Seit neun Monaten ist die Datenschutz-Grundverordnung (DSGVO) in den europäischen Mitgliedstaaten wirksam und löste in Deutschland das alte Bundesdatenschutzgesetz ab. Sinn und Zweck der Verordnung ist der Schutz natürlicher Personen bei der Verarbeitung ihrer persönlichen Daten sowie ein einheitliches Datenschutzrecht. Das Grundrecht jedes Einzelnen auf Datenschutz soll im Zeitalter der Digitalisierung, neuer Technologien, der Datensammelwut großer Unternehmen wie Facebook, Google, Amazon & Co. sowie des Zusammenführens von Daten, Auswertens von Interessen und Vorlieben zur Profilerstellung geschützt werden. Auch kleine oder mittlere Unternehmen, Handwerksbetriebe oder Vereine die z. B. Beschäftigten-, Gesundheits- oder Mitgliederdaten verarbeiten, müssen sich fortan an die Vorschriften der DSGVO halten – sowohl in der Online- als auch in der Offlinewelt. Denn allen voran steht immer die Frage, wie hoch das Risiko bei einer Datenverarbeitung aus Sicht der Betroffenen ist! Ein besonderer Schutz kommt auch Minderjährigen zuteil.

Inhaltsverzeichnis

1.) Was bisher geschah
2.) Beschwerden bei den Datenschutzbehörden
3.) Verstöße, Abmahnungen, Hilfestellungen
4.) Machen Sie den DSGVO-Selbstcheck
5.) Gas geben für den guten Ruf
6.) Fazit aus Betroffensicht
7.) PS: Hilfreicher Werbeblock in eigener Sache

 

1.) Was bisher geschah

Es gibt wohl kaum jemanden auf der Welt, dem die DSGVO seit Mai 2018 nicht über den Weg gelaufen ist. Eine Welle der Empörung ging durch Unternehmen, Vereine und Gesellschaft. Mit ihr schwappten viele Irrtümer und Mythen über die Ufer, die das Leben rund um die europäische Verordnung für viele Menschen leider erschwerte – trotz der zweijährigen Übergangsfrist. Unsicherheiten verstärkten sich, Hilfestellungen von renommierten Datenschutzbeauftragten, Fachanwälten oder der Datenschutzbehörden bekamen nur schwer Gehör. Schlagzeilen oder Clickbait-Überschriften wie „Visitenkarten werden zur Datenschutz-Falle“, „Verstoß von Klingelschildern gegen die DSGVO“ oder „Weihnachtsbäume ohne Wunschzettel“ gingen durch die Presse. Viele Informationen glichen eher einer übertriebenen Komödie und waren besonders anfangs nicht immer gut recherchiert. Hinzu kam die Tatsache, dass es auch vor der DSGVO bereits ein Datenschutz-Gesetz gab. „Alles neu macht der Mai“ traf hier definitiv nicht zu!

Träume vom schnellen Geld im Online-Business, drohten zu zerplatzen. Die Grundlage vieler Geschäftsmodelle war und ist nun mal die Verarbeitung personenbezogener Daten. Im „anonymen“ Internet schien bislang alles möglich gewesen zu sein. Ab sofort sollte das sanktioniert werden! Ein Aufschrei ging durch Netz, Verbände und Unternehmen. Man unterhielt sich plötzlich über „Artikel“ der DSGVO. Über Dokumentationspflichten, Betroffenenrechte, Informationspflichten, Rechtsgrundlagen der Datenverarbeitung oder Sicherheit der Verarbeitung. Wahrscheinlich wurden noch nie so viele neue Datenschutzerklärungen geschrieben (oder kopiert) wie im letzten Jahr. Nur leider reicht das Schreiben allein nicht aus, um seinen Pflichten im Rahmen der DSGVO nachzukommen.

Die Umsetzung ist natürlich nicht von heute auf morgen zu bewältigen und bedeutet Aufwand. Da gibt es je nach Stand der Dinge im Unternehmen mehr oder weniger viel zu tun. Trotzdem: Es ist eine große Chance „aufzuräumen“, Abläufe und Prozesse für die Zukunft transparenter und einfacher zu gestalten. Immerhin gibt es sogar im außereuropäischen Ausland viele Befürworter der DSGVO wie in Kalifornien. Dort tritt der Gesetzentwurf California Consumer Privacy Act von 2018 nach europäischem Vorbild Anfang 2020 in Kraft. Quelle: https://en.wikipedia.org/wiki/California_Consumer_Privacy_Act

 

2.) Beschwerden bei den Datenschutzbehörden

Seit Mai 2018 ist die Anzahl der Beschwerden bei den Aufsichtsbehörden explodiert. Das lässt sich vielerorts im Netz nachlesen. Die Beauftragten für Datenschutz und Informationsfreiheit des Bundes und der Länder erhielten extrem viele Meldungen über Online-Formulare, E-Mails, Briefe und Anrufe, in denen Verbraucher auf mögliche Datenschutzverstöße von Unternehmen, Missstände in sozialen Netzwerken wie Facebook oder auch wegen Videokameras in Geschäften oder Straßen hinwiesen. Auch die Zahl der Meldungen von Datenschutzvorfällen seitens der Unternehmen erhöhte sich sehr. Betroffene machten (und machen) zudem bei Unternehmen und Vereinen direkt Gebrauch von ihrem Auskunftsrecht. Seien Sie also als Unternehmer und Verantwortlicher im Sinne der DSGVO zukünftig darauf vorbereitet. Umso besser wird (wenn notwendig) die Zusammenarbeit mit den Behörden funktionieren, die vordergründig beratend und bei datenschutzrechtlichen Fragen helfend zur Seite stehen möchten. Bei Nichtbeachtung der Datenschutzvorschriften werden sie vermutlich viele Fragen stellen! Die Aufsichtsbehörde LDI NRW steht Ihnen nach dem Link zur Verfügung: https://www.ldi.nrw.de/

 

Erste Sanktionen, Bußgelder und die Entwicklung zeigen, dass die DSGVO auf jeden Fall in der Praxis vollständig umzusetzen ist. Und das Datenschutzbehörden ihre Kontrollen 2019 ausweiten.

 

3.) Verstöße, Abmahnungen, Hilfestellungen

Zuerst einmal sind die Datenschutzbehörden wie zuvor erwähnt weit mehr als eine Bußgeldstelle. Sie haben die Aufgabe, die Einhaltung der Gesetze zum Datenschutz zu kontrollieren und führen im Rahmen ihrer gesetzlichen Aufgaben regelmäßig anlassbezogene (erfolgen meist aufgrund von Beschwerden oder konkreten Hinweisen auf mögliche Datenschutzverstöße) und anlasslose Datenschutzprüfungen durch. Bei Nichteinhaltung der DSGVO reagieren sie natürlich mit entsprechenden Sanktionen. Die Aufsichtsbehörden veröffentlichen regelmäßig „Orientierungshilfen“ zu aktuellen datenschutzrelevanten Themen. Diese Dokumente dienen als hilfreiche Richtlinie in der Praxis. Hier lohnt es sich in jedem Fall nachzusehen.

Mit folgender Umsetzungshilfe unterstützt z.B. Die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen kleinere und mittlere Unternehmen mit Firmensitz in Nordrhein-Westfalen bei ihren Informationspflichten nach Artikel 13, 14 und 21 Absatz 4 DS-GVO der Datenschutz-Grundverordnung: https://www.ldi.nrw.de/mainmenu_Aktuelles/Inhalt/Informationspflichten-nach-der-Datenschutz-Grundverordnung/Umsetzungshilfe-Datenschutzinformationen_Stand-01_2019.pdf


Haben Sie eine Facebook-Fanpage?
Die Behörden gehen natürlich neben (gemeldeten) Datenschutzverstößen auch aktuellem Geschehen nach, was Zeit braucht, bis Ergebnisse veröffentlicht werden. Die Berliner Beauftragte für Datenschutz und Informationsfreiheit hat z. B.  letztes Jahr im November die Prüfung des Betriebs von Facebook-Fanpages eröffnet und führt seitdem Anhörungsverfahren bei Stellen der Berliner Landesverwaltung, bei den politischen Parteien sowie einer Reihe von Unternehmen und Organisationen durch. Dem vorweg ging eine Entscheidung des Europäischen Gerichtshofs aus Juni 2018, dass der Betreiber einer Facebook-Fanpage gemeinsam mit Facebook für die Verarbeitung personenbezogener Daten der Besucher der Fanpage datenschutzrechtlich verantwortlich ist. Weiteres dazu ist hier nachzulesen: https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/informationen/2018-BlnBDI-Fragenkatalog_Fanpages.pdf 

Aktuell geht es zudem gerade um die Entscheidung des EuGH zur Mithaftung beim Einsatz des Like-Buttons auf der eigenen Website, welche noch aussteht. Diese wird sich möglicherweise auch auf die Nutzung des Facebook-Pixels auswirken. Hier lohnt es sich also, dranzubleiben: https://allfacebook.de/policy/fanpages-facebook-pixel-und-like-button-der-trend-geht-leider-zur-mithaftung


Cybersicherheit im Fokus der Datenschutzprüfung der
bayrischen Datenschutzbehörde
Das BayLDA hat unter anderem 40 Webseiten größerer Anbieter (bei denen Beschwerden zu unzulässiger Protokollierung des Surfverhaltens vorlagen) hinsichtlich datenschutzkonformer Einbindung von beliebten Tracking-Tools geprüft und fehlende bzw. nicht datenschutzkonforme Einwilligungen oder Tracking-Tool Hinweise in den Datenschutzerklärungen beanstandet. Die vorhandenen Cookie-Banner stören meist nicht nur die Benutzerfreundlichkeit der Dienste, sondern sind auch völlig wirkungslos im Schutz vor Tracking. Fehlende Datenschutzhinweise sind ein Verstoß. Die Defizite sind nun Anlass für aufsichtliche Verfahren. Hier geht es zu allen Prüfergebnissen: https://www.lda.bayern.de/media/sid_ergebnis_2019.pdf.

 

4.) Beispiele von Datenmissbrauch und Datenschutzverstößen

Größere Abmahnwellen blieben bislang aus (schließlich hatte jeder selbst genug vor seiner eigenen Haustür zu kehren), auch wurden keine Vereine oder Kleinunternehmen wegen Verstößen gegen die Datenschutzvorgaben von den Behörden belangt. Bei der Verhängung von Bußgeldern geht es den Datenschutzbehörden in erster Linie auch nicht um Paukenschläge und Millionengelder. Die Höhe der Bußgelder hängt im Wesentlichen vom Schweregrad und den vorliegenden Fakten ab. Verstöße und Sanktionen gegen die Datenschutz-Grundverordnung sollen in jedem Einzelfall wirksam, verhältnismäßig und abschreckend sein, sind jedoch wesentlich höher als zu Zeiten des BDSG. Trotzdem waren die Datenschutzbehörden in der letzten Zeit fleißig.

 

  • LinkedIn missbraucht Nutzerdaten für Facebook-Werbung 
    18 Millionen Adressen nutzte das Karrierenetzwerk LinkedIn von europäischen Nicht-Mitgliedern für personalisierte Facebook-Werbung – und zwar ohne dass die betroffenen Nutzer LinkedIn-Mitglieder sind. Aufgefallen ist dies aufgrund einer Nutzerbeschwerde.
  • Bei Quora Daten von 100 Millionen Nutzern abgegriffen
    Unbekannte haben beim Online-Fragedienst Quora Zugriff auf die persönlichen Daten von 100 Millionen Nutzern gehabt. Betroffen sind Zugangsdaten, Direktnachrichten sowie andere von Nutzern erstellte Inhalte.
  • Gesundheitsdaten landeten versehentlich im Internet – 80.000 Euro Bußgeld
  • 400.000 Euro Geldbuße gegen ein Krankenhaus
    Bereits im Juli 2018 verhängte die portugiesische Aufsichtsbehörde diese hohe Geldbuße wegen Zugriff auf Patientendaten.
  • Wegen unzulässiger Videoüberwachung 4.800 Euro Geldbuße
    Diese Geldbuße verhängte die österreichische Datenschutzbehörde wegen einer unzulässigen Videoüberwachung in einem öffentlichen Raum.
  • Passwort-Sammlung von 773 Millionen Online-Konten aufgetaucht
    Durch die Passwort-Sicherheits-Webseite „Have I Been Pwned“ hat der Betreiber Troy Hunt in einem Untergrund-Forum unter dem Namen „Collection #1“ eine Sammlung von rund 773 Millionen verschiedener E-Mail-Adressen gefunden. Diese und 21 Millionen unterschiedlicher Passwörter stammten aus verschiedenen Quellen.
  • Fehlender Auftragsverarbeitungsvertrag – 5.000 Euro Bußgeld
    Hier wurde ein kleines Unternehmen wegen fehlendem Vertrags zur Auftragsverarbeitung zu einem Bußgeld verurteilt. Die Vergabe solcher Bußgelder wird steigen.
  • Social Media Dienst Knuddels muss aufgrund Datenpanne 20.000 Euro Bußgeld zahlen
    Hier handelte es sich um ein Datenleck mit fast zwei Millionen veröffentlichten Zugangsdaten. Die Strafe fiel vergleichsweise gering aus, da die gute Zusammenarbeit mit der Datenschutzbehörde anerkannt wurde. Allerdings hat Knuddels insgesamt eine sechsstellige Summe bezahlt, weil IT-Sicherheitsmaßnahmen hinzukamen.
  • Google muss 50 Millionen Euro wegen Datenschutzverstößen in Europa zahlen
    Zwei Bürgerrechtsorganisationen aus Frankreich und Österreich haben unabhängig voneinander Beschwerde eingereicht.

 

5.) Machen Sie den DSGVO-Selbstcheck

Machen Sie hier einmal den DSGVO-Selbstcheck, der die gesetzlichen Vorgaben berücksichtigt:

  • Internen/externen Datenschutzbeauftragten offiziell bestellt (wenn erforderlich) und bei der zuständigen Aufsichtsbehörde gemeldet.
  • Datenschutzerklärung für Website-Besucher angepasst.
  • Datenschutz-Pflichtinformationen für Kunden, Lieferanten, Mitarbeitern, Bewerbern erstellt und zugänglich gemacht.
  • Schulung und Sensibilisierung der Mitarbeiter ist erfolgt (zudem die Verpflichtung auf das Datengeheimnis).
  • Verzeichnis der Verarbeitungstätigkeiten erstellt.
  • Verträge zu Auftragsbearbeitungen abgeschlossen.
  • Datenschutzfolgenabschätzungen (im Bedarfsfall) vorgenommen.
  • Datenschutzleitlinie entwickelt.
  • Aufbewahrungs- und Löschkonzepte erstellt.
  • Interne Abläufe definiert, was bei Datenpannen, Lösch- und Auskunftsverlangen Betroffener passiert.

 

6.) Gas geben für den guten Ruf

Bitte bedenken Sie, dass Datenschutz ein ganzheitlicher und fortlaufender Prozess ist, der nicht nur einen Anfang braucht, sondern von Zeit zu Zeit Anpassungen und Korrekturen erforderlich macht. Aufgrund neu eingeführter Technologien, Tools, weiterer Auftragsverarbeiter, Weggang von Mitarbeitern oder gesetzlichen Änderungen.

Step by Step! Setzen Sie die DSGVO nicht aus dem Gedanken heraus um, weil Sie es „müssen“, sondern um Kunden oder Mitarbeiter durch Vertrauen zu halten und zu gewinnen, die Ihnen ihre Daten anvertrauen. Im Ernstfall hilft Ihnen die geleistete Arbeit aufgrund der erhöhten Rechenschafts- und Dokumentationspflichten vielleicht sogar als Notfallplan weiter, der Ihren Geschäftsprozessen die nötige Transparenz gibt. Bei all der oft unliebsamen und komplexen Arbeit sollte es schlussendlich auf allen Seiten Gewinner geben.

 

7.) Fazit aus Betroffenensicht

Immer mehr erledigen wir unsere Geschäfte im Internet und hinterlassen dort einen auf uns beziehbaren digitalen Fingerprint. Damit sind wir im Internet identifizierbar und können über mehrere Websites hinweg verfolgt werden. Surf-Verhalten, Interessen oder Vorlieben werden bestens analysiert – auch mobil. WOLLEN WIR DAS NICHTWISSEND UND UNGEFRAGT? Identitätsklau nimmt zu und wird immer raffinierter. Kreditkartennummern, Benutzernamen und Passwörter sind sehr beliebt und viel wert. Bestimmte Kombinationen verschaffen Hackern Zugang zu unseren Identitäten, Konten und Banken. Die Geschäfte mit den Daten boomen. Datenskandale scheinen mittlerweile eher zur Tagesordnung geworden zu sein wie der Cambridge Analytica Skandal von Facebook im Jahr 2018 gezeigt hat, bei dem Daten von mehr als 80 Millionen Nutzern abgezogen wurden.

Auch der aktuelle „Wunsch“ seitens Facebook sollte uns nachdenklich stimmen, der sich darauf bezieht, alle Daten aus den konzerneigenen Diensten wie z.B. WhatsApp und Instagram sowie den auf Drittwebseiten gesammelten Daten mit dem Facebook-Nutzerkonto zusammen führen zu wollen! Hier hat jedoch das Bundeskartellamt Facebook untersagt, Nutzerdaten aus verschiedenen Quellen zusammenzuführen. Über die weitere Entwicklung dürfen wir gespannt sein. Mehr dazu hier: https://www.bundeskartellamt.de/SharedDocs/Meldung/DE/Pressemitteilungen/2019/07_02_2019_Facebook.html

Neben einem zentralen Passwortmanager wie KeePass, der all unsere Zugangsdaten und Passwörter ein einer Stelle speichert (wer soll sich das sonst alles merken), können wir Nutzer uns z. B. auch neben unserem Passwort mit einem zweiten Merkmal authentifizieren und schützen, wie über eine Zwei-Faktor-Authentifizierung. Je freizügiger wir jedoch mit unseren persönlichen Daten im Internet und in den sozialen Medien umgehen, umso leichter haben es Kriminelle. Empfehlenswerte Maßnahmen nach erfolgreichen Angriffen stellt der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württenberg zur Verfügung https://www.baden-wuerttemberg.datenschutz.de/hackerangriffe-empfehlenswerte-massnahmen-nach-erfolgreichen-angriffen

 

Verantwortliche im Sinne der DSGVO
Unternehmensinhaber, Betreiber von Webseiten oder Online-Shops müssen aus dem Grund technische und organisatorische Maßnahmen (TOM) ergreifen, die die Sicherheit der Verarbeitung unserer Daten gewährleisten und diese vor Verlust schützen – sowohl in der On- als auch Offlinewelt.

 

 Datenschutz schützt die Daten wie von Website-Besuchern, Kunden, Mitarbeitern oder Bewerbern – sorgt für Vertrauen und ein positives Image! Ein Datenschutzmanagement gibt Transparenz, Sicherheit und Orientierung. Und JA – auch den Blick auf ungeahnte neue Chancen und Möglichkeiten neuer Geschäftsmodelle.

 

8.) PS: Hilfreicher Werbeblock in eigener Sache

  • Möchten Sie zu Datenschutz, Digitalisierung und Internetmarketing auf dem Laufenden bleiben? Bestellen Sie HIER den Newsletter von Thomas Werning. 
  • Möchten Sie zu den Themen an kostenlosen Abendveranstaltungen oder Workshops teilnehmen, informieren Sie sich HIER. 
  • Die Fünf Gebote zum Datenschutz stehen für Sie HIER zum Download bereit.
  • Das Datenschutz-Tool von Thomas Werning und Stephan Moers gibt Ihnen Orientierung bei der Umsetzung Ihres Datenschutzmanagements: Transparent, verständlich, zentral. Immer auf dem neuesten Stand: Mit allen gesetzlichen Vorgaben, die die DSGVO vorsieht wie Verzeichnis der Verarbeitungstätigkeiten, Dokumentation der TOM und AV Verträge.
    HIER
    informieren.

 

Wenn Sie Fragen haben oder Feedback geben möchten, schicken Sie gerne eine E-Mail an sw@werning.com

 

Beitrag von Sandra Wilms.
++Aus Gründen der Lesbarkeit wurde im Text die männliche Form gewählt.++
Stand Februar 2019