Datenschutz und IT-Sicherheit haben gemeinsame Schnittstellen. Zur Information sei hier auf die Veröffentlichung des BSI vom 16.10.2012 zur sicheren PC-Nutzung hingewiesen, einzusehen unter https://www.allianz-fuer-cybersicherheit.de/ACS/DE/Home/Wegweiser/kleinstUnternehmen_node.html.
Datenpannen
Neuerliche Datenpannen veranlassen uns, auf die Dringlichkeit der Sicherstellung der laut Bundesdatenschutzgesetz BDSG erforderlichen technischen und organisatorischen Maßnahmen (häufig als TOM bezeichnet) hinzuweisen.
Wenn es zu einer Datenpanne gekommen ist – unabhängig von der Ausprägung – sollten Sie Ihren Datenschutzbeauftragten sofort informieren, damit er zusammen mit dem Unternehmen den Sachverhalt einschätzen und Maßnahmen ergreifen kann.
Ablauf der Übergangsfrist für Altdaten
Ab dem 1. September 2012 gelten auch für die Nutzung von Alt-Adressbeständen die Neuregelungen der BDSG-Novelle II. Unternehmen, die noch vor dem 1. September 2009 erhobene Daten verwenden, sollten ihre Datenbestände entsprechend überprüfen.
Sollten Sie Ihre Kundendatei bis zum 1. September 2012 nicht “sauber” gehabt haben, laufen Sie Gefahr Ihre Daten löschen zu müssen.
Es besteht das Risiko, von den Aufsichtsbehörden ein Bußgeld zu bekommen oder wegen Wettbewerbsverstößen belangt zu werden.
Der Gesetzgeber hat im Rahmen der Novellierung des BDSG auch die Nutzung von personenbezogenen Daten für eigene Geschäftszwecke (wie z.B. Werbung) in § 28 BDSG neu geregelt und strengere Auflagen als bisher festgesetzt.
In § 28 Abs. 3 ff. BDSG werden die Voraussetzungen festgelegt, welche zur Verwendung der Adressen für Werbezwecke erfüllt sein müssen:
- Die Verarbeitung oder Nutzung personenbezogener Daten für Zwecke der Werbung ist zulässig, soweit der Betroffene (z.B. Kunde) eingewilligt hat. (§ 28 Abs. 3 BDSG) (Datenschutzerklärung)
- Sofern keine schriftliche Einwilligung vorliegt, hat die verantwortliche Stelle (Sie als Unternehmer) dem Betroffenen (z.B. Kunden) den Inhalt der Einwilligung schriftlich zu bestätigen. (§ 28 Abs. 3a BDSG)
- Wurde die Einwilligung elektronisch abgegeben, muss diese protokolliert und jederzeit abrufbar sein. (§ 28 Abs. 3a BDSG)
- Außerdem muss der Betroffene (z.B. Kunde) die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen können. (§ 28 Abs. 3a BDSG)
Wenn ein Kunde seine Datenschutzerklärung widerruft, ist die verantwortliche Stelle aufgefordert, die Daten zu löschen.
Was ist also nun zu tun?
Wenn Sie feststellen, dass die Einwilligung fehlt bzw. nicht belegbar ist, sollten alleine schon zur Minimierung Ihres Risikos bei der Verwendung von Kundendaten ab dem 1. September 2012 alle Datensätze gelöscht oder zumindest gesperrt werden, wenn sie nicht auf Grundlage eines der hier genannten Verfahren verifiziert wurden.
Beachten Sie hierbei auch unbedingt alle bei Ihnen bisher eingegangenen Widerrufsforderungen.
Sollten Sie einen Betroffenen trotz dessen Widerruf zur Nutzung seiner Daten für Werbezwecke “versehentlich” anschreiben, kann sich dieser mit der unrechtmäßigen Verwendung seiner Daten an die Aufsichtsbehörden wenden.
Diese wären dann zur Prüfung verpflichtet und könnten dabei noch weitere Fälle bei Ihnen entdecken. Die Aufsichtsbehörden können im günstigsten Fall die Löschung der Daten fordern oder aber Bußgelder in Höhe von 50.000 EUR und mehr verhängen.
