Archiv des Autors: werning

Weitergabe von Daten an Zusteller (Pakete, Post) / Versandstatus / Paketankündigung

Die Weitergabe der Adressdaten an den Zusteller ist möglich, aber auf die reinen Adressdaten beschränkt. Diese Übermittlung geschieht auf Grundlage von §5 PDSV (Postdienstdatenschutzverordnung) und § 28 Abs. 1 BDSG (Bundesdatenschutzgesetz) im Rahmen des Versandauftrags zwischen Versender und Zusteller zum Zwecke der Zustellung und bedarf keiner Einwilligung des Empfängers.

ABER: Im Falle der Übermittlung von E-Mailadressen an einen Zusteller muss grundsätzlich eine Einwilligung des betroffenen Kunden in die Übermittlung eingeholt werden.

Das Bayerische Landesamt für Datenschutz führte hierzu aus:

Gemäß § 4 Abs. 1 BDSG ist die Erhebung, Verarbeitung und Nutzung personenbezogener Daten nur zulässig aufgrund einer Rechtsgrundlage oder mit einer Einwilligung des Betroffenen. Eine Übermittlung von personenbezogenen Daten ist gemäß § 28 Abs. 1 Satz 1 Nr. 1 BDSG zulässig, soweit es für die Durchführung eines rechtsgeschäftlichen Schuldverhältnisses erforderlich ist. Die Übermittlung der E-Mail-Adresse an den Transportdienstleister ist für den Transport eines Paketes nicht erforderlich und damit zunächst nicht zulässig. Als zusätzlicher Service für z.B. eine Terminabsprache oder wie hier die Sendungsverfolgung kann die Übermittlung der Mailadresse nützlich sein, hierzu müsste allerdings vorher gemäß § 4 Abs. 3 BDSG über die Tatsache der Übermittlung, den Zweck und den Empfänger der Daten informiert werden und es müsste grundsätzlich eine Einwilligung des Kunden in die Übermittlung der Mailadresse an das Versandunternehmen eingeholt werden.

Wann dürfen Teilnehmerdaten weitergegeben werden?

// Weitergabe von Daten

Grundsätzlich ist zu prüfen um wessen Daten es sich handelt. Ist A Veranstalter und erhebt die Teilnehmerdaten für sich selbst kann A diese im Rahmen der gesetzlichen Möglichkeiten nutzen und bspw. weitergeben.

Ist A NICHT Veranstalter, sondern erhebt die Daten im Rahmen einer Auftragsdatenverarbeitung so handelt es sich nicht um Daten von A. Hier bestimmt der Auftraggeber (im einzuhaltenden Rahmen) wie die Daten zu verarbeiten sind. A ist weisungsgebunden. In diesem Fall kann und evtl. muss A die Daten an den Veranstalter (dem Verantwortlichen für die Daten) weitergeben.

Handelt es sich um Daten die A selbst für eigene Zwecke und rechtmäßig erhoben hat ist eine Weitergabe evtl. möglich.

In §28 BDSG ist geregelt, dass personenbezogene Daten von Unternehmen grundsätzlich verwendet und genutzt werden dürfen, um die Geschäftsbeziehung mit dem Kunden abwickeln zu können. Hierbei ist der Zweck vorab festzulegen und kann nicht einfach geändert werden. Die Zulässigkeit der Verwendung und Weitergabe personenbezogener Daten im Rahmen von Werbung und Markt- und Meinungsforschung richtet sich insbesondere nach § 28 III Nr. 3 BDSG. Demnach ist die Nutzung und Übermittlung, also somit auch die Weitergabe, personenbezogener Daten auch zulässig,

für Zwecke der Werbung, der Markt- und Meinungsforschung, wenn es sich um listenmäßig oder sonst zusammengefasste Daten über Angehörige einer Personengruppe handelt, die sich auf eine Angabe über die Zugehörigkeit des Betroffenen zu dieser Personengruppe,

  • Berufs-, Branchen- oder Geschäftsbezeichnung,
  • Namen,
  • Titel,
  • akademische Grade,
  • Anschrift und
  • Geburtsjahr

beschränken und kein Grund zu der Annahme besteht, dass der Betroffene ein schutzwürdiges Interesse an dem Ausschluss der Übermittlung oder Nutzung hat.

 

Unbedingt zu beachten ist jedoch, dass der Betroffene der Verwendung seiner Daten widersprechen kann (§ 28 IV BDSG). Tut er dies, so dürfen seine Daten nicht genutzt oder weitergegeben werden, obwohl es nach § 28 III BDSG grundsätzlich erlaubt wäre. Im Übrigen muss der Betroffene bei der Ansprache zum Zweck der Werbung oder der Markt- oder Meinungsforschung über das Widerspruchsrecht informiert werden (so § 28 IV Satz 2 BDSG).

 

Daten die A im Auftrag erhebt dürfen von A nicht an Dritte (der Auftraggeber ist hierbei kein Dritter) weitergeben werden, wenn der Auftraggeber dem nicht zustimmt. Dies gilt auch für A verbundene Unternehmen oder Subunternehmer.

 

Daten die A für eigene Zwecke erhebt dürfen nur im engen Rahmen (Auftragsdatenverarbeitung; Listendaten mit Widerspruch und Ausschluss bei schutzwürdigen Interessen bspw. Betroffenengruppe) oder mit Einverständniserklärung weitergegeben werden.

Telefonische Auskünfte wie damit umgehen; Sekretärin fragt für Chef.

Anfragen zu Daten von Mitarbeitern und Kunden dürfen ohne Prüfung der Identität nicht beantwortet werden. Stellen Sie hierzu Fragen aus dem Kundenprofil, z.B. Kundennummer, Verbrauchsstellennummer. Der Anrufer muss die Angaben nennen – nicht Sie. Wenden Sie sich in Zweifelsfällen an einen Kollegen, Ihren Datenschutzkoordinator oder Ihren Datenschutzbeauftragten.

Erst, wenn die Identität des Anrufers klar erwiesen ist und eine Rückrufnummer von dritter Seite vorliegt, kann der Mitarbeiter bei der Person zurückrufen. Das gilt in dringenden Fällen ganz besonders, da Betrüger gerne besonderen Druck aufbauen, um Menschen zu Handlungen zu zwingen.

Der grundsätzliche Weg für Auskünfte zu personenbezogenen Daten ist die schriftlich zu stellende Anfrage.

DS-GVO und Verarbeitung personenbezogener Daten für werbliche Zwecke

Mit der DS-GVO fallen alle detaillierten Regelungen des BDSG für die Verarbeitung personenbezogener Daten für werbliche Zwecke weg. Grundlage für die Beurteilung der Zulässigkeit von Werbung ist in Zukunft, abgesehen von einer Einwilligung, eine Interessenabwägung nach Art. 6 Abs. 1 Buchst. f DS-GVO. Inwieweit es in Europa gelingen wird, die im BDSG enthaltenen Maßstäbe in die Abwägungsentscheidung „hinüber zu retten“, wird sich zeigen. Das BayLDA hat zu den Rahmenbedingungen hierfür ein weiteres Kurzpapier veröffentlicht.

https://www.lda.bayern.de/de/datenschutz_eu.html

 

 

Schadsoftware auf Dienst-PC: Fristlose Kündigung und Schadensersatz

Eines Tages lädt ein Arbeitnehmer für private Zwecke eine Software aus dem Internet herunter. Dabei infiziert er seinen Dienst-PC mit einem Backdoor-Virus und einigen anderen hässlichen Sachen. Sein Arbeitgeber kündigte ihm fristlos. Außerdem verlangt er 865 € Schadensersatz für die Bereinigung des Systems.

Der ganze Fall: https://www.datenschutz-praxis.de/fachartikel/schadsoftware-dienst-pc-kuendigung-schadensersatz/

Das Urteil im Volltext:

http://www3.mjv.rlp.de/rechtspr/DisplayUrteil_neu.asp?rowguid={FF1576DD-062D-4430-B9A8-12047E97F905}

 

Gestohlene Passwörter prüfen (LinkedIn, Dropbox etc)

Der Online-Speicherdienst Dropbox hat bestätigt, dass höchstwahrscheinlich im Jahr 2012 mehr als 68 Millionen verschlüsselte Passwörter gestohlen wurden.

http://www.spiegel.de/netzwelt/web/dropbox-raeumt-datenleck-ein-einige-nutzer-muessen-passwoerter-aendern-a-1110394.html

Ähnliche Meldungen gibt es auch immer wieder von anderen Diensten und Netzwerken.

Auf https://haveibeenpwned.com/ kann man überprüfen, ob die eigenen Accounts betroffen sind.

Wichtig: Auf solchen Seiten niemals das Passwort zum Kontrollieren eingeben!