Was sollte man über die Nutzung von Social Media-DIensten wie Clubhouse, WhatsApp und Co beachten?

Die “digitale Sorglosigkeit” im Umgang mit amerikanischen Softwareplattformen.

Eine wichtige Information für alle die, die ihre Onlinepräsenz durch Die Nutzung von Diensten wie Clubhouse u.a. verbesern wollen:

Clubhouse ist wie Facebook, WhatsApp, Twitter etc. ein amerikanisches Unternehmen. Dadurch, dass die USA derzeit durch den Wegfall des US-PrivacyShield ein unsicheres Drittland ist, ist die Legitimierung des Datentransfers in die USA mittels der EU-Standardvertragsklauseln notwendig.

Was bedeutet denn nun Datentransfer?
Nehmen wir mal an, dass Sie meine Kontaktdaten in ihrem Handy gespeichert haben und sie nicht mich sondern irgendeinen anderen Kontakt ihres Adressbuches im Handy zu ClubHouse einladen möchten. Dabei werden ALLE Kontakte von ihrem Handy auf Server in den USA hochgeladen. Hierzu benötigen Sie meine schriftliche Einwilligung – und natürlich auch die Einwilligung sämtlicher anderer Kontakte in ihrem Adressbuch.

Das Ganze hat schriftlich zu erfolgen in informierter Weise, auf den jeweiligen konkret definierten Zweck bezogen, transparent und mit Hinweis darauf, dass ich diese Einwilligung jederzeit für die Zukunft zurückziehen kann. Haben sie nun 100 Kontakte in ihrem Adressbuch brauchen sie 100 schriftliche Einwilligungen.

Das basiert auf der “Informationellen Selbstbestimmung”. Das bedeutet, dass ich – und nur ich – bestimmen darf, wer meine Daten zu welchem Zweck verarbeitet. Das bezieht sich auf die Artikel 1 und 2 des Grundgesetzes und auf die Artikel 7 und 8 der EU-Grundrechtecharta. Haben Sie die Einwilligungen nicht, steht mir im Falle, dass ich das nicht toleriere und sie verklage, eine Schadensersatz zu. Dazu gibt es bereits einschlägige Gerichtsurteile.

Im Falle der Aufklärung einer Beschwerde durch eine betroffene Person (in diesem Fall ich) prüft die Aufsichtsbehörde das Vorhandensein dieser Einwilligung. Weiterhin wird geprüft, ob sie folgende “Hausaufgaben im Datenschutz” erledigt haben:

  1. Dokumentation der externen Datenempfänger mit Prüfung der Notwendigkeit einer Vereinbarung zur Auftragsverarbeitung nach Artikel 28 der DSGVO der – sofern es sich um ein unsicheres Drittland handelt – das Vorliegen der EU-Standardvertragsklauseln.
  2. Definition geeigneter technischer und organisatorischer Maßnahmen (TOMs), die die “Verarbeitung” sicherstellen (Bsp. unternehmensweite Vorgaben zur Speicherung von Kontakten in dienstlichen Handies)
  3. Dokumentation der vorliegenden Einwilligungen der Kontakte in ihrem Handy.
  4. Definition von Verarbeitungstätigkeiten im Verzeichnis der Verarbeitungstätigkeiten ggf. mit Risikoeischätzung und Ableitung, ob eine Datenschutzfolgenabschätzung notwendig bzw. sinnvoll ist.
  5. Erstellen einer Datenschutzfolgenabschätzung, falls auf ihrem Handy auch sensible Daten natürlicher Personen gespeichert sind und diese “abhanden” kommen könnten.
  6. Definition von Maßnahmen, Internen Richtlinien, die die Verarbeitung personenbezogener Daten (hierzu gehört in diesem Fall auch die unerlaubte Weitergabe von Daten au dem Handy) regeln. Z.B. “Verwendung von Apps wie ClubHouse, WhatsApp und Co. nur auf Smartphones, die die Kontakte enthalten, für die man eine schriftliche Einwilligung des jeweiligen Kontaktes hat”, um nur eines der wenigen Beispiele zu nennen, die man hier ansetzen kann.

Haben Sie diese Hausaufgaben gemacht, sieht es ganz gut aus, denn die Bemessung des Bußgeldes nimmt darauf Rücksicht, ob Sie ihren Dokumentations- und Rechenschaftspflichten nachgekommen sind. Siehe hierzu den Bußgeldkatalog der DSK.

Wir reden hier gerade von Bußgeldern und Schadensersatzsummen, die die Existenz ihres Unternehmens erheblich beeinflussen könnten.
Also Augen auf bei Verwendung von ClubHouse und Konsorten…

Der eigentliche “Showstopper” in dieser Angelegenheit findet sich jedoch hier: https://clubhouse.io/gdpr-privacy.

Sämtliche Daten werden zu Werbe- und Marketingzwecke an Dritte weitergegeben. Das bedeutet, dass meine Daten, die ich nur Ihnen zur Verfügung gestellt habe und die eh schon ohne meine Einwilligung durch ihre Aktivitäten auf das entsprechende Portal hochgeladen wurden, durch Anerkennen der Datenschutzerklärung (die sie wahrscheinlich nicht durchgelesen aber bestätigt haben) meine Daten an anderen Dritte weitergegeben werden.

Stategie: Datenschutz Voriger Nächster Sowohl aus Sicht des Verantwortlichen im Unternehmen, der die Gewissheit haben möchte, dass das oftmals “leidige” Thema Datenschutz …

Phishing, Smisching, Vishing

Banken warnen vor SMS und E-Mails, die auf eine Phishing – Seite führen Phishing, Smishing, Vishing und viele andere Begriffe “geistern” durch …

Soziales Engagement ist uns wichtig! Wir betrachten soziales Engagement als wichtige gesellschaftliche Stütze. Ohne Menschen im Ehrenamt, ohne Sponsoren und sonstige Wohltäter …

Voriger Nächster Unser Newsletter Früher war es eine große Aufgabe, an die benötigten Informationen zu gelangen, heute ist es eine sehr große …

Voriger Nächster Angriff auf Ihr Unternehmen! Täglich passiert genau dieser hier geschilderte Vorfall in deutschlands Unternehmen… und das vermutlich nicht nur einmal …

Voriger Nächster Hobby: Webdesign Die Erstellung einer Webseite, die womöglich auch noch einen wertschöpfenden Erfolg haben soll, ist weder eine “Nachmittagsbeschäftigung” eines …

Kinder-Datenschutz: Leitfaden für Eltern Für viele Eltern ist der Spagat zwischen  “was erlaube ich meinem Kind?” und “welche Gefahren lauern im Internet?” …

Voriger Nächster Schützen Sie Ihr Kind! Kinder-Datenschutz: Die Internetnutzung bei Kindern ist ein heiß diskutiertes Thema. Während die einen Eltern ihren Sprösslingen …

Voriger Nächster Muss man hier denn alles selber machen? Aufgaben abgeben an Dienstleister. Der AV-Vertrag regelt notwendige Zuständigkeiten und  Verantwortlichkeiten … muss ich …

AV-Vertrag: Der richtige Inhalt AV-Vertrag – diese Abkürzung hat sich manifestiert und steht grunsätzlich für „Vereinbarung zur Auftragsverarbeitung nach Artikel 28 der …

Voriger Nächster Da ist wohl was schief gegangen… Die Geschichte von Walter K. und dem Thema Datenschutz. Im August 2018 war sich …

Voriger Nächster Walter K. hat seit gestern ein riesiges Problem Seine Firma wurde angegriffen. Alle Daten sich verschlüsselt. Gibt es eine Datensicherung …

Voriger Nächster 100 Euro für die Katz… Walter K. hat mal wieder ein Problem. Dieses mal betrifft das Problem seine Webseite. Er …

Voriger Nächster Es kann ganz schnell gehen Cyberbedrohungen haben derzeit den höchsten Stand erreicht! Die “Einschläge” kommen näher. Nahezu täglich melden sich …

Voriger Nächster Schwachstellen sind Betriebsgeheimnisse Sie sollten allerdings mit den Richtigen darüber reden! Haben Sie das schon mal testen lassen? Was kam …

Voriger Nächster Albtraum Cyberangriff Oft passiert es im Hintergrund und die Wurzeln des Übels wurden vor Monaten platziert Die Kunst in einem …

Schild

Datenschutz wird im Unternehmen nicht für die Aufsichtsbehörden umgesetzt sondern für die betroffenen Personen, deren Daten man verarbeitet. Datenschutz ist das Recht …

gluebirne

Etliche Unternehmen jedweder Größe betrachten Datenschutz bisher als Ablasshandel. Da hat man dann aber schnell die Rechnung ohne den Wirt gemacht! Denn …

Haben Sie schon gehört, gelesen oder es hat Ihnen jemand erzählt?  Seit dem 20.01.2022 hat jeder, der Ihre Webseite besucht, oftmals einen …

Benutzer

Betroffene Personen haben das Recht, ihre Einwilligung in die Verarbeitung ihrer Daten zu widerrufen (Recht auf Widerruf der Einwilligung). Vor der Abgabe …

Benutzer

Wenn nicht richtige Daten zu einer Person verarbeitet werden, so kann deren Berichtigung verlangt werden. Unvollständige Daten müssen unter Berücksichtigung des Zwecks …

Benutzer

Wenn bestimmte Löschgründe vorliegen, so hat der Betroffene einen Anspruch auf die Löschung (Recht auf Löschung) der personenbezogenen Daten. Dies ist insbesondere …

Benutzer

Mit dem Recht auf Einschränkung der Verarbeitung können Betroffene unter bestimmten Voraussetzungen erreichen, dass ihre personenbezogenen Daten beim für die Verarbeitung Verantwortlichen …

Benutzer

Betroffene haben das Recht, die eigenen Daten von einem Verantwortlichen zu einem anderen Verantwortlichen zu übertragen. Zu diesem Zweck muss der Verantwortliche …

Benutzer

Betroffene haben ein Recht auf Widerspruch auch gegen rechtmäßige Datenverarbeitungen, die im öffentlichen Interesse liegen, in Ausübung öffentlicher Gewalt oder aufgrund des …

Benutzer

Die Verarbeitung von personenbezogenen Daten kann Menschen in vielerlei Weise betreffen. Diese Rechte “Betroffenenrechte” sind ein Kernbestandteil der DSGVO. Um diese Rechte …

Benutzer

Betroffene dürfen einer rein automatisierten Entscheidung – einschließlich Profiling – nicht unterworfen werden, wenn diese rechtlich relevant ist oder erheblich Beeinträchtigung bedeutet. …

gluebirne

Viele Unternehmen fragen sich, ob sie einen Datenschutzbeauftragten bestellen müssen. Alle Informationen zur Bestellpflicht Sehen Sie im folgenden Video einfach und nachvollziehbar, …

aufgaben

Wer muss einen Datenschutzbeauftragten bestellen? Die Pflicht zur Bestellung eines Datenschutzbeauftragten trifft nach DSGVO vorrangig Behörden und öffentliche Stellen. Aber auch Unternehmen deren Kerntätigkeit in der besonders umfangreichen Verarbeitung personenbezogener Daten …

information

“privacy by design” und “privacy by default” … zwei Formulierungen, die Ihnen immer wieder unterkommen. Die “datenschutzfreundliche Technikgestaltung” und die  “datenschutzfreundliche Voreinstellungen” …

recht

Für den IT-Dienstleister, der dem Kunden beratend und umsetzend zur Seite steht, ergibt sich aus dieser “Symbiose” ein ernsthafter Interessenskonflikt Der IT-Dienstleister …

information

Nach der Datenschutzgrundverordnung ist die Verarbeitung personenbezogener Daten nur dann rechtmäßig, wenn eine der sechs in Art. 6 Abs 1 DSGVO aufgeführten …

information

…und was nutzt mir dieses Audit? Beim Datenschutzaudit handelt es sich um eine Prüfung, inwieweit die Umsetzung der Datenschutzbestimmungen in einem Unternehmen …

information

Was sind denn überhaupt personenbezogene Daten und für wen gelten diese? “Personenbezogene Daten” sind alle Informationen, die sich auf eine identifizierbare oder …

internet

§Trittbrettfahren auf miese Weise. 100 € für einen Webseitenbesuch Viele Kunden von uns erhalten derzeit Briefe, in denen Sie aufgefordert werden, 100€ …

information

Die Rolle des Verantwortlichen in der DSGVO! Wer ist für den Datenschutz im Unternehmen verantwortlich? Die Regelungen der Datenschutzgrundverordnung (DSGVO) richten sich …

recht

Bei einer Datenschutzpanne erhalten nicht Berechtigte Zugriff auf Daten. Durch diesen Zugriff werden Betriebsgeheimnisse und/ oder personenbezogene Daten Unberechtigten bekannt. Im weiteren …

aufgaben

Die Aufgaben, Befugnisse, Zuständigkeiten, Zusammenarbeit und Unabhängigkeit der Aufsichtsbehörden sind in der Datenschutz-Grundverordnung geregelt: Kapitel VI | Kapitel VII Die Hauptaufgabe ist es, die Einhaltung der …

aufgaben

Eine wichtige Grundlage von Unternehmenserfolg und vom Datenschutz sowie der IT-Sicherheit sind aktive und gesunde Mitarbeiterinnen und Mitarbeiter. Die Erfüllung der Auskunftspflicht …

internet

Die “digitale Sorglosigkeit” im Umgang mit amerikanischen Softwareplattformen. Eine wichtige Information für alle die, die ihre Onlinepräsenz durch Die Nutzung von Diensten …