Startschuss für anlasslose Prüfungen der Datenschutzaufsichtsbehörde

Pressemitteilung des Bayerischen Landesamts für Datenschutzaufsicht vom 01.12.2021

Bayerische Unternehmen – von der kleinen Arztpraxis bis zum Konzern – werden zunehmend von international agierenden Cyberkriminellen angegriffen. Neben der Verschlüsselung von Dateien samt exorbitanter Lösegeldforderung kommt es dabei vielfach auch zum Diebstahl sensibler Gesundheitsdaten, Kontodaten oder Bewerbungsunterlagen verbunden mit der Drohung, bei einer Verweigerung der Zahlung diese im Internet zu veröffentlichen. Alleine innerhalb des letzten Jahres wurden dem Bayerischen Landesamt für Datenschutzaufsicht von bayerischen Unternehmen mehrere hundert Ransom-Angriffe gemeldet, bei denen Lösegeld von 10 TSD bis zu 50 Mio. Euro gefordert wurden. Präsident Michael Will: „Schon im eigenen Interesse müssen bayerischen Unternehmen ihre Daten gegen Angriffe Cyberkrimineller absichern. Die Einhaltung des Datenschutzrechts schafft einen Sicherheitswall für die Daten der betroffenen Personen, der häufig schon mit einfachen Maßnahmen errichtet werden kann. Mit unserer Prüfaktion greifen wir Basisaufgaben auf, die in jedem Unternehmen gewährleistet werden können und sollten.“

Die hohe Anzahl der gemeldeten Fälle, die nach einer Sommerpause ab September wieder deutlich angestiegen sind, spiegelt das Risiko für jedes Unternehmen wieder, Opfer eines Cyberangriffs zu werden. Gerade auch Unternehmen aus dem Mittelstand sind überproportional betroffen und widerlegen damit das trügerische Gefühl, nicht im Fokus der Angreifer zu sein.

Werden Daten und IT-System verschlüsselt, dann ruht häufig der Betrieb. Selbst eine funktionierende Datensicherung bietet aber vor dem Trend, dass Angreifer personenbezogene Daten entwenden (Ransomware 2.0), keinen Schutz und verlagert den Schaden auf die betroffene Belegschaft und Kundschaft. Gravierend kann es werden, wenn sensitive Informationen wie Inhalte einer ärztlichen Patientenakte, Kontoverbindungsdaten oder Bewerbungsunterlagen im sogenannten Darknet auftauchen, um dort in Marktplätzen für andere Internetverbrecher zum Verkauf angeboten zu werden.

Aufgrund der sehr hohen Bedrohungslage von Angriffen mit Ransomware hat sich das BayLDA entschieden, die Auftaktprüfung einer ganzen Prüfreihe diesem Thema zu widmen. Ziel ist, mit fünf zielgerichteten Prüffragen die wichtigsten Sicherheitsbereiche abzufragen sowie weitere Informationen für einen umfassenden Schutz anzubieten. „IT-Sicherheit zum Schutz vor Ransomware gehört zu den Pflichtaufgaben für alle Unternehmen, die personenbezogene Daten verarbeiten. Unsere Prüfung zeigt gerade für kleine und mittelständige Unternehmen einfache und wirksame Maßnahmen auf, mit denen sie ihre Datenschutzanforderungen wahren und sich im besten Fall zugleich erfolgreich gegen die Angriffe Cyberkrimineller verteidigen.“, so Will.

Neu gegründete Stabstelle Prüfverfahren

Mit der Prüfung „Ransomware“ gibt die neu gegründete Stabstelle Prüfverfahren des BayLDA den Startschuss für eine Reihe anlassloser fokussierter Kontrollen. In kurzen Abständen werden künftig standardisierte schriftliche und auch automatisiert über das Internet ausgeführte Prüfungen mit klarer Schwerpunktsetzung durchgeführt. Begleitend werden die Prüffragen sowie Informationen zu dem jeweiligen Prüfkomplex unter https://www.lda.bayern.de/de/kontrollen_stabsstelle.html veröffentlicht. Künftige Themenbereiche werden zudem bereits vorangekündigt.

Ziel der regelmäßigen fokussierten Prüfungen ist einerseits, die datenschutzrechtlichen Kontrollen der nicht-öffentlichen Stellen in Bayern auszuweiten. Andererseits soll durch die begleitende Bereitstellung von Informationen das Augenmerk auch der Datenschutzbeauftragten auf die jeweils geprüften oder zur Prüfung anstehenden Thematiken gelenkt werden. „Wir möchten die betrieblichen Datenschutzexperten als Multiplikatoren gewinnen, um gemeinsam den Schutz der bayerischen Unternehmen zu erhöhen. Unsere fokussierten Prüfkataloge bieten ihnen einfache Werkzeuge für interne Kontrollen und Schulungen.“, erläutert Präsident Michael Will.Download Für den Ernstfall gewappnet? – Datenschutzprüfung gegen Welle von Ransomwaren-Angriffen bei bayerischen Unternehmen als PDF

Pressemitteilung des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz

Seit dem 24.11.2021 gelten im Beschäftigungsverhältnis strengere Regeln zur Eindämmung der Corona-Pandemie. Durch eine Änderung des Infektionsschutzgesetzes (IfSG) ist der Zutritt zu einem Arbeitsplatz, bei dem physische Kontakte zu anderen Personen nicht ausgeschlossen werden können, nur noch dann zulässig, wenn Beschäftigte und Besucher den sog. 3G-Nachweis gegenüber dem Arbeitgeber erbringen (§ 28 b Abs. 1 IfSG). Das heißt, sie müssen entweder geimpft, genesen oder negativ getestet sein. Diese Änderung bringt für die meisten Arbeitsplätze im Land zahlreiche Änderungen mit sich: Denn der Arbeitgeber ist verpflichtet, die Nachweispflicht täglich zu überwachen und auch zu dokumentieren. Bei Verstößen drohen hohe Bußgelder.

Korrespondierend hierzu wurden die bisherigen Vorschriften zur Zulässigkeit einer Impfabfrage durch den Arbeitgeber erweitert. Es ist dem Arbeitgeber jetzt erlaubt, Informationen zum Impf-, Genesenen- bzw. Teststatus der Beschäftigten zu erfragen und diese Daten – einschließlich der Gültigkeitsdauer des Zertifikates – zu verarbeiten (§ 28b Abs. 3). Wenn der Arbeitgeber den Genesenen- oder Impfnachweis einmal kontrolliert und dokumentiert hat, können Beschäftigte mit gültigem Zertifikat aber von den täglichen Zugangskontrollen befreit werden.

Beschäftigte sind auch angesichts der neuen Regelungen nicht verpflichtet, dem Arbeitgeber Auskunft über den eigenen Impf- oder Genesungsstatus zu geben. Wer diese Frage nicht beantworten möchte, muss aber täglich einen Test vorlegen.

„Auch wenn Arbeitgeber auf der Basis des geänderten Infektionsschutzgesetzes nunmehr auch Gesundheitsdaten ihrer Beschäftigten verarbeiten dürfen, sind dabei datenschutzrechtliche Vorgaben zu beachten“, so Prof. Dr. Dieter Kugelmann, Landesbeauftragter für den Datenschutz und die Informationsfreiheit in einer ersten Einschätzung: „Die neuen Regelungen sind kein Freibrief, um sich ein umfassendes Bild über den Gesundheitszustand der Mitarbeitenden zu verschaffen! Ziel ist der Gesundheitsschutz, nicht das Ausforschen von Beschäftigten“. Der Grundsatz der Datenminimierung nach Art. 5 Datenschutz-Grundverordnung gelte weiterhin uneingeschränkt.

Arbeitgeber seien daher gehalten, die datensparsamste Nachweismethode zu wählen. Als Beispiel nannte Prof. Kugelmann die Nutzung der vom RKI herausgegebenen kostenlosen „CovPassCheck-App“ durch den Arbeitgeber (https://www.digitaler-impfnachweis-app.de/covpasscheck-app/ – idealerweise auf dem Dienst- bzw. Firmenhandy. Diese Methode sei gegenüber dem Anlegen umfangreicher Namenslisten mit Informationen zum Genesenenstatus oder zu zurückliegenden Impfterminen vorzugswürdig. Soweit Nachweis-Zertifikate oder QR-Codes elektronisch übermittelt werden sollen, sei eine ausreichende Vertraulichkeit der Daten sicherzustellen, z.B. durch eine geeignete Verschlüsselung.

„Insgesamt hätte ich mir eine Regelung gewünscht, bei der Arbeitgeber bei der Nachweisprüfung nur einen QR-Code einscannen und somit nicht erkennen können, welches der drei „G“ bei Beschäftigten vorliegt. Italien hat dies mit dem Green-Pass vorgemacht. Dadurch, dass die neuen Vorschriften auch die Nutzung der Impfdaten für das Hygienekonzept des Arbeitgebers erlauben, wird das Problem noch verschärft. Ich appelliere an die Arbeitgeberinnen und Arbeitgeber, umsichtig und sorgsam mit den Daten umzugehen“.

Weitere Hinweise unter :

https://www.digitaler-impfnachweis-app.de/faq#wann-brauche-ich-die-covpasscheck-app–

WhatsApp gehört immer noch zu den beliebtesten Apps überhaupt. Die Messenger-App ermöglicht den Austausch von Nachrichten über das Internet ohne zusätzliche Übertragungskosten und über verschiedene Betriebssysteme hinweg. Es mehren sich jedoch auch die kritischen Stimmen gegenüber WhatsApp und Mutterkonzern Meta (ehemals „Facebook“). Zeit für einen Datenschutz-Check.

WhatsApp, der Gigant unter den Messengern

WhatsApp ist immer noch der Platzhirsch unter den Messengern, trotz aller Warnungen und datenschutzrechtlicher Probleme. Nach einer Statista-Untersuchung von 2020 nutzten 94% der Befragten WhatsApp, gefolgt vom Facebook Messenger mit 51%. Threema abgeschlagen mit 3% und Signal mit nur 2%. Die Zahlen machen eins deutlich, der Verzicht auf WhatsApp fällt noch immer schwer oder erfordert einiges an Überzeugungsarbeit im Freundes- und Bekanntenkreis.

Datenschutz-Problem: Adressbuchabfrage ohne Einwilligung

Durch das Urteil des AG Bad Hersfeld wurde 2017 allerhand Aufregung geschürt. Der Richter stellte damals fest, dass die Mutter es unterlassen hatte, ihr Kind bei der Handynutzung angemessen zu beaufsichtigen. Im Rahmen dieser Aufsicht hätte sie eine schriftliche Einwilligung von allen Personen in dem Adressbuch ihres Kindes vor der Weitergabe deren Daten an WhatsApp einholen müssen. Denn sonst bestünde die Gefahr, dass das Kind von den Betroffenen abgemahnt werde.

Zwar würde man meinen, dass Personen, die ihr Telefon ausschließlich privat nutzen, keine Einwilligungen von ihren Kontakten einholen müssen. Denn nach Art. 2 Abs. 2 lit. c) DSGVO (oder zum Zeitpunkt des Urteils § 27 Abs. 1 S. 2 BDSG a.F.) wird eine Datenverarbeitung für persönliche und familiäre Zwecke nicht vom datenschutzrechtlichen Regelwerk erfasst. Folglich sind sie in diesen Fällen nicht anwendbar und eine Haftung nach der DSGVO ist damit ausgeschlossen. Doch auch das Gericht bejaht das Greifen der Haushaltsausnahme und nahm damals eine deliktische Haftung nach §§ 823, 1004 BGB analog an, da das Kind mit der Nutzung von WhatsApp das Recht auf informationelle Selbstbestimmung aller betroffenen Kontaktpersonen verletze. Weitere Urteile oder Abmahnungen in diese Richtung folgten jedoch nicht.

Auf Firmenhandys lässt sich WhatsApp zurzeit aus Datenschutzsicht oftmals nicht konform einsetzen. Es wäre zunächst erforderlich, von allen Kontakten die Einwilligung zur Weitergabe der Telefonnummern an WhatsApp einzuholen. Umgehen lässt sich das Problem nur, wenn die WhatsApp-Anwendung in einer virtualisierten IT-Umgebung abgeschottet und isoliert betrieben wird. Daneben muss die Business App mit ihren seperaten Nutzungs- und Datenverarbeitungsbedingungen verwendet werden. Eine solche Lösung sah das UDZ Saarland im 28. Tätigkeitsbericht 2019 (S. 74 ff.) in einer Überprüfung von Kommunikationskanälen der Kommunen als zulässig an. Seit dieser Bewertung wurde das Privacy Shield vom EuGH gekippt und WhatsApp hat seine Datenverarbeitungsbedingungen für Business-Nutzer mehrfach angepasst, sodass diese Punkte vor einem Einsatz im Unternehmen erneut zu prüfen wären.

Bei gemischt genutzten Geräten sollten die dienstlichen Daten durch eine Containerlösung geschützt werden. Hierbei werden dienstliche Daten wie z.B. Kontakte in einer Container-App gespeichert, so dass Apps wie WhatsApp keinen Zugriff auf diese Daten haben. So ist auch bei Firmenhandys mit erlaubter Privatnutzung die Nutzung von WhatsApp mit dem Datenschutz vereinbar.

Kann man die Weitergabe der Telefonnummern an WhatsApp unterbinden?

Bei der Installation der App wird die Eingabe der eigenen Telefonnummer gefordert und um die Erlaubnis zur Adressbuchabfrage gebeten. Bei Zustimmung erstellt die Software eine Favoritenliste mit denjenigen Kontakten aus dem Adressbuch, die ebenfalls WhatsApp verwenden. Dass dabei Daten der Nutzer übertragen und verarbeitet werden, liegt auf der Hand.

Der Zugriff auf die Telefonnummern lässt sich sowohl bei iOS als auch bei Android im Betriebssystem direkt steuern und damit die Weitergabe an WhatsApp unterbinden. Das hat natürlich auch zur Folge, dass die Kontakte nicht mehr in WhatsApp angezeigt werden und so wäre der Nutzer gezwungen auf die Nachricht eines anderen zu warten, um einen Chat zu beginnen. Eine andere Möglichkeit ist die angesprochene Containerlösung.

Was macht WhatsApp mit den Telefonnummern?

WhatsApp nutzt die Telefonnummer als „Unique Identifier“ also als Datum, um das Gerät bzw. den Nutzer eindeutig zu identifizieren. Diese werden in erster Linie genutzt, um sie mit dem Adressbuch neuer Nutzer abzugleichen und denen dann Übereinstimmugen als Kontakte vorzuschlagen. Daneben werden bei der Adressbuchabfrage aber auch die Telefonnummern von Personen verarbeitet, die (noch) nicht bei WhatsApp registriert sind. Diese Telefonnummern werden in einem speziellen Verfahren gehasht, mit der Telefonnummer des registrierten Nutzers verknüpft und von WhatsApp gespeichert. Das passiert, um den registrierten Nutzern eine Benachrichtigung zu schicken, falls sich ein bisher nicht registrierter Kontakt später doch noch einen WhatsApp Account einrichtet.

Dieser Vorgang stellt aus Sicht des EDSA (S. 26 ff.) lediglich eine Pseudonymisierung und keine wie von WhatsApp behauptete Anonymisierung der Telefonnummern dar. Denn durch das eingesetzte Hashverfahren und die unglaublichen Datenmengen, die dem Konzern zur Verfügung stehen, sei das Risiko hoch, dass die Nicht-Nutzer von WhatsApp reidentifiziert werden könnten. An der Einschätzung ändere auch die Beteuerung von WhatsApp nichts, dass das Unternehmen daran kein Interesse hätte, da man ja schließlich aus eben diesem Desinteresse die Daten überhaupt erst „anonymisiert“ hätte.

Daneben hat WhatsApp, nach dem jüngsten Aufschrei der Öffentlichkeit über die neuen Nutzungsbedingungen im Februar 2021, den Austausch einiger Informationen mit dem Mutterkonzern Meta „präzisiert“, bzw. vorerst von diesem Abstand genommen. So heißt es aktuell im FAQ (Stand 16.11.2021):

„Derzeit teilt WhatsApp deine personenbezogenen Daten nicht mit Facebook, um deine Produkterlebnisse auf Facebook zu verbessern oder dir interessantere Facebook-Anzeigen zu zeigen.“

Es werden allerdings weiterhin Daten zu anderen sehr vagen Zwecken geteilt. So heißt es:

„WhatsApp arbeitet mit den anderen Facebook-Unternehmen zusammen und teilt Informationen mit ihnen, um von Leistungen in den Bereichen Infrastruktur, Technologie und Systeme profitieren zu können.“

Welche Daten sammelt WhatsApp sonst noch?

WhatsApp sammelt alle von den Nutzern selbst angegebenen Daten wie Anzeigename, Telefonnummer, Status und Profilbild. Nachrichten werden grundsätzlich nicht auf den WhatsApp-Servern gespeichert, es sei denn der andere Nutzer ist nicht erreichbar. In diesem Fall wird die Nachricht 30 Tage zwischengespeichert und anschließend automatisch gelöscht. Fotos werden laut WhatsApp nur zwischengespeichert und anschließend gelöscht. Um ständig auf dem aktuellen Stand zu bleiben, werden alle Kontakte aus dem Adressbuch ausgelesen und regelmäßig mit der WhatsApp-Datenbank abgeglichen.

WhatsApp bietet die Möglichkeit an, Chatverläufe auf Google Drive und/oder einem lokalen Backup zu sichern. Dabei entfällt logischerweise die WhatsApp Ende-zu-Ende-Verschlüsselung. Wählt man „die einfachste Möglichkeit, Daten auf ein neues Telefon zu übertragen“, liegen die Gespräche unverschlüsselt auf dem Server des amerikanischen Cloud-Anbieters.

WhatsApp ist aber auch an weiteren Daten interessiert. Oft geht es um Metadaten, also z.B. nicht um den Inhalt eines Telefonats über WhatsApp oder den Inhalt einer Nachricht, sondern wann eine Person wie oft und wie lange kontaktiert wurde. Aus diesen Informationen ergibt sich dann ein umfassendes Bild zu einer bestimmten Person und so lassen sich sehr gute Profile erstellen.

Datenschutzkritik am Datenaustausch zwischen WhatsApp und Facebook

Die beim Kauf von WhatsApp durch Facebook einst versprochene Unabhängigkeit des Messengers war schnell vergessen. WhatsApp wurde immer weiter in die Konzernstruktur von Facebook integriert und somit wurden auch mehr und mehr Daten zwischen den einzelnen Unternehmen ausgetauscht. Nach anfänglichen Erfolgen der deutschen Datenschutzaufsichtsbehörden dieser Entwicklung einen Riegel vorzuschieben, scheitert die Untersagung des Datenaustausch zwischen WhatsApp und Facebook seit Anwendbarkeit der DSGVO an der fehlenden Zuständigkeit der deutschen Behörden.

Die irische Behörde (DPC) ist nun die federführende Behörde für viele „Big-Tech-Unternehmen“ wie z.B. WhatsApp bzw. Meta. Nach dem sog. „One-Stop-Shop“-Verfahren gemäß Art. 56 DSGVO ist bei grenzüberschreitenden Sachverhalten die Behörde am Sitz der Hauptniederlassung federführend zuständig. Der Gedanke war, Unternehmen weniger Bürokratie und mehr Rechtssicherheit zu verschaffen, indem sie sich in Verfahren nicht mehr mit Aufsichtsbehörden in mehreren EU-Mitgliedstaaten und ihren Rechtsauffassungen auseinandersetzen müssen. Doch wenn die federführende Aufsichtsbehörde nicht tätig wird oder Verfahren nur schleppend bearbeitet, haben die übrigen europäischen Aufsichtsbehörden, in deren Hoheitsgebiet das Unternehmen auch tätig ist, kaum Möglichkeit das Verfahren in Gang zu bringen oder es zu beschleunigen.

Die weiterbestehende Kritik vieler Datenschutzexperten an WhatsApp ist, dass das Teilen der Daten über einen Nutzer mit Facebook weder transparent ist, noch der Nutzer darin freiwillig eingewilligt hat. Um den Dienst von WhatsApp nutzen, muss man die Nutzungsbedingungen annehmen – der Nutzer kann gerade nicht entscheiden, welche Daten er teilen möchte. Eine freiwillige und informierte Einwilligung sieht anders aus.

Zweithöchstes DSGVO-Bußgeld und weitere Verfahren gegen WhatsApp

Dieses Jahr wurde das zweithöchste Bußgeld in der Geschichte der DSGVO in Höhe von 225 Millionen Euro gegen WhatsApp verhängt. Bei dem Verfahren aus dem Jahre 2018 ging es vor allem um Verstöße gegen die Transparenzvorgaben aus Art. 12 bis 14 DSGVO. Daneben laufen gegen den Konzern bei der Aufsichtsbehörde in Irland noch 9 weitere Verfahren, wie aus dem Jahresbericht des DPC hervorgeht:

• Zu einer Datenpanne im September 2018
• Zu der Umsetzung des Auskunftsrechts und Recht auf Datenübertragbarkeit
• Zu der Rechtmäßigkeit der in den Nutzungsbedingungen und Datenrichtlinie angegebenen Rechtsgrundlagen für die Datenverarbeitung
• Zu der Rechtmäßigkeit der Rechtsgrundlage für maßgeschneiderte Werbung
• Zu einer ganzen Reihe von seit dem 25.05.2018 gemeldeten Datenpannen
• Zu der Speicherung von Passwörtern im Klartext auf internen Servern
• Zu der Einhaltung der Vorschriften des internationalen Datentransfers nach Schrems II

Außerdem führt das Bundeskartellamt seit 2019 ein sehr spannendes Verfahren gegen Facebook. Das Bundeskartellamt (BKartA) hatte dem Konzern das Zusammenführen von Nutzerdaten aus seinen verschiedenen Diensten ohne Einwilligung der Nutzer untersagt. Gegen die Untersagung legte Facebook Beschwerde beim OLG Düsseldorf ein, welches zunächst eine Aussetzungsanordnung aussprach. Nachdem der BGH diese wiederum aufhob und den Vorwurf der missbräuchlichen Ausnutzung einer marktbeherrschenden Stellung durch Facebook vorläufig bestätigte, wähnte man einen Abschluss des Verfahrens nahe. Doch das OLG Düsseldorf hat den nun in der Hauptsache verhandelte Fall abermals unterbrochen, um dem EuGH Fragen zur Auslegung des Datenschutzrechts vorzulegen. Ein Ende des Rechtsstreits ist somit erneut in weite Ferne gerückt. Seit Ende 2020 läuft zudem eine verbraucherrechtliche Sektoruntersuchung des Bundeskartellamts zu Messenger-Diensten, bei der WhatsApp erneut im Fokus steht.

WhatsApp ist erfolgreich, trotz Datenschutz-Kritik

Es gibt viel Kritik an WhatsApp, doch der Gigant unter Messengern lässt nicht so leicht locker. Fraglich ist, ob WhatsApp sich in die Knie zwingen lässt und zukünftig eine „echte“ (freiwillige & informierte) Einwilligung seiner Nutzer für die Weitergabe von Daten an Meta einholen wird. Dies scheint nach aktuellem Stand eher unwahrscheinlich. Man wird weiter die Grenzen austesten und Verfahren verzögern. Solange kein entschlossenes Handeln der Regulierungsbehörden bei Bußgeldern oder andere Maßnahmen zu befürchten ist, wird der Konzern weitermachen wie gehabt.

Doch wie kann es sein, dass bei so viel Kritik die Nutzer bei WhatsApp bleiben? Schuld ist der Netzwerkeffekt. Da viele Nutzer bei WhatsApp sind, ist es für andere wiederrum attraktiv, über WhatsApp zu kommunizieren oder dort zu bleiben. Neue Anbieter haben es schwerer, doch ihr Markt wächst, denn das Bedürfnis nach mehr Privatsphäre und Datenschutz steigt. Es bleibt abzuwarten, wie sich diese neuen Anbieter verhalten werden und ob das Spiel um Daten nicht an anderer Stelle fortgesetzt wird.

Videokonferenz als Online Dienst: Rahmenbedingungen und Empfehlungen Dokument als pdf mit Tabelle Zur tabellarischen Übersicht Dieses Papier soll Unternehmen, Behörden und Vereine bei der Auswahl geeigneter Videokonferenz-Dienste unterstützen. Es gibt einen auf das Wesentliche beschränkten Überblick über die rechtlichen und technischen Datenschutz-Anforderungen, beschreibt einige gängige Anbieter und stellt tabellarisch eine Übersicht an Eigenschaften der Softwares […] Artikel anzeigen…

Mit LfDI-Tool DS-GVO.clever erstellen kleine Unternehmen, Gewerbetreibende und Handwerksbetriebe schnell und einfach ihre Datenschutzhinweise

Korrekte Datenschutzerklärungen zu formulieren fällt insbesondere kleineren Unternehmen und Vereinen schwer, da sie nicht über die Ressourcen verfügen, externe Datenschutzbeauftragte einzuschalten oder mit der eigenen Rechtsabteilung tätig zu werden.

Das LfDI-Tool DS-GVO.clever hilft konkret, einfach und wirksam. Es war bislang vor allem eine Hilfestellung für Vereine; jetzt können auch kleine Unternehmen, Gewerbetreibende und Handwerksbetriebe das Tool nutzen und innerhalb kurzer Zeit ihre Datenschutzinformationen erstellen. Es geht dabei nicht nur um Datenverarbeitungen auf der Unternehmenswebseite, sondern unter anderem auch um die Verarbeitung von Kund*innen- und Beschäftigtendaten. Auch in der neuen Version finden sich wieder zahlreiche Info-Buttons und Hinweise auf weitere Hilfestellungen des LfDI, wie Erklärvideos oder Praxisratgeber.

Das Tool steht auf der Homepage des Landesbeauftragten bereit. LfDI Stefan Brink: „Die Datenschutz-Grundverordnung unterscheidet nicht zwischen Konzernen und Kleinbetrieben. Wir helfen kleineren Betrieben, damit sie sehr einfach funktionierende Datenschutzhinweise selbst erstellen können.“

Die Unternehmen sind und bleiben verantwortlich für ihre Datenverarbeitungen – mit „DS-GVO.clever“ können sie ihren Informationspflichten auf einfache Weise gerecht werden. Handwerksbetriebe und andere kleinere Unternehmen können sich gerne auch an den Landesbeauftragten wenden, wenn sie weitere Unterstützung benötigen.

Das Bildungszentrum BIDIB bietet zusätzlich online-Schulungen an, damit Interessierte sich mit „DS-GVO.clever“ vertraut machen können.
https://www.baden-wuerttemberg.datenschutz.de/offene-veranstaltungen/

DS-GVO.clever:
https://www.baden-wuerttemberg.datenschutz.de/ds-gvo.clever/