by Stephan Hansen-Oest on September 10, 2009
Zu meiner großen Freude ist heute ein großer Tag für die nugg.ad AG aus Berlin.
Nachdem nugg.ad schon für seine Predictive Behavioral Targeting Technoloie “PTN 2.0″ das in Deutschland einzige staatlich vergebene Datenschutzgütesiegel (“Gütesiegel für IT-Produkte des Landes Schleswig-Holstein“) erhalten hat, ist diese Technologie erneut zertifiziert worden. nugg.ad hat heute das Europäische Datenschutzgütesiegel EuroPriSe (“European Privacy Seal“) erhalten.
Nähere offizielle Informationen zum Siegel für nugg.ad und zum Short Report gibt es auf dieser Seite:
https://www.european-privacy-seal.eu/awarded-seals/nuggad
Und die Pressemitteilung von nugg.ad ist hier zu finden:
“Dem Datenschutz verpflichtet – nugg.ad erhält EuroPriSe Siegel”
Und last but not least die Pressemitteilung des Certification Body, in diesem Fall das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD):
EuroPriSe-Datenschutzsiegel für Predictive Targeting-Lösung PTN 2.0 von nugg.ad
Da ich neben meiner Akkreditierung als rechtlicher Sachverständiger für das Gütesiegel für IT-Produkte des Landes Schleswig-Holstein auch als Sachverständiger (“EuroPriSe LEGAL Expert”) für das Europäische Datenschutzgütesiegel akkrediert bin, hatte ich die große Freude, nugg.ad und sein Produkt PTN 2.0 auch in diesem Verfahren als Gutachter auf Herz und Nieren prüfen zu können.
Es war ein längerer Prozess, der jedoch nicht auf die nugg.ad Technologie zurück zu führen ist, sondern vielmehr auf die Tatsache, dass ich sehr stark in verschiedene EuroPriSe-Verfahren eingebunden und auch für uns Gutachter eine tiefe Einarbeitung in die EuroPriSe Zertifzierungs-Schemata erforderlich war.
Umso erfreuter bin ich, dass das Verfahren jetzt mit einem schönen Ergebnis zum Abschluss gebracht wurde. nugg.ad hat seine Technologie um weitere datenschutzfreundliche Features erweitert, und nun steht hier ein Produkt im Online-Werbemarkt der Zukunft (so wird man wohl [predictive] Behavioral Targeting nennen können) zur Verfügung, dessen Datenschutzfreundlichkeit und Compliance mit europäischem Datenschutzrecht zertifiziert wurde.
Ich wünsche den “Mädchen & Jungs” von nugg.ad viel Erfolg mit dem Produkt und Spaß mit dem neuen “Siegel of Excellence”. Die tiefgehende und konstruktive Arbeit mit dem nugg.ad Team hat – wieder einmal – außerordentlich viel Spaß bereitet.
Ach ja….und hier sind bedeutende Teile des rechtlichen Gutachtens entstanden (interner Gag zum Stichwort “Anchoring” - muss man nicht verstehen):
Und natürlich soll nicht vergessen werden, dass die technische Begutachtung durch meinen wunderbaren Kollegen Andreas Bethke erfolgt ist.
by Stephan Hansen-Oest on March 31, 2008
Auch wenn das Thema hier schon häufiger behandelt wurde (z.B hier m.w.N.), wollte ich doch aus “Stickyness”-Gründen mal wieder ein Beispiel bringen, bei dem ein Startup es gut meint und z.B. in der Datenschutzerklärung (schon mal positiv, dass es überhaupt eine gibt – ist ja auch nicht die Regel) angibt, wer Datenschutzbeauftragte des Unternehmens sind. So gibt Beeings minidienste.de in seiner Datenschutzerklärung, die ungünstigerweise nur im PDF-Format (Stand: 31.03.08) vorliegt (was trotz der Verbreitung des PDF-Standards ein Problem sein kann), folgende Information an:
Betrieblicher Beauftragter für den Datenschutz
Andreas Jakob, Daniel Stosch
Beim Datenschutzbeauftragten gilt jedoch eigentlich das “Highlander”-Prinzip: es kann nur Einen geben! Zwei Personen zu benennen, ist daher – sagen wir mal – etwas “unüblich”.
Unzulässig wird das Ganze dann jedoch, wenn man gleichzeitig folgende Informationen zur Firma und vor allem den Geschäfsführern in derselben Datenschutzerklärung ansieht:
Verantwortliche Stelle im Sinne des BDSG:
Beeings Internet GmbH
Karl-Heine-Str. 99
04229 Leipzig
Geschäftsführer:
Andreas Jakob, Daniel Stosch
Es ist nämlich als Fall der sog. verbotenen In-Sich-Kontrolle unzulässig, dass ein Geschäftsführer oder Mitglied der Geschäftsführung zugleich auch Datenschutzbeauftragter des Unternehmens ist. Es fehlt dem Geschäftsführer nämlich zumindest an der nach § 4f Abs. 2 BDSG erforderlichen Zuverlässigkeit, die in einem Fall einer solchen Interessenkollision nicht gegeben ist. So darf z.B. auch ein IT-Leiter nicht zum Datenschutzbeauftragten bestellt werden.
Minidienste.de sollte vielleicht eher prüfen, ob überhaupt ein Datenschutzbeauftragter bestellt werden muss (was allerdings schon in Anbetracht des Vorteils, dass die Meldepflichten für den Einsatz von automatisierten Verfahren bei der zuständigen Aufsichtsbehörde für den Dtenschutz im Falle einer Bestellung eines Datenschutzbeauftragten entfallen, gut abgewogen werden sollte) oder eben – noch besser – eine andere Person oder einen externen Datenschutzbeauftragten bestellen. Wichtig: zum Datenschutzbeauftragten darf nur eine Person bestellt werde, die über die erforderliche Fachkunde verfügt. Die liegt ohne umfangreiche Schulung eher selten vor. Häufig bietet sich daher gerade für kleinere Unternehmen an, einen externen Datenschutzbeauftragten zu bestellen, was auch nicht unbedingt teuer sein muss, wenn die IT und die Prozesse ansonsten gut aufgestellt sind.
[Update]: Hinzuweisen ist noch darauf, dass es sich hierbei um keinen Fehler handelt, der dazu führt, dass Nutzer einen Nachteil hätten. Auch abmahnfähig ist der Fehler nicht.
[Update2]: Der Fehler ist behoben worden, soweit ich es sehen kann.