40: Fragen entknoten 1

Geschrieben von Frank Stiegler am .

Fragen entknoten 1 mit Tim Wiengarten (rabbit mobile)

Frank und Tim Wiengarten (rabbit mobile) entknoten drei Fragen aus der Praxis, die sich auch, aber nicht nur um Datenschutz drehen. Es geht um unsichere E-Mail-Server in den USA, um ungesicherte Web-Server und "alle meine Daten löschen".

00:45 Vorstellung Thema und Tim

  • rabbit mobile bildet Geschäftsprozesse ihrer Kunden digital und mobil ab, durch Erstellung und Betreuung von Apps und Anwendungen, von der ersten Idee bis zum Betrieb.
  • "Entknoten" von Fragen ist das Klären von Missverständnissen, die schnell zur "Kompliziertheit" von Fragen führen.
  • Die 3 Fragen/Themen in dieser Folge drehen sich (auch) um Datenschutz und können in der Praxis schnell zu Unsicherheit führen, vor allem wenn "es schnell gehen" muss.

08:37 Fall 1: Personenbezogene Daten "unsicher" verschickt

Fall: „Wir haben eine E-Mail von einem Kunden erhalten, die eine Excel-Datei mit 5.000 Benutzerdaten enthält, einschließlich Klarnamen, E-Mail-Adressen und unverschlüsselten Passwörtern. Der Kunde wünscht, dass wir diese Daten in einer Online-Datenbank speichern und über eine API zugänglich machen. Trotz unserer dringenden Empfehlung zur Verschlüsselung dieser Daten lehnt der Kunde dies ab, hauptsächlich wegen der damit verbundenen Kosten, außerdem bestünde Zeitdruck.

Die E-Mail wurde auf unserem (amerikanischen) Microsoft 365-Server empfangen, was besondere Fragen hinsichtlich unserer Verantwortung für diese Daten aufwirft und wie wir damit umgehen sollten. Darüber hinaus ist unklar, ob und wo wir die Excel-Datei speichern sollten.

Zusätzlich ist der Kunde eine medizinische Einrichtung, und die Excel-Datei enthält Patientengesundheitsdaten. Dies wirft weitere Fragen auf, einschließlich unserer Verantwortung gegenüber diesen „besonderen Kategorien personenbezogener Daten“ und ob wir das Verhalten des Kunden bei der Aufsichtsbehörde melden sollten.“

23:41 Fall 2: Das Startup mit dem unsicheren Server

Fall: „Ein Startup-Unternehmen, das mit uns eine App entwickelt, in der personenbezogene Daten erhoben und gespeichert werden, hat ein Datenleck gemeldet. Wir haben den Prozess von den ersten Brainstormings bis zum Release und der Pflege der App mit dem Unternehmen durchlaufen. Der Kunde behauptet, dass das Datenleck aufgrund unzureichender Serversicherheit entstanden ist und fordert, dass wir das Problem unentgeltlich und sofort lösen. Er argumentiert, wir hätten ihn während unserer Workshops und im laufenden Support auf die Notwendigkeit einer verbesserten Serversicherheit hinweisen müssen.

Es gibt mehrere offene Fragen:

  • Inwieweit sind wir für das Datenleck verantwortlich und müssen wir aktiv werden?
  • Wenn ja, wie sollten wir vorgehen?
  • Wenn nicht, welche anderen Maßnahmen sollten wir ergreifen?

42:41 Fall 3: "Alle meine Daten löschen"

Fall: „Ein ehemaliger Kunde fordert, dass "alle seine Daten" bei uns gelöscht werden. Diese Anforderung betrifft nicht nur die "üblichen" personenbezogenen Daten wie E-Mail-Adresse, Name und Telefonnummer des Kunden, sondern auch Logfiles, Arbeitsaufträge, die wir dokumentiert haben, Verträge etc. Es stehen Fragen im Raum, wie wir mit dieser Anforderung umgehen sollten, was wir tatsächlich löschen müssen und inwieweit das Recht auf Datenlöschung durchgesetzt werden kann, wenn auf der anderen Seite Aufbewahrungsfristen, zum Beispiel für Rechnungen, eingehalten werden müssen.“

61:40 Fazit

  • Klare Auflistung geschuldeter Leistungen im Angebot ist fast immer eine gute Idee.
  • Auch wenn ein Kunde anruft und aufgeregt ist: Ruhe bewahren! Es ist praktisch nie so dringend, wie Hektik einen Sachverhalt aussehen lässt.
  • Ein “guter” schriftlicher Vertrag ist oft, wenn nicht praktisch immer besser als kein schriftlicher Vertrag, aber keinen schriftlichen Vertrag zu haben, ist oft besser als einen schlechten schriftlichen Vertrag zu haben.
  • Datenschutzstreitigkeiten treten fast nie "von selbst" auf, sondern zeigen praktisch immer, dass es einen anderen Streitgrund gibt.

Feedback und Wünsche gern per E-Mail an podcast@stiegler.legal oder an t.wiengarten@rabbit-mobile.de, außerdem über Mastodon (nicht mehr Twitter) an @legal_bits oder https://legal.social/@legalwiestiegler!

Die Einsprecher kommen wie immer von Sarah Nakic aus Brühl bei Köln.

Tags

© Stiegler Legal