INFORMATION
BELEHRUNGEN UND MERKBLÄTTER FÜR TALENTS

DATENSCHUTZKONZEPT

INHALTSVERZEICHNIS

DATENSCHUTZKONZEPT

1. Einleitung

2. Sachliche und Räumliche Tätigkeit

3. Datenschutzbeauftragter (DSB) und verantwortlicher für den Datenschutz

4. Weiterbildung und Stand der Technik

5. Sensibilisierung der Mitarbeitenden / Dienstleister

6. Datenverarbeitungen / Datenverarbeitungszwecke

7. Datenschutz-Folgenabschätzung

8. Beschreibung der technisch-organisatorischen Maßnahmen (TOMS)

8.1 Grundsätze

8.2. IT-Infrastruktur

8.3. Leiter IT

8.4. Einzelmaßnahmen

8.4.1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DS-GVO)

8.4.2. Zugangskontrolle

8.4.3. Zugriffskontrolle

8.4.4. Trennungskontrolle

8.4.5. Pseudonymisierung (Art. 32 Abs. 1 lit. a DS.-GVO; Art. 25 Abs. 1 DS-GVO)

8.4.6. Maßnahmen zur Verschlüsselung der Daten

8.5. Integrität (An. 32 Abs. 1 lit. .b DS-GVO)

8.5.1. Weitergabekontrolle

8.5.2. Eingabekontrolle

8.6. Verfügbarkeit und Belastbarkeit

8.6.1. Verfügbarkeitskontrolle

8.6.2. Rasche Wiederherstellbarkeit

8.7. Organisationskontrolle

8.7.1. Organisationskontrolle

8.7.2. Security- und Risikomanagement

8.7.3. Zertifizierung

8.7.4. Incident-Response-Management

8.7.5. Datenschutzfreundliche Voreinstellungen

8.7.6. Auftragskontrolle

9. Talentauthentifizierung und Qualitätssicherung

9.1. Kontrollmaßnahmen zur Authentifizierung des tatsächlichen Nutzers (Talent)

9.2. Maßnahmen zur Qualitätskontrolle

10. Impressum und Datenschutzerklärungen

11. Betroffenenrechte wahren

11.1. Betroffenenrechte: Prozessketten

11.2. Meldung von Datenschutzverletzungen: Prozesskette

12. Checkliste für den jährlichen Kontroll- und Verbesserungsprozess

13. Zusammenfassung

1. EINLEITUNG

Dieses Datenschutzkonzept beruht auf den in Art 5 Z 1 DSGVO formulierten Grundsätzen wie Zweckbindung, Datenminimierung, Speicherbegrenzung sowie Integrität, Recht auf Vergessenwerden und Vertraulichkeit und ist rechtmäßig (Art 6 DSGVO). Die von der DSGVO geforderte Einhaltung der Verordnungskonformität (Art. 5 Z 2; Art 24 Z 1), der Einhaltung der Betroffenenrechte (Art 13-20), der Meldepflicht bei Datenschutzverletzung (Art 33-34), der Nachweis- und Rechenschaftspflicht (Art 5 Z 2, Art 24 Z 1) ist gewährleistet. Ein Kontroll- und Verbesserungsprozess wird mindestens 1x jährlich durchgeführt (Art 32 Z 1), u.a. basierend auf der Checkliste, enthalten im letzten Kapitel dieses Datenschutzkonzeptes.

2. SACHLICHE UND RÄUMLICHE TÄTIGKEIT

Wir verarbeiten personenbezogene Daten von natürlichen Personen ab dem 18. Lebensjahr (Art 8 DSGVO) ganz oder teilweise automatisiert und haben unseren Geschäftssitz in der EU:

Yoummday GmbH, Infanteriestraße 11a, Haus E, 80797 München,

Fon: +49 89 230236-03

www.yoummday.com

3. DATENSCHUTZBEAUFTRAGTER (DSB) UND VERANTWORTLICHER FÜR DEN DATENSCHUTZ

Trifft einer der nachfolgenden Kriterien zu, ist ein externer oder interner DSB notwendig und zu bestellen:

Verarbeitung der Daten durch eine Behörde oder eine öffentliche Stelle, mit Ausnahme der Gerichte
JA ( )
NEIN (X)

Verarbeitung der personenbezogenen Daten stellt eine Kerntätigkeit der Organisation dar und/oder erfordert eine umfangreiche regelmäßige und systematische Überwachung der betroffenen Person
JA (X)
NEIN ( )

Verarbeitung besonders schutzwürdige Kategorien personenbezogenen Daten (Art 9 Z 1 DSGVO wie z. B. Gesundheitsdaten, ethische Herkunft, genetische bzw. biometrische Daten, Gewerkschaftszugehörigkeit, usw.) stellt eine Kerntätigkeit der Organisation dar
JA ( )
NEIN (X)

Datenschutzbeauftragter:
Björn Barthelmes
Karl-Frank-Straße 35
12587 Berlin
E-Mail: datenschutz@yoummday.com

Datenschutzkoordinator:
Jörg Hoffmann
Telefon: +49 89 230 236 03
E-Mail: joerg.hoffmann@yoummday.com

4. WEITERBILDUNG UND STAND DER TECHNIK

Aktivitäten
- Info- u. Weiterbildungsveranstaltungen

Veranstalter
- Webinare, etwa bei datenschutzguru.de oder gruenderszene.de

sonstiges
- regelmäßig

5. SENSIBILISIERUNG DER MITARBEITENDEN / DIENSTLEISTER

Besonders wichtig ist die Sensibilisierung aller relevanten Mitarbeitenden, der wir natürlich nachkommen. Nur mit informierten und achtsamen Mitarbeitenden können Sicherheitsmaßnahmen wirksam umgesetzt und eventuelle Sicherheitsvorfälle rechtzeitig erkannt werden.

Sobald die Ursache eines Sicherheitsvorfalls identifiziert wurde, müssen Maßnahmen zu dessen Behebung ergriffen werden. Häufig ist es notwendig, die betroffenen IT-Systeme oder Standorte zu isolieren, um die Auswirkung des Sicherheitsvorfalls einzudämmen.

Die Behebung von Sicherheitsvorfällen muss ausführlich dokumentiert werden.

Ein Beispiel für eine Sensibilisierung /Verpflichtung auf Einhaltung der DSGVO der Mitarbeitenden befindet sich im Anhang. Ebenfalls im Anhang: Ein Mustervertrag zur Auftragsdatenverarbeitung.

6. DATENVERARBEITUNGEN/DATENVERARBEITUNGSZWECKE

Zwecke und Beschreibung der Datenverarbeitungen:

1. Rechnungswesen und Geschäftsabwicklung: Verarbeitung und Übermittlung von Daten im Rahmen von Geschäftsbeziehungen mit Kunden, Talenten (Talents) und Lieferanten, sowie an der Geschäftsabwicklung mitwirkende Dritte und Geschäftspartner inkl. deren jeweiligen Kontaktpersonen einschließlich automationsunterstützt erstellter und archivierter Textdokumente (wie z. B. Rechnungen, Korrespondenzen oder Verträge) in diesen Angelegenheiten

2. Kundenbetreuung und Marketing: Serviceorientierte Information und Betreuung von kategorisierten Kunden, Lieferanten und an der Geschäftsabwicklung mitwirkende Dritte bzw. Geschäftspartner inkl. deren jeweiligen Kontaktpersonen und Interessenten einschließlich automationsunterstützt erstellter und archivierter Textdokumente (wie z.B. Korrespondenz) sowie Übermittlung von Newsletter, Serienbriefe und Infomaterial.

3. Betrieb von Internetseiten: Übermittlung von Daten im Rahmen des Stellenmarktes (Firmenname, Ansprechpartner, Telefonnummer, Webseitenadresse, Stellenbeschreibung, Lebenslauf, Adresse, Benutzername, Passwort); Newsletter-Versand: Information an Interessenten und Kunden zum Thema Social Media. Regelmäßig neue Info über neue Stellenangebote

4. Webseitenanalyse: Analyse des anonymisierten Besucherverhaltens auf der Webseite zur Optimierung und Nachvollziehbarkeit der Seitenbesuche (z. B. Einstiegs- und Ausstiegsseiten, Verweildauer...)

5. Kontaktformular: Kontaktanfrage über die Webseite für Interessenten und Kunden zur Beantwortung von spezifischen Anfragen / Talentbereich: User können sich auf der Webseite einloggen, um einen Talentbereich zu besuchen

7. DATENSCHUTZ-FOLGENABSCHÄTZUNG

Soweit der Datenschutzbeauftragte feststellt, dass die beabsichtigte Verarbeitung einer Datenschutz-Folgenabschätzung unterliegt, teilt er dies umgehend mit. Das Verfahren darf erst nach Zustimmung des DSB durchgeführt werden. Im Zweifel entscheidet die Geschäftsleitung.

8. BESCHREIBUNG DER TECHNISCH-ORGANISATORISCHEN MASSNAHMEN (TOMS)

8.1. Grundsätze

Als verantwortliche Stelle wurden geeignete technische und organisatorische Maßnahmen getroffen, welche die Einhaltung der Grundsätze der Europäischen Datenschutzgrundverordnung sicherstellen. Hiermit kann sichergestellt werden und der Nachweis erbracht werden, dass die Verarbeitung gemäß den Vorschriften der EU-DSGVO erfolgt.

Die folgenden Maßnahmen dienen der Gewährleistung der Vertraulichkeit der Systeme und dienen der:

• Gewährleistung der Vertraulichkeit der Systeme und Dienste
• Gewährleistung der Integrität der Systeme und Dienste
• Gewährleistung der Verfügbarkeit der Systeme und Dienste
• Gewährleistung der Belastbarkeit der Systeme und Dienste
• Wiederherstellung der Verfügbarkeit personenbezogener Daten und den Zugang zu ihnen nach einem physischen und technischen Zwischenfall. Verfahren zur regelmäßigen Überprüfung, Bewertung, Evaluierung der Wirksamkeit der vorgenannten Maßnahmen.

Die zu treffenden technischen und organisatorischen Maßnahmen orientieren sich an:

• Stand der Technik
• den Implementierungskosten
• Art, Umfang, Umstände und Zweck der Verarbeitung
• der unterschiedlichen Eintrittswahrscheinlichkeit und der Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen

Dabei wird ein dem Risiko angemessenes Schutzniveau für personenbezogene Daten zu gewährleistet. Zur Aufrechterhaltung des Schutzniveaus werden die Maßnahmen regelmäßig überprüft und aktualisiert.

8.2. IT-Infrastruktur

siehe Dok: Technisches Setup und DV-Infrastruktur Az*4

8.3. Leiter IT

Leiter-IT:
Thomas Wallner
E-Mail: thomas.wallner@yoummday.com
Telefon: +49 89 230 236 04

Stellvertreter:
Yaroslav Dimitrov
E-Mail: yaroslav.dimitrov@yoummday.com
Telefon: +49 89 231 66 00 11

8.4. Einzelmaßnahmen

8.4.1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DS-GVO)

Zutrittskontrolle: Schutz der Räume mit Datenverarbeitungsanlagen vor dem Zutritt Unbefugter

Sicherungseinrichtung Grundstück
(+) Das Betriebsgelände, auf dem Rechner untergebracht sind, ist umzäunt,
(+) Toranlage mit Anmeldung

Geländeüberwachung
(+) Videoüberwachung mit Kamerasteuerung,
(+) die Videoüberwachung ist mit Hinweisschildern gekennzeichnet

Zutrittskontrollsystem Gebäudesicherung
(+) Schließsystem Sicherheitsschloss
(+) Schließsystem digitales Schloss mit codiertem Schlüssel

Zentraler Empfangsbereich
(+) Alle Besucher haben sich beim Empfang anzumelden und sind in die Besucherliste ein- und auszutragen sowie im Haus zu begleiten

Zutrittskontrollsystem Geschäftsräume
(+) Schließsystem Sicherheitsschloss
(+) Schließsystem RFID Chip

Maßnahmen bei Verlust eines Schlüssels/Karte/Chip
(+) Austausch der Schließanlage mit Schlüsseln
(+) Neuprogrammierung des Codes

Überwachungssysteme Gebäude
(+) Rauchalarmanlage
(+) Brandalarmanlage

Sicherung der Serverräume
(+) Schließsystem digitales Schloss mit codiertem Schlüssel

Externe Dienstleister
(+) Alle externen Handwerker, Haus- und RZ-Techniker müssen sich zu Beginn ihrer Arbeiten am Empfang anmelden. Dieser informiert den Mitarbeiter, der den Besuch erwartet und veranlasst die Abholung. Ist weder der gewünschte Mitarbeiter noch ein anderer Mitarbeiter, der mit der Aufgabe für den externen Handwerker, Haus- oder RZ-Techniker vertraut ist, erreichbar, darf kein Zutritt gewährt werden.

Schlüssel/Schlüsselvergabe
(+) Die Schlüsselvergabe erfolgt durch das zentrale Gebäudemanagement.
(+) Jeder ausgegebene Schlüssel wird in ein Schlüsselbuch oder in einem Schlüsselmanagementsystem erfasst.

Besonderer Schutz des Rechenzentrums
(+) Aufteilung des Rechenzentrums nach Schalenprinzip.
(+) Zutritt zum Rechenzentrumsräumen durch Schleusen.
(+) Videoüberwachung
(+) Bewegungsmelder
(+) Rauchmelder
(+) Temperaturüberwachung
(+) Alarmanlage

8.4.2 Zugangskontrolle

Schutz der Computersysteme gegen den Zugang für Unbefugte

Zugang zu Systemen nur über Zugangsberechtigungen
(+) Der Zugang zu den Systemen erfolgt grundsätzlich über eine Benutzerkennung und ein entsprechend sicheres Kennwort

Benutzer Authentifizierung
(+) User ID und Passwort
(+) Passwort Mindestlänge

Kontrolle der Passwortkonventionen
(+) Freigabe nur durch Administrator

Rechteverwaltung
(+) Für die Rechteverwaltung besteht ein Rechtekonzept.
(+) Alle Berechtigungen sind nachvollziehbar dokumentiert
(+) Die Rechteänderung erfolgt in folgenden Fällen
(+) Ausscheiden eines Mitarbeiters

Bildschirmsperre
(+) Bildschirmsperre bei der Abwesenheit mit Passwortkennung ist eingerichtet.

WLAN
(+) physikalische Trennung des Gäste-WLANs vom Firmen Netz

Sicherheit von Notebooks
(+) User ID und Passwort

Automatische Sperrung PC (z. B. Kennwort und Pausenschaltung)
(+) Eine automatische Sperrung des PC erfolgt nach 10 Minuten

Sichere Anbindung für „Remote Zugriff“
Der „Remote Zugriff“ aus dem „Home-Office“ auf Systeme ist mit eigenen PCs und Laptops nur unter folgenden Bedingungen möglich.
(+) User ID und Passwort oder priv/pub Schlüssel
(+) Daten werden verschlüsselt übertragen

8.4.3 Zugriffskontrolle

Die Maßnahmen zur Zugriffskontrolle sind darauf gerichtet, unerlaubte Tätigkeiten (z. B. unbefugtes lesen, kopieren, verändern oder entfernen) in DV-Systemen außerhalb eingeräumter Berechtigungen zu verhindern.

Es ist ein streng überwachtes Berechtigungskonzept mit persönlichen Benutzerkonten eingerichtet. Der Zugriff auf bestimmte Informationen wird über ein Gruppen- bzw. Rollenkonzept gewährt.

Schutz der Daten gegen den Zugriff Unbefugter

Schriftliches Administrationskonzept
(+) einheitliche Vorgaben zu IT Sicherheit
(+) Trennung von Verantwortlichkeiten
(+) Administratoren sind eigene Mitarbeiter
(+) Trennung der Administratorenkonten nach Systemen und Personen

Identifizierung und Authentifizierung der Administratoren
(+) UserID und Passwort oder priv/pub Schlüssel

Admin Passwortkonventionen
(+) Zeichenmindestlänge alphanumerischer Zeichensatz
(+) Ausschluss Trivialkennwort,
(+) Passworteingabe mit verschlüsseltem Vorgang
(+) sichere Passwortdateien

Rollenbasiertes Berechtigungskonzept(+) Ein rollenbasieren-des Nutzerberechtigungskonzept ist gesetzt.

Restriktives Rechtevergabesystem
(+) Die Zugriffsberechtigung erfolgt immer nach dem Prinzip der restriktiven Rechtevergabe.

Identifizierung und Authentifizierung der Administratoren
(+) UserID und Passwort oder priv/pub Schlüssel

Admin Passwortkonventionen
(+) Zeichenmindestlänge alphanumerischer Zeichensatz,
(+) Ausschluss Trivialkennwort,
(+) Passworteingabe mit verschlüsseltem Vorgang,
(+) sichere Passwortdateien

Rollenbasiertes Berechtigungskonzept
(+) Ein rollenbasieren-des Nutzerberechtigungskonzept ist gesetzt.

Restriktives Rechtevergabesystem
(+) Die Zugriffsberechtigung erfolgt immer nach dem Prinzip der restriktiven Rechtevergabe.

Protokollierung der Systemnutzung
(+) Protokollierung der Systemnutzung erfolgt über LOG-Dateien der entsprechenden Systeme.

Zugriff auf Daten nur über Zugriffsberechtigungen
(+) Der Zugriff auf Daten erfolgt über eine Benutzerkennung und ein entsprechend sicheres Kennwort sowie den entsprechend zugewiesenen Zugriffsberechtigungen (Rollen).

Berechtigungen nur nach Genehmigung durch Vorgesetzte
(+) Die Zugriffsberechtigungen (Rollen) werden über einen elektronischen Workflow beantragt und genehmigt.

Regelungen zum Entzug von Zugriffsberechtigungen
(+) Der Entzug von Zugriffsberechtigungen (Rollen) erfolgt über einen elektronischen Workflow.

Berechtigungsvergabe nur durch autorisierte Personen
(+) Berechtigungsvergaben erfolgen nur anhand eines elektronischen Workflows durch autorisierte Personen.

Kontrolle der Berechtigungen
(+) Eine Kontrolle der Berechtigungsvergaben erfolgt regelmäßige.

Besondere Berechtigungen
(+) Besondere Zugriffsberechtigungen werden nur im Ausnahmefall durch einen speziell ermächtigten Vorgesetzten vergeben.

Verpflichtungserklärungen für Administratoren
(+) Die Mitarbeiter werden bei Einstellung auf die Einhaltung des Datengeheimnisses, des Datenschutzes, und des Fernmeldegeheimnisses verpflichtet und soweit notwendig auf das Sozialgeheimnis. Eine Sensibilisierung erfolgt bei Einstellung bzw. regelmäßig.

Schulungen der Administratoren
(+) Administratoren werden regelmäßig um Umgang mit Informationssicherheit speziell geschult.

Kontrollierte Vernichtung von Daten 
(+) Die kontrollierte Vernichtung von Daten und Ausdrucken erfolgt und Ausdrucken durch spezialisierte, zertifizierte Dienstleister.

8.4.4 Trennungskontrolle

Trennung der Datenbestände, die zu unterschiedlichen Zwecken verarbeitet werden.

Zweckbindung der Systeme
(+) Die Systeme werden gemäß der Unternehmensdatenschutzrichtlinie nach einem strengen Rechtekonzept verwaltet.

Rechtekonzept nach Datenzweck
(+) Das Rechtekonzept wird streng auf die Datentrennung abgestellt.

8.4.5 Pseudonymisierung (Art. 32 Abs. 1 lit. a DS.-GVO; Art. 25 Abs. 1 DS-GVO)

Sofern für Daten eine Pseudonymisierung vorgesehen ist, erfolgt die Verarbeitung personenbezogener Daten in der Weise. dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können. Diese zusätzlichen Informationen werden gesondert aufbewahrt und mit entsprechenden technischen- und organisatorischen Maßnahmen unterlegt.

Folgende Pseudonymisierungsverfahren werden eingesetzt:

Anonymisierte Kennungen, welche nur mit Hilfe einer separaten Datenbank auflösbar sind.

8.4.6 Maßnahmen zur Verschlüsselung der Daten

Ziel der Maßnahmen zur Verschlüsselung von personenbezogenen Daten ist, die Inhalte von Datenbanken vor unerlaubter Einsicht und Veränderung zu schützen.

Sämtliche persönliche Daten als auch sonstige vertrauliche Informationen werden grundsätzlich verschlüsselt übertragen. Hierfür wird entweder ein sicheres HTTPS-Portal verwendet oder es werden passwortgeschützte Zip-Dateien elektronisch versendet.

Eine Mailverschlüsselung ist auf Gegenseitigkeit möglich. Es werden folgende Verschlüsselungstechniken eingesetzt:

• Bei E-Mailverkehr TLS-Verschlüsselung

8.5. Integrität (An. 32 Abs. 1 lit. .b DS-GVO)

8.5.1 Weitergabekontrollee mit Datenverarbeitungsanlagen vor dem Zutritt Unbefugter

Es wird dafür Sorge getragen, dass unbefugtes Lesen, Kopieren, Verändern oder Entfernen bei elektronischer Übertragung oder Transport verhindert wird.

Organisatorische Festlegungen zur Aufbewahrung von Datenträgern
(+) Unternehmensinternes Regelwerk, für den Umgang mit Datenträgern

Geschützte Räume zur Datenaufbewahrung
(+) Die Lagerung der Datensicherungen erfolgt entweder in einem geschützten Raum (z.B. Datenschutzraum, Rechenzentrum) extern durch einen entsprechenden Dienstleister.

Datenschutzgerechte Datenträgerentsorgung
(+) Die physikalische Vernichtung von Datenträgern erfolgt gemäß DlN 66399 min. in Sicherheitsstufe 3.

Identifizierung und Authentifizierung der Beteiligten
(+) Identifizierung und Authentifizierung der Beteiligten erfolgt durch Benutzerkennung, Rufnummern, Identifikation, Passwort Benutzerkennung

Verschlüsselung von E-Mails
(+) Die Übermittlung hochsensibler Daten erfolgt nur verschlüsselt

8.5.2 Eingabekontrolle

Dokumentation, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Protokollierung, Dokumentenmanagement)

Nachweis der Dateneingabe oder – veränderung

Zugangsregelungen
(+) Es bestehen Zugangsregelungen und Benutzerberechtigungen, wodurch die Identifizierung aller Benutzer und Datenstationen im System möglich ist.

Protokollierung der Einrichtung und des Betriebes des IT-Systems
(+) Dokumentation aller berechtigten Nutzer mit Rechteprofil
(+) Dokumentation für die eingerichteten Nutzungsrechte

Systemprotokolle
(+) Die Tätigkeit der Benutzer wird in Systemprotokollen protokolliert. Die Eingabekontrolle in Datenbanksystemen erfolgt im Rahmen der mit den gelieferten Datenbanksystemen gelieferten Standardverfahren, die je nach Datenbanksystem bis zur Erfassung alle Eingaben umfassen kann. Soweit in den Softwaresystemen Buchungsjournale möglich sind, werden diese befüllt.

Aufbewahrung von Systemprotokollen
(+) Systemprotokolle werden im Rahmen der gesetzlichen bzw. vertraglichen Vorgaben aufbewahrt.

Logging-Funktionen
(+) Die Tätigkeiten der Benutzer sind über umfangreiche Logging-Funktionen nachvollziehbar

Änderungsprotokollierung
(+) Auf den Servern bzw. in den Programmen werden Änderungen protokolliert

Datenbanken
(+) Die Eingabekontrolle in Datenbanksystemen erfolgt im Rahmen der mit den Datenbanksystemen gelieferten Standardverfahren, die je nach Datenbanksystem bis zur Erfassung aller Eingaben umfassen kann

Tabellenprotokollierung
(+) sofern Softwarertechnische Tabellenprotokollierung und Audit-lnformationssystem vorliegen, kann über diese Funktionen eine entsprechende Kontrolle erfolgen.

8.6. Verfügbarkeit und Belastbarkeit

8.6.1 Verfügbarkeitskontrolle

Schutz gegen zufällige oder mutwillige Zerstörung bzw. Verlust von Daten.

Regelmäßige Datensicherungen
(+) Die Sicherung der Daten erfolgt in Backup-Systemen und kann durch redundante Systeme erweitert werden. So kann für etwaige Katastrophenszenarien eine kurze Wiederherstellzeit bzw. hohe Gesamtverfügbarkeit gewährleistet werden.

Spiegeln von Festplatten, z. B. RAID-Verfahren
(+) Eine Spiegelung der Daten findet regelmäßig statt (RAID Systeme, Spiegelung auf räumlich getrennte Systeme).

Unterbrechungsfreie Stromversorgung (USV)
(+) Die Rechenzentren sind durch getrennte USV Anlagen mit Batterie-Pufferung gegen Stromausfälle gesichert.

Getrennte Aufbewahrung
(+) Eine Spiegelung der Daten findet regelmäßig statt (Spiegelung auf räumlich getrennte Systeme). Getrennte Aufbewahrung von Daten erfolgt.

Virenschutz/Firewall
(+) Auf allen Systemen Virenscanner und Firewallsysteme.

Backupsystem
(+) Systemisch

Notfallplan
(+) Das Unternehmen verfügt über einen Notfallplan und entsprechende Handbücher zur Aufrechterhaltung der Kernprozesse im K-Fall. Erstellung und Pflege eines kundenspezifischen K-Fall Handbuchs erfolgt regelmäßig.

8.6.2 Rasche Wiederherstellbarkeit

Es existieren ein Notfallpläne/Krisenpläne/Desaster Recovery für die Rechenzentren. Diese sind in dem Backup- bzw. Notfallkonzept dokumentiert. Die Funktionsfähigkeit dieses Konzeptes wird in regelmäßigen Abständen geprüft. Die Notfallpläne werden einem regelmäßigen Prüf- und Verbesserungsprozess unterzogen.

8.7. Organisationskontrolle

8.7.1. Organisationskontrolle

Organisatorische Maßnahmen zur Sicherstellung der Verarbeitung personenbezogener / sensibler Daten

IT-Sicherheitskonzeption
(+) Eine lnformationssicherheits Leitlinie ist in der aktuellen Version vorhanden und kann vor Ort eingesehen werden.

Kennwortrichtlinie
(+) Die Kennwortrichtlinie ist in der aktuellen Version vorhanden und kann vor Ort eingesehen werden.

Datenschutzrichtline
(+) Eine Datenschutzrichtlinie ist vorhanden und kann vor Ort eingesehen werden.

Datenschutzbeauftragter
(+) Ein externer Datenschutzbeauftragter ist gestellt

Verpflichtung der Mitarbeiter nach Art. 29 +32 DS-GVO
(+) Alle Mitarbeiter sind auf das Datengeheimnis und die Einhaltung von Betriebs- und Geschäftsgeheimnissen verpflichtet und sind gemäß DS-GVO, Artikel 29 und 32 (4) angewiesen, personenbezogene Daten nur auf Anweisung des Verantwortlichen zu verarbeiten.

Verpflichtung der Mitarbeiter auf§ 88 TKG
(+) Alle Mitarbeiter sind auf das Datengeheimnis und die Einhaltung Art. 29 +32 DS-GVO

Subunternehmer
(+) Richtlinie Subunternehmer ist vorhanden

Trainings/Schulungen
(+) In jährlich verpflichtenden Trainings müssen alle Mitarbeiter müssen die führenden Mitarbeiter ihr Datenschutzbewusstsein aktualisieren. Sie achten auf die verbindliche Umsetzung der Datenschutz- und Informationssicherheitsvorgaben, die im unternehmensweiten Intranet verpflichtet werden.

8.7.2 Security- und Risikomanagement

Leistungen werden auf der Grundlage eines Informationssicherheitsmanagements abgewickelt. Dieses beinhaltet unter anderem schriftlich dokumentierte Richtlinien, Prozesse und Handbücher zum IT-/ Rechenzentrumsbetrieb. Sie bauen auf gesetzlichen Regelungen sowie auf intern bewährten Regelungen auf.

Die eingesetzten Sicherheitsverfahren werden laufend überprüft.

Es ist ein Risikomanagement implementiert, das sowohl die operativen Risiken aus Ausschreibungen, Verträgen und in Projekten bewirkt. Darüber hinaus existiert ein IT-Sicherheitsrisikomanagement, welches sich mit den prozessualen, dienstleistungs- und standortbezogenen Risiken beschäftigt.

Die technischen und organisatorischen Maßnahmen zum Datenschutz gemäß DS-GVO, Artikel 32, werden im Rahmen der ISO-Zertifizierung regelmäßig überprüft. Darüber hinaus finden bei internen Prozessaudits auch datenschutzrelevante Fragestellungen Berücksichtigung.

8.7.3 Zertifizierung

ISO 9001:2015 Qualitätsmanagement

8.7.4 Incident-Response-Management

Auftretende Security Ereignisse werden einem standardmäßigen Betriebsverfahren und toolgestützten Prozessen bearbeitet, um möglichst zeitnah einen störungsfreien Betrieb wiederzuerlangen. Sicherheitsvorfälle / Security incidents werden zeitnah überwacht und analysiert. Abhängig von der Art des Ereignisses werden an deren Bearbeitung zuständige und notwendige Mitarbeiter der Fachabteilungen und Spezialisten hinzugezogen.

8.7.5 Datenschutzfreundliche Voreinstellungen

Durch datenschutzfreundliche Voreinstellungen („Privacy by Design and by Default“) wird dem Datenschutz schon zu einem möglichst frühen Zeitpunkt Rechnung getragen, um eine unrechtmäßige Verarbeitung oder den Missbrauch von Daten präventiv zu verhindern. Über angemessene technische Voreinstellungen soll sichergestellt werden, dass grundsätzlich nur die personenbezogenen Daten erhoben und verarbeitet werden, die für den konkreten Zweck auch tatsächlich erforderlich sind (Need to Know-Prinzip).

Um eine möglichst risikoarme Verarbeitung personenbezogener Daten zu erreichen, werden u.a. folgende Schutzmaßnahmen umgesetzt:

• Menge der personenbezogenen Daten minimieren Daten so früh wie möglich pseudonymisieren oder verschlüsseln
• Transparenz in Bezug auf die Funktionen und die Verarbeitung Daten herstellen
• Daten so früh wie möglich löschen oder anonymisieren
• Zugriffsmöglichkeiten auf Daten minimieren
• Vorhandene Konfigurationsmöglichkeiten auf die datenschutzfreundlichsten Werte voreinstellen

8.7.6 Auftragskontrolle

Ziel der Auftragskontrolle ist, zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können.

Alle Subdienstleister werden nach definierten Kriterien ausgesucht und auf die Einhaltung der DSGVO verpflichtet. Eine Liste der Subdienstleister ist vorhanden.

Dienstleister, die als Auftragsverarbeiter im Sinne des DS-GVO tätig sind, werden nach datenschutzrechtlichen Kriterien mit größter Sorgfalt ausgewählt. Diese werden gemäß Art. 28 DS-GVO vertraglich an den Auftraggeber gebunden. Die im Rahmen der vertraglichen Bindung festgelegten technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten orientieren sich an den in diesem Dokument beschriebenen Standards. Eine Liste der Auftragsverarbeiter ist vorhanden.

Die Mitarbeiter werden in regelmäßigen Abständen im Datenschutzrecht unterwiesen. Sie sind daher bezüglich der Auftragsdatenverarbeitung sowohl in der Rolle als Auftraggeber als auch in der Rolle als Auftragnehmer mit dem Weisungsrecht des Aufraggebers vertraut. Weisungsbefugte Personen auf Seite des Auftraggebers sind benannt und beim Auftragnehmer bekannt.

Es erfolgt eine Bewertung der IT Sicherheit des Auftragnehmers vor Auftragsvergabe.

Durch eine eindeutige Vertragsgestaltung mit Abgrenzung der Rechte und Pflichten der Parteien, wird mit formalisierten Verträgen und Auftragsformularen sichergestellt. Es erfolgt eine regelmäßige Prüfung und Kontrolle der Vertragsausführungen. Weisungen werden grundsätzlich schriftlich und mit schriftlicher Bestätigung entgegengenommen.

Es erfolgt keine Auftragsdatenverarbeitung im Sinne von Art. 28 DS-GVO ohne entsprechende Weisung des Auftraggebers, z. B.: Eindeutige Vertragsgestaltung, formalisiertes Auftragsmanagement, strenge Auswahl des Dienstleisters, Vorabüberzeugungspflicht, Nachkontrollen.

Jeglicher Aktivität liegt ein Auftrag eines Kunden zugrunde. Im Minimum gilt ein bestehendes Vertragswerk. Standard Changes werden, sofern personenbezogene Daten verarbeitet werden, ausschließlich von autorisierten Personen des Kunden entgegengenommen.

9. TALENTAUTHENTIFIZIERUNG UND QUALITÄTSSICHERUNG

Nach Art. 32 Abs. 1 und 2 DSGVO und § 62 BDSG ist der Verantwortliche für personenbezogene Daten verpflichtet, für die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz zu sorgen. Wenn er personenbezogene Daten andere Personen oder Stellen damit beauftragt, diese zu verarbeiten, hat er dafür Sorge zu tragen, dass der Auftragsverarbeiter entsprechend dem Stand der Technik die erforderlichen technischen und organisatorischen Maßnahmen zum Schutz der personenbezogenen Daten und für die rechtmäßige Datenverarbeitung der von ihm verarbeiteten Daten trifft.

Es sind gemäß § 64 Abs. 3 BDSG Maßnahmen zu ergreifen, die unter anderem Folgendes bezwecken:

• Verhinderung des unbefugten Lesens, Kopierens, Veränderns oder Löschens von Datenträgern (Datenträgerkontrolle),
• Verhinderung der unbefugten Eingabe von personenbezogenen Daten sowie der unbefugten Kenntnisnahme, Veränderung und Löschung von gespeicherten personenbezogenen Daten (Speicherkontrolle),
• Verhinderung der Nutzung automatisierter Verarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung durch Unbefugte (Benutzerkontrolle),
• Gewährleistung, dass die zur Benutzung eines automatisierten Verarbeitungssystems Berechtigten ausschließlich zu den von ihrer Zugangsberechtigung umfassten personenbezogenen Daten Zugang haben (Zugriffskontrolle),
• Gewährleistung, dass überprüft und festgestellt werden kann, an welche Stellen personenbezogene
• Daten mit Hilfe von Einrichtungen zur Datenübertragung übermittelt oder zur Verfügung gestellt wurden oder werden können (Übertragungskontrolle),
• Gewährleistung, dass nachträglich überprüft und festgestellt werden kann, welche personenbezogenen Daten zu welcher Zeit und von wem in automatisierte Verarbeitungssysteme eingegeben oder verändert worden sind (Eingabekontrolle), Gewährleistung, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle),

9.1. Kontrollmaßnahmen zur Authentifizierung des tatsächlichen Nutzers (Talent)

Frequenzanalyse: Es werden laufend die Stimmfrequenzen des Nutzers analysiert und anhand eines Stimmabgleichs automatisiert überprüft, ob diese mit der während des Registrierungsprozesses erstellten Stimmfrequenz des Talents übereinstimmen. Auf diese Weise kann auch festgestellt werden, ob sich unbefugte Dritte im Raum aufhalten.

Tippverhalten: Das Verhalten des Benutzers beim Tippen auf der Tastatur wird laufend gemessen. Der Nutzer kann aufgrund der gemessenen Eigenschaften durch Abgleich von gespeicherten Daten identifiziert werden. So kann insbesondere die Übernahme des Computers durch eine andere Person erkannt werden.

9.2. Maßnahmen zur Qualitätskontrolle

Silent Monitoring: Die Yoummday GmbH hat die Möglichkeit, aktuell laufende Gespräche mitzuhören. Dies erfolgt zum einen aus Schulungszwecken, um dem Talent durch ein Feedback eines Trainers die Möglichkeit zu eröffnen, seine Gesprächsführung zu verbessern und dadurch bessere Ergebnisse zu erzielen. Diese Maßnahme erfolgt nur, wenn sich sowohl der Gesprächspartner als auch das Talent hiermit im Vorfeld ausdrücklich einverstanden erklärt haben. Voice Recording: Die Gespräche eines Talents können von der Yoummday GmbH elektronisch aufgezeichnet werden. Dabei wird jedoch nur das gesprochene Wort des Talents, nicht aber das des Gesprächspartners gespeichert. Die Aufzeichnung erfolgt regelmäßig nur mit vorheriger Zustimmung des Talents. Allerdings kann dies im Einzelfall auch ohne dessen Kenntnis und Zustimmung erfolgen, wenn hierzu Kundenbeschwerden Anlass.

10. IMPRESSUM UND DATENSCHUTZERKLÄRUNGEN

DSGVO-konform auf der betriebenen Webseite, erreichbar unter den folgendem Links:

Impressum

Datenschutz

Datenschutzinformation (Art. 12ff. DSGVO)

AGB für Talente

11. BETROFFENENRECHTE WAHREN

Grundsätzlich stellen wir jedem Nutzer bzw. Betroffenen die jeweils aktuelle Version unseres Datenschutzkonzeptes zur Verfügung.

Gemäß der DSGVO hat jeder Betroffene folgende Rechte:

• Recht auf Auskunft (Art 15 DSGVO)
• Recht auf Berichtigung (Art 16 DSGVO)
• Recht auf Löschung (Art 17 DSGVO)
• Recht auf Einschränkung (Art 18 DSGVO)
• Recht auf Übertragbarkeit (Art 20 DSGVO)
• Recht auf Widerspruch (Art 21 DSGVO)
• Recht auf Beschwerde bei der Datenschutzbehörde

11.1. Betroffenenrechte: Prozessketten

Wir erhalten Kenntnis, dass ein Betroffener seine Rechte geltend machen will, sei es z. B. mündlich, schriftlich, oder per E-Mail

Sollte der Betroffene uns nicht persönlich bekannt sein, so müssen wir zwecks Vermeidung einer Datenschutzverletzung die Identität des Antragsstellers (Betroffenen) feststellen:

„Sehr geehrte Frau/Herr ...,

Da wir Sie leider noch nicht persönlich kennen lernen durften, bitten wir Sie, um keine Datenschutzverletzung zu begehen – wie z. B. personenbezogene Daten an eine falsche Person weiterzuleiten – uns eine Kopie/Scan Ihres Personalausweises/Reisepasses zukommen zu lassen. Ihrer Bitte in Sachen Datenschutz werden wir dann umgehend nachkommen. Wir danken Ihnen für Ihr Verständnis.

Mit freundlichen Grüßen“

• Identität kann nicht zweifelsfrei festgestellt werden und der Betroffene meldet sich trotz Information darüber nicht mehr: => Keine Aktivitäten notwendig.
• Identität zweifelsfrei festgestellt und Anfrage ist rechtens: Der Betroffene bekommt gemäß Art 19 DSGVO innerhalb von maximal 14 Tagen abhängig von seiner Anfrage in klarer und verständlicher Sprache folgende Antworten: „Recht auf Auskunft (Art 15 DSGVO)“

Der Betroffene bekommt als PDF sein Stammdatenblatt mit allen personenbezogenen Daten (Screenshot)

Recht auf Berichtigung (Art 16 DSGVO)

Der Betroffene bekommt als PDF sein Stammdatenblatt mit den berichtigten personenbezogenen Daten (Screenshot)

Recht auf Löschung (Art 17 DSGVO)

Der Betroffene bekommt als PDF sein Stammdatenblatt ohne personenbezogene Daten (ausgenommen Name) als Nachweis, dass die Löschung erfolgt ist mit dem Hinweis, dass

• die Daten anonymisiert für die interne Statistik verwendet werden
• nach Kopie des Stammdatenblattes auch das ganze Stammdatenblatt inklusive Namen unwiderruflich gelöscht wurde (Screenshot)
• oder bei einem bestehenden oder abgeschlossenem Vertrag mit dem Betroffenen werde ich alle Daten löschen (~ Marketingdaten) bis auf jene, wo wir nach Art 6 Z 1 lit f ein berechtigtes Interessen des Verantwortlichen bzw. lit c (gesetzliche Verpflichtungen z. B. nach der BAO und dem UGB; vor allem Buchhaltungsunterlagen) DSGVO geltend machen können und wir werden daher aufgrund der gesetzlichen Aufbewahrungsfristen diese Daten auf jeden Fall erst nach 7 Jahren löschen; darüber hinausgehend bis zur Beendigung eines allfälligen Rechtsstreits, fortlaufender Gewährleistungs- oder Garantiefristen die personenbezogen Daten löschen.
• In diesen Fällen tritt an Stelle einer Löschung der Buchhaltungsdaten eine Sperrung (Einschränkung).

Recht auf Einschränkung (Art 18 DSGVO) Der Betroffene bekommt als PDF sein Stammdatenblatt, dem er entnehmen kann, dass bei „Recht auf Einschränkung geltend gemacht“ ein Haken gesetzt ist und somit keine Verarbeitung seiner personenbezogenen Daten erfolgt. (Screenshot)

Recht auf Übertragbarkeit (Art 20 DSGVO) Der Betroffene bekommt als PDF sein Stammdatenblatt mit allen personenbezogenen Daten (als PDF, da es maschinell lesbar sein sollte), gemäß Art 20 Z2 DSGVO übermitteln wir sein Stammdatenblatt mit allen personenbezogenen Daten per CC an einen anderen Verantwortlichen, den der Betroffene uns genannt hat per E-Mail, aber nur über eine sichere und verschlüsselte Übertragung. Ansonsten ausgedruckt per eingeschriebenen Brief auf Kosten des Betroffenen.

Recht auf Beschwerde bei der Datenschutzbehörde

11.2. Meldung von Datenschutzverletzungen: Prozesskette

Die DSGVO definiert in Art. 33 eine „Verletzung des Schutzes personenbezogener Daten“ (Data-Breach) als eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.

• Wir erlangen Kenntnis von einer Datenschutzverletzung.
• Innerhalb von 72 Stunden melden wir mit Hilfe des „Muster-Datenschutzverletzungsmitteilung“ (siehe Anhang) an die gemäß Art 55 DSGVO zuständige Aufsichtsbehörde, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.
• Wir informieren Betroffene umgehend mit einem Anschreiben und einer Kopie der Meldemitteilung an die Datenschutzaufsichtsbehörde.
• Wir werden alle Verletzungen des Schutzes personenbezogener Daten einschließlich aller damit im Zusammenhang stehenden Fakten (Auswirkungen, ergriffene Abhilfemaßnahmen) dokumentieren. Diese Dokumentation dient der Aufsichtsbehörde zur Überprüfung der korrekten Einhaltung der Meldepflicht, siehe Art 33 Z5 DSGVO.

12. CHECKLISTE FÜR DEN JÄHRLICHEN KONTROLL- UND VERBESSERUNGSPROZESS

Die folgende Checkliste dient als Umsetzungshilfe für die Prüfung und Dokumentation des Umsetzungszustandes der Sicherheitsmaßnahmen für kleine Einrichtungen. Die Checkliste kann ebenso als Nachweis der Bemühungen zur Umsetzung der IT-Sicherheit verwendet werden.

1. Werden neue Mitarbeitende bei der Einstellung auf bestehende Regelungen und Handlungsanweisungen zur Informationssicherheit hingewiesen?
2. Sind die wichtigen Schlüsselpositionen durch einen Vertreter besetzt?
3. Haben alle Mitarbeitenden eine Verpflichtung zur Wahrung des Datengeheimnisses unterschrieben?
4. Werden Backup-Datenträger in einem gesonderten Raum aufbewahrt?
5. Sind auf allen Clients Virenschutzprogramme installiert?
6. Werden Betriebssysteme und Anwendungen regelmäßig aktualisiert?
7. Gibt es eine Checkliste für Mitarbeitende zur Beendigung des Arbeitsverhältnisses?
8. Gibt es eine Benutzer- und Rechteverwaltung für IT-Systeme und Anwendungen?
9. Gibt es Passwortregelungen für IT-Systeme und Anwendungen und werden diese umgesetzt?
10. Werden alle Mitarbeitenden über die Regelungen zur Nutzung von Standardsoftware informiert?
11. Wird ausschließlich Software aus vertrauenswürdigen Quellen installiert?
12. Gibt es regelmäßige Kontrollen bezüglich der installierten Software?
13. Sind auf Clients und Servern automatische Updates aktiviert?
14. Gibt es spezielle Handlungsanweisungen und Tools zum Löschen und Vernichten von Daten?
15. Sind Türen und Fenster in der Regel verschlossen, wenn die Mitarbeitenden nicht am Platz sind?
16. Sind in den Büros verschließbare Schreibtische oder Schränke vorhanden?
17. Gibt es in Büros mit Publikumsverkehr Diebstahlsicherungen für IT-Systeme?
18. Sind am mobilen Arbeitsplatz verschließbare Schreibtische oder Schränke vorhanden?
19. Gibt es Regelungen welche dienstlichen Unterlagen am häuslichen Arbeitsplatz bearbeitet und zwischen der Institution und dem häuslichen Arbeitsplatz hin und her transportiert werden dürfen?
20. Ist auf allen Clients die Bildschirmsperre aktiviert?
21. Ist der Zugriff von mobilen Laptops auf das LAN abgesichert?
22. Ist die Verschlüsselung von E-Mail-Kommunikation zwischen Client und Server aktiviert?
23. Ist bei allen Mobiltelefonen/Smartphones die Eingabe der Geräte-PIN aktiviert?
24. Werden alle vertraulichen Daten nur verschlüsselt auf Mobiltelefonen/Smartphones oder Speicherkarten gespeichert?
25. Wird bei WLAN das Verschlüsselungsverfahren WPA2 eingesetzt?
26. Werden die Schlüssel für den WLAN-Zugriff regelmäßig gewechselt?

13. ZUSAMMENFASSUNG

Wir sehen das hier dokumentierte Datenschutzniveau mit den gesetzten TOMs für uns als angemessen und ausreichend an. Wir können also unseren Kunden mit gutem Gewissen sagen:

Liebe Kundin, lieber Kunde, liebe Interessentin, lieber Interessent!

Vertrauen ist die Grundlage und Voraussetzung für unsere Yoummday Plattform. Daher sind auch alle Ihre persönlichen und beruflichen Daten bei uns in guten Händen.

Wir sichern Ihnen zu, dass wir sorgsam und streng vertraulich damit umgehen und unsere Datenschutzmaßnahmen immer dem aktuellen Gesetzesstand entsprechen und unsere Soft- und Hardware stets auf dem aktuellsten Stand sind.

Darauf können Sie vertrauen.

München 03.05.2022

Datum, Ort, Stempel Unterschrift

Hinweis: Ein Original dieses Datensicherheitskonzepts mit Unterschrift ist in unserem Archiv abgelegt. Die digitale Version des Datensicherheitskonzepts ist ohne Unterschrift gültig

KONTAKT

 Bei weiteren Fragen, wenden Sie sich an:

Jörg Hoffmann
E-Mail:  joerg.hoffmann@yoummday.com

MERKBLATT ZU GESCHÄFTS- UND BETRIEBSGEHEIMNISSEN

Was sind Geschäfts- und Betriebsgeheimnisse?
Was ist kein Geheimnis?
Welche Geheimhaltungs- und Rückgabepflichten hast du?
Welche Folgen drohen bei Verstößen?

MERKBLATT ZU GESCHÄFTS- UND BETRIEBSGEHEIMNISSEN

Du wirst heute über deine Pflicht zur Wahrung von Geschäfts- und Betriebsgeheimnissen belehrt. Dieses Merkblatt gibt dir die Möglichkeit, das Wichtigste noch einmal nachzulesen. Solltest du Fragen haben, zögere nicht, deinen Vorgesetzten anzusprechen.

Was sind Geschäfts- und Betriebsgeheimnisse?

Betriebs- und Geschäftsgeheimnisse sind im Zusammenhang mit Yoummday stehende Tatsachen, Umstände und Vorgänge, die nicht offenkundig, sondern nur einem begrenzten Personenkreis zugänglich sind und an deren Nichtverbreitung Yoummday ein berechtigtes Interesse hat.

Geschäftsgeheimnisse betreffen eher kaufmännische Fragen. Beispiele: einzelne Geschäftsvorgänge, Angebots- und Vertragsunterlagen, Kunden- und Lieferantendaten, Marktdaten, Marktstrategien, Kalkulationen, Preise, Konditionen, Bilanzen, Mitarbeiter, Organisation.

Betriebsgeheimnisse beziehen sich eher auf den organisatorischen oder technischen Bereich. Beispiele: Konstruktionspläne und -gedanken, Rezepturen, Kontrollverfahren und -ergebnisse, Eigenschafts- und Wirkungsanalysen, Funktionsweisen, Produktionsmethoden, Verfahrensabläufe, Planungen für neue Produkte oder Änderungen, Entwicklungen einschließlich der angestrebten Aufgabenlösung, Entwicklungsschritte, Konstruktions- oder Programmiermethoden.

Betriebsgeheimnis kann auch die Information sein, dass ein Unternehmen ein eigentlich offenkundiges Verfahren oder ein bestimmtes Computerprogramm nutzt. Betriebsgeheimnis ist beispielsweise auch eine Diensterfindung, sogar wenn du selbst die Erfindung gemacht hast und noch niemand außer dir davon weiß.

Bevor du eine Information, die du ihm Rahmen deiner Tätigkeit bei Yoummday erhalten hast, weitergibst oder für dich selbst verwendest, frag bitte sicherheitshalber bei deinem Vorgesetzten nach, ob hiergegen Bedenken bestehen. Dies gilt auch nach dem Ende deiner Tätigkeit bei Yoummday.

Was ist kein Geheimnis?

Wenn eine Tatsache offenkundig ist, stellt sie kein Geschäfts- oder Betriebsgeheimnis mehr dar. Offenkundig ist eine Tatsache, wenn sie beliebigem Zugriff preisgegeben ist, etwa durch Veröffentlichung in einer Zeitung.

Für eine Offenkundigkeit genügt es nicht schon, dass etwa Zusammensetzung und Herstellungsweise eines Produkts durch detaillierte Untersuchungen und Überlegungen aufgedeckt werden können. Auch darf Mitarbeitern das Geheimnis natürlich bekannt gemacht werden, ohne seinen Charakter als Geheimnis zu verlieren, da für Mitarbeiter eine gesetzliche Verschwiegenheitspflicht gilt. Die Einweihung externer Personen ist unschädlich, wenn sich das Erfordernis der Verschwiegenheit ausdrücklich oder aus den Umständen ergibt. Dies nimmt die Rechtsprechung auch ohne Vereinbarung an, wenn beispielsweise ein anderes Unternehmen Pläne ausführen soll oder fremde Experten hinzugezogen werden. Selbst wenn ein Geheimnis verraten wird, beseitigt dies den Geheimnischarakter nicht ohne Weiteres.

Welche Geheimhaltungs- und Rückgabepflichten hast du?

Geschäfts- und Betriebsgeheimnisse darfst du während und auch nach Beendigung deiner Tätigkeit bei Yoummday nicht an Dritte weitergeben. Dritter ist jeder, dem das Geheimnis nicht zugänglich ist. Dies betrifft nicht nur Konkurrenten, sondern auch Mitarbeiter von Yoummday, die das Geheimnis nicht kennen, Familienangehörige usw. Als Arbeitnehmer darfst du Geschäfts- und Betriebsgeheimnisse zudem nicht zu eigenen Zwecken verwenden.

Unterlagen, Materialien, Geräte usw., die Geschäfts- oder Betriebsgeheimnisse enthalten, darfst du nur aus dem Betrieb mitnehmen, wenn du dafür die Erlaubnis deines Vorgesetzten hast. Falls du im Home oder Mobile-Office arbeiten, gilt für dich zusätzlich die Richtlinie Home Office/Mobile-Office (Telearbeit). Andere Geheimhaltungspflichten – etwa deine datenschutzrechtlichen Vertraulichkeitspflichten – bestehen zusätzlich.

Alle Geschäftsunterlagen, egal, ob du diese von Yoummday oder von Dritten erhalten oder selbst erstellt hast, musst du bei Ende des Arbeitsverhältnisses unaufgefordert zurückgeben. Auch selbst erstellte Notizen (z. B. Dateien) musst du zurückgeben bzw. löschen. Dein Vorgesetzter kann dich auch während des Arbeitsverhältnisses jederzeit zur Rückgabe oder Löschung auffordern.

Welche Folgen drohen bei Verstößen?

Wenn du dir unbefugt Geschäfts- und Betriebsgeheimnisse verschaffst oder sicherst (beispielsweise ein Geheimnis kopieren oder es aus dem Gedächtnis aufschreiben – auch wenn dir das Geheimnis rechtmäßig bekannt ist), sie an Dritte mitteilst oder verwertest, kannst du nach § 17 UWG mit bis zu fünf Jahren Haft bestraft werden.

Weitere mögliche Folgen sind Schadensersatzpflichten und Unterlassungsklagen (ggf. auch gegen deinen neuen Arbeitgeber) und (während des Bestehens des Arbeitsverhältnisses) fristgerechte oder fristlose Kündigung.

* Die hier gewählte männliche Form bezieht sich immer zugleich auf weibliche, männliche und diverse Personen.

MERKBLATT ZUM TELEKOMMUNIKATIONSGEHEIMNIS

Das Fernmelde- oder Telekommunikationsgeheimnis
Ihre Pflicht zur Wahrung des Fernmeldegeheimnisses Auskunftsverlangen
Folgen von Verstößen
Wortlaut der Gesetze

MERKBLATT ZUM TELEKOMMUNIKATIONSGEHEIMNIS

Du wurdest heute auf das Fernmeldegeheimnis verpflichtet. Dabei erhältst du eine Belehrung über die Pflichten, die sich für dich aus dem Fernmeldegeheimnis ergeben. Dieses Merkblatt gibt dir die Möglichkeit, das Wichtigste noch einmal nachzulesen. Solltest du Fragen haben, zögere nicht deinen Vorgesetzten oder den betrieblichen Datenschutzbeauftragten zu fragen.

Das Fernmelde- oder Telekommunikationsgeheimnis

Das Fernmeldegeheimnis schützt nicht nur Telefonate und Faxe, sondern auch moderne Kommunikationsformen wie E-Mail. Es wird daher auch Telekommunikationsgeheimnis genannt. Es handelt sich um ein Grundrecht (Art. 10 des Grundgesetzes – GG), das in § 88 des Telekommunikationsgesetzes (TKG) und § 206 des Strafgesetzbuches (StGB) genauer geregelt ist. §§ 91 ff. TKG regeln den Datenschutz bei Telekommunikation. In besonderen Fällen kann statt des TKG auch die Datenschutz-Grundverordnung (DS-GVO), ggf. auch das Bundesdatenschutzgesetz (BDSG), anwendbar sein.

Das Fernmeldegeheimnis schützt einerseits den Inhalt der Kommunikation: Was wurde bei dem Telefonat besprochen? Welche Daten wurden übertragen? Was steht in der E-Mail oder der Chat-Nachricht? Und auch: Was steht im Betreff der E-Mail?

Das Fernmeldegeheimnis schützt andererseits aber auch die „näheren Umstände der Telekommunikation“: Wer hat wann mit wem telefoniert oder gemailt? Welche Internetseiten wurden aufgerufen? Wer hat vergeblich versucht, eine Telefonverbindung aufzubauen?

Nicht nur Yoummday, sondern auch du persönlich musst das Fernmeldegeheimnis einhalten. Diese Pflicht ergibt sich bereits aus dem Gesetz (§ 88 TKG, § 206 StGB). Deine heutige förmliche Verpflichtung auf das Fernmeldegeheimnis dient nur dazu, dir deutlich zu machen, wie wichtig diese Pflicht ist.

Bitte beachte:

Das Fernmeldegeheimnis gilt zeitlich unbefristet, und zwar selbst dann, wenn du nicht mehr für uns tätig sind (so ausdrücklich § 88 Abs. 1 S. 2 TKG; dies gilt aber auch für § 206 StGB). Es gilt gegenüber allen Personen, die nicht dienstlich für die jeweilige Sache zuständig sind – also auch gegenüber allen anderen Kollegen, deiner Familie und der Presse.

Ihre Pflicht zur Wahrung des Fernmeldegeheimnisses

Informationen, die dem Fernmeldegeheimnis unterliegen, musst du absolut vertraulich behandeln. Du darfst also beispielsweise nicht Einzelverbindungsnachweise oder Logfiles über Telekommunikationsverbindungen auswerten, E-Mail-Postfächer einsehen oder Ähnliches, außer dies ist ausnahmsweise gesetzlich erlaubt. Die wichtigste Erlaubnis enthält § 88 Abs. 3 S. 1 TKG: Wenn wir den Telekommunikationsdienst nur erbringen können bzw. unsere Telekommunikationssysteme nur schützen können, wenn wir von bestimmten dem Fernmeldegeheimnis unterliegenden Informationen Kenntnis haben, ist uns die Kenntnisnahme erlaubt. §§ 96 und 97 TKG erlauben uns, Verbindungsdaten zu speichern und zu verwenden, soweit das für die Abrechnung erforderlich ist. Zur Störungs- und Betrugsbekämpfung erlaubt uns § 100 TKG in bestimmten Fällen, Verbindungsdaten zu nutzen. (In besonderen Fällen kann statt des TKG auch die DS-GVO, evtl. das BDSG, anwendbar sein.) Welche Daten im konkreten Fall wofür gespeichert und genutzt werden dürfen, erläutert dir dein Vorgesetzter.

Beachte bitte, dass diese Erlaubnisse nur soweit bestehen, wie die Kenntnis, Speicherung oder Nutzung unbedingt für den jeweiligen Zweck erforderlich ist. Musst du zur Behebung eines technischen Fehlers beispielsweise zwingend in eine Mailbox schauen, darfst du das nur insoweit, wie es sich nicht vermeiden lässt: Genügt es etwa, den Header einer E-Mail auszuwerten, darfst du den Nachrichtentext selbst nicht lesen. Natürlich darfst du Dinge, die dem Fernmeldegeheimnis unterliegen, auch dann nicht weitersagen, wenn du zur Administration ausnahmsweise legal davon Kenntnis erlangt hast – auch nicht deinem Vorgesetzten. Ausnahme: Wenn du zufällig davon erfährst, dass eine schwere, in § 138 StGB genannte Straftat geplant wird.

Auskunftsverlangen

Es kann sein, dass die Polizei oder andere Stellen auf dich zukommt und bestimmte Informationen wünscht, etwa zu Nutzern oder Angaben, die dem Telekommunikationsgeheimnis unterliegen. Derartige Anfragen leite bitte sofort an den internen Datenschutzkoordinator weiter. Du selbst darfst keine Auskünfte erteilen, wenn dies nicht ausdrücklich zu deinem Aufgabengebiet gehört.

Folgen von Verstößen

Verstößt du gegen das Fernmeldegeheimnis, droht dir dafür unter Umständen bis zu fünf Jahre Haft.

§ 206 StGB stellt es (unter anderem) unter Strafe, Informationen weiterzugeben, die dem Fernmeldegeheimnis unterliegen. Ebenfalls ist es strafbar, anvertraute Sendungen (insbesondere E-Mails) unbefugt zu unterdrücken, etwa zu löschen oder über längere Zeit zurückzuhalten.

Bestimmte Verstöße gegen das TKG können zudem ein Bußgeld zur Folge haben, z. B. wenn unzulässig Daten erhoben oder nicht gelöscht werden (§ 149 TKG). Unter Umständen kommen weitere Bußgeld- und Straftatbestände in Betracht, etwa Verstöße gegen das Datenschutzrecht (Art. 83 DS-GVO, §§ 42, 43 BDSG), Verrat von Geschäfts- und Betriebsgeheimnissen (§ 17 UWG), Ausspähen von Daten (§ 202 a StGB), Computerbetrug (§ 263 a StGB).

Schwere Schäden für Yoummday kann es verursachen, wenn eine so genannte Datenpanne öffentlich bekannt wird. Kunden verlieren das Vertrauen und Nutzen nicht mehr unsere Dienste, wenn sie nicht sicher sein können, dass ihre Daten bei uns in guten Händen sind. Hinzu kommt, dass wir nach der DSGVO verpflichtet sein können, eine Datenpanne allen Betroffenen mitzuteilen und ggf. zusätzlich die Öffentlichkeit informieren müssen. Bitte helfe mit, dass das Telekommunikationsgeheimnis bei uns immer gewahrt bleibt.

Kommt es durch Verstöße gegen das Fernmeldegeheimnis zu Schäden, müssen wir und ggf. auch du persönlich Schadensersatz leisten. Dir persönlich drohen zudem arbeitsrechtliche Konsequenzen, wenn du gegen das Fernmeldegeheimnis verstößt.

Denkbar sind je nach Schwere des Fehlverhaltens insbesondere eine Abmahnung, eine fristgerechte Kündigung oder sogar eine fristlose Kündigung ohne vorherige Verwarnung.

Wortlaut der Gesetze

Telekommunikationsgesetz (TKG) § 88 Fernmeldegeheimnis

(1) Dem Fernmeldegeheimnis unterliegen der Inhalt der Telekommunikation und ihre näheren Umstände, insbesondere die Tatsache, ob jemand an einem Telekommunikationsvorgang beteiligt ist oder war. Das Fernmeldegeheimnis erstreckt sich auch auf die näheren Umstände erfolgloser Verbindungsversuche.

(2) Zur Wahrung des Fernmeldegeheimnisses ist jeder Diensteanbieter verpflichtet. Die Pflicht zur Geheimhaltung besteht auch nach dem Ende der Tätigkeit fort, durch die sie begründet worden ist.

(3) Den nach Absatz 2 Verpflichteten ist es untersagt, sich oder anderen über das für die geschäftsmäßige Erbringung der Telekommunikationsdienste einschließlich des Schutzes ihrer technischen Systeme erforderliche Maß hinaus Kenntnis vom Inhalt oder den näheren Umständen der Telekommunikation zu verschaffen. Sie dürfen Kenntnisse über Tatsachen, die dem Fernmeldegeheimnis unterliegen, nur für den in Satz 1 genannten Zweck verwenden. Eine Verwendung dieser Kenntnisse für andere Zwecke, insbesondere die Weitergabe an andere, ist nur zulässig, soweit dieses Gesetz oder eine andere gesetzliche Vorschrift dies vorsieht und sich dabei ausdrücklich auf Telekommunikationsvorgänge bezieht. Die Anzeigepflicht nach § 138 des Strafgesetzbuches hat Vorrang.

(4) Befindet sich die Telekommunikationsanlage an Bord eines Wasser- oder Luftfahrzeugs, so besteht die Pflicht zur Wahrung des Geheimnisses nicht gegenüber der Person, die das Fahrzeug führt oder gegenüber ihrer Stellvertretung.

Strafgesetzbuch (StGB)

§ 206 Verletzung des Post- oder Fernmeldegeheimnisses

(1) Wer unbefugt einer anderen Person eine Mitteilung über Tatsachen macht, die dem Post- oder Fernmeldegeheimnis unterliegen und die ihm als Inhaber oder Beschäftigtem eines Unternehmens bekanntgeworden sind, das geschäftsmäßig Post- oder Telekommunikationsdienste erbringt, wird mit Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe bestraft.

(2) Ebenso wird bestraft, wer als Inhaber oder Beschäftigter eines in Absatz 1 bezeichneten Unternehmens unbefugt

1. eine Sendung, die einem solchen Unternehmen zur Übermittlung anvertraut worden und verschlossen ist, öffnet oder sich von ihrem Inhalt ohne Öffnung des Verschlusses unter Anwendung technischer Mittel Kenntnis verschafft,
2. eine einem solchen Unternehmen zur Übermittlung anvertraute Sendung unterdrückt oder
3. eine der in Absatz 1 oder in Nummer 1 oder 2 bezeichneten Handlungen gestattet oder fördert.

(3) Die Absätze 1 und 2 gelten auch für Personen, die

1. Aufgaben der Aufsicht über ein in Absatz 1 bezeichnetes Unternehmen wahrnehmen,
2. von einem solchen Unternehmen oder mit dessen Ermächtigung mit dem Erbringen von Post- oder Telekommunikationsdiensten betraut sind oder
3. mit der Herstellung einer dem Betrieb eines solchen Unternehmens dienenden Anlage oder mit Arbeiten daran betraut sind.
4. Wer unbefugt einer anderen Person eine Mitteilung über Tatsachen macht, die ihm als außerhalb des Post- oder Telekommunikationsbereichs tätigem Amtsträger auf Grund eines befugten oder unbefugten Eingriffs in das Post- oder Fernmeldegeheimnis bekanntgeworden sind, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft.
5. Dem Postgeheimnis unterliegen die näheren Umstände des Postverkehrs bestimmter Personen sowie der Inhalt von Postsendungen. Dem Fernmeldegeheimnis unterliegen der Inhalt der Telekommunikation und ihre näheren Umstände, insbesondere die Tatsache, ob jemand an einem Telekommunikationsvorgang beteiligt ist oder war. Das Fernmeldegeheimnis erstreckt sich auch auf die näheren Umstände erfolgloser Verbindungsversuche.

BELEHRUNG ÜBER DIE VERPFLICHTUNG NICHT GEGEN DAS GESETZ GEGEN DEN UNLAUTEREN WETTBEWERB (UWG) ZU VERSTOSSEN

Was bedeutet „unlauter“?
Was ist verboten?
„Schwarze Liste“ (Anhang zu § 3 Abs. 3 UWG)
Welche Rechtsfolgen hat unlauteres Verhalten?
Anlage zur Belehrung über die Verpflichtung nicht gegen das Gesetz gegen den unlauteren
Wettbewerb (UWG) zu verstoßen

BELEHRUNG ÜBER DIE VERPFLICHTUNG NICHT GEGEN DAS GESETZ GEGEN DEN UNLAUTEREN WETTBEWERB (UWG) ZU VERSTOSSEN

Die Mitarbeiter werden darüber belehrt, im Rahmen der telefonischen Tätigkeit keine unlauteren geschäftlichen Handlungen vorzunehmen:

Was bedeutet „unlauter“?

Geschäftliche Handlungen sind insbesondere gegenüber Verbrauchern unlauter und damit unzulässig, wenn sie dazu geeignet sind, auf die persönliche Entscheidungsfähigkeit derart einzuwirken, dass die Fähigkeit, sich auf Grund von Informationen zu entscheiden, spürbar beeinträchtigt wird. Damit soll verhindert werden, dass dadurch geschäftliche Entscheidungen herbeigeführt werden, die die die Betroffenen andernfalls voraussichtlich nicht getroffen hätten.

Die gesetzlichen Bestimmungen umfassen insoweit verschiedene Verhaltensregelungen, die bei jeglichem Telefonkontakt zwingend zu beachten sind.

Was ist verboten?

Eine Beeinträchtigung der persönlichen Entscheidungsfreiheit kann von unterschiedlichem telefonischen Verhalten ausgehen. Hierzu sollen die wichtigsten Verbote für den telefonischen Geschäftsverkehr dargestellt werden:

Unzumutbare Belästigung (§ 7 UWG)Nicht erbetene Anrufe zu Werbezwecken sind als aufdringliche und belästigende Werbung anzusehen. Anrufe zur Kaltakquise, um Neukunden zu gewinnen, sind daher wegen Kundenfangs durch Belästigung grundsätzlich verboten.

Ausnahmen gelten nur dann, wenn

• ein Verbraucher vor dem Werbeanruf ausdrücklich die Einwilligung erklärt hat. Hierzu ist es nicht ausreichend, wenn die erste Frage des Anrufers ist „Sind Sie mit dieser Telefonwerbung einverstanden?“, da damit die Belästigung bereits entstanden ist.
• bei Gewerbetreibenden eine mutmaßliche Einwilligung zu vermuten ist. Diese ist aber nur dann sicher zu vermuten, wenn der Anruf im Zusammenhang mit einer bestehenden Geschäftsbeziehung erfolgt und über die Art des vorhandenen Geschäftes nicht hinausgeht.
• der Angesprochene selbst Kontakt aufgenommen hat und ausdrücklich um den Rückruf in einer bestimmten Angelegenheit gebeten hat.

Aggressive Verkaufsmethoden (§ 4 a UWG)

Es gilt, keinerlei Druck oder Beeinflussung - weder rechtlich noch psychologisch auf eine telefonische Vertragsentscheidung auszuüben und jederzeit einen freundlichen Ton zu bewahren.

Anschwärzen von Mitbewerbern bzw. Geschäftliche Verleumdung, Herabsetzung und Verunglimpfung (§ 4 Nr. 1 und 2 UWG)

Mitbewerber sollen vor unwahren geschäftsschädigenden Tatsachenbehauptungen geschützt werden. Negative Behauptungen sind nur zulässig, wenn sie nachweislich wahr sind. D.h. im telefonischen Kontakt ist bei negativen Äußerungen über Mitbewerber größte Vorsicht geboten. Hier kann auch ganz schnell auch der Bereich des Strafrechts (z.B. Verleumdung) tangiert werden.

Irreführende geschäftliche Handlungen gemäß § 5 UWG

Im telefonischen Kontakt dürfen zudem keine irreführenden Aussagen getroffen werden, die geeignet sind, eine geschäftliche Entscheidung zu beeinflussen. Unzulässig sind insbesondere:

• unwahre Werbeaussagen oder Angaben zu Waren oder Dienstleistungen,
• wahre Werbeaussagen, sofern sie von den Angesprochenen falsch verstanden werden,
• Werbung mit Selbstverständlichkeiten wie zum Beispiel: „Bei uns bekommen Sie zwei Jahre Gewährleistung/Garantie“, da die gesetzlich vorgeschriebene Gewährleistung eben zwei Jahre beträgt,
• unvollständige oder unterlassene Angaben wie zum Beispiel das Verschweigen, dass es sich um eine Ware zweiter Wahl oder um ein Auslaufmodell handelt.

Vergleichende Werbung (§ 6 UWG)

Häufig werden in telefonischen Vertragsanbahnungen, Vergleiche zu den Waren- oder Dienstleistungen der Mitbewerber oder zum Mitbewerber selber vorgenommen. Vergleichende Werbung ist zwar grundsätzlich zulässig, aber auch ganz schnell sittenwidrig, wenn sie in den Verbotskatalog des § 6 Abs. 2 UWG fällt. Neben vielen Einzelfällen, gilt hier der Grundsatz, dass ein Vergleich nur zulässig ist, wenn er auf nachweislich wahren Tatsachen beruht.

• Vorsicht ist daher bei Alleinstellungsausagen geboten wie zum Beispiel: „Der Größte...“, „Der Beste...“, „Führendes Unternehmen im Bereich...“, „Die Nummer 1“.

Die Werbung mit einer Spitzenstellung ist nur dann zulässig, wenn diese Stellung anhand objektiv nachprüfbarer Kriterien beweisbar ist und der Werbende mit einer gewissen Stetigkeit einen deutlichen Vorsprung vor seinen Mitbewerbern aufweist.

Äußerungen, die sich in einem bloßen Werturteil erschöpfen, wie zum Beispiel: „Das Produkt finde ich persönlich schlechter oder besser“ stellen keine Tatsachenbehauptung dar und werden somit von den Vorschriften zur vergleichende Werbung nicht erfasst.

Verletzung von Geschäftsgeheimnissen (auf die gesonderte Belehrung zu diesem Thema wird verwiesen).

„Schwarze Liste“ (Anhang zu § 3 Abs. 3 UWG)

Zur Ergänzung dessen wird in der Anlage 1 der Belehrung noch der Anhang zu § 3 Abs. 3 des Gesetzes gegen den unlauteren Wettbewerb (UWG) beigefügt. Diese sogenannte „schwarze Liste“ enthält 30 exemplarische Tatbestände unlauteren Verhaltens, die in jedem Fall unzulässig sind. Auch wenn diese Tatbestände den telefonischen Kontakt nur teilweise betreffen, ist die Durchsicht ist im Rahmen der Belehrung verpflichtend.

Welche Rechtsfolgen hat unlauteres Verhalten?

Ein Verstoß gegen die Verhaltensverbote begründet die Sittenwidrigkeit seines Handelns. Verträge, die durch sittenwidriges Handeln zustande kommen, sind damit nach § 138 BGB nichtig.

Es drohen insbesondere Unterlassungs- und Schadensersatzansprüche, welche auch gegenüber dem Arbeitgeber geltend gemacht werden können.

Verstöße gegen das Verbot unzulässiger Telefonwerbung gegenüber Verbrauchern sind zudem Ordnungswidrigkeiten und können mit Geldbuße bis zu 300.000 Euro geahndet werden (§ 20 Abs. 2 UWG).

Arbeitsrechtlich stellt ein solches Verhalten häufig einen Grund für eine fristgerechte, ggf. aber auch fristlose Kündigung des Arbeitsverhältnisses dar.

Anlage zur Belehrung über die Verpflichtung nicht gegen das Gesetz gegen den unlauteren Wettbewerb (UWG) zu verstoßen

„Schwarze Liste“

Unzulässige geschäftliche Handlungen sind nach der Anlage zu § 3 Abs. 3 UWG:

„Sich mit fremden Federn schmücken“

1. die unwahre Angabe eines Unternehmers, zu den Unterzeichnern eines Verhaltenskodexes zu gehören;

2. die Verwendung von Gütezeichen, Qualitätskennzeichen oder Ähnlichem ohne die erforderliche Genehmigung; Beispiel: Bio-Siegel oder „Blauer Engel“;

3. die unwahre Angabe, ein Verhaltenskodex sei von einer öffentlichen oder anderen Stelle gebilligt;

4. die unwahre Angabe, ein Unternehmer, eine von ihm vorgenommene geschäftliche Handlung oder eine Ware oder Dienstleistung sei von einer öffentlichen oder privaten Stelle bestätigt, gebilligt oder genehmigt worden, oder die unwahre Angabe, den Bedingungen für die Bestätigung, Billigung oder Genehmigung werde entsprochen. Beispiel: „TÜV geprüft/Zertifiziert / staatlich anerkannt / staatlich genehmigt / ...“;

„Versprechen, die man nicht halten kann“

5. Waren- oder Dienstleistungsangebote zu einem bestimmten Preis, wenn der Unternehmer nicht darüber aufklärt, dass er hinreichende Gründe für die Annahme hat, er werde nicht in der Lage sein, diese oder gleichartige Waren oder Dienstleistungen für einen angemessenen Zeitraum in angemessener Menge zum genannten Preis bereitzustellen oder bereitstellen zu lassen (Lockangebote). Ist die Bevorratung kürzer als zwei Tage, obliegt es dem Unternehmer, die Angemessenheit nachzuweisen;

„Versprechen, die man nicht halten will“

6. Waren- oder Dienstleistungsangebote zu einem bestimmten Preis, wenn der Unternehmer sodann in der Absicht, stattdessen eine andere Ware oder Dienstleistung abzusetzen, etwas Fehlerhaftes vorführt oder sich weigert zu zeigen, was er beworben hat, oder sich weigert, Bestellungen dafür anzunehmen oder die beworbene Leistung innerhalb einer vertretbaren Zeit zu erbringen;

„Verbraucher unter Zeitdruck setzen“

7. die unwahre Angabe, bestimmte Waren oder Dienstleistungen seien allgemein oder zu bestimmten Bedingungen nur für einen sehr begrenzten Zeitraum verfügbar, um den Verbraucher zu einer sofortigen geschäftlichen Entscheidung zu veranlassen, ohne dass dieser Zeit und Gelegenheit hat, sich aufgrund von Informationen zu entscheiden. Beispiel: „Nur heute“, „Heute und dann nie wieder“, oder Ähnliches;

„Verbraucher mit Fremdsprachen konfrontieren“

8. Kundendienstleistungen in einer anderen Sprache als derjenigen, in der die Verhandlungen vor dem Abschluss des Geschäfts geführt worden sind, wenn die ursprünglich verwendete Sprache nicht Amtssprache des Mitgliedstaats ist, in dem der Unternehmer niedergelassen ist; dies gilt nicht, soweit Verbraucher vor dem Abschluss des Geschäfts darüber aufgeklärt werden, dass diese Leistungen in einer anderen als der ursprünglich verwendeten Sprache erbracht werden; Beispiel: Nach Vertragsabschluss alles nur noch auf Englisch;

„Verbraucher täuschen“

9. die unwahre Angabe oder das Erwecken des unzutreffenden Eindrucks, eine Ware oder Dienstleistung sei verkehrsfähig;

„Mit Selbstverständlichkeiten werben“

10. die unwahre Angabe oder das Erwecken des unzutreffenden Eindrucks, gesetzlich bestehende Rechte stellten eine Besonderheit des Angebots dar; Beispiel: „Zwei Jahre Gewährleistung auf Neuwaren“;

“Getarnte Werbung“

11. der vom Unternehmer finanzierte Einsatz redaktioneller Inhalte zu Zwecken der Verkaufsförderung, ohne dass sich dieser Zusammenhang aus dem Inhalt oder aus der Art der optischen oder akustischen Darstellung eindeutig ergibt (als Information getarnte Werbung); Beispiel: Fingierte Zeitungsartikel;

„Angstwerbung“

12. unwahre Angaben über Art und Ausmaß einer Gefahr für die persönliche Sicherheit des Verbrauchers oder seiner Familie für den Fall, dass er die angebotene Ware nicht erwirbt oder die angebotene Dienstleistung nicht in Anspruch nimmt;

„Trittbrettfahren“

13. Werbung für eine Ware oder Dienstleistung, die der Ware oder Dienstleistung eines Mitbewerbers ähnlich ist, wenn dies in der Absicht geschieht, über die betriebliche Herkunft der beworbenen Ware oder Dienstleistung zu täuschen;

“Schneeball- oder Pyramidensysteme“

14. die Einführung, der Betrieb oder die Förderung eines Systems zur Verkaufsförderung, das den Eindruck vermittelt, allein oder hauptsächlich durch die Einführung weiterer Teilnehmer in das System könne eine Vergütung erlangt werden (Schneeball- oder Pyramidensystem);

“Unwahrheiten, Übertreibungen und Ungenauigkeiten“

15. die unwahre Angabe, der Unternehmer werde demnächst sein Geschäft aufgeben oder seine Geschäftsräume verlegen;

16. die Angabe, durch eine bestimmte Ware oder Dienstleistung ließen sich die Gewinnchancen bei einem Glücksspiel erhöhen;

17. die unwahre Angabe oder das Erwecken des unzutreffenden Eindrucks, der Verbraucher habe bereits einen Preis gewonnen oder werde ihn gewinnen oder werde durch eine bestimmte Handlung einen Preis gewinnen oder einen sonstigen Vorteil erlangen, wenn es einen solchen Preis oder Vorteil tatsächlich nicht gibt, oder wenn jedenfalls die Möglichkeit, einen Preis oder sonstigen Vorteil zu erlangen, von der Zahlung eines Geldbetrags oder der Übernahme von Kosten abhängig gemacht wird;

18. die unwahre Angabe, eine Ware oder Dienstleistung könne Krankheiten, Funktionsstörungen oder Missbildungen heilen;

19. eine unwahre Angabe über die Marktbedingungen oder Bezugsquellen, um den Verbraucher dazu zu bewegen, eine Ware oder Dienstleistung zu weniger günstigen Bedingungen als den allgemeinen Marktbedingungen abzunehmen oder in Anspruch zu nehmen; Beispiel: „Made in Germany“, „wir produzieren in Deutschland“ obwohl dies nicht zutrifft;

20. das Angebot eines Wettbewerbs oder Preisausschreibens, wenn weder die in Aussicht gestellten Preise noch ein angemessenes Äquivalent vergeben werden; nicht zutrifft;

21. das Angebot einer Ware oder Dienstleistung als „gratis“, „umsonst“, „kostenfrei“ oder dergleichen, wenn hierfür gleichwohl Kosten zu tragen sind; dies gilt nicht für Kosten, die im Zusammenhang mit dem Eingehen auf das Waren- oder Dienstleistungsangebot oder für die Abholung oder Lieferung der Ware oder die Inanspruchnahme der Dienstleistung unvermeidbar sind; Beispiel: Nicht offen gelegte Grundgebühren, Bearbeitungsgebühren oder Mindestabnahmen;

22. die Übermittlung von Werbematerial unter Beifügung einer Zahlungsaufforderung, wenn damit der unzutreffende Eindruck vermittelt wird, die beworbene Ware oder Dienstleistung sei bereits bestellt; Beispiel: Abo-Schwindel;

23. die unwahre Angabe oder das Erwecken des unzutreffenden Eindrucks, der Unternehmer sei Verbraucher oder nicht für Zwecke seines Geschäfts, Handels, Gewerbes oder Berufs tätig; Beispiel: Viele eBay-Händler sind wegen des Umfangs ihrer Tätigkeit als gewerblich tätig einzustufen;

24. die unwahre Angabe oder das Erwecken des unzutreffenden Eindrucks, es sei im Zusammenhang mit Waren oder Dienstleistungen in einem anderen Mitgliedstaat der Europäischen Union als dem des Warenverkaufs oder der Dienstleistung ein Kundendienst verfügbar; von Unterlagen verlangt wird, die zum Nachweis dieses Anspruchs nicht erforderlich sind, oder dass Schreiben zur Geltendmachung eines solchen Anspruchs systematisch nicht beantwortet werden;

“Überrumpeln und Druck aufbauen“

25. das Erwecken des Eindrucks, der Verbraucher könne bestimmte Räumlichkeiten nicht ohne vorherigen Vertragsabschluss verlassen;

26. bei persönlichem Aufsuchen in der Wohnung die Nichtbeachtung einer Aufforderung des Besuchten, diese zu verlassen oder nicht zu ihr zurückzukehren, es sein denn, der Besuch ist zur rechtmäßigen Durchsetzung einer vertraglichen Verpflichtung gerechtfertigt;

“Verbraucher auflaufen lassen“

27. Maßnahmen, durch die der Verbraucher von der Durchsetzung seiner vertraglichen Rechte aus einem Versicherungsverhältnis dadurch abgehalten werden soll, dass von ihm bei der Geltendmachung seines Anspruchs die Vorlage

“Wenn Kinder angesprochen werden“

28. die in eine Werbung einbezogene unmittelbare Aufforderung an Kinder, selbst die beworbene Ware zu erwerben oder die beworbene Dienstleistung in Anspruch zu nehmen oder ihre Eltern oder andere Erwachsene dazu zu veranlassen;

“Untergeschobene Waren und Dienstleistungen“

29. die Aufforderung zur Bezahlung nicht bestellter Waren oder Dienstleistungen oder eine Aufforderung zur Rücksendung oder Aufbewahrung nicht bestellter Sachen, sofern es sich nicht um eine nach den Vorschriften über Vertragsabschlüsse im Fernabsatz zulässige Ersatzlieferung handelt und

“Mitleidstour“

30. die ausdrückliche Angabe, dass der Arbeitsplatz oder Lebensunterhalt des Unternehmers gefährdet sei, wenn der Verbraucher die Ware oder Dienstleistung nicht abnehme.