Aus Know-how wird Do-how

Facebook & Datenschutz - eine (scheinbar) unendliche Geschichte

09.05.2019

Im Juni 2018 gab es ein Urteil vom EuGH bzgl. der gemeinsamen Verantwortlichkeit von Facebook und dem Seitenbetreiber eines Facebook-Auftritt sowie eine Mitteilung der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (= DSK oder Datenschutzkonferenz). Unsere Empfehlung damals war die Deaktivierung der Fanpages und Abwarten, was passiert. Nachdem in den folgenden Monaten allerdings keine Abmahnwelle über Deutschland schwappte, haben einige unserer Kunden die Fanpages wieder frei geschaltet.

Facebook hat auf das Urteil ebenfalls reagiert und am 11. September 2018 eine sog. „Seiten-Insights-Ergänzung bezüglich des Verantwortlichen“ sowie „Informationen zu Seiten-Insights“ veröffentlicht wurden. Damit war klar, dass der Seitenbetreiber der Informationspflicht gemäß Artikel 13 DSGVO nachkommen muss. Leider bot Facebook hierzu keine Möglichkeit durch ein Plugin an, so dass es eigentlich nur den Weg über einen Workaround gab: die Datenschutzerklärung der eigenen Homepage. Um – ähnlich wie auf der Homepage – den direkten Klick zur Datenschutzerklärung zu ermöglichen, war unsere Empfehlung, die Angabe zur Webseite im Informationsbereich so anzupassen, dass bei Klick auf die Webseite nicht die Startseite der Unternehmens- oder Vereinshomepage angezeigt wurde, sondern sofort die Datenschutzerklärung zu sehen war.

Nun hat die Datenschutzkonferenz im April 2019 nochmals Stellung bezogen: 
"[...]  Diese von Facebook veröffentliche „Seiten-Insights-Ergänzung bezüglich des Verantwortlichen“ erfüllt nicht die Anforderungen an eine Vereinbarung nach Art. 26 DSGVO. Insbesondere steht es im Widerspruch zur gemeinsamen Verantwortlichkeit gemäß Art. 26 DSGVO, dass sich Facebook die alleinige Entscheidungsmacht „hinsichtlich der Verarbeitung von Insights-Daten" einräumen lassen will. [...] Sowohl Facebook als auch die Fanpage-Betreiber müssen ihrer Rechenschaftspflicht nachkommen. Die Datenschutzkonferenz erwartet, dass Facebook entsprechend nachbessert und die Fanpage-Betreiber ihrer Verantwortlichkeit entsprechend gerecht werden. Solange diesen Pflichten nicht nachgekommen wird, ist ein datenschutzkonformer Betrieb einer Fanpage nicht möglich. "

Das ausführliche Positionspapier gibt es unter: 
https://www.datenschutzkonferenz-online.de/media/dskb/20190405_positionierung_facebook_fanpages.pdf

Der Landesdatenschutzbeauftragte von Baden-Württemberg äußerte sich in seinem Twitter-Account ebenfalls zu dieser Thematik und der geplanten Vorgehensweise: "Erst setzen wir uns mit öffentlichen Stellen auseinander, die Fanpages betreiben. Private Betreiber sprechen wir danach an." Das bedeutet aber nicht, dass nicht-öffentliche Betreiber nun aus dem Schneider sind, sondern nur, dass es zu Verzögerungen kommen wird.

Aus diesem Grund empfehlen wir aktuell, Facebook-Auftritte zu deaktivieren, bis die Datenschutzkonformität gewährleistet ist. Es sollte sich jeder Verein und jedes Unternehmen Gedanken machen, ob der Facebook-Auftritt für Marketing und Umsatz wirklich so "schlachtentscheidend" ist, dass das Risiko für Abmahnungen eingegangen wird. Das Gleiche gilt übrigens auch für Instagram-Accounts, denn Instagram gehört zu Facebook.

Den Hinweis, wie man eine Facebook-Seite deaktiviert, hat Facebook hier versteckt:
https://www.facebook.com/help/214376678584711?helpref=search&sr=1&query=Facebook-Seite%20deaktivieren

Sollte die Seite über einen anderen Facebook-Nutzer betrieben werden, gibt es die Chance, die Sichtbarkeit der Seite auf "Seite nicht veröffentlicht" zu stellen, d.h. es sehen nur noch die Personen mit Berechtigungen auf der Seite, wie Redakteure oder Administratoren, die Seite. Diese Einstellungen findet man wie folgt: Innerhalb von Facebook auf die betreffende Seite gehen - Einstellungen - Allgemein - ganz oben Punkt "Sichtbarkeit der Seite" - Option "Seite nicht veröffentlicht" auswählen und speichern.

Wir haben uns selbstverständlich für die Deaktivierung entschieden. Unser Facebook-Auftritt ist seit heute Morgen nicht mehr sichtbar. Über unsere Homepage erhalten Sie aber weiterhin aktuelle Meldungen in unserem Blog „Vom Know-how zum Do-how“.

Sobald von Facebook eine datenschutzkonforme Lösung angeboten wird, melden wir uns wieder!

Bettina Baumbusch / Syntargo GmbH

Die Datenpanne - Albtraum eines jeden Unternehmens oder lösbare Aufgabe?

06.05.2019

Die neue Datenschutzgrundverordnung stärkt die Rechte eines Betroffenen zum Schutze seiner Daten. Der Begriff „Datenpanne“ ist das üblicherweise genutzte Wort für das, was ein Datenschutzbeauftragter wohl als den „worst case“ bezeichnen würde: die Verletzung dieses Schutzes personenbezogener Daten. So wiederum wird die Datenpanne in Artikel 4 S. 12 DSGVO im Juristendeutsch genannt.

Werfen wir einmal einen genaueren Blick auf diesen Artikel bzw. die genannte Begriffsbestimmung und schauen uns an, was sich hinter einer Datenpanne genau verbirgt. Eine Verletzung kann in verschiedenen Formen erfolgen: Die betroffenen personenbezogenen Daten wurden vernichtet, gingen verloren oder wurden verändert – dies ist entweder unbeabsichtigt oder sogar unrechtmäßig passiert. Zusätzlich gelten auch eine unbefugte Offenlegung bzw. ein unbefugter Zugang als Verletzung des Schutzes personenbezogener Daten. Selbstverständlich können die oben genannten Dinge nur mit Daten passieren, die innerhalb eines Unternehmens übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.

Ein paar Beispiele aus dem wahren Leben sollen die theoretische Definition des Begriffes etwas verständlicher machen: Im September 2018 wurden im Internet Passwörter von Kunden der Plattform knuddels.de im Klartext veröffentlicht. Ein Hacker hatte es geschafft, sich Zugriff auf deren Server zu verschaffen. Da die Passwörter alle im Klartext auf diesem Server gespeichert waren, konnte der Hacker diese problemlos und ohne weitere Anstrengungen auslesen. Im November wurde bekannt, dass knuddels.de ein Bußgeld in Höhe von 20.000 € bezahlen muss, da die Passwörter nicht in verschlüsselter Form abgelegt waren. Im Dezember 2018 ging eine weitere, sehr weitreichende Datenpanne durch die Medien: Die bekannte Hotelkette Marriott wurde ebenfalls Opfer eines Hackerangriffs. Der Kriminelle erhielt Einblick in über 500 Millionen Kundendatensätze einschließlich Kreditkartennummern. Hier stellte sich heraus, dass die verwendete IT-Systeme nicht mehr auf dem neusten Stand waren.

Aber eine Datenpanne muss nicht immer der „Super-GAU“ sein, der durch die Medien geht, sondern kann trotz regelmäßiger Datenschutz-Schulung von Personal und Vorstandsmitgliedern auch im Kleinen vorkommen. Auch hierzu ein paar Beispiele: Ein Mitarbeiter verschickt eine E-Mail mit Rechnung an einen Kunden. Die Autovervollständigung schlägt verschiedene Adressen, die ähnlich beginnen vor. Der Mitarbeiter wählt die Adresse aus dieser Liste aus. Er sendet die E-Mail ab. Im Nachgang stellt er fest, dass er sich verlesen hatte und die E-Mail an den falschen Kunden versandt wurde. Ein weiteres Beispiel: Einem Außendienst-Mitarbeiter wird das Notebook mit Kundendaten gestohlen. In beiden Fällen liegt eine Datenpanne vor, bei der unbedingt gehandelt werden muss, auch wenn der Umfang der betroffenen Personen nicht so groß ist wie in den beiden vorherigen Beispielen.

Kein Mensch ist perfekt. Datenpannen können vorkommen. Wichtig ist, dass bei Auftreten einer Datenpanne, selbst beim Verdacht, dass eine Datenpanne vorliegen könnte, gehandelt wird und das Ereignis nicht unter den Tisch gekehrt wird. Denn hierbei geht es für ein Unternehmen nicht nur um Bußgelder, die bei Nichthandeln und Bekanntwerden eventuell zu bezahlen sind, sondern auch um das Image des Unternehmens sowie die eigene Möglichkeit aus Fehlern zu lernen und sich dadurch zu verbessern.

Artikel 33 DSGVO beschäftigt sich mit der Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde. Hier wird unter anderem beschrieben, wer (der Verantwortliche) in welchem Zeitraum (72 Stunden) an welche Stelle (die zuständige Aufsichtsbehörde) eine Datenpanne melden muss. Es wird aber auch ganz klar definiert, wann keine Meldung notwendig ist: Die „Verletzung des Schutzes personenbezogener Daten führt voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen“. Artikel 34 DSGVO beinhaltet Regelungen, wann und in welcher Form die Benachrichtigung der von der Datenpanne betroffener Person zu erfolgen hat.

Was ist beim Auftreten einer Datenpanne innerhalb eines Unternehmens zu tun? Hierzu sollten bereits vorab zwei Dokumente für Mitarbeiter existieren und frei zugänglich sein. Einmal eine Arbeitsanweisung, wie vorzugehen ist, wenn eine Datenpanne aufgetreten ist oder bereits der Verdacht vorliegt, dass eine Datenpanne eingetreten sein könnte. Des Weiteren ein Formular mit Fragen, deren Beantwortung zur Dokumentation des Vorfalls aus Mitarbeitersicht dient. Auf diese Weise kann sichergestellt werden, dass die Mitarbeiter eines Unternehmens im Fall der Fälle etwas in der Hand hat, um richtig zu agieren.

Im Falle einer Datenpanne muss klar definiert sein, welche Person als erstes darüber zu informieren ist. Dies kann der Geschäftsführer, der Datenschutzbeauftragte oder der Datenschutzkoordinator sein. In der Arbeitsanweisung sind eine Telefonnummer sowie eine E-Mail-Adresse anzugeben, unter denen der zuständige Ansprechpartner zu erreichen ist. Wir empfehlen zur SOFORTIGEN Information einen Telefonanruf. Bei Nichterreichbarkeit ist es wichtig auf jeden Fall, eine Nachricht auf dem Anrufbeantworter oder der Mobilbox zu hinterlassen. Diese Nachricht sollte neben dem Anliegen in wenigen Sätzen auch den Namen des Anrufenden sowie eine Telefonnummer enthalten, unter welcher der Anrufende in den nächsten Stunden erreichbar sein wird. Bei Meldung einer Datenpanne an den zuständigen Ansprechpartner kann das Formular mit den Fragen (das zweite Dokument für Mitarbeiter) als Orientierung dienen. Es sollte auf jeden Fall im Nachgang auch noch ausgefüllt werden, um eine schriftliche Dokumentation zu haben. Nur mit Hilfe dieser Angaben ist es der Geschäftsführung und dem Datenschutzbeauftragten möglich, die Situation korrekt zu beurteilen und ggf. die Meldung an die Aufsichtsbehörde im vorgegebenen Zeitraum zu erledigen.

Wie geht es nun weiter? Die Geschäftsführung als verantwortliche Stelle setzt sich mit dem Datenschutzbeauftragten an einen Tisch und trifft unter Berücksichtigung der Artikel 33 und 34 DSGVO die Entscheidung, ob die Behörden und die Betroffenen zu informieren sind. Die gesetzliche Meldefrist beträgt 72 Stunden, deswegen ist es sehr wichtig, dass die genannten Informationen zeitnah weitergeben!

Im Falle einer Datenpanne gilt: Lieber einmal zu viel gemeldet als einmal zu wenig. Selbst beim Verdacht, es könne eine Datenpanne vorliegen, sollten der Zuständige informiert werden. Fehler passieren – dies gilt auch für Datenpanne. Der größte Fehler, der auch arbeitsrechtliche Konsequenzen haben kann, wäre es allerdings, eine Datenpanne nicht zu melden und unter den Tisch zu kehren!

Im Idealfall erfolgt eine spezielle Mitarbeiterschulung für die Vorgehensweise bei Datenpannen, die auch als eine 12-minütige Videoaufnahme von uns zur Verfügung gestellt werden kann.

Bettina Baumbusch / Syntargo GmbH

Facebook Jobs – eine neue Möglichkeit für Bewerbungsverfahren

05.03.2019

Nachdem es bereits in vielen anderen Ländern im Einsatz war, wurde Facebook Jobs im Juni 2018 auch in Deutschland eingeführt. Hierdurch besteht für Unternehmen – Zielgruppe sind mittelständische und handwerkliche Kleinbetriebe – nun eine neue Möglichkeit, Stellen über ihre Facebook-Seite auszuschreiben. Die Ausschreibung erfolgt nicht wie bisher durch einen Link auf die firmeneigene Homepage, sondern direkt in Facebook. Ein Bewerber wiederum kann sich durch Facebook Jobs direkt innerhalb von Facebook bewerben, indem er dort seine Bewerbungsdaten einträgt und abschickt.

Dieses neue Angebot ist natürlich eine tolle Möglichkeit, schnell Stellen auszuschreiben bzw. sich zügig zu bewerben, aber aus Datenschutz-Sicht sollte man doch noch ein paar Dinge im Hinterkopf haben: Alle Daten, die innerhalb der Facebook-Seite vom Besucher eingetragen werden, liegen sowohl Facebook selbst als auch dem Seitenbetreiber, in unserem Falle also dem Unternehmen, vor. Hierüber muss auch ein Bewerber gemäß Artikel 13 DSGVO informiert werden. Da Facebook derzeit noch keine Möglichkeit bietet, eine Datenschutzerklärung direkt auf der Facebook-Seite zu erstellen, kann dies nur über die Datenschutzerklärung auf der eigenen Homepage umgesetzt werden.

Unseren Vorschlag für einen entsprechenden Passus, der sowohl das Bewerbungsverfahren als auch notwendige Informationen bzgl. Facebook und Facebook Jobs finden Sie hier.

Wenn in Ihrer Datenschutzerklärung bereits Passagen zum Bewerbungsverfahren oder Facebook enthalten sind, können Sie unseren Vorschlag selbstverständlich so umformulieren, dass Dopplungen vermieden werden.

Wie kann der Bewerber nun auf diese Information aufmerksam gemacht werden?

Dies ist relativ einfach: Ein Bewerber erhält auch bei dieser Form der Bewerbung eine Eingangsbestätigung seiner Bewerbung. In dieser Bestätigung muss auf die Datenschutzerklärung der Firmen-Homepage verwiesen werden. Soll die Information noch detaillierter erfolgen, kann zusätzlich darauf hingewiesen werden, an welcher Stelle innerhalb der Datenschutzerklärung die Information zu finden ist.

Bettina Baumbusch / SYNTARGO GmbH

Neue Passwortrichtlinien? / Neue Passwörter

16.02.2019

Jetzt ist es endlich offiziell: Passwörter mit acht Zeichen oder weniger sind unsicher! Mittlerweile ist es möglich, ein acht Zeichen langes Passwort in unter zwei Stunden zu knacken. Das bedeutet für diejenigen, die noch ein 8 Zeichen Passwort einsetzen, dass sie es schnell ändern sollten. Dass das neue Passwort eine ausreichende Länge (mind. 12 Zeichen sind ein guter Anfang) und eine gewisse komplexität haben sollten, versteht sich von selbst.

Bitte denken Sie auch daran, für jede Anwendung / Webseite wie zu. Google / Facebook / ebay / Instagram... ein eigenes Passwort zu verwenden. Mehr zum Thema Passwörter finden Sie z. B. beim BSI (Bundesamt für Sicherheit in der Informationstechnik)

Um mit den ganzen neuen Passwörtern nicht durcheinanderzukommen, können Sie einen sogenannten Passwortmanager einsetzen. Diese gibt es in Online Versionen oder als Software zur Installation. Ein sehr bekannter Vertreter ist Keepass. Diesen Passwortmanager gibt es schon lange und auch auf unterschiedlichen Betriebsystemen.

Bitte immer daran denken: Nutzen Sie Passwörter mit mehr als 8 Zeichen und für jeden Dienst / Anwendung / Zugang ein Anderes!

Oliver Steiner / SYNTARGO GmbH

Adressänderung bei Google

06.02.2019

Was ist passiert?
Bisher hatte Google den zuständigen Sitz in den USA. Seit dem 22. Januar 2019 liegt die Zuständigkeit für die EU/EWR und die Schweiz bei Google Irland.

Die neue Adresse lautet:
Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland

Welche Google-Dienste umfasst diese Änderungen?
Dies umfasst alle Dienste, welche Google betreibt – und das sind über siebzig Verschiedene an der Zahl. Natürlich sind nicht alle Dienste relevant in Verbindung mit einem Einsatz auf einer Homepage bzw. in Verbindung mit Datenschutz und müssen deswegen auch nicht in der Datenschutzerklärung aufgelistet werden. Oftmals werden jedoch Dinge wie Google Fonts, Google Analytics, Google Maps, Google AdSense sowie YouTube eingesetzt.

Was ist zu tun?
Alle Homepage-Betreiber, deren Sitz im Europäischen Wirtschaftsraum oder in der Schweiz ist, müssen alle Adressangaben von Google und zugehörigen Google-Firmen (z.B. YouTube) in der Datenschutzerklärung angepasst werden.

Bettina Baumbusch / SYNTARGO GmbH

Bußgeld wegen des Fehlens eines Auftragsverarbeitungsvertrags

20.01.2019

Kurz vor dem 25.05.2018 haben unsere Kunden hunderte von Auftragsverarbeitungsverträgen bekommen mit der Bitte, diese zu unterschreiben, ob es nun eine Auftragsverarbeitung der Fall war oder nicht. Viele Diskussionen haben wir hinter uns und auch sorgfältige Prüfung der Auftragsverarbeitungsverträge.

Die aktuelle Meldung aus Hamburg bestätigt nun unsere Sogfalt! Nachdem das ersten Bußgeld in der Republik i. H. v. 20.000 EUR durch die Datenschutzbehörde in Baden-Württemberg verhängt wurde, hat nun auch die Datenschutzbehörde in Hamburg die Geldbuße i. H. v. 5.000 EUR für ein kleines Versandunternehmen festgesetzt.

Mehr Information dazu finden Sie in dem Artikel bei heise.de.

Rückblick und Vorschau

27.12.2018

Einen Rückblick für das alte Jahr und einen Blick nach vorne in Sachen Datenschutz durften wir in der Fachzeitschrift des Verbands deutscher Glasbläser e. V. in der Dezember-Ausgabe erläutern.

Hier können Sie den Artikel lesen.

Die Weihnachtspost muss auch in diesem Jahr nicht ausfallen!

19.12.2018

Alle Jahre wieder…

... planen viele Unternehmen, Weihnachtspost an ihre treuen Kunden zu versenden. Doch nachdem in diesem Jahr die DSGVO in Kraft getreten ist, sind viele Unternehmen verunsichert, ob sie ihre jährliche Tradition mit der Weihnachtspost so wie bisher beibehalten dürfen. Wir klären Sie darüber auf, worauf Sie achten müssen.

Um Weihnachtsgrüße per Post zu versenden, benötigen Unternehmen in der Regel keine vorherige Einwilligung der Kunden. Der Versand von Weihnachtspost gehört schließlich zur Pflege einer guten Kundenbeziehung und dient der Kundenbindung. Das stellt für das Unternehmen ein berechtigtes Interesse im Sinne des Art. 6 DSGVO dar und ist damit zulässig.

Der Kunde hat allerdings ein Widerspruchsrecht nach Art. 21 DSGVO. Danach kann er der Verwendung seiner Daten zu Werbezwecken widersprechen. Sollte der Kunde bisher über sein Widerspruchsrecht nicht informiert worden sein, dann sollte es spätestens in Verbindung mit der Weihnachtsgrüße erfolgen. Außerdem sollte man in der Weihnachtspost, auch wenn kurz, auf die Datenverarbeitung hinweisen. Hierfür genügt ein kurzer Hinweis auf die Datenschutzerklärung mithilfe eines Links.

Befolgt man diese Regel, steht der alljährlichen Weihnachtsgrüße per Post nichts mehr im Wege!

Doch wie sieht es denn mit der Versendung von Weihnachtsgrüßen per E-Mail aus?

Grundsätzlich wird Werbung per E-Mail als „unzumutbare Belästigung“ im Sinne des Gesetzes gegen den unlauteren Wettbewerb (UWG) eingestuft und darf daher nur mit ausdrücklicher Einwilligung versendet werden. Doch wie fast bei jeder Regel, gibt es auch hier Ausnahmen, wann das Versenden von Werbung und damit auch von Weihnachtspost auch ohne vorherige Einwilligung erlaubt ist. 

Das ist der Fall, wenn das Unternehmen die E-Mail-Adresse des Kunden im Zusammenhang mit dem Verkauf von Waren oder Dienstleistungen erhalten hat, er diese E-Mail-Adresse nun zu eigenen Werbezwecken verwendet und der Kunde dieser Verwendung nicht widersprochen hat. Außerdem müssen Sie auch bei Versendung von Weihnachts-E-Mails klar und deutlich darauf hinweisen, dass man der Verwendung der jeweiligen E-Mail-Adresse jederzeit widersprechen kann. Ein kurzer Hinweis auf die Datenschutzerklärung mit Hilfe eines Links sollte hier ebenfalls nicht fehlen.

In diesem Sinne wünschen wir allen Unternehmen und ihren Kunden Frohe Weihnachten und einen guten Rutsch ins neue Jahr!

Irina Freitag / SYNTARGO GmbH

1. Bußgeld in Baden-Württemberg

Das erste Bußgeld in Baden-Württemberg verhängt, 20.000 EUR! Anlass für das Bußgeld war ein Verstoß gegen de Datensicherheitsvorgaben des Art. 32 DSGVO (Stichwort: technische und organisatorische Maßnahmen.  Es lohnt sich, jetzt zu überprüfen, ob die Sicherheitsmaßnahmen in Firmen dem Stand der Technik entsprechen. Oft wird es unterschätzt, wie viele Prozesse organisatorisch geregelt werden können, manchmal bringt die Akzeptanz der gesezlichen Vorschriften und der sorgfältige Umgang mit Daten auch schon einiges!

Mehr Informationen dazu finden Sie auf der Seite des LfDI-Baden-Württemberg: externer Link