Aktuelle Informationen
news_time
Aktualität in der Umsetzung als Maßstab von Qualität
Weihnachtspost und Datenschutz, alle Jahre wieder. Was darf man, wie darf man, eine kleine Anleitung..
Aus aktuellem Anlass, hier die wichtigsten Fakten, die über das Ob und Wie entscheiden.
Das Wesentliche zuerst: Handelt es sich um Emails, ist der folgende Absatz relevant. Emails müssen zudem noch personenbezogen sein, schreiben Sie Weihnachtsgrüße an ein Unternehmen, so ist eine juristische Person angesprochen, womit kein Datenschutz relevant ist.
Wenn die Voraussetzungen erfüllt sind, sie also (eine) Email(s) an mehrere Personen verfassen, so ist zunächst einmal die Frage nach dem Ob zu beantworten. Ob? Ja - ob ich das darf. Dürften kann bejaht werden, wenn eine Rechtsgrundlage vorliegt, dazu schreibt das LfD Rheinland Pfalz: Personenbezogene Weihnachtspost kann auf Art. 6 Abs. 1 Buchst. f) DS-GVO (Interessenabwägung) gestützt werden. Da es sich um Werbung handele, bedürfe es aber eines Hinweises auf die Möglichkeit des Werbewiderspruchs. Also: existente, also bestehende Kundenbeziehungen und Beziehungen zu B2B Geschäftspartnern zu pflegen, stellt ein berechtigtes Interesse dar. Somit müssen Interessen abgewogen werden, der Versand von Weihnachtspost dient in aller Regel der Pflege von Geschäfts-Beziehungen. Damit ist das berechtigte Interesse folglich eine mögliche Rechtsgrundlage. Die Abwägung der Interessen zwischen betroffener Person und Unternehmen dürfte auch jeweils zu Gunsten des Unternehmens ausfallen, denn Betroffene dürften im allgemeinen damit rechnen, so dass die "Aktion" nicht überraschend und ausserhalb jeder Erwartung erfolgt. Da die Weihnachtspost grundsätzlich eine Datenverarbeitung ist, sollte ein Hinweis auf eine Datenschutzerklärung vorhanden sein, dieser kann als Link dort platziert werden. Eine ops-out-Möglichkeit gehört natürlich auch mit platziert.
https://www.sharedit-pro.com/ergebnisse-der-98-datenschutzkonferenz
(Das neuste in Sachen behördliche Aktivität - mit erheblicher Relevanz. Zusammenfassung der Ergebnisse unter dem Link)
https://www.bfdi.bund.de/SiteGlobals/Modules/Buehne/DE/Startseite/Pressemitteilung_Link/HP_Text_Pressemitteilung.html
Google Analytics nur nach Einwilligung "Wer Angebote einbindet, die wie zum Beispiel Google Analytics rechtlich zwingend eine Einwilligung erfordern, muss dafür sorgen, von seinen Websitenutzern eine datenschutzkonforme Einwilligung einzuholen. Dass dies nicht mit einfachen Informationen über sogenannte Cookie-Banner oder voraktivierte Kästchen bei Einwilligungserklärungen funktioniert, sollte hoffentlich mittlerweile jedem klar sein. Jeder Websitebetreiber sollte sich daher genau damit auseinandersetzen, welche Dienste bei ihm eingebunden sind und diese notfalls deaktivieren, bis er sichergestellt hat, dass ein datenschutzkonformer Einsatz gewährleistet werden kann."
Bonn/Berlin, 14. November 2019, bfdi.
Ausgabe 26/2019
Datum 14.11.2019
Die Häufigkeit der Datenschutz-News nimmt zu, so auch korrespondierend die Bußgeld-Aktivitäten von Aufsichtsbehörden.
Umsetzung von Löschpflichten und der Grundsatz der Speicherbegrenzung.
Derzeit werden u.a. Grundsatzthemen des Datenschutzrechts, zu finden in Art.5 DSGVO, in einem bisher nicht dagewesenem Umfang durch Behörden geprüft, die Welt schreibt dazu in ihrem Artikel von „deutliche Verschärfung im behördlichen Handeln..“, was auch durch den kürzlich veröffentlichten Bußgeldkatalog insofern nachvollziehbar ist.
Im Aktuellen Fall wurde neben weiteren Fällen dieser Art mit geringeren Bußgeldern, ein Bußgeld von 14 Mio. EUR verhangen, nachdem das Unternehmen Daten ohne Rechtsgrundlage speicherte, da diese nach Zweckerfüllung eben nicht weiter benötigt wurden und somit hätten gelöscht werden müssen. Dem Bußgeld gingen Warnungen voraus.
Handlungsempfehlung:
Alle Datenflüsse des Unternehmens sind im Verarbeitungsverzeichnis aufgelistet, diese sollten dementsprechend aktuell sein. Hier sind die Speicherfristen und damit Löschpflichten zu finden, bzw. zu nennen. Dies muss entsprechend umgesetzt werden. Darauf zu achten ist dabei, dass die Verarbeitungen alle 6-12 Monate geprüft werden, um Aktualität zu gewährleisten. Des weiteren ist die Erstellung eines Löschkonzeptes im Sinne der Enthaftung sehr sinnvoll. Es sollten dort alle Datenarten nebst zugehöriger gesetzlicher Aufbewahrungsregelung aufgelistet sein. Ist diese jeweils erloschen, muss gesperrt oder gelöscht werden. Anonymisierung wäre hilfsweise auch möglich.
Betroffene Personen können Schadensersatzansprüche geltend machen, wenn durch einen Verstoß (s.o. beispielsw. fehlende Rechtsgrundlage) ein immaterieller oder materieller Schaden eingetreten ist.
Die Beweislast ist wie folgt geregelt (Art. 82 Abs. 3 DSGVO) „(3) Der Verantwortliche oder der Auftragsverarbeiter wird von der Haftung gemäß Absatz 2 befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist“ Die Plattform EuGD (https://eugd.org) hat sich dazu darauf spezialisiert, geschädigte Personen zu akquirieren und Ansprüche kostenfrei gegen Unternehmen durchzusetzen. Was bedeutet dies nur für die Praxis?
Der Nachweis des Verantwortlichen (des Unternehmens) oder des Auftragsverarbeiters (Dienstleisters) kann nur gelingen, wenn allen Dokumentations- und Nachweispflichtern nachgekommen wurde.
IT-Sicherheit
Wie die Praxis derzeit bestätigt: es ist unbedingt erforderlich, im Sinne der Enthaftung, auf Belastungstests der IT in keiner Weise zu verzichten. Hiermit ist der Tatbestand des Art. 32 DSGVO erfüllt und die Verantwortlichkeit für eingetretene Schäden und deren Vertretenmüssen deutlich reduziert. Die Belastungstests sehen u.a. das Wiederanlaufen (Verfügbarkeit, Notfallplan) und Angrifssicherheit vor.
Prüfung von Auftragsverarbeitern
Es besteht eine indirekte Prüfungspflicht von Dienstleistern, welche einen AVV (Auftragsverarbeitungsvertrag nach Art. 28 DSGVO) mit Ihnen als Unternehmen abgeschlossen haben. Hiermit wird die Geeignetheit der ausgelagerten Datenverarbeitung insgesamt gültig und beständig. Die Prüfung muss nicht zwingend vor Ort erfolgen, sondern kann auch mittels Fragebögen (schriftlich) erfolgen.
01 Analyse
Den Änderungsbedarf identifizieren, eine Bestandsaufnahme sämtlicher Prozesse und Verfahren durchführen, Risiken bestimmen und Data-Flow zwischen verantwortlicher Stelle, Betroffenen und Auftragsverarbeitern darstellen.
02 Maßnahmen
Aufgrund der Analyse erstellen wir einen Maßnahmenkatalog, beraten intensiv zu Gewichtung und Umfang und geben informieren alle relevanten Unternehmensbereiche, auf Wunsch bereits als Ihre Datenschutzbeauftragten
03 Umsetzung
Direkte Begleitung und Beratung bei der Umsetzung der Maßnahmen mit ständiger GAP-Analyse bis zur Fertigstellung des notwendigen Datenschutzmanagements, nebst Dokumentation und Schulung der Mitarbeiter und IT-Security-Audit.