IT-Sicherheitsrichtlinie mit Vorlage

Hat Ihr Unternehmen eine IT-Sicherheitsrichtlinie? Haben Sie geregelt, wie Ihre Mitarbeiter mit Informationen, Daten, Passwörtern und anderen Unternehmenswerten umgehen sollten?

Es gibt Unternehmen, in denen die Mitarbeiter quasi vorbildlich die Inhalte der Sicherheitsrichtlinie leben. Auf der anderen Seite finde ich unzählige Firmen, deren Mitarbeiter die Richtlinie nicht akzeptieren und kaum einhalten. Was macht den Unterschied? Wann wird eine IT-Sicherheitsrichtlinie gut angenommen?

In diesem Artikel fasse ich die Erfahrungen aus über zehn Jahren zusammen. Ich gehe darauf ein, welchen Inhalt eine gute IT-Sicherheitsrichtlinie enthalten sollte. Noch viel wichtiger finde ich aber die Vorgehensweise der Einführung und das „Drumherum“, das bei fast allen Unternehmen als unwichtig erachtet wird.

Letztendlich ist aber genau dieses „Drumherum“ der ausschlaggebende Punkt, ob es funktioniert oder nicht. Meine Empfehlung dazu finden Sie in diesem Artikel. Für alle, die nun die Ärmel zurück krempeln und aktiv werden möchten, stelle ich auch ein kostenloses Muster für eine IT-Sicherheitsrichtlinie zur Verfügung.

 

Und noch erwähnt sei: Es handelt sich hiermit um keine Rechtsberatung, aber um jahrelange Praxiserfahrung!

IT-Sicherheitsrichtlinie vs. Informationssicherheitsrichtlinie

In der Praxis hat sich eingebürgert, dass man von einer IT-Sicherheitsrichtlinie spricht. Tatsächlich ist es in den meisten Unternehmen aber eine allgemeine Informationssicherheitsrichtlinie.

Was ist der Unterschied zwischen einer IT-Sicherheitsrichtlinie und einer Informationssicherheitsrichtlinie?

Informationssicherheit ist mehr als nur IT. Natürlich nimmt der IT-spezifische Inhalt in der Regel den größten Umfang ein. Trotzdem, es gehört mehr dazu. Sie möchten doch Ihre gesamten Unternehmenswerte schützen. Da geht es nicht nur darum, dass die Übertragung, Bearbeitung oder Speicherung auf digitalem Weg gesichert ist.

Ihnen als Verantwortlicher ist es sicherlich auch ein Anliegen, dass Ihre Mitarbeiter alle Unternehmenswerte (Dokumente, Geräte…) entsprechend schützen. Aus diesem Grund enthält eine IT-Sicherheitsrichtlinie auch Inhalte, die nicht nur die digitale Welt betreffen. Dann wäre der bessere Begriff eigentlich Informationssicherheitsrichtlinie.

Damit ist nämlich alles abgedeckt. Wohl wissend, dass es fachlich nicht ganz korrekt ist, werde ich aber in diesem Artikel hauptsächlich den Begriff IT-Sicherheitsrichtlinie verwenden.

Warum überhaupt eine IT-Sicherheitsrichtlinie?

Überlegen Sie noch, ob es überhaupt Sinn macht, in Ihrem Unternehmen eine IT-Sicherheitsrichtlinie einzuführen? Braucht es das wirklich? Diese Frage kann ich Ihnen leider nicht beantworten. Ich kann Ihnen aber ein paar Entscheidungsfragen liefern, die Ihnen helfen können, diese Frage selber für sich zu beantworten:

  • Gibt es in Ihrem Unternehmen / Standort schützenswerte Werte (Daten digital oder in Papier, Maschinen bzw. Maschinenkonfigurationen, Abläufe in Projekten oder in der Fertigung, sonstige hochwertige Geräte….)?
  • Haben Sie im Unternehmen ein Problem, wenn einige dieser schätzenswerten Werte nicht verfügbar sind?
  • Handelt es sich bei manchen dieser Werte um Inhalte, die nicht für außenstehende zugänglich sein sollten?
  • Sind alle Ihre Schutzmechanismen im Unternehmen technisch umgesetzt, so dass der Mitarbeiter oder ein Externer keine Möglichkeit hat, diese Mechanismen zu umgehen?

Haben Sie die ersten drei Fragen teilweise mit „Ja“ und die letzte Frage mit „Nein“ beantwortet? Dann würde es wahrscheinlich sinnvoll sein, eine Informationssicherheitsrichtlinie für Ihre Mitarbeiter einzuführen.

Die größten Fehler beim Erstellen einer IT-Sicherheitsrichtlinie

Die folgenden vier Punkte fallen mir leider sehr häufig in Unternehmen auf. Ich finde es immer sehr schade, wenn ich auf solche Fälle treffe und sehe, welches Potential dadurch verschwendet wird. Im Anschluss finden Sie meine Antwort als Umsetzungsvorschlag für die Einführung einer Informationssicherheitsrichtlinie.

Erstellung im Alleingang

Der Informationssicherheitsbeauftragte / IT-Sicherheitsbeauftragte, der IT-Leiter oder die Personalabteilung erstellen eine IT-Sicherheitsrichtlinie ohne sich mit anderen Abteilungen abzustimmen. Manchmal wird die Richtlinie von einem externen Anwalt für das Unternehmen erstellt. Warum soll man dann noch intern um ein Feedback bitten? Dafür haben Sie ja bereits den Anwalt bezahlt, der Ihnen ein Dokument erstellt, das sofort veröffentlicht werden kann.

Erhobener Zeigefinger

  • „Es ist nicht erlaubt…“
  • „Unterlassen Sie ….“
  • „Es ist verboten,…“

Sprechen Sie tatsächlich im Alltag so mit Ihren Mitarbeitern? Welche Botschaft übermitteln Sie mit dieser Sprache?

Praxisrelevanz

„Verwenden Sie nur freigegebene USB-Sticks“. Dieser Satz liest sich in einer IT-Sicherheitsrichtlinie nicht ungewöhnlich. In der Praxis stellt er meistens ein unüberwindbares Hindernis dar. Wenn Ihre Mitarbeiter ihre Arbeit machen möchten, bleibt Ihnen gar nichts anderes übrig, als diesen Punkt der Richtlinie zu brechen.

  • Was ist ein „freigegebener USB-Stick“? Sind die internen Sticks durch einen Aufkleber gekennzeichnet?
  • Was, wenn der Kunde einen USB-Stick mit Daten bringt, die getauscht werden müssen? Gibt es einen praxisorientierten (!) Ablauf im Unternehmen, diese Daten dann legitim übertragen zu können?
  • Wie schließen Sie aus, dass ein „freigegebener USB-Stick“ keine Viren oder Schadsoftware enthält?

Die Beispiele könne ich an dieser Stelle noch mit einer längeren Liste füllen. Worauf ich hinaus möchte. Was in der Theorie ganz logisch klingt, lässt sich in der tatsächlichen Umsetzung in den Fachabteilungen, deren Ziel Produktivität ist, nicht immer umsetzen.

Sicherheitsniveau Maximum

„Digitale Daten dürfen nur verschlüsselt übertragen werden.“ Mit pauschalen Aussagen scheren Sie das gesamte Unternehmen über einen Kamm. Sicherheit bedeutet Aufwand. Ist es gerechtfertigt, diesen Aufwand über das gesamte Unternehmen gleich zu halten? Muss der Speiseplan der Kantine tatsächlich beim Versenden verschlüsselt werden? Wo ist Sicherheit wichtig und wo kann man darauf verzichten?

Empfehlungen zur Einführung einer IT-Sicherheitsrichtlinie

Es gibt keine richtige oder falsche Vorgehensweise bei der Erstellung und Einführung einer Informationssicherheitsrichtlinie. An dieser Stelle fasse ich die Punkte zusammen, die mir wichtig erscheinen und die ich in der Praxis häufig gesehen habe. Entweder positiv, wenn es gut umgesetzt ist oder eben negativ, wenn auf einzelne Aspekte nicht geachtet wird.

Wer kümmert sich um die Erstellung der Richtlinie?

Es ist mir klar, dass gerade mittelständische Unternehmen keinen Informationssicherheitsbeauftragten (bzw. IT-Sicherheitsbeauftragten) (ISB) haben. Gibt es diese Stelle allerdings, ist es dessen Aufgabe, eine IT-Sicherheitsrichtlinie zu entwerfen. Doch egal, ob ISB oder nicht. Die IT-Sicherheitsrichtlinie sollte nicht allein von einer Stelle entworfen werden.

Ins Team gehört jemand aus der Personalabteilung genauso wie der IT-Verantwortliche und der Datenschutzbeauftragte. Zudem empfehle ich dringend, aus den Fachabteilungen Vertreter mit ins Boot zu holen. Das sind nämlich diejenigen, die „die Suppe am Ende ausbaden“ müssen. Die sollten schon gehört werden. Von diesen Stellen erhalten Sie – wenn Sie sie frühzeitig mit einbeziehen – hochwertige Inhalte, von denen die Richtlinie nur profitieren kann.

Welches Sicherheitslevel möchten Sie abdecken?

Nicht jedes Unternehmen ist gleich und nicht jedes Unternehmen muss zwingend den höchsten Sicherheitslevel ansetzen. Im Idealfall haben Sie vorher eine Risikoanalyse durchgeführt und konkrete Risiken identifiziert, die Sie mit der IT-Sicherheitsrichtlinie abdecken möchten. So realistisch bin ich, dass es eine solche Risikoanalyse in Ihrem Haus nur gibt, wenn Sie gesetzlich oder normativ dazu verpflichtet sind (z.B. ISO 27001).

Trotzdem kommen Sie nicht umhin, durch die Geschäftsleitung ein Sicherheitslevel zu definieren, welches dann durch die IT-Sicherheitsrichtlinie unterstützt werden soll. Ein paar Fragen, die Ihnen dabei helfen können:

  • Was sind Ihre höchst zu schützenden Werte im Unternehmen?
  • Haben alle Mitarbeiter Zugriff auf diese Werte oder nur ein sehr begrenzter Kreis der Mitarbeiter? Danach richtet es sich, ob Sie überhaupt in einer allgemein gültigen Richtlinie auf diesen höchsten Schutzstatus eingehen sollten oder ob das separat geregelt wird.
  • Was ist das größte Risiko, das diesen Werten gegenübersteht? Kann eine IT-Sicherheitsrichtlinie dieses Risiko minimieren oder haben Sie bereits Schutzmaßnahmen getroffen? Beispiel: Ihre höchst zu schützenden Werte sind Rezepturen für Ihre Fertigung. Diese Daten sind technisch bereits so abgeschottet, dass ein Zugriff nur für eine Handvoll Mitarbeiter möglich ist. Diese Mitarbeiter sollten Sie separat auf die Wichtigkeit dieser Daten unterweisen. In einer allgemeinen IT-Sicherheitsrichtlinie bringt es keinen Mehrwert, darauf einzugehen oder das gesamte Sicherheitsniveau an diese Daten anzuheben.
  • Erlauben Sie private Nutzung von E-Mail, Internet und IT-Ressourcen (Laptop, Handy, Tablet…)?
  • Private Nutzung der Ressourcen in der Arbeitszeit oder nur außerhalb der Arbeitszeit?

In diesem Punkt gehen Sicherheitslevel und Unternehmenskultur in der Praxis Hand in Hand. Nicht jedes Unternehmen ist offen für private Nutzung, auch wenn es aus Sicherheitsgründen wenig Bedenken gäbe.

Unterstützung des Managements

Das mag noch so banal klingen. Dieser Passus findet sich auch so ziemlich in jeder ISO-Norm und in den meistens Standards: „Unterstützung der Leitung“. Und doch stimmt es. Die Geschäftsleitung und das gesamte oberste Management muss hinter der IT-Sicherheitsleitlinie stehen.

Sobald auch nur ein Passus der Richtlinie nicht von der Leitung mitgetragen wird oder deren Einhaltung gefordert wird, können Sie es bleiben lassen. Oberste Vorgabe für die Formulierung einer Richtlinie: Formulieren Sie die Informationssicherheitsrichtlinie so, dass sie die Geschäftsführung / der Vorstand auch einhalten kann und vor allem einhält.  Dadurch ergeben sich automatisch zwei Effekte. Die Leitung geht mit Vorbild voran und ist zudem natürlich daran interessiert, dass sich die Mitarbeiter ebenfalls daranhalten.

Vorab Veröffentlichung bei den Führungskräften

Der Entwurf oder die Fassung 1.0 Ihrer Sicherheitsrichtlinie ist fertig. Am liebsten würden Sie Ihr Werk sofort veröffentlichen.

Holen Sie sich Ihre Mitstreiter auf Ihre Seite. Legen Sie die Version 1.0 Ihren Führungskräften vor. Fordern Sie sie auf zur kritischen Prüfung des Inhalts. Nehmen Sie sie mit in die Verantwortung.

Lassen Sie durch Ihre Führungskräfte prüfen, ob der Inhalt der Richtlinie für alle Abteilungen praxisnah ist und vor allem umsetzbar ist. Auch wenn es manchmal langwierig sein kann. Seien Sie offen für Diskussionen. So anstrengend das am Anfang auch sein mag, es erspart Ihnen im Nachgang der Veröffentlichung noch viel mehr Zeit an Diskussionen durch die Mitarbeiter.

Wenn alle Führungskräfte genickt haben und die Richtlinie damit unterstützen, haben Sie noch weitere Multiplikatoren gewonnen. Diese Führungskräfte können sich vor ihren Mitarbeitern nun nicht mehr aus der Verantwortung ziehen.

Ankündigung und Bekanntgabe

Konfrontieren Sie die Mitarbeiter nicht von heute auf morgen mit einem neuen Blatt Papier. Im Idealfall informieren Sie schon vor der Veröffentlichung darüber, dass in Bälde eine IT-Sicherheitsrichtlinie eingeführt wird. Verbinden Sie die Veröffentlichung mit einer kurzen Unterweisung.

Die Führungskräfte haben Sie schon als Multiplikatoren im Boot. Das kommt Ihnen jetzt zu Gute. Greifen Sie entweder darauf zurück oder machen Sie für alle Mitarbeiter Präsenzschulungen und erläutern Sie die Inhalte der Richtlinie.

Ganz wichtig ist das WARUM!

Erläutern Sie in den Schulungen, warum Sie sich als Unternehmen für eine IT-Sicherheitsrichtlinie entschieden haben. Erklären Sie, warum es zu den einzelnen Inhalten kam. Wenn ich diese Schulung für meine Kunden übernehme, habe ich immer ein paar Beispiele und Videos dabei. Wie einfach ist es ein triviales Passwort zu hacken? Eine kleine Live-Demo und schon steigt das Bewusstsein, warum ein komplexes Passwort doch einen Sinn hat.

Wie kann man durch Social Engineering geschickt an Informationen kommen? Ein Video dazu und im Anschluss die Erklärung, wie sich Ihre Mitarbeiter am Telefon oder unterwegs verhalten sollten. Je mehr Sie erklären, WARUM für Sie als Unternehmen die Inhalte dieser Richtlinie wichtig sind, umso eher werden Ihre Mitarbeiter auch das Verständnis für die Einhaltung und Wichtigkeit der Richtlinie haben.

Unterschrift

Ich persönlich halte nichts von einer Unterschrift der Richtlinie. Manchmal höre ich als Argument, dass sich die Mitarbeiter mehr verpflichtet fühlen, wenn Sie die Richtlinie unterzeichnen. Ich weiß nicht, ob das so ist. Weniger die Verpflichtung der Einhaltung, sondern das Verständnis der Einhaltung wäre aus meiner Sicht das Ziel.

Dieses Verständnis können Sie, wie gerade erwähnt, über Schulungen erreichen. Die Teilnahme an der Schulung sollten Sie in einer Anwesenheitsliste dokumentieren. Aus meiner Sicht wäre das ausreichend. Die Informationssicherheitsrichtlinie ist ein verbindliches Vorgabedokument. Eine zusätzliche Unterschrift würde ich nicht empfehlen. Was machen Sie z .B. wenn sich ein Mitarbeiter weigert zu unterschreiben? Wie gehen Sie damit um, wenn es Änderungen im Inhalt gibt? Nochmal alle Mitarbeiter unterschreiben lassen?

Einhaltung

Das resultiert letztendlich aus den voran gegangenen Punkten. Hält sich die Leitung an die Richtlinie? Haben Sie gut erklärt, warum die Richtlinie wichtig ist? Sind die Punkte, die Sie vorgeben in der Praxis umsetzbar?

Dann decken Sie schon die wichtigsten Faktoren ab, die Ihre Mitarbeiter aus eigenem Antrieb motivieren, die IT-Sicherheitsrichtlinie einzuhalten. Nichtsdestotrotz müssen Sie aber auch die Einhaltung sicherstellen. Um eine Vorgabe, die niemand kontrolliert, wird sich auch keiner scheren. Oder parken Sie nicht auch mal im Halteverbot, wenn Sie genau wissen, dass keine Parküberwachung vorbeikommen wird?

Diese Überwachung ist aus meiner Sicht einer der schwierigsten Punkte an der ganzen IT-Richtlinie. Ich habe leider kein Patentrezept, das ich Ihnen an die Hand geben kann.

Anpassung

Scheuen Sie sich nicht, auch Fehler zuzugeben. Der 1. Wurf kann schon mal einen Stolperstein enthalten, den man auch trotz gründlicher Prüfung übersehen hat. Aus eigener Erfahrung weiß ich, wie schwer es ist – auch auf den Aufwand gesehen – eine Anpassung der Richtlinie vorzunehmen, diese zu veröffentlichen und zu kommunizieren.

Wenn Sie sich jetzt noch dazu entschieden haben, die Richtlinie unterzeichnen zu lassen, werden Sie eine neue Version kaum rausgeben wollen. Der Aufwand einer erneuten Unterschrift ist einfach unglaublich hoch. Daher meine Empfehlung noch mal: keine Unterschrift.

Das macht ein Update der Vorgaben um einiges einfacher. Seien Sie auch ganz offen in der Kommunikation, warum sich vielleicht der eine oder andere Punkt im Inhalt geändert hat.

Was sollte eine IT-Richtlinie inhaltlich mitbringen?

Sprache

Wie oben schon angesprochen, ist die Sprache, in der eine Richtlinie verfasst ist, für mich ein wesentlicher Bestandteil. Der Ton macht schließlich die Musik. Sie transportieren auf dieser Ebene eine Botschaft an alle, die Ihre Vorgaben einhalten sollten. Ein „Bitte“ an der richtigen Stelle tut der Richtlinie nicht weh und vermindert auch nicht deren Wichtigkeit. Es hebt aber bedeutend den Respekt Ihren Mitarbeitern gegenüber. Auch ist die aktive Form der Formulierung weitaus freundlicher, als die permanente Formulierung im Passiv. Dieselbe Aussage in unterschiedlichen Formen, kommt ganz unterschiedlich beim Empfänger an:

  • „Die private Nutzung der IT-Ausstattung ist verboten.“
  • „Bitte nutzen Sie die Ihnen übergebene IT-Ausstattung nur für geschäftliche Zwecke und nicht für private Angelegenheiten.“

Praxisbezogene Inhalte

Die Nutzung „freigegebener USB-Sticks“ habe ich ja schon weiter oben bemängelt. Sinnvoll wäre es also, solche Situationen in eine Positiv-Form zu bringen, die für Ihr Unternehmen angemessen ist.

Überlegen Sie sich vor der Erstellung einer IT-Sicherheitsrichtlinie, wie solche Prozesse bei Ihnen im Unternehmen ablaufen sollten. Bleiben wir beim Beispiel USB-Sticks. Wollen Sie durchgängig unterbinden, dass USB-Sticks in die Arbeitsplatz-Rechner eingesteckt werden, müssen Sie Lösungen bieten.

Das kann z.B. ein abgeschotteter Rechner pro Abteilung / Gebäude (je nach Unternehmensgröße) sein, der keine Verbindung ins Unternehmensnetzwerk hat. Dafür gibt es auf dieser Workstation einen oder mehrere Virenscanner, die das externe Medium prüfen und gezielt das Herunterladen einzelner bzw. benötigter Daten ermöglichen. Für einen solchen Fall müssen Sie aber auch bedenken, dass hin und wieder mal ein verseuchter Stick dabei sein kann. Soll diese Workstation täglich mit einem „sauberen“ Snapshot der Installation starten oder machen Sie manuell alle paar Tage einen Reset des Rechners? Diese Vorgehensweise zieht einen ziemlich großen und vor allem aufwändigen Rattenschwanz nach sich.

Hier sollten Sie sich tatsächlich im Voraus die Frage stellen, wie hoch Sie Ihr Sicherheitslevel ansetzen wollen und welche Maßnahmen Sie dafür in Kauf nehmen möchten. Eine aus meiner Sicht sinnvolle Lösung für ein „normales“ Sicherheitsniveau ist es, den Mitarbeiter mit in die Verantwortung zu nehmen.

Das kann dann z.B. so lauten: Verwenden Sie bitte nur externe Medien von vertrauenswürdigen Kontakten (z.B. Kunden, Geschäftspartner…). Scannen Sie das Medium vor der Verwendung auf Viren. (ggf. Link zur Anleitung, wie das funktioniert). Seien Sie besonders vorsichtig bei ausführbaren Dateien (z.B. .exe Endungen). Kontaktieren Sie im Zweifelsfall Ihre Führungskraft oder Ihre IT-Abteilung. Natürlich birgt ein solches organisatorisches Vorgehen ein größeres Risiko, als eine technische Lösung, die der Mitarbeiter gar nicht umgehen kann.

Das kann Ihnen auch kein Anwalt oder externer Dienstleister vorgeben. Beide können Ihnen Empfehlungen für eine Formulierung einer Richtlinie geben. Ob die Inhalte allerdings Ihrem Risikoniveau und Ihrem Sicherheitsstandard entsprechen, können und müssen nur Sie entscheiden.

Privatnutzung

Auch diese Entscheidung kann Ihnen niemand vorgeben. Man kann auch nicht pauschal über alle Unternehmen sagen, das Eine ist besser als das Andere. Es muss zu Ihrem Unternehmen und zu Ihrer Unternehmenskultur passen. Selbst wenn Sie private Nutzung generell befürworten, kann es doch sein, dass dies in Ihrem Unternehmen vielleicht gar nicht so sinnvoll ist.

Verbieten Sie die private Nutzung, müssen Sie auch kontrollieren, ob die Vorgaben eingehalten werden. Ansonsten sind Sie gleich beim Aspekt der „Duldung“. Erlauben Sie die private Nutzung, dann überlegen Sie sich gut, wie Sie die Punkte regeln, damit Ihnen die Anforderungen des Datenschutzes keinen Strich durch die Rechnung machen.

Mir gefällte es gut, wenn man darauf hinweist, dass das Unternehmen im begründeten Fall Zugriff auf die Geräte / E-Mails / Protokolle hat und damit eine Einsicht auf die Privatnutzung erlangen könnte. Wer das nicht möchte, sollte von einer privaten Nutzung absehen.

Hinweis auf technische Sicherheitsmaßnahmen

Bleiben Sie bei der Formulierung inhaltlich bei der IT-Sicherheitsrichtlinie. Machen Sie keine technische Anleitung daraus. Sie fragen sich, wie ich darauf komme? Das ist nicht unüblich.

Viele IT-Sicherheitsrichtlinien sind mehr als 10 Seiten lang, weil sich neben den Richtlinien und Regeln auch noch eine technische Dokumentation darin versteckt. Weisen Sie darauf hin, welche Passwortanforderungen es in Ihrem Unternehmen gibt. Auch wenn es technisch erzwungen wird und der Mitarbeiter das gar nicht ändern kann.

Trotzdem ist ein Hinweis auf den Standard sinnvoll. Nicht hineingehört – nach meinem Verständnis – eine detaillierte technische Anleitung, wie z.B. in Windows das Passwort geändert werden kann.

Solche technischen Anleitungen sollten Sie dringend separat dokumentieren. Dafür eignen sich Wikis sehr gut. In der Richtlinie verweisen Sie am besten kurz auf die Anleitung. Ziel: Die Richtlinie knackig und schlank halten!

Vorgaben für organisatorische Sicherheitsmaßnahmen

Bei den organisatorischen Sicherheitsmaßnahmen wird es natürlich interessanter. Die müssen Sie so gut es geht erläutern, um den oben erwähnten Missverständnissen vorzubeugen. Am besten klappt das, wenn Sie Ihren Vorschlag der IT-Sicherheitsrichtlinie an ein paar Key-User und Führungskräfte rausgeben und auf Praxistauglichkeit überprüfen lassen. Ein paar Beispiele aus der Praxis:

  • „Aktivieren Sie bei Abwesenheit (Krankheit, Urlaub…) Ihren Abwesenheitsagenten in den E-Mails.“ Da nicht jeder Mitarbeiter einen Laptop hat oder Onlinezugang, ist es gar nicht möglich, bei ungeplanter Abwesenheit den Abwesenheitsagenten zu aktivieren. Eine Umformulierung erleichtert vieles. „Aktivieren Sie bei geplanter Abwesenheit …. und informieren Sie Ihre Führungskraft bei Krankheit, Ihren Abwesenheitsagenten zu aktivieren.“ (Vergessen Sie nicht, dies vorher technisch abzuklären, dass die Vertretung oder die Führungskraft den Abwesenheitsagenten einschalten kann.)
  • „Sprechen Sie unbegleitete Personen am Firmengelände an, die keine Mitarbeiter sind.“ Damit dies möglich ist, müssen Sie vorher regeln, wie sich ein Mitarbeiter erkenntlich macht. Hat er einen Ausweis sichtbar zu tragen? Fördert das Unternehmen das Ansprechen von externen Personen? Dies ist meistens die häufigste Ursache, warum das nicht passiert. Kein Mitarbeiter will sich selbsts in eine Problemlage bringen, indem es vielleicht einen wichtigen Gast mit dieser Frage anspricht. Hier ist es wichtig, dass Sie das fördern und einfordern.

Muster für eine IT-Sicherheitsrichtlinie

Die perfekte Informationssicherheitsrichtlinie gibt es nicht, da sind wir uns hoffentlich einig. Trotzdem habe ich permanent meine Vorlagen dazu angepasst. Gerne stelle ich Ihnen diese Vorlage meiner Informationssicherheitsrichtlinie zur Verfügung. Die Abonnenten meines Newsletters erhalten dieses Muster mit Ihrer Begrüßungsmail. Hier können Sie sich zum Newsletter anmelden.

 

 

Wenn Sie sich nicht für unseren Newsletter anmelden möchten, dann schreiben Sie uns einfach eine kurze Mail an info@datenbeschuetzerin.de und wir schicken Ihnen die Vorlage entsprechend zu. Vergessen Sie nicht: Es ist nur eine Vorlage! Sie entscheiden, wie Ihr Sicherheitsniveau aussehen muss! Sie entscheiden, ob Sie die Inhalte anpassen oder übernehmen möchten! Und Sie entscheiden auch, ob Sie das Dokument noch mal von einem Anwalt prüfen lassen möchten!

Ihre Erfahrungen

Wie immer interessiert mich Ihre Erfahrung in der Praxis. Wie haben Sie das Thema Informationssicherheitsrichtlinie oder IT-Sicherheitsrichtlinie bisher gelebt? Schreiben Sie mir doch einen Kommentar dazu!

Facebook-Gewinnspiele - Was Sie als Veranstalter beachten sollten.

Facebook-Gewinnspiele – was Sie als Veranstalter zu beachten haben und woran Sie als Teilnehmer unseriöse Gewinnspiele erkennen

Wer kennt sie nicht, die zahlreichen angebotenen Facebook-Gewinnspiele von unterschiedlichen Veranstaltern und Unternehmen? „Teile dieses Bild, um am Gewinnspiel teilzunehmen“, „Verlinke in den Kommentaren einen Freund für die Teilnahme“ oder „Teile unsere Facebook-Seite, damit du am Gewinnspiel teilnehmen kannst“, sind Standardfloskeln.

Was davon ist erlaubt? Wie muss ein „richtiges“ Facebook-Gewinnspiel aussehen?

Auf diese und ähnliche Fragen möchte ich im heutigen Blogartikel gerne eingehen. Dabei werde ich für die Veranstalter auf die richtige Ausgestaltung der Facebook-Gewinnspiele vorstellen. Ebenfalls finden Sie als potentieller Teilnehmer eine „Checkliste“, damit Sie auch die „echten und richtigen“ Gewinnspiele von unseriösen unterscheiden können.

 

Facebook Gewinnspiele – so geht’s richtig!

Als Unternehmen möchte man seinen Kunden auch mal Danke sagen! Und wie geht dies am Besten? Durch ein Gewinnspiel. Doch was ist nun eigentlich erlaubt, was nicht?

Der einfachste Weg ist ein Blick in die „Facebook Promotions Guideline“ bzw. in die „Richtlinien für Gruppen, Seiten und Veranstaltungen“ zu werfen.

 

Facebook-Richtlinien

Punkt 3 der Facebook-Richtlinie besagt, dass die offiziellen Regeln von Facebook anerkannt werden, die Nutzungs- und Teilnahmebedingungen bekannt sein müssen und natürlich die festgelegten Bedingungen vom Veranstalter selbst eingehalten werden.

Des Weiteren ist es wichtig zu erwähnen, dass das Gewinnspiel in keiner Verbindung zu Facebook steht bzw. von Facebook gesponsert, unterstützt oder organisiert wurde.

Das Gewinnspiel darf auf einer Seite, in einer Gruppe, in Veranstaltungen oder in Apps auf Facebook durchgeführt werden. Es ist jedoch untersagt, dass die Teilnehmer aufgefordert werden, den Beitrag zu teilen und Freunde oder Personen zu markieren.

 

Gesetzliche Regelungen

Natürlich sind neben den Facebook-Richtlinien auch die gesetzlichen Regelungen zum Thema Gewinnspiel zu beachten. Dazu zählen vor allem die Teilnahmebedingungen, das Impressum und die Datenschutzhinweise.

Teilnahmebedingungen

Gemäß § 5 a Absatz 2 UWG ist der Gewinnspiel-Veranstalter dazu verpflichtet, wesentliche Informationen nicht vorzuenthalten. Als Vorenthalten ist im diesem Sinne, das Verheimlichen wesentlicher Informationen, die unklare, unverständliche oder zweideutige Bereitstellung von wesentlichen Informationen oder die nicht rechtzeitige Bereitstellung wesentlicher Informationen zu verstehen.

In den Teilnahmebedingungen sollten deshalb folgende Angaben gemacht werden:

  • Name des Veranstalters bzw. des Verantwortlichen
  • Die Teilnahmebedingungen an sich (z.B. Das Bild mit den meisten Likes gewinnt)
  • Beginn und Ende des Gewinnspiel
  • detaillierte Beschreibung des Gewinns und der Hinweis auf evtl. anfallende Zusatzkosten
  • Datum der Preisauslosung
  • Wie der Gewinner ermittelt wird (z.B. durch Zufallsgenerator oder einer Jury)
  • Wie der Gewinn selbst ausgegeben wird (z.B. durch Versand oder Abholung)
  • Freistellung von Facebook
  • Hinweis auf den Datenschutz
  • untersagte Teilnahmebedingungen (z.B. Beitrag teilen, Person verlinken)

Impressumspflicht

Wie bereits erwähnt, muss der Veranstalter bzw. der Verantwortliche bekannt sein. Die Impressumspflicht ist nach § 5 Telemediengesetz (TMG) einzuhalten. Facebook bietet die Möglichkeit, dass Impressum in die Seite mit einzubinden.

Datenschutz

Und zu guter Letzt ist natürlich die Bereitstellung der Datenschutzhinweise oder einer Datenschutzerklärung nicht zu vergessen. Für den Datenschutz ist von Bedeutung, ob das Gewinnspiel einen Werbecharakter aufweist oder nicht. Sollte das Gewinnspiel zu Werbezwecken dienen, ist eine ausdrückliche Einwilligung des Teilnehmers erforderlich.

Des Weiteren ist der Veranstalter seiner Informationspflicht nach Art. 13 DSGVO nachzukommen.

Zusatzhinweise

Es empfiehlt sich neben den bereits zu wahrenden gesetzlichen Vorgaben noch drei Zusatzhinweise bei den Teilnahmebedingungen zu einzubinden:

  1. Haftungsausschluss: Dieser ist insofern empfehlenswert, wenn die Facebook-Nutzer selbst bei einem Beitrag aktiv werden (z.B. durch Kommentierung des Beitrages) und dieser rechtswidrig genutzt wird (z.B. Beleidigungen oder falsche Tatsachenbehauptungen). Durch eine solche Klausel schließt der Verantwortliche die Haftung für etwaige rechtswidrige Verstöße aus.
  2. Änderungsvorbehalt: Gewinnspiele können sich schnell ändern (z.B. Facebook sperrt das Gewinnspiel unbegründet). Es ist ratsam, die Teilnehmer darauf hinzuweisen, dass das Gewinnspiel von der Ausgestaltung jederzeit geändert oder beendet werden kann (vor allem, wie in Punkt 1 angesprochen, sich sämtliche Teilnehmer rechtswidrig verhalten)
  3. Rechtsweg ausgeschlossen: Der übliche Passus, dass der Rechtsweg ausgeschlossen ist, ist nach dem Urteil des Landgerichts Hannover zulässig und empfehlenswert mit aufzunehmen.

Benachrichtigung des Gewinners

Nach erfolgreicher Durchführung des Gewinnspiels ist es nun Zeit den Gewinner zu ermitteln. Egal ob Sie diesen mittels eines Losverfahrens, Zufallsgenerators oder durch eine Jury bestimmen, der Gewinner möchte natürlich auch über sein Glück informiert werden. Aber wie führt man dies durch, um den Datenschutz einzuhalten?

Es ist aktuell noch unklar, welche Weise der Benachrichtigung an den Gewinner unter Einhaltung des Datenschutzes korrekt ist. Zu unterscheiden ist jedoch, ob das Gewinnspiel auch in Verbindung mit einem Werbezweck steht oder nicht. Üblicherweise werden die Gewinner meist auf zwei Arten benachrichtigt: entweder durch eine private Nachricht oder durch die Kommentierung seines Beitrags.

Streng genommen, bräuchte man für beide Versionen eine aktive Einwilligung des Teilnehmers. Insofern sind meines Erachtens beide Benachrichtigungsweisen in Ordnung, sofern das Gewinnspiel keinen Werbecharakter besitzt. Man kann davon ausgehen, dass eine sog. „konkludente“ Einwilligung der Nutzer vorliegt, sofern sie am Gewinnspiel teilnehmen und die Teilnahmebedingungen zur Kenntnis nehmen.

Zusammenfassung und Verlinkung der Teilnahmebedingungen

Durch die Bereitstellung der Teilnahmebedingungen, des Impressums und der Datenschutzhinweise kann das Facebook-Gewinnspiel durchgeführt werden. Jedoch ist die ausgeschriebene Version der vorgenannten Punkte sehr umfangreich und würde zur Unübersichtlichkeit und ggf. zu Verwirrungen im Facebook-Post führen.

Es ist ratsam, die Teilnahmebedingungen extern anzubieten z.B. auf der eigenen Webseite. Die Verlinkung der Teilnahmebedingungen darf im Facebook-Post jedoch nicht fehlen.

 

 

Checkliste für Veranstalter – so gestalten Sie ihre Facebook-Gewinnspiele richtig!

Gerne möchte ich Ihnen nochmals zusammengefasst eine Checkliste an die Hand geben, damit Sie Ihr Facebook-Gewinnspiel korrekt gestalten und ausführen. Sie können die Checkliste auch hier als PDF herunterladen.

Checkliste Facebook-Gewinnspiele

Hinweis: Diese Checkliste erhebt keinen Anspruch auf Vollständigkeit und führt nicht automatisch zur korrekten Ausführung und Ausgestaltung des Facebook-Gewinnspiels.

 

Formale / gesetzliche Bedingungen:

  • Ziel des Gewinnspiels (Danksagung an die Kunden, Neugewinnung von Kunden, Werbung)
    • diese Begründung dient dazu, ob eine ausdrückliche Einwilligung des Teilnehmers eingeholt werden muss
  • Teilnahmebedingungen festlegen
    • Die Teilnahmebedingungen an sich (z.B. Das Bild mit den meisten Likes gewinnt, Altersbegrenzung, etc.)
    • detaillierte Beschreibung des Gewinns und der Hinweis auf evtl. anfallende Zusatzkosten
    • Beginn und Ende des Gewinnspiel
    • Datum der Preisauslosung
    • Ermittlung des Gewinners  (z.B. durch Zufallsgenerator oder einer Jury)
    • Ausgabe des Gewinns (z.B. durch Versand oder Abholung)
    • Freistellung von Facebook
    • optional: Haftungsausschluss, Änderungsvorbehalt, Ausschluss des Rechtswegs
  • Impressumspflicht wahren
  • Datenschutzhinweise zur Verfügung stellen
  • ausdrückliche Einwilligung der Teilnehmer bei Werbezwecken

Ausgestaltung auf Facebook

Erlaubte Teilnahme durch

  • Liken des Beitrags
  • Kommentieren des Beitrags
  • Private Nachricht an den Seitenbetreiber
  • Bild oder Kommentar mit den meisten Likes gewinnt
  • Bilder/Nachrichten auf der Veranstalterseite posten

Nicht zulässig:

  • Beitrag teilen
  • Markierung bzw. Verlinkung einer Person auf einem Bild
  • Teilnehmer muss Unternehmen selbst oder den Beitrag selbst auf seiner Chronik posten

Der Fanpage Karma Blog hat dazu auch eine übersichtliche Infografik erstellt.

 

Facebook-Gewinnspiele - Was Sie als Veranstalter beachten sollten.

 

Teilnahme an Facebook-Gewinnspielen

Gerne möchte ich noch für die Teilnehmer eine kleine „Anleitung“ mitgeben, wie Sie unseriöse Gewinnspiele erkennen und aufdecken können.

Aus meiner persönlichen Erfahrung kann ich mitteilen, dass einige meiner Facebook-Kontakte an solchen Gewinnspielen mittels der Teilen-Funktion oder Verlinkung an einem solchen Gewinnspiel teilgenommen haben. Doch Vorsichtig ist geboten! Nicht alle Gewinnspiele sind „echt“ und auch nicht der Facebook-Richtlinie entsprechend korrekt gestaltet.

Facebook-Gewinnspiele – wie erkenne ich die „schwarzen Schafe“?

Kennen Sie ebenfalls Kontakte aus Ihrer Facebook-Liste, die willkürlich an unterschiedlichen Facebook-Gewinnspielen teilnehmen?

Ganz aktuell kursiert ein angebliches Gewinnspiel von „Rewe Markt Deutschland“ in Facebook umher, mit der Möglichkeit ein Auto zu gewinnen. Klingt doch erst mal super! Naja, nicht wirklich, wenn man sich die Bedingungen für die Teilnahme ansieht.

„Mimikama“ bzw. „Zuerst denken dann klicken (ZDDK)“ ist ein gemeinnütziger österreichischer Verein. Dieser hat sich auf die Aufklärung von sog. „Fake-Nachrichten“ spezialisiert und unter anderem auch auf  Fake-Gewinnspiele auf Facebook hinweist. Das vorgenannte Beispiel von „Rewe“ und wird zurecht von diesen als Fake-Gewinnspiel eingestuft.

Anhand des „Fake“ Rewe-Gewinnspiels zeige ich Ihnen, den Teilnehmern, worauf Sie achten sollten.

 

Illegales Facebook-Gewinnspiel von „Rewe-Deutschland“

Auf den ersten Blick sieht die Facebook-Seite von „Rewe-Deutschland“ seriös aus. Der zu verlosende Preis wird im Post angepriesen und die Fotos sind souverän und professionell. Teilnehmen kann mit einem Like, durch das Teilen des Post und der Kommentarfunktion.

Facebook-Gewinnspiel auf https://www.facebook.com/CampingfreundeDeutschland/
Facebook-Post https://www.facebook.com/CampingfreundeDeutschland/

Doch wie so oft steckt der Teufel im Detail! Wer ist denn nun genau der Veranstalter? Wo ist das Impressum? Welche Teilnahmebedingungen gelten? Wie wird der Datenschutz gewährt? Wie werden die Gewinner ermittelt bzw. benachrichtigt? Fragen, die sich jeder Teilnehmer stellen sollte, bevor er „blind“ am einem Gewinnspiel teilnimmt.

Der Verein Mimikama hat auf seiner Homepage bereits eine Liste der Fake-Gewinnspiele auf Facebook angelegt.

Doch was ist nun so schlimm an diesem Facebook-Gewinnspiel? Zum aktuellen Zeitpunkt haben die Seitenbetreiber zumindest das Profilbild der Seite geändert. Zuvor wurde das Firmenlogo von Rewe mit dem darauf eingefügten blauen Zertifizierungshaken verwendet. Auch die Namensgebung der Seite „Rewe-Deutschland“ erweckt für den Teilnehmer den Anschein, dass es sich direkt um ein Gewinnspiel von der bekannten Supermarkt-Kette „Rewe“ handelt. Des Weiteren sind keine Angaben zum Impressum, zum Datenschutz und den Teilnahmebedingungen gegeben.

 

Worauf soll ich nun bei der Teilnahme von Facebook-Gewinnspielen achten?

Sehen Sie sich die Facebook-Seite, vor der Teilnahme, einmal genauer an. Denn anhand der Facebook-Seite ist es bereits möglich, Fake-Gewinnspiele zu entdecken. Stellen Sie sich bei der Sichtung der Seite folgende Fragen:

  • Wer ist der Verantwortliche für den Inhalt? Ist das Impressum vorhanden?
  • Gibt es Hinweise zum Datenschutz?
  • Können Sie den Seitenbetreiber durch den Messenger kontaktieren?
  • Wie lange existiert die Seite schon?
  • Welche sonstigen Inhalte werden auf der Seite gepostet?
  • Werden bei bereits beendeten Gewinnspielen die Gewinner bekannt gegeben?

Was immer wieder auffällt, dass die Seitenbetreiber solcher unseriösen Facebook-Gewinnspiele die Seite erst vor kurzem angelegt haben oder die Seite mit Gewinnspielen nur so überfüllt ist. Des Weiteren sind das Impressum und die Teilnahmebedingungen meist nicht vorhanden, geschweige denn ein Hinweis zur Einhaltung des Datenschutzes. Im Gewinnspiel-Post selbst entfallen die benötigten Informationen ebenfalls.

 

Hinweis: Diese Checkliste erhebt keinen Anspruch auf Vollständigkeit und führt nicht automatisch zur korrekten Ausführung und Ausgestaltung des Facebook-Gewinnspiels. 

Checkliste für Facebook-Gewinnspiel Teilnehmer – so erkennen Sie die „schwarzen Schafe“

Für die Teilnehmer selbst möchte ich nochmals kurz zusammenfassen, anhand welcher Kriterien ein Gewinnspiel als sog. „Fake“ identifiziert werden kann:

  • Facebook-Seite besteht erst seit kurzem
  • Der blaue Zertifizierungshaken ist nicht gegeben (nicht zwingend notwendig, aber vor allem bei bekannten Firmen z.B. Rewe üblich)
  • Kein Hinweis auf Teilnahmebedingungen oder den Datenschutz
  • Kein Impressum vorhanden
  • Kontaktmöglichkeit zum Verantwortlichen besteht nicht

Besondere Vorsicht ist geboten, wenn ein Link innerhalb des Gewinnspiel Beitrages angepriesen wird und Sie als Teilnehmer dazu aufgefordert werden, auf diesen Link zu klicken und sich ggf. auch noch registrieren zu müssen, um am Gewinnspiel teilzunehmen (Achtung! ggf. Abofalle). Links zu den Teilnahmebedingungen und dem Datenschutz sind natürlich in Ordnung.

 

Zusammenfassung

Die sozialen Medien, besonders Facebook werden gerne als Marketing-Kanäle genutzt. Mit einem Gewinnspiel auf Facebook kann man nicht nur Aufmerksamkeit auf das Unternehmen ziehen sondern auch noch Stammkunden oder potentielle Kunden mit einem Produkt belohnen. Grundsätzlich ist die Veranstaltung von Gewinnspielen auch auf den sozialen Medien erlaubt, sofern die oben genannten Punkte des Veranstalters beachtet werden.

Ich wünsche Ihnen nun viel Erfolg Ihres Gewinnspiels und den Teilnehmer viel Glück bei der Teilnahme!

Gerne freue ich mich über weitere Anregungen oder Diskussionen in den Kommentaren.

 

Videoüberwachung DSGVO - Verwendung und Speicherdauer der Daten

Die DSGVO und Videoüberwachung – das Urteil des Bundesarbeitsgerichts zur Verwertung und Speicherdauer von Videoaufzeichnungen

Das Bundesarbeitsgericht (BAG) entschied mit dem Urteil vom 23.08.2018 nun, ob auch ältere gespeicherte Videoaufzeichnungen noch verwertbar sind.

Der Ausgangsfall

Der Betreiber eines Tabak- und Zeitschriftenhandels überwachte seine Geschäftsräume zum Zweck des Eigentumsschutzes. Im August 2016 wertete der Betreiber die Videoaufzeichnungen aus, nachdem ihm ein Fehlbestand bei den Tabakwaren auffiel. Es zeigte sich, dass im Februar 2016 die Angestellte an zwei Tagen die Einnahmen nicht in die Registrierkasse legte und somit kündigte der Betreiber das Arbeitsverhältnis fristlos, woraufhin die Angestellte klagte.

Wo liegt nun das Problem?

Es stellt sich die Frage, ob nach einem so langen Zeitraum die Videoaufzeichnungen überhaupt noch gespeichert werden dürfen bzw. als Beweis verwertet werden dürfen.

Das Urteil des BAG

In den Vorinstanzen erhielt die Angestellte recht, dass die Videoaufnahmen nach einem so langen Zeitraum nicht mehr als Beweis dienen. Das Landesarbeitsgericht ist der Auffassung, dass die Videoaufzeichnungen bereits vor dem 1. August gelöscht hätten werden müssen.

Das BAG ist da anderer Meinung: „Wenn es sich um eine rechtmäßige offene Videoüberwachung gehandelt habe, wäre die Verarbeitung und Nutzung der einschlägigen Bildsequenzen zulässig gewesen und hätte somit auch nicht die Persönlichkeitsrechte der Angestellten verletzt. Der Tabakladen Betreiber wäre auch nicht zur sofortigen Auswertung des Bildmaterials verpflichtet, sondern erst, wenn er einen Anlass dafür sieht.“

Jetzt kommt es darauf an, ob die Videoüberwachung rechtmäßig war, was von den Vorinstanzen geprüft werden muss.

Dieses Urteil bezieht sich zwar noch auf die alte Fassung des BDSG, wäre aber, sofern die Videoüberwachung offen und rechtmäßig ist, auch mit der DSGVO vereinbar laut BAG.

 

Ich möchte meine Geschäftsräume mit einer Videoüberwachung ausstatten – wie muss ich vorgehen, damit ich DSGVO-konform bin?

Seit Inkrafttreten der DSGVO herrscht unberechtigterweise eine Hysterie mit vielen Fehlinformationen. Was darf ich noch tun? Was ist noch erlaubt? Das Thema Videoüberwachung, vor allen in öffentlich zugänglichen Bereichen, wird immer wieder stark diskutiert.

Ich möchte Ihnen hier zusammengefasst aufzeigen, welche Gedanken Sie sich zum Thema Videoüberwachung machen müssen und was Sie generell als Entscheidungsgrundlage betrachten müssen.

Videoüberwachung DSGVO – konform

Auf die folgenden Punkte gehe ich im Anschluss noch etwas detaillierter ein.

  • Öffentlich zugänglicher Bereich oder nicht öffentlich zugänglicher Bereich
  • Grundsätze seitens der DSGVO bzw. BDSG – neu
  • Grund der Videoüberwachung und Alternativen
  • Gestaltung der Videoüberwachung
    • Technik
    • Bereiche
    • Zeitraum
  • Festlegung der Speicherdauer
  • Transparenz gegenüber betroffenen Personen
    • Arbeitnehmer
    • Kunden

HINWEIS: Es handelt sich hierbei um keine Rechtsberatung, sondern lediglich um eine grundsätzliche Information. Es muss immer der Einzelfall betrachtet werden, ob die Videoüberwachung DSGVO konform ist.

Gesetzliche Grundlage

Kurz zur Info: Das Thema der Videoüberwachung wird nicht explizit in der DSGVO behandelt, sondern wird in § 4 BDSG – neu aufgegriffen. Was bedeutete dies nun? Ihre Videoüberwachung muss dennoch DSGVO – konform gestaltet werden, aber unser Gesetzgeber hat dieses „Lücke“ in der DSGVO mit dem § 4 BDSG – neu geschlossen.

 

  1. Öffentlich zugänglicher Raum und nicht öffentlich zugänglicher Raum

Vorab müssen wir unterscheiden, ob Sie die Videokameras in einem öffentlich zugänglichen Bereich oder nicht öffentlichen zugänglichen Bereich anbringen möchten.

HINWEIS: Ein nicht öffentlicher Bereich liegt vor, sofern nur ein bestimmter Personenkreis Zutritt zu den Räumlichkeiten hat (z.B. Mitarbeiter zu den Büros, Mieter etc.)

Beispiele für nicht öffentlich zugängliche Bereiche

  • Büros
  • Produktionsbereiche
  • Private Wohnung
  • Treppenhäuser in Mietshäusern

Beispiele öffentlicher zugänglicher Raum

  • Geschäftsräume mit Publikumsverkehr (Standardfall)
  • Ämter / Behörden

Kritische bzw. verbotene Videoüberwachung in folgenden Bereichen

  • Treppenhäuser in Mietshäusern
  • Sozialräumen / Pausenräumen der Mitarbeiter
  • Umkleiden (in Geschäften / Freibädern etc.)
  • Toiletten
  • Gastronomie

Der Standardfall wird meistens bei der Überwachung der Geschäftsräume mit Publikumsverkehr sein.

 

  1. Grundsätze der DSGVO bzw. BDSG – neu

Bevor Sie überhaupt mit der Anbringung von Videokameras beginnen können, müssen jedoch ein paar wichtige Grundsätze beachtet werden, die leider nicht umgänglich ist:

  • Interessensabwägung gegenüber dem Betroffenen
  • (ggf.) Datenschutzfolgeabschätzung

Dies ist nur eine kleine Auswahl der wichtigsten Punkte bezüglich der Videoüberwachung. Eine Orientierungshilfe mit einer Checkliste des Düsseldorfers Kreis verlinke ich gerne. (Hinweis: diese Checkliste beschäftigt sich zwar mit den Fragen, führt aber nicht automatisch zur Zulässigkeit der Videoüberwachung und wurde noch nicht für das neue BDSG aktualisiert)

Interessensabwägung

Eine Interessenabwägung kann man sich wie eine Pro- und Kontra-Liste für beide Parteien vorstellen. Welches berechtigte Interesse hat der Inhaber, um eine Videoüberwachung zu begründen? Welche Argumente sprechen für eine Videoüberwachung und welche dagegen? Welche Gefährdungen ergeben sich für betroffene Personen? Welche gesetzlichen Vorschriften überwiegen?

Das Persönlichkeitsrecht nach Art. 2 Grundgesetz ist eines der höchsten und schutzwürdigsten Grundrechte, die es gibt.

 

Interessensabwägung zur Videoüberwachung (Beispiel)
Gründe Betroffener (wer wird aufgezeichnet?) Risiken Gesetzliche Grundlage
Eigentumsschutz Kunden

Mitarbeiter

Überwachung und Erkennung der Betroffenen

Verletzung des Persönlichkeitsrechts

Art. 2 GG

Art. 6 (1) lit. f, § 4 (1) Nr. 3 BDSG – neu

Vermeidung von Straftaten Kunden Mitarbeiter Überwachung und Erkennung der Betroffenen

Verletzung des Persönlichkeitsrechts

Art. 2 GG

Art. 6 (1) lit. f, § 4 (1) Nr. 3 BDSG – neu

 

Dies soll jetzt jedoch nicht bedeuten, dass die Videoüberwachung überhaupt nicht DSGVO-konform sein kann, da das Persönlichkeitsrecht des Betroffenen immer überwiegt. In der Praxis werden Videoüberwachungen zum Schutz des Eigentums oder zur Vermeidung von Straftaten eingesetzt und auch akzeptiert, wenn man sich an paar Spielregeln hält.

Datenschutzfolgeabschätzung

Zusätzlich zur Interessenabwägung muss eine Datenschutzfolgenabschätzung (DSFA) erfolgen, wenn ein hohes Risiko für die Rechte und Freiheiten von natürlichen Personen besteht und eine systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche stattfindet (Art. 35 Abs. 3 lit. c DSGVO).

Die Datenschutzkonferenz (DSK) hat eine Positivliste für Datenschutzfolgeabschätzungen veröffentlicht. Das heißt, in dieser Übersicht finden Sie Verfahren, die unbedingt einer Datenschutzfolgeabschätzung bedürfen. Videoüberwachung ist hier explizit nicht aufgelistet. Trotzdem sollten Sie das Thema beachten und eine DSFA vornehmen, wenn sich aus der Videoüberwachung hohe Risiken für den Betroffenen ergeben können.

Beispiele für hohe Risken

  • Diskriminierung,
  • Identitätsdiebstahl,
  • Profilerstellung durch Bewertung persönlicher Aspekte,
  • Rufschädigung,
  • v.m

Für weitere Informationen für die Risiken verlinke ich das Kurzpapier Nr. 18 der DSK: Die Datenschutzkonferenz (DSK) hat eine Positivliste für Datenschutzfolgeabschätzungen veröffentlicht

 

  1. Grund der Videoüberwachung und Alternativen

Zunächst müssen Sie sich die Frage stellen, warum Sie Ihre Geschäftsräume videoüberwachen wollen. Gibt es vielleicht Alternativen („mildere Mittel“) zur Videoüberwachung? Diese Begründung entscheidet darüber, ob die Videoüberwachung gegen die DSGVO verstößt.

In § 4 BDSG – neu gibt der Gesetzgeber bereits vor, wann die Videoüberwachung zulässig ist und zwar,

  • zur Aufgabenerfüllung öffentlicher Stellen (wobei dies in unserem Fall nicht zutrifft),
  • zur Wahrnehmung des Hausrechts oder
  • zur Wahrnehmung berechtigter Interessen für konkret festgelegte Zwecke

Beispiele für Alternativen zur Videoüberwachung

  • Alarmanlage
  • Ladendetektiv
  • Nachwächter
  • Wertvolle Gegenstände nach Ladenschluss im Tresor aufbewahren
  • Zutrittsberechtigungen einschränken und nur bestimmten Mitarbeitern gewähren

Natürlich ist abzuwägen, ob es organisatorisch und finanziell umsetzbar ist, dass weiteres Personal z.B. für den Schutz vor Straftaten eingestellt wird.

 

Beispiele für berechtigtes Interessen bei der Videoüberwachung

  • Vermeidung von Straftaten (Einbruch, Diebstahl)
  • Eigentumsschutz
  • Schutz von Leben und Gesundheit

Ziemlich wahrscheinlich wollen Sie vermeiden, dass Straftaten begangen werden. Sie möchten Ihr Eigentum schützen. Sollte dennoch der Fall z.B. eines Diebstahls oder Einbruches eintreten, wäre es wünschenswert einen Videobeweis vorlegen zu können.

 

  1. Gestaltung der Videoüberwachung

Sie sollten sich bereits bei der Anschaffung von Videokameras Gedanken um den Datenschutz machen und auf einen „eingebauten Datenschutz“ (Privacy by design) bachten.

Beispiele für den eingebauten Datenschutz

  • Keine Schwenkfunktion
  • Keine Tonaufnahme! (wird strafrechtlich verfolgt)
  • Keine automatische Gesichtserkennung
  • Keine Zoomfunktion

Des Weitern ist auch zu klären, in welchen Bereichen die Überwachung stattfinden soll und in welchem Zeitraum.

Beispiele für Überwachungsbereiche

  • Eingangsbereich
  • Geschäftsraum
  • Parkplatz, welcher zum Grundstück gehört

ACHTUNG! Überwachungen der öffentlichen Straße, Mitarbeiterräumen bzw. Sozialräumen und im Gastronomiebereich sind sehr kritisch!

In Österreich wurde im September 2018 die erste DSGVO-Strafe gegen einen Lokalbetreiber verhängt. Dieser überwachte unerlaubt mit seiner Videokamera einen großflächigen Teil des öffentlichen Gehweges und wurde nun mit einer Strafe in Höhe von 4.800,00 € belangt.

Machen Sie sich Gedanken über den Zeitraum der Videoüberwachung. Würde es beispielsweise ausreichen, die Videoüberwachung nur nach Ladenschluss zu aktivieren? Häufig werden die Geschäftsräume auch zu den üblichen Öffnungszeiten überwacht, was wahrscheinlich gar nicht nötig wäre.

 

  1. Festlegung der Speicherdauer

Hier gibt es nun unterschiedliche Ansichten. Die Empfehlung der Aufsichtsbehörde beläuft sich auf eine Speicherdauer von 72 Stunden. Das Oberverwaltungsgericht Lüneburg entschied, dass auch eine Speicherdauer von 10 Tagen zulässig ist.

Hier komme ich wieder auf das Urteil des BAG zurück. Das BAG ist der Auffassung, dass es erst bei einem Anlass zur Auswertung kommen muss. Dies würde eine weitaus längere Speicherdauer ermöglichen. Allerdings gilt trotzdem der Grundsatz der Datensparsamkeit und der Zweckbindung. Sofern der Zweck wegfällt, ist auch die Aufbewahrung des Videomaterials zu löschen.

Meiner Meinung nach ist daher schwierig zu sagen, welche Speicherdauer nun konkret festgelegt werden soll. Es kommt immer auf den Einzelfall an und wie die Sichtung sich organisatorisch im Geschäftsalltag einbinden lässt.

Beispiel:

Sie überwachen Ihre Geschäftsräume, um Straftaten vorzubeugen. Sollte innerhalb des festgelegten Zeitraums keine Straftat erfolgen, sind Sie verpflichtet das Videomaterial zu löschen.Im Falle einer Straftat, darf das Videomaterial natürlich länger aufbewahrt werden, da dies zu Beweiszwecken dient.

 

  1. Transparenz gegenüber den Betroffenen

Wichtig ist, dass die betroffenen Personen, seien es Arbeitnehmer oder die Kunden, nicht in ihrem Persönlichkeitsrecht verletzt werden. Es ist eigentlich unvermeidbar, dass bei Kundenverkehr auch die Mitarbeiter mit überwacht werden.

Wie ist die Handhabung?

Mitarbeiter:

Eine verdeckte Überwachung der Mitarbeiter verstößt gegen das Persönlichkeitsrecht und ist nur in ganz speziellen Fällen zulässig. Dies entschied das BAG bereits imJahr 2012. Problematisch könnte auch sein, wenn meistens die gleichen Arbeitnehmer überwacht werden. Durch die bereits erfolgte Interessenabwägung und die Zweckbindung, stellt die Aufzeichnung der Mitarbeiter eine Nebenfolge dar, die das Interesse des Arbeitgebers überwiegen lässt z.B. zum Schutz des Eigentums und Vermeidung von Straftaten. Die Informationspflicht ist einzuhalten, sofern auf dem Videomaterial die darauf aufgezeichnete Person zugeordnet werden kann.

Kunde:

Beim Kunden ist es ähnlich wie bei den Mitarbeitern. Der Kunde darf nicht in seinen Persönlichkeitsrechten verletzt werden. Der Kunde muss auf jeden Fall darauf hingewiesen werden, dass die Räumlichkeiten videoüberwacht und muss persönlich informiert werden, sofern die Personen zugeordnet werden kann.

Hinweisschilder:

Es gibt unterschiedliche Ausführungen von Hinweisschildern. Aus Ihrer Verantwortlichkeit heraus, ergibt sich, wie bereits erwähnt, die Hinweis- und Transparenzpflicht.

Welche Mindestanforderungen eine solches Hinweisschild haben sollte, fasst die DSK in ihrem Kurzpapier Nr. 15 in folgenden Punkten zusammen:

  • Umstand der Beobachtung – Piktogramm, Kamerasymbol.
  • Identität des für die Videoüberwachung Verantwortlichen – Name einschl. Kontaktdaten (Art. 13 Abs. 1 lit. a DS-GVO)
  • Kontaktdaten des betrieblichen Daten-schutzbeauftragten – soweit benannt, dann aber zwingend (Art. 13 Abs. 1 lit. b DS-GVO).
  • Verarbeitungszwecke und Rechtsgrundlage in Schlagworten (Art. 13 Abs. 1 lit. c DS-GVO).
  • Angabe des berechtigten Interesses – soweit die Verarbeitung auf Art. 6 Abs. 1 S. 1 lit. f DS-GVO beruht (Art. 13 Abs. 1 lit. d DS-GVO).
  • Dauer der Speicherung (Art. 13 Abs. 2 lit. a DS-GVO).
  • Hinweis auf Zugang zu den weiteren Pflichtinformationen gem. Art. 13 Abs. 1 und 2 DS-GVO (wie Auskunftsrecht, Beschwerderecht, ggf. Empfänger der Daten).

Beispiel für ein Hinweisschild

Quelle: https://www.datenschutz-praxis.de/wp-content/uploads/2018/04/Anlage1_Hinweisschild-final.pdf?key=c8bc4633b87d4203f6fb793ae72e814a

Die Abbildung zeigt, wie ein DSGVO-Hinweisschild für die Videoüberwachung korrekterweise aussehen müsste, damit Sie Ihrer Informationspflicht nach Art. 13 DSGVO gerecht werden.

 

Zusammenfassung

Abschließend fasse ich nochmal alle Punkte zusammenfassen. Für die Vorgehensweise bei einer Planung für eine DSGVO-konforme Videoüberwachung ist folgendes zu beachten:

  1. Alternativen suchen und ggf. diese zuvor umsetzen
  2. Interessenabwägung und anschließender Folgeabschätzung vornehmen
  3. Aufnahme in das Verfahrensverzeichnis und in den Informationspflichten mit angeben
  4. Technische und organisatorische Maßnahmen zum Schutz der Betroffenen definieren und umsetzen
  5. Speicherdauer festlegen und bei Zweckerreichung das Bildmaterial löschen
  6. Hinweisschilder anbringen z.B. im Eingangsbereich

 

Fazit

Zum aktuellen Zeitpunkt ist meines Erachtens die Videoüberwachung vereinbar mit der DSGVO, sofern einzelne Punkte beachtet und eingehalten werden. Über Fragen und eine Diskussion freue mich mich in den Kommentaren zum Artikel.

 

Weiterführende Links und Informationen:

 

 

 

Quelle Titelbild: Pixabay

DSGVO Abmahnungen - Übersicht und Linkliste

Gerade ist der 25.5.2018 vorbei und wie befürchtet flattern die ersten DSGVO Abmahnungen in den Briefkasten. Leider werden es täglich mehr.

Ich versuche noch irgendwie den Überblick zu behalten, um was es geht und welche Themen abgemahnt werden. Mir kommt das ganze allerdings vor wie ein Schneeballsystem. Einmal losgetreten nimmt es Ausmaße an, die ein Einzelner nicht mehr überblicken kann.

Aus diesem Grund hoffe ich mit diesem Beitrag sehr auf die Hilfe meiner treuen Leser. Lassen Sie uns zusammen einen Überblick schaffen, welche Abmahnungen gerade ihren Weg in die Briefkästen finden und natürlich, wie man sich davor schützen kann (wenn man als Glücklicher davon noch nicht betroffen ist).

Die Übersicht stellt keine Wertung und natürlich keine Rechtsberatung dar. 

 

DSGVO Abmahnungen

Ob eine DSGVO Abmahnung zulässig ist, ist rechtlich offen.

Es heißt (Artikel 77-84 DSGVO), aufgrund der DSGVO eine Abmahnung zu erstellen, würde bei Erfolg in die Kasse der Behörden gehen. Das heißt, der Abmahnanwalt selber hätte wenig davon. Aus diesem Grund berufen sich die Anwälte wahrscheinlich  auf ein anderes Gesetz, zum Beispiel auf das UWG (unlauterer Wettbewerb). Man könnte sich ja einen Wettbewerbsvorteil verschaffen, wenn ich meine Datenschutzerklärung etwas „beschönige“ 🙂
Interessant ist, das laut einem Heise Online Bericht noch nicht geklärt ist, ob Unternehmen ihre Wettbewerber aufgrund eines Datenschutzverstoßes aus wettbewerbsrechtlichen Gründen abmahnen dürfen. Hoffen wir mal in unser aller Interesse, dass dem nicht so sein wird und die Abmahnungen nicht erfolgreich sein werden.

Alle Formulierungen, auch von Seiten der Anwälte sind zu diesem Thema ein Fragezeichen. Sind die Abmahnungen zulässig? Werden Sie erfolgreich sein? Darf man auf die DSGVO abmahnen? Darf man einen Verstoß auf ein anderes Gesetz ableiten? Nicht mal die Rechtsanwälte können diese Fragen sicher beantworten. Entscheiden werden das die Gerichte!

 

Die Urteile zu den DSGVO Abmahnungen

Sobald Urteile zu den Abmahnungen vorliegen werde ich die natürlich in der Übersicht ergänzen!

 

Übersicht aktuelle DSGVO Abmahnungen

Stand 01.06.2018

Thema und LinkErläuterungWie können Sie das vermeiden?
Fehlerhafte / unvollständige Datenschutzerklärung
30.05.2018 auf Heise.de
Der Einsatz von Google Analytics und Verwendung von Cookies ohne entsprechende Informationen in der Datenschutzerklärung.Geben Sie Ihren Webseitenbesuchern die Möglichkeit eines Opt-In's oder Opt-out's bei der Verwendung von Cookies (je nach Inhalt) und erläutern Sie die Verwendung in der Datenschutzerklärung Ihrer Webseite. Bei Google Analytics unbedingt die IP-Anonymisierung umsetzen.
ggf. Anbahnung einer Abmahnung mit dem Thema "Datenschutzrechtliche Auskunft nach DSGVO"
01.06.2018 als Post in der FB Gruppe und als E-mail von meinem Datenschutz Kollegen, der über eine Seminarteilnehmerin selbigen Fall hat.
Ein Herr schreibt vermehrt Webseitenbetreiber an und möchte Auskunft über die von ihm gespeicherten Daten zum Tag X mit seiner IP-Adresse, die er zu diesem Zeitpunkt (angeblich?) hatte.
Gefahr sehe ich (auch in Rücksprache mit einem Fachkollegen) in der falschen Antwort auf dieses Schreiben.
1. Welche Informationen dürfen überhaupt vorhanden sein
2. reicht die Angabe der IP-Adresse in der E-mail aus zum Identifizieren (woher weiß man, dass dies stimmt und wenn ja, woher weiß man, dass nicht die Frau oder ein Kollege zu dem Zeitpunkt auch mit der IP-Adresse im Internet unterwegs war)?
3. Wenn es um IP-Adressen geht, wie lange dürfen die überhaupt gespeichert werden? Darf man diese nach X Tagen überhaupt noch haben?
.....
Schwierig das zu vermeiden. Seien Sie aber sehr vorsichtig, wenn Sie auf dieses Schreiben antworten. Holen Sie sich auf jeden Fall einen fachlichen Rat, bevor Sie antworten.
Verwendung von Google Fonts
01.06.2018
RA Solmecke
Einbindung von Google Fonts und dadurch Übermittlung der IP-Adresse an Google ohne vorherige Zustimmung des Users, ob dies gewollt ist.
Laut einem anderen Bericht der Kanzlei Hechler ist diese Abmahnung aber gar nicht zulässig, da die Kanzlei von der genannten Firma keinen Auftrag hatte.
Und hier noch mal ein Link, der auch auf die dubiose Abmahnung verweist.
Google Fonts lokal installieren oder nicht verwenden - oder mit einem Risiko verfolgen, wie das Urteil hier aussehen wird.

 

Aktuelle Abmahnschreiben

Wie schon oben angekündigt sehe ich diesen Blogbeitrag nicht als mein Werk, sondern als ein Gemeinschaftsprojekt, welches uns allen zu Gute kommt. So können wir uns auch nachträglich noch ausrichten, falls irgendwer auf seiner Webseite oder anderweitig (wer weiß, was noch alles kommt) eine Lücke hat, gegen die gerade ein Abmahnschreiben an andere rausgegangen ist.

Hinweis in den Kommentaren

Ich bin über jeden Hinweis im Kommentar dankbar und nehme ihn gerne mit in die Liste auf (bitte immer mit Link zur Quelle oder einem Anhang als Nachweis). Wenn sogar PDFs oder JPGs als Nachweise dabei sind, dann bitte gerne auch per E-mail an mich. Aber bitte nur, wenn Sie auch die Freigabe haben, dass die Datei veröffentlicht werden darf (nicht dass wir hier einen Datenschutzverstoß begehen).

Q&A Datenschutz FAQ DSGVO

Vielen herzlichen Dank für Ihre vielen, vielen Fragen. Ich bin ganz überwältigt von dem Rücklauf. Falls Sie Ihre Frage nicht eins zu eins im Text wieder finden, kann es sein, dass eine ähnliche Frage bereits formuliert wurde.

Der obligatorische Hinweis: Die Antworten stellen meine Einschätzung und Sicht der Dinge dar. Das kann keine Rechtsberatung darstellen!

 

DSGVO Datenschutz FAQ’s – Verfahrensverzeichnis

Verfahrensverzeichnis oder Verarbeitungsverzeichnis – was ist der Unterschied?

Laut Artikel 30 der DSGVO heißt es „Verzeichnis von Verarbeitungstätigkeiten“. Verfahrensverzeichnis oder Verarbeitungsverzeichnis sind einfach in der Praxis die beiden am häufigsten verwendeten Namen dazu.

 

Wird das Verfahrensverzeichnis einmalig erstellt mit allen nötigen Infos oder muss es laufend mit aktuellen Inhalten aktualisiert werden?

Genau, das Verfahrensverzeichnis wird einmalig erstellt und beschreibt jede Verarbeitung von personenbezogenen Daten ganz allgemein. Hier tauchen keine Namen von Kunden auf und auch keine direkten E-mail Adressen zum Beispiel.

Im Sinne des Datenschutzmanagements muss das Verzeichnis allerdings regelmäßig auf geprüft werden, ob es noch den Anforderungen entspricht und die Inhalte passen.

 

Benötige ich als Einzelunternehmer ohne Mitarbeiter ein Verabeitungsverzeichnis? Ich hatte gelesen, dass es erst ab 250 Mitarbeitern nötig ist.

Das stimmt, allerdings wird das schnell wieder relativiert mit folgendem Satz in Artikel 30 DSGVO: „..die Verarbeitung erfolgt nicht nur gelegentlich oder es erfolgt eine Verarbeitung besonderer Datenkategorien….“
In der Regel werden Sie, wenn Sie personenbezogene Daten verarbeiten, diese nicht nur gelegentlich verarbeiten, sondern regelmäßig und daher fällt diese Ausnahme meinem Verständnis nach für die meisten nicht relevant.

 

Was genau sollte in einem Verarbeitungsverzeichnis stehen?

Dazu habe ich zwei Blogartikel, die Ihnen hier weiter helfen. Zum einen ein Muster in Excel zum Download und zum Anderen eine Übersicht mit möglichen Verfahren für ein Verzeichnis.

 

Werden im Verfahrensverzeichnis alle Handlungen dokumentiert, bei denen Daten im Spiel sind, z.B. Anfrage per E-mail, Versand DHL, Kontocheck Geldeingang…?

Genau, Sie müssen diese Verfahren beschreiben, wenn hier personenbezogene Daten im Spiel sind. Aber beschreiben Sie sie, wie schon oben erwähnt, allgemein. Schreiben sie nicht, dass Sie am 19.3. die Daten von Herrn Müller an DHL übermittelt haben. Schreiben Sie einfach,

  • Datenübermittlung an DHL zum Versand der Waren
  • Prüfen des Geldeingangs zum Abgleich der Rechnungen

Erfassen Sie keine personenbezogenen Daten im Verfahrensverzeichnis, sondern nur die Kategorien.

 

Müssen WordPress Plugins ins Verarbeitungsverzeichnis?

Hier gibt es kein richtig oder falsch. Meine Empfehlung ist, die Plugins im VVZ zu nennen, wenn es eine eigene Verarbeitung für Ihr Unternehmen darstellt. Google Maps oder Google Fonts wären für mich kein eigenes Verfahren. Das Verfahren ist die Webseite und da sind diese Plugins ein Mittel, um die Webseite anschaulich darzustellen, daher würde ich sie höchstenfalls bei diesem Verfahren erwähnen. In der Datenschutzerklärung müssen Sie natürlich angegeben werden.
Bei Plugins, die ein eigenes Verfahren darstellen, würde ich sie schon nennen. Zum Beispiel das Plugin digistore, mit dem ich einen Mitgliederbereich realisiere. Der Mitgliederbereich ist ja das Verfahren und das kann ich realisieren mit einem spezifischen Plugin.

 

Muss das Verfahrensverzeichnis in Excel erstellt werden?

Nein, für die Formatierung bzw. die Umsetzung gibt es keine Vorgaben. Es kann mit Standard-Office Tools umgesetzt werden oder mit spezieller Software für ein Verfahrensverzeichnis.
Wir haben einiges ausprobiert und sind jetzt bzw. immer noch bei Excel. Es gibt gute Tools, aber jedes Tool hat seine Eigenheiten und natürlich damit auch seine eigene Interpretation der Umsetzung. Leider sind auch die Kosten für die Tools selten zu vernachlässigen.
Die Flexibilität mit Excel, die es ermöglicht, unser Verständnis des Datenschutzmanagements abzubilden, habe ich bisher noch in keinem Tool gefunden. Trotzdem, ich bin weiterhin mit offenen Augen dabei, mir verschiedene Softwareprodukte anzusehen, die vielleicht doch mal das Excel File ablösen könnten.

 

DSGVO Datenschutz FAQ’s – Kommunikation

Viele Nutzer sind unsicher wegen ihrer Mail Adresse. Wie sieht es mit der Datenverträglichkeit von Anbietern wie gmx, web.de aus?

[Update 01-06.2018] Das Bay. Landesamt für Datenschutz hat sich dazu geäussert, dass reine E-mail Provider keine Auftragsverarbeiter sind. Eine Stellungnahme auf der Webseite dazu wollen sie noch veröffentlichen.
Sobald allerdings zu der E-mail noch weitere Dienste angeboten werden, ist es ziemlich wahrscheinlich doch wieder eine Auftragsverarbeitung.

 

DSGVO Datenschutz FAQ’s – Geschäftspartner

Ich habe Handelspartner, die Tee von mir beziehen, was muss ich mit ihnen tun ?

Ich kenne den genauen Ablauf nicht. Aber ich nehme an, der Handelspartner liefert Ihnen rein Ware und hat keine Daten von Ihren Kunden. Daher wäre aus meiner Sicht dieser Handelspartner nicht DSGVO relevant.

 

Kann ein Auftragsverarbeiter eine Privatperson sein?

Ich würde mal sagen nein, da Sie ja mit ihm einen Dienstleister haben und damit ist er ja automatisch ein Geschäftspartner und ein Unternehmer.

 

Wir sind Webhoster. Müssen wir den ersten Schritt tun und den Kunden auf die AVV hinweisen, bzw. ihn auffordern?

Letztendlich ist es im Interesse des Auftraggebers, Sie als Auftragnehmer zu „verpflichten“. Sie können ja als Service Ihre Kunden anschreiben und Ihnen das Angebot machen, den AVV abzuschließen.

 

Und was tun wir, wenn der Kunde sich – wie es in der ausserbrüsseler Praxisnähe der Fall ist –  einfach nicht meldet ? Müssen wir dann ihm kündigen oder ?

Wie gesagt, es liegt in erster Linie am Auftraggeber. Ich finde gut, wenn Sie es, wie gerade erwähnt, den Kunden aktiv anbieten. Das können Sie dann im Falle einer Prüfung ja auch nachweisen. Zudem könnten Sie auch regelmäßig (jährlich?) noch mal dran erinnern. Kündigen würde ich nach aktuellem Wissenstand nicht.

 

Wenn ich als Webdesigner mit meinem Kunden einen AVV abgeschlossen habe, muss ich dann nochmal von jedem Kunden eine Einwilligungserklärung unterschreiben lassen beim Beginn eines Projekts?

Hier werden zwei Dinge vermischt. Beim Vertrag zur Auftragsverarbeitung sichert der Dienstleister zu, dass er mit den Daten sicher umgeht (mal ganz grob zusammen gefasst, im Detail steckt natürlich noch mehr drin).

Bei der Einwilligung geht es darum, dass jemand zustimmt, dass seine Daten für etwas verwendet werden, was unter gängigen Voraussetzungen sonst nicht erlaubt wäre. Das heißt, es gibt keinen Vertrag oder ein Gesetz, welches regelt, dass meine Daten von Ihnen verarbeitet werden dürfen. Nur dann brauchen Sie eine explizite Einwilligung. Ihre Kunden stehen ja mit Ihnen im Vertragsverhältnis. Das regelt ja die Verarbeitung der Daten. Sie brauchen also keine Einwilligung – ganz unabhängig des AVV’s.

 

Müssen alle AVVs in der der Datenschutzerklärung erwähnt werden? Muss dort erwähnt werden, wo die Webseite gehostet wird und welcher E-mail Provider genutzt wird?

Was in der DSE stehen muss, regelt Artikel 13 der DSGVO – also die Informationspflicht. Sie müssen u.a. angeben, an wen sie die Daten weiter geben. Ich würde nicht alle Auftragsverarbeiter so sehen, dass die Daten dahin aktiv weiter gegeben werden.
Sie machen aber auf jeden Fall nichts falsch, wenn Sie den Provider immer angeben.

 

DSGVO Datenschutz FAQ’s – Online Dienstleister

Was ist im Umgang mit Digistore24.com zu beachten. Ich habe z.B. einen Button mit „Bestellen“ auf meiner Homepage. Nach Klick auf diesen Button gelangt mein Kunde zu Digistore24 und kann dort dann seine Adresse eingeben, die Zahlungsart auswählen und bestellen. Muss ich hinsichtlich der DSGVO etwas auf meiner Seite beachten?

digistore sollte in der Datenschutzerklärung erwähnt werden. Also dass die Zahlungsabwicklung über digistore erfolgt und die Rechtmäßigkeit auf Artikel 6 (1) lit. b Vertrag basiert. Da digistore nach eigener Aussage kein Auftragsverarbeiter ist, sondern „nur“ Zahlungsdienstleister, braucht man keinen Auftragsverarbeitungsvertrag.

 

Ich habe einen Onlineshop bei Dawanda und speichere bei mir keine Daten. Allerdings verarbeite ich die Daten, indem ich eine Rechnung erstelle und für den Versand übermittle ich die Daten an DHL (Onlinefrankierung über dhl.de) oder an die Deutsche Post.

Ich bin mir nicht sicher, ob ich den Versand erläutern muss oder entfällt, da die Daten nicht über eine Versandsoftware (wie z.B. DHL-Easylog) übertragen werden.
Wie gebe ich an, dass ich die Rechnungen manuell erstelle und am PC speichere und dann über eine Online-Buchhaltungssoftware (buchhaltungmuehelos.de) erfasse.
In der Informationspflicht zum Datenschutz bzw. der Datenschutzerklärung muss das auf jeden Fall angegeben werden, dass die Daten zur Abwicklung des Versand an die Versanddienstleister übertragen werden. Ebenfalls sollte angegeben werden, dass die Daten zur Rechnungsstellung verwendet werden und dann durch die Online-Buchhaltungssoftware zum Dienstleister übertragen werden. Rechtsgrundlage muss angegeben werden. Diese wäre dann in Ihrem Fall Art. 6 (1) lit. b – Vertragsabwicklung, welche diese Verarbeitung der Versanddienstleister gestattet. Bei der Online Buchhaltungssoftware wäre es Art. 6 (1) lit. c und f.

Muss ich als Webdesignerin, die die Homepage bei einem Provider für Kunden einrichtet (Backend: Anmeldung, Emaileinrichtung-weiterleitung etc. ftp.) mit und ohne Kontaktformular einen AV-Vertrag mit der Kundin haben oder sogar mit Provider (da ich ja in dem Moment die Zugangdaten habe zum backend: Verwaltung).

Wenn es nur rein um die Einrichtung geht, würde ich einen AVV als nicht zwingend sehen. Wenn Sie aber die Webseite auch fortlaufend betreuen, wäre ein AVV schon anzuraten.

 

Die Server Logs des Hosters, Server-Logs, auf die ich zugreifen könnte – sind deaktiviert, Statistiken – ab 28.05 komplett anonymisiert. Wenn die Logfiles ungekürzte IP’s enthalten, brauche ich da einen  AV-Vertrag, Wenn 1. gekürzte IP’s enthält – dann auch?

Einen AVV beim Hoster würde ich nicht in Frage stellen. Ich würde immer empfehlen, einen abzuschließen.

 

Wenn eine Newsletteranmeldung zusätzlich auf der Homepage ist, muss der Kunde mit z.B. cleverReach einen AV abschließen, und ich?

Der Vertrag muss direkt von Ihrem Kunden mit dem Provider geschlossen werden. Sie sind ja auch Dienstleister für den Kunden und haben in diesem Zusammenhang kein direktes Vertragsverhältnis mit dem Provider. Sie brauchen wiederum auch einen AVV mit Ihrem Kunden.

Thema Google Analytics WIE komme ich an den AVV ich finde nichts, habe irgendwie auf der Analytics Seite irgendwelchen Zusatzvereinbarungen zugestimmt, aber wie komme ich an einen Vertrag?

Speziell bei Google Analytics kann man den Vertrag über das Konto herunterladen. Unter Verwaltung => Kontoeinstellung => Zusatz zur Datenverarbeitung kann man den Vertrag bestätigen.

 

Ist mit WordPress.org einen AV-Vertrag zu schliessen?

Mit wordpress.org brauchen Sie keinen AVV, aber mit wordpress.com, falls Sie die Seite darüber betreiben.

 

Ist mit dem Theme-Anbieter, bei mir OptimizePress ein AV-Vertrag zu schliessen?

So wie ich OptimizePress kenne, installieren Sie alles lokal bei Ihnen auf dem Server im CMS. Es werden dadurch keine Daten beim Hersteller gespeichert. In diesem Fall brauchen Sie keinen AVV mit OptimizePress. Sollte es allerdings zusätzliche Funktionen geben, die eine Verarbeitung der Daten durch OptimizePress bedingen, benötigen Sie einen AVV.

 

Sind AV-Verträge zu machen mit Pluginherstellern?

Eigentlich ist das dieselbe Antwort, wie bei der vorherigen Frage. Das kommt immer auf das Plugin an. Arbeitet das Plugin rein lokal und schickt keine Daten an den Pluginhersteller und verarbeitet sie dort, dann brauchen Sie auch keinen AVV, andernfalls schon. Prüfen Sie die Plugins also immer vorher, wie sie arbeiten. Dann können Sie auch bewusst entscheiden, ob Sie das überhaupt möchten, dass Daten beim Pluginhersteller verarbeitet werden.

 

DSGVO Datenschutz FAQ’s – Social Media

Was mache ich mit Facebook, was ist zu tun ? ggf. gehe ich raus.

Wir müssen unterscheiden zwischen Ihrem privaten Profil und der Business Page. Ihr privates Profil hat aus Sicht der DSGVO für Sie als Unternehmer erst mal keine Pflichten.

Die Unternehmensseite benötigt eine Datenschutzerklärung und ein Impressum. Die große Unbekannte ist momentan die Gerichtsentscheidung, wer für die Daten auf der Unternehmensseite verantwortlich ist. Ist es Facebook oder der Unternehmer. Nach dieser Entscheidung des Gerichts wird sich hier sicherlich noch einiges tun.

Ich würde Ihnen trotzdem empfehlen die FB Unternehmensseite in Ihrer Datenschutzerklärung zu erwähnen.

 

DSGVO Datenschutz FAQ’s – Webseite

Was ist mit meiner Website ?

Die sollte DSGVO konform sein – aber schauen wir uns doch die Details in den nächsten Fragen an.

 

Muß der Menüpunkt „Datenschutz“ sofort sichtbar sein, wenn die Website aufgerufen wird, oder reicht bei einer (langen) One-Page-Seite, die Platzierung im Footer, also ganz zum Schluß?

Es reicht auch zum Schluss im Footer. Wichtig ist, das die DSE mit einem Klick erreichbar ist.

 

Ist es ausreichend, den  Menüpunkt „Datenschutz“ unter dem Menüpunkt „Kontakt“ zu setzen? Wobei „Kontakt“ bei Aufruf der Seite sofort sichtbar ist, und „Datenschutz“ erst per Darüberfahren (nicht Klick) mit der Maus.

Ich würde sagen, dass ist grenzwertig. Abschließend beurteilen kann ich das leider nicht. Ich würde es aber nicht empfehlen.

 

Müssen alle Third-party requests von einer Seite für die DSGVO-konformität entfernt werden? Das ist zum Teil gar nicht möglich.

Nein, darum geht es auch gar nicht. Die 3rd party requests müssen nur DSGVO konform sein. Das heißt, es dürfen keine Daten übertragen werden, für die keine Rechtsgrundlage existiert bzw. die 3. Partei die Daten nicht sicher verarbeitet. Dass alles seine Richtigkeit hat, muss dann in der DSE erläutert werden.

 

Gibt es eine Vorgabe für WordPress-Plugins?

Was ist mit Plug-ins der Website? Zum Beispiel ein Backend Plugin oder die Cloud, wo die Backends gespeichert werden?

Sie müssen DSGVO konform sein 🙂 Das ist eine sehr allgemeine Frage. Wichtiger als das Plugin allein finde ich den Einsatzzweck und die Konfiguration. Ich würde nicht verallgemeinern, ob ein Plugin DSGVO konform ist oder nicht, da es manchmal auf den Einsatzzweck ankommt. Erst dadurch wird die Konformität nachvollziehbar.

Es ist nicht grundsätzlich verboten, wenn ein Plugin Daten übermittelt. Wenn es der Zweck rechtfertigt und die Rechtsgrundlage gegeben ist, dann ist der Einsatz ok.

 

Es gibt keine AV von Word Press. Muss ich in meiner Datenschutzerklärung auf diese im Hintergrund laufenden Plug-Ins eingehen, die Word Press benutzt?

Wenn die Plugins personenbezogene Daten verarbeiten, dann ja. Ansonsten nicht.

 

Wie ist ab dem 25.05. in Sachen Cookies/Cookiebanner (DSK-Statement!) zu verfahren? Opt-in? Opt-out? Hinweis-Banner? Gar kein Banner?

Die e-privacy Richtlinie hätte ja ebenfalls am 25.5. in Kraft treten sollen, ist aber nicht geschehen. Meine persönliche Empfehlung ist ein Cookie Banner, den man akzeptieren kann und der auf die Datenschutzerklärung verweist (mit Link zum Klicken). Alles andere ist aus meiner Sicht fernab der Realität. Das ist ein Thema, bei dem ich sehr schnell emotional werde und es mir unter den Fingern brennt zu tippen (es beginnt gerade wieder…)

Ich hab mir Plugins, wie z.B. Borlabs angesehen und kann nur den Kopf schütteln. Natürlich mache ich mich damit als Betreiber der Webseite von allem frei, aber dann frage ich mich mal nach der Usabiltiy. Mein Beispiel, mein über 60jähriger Vater, der hin und wieder mal was im Internet sucht, keine Ahnung von Cookies und DSGVO hat und auch nicht haben muss und will. Was macht der, wenn er auf das Borlabs Plugin trifft? Natürlich sofort die Seite und am besten gleich den ganzen Browser schließen. Also Fazit: Rechtssicherheit trifft Usability !

 

Reicht der normale, obligatorische Link zur Datenschutzerklärung in der Navigation oder müssen Webseiten-Besucher durch ein Pop-Up oder ähnliche Maßnahmen auf die Verwendung von Cookies bzw. einfache Serverlogs hingewiesen werden? Oder müssen Sie sogar Ihre Zustimmung dazu durch einen Klick erklären?

Antwort siehe vorherige Frage.

 

Alle unsere Homepages werden mit google fonts (Schriftarten) betrieben. Darf ich das weiterhin, wenn ich darauf in der DSE hinweise?

Ich würde sagen, mit einem kleinen Restrisiko: ja. Es gibt ja einen Geschäftszweck (Art. 6 (1) lit. f). Solange Google die IP Adressen nicht auswertet und für andere Zwecke als die zur Verfügungstellung der Fonts verwendet, sehe ich es nicht als Problem.

 

Darf ich weiterhin die recaptachs von google nutzen? Ich arbeite mit Joomla (nicht Wordpres) und habe bisher keine Alternativen gefunden. Auch das würde in der DSE erwähnt.

Selbe Antwort, wie obige Frage.

 

Google Adsense: Wie kritisch sehen Sie den Einsatz von Google-Adsense auf der Webite? Man liest auch hier verschiedenes. Einige entfernen Adsense komplett, andere lassen es laufen. Was muss umgesetzt werden, damit es DSGVO konform ist?

Hier muss ich gestehen, dass ich nicht so tief im Thema bin, da das in der Praxis meine Agentur umsetzt, mit der ich zusammen arbeite.

Man muss hier zwischen dem Tracking und dem Einblenden der Werbung unterscheiden würde ich sagen. Für das Tracking würde ich ein Opt-in empfehlen (ich weiß, schwierig zu realisieren). Das reine Einblenden der Werbung würde ich mit einem Opt-out ermöglichen. Ich weiß aber nicht, wie weit man das Trennen kann. Sorry, hier bin ich leider echt nicht fachkundig.

 

Z.B. bei Twitter oder YouTube besteht die Möglichkeit „embedded links“ in die eigenen Websites und Blogbeiträge aufzunehmen. Ist es korrekt, dass diese embedded links nicht DSGVO-konform sind (weil sie gleichzeitig Infos über den eigenen Besucher an Twitter oder YouTube weiterleiten) und besser durch „Screenshots + externe Verlinkung“ ersetzt werden?

Das ist auch ein Thema, an dem sich die Experten noch nicht einig sind. Auf jeden Fall in der DSE erwähnen. Ohne Risiko ist natürlich der Screenshot und die externe Verlinkung. Ich würde das Risiko der eingebetteten Frames als gering sehen, wenn man es in der DSE erwähnt. Das muss aber jeder für sich selbst entscheiden, ob er das machen möchte, bis hier die Rechtsunsicherheit entschieden wurde.

 

Checkboxen bei Kontaktformular und bei Newsletteranmeldung – muss zusätzlich eine Checkbox als Einwilligung bei a) Kontaktformular b) bei Newsletter oder reicht jeweils Text und Link zur Datenschutzerklärung?

Bitte keine Checkboxen!! Dazu hat der Datenschutz Guru auf seiner Webseite einen super Podcast, der mir aus der Seele spricht. Nach zig 100 täglichen Mails fragt ihn zum 20x jemand nach der Checkbox. Sehr witzig wie er das formuliert 🙂 Also nein, es reicht die Rechtsgrundlage, die in der DSE erläutert wird. Hinweis auf den Zweck und die DSE sind natürlich Pflicht.

 

Muss ich bei Formularen auf der Website in Kurzform darauf hinweisen, was mit den Daten passiert, wenn sie gesendet werden? Bzw. reicht hier der Hinweis bzw. Link zur Datenschutzerklärung aus?

Antwort siehe vorherige Frage.

 

Auf der Website: Angabe meiner E-Mail Adresse, beim Klick durch den User öffnet sich jeweiliges E-Mail Fenster (Outlook, GMail etc. davon abhängig was User nutzt) => ist das ok?

Ja, das ist ok. Es werden ja keine personenbezogene Daten verarbeitet. Sie geben freiwillig Ihre persönliche E-mail Adress preis. Da ist kein Dritter im Spiel, den Sie schütze müssen, bzw. dessen Daten Sie schützen müssen.

 

Kein SSL: Reicht es wenn ich bis 25.5. dahin mein Kontakt Formular und meinen Newsletter Anmeldung (Clever Reach) von der Website nehme mit Hinweis das die SSL in Arbeit ist?  oder muss ich die Seite offline stellen bis das geklärt ist?

Ich würde Formular und NL Anmeldung offline nehmen und das Restrisiko tragen, bis das Zertifikat eingestellt ist. Das geht aber ja innerhalb kürzester Zeit.

 

Ich habe bisher das Piwik/Matomo Analysetool auf meine Webseite gehabt. Wegen der EU DS-GVO habe ich dies jetzt vorläufig deaktiviert um Probleme zu vermeiden, da das Programm bisher nur die Opt-Out-Funktion angeboten hat.

Ich habe jedoch eine Mail von Matomo erhalten, aus der es behauptet wird, dass ein Update eben DSGVO-konform sei, da man ab sofort alle Daten komplett anonymisieren kann, d.h. IP-Adresse etc. werden nicht korrekt angezeigt. Jetzt meine Frage: reicht das? Es scheint eben nicht eine Möglichkeit für den Webseitenbesucher zu geben das Einsammeln von Daten zu verhindern, sprich die Daten werden sowieso erhoben (ohne Opt-In/Opt-Out… – kann aber auch sein, dass ich mich irre…). Aber würde das reichen, darauf hinzuweisen, dass alles anonym erhoben werden um weiterhin Piwik zu verwenden?

In Kombination mit der Aussage der DSK schwierig. Wenn man ein Opt-out machen kann, dann würde ich das schon anbieten. Aber ich würde hier dem Hersteller auch vertrauen und die Umsetzung so wie vorgeschlagen durchführen, wenn überhaupt kein Opt-out möglich ist. Natürlich auf jeden Fall die Rechtssprechung in diesem Bereich verfolgen!

 

DSGVO Datenschutz FAQ’s – Software

Muss mit Ticketsystemen, wie Eventim, München Ticket, Reservix o. ä. ein Auftragsverarbeitungsvertrag abgeschlossen werden?

Wenn das System beim Dienstleister gehostet ist, dann ja. Dann muss mit dem Hoster (nicht dem Hersteller) ein AVV geschlossen werden, da ja im Ticketsystem auch personenbezogene Daten gespeichert werden. Wenn der Hersteller oder ein Dienstleister Zugriff auf das System hat zu Wartungszwecken oder Updates, muss auch ein AVV geschlossen werden. Ist das System rein lokal bzw. auf Unternehmensressourcen installiert und Dritte haben keinen Zugriff, im Sinne wie gerade erwähnt, dann ist kein AVV nötig.

 

E-Mail Verschlüsselung: Sie haben angegeben, dass laut DSGVO manche Dinge im Verhältnis gesehen werden müssen. Gilt dies auch bei der Verschlüsselung von E-Mails?
Denn es gibt Anbieter, wo ich zwar Verschlüsseln kann aber wenn der Empfänger diese Art nicht nutzt, bringt mir das herzlich wenig. Oder aber ich zahle einen Haufen Geld für professionelle Lösungen.

Das sehe ich nach wie vor so. Das teuere Lösung, die sogar nicht immer einsetzbar sind, für kleine Unternehmen nicht realisierbar sind. Natürlich ist aber auch wichtig zu bewerten, welche Art der Daten übertragen wird. Auch innerhalb der personenbezogenen Daten gibt es unterschiedlich wertige Inhalte.

Eine einfache Art der Verschlüsselung ist z.B. der Schutz einer Datei beim Speichern mit einem Passwort. Das funktioniert ohne Zusatzkosten und erfordert keine spezielle Software auf beiden Seiten.

 

DSGVO Datenschutz FAQ’s – Newsletter

Das das Freebie vom Newsletter-Abo zu Entkoppeln ist habe ich verstanden. Jedoch wie ist früheren Verlinkungen auf das Freebie umzugehen z. B. in Facebook oder Blogbeiträgen? Müssen diese geändert oder gelöscht werden? Oder Landing Page zum Freebie ganz zu löschen bzw. zu ändern?

Ja, wenn Sie noch alte Seiten haben, die das Freebie mit dem Newsletter koppeln, dann sollten Sie das trennen. Entweder die alten Seiten anpassen oder löschen. Letzteres ist natürlich die Notlösung.

Seit Jahren sammle ich Mails in meinem gmx- Adressbuch. Bisher also ohne Newsletter-Anbieter.

Die Mailadressen sind von ehemaligen Kursteilnehmern und Menschen die mir, meist mündlich, ihr Interesse an meinem Angebot kundtun (neue Kursangebote, anstehende Ausstellungen etc.)

Wie kann ich damit jetzt umgehen, wenn eigentlich eine nachweisbare Erlaubnis vorliegen muss?

So unschön es auch ist, Sie müssen alle anschreiben (am besten vor dem 25.5.) und nach einer Double Opt-in Bestätigung fragen. Das heißt aber auch, Sie müssen weg vom GMX Adressbuch und hin zu einem Newsletterservice.

 

DSGVO Datenschutz FAQ’s – Datenerfassung / Fotos

Bisher erbitte ich: Name, Adresse, Telefon, Email, dann Unterschrift und eine Rubrik in der angekreuzt werden kann, ob jemand Infos von mir möchte oder nicht (gibt ja und nein-Kästchen).

Kann ich das weiter machen, wenn ich erläutere warum?

Ja, das können Sie weiter machen. Sie müssen, wie Sie schon sagen, erklären, warum Sie die Daten erheben.

Muss am Kontaktformular eine Einverständniserklärung dran sein? Oder reicht die Aufklärung und Verlinkung zur Datenschutzerklärung.

Ich würde kurz den Zweck (in Kurzform) angeben und dann auf die DSE verlinken. Das Absenden des Buttons ist damit die Einverständniserklärung.

 

Muss ich alle „Altkunden“ der letzten 10 Jahre auch um eine Einverständniserklärung bitten? Auch wenn ich weiß, dass sie nicht mehr zu mir kommen?

Für Kunden brauchen Sie keine Einverständniserklärung, da Sie deren Daten im Rahmen des Kundenverhältnisses auf Basis des Art. 6 (1) lit. b verarbeiten, also auf Grundlage eines Vertrags. Die Einwilligung bräuchten Sie nur, wenn Sie die Daten der Kunden über das Vertragsverhältnis hinaus verarbeiten wollen, weil Sie z.B. Werbung / Newsletter verschicken.

 

 

Ist es erforderlich, einen Rechtsanwalt über die Einwilligungserklärung schauen zu lassen?

Das ist eine persönliche Frage Ihrer Risikobereitschaft 🙂 Das kann ich Ihnen leider nicht mit Ja oder Nein beantworten.

 

Fotografie

Muss bei Veranstaltungen jeder einzelne Besucher seine Einwilligung wegen eventueller Fotografien/Viedeoaufzeichnungen/Fernsehaufzeichnungen abgeben oder reicht ein allgemeiner Hinweis, dass Fotografien angefertigt werden, wie z.B.: „Im Rahmen unserer Veranstaltungen können durch die oder im Auftrag der Fa. xy Fotografien und/oder Filme erstellt werden.

Bitte nehmen Sie zur Kenntnis, dass mit der Anmeldung zur Veranstaltung Fotografien und Videomaterialien, auf denen Sie abgebildet sind, zur Presse-Berichterstattung verwendet und in verschiedensten (Sozialen) Medien, Publikationen und auf Webseiten der Fa. xy veröffentlicht werden können.“aus – wenn der Hinweis sowohl auf der Webseite als auch im Haus sichtbar angebracht wird?

Das ist ein ganz heißes Thema, welches auch noch viele offene Fragen hat. Dazu habe ich erst kürzlich eine gute Dokumentation von lawLiks gelesen (ich hoffe, du magst rosa 🙂 ) , die einige dieser Fragen beantwortet.

 

 

Muss für die Veröffentlichung des Fotos eines Mitarbeiters mit Außenkontakt auf der Firmenhomepage seine Einwilligung vorhanden sein oder ist das auch beim Foto (und nicht nur dem Namen und Funktion in der Firma) durch ein berechtigtes Interesse des Verantwortlichen zu begründen?

Auf jeden Fall mit Einwilligung nach Art. 6 (1) lit. a und nicht nach lit. f.

 

Die gleiche Fragen, nur für die Weitergabe des Abwesenheitsgrunds „Krankheit“ (ohne Art der Erkrankung) an einen bestehenden Kunden? Einwilligung nötig oder berechtigtes Interesse des Arbeitgebers, da es besser „aussieht“ wie wenn man sagen muss, er ist nicht da und näheres darf ich nicht sagen.
Wie sieht es mit dem Tag der voraussichtlichen Wiedererreichbarkeit des Mitarbeiters aus oder im Falle eines Urlaubs?

Weitergabe dieser Information auch nur nach Zustimmung des Betroffenen. Der Grund warum jemand abwesend ist, muss ja nicht dem Kunden übermittelt werden. Man kann ja sagen, der Kollege ist am  xx wieder im Büro.

 

DSGVO Datenschutz FAQ’s – Informationspflicht

Muss in der E-mail Signatur eine Aufklärung hinein?

Das ist eine Möglichkeit der Informationspflicht nach Art. 13 nachzukommen.

 

Müssen in die Datenschutzerklärung nur Angaben zu personenbezogenen Daten rein, die über die Website erfasst werden oder auch solche die ausschließlich offline gespeichert werden. Bsp.: ein Immobilienmakler erfasst über einen Papierfragebogen auch sensible personenbezogen Daten, etwa zu Einkommens- und Vermögensverhältnissen. Müssen Angaben zu Datenerfassung, Auskunfts- und Löschpflichten in die Datenschutzerklärung.

Das ist eine Frage der Organisation im Unternehmen. Es heißt im Gesetz, diese Informationen müssen vor der Verarbeitung der Daten dem Betroffenen zur Verfügung gestellt werden. Wenn das über die Webseite am besten realisierbar ist oder realisierbar ist, dann würde ich das schon empfehlen. Ich mache das bei meinen Kunden schon meistens, wenn es passt.

 

Ich habe ja eine Dokumentations- und Auskunftspflicht dem Kunden gegenüber. Muss ich jetzt jede Email und jedes Telefonat, das ich mit einem Kunden geführt habe, dokumentieren?

Nein das heißt nur, wenn ein Betroffener anfragt, müssen ihm die gespeicherten Daten zur Verfügung gestellt werden, bzw. Auskunft dazu erteilt werden. Was nicht gespeichert ist, darüber kann auch nicht informiert werden. Aber wenn was dokumentiert ist, dann muss die Info auf Nachfrage dem Kunden gegeben werden.

Was muss ich bei der Erstellung von Angeboten dem Kunden bzgl. der Verarbeitung personenbezogener Daten nennen / worauf hinweisen? Die personenbezogenen Daten die hier relevant sind, abgesehen von Adressdaten, sind in erster Linie solche wie Geburtsdatum, Vertragsdaten, etc. je nach Art der Urkunde oder des Vertrags.

Das betrifft die Information, was mit den Daten „passiert“, also wie sie verarbeitet werden. Das muss dem Kunden vor der Verarbeitung der Daten mitgeteilt werden. Man kann die Informationen beim Vertragsschluss bzw. beim Angebot (mit einem Link zum Beispiel auf die Informationen) mit dazu geben oder auf eine Stelle verweisen, die der Kunde einsehen kann. Es muss aber über alle Daten informiert werden, die für den Prozess des Angebots und vor allem dann für den Prozess der Beauftragung / des Kaufs verarbeitet werden.

 

Wenn ich Astrologie Beratungen zum Beispiel über Skype anbiete und Bezahlungen über Pay Pal auf meiner HP auf was muss ich da achten….was brauche ich dann zusätzlich?

Je nachdem, welcher Online Kanal gewählt wird, würde ich einen Abschluss eines Vertrags zur Auftragsverarbeitung empfehlen. Auf der Homepage in der Datenschutzerklärung sollte genau beschrieben sein, welche Daten verarbeitet und weiter gegeben werden und welche Dienstleister im Spiel sind. Themen wie HTTPS Verschlüsselung sollten Standard sein.

 

Website auf Deutsch, Sitz in Deutschland – aber natürlich auch Leser aus anderen Ländern: muss eine englische Datenschutzerklärung auf der Website eingebunden sein?

Wenn die Zielgruppe englischsprachige Leser sind, also wenn auch der Content teilweise in englisch ist, dann ja. Es heißt, die Information muss leicht verständlich für den Betroffenen sein. Wenn die Webseite aber keine englischsprachigen Leser anspricht, dann würde ich keine englische DSE anbieten, nur für den Fall, dass sich wer „verirrt“ dahin. Diejenigen, die die Artikel in deutsch lesen können, können auch die DSE in deutsch lesen.

 

Wenn auf meiner Website Links zu anderen Websites gesetzt sind und auch eine E-Mail Möglichkeit zu Dritten, ist diesbezüglich etwas zu beachten?

Wenn Sie die E-mails von Dritten auf Ihrer Webseite publizieren, benötigen Sie deren Einverständnis (also von demjenigen, von dem Sie die Adresse veröffentlichen). Wenn Sie nur auf eine andere Webseite verlinken und dort wiederum E-mail Adressen veröffentlicht sind, müssen sie nichts beachten.

 

Eine Hompage die nichts macht außer einem Kontaktformular anzubieten, IP-Adressen werden nur anonymisiert gespeichert. (WordPress-Plugin), Wie sieht die minimale Datenschutzerklärung aus?

Es werden die Punkte die Sie beschrieben haben erläutert und zusätzlich noch die Pflichtangaben aus Art. 13 DSGVO wie z.B. Name und Adresse des Verantwortlichen, Informationen zu den Rechten des Betroffenen, Beschwerderecht bei der Behörde… (sieh Artikel zur Informationspflicht).

 

DSGVO Datenschutz FAQ’s – Datenschutzbeauftragter

Notwendigkeit zur Bestellung eines Datenschutzbeauftragten bei Kleinbetrieben; Bsp.: Schauspieleragentur
Auf der Website veröffentlicht die Agentur Daten wie Körpergröße, ethnische Erscheinung und auch Fotos der Schauspieler. Ich nehme an, dass intern noch weitere Daten gespeichert werden, wenn etwa gesundheitliche Einschränkungen vorliegen, die bestimmte Rollen nicht in Frage kommen lassen. Gegebenenfalls gibt die Agentur diese Daten auch an Dritte, etwa Caster, weiter.
Die Verträge mit den Schauspielern sollten auf jeden Fall eine entsprechende Einwilligung enthalten und im Hinblick auf die DSGVO überprüft werden. In den o. g. Fällen könnte es aber zusätzlich erforderlich sein, einen externen Datenschutzbeauftragten zu bestellen. Siehe: https://www.lda.bayern.de/media/info_dsb.pdf, S. 2
Zitat: „Unabhängig von der Anzahl der beschäftigten Personen ist ein betrieblicher Datenschutzbeauftragter zu bestellen, wenn personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung …  automatisiert verarbeitet werden.“

 

Sehe ich das richtig, dass in diesem Fall auch ein Einpersonen-Unternehmen einen externen Datenschutzbeauftragten benötigt?

Da haben Sie nur die Hälfte des Satzes gelesen. Der Satz bezieht sich darauf, wenn Sie in der Markt- und Meinungsforschung tätig sind. Dann trifft das zu. Das sind Sie ja nach obiger Beschreibung nicht.

 

Kann ein Gesellschafter bzw. eine 450-Kraft zum DSB ernannt werden?

Es heißt, „…der Verantwortliche benennt…“. Wenn der Gesellschafter zugleich der Verantwortliche ist, würde ich sagen nein, wenn er das nicht ist, hätte ich mit ja geantwortet. Hier würde ich aber noch auf eine konkrete Rechtsberatung verweisen, da ich das nicht eindeutig sagen kann. Eine 450 Euro Kraft kann natürlich bestellt werden, wenn sie das Fach-Know How hat.

Datenschutz Verfahrensverzeichnis nach DSGVO

Ein Verzeichnis von Verarbeitungstätigkeiten hört sich kompliziert an. Wer braucht es? Wie muss es erstellt werden? Was gehört alles hinein?

Fragen über Fragen. Mit diesem Beitrag möchte ich Ihnen eine einfache Anleitung geben, wie Sie dieses vermeintliche komplexe Gebilde doch relativ einfach umsetzen können.

 

Was ist überhaupt ein Verfahrensverzeichnis?

Der Name im Gesetz lautet „Verzeichnis von Verarbeitungstätigkeiten“. Unter den Verarbeitungstätigkeiten im Sinne des Datenschutzes versteht man alle Vorgänge im Unternehmen, die personenbezogene Daten verarbeiten. Also einfach gesagt, wo überall kommen Sie, Ihre Kollegen oder Ihre Mitarbeiter mit Informationen in Kontakt, bei denen reale Personen dahinter stehen? Das ist auf jeden Fall die Lohnabrechnung, die Mitarbeiterverwaltung, aber auch zum Beispiel ein Einzelverbindungsnachweis der Telefonie. Sind Ihre Kunden Endverbraucher, dann haben Sie wahrscheinlich deren Adressen, E-mail Kontakte, Zahlungsdaten, Einkaufsverhalten und noch vieles mehr.

Im Verfahrensverzeichnis listen Sie nun alle „Verfahren“ auf, bei denen Sie diese Daten erfassen oder verarbeiten.

Je nach Unternehmen ist diese Liste unterschiedlich lang. Es macht einen Unterschied, ob Sie Solopreneur sind oder das Verfahrensverzeichnis für ein Großunternehmen erstellen. Sind Ihre Kunden Businesskunden oder Endverbraucher? Bei Businesskunden fallen einige Verfahren weg, da ein Geschäftskunde ja nur teilweise personenbezogene Daten im Geschäftsverkehr preisgibt.

 

Wer braucht ein Verfahrensverzeichnis?

Da gibt’s (fast) keine Ausnahme. Jedes Unternehmen, bzw. jeder Unternehmer und Selbständige ist dafür verantwortlich eine Verfahrensübersicht zu führen. Es gibt zwar theoretisch die Ausnahme im Artikel 30 der DSGVO. Nur ab 250 Mitarbeitern im Unternehmen muss ein Verfahrensverzeichnis erstellt werden, so Absatz 5. Liest man ihn aber zu Ende, hebt er sich selber wieder auf. Wenn nämlich eine Verarbeitung nicht nur gelegentlich durchgeführt wird, muss sie ins Verfahrensverzeichnis.

Unabhängig davon, ob Sie einen Datenschutzbeauftragten haben / brauchen oder nicht. Das Verzeichnis benötigen Sie immer. Außer wie gerade erwähnt, sie verarbeiten nur „gelegentlich“.

Wobei nebenbei gesagt, diese Forderung an ein Verfahrensverzeichnis ist nicht neu. Die besteht auch bisher schon. Das ist nichts, was mit der DSGVO kam. Wenn Sie auch bisher ein funktionierendes Datenschutz System in Ihrem Unternehmen etabliert haben, wird Sie diese Forderung nicht überraschen.

 

Wer erstellt das Verfahrensverzeichnis?

Auf Anregung im Kommentar füge ich gerne noch den Punkt hinzu. Wer ist denn verantwortlich für die Erstellung des Verfahrensverzeichnisses? Das ist wie so oft der Verantwortliche für die Datenverarbeitung und das ist der Unternehmer bzw. Geschäftsführer. Also wie das Gesetz es nennt „die verantwortliche Stelle“.

Wer „macht“ die Arbeit in der Praxis ist dann wieder eine andere Sache. Als Datenschutzbeauftragter übernehme ich für „meine“ Unternehmen die Koordination der Erstellung und leiste Hilfe bei der Erstellung. Anschließend gibt es aber auf jeden Fall ein Review mit der Geschäftsführung, da die ja die verantwortliche Stelle ist und letztendlich dafür auch Rechenschaft übernehmen muss.

Ja nach Ihrer Unternehmensgröße sollten Sie überlegen, was die effizienteste und beste Lösung ist, das Verfahrensverzeichnis für Sie zu erstellen und zu pflegen. Bei kleineren Unternehmen oder Einzelunternehmen spreche ich direkt mit dem Geschäftsführer bzw. Inhaber und wir erstellen in einem kleinen Frage-Antwort Interview das Verfahrensverzeichnis. Anschließend übergebe ich die Dokumentation dann in die Hände der verantwortlichen Stelle.

Was gehört alles in ein Verfahrensverzeichnis?

Der Inhalt definiert sich aus Artikel 30 der Datenschutzgrundverordnung. Hier ist zusammenfassend aufgelistet, welche Informationen enthalten sein müssen.

  1. Name und Kontakt des Verantwortlichen
  2. Zweck der Verarbeitung, also das WARUM.
  3. Welche Personengruppen sind betroffen und welche Daten von ihnen
  4. Wem werden diese Daten zur Verfügung gestellt (intern, extern, auch Drittländer)
  5. Beschreibung der Übermittlung an das Drittland (ist dies rechtlich abgesichert)?
  6. Vorgesehene Löschfristen der Daten (wenn möglich)
  7. allg. Beschreibung der technisch Sicherheit der Daten (wenn möglich)

Diese Informationen müssen Sie für Ihre eigenen Verarbeitungen dokumentieren. Ebenso müssen Sie aber dieselben Informationen zur Verfügung stellen, wenn Sie für Ihre Kunden zum Beispiel Daten verarbeiten. Beispiel: Sie machen intern die Lohnabrechnung für Ihre Mitarbeiter, dann ist dies ein zu dokumentierendes Verfahren. Machen Sie die Lohnbuchhaltung aber auch als Dienstleister für Ihre Kunden, dann müssen Sie das ebenfalls dokumentieren. Dann sind Sie in der Fachsprache als Auftragsverarbeiter tätig.

 

Gibt es „Standardverfahren“?

Standardverfahren würde ich es nicht unbedingt nennen, aber auf jeden Fall gibt es Verfahren, die regelmäßig und so gut wie in jedem Unternehmen vorkommen. Was fällt darunter?

Haben Sie Mitarbeiter? Dann haben Sie natürlich immer alle Prozesse rund um die Mitarbeiterverwaltung: Bewerbungen, Lohnabrechnung, PC-Zugänge und so weiter. Aber auch ohne Mitarbeiter gibt es immer wiederkehrende Verfahren. Denken Sie nur an die Internetpräsenz. E-Mail Marketing über Newsletter, Analyse des Besucherverhaltens Ihrer Webseite um nur zwei Verfahren zu nennen.

 

Datenschutz Verfahrensverzeichnis nach DSGVO
Pin it!

 

Wie sieht ein Muster eines Verfahrensverzeichnisses aus?

Natürlich können Sie sich auch dafür eine spezielle Software kaufen. Aber in vielen Fällen wäre damit mit Kanonen auf Spatzen geschossen. Ich empfehle Ihnen eine einfach Excel Liste die folgende Spalten enthält:

  • Name des Verfahren
  • Als Auftragsverarbeiter (j / n)
  • Datum der Erfassung
  • Name des Verantwortlichen
  • E-mail des Verantwortlichen
  • Telefonnummer des Verantwortlichen
  • Beschreibung der Verarbeitung / Zweck
  • Betroffene Personengruppen
  • Betroffene Daten
  • Empfänger der Daten
  • Empfänger der Daten in einem Drittland
  • Beschreibung der Absicherung der Datenübermittlung in das Drittland
  • Löschfrist
  • Beschreibung der IT-Sicherheit der Daten
  • Beschreibung der physikalischen Sicherheit der Daten

Natürlich können Sie diese Excel Liste um beliebige Spalten ergänzen. Das ist meine Empfehlung nach Artikel 30 ein Verfahrensverzeichnis einfach und kompakt zu erstellen. Mit diesen Feldern haben Sie auch relativ wenig Aufwand, die Verfahren zu beschreiben.

 

Hier finden Sie eine Vorlage als PDF, die Sie gerne übernehmen können.

Datenschutz Verfahrensverzeichnis nach DSGVO

Verfahrensverzeichnis Muster DSGVO Vorlage

 

Vor-ausgefülltes Verfahrensverzeichnis

Übrigens, ein vor-ausgefülltes Verfahrensverzeichnis mit über 20 Verfahren für Online- und Kleinunternehmer finden Sie in meinen Onlinekurs.

 

Vorgehensweise zur Befüllung

Je nach Unternehmensgröße befüllen Sie das Verfahrensverzeichnis entweder allein oder gemeinsam mit Kollegen. In größeren Unternehmen ist es die Aufgabe des Datenschutzbeauftragten, sich darum zu kümmern. Für meine Kunden bevorzuge ich die Erstellung des Verfahrensverzeichnisses im Rahmen von Interviews. In Gesprächen mit den Abteilungsleitern der Unternehmen hinterfrage ich ihre Prozesse auf die Verarbeitung personenbezogener Daten. Relativ oft kommt man an die Stelle, dass im Verfahren eine dritte Partei als externer Auftragsverarbeiter eingebunden ist. Diese Information ist wertvoll für die Erstellung der Verträge zur Auftragsdatenverarbeitung. Ergänzen Sie diese Notiz in Ihrer Dokumentation an geeigneter Stelle.

Grundsätzlich kann ich Ihnen als Vorgehensweise empfehlen, sich an den Prozessen des Unternehmens „durchzuhangeln“. Auch wenn Sie kein dokumentiertes QM-System haben, haben Sie doch Abläufe, die Sie regelmäßig ausführen. Gehen Sie diese gedanklich durch und erfassen Sie im Verfahrensverzeichnis die Verarbeitungen personenbezogener Daten.

 

Wie sind Ihre Erfahrungen?

Arbeiten Sie schon an einem Verfahrensverzeichnis? Wie haben Sie es bisher gelöst? Wo sind Ihre größten Hürden in der Praxis?

Schreiben Sie einen Kommentar!

 

Brauchen Sie Unterstützung?

Ich stehe Ihnen gerne mit Rat und Tat zur Verfügung, um Ihr Verfahrensverzeichnis zu erstellen.

 

 

 

Bildquelle: Nietjuh@Pixabay