Blog

Aktuelles

Wer zur Hölle ist TOM?

Immer wieder hört man von „TOM“, wenn es um die Sicherheit von Daten geht. Damit ist natürlich keine Person gemeint, sondern eine ganze Reihe von Maßnahmen für die Datensicherheit – technischer und organisatorischer Art. Für einen einzelnen wäre das also ein bisschen viel. Damit beim Datenschutz nichts schiefgeht, braucht man also bestimmte Sicherungsmaßnahmen. Die Maßnahmen sind laut Art. 32 DSGVO „Sicherheit der Verarbeitung“ zu ergreifen, um das Risiko auf ein „angemessenes Schutzniveau“ zu reduzieren.

Ursprünglich kommen die Maßnahmen aus der Informationssicherheit, wo sie ein sehr wichtiger und umfangreicher Teil des Informationssicherheitssystems (ISMS) sind, das man sich zum Beispiel nach der DIN ISO 27001 zertifizieren lassen kann.

Weitere Beispiele:

– Vertraulichkeitsverpflichtungen der Mitarbeiter

– Ein passwortgeschützter Bildschirmschoner schützt Geschäftsdaten vor unbefugtem Zugriff.

– Der Monitor ist so auszurichten, dass niemand Einsicht auf angezeigte Inhalte erhält.

– Passwörter dürfen nicht auf Zetteln notiert am Arbeitsplatz liegen gelassen werden oder als Post-its am Monitor kleben.

 

Da manche Maßnahmen sowohl technisch als auch organisatorisch sind und sich unter Umständen auch mehreren Bereichen zuordnen lassen, überschneiden sie sich teilweise. Wesentlich ist, dass sich das Risiko durch die Umsetzung der Maßnahmen auf einen akzeptablen Wert reduziert. Dazu ist eine Risikoanalyse aller Verarbeitungsvorgänge in der Organisation unerlässlich.

Haben Sie Ihre Risiken unter Kontrolle?

Brauchen Sie Unterstützung bei der Risikoanalyse?

Ich helfe Ihnen gerne weiter. Hier klicken!

Aufgaben des Verantwortlichen

Wofür ist der Verantwortliche verantwortlich?

Der Verantwortliche einer Organisation ist natürlich auch für die Datenschutzerklärung der Website verantwortlich. Da der Internetauftritt das Aushängeschild der Organisation ist, sollte er auch diese Seite nicht ganz vernachlässigen. Von Zeit zu Zeit kann ein Blick darauf zumindest nicht schaden.

Jede Internetseite, die eine Datenschutzerklärung hat, benennt dort einen „Verantwortlichen“ für die Datenverarbeitung. Dies gilt zunächst nur für den Internetauftritt, doch in der Regel ist die Geschäftsführung eines Unternehmens, Vereins oder einer Institution natürlich auch insgesamt für den Datenschutz in der Organisation verantwortlich. In der Datenschutzerklärung ist die Angabe der juristischen Person als Verantwortlicher in der Regel erlaubt, doch bei kleinen Organisationen ohne Datenschutzbeauftragten wird dies ohnehin eine einzelne Person sein, die man dann auch nennen sollte.

Manchmal ist in der Datenschutzerklärung nur der Verweis auf das Impressum angegeben. Dann muss man mit weiteren Klicks nach den gewünschten Informationen erst suchen. Ob dies noch dem Transparenzgebot entspricht, ist fraglich. Vor allem, wenn kein Datenschutzbeauftragter bestellt ist, sollten Betroffene, die sich an den Verantwortlichen wenden möchte, diesen auch leicht und schnell erreichen können. Benannt werden muss ein Datenschutzbeauftragter nur dann, wenn besondere Kategorien von personenbezogenen Daten wie Gesundheitsdaten, Gewerkschaftszugehörigkeit, ethnische Herkunft usw. in großen Mengen verarbeitet werden, das Unternehmen ständig risikobehaftete Verarbeitungsvorgänge durchführt, wie z. B. eine Videoüberwachung, oder mindestens 20 Mitarbeiter (Angestellte, Praktikanten, Teilzeitkräfte, Freelancer) ständig personenbezogene Daten verarbeiten, z.B. mit einem E-Mail-Programm.

Insbesondere letzteres führt dazu, dass fast alle Unternehmen mit Büroarbeitsplätzen einen Datenschutzbeauftragten benötigen, selbst wenn dort nur Zeitarbeiter, Freelancer oder Studenten arbeiten. Ein Verstoß gegen diese Pflicht ist eine Ordnungswidrigkeit und wird im schlimmsten Fall mit einem Bußgeld bis zu 50.000 Euro belegt.

Wenn Sie tatsächlich keinen Datenschutzbeauftragten benennen müssen, dann sollten Sie dies in der Datenschutzerklärung so schreiben. In diesem Fall sind Sie als Geschäftsführer allein für den Datenschutz zuständig. Sie können allerdings nicht als ihr eigener Datenschutzbeauftragter fungieren. Oftmals sieht man in Datenschutzerklärungen kleinerer Unternehmen oder Vereine, dass als Datenschutzbeauftragter der Geschäftsführer angegeben wird.

Benötigt die Organisation keinen Datenschutzbeauftragten, dann sind Sie als Geschäftsführer allerdings nur derjenige, der die Verantwortung für die Verarbeitung von Personendaten und mögliche Verstöße trägt. Als solcher sind Sie der direkte Ansprechpartner für Betroffene, die sich an Sie wenden wollen.

Ansonsten gilt auch für kleine Organisationen, dass der oder die Geschäftsführer/in, IT-Leiter/in, oder Personalverantwortliche nicht gleichzeitig Datenschutzbeauftragter sein können. Da Datenschutzbeauftragte eine Kontrollfunktion haben, würden sie sonst in die Lage kommen, sich selbst kontrollieren zu müssen. Aus diesem Grund sollten Sie sich als Geschäftsführer/in auf keinen Fall selbst als Datenschutzbeauftragte/r angeben.

Datenschutz im E-Mail-Marketing

Um beim Versand von Marketing-E-Mails kein Datenschutzrisiko einzugehen, sollten Sie einige wichtige Punkte beachten.

Fehler beim Datenschutz können zu einem Bußgeld führen, wirken sich aber auch negativ auf den Eindruck aus, den Interessenten oder Kunden vom Unternehmen bekommen.

Die meisten Unternehmen nutzen E-Mail-Marketing für die Kundengewinnung oder für die Kommunikation mit ihren Bestandskunden. E-Mails sind ein sehr effektives Mittel, um Kontakt mit Kunden oder Interessenten zu halten, doch bei der Erstellung und beim Versand ist natürlich auch die DSGVO zu beachten. Wenn ein nicht bestellter Newsletter ins Postfach flattert oder Werbung, für die keine Einwilligung erfolgt ist, dann kommt es bei den Empfängern oft nicht gut an und schreckt potentielle Kunden ab.

Die DSGVO gibt vor, wie die Einwilligung für den Newsletterversand einzuholen ist und welche Informationen dabei gegeben werden müssen. Vor allem Artikel 7 sowie Artikel 13 bzw. 14 sind hier wichtig. Auch das Auskunftsrecht der betroffenen Personen (Artikel 15 DSGVO) muss berücksichtigt werden. Dieses umfasst zum Beispiel die Verarbeitungszwecke, die Kategorien personenbezogener Daten, die verarbeitet werden, die weiteren Empfänger der personenbezogenen Daten, die Dauer der Datenspeicherung und das Recht auf Löschung oder Berichtigung ihrer Daten.

Ist Ihr Versand rechtskonform?

Laut der Studie „E-Mail-Marketing Benchmarks 2021“ des DDV (Deutscher Dialogmarketing Verband) und Absolit verarbeiteten etwa neun Prozent der Unternehmen die Kundendaten nicht datenschutzkonform. Es gibt eine ganze Reihe von Punkten, die beim Versand von Marketing-Mails zu beachten sind, angefangen bei der Einwilligung zum Erhalt eines Newsletters, die oft nicht korrekt eingeholt wird. In diesem Fall fehlt dann die Rechtsgrundlage für den Versand, sodass er nicht stattfinden darf.

Häufig wird auch zu wenig Sorgfalt auf die Erstellung der Datenschutzerklärung aufgewandt. In vielen Fällen ist diese veraltet, zu allgemein formuliert oder nicht auf die konkrete Verarbeitung bezogen. Oft enthält sie Verarbeitungen, die die versendende Firma gar nicht verwendet. Teilweise fehlen Angaben zum Zweck der Verarbeitung. Werden Newsletter-Tools verwendet, dann wird manchmal nur auf die Datenschutzerklärung des Tool-Anbieters verlinkt. Das ist nicht nur falsch, sondern oft auch ein Verweis darauf, dass eine eigene Datenschutzerklärung fehlt. Auch, wenn diese nur schwer aufzufinden ist, handelt es sich um einen Verstoß, der zu einem Bußgeld führen kann.

Stolperfallen in der Datenschutzerklärung

Mitunter fehlen Hinweise zum Widerruf der Einwilligung zur Verwendung der Daten. Diese müssen gut erkennbar sein, und ein Newsletter muss sich leicht und natürlich auch wirksam abbestellen lassen. Die Datenschutzerklärung selbst enthält oft zahlreiche Fehler. So sind etwa die Kontaktangaben der verantwortlichen Person und zum Teil auch des oder der Datenschutzbeauftragten nicht in ihr enthalten.

Werden Nutzerdaten an Dritte weitergeleitet, dann müssen diese genannt werden und für die Weiterleitung muss eine Rechtsgrundlage existieren. Eine Weitergabe an Drittstaaten, zum Beispiel die USA, erfordert die Klärung des Datenschutzniveaus dieser Staaten und Erläuterungen, welche Maßnahmen zum Schutz der Betroffenendaten ergriffen werden. Es reicht nicht, nur per Link auf die Datenschutzhinweise beispielsweise von Google zu verweisen.

Löschfristen beachten

Die Dauer der Datenaufbewahrung muss ebenfalls angegeben werden. Für jeden Zweck gelten bestimmte Löschfristen und müssen eingehalten werden. Eine dauerhafte Aufbewahrung der Daten ist nicht erlaubt. Die betroffene Person muss über ihre Rechte  bezüglich Auskunft über die gespeicherten Daten, Löschung, Einschränkung der Verarbeitung usw. informiert werden. Spätestens bei der ersten Kommunikation muss sie ausdrücklich auf ihr Widerspruchsrecht hingewiesen werden.