Wie verbessert man als Unternehmen den eigenen CO²-Fußabdruck? Auf jeden Fall, indem man einfach mal anfängt, sensibel mit der „CO²-Brille“ im Unternehmen umherzuschauen. Wir optimierten Prozesse im Unternehmen, haben unser Einkaufsverhalten verändert und der Punkt „Umwelthemen“ steht auf unserer wöchentlichen Agenda.
Um unter aktuellen Bedingungen auch energieeffizienter unterwegs zu sein, erfolgte nun in der Anschaffung eines E-Autos ein nächster Schritt. Mit der Welt der E-Mobilität halten auch neue Begrifflichkeiten und Procedere ihren Einzug bei der Avallon. Wir tanken nicht mehr, sondern laden Ökostrom. Wir geben zwar immer noch Gas, aber eigentlich ja nicht und bremsen ist nun rekuperieren.
Auf jeden Fall machen wir mit unserem Gefährt weniger Geräusche beim Fahren, können oft in der ersten Reihe parken und müssen – auch mit Schnellladeanschluss – planvoller unterwegs sein, damit die nächste Ladestation sinnvoll genutzt werden kann. Wie neulich, am Kreuz Schüttdorf, wo sich unser Avallon-Mandant Wolfgang Weidling von WW Consulting GmbH und Avallon-Mitarbeitende Jutta Schober-Stockmann zufällig an einer Ladestation trafen und ein wenig E-Fachsimpeln konnten.
Willkommen in der Welt der E-Mobilisten.
Datenschutz Beauftragter Martin Beckmann
Assessor jur. Martin Beckmann ist ein erfahrener Volljurist, war 17 Jahre Fachanwalt für Arbeitsrecht und ist Spezialist für Arbeits- und Gesellschaftsrecht. Als zertifizierter Datenschutz Berater und Auditor verbindet er Arbeitsrecht und Datenschutz in digitalen betrieblichen Matrixstrukturen sowie u.a. für Compliance- und Qualitätsmanagement, internationalen Datentransfer, Haftungsrecht, Steuer- und Vertragsrecht.
Die persönlichen Interessen unseres „Westfalen“ gelten natürlich dem Fußball und seiner Familie – und natürlich in umgekehrter Reihenfolge. Er bezeichnet sich selbst gerne als einen ritterlichen Datenschützer, der auch in der Arbeitswelt 4.0 noch Bücher liest und sich lieber auf seine Menschenkenntnis verlässt als auf Künstliche Intelligenz (KI).
Die Auswirkungen von EU-Richtlinien und Verordnungen in Deutschland haben ihn seit vielen Jahren beschäftigt und als Anwalt bis vor den Großen Senat des Europäischen Gerichtshofs geführt. Er bezeichnet die Datenschutz-Grundverordnung (DSGVO) mit ihren Vorgaben an Management und Organisation als mustergültige „Segelanleitung“ für die Umsetzung zukünftiger Gesetze und EU-Verordnungen und sagt: „Den Willen zum digitalen Wandel von Gesellschaft und Arbeitswelt begleiten die Gesetzgeber in Berlin und Brüssel aktuell mit einer regelrechten Flut neuer Regelungen und Auflagen für die Unternehmen und Arbeitgeber. Wer hier den Anschluss verliert, schiebt Kosten und Risiken vor sich her.“
Im Avallon Team stellt er sich der Aufgabe, verständliche und praktikable Lösungen zu entwickeln, die im Unternehmen tatsächlich „gelebt“ werden können. Sein Leitmotiv ist der „menschliche Datenschutz“, der nicht überfordert, sondern fördert.
Heute erreichte uns eine sehr besondere Lieferung: Textile Abdeckungen für Mund und Nase. Als Datenschützer sind es normalerweise wir, die liefern: Sicherheit, Datenschutz, Beratung und vor allem Antworten auf mitunter sehr komplexe Fragestellungen zum Thema Datenschutz. Heute wurden wir beliefert. Von einem unserer Mandanten, der Firma Hinrichs Bekleidungswerk GmbH aus Großefehn, gut bekannt über das Label „Club of Comfort®“.
Da es seit heute auch in Niedersachsen eine Pflicht zum Tragen von Masken gibt, haben wir von der Avallon entschieden, unsere Mitarbeitenden damit auszustatten, um sie beim Schutz ihrer Gesundheit weiter zu unterstützen. Wir stellen jeder/jedem sechs Masken – ein Sixpack – als Grundausstattung in beige und Avallon-blau zur Verfügung.
Liane Wittmann, kaufmännische Assistentin, und Jörg Stockmann, Geschäftsführer, sichten den gerade angekommenen Karton in gebührendem Abstand. Sofort sind die perfekte Passform mit Nasenbügel (für Brillenträger wichtig) und die Kellerfalten für besonderen Tragekomfort aufgefallen – und schlagen somit die ansonsten einzig mögliche Alternative: den Ritterhelm.
Ganz herzlichen Dank, Herrn Hinrichs, für die Lieferung!
Gerade in Krisen zeigt sich die Wichtigkeit und Stabilität von Beziehungen; geschäftlicher und persönlicher. Die aktuelle Corona-Pandemie nimmt in einem solchen Ausmaß Einfluss auf unser aller Leben, wie wir es uns noch vor kurzer Zeit kaum vorstellen konnten. Jeder Mensch und jede Branche ist betroffen. Wir nehmen die Herausforderung ritterlich an.
Deshalb haben wir uns frühzeitig entschieden, allen Mitarbeitenden das Arbeiten im Homeoffice anzubieten, unsere technischen Rahmenbedingungen angepasst und Prozesse optimiert. Einzig vor-Ort-Termine haben wir bis auf weiteres sehr eingeschränkt. Wir können auch in einer solchen Krise weiterhin qualitativ hochwertig für Sie arbeiten, wenn sich alle Mitarbeitenden den Umständen entsprechend wohlfühlen. Wir sind gut vorbereitet.
Wir sind für Sie auch und besonders in dieser schwierigen Situation da. Sie erreichen uns auf allen bekannten Kommunikationskanälen wie Telefon, Handy, E-Mail und DS-Manager zu den gewohnten Zeiten – unsere DSB-Hotline natürlich auch über die üblichen Bürozeiten hinaus. Wir freuen uns auf Ihre Kontaktaufnahme.
Bleiben Sie gesund!
Bernd Schultz kam als zweiter Ritter im Mai 2018 in unser Team und genauso freiwillig für diese Aufgabe zur selben Zeit als Wahl-Ostfriese nach Aurich. Als zertifizierter Datenschutzbeauftragter hat er sich im mittlerweile größer gewordenen Team auf die Internetseiten, Verarbeitungstätigkeiten und Datenschutzerklärungen spezialisiert.
O-Ton Bernd Schultz: „Ich halte die DSGVO zwar nicht für perfekt, aber ich mag sie!“ Richtig Spaß hat er, wenn im Team gemeinsam Lösungen diskutiert und gefunden werden. Bei seiner weiteren Aufgabe, der internen IT-Administration, verlassen wir uns jedoch gerne auf seine alleinige Expertise.
Die Bußgeld-Situation verschärft sich.
Im Detail erwartet Sie:
- DSGVO-Verstoß: 1&1muss knapp 10 Millionen Euro Strafe zahlen
- DSGVO-Verstoß: Krankenhaus in Rheinland-Pfalz muss 105.00 Euro zahlen
- Berliner Datenschutzbeauftragte verhängt Bußgeld gegen Immobiliengesellschaft
- DSGVO-Bußgelder
- EU-Datenschutzbehörde ermittelt gegen EU-Parlament
- US-Firma sammelte Milliarden Fotos für Gesichtsdatenbank
- Quelleninformationen
1. DSGVO-Verstoß: 1&1 muss knapp 10 Millionen Euro Strafe zahlen
„Der Bundesdatenschutzbeauftragte Ulrich Kelber hat gegen die Telekommunikationsfirma 1&1 ein Bußgeld in Höhe von 9,55 Millionen Euro verhängt.
Im September hatte der Bundesdatenschutzbeauftragte Ulrich Kelber angekündigt, dass auch deutsche Aufsichtsbehörden nach ersten Warnschüssen bald Sanktionen auf Basis der Datenschutz-Grundverordnung (DSGVO) in Millionenhöhe verhängen würden. Jetzt hat der Kontrolleur selbst durchgegriffen und die 1&1 Telecom GmbH mit einer Geldbuße in Höhe von 9.550.000 Euro belegt.
Der Telekommunikationsdienstleister, zu dessen Konzernverbund etwa auch die von dem Fall nicht betroffenen Mail-Anbieter Web.de und GMX gehören, hatte Kelber zufolge „keine hinreichenden technisch-organisatorischen Maßnahmen“ zum Schutz von Kundendaten ergriffen.
Personenbezogene Daten nicht systematisch geschützt
Die Aufsichtsbehörde wirft der Firma vor, dass Unberechtigte an der Telefon-Hotline vergleichsweise einfach „weitreichende Informationen zu weiteren personenbezogenen Kundendaten“ erhalten konnten. Die Angabe von Namen und Geburtsdatum von Betroffenen hätten ausgereicht. In diesem mickrigen Authentifizierungsverfahren sah die Bundesdatenschutzbehörde einen Verstoß gegen Artikel 32 DSGVO, nach dem Unternehmen geeignete technische und organisatorische Maßnahmen ergreifen müssen, um die Verarbeitung personenbezogener Daten systematisch zu schützen.
Nachdem die Instanz die ausgemachten Mängel angemahnt hatte, zeigte sich 1&1 Kelber zufolge „einsichtig und äußerst kooperativ. In einem ersten Schritt habe der zu Drillisch gehörende Konzern zunächst den Authentifizierungsprozess durch die Abfrage zusätzlicher Angaben stärker abgesichert.
Strafe im unteren Bereich des möglichen Rahmens
Trotz der raschen Anpassungen hielt Kelber es für geboten, die millionenschwere Geldbuße zu verhängen. Der Verstoß habe ein Risiko für den gesamten Kundenbestand dargestellt, begründet der Experte den Schritt. Die Höhe der Strafe bewege sich aufgrund des kooperativen Verhaltens von 1&1 im unteren Bereich des möglichen Bußgeldrahmens.
Die 1&1 Telecom GmbH hat mittlerweile ebenfalls angekündigt, gegen den „absolut unverhältnismäßigen“ Bußgeldbescheid klagen zu wollen. Es habe sich um einen Einzelfall aus dem Jahr 2018 gehandelt, bei dem es „um die telefonische Abfrage der Handynummer eines ehemaligen Lebenspartners“ gegangen sei. Die zuständige Mitarbeiterin habe dabei alle Anforderungen der damals bei 1&1 gültigen Sicherheitsrichtlinien erfüllt.
In den nächsten Tagen werde man als eines der ersten Unternehmen der Branche jedem Kunden eine persönliche Service-PIN bereitstellen.“
Quelle: Krempel 12/2019, heise.de
2. DSGVO-Verstoß: Krankenhaus in Rheinland-Pfalz muss 105.00 Euro zahlen
„Der rheinland-pfälzische Datenschutzbeauftragte will die Geldbuße auch als Signal verstanden wissen, im Gesundheitswesen besonders wachsam zu sein.
Ein Krankenhaus in Rheinland-Pfalz hat eine wegen mehrerer Verstöße gegen die Datenschutz-Grundverordnung (DSGVO) verhängte Geldbuße in Höhe von 105.000 Euro akzeptiert. Das erklärte der rheinland-pfälzische Datenschutzbeauftragte Dieter Kugelmann. Die Datenschutzverletzungen seien nach einer „Patientenverwechslung bei der Aufnahme“ offenbar geworden. Daraufhin habe das Krankenhaus auch eine falsche Rechnung ausgestellt, was „strukturelle technische und organisatorische Defizite beim Patientenmanagement“ offenbart habe.
Kugelmann begrüßte zugleich die Bemühungen des Krankenhauses, sein Datenschutzmanagement fortzuentwickeln und zu verbessern.
Er wolle mit der Geldbuße auch ein Signal senden, „dass die Datenschutzaufsichtsbehörden auf dem Feld des Umgangs mit Daten im Gesundheitswesen besondere Wachsamkeit an den Tag legen“.“
Quelle: Krempel 12/2019, heise.de
3. Berliner Datenschutzbeauftragte verhängt Bußgeld gegen Immobiliengesellschaft
„Am 30.Oktober 2019 hat die Berliner Beauftragte für Datenschutz und Informationsfreiheit gegen die Deutsche Wohnen SE einen Bußgeldbescheid in Höhe von rund 14,5 Millionen Euro wegen Verstößen gegen die Datenschutz-Grundverordnung (DS-GVO) erlassen.
Bei Vor-Ort-Prüfungen im Juni 2017 und im März 2019 hat die Aufsichtsbehörde festgestellt, dass das Unternehmen für die Speicherung personenbezogener Daten von Mieterinnen und Mietern ein Archivsystem verwendete, das keine Möglichkeit vorsah, nicht mehr erforderliche Daten zu entfernen. Personenbezogene Daten von Mieterinnen und Mietern wurden gespeichert, ohne zu überprüfen, ob eine Speicherung zulässig oder überhaupt erforderlich ist. In begutachteten Einzelfällen konnten daher teilweise Jahre alte private Angaben betroffener Mieterinnen und Mieter eingesehen werden, ohne dass diese noch dem Zweck ihrer ursprünglichen Erhebung dienten. Es handelte sich dabei um Daten zu den persönlichen und finanziellen Verhältnissen der Mieterinnen und Mieter, wie z. B. Gehaltsbescheinigungen, Selbstauskunftsformulare, Auszüge aus Arbeits-und Ausbildungsverträgen, Steuer-, Sozial-und Krankenversicherungsdaten sowie Kontoauszüge.
Nachdem die Berliner Datenschutzbeauftragte im ersten Prüftermin 2017 die dringende Empfehlung ausgesprochen hatte, das Archivsystem umzustellen, konnte das Unternehmen auch im März 2019, mehr als eineinhalb Jahre nach dem ersten Prüftermin und neun Monate nach Anwendungsbeginn der Datenschutz-Grundverordnung weder eine Bereinigung ihres Datenbestandes noch rechtliche Gründe für die fortdauernde Speicherung vorweisen. Zwar hatte das Unternehmen Vorbereitungen zur Beseitigung der aufgefundenen Missstände getroffen. Diese Maßnahmen hatten jedoch nicht zur Herstellung eines rechtmäßigen Zustands bei der Speicherung personenbezogener Daten geführt.“
Quelle: Kues 11/2019, datenschutz-berlin.de
4. DSGVO-Bußgelder
Die Bußgelder in Millionenhöhe in den letzten Monaten haben gezeigt, dass sich die Landesbehörden für den Datenschutz nicht davor scheuen, ihre Möglichkeiten für hohe Bußgelder auch zu nutzen – medienwirksame Berichterstattung inklusive. Interessanter sind indes die zugrunde liegenden Mängel: unzulässige Speicherung, fehlende Identifikation von betroffenen Personen, unzureichende technische Maßnahmen oder Unachtsamkeit mit personenbezogenen Daten. Mängel, die in jedem Unternehmen so oder in ähnlicher Form vorkommen können. Die hohen Bußgelder haben aber vor allem auch den einen Zweck, ihre abschreckende Wirkung zu entfalten und deutlich zu machen, dass die DSGVO mehr ist, als eine Handlungsempfehlung. So besteht Grund zur Hoffnung, dass die Bußgelder auch an anderer Stelle ihre Wirkung entfalten und dabei helfen, den Datenschutz insgesamt zu verbessern – auch, wenn die Medien nicht mehr berichten.
Hier eine Auswahl-Liste der Bußgelder in Deutschland, um zu zeigen, wie aktiv die Datenschutzbehörden sind:
2019
Deutsche Wohnen SE, Berlin: 14,5 Mio. Euro wegen unzulässiger Speicherung von Mieterdaten
- 1&1 Telekom: 9,5 Mio. Euro wegen fehlender technischer und organisatorischer Maßnahmen zur eindeutigen Identifizierung betroffener Personen im Telefonsupport – vertrauliche Daten könnten an falsche Personen gegeben werden
- Delivery HERO SE, Berlin: 195.000 Euro wegen unerwünschte Werbemails, unterlassene Löschung inaktiver Accounts, verschleppte Auskunftsverfahren
- Universitätsmedizin Uni Mainz: 105.000 Euro wegen unzureichendem Schutz von Gesundheitsdaten
- Spedition in Hamburg: 5.000 Euro wegen eines fehlenden AV-Vertrages
- Privatperson in Thüringen: 2.000 Euro wegen offener Mailverteiler (wiederholt)
2018
- Knuddels GmbH, Baden-Württemberg: 20.000 Euro wegen unverschlüsselter Kundenpasswörter
5. EU-Datenschutzbehörde ermittelt gegen EU-Parlament
„Das EU-Parlament hat mit einem US-amerikanischen Kampagnen-Unternehmen zusammengearbeitet. Nun ermittelt der EU-Datenschutzbeauftragte.
Es ist das erste Mal, dass der europäische Datenschutzbeauftrage (EDSB) eine andere EU-Institution im Visier hat: Wojciech Wiewiórowski, in dieser Woche neu gewählter EDSB, und seine Kollegen ermitteln bereits seit Februar 2019 wegen des Einsatzes einer Wahlkampf-Plattform gegen das EU-Parlament. Dabei geht es um die Frage, ob die Zusammenarbeit des EU-Parlament mit dem Anbieter Nationbuilder im Einklang mit den EU-Gesetzen steht.
Zu der Kampagne des EU-Parlaments bei den Wahlen 2019 gehörte die Webseite „thistimeimvoting.eu“. Der dafür verantwortliche Dienstleister Nationbuilder soll darüber Daten von mehr als 329.000 Menschen gesammelt und auch ausgewertet haben. Das US-Unternehmen entwickelt Strategien für politische Akteure, erstellt Netzwerke über verschiedene Kanäle und nutzt die Datenanalyse, um gezielt Menschen, etwa per Newsletter, anzusprechen. Das nutzten auch die Macher der Kampagnen von Donald Trump, Emmanuel Macron und beide Seiten des Brexit-Votings.
EDSB rügt und warnt das EU-Parlament
„Strenge Datenschutzregeln sind essentiell wichtig für die Demokratie, besonders im digitalen Zeitalter. Durch einen verantwortungsvollen Umgang mit persönlichen Daten und Respekt vor den Persönlichkeitsrechten helfen sie dem Vertrauen in unsere Institutionen und den demokratischen Prozess“, sagt Wojciech Wiewiórowski in einer veröffentlichten Pressemitteilung.
Gerügt wird das Parlament auch, da auf der betroffenen Webseite bis zu einem vorgegebenen Stichtag keine gesetzeskonforme Datenschutzerklärung zu finden war. Daten sollten zudem bis 2024 aufbewahrt werden.
In der Mitteilung betont der Datenschutzbeauftragte, dass die Behörde sich nicht auf reine Ermahnungen beschränken werde. Die Ermittlungen sollen bis Ende des Jahres abgeschlossen sein.
„Der EDSB erwartet von allen EU-Institutionen, Behörden und Organisationen vorbildhaft voranzugehen und sicherzustellen, dass die Daten der Bürger ausreichend geschützt werden.“ Hierzu sei eine starke Kooperation und ein gutes Miteinander der Datenschützer und EU-Institutionen nötig.““
Quelle: Weiß 11/2019, heise.de
6. US-Firma sammelte Milliarden Fotos für Gesichtsdatenbank
„Mit Milliarden Fotos aus sozialen Netzwerken erstellt Clearview eine Datenbank zur Gesichtserkennung. Seine Dienste bietet das Unternehmen US-Behörden an.
Eine obskure US-Firma hat laut einem Bericht der New York Times rund drei Milliarden Bilder von Menschen aus dem Internet zusammengestellt, um eine umfassende Datenbank zur Gesichtserkennung zu entwickeln. Im vergangenen Jahr sei der Zugang dazu mehr als 600 Behörden als Service angeboten worden, schrieb die Zeitung am Wochenende unter Berufung auf das Unternehmen namens Clearview. Angaben dazu, welche Behörden das waren, macht Clearview nicht.
Für die Datenbank seien öffentlich zugängliche Bilder bei Plattformen wie Facebook und YouTube oder dem US-Bezahlservice Venmo eingesaugt worden, hieß es. Eine Sammlung in dieser Dimension würde bisher bekanntgewordene Datenbanken zur Gesichtserkennung übertreffen.
Die Firma Clearview
Die zuvor praktisch unbekannte Firma Clearview trat erst durch die Recherchen der New York Times an die Öffentlichkeit. Ein früherer Geldgeber war US-Milliardär Peter Thiel.
Sein Sprecher sagte der Zeitung, Thiel habe Clearview im Jahr 2017 mit 200.000 Dollar unterstützt und dafür einen Anteil bekommen. Er sei ansonsten nicht beteiligt.
Gründer von Clearview ist der 31 Jahre alte Hoan Ton-That, der aus Australien in die USA kam.
Alarmierende Details
Der Bericht enthielt noch ein weiteres alarmierendes Detail. Nachdem einige Polizisten auf Bitten der Journalistin ihr Foto durch die Datenbank durchlaufen ließen, seien sie von Clearview-Vertretern mit der Frage angerufen worden, ob sie mit der Presse sprächen. Der Firma zufolge hat die Software nur Alarm wegen ungewöhnlicher Suchanfragen geschlagen. Außerdem räumte Ton-That auf Anfrage der Zeitung ein, dass Clearview auch den Prototyp einer Computerbrille mit Gesichtserkennungsfunktion entwickelt habe – es gebe aber keine Pläne, diese zu vermarkten.
Der Bericht löste schon am Wochenende erste politische Reaktionen aus. US-Senator Ron Wyden, Mitglieder der Demokratischen Partei, zeigte sich besorgt und forderte, Amerikaner müssten wissen, ob ihre Fotos heimlich in einer privaten Datenbank landen.“
Quelle: 01/2020, heise.de
7. Onlinequellen
DSGVO-Verstoß: 1&1muss knapp 10 Millionen Euro Strafe zahlen
https://www.heise.de/newsticker/meldung/DSGVO-Verstoss-1-1-muss-knapp-10-Millionen-Euro-Strafe-zahlen-4608676.html?fbclid=IwAR1de-SOvI_ksGc-BKL9KulJam3tE30T5-0qDGxbjli7zCAxvqVCpk1D5xc
DSGVO-Verstoß: Krankenhaus in Rheinland-Pfalz muss 105.00 Euro zahlen
https://www.heise.de/newsticker/meldung/DSGVO-Verstoss-Krankenhaus-in-Rheinland-Pfalz-muss-105-000-Euro-zahlen-4604348.html
Berliner Datenschutzbeauftragte verhängt Bußgeld gegen Immobilien-gesellschaft
https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/pressemitteilungen/2019/20191105-PM-Bussgeld_DW.pdf
EU-Datenschutzbehörde ermittelt gegen EU-Parlament
https://www.heise.de/newsticker/meldung/thistimeimvoting-EU-Datenschutzbehoerde-ermittelt-gegen-EU-Parlament-4599461.html
US-Firma sammelte Milliarden Fotos für Gesichtsdatenbank
https://www.heise.de/newsticker/meldung/Bericht-US-Firma-sammelte-Milliarden-Fotos-fuer-Gesichtsdatenbank-4641569.html
Gerne stehe ich Ihnen telefonisch oder in einem persönlichen Gespräch zur Verfügung.
Ihr Datenschutzbeauftragter
Jörg Stockmann
Aurich und Gelsenkirchen, Februar 2020
Wir waren dabei. Im Casablanca Kino Oldenburg wurden auf Einladung unseres Netzwerkpartners Marketing-Club Weser-Ems e.V. die besten Werbefilme des Vorjahres zum Auftakt des neuen Jahres gezeigt.
Präsident Helmut Loerts-Sabin ließ es sich bei seiner Begrüßung nicht nehmen, noch einmal auf das erfolgreiche Clubjahr 2019, mit vielen tollen Veranstaltungen, zurückzublicken. Gleichzeitig sprach er die aktuellen Themen im Marketing an. Bewegtbild, Podcasts und ähnliche Formate sind hoch im Trend, da Ihre Botschaften die Zielgruppen über die verschiedensten Kanäle schnell und direkt erreichen können. Das Thema der Arbeitgebermarke sei immer noch aktuell. Nur wer sich hier entsprechend positioniert und konsequent weiterentwickelt wird Erfolg haben – als Repräsentanten der Avallon fühlten wir uns gut verstanden.
Rund 100 Mitglieder und Gäste des Marketing Clubs konnten die klassische Kinoatmosphäre genießen. Die moderne Variante der Currywurst nebst ein paar ausgesuchten Leckereien durfte dabei natürlich nicht fehlen. So ließ es sich gut Netzwerken.
Wir freuen uns sehr, dass Avallon nun Partner der Ems-Achse ist.
Zum Start einer aktiven Zusammenarbeit haben uns Wiebke Lauts und Wilko Albering in Aurich besucht und mit uns mögliche Aktivitäten besprochen. Wir waren überrascht, wie vielfältig die Möglichkeiten sind.
Die Ems-Achse (www.emsachse.de) ist ein Verein, der vor allem drei Ziele verfolgt: Vernetzung der Partner, Lobbying für die Region und die Sicherung und Gewinnung von Fachkräften. Mit innovativen Maßnahmen bietet die Ems-Achse Fachkräften und Unternehmen ein umfangreiches Angebot. Dazu zählen unter anderem Fachkräfte-Servicestellen (Welcome-Center), eine Notfallbetreuung für Kinder, bundesweite Messeauftritte und Job-Busse für Schüler/innen, Studierende und Wiedereinsteigerinnen. Für ihre Arbeit ist die Ems-Achse mehrfach ausgezeichnet worden – beispielsweise als „Innovatives Netzwerk“ und mit dem „EDR-Grenzpreis“.
Unternehmen, Kommunen, Bildungseinrichtungen, Kammern und Verbände – diese unterschiedlichen Partner bilden die 2006 gegründete Wachstumsregion Ems-Achse. Mehr als 630 Mitglieder sind direkt beteiligt, hinzu kommen viele weitere Akteure in unterschiedlichen Kompetenzzentren.
Auf gute Zusammenarbeit!
Am liebsten bewegt er sich im Dreieck von Mandant, Effektivität und Effizienz.
Jörg Stockmann, gebürtiger Wuppertaler, steht in seiner 21jährigen Selbstständigkeit für einen Unternehmergeist, der mit Ritterlichkeit eine gute Symbolik gefunden hat. Nicht von ungefähr hat er mit den „Sagen von Avalon“ eine Metapher gefunden, die er authentisch bedient. Ihm sind auf der einen Seite Zuverlässigkeit, Aufrichtigkeit und Loyalität wichtig, andererseits geht er strategisch und zielorientiert vor. Zur Umsetzung seiner Leitmotive setzt er auf Teamgeist, individuelle Weiterentwicklung und Vielfalt.
Die Themen Datenschutz und Digitalisierung, die beiden Standbeine der Avallon GmbH, begeistern ihn jeden Tag auf’s Neue, weil er Grenzen ausloten, Unwahrscheinliches möglich machen und „den Seinigen“ Sicherheit geben kann.
Aus Denkanstoß wird Herold
Wir haben uns entschieden, den Begriff Denkanstoß für unseren Newsletter zu verändern. Im Mittelalter war ein Herold der offizieller Bote eines Lehnsherrn; also eine gute Assoziation zu unseren Nachrichten aus dem Avallon-Datenschutz für unsere Mandanten.
Gerne möchten wir an dieser Stelle auch auf unseren neuen Blog auf der Avallon-Homepage hinweisen. Dort finden Sie in loser Folge anlassbezogen Informationen zu unterschiedlichen Themen. Auch alle Newsletter können Sie dort nachlesen. Wir freuen uns über Ihr Feedback.
In unserer aktuellen Ausgabe erfahren Sie Neuigkeiten zu den folgenden Themen:
- DSGVO: Deutsche Datenschützer einigen sich auf Bußgelder
- Berliner Datenschutzbehörde verhängt bisher höchstes DSGVO-Bußgeld gegen Lieferdienst
- DSGVO: British Airways soll Rekordstrafe wegen Sicherheitsmängeln zahlen
- 18 Millionen Euro: Österreichische Post soll hohe Datenschutzstrafe zahlen
- Die Bitte um Einwilligung souverän meistern…
- Phishing Mails
- Quelleninformationen
1. DSGVO: Deutsche Datenschützer einigen sich auf Bußgelder
„Die Datenschutz-Aufsichtsbehörden kommen bei der einheitlichen Umsetzung der DSGVO langsam in die Gänge.
Die Datenschutzbehörden von Bund und Ländern haben sich auf ein gemeinsames Konzept für die Bußgeldzumessung bei DSGVO-Verstößen verständigt. Es dient als Grundlage, um die Höhe der Bußgelder „nachvollziehbar, transparent und einzelfallgerecht“ festzulegen. Demnach wird die Bußgeldhöhe anhand verschiedener Kriterien bestimmt.
Individuelle Bemessung
Zunächst ermitteln die Behörden die Größe des betroffenen Unternehmens. Danach werde der mittlere Jahresumsatz von Unternehmen vergleichbarer Größe sowie ein wirtschaftlicher Grundwert errechnet. Dieser wird dann mit einem Faktor multipliziert, der sich an der Schwere des Verstoßes orientiert. Der so ermittelte Wert kann dann noch angepasst werden, um besondere Umstände zu berücksichtigen – etwa eine lange Verfahrensdauer oder eine drohende Zahlungsunfähigkeit.
Hintergrund ist, dass die Aufsichtsbehörden im Europäischen Datenschutzausschuss zu einer europaweit einheitlichen Bußgeld-Regelung kommen wollen. Bisher entschied jede Aufsichtsbehörde unabhängig über die Höhe der Bußgelder.
Ausnahmen für Datenverarbeitungen
Die Liste umfasst zwölf Datenverarbeitungsvorgänge, für die eine Folgenabschätzung nicht notwendig ist. Dazu gehören beispielsweise Gehaltsabrechnungen und Arbeitszeiterfassungen, Zahlungsbelege erstellen, Mitgliedsbeiträge verwalten, aber auch die Verwaltung von Krankenakten. Sie ist nicht abschließend, doch sie dient jetzt, nachdem Stellungnahmen des Europäischen Datenschutzausschuss eingearbeitet wurden, als Arbeitsgrundlage.“
Gerne stellt Ihnen Avallon eine Liste zur Verfügung.
Quelle: Schulzki-Haddouti 10/2019, heise.de
2. Berliner Datenschutzbehörde verhängt bisher höchstes DSGVO-Bußgeld gegen Lieferdienst
„Werbemails trotz Widerspruch, mangelhafte Datenauskunft, nicht gelöschte Daten: Wegen Verstößen gegen die DSGVO straft die Berliner Datenschutzbehörde die Lieferfirma Delivery Hero ab. Das Unternehmen betrieb lange Zeit die Marken pizza.de, Lieferheld und Foodora.
Das Lieferdienstunternehmen Delivery Hero Germany GmbH muss wegen Datenschutzverstößen ein Bußgeld in Höhe von 195.000 Euro zahlen. Unter anderem hatte die Firma Auskunfts-, Lösch- und Widerspruchsrechte von Kunden/Innen missachtet. Das teilt die Berliner Datenschutzbehörde am 19.09.2019 in einer Pressemitteilung mit. Die Entscheidung ist rechtskräftig.
Die Strafe ist die bisher höchste, die ein Unternehmen in Deutschland unter der Datenschutzgrundverordnung zahlen muss. Während wir in Großbritannien und Frankreich bereits Strafen in Höhe dutzender Millionen gesehen haben, sind die deutschen Behörde bisher zurückhaltender.“
Quelle: Dachwitz 09/2019, netzpolitik.org
3. DSGVO: British Airways soll Rekordstrafe wegen Sicherheitsmängeln zahlen
„Die Datenschutzgrundverordnung zeigt Zähne: Die Fluglinie British Airways soll ein Bußgeld in Höhe von mehr als 200 Millionen Euro zahlen – ausgerechnet wegen Problemen bei der IT-Sicherheit. Die britische Datenschutzbehörde kündigte unterdessen bereits die nächste Millionenstrafe an.
Zugangsdaten, Adressen, Namen, Reiseinformationen und Kreditkartendaten mit CVV-Sicherheitsnummern – die Liste der Daten, die Unbekannte von Kunden/Innen der Fluglinie British Airways abgreifen konnten, hat es in sich. Entsprechend saftig fällt auch das Bußgeld aus, das die britische Datenschutzbehörde nun verhängen will: Gut 200 Millionen Euro Strafe soll die Airline zahlen – eine Rekordsumme.
Der Datenabgriff aus dem Sommer 2018 sei auf gravierende Sicherheitsmängel bei der Fluglinie zurückzuführen, teilt das Information Commissioner’s Office (ICO) Anfang der Woche in London mit. Der Behörde zufolge konnte Unbekannte durch eine Sicherheitslücke im Online-Buchungssystem der Airline ab Juni 2018 an die Daten von etwa 500.000 Kunden/Innen gelangen. Offenbar wurden hierfür Nutzer/Innen der Website von British Airways auf eine gefälschte umgeleitet, wo diese dann ihre Daten eingaben.“
Quelle: Dachwitz 07/2019, netzpolitik.org
4. 18 Millionen Euro: Österreichische Post soll hohe Datenschutzstrafe zahlen
„Seit 2001 verkauft und vermietet die Österreichische Post Kundendaten zu Marketingzwecken. Das darf die Post nicht, findet die Datenschutzbehörde. Das Unternehmen verstoße so gegen die Datenschutz-Grundverordnung (DSGVO). Die Behörde verurteilte die Post daher in einem Verwaltungsstrafverfahren zu einer Zahlung von 18 Millionen Euro. Wie handelt die Österreichische Post mit Daten? Und wie reagierte sie auf die Strafe?
Die Österreichische Post sammelt unter anderem Daten zum Namen, Alter und Geschlecht sowie zur Familiensituation und Adresse ihrer Kunden. Bei 2,2 Millionen Österreichern speicherte sie zudem eine politische Parteiaffinität. So legte sie Kategorien wie ÖVP-affin, Grün-affin und FPO-affin an. Diese Daten verkaufte die Post an Unternehmen. Das entdeckte die Rechercheplattform Addendum, nachdem sie ein Auskunftsbegehren an die Post versendet hatte.
Die Post verteidigte sich, indem sie darauf verwies, dass die Informationen zur Parteiaffinität lediglich Ableitungen aus anderen Informationen seien – wie bei Hochrechnungen nach Wahlen. Die Datenschutzbehörde musste daher klären, ob die Post auf diese Weise tatsächlich personenbezogene Daten oder doch nur Hochrechnungen weitergegeben hatte.
Nach einer mündlichen Anhörung kam die Datenschutzbehörde zu dem Schluss: Die Verarbeitung von Daten zu politischen Neigungen verstößt gegen die DSGVO. Die Behörde stellte klar, dass die Post im Rahmen ihres Gewerbes personenbezogene Daten sammeln und verarbeiten müsse. Erstelle sie jedoch statistische Wahrscheinlichkeiten über Parteiaffinitäten, verstoße sie gegen die DSGVO.
Die Post reagierte ohne Einsicht auf die Strafe. Das Unternehmen verkaufe keine personenbezogenen Daten, sondern lediglich statistische Hochrechnungen. Die Strafe sei daher nicht nur inhaltlich falsch, sondern auch vollkommen überzogen. Die Post sieht ihr Kerngeschäft der Direktwerbung gefährdet und will sich daher an das Bundesverwaltungsgericht wenden. Die Entscheidung der Datenschutzbehörde ist damit noch nicht rechtskräftig.“
Quelle: Schäfer 11/2019, e-recht24.de
5. Die Bitte um Einwilligung souverän meistern..
Zugegeben, im Umgang mit Kunden oder Patienten gibt es angenehmere Situationen, als die Bitte um eine Einwilligung zur Datenverarbeitung. Was ist, wenn er oder sie „nein!“ sagt oder eine Frage stellt, die nicht so einfach zu beantworten ist?
Dabei ist die Einwilligung eine sehr bedeutende Rechtsgrundlage für die Datenverarbeitung. Die Besonderheit liegt darin, dass sie freiwillig erfolgen muss. Auch muss sie leicht verständlich sein, jederzeit widerrufen werden können und ohne Nachteile verweigert werden dürfen. Darüber hinaus ist die Einwilligung mit der Unterschrift des Kunden oder Patienten zu dokumentieren.
Was ist also zu tun?
Zeigen Sie Mut im Umgang mit der Situation und erklären Sie dem Kunden oder Patienten, aus welchen Gründen die Einwilligung erforderlich ist und welchen Nutzen sie bringt.
Die folgenden Schritte können Ihnen dabei helfen.
- Überlegen Sie in einer ruhigen Minute, in welchen Situationen Sie einen Kunden oder Patienten um eine Einwilligung bitten wollen, z.B. für einen besonderen Service oder auch, um einen Newsletter oder einen Geburtstagsgruß zuschicken zu dürfen.
- Versetzen Sie sich in die Lage des Kunden oder Patienten und überlegen Sie, welche Fragen er oder sie dazu haben könnte. Denken Sie dabei an Situationen, in denen Sie selbst eine Einwilligung erteilt oder verweigert haben.
- Listen Sie diese Fragen auf und notieren Sie stichpunktartig Antworten darauf. Versuchen Sie dabei nicht, den Kunden oder Patienten zu überreden oder zu drängen.
- In der konkreten Situation erklären Sie mit Ihren eigenen Worten den Grund für die Einwilligung und verweisen dabei auf die entsprechende Datenschutzerklärung.
- Geben Sie dem Kunden oder Patienten Zeit zum Nachdenken und beantworten Sie auftretende Fragen möglichst geduldig.
- Akzeptieren Sie die Antwort und handeln dann entsprechend.
- Dokumentieren Sie das Ergebnis.
Natürlich – es kann vorkommen, dass Sie eine spezielle Frage nicht beantworten können oder der Kunde oder Patient gerne grundsätzlich über das Thema Datenschutz diskutieren will. In diesen Fällen können Sie uns jederzeit anrufen und wir übernehmen dann für Sie.
Die Erfahrung zeigt, dass die meisten Kunden und Patienten in die Verarbeitung ihrer Daten einwilligen und Ihnen vertrauen. So gesehen kann eine Einwilligung auch als ein deutliches Zeichen von Kundenzufriedenheit gesehen werden.
6. Phishing Mails
Bei Pishing-Mails kommt es auf Sie an. Diese Mails werden von Kriminellen verschickt und landen trotz aller Sicherheitsvorkehrungen in Ihrem E-Mail-Postfach und haben z.B. den Zweck, geheime Informationen auszuspähen, die Begleichung einer – scheinbar – offenen Forderung auszulösen oder durch einen Dateianhang oder Link Schadsoftware auf dem Firmensystem zu installieren, um dann z.B. Zahlungen zu erpressen.
Pishing-Mails wollen vor allem eins: durch eine schockierende Nachricht oder Androhung einer negativen Konsequenz, Handlungsdruck beim Empfänger erzeugen. Um diesem künstlichen Handlungsdruck etwas entgegen zu setzen, hilft z.B. die nachfolgende Aussage:
„Keine E-Mail ist so dringend, dass eine unmittelbare Reaktion erforderlich ist.“
Mit dieser Haltung geben Sie sich selbst die Möglichkeit, alle einkommenden Mails kritisch zu prüfen: Ist der Absender bekannt und vertrauenswürdig? Gibt es Zweifel am Inhalt der Nachricht? Ist wirklich eine unmittelbare Reaktion erforderlich? Ist es wirklich erforderlich, auf den Link zu klicken?
Wenn Sie eine dieser Fragen mit „nein“ beantworten können oder es den leisesten Zweifel an der Echtheit gibt, ist es kein Fehler oder Zeichen von Unsicherheit, sich durch eine Rückfrage, Gewissheit zu verschaffen: Sie können den Absender z.B. anrufen und sich die Echtheit der Mail bestätigen lassen oder Ihren IT-Fachmann oder Datenschutz-Koordinator fragen.
Natürlich können Sie beim Verdacht auf eine Pishing-Mail auch Ihren Datenschutzbeauftragten, Herrn Jörg Stockmann und sein Team in Aurich kontaktieren.
Um sich konkret vor den negativen Folgen von Pishing-Mails zu schützen, beachten Sie bitte mindestens die folgenden Punkte:
- Klicken Sie niemals auf Links in E-Mails, wenn Sie sich nicht zu 100% sicher sind, dass der Absender vertrauenswürdig ist.
- Öffnen Sie keine Datei-Anhänge, wenn Sie sich nicht zu 100% sicher sind, dass die Dateien echt sind.
- Verschicken Sie niemals persönliche Daten, wie z.B. Passwörter, per E-Mail.
- Starten Sie niemals einen Download-Link aus einer E-Mail, wenn Sie nicht zu 100% sicher sind, dass der Link vertrauenswürdig ist.
- Aktivieren Sie dort, wo es möglich ist, die Zwei-Faktor-Authentifizierung, um Ihre Accounts zu schützen.
Es kommt bei der Abwehr von möglichen negativen Folgen bei Pishing-Angriffen letztlich auf Ihr Urteilsvermögen und Ihre Besonnenheit an.
7. Onlinequellen
DSGVO: Deutsche Datenschützer einigen sich auf Bußgelder:
Berliner Datenschutzbehörde verhängt bisher höchstes DSGVO-Bußgeld gegen Lieferdienst:
DSGVO: British Airways soll Rekordstrafe wegen Sicherheitsmängeln zahlen:
18 Millionen Euro: Österreichische Post soll hohe Datenschutzstrafe zahlen:
https://www.e-recht24.de/news/datenschutz/11713-oesterreichische-post-dsgvo.html
Gerne stehe ich Ihnen telefonisch oder in einem persönlichen Gespräch zur Verfügung.
Ihr Datenschutzbeauftragter
Jörg Stockmann
Aurich und Gelsenkirchen, November 2019
Der Infobrief für Verantwortliche unserer Mandanten
Relevanz: Internetseiten und soziale Medien
Einstufung: Dringlich und wichtig – Abmahnungen drohen
Zwei Urteile des Gerichtshofs der Europäischen Union aus der letzten Woche geben uns Anlass zu diesem Ritterbrief. Wir bitten Sie, unsere Empfehlung ernst zu nehmen und zu handeln, denn das Risiko für Abmahnungen ist nach dem Urteil drastisch gestiegen.
Gliederung dieses Ritterbriefes:
1. Der richtige Einsatz von Cookies / ähnliche technische Datensammler
2. Der „Like“-Button von sozialen Netzwerken auf Ihrer Internetseite
3. Die gemeinsame Verantwortung mit Facebook
4. Unsere Unterstützung
5. Erläuterungen zu Urteilen und Pressemitteilungen
6. Zusammenfassung: Urteil in der Rechtssache C-210/16
7. Zusammenfassung: Urteil in der Rechtssache C-673/17
Lesen Sie diesen und andere Ritterbriefe in voller Länge als Verantwortlicher unserer Mandanten.
Bitte nehmen zu Patrick Schneider unter 04941 9839070 Kontakt auf.
Wir starten in Gelsenkirchen
Wir wollen näher bei unseren Mandanten im Ruhrgebiet sein. Deshalb haben wir unsere neue Niederlassung als Mieter im Hause unseres größten Mandanten vor Ort, der Stölting Service Group, in Gelsenkirchen-Bismarck eröffnet. Vom Stölting Habour aus betreuen wir unsere Mandanten in den Themen Datenschutz und Digitalisierung im gesamten Ruhrgebiet und freuen uns sehr, nun auch hier „kurze Wege“ nutzen zu können.
