Downloads

Windows 11 Datenschutz-Konforme Einstellung für Mitarbeiter

Laptops und PC´s für Angestellte dürfen keine personenbezogenen Daten übertragen.

Windows 11 für Angestellte muß datenschutzkonform  konfiguriert sein. Unternehmen haften für Datenschutz-Verletzungen. Tulos zeigt wie das geht, Schritt für Schritt.

Seit Windows 10, achten die Datenschutz Behörden zunehmend auf eine korrekte Installation, denn Windows 10 und nun auch Windows 11 sind nicht mehr nur Betriebssysteme, sie haben zahlreiche Apps und Dienstleistungen standardmäßig integriert.

Einige dieser neuen Funktion können die Arbeitsweise der Nutzer erkennen und übertragen personenbezogene Daten auf die Server von Microsoft.

Die Verarbeitung von p.b. Daten ist ohne ausdrückliche Einwilligung des oder der Betroffenen verboten.

Installation von Windows 11 für Angestellte, Schritt für Schritt:

Schritt 1:

Auswahl einer geeigneten Version von Windows 11.
Windows 11 kommt, wie sein Vorgänger, in mehrere Versionen.

  1. Windows 11 Home: Die Basisversion von Windows 11 für den Heimgebrauch.
    Diese ist für Privatpersonen möglich. Privatpersonen können selbstverständlich wirksame Einwilligungen zur Datenübertragung geben. Das müssen Sie auch bei der Home Version, weil hier keine Einstellungen vorgenommen werden können, die das Übertragen von personenbezogenen Daten auf die Server von Microsoft unterbindet. Privatnutzer bezahlen mit ihrem persönlichen Daten, wenn sie die preisgünstigere Windows 11 Home erwerben.
  1. Windows 11 Pro: Diese Version ist für Unternehmen vorgesehen. Diese Version erlaubt das Einstellen von Übertragungen personenbezogener Daten. Zusätzlich kann man Remotedesktopverbindungen herstellen und Gruppenrichtlinien zu verwalten.
  2. Windows 11 Enterprise: Eine erweiterte Version von Windows 11 Pro mit weiteren Sicherheitsfunktionen und erweiterten Geräteverwaltungsfunktionen.
  3. Windows 11 Education: Eine Version für Bildungseinrichtungen, die Tools zur Bereitstellung von Inhalten und zur Verwaltung, z.B. von Klassenzimmern, bietet. Und selbstverständlich kann man, wie bei der „Enterprise Version“, die Übertragung von personenbezogenen Daten regeln.

Schritt 2
Einstellungen anpassen

  1. Am sichersten, man meldet jedes Endgerät auf die Organisation an Angestellte dürfen nur mit eingeschränkten Nutzungsrechten arbeiten.
  2. Deaktivieren der Option „Empfohlene Einstellungen“. Das macht man bereits bei der Installation von Windows 11.
  3. In den Einstellungen zu „Datenschutz“ nur die Daten zur Übertragung an Microsoft freigeben die erlaubt sind.
  4. Sicherstellen, dass die Option „Diagnose- und Nutzungsdaten“ auf „Basis“ oder „Nur Erforderliche Daten“ eingestellt ist.
  5. Deaktivieren Sie die Option „Personalisierte Werbung in mithilfe einer App Id verwenden“. Das macht man in den Einstellungen unter „Datenschutz &Sicherheit“.
  6. „Microsoft Edge personalisiert“ auf „Nein“ stellen.
  7. Unter „Hintergrund-Apps“ wählen, welche Apps im Hintergrund laufen sollen und welche nicht.
  8. Die Option „Erfassen von Freihandeingabe“ und „Eingabe“ deaktivieren.
  9. Die Option „Mein Gerät finden“ unter „Geräte suchen“ nur dann aktivieren, wenn. Das Gerät auf die Firma registriert ist.

Fazit:
Windows 10 und 11 übertragen in den Standardeinstellungen personenbezogene Daten
Für so eine Datenverarbeitung ist eine Einwilligung erforderlich.
Da Angestellte keine wirksame Einwilligung geben können, müssen die Endgeräte so eingerichtet werden, dass personenbezogene Daten von Angestellten nicht übertragen werden.
Diese Regel gilt selbstverständlich für jede Applikation, die auf Dienstgeräten eingerichtet sind.

Ein Datenschutzbeauftragter sollte die Installation von Windows 11 sowie allen Applikationen auf den Dienstgeräten nach Datenschutzkonformität überprüfen.

Viel Aufwand erspart man sich, wenn man vor der Installation die richtigen Parameter bereitstellt.

Datenschutz Audit

Warum sind Datenschutz-Audits so wichtig für Unternehmen?

Alle Unternehmen haben eine Rechenschaftspflicht, Art. 5 Abs. 2 DSGVO. Wer also im Schadensfall oder bei Abmahnungen die DSGVO Konformität nicht beweisen kann, muss mit Strafen oder Schadensersatzkosten rechnen.

Es ist also dringend empfohlen die Datenverarbeitung regelmäßig zu überprüfen. Ein Datenschutz-Audit eignet sich bestens für den Nachweis der DSGVO Konformität. Ein Audit pro Jahr ist zwar nicht vorgeschrieben, aber für die glaubhafte Rechenschaftspflicht dringend empfohlen.

Was beinhaltet die Rechenschaftspflicht?

Ein Unternehmen muss dafür sorgen, dass die vorgeschriebenen Datenschutzgrundsätze eingehalten sind. Zu diesen Grundsätzen gehören:

  • Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
  • Zweckbindung
  • Datenminimierung
  • Richtigkeit
  • Speicherbegrenzung
  • Integrität und Vertraulichkeit

Was ist Inhalt eines Datenschutz Audit?

Um zu überprüfen ob Datenschutzgrundsätze eingehalten sind, sieht die DSGVO einige Kontrollmechanismen vor. Hierbei geht es vor allem darum, durch präventive Maßnahmen den Schutz von Daten zu sicherzustellen. Durch die Implementierung von Maßnahmen, Richtlinien und Verhaltensregeln innerhalb des Unternehmens, werden hohe und teilweise irreparable Schäden durch Vorfälle verhindert.

Diese Schutzfunktion kann aber nur dann erfüllt werden, wenn die Maßnahmen tatsächlich angewendet und regelmäßig überprüft werden.

Zu diesem Zweck sollten Unternehmen regelmäßig Datenschutz-Audits durchführen und sicherstellen, dass alle Vorgänge und Prozesse der Datenverarbeitung datenschutzkonform sind.

Mögliche Inhalte eines jährlichen Audits sind:

  • Getroffene Datenschutz Maßnahmen und Überprüfung des Vorjahres
  • Kontrolle der aktuellen Datenschutzsituation des Unternehmen (Fokus auf die Stärken und Schwächen der IT-Umgebung, datenschutzrechtlicher Handlungsbedarf)
  • Durchgeführte und geplante Mitarbeiterschulungen
  • Relevante Änderungen und Entwicklungen der Gesetzgebung und Rechtsprechung
  • Sichtung und Prüfung der relevanten Dokumente:
    Verfahrensverzeichnisse, TOM´s, Datenschutzkonzepte, Richtlinien, AVV

Fazit:

Eine sichere Datenverarbeitung lebt nicht nur von implementieren Maßnahmen und deren Dokumentation. Genauso wichtig ist die Kontrolle.

Ein Datenschutz Audit gibt es bei Tulos Consulting GmbH ab 500,00 €

Datenschutz bei der Nutzung von Social Media

Im Social-Media-Marketing werden die Anforderungen der DSGVO oft missachtet, teure Abmahnungen sind die Folgen.

Häufige Fehler beim Einsatz von Social Media.

  1. Datenschutzrechtliche Verträge werden nicht korrekt vereinbart
  2. Nutzer werden unzureichend informiert
  3. Die Anforderungen des TTDSG werden nicht erfüllt
  4. Missachtung der DSGVO bei der Übermittlung von Daten an Drittländer

Dieser Blog nennt häufige Beispiele aus der Praxis für Social-Media-Marketing und die hierfür geltenden Datenschutz-Vorschriften

Zu 1. Datenschutzrechtliche Verträge werden nicht korrekt vereinbart.
Auftragsverarbeitung für die Verarbeitung von personenbezogenen Informationen (AVV), (Art. 28 DSGVO).

3 Beispiele von Datenverarbeitung, welche in die AVV´s gehören und für die Betroffene einwilligen müssen.

Erstes Beispiel: Custom Audiences über Datendatei mit Facebook

Als Custom Audiences bezeichnet man Zielgruppen, die Werbetreibende für Marketing-Maßnahmen bei Facebook erstellen können. Durch dieses Targeting wird eine zielgerichtete Ansprache vereinfacht; die Nutzer profitieren von der Einblendung relevanter Anzeigen.

Die Daten, mit denen die Zielgruppen definiert werden, lädt der Werbetreibende selbst hoch.

Durch diese Möglichkeit ist Facebook als Werbeplattform wesentlich interessanter geworden – zuvor waren Anzeigen breit gestreut, das einzige Targeting war die Teilhabe der Nutzer an der Plattform selbst.

Zweites Beispiel:  Messungen und Analysen

Messung der Performance und Reichweite einer Werbekampagne.

Drittes Beispiel: Workplace by Meta (Facebook)

Workplace ist ein von Meta Platforms entwickeltes kollaboratives Online-Softwaretool. Es erleichtert die Online-Gruppenarbeit, Instant Messaging, Videokonferenzen und den Austausch von Nachrichten.

Zu beachten ist auch, ob die Verantwortung für die Datenverarbeitung andere Unternehmen mit einbezieht.

Gemeinsame Verantwortung

Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke der Verarbeitung fest sowie deren Mittel, so sind sie gemeinsam Verantwortliche (Art. 26 DSGVO).

Urteil zu Facebook Insights
EuGH vom 5. Juni 2018 (Az. C-210/16):
Mit Facebook-Insights kann der Betreiber der Fanpage anonymisierte statistische Daten der Page-Nutzung einsehen, wobei Facebook aber die Möglichkeit hat, die Besucher zu identifizieren.

Gemeinsame Verantwortlichkeit. Auf die richtige Einstellung bzw. die richtige Formulierung kommt es an.

Prüfen Sie genau, welche personenbezogene Informationen in Ihren Social-Media-Aktivitäten verarbeitet werden und vereinbaren Sie entsprechend datenschutzrechtlichen Verträge mit den Social Media Unternehmen.

Für die meisten liegen fertige Vertrags-Texte vor.

Fazit: Sobald ein Unternehmen die Verarbeitung eines anderen Verantwortlichen veranlasst und dadurch von den Ergebnissen profitiert, ist auch ohne Zugang zu den verarbeiteten Informationen eine gemeinsame Verantwortlichkeit gegeben!

zu 2: Nutzer wird unzureichend informiert

Bei der Direkterhebung von personenbezogenen Daten, müssen die Betroffenen informiert werden. Diese Informationen müssen für die Betroffenen klar formuliert werden:

  • Name und Kontaktdaten des Verantwortlichen und ggf. seines Vertreters, ggf. Kontaktdaten des Datenschutzbeauftragten
  • Verarbeitungszweck und Rechtsgrundlage
  • Bestehen einer gesetzlichen oder vertraglichen Pflicht zur 
Bereitstellung der Daten,

ggf. Empfänger
ggf. Drittlandübermittlung
ggf. berechtigtes Interesse
ggf. Speicherdauer
ggf. Betroffenenrechte
ggf. Widerrufsrecht

  • Beschwerderecht gegenüber Aufsichtsbehörde
  • Automatisierte Entscheidungsfindung („Profiling“)

Bei Dritterhebung müssen diese Informationen zusätzlich gegeben werden:

  • Kategorien der verarbeiteten Daten
  • Herkunft der Daten

 Tulos Experten können prüfen welche Informationen erhoben und verarbeitet werden und dafür Mustertexte für die Informationen zur Verfügung stellen.

 zu 3. Die Anforderungen des TTDSG werden nicht erfüllt

Das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) ist seit dem 1. Dezember 2021 in Kraft, sie gilt für alle.
Also jede natürliche oder juristische Person die Telemedien anbieten, zum Beispiel auf Webseiten. Relevant sind eigene oder fremde Telemedien sein. Auch bei der Mitwirkung an der Erbringung oder die Vermittlung eines Zugangs zur Nutzung von eigenen oder fremden Telemedien fällt unter die Regelung der TTDSG.

Beispiel: Betreiber/innen von Facebook‐Fanpages sind als Telemedienanbieter zu betrachten.

Das Speichern und Auslesen von Cookies im Endgerät des Nutzers ist nur mit einer Einwilligung erlaubt.

 Wenn Sie Betreiber einer Facebook-Fanpage sind, sind Sie für Cookie-Banner mitverantwortlich. Wenn dieser nicht die Anforderungen des TTDSG erfüllt, riskiert das Unternehmen hohe Strafen. Ein Verstoß kann zum Beispiel die Erschwerung für Nutzer, den Einsatz von Cookies auf den Webseiten abzulehnen sein.

zu 4. Bei der Übermittlung von Daten an Drittländer

Ein Drittland ist ein Land in dem die DSGVO kein geltendes Recht ist. Also Länder wie USA, Großbritannien, Indien, wo viele Anbieter von „Software-as-a-Service (SAAS)“ ihre Server haben.
Die Regel ist einfach: Das europäische Schutzniveau muss auch bei Datenübermittlungen in Drittländer eingehalten werden.

Das ist bei großen amerikanischen Social Media Konzernen oft ein Problem, denn

  1. Neue Standardvertragsklauseln der EU-Kommission müssen bis 27.12.2022 abgeschlossen sein. Sie werden aber nicht von allen Social Media Anbietern zur Verfügung gestellt.
  2. Viele Social Media Anbieter stellen keine Informationen zu durchgeführten Transfer Impact Assessment (TIA) zur Verfügung.

Social-Media-Plattformen mit Drittlandübermittlung

Fazit

Prüfen Sie genau, welche personenbezogene Informationen in Ihren Social-Media-Aktivitäten verarbeitet werden und erledigen Sie die hierfür alle Maßnahmen, welche die DSGVO und TTDSG vorschreiben. Das ist in vielen Fällen gar nicht so schwierig. Für die meisten liegen fertige Vertrags-Texte vor.

DSGVO im Marketing richtig angewendet

Wirksame Marketing mit Datenschutz-Vorschriften umsetzten

Für viele im Marketing bereiten die Datenschutz-Anforderungen Kopfschmerzen, denn wer die Vorschriften der DSGVO nicht kennt oder sie auf die leichte Schulter nimmt, riskiert empfindliche Strafen. Nicht selten überraschen Abmahnungen bei Marketing-Kampagnen oder für Customer-Relationship-Management (CRM).

Kunden wollen zwar möglichst individuell betreut werden, sie erwarten aber einen vertrauenswürdigen und datenschutzkonformen Umgang mit ihren Daten. Siehe hierzu auch unseren Blog Künstliche Intelligenz und der Datenschutz.

Dieser Blog richtet sich an Online-Händler und Marketingverantwortliche, die wissen wollen, was geht und was riskant ist.

Die meisten Regelverstöße werden bei den Kontaktformularen auf den Webseiten und im Bereich CRM- Systemen gemacht.

Ähnlich wie im Vertrieb sind die häufigsten relevanten Gesetze das Wettbewerbsrecht (UWG), das Urheberrecht und natürlich die DSGVO. Seit 1. Dezember 2021 gibt es zusätzlich Änderungen im Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG). Siehe hier auch den Tulos Blog „Datenschutz im Vertrieb richtig angewendet“.

Grundsätzlich ist die Verarbeitung und Speicherung von personenbezogenen Daten ohne vereinbarten Zweck verboten, 39 BDSG und DSGVO. Hinzu kommt die Pflicht zur Datenminimierung, Art. 5 Abs. 1 lit. c DSGVO.

CRM und das Kontaktformular auf den Webseiten dienen aber sehr oft eher dem Anbieter und nicht dem Kunden. Denn der Anbieter möchte Informationen zum Kunden sammeln und aufbereiten. Zweck ist hierbei, die Bedürfnisse des Kunden zu ermitteln, um ihn erfolgreicher anzusprechen oder zu bedienen. Von Datenminimierung kann keine Rede sein. Den Kunden nach dessen Bedürfnissen besser zu bedienen, mag ein edler Zweck sein, die Datenschutzbehörden sehen dies aber oft anders. Amtliche Datenschützer sehen meistens das Interesse des Kunden weniger berücksichtigt als jenes der Anbieter.

Typisches Beispiel: Online-Shops.

Online-Shops verlangen nicht selten die Registrierung eines Käufers für einen Warenkauf. Das ist verboten. Denn nach dem Kauf, der Bezahlung und der Lieferung ist der Geschäftszweck erloschen. Die Daten des Kunden, die für den Kauf nötig waren, z.B. Name, Adresse und Bezahlfunktion, werden nach dem Kauf nicht mehr benötigt. Sie müssen gelöscht werden. Eine Registrierung ist also wegen der Datenminimierung und wegen mangelnden Zwecks nicht erlaubt.

Der Online-Shop muss so gestaltet werden, dass der Warenkauf auch ohne Registrierung möglich ist. Dieser typische Fehler wird gerne von der „Abmahn-Liga“ moniert, weil er leicht zu entdecken ist.

Also, liebe Online-Händler, bitte den Online-Shop gleich richtig erstellen, um unnötige Strafen zu vermeiden. Konkrete Hilfe finden Sie in der Tulos Checkliste für Online-Shops.

Die Lösung für die Kommunikation mit dem Kunden wäre, beim Kaufprozess eine Einwilligung zur Datenverarbeitung und Speicherung einzuholen. Wenn diese Einwilligung freiwillig ist, also auch ohne diese der Kauf zustande kommen kann, kann man Kundendaten für CRM sammeln.

Aber Achtung! Dem Kunden muss bei der Einwilligung klar gemacht werden, welche seiner Daten verarbeitet und gespeichert werden und wie dies geschieht.

Komplizierte und lange Einwilligungs-Texte nerven, sie werden von Verbrauchern auch selten gelesen. Im Falle einer Abmahnung kann es passieren, dass Verbraucherschützer die Einwilligung für nicht gültig erachten, weil sie für die Zielgruppe zu kompliziert und unverständlich ist.

Tulos Experten wissen nicht nur, was erlaubt ist und was nicht. Wir können auch kundenfreundliche Texte formulieren, die der DSGVO entsprechen.

Für Online-Händler finden Sie auch wertvolle Informationen im Tulos-Blog „DSGVO für Online Shops im Jahr 2022“.

Marketingverantwortliche und Marketingagenturen müssen aufpassen.

Denn hier werden mit Hilfe von CRM-Systemen systematisch personenbezogene Daten gesammelt, aufbereitet und gespeichert. Dies ist, aus oben genannten Gründen, nicht erlaubt.

Viele CRM Systeme speichern die Daten auf Cloud-Systeme, deren Server außerhalb der EU stehen. Das ist grundsätzlich nicht schlimm, wenn die entsprechenden Vorsichtsmaßnahmen und Regelungen beachtet und umgesetzt werden.

Wenn die Aufbereitung mit Hilfe von künstlicher Intelligenz (KI) geschieht, gelten weitere Regeln, siehe Tulos-Blog „Künstliche Intelligenz und der Datenschutz.

Tulos Experten kennen Tools wie Salesforce, darunter Pardot und Salescloud. Auch Hubspot und Microsoft Dynamics CRM sind uns geläufig.

Mit diesen Systemen kann man Kunden aufbereiten, Personen profilieren und über „Sales-Automation“ den Vertrieb vorantreiben.

Die Regeln sind oben genannt, sie gelten für internes Marketing wie für Agenturen, welche im Auftrag arbeiten.

Agenturen

Agenturen sollten darauf achten, dass ihre Verantwortlichkeit klar von der des Auftraggebers abgegrenzt ist. Das vereinbart man im Dienstleistungs- und Auftragsdatenvereinbarungsvertrag (AVV).

Wenn man Adressen verarbeitet, die man nicht selbst eingeholt hat, also gekaufte Kontakte, muss sichergestellt sein, dass jede dieser Personen eine Einwilligung gegeben hat. Die Einwilligung muss klar darstellen, dass die Art, wie mit den Daten umgegangen wird, dem Betroffenen bekannt ist.

Im Tulos-Blog „Datenschutz im Vertrieb richtig angewendet“ finden Sie ein typisches Beispiel, wie ein kleiner Verstoß, für den nur 10,00€ Strafe verhängt wurde, sich schnell zu einer sehr hohen Strafe aufgeblasen hat. Dann nämlich, wenn man tausende Adressen ohne klare Einwilligung verarbeitet und sich die – auf den ersten Blick klein erscheinenden 10,00€ – zu einer sechsstelligen Summe multiplizieren.

Fazit

Datensammeln und Aufbereitung ist verboten. Hier muss man besonders auf die Gesetze achten, damit eine gut gemeinte Kampagne nicht in einer teuren juristischen Auseinandersetzung endet.

Bei jeder Marketingkampagne und der Erstellung von Webseiten lohnt es sich, einen Datenschutzbeauftragten hinzuzuziehen. Denn der kennt die Linien zwischen legaler und illegaler Datenverarbeitung. Tulos Experten kennen sich zudem auch mit den technischen Systemen aus und können bei der Umsetzung fachlich zur Seite stehen.

Datenschutz im Vertrieb richtig angewendet

Für viele im Vertrieb bereiten die Datenschutz-Anforderungen Kopfschmerzen, denn wer die Vorschriften der DSGVO nicht kennt oder sie auf die leichte Schulter nimmt, riskiert empfindliche Strafen.

Nicht selten überraschen Abmahnungen bei Marketing-Kampagnen oder Kaltakquise.

Statt Gewinnung neuer Kunden bekommen Unternehmen Kontakt von der Datenschutzbehörde oder Rechtsanwälte. Die staatlichen Datenschützer verhängen nicht nur empfindliche Strafen, sie prüfen dann auch gerne das gesamte Unternehmen auf Datenschutz-Konformität. So eine Prüfung zieht fast immer aufwändige Maßnahmen mit sich, die niemand haben will.

Dieser Blog richtet an Vertriebsverantwortliche, die wissen wollen, was geht und was riskant ist.

Zunächst die am häufigsten angewendeten Gesetze bei Datenschutzverstößen im Vertrieb.

Für Marketing und Vertrieb sind das Wettbewerbsrecht (UWG), das Urheberrecht und natürlich die DSGVO die am häufigsten angewandten Gesetze. Seit 1. Dezember 2021 gibt es zusätzlich Änderungen im Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG). Juristen werden an dieser Stelle mehr berichten können.

Die direkte Kundenansprache.

Hier eine Übersicht klassischer Kaltakquise. Die Tabelle berücksichtigt die Ansprache von Privatpersonen (B2C) und Kontaktaufnahme von Angestellten in Unternehmen (B2B).

DSGVO Vertrieb

Die Tabelle macht es deutlich. Ohne Einwilligung geht fast gar nichts. Wer also Personen privat oder in Unternehmen anspricht, ohne das diese vorab eine Einwilligung gegeben haben, riskiert eine Abmahnung.

Schon eine Abmahnung mit 10,00€ Strafe pro Akquise-Adresse kann schnell zu einer Gesamtstrafe von 100.000€ wachsen. Hier das Rechen-Beispiel:

Angenommen die Strafe beträgt lediglich 10,00€. weil der Schaden für den Betroffenen gering ist. Bei einer Kampagne mit 10.000 Adressen, wären aber 100.000€ fällig, denn die Datenschutzbehörde geht davon aus, dass keine der Adressaten eine Einwilligung erteilt hat. Bei Kampagnen mit tausenden Adressaten kann also so ein Verstoß teuer werden, auch wenn der Schaden für den Einzelnen gering ist. Bei solchen Summen kommt schnell die Frage nach dem Schuldigen auf.

Schuld ist der Verantwortliche so das Gesetz und dieser muss oft seine Unschuld beweisen, denn bei der DSGVO gilt in vielen Fällen die Beweislast-Umkehr.

Wenn eine Agentur involviert ist, streiten sich Auftraggeber und die Agentur nicht selten um die Verantwortlichkeit. Wie so oft gilt der Rat; ein sauber definierter Vertrag zwischen Auftraggeber und Agentur ist im Streitfall hilfreich. Das gilt vor allem für den Auftragsdatenvereinarungsvertrag (AVV). Warum der AVV von vielen als lästige DSGVO Auflage vernachlässig wird, liegt wohl daran, dass viele im Vertrieb die oben genannten Konsequenzen nicht kennen. Der AVV erinnert auch daran, die Herkunft der Adressenlisten festzustellen, inkl. aller benötigten rechtlichen Anforderungen, wie z.B. die Einwilligung.

Kann man potenzielle Interessenten ohne vorherige Einwilligung ansprechen?

Ja, das kann man, z.B. in den sozialen Medien und Handelsplattformen. Die meisten Social-Media-Plattformen und Handelsplattformen sind so gestaltet, dass die direkte Ansprache möglich, sogar erwünscht ist. Mehr soll hier nicht erläutert werden, denn alle Experten für Marketing und Vertrieb werden die Marketing-Methoden der gängigen Plattformen kennen. Als Datenschutzbeauftragte haben wir bei Tulos es meistens mit Amazon, eBay, Zalando, Facebook, Instagram, YouTube, Twitter und LinkedIn zu tun.

Es geht aber auch anders. Direkte Kundenansprache über Briefpost und über Paketbeilagen.

Briefpost sind sowohl für B2B als auch im B2C erlaubt. Ausgenommen sind ausdrückliche Ablehnungen. Mit Paketbeilagen kann man Kunden auch kontrolliert ansprechen. Tulos Kunde Dimabay verbindet Werber mit Paketversender. Hierbei werden das Dimabay-Netzwerk und ein Algorithmus genutzt. Ergebnis sind direkte Kundenansprachen für den Werber und reduzierte Versandgebühren für den Versender.

Fazit

Insbesondere im Vertrieb sollte man die Regeln der DSGVO besonders beachten, denn dieser Bereich hat bei den Datenschutzbehörden den Ruf den Datenschutz nicht immer korrekt zu beachten. Es sind aber auch viele Anwälte eifrig damit beschäftigt Datenschutzverstöße bei Kampagnen auszumachen. Abmahnungen und ungeplante Aufwände für Datenschutz-Anforderungen sind die Folge.

Bei jeder Marketing oder Vertriebskampagne ist es ratsam einen Datenschutzbeauftragten hinzuzuziehen, der der kennt, die Linien zwischen legaler und illegaler Datenverarbeitung.

In unserem nächsten Blog erläutern wir, wie man Einwilligungen kundenfreundlich gestaltet.

DSGVO für Online Shops im Jahr 2022

Worauf müssen Online-Händler achten, um Abmahnungen wegen Datenschutz-Verstößen zu vermeiden.

Viele Händler betreiben, neben ihrem stationären Ladenlokal auch einen Onlineshop. Die Zahl der Händler die ausschließlich über einen Onlineshop ihre Waren verkaufen, wächst noch schneller. Im B2C Bereich ergänzen Onlinehändler ihre Vertriebskanäle über bekannte Plattformen wie Amazon oder eBay.

Egal welche E-Commerce Methoden eingesetzt werden, es stellen sich immer die gleichen rechtlichen Fragen:

  • Wie müssen Bestellprozess, Preisangaben und Lieferangaben aussehen?
  • Wie sind AGB, Impressum und eine Datenschutzerklärung zu gestalten?
  • Und was muss rund um die Widerrufsbelehrung beachtet werden?

Mehr hierzu zeigt auch die Tulos DSGVO Checkliste für Online-Shops. Kostenlos!

Vermeiden Sie Abmahnungen für Datenschutzverstöße durch Verbraucherschutzverbände und Abmahnvereine oder verärgerte Kunden.

Datenschutzverstöße werden auch als Wettbewerbsverstoß gewertet. Abmahnungen können also beides beinhalten.

Dass die Datenschutzerklärung oder das Impressum der DSGVO entsprechen muss, hat inzwischen jeder Online-Shop-Betreiber verstanden. Hier macht kaum ein Händler Fehler, es gibt ja auch genügend Generatoren, die diese Texte rechtskonform für wenig Geld erstellen.

Aber, unbeabsichtigte Datenschutzverstöße merkt der Onlinehändler oft nicht.

Er sieht nicht selten überrascht und verärgert auf die Abmahnung in seinem Postfach.

Typische Fehler, die keiner haben will.

  • eine nicht DSGVO konforme Einbindung eines Facebook-Like-Buttons
  • Fehler in der AGB
  • veraltete/unsichere Software für den Online-Shop. Das ist besonders unnötig, wenn der Software-Hersteller eindeutig empfohlen hat, diese (veraltete) Softwareversion wegen ihrer bekannten Schwachstellen zu aktualisieren.
  • Unsicherer Zugriff auf die Webseiten, zum Beispiel durch unzureichende Passwörter. Teuer wird es, wenn Kundendaten durch Hacker ausgespäht wurden.

Verbraucherschützer sammeln Ärger-Shops.

Online-Händler mit den unten genannten Geschäftspraktiken können schlechter bewertet werden oder sogar wegen DSGVO Verstoß abgemahnt werden.

Zwei Beispiele, worauf Verbraucherschützer achten:

1.     Keine Möglichkeit von Gastbestellungen

Online-Shops müssen grundsätzlich die Möglichkeit schaffen, auch ohne Kundenkonto Bestellungen anzunehmen.

Die Gesetzgrundlage ist hierbei der Grundsatz der Datenminimierung.

Der Grundsatz der Datenminimierung besagt, dass nur die personenbezogenen Daten verarbeitet werden dürfen, die für die Vertragserfüllung notwendig sind. Für eine Bestellung im Online-Shop sind das also klassischerweise der Name, die Lieferanschrift, Rechnungsadresse und die E-Mail-Adresse.

In einem Kundenkonto werden die Daten auf Vorrat gespeichert, um mögliche, künftige Bestellungen zu erleichtern. Bei einer erstmaligen Bestellung kann der Händler nicht per se unterstellen, dass er Kundendaten für mögliche, aber ungewisse zukünftige Geschäfte auf Vorrat vorhalten darf. Für die Einrichtung eines fortlaufenden Kundenkontos ist eine entsprechende, bewusste Einwilligungserklärung des Kunden erforderlich.

Hinzu kommt das Problem der Freiwilligkeit einer Einwilligungserklärung. Da es sich bei der Anlegung eines Kundenkontos um keine erforderliche Datenverarbeitung handelt, muss der Kunde seine Einwilligung geben. Eine Einwilligung muss laut DSGVO freiwillig erfolgen. Es darf also kein Druck auf die Kunden ausgeübt werden.

Es gibt aber auch Ausnahmen: So kann es für Fachhändler bei bestimmten Berufsgruppen für die Vertragserfüllung erforderlich sein, Bestellungen nur über Kundenkontos zuzulassen. Der Grundsatz der Datenminimierung muss dennoch beachtet werden. So sollten Kundenkonten nach einer kurzen Frist bei Inaktivität automatisch gelöscht werden.

2.     Werbung mit Kundendaten und nach Benutzerverhalten ohne Einwilligung

Online-Händler haben durch die fortlaufenden Kundenkonten grundsätzlich die Möglichkeit, das Verhalten der Kontobesitzer auszuwerten und zielgerichtete Werbung zu versenden. Diese Form der Datenverarbeitung benötigt eine gesonderte Einwilligung. Denn dies ist eine Datenverarbeitung, die über die bloße Einrichtung und Führung eines fortlaufenden Kundenkontos hinausgeht. Die Nutzung dieser Kundeninformationen ist nicht bereits durch eine Einwilligung zur Einrichtung und Führung des fortlaufenden Kundenkontos abgedeckt.

Fazit.

Vor allem für Online-Händler, die sich bisher noch nicht viel mit Datenschutzrecht beschäftigt haben, empfehlen wir, den Datenschutz ernst zu nehmen, um unnötige Risiken zu vermeiden:

  • Der Onlineshop und die Prozesse der Warenwirtschaft sollten stabil laufen und gegen Datenpannen sowie Cyberkriminalität geschützt sein. Was zu beachten ist steht hier
  • Verstöße gegen die Gesetze des Datenschutzes sind ernst zu nehmen.
  • Fehler können zu teuren Abmahnungen und Ärger mit dem Verbraucherschutz führen.
  • Ein Datenschutzbeauftragter ist nicht immer gesetzlich vorgeschrieben. Er lohnt sich aber immer. Er kennt die Grenzen zwischen legaler und illegaler Datenverarbeitung. Tulos Datenschutzbeauftragte können zudem auch die erforderlichen Maßnahmen technisch umsetzen.

Gender-Hinweis

In unseren Texten verwenden wir nicht immer gender-neutrale Wörter. Chancengleichheit ist für uns aber selbstverständlich – unabhängig von Herkunft, sexueller Identität, Geschlecht, Alter und Religion. Für Tulos Consulting gehören Inklusion, Vielfalt und Toleranz zu den zentralen Werten des Unternehmens. Personenbezeichnungen in Web und Print gelten gleichermaßen für alle Geschlechter, es sei denn, dies ist explizit anderweitig definiert.

Go to Top