Monthly Archives

August 2019

Whatsapp Alternative

WhatsApp Alternativen für mehr Datenschutz – diese Messenger sollten Unternehmen sich ansehen

By | Allgemein | No Comments

Nicht ganz zu Unrecht ist WhatsApp in Unternehmen nicht unbedingt die erste Wahl für eine schnelle und sichere Kommunikation. Denn der Messenger, der inzwischen Facebook gehört, ist zwar komfortabel und blitzschnell, allerdings beim Datenschutz mangelhaft.

Das stößt schon so manchem Privatuser sauer auf. Doch bei Unternehmen stehen potentiell Interna auf dem Spiel. Entsprechend sollten Firmen sich nach einer WhatsApp Alternative umsehen, die WhatsApp im Unternehmen obsolet macht.

Einige passende Messenger verrät dieser kompakte Überblick.

Warum WhatsApp in Unternehmen nur zweite Wahl ist – Datenschutz und Datensicherheit auf dem Prüfstand

Zunächst einmal ist festzuhalten, dass WhatsApp funktional einer der besten Instant Messenger ist. Dafür sorgt alleine die hohe Verbreitung, die jedoch bei Messengern – anders als etwa bei Social Media – de facto keine Monopolisierung ausgelöst hat.

Dass WhatsApp in Unternehmen und bei privaten Nutzern also Probleme mit dem Datenschutz aufweist, ist in diesem Fall nicht ganz so kritisch. Schließlich kann sich jeder User selbst entscheiden, zu einer WhatsApp Alternative zu wechseln.

Zu den beschriebenen, zuwenigst problematischen Punkten zählen beispielsweise das

  • Speichern (und die potentielle Weitergabe) von Telefonnummern,
  • Geräten und Betriebssystemen, Registrierungsdatum,
  • letztem Log-In
  • und häufig genutzten Funktionen.

Die Weitergabe bezieht sich vor allem auf Werbezwecke, auch Daten aus den Adressbüchern kann der Messenger weitergeben. Das ist bei WhatsApp in Unternehmen natürlich besonders kritisch, etwa dann, wenn die WhatsApp Daten von Kunden an die Werbepartner von WhatsApp und Facebook weitergegibt.

Zudem, auch das ist besonders kritisch, kann WhatsApp die Userdaten  in die USA schicken. Die Daten sind somit nicht an inländische Server und deren hohe Sicherheitsstandards gebunden.

Dass WhatsApp auch Unternehmen mit Features wie der Ende-zu-Ende-Verschlüsselung locken will, ist zwar nett gemeint. Dies schützt aber Firmendaten vor der eigentlichen Gefahr nicht. Denn natürlich ist es lobenswert, dass WhatsApp Unternehmen einen zusätzlichen Schutz der Nachrichten vor dem Zugriff Dritter bietet. Gefährdet sind die Daten aber zunächst einmal durch WhatsApp selbst.

Das lässt sich mit einer WhatsApp Alternative natürlich leicht umgehen. Sichere und mit dem Datenschutz konforme Apps bietet die folgende Liste.

Threema – deutlich sicherer als WhatsApp in Unternehmen

Der Messenger Threema wurde ursprünglich in der Schweiz entwickelt und bietet gleich mehrere Verifizierungsverfahren. Um etwa die Identität eines Nachrichtenempfängers sicher festzustellen, ist ein QR-Code auf dessen Gerät zu scannen.

Personenbezogene Daten werden überhaupt nicht übermittelt und alle gesendeten und empfangenen Daten verschlüsselt. Diese Verschlüsselung macht sich tatsächlich auch in einer winzigen Verzögerung dieser WhatsApp Alternative bemerkbar. Weiter störend ist das nicht, allerdings ist die App auch nicht kostenlos.

Ideal ist Threema damit vor allem für kleinere Unternehmen mit zentral verwalteter IT und für die interne Kommunikation.

Teamwire – ein Messenger für Unternehmen

Anders als WhatsApp, das für Unternehmen doch nur ein zweckentfremdeter Messenger für private User ist, ist Teamwire eine App für die Firmenkommunikation.

Das bedeutet, dass man beispielsweise Team-Kanäle einrichten kann, was die Kommunikation in Unternehmen doch deutlich erleichtert. Mit Umfragen, Admin-Funktionen, Anbindung an IoT-Systeme und maßgeschneiderten Team-Alarmen bietet Teamwire zusätzliche Tools, die WhatsApp einem Unternehmen nicht bieten kann.

Auch die Basics stimmen und Teamwire ist mindestens eine vollkommen funktionale WhatsApp Alternative . Das anpassbare Design erlaubt zudem etwas mehr Flexibilität.

Außerdem ist das Messaging absolut konform mit der neuen Datenschutzgrundverordnung (DSGVO).

Telegram – ein leichter Umstieg

Telegram ist nicht nur als Ersatz von WhatsApp in Unternehmen reizvoll, sondern auch für private User. Die Verschlüsselung erfolgt zwischen Sender, Server und Client, so dass nur Sender und Empfänger Nachrichten lesen können. Eine Ende-zu-Ende-Verschlüsselung und automatisches Löschen der Nachrichten kann zudem auf Wunsch aktiviert werden. (Der Fairness halber: WhatsApp bietet diese Funktion für mehr Datenschutz auch.)

Über Telegram kann man auch große Dateien verschicken und muss Bildanhänge nicht komprimieren. Das macht Telegram auch zu einer guten Wahl für einen schnellen Datenaustausch zwischen Smartphone und Desktop-Client.

Das Unternehmen selbst ist aber etwas intransparent, bedenkenlos kann Telegram daher nicht empfohlen werden.

Datenschutz und schnelles Messaging für Unternehmen

Wie dieser Überblick zeigen sollte, muss es nicht immer WhatsApp sein. Natürlich haben viele User die App bereits installiert. Dies macht es so komfortabel, sie auch im professionellen Kontext zu nutzen – aus Datenschutzgründen ist davon allerdings abzuraten.

Telegram, Threema, Teamwire oder auch ginglo, Signal und Hoccer sind veritable Alternativen, die mehr Datenschutz bieten, aber Komfort und Funktionen nicht vermissen lassen.

DSFA

DSFA – Wir erklären die Datenschutz Folgenabschätzung

By | Allgemein | No Comments

Die Einführung der DSGVO im Frühjahr letzten Jahres hat insbesondere für Unternehmen eine große Reihe von rechtlichen Konsequenzen gehabt. Eine dieser Änderungen betrifft die so genannte Datenschutz Folgenabschätzung (DSFA). In dieser Hinsicht wurden die gesetzlichen Vorgaben gegenüber der alten Fassung des BDSG deutlich ausgeweitet.

Wann ist eine Datenschutz Folgenabschätzung notwendig?

Bei der Datenschutz Folgenabschätzung geht es, wie der Name bereits sagt, um die Abschätzung der Folgen von Maßnahmen im Hinblick auf den Datenschutz. Hierzu lauten die entsprechenden Ausführungen in Art. 35 Abs. 1 S. 1 der DSGVO wie folgt:

Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch.

Wie bereits auf den ersten Blick erkennbar ist, handelt es sich um keine Kann- oder Soll-, sondern um eine Mussbestimmung. Immer wenn ein hohes Risiko in Sachen Datenschutz besteht, ist daher eine DSFA durchzuführen. Andererseits handelt es sich gleichwohl um eine Vorschrift, die eine Ermessensausübung durch den Datenschutzbeauftragten in Form einer Abwägung notwendig macht. Im Rahmen einer vorausschauenden Betrachtung der Sachlage muss er die Wahrscheinlichkeit eines Eintritts von Problemen beim Datenschutz überprüfen. Nur sofern hier ein hohes Risiko besteht, ist die DSFA zwingend vorgeschrieben.

Worum geht es bei der Datenschutz Folgenabschätzung inhaltlich?

Nachdem der gesetzliche Rahmen für die Notwendigkeit der Durchführung einer DSFA damit abgesteckt ist, geht es im nächsten Schritt um deren Durchführung. Die Datenschutz Folgenabschätzung erfolgt in mehreren Abschnitten. Dabei handelt es sich um folgende drei Phasen:

  • Vorbereitung:
    Definition des Gegenstands der Prüfung sowie der Akteure und rechtlichen Grundlagen
  • Bewertung:
    Einschätzung der bestehenden Risiken in Sachen Datenschutz
  • Maßnahmen:
    Implementierung von Regeln und Maßnahmen zur Prävention von Datenschutzverletzungen

Wichtig ist dabei, sämtliche Schritte gut zu dokumentieren, um einen Nachweis über die Durchführung der Datenschutz Folgenabschätzung zu haben. Dies ist nicht zuletzt deshalb wichtig, weil Art. 35 Abs. 1 S. 2 der DSGVO festlegt, dass bei ähnlichen Bearbeitungsvorgängen eine einzige DSFA für alle diese Vorgänge vorgenommen werden kann. Durch die Dokumentation sind daher auch kurze Zeit später auftretende Probleme verwandter Art mit abgedeckt.

Regelbeispiele nach Art. 35 Abs. 3 DSGVO

Wie bereits ausgeführt, obliegt dem durchführenden Organ der DSFA die Pflicht einer Abwägung der Risiken. Hier können die Ergebnisse naturgemäß je nach Charakter der Verantwortlichen variieren. In bestimmten Fällen gibt jedoch der Gesetzestext der DSGVO vor, dass eine DSFA zwingend durchzuführen ist. Die entsprechenden Regelbeispiele lassen sich in Art. 35 Abs. 3 DSGVO finden. Diese Fallbeispiele lauten:

  1. Systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen,
  2. umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10, oder
  3. systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche.

Eine DSFA ist demnach aufgrund von Fallgruppe eins immer dann notwendig, wenn das Maß an Verarbeitung persönlicher Daten in einen Bereich gelangt, in dem die Erstellung persönlicher Profile möglich ist. Fallgruppe zwei betrifft dagegen die Notwendigkeit der Durchführung einer DSFA, wenn die gespeicherten personenbezogenen Daten sich sensible strafrechtliche Informationen beziehen. Fallgruppe drei schließlich betrifft die Erstellung und Speicherung von Fotos und Videoaufzeichnungen, die im öffentlichen Raum gemacht wurden.

Im Zweifel immer eine DSFA durchführen

Die genannten Beispiele zeigen, dass es dem Gesetzgeber bei der Datenschutz Folgenabschätzung darum geht, besonders heikle Aspekte des Datenschutzes besser in den Griff zu bekommen. Entsprechend der Beispiele fällt es deutlich einfacher, die gesetzlichen Anforderungen besser zu verstehen, da dass erforderliche hohe Risiko auf diese Weise deutlich besser begreifbar ist. Festzuhalten bleibt aber, dass die Latte zwecks Meidung von Risiken im Zweifel immer eher zu niedrig als zu hoch aufgelegt werden sollte, wenn es um die Frage der Notwendigkeit einer DSFA geht.

Personalisiertes Marketing

Personalisiertes Marketing und DSGVO: Der richtige Umgang mit persönlichen Kundendaten

By | Allgemein | No Comments

Durch das Inkrafttreten der DSGVO im Frühjahr 2018 haben sich die gesetzlichen Rahmenbedingungen für personalisiertes Marketing entscheidend verändert. Die Rechte von Verbrauchern in Bezug auf die Erlangung, Speicherung und Löschung von Daten wurden stark ausgeweitet.

Dem müssen Unternehmen beim Umgang mit persönlichen Daten Rechnung tragen, da auch die Sensibilität von Verbrauchern im Hinblick auf einen effektiven Datenschutz in den letzten Jahren stärker geworden ist. Daher sind die relevanten Faktoren regelmäßig anhand einer Checkliste zu überprüfen, um einen möglichst sicheren und transparenten Schutz von Daten dauerhaft zu gewährleisten. Folgende Aspekte sind dabei von besonderer Relevanz:

Kontaktformulare

Ob es um die Beantwortung von Fragen, die Bestellung von Waren oder das Abonnieren eines Newsletters geht: Kaum eine Firmenseite im Internet kommt ohne Kontaktformular aus. Damit eine Antwortmöglichkeit gegeben ist und der Kunde persönlich angesprochen werden kann ist die Erhebung bestimmter persönlicher Daten unumgänglich. Sofern mit den Daten personalisiertes Marketing betrieben werden soll, bedarf es einer entsprechenden expliziten Einwilligung durch den Nutzer.

Anderenfalls stellt die Verwendung der Daten für personalisiertes Marketing einen Verstoß gegen die DSGVO dar. Aufgrund der möglichen hohen Bußgelder ist an diesem Punkt eine klare Darlegung des Verwendungszwecks der Daten unumgänglich. Weiterhin kommt es darauf an, Daten möglichst sparsam zu erheben und damit nur die Daten, die für den jeweiligen Zweck unerlässlich sind. Darüber hinaus sollte die Verschlüsselung höchsten technischen Ansprüchen genügen.

Newsletter- und E-Mail-Marketing

Wie bereits erklärt, kommt es insbesondere in Bezug auf personalisiertes Marketing mittels Newsletter oder E-Mail entscheidend auf eine explizite Einwilligung des Nutzers an. Auch wenn die DSVGO hierzu keine verbindlichen Vorgaben macht, gehört auf die Checkliste, dass personalisiertes Marketing nur nach einem Double-Opt-In-Verfahren zulässig sein sollte.

Der Nutzer sollte daher nicht nur auf der Seite angeklickt haben, dass er personalisiertes Marketing wünscht, sondern außerdem per E-Mail zusätzlich seine Einwilligung für personalisiertes Marketing erteilt haben. Weiterhin sollte jeder Newsletter bzw. jede E-Mail einen Link enthalten, über den sich der Bezug von Werbung, bei gleichzeitiger Löschung der Daten gemäß DSGVO, beenden lässt.

Cookies

Im Hinblick auf die Einhaltung der Grundsätze der DSGVO haben auch Cookies eine Relevanz, die durch die Seiten eines Unternehmens automatisch auf den Rechnern von Nutzern platziert werden. Auch wenn es sich hierbei nicht um personalisiertes Marketing handelt, ist dieser Punkt auch im Rahmen dieses Artikels notwendig, da auch insoweit eine Aufklärungspflicht sowie die Notwendigkeit der Einholung einer Erlaubnis durch den Nutzer besteht.

Auftragsverarbeitung

Auf die Checkliste zur Einhaltung der DSGVO gehört außerdem der Unterpunkt Auftragsverarbeitung. Da es sich dabei um die Weitergabe von persönlichen Kundendaten an Dritte zwecks Bearbeitung von Aufträgen handelt, ist dieser Bereich besonders sensibel und entsprechend gut technisch wie formal abzusichern.

Social Plugins

Social Plugins für Plattformen des Web 2.0 sollten ebenfalls Teil der Checkliste für eine regelmäßige Überprüfung der Datensicherheit nach der DSGVO sein. Personalisiertes Marketing auf diesem Wege zu betreiben ist in der einfachen Form nach der DSGVO ohnehin nicht mehr zulässig. Vielmehr ist eine 2 Klick Lösung notwendig, bei welcher der Nutzer den Sharing Button zunächst aktiv freischaltet, ehe er diesen anklickt.

Recht auf Vergessenwerden

Unerlässlich für die Checkliste ist außerdem ein Unterpunkt im Hinblick auf eine effektive Löschung von Daten. Im Hinblick auf die Nutzung, Änderung und Löschung von Daten wurden die Rechte von Verbrauchern durch die DSGVO entscheidend ausgeweitet. Daher sollten die technischen Grundlagen so ausgestaltet sein, dass jeweils eine vollständige Löschung vollzogen wird und eine versehentliche Nutzung für personalisiertes Marketing sicher ausgeschlossen werden kann.

Überprüfung der Bestandsdaten

Neben der zukünftigen Weiterentwicklung des Datenschutzes im Sinne der DSGVO geht es auch um die Überprüfung der in der Vergangenheit gesicherten Bestände von persönlichen Daten. Deren Speicherung und Nutzung sind anhand der neuen rechtlichen Rahmenbedingungen zu überprüfen. Eventuell notwendige Genehmigungen sind nachträglich einzuholen.

Cloudsicherheit

Cloudsicherheit – Personenbezogene Daten in der Cloud

By | Allgemein | No Comments

Cloudsicherheit – Datenschutz in der Cloud

Die Speicherung von Daten in der Cloud gilt als sicher und praktisch. Die Daten können quasi von jedem Ort der Welt abgerufen werden. Einzige Voraussetzung ist eine funktionierende Internetverbindung. Da die Daten in der Cloud einer Verschlüsselung unterliegen, sind die Bestimmungen zum Datenschutz zunächst gewährleistet.

In der Praxis ist es aber so, dass jedes Land eigene Datenschutzbestimmungen hat. Dies ist dann ein Problem, wenn Daten, die ein Unternehmen gespeichert hat, in einem anderen Land abzurufen sind. Es gilt, die Cloudsicherheit für personenbezogene Daten in der Cloud in jedem Land der Welt zu garantieren. Doch in diesem Bereich gibt es noch Nachholbedarf.

Cloudbasierte Lösungen von verschiedenen Anbietern

Die Möglichkeit der Datenspeicherung in der Cloud wird häufig als sogenannte Software-as-Service Leistung angeboten. Dies bedeutet, dass ein Anbieter die Oberfläche zur Verwaltung der Daten sowie den Speicherplatz zur Verfügung stellt. Für das Unternehmen ergibt sich der Vorteil, dass es sich nicht selbst um die Sicherung der Daten kümmern muss. Dies übernimmt der Anbieter. Das Unternehmen pflegt die Daten ein. Für die notwendige Sicherheit der Daten und die Verschlüsselung ist der Anbieter verantwortlich. Somit können sich Unternehmen auf ihr Kerngeschäft konzentrieren und brauchen sich um die Cloudsicherheit nicht zu kümmern.

Es gibt verschiedene Anbieter auf dem Markt, die Lösungen für die Cloudsicherheit anbieten. Bei der Auswahl des Anbieters ist es nicht nur wichtig, auf die einzelnen Leistungskomponenten zu achten. Auch der Datenschutz ist ein wichtiges Kriterium. Sitzt der Anbieter im Ausland, können womöglich andere Bestimmungen gelten als hierzulande.

Ablage von personenbezogenen Daten im Cloudspeicher

Eine hohe Cloudsicherheit ist sehr wichtig, um die im Cloudspeicher hinterlegten personenbezogenen Daten zu schützen. Dabei handelt es sich im Kern um Namen und Adressen. Aber auch E-Mail-Adressen sind bei Datendieben sehr begehrt und sollten deshalb mit einer Verschlüsselung versehen werden. Sitzt der Anbieter für den Cloudspeicher im Ausland oder werden Daten international abgerufen, gilt für die Verwaltung häufig der Datenschutz des Landes, in dem der Anbieter sitzt. Der Kunde sollte wissen, dass in Europa sehr strenge Datenschutzbestimmungen gelten. In anderen Staaten gibt es Vorschriften, die häufig nicht so streng ausgelegt werden.

Zu diesen Ländern gehören beispielsweise die USA. Viele cloudbasierte Anwendungen arbeiten eng mit Google zusammen. Das Unternehmen sitzt in den USA, und so gelten zunächst die Bestimmungen des Landes. Da sich der Datenschutz in Deutschland und in anderen europäischen Ländern von den US-amerikanischen Vorschriften unterscheiden, werden für die Gewährung der Cloudsicherheit in Europa sogenannte Auftragsverarbeitungsverträge geschlossen.

In einem solchen Vertrag werden alle relevanten Maßnahmen zur Cloudsicherheit festgehalten. Somit kann der Datenschutz auch dann nach europäischem Recht zugesichert werden, wenn das Unternehmen in einem Drittland registriert ist, in dem andere Bestimmungen gelten.

Verschlüsselung der Daten gemäß Datenschutzverordnung

Bei der Auswahl eines Anbieters für eine cloudbasierte Speicherlösung ist es wichtig, dass auf die Inhalte geachtet wird, die in dem Auftragsverarbeitungsvertrag festgelegt wurden. Unternehmen, die ihren Firmensitz im nichteuropäischen Ausland unterhalten, sollten sich verpflichten, die Bestimmungen nach Artikel 46 DSGVO einzuhalten. Speziell handelt es sich um das EU-US-Privacy-Shield-Zertifikat sowie Standarddatenschutzklauseln, die europäischem Recht entsprechen. Hat sich der Anbieter zur Einhaltung dieser Vorschriften in Bezug auf die Cloudsicherheit verpflichtet, kann der Kunde sicher sein, dass der Datenschutz nach europäischem Recht gesichert ist.

Trusted Cloud Logo für den Speicherort der Daten

Die Datenspeicherung für die Daten deutscher Kunden kann auch auf ausländischen Servern erfolgen. Auch hier ist es wichtig, dass trotz der Datenspeicherung im Ausland die Cloudsicherheit nach europäischem Recht sichergestellt wird. Kunden sollten bei der Auswahl des Anbieters auf des Trusted Cloud Logo achten. Hierbei handelt es sich um ein Zertifikat, das die Cloudsicherheit nach den Vorgaben sicherstellt, die vom Bundesministerium für Wirtschaft und Energie und der Stiftung Datenschutz erarbeitet wurden.

Trägt der Anbieter dieses Siegel, hat der Kunde die Sicherheit, dass sowohl die Verschlüsselung der Daten als auch die Cloudsicherheit deutschem und europäischem Recht entsprechen. Viele Anbieter unterhalten darüber hinaus Server in Deutschland. Ist dies sichergestellt, gibt es in Bezug auf den Datenschutz keine Unklarheiten und die Rechtslage ist klar. Bei der Wahl des Anbieters ist es somit unabdinglich, auf diese sicherheitsrelevanten Aspekte für den Datenschutz zu achten.

Datenschutzverstoss

Datenschutzverstoß: 6 Fehler, die Sie vermeiden sollten!

By | Allgemein | No Comments

Es ist nicht unbekannt, dass es beim Datenschutzverstoß zu hohen Bußgeldzahlungen kommen kann. Seien Sie auf der sicheren Seite und stellen Sie sicher, dass sie die folgenden 6 Fehler im Sinne der DSGVO nicht machen werden.

Fehler 1 – Keine Dienstleisterliste

Ihr Unternehmen besitzt keine geführte Liste über Lieferanten, Kunden und Beschäftigen, die personenbezogene Daten erheben und verarbeiten.

Nach Art. 30 DSGVO ist der/die Verantwortliche dazu verpflichtet, ein Verzeichnis von Verarbeitungstätigkeiten zu führen. In dieser Liste sind sämtliche Informationen zu Datenverarbeitungstätigkeiten zusammengefasst, vor allem Angaben zum Zweck der Verarbeitung und über die Art der personenbezogenen Daten.

Das Verzeichnis von Verarbeitungstätigkeiten ähnelt inhaltlich der alten Verfahrensverzeichnisse nach dem BDSG.

Fehler 2 – Datenschutzrichtlinie nicht vorhanden

Es fehlt eine klar definierte Datenschutzrichtlinie, welche auch „meldepflichtige“ Ereignisse festhält.

Meldepflichtige Fälle wären zum Beispiel:

  • Beschwerden von Betroffenen, z.B. ihrer Webseitennutzer
  • Einsatz eines neuen Dienstleisters, der personenbezogene Daten verarbeitet
  • Werbemaßnahmen, z.B. Versand von Newslettern
  • Online Marketingmaßnahmen, z.B. Conversion Tracking, Google AdWords
  • Einführung eines neuen Tools oder Systems
  • Verkauf von Teilen des Unternehmens

Eine solche Liste dient als Handlungshilfe für ihre Mitarbeiter und sollte stets aktualisiert werden.

Fehler 3 – Meldung von Datenschutzverstoß nach 72 Stunden

Überschreiten der gesetzlich vorgeschriebenen Meldefrist von 72 Stunden, bei einer Verletzung des Schutzes personenbezogener Daten.

Nach Art. 33 Abs.1 DSGVO sind Unternehmen verpflichtet, im Fall einer Verletzung des Schutzes personenbezogener Daten, diese unverzüglich bei der zuständigen Aufsichtsbehörde registrieren zu lassen. Jedoch kann von der Meldung abgesehen werden, wenn klar ist, dass kein Risiko für die Rechte und Freiheiten einer natürlichen Person besteht.

Fehler 4 – Betroffene werden nicht informiert

Betroffene werden nach dem Fall eines datenschutzrechtlichen Verstoßes nicht informiert.

Nach Art. 34 DSGVO müssen Betroffene informiert werden, wenn gegen den Schutz ihrer personenbezogenen Daten verstoßen wurde oder ein hohes Risiko für die Rechte und Freiheiten besteht.

Fehler 5 – Datenschutz- Folgeabschätzung nicht vorhanden

Ihr Unternehmen hat keine Risikoabschätzung von (besonders) sensiblen personenbezogenen Daten durchgeführt. Bei unzureichend umgesetzten Maßnahmen, wie diese zum Beispiel, kann ein Bußgeld in Höhe von max. 2% des (weltweit) erzielten Jahresumsatz drohen.

Wenn ihr Unternehmen besonders sensible Daten verarbeitet oder die Datenverarbeitung dazu bestimmt ist Persönlichkeit, Fähigkeiten, Leistungen oder Verhalten von Betroffenen zu bewerten, müssen wahrscheinliche Risiken für die Rechte und Freiheiten des Betroffenen von einem*r Datenschutzbeauftragten geprüft werden. Die abschließende Stellungnahme zur Rechtmäßigkeit der Datenverarbeitung ist nichts anderes als die Bewertung von Risiken und deren mögliche Folgen.

Fehler 6 – Unternehmen ist handlungsunfähig

Ihr Unternehmen kann im worst case nicht handeln, da es keinen geeigneten Mechanismus gibt, der die geforderten Melde- und Informationspflichten initiiert.

Implementieren Sie eine*n Datenschutzbeauftragte*n und wenn benötigt in den verschiedenen Abteilungen eine*n Verantwortliche*n für den Datenschutz (Datenschutz-Koordinator*in). Die verantwortlichen Personen müssen Datenschutzverletzungen erkennen, sie bewerten und im letzten Schritt aktiv handeln. Der/ Die Datenschutzbeauftragte hat zu prüfen, welches Risiko für die Rechte und Freiheiten von Betroffenen vorliegt.

Sorgen Sie vor!

Damit Sie und/oder ihr Unternehmen sicherstellen, dass die DSGVO zu genüge umgesetzt wird, wird ihnen von der neuen Gesetzgebung vorgeschrieben ein Datenschutzmanagement einzurichten. Verantwortliche im Datenschutzmanagement tragen dafür Sorge, dass die Datenschutzrichtlinien erfüllt werden als auch sichergestellt wird, dass diese nachweisbar gemacht werden.

Die DSGVO und Social Media Marketing

Die DSGVO und Social-Media-Marketing

By | Allgemein | No Comments

Sie als Social-Media-Experte mussten sich unweigerlich mit der neuen Datenschutzgrundverordnung auseinandersetzen. Dabei ist nicht nur die DSGVO sondern auch die e-Privacy-Verordnung von großer Bedeutung im Social-Media-Marketing. Was sie dabei berücksichtigen sollten und das die DSGVO Ihnen einen Vorteil bietet, erfahren sie im Folgenden.

Berücksichtigung der DSGVO und der e-Privacy-Verordnung

Seit dem 25. Mai 2018 gilt die Datenschutzgrundverordnung für alle EU-Länder verbindlich. Hinsichtlich des alten Bundesdatenschutzgesetzes bringt die DSGVO teilweise auch Vereinfachung für Sie als Werbetreibenden mit.

Was bringt die DSGVO dem Werbetreibenden?

Mit der Einführung der DSGVO wird nun dem Unternehmen ein berechtigtes Interesse an der Verwendung von personenbezogenen Daten zu Marketingzwecken zugeschrieben. So stehen sich die Persönlichkeitsrechte der natürlichen Person und die Interessen des Werbetreibenden in einem ausgeglicheneren Verhältnis gegenüber als vorher.

Doch trotz dieser guten Nachricht, stellt die DSGVO hohe Anforderungen an Sie.

Was sind die wichtigstes Aspekte der DSGVO für den Werbetreibenden?

Das berechtigte Interesse

Um personenbezogene Daten einer natürlichen Person für Marketingzwecke zu verwenden, müssen die berechtigen Interessen des Unternehmens das Recht des Einzelnen überwiegen. Diese müssen vorab gründlich abgewägt werden. Beschrieben ist dies in Art. 6 Abs. 1 S. 1 lit. f. DSGVO. Zudem muss der Grad der Beeinträchtigung der betroffenen Person untersucht werden. Diese Analyse bezieht sich maßgeblich auf öffentlich zugängliche Daten, wie Kontaktdaten aus einem Impressum oder Daten aus einem öffentlichen Profil.

Die Einwilligung einholen

Ist das berechtigte Interesse des Unternehmens nicht eindeutig oder bestehen Zweifel daran, dass die Daten an dieser Stelle erhoben, verarbeitet und genutzt werden, ist eine eindeutige Einwilligung des Betroffenen Voraussetzung.

Für das Social-Media-Marketing im Hinblick auf die DSGVO ist es genau so wichtig wie für die Nutzung von Webseiten – das Opt-In-Verfahren: Hierbei bedarf es einer aktiven und eindeutigen Einwilligungserklärung des Nutzers. Auch eine elektronische Angabe, wie das Anklicken eines Kontrollkästchens ist legitim. Zudem muss dem Nutzer detailliert und transparent aufgezeigt werden, welche persönlichen Daten erhoben, verarbeitet und genutzt werden und zu welchem Zweck. Wenn unterschiedliche Zwecke im Fokus stehen, muss für jedes einzelne Anliegen eine gesonderte Zustimmung des Nutzers erfolgen.

Die Datensicherung ist nur solange rechtens, wie die jeweilige Information des Zwecks benötigt wird.

Anonymisierung oder Pseudonymisierung der Nutzerdaten

Damit die Datennutzung- und Speicherung zulässig ist, müssen persönliche Daten wie Namen, Email-Adressen, IP-Adressen oder Andere die Identität einer Person spezifizierenden Daten pseudonymisiert oder anonymisiert werden.

Was ist bei der e-Privacy-Verordnung zu beachten?

Die e-Privacy-Verordnung beschäftigt sich genauer mit Tracking und der Verwendung von Cookies. Ein Hauptziel ist eine einheitliche Grundlage für die Einwilligungserklärung in die Nutzung von Cookies einzurichten. Wichtig ist, dass immer ein eindeutiger Hinweis über die Cookie-Nutzung erforderlich ist, sobald eine Seite ein Datenpaket zur Verarbeitung an das Gerät des Nutzers schickt. Häufig wird eine indirekte Einwilligung des Nutzer eingeholt, über: „Durch die weitere Nutzung unserer Seite stimmen Sie der Verwendung von Cookies zu.“

Das Social-Media-Marketing wird immer bedeutender. Kaum ein Unternehmen verfügt und bespielt noch nicht die unterschiedlichen Social-Media-Kanäle Twitter, Instagram, Facebook, Youtube & Co.. Oftmals erhält der Marketing-Experte in Echtheit Feedback über seine Werbekampagnen. Doch zugleich wird die Nutzung dieser Kanäle zu einer echte Herausforderung, wenn es um den Datenschutz geht.

Worauf muss bei Social-Media-Marketing besonders geachtet werden?

Die Impressumspflicht

Jedes Social-Media-Profil, welches geschäftlich genutzt wird, muss über ein Impressum, wie auf einer Webseite, verfügen. Wichtig sind bei der Impressumspflicht die Nennung von:

  • Nennung des Betreibers des Profils
  • vollständige Adresse des Betreibers (ACHTUNG: Postfächer sind als Adressangabe nicht ausreichend)
  • Vertretung des Unternehmens
  • Kontaktdaten (Telefon, Fax, Email)
  • Registereintrag des Unternehmens, bei Freiberufler ist die Standeskammer zu nennen
  • Angabe der Umsatzsteuer-ID
  • Aktiengesellschaften mit beschränkter Haftung müssen dies im Impressum angeben

Der Facebook-Pixel

Mit Hilfe des sogenannten Facebook-Pixels kann die geschaltete Werbeanzeige und das Verhalten der jeweiligen Nutzer analysiert werden. Es handelt sich hier um einen Tracking-Code. Auch lassen sich Zielgruppenanalysen zur Optimierung einer Ad erstellen. Beachten müssen Sie dabei, dass der Nutzer eine Opt-out-Möglichkeit erhält, um dem Tracking zu widersprechen.

Die Einbindung von Social-Media-Plugins

Hinsichtlich des Datenschutzes der Nutzer ist die Einbindung von Social-Media-Buttons auf Unternehmensseiten recht problematisch. Durch ihre direkte Einbindung erhalten die genannten Social-Media-Unternehmen unbegrenzten Zugriff auf die Daten der Webseitenbesucher. Dabei ist es unerheblich, ob der Nutzer über ein Profil derjenigen Social-Media-Platformen besitzt, eingeloggt ist oder nicht. Ohne die Einwilligung des Nutzers ist eine solche Übermittlung von Daten unzulässig und das Unternehmen kann rechtlich in die Verantwortung genommen werden. Die Folge bei einem solchen Datenschutzverstoß sind Abmahnungen oder Bußgeldstrafen.

Was muss beim Social-Media-Monitoring beachtet werden?

Für Social-Media Experten ist das Social-Media-Monitoring ein häufig genutztes Werkzeug, um eine optimale Marketing-Strategie zu fahren. Beim Social-Media-Monitoring werden die sozialen Medien nach verschiedenen Informationen und Nutzerprofilen durchsucht, die für Unternehmen interessant sein können. Mit Keywords wird gezielt nach jenen Themen, Meinungen, Kritikern, Influencern etc. gefiltert, die für die Marketingstrategie relevant sind.

Ausschlaggebend für die Rechtmäßigkeit dieser Vorgänge sind die individuellen Privatsphäre- (Privacy) Einstellungen der Nutzer. Diese kann der Nutzer auf der jeweiligen Social-Media-Platform einstellen. Wurde das Profil beispielsweise auf „öffentlich“ gestellt, handelt es sich um öffentlich einsehbare Daten und das Social-Media-Monitoring ist legitim. Dennoch fällt diese Analyseart unter die „Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden“, Art. 14 DSGVO.

Praxisempfehlung

Für jeden Marketing-Experten und für jedes Unternehmen ist es unabdingbar, sich mit der DSGVO zu beschäftigen. Sei es für die Aktualisierung der Webseite, dem Einrichten von Social-Media-Profilen oder für das Social-Media-Marketing, die Datenschutzgrundverordnung muss korrekt umgesetzt werden. Um ein Gefühl für die Materie zu entwickeln, sollte man sich als Betroffene*r zumindest einmal die Artikel 1-22 sowie 24-34 DSGVO durchlesen.