Tücken des Datenschutzes
Kai-Uwe Recker Rechtsanwalt
Datenschutzbeauftragter DSB-TÜV
Grundlagen
Checkliste
• Dokumentation
– Verfahrensverzeichnis
– Verzeichnis der technischen und organisatorischen Maßnahmen (TOMs) – Verpflichtung der Mitarbeiter
– Auftragsverarbeitung – Einwilligungen
• Datensicherheit
– Zugang zum Arbeitsplatz – Zugang zum Computer – Zugang zu anderen Daten – Verschlüsselung
– Passwörter
– Sicherungen / Backups – Verschlüsselung – Virenschutz / Malwareschutz / etc
https://www.lda.bayern.de/de/thema_kleine_unternehmen.html
Grundlagen
Checkliste
Prüfung Umsetzung des LDA-Bayern
Grundlagen
Checkliste
• Rechte der Kunden / betroffenen Personen
Grundlagen
Checkliste
• Rechte der Kunden / betroffenen Personen
– Information – Auskunft
– Berichtigung – Widerspruch
Wie werden diese umgesetzt?
Grundlagen
Checkliste
• Zuständiger für die Umsetzung auch als Ansprechpartner
• Wird richtig über die Verarbeitung informiert?
• Wird ein Datenschutzbeauftragter benötigt?
• Gibt es Auftragsverarbeitungsverträge?
• Löschkonzept
• Können Probleme erkannt, verhindert und
gemeldet werden?
Grundlagen
Verantwortlicher und Datenschutzbeauftragter
Erforderlich
• ab 10 Personen, die ständig mit der
Verarbeitung personenbezogener Daten beschäftigt sind.
– Auch Azubis, 450 € Jobber
– Soll bald auf 20 Personen angehoben werden
• Wenn Kerntätigkeit in der Bearbeitung von
besonderen Arten personenbezogener Daten
– In Art. 9 Abs. 1 DS-GVO legal definiert
Grundlagen
Verstöße
• Fehlgeleitete Faxe
• Verlorenes Handy / Notebook / USB-Stick
• Hack
• Newsletter mit sichtbaren Emailadressen
• Kundenlisten verloren / liegengelassen
Grundlagen
Verstöße
Meldepflicht innerhalb von 72 Stunden
– Egal ob Nachts, Wochenende oder Feiertags ! – An zuständige Behörde
– An Betroffene Personen bei erhöhtem Risiko
– Über Internetseite der Behörde in BRD möglich
Grundlagen
Verstöße – mögliche Folgen
• Bußgeld bis 20 Millionen oder 4% des Jahresumsatzes – was höher ist
• Immaterialschadenersatz an betroffene
Personen
Grundlagen
Verstöße – mögliche Folgen
• Bußgeld bis 20 Millionen oder 4% des Jahresumsatzes – was höher ist
• Immaterialschadenersatz an betroffene Personen
– Vorschläge aus der Literatur:
• 10.000 € bei zweckwidriger Verwendung
• 10.000 € bei unbegrenzter Speicherung
• 2.000 € bei Emailwerbung ohne Einwilligung, je Email
• 4.000 € bei Anruf ohne Einwilligung
• 5.000 € Nichtbeachtung einer widerrufenen Einwilligung
Grundlagen
Verstöße – mögliche Folgen
• Immaterialschadenersatz an betroffene Personen
– Vorschläge aus der Literatur:
• 10.000 € bei zweckwidriger Verwendung
• 10.000 € bei unbegrenzter Speicherung
• 2.000 € bei Emailwerbung ohne Einwilligung, je Email
• 4.000 € bei Anruf ohne Einwilligung
• 5.000 € Nichtbeachtung einer widerrufenen Einwilligung
– Gegenbeispiel Schmerzensgeld
• Gebrochener Arm zwischen 5.450 € bis 22.954 €
• Fehlstellung Knochen 7.000 €
Grundlagen
Einwilligung
Voraussetzungen von wirksamen Einwilligungen:
https://www.datenschutz-
bayern.de/datenschutzreform2018/einwilligung.pdf
• Freiwillig
• Informiert
• Bezogen auf bestimmen Zweck
• Bezogen auf eine bestimme Verarbeitung
• Unmissverständlich
• Hinweise auf Widerruf
Homepage
Klassische und wesentliche Problemfelder
• Datenschutzerklärung
• Impressum
• Cookies
• Newsletter
Homepage
Datenschutzerklärung
Zu beachten gilt:
• Eingesetzte Technik
• Eingesetzte Werbemaßnahmen
• Eingesetzte Plugins
• Verwendete Cookies
Homepage
Datenschutzerklärung
Beispiel der eingesetzten Technik:
WordPress
• Problem Kommentarfunktionen
• Tools und Plugins zur Gestaltung vorhanden, zu finden über
https://de.wordpress.org/plugins/tags/datenschutz/
Homepage
Datenschutzerklärung
Beispiel zu Cookies
Bisher in Deutschland ist das Banner verbreitet, Beispiel:
Diese Seite verwendet Cookies
Homepage
Datenschutzerklärung
Beispiel zu Cookies
Aktuelles Urteil des EuGH vom 01.10.2019, Az. C-673/17
• Aktive Einwilligung nötig
• Echte Auswahl nach sog. Opt-In Verfahren
• Unterscheidung nach Typ: Essenziell, Statistik, Externe Medien / Werbung
• Angaben zu Funktionsdauer und zur Zugriffsmöglichkeit Dritter – ggf. mit Verweis auf die Datenschutzerklärung der Homepage
Änderungsbedarf bei vielen Seiten mit Cookies,
sowohl zum abgegriffenen Maß der Daten, als auch der Zustimmung
und Aufklärung
Homepage
Datenschutzerklärung
Beispiel zu Plugins - Google Maps Abbildung der Karte zur Wegführung
• Werden Daten an Google weitergegeben?
– Welche, kann unterschieden werden?
– Wie weise ich darauf hin?
– Kann eingewilligt werden?
– Drittstaatbezug?
– Einbezug in Datenschutzerklärung zum konkret verwendeten Plugin
• Werden erhobene Daten anderweitig erhoben?
Homepage
Datenschutzerklärung
Beispiel zu Plugins - Google Maps Abbildung der Karte zur Wegführung
• Werden Daten an Google weitergegeben?
– Welche, kann unterschieden werden?
– Wie weise ich darauf hin?
– Kann eingewilligt werden?
– Drittstaatbezug?
– Einbezug in Datenschutzerklärung zum konkret verwendeten Plugin
• Werden erhobene Daten anderweitig erhoben?
Screenshots von GoogleMaps = Urheberrechtsverstoß
Homepage
Impressum
Notwendiger Inhalt etwa überhttps://www.ihk-muenchen.de/de/Service/Recht-und- Steuern/Internetrecht/Impressum-im-Internet/ abrufbar.
Allgemeine Pflichtangaben
• Name des Unternehmens
• Name der verantwortlichen Person(en)
• Anschrift der Niederlassung (Haus-Adresse, nicht nur Postfach)
• Rechtsform, Registernummer und Registergericht: bei juristischen Personen und e.K.
• Kontaktdaten zur schnellen unmittelbaren Erreichbarkeit - am besten: Telefonnummer und Emailadresse.
• Bei zulassungspflichtigem Gewerbe Angaben zur zuständigen Aufsichtsbehörde mit Anschrift - Beispiele für zulassungspflichtige Gewerbe:
– Immobilienmakler nach § 34 c Abs. 1 Satz 1 Nr. 1 GewO,
– Versicherungsvermittler, Finanzanlagenvermittler etc. nach §§ 34 d, e, f GewO – Neu: Wohnimmobilienverwalter nach § 34 c Abs. 1 Satz 1 Nr. 4 GewO
• Weitere Beispiele für zulassungspflichtige Gewerbe finden Sie in unserem "Pflichtangaben im Internet- Impressum" auf Seite 5.
• (Hinweis: Beachten Sie ergänzend auch unten 3. Berufsspezifische Informationen)
• Umsatzsteueridentifikationsnummer (nach § 27a des Umsatzsteuergesetzes):
nur sofern eine solche auf Antrag erteilt worden ist (nicht: Steuernummer)
Homepage
für wen und welche Seiten gelten die Pflichten?
• Jede Homepage mit gewerblichen Hintergrund, auch Vereine
• Social Media Profile – geschäftlich genutzte Facebook Profile, Seiten
• Über jedes Endgerät erreichbar !!
Homepage
Newsletter
• Erfordernis einer vorherigen ausdrücklichen Einwilligung und Dokumentation
– Einfach bei Kundenbesuch schriftlich einholbar – Double Opt-In Verfahren über die Homepage