Aktuelle Themen

Voriger
Nächster

Da ist wohl was schief gegangen…

Die Geschichte von Walter K. und dem Thema Datenschutz.

Im August 2018 war sich Walter K. sicher: Er braucht einen Datenschutzbeauftragten!

Aktiviert durch Presse und Rundfunk aber dem Grunde nach völlig ahnungslos war über einen befreundeten Anwalt auch schnell “Jemand” gefunden………

Dieser Herr “Jemand” war dann als Berater “öfter mal da” und präsentierte gut gelaunt, welche Aufgaben Walter K. als Verantwortlicher hat.

Die Liste der ToDos war lang. Herr “Jemand” fragte regelmäßig nach und erinnerte Walter K. an die zu erledigenden Aufgaben.
Er rief sogar mal an und schickte E-Mails.

250 Euro pro Monat kostet Walter K. diese Dienstleistung
…bis jetzt also 10.500 € … lesen Sie weiter im linken Slide!

[Evers - 05.02.2022]

Unsere neue Webseite ist “relauncht”

Auch wenn wir diese Anglizismen wie in diesem Falle das Wort “relauncht” nicht so unbedingt mögen und gerne auf einer sprachlichen Ebene mit Ihnen kommunizieren, die Sie verstehen, heißt das doch, dass wir es endlich geschafft haben, Ihnen unser umfangreiches und sich stets erweiterndes Angebot auf eine völlig neu gestaltete Webseite zu integrieren.

Wir versuchen Ihnen hier auf Basis einer verständlichen Formulierung das “Fachchinesisch” des Datenschutzes zu ersparen.

Gleichzeitig möchten wir Ihnen den ehrlichen Eindruck vermitteln, dass wir nicht die typischen Datenschutzbeauftragten sind, die nur einmal im Jahr mit einem Arbeitspaket bei Ihnen im Unternehmen für Wirbel sorgen und dann erst im nächsten Jahr wieder aus der Versenkung kommen um zu prüfen, ob Sie das Arbeitspaket abgearbeitet haben. Auch sind wir keine Datenschutzbeauftragte, die Ihnen sagen, dass etwas nicht geht, sondern wir nehmen Sie immer an die Hand, um Ihnen zu sagen, wie es besser geht. Besser bedeutet dabei nicht nur “besser” im Datenschutz, sondern auch oftmals besser in der Organisation. Das machen wir durch Optimierungsvorschläge, die wir im Laufe unserer zusammengefasst mehr als 125 Jahre Erfahrungen als DSZ-Expertennetzwerk für Sie mitbringen.

Wir sind auch keine Datenschutzbeauftragte, die “geduldige Papiertiger” auf “LowCost-Basis” für Ihr Regal erzeugen, die Ihnen das Alibi verschaffen, dass Sie wenigsten ein bisschen “Datenschutz” gemacht haben.

Datenschutz lebt und ist fester Bestandteil des Unternehmens und kann sogar maßgeblich zum Unternehmenserfolg beitragen. Bei unseren Kunden gibt es auch tatsächlich Fälle, in denen der Datenschutz Bestandteil der Wertschöpfungskette ist.

Viel Spaß auf unseren Seiten – und immer dran denken:
Wir machen das einfach für Sie!

[Evers - 25.01.2022]

Schützen Sie Ihr Unternehmen

Der Schutz der Daten im Unternehmen ist eine besondere Herausforderung und wird noch oftmals vernachlässigt. 

Welche Daten gilt es denn zu schützen?

Personenbezogene Daten

In einem Unternehmen werden vielfältig Daten natürlicher Personen im B2C- als auch Daten juristischer Personen im B2B-Bereich verarbeitet.

Der Datenschutz gilt ausschließlich für Daten natürlicher Personen. Diese personenbezogenen Daten verarbeiten Sie auf Grundlage eines “Erlaubnisvorbehaltes”. Das heißt auf Deutsch, dass Sie einen Grund haben, diese Daten zu verarbeiten. Haben Sie keinen Grund, keinen Zweck definiert, der es Ihnen erlaubt, diese Daten von Menschen zu verarbeiten, ist die Verarbeitung unzulässig und damit verboten!

Grundlage dieses Verbots ist grundsätzlich die “informationelle Selbstbestimmung”, die bedeutet: “Jeder Mensch hat das Recht, selber zu entscheiden, wem er seine Daten preisgibt und wie derjenige diese Daten verarbeiten darf.”

Diese Informationelle Selbstbestimmung wurde am 15. Dezember 1983 im Rahmen des “Volkszählungsurteiles” des Bundesverfassungsgerichtes erstmalig erwähnt. Das auf dieses Urteil folgende Datenschutzgesetz hatte allerdings keine wirksamen Rechte für betroffenen Personen, deren Daten verarbeitet werden, implementiert. Das ändertes sich erst mit der DSGVO im Mai 2018.

Nun haben Sie seit jeher – eben mindestens seit dem Volkszählungsurteil – die Pflicht, die Verarbeitung dieser personenbezogenen Daten  ausreichend und nach dem Stand der Technik zu schützen. 

Das geschieht durch ein “Potpourri” an Maßnahmen technischer und organisatorischer Art, die in gekonnter “Komposition” zu einem individuellen Schutz Ihrer Daten führt. Stets nach dem Prinzip PDCA (Plan-Do-Check-Act) kontrolliert, angepasst und erneuert. Natürlich gibt es für diese “Komposition” auch Notenblätter, damit jeder weiß, welche “Rolle” er spielen muss. Das nennt man “Datenschutzdokumentation”. 

Eine Ihrer Pflichten als Unternehmer ist nämlich die Dokumentations- und Rechenschaftspflicht, die wir mit diesem “Orchestersatz an Noten” erfüllen.

Sehen Sie selber, wie individuell der Datenschutz ist.

Und unter uns, der Datenschutz ist eigentlich schon so alt wie das alte Testament, denn dort stand im achten Gebot: “Du sollst nicht falsch Zeugnis reden wider deinen Nächsten.”, denn oftmals verhindert ordentlicher Datenschutz, dass über Menschen z.B. mit Hilfe von Algorithmen Bilder “gezeichnet” werden, die der Person erheblich schaden. Auch hier sind wir Datenschützer mit an Bord, die das verhindern sollen.

Betriebs- und Geschäftsgeheimnisse

Die Business Intelligence (BI – Business Analytics, Data-Mining, Datenvisualisierung, Datentools und -infrastruktur sowie Best Practices) als auch Geschäftsgeheimisse wie Managementstrategien, Erfindungen und Produktionsgeheimnisse sind zumeist in der IT, dem wichtigsten Arbeitsmittel in einem Unternehmen, gespeichert. Dort liegen sie in vielen Fällen ungesichert, Und so wunderte sich bereits der eine oder andere Konstrukteur auf internationalen Messen, an einem asiatischen Stand seine Erfindung fertig aufgebaut, gefräst und herausgeputzt zu finden, die es bei ihm im Unternehmen bisher nur in CAD-Dateien gibt. Sie glauben das nicht? Na, dann fragen Sie mal beim Zoll nach, was da so alles schon beschlagnahmt wurde.

Warum schützen Sie diese Daten nicht, die in vielen Fällen die Existenz Ihre Unternehmens bedeuten?

Lassen Sie uns darüber reden!

Wir machen das einfach für Sie!

[Evers - 25.01.2022]

Das Google Analytics Dilemma

Die österreichische Aufsichtsbehörde DSB nennt den Einsatz von Google Analytics rechtswidrig – Was bedeutet das für Unternehmen in Europa und im Speziellen in Deutschland.

Es ist ja nichts Neues – eigentlich…

Der Wegfall des Privacy Shields

Das Abkommen „Privacy Shield“ war der Nachfolger vom „Save Harbour“-Abkommen und sollte den Datentransfer in die USA regeln. Fehler im Abkommen und die DIFFERENZ zum Europäischen Datenschutz aber vor allem der CLOUD-Act führten zu diesem Urteil. Das ist sicher eine sehr oberflächliche Darstellung des Sachverhaltes, trifft aber den Kern.

Die Google-Analytics-Problematik erzeugt bei uns Datenschutzbeauftragten ein lachendes und ein weinendes Auge. Zum einen hat der Aktivist Max Schrems sicher einen guten und wichtigen Vorstoß hinsichtlich der Betroffenenrechte der Besucher von Webseiten getan. Das kann für unsere Berufsgruppe nur gut sein.

Andererseits hat dieses EuGH-Urteil eine Last für die Webseitenbetreiber, die viele noch gar nicht realisiert haben und die potenziell gefährlich in Bezug auf einen dadurch entstehenden Schaden für das Unternehmen ist. Und das betrifft leider nicht nur den Betrieb der Webseite sondern sämtliche Dienste, die ihren Ursprung oder ihre Heimat in den USA haben

Der Hauptschwerpunkt der Kritik durch Max Schrems liegt hierbei im Cloud-Act.

Doch was ist denn nun dieser Cloud Act?

Zunächst sei gesagt, dass das Wort CLOUD im Namen primär nichts mit den Datenablagen (Cloud) zu tun hat sondern für „Clarifying Lawful Overseas Use of Data Act“ steht.

Hierüber schreibt Wikipedia recht verständlich:

„Das Gesetz verpflichtet amerikanische Internet-Firmen und IT-Dienstleister, US-Behörden auch dann Zugriff auf gespeicherte Daten zu gewährleisten, wenn die Speicherung nicht in den USA erfolgt.

Umgekehrt können über diesen Weg auch ausländische Firmen Zugriff auf Daten erhalten, die von US-Konzernen im Ausland gespeichert werden. Infolge des Gesetzes sollen bilaterale Abkommen ausgearbeitet werden, die es ausländischen Behörden ermöglichen, ihre Anfragen direkt an die Konzerne zu stellen. Hiermit würde eine gerichtliche Kontrolle bei einer Abfrage außen vor bleiben, was zu Kritik durch Datenschützer geführt hat.“

Das Urteil steht jetzt erstmal für sich. Dabei ist allerdings zu beachten, dass die damals untersuchte Webseite – die Untersuchung liegt mehr als 1 Jahr zurück – die Anonymisierung nicht aktiviert hatte und auch im Cookiebanner Google Analytics (GA) nicht genannt wurde.

Was ist zu tun?

Es ist mit datenschutzfreundlichen Einstellungen, der ausführlichen bzw. ausreichenden Darstellung des berechtigten Interesses der verantwortlichen Person als auch der korrekten Konfiguration eines datenschutztauglichen Cookiebanners möglich, diesen Dienst zu nutzen. Wir weisen unseren Kunden natürlich auch regelmäßig auf Alternativen hin.

Viel interessanter ist jedoch die Frage WARUM Google Analytics (GA)in die Webseite eingebunden ist und ob dieses Tool überhaupt von Marketing und Geschäftsführungen genutzt wird. Wir haben in den meisten Fällen oftmals die Antwort bekommen, dass die Analysen aus GA „derzeit“ nicht verwendet werden, aber „es könne schon sein, dass man das in Zukunft vielleicht machen werde“.

In einigen Fällen waren die Verantwortlichen gar nicht im Bilde, dass GA überhaupt genutzt wird bzw. hatten keine Kenntnis darüber, dass dieser Dienst neben einigen anderen Diensten von Google und anderen Drittlandsempfängern auf der eigenen Unternehmenswebseite integriert ist.

In solchen Fällen heißt es dann von uns: Weg damit!

Hier lässt man Webdesigner oftmals freie Hand bzw. setzt aus Kostengründen auf die Inhouse-Kompetenzen von Mitarbeitern/innen, die mit gefährlichem Halbwissen wenig Einblick haben, was sie da alles auf der Webseite „anstellen“.

Beispiel hierfür: ein YouTube-Video wird auf der eigenen Webseite per Embedded Link eingebunden. Das führt dazu, dass insgesamt 3 Dienste urplötzlich und ohne Zutun fortan Daten an Google senden. Das ist Google, GoogleFotos und eben YouTube. Entfernt man das Video wieder, verbleiben immer noch die beiden anderen Dienste.

Unser Tipp

Geben Sie die Betreuung der Webseite in vertrauensvolle Hände. Akzeptieren Sie, dass eine gute Webseite gutes Geld kostet. Machen Sie sich auch Gedanken darüber, wie der ROI (Return of Invest) und die Gefahr eines Schadens (z.B. Sanktionen durch die Aufsichtsbehörden) ausschauen würden. Betreiben sie eine Risikoabschätzung und vergeben Sie danach das Ganze an Profis.

Das allerwichtigste ist jedoch: Schalten Sie ihre/n Datenschutzbeauftragte/n ein. Diese Person hat dann hoffentlich Erfahrung in der Analyse von Webseiten und kann die Sache kontrollieren und bei Abweichung eingreifen.

Haben sie das nicht oder sie benötigen hierzu Hilfe fragen Sie einfach uns. Wir machen das einfach für Sie.

Wir haben sowohl bei der Analyse als auch bei Datenschutzinformationen Cookiebanner interessante Angebote. Auch die Beurteilung von Dienstleistern im Bereich der Webseiten-Agenturen helfen wir gerne und stimmen dann auch gerne direkt mit dem Dienstleister die erforderlichen Änderungen ab. So haben sie den Kopf frei für Aufgaben, mit denen Sie ihr Geld verdienen.

Sehen Sie: wir sind Teil Ihrer Wertschöpfungskette!

Fazit

Für den einen ein „Segen“ für die andern ein Desaster, betrifft diese Angelegenheit doch nicht nur Webseiten sondern alle anderen Dienste wie AWorks, Monay, Microsoft365, Zoom usw. die alle ihre Heimat in den USA haben. Zwar kann man in den Einstellungen datenschutzfreundlich oftmals den Speicherort einstellen, doch das ist oftmals eher Kulisse und selten bekannt. Da müssen unter Umständen Experten ran. Ihr IT-Dienstleister weiß in aller Regel, wie das geht.

Dieses Urteil trifft vor allem Unternehmen, die Menschen (also Betroffene) beschäftigen und mit Ihrem Unternehmen an der gesellschaftlichen Entwicklung unseres Landes beitragen.

Das darf man niemals aus dem Fokus verlieren und man muss die Kirche im Dorf lassen.

Das sehen auch Aufsichtsbehörden so.

Glaubhaft wird ein bestimmtes Handeln eines Verantwortlichen gegenüber Aufsichtsbehörden dann, wenn er die Nutzung eines US-amerikanischen Dienstes dokumentiert. Das geht am besten mit einem erfahrenen Partner wie uns an Ihrer Seite.

Wir scheuen den Kontakt zu Aufsichtsbehörden nicht und haben in unserem Netzwerk fruchtbare Kontakte, die so manche Verarbeitung, die zunächst unmöglich erscheint, nach unserem Ansatz – nach unserer Arbeit – wieder möglich machen.

Bedenken Sie:
  1. Ihre Webseite ist Ihr Aushängeschild, Ihre Visitenkarte.
  2. Ihre Webseite ist das Erste, was sich eine Aufsichtsbehörde ansieht.

Sprechen wir darüber?

Wir machen das einfach für Sie!

[Evers - 28.01.2022]