Unser Blog
Neue Whatsapp AGBs – Wollen Sie den neuen Bestimmungen zustimmen?
14. Januar 2021Momentan wird das Thema WhatsApp stark in den Medien diskutiert. Grund hierfür sind die Änderungen der Nutzungsbedingungen von WhatsApp. Sind die neuen Änderungen wirklich so drastisch und neu? Wer WhatsApp weiterhin nutzen möchte, wird dazu aufgefordert den neuen Allgemeinen Geschäftsbedingungen (AGB) bis zum 08. Februar 2021 zuzustimmen. Ohne diese Zustimmung, kann die App nicht benutzt werden. Was genau hat es mit den Änderungen auf sich? Was bedeutet dies für die Nutzer? Durch die Zustimmung kann WhatsApp die Nutzerdaten mit Facebook teilen und für Marketingzwecke benutzen. Allerdings betrifft diese Änderung nur die Nutzer außerhalb der EU. Dort konnten sich Nutzer dagegen entscheiden, dass Whatsapp bestimmte Nutzer-Informationen zu Werbezwecken mit Facebook teilt, damit Facebook Werbung optimieren kann. Diese Auswahlmöglichkeit wird nun durch die neue Regelung abgeschafft. In Europa und Großbritannien ändert sich nicht viel durch die neuen Bestimmungen. WhatsApp hat bis dato die Informationen mit Facebook geteilt und wird dies weiterhin unternehmen, nur mit der Ausnahme, dass Facebook die Daten nicht für Werbung benutzen darf. Welche Daten werden denn überhaupt weitergegeben? Art des Handys Eigene Telefonnummer Kontakte aus dem Adressbuch Profilbilder Standortinformationen und viel mehr. Darum ist WhatsApp nach Ansicht vieler Datenschützer nicht datenschutzkonform. Wer Sorge um seine Daten hat sollte die Alternativen wie „Signal„, „Telegram„, „Threema„ oder „Wire„ benutzen. WhatsApp wird in den Augen der Datenschützer weiterhin ein großes Problem bleiben. Wenn Sie Fragen zu diesem Thema haben sollten, wenden Sie sich an: datenschutz@blusystems.de
Read moreEDSA-Empfehlungen zur Datenübermittlung in ein Drittland
15. Dezember 2020Wie in unserem letzten Blogbeitrag erwähnt, hat der Europäische Datenschutzausschuss (EDSA) Empfehlungen für den Datentransfer in ein Drittland gem. der DSGVO veröffentlicht. Im Dokument wurde auf die Verantwortung des Datenexporteurs akzentuiert – Datenübermittlungen in ein Drittland genau zu prüfen, um ein vergleichbares Datenschutzniveau wie in der EU sicherzustellen. Dafür hat der EDSA ein sechsstufiges Verfahren dargestellt: In der ersten Stufe empfiehlt der EDSA, dass der Datenexporteur die Übermittlungen kennt, um sicherzustellen, dass sie überall dort, wo sie verarbeitet werden, ein im Wesentlichen gleichwertiges Schutzniveau erhalten. Der Datenexporteur muss sicherstellen, dass die übertragenen Daten angemessen, relevant und auf sich beschränkt sind. Das ist erforderlich in Bezug auf die Zwecke, für die die Daten in das Drittland übermittelt und dort verarbeitet werden. Des Weiteren müssen alle Übermittlungen in ein Drittland dokumentiert werden (gem. Art. 30 DSGVO). Der EDSA ist der Meinung, dass schon jede Zugriffsmöglichkeit aus einem Drittland (z.B. Wartung/Support) eine Datenübermittlung darstellt. Datenübermittlung an Subunternehmen in Drittländern sind auch zu berücksichtigen. In der zweiten Stufe empfiehlt der EDSA die Transferinstrumente zu überprüfen. Der EDSA weist darauf hin, dass sich Datenexporteure auf Angemessenheitsbeschlüsse der EU-Kommission berufen können- solange die Entscheidung noch in Kraft ist, müssen Datenexporteure keine weiteren Schritte unternehmen außer der Überwachung, dass der Angemessenheitsbeschluss gültig bleibt. Wenn es sich um die Transferinstrumente gem. der Ausnahmetatbestände (Art. 49 DSGVO) handelt, sind diese in ihrem Anwendungsbereich laut EDSA eng auszulegen. In der dritten Stufe wird auf die Beurteilung hingewiesen – es ist zu prüfen, ob in der Gesetzgebung oder Praxis des Drittlands…
Read morePositive Entwicklung in Sachen „Datenschutz“ bei Microsoft
7. Dezember 2020Mitte November hat der Europäische Datenschutzausschuss (EDSA) Empfehlungen zu Maßnahmen verabschiedet, um die Einhaltung des EU-Datenschutzniveaus in Bezug auf personenbezogenen Daten zu gewährleisten, sowie Empfehlungen zu den wesentlichen europäischen Garantien für Überwachungsmaßnahmen. Die Dokumente sind infolge des Schrems II Urteil des EuGHs vom Juli dieses Jahres entstanden (siehe hierzu Blog vom 20.07.2020). Die Empfehlung enthält ein mehrstufiges Verfahren, welches vom Verantwortlichen (Datenexporteur) geprüft und dokumentiert werden muss, um Daten gem. des EU-Rechtes in ein Drittland zu übermitteln (hierzu folgt in den kommenden Wochen ein neuer Blogbeitrag). Die Empfehlungen zu den ergänzenden Maßnahmen werden einer öffentlichen Konsultation unterzogen und sie gelten unmittelbar nach ihrer Veröffentlichung. Der erste große Softwareanbieter, der auf das Schrems II-Urteil und auf die Empfehlungen des EDSA reagiert, ist Microsoft – und zwar mit neuen Vertragsklauseln. Ziel ist es Vertrauen in den Nutzern zu schaffen, dass die Verarbeitung von personenbezogenen Daten aller Regularien der EU entspricht, insbesondere der DSGVO. Microsoft versucht durch folgende Maßnahmen mehr Transparenz zu schaffen: Sofern keine rechtmäßige Grundlage zur Anfrage einer Behörde nach Kundendaten besteht, fechtet Microsoft jegliche Anfrage sowohl im öffentlichen als auch im nicht-öffentlichen Sektor an. Sollte Microsoft Kundendaten als Antwort auf eine Regierungsanfrage offengelegt haben und diese Offenlegung gegen die DSGVO verstößt, so verpflichtet sich der Hersteller das Recht auf Schadensersatzanspruch zur Verfügung zu stellen. Erste Meldungen von Behörden sehen den Schritt als positive Entwicklung an. Daher bleibt abzuwarten, wie der Vorschlag von Microsoft aus datenschutzrechtlicher Sicht von Seiten der EU bewertet wird. Wenn Sie Fragen zum Thema haben, stehen wir…
Read moreEU-Vorschlag Resolution
24. November 2020In den letzten zwei Jahren ist viel im Bereich Datenschutz passiert und nun steht die nächste große Frage vor der Tür – die EU-Resolution, welche den Behörden Zugriff auf die verschlüsselten Daten einiger Kommunikationsdienste erlauben soll – ‘‘Draft Council Resolution on Encryption-Security through encryption and security despite encryption‘‘ heißt es in der Resolution. Auf der einen Seite unterstütze der EU-Ministerrat die Verschlüsselung, auf der anderen Seite aber sollen Behörden Generalschlüssel für verschlüsselte Nachrichten bekommen – ‘‘The European Union fully supports the development, implementation and use of strong encryption. Encryption is a necessary means of protecting fundamental rights and the digital security of governments, industry and society. At the same time, the European Union needs to ensurethe ability of competent authorities in the area of security and criminal justice, e.g.law enforcement and judicial authorities,to exercise their lawful powers, both online and offline.’’, heißt es in der Resolution. Betroffen sind Ende-zu-Ende Verschlüsselungen wie z.B. in WhatsApp oder Signal. Die Regelung soll den Strafverfolgungsbehörden im Kampf gegen Kriminalität und Terrorismus dienen. Die Überwachung von Telekommunikationsdaten ist unter strengen Voraussetzungen möglich (im Strafprozessrecht). In der Resolution wird die Bedeutung der Zusammenarbeit aller EU-Mitgliedstaaten und zuständigen Behörden und der Tech-Industrie hervorgehoben, um gemeinsam die weitere Implementierung und Nutzung starker Verschlüsselungstechnologie sicherzustellen. Des Weiteren wird erwähnt, dass die zuständigen Behörden in der Lage sein müssen, rechtmäßig und zielgerichtet auf Daten zuzugreifen, wobei die Grundrechte und der Datenschutz in vollem Umfang gewahrt werden müssen und gleichzeitig die Cybersicherheit gewährleistet sein muss. Technische Lösungen für den Zugang zu…
Read moreVideoüberwachung Teil II
21. Oktober 2020Müssen die Betroffenen über die Überwachung informiert werden? Darüber hinaus müssen die Betroffenen über den Zweck der Verarbeitung gem. Art. 13 DSGVO informiert werden. Dies erfolgt in der Regel durch ein gut wahrnehmbares Schild an den Kameras sowie vor dem überwachten Bereich. Die Informationen auf dem Hinweisschild müssen so angeordnet sein, dass die betroffene Person die Umstände der Überwachung leicht erkennen kann, bevor sie den überwachten Raum betritt. Darüber hinaus sind noch weitere Informationen den betroffenen Personen am Ort der Überwachung zur Verfügung zu stellen, bspw. als vollständiges Infoblatt oder als Aushang. Folgende Informationen müssen vermittelt werden: Zweck der Videoüberwachung Kontaktdaten des Verantwortlichen Kontaktdaten des Datenschutzbeauftragten Dauer der Speicherung Rechtsgrundlage der Videoüberwachung Übertragung an Dritte Rechte der betroffenen Person Wie lange dürfen diese personenbezogenen Daten gespeichert werden? Grundsätzlich dürfen personenbezogene Daten nicht länger gespeichert werden, als dies für den verfolgten Zweck erforderlich ist (Artikel 5 Absatz 1 Buchstaben c und e DSGVO). Ob die personenbezogenen Daten zum Speichern notwendig sind, sollte innerhalb eines engen Zeitrahmens überprüft werden. Der Schutz von Eigentum oder die Aufbewahrung von Beweismitteln sind im allgemeinen legitime Zwecke für die Videoüberwachung. In der Regel können aufgetretene Schäden nicht innerhalb von paar Tagen erkannt werden. Daher liegt eine längere Speicherung im Interesse des für die Verarbeitung Verantwortlichen. Ansonsten sollte eine Speicherung nicht über 72 Stunden hinausgehen. Je länger die Speicherzeit fetgelegt wird, desto mehr Argumente müssen für die Notwendigkeit der Speicherung angeführt werden. Datenschutzfolgenabschätzung Nicht bei jeder Videoüberwachung muss automatisch eine Datenschutzfolgeabschätzung durchgeführt werden. Grundsätzlich ist…
Read moreVideoüberwachung Teil I
7. Oktober 2020Der Bedarf an einer Videoüberwachung nimmt stetig zu. Es wird geschätzt, dass in Deutschland allein im nicht-öffentlichen Sektor knapp eine halbe Million Überwachungsanlagen existieren. Die Gründe für eine Videoüberwachung sind vielfältig, sei es um die Sicherheit zu erhöhen, personalisierte Werbung bereitzustellen oder einfach nur zur Abschreckungsfunktion. Mit der Videoüberwachung sind nicht nur Risiken für das Recht auf informationelle Selbstbestimmung (Art. 2 Abs. i.V.m. Art. 1 Abs. 1 GG) verbunden, sondern auch aus datenschutzrechtlicher Sicht müssen einige Anforderungen eingehalten werden. Doch was ist dabei aus datenschutzrechtlicher Sicht zu berücksichtigen? Zweck der Videoüberwachung Bevor überhaupt eine Videoüberwachung installiert werden kann, muss schriftlich dokumentiert werden für welchen Zweck die Überwachung dienen soll (Art. 5 Abs. 2 DSGVO). Es müssen gewichtige Gründe vorliegen, die eine Überwachung rechtfertigen. Diese können ideeller, wirschaftlicher oder rechtlicher Natur sein. Dabei ist der Überwachungszweck jeder einzelnen Kamera gesondert und konkret anzugeben. Geeignetheit und Erforderlichkeit der Videoüberwachung In einem nächsten Schritt ist zu überprüfen, ob die Videoüberwachung tatsächlich für den verfolgten Zweck geeignet und erforderlich ist, d.h. es dürfen keine alternativen Maßnahmen zur Erreichung des zugrundeliegenden Zwecks gegeben sein, die weniger in die Grundrechte der betroffenen Personen eingreifen (z.B. Einrichten von Sicherheitsschlössern, Einsatz eines Pförtners, einbruchssichere Fenster und Türen etc). Bestehen schutzwürdiger Interessen Auch wenn eine Videoüberwachung zu bestimmten Zwecken erfolgt, darf sie nur verwendet werden, wenn schutzwürdige Interessen der Betroffenen nicht überwiegen. Es muss eine Einzelfallentscheidung getroffen und überprüft werden, dass der verfolgte Zweck alleine durch die Videoüberwachung erfolgen kann. Der Verantwortliche hat die Risiken eines…
Read moreErfassung von Datenbestände
7. Oktober 2020Einige Unternehmen hatten bei der Umsetzung einer Verarbeitungstätigkeit (Verzeichnis von Verarbeitungstätigkeiten gem. Art. 30 DSGVO) im Regelfall keine großen Problematiken. Für diesen Bereich haben die Landesämter für Datenschutzaufsicht unterschiedliche Muster zur Verfügung gestellt (Beispiel Bayern). Auch bei der Umsetzung eines Löschkonzeptes gibt es unterschiedliche Handlungshilfen (wie u.a. die Leitlinie Löschkonzept), welche einem Unternehmen die Konzeption sehr erleichtern. Jedoch gibt es bei all den Mustern und Hilfestellungen aus unserer Sicht eine riesige Lücke. Denn keine dieser Muster und Leitlinien geht auf den nachweislichen Datenbestand ein. Dieses ist aus unserer Sicht eine große Problematik, die folgende Auswirkung haben kann: Schwere Umsetzung eines Löschkonzeptes (gezielte Löschung der erhobenen Daten nach Zweckerlöschung), Keine dedizierte Aussagemöglichkeit, wer welche Daten im Unternehmen auf welchem System verarbeitet, Gegenmaßnahmen bei einem Databreach können nicht zielgerichtet durchgeführt werden, da das System bzw. die Datensätze nicht bekannt sind, Erhöhter Zeitaufwand bei einem Auskunftsersuch und vieles mehr… Das sind nur einige der Risiken und Problematiken, welche Auftreten, wenn ein Unternehmen keine Erfassung des Datenbestandes durchführt. Was muss ein Unternehmen im ersten Schritt durchführen? Als Verantwortlicher sollten Sie sich ihre Verarbeitungstätigkeiten anschauen und prüfen auf welchen Systemen, welche personenbezogenen Daten verarbeitet werden. Am einfachsten geht dieses in einer Exceltabelle. In dieser sollte man die jeweilige Verarbeitungstätigkeit, das System, das Datum (Vorname, Name, etc.), ggfs. den Zweck (dieses unterstützt zukünftig bei der Löschgruppenbildung), ggf. Kritikalität des Datensatzes usw. aufführen. Was sollte ein Unternehmen im zweiten Schritt durchführen? Jetzt sollte man die Erkenntnisse in alle unternehmensrelevanten Dokumente überführen, z.B. in die Verarbeitungstätigkeit als zusätzlicher…
Read moreReifegradanalyse Informationssicherheit – Eine erste Bestandsaufnahme
11. September 2020Aller Anfang ist schwer! Das Sprichwort „Aller Anfang ist schwer!“ ist allseits bekannt und trifft auch auf die Implementierung eines Informationssicherheitsframeworks zu. Die Einführung eines solchen Frameworks erfordert von allen Beteiligten einen offenen Umgang mit Problemen und Kritik. Es werden immer wieder Situationen auftauchen, in denen das „Das machen wir schon immer so“ eine beliebte Aussage sein wird, um den aktuellen, optimierbaren Zustand zu beschreiben. Aber genau diese „Das machen wir schon immer so“ und „Das haben wir bestimmt irgendwo (dokumentiert)“ sind die Punkte, die durch eine erste Reifegradanalyse angesprochen werden sollen. Zusätzlich natürlich zu den Bereichen die bisher ggf. noch nie betrachtet wurden. Eine solche Reifegradanalyse, z. T. auch Audit genannt, spricht alle Teilaspekte der Informationssicherheit an und prüft, wo entsprechende Optimierungsmöglichkeiten bestehen um anschließend einen Plan zur Umsetzung der Möglichkeiten zu erarbeiten. TISAX Das Projekt „Unternehmensumzug in die virtuelle Welt“ bei der knooing GmbH hat als ein Teilprojekt die Optimierung der Informationssicherheit. Hier wurde, wie oben beschrieben, eine Reifegradanalyse anhand des VDA ISA – Frameworks (TISAX) durchgeführt. Da die knooing GmbH viele Kunden aus dem Bereich der Automobilindustrie hat und TISAX sich an dem international anerkannten Standard ISO 27001 orientiert, ist die Entscheidung auf eben dieses Framework gefallen. Analyse Für die Analyse wurden die 52 Controls aus dem Bereich der Informationssicherheit bzgl. ihres Reifegrades bewertet und die Hinweise aus dem TISAX – Katalog durchgearbeitet. Daraus entstanden ist eine umfangreiche Liste mit möglichen Punkten für eine Optimierung der Informationssicherheit. Diese wird im weiteren Verlauf des Projektes immer wieder herangezogen,…
Read moreErfassung der IT-Infrastruktur – Alles wird unter die Lupe genommen
3. September 2020Für die virtualisierung eines Unternehmens, also den vollständigen Verzicht auf Büroarbeitsplätze und somit ausschließlich ortsunabhängiges Arbeiten, ist eine genaue Analyse der bestehenden IT – Infrastruktur unabdingbar. Es gilt zu ermitteln was genau alles in die Cloud umziehen muss und was aufgrund der Nutzung von modernen SaaS – Anwendungen (SaaS: Software as a Service) schon in der Cloud ist. Dies geschieht anhand der Sichtung von bestehenden Dokumenationen und einer Vor-Ort-Begehung in den Räumlichkeiten des Unternehmens. Dabei werden Services und Hardware, falls noch nicht geschehen, dokumentiert. Beleuchtet werden die Arbeitsplätze, das Netzwerk, Perepherie, Cloud-Services und nicht zuletzt auch andere an das Netzwerk angebunden „IT-Geräte“ wie z.B. Smart-TVs in Besprechungsräumen. Für ein zusammenhängendes Bild sollten auch diese nicht klasischen IT-Geräte mit aufgenommen werden. Insbesondere ist dies wichtig, wenn es, wie in diesem Projekt bei der knooing GmbH, auch darum geht die bestehende Infrastruktur bis zum endgültigen Wandel zum virtuellen Unternehmen informationssicherheitstechnisch zu optimieren. So war auch in diesem Projekt bei der knooing GmbH der erste Schritt nach Projektbeginn die Analyse der IT-Infrastruktur. Die Dokumentation war ein wenig in die Jahre gekommen und so viel in diesem Fall der Anteil der Vor-Ort-Begehung etwas größer aus. Listen wurden aktualisiert und Dokumentationen auf den neusten Stand gebracht. Zudem wurden erste Ideen für eine Optimierung mit den Verantwortlichen ausgetauscht. Die Arbeit der IST-Analyse kann jetzt im Folgenden für die weiteren Arbeitspakete im Projekt genutzt werden. Die bestehende Datenschutzdokumentation kann bei Bedarf aktualisiert werden und für die Arbeit in der Informationssicherheit ist eine aktuelle Dokumentation der IT-Infrastruktur ebenfalls…
Read moreGoogle Streetview bekommt Konkurrenz von Apple Look Around – Datenschützer hat Bedenken
27. August 2020Nach Google möchte jetzt auch Apple seinen Kartendienst mit Bildern von Straßenzügen optimieren. Eine Veröffentlichung der Bilder wie bei Streetview ist aber derzeit noch nicht geplant. Vor den Aufnahmefahrten ist Apple am Anfang des Jahres an das Bayrische Landesamt für Datenschutzaufsicht (BayLDA) herangetreten und hat sein Datenschutzkonzept prüfen lassen. Das Ergebnis sowie weiterführende Informationen können beim BayLDA auf der Webseite abgerufen werden. Zusammengefasst konnte das BayLDA keine datenschutzrechtlichen Hindernisse finden und gab das Vorhaben frei. Transparente Vorgehensweise Geplant sind Fahrten durch verschiedenste Region in Deutschland. Dabei werden die Aufnahmen noch im Auto verschlüsselt und auf einer Festplatte gespeichert. Anschließend werden die verschlüsselten Daten in die USA übertragen und dort zur weiteren Verwendung wieder entschlüsselt. Gesichter sowie Kennzeichen werden für die weitere Verarbeitung unkenntlich gemacht. Auch ohne eine Veröffentlichung der Aufnahmen im Internet können Betroffene der Verarbeitung bereits jetzt widersprechen. Auch dafür befinden sich die Informationen auf der Webseite des BayLDA. Vor einer Veröffentlichung der Bilder im Internet, müsste Apple über diese Art der Verwendung der Aufnahmen informieren. Trotz der transparenten und vom BayLDA genehmigten Vorgehensweise hat der Landesdatenschutzbeauftragte des Landes Mecklenburg-Vorpommern, Heinz Müller, Kritik geäußert. Kritik aus Mecklenburg-Vorpommern Er sieht die, bis zu 36 Monate lange, Speicherung der Rohdaten auf Servern in den USA kritisch, weil die Gesichter und Kennzeichen in diesen nicht verpixelt werden. Auch äußert er Kritik an der Opt-Out Methode zur Speicherung der Daten. Nutzer müssen aktiv der Speicherung ihrer Häuserfassade, ihres KFZ-Kennzeichens oder ihrer Person widersprechen, um eine Unkenntlichmachung, auch in den Rohdaten, durch Apple zu…
Read moreMS Defender für MacOS
20. August 2020Gute Nachrichten für Firmen, die sowohl Microsoft Windows, als auch Apples MacOS in ihrem Firmenumfeld benutzen, sei es im Rahmen von Home-Office, BYOD, oder bedingt durch verschiedene Einsatzzwecke. Mit dem Microsoft Endpoint Manager können IT-Administratoren von einer einzigen Plattform aus Arbeitsdaten auf allen Endgeräten bereitstellen, verwalten und sichern. Microsoft hat seinen “Windows Defender” hierfür zu einem universell einsetzbaren Produkt umgebaut, welches jetzt auch unter dem Namen “Microsoft Defender” beworben wird. Diese Lösung zur Advanced Threat Protection unterstützt Unternehmen dabei modernste Bedrohungen durch Cyberattacken abzuwenden, diese zu untersuchen und entsprechend darauf zu reagieren. Das gilt nun auch für MacOS. Microsoft Defender Advanced Threat Protection für MacOS ist jetzt als eigenständige Anwendung innerhalb des Microsoft Endpoint Managers verfügbar, mit dem Administratoren die wichtigsten Einstellungen schnell und einfach vornehmen können. Einstellungen und Konfigurationen sind jetzt direkt von der Endpoint Manager-Konsole aus sichtbar. Früher mussten Administratoren Schlüssel/Wertpaare manuell in einer Einstellungsdatei definieren und hochladen oder *.plist-Dateien regelmäßig anpassen. Durch den Endpoint Manager werden diese müßigen Schritte überflüssig und durch die automatische Anpassung aller Signaturen sicherer. Anlässlich unseres Projekts bei der knooing GmbH konnte diese Funktionalität voll ausgereizt werden, da hier als Endgeräte sowohl Windows, als auch Apple (MacOS) im Einsatz sind. Im Rahmen des Projektes wurde das komplette Unternehmen in ein “Virtual Office“ umgezogen. Um Microsoft Defender ATP hinzuzufügen, melden Sie sich beim Microsoft Endpoint Manager Admin Center an und wählen Sie den Anwendungstyp als macOS unter dem Microsoft Defender ATP-Feld aus. Für eine detaillierte Konfiguration von Microsoft Defender ATP für Mac in Microsoft…
Read moreDie Akarion Compliance Cloud als Mittel der Wahl zur Unterstützung von Informationssicherheits- & Datenschutzmanagementsystemen
13. August 2020Jeder der schonmal den Dokumentationswahnsinn eines Managementsystem erlebt hat, ist froh ein Tool zu haben, welches die Arbeit im Managementsystem unterstützt. Nach vielen Tests und vielen Stunden des Klickens in den verschiedenen Tools, sind wir vor guten 18 Monaten auf die Compliance Cloud (damals noch NiõBase) von Akarion gestoßen und sind bei ihr geblieben. Die Compliance Cloud bietet dem Nutzer verschiedene Module für verschiedene Anwendungszwecke. Da wären Module für Datenschutz, Informationssicherheit, Business Continuity, Audits und e‑Learning. Der größte Vorteil dabei ist, dass die Module nicht für sich alleinstehen, sondern untereinander die Daten teilen. So können die Verantwortlichen für die einzelnen Bereich in ihrem Modul arbeiten und wenn z.B. der Informationssicherheitsbeauftragte (ISB) eine Maßnahme zur Absicherung eines Servers einträgt, kann der Datenschutzbeauftragte (DSB) diese Maßnahme direkt als Technische-Organisatorische-Maßnahme nach Art 32 DSGVO für die Verarbeitungstätigkeiten nutzen. Diese enge Verzahnung der Module ist eine gute Unterstützung für die von DSGVO und Informationssicherheitsframeworks (z.B. ISO 27001) geforderte Zusammenarbeit von Datenschutz und Informationssicherheit. Eben diese Unterstützung bei den vielfältigen Aufgaben in der Informationssicherheit und im Datenschutz ließ uns auch im aktuellen Projekt bei der knooing GmbH wieder zu diesem Tool greifen. Nicht zuletzt, weil die Compliance Cloud selbst Cloud-basiert ist und die Aufgaben damit auch zukünftig ortsunabhängig erledigt werden können. Die Ortsunabhängigkeit des Arbeitens und die Speicherung von Unternehmensdaten in der Cloud stellen besondere Ansprüche an die Informationssicherheit und den Datenschutz. Die Compliance Cloud unterstützt dabei den ISB und den DSB durch eine übersichtliche Darstellung der Datenflüsse und Speicherorte. ISB und DSB können durch…
Read moreAbmahnungen gegen DSGVO-Verstöße? Neuer Gesetzesentwurf
28. Juli 2020In der Praxis kommt es öfters dazu, dass man durch bestimmte Tools Websiten scannt, um erzielt nach Fehlern zu suchen (am meisten in dem Datenschutzhinweis oder in den Allgemeinen Geschäftsbedingungen). Infolgedessen nutzt man diese Möglichkeit aus, um Abmahnungen zu verschicken. Diese gezielte Suche nach abmahnfähigen Fehlern auf den Websiten möchte die Bundesregierung durch den Entwurf eines Gesetzes zur Stärkung des fairen Wettbewerbs unterbrechen. Man sieht mehrere Maßnahmen zur Stärkung des Wettbewerbs vor, was im Gegenzug zu Änderungen des Gesetzes gegen den unlauteren Wettbewerb (UWG) führt. Wesentlicher Inhalt des Gesetzesentwurfs Unter diesem Punkt hat man unter anderem folgendes erwähnt: ‘‘Der Gesetzentwurf sieht zur Eindämmung missbräuchlicher Abmahnungen insbesondere eine Reduzierung der finanziellen Anreize für Abmahnungen vor. Abmahnungen sollen im Interesse eines rechtsneutralen Wettbewerbs beziehungsweise der Durchsetzung von Verbraucherrecht erfolgen und nicht zur Generierung von Aufwendungsersatz und Vertragsstrafen genutzt werden. Aus diesem Grund ist Kernvorschlag des Gesetzentwurfs der Ausschluss des Aufwendungsersatzes bei besonders abmahnträchtigen Verstößen gegen Informations- und Kennzeichnungspflichten im Internet sowie bei Datenschutzverstößen durch Kleinstunternehmen, kleine Unternehmen und vergleichbare Vereine. Gleichfalls ausgeschlossen ist in diesen Fällen bei einer erstmaligen Abmahnung die Vereinbarung einer Vertragsstrafe.‘‘ Man könnte gesetzliche Kennzeichnung- und Informationspflichten noch abgemahnen. Die Mitbewerber hätten keinen Anspruch auf Erstattung der Kosten mehr. Wer darf künftig abmahnen? Im Entwurf sieht man die Einführung einer Liste von sog. qualifizierten Wirtschaftsverbänden vor. Wirtschaftsverbände sollten nur dann abmahnen dürfen, wenn sie vom Bundesamt für Justiz überprüft wurden und auf der o.g. Liste stehen. Man möchte den finanziellen Anreiz verringern. So sieht man vor, dass die Vertragsstrafen…
Read moreEuGH kippt das EU-US-Datenschutzabkommen „Privacy Shield“
20. Juli 2020Was ist überhaupt der „Privacy Shield“? Der EU-US Privacy Shield („Datenschutzschild“) ist ein Abkommen zwischen der europäischen Union und den Vereinigten Staaten von Amerika, welches europäischen Unternehmen eine Rechtsgrundlage für die Übermittlung von personenbezogenen Daten in die USA schaffte. Denn gemäß der DSGVO dürfen personenbezogene Daten nur dann in ein Drittland übermittelt werden, wenn dort ein angemessenes Schutzniveau für personenbezogene Daten existiert (vgl. Art. 44 DSGVO). Durch den wenig regulierten Umgang mit personenbezogenen Daten in den USA musste somit eine Rechtsgrundlage geschaffen werden, damit europäische Unternehmen personenbezogene Daten in die USA übertragen konnten. Ursprünglich wurde das Safe-Harbor-Abkommen ausgehandelt, welches dann im Oktober 2015 vom EuGH für ungültig erklären worden ist. Sodann stellte der Privacy Shield eine Grundlage für die Übermittelung der personenbezogenen Daten dar. Nun wurde allerdings auch der Privacy Shield gekippt – Ist es noch möglich, Daten in die USA zu übermitteln? Auslöser für den Rechtsstreit war der Jurist Max Schrems. Laut Schrems kann die USA nicht fähig sein, Daten von EU-Bürgern angemessen zu schützen, weil die Gesetze in den USA Geheimdienste und andere Behörden (NSA und FBI) dazu ermächtigt, auf die Daten von EU-Bürgern zuzugreifen. Beispielsweise ist Facebook in den USA dazu verpflichtet, die Daten auch Behörden wie dem FBI oder der NSA zugänglich zu machen, ohne dass sich der Betroffene dagegen wehren kann. Damit verstößt der Privacy Shield auch gegen Art. 47 der Europäischen Grundrechte-Charta, wonach jeder Person ein wirksamer Rechtsbehelf gegen Grundrechtseingriffe zustehen muss. Standardvertragsklauseln bleiben wirksam Anders als der Privacy Shield sieht der EuGH die…
Read moreDer Gesetzgeber – die elektronische Patientenakte und der Datenschutz
14. Juli 2020Ab dem 01.01.2021 können Patienten eine elektronische Patientenakte (ePA) von ihrer Krankenkasse erhalten. Dadurch besteht die Möglichkeit, ihre gesundheitsbezogenen Daten all denjenigen zur Verfügung zu stellen, die an ihrer medizinischen Behandlung beteiligt sind – ob Ärzte, Zahnärzte, Psychotherapeuten oder Apotheker. Die Vorteile durch die ePA liegen auf der Hand. Zum einen soll eine patientenzentrierte Versorgung ermöglicht und zum anderen die Souveränität der Bürger gestärkt werden. Welche Daten können in der ePA gespeichert werden? Bei Gesundheitsdaten handelt es sich um sehr sensible Daten i.S.d Artikel 9 DSGVO. Daher muss im Umgang mit ihnen eine hohe Sorgfalt gelten. Folgende Informationen können in Zukunft – sofern der Patient dies wünscht – in der elektronischen Patientenakte gespeichert werden: Befunde Diagnosen Therapiemaßnahmen Behandlungsberichte Impfungen elektronische Medikationspläne elektronische Arztbriefe Notfalldatensätze Neben diesen Daten der Ärzte können auch eigene Daten, wie z. B. ein Tagebuch über Blutzuckermessungen, abgelegt werden. Möchte der Patient nicht, dass seine Daten in der elektronischen Patientenakte hinterlegt werden, so wird überhaupt keine Akte angelegt. Grundvoraussetzung für die Führung einer ePA ist nämlich, dass sie freiwillig erfolgt. Des Weiteren kann der Patient in der App selbst sehen, welche Daten über ihn gespeichert worden sind, d.h. er kann entscheiden, welche Daten er in der Akte haben möchte und wer darauf Zugriff hat. Auch Ärzte können ohne Zustimmung des Patienten keine Einsicht in die Akte nehmen. Liegt sodann eine Einwilligung des Patienten vor, lädt der zuständige Arzt bestimmte Daten aus seinem Praxisveraltungssystem (PVS) in die ePA hoch. Bei den Daten in der ePA handelt es…
Read moreWelche Daten darf ein Betriebsrat verarbeiten?
6. Juli 2020Betriebsräte gibt es seit 100 Jahren. Der Schutz der Mitarbeiter war und ist immer noch einer der wichtigsten Aufgaben der Betriebsräte. Nichtsdestotrotz müssen sich Betriebsräte an die aktuellen rechtlichen Anforderungen anpassen. Im täglichen Geschäft arbeitet man öfters mit personenbezogenen Daten. Welches Verhältnis besteht zwischen dem Betriebsrat und der Personalabteilung eines Unternehmens? Darf der Betriebsrat jederzeit, wann er will personenbezogene Daten von Mitarbeitern einsehen? Der Betriebsrat darf zwar personenbezogene Daten der Mitarbeiter verarbeiten, allerdings unter welchen Bedingungen? Betriebsräte sind unter anderem grundlegend an das Betriebsverfassungsgesetz gebunden. Die Verarbeitung von personenbezogenen Daten ist zulässig, soweit dies zur Wahrnehmung der Aufgaben des Betriebsrats nach dem BetrVG erforderlich ist, z. B. von Mitbestimmungsrechten (§§ 87, 91, 94 Abs. 1, 95, 98, 99 Abs. 4, 102 Abs. 3, 104, 112 BetrVG), von Mitwirkungs- und Beratungsrechten (§§ 80 Abs. 2, 89 Abs. 2, 90, 92, 96, 97, 99 Abs. 1, 111 BetrVG) und seiner Kontroll- und Überwachungsaufgaben gem. § 80 Abs. 1 Nr. 1 BetrVG. Zur Wahrnehmung der Arbeitnehmerinteressen verarbeitet der Betriebsrat personenbezogene Daten und fällt somit unter den Anforderungen der DSGVO und des BDSG (Bundesdatenschutzgesetz). Innerhalb des Betriebsrats darf jedes Mitglied die Daten erhalten, die er für die Erfüllung seiner Aufgaben benötigt. Der Betriebsrat soll die Daten nur für den vom Betriebsrat vorgesehenen Zweck verwenden, ein pauschaler Zugang auf alle Mitarbeiterdaten soll nicht möglich sein. Zu den üblichen Datenverarbeitungen vom Betriebsrat gehören: Sicherung und Förderung der Beschäftigung (§92a BetrVG), Vermeidung von Qualifizierungs-Defiziten (§§ 81 Abs. 4, § 97 Abs. 2 BetrVG), Regelungen für und Planung…
Read more4me als mögliches ITSM Tool für den Bereich Datenschutz
23. Juni 2020Was ist 4me? 4me ist eine „Software as a Service“ IT Service Management Lösung, welches den Unternehmen die Zusammenarbeit mit internen und externen Dienstleistern ermöglicht. Der große Vorteil ist, dass sowohl IT Services als auch Non IT Services schnell und kostengünstig bereitgestellt werden können. Zudem bietet die Self-Service Funktionalität von 4me dem Mitarbeiter der Organisation die bereitgestellten Services und Online Support für jegliche Anfragen über Störungen, Problemen oder Veränderungen an. Datenpanne nach der DSGVO mit 4me Eine der nun häufigsten Fragen nach der Einführung der DSGVO ist wohl, wann ist eine Datenschutzverletzung gegeben? Eine Verletzung personenbezogener Daten liegt nach Art. 4 Nr. 12 DSGVO vor, wenn personenbezogene Daten verlorengegangen sind bzw. verändert oder unbefugt offengelegt wurden. Kurz beschrieben, Sie fahren mit der Bahn und verlieren Ihren Laptop oder Ihr Mobiltelefon mit personenbezogenen Daten oder Hacker bzw. unbekannte Personen greifen auf Ihre personenbezogenen Daten zu und stehlen diese. Nach der neuen Regelung muss bei einer Datenpanne, diese unverzüglich an die zuständige Datenschutzbehörde innerhalb von 72 Stunden angezeigt werden. Dabei ist es wichtig verschiedene Informationen an die Aufsichtsbehörde zu melden wie beispielsweise: Welche Art von Verletzung liegt vor? In welche Kategorie fallen die Betroffenen? Welche Art von Verletzung liegt vor? In welche Kategorie fallen die Betroffenen? Wie viele Betroffene gibt es? Welche Kategorien von Datensätzen sind betroffen? Name und Anschrift des Datenschutzbeauftragten. Welche Folgen zieht die Schutzverletzung nach sich? (z.B. finanzielle Nachteile) Welche Schutzmaßnahmen haben Sie ergriffen oder möchten Sie ergreifen? Welche Gegenmaßnahmen sind noch denkbar? Damit dieses Formular im digitalen Zeitalter…
Read moreEuGH und BGH zum Thema Cookie-Einwilligung
10. Juni 2020Man hat das lang erwartete Urteil des Bundesgerichtshofs (BGH) über das Thema Cookie-Einwilligung veröffentlicht. Der BGH hat einen konkreten Fall behandelt, indem es darum ging, ob Webseiten die Cookies bei den Webseitennutzern setzen, eine aktive Zustimmung des Besuchers benötigen. Der Europäische Gerichtshof (EuGH) entschied 2019 über eine ähnliche Frage. Warum ist das BGH-Urteil von hoher Bedeutung für Webseitenbetreiber? Zahlreiche Webseitenbetreiber möchten ‘‘ein Wissen‘‘ haben wer sich für deren Webseite, deren Angebote oder Produkte auf der Website interessiert, damit sie eine bessere Leistung erbringen können. Technisch ist das selbstverständlich möglich. Wie sieht die Frage aus datenschutzrechtlicher Sicht aus? Personalisierte Werbung auf der besuchten Website oder auf ähnlich besuchten Webseiten zu gestalten, Nutzerprofile der Webseitenbesucher zu erstellen, um deren Verhalten zu tracken, kann teuer werden. Zur Hilfe kommt die DSGVO, die fast alles Mögliche regelt, außer der Frage wie die Cookies behandelt werden müssen. Dazu sollte die ePrivacy Verordnung Klarheit bringen – ob man für Cookies eine Einwilligung benötigt, und wenn ja, für welche Cookie-Arten ist diese erforderlich? Da die ePrivacy Verordnung noch nicht in Kraft getreten ist, regelt die Frage das Telemediengesetz (TMG). Nach diesem kommt es auf das Erfordernis der sog. notwendigen Cookies an. Das führt dazu, dass die Regelung praktisch nicht für alle Cookies gilt, sondern nur für nicht notwendige Cookies (z.B. Tracking Cookies von Drittanbietern). Notwendige Cookies sind die Cookies, die die technische Funktionalität der Website gewährleisten. Es handelt sich lediglich um die technische Notwendigkeit und nicht um ein wirtschaftliches Interesse. Zum Thema Tracking wie früher erwähnt, hat…
Read moreNational Security Letters
4. Juni 2020Zahlreiche deutsche und europäische Unternehmen nutzen die Cloud-Dienste eines amerikanischen Cloud-Anbieters (sei es Microsoft, Google, Apple, Amazon und etc.). Für den Datenschutz auf europäischer Ebene nimmt sowohl das Thema ‘‘Cloud Act‘‘, als auch das Thema ‘‘Patriot Act‘‘ immer mehr an Bedeutung. In unserem letzten Blogbeitrag haben wir bereits das Thema “Cloud Act“ ausführlich dargestellt und möchten Sie in diesem auf den Patriot Act aufmerksam machen und wie genau er in Verbindung mit der Datenverarbeitung steht. Was ist der Patriot Act und was erlaubt er? Durch den Patriot Act (2001) haben die Vereinigten Staaten die Befugnisse ihrer Geheimdienste und Ermittlungsbehörde erweitert. Hintergrund für die Erweiterung der Befugnisse war die Terrorbekämpfung und die Spionageabwehr. Der Foreign Intelligence Surveillance Court kann einen Beschluss gegen z.B. eine Organisation erlassen. Somit ist das Unternehemen verpflichtet, die bei ihm gespeicherten Daten herauszugeben. Wenn aber kein Beschluss des Gerichts vorliegt hat das FBI eine andere Möglichkeit – die sog. National Security Letters (NSL). Die National Security Letters unterliegen keinen Gerichtsbeschluss. Das FBI kann diese selbst erlassen und somit das Unternehmen verpflichten die angefragten Daten zu übermitteln. An der Stelle ist wichtig zu erwähnen, dass es sich um Organisationen handelt deren Firmensitz in den USA ist. Was beinhaltet ein National Security Letter? Unter anderem können folgende Informationen angefragt werden: DSL-Account Informationen Datum, an dem das Konto eröffnet oder geschlossen wurde Adressen, die im Zusammenhang mit dem Konto stehen Alle sonstigen Informationen, von denen der Provider glaubte, dass es sich um eine elektronische Kommunikation handelt (‘‘Any other information which…
Read moreVertrauen schaffen trotz Cloud Act
26. Mai 2020Immer wieder hört oder liest man diverse Aussagen zum Cloud Act (Clarifying Lawful Overseas Use of Data Act), so z.B., dass der Cloud Act von den Strafverfolgungsbehörden der Vereinigten Staaten von Amerika ausgenutzt wird und dass Sie auf alle (personenbezogene) Daten zugreifen können. In der Theorie ist es zwar möglich, aber in der Praxis schaut es ein wenig anders aus! Grundsätzlich lässt sich eines sagen, „Ein Umzug in die Cloud setzt Vertrauen voraus“. Ohne Vertrauen in neue Techniken und auch in den Dienstleister (Auftragsverarbeiter), sollte ein Umzug in die Cloud nicht durchgeführt werden. Um es ein wenig härter auszudrücken, „wer nur schwarzmalt, sollte besser daheimbleiben!“ Was erlaubt der Cloud Act? Der Cloud Act ermöglicht amerikanischen Strafverfolgungsbehörden auf Basis einer Ermittlungsanordnung, Informationen durch amerikanische IT-Dienstleister (u.a. Amazon, Google, Apple, etc.) über Betroffene zu erhalten – auch wenn diese Daten außerhalb der USA gespeichert werden. Durch den Cloud Act wird die Reichweite klarer formuliert. Hiervon betroffen sind alle Kommunikationsanbieter mit Sitz in den USA – unter anderem auch Microsoft. Gibt es nur den Cloud Act? Da die meisten namenhaften Kommunikations- und IT-Dienstleistungsunternehmen aus den USA stammen, ist auch klar, dass der Cloud Act im Mittelpunkt steht. Jedoch sollte man nicht vergessen, dass es in der EU eine ähnliche Verordnung bzw. Initiative gibt – die electronic-evidene. Somit ist es gleichgültig, ob der Dienstleister in der EU oder in den USA seinen Sitz hat. Was wird durch den Cloud Act erreicht? Der Cloud Act schafft eine Ermächtigungsgrundlage und den Rahmen zum Abschluss eines internationalen…
Read moreBringt der EDSA endlich Klarheit zum Thema Cookie-Einwilligung?
20. Mai 2020Der Europäische Datenschutzausschuss hat Anfang Mai 2020 die Leitlinie zur Einwilligung in die Nutzung von Internetseiten aktualisiert. Somit haben Fragen wie ‘‘Stellt das Nutzen der Website ohne Akzeptanz der Cookies eine konkludente Einwilligung dar?‘‘ oder ‘‘Soll das Nutzen von Websitediensten von der Erlaubnis der Cookies abhängig sein?‘‘ eine klare Antwort gefunden. Die Leitlinie präzisiert und stellt deutlich klar, dass die Einwilligung nicht erzwungen werden kann. So bestätigt die Leitlinie noch einmal das Prinzip der Freiwilligkeit der Einwilligung, dass in der DSGVO hinterlegt ist. Die sog. Cookie-Walls auf der Internetseite fordern, dass der Websitebesucher die Cookies akzeptiert, um Dienste der Website nutzen zu können. Nach der Aktualisierung der Leitlinie ist das ein ‘‘No-Go‘‘. Also die Angebote/Dienste auf der Website sollen ohne Tracking verfügbar sein. Die Zulässigkeit der Cookie-Walls ist in einem Ausnahmefall möglich – wenn ein vergleichbarer Dienst ohne Tracking auf der Website angeboten wird. Des Weiteren erläutert die Leitlinie, dass das bloße Scrollen auf der Website, ohne die Cookies akzeptiert zu haben, keine konkludente Einwilligung darstellt. Dies wird dadurch begründet, dass es an einer konkreten bestätigenden Handlung fehlt (die aktive Handlung ist eine Voraussetzung der Einwilligung nach der DSGVO). Den kompletten Text der aktualisierten Leitlinie finden Sie auf der Website des Europäischen Datenschutzausschusses. Wenn Sie Fragen zum Thema haben, stehen wir selbstverständlich gerne zur Verfügung.
Read moreAnwesenheitslisten beim Friseurbesuch
15. Mai 2020Seit dem 11.05.2020 sind die strengen Maßnahmen gegen COVID-19 locker geworden. So kann man zum normalen Leben zurückkehren, oder mindestens so sieht es aus. Am Montag dieser Woche sind die Änderungen der Niedersächsischen Verordnung zum Schutz vor Neuinfektionen mit Corona-Virus in Kraft getreten, mit Ausnahme vom Art. 2 der Verordnung (Restaurationsbetriebe), der am 18.05. in Kraft tritt. Gemäß der Verordnung besteht für zahlreiche Gewerbebetriebe und Bildungseinrichtungen die Pflicht die Kontaktdaten der Kundendaten/Teilnehmenden zu erfassen, darunter auch der Zeitpunkt des Betretens und Verlassens des Betriebs. Die Aufbewahrungspflicht für diese Daten beträgt 3 Wochen, bzw. 1 Monat. Deswegen überraschen Sie sich bitte nicht, wenn Sie zum Friseur gehen und einige Daten mitteilen sollen. Wenn Sie damit aber nicht einverstanden sind, dürfen Sie nicht bedient werden. Wichtig ist, dass andere Personen, außer dem Betroffenen, die in den Listen erfassten Daten, nicht zur Kenntnis nehmen können. Des Weiteren soll der Verantwortliche seiner Pflicht nach Art. 13 DSGVO nachkommen und die Betroffenen über die Datenerhebung informieren. Die erhobenen Daten dürfen zu keinem anderen Zweck verwendet werden. Das Gesundheitsamt oder andere öffentliche Stellen können die Listen oder Auszüge aus den Listen schriftlich anfordern und die entsprechenden Informationen müssen an die verantwortlichen Stellen übermittelt werden. Aufgrund der Rechenschaftspflicht gem. Art. 5 Abs. 2 DSGVO (sog. Nachweispflicht) sollen die Aufforderungen zur Übermittlung und selbst die Datenübermittlung dokumentiert werden. Die beim Friseur erfassten Listen, sind nach drei Wochen nach dem letzten Kontakt mit dem Betroffenen datenschutzkonform zu vernichten – entweder mit einem Aktenvernichter bei Papierunterlagen oder mit entsprechenden Löschtools,…
Read moreCloud Computing – ist das die Zukunft?
6. Mai 2020Die technische Innovation unserer Zeit ändert die Grenzen der Unmöglichkeit. Was vor einigen Jahren undenkbar war, ist schon Realität. Festplattenspeicherung oder überhaupt Datenverarbeitung auf einer Festplatte kann in der Vergangenheit bleiben. Die sog. ‘‘Cloud‘‘ bietet nicht nur eine Vielzahl an diversen Möglichkeiten an, um Daten zu verarbeiten, sondern auch Flexibilität, Reduktion der bisher eher komplexen Verarbeitungsvorgänge und eine Bezahlung, die vom Verbrauch abhängig ist. Die Zahl der Cloud-Provider auf nationaler und internationaler Ebene nimmt an, denn viele Unternehmen haben den Bedarf ihre Daten in die Cloud umzuziehen. Die häufigsten Cloud-Dienstleistungen, die auf dem Markt gefunden werden können, sind: Software as a Service (Saas), Infrastructure as a Service (Iaas) und Plattform as a Service (PaaS), je nach Bedarf des Unternehmens. Es bleibt die Frage, wie man einzelne Cloud-Dienstleistungen miteinander integrieren kann und ob eine Standardisierung der unterschiedlichen Services erforderlich ist und wenn ja, ob dieses möglich ist. Wie sieht die Frage aus datenschutzrechtlicher Sicht für das Unternehmen aus? Im Rahmen des Cloud-Computing verarbeitet der Cloud-Provider personenbezogene Daten (z.B. Mitarbeiter‑, Kunden‑, Lieferantendaten usw.). Wir verstehen, dass es nicht einfach ist, die Kontrolle komplett dem Cloud-Provider zu übergeben (ist auch nicht nötig). Vor allem muss man an erster Stelle die sichere technische und organisatorische Datenverarbeitung gewährleisten können. Im Regelfall verarbeitet der Cloud-Provider die Daten im Auftrag des Verantwortlichen. Das setzt den Abschluss einen Auftragsverarbeitungsvertrags zwischen dem Verantwortlichen (Unternehmen) und dem Cloud-Anbieter (Auftragnehmer) vor. So bleibt das Unternehmen der ‘‘Herr der Daten‘‘ und der Cloud-Provider bearbeitet die Daten nach den Weisungen des Verantwortlichen. Klingt…
Read moreLücke in Apple’s Mail-App bedroht den Datenschutz
27. April 2020Seit letzter Woche ist eine Lücke in Apple’s Mail App öffentlich bekannt. Diese Lücke wird durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) folgendermaßen zusammengefasst: Aussage des BSI „Die integrierte iOS-App „Mail“ ist auf allen iOS-Versionen, rückwirkend bis iOS 6, von zwei schwerwiegenden Sicherheitslücken betroffen. Angreifern ist es dadurch möglich, durch das Senden einer E‑Mail das betreffende iPhone oder iPad zu kompromittieren. Damit ist potenziell das Lesen, Verändern und Löschen von E‑Mails möglich.“ (Quelle: BSI) Apple bestreitet Kritikalität Apple bestreitet zwar derzeit die Kritikalität der Lücken, jedoch ist Vorsorge besser als Nachsorge. Insbesondere dann, wenn es sich um Sicherheitslücken in Softwareprodukten handelt. Da es zum aktuellen Zeitpunkt noch keinen Patch für die Lücke in Apple’s Mail-App gibt, hat man zwei Optionen um eine Ausnutzung der Lücke zu verhindern: Löschen der Mail-App vom iPhone oder iPad. Lange auf das App Icon tippen und „App löschen“ auswählen. Die App kann über den App Store erneut installiert werden, sobald Apple die Lücke geschlossen hat. Deaktivierung der Synchronisation für alle verknüpften E‑Mail-Accounts Öffnen der „Einstellungen“ auf dem iPhone oder iPad. Auswahl des Menüs „Passwörter & Accounts“. Folgende Schritte für jeden eingebunden E‑Mail-Account durchführen: Umstellen des blauen Schalters neben „Mail“. Sobald man jetzt ins Menü zurückkehrt, steht unter dem Account „Inaktiv“ in der Liste. Außerdem sollte der „Datenabgleich“ am Ende des Menüs vorerst pausiert werden. Als Alternativen können andere Apps von anderen Herstellern genutzt werden. Ein kurzer Test von Macwelt zu alternativen Apps gibt es hier. Häufig stellen Mail-Provider auch Weboberflächen für den Zugriff…
Read morePflichten des Arbeitgebers in Zeiten von Corona
20. April 2020Das Coronavirus breitet sich von Tag zu Tag immer weiter aus. Viele Betriebe fürchten wirtschaftliche Konsequenzen. Wie beeinflusst das Virus deutsche Arbeitsverhältnisse? Welche Pflichten müssen die Arbeitgeber treffen? Diese und viele weitere Fragen stellen sich derzeit den Arbeitgebern und Arbeitnehmern in Deutschland. 1. Fürsorgepflicht des Arbeitgebers Arbeitgeber sind gegenüber Ihren Mitarbeitern verpflichtet die Fürsorgepflicht i.S.d. § 618 BGB, einzuhalten. Das bedeutet, dass der Arbeitgeber für die Unversehrtheit von Leben und Gesundheit der Arbeitnehmer Sorge zu tragen hat. Er hat die Verpflichtung die Gefahren für die Sicherheit und Gesundheit für seine Beschäftigten zu beurteilen sog. Gefährdungsbeurteilung und entsprechende Maßnahmen hieraus abzuleiten. Hierzu gehören Aufklärungsmaßnahmen, sowie die Zurverfügungstellung des erforderlichen Hygieneschutzes, wie etwa Desinfektionsmittel. Des Weiteren können die Maßnahmen auch technisch und organisatorisch sein, wie z.B. die Beschränkung der Mitarbeiterzahl im Büro oder die Abtrennung der Arbeitsbereiche unter Einhaltung des erforderlichen Abstands (2 Meter). Gegebenenfalls kann auch Home Office angeordnet werden. Grundsätzlich besteht ein gesetzlicher Anspruch, von zu Hause aus zu arbeiten nicht. Ob Homeoffice vom Arbeitnehmer gefordert, bzw. vom Arbeitgeber angeordnet werden kann, ergibt sich aus der zwischen den Parteien geschlossenen vertraglichen Vereinbarung. Eine solche Abrede kann auch nachträglich vereinbart werden. Dabei hat der Arbeitgeber alle nötigen Betriebsmittel zur Verfügung zu stellen. Gibt es im Betrieb einen Betriebsrat, ist dieser bei der Umsetzung der Maßnahmen, die Fragen der Ordnung des Betriebs und des Verhaltens der Beschäftigten im Betrieb berühren, nach § 87 Nr.1 und Nr. 7 BetrVG und § 75 Abs. 3 Nr. 11 und 15 BPersVG mitbestimmungspflichtig. Letztlich ist das…
Read moreHandyortung im Kampf gegen Corona
14. April 2020Länder wie Israel, China und Südkorea setzen im Kampf gegen die Ausbreitung des Coronavirus (Covid-19) auf die Überwachung von Smartphones. Eine App auf dem Handy ortet und überwacht den Nutzer und soll Ihre Nutzer anonym bei Kontakt mit Infizierten warnen. Damit wurden bereits positive Ergebnisse erzielt. Diese Maßnahmen sind auch mittlerweile in Deutschland angekommen. Es wird stark diskutiert, ob die Ausbreitung des Coronavirus in Deutschland anhand der Handyortung verlangsamt werden kann. Dazu hat der Gesundheitsminister Jens Spahn bereits ein Gesetz ins Kabinett eingebracht, um die COVID-19 Krise in Deutschland bekämpfen zu können. In dem Gesetzesentwurf hieß es, dass Spahn technische Mittel einsetzen möchte, die Gesundheitsbehörden dazu legitimieren, Kontaktpersonen von Infizierten anhand von Handy-Standortdaten zu ermitteln. Dadurch sollen Behörden die Bewegungen von Kontaktpersonen verfolgen, um sie im Verdachtsfall kontaktieren zu können. Beteiligt an diesen Planungen ist auch das Robert-Koch-Institut, welche zur Erforschung der Ausbreitung des Coronavirus Bewegungsdaten von Handynutzern im Netz der Deutschen Telekom erhalten hat. Mit diesen Daten lässt sich nachvollziehen, wann, wo und wie lange die Menschen Ihre Handys benutzen. Nur was ist dabei aus datenschutzrechtlicher Sicht zu beachten? Der Bundesdatenschutzbeauftragte Ulrich Kelber wies darauf hin, dass alle Maßnahmen der Datenverarbeitung ‘‘erforderlich, geeignet und verhältnismäßig‘‘ sein müssen. Es müsste genauer konkretisiert werden wie lange die Daten gespeichert werden, was der Zweck der Datenverarbeitung ist und wer Zugriff auf welche Daten hat Bislang bleiben diese Fragen noch offen. Zudem müsste die App freiwillig und unter Kontrolle der Nutzer auf dem Handy installiert werden können. Die Apps müssen so gestaltet…
Read moreNotfallmanagement als Teil von technische-organisatorische-Maßnahmen in unruhigen Zeiten
6. April 2020Die letzten Jahre waren geprägt von großen Herausforderungen für Unternehmen. Nehmen wir die lange und starke Hitze im Sommer 2018. Diese führte zu starken Belastungen bei den Mitarbeitern und bei der IT. Während die Klimageräte der Serverräume wahre Höchstleistungen vollbrachten, waren kreative Ideen für die Büros der Mitarbeiter gefragt. Eins haben Mitarbeiter und IT-Geräte nämlich gemeinsam. Bei zu großer Hitze können sie nicht mehr ordentlich arbeiten. Hier kam es immer wieder zu Ausfällen, sowohl bei überlasteten Klimaanlagen als auch bei Mitarbeitern aufgrund von zu stark erhitzten Büros. Dann der Winter 2018/19, welcher ganz Süddeutschland mit extremen Schneeverhältnissen über Wochen hinweg belastete. Hier konnten, aufgrund der Straßenverhältnisse und der immer neuen Lawinenabgänge, Mitarbeiter und Logistik nicht immer zeitgerecht das Unternehmen erreichen. Hierdurch entstanden oft Verzögerungen in verschiedenen Unternehmensprozessen. Und dann die Corona-Pandemie 2020. Aktuell gibt es noch keine gesicherten Erkenntnisse, wie lange die Einschränkungen in den sozialen Kontakten und die empfohlenen Verhaltensweisen bei zwischenmenschlichen Kontakten noch aufrechterhalten werden sollen. Die drastisch erhöhte Anzahl an Homeoffice-Arbeitsplätzen stellt für viele Unternehmen vollkommen neue Herausforderungen bezüglich der Ausgestaltung der Arbeitsplätze und der Anbindung an das Unternehmensnetzwerk dar. Häufig sind zu wenig Laptops im Unternehmen vorhanden und die Anbindung des Unternehmens an das Internet mit den vielen Verbindungen von außen aus den Homeoffice-Arbeitsplätzen überlastet. Eins haben alle Fallbeispiele gemeinsam. Sie stellen die Unternehmen in sehr kurzer Zeit vor große, z.T. schwer bewältigbare Herausforderungen. Die Ressourcen des Unternehmens werden knapp und die Geschäftsprozesse kommen ins Stocken oder im schlimmsten Fall zum Erliegen. Nun ist nicht jeder Geschäftsprozess eines Unternehmens gleich wichtig. Es gibt solche, die…
Read moreDatenschutz in Zeiten von Corona
30. März 2020Die Welt steht vor einer der größten Herausforderungen unserer Zeit. Sowohl die Datenschutzbehörden in Deutschland, als auch der Europäische Datenschutzausschuss (EDSA) haben sich zum Thema Datenverarbeitung in Zeiten von Corona geäußert. Die Grundätze der Datenverarbeitung in der Datenschutzgrundverordnung (DSGVO) bleiben unberührt, jedoch müssen auch andere nationale Rechtsvorschriften mit in die Betrachtung einfließen. Zu der Rechtmäßigkeit der Datenverarbeitung deutet der EDSA an, dass die DSGVO Regeln vorsieht, die auch für die Verarbeitung von personenbezogenen Daten im Rahmen von COVID-19 gelten. Die DSGVO ermöglicht Gesundheitsbehörden und Arbeitgebern, im Einklang des jeweiligen nationalen Rechtes, personenbezogene Daten zu verarbeiten, . Somit besteht unter Umständen keine Notwendigkeit, sich auf die Einwilligung (Art. 6 Abs. 1 lit. a) DSGVO) von Einzelpersonen zu verlassen. In seiner Stellungnahme führt der EDSA auf, dass in Bezug auf die Verarbeitung von Telekommunikationsdaten (z.B. Standortdaten) geltende nationale Bestimmungen zur Umsetzung der (Datenschutzrichtlinie für elektronische Kommunikation 2002/58E/G, später 2009/136/EC) eingehalten werden müssen. Die Richtlinie ermöglicht es den Mitgliedstaaten, gesetzgeberische Maßnahmen zur Wahrung der öffentlichen Sicherheit einzuführen. Eine solche außergewöhnliche Gesetzgebung ist nur möglich, wenn sie eine notwendige, angemessene und verhältnismäßige Maßnahme innerhalb einer demokratischen Gesellschaft darstellt. Diese Maßnahmen müssen im Einklang mit der Charta der Grundrechte und der Europäischen Konvention zum Schutz der Menschenrechte und der grundlegenden Freiheit sein. Darüber hinaus unterliegt dieses der gerichtlichen Kontrolle des Europäischen Gerichtshofs und dem Europäischen Gerichtshof für Menschenrechte. Diese Stellung ist wichtig im Zusammenhang mit der Frage, ob Regierungen personenbezogene Daten verarbeiten dürfen, die sich auf den Handystandort (Tracking) von Einzelpersonen beziehen, damit die Verbreitung…
Read moreDatenschutz im Home-Office
23. März 2020In unserer heutigen Zeit gewinnt Home-Office zunehmend an Bedeutung. Es gibt verschiedene Gründe, weshalb Unternehmen Home-Office anbieten: sei es die Flexibilität der Mitarbeiter, Reduktion der Wegzeiten zur Arbeit oder aber auch durch das Coronavirus Covid ‑19 verursacht. Aufgrund des Coronavirus steht das Home-Office mehr denn je im Fokus. Zahlreiche Unternehmen haben den Entschluss gefasst mehr und mehr Mitarbeitern das Arbeiten im Home-Office zu ermöglichen. Nur was ändert sich jetzt aus datenschutzrechtlicher Sicht im Home-Office? Die gesetzlichen Bestimmungen der DSGVO sowie die internen Regelungen zur Umsetzung des Datenschutzes welche im Unternehmen gelten, gelten auch im Home-Office. Daher möchten wir Ihnen einen kurzen Überblick darüber verschaffen, was zu beachten ist. 1. Zugriff auf dienstliche Unterlagen in Papier- und elektronischer Form Die dienstlich genutzten Unterlagen (in Papier- und elektronischer Form) dürfen nur dem betreffenden Arbeitnehmer zugänglich sein. Der Betroffene ist verpflichtet, dafür zu sorgen, dass kein Dritter Einsicht auf seinen Rechner oder auf seine dienstlichen Unterlagen hat. Auch die mit dem in Home-Office Arbeitenden in häuslicher Gemeinschaft lebenden Personen dürfen keinen Zugriff auf dienstliche Unterlagen haben. Der Mitarbeiter muss daher alle sensiblen und vertraulichen Unterlagen in einem abschließbaren Schrank aufbewahren. Dazu gehören alle mobilen Massenspeichergeräte wie CDs, DVDs, USB-Laufwerke, Harddisks‑, NAS-Storages etc. Des Weiteren ist er dazu verpflichtet beim Verlassen seines Arbeitsplatzes seinen Bildschirm zu sperren, auch wenn sein Verlassen nur von kurzzeitiger Dauer ist. Die nötigen Maßnahmen hat der Arbeitnehmer zu treffen. 2. Software Damit eine umfassende Datensicherheit gewährleistet werden kann müssen Firewall, Virenschutz auch im Home-Office aktiv auf dem neuesten Stand sein. Ferner müssen Arbeitnehmer sichere Passwörter (mind. 8 Zeichen lang, Groß ‑und Kleinbuchstaben sowie Sonderzeichen) benutzen und darauf achten, dass keine private Hard- und Software…
Read moreDer Umgang mit der Anonymisierung von personenbezogenen Daten
16. März 2020Vor einem Monat hat der Bundesbeauftragte für Datenschutz und Informationssicherheit (BfDI) ein Positionspapier zum Thema Anonymisierung personenbezogener Daten veröffentlicht, um den Verantwortlichen eine Orientierungshilfe zu geben. In der Vorgehensweise des BfDI ist die Anonymisierung als eine Verarbeitungstätigkeit gem. der DSGVO zu sehen. Aus diesem Grund muss sie auch rechtmäßig sein, d.h. es müsste eine rechtliche Grundlage vorliegen, die uns erlaubt die personenbezogenen Daten zu verarbeiten. Ziel der Anonymisierung ist es, dass keine Rückschlüsse auf die betroffene Person entstehen können, so dass keine Re-Identifizierung möglich ist. Um das zu ermöglichen werden zuerst Elemente von den Daten entfernt und dadurch wird der Inhalt der Daten verändert. Die Anonymisierung als Verarbeitungstätigkeit bedarf einer Rechtsgrundlage aus Art. 6, Abs. 1 DSGVO. Welche Rechtsgrundlage zutrifft, ist von der konkreten Konstellation abhängig. An erster Stelle kann die Anonymisierung auf eine wirksam erteilte Einwilligung gestützt werden. Das birgt aber folgendes Risiko: die betroffene Person kann die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen. Als nächste mögliche Rechtsgrundlage kommt Art. 6, Abs. 4 DSGVO, der die Voraussetzung der Vereinbarkeit setzt, in Betracht. Hier ist folgendes zu berücksichtigen: in der Regel wurden die personenbezogenen Daten, die anonymisiert werden müssen, ursprünglich zu einem anderen Zweck erhoben. Damit die Anonymisierung gem. Art. 6, Abs. 4 DSGVO rechtmäßig sein kann, muss der Zweck für den die Daten weiterverarbeitet werden mit dem ursprünglichen Erhebungszweck vereinbar sein. Bei der Beurteilung, ob eine Vereinbarkeit möglich ist, gibt Art. 6, Abs. 4 DSGVO folgende Kriterien, die berücksichtigt werden müssen: jede Verbindung zwischen den Zwecken, für…
Read moreAuskunftsersuchen Schritt 3 – Form und Folgen
9. März 2020Fraglich ist, wie lange das Unternehmen Zeit hat, um dem Auskunftsersuchen des Herrn M. nachzukommen. Das Unternehmen müsste dem Auskunftsersuchen des Herrn M. spätestens innerhalb eines Monats nachkommen. Nur in begründeten Ausnahmefällen kann die Monatsfrist überschritten werden, worüber dann auch Herr M. zu informieren wäre. Vorliegend wurde die Auskunft innerhalb von zwei Wochen ab Zugang des Auskunftsantrages an Herrn M. erteilt. Damit erfolgte dies noch im Rahmen der einmonatigen Frist und kostenlos. Wäre das Unternehmen dem Auskunftsersuchen des Herrn M. nicht oder nicht vollständig nachgekommen, wäre es mit einem Bußgeld bedroht. Das Bußgeld kann bis zu 20 Mio. Euro oder 4% des weltweiten Jahresumsatzes ausmachen. Dieser Fall zeigt deutlich, dass es bei der Erteilung eines Auskunftsersuchens wesentliche Schritte zu beachten gibt. Bis dato wurden bereits mehrere Bußgelder wegen fehlender oder fehlerhafter Auskunftserteilung verhängt. Dadurch ist zu sehen, dass die Betroffenenrechte ein wichtiges Thema für die Aufsichtsbehörden darstellen und somit ernst zu nehmen sind. Falls Sie bei Erteilung eines Auskunftsersuchens oder den anderen Betroffenenrechten Hilfe brauchen, wenden Sie sich bitte an uns. Wir zeigen Ihnen wie Sie Ihren Pflichten rechtskonform nachkommen.
Read moreAuskunftsersuchen Schritt 2- Inhaltliche Anforderungen
2. März 2020Nachdem die Identität von Herrn M. festgestellt wurde, hat dieser eine E‑Mail von seinem beschäftigten Unternehmen erhalten. Darin waren folgende Informationen enthalten: zu welchem Zweck die Daten des Herrn M. verarbeitet wurden Welche Kategorien von personenbezogenen Daten über ihn verarbeitet wurden an wen seine Daten übermittelt wurden die geplante Speicherdauer seiner personenbezogenen Daten Hinweis auf die Betroffenenrechte des Herrn M. die Herkunft seiner personenbezogenen Daten, falls diese nicht bei Ihm direkt erhoben wurden und schließlich ob seine Daten einer automatisierten Entscheidung, einschließlich Profiling, unterworfen sind. Bis wann die Auskunftserteilung erfolgen muss erfahren Sie nächste Woche in unserem Blogbeitrag.
Read moreAuskunftsersuchen Schritt 1 – Identifizierung der betroffenen Person
25. Februar 2020Bevor überhaupt einem Auskunftsersuchen nachgekommen werden kann, muss der Verantwortliche vergewissern, dass der Anfragende auch der Betroffene ist. Je nachdem, auf welchem Wege die Auskunftsanfrage nach Artikel 15 DSGVO erfolgt, gibt es verschiedene Möglichkeiten der Identitätsprüfung. Vorliegend schrieb Herr M. eine E‑Mail an das Unternehmen. Da Herr M. bereits zuvor Kontakt per E‑Mail hatte, kann die E‑Mail-Adresse einen Hinweis auf die Identität von Herrn M. geben. Sofern die E‑Mail-Adresse nicht bekannt gewesen wäre, ließe sich daraus auch nicht die wahre Identität der betroffenen Person schließen. Um sich zu vergewissern, ruft das Unternehmen, die von Herrn M. hinterlegte Telefonnummer an. Zum Abgleich, ob auch Herr M. die E‑Mail geschrieben hat, fordert das Unternehmen zusätzliche Informationen, wie z.B. die Postanschrift und das Geburtsdatum des Betroffenen. Nachdem Herr M. die richtigen Angaben erteilt hatte, bestanden keine Zweifel daran, dass der Anfragende auch der Auskunftsberechtigte ist. Somit wurde die Identität des Herrn M. sichergestellt. Wie das Unternehmen nach der Identifizierung von Herrn M. vorzugehen hat, erfahren Sie nächste Woche in unserem Blogbeitrag.
Read moreVerstöße gegen das Auskunftsersuchen nach Artikel 15 DSGVO können teuer werden
18. Februar 2020In den letzten Monaten haben sich Bußgelder wegen fehlender Auskunftserteilung gehäuft. Aber nicht nur eine fehlende Auskunftserteilung, sondern auch eine ungenau erteilte Auskunft kann ein Bußgeld mit sich bringen. Dies wurde durch das Amtsgericht Wertheim bestätigt, welches einem Unternehmen ein Bußgeld in Höhe von 15.000 Euro aufgrund ungenauer Auskunftserteilung verhängt hat. Aus diesem Grunde möchten wir Ihnen am Fallbeispiel von Herrn M. aufführen, wie bei einem Auskunftsersuchen nach Artikel 15 DSGVO richtig vorzugehen ist. Herr M. ist seit Jahren Angestellter in einem Unternehmen. Überall sei es beim Arzt, im Internet unter Kollegen geht es um die Datenschutzgrundverordnung (DSGVO). Als dieser mitbekommen hat, dass es die Möglichkeit eines Auskunftsersuchens nach Artikel 15 DSGVO gibt, möchte er diese Gelegenheit ausnutzen. Somit schreibt er eine E‑Mail an das Postfach für Datenschutz seines beschäftigten Unternehmens und möchte von seinem Auskunftsrecht nach Artikel 15 DSGVO Gebrauch machen. Wie hat das Unternehmen bei einem Auskunftsersuchen nach Artikel 15 DSGVO vorzugehen? Mehr über die einzelnen Schritte erfahren Sie nächste Woche in unserem Blogbeitrag.
Read moreDie digitalen Bewerbermanagement-Plattformen
10. Februar 2020In der digitalisierten Welt von heutzutage Bewerbungsunterlagen per Post zu schicken fühlt sich schon altmodisch an. Auf dem Markt gibt es genug Bewerber-Tools, die sowohl die Beseitigung der Papierdokumentation und des begleitenden Chaos abschaffen, als auch Geschwindigkeit und Effektivität anbieten und zudem preiswerter sind. Was ist vor der Umsetzung einer Bewerberplattform zu berücksichtigen? Das hört sich schon wunderschön an, birgt aber Gefahren die aus datenschutzrechtlicher Sicht besondere Risiken für beide Seiten (Verantwortlicher und Betroffene) darstellen. Vom Prinzip der Datenminimierung (Art. 5, Abs. 1, Buchstabe c DSGVO) und der sog. Rechenschaftspflicht (Art.5, Abs.2 DSGVO) bis zur Auswahl eines konformen Bewerbertools gibt es vieles zu berücksichtigen. Der Rechenschaftspflicht ist erst dann nachgekommen, wenn die Prozesse, in denen personenbezogene Daten verarbeitet werden transparent und übersichtlich angelegt sind (dokumentiert sind). Das natürlich liegt in engerem Zusammenhang mit der Art des Bewerbertools (z.B. Cloud-basiert). Aufgrund der Anzahl der personenbezogenen Daten, die im Bewerbungsprozess bearbeitet werden müssen (von Kontaktdaten bis zu sensiblen Daten) fällt es den Unternehmen schwer den Überblick zu behalten. Deswegen sind vor der Umsetzung des Bewerber-Tools u.a. folgende Fragen zu beantworten: Handelt es sich um eine Auftragsverarbeitung, gemeinsame Verantwortlichkeit oder unabhängig von einem anderen Verantwortlichen? Wer ist berechtigt Zugriff auf die Daten zu haben? Welche Fristen müssen bei der Speicherung von Daten berücksichtigt werden? Darf ich Social-Media Accounts von Bewerbern verknüpfen? und viele andere. Die Einfachheit birgt Gefahren. Definitiv als positiv zu sehen ist, das Einsetzen eines Löschkonzepts, da viele Bewerberplattformen automatische Erinnerungs- oder Löschoptionen enthalten. Ein weiterer Grund warum solche Tools immer…
Read moreDer Gesetzesentwurf zur Bekämpfung des Rechtsextremismus und der Hasskriminalität – Auswirkungen für Unternehmen
3. Februar 2020Der Entwurf des Gesetzes zur Bekämpfung des Rechtsextremismus und der Hasskriminalität verpflichtet alle Internetdienstleister zur umfassenden Kooperation mit den Ermittlungsbehörden und Geheimdiensten. Somit haben alle Telemediendienstanbieter auf Verlangen die Bestands- und Nutzungsdaten ihrer Nutzer herauszugeben. Welche Neuerungen beinhaltet der Gesetzesentwurf? Eine der wichtigsten Neuerungen ist die Verpflichtung sozialer Netzwerke dem Bundeskriminalamt als Zentralstelle bestimmte strafbare Inhalte zu melden, die dem sozialen Netzwerk durch eine Beschwerde bekannt und von ihnen entfernt oder gesperrt wurden. Dies wird nicht nur von Datenschutzbeauftragten kritisiert, sondern auch von der Digitalen Gesellschaft. In dem Gesetzesentwurf heißt es, dass Anbieter von Telemediendiensten dazu verpflichtet werden sollen auf Verlangen die Bestands- und Nutzungsdaten ihrer Nutzer herauszugeben. Die Problematik betrifft nicht nur die Bekämpfung der Hasskriminalität, sondern auch die Erschaffung von umfassenden Überwachungsrechten für Staat und Behörde. Schon bisher bestand die Möglichkeit für Staatsanwaltschaften auf Basis des TMG Bestandsdaten inklusive Zugangsinformationen zu verlangen. Die Bundesregierung begründet die Änderungen mit der Aussage, dass bislang das Auskunftsverfahren im TMG nur „rudimentär“ geregelt sei. Aus Datenschutzsicht sind Passwörter besonders zu schützen und deren Herausgabe wäre ein Verstoß gegen die datenschutzrechtlichen Vorschriften. Aus Datenschutzgründen dürfen Passwörter nicht im Klartext gespeichert werden, sondern als Hashwert. Die Digitale Gesellschaft kritisiert die vorgesehenen Änderungen, weil das Ausprobieren der Passwörter für andere Accounts des Betroffenen eine denkbare verfassungswidrige Verwendung darstellen kann. Zudem ist es problematisch, dass künftig kein rechtlicher Beschluss nötig wird, sondern die Aufforderung einer Behörde oder Polizeidineststelle ausreichend ist. Hinzu kommt, dass der Nutzer von der Herausgabe seiner Daten an erster Stelle nicht durch den…
Read more2. DSAnpUG – Änderung der Benennungspflicht eines DSB bei nicht-öffentlichen Stellen und deren Auswirkung auf die Arztpraxen
20. Januar 2020Mit der Mehrheit der Stimmen durch die Fraktionen von CDU, CSU und SPD beschloss der Bundestag am 28.08.2019 das 2. DSAnpUG-EU ( Zweites Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680). Das 2. DSAnpUG ist von Seiten des Bundesrates zustimmungsbedürftig und tritt am Tag nach der Verkündigung im Bundesgesetzblatt in Kraft. Durch die Änderungen sind mehr als 150 Gesetze betroffen, insbesondere das BDSG. Durch das 2. DSAnpUG sind sowohl Begriffsbestimmungen und Rechtsgrundlagen für die Datenverarbeitung als auch Regelungen zu den Betroffenenrechten angepasst. Eine der wichtigsten Änderungen betrifft die Benennungspflicht eines Datenschutzbeauftragten (§ 38 BDSG). Bislang bestand nach § 38, Abs. 1, S. 1 BDSG die Benennungspflicht eines Datenschutzbeauftragten, wenn in der Regel mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Nach der vorgenommenen Änderung lautet dieser folgenderweise: “Ergänzend zu Artikel 38 Absatz 1 Buchstabe b und c der Verordnung (EU) 2016/679 benennen der Verantwortliche und der Auftragsverarbeiter eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten, soweit sie in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.“ Ziel dieser Änderung ist der sog. ‘‘Bürokratieabbau‘‘, damit kleinere Betriebe und Vereine nicht unverhältnismäßig belastet sind. Diese Erleichterung bedeutet jedoch nicht, dass auch andere Datenschutzpflichten komplett wegfallen. Unabhängig von der Personenanzahl sind solche Verantwortliche und Auftragsverarbeiter zur Bestellung eines Datenschutzbeauftragten verpflichtet, die nach Art. 35 DSGVO einer Datenschutz-Folgeabschätzung unterliegen, oder wenn sie für Zwecke der Markt- oder Meinungsforschung oder geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung personenbezogene Daten verarbeiten.…
Read moreFacebook Pixel: Ist das Tracking per Pixel erlaubt?
16. Dezember 2019Der Bayerische Blutspendedienst kämpft mit der Anschuldigung einer massiven Datenpanne, nachdem er sensible Daten von Blutspendern an Facebook übermittelt hat, darunter auch Angaben zu Schwangerschaften, Drogenkonsum, HIV-Infektionen oder Diabetes. Interessenten konnten sich durch Beantwortung von Fragen in Form eines Spende-Checks auf der Webseite des Bayerischen Roten Kreuzes (BRK) vorab informieren, ob Sie überhaupt als Spender in Frage kommen. Dieser Test war Anlass eines Verfahrens des Landesamtes für Datenschutzaufsicht gegen das BRK gewesen. Denn zu Analysezwecken wurde das Trackingtool Facebook Pixel installiert, welches durch seine falsche Konfiguration sensible Daten an Facebook übermittelt hat. Konkret wurden die beantworteten Fragen mit Ja und Nein mit dem sozialen Netzwerk geteilt. Dadurch ist es Facebook möglich, Rückschlüsse auf Erkrankungen der Betroffenen zu ziehen. Ob der Einsatz des Facebook-Pixels rechtmäßig war ist zurzeit Gegenstand des Prüfverfahrens. Bei Einsatz eines Tracking-Tools übermittelt nicht der Webseitenbetreiber, die Daten an den Anbieter des Tracking-Tools, sondern der Anbieter selbst erhebt die Daten direkt vom Nutzer. Nichtdestotrotz wird dies erst durch die Einbindung auf der Website ermöglicht. Auch Facebook verbietet explizit die Nutzung von Pixel in dieser Form. In seiner Stellungnahme heißt es: ‘‘Für die Verwendung des Pixels haben wir klare Regeln für Werbetreibende: Es dürfen keine sensiblen Nutzerdaten wie Informationen zu Gesundheit oder Finanzen an uns geschickt werden.‘‘ Dieser Fall zeigt deutlich, dass mit wenig Aufwand über den Browser nicht nur die Aufsichtsbehörden Websites prüfen, sondern jedermann testen kann, welche Tracking-Tools auf einer Website eingebunden sind. Das Risiko, dass Nutzer auf einen Verstoß aufmerksam werden und dieses der Aufsichtsbehörde…
Read moreWindows 10 datenschutzkonform einsetzen.
2. Dezember 2019Das Betriebssystem Windows 10 ist schon länger im Visier der deutschen und europäischen Datenschutzbehörden. Es geht hierbei um den nicht offensichtlichen Datenversand vom Betriebssystem an den Softwarehersteller. Auch wenn Microsoft bestrebt war in der Vergangenheit diese Problematik nachzubessern, hat der Konzern bis heute noch keine Lösung vorgelegt, die die Datenschutzbehörden zufrieden stellt. Dieses ist der Grund dafür, dass die deutschen Datenschutzbehörden ein Prüfungsschema erstellt haben, welches durch jeden Verantwortlichen im Unternehmen umgesetzt und abgearbeitet werden muss. Die Anwendungshinweise der DSK, welche das Prüfschema zu Windows 10 enthalten, sind in zwei Dokumente untergliedert. Das erste Dokument enthält das eigentliche Prüfschema und dient als Leitfaden für den Verantwortlichen, den Datenschutzbeauftragten und den IT-Verantwortlichen/ IT-Dienstleister zur datenschutzkonformen Verwendung von Windows 10. Diese Prüfschema muss für jede eingesetzte Windows 10 Version durchlaufen werden. Das bedeutet auch, dass jedes Funktionsupdate (1809, 1903, 1909 usw.), welches im Unternehmen eingespielt werden soll, eine erneute Prüfung anstößt. Das zweite Dokument enthält weitergehende Informationen zu Windows 10 und die Konfigurationsmöglichkeiten. Diese können die IT-Verantwortlichen / IT-Dienstleister nutzen, um die Konfiguration im Unternehmen datenschutzkonform umzusetzen. Die beiden Anwendungshinweise finden sie hier auf der Seite der Datenschutzkonferenz: Prüfschema Windows 10: https://www.datenschutzkonferenz-online.de/media/ah/20191106_win10_pruefschema_dsk.pdf Anlage 1 zum Prüfschema Windows 10: https://www.datenschutzkonferenz-online.de/media/ah/20191106_win10_pr%C3%BCfschema_hinweise_dsk.pdf
Read moreBenötige ich als Verantwortlicher ein Consent-Banner beim Tracking (Cookie-Banner)?
28. November 2019In der Regel benötigt jeder ein Consent-Banner, der Trackingtools (Third-Party-Cookies) auf seiner Webseite verwendet. Es gibt jedoch Trackingtools (First-Party-Cookies), bei denen Sie kein Consent-Banner benötigen. Wir möchten Ihnen daher eine kurze Hilfestellung mit auf dem Weg geben. Stellen Sie sich als Verantwortlicher einfach folgende Fragen: Verknüpfe ich als Verantwortlicher Nutzungsdaten der Webseite mit anderen Daten des einzelnen Nutzers? Verwendet der Anbieter die erhobenen Daten auch für seine eigenen Zwecke? Benötige ich die Daten des Nutzers nicht nur für die statistische Analyse der Webseite (Zweck der Verarbeitung)? Ist die Speicherung der Daten begrenzt und definiert? Gebe ich dem Betroffenen eine Möglichkeit des Widerspruches (Opt-Out-Verfahren)? Erfolgt eine Profilbildung, damit ich dem Nutzer seine Merkmale sowie seine Interessen zuordne? Wenn Sie als Verantwortlicher alle Fragen mit „Nein“ beantworten können, dann können Sie sich auf das berechtigte Interesse gem. Art. 6 Abs. 1 f) DSGVO berufen und müssen kein Consent-Banner für das Tracking zur Verfügung stellen. Sehr gerne beraten wir Sie zu diesem Thema – rufen Sie uns einfach an. Ihr Datenschutzteam der blu Systems
Read moreMesse und Kongress für IT-Sicherheit
4. Oktober 2019Besuchen Sie uns beim Stand der Secure.Bayern auf der diesjährigen Messe und Konferenz für IT-Sicherheit it-sa in Nürnberg vom 8. bis 10. Oktober. https://www.it-sa.de/ Wir freuen uns auf den fachlichen Austausch mit Ihnen!
Read moreEUGH hat entschieden: Cookies erfordern aktive Einwilligung
2. Oktober 2019In seinem Urteil (Rechtssache C‑673/17 ‚1. Oktober 2019, Urteil in der Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e. V. / Planet49 GmbH) entschied der EUGH, „dass die für die Speicherung aber auch den Abruf von Cookies auf dem Gerät des Besuchers einer Website erforderliche Einwilligung durch ein voreingestelltes Ankreuzkästchen, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss, nicht wirksam erteilt wird.“ Besonders erwähnenswert ist, dass der EUGH hierbei explizit keine Unterscheidung zwischen personenbezogenen und sonstigen Daten macht. Begründet wird dies mit dem im Recht der EU verankerten Prinzip, den Nutzer vor jedem Eingriff in seine Privatsphäre zu schützen. Der EUGH setzt damit nochmal ein deutliches Zeichen. Bemerkenswert ist dies auch, weil Deutschland in der Umsetzung der EU-Privacy Richtlinie bisher einen Sonderweg beschritten hat. Aus Sicht der Regierung- und entgegen der Auffassung der Aufsichtsbehörden- entspricht das deutsche Telemediengesetz nämlich dieser Umsetzung. Im Rahmen des TMG wäre eine Opt-Out-Lösung für Cookies möglich. Das Urteil muss deshalb auch dahingehend gewertet werden, dass diese Ansicht (spätestens jetzt) nicht mehr haltbar ist. Da die Einführung der EU-Privacy Verordnung wohl noch länger dauern wird, muss sich der Gesetzgeber überlegen, ob eine EU-rechtskonforme Umsetzung der Richtlinie nicht doch noch notwendig ist. Geklagt hatte der Bundesverband der Verbraucherzentralen und Verbraucherverbände gegen das Unternehmen Planet49 GmbH. Was bedeutet dies für Unternehmen und Websitebetreiber? Wir hatten schon mehrmals darauf hingewiesen, dass eine rechtskonforme Einwilligung ein aktives Handeln des Nutzers erforderlich macht. Auch die Cookie-Banner müssen den, nunmehr durch das Urteil des EUGH bestätigten Anforderungen angepasst werden. Denn…
Read moreBundesgesundheitsminister fordert Nachbesserungen beim Datenschutz im Gesundheitswesen
19. September 2019In den letzten zwei Wochen waren mehrere Datenpannen bzw. vermeintliche Datenpannen im Gesundheitswesen publik geworden. Das BayLDA überprüft nach eigenen Angaben derzeit die (eventuell erfolgte) Weitergabe von Gesundheitsdaten eines Blutspendedienstes an Facebook. Nun berichten einige Medien, gemeinsame Recherchen des Bayrischen Rundfunks und von ProPublica hätten ergeben, dass sensible Gesundheitsdaten von Millionen Nutzern auf ungesicherten Servern gelegen hätten. Jens Spahn nimmt dies zum Anlass, für Patientendaten höchste Datenschutzstandards einzufordern. Er wird mit den Worten zitiert, dass „viele das Thema noch zu sehr auf die leichte Schulter nehmen würden“. Sicherlich lässt sich nicht pauschalisieren, dass Dienstleister oder Unternehmen aus dem Gesundheitswesen besonders nachlässig mit dem Thema Datenschutz umgehen würden. Der Bundesgesundheitsminister mag aber mit seiner Einschätzung dahingehend durchaus richtig liegen, dass das Bewusstsein für die besondere Sensibilität von Gesundheitsdaten noch nicht bei allen Marktteilnehmern ausreichend vorhanden ist. Der Verlust bzw. die unbefugte Einsichtnahme dieser Daten, etwa durch Versicherungen oder Arbeitgeber, hat aber für die betroffene Person unter Umständen weitreichende negative Konsequenzen. Die blu Systems GmbH wird deshalb aus (leider) aktuellem Anlass gegen Ende des Jahres eine Konferenz für das Thema „Healthcare-Datenschutz“ ausrichten. Wir informieren Sie rechtzeitig.
Read moreUS-amerikanisches Datenschutzgesetz?
19. September 2019Der Austausch personenbezogener Daten mit US-amerikanischen Unternehmen wird für viele deutsche Unternehmen Alltag sein. Nicht zuletzt stehen viele Server auf US-amerikanischem Boden. Für die USA hat die Europäische Kommission per Angemessenheitsbeschluss ein angemessenes Datenschutzniveau bestätigt, unter der Voraussetzung dass der Empfänger dem so bezeichneten US-Privacy Shield angehört. Viele Datenschützer stellen jedoch in Frage, ob man das US-amerikanische Datenschutzniveau guten Gewissens dem Europäischen gleichsetzen kann. Nicht zuletzt die in den letzten Monaten häufig aufgetretenen Datenpannen großer amerikanischer Konzerne lassen Zweifel aufkommen. Und nicht wenige äußern, dass es sich von Seiten der Europäischen Kommission wohl eher um eine politische, denn eine aus Sicht des Datenschutzes fundierte Entscheidung handelt, den USA die Angemessenheit des Niveaus zu bestätigen. Die Gruppe der „Zweifler“ wird sich seit letzter Woche eher bestätigt sehen. Über 50 Schwergewichte der US-amerikanischen Wirtschaft haben in einem offenen Brief an den US-Kongress ein Bundesweites Datenschutzgesetz gefordert. Begründet wird dies unter anderem mit wirtschaftlichen Argumenten (fehlende Wettbewerbsfähigkeit amerikanischer Unternehmen durch die Erschwernisse des Datenschutzes). Hintergrund ist, dass zuletzt einige Bundesstaaten Datenschutzgesetze erlassen hatten, teilweise mit dem Vorbild DSGVO, weil eine bundesweite Regelung bisher fehlt. Der Vorschlag der Unternehmen, „Framework for Consumer Privacy Legislation“ liest sich oberflächlich betrachtet zunächst so, als hätten die Unternehmen begriffen, dass die Sensibilität für den Schutz personenbezogener Daten vornehmlich im letzten Jahr deutlich zugenommen hat. Fast wöchentlich erscheinende Pressenachrichten von großen Datenpannen amerikanischer Konzerne dürften den jeweiligen Public Affairs Abteilungen nicht gefallen haben. Wer genauer hinsieht wird jedoch schnell eines Besseren belehrt. Im letzten Satz des Dokumentes heißt es…
Read moreSchwere Datenpannen und Kopplungsverbot
5. September 2019Schwere Datenpannen In der vergangenen Woche, so berichten mehrere Medien übereinstimmend, gab es wieder mehrere große Datenpannen. Einerseits fällt sicher der Vorfall beim Mastercard-Bonusprogramm in diese Kategorie, da von bis zu 90.000 Datensätzen die Rede ist, die teilweise sogar Kreditkartendaten enthalten sollen. Fast schon als „normal“ zu bezeichnen ist die gerade eben veröffentlichte Meldung, bei Facebook hätte es eine weitere Datenpanne gegeben, diesmal sind (vermutlich) über 400 Millionen Telefonnummern von Facebook-Nutzern in die falschen Hände gelangt. Zunehmend höhere Bußgelder durch deutsche Aufsichtsbehörden? In diesem Kontext scheint es erwähnenswert, dass die deutschen Aufsichtsbehörden die bisher gepflegte Zurückhaltung bei der Verhängung hoher Bußgelder immer mehr ablegen. Wie aus einer Meldung der Berliner Beauftragten für Datenschutz und Informationsfreiheit hervorgeht, wird demnächst von der Behörde ein Bußgeld „in bis zu zweistelliger Millionenhöhe“ verhängt, nachdem zuvor bereits zwei hohe Bußgelder im sechsstelligen Bereich verhängt wurden. Entscheidung des OLG Frankfurt zum Kopplungsverbot Von eher praktischer Relevanz aus Sicht der Unternehmen dürfte es sich bei einer kürzlich ergangenen Entscheidung des OLG Frankfurt (6 U 6/19 v. 27.06.2019) handeln. Im entschiedenen Rechtsstreit ging es um die bislang häufig diskutierte Fragestellung, ob eine Einwilligung (in diesem Fall für den Empfang des Newsletters des Unternehmens) mit einer Teilnahme an einem Gewinnspiel verknüpft werden kann. Nach überwiegend vertretener Meinung widersprach dies dem in der DSGVO verankerten Kopplungsverbot. In der Überzeugung der Frankfurter Richter überwiegt der Ansatz der Freiwilligkeit der Einwilligung. Der Verbraucher, so die Urteilsbegründung, könne und müsse selbst entscheiden, ob ihm die Teilnahme an einem Gewinnspiel unter der Bedingung einer…
Read moreEuGH-Urteil zum Datenschutz: die Verantwortung für Seitenbetreiber wächst
8. August 2019Es ist ein bekanntes Bild: auf einer Unternehmenswebsite befindet sich ein Facebook „Like“-Button. Viele Unternehmen nutzen dieses Mittel, aus unterschiedlichen, meist marketingstrategischen Gründen. Bisher allerdings, ohne dafür eine gesonderte Einwilligung des Websitenutzers einzuholen. Dieses Vorgehen könnte zukünftig mit einem erhöhten Bußgeldrisiko behaftet sein. Durch die Einbindung des Facebook „Like“-Buttons werden nämlich personenbezogene Daten des Nutzers verarbeitet und an Facebook weitergeleitet und zwar unabhängig davon, ob der Button betätigt wird oder nicht. Der EuGH, der in seiner Entscheidung den Ausführungen des Generalanwalts gefolgt ist, erkennt darin eine (gemeinsame) Verantwortlichkeit des Websitebetreibers mit der Konsequenz, für diese Datenverarbeitung eine rechtliche Grundlage liefern zu müssen, in aller Regel eine Einwilligung. Zudem müssen die Informationspflichten und/oder die Datenschutzerklärung dementsprechend angepasst werden. In der Praxis wird der Nutzer nun sehr häufig noch nach einer zusätzlichen Einwilligung gefragt werden. Fraglich ist noch, welche Ausstrahlwirkung das EuGH-Urteil entfalten wird. Es ist aber zu erwarten, dass sich die Verwendung von Social-Media-Plugins auf Websiten grundlegend ändern wird.
Read moreNo-Deal-Brexit- welche Auswirkungen hat dies auf den Datenschutz?
23. Juli 2019Übereinstimmend melden mehrere Medien, dass die neue britische Regierung an einer „No-Deal-Brexit“-Lösung arbeiten würde. Staatsminister Michael Gove wird mit den Worten zitiert, „…ein No Deal ist jetzt eine realistische Annahme und darauf müssen wir vorbereitet sein. Die gesamte Maschinerie der Regierung wird auf Hochtouren arbeiten“. Unternehmen ist deshalb dringend zu empfehlen, sich auf diese Situation auch unter datenschutzrechtlichen Gesichtspunkten vorzubereiten. Sollte das Vereinigte Königreich ohne eine Vereinbarung mit der EU austreten, würde dies bedeuten, dass es zum Drittland i.S.d. der DSGVO werden würde, mit allen drastischen Konsequenzen. Auch eine Übergangsfrist für die Geltung der DSGVO im VK wäre unter diesen Voraussetzungen nicht anzunehmen. In ihrem Beschluss vom 8. März 2019 hat die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder bereits klargestellt, dass eine Datenübermittlung personenbezogener Daten in das VK dann nur noch unter Maßgabe der für Drittländer in der DSGVO vorgesehen Mechanismen möglich sei, zumal ein Angemessenheitsbeschluss der Europäischen Kommission nach Art. 45 DSGVO derzeit für das VK nicht existiert. Der Europäische Datenschutzausschuss (EDSA) veröffentlichte eine Information , die von allen datenübermittelnden Stellen unbedingt zu beachten ist. Zur Sicherstellung der Einhaltung eines angemessenen Datenschutzniveaus muss demnach eine der folgenden Garantien die Grundlage der Datenverarbeitung bzw. –übertragung bilden: Standarddatenschutzklauseln (Art. 46 Abs. 2 lit. c) und d) DSGVO) Unternehmen können hierfür die drei durch die Europäische Kommission bereits veröffentlichten Standarddatenschutzklauseln (Dokument 32001D0497, Dokument 32004D0915, Dokument 32010D0087) verwenden. Allerdings muss darauf hingewiesen werden, dass der Europäische Gerichtshof (EuGH) aktuell die Rechtmäßigkeit der EU-Standardvertragsklauseln immer noch überprüft. Die Verwendung der Klauseln ist bis zu einer Entscheidung…
Read moreDas Zweite Datenschutzanpassungsgesetz- was ändert sich für Unternehmen?
14. Juli 2019Am 27.06.2019 beschloss der deutsche Bundestag mit der Mehrheit der Stimmen durch die Fraktionen von CDU, CSU und SPD das zweite deutsche Datenschutzanpassungsgesetz.Über hundert Gesetze sind durch die geplante Änderung betroffen, vielfach diskutiert wird aber eine (mögliche) Aufweichung der Benennungspflicht eines DSB von Unternehmen. Die DSGVO als Bürokratiemonster? In der öffentlichen Wahrnehmung wird die DSGVO, die nun seit etwas über einem Jahr gültig ist, als bürokratisches Hindernis wahrgenommen. Insbesondere Vereine und KMU haben im letzten Jahr medial ihren Unmut über die Anforderungen der DSGVO kundgetan, die als zu umständlich und aufwendig empfunden werden. So verwundert es denn auch nicht, dass besonders Wirtschaftsverbände oder etwa die CDU-Mittelstandsvereinigung die als zu hoch wahrgenommene Belastung für kleine und mittelständische Unternehmen reduzieren wollen. 10 oder 20? Gewissermaßen symbolisch entzündete sich diese Diskussion an der Frage, ab wie vielen (personenbezogene Daten verarbeitenden) Mitarbeitern von Seiten des Unternehmens ein DSB zu bestellen ist. Bisher, so ist es im BDSG-neu festgehalten, sind dies zehn Mitarbeiter. Dort lässt sich in § 38 BDSG-neu nachlesen: „Ergänzend zu Artikel 37 Absatz 1 Buchstabe b und c der Verordnung (EU) 2016/679 benennen der Verantwortliche und der Auftragsverarbeiter eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten, soweit sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.“ Diese Personengrenze von zehn Mitarbeitern, so die Mittelstandsvertreter, sei deutlich zu niedrig angesetzt und belaste daher kleine Unternehmen unverhältnismäßig. Gleiches Recht für alle? Tatsächlich ist es der Ansatz der DSGVO, im Prinzip, von einigen Ausnahmen wie etwa die Verhältnismäßigkeit bei TOMs abgesehen, keinen Unterschied zwischen…
Read moreUnser wöchentlicher Datenschutzblog
14. Juli 2019
In unserem Blog wollen wir Ihnen wöchentlich aktuelle Entwicklungen, Fragestellungen aber auch Handlungsempfehlungen aus dem Bereich Datenschutz vorstellen und mit Ihnen diskutieren.