Webcheck Homepage

Tipp zur abmahnsicheren Homepage

Oft werde ich gefragt: „Ist unsere Webseite abmahnsicher?“. Dann schaue ich mir an, ob die Informationspflichten nach Artikel 13 der DSGVO erfüllt sind und gebe eventuelle Ergänzungsvorschläge ab.

Webcheck Homepage
Checkliste pink Lizenzfreies Bild von TeroVesalainen Pixabay

Aber die DSGVO ist nur ein Teil der Medaille. Es gibt da noch das Telemediengesetz TMG, das Gesetz gegen den unlauteren Wettbewerb UWG, die Impressumspflichten, Bild- und Lizenzrechte und so weiter.

CB_Tipp: Welches kostenlose Checktool hier gute Dienste leistet, ist meiner Meinung nach dieses: https://www.abmahnung-internet.de/abmahncheck/ *

Wenn Sie eine neue Webseite aufbauen oder den Status quo Ihrer Seite prüfen möchten gehen Sie gerne mal den Fragebogen von eRecht24 durch. Gerne können Sie auch mit mir gemeinsam die datenschutzrelevanten Punkte zu Ihrer Webseite besprechen und meine persönlichen Empfehlungen und Beispiele aus der Praxis nutzen.

*Seitenbetreiber eRecht24 GmbH & Co. KG

Arbeitsanweisung für Marketing- und Vertriebstätigkeiten

Betrifft: Art der Marketing- oder Vertriebstätigkeiten wie bspw. Postalisches Anschreiben, E-Mail, Telefon- oder Fax-Akquise etc.

Zielgruppe: Mitarbeiter des Vertriebs/Marketings

Sehr geehrte Damen und Herren,
Die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung erlaubt die DSGVO ausdrücklich, wenn entweder eine Einwilligung vorliegt, ODER wenn das personenbezogene Datum aus einer eigenen Geschäftsbeziehung stammt (Kundendaten). Da die DSGVO Kunden und Interessenten gleichstellt, bedeutet dass Sie allen Kunden und allen Interessenten Direktwerbung zusenden dürfen, auch online meist auch ohne Einwilligung, aber mit Widerrufsrecht. Daneben gelten weiterhin die Grundsätze des UWG Gesetz gegen den Unlauteren Wettbewerb insbesondere §7 https://www.gesetze-im-internet.de/uwg_2004/__7.html.

Was Sie dabei lediglich beachten müssen sind folgende Rahmenbedingungen:

  1. Es muss in der Direktwerbung ein Subtext mit Hinweis auf die Rechtsgrundlage, ein Link auf die Datenschutzerklärung und eine Information zum Widerruf (bei E-Mails z.B. ein Abmeldelink) vorhanden sein.

Textvorschlag:
„DSGVO Hinweis: Wir versenden diesen Newsletter als Produkt- oder Branchentypische Information an Kunden / Interessenten. Die Zulässigkeit zum Versand beruht dabei auf Art. 6 (1) a) oder f) DSGVO in Verbindung mit UWG § 7 (3). D.h. wir versenden auf Basis Ihrer Einwilligung oder die Produktinformation steht in direktem Zusammenhang mit Ihrem Branchentyp, Interesse oder Kauf. Diese Informationen können als Werbung verstanden werden. Daher gilt hierfür ein uneingeschränktes Widerspruchsrecht. Unsere Ansprechpartner und alle weiteren Informationen zum Datenschutz finden Sie hier: https://www…..del.“

  1. Definition Kunde: Natürliche Personen / Unternehmen, welche im Zusammenhang mit einem Kauf-, Miet-, Wartungs- oder Servicevertrag im ERP/CRM gelistet sind. Das Vertragsende sollte maximal 5 Jahre und darf maximal 10 Jahre zurückliegen.
  2. Definition Interessent: Natürliche Personen / Unternehmen, welche ein Angebot angefordert haben und daher in der Interessentenliste unseres CRM/ERP Systems geführt werden, dieser Eintrag darf nicht älter als 4 Jahre sein. Oder natürliche Personen / Unternehmen, welche bis dato keine Kunden /Interessenten sind uns aber ihre Einwilligung ausdrücklich erteilt haben (zB Newsletteranmeldungen). Diese Einwilligung muss nachvollziehbar dokumentiert sein.
  3. Sonstige, bspw. zugekaufte Kontaktdaten natürlicher Personen / Unternehmen können ggf. wie Interessenten behandelt werden. Dabei ist die Zulässigkeit zu prüfen. Angekaufte Adressdaten dürfen nur genutzt werden wenn bestimmte Voraussetzungen erfüllt sind, z.B. Branchenzugehörigkeit, etc.. Siehe §7 UWG. Zu 4. ist immer Rücksprache mit der Rechtsabteilung empfohlen.
Video DSGVO

Hinweisschild Videoüberwachung

Die DSGVO hat einen hohen Informations- und Transparenzanspruch. Es heißt zum „frühestmöglichen Zeitpunkt“ sollen Betroffene über allerlei (siehe Artikel 13,14 DSGVO) informiert werden.

Video DSGVO
Bild PIRO4D auf Pixabay Video DSGVO

Der frühestmögliche Zeitpunkt im Zusammenhang mit einer Videoüberwachung ist dann, wenn ein Mensch den Erfassungsbereich einer Kamera betritt.

Ein einfaches Piktogramm reicht hier wohl nicht (mehr) aus. Wie soll nun so ein DSGVO konformes Hinweisschild aussehen?

Die unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz – DSK) haben ein Kurzpapier zur Videoüberwachung nach der Datenschutz-Grundverordnung (Kurzpapier 15) veröffentlicht. Hierin enthalten sind u.a. auch Hinweise zu den Informationspflichten der verantwortlichen Stelle. Zusammengefasst heißt das: Nach Ansicht der Aufsichtsbehörden ergäben sich aus Art. 13 DSGVO folgende Mindestanforderungen an die Informationspflichten:

  • Umstand der Beobachtung durch Piktogramm, Kamerasymbol,
  • Verantwortliche Stelle – Name einschl. Kontaktdaten,
  • Kontaktdaten des betrieblichen Datenschutzbeauftragten – soweit benannt,
  • Verarbeitungszwecke und Rechtsgrundlage in Schlagworten,
  • Angabe des berechtigten Interesses – soweit die Verarbeitung auf Art. 6 Abs. 1 S. 1 lit. f DSGVO beruht,
  • Dauer der Speicherung (Art. 13 Abs. 2 lit. a DSGVO),
  • Hinweis auf Zugang zu den weiteren Pflichtinformationen gem. Art. 13 Abs. 1 und 2 DSGVO (wie Auskunftsrecht, Beschwerderecht, ggf. Empfänger der Daten).

Unverbindliches CB Muster:

Hinweis: Der Artikel betrifft öffentlich zugängliche Räume.

Bewerbungseingang bestätigen

Bewerbungseingang bestätigen

Die DSGVO verlangt umfassende Informationen zum frühestmöglichen Zeitpunkt.

Beim Bewerbungsprozess bedeutet dies, dass Sie schon in der Eingangsbestätigung auf Datenverarbeitungsinformationen sowie Betroffenenrechte hinweisen müssen.

Sie suchen eine Standard-Antwort?

Kein Problem. Diese habe ich für meine Kunden im Bereich Datenschutzwerkstatt / Personaldatenschutz als Worddatei eingestellt.

Betriebliche Vorlagen Personalbereich | Einwilligung zur Verwendung von Fotos

Betriebliche Vorlagen Personalbereich | Einwilligung zur Verwendung von Fotos

Neu bei mir in der Datenschutzwerkstatt / Bereich Personal-Datenschutz finden meine Kunden eine Mustervorlage zur Verwendung von Mitarbeiterbildern im betrieblichen Kontext PR, Social Media, Intranet, Internet etc..

Einsatzgebiet: Es handelt sich um eine widerrufliche Einwilligung, wie sie im schnelleditierbaren Bereich des Internets/Intranets/SocialMedias üblich ist.

Bei der Einwilligung zur Bildnutzung ist nicht zwingend ein schriftlicher Nachweis erforderlich. Im Prinzip reicht es völlig, wenn bei der Aufnahme zum (Gruppen)foto auf den Zweck und die Verwendung mündlich hingewiesen und die Einwilligung mündlich erteilt wird. Die Einwilligungserklärung empfiehlt sich im Einzelfall bzw. bedarfsgerecht sozusagen als Beweissicherung, um späteren Erinnerungslücken aus dem Weg zu gehen.

Achtung, nicht zu verwechseln mit der unwiderruflichen Abtretung des Rechts am eigenen Bild. Die unwiderrufliche Bildrechtsabtretung ist ein Formular, welches z.B. Fotografen nutzen, wenn sie Modelle für nachhaltig angelegte Kampagnen einsetzen. Hierzu befragen Sie bitte ihre Werbeagentur oder Fotografen.

WIKI | Meldung des DSB in Bayern

WIKI | Meldung des DSB in Bayern

Leitfaden zur Meldung Ihres Datenschutzbeauftragten (DSB) in Bayern

Seit dem 25. Mai 2018 gilt die neue DSGVO. Laut Art. 37 (7) DSGVO hat die meldepflichtige Stelle die Aufsichtsbehörde über die Bestellung des Datenschutzbeauftragten zu informieren. Für Meldungen in Bayern haben wir für Sie folgenden Leitfaden erstellt:

1. Öffnen Sie das Meldeportal des Bayerischen Landesamt für Datenschutzaufsicht über folgenden Link: https://lda.dsb-meldung.de/
2. Registrieren Sie Ihr Unternehmenskonto mit einer betrieblichen E-Mail-Adresse.
Hinweis: Sollten Sie bereits ein registriertes Konto besitzen, folgen Sie dem Link Login.
3. Klicken Sie nach dem Ausfüllen auf Registrieren.
Sie erhalten umgehend einen Registrierungslink an die angegeben E-Mail-Adresse.
4. Klicken Sie auf den persönlichen Bestätigungslink und komplettieren Sie damit den Registrierungsprozess.
5. Melden Sie Ihren DSB inklusive Angaben der verantwortlichen Stelle, des Datenschutzbeauftragten und Informationen der externen Stelle.

Sie können jederzeit die Meldedaten ändern, Ihr Passwort ändern, eine Bestätigung als PDF-Datei drucken sowohl die Meldung bzw. Ihr Konto löschen.

Datenschutzdokumentationswahnsinn ADV Vertrag

Datenschutzdokumentationswahnsinn ADV Vertrag

Mit wem muss ich denn nun ADV Verträge schließen?

Die Begriffe Verarbeiter und Auftragsverarbeiter stellen eigentlich eine Vereinfachung dar. In der alten Gesetzeswelt waren Begrifflichkeiten deutlich komplexer. Dennoch gibt es Erklärungsbedarf.

Verarbeiter ist jeder der personenbezogene Daten in irgendeiner Art verarbeitet, d.h. weiterleitet, erhebt, zugreift, speichert, verändert oder löscht. All diese Tätigkeiten fallen nun unter den Verarbeitungsbegriff.

Auftragsverarbeiter ist, wer in diesem Zusammenhang von Ihnen als Unternehmen eingekauft –also weisungsgebunden beauftragt- wird, um Daten für Sie zu verarbeiten.

Gemäß Artikel 28 DSGVO sind alle Unternehmen angehalten, mit ihren Auftragsverarbeitern datenschutzkonforme Verträge abzuschließen, landläufig ADV Vertrag genannt. Die große Verunsicherung ist nun: Mit wem muss ich ADV Verträge abschließen?

Wenn man an jeden denkt, der Daten in irgendeiner Art verarbeitet, würde das in der Konsequenz ja bedeuten können, ADV Verträge mit jedem Materiallieferanten zu schließen.

In dem Augenblick, in dem Sie die Adressdaten ihres Kunden an einen Hersteller senden, um dort eine Waschmaschine auszuliefern, verarbeitet er ja Daten. Stop! Gott sei Dank dürfen Sie noch sinnbezogen arbeiten und müssen nicht mit alles und jedem ein Datenverarbeitungsvertrag erzeugen.

Auf Lieferantenseite sind klassischerweise mit ADV Verträgen einzupacken alle, die Zugriff auf Ihre EDV Anlagen haben, das sind externe IT-Dienstleister, das sind outgesourcte ERP-Prozesse oder outgesourcte Lohnverarbeitungsprozesse oder outgesourcte Marketingprozesse, eventuell Dienstleister mit Zugriff auf Einbruch-, Zutrittskontrollen oder sonstige Überwachungssysteme.

Nicht betroffen sind Lieferanten, die zwar theoretisch Kenntnis von Betriebsinternas erhalten können, aber dabei kein Zugriff auf EDV-Anlagen erforderlich ist, wie bei reinen Post und Lieferdiensten oder Reinigungs- und Hausmeisterservices.

Wenn Sie selbst Dienstleistungen verkaufen, die Zugriff auf EDV-Anlagen beinhalten, weil Sie beispielsweise IT-Dienstleistungen an Dritte anbieten oder Zugriff auf Video-Zutrittskontrollanlagen Ihrer Kunden haben, im Rahmen fester Serviceverträge, dann sollten Sie Ihren Kunden einen ADV-Vertragsabschluss anbieten.

Siehe auch:

Mustervertrag-ADV-DS-GVO

WIKI – Auftragsverarbeiter

Cookiewarnung – muss das sein?

Cookiewarnung – muss das sein?

Auf vielen Webseiten wird man mit lustigen, mehr oder weniger informativen Bannern begrüßt. Der Tenor lautet meist, herzlichen Glückwunsch wir haben ein Cookie für Sie. Gelesen wird das Banner oft nicht. In der Regel will man es nur schnell wieder los sein. Da stellt sich zu Recht die Frage, muss das sein und wenn ja in welchem Umfang?

Wie sieht die gesetzliche Seite aus?

Zitat:“

Wie Deutschland mit den Vorgaben der EU-Cookie-Richtlinie umgeht

In Deutschland wurde die Cookie-Richtlinie der EU -2009/136/EG- bis heute NICHT eigens mit einem neuen Gesetz umgesetzt. Der Grund: Die Bundesregierung sieht die Richtlinie bereits mit dem deutschen Telemediengesetz (TMG) als erfüllt an. Jedoch deckt das TMG die Forderungen der EU-Richtlinie nicht umfassend ab. Denn viele verstehen die Cookie-Richtlinie der EU als Anordnung einer Opt-in-Pflicht, wogegen das TMG allein eine Opt-out-Variante vorschreibt. Datenschützer kritisieren deshalb die schwache Umsetzung der EU-Richtlinie. (Anmerkung der Redaktion: Ich nicht, im Gegenteil: Denn meines Erachtens sind Warnungen die ohnehin nicht gelesen werden so überflüssig, wie sauerer Honig)

Da das TMG momentan geltendes deutsches Recht darstellt, müssen Website-Betreiber in Deutschland lediglich folgende Anforderungen erfüllen:

  • Die Nutzer müssen über die Datenspeicherung verständlich und umfassend informiert werden.
  • Die Nutzer müssen der Datenspeicherung widersprechen können.
  • Die Daten dürfen nur anonymisiert gespeichert werden – außer die Nutzer stimmen der Speicherung personalisierter Daten zu.

Zitatende

Quelle: https://hosting.1und1.de/digitalguide/websites/online-recht/die-eu-cookie-richtlinie-teil-1-was-gilt-in-deutschland/

Daran ändert auch die DSGVO ab 25.Mai 2018 nichts. Denn mit den oben genannten Punkten sind die Informationspflichten aus Artikel 13 DSGVO hinreichend erfüllt.

Was ich Seitenbetreibern empfehle:

Machen Sie sich Gedanken, über Ihren technischen Aufbau der Seite. Stellen Sie folgende Fragen:

Setzen wir Cookies ein und zu welchem Zeck? Sind sie notwendig für die Funktion der Seite oder haben sie andere Zwecke? Welche Daten werden dabei genau erhoben, wie lange werden sie gespeichert und ist die Anonymität wirklich gegeben?

Diese Punkte haben Auswirkung auf die Zulässigkeit und alle Antworten sollten auf Ihrer Datenschutzerklärung der Webseite zu finden sein.

Geben Sie bitte keine Daten an Dritte weiter. Der Verkauf von Analysedaten -auch anonymisiert- ist ein absolutes no go.

WIKI – personenbezogene Daten

Im Sinne der DSGVO Artikel 4 Satz 1. bezeichnet der Ausdruck:  Zitat“

„personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind;“

Zitatende

WIKI – Bestellpflicht DSB

WIKI – Bestellpflicht DSB

Ab wann ist ein Datenschutzbeauftragter (DSB) zu bestellen / zu benennen / zu berufen?

Quelle: BDSG-neu §38

Ergänzend zu Artikel 37 Absatz 1 Buchstabe b und c der Verordnung (EU) 2016/679 benennen der Verantwortliche und der Auftragsverarbeiter eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten, soweit sie in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Nehmen der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung nach Artikel 35 der Verordnung (EU) 2016/679 unterliegen, oder verarbeiten sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung, haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen, eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen.