Category

Startseite

ISA VDA

By | Allgemein, Startseite

Um den Stand der Umsetzung der Cyber Security in Unternehmen zu überprüfen ist der Fragenkatalog des VDA (Verband der Automobilindustrie) ein sehr guter Leitfaden.

Der ISA-Katalog (Information Security Assessment) ist in der gleichen Logik aufgebaut wie die meisten „Werkzeuge“ des VDA. Es handelt sich um einen Excel-Fragenkatalog der direkt die Auswertung beinhaltet. Der Ausfüllende erhält sofort ein Bild seines Status.

Zugrunde liegt das „Reifegrad-Model“ des VDA. Interessant für alle Unternehmen ist, dass hier davon ausgegangen wird, Stufe 1 bedeutet: der realisierte Prozess erfüllt seinen Zweck.

In komplexeren Projekten kann man diesen Fragenkatalog sehr gut zu einer ganzheitlichen Analyse einsetzen. Problem sind nur die rechtlichen Komponenten der DSGVO. Hier sind zusätzliche Fragen notwendig.

DSGVO – Bilder bei Veranstaltungen

By | Allgemein, Startseite

Hier ein Auszug aus einer Stellungnahme zur Verwendung von Bildern, die im Rahmen von Kundenveranstaltungen gemacht wurden. Die Veranstaltung wurde durchgeführt, das Hochglanzprospekt wurde bereits gedruckt und uns dann zur Beurteilung vorgelegt.

„Es wird darauf hingewiesen, dass es den Verwendern obliegt, die zivilrechtliche Bewertung dieser Information vorzunehmen. Insbesondere ist durch die Keil GmbH keine rechtliche Prüfung auf Vollständigkeit vorgenommen worden. Bitte haben Sie Verständnis dafür, dass die Keil GmbH keinerlei Haftung für etwaige Fehler übernimmt.“

Neben dem Urheberecht für Bilder (Urheberechtsgesetz (UrhG)), das in Deutschland den Umgang mit und die Verwendung von geistigem Eigentum und geschaffenen Werken) regelt und somit die Person des Schöpfers schützt, klärt das Kunsturheberrechtsgesetz (KunstUrhG/KUG) das so genannte Recht am eigenen Bild. Dieses stellt den Schutz der abgebildeten Personen dar. Wenn bei Fotos der Betrachter den Namen des Abgebildeten grundsätzlich zuordnen könnte, reicht dies für die Identifizierbarkeit aus, so dass es sich um personenbezogene Daten im Sinne er DSGVO handelt und diese damit einschlägig ist.

Nicht abschließend geklärt ist, ob denn nun die spezialgesetzlichen Regelungen (KUG) der DSGVO vorgehen. So gesehen wird man bei der „Veranstaltungsfotografie“ mit verschieden Problemen konfrontiert, die man in dieser Zusammenwirkung nur selten in anderen Bereichen findet.

Nachfolgend wird erläutert, was bei einer „Veranstaltungsfotografie“ grundsätzlich zu beachten ist und im Anschluss daran Ihre konkrete Situation betrachtet:

  1. Grundsätzlich sind zwei Rechtskreise zu betrachten: Das Anfertigen der Fotos und die Verbreitung.
  2. Das Kunsturhebergesetz (KUG) hilft im Hinblick auf das Anfertigen von Fotos nicht weiter, da es eine Person nicht davor schützt, fotografiert oder gefilmt zu werden (zuletzt bestätigt durch OLG Dresden, Urteil vom 10.07.2018, Az. 4 U 381/18) das heißt konkret, die Aufnahme einer Fotografie fällt seit Mai 2018 unter die DSGVO.

Bitte beachten Sie, dass die nachfolgenden Ausführungen zur DSGVO ausschließlich für die „Veranstaltungsfotografie“ gelten – die DSGVO ist nicht einschlägig beim Haushaltsprivileg, bei der Herstellung von analogen Fotos und bei der Presse (Medienprivileg – aber nur für die Herstellung nicht Verbreitung).

1.1 Die Zulässigkeit der Fotoerstellung richtet sich daher allein nach Art. 6 DSGVO. Danach sind Bildaufnahmen von Personen grundsätzlich verboten, wenn sie nicht auf eine Einwilligung oder auf eine andere Rechtfertigung gestützt werden können.

In Betracht käme zum einen die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten nach das Art. 6 Abs. 1 Satz 1 lit f) DSGVO. Zu beachten ist aber der Schutz der Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person. Diese dürfen nicht überwiegen, insbesondere dann nicht, wenn es sich bei der betroffenen Person um ein Kind handelt.

Maßgebliches Kriterium sind hier die „vernünftigen Erwartungen des Betroffenen“, d.h. der fotografierten Person. In der Praxis bedeutet das, ob die abgelichtete Person damit rechnete oder damit rechnen musste, fotografiert zu werden.

Bei Firmenfeiern und Veranstaltungen kann man sich auch dergestalt absichern, indem man darauf achtet, dass die abgebildeten Personen bewusst wahrnehmen, dass sie fotografiert werden (wenn jemand in die Kamera lächelt, zeigt er sich zumindest damit einverstanden, in dem Moment abgelichtet zu werden).

Zum anderen kommt die Verarbeitung auf Grund einer Einwilligung in Betracht (Art. 6 Abs. 1 Satz 1 lit a) DSGVO).

Nach der DSGVO ist keine schriftliche Einwilligung mehr nötig. Auch konkludente Einwilligungen, also durch schlüssiges Verhalten wie z.B. Posieren oder Lächeln in die Kamera sind wirksam – allerdings liegt die Beweislast für das Bestehen einer Einwilligung beim Verantwortlichen.

Vorsicht bei Minderjährigen: Soll ein Kind fotografiert werden, das jünger als 16 Jahre ist, müssen beide Eltern in die Datenverarbeitung (Erstellung des Fotos) einwilligen. Eine Genehmigung der Eltern (= nachträgliche Erlaubnis) reicht nicht aus.

1.2 Darüber hinaus treffen den Verantwortlichen Informationspflichten (Art. 13, 14 DSGVO). Unter anderem muss er angeben,

  • für welchen Zweck die Fotos angefertigt werden
  • ob und ggf. wo (in welchen Medien) eine Veröffentlichung geplant ist und
  • den Ansprechpartner für die Abgebildeten bei Datenschutzfragen, z. B. wenn Abgebildete eine Löschung der sie zeigenden Fotos wünschen.

Die Informationspflichten entfallen, wenn die betroffene Person bereits über die Information verfügt.

Je nach Einzelfall wäre auch denkbar, dass eine Ausnahme von der individuellen Informationspflicht nach Art. 14 Abs. 5 lit. b) DSGVO besteht, z.B. bei unüberschaubar großen Menschenmengen, wo ein Aushang regelmäßig genügen dürfte.

Es empfiehlt sich bereits bei der Planung einer Veranstaltung, bei der Fotos von Gäste erstellt werden, die später beispielsweise auf der eigenen Website und in einer Broschüre veröffentlicht werden sollen, dies in die Einladungen aufzunehmen und zusätzlich durch nicht übersehbare Hinweisschilder bei der Veranstaltung alle Informationen in transparenter, klar verständlicher und leicht zugänglicher Form mitzuteilen (abgestuftes Informationssystem möglich – bspw. wo man die Informationen abrufen/einsehen/erhalten kann).

  1. Aus einem implizierten Einverständnis zum Fotografiert werden lässt sich aber nicht schließen, was später mit diesem Bild gemacht werden darf.

Wenn es um die Veröffentlichung von Fotografien geht, ist, laut einer zuletzt bestätigten Entscheidung des OLG Köln (Urteil vom 08.10.2018, AZ 15 U 110/18), zumindest für Journalisten weiterhin das KUG anwendbar.

Abseits des journalistischen Bereichs bleibt das Verhältnis von DSGVO und KUG umstritten. Unserer Auffassung nach sollte das Kunsturhebergesetz und insbesondere § 23 KUG für die Veröffentlichung von Personenfotografien entweder weiterhin direkt gelten oder alternativ dessen bisherige Wertungen in die Abwägungsentscheidung zu Art. 6 Abs. 1 lit. f) DSGVO einfließen. In diesem Fall wäre die Abgrenzung zwischen DSGVO und KUG im Wesentlichen akademischer Natur (so jetzt auch LG Frankfurt, Urteil vom 13.09.2018, Az. 2-03 O 283/18).

Die Bundesregierung ist der Auffassung, dass für die Veröffentlichung von Fotografien das Kunsturhebergesetz (KUG) weiterhin spezielle Regelungen enthält, die auch unter Geltung der DSGVO unverändert fortbestehen. Es handele sich beim KUG um eine sich auf die Öffnungsklausel des Artikels 85 DSGVO stützende Regelung. Das KUG füge sich als Teil der deutschen Anpassungsgesetzgebung in das System der DSGVO ein, und zwar ohne dass es einer gesetzlichen Regelung zur Fortgeltung des KUG bedürfte. Das Kunsturhebergesetz liefere demnach auch unter der Geltung der DSGVO weiterhin eine nationale Rechtsgrundlage für die Verbreitung und Schaustellung von Personenbildnissen (BT Drucksache, Seite 46 – 48).

Vor diesem Hintergrund ist das abgestufte Schutzsystem der §§ 22, 23 KUG zu betrachten:

Nach § 22 Satz 1 KUG dürfen „Bildnisse dürfen nur mit Einwilligung des Abgebildeten verbreitet oder öffentlich zur Schau gestellt werden.“

  • Für eine Nutzung oder Verbreitung der Bilder bedarf es wieder der ausdrücklichen Einwilligung zum jeweiligen Zweck. Dies gilt auch für Fotos, die ein Mitarbeiter dem Unternehmen freiwillig überlassen hat.
  • Ist der Abgebildete minderjährig, bedarf es zusätzlich der Einwilligung seines gesetzlichen Vertreters
  • Die Zweckbindung darf nicht verletzt werden.

Vom Grundsatz der Einwilligungspflicht gibt es Ausnahmen, die nachfolgend dargestellt werden.

  • Abbildungen gegen Entgelt
  • Ferner werden in § 23 KUG werden Fälle aufgezählt, in denen eine Verbreitung selbst dann erlaubt ist, wenn eine Einwilligung weder ausdrücklich noch nach den Umständen erteilt wurde. Hierbei läuft es stets auf eine Einzelfallbetrachtung hinaus.
  • 23 KUG:

„(1) Ohne die nach § 22 erforderliche Einwilligung dürfen verbreitet und zur Schau gestellt werden:

  1. Bildnisse aus dem Bereiche der Zeitgeschichte;

(…)

  1. Bilder von Versammlungen, Aufzügen und ähnlichen Vorgängen, an denen die dargestellten Personen teilgenommen haben;“

Die Ziffer 1 gestattet es, Bildnisse aus dem Bereich der Zeitgeschichte zu fotografieren. Da der BGH die Schranken nicht allzu hoch gesetzt hat, ist diese Vorschrift weitaus nützlicher, als diese vermuten lässt. Es kommt zwar darauf an, dass das Ereignis, welches fotografiert werden soll, eine Frage des allgemeinen gesellschaftlichen Informationsinteresses ist. Allerdings hat der BGH in einem älteren Urteil (Urteil vom 8.4.2014, AZ VI ZR 197/13) entschieden, dass dies auch bereits einschlägig ist, wenn die Veranstaltung nur von regionaler bzw. lokaler Bedeutung ist. Hingegen ist auch die Art der Veröffentlichung der Aufnahme zu berücksichtigen, die es verbietet, ein im Rahmen einer derartigen Veranstaltung aufgenommenes Bild ohne jeglichen Informationskontext zu verbreiten.

Entgegen dem ersten Blick auf die Ziffer 3, die regelt, dass bei Versammlungen gestattungsfrei fotografiert werden darf, ist diese weniger nützlich, da private Veranstaltungen schlichtweg ausgenommen sind, auch wenn seitens des Veranstalters keine Zugangsbeschränkungen vorgesehen sind. Die Veranstaltung ist dann schlicht privat und nicht öffentlich.

  1. Hinsichtlich Ihrer konkreten Situation ist bereits die Anfertigung der Fotos im Rückblick nicht unproblematisch gewesen.

So reicht das aufgestellte Schild „Bei dieser Veranstaltung sind Fotografen anwesend!“ ggf. für das Kriterium „vernünftigen Erwartungen des Betroffenen, d.h. der fotografierten Person“ aus, so dass deine Argumentation auf der Basis erfolgen könnte, dass die abgelichteten Personen damit rechnen oder damit rechnen mussten, fotografiert zu werden.

Keinesfalls ausreichend ist das Schild aber für die nach der DSGVO und oben dargestellte Verpflichtung, Informationen in transparenter, klar verständlicher und leicht zugänglicher Form zur Verfügung zu stellen.

Keinesfalls ausreichend ist dies ferner hinsichtlich der Abbildung eines Kindes, welches auf einem der Fotos klar zu erkennen ist. Hier wäre unabdingbar die Einwilligung des gesetzlichen Vertreters einzuholen gewesen (beide Sorgeberechtigte).

  • Eine Genehmigung der Eltern (= nachträgliche Erlaubnis/Einwilligung) reicht nicht aus.

Ob Sie darüber hinaus das Erstellen eines Fotobuches und Versenden an Kunden zum Zweck der Werbung/Information ohne ausdrückliche Genehmigung der Betroffenen auf die Argumentation aus § 23 Ziff. 1 KUG stützen wollen, bleibt letztlich Ihnen bzw. dem Verantwortlichen überlassen.

Wir empfehlen Ihnen zur Erstellung und Versendung die entsprechenden Einwilligungen der Betroffenen einzuholen. Wir möchten Sie aber darauf hinweisen, dass auch dies ein gewisses Risiko birgt, denn Betroffene können sich bereits beschweren, dass sie bei der Erstellung nicht umfassend informiert wurden – die Einholung einer sogenannten Genehmigung (nachträgliche Erlaubnis/Einwilligung) ist auch bei Erwachsenen nicht unproblematisch. Die Ausführungen zur rechtlichen Einordnung einer Einwilligung (empfangsbedürftige Willenserklärung als Realakt oder rechtsgeschäftsähnliche Handlung) würden den hier vorliegenden Rahmen jedoch sprengen.

Ferner empfehlen wir Ihnen das Foto mit der Abbildung es Kindes unverzüglich und unwiderruflich zu löschen (es sei denn eine Einwilligung hat vorgelegen).

DSGVO-Auditor

By | Allgemein, Startseite

Um unsere Kunden in Bezug auf das Thema Datenschutz kompetent beraten zu können, haben wir in den letzten Monaten die meisten unserer Berater zum „zertifizierten Datenschutzbeauftragten“ durch den TÜV Rheinland ausbilden lassen.

Um unsere Sicht auf die DSGVO mit anderen Beauftragten abzugleichen, haben zwei aus unserem Team jetzt die Prüfung zum DSGVO-Auditor erfolgreich abgelegt. Dieser Prüfung ging ein viertägiges Seminar beim TÜV Rheinland voraus, in dem sowohl die Inhalte der DSGVO als auch die Auditierung intensiv behandelt wurden. Voraussetzung für diese Prüfung ist die erfolgreiche Ausbildung zum Datenschutzbeauftragten.

Wir erwarten, dass im nächsten Jahr eine Zertifizierung nach der DSGVO angeboten wird. Sowohl in Deutschland als auch in Österreich wird intensiv an einer Zertifizierungsgrundlage gearbeitet.

WhatsApp nutzen – DSGVO-konform

By | Allgemein, Startseite

WhatsApp nutzen – DSGVO-konform

Die DSGVO-konforme Nutzung von Messenger-Diensten (z.B. WhatsApp) ist möglich. Das Video hierzu ist unter https://www.youtube.com/watch?v=mq2mJTRLa-s aufrufbar.

Nicht nur privat, sondern auch im Geschäftsleben haben sich Messenger-Dienste wie beispielsweise WhatsApp als ziemlich praktisch erwiesen: Besonders handwerkliche Betriebe oder Freiberufler nutzen die App gern, um mit Kunden zu kommunizieren oder beispielsweise Bilder vom Baufortschritt an die Kollegen zu schicken.

Aus datenschutzrechtlicher Sicht lauern bei der Nutzung von WhatsApp im Arbeitsalltag gleich mehrere Fallstricke: Zum einen synchronisiert die App bereits bei der Installation das komplette Adressbuch, um zu prüfen, welcher der gespeicherten Kontakte bereits WhatsApp nutzt und schickt diese Daten an Server in den USA. Dabei werden alle Daten übermittelt, also auch von Menschen, die kein WhatsApp nutzen. Nach der DSGVO ist dies als Weitergabe von personenbezogenen Daten ohne Rechtsgrundlage oder Einwilligung zu verstehen und somit ein Verstoß gegen die Verordnung.

Seit April 2016 setzt WhatsApp zwar eine Ende-zu-Ende-Verschlüsselung ein, dennoch ist nicht sicher, ob und in wieweit dadurch die Daten tatsächlich geschützt sind.

Des Weiteren gibt WhatsApp Daten an das Mutter-Unternehmen Facebook weiter. Nach eigenen Angaben trifft dies zwar nicht auf Fotos und Nachrichten zu, dafür aber beispielsweise die Telefonnummer des Nutzers, diverse Geräteinformationen und den Zeitpunkt der Registration und der letzten Nutzung des Dienstes.

Um sich aus der Zwickmühle zwischen „GEHT NICHT“ und „BRAUCHT MAN“ zu befreien ist eine Kombination aus Dokumenten, Anweisungen und IT nötig.

Kern des Vorgehens ist die Aufnahme der Verarbeitung von WhatsApp in das Verarbeitungsverzeichnis, die Ergänzung in den Richtlinien und Vereinbarungen mit den jeweiligen Kontakten.

Ergänzend sind Arbeitsanweisungen für Mitarbeiter notwendig, die den Umgang mit WhatsApp regeln. Hier ist entscheidend, dass die Anweisungen nicht nur erstellt und geschult werden, sondern durch eine strukturierte Kontrolle die langfristige Umsetzung sichergestellt wird. Die Kontrolle kann in interne Audits integriert werden, was den Vorteil einer „sauberen“ Dokumentation hat.

Inhalt der Anweisungen ist die Art der Einstellung an den Geräten, bzw. die Nutzung von ergänzenden Apps. So kann verhindert werden, dass Kontakte Dritter an WhatsApp übermittelt werden.

Da jeder Nutzer, der sich aktiv bei WhatsApp anmeldet, ein Einverständnis der Verarbeitung aktiv abgibt, hat die Kontaktperson dieser Verarbeitung zugestimmt. Dazu gehört auch die Weitergabe seiner Daten z.B. an Facebook, die Art der Verschlüsselung und der Speicherung. In der Zwischenzeit hat sich WhatsApp auch dem Privacy Shield unterworfen und damit die Bedingungen der DSGVO anerkannt.

Wichtige Daten sollten sowieso grundsätzlich nur verschlüsselt übertragen werden. Um Missbrauch zu unterbinden empfiehlt sich hier eine Ende-zu-Ende-Verschlüsselung. Diese kann die Daten sowohl auf dem Weg zwischen den Geräten als auch auf den mobilen Geräten schützen.

Fazit:  Das Problem bei der Nutzung von WhatsApp ist weniger die DSGVO-konforme Nutzung als die Überwachung und dauerhafte Sicherstellung der hierfür notwendigen Voraussetzungen.

Damit das Lächeln zurückkommt

By | Allgemein, Startseite

Damit das Lächeln zurückkommt

Zugunsten der Stiftung „Tapfere Kinder“ fand am 5. Juni 2016 ein Benefiz-Fußballspiel in Rödinghausen, Landkreis Herford, statt. Diese tolle Aktion wurde von uns unterstützt.

Die Stiftung fördert freie Einrichtungen der Jugendarbeit, finanziert Projekte im Rahmen des Kinderschutzes und unterstützt aktive Straßensozialarbeit.

Während Süddeutschland im Regen versank, konnten wir bei strahlendem Sonnenschein das Spiel zwischen den „ambrosia allstars“, trainiert von Uwe Rapolder, und den „Weißen Brasilianern“ unter Trainer Ulf Kirsten verfolgen. Gespielt haben u.a. Simone Laudehr, Mario Basler und Michael Rummenigge. Dabei war auch Rainer Calmund, der Schirmherr der Stiftung „Tapfere Kinder“.

Das Fußballspiel war ein voller Erfolg. Vielen Dank für den tollen Tag.

Ergebnisse und weitere Informationen finden Sie unter www.friendsforfans.de

Rückerstattung der Stromsteuer – Spitzenausgleich nach SpaEfV (2015)

By | Allgemein, Startseite

Rückerstattung der Stromsteuer – Spitzenausgleich nach SpaEfV (2015)

Die Stromkosten sind für die meisten Unternehmen ein nicht gerade kleiner Posten. Für Unternehmen des produzierenden Gewerbes ist es möglich, sich die Stromsteuer erstatten zu lassen. Wenn Sie letztes Jahr einen Antrag gestellt haben, läuft für Sie alles wie gewohnt.

Wahrscheinlich haben Sie letztes Jahr ca. 1.500 € für Ihr Testat bezahlt. Dieses Jahr können wir durch Nachverhandlung mit dem Zertifizierer und eine einfachere Abwicklung die Ausstellung des Testats nach SpaEfV ab 650 € anbieten.

Sollten Sie letztes Jahr keinen Antrag gestellt haben, ist die erste Frage ob Sie zur Metallverarbeitung, Oberflächenbeschichtung oder Stein- und Glasverarbeitung gehören. Dann können ist ein Antrag auf Rückerstattung der gesamten Stromsteuer möglich. Es lohnt sich schon ab ca. 585 € Stromkosten / Monat.

Wenn Sie zum sonstigen produzierenden Gewerbe gehören, empfehlen wir Ihnen unseren Überschlagsrechner.

Die beiliegende Präsentation gibt Ihnen einen Überblick über die Zusammenhänge.

Für Fragen stehen wir Ihnen jederzeit gerne unter 07121-7440060 oder strom@keil-group.de zur Verfügung.

Durch die Nutzung der Seite stimmst du der Verwendung von Cookies zu.

Mehr

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen