Weihnachtspost und DSGVO
- von Thilo Noack
- •
- 05 Dez., 2019
Weihnachtspost und Datenschutz, alle Jahre wieder. Was darf man, wie darf man, eine kleine Anleitung..
Aus aktuellem Anlass, hier die wichtigsten Fakten, die über das Ob und Wie entscheiden.
Das Wesentliche zuerst: Handelt es sich um Emails, ist der folgende Absatz tatsächlich relevant postalische Grüße können aber gleich behandelt werden. Emails müssen zudem noch personenbezogen sein, schreiben Sie Weihnachtsgrüße an ein Unternehmen, so ist eine juristische Person angesprochen, womit kein Datenschutz relevant ist.
Wenn die Voraussetzungen erfüllt sind, sie also (eine) Email(s) an mehrere Personen verfassen, so ist zunächst einmal die Frage nach dem Ob zu beantworten. Ob? Ja - ob ich das darf. Dürften kann bejaht werden, wenn eine Rechtsgrundlage vorliegt, dazu schreibt das LfD Rheinland Pfalz: Personenbezogene Weihnachtspost kann auf Art. 6 Abs. 1 Buchst. f) DS-GVO (Interessenabwägung) gestützt werden. Da es sich um Werbung handele, bedürfe es aber eines Hinweises auf die Möglichkeit des Werbewiderspruchs. Also: existente, also bestehende Kundenbeziehungen und Beziehungen zu B2B Geschäftspartnern zu pflegen, stellt ein berechtigtes Interesse dar. Somit müssen Interessen abgewogen werden, der Versand von Weihnachtspost dient in aller Regel der Pflege von Geschäfts-Beziehungen. Damit ist das berechtigte Interesse folglich eine mögliche Rechtsgrundlage. Die Abwägung der Interessen zwischen betroffener Person und Unternehmen dürfte auch jeweils zu Gunsten des Unternehmens ausfallen, denn Betroffene dürften im allgemeinen damit rechnen, so dass die "Aktion" nicht überraschend und ausserhalb jeder Erwartung erfolgt. Da die Weihnachtspost grundsätzlich eine Datenverarbeitung ist, sollte ein Hinweis auf eine Datenschutzerklärung vorhanden sein, dieser kann als Link dort platziert werden. Eine ops-out-Möglichkeit gehört natürlich auch mit platziert.
Google Analytics nur nach Einwilligung " Wer Angebote einbindet, die wie zum Beispiel Google Analytics rechtlich zwingend eine Einwilligung erfordern, muss dafür sorgen, von seinen Websitenutzern eine datenschutzkonforme Einwilligung einzuholen. Dass dies nicht mit einfachen Informationen über sogenannte Cookie-Banner oder voraktivierte Kästchen bei Einwilligungserklärungen funktioniert, sollte hoffentlich mittlerweile jedem klar sein. Jeder Websitebetreiber sollte sich daher genau damit auseinandersetzen, welche Dienste bei ihm eingebunden sind und diese notfalls deaktivieren, bis er sichergestellt hat, dass ein datenschutzkonformer Einsatz gewährleistet werden kann."
Bonn/Berlin, 14. November 2019, bfdi.
Dieses klare Statement dürfte nun im Nachgang an meine Vorherigen Veröffentlichungen - seit April 2019 - ebenso klar für Anpassungsnotwendigkeit der Webseiten von Unternehmen sorgen. Entscheidend dabei ist die Art und Weise der Einwilligung. Wie? =>> Sie muss freiwillig, konkret, informiert und vor dem Aktivieren der Seite "über die Bühne" gehen. Nennen Sie also Zwecke der Verarbeitung, Umfang, sowie Speicherdauer und Empfänger der Daten, sowie Hintergründe zu dem Prozess. Genauere Hinweise gern: thilo.noack@shared-it.de
Dieses klare Statement dürfte nun im Nachgang an meine Vorherigen Veröffentlichungen - seit April 2019 - ebenso klar für Anpassungsnotwendigkeit der Webseiten von Unternehmen sorgen. Entscheidend dabei ist die Art und Weise der Einwilligung. Wie? =>> Sie muss freiwillig, konkret, informiert und vor dem Aktivieren der Seite "über die Bühne" gehen. Nennen Sie also Zwecke der Verarbeitung, Umfang, sowie Speicherdauer und Empfänger der Daten, sowie Hintergründe zu dem Prozess. Genauere Hinweise gern: thilo.noack@shared-it.de
Derzeit äussern sich gleich mehrere Aufsichtsbehörden in der gleichen Tonart zu dem Thema und es gibt bereits eine 6-stellige Zahl an Seiten, die einer Behörde beschwerdetechnisch vorliegen.
ZDNET ( https://www.zdnet.de/88364323/dsgvo-british-airways-droht-eine-rekordstrafe-von-183-millionen-pfund/
)
DSGVO: British Airways droht eine Rekordstrafe von 183 Millionen Pfund
Die Geldbuße bezieht sich auf einen Sicherheitsvorfall, der sich von Ende August bis Anfang September 2018 ereignete. British Airways hatte damals eingeräumt, dass bei einem Hackerangriff die Adress- und Kreditkartendaten von 380.000 Kunden kompromittiert wurden.
Direkte Worte findet die zuständige Informationskommissarin des ICO Elizabeth Denham, sie sagt dazu: „ Die persönlichen Daten der Menschen sind genau das – persönlich. Wenn ein Unternehmen es nicht schafft, diese vor Verlust, Beschädigung oder Diebstahl zu schützen, ist das mehr als eine Unannehmlichkeit. Deshalb ist das Gesetz klar – wenn Sie mit personenbezogenen Daten betraut werden, müssen Sie sich darum kümmern. Diejenigen, die es nicht tun, werden von meinem Büro aus kontrolliert, um zu überprüfen, ob sie geeignete Maßnahmen zum Schutz der Grundrechte auf Privatsphäre ergriffen haben.“
Damit drückt sie prinzipiell das aus, was aus unserer Praxiserfahrung die allermeisten Unternehmen eben nicht direkt erkannt haben, die DSGVO führt in Form des Artikels 24 und 32 eine (längst notwendige) normierte Verpflichtung auf IT-Sicherheit ein, die aufgrund des Art.5 Abs.2 DSGVO dokumentiert sein muss. Ist die Belastbarkeit der getroffenen IT-Sicherheitsmaßnahmen nicht anhand anerkannten Sicherheitsstandards (ISO27001/2 z.B.) belegt und damit nach Art. 32 DSGVO nicht umgesetzt, kommt es zu einem ein Bußgeldrisiko (2% / 10 Mio).
Alleine die regelmäßige Umsetzung eines Angriffstests und das Schließen damit erkannter Sicherheitslücken dürfte immens vorteilhaft im Sinne der Enthaftung in einem solchen Fall sein.
Spannend daran ist für viele Unternehmen in dem Zusammenhang vielleicht auch, dass ein Verstoß meldepflichtig ist (Art. 33 DSGVO) und dass die Behörde dann alle Tatsachen, die zu dem Fall geführt haben einsehen kann, siehe hierzu auch Blogbeitrag vom 7.7.2019.
Es ist für jedes Unternehmen, gleich welcher Größe, greifbar . Der nächste IT-Vorfall im Unternehmen wird kommen, definitiv. Es gibt eine Meldepflicht bei einer Aufsichtsbehörde. Eine Unterlassene Meldung ist auch ein Bußgeldrisiko. Eine Meldung führt zur Untersuchung.
Es zeigt sich hier wieder unmissverständlich unser Leitbild "Datenschutz ist Unternehmensschutz" - der Grundsatz unserer Beratung. Und... das hier zu erwähnen drängte sich nun ja förmlich auf, denn wo wird es denn noch treffender verdeutlicht als in solch einem Fall.
Die Geldbuße bezieht sich auf einen Sicherheitsvorfall, der sich von Ende August bis Anfang September 2018 ereignete. British Airways hatte damals eingeräumt, dass bei einem Hackerangriff die Adress- und Kreditkartendaten von 380.000 Kunden kompromittiert wurden.
Direkte Worte findet die zuständige Informationskommissarin des ICO Elizabeth Denham, sie sagt dazu: „ Die persönlichen Daten der Menschen sind genau das – persönlich. Wenn ein Unternehmen es nicht schafft, diese vor Verlust, Beschädigung oder Diebstahl zu schützen, ist das mehr als eine Unannehmlichkeit. Deshalb ist das Gesetz klar – wenn Sie mit personenbezogenen Daten betraut werden, müssen Sie sich darum kümmern. Diejenigen, die es nicht tun, werden von meinem Büro aus kontrolliert, um zu überprüfen, ob sie geeignete Maßnahmen zum Schutz der Grundrechte auf Privatsphäre ergriffen haben.“
Damit drückt sie prinzipiell das aus, was aus unserer Praxiserfahrung die allermeisten Unternehmen eben nicht direkt erkannt haben, die DSGVO führt in Form des Artikels 24 und 32 eine (längst notwendige) normierte Verpflichtung auf IT-Sicherheit ein, die aufgrund des Art.5 Abs.2 DSGVO dokumentiert sein muss. Ist die Belastbarkeit der getroffenen IT-Sicherheitsmaßnahmen nicht anhand anerkannten Sicherheitsstandards (ISO27001/2 z.B.) belegt und damit nach Art. 32 DSGVO nicht umgesetzt, kommt es zu einem ein Bußgeldrisiko (2% / 10 Mio).
Alleine die regelmäßige Umsetzung eines Angriffstests und das Schließen damit erkannter Sicherheitslücken dürfte immens vorteilhaft im Sinne der Enthaftung in einem solchen Fall sein.
Spannend daran ist für viele Unternehmen in dem Zusammenhang vielleicht auch, dass ein Verstoß meldepflichtig ist (Art. 33 DSGVO) und dass die Behörde dann alle Tatsachen, die zu dem Fall geführt haben einsehen kann, siehe hierzu auch Blogbeitrag vom 7.7.2019.
Es ist für jedes Unternehmen, gleich welcher Größe, greifbar . Der nächste IT-Vorfall im Unternehmen wird kommen, definitiv. Es gibt eine Meldepflicht bei einer Aufsichtsbehörde. Eine Unterlassene Meldung ist auch ein Bußgeldrisiko. Eine Meldung führt zur Untersuchung.
Es zeigt sich hier wieder unmissverständlich unser Leitbild "Datenschutz ist Unternehmensschutz" - der Grundsatz unserer Beratung. Und... das hier zu erwähnen drängte sich nun ja förmlich auf, denn wo wird es denn noch treffender verdeutlicht als in solch einem Fall.
Praxis: Einfache Umsetzung von Grundsätzen zeigen Wirkung bei aktuellen behördlichen Prüfungen.
Die Wertschöpfung im Zeitalter nahezu 100%-iger Digitalisierung steht in unmittelbarer Verbindung mit Daten. Ein Großteil dieser Daten sind personenbezogene Daten, bei denen es in erheblichem Maße auf deren Rechtmäßigkeit im Rahmen derer Verarbeitung ankommt. Die Aufgabe von Datenschutzexperten besteht in eben dieser Kontrolle und Prüfung. Aber auch Mitarbeiterdaten sind Teil dieser Verarbeitung und ein ebenso wichtiger Teil eines fundierten Datenschutz-Managements.
Stellen Sie Ihre Daten auf die Probe. Kontrollieren Sie die Datenverarbeitung aus den Augen derer, die Risiken für Ihr Unternehmen bedeuten können:
- sind Betroffenenrechte rechtssicher umgesetzt
- sind Dokumentationen aus Sicht einer Behörde unangreifbar
- sind IT-Sicherheitsmechanismen auf Belastbarkeit vor Angriffen geprüft
- sind Marketingmaßnahmen aus wettbewerbsrechtlicher Sicht risikoreich.
Sie erhalten von Ihrem Datenschutzbeauftragten einen Jahresbericht, prüfen Sie hier auf diese Merkmale. Diese definieren die entscheidenden Wertschöpfungen und die Qualität Ihrer Daten und damit letztendlich den Unternehmenswert. Die Jahresberichte des Datenschutzbeauftragten sind Aussage über den Stand der Angreifbarkeit.
- sind Dokumentationen aus Sicht einer Behörde unangreifbar
- sind IT-Sicherheitsmechanismen auf Belastbarkeit vor Angriffen geprüft
- sind Marketingmaßnahmen aus wettbewerbsrechtlicher Sicht risikoreich.
Sie erhalten von Ihrem Datenschutzbeauftragten einen Jahresbericht, prüfen Sie hier auf diese Merkmale. Diese definieren die entscheidenden Wertschöpfungen und die Qualität Ihrer Daten und damit letztendlich den Unternehmenswert. Die Jahresberichte des Datenschutzbeauftragten sind Aussage über den Stand der Angreifbarkeit.
