EU-Hinweisgeber Richtlinie umsetzen bis zum 17.12.2021

EU-Hinweisgeber Richtlinie

Bis wann muss die EU-Hinweisgeber Richtlinie umgesetzt werden?

Die EU-Whistleblower-Richtlinie (EU-Hinweisgeber Richtlinie) wurde zum 16.12.2019 beschlossen und muss spätestens bis zum 17.12.2021 in deutsches Recht umgesetzt werden.

Das grundlegende Ziel der EU-Whistleblower-Richtlinie ist es, die Aufdeckung und Unterbindung von Rechtsverstößen zu forcieren. Gleichzeitig sollen aber die Hinweisgeber („Whistleblower“) sowie gegebenenfalls Dritte / Vermittler, die bei der Meldung unterstützen, besser geschützt werden. Es soll vermieden werden, dass diese Personen negative zivil-, straf- oder verwaltungsrechtliche Konsequenzen im Nachgang zu einer Meldung befürchten müssen.

Was ist eine EU-Richtlinie?

EU-Verordnungen (wie die Datenschutz-Grundverordnung oder DSGVO) sind verbindliche Rechtsakte, die alle EU-Mitgliedsstaaten umsetzen müssen. Sie treten zu einem festgelegten Datum in allen Mitgliedsstaaten in Kraft. Eine Richtlinie hingegen gibt vor, was die einzelnen Mitgliedstaaten in der Gesetzgebung erreichen müssen, doch die Staaten können frei entscheiden, wie sie die Richtlinie innerhalb von zwei Jahren in nationales Recht umsetzen. Folglich wird es in der EU zweifellos gesetzliche Unterschiede geben.

Schon jetzt ist klar, dass die Regelungen der Richtlinie als Mindeststandard umgesetzt werden müssen, über das nationale Gesetz können noch mehr Pflichten kommen, keinesfalls aber weniger. Unternehmen und Behörden sollten daher unbedingt die verbleibende Zeit für die Einführung eines richtlinienkonformen Meldekanals nutzen. Sollte die Umsetzungsfrist ablaufen, ohne dass ein entsprechendes Gesetz in Deutschland vorliegt, werden sich die Hinweisgeber bezüglich ihrer Schutzrechte direkt auf die EU-Richtlinie berufen.

Pflichten für Unternehmen

Jedes Unternehmen ab 50 Beschäftigten muss künftig besondere interne Meldekanäle einrichten, über die ein Hinweisgeber mögliche Verstöße melden kann. Die Vertraulichkeit der Meldung muss dabei geschützt sein, bezüglich aller in der Meldung enthaltenen Daten müssen die Anforderung der DSGVO beachtet werden.

Pflichten für Behörden, öffentliche Verwaltung und Non-Profit-Sektor

Die Pflicht zur Einrichtung von Meldekanälen trifft auch die öffentliche Hand. Alle juristischen Personen des öffentlichen Rechts sind betroffen (Körperschaften und Anstalten des öffentlichen Recht, öffentlich-rechtliche Stiftungen), einschließlich privatrechtlicher Gesellschaften im Eigentum der öffentlichen Hand (z.B. städtische Betriebsgesellschaften). Auch die Gemeinden sind verpflichtet. Die EU erlaubt, Gemeinden mit weniger als 10.000 Einwohnern herauszunehmen. Der Gesetzesentwurf sieht das für Deutschland so vor.

Für weitere Informationen rufen Sie uns an oder besuchen Sie unsere Webseite zu diesem Thema: Hinweisgebersystem

DSGVO konformes Videokonferenzsystem

DSGVO konforme Videokonferenzsoftware

Auf Wunsch unserer Kunden, haben wir auf einem Hochleistungsserver im Rhein-Neckar Gebiet ein System für Videokonferenzräume zur Verfügung gestellt.

BigBlueButton

Zum Einsatz kommt die Software BigBlueButton in einer OnPremise Installation. BigBlueButton ist einen open Source Software aus Canada mit vielen Funktionen für Video und Audio Konferenzen, die den bekannten Systemen in wenigem nachsteht.

DSGVO konformen Videokonferenzlösung

Für unsere Mandanten im DSB Bereich bieten wir eigene Konferenzräume zum Selbstkostenpreis an. Wir erleichtern uns selber die DSB Arbeit damit und helfen unseren Mandanten mit einer DSGVO konformen Videokonferenzlösung.

Erfahren Sie mehr über die Videokonferenzlösung auf der folgenden Seite oder melden Sie sich gleich für einen Testzugang an:

Informationen zum DSGVO konformen Videokonferenzsystem

Testzugang anfordern

Problem „Privacy Shield ungültig“ – Datenübermittlung in die USA

Ende Privacy Shield

Nahezu jedes Unternehmen übermittelt Daten in die USA. Seit Kurzem hört man viel vom „Ende des Privacy Shield“. Auf den ersten Blick scheint das ein Thema nur für Spezialisten. Es hat aber Auswirkungen auf den Alltag im Unternehmen.


Übermittlungen in die USA nur bei angemessenem Datenschutzniveau

Die USA sind kein Teil der Europäischen Union, sie sind vielmehr ein „Drittstaat“. Die Übermittlung von personenbezogenen Daten in die USA ist deshalb an besondere Voraussetzungen gebunden. Sie ist nur zulässig, soweit in den USA ein „angemessenes Datenschutzniveau“ herrscht.

Der Privacy Shield – bisher praktisch und bequem

An dieser Stelle kommt der „Privacy Shield“ ins Spiel. Es handelte sich dabei um eine Art Register. Jedes US-Unternehmen, das bestimmte Voraussetzungen des Datenschutzes erfüllte, konnte sich dort eintragen lassen. Die Europäische Kommission hatte förmlich festgelegt: Wenn ein US-Unternehmen registriert ist, herrscht in diesem Unternehmen ein angemessenes Datenschutzniveau. Über 5.500 US-Unternehmen haben diese Möglichkeit genutzt. Dazu gehören auch Internet-Giganten wie Google.
Der Vorgänger des Privacy-Shield war das Safe-Habour Abkommen, dass bereits gekippt wurde.

Europäische Unternehmen als Nutznießer

Nutznießer dieses Verfahrens waren vor allem die europäischen Geschäftspartner der registrierten US-Unternehmen. Diese Geschäftspartner konnten an ihre US-Partner personenbezogene Daten genauso leicht übermitteln wie an Geschäftspartner innerhalb der Europäischen Union. Das war praktisch und bequem.

Der Privacy Shield EuGH Urteil– aus und vorbei!

Mitte Juli 2020 stoppte der Europäische Gerichtshof (EuGH) diese Verfahrensweise. Er stellte fest, dass der „Privacy Shield“ gerade nicht für ein angemessenes Datenschutzniveau bei den registrierten US-Unternehmen sorgt. Die Folge: Vielen Datenübermittlungen in die USA fehlt jetzt eine tragfähige rechtliche Grundlage.

Schwierige Situation für alle Unternehmen

Das Urteil wirkte wie ein Keulenschlag. Es räumt keinerlei Übergangsfrist ein. Die Rechtsgrundlage „Privacy Shield“ fiel über Nacht weg. Das führt im Augenblick zu folgender Situation:

  • In manchen Fällen gibt es noch eine weitere Rechtsgrundlage für die bisher üblichen Datenübermittlungen in die USA. Das ist etwa der Fall, wenn eine Datenübermittlung erforderlich ist, um einen Vertrag mit einem Kunden ordnungsgemäß zu erfüllen. Dann ist die Übermittlung schon unmittelbar nach der Datenschutz-Grundverordnung zulässig. In diesem Fall kann alles einfach so weiterlaufen wie bisher. Dies betrifft aber nur direkten Verträge. Es trifft also nicht zu, wenn die Datenübermittlung indirekt stattfindet.
  • Ziemlich oft ist es jedoch so, dass der Privacy Shield die einzige rechtliche Basis für die Datenübermittlung in die USA war. Dann muss bildlich gesprochen schnell eine neue Rechtsgrundlage her. Das ist eine große rechtliche Herausforderung.

Enorme Bedeutung für Geschäfte mit den USA

Dies ist der Hintergrund dafür, warum die Datenübermittlungen in die USA in der nächsten Zeit vielleicht auch für Sie ein Thema sein werden. Das kommt im Augenblick sicher ungelegen. Schließlich machen die Corona-Folgen schon genügend Mühe. Das Thema ist aber wichtig, damit unentbehrliche Datenübermittlungen in die USA auch künftig rechtskonform ablaufen können.

Wenn Sie mehr über das Thema wissen wollen

Das Thema ist zu komplex um es in einem Blog Beitrag zu beschreiben und Ihnen die nötige Rechtssicherheit zu geben. Wenn Sie zu dem Thema weitere Informationen benötigen, sprechen Sie uns an und fordern Sie unser umfangreiches Dokument „Prüfung der Datenübermittlung in Drittstaaten“.

externer Datenschutz und IT-Sicherheit in Hamburg

dsgvo beratung hamburg

Unser Büro in Hamburg hat seit Anfang September nun auch eine eigene Webseite: www.dsgvo-beratung-hamburg.de

Frau Krause jun. hat im Juni 2020 Ihre TÜV Zertifizierung als Datenschutzbeauftragte erhalten und betreut die Kunden von DSBOK im Norden von Deutschland.

Ihr Spezialgebiet sind DSGVO und Sicherheitsanalysen von Webseiten und Shopsystemen. Mit verschiedenen Software Systemen können wir nun Webseiten und Shopsysteme auf DSGVO Konformität und Sicherheitsschwachstellen untersuchen.

Einen kostenlosen Beispiel-Test erhalten Sie hier:
Webseiten und IT-Sicherheitstest

 

Sicherheit bei Webseiten und Onlineshops prüfen

Webseiten Sicherheitscheck

Neuer Service: Sicherheit bei Webseiten und Onlineshops prüfen

Webseiten Sicherheistscheck

Webseiten sind heute dank kostenloser CMS Systeme schnell erstellt und sehen professionell aus. Selten wird sich um die Sicherheit des CMS Systems oder des Servers gekümmert, auf der die Webseiten gehostet werden. Häufig werden die CMS Systeme ohne erweiterte Sicherheisteinstellungen und in der einfachen Grundkonfiguration betrieben.

Dies bietet Hackern und Internetbetrügern ein großes Potenzial für die verschiedensten Angriffmöglichkeiten. Die verbreitesten sind Webseiten Highjacking und Datendiebstahl aus Formularen. Selten bekommen die Eigentümer der Webseiten etwas davon mit. Erst speziellen Sicherheitschecks decken die Lücken auf, die in der Regel mit wenigen Eingriffen geschlossen werden können.

Onlineshop Sicherheitscheck

Auch Onlineshops lassen sich schnell und unkompliziert mit Onlineshopsystemen erstellen. Hier sind die Gefahren für den Betreiber deutlich höher als bei einer Webseite, denn neben dem Hightjacking des Onlineshops steht hier der Datendiebstahl ganz oben auf der Liste. Dieser reicht vom einfachen Diebstahl der Kundendaten bis zum Diebstahl sensibler Daten, wie zum Beispiel Bankverbindungen oder Kreditkartendaten.
Umfangreiche Onlineshop Sicherheitchecks decken Schwachstellen auf und verhindern das schlimmste.

Webseiten und Onlineshop Sicherheitschecks als Pflicht aus der DSGVO und dem Bundesdatenschutzgesetz

Neben dem Schutz der Geschäftstätigkeit und dem Firmengeheimnis, hat jeder Unternehmen nach Artikel 24, 25 und 32 der DSGVO die Verantwortung und Verpflichtung für die Sicherheit der Verarbeitung zu sorgen. Dies gilt auch für Systeme, die nicht selbständig gepflegt und gehostet werden.

Sicherheitschecks als Service im Datenschutz

Im Rahmen unser Aufgaben aus Datenschutzauditoren, bieten wir unseren Kunden und Interessenten umfangreiche Sicherheitschecks für Webseiten, Onlineshops, Webserver, Server und Applikationen an. Unsere neues Team mit zwei  IT-Sicherheitsexperten erstellt aussagekräfte Berichte mit Handlungsempfehlungen und steht Ihnen Lösungen zur Verfügung.

Für ein unverbindliches Angebot eines Webseiten Sicheheitschecks oder sonstigen IT-Analysen rufen Sie uns einfach an oder nutzen Sie unser Angebotsformular für Sicherheitschecks.

Angebot für Webseiten Sichehrheitscheck, Onlineshop Sicherheitscheck oder sonstige IT-Netzwerk-Analyse anfordern.

 

 

 

 

Gültigkeitsdauer von Einwilligungen nach DSGVO

artikel 6 DSGVO 1a Einwilligung

Dem Widerruf der Einwilligung wird in der DSGVO eine wichtige Stellung eingeräumt. Artikel 7 Absatz 3 der DSGVO schreibt vor,
dass der Verantwortliche sicherstellen muss, dass die betroffene Person
die Einwilligung jederzeit widerrufen kann und dass der Widerruf der
Einwilligung so einfach sein muss wie die Erteilung der Einwilligung.
Möglicherweise kann sich eine einmal wirksam abgegebene Einwilligung
aber auch „überholt“ haben. Erfolgt nach Abgabe einer Einwilligung
keine Verarbeitung der personenbezogenen Daten der
betroffenen Person, die sich auf genau diese Einwilligung stützt, ist
die Vermutung nicht abwägig, dass die Einwilligung des Betroffenen
nicht mehr aktuell sein könnte.
Die Zivilgerichte sehen bei erteilten Einwilligungen zur werblichen
Kontaktaufnahme teilweise keine unbegrenzte Gültigkeit. Das LG
München hat in seinem Urteil vom 8. April 2010, Az. 17 HK O 138/10
entschieden, dass eine vor 17 Monaten erteilte und bisher nicht
genutzte Einwilligung zur E-Mail-Werbung keine gültige Rechtsgrundlage
mehr sein kann, da sie „ihre Aktualität verloren“ habe.
Tatsächlich enthält die DSGVO keine festgelegte Frist, wie lange eine
Einwilligung gilt. Wie lange die Einwilligung gültig ist, hängt vom Kontext,
dem Umfang der ursprünglichen Einwilligung und den Erwartungen
der betroffenen Person ab. Wenn sich die Verarbeitungsvorgänge
beträchtlich ändern oder weiterentwickeln, ist die ursprüngliche Einwilligung
nicht länger gültig. Dann muss eine neue Einwilligung eingeholt
werden.
Die WP29 empfiehlt im WP259 rev.01, die Einwilligung in angemessenen
Zeitabständen zu erneuern. Wenn alle Informationen erneut
erteilt werden, hilft das sicherzustellen, dass die betroffene Person
gut darüber informiert bleibt, wie ihre Daten verwendet werden und
wie sie ihre Rechte ausüben kann.

Quelle: Europäische Kommission

Änderung bei Cookie Einwilligung

cookie nur mit zustimmung

Neue Datenschutz Regeln bei Cookies

 

Für Seitenbetreiber ist das Thema Cookies inzwischen zu einer neverending Story um Einwilligungserklärungen geworden. Und die Geschichte geht weiter: Nach einem Urteil des Europäischen Gerichtshofs (EuGH) müssen Betreiber von Internetseiten nun noch komplexere Vorkehrungen treffen, um die Einwilligung ihrer User einzuholen und rechtlich auf der sicheren Seite zu sein.

 

Ein einfaches Banner mit voreingestellten Ankreuzkästchen erfüllt nach diesem Urteil nämlich nicht mehr die datenschutzrechtlichen Anforderungen. Dadurch ist mit einer verschärften Regulierung in Deutschland zu rechnen. Doch was bedeutet das nun für Seitenbetreiber?

 

Rechtliche Definitionen und Aufgaben für Unternehmen

 

Das EuGH-Urteil definiert, dass eine Einwilligung zur Verwendung von Cookies „für den konkreten Fall“ und „unmissverständlich“ erteilt werden muss. Dies bedeutet, dass der Nutzer aktiv zustimmen muss. Ein passives Weitersurfen oder wegklicken eines Banners reichen damit nicht mehr aus. Zusätzlich müssen dem Nutzer klare und verständliche Informationen zur Verwendung seiner Daten zur Verfügung gestellt werden. Außerdem müsse er die Funktionsweise der Cookies verstehen können und über die Funktionsdauer, die Zugriffsmöglichkeiten Dritter und die Empfänger informiert werden.

 

Rechtlich wäre es leicht zu sagen: „Tracking Cookies dürfen nur noch mit ausdrücklicher, informierter, nachweisbarer und widerrufbarer Einwilligung gesetzt werden.“ Diese Aussage ist juristisch 100%ig richtig. Sie wird den meisten Unternehmen aber praktisch nicht weiterhelfen. Für sie bedeutet das Urteil, dass sie entweder das Webtracking über Drittseiten deutlich einschränken oder eine aktive Einwilligung mit umfassenden Erläuterungen vorsehen. Die wichtigste Frage für Internetseitenbetreiber ist nun: Wie können sie diese Vorgaben praktisch und effizient umsetzen?

 

Tools und Tipps zur Umsetzung der Cookie Regeln

 

Zusammengefasst dürfen Tracking-Cookies also nicht mehr ohne echte Einwilligung der Nutzer gesetzt werden. Dabei ist es wohl egal, ob in den Cookies tatsächlich personenbezogene Daten gespeichert werden oder ob nur anonyme Daten gespeichert werden. Zu beachten ist erstmal, dass nicht alle Cookies betroffen sind. Weiter ohne Einwilligung erlaubt sind so genannte First Party Cookies, die für eine Webseite erforderlich sind. Das sind zum Beispiel Warenkorb-Cookies, Cookies für LogIns, Cookies die eine Länder- oder Sprachauswahl betreffen oder Cookies, die Consent Tools für die Cookie Einwilligung setzen

 

In der aktuellen Diskussion und bei dem Urteil des EuGH geht es im Wesentlichen um Marketing- und Tracking Cookies. Wir empfehlen deshalb, Google Analytics & Co. nur noch mit vorheriger Einwilligung über ein Consent Tool einzusetzen.

 

Empfehlungen von Consent Tools:

 

+ Cookiebot

Wie schon an verschiedenen Stellen vorgestellt nutzen wir die Lösung von Cookiebot: https://cookie.dsbok.de. Kunden die ein Konto über uns bestellte haben, können die neuen Einstellungen von uns administrieren lassen.

 

+ Usercentrics

Das Consent Tool von Usercentrics ist eine individuelle Profi-Lösung, die im Normalfall oft mehrere hunderte Euro im Monat kosten kann. Das Consent Tool funktioniert für die meisten Webseiten-Typen unabhängig vom verwendeten CMS.

 

Für DSBOK Kunden bieten wir eine Lösung von Usercentrics an, die ohne Zusatzkosten exklusiv in Mandat enthalten ist und die wichtigsten Tools wie Google Analytics, Facebook Pixel, GoogleMaps, YouTube, Xing, Twitter und Google TagManager umsetzt. Da das Tool unabhängig von einem CMS auf möglichst vielen Webseiten funktioniert, benötigen Sie für die korrekte Einbindung allerdings etwas Programmierer-Know How.

 

+ Borlabs Cookie: PlugIn für WordPress

Wenn Sie mit WordPress arbeiten und ein PlugIn nutzen wollen, empfehlen wir Borlabs Cookie.

 

+ Consent Management Provider (CMP)

Auch das Tool „Consent Management Provider“ funktioniert unabhängig von einem bestimmten CMS, ist also z.B. nicht auf WordPress beschränkt. Es gibt eine kostenlose Variante mit einigen Einschränkungen und bis zu 10.000 Page Views/ Monat:

https://www.consentmanager.de/

 

Checkliste für Consent Tools:

 

Egal für welches Consent Tool Sie sich entscheiden, prüfen Sie auf jeden Fall, ob folgende Voraussetzungen erfüllt sind:

 

+ Die Einwilligung muss durch den Nutzer gesetzt werden und darf nicht schon per default angekreuzt sein

+ Das Tool muss vor der Einwilligung alle Cookies (bis auf das eigene Cookie des Consent Tools) blocken

+ Cookies dürfen erst nach der Einwilligung des Nutzers gesetzt werden

+ Es muss in der Einwilligungsbox jedes Tool einzeln benannt sein

 

Die Einwilligungen können (nach aktuellem Stand) in Gruppen zusammengefasst sein und müssen nicht für jedes Tool einzeln erklärt werden. Achten Sie darauf, dass Sie Ihr Consent Tool in Ihrer Datenschutzerklärung darstellen. Zu beachten ist außerdem, dass bei einer Nutzung von Consent Tools die Datenschutzerklärung angepasst werden muss.

 

Für die Umsetzung sollten sich Seitenbetreiber nicht zu viel Zeit lassen. Es wurden zwar keine Fristen gesetzt, aber die deutschen Gerichte werden sich in ihren Urteilen an die Vorgaben des EuGH halten. Und die Datenschutzbehörden werden wohl ebenfalls dieser Auffassung folgen.

 

Tipps für Werbetreibende zum Cookie-Urteil:


Schritt: Prüfen

Folgende Punkte sollte jeder Betreiber einer Website oder eines Shops jetzt prüfen:

  • Welche Plugins/Tools werden für dieWebsite/App genutzt? Häufig ist dies nicht bekannt, weil ein IT Dienstleister oder eine Agentur nach eigenem Ermessen Tools in die Website/App „eingebaut“ haben.
  • Speichern die genutzten Plugins/Tools Informationen auf den Endgeräten Ihrer Nutzer, insbesondere in Cookies, und übermitteln diese Informationen an den Anbieter/System? Alternativ: Greifen die genutzten Plugins/Tools auf bereits auf dem Endgerät Ihrer Nutzer gespeicherte Informationen zu, die dann an den Anbieter des Plugins/Tools übermittelt werden?
  • Verfolgen Website-/Shop-Betreiber mit der Nutzung der Plugins/Tools gleichartige Zwecke wie dessen Anbieter, insbesondere profitieren sie von der Verarbeitung der mit dem Plugin/Tool erhobenen oder sonst verarbeiteten Informationen durch den Anbieter des Plugins/Tools?
  • Speichert das Plugin/Tool Bewegungs oder Aktionsdaten des Benutzers aus denen sich personenbezogene Profile erstellen lassen?

    Schritt: Maßnahmen ergreifen

Für jedes Plugin/Tool, für das alle oder einige der obenstehenden Fragen mit „ja“ beantwortet werden, können folgende Maßnahmen teilweise oder gesamt erforderlich sein:

  • Schließen Sie mit dem Anbieter des Plugins/Tools eine Vereinbarung über die gemeinsame Verantwortlichkeit gemäß Art. 26 Abs. 1 S. 2 DS-GVO ab. Stellt der Anbieter keine solche Vereinbarung zur Verfügung und ist auch nicht bereit, eine von Ihnen vorgeschlagene Vereinbarung zu akzeptieren, ist die Nutzung des Plugins/Tools immer datenschutzrechtswidrig.
  • Informieren Sie die Nutzer Ihrer Website/App über das Plugin/Tool und stellen Sie dafür alle Datenschutzinformationen gemäß Art. 13, 14, 21 DS-GVO sowie ergänzend die Informationen zur gemeinsamen Verantwortlichkeit gemäß Art. 26 Abs. 2 S. 2 DS- GVO zur Verfügung. Das muss passieren, bevor es zur Speicherung von oder zum Zugriff auf Informationen auf dem Endgerät des Nutzers kommt. Das Fehlen der Informationen ist ein Datenschutzverstoß.
  • Holen Sie vor der Aktivierung des Plugins/Tools eine ausdrückliche Einwilligung (Opt- in) der Nutzer ein, die den Vorgaben insbesondere aus Art. 4 Nr. 11, Art. 6 Abs. 1 lit. a) und Art. 7 DS-GVO entspricht.
  • Dokumentieren Sie den hierfür implementierten Prozess sowie die technischen Vorgänge im Zusammenhang mit der Einholung der Einwilligung. Es dürfen erst dann Informationen auf dem Endgerät gespeichert oder von dort abgerufen werden, wenn die Einwilligung des Nutzers vorliegt. Das ist nur möglich, wenn beim ersten Aufruf der Website mit einem Cookie-Overlay oder einer speziellen Landingpage zunächst die Einwilligung abgefragt wird, bevor die Datenverarbeitungen beginnen.

Vorgehen bei Social-Media-Plugins

Soweit Social-Media-Plugins genutzt werden, kann alternativ eine 2-Klick-Lösung wie der Shariff aus dem Heise Verlag eingesetzt werden. Dann muss die Einwilligung erst mit dem Aktivierungs-Klick des Nutzers auf ein Plugin/Tool eingeholt werden. Ohne die vorherige, ausdrückliche Einwilligung ist die Nutzung des Plugins/Tools datenschutzrechtswidrig. Eine Widerspruchslösung (Opt-out) reicht nicht mehr aus.

Wichtig: Setzen Benutzer ein Plugin/Tool ein, ohne diese Maßnahmen umgesetzt zu haben, laufen sie Gefahr, dass die Datenschutzaufsicht die weitere Nutzung untersagt und ggf. ergänzend eine Geldbuße gegen sie verhängt wird. Zudem können Besucher der Website und ggf. auch Mitbewerber rechtlich gegen Seitenbetreiber vorgehen.

Trackingtool auf dem eigenen Server

Wenn das eingesetzte Trackingtool auf der eigenen Serverlandschaft installiert ist und keine Daten an Dritte schickt, ist zu beachten, dass trotzdem für das Tracking eine Einwilligung eingeholt werden sollte. Die Problematik mit dem weiteren Empfänger entfällt an dieser Stelle. Ggf. muss mit der Agentur, die das Plugin/Tool betreut/einrichtet ein AV Vertrag abgeschlossen werden. Hier werden zwar keine personenbezogenen Daten an Dritte weitergegeben aber der Sachverhalt, das aus dem Tracking automatisiert Profile erstellt werden können erfordert die Einwilligung.

Einwilligungserklärungen nutzerfreundlich gestalten

Viele Firmen versuchen die Einwilligung durch Nebensätze wie „… wenn Sie nicht zustimmen, können wir Ihnen eventuell verschiedene Dienste auf unserer Webseite nicht richtig anbieten…“ zu „erzwingen“. Dies stellt im Rahmen der DSGVO ein Problem da, weil zum einen dem User keine nennenswerten Nachteile durch die Verweigerung der Einwilligung entstehen. Zudem gilt bei der Einwilligung „Privacy by design“ und „privace by default“. Design ist hier auf den Inhalt bezogen. Die textliche Gestaltung suggeriert hier, dass der Betroffene das System nicht vollständig benutzen kann, wenn er nicht zustimmt.

Dazu noch ein wichtiger Tipp zum Schluss: Eine gut gemachte Einwilligung, erzeugt mehr Zustimmung beim Betroffenen als eine karge Wort-Wüste die es auf das allernötigste reduziert.

Weitere Informationen zu dem Thema finden Sie in meinem PDF „Cookies und Tracking“, das Sie sich herunterladen können. Kontaktieren Sie mich, wenn Sie mit Ihrem Unternehmen Unterstützung bei der Umsetzung benötigen. Melden Sie sich einfach bei mir und genießen Sie trotz der ganzen Diskussion weiterhin Ihre Kekse zum Kaffee!

 

Geschäftsgeheimnisse besser schützen – ansonsten geht der Rechtsschutz verloren

datenpannen fehlversendungen

Seit dem 18. April diesen Jahres ist das Gesetzt zum Schutz von Geschäftsgeheimnissen (GeschGehG) in deutsches Recht transformiert. Damit ist nicht mehr nur der Schutz von personenbezogenen Daten, sondern auch von Betriebsdaten geregelt. Für Unternehmen resultieren daraus einschneidende Änderungen, die noch nicht in allen Firmen angekommen ist. Dabei wäre es wichtig sich intensiv mit dem Gesetz zu beschäftigen!

Unternehmen müssen Datenschutzmaßnahmen überprüfen

Es legt nämlich nicht nur fest, was unter ein Betriebs- oder Geschäftsgeheimnis fällt, sondern bietet nur noch rechtlichen Schutz, wenn Unternehmen bestimmte Geheimhaltungs- und Datenschutzmaßnahmen getroffen haben. Das neue Gesetz sollte für jedes Unternehmen der Anlass sein die eigenen Schutzvorkehrungen eingehend zu prüfen, denn es genießt nur noch derjenige Schutz, der seine Betriebsgeheimnisse gesichert hat.
Mit dem GeschGehG wird eine EU-Richtline in nationales Recht umgesetzt. Ziel ist der Schutz von Geschäftsgeheimnissen vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung. Laut der GeschGehG ist ein Geschäftsgeheimnis nun eine Information, „die weder insgesamt noch in der genauen Anordnung und Zusammensetzung ihrer Bestandteile den Personen in den Kreisen, die üblicherweise mit dieser Art von Informationen umgehen, allgemein bekannt oder ohne weiteres zugänglich ist und daher von wirtschaftlichem Wert ist.“ Auch muss ein Geschäftsgeheimnis Gegenstand von „angemessenen Geheimhaltungsmaßnahmen durch ihren rechtmäßigen Inhaber“ sein.

Rechtsschutz nur mit Sicherheitsmaßnahmen

Bei einem geklauten Fahrrad hat nur derjenige eine Chance auf Schadensersatz oder vor Gericht, der sein Fahrrad auch abgeschlossen hat. Wer es einfach so auf der Straße stehen lässt handelt fahrlässig. Genauso werden Unternehmen vor Gericht Probleme bekommen, wenn sie bei sich zum Beispiel Datenklau feststellen und nicht für ausreichenden Schutz der Daten gesorgt haben. Unternehmen müssen also aktiv werden und angemessene Maßnahmen zum Schutz ihrer Geschäftsgeheimnisse treffen, um im Falle einer rechtswidrigen Nutzung oder Offenlegung Unterlassungs- oder Schadensersatzansprüche geltend machen zu können.
Zu den neuen Anforderungen der Schutzmaßnahmen gehörten unter anderem organisatorische und technische Maßnahmen, wie etwa die Einordnung von Arbeitnehmern nach bestimmten „Geheimhaltungsstufen“ oder das Einführen von Zugriffsbeschränkungen, Passwörtern und Zugangscodes. Es sollten aber auch eindeutige vertragliche Regelungen zum Schutz und zur Nutzung von Betriebsgeheimnissen getroffen werden, die sich auf Offenlegungen innerhalb eines Unternehmens oder gegenüber Dritten bestehen.

Dokumentation des Konzepts für Datenschutz

Außerdem sollten Unternehmen ihr Schutzkonzept umfassend dokumentieren, um angemessene Geheimhaltungsmaßnahmen nachweisen zu können. Mein Rat dazu: Je bedeutender und geheimer Daten und die daraus resultierenden Informationen sind, desto höhere Anforderungen sind an das Schutzkonzept zu stellen.
Das GeschGehG bedeutet für Unternehmen also einen gewissen Aufwand, denn es wird ein höherer Gehemnisschutz in technischer, organisatorischer und rechtlicher Hinsicht verlangt. Insgesamt ist das Gesetz aber ein Fortschritt für Unternehmen, denn sie profitieren von einem deutlich verbesserten Rechtsschutz und haben eine größere Absicherung – vorausgesetzt sie werden aktiv und kümmern sich darum.

Grundsätzlich ist zu sagen, dass mit dem GeschGehG endlich der immer weiter steigenden Bedeutung von Geschäftsgeheimnissen in einer globalen Wirtschaftswelt Rechnung getragen wird, wie sie nun mal in einer modernen Wissens- und Datengesellschaft existiert.

Die DSGVO wirkt – es gibt aber noch viel zu tun!

1 Jahr DSGVO

Vor gut einem Jahr ist die DSGVO in Kraft getreten und der allgemeine Tenor in der deutschen Öffentlichkeit ist leider eher negativ. Zu kompliziert, sorgt nur für Probleme und schwierig umzusetzen sind die häufigsten Vorurteile. Das ist eine falsche Darstellung, die leider eine abschreckende Wirkung hat. Dabei ist es für Unternehmen unerlässlich, sich mit dem wichtigen Thema Datenschutz zu beschäftigen.

Die negative Darstellung der DSGVO finde ich sehr ärgerlich, denn dadurch ist der Datenschutz immer noch ein Thema, das in Unternehmen zu langsam ankommt. Es wird nicht ernst genug genommen oder Unternehmer sind abgeschreckt sich damit zu beschäftigen. Und dabei ist das Thema Datensicherheit für jedes Unternehmen ein existentiell wichtiger Bereich.

Unternehmen müssen den Datenschutz stärker priorisieren

Über die Einführung der DSGVO ist die Problematik von eklatanten Sicherheitslecks beim Datenschutz in Unternehmen erst aufgedeckt worden und eine Sensibilisierung hat eingesetzt. Diese Sicherheitslecks resultieren meistens aus veralteter EDV und überholten Softwareprogrammen. Viele Unternehmen haben sich vor Investitionen in die Aktualisierung ihrer EDV gescheut und damit die Türen für Sicherheitslücken weit geöffnet. Das aber nicht so wahrgenommen.

Die Sensibilisierung für das Thema Datenschutz hat aber dank der DSGVO begonnen und die Umsetzung ist gar nicht so kompliziert! Ich habe zum Beispiel aus den Anforderungen der DSGVO eine Reihe von technisch-organisatorischen Maßnahmen (TOMs) entwickelt, über die alle Probleme erkannt und gelöst werden können. In meinen TOMs habe ich 97 Punkte festgelegt, über die der Sicherheitsstandard in Unternehmen definiert wird. Das fängt schon mit der Schlüsselregelung für die Büroräume oder mit der Auswahl des Putzpersonals an und zieht sich bis zu den Passwortregeln oder dem Rollen- und Rechtesystem. Das sind wichtige Punkte, die oftmals weder von der IT-Abteilung noch von der Geschäftsführung beachtet werden.

Die Umsetzung der DSGVO geht zu langsam voran

Bei allen Fortschritten im letzten Jahr geht die Umsetzung in den Unternehmen allerdings immer noch viel zu langsam voran. Oft läuft alles noch nach dem Motto „Das machen wir mal nebenbei“ und so ist es kein Wunder, dass erst 46 Prozent der Unternehmen in Deutschland DSGVO-konform sind. Das muss ernster genommen werden. Und der Aufwand ist viel niedriger als man denkt: Wenn man die Mängel im technisch-organisatorischen Bereich in einem Stück abstellt macht das den Aufwand 2/3 kleiner, als wenn das stückchenweise passiert. Unterbrechungen im Ablauf sind einfach ineffizient und sollten vermieden werden.

Sehr ärgerlich finde ich es auch, dass momentan Politiker fordern den Geltungsbereich der DSGVO nicht mehr auf den Mittelstand und kleine Unternehmen anzuwenden. Das ist kontraproduktiv und könnte den Schwung, den wir beim Thema Datensicherheit haben wieder verlangsamen. Es ist wichtig klarzustellen, dass Datenschutz für jedes Unternehmen äußerst wichtig ist – egal welche Größe es hat.

Datenschutz muss zum Standard in Unternehmen werden

Datensicherheit und der Schutz personenbezogener Daten muss zu einer Standard-Aufgabe für jedes Unternehmen werden. So wie das Anlegen des Sicherheitsgurts beim Auto fahren inzwischen eine Selbstverständlichkeit ist über die die wenigsten noch nachdenken. Das gilt auch für jedes Auto und nicht nur für die großen Limousinen. In einem Kleinwagen ist es genauso wichtig.

Ein weiterer wichtiger Punkt zu mehr Datensicherheit ist die Weiterbildung der IT-Mitarbeiter. Hier müssen die Unternehmensleiter etwas investieren. Die Anforderungen an diese Mitarbeiter werden nämlich immer größer und das Thema entwickelt sich schnell weiter. Gerade im Bereich Netzsicherheit. Ein Budget für die Investitionen in die IT und die Mitarbeiter sollte ein Automatismus in den Unternehmen sein.

Aufmerksamkeit für das Thema Datensicherheit verstärken

Mein Resümee nach einem Jahr DSGVO ist also, dass wir alle dankbar sein sollten das damit das Thema Datensicherheit und der Schutz personenbezogener Daten in Deutschland endlich stärker ins Bewusstsein der Unternehmen gerückt ist. Es war höchste Zeit die Aufmerksamkeit darauf zu lenken. Nun müssen wir noch daran arbeiten, dass es nicht als so kompliziert und schwierig umzusetzen wahrgenommen wird. Denn eins ist klar: Um das Thema Datensicherheit kommt kein Unternehmen herum!

 

Lesen Sie dazu auch meinen Artikel zum Schutz von Geschäftsgeheimnissen (GeschGehGz), das am 1. April 2019 in Kraft getreten ist.

 

 

 

DSGVO News, 8 Monate nach der Einführung sind wenig Betriebe vorbereitet

DSGVO nach 8 MOnaten

Die DSGVO ist nun seit 8 Monaten anwendbar und ich möchte Ihnen eine kurze Übersicht geben.
Zuerst einmal möchte ich allen Kunden für gute Zusammenarbeit danken. Leider war ich Aufgrund der hohen Anfragen von Betroffenen meiner Kunden nicht so schnell mit den Auditierungen wie geplant. Auf der anderen Seite war das Setup des Datenschutzmanagements in den Betrieben auch nicht ganz einfach. Verantwortlichkeiten mussten geklärt werden und Datenströme personenbezogener Daten ermittelt und beurteilt werden. Auch die Anforderungen an die IT und die Bemühungen der Umsetzung konnten in der Regel nicht zeitnah umgesetzt werden. Ich danke Ihnen nochmals für Ihre Geduld.

DSGVO und Abmahnungen nach UWG:
Eine wichtige Entscheidung der Gerichte im Zusammenhang mit der DSGVO ist wohl, dass die nicht Einhaltung der DSGVO nun auch in diversen Abmahnungen auftaucht und als Verstoß gegen das UWG geltend gemacht werden kann. Es gibt zwar vereinzelte Gerichte, die bei diesen Fällen anders entschieden haben aber letztlich hat nun ein OLG (Hamburg) zugestimmt, dass diese Abmahnungen rechtsgültig sind. Das heißt, dass ein Mitbewerber eine Abmahnung mit Unterlassungserklärung Aufgrund eines Verstoßes gegen die DSGVO als wettbewerbswidrig abmahnen kann. Ein Beispiel hierfür wäre zum Beispiel ein fehlenden SSL Zertifikat auf Webseiten auf denen personenbezogene Daten eingegeben werden können oder eine nicht korrekte Datenschutzerklärung. Leider sind die Abmahnungen an Unternehmen damit in den letzten 3-4 Monaten sprunghaft angestiegen. Bei nötigen Änderungen an Ihrer Webseite halte ich Sie informiert.

ePrivacy und faulige Coockies: 
Viel Wirbel gab es auch um diverse Anbindung an die Social-Media Kanälen und auch Google Dienste, die in viele Firmenwebseiten eingebunden sind. Firmen sind praktisch mitverantwortlich für den Datenschutz der Nutzer Ihrer Social-Media Profile und müssen an verschiedenen Stellen deutlich darauf hinweisen. Leider ist die Geschichte hier auch noch nicht zu Ende, da uns nach der DSGVO noch die ePrivacy Verordnung ins Haus steht (2020). Zu diesem Thema erhalten Sie in Kürze noch einen gesonderten Newsletter.

Behörden verhängen erste Bußgelder wegen Verstößen gegen DSGVO:
Bundesweit ergingen bisher in 41 Fällen Bußgeldbescheide wegen DSGVO-Verstößen. Vor allem kleine Unternehmen sind auf die neuen Regeln offenbar nicht vorbereitet.
Auf der Behördenseite nehmen die Aktivitäten zur DSGVO deutlich Fahrt auf. Verschiedene Datenschutzbehörden der Bundesländer haben Stichprobenweise Fragebogen an Betriebe geschickt, um den Stand der DSGVO Umsetzung abzufragen. Die Anzahl der Beschwerden bei Behörden ist nicht nur in Deutschland explodiert. Erste Zahlen beschreiben über 40.000 ernst zu nehmende Beschwerden und 20.000 Eigenmeldungen von Datenpannen in Firmen in ganz Europa.

Die deutschen Datenschutzbehörden rüsten auf:
Bisher liegen noch nicht aus jeder Landesbehörde Zahlen vor. „Die Anzahl der Beschwerden hat sich gegenüber dem Jahr 2017 um 30 Prozent erhöht, die Anzahl der Beratungen hat sich mehr als verdoppelt, die Anzahl der gemeldeten Datenpannen im Jahr 2018 hat sich mit 774 mehr als verzehnfacht“, teilte etwa der Landesdatenschützer von Baden-Württemberg, Stefan Brink, dem Handelsblatt auf Anfrage mit.
Alles in Allem wird die DSGVO langsam ernst genommen und viele Unternehmen nutzen die Gelegenheit, um Ihre IT deutlich sicherer zu gestalten, was nicht nur dem Schutz personenbezogener Daten dienlich ist, sondern auch der Absicherung des Geschäftsinhaltes.

Stand der DSGVO Umsetzung bei ca. 72%
Auch bei meinen Kunden gab es diverse Datenpannen und wie bereits erwähnt sehr viele Anfragen von Betroffenen. Die Erfüllung aller AV Vertragsanforderungen war neben den Auditterminen der größte Brocken meiner Arbeit. Die Abstimmung der einzelnen Parteien und die Vielfallt der unterschiedlichen AV Vertragsmuster ist aufwendig.

In der Gesamtheit aller Kunden Betriebe ist der Status der Umsetzung der DSGVO im Durschnitt bei 72% und damit schon deutlich besser als der Durschnitt aller bundesdeutschen Betriebe (46%), nach ersten Umfragen des Handelsverbandes. Eine Statistik dazu veröffentliche ich im Februar in meinem Blog. Ich danke Ihnen für das entgegengebrachte Vertrauen und dieses gute Ergebnis.