Datenschutz gewinnt an Bedeutung – Schonfrist abgelaufen!

Am 31. August endete die Schonfrist für die Nutzung von Adress- und Kundendaten, die vor dem 01.09.2009 erhoben wurden. Seitdem kann es jeden treffen, der die in der letzten Novellierung beschlossenen Vorgaben des BDSG im Umgang mit personenbezogenen Daten nicht umgesetzt hat. Verstöße sind hierbei mit empfindlichen Strafen belegt, und können von den Aufsichtsbehörden mit bis zu 300.000 Euro geahndet werden. Auch geht er das Risiko ein durch Mitbewerber wegen Wettbewerbsverstößen belangt zu werden.

Das Problem ist, dass der Gesetzgeber im Rahmen der Novellierung des BDSG auch die Nutzung von personenbezogenen Daten für eigene Geschäftszwecke (wie z.B. Werbung) in §28 BDSG neu geregelt und strengere Auflagen als bisher festgesetzt hat. In §28 Abs. 3 ff. BDSG werden die Voraussetzungen festgelegt, welche zur Verwendung der Adressen für Werbezwecke erfüllt sein müssen:

  • Die Verarbeitung oder Nutzung personenbezogener Daten für Zwecke der Werbung ist zulässig, soweit der Betroffene eingewilligt hat. (§28 Abs. 3 BDSG)
  • Sofern keine schriftliche Einwilligung vorliegt, hat die verantwortliche Stelle dem Betroffenen den Inhalt der Einwilligung schriftlich zu bestätigen. (§28 Abs. 3a BDSG)
  • Wurde die Einwilligung elektronisch abgegeben, muss diese protokolliert und jederzeit abrufbar sein. (§28 Abs. 3a BDSG)
  • Außerdem muss der Betroffene die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen können. (§28 Abs. 3a BDSG)

Nichts geht ohne ein explizites und nachweisbares „Ja“ des Empfängers
Für Marketingzwecke gilt besondere Vorsicht da der Kundenwunsch hier im Mittelpunkt steht. Wer ab September 2012 keine hieb- und stichfeste Werbeeinverständniserklärung vorweisen kann, wird ein Problem haben, wenn er beispielsweise nach dem Versand eines Newsletters bei der Aufsichtsbehörde angezeigt wird. Hieb- und stichfest heißt, dass der Werbende eine vorliegende Werbegenehmigung (am besten mit Unterschrift) des Empfängers vorlegen kann. Das einfache Häkchen „JA, ich möchte den Newsletter erhalten“ auf einer Web-Seite reicht in seiner Funktion als „Single Opt-in“ hierbei nicht mehr aus. Verbunden mit einer weiteren protokolierten Bestätigungsmail ist aber auch dieses Vorgehen als „Double Opt-in“ weiterhin rechtens.

Folgende Punkte sind zu beachten:

  • Es gibt keine niedrigen Verwarngelder mehr wenn Kundendaten unrechtmäßig erhoben und/oder verwendet werden.
  • Missstände sind sofort abzustellen um einer drohenden Strafe oder Abmahnung zu entgehen.
  • Alte Datenbestände, egal wann und wie sie erhoben wurden, unterliegen auch dem neuen Recht.
  • Von allen Adressaten, die Sie künftig anschreiben möchten, und von denen noch keine Einverständniserklärung vorliegt, muss diese eingeholt werden.
  • Die Einwilligung des Empfängers muss nachgewiesen werden, entweder durch eine Unterschrift oder durch ein eindeutiges „Double Opt-in-Verfahren“.
  • Jedes Unternehmen sollte überlegen ob es einen Datenschutzbeauftragten bestellt, der über die Einhaltung der Datenschutzgesetze wacht. Für Unternehmen mit mehr als 9 Mitarbeitern die personenbezogene Daten verarbeiten, ist dies ohnehin Pflicht.
  • Dem Recht des Betroffenen auf Sperrung, Löschung oder Berichtigung seiner Daten ist unverzüglich nachzukommen.

Mit freundlichen Grüßen

Matthias A. Walter, http://www.tec4net.com
EDV-Sachverständiger und Datenschutzauditor————————————————————————————————————————-
Quellen und Links:
Das BDSG im Netz
http://www.gesetze-im-internet.de/bdsg_1990/
Webseite der Bitkom
http://www.bitkom.org

tec4net – Ihr Starker IT-Partner

vorformulierten Vertrag

<a href=“http://it-news-blog.com/wp-content/uploads/2012/03/ID_diebstahl.jpg“><img class=“alignright size-medium wp-image-784″ src=“http://it-news-blog.com/wp-content/uploads/2012/03/ID_diebstahl-300×225.jpg&#8220; alt=““ width=“300″ height=“225″ /></a>Schufa IdentSafe ist ein neuer Dienst, der Nutzern dabei helfen soll, den Risiken eines Identitätsmissbrauchs im Internet zu begegnen. Wie arbeitet IdentSafe und was leistet es wirklich?

Liegen personenbezogene Daten öffentlich zugänglich im Internet, kann das verschiedene Ursachen haben.

Entweder der Betroffene hat die Daten selbst veröffentlicht, zum Beispiel in einem sozialen Netzwerk, ein Dritter hat die Daten öffentlich gemacht, die ihm anvertraut wurden, oder ein Datendieb hat die Daten bei dem Betroffenen oder bei einem Dritten entwendet und dann veröffentlicht.

In jedem Fall hat nun im Prinzip jeder Internetnutzer die Möglichkeit, die offen liegenden Daten zu missbrauchen.

Die Basis für einen <strong>Identitätsdiebstahl</strong> oder <strong>Identitätsmissbrauch</strong> ist gelegt.

<strong>Daten im Internet aufspüren</strong>

Seit Kurzem bietet die Schufa einen Dienst namens Schufa IdentSafe an. Damit sollen sich Verbraucher besser vor einem Identitätsmissbrauch im Internet schützen können.

Funktionieren soll dies so:

<ul>

<li>Der Nutzer meldet sich für den kostenpflichtigen Dienst (rund 40 Euro im Jahr) an.</li>

<li>Dann meldet der Nutzer an die Schufa, welche vertraulichen Daten von ihm nicht im Internet auftauchen sollen.</li>

<li>Nach diesen Daten sucht nun der IdentSafe-Dienst einmal täglich im offenen Internet.</li>

<li>Werden die vom Nutzer genannten Daten oder eine bestimmte Kombination aus diesen Daten (z.B. Name in Verbindung mit Kreditkartennummer) im Internet entdeckt, dann erhält der Nutzer eine entsprechende Warnung per E-Mail oder SMS.</li>

<li>Nun kann der Nutzer entscheiden, wie reagiert werden soll. Sollen die Daten zum Beispiel auf der Webseite, auf der sie gefunden wurden, gelöscht werden? Sollen die Daten aus bestimmten Suchmaschinen gelöscht werden?</li>

<li>Entsprechend Kundenauftrag nimmt die Schufa Kontakt mit Webseitenbetreibern bzw. Suchmaschinenbetreibern auf, verlangt die Löschung und prüft nach drei Wochen, ob wirklich gelöscht wurde. Wenn nicht, kommt eine Erinnerung an den zuständigen Webseiten- oder Suchmaschinenbetreiber. Klappt es mit der Löschung trotzdem nicht, wird der Kunde entsprechend informiert, auch über mögliche weitere Schritte.</li>

</ul>

<strong>Keine geheimen Quellen, keine Löschgarantie!</strong>

Wenn man die Beschreibung des Dienstes Schufa IdentSafe genau betrachtet, stellt man Folgendes fest:

<ul>

<li>Wie den AGBs zu diesem Dienst zu entnehmen ist, durchsucht IdentSafe das offene Internet, „weder private Chatrooms oder Newsgroups noch nur kostenpflichtig erreichbare Daten“. Im Prinzip werden also Quellen durchsucht, die jeder Internetnutzer selbst mit einer Personensuchmaschine oder einem Online-Reputationsdienst anderer Art durchsuchen kann.</li>

<li>Die Suchergebnisse sind nicht unbedingt vollständig und korrekt („Aufgrund der technischen Gegebenheiten und des … Aktualisierungszyklus kann der IdentSafe-Monitor nicht immer alle im Internet relevanten Daten Ihrer Person finden, so dass die gefundenen Treffer ggf. nicht vollständig und nicht richtig sein können.“)</li>

<li>Einen Antrag auf Löschung bei einem Webseiten- oder Suchmaschinenbetreiber kann jeder Betroffene selbst stellen.</li>

<li>Müssen wirklich Daten aus dem Internet entfernt werden, ist auch mit IdentSafe kein schneller Mechanismus zur Hand. Die Kontrolle der angefragten Löschung erfolgt zum Beispiel nach drei Wochen, eine Löschgarantie gibt es (natürlich) auch hier nicht.</li>

</ul>

<strong>Eigene Daten schützen, statt sie nur zu suchen</strong>

Somit ist Schufa IdentSafe ein Dienst, der ähnlich wie ein Online-Reputationsdienst nach bestimmten Daten sucht, Fundstellen meldet und bei dem Löschantrag behilflich ist, unter anderem mit einer speziellen Hotline, an die sich ein Betroffener als Kunde des Dienstes wenden kann.

<strong>Ein Dienst wie IdentSafe kann also den aktiven Online-Schutz nicht erhöhen, also z.B. einen Datendiebstahl verhindern. Denn gesucht wird nur nach Daten, die bereits in das Internet geflossen sind.</strong>

Es gilt das Motto „Vorbeugen ist besser als Heilen“, insbesondere dann, wenn die Heilung, in diesem Fall die Löschung der Daten, weder gewiss ist, noch eine tatsächliche Heilung darstellen kann. Schließlich können die Daten bis zur Umsetzung des Löschantrags schon lange außerhalb des Internets als Kopie liegen und missbraucht werden.

<strong>Matthias A. Walter,</strong> <a href=“http://www.tec4net.com&#8220; target=“_blank“>http://www.tec4net.com</a&gt;

EDV-Sachverständiger und Datenschutzauditor

————————————————————————————————————————-<strong> </strong>

<strong>Quellen und Links:</strong>

Webseite Schufa IdentSafe

<a href=“http://www.wienerzeitung.at/nachrichten/wirtschaft/oesterreich/443292_Datenleck-am-Landesgericht-Wr.-Neustadt.html&#8220; target=“_blank“></a><a href=“https://www.meineschufa.de/index.php?site=22_1&#8243; target=“_blank“>https://www.meineschufa.de/index.php?site=22_1</a&gt;

Studie des Bundesamt für Sicherheit in der Informationstechnik (BSI)

<a href=“https://www.bsi.bund.de/ContentBSI/Presse/Kurzmitteilungen/Kurzmit2010/Studie_Identitaetsdiebstahl_090610.html&#8220; target=“_blank“>https://www.bsi.bund.de/ContentBSI/Presse/Kurzmitteilungen/Kurzmit2010/Studie_Identitaetsdiebstahl_090610.html</a&gt;

<strong>tec4net Ihr Starker IT-Partner</strong>

<strong><a href=“http://www.tec4net.com&#8220; target=“_blank“><img class=“size-full wp-image-770 alignleft“ src=“http://it-news-blog.com/wp-content/uploads/2012/02/logo_560x90_xing.jpg&#8220; alt=““ width=“560″ height=“90″ /></a>

</strong>

<p style=“text-align: left;“></p>

<strong> </strong>

<strong> </strong>

<strong> </strong>

<strong> </strong>

<div style=“width: 1px; height: 1px; overflow: hidden;“>vorformulierten Vertrag<strong><a href=“http://www.tec4net.com&#8220; target=“_blank“><img class=“size-full wp-image-759 alignleft“ src=“http://it-news-blog.com/wp-content/uploads/2012/01/logo_symantec_336x280_google_c.jpg&#8220; alt=““ width=“336″ height=“280″ /></a></strong></div>