Zum Inhalt springen

Unternehmen

Här­te­res Vor­ge­hen der Daten­schutz­be­hör­den bei Wett­be­werbs­ver­stö­ßen angekündigt

Gera­de per­so­na­li­sier­te Wer­bung ist nach wie vor ein bewähr­tes Mit­tel, um Kun­den zu gewin­nen. In den let­zten Jah­re wur­den die Aufla­gen  immer stren­ger. Zumeist als Reak­ti­on auf aus­ufern­de Miß­ach­tung bestehen­der gesetz­li­cher Rege­lun­gen durch die Werbetreibenden.

Mit dem Gesetz gegen den unlau­te­ren Wet­tbe­werb (UWG) und den Bes­tim­mungen aus dem Bun­des­daten­schutzge­setz (BDSG) gilt es eini­ges zu beach­ten. Nicht nur, um sich nicht den Unmut der poten­tiellen Käu­fer zuzu­zie­hen, weil deren Rech­te nicht beach­tet wur­den. Die Auf­merk­sam­keit der Lan­des­da­ten­schutz­be­hör­den soll­te man eben­falls zukünf­tig nicht erre­gen. Von dro­hen­den Abmah­n­risiken mal ganz zu schweigen.

Da ist es auch wenig tröst­lich, dass dies nur auf eini­ge schwar­ze Scha­fe unter den Wer­be­treiben­den zurück­zuführen ist. Lei­den müs­sen dar­un­ter alle, die auf Wer­bung ange­wie­sen sind.

Zu allem Über­fluss haben die Daten­schutzbe­hör­den das The­ma nun auch für sich entdeckt!

Es bleibt nicht unbemerkt

Recht­li­che Ver­stö­ße blei­ben nicht unbe­merkt. Denn selbst wenn sich der Betrof­fe­ne nicht direkt bei dem Wer­be­trei­ben­den mel­det, so bleibt immer noch der Weg zur zustän­di­gen Lan­des­da­ten­schutz­be­hör­de offen. Und die­ser Weg wird auch beschritten.

In einer Pressemit­teilung vom 25.11.2014 des Bay­erischen Lan­desamt für Daten­schutza­uf­sicht heisst es:

“Im Jahr 2013 gin­gen beim BayL­DA zum The­ma unzuläs­sige Wer­bung 162 und im Jahr 2014 bis­her 149 Ein­ga­ben und Beschw­er­den ein. Mehr als zwei Drit­tel die­ser Beschw­er­den stell­ten sich nach Über­prü­fung durch das BayL­DA als begrün­det, d.h. als Daten­schutzver­stoß heraus.”

Feh­len­de oder feh­ler­haf­te Einwilligung

Im Tele­fon­mar­ket­ing wur­den das feh­len­de Vor­liegen einer gülti­gen Ein­willi­gung oder auch die Ruf­num­mern­un­ter­drü­ckung als Grund für das Ein­schrei­ten der Schutz­be­hör­de auf­ge­führt. Eine recht­skon­forme Ein­willi­gung ist jedoch eben­falls Voraus­set­zung für Werbe­maß­nah­men per Email oder SMS.

Oft kon­nten die ange­blich vor­liegen­den Ein­willi­gun­gen  durch das betrof­fene Unter­neh­men nicht schlüs­sig belegt wer­den. Postal­is­che Wer­bung ist weni­ger gro­ßen Aufla­gen unter­wor­den. Jedoch darf der Wider­ruf­sh­in­weis hier (auch) nicht fehlen.

Die unzuäs­sige Nut­zung von Email-Adres­sen und Tele­fon­num­mern für elek­tro­n­is­che Wer­bung sowie die Post­wer­bung trotz aus­drück­lich erk­lärtem Wer­be­wider­spruch stel­len Tat­be­stän­de dar, die mit einem Buß­geld von bis zu 300.000,00 EUR geah­n­det wer­den kön­nen. Und da  hat das UWG sich noch gar nicht mit sei­nen Kon­se­quen­zen zu Wort gemeldet.

Frü­her oder spä­ter krie­gen wir euch

So denkt es sich auch das BayL­DA im Ver­bund mit den übri­gen Lan­des­daten­schutzbe­hör­den. Es heißt in der Pressemit­teilung weiter:

“Nach­dem trotz inten­siver Infor­ma­tion­sar­beit durch alle Daten­schutza­uf­sichts­be­hör­den […] und auch guten Hin­weisen aus den Ver­bän­den der Wer­be­wirtschaft selbst die Zahl der begrün­de­ten Ein­ga­ben und Beschw­er­den wegen unzuläs­siger Wer­bung nicht zurück­ge­gan­gen ist, wird das BayL­DA die in der let­zten Zeit eher zurück­hal­tende Pra­xis der Ahn­dung die­ser Ver­stöße durch Bußgeld­ver­fahren auf­ge­ben und schw­er­punk­t­mäßig in der näch­sten Zeit die „Mis­sach­tung von Wer­be­wider­sprüchen“ und die unzuläs­sige „E‑Mail-Wer­bung zur Neukun­dengewin­nung“ mit Buß­gel­dern sanktionieren.”

Inter­es­sant ist der abschlie­ßen­de Aspekt die­ses State­ments, auf die üblicher­weise vorge­zo­ge­nen Aufla­gen zu Gun­sten von Buß­gel­dern zu ver­zich­ten. Die Behör­de wird bei dem The­ma also kei­nen Spaß mehr ver­ste­hen, hat es den Anschein.

Hil­festel­lung zum recht­skon­for­men Ein­satz per­so­n­en­be­zo­gener Daten gibt das BayL­DA in einem PDF Doku­ment schon seit ger­aumer Zeit (Anwen­dung­sh­in­weise zur Erhe­bung, Ver­ar­beitung und Nut­zung von per­so­n­en­be­zo­ge­nen Daten für werb­li­che Zwe­cke).

Sie kön­nen aber auch ein­fach Ihren Daten­schutzbeauf­tragten fra­gen. Die­ser hilft Ihnen auch beim Erstel­len rechts­gültiger Ein­willi­gun­gen. Unan­genehm ist näm­lich, dass Sie alle Daten löschen müs­sen, die Sie über eine ungül­ti­ge (also fehler­haft for­mulierte und gestal­tete) Ein­willi­gung an sich genom­men haben. Sie haben noch kei­nen Daten­schutz­be­auf­trag­ten? Spre­chen Sie uns an

Knack­punkt Geburtstagsliste

Wer kennt das nicht? Im Unter­neh­men hängt direkt über der Kaf­fee­ma­schi­ne eine Geburtstag­lis­te mit den Daten aller Mit­ar­bei­ter. Oder in Out­look ist der Kalen­der “Geburts­ta­ge der Mit­ar­bei­ter” öffent­lich für alle ver­füg­bar. Bei­de Ein­rich­tun­gen selbst­ver­ständ­lich top aktu­ell und zen­tral gepflegt durch die Per­so­nal­ab­tei­lung. Ein­ge­stellt, ein­ge­tra­gen, aus­ge­han­gen 🙂 Nett gemeint, doch nicht ganz ohne.

Der thü­rin­gi­sche Lan­des­da­ten­schutz­be­auf­trag­te hält die­se Vor­ge­hens­wei­se ohne gül­ti­ge Ein­wil­li­gung für nicht rechts­kon­form. Dies äußert er in sei­nem Jah­res­be­richt (Zeit­raum 12/11–12/13) für den nicht-öffent­li­chen Bereich (also Unter­neh­men und Ver­ei­ne) auf Sei­te 81.

Geburts­tags­da­ten von Mit­ar­bei­tern sind Arbeit­neh­mer­da­ten. Daher ist sei­ner Mei­nung nach § 32 BDSG Daten­er­he­bung, ‑ver­ar­bei­tung und ‑nut­zung für Zwe­cke des Beschäf­ti­gungs­ver­hält­nis­ses anzu­wen­den. Die dar­in genann­ten Nut­zungs­zwe­cke Begrün­dung, Durch­füh­rung und Been­di­gung des Arbeits­ver­hält­nis­ses geben eine Legi­ti­ma­ti­on der Daten­nut­zung für eine öffent­li­che Geburts­tags­lis­te nicht her. Von daher ist nach sei­nem Dafür­hal­ten die aus­drück­li­che Ein­wil­li­gung jedes ein­zel­nen Mit­ar­bei­ters erfor­der­lich. Dabei ist es uner­heb­lich, ob die Anga­be mit oder ohne Geburts­jahr erfolgt.

Für die kor­rek­te For­mu­lie­rung einer Ein­wil­li­gung fra­gen Sie doch ein­fach Ihren Daten­schutz­be­auf­trag­ten. Sie haben kei­nen? Spre­chen Sie uns an.

War­um ist Daten­schutz für Unter­neh­men und Behör­den wichtig?

Haben Sie sich auch schon die­se Fra­ge gestellt? Sascha Kuhr­au, Inha­ber des bun­des­weit täti­gen Bera­tungs­un­ter­neh­mens a.s.k. Daten­schutz gibt Antworten.

Herr Kuhr­au, ist Daten­schutz ein Modethema?

Mit­nich­ten! Schau­en Sie ein­fach auf die His­to­rie des Daten­schutz­rechts in Deutsch­land und der EU. 1977 hat­ten wir das ers­te Bun­des­da­ten­schutz­ge­setz (BDSG) in Deutsch­land, seit 1995 gibt es auf EU Ebe­ne ver­bind­li­che Regeln für alle Mitgliedsstaaten.

Wen betrifft die­ses Bundesdatenschutzgesetz?

Das ist ganz ein­fach. Jedes Unter­neh­men, jeden Gewer­be­trei­ben­den, jeden Frei­be­ruf­ler, jede Behör­de und auch jeden Ver­ein, sofern dort per­so­nen­be­zo­ge­ne Daten vor­lie­gen und ver­ar­bei­tet werden.

Man soll­te auch nicht dem Irr­tum unter­lie­gen, ein eige­nes Stan­des­recht wür­de das Daten­schutz­ge­setz erset­zen. Obwohl die Aus­sa­ge der Geset­ze hier klar ist, muss­ten mitt­ler­wei­le Gerich­te bestä­ti­gen, dass sol­ches Recht nicht pau­schal erset­zend wirkt. Die­se Fehl­ein­schät­zung kann gera­de bei Ärz­ten, Steu­er­be­ra­tern oder auch Anwäl­ten schnell zu Kon­flik­ten führen.

Wirk­lich jeden? Es gibt doch bestimmt Ausnahmen?

Da muss ich Sie ent­täu­schen. § 1 BDSG ist hier ein­deu­tig. Es wer­den kei­ne Unter­schie­de nach Bran­che, Mit­ar­bei­ter­zahl oder Umsatz gemacht. Die­sen Irr­glau­ben trifft man öfter in Gesprä­chen mit Geschäfts­füh­rern, Inha­bern oder auch Behördenleitern.

Eine Aus­nah­me gibt es jedoch bei der Bestell­pflicht des soge­nann­ten Daten­schutz­be­auf­trag­ten.

Wel­che Auf­ga­ben hat ein sol­cher Datenschutzbeauftragter?

Salopp gesagt, küm­mert sich die­ser um die rechts­kon­for­me Umset­zung des Daten­schutz­rechts in der Orga­ni­sa­ti­on vor Ort. Er ist Bera­ter , Tipp­ge­ber und Ansprech­part­ner für Lei­tung und Mitarbeiter.

Und wann muss ein sol­cher Daten­schutz­be­auf­trag­ter bestellt werden?

Die­se Vor­schrift fin­det sich in § 4f BDSG und ist bis auf ganz weni­ge Aus­nah­men eben­falls ein­deu­tig. Sobald mehr als 9 Mit­ar­bei­ter mit per­so­nen­be­zo­ge­nen Daten mit­tels IT arbei­ten, muss ein Daten­schutz­be­auf­trag­ter intern oder extern bestellt wer­den. Und bei der Zahl der Mit­ar­bei­ter ist es uner­heb­lich, ob Voll­zeit, Teil­zeit, Aus­hil­fe oder Geschäfts­füh­rung selbst.

Dann liegt die­se Bestell­pflicht recht schnell vor, ohne dass die Ver­ant­wort­li­chen dies viel­leicht wissen?

Das ist in der Pra­xis häu­fig der Fall. Wir bera­ten hier­zu jedoch kos­ten­los und unver­bind­lich, ob eine Bestell­pflicht vorliegt.

Wer küm­mert sich um das The­ma Daten­schutz, wenn kein Daten­schutz­be­auf­trag­ter vor­han­den ist?

Dann liegt die Umset­zung aller Rechts­vor­schrif­ten bei der Geschäfts­füh­rung oder Behör­den­lei­tung. Die­se haf­tet im Zwei­fel dann auch bei Nicht­er­fül­lung oder ein­tre­ten­den Daten­pan­nen. Das BDSG hat hier einen mitt­ler­wei­le sehr emp­find­li­chen Buß­geld­ka­ta­log.

Also soll­te man schon zur Ver­mei­dung von Buß­gel­dern das The­ma Daten­schutz ernst nehmen?

Das ist nach mei­ner Erfah­rung der fal­sche Ansatz. Wenn sich des The­mas nur ange­nom­men wird, weil Ängs­te vor recht­li­chen Risi­ken und Buß­gel­dern bestehen, dann wur­den die Chan­cen eines bewusst geleb­ten Daten­schut­zes nicht erkannt.

Daten­schutz ist mehr als eine Rechtsvorschrift?

Ja! Kun­den und Bür­ger wer­den immer sen­si­bler. Neh­men Sie nur die aktu­el­le Pres­se. Nicht erst seit der NSA Affä­re, aus­ge­löst durch Herrn Snow­den, stei­gen das Bewusst­sein und auch der Anspruch der soge­nann­ten “Betrof­fe­nen” (im Sin­ne des BDSG) rund um das Recht auf infor­ma­tio­nel­le Selbst­be­stim­mung.

Kom­me ich die­sem Anspruch als Orga­ni­sa­ti­on nach, dann ist geleb­ter Daten­schutz ein Ele­ment der Kun­den­ak­qui­se, aber auch der Kundenbindung.

Und da Daten­schutz auch sehr weit in Berei­che wie der IT-Sicher­heit ein­greift, kom­men Fak­to­ren wie Sen­kung des Aus­fall­ri­si­kos oder Ver­kür­zung von Wie­der­an­lauf­zei­ten von EDV-Sys­te­men ergän­zend hin­zu. Es geht hier um die Kern­zie­le: Schutz vor Zer­stö­rung, Ver­lust und Miss­brauch von per­so­nen­be­zo­ge­nen Daten. Am Ende spart die Orga­ni­sa­ti­on Zeit und Geld, wenn es zum Stör­fall kommt..

Wie unter­stützt a.s.k. Daten­schutz hierbei?

Wir prü­fen das vor­han­de­ne Daten­schutz– und Daten­si­cher­heits­ni­veau, iden­ti­fi­zie­ren Schwach­stel­len, behe­ben die­se gemein­sam mit unse­ren Auf­trag­ge­bern, betreu­en Einzelprojekte—z.B. die Ein­füh­rung einer geplan­ten Videoüberwachung—oder ste­hen als per­ma­nen­ter Ansprech­part­ner für Fra­gen zu die­sen The­men zur Verfügung.

Selbst­ver­ständ­lich über­neh­men wir auch die Auf­ga­ben des (exter­nen) Daten­schutz­be­auf­trag­ten oder unter­stüt­zen einen inter­nen Daten­schutz­be­auf­trag­ten, wenn die­ser aus Zeit­grün­den Sup­port benö­tigt. Letz­te­res kommt in der Pra­xis recht häu­fig vor. Seit eini­ger Zeit haben wir für baye­ri­sche Kom­mu­nen auch zwei Vari­an­ten des AKDB Sicher­heits­checks im Angebot.

Was steht dabei für Sie im Vordergrund?

Wich­tig sind uns der abso­lu­te Pra­xis­be­zug und die Sicher­stel­lung der recht­li­chen Anfor­de­run­gen. Daten­schutz darf kein Selbst­zweck sein oder sich zu wich­tig neh­men. Nicht umsonst lau­tet unser Mot­to „Aus der Pra­xis für die Praxis“.

Ist Daten­schutz teuer?

Ja, wenn Sie sich nicht dar­um kümmern 🙂

Nein, im Ernst. Wir arbei­ten bei lang­fris­ti­gen Betreu­un­gen und Pro­jek­ten mit Pau­scha­len, damit unser Kun­de stets weiß, mit wel­chen Kos­ten er zu rech­nen hat und vor unlieb­sa­men Über­ra­schun­gen sicher ist.

Und da unse­re Leis­tun­gen modu­lar buch­bar sind, kann der Kun­de selbst ent­schei­den, wel­chen Anteil an Zeit er selbst ein­brin­gen will und kann, und wel­chen er an uns auslagert.

Wenn jemand noch Fra­gen zum The­ma hat?

Ein­fach anru­fen oder eine kur­ze Email schreiben.

Daten­schutz — läs­tig, teu­er und unproduktiv?

Daten­schutz — läs­tig, teu­er und unproduktiv?

So wird das The­ma von vie­len Unter­neh­men emp­fun­den, wes­halb es viel­fach stief­müt­ter­lich behan­delt wird. Aus­sit­zen bringt aller­dings nichts. Ver­mehr­te Stich­pro­ben der Auf­sichts­be­hör­den tref­fen Unter­neh­men oft­mals unvorbereitet.

Pra­xis­be­zo­ge­ne Tipps und Lösungs­an­sät­ze für Ihren Unter­neh­mens­all­tag erhal­ten Sie von den Refe­ren­tin und den Refe­ren­ten der Unter­neh­mer­ver­an­stal­tung der Wirt­schafts­för­de­rung Land­rats­amt Nürn­ber­ger Land

Prag­ma­ti­scher Daten­schutz im Unternehmensalltag

Die­se fin­det statt am Diens­tag 11. Novem­ber 2014 um 16:00 Uhr im TAW Wei­ter­bil­dungs­zen­trum Alt­dorf, Fritz-Bau­er-Str. 13, 90518 Altdorf.

Agen­da

  • 16:00 Uhr Begrü­ßung durch Land­rat Armin Kro­der und Clau­diu Buga­riu, IHK Nürn­berg für Mittelfranken
  • 16:05 Uhr Daten­schutz prag­ma­tisch umge­setzt — ein Mehr­wert für Unter­neh­men, Robert Lach­mann, ABC UNIX RENT GmbH
  • 16:15 Uhr Es kann jeden tref­fen — Prüf­pra­xis der Aufsichtsbehörde,Alexander Filip, Refe­rent Baye­ri­sches Lan­des­amt für Datenschutzaufsicht
  • 16:45 Uhr Daten­schutz und Mar­ke­ting — Geg­ner oder Part­ner? Sascha Kuhr­au, a.s.k. Daten­schutz
  • 17:15 Uhr Kaffeepause
  • 17:45 Uhr Out­sour­cing — daten­schutz­recht­lich mög­lich? Gerd Schmidt, Vor­sit­zen­der des Arbeits­krei­ses/IHK-Anwen­der­clubs „Daten­schutz und Infor­ma­ti­ons­si­cher­heit“ und Geschäfts­füh­rer der info­si GmbH & Co. KG
  • 18:15 Uhr ISA + — Neue Infor­ma­ti­ons­si­cher­heits­ana­ly­se für klei­ne und mitt­le­re Unternehmen,Sandra Wies­beck, Baye­ri­scher IT-Sicher­heits­clus­ter e.V.
  • 18:45 Uhr Aus­klang, Gesprä­che und Net­wor­king mit klei­nem Imbiss

Wei­te­re Details und das Anmel­de­for­mu­lar fin­den Sie in die­sem PDF Daten­schutz im Unter­neh­mens­all­tag.

Wozu Big Brot­her Con­tai­ner? Wasch­an­la­ge reicht!

Per­so­nal, aber auch Kun­den stan­den im Fokus einer aus­ge­dehn­ten Video­übewa­chung der Esse­ner Auto­wasch­ket­te Mr. Wash. In 8 von 33 Filia­len wur­den 60 Kame­ras nicht rechts­kon­form betrie­ben. Das war dem NRW-Lan­des­be­auf­trag­ten für Daten­schutz ein Buß­geld in Höhe von 64.000 Euro wert, mel­det WAZ. Dabei kam der Ket­te zu Gute, sich bei den Ermitt­lun­gen im Ver­fah­ren “koope­ra­tiv” ver­hal­ten zu haben.

Inter­es­sant ist die Auf­tei­lung des Buß­gel­des. 54.000 Euro wur­den wegen des schwe­ren Ver­sto­ßes gegen das Bun­des­da­ten­schutz­ge­setz durch die Video­über­wa­chung ver­hängt. Die rest­li­chen 10.000 Euro wur­den dafür fäl­lig, bis­her kei­nen Daten­schutz­be­auf­trag­ten bestellt zu haben, obwohl die gesetz­li­che Bestell­pflicht vor­lag.

In unse­rem Daten­schutz Blog fin­den Sie einen Bei­trag zur umsich­ti­gen und rechts­kon­for­men Umset­zung einer Video­über­wa­chung.

Pla­nen Sie die Instal­la­ti­on einer Video­über­wa­chungs­an­la­ge? Haben Sie bereits eine sol­che Lösung im Ein­satz und sind sich über die Rechts­kon­for­mi­tät im Unkla­ren? Dann fra­gen Sie doch Ihren Daten­schutz­be­auf­trag­ten. Sie haben kei­nen? Spre­chen Sie uns an.

Die Gefahr von innen — wenn Mit­ar­bei­ter zum Sicher­heits­ri­si­ko werden

Viel Zeit und Mühe wird in das Abschir­men und Absi­chern von IT Netz­wer­ken gegen Angrif­fe von außen inves­tiert. Dabei über­sieht man schnell die Gefah­ren, die Unter­neh­mens­da­ten von innen dro­hen kön­nen. Unab­hän­gig ob Fahr­läs­sig­keit oder Absicht, so soll­ten Sie als Unter­neh­mer und Unter­neh­men die­se Bedro­hung nicht aus dem Blick ver­lie­ren. In fast einem Vier­tel aller Fäl­le sind Mit­ar­bei­ter der Grund für Daten­ab­fluss aus dem Unternehmen.

In Zei­ten von Spei­cher­sticks mit immer grö­ße­rer Spei­cher­ka­pa­zi­tät und Foto­han­dys mit meh­re­ren Mega­pi­xeln Auf­lö­sung erschreckt es teil­wei­se, wie lax der inter­ne Umgang in Unter­neh­men sein kann.

  • Nut­zungs­richt­li­ni­en und Pro­fil­sper­ren für die Nut­zung von USB Sticks sind oft Fehl­an­zei­ge. Daten kön­nen in gro­ßen Men­gen kopiert und unauf­fäl­lig in der Hosen­ta­sche aus­ser Haus gebracht werden.
  • Foto­han­dys wer­den teil­wei­se sogar vom Unter­neh­men den Mit­ar­bei­tern zur Ver­fü­gung gestellt. Die hohen Auf­lö­sun­gen erlau­ben detail­ge­treue Wie­der­ga­ben beim Abfo­to­gra­fie­ren wich­ti­ger und gehei­mer Doku­men­te. Nütz­lich ist die oft­mals zusätz­lich ein­ge­rich­te­te Inter­net­flat, um die Foto­do­ku­men­ta­ti­on gleich noch unauf­fäl­lig  zu versenden.

Doch dies sind nur zwei aus­ge­wähl­te Mög­lich­kei­ten, wie schüt­zens­wer­te Daten das Unter­neh­men ver­las­sen kön­nen. Die­se set­zen selbst­ver­ständ­lich noch ein gewis­ses Maß an kri­mi­nel­ler Ener­gie bei Ihren Mit­ar­bei­tern vor­aus. Aber wer kennt schon den genau­en Preis, ab dem Loya­li­tät in den Hin­ter­grund tritt?

Auch unbe­wuß­te Gefah­ren kön­nen von Mit­ar­bei­tern aus­ge­hen: Ver­tei­len Sie USB Sticks auf dem Park­platz eines Unter­neh­mens vor Arbeits­be­ginn, wie zufäl­lig ver­lo­ren. Zuvor prä­pa­rie­ren Sie die­se mit einer klei­nen, ein­deu­ti­gen und unge­fähr­li­chen Ping Rou­ti­ne im Auto­start. Sie wer­den stau­nen, wie vie­le die­ser Sticks sich bis zum Abend aus dem Unter­neh­mens­netz­werk auf dem bereit­ge­stell­ten Ping Ser­ver gemel­det haben. Stel­len Sie sich vor, die­se Sticks wären mit Schad­soft­ware prä­pa­riert gewe­sen (Back­doors, Lösch­funk­tio­nen etc.) !! Hor­ror­vor­stel­lung, aber bedau­er­li­cher­wei­se Realität.

Eine belieb­te Metho­de ist das Aus­spä­hen von Daten und Geheim­nis­sen über die Abfall­be­häl­ter. Sei es direkt aus den Papier­kör­ben an den Schreib­ti­schen oder aus den Con­tai­nern im Hof. Etwas Unter­stüt­zung vom Rei­ni­gungs­per­so­nal und Sie wer­den stau­nen, an wel­che Infor­ma­tio­nen man bei der “Müll”-Auswertung so alles gelan­gen kann. Zahl­rei­chen Unter­su­chun­gen zufol­ge fin­den fast 50% der Spio­na­ge-Angrif­fe nicht auf elek­tro­ni­schem Weg statt, son­dern durch ein­fa­ches Durch­su­chen der Abfall­be­häl­ter, auch “Bin Rai­ding” genannt.

100%ige Sicher­heit und Schutz vor die­sen und ähn­li­chen Gefah­ren gibt es nicht. Als Bera­ter für Daten­schutz und Daten­si­cher­heit unter­stüt­ze ich Sie jedoch bei der Mini­mie­rung die­ser Risi­ken durch kon­kre­te Maß­nah­men im Bereich der IT Sicher­heit und durch Sen­si­bi­li­sie­rung Ihrer Mit­ar­bei­ter durch Schu­lung und Auf­klä­rung. Sie kön­nen Ihre Mit­ar­bei­ter zu den regel­mä­ßi­gen Schu­lun­gen “Daten­schutz und Daten­si­cher­heit” schi­cken oder ange­pass­te Schu­lun­gen auf Basis Ihrer vor­han­de­nen (oder noch zu erstel­len­den) Nut­zungs­richt­li­ni­en durch mich bei Ihnen vor Ort durch­füh­ren las­sen. Spre­chen Sie mich an.

Lesen Sie aktu­el­le Aus­sa­gen (07.07.2014) zu die­sem The­ma vom Ver­fas­sungs­schutz-Prä­si­dent H.-G. Maa­ßen auf unse­rer Bera­tungs-Web­page.

[wpfi­le­ba­se tag=‘file’ id=‘2’]

Aktu­el­le Stu­die: Jedes vier­te Unter­neh­men macht sich um Sicher­heit wenig Gedanken

Wir kön­nen eh nichts dage­gen machen

Die aktu­el­le DsiN Stu­die (Deutsch­land sicher im Netz) zeigt einen gefähr­li­chen Hang zum Fata­lis­mus in Unter­neh­men auf. Jedes vier­te der befrag­ten Unter­neh­men ergreift gar kei­ne Sicher­heits­maß­nah­men, obwohl das The­ma Sicher­heit als wich­tig ein­ge­stuft wird. Bei den The­men wie Email-Ver­schlüs­se­lung oder Pass­wör­ter ist ein Rück­gang um 7 Pro­zent­punk­te zu verzeichnen.

Laut den Autoren der Stu­die führt die fata­lis­ti­sche Ein­stel­lung, man kön­ne sich gegen pro­fes­sio­nel­le Späh­me­tho­den wie die der NSA so oder so nicht schüt­zen, zu die­ser ungu­ten Ent­wick­lung. Es feh­len Sicher­heits­kon­zep­te, Mit­ar­bei­ter sind unzu­rei­chend oder gar nicht für die The­men sen­si­bi­li­siert. Gleich­zei­tig stei­gen der Ein­satz mobi­ler Gerä­te wie Smart­phones (zumeist ohne Gerä­te- und /​ oder Email-Ver­schlüs­se­lung) und Cloud-Nutzung.

Gefahr und Scha­dens­po­ten­ti­al wird unter­schätzt

Befragt wur­den 1.500 Unter­neh­men mit bis zu 50 Mit­ar­bei­tern. Das Risi­ko­po­ten­ti­al wird bei den Befrag­ten unter­schätzt. Laut Bun­des­kri­mi­nal­amt beläuft sich der Scha­den durch Cyber­an­grif­fe auf Unter­neh­men auf 50 Mil­li­ar­den Euro jähr­lich, Dun­kel­zif­fer nicht ein­ge­rech­net. Bei einer Mil­li­on erfolg­rei­cher Angrif­fe ent­spricht dies einem durch­schnitt­li­chen Scha­den von 50.000 Euro pro Angriff. Ob die­se Sum­me auch Kos­ten und Auf­wen­dun­gen für Buß­gel­der oder das Wie­der­her­stel­len eines ram­po­nier­ten Mar­ken-Images beinhal­tet, ist nicht bekannt.

Daten­schutz knall­har­ter wirt­schaft­li­cher Standortfaktor

Nach Ein­schät­zung des Bun­des­in­nen­mi­nis­ters ist Daten­schutz ein nicht zu unter­schät­zen­der Fak­tor. Jedoch wäh­rend vie­le Bür­ger wenig Ver­trau­en in die Sicher­heit ihrer Daten hät­ten, habe ein Teil des Mit­tel­stands zu viel Vertrauen.

Doch es gibt eigent­lich kei­nen Grund für die­se Vogel Strauß Tak­tik. Fra­gen Sie doch ein­fach Ihren Daten­schutz­be­auf­trag­ten. Die­ser hat das not­wen­di­ge Rüst­zeug, um die­sen Anfor­de­run­gen zu ent­spre­chen und in Ihrem Unter­neh­men Daten­schutz und Daten­si­cher­heit auf hohem Niveau umzu­set­zen. Sie haben kei­nen Daten­schutz­be­auf­trag­ten? Dann fra­gen Sie uns — a.s.k. Datenschutz.

Die gan­ze Stu­die steht als PDF zum Down­looad bereit.

Na dann wer­ben wir mal

Einen Satz, den ich in der Pra­xis gele­gent­lich zu hören bekom­me — oder zumin­dest auf die dahin­ter­ste­hen­de Grund­hal­tung bei Wer­be­maß­nah­men oft auf­grund Unkennt­nis sto­ße. Adreß­da­ten lie­gen zuhauf im Unter­neh­men vor, Quel­le und zuläs­si­ger Ein­satz­zweck nicht zwin­gend bekannt. Unter­schei­dungs­merk­ma­le zwi­schen Pri­vat- oder Geschäfts­adres­sen ad hoc nicht mög­lich, eine Klas­si­fi­zie­rung ob per­so­nen­be­zo­gen oder nicht liegt nicht vor.

Nach dem Prin­zip “Augen zu und durch” wer­den sol­che Daten­be­stän­de der inter­nen oder exter­nen Wer­be­ma­schi­ne­rie zuge­führt. Die Quittung(en) lie­gen meist schnell auf dem Tisch. Beschwer­den tele­fo­nisch oder per Email von “pri­va­ten” Betrof­fe­nen, Anfra­gen der zustän­di­gen Lan­des­da­ten­schutz­be­hör­de auf­grund dort ein­ge­gan­ge­ner Beschwer­den und wenn nebem dem BDSG (Bun­des­da­ten­schutz­ge­setz) auch das UWG (Gesetz gegen den unlau­te­ren Wett­be­werb) betrof­fen ist, kost­spie­le­ge Abmah­nun­gen als Folge.

Die Crux an Wer­bung ist, es gilt nicht nur eines, son­dern gleich meh­re­re Geset­ze zu prü­fen und ein­zu­hal­ten. Und nicht immer sind die Abgren­zun­gen klar, was wie wo gilt je nach Art der Aus­sendung und des zu bewer­ben­den Ange­spro­che­nen. Die­sem Umstand trägt der Düs­sel­dor­fer Kreis (als Zen­tral­or­gan der Lan­des­da­ten­schutz­be­hör­den) mit sei­ner Ver­öf­fent­li­chung mit Stand Dezem­ber 2013 Rechnung

“Anwen­dungs­hin­wei­se der Daten­schutz­auf­sichts­be­hör­den zur Erhe­bung, Ver­ar­bei­tung und Nut­zung von per­so­nen­be­zo­ge­nen Daten für werb­li­che Zwecke”

Das zwölf­sei­ti­ge Doku­ment kann als PDF her­un­ter­ge­la­den wer­den und ist das Ergeb­nis einer Arbeits­grup­pe “Wer­bung und Adress­han­del”, die das Baye­ri­sche Lan­des­amt für Daten­schutz­auf­sicht betreut hat. Im Fokus steht die prak­ti­sche Umset­zung des § 28 BDSG.

Neben Hin­wei­sen zur Defi­ni­ti­on und zum Umgang mit Lis­ten­da­ten wird auch der Aspekt beleuch­tet, wie zu ver­fah­ren ist, wenn im Rah­men von B2B Wer­bung per­so­nen­be­zo­ge­ne Daten ange­spro­chen wer­den sol­len. Das The­ma Freund­schafts­wer­bung wird kri­tisch beleuch­tet (und abschlie­ßend mit feh­len­der daten­schutz­recht­li­cher Grund­la­ge bewer­tet), aber auch die not­wen­di­ge Ein­wil­li­gung wird prä­zi­siert, sogar im Hin­blick auf ihr Verfallsdatum.

 

 

Pre­miè­re oder nicht? Daten­pan­ne bei SKY

Wäh­rend sich die Web­sei­te des Pay TV Anbie­ters dazu (noch) aus­schweigt, mel­den  bekann­te Online Medi­en seit Mit­te der Woche ein Daten­leck bei SKY.

Stand 09.11.2013: auf der Start­sei­te von SKY ist nach wie vor kei­ne Mel­dung zu fin­den. Eben­so wenig unter Unter­neh­men, Pres­se oder Meldungen.

Aus­lö­ser war ein Gewinn­spiel-Anruf bei einem SKY Kun­den. Der Anru­fer wuß­te Name, Anschrift und Bank­ver­bin­dung des Ange­ru­fe­nen. Als Quel­le der Daten wur­de SKY Deutsch­land durch den Anru­fer benannt.

Auf Nach­fra­ge äußer­te sich SKY, “dass mög­li­cher­wei­se in ver­ein­zel­ten Fäl­len Sky-Kun­den­da­ten unbe­fug­ter­wei­se in die Hän­de Drit­ter gelangt sind.” Die betrof­fe­nen Kun­den sowie die zustän­di­ge Lan­des­da­ten­schutz­be­hör­de sei­en infor­miert. Über Ursa­che und Umfang schwieg man sich bis­her aus.

Der glück­li­che “Gewin­ner” wand­te sich per­sön­lich an SKY. “Er sei nicht der Ein­zi­ge”, so wur­de er beschie­den. Ob dies ein ange­mes­se­nes Kri­sen­ma­nage­ment darstellt?

 

Hahn IT Daten­schutz-Info­ta­ge Juni /​ Juli 2013 in Schwaig

Der Angriff war schnell und sorg­te für fet­te Beu­te: Unbe­kann­te haben am 11. April den Ser­ver nam­haf­ter Unter­neh­men im Bereich Rei­se­bu­chun­gen geknackt und eine bis­lang unbe­kann­te Zahl an Kun­den-Kre­dit­kar­ten­da­ten gestoh­len! Wie sehen die weit­rei­chen­den Kon­se­quen­zen aus? Kaum ein Tag ver­geht ohne Schlag­zei­len in der Pres­se zu den The­men Daten­schutz und Daten­si­cher­heit. Die­se Mel­dun­gen kön­nen Sie als Ver­brau­cher, genau­so wie als Unter­neh­mer oder Mit­ar­bei­ter betreffen.

Zu den größ­ten Irr­tü­mern im Daten­schutz gehört die Auf­fas­sung, das eige­ne Unter­neh­men habe mit dem Bun­des­da­ten­schutz­ge­setz nichts zu tun. Das Bun­des­da­ten­schutz­ge­setz (BDSG) ist recht­li­che Vor­schrift für alle. Zusätz­lich muss ab 9 Mitarbeiter/​innen, die im  Unter­neh­men per PC mit per­so­nen­be­zo­ge­nen Daten (Daten von Kun­den, Geschäfts­part­nern oder Per­so­nal­da­ten der eige­nen Mit­ar­bei­ter) ein sog. Daten­schutz­be­auf­trag­ter bestellt werden.

Vie­le Fall­stri­cke lau­ern im Umgang mit per­so­nen­be­zo­ge­nen Daten und den mög­li­chen Feh­ler­quel­len samt Rechts­ver­stö­ßen. Geld­bu­ßen (50.000 – 300.000 EUR) für Ver­stö­ße gegen das Bun­des­da­ten­schutz­ge­setz sind vor­ge­se­hen – zuzüg­lich even­tu­el­ler Scha­den­er­satz­for­de­run­gen! Und das nicht erst, wenn etwas schief gegan­gen ist.

Besu­chen Sie einen der für Sie kos­ten­frei­en Info­aben­de im Rah­men der Hahn IT Cam­pus­in­itia­ti­ve und infor­mie­ren Sie sich in nur  zwei Stun­den über die­ses bri­san­te Thema.

Das Pro­gramm für Sie :

  • Begrü­ßung mit Geträn­ken & Snacks
  • Top Irr­tü­mer zum The­ma Datenschutz
  • Kon­se­quen­zen durch Nichteinhaltung
  • Aktu­el­le Infos zum The­ma IT-Sicherheit
  • Lösun­gen zur geset­zes­kon­for­men Umsetzung
  • Bei­spie­le aus der Pra­xis in der Talkrunde
  • Zeit fur Gesprä­che beim Abendbuffet

+ Die Ver­an­stal­tung ist für Sie kostenfrei
+ Sie erhal­ten ein Teilnahmezertifikat

Refe­ren­ten des Abends sind Herr Ste­fan Mol­ter (Hahn IT) und Sascha Kuhr­au (a.s.k. Datenschutz).

Ter­mi­ne:

  • 27. Juni 2013, 17.00 — 19.00 Uhr
  • 04. Juli 2013, 17.00 — 19.00 Uhr
  • 11. Juli 2013, 17.00 — 19.00 Uhr

Ver­an­stal­tungs­ort:

90571 Schwaig

Haben wir Ihr Inter­es­se geweckt? Hier geht es zur Anmel­dung.

Die mobile Version verlassen