Autor: Oliver Krause

Veröffentlicht am

ChatGPT und der Datenschutz

ChatGPT Datenschutz

Geheimnisverrat an die Künstliche Intelligenz?

Es gibt viele verschiedene Möglichkeiten, einen langen Text zu kürzen, Ergebnisse einer Besprechung zusammenzufassen oder Programmcode zu schreiben. Ein Dienst wie ChatGPT bietet scheinbar unbegrenzte Optionen für den Einsatz von Künstlicher Intelligenz (KI). Leider sind jedoch auch die potenziellen Risiken durch KI weitreichend und dürfen inmitten des Hypes um sie nicht vergessen werden.

Der Hoffnungsträger KI

KI wird als eine Schlüsseltechnologie angesehen, die praktisch überall eingesetzt werden soll – sei es in der Automobilbranche, im Maschinenbau oder im Dienstleistungsbereich. Unternehmen erhoffen sich davon schnellere und präzisere Problem Analysen sowie beschleunigte Prozesse und einen geringeren Ressourcenverbrauch. Auch im Personalbereich sehen sie Vorteile: Die Vermeidung menschlicher Fehler und das Potenzial zur Integration von Expertenwissen mittels KI ins Unternehmen. Die Unternehmen hoffen dadurch darauf, dass Mitarbeiter sich auf andere Aufgaben konzentrieren können.

Dennoch sollte man zunächst einmal den Fokus auf die möglichen Risiken der KI legen, bevor man versucht Kosten einzusparen mithilfe von Diensten wie ChatGPT.

Das übersehene Risiko KI

Wie bei vielen neuen Technologien gibt es auch bei KI Angst und Bedenken. Dennoch nutzen viele Menschen fröhlich ChatGPT & Co., da ihre Neugierde größer ist als etwaige Bedanken. Das kann allerdings äußerst riskant sein – sowohl für die eigene Privatsphäre als auch für den Datenschutz innerhalb eines Unternehmens sowie für Betriebs- und Geschäftsgeheimnisse.

Obwohl es hilfreich erscheinen mag, wenn ein Online-Dienst eine lange Textzusammenfassung erstellt oder aus Notizen ein Besprechungsprotokoll generiert, können diese Inhalte personenbezogene Daten und andere schützenswerte Informationen enthalten. Wenn beispielsweise über die neue Produktplanung gesprochen wird und automatisch das Protokoll der Planungssitzung erstellt wird, besteht die Gefahr, dass diese Informationen abfließen – sprich das Unternehmen verlassen und Dritten bekannt werden könnten.

Letztendlich könnte also durch die Nutzung von KI ungewollt Geheimnisse verraten werden, da KI durch Eingaben und Reaktionen der Nutzerinnen lernen kann. Das bedeutet jedoch auch, dass sie Informationen in ihren Datenschatz aufnimmt.

KI braucht Regeln

In den meisten Unternehmen fehlen noch interne Richtlinien zum Umgang mit KI. Doch KI-Tools sollten nicht ohne jegliche Regelungen eingesetzt werden – ähnlich wie bei der Nutzung einer Cloud sollte dies intern geregelt sein.

Wer einen betrieblichen Einsatz eines KI-Dienstes wünscht oder plant sollte zunächst klären, ob dies im Unternehmen erlaubt ist bzw. gewünscht wird. Dann gilt es zu klären zu welchem Zweck und mit welchen Daten dieser Dienst genutzt werden darf. Dabei sollte immer beachtet werden: Die Künstliche Intelligenz ist wie eine externe Partei anzusehen; wenn eine Information das Unternehmen nicht verlassen soll gehört sie auch nicht ins Eingabefeld einer solchen AI.

Tipp: Auch bei KI gibt es Datenschutzeinstellungen

Auch bei der Verwendung von künstlicher Intelligenz gibt es Datenschutzeinstellungen. KI-Dienste wie ChatGPT verbessern derzeit ihre Optionen im Bereich des Datenschutzes. Es ist wichtig, sich mit den Einstellungen auseinanderzusetzen und beispielsweise das Speichern von Eingaben in den Datenschatz der KI zu verbieten. Gleichzeitig sollte man jedoch trotzdem keine vertraulichen oder sensiblen Daten an die KI weitergeben, um jeglichen Geheimnisverrat zu vermeiden.

 

Veröffentlicht am

DSGVO Websitecheck – neue Software

DSGVO Websitecheck

DSGVO-Websitecheck: Ein Must-Have-Tool für Webmaster

Die Datenschutz-Grundverordnung (DSGVO) trat im Mai 2018 in Kraft und hat die Landschaft der Online-Privatsphäre in Europa radikal verändert. Seither sind Unternehmen und Website-Betreiber verpflichtet, strenge Datenschutzstandards einzuhalten, um die personenbezogenen Daten ihrer Nutzer zu schützen. Das Problem? Viele Unternehmen und Website-Betreiber sind sich unsicher, ob ihre Websites den neuen Anforderungen entsprechen.

Hier kommt der DSGVO Websitecheck ins Spiel!

Was ist der DSGVO Websitecheck?

Die Plattform [DSGVO-Websitecheck.de](https://dsgvo-websitecheck.de) ist ein innovatives Tool, das entwickelt wurde, um Webmastern zu helfen, ihre Websites auf DSGVO-Konformität zu überprüfen. Mit nur wenigen Klicks können Nutzer feststellen, ob ihre Online-Präsenz die strengen Anforderungen der DSGVO erfüllt.

Automatische Datenschutzerklärung

Eines der herausragenden Merkmale des Tools ist die Erstellung einer automatischen Datenschutzerklärung. Das bedeutet, dass Webmaster nicht mehr selbst herausfinden müssen, welche spezifischen Informationen sie in ihre Datenschutzerklärungen aufnehmen müssen. Dieses Tool generiert eine an die individuellen Bedürfnisse der Website angepasste Datenschutzerklärung, die dann einfach auf der eigenen Seite verlinkt werden kann.

Warum ist es so wichtig?

Der Schutz personenbezogener Daten ist nicht nur eine gesetzliche Verpflichtung, sondern auch ein Zeichen von Integrität und Transparenz gegenüber den Website-Besuchern. Eine DSGVO-konforme Webseite kann nicht nur potenzielle rechtliche Konsequenzen vermeiden, sondern stärkt auch das Vertrauen der Nutzer.

Fazit

Der DSGVO-Websitecheck ist ein essenzielles Tool für jeden Webmaster, der sicherstellen möchte, dass seine Website den Bestimmungen der DSGVO entspricht. Mit einer automatischen Datenschutzerklärung und einer schnellen Überprüfungsmöglichkeit bietet die Plattform einen unschätzbaren Mehrwert in der digitalen Welt, in der der Datenschutz immer wichtiger wird.

Nutzen Sie also diese Ressource, um sich selbst, Ihr Unternehmen und vor allem Ihre Website-Besucher zu schützen. Es war noch nie so einfach, DSGVO-konform zu sein!

Veröffentlicht am

Der EU-U.S. Data Privacy Framework, ein neuer Meilenstein für Datenschutz

EU-U.S. Data Privacy Framework

Sehr geehrte Leserinnen und Leser,

ein neuer Meilenstein für den Datenschutz wurde erreicht: Der EU-U.S. Data Privacy Framework wurde eingeführt. Dieses Abkommen soll den Schutz personenbezogener Daten bei grenzüberschreitendem Datenaustausch zwischen der EU und den USA stärken. In diesem Blogbeitrag erfahren Sie mehr über die Hintergründe und Auswirkungen des neuen Datenschutzabkommens.

1. Einleitung

Mit dem EU-U.S. Data Privacy Framework wird ein neuer Meilenstein für den Datenschutz gesetzt. Doch was genau verbirgt sich hinter diesem Begriff? Der Framework regelt den Datenaustausch zwischen der Europäischen Union und den Vereinigten Staaten von Amerika und soll dabei sicherstellen, dass die Datenschutzstandards auf beiden Seiten eingehalten werden. Dies ist besonders wichtig im Hinblick auf die Übermittlung personenbezogener Daten, wie es beispielsweise bei Cloud-Diensten oder sozialen Netzwerken der Fall ist. Durch den Framework soll ein höheres Maß an Transparenz und Rechtssicherheit geschaffen werden. Doch wie genau wird er vorgestellt und welche Kritik gibt es daran? Antworten auf diese Fragen sollen in den folgenden Abschnitten gegeben werden.

2. Was ist der EU-U.S. Data Privacy Framework?

Der EU-U.S. Data Privacy Framework ist ein Abkommen zwischen der Europäischen Union und den Vereinigten Staaten von Amerika, das den Austausch personenbezogener Daten regelt. Das Abkommen wurde am 2. Februar 2016 vorgestellt und soll den Datenschutz für europäische Bürgerinnen und Bürger verbessern. Der Rahmen besteht aus einer Reihe von Prinzipien, die von den Unternehmen beider Seiten eingehalten werden müssen, um sicherzustellen, dass personenbezogene Daten angemessen geschützt werden. Es wurde entwickelt, um sicherzustellen, dass die Übertragung von personenbezogenen Daten zwischen der EU und den USA rechtskonform erfolgt und gleichzeitig die Privatsphäre der betroffenen Personen gewahrt bleibt. Das Abkommen ist ein Meilenstein für den Datenschutz, da es einen rechtlichen Rahmen schafft, der den Schutz personenbezogener Daten in Europa stärkt. Es gibt Unternehmen auf beiden Seiten des Atlantiks eine klare Richtlinie für die Verarbeitung personenbezogener Daten und stellt sicher, dass diese Daten nicht missbraucht werden. Trotzdem gibt es auch Kritik an dem Rahmen. Einige Datenschutzaktivisten argumentieren, dass er nicht weit genug geht und dass es immer noch Möglichkeiten gibt, wie Unternehmen personenbezogene Daten missbrauchen können. Andere haben Bedenken hinsichtlich der Überwachung durch Regierungen geäußert. Insgesamt stellt der EU-U.S. Data Privacy Framework jedoch einen wichtigen Schritt in Richtung eines besseren Datenschutzes dar. Er bietet eine klare Richtlinie für Unternehmen auf beiden Seiten des Atlantiks und schützt gleichzeitig die Privatsphäre von Personen, deren Daten übertragen werden.

3. Wie wird der EU-U.S. Data Privacy Framework vorgestellt?

Die Vorstellung des Frameworks erfolgte durch die Europäische Kommission und das US-Handelsministerium im Februar 2016. Das Framework hat das Ziel, den Datenaustausch zwischen Europa und den USA zu regulieren und sicherer zu machen. Es soll Unternehmen eine klare Orientierung geben, wie sie personenbezogene Daten über den Atlantik hinweg transferieren können, ohne gegen europäisches Datenschutzrecht zu verstoßen. Die Vorstellung des Frameworks wurde von beiden Seiten als bedeutender Schritt in Richtung Datenschutz begrüßt. Infolgedessen haben sich mittlerweile mehr als 3.500 Unternehmen dem Rahmenabkommen angeschlossen.

4. Warum ist es ein Meilenstein für den Datenschutz?

Der EU-U.S. Data Privacy Framework stellt einen bedeutenden Meilenstein für den Datenschutz dar, da er erstmals klare Regeln für den Austausch personenbezogener Daten zwischen der Europäischen Union und den USA festlegt. Das Framework beruht auf den Prinzipien der Transparenz, Rechenschaftspflicht und gegenseitigen Anerkennung und stellt sicher, dass US-Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten, bestimmte Datenschutzstandards einhalten müssen. Dies ist insbesondere vor dem Hintergrund des Schrems-II-Urteils des Europäischen Gerichtshofs von großer Bedeutung, das den Datenaustausch zwischen der EU und den USA stark eingeschränkt hat. Mit dem neuen Framework können Unternehmen nun wieder rechtskonform personenbezogene Daten übertragen und somit auch wirtschaftliche Beziehungen aufrecht erhalten. Der Datenschutz wird dabei nicht vernachlässigt, sondern gestärkt.

5. Welche Kritik gibt es an dem Framework?

Eine der größten Kritiken an dem EU-U.S. Data Privacy Framework ist, dass es keine rechtlichen Konsequenzen für Unternehmen gibt, die sich nicht an die Datenschutzbestimmungen halten. Das bedeutet, dass es keine Sanktionen geben wird, wenn ein Unternehmen gegen das Framework verstößt. Ein weiterer Kritikpunkt ist, dass das Framework nur für den transatlantischen Datenaustausch gilt und nicht für den internationalen Datenaustausch. Das bedeutet, dass Unternehmen außerhalb der EU und der USA immer noch Daten ohne angemessenen Schutz austauschen können. Einige Datenschützer argumentieren auch, dass das Framework zu vage ist und nicht klar genug definiert, was als angemessener Schutz gilt. Es bleibt abzuwarten, ob das Framework tatsächlich den gewünschten Schutz bietet oder ob weitere Maßnahmen erforderlich sind, um die Privatsphäre von Menschen in der digitalen Welt zu schützen.

6. Fazit

Abschließend kann festgehalten werden, dass der EU-U.S. Data Privacy Framework ein bedeutender Schritt in Richtung Datenschutz darstellt. Durch die Einigung zwischen der EU und den USA werden nun klare Regeln für den Datenaustausch festgelegt und somit die Rechte der Bürgerinnen und Bürger gestärkt. Besonders hervorzuheben ist die Verpflichtung der US-Regierung zur Überwachung des Datenaustauschs sowie die Möglichkeit für europäische Bürgerinnen und Bürger, Beschwerden bei einer unabhängigen Stelle einzureichen. Allerdings gibt es auch Kritik an dem Framework, insbesondere bezüglich der fehlenden Durchsetzbarkeit von Sanktionen bei Verstößen gegen das Abkommen. Auch bleibt abzuwarten, wie sich das Framework in der Praxis bewährt und ob es tatsächlich zu einem besseren Schutz personenbezogener Daten beitragen wird. Insgesamt ist jedoch zu begrüßen, dass endlich eine Lösung für den transatlantischen Datenaustausch gefunden wurde, die sowohl den Interessen der Wirtschaft als auch dem Schutz der Privatsphäre gerecht wird.

Veröffentlicht am

5 Jahre DSGVO in Europa und kein bisschen besser?

5 Jahre DSGVO

Am 25. Mai 2018 trat die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union in Kraft und hat seitdem große Auswirkungen auf die Art und Weise, wie Unternehmen personenbezogene Daten verwalten und schützen. Fast fünf Jahre nach ihrer Einführung ist es an der Zeit, die Auswirkungen der DSGVO zu bewerten und einen Blick auf ihre Zukunft zu werfen.

Die DSGVO wurde entwickelt, um die Datenschutzgesetze der Europäischen Union (EU) zu vereinheitlichen und zu stärken. Sie gibt Einzelpersonen mehr Kontrolle über ihre persönlichen Daten und stellt sicher, dass Unternehmen verantwortungsbewusst mit diesen Daten umgehen. Die Verordnung gilt für alle Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten oder speichern, unabhängig davon, wo das Unternehmen seinen Sitz hat.

In den vergangenen fünf Jahren hat die DSGVO die Art und Weise verändert, wie Unternehmen personenbezogene Daten behandeln. Die Verordnung hat Unternehmen dazu veranlasst, ihre Datenschutzpraktiken zu überdenken und zu verbessern, um sicherzustellen, dass sie den neuen Vorschriften entsprechen. Unternehmen müssen nun beispielsweise eine klare und verständliche Datenschutzerklärung bereitstellen, die die Betroffenen über die Art, den Zweck und die Verarbeitung ihrer Daten informiert. Darüber hinaus müssen Unternehmen auch sicherstellen, dass sie die Einwilligung der betroffenen Personen einholen, bevor sie deren Daten verarbeiten.

Ein weiterer wichtiger Aspekt der DSGVO ist das Recht auf Vergessenwerden, das Einzelpersonen das Recht gibt, ihre Daten von Unternehmen löschen zu lassen. Unternehmen müssen sicherstellen, dass sie die personenbezogenen Daten ihrer Kunden sicher und geschützt aufbewahren, und sie müssen sicherstellen, dass sie die Daten gemäß den Richtlinien der DSGVO verwenden.

Obwohl die DSGVO in Europa weit verbreitet ist und von vielen Unternehmen umgesetzt wurde, gibt es auch Kritik an der Verordnung. Einige Unternehmen haben argumentiert, dass die Einhaltung der DSGVO zu kostspielig und zeitaufwendig ist und dass es schwierig ist, den Anforderungen der Verordnung gerecht zu werden. Einige haben auch argumentiert, dass die DSGVO den Wettbewerb in einigen Branchen behindert und die Innovation einschränkt.

Die Zukunft der DSGVO hängt davon ab, wie sie von den Unternehmen und Einzelpersonen akzeptiert wird. Die DSGVO hat bereits einen großen Einfluss auf den Datenschutz in Europa und darüber hinaus gehabt. Es bleibt abzuwarten, wie sich die DSGVO in den kommenden Jahren entwickeln wird und ob sie dazu beitragen wird, den Datenschutz und die Privatsphäre von Einzelpersonen weiter zu verbessern.

Aus meiner Sicht, des Datenschutzbeauftragten, hat die DSGVO trotz vieler Umsetzungshürden viel positives bewirkt. Neben den wirklich nötigen Betroffenenrechten haben Unternehmen begonnen sich intensiver mit Ihrer IT-Sicherheit und Infrastruktur zu beschäftigen. Dienstleister wurden vor der Beauftragung genauer unter die Lupe genommen und Schwachstellen schon vor möglichen Datenpannen behoben.

Einige Unternehmen haben sogar durch die Erstellung der Verarbeitungsverzeichnisses und die oftmals dadurch offengelegten Organisationsschwachpunkte die Digitalisierung vorangetrieben und verbesserte Organisationsstrukturen aufgebaut.

Wer erst einmal die erste Hürde der DSGVO Aufgaben gemeistert hat, erkennt schnell, dass die Pflege des geforderten Datenschutzmanagementsystems im laufenden Betrieb einen relativ geringen Aufwand erzeugt, wenn die nötigen Prozesse erst einmal etabliert sind.

Was ich noch festgestellt habe ist, dass fast alle beteiligten Personen der DSGVO Umsetzung innerhalb der Firmen ein erweitertes Bewusstsein über die Weitergabe Ihrer eigenen personenbezogenen Daten im Privatleben entwickelt haben und auch in der Arbeit deutlich vorsichtiger mit personenbezogenen Daten anderer umgehen.

Wie so häufig, bestätigen die wenigen Ausnahmen auch hier die Regel.

Veröffentlicht am

Webinar Hinweisgeberschutzgesetz

Hinweisgeberschutzgesetz Webinar

Viele unserer Mandanten fragten nach weiteren Informationen zum Hinweisgeberschutzgesetz. Deshalb haben wir für Anfang/Mitte März ein kostenloses Webinar zum Hinweisgeberschutzgesetz geplant.

Für die Planung, benötigen wir Ihre vorläufige Anmeldung. Ab dem 20.2.2023 verschicken wir dann die Terminvorschläge für das Webinar. es wird 3 Termine geben.

[easy-contactform id=2857]

Veröffentlicht am

Hinweisgeberrichtlinie – Hinweisgeberschutzgesetz

Hinweisgebersystem

Vorgaben der EU-Hinweisgeber Richtlinie

Ab Dezember 2021 gelten verbindliche Compliance-Vorschrift für Unternehmen, Kommunen und öffentliche Einrichtungen. Dies erfordert die Einrichtung interne Meldestelle mit Schutz der Identität (Anonymität) von Hinweisgebern und Betroffenen.

Die Umsetzung in deutsches Recht ist fast vollzogen. Ab Anfang 2023 tritt das neue Gesetz dann auch in Deutschland in Kraft.

Die Umsetzung des Hinweisgebergesetzes ist erforderlich bei

  • Unternehmen mit mehr als 50 Beschäftigten
  • Öffentliche Einrichtungen, Behörden mit mehr als 50 Beschäftigten
  • Kommunen mit mehr als 10.000 Einwohnern

Die Anforderung für die Umsetzung sind

  • Sichere Dialogmöglichkeit über anonymisierten Kanal Eingangsbestätigung und Rückmeldung an Hinweisgeber
  • Nachvollziehbare Dokumentation
  • Anonymitätswahrung und Datenschutz
  • Revisionssichere Dokumentation

Deutsches Hinweisgebersystem

Deutsches Hinweisgebersystem

DSBOK bietet einen verschlüsselten Meldekanal mit Dialogfunktion. Das System ist zertifiziert, sicher und DSGVO-konform. Sie erhalten von uns

  • Ihr eigenes Hinweisgebersystem (mit eigenem Branding)
  • Schutzschild gegen Regelverletzungen und Gesetzesverstöße
  • Erfüllung der EU-Hinweisgeber-Richtlinie
  • Vertrauensvolle Korrespondenz und Abwicklung

Ihre Mitarbeiter und Geschäftspartner können intern auf Missstände wie Korruption, Amtsmissbrauch, oder Diskriminierung aufmerksam zu machen.

Fordern Sie einen Testzugang und eine kostenlose Erstberatung auf unserer Hinweisgeber-System Webseite an: Hinweisgebersystem-Online

Veröffentlicht am

EU-Hinweisgeber Richtlinie umsetzen bis zum 17.12.2021

EU-Hinweisgeber Richtlinie

Bis wann muss die EU-Hinweisgeber Richtlinie umgesetzt werden?

Die EU-Whistleblower-Richtlinie (EU-Hinweisgeber Richtlinie) wurde zum 16.12.2019 beschlossen und muss spätestens bis zum 17.12.2021 in deutsches Recht umgesetzt werden.

Das grundlegende Ziel der EU-Whistleblower-Richtlinie ist es, die Aufdeckung und Unterbindung von Rechtsverstößen zu forcieren. Gleichzeitig sollen aber die Hinweisgeber („Whistleblower“) sowie gegebenenfalls Dritte / Vermittler, die bei der Meldung unterstützen, besser geschützt werden. Es soll vermieden werden, dass diese Personen negative zivil-, straf- oder verwaltungsrechtliche Konsequenzen im Nachgang zu einer Meldung befürchten müssen.

Was ist eine EU-Richtlinie?

EU-Verordnungen (wie die Datenschutz-Grundverordnung oder DSGVO) sind verbindliche Rechtsakte, die alle EU-Mitgliedsstaaten umsetzen müssen. Sie treten zu einem festgelegten Datum in allen Mitgliedsstaaten in Kraft. Eine Richtlinie hingegen gibt vor, was die einzelnen Mitgliedstaaten in der Gesetzgebung erreichen müssen, doch die Staaten können frei entscheiden, wie sie die Richtlinie innerhalb von zwei Jahren in nationales Recht umsetzen. Folglich wird es in der EU zweifellos gesetzliche Unterschiede geben.

Schon jetzt ist klar, dass die Regelungen der Richtlinie als Mindeststandard umgesetzt werden müssen, über das nationale Gesetz können noch mehr Pflichten kommen, keinesfalls aber weniger. Unternehmen und Behörden sollten daher unbedingt die verbleibende Zeit für die Einführung eines richtlinienkonformen Meldekanals nutzen. Sollte die Umsetzungsfrist ablaufen, ohne dass ein entsprechendes Gesetz in Deutschland vorliegt, werden sich die Hinweisgeber bezüglich ihrer Schutzrechte direkt auf die EU-Richtlinie berufen.

Pflichten für Unternehmen

Jedes Unternehmen ab 50 Beschäftigten muss künftig besondere interne Meldekanäle einrichten, über die ein Hinweisgeber mögliche Verstöße melden kann. Die Vertraulichkeit der Meldung muss dabei geschützt sein, bezüglich aller in der Meldung enthaltenen Daten müssen die Anforderung der DSGVO beachtet werden.

Pflichten für Behörden, öffentliche Verwaltung und Non-Profit-Sektor

Die Pflicht zur Einrichtung von Meldekanälen trifft auch die öffentliche Hand. Alle juristischen Personen des öffentlichen Rechts sind betroffen (Körperschaften und Anstalten des öffentlichen Recht, öffentlich-rechtliche Stiftungen), einschließlich privatrechtlicher Gesellschaften im Eigentum der öffentlichen Hand (z.B. städtische Betriebsgesellschaften). Auch die Gemeinden sind verpflichtet. Die EU erlaubt, Gemeinden mit weniger als 10.000 Einwohnern herauszunehmen. Der Gesetzesentwurf sieht das für Deutschland so vor.

Für weitere Informationen rufen Sie uns an oder besuchen Sie unsere Webseite zu diesem Thema: Hinweisgebersystem

Veröffentlicht am

Aufsichtsbehörden verhängen Bußgelder in den Bereichen Cookies und Einwilligungen

DSGVO Bußgeld

Vodafone Italien muss 12,25 Mio. Strafe zahlen – für aggressives Telemarketing

Im November diesen Jahres verhängte die italienische Aufsichtsbehörde ( Grante per la protezoni die dati personali) gegen Vodafon Italien ein Bußgeld in Höhe von 12,25 Mio. Euro. Grund hierfür war im Kern Werbeanrufe an eine Vielzahl von Vodafone-Kunden, denen keine wirksame Einwilligung zu Grunde lag. Außerdem wirft die Aufsichtsbehörde sehr aggressives Telemarketing vor. Das kritische dabei sei gewesen, dass Vodafone die Daten über Dritte eingeholt hat, wofür überwiegend keine Einwilligung vorlag.
So arbeitete Vodafone mit einer Vielzahl an Callcentern zusammen, um diese Werbestrategie durchzuführen. Was generell nicht ungewöhnlich ist, wurde nun aber zum Problem: denn viele dieser Callcentern wunden nicht von Vodafone direkt für diese Werbeanrufe autorisiert. Hierbei handelte es sich daher um unrechtmäßige Verarbeitungsvorgänge.

Neben dem Bußgeld legte die Behörde einige Maßnahmen fest, die Vodafone Italien nun ergreifen muss um die nationalen und europäischen Datenschutzvorschriften einzuhalten.
So müssen unter anderem die Sicherheitsmechanismen zur Verhinderung von unerlaubtem Zugriff auf und unrechtmäßige Verarbeitung von Kundendaten gestärkt werden und Auftragsverarbeiter sorgfältiger ausgewählt werden.
Denn obwohl der Verantwortliche beim Auftragsverarbeiter Regress nehmen kann, haftet der Verantwortliche gegenüber dem Betroffenen gem. Art. 32 Abs. 1 DSGVO in voller Höhe. Außerdem ist der entstandene Imageschaden deutlich gravierender zu bewerten als das verhängte Bußgeld der Behörde.

Verstoß gegen die Informationspflicht gemäß Art. 13 DSGVO

Weitere Verstöße gegen die elementaren Rechte der Betroffenen stellte die französische Aufsichtsbehörde (CNIL) bei Europas zweitgrößtem Einzelhandelsunternehmens Carrefour France und Carrefour Banque fest. Bei den Ermittlungen, die bereits im Sommer 2019 begannen, ergab sich, dass die Webseiten von Carrefour die notwenigen Informationen nach Art. 13 DSGVO nicht transparent genug darstellt hatten. Konkret ging es hierbei um personenbezogene Daten, die über das Treueprogramm verarbeitet worden sind.
Die Behörde stellte fest, dass die nötigen Informationen nicht nur schwer zugänglich, sondern auch schwer verständlich waren. Außerdem genügten die Datenschutzhinweise nicht dem Transparenzgebot aus Art. 5 Abs. 1 DSGVO.

Auf Cookies auf der Webseite richtig hinweisen

Was genau beim Setzen von Cookies zwingend erforderlich ist, ist zwar durch die Planet 49 Entscheidung des EuGH rechtlich klar definiert, denn das Setzen von nicht unbedingt erforderlichen Cookies bedarf stets einer aktiven Einwilligung des Webseitenbesuchers. Trotzdem bereitet die Umsetzung den Unternehmen aber immer wieder Schwierigkeiten.

Verstöße gegen die Grundprinzipien des Datenschutzes und damit der Verletzung der elementaren Rechte von Betroffenen, stuft der europäische Gesetzgeber als besonders schwer ein.
Mit einem Verstoß gegen Art. 6 und Art. 7 DSGVO in Bezug auf die Einwilligung können sich Unternehmen schnell das „große Bußgeld“ nach Art. 83 Abs. 5 DSGVO einhandeln. Dieses Bußgeld ist der Höchstsatz and erteilbaren Strafen und kann sich auf bis zu 20 Mio. Euro oder 4% des Konzernjahresumsatzes belaufen.

Die oberste Datenschützerin Niedersachsens, Frau Barbara Thiel, startete kürzlich hierzu eine kleine Untersuchung.  Kleine und mittelständische Unternehmen aus Niedersachsen wurden gebeten, einen Fragebogen auszufüllen und zu beantworten, wie Sie Cookies einsetzen und darauf Hinweisen. Ebenfalls erfragt wurde die Einbindung von Diensten von Drittanbietern.
„Viele der geprüften Webseiten zeigten in diesem Bereich Mängel. Einige davon waren so erheblich, dass sie zur Unwirksamkeit der Einwilligung führten“, so Thiel zur Auswertung der Umfrage.

Am häufigsten kam es vor, dass mittels optischer Hilfsmittel, wie die bewusste Einbindung von Farben der Ablehnen- und Zustimmen- Buttons der Webseitenbesucher unterbewusst beeinflusst wurde und somit keine echte Wahl habe. Fehlerhafte Voreinstellungen waren ebenfalls auffällig oft vertreten.

Das Nutzen von optischen Hilfsmitteln, oder auch „Nudging“ genannt, stellt weitgehend eine rechtliche Grauzone dar. Im Einzelfall bewerten hier die Aufsichtsbehörden und Gerichte, ob sie den datenschutzrechtlichen Anforderungen genügen.

Das Positive an den oben genannten Fällen und Bußgeldbescheiden bleibt jedoch folgendes: alle lassen sich leicht im Vorfeld verhindern.
Unser Rat:
Seien Sie bedacht bei der Wahl der Auftragsverarbeiter und wählen Sie diese sorgfältig nach Vertrauenswürdigkeit und transparentem Agieren aus.
Sensibilisieren Sie das Webseite betreibende Personal und lassen Sie sich in jeder Phase der Implementierung von Neuerungen datenschutzrechtlich absichern.

Veröffentlicht am

WhatsApp ändert Datenschutzrichtlinien

Neue Regeln bei Whatsapp

Warum Whatsapp und co. für Firmen ungeeignet sind und welche Alternativen Sie datenschutzkonform nutzen können

Was früher vom Nutzer abgelehnt werden konnte, ist ab Februar 2021 verpflichtend: So werden künftig alle Daten aus Whatsapp an Facebook und zu Facebook gehörigen Unternehmen übermittelt. Wer dem nicht zustimmt, kann die App ab dem 15.2.2021 nicht mehr nutzen.

Zukünftig könnte man also kontextbezogene Vorschläge von Whatsapp erhalten, wie zum Beispiel in einem harmlosen Fall, beim aus tauschen von Rezepten auf Whatsapp einen Vorschlag chefkoch.de zu besuchen.
Whatsapp möchte damit erreichen, neue Dienste entwickeln zu können, wie etwa eine Bezahlfunktion über Facebook Pay oder die Möglichkeit plattformübergreifend chatten zu können.

Laut Aussage von WhatsApp gelten die neuen Datenschutzbestimmungen erstmal nicht in Europa. Die neuen Datenschutzbestimmungen müssen aber trotzdem von Europäern akzeptiert werden.

Die Nutzung von Whatsapp für die Kundenkommunikation ist schon seit Inkrafttretens der DSGVO 2018 kritisch. Insbesondere ohne die Nutzung von Whatsapp Business.

Besonders kritisch ist das Nutzen von Whatsapp als Unternehmenschat oder zur Kommunikation mit Kunden nach außerkraftsetzen des Privacy Shield (Schrems II) im Juli 2020. Seit dem ist für das Nutzen von Whatsapp eine ausdrückliche Genehmigung der Kunden einzuholen. Außerdem ist das hohe Risiko für Hackerangriffe,  insbesondere das Einschleusen von Trojanern, nicht zu unterschätzen.

Wer das nicht möchte und wessen Gespräche ausschließlich privat oder Unternehmensintern  belieben sollen, hat nun keine Wahl mehr und muss dem Messenger-Dienst gänzlich den Rücken kehren. Mittlerweile gibt es unzählige Whatsapp-Alternativen wie Signal, Telegram oder Threema.

Erstere gewann durch einen Tweet von Elon Musk, der zu dessen Nutzung aufrief, einen hohen Nutzerzuwachs. Doch Vorsicht: obwohl Signal deutlich sicherer zu sein scheint, als Whatsapp, nutzt auch dieser Messenger-Dienst externe Server für seine Dienste, wie zum Beispiel die Google Cloud oder Amazon AWS. Hier taucht auch das Schrems II Problem wieder auf.

Von Telegram ist gänzlich abzuraten. Der Dienst nutzt keine End-zu-End-Verschlüsselung , speichert sämtliche Nachrichtenverläufe, Kontakte, Gruppen und Nutzerprofile auf fremden Servern und ist nicht DSGVO konform.

Unsere Empfehlung  ist Threema: denn der Dienst lässt sich anonym ohne Angaben von personenbezogenen Daten nutzen und ist Ende-zu-Ende-verschlüsselt. Alle Dienste laufen ausschließlich auf der eigenen Server-Hardware und Nachrichtenverläufe werden sofort nach Zustellung vom Server gelöscht. Die Nutzerdaten werden nicht zu Werbezwecken genutzt und der App-Quellcode ist öffentlich einsehbar, sodass sich verifizieren lässt, dass ob die App sicher ist und welche Server Verbindungen haben.

Die Nutzung von Threema auch im Unternehmen ist daher datenschutzkonform und allen anderen Messengern vorzuziehen. Wer dennoch im direkten Kundenkontakt nicht auf Whatsapp verzichten kann oder will, muss sich die schriftliche Einverständniserklärung seiner Kunden zur weiteren Nutzung einholen und auf die Risiken nach Schrems II hinweisen.