Beiträge

GDPR DSGVO-Konformität mit einer Facebook Fanpage möglich?

Sie haben die DSGVO erfolgreich umgesetzt? Wir gratulieren.
Oder tun Sie sich mit einigen Aspekten der DSGVO noch ein wenig schwer? Dann brauchen Sie noch ein paar Tools und Checklisten, die Sie hier finden.
Anfang Juni haben wir unsere Leser informiert, dass die neue DSGVO sich mit Facebook nicht vereinbaren lässt.  Dabei machten wir einige konkrete Vorschlage was mit der Firmenseite auf Facebook zu tun sei in Sachen DSGVO oder GDPR Compliance.
Grund war das EuGH-Urteil vom 2018-06-05 in der Rechtssache C-210/16.
Dieses Urteil hat im Rechtsstreit 2011 zwischen dem Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD) und dem IHK Schleswig-Holstein – stellvertretend für die Wirtschaftsakademie Schleswig-Holstein und alle Betriebe Schleswig-Holsteins – die folgende Entscheidung gefällt:

    Der Betreiber einer Facebook „Fan-Page“ (z.B. Schulen, Unternehmen, öffentliche Verwaltungen) ist durch die von ihm vorgenommene Parametrierung (Zielpublikum, Ziele der Steuerung oder Förderung seiner Tätigkeiten) an der Sammlung der personenbezogenen Daten der Besucher beteiligt.

Das heisst, das Unternehmen ist neben Facebook ebenfalls mit dafür verantwortlich, was mit den persönlichen Daten der Besucher der Firmenseite auf Facebook geschieht.

Update gefällig?

Tragen Sie sich in unseren Verteiler ein, bleiben Sie auf dem Laufenden und erhalten Sie jeweils eine Reminder-Mail, sobald es neue Infos zu EU-Datenschutz, Marketing und Compliance gibt.
[su_box title=“Weitere wichtige News zum EU-Datenschutz“ box_color=“#86bac5″ radius=“9″ class=“alignlcenter max-width: 700px“]
2018 EU Datenschutz: Marketing aufgepasst
2018 EU Datenschutz: Personalrekrutierung oder kostenlose Pizza gefällig?
2018 EU Datenschutz: KMU, was nun?
2018 EU Datenschutz-Ratgeber: Facebook Likes und DSGVO: Ist der Bewerber drogensüchtig?
2018 EU Datenschutz Compliance mit Google Analytics  (März 2018)
5 Alternativen zu Facebook Messenger und WhatsApp   (April 2018)
2018 EU Datenschutz Compliance mit Cookies  (Mai 2018)
2018 DSGVO umgesetzt: Facebook-Fanpages und das EuGH-Urteil (Juni 2018)
Facebook Update für Fanpages oder Firmenseiten – DSGVO Compliance (Sie sind hier)
#MCLago 2018 EU Datenschutz: Marketing – September 2017
#MCLago 2018 EU Datenschutz: Marketing Trends – März 2018
#MCLago 2018 EU Datenschutz: Compliance Ressource Seite – Tools, Checklisten (April 2018, regelmässige Updates z.B. Mai 2018)
MC Stuttgart-Heilbronn – DSGVO: Tipps
#MCLago 2018 EU Datenschutz: Workshop für Marketing Fachleute – 8. März 2018

Marcom Suisse 5 Monate DSGVO – Erfahrungen – Auswirkungen – Workshop – 30. Oktober 2018

[/su_box]

1. Facebook Update

Nun macht sich Facebook an den Roll-Out eines Updates. Dieser hilft, die Firmenseite auf Facebook datenschutzkonform zu betreiben. Sie sollten nun unbedingt die folgenden Schritte veranlassen.
Diese werden ebenfalls in die Richtlinien für Seiten, Gruppen und Veranstaltungen integriert und in der Seiten-Insights Ergänzung auf Facebook erklärt.

Was ist eine Fanpage?

Wenn eine Firma/ein Unternehmen eine Page auf Facebook betreibt, welche Facebook Nutzer Liken können.
Dies kann für ein Produkt (Magnum Eis, Migros Ice Tea) oder das Unternehmen selber sein (z.B. Migros, Douglas, Mercedes und BMW).

Unternehmen generieren Likes auf Facebook. Eine Facebook Fanpage war bisher nicht DSGVO-konform.

Unternehmen generieren Likes auf Facebook. Eine Facebook Fanpage war bisher nicht DSGVO-konform.


Aber auch Vereine oder Städte wie Köln, München und Zürich, usw. oder aber auch ein Bundesministerium können eine Facebook Fanpage betreiben.
Und was nun?
[su_box title=“Facebook stellt Dokument über „Ergänzung“ zur Verfügung“ box_color=“#86bac5″ radius=“9″ class=“alignlcenter max-width: 700px“]
1.  Sie oder die verantwortliche Person für die Fanpage wird in den nächsten Tagen eine Mitteilung von Facebook erhalten. Diese wird Sie informieren, dass die Seiten-Insights-Ergänzung in die Richtlinien für Seiten, Gruppen und Veranstaltungen integriert wird.
2.  Ebenfalls müssen Sie sicherstellen, dass auf Ihrer Fanpage im Informationsbereich unter Datenrichtlinie ein Link zu Ihrer Datenschutzerklärung aufgeführt wird. Dieser Link muss den Fanpage-Nutzern angezeigt werden.
3. Ergänzen Sie in Ihrer Datenschutzerklärung mit einem Textbaustein, der die Nutzer (z.B. Kunden) darauf hinweist, dass hier eine gemeinsame Verantwortlichkeit zwischen ihrem Unternehmen und Facebook besteht. Als Rechtsgrundlage sollten Sie auf z.B. Art. 6 Abs. 1 S. 1 lit. (a), (b), (f) DSGVO hinweisen. Hier gilt in der Praxis vor allem (f)):

f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.
Unterabsatz 1 Buchstabe f gilt nicht für die von Behörden in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung. 

Informieren Sie über Verantwortlichkeiten. Laut einem englischen Hinweis von Facebook können diese zusätzlichen Angaben zum verantwortlichen Unternehmen sowie auch dessen Datenschutzbeauftragten einschließlich deren Kontaktdaten im Bereich

  • „About“ über
  • “Edit Page Info”

eingetragen werden.[/su_box]
Diese Schritte vermindern das datenschutzrechtliche Risiko beim Betrieb einer Fanpage oder Firmenseite auf Facebook enorm.
Aber einige Experten sind der Meinung, dass immer noch einige Fragen nicht geklärt sind. Zum Beispiel ist unklar, inwiefern das EUGH-Urteil auch für Facebook-Gruppen und z.B. Instagram oder Xing gilt. Deshalb ist dies noch nicht abschliessend bewertbar.

2. Was ist Ihre Meinung?

Die neue  EU Datenschutz Grundverordnung (EU DS-GVO oder DSGVO) wie auch die ePrivacy-Verordnung stellen neue Anforderungen an die Compliance.
ACHTUNG! Diese Problematik betrifft auch Ihre betriebliche Instagram-Seite für den Betrieb, die Marke oder anderes! Warum? Ganz einfach, weil Instagram- und Facebook-Konto/-Seiten ja verbunden sind!

Wie diese gemeinsame Verantwortung zwischen Facebook und Firmen die eine Fanpage oder Gruppe auf Facebook betreiben konkret aussehen wird, ist unklar.
Doch jetzt ist Facebook am Zuge und muss die entsprechenden Optionen implementieren, welche es den Fanpage Betreibern ermöglichen, die Daten der Fans/Followers gemäss DSGVO zu schützen. 

Aber was uns natürlich brennend interessieren würde, wäre Ihre Meinung:

  • Haben Sie die Facebook Fan-Seite vom Unternehmen schon auf unsichtbar eingestellt und nach der obigen Anpassung wieder auf sichtbar eingestellt?
  • Was ist Ihrer Meinung die grösste Herausforderung mit der DSGVO und dem EuGH-Urteil?

Offenlegung: Der Autor / Blogger weist darauf hin, dass einige der erwähnten Unternehmen Kunden von CyTRAP Labs GmbH sind und / oder DrKPI® Services und Produkte abonniert haben / beziehen.

Datenschutzgrundverordnung bringt viel zusätzliche Arbeit. | Copyright iStock id680359574

Sie haben die DSGVO erfolgreich umgesetzt? Wir gratulieren.
Oder tun Sie sich mit einigen Aspekten der DSGVO noch ein wenig schwer? Dann brauchen Sie noch ein paar Tools und Checklisten, die Sie hier finden.
Und nun das: Am Dienstag dieser Woche kam der Paukenschlag: Das EuGH-Urteil vom 2018-06-05.
Dieses Urteil hat im Rechtsstreit 2011 zwischen dem Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD) und dem IHK Schleswig-Holstein – stellvertretend für die Wirtschaftsakademie Schleswig-Holstein und alle Betriebe Schleswig-Holsteins – eine Entscheidung gefällt:

    Der Betreiber einer Facebook „Fan-Page“ (z.B. Schulen, Unternehmen, öffentliche Verwaltungen) ist durch die von ihm vorgenommene Parametrierung (Zielpublikum, Ziele der Steuerung oder Förderung seiner Tätigkeiten) an der Sammlung der personenbezogenen Daten der Besucher beteiligt.

Das heisst, das Unternehmen ist neben Facebook ebenfalls dafür verantwortlich, was mit den persönlichen Daten der Besucher der Firmenseite auf Facebook geschieht.
Dies hat trotz des Alters des Falls (von 2011) jetzt Folgen. Denn nach der DSGVO macht die externe Datenverarbeitung (d.h. in diesem Falle bei Facebook) einen Datenverarbeitungsvertrag zwischen dem Unternehmen und Facebook zwingend. Da nach dem Urteil das Unternehmen mitverantwortlich ist für diese Daten, muss es auch wissen, wie Facebook diese sichert.
Aber hier wird Facebook kaum die Bücher offen legen wollen…
PS. Überraschend ist das Urteil nicht, denn im Oktober 2017 hat der Generalanwalt des Europäischen Gerichtshofes (EuGH) ja schon vorgeschlagen,dem ULD in dieser Sache Recht zu geben.
In der Mehrzahl solcher Fälle richtet sich das EuGH in der Rechtssprechung nach dem Generalanwalt. Dies wurde im White Paper vom Deutschen Marketing Verband im Herbst 2017 erklärt (siehe 2. revidierte Auflage, April 2018, zum Download hier: https://mclago.com/best-practice-5/ ).
PPS. Was ist eine Fanpage? Wenn eine Firma/Unternehmen eine Page auf Facebook betreibt welches Facebook Nutzer Liken können.
Dies kann für ein Produkt (Magnum Eis, Migros Ice Tea) oder das Unternehmen selber sein (z.B. Migros, Douglas, Mercedes und BMW).
Aber auch Vereine oder Städte wie Köln, München und Zürich, usw. oder aber auch ein Bundesministerium können eine Facebook Fanpage betreiben.
Und was nun?
Wir erklären was Sache ist und lassen Sie an einigen amüsanten und weniger amüsanten Anekdoten teilhaben.

Update gefällig?

Tragen Sie sich in unseren Verteiler ein, bleiben Sie auf dem Laufenden und erhalten Sie jeweils eine Reminder-Mail, sobald ein neues Thema zu EU-Datenschutz, Marketing und Compliance veröffentlicht wird.
[su_box title=“Weitere wichtige News zum EU-Datenschutz“ box_color=“#86bac5″ radius=“9″ class=“alignlcenter max-width: 700px“]
2018 EU Datenschutz: Marketing aufgepasst
2018 EU Datenschutz: Personalrekrutierung oder kostenlose Pizza gefällig?
2018 EU Datenschutz: KMU, was nun?
2018 EU Datenschutz-Ratgeber: Facebook Likes und DSGVO: Ist der Bewerber drogensüchtig?
2018 EU Datenschutz Compliance mit Google Analytics  (März 2018)
5 Alternativen zu Facebook Messenger und WhatsApp   (April 2018)
2018 EU Datenschutz Compliance mit Cookies  (Mai 2018)
2018 DSGVO umgesetzt: Facebook-Fanpages und das EuGH-Urteil (Juni 2018) (Sie sind hier)
#MCLago 2018 EU Datenschutz: Marketing – September 2017
#MCLago 2018 EU Datenschutz: Marketing Trends – März 2018
#MCLago 2018 EU Datenschutz: Compliance Ressource Seite – Tools, Checklisten (April 2018, regelmässige Updates z.B. Mai 2018)
MC Stuttgart-Heilbronn – DSGVO: Tipps
#MCLago 2018 EU Datenschutz: Workshop für Marketing Fachleute – 8. März 2018

Marcom Suisse 5 Monate DSGVO – Erfahrungen – Auswirkungen – Workshop – 30. Oktober 2018[/su_box]

EuGH-Urteil 2018-06-05 in der Rechtssache C-210/16

Wie oben erwähnt, haben auch wir oder der Marketing Club Lago keinen Datenverarbeitungsvertrag mit Facebook.
Aber was können wir anstelle von Facebook-Seiten oder auch Facebook-Gruppen anbieten? Wir wollen schließlich medial präsent bleiben und unsere „Fans“ auf eine für sie bequeme Art über Neuigkeiten informieren.
Klar sind 2 Dinge:

  1. Facebook’s Zentrale in Ireland ist verantwortlich und
  2. obwohl der Seitenbetreiber, d.h. das Unternehmen, die Datenverarbeitung von Facebook weder kontrollieren noch beeinflussen kann, ist dieses ebenfalls haftbar – und dies beginnt schon wenn die Seite aufgerufen wird.

Gutes Risiko-Management verlangt nun, dass wir die Seite löschen, bevor es Probleme gibt. Wow, gibt es eine andere Lösung?
Die Antwort ist: Ja, es gibt eine Alternative. Die Lösung wäre, die Seite als Betreiber vorübergehend „nicht sichtbar“ zu machen, bis Facebook eine Option bereithält, die das Speichern von Daten explizit ausschliesst.

Facebook Firmenseite „nicht sichtbar“ machen: So geht es
  • Klicken Sie auf „Seite bearbeiten“ oder „Manage Page“
  • Settings oder Einstellungen (siehe Screenshot unten) und
  • Option „Seite nicht veröffentlichen“ auswählen.

Diese kann nun von keinem Nutzer mehr eingesehen werden, ausgenommen dem Administrator der Firmenseite. Dann heißt es erst einmal: Warten.

EuGH Urteil vom 2018-06-05, Rechtssache C-210/16: So machen wir die Firmenseite auf Facebook, oder unsere Gruppe unsichtbar.

EuGH-Urteil vom 2018-06-05, Rechtssache C-210/16: So machen wir die Firmenseite auf Facebook, oder unsere Gruppe unsichtbar.


PS. Die Problematik ist, dass wenn wir einen Einholung der Zustimmung zur Datenverarbeitung sichern möchten, um unsere Seite online zu lassen, muss der Nutzer vor dem Besuch gefragt werden. Wird die Zustimmung erst dann eingeholt, wenn die Seite aufgerufen wurde, ist diese unwirksam. In diesem Moment hat ja die Datensammlung von Facebook schon begonnen, obwohl der Nutzer noch nicht zugestimmt hat.
Aus diesem Grunde habe ich z.B. die Marketing Club Lago Facebook-Seite auf Offline geschaltet.

2. Best Practice: Datenschutz-Board etablieren

Sie sehen schon, das Urteil vom EuGH verlangt, dass wir sachgemäss interpretieren und dann fachlich richtig umsetzen, was verlangt wird.
Da fällt mir ein Zitat eines Kollegen ein, dem ich nur zustimmen kann:

DSGVO … Und mich beschleicht das Gefühl, das eigentlich keiner genau weiß worum es eigentlich dabei geht.

Die DSGVO umzusetzen ist für uns alle nicht einfach. Dabei ist es auch nicht die beste Lösung, alles einfach dem Datenschutz-Beauftragten zu übertragen.
Neben rechtlichen Dingen hilft es auch ein gewisses Verständnis für End-User an den Tisch zu bringen (Psychologie). Denn der Datenschutz-Beauftragte weiß nicht immer, wie die End-User über die Umsetzung denken. Beispielsweise kann es passieren, dass ein Influencer beginnt sich über ein Brand lustig zu machen…

Recht, Informatik, Psychologie und Augenmass helfen bei der effektiven Umsetzung und Governance bei der DSGVO.

Recht, Informatik, Psychologie und Augenmass helfen bei der effektiven Umsetzung und Governance bei der DSGVO.


Natürlich hilft uns auch ein gewisses Know-How auf dem Gebiet der Informatik, um zu verstehen, wie schwierig es ist gewisse Risiken abschätzen zu können.
Viele Probleme werden mit einem Datenschutz-Board verkleinert. Im Datenschutz-Board haben der Datenschützer, IT-Sicherheits-Beauftragte, Marketing, Risk Management und das für Datenschutz verantwortliche Vorstandsmitglied Einsitz zu nehmen.
Nur dieses geballte Know-How sichert die DSGVO-Umsetzung nach Best Practice.

3. USA und EU – Datenschutz

Die neuesten Vorwürfe gegen Facebook besagen, dass das Unternehmen Nutzerdaten von Users und deren Freunden an ca. 60 Gerätehersteller weitergegeben hat. Facebook begründete dieses Verhalten mit dem Ziel, dadurch Nutzern von Apple, Samsung, Amazon und anderen Geräten ein „gutes-Erlebnis“ auf dem Social Network zu sichern.
Facebook scheint hier aber den „Verkauf von Daten“ falsch zu verstehen. Daten werden gewinnbringend weitergegeben und dann wird trotzdem behauptet, sie seien nicht verkauft worden.
Was auch auf Unverständnis stösst, ist, dass Facebook-intern die Weitergabe an Hersteller nicht als Weitergabe an Drittpartien eingestuft wurde. Man betrachtete dies als verlängerter Arm des Unternehmens. Somit erhielten die Hersteller vollen Datenzugriff wie Facebook auf seiner Webseite in einem Statement zu erklären versucht.

Unterschiede zwischen USA, Europa und was die Grundverordnung sonst noch bringt.

Unterschiede zwischen USA, Europa und was die Grundverordnung sonst noch bringt.


Die Senatoren Richard Blumenthal und Ed Markey haben nun Mark Zuckerberg einen Brief gesandt und ihn aufgefordert, deren Fragen zu beantworten. Speziell geht es darum, wie und warum Nutzerdaten mit Apple, BlackBerry und Samsung geteilt wurden.
Im April 2018 wurde in San Franzisko eine Sammelklage gegen Facebook genehmigt. In dieser beschweren sich Illinois Bewohner dass deren biometrische und Gesichtsdaten gespeichert wurden, ohne deren Zustimmung vorher einzuholen. Laut dem Illinois Privacy Gesetz von 2008 ist dies jedoch Pflicht.
In den USA ziehen Konsumenten und Verbraucher-Organisationen mit Hilfe von Sammelklagen und Schadensersatz-Forderungen gegen Unternehmen los. In Europa sind es eher die Europäische Kommission, die versucht, die Technologie-Unternehmen mit Geldbussen (siehe Google 2017, 2.6 Milliarden Euro) in Schach zu halten.

4. Risiko Management

Risiko Management ist insofern schwierig, weil man nicht immer wissen kann, dass jemand heimlich in das eigene Haus eingedrungen ist.
Ein Beispiel ist das IT-Netzwerk der Bundesregierung. Der Angriff auf den IVBB (Informationsverbund Bonn-Berlin) war seit Dezember 2017 intern bekannt. Dieser Digitale Hausfriedensbruch wurde der Bundesregierung jedoch schon einige Zeit vorher durch eine befreundete Organisation mitgeteilt.
Doch diese Information des erfolgreichen Anzapfen des IVBB wurde der Öffentlichkeit erst Ende Februar 2018 mitgeteilt. Auch hier wurde das laut DSGVO lautende 72 Std. Fenster wurde nicht eingehalten!

GDPR und Risiko Management, nicht einfach.

GDPR und Risiko Management, nicht einfach.


Lieder können wir nur dann die 72 Std. Frist für das Reporting der Kunden und der zuständigen Datenschutzbehörde einhalten, wenn uns der Hackerangriff überhaupt aufgefallen ist. Ansonsten kann es wie frühere Fälle zeigen Monate dauern, bis der digitale Hausfriedensbruch festgestellt wird. Von der Dunkelziffer ganz zu schweigen.
Da hilft natürlich auch diese Antwort nicht unbedingt:

Datenschützer ist für die „formalen“ Themen bestellt.
Ich glaube, daß ich ihn mit diesen Fragen überfordere – er hat keine Ahnung vom Datenschutz in einem Multibrand Unternehmen.

Ein weiteres Beispiel:

Das grösste Problem ist, dass z.B. die Niederlassung im Land A ein double-opt-in für den Newsletter hat für Kunde Müller aber ich das z.B. in Deutschland nicht weiss. Die Folge ist, dass ich die Person entferne und Land A den weiterhin mit Informationen beliefert. Diese Datenbanken müssen überprüft werden, ein Riesending.

Haben Sie das Problem gelöst?

Welche Codes werden mit Hilfe vom Cookie auf meinem Gerät ausgeführt? Datenschutz und Sicherheit.

Welche Codes werden mit Hilfe vom Cookie auf meinem Gerät ausgeführt? Datenschutz und Sicherheit.

5. Was ist Ihre Meinung?

Die neue  EU Datenschutz Grundverordnung (EU DS-GVO oder DSGVO) wie auch die ePrivacy-Verordnung stellen neue Anforderungen an die Compliance.
Wir haben hier auf die Herausforderung in Sachen Compliance und Datensicherheit hingewiesen und auch darauf, was es für Facebook bedeutet.
ACHTUNG! Diese Problematik betrifft auch Ihre betriebliche Instagram-Seite für den Betrieb, die Marke oder anderes! Warum? Ganz einfach, weil Instagram- und Facebook-Konto/-Seiten ja verbunden sind!

Wie diese gemeinsame Verantwortung zwischen Facebook und Firmen die eine Fanpage oder Gruppe auf Facebook betreiben konkret aussehen wird, ist unklar.
Doch jetzt ist Facebook am Zuge und muss die entsprechenden Optionen implementieren, welche es den Fanpage Betreibern ermöglichen, die Daten der Fans/Followers gemäss DSGVO zu schützen. 

Aber was uns natürlich brennend interessieren würde, wäre Ihre Meinung:

  • Haben Sie auch ein paar Müsterchen von Kollegen oder der Arbeit zum DSGVO?
  • Haben Sie die Facebook Fan-Seite vom Unternehmen schon auf unsichtbar eingestellt (siehe Screenshot oben?). Warum oder aber warum nicht?
  • Was ist Ihrer Meinung die grösste Herausforderung mit der DSGVO und dem EuGH-Urteil?

Offenlegung: Der Autor / Blogger weist darauf hin, dass einige der erwähnten Unternehmen Kunden von CyTRAP Labs GmbH sind und / oder DrKPI® Services und Produkte abonniert haben / beziehen.

Wir besuchen einander und reden Angesicht zu Angesicht, spart Zeit | Urheber Death to Stock

Was nützt mir die beste Social Media Marketing Strategie? Was bringt mehr Earned Media oder Word-of-Mouth dank eines Influencers, wenn alles im Datengau endet wie bei Facebook und Cambridge Analytica?
Den derzeitigen Status meiner Beziehung mit dem sozialen Netzwerk Facebook, WhatsApp, Instagram, usw. könnt man nur als „es ist kompliziert“ umschreiben.
Ich brauche den WhatsApp Messenger Service. Doch Mark Zuckerbergs Besuch vor den Gremien im amerikanischen Senat flösste mir kein Vertrauen ein. Die Datenschutz Grundverordnung (DSGVO) wird auch in Zukunft dieses Unternehmen kaum daran hindern, die Privatsphäre seiner Kunden zu missachten.
John Edwards, Neuseelands Datenschutzbeauftragter beschreibt dies sehr genau in einem Artikel. Er wies Neuseelands 2.5 Mio Facebook Nutzer nach dem Cambridge Analytica Fall darauf hin, dass ein NZ Nutzer sein Recht auf Auskunft welche Daten Facebook über ihn speichert nicht einfordern könne.
Er hatte versucht dies für einen NZ Nutzer zu tun, war aber bei Facebook auf Granit gestossen. Auch der USA Regulator, die Federal Trade Commission, hat sich  Facebook, Dr. Kogut und Cambridge Analytica Datengau angenommen.
Der australische Datenschutzbeauftragte hat nachgefragt „please explain„.  Wie kompliziert der Fall ist und wieviele Firmen involviert sind wird hier im Register sehr gut beschrieben.

Non-Compliant

Aus den obigen Gründen macht es Sinn, die Whats App oder auch Facebook Messenger Service App nicht mehr zu nutzen.
Betriebe dürfen dies sowieso nicht. Facebook wie auch WhatsApp erlauben nur die private Nutzung.
Facebook bietet keinen Auftragsverarbeitungsvertrag an, somit kann ein Unternehmen weder Facebook Messenger noch WhatsApp nutzen.
Ohne Auftragsverarbeitungsvertrag ist die Nutzung einer solchen App auf dem Handy des Unternehmens oder zu Kommunikationszwecken im Betrieb nicht DSGVO compliant.
Aus diesem Grunde stellen wir Ihnen Alternativen vor.  1 Gewinner mit einem Auftragsverarbeitungsvertrag gibt es ebenso!

Update gefällig?

Tragen Sie sich in unseren Verteiler ein, bleiben Sie auf dem Laufenden und erhalten Sie jeweils eine Reminder-Mail, sobald ein neues Thema zum EU Datenschutz, Marketing und Compliance veröffentlicht wird.
[su_box title=“Weitere wichtige News zum EU Datenschutz“ box_color=“#86bac5″ radius=“9″ class=“alignlcenter max-width: 700px“]
2018 EU Datenschutz: Marketing aufgepasst
2018 EU Datenschutz: Personalrekrutierung oder kostenlose Pizza gefällig?
2018 EU Datenschutz: KMU, was nun?
2018 EU Datenschutz Ratgeber: Facebook Likes und DSGVO: Ist der Bewerber drogensüchtig?
2018 EU Datenschutz Compliance mit Google Analytics 
5 Alternativen zu Facebook Messenger und WhatsApp  (sie sind hier)
#MCLago 2018 EU Datenschutz: Marketing – September 2017
#MCLago 2018 EU Datenschutz: Marketing Trends – März 2018
#MCLago 2018 EU Datenschutz: Compliance Ressource Seite – Tools, Checklisten (April 2018 regelmässige Updates)
MC Stuttgart-Heilbronn – DSGVO: Tipps
#MCLago 2018 EU Datenschutz: Workshop für Marketing Fachleute – 8. März 2018
[/su_box]
Punkte einfach anklicken und Sie kommen sofort zur Antwort weiter unten.

Digital Online FAQs: So helfen wir dem Nutzer.

Digital Online FAQs: So helfen wir dem Nutzer.

1. Welche WhatsApp Alternativen stehen zur Diskussion?

Hier 5 häufig genutzte Alternativen zum WhatsApp Messenger. Wir empfehlen aber keine von diesen. Wir erklären auch kurz warum.
[su_box title=“Tabelle 1: 5 WhatsApp Chat Alternativen die wir nicht empfehlen “ box_color=“#86bac5″ radius=“9″ class=“aligncenter max-width: 700px“]

SIMSme

Grundsätzlich muss man die Datenschutzregeln dieser Services genau studieren.
Dies hat die Verbraucherzentrale NRW getan. Z.B. bei der SIMSme App der Deutschen Post.
Nicht ideal: Die SIMSm verlangt die Verbindung mit der Telefonnummern und weiteren Angaben des Nutzers.
Auch die von David Snowden oder Bruce Schneier gepriesenen Signal App funktioniert auf diese Weise, d.h. in beiden Fällen ist die Nutzung nur bei einer Verknüpfung mit der Telefonnummer möglich.
Gut ist, dass bei fast allen Messenger Apps die Ende-zu-Ende-Verschlüsselung Standard ist.

Surespot

Die Applikation Surespot bietet ebenfalls End-to-End-Verschlüsselung an und basiert auf Open Source Code. Sie wird als sicher eingestuft.
Gut: Open Source.

Kik

Diese Messenger App wurde für die Nutzergruppe Teenagers entwickelt und ist für Chatting. Diese App gibt es auch auf dem Google Play Store und der iApp Plattform
Der Service hat neben der Sicherheit den Vorteil, dass keine Telefonnummer angegeben werden muss. Man nutzt einen Username.
Nicht ideal: Keine End-to-End-Verschlüsselung außer im Secret Chat Modus.
Beide oben aufgeführten Messenger Apps sind nicht mit dem Telefon des Nutzers verbunden. D.h. die Registrierung kann ohne Telefonnummer erfolgen.

Persönliche Daten müssen angegeben werden

Signal

Die App Signal von Open Whisper Systems besitzt eine Ende-zu-Ende-Verschlüsselung. Mit dem Messenger können Nutzer Textnachrichten und abhörsichere Telefonate führen. Auch für den Desktop wird ein Client angeboten.
Sicherheit ist natürlich wichtig. WhatsApp wie auch die Nachrichten-Option auf Google Allo-Messenger basieren auf der Open Source Verschlüsselung, die von Signal genutzt wird.

Telegram

Verschlüsselt Daten auf dem Handy, zentral wird kein Schlüssel gespeichert. Das hat dem Service mit dem russischen Inlandgeheimdienst FSB Probleme eingehandelt. Hier findest du Telegram Messenger App für Android, iPhone und Windows.
Der Service wird vor allem in Kriegsgebieten und in totalitären Staaten wie z.B. Syrien und Iran von Bürgern für Informationszwecke genutzt.  [/su_box]
Viele Messenger Applikationen sind über die letzten 3 Jahre verschwunden.
Swisscom lancierte 2013 deren io App für Chat und Telefonie. Aber nicht einmal ein Video mit Tina Turner verhinderte die Einstellung der App im August 2017.
Laut Swisscom Corporate Communication war der Grund mangelnde Marketakzeptanz der io App.
Doch mit ein bisschen mehr Geduld und der Swisscom PayApp integriert, wäre das sicherlich was geworden. Aber das braucht Geduld und eine Vision, um den Walk durch das Valley of Death durchzuhalten. Das scheint der Swisscom sowie auch bei anderen abhanden gekommen zu sein.
Die 10 Vollzeit Mitarbeiter wurden anderweitig eingesetzt.

2.  3 tolle Alternativen für WhatsApp

Noch bessere Alternativen finden Sie hier.
[su_box title=“Tabelle 2: Zwei WhatsApp Chat Alternativen die wir empfehlen “ box_color=“#86bac5″ radius=“9″ class=“aligncenter max-width: 700px“]

Threema

Den Service für Google Android, iPhone und Windows kann hier runtergeladen werden. Threema Web auf dem PC gibt es auch. Auch verschlüsselte Internet Telefonie ist möglich. Die Anmeldung kann anonym, ohne Telefonnummer oder E-Mail-Adresse bewerkstelligt werden.
Kontakte werden in drei Sicherheitsstufen dargestellt. Um die sicherste Stufe zu erreichen, müssen beide Gesprächspartner deren Identitäten über das Scannen eines QR-Codes bestätigen.
2014 hat die Stiftung Warentest diesen aus 5 Services als den einzig sicheren klassifiziert.

Hoccer

Auch dies ist ein Service, der die anonyme Registrierung wie bei Kik und Threema zulässt. Auch dieser ist sicher wie Threema laut Stiftung Warentest.

Teamwire

Diese App bietet eine Enterprise Solution an. DSGVO konform mit Checkliste, d.h. dieses System ist nicht für den privaten Gebrauch konzipiert. Inwiefern die Datenauftragsverarbeitung festgelegt ist, konnten wir auf der Webseite aber nicht eruieren.

Fazit

Threema und Hoccer verlangen keine Daten bei der Registrierung und halten sich an die DSGVO Datenschutzrichtlinien.
Wichtig ist auch, dass das Adressbuch nicht synchronisiert wird. D.h. es wird nicht mit bereits vorhandenen Messenger-Nutzern abgeglichen. Wenn Daten anfallen, werden diese umgehend wieder gelöscht.
Threema und Teamwire bieten eine Work oder Enterprise Solution an.

Die Threema und Teamwire kann DSGVO konform aufgesetzt werden.  Threema empfiehlt sich im Enterprise wie auch privaten Umfeld.

[/su_box]
Ich habe auch einige Fragen an Threema gestellt, denn ich wollte wissen, inwiefern die Applikation DSGVO compliant ist.
Vor allem ging es mir auch darum, welche Art von Vertrag Threema offeriert, damit die Auftragsverarbeitung von persönlichen Daten wie z.B. Telefonnummern von Mitarbeitern, klar festgelegt ist.
Das heisst, als Unternehmen kann ich die Work Threema Lösung kaufen. Um diese jedoch DSGVO compliant einzusetzen, brauche ich einen Auftragsverarbeitungsvertrag mit Threema. Das ist die erste Hürde auf dem Wege zur Erreichung der DSGVO Compliance.
Die Antwort, welche ich erhielt ist unten:

From: „Threema Support“ <support@threema.ch>
Subject: [#544459] Datenverarbeitung
Date: 10 April 2018 at 16:35:18 CEST
To:
— write your reply above this line —
Ihre Supportanfrage #544459 wurde untenstehend beantwortet. Bitte lassen Sie die
Ticketnummer im Betreff stehen, wenn Sie auf diese E-Mail antworten.
———-

Guten Tag

Grüezi Herr Gattiker

Vielen Dank für Ihre Anfrage und Ihr Interesse an Threema Work. Gerne gehe ich nachfolgend
auf Ihre Fragen ein:

1. Informationen zur DSGVO-Konformität
Bei Threema stehen Sicherheit und Schutz der Privatsphäre der Nutzer seit jeher im
Zentrum. Um den Anforderungen der DSGVO zu genügen, waren keinerlei technische Anpassungen
nötig. Der Konformität mit der DSGVO liegen formale Aspekte zugrunde. Zwei Beispiele: Das
Gesetz gibt Eckpunkte vor, die in einer Datenschutzerklärung vorhanden sein müssen. Die
Zustimmung zur Datenschutzerklärung ist Voraussetzung zur Nutzung unserer Dienstleistung,
was auf eine Vorgabe der DSGVO zurückgeht. Die Vorgaben der DSGVO finden Sie unter

2. Vereinbarung zur Auftragsdatenverarbeitung
In der Regel senden wir ein solsches Dokument kurz vor der eigentlichen Beschaffung zu.
Daher möchten wir Sie gerne bitten, nähere Angaben zu Ihrem Use-Case zu notieren:

• Erwartete Anzahl Nutzer nach Abschluss der Testphase (sofern nicht die verbandsweite
Verteilung greift)
• Betriebssysteme der mobilen Endgeräte
• Skizzierung der wichtigsten Kommunikationsszenarien
• Eingesetzte MDM Lösung, falls vorhanden
• Vorgesehener Zeitraum für das POC, aktueller Stand der Evaluation
• Anforderungen / Vorgehen bei Fluktuation der Mitglieder in Bezug auf Chat-Inhalte und
App-Zugang

Unser Merkblatt Sicherheit und Datenschutz enthält übrigens alle wichtigen Punkte:
https://work.threema.ch/de/docs/resources.

Weitere nützliche Links:
– Ratgeber zu Bestellprozess, Rollout, Konfiguration etc.: https://work.threema.ch/hilfe
– Details zu App Funktionen, Sprachanrufen und Desktopverwendung: https://threema.ch/faq

Mit freundlichen Grüssen,
Threema Support

———-

Die Antwort zeigt, dass wir noch einiges an Arbeit vor uns haben, wenn wir dies DSGVO compliant mit Threema Support umsetzen wollen. Ich hätte die Informationen gerne vorher eingesehen, bevor ich anfange, die App als Unternehmen oder Verein zu testen.
Aber Kundenservice ist eine hohe Kunst…

Threema App: DSGVO konform/compliant.

Threema App: DSGVO konform/compliant.

3. Was ist Ihre Meinung?

Die neue  EU Datenschutz Grundverordnung (EU DS-GVO oder DSGVO) wie auch die ePrivacy-Verordnung stellen neue Anforderungen an die Compliance.
Wir haben hier auf die Herausforderung in Sachen Compliance und Messenger Apps hingewiesen.
Was sich nicht empfiehlt, ist die WhatsApp Messenger App oder auch die weiteren in Tabelle 1 oben aufgelisteten Apps zu nutzen. Da keine Vereinbarung für die Verarbeitung der Daten mit dem Provider gemacht werden kann, sind die Dinge nicht DSGVO compliant.
Aber was uns natürlich brennend interessieren würde, wäre Ihre Meinung:

  • Haben Sie schon überprüft, ob Ihre Messenger App DSGVO compliant ist?
  • Wie werden Sie diese Herausforderung angehen?
  • Haben wir eine wichtige Messenger App hier vergessen welche Sie kennen?  Weisen Sie uns auf diese unten hin.
  • Nutzen Sie WhatsApp oder Skype auf dem Firmenhandy?

Obwohl Threema für Firmen eine gute Lösung ist, ist es schwierig die notwendigen Dokumente online zu finden inklusive Auftragsverarbeitungsvertrag.
Wie diese letztendlich aussehen, müsste Threema den Kunden Online zum Download anbieten. Das machen andere Firmen wie Salesforce oder Amazon Cloud Services schon lange.
Offenlegung: Der Autor / Blogger weist darauf hin, dass einige der erwähnten Unternehmen Kunden von CyTRAP Labs GmbH sind und / oder DrKPI® Services und Produkte abonniert haben / beziehen.

4. Weitere Ressourcen

Hier noch weitere Informationen, die wichtig sind.
[su_box title=“Tabelle 3: Weitere interessante Häppchen zur Problematik Datenschutz “ box_color=“#86bac5″ radius=“9″ class=“aligncenter max-width: 700px“]
Es gibt mehr zum Thema Influencer Marketing, Measurement und Word-of-Mouth Marketing und nochmals mehr zu Word-of-Mouth Marketing.
Der Datenschützer für Neuseeland hat eine Seite, die erklärt, wie man seine Seite auf Facebook löscht.
Doch auch Daten wie Fotos und Likes von gelöschten Seiten auf Facebook sind hier noch erhältlich.

Risk Assessment in der Cloud

Der Fall Dr. Aleksandr Kogan, Facebook and Cambridge Analytics illustriert ebenfalls, dass ein Unternehmen kaum überprüfen kann, ob Facebook die notwendigen Vorkehrungen zur Datensicherheit vorgenommen hat. Das müsste die Firma, denn nur durch Überprüfung kann der Betrieb sicherstellen, dass der Datenschutz der persönlichen Daten seiner Fans von der Firmenseite auf Facebook nach der DSGVO genüge getan wird.
Ob ein Unternehmen in der Lage ist, die Einhaltung der Richtlinien oder der DSGVO für deren Cloud Computing bei Amazon, Dropbox, Google, Microsoft oder Salesforce zu überprüfen, darf hinterfragt werden.
Apple hat dies in den iCloud Nutzungsbedingungen gelöst, nur private Nutzer sind zugelassen. Unter „Ziffer IV. Nutzung des Dienstes durch dich.“ Abschnitt A „Dein Account“ schreibt Apple:
Außerdem stimmst du zu, dass der Dienst nur für den privaten Gebrauch bestimmt ist (…) https://www.apple.com/legal/internet-services/icloud/de/terms.html
iCloud is not DSGVO compliant, nach Apple Nutzungsbedingungen [/su_box]

30 Jahre Chat Apps: Was hat sich geändert? Wenige sind erfolgreich, noch mehr wurden eingestellt. Noch weniger sind DSGVO compliant.

30 Jahre Chat Apps: Was hat sich geändert? Wenige sind erfolgreich, noch mehr wurden eingestellt. Noch weniger sind DSGVO compliant.

5. Facebook / Cambridge Analytica Datengau: Durch DSGVO /GDPR verhindert?

Das ist sicherlich eine interessante Frage, welche wir in 3 Punkten unten in der Tabelle beantworten.
[su_box title=“Hätte die DSGVO die Facebook Data Analytica Geschichte verhindern können? “ box_color=“#86bac5″ radius=“9″ class=“aligncenter max-width: 700px“]

1. Schritt: Dr. Aleksandr Kogan von der Cambridge Universität

Er würde unter der DSGVO oder GDPR von den Teilnehmern seiner kurzen Umfrage das Einverständnis benötigen, bevor er Zugang zu deren persönlichen Daten auf Facebook bekommt.

2. Schritt: Dr. Kogan braucht die Zustimmung von Facebook

Dr. Kogan müsste die Einwilligung von Facebook einholen, um diese Daten an Cambridge Analytica weiter geben zu können.
Dies hätte er auch nach den Facebook Bestimmungen tun müssen.

3. Schritt: Cambridge Analytica muss betroffene Facebook Nutzer informieren

Cambridge Analytica müsste alle betroffenen Nutzer informieren, d.h. laut Facebook wären dies 82 Mio. Nutzer auf der ganzen Welt, dass deren Informationen für politische Zwecke genutzt werden sollen.
Diese könnten aber nach DSGVO deren Zustimmung verweigern.
Laut DSGVO können Personendaten für politische Kampagnen genutzt werden, jedoch nur zur Zusammenstellung von Newsletters oder aber Wahllisten. Erwägungsgrund 56 der DSGVO sagt dazu:

Wenn es in einem Mitgliedstaat das Funktionieren des demokratischen Systems erfordert, dass die politischen Parteien im Zusammenhang mit Wahlen personenbezogene Daten über die politische Einstellung von Personen sammeln, kann die Verarbeitung derartiger Daten aus Gründen des öffentlichen Interesses zugelassen werden, sofern geeignete Garantien vorgesehen werden.

PS. Im Weiteren wäre Facebook unter der DSGVO verpflichtet gewesen, das Wissen zu diesem Datenmissbrauch dem für sie zuständigen Datenschutzbeauftragten in Irland innerhalb von 72 Std. zu melden.
Das gilt auch als Zeitfenster und innerhalb dieses Zeitfensters hätten die betroffenen Nutzer, d.h. Kunden von Facebook, informiert werden müssen.
Wohlgemerkt, Facebook wusste dies seit spätestens 2015!
[/su_box]
Bitte nicht vergessen: Wenn Sie ein Geschäftshandy nutzen, dann sollten Sie WhatsApp nicht nutzen.
Es kann okay sein, die App auf dem privaten Handy für private Chats nutzen.
Doch auch hier empfiehlt sich Threema.

Message auf dem Handy eingeben | Death to Stock, Wired9

Message auf dem Handy eingeben | Death to Stock, Wired9

Die interessanten Themen fallen bei den Teilnehmern auf hohes Interesse. | Urheber: Sandra Blaser Photography

In Kürze: Die beste Social Media Marketing Strategie bringt nichts, wenn Kundendaten für unsere Word-of-Mouth Influencer Kampagne nicht EU-Datenschutz-Grundverordnung (DSGVO) konform genutzt, verwaltet und bei verlangen gelöscht werden.
Auch Google Analytics Nutzer sollten sich vorbereiten und schnellstens einige Dinge in die Wege leiten.
Whitepaper vom Competence Circle Digital Marketplaces oder kurz #CCdigitalM vom Deutschen Marketing Verband:
Gattiker, Urs E., Temmen, Taina, & Sinistra, Patrizia (2018-04, 2 rev. Auflage). EU-Datenschutzgrundverordnung (DSGVO): Was ist Sache für Marketing Manager, Geschäftsleitung und Vorstand? White Paper Serie. Düsseldorf: Deutscher Marketing Verband e.V. (DMV). Aufgerufen am 2017-12-01 auf https://MCLago.com/download/13/   (Wegen Nachfrage, 2 revidierte Auflage)
Der nachfolgende Beitrag aus unserer Reihe zum neuen DSGVO. Er zeigt auf, welche Dinge Marketing, Personalfachleute und Manager berücksichtigen müssen.

Update gefällig?

Tragen Sie sich in unseren Verteiler ein, bleiben Sie auf dem Laufenden und erhalten jeweils eine Reminder-Mail, sobald ein neues Thema zum EU Datenschutz, Marketing und Compliance veröffentlicht wird.
[su_box title=“Weitere wichtige News zum EU Datenschutz“ box_color=“#86bac5″ radius=“9″ class=“alignlcenter max-width: 700px“]
2018 EU Datenschutz:  Marketing aufgepasst
2018 EU Datenschutz:  Personalrekrutierung oder kostenlose Pizza gefällig?
2018 EU Datenschutz: KMU, was nun?
2018 EU Datenschutz Ratgeber: Facebook Likes und DSGVO: Ist der Bewerber drogensüchtig?
2018 EU Datenschutz Compliance mit Google Analytics  (sie sind hier)
#MCLago 2018 EU Datenschutz: Marketing – September 2017
#MCLago 2018 EU Datenschutz: Marketing Trends – März 2018
#MCLago 2018 EU Datenschutz: Compliance Ressource Seite – Tools, Checklisten (April 2018 regelmässige Updates)
MC Stuttgart-Heilbronn – DSGVO: Tipps
#MCLago 2018 EU Datenschutz: Workshop für Marketing Fachleute – 8. März 2018
[/su_box]
Fragen einfach anklicken und Sie kommen sofort zur Antwort weiter unten.

Hier ist eine kurze Zusammenfassung der Dinge, die sie wissen sollten.

1. SSL d.h. https:// einsetzen

Datensicherheit wird durch die DSGVO ab 25. Mai 2018 zu einer verpflichtenden Massnahme. Die Verschlüsselung mit einem SSL-Zertifikat ist für alle Formulare auf einer Webseite oder im Onlineshop gesetzlich vorgeschrieben.
SSL steht für “Secure Sockets Layer“. Es handelt sich dabei um ein Protokoll, welches sicherstellt, dass die Daten zwischen Browser und besuchter Website (https://) verschlüsselt übertragen werden.
Nicht vergessen, wenn Sie von http auf https umstellen, brauchen sie ein Zertifikat für Ihre Webseite.  Das können Sie über Ihren Hoster bekommen aber auch über Anbieter welche dies sogar fast oder kostenlos machen.

Welche Codes werden mit Hilfe vom Cookie auf meinem Gerät ausgeführt? Datenschutz und Sicherheit.

Welche Codes werden mit Hilfe vom Cookie auf meinem Gerät ausgeführt? Datenschutz und Sicherheit.

2. Google Analytics – richtig erklären – datenschutzkonform nutzen

Im letzen Beitrag haben wir erklärt, wie man den Vertrag mit Google Analytics erhält und hier kommen noch ein paar weitere wichtige Dinge die es zu beachten gilt.

Vorschlag was auf der Webseite eingebaut werden muss

Diese Website benutzt Google Analytics, einen Webanalysedienst der Google Inc. („Google“). Google Analytics verwendet „Cookies“, das sind Textdateien. Diese werden auf Ihrem Computer gespeichert. Sie ermöglichen wiederum eine Analyse der Benutzung der Webseite durch Sie.

Die durch den Cookie erzeugten Informationen über Ihre Benutzung der Webseite, wird in der Regel an einen Server von Google in den USA übertragen. Dort werden diese Daten gespeichert.

Mehr Information zu Google Analytics können Sie hier einsehen: https://support.google.com/analytics/answer/6004245?hl=de

Browser Plugin

Sie können die Speicherung der Cookies durch eine entsprechende Einstellung Ihrer Browser-Software verhindern. weisen Sie jedoch darauf hin, dass Sie in diesem Fall gegebenenfalls nicht sämtliche Funktionen dieser Website vollumfänglich werden nutzen können.

Verhindern Sie die Erfassung der durch den Cookie erzeugten und auf Ihre Nutzung der Website bezogenen Daten (inkl. Ihrer IP-Adresse) an Google sowie die Verarbeitung dieser Daten durch Google.

Laden Sie den für Ihren Browser benötigten Plugin herunterladen und installieren:

Google Chrome Browser-Plugin:  https://chrome.google.com/webstore/detail/google-analytics-opt-out/fllaojicojecljbmefodhfapmkghcbnh?hl=de

Firefox Browser-Plugin:

Mobile Endgeräte

Bei Browsern auf mobilen Endgeräten, können Sie die Erfassung durch Google Analytics zudem verhindern, indem Sie <span=“text-decoration:underline;“>auf diesen Link klicken<span>.

Es wird ein Opt-Out-Cookie gesetzt. Dies verhindert die zukünftige Erfassung Ihrer Daten beim Besuch unserer Webseite verhindert. Der Opt-Out-Cookie gilt nur in diesem Browser und nur für unsere Website und wird auf Ihrem Gerät abgelegt. Löschen Sie die Cookies in diesem Browser, müssen Sie das Opt-Out-Cookie erneut setzen. 

Wir nutzen Google Analytics weiterhin dazu, Daten aus Double-Click-Cookies und auch AdWords zu statistischen Zwecken auszuwerten. Sollten Sie dies nicht wünschen, können Sie dies über den Anzeigenvorgaben-Manager https://adssettings.google.com/authenticated?hl=de) deaktivieren.

Widerspruch gegen Datenerfassung
Sie können die Erfassung Ihrer Daten durch Google Analytics verhindern, indem Sie auf folgenden Link klicken. Es wird ein Opt-Out-Cookie gesetzt, der die Erfassung Ihrer Daten bei zukünftigen Besuchen dieser Website verhindert: klicken Sie bitte diesen Link. (da müssen Sie noch den richtigen Link einsetzen)

IP-Anonymisierung

Wir haben zudem auf dieser Webseite Google Analytics um den Code „anonymizeIP“ erweitert. Dies garantiert die Maskierung Ihrer IP-Adresse, sodass alle Daten anonym erhoben werden. Nur in Ausnahmefällen wird die volle IP-Adresse an einen Server von Google in den USA übertragen und dort gekürzt.
Die im Rahmen von Google Analytics von Ihrem Browser übermittelte IP-Adresse wird nicht mit anderen Daten von Google zusammengeführt.

Quelle: https://blog.DrKPI.de

Digital Online FAQs: So helfen wir dem Nutzer.

Digital Online FAQs: So helfen wir dem Nutzer.

2.1 Anm. Hinweise zur Einbindung des Opt-Out-Cookie finden Sie unter:
Update gefällig?

Tragen Sie sich in unseren Verteiler ein, bleiben Sie auf dem Laufenden und erhalten jeweils eine Reminder-Mail, sobald ein neues Thema zum EU Datenschutz, Marketing und Compliance veröffentlicht wird.

3. Was ist Ihre Meinung

Wir hoffen auf Earned Media und arbeiten mit Word-of-Mouth Influencers um den ROI zu verbessern.
Die beste Social Media Marketing Strategie mit Kennzahlen hilft nichts, wenn wir die Kundendaten nich gemäss der DSGVO sammeln, bearbeiten und / oder löschen.
Die neue  EU Datenschutz Grundverordnung (EU DS-GVO oder DSGVO) wie auch die ePrivacy-Verordnung stellen neue Anforderungen an die Compliance.
Dabei muss die Arbeit mit Google dem Nutzer richtig erklärt werden.
Aber was uns natürlich brennend interessieren würde, wäre Ihre Meinung:

    • Haben Sie schon überprüft, wie gut Ihre Organisation vorbereitet ist?
    • Bei welchen Applikationen oder Social Networks gibt es für Sie noch Klärungsbedarf in Sachen DSGVO?
    • Nutzen Sie Google Analytics und ist es bei Ihnen schon DSGVO compliant umgesetzt?… Haben Sie gecheckt?

5. Checkliste: Google Analytics datenschutzkonform verwenden

Hier ist ein Beispiel wie Sie relative rasch abklären können, ob Google Analytics bei Ihnen schon richtig eingesetzt ist.
[su_box title=“6 Punkte Quick Check zum Thema DSGVO Compliance für Google Analytics“ box_color=“#86bac5″ radius=“9″ class=“aligncenter max-width: 700px“]

  1. Das Unternehmen hat einen Auftragsdatenverarbeitungsvertrag mit Google abgeschlossen.
  2. In der Datenschutzerklärung erklären wir den Webseiten Besuchern wie wir Google Analytics nutzen (siehe Bsp. oben).
  3. Nutzer haben die Möglichkeit sich von der Datenerhebung auszuschliessen mit Add-On oder Opt-Oout Coookie.
  4. Den Code zur Anonymisierung der IP-Adressen der Besucher ist in der Firmenwebseite eingebaut.
  5. Unternehmen hat getestet, dass die Anonymisierung der IP Adresse funktioniert.
  6. Daten welche unabsichtlich aber fälschlich erhobene wurden sind gelöscht?

Wenn diese Checkliste im Unternehmen umgesetzt ist, dann wird Google Analytics rechtskonform genutzt. Leider können sich aber diese Dinge ändern, was bedeutet, dass Sie dran bleiben müssen. [/su_box]

Fotos: Sandra Blaser Photography, iStock

Offenlegung: Der Autor / Blogger weist darauf hin, dass einige der erwähnten Unternehmen / Organisationen, Kunden von CyTRAP Labs GmbH sind und / oder DrKPI® Services und Produkte abonniert haben / beziehen.

Diskussionen während der Datenschutz - DSGVO Veranstaltung beim MC Lago in Konstanz.

In Kürze: Eine gute Social Media Marketing Strategie verlangt, dass wir Kundendaten DSGVO konform nutzen, verwalten und löschen.
Aber wenn Facebook diese persönlichen Daten kennt, ist dies dann DSGVO konform?
Wenn nicht, was bedeutet dies für die Facebook Seite unseres Unternehmens, Vereins oder NGO?
Was immer wir entscheiden, die Fragen zeigen auf, dass die richtige Umsetzung der EU-Datenschutz-Grundverordnung (DSGVO) kompliziert und kostenaufwendig ist.
Bonus 4-Punkte Checkliste für DSGVO konforme Nutzung von Google Analytics – Slides zum Download.
Bonus 2 Mehr zu DSGVO Compliance und Google Analytics.
Whitpaper vom Competence Circle Digital Marketplaces oder kurz #CCdigitalM vom Deutschen Marketing Verband:
Gattiker, Urs E., Temmen, Taina, & Sinistra, Patrizia (2017-11). EU-Datenschutzgrundverordnung (DSGVO): Was ist Sache für Marketing Manager, Geschäftsleitung und Vorstand? White Paper Serie. Düsseldorf: Deutscher Marketing Verband e.V. (DMV). Aufgerufen am 2017-12-01 auf https://MCLago.com/download/13/
Der nachfolgende Beitrag aus unserer Reihe zum neuen Bundesdatenschutzgesetz. Er zeigt auf, welche Dinge Marketing, Personalfachleute und Manager berücksichtigen müssen.

Download die Slides von der DrKPI®  Präsentation beim #MCLago #DMV: 15 MB, PDF Datei

 
[su_box title=“Weitere wichtige News zum EU Datenschutz“ box_color=“#86bac5″ radius=“9″ class=“alignlcenter max-width: 700px“]
2018 EU Datenschutz:  Marketing aufgepasst
2018 EU Datenschutz:  Personalrekrutierung oder kostenlose Pizza gefällig?
2018 EU Datenschutz: KMU, was nun?
2018 EU Datenschutz Ratgeber: Facebook Likes und DSGVO: Ist der Bewerber drogensüchtig? (sie sind hier)
2018 EU Datenschutz Compliance mit Google Analytics 
#MCLago 2018 EU Datenschutz: Marketing – September 2017
#MCLago 2018 EU Datenschutz: Marketing Trends – März 2018
#MCLago 2018 EU Datenschutz: Compliance Ressource Seite – Tools, Checklisten (April 2018 regelmässige Updates)
MC Stuttgart-Heilbronn – DSGVO: Tipps
#MCLago 2018 EU Datenschutz: Workshop für Marketing Fachleute – 8. März 2018
[/su_box]
Am 4. Mai 2016 wurde die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) kundgemacht.
Fragen einfach anklicken und Sie kommen sofort zur Antwort weiter unten.

Hier ist eine kurze Zusammenfassung der Dinge, die sie wissen sollten.

1. Facebook weiss Bescheid

Schon 2013 hat Michael Kosinski eine Studie veröffentlicht die anzeigte, dass wir mit unseren Daten sehr viel Information im Netz hinterlassen. Zum Beispiel kann anhand unserer Kontakte wie auch Likes, welche wir hinterlassen, bestimmt werden, ob wir gewisse Produkte mögen, Vereinsmitgliedschaften besitzen und gewisse Arten von Sport betreiben.
Auch unsere sexuellen Präferenzen, wie z.B. ob wir schwul oder lesbisch sind, kann relativ genau eruiert werden.

Facebook 2013: Schon damals hinterliessen wir digitale Spuren über unser Sexleben, Bier Vorlieben, usw.

Facebook 2013: Schon damals hinterliessen wir digitale Spuren über unser Sexleben, Bier Vorlieben, usw.

2. Personalisierte Werbung bei Facebook

Artikel 9 (1) der Datenschutz Grundverordnung (DSGVO) sagt unter anderem:

  1. Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt.

Facebook hat von rund 40% der EU Bevölkerung oder 203 Mio Menschen persönliche Daten gespeichert.
Die Verarbeitung solcher sensitiver personenbezogener Daten ist jedoch laut Artikel 9 (1) untersagt.
Die Freigabe solcher persönlicher Daten durch den Nutzer, z.B. um die Nutzung von Facebook zu ermöglichen  – u.a. Daten zu politischer Orientierung, zum religiösen Glauben oder auch zur sexuellen Präferenzen, oder sogar zum Drogenkonsum – ist untersagt.
Doch nun hat eine weitere Studie aufgezeigt, dass Facebook solche Informationen wie ethnische Herkunft oder religiöse Überzeugungen gespeichert hat. Diese werden auch gezielt bei der Schaltung von Werbung bei Nutzern eingesetzt.
Die Studie stellte z.B. fest, dass Frauen Werbungen angezeigt bekommen basierend auf ihren Angaben zum Geschlecht.
Bei gut 70% der Frauen, welche auf Facebook Werbung angezeigt bekommen, nutzt Facebook z.B. Geschlecht also Information, um Werbung für Kosmetik oder Tampons anzugeigen. Die Studie fand ebenfalls heraus, dass homosexuelle Männer Werbung angzeigt bekommen, welche diese Information zur Selektion der Werbeschaltung nutzt.
Cabañas, José González, Cuevas, Ángel und Cuevas Rubén (2018-02-14). Facebook use of sensitive data for advertising in Europe. Aufgerufenen am 23. Feb, 2018 auf https://arxiv.org/abs/1802.05030v1

Facebook nutzt heute sensitive Personaldaten um uns relevante Werbung zu zeigen: Dies ist nicht DSGVO compliant.

Facebook nutzt heute sensitive Personaldaten um uns relevante Werbung zu zeigen: Dies ist nicht DSGVO compliant.


Während der Diskussionen im Workshop des #MCLago zum DSGVO oder GDPR war klar ersichtlich: Das Alles hat seinen Preis.
Von rechts nach links unsere Referenten: Dominique Emerich, Markus Neff und Urs E. Gattiker

Von rechts nach links unsere Referenten: Dominique Emerich, Markus Neff und Urs E. Gattiker

3. Sind wir DSGVO compliant?

Die obigen Ausführungen zeigen, dass Facebook Daten noch nicht nach DSGVO Compliance verarbeitet werden. Doch auch unsere eigenen Organisationen sind gefordert.
Wenn Sie die Fragen in den beiden Tabellen unten schriftlich ausarbeiten, d.h. genau dokumentieren, was Sie unternommen haben, haben sie einen weiteren wichtige Schritt unternommen, um Ihre DSGVO Compliance vor dem 25 Mai 2018 sicher stellen zu können.
Das heisst, die Antworten sind wie das Resultat Ihres Inventars des Weinkellers. Wo sind wir gut versorgt und wo müssen wir nachbestellen – in diesem Fall nachbessern, um ein akzeptables Niveau für den Datenschutz zu erreichen.

3a. 4 Punkte Quick Check zum Thema DSGVO Compliance

Die Checklisten unten sowie Ratgeber und Tipps erlauben es Ihnen kurz zu überprüfen, wie weit Ihre Sicherheitsexperten sind was die DSGVO Compliance Vorbereitungen betrifft.
Ist noch wenig oder nichts getan, dann muss sofort etwas unternommen werden. Ansonsten ist das Unternehmen garanteirt bis zum 25 Mai nicht regelkonform was Datenschutz und die DSGVO betrifft.
[su_box title=“4 Punkte Quick Check zum Thema DSGVO Compliance: Lösungen“ box_color=“#86bac5″ radius=“9″ class=“aligncenter max-width: 700px“]
Eine grundsätzliche Checkliste für die Implementierung der DSGVO in Ihrem Unternehmen haben wir hier für Sie vorbereitet:

Versuchen Sie diese Antworten schriftlich zu erstellen. Dabei ist es immer wichtig, dass sie auch dokumentieren, warum sie mit bestimmten Dingen noch nicht fertig sind. Erklären Sie dabei bitte auch, wieso eine Lösung X vorgenommen wurde und nicht eine andere.
Nur somit können Sie nachher genau feststellen, welche kritischen Dinge als nächstes unbedingt angegriffen werden müssen.
1. Haben Sie eine Datenschutzerklärung Online gepostet, welche auch Otto Normalverbraucher verstehen können?
Lösung hier: Datenschutz-One-Pager Tool – kostenlos generieren.
Erklärung: Dieser One-Pager dient in Form einer Kurzübersicht. Er ist verbraucherfreundlich, was das DSGVO verlangt.
Nichtsdestotrotz, das DSGVO erfordert auch eine förmliche Datenschutzerklärung.
Das heisst, sie brauchen beides, eine förmliche und eine verbraucherfreundliche Datenschutzerklärung.
2. Sind Daten von Personen in Exceldateien oder sonstwo verschlüsselt? Vielleicht auch auf dem Home PC?
Lösung hier: Wie sie VeraCrypt kostenlos nutzen können, wird hier erklärt.
Erklärung: Eine Liste von Open-Source Verschluesselungssoftware
3. Habe Sie ein genaues Inventar von den externen Unternehmen, welche im Auftrage Ihre Daten verarbeiten?
Bsp.: Wenn Sie Teil eines Affiliate Marketing Netzwerkes sind, wer ist verantwortlich? Sie als Webseiten Betreiber der einen Link auf Amazon setzt oder Daten an diese weitergibt. Abklären, Sie sind es zu fast 100 %.
Hilfe: Als Auftragsverarbeiter müssen sie mindestens etwas in Ihre AGB’s einbauen, dass die DSGVO anspricht und sicherstellt, dass sich Ihre Partner daran halten.
4. Haben Sie mit Ihren Auftragsverarbeitern einen Vertrag wie im DSGVO verlangt?  Sie brauchen z.B. einen Vertrag mit Google, wenn Sie Google Analytics benutzen.
Bsp.: Laut Art. 28 der DSGVO brauchen wir eine schriftliche Vereinbarung mit dem Auftragsverarbeiter unserer Daten (Elektronischer Vertragsschluss der Auftragsverarbeitung (Art. 28 DSGVO) ist möglich).
Hilfe: Google’s „Data Processing Amendment to G Suite and/or Complementary Product Agreement (Version 2.0)“ neu veröffentlicht. Auch Mailchimp (für Newsletters) zeigt, wie dies bei ihnen funktioniert inklusive Sub-Contractors.
Kompliziertere Angaben gibt es auch von Microsoft (auch hier und sogar auf Deutsch) und von Sales Force zum Thema sowie deren Vertrag zur Auftragsverarbeitung.
[/su_box]
Grundsätzlich verfolgt die DSGVO gemäß Art. 32 Abs.1 b), ob Vertraulichkeit, Integrität und die Verfügbarkeit der verarbeitenden Systeme und Dienste sicher gestellt sind.
Checken Sie bitte genau, aber weder WhatsApp noch weitere Applikationen können einfach so genutzt werden.

#MCLago Veranstaltung zur General Data Protection Regulation GDPR - volles und engagiertes Haus beim Südkurier.

#MCLago Veranstaltung zur General Data Protection Regulation GDPR – volles und engagiertes Haus beim Südkurier.

3b.Schnelltest Google Analytics: Setzen wir dieses Tool DSGVO compliant ein?

Auch Nutzer von Google Analytics auf Firmenwebseiten müssen gewisse Vorkehrungen treffen, um compliant zu sein. Einen 4-Punkte Check finden sie in der Tabelle unten.
[su_box title=“Schnelltest und Ratgeber Google Analytics: 4-Punkte Check “ box_color=“#86bac5″ radius=“9″ class=“aligncenter max-width: 700px“]
A. Nutzung Google Analytics. Wenn das Unternehmen oder die Bloggerin Google Analytics nach den Vorgaben der Datenschützer nutzen will, muss ein schriftlicher Vertrag von 18 Seiten Umfang mit Google abgeschlossen werden. Dies betrifft die „Auftragsverarbeitung“ nach § 13 BDSG.
Den von Google und den Datenschützern entwickelten Mustervertrag zur Auftragsdatenverabeitung können Sie hier herunter laden und nutzen:
www.google.com/analytics/terms/de.pdf
Der Vertrag umfasst

  1. Anlage: Regelungen zur Auftragsdatenverarbeitung
  2. Anlage: Technische und organisatorische Massnahmen

Der Vertrag muss schriftlich abgeschlossen werden und mittels rückfrankiertem Umschlag per Post an Google gesendet werden. Die Adresse ist:
Contract Administration Department, Google Ireland Ltd,
Gordon House Barrow Street, Dublin 4, Irland
Nach einigen Wochen erhalten Sie ein gegengezeichnetes Exemplar zurück. Auch für Google Universal Analytics sollten Webseitenbetreiber einen Vertrag zur Auftragsdatenverarbeitung mit Google abschließen. Dieser wurde bisher allerdings noch nicht auf Universal Analytics angepasst.
B. Google Analytics and Cookies. Die Cookie Herausforderung ist so, dass der Betreiber einer Webseite einen Link schalten muss zum Browser PlugIn, sodass die Speicherung der Daten unterbunden wird und das Opt-out Cookie gesetzt ist.

Google Analytics Schnelltest – sind Punkte A & B oben richtig umgesetzt.

Sie überprüfen dabei im Unternehmen, ob Google Analytics rechtssicher genutzt wird. Sie kontrollieren die folgenden 4 Dinge:

  1. Wurde der Vertrag zur Auftragsdatenverarbeitung abgeschlossen (Punkt 5)?
  2. Ist die IP Anonymisierung eingebunden worden?
  3. Wurde die Datenschutzerklärung aktualisiert, d.h. darauf hingewiesen, was man tun kann als Nutzer, um ein Tracking seinerseits zu vermeiden?
  4. Hat das Unternehmen ein Link zum Browser PlugIn gesetzt (siehe Punkt 6).

[/su_box]
Hier gibt es Datenschutz 2018 Ressourcen inklusive Checklisten
[su_slider source=“media: 8903,8896,8897,8898,8900,8931,8902″]

4. Was ist Ihre Meinung

Die neue  EU Datenschutz Grundverordnung (EU DS-GVO oder DSGVO) wie auch die ePrivacy-Verordnung stellen neue Anforderungen an die Compliance.
Unsere Frage im Titel, ob ein Bewerber für eine Stelle drogensüchtig ist, kann relativ akkurat mit Facebook Likes beantwortet werden.
Sehr befremdend ist jedoch, dass Facebook Werbung schaltet, welche auf personenspezifischen Daten basieren, welche für solche Zwecke gemäss DSGVO nicht rechtens sind.
Aber was uns natürlich brennend interessieren würde, wäre Ihre Meinung:

  • Haben Sie schon überprüft, wie gut Ihre Organisation vorbereitet ist?
  • Bei welchen Applikationen oder Social Networks gibt es für Sie noch Klärungsbedarf in Sachen DSGVO?

Fotos bei Corina Rieflin, Dominik Birk und Urs E. Gattiker

Offfenlegung: Der Autor / Blogger weist darauf hin, dass einige der erwähnten Unternehmen Kunden von CyTRAP Labs GmbH sind und / oder DrKPI® Services und Produkte abonniert haben / beziehen.
Download die Slides von Markus Neff und Dominique Emerich beim #MCLago #DMV #DMT18:  8 MB PDF Datei

Download die Slides von der DrKPI® Präsentation beim #MCLago #DMV: 15 MB, PDF Datei – siehe unten zum anschauen

[embeddoc url=“http://blog.drkpi.de/wp-content/files//2018-03-DrKPI-GDPR-MCLago.pdf“ width=“100%“ viewer=“google“]

Datenschutz wird immer wichtiger - EU DSGVO | Urheber iStock

In Kürze: Wie plant ein KMU jetzt und trifft rechtzeitige Vorkehrungen für den 25. Mai 2018, wenn die EU-Datenschutz-Grundverordnung (DSGVO) in Kraft tritt?
Die Anpassungen sind für Deutsche, Österreichische und Schweizer KMU kompliziert und kostenaufwendig.
Dieser Beitrag zeigt auf, wo die Probleme liegen.
Nutzen Sie unsere Checkliste und machen Sie den Fitness Test.
Der nachfolgende Beitrag aus unserer Reihe zur neuen Datenschutzgrundverordnung kurz DSGVO oder auf englisch General Data Protection Regulation (GDPR) zeigt auf, welche Dinge Marketing-, Personalfachleute und Manager berücksichtigen müssen.
[su_box title=“Weitere wichtige News zum EU Datenschutz“ box_color=“#86bac5″ radius=“9″ class=“alignlcenter max-width: 700px“]
2018 EU Datenschutz:  Marketing aufgepasst
2018 EU Datenschutz:  Personalrekrutierung oder kostenlose Pizza gefällig?
2018 EU Datenschutz: KMU, was nun? (sie sind hier)
2018 EU Datenschutz Ratgeber: Facebook Likes und DSGVO: Ist der Bewerber drogensüchtig?
2018 EU Datenschutz Compliance mit Google Analytics 
#MCLago 2018 EU Datenschutz: Marketing – September 2017
#MCLago 2018 EU Datenschutz: Marketing Trends – März 2018
#MCLago 2018 EU Datenschutz: Compliance Ressource Seite – Tools, Checklisten (April 2018 regelmässige Updates)
MC Stuttgart-Heilbronn – DSGVO: Tipps
#MCLago 2018 EU Datenschutz: Workshop für Marketing Fachleute – 8. März 2018
Download White Paper:  Gattiker, Urs E., Temmen, Taina, & Sinistra, Patrizia (2017-11). EU-Datenschutzgrundverordnung (DSGVO): Was ist Sache für Marketing Manager, Geschäftsleitung und Vorstand? White Paper Serie. Düsseldorf: Deutscher Marketing Verband e.V. (DMV). Aufgerufen am 2017-12-01 auf http://MCLago.com/download/13/
[/su_box]
Am 4. Mai 2016 wurde die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) kundgemacht.
Fragen einfach anklicken und Sie kommen sofort zur Antwort weiter unten.

Hier ist eine kurze Zusammenfassung der Dinge, die sie wissen sollten.

1. Kleine und mittlere Unternehmen (KMU)

Kleine und mittlere Unternehmen (KMU) sowie Kleinstunternehmen definiert die Kommission (siehe 6. Mai 2003/361/EC) anhand von drei Kennzahlen:

– Anzahl Angestellte (Vollzeitäquivalenz),
– Bilanzsumme, und
– Umsatz

Ein KMU beschäftigt weniger als 250 Personen Vollzeit und erziehlt höchstens einen Jahresumsatz von 50 Mio. oder deren Jahresbilanzsumme beläuft sich auf höchstens 43 Mio. Euro.
Das Kleinstunternehmen hat weniger als 10 Personen in Vollzeit eingestellt und der Jahresumsatz / Jahresbilanz überschreitet keine 2 Mio. Euro.

Definition von: COMMISSION RECOMMENDATION of 6 May 2003 concerning the definition of micro, small and medium-sized enterprises [notified under document number C(2003) 1422] (Text with EEA relevance) (2003/361/EC) (May 20, 2003).

Ein Vollzeitäquivalent  (Abkürzung: VZÄ, englisch: Full-Time Equivalent – FTE) ist eine wichtige Kennzahl, welche die relative Anzahl an Personen beschreibt, die ein 100% Pensum in der Firma arbeiten.

Teilzeitkräfte, Saisonniers und andere Nicht-Vollzeit-Kräfte werden dabei addiert, um das Vollzeitäquivalent für alle Arbeitsplätze zu erhalten.

2. Wie werden KMU von der DSGVO tangiert?

Ungefähr 99% aller 23 Mio Unternehmen in der EU sind Micro, Kleine und mittlere Unternehmen.

Sie beschäftigen fast zwei Drittel aller Arbeitnehmer, d.h. sie sind laut EU Commission für mehr als 75 Mio. Arbeitsplätze verantwortlich.

In einigen Sektoren wie z.B. Textil, Bau und Möbel sind rund 80% aller Arbeitskräfte in Micro, Kleinen und Mittleren Unternehmen beschäftigt.  

Siehe auch: International Finance Corporation: Micro, Small, and Medium Enterprises: A Collection of Published Data (MS Excel file, 17 May 2005).
Doch inwiefern werden KMU von der neuen Datenschutz Grundverordnung in Europa tangiert?
Stärker als man denkt.
Zuerst einmal müssen wir die Dokumentation auf Vordermann bringen, was Datenschutz und Datensicherheit betrifft. Nur dann können die neue EU-Datenschutz-Grundverordnung (DSGVO) in Englisch General Data Protection Regulation (GDPR) sowie die e-Privacy Verordnung eingehalten werden.
Im weiteren ist dies auch mit Kosten verbunden. Die Abläufe müssen klar strukturiert sein. Doch auch die Dokumentation zum Thema muss fast in allen Fällen verbessert werden.
Diese Dinge sollten ebenfalls helfen, um das Sicherheitsdispositiv zu verbessern.
Das Alles hat seinen Preis.

Sicherheit und Datenschutz ist Pflicht - EU DSGVO | Urheber iStock

Sicherheit und Datenschutz ist Pflicht – EU DSGVO | Urheber iStock

3. Umsetzung des DSGVO im KMU: Fitness Checkliste

Kürzlich war ich in einem Unternehmen, um mich mit dem Experten und den Aufsichtsratsmitgliedern zu treffen. Unser Thema war, wie die DSGVO das Direktmarketing, Mailings, aber auch das Nutzen von Cookies beeinträchtigen könnte. Mit schrecken stellten die Teilnehmer fest, dass das Unternehmen noch nicht fit war, um DSGVO-compliant zu sein.
Aus diesem Grunde sah ich mich gezwungen, eine Checkliste mit Fragen auszuarbeiten. Diese machte ich dem Team schmackhaft, indem ich sie daran erinnerte, es wie einen Fitness Test zu sehen.  Es würde uns aufzeigen:

  1. wo wir Schwächen hätten,
  2. ob es aber auch Stärken geben würde, durch die wir weit über dem Durchschnitt seien, was die DSGVO-Fitness betrifft und
  3. welche „low hanging fruit“ (Projekte, die mit wenig Aufwand grosse Wirkung generieren) zuerst realisiert werden sollten.

Hier ist unsere Checkliste mit 12 Fragen, die Ihnen weiterhelfen wird.
Wenn Sie die Antworten schriftlich ausarbeiten, haben Sie einen ersten wichtigen Schritt unternommen, um vor dem 25 Mai 2018 DSGVO Compliance sicher stellen zu können.
Das heisst, die Antworten sind wie das Resultat Ihres Inventars des Weinkellers. Wo sind wir gut versorgt und wo müssen wir nachbestellen – in diesem Fall nachbessern, um ein akzeptables Niveau für den Datenschutz zu erreichen.
[su_box title=“Checkliste: Ist unser Unternehmen fit für die DSGVO? “ box_color=“#86bac5″ radius=“9″ class=“aligncenter max-width: 700px“]
Versuchen Sie diese Antworten schriftlich zu erstellen. Dabei ist es immer wichtig, dass sie auch dokumentieren, warum sie mit bestimmten Dinge noch nicht fertig sind. Erklären Sie dabei bitte auch, wieso eine Lösung X vorgenommen wurde und nicht eine andere.
Nur somit können Sie nachher genau feststellen, welche kritischen Dinge als nächstes umgesetzt werden müssen.
1. Wie viele personenbezogene Daten, die Sie in Ihrem Unternehmen sammeln, speichern und nutzen, können Sie derzeit mit eigenen Mitteln ausfindig machen? Haben Sie dies vielleicht bereits dokumentiert?
2. Können Sie erkennen und wurde dokumentiert, wer personenbezogene Daten einsehen oder bearbeiten kann? Auch wer welche Bearbeitungen vorgenommen hat zu welchem Zeitpunkt muss dokumentiert sein.
3. In Sachen personenbezogene Daten können Sie bereits:

  • dokumentieren, wer welche Daten im Unternehmen verwaltet?,
  • den Zeitpunkt und Art des Austausches von Daten aufzeigen/ermitteln?
  • Zeitpunkt und Form des Austausches mit Dritten aufzeigen (d.h. Sie haben eine Übersicht über die Auftragsverarbeiter von Ihren Daten, wie z.B. Buchhaltung und Computing in der Cloud)?

4. Ist dies in den vielen Fällen, in denen die Verarbeitung von personenspezifischen Daten auf die Einwilligung des Betroffenen beruht, ebenfalls dokumentiert (liegt z.B. die Einwilligung vor wie beim Double Opt-In beim Marketing Newsletter des Unternehmen)?
5. Haben Sie abgeklärt ob Sie einen Datenschutzbeauftragten benötigen?
Grundlegend ist wenigstens in DE, dass wenn 10 oder mehr Personen mit einem mobilen Endgerät oder PC arbeiten, muss in der Regel ein betrieblicher Datenschutzbeauftragter bestellt werden.
Öffentliche Stellen sind in DE verpflichtet, einen Datenschutzbeauftragten zu bestellen.
Dieser Datenschutzbeauftragte kann auch ein externer Dienstleister sein.
6. Sind für Aktivitäten mit personenbezogenen Daten Datenschutz- und Sicherheitsmechanismen eingebaut?
Das heisst z.B., dass dank speziell eingesetzter Technologie die Datenschutz- und Sicherheitsmechanismen gestärkt werden.
Mindestens jährlich werden Penetration Tests durchgeführt. Die Einspielung von Sicherheitsupdates für Software und Systeme werden gemäss Wichtigkeit zeitgemäss (z.B. innerhalb 24 Std. auch an langen Wochenenden) veranlasst und schriftlich dokumentiert.
7. Haben Sie, wie im DSGVO vorgeschlagen, eine Verschlüsselung sensibler Personendaten von z.B. Kunden oder Mitarbeitern vorgenommen?
8. Nach der DSGVO müssen personenbezogene Daten gelöscht werden, wenn sie für den ursprünglichen Zweck nicht mehr benötigt werden und keine gesetzliche Pflicht zur Aufbewahrung besteht. Setzen Sie diese Anforderungen bereits um?
9. Die DSGVO sieht vor, dass Ihr Unternehmen geeignete Technologien und/oder Prozesse einsetzt, um personenbezogene Daten zu sichern und gegen Angriffe zu verteidigen. Wenn Sie einen Vorfall identifizieren, müssen Sie nicht nur die entsprechenden Regulierungsbehörden, sondern auch die betroffenen Personen benachrichtigen. Für welche dieser Pflichten haben Sie bereits Prozesse etabliert?
10. Haben Sie eine geeignete Risikomethode, um die Datenschutz-Folgeabschätzung vorzunehmen und wurde der Prozess für die Datenschutz-Folgeabschätzung schon einmal getestet?
11. Haben Sie eine Kosten-Nutzen Analyse durchgeführt und auch die „Implementierungskosten“ als Abwägungskriterium berücksichtigt?
PS. Da der Schutz der Betroffenen im Vordergrund steht (siehe Punkt 10), sind wohl ausser bei existentiellen Bedrohungen die wirtschaftlichen Erwägungen zur Lockerung des Schutzstandards als Rechtfertigung kaum zulässig.
12. Haben Sie ein Inventar der Social Media Konten und Nutzer dieser Firmenkonten?
Sind Sie sich den Verpflichtungen im Bereich des Schutzes personenbezogener Daten auf diesen Plattformen bewusst? Welche Vorkehrungen haben Sie getroffen?
PS. Am 24.10.2017 hat der Generalanwalt des Europäischen Gerichtshofes (EuGH) seine Schlussanträge in der Rechtssache C‑210/16 vorgelegt. Falls der EuGH den Schlussanträgen folgt, ist das Unternehmen, welches eine Facebook Seite betreibt

… für die in der Erhebung von personenbezogenen Daten durch Facebook bestehende Phase der Verarbeitung gemeinsam mit Facebook verantwortlich.

Ausgelöst hatte den Rechtsstreit eine Anordnung des Schleswig-Holsteinischen Landeszentrums für Datenschutz (ULD) im Jahr 2011. Dieses verlangte von der Wirtschaftsakademie Schleswig-Holstein (WAK) die Deaktivierung von deren Fanpage aufgrund datenschutzrechtlicher Verstösse.
PPS. Auswirkungen kann dieser Rechtsstreit auch auf ein derzeit vor dem Oberlandesgericht Düsseldorf verhandelten Verfahren haben. Dort geht es um den Facebook Like-Button und die Frage, ob der Betreiber eines solchen Buttons mitverantwortlich ist für etwaige Datenschutzverstösse.
[/su_box]
Grundsätzlich verfolgt die DSGVO gemäß Art. 32 Abs.1 b), ob Vertraulichkeit, Integrität und die Verfügbarkeit der verarbeitenden Systeme und Dienste sicher gestellt sind.
Der Artikel 32 DSGVO verlangt auch die Gewährleistung der „Belastbarkeit“ der Systeme und Dienste. Dies bedeutet, dass die Dienste und System gegen ungewollte und gewollte, zufällige und geplante Störungen abgesichert sind (siehe auch Punkt 11 oben).
Punkt 12 zeigt ebenfalls auf, dass wenn der EuGH den Schlussanträgen vom Generalanwalt folgt, das Unternehmen für eventuelle Datenschutzverstösse von Facebook hinter der Fanpage verantwortlich ist. Nach DSGVO macht dies Sinn, denn Facebook könnte hier auch als Auftragsverarbeiter eingestuft werden. Damit würde die Verantwortung wiederum beim Unternehmen liegt.

Sicherheit und Datenschutz ist Pflicht - doch für KMU ist es nicht einfach - EU DSGVO | Urheber iStock

Sicherheit und Datenschutz ist Pflicht – doch für KMU ist es nicht einfach – EU DSGVO | Urheber iStock

4. Ressourcen für KMU

Hier noch ein paar Ressourcen, welche Ihnen helfen sollten, sich auf den 25. Mai 2018 vorzubereiten. Es lohnt sich hier ca 4 Stunden zu investieren und sich schlau zu machen. Das hilft auch dem Marketing Spezialisten, Ihre Standpunkte im Zusammenhang mit der DSGVO besser zu kommunizieren.
[su_box title=“EU-Datenschutz-Grundverordnung (DSGVO) Ressourcen für KMU“ box_color=“#86bac5″ radius=“9″ class=“aligncenter max-width: 700px“]
1. Die EU-Datenschutz-Grundverordnung (DSGVO) gilt ab 25. Mai 2018 unmittelbar. Der Text ist im Amtsblatt der EU veröffentlicht: http://eur-lex.europa.eu/legal-content/DE/ALL/?uri=CELEX%3A32016R0679
2. Die Seite der Wirtschaftskammer Österreich. Klar formuliert und verständlich: https://www.wko.at/service/wirtschaftsrecht-gewerberecht/EU-Datenschutz-Grundverordnung:-Der-Datenschutzbeauftragt.html/
3. Die Position des Datenschutzbeauftragten und wie dessen Unabhängigkeit gesichert wird vom Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB):
4. Gut erklärt, mit Checklisten von der Bayrischen Datenschutzbehörde: https://www.lda.bayern.de/de/datenschutz_eu.html
5. EU-Datenschutz-Grundverordnung (DSGVO; englisch: General Data Protection Regulation, GDPR): Tipps für Mittelständler im e-Book von Microsoft (auch sehr hilfreich): https://info.microsoft.com/DE-SCRTY-CNTNT-FY18-10Oct-06-SohaltderMittelstanddieEU-MGC0001185_01Registration-ForminBody.html

Dokumente der Artikel-29-Gruppe (künftig: EU-DS-Ausschuss) zur DSGVO

6. Leitlinien zum Recht auf Datenübertragbarkeit (deutsche Vorversion)
7. Leitlinien zum Recht auf Datenübertragbarkeit (deutsche Vorversion)
Zur Zeit werden die Informationen der Artikel-29-Gruppe (die Datenschutzbeauftragten der Mitgliedsländer der EU), welche sich bald EU-DS-Auschuss nennt) auf einer neuen Webseite integriert.
http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=50083 (sollte man bald über diesen Link bekommen)
8. Verständliche und transparente Datenschutzhinweise: 1-Pager vom Bundesministerium für Justiz und Verbraucherschutz – IT-Gipfel 2015  – Der 1-Pager 
[/su_box]
Wenn Sie weitere Ressourcen benötigen, nutzen Sie die Liste der weiteren Beiträge zum Thema Datenschutz ganz oben in diesem Beitrag.

5. #Trends2Watch

Wir möchten hier auf 2 #Trends2Watch hinweisen.

  1. Datenschutzrechtliche Informationspflichten auf Facebook (Skype, WhatsApp, Instagram, Xing, etc.) nachzukommen, ist unmöglich:  Im Regelfall haben Unternehmen keine Kenntnis darüber, welche Daten Facebook, für welche Zwecke für eine Fanpage verarbeitet.
    Doch das Unternehmen ist in Sachen Datenschutz mitverantwortlich für Daten seiner Fans und wie diese von Facebook verarbeitet werden (siehe Checkliste, Punkt 12).
    Facebook wird diese Informationen kaum offenlegen wollen, da diese ein Teil ihres Geschäftsmodells repräsentieren.
  2. Administrativer wie auch finanzieller Mehraufwand ist signifikant: Kunden profitieren vom DSGVO, was gut ist.
    Das Verarbeiten von personenspezifischen Daten wird markant teurer für Unternehmen.
    Prozesse müssen verbessert werden und diese wichtige Arbeit muss genauestens dokumentiert sein.
    Skalierungen oder „economies of scale“ reduzieren diese Kosten pro Kunden für Konzerne.
    Damit wird die immer wichtiger werdende Nutzung von Algorithmen und grossen Datensätzen für Innovation, Marktbearbeitung, usw. sehr viel teurer für KMU mit z.B. weniger als 50 Vollzeit Arbeitsplätzen.
    Das erschwert den Markteinstieg von Start-Ups und die Konkurrenzfähigkeit der KMU. Dies fördert damit auch die weitere Marktkonzentration, was Konsumenten nicht freuen dürfte.

Obwohl die DSGVO gute Dinge bringt, resultiert es für alle Unternehmen in einem grossen Mehraufwand. Die Kosten für das Sammeln, Verarbeiten und Nutzen von Big Data geht signifikant in die Höhe. Prozesse müssen verbessert werden und diese müssen genauestens dokumentiert sein. Skalierungen oder „economies of scale“ reduzieren diese Kosten pro Kunden für Konzerne. Doch für KMU wird es viel teurer.

6. Was ist Ihre Meinung

Die obigen Ausführungen zeigen, dass Compliance in Sachen Datenschutz für KMU kein Zuckerschlecken ist.  Die neue  EU Datenschutz Grundverordnung (EU DS-GVO oder DSGVO) wie auch die ePrivacy-Verordnung stellen neue Anforderungen an die Compliance.
Aber was uns natürlich brennend interessieren würde, wäre Ihre Meinung:

  • Ist Ihre Organisation für die DSGVO bereit?
  • Wie haben Sie mit der Umsetzung für die DSGVO begonnen?
  • Welche Checklisten und Tools nutzen Sie bei dieser Arbeit?
1991 gaben DK Studenten Daten preis für kostenlose SMS Angebote, 2017 geben US Studenten eMail Adressen von Freunden preis für eine gratis Pizza.

In Kürze. Warum Datenschutz mehr wert ist als eine kostenloses Stück Teig.
Wie lösen wir das Problem, wenn Konsumenten willens sind die Privatsphäre für kostenlose Pizza zu verletzen.
Was sind die Herausforderungen für Employer Branding, Marketing und Recruiting mit der neuen DSGVO?
Der nachfolgende Beitrag aus unserer Reihe zum neuen Bundesdatenschutzgesetz zeigt auf, welche Dinge Marketing, Personalfachleute und Manager berücksichtigen müssen.

Update gefällig?

Tragen Sie sich in unseren Verteiler ein, bleiben Sie auf dem Laufenden und erhalten jeweils eine Reminder-Mail, sobald ein neues Thema zum EU Datenschutz, Marketing und Compliance veröffentlicht wird.
[su_box title=“Weitere wichtige News zum EU Datenschutz“ box_color=“#86bac5″ radius=“9″ class=“alignlcenter max-width: 700px“]
2018 EU Datenschutz:  Marketing aufgepasst
2018 EU Datenschutz:  Personalrekrutierung oder kostenlose Pizza gefällig? (sie sind hier)
2018 EU Datenschutz: KMU, was nun?
2018 EU Datenschutz Ratgeber: Facebook Likes und DSGVO: Ist der Bewerber drogensüchtig?
2018 EU Datenschutz Compliance mit Google Analytics 
#MCLago 2018 EU Datenschutz: Marketing – September 2017
#MCLago 2018 EU Datenschutz: Marketing Trends – März 2018
#MCLago 2018 EU Datenschutz: Compliance Ressource Seite – Tools, Checklisten (April 2018 regelmässige Updates)
MC Stuttgart-Heilbronn – DSGVO: Tipps
#MCLago 2018 EU Datenschutz: Workshop für Marketing Fachleute – 8. März 2018
Download White Paper:  Gattiker, Urs E., Temmen, Taina, & Sinistra, Patrizia (2017-11). EU-Datenschutzgrundverordnung (DSGVO): Was ist Sache für Marketing Manager, Geschäftsleitung und Vorstand? White Paper Serie. Düsseldorf: Deutscher Marketing Verband e.V. (DMV). Aufgerufen am 2017-12-01 auf http://MCLago.com/download/13/
[/su_box]
Am 4. Mai 2016 wurde die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) kundgemacht.
Fragen unten einfach anklicken und Sie können sogleich die Antwort lesen.

Hier ist eine kurze Zusammenfassung der Dinge welche sie wissen sollten.
Die Verordnung ist in der deutschen Fassung 88 Seiten lang und hat 173 Erwägungsgründe und 99 Artikel.
Die potenziellen Bußgelder bei zuwider handeln können bis zu 20 Millionen Euro beziehungsweise vier Prozent des globalen Jahresumsatzes des vorangegangenen Geschäftsjahrs ausmachen.

Am 10 Januar, 2017 wurde die finale Version der geplanten ePrivacy-Verordnung als offizieller Vorschlag der EU Kommission veröffentlicht. Die neue e-Privacy-Verordnung soll die Datenschutz-Grundverordnung (DSGVO) flankieren, die zum 25. Mai 2018 in Kraft tritt.
Als EU Verordnung ist die DS-GVO wie auch die ePrivacy-Verordnung in jedem EU-Mitgliedstaat grundsätzlich unmittelbar anwendbar. Weil sie allerdings zahlreiche Öffnungsklauseln hat, ermöglicht z.B. die DS-GVO dem nationalen Gesetzgeber gewisse Spielräume.
Deshalb ist damit zu rechnen, dass es auch noch eine Änderung der nationalen Gesetze geben wird.Die Datenschutz-Grundverordnung (DS-GVO) muss bis zum 5 Mai 2018 in die jeweilige nationale Gesetzgebung einfliessen. Das DS-GVO tritt dann am 25. Mai 2018 in Kraft.

1. Recruiting mit Social Media: DSGVO Verletzung möglich

In den letzten Jahren sind Social Media immer mehr Werkzeuge des täglichen Lebens geworden.
Für jede Art von Nutzer gibt es etwas wie Twitter oder Snapchat, Instagram oder Pinterest, LinkedIn oder Xing, usw. wir alle, mit wenigen Ausnahmen, nutzen eind oder sogar gleich mehrere dieser Plattformen.
Mit der neuen DSGVO werden hier einige Meinung von Datenschutzbeauftragten der EU Mitgliedstaaten fast ein wenig klammheimlich dazu genutzt, Regeln zu machen.
Article 29 Working Party, unter Letters, Opinions and other documents ==> Opinion 2/2017 on data processing at work – wp249 cpdf Datei

Die Article 29 Working Party had in Sachen DSGVO angegangen die Dinge auszulegen. RIESENPROBLEM: Social Media Profiles von Bewerbern und Nutzung bei der Arbeit. AUFGEPASST.

Die Article 29 Working Party had in Sachen DSGVO angegangen die Dinge auszulegen.
RIESENPROBLEM: Social Media Profiles von Bewerbern und Nutzung bei der Arbeit. AUFGEPASST.


Siehe ganz unten das zur Einsicht angefügte Dokument, S. 11 …

2. Recruiting mit Hilfe von Social Media, aber dann richtig

Doch heute findet man fast alle Jobs Online, d.h. in Social Networks wie z.B. Xing – Diskussiongruppe Markenstärke und Markenimage.

Stelle frei, Eintrag in Social Network Gruppe auf Xing

Stelle frei, Eintrag in Social Network Gruppe auf Xing


Angestellte verteilen Informationen über offene Stellen über ihre privaten Social Media Konten. Das ist heute „normal.“
Interessant ist ebenfalls, dass dies fast unweigerlich dazu führt, dass ein Bewerber über die offene Stelle über eines der Social Networks wie Xing, Facebook oder Instagram erfährt.
Oft nimmt man dann auch über das Netzwerk Kontakt mit der Person auf, welche die Information gepostet hat.
Der unten aufgezeigte Beschrieb der offenen Stelle führt auf, dass ein Bewerber eine Social Media Affinität mitbringen muss. Doch das neue Datenschutz Regularium legt fest (wie oben aufgezeigt und mit Gelb markiert):

Only if it is necessary for the job to review information about a candidate on social media, for example, in order to be able to assess specific risks regarding candidates for a specified function, and the candidates are correctly informed (for example, in the text of the job advert) the employer may have a legal basis under Article 7(f) to review publicly-available information about candidates.
(Nur wenn notwendig für die Arbeit, kann Information über einen Bewerber auf Social Media eingesehen werden, zum Beispiel, für Kandidaten welche sich für eine Funktion mit speziellen Risiken bewerben, und die Kandidaten wurden korrekterweise informiert (z.B. in der Stellenausschreibung), dann könnte der Arbeitgeber eine Rechtsgrundlage haben unter Artikel 7(f) um frei zugängliche Informationen über Kandidaten zu evaluieren)

Die Stellenbeschreibung unten zeigt, dass dies nicht genau erklärt wird. Das heisst Gruner & Jahr und deren Firmen müssen sich hier noch verbessern um DSGVO konforme Stellenbeschriebe über Social Networks zu verteilen.
Der Screenshot macht keinen Hinweis, dass man Social Media bei der Arbeit nutzen muss in Zusammenhang mit seiner Arbeit.
Doch das Image unten zeigt sehr schön, dass eine Affinität mit Social Media Pflicht ist – hier die Anzeige Online.

Gruner + Jahr AG & Co KG ist Europa's grösstes Druck- und Verlaugshaus. Was der Bewerber haben muss: Affinität zu Social Media - ist das gemäss DSGVO compliant?

Gruner + Jahr AG & Co KG ist Europa’s grösstes Druck- und Verlaugshaus. Was der Bewerber haben muss:
Affinität zu Social Media – ist das gemäss DSGVO compliant?


Die Teilung oder das Sharing von solchen Stellen ist populär aber stösst oft auf wenig Gegenliebe wie diese Kennzahlen zeigen. Von 3000 Mitgliedern in der Xing Gruppe sind kaum 5 Clicks von diesen gekommen. Resonanz, obwohl die Ausschreibung relevant ist für das Thema der Gruppe ist = 0.
Trotzdem ist klar, dass das Unternehmen auch die Social Media Profile der Bewerber zu Rate ziehen wird. Doch dies müsste laut den neuen Regeln im Stelleninserat offen gelegt werden.

3. Folgeabschätzung

Die Datenschutz-Folgeabschätzung (DSFA) ist grundsätzlich eigentlich nichts anderes, als die bisher im deutschen Datenschutzrecht schon bekannte Vorabkontrolle (§ 4d Abs. 5 BDSG).
Diese ist immer dann durchzuführen, wenn besonders sensible Daten nach § 3 Abs. 9 BDSG verarbeitet werden oder die Datenverarbeitung dazu bestimmt war, die Persönlichkeit des Betroffenen, einschließlich seiner Fähigkeiten, Leistungen oder seines Verhaltens zu bewerten. In diesen Fällen prüft der Datenschutzbeauftragte die dem Verfahren innewohnenden besonderen Risiken für die Rechte und Freiheiten des Betroffenen und gibt am Ende dieser Prüfung eine Stellungnahme zur Rechtmäßigkeit der Datenverarbeitung ab.
Wie die Vorabkontrolle dient die Datenschutz-Folgeabschätzung der Bewertung von Risiken und deren mögliche Folgen für die persönlichen Rechte und Freiheiten der Betroffenen. Nach Abschnitt 3, Artikel 35 ist das Unternehmen verpflichtet eine Folgeabschätzung zu machen.
Gemäss Art 35 Absatz 1 muss der Auftraggeber bei Formen der Verarbeitung von Personendaten vorab eine Abschätzung der Folgen einer Datenanwendung für den Schutz personenbezogener Daten durchführen.
Dies gilt dann, wenn die aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten haben, insbesondere bei Verwendung von Technologien.

4. Tools und Ressourcen

Friedewald, Michael; Obersteller, Hanna; Nebel, Maxi; Bieker, Felix & Rost, Martin (Mai 2016). White Paper Datenschutz-Folgenabschätzung: Ein Werkzeug für einen besseren Datenschutz. Aufgerufen, Mai 10, 2017 auf https://www.forum-privatheit.de/forum-privatheit-de/publikationen-und-downloads/veroeffentlichungen-des-forums/themenpapiere-white-paper/Forum_Privatheit_White_Paper_Datenschutz-Folgenabschaetzung_2016.pdf
Sievers, Jacqueline & Vasella, David (15. April 2017). Datenschutz-Folgenabschätzung: Leitlinien der Artikel-29-Arbeitsgruppe (Entwurf) Blogeintrag aufgerufen 2017-05-10  http://datenrecht.ch/datenschutz-folgenabschaetzung-leitlinien-der-artikel-29-arbeitsgruppe/
Article 29 Data Protection Working Party. 17/EN WP 248 (Arbeitspapier 248 zur DSFA). Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679 Aufgerufen am 2017-05-10 auf http://ec.europa.eu/newsroom/document.cfm?doc_id=44137 (PDF Datei).
Die neue E-Privacy-Verordnung ist als Ergänzung zur bereits beschlossenen EU-Datenschutz-Grundverordnung (EU-DS-GVO). Sie soll idealerweise ebenfalls am 25 Mai 2018 in Kraft treten.
Doch dabei braucht es systematische Werkzeuge um die Sache richtig aufzugleisen.
Dies um so mehr da die Sanktionen für das EU-DS-GVO wie auch der e-Privacy Regelung ähnlich ausgestaltet sind. Sie beinhalten Geldbussen von bis zu 20 Mio. EUR oder 4% des gesamten weltweiten Jahresumsatzes eines Unternehmens.
[su_box title=“Tools für die Folgeabschätzung“ box_color=“#86bac5″ radius=“9″ class=“alignlcenter max-width: 700px“]
Die französische Commission Nationale de l’Informatique et des Libertés ( CNIL) hat Arbeitshilfen für eine Datenschutz-Folgeabschätzung gemacht.

Das ganze ist gut erklärt aber geht nicht ohne viel Arbeit um regelkonform zu sein. Die Compliance Abteilung wird sich über die Mehrarbeit freuen.
[/su_box]

5. Was ist wertvoller? Gratis-Pizza oder die Privatspähre der Freunde?

Schwierig wenn schon Studenten bereit sind, die Privatsphäre ihrer Freunde zu verletzen:

Wir halten unsere Privatsphäre für wichtig und geben auch immer an, dass wir willens sind diese zu verteidigen. Doch wir handeln so als wäre diese nicht viel wert. Die obige Studie zeigt, dass es Menschen oft wenig kümmert wie gut geschützt ihre persönlichen Daten sind, wenn sie durch deren Freigabe Vorteile erhalten.
Die Studie testete auch inwiefern die Studenten für Bitcoin eine sichere Verschlüsselung wählen um deren Daten besser zu schützen. Doch sie waren nicht bereit mehr Zeiteinbussen hinzunehmen, indem sie eine bessere Verschlüsselung wählten (siehe auch Metzler, Beat – 2017-08-17. Verraten für ein Stück Teig.Tabes-Anzeiger, Analyse & Debatte, S. 11 https://www.tagesanzeiger.ch/schweiz/standard/verraten-fuer-ein-stueck-teig/story/28941962.

5. Ihre Meinung? Diskutieren Sie mit

Quelle: 2018 EU Datenschutz: Kostenlose Pizza gefällig
Die obigen Ausführungen zeigen, dass auch bei der Personalrekrutierung und im Umgang mit Daten von Arbeitnehmern die neue EU Datenschutz Grundverordnung (EU DS-GVO or DSGVO) wie auch die ePrivacy-Verordnung neue Anforderungen an die Compliance stellen.
Wie Social Media Profile genutzt werden dürfen bei der Auswahl von Bewerbern ist stark limitiert, was nicht unbedingt den heutigen Realitäten entspricht. Ob sich der Ausschluss solcher Daten vom Bewerbungsprozess durchsetzen lässt erscheint mir fraglich.
Aber was uns natürlich brennend interessieren würde wäre Ihre Meinung:

  • Wie managen Sie Datenschutz im Employer Branding?
  • Wie haben Sie sich auf die neue Verordnung vorbereitet?
  • Welche Checklisten und Tools nutzen Sie bei dieser Arbeit?

Ich freue mich auf Ihren Kommentar, den ich natürlich beantworten werde.

Lesenswert

DOWNLOAD PDF Datei dieser Opinion der Article 29 Working Group – 850 KB

[embeddoc url=“http://blog.drkpi.de/wp-content/files/Artcile-29-Working-Party-WP-249-Opinion-2-2017-on-data-processing-at-work.pdf“ width=“100%“ height=“780px“ viewer=“google“]

EU Datenschutz 2018 e-privacy - Was bedeutet das für Werber und Marketing Experten? | Urheber: akoppo1 | Fotolia #118430415

In Kürze. Sind die neuen europäischen Normen ein administrativer GAU?
Wie vermeiden wir Fehler, welche rigorose Strafen und Bussen zu Folge haben können?
Welche Vorteile bringt diese weitere Regulierung der Digitalisierung?
Der nachfolgende Beitrag aus unserer Reihe zum neuen Bundesdatenschutzgesetz zeigt auf, welche Dinge Marketing Fachleute berücksichtigen müssen.

Update gefällig?

Tragen Sie sich in unseren Verteiler ein, bleiben Sie auf dem Laufenden und erhalten jeweils eine Reminder-Mail, sobald ein neues Thema zum EU Datenschutz, Marketing und Compliance veröffentlicht wird.
[su_box title=“Weitere wichtige News zum EU Datenschutz“ box_color=“#86bac5″ radius=“9″ class=“alignlcenter max-width: 700px“]
2018 EU Datenschutz:  Marketing aufgepasst (sie sind hier)
2018 EU Datenschutz:  Personalrekrutierung oder kostenlose Pizza gefällig?
2018 EU Datenschutz: KMU, was nun?
2018 EU Datenschutz Ratgeber: Facebook Likes und DSGVO: Ist der Bewerber drogensüchtig?
2018 EU Datenschutz Compliance mit Google Analytics 
#MCLago 2018 EU Datenschutz: Marketing – September 2017
#MCLago 2018 EU Datenschutz: Marketing Trends – März 2018
#MCLago 2018 EU Datenschutz: Compliance Ressource Seite – Tools, Checklisten (April 2018 regelmässige Updates)
MC Stuttgart-Heilbronn – DSGVO: Tipps
#MCLago 2018 EU Datenschutz: Workshop für Marketing Fachleute – 8. März 2018
Download White Paper:  Gattiker, Urs E., Temmen, Taina, & Sinistra, Patrizia (2017-11). EU-Datenschutzgrundverordnung (DSGVO): Was ist Sache für Marketing Manager, Geschäftsleitung und Vorstand? White Paper Serie. Düsseldorf: Deutscher Marketing Verband e.V. (DMV). Aufgerufen am 2017-12-01 auf http://MCLago.com/download/13/
[/su_box]
Am 4. Mai 2016 wurde die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) kundgemacht.
Die Verordnung ist in der deutschen Fassung 88 Seiten lang und hat 173 Erwägungsgründe und 99 Artikel.

♥ Neugierig? Machen Sie es wie unsere 1,000 Abonnenten, tragen Sie Ihre eMail hier ein and lesen Sie weiter ♥

Fragen unten einfach anklicken und Sie können sogleich die Antwort lesen.

Am 10 Januar, 2017 wurde die finale Version der geplanten ePrivacy-Verordnung als offizieller Vorschlag der EU Kommission veröffentlicht. Die neue Verordnung soll die Datenschutz-Grundverordnung (DSGVO) flankieren, die zum 25. Mai 2018 in Kraft tritt.
Als EU Verordnung ist die DS-GVO wie auch die ePrivacy-Verordnung in jedem EU-Mitgliedstaat grundsätzlich unmittelbar anwendbar. Weil sie allerdings zahlreiche Öffnungsklauseln hat, ermöglicht z.B. die DS-GVO dem nationalen Gesetzgeber gewisse Spielräume.
Deshalb ist damit zu rechnen, dass es auch noch eine Änderung der nationalen Gesetze geben wird.Die Datenschutz-Grundverordnung (DS-GVO) muss bis zum 5 Mai 2018 in die jeweilige nationale Gesetzgebung einfliessen. Das DS-GVO tritt dann am 25. Mai 2018 in Kraft.

1. Grundsätzliches in der EU DS-GVO

Die Datenschutz-Grundverordnung (DS-GVO oder DSGVO) auch unter der englischen Bezeichnung General Data Protection Regulation (GDPR) bekannt kann man als das Schneidern am Datenschutz-Schirm bezeichnen.
Was einem sofort auffällt ist Artikel 6, und weitere im EU DS-GVO.
Rechtmäßigkeit der Verarbeitung. Hier eine Liste der Dinge die wir berücksichtigen müssen.
(1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben (Artikel 7);

b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;

c) die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;

d) die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;

e) die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;

f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

Unterabsatz 1 Buchstabe f gilt nicht für die von Behörden in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung.

2.  Grundsätzliches in der EU ePrivacy Verordnung

Ein Cookie (engl. für Plätzchen) ist eine winzige Textdatei. Diese ermöglicht es einer Webseite den Nutzer nach dem ersten Besuch wieder zu erkennen.
Cookies werden auf der Festplatte in einer Textdatei gespeichert. Wenn ich dann das nächste mal meinen PC und den Browser starte, wird diese Textdatei wieder aufgerufen.
Diese Cookie-Dateien sind ein wenig wie ein Gedächtnis, sodass eine Webseite mich wieder erkennt wenn ich diese besuche.
Die neue E-Privacy Verordnung von Jan 2017, sollte mit derEU-DS-GVO am 25 Mai 2018 in Kraft treten. Die neue E-Privacy Verordnung soll die bisher geltende „Cookie-Richtlinie“ ersetzen.
Künftig sollen Nutzer den Einsatz von Cookies generell über die Privatsphäre-Einstellungen ihres Webbrowsers regeln können. Der bekannte Cookie-Warn-Banner, soll mit der neuen e-Privacy Verordnung der Vergangenheit angehören.
Doch ist nicht alles so einfach wie es einem auf den ersten Blick erscheint (siehe Factsheet des Bundesverbandes der Digitalen Wirtschaft BVDW).
Die E-Privacy-Verordnung soll grundsätzlich zur Anwendung gelangen, wenn Daten von Bürgern mit Wohnsitz in der EU bearbeitet werden. Das heisst, die Verordnung ist deshalb auch für Schweizer oder USA Unternehmen von Bedeutung.
Regelmässige Updates zur ePrivacy Verordnung gibt es beim BVDW

Wohin wird uns die EU Datenschutz Veordnung und ePrivacy Verordnung führen | Urheber: Mark Lamontagne Virginia | Death To Stock Photo

Wohin wird uns die EU Datenschutz Veordnung und ePrivacy Verordnung führen | Urheber: Mark Lamontagne Virginia | Death To Stock Photo


[su_box title=“3. Checkliste EU Datenschutz 2018: 3 Punkte die es zu berücksichtigen gilt“ box_color=“#86bac5″ title_color=“#ffffff“ radius=“5″ width=“px 700″ ]

1. Nachweisbares Datenschutzmanagement: Accountability Prinzip

Wer ist zuständig für was. Wir müssen somit unsere Abläufe noch genauer dokumentieren als heute. Das heisst Prüfungs- und Protokollierung-Software wird hier eingesetzt werden müssen.
Wie das bei innovativen Marketing Anwendungen geschehen soll, wissen wir bis Mai 2018 wohl kaum im Detail.

2. Meldepflicht und Compliance: Fast alle Pannenlecks müssen gemeldet werden

In der Praxis war bis heute die Regel, dass Pannenlecks im Bereich Marketing nicht gemeldet werden mussten. Grund war, dass diese Daten gewöhnlich nicht verarbeitet wurden wie z.B. bei Banken.
Ab 2018, egal welche Kategorie von Daten wir nutzen (z.b. für das Direct Marketing), die Panne muss bei der zuständigen Datenschutzbehörde gemeldet werden !

3. Auslegung der Regelung: Zentralisierter und langsamer

Datenschutzrechtliche Fragen werden in Zukunft nicht mehr definitiv von der Landesdatenschutzbehörde behandelt.
Mit Inkrafttreten der Verordnung im Jahre 2018 wird zu solchen Fragen zukünftig nur in Brüssel abschliessend Stellung genommen.
Dieses internationale Gremium, d.h. der Europäische Datenschutzausschuss oder kurz EDSA soll dann ab 25. Mai 2018 zu Fragen eines Datenschutzbeauftragten – welche heute direkt an die Landesdatenschutzbehörde gestellt werden – abschliessend behandeln und Stellung nehmen.
Das dies mehr Zeit braucht und die Dinge komplizierter und bürokratischer machen könnte als diese heute der Fall ist, wird mit hoher Wahrscheinlichkeit eintreten.
PS. Kritik gibt es auch daran, dass die Bundesbeauftragte für den Datenschutz alleinige Vertreterin für alle deutschen Datenschutzbehörden im Europäischen Datenschutzausschuss (EDSA sein soll.[/su_box]

4. Ändert sich auch die nationale Gesetzgebung in der Schweiz?

Der Schweizer Bundesrat hat der Übernahme der neuen EU-Richtlinie bereits am 31. August 2016 zugestimmt und das Eidgenössische Justiz- und Polizeidepartement (EJPD) beauftragt, die zur Umsetzung der Richtlinie erforderlichen Änderungen in die Totalrevision des DSG (aus 1993) aufzunehmen.
Der Vorschlag für das revidierte schweizerische Datenschutzgesetz (DSG) wurde Ende 2016 präsentiert. Das „Motto“ ist auch hier mehr Transparenz und stärkere Kontrolle über die eigenen Daten.
Der aktuelle Entwurf ist insbesondere darauf ausgerichtet, die schweizerische Gesetzgebung der Verordnung (EU) 2016/679 anzunähern. Die Totalrevision des DSG wird folglich auch eine umfassende Revision bestimmter Bundesgesetze zur Folge haben.
Die Datenschutzgrundverordnung (EU-DS-GVO)  wie auch die e-Privacy Regulierung werden im Mai 2018  in Kraft treten. Diese ist nach Einschätzung der economiesuisse ein „Musterbeispiel für eine praxisferne und unausgegorene Regulierung“.
Die schweizerische Lobbyisten Organisation für Grossunternehmen sind der Meinung, das neue Gesetz bringe Rechtsunsicherheit und einen erheblichen administrativen Mehraufwand. Frage ist natürlich,  in wie weit der Schutz der Privatsphäre überhaupt gestärkt wird.
Zur Zeit ist noch nicht genau ersichtlich, inwiefern der schweizerische Gesetzgeber einen praktikablen Zwischenweg finden wird.
Lesenswert: Keller, Claudia & Tschudin, Miachael (2017-04). Datenschutzrecht – Wo geht es hin? CH-D Wirtschaft 1/2017. Aufgerufen 2017-05-12 auf

4. Ihre Meinung? Diskutieren Sie mit

Quelle: 2018 EU Datenschutz: Marketing
Aber was uns natürlich brennend interessieren würde wäre Ihre Meinung:

  • Wie managen Sie Datenschutz im Marketing?
  • Wie haben Sie sich auf die neue Verordnung vorbereitet?
  • Welche Checklisten und Tools nutzen Sie bei dieser Arbeit?

Ich freue mich auf Ihren Kommentar, den ich natürlich beantworten werde.

Lesenswert