Verstoss

Was kostet ein externer Datenschutzbeauftragter?

von Sascha Kuhrau
22. April 202030. November 2020
4 Kommentare

“Es kommt darauf an” — Was kostet ein externer Datenschutzbeauftragter?

“Was kostet ein externer Datenschutzbeauftragter?”, diese Frage wird desöfteren per Email oder als Blog-Kommentar an uns herangetragen. Eine nachvollziehbare Frage, gerade wenn das eigene Unternehmen unter die gesetzliche Bestellpflicht für einen Datenschutzbeauftragten fällt. Und gerade in wirtschaftlich anstrengenden Phasen sind die Kosten ein relevanter Faktor. Sind keine weiteren Angaben vorhanden, dann fällt die Beantwortung in etwa so leicht wie die von Fragen wie

Was kostet ein Auto?
Wie teuer ist es, ein Haus zu bauen?
Wie viel muss ich für den nächsten Sommerurlaub bezahlen?

Die ehrliche Antwort auf die Frage nach den Kosten für einen externen Datenschutzbeauftragten kann in diesem Fall nur lauten: “Es kommt darauf an!”

Auf was kommt es bei den Kosten für einen externen Datenschutzbeauftragten an?

Datenschutz ist kein Produkt von der Stange, auch wenn das eine oder andere reißerische Billigheimer-Angebot das glauben machen will. Datenschutz ist stets eine individuelle Leistung maßgeschneidert auf Ihre Organisation. Jede Unternehmung verfügt über eine eigene Ausgangssituation (Status Quo wie Anzahl der Mitarbeiter, Filialen, Betriebsrat, Richtlinien etc.), unterschiedliche Ressourcen zur Umsetzung, eine Vielfalt an zu betrachtenden Faktoren (beispielsweise die unterschiedlichsten IT-Lösungen) und ein notwendiges Schutzniveau je nach Branche und Art der personenbezogenen Daten in der Organisation.

All diese Punkte bedeuten ein Mehr oder Weniger an Aufwand in der Umsetzung und Betreuung im Rahmen der Aufgaben eines Datenschutzbeauftragten nach Art. 39 DSGVO. Sie wirken sich demnach direkt auf die entstehenden Kosten aus. Umso wichtiger ist es, möglichst viele dieser Aspekte zu kennen, um die eingangs genannte Frage seriös und vor allem ohne spätere Preisnachverhandlungen beantworten zu können. Zu diesem Zweck können Sie unser komfortables Online-Formular nutzen und damit Ihr Angebot anfordern. Ihre Angaben werden selbstverständlich vertraulich behandelt.

Wussten Sie schon, dass zahlreiche unserer Leistungen aus offiziellen Fördermitteln bezuschusst werden können? Hier erfahren Sie mehr über Fördermöglichkeiten und Zuschüsse für Beratungsleistungen Datenschutz & Informationssicherheit von a.s.k. Datenschutz. Ein weiterer Faktor, der Sie unterstützt, die Belastung für die Kosten eines externen Datenschutzbeauftragten gering zu halten.

Wie geht a.s.k. Datenschutz als externe Datenschutzbeauftragte vor?

Im Rahmen eines ein- bis mehrtägigen Datenschutz-Audits vor Ort (zu Corona-Zeiten erst mal nur remote) wird der Status Quo des Datensicherheit- und Datenschutz-Niveaus Ihrer Organisation ermittelt. Klar definierte Fragenkataloge zusammen mit Einzel- und Gruppengesprächen ergeben ein deutliches Bild und bilden die Grundlage für alle weiteren Aktivitäten. Nach Auswertung des Audits und der Gespräche steht ein Katalog von Maßnahmen und Empfehlungen fest, mit dessen Umsetzung die gesetzlich vorgeschriebenen Notwendigkeiten in Ihrem Unternehmen sichergestellt werden. Der Katalog wird in der sog. “Einführungsphase” gemeinsam unter Zuhilfenahme eines Online Projekt Tools umgesetzt. Der Aufwand für diese Phase wird in Manntagen gemäß Ihren Angaben kalkuliert und abgerechnet. Zumeist ist ein Pauschalpreis vereinbart, der alle Leistungen dieser Phase umfasst. Beachten Sie mögliche Fördermittel und Zuschüsse.

Nachdem in der Einführungsphase die notwendige Basis geschafften wurde, schließt sich nun die “Betreuungsphase” als externer Datenschutzbeauftragter an. Diese umfasst einmalige und wiederkehrende Aufgaben wie sie Artikel 39 DSGVO vorsieht. Selbstverständlich haben wir diese Aufgaben um einige weitere Tätigkeiten für Sie ergänzt, sofern dadurch keine Interessenskonflikte zu den Kernaufgaben des Datenschutzbeauftragten entstehen. Zu den Aufgaben lesen Sie mehr in unserem separaten Blog-Beitrag.

Was kostet es Sie auf jeden Fall …

… wenn Sie keinen Datenschutzbeauftragten benennen, obwohl Sie gesetzlich dazu verpflichtet sind.

Bußgeld (Ausnahme: öffentliche Stellen)
Ihren guten Ruf z.B. bei Datenpannen
Viel Ärger mit der Aufsichtsbehörde

Internen oder externen Datenschutzbeauftragten bestellen?

Die Vorteile einer externen Bestellung liegen für kleine und mittelständische Unternehmen aber auch Kommunen klar auf der Hand. Dabei spielen nicht nur die kalkulierbaren und überschaubaren Kosten eine große Rolle. Ihre Organisation profitiert spürbar vom Einsatz eines externen Datenschutzbeauftragten.

Übersicht der DSGVO Bußgelder

von Sascha Kuhrau
5. Februar 2020

Mit schöner Regelmäßigkeit hört und liest man in den Medien etwas von Bußgeldern im Datenschutz basierend auf der DSGVO oder anderer Datenschutzgesetze. Merken kann man sich die alle nicht. Doch es kann nicht schaden, das eine oder andere Bußgeld für verschiedene Formen an Datenschutzverstößen zu kennen. DSGVO Bußgelder sollten zwar nicht der alleinige Antrieb zur Einhaltung von Rechtsvorschriften sein, aber vielleicht muss man als interner oder externer Datenschutzbeauftragter auch mal mit Zahlen kommen, damit sich etwas in der Organisation bewegt 🙂

Übersicht der DSGVO Bußgelder

Und da ist es sehr hilfreich, dass sich die Betreiber von https://dsgvo-portal.de die Mühe machen, stets aktuelle Bußgelder zu erfassen und zu katalogisieren. Kann ja ganz hilfreich sein, zu wissen und anzuführen, dass für Werbeanrufe ohne Einwilligung, Informationsmängel in Apps und unzureichende TOM (technische und organisatorische Maßnahmen) die italienische Datenschutzaufsicht im Januar 2020 ein Bußgeld in Höhe von 27,8 Mio Euro verhängt hat. Die genannten Verstöße sind ja nicht selten. Vielleicht ein weiterer Anstoß, um solche Mängel in der eigenen Organisation anzugehen.

Die im Portal gelisteten DSGVO Bußgelder lassen sich nach diversen Kriterien sortieren und anzeigen, z.B. nach Bußgeldhöhe, Datum, Land und auch Bußgeldempfänger (da finden sich einige alte Bekannte, aber auch sehr viele neue Namen). Ein Wermutstropfen, wenn man das so sehen mag, ist jedoch vorhanden: In der Übersicht finden sich die Bußgelder, welche von den Aufsichtsbehörden verhängt wurden. Das muss nicht identisch sein, was von den betroffenen Organisationen z.B. nach Beschreiten des Rechtsweges dann wirklich gezahlt wurde. Sofern es hierzu Erkenntnisse gibt, finden sich diese unter den Details, die man zu jedem Vorgang aufrufen kann. Darin wird auch die Art des Verstoßes weiter konkretisiert.

Danke an die Betreiber des Portals.

Datenpanne: Offener Newsletter-Verteiler führt zu Bußgeld — Augen auf beim Direktmarketing

von Sascha Kuhrau
21. August 2017
2 Kommentare

Schon jedem Mal passiert — Newsletter oder Email an viele Empfänger verschickt

Sie kennen das bestimmt aus Ihrem eigenen Arbeitsalltag. Eine wichtige Nachricht soll per Email oder Newsletter verteilt werden. Mail- oder Newsletter-Programm geöffnet, Text geschrieben, aus dem Adressbuch schnell die Empfänger zusammengeklickt oder komfortabel eine Verteiler-Liste genutzt und auf Senden gedrückt. Auf Seiten des Empfängers werden sich dann die Augen gerieben. Stehen doch alle Email-Empfänger im Klartext im AN:/TO: Feld der Email. Ordentlich wie der Absender seine Adressen gepflegt hat, akkurat mit Vor‑, Nachname und Email-Adresse. Üblicherweise macht man den Absender freundlich auf sein Missgeschick aufmerksam und läßt es darauf beruhen.

Offene Newsletter-Verteiler kommen nicht immer gut an

Die Mitarbeiterin eines bayerischen Handelunternehmens hatte weniger Glück. Sie schrieb eine solche Email an Kunden des Unternehmens. Kurzer Inhalt, nette Geste. Jedoch leider standen vor dem eigentlichen Text (halbe DIN A4 Seite) über neun (9!) Seiten Email-Adressen im Klartext. Einem oder mehreren Empfängern mißfiel dies und der Stein des Anstoßes wurde an die zuständige bayerische Landesdatenschutzbehörde weitergeleitet.

Landesdatenschutzbehörde prüft offene Newsletter-Verteiler und verhängt Bußgeld

Das Bayerische Landesamt für Datenschutzaufsicht (kurz BayLDA) hat in der Vergangenheit bereits mehrfach über die eigene Webseite und auf Veranstaltungen vor und mit Unternehmen auf die datenschutzrechtliche Unzulässigkeit eines solchen Vorgangs hingewiesen. Name plus Email- Adresse sind personenbezogenen Daten im Sinne des Bundesdatenschutzgesetzes (BDSG). Eine Übermittlung (nichts anderes stellt eine Email dar) ist daher nur zulässig, wenn der Betroffene (also der eigentliche Email-Inhaber) explizit in die Übermittlung an Dritte schriftlich eingewilligt hat oder eine gesetzliche Grundlage vorliegt. Beides ist im Falle einer solchen Panne sicher nicht der Fall. Die Verwendung des offenen Email-Verteilers (also das Eintragen der Empfänger in das AN:/TO: Feld) stellt somit einen Datenschutzverstoß dar. Aufgrund der Menge der betroffenen Email-Adressen sah das BayLDA von einem reinen Verweis auf die rechtliche Unzulässigkeit ab. Stattdessen wurde ein Bußgeld verhängt, das nun nach Verstreichen der Widerspruchsfrist rechtswirksam geworden ist.

Doch wer zahlt jetzt das Bußgeld für den offenen Newsletter-Verteiler?

In diesem konkreten Fall wurde das Bußgeld gegen die Mitarbeiterin verhängt. Ob der Arbeitgeber für Sie einspringt, ist nicht bekannt. Das BayLDA teilte jedoch mit, daß es in einem ähnlichen Fall in zu einem Bußgeld gegen ein weiteres Unternehmen kam. Da hier die Mitarbeiter seitens der Unternehmensleistung nicht oder nicht ausreichend für das Thema sensibilisiert wurden, hatte nun das Unternehmen selbst für den Fauxpas mit dem offenen Email-Verteiler geradezustehen.

Aufklärung ist Pflicht — Sorgfältiger Umgang mit Newslettern-Verteilern vermeidet Bußgelder

Um solche Vorfälle von vornherein zu vermeiden und das Eintrittsrisiko zu senken, sollten Sie Ihre Mitarbeiter regelmäßig für dieses Thema sensibilisieren. Gerne können Sie hierfür diesen Blogbeitrag einsetzen. Was ist zu beachten? Weisen Sie darauf hin, solche Rundmails stets über das Feld BCC, also Blind Carbon Kopie zu adressieren. Die Nutzung von TO: und CC: (Carbon Copy) wird stets den selben rechtlichen Sachverhalt mit allen Konsequenzen auslösen. Bei kleineren falsch genutzten Verteilern kann es bei einer Verwarnung bleiben, das ist jedoch nicht garantiert.

Fragen Sie doch Ihren Datenschutzbeauftragten

Zum richtigen Umgang mit personenbezogenen Daten im Rahmen des Direktmarketings hilft Ihnen kompetent Ihr Datenschutzbeauftragter weiter. Sie haben keinen? Dann sollten Sie sich darum kümmern, da eine gesetzliche Bestellpflicht vorliegen kann. Sprechen Sie uns unverbindlich und kostenfrei an!

Personalausweis einfach kopieren — einfach rechtswidrig

von Sascha Kuhrau
18. August 2017

Personalausweis als Pfand, Personalausweis-Kopie als Beleg — üblich, aber verboten

Usus, Rechtsverstoß inklusive. Der Personalausweis wird als Pfand hinterlegt, eine Kopie zur Identifikation im Vertragsordner abgelegt oder als Scan ins Dokumenten-Management-System gespeichert. Branchenübergreifend üblich, vom Fitness-Studio bis zur Autovermietung.

Der neue Personalausweis

Seit dem 01. November 2010 wird nur noch der neue Personalausweis herausgegeben, gerne auch als „ePerso“ bezeichnet. Im Zuge der Umstellung hat das Personalausweisgesetz (PAuswG) einige Änderungen erfahren. Zahlreiche Kommentierungen und Begründungen begleiten den neuen Ausweis.

Kein ausdrückliches Kopierverbot, aber …

Neben der bisher üblichen Ausweisfunktion beinhaltet der „ePerso“ nun auch die Möglichkeit zu Signatur und zur Authentisierung. Zum Schutz dieser Funktionen schreibt unsere Regierung in ihrer Begründung zur Neuregelung: “Die Erhebung und Verwendung personenbezogener Daten aus oder mithilfe des Ausweises darf künftig nur über die dafür vorgesehenen Wege erfolgen. (.) Weitere Verfahren z.B. über die optoelektronische Erfassung (“scannen”) von Ausweisdaten oder dem maschinenlesbaren Bereich sollen ausdrücklich ausgeschlossen werden.” In den Auslegungen hierzu wird deutlich davon gesprochen, weder Kopien des Personalausweises zuzulassen, noch diesen aus der Hand zu geben.

Warum den Personalausweis nicht kopieren?

Da der neue Personalausweis aufgrund dessen Gestaltung noch eine sog. Berechtigungsnummer trägt, weist das Bundesinnenministerium auf einen zusätzlichen Sachverhalt hin. Die Berechtigungsnummer soll nämlich lediglich dem Ausweisinhaber bekannt sein. Eine Kopie oder ein Scan stehen diesem Umstand jedoch entgegen.

Der alte Personalausweis darf aber kopiert werden?

Trägt dieser zwar nicht die elektronischen Merkmale seines Nachfolgers so ist eine Kopie hier nur sehr schwer als datenschutzrechtlich erforderlich zu begründen. Subjektive Maßstäbe hierüber sind ausgeschlossen. So sollte auch hier auf eine Kopie verzichtet werden. Notieren Sie die erforderlichen Daten. Vorteil: Sie ersparen sich das vorgeschriebene Ausschwärzen nicht erforderlicher Daten und müssen später im Rahmen der Aufbewahrungs– und Löschfristen nicht in Aktenstapeln oder EDV Systemen nach den zu löschenden Dokumenten fahnden.

Dann nehmen wir den Personalausweis eben als Pfand

Hier spricht das PAuswG eine klare Sprache § 1 Abs. 1. S. 3+4 PAuswG — für beide Ausweisformen: „Vom Ausweisinhaber darf nicht verlangt werden, den Personalausweis zu hinterlegen oder in sonstiger Weise den Gewahrsam aufzugeben. Dies gilt nicht für zur Identitätsfeststellung berechtigte Behörden sowie in den Fällen der Einziehung und Sicherstellung.” Ihre Organisation wird schwerlich als berechtigte Behörde anzusehen sein, Ausnahmen bestätigen die Regel.

Ausnahmen vom Kopierverbot und Pfandverbot für Personalausweise?

Ja, u.a. § 8 Geldwäschegesetz oder § 95 TKG (z.B. für Handy-Verträge). Trifft das auf Ihr Unternehmen zu? Ihr Datenschutzbeauftragter klärt Sie gerne über den Sachverhalt auf. Sie haben keinen? Dann sprechen Sie uns an. Wir unterstützen Sie als externe Datenschutzbeauftragte und externe Informationssicherheitsbeauftragte.

Datenschutzbeauftragter darf keinen Interessenkonflikten unterliegen

von Sascha Kuhrau
23. Januar 201715. Oktober 2023
3 Kommentare

Bayerisches Unternehmen kassiert Bußgeld, weil IT-Manager gleichzeitig als Datenschutzbeauftragter bestellt war.

“Eine derart exponierte Position im Hinblick auf die Datenverarbeitungsprozesse im Unternehmen ist in aller Regel unvereinbar mit den Aufgaben eines Datenschutzbeauftragten”, so das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) in Ansbach.

Wer muss einen Datenschutzbeauftragten bestellen?

Unternehmen und auch Vereine müssen einen Datenschutzbeauftragten (DSB) bestellen, wenn bei ihnen mindestens zehn Personen (“mehr als neun”, so das Bundesdatenschutzgesetz) mit der automatisierten Verarbeitung personenbezogener Daten befasst sind. Dabei ist es unerheblich, a) ob es sich dabei um interne oder externe personenbezogene Daten handelt und b) mit welchem Zeitanteil die Personen beschäftigt sind (Vollzeit, Teilzeit, Aushilfe etc.). Es zählt hier alleine die Zahl der “Köpfe”.

Zahlreiche Unternehmen und Vereine erfüllen diese Voraussetzungen. Das Gesetz stellt es dabei frei, ob die Funktion des Datenschutzbeauftragten an eine externe Person vergeben wird („externer Datenschutzbeauftragter“) oder aber durch einen Mitarbeiter („interner Datenschutzbeauftragter“) erfüllt wird. Je nach Bundesland schreiben die Landesdatenschutzgesetze einen Datenschutzbeauftragten ebenfalls für Behörden und kommunale Einrichtungen (sog. öffentliche Stellen) verpflichtend vor. In einigen Bundesländern besteht bereits heute die Möglichkeit einer externen Bestellung des behördlichen Datenschutzbeauftragten. Mit der EU-Datenschutzgrundverordnung (EU-DSGVO) wird die Bestellpflicht für öffentliche Stellen vereinheitlicht. Ebenso soll dann eine generelle Möglichkeit der externen Bestellung für Behörden / Kommunen gegeben sein.

Wann ist von einem Interessenskonflikt auszugehen?

Wird ein Mitarbeiter zum Datenschutzbeauftragten bestellt, so darf er jedoch daneben nicht zusätzlich / weiterhin für solche Aufgaben zuständig sein, welche die Gefahr von Interessenskonflikten mit seiner Funktion als Datenschutzbeauftragter mit sich bringen können. Der Gesetzgeber verlangt hier salopp, nicht “den Bock zum Gärtner zu machen”. Ähnlich hat dies auch die EU-Datenschutzrichtlinie (Art. 18) gefordert, völlige Unabhängigkeit des DSB in seiner Funktion als Kontrollinstanz. Mit Artikel 38 und 39 der EU-DSGVO wird dies in 2018 keine Änderung erfahren.

In einschlägigen Kommentaren zum Bundesdatenschutzgesetz (z.B. Gola / Schomerus) wird explizit darauf verwiesen, dass sich hieraus bestimmte Funktionen für die Tätigkeit des Datenschutzbeauftragten von vornherein ausschließen. Dazu zählen auf jeden Fall

Inhaber, Vorstand, Geschäftsführer (ausnahmslos),
Leiter der IT,
Personalleiter,
Vertriebsleiter (zumindest im Direktvertrieb).

Für alle anderen Funktionen ist zu prüfen, ob ein Interessenskonflikt ausgeschlossen werden kann und auch keine weiteren Beeinträchtigungen für die Ausübung der Funktion des Datenschutzbeauftragten bestehen. So ist es nicht unbedingt zielführend, einen IT-Mitarbeiter zum Datenschutzbeauftragten zu bestellen, wenn der Konflikt mit dem Vorgesetzten — dem IT-Leiter — bereits vorprogrammiert ist und der IT-Mitarbeiter seine zusätzliche Aufgabe als DSB z.B. aus Angst vor Repressalien nicht ausüben kann / wird.

Wie kam es jetzt zu diesem Bußgeld aufgrund eines Interessenskonflikts?

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) berichtet in seiner Pressmitteilung davon, dass im Rahmen der Überprüfung eines bayerischen Unternehmens die Bestellung des IT-Leiters zum internen Datenschutzbeauftragten festgestellt wurde. Dies liefe nach Meinung der Behörde “letztlich auf eine Datenschutzkontrolle eines der maßgeblichen zu kontrollierenden Funktionsträger im Unternehmen durch sich selbst hinaus”. Aus Sicht der Behörde (und der einschlägigen Rechtskommentare) widerspricht dies der Funktion des Datenschutzbeauftragten, als unabhängige Instanz im Unternehmen auf die Einhaltung des Datenschutzes hinzuwirken (eine der Kernaufgaben des DSB).

Nachdem das Landesamt das Unternehmen mehrfach über Monate aufgefordert hat, eine Bestellung ohne Interessenskonflikt herbeizuführen und dies seitens des Unternehmens zugesagt, jedoch nicht umgesetzt wurde, verhängte die Behörde ein Bußgeld. Die Geldbuße ist mittlerweile bestandskräftig.

„Der betriebliche Datenschutzbeauftragte ist ein Erfolgsmodell und ein sehr wichtiges Element der Datenschutzorganisation in Deutschland. Die Funktion des Datenschutzbeauftragten kann aber nicht durch eine Person wahrgenommen werden, die daneben im Unternehmen noch Aufgaben innehat, die in einem Spannungsverhältnis mit einer unabhängigen, effektiven internen Aufsicht über den Datenschutz stehen. Unternehmen, die gesetzlich zur Bestellung eines Datenschutzbeauftragten verpflichtet sind, können daher nur eine solche Person zum Datenschutzbeauftragten bestellen, die in der Lage ist, diese Aufgabe frei von sachfremden Zwängen auszuüben. Und wenn sie das trotz wiederholter Aufforderung nicht machen, müssen sie notfalls mit Bußgeld dazu gezwungen werden.“, betont Thomas Kranig, der Präsident des BayLDA.

Was können Sie als Unternehmen tun, um solches Bußgelder zu vermeiden?

Entweder Sie vermeiden solche Interessenskonflikte oder Sie greifen zu einer transparenten und kostengünstigen externen Bestellung des Datenschutzbeauftragten, wie sie beispielsweise a.s.k. Datenschutz anbietet. Ein Angebot erhalten Sie zeitnah mittels unserer Online-Anfrage.

Übrigens gilt das Thema Interessenskonflikt auch für behördliche Datenschutzbeauftragte!!

Quelle: Pressemitteilung des BayLDA

Abmahnung für den Einsatz von Google Analytics

von Sascha Kuhrau
29. März 201615. Oktober 2023
1 Kommentar

Google Analytics als Webtracking- und Analyse-Tool ist bei Webmastern recht beliebt. Eine aus Datenschutzsicht beanstandungsfreie Umsetzung ist seit geraumer Zeit möglich. Dabei gilt es jedoch, einiges zu beachten. Wer sich darum nicht kümmert, kann zukünftig vom Wettbewerb dazu mit rechtlichen Mitteln — im Zweifel mittels Abmahnung — gezwungen werden.

In einer einstweiligen Verfügung des Landgerichts Hamburg vom 10.03.2016 mit dem Aktenzeichen 312 O 127/16 untersagt das Gericht dem Betreiber einer Webseite den Einsatz von Google Analytics aufgrund fehlender Hinweise auf den Einsatz, beispielweise im Rahmen der Datenschutzerklärung. Das Landgericht Hamburg droht dem Webseitenbetreiber für den Fall der Zuwiderhandlung gegen diese Anordnung ein Ordnungsgeld von bis zu 250.000 Euro an (als Ersatz Ordnungshaft bis zu 6 Monaten).

Nicht eindeutig geklärt ist bisher, ob § 13 Absatz 1 Satz 1 Telemediengesetz (TMG) Grundlage für eine Abmahnung sein kann. Das Oberlandesgericht (OLG) München hat 2012 diesen Sachverhalt verneint. Dem entgegen hat das OLG Hamburg in 2013 die Abmahnfähigkeit bestätigt.

Wer demnach zur Zeit Abmahnung und weiteres Ungemach wegen des Einsatzes von Google Analytics vermeiden will, tut gut daran, die Empfehlungen aus 2011 für die Einführung und Nutzung von Google Analytics als Webtracking- und Analyse-Tool umzusetzen:

Abschluss einer Regelung zur Auftragsdatenverarbeitung nach § 11 BDSG. Eine gemeinsam erarbeitete Vorlage samt Anleitung finden Sie unter www.google.com/analytics/terms/de.pdf oder Sie suchen bei google.de nach „analytics +tos.pdf“.
Detaillierte Formulierung der Nutzung in der Datenschutzerklärung Ihrer Webseite zusammen mit dem Hinweis auf die Widerspruchsmöglichkeit durch das Google Tool „gaoptaut“ inkl. Downloadlink.
Aktivierung der anonymizeIP-Funktion (Achtung: hierfür ist ein gesonderter Tracking-Code notwendig!)
Löschen ALLER bisher zu Unrecht erhobenen Daten

Viel Erfolg beim datenschutzkonformen Einsatz von Google Analytics. Wer es unkomplizierter mag, setzt auf das Open Source Tool PIWIK, wie in unserem Blogbeitrag beschrieben.

Warum ist Datenschutz für Unternehmen und Behörden wichtig?

von Sascha Kuhrau
3. Dezember 2014

Haben Sie sich auch schon diese Frage gestellt? Sascha Kuhrau, Inhaber des bundesweit tätigen Beratungsunternehmens a.s.k. Datenschutz gibt Antworten.

Herr Kuhrau, ist Datenschutz ein Modethema?

Mitnichten! Schauen Sie einfach auf die Historie des Datenschutzrechts in Deutschland und der EU. 1977 hatten wir das erste Bundesdatenschutzgesetz (BDSG) in Deutschland, seit 1995 gibt es auf EU Ebene verbindliche Regeln für alle Mitgliedsstaaten.

Wen betrifft dieses Bundesdatenschutzgesetz?

Das ist ganz einfach. Jedes Unternehmen, jeden Gewerbetreibenden, jeden Freiberufler, jede Behörde und auch jeden Verein, sofern dort personenbezogene Daten vorliegen und verarbeitet werden.

Man sollte auch nicht dem Irrtum unterliegen, ein eigenes Standesrecht würde das Datenschutzgesetz ersetzen. Obwohl die Aussage der Gesetze hier klar ist, mussten mittlerweile Gerichte bestätigen, dass solches Recht nicht pauschal ersetzend wirkt. Diese Fehleinschätzung kann gerade bei Ärzten, Steuerberatern oder auch Anwälten schnell zu Konflikten führen.

Wirklich jeden? Es gibt doch bestimmt Ausnahmen?

Da muss ich Sie enttäuschen. § 1 BDSG ist hier eindeutig. Es werden keine Unterschiede nach Branche, Mitarbeiterzahl oder Umsatz gemacht. Diesen Irrglauben trifft man öfter in Gesprächen mit Geschäftsführern, Inhabern oder auch Behördenleitern.

Eine Ausnahme gibt es jedoch bei der Bestellpflicht des sogenannten Datenschutzbeauftragten.

Welche Aufgaben hat ein solcher Datenschutzbeauftragter?

Salopp gesagt, kümmert sich dieser um die rechtskonforme Umsetzung des Datenschutzrechts in der Organisation vor Ort. Er ist Berater , Tippgeber und Ansprechpartner für Leitung und Mitarbeiter.

Und wann muss ein solcher Datenschutzbeauftragter bestellt werden?

Diese Vorschrift findet sich in § 4f BDSG und ist bis auf ganz wenige Ausnahmen ebenfalls eindeutig. Sobald mehr als 9 Mitarbeiter mit personenbezogenen Daten mittels IT arbeiten, muss ein Datenschutzbeauftragter intern oder extern bestellt werden. Und bei der Zahl der Mitarbeiter ist es unerheblich, ob Vollzeit, Teilzeit, Aushilfe oder Geschäftsführung selbst.

Dann liegt diese Bestellpflicht recht schnell vor, ohne dass die Verantwortlichen dies vielleicht wissen?

Das ist in der Praxis häufig der Fall. Wir beraten hierzu jedoch kostenlos und unverbindlich, ob eine Bestellpflicht vorliegt.

Wer kümmert sich um das Thema Datenschutz, wenn kein Datenschutzbeauftragter vorhanden ist?

Dann liegt die Umsetzung aller Rechtsvorschriften bei der Geschäftsführung oder Behördenleitung. Diese haftet im Zweifel dann auch bei Nichterfüllung oder eintretenden Datenpannen. Das BDSG hat hier einen mittlerweile sehr empfindlichen Bußgeldkatalog.

Also sollte man schon zur Vermeidung von Bußgeldern das Thema Datenschutz ernst nehmen?

Das ist nach meiner Erfahrung der falsche Ansatz. Wenn sich des Themas nur angenommen wird, weil Ängste vor rechtlichen Risiken und Bußgeldern bestehen, dann wurden die Chancen eines bewusst gelebten Datenschutzes nicht erkannt.

Datenschutz ist mehr als eine Rechtsvorschrift?

Ja! Kunden und Bürger werden immer sensibler. Nehmen Sie nur die aktuelle Presse. Nicht erst seit der NSA Affäre, ausgelöst durch Herrn Snowden, steigen das Bewusstsein und auch der Anspruch der sogenannten “Betroffenen” (im Sinne des BDSG) rund um das Recht auf informationelle Selbstbestimmung.

Komme ich diesem Anspruch als Organisation nach, dann ist gelebter Datenschutz ein Element der Kundenakquise, aber auch der Kundenbindung.

Und da Datenschutz auch sehr weit in Bereiche wie der IT-Sicherheit eingreift, kommen Faktoren wie Senkung des Ausfallrisikos oder Verkürzung von Wiederanlaufzeiten von EDV-Systemen ergänzend hinzu. Es geht hier um die Kernziele: Schutz vor Zerstörung, Verlust und Missbrauch von personenbezogenen Daten. Am Ende spart die Organisation Zeit und Geld, wenn es zum Störfall kommt..

Wie unterstützt a.s.k. Datenschutz hierbei?

Wir prüfen das vorhandene Datenschutz– und Datensicherheitsniveau, identifizieren Schwachstellen, beheben diese gemeinsam mit unseren Auftraggebern, betreuen Einzelprojekte—z.B. die Einführung einer geplanten Videoüberwachung—oder stehen als permanenter Ansprechpartner für Fragen zu diesen Themen zur Verfügung.

Selbstverständlich übernehmen wir auch die Aufgaben des (externen) Datenschutzbeauftragten oder unterstützen einen internen Datenschutzbeauftragten, wenn dieser aus Zeitgründen Support benötigt. Letzteres kommt in der Praxis recht häufig vor. Seit einiger Zeit haben wir für bayerische Kommunen auch zwei Varianten des AKDB Sicherheitschecks im Angebot.

Was steht dabei für Sie im Vordergrund?

Wichtig sind uns der absolute Praxisbezug und die Sicherstellung der rechtlichen Anforderungen. Datenschutz darf kein Selbstzweck sein oder sich zu wichtig nehmen. Nicht umsonst lautet unser Motto „Aus der Praxis für die Praxis“.

Ist Datenschutz teuer?

Ja, wenn Sie sich nicht darum kümmern 🙂

Nein, im Ernst. Wir arbeiten bei langfristigen Betreuungen und Projekten mit Pauschalen, damit unser Kunde stets weiß, mit welchen Kosten er zu rechnen hat und vor unliebsamen Überraschungen sicher ist.

Und da unsere Leistungen modular buchbar sind, kann der Kunde selbst entscheiden, welchen Anteil an Zeit er selbst einbringen will und kann, und welchen er an uns auslagert.

Wenn jemand noch Fragen zum Thema hat?

Einfach anrufen oder eine kurze Email schreiben.

Offener Email-Verteiler führt zu Bußgeld gegen Unternehmen

von Sascha Kuhrau
5. August 2014
1 Kommentar

Schon jedem Mal passiert

Sie kennen das bestimmt aus Ihrem eigenen Arbeitsalltag. Eine wichtige Nachricht soll per Email verteilt werden. Mailprogramm geöffnet, Text geschrieben, aus dem Adreßbuch schnell die Empfänger zusammengeklickt oder komfortabel eine Verteiler-Liste genutzt und auf Senden gedrückt. Auf Seiten des Empfängers werden sich dann die Augen gerieben. Stehen doch alle Email-Empfänger im Klartext im AN:/TO: Feld der Email. Ordentlich wie der Absender seine Adressen gepflegt hat, akurat mit Vor‑, Nachname und Email-Adresse. Üblicherweise macht man den Absender freundlich auf sein Mißgeschick aufmerksam und läßt es darauf beruhen.

Ihr ist das auch passiert

Eine Mitarbeiterin eines bayerischen Handelunternehmens hatte weniger Glück. Sie schrieb eine solche Email an Kunden des Unternehmens. Kurzer Inhalt, nette Geste. Jedoch leider standen vor dem eigentlichen Text (halbe DIN A4 Seite) über neun (9) Seiten Email-Adressen im Klartext. Einem oder mehreren Empfängern mißfiel dies und der Stein des Anstoßes wurde an die zuständige bayerische Landesdatenschutzbehörde weitergeleitet.

Der ewiger Mahner

Das Bayerische Landesamt für Datenschutzaufsicht (kurz BayLDA) hat in der Vergangenheit bereits mehrfach auf die datenschutzrechtliche Unzulässigkeit eines solchen Vorgangs hingewiesen. Name plus Email-Adresse sind personenbezogene Daten im Sinne des Bundesdatenschutzgesetzes (BDSG). Eine Übermittlung (nichts anderes stellt eine Email dar) ist daher nur zulässig, wenn der Betroffene (also der eigentliche Email-Inhaber) explizit in die Übermittlung an Dritte schriftlich eingewilligt hat oder eine gesetzliche Grundlage vorliegt. Beides ist im Falle einer solchen Panne sicher nicht der Fall.

Die Verwendung des offenen Email-Verteilers (also das Eintragen der Empfänger in das AN:/TO: Feld) stellt somit einen Datenschutzverstoß dar. Aufgrund der Menge der betroffenen Email-Adressen sah das BayLDA von einem reinen Verweis auf die rechtliche Unzulässigkeit ab. Stattdessen wurde ein Bußgeld verhängt, das nun nach Verstreichen der Widerspruchsfrist rechtswirksam geworden ist.

Wer zahlt?

In diesem konkreten Fall wurde das Bußgeld gegen die Mitarbeiterin verhängt. Ob der Arbeitgeber für Sie einspringt, ist nicht bekannt.

Das BayLDA teilt jedoch mit, daß es in einem ähnlichen Fall in Kürze zu einem Bußgeld gegen ein anderes Unternehmen kommen wird. Da hier die Mitarbeiter seitens der Unternehmensleistung nicht oder nicht ausreichend für das Thema sensibilisiert wurden, hat nun das Unternehmen selbst für den Fauxpas mit dem offenen Email-Verteiler geradezustehen.

Aufklärung ist Pflicht

Um solche Vorfälle von vornherein zu vermeiden und das Eintrittsrisiko zu senken, sollten Sie Ihre Mitarbeiter regelmäßig für dieses Thema sensibilisieren. Gerne können Sie hierfür diesen Blogbeitrag einsetzen.

Was ist zu beachten?

Weisen Sie darauf hin, solche Rundmails stets über das Feld BCC, also Blind Carbon Kopie zu adreßieren. Die Nutzung von TO: und CC: (Carbon Copy) wird stets den gleichen rechtlichen Sachverhalt mit allen Konsequenzen auslösen. Bei kleineren falsch genutzten Verteilern kann es bei einer Verwarnung bleiben, das ist jedoch nicht garantiert.

Hier finden Sie den ganzen Beitrag des BayLDA vom 28.06.2013.

Sony wehrt sich gegen Geldstrafe wegen Hackerangriffs auf sein Playstation Network

von Sascha Kuhrau
28. Januar 2013

2011 ging das Ereignis als bisher größte Datenpanne der Geschichte durch die Medien (wir berichteten). Hackern gelang es, über 75 Millionen Kundendaten aus dem Sony Netzwerk zu entwenden, darunter Namen, Anmeldedaten und Zahlungsangaben. In weiteren nachfolgenden Hacker-Attacken wurden weitere Millionen Datensätze entwendet mit teilweise noch ausführlicheren Nutzerangaben.

Das Krisenmanagement des Konzern war durchaus als suboptimal einzustufen — siehe Bericht. Aufgrund des Firmensitzes in Japan wog man sich jedoch in Sicherheit vor der Verfolgung durch die Schutzbehörden. Doch damit ist nun Schluss. Was nicht nur zahlreiche Politiker und Datenschützer, sondern auch gerade Kunden von Sony gefordert haben, hat die britische Datenschutzbehörde nun in die Tat umgesetzt. Sie verhängte eine Geldstrafe in Höhe von 300.000 Euro, gegen das Unternehmen. Begründung: Wer für so viele sensiblen Daten mit Mißbrauchspotential verantwortlich ist, muss dem Schutz dieser Daten oberste Priorität einräumen.

Sony hat Widerstand gegen die Strafe angekündigt, schließlich sei man “Opfer” einer kriminellen Attacke geworden. Das Unternehmen blendet dabei aus, dass es selbst erst durch Mängel in der IT Infrastruktur (schwache Passwörter, fehlende Sicherheitspatches) die Möglichkeit für diese mehrfachen Angriffe geschaffen hat. Thema verfehlt, Sechs, setzen!

Fragen Sie doch Ihren Datenschutzbeauftragten

Ihr Datenschutzbeauftragter muss kein IT Profi sein. Er wird jedoch ausreichend Fachwissen mitbringen, um unter anderem auch auf Sicherheitslücken durch schwache Passwörter oder nicht zeitnahe / fehlende Sicherheitspatches konsequent hinzuweisen. Lösungen lassen sich meist unkompliziert durch technische und / oder organisatorische Maßnahmen herbeiführen und das Schutzniveau weiter erhöhen. Seien Sie schlauer und sprechen Sie mit Ihrem Datenschutzbeauftragten. Vermeiden Sie Datenpannen und die damit verbundenen Bußgeldrisiken. Sie haben keinen Datenschutzbeauftragten? Wir helfen gerne weiter.

Sensible Patientendaten in Klinik verschwunden — Datenpanne

von Sascha Kuhrau
12. Oktober 2012

DIE WELT berichtet heute nachmittag online von einer Datenpanne in zwei Kliniken in Baden-Württemberg:

Sicherungsbänder bei Zigarettenpause verbummelt

Der zuständige IT-Mitarbeiter ist wie jeden Tag mit den Sicherungsbändern auf dem Weg vom Serverraum zum Tresor. Unterwegs hält er an einer Rampe für eine kurze Rauchpause an, legt die Bänder auf einem Tisch ab. Nach der Pause ging er wieder an seine Arbeit, jedoch ohne die Sicherungsbänder. Als er seinen Fehler nach einiger Zeit bemerkte und an den Pausen-Ort zurückkehrte, waren die Sicherungsbänder verschwunden. Erschwerend kommt hinzu, dass der Mitarbeiter den Vorfall erst eine Woche später meldete und auch das interne Sicherungskontrollsystem das Verschwinden der Bänder nicht aufgedeckt hat.

Sensible Patientendaten betroffen

300.000 Datensätze sollen die Bänder umfasst haben. Darunter vollständige Patientenakten, Labordaten, Befunde, Arztbriefe und Schriftverkehr bis zurück ins Jahr 1996.

Datenschutzbehörde spricht von gravierendem Vorfall

Die Klinikleitung beteuert, lediglich die Arztbriefe können ausgelesen werden. Für alle weiteren Daten sei spezielle Hard- und Software notwendig. Weitere Ausführungen über eine zusätzliche Verschlüsselung wurden nicht getätigt. Aufgrund der Sensibilität der Daten und der erschreckend hohen Menge spricht der Landesdatenschutzbeauftragte von Baden-Württemberg, Jörg Klingbeil von einem gravierenden Vorfall.

§ 42a BDSG Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten

Lt. Klingbeil hat die Klinik nicht gegen § 42a BDSG verstoßen. Die Datenpanne, wurde wenn auch verspätet, korrekt gemeldet und durch Anzeigen in überregionalen Zeitungen bekannt gemacht. Dies geschah zwar mit Verzögerung, jedoch auf Bitten der Staatsanwaltschaft, um die Ermittlungen zu diesem Zeitpunkt nicht zu gefährden. Alles weitere müsse jetzt geklärt werden.

1
2
3
4
Weiter »

Verstoss

“Es kommt dar­auf an” — Was kos­tet ein exter­ner Datenschutzbeauftragter?

Auf was kommt es bei den Kos­ten für einen exter­nen Daten­schutz­be­auf­trag­ten an?

Wie geht a.s.k. Daten­schutz als exter­ne Daten­schutz­be­auf­trag­te vor?

Was kos­tet es Sie auf jeden Fall …

Inter­nen oder exter­nen Daten­schutz­be­auf­trag­ten bestellen?

Über­sicht der DSGVO Bußgelder

Schon jedem Mal pas­siert — News­let­ter oder Email an vie­le Emp­fän­ger verschickt

Offe­ne News­let­ter-Ver­tei­ler kom­men nicht immer gut an

Lan­des­da­ten­schutz­be­hör­de prüft offe­ne News­let­ter-Ver­tei­ler und ver­hängt Bußgeld

Doch wer zahlt jetzt das Buß­geld für den offe­nen Newsletter-Verteiler?

Aufklärung ist Pflicht — Sorg­fäl­ti­ger Umgang mit News­let­tern-Ver­tei­lern ver­mei­det Bußgelder

Fra­gen Sie doch Ihren Datenschutzbeauftragten

Per­so­nal­aus­weis als Pfand, Per­so­nal­aus­weis-Kopie als Beleg — üblich, aber verboten

Der neue Personalausweis

Kein aus­drück­li­ches Kopier­ver­bot, aber …

War­um den Per­so­nal­aus­weis nicht kopieren?

Der alte Per­so­nal­aus­weis darf aber kopiert werden?

Dann neh­men wir den Per­so­nal­aus­weis eben als Pfand

Aus­nah­men vom Kopier­ver­bot und Pfand­ver­bot für Personalausweise?

“Es kommt darauf an” — Was kostet ein externer Datenschutzbeauftragter?

Auf was kommt es bei den Kosten für einen externen Datenschutzbeauftragten an?

Wie geht a.s.k. Datenschutz als externe Datenschutzbeauftragte vor?

Was kostet es Sie auf jeden Fall …

Internen oder externen Datenschutzbeauftragten bestellen?

Übersicht der DSGVO Bußgelder

Schon jedem Mal passiert — Newsletter oder Email an viele Empfänger verschickt

Offene Newsletter-Verteiler kommen nicht immer gut an

Landesdatenschutzbehörde prüft offene Newsletter-Verteiler und verhängt Bußgeld

Doch wer zahlt jetzt das Bußgeld für den offenen Newsletter-Verteiler?

Aufklärung ist Pflicht — Sorgfältiger Umgang mit Newslettern-Verteilern vermeidet Bußgelder

Fragen Sie doch Ihren Datenschutzbeauftragten

Personalausweis als Pfand, Personalausweis-Kopie als Beleg — üblich, aber verboten

Kein ausdrückliches Kopierverbot, aber …

Warum den Personalausweis nicht kopieren?

Der alte Personalausweis darf aber kopiert werden?

Dann nehmen wir den Personalausweis eben als Pfand

Ausnahmen vom Kopierverbot und Pfandverbot für Personalausweise?