Category

Allgemein

Impressumspflicht: Darauf sollten Sie in jedem Fall achten!

By | Allgemein | No Comments

Die Anbieter- Kennzeichnungspflicht, einfach Impressum genannt, ist im Telemediengesetz (TMG) geregelt. Die Impressumspflicht stellt sicher, dass die Kontaktdaten des Webseitenbetreibers gut erkennbar und korrekt angegeben werden. Das Impressum dient der Transparenz und dem Verbraucherschutz.

  1. Benötige ich ein Impressum?

Die Impressumspflicht gilt für alle Webseitenbetreiber, die Produkte, Dienstleistungen und anderes über ihre Seite vertreiben. Selbstständige und Freiberufler sowie Unternehmen, die sich im Web präsentieren müssen auch für ein Impressum sorgen.

Webseiten wie auch Blogs, welche „ausschließlich persönlichen oder familiären Zwecken dienen“ benötigen kein Impressum. Jedoch, sobald Produktplatzierungen auf der Webseite vorgenommen werden, muss die Anbieter- Kennzeichnungspflicht umgesetzt werden.

Kurz gesagt: Dient die Webseite nicht rein privaten Zwecken, ist ein Impressum pflicht. Da eine Grenze nicht immer klar erkennbar ist, geht man besser auf Nummer sicher und fügt ein Impressum auf seiner Webseite ein.

  1. Wie ist die Impressumspflicht in den Sozialen Medien geregelt?

Auch auf Facebook, Twitter und Co. gilt die Impressumspflicht. Die Inhalte eines Impressums in den social media unterscheidet sich nicht von dem auf einer „normalen“ Webseite. Auch hier muss das Impressum mit wenigen Klicks auffindbar und gut lesbar sein. Die personen- bzw. unternehmensbezogenen Daten dürfen sich nicht von den angegebenen Daten unterscheiden.

  1. Wo muss das Impressum auf der Webseite stehen?

Genauso wichtig wie der Inhalt, ist die Platzierung des Impressums. Es ist darauf zu achten, dass der Webseitennutzer das Impressum schnell findet und immer aufrufen kann. Es ist zu gewährleisten, dass das Impressums stets mit einem Klick erreichbar ist. Wünschenswert ist, dass das Impressum in der Menüleiste als „Anbieterkennzeichnung“ oder „Impressum“ zu finden ist.

  1. Gibt es Pflichtangaben, die ich einhalten muss?

Das Telemediengesetz beschreibt in §5 folgende Pflichtangaben:

  • Nennung des Betreibers der Webseite
  • vollständige Adresse des Betreibers (ACHTUNG: Postfächer sind als Adressangabe nicht ausreichend)
  • Vertretung des Unternehmens
  • Kontaktdaten (Telefon, Fax, Email)
  • Registereintrag des Unternehmens, bei Freiberufler ist die Standeskammer zu nennen
  • Angabe der Umsatzsteuer-ID
  • Aktiengesellschaften mit beschränkter Haftung müssen dies im Impressum angeben

Es ist darauf zu achten, dass Postfächer nicht als Adressangabe ausreichen. Weiterhin sind Mehrwertdienste- Rufnummer sowie 0900- Nummer und 0180- Nummern ebenfalls nicht ausreichend.

  1. Welche Angaben sind in einem Impressum noch notwendig?

 Neben den Pflichtangaben, welche in Punkt 4 aufgelistet sind, gibt es erforderliche Zusatzangaben. Diese sind vor allem bei journalistisch geprägten Angeboten notwendig.

Hier sollte der Zusatz „Verantwortlich für den Inhalt (mit Vorname, Nachname und Adresse)“

gemacht werden.

Als Dienstleister müssen sie auch die Angaben nach DL-InfoV (Dienstleistungs- Informationspflicht-Verordnung) als ergänzende Pflichtangabe beachten.

  1. Was Passiert bei Missachtung der Impressumspflicht?

Webseitenbetreiber die die Impressumspflicht missachten, können mit unterschiedlichen rechtlichen Konsequenzen rechnen. Zum Einen kann wegen einer Wettbewerbsverletzung gegen Sie vorgegangen werden. Teure Abmahnungen oder sogar eine Anklage kann daraus resultieren.

Zum Anderen kann ein Bußgeld in Höhe von maximal 50.000€ verhängt werden.

Achten Sie darauf, dass ihr Impressum immer auf dem aktuellsten Stand ist! Denn auch auf Grund eines veralteten Impressums kann gegen Sie rechtlich vorgegangen werden.

  1. Fazit zum Impressum auf ihrer Webseite

Als Webseitenbetreiber sollten Sie immer auf die Vollständigkeit ihres Impressums achten. Auch ist eine leicht verständliche Sprache und gute Übersicht der Informationen zum Vorteil ihrer Webseitennutzer.

Geben Sie auf jeden Fall an:

  • den Betreiber der Webseite,
  • die Rechtsform des Unternehmens,
  • den Vertreter bei juristischen Personen,
  • die Adresse,
  • den Sitz des Unternehmens,
  • die Kontaktdaten (Emailadresse, Telefonnummer),
  • die Handeslregisterdaten und
  • die Umsatzsteueridentifikationsnummer.

Online-Shopbetreiber sowie besondere Berufsgruppen oder Vereine sollten sich zudem genauestens über weitere Pflichtangaben informieren.

Neben dem Impressum ist eine Datenschutzerklärung eine weitere Pflichtseite für ihren Webauftritt.

Datenschutzerklärung: Tipps im Hinblick auf die DSGVO

By | Allgemein | No Comments

Mit dem Inkrafttreten der DSGVO vom Mai 2018 ist jeder Webseitenbetreiber verpflichtet den Nutzer über seine Datenerhebung zu informieren. Ihre Datenschutzerklärung erweitert ihre Webseite um die Attribute Transparenz und Vertrauen. Damit ihre Datenschutzerklärung Sicherheit und Transparenz bei ihrem Webseitennutzer bewirkt, haben wir hier die wichtigsten Tipps für Sie zusammen gestellt.

  1. Warum braucht jeder Webseitenbetreiber eine Datenschutzerklärung?

Die Datenschutzerklärung informiert den Webseitennutzer vollumfänglich über die Speicherung und Verwendung seiner persönlichen Daten. Persönliche Daten, welche von dem Betreiber genutzt werden können umfassen u.a.:

  • Name/ Email-Adresse/ Telefonnummer
  • Standortdaten
  • IP-Adresse
  • personenbezogene Cookies

Der Webseitenbetreiber soll aufklären, wie diese Daten von ihm oder Dritten verwendet werden. Eine Widerspruchsmöglichkeit muss sofort erkennbar angezeigt werden.

  1. Was bringt eine Datenschutzerklärung?

Der Webseitenbetreiber ist verpflichtet im Rahmen der EU-DSGVO eine Datenschutzerklärung vollumfänglich und ausformuliert auf seiner Webseite anzuzeigen. Mit dem Informieren des Nutzers über die Art und den Umfang der Datenverarbeitung sichert sich der Betreiber rechtlich ab. Nach der DSG-Verordnung ist er verpflichtet, seine Nutzern  über die Speicherung ihrer persönlichen Daten aufzuklären und über deren Rechte zu belehren.

Zudem schafft die Datenschutzerklärung Transparenz und Vertrauen gegenüber der Webseite und ihrem Betreiber.

  1. Wie sollte eine Datenschutzerklärung aussehen?

Die Umsetzung der DSGVO scheint wie ein großes Übel- vor allem für kleine und mittelständische Unternehmen. Die Datenschutzerklärung muss von jeder einzelnen Seite der Webseite erreichbar sein. Dies muss deutlich erkennbar gemacht werden.

Auch wenn sich Impressum und Datenschutzerklärung sehr gleichen, reicht es nicht aus die Datenschutzerklärung in das Impressum zu integrieren. Es handelt sich hierbei um zwei unterschiedliche Pflichtangaben.

Ihre Datenschutzerklärung muss folgende Punkte beinhalten:

  • Name und Kontaktdaten des Betreibers der Webseite
  • Name und Kontaktdaten des Datenschutzbeauftragten – soweit der Betreiber verpflichtet ist einen Datenschutzbeauftragten zu bestellen
  • Allgemeine Hinweise zu der Datenschutzerklärung wie z.B. Zweck und Rechtsgrundlage der Datenverarbeitung
  • bei Verarbeitung wegen berechtigter Interessen, dieses Interesse
  • Empfänger der Daten
  • Übermittlung in ein Drittland
  • Dauer der Datenspeicherung
  • Hinweis auf Auskunftsrecht
  • Hinweis auf Recht auf Speicherung, Löschung, Widerspruch und Übertragung von Daten
  • Hinweis auf das Beschwerderecht bei einer Aufsichtsbehörde
  • Allgemeiner Hinweis zu Cookies
  • Eingesetzte Analysesoftware
  • Hinweis zum Retargeting, Social Plugins & Co.

Formulieren Sie in einer leicht verständlichen Form und Sprache. Vermeiden Sie juristische Fachbegriffe oder erklären Sie verwendete Begrifflichkeiten. Die Informationen müssen präzise und transparent aufgeführt werden.

  1. Was passiert, wenn ich keine oder eine fehlerhafte Datenschutzerklärung habe?

Nicht nur große, mittelständische und kleine Unternehmen sondern auch jeder andere Webseitenbetreiber können abgemahnt werden, wenn die Datenschutzerklärung nicht die erforderlichen Informationen enthält. Wer seine Nutzer nicht ordnungsgemäß über die Erhebung der persönlichen Daten aufklärt, begeht eine Ordnungswidrigkeit, die eine Abmahnung oder ein Bußgeldbescheid von bis zu 50.000€ nach sich ziehen kann.

Um Rügen solcher Art vorzubeugen, lohnt es sich große Sorgfalt bei der Erstellung der Datenschutzerklärung walten zu lassen. Sie finden zahlreiche Online-Tools, die Vorlagen generieren. Häufig sind diese Texte sehr allgemein, und haben keinen Anspruch auf Richtigkeite oder Vollständigkeit. Gehen Sie besser auf Nummer sicher und erstellen Sie mit ihrem Anwalt oder ausgebildeten Datenschutzbeauftragten ihre Datenschutzerklärung.

  1. Fazit zur Datenschutzerklärung auf Ihrer Webseite

Die Datenschutzerklärung klärt den Verbraucher bzw. den Webseitennutzer darüber auf, was mit seinen persönlichen Daten passiert.

  • Wer verarbeitet die Daten?
  • Zu welchem Zweck werden die Daten gespeichert und verarbeitet?
  • Kann der Webseitennutzer ein Widerspruchsrecht ausüben?
  • Welchen Datenverarbeitungsmöglichkeiten kann der Webseitennutzer widersprechen?

Um Transparenz und Vertrauen gegenüber dem Nutzer bzw. Verbraucher zu wahren, ist eine gut leserliche sowie einfach geschriebene Datenschutzerklärung wichtig.

Erstellen können Sie ihre Datenschutzerklärung entweder mit Hilfe eines Generators oder sie holen sich juristische Unterstützung. Bedenken Sie, dass ein Generator eingeschränkte Möglichkeiten bietet auf ihre individuellen Ansprüche einzugehen.

Grundsätze der DSGVO: Alle Basics zusammengefasst!

By | Allgemein | No Comments

(Art.6 DSGVO)

In Artikel 6 der DSGVO finden sich die für die Praxis relevantesten Rechtsgrundlagen für die Verarbeitung personenbezogener Daten. Welches die wichtigsten und häufigsten sind wollen wir ihnen hier kurz darstellen.

Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:“

  • 6 Abs. 1 (1) lit. a. DSGVO: Auf dem ersten Platz der Aufzählungen der Rechtsgrundlagen liegt die Einwilligung. Auch wenn Sie sich den ersten Platz der häufigst vorkommenden Rechtsgrundlagen vermutlich mit Litera b. und f. teilen müsste.

Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben“

Klargestellt wird, dass die betroffene Person, also der dessen Daten mit Personenbezug verarbeitet werden sollen, Ihre Einwilligung bereits vor Beginn der Verarbeitung geben haben muss. Damit eine Einwilligung wirksam erteilt werden kann, muss der Betroffene außerdem über die Art der Verarbeitung und den Zweck aufgeklärt worden sein. Andernfalls kann der Betroffene nicht erkennen wofür er seine Einwilligung abgegeben hat. Dem Betroffenen ist stets die Möglichkeit zu eröffnen, seine Einwilligung zu widerrufen.

  • 6 Abs. 1 (1) lit. b. DSGVO: Dicht gefolgt wird die Einwilligung in der Aufzählung vom wahrscheinlich in der Praxis ebenso häufigen Fall. Der Verarbeitung zu Vertragszwecken.

die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;“

Klargestellt wird, dass personenbezogene Daten immer dann verarbeitet werden dürfen, wenn Sie zur Anbahnung (Verhandlung, vorvertragliche Absprachen, etc.), zum Abschluss, oder zur Durchführung eines Vertrages notwendig sind, wenn der Betroffene Vertragspartei ist. Diese Rechtsgrundlage erfasst eine riesige Vielzahl von Fällen und ermöglicht datenschutzrechtlich konforme Abwicklung von Alltagsgeschäften.

Jeder am Rechtsverkehr Teilnehmende muss davon ausgehen, dass zur Abwicklung z.B. eines Kaufes, sofern er nicht in Bar geschieht, personenbezogene Daten (Adresse, IBAN, Kreditkartennummer) verarbeitet werden müssen. Entsprechend gering soll die Hürde für den Verkäufer (und Verarbeiter der Daten) ausfallen. Nichtsdestotrotz dürfen die personenbezogenen Daten nur im notwendigen Maße erhoben und verarbeitet werden, darüber hinausgehende Erhebungen und Verarbeitungen sind von dieser Rechtsgrundlage nicht gedeckt. Mit dem Abschluss des Rechtsgeschäftes sind die personenbezogenen Daten wieder zu löschen. Ausnahmen gelten nur, wenn noch Ansprüche im Vertragsverhältnis (man denke an Garantie oder Mängelrechte) denkbar sind. Darüber hinaus sind von den Vertragsparteien mögliche steuerrechtliche Aufbewahrungsfristen einzuhalten.

  • 6 Abs. 1 (1) lit. f. DSGVO: Die Dritte häufig vorkommende Rechtsgrundlage stellt die Verarbeitung im Rahmen eines berechtigten Interesses des Verarbeiters dar.

die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.“

Bei der Verarbeitung im Rahmen eines berechtigten Interesses reicht es aus, wenn der Verarbeiter ein tatsächliches, wirtschaftliches oder ideelles Interessen an der Verarbeitung hat, das von der Rechtsordnung anerkannt wird. Auch die Verarbeitung zu Geschäftszwecken ist nach bisherigem Stand zulässig. Ziele können insbesondere sein, neue Daten zu sammeln und diese wirtschaftlich zu nutzen, bereits bestehende Daten zu analysieren und Erkenntnisse daraus zu erlangen oder Daten zu übermitteln und zu nutzen, um aus ihnen Informationen zu generieren.

Nach der Festlegung bzw. Identifikation des Verarbeitungsziels kann dann eine Abwägung vorgenommen werden, ob im Einzelfall schutzwürdige Interessen des Betroffenen das Datenverarbeitungsinteresse überwiegen. Der bloße Eingriff in die Rechte des Betroffenen reicht dabei nicht aus, seine Interessen müssen in der Abwägung auch überwiegen.

Indikatoren für das überwiegen des Interesses des Verarbeiters in den Erwägungsgründen zur DSGVO zu finden. Z.B. heißt es in Erwägungsgrund 47: „Ein berechtigtes Interesse könnte beispielsweise vorliegen, wenn eine maßgebliche und angemessene Beziehung zwischen der betroffenen Person und dem Verantwortlichen besteht, z. B. wenn die betroffene Person ein Kunde des Verantwortlichen ist oder in seinen Diensten steht.“

Auch kann davon ausgegangen werden, dass die Interessen des Verarbeiters die des Betroffenen überwiegen, wenn der Betroffene eine „vernünftige Erwartung“ haben müsste, dass seine Daten verarbeitet werden.

(Art. 5 DSGVO)

Die DSGVO stellt in ihrem Art. 5 einige Grundsätze auf, die aufgrund einer neuen digitalen Realität, in den Auge des EU-Gesetzgebers, notwendig geworden sind. Diese Zielsetzung soll durch die in Art.5 DSGVO definierten Grundsätze für die Verarbeitung personenbezogener Daten erreicht werden.

Folgende Regeln stellt die DSGVO verbindlich an eine Datenverarbeitung:

  • Für die betroffene Person muss die Verarbeitung ihrer Daten in nachvollziehbarer Weise erfolgen, sodass dem Grundsatz der Rechtmäßigkeit, der Verarbeitung nach Treu und Glauben sowie der Transparenz genüge getan wird.
  • Eine Zweckbindung liegt nur dann vor, wenn die Absicht der Datenerhebung und Verarbeitung festgelegt, eindeutig und legitim ist, sowie die Datenerhebung dem Umfang nach angemessen ist, d.h. auf das notwendige Maß beschränkt ist (Zweckbindung).
  • Mit Hinblick auf den Zweck der Verarbeitung ist der Datenerhebende/die verantwortliche Stelle angehalten, unrichtige Daten unverzüglich zu korrigieren oder zu löschen (Richtigkeit).
  • Zum Schutz der Identität betroffener Personen dürfen erhobene Daten nur solange gespeichert werden, wie der Zweck der Datenerhebung vorliegt (Speicherbegrenzung).
  • Eine Ausnahme stellt der Schutz Dritter, sowie öffentliches Interesse gem. Art.89 Abs. 1 DSGVO dar.
  • Darüber hinaus sind die erhobenen Daten vor dem unrechtmäßigen Zugriff Dritter, durch die Ergreifung geeigneter Maßnahmen, technischer und organisatorischer Art, zu schützen (Integrität u. Vertraulichkeit).
  • Für die Einhaltung der Grundsätze sowie dem Nachweis eben dieser Einhaltung, ist der Erhebende der Daten verantwortlich (Rechenschaftspflicht).
  • Für die Überwachung dieser Grundsätze sind die jeweils zuständigen Aufsichtsbehörden zuständig.

Auftragsverarbeitungsvereinbarung: Ab wann wird sie benötigt?

By | Allgemein | No Comments

Was ist eine Auftragsverarbeitungsvereinbarung?

Der Art. 28 Datenschutzgrundverordnung (DSGVO), der seit dem 25.05.2018 unmittelbar gilt, gibt vor, dass eine Person, die für einen Verantwortlichen eine Verarbeitung von personenbezogenen Daten vornimmt, ein Auftragsverarbeiter ist.
Mit dem Verantwortlichen meint die Datenschutzgrundverordnung denjenigen der Daten erhoben, gespeichert oder verarbeitet hat. Wenn sich der Verantwortliche nun einen „verlängerten Arm“ sucht um eine Datenverarbeitung vornehmen zu lassen, weil er z.B. selbst nicht die Qualifikation, Ressourcen oder Zeit hat die Verarbeitung selbst vorzunehmen, dann ist dieser „verlängerte Arm“ ein Auftragsverarbeiter. (z.B. IT-Dienstleister mit Datenzugriff, Cloud-Dienstleister, Letter-Shops oder Online-Targeting-Dienstleistern) Der Auftragsverarbeiter wird dabei nicht von selbst tätig, sondern nur auf dokumentierbare Weisung hin unter der Kontrolle des Verantwortlichen.
„Der Kern der Tätigkeit des Auftragsverarbeiters besteht darin, personenbezogene Daten als „verlängerter Arm“ des Verantwortlichen in dessen Auftrag zu verarbeiten. Der Auftragsverarbeiter übt zwar die physische Herrschaft über den Verarbeitungsprozess aus, entscheidet aber nicht selbst über die Zwecke und Mittel der Verarbeitung. Er agiert vielmehr nach Weisung des Verantwortlichen, also ohne eigenen Wertungs- und Entscheidungsspielraum.“ (Martini Paal/Pauky, DSGVO BDSG, Rn.2.)
Der Art. 28 Abs.3 DSGVO gibt vor, dass zwischen dem Verantwortlichen und dem Auftragsverarbeiter ein sogenannter Auftragsverarbeitungsvertrag / – vereinbarung zu schließen ist. In dieser soll u. A. geregelt werden wie der Auftragsverarbeiter seine Tätigkeit zu verrichten hat, welche Sicherheitsvorkehrungen er für die betroffenen personenbezogenen Daten zu treffen hat und welche Kontrollrechte der Verantwortliche gegenüber dem Auftragsverarbeiter ausüben darf. Darüber hinaus sind weitere Details zu regeln auf die hier aus Gründen der Übersichtlichkeit nicht aufgezählt werden.

Wann benötige ich eine Auftragsverarbeitungsvereinbarung?

Eine AVV benötige ich wenn die eben genannten Voraussetzungen vorliegen, also der Verantwortliche seinen Einflussradius vergrößert, seinen Arm „verlängert“ und sich dazu eines Auftragsverarbeiters bedient.
Der Abschluss einer AVV ist dann nicht notwendig, wenn die Auftragsverabeitung nicht Hauptleistung der Beziehung zwischen dem Auftraggeber und dem Auftragnehmer ist. So ist dies z.B. bei der Abwicklung von Bestellungen und der Lieferung der Waren. Dabei werden zwangsläufig zwar auch auch personenbezogene Daten verarbeitet, aber Hauptleistung ist dabei eben z.B. die Kommissionierung und Lieferung von Lebensmitteln. Die personenbezogenen Daten werden nur zur Erfüllung der Hauptpflicht, als „Beiwerk“, verarbeitet und im eigenen Ermessen des Vertragspartners verarbeitet. Die Abwicklung eines solchen Rechtsgeschäftes ist von Art. 6 Abs. 1 lit. b) DSGVO gedeckt. Der Vertragspartner möchte sich in diesem Verhältnis auch nicht Kontrollrechten seiner Kunden unterwerfen.

Analyse, Tracking & Cookies: darauf sollten Sie achten!

By | Allgemein | No Comments

Rechtslage zu Cookies immernoch nicht klar

Die Rechtslage zum Thema „Analyse und Tracking Cookies“ wird nicht erst seit Ablauf der Übergangsfrist der DSGVO am 25.05.2018 kontrovers diskutiert. Eine lebhafte Diskussion findet vor allem, zwischen den unabhängigen Datenschutzbehörden des Bundes und Länder, den Betriebsdatenschutzbeauftragten in Industrie und Verwaltung und den Interessengruppen für Direktmarketing statt.
Die Frage ob das Setzen von Analyse und Tracking Cookies, oder die Verwendung anderer Tracking-Mechanismen nach dem 25.05.2018, nun noch möglich ist oder nicht (und wenn ja unter welchen Voraussetzungen) wird, von den am Diskurs teilnehmenden Parteien, unterschiedlich beantwortet.
Bis zum 25.05.2018 konnte man die Frage unter Zugrundelegung §15 des Telemediengesetzes (TMG) beantworten. Dem §15 Abs. 3 TMG folgend, darf ein Dienstanbietern (Webseiten-Betreiber) für Zwecke der Werbung, der Marktforschung oder „zur bedarfsgerechten Gestaltung der Telemedien“ Nutzungsprofile erstellen, sofern er dafür Pseudonyme verwendet und der Betroffene dem nicht widerspricht. Ein pseudonymisiertes Profil ist von den „realen Nutzungsdaten“ der betroffenen Person abgekoppelt und lässt nicht ohne weiteres Rückschlüsse auf den realen Nutzer zu.
Der Wortlaut „und der Betroffenen dem nicht widerspricht“ stellt klar, dass das Gesetz eine Widerspruchslösung (sog. Opt-Out) vorsieht. Das Setzen von Tracking und Analyse-Cookies ist demnach grundsätzlich zulässig, der Nutzer muss auf den Einsatz allerdings hingewiesen werden und eine Widerspruchsmöglichkeit vorgehalten werden. Eine Analyse kann nach TMG also „by default“ stattfinden, bis der Nutzer selbst tätig wird um dies zu verhindern.

Das TMG erfasst dabei alle automatisierten Verarbeitungsarten durch Cookies. Zum einen Tracking und Analyse-Cookies, zum anderen auch „erforderlichen Sitzungscookies“, deren zeitliche Gültigkeit sich auf die „Nutzungs-Sitzung“ beschränkt und die nach Ablauf der Sitzung automatisch wieder gelöscht werden. Zu diesen „erforderlichen Cookies“ zählen solche, die die Grundlage für das Anbieten eines Dienstes darstellen.
Dabei handelt es sich meist um:
Warenkorbinhalte
Spracheinstellungen des Users
Login-Informationen (damit der Nutzer sich nicht auf jeder Sub-Domain separat einloggen muss)
Informationen zu Mediainhalten ( i.d.R. Flash-Cookies)
Was hat sich nach dem 25.05.2018 für Dienstanbieter geändert?
Mit Ablauf der Übergangszeit der DSGVO zum 25.05.2018 und deren unmittelbarem in Kraft treten (diesbezüglich herrscht Einigkeit zwischen den Parteien), kann das TMG nicht mehr als Rechtsgrundlage herangezogen werden, da es von der EU-Verordnung verdrängt wird.
Auseinander gehen dagegen die Einschätzungen, was dies für gängige Analyse von Nutzerverhalten im Web in pseudonymisierter Form bedeutet.

Ansicht 1.

Die wirtschaftsnahen Betriebsdatenschutzbeauftragten und die Interessengruppen der Direktmarketingbetreiber gehen davon aus, dass es bei der bisherigen Praxis bleiben könne. Die Gesellschaft für Datenschutz und Datensicherheit (GDD) zieht als Argument heran, dass Werbung – wie in den Erwägungsgründen zur DSGVO dargestellt – ein berechtigtes Interesse i.S.d. Art. 6 Abs. 1 S.1 lit. f. DSGVO darstellt. Da dies der EU-Gesetzgeber zumindest für „Direktwerbung“ – direkte Kundenansprache – klargestellt habe, müsse ein pseudonymisiertes Tracking von Nutzerverhalten, als ein „geringerer Eingriff“ in das Persönlichkeitsrecht des Nutzers, ebenfalls zulässig sein. Das Tracking „by-default“ würde nun auf der Rechtsgrundlage des Art. 6 Abs.1 S.1 lit. f. DSGVO im Rahmen eines berechtigten Interesses des Betreibers erfolgen. Der Nutzer müsse nur wiederum informiert und die Möglichkeit zum Widerspruch gegeben werden. In der Datenschutzerklärung der Webseite müssten demzufolge neben der Art der erhobenen Daten, der Zweck, die Rechtsgrundlage und das berechtigte Interesse dargestellt werden.
Praktisches Vorgehen bei Tracking auf Basis eines berechtigten Interesses
Cookies werden auf der Grundlage eines „berechtigten Interesses“ ohne die vorherige Einwilligung des Nutzers platziert (auch Cookies von Dritten). Der Dienstanbieter informiert anschließend den Betroffenen, beim ersten Besuch auf der Webseite, durch ein Banner über die Verwendung von Cookies. Der Betroffene kann sich über einen Link in die Datenschutzerklärung umfassend informieren. Entweder im Banner oder in der Datenschutzerklärung wird dem Betroffenen die Option angeboten der Nutzung von Cookies zu widersprechen (Opt-Out). Für notwendigen „First-Party-Cookies“ muss ein Opt-Out nicht angeboten werden, da ohne die Funktionen dieser Cookies ein reibungsloser Seitenbetrieb und damit die Nutzung unmöglich wird. In der Datenschutzerklärung wird auf die Rechtsgrundlage und das berechtigte Interesse des Betreibers hingewiesen.

Ansicht 2.

Die Datenschutzkonferenz aus Bundes- und Landesdatenschutzbeauftragten (DSK) ist der Ansicht, dass es „einer vorherigen Einwilligung beim Einsatz von Tracking-Mechanismen, die das Verhalten von betroffenen Personen im Internet nachvollziehbar machen und bei der Erstellung von Nutzerprofilen [bedarf]. Das bedeutet, dass eine informierte Einwilligung i. S. d. DSGVO, in Form einer Erklärung oder sonstigen eindeutig bestätigenden Handlung vor der Datenverarbeitung eingeholt werden muss, d.h. z.B. bevor Cookies platziert werden bzw. auf dem Endgerät des Nutzers gespeicherte Informationen gesammelt werden“. Rechtsgrundlage könne nur der Art. 6 Abs. 1 S.1 lit. a DSGVO sein.
Dies entspricht den Vorgaben der E-Privacy-Richtlinie, die ebenfalls – frühestens Mai 2019 – als Verordnung verabschiedet werden soll. Nach der E-Privacy-Richtlinie dürfen Dienste-Anbieter persönliche Daten ohne Einwilligung nur verarbeiten, wenn dies zwingend erforderlich ist, um den angefragten Online-Service zur Verfügung stellen zu können. Beim Einsatz von Tracking-Mechanismen, „die das Verhalten von betroffenen Personen im Internet nachvollziehbar machen“ und beim Erstellen von Nutzerprofilen bedarf es einer vorherigen „informierten Einwilligung“. Demnach müsse vor dem Verwenden von Analysewerkzeugen wie Google Analytics oder von Werbetrackern vorab eine „Erklärung oder sonstige eindeutig bestätigende Handlung“ eingeholt werden, auch wenn die Daten pseudonymisiert werden.

Praktisches Vorgehen bei Tracking auf Basis einer informierten Einwilligung
Der Dienstanbieter setzt technisch notwendige „First Party Cookies“. Tracking- bzw. Third-Party-Cookies werden erst auf Grundlage einer vorherigen informierten Einwilligung des Nutzers (Art. 6 Abs. 1 lit a DSGVO) gesetzt. Der Nutzer wird zuvor über die zwingend erforderlichen Cookies aufgeklärt und zudem um seine Einwilligung in die Nutzung der nicht erforderlichen Tracking-Cookies gebeten. An dieser Stelle kann auch die weitergehende Möglichkeit zur Einstellung der gesetzten Cookies angeboten werden.

Fazit

Um jegliches Abmahnungsrisiko zu vermeiden und auf „Nummer Sicher“ zu gehen, empfiehlt es sich, auch wenn von der GDD und Interessenverbänden gute Argumente vorgebracht werden, den Nutzer der Webseite durch einen Banner auf die Verwendung von Cookies hinzuweisen, und diesen vor Platzierung von Tracking- oder Third-Party-Cookies um seine Einwilligung zu bitten. So wird der, ohnehin in naher Zukunft anstehenden, E-Privacy-Verordnung vorgegriffen und ein weiteres Tätigwerden wird auch nach deren Umsetzung nicht notwendig.

Datenschutzbeauftragter: ab wann wird er benötigt?

By | Allgemein | No Comments

Wann wird ein Datenschutzbeauftragter benötigt?

Das Bundesdatenschutzgesetz (BDSG) normiert in Verbindung mit der Datenschutzgrundverordnung (DSGVO) die Voraussetzungen, unter denen öffentliche Stellen und nichtöffentliche Stellen einen Datenschutzbeauftragten bestellen müssen.
Die DSGVO sieht eine solche Verpflichtung dann vor, wenn die Kerntätigkeit darin besteht, Personen systematisch zu überwachen oder personenbezogene Daten zu verarbeiten. Der deutsche Gesetzgeber hat diese Benennungspflicht im Bundesdatenschutz näher ausgeführt.

1. Mindestens zehn Mitarbeiter/Personen verarbeiten personenbezogene Daten des Unternehmens

Gemäß § 38 BDSG müssen Unternehmen einen Datenschutzbeauftragten benennen, wenn sie mindestens zehn Mitarbeiter haben, die ständig personenbezogene Daten wie Namen, Adressen, Kontonummern und dergleichen automatisiert verarbeiten. Wenn diese Beschäftigten ihre Tätigkeiten hauptsächlich am Computer ausüben, ist anzunehmen, dass es sich um eine automatisierte Datenverarbeitung handelt. In diese Gruppe fallen nicht nur fest angestellte Vollzeit- und Teilzeitmitarbeiter, sondern auch freie Mitarbeiter, Aushilfen und Leihpersonal.

Wie die deutschen Behörden diese Bestimmung interpretieren, wird sich in der Praxis zeigen. Eine ständige Beschäftigung mit der automatisierten Datenverarbeitung ist im Zweifelsfall bereits dann anzunehmen, wenn mindestens zehn Mitarbeiter in der Buchhaltungs-, Marketing- oder Serviceabteilung automatisiert personenbezogene Kundendaten verarbeiten. Auch die Daten des Personals unterliegen den Bestimmungen des Datenschutzrechtes.
Kleine Unternehmen, in denen weniger als zehn Beschäftigte mit diesen Aufgaben der Datenverarbeitung ständig betraut sind, benötigen somit keinen Datenschutzbeauftragten. Sie sind von dieser Ernennungspflicht ausgenommen, sofern sie nicht eine der folgenden Voraussetzungen erfüllen.

2. Datenübermittlung als Geschäftszweig

In einigen Fällen schreibt der Gesetzgeber unabhängig von der Mitarbeiteranzahl zwingend einen Datenschutzbeauftragten vor: Dies betrifft Unternehmen, deren Geschäft darin besteht, personenbezogene Daten zu erheben und an Dritte zu übermitteln. Darunter fallen Auskunfteien und Adressverlage. Wenn Unternehmen für die Markt- und Meinungsforschung personenbezogene Daten verarbeiten, müssen sie ebenfalls einen Datenschutzbeauftragten benennen.

3. Verarbeitung besonders sensibler Daten

Außerdem sind Einrichtungen, die aufgrund der Sensibilität der Daten eine Datenschutz-Folgenabschätzung vornehmen müssen (Art. 35 DSGVO), von dieser Benennungspflicht erfasst. Demnach müssen Unternehmen,
die besonders sensible Daten, nämlich Gesundheitsinformationen (zum Beispiel Krankheiten), Daten über die rassische und ethnische Herkunft (zum Beispiel Hautfarbe), die politische oder religiöse Anschauung (zum Beispiel Parteimitgliedschaft, Glaubensrichtung), die Zugehörigkeit zur Gewerkschaft und Daten zur sexuellen Einstellung verarbeiten oder
die öffentlich zugängliche Firmenbereiche via Videokamera systematisch und umfangreich überwachen,
jedenfalls einen Datenschutzbeauftragten bestellen.
In diesen Fällen spielt es keine Rolle, wie viele Mitarbeiter mit der Verarbeitung der Daten betraut sind. Diese Kategorie der besonders sensiblen Daten betrifft zum Beispiel Arztpraxen, Krankenhäuser, Labors und Rechtsanwaltskanzleien für Arbeits- und Medizinrecht. In den Bereich der systematischen Überwachung fallen beispielsweise Sicherheitsunternehmen und Wachdienste.

Sie sind unsicher, ob Ihr Unternehmen einen Datenschutzbeauftragten benötigt und wie Sie weiter vorgehen sollen? Dann nehmen Sie mit uns Kontakt auf und lassen Sie sich von einem Experten für Datenschutzrecht beraten!

Was sind personenbezogene Daten?

Die Frage, ob Betriebe einen Datenschutzbeauftragen einsetzen müssen, Der Gesetzgeber definiert personenbezogene Daten als Angaben, die über persönliche oder sachliche Verhältnisse einer Person Aufschluss geben. Dazu gehören unter anderem
die Personalien Name, Alter, Familienstand und Geburtsdatum sowie Adresse, Telefonnummer und E-Mail-Adresse
Sozialversicherungs-, Personalausweis- und Matrikelnummer
Bankdaten wie Konto- und Kreditkartennummer, Kreditinformationen
Kennzeichen des Kfz und Zulassungsdaten
Schul- und Arbeitszeugnisse
Unternehmen beschäftigen sich hauptsächlich mit Kundendaten. In welcher Form diese personenbezogenen Daten gespeichert werden, ist für ihre Einstufung irrelevant. Deshalb können auch Fotos, Videobeiträge, Audioaufnahmen oder Röntgenbilder als personenbezogene Daten gewertet werden.

Ein Datenschutzbeauftragter ist für den rechtskonformen Umgang mit diesen Daten verantwortlich. In jenen Fällen, in denen der Gesetzgeber die Bestellung eines Datenschutzbeauftragten nicht zwingend vorschreibt, muss die Geschäftsführung dafür sorgen, dass das Unternehmen die personenbezogenen Daten schützt. Alternativ kann die Unternehmensleitung freiwillig einen externen Datenschutzexperten mit dieser Aufgabe betrauen.

Die Aufgaben eines Datenschutzbeauftragten im Überblick

Gemäß Art 39 DSGVO ist ein Datenschutzbeauftragter dafür zuständig, dass das Unternehmen die Datenschutzvorschriften einhält und dass die Mitarbeiter mit den personenbezogenen Daten gesetzeskonform umgehen. Diese Tätigkeiten gehören zu seinem Aufgabenbereich:
die Verantwortlichen und Mitarbeiter über ihre Pflichten nach dem Datenschutzrecht aufklären und bei der Umsetzung beraten
die Einhaltung der Datenschutzvorschriften im Unternehmen überwachen und sicherstellen
die Transparenz der Datenverarbeitungsprozesse gewährleisten und die Abläufe zu dokumentieren
Arbeitsprozesse und Maschinen analysieren
Kurse und Seminare organisieren, um die Beschäftigten im richtigen Umgang mit personenbezogenen Daten zu schulen und über die DSGVO, das Bundesdatenschutzgesetz und sonstige Datenschutzregelungen aufzuklären
überprüfen, ob die Mitarbeiter die notwendige Vertraulichkeit mitbringen, um mit personenbezogenen Daten rechtskonform umzugehen
das Unternehmen in puncto Datenschutz nach außen präsentieren
mit der Aufsichtsbehörde zusammenarbeiten
Ob Sie diese Aufgaben einem geeigneten Mitarbeiter übertragen oder einen externen Datenschutzbeauftragten damit betrauen, bleibt Ihnen überlassen.

Diese Punkte sprechen für einen externen Datenschutzbeauftragten

Viele Unternehmen tun sich schwer, einen geeigneten Mitarbeiter zu finden, den sie mit dieser verantwortungsvollen Aufgabe betrauen könnten. In diesen Fällen gibt es eine andere Lösung: Sie beauftragen für Ihr Unternehmen auf Basis eines Dienstleistungsvertrages einen externen Datenschutzbeauftragten (Art. 38 Abs. 6 DSGVO) und profitieren dabei von diesen Vorteilen:
Einschlägige Ausbildung: Dieser Experte bringt eine einschlägige Ausbildung mit, sodass die Kosten für Weiterbildungsmaßnahmen entfallen und keine langen Einschulungsphasen notwendig sind. Dank dem Besuch von Fortbildungen hält er sein Datenschutzwissen auf dem aktuellen Stand.
Effizientes Arbeiten: Sein Fachwissen im Bereich Datenschutz und seine Erfahrung im Umgang mit personenbezogenen Daten sorgen dafür, dass er effizient arbeitet und damit die erforderlichen Aufgaben und Ziele schnell erledigt. Damit sinken die Kosten.
Keine Interessenskonflikte: Ein externer Datenschutzbeauftragter ist ausschließlich mit den Aufgaben im Bereich Datenschutz betraut und kann sich daher ganz auf diese Tätigkeit fokussieren. Er ist nicht in die ökonomischen Entscheidungen und geschäftlichen Abläufe Ihres Unternehmens eingebunden. Damit kann ein externer Datenschutzbeauftragter seine Pflichten erfüllen, ohne in einen Interessenskonflikt zu geraten.
Neutrale Expertenstellung: Als externer Dienstleister nimmt er eine objektive Stellung ein und genießt aufgrund seiner Expertenstellung regelmäßig ein hohes Ansehen in der Belegschaft. Die Mitarbeiter akzeptieren ihn als Experten und sind daher eher bereit, seine Vorgaben umzusetzen und sich beraten zu lassen.
Klarer Zeitplan und Kostenkalkulation: Mit einem externen Datenschutzbeauftragten können Sie einen klaren Zeitplan festlegen und die Kosten entsprechend kalkulieren. Es besteht die Möglichkeit, im Dienstvertrag reguläre Kündigungsfristen zu vereinbaren.
Haftung: Ein externer Datenschutzbeauftragter bringt Ihnen ein gewisses Maß an Sicherheit, weil er einer Haftung unterliegt.
Mit einem Datenschutzbeauftragten, der seine Aufgaben zuverlässig, professionell und effizient ausführt, stellen Sie sicher, dass Ihr Unternehmen die Datenschutzregeln einhält und damit auf rechtssicherem Terrain arbeitet. Kontaktieren Sie uns und wir stellen Ihnen gerne unsere Erfahrung im Bereich Datenschutz zur Verfügung!

Warum ein Datenschutzbeauftragter unverzichtbar ist: negative Konsequenzen abwenden

Unternehmen, die der Benennungspflicht unterliegen, sind dazu verpflichtet, die Aufsichtsbehörde über den Datenschutzbeauftragten zu informieren und dessen Kontaktdaten bekanntzugeben. Sie müssen die Telefonnummer oder E-Mail-Adresse des Datenschutzbeauftragten nicht nur an die Landesdatenschutzbehörde weiterleiten (Artikel 37 Absatz 7 DSGVO), sondern auch für Mitarbeiter und Kunden veröffentlichen. Die Veröffentlichung dieser Kontaktdaten kann beispielsweise in der Datenschutzerklärung auf der Webseite erfolgen.
Wenn Sie laut Gesetz einen Datenschutzbeauftragen bestellen müssen und dieser Verpflichtung nicht nachkommen, riskieren Sie hohe Strafen und weitere negative Konsequenzen:
Abmahnungen nach dem Wettbewerbsrecht durch Konkurrenten oder Verbände
empfindliche Bußgeldzahlungen, die sich gegen die Geschäftsführung richten
Probleme mit der Aufsichtsbehörde
negative Schlagzeilen in der Öffentlichkeit
Verlust von Kundenvertrauen
Bei Rechtsverstößen gegen die Datenschutzvorschriften sind nicht nur hohe Bußgelder zu befürchten. Personen, die in ihren Datenschutzrechten verletzt wurden, können eine Klage gegen das Unternehmen einbringen. Vermeiden Sie diese negativen Konsequenzen für Ihr Unternehmen, indem Sie uns kontaktieren und unser Expertenwissen in puncto Datenschutz nutzen!

Interner Datenschutzbeauftragter: eine Person aus dem Betrieb

Wenn Sie einen Ihrer Beschäftigten als internen Datenschutzbeauftragten einsetzen, sollten Sie diese Punkte beachten:

Wissenserwerb und Einarbeitung: Dieser Mitarbeiter benötigt ein einschlägiges Fachwissen über die umfangreichen und komplexen Regelungen des Datenschutzes. Es ist mit hohen Ausfallzeiten für Kurse und die Einarbeitung zu rechnen. Außerdem muss sich dieser Beschäftigte laufend weiterbilden und die Gesetzesänderungen verfolgen.
Kosten für Aus- und Weiterbildung und externe Beratung: Als Unternehmer tragen Sie die Kosten für die Aus- und Weiterbildung sowie für den Erwerb von Fachliteratur. Eventuell müssen Sie zusätzlich einen externen Berater hinzuziehen, um die mangelnde Erfahrung des internen Datenschutzbeauftragten auszugleichen.
Interessenskonflikte: Interne Datenschutzbeauftragte erfüllen regelmäßig auch andere Aufgaben im Unternehmen. Es besteht die Gefahr, dass sie die Verpflichtungen in puncto Datenschutz nur nebenbei erledigen und in einen Interessenskonflikt geraten. Damit ist die objektive Sichtweise nicht mehr gewährleistet.
Zusammenarbeit mit anderen Mitarbeitern: Zudem besteht die Gefahr, dass die restlichen Mitarbeiter den betrieblichen Datenschutzbeauftragten in seiner Funktion nicht respektieren und bei der Umsetzung nicht ausreichend unterstützen.
Unternehmen trägt das Haftungsrisiko: Wenn Ihr interner Datenschutzbeauftragter in seiner Funktion eine Fehlerentscheidung trifft, haften Sie regelmäßig für den entstandenen Schaden. Sie können dieses Haftungsrisiko in der Regel nicht auf den Mitarbeiter übertragen, wenn er bloß fahrlässig gehandelt hat.
Besonderer Kündigungsschutz: Ein betrieblicher Datenschutzbeauftragter unterliegt einem besonderen Kündigungsschutz. Das Unternehmen darf ihn nur aus einem wichtigen Grund von seiner Aufgabe ausschließen oder das Beschäftigungsverhältnis kündigen. Nach der Abberufung des Datenschutzbeauftragten bleibt dieser Kündigungsschutz für ein Jahr aufrecht.

Datenschutzerklärung für Social Media Kanäle zusammengefasst

By | Allgemein | No Comments

Vor diese Herausforderungen stellen uns Facebook und co.

Für viele Betreiber eines Social Media Kanals, z.B. Facebook Fanpage, ist ein Solcher heutzutage nahezu unverzichtbar geworden. Der Betrieb ist seit Juni 2018 mit Vorsicht zu genießen.
Mit Urteil vom 04.06.2018 hat der Europäische Gerichtshof (EuGH) entschieden, dass der Ersteller und Betreiber eines Social Media Kanals mit dem Betreiber der Plattform datenschutzrechtlich „gemeinsam verantwortlich“ ist.

Bis zum aktuellsten EuGH-Urteil war man als Betreiber einer Facebook Fanpage nur inhaltlich verantwortlich. Inhaltliche Verantwortlichkeit bedeutet, die Verantwortung für die dort zur Abruf bereitgestellten Inhalte zu tragen. Es war deshalb nötig, dies in Form eines Impressums oder eines Links auf ein Impressum kenntlich zu machen, vergleiche §5 Telemediengesetzt (TGM). Eine datenschutzrechtliche Verantwortung kam dem Betreiber nicht zu, da er selbst über die Zwecke und Mittel der Datenverarbeitung von personenbezogenen Daten keine Entscheidungskompetenz hat. Über die Art wie die Daten auf einer Facebook Fanpage erhoben und verarbeitet werden bestimmt Facebook ganz alleine. Eine eigene Datenschutzerklärung zusätzlich zum Impressum war daher bisher nicht notwendig.

Was hat sich nach dem 04.06.2018 für Betreiber geändert?

Der EuGH hat in seinem jüngsten Urteil (04.06.2018 – C-210/16), nun aber auf Seiten des Fanpage-Betreibers eine Mitverantwortlichkeit angenommen und deutlich gemacht, dass Facebook mit seiner Zentrale in Irland grundsätzlich verantwortlich ist. Selbst wenn der Fanpage Betreiber keine Kontrolle über die Datenverarbeitung auf der Fanpage hat,  hafte dieser allerdings neben Facebook auch als datenschutzrechtlich Verantwortlicher gegenüber dem Betroffenen/Seitenbesucher.
Die datenschutzrechtliche Verantwortlichkeit begründe sich dadurch, dass der Fanpage Betreiber zumindest die hypothetische Möglichkeit hat Auswertungsfilter zu setzen und Kriterien zu definieren, nach denen für ihn Statistiken von Facebook erstell werden. Facebook Insights ermöglicht im Anschluss den Abruf dieser Nutzungsstatistiken. Daher habe der Betreiber, so der EuGH, aufgrund der statistischen Auswertung durch Facebook einen wirtschaftlichen Vorteil. Facebook und der Fanpage-Betreiber seien demnach gegenüber dem Betroffenen „gemeinsam Verantwortliche“ Datenverarbeiter (Joint-Controllers).
Als gemeinsam Verantwortlicher haften Sie darüber hinaus nicht nur für die von Ihnen selbst begangenen datenschutzrechtlichen Verstöße, sondern auch für den Mitverantwortlichen (Facebook).

Konsequenzen – Was bedeutet das nun für Sie?

  • Da das EuGH-Urteil Sie, mit Facebook zusammen, zum Joint-Controller gemacht hat trifft Sie die Pflicht:
  • Ihre Nutzer transparent über die Datenverarbeitung auf Ihrer Fanpage mittels Datenschutz-Erklärung aufzuklären (auch über die Verarbeitungsvorgänge die im Hintergrund von Facebook ablaufen).
  • Ersuchen ihrer Nutzer, in Form der Wahrnehmung von Betroffenenrechten zu bearbeiten, bzw. erfüllen ( z.B. Auskunfts- oder Löschersuchen),
  • ein Joint Controllership Agreement mit Facebook zu schließen.
    Die DSGVO sieht für Joint-Controller in Art. 26 DSGVO einen Vertrag über die gemeinsame Verantwortung vor (Joint-Controller-Agreement). Einem solches Agreement regelt, welcher Controller zu welchem Zweck, mit welchen Mitteln personenbezogene Daten verarbeitet. In einem Joint Controllership Agreement könnte man ggf. die Haftung für Rechtsverstöße ausschließen, allerdings ist dies von Facebook bisher nicht vorgesehen und wird vermutlich in absehbarer Zeit nicht angeboten werden.

UPDATE – 05.09.2018 DSK Beschluss

Auch die Konferenz der unabhängigen Datenschutzaufsichtsbehörden teilt nun, in ihrem Beschluss vom 05.09.2018, ihre Einschätzung zur Thematik mit. Ausgehend vom oben genannten EuGH Urteil stellt die DSK fest, dass Fanpage-Betreiberinnen und Betreiber sich ihrer datenschutzrechtlichen Verantwortung stellen müssen. Ohne eine Vereinbarung zur gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO sei der Betrieb, wie er derzeit praktiziert werde, rechtswidrig.

Die gemeinsam Verantwortlichen müssten Klarheit über die Sachlage schaffen und die erforderlichen Informationen dem Betroffenen bereitstellen.

Insbesondere folgender Fragenkatalog müsse von den gemeinsam Verantwortlichen beantwortet werden:

1. In welcher Art und Weise wird zwischen Ihnen und anderen gemeinsam Verantwortlichen
festgelegt, wer von Ihnen welche Verpflichtung gemäß der
DSGVO erfüllt? (Art. 26 Abs. 1 DSGVO)

2. Auf Grundlage welcher Vereinbarung haben Sie untereinander festgelegt, wer
welchen Informationspflichten nach Art. 13 und 14 DSGVO nachkommt?

3. Auf welche Weise werden die wesentlichen Aspekte dieser Vereinbarung den
betroffenen Personen zur Verfügung gestellt?

4. Wie stellen Sie sicher, dass die Betroffenenrechte (Art. 12 ff. DSGVO) erfüllt
werden können, insbesondere die Rechte auf Löschung nach Art. 17 DSGVO,
auf Einschränkung der Verarbeitung nach Art. 18 DSGVO, auf Widerspruch
nach Art. 21 DSGVO und auf Auskunft nach Art. 15 DSGVO?

5. Zu welchen Zwecken und auf welcher Rechtsgrundlage verarbeiten Sie die
personenbezogenen Daten der Besucherinnen und Besucher von Fanpages?
Welche personenbezogenen Daten werden gespeichert? Inwieweit werden
aufgrund der Besuche von Facebook-Fanpages Profile erstellt oder angereichert?
Werden auch personenbezogene Daten von Nicht-FacebookMitgliedern
zur Erstellung von Profilen verwendet? Welche Löschfristen sind
vorgesehen?

6. Zu welchen Zwecken und auf welcher Rechtsgrundlage werden beim Erstaufruf
einer Fanpage auch bei Nicht-Mitgliedern Einträge im sogenannten Local
Storage erzeugt?

7. Zu welchen Zwecken und auf welcher Rechtsgrundlage werden nach Aufruf
einer Unterseite innerhalb des Fanpage-Angebots ein Session-Cookie und
drei Cookies mit Lebenszeiten zwischen vier Monaten und zwei Jahren gespeichert?

8. Welche Maßnahmen haben Sie ergriffen, um Ihren Verpflichtungen aus Art. 26
DSGVO als gemeinsam für die Verarbeitung Verantwortlicher gerecht zu werden
und eine entsprechende Vereinbarung abzuschließen?

Den vollständigen Beschluss finden Sie unter: https://www.datenschutz-berlin.de/pdf/publikationen/DSK/2018/2018-DSK-Facebook_Fanpages.pdf

UPDATE – 13.09.2018 Facebook reagiert

Facebook hat reagiert und eine Joint-Controllership-Vereinbarung (JCV) vorgelegt. Im Fehlen eines solchen Vereinbarung lag der Hauptkritikpunkt der DSK. Dieser Vereinbarung stimmen Facebook Fanpage-Betreiber automatisiert zu, indem sie ihre Seite weiter zur Verfügung stellen.

Diese JCV beschreibt die Datenverarbeitungsvorgänge von Facebook Insights und erklärt Facebook für die Verarbeitungsvorgänge über Insights zum Allein-/Hauptverantwortlichen. Anfragen von Betroffenen oder Aufsichtsbehörden müssen, so die JCV, direkt an Facebook Ireland weitergeleitet werden.

Außerdem soll jeder Fanpage-Betreiber für sich klären, ob er eine Rechtsgrundlage für die Verarbeitung der Insight-Daten hat (Bspw. Art. 6 Abs.1 S.1 lit. f DSGVO) , bevor er diese auswertet und einen Verantwortlichen für die Datenverarbeitung nennen.

Empfehlung!

Was heißt dies nun für Sie als Fanpage-Betreiber?

Zumindest auf den ersten Blick scheint Facebook durch das Nachschieben der Vereinbarung gem. Art. 26 DSGVO seiner Pflicht nachgekommen zu sein. Auch wenn diese JCV sehr kurz ausfällt, war das Fehlen einer solchen Vereinbarung der Hauptgrund der DSK Facebook Fanpages, in der zuvor gängigen Praxis, für illegal zu erklären. Ob die Vereinbarung ausreicht, um die Ansprüche der Aufsichtsbehörden zu befriedigen, bleibt allerdings weiterhin offen. Facebook schuldet darüberhinaus noch Ergänzungen in der eigenen Datenschutzerklärung. Darüber hinaus muss Facebook den eigenen Informationspflichten zu Verarbeitungsvorgängen, wie angekündigt, vollständig nachkommen.

Auch wenn sich das Risiko der Inanspruchnahme durch Aufsichtsbehörden oder Betroffene mit dem JCV verringert hat, lautet unsere Empfehlung nach wie vor die Fanpage zunächst noch auf unsichtbar zu belassen bis die Rechtslage durch die Behörden und die Gerichte geklärt ist und Facebook nochmals nachgelegt hat.

Alternative?

Wenn der wirtschaftliche Nutzen Ihrer Fanpage das Risiko einer Inanspruchnahme durch einen Betroffenen oder eine Aufsichtsbehörde überwiegt, sollten Sie einen Link in eine externe Datenschutzerklärung setzen. Darin sollten Sie soweit es ihnen möglich ist den Nutzer über Ihre Verarbeitungsvorgänge informieren. (Dabei können wir Ihnen gerne behilflich sein.)

Andere Social Media Kanäle?

Der EuGH wird, nach unserer Einschätzung, die gleiche gemeinsame Verantwortlichkeit auch für andere Social-Media-Kanäle annehmen. Auch wenn derzeit primär Facebook Fanpages im Focus der Behörden und der Datenschutzbeauftragten liegt. Das dargestellte Vorgehen wird daher auch für den Einsatz eines Youtube-Kanals, Twitter, Google+ oder Instagram nahegelegt.

Die Vorteile eines externen Datenschutzbeauftragten

By | Allgemein | No Comments

Was spricht für einen externen Datenschutzbeauftragten?

Viele Unternehmen tun sich schwer, einen geeigneten Mitarbeiter zu finden, den sie mit dieser verantwortungsvollen Aufgabe betrauen könnten. In diesen Fällen gibt es eine andere Lösung: Sie beauftragen für Ihr Unternehmen auf Basis eines Dienstleistungsvertrages einen externen Datenschutzbeauftragten (Art. 38 Abs. 6 DSGVO) und profitieren dabei von diesen Vorteilen:

Einschlägige Ausbildung: Dieser Experte bringt eine einschlägige Ausbildung mit, sodass die Kosten für Weiterbildungsmaßnahmen entfallen und keine langen Einschulungsphasen notwendig sind. Dank dem Besuch von Fortbildungen hält er sein Datenschutzwissen auf dem aktuellen Stand.

Effizientes Arbeiten: Sein Fachwissen im Bereich Datenschutz und seine Erfahrung im Umgang mit personenbezogenen Daten sorgen dafür, dass er effizient arbeitet und damit die erforderlichen Aufgaben und Ziele schnell erledigt. Damit sinken die Kosten.
Keine Interessenskonflikte: Ein externer Datenschutzbeauftragter ist ausschließlich mit den Aufgaben im Bereich Datenschutz betraut und kann sich daher ganz auf diese Tätigkeit fokussieren. Er ist nicht in die ökonomischen Entscheidungen und geschäftlichen Abläufe Ihres Unternehmens eingebunden. Damit kann ein externer Datenschutzbeauftragter seine Pflichten erfüllen, ohne in einen Interessenskonflikt zu geraten.

Neutrale Expertenstellung: Als externer Dienstleister nimmt er eine objektive Stellung ein und genießt aufgrund seiner Expertenstellung regelmäßig ein hohes Ansehen in der Belegschaft. Die Mitarbeiter akzeptieren ihn als Experten und sind daher eher bereit, seine Vorgaben umzusetzen und sich beraten zu lassen.
Klarer Zeitplan und Kostenkalkulation: Mit einem externen Datenschutzbeauftragten können Sie einen klaren Zeitplan festlegen und die Kosten entsprechend kalkulieren. Es besteht die Möglichkeit, im Dienstvertrag reguläre Kündigungsfristen zu vereinbaren.

Haftung: Ein externer Datenschutzbeauftragter bringt Ihnen ein gewisses Maß an Sicherheit, weil er einer Haftung unterliegt.
Mit einem Datenschutzbeauftragten, der seine Aufgaben zuverlässig, professionell und effizient ausführt, stellen Sie sicher, dass Ihr Unternehmen die Datenschutzregeln einhält und damit auf rechtssicherem Terrain arbeitet. Kontaktieren Sie uns und wir stellen Ihnen gerne unsere Erfahrung im Bereich Datenschutz zur Verfügung!

Warum ein Datenschutzbeauftragter unverzichtbar ist: negative Konsequenzen abwenden
Unternehmen, die der Benennungspflicht unterliegen, sind dazu verpflichtet, die Aufsichtsbehörde über den Datenschutzbeauftragten zu informieren und dessen Kontaktdaten bekanntzugeben. Sie müssen die Telefonnummer oder E-Mail-Adresse des Datenschutzbeauftragten nicht nur an die Landesdatenschutzbehörde weiterleiten (Artikel 37 Absatz 7 DSGVO), sondern auch für Mitarbeiter und Kunden veröffentlichen. Die Veröffentlichung dieser Kontaktdaten kann beispielsweise in der Datenschutzerklärung auf der Webseite erfolgen.

Wenn Sie laut Gesetz einen Datenschutzbeauftragen bestellen müssen und dieser Verpflichtung nicht nachkommen, riskieren Sie hohe Strafen und weitere negative Konsequenzen:
Abmahnungen nach dem Wettbewerbsrecht durch Konkurrenten oder Verbände, empfindliche Bußgeldzahlungen, die sich gegen die Geschäftsführung richten, Probleme mit der Aufsichtsbehörde, negative Schlagzeilen in der Öffentlichkeit, Verlust von Kundenvertrauen

Bei Rechtsverstößen gegen die Datenschutzvorschriften sind nicht nur hohe Bußgelder zu befürchten. Personen, die in ihren Datenschutzrechten verletzt wurden, können eine Klage gegen das Unternehmen einbringen. Vermeiden Sie diese negativen Konsequenzen für Ihr Unternehmen, indem Sie uns kontaktieren und unser Expertenwissen in puncto Datenschutz nutzen!

Interner Datenschutzbeauftragter: eine Person aus dem Betrieb
Wenn Sie einen Ihrer Beschäftigten als internen Datenschutzbeauftragten einsetzen, sollten Sie diese Punkte beachten:

Wissenserwerb und Einarbeitung: Dieser Mitarbeiter benötigt ein einschlägiges Fachwissen über die umfangreichen und komplexen Regelungen des Datenschutzes. Es ist mit hohen Ausfallzeiten für Kurse und die Einarbeitung zu rechnen. Außerdem muss sich dieser Beschäftigte laufend weiterbilden und die Gesetzesänderungen verfolgen.

Kosten für Aus- und Weiterbildung und externe Beratung: Als Unternehmer tragen Sie die Kosten für die Aus- und Weiterbildung sowie für den Erwerb von Fachliteratur. Eventuell müssen Sie zusätzlich einen externen Berater hinzuziehen, um die mangelnde Erfahrung des internen Datenschutzbeauftragten auszugleichen.

Interessenskonflikte: Interne Datenschutzbeauftragte erfüllen regelmäßig auch andere Aufgaben im Unternehmen. Es besteht die Gefahr, dass sie die Verpflichtungen in puncto Datenschutz nur nebenbei erledigen und in einen Interessenskonflikt geraten. Damit ist die objektive Sichtweise nicht mehr gewährleistet.
Zusammenarbeit mit anderen Mitarbeitern: Zudem besteht die Gefahr, dass die restlichen Mitarbeiter den betrieblichen Datenschutzbeauftragten in seiner Funktion nicht respektieren und bei der Umsetzung nicht ausreichend unterstützen.

Unternehmen trägt das Haftungsrisiko: Wenn Ihr interner Datenschutzbeauftragter in seiner Funktion eine Fehlerentscheidung trifft, haften Sie regelmäßig für den entstandenen Schaden. Sie können dieses Haftungsrisiko in der Regel nicht auf den Mitarbeiter übertragen, wenn er bloß fahrlässig gehandelt hat.

Besonderer Kündigungsschutz: Ein betrieblicher Datenschutzbeauftragter unterliegt einem besonderen Kündigungsschutz. Das Unternehmen darf ihn nur aus einem wichtigen Grund von seiner Aufgabe ausschließen oder das Beschäftigungsverhältnis kündigen. Nach der Abberufung des Datenschutzbeauftragten bleibt dieser Kündigungsschutz für ein Jahr aufrecht.

DSGVO Abmahnungen: Mitbewerber können Verstöße abmahnen!

By | Allgemein | No Comments

OLG Hamburg entscheidet: DSGVO Verstöße können durch Mitbewerber abgemahnt werden.

Worum geht es?

In erster Instanz hatte das LG Hamburg (Az 327 O 148/16) im Streit zweier Pharmakonzerne entschieden, dass Datenschutzverstöße immer dann abgemahnt werden können, wenn die entsprechende Norm eine Marktverhaltensregel ist. Das OLG Hamburg (Az 3 U 66/17) hat diese Auffassung bestätigt.

Die Richter des OLG sind dabei auch auf Auffassungen eingegangen, die eine Abmahnung von Mitbewerbern aufgrund von Verstößen gegen Normen der DSGVO bisher abgelehnt haben. Da der Volltext der Entscheidung noch nicht veröffentlich wurde, werden Details erst in den nächsten Tagen einzusehen sein.

Konsequenzen?

Setzt sich die Ansicht des OLG Hamburg durch, wird bei einem DSGVO Verstoß zu prüfen sein, ob dieser Verstoß wettbewerbsrechtlichen Charakter hat. Dies setzt zum einen fundierte Kenntnisse des Datenschutzrechts, zum anderen auch des Wettbewerbsrechts voraus. Einzuschätzen ob ein rechtliches Risiko, z.B. durch Fehler in der Datenschutzerklärung Ihrer Webseite oder durch Geschäftsprozesse besteht, wird also in der Praxis nicht einfacher.

Was sollten Sie jetzt tun?

Betreiben Sie eine Webseite, sollten Sie so schnell wie möglich die datenschutzrechtlichen Grundvoraussetzungen umsetzen. Dies beinhaltet eine DSGVO-konforme Datenschutzerklärung sowie Formulare, Registrierung, Shop, PlugIns, Cookies usw.

Beschäftigen Sie externe Dienstleister, die für Sie Daten Ihrer Kunden, Bewerber, Seitennutzer, etc. sollten Sie prüfen, ob Sie die nötigen Auftragsverarbeitungsverträge abgeschlossen haben.

Sind Sie Geschäftsführer eines größeren Unternehmens, bietet sich anwaltliche Beratung und Überprüfung an.

Wir verfügen über die nötigen Kenntnisse in beiden Rechtsgebieten um Sie entsprechend zu unterstützen.

Datenschutz für Online-Shops: Darauf sollten Sie achten!

By | Allgemein | No Comments

Die Datenschutz-Grundverordnung (DSGVO) wird bald ein Jahr alt. Ende Mai 2018 verabschiedete die Europäische Union die Verordnung, die in der ganzen EU einheitlich und genau definiert, wie Händler mit personenbezogenen Daten umzugehen haben. Trotz der großen drohenden Gefahr vor Abmahnungen haben bislang jedoch immer noch nicht alle Unternehmen die Vorgaben der DSGVO erfüllt. Dabei gibt es einige Fehler, die zugleich am häufigsten auftreten und am gefährlichsten werden können. Folgende vier Punkte sollten Sie daher für den Datenschutz in Ihrem Unternehmen besonders beachten.

  1. Datenschutzbeauftragter und Dokumentation

Es reicht nicht aus, wenn sich lediglich eine Datenschutz-Abteilung im Unternehmen um diese Belange kümmert. Jeder einzelne Mitarbeiter, der einen Zugang zu personenbezogenen Daten hat, muss im Vorfeld seiner Tätigkeit umfassend über die für ihn relevanten Abschnitte der DSGVO aufgeklärt und dahingehend geschult werden.

Dies hat den einfachen Grund, dass laut der DSGVO eine detaillierte und vor allem lückenlose Dokumentation aller Vorgänge stattfinden muss, die mit jenen personenbezogenen Daten zu tun haben. Denn wer der Aufsichtsbehörde nur die aktuellsten, auf Nachfrage protokollierten Datenschutz-Maßnahmen und -Vorgänge vorlegen kann, der macht sich strafbar.

Daraus kann auch ein Vorteil gezogen werden: Je mehr Mitarbeiter fachspezifische Kenntnisse vorweisen können, desto sorgfältiger können sie auch die Dokumentation der Vorgänge gestalten. Und umso besser kann im Nachhinein festgestellt werden, was genau an welcher Stelle schiefgelaufen ist. Somit kann auch ein Bußgeld verhindert werden, sobald erwiesen ist, dass das Unternehmen keine Schuld an der Panne trägt. Zum Vergleich: Google Frankreich musste einst eine Strafe von 50 Millionen Euro zahlen, weil ein Verstoß gegen das DSGVO festgestellt wurde.

  1. Das umgehende Melden von Datenpannen oder Datenschutzlecks

Wann auch immer eine Datenpanne im Unternehmen auftaucht, so hat das Unternehmen genau 72 Stunden Zeit, um diese seiner zuständigen Aufsichtsbehörde zu melden. Selbst wenn es nur eine potenzielle Gefährdung ist, ein sogenanntes Leck. Auch spielt es dabei keine Rolle, welches Ausmaß der Fehler annimmt: Selbst die kleinsten Pannen und Lecks müssen umgehend und genauestens dokumentiert gemeldet werden.

  1. Datenschutzerklärungen für alle im Online-Handel tätigen Abteilungen

Manche Online-Händler vertreiben Ihre Produkte oder Leistungen auch über externe Plattformen, wie zum Beispiel Amazon oder eBay. In diesen Fällen muss für jeden einzelnen dieser Verkaufskanäle eine Datenschutz-Erklärung des Unternehmens angegeben werden. Außerdem müssen diese Erklärungen jederzeit aufrufbar sein.

  1. Die Größe des Unternehmens ist irrelevant für die Aufsichtsbehörde

Ein Punkt, der beim Thema Datenschutz oft ignoriert oder nicht beachtet wird, ist die Größe des Händlerunternehmens. Selbst die kleinsten und unbekanntesten Unternehmen müssen damit rechnen, dass Verstöße gegen die DSGVO von der Aufsichtsbehörde untersucht werden. Diese steht nämlich in der gesetzlich vorgeschriebenen Pflicht, jeder Beschwerde nachzugehen und dabei keine Kompromisse einzugehen. Denn es geht hier meist um Schadensersatzansprüche, und die können auch gegen kleine Händler erhoben werden.

Fazit: Eine saubere Transparenz ist das A und O

Egal, wie sehr Sie die Erfüllung der Pflichten laut DSGVO in Ihrem Unternehmen umsetzen: Das wichtigste dabei ist die Transparenz, die Nachvollziehbarkeit Ihrer Handlungen für die Aufsichtsbehörde. Diese kontrolliert nun einmal laut Gesetz, ob die DSGVO überall eingehalten wird. Deshalb werden Unternehmen, die sich verstecken oder wichtige Informationen nicht angeben, ganz genau beobachtet. Wer erst einmal in diesem Fokus steht, wird es schwer haben, sich wieder daraus zu befreien.