Vorratsdatenspeicherung, Volksverschlüsselung, Datendiebstahl, Bundesdatenschutzgesetz oder Privacy Shield sind Begriffe, die beinahe täglich in den Medien thematisiert werden. Auf diese Weise wird das Thema Datenschutz nicht nur für Unternehmen, sondern auch für Verbraucher zu einem ständigen Begleiter. Das Bewusstsein für die Sensibilität der eigenen Daten wird bei Verbrauchern stetig geschärft und es kommen verstärkt kritische Fragen auf: Was macht Facebook mit meinen Daten? Was macht der Shop, bei dem ich gerade online eingekauft habe, mit meinen Daten? Ist mein Passwort, das ich für alles benutze, obwohl ich es besser weiß, bei LinkedIn sicher oder wird es in zwei Jahren über einschlägige Hacker-Webseiten zum Verkauf angeboten? Häufig erklären sich Verbraucher während eines Bestellvorgangs mit Datenschutzbestimmungen einverstanden ohne genau zu wissen, was das Unternehmen mit diesen Daten macht. Noch häufiger ist Verbrauchern nicht bewusst, dass Ihnen das Bundesdatenschutzgesetz (BDSG) das Recht einräumt, zu erfahren, welche konkreten Daten über sie gespeichert wurden((§ 34 BDSG.)) und dass sie die Löschung der gespeicherten Daten verlangen dürfen((Wenn die Voraussetzungen des § 35 Abs.2 BDSG erfüllt sind.)). Gerne können Sie für eine derartige Auskunft unsere Vorlage verwenden: Vorlage: Selbstauskunft.
Die erhöhte Sensibilität bei Verbrauchen verstärkt den Druck auf Unternehmen hohe datenschutzrechtliche Anforderungen zu erfüllen. Um diesen Anforderungen gerecht zu werden, stehen Unternehmen eine Reihe von Instrumenten zur Verfügung. Ein gutes Beispiel bildet hier die unternehmerische Webseite. Das virtuelle Schaufenster bestimmt den ersten Eindruck des Kunden über das Unternehmen maßgeblich. Wer eine Website betreibt, muss entsprechend des Telemediengesetzes (TMG) bestimmte rechtliche Anforderungen beachten. Beispielsweise sind sie als Versender von Newslettern aus datenschutzrechtlichen Gründen verpflichtet, ausschließlich die für den Empfang notwendigen Daten des Empfängers zu erheben. Dies ergibt sich aus der Regelung des § 13 Abs. 6 TMG (Telemediengesetz) und dem Datensparsamkeitsgebot des § 3a BDSG (Bundesdatenschutzgesetz). Sie müssen daher dem Newsletter-Abonnenten die Möglichkeit einräumen, den Newsletter anonym, also allein durch die Angabe seiner E-Mail-Adresse als einziges Pflichtfeld zu abonnieren. Allgemein gilt es zu beachten, dass Kontaktdaten von Referenzkunden oder Fotos und Namen von Mitarbeitern nur unter bestimmten Einschränkungen veröffentlicht werden dürfen.
„Unsere Datenschutzbestimmungen“: Das gilt es zu beachten
Gemäß § 13 TMG muss eine Datenschutzerklärung auf der Website vorhanden sein. Die Datenschutzbestimmungen des Unternehmens sollten für den Verbraucher leicht ersichtlich, verständlich und transparent sein. Die Datenschutzbestimmungen werden häufig im Impressum angesiedelt. Noch benutzerfreundlicher ist ein eigenständiger Bereich, der deutlich, z.B. als „Unsere Datenschutzbestimmungen“, betitelt ist. Viele Webseiten bieten vorformulierte Texte, mit denen sie diesen Bereich füllen können, an. Das Vertrauen bei Verbrauchern wird durch eine persönliche Note erhöht, daher sollte in Erwägung gezogen werden, Standardfloskeln durch das individuelle unternehmerische Verständnis von Datenschutz zu ergänzen. Dem Verbraucher wird so kommuniziert, dass Datenschutz dem Unternehmen wirklich am Herzen liegt und das Engagement über das Mindestmaß hinausgeht. Wichtig ist, dass die Datenschutzerklärung inhaltlich wahr und vollständig ist, d.h. sie muss Informationen über allgemeine Datenerhebungen enthalten. Dies betrifft beispielsweise Informationen über Gewinnspiele, Newsletter-Abos oder Web-Analyse durch Google Analytics oder Piwik. Außerdem muss ein Hinweis auf das Widerspruchsrecht des Kunden enthalten sein. Es muss auch angegeben werden, zu welchem Zweck die Daten verarbeitet werden und an wen sie weitergegeben werden((Siehe § 13 TMG und weiterführend Hullen/Roggenkamp in: Plath, BDSG, 2013, § 13 TMG , Rn. 4 ff.)). Außerdem muss der Nutzer über die Verwendung von Cookies unterrichtet werden, was ebenfalls im Rahmen der Datenschutzerklärung erfolgen kann. Bei unrichtiger oder fehlender Datenschutzerklärung drohen Bußgelder bis zu 50.000 Euro((§ 16 Abs. 3 TMG)). Überdies sollte eine verschlüsselte Datenübertragung von- und zu der Website und ein sicherer Webserver zum Schutz der Nutzerdaten vorhanden sein.
Zu beachten ist auch, ob die Verwendung von Social Plug-Ins zulässig ist. So wurde z.B. die Verwendung des „Gefällt mir“ Buttons für Facebook auf Websites für rechtswidrig erklärt((LG Düsseldorf, Urt. v.09.03.2016, Az. 12 O 151/ LG Düsseldorf, Urt. v.09.03.2016, Az. 12 O 151/15,15)), da diesen die IP-Adresse und weitere personenbezogene Daten erhoben und an Facebook weitergeben werden. Begründet wurde dies damit, dass der Nutzer die Weitergabe seiner personenbezogenen Daten in diesem Fall nicht mehr überblicken kann. Sicherer ist die Lösung über den sogenannten 2-Klick-Button: der Nutzer aktiviert beim ersten Klick das Teilen des Inhalts und mit dem zweiten Klick wird die Datenübertragung an das soziale Netz ausgelöst((Mehr dazu unter: http://www.heise.de/newsticker/meldung/Fuer-mehr-Datenschutz-Neue-Version-der-2-Klick-Empfehlungsbuttons-2101045.html)).
Reputationsmanagement: Datenschutz als Marketingmaßnahme
Ein Unternehmen muss einen Datenschutzbeauftragten bestellen, sofern mindestens 10 Mitarbeiter regelmäßig über Computer, Tablet oder Smartphone personenbezogenen Daten (z.B. Name, Adresse, Telefonnummer, E-Mail, Alter, Geburtsdatum, Familienstand etc.) von Kunden, Mitarbeitern oder Lieferanten verarbeiten. Dabei ist es unerheblich, ob die Mitarbeiter mit diesen personenbezogenen Daten tatsächlich arbeiten – relevant ist bereits der reine Zugang zu diesen Daten((§4f Abs.1 S.1 BDSG)).
Auch für Start-Ups oder kleine Unternehmen mit weniger als 10 Mitarbeitern kann es interessant sein, einen Spezialisten für Datenschutz ins Vertrauen zu ziehen. Arbeiten Start-Ups mit personenbezogenen Daten und versuchen neue Kunden zu gewinnen, kann ein externer Datenschutzbeauftragter als Unique Selling Point (USP) in einem Pitch die entscheidenden Punkte bringen. Möglichen Kunden wird bereits zu einem frühen Zeitpunkt deutlich gemacht, dass es zum Selbstverständnis des Unternehmens gehört, einen möglichst hohen Standard in Bezug auf datenschutzrechtliche Rahmenbedingungen zu erreichen.
Die Frage der Kosten eines Datenschutzbeauftragten stellt sich selbstverständlich sowohl für Unternehmen, die gesetzlich in die Pflicht genommen werden als auch für kleine Unternehmen, die Datenschutz als Marketingmaßnahme verstehen.
Unternehmen haben grundsätzlich die Möglichkeit zu wählen, ob sie einen internen oder externen Datenschutzbeauftragten bestellen. Ein interner Datenschutzbeauftragter ist im Unternehmen angestellt, hat möglicherweise bereits einen Aufgabenbereich, von dem dann ein entsprechendes Zeitkontingent für die Aufgaben des Datenschutzes zu reservieren ist. Ein externer Datenschutzbeauftragter ist nicht Mitarbeiter im Unternehmen, sondern wird als selbstständiger Dienstleister für das Unternehmen tätig (Mehr über unser Angebot erfahren..).
Neben den Kosten für die Bestellung des Datenschutzbeauftragten selbst, können Kosten für die Einführung von technisch-organisatorischen Maßnahmen (TOM) anfallen. Je nach Unternehmensgröße können die Maßnahmen in ihrem Anspruch variieren. Meist sind jedoch keine komplexen und sich über viele Seiten erstreckenden Konzeptionen notwendig. Häufig genügt bereits ein praxisorientiertes Konzept, welches unter anderem ganz konkret die Schlüsselberechtigungen für den Serverraum regelt.
Die Kosten für die Einführung eines sauberen Datenschutz-Managements sind geringer als die Kosten, die durch eine Datenschutzpanne entstehen können. Neben dem unvermeidlichen Imageschaden können Unternehmen durch den Vertrauensverlust der Kunden und juristische Auseinandersetzungen in ihrer Existenz bedroht werden. Ein Datenschutzkonzept bietet Unternehmen die Möglichkeit damit zu werben, dass das Unternehmen einen hohen Wert auf die Sicherheit von Kundendaten legt und auf diese Weise das Vertrauen der Kunden stärken. Datenschutz wird so Teil des unternehmerischen Reputationsmanagements.
Wenn Sie Hilfe benötigen, kontaktieren Sie uns.