Seit einiger Zeit geht das Gespenst von einem Herrn Martin Ismail durch das Internet. In seinem Namen und mit einer Vollmacht ausgestattet, beschickt der Anwalt Kilian Lenard tausende, wahrscheinlich abertausende nichtsahnende Website-Betreiber, um von ihnen „Lösegeld“ zu verlangen. Die Begründung? Man verstoße gegen seine Persönlichkeitsrechte in Form der informationellen Selbstbestimmung, die durch die Weitergabe von User-IP-Adressen durch die Verwendung von Google Fonts, also Schriftarten von Google, verletzt würden. In dem Schreiben behauptet Rechtsanwalt Kilian Lenard sein Mandant (Martin Ismail) habe einen Anspruch auf Unterlassung und dass „deutsche Gerichte in den letzten zwei Jahren Betroffenen von unterschiedlichsten Datenverstößen Schmerzensgelder (…) bis zu einem Maximum von 2.500,00 € zugesprochen“ wurden. Des Weiteren führt der Anwalt aus, dass Herr Ismail auf eine weitere Verfolgung verzichtet, wenn der Betrag in Höhe von 170,00 EUR bis zu einer gesetzten Frist auf ein Treuhandkonto einginge. Genau hier wird aus meiner Sicht das Schreiben unseriös und fraglich, ob es sich überhaupt um eine Abmahnung mit Unterlassungserklärung handelt. Darauf werde ich weiter unten nochmal explizit eingehen. Viele der Empfänger dürfte diese Nachricht erst einmal aufgeschreckt haben.

Ich möchte den Sachverhalt im Folgenden genauer beleuchten und Aufschluss darüber geben, was an den Vorwürfen dran ist und wie ich mich an der Stelle des hier „abgemahnten“ Empfängers verhalten würde.

Was ist Google Fonts und was ist an dem Datenschutzverstoß dran?

Bei Google Fonts handelt es sich um ein interaktives Verzeichnis von mehr als 1.400 Schriftarten („Fonts“ ist das englische Wort für „Schriftarten“), die von Google bereitgestellt werden. Durch diese große Auswahl an Schriftarten, mit der sich Texte auf Webseiten schlicht, einfach und letztlich individuell anpassen lassen, erfreut sich das Angebot großer Beliebtheit.

Es gibt jedoch auch eine Schattenseite. Denn Google Fonts können sowohl per remote als auch lokal eingebunden werden. Ersteres führt jedoch dazu, dass Daten ins Ausland, hier namentlich die USA, wo der Google-Konzern Alphabet seinen Hauptsitzt hat, geleitet werden. Darunter befinden sich auch personenbezogene Daten. Die IP-Adresse gehört eindeutig dazu, denn sie sind die „Hausnummern des Internets“. Dass diese unter das DSGVO-geforderte Schutzgut fällt, entschied der EuGH bereits am 19.10.2016. Der Website-Nutzer hat demnach keine Kontrolle über die Weitergabe seiner personenbezogenen Daten, womit die Nutzung von Google Fonts – zumindest remote – datenschutzrechtlich nicht erlaubt ist.

USA, kein sicheres Drittland

Obwohl tagtäglich ein Großteil der in Europa erfassten Daten mittlerweile in die USA transferiert werden, ist selbiges kein sicheres Drittland aus Sicht der DSGVO, denn dafür müsste es eine entsprechende dem europäischen Datenschutzrecht angemessene Vereinbarung zwischen US-Amerika und der EU geben. Gibt es diese nicht, bedarf es konkreter Standardvertragsklauseln mit den jeweiligen datenverarbeitenden Unternehmen bzw. Organisationen und der EU. Ob diese allerdings eingehalten werden, steht wieder auf einem anderen Papier. Google bindet die Standardvertragsklauseln zwar in die Kundenverträge mit ein, aber es handelt sich bekanntlich um eine der größten Datensammler der Welt. Google bzw. Alphabet gerieren sich zwar inzwischen als Vorreiter des Datenschutzes, aber Aufsichtsbehörden sowie Datenschutzbeauftragte warnen immer noch vor der enormen Datensammlung dieses Tech-Giganten. Durch diesen Umstand ist die Übermittlung in die USA ohne die vorhergehende Einwilligung des Betroffenen (also des „Datenspenders“) untersagt. Denn die DSGVO regelt ein Verbot mit Erlaubnisvorbehalt für jegliche Verarbeitung von Daten. Das bedeutet jede Handlung mit Daten, die direkt oder indirekt auf die Identität des Besitzers schließen lassen, ist grundsätzlich verboten. Die einzige Ausnahme besteht in der ausdrücklichen Erlaubnis.

Daher gilt grundsätzlich, dass die Übermittlung von personenbezogenen Daten in die USA problematisch ist, solange nicht eine Einwilligung vorliegt. Das betrifft im Grunde genommen eine Vielzahl der größten Unternehmen, die in den USA europäische Daten verarbeiten. Daher ist hier aus datenschutzrechtlichen Gründen Vorsicht geboten.

Verstößt die Nutzung von Google Fonts gegen die Persönlichkeitsrechte gem. § 823 Abs. 1 BGB?

Wie gerade eben schon angedeutet, kann Google Fonts sowohl remote als auch lokal eingebunden werden. Letztes bedeutet, dass die Schriftart lokal gespeichert und dann in den Quellcode integriert wird. Erstes führt zur unerwünschten Weitergabe von IP-Adressen in ein unsicheres Drittland, ohne Zustimmung des Betroffenen. Dies entspricht tatsächlich einer Persönlichkeitsverletzung gem. § 823 Abs. 1 BGB, da das auch durch das Grundgesetz verbriefte informationelle Selbstbestimmungsrecht des Einzelnen angetastet bzw. verletzt wird.

Es handelt sich demnach, dann um eine Persönlichkeitsverletzung nach § 823 Abs. 1 BGB, wenn Google Fonts nicht lokal eingebunden ist.

Google Fonts richtig nutzen

Um Google Fonts trotzdem nutzen zu können, ist also zunächst einmal auf die lokale Verwendung umzustellen. Wie das geht, ist mehrfach im Internet beschrieben. Es finden sich zig Anleitungen dazu. Ich verlinke hiermit eine solche Beschreibung, die mir persönlich ganz gut gefiel. An dieser Stelle möchte ich betonen, dass ich keinerlei Verbindung zu den Website-Betreibern habe. Mir gefällt lediglich die Art und Weise, wie hier Schritt für Schritt erklärt wird, wie man Google Fonts von remote auf lokal umstellt.

Ansonsten bleibt lediglich der Weg keine Google Schriftarten zu verwenden und auf andere auszuweichen. Grundsätzlich gilt hier das gleiche. Bitte überprüft vorher, ob es hier zu einer Weitergabe von personenbezogenen Daten in ein unsicheres Drittland kommt.

Handelt es sich bei dem Schreiben um eine richtige Abmahnung?

Grundsätzlich gilt erst einmal, dass eine Abmahnung nicht zwangsläufig einem entsprechenden Formzwang unterliegt. Sie kann auch mündlich ausgesprochen werden, auch wenn dies natürlich aufgrund von mangelhafter Beweisführung sich eher nachteilig auswirken dürfte. Dennoch gibt es einige inhaltliche Vorgaben für Abmahnungen, damit diese Wirksamkeit entfalten.

Die wesentlichsten und unabdingbaren Inhalte einer Abmahnung sind:

• der konkrete rechtliche Vorwurf und die Rechtsgutverletzung mit genauer Angabe des Sachverhaltes,
• die Klarstellung, dass das Rechtsgut zu schützen ist,
• eine strafbewehrte Unterlassungserklärung,
• eine Frist für die Unterlassungserklärung,
• die Androhung der gerichtlichen Auseinandersetzung
• und letztlich die Unterschrift des Abmahnenden.

Zur Abmahnung könnten Konkurrenten, die Personen, deren Recht verletzt wurden, IHK‘s sowie Interessengemeinschaften oder gem. § 4 UKlaG qualifizierte Verbraucherschutzvereine berechtigt sein. Hier tritt namentlich Martin Ismail als Vertreter der „Interessengemeinschaft Datenschutz“ als Abmahnender auf. Die IG Datenschutz allerdings kann als nicht berechtigte Anspruchsgegnerin bezeichnet werden, da sie die Voraussetzungen dafür gar nicht mitbringt.

Des Weiteren ist im Allgemeinen fraglich, ob die hier vorgeworfene Pflichtverletzung tatsächlich ein Persönlichkeitsrecht von Martin Ismail verletzt hat, denn dieser geht offenbar mit einer hinreichenden Aggressivität vor und bietet sogar an, die Sache nach Zahlung der o.g. Summe auf sich beruhen zu lassen. Es wird demnach gar nicht wirklich ersichtlich, ob es dem Versender des Schreibens tatsächlich um die Unterlassung geht. Denn dieser verlangt die Unterlassung vom Empfänger gar nicht ausdrücklich. Lediglich weist er auf einen Unterlassungsanspruch hin, der zumindest fraglich ist.

Die Zahlungsaufforderung, nicht etwa von Mahngebühren, sondern von „Lösegeld“ – was aus meiner Sicht der hier korrekte Begriff ist – steht meines Erachtens im Verdacht rechtmissbräuchlich zu sein. Aufgrund des Ausbleibens einer konkreten Aufforderung das rechtverletzende Verhalten zu unterlassen und der Tatsache, dass das Schreiben wohl an Tausende, wenn nicht gar Zehntausende Internetseitenbetreiber rausging, lässt die Vermutung nahe, dass es sich um einen Rechtsmissbrauch handelt.

Denn es ist fraglich, dass sich Martin Ismail hier in dieser Größenordnung den Aufwand gemacht hat, all diese Webseiten auf eine falsche Einbindung von Google Fonts zu untersuchen. Vielmehr ist aufgrund der schieren Anzahl von bereits im Internet bekanntgewordenen gleichartigen Fällen zu vermuten, dass mit Crawler-Software gearbeitet wurde, was den Rechtsmissbrauch erhärten würde. „Crawler“, oder auch „Bots“ genannt, sind Software-Programme, die das Internet auf Daten absuchen und diese ggf. auch kopieren. Hinzukommt die Tatsache, dass sowohl der Name Martin Ismail als auch der in dem Schreiben benannte Verein IGD e. V. in der Vergangenheit mehrfach mit derartig ähnlichen Schreiben für Aufmerksamkeit gesorgt haben. Dadurch erweckt sich mir der Eindruck, dass es sich hierbei eher um ein „Geschäftsmodell“ handelt.

Es handelt sich demnach nicht um eine echte Abmahnung, da keine konkreten gerichtlichen Schritte angedroht und keine strafbewehrte Unterlassungserklärung vorliegt. Des Weiteren ist der Vorwurf der Verletzung des Persönlichkeitsrechts zumindest fraglich.

Kann Unterlassungsklage bei einem Datenschutzverstoß erhoben werden?

Diese Frage ist zumindest nicht eindeutig zu beantworten. Gerichte haben hier in den letzten Jahren sehr unterschiedlich entschieden.

Z.B. hat das Landgericht Wiesbaden in seinem Urteil vom 22.01.2022 entschieden, dass es in dem damaligen Sachverhalt kein Unterlassungsanspruch des Betroffenen gibt. Demnach könne auch das in Art. 79 Abs. 1 DSGVO normierte Recht auf einen wirksamen gerichtlichen Rechtsbehelf nicht als Grundlage hergeleitet werden. Es bleiben der Ansicht des LG Wiesbaden lediglich verwaltungsrechtliche oder außergerichtliche Rechtsbehelfe unbeschadet. Die o.g. Rechtsnorm entfalte demnach eine Sperrwirkung. Das Verwaltungsgericht Regensburg entschied am 06.08.2020 genauso und leitete die gleiche Argumentation wie das LG Wiesbaden her.

Hingegen entschied mehr als ein Jahr zuvor das Landgericht Frankfurt vollkommen diametral dazu. Mit seinem Beschluss vom 15.10.2020 entschied es, dass die rechtswidrige Verarbeitung von personenbezogenen Daten einen datenschutzrechtlichen Unterlassungsanspruch gem. § 1004 BGB darstelle. Das in Art. 79 Abs. 1 DSGVO normierte Recht entfalte der Ansicht des LG Frankfurt hingegen keine Sperrwirkung.

Es ist also wie so oft in der Jurisprudenz: Es kommt drauf an. Jeder Fall ist einzeln zu betrachten. Eine eindeutige Rechtsauffassung gibt es hierzu bisher nicht.

Ist der Verein „Interessengemeinschaft Datenschutz“ ein rechtsmissbräuchlicher Abmahner?

Der IG Datenschutz e. V. hat bereits früher schon von sich Reden gemacht. So soll er bereits am Tag seiner Gründung, d. 06.03.2019 die ersten Abmahnungen gegen Unternehmen ausgesprochen haben, deren Webseiten fehlende vom damaligen Telemediengesetz geforderte SSL/TSL-Verschlüsselungen aufwiesen. So berichtete u.a. die Welt seinerzeit über die „dubiosen Abmahnungen“ des IGD. Die Rechtsanwaltskanzlei LHR Rechtsanwälte verkündeten erst vor einer Woche auf ihrem Blog, dass sie gegen Martin Ismail eine einstweilige Verfügung in einem konkreten Abmahn-Fall wegen der Nutzung von Google Fonts erwirkten. Der Beschluss sei zwar noch nicht rechtskräftig (Stand 24.10.2022), befindet sich allerdings schon in der Zustellung. Bei Zuwiderhandlung drohe Martin Ismail ein Ordnungsgeld von bis zu 250.000 EUR. Zu dem Artikel geht es hier.

Selbst wenn der Beschluss rechtskräftig ist, gilt dieser natürlich nur für die entsprechende Klägerpartei. Andere Betroffene müssten entsprechende Klagen ebenfalls erheben, um Unterlassungsanspruch gegen die Machenschaften von Martin Ismail oder dem Verein Interessengemeinschaft Datenschutz zu erwirken. Dennoch hat das Urteil eine entsprechende Signalwirkung und dürfte die vielleicht aufgescheuchten Betroffenen beruhigen.

Was würde ich nun als „Abgemahnter“ tun?

Aufgrund der oben benannten Tatsachen, kann ein solches Schreiben gut und gerne in den Papierkorb landen. Bisher ist zumindest mir kein einziger Fall bekannt, in dem dieser ominöse Verein oder einer seiner angeblichen Akteure seinen vermeintlichen Anspruch auf Unterlassung durchgefochten hätte. Wahrscheinlich würde ich es hier auch auf eine Klage ankommen lassen.

Wer jedoch dennoch darauf reagieren möchte, kann auch ein kleines Anschreiben dazu aufzusetzen. Es spricht nichts dagegen solchen Machenschaften zumindest erst einmal Gegenwehr entgegenzusetzen. Zuletzt bleibt natürlich immer noch die Möglichkeit der Durchsetzung auf Unterlassung gegen den IGD e. V. oder Martin Ismail, auch wenn ich dies für sehr fragwürdig halte. Die Gründe habe ich ja oben zu genüge ausgeführt.

Daher würde ich ein Schreiben folgenden Inhalts aufsetzen:

• Zahlung und Abmahnung zurückweisen
• Bitte um einen Nachweis, dass die Internetseite tatsächlich von der IP-Adresse der Mandantschaft aufgerufen wurde und zugleich der Konkretisierung welche Persönlichkeitsrechte tatsächlich verletzt wurden
• Anzweifeln, dass tatsächlich Rechte verletzt worden sind, da es fraglich ist warum die Mandantschaft auf die Internetseite zugegriffen hat
• Verdacht des Rechtsmissbrauchs klar äußern
• Äußerung des Vorbehaltes von Gegenansprüchen wie Unterlassungsklage, ggf. Schadensersatz oder sogar Strafanzeige wegen versuchten Betruges

Sollte sich der Umstand bewahrheiten, dass meine Internetseite tatsächlich Google Fonts nutzt, würde ich sofort entweder auf eine lokale Nutzung umstellen oder die Schriftarten einfach gegen andere „datenschutzkonforme“ austauschen. Die Aufsichtsbehörden ahnden im Zweifelsfalle solche Verstöße. Eine sofortige Umstellung nach Bekanntwerden, dürfte sich bei der Bußgeldbestimmung milde auswirken. Ob überhaupt ein Bußgeld bei einem solchen Verstoß in Frage käme – zumindest, wenn nach Bekanntwerden der Verstoß sofort abgestellt wird – darf gerne hinterfragt werden. Letztlich wird nirgendwo so heiß gegessen, wie gekocht.

Im Übrigen, obwohl im Schreiben von Schadensersatzforderungen von bis zu 2.500 EUR für Datenschutzverstöße die Rede ist, handelt es sich dabei um weitaus gravierendere Fälle. In einem Urteil des LG München vom 20.01.2022 zu einem vergleichbaren Fall, betrug der Schadensersatz lediglich 100 EUR.

Zuletzt noch: Rettung der Anwaltsehre

Ich bin selber kein Anwalt, bin als Datenschutzbeauftragter und angehender Wirtschaftsjurist jedoch Berater im Datenschutz- und Internetrecht. Auch wenn das Verhalten, wie die des Herrn RA Kilian Lennart durchaus das alte Klischee von den bösen Anwälten und anderen Juristen als Scharlatane bestätigt, möchte ich auch eine Lanze für diesen Beruf brechen. Der Jurist und sicherlich erst recht der Beruf des Anwaltes ist ein durchaus ehrbarer. Verbrechen oder unrechtmäßiges Verhalten legen grundsätzlich Menschen an den Tag, nicht deren Berufsverbände oder Berufsgruppen im Kollektiv. Das gilt im Übrigen auch für alle anderen Gruppierungen. Von dem Verhalten einzelner auf einen ganzen Berufsstand zu schließen, wird der Sache nicht gerecht. Man sollte sich auf jeden Fall spätestens daran erinnern, wenn man selber wieder einmal ein rechtliches Problem hat und Hilfe benötigt. Da gehört ein gewisses Vertrauensverhältnis einfach mal dazu.

Hinweis: Ich habe hiermit lediglich meine eigenen persönlichen Ansichten zu dem Thema wiedergegeben, da einige meiner Kunden und Mandanten gerade damit konfrontiert sind. Es handelt sich bei dem oben gesagten keineswegs um eine Rechtsdienstleistung i. S. d. § 2 RDG. Die Benennung der im Text erwähnten Personen ist ebenfalls aufgrund des öffentlichen Interesses ohne weiteres zulässig.

Dipl.-Ing. Pierre Dornbrach, MBA & Eng.

Als zertifizierter Datenschutzbeauftragter und angehender Wirtschaftsjurist (LL.M) mit der Vertiefung in Datenschutzrecht und Internetrecht berate ich vor allem mittelständische Unternehmen und helfe ihnen dabei den betrieblichen Datenschutz im Unternehmen umzusetzen. Als technisch sehr versierter Wirtschaftsingenieur interessiere ich mich besonders für die digitale Transformation und welche Auswirkungen sie auf unser Leben hat.

In diesem Artikel wollen wir uns mit dem Löschen von Daten beschäftigen. Was ist ein Löschkonzept? Wann muss ich Daten löschen? Wie setze ich ein Löschkonzept richtig um?

Löschkonzept – Was ist das?

Zunächst einmal wird in einem Löschkonzept festgelegt wie und wann personenbezogene Daten in meinem Unternehmen gelöscht werden. Grundsätzlich gilt, dass personenbezogene Daten nur dann gespeichert werden dürften, wenn diese Speicherung einem bestimmten und legitimen Zweck dient. Dieser Grundsatz der Zweckbindung ist in Art. 5 (1) lit. b DSGVO geregelt. Sobald dieser Zweck vergeht, muss früher oder später eine Löschung der personenbezogenen Daten erfolgen. Mit dem Löschkonzept wollen wir eine systematische Vorgehens- und Handlungsweise erreichen.
Weshalb benötige ich ein Löschkonzept?

Grundsätzlich kommt der Begriff „Löschkonzept“ weder in der DSGVO, noch im Bundesdatenschutzgesetz vor. Doch fordert das Datenschutzrecht die Einhaltung bestimmter Grundsätze und Regelungen, womit ein Löschkonzept unumgänglich wird. In Art. 17 DSGVO definiert der Gesetzgeber, dass jede natürliche Person das Recht auf Löschung seiner Daten hat. Das wird oft auch als das „Recht auf Vergessenwerden“ bezeichnet. Darin heißt es in Absatz 1, dass die betroffene Person das Recht hat, von dem Verantwortlichen zu verlangen, dass dieser sie betreffende personenbezogene Daten unverzüglich löscht.

Dadurch entsteht also eine Löschpflicht für den Verantwortlichen, also für den Unternehmer. Für verschiedene Datenkategorien gibt es auch verschiedene Aufbewahrungsfristen. Damit ergeben sich auch unterschiedliche Löschfristen. Das Löschkonzept soll hierbei u.a. behilflich sein, die Fristen übersichtlich zu halten und dem Verantwortlichen dabei zu helfen, seiner Pflicht nachzukommen.
In meinem Artikel Datenschutzmanagement nach der DSGVO: Ein kleiner Leitfaden habe ich mich bereits mit dem Verzeichnis für Verarbeitungstätigkeiten befasst. In diesem Verzeichnis für Verarbeitungstätigkeiten sind die Löschfristen der jeweiligen Datenkategorien zu benennen.
Bei Nichteinhaltung warten hohe Bußgelder
Wie schmerzhaft es sein kann, gegen das „Recht auf Vergessenwerden“ zu verstoßen, mussten mittlerweile schon einige Unternehmen in Deutschland spüren. Der härteste mir bisher bekannte Fall dürfte wohl der Verstoß durch das Berliner Unternehmen Deutsche Wohnen SE sein. Hier hat die Berliner Datenschutzbehörde ein Rekordbußgeld in Höhe von 14,5 Millionen Euro verhängt. Derzeit hält der Rechtsstreit zwischen dem Unternehmen und der Berliner Datenschutzbeauftragten an, wie der Tagesspiegel im Februar dieses Jahres zu berichten wusste. Seit der Einführung der EU-Grundverordnung zum Datenschutz sind Bußgelder bis zu 20 Millionen Euro oder in Härtefällen sogar bis zu 4 Prozent des weltweiten jährlichen Umsatzes möglich. Dieser Fall zeigt, dass Aufsichtsbehörden auch bereit sind die Grenzen auszureizen oder sich zumindest daran zu orientieren.

Mittlerweile sind in Europa viele solcher härteren Fälle bekannt geworden. Das zeigt, dass es auch der Exekutive sehr wichtig ist, dass das EU-Recht auf nationaler Ebene eingehalten wird.

Wie erstelle ich ein Löschkonzept Schritt für Schritt?

Der Ablauf zur Erstellung eines Löschkonzeptes kann in drei Phasen gegliedert werden.

Phase 1: Ich identifiziere alle personenbezogenen Daten in meinem Unternehmen. Dabei handelt es sich auch gleichzeitig um den aufwendigsten Teil der Konzepterstellung. Denn es müssen wirklich alle Prozesse auf den Datenfluss hin analysiert werden. Dabei muss festgestellt werden, wer der jeweilige Verantwortliche für die Datenverarbeitung ist. Genauso muss überprüft werden von wo die Daten kommen und wo sie hingehen. Oft kommt in Unternehmen verschiedene Software zur Anwendung, die Daten in irgendeiner Art und Weise verarbeiten. Dabei kann es sein, dass einige Systeme voneinander abhängig sind. Hier muss genau untersucht werden, welches System, welche Daten zu welchem Zweck, wie verarbeiten. Wichtig ist hierbei auch zu beachten, dass nicht nur intern personenbezogenen Daten verarbeitet werden, sondern die Softwareanbieter selber auch Daten verarbeiten. Das muss in dem Konzept zum Vorschein kommen.

Phase 2: Im nächsten Schritt werden die vorher analysierten personenbezogenen Daten kategorisiert. Es gibt neben den „herkömmlichen“ personenbezogenen Daten auch sog. „besondere Datenkategorien“. Das sind Daten, die gem. Art. 9 DSGVO einen Bezug zu der Herkunft, der politischen oder religiösen Überzeugung, der Sexualität, aber auch zur Gesundheit oder Gewerkschaftszugehörigkeiten haben. Grundsätzlich ist die Erhebung solcher Daten untersagt, jedoch lässt sich dies nicht immer vermeiden. In Ar. 9 Abs. 2 DSGVO sind die Ausnahmefälle definiert.

Phase 3: Im letzten Schritt werden die Löschregeln, mit den dazugehörigen Fristen für die einzelnen Kategorien definiert. Hier wird festgestellt, welche Aufbewahrungsfristen es gibt und welche Fristen sich daraus für die Löschung ableiten lassen. Des Weiteren wird hier festgelegt, wer für die Löschung der Daten verantwortlich ist. Auch die konkrete Umsetzung sollte hier bereits definiert sein. Wie werden die Daten gelöscht? Werden sie ggf. nur anonymisiert?

Welche Regeln müssen noch beim Löschkonzept eingehalten werden?

Abgesehen von den oben bereits erwähnten Aufbewahrungsfristen, gibt es noch weitere gesonderte Regeln sowie spezielle Fälle, die ich als Unternehmer berücksichtigen muss.

Wenn ein Betroffener die Löschung seiner Daten fordert

Jede Person hat das Grundrecht auf Löschung seiner personenbezogenen Daten, vorausgesetzt es gibt kein anderes Recht, das diesem entgegensteht. In dem Löschkonzept muss geregelt sein, wie diesem Löschbegehren entsprochen werden kann.

Wenn die Aufsichtsbehörde von mir die Löschung verlangt

Sollte die Aufsichtsbehörde für den Datenschutz die Löschung von Daten verlangen, gelten die herkömmlichen Fristen nicht mehr. Die Aufsichtsbehörde kann die sofortige Löschung von mir verlangen oder eine eigene Frist abverlangen. Hier muss dann ebenfalls schnell und außerhalb der Norm gehandelt werden können.

Wenn die Datenerhebung rechtswidrig war

Manchmal stellt sich später heraus, dass die von dem Unternehmen erhobenen Daten gar nicht hätten verarbeitet werden dürfen. Grundsätzlich gilt, wie bereits oben besprochen, der Grundsatz der Zweckbindung und der grundlegenden Legitimation. Es muss also immer ein rechtlicher Grund vorliegen für die Erhebung der Daten. Ist dieser nicht gegeben, muss schnell gehandelt werden. Insbesondere, da es sich um ein Prozedere außerhalb der standardisierten Verfahrensweise handelt.

Wenn die Löschung der Daten rechtswidrig war

Neben der rechtswidrigen Erhebung von personenbezogenen Daten, ist auch der gegenteilige Fall möglich. Die Löschung von Daten kann dann rechtswidrig sein, wenn ein anderes Rechtsgut höher wiegt als das Recht oder die Pflicht auf Löschung personenbezogener Daten. Dies könnte bspw. in einem laufenden Ermittlungsverfahren der Fall sein. Hier könnten z.B. Videoaufnahmen als wichtige Beweise gelten, die nicht gelöscht werden dürfen. Die Aufsichtsbehörde kann dann von mir den Stopp der Löschung personenbezogener Daten verlangen.

Ich brauche Hilfe bei der Erstellung eines Löschkonzeptes

Grundsätzlich gibt es im Internet eine ganze Menge von diversen Tools und Vorlagen für ein Löschkonzept. Allerdings sind diese nicht immer hinreichend, um den Anforderungen der Aufsichtsbehörde gerecht zu werden. Das Löschkonzept gehört zum Datenschutzmanagement dazu und sollte auch mit den Verzeichnissen für Verarbeitungstätigkeiten verknüpft werden. Hier empfiehlt es sich bereits zu Beginn, wenn das Datenschutzmanagement angegangen wird, die Weichen für das später erforderliche Löschkonzept zu stellen.
In der Praxis hat es sich oft gezeigt, dass für die Erledigung dieser komplexen Aufgabe externe Unterstützung sehr hilfreich sein kann. Dazu gehört ein sehr gutes Projektmanagement. Ich benötige die Akzeptanz meiner Mitarbeiter und die Fähigkeit die Einhaltung des Löschkonzeptes tatsächlich zu gewährleisten. Dazu bedarf es Fingerspitzengefühl im Umgang mit meinem Personal, aber auch einer zeitaufwendigen Analyse. Um all das zu koordinieren, kann ein externer Datenschutzberater hilfreich sein.

Schon gerüstet für die DSGVO? Haben Sie schon ein Datenschutzkonzept oder betreiben ein Datenschutzmanagement? Haben Sie Ihr eigenes Löschkonzept entwickelt oder brauchen Sie Unterstützung? Gerne helfe ich Ihnen dabei. Ich komme gerne zu Ihnen und gehe im Vorleistung. Das erste Beratungsgespräch für Sie ist kostenlos.

Zu einem Datenschutzmanagement sind alle Unternehmen verpflichtet. Die am 25. Mai 2018 in Kraft getretene DSGVO regelt an mehreren Stellen die Pflicht zur Einführung eines Datenschutzmanagements. Im Folgenden möchte ich auf die wichtigsten Grundlagen dazu eingehen. Dies ist zugleich als eine Art Leitfaden zu verstehen, an denen sich alle Unternehmen orientieren können.

In der Datenschutz-Grundverordnung (DSGVO) sind die Normen für ein solches Management an folgenden Stellen definiert:

• In Artikel 5 DSGVO sind die Grundsätze für die Verarbeitung von personenbezogenen Daten geregelt.
• Genauso finden wir in Artikel 30 DSGVO die Pflicht zur Führung eines Verzeichnisses aller Verarbeitungstätigkeiten.
• Der Artikel 32 DSGVO verlangt vom Verantwortlichen sowie vom Auftraggeber die Umsetzung der sogenannten TOMs. Das sind die technischen und organisatorischen Maßnahmen, welche umgesetzt sein müssen, um eine DSGVO-konforme Verarbeitung von personenbezogenen Daten zu ermöglichen.
• Genauso verpflichtet der Artikel 35 DSGVO zur Durchführung einer Risikoabschätzung. Zumindest wenn ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen hinsichtlich ihrer personenbezogenen Daten besteht.

Ich möchte nun etwas genauer darauf eingehen und zeigen, wie dies in Form einer Datenschutzrichtlinie in einem Unternehmen umgesetzt werden kann. Ich kann dabei natürlich auch nur Empfehlungen herausgeben. Die Gestaltung eines Datenschutzmanagements ist dabei selbstverständlich individuell.

Nachweispflicht für Unternehmen

Als Unternehmen sind Sie nicht nur verpflichtet Datenschutz im Sinne der DSGVO zu betreiben, sondern auch dieses nachzuweisen. Der Art. 5 Abs. 2 DSGVO legt dem Verantwortlichen – im Regelfall ist das der Unternehmer – eine Rechenschaftspflicht auf. Das bedeutet, dass er die Einhaltung der Grundsätze für die Verarbeitung personenbezogener Daten auch nachweisen können muss. Wenn also die Datenschutz-Aufsichtsbehörde zu Ihnen ins Unternehmen kommt, dann sollten Sie ein Datenschutzmanagement mit Nachweisen vorweisen können.

Verzeichnis von Verarbeitungstätigkeiten

Zunächst ist zu ermitteln, in welchen Fällen personenbezogene Daten erhoben und verarbeitet werden. Das können Daten von Kunden, Lieferanten oder Mitarbeitern sein. Auch hier gilt grundsätzlich, dass lediglich natürliche Personen nach der DSGVO geschützt sind. D.h. der Firmenname Ihres Kunden oder Lieferanten ist nicht relevant bzw. schützenswert nach DSGVO. Doch die Namen von natürlichen Personen sind es hingegen schon. In der Regel handelt es sich um die Verarbeitung solcher personenbezogenen Daten. Steht bspw. auf einem Angebot, einer Rechnung oder einem Lieferschein der Name einer natürlichen Person (z.B. des Ansprechpartners), handelt es sich um die Verarbeitung von personenbezogenen Daten.

Zunächst rate ich dazu alle Systeme und Programme aufzulisten, die im Unternehmen verwendet werden. Zumindest wenn diese personenbezogene Daten verarbeiten. Die Verarbeitung ist bereits ab dem Zeitpunkt der Speicherung gegeben. Das Speichern von Daten ist bereits eine Verarbeitung.

Durch diese Auflistung können wir nun sehen welche Datenflüsse vorhanden sind. Und wir sehen zudem welche Daten hinein und welche hinaus fließen. Des Weiteren besitzen wir mit dieser Auflistung eine erste Grundlage für das verpflichtende Verzeichnis von Verarbeitungstätigkeiten.

In diesem Verzeichnis für Verarbeitungstätigkeiten sind alle wesentlichen Informationen zu allen Tätigkeiten aufgelistet, bei denen personenbezogene Daten verarbeitet werden. Dazu wird der jeweilige Zweck der Datenverarbeitung und die Beschreibung der Kategorie der personenbezogenen Daten benannt und aufgelistet.

Aufgrund der schnellen Unübersichtlichkeit solcher Verzeichnisse, empfiehlt es sich mehrere verschiedene Einzelverzeichnisse für die System und Programme anzulegen. Das können z.B. das ERP-Programm, die Warenwirtschaft, das Zeiterfassungssystem, das CRM oder Bewerbertools sein. Jedes dieser Programme sollte also ein eigenes Verzeichnis für Verarbeitungstätigkeiten besitzen.

Die Datenschutz-Folgeabschätzung

Zudem sind Unternehmen unter bestimmten Voraussetzungen dazu verpflichtet eine Datenschutz-Folgeabschätzung durchzuführen. Diese Datenschutz-Folgeabschätzung ist im Grunde genommen das gleiche wie die alte „Vorabkontrolle“ nach altem Bundesdatenschutzgesetz (BDSG). Sie ist eine Art Risikoabschätzung. Jedoch muss sie nur durchgeführt werden, wenn ein hohes Risiko für echte und Freiheiten von natürlichen Personen besteht. Das ist z.B. der Fall, wenn neue Technologien zur Datenverarbeitung zur Anwendung kommen. Genauso ist eine Datenschutzfolgeabschätzung durchzuführen, wenn sensible Daten verarbeitet werden. Das wiederrum können z.B. genetische oder biometrische Daten oder auch Gesundheitsdaten sein. Jede Landesdatenschutzbehörde muss dafür sog. Positivlisten führen. Auf diesen sind maßgebliche Beschreibungen von Verarbeitungstätigkeiten aufgelistet, für die eine Datenschutz-Folgeabschätzung durchzuführen ist. Hier geht es zu der Positivliste der Landesbeauftragten für den Datenschutz und für das Recht auf Akteneinsicht in Brandenburg.

Vertragsmanagement: Liste von Dienstleistern

Zunächst ist es sinnvoll eine Liste aller im Unternehmen eingesetzten Dienstleister zu erstellen. Dies sollte unabhängig davon geschehen, ob personenbezogene Daten vom Dienstleister verarbeitet werden. Erst im zweiten Schritt überprüft der Datenschutzbeauftragte, ob personenbezogene Daten von den Dienstleistern erhoben, verwendet, übermittelt oder verarbeitet werden. Des Weiteren ist zu prüfen, ob ein Auftragsverarbeitungsvertrag erforderlich ist bzw. bereits abgeschlossen wurde. Das ist ein Vertrag, der nach Art. 28 Abs. 3 DSGVO mit einem Auftragsverarbeiter geschlossen werden muss. Das sind z.B. Softwareanbieter, Rechenzentren, externe Datenhaltung, Cloud-Systeme in der Personal- und Kundenverwaltung oder Marketingagenturen. Bei all diesen externen Dienstleistungen ist genauer zu prüfen, ob eine Auftragsverarbeitungsvertrag abzuschließen ist.

Datengeheimnis im Unternehmen: Verpflichtung für Mitarbeiter

Obgleich es in der DSGVO keine ausdrückliche Verpflichtung zur Verpflichtung von Mitarbeitern zum Datengeheimnis gibt, sollte dies weiterhin in Ihrem Unternehmen gelten. Denn eine derartige Maßnahme kann zur Sensibilisierung der Mitarbeiter beitragen und wird von den Aufsichtsbehörden auch entsprechend wahrgenommen. Letztendlich handelt es sich hier um eine organisatorische Maßnahme im Datenschutzmanagement.

Datenschutz-Schulungen

Des Weiteren gehören Schulungen zu den organisatorischen Maßnahmen hinsichtlich des Datenschutzmanagements. Diese Schulungen werden von einem Datenschutzbeauftragten durchgeführt. Welche Aufgaben dieser hat, haben wir ja bereits hier gesehen.

Die Wahrnehmung von Betroffenenrechten: Der richtige Prozess

In den Artikel 12 bis 21 DSGVO sind die Rechte von Betroffenen geregelt. Diese Betroffenenrechte sind:

• Informationsrecht,
• Auskunfts- und Widerspruchsrecht,
• Recht auf Berichtigung, Löschung und Einschränkung,
• Recht auf Datenübertragbarkeit.

Durch die DSGVO ist eine Vervielfachung der zu berücksichtigenden Pflichten hinsichtlich der Information von Betroffenen eingetreten. Im Kern fordert die Verordnung, dass die Betroffenen wissen sollen, wer welche Daten zu welchen Zwecken über sie erhebt. Des Weiteren sollen die Betroffenen befähigt werden die Erhebung und die Nutzung der Daten zu prüfen.

Deshalb muss jedes Unternehmen die Betroffenen ausreichend über die Datenverarbeitungsvorgänge informieren. Dazu bedarf es einer grundlegenden Prozessanalyse im Unternehmen des Verantwortlichen. Dieser muss zunächst wissen, über welche Sachverhalte hinsichtlich des Datenschutzes er die Betroffenen informieren muss.

Was genau passiert eigentlich, wenn der Betroffene von seinem Recht gebrauch macht? An wen soll sich der Betroffene dann wenden? Wer ist für das Anliegen des Betroffenen zuständig? Was ist zu beachten? Gibt es verschiedene Ansprechpartner für verschiedene Systeme? Wie kann z.B. die Löschung der Kundendaten vollumfänglich gewährleistet werden?

All das sind Fragen, mit denen sich der Verantwortliche bzw. der Datenschutzbeauftragte beschäftigen muss. Er muss sich über geeignete Prozesse im Klaren werden. Diese sollen die Gewährleistung der Rechte des Betroffenen und die Einhaltung der Pflichten für den Verantwortlichen sichern. Zuletzt werden entsprechende Prozesse im Unternehmen implementiert.

Was bei Datenschutzverstößen zu tun ist?

Die DSGVO fordert im Artikel 33 Abs. 1 die unverzügliche Meldung eines Datenschutzverstoßes an die zuständige Aufsichtsbehörde. Dabei bedeutet „unverzüglich“ möglichst binnen 72 Stunden. Eine Meldung muss nur dann nicht zwingend erfolgen, wenn die Rechte und Freiheiten von natürlichen Personen nicht gefährdet sind. Des Weiteren verlangt Art 34 DSGVO sogar, dass bei einem hohen Risiko für Rechte und Pflichten zusätzlich die Betroffenen zu informieren sind.

Dafür muss ein Prozess im Unternehmen implementiert werden. Dieser muss so gestaltet werden, dass die Verletzung des Schutzes personenbezogener Daten schnell erkannt, diese an den Datenschutzbeauftragten weitergeleitet und abschließend bewertet wird. Hier erfolgt dann die Überprüfung der Risikohöhe für die Rechte und Freiheiten der Betroffenen durch den Datenschutzbeauftragten. Nur so kann der Verantwortliche seinen Melde- und Informationspflichten nachkommen.

Das Datenschutzkonzept als Pflicht für alle Unternehmen

Diese Datenschutzrichtlinie oder das Datenschutzkonzept ist also eine Zusammenfassung aller datenschutzrechtlich relevanter Dokumente. Dazu gehört die Formulierung von Zielen, Verantwortlichkeiten sowie das Nachkommen der Dokumentationspflichten. Damit erweist sich das Datenschutzkonzept als ein wichtiges Strategiepapier innerhalb eines Unternehmens. Dadurch kommen Unternehmen zudem ihrer Rechenschaftspflicht (Art. 5 Abs. 2 sowie Art. 24) laut DSGVO nach. Die Aufsichtsbehörden haben damit ein Dokument, in dem das Datenschutzmanagement im Unternehmen nachvollzogen werden kann. Außerdem dient es als Grundlage für sämtliche datenschutzrechtlichen Prüfungen.

Ein Datenschutzkonzept ist also nicht nur ein gutes Aushängeschild für Kunden und Lieferanten. Es ist ein wichtiges Strategiepapier, das Ihren Mitarbeitern, Außenstehenden sowie Betroffenen transparent zeigt, wie Sie Ihren datenschutzrechtlichen Pflichten nachkommen. Vor allem ist es eine rechtliche Verbindlichkeit. Dieses Datenschutzkonzept muss regelmäßig überprüft und ggf. aktualisiert werden.

D.h. alle Unternehmen, die personenbezogene Daten verarbeiten, müssen ein Verfahren implementieren, um Maßnahmen für Datenschutz und Informationssicherheit zu überprüfen und zu bewerten. Das Datenschutzkonzept dient hier als beste Grundlage.

Keine Strafen bei gutem Datenschutzmanagement?

Festzuhalten bleibt: Wer ein ordentliches Datenschutzmanagement betreibt und ein umfassendes Datenschutzkonzept besitzt, der wird auch vor Strafen besser geschützt sein. Zwar gibt es keine endgültige Sicherheit oder Straffreiheit bei fahrlässigen Verhalten. Dennoch ist das Vorhandensein eines guten Datenschutzmanagements und eines Datenschutzkonzeptes ein mindestens bußgeldmildernder Umstand. Doch wer sich an sein eigenes Datenschutzmanagement hält und wer seine Hausaufgaben gemacht hat, der ist auch auf den E-Fall gut vorbereitet. Wer also schnell und effizient auf einen Datenschutzverstoß reagiert, der hat gegenüber der Aufsichtsbehörde zumindest eine weitaus bessere Ausgangsposition als ein Unternehmen, das keinerlei Datenschutzbestimmungen einhält.

Schon gerüstet für die DSGVO? Haben Sie schon ein Datenschutzkonzept oder betreiben ein Datenschutzmanagement? Nein, dann lade ich Sie gerne ein mich zu kontaktieren. Füllen Sie einfach das Kontaktformular aus und vereinbaren mit mir ein kostenloses und unverbindliches erstes Beratungsgespräch.

Über die Gründe, warum man Datenschutz betreiben sollte, habe ich ja schon in einem früheren Post gesprochen.

Heute möchte ich mich explizit der Frage widmen, warum bzw. wann man einen Datenschutzbeauftragten braucht.

Zunächst einmal schreibt der Gesetzgeber die Benennung eines Datenschutzbeauftragten vor. Dies erfolgt in Form des Bundesdatenschutzgesetzes (BDSG) sowie durch die Datenschutzgrundverordnung der EU (DSGVO), die seit dem 25. Mai 2018 bindend für alle Mitgliedsländer der EU ist. 

Braucht jedes Unternehmen zwingend einen Datenschutzbeauftragten?

Diese Frage ist mit einem klaren „Nein“ zu beantworten. Nicht jedes Unternehmen ist dazu verpflichtet einen Datenschutzbeauftragten zu benennen. In Art. 37 DSGVO (1) ist geregelt, welche Voraussetzungen für eine pflichtgemäße Benennung gegeben sein müssen. Um zu prüfen, ob Sie einen Datenschutzbeauftragten laut Gesetzgeber benötigen, habe ich im Folgenden alle gesetzmäßigen Gründe aufgelistet.

Wann brauche ich einen Datenschutzbeauftragten?

 Jede öffentliche Stelle, also jede öffentlich-rechtliche Einrichtung des Staates, muss grundsätzlich einen Datenschutzbeauftragten benennen. Es gibt dabei nur eine Ausnahme: Die Gerichte benötigen keinen Datenschutzbeauftragten.

1. Nicht-öffentliche Stellen sind verpflichtet einen Datenschutzbeauftragten zu benennen, wenn:
   1. die Kerntätigkeit eine umfangreiche oder systematische Überwachung von Personen erforderlich macht oder
   2. die Kerntätigkeit eine umfangreiche Verarbeitung besonders sensibler Daten abfordert.

Was ist unter Kerntätigkeit zu verstehen?

Bei der Kerntätigkeit handelt es sich um die Haupttätigkeit eines Unternehmens. Dazu gehören sämtliche Vorgänge, die einen festen Bestandteil der Haupttätigkeit ausmachen.

Was bedeutet „umfangreich“?

Laut dem Erwägungsgrund 91 DSGVO liegt eine „umfangreiche“ Überwachung vor, wenn mehrere der folgenden Faktoren als hoch eingestuft werden:

• Die Menge der verarbeitenden personenbezogenen Daten (Volumen),
• eine Verarbeitung auf regionaler, nationaler oder supranationaler Ebene (geografischer Aspekt),
• des Weiteren die Anzahl der betroffenen Personen, von denen Daten verarbeitet werden
• sowie die Dauer der Verarbeitung (zeitlicher Aspekt).

Was hier explizit „hoch“ bedeuten soll, kann leider nicht genau gesagt werden. Die DSGVO hält sich dies gewissermaßen offen.

Was sind „besonders sensible“ personenbezogene Daten?

Dabei handelt es sich um Daten, die auf die rassische und ethnische Herkunft, politische Meinung, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeiten oder Sexualleben des Betroffenen schließen lassen. Personenbezogene Daten sind sämtliche Informationen, die eine Person identifizieren, also bestimmbar machen lassen.

Was heißt das konkret? Was sagt das deutsche Recht?

Das BDSG 2018, welches ja auf der DSGVO aufsitzt, regelt dies im § 38 (1). Laut dem Bundesdatenschutzgesetz gibt es drei konkrete Gründe für die Benennung eines Datenschutzbeauftragten:

1. Wenn Sie mindestens 20 Personen beschäftigen, die ständig und automatisiert personenbezogene Daten verarbeiten.
2. Genauso wenn Sie eine Datenschutz-Folgeabschätzung machen müssen.
3. Oder wenn Sie personenbezogene Daten zum geschäftsmäßigen Zweck der Übermittlung, der anonymisierten Übermittlung bzw. für den Zweck der Markt- und Meinungsforschung verarbeiten.

Die beiden letzten Gründe verlangen von mir also, unabhängig von der Anzahl verarbeitender Personen, einen Datenschutzbeauftragten zu benennen.

Was bedeutet „automatisiert“?

„Automatisierte Verarbeitung“ personenbezogener Daten bedeutet, die Erhebung oder Nutzung derselben unter dem Einsatz von Datenverarbeitungsanlagen.

Wann müssen Sie eine Datenschutz-Folgeabschätzung machen?

Eine Datenschutz-Folgeabschätzung ist durchzuführen, wenn die Verarbeitung personenbezogener Daten ein voraussichtlich hohes Risiko bedeutet. Das Risiko beschreibt dabei die Wahrscheinlichkeit, dass Rechte und Freiheiten von natürlichen Personen gefährdet sind. Ich werde dies später in einem anderen Artikel noch näher beleuchten.

Welche Aufgaben haben die Datenschutzbeauftragten?

Es gibt kein konkretes Anforderungsprofil für den Datenschutzbeauftragten. Dennoch geht das BDSG zumindest im Kern auf die Hauptaufgaben desselben ein. Der Datenschutzbeauftragte fungiert wie eine Stabsstelle, als Berater der Geschäftsleitung. Er überwacht und überprüft den Status Quo in dem Betrieb. Letztlich schaut er, ob dieser mit den rechtlichen und technischen Anforderungen hinsichtlich des Datenschutzes einhergeht. Darauf entwickelt er ein Datenschutzkonzept. Des Weiteren dient er der Prävention. Der Verantwortliche, also der Unternehmer soll möglichst den Datenschutz einhalten, sodass es erst gar nicht zu einem Verstoß kommt.

Im Folgenden sind die Aufgaben lt. BDSG-neu aufgeführt:

• Prüfung der einzelnen technisch-organisatorischen Sicherungsmaßnahmen, § 9 BDSG
• Unterstützung bei der Erstellung des internen und öffentlichen Verfahrensverzeichnisses
• Prüfung und Überwachung der Auftragsdatenverarbeitung, § 11 BDSG
• Prüfung der Zulässigkeit der Übermittlung von personenbezogenen Daten in Drittstaaten, §§ 4b, 4c BDSG
• Bearbeitung der Anfragen/Auskunftsersuchen von Betroffen, §§ 34, 35 BDSG
• Durchführung der Vorabkontrolle, § 4d Abs. 4 BDSG
• Überwachung der Datennutzung für Marketing bzw. Werbung, §28 BDSG und §7 UWG
• Prüfung der Videoüberwachung in öffentlich zugänglichen Bereichen, § 6b BDSG und am Arbeitsplatz, § 32 BDSG
• Schulung der Mitarbeiter

Was passiert bei Nichtbenennung des Datenschutzbeauftragten?

Sollten Sie dazu verpflichtet sein, haben aber trotzdem keinen Datenschutzbeauftragten benannt, kann es sehr teuer für Sie werden. Die DSGVO fordert hier Geldbußen von 10 Millionen EUR oder gar 2 Prozent des weltweiten Jahresumsatzes des dagegen verstoßenden Unternehmens. Allerdings handelt es sich hierbei wirklich um die Höchststrafe für einen Verstoß. Dennoch betrug die Strafe bereits vor dem 25. Mai 2018 laut BDSG bis zu 50.000 EUR bei Nichtbenennung eines Datenschutzbeauftragten. Dies darf daher nicht unterschätzt werden. Wer fahrlässig handelt und wem dies nachgewiesen werden kann, der kann heute mit weitaus höheren Bußgeldern rechnen.

Sie brauchen einen Datenschutzbeauftragten, wollen oder können jedoch keinen internen einsetzen? Dann melden Sie sich bei mir über mein Kontaktformular oder rufen Sie mich an. Ich mache Ihnen gerne ein unverbindliches Angebot.