DSGVO-konforme Nutzung von WordPress und anderen Content-Management-Systemen

18.01.2019 | Autorin: Andrea Wünscher – Juristische Mitarbeiterin   Andrea_Wuenscher

WordPress DSGVO

Das Bayerische Landesamt für Datenschutzaufsicht führt derzeit flächendeckend automatisierte Prüfungen zu möglichen Schwachstellen von Webseiten durch, und verlangt von den Unternehmen dazu jeweils eine Stellungnahme.

WordPress ist eines der meistgenutzten Content-Management-Systeme – kurz CMS. Damit wird für den Betreiber einer Website das Erstellen, Bearbeiten und Verwalten der eigenen Seite vereinfacht. Viele dieser CMS – darunter auch Dreamweaver, Joomla!, TYPO3, Shopify und Magento – können günstig oder sogar kostenfrei genutzt werden, bergen aber auch ein wesentlich höheres Gefahrenpotential für den Schutz von personenbezogenen Daten. Cyberkriminellen wird durch vermehrte Schwachstellen und Sicherheitslücken ein Angriff oft leicht gemacht.

„Auch hierzulande könnte eine solche Prüfung jederzeit von der österreichischen Datenschutzbehörde vorgenommen werden, weshalb vorsorglich alle notwendigen Maßnahmen ergriffen werden sollten“, betont der oberösterreichische Rechtsanwalt und Experte im Datenschutzrecht Dr. Christian Zeilinger und erklärt außerdem: „WordPress ist ein Tool, das, wenn es richtig eingesetzt wird, beinahe jedem das Hosten der eigenen Website ermöglicht. Aus datenschutzrechtlicher Sicht hat sich aber vor allem in letzter Zeit gezeigt, dass eine regelmäßige professionelle Wartung dringend erforderlich ist.“

  • Ist die aktuelle WordPress-Version im Einsatz?

Kanzlei Dr. Zeilinger: Bei Verwendung eines CMS ist es unerlässlich, die Seite immer auf die neueste Version upzudaten. Erfolgt dies nicht, können angreifbare Schwachstellen entstehen.

Continue reading DSGVO-konforme Nutzung von WordPress und anderen Content-Management-Systemen

Behördliche Prüfung der DSGVO-Umsetzung bei kleinen und mittleren Unternehmen

10.12.2018 | Autorin: Andrea Wünscher – Juristische Mitarbeiterin   Andrea_Wuenscher

KMU DSGVO

Ob generelle Kundendaten, wie Namen, Geburtsdaten und E-Mail Adressen, oder sensible Daten, zu denen beispielsweise die ethnische Herkunft gehört – jedes Unternehmen hat im Alltag mit vielen personenbezogenen Daten zu tun.

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) fordert derzeit vor allem von KMUs auf Grundlage des Artikel 5 Abs. 2 DSGVO einen Nachweis über die individuelle Datenschutzorganisation innerhalb der Unternehmen. Zwar findet eine solche Prüfung im Moment nur innerhalb Deutschlands statt, aber auch in Österreich können die zuständigen Behörden jederzeit eine Dokumentierung der korrekten Einhaltung aller datenschutzrechtlichen Vorschriften verlangen.

Dr. Christian Zeilinger, Rechtsanwalt und Datenschutzexperte aus Ried im Innkreis erklärt: „Auch an kleine und mittlere Unternehmen (KMUs) stellt die DSGVO verschiedenste Anforderungen, da die Datenschutzgrundverordnung unabhängig von der Unternehmensgröße gilt, sobald personenbezogene Daten verarbeitet werden – egal auf welche Weise. Auch Vereine und Behörden müssen die Vorschriften der DSGVO einhalten“.

Mit Hilfe eines Fragenkataloges überprüft das Bayerische Landesamt für Datenschutzaufsicht, ob die wichtigsten Aspekte der DSGVO in kleinen und mittleren Unternehmen bereits umgesetzt wurden.

Im Folgenden finden Sie zusammenfassend einige maßgebliche Punkte, die umgesetzt werden müssen, um der DSGVO zu entsprechen und personenbezogene Daten angemessen zu schützen. Bitte beachten Sie, dass jedes Unternehmen individuelle Anforderungen erfüllen muss und die Angaben daher keine vollständige Auflistung darstellt. Die nachstehenden Erläuterungen beziehen sich auf das österreichische Recht.

Continue reading Behördliche Prüfung der DSGVO-Umsetzung bei kleinen und mittleren Unternehmen

Richtiger Umgang mit personenbezogenen Daten einer Bewerbung

03.12.2018 | Autorin: Andrea Wünscher – Juristische Mitarbeiterin    Andrea_Wuenscher

Bewerbung DSGVO

Alle Arbeitgeber, die auf der Suche nach Mitarbeitern sind, haben es im Bewerbungsprozess mit zahlreichen personenbezogenen Daten zu tun. Teils zählen diese auch zu den sogenannten „sensiblen Daten“ – wie beispielsweise die ethnische Angehörigkeit oder Religion. Die DSGVO enthält einige neue Regelungen, wie man mit den Informationen umzugehen hat, um den Schutz der Daten zu gewährleisten.

Das Bayerische Landesamt für Datenschutzaufsicht überprüft derzeit in einigen deutschen Unternehmen mittels eines Fragebogens die Richtigkeit der Vorgehensweise.

Der oberösterreichische Rechtsanwalt und Datenschutzexperte Dr. Christian Zeilinger erklärt zur Relevanz für hierzulande ansässige Unternehmen: „Auch seitens der österreichischen Datenschutzbehörde könnte in Zukunft eine ähnliche Prüfung von heimischen Unternehmen erfolgen.“ Die Beantwortung der Fragen bezieht sich daher auf das österreichische Recht.

  1. Art. 13 DSGVO sieht eine Informationspflicht des Verantwortlichen gegenüber der betroffenen Person vor. Diese Pflicht besteht demgemäß auch im Bewerbungsverfahren. Wie kommen Sie als potentieller Arbeitgeber im Bewerbungsverfahren Ihren Informationspflichten gegenüber Bewerberinnen und Bewerbern nach? Falls Sie dazu entsprechende Informationsblätter verwenden, bitten wir Sie, uns eine Kopie davon zuzusenden.

Kanzlei Dr. Zeilinger: Der potenzielle Arbeitgeber hat eine umfassende Informationspflicht seinen Bewerbern gegenüber. Es muss beispielsweise über den Zweck und die Dauer der Datenspeicherung oder das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde informiert werden. Unwesentlich ist dabei, ob eine Bewerbung per E-Mail oder auf dem Postweg eingegangen ist – der Bewerber muss jedenfalls über seine Rechte in Kenntnis gesetzt werden. Um diese Anforderung zu erfüllen, ist es empfehlenswert, bereits vor Beginn eines Bewerbungsverfahrens ein Informationsblatt von einem Anwalt erstellen zu lassen. Dieses kann danach auch für weitere erhaltene Bewerbungen verwendet werden.

Continue reading Richtiger Umgang mit personenbezogenen Daten einer Bewerbung

Facebook-Seiten trotz Zusatzvereinbarung noch rechtswidrig?

14.09.2018 | Autorin: Andrea Wünscher – Juristische Mitarbeiterin    Andrea_Wuenscher
Facebook Unpublish

Aktuell sind noch viele Fragen zur Umsetzung der seit 25. Mai 2018 gültigen DSGVO ungeklärt geblieben. Hierbei vor allem bei betrieblicher Nutzung von Nachrichtendiensten wie WhatsApp oder dem Social Media Giganten Facebook. Zumindest für Facebook-Seiten (“Fanpages”) sollte das Urteil des Gerichtshofs der Europäischen Union vom 5. Juni 2018 etwas Klarheit schaffen: Es besteht eine gemeinsame Verantwortlichkeit der Facebook-Seiten-Betreiber und Facebook selbst.

Durch diese gemeinsame Verantwortlichkeit wird von der Datenschutz-Grundverordnung eine Vereinbarung nach Art. 26 DSGVO gefordert, welche in transparenter Form zu gestalten ist. Das bedeutet, dass dort hervorgehen muss, wer welche Verpflichtungen erfüllt – insbesondere was die Wahrnehmung der Rechte der betroffenen Person betrifft, und wer welchen Informationspflichten gemäß den Artikeln 13 und 14 nachkommt. Eine solche Vereinbarung war bislang seitens Facebook allerdings nicht zur Verfügung gestellt worden.

Aus diesem Grund stellte die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) kürzlich mit einem Beschluss fest, dass alle aktiven Facebook-Seiten mit derzeitigem Stand rechtswidrig betrieben werden.

Zumindest darauf haben die Betreiber des sozialen Netzwerks prompt reagiert: Seitenbetreibern wird nun ein Zusatz zur bisherigen Vereinbarung mit dem Titel Seiten-Insights-Ergänzung bezüglich des Verantwortlichen zur Verfügung gestellt. Unter anderem wird dort die gemeinsame Verantwortlichkeit nochmals ausdrücklich klargestellt, auch wenn Facebook die primäre Verantwortung für die Verarbeitung der Insights-Daten übernimmt. Diesen Daten ist vorrangig das Nutzungsverhalten der Seitenbesucher zu entnehmen. Um die konforme Verarbeitung gemäß der DSGVO zu gewährleisten, stellt Facebook weiters fest, dass der Seitenbetreiber eine Rechtsgrundlage für diese Verarbeitung haben muss, einen Verantwortlichen dafür zu nennen hat und auch sonst alle weiteren rechtlichen Pflichten erfüllen muss.

Ob diese Ergänzung nun für die Facebook-Seiten DSGVO-konform ist, ist allerdings fraglich. Es bleibt abzuwarten, ob dieser Zusatz im Sinne des Beschlusses der DSK alle notwendigen Voraussetzungen erfüllt. Vor allem im Hinblick auf den dort angehängten Fragenkatalog könnte es noch einige Lücken in der Vereinbarung geben, welche eine Ergänzung des Addendums erfordern, um dem Datenschutz in korrekter Weise gerecht zu werden. Endgültige Sicherheit kann derzeit wohl nur eine Stellungnahme der Aufsichtsbehörden bringen.

Informationspflichten für Online-Shops

 

paar mit laptop

Bereits seit 09.01.2016 gelten neue Informationspflichten für Unternehmer über außergerichtliche Schlichtungsverfahren-Stellen (es gibt insgesamt 8 sog. AS-Stellen). Viele Unternehmer haben diese Pflichten immer noch nicht umgesetzt und setzen sich dem Risiko von teuren Abmahnungen aus. Bei z.B. Online-Shops ist die zuständige AS-Stelle grundsätzlich der “Internet Ombudsmann” (www.ombudsmann.at), ansonsten z.B. die AS-Stelle “Schlichtung für Verbrauchergeschäfte” (www.verbraucherschlichtung.or.at).

Continue reading Informationspflichten für Online-Shops