Strafe

Was kostet ein externer Datenschutzbeauftragter?

von Sascha Kuhrau
22. April 202030. November 2020
4 Kommentare

“Es kommt darauf an” — Was kostet ein externer Datenschutzbeauftragter?

“Was kostet ein externer Datenschutzbeauftragter?”, diese Frage wird desöfteren per Email oder als Blog-Kommentar an uns herangetragen. Eine nachvollziehbare Frage, gerade wenn das eigene Unternehmen unter die gesetzliche Bestellpflicht für einen Datenschutzbeauftragten fällt. Und gerade in wirtschaftlich anstrengenden Phasen sind die Kosten ein relevanter Faktor. Sind keine weiteren Angaben vorhanden, dann fällt die Beantwortung in etwa so leicht wie die von Fragen wie

Was kostet ein Auto?
Wie teuer ist es, ein Haus zu bauen?
Wie viel muss ich für den nächsten Sommerurlaub bezahlen?

Die ehrliche Antwort auf die Frage nach den Kosten für einen externen Datenschutzbeauftragten kann in diesem Fall nur lauten: “Es kommt darauf an!”

Auf was kommt es bei den Kosten für einen externen Datenschutzbeauftragten an?

Datenschutz ist kein Produkt von der Stange, auch wenn das eine oder andere reißerische Billigheimer-Angebot das glauben machen will. Datenschutz ist stets eine individuelle Leistung maßgeschneidert auf Ihre Organisation. Jede Unternehmung verfügt über eine eigene Ausgangssituation (Status Quo wie Anzahl der Mitarbeiter, Filialen, Betriebsrat, Richtlinien etc.), unterschiedliche Ressourcen zur Umsetzung, eine Vielfalt an zu betrachtenden Faktoren (beispielsweise die unterschiedlichsten IT-Lösungen) und ein notwendiges Schutzniveau je nach Branche und Art der personenbezogenen Daten in der Organisation.

All diese Punkte bedeuten ein Mehr oder Weniger an Aufwand in der Umsetzung und Betreuung im Rahmen der Aufgaben eines Datenschutzbeauftragten nach Art. 39 DSGVO. Sie wirken sich demnach direkt auf die entstehenden Kosten aus. Umso wichtiger ist es, möglichst viele dieser Aspekte zu kennen, um die eingangs genannte Frage seriös und vor allem ohne spätere Preisnachverhandlungen beantworten zu können. Zu diesem Zweck können Sie unser komfortables Online-Formular nutzen und damit Ihr Angebot anfordern. Ihre Angaben werden selbstverständlich vertraulich behandelt.

Wussten Sie schon, dass zahlreiche unserer Leistungen aus offiziellen Fördermitteln bezuschusst werden können? Hier erfahren Sie mehr über Fördermöglichkeiten und Zuschüsse für Beratungsleistungen Datenschutz & Informationssicherheit von a.s.k. Datenschutz. Ein weiterer Faktor, der Sie unterstützt, die Belastung für die Kosten eines externen Datenschutzbeauftragten gering zu halten.

Wie geht a.s.k. Datenschutz als externe Datenschutzbeauftragte vor?

Im Rahmen eines ein- bis mehrtägigen Datenschutz-Audits vor Ort (zu Corona-Zeiten erst mal nur remote) wird der Status Quo des Datensicherheit- und Datenschutz-Niveaus Ihrer Organisation ermittelt. Klar definierte Fragenkataloge zusammen mit Einzel- und Gruppengesprächen ergeben ein deutliches Bild und bilden die Grundlage für alle weiteren Aktivitäten. Nach Auswertung des Audits und der Gespräche steht ein Katalog von Maßnahmen und Empfehlungen fest, mit dessen Umsetzung die gesetzlich vorgeschriebenen Notwendigkeiten in Ihrem Unternehmen sichergestellt werden. Der Katalog wird in der sog. “Einführungsphase” gemeinsam unter Zuhilfenahme eines Online Projekt Tools umgesetzt. Der Aufwand für diese Phase wird in Manntagen gemäß Ihren Angaben kalkuliert und abgerechnet. Zumeist ist ein Pauschalpreis vereinbart, der alle Leistungen dieser Phase umfasst. Beachten Sie mögliche Fördermittel und Zuschüsse.

Nachdem in der Einführungsphase die notwendige Basis geschafften wurde, schließt sich nun die “Betreuungsphase” als externer Datenschutzbeauftragter an. Diese umfasst einmalige und wiederkehrende Aufgaben wie sie Artikel 39 DSGVO vorsieht. Selbstverständlich haben wir diese Aufgaben um einige weitere Tätigkeiten für Sie ergänzt, sofern dadurch keine Interessenskonflikte zu den Kernaufgaben des Datenschutzbeauftragten entstehen. Zu den Aufgaben lesen Sie mehr in unserem separaten Blog-Beitrag.

Was kostet es Sie auf jeden Fall …

… wenn Sie keinen Datenschutzbeauftragten benennen, obwohl Sie gesetzlich dazu verpflichtet sind.

Bußgeld (Ausnahme: öffentliche Stellen)
Ihren guten Ruf z.B. bei Datenpannen
Viel Ärger mit der Aufsichtsbehörde

Internen oder externen Datenschutzbeauftragten bestellen?

Die Vorteile einer externen Bestellung liegen für kleine und mittelständische Unternehmen aber auch Kommunen klar auf der Hand. Dabei spielen nicht nur die kalkulierbaren und überschaubaren Kosten eine große Rolle. Ihre Organisation profitiert spürbar vom Einsatz eines externen Datenschutzbeauftragten.

Datenpanne: Offener Newsletter-Verteiler führt zu Bußgeld — Augen auf beim Direktmarketing

von Sascha Kuhrau
21. August 2017
2 Kommentare

Schon jedem Mal passiert — Newsletter oder Email an viele Empfänger verschickt

Sie kennen das bestimmt aus Ihrem eigenen Arbeitsalltag. Eine wichtige Nachricht soll per Email oder Newsletter verteilt werden. Mail- oder Newsletter-Programm geöffnet, Text geschrieben, aus dem Adressbuch schnell die Empfänger zusammengeklickt oder komfortabel eine Verteiler-Liste genutzt und auf Senden gedrückt. Auf Seiten des Empfängers werden sich dann die Augen gerieben. Stehen doch alle Email-Empfänger im Klartext im AN:/TO: Feld der Email. Ordentlich wie der Absender seine Adressen gepflegt hat, akkurat mit Vor‑, Nachname und Email-Adresse. Üblicherweise macht man den Absender freundlich auf sein Missgeschick aufmerksam und läßt es darauf beruhen.

Offene Newsletter-Verteiler kommen nicht immer gut an

Die Mitarbeiterin eines bayerischen Handelunternehmens hatte weniger Glück. Sie schrieb eine solche Email an Kunden des Unternehmens. Kurzer Inhalt, nette Geste. Jedoch leider standen vor dem eigentlichen Text (halbe DIN A4 Seite) über neun (9!) Seiten Email-Adressen im Klartext. Einem oder mehreren Empfängern mißfiel dies und der Stein des Anstoßes wurde an die zuständige bayerische Landesdatenschutzbehörde weitergeleitet.

Landesdatenschutzbehörde prüft offene Newsletter-Verteiler und verhängt Bußgeld

Das Bayerische Landesamt für Datenschutzaufsicht (kurz BayLDA) hat in der Vergangenheit bereits mehrfach über die eigene Webseite und auf Veranstaltungen vor und mit Unternehmen auf die datenschutzrechtliche Unzulässigkeit eines solchen Vorgangs hingewiesen. Name plus Email- Adresse sind personenbezogenen Daten im Sinne des Bundesdatenschutzgesetzes (BDSG). Eine Übermittlung (nichts anderes stellt eine Email dar) ist daher nur zulässig, wenn der Betroffene (also der eigentliche Email-Inhaber) explizit in die Übermittlung an Dritte schriftlich eingewilligt hat oder eine gesetzliche Grundlage vorliegt. Beides ist im Falle einer solchen Panne sicher nicht der Fall. Die Verwendung des offenen Email-Verteilers (also das Eintragen der Empfänger in das AN:/TO: Feld) stellt somit einen Datenschutzverstoß dar. Aufgrund der Menge der betroffenen Email-Adressen sah das BayLDA von einem reinen Verweis auf die rechtliche Unzulässigkeit ab. Stattdessen wurde ein Bußgeld verhängt, das nun nach Verstreichen der Widerspruchsfrist rechtswirksam geworden ist.

Doch wer zahlt jetzt das Bußgeld für den offenen Newsletter-Verteiler?

In diesem konkreten Fall wurde das Bußgeld gegen die Mitarbeiterin verhängt. Ob der Arbeitgeber für Sie einspringt, ist nicht bekannt. Das BayLDA teilte jedoch mit, daß es in einem ähnlichen Fall in zu einem Bußgeld gegen ein weiteres Unternehmen kam. Da hier die Mitarbeiter seitens der Unternehmensleistung nicht oder nicht ausreichend für das Thema sensibilisiert wurden, hatte nun das Unternehmen selbst für den Fauxpas mit dem offenen Email-Verteiler geradezustehen.

Aufklärung ist Pflicht — Sorgfältiger Umgang mit Newslettern-Verteilern vermeidet Bußgelder

Um solche Vorfälle von vornherein zu vermeiden und das Eintrittsrisiko zu senken, sollten Sie Ihre Mitarbeiter regelmäßig für dieses Thema sensibilisieren. Gerne können Sie hierfür diesen Blogbeitrag einsetzen. Was ist zu beachten? Weisen Sie darauf hin, solche Rundmails stets über das Feld BCC, also Blind Carbon Kopie zu adressieren. Die Nutzung von TO: und CC: (Carbon Copy) wird stets den selben rechtlichen Sachverhalt mit allen Konsequenzen auslösen. Bei kleineren falsch genutzten Verteilern kann es bei einer Verwarnung bleiben, das ist jedoch nicht garantiert.

Fragen Sie doch Ihren Datenschutzbeauftragten

Zum richtigen Umgang mit personenbezogenen Daten im Rahmen des Direktmarketings hilft Ihnen kompetent Ihr Datenschutzbeauftragter weiter. Sie haben keinen? Dann sollten Sie sich darum kümmern, da eine gesetzliche Bestellpflicht vorliegen kann. Sprechen Sie uns unverbindlich und kostenfrei an!

Wozu Big Brother Container? Waschanlage reicht!

von Sascha Kuhrau
14. August 2014
1 Kommentar

Personal, aber auch Kunden standen im Fokus einer ausgedehnten Videoübewachung der Essener Autowaschkette Mr. Wash. In 8 von 33 Filialen wurden 60 Kameras nicht rechtskonform betrieben. Das war dem NRW-Landesbeauftragten für Datenschutz ein Bußgeld in Höhe von 64.000 Euro wert, meldet WAZ. Dabei kam der Kette zu Gute, sich bei den Ermittlungen im Verfahren “kooperativ” verhalten zu haben.

Interessant ist die Aufteilung des Bußgeldes. 54.000 Euro wurden wegen des schweren Verstoßes gegen das Bundesdatenschutzgesetz durch die Videoüberwachung verhängt. Die restlichen 10.000 Euro wurden dafür fällig, bisher keinen Datenschutzbeauftragten bestellt zu haben, obwohl die gesetzliche Bestellpflicht vorlag.

In unserem Datenschutz Blog finden Sie einen Beitrag zur umsichtigen und rechtskonformen Umsetzung einer Videoüberwachung.

Planen Sie die Installation einer Videoüberwachungsanlage? Haben Sie bereits eine solche Lösung im Einsatz und sind sich über die Rechtskonformität im Unklaren? Dann fragen Sie doch Ihren Datenschutzbeauftragten. Sie haben keinen? Sprechen Sie uns an.

Sony wehrt sich gegen Geldstrafe wegen Hackerangriffs auf sein Playstation Network

von Sascha Kuhrau
28. Januar 2013

2011 ging das Ereignis als bisher größte Datenpanne der Geschichte durch die Medien (wir berichteten). Hackern gelang es, über 75 Millionen Kundendaten aus dem Sony Netzwerk zu entwenden, darunter Namen, Anmeldedaten und Zahlungsangaben. In weiteren nachfolgenden Hacker-Attacken wurden weitere Millionen Datensätze entwendet mit teilweise noch ausführlicheren Nutzerangaben.

Das Krisenmanagement des Konzern war durchaus als suboptimal einzustufen — siehe Bericht. Aufgrund des Firmensitzes in Japan wog man sich jedoch in Sicherheit vor der Verfolgung durch die Schutzbehörden. Doch damit ist nun Schluss. Was nicht nur zahlreiche Politiker und Datenschützer, sondern auch gerade Kunden von Sony gefordert haben, hat die britische Datenschutzbehörde nun in die Tat umgesetzt. Sie verhängte eine Geldstrafe in Höhe von 300.000 Euro, gegen das Unternehmen. Begründung: Wer für so viele sensiblen Daten mit Mißbrauchspotential verantwortlich ist, muss dem Schutz dieser Daten oberste Priorität einräumen.

Sony hat Widerstand gegen die Strafe angekündigt, schließlich sei man “Opfer” einer kriminellen Attacke geworden. Das Unternehmen blendet dabei aus, dass es selbst erst durch Mängel in der IT Infrastruktur (schwache Passwörter, fehlende Sicherheitspatches) die Möglichkeit für diese mehrfachen Angriffe geschaffen hat. Thema verfehlt, Sechs, setzen!

Fragen Sie doch Ihren Datenschutzbeauftragten

Ihr Datenschutzbeauftragter muss kein IT Profi sein. Er wird jedoch ausreichend Fachwissen mitbringen, um unter anderem auch auf Sicherheitslücken durch schwache Passwörter oder nicht zeitnahe / fehlende Sicherheitspatches konsequent hinzuweisen. Lösungen lassen sich meist unkompliziert durch technische und / oder organisatorische Maßnahmen herbeiführen und das Schutzniveau weiter erhöhen. Seien Sie schlauer und sprechen Sie mit Ihrem Datenschutzbeauftragten. Vermeiden Sie Datenpannen und die damit verbundenen Bußgeldrisiken. Sie haben keinen Datenschutzbeauftragten? Wir helfen gerne weiter.

“Rekordstrafe” für Datenschutzverstoß von Google

von Sascha Kuhrau
13. August 2012

Die letzten Tage wurde oft über eine Rekordstrafe für Google aufgrund eines Datenschutzverstoßes berichtet. Dem Konzern wurde vorgeworfen, einen Schutzmechanismus in Apples Browser Safari bewußt umgegangen zu haben. Damit konnte trotz einer möglichen anderen Einstellung des Nutzers dieser durch den Konzern dennoch getrackt werden. Dafür wurde Google nun in den USA zur Zahlung von 22,5 Millionen Dollar (ca. 18,3 Millionen Euro) verdonnert. Das klingt erst mal viel, gerade wenn man die in Deutschland verhängten Bußgelder betrachtet. In Anbetracht eines Gewinns von 2,8 Milliarden Dollar alleine von April bis Juni 2012 ist dieser Betrag wenig rekordverdächtig.

Irrtümer im Datenschutz (Teil 2): Ein Datenschutzbeauftragter ist zu teuer und daher kann auf die Bestellung verzichtet werden

von Sascha Kuhrau
12. Juli 2012

Irrtümer im Datenschutz (Teil 2)

Weiter geht es mit dem zweiten Teil der Serie “Irrtümer im Datenschutz”. Nicht auszurotten ist ein Gerücht, auf das ich im Rahmen von zahlreichen Beratungsgesprächen immer wieder stoße. Hier wird argumentiert, auf die Bestellung eines gesetzlich vorgeschriebenen Datenschutzbeauftragten kann verzichtet werden, wenn die dafür anfallenden Kosten für das Unternehmen nicht zumutbar sind.

Was sagt das Bundesdatenschutzgesetz (BDSG) dazu?

Die gesetzliche Bestellpflicht für einen Datenschutzbeauftragten regelt § 4f Absatz 1 Beauftragter für den Datenschutz BDSG.

(1) Öffentliche und nicht-öffentliche Stellen, die personenbezogene Daten automatisiert verarbeiten, haben einen Beauftragten für den Datenschutz schriftlich zu bestellen. Nicht-öffentliche Stellen sind hierzu spätestens innerhalb eines Monats nach Aufnahme ihrer Tätigkeit verpflichtet.

Weiter führt § 4f BDSG aus

Die Sätze 1 und 2 gelten nicht für die nichtöffentlichen Stellen, die in der Regel höchstens neun Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.

Damit ist klar definiert: Unternehmen mit mehr als 9 Mitarbeitern, die mittels EDV mit personenbezogenen Daten zu tun haben, sind gesetzlich zur Bestellung eines Datenschutzbeauftragten verpflichtet — und zwar bis spätestens 4 Wochen nach Aufnahme der Geschäftstätigkeit.

Zumutbarkeit?

Von einer Zumutbarkeit ist an dieser Stelle nicht die Rede. Im Gegenteil! § 4f Absatz 1 BDSG führt sogar noch weitere Verpflichtungskriterien an:

Soweit aufgrund der Struktur einer öffentlichen Stelle erforderlich, genügt die Bestellung eines Beauftragten für den Datenschutz für mehrere Bereiche. Soweit nicht-öffentliche Stellen automatisierte Verarbeitungen vornehmen, die einer Vorabkontrolle unterliegen, oder personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung automatisiert verarbeiten, haben sie unabhängig von der Anzahl der mit der automatisierten Verarbeitung beschäftigten Personen einen Beauftragten für den Datenschutz zu bestellen.

Auch hier ist keine Rede von einer Zumutbarkeit für Unternehmen. Bestellpflicht ist Bestellpflicht! Jedoch gestattet der Gesetzgeber mit § 4f Absatz 2 BDSG eine externe Bestellung:

Zum Beauftragten für den Datenschutz kann auch eine Person außerhalb der verantwortlichen Stelle bestellt werden; die Kontrolle erstreckt sich auch auf personenbezogene Daten, die einem Berufs- oder besonderen Amtsgeheimnis, insbesondere dem Steuergeheimnis nach § 30 der Abgabenordnung, unterliegen

Diese Möglichkeit bietet gerade kleinen und mittleren mittelständischen Unternehmen ein hohes Maß an Flexibilität, Kostentransparenz und auch Einsparpotential. Denn die Bestellung eines externen Datenschutzbeauftragten bringt zahlreiche Vorteile für ein Unternehmen mit sich.

Die Vorteile des externen Datenschutzbeauftragten

Ein intern bestellter Datenschutzbeauftragter ist nicht weisungsgebunden und frei in seiner Zeiteinteilung. Er genießt einen erweiterten Kündigungsschutz und kann nicht einfach so abberufen werden. Gleichzeitig trägt das Unternehmen die Kosten für Aus- und Weiterbildung (diese ist gesetzlich vorgeschrieben) und muss Raum und Material zur Verfügung stellen. Ein interner Datenschutzbeauftragter bringt keinen Versicherungsschutz mit sich. Kostentransparenz und Kostenkontrolle Fehlanzeige!

Bestellen Sie jedoch einen externen Datenschutzbeauftragten, liegen die Vorteile klar auf der Hand. Dieser Externe arbeitet im Rahmen eines Projektauftrags. Die Kosten sind transparent und überschaubar. Seine Bestellung kann widerrufen werden, besonderen Kündigungsschutz kennt ein externer Vertrag nicht. Die Kosten für seine Aus- und Weiterbildung trägt der Externe selbst, ebenso wie für die notwendige Ausstattung mit Software (Lizenzen), Literatur und sein Büro. Ein externer Datenschutzbeauftragter verfügt über ausreichenden Versicherungsschutz, welcher sich auf seine Tätigkeit für das Unternehmen erstreckt (lassen Sie sich diese stets nachweisen!!). Zielkonflikte sind durch die Ausgliederung kein Thema. Als Sahnehäubchen erhält Ihr Unternehmen Zugriff auf dessen branchenübergreifendes Know How.

Wer nicht, zu spät oder pro forma bestellt, setzt sich einem erheblichen Bußgeldrisiko bis 50.000 Euro aus.

Überzeugt? Dann vereinbaren Sie doch gleich in unverbindliches und kostenloses Erstberatungsgespräch!

[vfb id=3]

Lesen Sie hier die anderen Teile der Serie “Irrtümer im Datenschutz”:

Teil 1: Irrtümer im Datenschutz (Teil 1): Datenschutz betrifft mein Unternehmen nicht
Teil 2: Irrtümer im Datenschutz (Teil 2): Ein Datenschutzbeauftragter ist zu teuer und kann auf die Bestellung verzichtet werden
Teil 3: Irrtümer im Datenschutz (Teil 3): Wir haben keine schützenswerten Daten im Unternehmen

Irrtümer im Datenschutz (Teil 1): Datenschutz betrifft mein Unternehmen nicht

von Sascha Kuhrau
12. Juli 2012

Irrtümer im Datenschutz

Willkommen zum ersten Teil unserer Serie “Irrtümer im Datenschutz”. Datenschutz ist in aller Munde, doch kaum jemand kennt das dahinterstehende Bundesdatenschutzgesetz (BDSG). Dabei ist das Datenschutzgesetz auf Bundesebene nicht mehr das Jüngste, existiert es doch bereits seit 1977.

Erstaunlicherweise herrscht über das Thema Datenschutz in der Praxis meist ein risikoreiches Halbwissen. Die Existenz oder die Inhalte des BDSG sind selten konkret bekannt, Aufklärung seitens des Gesetzgebers zu diesem Thema erfolgt bedauerlicherweise ebenfalls keine. Unternehmen und Unternehmer sind auf sich alleine gestellt, wenn es um die rechtliche Auseinandersetzung mit dem Thema Datenschutz und dessen konkrete (vorgeschriebenen) Maßnahmen im Betrieb geht. Was Wunder, wenn Datenschutz im Tagesgeschäft einen geringen Stellenwert einnimmt.

Es kann teuer werden

Im Jahr 2009 hat der Gesetzgeber die Strafen und Sanktionen für Nichteinhaltung der gesetzlichen Datenschutzvorschriften durch Unternehmen verschärft. Konkret werden diese in § 43 BDSG Bußgeldvorschriften und § 44 BDSG Strafvorschriften ähnlich dem aus der Straßenverkehrsordnung bekannten Bußgeldkatalog aufgelistet. Neben Auflagen durch die Landesdatenschutzbehörden können Unternehmer und Unternehmen schnell einem Bußgeldrisiko von bis zu 300.000 Euro ausgesetzt sein — und das sogar ganz ohne Datenpanne. Unwissenheit schützt auch hier vor Strafe nicht.

“Datenschutz und Datenschutzgesetz betreffen mein Unternehmen überhaupt nicht”

Weit gefehlt, denn in jedem Unternehmen wird für gewöhnlich mit personenbezogene Daten hantiert (der Gesetzgeber spricht von Erheben, Verarbeiten und Nutzen). Sind es nicht die Daten von Kunden und Geschäftspartnern, so existieren doch zumeist noch Mitarbeiterdaten im Unternehmen — und diese gelten rechtlich als “sensitiv” und damit besonders schützenswert. Doch schauen wir auf das Bundesdatenschutzgesetz:

Bereits § 1 BDSG Zweck und Anwendungsbereich des Gesetzes macht klar, was das Datenschutzgesetz schützt und wen es betrifft.

(1) Zweck dieses Gesetzes ist es, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird.

(2) Dieses Gesetz gilt für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch

3. nicht-öffentliche Stellen, soweit sie die Daten unter Einsatz von Datenverarbeitungsanlagen verarbeiten, nutzen oder dafür erheben oder die Daten in oder aus nicht automatisierten Dateien verarbeiten, nutzen oder dafür erheben, es sei denn, die Erhebung, Verarbeitung oder Nutzung der Daten erfolgt ausschließlich für persönliche oder familiäre Tätigkeiten.

Betrachten wir die Definition nicht-öffentlicher Stellen:

§ 2 Öffentliche und nicht-öffentliche Stellen

(4) Nicht-öffentliche Stellen sind natürliche und juristische Personen, Gesellschaften und andere Personenvereinigungen des privaten Rechts, soweit sie nicht unter die Absätze 1 bis 3 fallen. Nimmt eine nicht-öffentliche Stelle hoheitliche Aufgaben der öffentlichen Verwaltung wahr, ist sie insoweit öffentliche Stelle im Sinne dieses Gesetzes.

Somit ist klar, die Annahme “Datenschutz und Datenschutzgesetz betreffen mein Unternehmen überhaupt nicht” gehört ins Reich der Mythen und Irrtümer! Sollten Sie bisher mit Ihrem Unternehmen (auch als Ein-Mann-Betrieb) nach dieser Fehleinschätzung agiert haben, lohnt ein Blick in § 43 ff BDSG zwecks Identifikation der Bußgeldrisiken, denen Sie sich und Ihrem Unternehmen ausgesetzt haben.

Licht am Horizont

Bevor Sie sich nun selbst in die juristischen Untiefen des Bundesdatenschutzgesetzes stürzen und Aktivitäten entwickeln, fragen Sie einfach den Fachmann — a.s.k. Datenschutz. Mittels standardisierter Prüf- und Auditierungsverfahren identifizieren wir gemeinsam mit Ihnen schnell, unbürokratisch und zuverlässig die notwendigen Maßnahmen, die für eine gesetzeskonforme Umsetzung des Datenschutzes in Ihrem Unternehmen sorgen. Selbstverständlich unterstützen wir Sie ebenfalls aktiv bei der internen Umsetzung und betreuen Sie im Anschluß als sog. externer Datenschutzbeauftragter, wenn die Überprüfung das Vorliegen einer Bestellpflicht ergibt.

Vertrauen Sie langjähriger Erfahrung aus der bundesweiten Beratung und Betreuung kleiner und großer Unternehmen aus den unterschiedlichsten Branchen und profitieren Sie von diesem übergreifenden Know-How.

Nutzen Sie einfach unseren Rückruf-Service, wir melden uns garantiert! Oder fordern Sie doch gleich Ihr unverbindliches Angebot für einen externen Datenschutzbeauftragten an.

Lesen Sie hier die anderen Teile der Serie “Irrtümer im Datenschutz”:

Kein Datenschutz aus Kostengründen? Das muss nicht sein

von Sascha Kuhrau
5. Januar 2012

Ein Experte der IHK Regensburg für Oberpfalz/Kelheim äußert sich aktuell folgendermaßen: „Gerade für kleinere Betriebe ist es vermutlich schwierig, auch die entsprechenden finanziellen Mittel für den Datenschutz aufzubringen, um immer alle Bestimmungen einzuhalten.“ Der Datenschutzbeauftragte der IHK für Niederbayern in Passau schiebt nach: „Bei vielen Unternehmen besteht eine erhebliche Rechtsunsicherheit, wie sie mit den Daten ihrer Kunden umgehen sollen.“

Kein Datenschutz aus Kostengründen oder Unsicherheit? Das muss nicht sein!

Der Gesetzgeber unterstützt

Mit § 4f BDSG (Bundesdatenschutzgesetz) schreibt der Gesetzgeber die Voraussetzungen für die gesetzliche Bestellpflicht eines Datenschutzbeauftragten vor. Wohl wissend, dass ein interner Datenschutzbeauftragter für viele mittelständische Betriebe keine Ideallösung ist (erweiterter Kündigungsschutz, mangelnde Kostentransparenz und Kontrolle, siehe diesen Beitrag), bietet das BDSG auch gleich in Absatz 2 die passende Lösung an — “Zum Beauftragten für den Datenschutz kann auch eine Person außerhalb der verantwortlichen Stelle bestellt werden.”

Viele Vorteile sprechen für Outsourcing

Wer die Vor- und Nachteile des Einsatzes eines internen oder externen Datenschutzbeauftragten gegenüberstellt, wird die unternehmerischen und zahlreichen Vorteile der externen Bestellmöglichkeit für einen Datenschutzbeauftragten klar erkennen. Beispielhaft seien hier kurz angeführt

Volle Kostenkontrolle und Transparenz
Wegfall des erweiterten Kündigungsschutzes
Übergreifendes, interdisziplinäres Branchen-Know-How des externen Spezialisten
Wegfall der internen Kosten für Grundausbildung, Fort- und Weiterbildung, Literatur, Material und Räumlichkeiten
Weitere Vorteile können Sie in diesem Beitrag kennenlernen

„Bei vielen Betrieben gibt es den Datenschutzbeauftragten nur auf dem Papier. Besonders für kleinere Betriebe kann es ein Problem sein, Mitarbeiter in den eigenen Reihen zu finden, die die nötige Qualifikation, Zeit und Erfahrung für diese Aufgabe haben“, vermutet Bernhard Matula, Datenschutzbeauftragter der Handwerkskammer Niederbayern/Oberpfalz.

Vermeiden Sie Bußgelder und Auflagen

Doch weder die eigene Unsicherheit im Umgang mit diesem Thema noch die Kosten gelten als Ausrede, sollte die Nichtbestellung eines Datenschutzbeauftragten bei vorliegender Bestellpflicht aktenkundig werden. Empfindliche Bußgelder drohen, die es zu vermeiden gilt. Wie Sie das machen? Fordern Sie doch einfach noch heute ihr unverbindliches Angebot für einen externen Datenschutzbeauftragten an.

Ich freue mich auf Sie
Sascha Kuhrau

Hilfreiche Links

Wollen Sie die Risiken aus dem Bundesdatenschutzgesetz für Ihr Unternehmen minimieren? Eine passende Lösung finden Sie sicher in unserem Leistungsangebot.
Unsicher, ob für Ihr Unternehmen die gesetzliche Bestellpflicht für einen (externen) Datenschutzbeauftragten vorliegt? Die Antwort gibt unser Datenschutz-Quick-Check, siehe Leistungen.
Sie wollen eine unabhängige Prüfung, wie gut es um Datenschutz und Datensicherheit in Ihrem Unternehmen bestellt ist? Kein Problem mit unseren Leistungen.
Schulungsbedarf für Ihre Mitarbeiter? Zusätzliche Trainings und Workshops rund um Datenschutz und Datensicherheit? Erfahren Sie mehr über unsere Schulungen und Seminare.
Anleitungen, Ratgeber und Links, die das tägliche Arbeiten erleichtern und helfen können, Datenpannen zu vermeiden, finden Sie in der Rubrik Anleitungen / Ratgeber.

Easycash GmbH zahlt 60000 Euro Bußgeld

von Sascha Kuhrau
22. September 2011

Die Easycash GmbH zahlte für die unberechtigte Weitergabe von Kontodaten — siehe “Easycash sammelt Daten von EC-Karteninhabern zwecks Bewertung der Zahlungsfähigkeit” und “Hamburger Datenschützer stellt Strafantrag gegen easycash Loyalty Solutions” — ein Bußgeld in Höhe von 60.000 Euro.

Der zuständige Datenschutzbeauftragte von Nordrhein-Westfalen, Ulrich Lepper kommentiert sein Vorgehen: “Wer Zahlungsvorgänge quasi als Treuhänder für Einzelhandelsunternehmen abwickelt, muss besonders sorgfältig mit diesen Daten umgehen. Er darf so sensible Daten über Zahlungsverhalten und Kontoverbindungen, die durchaus auch Profilbildungen erlauben würden, nicht für andere Zwecke an Dritte übermitteln. Deswegen musste ich hier einschreiten.”

Die Daten hatte Easycash an die in Hamburg ansässige Firma easycash Loyalty Solutions als Schwesterunternehmen vermittelt, das Kunden- und Bonusprogramme anbietet, und die Daten statistisch auswertete. Easycash wickelt im Auftrag von Einzelhändlern EC-Kartenzahlungen ab und verfügt daraus über zahlreiche Datensätze über Kartenzahlungsvorgänge. An das Schwesterunternehmen gab Easycash die Daten von rund 400.000 Zahlungsvorgängen weiter.

Nach Angaben von Lepper zeigte sich Easycash einsichtig und kooperativ. Das Bußgeld sei bereits bezahlt.

Quellen:

Hilfreiche Datenschutz-Links

Wollen Sie die Risiken aus dem Bundesdatenschutzgesetz für Ihr Unternehmen minimieren? Eine passende Lösung finden Sie sicher in unserem Leistungsangebot.
Unsicher, ob für Ihr Unternehmen die gesetzliche Bestellpflicht für einen (externen) Datenschutzbeauftragten vorliegt? Die Antwort gibt unser Datenschutz-Quick-Check, siehe Leistungen.
Sie wollen eine unabhängige Prüfung, wie gut es um Datenschutz und Datensicherheit in Ihrem Unternehmen bestellt ist? Kein Problem mit unseren Leistungen.
Schulungsbedarf für Ihre Mitarbeiter? Zusätzliche Trainings und Workshops rund um Datenschutz und Datensicherheit? Erfahren Sie mehr über unsere Schulungen und Seminare.
Anleitungen, Ratgeber und Links, die das tägliche Arbeiten erleichtern und helfen können, Datenpannen zu vermeiden, finden Sie in der Rubrik Anleitungen / Ratgeber.

Behörden mischen mit: Datenpanne bei Kfz-Steuer in Baden-Württemberg

von Sascha Kuhrau
23. Juni 2011
1 Kommentar

Nur nicht drängeln, jeder darf ein Mal

Das Behörden vor Datenschutzpannen nicht gefeit sind, zeigt das Land Baden-Württemberg und bringt etwas Abwechslung in die Liste aktueller Verursacher von Datenpannen.

Der Landesdatenschutzbeauftragte nahm dazu heute öffentlich auf seiner Webseite Stellung.

Freizügigkeit? Nicht bei der Steuerbemessung, jedoch bei der Datenübermittlung

Kfz-Steuerpflichtige Bürger trauten ihren Augen nicht. Der Abbuchungstext der fälligen Kfz-Steuer auf dem Kontoauszug enthielt neben den üblichen Angaben wie Namen des Steuerpflichtigen, Kfz-Kennzeichen und Steuersumme noch weitere Details parat: Angaben zu Steuernummern und Umsatzsteuer anderer Bürger und Unternehmen sowie zur Religionszugehörigkeit.

Fehlende Rechtsgrundlage

Keine noch so wohlwollende Bewertung des Vorgangs wird eine rechtliche Legitimation dieser umfassenden Datenübermittlung an die mit dem Lastschriftverfahren beauftragten Kreditinstitute hervorbringen. Die Übermittlung fand in der Zeit vom 17. Juni bis 20. Juni 2011 statt. Das Lastschriftverfahren wurde umgehend gestoppt.

Die Software ist schuld

Der Übeltäter war schnell gefunden. Nach dem Update der genutzten Software ist der Fehler aufgetreten. Im Umkehrschluß bedeutet dies jedoch, die Verantwortlichen haben Ihre Kontrollfunktion nicht richtig wahrgenommen. Softwareaktualisierungen sind vor dem Einspielen in Produktivsysteme ausführlich und gewissenhaft zu testen. Einerseits werden dadurch Sicherheitsrisiken für die Systeme sowie Datenverlust und letztendlich auch solche Datenpannen vermieden. Systeme mit sensiblen Daten sollten stets nach dem Mehr-Augen-System geprüft werden.

Vermeidbar?

Fehler können jedem passieren, alle Beteiligten sind auch nur Menschen. Von daher sind solche Pannen nie auszuschließen. Jedoch kann das Risiko aktiv minimiert werden. Wie? Das erklärt Ihnen gerne Ihr Datenschutzbeauftragter. Sie haben keinen? Dann sprechen Sie uns an, bevor Sie bei einer möglichen Bestellpflicht auch ganz ohne Datenpannen einem berächtlichen Bußgeldrisiko ausgesetzt sind.

Update

Zu diesem Beitrag erreichte uns eine Email-Anfrage, die wir gerne öffentlich ohne Nennung des Anfragenden beantworten. Die Frage lautete knapp: “Wieso müssen Behörden keine Bußgelder bezahlen, wenn gegen Datenschutzbestimmungen verstoßen wird?”

Ohne auf rechtliche Hintergründe eingehen zu wollen, werfen wir einen Blick auf das Rechte-Tasche-Linke-Tasche-Prinzip. Eine Behörde als öffentliche Einrichtung würde das Bußgeld aus der Staats- oder Landeskasse (je nach Ebene) in die Staats- oder Landeskasse bezahlen. Wo würde da der angedachte Strafcharakter bleiben?

Strafe

“Es kommt dar­auf an” — Was kos­tet ein exter­ner Datenschutzbeauftragter?

Auf was kommt es bei den Kos­ten für einen exter­nen Daten­schutz­be­auf­trag­ten an?

Wie geht a.s.k. Daten­schutz als exter­ne Daten­schutz­be­auf­trag­te vor?

Was kos­tet es Sie auf jeden Fall …

Inter­nen oder exter­nen Daten­schutz­be­auf­trag­ten bestellen?

Schon jedem Mal pas­siert — News­let­ter oder Email an vie­le Emp­fän­ger verschickt

Offe­ne News­let­ter-Ver­tei­ler kom­men nicht immer gut an

Lan­des­da­ten­schutz­be­hör­de prüft offe­ne News­let­ter-Ver­tei­ler und ver­hängt Bußgeld

Doch wer zahlt jetzt das Buß­geld für den offe­nen Newsletter-Verteiler?

Aufklärung ist Pflicht — Sorg­fäl­ti­ger Umgang mit News­let­tern-Ver­tei­lern ver­mei­det Bußgelder

Fra­gen Sie doch Ihren Datenschutzbeauftragten