Recht

Warum ist Datenschutz für Unternehmen und Behörden wichtig?

von Sascha Kuhrau
3. Dezember 2014

Haben Sie sich auch schon diese Frage gestellt? Sascha Kuhrau, Inhaber des bundesweit tätigen Beratungsunternehmens a.s.k. Datenschutz gibt Antworten.

Herr Kuhrau, ist Datenschutz ein Modethema?

Mitnichten! Schauen Sie einfach auf die Historie des Datenschutzrechts in Deutschland und der EU. 1977 hatten wir das erste Bundesdatenschutzgesetz (BDSG) in Deutschland, seit 1995 gibt es auf EU Ebene verbindliche Regeln für alle Mitgliedsstaaten.

Wen betrifft dieses Bundesdatenschutzgesetz?

Das ist ganz einfach. Jedes Unternehmen, jeden Gewerbetreibenden, jeden Freiberufler, jede Behörde und auch jeden Verein, sofern dort personenbezogene Daten vorliegen und verarbeitet werden.

Man sollte auch nicht dem Irrtum unterliegen, ein eigenes Standesrecht würde das Datenschutzgesetz ersetzen. Obwohl die Aussage der Gesetze hier klar ist, mussten mittlerweile Gerichte bestätigen, dass solches Recht nicht pauschal ersetzend wirkt. Diese Fehleinschätzung kann gerade bei Ärzten, Steuerberatern oder auch Anwälten schnell zu Konflikten führen.

Wirklich jeden? Es gibt doch bestimmt Ausnahmen?

Da muss ich Sie enttäuschen. § 1 BDSG ist hier eindeutig. Es werden keine Unterschiede nach Branche, Mitarbeiterzahl oder Umsatz gemacht. Diesen Irrglauben trifft man öfter in Gesprächen mit Geschäftsführern, Inhabern oder auch Behördenleitern.

Eine Ausnahme gibt es jedoch bei der Bestellpflicht des sogenannten Datenschutzbeauftragten.

Welche Aufgaben hat ein solcher Datenschutzbeauftragter?

Salopp gesagt, kümmert sich dieser um die rechtskonforme Umsetzung des Datenschutzrechts in der Organisation vor Ort. Er ist Berater , Tippgeber und Ansprechpartner für Leitung und Mitarbeiter.

Und wann muss ein solcher Datenschutzbeauftragter bestellt werden?

Diese Vorschrift findet sich in § 4f BDSG und ist bis auf ganz wenige Ausnahmen ebenfalls eindeutig. Sobald mehr als 9 Mitarbeiter mit personenbezogenen Daten mittels IT arbeiten, muss ein Datenschutzbeauftragter intern oder extern bestellt werden. Und bei der Zahl der Mitarbeiter ist es unerheblich, ob Vollzeit, Teilzeit, Aushilfe oder Geschäftsführung selbst.

Dann liegt diese Bestellpflicht recht schnell vor, ohne dass die Verantwortlichen dies vielleicht wissen?

Das ist in der Praxis häufig der Fall. Wir beraten hierzu jedoch kostenlos und unverbindlich, ob eine Bestellpflicht vorliegt.

Wer kümmert sich um das Thema Datenschutz, wenn kein Datenschutzbeauftragter vorhanden ist?

Dann liegt die Umsetzung aller Rechtsvorschriften bei der Geschäftsführung oder Behördenleitung. Diese haftet im Zweifel dann auch bei Nichterfüllung oder eintretenden Datenpannen. Das BDSG hat hier einen mittlerweile sehr empfindlichen Bußgeldkatalog.

Also sollte man schon zur Vermeidung von Bußgeldern das Thema Datenschutz ernst nehmen?

Das ist nach meiner Erfahrung der falsche Ansatz. Wenn sich des Themas nur angenommen wird, weil Ängste vor rechtlichen Risiken und Bußgeldern bestehen, dann wurden die Chancen eines bewusst gelebten Datenschutzes nicht erkannt.

Datenschutz ist mehr als eine Rechtsvorschrift?

Ja! Kunden und Bürger werden immer sensibler. Nehmen Sie nur die aktuelle Presse. Nicht erst seit der NSA Affäre, ausgelöst durch Herrn Snowden, steigen das Bewusstsein und auch der Anspruch der sogenannten “Betroffenen” (im Sinne des BDSG) rund um das Recht auf informationelle Selbstbestimmung.

Komme ich diesem Anspruch als Organisation nach, dann ist gelebter Datenschutz ein Element der Kundenakquise, aber auch der Kundenbindung.

Und da Datenschutz auch sehr weit in Bereiche wie der IT-Sicherheit eingreift, kommen Faktoren wie Senkung des Ausfallrisikos oder Verkürzung von Wiederanlaufzeiten von EDV-Systemen ergänzend hinzu. Es geht hier um die Kernziele: Schutz vor Zerstörung, Verlust und Missbrauch von personenbezogenen Daten. Am Ende spart die Organisation Zeit und Geld, wenn es zum Störfall kommt..

Wie unterstützt a.s.k. Datenschutz hierbei?

Wir prüfen das vorhandene Datenschutz– und Datensicherheitsniveau, identifizieren Schwachstellen, beheben diese gemeinsam mit unseren Auftraggebern, betreuen Einzelprojekte—z.B. die Einführung einer geplanten Videoüberwachung—oder stehen als permanenter Ansprechpartner für Fragen zu diesen Themen zur Verfügung.

Selbstverständlich übernehmen wir auch die Aufgaben des (externen) Datenschutzbeauftragten oder unterstützen einen internen Datenschutzbeauftragten, wenn dieser aus Zeitgründen Support benötigt. Letzteres kommt in der Praxis recht häufig vor. Seit einiger Zeit haben wir für bayerische Kommunen auch zwei Varianten des AKDB Sicherheitschecks im Angebot.

Was steht dabei für Sie im Vordergrund?

Wichtig sind uns der absolute Praxisbezug und die Sicherstellung der rechtlichen Anforderungen. Datenschutz darf kein Selbstzweck sein oder sich zu wichtig nehmen. Nicht umsonst lautet unser Motto „Aus der Praxis für die Praxis“.

Ist Datenschutz teuer?

Ja, wenn Sie sich nicht darum kümmern 🙂

Nein, im Ernst. Wir arbeiten bei langfristigen Betreuungen und Projekten mit Pauschalen, damit unser Kunde stets weiß, mit welchen Kosten er zu rechnen hat und vor unliebsamen Überraschungen sicher ist.

Und da unsere Leistungen modular buchbar sind, kann der Kunde selbst entscheiden, welchen Anteil an Zeit er selbst einbringen will und kann, und welchen er an uns auslagert.

Wenn jemand noch Fragen zum Thema hat?

Einfach anrufen oder eine kurze Email schreiben.

EuGH kippt Vorratsdatenspeicherung: Vernunft siegt über Sammelwut

von Sascha Kuhrau
8. April 2014
1 Kommentar

Heute, am 08.04.2014 hat der Europäische Gerichtshof die EU Richtlinie zur Vorratsdatenspeicherung gekippt.

Diese Richtlinie aus dem Jahr 2006 sah für die Mitgliedstaaten der EU eine Regelung über die Speicherung von Verkehrsdaten auf Vorrat für einen Zeitraum von 6 Monaten vor. Kritikpunkt war damals schon die künstliche Schaffung einer Verpflichtung durch die nationalen Regierungen auf europäischer Ebene zur Einführung einer Vorratsdatenspeicherung. Zuvor waren die Anläufe auf nationaler Ebene weitestgehend gescheitert. Durch die Verpflichtung über die EU Schiene sollte dieses Manko im Sinne einiger sammelwütiger Regierungen ausgehebelt werden.

Die danach entstandenen deutschen Regelungen im Telekommunikationsgesetz (TKG) wurden durch das Bundesverfassungsgericht Anfang 2010 größtenteils für nichtig erklärt. Dabei wurde jedoch nicht die Vorratsdatenspeicherung an sich in Frage gestellt, sondern das Gericht sah lediglich Defizite in der Umsetzung. Ein neues Gesetz zur Vorratsdatenspeicherung wurde in Deutschland seither nicht auf den Weg gebracht.

Nach dem heutigen Urteil zeigen sich erneut die Fronten zwischen Befürwortern und Gegnern einer nicht anlaßbezogenen Sammlung und Speicherung von personenbezogenen Daten auf Vorrat. Während Bundesjustizminister Heiko Maas nun Augenmaß beim Umgang mit dem Thema fordert und voreilige Schüsse ausschließt, zögert Bundesinnenminister Thomas de Maiziere nicht, eine zeitnahe Einführung einer deutschen Vorratsdatenspeicherung voranzutreiben.

Die “Betroffenen” (gemäß Wortlaut des Bundesdatenschutzgesetzes die Personen, auf die sich die gesammelten Daten beziehen), also alle Bürger dieses Landes dürfen weiter gespannt sein.

Update 14.04.2014

Golem.de meldet das Aus für einen neuen Gesetzesentwurf zur Vorratsdatenspeicherung der schwarz-roten Koalition in dieser Legislaturperiode. Dabei beruft sich der Online-Service auf einen Bericht des Spiegel. Es soll eine neue rechtskonforme EU-Richtlinie abgewartet werden, bevor eine nationale Regelung auf den Weg gebracht wird.

Na dann werben wir mal

von Sascha Kuhrau
13. Februar 2014
1 Kommentar

Einen Satz, den ich in der Praxis gelegentlich zu hören bekomme — oder zumindest auf die dahinterstehende Grundhaltung bei Werbemaßnahmen oft aufgrund Unkenntnis stoße. Adreßdaten liegen zuhauf im Unternehmen vor, Quelle und zulässiger Einsatzzweck nicht zwingend bekannt. Unterscheidungsmerkmale zwischen Privat- oder Geschäftsadressen ad hoc nicht möglich, eine Klassifizierung ob personenbezogen oder nicht liegt nicht vor.

Nach dem Prinzip “Augen zu und durch” werden solche Datenbestände der internen oder externen Werbemaschinerie zugeführt. Die Quittung(en) liegen meist schnell auf dem Tisch. Beschwerden telefonisch oder per Email von “privaten” Betroffenen, Anfragen der zuständigen Landesdatenschutzbehörde aufgrund dort eingegangener Beschwerden und wenn nebem dem BDSG (Bundesdatenschutzgesetz) auch das UWG (Gesetz gegen den unlauteren Wettbewerb) betroffen ist, kostspielege Abmahnungen als Folge.

Die Crux an Werbung ist, es gilt nicht nur eines, sondern gleich mehrere Gesetze zu prüfen und einzuhalten. Und nicht immer sind die Abgrenzungen klar, was wie wo gilt je nach Art der Aussendung und des zu bewerbenden Angesprochenen. Diesem Umstand trägt der Düsseldorfer Kreis (als Zentralorgan der Landesdatenschutzbehörden) mit seiner Veröffentlichung mit Stand Dezember 2013 Rechnung

“Anwendungshinweise der Datenschutzaufsichtsbehörden zur Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten für werbliche Zwecke”

Das zwölfseitige Dokument kann als PDF heruntergeladen werden und ist das Ergebnis einer Arbeitsgruppe “Werbung und Adresshandel”, die das Bayerische Landesamt für Datenschutzaufsicht betreut hat. Im Fokus steht die praktische Umsetzung des § 28 BDSG.

Neben Hinweisen zur Definition und zum Umgang mit Listendaten wird auch der Aspekt beleuchtet, wie zu verfahren ist, wenn im Rahmen von B2B Werbung personenbezogene Daten angesprochen werden sollen. Das Thema Freundschaftswerbung wird kritisch beleuchtet (und abschließend mit fehlender datenschutzrechtlicher Grundlage bewertet), aber auch die notwendige Einwilligung wird präzisiert, sogar im Hinblick auf ihr Verfallsdatum.

Download der Anwendungshinweise im PDF Format (externer Link)

Datenschutz und Wettbewerbsrecht

von Sascha Kuhrau
29. April 2013

In Berlin fand am 24.04.2013 ein sehr gutes Seminar zum Thema “Einführung in das Wettbewerbsrecht und Werberecht für Datenschutzbeauftragte” statt. Der Referent, Dr. Jens Schulze zur Wiesche von der Düsseldorfer Kanzlei JUCONOMY führte kompetent und verständlich durch die sehr interessante Veranstaltung, organisiert von unserem Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V.

Nach der rechtlichen Einführung folgten anschauliche Beispiele unlauterer Handlungen, welche die bekannten Konsequenzen wie Abmahnung und Unterlassung aus dem Wettbewerbsrecht nach sich ziehen können. Besonders interessant und aufschlußreich für die Praxis der teilnehmenden Datenschutzbeauftragten war der abschließende, praktische dritte Teil — Besondere Bezüge zum Datenschutz im Bereich Direktmarketing.

Ein herzliches Dankeschön an den Referent und die Organisatoren für eine kurzweilige und hilfreiche Fortbildung.

EU-Datenschutz im Sinne des Verbrauchers? Weit gefehlt

von Sascha Kuhrau
12. Februar 2013

Die Webseite www.lobbyplag.eu zeigt auf, wie einflussreiche Lobbyisten erfolgreich unsere EU-Vertreter im Sinne der Auftraggeber beeinflussen. Fast wörtlich finden sich Textpassagen der Interessensvertreter aus Industrie und Handel in den zur Zeit im Umlauf befindlichen Entwürfen zum EU-Datenschutz. Gerade in Bezug auf die Schutzrechte der Betroffenen wurde hier sehr zu deren Lasten Einfluss genommen. Geht der Trend zum Datennutzungsgesetz statt Datenschutzgesetz nun auf europäischer Ebene weiter wie zuvor bei uns in Deutschland mit dem geplanten ‘Arbeitnehmer-Datenschutz’?

Wir bleiben am Thema für Sie dran und werden hier auf unserem Blog für Sie berichten.

Quellen:

https://spon.de/adRK7
https://feedly.com/k/12qLzDA

Facebook — heißes Pflaster für Unternehmen und Gewerbetreibende

von Sascha Kuhrau
25. Januar 2013

Facebook hat seinen Sitz, wie die meisten Anbieter sozialer Netzwerke, außerhalb von Deutschland oder des europäischen Rechtsraums. Der Firmensitz in den USA hat rechtlich für die Betreiber einige Vorteile. Nicht von ungefähr gelten die USA als nichtsicher, was Datenschutz angeht. Dies wirkt sich schnell auf die Praxis aus. Wer hat für den Firmenauftritt in Facebook nicht schon mal vergeblich ein passendes und rechtkonformes Feld für das Impressum gesucht? Doch jetzt kommt ein neues Risiko für gewerbliche Betreiber von Auftritten in sozialen Netzwerken hinzu.

Facebook generiert für geteilte Inhalte ein „Thumbnail“ – ein kleines Vorschaubildchen – und schmückt den Eintrag auf der Pinnwand mit dieser Miniaturvorschau.

Sieht schick aus! Spricht an! Ist brandgefährlich!

Eine Berliner Rechtsanwaltskanzlei hat einen gewerblichen Facebook-Betreiber abgemahnt. Grund: auf seiner Pinnwand fand sich die Minivorschau eines urheberrechtlich geschützten Bildes. Das gelangte aufgrund der vielfach genutzten „Teilen“-Funktion an diesen Platz. Die Urheberrechtsinhaberin, eine Fotografin, verlangte die sofortige Entfernung, die Abgabe einer strafbewehrten Unterlassungserklärung und zusätzlich Schadensersatz in Höhe von 1.200 Euro. Hinzu kommen noch die Anwaltsgebühren in Höhe von 546 Euro.

Der Rechtsvertreter des abgemahnten Unternehmens bejaht den Rechtsverstoß, der in diesem Falle nicht abgestritten werden kann. An der Höhe der Forderung äußerte er jedoch Zweifel. Nichtsdestotrotz wird ein entsprechender Betrag zu zahlen sein.

Unsere Tipps:

„Teilen“ Sie immer ohne Miniaturbild
Bilden Sie zur Sicherheit eine Rückstellung für Abmahnungen und die Abwehr solcher Risiken. Es ist praktisch kaum möglich, soziale Netzwerke und Medien zu nutzen, ohne Urheberrechtsverstöße zu begehen
Besuchen Sie eines unserer Seminare „Social Media für Unternehmen — Chancen und Risiken im Web 2.0“ und sichern Sie Ihr Unternehmen gegen zahlreiche Risiken von vornherein ab

Veranstaltungshinweis 11.10.2012: Sicher und erfolgreich online unterwegs — (Rechts-) Sicherheit bei Website, Webshop und Web 2.0

von Sascha Kuhrau
8. Oktober 2012

Unternehmen brauchen (Rechts-) Sicherheit im Internet

Eine eigene Website ist für die meisten Unternehmen eine Selbstverständlichkeit. Auch im Umfeld von Social Media werden immer mehr Unternehmen aktiv. So groß die Chancen der neuen Medien auch sind, so viele Gefahren bergen sie. Rechtliche Aspekte und der Datenschutz finden oftmals nicht die notwendige Beachtung. Und dies kann zu bösen Überraschungen führen. Abmahnungen und Rechtsstreitigkeiten sind keine Seltenheit.

Jürgen Putzer, ausgewiesener Internet- und Social Media Experte zeigt im Dialog mit Sascha Kuhrau, a.s.k. Datenschutz, welche Fehler sehr häufig gemacht werden und wie man diese vermeiden kann. An Praxisbeispielen soll dies verdeutlicht werden. Neben Websites stehen Webshops und Soziale Netzwerke im Fokus. Diese Netzwerke, die ursprünglich für die private Nutzung gedacht waren, bergen für Unternehmen ein nicht unerhebliches Risiko.

Nutzen Sie die Gelegenheit und bieten Sie Ihren Internetauftritt im Rahmen der Veranstaltung als Beispiel an. Bitte unterschreiben Sie uns in diesem Fall die Einverständniserklärung auf dem Anmeldefax. Aus den angebotenen Auftritten werden wir passende Beispiele auswählen.

Agenda

Donnerstag, 11. Oktober 2012

18.45 Get Together
19.00 Begrüßung durch Bernd Hölzel, Kreisentwicklung Nürnberger Land und Dr. Markus Wolf, netzwerk nordbayern
19.15 Datenschutz und Rechtssicherheit im Internet Jürgen Putzer, Social Media Spezialist, Marketingleiter Creation Gross + Sascha Kuhrau, a.s.k. Datenschutz
20.45 Ausklang, Gespräche und Networking

Informationen und Anmeldung:
Wirtschaftsförderung Nürnberger Land
Waldluststraße 1 Tel.: 09123/ 950‑6065
91207 Lauf a.d. Pegnitz Fax: 09123/ 950‑8004
E‑Mail: wirtschaft@nuernberger-land.de

Flyer und Anmeldeformular sind auch online erhältlich

Landesdatenschutzbeauftragte sind sich einig: Bundesrat soll geplantes Meldegesetz kippen

von Sascha Kuhrau
27. August 2012
3 Kommentare

Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder hat den Bundesrat aufgefordert, in seiner nächsten Sitzung am 21.09.2012 den viel kritisierten Gesetzentwurf abzuweisen und den Vermittlungsausschuss anzurufen. Die Vorlage weise noch erhebliche Defizite auf und würde deutlich hinter bereits geltendem Recht zurückbleiben. Die Datenschutzbeauftragten schlagen als Lösung vor, dass Auskünfte für Werbung und Adresshandel ausnahmslos nur mit vorheriger Einwilligung des Betroffenen herausgegeben werden dürfen.

Lesen Sie hier mehr über den Stein des Anstoßes

IT-Sicherheit in Unternehmen verbessern und für mehr Datenschutz sorgen

von Sascha Kuhrau
20. August 201215. Oktober 2023
2 Kommentare

Datenschutz und Datensicherheit

Datenschutz ist gesetzliche Vorschrift für Unternehmen aller Größen in Deutschland. So gibt es zwar einige Regelungen, wie z.B. die Bestellpflicht für einen sog. Datenschutzbeauftragten, die erst ab einer gewissen Mitarbeiterzahl greifen, doch das entbindet nicht von der Verpflichtung die übrigen Vorschriften im Unternehmen umzusetzen. Aufgrund des stetig zunehmenden Einsatzes von IT steigen sowohl die Ansprüche an Unternehmen als auch die Zahl der zu treffenden Schutzmaßnahmen durch das Unternehmen. Ohne ausreichende IT-Sicherheit ist der gesetzlich vorgeschriebene Datenschutz heute kaum mehr zu gewährleisten.

Klassische Brennpunkte

Ganz oben auf der Themenliste stehen nach wie vor Klassiker wie Passwort-Sicherheit oder auch die Backup-Strategie. Im Rahmen unserer Datenschutz-Audits sind immer wieder noch Kombinationen für den System-Login zu finden wie Benutzername = Vorname und Passwort = Nachname, sogar für Zugänge mit Administrator-Rechten. Aber auch die Rechte und Pflichten des Administrators wollen genau definiert und festgeschrieben sein. Ob der Leitsatz “Backup ist nur für Feiglinge” im Falle eines Datenverlusts wirklich weiterhilft? Ich wage es zu bezweifeln.

Neue Technologien und Verfahrensweisen

Doch neben diesen Dauerbrennern gilt es mit aktuellen Entwicklungen und Trends mitzuhalten. Nutzen Ihre Mitarbeiter eigene elektronischen Geräte für das Unternehmen wie z.B. Smartphones, Notebook oder Pads? Dann werden Sie nicht darum herumkommen, sich mit dem Begriff BYOD (Bring Your Own Device) auseinanderzusetzen. Denn so charmant das Mitbringen von eigener Hardware durch Mitarbeiter sein kann, z.B. durch den Kosteneinsparungseffekt, so riskant ist der Einsatz von nicht in die Sicherheitsmechanismen des Unternehmens eingebundenen Geräten im Hinblick auf Datensicherheit und Datenschutz.

Licht ins Dunkel bringen

Das Bundesministerium für Wirtschaft hat zur Unterstützung den IT-Sicherheitsnavigator im Web ins Leben gerufen. Hier können Unternehmen und Unternehmer zielgenau nach Branche und Fragestellung Hilfe in Form von Anleitungen, Formulierungsvorschlägen und Tipplisten finden.

Alternativ sprechen Sie doch einfach mit Ihrem Datenschutzbeauftragten? Sie haben keinen? Dann prüfen Sie, ob die gesetzliche Bestellpflicht für Ihr Unternehmen vorliegt. Der Gesetzgeber hat mit dem externen Datenschutzbeauftragten eine kostengünstige und transparente Möglichkeit geschaffen, dieser Verpflichtung nachzukommen -> Angebot anfordern. Doch selbst ohne Bestellpflicht stehen wir beratend zu den Themen Datensicherheit und Datenschutz für Ihr Unternehmen zur Verfügung. Sprechen Sie uns einfach an.

Unternehmen sicher machen, Fördermittel nutzen

Übrigens können Teile unserer Beratungsleistungen mit Fördermitteln aus dem ESF bezuschusst werden — nutzen Sie doch diese Gelegenheit, Ihr Unternehmen überprüfen zu lassen und sicherer zu machen.

“Rekordstrafe” für Datenschutzverstoß von Google

von Sascha Kuhrau
13. August 2012

Die letzten Tage wurde oft über eine Rekordstrafe für Google aufgrund eines Datenschutzverstoßes berichtet. Dem Konzern wurde vorgeworfen, einen Schutzmechanismus in Apples Browser Safari bewußt umgegangen zu haben. Damit konnte trotz einer möglichen anderen Einstellung des Nutzers dieser durch den Konzern dennoch getrackt werden. Dafür wurde Google nun in den USA zur Zahlung von 22,5 Millionen Dollar (ca. 18,3 Millionen Euro) verdonnert. Das klingt erst mal viel, gerade wenn man die in Deutschland verhängten Bußgelder betrachtet. In Anbetracht eines Gewinns von 2,8 Milliarden Dollar alleine von April bis Juni 2012 ist dieser Betrag wenig rekordverdächtig.