Donnerstag, 8. März 2012

Fehlende Angaben im Impressum können zur Abmahnung führen

Eine unserer Sofortmaßnahmen als Berater für Datenschutz sehen wir seit Jahren in der Überprüfung der Korrektur des Impressums eines Unternehmens. Wieso? Das Impressum ist öffentlich sichtbar. Dort schauen sich Ihre (potentiellen) Kunden, Lieferanten und Bewerber zuallererst um.

Die Erfahrung zeigt uns: Wer seinen Internetauftritt nicht in Ordnung hat, der hat sich in der Regel auch noch nicht ausreichend um den Datenschutz gekümmert.

Doch immer wieder stellen uns Kunden die Frage, ob der Aufwand lohnt und man wirklich wettbewerbsrechtlich abgemahnt werden kann, nur weil einige der vorgeschriebenen Angaben im Impressum fehlen. Die Vorgaben für das Impressum liefert im Wesentlichen § 5 (TMG) Telemediengesetz.

Es gab zwar in der Vergangenheit hierzu einige widersprüchliche Urteile, doch in einer aktuellen Entscheidung (5 U 144/10) hat das KG Berlin bestätigt, dass tatsächlich alle in § 5 TMG verlangten Informationen als wesentlich anzusehen sind. Damit rechtfertigen Sie bei einem Verstoß eine Abmahnung.

Auch die Angaben zur Handelsregistereintragung und Umsatzsteuer-ID wurden von den Berliner Richtern als wesentliche Informationen im Sinne § 5a Abs. 2 UWG (Gesetz gegen den unlauteren Wettbewerb) bestätigt.

Wir empfehlen daher allen Kunden und Interessenten: Lassen Sie Ihr Impressum jetzt professionell überprüfen und gegebenenfalls anpassen. Gerne erledigen wir das für Sie. Rufen Sie mich an.

Und: Vergessen Sie nicht, ein Impressum auch in Ihren Social Media Auftritten wie z.B. XING oder facebook anzulegen.

Dienstag, 6. März 2012

Datenschutz & Schwachstellenmanagement

Wie kontrolliert eigentlich ein Auftraggeber seinen Outsourcing-Dienstleister (siehe §11 Abs. 2 BDSG Auftragsdatenverarbeitung)

Seit der Änderung des Bundesdatenschutzgesetzes im Juli 2009 stellen sich für Auftraggeber (AG) von EDV-Outsourcing-Verträgen im Bezug auf die Kontrolle der Auftragsdatenverarbeitung (ADV) folgende Fragen:
1. Wie ist die Kontrolle zu gewährleisten?
2. Womit kann die Kontrolle technisch durchgeführt werden?

Zu 1. Wie ist die Kontrolle zu gewährleisten?
Die Neuregelung des Bundesdatenschutzgesetzes (BDSG) stellt eine Reaktion auf in der Praxis festgestellte Mängel bei der Auftragserteilung dar. In der neuen Fassung des §11 Abs. 2 BDSG werden die schriftlich festzulegenden Bedingungen der Auftragsdatenverarbeitung aufgezählt. Der Auftraggeber hat sich erstmals vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. Aus Gründen der Nachweisbarkeit ist dies zu dokumentieren ist. Bei Verstößen drohen Bußgelder bis zu 50.000 oder sogar bis zu 300.000 Euro.

Die Dokumentation sollte zwingend folgendes beinhalten:
· Angaben zu den Beteiligten (Verfahrensverantwortlicher, konkreter Prüfer, Datenschutzbeauftragter (DSB), CIO)
· Angaben zur betroffenen ADV (Auftragnehmer (AN), Beginn/Ende, Art der ADV, Kritikalität, Angaben wo der ADV Vertrag vorgehalten wird)
· Angaben zur Kontrolle (Wann? Wo? Prüfer? Erstkontrolle/laufende Kontrolle? Zeitpunkt der letzten Kontrolle?)
· Art und Umfang der Kontrolle (vor Ort, teiweise/vollständig)
· Feststellungen (vertragliche, gesetzliche, techn. organisatorische Anforderungen eingehalten/nicht eingehalten; sonstige Verstöße)
· Weitere Maßnahmen (Zeitpunkt der nächsten Kontrolle/Nachkontrolle)
· Unterschrift des Prüfers

Jedoch ist nach der Gesetzesbegründung eine persönliche oder Vorort-Kontrolle nicht zwingend erforderlich. Eine schriftliche Auskunft des AN über die getroffenen Maßnahmen bzw. die Vorlage eines Testats/Zertifikats eines Sachverständigen wäre ebenfalls denkbar.

Zu 2. Womit kann die Kontrolle technisch durchgeführt werden?
In solchen Outsourcing-Verträgen werden typischerweise Regelungen zum Schwachstellen-Management getroffen, deren Einhaltung sich direkt auf die Datensicherheit und den Datenschutz auswirken. Für den AG sollte es also durchaus interessant sein, zu erfahren, ob sich der AN an die Vertragsvereinbarungen hält.

Doch wie soll der AG dies mit machbarem Aufwand kontrollieren?

Als technisch ausgereifte Lösung setzen wir von yourIT hierzu seit 2007 auf eine Schwachstellenanalyse (vulnerability management), die das gesamte EDV-Netzwerk auf Knopfdruck analysiert. Neben vielen anderen Informationen wird so die Einhaltung der Security-Policies kontrolliert und protokolliert.

Dabei halten sich die Kosten im Rahmen: Ein einmaliger Scan über 100 IP-Adressen kostet etwa 2.500 EUR incl. Beratung. Auch eine dauerhafte Kontrolle durch den AG ist möglich.

Im Übrigen kann natürlich auch der Auftragnehmer (= der Auftragsdatenverarbeiter) die Schwachstellenanalyse bei Experten wie yourIT beauftragen. Der sich ergebende Schwachstellen-Report gilt dann gegenüber dem Auftraggeber als Nachweis.

Montag, 5. März 2012

Chefsache Facebook

Aktuell boomt Social Media in Form von Facebook-Firmen-Accounts, XING-Unternehmens-Profilen und Blogs  auch bei kleinen und mittleren Unternehmen (KMU). In Ergänzung zur Firmen-Homepage bedeutet dies Aushängeschild, digitale Visitenkarte und vor allem einen neuen Fall für permanente Pflege.

Hier ein paar Tipps,damit Sie sich Überraschungen und Ärger sparen können:
  • Ziel festlegen: Was soll mit dem Unternehmens-Account / Blog erreicht werden?
  • Mitarbeiter schulen: Sagen Sie Ihren Mitarbeitern im Voraus, wo die Gefahren lauern, was Sie kommuniziert haben wollen und was nicht.
  • Einwilligungen einholen: Bevor Sie Daten des Mitarbeiters und ein Bild im Internet veröffentlichen, holen Sie dafür dessen schriftliche Einwilligung.
  • Früher an später denken: Klären Sie bereits jetzt, wem die Kontakte / Freunde nach einem Ausscheiden des Mitarbeiters gehören sollen.
  • Klare Aussage treffen: Stellen Sie eine Social Madia Policy für Ihr Unternehmen auf. Wie sollen Ihre Mitarbeiter im Social Web kommunizieren, mit wem und über was? Selbst wenn Sie nichts mit dem Social Web zu tun haben möchten: Kommunizieren Sie dies gegenüber Ihren Mitarbeitern. Diese sind auch ohne Ihr Zutun in Sozialen Netzwerken unterwegs. Woher sollen diese wissen, was sie dort schreiben dürfen und was nicht?
  • Neu (19.08.2013): Klären Sie Ihre Mitarbeiter über den korrekten Umgang mit der Impressums-Pflicht im Social Media auf. Hier ein Post zum Thema Impressum im XING-Profil.

Wie Sie sehen: Soziale Netzwerke wie Facebook & Co. sind und bleiben Chefsache!

Wenn Sie weitere Fragen zu diesem oder ähnlichen Themen haben: Kontaktieren Sie mich.

Ihr Thomas Ströbele