|
Tobias Lange
Unternehmensberater
Externer Datenschutzbeauftragter
|
|
|
|
|
|
DATENSCHUTZ NEWSLETTER
|
Sehr geehrte Kunden und Abonnenten des Newsletters,
|
ich freue mich Ihnen über Neuigkeiten aus dem Datenschutz berichten zu dürfen und habe folgende Themen heute für Sie ausgesucht:
|
- Rund um die Website: Mailings, Kontaktformulare, Logfiles, Cloud Server etc.
- Identifizierung von Kunden am Telefon.
- Cyper-Versicherungen
|
|
|
1. Rund um die Website
Die meisten Betreiber von Websites haben die Erstellung in Auftrag gegeben und sind dabei davon ausgegangen, dass sie natürlich eine DSGVO konforme Seite bekommen. Ebenso dass ihr Webspace Provider schon alle Vorschriften richtig umsetzen wird. Oftmals ist dass zu optimistisch gedacht.
|
Es beginnt bereits damit, dass jede Website grundsätzlich einen Logfile speichert. Dieses erfolgt durch den Webspace Provider. Dabei gibt es zwei unterschiedliche Formen, nämlich mit anonymisierter IP-Adresse und ohne. Gemäß Entscheidung des EUGH ist eine IP-Adresse ein personenbezogenes Merkmal. Wenn die IP-Adresse nicht anonymisiert gespeichert und verarbeitet wird, dann müsste der Besucher der Website hierzu zustimmen. Das umgeht man derzeit mit dem Hinweis auf ein berechtigtes Interesse des Websitebetreibers. Als Websitebetreiber hat man auch kaum Optionen, denn der Webspace Provider bestimmt hierüber. Was dabei rechtens ist, wird irgendwann durch ein Gerichtsurteil entschieden werden. Wichtig in dem Zusammenhang ist, dass in der Datenschutzerklärung detailliert aufgeführt wird, was als Logfile erhoben wird, auf welcher Rechtsgrundlage die Erhebung erfolgt und, je nach den individuellen Umständen, weitere Details zu Speicherung und Verarbeitung.
|
Auftragsverarbeitung und Webseiten: Grundsätzlich ist der Webspace Provider kein Auftragsverwalter und entsprechend ein AVV-Vertrag nicht erforderlich. Das ist jedoch dann fraglich, wenn ein Logfile mit nicht anonymisierten IP-Adressen gespeichert wird. Es ist auch dann fraglich, wenn auf der Website personenbezogene Daten veröffentlicht werden. Und spätestens dann, wenn jemand auf dem Webserver einen Mailingdienst betreibt, liegt ein Auftragsverarbeitungsverhältnis vor. Für die Praxis ist zu empfehlen, dass man grundsätzlich mit seinem Webspace Provider einen AVV abschließt. In der Regel bieten die Dienstleister dieses von sich aus an. Man kann diesen Vertrag automatisiert mit wenigen Klicks in seinem Kundenbereich abschließen. Damit ist man dann auf der sicheren Seite.
|
Interessant wird es beim Kontaktformular. Hier ist nicht der Datenschutzhinweis entscheidend, sondern vielmehr die Tatsache, ob das ausgefüllte und abgeschickte Formular über dritte Dienste, die die Daten sammeln und verarbeiten, erfolgt. Die meisten Websites heutzutage basieren auf WordPress und nutzen das Plugin "Contact Form 7". Wenn jemand eine Anfrage verschickt, dann denkt der Autonormalnutzer, dass die Anfrage per Email über den Mailserver des Websitebetreibers versandt wird. Diese Annahme ist ein Fehler. Wenn man das nicht explizit einstellt, passiert das so nicht. Dann verschickt das Plugin die Emails über den eigenen SMTP-Mailserver in den USA. Und da sammelt und verarbeitet man fröhlich die Daten. Profiling (Die Zusammenführung mit anderen Daten von diesem Nutzer.) und Weiterverkauf nicht ausgeschlossen. Das ist natürlich nicht rechtskonform mit der DSGVO. Man muss das explizit einstellen. Sehr oft ist das nicht der Fall und nicht nur bei WordPress Seiten und diesem Plugin. Es ist oftmals auch ein gängiges Übersehen beim Versenden von Newslettern.
|
Immer wieder gefragt wird auch das Outsourcing von Daten auf Cloud-Diensten oder Cloud-Servern. Der Cloud-Anbieter ist dabei Auftragsverarbeiter. Mit ihm muss ein AVV abgeschlossen werden. Grundsätzlich spricht nichts gegen die Inanspruchnahme von Cloud-Diensten, wenn ein korrekter AVV vorliegt. Oftmals sind Cloud-Server so gar viel sicherer als eigenständig betriebene Server. Die nächste Frage, die dann immer gestellt wird, ist die nach dem Server-Standort: Muss der Cloud-Server zwingend in der EU stehen? Zwingend muss er das nicht. Insbesondere, wenn er in Ländern des EWR steht oder in Ländern, mit denen ein Angemessenheitsbeschluss besteht. Grundsätzlich kann man mit jedermann an jedem Standort in der Welt einen mit der DSGVO konformen AVV unterschreiben. Entscheidend ist aber, dass der Auftraggeber für den Auftragnehmer weitreichend haftet und diesen unter angemessener Sorgfalt auswählen muss. Gibt es Zweifel am Datenschutz beim Auftragnehmer, hat der Auftraggeber sich vor Ort von den Gegebenheiten ein Bild zu machen. In der Praxis bedeutet dass, das ein Auftraggeber hinreichend sicher sein muss, dass der Auftragnehmer zuverlässig ist und dass Auftragnehmer und Server an einem politisch und rechtssicheren Ort platziert sind. Wo das der Fall ist und wo nicht, will ich hier nicht diskutieren. Bei Ländern mit einem Angemessenheitsbeschluss (Derzeit: Andorra, Argentinien, Kanada, Faröer-Inseln, Guernsey, Israel, Isle of Man, Japan, Jersey, Neuseeland, Schweiz, Uruguay und USA) ist zusätzlich zu beachten, dass ggf. Unternehmen sich diesen Abkommen mit der EU unterwerfen müssen und nicht automatisch wie ein Unternehmen in einem EU Land behandelt werden können. Das gilt gerade beim EU-US-Privacy-Shield Abkommen.
|
Abschließend noch ein Wort zur Datenschutzerklärung auf Webseiten. Die Erklärung ist nicht nur aus Sicht des Datenschutzes zwingend, sondern auch aufgrund des Wettbewerbsrechts. Wer keine Datenschutzerklärung auf seiner Webseite hat, der verstößt gegen eine Marktverhaltensregel und kann von seinen Mitbewerbern abgemahnt werden. Komplizierter wird es, wenn man eine Datenschutzerklärung hat, diese aber mangelhaft ist. Ob der Mangel so schwerwiegend ist, dass damit eine Marktverhaltensregel nicht mehr erfüllt ist, muss im Einzelfall bewertet werden. Eine Abmahnung nach DSGVO durch einen Mitbewerber ist rechtlich jedenfalls weiterhin fraglich. Die Tendenz geht dahin, dass ein Mitbewerber nicht nach DSGVO abmahnen darf, sondern dieses Recht nur Verbraucherverbänden etc. vorbehalten bleibt. Viel entscheidender hierbei dürfte es aber sein, eine Geldbuße durch die Datenschutzbehörden zu vermeiden. Dabei kommt es darauf an, wogegen man verstößt und wie schwerwiegend der Verstoß ist. Für den normalen Websitebetreiber kann man derzeit folgendes festhalten: Am besten sammelt und verarbeitet man mit seiner Website keine personenbezogenen Daten. Damit erledigen sich die größten Risiken von selbst. Wenn man dann noch eine Aufklärung über die Rechte der Betroffenen in seiner Datenschutzerklärung hat, dann ist man so gut wie auf der sicheren Seite.
|
2. Identifizierung von Kunden am Telefon.
Dieser schwierige Punkt war schon Thema des letzten Newsletters. Die Datenschutzbehörden haben sich hierzu nochmal deutlich positioniert. Demnach ist es nicht die Aufgabe der Datenschutzbehörden zu bewerten, ob eine Organisation aus finanziellen, organisatorischen oder sonstigen Gründen ein angemessenes Verfahren für die Identifizierung von Kunden am Telefon hätte einführen können oder nicht? Vielmehr muss jede Organisation die DSGVO umsetzen, unabhängig vom damit verbundenen Aufwand, und ein solches Verfahren zwingend einführen, wenn es schutzwürdige Daten am Telefon herausgibt. Werden schutzwürdige Daten am Telefon ohne eindeutige Identifikation des Betroffenen herausgegeben, gar an einen unberechtigten Dritten, dann wird das bei Kenntnis durch die Datenschutzbehörden sanktioniert werden.
|
Für meine Kunden bleibt also der ernüchternde Schluss, dass Daten wirklich nur dann am Telefon herausgegeben werden dürfen, wenn man sich eindeutig über die Identität des Anrufers versichert hat. Eindeutig heißt, dass man die Person entweder persönlich kennt. Das hat immer ein gewisses Maß an Unsicherheit. Für einen Irrtum haftet die verantwortliche Stelle. Der andere Fall wäre der, dass die Person am Telefon vorab einen Telefon-PIN oder dergleichen übermittelt bekommen hat, der nur dieser Person bekannt ist, und mit dem sie sich eindeutig legitimiert. Andere Verfahren sind nicht mehr zulässig. Insbesondere das Erfragen von Anschrift und Geburtsdatum reicht nicht mehr aus. Auch nicht die Identifikation einer bekannten Rufnummer auf dem Display. Noch nicht abschließend geklärt ist es, wie es sich mit einem Telefonrückruf bei einem Betroffenen verhält? Sofern man im Besitz einer privaten Rufnummer der betroffenen Person ist, könnte man das Telefonat auflegen und sodann diese Nummer anrufen bzw. zurückrufen. Derzeit geht man davon aus, dass ein privates Telefon von einem Betroffenen keinen Zugang zu nicht berechtigten Personen, die sich als der Betroffene selbst ausgeben könnten, hat bzw. vom Betroffenen angemessen sicher verwahrt und in der Nutzung unberechtigter Dritter beschränkt wird. Im Zweifelsfall ist derzeit, mangels eines anderen sicheren Verfahrens, also angeraten, den Anruf aufzulegen und umgehend mit der in den eigenen Unterlagen vermerkten privaten Rufnummer zurückzurufen. Das ist leider aufwendig und für alle Beteiligten unangenehm. Die meisten Betroffenen haben dafür aber Verständnis.
|
3. Cyper-Versicherungen
Last but not least, die Cyper-Versicherungen. Ein Kunde sprach mich darauf an, ob diese Versicherungen Sinn machen. Cyper-Versicherungen sind auch auf dem Thementag des BSI (Bundesamt für die Sicherheit in der Informationstechnologie) Ende März in Hamburg ein Punkt der Tagesordnung. Ich formuliere es einmal so: "Das Produkt trendet!"
|
Auch wenn das Produkt offensichtlich im Trend liegt, so muss es deswegen nicht unbedingt sinnvoll sein. Die meisten Versicherungen zielen hierbei nur auf Phishing oder Pharming Attacken ab, bei denen ein definitiver Schaden entsteht. Zum Beispiel dadurch, dass ein Dritter Zugang zum Konto gewinnt und von dort Geld unberechtigt wegüberweist, das nicht mehr rückgeholt werden kann. Und dabei die Schuld hierfür beim Kontoinhaber und nicht beim Kreditinstitut liegt, das den Schaden somit auch nicht erstatten muss. Dazu kommt, dass die versicherten Summen in den meisten derartigen Versicherungen sehr niedrig sind. Gängig sind Beträge bis zu EUR 3.000,00. Ob eine Versicherung hier sinnvoll ist? Ich möchte es einmal so sagen: Wer eine sehr große Angst davor hat und mit einer solchen Versicherung nachts besser schläft, der sollte sich mit einer Gebühr von ca. EUR 3,00 monatlich seinen Frieden im Kopf erkaufen. Ansonsten sehe ich den Nutzen im Verhältnis zum wirklichen Vorkommen des Versicherungsfalls nicht gegeben.
|
|
Wirklich sinnvolle Versicherungen gegen Datenschutzverstöße gibt es noch weniger. Ob eine allgemeine Mangerhaftpflichtversicherung hierbei greift, ist sehr fraglich. In der Regel gilt, dass wenn ein Geschäftsführer/Manager gegen bestehendes Recht verstößt, eine Versicherung nicht leistet. Wenn man dann den Fall betrachtet, wie es sich verhält, wenn man alles erdenkliche korrekt getan hat und es trotzdem zu einem Schaden kommt, dann wird man sehr individuelle Umstände im Einzelfall analysieren müssen. Etwas generelles kann man hierzu kaum sagen. Nur dass die beste Versicherung wohl die ist, seine Daten angemessen technisch und organisatorisch zu schützen. Der Datenschutz und Versicherungen gegen Datenverluste sind meines Erachtens ein Zukunftsfeld, dass sich erst in den nächsten Jahren erschließen wird. Die Parameter, wie Höhe der Geldstrafen, des Schadenersatzes und die Häufigkeit der Fälle, sind noch zu unbekannt, dass sie von Versicherungen berechnet werden könnten. Insbesondere wenn es sich um derartige Produkte für kleinere Unternehmen von der Stange handelt.
|
|
|
Ich bedanke mich für Ihre Aufmerksamkeit und hoffe, dass Sie die Themen interessant fanden. Im nächsten Newsletter wird es um das Thema Datenschutz im Arbeitsverhältnis gehen und die Frage, ob die DSGVO auch eine Stärkung für die Schutzrechte von Arbeitnehmern darstellt.
|
Tobias Lange
Unternehmensberater
Externer Datenschutzbeauftragter
|
|
|
|
|
Tobias Lange - Unternehmensberater
|
Externer Datenschutzbeauftragter
Zustellungsfähige Anschrift:
Tegelsbarg 53, 22399 Hamburg
Steuernr.: 50/139/02404
Finanzamt Hamburg Oberalster
Email: info@dsb-hh.com
Web: www.dsb-hh.com
|
|
|
|
  
|
|
|
|
