jeudi 24 septembre 2015

ALLE Mitarbeiterdaten sollen in die Cloud!! Darf der Arbeitgeber das?? (BambooHR)

Hallo,

mein AG hat eine neue Software angeschaft für die Personalverwaltung. In diesem Fall BambooHR. Soweit ich das gelesen habe werden ALLE Daten der MA in einer Cloud gespeichert deren Server in den USA stehen. Nun werden von den Mitarbeitern wirklich ALLE Daten dort gespeichert von der Adresse bis zur privaten Handynummer sowie die Krankheits- und Urlaubstage und auch ALLE Daten die zur Lohnabrechnung benötgt werden: Also Lohn,Steuerklasse, KK, SV. Nummer usw.

Also für mich als Mitarbeiter klingt das schon SUUUPER bedenklich!! Zumal keiner gefragt wurde ob er das überhaupt will UND es nun eigentlich auch schon zu spät ist ... denn die Daten liegen nun ja schon in den USA. Selbst wenn man seinen Account löschen würde gehe ich mal NICHT davon aus das die Daten dann auch wirklich weg sind.

Oder ist das alles Tatsache nirgends geregelt und der AG kann mit meinen Daten machen was er will??

Danke


ADV ohne Zugriffsrechte

Als DSB stößt man bekannterweise im Rahmen des Abschlusses von ADV-Vereinbarungen immer wieder auf "amüsante" zugrunde liegende Dienstleistungs-, Wartungs-, Service, oder Verträge mit Dienstleistern.

Zu einer speziellen "Stilblüte" möchte ich gerne die werte Meinung des Forums haben.

Folgender Sachverhalt:
Das Unternehmen beauftragt den Dienstleister mit der Betreuung und Wartung einer IT-Sicherheitseinrichtung (Netzwerk<->Internet) des Unternehmens. Das Unternehmen erhält aber weder Zugriff noch Administrationsrechte auf die Sicherheitseinrichtung. Der Vertrag schließt das explizit aus, in der Praxis ist es tatsächlich so.

Mal abgesehen davon, dass das Unternehmen in der Konsequenz dann eine Black-Box als Sicherheitseinrichtung vom Dienstleister erhält:
Handelt es sich hier überhaupt noch um eine Auftragsdatenverarbeitung oder ist es nicht vielmehr bereits eine Funktionsübertragung?

MfG
Compliance


Gutachtendatenbank des Landtages des Nordrhein-Westfalen- Anwendbarkeit des IFG ....

Hallo,

mich würde interessieren, ob die Regelungen des IFG aus inhaltsgleiche oder inhaltsähnliche Gesetze und Regelungen in den einzelnen Bundesländern auch Anwendung auf die bisher vorhandenen Gutachten und Ausarbeitungen der Gutachtendatenbank des Landtages des Nordrhein-Westfalen haben.

Gilt also der Zugang zu Ausarbeitungen der Wissenschaftlichen Dienste des Deutschen Bundestages (Urteil des Bundesverwaltungsgerichts vom 25.06.2015 (Az. BVerwG 7 C 1.14 / BVerwG 7 C 2.14 – Pressemitteilung vom 25.06.2015 (http://ift.tt/1i5P9SR) auch für solche/diese Gutachtendatenbank(en).

Kann man eine Herausgabe von Gutachten/Ausarbeitungen aus dieser Datenbank, der bisher nur intern zugänglichen Dokumente auf das urteil des Bundesverwaltungsgerichtes vom 25.06.2015 fußen und begründen?

Viele Gutachten anderer Landesparlamente außer NRW und (sowieso öffentlich zugängliche und für die Öffentlichkeit erstellte Dokumente) sind in der Gutachtendatenbank zwar eingestellt, aber viele mit dem Hinweis "Nur für den Dienstgebracuh" o.ä. und deshalb nicht für jedermann zugänglich, sondern nur auf Anfrage beim jeweiligen Landesparlament.

Der Link zur Gutachtendatenbank des Landtages des Nordrhein-Westfalen:

http://ift.tt/1L88kbl

Vielen Dank für die Auskunft.


mercredi 23 septembre 2015

Frage nach § 163 Abs.1 StPO

Wenn ein Polizeibeamter per telefon, einer privaten Person die er persönlich gut kennt, die weder was mit Polizei noch mit der Staatanwaltschaft zu tun hat, die Erlaubis erteilt sich Beweismittel aushändigen zu lassen und diese dann mitnimmt,
gegen welche Paragrafen ausser § 163 Abs.1 StPO würde der Polizeibeamte dann verstoßen. Kann da wer helfen.


EuGH und Safe Harbour

Max ist es tatsächlich gelungen, den Generalanwalt zu überzeugen. Respekt!
C‑362/14: The Opinion of Advocate General Bot

Pressemitteilung Nr. 106/15 (PDF):
Zitat:

In seinen heutigen Schlussanträgen vertritt Generalanwalt Bot die Auffassung, dass die Existenz einer Entscheidung der Kommission, mit der festgestellt wird, dass ein Drittland ein angemessenes Schutzniveau für die übermittelten personenbezogenen Daten gewährleistet, die Befugnisse der nationalen Kontrollstellen nach der Richtlinie über die Verarbeitung personenbezogener Daten weder beseitigen noch auch nur verringern kann. Er ist außerdem der Ansicht, dass die Entscheidung der Kommission ungültig ist.
(Hervorhebung im Original)

Das sind zwei Punkte, die - sollte der EuGH dieser Ansicht folgen - einiges auf den Kopf stellen dürften. Safe Harbour für ungültig zu erklären, ist aus Datenschutzsicht längst überfällig. Interessant aber ist vor allem die Auffassung zu den Eingriffsbefugnissen und der Unabhängigkeit der nationalen Kontrollstellen, also die Stärkung der von der Kommissionsentscheidung abweichenden Postion der Aufsichtsbehörden. "Mit anderen Worten ist die Kommission nicht ermächtigt, die Befugnisse der nationalen Kontrollbehörden zu beschränken." Das sollte einigen Staub aufwirbeln. Bedeutet es doch nichts anderes, als daß datenschutzrechtlich einwandfreie Begründungen nicht von derlei dubiosen Abmachungen abhängig gemacht werden dürfen. Jetzt müssen alle noch einmal in die geplante Grundverordnung schauen und prüfen, ob den Kontrollstellen nicht zuviel Unabhängigkeit und Spielraum eingeräumt wurde...


Steuerberatung - Grundlage der Datenverarbeitung

Hallo zusammen,

da kein separater Bereich für den Datenschutz bei "Wirtschaftsprüfern, Steuerberatern und Rechtsanwälten" vorhanden ist - vielleicht eine Idee für den ADMIN - platziere ich meine Frage hier. Bei Bedarf bitte das Thema verschieben.

Es drängt sich mir die theoretische Frage auf, auf welcher Basis z.B. Steuerberater Daten erheben, verarbeiten und nutzen dürfen.
Folge ich den definierten Erlaubnistatbeständen nach § 4 BDSG, so komme ich entweder auf die eigenen Geschäftszwecke nach § 28 BDSG oder im Zweifel basierend auf einer Einwilligung nach § 4a BDSG. Nun stoße ich aber bei der weiteren Recherche, insbesondere nach "anderen Rechtsvorschriften" im Steuerberatungsgesetz auf § 32 StBerG, in welchem festgehalten wird, dass Steuerberater, Steuerbevollmächtigte und Steuerberatungsgesellschaften zwar geschäftsmäßig Hilfe in Steuersachen leisten, dies aber kein "Gewerbe" ist sondern ein freier Beruf.

Geschäftsmäßig ist für mich in dem Zusammenhang ein 28er Erlaubnistatbestand. Was aber hat es in dem Zusammenhang mit kein Gewerbe auf sich? Bedeutet kein Gewerbe = kein "Geschäft" oder steht das nicht miteinander im Zusammenhang? :confused:

MfG
Compliance


mardi 22 septembre 2015

Wo fange ich an?

Hallo,

ich seit kurzem bestellter BDSB. Das Unternehmen in dem ich arbeite, ist Teil einer Ansammlung von weiteren rechtlich selbsständigen Unternehmen.
Es gibt keine Holding. Aber ein Unternehmen übernimmt Aufgaben eines Shared Service Center, zu den Themen HR, IT, Einkauf und Finanzen.
Es gibt einen sehr kurzen Vertrag der die Blöcke beschreibt. Es existieren keine SLA, ADV,... Einfach nichts.
Ich kann meiner Meinung nach nur die fehlende Rechstkonformität nachweisen und die Behebung des Zustandes einfordern. Oder?
Mir fehlt meinem Verständnis nach die Grundlage überhaupt prüfen zu können. Sehe ich das richtig oder soll ich einfach beginnen zu auditieren?

Kann mir jemand einen Rat geben?

Gruß


Tätigkeitsnachweise

Hallo Forum,

ich habe 2 Anliegen, die mir zur Zeit ein bisschen Bauchschmerzen bereiten.

1tes Anliegen
In unserem Unternehmen soll demnächst, nach Prüfung, ein Programm zur Lagerverwaltung und Auftragserfassung für die Instandhaltung angeschafft werden.
Der Teamleiter erfasst einen Auftrag für eine Störung.
Diese Störung wird dann einem Mitarbeiter aus der Instandhaltung übergeben.
Dieser meldet sich an der Anlage an und gibt die Zeiten für die Störungsbeseitigung ein.
Nun sollen diese Zeiten auch zur Kontrolle der Mitarbeiter verwendet werden.
Normalerweise entspricht dies doch einem normalen Tätigkeitsbericht?!

2tes Anliegen
In unserem Betrieb werden Tätigkeitsnachweise pro Person ausgefüllt.
D.h. was haben die Personen an einen Tag getan
Tätigkeit / Zeit
Pausenzeit

Diese werden dann in unser Warenwirtschaftssystem eingegeben.
Danach werden verschiedene Reports gefahren. (Störungszeit,…)
Möglichkeit besteht auch auf die einzelne Person die Abfragen auszuführen.

Sind diese Verfahren laut Datenschutz legitim?

Mit freundlichen Grüßen
Omanyd


lundi 21 septembre 2015

"Recht auf vergessen" weltweit?

Die CNIL will das europäische "Recht auf vergessen" weltweit durchsetzen.

Einerseits nachvollziebar.
Andererseits: Wenn eine europäische Behörde so agiert um ihre Ansichten durchzusetzen, wäre es dann nur recht und billig wenn US-Gerichte darauf pochen, auf Daten zuzugreifen die auf den Servern amerikanischer Unternehmen in Europa lagern?

http://ift.tt/1Qt0ozr


Anschaffung Shredder

ich bin erst seit kurzem interner Datenschutzbeauftragter im Unternehmen und es gab auch keinen vor mir. Nun sollte als aller erstes Mal ein Shredder angeschafft werden um die pb Daten auch sachgerecht zu vernichten. Nun meine Frage, gehe ich da einfach zum Geschäftsführer und sage diesem dass ein Shredder angeschafft werden muss oder schreibe ich darüber eine Verfahrensanweisung oder wie gehe ich da vor?


dimanche 20 septembre 2015

Passt nicht ganz, aber vielleicht---

Hallo,

eine Fragt zum Urheber rechts verstoß problem im Unternehmen.

Um die Firma aus der Schußlinie zu nehmen zum Thema rechtswidriger urheberrechtlich geschützter Mediendatendownload durch Mitarbeiter mit dem Firmensmartphone ist man auf den Gedanken gekommen dem Mitarbeiter nicht eine Smartphone Hardware direkt zur verfügung zu stellen sondern das ganze in 2 teile zu Teilen.

1. Teil ein Mobiletelefonvertrag zwischen Firma und TK Unternehmen ohne Hardware.
2. eine Finanziellen zuschuß für Hardware die sich der MA selber kaufen muß.

Hintergrung ist klar. Das nur mit der SIM karte man ja nichts speichern kann. Wenn man sich was aus dem Netz läd, muß man es ja auf der dann privaten Hardware laden.


Damit meint der Unternehmer sich des Vorwurfes der urheberrechtsverletzung ggf. entziehen zu können.

Würde das funktionieren?

Ich bitte um einschätzung.

Gruß


Madmax


jeudi 17 septembre 2015

BGM und BGF

Hallo zusammen,
ein Mitarbeiter des Unternehmens, welches ich datenschutzrechtlich betreue kam heute auf mich zu da er zukünftig das betriebliche Gesundheitsmanagement (BGM) betreuen soll. Dies wird ganz neu ins Leben gerufen und er möchte wissen, was es da an datenschutzrechtlichen Richtlienien oder Maßnahmen gibt die er beachten muss. Es werden natürlich auf jeden Fall Mitarbeiterbefragungen stattfinden in den Firmen die er dann betreut, hierzu habe ich ihm schon mitgeteilt dass nur die Daten die wirklich nötig sind erfragt werden sollen.


mercredi 16 septembre 2015

Datenschutz gilt auch wenn private E-Mail-Nutzung verboten ist?

Ich habe einen Fall vorliegen, wo die private E-Mail-Nutzung verboten ist. Nun soll jeder Mitarbeiter gewzungen werden, einen Vertreter zu benennen, der bei Abwesenheit das Postfach lesen kann. Ich finde das kritisch, da auch dienstliche Kommunikation "persönlich" sein kann - selbst wenn sie nicht "privat" ist. Den Zwang einen "Mitleser" zu benennen finde ich daher sehr kritisch. Hat jemand von ähnlichen Fällen gehört? Ist das rechtlich in Ordnung?


KDO oder BDSG bei ADV zwischen "Kirche und Privat"?

Guten Morgen,

ich glaube, ich hänge gerade ein wenig (vielleicht liegt es an der Uhrzeit?) :(

Ein Pflegedienst (Kirchlicher Träger, also KDO) möchte eine Kooperation mit einem privaten Dienstleister (BDSG) eingehen, der dann z. B. Betreuungsleistungen übernimmt. Dazu muss der Pflegedienst dem Dienstleister Daten (Kontaktdaten, Adressdaten) zur Verfügung stellt, damit dieser den Patient/ Kunden kontaktieren kann.
Leistung wird dann von dem privaten Dienstleister erbracht, Abrechnung erfolgt über den Pflegedienst.

Nun meine Frage: Beziehe ich mich in der ADV auf die KDO, die ja für den AG relevant ist? Z. B. " [...] nur Mitarbeiter einsetzen, die auf das Datengeheimnis nach § 4 KDO verpflichtet sind [...]"
Für den privaten Dienstleister ist die KDO ja nicht entscheidend...


mardi 15 septembre 2015

Betreiberwechsel eines Internetforums

Guten Morgen,

angelehnt an ein reales Beispiel hätte ich einige Fragen zur folgenden Konstellation: Angenommen der Betreiber A eines Internetforums übergibt im Rahmen der Niederlegung seiner Tätigkeit das Internetforum kostenfrei an den Betreiber B. Damit B den Betrieb des Forums übernehmen kann, ist die Integration des Forums in ein anderes, bereits bestehendes Forum auf einem anderen Web-Server notwendig. In diesem Zusammenhang müssen personenbezogene Daten, konkret Nicknamen, E-Mail-Adressen und Passwörter bzw. Themen und Beiträge der Nutzer übertragen werden.

Unter welchen Voraussetzungen würde § 28 Abs. 1 Nr. 2 BDSG greifen? Der Betreiberwechsel würde für den Nutzer ansich keine Änderungen hervorbringen, da er seine Tätigkeiten im neuen Forum auch nach dem Wechsel in gewohnter Art und Weise vornehmen kann. Die Daten sind lediglich zum Zugriff auf das Forum bzw. zur Nutzung des Forums notwendig - eine weitere Nutzung bzw. Verarbeitung z. B. für Newsletter-Versand findet nicht statt.

Sollte die Übertragung der Daten an einen anderen Betreiber problematisch sein, stellt sich die Frage, inwiefern trotzdem eine Übertragung der Daten an den neuen Betreiber erfolgen kann - vor allem in der Hinsicht, dass mehrere zehntausend Datensätz betroffen sind. Würde eine Benachrichtigung der Nutzer über die geplante Übertragung mit einer Widerspruchsmöglichkeit genügen oder müsste von jedem Nutzer explizit eine Einverständniserklärung zur Übertragung seiner Daten eingeholt werden?

Vielen Dank!


Rechtsgrundlage Datenherausgabe an Finanzgericht

Guten Morgen.

Das ist "normalerweise" nicht mein "täglich Brot", daher hier kurz die Rückfrage:

Stellt "§ 76 FGO i.V.m. § 93 AO" eine Rechtsgrundlage zur Datenherausgabe (Stammdaten wie Adresse und Geburtsdatum eines als Zeugen benannten ehemaligen Mitarbeiters) an ein Finanzgericht dar? Diese Anfrage liegt schriftlich vor, unterschrieben von einem Richter. Ich bin mir da bei der Auslegung gerade ein wenig unschlüssig...

Danke schon einmal vorab für die Hilfe.

Viele Grüße,
KvJ


lundi 14 septembre 2015

Meldung von Datenschutzverstößen

Hallo Zusammen,

ich bin gerade mit folgender Situation konfrontiert:
Mir hat eine Kollegin eher unabsichtlich von einem Datenschutzverstoß eines IT-Mitarbeiters erzählt.
Da ich als Datenschutzbeauftragter (meiner Meinung nach) diese Information nicht ignorieren kann, auch wenn ich durch Zufall in der Mittagspause darauf gestoßen bin, habe ich den Verstoß den Vorgesetzten des IT-Mitarbeiters mitgeteilt.

Nun ist es so gekommen, dass der IT-Mitarbeiter seinen Verstoß vehement bestreitet und nun Aussage gegen Aussage steht.
Da es sich um einen Verstoß im Bezug auf Personaldaten handelt, wurde auch ein HR-Mitarbeiter informiert. Dieser hat nun dem IT-Mitarbeiter die Quelle mitgeteilt.

Nun meine Frage dazu: Wie geht ihr generell mit solchen Hinweisen um? Sind diese immer anonym zu handhaben? Sind die Mitarbeiter zu schützen die die Hinweise geben? Was passiert aber, wenn solche Hinweise einfach nicht der Wahrheit entsprechen und sozusagen mutwillig gegeben werden (Thematik Mobbing)?

Vielen Dank für euren Input
Eins23


dimanche 13 septembre 2015

Betrügern Daten gegeben

Hallo Leute,
folgendes: Ich war letzte Woche in der Stadt und wurde von 2 Leuten angesprochen, die einen seriösen mobilcom Stand aufgebaut hatten.
Nachdem diese mich beraten haben, habe ich einen Vertrag abgeschlossen und ihnen meinen Personalausweis und meine EC Karte gegeben, diese hat der freundliche Mann mit seinem Handy abfotografiert.
Man sagte mir, dass ich nach 2-3 Tagen einen Anruf für die Bestätigung bekommen werde. Nachdem ich diesen Anruf nicht bekommen habe, habe ich bei md angerufen, an der Hotline sagte man mir, dass es keinen Vertrag auf meinen Namen gibt. (Ich habe nichts schriftliches mit bekommen)
Gestern habe ich Werbung via. SMS auf mein Handy bekommen.

Meine Frage ist nun, wie verhalte ich mich richtig?
Meine Daten sind mir wichtig & ich hätte nie damit gerechnet, dass das Betrüger waren.

Gruß


samedi 12 septembre 2015

Kanzlerin warnt vor Datenschutz

Zeit Online:
Zitat:

Merkel warnt vor zu strengem Datenschutz bei Digitalisierung
Die Wertschöpfung werde sonst "irgendwo in Amerika oder Asien" stattfinden.

Ist da was dran?.


vendredi 11 septembre 2015

Ein spezieller Fall - Selbstständige Kosmetikerin

Hallo,

ich bin etwas ratlos und wollte mal eure Meinung hören, da wir im Unternehmen einen sehr speziellen Fall haben. Ich bin mir als bDSB-Neuling nicht sicher, ob es sich hierbei um einen klassischen ADV-Fall handelt. Auf jeden Fall leuchten bei mir alle Warnsignale auf, da ich der Meinung bin, dass hier unbedingt was getan werden muss.

Nun zum Sachverhalt:
In einer unserer Filialen gibt es eine Kosmetikkabine. Diese Kosmetikkabine ist an eine selbstständige Kosmetikerin untervermietet. Die Kosmetikerin behandelt ausschließlich "unsere" Kunden, sie hat Zugriff auf unsere gesamte Kundenkartei und nutzt auch personenbezogene Daten unserer Kunden (Telefonnummer; Anruf zwecks Terminverschiebung o.ä.). Zwischen uns und der selbstständigen Kosmetikerin besteht ein Miet- und Kooperationsvertrag, in beiden Verträgen wurde aber bisher nichts bzgl. des Datenschutzes vermerkt.

Was genau ist eurer Meinung nach zu tun? :confused: Hat vielleicht jemand einen ähnlichen Fall in seinem Unternehmen?

Vorab schon mal vielen Dank für eure Meinung und eure Hilfe!

Ein schönes Wochenende wünscht
pusteblume


Handhabung des Email-Postfachs nach Ausscheiden bei erlaubter privater Nutzung

Guten Tag,

ich habe das Forum durchsucht, konnte aber keine Beiträge finden, die genau auf meine Frage passen.
Ich scheide demnächst nach 15 Jahren Tätigkeit aus einer IT-Firma aus. Mir wurde durch den langjährigen Geschäftsführer die private Nutzung meiner Arbeitsmittel (Laptop, Telefon, Email-Postfach) explizit (mündlich) erlaubt. Bei Bedarf würde er mir das auch bestätigen.

Nun ist es so, dass ich nicht will, dass unzählige private Emails unter zigtausend dienstlichen Emails (Exchange-Postfach) mit an meine Nachfolger übergeben werden. Gegen eine Weitergabe der dienstlichen Emails habe ich grundsätzlich natürlich nichts. Eine Selektion über den gesamten Zeitraum gestaltet sich aber aufgrund der Menge sehr schwierig. Leider hat meine Firma (80-100 Beschäftigte) keinen Datenschutzbeauftragten, an den ich mich wenden könnte. Mit dem Systemadministrator kann man aber reden, der hat ein gewisses Verständnis für Datenschutz-Bedürfnisse der Mitarbeiter.

Wie kann ich rechtlich sauber und technisch zuverlässig den Zugriff auf meine privaten Emails verhindern?

Vielen Dank im Voraus.


jeudi 10 septembre 2015

Freelancer - Praxisproblem (?)

Hallo zusammen,
ich würde gerne mal wieder ein paar Sichten von Euch lessen:

Wir sind ein international tätiger Dienstleister, der bei Engpässen immer wieder auf Freelancer zurückgreift. Um ihre Aufgaben zu bewätligen, bekommen diese unter anderem auch ein Konto in unserem AD mit E-Mail Adresse (Firmen-Endung @firma.com) für die Kommunikation intern, als auch zu Kunden und Lieferanten.

Nun hat sich ein Freelancer beschwert, dass seine Name auf ZOOMINFO in Verbindung mit unserer Firma auftaucht, was er nicht möchte. Dieser Eintrag kann per Google gefunden werden. Er fordert uns auf, dies zukünftig zu unterbinden. Er möchte aufgeklärt werden, wie es zu dieser Veröffentlichung kommen kann.
Ich habe alle unsere Seiten im WEB geprüft: weder auf Facebook noch auf unserer Homepage taucht sein Name auf; und auch sonst gibt es per Google keine Fundstellen.

Meine Frage:

- Stehen wir hier überhaupt in der Verantwortung? Denn aktiv veröffentlicht haben wir nachweislich nichts; der Rest liegt halt am Wesen der Internetnutzung ...


Boxcryptor - Erfahrungen und Meinungen

Schönen guten Tag zusammen,

bin noch ein Frischling im Bereich des Datenschutzes und hoffe, dass mein Beitrag an dieser Stelle richtig ist.

Mich würde interessieren, ob es hier Personen gibt, die Erfahrungen mit dem Programm Boxcryptor (http://ift.tt/1aKgsOS) haben und diese mit uns teilen würden. Sowohl der Einsatz im Firmen- als auch im Privatbereich würde mich dabei interessieren.

Grüße
Tim


Woher Informationen?

Hallo zusammen,

wie informiert ihr euch eigentlich über Grundlagen und aktuelles außerhalb dieses Forum? Hat jemand eine Buch-, Veranstaltungs- oder Magazinempfehlung?

Ich erhalte momentan als GDD-Mitglied die RDV, da gucke ich aber kaum mehr rein, weil ich (als Nicht-Jurist) das nicht wirklich verständlich finde. Etwas in der Art suche ich also nicht unbedingt :D


ADV-Vertrag: Vertragsstrafe?

Guten Morgen,

ich hätte wieder mal eine Frage zum ADV-Vertrag! :confused:

Habe mir nun aus einigen Vorlagen einen ADV-Vertrag "gebastelt". Dabei ist mir aufgefallen, dass in manchen Muster-Verträgen eine Vertragsstrafe enthalten ist, in manchen aber nicht... Wie ist das denn geregelt? Kann der Auftraggeber bzgl. einer Vertragsstrafe selbst entscheiden, ob oder ob nicht? Und wie hoch sollte eine solche Vertragsstrafe denn sein, was wäre realistisch?

Kurz zum Hintergrund: Wir sind ein mittelständisches Unternehmen und haben ca. 87.000 gespeicherte Kundenadressen. Den ADV-Vertrag entwerfe ich für einen Dienstleister, der in unserem Auftrag immer wieder Mailings an Kunden verschickt, nachdem wir ihm die Adressen zur Verfügung stellen. Das sind natürlich nie alle 87.000, sondern immer nur ein kleiner Bruchteil. Je nach Einkaufsverhalten der Kunden und nach Selektion unsererseits werden in der Regel bis max. 2.000 Kunden angeschrieben.

Bisher hatten wir noch nie einen Datenschutzbeauftragten. Ich habe vor ein paar Monaten ein Seminar besucht und stehe quasi noch in den Kinderschuhen, darum bitte ich um Nachsicht, falls die ein oder andere Frage etwas unfachmännisch erscheint...

Vorab wieder einmal vielen Dank für eure Hilfe!
pusteblume


Verfahrensverzeichnis als Anlage zur ADV?

Guten Morgen,

ich arbeite als DSB in einem mittelständischen Unternehmen und wir sind gerade in Vertragsverhandlungen mit einem Kunden zum Abschluss einer ADV Vereinbarung. Der Kunde als Auftraggeber möchte im Vertrag festhalten, dass wir als AN verpflichtet sind, ein Verfahrensverzeichnis zu führen und dass dieses als Anlage dem Vertrag beigefügt wird.

Meine Frage: darf der Kunde verlangen, dass ihm das 'interne' Verfahrensverzeichnis als Anlage zum Vertrag mitgegeben wird? Oder muss er sich mit dem 'Jedermann' Verzeichnis zufrieden geben?

Vielen Dank


mercredi 9 septembre 2015

Umstand einer Bewerbung speichern

hallo DSF - Gemeinde!

Wie geht ihr mit dem Thema Speicherung von Bewerbungen um? Damit meine ich nicht die Unterlagen wie Lebenslauf oder Bewerbungsschreiben, sondern einen Datensatz der die Info enthält:

Name, Geburtsdatum, auf welche Stelle, wann, -- bei uns beworben hat und warum nicht eingestellt wurde. Speichert Ihr sogar noch mehr Daten? Oder ist bei Euch nach Löschung der
Bewerbung rein gar nicht mehr über die Person vorhanden, nicht mal mehr das der Name irgendwo gespeichert ist??

Wenn ich Beiträge zu diesem Thema lese, dann heißt es immer Bewerbungsunterlagen sind zu löschen und nur selten Bewerberdaten sind zu löschen. Jedenfalls will unsere HR diese Infos unbedingt dauerhaft speichern, quasi wie in einer "Geschäftspartnerdatenbank". Dies wird damit begründet, dass wir unbedingt wissen wollen, wenn sich jemand öfter bei uns bewirbt, bzw. wenn jemand schlichtweg ungeeignet ist, da auch unnötige Arbeit einsparen.

Haben wir hier ein berechtigtes Interesse und steht kein schutzwürdiges Interesse des Bewerbers entgegen? Was meint ihr dazu? Ich kann es mir ehrlichgesagt schwer vorstellen, dass die Unternehmen diese Daten nach dem Bewerbungsverfahren komplett löschen.

Liebe Grüße
coke04


Fehlende ADV - Bußgeldrisiko für den AuftragNEHMER?

Auf einem Erfakreis wurde eine m.E. interessante Frage diskutiert auf die wir keine abschließende, weil rechtlich nicht ausreichend begründete, Antwort gefunden haben:

Zum Hintergrund:
Klassisch wird der ADV-Vertrag bezüglich der Erforderlichkeit und eines Bußgeldrisikos aufgrund des §11 BDSG immer aus Sicht des Auftraggebers (AG) betrachtet und dass der AG daher das überwiegende (alleinige?) Interesse am Abschluss einer ADV hat.

Die Frage ist nun:
Ergibt sich aus einem fehlenden ADV-Vertrag auch ein Bußgeldrisiko für einen Auftragnehmer (AN) (natürlich vorausgesetzt, dass die Vertragsbeziehung zum AG einen ADV-Vertrag erfordern würde)?

Diskutierte Begründung:
Ohne ADV-Vertrag hätte der AN keine Rechtsgrundlage für eine Datenerhebung, -speicherung, -übermittlung, -verarbeitung, etc. und verstößt damit zwar nicht gegen den §11, so doch aber gegen allgemeines Datenschutzrecht, weil er eben keine Rechtsgrundlage aufgrund eines Gesetzes hat und auch keine Einwilligung des Betroffenen.

Oder ist der AN dadurch "geschützt", dass die "Vertrags"beziehung, die er mit dem AG hat de facto eine ADV-Beziehung ist, egal, ob es einen ADV-Vertrag gibt oder nicht?


ADV: Verfahrensverzeichnisse und Subsubunternehmen

Hallo zusammen.

Folgende zwei Fragen:

1. Gehören die die Auslagerung betreffenden Verfahrensverzeichnisse von eingesetzten Unterauftragnehmern (und Unterunterauftragnehmern) in das Verfahrensverzeichnis des Auftraggebers?

2. Müssen dem Auftraggeber sämtliche Unterunterunterauftragnehmer bekannt sein?

Bisher hätte ich die Fragen wie folgt beantwortet:

1. Ja, alle Verarbeitungen (auch die von SubSubSubunternehmern) die im Zusammenhang mit der Auftragsdatenverarbeitung stehen, müssen zwingend in die interne Verfahrensübersicht des Auftraggebers (also der verantwortlichen Stelle).

Dies leite ich daraus ab, dass - unabhängig davon ob eine Meldepflicht besteht, muss ja ein Verfahrensverzeichnis existieren - "Normadressat des § 4d zunächst die nicht-öffentliche Stellen sind, soweit sie speichernde, verändernde oder nutzende, d.h. im allgemeinen verantwortliche Stellen sind. An diese richtet sich zunächst auch die Meldepflicht nach § 4d Abs. 1." [Auernhammer BDSG-Kommentar RN 6 zu § 4d BDSG]. "Ebenfalls keine Normadressaten sind Auftragsdatenverarbeiter, da diese keine verantwortlichen Stellen sind. Bei Datenverarbeitung im Auftrag nach § 11 ist der Auftraggeber meldepflichtig." [Auernhammer BDSG-Kommentar RN 9 zu § 4d BDSG]. Auch auf der Seite des LDI NRW findet sich diesbezüglich folgender Passus: "Die Meldepflicht trifft immer die Stelle, die für die Verarbeitung verantwortlich ist. Verantwortlich im Sinne des BDSG sind Stellen nicht nur, wenn sie die Verarbeitung selbst ausführen, sondern auch dann, wenn sie sich hierbei eines Dienstleistungsunternehmens bedienen, das die Verarbeitung in ihrem Auftrag vornimmt (§ 3 Abs. 7 BDSG). Bei einer Auftragsdatenverarbeitung trifft also den Auftraggeber und nicht den ausführenden Auftragnehmer die Meldepflicht.". Daraus ziehe ich den Schluss, wie gesagt losgelöst dessen ob ich als Unternehmen überhaupt zur Meldung verpflichtet bin, dass die per ADV ausgelagerten Verarbeitungen grundsätzlich in meiner Übersicht erfasst sein müssen.

Jetzt habe ich jüngst mit DSB-Kollegen / Kolleginnen zusammengesessen und war mit meiner o.a. Auffassung ziemlich alleine. Tenor: "Nein, in meinen (unseren) Verfahrensverzeichnissen sind keine Verzeichnisse enthalten, die Auftragsdatenverarbeitungen betreffen. Die sind bei den Auftragnehmern und das ist ausreichend."

Wie sieht die Forengemeinschaft dies?

2. Ja, alle Unterauftragnehmer müssen dem Auftraggeber als verantwortliche Stelle bekannt sein.

Hintergrund der Frage ist die Aussage eines Auftragnehmers (mit größerer Marktmacht): "Ihr Unternehmen (=Auftraggeber) hat mit unseren (Auftragnehmer) Subunternehmen (Unterauftragnehmer des Auftragnehmers) keine direkte Vertragsbeziehung, daher müssen wir Ihnen diese nicht konkret benennen." In § 11 Absatz 1 steht "Werden personenbezogene Daten im Auftrag durch andere Stellen erhoben, verarbeitet oder genutzt, ist der Auftraggeber für die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz verantwortlich.". Auf die Rückfrage, wenn dem Auftraggeber die Unterauftragnehmer nicht bekannt sind, wie der Auftraggeber die Rechte der Betroffenen wahrnehmen können soll (die Frage 1 mal außer Acht gelassen), kam sinngemäß die Antwort: "Sie geben uns dann die Weisung, eine 34er Auskunft bei unseren Subunternehmern einzuholen". Die Prüfungspflicht weiterer Unterunterauftragnehmer (zum Beispiel deren TOMs) durch den Auftraggeber soll per Vertrag / ADV an den Auftragnehmer deligiert werden. In meinen Augen ist das nicht darstellbar.

Gola äußert sich in seinem BDSG-Kommentar 11. Auflage in RN 18e zu § 11 BDSG in dem Zusammenhang dazu wie folgt: "Auch im Verhältnis zum Subunternehmer bleibt der AG die für die Verarbeitung verantwortliche Stelle. Entsprechend muss der den Unterauftrag vergebende AN die sich aus dem ursprünglichen Auftrag ergebenden Rechte und Pflichten vertraglich an den Subunternehmer durchreichen, u.a. damit der AG seinen Kontrollpflichten auch beim Unterauftragnehmer effektiv nachkommen kann. Aufsichtsbehörden vertreten die Auffassung, dass § 11 ein direktes Prüfrecht des AG auch beim Unterauftragnehmer erfordert. [...] (vgl. 23. Bericht der Landesregierung über die Tätigkeit der für den Datenschutz im nicht öffentlichen Bereich in Hessen zuständigen Aufsichtsbehörde - LT-Drs. 18/2942)". Und da stellt sich die Frage, wie der Auftraggeber als verantwortliche Stelle seiner potentiellen Prüfpflicht nachkommen soll, wenn die Dienstleister nicht bekannt sind? Auernhammer äußert sich in seinem BDSG-Kommentar 4. Auflage in RN 49 ähnlich: "Hierbei müssen die Verträge [zwischen Auftragnehmer und Unterauftragnehmer] vorsehen, dass sie den Anforderungen zu Vertraulichkeit, Datenschutz und Datensicherheit zwischen den Vertragspartnern des Hauptvertrages entsprechen. Dem Auftraggeber sind Kontroll- und Überprüfungsrechte entsprechend einzuräumen. Ansonsten besteht die Gefahr dass das durch § 11 BDSG geforderte Datenschutzniveau faktisch unterlaufen wird.".

Aber auch mit dieser (restriktiven) Rechtsauffassung stand ich ziemlich alleine da...

Daher auch hier die Frage an die Forengemeinschaft: Wie sehen sie das?

Vielen Dank für die Meinungen,
KvJ


Geschäftsführer ist DSBA, geht das überhaupt?

Hallo zusammen,
unser Geschäftsführer ist gleichzeitig Datenschutzbeauftragter. Bei einer BR-Schulung wurde empfohlen das nicht so zu machen.
Gibt es inzwischen eine Vorschrift/ Gesetz die das ausschließt? Im praktischen heißt das , das der BR regelmäßig mit der GL in
Konflikt gerät zum Thema Datenschutz.


mardi 8 septembre 2015

EU-US data protection "Umbrella agreement"

"Die Europäische Union und die USA haben ein Abkommen zum Schutz persönlicher Daten ausgehandelt, die im Rahmen von Ermittlungen in Strafverfahren ausgetauscht werden." meldet der DLF.

Q&A European Commission: http://ift.tt/1UzLhun


Datenübermittlung an Krankenkasse

Hallo zusammen,
über Umwege habe ich Kenntnis darüber bekommen, dass unsere Abrechnung wohl bei der Abrechnung von vorstationären Fällen eine Kopie vom Notarztprotokoll mit übersenden, damit die Kassen die vorstationäre Abrechnung anerkennen und nicht auf ambulant umswitchen wollen. Dabei wird das Notarztprotokoll wohl als Einweisungsschein angesehen. Jetzt steht aber auf dem Notarztprotokoll viel mehr drauf als auf einem Einweisungsschein und mir stößt dieses Vorgehen sehr auf. Andernfalls kann so aber mehr abgerechnet werden. Hat vielleicht jemand dazu was parat, ob die Kassen das Notarztprotokoll erhalten dürfen?
Vielen Dank
W. Heine


lundi 7 septembre 2015

externe Links von Nichtdeutschen Datenbanken?

Einer meiner Kunden, eine Yachtchartervermittlung, die mit Hilfe von externen Buchungsmaschinen Buchungen erstellt und reserviert, hat ein Problem mit dem neuesten Trend der Vercharterer, das Kundenunterlagen (Speziell die sogenannten Crewlisten für Hafenbehörden) nunmehr in eine zentrale Datenbank der Buchungsmaschinen eingegeben werden sollen. Dabei werden auch Kundenadressen und Emailaddressen der einzelnen Crewmitglieder vorgeschrieben.
Die Firmen der Buchungsmaschinenbetreiber sitzen im Ausland.
Ich sehe das sehr problematisch und habe dem Kunden abgeraten diese Daten einzugeben bzw. den Link an die Kunden weiterzuleiten. (was leider dazu führt, das sogenannte Strafgebühren von 8 Euro für manuelle Abfertigung erhoben werden)

Trotzdem rate ich weiterhin davon ab, oder ist das über vorsichtig?

Gibt es auch eine Europäische Rechtsgrundlage. solche Datenübermittlung an nicht Beteiligte (Buchungsmaschine) zu verweigern? Schließlich besteht deren einziger "Service" darin, dann eine Crewliste zu drucken und diese dann an den Vercharterer zu mailen.
(Bisher wurde diese Crewliste übrigens manuell vom Kunden erstellt, ohne Email und Adresse, lediglich Geburtsort,Geburtsdatum und Passummer eingetragen und das dann per Email weitergeleitet und dann nach Ausdruck den Hafenbehörden gegeben, was auch gesetzlich in Ordnung ist.)


Umfang der personenbezogenen Daten bei Datenauskunftsanfrage und ggf. Löschung

Sehr geehrte Damen und Herren,

ich arbeite als Informatiker bei einem kleinen Unternehmen mit Sitz in Deutschland, dass unter eine .de-Adresse ein Internetforum betreibt, bei dem sich Kunden und Interessenten über unserer Produkte informieren und austauschen können.

Ich bin für dieses Forum zuständig.

Wir haben eine Anfrage einer Person erhalten, die in unserem Forum registriert ist. Diese Person hat bei uns eine Auskunft gem. §34 BDSG über die bei uns über seine Person gespeicherten Daten gestellt. Die Person hat bei uns keine Produkte erworben. Es gibt dementsprechend in der Buchhaltung usw. keine Datenbestände über diese Person. Die Person hat allerdings ein Benutzerkonto in unserem Forum.

Bevor ich zu den beiden Fragen komme, die sich mir in diesem Zusammenhang stellen, möchte ich kurz zum besseren Verständnis auf die Art der Datenspeicherung eingehen, welche die Forensoftware nutzt.

Wir nutzen eine relationale Datenbank. "Relational", d.h. "in Verbindung stehend" ist dabei so zu verstehen, dass Sammlungen von zusammengehörigen Daten erstellt werden und jede Sammlung ein Ordnungsmerkmal (vulgo: eine Identifikationsnummer) bekommt. Wenn ein anderer Teil der Datenbank auf eine solche Sammlung Bezug nimmt, wird stets nur dieses Ordnungsmerkmal angegeben.

Ein Beispiel:
Wenn ein Benutzer ein Benutzerkonto anlegt, so werden alle personenbezogenen Daten, die er bei der Registrierung angibt, in einer Sammlung zusammengefasst und diese erhält eine Identifikationsnummer - in diesem Fall die Benutzernummer. Wenn der Benutzer A nun beispielsweise die Funktion des Forums nutzt, den Beitrag X eines anderen Benutzers B als besonders nützlich zu bewerten, so wird in der Datenbank gespeichert, dass der Beitrag X vom Benutzer mit der Identifikationsnummer von A positiv bewertet wurde.

Die personenbezogenen Daten selbst sind also nur einmal gespeichert. Für alle anderen Funktionen wird die Identifikationsnummer verwendet. Dies hat den Vorteil, dass die personenbezogenen Daten kompakt und zentral gehalten werden und im Falle einer Löschung auch einfach und vollständig entfernt werden können.

Meine Fragen sind nun:

1)
Müssen bei der Datenauskunft nur die Daten angegeben werden, die der Benutzer während seiner Registrierung angegeben hat, und die in der oben beschriebenen Datensammlung zusammengefasst wurden (Vorname, Nachname, Emailadresse, etc.). Oder sind auch sämtliche relationalen Daten anzugeben, d.h. z.B. jede Bewertung eines anderen Beitrages, jeder Forumsbeitrag, jeder Zeitstempel eines Forenbeitrages, jeder Zeitstempel einer Bewertung usw. usw.? Dies Herausklamüsern sämtlicher relationaler Daten stellt nämlich einen erheblichen Aufwand dar, da dazu jede Funktion und jeder Teil der Datenbank zu durchsuchen ist.

2)
Wenn ein Benutzer die Löschung seines Benutzerkontos bei uns beantragt, kommen wir dem umgehend nach indem wir die Datensammlung mit seinen personenbezogenen Daten löschen. Die relationalen Daten werden nicht gelöscht. Dies hat zum Ergebnis, das beispielsweise die positive Bewertung eines anderen Beitrages erhalten bleibt. Es ist dann aber nur noch feststellbar, dass dieser Beitrag von einem nun nicht mehr existenten Benutzer positiv bewertet wurde. Wer der Benutzer war, ist nicht mehr anhand unserer Datenbestände nachvollziehbar, da die Datensammlung auf die Bezug genommen wird, nicht mehr existiert. Es wird dann angegeben, dass die Bewertung durch einen "anonymen Benutzer" stattfand. Reicht es aus bei einem Löschantrag die oben beschriebene Datensammlung zu löschen, oder müssen auch die besagten relationalen Daten gelöscht werden?

Vielen Dank für Ihre Mithilfe.


Entbindung der Schweigepflicht!?

Hallöchen,
ich habe lange in diesem (und anderen Foren) nach einem Procedere gesucht- leider nix dazu gefunden.

Hier meine Anfrage:

Ich bin der bDSB in einem großen (regionalen) ambulanten Pflegedienst. Selbstverständlich haben wir Pflegeverträge mit unseren Kunden. Darin nicht implementiert ist die Entbindung der Schweigepflicht des Kunden bei z.B. der Begutachtung durch den MDK.
Bisheriges Procedere dabei (Auskunft unserer Fachaufsicht Pflege): "Wir fragen den Kunden mündlich, ob er mit der Begutachtung einverstanden ist. Sollte der Kunde verneinen, so entstehen ihm dadurch keinerlei Nachteile."
Dies kann ich so bestätigen.
Dennoch ist mir bei diesem Vorgehen etwas unwohl- handelt es sich bei unseren Kunden doch auch um demenziell Erkrankte, psychisch Kranke- teilweise mit bipolaren Störungen, etc. Obwohl ich unserer Fachaufsicht in Hinsicht auf Auswahl der "Vorzeigeobjekte" vertraue steckt der Teufel doch hier im Detail, da es nichts schriftliches gibt.

Idden? Vorschläge?
Lieber Gruß!


Beschaffungsplattformen

Hallo DS-Gemeinde,

ich habe da mal eine Frage. :D

Situation
Bei uns soll eine Beschaffungsplattform, in diesem Fall Mercateo.com, eingesetzt werden, über welche die C-Teile-Beschaffung optimiert werden soll. Dazu betreibt Mercateo eine Web-Plattform, über welche der Kunde bei verschiedenen Lieferanten Material bestellen kann. Hierzu wird die Bestellung über das Webportal erfasst, welches aus dem Beschaffungsprozess innerhalb des SAP aufgerufen wird. Dabei kommt der Vertrag zwischen Lieferant und Besteller zustande, Mercateo ist dort außen vor. Also ähnlich Ebay. Die Daten werden dann von Mercateo an das SAP zurückgeliefert (sichere Verbindung). Das Betreiben der Plattform wiederum, auf welcher auch die Log-In-Daten der Besteller gespeichert und verarbeitet werden, erfolgt allerdings im eigenen Geschäftsinteresse der Mercateo.

Beurteilung
Aufgrund der Tatsache, dass Mercateo die Plattform im eigenen Geschäftsinteresse betreibt und "unsere" Daten dort lediglich zu Authentifizierungszwecken verarbeitet werden, neige ich dazu, nicht von einer ADV auszugehen. Andererseits werden per Datenaustausch SAP/Mercateo und per EDI auch Bestell- und Rechnungsdaten zurückgeliefert. Eine vertrackte Situation. :rolleyes:

Was denkt Ihr?

Beste Grüße Stefan


dimanche 6 septembre 2015

Bundestag- Ausarbeitungen der Wissenschaftlichen Dienste - nur für Dokumente ab 2006?

Hallo,

mich würde interessieren, ob der Bundestag, der Zugang zu Ausarbeitungen der Wissenschaftlichen Dienste gewähren muss (Urteil des Bundesverwaltungsgerichts vom 25.06.2015 (Az. BVerwG 7 C 1.14 / BVerwG 7 C 2.14 – Pressemitteilung vom 25.06.2015 (http://ift.tt/1i5P9SR) dies nur muss, wenn die Ausarbeitung nach dem Inkrafttreten des IFG am 01.01.2006 entstanden ist.

Dies meint das zuständige Referat des Deutschen Bundestages in einem Antwortschreiben an mich.

Ich habe ein erstelltes Gutachten der Wissenschaftliche Dienste des Deutschen Bundestages, welches vor dem Inkrafttreten des IFG entstanden ist angeordert.

Die Herausgabe dieses Gutachtens wird verweigert bisher, das das Gutachten 2005 in Auftrag gegeben wurde und erstellt wurde und nicht 2006.

Ist diese Rechtsauffassung der Verwaltung des Deutschen Bundestages angesichts des Urteils des Bundesverwaltungsgerichts (in dem ich keine solchen rechtlichen Konditionen erkennen kann) haltbar?

Wenn ja, welcher Zeitpunkt für ein per IFG-angefragtes Dokument gilt dann:

Wann es in Auftrag gegeben wurde?

Wann es fertiggestellt wurde?

Wann es veröffentlicht wurde?

oder ob es zum Zeitpunkt 01.01.2006 (in irgendeiner Form in den Akten der anfragenden Behörde/Verwaltung) existierte ?

Vielen Dank für die Antwort....


samedi 5 septembre 2015

Beiträge anders anordnen

Hey,
ich bin neu hier im Forum und wollte mich erst einmal einlesen.. Ist vielleicht nur ein Schönheitsfehler, aber was ich sehr verwirrend finde, ist, dass die neuesten Beiträge in einem Thema immer ganz oben stehen und man dann nach ganz unten muss, um den Eröffnungspost zu finden. Kann ich das irgendwie einstellen, dass es mir anders angezeigt wird? Kenne das von anderen Foren überhaupt nicht so.

Gruß xeocad


jeudi 3 septembre 2015

IT-Mitarbeiter und DSB - kann die Bestellung nachträglich widerrufen werden?

Hallo,
ich bin seit einigen Monaten DSB in unserem Unternehmen. Parallel arbeite ich noch in unseren Schwesternunternehmen als DSB.
Vor einigen Wochen kam von der Behörde eine Anfrage und jetzt heißt es - ich kann kein DSB sein - da ich auch in der EDV tätig bin.
Ist das einfach so möglich?

Gruß
DSB-NRW


externe MA sollen Kundendaten erhalten (SMS oder E-Mail)

Hallo zusammen,

folgene Sache ist zu lösen:

Ein potentzieller Kunde ruft bei der Firma A an und würde gerne einen Beratungstermin für ein bestimmtes Produkt dieser Firma A bei sich zu Hause haben.
Der Mitarbeiter der Firma A nimmt die Daten des Kunden auf (Name, Straße, PLZ, Ort, Rufnummer) und beauftragt nun via "modernes MEDIUM" den externen Mitarbeiter (selbstsändig), dass er sich mal bei der Kundin meldet um einen Termin abzusprechen.

Das Handy des externen MA ist ein privates Handy.

Welche Form der Übermittlung darf genutzt werden, dass die Kundin ihren Anruf bekommt, bzw. der externe MA eine Nachricht erhält mit den Daten? Darf dieses per E-Mail geschehen? Muss die Kundin wissen, dass wir externe MA´s dafür beauftragen?

Ist ja wohl ADV, aber mir ist hier wichtig, wie und was ich an den externen MA an Daten der Kundin übermitteln darf.

Danke
Kieler


Fragebogen für Abschlussarbeit mit verschiedenen Unternehmen

Hallo zusammen,

derzeit plane ich meine Bachelor-Thesis, bei der ich Auszubildende und Ausbildungsverantwortliche verschiedener Betriebe mittels Fragebogen ansprechen möchte. Ich bin mir unsicher, welche rechtlichen Punkte es zu beachten gibt und möchte natürlich vorbereitet sein. Zweifel an der Anonymität der Studie, die selbstverständlich in Kooperation mit der Universität stattfindet, könnte direkt zu absagen führen. Somit also die Frage, bevor ich den Akquiseprozess starte:

Welche datenschutzrechtlichen Bedenken könnten Unternehmen haben?

Noch ergänzend: Es geht nicht um eine Einschätzung zur MA-Zufriedenheit oder Ähnlichem, sondern um die Einschätzung der Entwicklung von Schlüsselkompetenzen.

Ich bedanke mich für jeden Tipp oder Hinweis und ergänze gerne weiter Informationen!

Freundliche Grüße


mardi 1 septembre 2015

Wiedermal ein Abwesenheitskalender

Moin,

nachdem ich glaubte in unserem Unternehmen den für jeden einsehbaren, allumfassenden Kalender mit Urlaubs-, Krankheits- u. Abwesenheitstagen ausgemerzt zu haben, entedeckte ich in der letzten Woche - Überraschung! - eine neue Excelliste in der tatsächlich wieder säuberlich aufgelistet ist, wer wann warum nicht da ist.

Die Nachfrage bei der IT, mit der ich vorher eine saubere Lösung für einen Abwesenheitskalender ohne Detailinformationen erarbeitet hatte, sowie einer Kurzumfrage bei den Kollegen ergab, das diese Liste offenbar freiwillig geführt wird, weil die betreffenden Kollegen das offenbar für notwendig halten. Es handelt sich nicht um die gesamt Belegschaft, sondern um die Abteilungen die permanent eng zusammenarbeiten und sich auch terminlich abstimmen müssen.

Meine Frage ist jetzt: kann ich das durchgehen lassen, da diese Liste nicht vom Unternehmen gefordert ist sondern freiwillig von jedem einzelnen gespeist wird oder muß ich intervenieren?

Bin gespannt...:)


ADV Frage zu § 9 TOM

Guten Morgen!

Ich habe gerade meinen ersten ADV-Vertrag entworfen und bin mir etwas unsicher bzgl. den technischen und organisatorischen Maßnahmen nach § 9 BDSG. Deshalb meine Frage:

Wenn ich Nachfolgendes im ADV-Vertrag stehen habe, bedarf es trotzdem einer entsprechenden "Checkliste" bzw. Anlage zum ADV-Vertrag? Der Auftragnehmer hat uns bereits einen Fragebogen ausgefüllt (Vorabkontrolle).


§ 5 Technische und organisatorische Maßnahmen nach § 9 BDSG

Der Auftragnehmer beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. Er gewährleistet die vertraglich vereinbarten und gesetzlich vorgeschriebenen Datensicherheitsmaßnahmen.

Die technischen und organisatorischen Maßnahmen können im Laufe des Auftragsverhältnisses der technischen und organisatorischen Weiterentwicklung angepasst werden. Wesentliche Änderungen sind schriftlich zu vereinbaren.

Soweit die beim Auftragnehmer getroffenen Sicherheitsmaßnahmen den Anforderungen des Auftraggebers nicht genügen, benachrichtigt er den Auftraggeber unverzüglich.

Der Auftragnehmer teilt dem Auftraggeber unverzüglich Störungen, Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen datenschutzrechtliche Bestimmungen oder die im Auftrag getroffenen Festlegungen sowie den Verdacht auf Datenschutzverletzungen oder Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten mit. Dies gilt vor allem auch im Hinblick auf eventuelle Informationspflichten des Auftraggebers nach § 42 a BDSG. Der Auftragnehmer sichert zu, den Auftraggeber bei seinen Pflichten nach § 42 a BDSG zu unterstützen.

Viele Grüße
pusteblume


lundi 31 août 2015

"Datenschutz für Hundehaufen"

Bayern führt im Datenschutz. Schwäbische:

Zitat:

Datenschutz für Hundehaufen
München sieht von DNA-Analysen unerfreulicher Hinterlassenschaften ab
Natürlich viel zu teuer. Aber man schiebt es lieber auf den Datenschutz.


Weitergabe Adressdaten Auftragsdatenverarbeitung

Hallo zusammen,

ich würde mich über Hilfe hinsichtlich folgenden Sachverhaltes freuen:

  • Firma B will eine Werbeaktion (Briefwerbung) unter Zuhilfenahme eines Konfektionierungsdienstleisters durchführen
  • Firma B will dafür Adressdaten der Firma A benutzen (von Firma A gewollt)
  • Firma A stellt dem Konfektionierungsdienstleister die Adressdaten direkt in Listenform zur Verfügung


Bei der Auftragsdatenverarbeitung geht es nun ja um die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Auftrag.
Auftraggeber des Konfektionierungsdienstleisters ist hier ja eigentlich die Firma B. Die Verarbeitung der personenbezogenen Daten (Weitergabe der Adressdaten) erfolgt aber ja zwischen Firma A und dem Konfektionierungsdienstleister.

Würde es in diesem Falle aus Sicht der Firma A reichen, einen ADV Vertrag mit dem Konfektionierungsdienstleister zu schließen (Firma A würde dann darin als Auftraggeber dargestellt) oder wie ist das Ganze vertraglich auszugestalten?

Für Hilfe diesbezüglich wäre ich dankbar.


Datenschutzinfos auf englisch

Hallo zusammen,

unser Mutterkonzern ist aus den USA und möchte nun aktiver werden in Hinsicht Datenschutz. Nun wurde mir als Datenschutzbeauftragten die Frage gestellt, ob wir Unterlagen in englischer Sprache hätten, in denen das Thema erläutert wird, z.B. was sind personenbezogene Daten, was sind TOM's usw., also alles rund um den Datenschutz.
Bei Google bin ich leider nicht fündig geworden, daher die Frage, ob es hier jemanden gibt, der mir englischsprachige Quellen nennen kann.
Vielen Dank schon mal für die Unterstützung.

Grüße
Jens


Schriftlicher Auftrag gegen geltendes Recht zu verstoßen

Guten Morgen,

ich habe eine Frage auf die ich bisher keine konkrete Antwort gefunden habe.

Wenn ein Kunde seiner IT-Firma den Auftrag gibt, E-Mails von einem Mitarbeiter der jetzt im Krankenstand oder ausgeschieden ist an die Geschäftsleitung oder einen anderen Mitarbeiter weiterzuleiten, obwohl eine Privatnutzung von E-Mails nicht verboten ist, verstößt das doch gegen geltendes Recht, oder?

Selbiges gilt doch wenn eine Weiterleitung für alle neu ankommenden E-Mails an eine andere Person eingerichtet wird.

Wenn der Kunde auf den Rechtsverstoß hingewiesen wird, und dieser darauf schriftlich die Anweisung erteilt das trotzdem zu tun, kann
1) der IT-Dienstleister dafür belangt werden?
2) der ausführende Techniker dafür belangt werden?

Meine Rechtsverständnis, ist dass ein Verstoß gegen das Gesetz nicht durch einen anderen legitimiert werden kann und wenn ich weiß, dass ich gegen geltendes Recht verstoße, bin ich dafür zu belangen. Oder sehe ich das falsch?

Gruß
Ulrike


dimanche 30 août 2015

Datenschutz beim Erstellen einer Chronik

Sehr geehrte Damen und Herren, ich bitte um Hilfestellung, bzw. Auskunft. Sei drei Jahren erstelle ich mit Hilfe von "Spurensuchern" eine Historie unseres Ortes als Ergänzung zur bisherigen Chronik, ein Häuserbuch. Dort werden die Häuser unseres Ortes, Straße um Straße, mit Bild und Daten benannt. Bis jetzt hatten wir nur Ausstellungen und werden bestimmt irgendwann ein Buch oder in unserer Homepage diese Historie veröffentlichen.
Nun im dritten Jahr stellt sich bei mir die Frage in wie weit es vom Datenschutz erlaubt ist, dies zu veröffentlichen.
Bei Erstellung der Historie wurden in jeder Straße die Hausbesitzer schriftlich ( in diesem Fall 60 Häuser , ein Jahr davor 115 Häuser usw.) in Kenntnis um das Projekt gesetzt, mit der Bitte, falls man nicht in der Historie aufgenommen werden möchte, sich bei mir zu melden. Vorgestern hat ein Hausbesitzer sich gemeldet, mit der Bitte nicht aufgenommen zu werden. Diesem Wunsch wird entsprochen.
Die eigentliche Problematik bei der Erstellung in unserem Fall ist die, dass es in unserem Dorf Häuser gibt, die vermietet wurden, Häuser deren Wohnungen vermietet wurden (besonders nach der Kriegszeit).
Wir haben bei diesem Projekt eine Gruppe "Spurensucher", die sich zum "Stammtisch" bei mir trifft und da werden die Häuser der aktuellen Straße besprochen und deren Historie. Diese Angaben werden oft mit der Bemerkung: lt "Erzählungen" in den Text zum Haus mit aufgenommen.
Mit vielen Hausbesitzern habe ich Gespräche geführt und persönlich die Historie mit Text und Bild aufgenommen.
Meine Frage an sie ist, ob ich namentlich Menschen erwähnen darf, die in den Häusern als Mieter gelebt haben. Duch Hausbesitzerwechsel, Tod u.a. wissen manchmal die neuen Hausbesitzer sogar auch nicht, wer früher einmal in ihrem Haus wohnte, das war in manchen Gesprächen sehr spannend, was dann durch die "Spurensucher" erzählt wurde. Es gibt ja oft Aussagen in Büchern oder Hauswänden: hier lebte...
In all den Jahren bin ich auf Datenschutz noch nie angesprochen worden, aber nun möchte ich mich selbst absichern und korrekt Auskunft geben, falls es Anfragen gibt.

Danke im Voraus.


Mit freundlichem Gruß Gärtner


samedi 29 août 2015

Kundenstammvertrag versus Datenschutz

Hallo,

kürzlich flatterte ein Schreiben meiner Bank ins Haus, bei der ich seit gut 20 Jahren u.a. ein Girokonto unterhalte:

"Anbei übersenden wir Ihnen unseren Kundenstammvertrag, denn Sie bitte unterschrieben ans uns zurückschicken."

Dies hätte ich auch sofort getan, wenn nicht das Kästchen "Ich bin einverstanden" unter dem Satz "In diesem Rahmen entbinde ich die Bank zugleich vom Bankgeheimnis" frecher Weise bereits maschinell markiert gewesen wäre.

Es wird aber noch besser:

Auf der Liste der sogenannten Kooperationspartner erkenne ich einen Firma wieder, von der ich bereits mehrmals Werbung erhalten habe.
Es drängt sich mir der Verdacht auf, man wolle einen ohnehin bereits stattfindenden Datenaustausch im Nachhinein legitimieren.
Gründe für die Notwendigkeit dieses Kundenstammvertrags wurden nicht genannt. Ich habe auch kein Interesse an weiteren Finanzdienstleistungen in der Vergangenheit bekundet.

Meine 2 Fragen:

1. Wird die Bank bei Nichtunterzeichnung versuchen, das bestehende Vertragsverhältnis zu kündigen?

2. Gibt es noch Banken in Deutschland, die sich Datenschutz und Bankgeheimnis verpflichtet fühlen? Ich überlege einen Wechsel falls 1. eintritt.

Vielen Dank.


mercredi 26 août 2015

Zugriff der Krankenhaushygiene auf Patientendaten im KIS

Guten Tag,

die Krankenhaushygiene-Mitarbeiter (Hygienefachkräfte und hygienebeauftragter Arzt) beantragen einen Zugang zum Verwaltungsmodul unseres Krankenhaus-Informationssystems (KIS). Damit wollen Sie zum einen die Patienten mit für die Hygiene interessanten Krankheiten / Erregern (z.B. MRGN), zum anderen deren Kontaktpersonen (=Behandlende) schnell indentifizieren können. Es besteht also eine gewisse aus dem Infektionsschutzgesetz abgeleitete Rechtsgrundlage und auch ein Interesse der Allgemeinheit bzw. des Patientenkollektivs.
In der OH-KIS (2.Auflage) kann ich die Hygiene aber nicht genau zuordnen. Ist es ein Zugriff auf Patientendaten eher unter Punkt 19 (Zugriffe außerhalb der bettenführenden Fachabteilungen) oder hole ich die Anforderungen aus Punkt 29, interne Qualiätssicherung?

Grüße aus dem Ruhrpott


mardi 25 août 2015

ADV und Bußgeld, wenn Vertrag ungenügend (BayLDA)

http://ift.tt/1NSsCCP
http://ift.tt/1NSszXv

Die Mitteilung sagt leider wenig über die Details oder zur Argumentation.

PS: gefunden via delegedata.de


Datenträgervernichtung: wie der GCHQ Guardian Notebooks mit Snowden-Files vernichtete

ich wollte euch einen Vortrag (CCC Camp 15) empfehlen über die Vernichtung der Snowden-Datenträger durch Agenten des britischen Geheimdiensts GCHQ.

youtube-video: https://www.youtube.com/watch?v=PFsC1puqhA4

Das interessante ist der Umfang der vorgenommenen Vernichtung der Apple Laptops. Erstaunlich welche Chips alles Datenträger sind und das ein Computer im Grunde aus vielen einzelnen Computern besteht.
Man kann aus den vorgenommenen Chip-Vernichtungen ableiten, was alles zur Rekonstruktion von Daten herangezogen werden kann. Trackpad, Keyboard-Prozessor, CPU, RAM, .., einige Komponenten (bzw. deren Funktion) konnten nicht identifiziert werden.


lundi 24 août 2015

Grundrecht im Datenschutz?

Frage:
Gibt es tatsächlich eine Art von Grundrecht im Datenschutz, das dem Betroffenen selbst untersagt, Personen seines Vertrauens, z.B. einen Rechtsanwalt, als Zeuge bei einer FZ-Einsichtnahme am AG gem. § 42 BZRG beizuziehen?

Es ist mir bekannt, dass man straffrei seine eigenen Bankauszüge veröffentlichen darf oder seine Krankenakten publizieren, was immer sie auch beinhalten. Keine Datenschutzaufsicht würde sich dagegen einsetzen.

Angeblich ist es aber "auch datenschutzrechtlich" untersagt, einen Zeugen mitzubringen zur Einsichtnahme in sein unbeschränktes FZ, ohne Eintragungen übrigens. Nicht "datenschutzrechtlich" begründet hingegen wird die Praxis des FZ-Handels im Auftrag potentieller Arbeitgeber mit Hilfe von Detekteien und u.a. eines Interpol-Verbindungsbüros. Auch Stammtisch-Geschwätz von Beamten einer Ordnungsbehörde bleibt ungesühnt, schlimmstenfalls gibt es eine "Ermahnung".


Kameraüberwachung nach Kernarbeitszeit

Hallo,

da es in der Vergangenheit in unserem Unternehmen wiederholt Fälle von Diebstahl und Sachbeschädigung gab hat die GF den Wunsch geäußert, einige Außenbereiche (Parkplatz, Fahrradständer) sowie die Flure in den Produktionsstätten nach der regulären Arbeitszeit per Kamera überwachen zu lassen.
Da ein Teil der Mitarbeiter Flexible Arbeitszeiten besitzt und es sich daher nur schwer vermeiden lässt, dass auch der ein oder andere Mitarbeiter während der Arbeitszeit gefilmt wird, stellt sich mir die Frage ob das erlaubt ist? Zur Kernarbeitszeit soll keine Aufnahme erfolgen.

Und falls ja, muss die Kamera zum Beispiel durch eine Status-LED, für den Mitarbeiter sichtbar, deaktiviert sein oder reicht eine offizielle Stellungnahme der GF zu den Aufnahmezeiten?


Danke schon mal und grüße

Logan


vendredi 21 août 2015

Zulässigleit von CRM im b2b-Bereich

Hallo,

angenommen eine Vertriesgesellschaft (100 Mtarbeiter, nur b2b-Kunden, man kennt die Kunden und redet sich oft mit Vornamen an) führt ein neues Customer Relationship Management-System. Hier gibt es zwei datenschutzrechtlich relevante Punkte, zu welchen ich auf die geschätzte Meinung der Forumsnutzer gespannt bin:

1. Hinzufügen von Kundendaten: Üblicherweise werden vom Verkäufer zu den Kundendaten, die für die Abwicklung des Vertragsverhältnisses erforderlich sind, noch weitere persönliche Informationen des Kunden hinzugefügt, welche sich im persönlichen Gespräch mit diesem ergeben und künftig dem Verkäufer bei Wiederkontaktierung als Anknüfungspunkte dienen sollen. Gemäß § 28 Abs. 1 S. 1 Nr. 2 BDSG ist dies im Rahmen einer Interessenabwägung durchaus zulässig, wenn die schutzbedürftigen Interessen des Betroffenen nicht entgegenstehen. Und genau diese Abwägung macht es spannend. So sind meiner Meinung nach Information wie Fußballfan, hat den letzten Urlaub im April am Mittelmeer verbracht, Hobbys oder Produktpräferenzen in der Regel unproblematisch. Problematischer wäre das Geburtsdatum, was zur Gratulation gerne gespeichert wird, oder "meine Frau starb vor 2 Monaten" (auch dies kann ein wichtiger Anknüfungspunkt für den Verkaufsmitarbeiter sein, und wenn es auch nur dazu dient, nicht nach dem Wohlbefinden der Ehefrau zu fragen). Viel problematischer sind Daten, deren unsachgemäße Handhabung das Ansehen oder die Existenz bedrohen könnten (Einkommen, Ordnungswidrigkeiten/Straftaten, Gesundheitsdaten, Schulden etc.). Sehen Sie das auch so hinsichtlich den vorgenannten Beispielen, bzw. wo sehen Sie die Grenzen, wo in der Regel die schutzbedüfrtigen Interessen definitiv entgegenstehen?

2. Zugriffskontrolle: Naturgemäß haben in CRM-Systemen nicht nur der Verkauf Zugriff auf Kundendaten, sondern auch die Marketingabteilung, alleine schon um mit dem Verkauf gemeinsame Kundenaktionen zu planen und durchzuführen. Doch hierbei könnte die Marketingabteilung erstmals Zugriff/Leserecht auf folgende Daten bekommen: Bonitätsindex des Kunden (bzw. seines Unternehmens, oft 1-Mann-GmbH), Liefersperren, aber auch Abschlussraten/Performance eines konkreten Außendienstmitarbeiters, dem ein Gebiet zugewiesen ist. Wie kritisch sollte man denn diese letztgenannten Punkte im Rahmen von Zugriffskontrolle sehen?


IT-Projekte Mitarbeiterprofile

Hallo liebes Forum,

meine Frage dreht sich um IT-Projekte.
Meine Firma möchte gerne an Ausschreibungen teilnehmen und dafür Profile der Mitarbeiter, welche die passenden Qualifikationen dazu haben, dazu versenden.

Ich bin noch frisch als Datenschützer, meine aber gelesen zu haben, das ohne gegenseitige Datenschutzvereinbarungen nur anonymisierte Kurzprofile gesendet werden dürfen, also ohne Bild, Namen, etc.
Einerseits wegen Arbeitnehmerdatenschutz (jeder Mitarbeiter muss dem Versenden zustimmen), andererseits wegen Datensparsamkeit.

Ist das so korrekt?
Gibt das dazu gesetzliche Auslegungen zum Nachlesen?

Oliver


mardi 18 août 2015

Datenschutzfragen im Jobcenter

Hallo,

habe Fragen rund um den Datenschutz, was das Jobcenter anbelangt.


1. Ist das Jobcenter ein öffentliches Gebäude?

2. Wo werden die Kopien der Kontoauszüge, die man bei einer Antragsstellung abgeben musste, aufbewahrt? (also in welcher Akte genau)

3. Darf ich auf Verlangen Zugang zu der jeweiligen Akte bekommen und Schwärzungen in den Kontoauszügen in den Ausgaben vornehmen? (denn das habe ich vorher, weil es mir nicht gesagt wurde, dass ich das darf, nicht gemacht)

4. Darf eine Arbeitsvermittlerin konkret nach Diagnosen fragen?


Ich bitte um Entschuldigung für die vielen Fragen. Ich bin neu hier.


Mit freundlichen Grüßen
Fikbaum


Bundeszentralregister / Führungszeugnis

Hallo,

habe mal eine grundsätzliche Frage.

Steht im Bundeszentralregister alles drin, was in einem polizeilichen Führungszeugnis und in einem erweiterten polizeilichen Führungszeugnis auch drin steht?


Danke vorab für hilfreiche Antworten.


Mit freundlichem Gruß
Fikbaum


lundi 17 août 2015

Verwendung von Kundeninformationen für eigene Werbung

Hallo zusammen,

ich wäre sehr dankbar, wenn ich die eine oder andere Gedankenstütze bekommen würde und zwar geht es um die Verwendung der mir vorliegenden Daten von Bestandskunden. Diese sollen für die Werbung von weiteren eigenen Produkten verwendet werden. Inwiefern wäre die Nutzung dieser Daten der Kunden zulässig? Welche § des BDSG finden hier besondere Anwendung?

Vielen Dank.


Geschwätzige Browser bei Intranet-Zugriff

Wir (steuerberatendes Unternehmen) betreiben ein Intranet für unsere Mitarbeiter.

Da man in letzter Zeit ja häufiger hört, dass auch Browser sich mit ihren Herstellern unterhalten, ergibt sich für uns die Frage, ob das DS-relevant ist und wenn ja, was man dagegen unternehmen kann.

- Urls: Häufig enthalten Urls durchaus interessante Informationen. Werden diese Urls beim Aufruf an Dritte übermittelt (Pishing-Schutz, Statistik, etc., einen Virenscanner oder Plugins nicht berücksichtig, nur Browser-intern)?

- Texteingaben: Werden diese an Dritte übermittelt (Autosuggest, Autokorrektur, etc.)?

- Textinhalte: Wird geladener Content (Vertragsinhalte) an Dritte übermittelt (Virenschutz)?

Sind das "echte" Probleme oder zu ignorieren?
Muss man sich mit bestimmten Browsern weniger Gedanken machen als mit anderen?
Gelten diese Empfehlungen dann auch für mobile Geräte?


Ich stehe in meinen Überlegungen noch am Anfang (was ist relevant, was stellt ein Problem dar, etc.) und bin daher für Anregungen (konkret oder als Lesevorschläge) dankbar...

Gruß

Jörg


dimanche 16 août 2015

Cloud Computing

Hallo zusammen,

ich setze mich im Moment im Unternehmen mit der Einführung einer Cloud-Lösung auseinander. Aufgrund der Datenschutzbestimmungen habe ich die Verwendung von GoogleDrive, Dropbox und Co. schon ausgeschlossen, da ggf. auch personenbezogene Daten verarbeitet werden sollen.

Wir möchten nun gerne OwnCloud verwenden. Leider bin ich in diesem Zusammenhang auch auf die Pflicht zur Löschung der Daten aufmerksam geworden. Kann eine Cloud diese überhaupt umsetzen? Daten könnten doch am Ende immer noch auf den Laptops oder Desktop PCs der Mitarbeiter vorhanden sein, wenn diese den Laptop nicht standardmäßig mit der Cloud synchronisieren.

Habt ihr vllt. noch Links o.ä. die sich mit dem Thema auseinander setzen?

Danke! :)


vendredi 14 août 2015

Was ist das Sicherheitskonzept?

Hallo Datenschutz-Forum,
kann mir einer von euch erklären was mit Sicherheitskonzept gemeint ist (da uns eine Anfrage vorliegt)?

Gruß
Stumpfi


Datenschutz-Dokumentation

Guten Morgen,

für meine Tätigkeit als DSB erarbeite ich momentan verschiedene Dokumente, die als Grundlage für den Datenschutz in unserem Unternehmen bzw. meine Tätigkeit dienen sollen.

Bevor ich begonnen habe die Dokumente zu erstellen, habe ich versucht mich in den Tätigkeitsberichten der LDSB und der BDSB zu informieren,
welche Dokumente erforderlich bzw. sinnvoll sind. Leider habe ich nicht wirklich viel dazu gefunden.

Auf jeden Fall bin ich letztlich zu folgendem Ergebnis gekommen:

1. Datenschutzstrategie als Teilstrategie der Geschäftstrategie
Inhaltlich soll das Dokument wiedergeben, wie unser Unternehmen generell zum Datenschutz steht und was die Ziele sind.
(Über die genauen Inhalte muss ich mir noch gedanken machen).

2. Datenschutzkonzept
Orientiert sich stark am Aufbau des BDSG und soll als Grundlage für Kontrollen der internen Revision oder anderer, auch staatlichen, Institutionen dienen.
Ist im weitesten Sinne eine Art Handlungsanweisung mit Inhalten wie zum Beispiel: Wie und durch wen wurde der DSB ernannt oder wo ist er im Organigramm zu finden. Wer wird auf § 5 BDSG verpflichtet, etc.

3. Datenschutzrichtlinie
Diese Richtlinie ist für die Mitarbeiter gedacht. Es soll die Inhalte des BDSG verständlich und vernünftig strukturiert wiedergeben.
Beinhaltet unter anderem auch Leitsätze und gibt Tipps zum Umgang mit pbD im täglichen Arbeitsumfeld.

Entspricht diese Dokumentationsreihe den Anforderungen an ein gesamtheitliches Datenschutzmanagement? Im Hinblick auf den aktuellen Entwurf zur DSGVO - sind alle Aspekte für eine übergeordnete Dokumentation berücksichtigt? Auf Dauer sollen noch weitere Dokumente folgen - wie zum Beispiel eine detailierte Anweisung wie das Verfahrensverzeichnis zu erstellen ist oder wann und wie eine Vorabkontrolle durchgeführt werden muss.

Über eine Rückantwort würde ich mich freuen.
Viele Grüße


jeudi 13 août 2015

Telekom verkauft T-Online an Werbevermarkter Ströer !?

Hai,
als langjähriger T-Online Nutzer möchte ich fragen "Wie muß ich mich verhalten um die Weitergabe meiner Daten zu verhindern"?
Es ist für mich ohne weiters möglich T-Online nicht mehr zu nutzen und eine neue E-Mail Adresse zu aktivieren.
Meine Daten wandern trotzdem zum neuen Firmeninhaber.
Danke für eure Info.
Ape Opa


mercredi 12 août 2015

Kein Verwertungsverbot von Daten nach § 31 BDSG bei Arbeitszeitbetrug

Ich verstehe folgendes Urteil vom LAG Köln vom 29.09.2014 nicht so ganz:
Az. 2 Sa 181/14

Quelle: http://ift.tt/1L5SahX

Zusammenfassung unter: https://www.datenschutzbeauftragter-...-taeterschutz/

§ 31 BDSG wird überhaupt nicht erwähnt oder irgendein Bezug darauf genommen, obwohl die Daten folgendermaßen beschrieben werden:

"Es ist deshalb für die Durchführung der Arbeitsverhältnisse der mit der Dateneingabe befassten Mitarbeiter erforderlich, Fehler in der Dateneingabe, die sich sowohl auf die Inhalte als auch auf den Gültigkeitszeitraum der eingegebenen Daten beziehen, kontrollieren und vermeiden zu können. Nur dann, wenn identifiziert werden kann, wer Fehleingaben gemacht hat, kann die Beklagte arbeitsrechtlich tätig werden und die erforderliche Qualität der Dateneingaben wirklich sicherstellen."
im Urteil unter # 36

Kann mir das Urteil jemand erklären?

Oder sind die erwähnten Protokolldaten des Programms nicht ausschließlich Daten nach § 31 BDSG und können somit zur Leistungs- und Verhaltenskontrolle von Beschäftigten nach § 32 BDSG herangezogen werden?

"§ 31 - Besondere Zweckbindung
Personenbezogene Daten, die ausschließlich zu Zwecken der Datenschutzkontrolle, der Datensicherung oder zur Sicherstellung eines ordnungsgemäßen Betriebes einer Datenverarbeitungsanlage gespeichert werden, dürfen nur für diese Zwecke verwendet werden"


Garantietausch HDD

Hallo zusammen,

was ist bei folgender Konstellation der richtige Weg:

Eine defekte Festplatte wird vom Hersteller im Wege des Vorabaustausches ersetzt. Am nächsten Tag kommt der Logistikdientleister um die defekte HDD mitzunehmen.

Relevant aus Datenschutzsicht sind hier ja der Dienstleister und der Hersteller bzw. ein möglicher Servicepartner des Herstellers.
Auf Nachfrage beim Hersteller wurde mir (per e-mail) zugesichert, das alle Partner auf die Einhaltung des BDSG verpflichtet sein und die Daten bei erfolgreicher Reparatur gelöscht würden bzw. die Platte vernichtet wird, wenn eine Reparatur unwirtschaftlich ist.

Dem kann man ja wohl nur Glauben schenken - nehme ich an. Ich habe den E-Mailverkehr archiviert, mehr fällt mir zu dem Thema nicht ein. Hat jemand andere Vorschläge aus eigener Erfahrung/Umsetzung?


Agentur für Arbeit - Arten gespeicherter Sozialdaten

Hallo an alle,

bin neu hier und hoffe auf Nachsicht, wenn ich etwas falsch mache.

Das Problem:

In § 83 SGB X heißt es, der Antragsteller muss die Art der Sozialdaten, für welche Auskunft begehrt wird, näher bezeichnen. Hab ein bissl gegoogelt und eine vage Vorstellung bekommen, was gemeint ist. Anzugeben wären demnach bspw. Daten zum Leistungsbezug, Daten der Arbeitsförderung und hier erschöpft sich auch schon meine Phantasie. Welche Arten von Sozieldaten könnte es bei der BA noch geben?


DENIC und Datenschutz

Wenn es um Datenschutz geht ist DENIC ein immer wiederkehrender Quell des Ärgernisses geworden.
Da scheint Datenschutz nur auf dem Papier wichtig zu sein.

So sind zum Beispiel archivierte whois Daten von Hunderttausenden DE-domain Besitzern
wie folgt abrufbar:

who . is / domain-history / BUND . de
who . is / domain-history / DENIC . de
.
.
who.is / domain-history / BLA-BLA . de
etc.

Es kommt noch dicker:
Der US-amerikanische Betreiber der Seite verlangt $29.95 USD (pro Domain) um die archivierten Daten
zu löschen bzw. unzugänglich zu machen.

Ich habe mich deswegen direkt an DENIC gewendet. Von dort kam allerdings (wie immer)
keine Reaktion auf meine Mail.

Muss ich wirklich 30 dollar (pro domain) bezahlen um meine Daten entfernen zu lassen ?
oder sollte ich mich an die zuständigen Aufsichtsbehörden wenden ?


Auskunft §34 BDSG - Rechercheaufwand

Mich hat die Anfrage eines externen Dienstleisters nach §34 erreicht, der mit uns in keinerlei Geschäftsbeziehung steht, wie ein schneller Datenabgleich gezeigt hat. Unsere Datenbanken verzeichnen keinerlei pbDaten. Allerdings könnten theoretisch in E-Mail-Postfächern Daten gespeichert sein. Ist es notwendig, dies zu prüfen? Wegen der Vielzahl der Mitarbeiter ist es schwierig, jetzt zur Urlaubszeit ist dies innerhalb der gesetzten Frist kaum möglich.

Angenommen, der externe Dienstleister hat einem Kollegen per E-Mail ein Angebot gemacht, das als pb Daten seine Adresse enthält (die im übrigen frei zugänglich auf seiner Website steht). Und angenommen, der Kollege hat diese Mail dann im Anschluss nicht aus seinem Postfacht gelöscht. Ist diese Speicherung der Mail dann bereits ein automatisiertes Verfahren im Sinne des BDSG?

Wie seht ihr das?


mardi 11 août 2015

Speichern von Daten auf einem zentralen Server

Hallo und guten Tag.

Ich erstelle für meinen Dienstherrn Formulare.
Vor der Erstellung der Formulare wird durch einen Datenschutzbeauftragten geprüft, ob die evtl. mit dem Formular zu erhebenden personenbezogenen Daten erforderlich sind. Danach wird dann auch durch ihn geprüft, welcher Schutzwürdigkeit diese Daten unterliegen. Die gliedern sich bei uns in 4 Stufen: 0 - 3. Dabei ist 3 die höchste und bezieht sich u.a. auf Religionszugehörigkeit, Familienstand und Gesundheitsdaten.
Jetzt kommt mein Problem (und das der Formularnutzer): Wenn ein Formular nur ein einziges Feld der Schutzwürdigkeit 3 enthält, dürfen die kompletten Formularinhalte weder (als Datensatz) gespeichert noch per EMail versandt werden. Dabei hätten wir bei der Gestaltung der Formulare die technische Möglichkeit, diesen einzelnen Feldern die Attribute des Speicherns, des Versandwerdens, des Down- oder Uploads zu nehmen. Wir können auch einem solchem Feld das Attribut mitgeben, dass es nur für bestimmte Personen sichtbar ist. Bei der uns aufgezwungenen Arbeitsweise bedeutet dies für einen Formularausfüller, dass er bei einem mehrseitigen (manchmal bis zu 7 Seiten) keine Möglichkeit des Zwischenspeicherns hat.

Da es nun aber durch unsere Software die oben geschilderten Möglichkeiten gibt und diese dann auch konsequent angewendet würden, wäre das Speichern und Senden der Daten dann nicht doch erlaubt? Und wenn ja, wo wäre das schriftlich dokumentiert?

L.G.
Astrid Stürmer


lundi 10 août 2015

Videoüberwachung im Gebäude

Hallo,

bei uns in der Firma werden die Hallentore mit Videokameras überwacht.
Reicht es aus wenn dies beschildert sind, oder muss auch die schriftliche Einwilligung der Mitarbeiter eingeholt werden die ggf von dieser Kamera (zB beim Durchgehen) erfasst werden?

Uli


Kostenlose Plattform , die Homepage

Hallo Zusammen,

ich habe als Kunden ein Maklerunternehmen. Ich habe folgenden Fall vorliegen.

Der Immobilienmakler will auf seiner Homepage, Vermietern die Möglichkeit geben, kostenlos ihre Immobilie zur Vermietung zu veröffentlichen.

Es werden die Mietanfragen dann weitergeleitet an den Vermieter, per Email oder Post.

Benötigt man etwas hinsichtlich des BDSG?
ADV zw. Makler und Vermieter ?

Gruss


Problem "Führbarkeit" und "Zufriedenheit" durch die Geschäftsführung

Hallo Zusammen.
Ich habe seit einiger Zeit relativ massive Probleme mit der Geschäftsleitung, was meine Stellung als DSB angeht.
Ich bin vor 1,5 zum ersten „richtigen“ DSB in einer Softwarefirma (ca. 140 MA) ernannt worden und habe zunächst einmal das Zertifikat „Fachkraft für Datenschutz“ erworben. Die DSB-Tätigkeit war zunächst eine Vollzeitbeschäftigung, es gab bei dem Geschäftsbereich auch durchaus einiges zu tun..! Nach einem Jahr wurde die Stelle ohne dass ich davon im Vorfeld informiert wurde, auf 40% gekürzt. Ich erfuhr 5 Tage vor dem Stichtag durch Zufall von meiner „Rückversetzung „ in die alte Tätigkeit (zu 60%) und dem Umzug in die alten Räumlichkeiten.
Mit dem (für den nicht-DSB-Teil) verantwortlichen Vorgesetzten vereinbarte ich eine kleine Gehaltserhöhung für die DSB UND die andere (zukünftige) Tätigkeit.

Dann kam mein Jahresgespräch. Dort wurde sehr massiv Kritik an der DSB-Tätigkeit ausgesprochen, ich hätte viel zu wenig „Bemerkbares“ umgesetzt,- ich wäre im Thema Datenschutz nicht „greifbar“ und am schlimmsten, auch gar nicht „führbar“ .
Man sagte mir- was ich für eine Drohung halte- dass ich wohl wenn das so weiterginge, die Position des DSB nicht weiter ausüben könne.
Darüber hinaus wurde mir die vorher vereinbarte Gehaltserhöhung nicht in voller Höhe zugesprochen- ausdrücklich wegen der Kritik an der DSB-Tätigkeit.... Liege ich falsch, oder ist das eine Benachteiligung nach §4? Die Summe war schließlich vereinbart.

Nun musste ich kürzlich auf Wunsch der GL einen Vortrag vor den Mitarbeitern über die von der GL gewünschte Einführung von Vertraulichkeitsstufen der Firmenvorlagen halten. Durch eine schlechte Kommunikation sind dabei einige Vorstellungen der GL nicht korrekt wiedergegeben worden- promt bekomme ich vom Geschäftsführer einen Einlauf mit dem Hinweis, dass mir ja nicht sagen müsse, dass er ja schon beim letzten Jahresgespräch unzufrieden gewesen wäre.

Ich mache im Haus neben dem Datenschutz auch noch die IT Security und den Arbeitsschutz und überlege, diese Bereiche schonmal abzugeben, um mich in der gekürzten Zeit um mehr DS-Themen kümmern zu können.

Jetzt stehen die neuen Jahresgespräche an und ich habe einfach keine Lust, mir wieder nur Kritik anzuhören und mir ggf. wieder mit einer gewollten Beendigung des DS-Themas drohen zu lassen.

Meine konkreten Fragen wären:

-Stellt die Zurücknahme einer Gehaltsvereinbarung mit einem für mich zuständigen leitenden Angestellten (Bereichsleiter) WEGEN Unzufriedenheit bezüglich der Tätigkeit als DSB eine Benachteiligung nach §4 BDSG dar?

-Ist die „Drohung“ der Abbestellung als DSB oder anderer Schritte nicht ebenfalls eine Benachteiligung nach §4, da die perönliche Entwicklung im Unternehmen dadurch mehr als gefährdet ist?

-Ist eine „Führbarkeit“ des DSB nicht ein Widerspruch zur Weisungsfreiheit in Ausübung der Fachkunde auf dem gebiet des Datenschutzes nach §4?

-Wie setze ich, falls ein oder mehrere o.g. Punkte bei §4 Anwendung finden, meine „Rechte“ gegenüber der Geschäftsleitung durch?

Vielleicht gibt es ja hier jemanden, der ebenfalls schon einmal in Konflikt mit seiner Geschäftsleitung geraten ist?


vendredi 7 août 2015

Mitarbeiter - Datenweitergabe nach Unfall - welche Rechtsgrundlage

Hallo,

ist eine Datenweitergabe (Mitarbeiterdaten Name Anschrift) zulässig, wenn ein Spediteur von einem Mitarbeiter beim Abladen verletzt wurde (Palette auf Fuß mit Stapler abgesetzt).
Mit Einwilligung ja, aber wo ist die Rechtgrundlage zur Datenweitergabe, wenn der Spediteur Krankheitskosten gegen den Mitarbeiter machen möchte.

Gruß
DSB_F


Öffentliche Anwesenheitsliste

Ich weiß nicht, ob das Thema hier richtig ist, aber ich versuche es mal.

Folgende Situation:
In einem Verein liegt eine Liste öffentlich aus. In diese Liste muss man sich eintragen, wenn man den Saal zum Training nutzt mit Datum, Uhrzeit (kommen und gehen) Name und Unterschrift. Auch wenn Trainer in diesem Verein Privatstunden geben, müssen diese sich dort eintragen und vermerken, dass es sich um Privatstunden handelt. Grund ist zu überprüfen, wie die Säle genutzt werden und den Trainern die Saalmiete in Rechnung zu stellen.
Auch wenn es sich hier "nur" um Daten und Uhrzeiten handelt, liegt diese öffentlich aus. Alle Clubmitglieder und auch Fremde, die z.B. zu einer Veranstaltung wie einem Workshop in diesen Verein kommen, können diese Liste also lesen. Also auch wieviele Privatstunden ein Trainer gibt etc.

Frage: ist dies in dieser Form überhaupt erlaubt?


jeudi 6 août 2015

Warum endet der Datenschutz nach dem Tod?

Hallo Zusammen!

Für meine Bachelor Thesis muss ich leider begründen, warum der Datenschutz mit dem Tod endet.

Ich habe dieses nun schon sehr oft gelesen, "... der Datenschutz endet mit dem Tod...", aber jedoch habe ich noch kein Gesetz gefunden oder eine Verordnung, mit der ich das auch belegen kann.

Hoffe das Ihr mir da vielleicht weiter helfen könnt, da ich mittlerweile daran verzweifel.

Gruß Hendrik


Betriebsvereinbarung und Datenschutz

Hallo zusammen,

mir fällt auf, dass unsere Betriebsvereinbarungen nicht viel zum Thema Datenschutz enthalten.

Meine Frage:
1.) Muss der DSB die Betriebsvereinbarungen auf Datenschutzkonformität prüfen?
2.) Muss der DSB bei einer abgeschlossen Betriebsvereinbarung die GF drauf hinweisen, dass ggf. noch diverse Punkte zu regeln sind?


Zeiterfassung = Dauerüberwachung?

Moin Moin!

Es geht um eine Kommunalverwaltung. Dort hat die Personalabteilung "ständig" das Programm zur Zeiterfassung geöffnet, sodass die Kollegin dort immer sieht, wer in diesem Moment Anwesend, in der Pause, im Urlaub etc. ist. Einer Person gefällt das nicht, da sich diese Person dadurch permanent überwacht fühlt. Die Kollegin der Personalabteilung muss aber das Programm immer geöffnet haben, da häufig Nachfragen kommen (Habe ich mich gestern richtig gebucht?, Ich habe vergessen mich einzuloggen...) und es dann lange dauern würde, das Programm neu zu starten. Sie ist der Meinung, dass sie den Kollegen hilft, wenn sie bescheid sagt "Du bist noch immer in der Pause."

Darf die Personalabteilung die Übersicht (Anwesend, Pause, Krank, Urlaub...) "standardmäßig" geöffnet haben? Das Programm selber braucht sie (scheinbar) zum Arbeiten, aber sollte nicht versucht werden, die Übersicht "abzuschalten"? Gibt es vlt. sogar Urteile? Ich finde nur welche zur Videoüberwachung, oder zu elektronischen Türöffnern. Das haben wir aber alles nicht.

Gruß

MoinMoin


ADV zwischen mehreren verantwortlichen Stellen

Hallo,

bei folgendem (realen) Beispiel stellen sich mir die Fragen, ob es sich 1.) um mehrere verantwortlichen Stellen handelt und wenn ja ob dann 2.) zwischen diesen Stellen ein ADV Vertrag geschlossen werden muss und wenn dies der Fall ist wer dann 3.) Auftraggeber und wer Auftragnehmer ist oder ob es sich hier doch eher um Funktionsübertragung handelt und damit kein ADV Vertrag erforderlich ist.

Firma A erhebt pbD von Betroffenen und speichert und nutzt diese in eigenen Systemen. Es handelt sich dabei u.a. um Angaben zur Person, zu wirtschaftlichen Verhältnissen, zu Geldanlagezielen, Kontodaten etc. Diese Daten werden an Firma B (ein Finanzinstitut) übermittelt, welches die Daten in eigenen Systemen speichert und verarbeitet. Die Verarbeitung erfolgt nach Weisungen des Betroffenen an Firma A, die diese Weisungen an Firma B weiterleitet (z.B. Kauf / Verkauf von Wertpapieren). Firma B hat keinen direkten Kontakt zum Betroffenenen, sämtliche Kommunikation mit dem Betroffenen wird nur über Firma A abgewickelt. Firma B verarbeitet / nutzt die Daten nicht zu eigenen Zwecken. Allerdings werden von Firma B auch selbstätig Verarbeitungen / Übermittlungen aufgrund gesetzlicher Vorschriften (z.B. KWG) vorgenommen. Die bei Firma B geführten Konten/Depots lauten auf den Namen des Betroffenen und nicht auf Firma A. Insofern besteht auch eine vertragliche Beziehung zwischen Firma B und dem Betroffenen.

Meine Einschätzung wäre:
1.) Firma A und B sind beide (gemeinsam?) verantwortliche Stelle.
2.) ADV erforderlich zwischen Firma A und Firma B
3.) Firma ist AG und Firma B ist AN

Freue mich auf konstruktive Antworten, vielen Dank!


mercredi 5 août 2015

Monitoring und Datenschutz

Hallo zusammen,

weiß jemand auf welcher Rechtslage man bei Callcentern Telefonate mithören kann und welche Voraussetzung muss dafür vertragsmäßig geschaffen werden?

Danke schon mal!


Verfahrensverzeichnis für Verfahren von Outsourcing-Partnern

Guten Tag,

ich habe von einem Geschäftspartner die Beschreibung einer Schnittstelle (EBICS) erhalten, die er für uns betreibt (Auslagerung nach MaRisk AT 9).

Muss ich für diese Schnittstelle, die pbD in Form von Zahlungsverkehrsdaten verarbeitet, ein Verfahrensverzeichnis erstellen?

Über eine Rückantwort würde ich mich freuen.

Viele Grüße


mardi 4 août 2015

Windows 10

Das Privacy Handbuch zu diesem Thema, http://ift.tt/1MLRxcH (nach dem Topic suchen):

Zitat:

In der neuen Privacy Policy von Microsoft (Juli 2015) steht außerdem:

We will access, disclose and preserve personal data, including your content (such as the content of your emails, other private communications or files in private folders), when we have a good faith belief that doing so is necessary ...

Zu den privaten Daten, die Microsoft sammelt gehören:
Recovery Keys zu Bitlocker automatisch in "der" Cloud wäre schon sehr praktisch, ja.


lundi 3 août 2015

Löschung nach §35 BDSG bei E-Mail Archivierung

Hallo,

bei uns ist die private Nutzung von Internet und E-Mail per IT Richtlinie untersagt, weiterhin verwenden wir eine E-Mail Archivierung, welche automatisch nach 60 Tagen E-Mail archiviert, oder wenn der Benutzer aktiv selber archiviert.

Meine Frage ist ob ein Betroffener (Mitarbeiter) eine Löschung nach §35 BDSG "erzwingen" könnte, wenn die E-Mail sensible Inhalte beinhaltet und keine weitere Aufbewahrungsfrist besteht?


Patienten nach Krankenhausaufenthalt kontaktieren

Hallo zusammen,

würde ich vom Datenschutz her irgendeine unerlaubte Handlung durchführen, wenn ich (Krankenpfleger) einen Patienten nach seinem Krankenhausaufenthalt per E-Mail kontaktiere? Die E-Mail Adresse ist im Internet auf der Homepage seiner Firma einzusehen.

Mit freundlichen Grüßen
andiolliulf


Müssen wir uns jetzt auch anzeigen ...

... oder hat sich das von selbst erledigt?

Nehmen wir an, hinter der Strafanzeige gegen netzpolitik.org stand neben dem Einschüchterungsversuch von Journalisten das strategische Ziel, umfangreiche TK-Überwachungsmaßnahmen einleiten zu können - wie es im Artikel "A Most Wanted Man - oder doch nicht?" vermutet wird. Ich zumindest gehe davon aus, die sog. elektronische Waffenkammer wurde geöffnet. Nun muß ich damit rechnen, daß durch die Verlinkungen zu netzpolitik.org hier im Forum auch das Forum selbst, samt Kommunikationsdaten der Mitglieder, als Beifang in den Datenbanken der Behörden (welcher eigentlich?) wiederzufinden sein wird? Ähnlich der Datei "PMK-Links-Z" (Link zu netzpolitik.org)? Schließlich ist dieses Forum durch die Unabhängigkeit der BfDI auch dem Innenministerium angegliedert. Und wenn der Verfassungsschutz Landesverräter als legitimes Aufklärungsziel ausgemacht hat und zudem an der Massendatenauswertung von Internetinhalten arbeitet, ist das wohl eine naheliegende Schlußfolgerung. Liege ich richtig mit meiner Annahme, daß die BfDI keine Auskunft darüber erhalten wird, ob ihr Forum überwacht wird?

Großartig, liebe Verfassungs- und sonstige Schützer. Es war nett, mit Ihnen über vermeintliche Grundrechte geplaudert zu haben! Wir sind im vielgepriesenen Rechtsstaat soweit, daß am Telefon eines redlichen Bürgers der ebenso rechtschaffene Gegenüber sagt: "Red' nicht am Telefon darüber." Programm "Mut zur Freiheit", ja?.


dimanche 2 août 2015

Öffentliche Verkündung von Dienstjubiläum

Hallo zusammen,

gehört das Eintrittsdatum in eine Firma auch zum Datenschutz? Oder muss ein Arbeitnehmer es akzeptieren, wenn der Chef öffentlich vor allen Kollegen die ‚Jubilare‘ des Jahres mit Eintrittsdatum nennt (Herr Meier ist in diesem Jahr seit 15 Jahren bei uns und Herr Schulze seit 25 Jahren). Gerade bei Arbeitnehmern die schon sehr lange dabei sind, passt ja auch die Argumentation, dass dies ohnehin allgemein bekannt ist nicht, denn die zahlreichen Kollegen die erst viel später angefangen haben wissen jan nicht wie lange Herr Meier oder Herr Schulze schon im Unternehmen sind.

Danke & Grüße
Stevie


samedi 1 août 2015

Datenschutz in Nerofix.com aus Saarbrücken

Das Unabhängige Datenschutzzentrum Saarland fühlte sich nicht zuständig und verwies mich an
Besonders viele „Trolle“ gibt es in Diskussionsforen oder?
Das Problem wurzelt in den in besonderer Weise eingeschränkten Kommunikationsmöglichkeiten im Netz.
Online betreibt man eine Form der Kommunikation, die weitgehend auf den Austausch schriftlicher Informationen reduziert ist.
Dies bedeutet...die Reaktionen meines Gegenübers kommen zeitlich derart verzögert, dass ich, anders als im persönlichen Gespräch, meine Aussage nicht auf dessen Verhalten abstimmen kann. Informationen fehlen in der virtuellen Kommunikation, die sich nicht nur auf die Schriftsprache beschränkt.

Doch wie sieht es dann mit der Meinungsfreiheit aus?
Diese räumt niemandem ein Recht darauf ein, gehört zu werden oder vor Kritik geschützt zu sein, wie ein Blogger treffend festgestellt hatte. Forenadministratoren haben somit nicht nur moralisch, sondern auch juristisch das Recht, Beiträge zu löschen oder einzelne auszuschließen, wenn diese der Diskussionskultur schaden!

Was aber wenn ein Forenadministrator ganz nach dem Motto verfährt... "Wir schätzen die Menschen, die frisch und offen ihre Meinung sagen - vorausgesetzt, sie meinen dasselbe wie wir" - Mark Twain
Und danach seine Kenntnisse nutz um dem angeblichen Troll erhebliche Schwierigkeiten mit den hinterlegten Daten zu machen?

Noch am 11.05.2015 wurde von Herrn Mrosek die zu lesende "Pressemitteilung" im Internet verbreitet. Keine zwei Monate ist die AGB dahin geändert das User freiwillig Cookie Daten und Klicks an das Netswerk "spenden".
Versprechen der Werbefreiheit also gebrochen!
Unlauterer Wettbeweb, ist es zumindest, weil Herr Mrosek die anderen Netzwerke sehr schlecht macht, um so User anzulocken.

Wo es an greifbarer Bedrohung hapert, da half dieser Betreiber der Wehrbereitschaft mit verbaler Kraftmeierei auf die Sprünge. Gefahr macht solidarisch und vertieft das Gemeinschaftserlebnis.
Panikmache als Mittel zum Zweck der moralischen Aufrüstung.
(alle sind böse die eine andere Meinung äußern, haben von FB Infiltration zum Auftrag)
Zitat aus dem Blog auf den ich dreimal Antwort gegeben hatte:

"Zudem sind die Kosten und Ausgaben für Rechtswesen in den letzten Monaten rasant angestiegen. Mitbewerber wie Facebook, Google und ein paar weitere amerikanische Unternehmen geben sich alle Mühe, dem Erfolg von Nerofix durch unlauteren Wettbewerb zu schaden und zu blockieren. Es tobt in Deutschland ein riesen Monopol-Kampf und Nerofix scheint hier wohl nun in "deren" Sphäre eingedrungen zu sein.
Irgendwie ist Nerofix zu sozial, zu solidarisch, ... "voll der Kommunismus".
Soziale Netzwerke bedeuten viel Kapital und Macht durch Daten, dies sollte aus Sicht der Mitbewerber unter keinen Umständen durch Nerofix gefährdet werden.
Aktuell wird unser Netzwerk daher von außenstehender, höchster Kapitalgier, versucht, sprichwörtlich zu vernichten. Nerofix soll nach deren widerrechtlichem Bestreben vollends aus dem Internet verschwinden und der Betrieb für alle Zeiten eingestellt werden. Es schießt aktuell aus allen Rohren unter Missachtung sämtlicher in Deutschland geltender Wirtschafts-, Datenschutz- und Wettbewerbs-Gesetze"

Solche Worte dürfen doch nachdenklich machen oder?

Nach massiver Spendenaufrufe schrieb ich einen Beitrag zu dem Blog, in dem ich einen geringen Beitrag von 0,5 -1€ pro Monat vorschlug...
Sofort wurde ich atackiert, weil ich Zwangsabgaben einführen wollte...dies war noch die schönste Antwort auf mein Schreiben und machte mich doch nachdenklich.
Daraufhin schaute ich mich mal um was den alles so zu dem Netzwerk im Internet zu lesen ist.
Als ich dahinter kam und nur den Ansatz machte darüber im Blog zu diskutieren wurde ich aus dem Netzwerk gelöscht.

Die Mail Adresse die ich zur Anmeldung in das Netzwerk benutzte wurde gehackt, wie auch die IP so dass ich mit meinem Mobilgerät nicht mehr auf meine Mails zugreifen konnte.
Mit den gleichen Anmededaten meldete ich mich bei einem anderen Netzwerk an, über das dort kommuniziert wurde. Dort, in kenn-dich-doch.de wurde ich gleich dreimal gelöscht, ohne Grund. Als ich beim 4.mal eine andere Mail Adresse benutzte wurde ich sofort gesperrt, mit der Aufforderung mich mit der Administration in Verbindung zu setzen. Den Schriftwechsel habe ich angehängt.

Herr Mrosek betreibt unter gleicher IP insgesamt 5 Domains wobei sogar ein Spieleserver unter der Adresse aus dem Netzwerkimpressum betrieben wird. Im Netzwerk gibt er alle Klicks so an als, wäre das Netzwerk das aktivste in ganz Deutschland. Darum musste auch jetzt auf die Werbefreiheit verzichtet werden, um Einnahmen zu generieren, wegen der Kosten die die User verursachen.
Die Firma aus dem Impressum "Nerofix Network" gibt es in der Datenbank der Seite Deutsches Patent- und Markenamt nicht.
offiziell und für jeden Menschen zugänglich...
http://ift.tt/1iZWumg
Die Firma S4-Group Ltd., London, GB deren nicht eingetragener Name "nerofix" wird als Betreiber der Seite nerofix.com genannt.
In einer Von Herrn Mrosek selbst publizierten "Pressemitteilung" unter anderen,
http://ift.tt/1MEDSFe
Wird von einer ukrainischen Firma geschrieben.(deren Netzwerk Aktivität mit erheblichen minus zu verzeichnen ist, laut webinfo.reformal.ru)

Herr Mrosek betreibt also bewusst ein, wie er es nennt, ein deutsches Netzwerk, wo er im Impressum des Netzwerk falsche Angaben macht.
Arglistige Täuschung kann man es schon fast nennen...5 Domians betreiben und die Kosten den Usern des Netzwerk aufschwatzen, dann als Spende abkassieren.
Was mit den Daten auf dem Server passiert möchte ich mir beim besten Willen erst gar nicht vorstellen.
Wenn das kein Fall für den Datenschutzbeauftragten ist?
Gibt es für seriöse deutsche Netzwerke keine Zertifikate, damit man sich um Betrüger keine großen Gedanken machen muss?
Mit freundlichen Grüßen
Paul Grünebach
Als Anhang 1. können sie die Korrespondenz mit dem Netzwerk kenn-dich-doch.de lesen.
Als Anhang 2. lesen sie den Blog auf dem ich auf Äußerungen des Herrn Mrosek geantwortet hatte und der nach meinem letzten Beitrag auch komplett verschwunden ist...nur habe ich den größten Teil abgespeichert, bis auf die Kommentare eines anderen Users die aber unverzüglich gelöscht wurden.

Anhang 1.
----- Ursprüngliche Nachricht -----
Von:
kenn-dich-doch@maills.de

Gesendet:
Thu, 09 Jul 2015 20:40:54 +0200
Betreff:
Abmeldung meines Profil hervorgerufen von Herrn Mrosek


Hallo Paul,

Ihr Profil wurde anscheinend fälschlich von unseren Mitarbeitern gelöscht.

Wir sind darüber vorab nicht informiert worden.

Nerofix ist uns bekannt und wir sind ebenfalls nicht mit den Machenschaften dieser Plattform konform. Durch diese Plattform sind uns selbst viele
Unannehmichkeiten entstanden. Durch aktuelle Ereignisse sahen sich unsere Mitarbeiter zu diesem Schritt gezwungen

Wir bitten Sie sehr die anscheinend nicht angebrachte Vorgehensweise zu entschuldigen und würden uns natürlich über eine Neuanmeldung von Ihnen freuen.

Mit freundlichen Grüßen

Support

http://ift.tt/1fUvRye

----- Ursprüngliche Nachricht -----
An:
kenn-dich-doch@maills.de
Cc:
home@kenn-dich-doch.de
Gesendet:
Sat, 11 Jul 2015 22:13:24 +0200
Betreff:
Re: Abmeldung meines Profil hervorgerufen von Herrn Mrosek

Sehr geehrte Damen und Herren,
Sie werden ja wohl nicht annehmen dass diese Erklärung Plausibilität erkennen lässt.

Gibt es bei Ihnen keine Regeln nach dem ein User gelöscht wird? Drei mal ohne Angabe eines Grund?
Beim 4. mal eine Sperre mit Aufforderung mich mit der Administration in Verbindung zu setzten, was ich unmittelbar gemacht habe... und zur Erklärung dann dieses Schreiben von Ihnen!?

In nerofix wurde über Ihr kdd kommuniziert, (ich kannte kdd bisher nicht) und als mich Herr Mrosek nach Gutsherrenart
gelöscht hatte habe ich zum Test ob das kein Ableger ist, die selben Anmeldedaten bei Ihnen benutzt.
Und prompt wurde mir gleich dreimal bestätigt, da stimmt doch auch was nicht.
Einen der auch mit Bild im Blog zur Werbung zu sehen war, ein "Nachbeter" des Herrn Mrosek, ist mir in Ihrem kdd auch gleich aufgefallen.

Bei dem Mitarbeiter der mich gleich dreimal löschte und vergaß auch die Sterne auf der Bank zu löschen,( ich füllte nach jedem Löschvorgang das Konto erneut auf und war zum Schluss bei 451 bei 6%) von Ihnen scheint wohl auch die Tendenz nicht ganz 100% für kdd zu arbeiten sondern auch noch Order aus dem Hause Mrosek entgegen zu nehmen.

Meine Vermutung bestätigte sich ja von selbst, dass Herr Mrosek auch in kdd die Fäden zieht, wie auch in nerofix.

Es scheint, weil Antiwerbung ist ja auch Werbung, besonders im Sommerloch, jemand versucht durch solche Vorgehensweise in die Medien zu kommen sowohl nerofix als auch kdd.

Bei der lapidaren Erklärung die ich von Ihnen erhalten habe, zu dreimaliger Löschung und und Sperrung des 4. Profil
ohne aber auch nur die kleinste Verfehlung meinerseits, ist der Rückschluss der Verbandelung beider Netzwerke mit Herrn Mrosek nicht so einfach zu entkräften.

Sie haben durch dieses Schreiben eher noch Bestätigt, was ich schon vermutet hatte.
Meine Kontaktaufnahme nach drei Löschungen plus der 4. Sperre über Ihr offizielles Kontaktformular wurde nicht als eingegangen bestätigt, erhielt keine Fallnr.
In Ihrer Rückantwort gibt es wohlweislich keinen Hinweis auf den Verfasser dieser Erklärung, daher gibt es auch keinen der verantwortlich oder Ansprechpartner ist.
Wo bitte bleibt die ernstzunehmende Glaubwürdigkeit?

MfG

p.s.
der Blog in dem ich den Fall schilderte wird wohl noch um diese äußerst merkwürdige Sache vervollständigt werden müssen.
http://m.freie-pressemitteilungen.de...cle&sid=172039
NACH DIESEM SCHREIBEN WAR DER GENANNTE BLOG GELÖSCHT!

Anhang 2.
Dieser Artikel wurde nach meinem Kommentar vom 13.07.2015 gelöscht wer denkt es gibt Datenschutz der irrt...
Angehängte Dateien