Nicht nur die Werbewirtschaft nutzt Tracking-Verfahren, um die Online-Aktivitäten von Nutzenden nachzuverfolgen. Online-Tracking macht weitaus mehr möglich als personalisierte Online-Werbung: einen genauen Blick auf die persönlichen Einstellungen.
Ist Online-Tracking wirklich so schlimm?
Eine Trendstudie des BVDW (Bundesverband Digitale Wirtschaft) untersuchte die Akzeptanz für Werbung im Internet. Demnach sind sich drei Viertel der Befragten (71 Prozent) bewusst, dass Werbung ein unverzichtbares Finanzierungsmittel der digitalen Angebote im Internet ist. Gleichzeitig empfindet mehr als die Hälfte der Befragten (58 Prozent) Werbung als grundsätzlich störend.
Jeder zweite Internetnutzende (52 Prozent) gibt an, Cookies in den eigenen Browser-Einstellungen zu löschen, so eine Umfrage des Digitalverbands Bitkom. Doch so manchem erscheint die Sorge wegen Online-Tracking übertrieben. Immerhin ist dann die Online-Werbung, die angezeigt wird, passender zu den persönlichen Interessen und aktuellen Internetsuchen.
Aber Internetwerbung ist nicht alles, wofür sich die Analysen der Online-Aktivitäten nutzen lassen.
Persönliche Eigenschaften könnten transparent werden
Tatsächlich geht es bei Online-Tracking um mehr als möglichst erfolgversprechende Online-Werbung. So zeigt der Datenschutzbericht „Risiken im Zusammenhang mit dem Tracking- und Targeting-Ökosystem im digitalen Werbemarkt“ der Internationalen Arbeitsgruppe zum Datenschutz in der Technologie weitere Risiken auf, die das Tracking im Internet mit sich bringen kann.
Die Datenschützer berichten, dass sich das Tracking mittlerweile über digitale Werbung hinaus nutzen lässt, etwa um Meinungsbildungsprozesse zu manipulieren. Das ist möglich, weil Online-Tracking es erlaubt, eine Sammlung persönlicher Eigenschaften und Interessen zu einer Person anzulegen. Dies könnte nicht nur die Werbewirtschaft, sondern auch ein Interessenverband oder eine Partei für sich nutzen.
Sammlungen persönlicher Eigenschaften kann man sich selbst ansehen:
- Google Ads Setting (Einstellungen für personalisierte Werbung) beispielsweise verrät Nutzenden mit Google-Konto, was bereits alles über die Person bekannt ist.
- Auch bei Facebook zum Beispiel kann man sich die „Ad Preferences“ (Interessenbasierte Online-Werbung verwalten) ansehen, um dann festzustellen, dass sogar die Nähe zu einer politischen Partei dort hinterlegt sein kann.
Hohe Diskriminierungs- und Manipulationsrisiken
Die Datenschützer warnen vor den häufig übersehenen Risiken durch Online-Tracking: Das vertiefte Wissen über einzelne Nutzerinnen und Nutzer, insbesondere über die emotionale Verfassung, könne genutzt werden, um persönliche Vorurteile und Schwächen zu identifizieren. Es erlaubt Dritten, diese auszunutzen, um individuelles Verhalten zu beeinflussen oder sogar zu kontrollieren.
Der Datenschutzbericht nennt konkrete Beispiele: So beeinflusste Facebook im Jahr 2012 den Newsfeed von 1,9 Millionen seiner Nutzerinnen und Nutzer in den USA, um sie zum Wählen zu bewegen. Facebook behauptet, dass es den Anteil der Wählerinnen und Wähler innerhalb dieser Gruppe um drei Prozentpunkte erhöhen konnte. Die Datenschützer machen klar: Würden Facebook oder andere soziale Netzwerke eine solche Manipulation hypothetisch nur bei Nutzerinnen und Nutzern eines bestimmten politischen Spektrums anwenden, könnte das einen entscheidenden Einfluss auf den Ausgang von Wahlen haben.
Es gibt also sehr gute Gründe, sich über den Schutz vor heimlichem Online-Tracking genau zu informieren! Lesen Sie deshalb genau die Online-Hilfe zu Ihrem Browser, damit Sie alle verfügbaren Einstellungen kennen und einsetzen, die sich gegen ungewolltes Tracking richten.
Wissen Sie, wie Sie sich vor Online-Tracking schützen können? Machen Sie den Test!
Frage: Aktiviert man im Browser die Option „Do Not Track“ (DNT), findet kein Online-Tracking mehr statt. Stimmt das?
- Nein, die Einstellung DNT signalisiert nur den Wunsch der Nutzerin oder des Nutzers, nicht getrackt zu werden.
- Ja, dann wird das Tracking durch den Browser automatisch unterbunden.
Lösung: Die Antwort 1. ist richtig. Tatsächlich übermittelt das DNT-Signal nur einen Wunsch. Aber es ist nicht garantiert, dass sich Werbenetzwerke und andere Tracking-Dienste daran halten. Untersuchungen haben sogar gezeigt, dass das DNT-Signal häufig missachtet wird.
Frage: Lässt man im Browser automatisch alle Cookies am Sitzungsende löschen, kann es kein längerfristiges Online-Tracking geben. Ist das so richtig?
- Ja, denn ohne Cookies gibt es kein Online-Tracking über mehrere Sitzungen hinweg.
- Nein, denn es gibt auch andere Tracking-Verfahren.
Lösung: Die Antwort 2. ist richtig. Selbst wenn Sie gar keine Cookies akzeptieren würden, also alle Cookies im Cookie-Manager des Browsers verbieten, können Sie im Internet getrackt werden. Möglich wird dies durch Cookie-Alternativen wie eindeutige Browser-Kennzeichen (sogenanntes Browser Fingerprinting). Die Entwicklung geht sogar weg von Tracking-Cookies hin zum sogenannten Cookieless Tracking. Es nutzt nur Cookie-Alternativen, die sich nicht über den Cookie-Manager im Browser steuern lassen.
Mehr lesenRisikoanalysen vielfacher Art gehören zum Alltag in Unternehmen. Die Datenschutz-Folgenabschätzung (DSFA) ist ein spezieller Anwendungsfall der Risikoanalyse. Ein Thema nur für Spezialisten? Keineswegs!
„TOMs“ sollen Schaden vermeiden
Daten dürfen weder versehentlich gelöscht werden, noch dürfen sie in falsche Hände geraten. Aber wie lässt sich das sicherstellen? Technische Maßnahmen, etwa die Verschlüsselung von Daten, können ein wichtiger Baustein sein. Ähnliches gilt für organisatorische Maßnahmen wie etwa sichere Türschlösser. Zusammenfassend spricht man in der Praxis oft von „TOMs“, also den technischen und organisatorischen Maßnahmen.
Eine Risikoanalyse steht am Anfang
TOMs kosten meistens Geld, manchmal sogar viel Geld. Schon deshalb gilt der Grundsatz: So viel wie nötig davon, aber nicht unnötig viel! Was nach den konkreten Umständen erforderlich ist, ergibt sich aus einer Risikoanalyse. Unter der Bezeichnung „Datenschutz-Folgenabschätzung“ ist sie in der DSGVO vorgeschrieben. Über kurz oder lang wird jeder, der Daten verarbeitet, damit konfrontiert.
Auch scheinbar harmlose Daten können brisant sein
Häufig hört man in Unternehmen Aussagen wie: „Jedenfalls unsere Abteilung hat nur mit harmlosen Daten zu tun. Außer Adressen von Kunden und Angaben zu den Bestellungen dieser Kunden haben wir nichts.“ Eine Risikoanalyse ist auch dann nicht entbehrlich. Beispielsweise sind Kundenadressen manchmal Adressen von gefährdeten Personen. Das kommt sicher nicht häufig vor. Aber wenn doch, können zusätzliche Sicherungsmaßnahmen notwendig sein.
Die Mitarbeit aller im Unternehmen ist unentbehrlich
Niemand im Unternehmen sollte genervt sein, wenn ihm Datenschutzverantwortliche scheinbar banale Fragen stellen. Nur wer selbst mit den Daten umgeht, weiß im Detail, welche Art von Daten das sind und wo ein Gefahrenpotenzial für den Datenschutz stecken kann. Das Nachdenken darüber lässt sich nicht auf andere „abschieben“.
Manche Daten sind von Haus aus heikel
Manchmal ergibt sich das Risiko schon aus der Art der Daten. Typisch hierfür sind medizinische Daten. Sie sind ihrem Wesen nach vertraulich. Deshalb sind beispielsweise Daten beim Betriebsarzt immer besonders schutzwürdig. Ein PC mit solchen Daten muss deshalb speziell abgesichert werden.
Scheinbar banale Vorgänge können brisant sein
Nicht immer sind die Risiken so offensichtlich. Ein Beispiel dafür ist die Einbindung von besonderen Schriftarten auf einer Webseite. Das geschieht häufig über den Zugriff auf Dienste wie Google Fonts. Ein völlig banaler Vorgang? Leider nein, denn wenn jemand auf die Webseite zugreift, übermittelt Google Fonts Daten von ihm an Google. Google ist in den USA ansässig. Dies zieht besondere rechtliche Probleme nach sich. Es hat also gute Gründe, wenn im Rahmen einer DSFA auch Fragen nach solchen Abläufen gestellt werden.
Am Anfang steht die Frage nach den Daten
Jede Risikoanalyse läuft nach einem bestimmten Raster ab. Das ist auch bei der DSFA so. Am Anfang steht die Frage, welche personenbezogenen Daten verarbeitet werden. Normalerweise sollte sich dies schon aus dem ohnehin vorhandenen Verzeichnis der Verarbeitungstätigkeiten ergeben. Die Angaben, die dort enthalten sind, sollten allerdings bei dieser Gelegenheit überprüft werden.
Es folgt die Ermittlung des Schutzbedarfs
Personenbezogene Daten können unterschiedlich schutzbedürftig sein. Deshalb ist eine Einstufung der Daten anhand eines Rasters aus drei Kategorien üblich. Sie reichen vom geringen Schutzbedarf (etwa bei üblichen Adressdaten) über mittleren Schutzbedarf (etwa bei Angaben zum Personenstand) bis hin zu hohem Schutzbedarf (etwa bei medizinischen Daten).
Die Folgen etwaige Pannen sind wichtig
An diese Einstufung schließt sich die Frage an, welche Folgen etwaige Daten-Pannen haben können. Diese Frage ist deshalb wichtig, weil Pannen Schadensersatzforderungen, Geldbußen und andere Folgen für das Unternehmen nach sich ziehen können. Man sollte deshalb nicht voreilig davon ausgehen, dass „ohnehin im Normalfall nichts passiert“.
Die DSFA bildet eine Handlungsgrundlage
Ergebnis einer DSFA ist ein umfangreiches „Risikopapier“. Es bildet unter anderem die Grundlage dafür, welche Schutzmaßnahmen als notwendig anzusehen sind. Nur selten führt eine DSFA dazu, dass bestimmte Daten überhaupt nicht mehr verarbeitet werden dürfen. Viel häufiger ist es, dass bestimmte Spielregeln ergänzt oder vorhandene Spielregeln in der Praxis endlich umgesetzt werden.
Mehr lesenErkennt der Computer den USB-Stick nicht mehr oder ist gar das Stick-Gehäuse defekt, landet das beliebte Speichermedium schnell im Müll. Doch oftmals sind die Daten auf dem Stick noch lesbar – ein unterschätztes Datenrisiko!
Der Sturz vom Schreibtisch
Manche Berichte von Dienstleistern, die sich auf Datenrettung spezialisiert haben, klingen abenteuerlich, sind aber wahr: „Der Hund hat meinen USB-Stick gefressen! – Ein Hund erlebte eine metallische Überraschung, als er einen USB-Stick mit seinem Lieblingskauspielzeug verwechselte – mit dem Ergebnis, dass der USB-Stick unlesbar wurde“.
Doch es müssen nicht die Haustiere sein, die zu scheinbar defekten USB-Sticks beitragen. Es kann bereits ein Sturz des Speicherstifts vom Schreibtisch auf einen harten Boden reichen, wenn es kein besonders stabiles Modell ist.
Ganz gleich, welche Ursache es hat: Viele kennen das Problem, dass sie einen USB-Stick an den Rechner anstecken und der Rechner das Medium nicht mehr erkennt und anzeigt. Vielleicht hat sogar das Gehäuse einen Sprung. Was tun? Ab in den Müll? Lieber nicht!
Von Datenrettern und Datendieben
Tatsächlich lassen sich viele kaputte USB-Sticks noch auslesen, die Daten darauf retten. Sowohl für Privatpersonen als auch für Unternehmen gibt es Datenrettungslösungen, die die verloren geglaubten Daten in vielen Fällen wieder zum Vorschein bringen. Je nach Problem mit dem Speichermedium nennen Datenretter durchaus Erfolgsraten von 90 Prozent.
Leider können aber nicht nur seriöse Datenretter die Inhalte von defekten USB-Sticks wiederherstellen, das können auch Datendiebe. Ob der USB-Stick einen Elektronikfehler hat, es einen Wasser- oder Brandschaden gab, der Stick abgebrochen ist oder die Firmware des Speicherstifts nicht mehr funktioniert: In vielen Fällen gelangen sowohl Datenretter als auch Datendiebe noch an die Daten.
Datendieben ist kaum etwas zu teuer
Die professionelle Datenrettung ist durchaus kostspielig. Je nach betroffenen Daten aber wird man als Privatperson oder Unternehmen bereit sein, den Service zu beauftragen. Datendiebe jedoch verdienen so viel an gestohlenen Daten, dass sie den Aufwand nicht scheuen, wenn ein spannend erscheinender USB-Stick einer Firma im Müll zu finden ist.
In aller Regel übersteigt der Wert der Daten den Geldbetrag, den die Anschaffung des USB-Sticks gekostet hat, um ein Vielfaches. Deshalb sind auch USB-Sticks mit defektem Gehäuse ein beliebtes Diebesgut.
Auch kaputte Sticks müssen zerstört werden
Sind also die Daten auf einem defekten Stick noch als Kopie oder Backup anderweitig verfügbar und macht somit eine Datenrettung für den Stick keinen Sinn, werfen Sie trotzdem den kaputten USB-Speicherstift nicht in den Müll.
Aus gutem Grund sollten Sie Dokumente und Datenträger mit zu schützenden Daten datenschutzgerecht entsorgen. Im Unternehmen regelt dies meist eine entsprechende Richtlinie. Halten Sie es privat ebenso, dass Sie wichtige Dokumente und Speichermedien nicht einfach wegwerfen, wenn sie Sie nicht mehr benötigen oder sie kaputt aussehen.
Selbst kaputte Speichermedien müssen noch einer sicheren Entsorgung zugeführt werden, also so zerstört werden, dass selbst Datenretter und damit auch Datendiebe keine Chance mehr haben. Ein schlichter Hammer oder Bohrer hat da schon so manch guten Dienst geleistet …
Mehr lesen
Cyberkriminalität nimmt immer bedrohlichere Ausmaße an. Acht von zehn Personen waren in den vergangenen zwölf Monaten von kriminellen Vorfällen im Netz betroffen, so der Digitalverband Bitkom. Wer sich besser schützen will, muss die Ziele der Internetkriminellen kennen.
Das Internet wird immer häufiger zu Tatmittel und Tatort
Die Polizeiliche Kriminalstatistik 2021, im April 2022 veröffentlicht, zeigt deutlich: Ein Bereich, bei dem seit Jahren kontinuierlich Anstiege zu verzeichnen sind, ist die Cyberkriminalität. Hier wurden im vergangenen Jahr 146.363 Fälle erfasst. Das ist eine Zunahme um 12,1 Prozent, wie das Bundeskriminalamt (BKA) mitteilte.
Die Cyberkriminalität betrifft Privatpersonen ebenso wie Unternehmen. In den letzten 12 Monaten hatten 32 Prozent der Unternehmen Schäden durch IT-Sicherheitsvorfälle, wie die eco IT-Sicherheitsumfrage 2022 ergab. Kommt es zu einem IT-Sicherheitsvorfall, dann ist wie in den Vorjahren das Unternehmen meist Opfer einer Ransomware-Attacke (21 Prozent). Erpressungstrojaner sind bei Cyberkriminellen hoch im Kurs. Auf Platz zwei liegt Website-Hacking mit 18 Prozent.
Cyberangriffe sind meistens finanziell motiviert
Während man früher davon ausging, dass viele Online-Attacken deshalb stattfinden, weil die Angreifenden ihr Hacking-Können ausprobieren und zeigen wollen, ist man sich seit einigen Jahren sicher, dass die Motive hinter den Attacken meistens finanzieller Natur sind: Man will Kontobestände räumen, Kryptowährungen stehlen oder führt gegen Bezahlung eine kriminelle Auftragsarbeit aus, einen Spionage-Auftrag oder einen Angriff auf den Wettbewerber des „Kunden“.
Auch wenn es letztlich meistens um Geld geht, sind die Ziele der Internetkriminellen zuerst und insbesondere Daten. Denn Daten sind wertvoll und können etwa Zugang zu Bankkonten verschaffen. Erfolgreiche Cyberangriffe bedeuten deshalb auch, dass der Datenschutz leider nicht ausgereicht hat.
Datenschützer warnen vor Internetkriminalität
„Mangelhafte Datensicherheit offenbart meist auch Schwächen beim Datenschutz“, so der damalige Sächsische Datenschutzbeauftragte Andreas Schurig. „Das ist nicht nur für die betroffenen Unternehmen existenzbedrohend, sondern auch für Menschen, deren Daten in den Besitz von Kriminellen gelangen. Identitätsdiebstahl gehört dabei zu den schlimmsten Folgen. Betroffenen droht ein finanzieller und sozialer Totalschaden“, warnt der Datenschützer.
In Zeiten der fortschreitenden Digitalisierung und der um sich greifenden Cyberkriminalität wird damit der Schutz personenbezogener Daten noch wichtiger. Das spüren auch die Internetnutzerinnen und -nutzer: In den vergangenen zwölf Monaten ist die Angst vor Cyberkriminalität deutlich gestiegen. Aktuell fürchten sich laut Digitalverband Bitkom
- 85 Prozent vor einer illegalen Nutzung persönlicher Daten durch Unternehmen (2020: 79 Prozent) und
- 83 Prozent vor Schadprogrammen (2020: 75 Prozent).
- Eine illegale Nutzung von Passwörtern und Konten befürchten 62 Prozent der Internet-Nutzerinnen und -Nutzer.
Furcht vor Cyberattacken allein schützt nicht
Zweifellos ist es gut, wenn man bei der Nutzung des Internets nicht sorglos ist und sich Gedanken macht, was passieren könnte. Allerdings sollte man sich ganz deutlich machen, auf was es die Internetkriminellen abgesehen haben: auf die personenbezogenen Daten.
Datenschutz ist deshalb auch ein zentraler Schutz vor Internetkriminalität und wird mit der digitalen Transformation nicht etwa zum Hindernis. Datenschutz ist im Gegenteil zwingend erforderlich, um den Cyberkriminellen so viel Gegenwehr wie nur möglich zu bieten.
Wissen Sie, was Cyberkriminelle wollen? Machen Sie den Test!
Frage: Internetkriminelle interessiert das Geld und nicht die Daten. Die Daten will nur die Werbewirtschaft. Stimmt das?
- Nein, die Cyberkriminellen haben finanzielle Motive, aber um an Geld zu kommen, missbrauchen und verkaufen sie Daten.
- Ja, Datenschutz hat nichts mit dem Schutz vor Cyberkriminalität zu tun.
Lösung: Die Antwort 1. ist richtig. Das Hauptziel jeder Cyberattacke sind Daten, und die meisten dieser Daten haben Personenbezug. In 63 Prozent der Unternehmen, in denen zuletzt sensible digitale Daten gestohlen wurden, handelte es sich laut Bitkom um Kommunikationsdaten. Diese Daten aber enthalten in aller Regel personenbezogene Informationen.
Frage: Gegen Internetkriminelle sind wir machtlos. Das Internet ist eben gefährlich. Ist das so richtig?
- Ja, gegen Cyberattacken kann man letztlich nichts machen.
- Nein, wenn man die Daten schützt, kann es zwar zu Cyberangriffen kommen, aber die Angreifenden können keine Daten erbeuten.
Lösung: Die Antwort 2. ist richtig. Es gibt zwar keinen hundertprozentigen Schutz vor Internetkriminellen, man muss davon ausgehen, dass es zu erfolgreichen Cyberangriffen kommt. Doch das Ziel der Angriffe, die Daten, kann man weitaus besser schützen, als dies heute noch geschieht. Sind die Daten zum Beispiel stark verschlüsselt, kann ein Internetkrimineller sie zwar stehlen, aber nichts damit anfangen.
Mehr lesen
Das „Privacy Shield“ war als Rechtsgrundlage für Datenübermittlungen in die USA sehr beliebt. Der Europäische Gerichtshof hat ihn im Juli 2020 für unwirksam erklärt. Eine verbesserte Neufassung soll möglichst bald kommen. Vor Ende des Jahres 2022 sollte man darauf aber lieber nicht hoffen.
Eine Grundsatzeinigung ist gelungen
Die EU und die USA haben eine grundsätzliche Einigung darüber erzielt, wie ein neues Privacy-Shield-Modell aussehen soll. Es soll die rechtlichen Schwächen beheben, an denen der ursprüngliche Privacy Shield beim Europäischen Gerichtshof gescheitert ist. Das haben US-Präsident Biden und die Präsidentin der EU-Kommission, Frau von der Leyen, am 25. März 2022 persönlich gemeinsam verkündet.
EU-Bürger erhalten Rechtsschutz gegen US-Geheimdienste
Wesentliches Kernstück des neuen Modells soll eine Verbesserung des Rechtsschutzes für EU-Bürger gegenüber US-Geheimdiensten sein. Präziser gesagt geht es darum, einen solchen Rechtsschutz erstmals einzuführen. Bisher können sich EU-Bürger gegen Zugriffe auf ihre persönlichen Daten durch US-Geheimdienste nämlich im Normalfall überhaupt nicht gerichtlich wehren.
Dafür ist sogar ein neues Gericht vorgesehen
Das soll sich künftig ändern. Dazu soll in den USA ein neues Gericht auf Bundesebene entstehen, bei dem EU-Bürger Rechtsschutz gegen die US-Geheimdienste beantragen können. Es soll „Data Protection Review Court“ heißen. Zu den Einzelheiten halten sich die Beteiligten noch bedeckt. Sie sollen in den nächsten Monaten ausgearbeitet werden.
Was das genau heißt, bleibt abzuwarten
Wie so oft steckt auch hier der Teufel im Detail. Selbstverständlich werden die Geheimdienste dem Gericht ihre Tätigkeit nur begrenzt darlegen müssen. Und selbstverständlich werden Betroffene nicht alles erfahren können, was sie gern wüssten. Der Rechtsschutz, den dieses Gericht gewährt, wird den in Europa üblichen Rechtsschutz mit Sicherheit nicht eins zu eins kopieren. Aber es wird – anders als bisher – überhaupt Rechtsschutz für EU-Bürger geben.
Die nationale Sicherheit der USA wird wichtig bleiben
Gespannt darf man auf die Maßstäbe sein, nach denen das Gericht entscheiden soll. Bisher heißt es nur allgemein, es solle darüber entscheiden können, ob bestimmte Eingriffe „geeignet und verhältnismäßig“ sind. Diese Formulierung knüpft an Begriffe an, die der Europäische Gerichtshof verwendet. Er hat sinngemäß kritisiert, dass nach dem Recht der USA persönliche Belange einzelner Betroffener zu pauschal gegenüber den Bedürfnissen der nationalen Sicherheit zurückstehen müssen.
Vorgesehen ist eine Adäquanzentscheidung der EU
Die Änderungen im US-Recht sollen den Weg dafür frei machen, dass die Europäische Kommission die Gleichwertigkeit des Datenschutzes in den USA und des Datenschutzes in der EU feststellen kann. Das soll in einer förmlichen „Adäquanzentscheidung“ geschehen. Schon die dafür notwendigen Verfahrensabläufe in den EU-Institutionen werden mehrere Monate in Anspruch nehmen.
Es wird wieder ein Registrierungsverfahren geben
Allerdings können sich Unternehmen nicht „einfach so“ auf die künftige Adäquanzentscheidung berufen. Wie schon beim ursprünglichen Privacy Shield müssen sie sich dazu förmlich registrieren lassen. Dabei müssen sie sich verpflichten, die Vorgaben des Privacy Shield zu beachten. Eine Registrierung ist nur für US-Unternehmen möglich. Registrieren lassen müssen sich also die Geschäftspartner von Unternehmen in der EU, nicht dagegen die Unternehmen in der EU selbst. Aber auch das war schon früher so.
Ist das Glas nun halb voll oder halb leer?
Ein Sprichwort sagt, dass Optimisten und Pessimisten ein- und dasselbe Glas als halb voll bzw. halb leer ansehen. Dies beschreibt die derzeitige Situation rund um den „Privacy Shield II“, wie es manche inoffiziell schon nennen, wohl recht gut:
- Halb leer ist das Glas deshalb, weil die politische Grundsatzeinigung im Augenblick für Datenübermittlungen in die USA noch keine praktischen Auswirkungen hat. Dies wird erst der Fall sein, wenn die Grundsatzeinigung rechtlich umgesetzt ist.
- Andererseits kann man das Glas mit Fug und Recht als halb voll ansehen. Denn dass es überhaupt zu einer politischen Einigung gekommen ist, hat viele überrascht.
Der Weg zum Europäischen Gerichtshof wird sicher wieder beschritten
Wenn die neue Regelung irgendwann gilt, wird sie sehr schnell Gegenstand eines Verfahrens vor dem Europäischen Gerichtshof sein. Dies sehen alle Beobachter so. Man darf gespannt sein, wie der Gerichtshof dann entscheiden wird. Doch zunächst einmal gilt es, den detaillierten Inhalt des verbesserten Privacy Shield abzuwarten.
Mehr lesen
Manche Unternehmen würden das Telefax am liebsten endlich abschaffen. Aber einige wichtige Kundinnen und Kunden scheinen es regelrecht zu lieben. Deshalb bleibt das Telefax einstweilen doch noch. Das bedeutet allerdings, dass man sich auch um den Datenschutz kümmern muss.
Das Telefax hat ein zähes Leben
In manchen Unternehmen ist das Telefax schon länger verschwunden, oft gehört es aber durchaus noch zum Alltag. Dann bildet es eine echte Gefahrenquelle für den Datenschutz. Aus diesem Grund hat der Bayerische Landesbeauftragte für den Datenschutz die Risiken aufgegriffen, die beim Telefax bestehen. Ein zwölfseitiges Papier listet alles auf, was zu beachten ist. Es steht zur Verfügung unter https://www.datenschutz-bayern.de/datenschutzreform2018/AP_Telefax.pdf.
Fehlversendungen sind ein Hauptproblem
Im Mittelpunkt steht das Problem, dass es immer wieder zu Fehlversendungen kommt. Dies zeigt die Auswertung der zahlreichen Meldungen von Datenpannen, die sich damit befassen. Die Ursachen von Fehlversendungen sind oft erschreckend banal. Als typische Beispiele nennt das Papier:
- Eingabe einer falschen Rufnummer, etwa durch Vertippen oder durch die Nutzung einer längst veralteten Rufnummer
- Fehler bei der notwendigen Eingabe einer zusätzlichen Vorwahl vor externen Rufnummern (etwa das Weglassen der „0“, die bei vielen Nebenstellenanlagen vor einer externen Rufnummer gewählt werden muss)
- irrtümliche Versendung eines Schreibens, das für einen ganz anderen Empfänger bestimmt ist
Faxgeräte sind „Praktikanten-Fallen“
Das Risiko von Fehlversendungen multipliziert sich, wenn eine Praktikantin oder ein Praktikant ein Fax verschicken soll. Häufig haben sie ein solches Gerät vorher noch nie gesehen, scheuen sich aber, dies zu sagen. Sogar die Kombination mehrerer Fehler ist dann schnell passiert. Ohne vorherige ausführliche Anleitung sollte man deshalb den Nachwuchs besser gar nicht an ein Faxgerät lassen.
Der Standort des Geräts muss passen
Oft steht das Faxgerät irgendwo, wo gerade noch Platz war. Das gilt vor allem dann, wenn es kaum noch verwendet wird und deshalb irgendwann buchstäblich „an den Rand gerückt“ ist. Das kann erhebliche Probleme nach sich ziehen, wenn eine eingehende Sendung versehentlich oder absichtlich irgendwohin „verschwindet“.
Dokumentation ist Pflicht
Spätestens dann wird klar, dass die Rechenschaftspflicht von Art. 5 Abs. 2 DSGVO auch für den Datenschutz beim Telefax gilt. Diese Rechenschaftspflicht zwingt dazu, die Einhaltung des Datenschutzes stets nachweisen zu können. Es ist deshalb notwendig, dass der Standort jedes einzelnen Faxgeräts nachvollziehbar dokumentiert ist. Diese Dokumentation muss auch Angaben dazu enthalten, wie unbefugte Zugriffe verhindert werden sollen. „Unbefugter Zugriff auf ein ausgedrucktes Fax“ ist ein eigenes Risikoszenario. Mit ihm sollte man sich befassen, bevor es Realität geworden ist.
Klare Vorgaben vermeiden Pannen
Eine Dienstanweisung (so die Bezeichnung im Behördendeutsch) für die Aufstellung und Nutzung von Faxgeräten ist kein Luxus, sondern Notwendigkeit. Sie ist in der Praxis zwar oft vorhanden, nicht selten allerdings in einer Uralt-Version von vor 20 Jahren. Wenn dann ein Teil der Geräte gar nicht mehr existiert und die noch vorhandenen Geräte inzwischen an ganz anderen Stellen stehen, genügt die Anweisung den Anforderungen nicht mehr.
Kommunikationsjournale müssen sein
Kommunikationsjournale ermöglichen es, Fehlversendungen nachgehen zu können. Fehlen sie, ist es im Ernstfall kaum möglich, einen falschen Adressaten zu kontaktieren. Zu empfehlen ist die Aufbewahrung solcher Journale für etwa zwei Wochen. Ihre Vernichtung muss in der Dienstanweisung geregelt sein.
Sensible Daten erfordern eine Risikoanalyse
Sehr kritisch ist der Versand von Faxen mit sensiblen Inhalten zu sehen. Er findet erstaunlich oft statt, etwa im Zusammenhang mit Personaldaten. In Arztpraxen ist sogar die Übermittlung von Krankheitsdaten per Telefax nach wie vor häufig. Dies ist zwar nicht generell verboten. Notwendig ist allerdings eine Risikoanalyse dafür, ob die Übermittlung sensibler Inhalte vertretbar ist. Sollte die Risikoanalyse negativ ausgehen, müsste die Übermittlung sensibler Inhalte per Telefax untersagt werden.
Bessere Alternativen sind vorhanden
Wem der Aufwand rund um den Datenschutz beim Telefax zu groß ist, der sollte nach besser geeigneten Techniken Ausschau halten. Hierzu gehören etwa Mails, die Ende-zu-Ende-verschlüsselt sind, oder die Nutzung einer sicheren Cloud-Ablage.
Mehr lesenDer Rechner, den der Arbeitgeber zur Verfügung gestellt hat, fährt nicht hoch. Doch es steht eine dringende Projektarbeit an. Da kommt schnell der Gedanke, das private Notebook zu nutzen. Es handelt sich ja um einen Notfall. Doch stimmt dann auch der Datenschutz?
Immer wenn es eilig ist
Wie könnte es anders sein? Um elf Uhr soll das Konzept bei der Abteilungsleiterin sein, aber der PC, den der Arbeitgeber für die Tätigkeit im Homeoffice bereitgestellt hat, startet nicht. Nur noch zwei Stunden bis zur Abgabe.
Eigentlich ist die Nutzung privater IT-Geräte bei der Heimarbeit ja nicht erlaubt. Der Arbeitgeber hat daher extra spezielle PCs angeschafft und den Beschäftigten nach Hause liefern lassen. Aber jetzt ist eine Art Notfall eingetreten: Der Firmen-Computer will nicht, da könnte man doch das private Gerät nutzen. So zumindest die Idee, die einem in den Kopf kommt. Immerhin war das private Notebook ja teuer, es ist schon sehr professionell, muss man sagen …
Der PC-Streik und die Folgen
Wer einfach das private Notebook verwendet, um das Konzept fertigzustellen, hält vielleicht die gesetzte Frist zur Abgabe ein – doch er verstößt gegen die Richtlinien, die der Arbeitgeber für die Arbeit im Homeoffice aufgestellt hat.
Gehen Sie nicht davon aus, dass die „Frist“ alle Mittel heiligt. Das Konzept ist zwar möglicherweise pünktlich bei der Abteilungsleiterin. Aber das vertrauliche Konzept mit den Kundendaten ist auf einem privaten Gerät gelandet. Sie haben es dort bearbeitet und von dort per Mail verschickt.
Der Arbeitgeber hat die Nutzung des privaten Geräts nicht einfach so verboten. Es gibt gute Gründe dafür. Der Arbeitgeber hat keinen Überblick darüber,
- ob das private Notebook mit allen Updates versehen ist,
- ob die Sicherheitssoftware darauf den Anforderungen entspricht,
- ob der Mail-Versand geschützt erfolgt oder
- ob das private Notebook zum Beispiel so eingestellt ist, dass alle Dateien darauf automatisch zur Datensicherung in eine Cloud übertragen werden, die nicht den Vorgaben des Datenschutzes entspricht.
Erst fragen und Schutz sicherstellen
Wer ohne Rücksprache von den Sicherheitsrichtlinien des Arbeitgebers abweicht, muss mit Ärger rechnen, auch wenn es um ein dringendes Konzept geht und wenn man für den Notfall eine Ausnahme machen wollte.
Sichern Sie sich grundsätzlich immer selbst ab und fragen Sie die Vorgesetzten, ob Sie das private Gerät für diesen Fall ausnahmsweise nutzen dürfen. Denken Sie dann aber auch an die Absicherung der Daten.
So sollte der Arbeitgeber die Nutzung privater IT, auch BYOD (Bring Your Own Device) genannt, wenn überhaupt nur dann genehmigen, wenn die Maßnahmen für Sicherheit und Datenschutz bei dem Gerät stimmen. Es muss die gleiche hohe Sicherheit herrschen, als wenn Sie den Firmen-PC nutzen würden.
Genehmigt der Arbeitgeber die Ausnahme, müssen alle Schutzmaßnahmen ergriffen werden, die den Zugang auf das Firmennetzwerk absichern und die dafür sorgen, dass keine betrieblichen Daten auf den privaten Geräten zurückbleiben.
Wenn Ausnahme, dann aber nicht die Regel
Hat der Arbeitgeber einmal zugelassen, dass Sie Ihr privates Gerät nutzen, darf sich daraus aber keine Regel entwickeln, weil Sie zum Beispiel mit dem privaten Notebook lieber arbeiten würden.
Mehr lesen
Sicher ist Ihnen der Begriff „Vertraulichkeit“ mehr als bekannt, vielleicht sogar aus dem Bereich IT und IT-Sicherheit. Doch bedeutet Vertraulichkeit im Datenschutz auch das, was Sie sich darunter vorstellen? Gerade Alltagsbegriffe können schnell zu Unschärfen oder Missverständnissen führen.
Einmal ganz im Vertrauen gesagt
Vielleicht wundern Sie sich über die Frage, was man denn genau unter Vertraulichkeit im Datenschutz versteht. Offensichtlich geht es im Datenschutz in vielen Fällen darum, Vertrauliches zu schützen, nämlich die personenbezogenen Daten, die nicht jeder sehen, lesen und kennen darf.
Ein gutes Beispiel sind Gesundheitsdaten, die kein Dritter kennen soll. Sie gehen nur Sie, Ihre Ärztin oder Ihren Arzt oder die Krankenversicherung etwas an, aber sicherlich nicht einen Pharma-Hersteller oder den Betreiber einer Drogeriekette.
Datenschutz und Vertraulichkeit hängen tatsächlich eng zusammen. Doch Datenschutz ist mehr als Vertraulichkeit. So müssen personenbezogene Daten nicht nur vertraulich, sondern auch verfügbar sein, sie dürfen nicht manipuliert werden, und die Dienste, mit denen die personenbezogenen Daten verarbeitet werden, müssen vor Ausfällen und Störungen geschützt sein.
Was aber bedeutet nun genau die Vertraulichkeit im Datenschutz?
Es geht um Verschwiegenheit und Zugangsschutz
Zum einen gehört es zur Vertraulichkeit im Datenschutz, dass die Beschäftigten und die beauftragten Dienstleister, die personenbezogene Daten verarbeiten, keine personenbezogenen Daten an unbefugte Dritte verraten, also verschwiegen sind. Das gilt auch für die Datenschutzbeauftragten selbst.
Dann darf niemand die zu schützenden Daten unerlaubt oder ungewollt offenlegen. Unbefugte Dritte dürfen keinen Zugang zu und Zugriff auf die Daten haben. Um das zu erreichen, fordert der Datenschutz geeignete technische und organisatorische Schutzmaßnahmen. Dazu gehört vor allem eine Verschlüsselung, die dem aktuellen Stand der Technik entspricht, also nicht veraltet ist.
Die IT hat ein etwas anderes Bild von Vertraulichkeit
Vielleicht arbeiten Sie in der IT oder IT-Sicherheit, oder Sie wissen einfach, dass auch die IT-Sicherheit das sogenannte Schutzziel Vertraulichkeit besitzt. Tatsächlich nutzt die IT-Sicherheit ähnliche oder sogar die gleichen Schutzmaßnahmen wie der Datenschutz, insbesondere die Verschlüsselung.
Ist deshalb Vertraulichkeit in Datenschutz und IT-Sicherheit wirklich das Gleiche? Nicht ganz, denn der Datenschutz will personenbezogene Daten schützen, die IT-Sicherheit generell Daten mit entsprechendem Schutzbedarf.
Dabei müssen personenbezogene Daten wie die Daten eines IT-Nutzers aus Sicht der IT nicht zwingend einen hohen Bedarf an Vertraulichkeit haben. Es kann der IT-Sicherheit um einen anderen Schutzbedarf gehen.
Dem Datenschutz aber geht es immer um die Daten, die personenbezogen sind, also zu einer Person gehören, oder die personenbeziehbar sind, sich also auf eine bestimmte Person beziehen lassen. Solche Daten dürfen nicht ungewollt oder unerlaubt offengelegt werden, wie in dem Eingangsbeispiel die Gesundheitsdaten. Sie dürfen nicht einfach einem Händler übergeben werden, der diese Daten für ein passendes Angebot an frei verkäuflichen Medikamenten nutzen möchte.
Vertraulichkeit ist deshalb ein Kernthema für den Datenschutz, mit gewissen Unterschieden zur Sicht der IT oder auch zur Alltagssicht.
Ist Ihnen Vertraulichkeit im Datenschutz ein Begriff? Machen Sie den Test!
Frage: Vertraulichkeit, Verschwiegenheit und Datenschutz sind eigentlich identisch. Stimmt das?
- Nein, Vertraulichkeit ist zentral für den Datenschutz. Aber es geht auch um andere Datenschutz-Prinzipien, die zu wahren sind.
- Ja, es geht immer darum, Geheimnisse zu wahren.
Lösung: Die Antwort 1. ist richtig. Die Datenschutz-Grundverordnung (DSGVO) nennt mehrere Grundsätze für die Verarbeitung personenbezogener Daten. Vertraulichkeit gehört dazu, ist aber nicht alles im Datenschutz. Geheimnisse wie zum Beispiel Geschäftsgeheimnisse müssen keinen Personenbezug haben und unterliegen dann nicht dem Datenschutz. Zudem müssen personenbezogene Daten nicht geheim sein, um schutzbedürftig zu sein. Auch personenbezogene Daten, die nicht geheim sind, dürfen beispielsweise nicht zweckentfremdet werden.
Frage: Sorgt die IT für Vertraulichkeit, stimmt auch der Datenschutz. Ist das so richtig?
- Ja, IT-Sicherheit sorgt für die Vertraulichkeit, die der Datenschutz braucht.
- Nein, IT-Sicherheit und Datenschutz haben unterschiedliche Ziele. Die IT-Sicherheit schützt nicht automatisch personenbezogene Daten.
Lösung: Die Antwort 2. ist richtig. IT-Sicherheit soll Systeme und Daten schützen, die für den IT-Betrieb wichtig sind oder die anderweitig geschäftsrelevant sind. Für den Datenschutz geht es darum, die Vertraulichkeit personenbezogener und personenbeziehbarer Daten sicherzustellen. Es kann deshalb sein, dass die IT-Sicherheit umfangreich Nutzerdaten analysiert, um Attacken zu erkennen, während der Datenschutz versucht, möglichst den Personenbezug bei den Analysen zu vermeiden.
Mehr lesen
Wer in einem Unternehmen arbeitet, hat normalerweise Zugang zu Daten von Kunden. Jedem ist klar, dass er diese Daten nicht für private Zwecke nutzen darf. Aber was sind die Folgen, wenn das trotzdem einmal geschieht? Mit einer Geldbuße dürften die wenigsten rechnen.
Nehmen wir einfach einmal an …
Angenommen, Sie haben von jemandem noch Geld zu bekommen. Leider ist Ihr Schuldner inzwischen umgezogen. Sie wissen nur nicht, wohin. Sie vermuten, dass er zu den Kunden Ihres Arbeitgebers gehören könnte. Und tatsächlich: Ein Blick in die Kundendatenbank bestätigt das. Mit einem Mausklick haben Sie seine neue Adresse gefunden.
Auch wenn Sie das sicher nie tun würden: Nehmen wir einmal an, Sie benutzen seine neue Adresse, um mit ihm wegen der Geldsache Verbindung aufzunehmen. Welche rechtlichen Folgen kann das haben?
Der Grundsatz der Zweckbindung ist verletzt
Es liegt auf der Hand, dass hier der Grundsatz der Zweckbindung verletzt ist. Der Kunde hat seine Daten dem Unternehmen genannt, damit das Unternehmen die Daten verwendet. Es braucht sie beispielsweise, um Bestellungen zu bearbeiten und auszuliefern. Nie würde der Kunde auf die Idee kommen, dass ein Mitarbeiter oder eine Mitarbeiterin diese Daten für irgendwelche privaten Zwecke „abzweigt“. Dafür waren sie nicht gedacht. Deshalb kann es gut sein, dass sich der Kunde bei der Datenschutzaufsicht beschwert.
Die Datenschutzaufsicht kann Geldbußen verhängen
Die Datenschutzaufsicht wird sich um den Fall kümmern. Seit die DSGVO gilt, hat die Datenschutzaufsicht viel mehr Befugnisse als vorher. Unter anderem kann sie Geldbußen verhängen. Das kann im Einzelfall richtig teuer werden. Einige Hundert Euro sind sehr schnell fällig. Das gilt natürlich auch, wenn jemand Daten des Arbeitgebers für private Zwecke missbraucht.
Wer muss mit einer Geldbuße rechnen?
Interessant ist dabei die Frage, wer für diesen Datenmissbrauch geradestehen muss. Ist es die beschäftigte Person, die die Daten missbraucht hat? Oder ist es der Arbeitgeber, für den sie tätig ist? Die Meinungen hierzu gehen zwischen den Aufsichtsbehörden auseinander.
Ein „Mitarbeiterexzess“ ist eine hässliche Sache
Die meisten Aufsichtsbehörden sprechen in einem solchen Fall von einem „Mitarbeiterexzess“. Gemeint sind damit nach einer gängigen Definition „Handlungen von Beschäftigten, die bei verständiger Würdigung nicht dem Kreis der jeweiligen unternehmerischen Tätigkeit zugerechnet werden können.“ Das hört sich zwar etwas juristisch an. Aber eigentlich ist ziemlich klar, was damit gemeint ist.
Ständige Überwachung soll nicht sein
Kein Arbeitgeber kann ständig hinter jedem Beschäftigten stehen. Und er soll das auch gar nicht tun. Deshalb kann der Arbeitgeber nicht für alles verantwortlich sein, was ein Beschäftigter an seinem Arbeitsplatz treibt. Wenn der Beschäftigte sich dort um rein private Angelegenheiten kümmert, ist das keine Sache des Arbeitgebers. Dafür muss vielmehr der Beschäftigte selbst geradestehen. Das gilt auch dann, wenn der Beschäftigte seine Möglichkeiten missbraucht, auf dienstliche Daten zuzugreifen.
Die Geldbuße dafür muss der Beschäftigte zahlen
Beim Missbrauch von Daten für private Zwecke hat das für den „Täter“ erhebliche Konsequenzen. Er wird durch diesen Missbrauch selbst zu der Stelle, die für den Umgang mit den Daten verantwortlich ist. Damit haftet er selbst für den Missbrauch der Daten. Die Datenschutzaufsicht kann gegen ihn persönlich ein Bußgeldverfahren einleiten und eine Geldbuße verhängen. 200 oder 300 Euro Geldbuße sind in solchen Fällen die untere Grenze. Es kann auch teurer werden.
Eine Geldbuße für den Arbeitgeber ist keine schöne Alternative
Letztlich noch unangenehmer wird es für den Beschäftigten, wenn eine Aufsichtsbehörde den Vorgang nicht als „Mitarbeiterexzess“ behandelt. Auch dann hat er selbstverständlich rechtliche Folgen. Sie richten sich gegen das Unternehmen. Denn irgendjemand muss natürlich für den Verstoß geradestehen. Und wenn es nicht der Mitarbeiter ist, ist es eben das Unternehmen.
In solchen Fällen gilt der Grundsatz: Unternehmen haften für das Fehlverhalten ihrer Beschäftigten. Deshalb wird die zuständige Datenschutzaufsicht eine Geldbuße gegen das Unternehmen verhängen.
Der Arbeitgeber wird Konsequenzen ziehen
Selbstverständlich wird das Unternehmen dies nicht einfach schulterzuckend zur Kenntnis nehmen. Vielmehr wird es das Fehlverhalten intern aufklären, arbeitsrechtliche Konsequenzen eingeschlossen. Deshalb gilt: Finger weg von dienstlichen Daten für private Zwecke! Das gilt auch dann, wenn es um scheinbar banale Daten wie eine Adresse geht. Die Folgen sind es auch hier nicht wert.
Mehr lesenJemand bekommt eine Werbemail, obwohl er Werbemails deutlich abgelehnt hatte. Jetzt möchte er wegen dieser einen Mail Schadensersatz. Hat er damit eine Chance?
Ein Versehen ist schnell passiert
Werbeverbote in eine Adressdatenbank einzutragen, ist eine lästige Arbeit. Da passiert schnell einmal ein Fehler. Und schon ist eine Werbemail verschickt, obwohl der Adressat ausdrücklich keine Werbemails haben will.
Manche wollen dafür Geld sehen
Eine freundliche Entschuldigung sollte doch wohl reichen? Manche Betroffene akzeptieren sie und alles ist gut. Es gibt aber auch betroffene Personen, die Schadensersatz verlangen. Häufig bewegen sich die Forderungen im Bereich von 100 Euro bis 300 Euro. Wohlgemerkt, wegen einer einzigen E-Mail. Bevor es die Datenschutz-Grundverordnung (DSGVO) gab, hätte jedes Gericht über eine solche Idee den Kopf geschüttelt.
Natürlich besteht ein Anspruch auf Unterlassung
Auch damals gewährten die Gerichte schon einen Anspruch auf Unterlassung. Das ist heute noch genauso. Man muss also in einer „Unterlassungserklärung“ versprechen, dass so etwas nicht wieder passieren wird. Mit dieser Erklärung muss das „Versprechen einer Vertragsstrafe“ kombiniert sein. Wird doch wieder eine E-Mail verschickt, ist das Unterlassungsversprechen gebrochen. Das wiederum löst eine Vertragsstrafe aus. Vorher ist sie kein Thema.
Schadensersatz gab es früher aber nicht
Schadensersatz wegen der einen Mail, die schon verschickt wurde, gewährten die Gerichte früher nicht. Das typische Argument lautete: Ein Schaden, den man finanziell beziffern könnte, ist nicht entstanden. Und Anlass für so etwas wie Schmerzensgeld sahen die Gerichte wegen einer solchen Kleinigkeit nicht.
Die DSGVO hat das geändert
Durch die DSGVO hat sich das geändert. Sie enthält in ihrem Artikel 82 eine Regelung über das „Recht auf Schadensersatz“. Schadensersatz gibt es demnach immer dann, wenn „wegen eines Verstoßes gegen diese Verordnung“ ein Schaden entstanden ist. Dabei kann dieser Schaden ausdrücklich materiell oder immateriell sein. Materiell bedeutet, dass er finanziell zu beziffern ist. Immateriell ist ein Schaden, wenn er sich zwar nicht in Geld messen lässt, aber doch „wehtut“.
Ein „ungutes Gefühl“ kann ein immaterieller Schaden sein
Ein typisches Beispiel für einen immateriellen Schaden sind Schmerzen. Schmerzen wird eine unzulässige Werbe-E-Mail kaum jemals auslösen. Eine gewisse Belästigung kann sie aber schon darstellen. Auch kann sie eine Unsicherheit darüber auslösen, ob die Mailadresse noch irgendwohin weitergegeben worden ist.
Ein Amtsgericht gewährte dafür 300 Euro
Tatsächlich hat ein Amtsgericht folgende Auffassung vertreten: „Der Schaden kann bereits in dem unguten Gefühl liegen, dass personenbezogene Daten Unbefugten bekannt geworden sind.“ Das war dem Gericht Anlass genug, 300 Euro Schadensersatz zu gewähren.
Beachten Sie alle Vorgaben Ihres Arbeitgebers genau!
Jede und jeder sollte deshalb unbedingt die Vorgaben beachten, die im Unternehmen für den Umgang mit Mailadressen bestehen. Sonst kann es schnell teuer werden.
Mehr lesen