Direktmarketing Blog

Trends, Tipps, Studien und mehr rund um das Thema Direktmarketing – Ein privater Blog von Jan-Philip Ziebold

USA führt Amt des Datenschutzbeauftragten ein

Kurz News zum Wochenstart: Die US-Regierung wird vermutlich das Amt eines obersten Datenschutzbeauftragten einrichten, der die Rechte von Internetnutzern stärken soll. Eine Forrester-Umfrage zeigt, dass z.B. mittlerweile 36% der US-Bürger „sehr besorgt“ sind um die Datensicherheit in Social Networks (wsj.com, paidcontent.org, blogs.forrester.com).

P.s.: Andre Neuigkeit am Rande:
Neuromarketing erforscht Hirnreaktionen auf Werbebotschaften: Testkandidaten tragen Sensoren, während sie Werbung ausgesetzt sind, mit dem Ziel der Forscher, künftige Werbemittel noch gezielter ins Unbewusste zu platzieren.

(„Handelsblatt“, S. 24/25, nytimes.com)

Mit besten Grüßen aus Essen,
Jan-Philip Ziebold

Einsortiert unter:Allgemein, Rechtslage, ,

Staatliche Aufsicht über den Datenschutz ist rechtswidrig

Aktuell

Aktuell

„Urteil gegen Deutschland – Europa befreit Datenschützer von politischem Druck“, titelt heute der Spiegel und „Datenschutz in Deutschland: Die nächste Ohrfeige“ so die Schlagzeile bei der Süddeutschen Zeitung. Doch was ist passiert?

Der Europäische Gerichtshof urteilte (Rechtssache C-518/07), das Datenschützer in Deutschland unabhängiger von der Politik agieren müssen. Die staatliche Aufsicht über den Datenschutz sei nach der Ansicht der EU somit rechtswidrig, der Gesetzgeber müsse nun nachbessern. Die bisherigen Gesetze verstossen nach Ansicht des Gerichts klar gegen das EU-Recht, die ganze Struktur muss daher nun reformiert werden. Bundesdatenschutzbeauftragter Peter Schaar zu diesem Thema: „Ich freue mich über diese klaren Worte des Europäischen Gerichtshofs.“

Eine wahre Ohrfeige, da kann ich der Süddeutschen nur zustimmen, den eine Woche nachdem das Bundesverfassungsgericht bereits die deutsche Praxis der Vorratsdatenspeicherung als verfassungswidrig verworfen hat, muss Deutschland schon wieder eine Schlappe einstecken.

Mit besten Grüßen aus Essen,
Jan-Philip Ziebold

Einsortiert unter:Allgemein, Rechtslage, , , ,

Wie reagiert man richtig bei einer Datenpanne?

Tipps & Ratschläge

Tipps & Ratschläge

Wie man mit einer Datenpanne richtig umgeht, ist den meisten leider völlig unklar. Und wenn das Glück es gut meint, ist dies für die meisten soweit auch erst mal nicht schlimm. Aber für den Fall der Fälle sollten Sie vorbereitet sein und Ihr Glück nicht zu sehr auf die Probe stellen. Ich habe Ihnen daher ein paar Tipps und Ratschläge zusammengestellt, die Ihnen bei den ersten Schritten nach einer möglichen Datenpanne helfen können:

Darum geht es: Nach der aktuellen BDSG-Novelle (seit 09/2009 gültig) und § 42a BDSG müssen nach einer Datenpanne unter Umständen bestimmte Informationspflichten zeitnah von Ihnen erfüllt werden, da sonst Bußgelder und andere Konsequenzen drohen.

Wann handeln?: Sind von einer Datenpanne spezielle Datenkategorien betroffen und drohen schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der betroffenen Dateninhaber, sind die zuständige Aufsichtsbehörde und natürlich auch die Betroffenen selber zu unterrichten.

Wie handeln?: Keine Panik, Sie müssen sich kein Bein ausreißen und sofort tausende Briefe tippen, sondern erst einmal Ruhe bewahren und alles genau analysieren. Die Mitteilung an die Betroffenen hat zwar unverzüglich zu erfolgen, aber erst nach der Datensicherung, sprich wenn eine Strafverfolgung nicht mehr akut ist. Weiterhin sieht § 42a das BDSG vor, dass die Betroffenen eine Schilderung der unrechtmäßigen Kenntniserlangung der Datenpanne erhalten sowie zusätzlich eine Empfehlung für Maßnahmen zur Minderung möglicher nachteiliger Folgen.

Die Aufsichtsbehörde hingegen muss zusätzlich und vor den Betroffenen eine Erläuterung möglicher nachteiliger Folgen der Datenpanne und der von Ihnen daraufhin ergriffenen Maßnahmen erhalten.

Zudem sollten die betroffenen IT-Systeme durch Ihr Unternehmen nicht einfach verändert werden (sofern keine direkte akute Gefahr mehr von ihnen ausgeht). Vielmehr müssen die Spuren des Vorfalls für die Staatsanwaltschaft bewahrt werden. Besteht der Verdacht, dass Passwörter missbraucht wurden, sind diese umgehend zu deaktivieren und in Absprache mit den ermittelnden Stellen die entsprechenden Zugänge zu löschen. Wichtig ist hier wirklich, dass Sie alles absprechen und nicht in Panik handeln und Sperren/Löschen/etc. …

Externe Datenpannen-Meldungen an Sie: Wenn nun ein Dritter an Ihr Unternehmen herantritt und eine Datenpanne bei Ihnen meldet, sollte ebenfalls keine Panik ausbrechen, sondern zuerst die meldende Stelle um genaue Angaben gebeten werden (wie z.B.: Kontaktdaten, genaue Beschreibung des vermuteten Datenlecks, Art der Daten, wie bemerkt, etc. ).
Dann erfolgt sofort eine Prüfung dieser Meldung durch die definierten Verantwortlichen, wobei Ihr interner oder externer Datenschutzbeauftragter die Prüfung begleiten sollte. Stellt sich die Datenpanne als echt heraus, greifen die Maßnahmen der Information aller relevanten Stellen (Aufsichtsbehörde, Betroffene, etc.).

Fazit: In jedem Fall Ruhe bewahren und Ihren Datenschutzbeauftragten in alle Prozesse aktiv und umfangreich mit einbeziehen. Optimaler Weise (je nach Kompetenz und Verfügbarkeit) sollten Sie ihm die Leitung des Vorfalls überlassen.
Wenn Sie Ihrer Sorgfaltspflicht nachkommen, ist das Meiste geschafft und die Gefahr erst mal gebannt. Dann gilt es so etwas zukünftig zu vermeiden.

Mit freundlichen Grüßen aus Essen,
Jan-Philip Ziebold

Einsortiert unter:Allgemein, Sonstiges, , , , ,

Alles zum neuen BDSG (seit 01.09.09 gültig)!

Rechtslage

Rechtslage

Heute, am 1. September 2009, tritt die erste Stufe der Datenschutz-Novelle in Kraft (Stufe zwei am 01.04.2010, sowie am 11.06.2010).

Das neue BDSG wurde von der Regierung noch unmittelbar vor der Sommerpause im Bundestag und Bundesrat „durchgeboxt“ bzw. der „Flickenteppich“ wurde verabschiedet. Die zweite Stufe enthält beispielsweise die Schwerpunkte Auskunftdateien und Scoring-Verfahren. Aber wie sagt man so schön: „Wenn der Sturm kommt, bauen die einen Mauern und die anderen Windmühlen.“… was was machen Sie davon?

In diesem Artikel zeige ich Ihnen auf, was Sie und Ihr Unternehmen hierbei beachten müssen – die wichtigsten Änderungen somit zusammengefasst.

P.S.: Für Einsteiger: Das Bundesdatenschutzgesetz regelt, zusammen mit den Datenschutzgesetzen der Länder, den Umgang mit Informationen, wie Adressen, Kontonummern oder Konsumgewohnheiten, die bestimmten Personen zugeordnet werden können/müssen.

Vorab, weiterführende Links zum Gesetz:

A.) BDSG-Fassung des Innenausschusses:
http://dip21.bundestag.de/dip21/btd/16/136/1613657.pdf

Übersichtlicher finde ich jedoch folgende beiden Dokumente:

B.) BDSG 2009, die Änderungen im Überblick:
http://www.ddv.de/downloads/2009/bdsg/Ueberblick_BDSG-Novellen.pdf

C.) BDSG 2009, Gesetzestext mit eingearbeiteten Änderungen:
http://www.ddv.de/downloads/2009/bdsg/Gesetzestext_BDSG-Novellen.pdf

Die wichtigsten Änderungen aus diesen, nun hier für Sie zusammengefasst:

1.) Datenverschlüsselung

Bei der Übermittlung von Daten jeglicher Art, soll künftig immer von der Möglichkeit sicherer Verschlüsselung Gebrauch gemacht werden. Ferner sind Daten zu anonymisieren sobald es der Zweck zulässt. Die Unternehmen unterliegen hier einer Sorgfaltspflicht.
Siehe auch unter Punkt 7, Meldepflicht bei „Missgeschicken“.

2.) Arbeitnehmerdatenschutz

Die Aufnahme des Arbeitnehmer-Datenschutzes in das BDSG erfolgt zwar formell, bringt aber nicht die erwartete Stärkung der Arbeitnehmerposition. Überwiegend wird die ohnehin bestehende Rechtspraxis einfach nur nocheinmal abgebildet.

Dass der Datenschutz in Unternehmen bei der breiten Bevölkerung allgemein eher als schlecht angesehen wird, hat erst kürzlich das Marktforschungsinstitut Emnid ermittelt. Hierzu habe ich hier berichtet: „Deutsche vertrauen wenig in Datenschutz bei Unternehmen“ https://adressdaten.wordpress.com/2009/08/05/deutsche-vertrauen-wenig-in-datenschutz-bei-unternehmen/

3.) Datenschutzbeauftragter

Das Gesetz führt einen erweiterten Kündigungsschutz für den betrieblichen Datenschutzbeauftragten für die Dauer seiner Bestellung und weiterhin bis zu einem Jahr danach ein.

Ferner wird der Betrieb verpflichtet, dem betrieblichen Datenschutzbeauftragten zum Erhalt und Ausbau seiner Fachkunde den Besuch von Fort- und Weiterbildungsveranstaltungen zu gestatten und zu bezahlen.

Sie sollten daher zeitnah prüfen, ob ein interner oder externer Datenschutzbeauftragter für Sie wirtschaftlicher ist. Beides ist erlaubt.

4.) Auftragsweise Datenverarbeitung

Für alle Auftragsdatenverarbeiter (also fast alle Direktmarketer, E-Mail-Marketer, Vermarkter bzw. Adressbroker, etc.) gibt es bei der Auftragsdatenverarbeitung (ADV) jetzt einen aus zehn Punkten bestehenden Katalog (die in §11 BDSG aufgeführt sind) an gesetzlich festgelegten Mindestangaben.

Sie sollten somit baldmöglichst Ihre internen Abläufe in Frage stellen und sich aktiv mit den neuen Regeln vertraut machen.

Über dieses Thema habe ich bereits in einem eigenen Artikel ausführlich berichtet:
https://adressdaten.wordpress.com/2009/08/03/auftragsdatenverarbeiter-aufgepasst-regeln-nach-der-datenschutz-novelle/

WICHTIG: Denn der ebenfalls neu gefasste Bußgeldtatbestand in § 43 Abs. 1 Nr. 2b BDSG bedroht jeden mit Bußgeld, der „entgegen § 11 Abs. 2 Satz 2 einen Auftrag nicht richtig, nicht vollständig oder nicht in der vorgeschriebenen Weise erteilt“.

5.) Einwilligung für Werbung (Opt-In)

Ab heute muss eine mündliche Einwilligung schriftlich bestätigt werden und elektronisch gegebene Einwilligungen sind zu protokollieren. Die schriftliche Einwilligung muss zudem als solche klar erkennbar sein, insbesondere muss sie aus umfassenderen Regelungen deutlich sichtbar hervorgehoben werden.

Doch wie muss dieses Einwilligung bzw. das Opt-In aussehen?
Dies habe ich bereits in einem vorhergehenden Artikel beschrieben und möchte daher auf diesen hier verweisen:
https://adressdaten.wordpress.com/2009/07/22/nicht-ohne-mein-%E2%80%9Copt-in%E2%80%9D-aber-wie-muss-es-aussehen/

Weitere Punkte der Einwilligung:

– Der Inhalt der Opt-In Protokollierung muss zukünftig für alle Betroffenen jederzeit elektronisch einsehbar sein und man muss diese Einwilligung jederzeit mit Wirkung für die Zukunft einfach widerrufen können.

– Verträge dürfen nicht von Einwilligungen abhängig gemacht werden. Derartige erwirkte Einwilligungen sind nichtig.

– Die Werbung selbst muss den Empfänger der Einwilligung erkennbar machen. Auf Nachfrage muss der Werbende in der Lage sein, die Herkunft einer Einwilligung z.B. beim Kauf von Adressverlagen über zwei Jahre zurück zu benennen.

Ausnahme: Adressen, die bereits vor dem 1. September 2009 verwendet/ generiert wurden, können noch bis zum 1. September 2012 nach der alten Regelung genutzt werden.

B2B-Marketing: Künftig grundsätzlich erlaubt ist die personalisierte Werbung an geschäftliche Adressen, ohne dass es hierfür einer Einwilligung bedarf.

P.S. Nicht ganz uneigennützig, möchte ich kurz auf die DZ-Media Verlag GmbH verweisen, die seit 1998 in diesem Bereich (Direktmarketing/Adressmarketing/Datenschutz) langjährige Erfahrungswerte besitzt. Mehr Infos: http://www.dz-media.de

6.) Markt- und Meinungsforschung

Dieser Bereich wird künftig gesondert geregelt. So ist jedes Verfahren der zuständigen Aufsichtsbehörde vorab zu melden, und jedes Unternehmen dieser Gruppe hat – unabhängig von seiner Mitarbeiterzahl – einen eigenen Datenschutzbeauftragten zu bestellen (intern oder extern ist hierbei egal).

Auftraggeber sollten beachten, dass sie im Rahmen ihres Auftrages (auftragsweise Datenverarbeitung) die hier unter Punkt 4 erwähnten Regelungen zu beachten haben!

7.) Meldepflicht

Das Gesetz sieht in §42a jetzt eine unverzügliche Informationspflicht vor, wenn einem Unternehmen besondere personenbezogene Daten vorliegen, wie z.B.:

Neben den als sensibel eingestuften Daten nach §3(9) BDSG (rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder das Sexualleben) sollen auch Daten der Meldepflicht unterliegen, die erkennbar einem Berufsgeheimnis unterliegen, sprich wie z.B. Bank- und Kreditkartenkonten oder Informationen die sich auf strafbare Handlungen oder Ordnungswidrigkeiten oder den Verdacht hierauf beziehen, etc.

Die Aufsichtsbehörden haben dann hier eine erweiterte Weisungsbefugnis. Sie können damit nicht nur Bußgelder verhängen, sondern auch unmittelbar Anordnungen und Untersagungen in Bezug auf materiell rechtswidrige Datenverarbeitungen treffen.

Weiterhin werden auch die Bußgeldrahmen auf 50.000 Euro (für Verstöße gegen Verfahrensvorschriften/ Meldepflicht) und 300.000 Euro (für Verstöße gegen materielle Schutzvorschriften) erweitert, zudem können diese zur Gewinnabschöpfung auch überschritten werden.
Es gibt nun auch mehrere neue Bußgeldtatbestände für Verstöße gegen das Datenschutzrecht, etwa für eine unzureichend erteilte Auftragsdatenverarbeitung oder für einen Verstoß gegen das Kopplungsverbot.

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Peter Schaar, begrüßt die Gesetzesnovelle und sieht nun die Firmen in der Pflicht: „Ich fordere die Verantwortlichen in den Unternehmen dazu auf, die durch die Neuregelung gebotene Chance zu nutzen, verloren gegangenes Vertrauen zurückzugewinnen. Personenbezogene Daten sind kein beliebig ausbeutbares Wirtschaftsgut. Wer sie erhebt und nutzt muss die Persönlichkeitsrechte der Betroffenen respektieren.“

————-

Das schreiben andere Medien heute (01.09.09):

Besserer Schutz für persönliche Daten
gefunden bei WELT ONLINE

Besserer Datenschutz gefunden
gefunden bei FOCUS Online

Bundesdatenschutzgesetz tritt morgen in Kraft
gefunden bei Golem.de

Änderung des Bundesdatenschutzgesetzes ab 1. September
gefunden ei Haufe.de

Ich hoffe Ihnen mit diesen Informationen einen guten Überblick der aktuellen Lage vermittelt zu haben. Bei Rückfragen stehe ich Ihnen gerne zur Verfügung.

Beste Grüße aus Essen,
Ihr Jan-Philip Ziebold

P.S.: Abschließend möchte ich noch auf einen Artikel aus dem Jahr 2008 verweisen, der noch weitere Punkte zum Thema aufführt: „BDSG Änderungen 2008 – Derzeit sehr umstritten, aber warum?

Einsortiert unter:Adressdaten, Allgemein, Branchen-News, Rechtslage, , , , , , , , , , , , , , ,

Gib deine E-Mail-Adresse ein, um diesem Blog zu folgen und per E-Mail Benachrichtigungen über neue Beiträge zu erhalten.

Follow Direktmarketing Blog on WordPress.com

Archive

Follow Direktmarketing Blog on WordPress.com

Über den Autor

Jan-Philip ZieboldJan-Philip Ziebold ist Geschäftsführer bei der "DZ-Media Verlag GmbH - Werbe- & Mediaagentur für Direktmarketing" in Essen und schreibt in diesem privaten Blog über Trends, Tipps sowie News rund um das Thema Direktmarketing. Jan-Philip Ziebold bei Xing Jan-Philip Ziebold bei Facebook Zur DZ-Media Webseite

Kontakt

Dieser Blog wird betrieben von Jan-Philip Ziebold mit Unterstützung der DZ-Media Verlag GmbH aus Essen. Zum Impressum. Jan-Philip Ziebold bei Xing Jan-Philip Ziebold bei Facebook Zur DZ-Media Webseite

Facebook-Partnerseiten:

Follow Direktmarketing Blog on WordPress.com