Nach Inkrafttreten der Datenschutz-Grundverordnung ist die Sensibilisierung für den Datenschutz gestiegen. So ist mittlerweile vielen Abteilungen, die mit Kundenansprachen arbeiten, bewusst, dass neben dem Gesetz gegen den unlauteren Wettbewerb (UWG) auch der Datenschutz zu berücksichtigen ist. Die verantwortliche Stelle im Unternehmen stellt sich jedoch meist die Frage: "Darf ich das?"

Denn bei Verstößen in diesem Bereich ist nicht nur mit Konsequenzen durch die Gewerbeaufsicht sondern auch durch die Datenschutzaufsicht zu rechnen.

Insbesondere im Marketing und im Vertrieb stellen sich die Fragen, wie die Kundenansprache heute noch zulässig, aber dennoch wirtschaftlich erfolgen kann. Sind Preisausschreiben noch möglich? Welche Anforderungen sind bei der Erhebung von Adressdaten zu beachten?

Welche Werbung ist bei eigenen Kunden noch erlaubt? Was muss ich bei der Neukundengewinnung berücksichtigen? Brauche ich immer eine Einwilligung? Wie bekomme ich eine wirksame Einwilligung? Darf ich noch Visitenkarten annehmen? Wann dürfen Newsletter verschickt werden?

Die ds²-Berater analysieren Ihre Kundenkommunikation aus datenschutzrechtlicher Sicht und unterstützen Sie bei der Entwicklung der erforderlichen Prozesse und der Formulierung erforderlicher Dokumente, um Ihnen die Sicherheit zu geben, im Bereich der Kundenansprache datenschutzgerecht aber auch wirtschaftlich zu arbeiten. Ganz nebenbei sind Sie damit Ihrem Wettbewerb oft deutlich voraus. Viele ds²-Kunden werben erfolgreich damit, dass sie beim Datenschutz keine Kompromisse zu Lasten ihrer Kunden machen.

Weitere detaillierte Informationen sowie mögliche Lösungsansätze zu diesem Thema erhalten Sie telefonisch unter +49 5421 308950.

Rundum-Überwachung im Straßenverkehr

Immer mehr Speditionen, Taxiunternehmen oder Unternehmen mit eigenem Kundendienst koordinieren ihren Fuhrpark mit Hilfe von „Global Positioning Systemen“ – kurz GPS. Diese Systeme werden in die Betriebs-Fahrzeuge eingebaut und ermöglichen eine zum Teil lückenlose Verfolgung. Die Hersteller dieser GPS-Ortungssysteme versprechen ihrerseits „Kostensenkung, Produktivitäts- und Effizienzsteigerung sowie umfassende Kontrollmöglichkeiten“.

Die Einsatz- und Auswertungsmöglichkeiten dieser Systeme scheinen für den Arbeitgeber unbegrenzt. So kann zum Beispiel über die automatische Rückmeldung an den Disponenten der aktuelle Standort des Fahrzeugs übermittelt werden.

Unterschiedliche Aktivitäten können bzw. müssen zum Teil vom Fahrer in einem Freitextfeld beschrieben werden (wie z.B. Anfang und Ende des Tankvorgangs sowie getankte Menge, Wartezeiten und Bereitschaftsdienst, Pausen). Uhrzeit und Ort dieser Eingaben werden hierbei zu jedem Zeitpunkt erfasst und im System für spätere Auswertungsmöglichkeiten gespeichert.

Des Weiteren können Fahreigenschaften durch die GPS-Tools ermittelt werden und geben über das Fahrverhalten der Mitarbeiter einige Auskünfte:

In welchem Drehzahlbereich wird gefahren?In welcher Weise wird der Tempomat verwendet?Daraus wird im besten Fall ein Schulungsbedarf ermittelt, um z.B. wirtschaftliches Fahren zu trainieren. Es gibt aber auch Systeme, die aus diesen Informationen automatisch „Fahrernoten“ generieren.

Unter datenschutzrechtlichen Gesichtspunkten werden diese Überwachungsmöglichkeiten sehr kritisch gesehen. So hat sich bspw. der rheinland-pfälzische Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (RLP) wie folgt geäußert: „Die Beschäftigtenkontrolle durch Ortungssysteme ist datenschutzrechtlich nur in sehr engen Grenzen zulässig: Der Einsatz eines GPS-Ortungssystems durch Unternehmen kann nicht auf die Einwilligung der Beschäftigten gestützt werden, da bei einer flächendeckenden Überwachung nicht von der erforderlichen Freiwilligkeit einer Einwilligung der Beschäftigten ausgegangen werden kann. Ortungssysteme, mit denen Beschäftigte dauerhaft kontrolliert werden können, sind grundsätzlich unzulässig. Beschäftigte dürfen nicht einem permanenten Kontrolldruck ausgesetzt werden, sie sind nicht „Betriebskapital“, sondern Bürger mit Rechten."

Weitere Aufsichtsbehörden innerhalb der Bundesrepublik sehen dies ganz ähnlich.

Für Speditionen, Servicedienstleister oder auch Taxiunternehmen stellt sich nun die Frage: Was ist erlaubt? Wie weit darf die Fahrerüberwachung gehen und welche Voraussetzungen müssen erfüllt sein, damit der Einsatz solcher Systeme zulässig ist?

Benötigen Sie Unterstützung bei diesem Thema, rufen Sie uns gerne an unter +49 5421/308950. Wir freuen uns auf Ihren Anruf!

Die Bestellung eines Datenschutzbeauftragten (DSB) ist notwendig, wenn mehr als neunzehn Personen EDV-gestützt personenbezogene Daten verarbeiten. Darunter ist jede Art von personenbezogenen Daten zu verstehen.

Das bedeutet, ein Unternehmen, in dem neunzehn oder weniger Personen EDV-gestützt personenbezogene Daten verarbeiten, ist laut Gesetz nicht automatisch dazu verpflichtet, einen DSB zu bestellen. Die Bestellung eines DSB kann aber dennoch sinnvoll sein. Denn nur, weil ein Unternehmen nicht zur DSB-Bestellung verpflichtet ist, ist es nicht davon befreit, die Anforderungen der Datenschutz-Grundverordnung (DSGVO) einzuhalten. Verstößt ein Unternehmen (egal welcher Größe) gegen die Regelungen der DSGVO, kann es durch eine Datenschutzaufsichtsbehörde sanktioniert werden.

Die Bestellung eines ds²-Datenschutzbeauftragten bietet Ihnen die Möglichkeit, die Prozesse Ihres Unternehmens rechtssicherer und wirtschaftlicher zu gestalten. Ein qualifizierter erfahrener externer DSB ist in der Lage, die gesetzlichen und aufsichtsbehördlichen Anforderungen auf Ihre Behörden- bzw. Unternehmensprozesse zu übertragen.

Aufgrund der Erfahrung und Kompetenz der zertifizierten ds²-Berater wirkt sich deren Tätigkeit i.d.R. positiv auf die Wirtschaftlichkeit und somit auf die Wettbewerbsposition aus.

Weitere detaillierte Informationen zu diesem Thema erhalten Sie telefonisch unter +49 5421 308950.

Die Abhängigkeit der Unternehmensprozesse von der Informationstechnologie sowie die steigenden Anforderungen an die Informationssicherheit haben dazu geführt, dass dieser Bereich zunehmend Gegenstand von Haftungsansprüchen und daher auch von Risikoprüfungen ist.

Im Zentrum der Aktivitäten steht dabei die Gewährleistung der technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO.

Unabhängig von Produkten bestimmter Hersteller optimiert ds² durch kostengünstige Maßnahmen, die oft sogar ohne Investitionen in Hard- und Software möglich sind, so z.B. durch speziell auf das Unternehmen zugeschnittene Auditverfahren, welche die wesentlichen Risiken erfassen und eine exakte Analyse der Datenverarbeitung im Unternehmen erlauben. Kunden und Kapitalgeber werden somit die erforderlichen Sicherheitsstandards geboten, welche auch gleichzeitig mit dem Jahresabschlussprüfer abgestimmt werden um zusätzliche Aufwendungen zu vermeiden.

Diese Aktivitäten werden durch gezielte Trainings und gegebenenfalls Awarenesskampagnen unterstützt.

Weitere detaillierte Informationen sowie mögliche Lösungsansätze zu diesem Thema erhalten Sie telefonisch unter +49 5421 308950.

Wie findet man den richtigen internen Datenschutzbeauftragten (DSB)?

Ein interner DSB kennt die Unternehmensprozesse und die entsprechenden Ansprechpartner. Damit hat er einen entscheidenden Vorteil. Da der interne DSB einen gesetzlichen Kündigungsschutz erfährt, sind Unternehmen gut beraten, bei der Auswahl die richtige Person entsprechend den gesetzlichen Anforderungen zu ermitteln. Schon in diesem Auswahlprozess können wir Sie aufgrund unserer langjährigen Erfahrung unterstützen. Neben diversen Anforderungen an die Zuverlässigkeit und Fachkunde darf der DSB auch keinem Interessenskonflikt unterliegen. Gerade hier kommt es immer wieder zu Abberufungen durch die Aufsichtsbehörden.

Welche Qualifikation benötigt ein interner DSB?

Ausbildungen zum Datenschutz gibt es heute wie Sand am Meer. Gute Ausbildungen allerdings nur wenige. Wir können Ihnen bei der Auswahl der richtigen Ausbildung helfen oder Ihren Datenschutzbeauftragten direkt bezogen auf die Anforderungen in Ihrem Unternehmen ausbilden und coachen. Das Coaching und damit die stufenweise Ausbildung von internen Datenschutzbeauftragten hat sich in vielen Fällen bewährt, da der interne Datenschutzbeauftragte eine genau auf ihn skalierte Unterstützung erfährt und dabei direkt anhand der Anforderungen für die Verarbeitungsprozesse Ihres Unternehmens ausgebildet wird. Der ds²-Berater ist dabei stets als Sparringspartner für den fachlichen Austausch und die Lösung komplexer Aufgaben verfügbar. Darüber hinaus kann er bei Abwesenheiten des internen DSB als Stellvertreter fungieren.

Welche Phasen durchläuft das Coaching?

Neben der initialen Ausbildung Ihres DSB stellt das individuelle Coaching eine hervorragende Möglichkeit dar, einen internen DSB schnell und sicher in die Lage zu versetzen, die komplexen Aufgaben wahrzunehmen.

Dieses Verfahren läuft üblicherweise in 4 Schritten ab:

1. Aufgaben ermitteln (auch phasenweise) und den jeweiligen Zeitrahmen festlegen
2. Analyse der Rahmenbedingungen und Bearbeitung von Lösungsansätzen
3. Lösungen ausarbeiten und umsetzen
4. Erfolgskontrolle

Jede Phase wird durch den ds²-Berater (Coach) begleitet und unterstützt. Da diese Phasen auf immer komplexere Aufgaben angewandt werden, erwirbt der interne DSB die erforderliche Kompetenz an konkreten Beispielen und schafft gleichzeitig die gewünschte Rechtssicherheit für das Unternehmen.

Möchten Sie weitere detaillierte Informationen zu diesem Thema erhalten, rufen Sie uns gerne an unter +49 5421 308950.

Wo steht Ihr Unternehmen beim Datenschutz?

Der Einstieg in den integrierten Datenschutz by ds² ist die Bestandsaufnahme. Sie dient der Ermittlung der datenschutzrechtlichen Situation im Unternehmen. Durch ihre Skalierbarkeit ist die Bestandsaufnahme für jede Art und Größe einer Organisation wirtschaftlich und effizient darstellbar. Mit der ds²-Datenschutz-Bestandsaufnahme erhalten Sie so schnell einen Überblick und eine erste Einschätzung des Handlungsbedarfes.

Wie läuft die Bestandsaufnahme ab?

Die ds²-Datenschutz-Bestandsaufnahme wird von ausgebildeten und zertifizierten ds²-Beratern durchgeführt. Sie erhalten – nach Abschluss einer Vertraulichkeitsvereinbarung – vorab einen Fragenkatalog, der uns zur Vorbereitung der Bestandsaufnahme dient. Bei Ihnen vor Ort werden unsere Berater die entsprechenden Prozesse und Datenverarbeitungen prüfen. Dies erfolgt durch Interviews und Prozess-Stichproben. Die Berater werden die Erkenntnisse vor Ort erfassen und anschließend in unseren Büros dokumentieren und zusammenfassen.

Ziel ist es, einen Überblick über die Unternehmensprozesse und die dazu gehörigen Anforderungen an den Datenschutz zu erhalten und damit einen ersten Ansatzpunkt zur Erstellung eines Maßnahmenplans zu erhalten. Im Zentrum stehen dabei die wesentlichen Risiken im Bereich Datenschutz und möglicher Schwachstellen bei der Sicherheit der Daten.

Was bringt die Bestandsaufnahme?

Im Rahmen eines Abschlusstermins werden unsere Berater Ihnen die Ergebnisse vorstellen. Je nach Skalierungsstufe gehören dazu

• eine Präsentation der wesentlichen Ergebnisse
• der Bericht
• der Maßnahmenplan

Diese Dokumente ermöglichen es Ihnen, den Aufwand für die Optimierung des Datenschutzes im Unternehmen besser einzuschätzen. Auf der Basis dieser Ergebnisse können die Aufgaben priorisiert und ggf. budgetiert werden. Notwendigkeit und Umfang einer Projektphase für die dringendsten Aufgaben können hierdurch ebenfalls definiert werden.

Weitere detaillierte Informationen zu diesem Thema erhalten Sie telefonisch unter +49 5421/308950.

Wir bieten aufgrund unserer langjährigen Erfahrung ein maßgeschneidertes Datenschutz-Vorgehensmodell an, welches sich in drei Projektphasen unterteilen lässt:

Bestandsaufnahme

• Erfassen der aktuellen Datenschutzsituation durch die Analyse der Verarbeitungsprozesse in Ihrem Unternehmen.
• Ermittlung der tatsächlich erforderlichen Aktivitäten.
• Sie erhalten einen Bericht, der der Unternehmens-/ Behördenleitung präsentiert wird.
• Sie gewinnen erste Einblicke in die Arbeitsweise von ds².

 Projektbearbeitung

• Bearbeitung der Aufgaben, die sich aus der Bestandsaufnahme ergeben haben.
• Priorisierte Aufgaben werden zuerst wahrgenommen z.B. entsprechend dem risikobasierten Ansatz.
• Umfang und Dauer hängen hierbei erheblich von den ermittelten Risiken und der geleisteten Vorarbeit im Unternehmen ab.
• Im Zentrum stehen die Prozesse im Unternehmen – unser Anspruch ist die Verbesserung der Prozesse unter Berücksichtigung der gesetzlichen Anforderungen und der entsprechenden Datensicherheit.

 Regelmäßige Betreuung

• Ein ds²-Berater übernimmt die Aufgabe des externen Datenschutzbeauftragten, mindestens ein weiterer ds²-Berater wird als Stellvertreter tätig und begleitet alle drei Phasen.
• Die gesetzlichen Aufgaben nach BDSG und DSGVO werden durch diese ds²-Berater abgedeckt.
• Weitere Datenschutzaufgaben, die mangels interner Kapazitäten im Unternehmen / in der Behörde nicht bearbeitet werden, können im Beratungsauftrag zusätzlich übernommen werden.
• Für Projekte und Expansion stehen weitere ds²-Berater bereit.

Unser Anspruch

Best-Practice-Datenschutz ist prozessorientierter Datenschutz. Prozesse datenschutzgerecht, sicher und wirtschaftlich gestalten.

Weitere detaillierte Informationen zu diesem Thema erhalten Sie telefonisch unter +49 5421 308950.

Unternehmen sind heute oftmals auf die Unterstützung von Inkassodienstleistern angewiesen, um ihre Liquidität zu erhalten und das Ausfallsrisiko zu begrenzen.

Inkassodienstleister erhalten per Vollmacht die Erlaubnis die Forderung beim Schuldner einzutreiben. Doch wie weit greift die Vollmacht des Inkassodienstleisters wirklich?

Welche Möglichkeiten Schuldner und Inkassodienstleister nutzen können, um einerseits den Datenschutz zu beachten und andererseits die notwendigen Informationen auszutauschen, ohne gegen die Datenschutzbestimmungen zu verstoßen, ist sorgfältig zu prüfen. Wie sich Datenschutz in diesem Fall auswirkt, welche Möglichkeiten sich für Unternehmen bieten und welche Grundlagen der DSGVO hier zu Grunde liegen, erläutern wir Ihnen gerne in einem persönlichen Gespräch.

Weitere detaillierte Informationen sowie mögliche Lösungsansätze zu diesem Thema erhalten Sie telefonisch unter +49 5421 308950.

Erschienen am 2. Oktober 2020

Das bislang höchste Bußgeld für einen Datenschutz-Verstoß hat jetzt der Hamburgische Datenschutzbeauftragte Johannes Caspar gegen das börsennotierte, schwedische Textilhandelsunternehmen Hennes & Mauritz (179.000 Mitarbeiter, 22 Mrd. Euro Umsatz, 4.300 Geschäfte in 64 Ländern) verhängt: 35.258.707,95 Euro. Grund ist die langjährige Überwachung von Mitarbeitern des für Onlinebestellungen zuständigen H&M-Servicecenters in Nürnberg.

„Ohne vergleichbares Beispiel“

Caspar erklärte, man habe einen „derartig gravierenden“ Verstoß lange nicht mehr gesehen; der Umfang der Ausforschungen sei „in den letzten Jahren ohne vergleichbares Beispiel“. Mindestens seit 2014 seien die Beschäftigten in Nürnberg ausgefragt und ihre Angaben in Profilen gespeichert worden. Nach Abwesenheiten wegen Urlaub oder Krankheit seien die Angestellten nach konkreten Urlaubserlebnissen beziehungsweise Krankheitssymptomen und Diagnosen befragt worden.

"Zusätzlich eigneten sich einige Vorgesetzte über Einzel- und Flurgespräche ein breites Wissen über das Privatleben ihrer Mitarbeitenden an", heißt es in der Pressemitteilung der Hamburgischen Datenschutzbehörde. Das Wissen reiche "von eher harmlosen Details bis zu familiären Problemen sowie religiösen Bekenntnissen".

Umfangreiche Profile angelegt

Die Dateien seien "mitunter für bis zu 50 weitere Führungskräfte im ganzen Haus lesbar" gewesen und genutzt worden, um Profile "für Maßnahmen und Entscheidungen im Arbeitsverhältnis zu erhalten." Bekannt wurde das, weil die Daten infolge eines Konfigurationsfehlers im Oktober 2019 für einige Stunden unternehmensweit zugänglich waren und jemand die Presse darüber informierte. H&M wurde bereits vom Verein Digitalcourage der Negativpreis „Big Brother Award“ verliehen.

Entschuldigung und Schadenersatz

Caspar berichtete, H&M habe mittlerweile ein "umfassendes Konzept vorgelegt, wie von nun am Standort Nürnberg Datenschutz umgesetzt werden soll". Außerdem habe sich die Unternehmensleitung "ausdrücklich bei den Betroffenen entschuldigt" und sich bereit erklärt, den "Beschäftigten einen unbürokratischen Schadensersatz in beachtlicher Höhe auszuzahlen". Der ist in der Datenschutz-Grundverordnung (DSGVO) allerdings ohnehin vorgesehen. Caspar lobte „ein bislang beispielloses Bekenntnis zur Unternehmensverantwortung nach einem Datenschutzverstoß." H&M hat jetzt zwei Wochen Zeit, Einspruch gegen den Bußgeldbescheid einzulegen.

Imageschaden oft noch größer

Die bisher höchsten Bußgelder bei Verstößen gegen die DSGVO wurden in Höhe von 14,5 Mio. Euro gegen die Deutsche Wohnen SE und in Höhe von 9,5 Mio. Euro gegen 1&1 verhängt. Europaweit wurde gegen Google das höchste Bußgeld verhängt: 50 Mio. Euro. Die Höhe des Bußgelds ist aber nur eine Seite. Die entstehenden Imageschäden und deren Folgen wie bspw. der Vertrauensverlust und der sinkende Markenwert können sich noch höher addieren. Die Datenschutz-Compliance durch ein geprüftes leistungsfähiges Datenschutz-Managementsystem ist dagegen selbst für internationale Konzerne regelrecht günstig.

Update vom 16.10.2020: Der NDR berichtete, dass H&M keinen Einspruch gegen den Bußgeldbescheid eingelegt hat. Somit ist dieser nun rechtskräftig.

Wenn Sie mehr zu diesem Thema wissen wollen, wenden Sie sich bitte direkt an die Autorin oder den Autor. Wir freuen uns auf Ihren Anruf!

© 2020ff. by ds² Unternehmensberatung GmbH & Co. KG.

Erschienen am 26. November 2020

Entgegen den Erwartungen der Gesetzgeber stecken immer noch viele Tausend Firmen in dem Prozess, Datenschutz in ihrem Unternehmen einzuführen, fest. Gründe gibt es viele, der wohl wichtigste ist: Viele versuchen, nur mit ein paar Formularen dem Gesetz Genüge zu tun, ohne die Unternehmensprozesse zu berücksichtigen.

Tatsächlich erleben wir immer wieder Unternehmen, die es auch nach Jahren nicht geschafft haben, die gesetzlichen Vorgaben in das Tagesgeschäft zu integrieren. Es liegen dabei oft schon umfangreiche Dokumente vor, die irgendwo eingekauft wurden, aber nichts mit den Prozessen im Unternehmen zu tun haben. Nicht selten wird der laufende Prozess frustriert abgebrochen, das Thema in die unterste Schublade verbannt.

Der Hauptgrund liegt unserer Erfahrung nach darin, dass der Datenschutz zu eindimensional gesehen wird: "Es geht nicht nur darum, einen Datenschutzbeauftragten zu berufen und ein paar Formulare auszufüllen. Datenschutz muss in die Prozesse integriert werden,“ ist die feste Überzeugung in unserem Team.

Und dazu gehört nicht nur die Betrachtung durch die juristische Brille. Die IT-Experten und auch die Prozessverantwortlichen müssen eingebunden werden. In vielen Fällen kann ein prozessual integrierter Datenschutz die Unternehmensabläufe beschleunigen. „Wer die Einführung des Datenschutzes nicht mehrdimensional angeht, wird die Furcht vor punktueller Lähmung eher bestätigt finden“, so Datenschutzexpertin Sabrina Daniel, die in unserem Team Unternehmen beim Restart der Datenschutzprojekte und der Einführung von Datenschutzmanagementsystemen unterstützt.

Um hier die Effizienz des Unternehmens zu erhalten und ggf. optimieren, bietet sich die Umsetzung der Anforderungen mittels eines Datenschutzmanagementsystems an. Managementsysteme sind in den Unternehmen bewährte Praxis und im Qualitätsbereich schon lange Standard. Diese Erfahrungen kann man auch für die Umsetzungen im Datenschutz nutzen. So kann bspw. ein Datenschutzmanagement in ein bestehendes Managementsystem integriert werden. In jedem Fall erleichtert ein Managementsystem die Gewährleistung der gesetzlich geforderten Rechenschaftspflicht erheblich.

Wenn Sie mehr zu diesem Thema wissen wollen, wenden Sie sich bitte direkt an die Autorin oder den Autor. Wir freuen uns auf Ihren Anruf!

© 2020ff. by ds² Unternehmensberatung GmbH & Co. KG.