Google Nachschlag - Relevanz für jede Webseite
- von Thilo Noack
- •
- 15 Nov., 2019
Ulrich Kelber, Bundesbeauftragter für den Datenschutz.
Google Analytics nur nach Einwilligung "Wer Angebote einbindet, die wie zum Beispiel Google Analytics rechtlich zwingend eine Einwilligung erfordern, muss dafür sorgen, von seinen Websitenutzern eine datenschutzkonforme Einwilligung einzuholen. Dass dies nicht mit einfachen Informationen über sogenannte Cookie-Banner oder voraktivierte Kästchen bei Einwilligungserklärungen funktioniert, sollte hoffentlich mittlerweile jedem klar sein. Jeder Websitebetreiber sollte sich daher genau damit auseinandersetzen, welche Dienste bei ihm eingebunden sind und diese notfalls deaktivieren, bis er sichergestellt hat, dass ein datenschutzkonformer Einsatz gewährleistet werden kann."
Bonn/Berlin, 14. November 2019, bfdi.
Dieses klare Statement dürfte nun im Nachgang an meine Vorherigen Veröffentlichungen - seit April 2019 - ebenso klar für Anpassungsnotwendigkeit der Webseiten von Unternehmen sorgen. Entscheidend dabei ist die Art und Weise der Einwilligung. Wie? =>> Sie muss freiwillig, konkret, informiert und vor dem Aktivieren der Seite "über die Bühne" gehen. Nennen Sie also Zwecke der Verarbeitung, Umfang, sowie Speicherdauer und Empfänger der Daten, sowie Hintergründe zu dem Prozess. Genauere Hinweise gern: thilo.noack@shared-it.de
Dieses klare Statement dürfte nun im Nachgang an meine Vorherigen Veröffentlichungen - seit April 2019 - ebenso klar für Anpassungsnotwendigkeit der Webseiten von Unternehmen sorgen. Entscheidend dabei ist die Art und Weise der Einwilligung. Wie? =>> Sie muss freiwillig, konkret, informiert und vor dem Aktivieren der Seite "über die Bühne" gehen. Nennen Sie also Zwecke der Verarbeitung, Umfang, sowie Speicherdauer und Empfänger der Daten, sowie Hintergründe zu dem Prozess. Genauere Hinweise gern: thilo.noack@shared-it.de
Derzeit äussern sich gleich mehrere Aufsichtsbehörden in der gleichen Tonart zu dem Thema und es gibt bereits eine 6-stellige Zahl an Seiten, die einer Behörde beschwerdetechnisch vorliegen.
Wie schreibe ich Weihnachtsgrüße nach DSGVO richtig und beachte den Datenschutz
ZDNET ( https://www.zdnet.de/88364323/dsgvo-british-airways-droht-eine-rekordstrafe-von-183-millionen-pfund/
)
DSGVO: British Airways droht eine Rekordstrafe von 183 Millionen Pfund
Die Geldbuße bezieht sich auf einen Sicherheitsvorfall, der sich von Ende August bis Anfang September 2018 ereignete. British Airways hatte damals eingeräumt, dass bei einem Hackerangriff die Adress- und Kreditkartendaten von 380.000 Kunden kompromittiert wurden.
Direkte Worte findet die zuständige Informationskommissarin des ICO Elizabeth Denham, sie sagt dazu: „ Die persönlichen Daten der Menschen sind genau das – persönlich. Wenn ein Unternehmen es nicht schafft, diese vor Verlust, Beschädigung oder Diebstahl zu schützen, ist das mehr als eine Unannehmlichkeit. Deshalb ist das Gesetz klar – wenn Sie mit personenbezogenen Daten betraut werden, müssen Sie sich darum kümmern. Diejenigen, die es nicht tun, werden von meinem Büro aus kontrolliert, um zu überprüfen, ob sie geeignete Maßnahmen zum Schutz der Grundrechte auf Privatsphäre ergriffen haben.“
Damit drückt sie prinzipiell das aus, was aus unserer Praxiserfahrung die allermeisten Unternehmen eben nicht direkt erkannt haben, die DSGVO führt in Form des Artikels 24 und 32 eine (längst notwendige) normierte Verpflichtung auf IT-Sicherheit ein, die aufgrund des Art.5 Abs.2 DSGVO dokumentiert sein muss. Ist die Belastbarkeit der getroffenen IT-Sicherheitsmaßnahmen nicht anhand anerkannten Sicherheitsstandards (ISO27001/2 z.B.) belegt und damit nach Art. 32 DSGVO nicht umgesetzt, kommt es zu einem ein Bußgeldrisiko (2% / 10 Mio).
Alleine die regelmäßige Umsetzung eines Angriffstests und das Schließen damit erkannter Sicherheitslücken dürfte immens vorteilhaft im Sinne der Enthaftung in einem solchen Fall sein.
Spannend daran ist für viele Unternehmen in dem Zusammenhang vielleicht auch, dass ein Verstoß meldepflichtig ist (Art. 33 DSGVO) und dass die Behörde dann alle Tatsachen, die zu dem Fall geführt haben einsehen kann, siehe hierzu auch Blogbeitrag vom 7.7.2019.
Es ist für jedes Unternehmen, gleich welcher Größe, greifbar . Der nächste IT-Vorfall im Unternehmen wird kommen, definitiv. Es gibt eine Meldepflicht bei einer Aufsichtsbehörde. Eine Unterlassene Meldung ist auch ein Bußgeldrisiko. Eine Meldung führt zur Untersuchung.
Es zeigt sich hier wieder unmissverständlich unser Leitbild "Datenschutz ist Unternehmensschutz" - der Grundsatz unserer Beratung. Und... das hier zu erwähnen drängte sich nun ja förmlich auf, denn wo wird es denn noch treffender verdeutlicht als in solch einem Fall.
Die Geldbuße bezieht sich auf einen Sicherheitsvorfall, der sich von Ende August bis Anfang September 2018 ereignete. British Airways hatte damals eingeräumt, dass bei einem Hackerangriff die Adress- und Kreditkartendaten von 380.000 Kunden kompromittiert wurden.
Direkte Worte findet die zuständige Informationskommissarin des ICO Elizabeth Denham, sie sagt dazu: „ Die persönlichen Daten der Menschen sind genau das – persönlich. Wenn ein Unternehmen es nicht schafft, diese vor Verlust, Beschädigung oder Diebstahl zu schützen, ist das mehr als eine Unannehmlichkeit. Deshalb ist das Gesetz klar – wenn Sie mit personenbezogenen Daten betraut werden, müssen Sie sich darum kümmern. Diejenigen, die es nicht tun, werden von meinem Büro aus kontrolliert, um zu überprüfen, ob sie geeignete Maßnahmen zum Schutz der Grundrechte auf Privatsphäre ergriffen haben.“
Damit drückt sie prinzipiell das aus, was aus unserer Praxiserfahrung die allermeisten Unternehmen eben nicht direkt erkannt haben, die DSGVO führt in Form des Artikels 24 und 32 eine (längst notwendige) normierte Verpflichtung auf IT-Sicherheit ein, die aufgrund des Art.5 Abs.2 DSGVO dokumentiert sein muss. Ist die Belastbarkeit der getroffenen IT-Sicherheitsmaßnahmen nicht anhand anerkannten Sicherheitsstandards (ISO27001/2 z.B.) belegt und damit nach Art. 32 DSGVO nicht umgesetzt, kommt es zu einem ein Bußgeldrisiko (2% / 10 Mio).
Alleine die regelmäßige Umsetzung eines Angriffstests und das Schließen damit erkannter Sicherheitslücken dürfte immens vorteilhaft im Sinne der Enthaftung in einem solchen Fall sein.
Spannend daran ist für viele Unternehmen in dem Zusammenhang vielleicht auch, dass ein Verstoß meldepflichtig ist (Art. 33 DSGVO) und dass die Behörde dann alle Tatsachen, die zu dem Fall geführt haben einsehen kann, siehe hierzu auch Blogbeitrag vom 7.7.2019.
Es ist für jedes Unternehmen, gleich welcher Größe, greifbar . Der nächste IT-Vorfall im Unternehmen wird kommen, definitiv. Es gibt eine Meldepflicht bei einer Aufsichtsbehörde. Eine Unterlassene Meldung ist auch ein Bußgeldrisiko. Eine Meldung führt zur Untersuchung.
Es zeigt sich hier wieder unmissverständlich unser Leitbild "Datenschutz ist Unternehmensschutz" - der Grundsatz unserer Beratung. Und... das hier zu erwähnen drängte sich nun ja förmlich auf, denn wo wird es denn noch treffender verdeutlicht als in solch einem Fall.
Praxis: Einfache Umsetzung von Grundsätzen zeigen Wirkung bei aktuellen behördlichen Prüfungen.
Die Wertschöpfung im Zeitalter nahezu 100%-iger Digitalisierung steht in unmittelbarer Verbindung mit Daten. Ein Großteil dieser Daten sind personenbezogene Daten, bei denen es in erheblichem Maße auf deren Rechtmäßigkeit im Rahmen derer Verarbeitung ankommt. Die Aufgabe von Datenschutzexperten besteht in eben dieser Kontrolle und Prüfung. Aber auch Mitarbeiterdaten sind Teil dieser Verarbeitung und ein ebenso wichtiger Teil eines fundierten Datenschutz-Managements.
Stellen Sie Ihre Daten auf die Probe. Kontrollieren Sie die Datenverarbeitung aus den Augen derer, die Risiken für Ihr Unternehmen bedeuten können:
- sind Betroffenenrechte rechtssicher umgesetzt
- sind Dokumentationen aus Sicht einer Behörde unangreifbar
- sind IT-Sicherheitsmechanismen auf Belastbarkeit vor Angriffen geprüft
- sind Marketingmaßnahmen aus wettbewerbsrechtlicher Sicht risikoreich.
Sie erhalten von Ihrem Datenschutzbeauftragten einen Jahresbericht, prüfen Sie hier auf diese Merkmale. Diese definieren die entscheidenden Wertschöpfungen und die Qualität Ihrer Daten und damit letztendlich den Unternehmenswert. Die Jahresberichte des Datenschutzbeauftragten sind Aussage über den Stand der Angreifbarkeit.
- sind Dokumentationen aus Sicht einer Behörde unangreifbar
- sind IT-Sicherheitsmechanismen auf Belastbarkeit vor Angriffen geprüft
- sind Marketingmaßnahmen aus wettbewerbsrechtlicher Sicht risikoreich.
Sie erhalten von Ihrem Datenschutzbeauftragten einen Jahresbericht, prüfen Sie hier auf diese Merkmale. Diese definieren die entscheidenden Wertschöpfungen und die Qualität Ihrer Daten und damit letztendlich den Unternehmenswert. Die Jahresberichte des Datenschutzbeauftragten sind Aussage über den Stand der Angreifbarkeit.
