Archiv für die Kategorie: ‘Der Markt’

DAZ Datenschutzauskunft-Zentrale: zweifelhaftes Angebot

Montag, 1. Oktober 2018

Ein Kunde von mir bekam heute per Fax ein „offiziell“ aussehendes Schreiben einer „DAZ Datenschutz-Auskunftzentrale“, laut Postanschrift Lehnitzstraße 11 in 16515 Oranienburg. Ähnliche Schreiben kennen Unternehmer für Eintragungen in zweifelhafte Unternehmensregister, Gewerberegister etc. Bei diesen üblichen Schreiben werden Einträge in Datenbanken für hohe Preise verkauft und die Absender hoffen offensichtlich darauf, dass das „Angebot“ nicht komplett gelesen wird.

Bei diesem Angebot werden nun zum Preis von 498 € pro Jahr zzgl. MwSt mit einer Mindestlaufzeit von drei Jahren Vordrucke und Muster angeboten, deren Wert ich mangels Kenntnis der Unterlagen nicht beurteilen kann. Doch schon auf Grund der Aufmachung warne ich vor einer Antwort auf dieses Schreiben der DAZ Datenschutz-Auskunftzentrale, nach meinem Eindruck handelt es sich um „Bauernfängerei“.

Nur am Rande sei noch erwähnt, dass solche Werbung bzw. Angebote per Fax rechtswidrig sind. Absendernummer des Faxes war 00800 77 000 777, dorthin sollen auch Antworten geschickt werden.

Aus dem Schreiben geht an keiner Stelle hervor, wer wirklich der Vertragspartner sein soll, wer oder was also die „DAZ Datenschutz-Auskunftzentrale“ ist. Es bestehen daher erhebliche Zweifel, dass auch bei einer Antwort hierdurch ein rechtsgültiger Vertrag zustande kommt.

Lange nichts gelesen: Über neue Datenschutzberater und die Goldgräberstimmung in der Branche.

Sonntag, 6. Mai 2018

Zwei Jahre lange wurde dieser Blog von mir ziemlich stiefmütterlich behandelt. Kurz zusammengefasst: zu viel zu tun. In den letzten zwei Jahren hat sich viel zum Thema Datenschutz getan: Ich schreibe hier nur „EU-Datenschutzgrundverordnung“. Und obwohl die Arbeitsmenge aktuell – viele Organisationen wachen erst jetzt, zum Zeitpunkt des Ablaufes der zweijährigen Übergangszeit auf – nachwievor zu und nicht abnimmt, so ist es doch Zeit, dringend wieder etwas zu schreiben.

Anlass ist die offensichtliche Goldgräberstimmung bei durchaus zweifelhaften Datenschutzberatern und Datenschutzbeauftragten.

Viele Kollegen – natürlich sind auch die Kolleginnen gemeint – sind seit vielen Jahren tätig, haben die Entstehung der DSGVO begleitet, ihre Stärken und Schwächen analysiert, teilen die Meinung, dass der Grundsatz der DSGVO gut ist und sehen aber auch die Schwierigkeiten in der Umsetzung, gerade für kleinere und mittelständische Organisationen. Sie erarbeiten Wege, ihre Kunden Grundverordnungskonform aufzustellen. Viele ächzen unter der Mehrbelastung und der Problematik, die Rollenverschiebung in der Tätigkeit des betrieblichen Datenschutzbeauftragten zu vermitteln.

Datenschutz ist noch anspruchsvoller geworden, als es als in den letzten Jahren schon war. Die Dokumentationspflichten, sowohl für die verantwortlichen Stellen als auch für die betrieblichen Datenschutzbeauftragten, werden durch die DSGVO erheblich umfangreicher. Zusätzlich wächst das Haftungsrisko für beide massiv. Und nur sorgfältige und sehr gut dokumentierte Arbeit kann diese Haftungsrisiken verbinden.

Gehen Sie, wenn Sie Mitarbeiter beschäftigen, in sich: Kennen Sie z. B. die genauen Rechtsgrundlagen der Datenübermittlung von Beschäftigtendaten an die Finanzbehörden? Sie müssten diese Wissen, um Ihr Verzeichnis der Verarbeitungstätigkeiten korrekt zu führen. Und wissen Sie die korrekten Löschfristen? Sagen Sie jetzt bitte nicht pauschal „10 Jahre“. Wenn Sie dieser Meinung sind, die leider an vielen Stellen zu lesen ist, würde ich mich freuen, wenn Sie mir Ihre Begründung für diese Frist mitteilten.

Was ich vermitteln will: Auf viele Fragen, warum welche personenbezogene Daten auf welche Weise verarbeitet werden, bekomme ich bei Interessenten und Neukunden die Antwort – einfach ausgedrückt „das haben wir schon immer so gemacht“. Doch diese Antwort ist sicherlich angesichts der drohenden Folgen bei Datenschutzverstößen eher suboptimal.

Neue Märkte für Datenschutzberater?

Und ich beobachte mit Schrecken, wie neue Angebote aus dem Boden sprießen: Das „Datenschutzsorglospaket“ für 500 € pro Jahr – inklusive betrieblichem Datenschutzbeauftragtem, Datenschutzhandbuch, Formularen und Zertifikat. Bedenken Sie: Für die korrekte Bestellung eines betriebliche Datenschutzbeauftragten sind Sie als verantwortliche Stelle zuständig. Ist dieser fachlich nicht geeignet oder kommen recht offensichtlich seinen Überwachungsfunktionen Ihnen gegenüber nicht nach, so begehen Sie den Datenschutzverstoß. Ich bekomme Unterlagen, die offensichtlich aus diversen Quellen im Internet zusammen kopiert wurden und nun für teuer Geld an unbedarfte Unternehmen als Weisheiten verkauft werden. Problematisch ist weniger das Geld, das hierfür ausgegeben wird. Problematisch ist, das sich Unternehmen auf diese „Informationen“ vertrauen – und dann Datenschutzverstöße begehen.

Überlegen Sie, wie hochwertig ein qualifizierter Datenschutzbeauftragter, ob Jurist oder Ingenieur oder Informatiker, für 500 € pro Jahr den Datenschutz in Ihrem Unternehmen überwachen kann, Sie beraten kann, Sie unterstützen kann. Es tut mir leid: Eine Organisation datenschutzgrundverordnungskonform aufzustellen, ist teurer.

 

 

Misstrauen hinsichtlich der Verwendung persönlicher Daten führt zu Verbraucherfrust

Mittwoch, 25. Dezember 2013

Misstrauen hinsichtlich der Verwendung persönlicher Daten zählt zu den wichtigsten Gründen für den Frust von Verbrauchern, so geht es aus einem Bericht der Welt online am 23.12.2013 über eine aktuelle Untersuchung der Beratungsgesellschaft Accenture hervor. Dies zeigt einmal mehr, dass ein offensiver und transparenter Umgang mit dem Datenschutz zur Kundenbindung und für die Neukundengewinnung für Unternehmen extrem wichtig ist. Nutzen Sie als mein Kunde die Datenschutzberichte und Datenschutzgutachten, um Ihre Interessenten zu Kunden zu machen und Ihre bestehenden Kunden weiter an Sie zu binden. Sie sind noch kein Kunde bei mir? Sprechen Sie mich an!

Datenschutz in der Arztpraxis

Mittwoch, 20. November 2013

Vom 20. November bis zum 23. November 2013 findet in Düsseldorf wieder die Medica statt. Dies ist für mich der Anlass, für niedergelassene Ärztinnen und Ärzte ein besonderes Paket zum Thema Datenschutz in der ärztlichen Praxis zu schnüren. Informationen zu diesem Paket finden Sie auf meiner Webseite unter http://ing-buero-ludwig.de/arztpraxis/

IfG Institut für Grundschutz: Wie einzelne schwarze Schafe auf Kundenfang gehen und den Ruf der externen, betrieblichen Datenschutzbeauftragten schädigen

Freitag, 5. Oktober 2012

Harte Worte für eine Überschrift, aber anders kann man meines Erachtens nach die nachfolgend beschriebene Methode nicht beschreiben. Ein D. O. aus Düsseldorf – oder vielleicht aus Duisburg (laut dem Eintrag seiner Domäne) – schreibt zur Zeit in größerer Zahl Arztpraxen an. Dieses Schreiben versucht, einen offiziellen, quasi behördlichen Eindruck zu machen, droht mit Bußgeldern und fragt ab, wer der betriebliche Datenschutzbeauftragte ist bzw. ermöglicht gleich die Bestellung eines betrieblichen Datenschutzbeauftragten des „Instituts für Grundschutz“. In einigen Ärzteforen im Netz wird von Ärzten schon überlegt, Anzeige wg. Betruges zu stellen.

Ich warne vor einer Beauftragung dieses „Institut für Grundschutz“. Einerseits sind Methoden eines solchen Schreibens offensichtlich unseriös. Solche Methoden sind bekannt aus Bereichen der Abzocke mit vermeintlichen Aufforderungen zu Addressbucheintragen, Messekatalogen etc.

Ein Arzt, als Leiter einer verantwortlichen Stelle einen betrieblichen Datenschutzbeauftragten bestellen muss – wenn mehr als 9 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt werden – kann nur eine Person zum betrieblichen Datenschutzbeauftragten bestellen, die die notwendige Fachkunde und Zuverlässigkeit besitzt. Ob die Zuverlässigkeit bei einem Absender solcher Werbemaßnahmen gegeben ist, mag jeder selbst beurteilen.

Auch an der Fachkunde des Herrn D. O., eingetragener Kaufmann, drängen sich dem Fachmann Zweifel auf: Auf seiner Webseite, die sich zur Zeit in einem „Wartungsmodus“ befindet und nicht erreichbar ist, veröffentlichte er (Zugegriffen über den Google-Cache), ein „Verfahrensverzeichns gemäß § 4e BDSG (öffentliches Verfahrensverzeichnis)“, welches den Anforderungen des Bundesdatenschutzgesetzes in keiner Weise genügt. Auch dass das von Herrn O. und seinem „Institut für Grundschutz“ genutzte Bestellungsformular die Bestellung eben des „Instituts“ und keiner Person vorsieht ist nicht haltbar. Fachkunde und Zuverlässigkeit können nur Menschen besitzen, die Bestellung eines betrieblichen Datenschutzbeauftragten ist daher immer an eine natürliche Person gebunden.

Da Herr O. dem Anschein nach eine TÜV-Prüfung im Bereich Datenschutz abgelegt hat, sollte der TÜV die eigenen Kriterien für das Bestehen seiner Prüfungen oder das Aberkennen seiner Zertifikate einmal überdenken. Leider ist Herr O. damit auch ein Beispiel dafür, dass „Zertifikate“ im Bereich des Datenschutzes mit Vorsicht zu genießen sind und „verantwortliche Stellen“ die Fachkompetenz und Zuverlässigkeit ihres betrieblichen Datenschutzbeauftragten konkret selbst prüfen müssen.

Falls Sie, liebe Leserin, lieber Leser, Opfer der Werbemethode des „Instituts für Grundschutz“ geworden sind und Herrn O. beauftragt haben: Melden Sie sich bitte bei mir. Ich werde Sie gerne bei der Auflösung oder Anfechtung des Vertrages unterstützen.

Mehr zu den Themen:

Metropolrad Ruhr – Nextbike GmbH und der Datenschutz

Mittwoch, 23. November 2011

Ein Beispiel aus der Realität

Eine gute Idee: Im Ruhrgebiet kann man an vielen Stellen kurzzeitig und kurzfristig ein Fahrrad mieten und auch an anderer Stelle zurückgeben. Gerade in dieser dichtbesiedelten Region ist dies ein sehr sinnvolles Angebot. Betrieben wird dieses von der Firma nextbike GmbH aus Leipzig.

Um die Fahrradmiete zu nutzen, musste man sich bei der nextbike GmbH registrieren, hierbei wurden auch personenbezogene Daten auf der Seite der nextbike GmbH erfasst: Name, Vorname, Adresse, E-Mail etc. Bei der Zahlungsart „Kreditkarte“ wurde man auf die Seite der Firma „RBS Worldpay“ umgeleitet und dort aufgefordert, die klassischen Kreditkartendaten einzugeben.

Ein Hinweis, dass die Adresse etc. von der nextbike GmbH an den Zahlungsdienstleister RBS Worldpay oder andere Dritte weitergegeben wurde, fand sich weder in den AGB, noch in den Datenschutzhinweisen.

Registrierte man sich, folgte eine Mail der „Royal Bank of Scotland (RBS)“ mit Zugangsdaten zum System der RBS und dort konnte man feststellen, dass sämtliche Kontaktdaten von der Firma nextbike GmbH weitergegeben worden waren. Ein klarer und eindeutiger Verstoß gegen das Bundesdatenschutzgesetz.

Die Intervention des sächsischen Datenschutzbeauftragten führte schließlich dazu, dass AGB und Datenschutzhinweise angepasst wurden, weniger Daten als Pflichtangaben erfasst wurden und eine Kontaktadresse des Datenschutzbeauftragten veröffentlicht wurde.

Empfehlungen

Offensichtlich hatte die Firma nextbike GmbH vor der Intervention des Landesdatenschutzbeauftragten keinen betrieblichen Datenschutzbeauftragten oder dieser war in die Prozesse nicht richtig eingebunden worden. Sonst wäre die Intervention des Landesdatenschutzbeauftragten sicherlich nicht notwendig gewesen, der Aufwand von AGB-Anpassungen usw. wäre gespart worden.

Dieses Beispiel aus der Praxis zeigt, wie wichtig datenschutzrechtliche Beratung für Unternehmen ist. Wenn Sie in Ihrem Unternehmen personenbezogene Daten von Kunden, Lieferanten oder Mitarbeitern erfassen oder verarbeiten: Sprechen Sie mich an und klären Sie so die Zulässigkeit der Datenverarbeitung ab. Das erspart Ihnen unangenehme Nachfragen von Aufsichtsbehörden und gibt Ihnen Rechtssicherheit.

Datenschutz als Marketinginstrument

Freitag, 26. August 2011

Es ist erschreckend, wie wenig Firmen den Datenschutz als Marketinginstrument nutzen! Sucht man auf den Webseiten der Firmen nach Informationen über den Datenschutz findet man, überwiegend etwas versteckt, nichtssagende Aussagen wie

„Wir nehmen den Schutz Ihrer persönlichen Daten sehr ernst und halten uns strikt an die Regeln der Datenschutzgesetze. Personenbezogene Daten werden auf dieser Webseite nur im technisch notwendigen Umfang erhoben. In keinem Fall werden die erhobenen Daten verkauft oder aus anderen Gründen an Dritte weitergegeben.“

Häufig gefolgt von Aussagen über Cookies etc. Sucht man bei Google nach der Kombination der Begriffe „Datenschutz nehmen sehr ernst“, so werden einem über 4,6 Millionen Ergebnisse präsentiert.

Schaut man sich dann einige dieser Webseiten oder der Firmen genauer an, so findet man normalerweise weder Angaben über einen Datenschutzbeauftragten noch über ein Verfahrensverzeichnis etc. Insbesondere Firmen, bei denen eine offensive Kommunikation Marktvorteile generieren würden, gegenüber Kunden oder Bewerbern, haben diese Chancen weitestgehend nicht erkannt. Nachfragen per E-Mail führen regelmäßig zu Techniken des „Erledigens durch Ignoranz“.

Auch in der physischen Welt erlebt man als Kunde vor allem Absurditäten: Ein Beispiel ist die inzwischen fast allgegenwärtige Videoüberwachung: Nahezu jeder Kunde fühlt sich durch die Kameras irgendwie beeinträchtigt und unwohl, aber wir haben diese Kameras „irgendwie“ vielfach akzeptiert. Es gibt ja auch gute Gründe, in denen der Einsatz der Videoüberwachung legal und legitim ist. Viele Firmen versuchen jedoch, diese Techniken unauffällig und verdeckt einzusetzen, „Dome-Kameras“ nehmen rasant zu. Dass dies in öffentlichen Bereich illegal ist, steht außer Frage. Aber warum arbeiten Firmen nicht offensiv, sondern verstoßen gegen Gesetze. Warum sagen Unternehmen nicht klar und gut sichtbar am Eingang, dass Sie eine Videoüberwachung durchführen, schreiben, warum sie das tun und schreiben, was sie mit den Bilden und Daten machen. Das Vertrauensverhältnis gegenüber dem Kunden wäre gestärkt!

Stattdessen erhält man auf Nachfrage Informationen der Art „Ich darf Ihnen nicht sagen, was wir mit der Videoüberwachung machen, das unterliegt dem Datenschutz.“ Absurd und ein Gesetzesverstoß. Wenige Firmen haben diese Problematik erkannt und agieren proaktiv: Ein deutlicher Hinweis am Eingang, klar erkennbare Kameras, auf Nachfrage freundliche Auskünfte, dass man nur live überwache und nicht aufzeichnet etc. – aber diese Geschäfte bilden die Ausnahme.

Machen Sie als Unternehmerin oder Unternehmer mehr aus de Thema Datenschutz! Gehen Sie offensiv mit dem Thema um, informieren Sie sich über Ihre Pflichten und kommunizieren Sie Ihre Handlungen nach außen: Sie setzen sich dadurch positiv von der Konkurrenz ab und schaffen sich so Marktvorteile. Sprechen Sie mich an! Wir finden gemeinsam innovative Lösungen, mit denen Sie

  • Ihr Unternehmen positiv präsentieren,
  • dem Datenschutz gerecht werden,
  • die Schutzbedürfnisse Ihres Unternehmens beachten.

 

Facebook und Datenschutzbeauftragte

Sonntag, 12. Juni 2011

Es ist manchmal schon etwas haarsträubend, welche Blüten das Werbeinteresse so treibt. In meinem vorheringen Blogeintrag habe ich auf die Problematik von Facebook-HInweisen auf der eigenen Webseite hingewiesen. Eigentlich sollte sich jeder, der sich beruflich mit dem Datenschutz in Deutschland beschäftigt, dieser Problematik bewusst sein.

Umso erstaunlicher ist es, das ich bei einer Stichprobe bei einigen Webseiten von betrieblichen Datenschutzbeauftragten genau solche Links gefunden habe: Entweder war der Originalcode von Facebook eingebunden, häufiger waren jedoch Bilder, die von der Facebook-Seite stammen, eingebunden.

Eingebunden wurde das Bild mit diesem Code:

 

Daher hier noch einmal der technische Hinweis: Auch wenn nur ein Bild von einem fremden Server, in diesem Fall Facebook, eingebunden wird, so findet trotzdem eine Anfrage an diesen fremden Server statt. Dieser hat, auch bei nur einem Bild, die Möglichkeit, die Daten des Besuchers mitzuschreiben, Cookies zu setzen und zu lesen etc.

Um niemanden konkret „anzuschwärzen“ habe ich die Namen der Webseiten und der Webseitenbetreiber verpixelt. Trotzdem mein Appell an alle Datenschutzbeauftragten: Lasst uns mit gutem Beispiel im Datenschutz vorangehen!

SEO-Anbieter – oder wie man Kunden täuscht.

Dienstag, 30. März 2010

Heute wurde ich von einem Kunden mit einem interessanten Angebot konfrontiert. Er war von einer Werbeagentur angesprochen worden. Sie sagte ihm zu: Wir halten die  in den letzten Monaten stetig gestiegenen Internetwerbekosten für ein Jahr konstant. Und wir steigern dabei noch die Besucherzahlen auf der Webseite.

Auf den ersten Blick für meinen Kunden ein gutes Angebot. Er berichtete mir, dass seine Adwords-Kampagnen zwar die Besucherzahlen in den letzten Wochen erheblich gesteigert hätten, ihm aber die Kosten davon liefen.

Eine einfache Analyse des Angebotes ergab, dass die Agentur wirklich nur genau das zusicherte, was sie im ersten Gespräch genannt hatte: Sie garantierte mehr unterschiedliche Besucher nach Auswertung von Google-Adwords als bisher bei gleichen Kosten für den Kunden. Die Differenz zwischen den effektiven Kosten, die an Google zu zahlen wären, und den bisherigen monatliche Kosten, die mein Kunde in Zukunft an die Agentur zahlen müsste, wäre dann der Gewinn der Agentur. Um dies zu erreichen würde die Agentur die Webseite inklusive Inhalt umgestalten. Die Laufzeit eines solchen Vertrages wäre ein Jahr.

Ein interessantes Angebot? Jein! Sind wirklich die absoluten Besucherzahlen der Webseite wichtig oder kommt es nicht vielmehr darauf an, die richtigen  Besucher, also Besucher aus der Zielgruppe für die Webseite zu gewinnen? Und sind die Besucher wichtig  oder müssen die Besucher nicht auch im richtigen Zeitpunkt – z. B. in der Phase der Kaufvorbereitung – gewonnen werden? Und müssen es nur Besucher sein oder möchten Sie auch, dass die Besucher Kontakt aufnehmen und anfragen?

Diese Fragen sind zuerst zu stellen und dann kann festgestellt werden, ob ein solchen Angebot fair ist – oder nur eine Goldgrube für eine Agentur.

Sind Ihnen auch solche Angebote gemacht worden? Wie haben Sie sich entschieden und wie hat Ihre Agentur ihr Angebot konkretisiert? Senden Sie mir Ihre Meinung!