Google Analytics und Datenschutz

Immer wieder taucht die Frage auf, wie Google Analytics und Datenschutz miteinander in Einklang gebracht werden können. Hinzu kommt die Frage, wie man Google Analytics richtig installiert und korrekt  auf die Verwendung hinweist, um eine mögliche Rechtsverletzung zu vermeiden.

Hinlänglich bekannt sind die Hinweise zum Datenschutz auf den Webseiten inkl. der Deaktivierung der Google Analytics Erfassung. Auch das Thema Abschluss eines Auftragdatenverarbeitungsvertrages mit Google ist schon zahlreich diskutiert worden.

Lesenswerte Seite zu Google Analytics und Datenschutz

Da ich neulich eine super Seite mit vielen Fakten zu diesem Thema gefunden habe, möchte ich auf diese gerne hinweisen. Hier werden viele Fragen sowie eine möglichst datenschutzkonforme Verwendung detailliert beschrieben.

Die Zusammenfassung ist von Cathrin Tusche und unter diesem Link zu finden.

Bezüglich Datenschutzerklärung verweise ich gerne auch auf Generatoren wie z.B. eRecht24, der auch die Verwendung von Google Analytics berücksichtigt.

 

AEO Genehmigung und Datenschutz

Für Unternehmen, die Handel über die Grenzen hinaus betreiben ist es sehr hilfreich, wenn es Erleichterungen im normalen Ablauf der Warenverzollung gibt. Dazu kann eine Firma den sogenannten Status des „Zugelassenen Wirtschaftsbeteiligten“ ( AEO ) beantragen. Mit diesem Status wird bei der Zollabfertigung i.d.R. eine deutliche Vereinfachung in der Abwicklung erreicht sowie Kontrollen auf ein Minimu reduziert. Die ganze Thematik basiert auf dem SAFE Framework der Weltzollorganisation und wird durch die Bestimmungen des Zollkodexes der Union (UZK) für die EU geregelt. Die Genehmigung berühert auch das Thema Datenschutz.

Die Anforderungen der AEO

Um eine solche Genehmigung zu erhalten ist nachzuweisen, dass der Wirtschaftsbeteiligte besonders zuverlässig und vertrauenswürdig ist. Dies wird von der Zollbehörde sehr genau geprüft!

Und hier spielt der Datenschutz plötzlich  eine Rolle, weil auch die beteiligten Personen (und nicht nur die Rechtsform) diesen Nachweis erbringen müssen.

In Artikel 24 des UZK findet sich folgender Passus:

(1) Ist der Antragsteller eine natürliche Person, gilt die Voraussetzung des Artikels 39 Buchstabe a des Zollkodex als erfüllt, wenn der Antragsteller und gegebenenfalls der Beschäftigte des Antragstellers, der für dessen Zollangelegenheiten zuständig ist, in den letzten drei Jahren keine schwerwiegenden oder wiederholten Verstöße gegen die zoll- oder steuerrechtlichen Vorschriften und keine schweren Straftaten im Rahmen ihrer Wirtschaftstätigkeit begangen hat.

 Ist der Antragsteller keine natürliche Person, gilt die Voraussetzung des Artikels 39 Buchstabe a des Zollkodex als erfüllt, wenn keine der folgenden Personen in den letzten drei Jahren einen schwerwiegenden Verstoß oder wiederholte Verstöße gegen die zoll- oder steuerrechtlichen Vorschriften oder eine schwere Straftat im Rahmen ihrer Wirtschaftstätigkeit begangen hat:

 a) der Antragsteller;

b) die Person, die für das antragstellende Unternehmen verantwortlich ist oder die Kontrolle über seine Leitung ausübt;

c) der Beschäftigte des Antragstellers, der für dessen Zollangelegenheiten zuständig ist.

 AEO und persönliche Daten

Die Vorgaben bedeuten, dass die Zollbehörde bei einer Beantragung der AEO von den genannten Beteiligten nähere Angaben zu ihrer steuerliche Zuverlässigkeit erhalten möchte. Dies erfolgt i.d.R. durch Abfrage der persönlichen Steuer-ID. Es geht dabei nicht um eine steuerliche oder zollrechtliche Verpflichtung, sondern nur um einer Art steuerliches „Führungzeugnis“ für diesen konkreten Anwendungsfall.

Dies ist im Rahmen des Gesetzes zulässig und stellt Sie vor die Wahl, dem Ersuchen auf Auskunft zu folgen oder auf eine Gemehimigung zu verzichten. Sofern Sie im Handel aktiv sind können Sie darüber hinaus eine solchen möglichen Fall zusätzlich in Ihren Arbeitsverträgen aufnehmen, wobei die Zweckbestimmung sowie die Funktion maßgeblich sind. Wichtig ist, dass Sie nur die Daten der in Artikel 24 genannten Beteiligten übermitteln.

Weitere Informationen finden Sie bei der Zollbehörde.

DSGVO Einführung jetzt beginnen

Am 25.5.2018 tritt die neue europäische Datenschutz Grundverordnung DSGVO in Kraft. Bis zu diesem Zeitpunkt haben die Mitgliedsstaaten Zeit, ergänzende Regelungen zu verabschieden.

Was viele nicht wissen:

Die DSGVO löst das aktuelle Bundesdatenschutzgesetz BDSG ab!

Damit werden alle Regelungen und Vereinbarungen (z.B. Einverständniserklärungen, Verschwiegenheitserklärungen der Mitarbeiter, Auftragsdatenverarbeitungsverträge, etc.) möglicherweise ungültig.

Neu ist neben den zukünftig massiv erhöhten Bußgeldern bei Verstößen auch die Einrichtung eines Datenschutzmanagements, welches einem prüfbarem und prozessorientiertem Ansatz eines internen Kontrollsystems entspricht  und einen umfangreichen Aufwand bei der Einrichtung erfordert.

Mit der neuen DSGVO wird auch die Verknüpfung von IT-Sicherheit und Datenschutz hergestellt. Die bisher zu dokumentierenden technischen und organisatorischen Maßnahmen werden wie bei den IT-Sicherheitsnormen behandelt und einer ständigen Verbesserung nach dem Stand der Technik unterworfen. Daher bietet sich  an, einen Blick auf BSI-Grundschutz, ISO 27001 oder VdS 3473 zu werfen.

Die Auskunftspflichten haben Sich in der Form geändert, dass mit der DSGVO deutlich mehr Informationen geliefert werden sollten und insbesondere auf die Widerspruchsrechte des Kunden explizit hingewiesen werden muss. Davon betroffen sind auch die vielen Datenschutzerklärungen auf Webseiten, bei denen in den meisten Fällen eine Anpassung erfolgen muss.

Denken Sie daran, dass Datenschutzverletzungen oder Sicherheitsvorfälle nicht nur ärgerlich für das Unternehemn und die Betroffenen sind, sondern auch erhebliche Reputationsverluste mit sich führen können. Die Sensibilität der Kunden ist in diesem Bereich sehr hoch.

Um darüber hinaus den entstehenden Risiken (Haftung, Abmahnungen) zu entgehen, sollten Sie jetzt mit der Umsetzung der neuen DSGVO beginnen. Dazu empfehlen wir, Ihre existierenden Datenschutz als Startpunkt zu verwenden und die Anpassungen sowie Erweiterungen abzuleiten. Aus unserer Erfahrung dauert eine Ist-Aufnahme eine gewisse Zeit. Und wenn Sie dann noch ein Managementsystem etablieren wollen, welches sich an existierenden Normen wie die ISO 27001 orientieren soll ist der Zeitraum ausgesprochen kurz.

Welche Lösung für Sie die angemessene ist, finden wir in einem Abstimmungsgespräch heraus.

Haben Sie noch keinen Datenschutz umgesetzt, dann wird es höchste Zeit damit zu beginnen und so schnell wie möglich die nowendigen Maßnahmen zur Erfüllung der gesetzlichen Rahmenbedingungen umzusetzen.

Gerne unterstützen wir Sie bei der Identifikation der Risiken und deren Behebung sowie der Etablierung eines Datenschutzmanagements.

Auftragsdatenverarbeitung außerhalb der EU

Die Regelungen für eine Auftragsdatenverarbeitung nach dem BDSG werden hinlänglich praktiziert. Hier sind insbesondere die Verarbeitung der Daten innerhalb der EU durch entsprechende Regelungen abgedeckt. Was aber passiert, wenn ein Dienstleister außerhalb der EU genutzt wird und als Funktionsträger die Daten des Unternehmens verarbeitet? Hierzu zählen beispielsweise Dienste wie Amazon oder Google oder auch das bekannte CRM System Salesforce, die Ihre Daten häufig außerhalb der EU speichern und weiterverarbeiten.

Vor dem Abschluss eine Vertrages zur Auftragsdatenverarbeitung ist zu empfehlen, zuerst die Privacy Policies der Unternehmen zu lesen. Sofern diese Bestandteil eines Vertrages sind oder werden sollen, sind dort bereits Hinweis auf die Verarbeitung der Daten außerhalb der EU zu finden.

Privacy Shield als Nachfolger für Safe Harbour

Explizit für US Unternehmen bestand darüber hinaus ein Abkommen zwischen der EU und den USA, das veraltete Safe Harbour Abkommen. In diesem wurde geregelt, wie der Datenschutz der EU zu erfüllen ist. Unternehmen, die sich dieser Vereinbarung freiwillig unterwerfen wollten, konnten sich diesbezüglich zertifizieren lassen.

Die entsprechende Liste des US Handelsministeriums kann im Web unter hier eingesehen werden. Dort können Sie prüfen, ob das zu beauftragende Unternehmen zertifiziert ist und wie lange diese noch Gültig ist.

Am 8.Oktober 2015 wurde  das Safe Harbour Abkommen durch den europäischen Gerichtshof aufgrund unzureichender Vereinbarungen für nichtig erklärt. Damit wurde für viele Vereinabrungen die Rechtsgrundlage entzogen.

Nähere Informationen hierzu finden Sie auf der Webseite des Bundesdatenschutzbeauftragten unter https://www.bfdi.bund.de/DE/Europa_International/International/Artikel/SafeHarbor.html.

Anstelle des Safe Harbour Abkommens wurde 2016 das „Privacy Shield“ Abkommen abgeschlossen, welches die Beanstandungen des bisherigen Abkommens kompensieren soll. Auch hier müssen sich Unternehmen wieder zertifizieren lassen. Neu ist insbesondere, dass die Gültigkeit der Zertifizierung durch das beauftragte Unternehmen jährlich nachgewiesen werden muss.

Die zertifizierten Unternehmen können wiederum auf der Webseite https://www.privacyshield.gov  eingesehen werden.

EU Vertragsbedingungen für Auftragsdatenverarbeitung

Offen bleibt aber, wie ein Vertrag mit einem Unternehmen in einem Drittstaat abgeschlossen werden soll. Hier hat die EU entsprechende Vorlagen bereitgestellt, die sich in jedem Vertrag wieder finden sollten (https://ec.europa.eu/justice/data-protection/international-transfers/transfer/index_en.htm ). Entscheidend ist dabei die Auswahl der richtigen Vorlage.

Leider basieren die Vorlagen noch auf den bisherigen Datenschutzregelungen der EU, die bekanntlich durch die DSGVO Regelungen abgelöst werden. Es ist daher davon auszugehen, dass diese Vertragsregelungen nur noch eine Übergangszeit ihre Gültigkeit behalten und dann durch neu abzuschließende Verträge abgelöst werden müssen.

Auch die Verbindglichkeit des Privacy Shield Abkommens ist noch nicht abschließend geklärt, insbesondere nach dem Regierungswechsel in den USA.

Hohe Komplexität

Insgesamt ist das Thema zum Abschluss eines Vertrages zur Auftragsdatenverarbeitung hoch komplex. Nützliche Hinweise, wie im Einzelfall zu verfahren ist finden sich auf der Webseite des Landesdatenschutzbeauftragten NRW unter https://www.ldi.nrw.de/mainmenu_Datenschutz/submenu_Datenschutzrecht/Inhalt/InternationalerDatenverkehr/index.php oder auf https://www.datenschutz-notizen.de/sind-die-eu-standardvertragsklauseln-noch-wirksam-10-punkte-die-jetzt-beachtet-werden-sollten-0912785/

 

IT-Sicherheitsgesetz betrifft fast alle Firmen! Sind Sie gut aufgestellt?

Am 25. Juni 2015 ist das neue „IT-Sicherheitsgesetz“ (Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme) vom Bundestag beschlossen worden. Zielrichtung des Gesetzes sind insbesondere die Betreiber kritischer Infrastrukturen. Den Begriff „kritisch“ hat der Gesetzgeber durch diverse Ergänzungen versucht einzugrenzen und vermittelt den Eindruck, dass ein großer Teil der Kleinunternehmen nicht betroffen sind.

Dies ist aber ein Trugschluss, denn mit der Einführung des neuen Gesetzes wurde auch das Telemediengesetz angepasst und dieses findet Anwendungen für fast alle Unternehmungen, die Webseiten gewerblich betreiben!

§13 TMG (Auszug der geänderten Fassung)

Diensteanbieter haben, soweit dies technisch möglich und wirtschaftlich zumutbar ist, im Rahmen ihrer jeweiligen Verantwortlichkeit für geschäftsmäßig angebotene Telemedien durch technische und organisatorische Vorkehrungen sicherzustellen, dass

  1. kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen EInrichtungen möglich ist und
  2. diese gegen Verletzungen des Schutzes personenbezogener Daten und gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind, gesichert sind. Vorkehrungen nach Satz 1  müssen den Stand der Technik berücksichtigen….

Wer glaubt, dass die wirtschaftliche Zumutbarkeit ein Schlupfloch ist irrt, da die zu treffenden Maßnahmen häufig keine hohen Investitionen sondern organisatorische Änderungen erfordern. Schützen Sie sich, bevor Sie ins Visier geraten.

Wir unterstützen Sie hierbei gerne.

Continuity Management – Reduzieren Sie Ihr Ausfallrisiko und hohe Folgekosten

Business Continuity Management ist ein Krisen- oder Notfallmanagement mit dem Ziel, Geschäftsprozesse in Ihrem Unternehmen auch bei Auftreten von schwerwiegenden, unerwarteten Ereignissen (Krisen, Katastrophen) nicht oder nur kurz zu beinträchtigen. Damit wird die wirtschaftliche Existenz Ihres Unternehmens auch in diesen Fällen nicht gefährdet. Business Continuity Management ist eng mit dem IT Service Continuity Management verknüpft, welches im Fehlerfall in der IT die Bereitstellung der Services sicherstellen soll.

Rechtliche Grundlagen

Als kapitalorientiertes Unternehmen sind Sie z.B. durch KonTraG (Kontroll- und Transparenzgesetz) verpflichtet worden, ein Risikomanagement zu implementieren. Auch die Basel II Regelungen zur Kreditvergabe implizieren diese Risikobetrachtung, welche eine Krisenvorsorge beinhalten sollte. Da alle Unternehmensprozesse zu immer größeren Teilen durch Informationstechnologie sichergestellt werden, sollten Sie insbesondere im IT-Bereich die Risiken kennen und Notfallpläne parat haben. Verlassen Sie sich nicht darauf, dass Ihre IT ein funktionierendes Backup macht oder eine unterbrechungsfreie Stromversogung installiert ist. Die Praxis sieht in der Regel ganz anders aus.

Maßnahmen

Nehmen Sie die für Sie möglichen Fehlerquellen auf. Hierzu helfen Ihnen z.B. die Kataloge des BSI-Grundschutzes. Identifizieren Sie anschließen Ihre kritischen Systeme. Identifizieren Sie die Kombination aus Schadenereignis und kritischem System und versuchen Sie die Auswirkung des Schadens monetär zu bewerten. Stellen Sie sich die Frage, wie lange ein Ereignis maximal dauern darf, bis ein spübarer Schaden auftreten könnte. Dabei hilft auch zu berücksichtigen, wieviele Menschen im Notfall von einem Schadenereigniss betroffen wären.

Auf dieser Basis können Sie nun Maßnahmen für die unterschiedlichen Schadenergeignisse definieren, die zu treffen sind, um den Schaden minimal zu halten.

Möchten Sie sich hier verbessern, dann nutzen Sie unsere Erfahrungen. Entwickeln Sie mit uns zusammen neue Vorgehensweisen, die kurzfristig zum Ziel führen. Werden Sie Referenzkunde, profitieren Sie von gemeinsamen Projekten und setzen Sie Standards.

Verbessern Sie Ihren Datenschutz – Die Aufsichtsbehörden kontrollieren umfangreich

Vermeiden Sie Wettbewerbsnachteile und hohe Bußgelder

In immer mehr Verbrauchermagazinen (Fernsehen und Presse) werden die Kunden über ihre Datenschutzrechte aufgeklärt. Gut informiert wenden Sie sich anschließend an Unternehmen und bitten um Nachweise, Bestätigungen, Löschungen oder weitere Auskünfte. In vielen Fällen sind die Unternehmen hierauf nicht vorbereitet und agieren nach dem Prinzip „Wir tun mit Ihren Daten nur unser Bestes“.

Weiterlesen

Wir sind Mitglied der Gesellschaft für Datenschutz und Datensicherheit e.V.

Datenschutz und Prozessmanagement aus einer Hand

Seit 2012 sind wir Mitglied der Gesellschaft für Datenschutz und Datensicherheit e.V. Wir erweitern unsere Kompetenz im Bereich Datenschutz in Unternehmen, da immer mehr Fragen in diesem Themenkomplex durch Unternehmen an uns herangetragen werden. Haben Sie bereits einen Datenschutzbeauftragten oder kennen Sie die Risiken, die Sie absichern sollten ? Kennen Sie die neuen Verpflichtungen des Bundesdatenschutzgesetzes und der geplanten EU Novellen?