Wie wird meine Website genutzt? Werden bestimmte Inhalte überhaupt vom Nutzer wahrgenommen? Wie lange bleibt der Nutzer auf meiner Website? Für die Beantwortung dieser und anderer Fragen können Websitebetreiber verschiedene Tools, darunter auch Google Analytics, einsetzen. Der Betreiber kann mit Hilfe des Google Analyse-Tools vorab die gewünschten Einstellungen zur Erhebung der Daten konfigurieren. Anschließend kann er die Nutzerdaten nach bestimmten Parametern auswerten.        

Seit dem 01.07.2023 löst „Google Analytics 4“ (GA4) das alte Webanalyse-Tool „Universal Analytics“ (GA3) ab. Am 01.01.2024 läuft die Übergangsfrist aus, in der Sie weiterhin auf alte Daten zugreifen können.

Mit dem Nachfolger GA4 stellt Google wesentliche Verbesserungen im Bereich des Datenschutzes in Aussicht:

- Anonymisierung: Die IP-Adressen der Website-Nutzer werden nur noch für die Geo-Lokalisierung genutzt und anschließend anonymisiert.

- Google Signal: Die Zuordnung der erhobenen Daten zu einem Google-Konto kann unterbunden werden indem Google Signals deaktiviert wird.

- Datenverarbeitung: Die Daten von Betroffenen mit Endgeräten in der EU werden fortan auf innereuropäischen Servern verarbeitet und gespeichert.

- Geo- und Gerätedaten: GA4 ermöglicht es vorab die Einstellungen bezüglich der Genauigkeit von Geo- und Gerätedaten zu konfigurieren.

Diese Verbesserungen reichen allerdings nicht aus, um DSGVO-konform zu sein. Eine Anonymisierung der Daten, wie es Google Analytics 4 vorsieht, ist nach der Lokalisierung zu spät. Und auch obwohl die Daten nun auf Servern in Europa verarbeitet werden, verhindert dies den Zugriff der US-Behörden nicht gänzlich.

Desweiteren sind datenschutzkonforme Einwilligungen von Nutzern einzuholen, da Google Analytics standardmmäßig Cookies für das Tracking nutzt sowie KI einsetzt um nutzertypisches Verhalten zu erkennen und zusammenzuführen. Daneben sind weitere Maßnahmen durchzuführen damit Ihr Unternehmen Google Analtyics 4 datenschutzkonform nutzen kann..

ds² hilft Ihnen bei diesem Thema gerne weiter!

2020ff. by ds² Unternehmensberatung GmbH & Co. KG.

Das Europäische Parlament und der Rat haben im Jahr 2019 eine EU-Whistleblower-Richtlinie (EU) 2019/1937 beschlossen, die bis zum 17.12.2021 in nationales Recht umgesetzt werden musste. Das Gesetz für einen besseren Schutz hinweisgebender Personen sowie zur Umsetzung der Richtlinie zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden, wurde letztlich vom Bundestag mit Zustimmung des Bundesrates im Mai 2023 beschlossen. Das Hinweisgeberschutzgesetz (HinSchG) tritt am 2. Juli 2023 in Kraft.

Ein Hinweisgebersystem dient den Mitarbeitenden eines Unternehmens sowie den Geschäftspartnern, Kunden und weiteren Stakeholdern als zentrale Stelle zur Meldung von Fehlverhalten. Damit haben Unternehmen die Möglichkeit auf Missstände schnell zu reagieren und Schäden vom Unternehmen abzuwenden und Unternehmensprozesse zu verbessern.

Das neue Gesetz regelt den Schutz von natürlichen Personen, die im Zusammenhang mit ihrer beruflichen Tätigkeit oder im Vorfeld einer beruflichen Tätigkeit Informationen über Verstöße erlangt haben und diese an die vorgesehenen Meldestellen melden oder offenlegen (hinweisgebende Personen/Hinweisgeber oder engl. „Whistleblower“). Darüber hinaus werden Personen geschützt, die Gegenstand einer Meldung oder Offenlegung sind, sowie sonstige Personen, die von einer Meldung oder Offenlegung betroffen sind.

Unternehmen mit 50 oder mehr Beschäftigten sind dazu verpflichtet, eine interne Meldestelle einzurichten. Dabei gilt diese Verpflichtung für Unternehmen mit mehr als 249 Beschäftigten unmittelbar ab dem 02.07.2023 (wobei die entsprechende Bußgeldvorschrift erst am 01. Dezember 2023 in Kraft tritt); für Unternehmen von 50 bis 249 Beschäftigten gilt eine Übergangsfrist bis zum 17. Dezember 2023.

Bei der Meldung von Verstößen gem. des Hinweisgeberschutzgesetzes werden personenbezogene Daten verarbeitet. Die Datenerhebung umfasst Angaben über die beschuldigte Person, die (angeblichen) Verstöße und die entsprechenden Sachverhalte. Bei nicht anonymen Meldungen kommen personenbezogene Angaben wie Name der meldenden Person, ihre Position im Unternehmen und gegebenenfalls auch die Umstände der Beobachtung der Verstöße in Betracht. Deshalb sind eine Vielzahl datenschutzrechtlicher Maßnahmen zu treffen.

Sprechen Sie uns gerne an!

© 2020ff. by ds² Unternehmensberatung GmbH & Co. KG.

Gemäß Art. 15 DSGVO hat die betroffene Person das Recht von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob und welche sie betreffenden personenbezogenen Daten verarbeitet werden. Darüber hinaus hat die betroffene Person gem. Art. 15 Abs 3. DSGVO das Recht, eine kostenlose Kopie der sie betreffenden personenbezogenen Daten zu verlangen.

Im nun veröffentlichten Urteil des EuGH (Rechtssache C-487/21) hatte dieser geklärt, dass das Recht, eine „Kopie“ zu erhalten, bedeutet, dass der betroffenen Person eine originaltreue und verständliche Reproduktion aller über sie gespeicherten personenbezogenen Daten übermittelt werden muss.

Dies impliziert Kopien von Auszügen aus Dokumenten oder von ganzen Dokumenten. Es kann aber auch ein Auszug aus Datenbanken verlangt werden, wenn dies unerlässlich ist, um das Auskunftsrecht geltend zu machen.

Eine rein allgemeine Beschreibung der personenbezogenen Daten, die
Gegenstand der Verarbeitung sind, oder ein Verweis auf Kategorien personenbezogener Daten entspricht nicht der Definition von „Kopie“.

Die betroffene Person muss aus dem Auskunftsrecht überprüfen können, ob die sie betreffenden personenbezogenen Daten nicht nur richtig sind, sondern auch rechtmäßig verarbeitet wurden.

Laut DSGVO ist der Datenschutzbeauftragte (DSB) ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen einzubinden. Ihm sind bei der Erfüllung seiner Aufgaben aus Art. 39 DSGVO keine Anweisungen bezüglich der Ausübung dieser Aufgaben zu machen und er hat die zur Erhaltung seines Fachwissens erforderlichen Ressourcen zu erhalten.

Ein Unternehmen aus Luxemburg hat nun ein Bußgeld in Höhe von 15.000 € erhalten, weil der DSB nicht in alle Fragen des Schutzes personenbezogener Daten eingebunden wurde. Es gab keine Prozesse oder formalisierte Kontrollpläne des DSB, sondern dieser wurde lediglich auf einer ad-hoc-Basis in entsprechende Kontrollen eingebunden.

Die monatlichen Berichte an die höchste Managementebene mussten vom DSB zudem zuvor mit dem Verwaltungs- und Finanzdirektor abgestimmt werden. Nach Auffassung der Datenschutzbehörde genügte dies nicht den datenschutzrechtlichen Vorgaben an die Autonomie des Datenschutzbeauftragten. Der DSB muss dazu in der Lage sein, den Inhalt seiner Berichte unabhängig festzulegen. Des Weiteren hatte der (interne) Datenschutzbeauftragte keine ausreichende Schulung/Fortbildung erhalten, um den Verantwortlichen ordnungsgemäß und unabhängig beraten und informieren zu können.

© 2020ff. by ds² Unternehmensberatung GmbH & Co. KG.

Aktuell werden SMS verschickt, die angebliche Pakete ankündigen. Sie sind so aufgebaut, wie viele Benachrichtigungen von Paketzustellern. „Ihr Paket kommt an, verfolgen Sie es hier: https://kav...".

Bei einem Klick auf den Link wird Schadsoftware auf dem Smartphone installiert. Diese Schadsoftware leitet dann Daten vom Smartphone weiter und leitet vom Smartphone auch eigenständig SMS mit Schadsoftware weiter. Die SMS können zusätzliche Kosten verursachen. Dabei kann ein Schaden in dreistelliger Höhe entstehen.

Solche Phishing-Angriffe sind nicht neu. Das Wort Phishing setzt sich zusammen aus dem Englischen „password“ und „fishing“. Durch das Phishing sollen Personen dazu verleitet werden, unter Vortäuschung falscher Tatsachen (sensible) Daten preiszugeben.

Wie erkenne ich Phishing?

Werden Sie misstrauisch, wenn eine der folgenden Merkmale zutrifft:

• Unpersönliche oder keine Anrede (z.B. „Sehr geehrter Kunde, …“)
• Vorgetäuschter dringender Handlungsbedarf
• Androhung von Folgen (z.B. „Wenn Sie ihre Daten nicht unverzüglich verifizieren, sperren wir Ihr Konto“)
• Abfrage vertraulicher Daten
• Nachrichtentext in schlechtem Deutsch
• Text enthält kyrillische Buchstaben, falsch aufgelöste oder fehlende Umlaute (z.B. „a“ oder „ea“ statt „ä“)

Wie kann ich mich gegen Phishing schützen?

• Niemals auf Links in einer dubiosen SMS oder E-Mail klicken (im Zweifel: Loggen Sie sich über Ihren gewohnten Weg auf Ihren Kundenkonto ein und nicht über einen Link aus der E-Mail/SMS oder fragen Sie telefonisch beim vermeintlichen Absender nach)
• Niemals persönliche Daten wie Passwörter oder Transaktionsnummern per E-Mail/SMS preisgeben
• Niemals einen Download-Link direkt aus der E-Mail/SMS heraus starten
• Niemals Anhänge einer E-Mail/SMS, die Ihnen verdächtig vorkommt, öffnen
• Immer ausloggen und nicht nur das Browserfenster schließen
• Immer auf die Aktualität der Antivirus-Software und Firewall achten

© 2020ff. by ds² Unternehmensberatung GmbH & Co. KG.

Es gibt zwei verschiedene bekannte Szenarien über die Personen versuchen eine außergerichtliche Zahlung eines immateriellen Schadensersatzes (umgangssprachlich auch „Schmerzensgeld“ genannt) an Betroffene sowie die Erstattung von Rechtsanwaltskosten zu erwirken.

Auf der Webseite eines Unternehmens bittet eine Person über das Kontaktformular das Unternehmen um einen Rückruf. Wenn das Unternehmen die angegebene Nummer zurückrufen will, wird der Anruf nicht angenommen. Nach ein paar Wochen meldet sich die Person wieder und verlangt Auskunft über die von ihm gespeicherten Daten und verlangt Löschung der gespeicherten Daten.

Bei einem anderen Szenario wird erst der Newsletter des Unternehmens abonniert um dann direkt im Anschluss ein Auskunfts- und Löschanspruch geltend zu machen.

Zeitlich nachgelagert meldet sich dann ein Rechtsanwalt um im Auftrag dieser Person einen immateriellen Schadensersatz wegen Verletzung der Betroffenenrechte und die dafür entstandenen Rechtsanwaltskosten geltend zu machen. Bei einem Nicht Tätigwerden droht der Rechtsanwalt die gerichtliche Durchsetzung des Anspruchs an.

Art. 82 DSGVO erlaubt es von der Verarbeitung ihrer personenbezogenen Daten betroffenen Personen, auch immaterielle Schäden wegen der unzulässigen Verarbeitung ihrer Daten einzuklagen. Die Gerichte können dabei bereits die unzulässige Datenverarbeitung an sich als erstattungsfähigen Schaden bewerten.

Es empfiehlt sich auf ein Anwaltsschreibens zu reagieren und das Bestehen des Anspruchs sachlich begründet bestreiten. Zudem sind Prozesse zur Erfüllung von Betroffenenrechten zu erstellen, diese einzuhalten und die Rechenschaftspflichten nach der DSGVO lückenlos zu erfüllen um Beschwerden bei der Aufsichtsbehörde und Zivilprozesse abzuwenden.

Einer der Hauptgründe für Beschwerden bei der Aufsichtsbehörde ist eine nicht, nicht zufriedenstellende oder nicht fristgemäß erfolgte Beantwortung von Betroffenenanfragen durch ein Unternehmen. Die Landesbeauftragte für Datenschutz Niedersachsen berichtet, dass sich die Zahl der Beschwerden seit Geltung der DSGVO stark gesteigert haben, was bereits 2018 zur Folge gehabt hätte, dass "sich die Meldungen gemäß Art. 33 DSGVO auf 370 steigerten (gegenüber 20 im Jahr 2017).“ Dieser Trend hat sich 2019 fortgesetzt und noch weiter verstärkt. Im vergangenen Jahr meldeten Verantwortliche 824 Datenschutzverletzungen.“ Dies geht aus dem Tätigkeitsbericht von 2019 der Landesbeauftragten für den Datenschutz Niedersachsen hervor.

Sollten Sie Unterstützung bei der Erstellung und Implementierung von Prozessen zur Erfüllung der Betroffenenrechte benötigen, melden Sie sich gerne bei unserem ds²-Team.

Einen immateriellen Schadenersatz sprechen die Gerichte meistens nur zu, wenn der Verstoß eine gewisse Erheblichkeitsschwelle überschreitet. Selbst dann ist die Schadenersatzhöhe gering. Eine solche Erheblichkeitsschwelle ist im Wortlaut des Art. 82 DSGVO nicht zu finden. Ob sie dennoch besteht, darüber wird gestritten. Die Frage, ob die DSGVO für Schadensersatzansprüche eine Erheblichkeit voraussetzt würde für gewöhnlich dem EuGH vorgelegt. Ein Amtsgericht in Goslar hat derweil selbst darüber entschieden und kam zu dem Ergebnis, dass die DSGVO eine Erheblichkeit voraussetze. Der Gerichtsentscheidung unterlegene Kläger hat wegen dieser Auslegung des AG Goslar Verfassungsbeschwerde beim Bundesverfassungsgericht eingereicht und hatte damit Erfolg. Das Urteil wurde aufgehoben und vom Bundesverfassungsgericht nun erklärt, dass eine Vorlage beim EuGH zur Klärung der Frage, ob ein Schaden erheblich sein muss, zu erfolgen hat. Die Entscheidung des EuGH steht noch aus.

© 2020ff. by ds² Unternehmensberatung GmbH & Co. KG.

In fast jedem Unternehmen sind die Produkte von Microsoft, teilweise auch mangels Alternativen, im Einsatz. Vielen Unternehmern ist jedoch nicht bewusst, dass die Nutzung mancher Funktionen datenschutzrechtlich kritisch ist, wie es die neueste Funktion von Microsoft wieder zeigt.

Denn mit einer neuen Funktion des Office-Pakets Microsoft 365 kann die Leistung und das Verhalten von Mitarbeitern minuziös kontrolliert werden. Die Software kann aufzeichnen, wann und wie oft Mitarbeiter die Software nutzen. So kann beispielsweise auch ausgewertet werden, wann ein einzelner Mitarbeiter wie viele E-Mails mit Outlook verschickt hat und wie lange und wie oft Mitarbeiter über Teams miteinander kommuniziert haben. Bei der Auswertung wird der konkrete Mitarbeiter namentlich genannt. Es erfolgt also durch Microsoft eine Datenverarbeitung, wodurch auch neue (Meta-)Daten wie Nutzungsverhalten und Muster von Arbeitsabläufen, aber auch Prognosen hinsichtlich der Produktivität der einzelnen Beschäftigten erstellt werden. Auch Aussagen über die Arbeitshäufigkeit und -weise des Einzelnen an einem gemeinsamen Dokument können getroffen werden.

Zwar ist eine Anonymisierung möglich, diese muss allerdings aktiv eingestellt werden. Und selbst dann ist es fraglich, ob die Auswertung tatsächlich immer anonym erfolgen kann. Denn gerade in einer kleineren Gruppe können durch bestimmte Merkmale ggf. einzelne Personen identifiziert werden.

Allein die Möglichkeit diese Auswertungen nutzen zu können, unterstellt eine anlasslose Überwachung von Beschäftigten und stellt damit einen Eingriff in das Persönlichkeitsrecht der Beschäftigten dar, was nicht nur datenschutzrechtlich unzulässig, sondern auch arbeitsrechtlich problematisch ist. Microsoft wehrt sich und stellt klar, dass der Produktivitätswert, den die Software aufzeichnet, kein Überwachungswert sei, sie sich an das europäische Datenschutzrecht halten und die Daten nach 28 Tagen gelöscht werden.

Bei der Nutzung von Microsoft 365 werden diese und viele weitere Daten jedoch nicht nur massenhaft gesammelt, sondern auch in die USA, ein datenschutzrechtlich unsicheres Drittland, übertragen. Es empfiehlt sich daher, dass Unternehmen, die Microsoft 365 nutzen, selbst den Zugriff auf die Produktivitätsdaten sperren.

Die Nutzung von Tools wie der Office-Statistik sollten zudem zwingend (sofern vorhanden) mit dem Betriebsrat abgesprochen werden. Es empfiehlt sich, entsprechende Betriebsvereinbarungen zu schließen. Arbeitgeber die diese Gesichtspunkte bei der Nutzung von Microsoft 365 missachten, handeln rechtswidrig. Wer die Möglichkeit hat, auf Alternativen zurückzugreifen, ist gut beraten, dies zu tun.

Wenn Sie mehr zu diesem Thema wissen wollen, wenden Sie sich bitte direkt an die Autorin oder den Autor. Wir freuen uns auf Ihren Anruf!

© 2020ff. by ds² Unternehmensberatung GmbH & Co. KG.

Rundum-Überwachung im Straßenverkehr

Immer mehr Speditionen, Taxiunternehmen oder Unternehmen mit eigenem Kundendienst koordinieren ihren Fuhrpark mit Hilfe von „Global Positioning Systemen“ – kurz GPS. Diese Systeme werden in die Betriebs-Fahrzeuge eingebaut und ermöglichen eine zum Teil lückenlose Verfolgung. Die Hersteller dieser GPS-Ortungssysteme versprechen ihrerseits „Kostensenkung, Produktivitäts- und Effizienzsteigerung sowie umfassende Kontrollmöglichkeiten“.

Die Einsatz- und Auswertungsmöglichkeiten dieser Systeme scheinen für den Arbeitgeber unbegrenzt. So kann zum Beispiel über die automatische Rückmeldung an den Disponenten der aktuelle Standort des Fahrzeugs übermittelt werden.

Unterschiedliche Aktivitäten können bzw. müssen zum Teil vom Fahrer in einem Freitextfeld beschrieben werden (wie z.B. Anfang und Ende des Tankvorgangs sowie getankte Menge, Wartezeiten und Bereitschaftsdienst, Pausen). Uhrzeit und Ort dieser Eingaben werden hierbei zu jedem Zeitpunkt erfasst und im System für spätere Auswertungsmöglichkeiten gespeichert.

Des Weiteren können Fahreigenschaften durch die GPS-Tools ermittelt werden und geben über das Fahrverhalten der Mitarbeiter einige Auskünfte:

In welchem Drehzahlbereich wird gefahren? In welcher Weise wird der Tempomat verwendet? Daraus wird im besten Fall ein Schulungsbedarf ermittelt, um z.B. wirtschaftliches Fahren zu trainieren. Es gibt aber auch Systeme, die aus diesen Informationen automatisch „Fahrernoten“ generieren.

Unter datenschutzrechtlichen Gesichtspunkten werden diese Überwachungsmöglichkeiten sehr kritisch gesehen. So hat sich bspw. der rheinland-pfälzische Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (RLP) wie folgt geäußert: „Die Beschäftigtenkontrolle durch Ortungssysteme ist datenschutzrechtlich nur in sehr engen Grenzen zulässig: Der Einsatz eines GPS-Ortungssystems durch Unternehmen kann nicht auf die Einwilligung der Beschäftigten gestützt werden, da bei einer flächendeckenden Überwachung nicht von der erforderlichen Freiwilligkeit einer Einwilligung der Beschäftigten ausgegangen werden kann. Ortungssysteme, mit denen Beschäftigte dauerhaft kontrolliert werden können, sind grundsätzlich unzulässig. Beschäftigte dürfen nicht einem permanenten Kontrolldruck ausgesetzt werden, sie sind nicht „Betriebskapital“, sondern Bürger mit Rechten."

Weitere Aufsichtsbehörden innerhalb der Bundesrepublik sehen dies ganz ähnlich.

Für Speditionen, Servicedienstleister oder auch Taxiunternehmen stellt sich nun die Frage: Was ist erlaubt? Wie weit darf die Fahrerüberwachung gehen und welche Voraussetzungen müssen erfüllt sein, damit der Einsatz solcher Systeme zulässig ist?

Benötigen Sie Unterstützung bei diesem Thema, rufen Sie uns gerne an unter +49 5421/308950. Wir freuen uns auf Ihren Anruf!

ds² profitiert von langjährigen Erfahrungswerten, umfangreichem Wissen in Theorie und Praxis sowie einer guten Zusammenarbeit mit den relevanten Institutionen der Branche. Damit die Kunden von ds² die bestmögliche Beratung bekommen, legen wir großen Wert auf entsprechende Aktualität, Professionalität und Flexibilität. Alle ds²-Berater haben die besten Ausbildungen im Bereich des Datenschutzes absolviert und werden durch regelmäßige Schulungen mit den neusten Entwicklungen und Richtlinien vertraut gemacht. Jeder Berater hat entsprechende Prüfungen abgelegt und kann auf eine umfangreiche Berufserfahrung in Unternehmen und als Datenschutzberater zurückgreifen.

Die ds²-Kunden können sich jedoch nicht allein auf ein umfangreiches Fachwissen verlassen, sondern auch auf einen professionellen, kundenfreundlichen Service. Den Kunden steht jederzeit ein Ansprechpartner, auch vor Ort, zur Verfügung, der mit dem Unternehmen vertraut ist. Neben dem eigentlichen Datenschutzberater wird ein Stellvertreter bereitgestellt, welcher von der Bestandsaufnahme an auch immer ansprechbar ist.

Des Weiteren profitieren die Kunden vom Know-how aller Berater, da zwischen diesen ein ständiger Wissenstransfer auf allen Fachgebieten erfolgt. Bei akuten Problemen bietet ds² die Möglichkeit von Online-Konferenzen, um eine möglichst schnelle Lösung umzusetzen oder auch um den gesamten Prozess wirtschaftlicher zu gestalten.

Zu Ihrer Sicherheit sind sämtliche Tätigkeiten der ds²-Berater durch unsere Beratungshaftpflichtversicherung geschützt.

Weitere detaillierte Informationen sowie mögliche Lösungsansätze zu diesem Thema erhalten Sie telefonisch unter +49 5421/308950.