Nun geht es los – Erste Prüfungen beginnen

Die bayrische Landesbehörde hat begonnen die ersten Prüfungen durchzuführen. In den nachfolgenden Links findet ihr die Prüfungsanordnungen. Diese Behörde geht vorbildlich und sehr transparent mit Informationen um.
So sollte es eigentlich immer im Bereich Datenschutz sein.

Quelle und Links:
https://www.lda.bayern.de/media/pm2018_17_de.pdf 
https://www.lda.bayern.de/de/kontrollen.html

Also, folgt diesem Beispiel und geht offen mit diesen Dingen um !
Auf gar keinen Fall solltet ihr den “Beleidigten” spielen, wenn Mitarbeiter, Kunden oder Lieferanten fragen zu den gespeicherten Daten haben.

Auf dieses Thema gehe ich in einem der nächsten Newsletter noch einmal näher ein.

“Zugriffskontrolle” Ein wichtiges Werkzeug beim Datenschutz!

Regelungen und Richtlinen

Zwingend erforderlich das nicht alle alles sehen dürfen. Kleine Unternehmen, bei 160 Angestellten darf nicht jeder alles sehen. Auch dies ist ein datenschutzrechtlicher Verstoß.

Darauf sollte geachtet werden:

  • Habt ihr einen Prozess im Unternehmen, der sicherstellt, dass alle Daten von Bewerbern gelöscht werden?
  • Habt ihr Geburtstagslisten im Unternehmen?
    Wenn ja, ist eine Einwilligungsregelung umgesetzt?
  • Habt ihr die Informationspflichten für Bewerberinnen und Bewerber und die Beschäftigten im Unternehmen umgesetzt?
  • Habt ihr Regelungen getroffen, die beim Ausscheiden von Beschäftigten greifen. Und zwar im Bereich des Entzugs von Zugriffsrechten und im Hinblick auf eine Weiterspeicherung der Beschäftigtendaten? 

Sichere E-Mails

von Peter | Mai 13, 2019 | Datenschutz | 0 Kommentare

Hier unsere Empfehlung zum Schutz von E-Mails. Die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LfDI) hat Empfehlungen zur sicheren Kommunikation per E-Mail veröffentlicht. Die Empfehlungen wurden unter dem Vorbehalt späterer Anpassungen gegeben. E-Mails bestehen grundsätzlich aus den Inhaltsdaten wie Text und Anhänge und Metadaten wie Absender und Empfänger, Datum und Betreff.

Beide können unter Umständen personenbezogene Daten beinhalten. Deshalb ist bei der Übermittlung von E-Mails grundsätzlich zwischen einer Verschlüsselung auf Inhaltsebene und einer Verschlüsselung auf Transportebene zu unterscheiden. Aber was heißt das?

1. Inhaltsebene
Nach Angaben des LfDI kommen für die Verschlüsselung des Inhaltes in erster Linie zwei Standards infrage: S/MIME und OpenPGP. S/MIME und OpenPGP sind sogenannte Ende-zu-Ende-Verschlüsselungen. Dies bedeutet, dass die Nachricht auf dem System des Absenders verschlüsselt und auf dem System des Empfängers entschlüsselt wird. Damit liegt sie auf dem Übertragungsweg niemals im Klartext vor. Beide Standards unterstützen auch digitale Signaturen.
2. Transportebene
Von der Verschlüsselung des Inhaltes werden jedoch nicht die Metadaten erfasst. Diese liegen bei der Übertragung weiterhin im Klartext vor. Anders bei einer Verschlüsselung auf Transportebene. Dabei werden sowohl Meta- als auch Inhaltsdaten auf der Verbindung zwischen Mail-Client und Server bzw. zwischen verschiedenen Mail-Servern verschlüsselt. Dadurch wird sichergestellt, dass die Mail bei der Übermittlung nicht von Dritten gelesen werden kann. Das LfDI empfiehlt, bei der Wahl der Transportverschlüsselung folgende Punkte zu beachten:

  • Die Transportverschlüsselung sollte entsprechend der Technischen Richtlinie „BSI TR-03108 Sicherer E-Mail-Transport“ implementiert sein. Abweichungen von der Richtlinie sind statthaft.
  • Bei besonders schutzwürdigen Daten (z.B. Kontobewegungsdaten, Finanzierungsdaten, Daten zum Gesundheitszustand, Beschäftigtendaten) ist eine alleinige Transportverschlüsselung möglicherweise nicht ausreichend. Zusätzliche technische und organisatorische Maßnahmen, wie z. B. eine Ende-zuEnde-Verschlüsselung können geboten sein.
  • Der Betreff der E-Mail sollte keine personenbezogenen Daten enthalten.

Haftung des Datenschutzbeauftragten

von Peter | Mai 19, 2019 | Datenschutz | 0 Kommentare

Wie sieht es mit dem Kündigungsschutz und der Haftung des Datenschutzbeauftragten aus?

Betrachten wir zunächst die rechtliche Stellung des Datenschutzbeauftragten. 

Wie immer ist ein Blick in die DSGVO bzw. in das BDSG-neu hilfreich, um die Frage zu klären, welche Stellung der Datenschutzbeauftragte einnimmt. 

In Artikel 38 DSGVO bzw. § 6 BDSG-neu wird die Stellung wie folgt beschrieben: 

  • Der Datenschutzbeauftragte ist frühzeitig in alle Fragen zu personenbezogenen Daten einzubinden
  • Der Verantwortliche und der Auftragsverarbeiter unterstützten den Datenschutzbeauftragten bei seinen Aufgaben und stellen die erforderlichen Mittel und Ressourcen zur Verfügung
  • Als Datenschutzbeauftragter erhält man keine Anweisung für die Ausübung seiner Aufgaben
  • Mitteilung an die oberste Managementebene 
  • Kommunikation und Fragenbeantwortung der betroffenen Personen

Durch die Aufzählung wird deutlich, dass der Datenschutzbeauftragte als ein Bindeglied nach innen sowie nach außen auftritt. Die Zusammenarbeit mit der höchsten Ebene im Unternehmen sowie auch mit den Mitarbeitern und externen betroffenen Personen zeigt deutlich, welche Verantwortung der Datenschutzbeauftragte hat.

Wenn der Datenschutzbeauftragte schon mit einem solchen „Amt“ betraut wird, liegt es doch auf der Hand, dass es für ihn dabei auch Vorteile gibt, oder?

Kündigungsschutz als Datenschutzbeauftragter? 

Den Kündigungsschutz genießen die internen Datenschutzbeauftragten. 

Kündigungsschutz nach altem BDSG 

Nach § 4 f Absatz 3 BDSG a.F. (alte Fassung) war eine Kündigung nur aus wichtigem Grund zulässig, also kurz gesagt: eine fristlose Kündigung, sofern der Arbeitgeber dazu berechtigt war (z.B. bei Verrat von Betriebsgeheimnissen). Darüber hinaus genoss der betriebliche Datenschutzbeauftragte nach der Kündigung der Position einen weiteren Kündigungsschutz von einem weiteren Jahr nach § 4 f Absatz 3 Satz 6 BDSG a.F., sofern nicht wieder Tatsachen vorliegen, die einer Kündigung aus wichtigem Grund standhalten.

Aber lassen Sie uns nicht in die Vergangenheit blicken, sondern auf das Hier und Jetzt!

Kündigungsschutz nach der DSGVO bzw. dem BDSG-neu

Wie bereits eingangs erwähnt stellt sich die Frage, ob der Datenschutzbeauftragte nach der DSGVO bzw. dem BDSG-neu noch einen echten Kündigungsschutz genießt? 

Sehen wir uns hierzu wieder einmal die rechtliche Grundlage an. 

In Art. 38 Absatz 3 Satz 2 DSGVO findet sich eine Passage bezüglich der Kündigung: „Der Datenschutzbeauftragte darf von dem Verantwortlichen oder dem Auftragsverarbeiter wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden.“ Unklar ist, ob aus diesem Satz nun ein Kündigungsschutz hervorgeht oder nicht. Vor allem stellt sich auch die Frage, ob der Kündigungsschutz überhaupt in das Themengebiet der DSGVO spielt? 

Doch Gott sei Dank haben wir ja noch unser BDSG-neu. Nach § 6 Absatz 4 BDSG-neu ist festzustellen, dass „die Abberufung […] des Datenschutzbeauftragten […] nur nach entsprechender Anwendung des § 626 [BGB] zulässig [ist und ] eine Kündigung des Arbeitsverhältnisses unzulässig ist, es sei denn, dass Tatsachen vorliegen, welcher der öffentlichen Stelle zur Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist berechtigen.
Der Teufel steckt wie so oft im Detail. Die einjährige Kündigungsfrist gilt für den Datenschutzbeauftragten der öffentlichen Stellen.

In Zusammenspiel mit § 38 Absatz 2 des BDSG-neu wird jedoch ergänzt, dass der Kündigungsschutz auch für nicht öffentliche Stellen gilt, sofern die Benennung eines Datenschutzbeauftragten verpflichtend ist. „§ 6 Absatz 4, 5 Satz 2 und Absatz 6 finden Anwendung, § 6 Absatz 4 jedoch nur, wenn die Benennung einer oder eines Datenschutzbeauftragten verpflichtend ist.“

Fazit Kündigungsschutz

Der Kündigungsschutz für den internen Datenschutzbeauftragten ist demnach ähnlich wie bisher im alten BDSG geregelt.

Auf weitere Haftungsfragen gehe ich im Folgenden ein.

Was halten Sie von der Regelung? Lassen Sie uns gerne in den Kommentaren darüber philosophieren. 

Haftung des Datenschutzbeauftragten

Kommen wir nun zum eigentlichen Thema dieses Artikels und den zentralen Fragen. Wann und in welchem Umfang haftet der Datenschutzbeauftragte? 

Haftung des internen Datenschutzbeauftragten gegenüber dem Verantwortlichen

Ein ganz großer Pluspunkt in Sachen Haftung ergibt sich aus dem Arbeitsverhältnis zwischen dem Datenschutzbeauftragten und dem Verantwortlichen. Arbeitnehmer sollen trotzdem geschützt werden, auch wenn ihnen Fehler unterlaufen. Fehler machen ist menschlich!

Allerdings gibt es rechtlich eine Abgrenzung, wann ein Fehler „versehentlich“ oder sogar „absichtlich“ begangen wurde. Es wird daher unterschieden zwischen einfacher, mittlerer und grober Fahrlässigkeit sowie Vorsatz. Was bedeuten diese Begriffe genau?

Einfache Fahrlässigkeit

Nach § 276 Absatz 2 BGB handelt jemand fährlässig, wenn die im Verkehr erforderliche Sorgfalt außer Acht gelassen wird. Was bedeutet dieser Satz?

Die einfache Fahrlässigkeit ist ein Fehler, der jedem Arbeitnehmer passieren kann. Zum Beispiel fällt das Diensthandy zu Boden und dadurch entsteht ein Displayschaden.

Festzuhalten ist, dass der Datenschutzbeauftragte bei leichter Fahrlässigkeit gegenüber seinem Arbeitgeber nicht haftet.

Mittlere Fahrlässigkeit

Die mittlere Fahrlässigkeit ist vom Wortlauter her etwas schwer abzugrenzen. Um den Unterschied etwas klarer herauszuheben, hilft das nachfolgende Beispiel.

Wird die Handbremse des Dienstwagens nicht angezogen und ein Schaden entsteht dadurch, trägt der Arbeitnehmer eine „Teilschuld“ mit (Landesarbeitsgericht Köln, Urteil von 2002). Die Haftungssumme wird so dann zwischen dem Arbeitnehmer bzw. Datenschutzbeauftragten und Arbeitgeber aufgeteilt.

Grobe Fahrlässigkeit

Die Vorstufe zum Vorsatz ist die grobe Fahrlässigkeit. Typisches Beispiel hierfür ist der Alkoholkonsum während der Arbeitszeit. Passiert daraufhin ein Unfall z.B. mit dem Dienstwagen oder einer zu bedienenden Maschine, spricht man von grober Fahrlässigkeit.

Bei der groben Fahrlässigkeit hat der Datenschutzbeauftragte jegliche Gewissenhaftigkeit außer Acht gelassen, obwohl diese klar zu erkennen hätte sein müssen.

Im Ergebnis ist festzuhalten, dass der Datenschutzbeauftragte für grobe Fahrlässigkeit wie beim Vorsatz vollumfänglich haftet.

Vorsatz

Vorsatz bedeutet, dass der Datenschutzbeauftragte mit Absicht falsch handelt. Auch bei dieser Form hat der Datenschutzbeauftragte für die daraus entstandenen Schäden vollumfänglich zu haften.

Haftungsbeispiele für Datenschutzbeauftragte

 Wie wir bereits wissen, kann der interne Datenschutzbeauftragte je nach Grad der Fahrlässigkeit zur Haftung herangezogen werden. Wir haben uns einige Beispiele überlegt, in welchen es nach unserer Meinung zu Haftungsfällen kommen könnte. Urteile dazu gibt es allerdings noch nicht, hier handelt es sich lediglich um unsere Einschätzung.

Datenschutzbeauftragter ohne Qualifizierung

Hier kommt es drauf an, ob der Mitarbeiter behauptet, er hätte die Qualifizierung eines Datenschutzbeauftragten oder der Arbeitgeber einen Mitarbeiter „einfach so“ ohne Nachweis bestimmt.

Behauptet der Mitarbeiter, er ist für die Ernennung des Datenschutzbeauftragten qualifiziert, obwohl er dies nicht ist, liegt nach unserer Auffassung ein vorsätzliches Handeln vor. Der Arbeitnehmer weiß, er besitzt nicht die Qualifizierung und „lügt“ somit seinen Arbeitgeber an. Schäden, die durch die Falschberatung oder Tätigkeiten als unqualifizierter Datenschutzschutzbeauftragter daraus entstehen, hat der Mitarbeiter vollumfänglich zu vertreten.

Der umgekehrte Fall ist, wenn der Arbeitgeber einen Mitarbeiter als Datenschutzbeauftragten ernennt und er weiß, dass die Qualifizierung des Mitarbeiters nicht gegeben ist. Schulungen oder Fortbildungskurse erhält der zukünftige Datenschutzbeauftragte ebenfalls nicht. In dieser Konstellation haftet somit der Arbeitgeber für die entstandenen Schäden in Bezug auf Datenschutzthemen. Vergleichbar ist dieses Beispiel, wenn der Arbeitgeber wissentlich unqualifiziertes Personal Maschinen bedienen lässt.

Wichtig ist in dieser Situation, dass der benannte DSB seine Geschäftsführung regelmäßig auf diesen Missstand (am besten schriftlich) hinweist.

In beiden Fällen liegt nach unserem Empfinden vorsätzliches Handeln vor.

Falschberatung des Verantwortlichen

Der Datenschutzbeauftragte hat die Aufgabe, den Verantwortlichen in Datenschutzthemen zu beraten. Was passiert, wenn eine Falschberatung erfolgt?

  • Beispiele für die Falschberatung – wir gehen in den Beispielen davon aus, dass der Datenschutzbeauftragte über folgende Umstände in seinem Unternehmen Kenntnis hat und nicht handelt:
  • PCs werden nicht gesperrt, obwohl Kundenverkehr in den Büros herrscht. Dieser Missstand ist dem DSB bekannt, er handelt aber nicht.
  • Veraltete Programme/Tools können weiter genutzt werden, obwohl keine Sicherheitsupdates mehr verfügbar sind. Der DSB müsste hierzu eine Risikoanalyse einfordern. Wenn aus bestimmten Gründen die Verwendung weiter nötig ist, muss dies entweder mit anderen Maßnahmen gesichert werden oder das Risiko entsprechend durch die Geschäftsführung akzeptiert werden.
  • Verwendung nicht datenschutzfreundlicher Kommunikationsmittel z.B. WhatsApp. Es erfolgt keine Meldung an die Geschäftsführung durch den Datenschutzbeauftragten, um dieses Risiko anzusprechen.
  • Zulassung von unverschlüsselten Übertragungen von Gesundheitsdaten. Der Datenschutzbeauftragte weiß Bescheid, unternimmt aber nichts.
  • Die IT-Infrastruktur birgt hohe Risiken für die Verarbeitung personenbezogener Daten. Diese Risiken sind dem Datenschutzbeauftragten bekannt, aber nicht als Risiko identifiziert und der Geschäftsleitung vorgelegt.
  • Videoüberwachung zur Kontrolle der Mitarbeiter wird eingesetzt. Der Datenschutzbeauftragte unternimmt keine Maßnahmen (Vorschläge, Hinweise an die Geschäftsführung), um den Einsatz von Videoüberwachung datenschutzkonform zu gestalten.

Je nach Schwere der Falschberatung ist die Haftungsfolge ausschlaggebend. Zumindest ist nach unserer Meinung die grobe Fahrlässigkeit gegeben.

Nichtbeachtung von meldepflichtigen Datenschutzvorfällen

Als Folge der Falschberatung von Schutzmaßnahmen könnte es mit großer Wahrscheinlichkeit zu einem Datenschutzvorfall kommen.

Ein Beispiel: Durch den ungeschützten Zugang zum Firmennetzwerk erfolgt ein Angriff von außen. Kundendaten werden abgegriffen und auch veröffentlicht. Sofern dieser Vorfall bemerkt wurde, läuft die 72-Stunden-Frist, um die Behörde zu benachrichtigen. Die Mitarbeiter erkennen das Ereignis und benachrichtigen den Datenschutzbeauftragten. Dieser bewertet das Risiko nicht, informiert die Behörde nicht und ignoriert den Vorfall. Es ist schwer einzuschätzen, ob hier noch von grober Fahrlässigkeit gesprochen werden kann.

Wenn sogar die Mitarbeiter diesen Fall als kritisch einschätzen, der Datenschutzbeauftragte keine Maßnahmen und Meldungen durchführt, kann ihm dennoch mit großer Wahrscheinlichkeit vorsätzliches Handeln vorgeworfen werden.

Wie wird nun so ein Fall geprüft? Nachfolgend möchte ich anhand eines sehr einfachen Beispiels kurz und oberflächlich auf eine solche Prüfung eingehen. In der Praxis fließen natürlich mehrere Faktoren, Gesetze, Umstände und die Richtermeinung ein.

Exkursion Prüfungsschema § 280 Absatz 1 BGB

Der Arbeitgeber kann gegenüber dem Datenschutzbeauftragten nach § 280 Absatz 1 BGB ggf. einen Schaden geltend machen.

Beispiel: Herr Schütze ist Datenschutzbeauftragter bei einem Unternehmen. Herr Boss ist sein Arbeitgeber. Im Zuge des Datenschutzes berät Herr Schütze Herrn Boss im Hinblick auf die Sicherung der PCs bezüglich der kurzzeitigen Abwesenheit der Mitarbeiter (z.B. Pause, Toilettengang). Durch den Kundenverkehr im Unternehmen empfiehlt Herr Schütze seinem Chef, die PCs zu sperren. Zusätzlich soll automatisch nach einer Minute der PC gesperrt werden.

Herr Boss geht dieser Empfehlung nicht nach und es kommt, wie es kommen muss. Ein Kunde wird beim Besuch kurzzeitig allein gelassen, spioniert sämtliche Daten aus und veröffentlicht diese. Der Vorfall wird der Aufsichtsbehörde mitgeteilt und diese verhängt ein Bußgeld. Hat der Arbeitgeber Herr Boss einen Schadenersatzanspruch gegen Herrn Schütze?

Ergebnis: Herr Boss hat keinen Anspruch auf Schadenersatz, da Herr Schütze ihn nicht falsch beraten hat bzw. Herr Boss seiner Empfehlung/Beratung nicht nachgekommen ist. Somit hat Herr Boss grob fahrlässig bzw. vorsätzlich gehandelt hat. Herr Schütze kann dies sogar beweisen und legt die Risikoanalyse mit seiner Empfehlung vor.

Haftung des internen Datenschutzbeauftragten gegenüber Betroffenen

Ein weiterer Vorteil des internen Datenschutzbeauftragten besteht darin, dass dieser das Unternehmen rechtlich nicht nach außen vertritt. Es besteht ein Vertrag zwischen dem Unternehmen bzw. dessen Vertreter und dem Kunden. Der Datenschutzbeauftragte haftet erst einmal nicht.

Wie Sie jedoch bereits wissen, kommt es immer darauf an, ob der Datenschutzbeauftragte fahrlässig oder vorsätzlich handelte. Es kann jedoch nicht pauschalisiert werden, inwieweit der Datenschutzbeauftragte gegenüber dem Kunden haftet. Das Thema der sog. „deliktischen“ Haftung nach § 823 Absatz 1 BGB würde jedoch den Rahmen dieses Artikels sprengen, weshalb ich hierauf nicht näher eingehen werde.

Zwischenfazit

Vereinfacht gesagt kommt es darauf an, ob der Datenschutzbeauftragte vorsätzlich bzw. grob fahrlässig gehandelt hat, wenn es um die Haftung gegenüber seinem Arbeitgeber bzw. Kunden/Dritten geht.

Haftung des externen Datenschutzbeauftragten

Die Haftung des externen Datenschutzbeauftragten sieht hingegen etwas anders aus. Zwischen dem Verantwortlichen und dem externen Datenschutzbeauftragten wird kein Arbeitsvertrag, sondern ein Dienstleistungsvertrag (§ 611 BGB) geschlossen. 

Somit haftet der externe Datenschutzbeauftragte für Schäden, die von ihm verursacht wurden, auch bei leichter Fahrlässigkeit.

Aber bitte nicht in Panik verfallen! Im Dienstleistungsvertrag kann die Haftung zwar nicht gänzlich ausgeschlossen, aber teilweise beschränkt werden. Es ist daher ratsam, den beschränkten Haftungsumfang im Vertrag aus Beweisgründen schriftlich festzuhalten. Allerdings ist eine pauschale Bezifferung der Schadenshöhe im Vertrag nicht zulässig, da es immer auf den Einzelfall ankommt, in welcher Höhe und in welchem Umfang der externe Datenschutzbeauftragte haftet.

Des Weiteren ist es sehr ratsam, sich als externer Datenschutzbeauftragter mittels einer Vermögenschadenshaftpflichtversicherung oder Berufshaftpflicht abzusichern.

Bevor wir zum Abschluss kommen, zeige ich Ihnen jeweils die Vorteile eines internen und externen Datenschutzbeauftragten auf. Ob Sie sich nun für einen Internen oder Externen entscheiden, liegt ganz bei Ihnen.Vorteile interner Datenschutzbeauftragter

  • Der Mitarbeiter ist mit dem internen Geschäftsalltag und Strukturen vertraut.
  • Er kann seine der eigenen Berufserfahrung einbringen.
  • Die anderen Mitarbeiter kennen den Datenschutzbeauftragten bereits und unterstützen diesen ggf. besser.
  • Durch die vertraute Arbeitsumgebung ist kein weiteres Einarbeiten und Eingewöhnen nötig. Auch die Kultur des Unternehmens ist bekannt.

Vorteile externer Datenschutzbeauftragter

  • Vertrautheit mit dem Thema „Datenschutz“ durch das Alltagsgeschäft
  • Überblick über die rechtlichen Entwicklungen (Gesetze, Urteile etc.) 
  • Risikoeinschätzung ist nicht durch die sog. „Betriebsblindheit“ beeinträchtigt Fazit

Abschließend möchte ich nochmals die wesentlichen Punkte bezüglich der Haftung von Datenschutzbeauftragten zusammenfassen:

interner Datenschutzbeauftragterexterner Datenschutzbeauftragter
haftet grds. für Vorsatz und grobe FahrlässigkeitHaftet grds. für alle vom ihm verursachten Schäden
keine direkte Haftung gegenüber dem Betroffenen / Kunden / Externen                         Möglichkeit der Haftungsbeschränkung im Vertrag
Kündigungsschutz, sofern ein DSB verpflichtend benannt werden mussAbschluss einer Vermögensschadenshaftpflichtversicherung oder Berufshaftpflichtversicherung

Es ist für jeden Datenschutzbeauftragten wichtig, sich mit dem Thema der Haftung auseinander zu setzen.

Aber egal, für welche Variante Sie sich als Datenschutzbeauftragter entscheiden, so ist es doch unser Ziel und unserer Aufgabe, die Daten von Kunden und Mitarbeitern zu schützen.

Wie können wir Ihre Bedenken der Haftung minimieren?

Stehen Sie als Datenschutzbeauftragter gerade am Anfang Ihrer Aufgaben? Fehlt Ihnen die Struktur und die Übersicht, wie Sie mit dem Thema Datenschutz beginnen sollen? Haben Sie Bedenken, dass Sie vor allem dem Thema der Haftung nicht gerecht werden, weil Ihnen dazu Wissen und Erfahrung fehlen?

Gerne möchten wir Sie bei Ihrem Vorhaben mit unserem DSB-Mentoring unterstützen und Ihnen die Angst vor der Haftung nehmen. Wir begleiten Sie in 12 Wochen Schritt für Schritt mit Anleitungen, Vorlagen, Gruppen- und Einzelmeetings. Bei Fragen zum DSB-Mentoring dürfen Sie sich natürlich gerne jederzeit an uns wenden. Schreiben Sie einfach eine kurze E-Mail an info@datenbeschuetzerin.de

Lassen Sie uns in den Kommentaren darüber philosophieren, wie die Haftung für Datenschutzbeauftragte geregelt ist und ob es eines Kündigungsschutzes für Datenschutzbeauftragte bedarf. Auf Ihr Feedback, Ihre Kommentare und Anregungen freue ich mich schon.  

Scoring & Bonitätsmanagement – im Bezug auf die DSGVO

von Peter | Mai 27, 2019 | Datenschutz | 0 Kommentare

Unternehmen, die sich wirtschaftlich absichern wollen, greifen auf sog. Scorewerte von Auskunfteien (z.B. Schufa, Creditreform, Arvato Infoscore, Bürgel etc.) zurück. Ein Scorewert ist ein Zahlenwert (ähnlich einer Schulnote) und gilt zwischenzeitlich unstreitig als personenbezogenes Datum i.S.d. Art. 4 Nr. 1 DSGVO.

Das bedeutet, dass jede Verarbeitung eines Scorewerts datenschutzrechtlich geprüft werden und legitimiert sein muss.

Für den Händler bedeutet dieses Ergebnis, dass ein Scorewert zu einem Kunden (= natürliche Person) erst dann in den weiteren Kaufprozess einbezogen werden darf, wenn ein tatsächliches wirtschaftliches Ausfallrisiko besteht.
Ein Scorewert darf also nicht pauschal zu Beginn eines Online-Kaufs abgefragt werden, sondern erst, nachdem sich der Kunde für den Kauf auf Rechnung oder für die Zahlung per Lastschrift entschieden hat. Die faktische Umsetzung dieser zeitlichen Abfolge ist also entscheidend für die datenschutzrechtliche Zulässigkeit des Vorhabens.

Scoring & Bonitätsmanagement – Ein erster Überblick

Datenschutz kann ein Wettbewerbsvorteil sein

von Peter | Mai 27, 2019 | Datenschutz | 0 Kommentare

Als vor einem Jahr die Datenschutzgrundverordnung (DSGVO) überall in der Europäischen Union angewendet werden musste, herrschte helle Aufregung: Kritiker warnten, das neue Gesetz werde vor allem für Rechtsunsicherheit sorgen. Ein Jahr später ist die Kritik leiser geworden. Die Behörden gehen eben nicht zum Bäcker und fragen: “Wo ist der Datenschutzbeauftragte dieser Bäckerei?” Strafen gegen kleine Unternehmen blieben daher eher die Ausnahme.
Wir sehen das Thema DSGVO allerdings auch als vertrauensbildende Maßnahme gegenüber ihren Kunden. Denn wer die Vorordnung lebt, zeigt seinen Kunden das er das Thema ernst nimmt und schafft Sicherheit.

Bußgeld in Norwegen

Die Norwegische Datenschutzaufsicht Datatilsynet hat ein Bußgeld in Höhe von umgerechnet 170.000 Euro gegen die Stadtverwaltung von Bergen verhängt.

Der Fall:
Über 35.000 Benutzerkonten von Schülern und Schulangestellten waren offen zugänglich. Fehlende Sicherheitsmaßnahmen führten dazu, dass sich jeder in unterschiedlichste Informationssysteme einloggen konnte. Dabei waren Daten wie Name, Passwort, Geburtsdatum, Adresse, Schulzugehörigkeit und Schulnote des Benutzers einsehbar. Unter anderem war so auch eine digitale Lernplattform erreichbar, in der die schulischen Leistungen der Schüler und die Einschätzungen der Lehrer zu den Leistungen jedes einzelnen Schülers enthalten waren.