol­che mit kom­mer­zi­el­ler Nut­zung. Schuld dar­an, sei die DSGVO. Schaut man genau­er hin, sind es jedoch oft Blog-Funk­tio­nen, die bereits im alten Daten­schutz­recht nicht kor­rekt umge­setzt waren (obwohl das ging) und nun in der DSGVO erst recht zu Pro­ble­men führen.

Doch der Auf­wand, einen pri­va­ten Blog oder mit­tels des Blogs dar­ge­stell­te gewerb­li­che Web­sei­ten im Sin­ne der DSGVO sau­ber auf­zu­set­zen und zu betrei­ben, ist über­schau­bar. Erst recht kein Grund, jah­re­lang gepfleg­te Dis­kus­si­on und Infor­ma­ti­on online ein­zu­stel­len und zu been­den. Die teil­wei­se pri­vat und mit viel Lie­be geführ­ten Blogs sind Bestand­teil unse­rer Medi­en- und Dis­kus­si­ons­kul­tur und gehö­ren daher bewahrt.

Wir woll­ten nun kei­nen neu­en Bei­trag schrei­ben, wie man z.B. mit Word­Press betrie­be­ne Web­sei­ten DSGVO-kon­form macht. Dazu gibt es diver­se Bei­trä­ge zu Ein­zel­aspek­ten im Web zuhauf. Aber wir haben uns mal hin­ge­setzt (obwohl auch uns und unse­re Kun­den der DSGVO Schuh noch etwas drückt bis zum 25.05.18) und die uns als Anlei­tung geeig­net erschei­nen­den Tipps und Anlei­tun­gen hier zusam­men­ge­stellt. Da zahl­rei­che unse­rer Kun­den Word­Press ein­set­zen, kön­nen die­se mit­tels die­ser Tipps auch gleich wei­ter am rechts­kon­for­men Web­auf­tritt arbeiten.

Wir wis­sen auch, die­ser Bei­trag wird den Tech­nik­ver­sier­ten zu ober­fläch­lich sein, den weni­ger Tech­nik­af­fi­nen viel­leicht schon zu spe­zi­ell. Sehen Sie es als Hil­fe­stel­lung und Anre­gung. Mehr nicht.

DSGVO-kon­for­mes Hos­ting von WordPress

Das Ange­bot ist bequem, Regis­trie­rung, 2 Maus­klicks und schon steht die ers­te eige­ne Word­Press-Web­sei­te im Netz, zumeist direkt bei word​press​.com. Um den Daten­zu­griff des Anbie­ters zu unter­bin­den oder zumin­dest ein­zu­schrän­ken, soll­te man jedoch die Word­Press-Instal­la­ti­on selbst hos­ten und betreiben.

Die meis­ten Anbie­ter haben sehr gute Domain-Pake­te mit Ein-Klick-Instal­la­tio­nen. Wirk­lich gute Anbie­ter haben dann neben einem schnel­len und pro­fes­sio­nel­lem Ser­vice bereits eine auf die DSGVO ange­pass­te Vor­la­ge für die Ver­ein­ba­rung der Auf­trags­ver­ar­bei­tung und die Prü­fung der tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men (kurz TOM) parat und man muss erst gar nicht groß nach­fra­gen oder sich durch Hot­lines quä­len. Wir für unse­re bei­den Blogs (und zahl­rei­che unse­rer klei­ne­ren Kun­den) nut­zen seit Jah­ren die Neue Medi­en Mün­nich als Hos­ter, kurz und knapp als ALL-INKL bekannt.

Im Rah­men der Domain-Pake­te kann mit weni­gen Klicks ein eige­nes Word­Press auf Ihrem Web­space instal­liert und ein­ge­rich­tet wer­den. SSL-Zer­ti­fi­kat von Let’s Encrypt kos­ten­los mit dabei zwecks ver­schlüs­sel­ter Kom­mu­ni­ka­ti­on auf und mit Ihrer Web­sei­te (ist ja nicht erst mit der DSGVO Pflicht!)

Wenn Sie schon über eine Word­Press-Web­sei­te ver­fü­gen und nun umzie­hen wol­len, gibt es hier eine tol­le Anlei­tung, wie das funktioniert:

Von Word​Press​.com auf eige­nen Web­space umziehen

Nicht daten­schutz­kon­for­me Plug­ins vermeiden

In einer sau­be­ren Neu-Instal­la­ti­on (und /​ oder dem impor­tier­ten Web­auf­tritt aus dem Punkt zuvor) gilt es nun, geschwät­zi­ge (und damit meist nicht DSGVO-kon­for­me) Plug­ins zu ver­mei­den oder vor­han­de­ne zu iden­ti­fi­zie­ren und auszutauschen.

Eine gute Über­sicht über DSGVO-kon­for­me Plug­ins oder Alter­na­ti­ven zu vor­han­de­nen, weni­ger geeig­ne­ten Plug­ins hat BLOGMOJO in einem tol­len Bei­trag zusammengestellt:

120+ Word­Press-Plug­ins im DSGVO-Check (mit Lösun­gen, Alter­na­ti­ven und Plugin-Tipps!)

Web­track­ing? Weg damit!

Wenn Sie Web­track­ing-Funk­tio­nen auf Ihrer Web­sei­te ein­ge­bun­den haben, die­se aber nicht regel­mä­ßig aus­wer­ten und für Über­ar­bei­tun­gen Ihrer Sei­te nut­zen, dann ist das Web­track­ing ent­behr­lich. Gera­de wenn Sie Ihre Web­sei­te pri­vat und mit Kom­men­tar­funk­ti­on betrei­ben, dann sehen Sie auch an ande­rer Stel­le, was bei den Besu­chern ankommt und was nicht. Die aktu­el­le Dis­kus­si­on um Web­track­ing im Rah­men der DSGVO hat teil­wei­se schon para­no­ide Züge ange­nom­men. Der ein­fachs­te Weg ist daher, die­se Tools erst gar nicht ein­zu­set­zen, wenn Sie die­se nicht aktiv nut­zen oder zur Stei­ge­rung Ihrer Besu­cher­zah­len im kom­mer­zi­el­len Umfeld benö­ti­gen. Wenn Sie einen sinn­vol­len Nut­zen aus dem Web­track­ing zie­hen, emp­fiehlt sich der fol­gen­de Beitrag:

Dar­stel­lung der Track­ing-Pro­ble­ma­tik im Kon­text der DSGVO von daten​schutz​be​auf​trag​ter​-info​.de

Web­track­ing geht mehr oder weni­ger daten­schutz­freund­lich. Eine Emp­feh­lung ist auf jeden Fall ein Tool wie Mato­mo (ehe­mals Piwik). Dies kön­nen Sie direkt selbst auf Ihrem Web­space instal­lie­ren und haben nicht die Pro­ble­ma­tik, dass IP-Adres­sen (und somit per­so­nen­be­zo­ge­ne Daten) an einen Drit­ten über­tra­gen wer­den. Mato­mo kön­nen Sie bei den Pake­ten guter Pro­vi­der übri­gens auch direkt im Backend mit einem Klick auf Ihrem Web­space instal­lie­ren las­sen. Wie dann die Kon­fi­gu­ra­ti­on und Ein­bin­dung auf der Web­sei­te aus­se­hen kann (inklu­si­ve Hin­weis in der Daten­schutz­er­klä­rung) lesen Sie bei­spiels­wei­se hier

Hand­lungs­an­lei­tung: Mato­mo (ehe­mals Piwik) nach DSGVO rich­tig einbinden

Und jetzt das Sper­rigs­te: Die Datenschutzerklärung

Wenn Sie Ihre Web­sei­te neu auf­ge­setzt haben, dann ken­nen Sie bereits die Funk­tio­nen auf Ihrer Web­sei­te, mit denen dar­auf per­so­nen­be­zo­ge­ne Daten ver­ar­bei­tet wer­den. Alte Bekann­te sind Kon­takt­for­mu­la­re, News­let­ter, Log­in-/Re­gis­trie­rungs­be­rei­che, Web­track­ing, Stel­len­an­ge­bo­te und vie­le mehr. Die­se Ver­ar­bei­tun­gen gilt es jetzt, im Rah­men der Daten­schutz­er­klä­rung (auch nix Neu­es!) den Besu­chern trans­pa­rent zu machen. Die Anfor­de­run­gen an eine Daten­schutz­er­klä­rung sind recht umfas­send und wür­den einen eige­nen Bei­trag nötig machen. Doch es gibt Hil­fe im Netz:

Einen prag­ma­ti­schen Ansatz hat dazu daten​schutz​be​auf​trag​ter​-info​.de in die­sem Bei­trag vor­ge­stellt — Daten­schutz­er­klä­run­gen nach der DSGVO – Tipps zur Umset­zung.

Als Grund­la­ge für eine soli­de Daten­schutz­er­klä­rung kann das Mus­ter des itm der Uni­ver­si­tät Müns­ter genutzt wer­den. Wenn Sie die­ses kon­zen­triert über­ar­bei­ten und anpas­sen, dann ist schon viel gewonnen.

Und ist Word­Press gene­rell DSGVO-konform?

Selbst wenn Sie Word­Press auf Ihrem eige­nen Web­space hos­ten, ist Wor­press im Moment noch nicht ganz kon­form mit der Daten­schutz­grund­ver­ord­nung. Eini­ge inter­ne Funk­tio­nen müs­sen aktu­ell noch mit Plug­ins ange­passt wer­den, um Daten­schutz-Kon­for­mi­tät zu errei­chen (das galt aller­dings auch schon vor der DSGVO).

Word­Press selbst hat reagiert und eine Ver­si­on 4.9.6 für den 15.05.2018 ange­kün­digt, in der Tei­le die­ser Anfor­de­run­gen dann direkt in Word­Press inte­griert werden.

Word­Press 4.9.6 bringt Erwei­te­run­gen für die DSGVO

Den siche­ren Betrieb der Web­sei­te garantieren

Eine der Anfor­de­run­gen aus dem Daten­schutz­recht ist, nicht nur zu Beginn, son­dern auch im lau­fen­den Betrieb die Sicher­heit der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten zu gewähr­leis­ten. Das bedeu­tet, mit der rei­nen Instal­la­ti­on und erst­ma­li­gen Anpas­sung von Word­Press ist es nicht getan. Das kos­tet Zeit und Mühe im lau­fen­den Betrieb. Hier hilft es jedoch nicht, auf die ach so böse DSGVO zu schimp­fen. Denn die­se Anfor­de­rung gab es zuvor auch schon im Rah­men der sog. tech­ni­schen und orga­ni­sa­to­ri­schen Maßnahmen.

Von daher soll­te es selbst­ver­ständ­lich sein, eine Instal­la­ti­on von Word­Press und der genutz­ten Plug­ins aktu­ell zu hal­ten. Dazu loggt man sich regel­mä­ßig in das Backend von Word­Press ein und öff­net das Unter­me­nü “Aktua­li­sie­run­gen” unter dem Punkt “Dash­board”. Meist wird dort schon mit einer roten Zahl signa­li­siert, wie­vie­le Aktua­li­sie­run­gen für Word­Press, genutz­te Plug­ins und The­mes zu instal­lie­ren sind. Vor­her aber bit­te ein Back­up anle­gen 🙂 Das geht ganz gut mit­tels des Plug­ins BackW­pUp https://​de​.word​press​.org/​p​l​u​g​i​n​s​/​b​a​c​k​w​p​up/, es gibt aber auch ande­re Tools für die weni­ger tech­nik­af­fi­nen Betrei­ber einer Web­sei­te mit WordPress.

Updates las­sen sich auch auto­ma­ti­sie­ren für alles oder auf bestimm­te Ele­men­te ein­gren­zen. Sol­che Funk­tio­nen sind jedoch mit Vor­sicht zu genie­ßen. Dabei kann es auch durch­aus zu Pro­ble­men kom­men, gera­de wenn feh­ler­be­haf­te­te Updates von Plug­ins oder The­mes ein­ge­spielt wer­den. Von daher viel­leicht nur auf die rei­nen Word­Press-CMS-Updates beschränken.

Updates sind das eine, Sicher­heits­lü­cken das ande­re Pro­blem. Lücken kön­nen inner­halb von Word­Press selbst, durch Plug­ins, aber auch durch den Web­ser­ver dar­un­ter ent­ste­hen. Eine gute Mög­lich­keit, den eige­nen Web­auf­tritt regel­mä­ßig auch Schwach­stel­len zu prü­fen (bzw. prü­fen zu las­sen), ist die Initia­ti­ve SIWECOS. Nach Regis­trie­rung eines Nut­zers und der zu prü­fen­den Web­sei­te erhält man zeit­nah einen Sicher­heits­be­richt über den eige­nen Web­auf­tritt. Die dar­in beschrie­be­nen Pro­ble­me las­sen sich jedoch sel­ten selbst lösen, wenn man kein Spe­zia­list dafür ist. Hier soll­ten Sie pro­fes­sio­nel­le Hil­fe zu Rate zie­hen. Bei Pro­ble­men, die auf Sei­ten des Web­ser­vers ange­zeigt wer­den, hilft es, den Pro­vi­der Ihres Web­spaces mit den Ergeb­nis­sen zu kon­fron­tie­ren. Für Ihre eige­ne Word­Press-Instal­la­ti­on holen Sie sich bit­te geeig­ne­ten qua­li­fi­zier­ten Rat.

Für gewerb­li­che Web­sei­ten ist der Auf­wand in all den dar­ge­stell­ten Punk­ten natür­lich deut­lich höher. Je grö­ßer und funk­ti­ons­um­fang­rei­cher Ihr Web­auf­tritt ist, umso mehr müs­sen Sie auch die Nut­zung spe­zia­li­sier­ter Hos­ter oder gleich die Ver­ga­be der gan­zen Web­sei­te an einen kom­pe­ten­ten Fach­mann in Betracht zie­hen. Da sprin­gen die hier genann­ten und zusam­men­ge­fass­ten Maß­nah­men zu kurz. Nichts­des­to­trotz sind wir der Mei­nung, der Hype um die ach so böse DSGVO in Ver­bin­dung mit Web­sei­ten wird hier künst­lich gepusht. Die Anfor­de­run­gen waren auch zuvor schon recht hoch. Und zu meis­tern sind die auf jeden Fall, im Zwei­fel mit exter­ner Unterstützung.

Wei­te­re Rat­ge­ber zum The­ma Word­Press und DSGVO im Netz

“Word­press und die DSGVO” von WP Ninjas

Gui­de von San­dra Mes­ser “DSGVO — mach Dei­ne Word­Press Web­sei­te rechtssicher”

Aus­führ­li­che Beschrei­bung inklu­si­ve der wei­te­ren Anfor­de­run­gen aus der DSGVO von Johan­nes Kübler

Aktua­li­sie­rung die­ses Beitrags

Wer Anre­gun­gen oder Tipps für wei­te­re Links hat, bit­te immer her damit. Wäre doch gelacht, wenn wir eini­ge Ver­zag­te nicht dabei unter­stüt­zen kön­nen, ihren Blog oder ihre Web­sei­te wei­ter zu betreiben.

Klei­ner Hin­weis zum Schluss: Die­ser Bei­trag stellt kei­ne Rechts­be­ra­tung dar. Im Zwei­fel holen Sie sich Rat zum zuge­las­se­nen Fach­mann, sprich einem Anwalt. Gera­de in der Über­prü­fung der Daten­schutz­er­klä­rung eine gute Investition.

Email-Wer­bung ohne schrift­li­che Ein­wil­li­gung — geht das überhaupt?

Kei­ne Email-Wer­bung ohne Einwilligung

Oft wer­den wir als Daten­schutz­be­auf­trag­te gefragt, ob für Email-Wer­bung  oder Wer­bung per SMS eine schrift­li­che Ein­wil­li­gung wirk­lich not­wen­dig ist. Dabei wird über­se­hen, dass hier das Gesetz gegen den unlau­te­ren Wett­be­werb (kurz UWG) der ers­te Spiel­ver­der­ber ist. Das all­ge­mei­ne Daten­schutz­recht tritt hier erst mal zurück.

Und in § 7 Absatz 1 sowie Absatz 2 Num­mer 3 des UWG wird Email-Wer­bung zusam­men mit SMS- und Tele­fax-Wer­bung grund­sätz­lich als unzu­mut­ba­re Beläs­ti­gung im Sin­ne des UWG ein­ge­stuft. Daher ist Email-Wer­bung nur mit aus­drück­li­cher (vor­he­ri­ger schrift­li­cher) Ein­wil­li­gung der betrof­fe­nen Per­son erlaubt. Mit der wett­be­werbs­recht­li­chen Zuläs­sig­keit steht und fällt zugleich auch die daten­schutz­recht­li­che Zulässigkeit.

Aus­nahms­wei­se doch Email-Wer­bung ohne Einwilligung?

Ja, Email-Wer­bung ohne vor­he­ri­ge schrift­li­che Ein­wil­li­gung kann in einer ein­zi­gen Aus­nah­me mög­lich sein. Die­se Aus­nah­me beschreibt der Lan­des­be­auf­trag­te für den Daten­schutz und die Infor­ma­ti­ons­frei­heit Baden-Würt­tem­berg. Ver­brau­cher, aber auch Wer­be­trei­ben­de kön­nen sich in dem frei ver­füg­ba­ren und aktua­li­sier­ten Merk­blatt „Was Sie gegen uner­wünsch­te Wer­bung tun kön­nen” (Stand 10. Mai 2017) informieren.

Wie lau­tet die­se Aus­nah­me für Email-Wer­bung ohne Einwilligung?

Nach Auf­fas­sung des Lan­des­be­auf­trag­ten ist Email-Wer­bung ohne (vor­he­ri­ge) schrift­li­che Ein­wil­li­gung mög­lich nach § 7 Absatz 3 UWG, wenn der Wer­be­trei­ben­de (also das Unter­neh­men) schrift­lich alle nach­fol­gen­den Vor­aus­set­zun­gen nach­wei­sen kann (Ori­gi­nal-Zitat aus dem Merkblatt):

  • Er hat die elek­tro­ni­sche Post­adres­se im Zusam­men­hang mit dem Ver­kauf einer Ware oder Dienst­leis­tung von dem Kun­den erhalten,
  • er ver­wen­det die Adres­se zur Direkt­wer­bung für eige­ne ähn­li­che Waren oder Dienstleistungen,
  • der Kun­de hat der Ver­wen­dung nicht wider­spro­chen und
  • der Kun­de wur­de bei Erhe­bung der Email-Adres­se und wird bei jeder Ver­wen­dung klar und deut­lich dar­auf hin­ge­wie­sen, dass er der Ver­wen­dung jeder­zeit wider­spre­chen kann, ohne dass hier­für ande­re als die Über­mitt­lungs­kos­ten nach den Basis­ta­ri­fen ent­ste­hen (in der Regel ist hier­mit ein Abmel­de­link gemeint).

Ver­brau­cher kön­nen zur Wahr­neh­mung ihrer Rech­te bei unzu­läs­si­ger Wer­bung kon­kre­te Hand­lungs­an­wei­sun­gen zur Abwehr und Reak­ti­on gegen das wer­ben­de Unter­neh­men aus dem Merk­blatt ent­neh­men. Wer­be­trei­ben­den ist die­se Über­sicht sehr zu emp­feh­len. Sie kön­nen damit prü­fen, ob die eige­nen Gepflo­gen­hei­ten dem aktu­el­len Recht ent­spre­chen oder even­tu­ell Abmah­nung, Buß­gel­der und wei­te­res Unge­mach dro­hen. Das die Daten­schutz­be­hör­den hier kei­nen Spaß mehr ver­ste­hen, haben Sie bereits frü­her klar zum Aus­druck gebracht — sie­he frü­he­ren Blog-Bei­trag.

Bit­te beach­ten Sie: Wir bezie­hen uns hier auf die Aus­sa­gen in dem ver­link­ten Merk­blatt und füh­ren selbst kei­ne Rechts­be­ra­tung zum UWG durch. Soll­ten die Inhal­te des Merk­blatts nicht kor­rekt (wie­der­ge­ge­ben) sein, über­neh­men wir kei­ne Haftung.

Per­so­nal­aus­weis ein­fach kopie­ren — ein­fach rechtswidrig

Per­so­nal­aus­weis als Pfand, Per­so­nal­aus­weis-Kopie als Beleg — üblich, aber verboten

Usus, Rechts­ver­stoß inklu­si­ve. Der Per­so­nal­aus­weis wird als Pfand hin­ter­legt, eine Kopie zur Iden­ti­fi­ka­ti­on im Ver­trags­ord­ner abge­legt oder als Scan ins Doku­men­ten-Manage­ment-Sys­tem gespei­chert. Bran­chen­über­grei­fend üblich, vom Fit­ness-Stu­dio bis zur Autovermietung.

Der neue Personalausweis

Seit dem 01. Novem­ber 2010 wird nur noch der neue Per­so­nal­aus­weis her­aus­ge­ge­ben, ger­ne auch als „ePer­so“ bezeich­net. Im Zuge der Umstel­lung hat das Per­so­nal­aus­weis­ge­setz (PAuswG) eini­ge Ände­run­gen erfah­ren. Zahl­rei­che Kom­men­tie­run­gen und Begrün­dun­gen beglei­ten den neu­en Ausweis.

Kein aus­drück­li­ches Kopier­ver­bot, aber …

Neben der bis­her übli­chen Aus­weis­funk­ti­on beinhal­tet der „ePer­so“ nun auch die Mög­lich­keit zu Signa­tur und zur Authen­ti­sie­rung. Zum Schutz die­ser Funk­tio­nen schreibt unse­re Regie­rung in ihrer Begrün­dung zur Neu­re­ge­lung: “Die Erhe­bung und Ver­wen­dung per­so­nen­be­zo­ge­ner Daten aus oder mit­hil­fe des Aus­wei­ses darf künf­tig nur über die dafür vor­ge­se­he­nen Wege erfol­gen. (.) Wei­te­re Ver­fah­ren z.B. über die opto­elek­tro­ni­sche Erfas­sung (“scan­nen”) von Aus­weis­da­ten oder dem maschi­nen­les­ba­ren Bereich sol­len aus­drück­lich aus­ge­schlos­sen wer­den.” In den Aus­le­gun­gen hier­zu wird deut­lich davon gespro­chen, weder Kopien des Per­so­nal­aus­wei­ses zuzu­las­sen, noch die­sen aus der Hand zu geben.

War­um den Per­so­nal­aus­weis nicht kopieren?

Da der neue Per­so­nal­aus­weis auf­grund des­sen Gestal­tung noch eine sog. Berech­ti­gungs­num­mer trägt, weist das Bun­des­in­nen­mi­nis­te­ri­um auf einen zusätz­li­chen Sach­ver­halt hin. Die Berech­ti­gungs­num­mer soll näm­lich ledig­lich dem Aus­weis­in­ha­ber bekannt sein. Eine Kopie oder ein Scan ste­hen die­sem Umstand jedoch entgegen.

Der alte Per­so­nal­aus­weis darf aber kopiert werden?

Trägt die­ser zwar nicht die elek­tro­ni­schen Merk­ma­le sei­nes Nach­fol­gers so ist eine Kopie hier nur sehr schwer als daten­schutz­recht­lich erfor­der­lich zu begrün­den. Sub­jek­ti­ve Maß­stä­be hier­über sind aus­ge­schlos­sen. So soll­te auch hier auf eine Kopie ver­zich­tet wer­den. Notie­ren Sie die erfor­der­li­chen Daten. Vor­teil: Sie erspa­ren sich das vor­ge­schrie­be­ne Aus­schwär­zen nicht erfor­der­li­cher Daten und müs­sen spä­ter im Rah­men der Auf­be­wah­rungs– und Lösch­fris­ten nicht in Akten­sta­peln oder EDV Sys­te­men nach den zu löschen­den Doku­men­ten fahnden.

Dann neh­men wir den Per­so­nal­aus­weis eben als Pfand

Hier spricht das PAuswG eine kla­re Spra­che § 1 Abs. 1. S. 3+4 PAuswG — für bei­de Aus­weis­for­men: „Vom Aus­weis­in­ha­ber darf nicht ver­langt wer­den, den Per­so­nal­aus­weis zu hin­ter­le­gen oder in sons­ti­ger Wei­se den Gewahr­sam auf­zu­ge­ben. Dies gilt nicht für zur Iden­ti­täts­fest­stel­lung berech­tig­te Behör­den sowie in den Fäl­len der Ein­zie­hung und Sicher­stel­lung.” Ihre Orga­ni­sa­ti­on wird schwer­lich als berech­tig­te Behör­de anzu­se­hen sein, Aus­nah­men bestä­ti­gen die Regel.

Aus­nah­men vom Kopier­ver­bot und Pfand­ver­bot für Personalausweise?

Ja, u.a. § 8 Geld­wä­sche­ge­setz oder § 95 TKG (z.B. für Han­dy-Ver­trä­ge). Trifft das auf Ihr Unter­neh­men zu? Ihr Daten­schutz­be­auf­trag­ter klärt Sie ger­ne über den Sach­ver­halt auf. Sie haben kei­nen? Dann spre­chen Sie uns an. Wir unter­stüt­zen Sie als exter­ne Daten­schutz­be­auf­trag­te und exter­ne Informationssicherheitsbeauftragte.

Aus­le­gungs­hil­fen zur EU Daten­schutz­grund­ver­ord­nung veröffentlicht

Die Kon­fe­renz der unab­hän­gi­gen Daten­schutz­be­hör­den des Bun­des und der Län­der (DSK) hat ers­te Aus­le­gungs­hil­fen zum neu­en Daten­schutz­recht der EU Daten­schutz­grund­ver­ord­nung (EU-DSGVO) veröffentlicht.

Die­se Hil­fen ste­hen auf der Web­sei­te der Lan­des­be­auf­trag­ten für den Daten­schutz Nie­der­sach­sen zum Down­load zur Ver­fü­gung.

Wie bereits in einem frü­he­ren Bei­trag beschrie­ben, ist die Unter­stüt­zung mit Vor­la­gen und Hilfs­mit­teln zur Umset­zung der EU-DSGVO noch recht „über­schau­bar“. Dies wird auch am Umfang der jetzt ver­öf­fent­lich­ten — und noch zu erwei­tern­den — Aus­le­gungs­hil­fen deut­lich. 3 The­men wer­den behandelt:

  1. Ver­zeich­nis der Ver­ar­bei­tungs­tä­tig­kei­ten nach Art. 30 DS-GVO
  2. Auf­sichts­be­fug­nis­se /​ Sank­tio­nen
  3. Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten für Werbung

Daten­schutz­be­auf­trag­ter darf kei­nen Inter­es­sen­kon­flik­ten unterliegen

Baye­ri­sches Unter­neh­men kas­siert Buß­geld, weil IT-Mana­ger gleich­zei­tig als Daten­schutz­be­auf­trag­ter bestellt war.

“Eine der­art expo­nier­te Posi­ti­on im Hin­blick auf die Daten­ver­ar­bei­tungs­pro­zes­se im Unter­neh­men ist in aller Regel unver­ein­bar mit den Auf­ga­ben eines Daten­schutz­be­auf­trag­ten”, so das Baye­ri­sche Lan­des­amt für Daten­schutz­auf­sicht (BayL­DA) in Ansbach.

Wer muss einen Daten­schutz­be­auf­trag­ten bestellen?

Unter­neh­men und auch Ver­ei­ne müs­sen einen Daten­schutz­be­auf­trag­ten (DSB) bestel­len, wenn bei ihnen min­des­tens zehn Per­so­nen (“mehr als neun”, so das Bun­des­da­ten­schutz­ge­setz) mit der auto­ma­ti­sier­ten Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten befasst sind. Dabei ist es uner­heb­lich, a) ob es sich dabei um inter­ne oder exter­ne per­so­nen­be­zo­ge­ne Daten han­delt und b) mit wel­chem Zeit­an­teil die Per­so­nen beschäf­tigt sind (Voll­zeit, Teil­zeit, Aus­hil­fe etc.). Es zählt hier allei­ne die Zahl der “Köp­fe”.

Zahl­rei­che Unter­neh­men und Ver­ei­ne erfül­len die­se Vor­aus­set­zun­gen. Das Gesetz stellt es dabei frei, ob die Funk­ti­on des Daten­schutz­be­auf­trag­ten an eine exter­ne Per­son ver­ge­ben wird („exter­ner Daten­schutz­be­auf­trag­ter“) oder aber durch einen Mit­ar­bei­ter („inter­ner Daten­schutz­be­auf­trag­ter“) erfüllt wird. Je nach Bun­des­land schrei­ben die Lan­des­da­ten­schutz­ge­set­ze einen Daten­schutz­be­auf­trag­ten eben­falls für Behör­den und kom­mu­na­le Ein­rich­tun­gen (sog. öffent­li­che Stel­len) ver­pflich­tend vor. In eini­gen Bun­des­län­dern besteht bereits heu­te die Mög­lich­keit einer exter­nen Bestel­lung des behörd­li­chen Daten­schutz­be­auf­trag­ten. Mit der EU-Daten­schutz­grund­ver­ord­nung (EU-DSGVO) wird die Bestell­pflicht für öffent­li­che Stel­len ver­ein­heit­licht. Eben­so soll dann eine gene­rel­le Mög­lich­keit der exter­nen Bestel­lung für Behör­den /​ Kom­mu­nen gege­ben sein.

Wann ist von einem Inter­es­sens­kon­flikt auszugehen?

Wird ein Mit­ar­bei­ter zum Daten­schutz­be­auf­trag­ten bestellt, so darf er jedoch dane­ben nicht zusätz­lich /​ wei­ter­hin für sol­che Auf­ga­ben zustän­dig sein, wel­che die Gefahr von Inter­es­sens­kon­flik­ten mit sei­ner Funk­ti­on als Daten­schutz­be­auf­trag­ter mit sich brin­gen kön­nen. Der Gesetz­ge­ber ver­langt hier salopp, nicht “den Bock zum Gärt­ner zu machen”. Ähn­lich hat dies auch die EU-Daten­schutz­richt­li­nie (Art. 18) gefor­dert, völ­li­ge Unab­hän­gig­keit des DSB in sei­ner Funk­ti­on als Kon­troll­in­stanz. Mit Arti­kel 38 und 39 der EU-DSGVO wird dies in 2018 kei­ne Ände­rung erfahren.

In ein­schlä­gi­gen Kom­men­ta­ren zum Bun­des­da­ten­schutz­ge­setz (z.B. Gola /​ Schome­rus) wird expli­zit dar­auf ver­wie­sen, dass sich hier­aus bestimm­te Funk­tio­nen für die Tätig­keit des Daten­schutz­be­auf­trag­ten von vorn­her­ein aus­schlie­ßen. Dazu zäh­len auf jeden Fall

  • Inha­ber, Vor­stand, Geschäfts­füh­rer (aus­nahms­los),
  • Lei­ter der IT,
  • Per­so­nal­lei­ter,
  • Ver­triebs­lei­ter (zumin­dest im Direktvertrieb).

Für alle ande­ren Funk­tio­nen ist zu prü­fen, ob ein Inter­es­sens­kon­flikt aus­ge­schlos­sen wer­den kann und auch kei­ne wei­te­ren Beein­träch­ti­gun­gen für die Aus­übung der Funk­ti­on des Daten­schutz­be­auf­trag­ten bestehen. So ist es nicht unbe­dingt ziel­füh­rend, einen IT-Mit­ar­bei­ter zum Daten­schutz­be­auf­trag­ten zu bestel­len, wenn der Kon­flikt mit dem Vor­ge­setz­ten — dem IT-Lei­ter — bereits vor­pro­gram­miert ist und der IT-Mit­ar­bei­ter sei­ne zusätz­li­che Auf­ga­be als DSB z.B. aus Angst vor Repres­sa­li­en nicht aus­üben kann /​ wird.

Wie kam es jetzt zu die­sem Buß­geld auf­grund eines Interessenskonflikts?

Das Baye­ri­sche Lan­des­amt für Daten­schutz­auf­sicht (BayL­DA) berich­tet in sei­ner Press­mit­tei­lung davon, dass im Rah­men der Über­prü­fung eines baye­ri­schen Unter­neh­mens die Bestel­lung des IT-Lei­ters zum inter­nen Daten­schutz­be­auf­trag­ten fest­ge­stellt wur­de. Dies lie­fe nach Mei­nung der Behör­de “letzt­lich auf eine Daten­schutz­kon­trol­le eines der maß­geb­li­chen zu kon­trol­lie­ren­den Funk­ti­ons­trä­ger im Unter­neh­men durch sich selbst hin­aus”. Aus Sicht der Behör­de (und der ein­schlä­gi­gen Rechts­kom­men­ta­re) wider­spricht dies der Funk­ti­on des Daten­schutz­be­auf­trag­ten, als unab­hän­gi­ge Instanz im Unter­neh­men auf die Ein­hal­tung des Daten­schut­zes hin­zu­wir­ken (eine der Kern­auf­ga­ben des DSB).

Nach­dem das Lan­des­amt das Unter­neh­men mehr­fach über Mona­te auf­ge­for­dert hat, eine Bestel­lung ohne Inter­es­sens­kon­flikt her­bei­zu­füh­ren und dies sei­tens des Unter­neh­mens zuge­sagt, jedoch nicht umge­setzt wur­de, ver­häng­te die Behör­de ein Buß­geld. Die Geld­bu­ße ist mitt­ler­wei­le bestandskräftig.

„Der betrieb­li­che Daten­schutz­be­auf­trag­te ist ein Erfolgs­mo­dell und ein sehr wich­ti­ges Ele­ment der Daten­schutz­or­ga­ni­sa­ti­on in Deutsch­land. Die Funk­ti­on des Daten­schutz­be­auf­trag­ten kann aber nicht durch eine Per­son wahr­ge­nom­men wer­den, die dane­ben im Unter­neh­men noch Auf­ga­ben inne­hat, die in einem Span­nungs­ver­hält­nis mit einer unab­hän­gi­gen, effek­ti­ven inter­nen Auf­sicht über den Daten­schutz ste­hen. Unter­neh­men, die gesetz­lich zur Bestel­lung eines Daten­schutz­be­auf­trag­ten ver­pflich­tet sind, kön­nen daher nur eine sol­che Per­son zum Daten­schutz­be­auf­trag­ten bestel­len, die in der Lage ist, die­se Auf­ga­be frei von sach­frem­den Zwän­gen aus­zu­üben. Und wenn sie das trotz wie­der­hol­ter Auf­for­de­rung nicht machen, müs­sen sie not­falls mit Buß­geld dazu gezwun­gen wer­den.“, betont Tho­mas Kra­nig, der Prä­si­dent des BayLDA.

Was kön­nen Sie als Unter­neh­men tun, um sol­ches Buß­gel­der zu vermeiden?

Ent­we­der Sie ver­mei­den sol­che Inter­es­sens­kon­flik­te oder Sie grei­fen zu einer trans­pa­ren­ten und kos­ten­güns­ti­gen exter­nen Bestel­lung des Daten­schutz­be­auf­trag­ten, wie sie bei­spiels­wei­se a.s.k. Daten­schutz anbie­tet. Ein Ange­bot erhal­ten Sie zeit­nah mit­tels unse­rer Online-Anfra­ge.

Übri­gens gilt das The­ma Inter­es­sens­kon­flikt auch für behörd­li­che Datenschutzbeauftragte!!

Quel­le: Pres­se­mit­tei­lung des BayLDA

 

Die mobile Version verlassen