Downloads

Datenschutz Audit

Warum sind Datenschutz-Audits so wichtig für Unternehmen?

Alle Unternehmen haben eine Rechenschaftspflicht, Art. 5 Abs. 2 DSGVO. Wer also im Schadensfall oder bei Abmahnungen die DSGVO Konformität nicht beweisen kann, muss mit Strafen oder Schadensersatzkosten rechnen.

Es ist also dringend empfohlen die Datenverarbeitung regelmäßig zu überprüfen. Ein Datenschutz-Audit eignet sich bestens für den Nachweis der DSGVO Konformität. Ein Audit pro Jahr ist zwar nicht vorgeschrieben, aber für die glaubhafte Rechenschaftspflicht dringend empfohlen.

Was beinhaltet die Rechenschaftspflicht?

Ein Unternehmen muss dafür sorgen, dass die vorgeschriebenen Datenschutzgrundsätze eingehalten sind. Zu diesen Grundsätzen gehören:

  • Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
  • Zweckbindung
  • Datenminimierung
  • Richtigkeit
  • Speicherbegrenzung
  • Integrität und Vertraulichkeit

Was ist Inhalt eines Datenschutz Audit?

Um zu überprüfen ob Datenschutzgrundsätze eingehalten sind, sieht die DSGVO einige Kontrollmechanismen vor. Hierbei geht es vor allem darum, durch präventive Maßnahmen den Schutz von Daten zu sicherzustellen. Durch die Implementierung von Maßnahmen, Richtlinien und Verhaltensregeln innerhalb des Unternehmens, werden hohe und teilweise irreparable Schäden durch Vorfälle verhindert.

Diese Schutzfunktion kann aber nur dann erfüllt werden, wenn die Maßnahmen tatsächlich angewendet und regelmäßig überprüft werden.

Zu diesem Zweck sollten Unternehmen regelmäßig Datenschutz-Audits durchführen und sicherstellen, dass alle Vorgänge und Prozesse der Datenverarbeitung datenschutzkonform sind.

Mögliche Inhalte eines jährlichen Audits sind:

  • Getroffene Datenschutz Maßnahmen und Überprüfung des Vorjahres
  • Kontrolle der aktuellen Datenschutzsituation des Unternehmen (Fokus auf die Stärken und Schwächen der IT-Umgebung, datenschutzrechtlicher Handlungsbedarf)
  • Durchgeführte und geplante Mitarbeiterschulungen
  • Relevante Änderungen und Entwicklungen der Gesetzgebung und Rechtsprechung
  • Sichtung und Prüfung der relevanten Dokumente:
    Verfahrensverzeichnisse, TOM´s, Datenschutzkonzepte, Richtlinien, AVV

Fazit:

Eine sichere Datenverarbeitung lebt nicht nur von implementieren Maßnahmen und deren Dokumentation. Genauso wichtig ist die Kontrolle.

Ein Datenschutz Audit gibt es bei Tulos Consulting GmbH ab 500,00 €

Datenschutz bei der Nutzung von Social Media

Im Social-Media-Marketing werden die Anforderungen der DSGVO oft missachtet, teure Abmahnungen sind die Folgen.

Häufige Fehler beim Einsatz von Social Media.

  1. Datenschutzrechtliche Verträge werden nicht korrekt vereinbart
  2. Nutzer werden unzureichend informiert
  3. Die Anforderungen des TTDSG werden nicht erfüllt
  4. Missachtung der DSGVO bei der Übermittlung von Daten an Drittländer

Dieser Blog nennt häufige Beispiele aus der Praxis für Social-Media-Marketing und die hierfür geltenden Datenschutz-Vorschriften

Zu 1. Datenschutzrechtliche Verträge werden nicht korrekt vereinbart.
Auftragsverarbeitung für die Verarbeitung von personenbezogenen Informationen (AVV), (Art. 28 DSGVO).

3 Beispiele von Datenverarbeitung, welche in die AVV´s gehören und für die Betroffene einwilligen müssen.

Erstes Beispiel: Custom Audiences über Datendatei mit Facebook

Als Custom Audiences bezeichnet man Zielgruppen, die Werbetreibende für Marketing-Maßnahmen bei Facebook erstellen können. Durch dieses Targeting wird eine zielgerichtete Ansprache vereinfacht; die Nutzer profitieren von der Einblendung relevanter Anzeigen.

Die Daten, mit denen die Zielgruppen definiert werden, lädt der Werbetreibende selbst hoch.

Durch diese Möglichkeit ist Facebook als Werbeplattform wesentlich interessanter geworden – zuvor waren Anzeigen breit gestreut, das einzige Targeting war die Teilhabe der Nutzer an der Plattform selbst.

Zweites Beispiel:  Messungen und Analysen

Messung der Performance und Reichweite einer Werbekampagne.

Drittes Beispiel: Workplace by Meta (Facebook)

Workplace ist ein von Meta Platforms entwickeltes kollaboratives Online-Softwaretool. Es erleichtert die Online-Gruppenarbeit, Instant Messaging, Videokonferenzen und den Austausch von Nachrichten.

Zu beachten ist auch, ob die Verantwortung für die Datenverarbeitung andere Unternehmen mit einbezieht.

Gemeinsame Verantwortung

Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke der Verarbeitung fest sowie deren Mittel, so sind sie gemeinsam Verantwortliche (Art. 26 DSGVO).

Urteil zu Facebook Insights
EuGH vom 5. Juni 2018 (Az. C-210/16):
Mit Facebook-Insights kann der Betreiber der Fanpage anonymisierte statistische Daten der Page-Nutzung einsehen, wobei Facebook aber die Möglichkeit hat, die Besucher zu identifizieren.

Gemeinsame Verantwortlichkeit. Auf die richtige Einstellung bzw. die richtige Formulierung kommt es an.

Prüfen Sie genau, welche personenbezogene Informationen in Ihren Social-Media-Aktivitäten verarbeitet werden und vereinbaren Sie entsprechend datenschutzrechtlichen Verträge mit den Social Media Unternehmen.

Für die meisten liegen fertige Vertrags-Texte vor.

Fazit: Sobald ein Unternehmen die Verarbeitung eines anderen Verantwortlichen veranlasst und dadurch von den Ergebnissen profitiert, ist auch ohne Zugang zu den verarbeiteten Informationen eine gemeinsame Verantwortlichkeit gegeben!

zu 2: Nutzer wird unzureichend informiert

Bei der Direkterhebung von personenbezogenen Daten, müssen die Betroffenen informiert werden. Diese Informationen müssen für die Betroffenen klar formuliert werden:

  • Name und Kontaktdaten des Verantwortlichen und ggf. seines Vertreters, ggf. Kontaktdaten des Datenschutzbeauftragten
  • Verarbeitungszweck und Rechtsgrundlage
  • Bestehen einer gesetzlichen oder vertraglichen Pflicht zur 
Bereitstellung der Daten,

ggf. Empfänger
ggf. Drittlandübermittlung
ggf. berechtigtes Interesse
ggf. Speicherdauer
ggf. Betroffenenrechte
ggf. Widerrufsrecht

  • Beschwerderecht gegenüber Aufsichtsbehörde
  • Automatisierte Entscheidungsfindung („Profiling“)

Bei Dritterhebung müssen diese Informationen zusätzlich gegeben werden:

  • Kategorien der verarbeiteten Daten
  • Herkunft der Daten

 Tulos Experten können prüfen welche Informationen erhoben und verarbeitet werden und dafür Mustertexte für die Informationen zur Verfügung stellen.

 zu 3. Die Anforderungen des TTDSG werden nicht erfüllt

Das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) ist seit dem 1. Dezember 2021 in Kraft, sie gilt für alle.
Also jede natürliche oder juristische Person die Telemedien anbieten, zum Beispiel auf Webseiten. Relevant sind eigene oder fremde Telemedien sein. Auch bei der Mitwirkung an der Erbringung oder die Vermittlung eines Zugangs zur Nutzung von eigenen oder fremden Telemedien fällt unter die Regelung der TTDSG.

Beispiel: Betreiber/innen von Facebook‐Fanpages sind als Telemedienanbieter zu betrachten.

Das Speichern und Auslesen von Cookies im Endgerät des Nutzers ist nur mit einer Einwilligung erlaubt.

 Wenn Sie Betreiber einer Facebook-Fanpage sind, sind Sie für Cookie-Banner mitverantwortlich. Wenn dieser nicht die Anforderungen des TTDSG erfüllt, riskiert das Unternehmen hohe Strafen. Ein Verstoß kann zum Beispiel die Erschwerung für Nutzer, den Einsatz von Cookies auf den Webseiten abzulehnen sein.

zu 4. Bei der Übermittlung von Daten an Drittländer

Ein Drittland ist ein Land in dem die DSGVO kein geltendes Recht ist. Also Länder wie USA, Großbritannien, Indien, wo viele Anbieter von „Software-as-a-Service (SAAS)“ ihre Server haben.
Die Regel ist einfach: Das europäische Schutzniveau muss auch bei Datenübermittlungen in Drittländer eingehalten werden.

Das ist bei großen amerikanischen Social Media Konzernen oft ein Problem, denn

  1. Neue Standardvertragsklauseln der EU-Kommission müssen bis 27.12.2022 abgeschlossen sein. Sie werden aber nicht von allen Social Media Anbietern zur Verfügung gestellt.
  2. Viele Social Media Anbieter stellen keine Informationen zu durchgeführten Transfer Impact Assessment (TIA) zur Verfügung.

Social-Media-Plattformen mit Drittlandübermittlung

Fazit

Prüfen Sie genau, welche personenbezogene Informationen in Ihren Social-Media-Aktivitäten verarbeitet werden und erledigen Sie die hierfür alle Maßnahmen, welche die DSGVO und TTDSG vorschreiben. Das ist in vielen Fällen gar nicht so schwierig. Für die meisten liegen fertige Vertrags-Texte vor.

DSGVO im Marketing richtig angewendet

Wirksame Marketing mit Datenschutz-Vorschriften umsetzten

Für viele im Marketing bereiten die Datenschutz-Anforderungen Kopfschmerzen, denn wer die Vorschriften der DSGVO nicht kennt oder sie auf die leichte Schulter nimmt, riskiert empfindliche Strafen. Nicht selten überraschen Abmahnungen bei Marketing-Kampagnen oder für Customer-Relationship-Management (CRM).

Kunden wollen zwar möglichst individuell betreut werden, sie erwarten aber einen vertrauenswürdigen und datenschutzkonformen Umgang mit ihren Daten. Siehe hierzu auch unseren Blog Künstliche Intelligenz und der Datenschutz.

Dieser Blog richtet sich an Online-Händler und Marketingverantwortliche, die wissen wollen, was geht und was riskant ist.

Die meisten Regelverstöße werden bei den Kontaktformularen auf den Webseiten und im Bereich CRM- Systemen gemacht.

Ähnlich wie im Vertrieb sind die häufigsten relevanten Gesetze das Wettbewerbsrecht (UWG), das Urheberrecht und natürlich die DSGVO. Seit 1. Dezember 2021 gibt es zusätzlich Änderungen im Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG). Siehe hier auch den Tulos Blog „Datenschutz im Vertrieb richtig angewendet“.

Grundsätzlich ist die Verarbeitung und Speicherung von personenbezogenen Daten ohne vereinbarten Zweck verboten, 39 BDSG und DSGVO. Hinzu kommt die Pflicht zur Datenminimierung, Art. 5 Abs. 1 lit. c DSGVO.

CRM und das Kontaktformular auf den Webseiten dienen aber sehr oft eher dem Anbieter und nicht dem Kunden. Denn der Anbieter möchte Informationen zum Kunden sammeln und aufbereiten. Zweck ist hierbei, die Bedürfnisse des Kunden zu ermitteln, um ihn erfolgreicher anzusprechen oder zu bedienen. Von Datenminimierung kann keine Rede sein. Den Kunden nach dessen Bedürfnissen besser zu bedienen, mag ein edler Zweck sein, die Datenschutzbehörden sehen dies aber oft anders. Amtliche Datenschützer sehen meistens das Interesse des Kunden weniger berücksichtigt als jenes der Anbieter.

Typisches Beispiel: Online-Shops.

Online-Shops verlangen nicht selten die Registrierung eines Käufers für einen Warenkauf. Das ist verboten. Denn nach dem Kauf, der Bezahlung und der Lieferung ist der Geschäftszweck erloschen. Die Daten des Kunden, die für den Kauf nötig waren, z.B. Name, Adresse und Bezahlfunktion, werden nach dem Kauf nicht mehr benötigt. Sie müssen gelöscht werden. Eine Registrierung ist also wegen der Datenminimierung und wegen mangelnden Zwecks nicht erlaubt.

Der Online-Shop muss so gestaltet werden, dass der Warenkauf auch ohne Registrierung möglich ist. Dieser typische Fehler wird gerne von der „Abmahn-Liga“ moniert, weil er leicht zu entdecken ist.

Also, liebe Online-Händler, bitte den Online-Shop gleich richtig erstellen, um unnötige Strafen zu vermeiden. Konkrete Hilfe finden Sie in der Tulos Checkliste für Online-Shops.

Die Lösung für die Kommunikation mit dem Kunden wäre, beim Kaufprozess eine Einwilligung zur Datenverarbeitung und Speicherung einzuholen. Wenn diese Einwilligung freiwillig ist, also auch ohne diese der Kauf zustande kommen kann, kann man Kundendaten für CRM sammeln.

Aber Achtung! Dem Kunden muss bei der Einwilligung klar gemacht werden, welche seiner Daten verarbeitet und gespeichert werden und wie dies geschieht.

Komplizierte und lange Einwilligungs-Texte nerven, sie werden von Verbrauchern auch selten gelesen. Im Falle einer Abmahnung kann es passieren, dass Verbraucherschützer die Einwilligung für nicht gültig erachten, weil sie für die Zielgruppe zu kompliziert und unverständlich ist.

Tulos Experten wissen nicht nur, was erlaubt ist und was nicht. Wir können auch kundenfreundliche Texte formulieren, die der DSGVO entsprechen.

Für Online-Händler finden Sie auch wertvolle Informationen im Tulos-Blog „DSGVO für Online Shops im Jahr 2022“.

Marketingverantwortliche und Marketingagenturen müssen aufpassen.

Denn hier werden mit Hilfe von CRM-Systemen systematisch personenbezogene Daten gesammelt, aufbereitet und gespeichert. Dies ist, aus oben genannten Gründen, nicht erlaubt.

Viele CRM Systeme speichern die Daten auf Cloud-Systeme, deren Server außerhalb der EU stehen. Das ist grundsätzlich nicht schlimm, wenn die entsprechenden Vorsichtsmaßnahmen und Regelungen beachtet und umgesetzt werden.

Wenn die Aufbereitung mit Hilfe von künstlicher Intelligenz (KI) geschieht, gelten weitere Regeln, siehe Tulos-Blog „Künstliche Intelligenz und der Datenschutz.

Tulos Experten kennen Tools wie Salesforce, darunter Pardot und Salescloud. Auch Hubspot und Microsoft Dynamics CRM sind uns geläufig.

Mit diesen Systemen kann man Kunden aufbereiten, Personen profilieren und über „Sales-Automation“ den Vertrieb vorantreiben.

Die Regeln sind oben genannt, sie gelten für internes Marketing wie für Agenturen, welche im Auftrag arbeiten.

Agenturen

Agenturen sollten darauf achten, dass ihre Verantwortlichkeit klar von der des Auftraggebers abgegrenzt ist. Das vereinbart man im Dienstleistungs- und Auftragsdatenvereinbarungsvertrag (AVV).

Wenn man Adressen verarbeitet, die man nicht selbst eingeholt hat, also gekaufte Kontakte, muss sichergestellt sein, dass jede dieser Personen eine Einwilligung gegeben hat. Die Einwilligung muss klar darstellen, dass die Art, wie mit den Daten umgegangen wird, dem Betroffenen bekannt ist.

Im Tulos-Blog „Datenschutz im Vertrieb richtig angewendet“ finden Sie ein typisches Beispiel, wie ein kleiner Verstoß, für den nur 10,00€ Strafe verhängt wurde, sich schnell zu einer sehr hohen Strafe aufgeblasen hat. Dann nämlich, wenn man tausende Adressen ohne klare Einwilligung verarbeitet und sich die – auf den ersten Blick klein erscheinenden 10,00€ – zu einer sechsstelligen Summe multiplizieren.

Fazit

Datensammeln und Aufbereitung ist verboten. Hier muss man besonders auf die Gesetze achten, damit eine gut gemeinte Kampagne nicht in einer teuren juristischen Auseinandersetzung endet.

Bei jeder Marketingkampagne und der Erstellung von Webseiten lohnt es sich, einen Datenschutzbeauftragten hinzuzuziehen. Denn der kennt die Linien zwischen legaler und illegaler Datenverarbeitung. Tulos Experten kennen sich zudem auch mit den technischen Systemen aus und können bei der Umsetzung fachlich zur Seite stehen.

Datenschutz im Vertrieb richtig angewendet

Für viele im Vertrieb bereiten die Datenschutz-Anforderungen Kopfschmerzen, denn wer die Vorschriften der DSGVO nicht kennt oder sie auf die leichte Schulter nimmt, riskiert empfindliche Strafen.

Nicht selten überraschen Abmahnungen bei Marketing-Kampagnen oder Kaltakquise.

Statt Gewinnung neuer Kunden bekommen Unternehmen Kontakt von der Datenschutzbehörde oder Rechtsanwälte. Die staatlichen Datenschützer verhängen nicht nur empfindliche Strafen, sie prüfen dann auch gerne das gesamte Unternehmen auf Datenschutz-Konformität. So eine Prüfung zieht fast immer aufwändige Maßnahmen mit sich, die niemand haben will.

Dieser Blog richtet an Vertriebsverantwortliche, die wissen wollen, was geht und was riskant ist.

Zunächst die am häufigsten angewendeten Gesetze bei Datenschutzverstößen im Vertrieb.

Für Marketing und Vertrieb sind das Wettbewerbsrecht (UWG), das Urheberrecht und natürlich die DSGVO die am häufigsten angewandten Gesetze. Seit 1. Dezember 2021 gibt es zusätzlich Änderungen im Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG). Juristen werden an dieser Stelle mehr berichten können.

Die direkte Kundenansprache.

Hier eine Übersicht klassischer Kaltakquise. Die Tabelle berücksichtigt die Ansprache von Privatpersonen (B2C) und Kontaktaufnahme von Angestellten in Unternehmen (B2B).

DSGVO Vertrieb

Die Tabelle macht es deutlich. Ohne Einwilligung geht fast gar nichts. Wer also Personen privat oder in Unternehmen anspricht, ohne das diese vorab eine Einwilligung gegeben haben, riskiert eine Abmahnung.

Schon eine Abmahnung mit 10,00€ Strafe pro Akquise-Adresse kann schnell zu einer Gesamtstrafe von 100.000€ wachsen. Hier das Rechen-Beispiel:

Angenommen die Strafe beträgt lediglich 10,00€. weil der Schaden für den Betroffenen gering ist. Bei einer Kampagne mit 10.000 Adressen, wären aber 100.000€ fällig, denn die Datenschutzbehörde geht davon aus, dass keine der Adressaten eine Einwilligung erteilt hat. Bei Kampagnen mit tausenden Adressaten kann also so ein Verstoß teuer werden, auch wenn der Schaden für den Einzelnen gering ist. Bei solchen Summen kommt schnell die Frage nach dem Schuldigen auf.

Schuld ist der Verantwortliche so das Gesetz und dieser muss oft seine Unschuld beweisen, denn bei der DSGVO gilt in vielen Fällen die Beweislast-Umkehr.

Wenn eine Agentur involviert ist, streiten sich Auftraggeber und die Agentur nicht selten um die Verantwortlichkeit. Wie so oft gilt der Rat; ein sauber definierter Vertrag zwischen Auftraggeber und Agentur ist im Streitfall hilfreich. Das gilt vor allem für den Auftragsdatenvereinarungsvertrag (AVV). Warum der AVV von vielen als lästige DSGVO Auflage vernachlässig wird, liegt wohl daran, dass viele im Vertrieb die oben genannten Konsequenzen nicht kennen. Der AVV erinnert auch daran, die Herkunft der Adressenlisten festzustellen, inkl. aller benötigten rechtlichen Anforderungen, wie z.B. die Einwilligung.

Kann man potenzielle Interessenten ohne vorherige Einwilligung ansprechen?

Ja, das kann man, z.B. in den sozialen Medien und Handelsplattformen. Die meisten Social-Media-Plattformen und Handelsplattformen sind so gestaltet, dass die direkte Ansprache möglich, sogar erwünscht ist. Mehr soll hier nicht erläutert werden, denn alle Experten für Marketing und Vertrieb werden die Marketing-Methoden der gängigen Plattformen kennen. Als Datenschutzbeauftragte haben wir bei Tulos es meistens mit Amazon, eBay, Zalando, Facebook, Instagram, YouTube, Twitter und LinkedIn zu tun.

Es geht aber auch anders. Direkte Kundenansprache über Briefpost und über Paketbeilagen.

Briefpost sind sowohl für B2B als auch im B2C erlaubt. Ausgenommen sind ausdrückliche Ablehnungen. Mit Paketbeilagen kann man Kunden auch kontrolliert ansprechen. Tulos Kunde Dimabay verbindet Werber mit Paketversender. Hierbei werden das Dimabay-Netzwerk und ein Algorithmus genutzt. Ergebnis sind direkte Kundenansprachen für den Werber und reduzierte Versandgebühren für den Versender.

Fazit

Insbesondere im Vertrieb sollte man die Regeln der DSGVO besonders beachten, denn dieser Bereich hat bei den Datenschutzbehörden den Ruf den Datenschutz nicht immer korrekt zu beachten. Es sind aber auch viele Anwälte eifrig damit beschäftigt Datenschutzverstöße bei Kampagnen auszumachen. Abmahnungen und ungeplante Aufwände für Datenschutz-Anforderungen sind die Folge.

Bei jeder Marketing oder Vertriebskampagne ist es ratsam einen Datenschutzbeauftragten hinzuzuziehen, der der kennt, die Linien zwischen legaler und illegaler Datenverarbeitung.

In unserem nächsten Blog erläutern wir, wie man Einwilligungen kundenfreundlich gestaltet.

DSGVO für Online Shops im Jahr 2022

Worauf müssen Online-Händler achten, um Abmahnungen wegen Datenschutz-Verstößen zu vermeiden.

Viele Händler betreiben, neben ihrem stationären Ladenlokal auch einen Onlineshop. Die Zahl der Händler die ausschließlich über einen Onlineshop ihre Waren verkaufen, wächst noch schneller. Im B2C Bereich ergänzen Onlinehändler ihre Vertriebskanäle über bekannte Plattformen wie Amazon oder eBay.

Egal welche E-Commerce Methoden eingesetzt werden, es stellen sich immer die gleichen rechtlichen Fragen:

  • Wie müssen Bestellprozess, Preisangaben und Lieferangaben aussehen?
  • Wie sind AGB, Impressum und eine Datenschutzerklärung zu gestalten?
  • Und was muss rund um die Widerrufsbelehrung beachtet werden?

Mehr hierzu zeigt auch die Tulos DSGVO Checkliste für Online-Shops. Kostenlos!

Vermeiden Sie Abmahnungen für Datenschutzverstöße durch Verbraucherschutzverbände und Abmahnvereine oder verärgerte Kunden.

Datenschutzverstöße werden auch als Wettbewerbsverstoß gewertet. Abmahnungen können also beides beinhalten.

Dass die Datenschutzerklärung oder das Impressum der DSGVO entsprechen muss, hat inzwischen jeder Online-Shop-Betreiber verstanden. Hier macht kaum ein Händler Fehler, es gibt ja auch genügend Generatoren, die diese Texte rechtskonform für wenig Geld erstellen.

Aber, unbeabsichtigte Datenschutzverstöße merkt der Onlinehändler oft nicht.

Er sieht nicht selten überrascht und verärgert auf die Abmahnung in seinem Postfach.

Typische Fehler, die keiner haben will.

  • eine nicht DSGVO konforme Einbindung eines Facebook-Like-Buttons
  • Fehler in der AGB
  • veraltete/unsichere Software für den Online-Shop. Das ist besonders unnötig, wenn der Software-Hersteller eindeutig empfohlen hat, diese (veraltete) Softwareversion wegen ihrer bekannten Schwachstellen zu aktualisieren.
  • Unsicherer Zugriff auf die Webseiten, zum Beispiel durch unzureichende Passwörter. Teuer wird es, wenn Kundendaten durch Hacker ausgespäht wurden.

Verbraucherschützer sammeln Ärger-Shops.

Online-Händler mit den unten genannten Geschäftspraktiken können schlechter bewertet werden oder sogar wegen DSGVO Verstoß abgemahnt werden.

Zwei Beispiele, worauf Verbraucherschützer achten:

1.     Keine Möglichkeit von Gastbestellungen

Online-Shops müssen grundsätzlich die Möglichkeit schaffen, auch ohne Kundenkonto Bestellungen anzunehmen.

Die Gesetzgrundlage ist hierbei der Grundsatz der Datenminimierung.

Der Grundsatz der Datenminimierung besagt, dass nur die personenbezogenen Daten verarbeitet werden dürfen, die für die Vertragserfüllung notwendig sind. Für eine Bestellung im Online-Shop sind das also klassischerweise der Name, die Lieferanschrift, Rechnungsadresse und die E-Mail-Adresse.

In einem Kundenkonto werden die Daten auf Vorrat gespeichert, um mögliche, künftige Bestellungen zu erleichtern. Bei einer erstmaligen Bestellung kann der Händler nicht per se unterstellen, dass er Kundendaten für mögliche, aber ungewisse zukünftige Geschäfte auf Vorrat vorhalten darf. Für die Einrichtung eines fortlaufenden Kundenkontos ist eine entsprechende, bewusste Einwilligungserklärung des Kunden erforderlich.

Hinzu kommt das Problem der Freiwilligkeit einer Einwilligungserklärung. Da es sich bei der Anlegung eines Kundenkontos um keine erforderliche Datenverarbeitung handelt, muss der Kunde seine Einwilligung geben. Eine Einwilligung muss laut DSGVO freiwillig erfolgen. Es darf also kein Druck auf die Kunden ausgeübt werden.

Es gibt aber auch Ausnahmen: So kann es für Fachhändler bei bestimmten Berufsgruppen für die Vertragserfüllung erforderlich sein, Bestellungen nur über Kundenkontos zuzulassen. Der Grundsatz der Datenminimierung muss dennoch beachtet werden. So sollten Kundenkonten nach einer kurzen Frist bei Inaktivität automatisch gelöscht werden.

2.     Werbung mit Kundendaten und nach Benutzerverhalten ohne Einwilligung

Online-Händler haben durch die fortlaufenden Kundenkonten grundsätzlich die Möglichkeit, das Verhalten der Kontobesitzer auszuwerten und zielgerichtete Werbung zu versenden. Diese Form der Datenverarbeitung benötigt eine gesonderte Einwilligung. Denn dies ist eine Datenverarbeitung, die über die bloße Einrichtung und Führung eines fortlaufenden Kundenkontos hinausgeht. Die Nutzung dieser Kundeninformationen ist nicht bereits durch eine Einwilligung zur Einrichtung und Führung des fortlaufenden Kundenkontos abgedeckt.

Fazit.

Vor allem für Online-Händler, die sich bisher noch nicht viel mit Datenschutzrecht beschäftigt haben, empfehlen wir, den Datenschutz ernst zu nehmen, um unnötige Risiken zu vermeiden:

  • Der Onlineshop und die Prozesse der Warenwirtschaft sollten stabil laufen und gegen Datenpannen sowie Cyberkriminalität geschützt sein. Was zu beachten ist steht hier
  • Verstöße gegen die Gesetze des Datenschutzes sind ernst zu nehmen.
  • Fehler können zu teuren Abmahnungen und Ärger mit dem Verbraucherschutz führen.
  • Ein Datenschutzbeauftragter ist nicht immer gesetzlich vorgeschrieben. Er lohnt sich aber immer. Er kennt die Grenzen zwischen legaler und illegaler Datenverarbeitung. Tulos Datenschutzbeauftragte können zudem auch die erforderlichen Maßnahmen technisch umsetzen.

Gender-Hinweis

In unseren Texten verwenden wir nicht immer gender-neutrale Wörter. Chancengleichheit ist für uns aber selbstverständlich – unabhängig von Herkunft, sexueller Identität, Geschlecht, Alter und Religion. Für Tulos Consulting gehören Inklusion, Vielfalt und Toleranz zu den zentralen Werten des Unternehmens. Personenbezeichnungen in Web und Print gelten gleichermaßen für alle Geschlechter, es sei denn, dies ist explizit anderweitig definiert.

Datenschutz in der Arztpraxis

Hier finden Sie typische Beispiele aus der Arztpraxis, gefährliche Schwachstellen und eine Checkliste für die DSGVO Konformitätsprüfung.

Im Gesundheitsbereich ist der Datenschutz von entscheidender Bedeutung. Die Betroffenen und die Öffentlichkeit reagieren überaus sensibel, wenn es zu Datenpannen kommt.

Die Bestellung eines Datenschutzbeauftragten ist erst ab 20 Personen in der Praxis Vorschrift. Tulos-Datenschutzbeauftragte lohnen sich aber immer. Denn sie oder er wissen, worauf man für den Datenschutz achten muss und sorgen für reibungslose und sichere Abläufe, Technik inklusive. Abgesehen davon kosten sie nicht viel. Tulos berechnet für die Gestellung eines Datenschutzbeauftragten für Arztpraxen 90,00€/Arzt und Monat, zzgl. der gesetzlichen MwSt.

Typische Beispiele aus der Arztpraxis für die Datenerhebung und deren Weitergabe

Zum einen spielt die Datenerhebung eine wichtige Rolle. Dabei geht es um die Frage welche Daten eines Patienten gesammelt werden dürfen. Zum anderen muss die Datenweitergabe den Regularien der DSGVO entsprechen.

  • Am Empfangstresen, an dem die Patienten in Empfang genommen werden und ihr Anliegen mitteilen, muss die Erhebung von Patienteninformationen vertraulich sein.
  • Dritte dürfen nicht mithören können, wenn über Diagnosen informiert wird. Das kann passieren, wenn Ärzte und Arzthelfer sich über Testergebnisse und Diagnosen von Patienten in der Nähe des Wartezimmers befinden
  • Akten und Computer dürfen nicht unbeaufsichtigt bleiben, zum Beispiel, wenn das Praxispersonal den Empfangsbereich verlässt oder der Arzt sein Arztzimmer.
  • Sämtliche Informationen, welche sich in der Patientenakte befinden, dürfen nicht automatisch an Versicherungen oder Dritte weitergegeben werden.
  • Um die Herausgabe der personenbezogenen Daten rechtskonform zu gestalten, muss in der Regel eine Einwilligungserklärung des Betroffenen vorliegen.
  • Bei Gemeinschaftspraxen ist die Datenweitergabe unter Ärzten in der Regel nur dann zulässig, wenn diese die Patienten auch betreuen. Allerdings darf sich der Datenaustausch nur auf die für die Betreuung des einzelnen notwendigen Informationen beschränken. Jeder Informationsaustausch, der sich außerhalb dieses Rahmens befindet, ist unzulässig.
  • Löschung von Patientendaten
    Bei einem Behandlungsvertrag sind das z.B. 10 Jahre nach Abschluss der Behandlung. In Einzelfällen kann aus ärztlicher Sicht eine längere Aufbewahrung geboten sein (z.B. Risikogeburten für Mutter und/oder Kind oder chronischen Krankheiten).

Hier Mehr Beispiele und Informationen erhalten Sie bei einem Erstgespräch. Kostenlos!

Typische Schwachstellen in der Arztpraxis die zu teuren Konsequenzen führen können.

Gefährliche Bequemlichkeit und Alltagsstress in der Praxis.

Unaufmerksamkeit ist oft die Ursache, wenn vertrauliche Patienteninformationen für Unbefugte sichtbar sind, zum Beispiel, am Empfang oder auf dem Arzt-Schreibtisch.

Solche Missgeschicke können Patientenvertrauen gefährden und rechtliche Konsequenzen nach sich ziehen.

Mangelnde Kenntnisse im Umgang mit der Datenvereinbarung.

Unsachgemäßer Umgang mit vertraulichen Informationen und der EDV verursacht unnötig mehr Aufwand und ist auch ein Sicherheitsrisiko. Deshalb verlangt die DSGVO nachweisliche Kenntnisse im Umgang mit personenbezogenen Daten.

Mangelhafter Nachweis der DSGVO Erfordernisse.

Medizinische Einrichtungen müssen nachweisen, dass Ihre Praxis den Anforderungen des Datenschutzes entsprechen. Eine Prüfung durch die Datenschutzbehörde oder eine Beschwerde verursacht ungeplante Aufwände und im schlimmsten Fall eine teure Abmahnung.

Mangelhaft integrierte Praxis-Abläufe mit der Datenverarbeitung.

Die meisten Arztpraxen haben viele Abläufe digitalisiert. Viele Daten werden aber immer noch parallel auf Papier, digital und auf Drucker oder Fax verarbeitet. Das ist nicht nur aufwändig, dadurch passieren auch viele Fehler. Eine nachweisliche Kontrolle ist schwierig bis unmöglich. Für eine DSGVO Konformität muss die Kontrolle jedoch nachgewiesen werden.

Fazit

Viele Arztpraxen haben oft so viel zu bewältigen, dass der Datenschutz oft vernachlässigt wird. Das ist aber gefährlich. Daher ist es wichtig möglichst einfache Prozesse einzuführen auch bei Hektik eine sichere Datenverarbeitung möglich machen. Ein Datenschutzbeauftragter leistet hier wertvolle Hilfe.

Datenschutzbeauftragte von Tulos kennen die Anforderungen der DSGVO für medizinische Einrichtungen. Sie begleiten Arztpraxen bei der Umsetzung der erforderlichen Maßnahmen, einschließlich der IT-Systeme.

Tulos Datenschutz Checkliste für die Arztpraxis zum kostenlosen Download

Go to Top