Ratgeber

Kostenlose Checkliste Multifunktionsgeräte Datenschutz und Informationssicherheit

Risiko auf dem Flur – Multifunktionsgeräte

Multifunktionsgeräte – eierlegende Wollmichsau und nicht unerhebliches Sicherheitsrisiko. Heutzutage sind diese Geräte aus fast keinem Büro mehr wegzudenken. Egal ob kleinere Geräte direkt am Arbeitsplatz oder wuchtige Standgeräte an zentralen Stellen im Haus. Es wird fleißig gedruckt, gescannt, gefaxt und kopiert. Doch bei all dem Komfort sollten die Sicherheitsaspekte nicht außer Acht gelassen werden. Große Druckaufträge, die noch eine Weile bis zum Abholen im Druckausgang verbleiben; Fehlausdrucke, die im Papierkorb neben dem Gerät entsorgt werden; Faxe, zentral eingegangen und durch verschiedene Hände gegangen, bevor sie den eigentlichen Empfänger erreichen. Das sind nur einige Probleme und Risiken, denen aus Sicht des Datenschutzes und der Informationssicherheit mit geeigneten technischen und organisatorischen Mitteln begegnet werden muss.

Kostenlose Checkliste Datenschutz und Informationssicherheit

Unsere Checkliste soll helfen, vorhandene Schwachstellen zu identifizieren und möglichst zeitnah zu schließen. Auch wenn hier hauptsächlich von Multifunktionsgeräten die Rede ist, so können die Schwachstellen auch bei Einzelfunktionsgeräten vorhanden sein. Prüfen Sie bitte penibel.

Grundlage der Checkliste: BSI IT-Grundschutz 200-2 Baustein SYS 4.1 sowie Orientierungshilfe Fotokopierer der Landesdatenschutzbehörde Freie Hansestadt Bremen.

Wir empfehlen, die Checkliste von dem Fachbereich (oder den Fachbereichen) ausfüllen zu lassen, der oder die für Beschaffung, Konfiguration, Inbetriebnahme und Betreuung während des Betriebs sowie die Außerbetriebnahme zuständig ist bzw. sind. Im Anschluss sollten die Ergebnisse vom Datenschutzbeauftragten (DSB) und / oder Informationssicherheitsbeauftragten (ISB) aufgegriffen werden, um durch Nachjustierung oder Ergänzung geeigneter technischer und organisatorischer Maßnahmen das Risiko für Datenpannen zu mindern bzw. deren Konsequenzen zu begrenzen.

Überprüfung Wirksamkeit technischer und organisatorischer Maßnahmen (TOM)

Je nach Ernsthaftigkeit der Bearbeitung dieser Checkliste kann diese durchaus als ein Nachweis (von vielen) über Prüfung der Wirksamkeit von technischen und organisatorischen Maßnahmen in Ihrer Organisation dienen.

Viel Erfolg bei der Umsetzung wünscht das
Team von a.s.k. Datenschutz

Checkliste Sicherheit Datenschutz Multifunktionsgeräte 2019 V1_0_quer Webversion
956 Downloads

Die DSGVO Schonfrist ist vorbei – Aufsichtsbehörden machen ernst

Seit Mai 2018 ist die EU Datenschutz-Grundverordnung (DSGVO) wirksam, nachdem sie bereits Mai 2016 in Kraft getreten ist. Zeit bestand ausreichend, sich auf die Neuerungen vorzubereiten. Die eine oder andere Organisation hat die Gelegenheit genutzt, bestehende Lücken in der eigenen Datenschutz-Organisation zu schließen. In den letzten Monaten haben wir öfter mal den Satz gehört „Woher soll ich wissen, was da im Datenschutz zu tun ist?“. Hier gilt eine Holschuld durch die Organisationsleitung getreu dem Motto „Unwissenheit schützt vor Strafe nicht“. Für die Einhaltung gesetzlicher Vorschriften ist die Leitung zuständig und verantwortlich. Für Geschäftsführer gilt hier § 130 Gesetz über Ordnungswidrigkeiten (OWiG) mit der treffenden Bezeichnung „Verletzung der Aufsichtspflicht in Betrieben und Unternehmen“. Ähnliche Verpflichtungen für Behörden trifft sogar unser Grundgesetz.

Die DSGVO-Schonzeit ist vorbei

Die meisten Landesdatenschutzbehörden haben jedoch in den letzten Monaten ein Auge zugedrückt und eine im Gesetz nicht vorgesehene freiwillige Karenzzeit eingeschoben. In diesem Zeitraum sollten Organisationen die Gelegenheit letztmalig nutzen, die rechtlichen Verpflichtungen aus der DSGVO in Verbindung mit dem neuen Bundesdatenschutzgesetz (BDSG) für Unternehmen und den Landesdatenschutzgesetzen für Landesbehörden und kommunale Einrichtungen umzusetzen. Diese Schonzeit ist nun vorbei!

Es wird ernst – aber Bußgelder sind nicht das eigentliche Problem

Ende Oktober wurde ein erstes Bußgeld gegen ein portugiesisches Krankenhaus verhängt. 400.000 Euro für den laxen Umgang mit Patientendaten. Das ist erst mal ein Brocken. Weitere Bußgelder und verstärkt Sanktionen in Form von Auflagen haben jetzt auch die deutschen Landesdatenschutzbehörden angekündigt. In den nächsten Wochen wird in der Presse davon zu lesen und zu hören sein. Glücklicherweise gilt es für die Aufsichtsbehörden nach wie vor, bei der Bemessung von Bußgeldern Angemessenheit und Verhältnismäßigkeit zu wahren. Die in der Presse oder auch in Beratungsangeboten gerne zitierten 10 bis 20 Millionen Euro (bzw. 2-4% des weltweiteren Konzernumsatzes im Vorjahr) sind natürlich im Gesetz so vorgesehen. In der unreflektierten Kommunikation sind diese Zahlen jedoch reine Panikmache. Kleine und mittelständische Betriebe werden sich mit solchen Summen sicher nicht konfrontiert sehen. Das heißt aber nicht, sich weiter zurücklehnen und das Thema aussitzen zu können.

Denn abgesehen von Bußgeldern und Sanktionen, geht schnell mit Datenschutzverstößen auch ein Imageschaden einher. Auch Schadenersatz ist im Datenschutz möglich. Grund genug, zumindest ein paar „Basics“ in der eigenen Organisation umzusetzen.

Hier ein paar Tipps und Hinweise zur Umsetzung der DSGVO Anforderungen:

1. Verzeichnis der Verarbeitungstätigkeiten (VVT)

Ihre Organisation wird im Zweifel mit einer Vielfalt und Vielzahl an personenbezogenen Daten von Mitarbeitern, Kunden, Bürgern, Interessenten, Geschäftspartnern etc. umgehen. Aus diesem Grund trifft eigentlich (fast) jede Organisation die Pflicht, ein sog. Verzeichnis der Verarbeitungstätigkeiten zu führen. Dabei handelt es sich um detaillierte Übersichten, wo und wie und in welchen sog. „Verfahren“ (nicht immer identisch mit Programmen) Ihre Organisation personenbezogene Daten verarbeitet. Das VVT ist Grundlage für weitere Datenschutz-Tätigkeiten und elementarer Bestandteil Ihrer Rechenschaftspflicht, die rechtlichen Datenschutz-Anforderungen in Ihrer Organisation umgesetzt zu haben

2. Rechte der Kundschaft sicherstellen

Im Rahmen der DSGVO haben sich die Rechte der sog. Betroffenen weiter verbessert. So kann jede Person von Unternehmen und Behörden sehr umfänglich Auskunft über die gespeicherten und verarbeiteten Daten verlangen. Neben der reinen Auskunft ist eine sog. „Datenkopie“, sowohl von vorhandenen analogen als auch digitalen Daten in geeigneter Form mitzuliefern. Wenn Sie keine Übersicht haben, wo und wie welche personenbezogenen Daten in Ihrer Organisation gespeichert sind, wird es schwerfallen, diesem ausführlichen Anspruch ohne Fehler und / oder Beanstandung gerecht zu werden.
Weiterhin sind personenbezogene Daten nach Ablauf der gesetzlichen Aufbewahrungsfrist umgehend zu löschen. Peinlich, wenn Sie im Rahmen der Auskunft Informationen herausgeben, die schon längt hätten gelöscht sein müssen.

3. Informationspflichten

Jede Organisation muss Betroffene bei direkter und indirekter Erhebung über die Verarbeitung der personenbezogenen Daten aufklären (Art. 13+14 DSGVO). Diese Pflichtangaben sind recht umfangreich und müssen leicht zugänglich sein. Hier gilt es, diese Pflichtangaben für die Verarbeitungen in der Organisation zusammenzustellen und dann z.B. über Webseite, Aushänge, Hinweise auf die Angaben auf der Webseite an die Betroffenen zu kommunizieren. Bitte verwechseln Sie das nicht mit der Datenschutzerklärung auf Ihrer Webseite. Das ist ein ganz anderes Thema.
Da das Vorhandensein und Durchführen der Informationspflichten mit einem Blick auf die Webseite oder einem einfachen Anruf bei Ihnen sofort festgestellt werden kann, sind fehlende Umsetzungen schnell festzustellen.

4. Einwilligungen

Wenn Sie personenbezogene Daten zur Durchführung eines Vertrages oder aufgrund einer Rechtsvorschrift erheben, benötigen Sie keine Einwilligung (das wird auch nicht wahrer, wenn viele Medien das Gegenteil behaupten). In vielen anderen Fällen (Email-Werbung, Telefon-Werbung etc.) ist eine Einwilligung unerläßlich. Einwilligungen müssen aktiv, freiwillig, transparent und ausführlich sowie mit Hinweis auf die Widerrufsmöglichkeit erteilt werden. Prüfen Sie Ihre Einwilligungen, ob diese den Anforderungen entsprechen.

5. Werbung

Briefwerbung (also wirklich klassische Post) ist nach der DSGVO im Einklang mit dem UWG (Gesetz gegen den unlauteren Wettbewerb) ohne Einwilligung möglich. Für Email-Werbung gilt dies nur für Bestandskunden. Dabei darf aber der vorgeschriebene Hinweis auf die jederzeitige Widerrufsmöglichkeit nicht vergessen werden. Alle anderen Daten dürfen nur mit gültiger Einwilligung (siehe 4) für Werbezwecke genutzt werden.

6. Sicherheit der Datenverarbeitung

Ungeschützte Datenspeicherung, unverschlüsselte Datenübertragung, Endgeräte (PC, Laptops, Tablet und Smartphone) ohne Passwortschutz, unzureichende oder nicht dem Stand der Technik entsprechende Datensicherungen sind Geschichte. Die DSGVO schiebt dem laxen Umgang mit der IT-Sicherheit einen heftigen Riegel vor. Zukünftig muss nicht der Betroffene im Schadenfall nachweisen, dass Ihre Organisation keine ausreichenden Schutzmaßnahmen für dessen personenbezogene Daten ergriffen hat. Stattdessen ist Ihre Organisation beweispflichtig, das alles Mach- und Zumutbare an Sicherheitsmaßnahmen eingeführt und regelmäßig auf Funktionsfähigkeit geprüft wurde.

7. Meldepflicht von Datenpannen

Verbummelte Papierunterlagen, verlorene technischen Geräte, fehlerhafter Versand (Post / Email), mit Schadcode befallene IT-Systeme und viele Anlässe mehr führen schnell zu einer meldepflichtigen Datenpanne, wenn personenbezogene Daten im Spiel sind. Diese Datenpannen sind allesamt intern zu dokumentieren und auf Risiko für den Betroffenen zu bewerten. Liegt ein Risiko für Betroffene vor, gilt es die Datenpanne innerhalb von 72h an die zuständige Aufsichtsbehörde online zu melden. Bei besonders hohem Risiko müssen zusätzlich die Betroffenen durch Sie informiert werden. Schauen Sie auf die Webseite Ihrer Landesdatenschutzbehörde mit dem dazugehörigen Meldeformular. Sie werden staunen, wie schnell und umfangreich eine solche Meldung getätigt werden muss. Ohne interne Prozesse zur Erkennung, Bewertung und Meldung sind die Anforderungen nicht zu erfüllen. Damit ist nicht zu spaßen. Und nach der Datenpanne nicht die Nachbearbeitung vergessen: Was ist zu tun, damit sich diese Art der Datenpanne möglichst nicht wiederholt.

8. Datenschutzbeauftragter / DSB

Sobald mehr als 9 Mitarbeiter regelmäßig personenbezogene Daten von Kunden und / oder Mitarbeitern verarbeiten, muss Ihre Organisation einen Datenschutzbeauftragten bestellen. Öffentliche Stellen unterliegen einer generellen Bestellpflicht, ganz unabhängig von der Mitarbeiteranzahl. Die Ausführung dieser Bestellpflicht kann die Aufsichtsbehörde seit Mai 2018 ganz einfach überprüfen. Denn Ihre Organisation muss den Datenschutzbeauftragten offiziell bei der Aufsichtsbehörde mit Name und Kontaktdaten melden. Ein Abgleich bringt schnell zutage, welche Einrichtung wohl der Bestellpflicht unterliegt, aber keine Meldung vorgenommen hat. Zusätzlich müssen Sie Ihren Datenschutzbeauftragten offiziell im Rahmen der Datenschutzerklärung auf Ihrer Webseite mit Kontaktdaten benennen. Sie haben noch keinen Datenschutzbeauftragten? Dann wird es Zeit. Dieser hilft Ihnen übrigens auch sofort bei der Umsetzung der 7 anderen Punkte aus dieser Liste – und bei vielen weiteren Datenschutz-Themen, die Ihre Organisation umgesetzt haben muss.

Viel Erfolg!

PS: Die Punkte 1-8 sind einer Informationsbroschüre des Bayerischen Landesamts für Datenschutzaufsicht entnommen. Unser Artikel stellt keine Rechtsberatung dar.

WordPress und die DSGVO – Zusammenstellung für Umzug und Konfiguration

Panikmache mit der DSGVO

Leider häufen sich die letzten Monate wieder die Panikmacher nach dem Motto „Die DSGVO kostet Sie Ihre Existenz, außer Sie kaufen unsere Dienstleistungen, Vorlagen, Bücher …..“.  Webseitenbetreiber (egal ob mit WordPress oder anderen CMS erstellt) sind extrem verunsichert, was die DSGVO für sie bereithält.

Das ist in weiten Teilen absoluter Quatsch und in unseren Augen unseriöse Geschäftemacherei. Sicherlich bringt die Datenschutzgrundverordnung (DSGVO) einiges an Veränderungen und Neuerungen mit sich. Aber die Grundzüge des Datenschutzrechts sind gleich geblieben. Wer also bisher schon im Anwendungsraum des BDSG oder der Landesdatenschutzgesetze rechtskonform gearbeitet hat, nimmt noch einige Anpassungen und Ergänzungen an seinem Webauftritt vor und das war es. Das mag unbequem sein, aber welches Recht ist das nicht. Wen das Datenschutzrecht bisher nicht gekümmert hat, ok, der hat jetzt einiges an Arbeit vor der Brust.

Das DSGVO-Blog-Sterben

In zahlreichen Medien werden Schließungen von Blogs angekündigt. Teilweise privat betriebene Blogs, teilweise solche mit kommerzieller Nutzung. Schuld daran, sei die DSGVO. Schaut man genauer hin, sind es jedoch oft Blog-Funktionen, die bereits im alten Datenschutzrecht nicht korrekt umgesetzt waren (obwohl das ging) und nun in der DSGVO erst recht zu Problemen führen.

Doch der Aufwand, einen privaten Blog oder mittels des Blogs dargestellte gewerbliche Webseiten im Sinne der DSGVO sauber aufzusetzen und zu betreiben, ist überschaubar. Erst recht kein Grund, jahrelang gepflegte Diskussion und Information online einzustellen und zu beenden. Die teilweise privat und mit viel Liebe geführten Blogs sind Bestandteil unserer Medien- und Diskussionskultur und gehören daher bewahrt.

Wir wollten nun keinen neuen Beitrag schreiben, wie man z.B. mit WordPress betriebene Webseiten DSGVO-konform macht. Dazu gibt es diverse Beiträge zu Einzelaspekten im Web zuhauf. Aber wir haben uns mal hingesetzt (obwohl auch uns und unsere Kunden der DSGVO Schuh noch etwas drückt bis zum 25.05.18) und die uns als Anleitung geeignet erscheinenden Tipps und Anleitungen hier zusammengestellt. Da zahlreiche unserer Kunden WordPress einsetzen, können diese mittels dieser Tipps auch gleich weiter am rechtskonformen Webauftritt arbeiten.

Wir wissen auch, dieser Beitrag wird den Technikversierten zu oberflächlich sein, den weniger Technikaffinen vielleicht schon zu speziell. Sehen Sie es als Hilfestellung und Anregung. Mehr nicht.

DSGVO-konformes Hosting von WordPress

Das Angebot ist bequem, Registrierung, 2 Mausklicks und schon steht die erste eigene WordPress-Webseite im Netz, zumeist direkt bei wordpress.com. Um den Datenzugriff des Anbieters zu unterbinden oder zumindest einzuschränken, sollte man jedoch die WordPress-Installation selbst hosten und betreiben.

Die meisten Anbieter haben sehr gute Domain-Pakete mit Ein-Klick-Installationen. Wirklich gute Anbieter haben dann neben einem schnellen und professionellem Service bereits eine auf die DSGVO angepasste Vorlage für die Vereinbarung der Auftragsverarbeitung und die Prüfung der technischen und organisatorischen Maßnahmen (kurz TOM) parat und man muss erst gar nicht groß nachfragen oder sich durch Hotlines quälen. Wir für unsere beiden Blogs (und zahlreiche unserer kleineren Kunden) nutzen seit Jahren die Neue Medien Münnich als Hoster, kurz und knapp als ALL-INKL bekannt.

Im Rahmen der Domain-Pakete kann mit wenigen Klicks ein eigenes WordPress auf Ihrem Webspace installiert und eingerichtet werden. SSL-Zertifikat von Let’s Encrypt kostenlos mit dabei zwecks verschlüsselter Kommunikation auf und mit Ihrer Webseite (ist ja nicht erst mit der DSGVO Pflicht!)

Wenn Sie schon über eine WordPress-Webseite verfügen und nun umziehen wollen, gibt es hier eine tolle Anleitung, wie das funktioniert:

Von WordPress.com auf eigenen Webspace umziehen

Nicht datenschutzkonforme Plugins vermeiden

In einer sauberen Neu-Installation (und / oder dem importierten Webauftritt aus dem Punkt zuvor) gilt es nun, geschwätzige (und damit meist nicht DSGVO-konforme) Plugins zu vermeiden oder vorhandene zu identifizieren und auszutauschen.

Eine gute Übersicht über DSGVO-konforme Plugins oder Alternativen zu vorhandenen, weniger geeigneten Plugins hat BLOGMOJO in einem tollen Beitrag zusammengestellt:

120+ WordPress-Plugins im DSGVO-Check (mit Lösungen, Alternativen und Plugin-Tipps!)

Webtracking? Weg damit!

Wenn Sie Webtracking-Funktionen auf Ihrer Webseite eingebunden haben, diese aber nicht regelmäßig auswerten und für Überarbeitungen Ihrer Seite nutzen, dann ist das Webtracking entbehrlich. Gerade wenn Sie Ihre Webseite privat und mit Kommentarfunktion betreiben, dann sehen Sie auch an anderer Stelle, was bei den Besuchern ankommt und was nicht. Die aktuelle Diskussion um Webtracking im Rahmen der DSGVO hat teilweise schon paranoide Züge angenommen. Der einfachste Weg ist daher, diese Tools erst gar nicht einzusetzen, wenn Sie diese nicht aktiv nutzen oder zur Steigerung Ihrer Besucherzahlen im kommerziellen Umfeld benötigen. Wenn Sie einen sinnvollen Nutzen aus dem Webtracking ziehen, empfiehlt sich der folgende Beitrag:

Darstellung der Tracking-Problematik im Kontext der DSGVO von datenschutzbeauftragter-info.de

Webtracking geht mehr oder weniger datenschutzfreundlich. Eine Empfehlung ist auf jeden Fall ein Tool wie Matomo (ehemals Piwik). Dies können Sie direkt selbst auf Ihrem Webspace installieren und haben nicht die Problematik, dass IP-Adressen (und somit personenbezogene Daten) an einen Dritten übertragen werden. Matomo können Sie bei den Paketen guter Provider übrigens auch direkt im Backend mit einem Klick auf Ihrem Webspace installieren lassen. Wie dann die Konfiguration und Einbindung auf der Webseite aussehen kann (inklusive Hinweis in der Datenschutzerklärung) lesen Sie beispielsweise hier

Handlungsanleitung: Matomo (ehemals Piwik) nach DSGVO richtig einbinden

Und jetzt das Sperrigste: Die Datenschutzerklärung

Wenn Sie Ihre Webseite neu aufgesetzt haben, dann kennen Sie bereits die Funktionen auf Ihrer Webseite, mit denen darauf personenbezogene Daten verarbeitet werden. Alte Bekannte sind Kontaktformulare, Newsletter, Login-/Registrierungsbereiche, Webtracking, Stellenangebote und viele mehr. Diese Verarbeitungen gilt es jetzt, im Rahmen der Datenschutzerklärung (auch nix Neues!) den Besuchern transparent zu machen. Die Anforderungen an eine Datenschutzerklärung sind recht umfassend und würden einen eigenen Beitrag nötig machen. Doch es gibt Hilfe im Netz:

Einen pragmatischen Ansatz hat dazu datenschutzbeauftragter-info.de in diesem Beitrag vorgestellt – Datenschutzerklärungen nach der DSGVO – Tipps zur Umsetzung.

Als Grundlage für eine solide Datenschutzerklärung kann das Muster des itm der Universität Münster genutzt werden. Wenn Sie dieses konzentriert überarbeiten und anpassen, dann ist schon viel gewonnen.

Und ist WordPress generell DSGVO-konform?

Selbst wenn Sie WordPress auf Ihrem eigenen Webspace hosten, ist Worpress im Moment noch nicht ganz konform mit der Datenschutzgrundverordnung. Einige interne Funktionen müssen aktuell noch mit Plugins angepasst werden, um Datenschutz-Konformität zu erreichen (das galt allerdings auch schon vor der DSGVO).

WordPress selbst hat reagiert und eine Version 4.9.6 für den 15.05.2018 angekündigt, in der Teile dieser Anforderungen dann direkt in WordPress integriert werden.

WordPress 4.9.6 bringt Erweiterungen für die DSGVO

Den sicheren Betrieb der Webseite garantieren

Eine der Anforderungen aus dem Datenschutzrecht ist, nicht nur zu Beginn, sondern auch im laufenden Betrieb die Sicherheit der Verarbeitung personenbezogener Daten zu gewährleisten. Das bedeutet, mit der reinen Installation und erstmaligen Anpassung von WordPress ist es nicht getan. Das kostet Zeit und Mühe im laufenden Betrieb. Hier hilft es jedoch nicht, auf die ach so böse DSGVO zu schimpfen. Denn diese Anforderung gab es zuvor auch schon im Rahmen der sog. technischen und organisatorischen Maßnahmen.

Von daher sollte es selbstverständlich sein, eine Installation von WordPress und der genutzten Plugins aktuell zu halten. Dazu loggt man sich regelmäßig in das Backend von WordPress ein und öffnet das Untermenü „Aktualisierungen“ unter dem Punkt „Dashboard“. Meist wird dort schon mit einer roten Zahl signalisiert, wieviele Aktualisierungen für WordPress, genutzte Plugins und Themes zu installieren sind. Vorher aber bitte ein Backup anlegen 🙂 Das geht ganz gut mittels des Plugins BackWpUp https://de.wordpress.org/plugins/backwpup/, es gibt aber auch andere Tools für die weniger technikaffinen Betreiber einer Webseite mit WordPress.

Updates lassen sich auch automatisieren für alles oder auf bestimmte Elemente eingrenzen. Solche Funktionen sind jedoch mit Vorsicht zu genießen. Dabei kann es auch durchaus zu Problemen kommen, gerade wenn fehlerbehaftete Updates von Plugins oder Themes eingespielt werden. Von daher vielleicht nur auf die reinen WordPress-CMS-Updates beschränken.

Updates sind das eine, Sicherheitslücken das andere Problem. Lücken können innerhalb von WordPress selbst, durch Plugins, aber auch durch den Webserver darunter entstehen. Eine gute Möglichkeit, den eigenen Webauftritt regelmäßig auch Schwachstellen zu prüfen (bzw. prüfen zu lassen), ist die Initiative SIWECOS. Nach Registrierung eines Nutzers und der zu prüfenden Webseite erhält man zeitnah einen Sicherheitsbericht über den eigenen Webauftritt. Die darin beschriebenen Probleme lassen sich jedoch selten selbst lösen, wenn man kein Spezialist dafür ist. Hier sollten Sie professionelle Hilfe zu Rate ziehen. Bei Problemen, die auf Seiten des Webservers angezeigt werden, hilft es, den Provider Ihres Webspaces mit den Ergebnissen zu konfrontieren. Für Ihre eigene WordPress-Installation holen Sie sich bitte geeigneten qualifizierten Rat.

Für gewerbliche Webseiten ist der Aufwand in all den dargestellten Punkten natürlich deutlich höher. Je größer und funktionsumfangreicher Ihr Webauftritt ist, umso mehr müssen Sie auch die Nutzung spezialisierter Hoster oder gleich die Vergabe der ganzen Webseite an einen kompetenten Fachmann in Betracht ziehen. Da springen die hier genannten und zusammengefassten Maßnahmen zu kurz. Nichtsdestotrotz sind wir der Meinung, der Hype um die ach so böse DSGVO in Verbindung mit Webseiten wird hier künstlich gepusht. Die Anforderungen waren auch zuvor schon recht hoch. Und zu meistern sind die auf jeden Fall, im Zweifel mit externer Unterstützung.

Weitere Ratgeber zum Thema WordPress und DSGVO im Netz

„WordPress und die DSGVO“ von WP Ninjas

Guide von Sandra Messer „DSGVO – mach Deine WordPress Webseite rechtssicher“

Ausführliche Beschreibung inklusive der weiteren Anforderungen aus der DSGVO von Johannes Kübler

Aktualisierung dieses Beitrags

Wer Anregungen oder Tipps für weitere Links hat, bitte immer her damit. Wäre doch gelacht, wenn wir einige Verzagte nicht dabei unterstützen können, ihren Blog oder ihre Webseite weiter zu betreiben.

Kleiner Hinweis zum Schluss: Dieser Beitrag stellt keine Rechtsberatung dar. Im Zweifel holen Sie sich Rat zum zugelassenen Fachmann, sprich einem Anwalt. Gerade in der Überprüfung der Datenschutzerklärung eine gute Investition.

Email-Werbung ohne schriftliche Einwilligung – geht das überhaupt?

Keine Email-Werbung ohne Einwilligung

Oft werden wir als Datenschutzbeauftragte gefragt, ob für Email-Werbung  oder Werbung per SMS eine schriftliche Einwilligung wirklich notwendig ist. Dabei wird übersehen, dass hier das Gesetz gegen den unlauteren Wettbewerb (kurz UWG) der erste Spielverderber ist. Das allgemeine Datenschutzrecht tritt hier erst mal zurück.

Und in § 7 Absatz 1 sowie Absatz 2 Nummer 3 des UWG wird Email-Werbung zusammen mit SMS- und Telefax-Werbung grundsätzlich als unzumutbare Belästigung im Sinne des UWG eingestuft. Daher ist Email-Werbung nur mit ausdrücklicher (vorheriger schriftlicher) Einwilligung der betroffenen Person erlaubt. Mit der wettbewerbsrechtlichen Zulässigkeit steht und fällt zugleich auch die datenschutzrechtliche Zulässigkeit.

Ausnahmsweise doch Email-Werbung ohne Einwilligung?

Ja, Email-Werbung ohne vorherige schriftliche Einwilligung kann in einer einzigen Ausnahme möglich sein. Diese Ausnahme beschreibt der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg. Verbraucher, aber auch Werbetreibende können sich in dem frei verfügbaren und aktualisierten Merkblatt „Was Sie gegen unerwünschte Werbung tun können“ (Stand 10. Mai 2017) informieren.

Wie lautet diese Ausnahme für Email-Werbung ohne Einwilligung?

Nach Auffassung des Landesbeauftragten ist Email-Werbung ohne (vorherige) schriftliche Einwilligung möglich nach § 7 Absatz 3 UWG, wenn der Werbetreibende (also das Unternehmen) schriftlich alle nachfolgenden Voraussetzungen nachweisen kann (Original-Zitat aus dem Merkblatt):

  • Er hat die elektronische Postadresse im Zusammenhang mit dem Verkauf einer Ware oder Dienstleistung von dem Kunden erhalten,
  • er verwendet die Adresse zur Direktwerbung für eigene ähnliche Waren oder Dienstleistungen,
  • der Kunde hat der Verwendung nicht widersprochen und
  • der Kunde wurde bei Erhebung der Email-Adresse und wird bei jeder Verwendung klar und deutlich darauf hingewiesen, dass er der Verwendung jederzeit widersprechen kann, ohne dass hierfür andere als die Übermittlungskosten nach den Basistarifen entstehen (in der Regel ist hiermit ein Abmeldelink gemeint).

Verbraucher können zur Wahrnehmung ihrer Rechte bei unzulässiger Werbung konkrete Handlungsanweisungen zur Abwehr und Reaktion gegen das werbende Unternehmen aus dem Merkblatt entnehmen. Werbetreibenden ist diese Übersicht sehr zu empfehlen. Sie können damit prüfen, ob die eigenen Gepflogenheiten dem aktuellen Recht entsprechen oder eventuell Abmahnung, Bußgelder und weiteres Ungemach drohen. Das die Datenschutzbehörden hier keinen Spaß mehr verstehen, haben Sie bereits früher klar zum Ausdruck gebracht – siehe früheren Blog-Beitrag.

Bitte beachten Sie: Wir beziehen uns hier auf die Aussagen in dem verlinkten Merkblatt und führen selbst keine Rechtsberatung zum UWG durch. Sollten die Inhalte des Merkblatts nicht korrekt (wiedergegeben) sein, übernehmen wir keine Haftung.

Personalausweis einfach kopieren – einfach rechtswidrig

Personalausweis als Pfand, Personalausweis-Kopie als Beleg – üblich, aber verboten

Usus, Rechtsverstoß inklusive. Der Personalausweis wird als Pfand hinterlegt, eine Kopie zur Identifikation im Vertragsordner abgelegt oder als Scan ins Dokumenten-Management-System gespeichert. Branchenübergreifend üblich, vom Fitness-Studio bis zur Autovermietung.

Der neue Personalausweis

Seit dem 01. November 2010 wird nur noch der neue Personalausweis herausgegeben, gerne auch als „ePerso“ bezeichnet. Im Zuge der Umstellung hat das Personalausweisgesetz (PAuswG) einige Änderungen erfahren. Zahlreiche Kommentierungen und Begründungen begleiten den neuen Ausweis.

Kein ausdrückliches Kopierverbot, aber …

Neben der bisher üblichen Ausweisfunktion beinhaltet der „ePerso“ nun auch die Möglichkeit zu Signatur und zur Authentisierung. Zum Schutz dieser Funktionen schreibt unsere Regierung in ihrer Begründung zur Neuregelung: „Die Erhebung und Verwendung personenbezogener Daten aus oder mithilfe des Ausweises darf künftig nur über die dafür vorgesehenen Wege erfolgen. (.) Weitere Verfahren z.B. über die optoelektronische Erfassung („scannen“) von Ausweisdaten oder dem maschinenlesbaren Bereich sollen ausdrücklich ausgeschlossen werden.“ In den Auslegungen hierzu wird deutlich davon gesprochen, weder Kopien des Personalausweises zuzulassen, noch diesen aus der Hand zu geben.

Warum den Personalausweis nicht kopieren?

Da der neue Personalausweis aufgrund dessen Gestaltung noch eine sog. Berechtigungsnummer trägt, weist das Bundesinnenministerium auf einen zusätzlichen Sachverhalt hin. Die Berechtigungsnummer soll nämlich lediglich dem Ausweisinhaber bekannt sein. Eine Kopie oder ein Scan stehen diesem Umstand jedoch entgegen.

Der alte Personalausweis darf aber kopiert werden?

Trägt dieser zwar nicht die elektronischen Merkmale seines Nachfolgers so ist eine Kopie hier nur sehr schwer als datenschutzrechtlich erforderlich zu begründen. Subjektive Maßstäbe hierüber sind ausgeschlossen. So sollte auch hier auf eine Kopie verzichtet werden. Notieren Sie die erforderlichen Daten. Vorteil: Sie ersparen sich das vorgeschriebene Ausschwärzen nicht erforderlicher Daten und müssen später im Rahmen der Aufbewahrungs– und Löschfristen nicht in Aktenstapeln oder EDV Systemen nach den zu löschenden Dokumenten fahnden.

Dann nehmen wir den Personalausweis eben als Pfand

Hier spricht das PAuswG eine klare Sprache § 1 Abs. 1. S. 3+4 PAuswG – für beide Ausweisformen: „Vom Ausweisinhaber darf nicht verlangt werden, den Personalausweis zu hinterlegen oder in sonstiger Weise den Gewahrsam aufzugeben. Dies gilt nicht für zur Identitätsfeststellung berechtigte Behörden sowie in den Fällen der Einziehung und Sicherstellung.“ Ihre Organisation wird schwerlich als berechtigte Behörde anzusehen sein, Ausnahmen bestätigen die Regel.

Ausnahmen vom Kopierverbot und Pfandverbot für Personalausweise?

Ja, u.a. § 8 Geldwäschegesetz oder § 95 TKG (z.B. für Handy-Verträge). Trifft das auf Ihr Unternehmen zu? Ihr Datenschutzbeauftragter klärt Sie gerne über den Sachverhalt auf. Sie haben keinen? Dann sprechen Sie uns an. Wir unterstützen Sie als externe Datenschutzbeauftragte und externe Informationssicherheitsbeauftragte.