Beiträge

Kein iPhone mehr im Job nach der DSGVO?

, ,

Die DSGVO (Datenschutzgrundverordnung) ist bekanntlich seit 25. Mai 2018 in Kraft. Die Datenschutzerklärungen von Unternehmenswebseiten wurden auf Vordermann gebracht, interne Regeln für den Umgang mit personenbezogenen Daten neu aufgesetzt und ausführliche Verzeichnisse angelegt (so hoffe ich doch …).  

Aber was ist mit den Daten auf dem Smartphone? Vereinzelt gab es Artikel, die vor der Nutzung von WhatsApp im Unternehmen gewarnt haben. Wie aber sieht es mit anderen Funktionen aus? Darf ich Kundendaten auf meinem Handy UND in der Cloud speichern? 

1. Die gesetzliche Lage 

Das Unwort des Jahres wird für viele Unternehmer wahrscheinlich der Begriff „Auftragsdatenverarbeitungsvertrag“ sein. Plötzlich wollte alle Welt Verträge über eine Auftragsdatenverarbeitung abschließen, nicht selten über zehn Seiten lang und mit einer Menge von Fragen, die man detailliert beantworten musste. 

Auftragsdatenverarbeitung ist die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten durch einen Dienstleister im Auftrag eines anderen (so in etwa die Definition auf Wikipedia). Aber nicht jeder Dienstleister ist Auftragsdatenverarbeiter, der Schwerpunkt der Tätigkeit muss hierauf gerichtet sein. Wenn also ein Autohaus personenbezogene Daten verarbeitet, ist es kein Auftragsdatenverarbeiter. Denn der Schwerpunkt der Tätigkeit liegt auf Autos verkaufen / reparieren und nicht auf der Verarbeitung von Daten. Anders bei einem Callcenter, Cloud-Anbieter oder Webhoster. Hier ist der primäre Geschäftszweck auf die Verarbeitung von Daten gerichtet. Wenn man als Unternehmen diese Dienste nutzen möchte, muss man mit den Anbietern einen entsprechenden Auftragsdatenverarbeitungsvertrag abschließen. 

2. Das Problem beim Smartphone

Und genau hier liegt das Problem bei vielen Smartphones. Diese nutzen Cloud-Dienste wie selbstverständlich. Adressbuch oder Kalender in der Cloud sind einfach praktische Tools, die die Arbeit erleichtern. Trage ich unterwegs einen Termin im Handy ein, werde ich später auf meinem Computer daran erinnert. Oder anders herum. Folglich lagern viele personenbezogene Daten in der Cloud, so dass nach Art. 28 Abs. 3 DSGVO ein Vertrag zur Auftragsdatenverarbeitung zwingend erforderlich ist. 

3. Die Lösung in der Praxis

Es gibt hier eigentlich nur zwei Möglichkeiten. Entweder man deaktiviert die Cloud (so die Empfehlung zur Nutzung von WhatsApp mit einer Reihe weiterer notwendiger Maßnahmen) oder man schließt einen Vertrag zur Auftragsdatenverarbeitung ab. Sofern dieser angeboten wird. Einen guten Überblick zu den verschiedenen Möglichkeiten findet sich in dieser Liste.

Was dabei auffällt: Apple fehlt in der Liste vollständig. Google bietet nur für seine speziellen Dienste Verträge an, aber nicht für die schlichte Cloud-Nutzung auf dem Smartphone (hier muss man zur kostenpflichtigen G Suite wechseln). Und WhatsApp fehlt ebenso. 

Da der Auftragsdatenverarbeiter regelmäßige Kontrollen seiner IT-Sicherheit ermöglichen muss, ist nachvollziehbar, wieso einige Konzerne diese Möglichkeit nicht anbieten. Darüber hinaus muss ein Auftragsdatenverarbeiter außerhalb der EU entweder SafeHarbor-zertifiziert sein oder die EU-Standard-Vertragsklauseln mit der verantwortlichen Stelle schließen. 

Vor diesem Hintergrund muss man allen Apple-Usern empfehlen, die Cloud im geschäftlichen Verkehr zu deaktivieren. Dasselbe gilt für die Nutzung WhatsApp. Android-User sollten im geschäftlichen Verkehr ebenfalls die Cloud abschalten oder eine datenschutzkonforme kostenpflichtige Alternative von Google nutzen.  

DSGVO

, ,

Datenschutzgrundverordnung (DSGVO)

Der Stichtag für die Datenschutzgrundverordnung (DSGVO) rückt mit dem 25. Mai 2018 immer näher. Anlass, etwas über die datenschutzrechtlich relevanten Elemente einer Webseite zu schreiben. Um den Nutzer über die von ihm verwendeten Daten umfassend zu informieren, sollte man sich über folgende Punkte Gedanken machen: 

  • Newsletter

    Unabhängig von der Tatsache, welche Newsletter-Programme man verwendet, benötigt der Webseitenbetreiber stets die E-Mail-Adresse des Empfängers. Dabei handelt es sich um personenbezogene Daten, die nach der Datenschutzgrundverordnung (DSGVO) relevant werden.
    Ein anderes Thema in diesem Zusammenhang ist die rechtssichere Einholung der Einwilligung zum Zusenden des Newsletters. Hier ist das sog. „Double-Opt-In-Verfahren“ zu empfehlen, bei dem der Empfänger zweimal in die Zusendung des Newsletters einwilligen muss.

  • Blog mit Kommentarfunktion

    Auch bei einem Blog mit Kommentarfunktion werden personenbezogene Daten (zB IP-Adresse) gespeichert, wenn der User einen Kommentar hinterlässt.

  • Social-Media-Plug-Ins

    Social-Media-Plug-Ins sind von einer bloßen Verlinkung zu unterscheiden, die datenschutzrechtlich nicht relevant ist. Es geht also um die Fälle, wo zB eine Facebook-Seite direkt in die Webseite eingebunden ist und Daten des Users speichert. Auch das ist nach der Datenschutzgrundverordnung (DSGVO) relevant.

  • Websiteanalysedienste

    Websiteanalysedienste wie z.B. Google Analytics oder Adobe Analytics speichern auch Nutzerdaten (zB IP-Adresse), sonst wären sie sinnlos. Hier sollte man die Möglichkeit der pseudonymisierten Speicherung nutzen.

  • Bestell- und Registrierungsvorgänge

    Bei Bestell- und Registrierungsvorgänge werden vor allem Cookies gesetzt sowie sog. Log-Files gespeichert. Daten, die zB in den Cookies gespeichert werden sind Spracheinstellungen, Log-In-Informationen, eingegebene Suchbegriffe, Häufigkeit von Seitenaufrufen, Inanspruchnahme von Website-Funktionen. Auch hier gibt es die Möglichkeit der pseudonymisierten Speicherung.

  • Anzeigen- und Marketing-Dienste

    Die Nutzung von Anzeigen- und Marketing-Diensten kann datenschutzrechtlich ebenfalls relevant werden.

  • Kontaktformular

    Das Kontaktformular einer Webseite ist so gesehen ein Datenfresser, werden hier oft die meisten personenbezogenen Daten erhoben. Das können sein: Name, Anschrift, E-Mail-Adresse, Telefonnummer, Geburtsdatum usw. Hier greift auch die Datenschutzgrundverordnung (DSGVO).

  • Weitergabe der besonderen personenbezogene Daten an Dritte

    Werden besondere personenbezogene Daten an Dritte weitergegeben, muss der Nutzer darüber informiert werden. In Frage kommen Post- oder Bezahldienste sowie andere Dienstleister.

  • Auskunfterteilung nach der Datenschutzgrundverordnung (DSGVO)

Bei der Verwendung von sämtlichen personenbezogenen Daten muss nach der Datenschutzgrundverordnung (DSGVO) künftig Auskunft gegeben werden über: 

  • Art der Nutzung
    siehe oben: Blog, Newsletter, Tracking-Tools etc.
  • Umfang der Nutzung
    zB: „Folgende Daten werden im Rahmen des Registrierungsprozesses erhoben:“
  • Zweck der Nutzung
    zB: „Eine Registrierung des Nutzers ist für das Bereithalten bestimmter Inhalte und Leistungen auf unserer Website erforderlich“ oder
    „Die Verarbeitung der personenbezogenen Daten aus der Eingabemaske dient uns allein zur Bearbeitung der Kontaktaufnahme.“
  • Dauer der Verarbeitung / Löschungszeitpunkt
    zB: „Die Daten werden gelöscht, sobald sie für die Erreichung des Zweckes ihrer Erhebung nicht mehr erforderlich sind“
  • Name und Anschrift des/der Verantwortlichen im Unternehmen / Betrieb
  • Widerspruchs- und Beseitigungsmöglichkeit
    zB „Als Nutzer haben sie jederzeit die Möglichkeit, die Registrierung aufzulösen. Die über Sie gespeicherten Daten können Sie jederzeit abändern lassen.“

    Bei allen Themen rund um den Datenschutz beraten wir Sie gerne!