Haupt-Reiter

U5: DSGVO

Privet Bratans und Bratinas,

es ist sehr wahrscheinlich, dass zur DSGVO keine genauen Gesetzesauszüge oder Daten abgefragt werden, da die Prüfung schon vor ein, zwei Jahren erstellt wurde und vor dessen Inkrafttretens letztes Jahr noch andere Gesetze galten als sie heute aktuell sind. D.h. für uns, dass wir uns bei dem Thema DSGVO auf Einsatzgebiete fokusieren sollten, die uns bei der täglichen Arbeit über den Weg laufen.

Newsletter-Einverständnis

Dieser Unterpunkt betrifft vor allem die Digitalen unter uns. Jeder kennt Newsletter und viele Unternehmen verschicken sie, doch dürfen sie das einfach so? Welche Modelle gibt es und was für Voraussetzungen müssen erfüllt sein? Nehmt euch ein Tässchen von Babuschkas gutem Pflaumenkompott, setzt euch auf Bruder Boris' Schoß und lauscht.

1. Opt-Out Modell

Der Absender des Newsletters geht von Anfang an davon aus, dass der Empfänger diesen bekommen möchte bzw. interessiert sich gar nicht erst dafür und schickt sie munter raus. In der E-Mail steht bestenfalls irgendwo ein Link zum Deabonnieren des Newsletters, doch nach der Einverständnis, diesen überhaupt zu bekommen, wurde nie gefragt. Dieses Modell ist super unseriös und in digitaler Form seit 2005 sogar gesetzlich verboten.

2. Opt-In Modell

Der Empfänger muss noch vor dem ersten Newsletter sein Einverständnis gegeben haben. Dies kann z.B. durch ein Kontaktformular  oder auch einfach nur durch hinterlegen der E-Mail-Adresse erfolgen. An sich klingt dieses Modell legitim, doch stellt euch vor der Kevin von nebenan vertippt sich bei seiner E-Mail Adresse, gibt ausversehn eure ein und PIPEZ. Auf einmal seid ihr auf der Mailing-Liste von irgendeinem furry porn Blog. Aus diesem Grund ist dieses Modell auch vor Gericht nicht standhaft, denn es gibt keine Garantie dafür, dass die E-Mail-Adresse auch vom tatsächlichen Besitzer hinterlegt wurde.

3.Double-Opt-In Modell

Noch einen Schritt weiter geht das Double-Opt-In Modell, bei dem der Empfänger sich nicht nur für einen Newsletter angemeldet haben, sondern diese Anmeldung auch aus seinem E-Mail-Postfach bestatätigt haben muss. Nachdem der potenzielle Newsletter-Empfänger seine E-Mail-Adresse hinterlegt hat, bekommt er eine E-Mail mit Bestätigungslink, um seine Identitäten zu verifizieren. So kann der Absender sichergehen, dass die Einverständnis des Empfängers gegeben ist.

Bratuhas, seid wie Boris: Schützt eure Kundendaten vor Kevins und verwendet für eure Newsletter-Anmeldung das Double-Opt-In Modell. Dieses ist zwar noch keine gesetzliche Pflicht, allerdings ist die Umsetzung nur mit einem kleinen Arbeitsaufwand verbunden und ihr seid vor Gericht sicher.

Quellen: https://www.digitale-offensive.de/glossar/opt-in-opt-out-double-opt-in/

Like, share and subscribe, hit that notification bell.

xoxo Boris

Weitere Informationen:
https://www.haufe.de/compliance/recht-politik/eu-datenschutz-grundverordnung-die-10-wichtigsten-regeln_230132_402196.html

Bewertung: 
5
Durchschnitt: 5 (1 Stimme)

Kommentare

was soll man unter DSGVO erwartet?

Man sollte die wichtigsten Regelungen der DSGVO kennen.

Grüße
Peter Reichard

10 wichtigste Regelungen der DSGVO

Hi, ich habe auch überhaupt keine Ahnung was ich zu dem Thema lernen soll....

Ich schaue mir jetzt einfach diese 10 Regelungen an, eventuell hat ja jemand noch Ergänzungen dazu.

Grüße

Luis

Danke für den Link!

Im Artikel gibt es eine sehr gewate Behauptung:

"da die Prüfung schon vor ein, zwei Jahren erstellt wurde und vor dessen Inkrafttretens letztes Jahr noch andere Gesetze galten als sie heute aktuell sind. "

Wenn dem so wäre, wäre DSGVO ja kein Prüfungsthema. Und natürlich geht es nicht um juristische Feinheiten. 

Grüße

Peter Reichard

Bruder Peter,

die DSGVO gibt es als Entwurf schon seit vielen vielen Jahren, seit 2012 um genau zu sein. Sie ist letztes Jahr in Kraft getreten, aber über sie diskutiert wurde schon viel früher. Quelle: https://www.datenschutz-grundverordnung.eu/eu-datenschutz-grundverordnung-eu-dsgvo/dokumente-links-und-downloads/

MFG Big Brain Bruder Boris

Hallo,
ich weiß ja nicht was du mir damit sagen willst, da ich nichst derartiges behauptet habe.
Aber deine Antwort geht allerdings null auf meine Kritik ein, aber das war ja auch nur ein Anmerkung am Rande.

Viele Grüße

Peter Reichard

Bruder Peter,

wenn das so ist, erkläre mir doch bitte deinen Beitrag. Was an meiner, von dir zitierten, Behauptung ist denn fragwürdig?

Ich habe dies als Kritik aufgefasst einen auf den wenn die Prüfung vor zwei Jahren erstellt worden sei, gäbe es keine Aufgabe zur DSGVO, da diese wiederum erst letztes Jahr in Kraft getreten ist. Deshalb bin ich darauf eingegangen.

MFG Big Brain Bruder Boris

Hi,

es geht um die behauptung, dass die Prüfungsthemen bereits vor ein oder zwei Jahren formuliert worden wären. Dies trifft nicht zu.

Grüße
Peter Reichard

Bruder Peter,

dann sagen Sie das doch genau so. Woher haben Sie denn diese Information, wenn ich fragen darf? Uns wurde das von einer Berufsschullehrkraft so vermittelt wie oben im Text. 

MFG Big Brain Bruder Boris

Hallo Boris,

zunächst einmal herzlichen Dank für Dein Engagement in diesem Wiki!

Peter weiß das, weil die Mediencommunity vom ZFA betrieben wird. Wir beide moderieren die  Mediencommunity, ich  selbst bin beim ZFA für unsere Forschungsprojekte zuständig. Wir beide arbeiten also nicht in der Aufgabenerstellung mit, kennen diese demnach nicht vor den Prüfungen, Dennoch kennen wir natürlich die Abläufe der Aufgabenerstellung.

Viele Grüße

Thomas Hagenhofer

Hallo Leute,

ich persönlich glaube eher dass es um etwas grundsätzlicheres gehen wird, wie:

Was sind personenbezogene Daten oder besondere personenbezogene Daten.
Was ist eine betroffene Person
Erhebung, Verarbeitung und/oder Nutzung von Daten
Grundsätze für die Erhebung von Daten (Rechtmäßigkeit, Transparenz, Datenminimierung, etc.)
Strafen und Sanktionen
Und fürs Web, Datenschutzerklärung => zwingende Angaben
Cookie-Warnung, etc.

Habe all dies kompakt auf 3 1/4 DIN A4 Seiten zusammengefasst (Überschriften groß und Aufzählung mit "kurzen" Erklärungen)

Wenn Interesse besteht teile ich das gerne mit Euch.

Nicht verzweifeln, 
Gruß

Ralf

Hallo Ralf,

ich hätte Interesse an deiner Zusammenfassung. Könntest du sie hier reinstellen?

Liebe Grüße

Lee

Definition

Die DSGVO der EU regelt die Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stellen.

Bereits am 25.5.2016 inkraftgetreten, seit dem 25.5.2018 müssen die EU-Staaten die Verordnung verbindlich anwenden. Dies gilt auch für Unternehmen außerhalb der EU, sobald sie die EU als Markt benutzen (wie Facebook oder Google). Solche Unternehmen müssen in der EU einen Vertreter stellen, der für die Aufsichtsbehörden als Anlaufstelle dient.

Ziele

  1. Vereinheitlichung des Datenschutzrechts in allen EU-Staaten.
  2. Schutz der Grundrechte und Grundfreiheiten natürlicher Personen bezüglich dem Recht auf Schutz personenbezogener Daten

Betroffene Person

Ist eine natürliche Person, die direkt oder indirekt mittels Merkmale wie Name, Adresse, Geburtsdatum, etc. eindeutig identifiziert werden kann.

Personenbezogene Daten

Sind sämtliche Daten einer betroffenen Personie gesammelt werden können.

Besondere personenbezogene Daten

Sind rassische/ethnische Herkunft, politische Meinung, Religion, sexuelle Orientierung, genetische und biometrische Daten, Krankheiten, etc.

Die Erhebung, Verarbeitung und/oder Nutzung

personenbezogener Daten ist grundsätzlich verboten, es sei denn:

  • - Die betroffene Person willigt in die Verarbeitung der Daten ein.
  • - Die Daten sind zur Durchführung eines Vertrags notwendig
  • - Die Daten sind zur Durchführung vor-vertraglicher Maßnahmen notwendig (Bsp.: Angebot, Download einer Trial-Version)
  • - Die Verarbeitung ist erforderlich, damit Datenerhebende ihren Pflichten gemäß gesetzlichen Grundlagen (Deutsches / EU Recht) nachkommen können (Bsp. Einwohnermeldeamt, Polizei)
  • - Die Verarbeitung ist erforderlich, um berechtigte Interessen des Erhebenden zu wahren (Bsp.: Dokumentation, Beweiszwecke)

Grundsätze für die Erhebung und Verarbeitung

  • - Rechtmäßigkeit der Verarbeitung: Einwilligung des Betroffenen oder eine Rechtsgrundlage dies zulässt.
  • - Datenminimierung: Beschränkung der Daten auf die für den Zweck wirklich notwendige Daten.
  • - Zweckbindung: Betroffene müssen über den Zweck informiert werden, die Daten dürfen nur für diesen Zweck genutzt werden.
  • - Integrität und Vertraulichkeit: Schutz der Daten durch technische und organisatorische Maßnahmen => Schutz vor Zugriff unbefugter Personen (Abschließbare Aktenschränke, verschlüsselte Festplatten, Personalschulung).
  • - Transparenz: Information des Betroffenen über Risiken, Vorschriften, Garantien und Rechte im Zusammenhang mit der Verarbeitung der Daten.
  • - Richtigkeit der Daten: Für den Verarbeitungszweck müssen die Daten richtig und auf dem neuesten Stand sein, unrichtige Daten müssen sofort gelöscht werden.
  • - Speicherbegrenzung: Sobald der Verarbeitungszweck erfüllt ist müssen die Daten gelöscht werden.

Die Weitergabe Personenbezogener Daten an Dritte

darf nur mit Einwilligung der betroffenen Person erfolgen oder auf Grundlage einer gesetzlichen Erlaubnis.

Ausnahmen:

Wenn Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen Schuldverhältnisses mit dem Betroffenen dies notwendig machen, z. B. Versandunternehmen, Bank, aber nur die erforderlichen Daten.

Wenn Gesetze dies vorschreiben, z. B. Meldungen an Finanzbehörden.

Wenn berechtigte Interessen eines Unternehmen gegenüber denen der Betroffenen, z. B. Datenaustausch innerhalb einer Unternehmensgruppe (Bsp. Lohnabrechnung einer Tochterfirma)

Wenn die Daten von Betroffenen an externe Unternehmen (nur in der EU!!!) weitergeben (Auftragsdatenverarbeitung), z. B. Bei Zusammenarbeit mit Inkasso-, Versand- oder Logistikdienstleister.

Wenn die Daten an Stellen außerhalb der EU geben, ist dies rechtmäßig sofern:

  • - das Drittland ein angemessenes Datenschutzniveau gewährleistet,
  • - das Land in der von der EU-Kommission bestätigten Länderliste steht,
  • - der Betroffene darüber informiert wird und ihm eine Widerspruchsmöglichkeit gegeben wird.

Strafen und Sanktionen bei Datenschutzverstößen:

Strafen nach DSGVO müssen verhältnismäßig sein, die Höhe des Bußgelds und mögliche Sanktionen hängen von verschiedenen Faktoren ab:

  • - der Schwere des Verstoßes,
  • - liegen mehrere Verstöße vor,
  • - entstandener Schaden,
  • - Vorsatz oder Fahrlässigkeit?
  • - Wiederholungstäter?
  • - Kooperation mit den Aufsichtsbehörden,
  • - Mildernde Umstände?

Bußgelder können in Höhe von bis zu 20 Millionen Euro oder 4 % des weltweit erzielten Jahresumsatzes für das letzte abgeschlossene Geschäftsjahr, der höhere Betrag wird als Geldbuße verhängt.

DSGVO für Website-Betreiber

Sobald eine Internetseite personenbezogene Daten erhoben werden (Kontaktformular, Cookies, Google Analytics, etc.), müssen Maßnahmen getroffen werden damit sie DSGVO-konform sind:

  • - SSL-Verschlüsselung der Verbindung (https)
  • - Formulare: Pflichtfelder kennzeichnen, Rechtliche Grundlagen und Zweck der Verarbeitung, Hinweis und Verlinkung zur Datenschutzerklärung, Checkbox zur Einwilligung
  • - Social Media Plugins und eingebettete Videos senden Daten „nach Hause“ noch bevor man auf die Buttons klickt oder Videos abspielt. Für manche Dienste gibt es bereits Lösungen die dies zu verhindern, die, für die es keine Lösung gibt besser entfernen.
  • - IP-Adresse des Website-Besuchers anonymisieren: sowohl Webserver als auch Tracking Tools wie Matomo oder Google Analytics speichern die komplette IP-Adresse des Besuchers, mit bestimmten Einstellungen werden bestimmte Teile der Adresse verworfen, so dass eine eindeutige Identifizierung nicht mehr Möglich ist.
  • - Tracking Tools vom Besucher „abschalten“ lassen: Opt-Out bedeutet Tool ist eingeschaltet, der Besucher kann es ausschalten, praktisch gibt es eine Funktion die das Tool bereitstellt, Der Besucher klickt auf einen Button oder setzt ein Häkchen irgendwo.
  • - Cookie-Warnung: Benutzt die Website Cookies, beim Besucher lokal abgespeicherte Textdateien, mit Daten zur Wiedererkennung des Besuchers, zur Vereinfachung beim Surfen auf der Website, etc. Beim ersten Aufruf der Website erscheint eine „Cookie-Warnung“. Über eine Schaltfläche oder andere Schaltelemente kann die Einwilligung für die Verwendung von Cookies vom Besucher eingeholt werden.
  • - Datenschutzerklärung: Die Maßnahmen sollten auch in der Datenschutzerklärung festgehalten werden.
  • - Falls die Website extern gehostet wird, Vertrag zur Auftragsverarbeitung mit dem Hoster schließen, da der Auftritt auf einem Server Dritter liegt und die personenbezogenen Daten beim Hoster erhoben werden,
  • - Link zur Seite mit der Datenschutzerklärung so platzieren, dass er auf jeder Seite des Auftritts leicht zu finden ist (z. B. Footer, Header), dies gilt auch für den Link zum Impressum.

Datenschutzerklärung

Die Datenschutzerklärung liefert Informationen über die Verarbeitung von personenbezogenen Daten die über die Website erhoben werden, welche Daten notwendig sind und für welche Zwecke sie verwendet werden.

Folgende Angaben müssen in die Datenschutzerklärung:

  • - Kontaktdaten des Unternehmens bzw. des Verantwortlichen, der über die Verarbeitung von personenbezogenen Daten entscheidet. Das kann je nach Geschäftsmodell die IT sein, die Personalabteilung, einzelne Sachbearbeiter oder der Geschäftsführer selbst.
  • - alle Zwecke, zu denen personenbezogene Daten verarbeitet werden.
  • - Rechtsgrundlagen für die Datenverarbeitung.
  • - Speicherdauer der Daten.
  • - Rechte der Betroffenen.

Zusätzlich zu diesen Mindestangaben müssen Sie gegebenenfalls noch über folgende Punkte informieren:

  • - Kontaktdaten des Datenschutzbeauftragten, sofern vorhanden (Email-Adresse oder Telefonnummer reicht, Name ist nicht notwendig,
  • - berechtigte Interessen, die mit der Datenverarbeitung verfolgt werden,
  • - Dritte, an die die erhobenen personenbezogenen Daten übermittelt werden,
  • - Eine Absicht, die Daten ins Nicht-EU-Ausland zu übertragen. In diesem Fall muss erwähnt werden, ob es mit dem Zielland ein Datenschutzabkommen gibt oder nicht,
  • - Ob der Nutzer verpflichtet ist, seine Daten anzugeben und welche Folgen es hat, wenn er das nicht tun möchte,
  • - Wenn eine automatisierte Entscheidungsfindung (zum Beispiel eine automatische Bonitätsprüfung im Hintergrund) besteht, muss das angeben werden.

Bei Verstößen gelten die gleichen Strafen wie oben aufgeführt.