DSGVO Websitecheck – neue Software

DSGVO Websitecheck

DSGVO-Websitecheck: Ein Must-Have-Tool für Webmaster

Die Datenschutz-Grundverordnung (DSGVO) trat im Mai 2018 in Kraft und hat die Landschaft der Online-Privatsphäre in Europa radikal verändert. Seither sind Unternehmen und Website-Betreiber verpflichtet, strenge Datenschutzstandards einzuhalten, um die personenbezogenen Daten ihrer Nutzer zu schützen. Das Problem? Viele Unternehmen und Website-Betreiber sind sich unsicher, ob ihre Websites den neuen Anforderungen entsprechen.

Hier kommt der DSGVO Websitecheck ins Spiel!

Was ist der DSGVO Websitecheck?

Die Plattform [DSGVO-Websitecheck.de](https://dsgvo-websitecheck.de) ist ein innovatives Tool, das entwickelt wurde, um Webmastern zu helfen, ihre Websites auf DSGVO-Konformität zu überprüfen. Mit nur wenigen Klicks können Nutzer feststellen, ob ihre Online-Präsenz die strengen Anforderungen der DSGVO erfüllt.

Automatische Datenschutzerklärung

Eines der herausragenden Merkmale des Tools ist die Erstellung einer automatischen Datenschutzerklärung. Das bedeutet, dass Webmaster nicht mehr selbst herausfinden müssen, welche spezifischen Informationen sie in ihre Datenschutzerklärungen aufnehmen müssen. Dieses Tool generiert eine an die individuellen Bedürfnisse der Website angepasste Datenschutzerklärung, die dann einfach auf der eigenen Seite verlinkt werden kann.

Warum ist es so wichtig?

Der Schutz personenbezogener Daten ist nicht nur eine gesetzliche Verpflichtung, sondern auch ein Zeichen von Integrität und Transparenz gegenüber den Website-Besuchern. Eine DSGVO-konforme Webseite kann nicht nur potenzielle rechtliche Konsequenzen vermeiden, sondern stärkt auch das Vertrauen der Nutzer.

Fazit

Der DSGVO-Websitecheck ist ein essenzielles Tool für jeden Webmaster, der sicherstellen möchte, dass seine Website den Bestimmungen der DSGVO entspricht. Mit einer automatischen Datenschutzerklärung und einer schnellen Überprüfungsmöglichkeit bietet die Plattform einen unschätzbaren Mehrwert in der digitalen Welt, in der der Datenschutz immer wichtiger wird.

Nutzen Sie also diese Ressource, um sich selbst, Ihr Unternehmen und vor allem Ihre Website-Besucher zu schützen. Es war noch nie so einfach, DSGVO-konform zu sein!

Der EU-U.S. Data Privacy Framework, ein neuer Meilenstein für Datenschutz

EU-U.S. Data Privacy Framework

Sehr geehrte Leserinnen und Leser,

ein neuer Meilenstein für den Datenschutz wurde erreicht: Der EU-U.S. Data Privacy Framework wurde eingeführt. Dieses Abkommen soll den Schutz personenbezogener Daten bei grenzüberschreitendem Datenaustausch zwischen der EU und den USA stärken. In diesem Blogbeitrag erfahren Sie mehr über die Hintergründe und Auswirkungen des neuen Datenschutzabkommens.

1. Einleitung

Mit dem EU-U.S. Data Privacy Framework wird ein neuer Meilenstein für den Datenschutz gesetzt. Doch was genau verbirgt sich hinter diesem Begriff? Der Framework regelt den Datenaustausch zwischen der Europäischen Union und den Vereinigten Staaten von Amerika und soll dabei sicherstellen, dass die Datenschutzstandards auf beiden Seiten eingehalten werden. Dies ist besonders wichtig im Hinblick auf die Übermittlung personenbezogener Daten, wie es beispielsweise bei Cloud-Diensten oder sozialen Netzwerken der Fall ist. Durch den Framework soll ein höheres Maß an Transparenz und Rechtssicherheit geschaffen werden. Doch wie genau wird er vorgestellt und welche Kritik gibt es daran? Antworten auf diese Fragen sollen in den folgenden Abschnitten gegeben werden.

2. Was ist der EU-U.S. Data Privacy Framework?

Der EU-U.S. Data Privacy Framework ist ein Abkommen zwischen der Europäischen Union und den Vereinigten Staaten von Amerika, das den Austausch personenbezogener Daten regelt. Das Abkommen wurde am 2. Februar 2016 vorgestellt und soll den Datenschutz für europäische Bürgerinnen und Bürger verbessern. Der Rahmen besteht aus einer Reihe von Prinzipien, die von den Unternehmen beider Seiten eingehalten werden müssen, um sicherzustellen, dass personenbezogene Daten angemessen geschützt werden. Es wurde entwickelt, um sicherzustellen, dass die Übertragung von personenbezogenen Daten zwischen der EU und den USA rechtskonform erfolgt und gleichzeitig die Privatsphäre der betroffenen Personen gewahrt bleibt. Das Abkommen ist ein Meilenstein für den Datenschutz, da es einen rechtlichen Rahmen schafft, der den Schutz personenbezogener Daten in Europa stärkt. Es gibt Unternehmen auf beiden Seiten des Atlantiks eine klare Richtlinie für die Verarbeitung personenbezogener Daten und stellt sicher, dass diese Daten nicht missbraucht werden. Trotzdem gibt es auch Kritik an dem Rahmen. Einige Datenschutzaktivisten argumentieren, dass er nicht weit genug geht und dass es immer noch Möglichkeiten gibt, wie Unternehmen personenbezogene Daten missbrauchen können. Andere haben Bedenken hinsichtlich der Überwachung durch Regierungen geäußert. Insgesamt stellt der EU-U.S. Data Privacy Framework jedoch einen wichtigen Schritt in Richtung eines besseren Datenschutzes dar. Er bietet eine klare Richtlinie für Unternehmen auf beiden Seiten des Atlantiks und schützt gleichzeitig die Privatsphäre von Personen, deren Daten übertragen werden.

3. Wie wird der EU-U.S. Data Privacy Framework vorgestellt?

Die Vorstellung des Frameworks erfolgte durch die Europäische Kommission und das US-Handelsministerium im Februar 2016. Das Framework hat das Ziel, den Datenaustausch zwischen Europa und den USA zu regulieren und sicherer zu machen. Es soll Unternehmen eine klare Orientierung geben, wie sie personenbezogene Daten über den Atlantik hinweg transferieren können, ohne gegen europäisches Datenschutzrecht zu verstoßen. Die Vorstellung des Frameworks wurde von beiden Seiten als bedeutender Schritt in Richtung Datenschutz begrüßt. Infolgedessen haben sich mittlerweile mehr als 3.500 Unternehmen dem Rahmenabkommen angeschlossen.

4. Warum ist es ein Meilenstein für den Datenschutz?

Der EU-U.S. Data Privacy Framework stellt einen bedeutenden Meilenstein für den Datenschutz dar, da er erstmals klare Regeln für den Austausch personenbezogener Daten zwischen der Europäischen Union und den USA festlegt. Das Framework beruht auf den Prinzipien der Transparenz, Rechenschaftspflicht und gegenseitigen Anerkennung und stellt sicher, dass US-Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten, bestimmte Datenschutzstandards einhalten müssen. Dies ist insbesondere vor dem Hintergrund des Schrems-II-Urteils des Europäischen Gerichtshofs von großer Bedeutung, das den Datenaustausch zwischen der EU und den USA stark eingeschränkt hat. Mit dem neuen Framework können Unternehmen nun wieder rechtskonform personenbezogene Daten übertragen und somit auch wirtschaftliche Beziehungen aufrecht erhalten. Der Datenschutz wird dabei nicht vernachlässigt, sondern gestärkt.

5. Welche Kritik gibt es an dem Framework?

Eine der größten Kritiken an dem EU-U.S. Data Privacy Framework ist, dass es keine rechtlichen Konsequenzen für Unternehmen gibt, die sich nicht an die Datenschutzbestimmungen halten. Das bedeutet, dass es keine Sanktionen geben wird, wenn ein Unternehmen gegen das Framework verstößt. Ein weiterer Kritikpunkt ist, dass das Framework nur für den transatlantischen Datenaustausch gilt und nicht für den internationalen Datenaustausch. Das bedeutet, dass Unternehmen außerhalb der EU und der USA immer noch Daten ohne angemessenen Schutz austauschen können. Einige Datenschützer argumentieren auch, dass das Framework zu vage ist und nicht klar genug definiert, was als angemessener Schutz gilt. Es bleibt abzuwarten, ob das Framework tatsächlich den gewünschten Schutz bietet oder ob weitere Maßnahmen erforderlich sind, um die Privatsphäre von Menschen in der digitalen Welt zu schützen.

6. Fazit

Abschließend kann festgehalten werden, dass der EU-U.S. Data Privacy Framework ein bedeutender Schritt in Richtung Datenschutz darstellt. Durch die Einigung zwischen der EU und den USA werden nun klare Regeln für den Datenaustausch festgelegt und somit die Rechte der Bürgerinnen und Bürger gestärkt. Besonders hervorzuheben ist die Verpflichtung der US-Regierung zur Überwachung des Datenaustauschs sowie die Möglichkeit für europäische Bürgerinnen und Bürger, Beschwerden bei einer unabhängigen Stelle einzureichen. Allerdings gibt es auch Kritik an dem Framework, insbesondere bezüglich der fehlenden Durchsetzbarkeit von Sanktionen bei Verstößen gegen das Abkommen. Auch bleibt abzuwarten, wie sich das Framework in der Praxis bewährt und ob es tatsächlich zu einem besseren Schutz personenbezogener Daten beitragen wird. Insgesamt ist jedoch zu begrüßen, dass endlich eine Lösung für den transatlantischen Datenaustausch gefunden wurde, die sowohl den Interessen der Wirtschaft als auch dem Schutz der Privatsphäre gerecht wird.

5 Jahre DSGVO in Europa und kein bisschen besser?

5 Jahre DSGVO

Am 25. Mai 2018 trat die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union in Kraft und hat seitdem große Auswirkungen auf die Art und Weise, wie Unternehmen personenbezogene Daten verwalten und schützen. Fast fünf Jahre nach ihrer Einführung ist es an der Zeit, die Auswirkungen der DSGVO zu bewerten und einen Blick auf ihre Zukunft zu werfen.

Die DSGVO wurde entwickelt, um die Datenschutzgesetze der Europäischen Union (EU) zu vereinheitlichen und zu stärken. Sie gibt Einzelpersonen mehr Kontrolle über ihre persönlichen Daten und stellt sicher, dass Unternehmen verantwortungsbewusst mit diesen Daten umgehen. Die Verordnung gilt für alle Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten oder speichern, unabhängig davon, wo das Unternehmen seinen Sitz hat.

In den vergangenen fünf Jahren hat die DSGVO die Art und Weise verändert, wie Unternehmen personenbezogene Daten behandeln. Die Verordnung hat Unternehmen dazu veranlasst, ihre Datenschutzpraktiken zu überdenken und zu verbessern, um sicherzustellen, dass sie den neuen Vorschriften entsprechen. Unternehmen müssen nun beispielsweise eine klare und verständliche Datenschutzerklärung bereitstellen, die die Betroffenen über die Art, den Zweck und die Verarbeitung ihrer Daten informiert. Darüber hinaus müssen Unternehmen auch sicherstellen, dass sie die Einwilligung der betroffenen Personen einholen, bevor sie deren Daten verarbeiten.

Ein weiterer wichtiger Aspekt der DSGVO ist das Recht auf Vergessenwerden, das Einzelpersonen das Recht gibt, ihre Daten von Unternehmen löschen zu lassen. Unternehmen müssen sicherstellen, dass sie die personenbezogenen Daten ihrer Kunden sicher und geschützt aufbewahren, und sie müssen sicherstellen, dass sie die Daten gemäß den Richtlinien der DSGVO verwenden.

Obwohl die DSGVO in Europa weit verbreitet ist und von vielen Unternehmen umgesetzt wurde, gibt es auch Kritik an der Verordnung. Einige Unternehmen haben argumentiert, dass die Einhaltung der DSGVO zu kostspielig und zeitaufwendig ist und dass es schwierig ist, den Anforderungen der Verordnung gerecht zu werden. Einige haben auch argumentiert, dass die DSGVO den Wettbewerb in einigen Branchen behindert und die Innovation einschränkt.

Die Zukunft der DSGVO hängt davon ab, wie sie von den Unternehmen und Einzelpersonen akzeptiert wird. Die DSGVO hat bereits einen großen Einfluss auf den Datenschutz in Europa und darüber hinaus gehabt. Es bleibt abzuwarten, wie sich die DSGVO in den kommenden Jahren entwickeln wird und ob sie dazu beitragen wird, den Datenschutz und die Privatsphäre von Einzelpersonen weiter zu verbessern.

Aus meiner Sicht, des Datenschutzbeauftragten, hat die DSGVO trotz vieler Umsetzungshürden viel positives bewirkt. Neben den wirklich nötigen Betroffenenrechten haben Unternehmen begonnen sich intensiver mit Ihrer IT-Sicherheit und Infrastruktur zu beschäftigen. Dienstleister wurden vor der Beauftragung genauer unter die Lupe genommen und Schwachstellen schon vor möglichen Datenpannen behoben.

Einige Unternehmen haben sogar durch die Erstellung der Verarbeitungsverzeichnisses und die oftmals dadurch offengelegten Organisationsschwachpunkte die Digitalisierung vorangetrieben und verbesserte Organisationsstrukturen aufgebaut.

Wer erst einmal die erste Hürde der DSGVO Aufgaben gemeistert hat, erkennt schnell, dass die Pflege des geforderten Datenschutzmanagementsystems im laufenden Betrieb einen relativ geringen Aufwand erzeugt, wenn die nötigen Prozesse erst einmal etabliert sind.

Was ich noch festgestellt habe ist, dass fast alle beteiligten Personen der DSGVO Umsetzung innerhalb der Firmen ein erweitertes Bewusstsein über die Weitergabe Ihrer eigenen personenbezogenen Daten im Privatleben entwickelt haben und auch in der Arbeit deutlich vorsichtiger mit personenbezogenen Daten anderer umgehen.

Wie so häufig, bestätigen die wenigen Ausnahmen auch hier die Regel.

Webinar Hinweisgeberschutzgesetz

Hinweisgeberschutzgesetz Webinar

Viele unserer Mandanten fragten nach weiteren Informationen zum Hinweisgeberschutzgesetz. Deshalb haben wir für Anfang/Mitte März ein kostenloses Webinar zum Hinweisgeberschutzgesetz geplant.

Für die Planung, benötigen wir Ihre vorläufige Anmeldung. Ab dem 20.2.2023 verschicken wir dann die Terminvorschläge für das Webinar. es wird 3 Termine geben.

Webinar Hinweisgeberschutzgesetz

Hinweisgeberrichtlinie – Hinweisgeberschutzgesetz

Hinweisgebersystem

Vorgaben der EU-Hinweisgeber Richtlinie

Ab Dezember 2021 gelten verbindliche Compliance-Vorschrift für Unternehmen, Kommunen und öffentliche Einrichtungen. Dies erfordert die Einrichtung interne Meldestelle mit Schutz der Identität (Anonymität) von Hinweisgebern und Betroffenen.

Die Umsetzung in deutsches Recht ist fast vollzogen. Ab Anfang 2023 tritt das neue Gesetz dann auch in Deutschland in Kraft.

Die Umsetzung des Hinweisgebergesetzes ist erforderlich bei

  • Unternehmen mit mehr als 50 Beschäftigten
  • Öffentliche Einrichtungen, Behörden mit mehr als 50 Beschäftigten
  • Kommunen mit mehr als 10.000 Einwohnern

Die Anforderung für die Umsetzung sind

  • Sichere Dialogmöglichkeit über anonymisierten Kanal Eingangsbestätigung und Rückmeldung an Hinweisgeber
  • Nachvollziehbare Dokumentation
  • Anonymitätswahrung und Datenschutz
  • Revisionssichere Dokumentation

Deutsches Hinweisgebersystem

Deutsches Hinweisgebersystem

DSBOK bietet einen verschlüsselten Meldekanal mit Dialogfunktion. Das System ist zertifiziert, sicher und DSGVO-konform. Sie erhalten von uns

  • Ihr eigenes Hinweisgebersystem (mit eigenem Branding)
  • Schutzschild gegen Regelverletzungen und Gesetzesverstöße
  • Erfüllung der EU-Hinweisgeber-Richtlinie
  • Vertrauensvolle Korrespondenz und Abwicklung

Ihre Mitarbeiter und Geschäftspartner können intern auf Missstände wie Korruption, Amtsmissbrauch, oder Diskriminierung aufmerksam zu machen.

Fordern Sie einen Testzugang und eine kostenlose Erstberatung auf unserer Hinweisgeber-System Webseite an: Hinweisgebersystem-Online

Schadensersatz bei Verletzungen des Datenschutzes

Schadensersatz bei Verletzungen des Datenschutzes

Verstöße gegen den Datenschutz führen schnell zu Schadensersatzansprüchen. Grund genug, es mit den Regeln des Datenschutzes sehr genau zu nehmen.

2.000 € Schmerzensgeld sind keine Kleinigkeit

Wer an seinem Arbeitsplatz Mails versendet, sollte die Spielregeln des Datenschutzes kennen, die dabei gelten. Und: Extrem sorgfältiges Arbeiten ist angesagt! Das hätte der Mitarbeiter einer Krankenversicherung besser beherzigen sollen. Denn wegen einer gar nicht so großen Datenschutzpanne muss sein Arbeitgeber jetzt 2.000 € Schmerzensgeld zahlen.

„Fehlversendungen“ passieren bei Mails sehr schnell

Mails sind schneller als Briefpost und auch billiger. Das gilt allerdings nur, wenn die Mail an die richtige Adresse geht. Ein „Fehlversand“ an eine falsche Adresse kann erheblichen Ärger nach sich ziehen. Genau eine solche Panne unterlief dem Mitarbeiter einer Krankenversicherung.

Ein Sachbearbeiter verschreibt sich bei der Mailadresse

Eine Kundin meldete sich bei ihm telefonisch und bat darum, ihr den Inhalt ihrer Gesundheitsakte aus den letzten drei Jahren zuzusenden. Der Mitarbeiter fragte die Kundin, ob eine Zusendung per Mail in Ordnung wäre. Anfangs hatte die Kundin Bedenken, schließlich stimmte sie aber zu. Dabei war ihr klar, dass ihr eine unverschlüsselte Mail zugehen würde. Sie bat darum, ihr die Unterlagen an die Mailadresse „B1@fff.de“ zu senden. Aus Versehen schrieb der Sachbearbeiter jedoch an „B2@fff.de“.

Natürlich entschuldigt er sich bei der Kundin

Erst als sich die Kundin nach drei Tagen erkundigte, wo denn die Mail mit ihren Unterlagen bleibt, fiel die Panne auf. Der Sachbearbeiter entschuldigte sich bei der Kundin. Außerdem informierte er seine Vorgesetzten.

Ein wirtschaftlicher Schaden ist nicht entstanden

Letztlich „passierte nichts“. Einige Monate später kontaktierte ein Mitarbeiter der Krankenkasse das Unternehmen, das sich in den beiden Mailadressen hinter der Abkürzung „fff“ verbirgt. Das Unternehmen „fff“ versicherte, dass das E-Mail-Postfach „B2fff.de“ nie benutzt worden sei. Man habe es jetzt gelöscht.

Die Kundin fordert 15.000 € und bekommt 2.000 €

Trotzdem forderte die betroffene Kundin Schmerzensgeld. Ihre Vorstellung: 15.000 €, Anwaltskosten natürlich extra. Das Oberlandesgericht Düsseldorf stutzte zwar die Hoffnungen der Kundin erheblich zurecht. 2.000 € Schmerzensgeld bewilligte das Gericht ihr aber doch.

Es geht um Ausgleich für Sorgen und Ängste

Nach Auffassung des Gerichts soll das Schmerzensgeld die Kundin für die Sorgen und Befürchtungen entschädigen, unter denen sie gelitten hat. Denn immerhin habe sie viele Monate lang die Kontrolle über sensible Gesundheitsdaten verloren. Zudem seien diese Daten zum Teil sogar ausgesprochen intim gewesen.

Der Hinweis auf ein bloßes Versehen hilft nichts

Dass dem Sachbearbeiter erkennbar „nur“ ein Versehen passiert war, half nichts. Damit befasste sich das Gericht noch nicht einmal näher. Es stellte einfach fest, dass der Versand an die falsche Mailadresse den Datenschutz verletzt hat. Zwar war die Kundin mit einer Versendung per Mail einverstanden, aber natürlich nur mit einer Versendung an die richtige Mailadresse. Da der Sachbearbeiter eine andere Mailadresse benutzte, bleibt es dabei, dass ein Datenschutzverstoß vorlag.

Aufmerksamkeit bei Datenschutz-Schulungen macht Sinn

Der Fall erinnert daran, dass man an Datenschutz-Schulungen sehr aufmerksam teilnehmen sollte. Gibt es vielleicht Daten, die überhaupt nicht per Mail verschickt werden sollen? Wie stelle ich sicher, dass die Mailadresse auch wirklich stimmt? Wer hier aufpasst und auch einmal nachfragt, bewahrt sein Unternehmen vor Schadensersatzansprüchen und sich selbst vor Ärger!

Briefpost kann genauso riskant sein

Da per Mail alles so gründlich schiefgegangen war, schickte die Krankenkasse der Kundin die angeforderten Unterlagen schließlich per Brief. Verständlich, denn von Mails hatten in diesem Fall beide Seiten genug. Gerade deshalb sollte man bedenken: Eine falsche Adressierung kommt sehr wohl auch bei Briefen vor, und zwar gar nicht so selten. Auch dann ist Schadensersatz fällig.

Jedenfalls eine Abmahnung steht noch im Raum

Die 2.000 € muss die Krankenkasse zahlen, nicht der Sachbearbeiter persönlich. Ob sein Arbeitgeber bei ihm Rückgriff nehmen kann, richtet sich nach den Regeln des Arbeitsrechts. Da der Sachbearbeiter „nur“ fahrlässig gehandelt hat, wird er seinem Arbeitgeber wahrscheinlich nichts erstatten müssen. Eine Abmahnung wäre aber allemal gerechtfertigt. Sollte es früher schon weitere Verstöße gegeben haben, stünde auch eine Kündigung im Raum.

Auskunftsanspruch für Kontoauszüge?

Auskunftsanspruch für Kontoauszuege

Das Recht auf Auskunft ist vielleicht das wichtigste Recht in der Datenschutz-Grundverordnung (DSGVO). Aber auch dieses Recht hat Grenzen. Am Beispiel von Kontoauszügen lässt sich das sehr schön zeigen, denn der Auskunftsanspruch für Kontoauszüge kann begrenzt werden.

Das Auskunftsrecht ist sehr wichtig

Eine betroffene Person hat bekanntlich ein Recht auf Auskunft über alle Daten, die sie betreffen. Klar ist auch, wie wichtig dieses Recht ist. Nur wenn jemand weiß, ob etwa ein Unternehmen Daten über ihn verarbeitet, kann er nachprüfen, ob damit alles in Ordnung ist.

Es gibt auch ein Recht auf eine Kopie

Geregelt ist das alles in Art. 15 DSGVO. Dort ist auch festgelegt, dass eine betroffene Person „eine Kopie der personenbezogenen Daten“ verlangen kann. An dieser Formulierung entzündete sich ein Streit zwischen einer Bank und einem ihrer Kunden.

Die erste Kopie ist kostenlos

Der Kunde hatte seine Kontoauszüge offensichtlich völlig korrekt erhalten. Allerdings hatte er sie wohl verlegt oder verloren. Das brachte ihn auf die Idee, von seiner Bank nochmals eine Kopie dieser Kontoauszüge zu verlangen. Nach seiner Vorstellung sollte das für ihn kostenlos sein. Denn schließlich steht in Art. 15 DSGVO auch, dass die erste Kopie von Daten kostenlos ist. Erst weitere Kopien dürfen etwas kosten.

Die Bank zeigt sich verschlossen

Die Bank konnte sich mit dieser Idee allerdings nicht anfreunden. Dabei ging es ihr wohl weniger um den einen konkreten Kunden. Vielmehr fürchtete sie, künftig ständig mit solchen Wünschen konfrontiert zu werden. Das wäre in der Summe für sie ziemlich teuer. Deshalb lehnte sie den Wunsch des Kunden ab.

Die Datenschutzaufsicht unterscheidet sehr klug

Der wollte das nicht auf sich beruhen lassen und wandte sich an das Bayerische Landesamt für Datenschutzaufsicht. Es ist in Bayern zuständig für die Datenschutzaufsicht in der Wirtschaft und damit auch für den Datenschutz bei Banken. Das Landesamt entschied über den Wunsch des Kunden im Sinne eines klugen „ja, aber …“

Eine Auflistung der Kontobewegungen muss die Bank liefern

Das Ja bedeutet: Der Großkunde kann von seiner Bank tatsächlich eine kostenlose Auflistung der Geldbewegungen auf seinem Konto verlangen. Das ergibt sich aus folgenden Überlegungen:

  • Bei den Kontobewegungen handelt es sich um personenbezogene Daten. Denn sie beziehen sich auf die Person des Kunden.
  • Damit steht dem Bankkunden ein Recht auf Auskunft über diese Kontobewegungen zu.

Das muss kostenlos geschehen

Diese Auskunft muss die Bank grundsätzlich kostenlos erteilen. Etwas anderes würde nur dann gelten, wenn der Kunde ein- und dieselbe Auflistung mehrfach anfordert, ohne dass es dafür einen nachvollziehbaren Grund gibt.

Es gibt keinen Anspruch auf Kopien „alter“ Kontoauszüge

Das Aber folgt jedoch auf dem Fuß: Der Bankkunde kann nicht verlangen, dass die Bank die Auflistung der Kontobewegungen gerade in Form von Kontoauszügen zur Verfügung stellt. Vielmehr kann sie ihm stattdessen etwa eine Tabelle der Kontobewegungen überlassen und so dem Auskunftsanspruch für Kontoauszüge nachkommen.

Das begründet das Landesamt wie folgt:

  • Kontoauszüge sind eine besonders aufbereitete Form von Kontobewegungen.
  • Das Auskunftsrecht gibt einem Bankkunden keinen Anspruch darauf, dass er Kontodaten in dieser Weise aufbereitet erhält.
  • Die Bank hat ihre Pflicht erfüllt, wenn sie ihm die Daten in irgendeiner geordneten Form zur Verfügung stellt, etwa als Tabelle.
  • Alles, was darüber hinausgeht, ist ein Service, der mit dem Auskunftsanspruch nach DSGVO nichts zu tun hat.
  • Ob die Bank einen solchen Service überhaupt bietet, ist ebenso ihre Sache wie die Frage, ob sie dafür ein besonderes Entgelt verlangt.

Natürlich gilt dabei: keine Tricks

Allerdings muss alles fair und ohne Tricks ablaufen. Die Bank kann deshalb den Auskunftsanspruch des Kunden zwar auch dadurch erfüllen, dass sie ihm Kopien seiner „alten“ Kontoauszüge zur Verfügung stellt. Dann darf sie dafür allerdings keine Kosten von ihm verlangen. Es ist also zu unterscheiden:

  • Erteilt die Bank von sich aus Auskunft dadurch, dass sie dem Kunden Kopien von „alten“ Kontoauszügen zur Verfügung stellt, kann sie dafür nichts verlangen.
  • Will sie jedoch die Auskunft eigentlich in anderer Form erteilen, etwa als Tabelle, und liefert dann auf ausdrücklichen Wunsch des Kunden doch Kopien der früheren Auszüge, kann sie sich das bezahlen lassen.

Der Kunde kann keine Aufbereitung von Daten verlangen

Der Kunde hat also keinen Anspruch auf eine bestimmte Form der Auskunft. Wichtig ist lediglich, dass er eine vollständige Auskunft erhält. Sofern das der Fall ist, kann er keine spezielle Aufbereitung der Daten verlangen.

Auskunftsanspruch für Kontoauszüge Fazit

Den Auskunftsanspruch für Kontoauszüge gibt es also generell, die Frage ist die Aufbereitung und Art und Weise der Bereitstellung.

Was Sie noch beachten müssen bei der Auskunft für Betroffene: Auskunft als Datenpanne

Was genau versteht man im Datenschutz unter Vertraulichkeit?

Sicher ist Ihnen der Begriff „Vertraulichkeit“ mehr als bekannt, vielleicht sogar aus dem Bereich IT und IT-Sicherheit. Doch bedeutet Vertraulichkeit im Datenschutz auch das, was Sie sich darunter vorstellen? Gerade Alltagsbegriffe können schnell zu Unschärfen oder Missverständnissen führen.

Einmal ganz im Vertrauen gesagt

Vielleicht wundern Sie sich über die Frage, was man denn genau unter Vertraulichkeit im Datenschutz versteht. Offensichtlich geht es im Datenschutz in vielen Fällen darum, Vertrauliches zu schützen, nämlich die personenbezogenen Daten, die nicht jeder sehen, lesen und kennen darf.

Ein gutes Beispiel sind Gesundheitsdaten, die kein Dritter kennen soll. Sie gehen nur Sie, Ihre Ärztin oder Ihren Arzt oder die Krankenversicherung etwas an, aber sicherlich nicht einen Pharma-Hersteller oder den Betreiber einer Drogeriekette.

Datenschutz und Vertraulichkeit hängen tatsächlich eng zusammen. Doch Datenschutz ist mehr als Vertraulichkeit. So müssen personenbezogene Daten nicht nur vertraulich, sondern auch verfügbar sein, sie dürfen nicht manipuliert werden, und die Dienste, mit denen die personenbezogenen Daten verarbeitet werden, müssen vor Ausfällen und Störungen geschützt sein.

Was aber bedeutet nun genau die Vertraulichkeit im Datenschutz?

Es geht um Verschwiegenheit und Zugangsschutz

Zum einen gehört es zur Vertraulichkeit im Datenschutz, dass die Beschäftigten und die beauftragten Dienstleister, die personenbezogene Daten verarbeiten, keine personenbezogenen Daten an unbefugte Dritte verraten, also verschwiegen sind. Das gilt auch für die Datenschutzbeauftragten selbst.

Dann darf niemand die zu schützenden Daten unerlaubt oder ungewollt offenlegen. Unbefugte Dritte dürfen keinen Zugang zu und Zugriff auf die Daten haben. Um das zu erreichen, fordert der Datenschutz geeignete technische und organisatorische Schutzmaßnahmen. Dazu gehört vor allem eine Verschlüsselung, die dem aktuellen Stand der Technik entspricht, also nicht veraltet ist.

Die IT hat ein etwas anderes Bild von Vertraulichkeit

Vielleicht arbeiten Sie in der IT oder IT-Sicherheit, oder Sie wissen einfach, dass auch die IT-Sicherheit das sogenannte Schutzziel Vertraulichkeit besitzt. Tatsächlich nutzt die IT-Sicherheit ähnliche oder sogar die gleichen Schutzmaßnahmen wie der Datenschutz, insbesondere die Verschlüsselung.

Ist deshalb Vertraulichkeit in Datenschutz und IT-Sicherheit wirklich das Gleiche? Nicht ganz, denn der Datenschutz will personenbezogene Daten schützen, die IT-Sicherheit generell Daten mit entsprechendem Schutzbedarf.

Dabei müssen personenbezogene Daten wie die Daten eines IT-Nutzers aus Sicht der IT nicht zwingend einen hohen Bedarf an Vertraulichkeit haben. Es kann der IT-Sicherheit um einen anderen Schutzbedarf gehen.

Dem Datenschutz aber geht es immer um die Daten, die personenbezogen sind, also zu einer Person gehören, oder die personenbeziehbar sind, sich also auf eine bestimmte Person beziehen lassen. Solche Daten dürfen nicht ungewollt oder unerlaubt offengelegt werden, wie in dem Eingangsbeispiel die Gesundheitsdaten. Sie dürfen nicht einfach einem Händler übergeben werden, der diese Daten für ein passendes Angebot an frei verkäuflichen Medikamenten nutzen möchte.

Vertraulichkeit ist deshalb ein Kernthema für den Datenschutz, mit gewissen Unterschieden zur Sicht der IT oder auch zur Alltagssicht.

Missbrauch von Daten für private Zwecke

Wer in einem Unternehmen arbeitet, hat normalerweise Zugang zu Daten von Kunden. Jedem ist klar, dass er diese Daten nicht für private Zwecke nutzen darf. Aber was sind die Folgen, wenn das trotzdem einmal geschieht? Mit einer Geldbuße dürften die wenigsten rechnen.

Nehmen wir einfach einmal an …

Angenommen, Sie haben von jemandem noch Geld zu bekommen. Leider ist Ihr Schuldner inzwischen umgezogen. Sie wissen nur nicht, wohin. Sie vermuten, dass er zu den Kunden Ihres Arbeitgebers gehören könnte. Und tatsächlich: Ein Blick in die Kundendatenbank bestätigt das. Mit einem Mausklick haben Sie seine neue Adresse gefunden.

Auch wenn Sie das sicher nie tun würden: Nehmen wir einmal an, Sie benutzen seine neue Adresse, um mit ihm wegen der Geldsache Verbindung aufzunehmen. Welche rechtlichen Folgen kann das haben?

Der Grundsatz der Zweckbindung ist verletzt

Es liegt auf der Hand, dass hier der Grundsatz der Zweckbindung verletzt ist. Der Kunde hat seine Daten dem Unternehmen genannt, damit das Unternehmen die Daten verwendet. Es braucht sie beispielsweise, um Bestellungen zu bearbeiten und auszuliefern. Nie würde der Kunde auf die Idee kommen, dass ein Mitarbeiter oder eine Mitarbeiterin diese Daten für irgendwelche privaten Zwecke „abzweigt“. Dafür waren sie nicht gedacht. Deshalb kann es gut sein, dass sich der Kunde bei der Datenschutzaufsicht beschwert.

Die Datenschutzaufsicht kann Geldbußen verhängen

Die Datenschutzaufsicht wird sich um den Fall kümmern. Seit die DSGVO gilt, hat die Datenschutzaufsicht viel mehr Befugnisse als vorher. Unter anderem kann sie Geldbußen verhängen. Das kann im Einzelfall richtig teuer werden. Einige Hundert Euro sind sehr schnell fällig. Das gilt natürlich auch, wenn jemand Daten des Arbeitgebers für private Zwecke missbraucht.

Wer muss mit einer Geldbuße rechnen?

Interessant ist dabei die Frage, wer für diesen Datenmissbrauch geradestehen muss. Ist es die beschäftigte Person, die die Daten missbraucht hat? Oder ist es der Arbeitgeber, für den sie tätig ist? Die Meinungen hierzu gehen zwischen den Aufsichtsbehörden auseinander.

Ein „Mitarbeiterexzess“ ist eine hässliche Sache

Die meisten Aufsichtsbehörden sprechen in einem solchen Fall von einem „Mitarbeiterexzess“. Gemeint sind damit nach einer gängigen Definition „Handlungen von Beschäftigten, die bei verständiger Würdigung nicht dem Kreis der jeweiligen unternehmerischen Tätigkeit zugerechnet werden können.“ Das hört sich zwar etwas juristisch an. Aber eigentlich ist ziemlich klar, was damit gemeint ist.

Ständige Überwachung soll nicht sein

Kein Arbeitgeber kann ständig hinter jedem Beschäftigten stehen. Und er soll das auch gar nicht tun. Deshalb kann der Arbeitgeber nicht für alles verantwortlich sein, was ein Beschäftigter an seinem Arbeitsplatz treibt. Wenn der Beschäftigte sich dort um rein private Angelegenheiten kümmert, ist das keine Sache des Arbeitgebers. Dafür muss vielmehr der Beschäftigte selbst geradestehen. Das gilt auch dann, wenn der Beschäftigte seine Möglichkeiten missbraucht, auf dienstliche Daten zuzugreifen.

Die Geldbuße dafür muss der Beschäftigte zahlen

Beim Missbrauch von Daten für private Zwecke hat das für den „Täter“ erhebliche Konsequenzen. Er wird durch diesen Missbrauch selbst zu der Stelle, die für den Umgang mit den Daten verantwortlich ist. Damit haftet er selbst für den Missbrauch der Daten. Die Datenschutzaufsicht kann gegen ihn persönlich ein Bußgeldverfahren einleiten und eine Geldbuße verhängen. 200 oder 300 Euro Geldbuße sind in solchen Fällen die untere Grenze. Es kann auch teurer werden.

Eine Geldbuße für den Arbeitgeber ist keine schöne Alternative

Letztlich noch unangenehmer wird es für den Beschäftigten, wenn eine Aufsichtsbehörde den Vorgang nicht als „Mitarbeiterexzess“ behandelt. Auch dann hat er selbstverständlich rechtliche Folgen. Sie richten sich gegen das Unternehmen. Denn irgendjemand muss natürlich für den Verstoß geradestehen. Und wenn es nicht der Mitarbeiter ist, ist es eben das Unternehmen.

In solchen Fällen gilt der Grundsatz: Unternehmen haften für das Fehlverhalten ihrer Beschäftigten. Deshalb wird die zuständige Datenschutzaufsicht eine Geldbuße gegen das Unternehmen verhängen.

Der Arbeitgeber wird Konsequenzen ziehen

Selbstverständlich wird das Unternehmen dies nicht einfach schulterzuckend zur Kenntnis nehmen. Vielmehr wird es das Fehlverhalten intern aufklären, arbeitsrechtliche Konsequenzen eingeschlossen. Deshalb gilt: Finger weg von dienstlichen Daten für private Zwecke! Das gilt auch dann, wenn es um scheinbar banale Daten wie eine Adresse geht. Die Folgen sind es auch hier nicht wert.