Unser Blog
Der Gesetzgeber – die elektronische Patientenakte und der Datenschutz
14. Juli 2020Ab dem 01.01.2021 können Patienten eine elektronische Patientenakte (ePA) von ihrer Krankenkasse erhalten. Dadurch besteht die Möglichkeit, ihre gesundheitsbezogenen Daten all denjenigen zur Verfügung zu stellen, die an ihrer medizinischen Behandlung beteiligt sind – ob Ärzte, Zahnärzte, Psychotherapeuten oder Apotheker. Die Vorteile durch die ePA liegen auf der Hand. Zum einen soll eine patientenzentrierte Versorgung ermöglicht und zum anderen die Souveränität der Bürger gestärkt werden. Welche Daten können in der ePA gespeichert werden? Bei Gesundheitsdaten handelt es sich um sehr sensible Daten i.S.d Artikel 9 DSGVO. Daher muss im Umgang mit ihnen eine hohe Sorgfalt gelten. Folgende Informationen können in Zukunft – sofern der Patient dies wünscht – in der elektronischen Patientenakte gespeichert werden: Befunde Diagnosen Therapiemaßnahmen Behandlungsberichte Impfungen elektronische Medikationspläne elektronische Arztbriefe Notfalldatensätze Neben diesen Daten der Ärzte können auch eigene Daten, wie z. B. ein Tagebuch über Blutzuckermessungen, abgelegt werden. Möchte der Patient nicht, dass seine Daten in der elektronischen Patientenakte hinterlegt werden, so wird überhaupt keine Akte angelegt. Grundvoraussetzung für die Führung einer ePA ist nämlich, dass sie freiwillig erfolgt. Des Weiteren kann der Patient in der App selbst sehen, welche Daten über ihn gespeichert worden sind, d.h. er kann entscheiden, welche Daten er in der Akte haben möchte und wer darauf Zugriff hat. Auch Ärzte können ohne Zustimmung des Patienten keine Einsicht in die Akte nehmen. Liegt sodann eine Einwilligung des Patienten vor, lädt der zuständige Arzt bestimmte Daten aus seinem Praxisveraltungssystem (PVS) in die ePA hoch. Bei den Daten in der ePA handelt es…
WeiterlesenWelche Daten darf ein Betriebsrat verarbeiten?
6. Juli 2020Betriebsräte gibt es seit 100 Jahren. Der Schutz der Mitarbeiter war und ist immer noch einer der wichtigsten Aufgaben der Betriebsräte. Nichtsdestotrotz müssen sich Betriebsräte an die aktuellen rechtlichen Anforderungen anpassen. Im täglichen Geschäft arbeitet man öfters mit personenbezogenen Daten. Welches Verhältnis besteht zwischen dem Betriebsrat und der Personalabteilung eines Unternehmens? Darf der Betriebsrat jederzeit, wann er will personenbezogene Daten von Mitarbeitern einsehen? Der Betriebsrat darf zwar personenbezogene Daten der Mitarbeiter verarbeiten, allerdings unter welchen Bedingungen? Betriebsräte sind unter anderem grundlegend an das Betriebsverfassungsgesetz gebunden. Die Verarbeitung von personenbezogenen Daten ist zulässig, soweit dies zur Wahrnehmung der Aufgaben des Betriebsrats nach dem BetrVG erforderlich ist, z. B. von Mitbestimmungsrechten (§§ 87, 91, 94 Abs. 1, 95, 98, 99 Abs. 4, 102 Abs. 3, 104, 112 BetrVG), von Mitwirkungs- und Beratungsrechten (§§ 80 Abs. 2, 89 Abs. 2, 90, 92, 96, 97, 99 Abs. 1, 111 BetrVG) und seiner Kontroll- und Überwachungsaufgaben gem. § 80 Abs. 1 Nr. 1 BetrVG. Zur Wahrnehmung der Arbeitnehmerinteressen verarbeitet der Betriebsrat personenbezogene Daten und fällt somit unter den Anforderungen der DSGVO und des BDSG (Bundesdatenschutzgesetz). Innerhalb des Betriebsrats darf jedes Mitglied die Daten erhalten, die er für die Erfüllung seiner Aufgaben benötigt. Der Betriebsrat soll die Daten nur für den vom Betriebsrat vorgesehenen Zweck verwenden, ein pauschaler Zugang auf alle Mitarbeiterdaten soll nicht möglich sein. Zu den üblichen Datenverarbeitungen vom Betriebsrat gehören: Sicherung und Förderung der Beschäftigung (§92a BetrVG), Vermeidung von Qualifizierungs-Defiziten (§§ 81 Abs. 4, § 97 Abs. 2 BetrVG), Regelungen für und Planung…
Weiterlesen4me als mögliches ITSM Tool für den Bereich Datenschutz
23. Juni 2020Was ist 4me? 4me ist eine „Software as a Service“ IT Service Management Lösung, welches den Unternehmen die Zusammenarbeit mit internen und externen Dienstleistern ermöglicht. Der große Vorteil ist, dass sowohl IT Services als auch Non IT Services schnell und kostengünstig bereitgestellt werden können. Zudem bietet die Self-Service Funktionalität von 4me dem Mitarbeiter der Organisation die bereitgestellten Services und Online Support für jegliche Anfragen über Störungen, Problemen oder Veränderungen an. Datenpanne nach der DSGVO mit 4me Eine der nun häufigsten Fragen nach der Einführung der DSGVO ist wohl, wann ist eine Datenschutzverletzung gegeben? Eine Verletzung personenbezogener Daten liegt nach Art. 4 Nr. 12 DSGVO vor, wenn personenbezogene Daten verlorengegangen sind bzw. verändert oder unbefugt offengelegt wurden. Kurz beschrieben, Sie fahren mit der Bahn und verlieren Ihren Laptop oder Ihr Mobiltelefon mit personenbezogenen Daten oder Hacker bzw. unbekannte Personen greifen auf Ihre personenbezogenen Daten zu und stehlen diese. Nach der neuen Regelung muss bei einer Datenpanne, diese unverzüglich an die zuständige Datenschutzbehörde innerhalb von 72 Stunden angezeigt werden. Dabei ist es wichtig verschiedene Informationen an die Aufsichtsbehörde zu melden wie beispielsweise: Welche Art von Verletzung liegt vor? In welche Kategorie fallen die Betroffenen? Welche Art von Verletzung liegt vor? In welche Kategorie fallen die Betroffenen? Wie viele Betroffene gibt es? Welche Kategorien von Datensätzen sind betroffen? Name und Anschrift des Datenschutzbeauftragten. Welche Folgen zieht die Schutzverletzung nach sich? (z.B. finanzielle Nachteile) Welche Schutzmaßnahmen haben Sie ergriffen oder möchten Sie ergreifen? Welche Gegenmaßnahmen sind noch denkbar? Damit dieses Formular im digitalen Zeitalter…
WeiterlesenEuGH und BGH zum Thema Cookie-Einwilligung
10. Juni 2020Man hat das lang erwartete Urteil des Bundesgerichtshofs (BGH) über das Thema Cookie-Einwilligung veröffentlicht. Der BGH hat einen konkreten Fall behandelt, indem es darum ging, ob Webseiten die Cookies bei den Webseitennutzern setzen, eine aktive Zustimmung des Besuchers benötigen. Der Europäische Gerichtshof (EuGH) entschied 2019 über eine ähnliche Frage. Warum ist das BGH-Urteil von hoher Bedeutung für Webseitenbetreiber? Zahlreiche Webseitenbetreiber möchten ‘‘ein Wissen‘‘ haben wer sich für deren Webseite, deren Angebote oder Produkte auf der Website interessiert, damit sie eine bessere Leistung erbringen können. Technisch ist das selbstverständlich möglich. Wie sieht die Frage aus datenschutzrechtlicher Sicht aus? Personalisierte Werbung auf der besuchten Website oder auf ähnlich besuchten Webseiten zu gestalten, Nutzerprofile der Webseitenbesucher zu erstellen, um deren Verhalten zu tracken, kann teuer werden. Zur Hilfe kommt die DSGVO, die fast alles Mögliche regelt, außer der Frage wie die Cookies behandelt werden müssen. Dazu sollte die ePrivacy Verordnung Klarheit bringen – ob man für Cookies eine Einwilligung benötigt, und wenn ja, für welche Cookie-Arten ist diese erforderlich? Da die ePrivacy Verordnung noch nicht in Kraft getreten ist, regelt die Frage das Telemediengesetz (TMG). Nach diesem kommt es auf das Erfordernis der sog. notwendigen Cookies an. Das führt dazu, dass die Regelung praktisch nicht für alle Cookies gilt, sondern nur für nicht notwendige Cookies (z.B. Tracking Cookies von Drittanbietern). Notwendige Cookies sind die Cookies, die die technische Funktionalität der Website gewährleisten. Es handelt sich lediglich um die technische Notwendigkeit und nicht um ein wirtschaftliches Interesse. Zum Thema Tracking wie früher erwähnt, hat…
WeiterlesenNational Security Letters
4. Juni 2020Zahlreiche deutsche und europäische Unternehmen nutzen die Cloud-Dienste eines amerikanischen Cloud-Anbieters (sei es Microsoft, Google, Apple, Amazon und etc.). Für den Datenschutz auf europäischer Ebene nimmt sowohl das Thema ‘‘Cloud Act‘‘, als auch das Thema ‘‘Patriot Act‘‘ immer mehr an Bedeutung. In unserem letzten Blogbeitrag haben wir bereits das Thema “Cloud Act“ ausführlich dargestellt und möchten Sie in diesem auf den Patriot Act aufmerksam machen und wie genau er in Verbindung mit der Datenverarbeitung steht. Was ist der Patriot Act und was erlaubt er? Durch den Patriot Act (2001) haben die Vereinigten Staaten die Befugnisse ihrer Geheimdienste und Ermittlungsbehörde erweitert. Hintergrund für die Erweiterung der Befugnisse war die Terrorbekämpfung und die Spionageabwehr. Der Foreign Intelligence Surveillance Court kann einen Beschluss gegen z.B. eine Organisation erlassen. Somit ist das Unternehemen verpflichtet, die bei ihm gespeicherten Daten herauszugeben. Wenn aber kein Beschluss des Gerichts vorliegt hat das FBI eine andere Möglichkeit – die sog. National Security Letters (NSL). Die National Security Letters unterliegen keinen Gerichtsbeschluss. Das FBI kann diese selbst erlassen und somit das Unternehmen verpflichten die angefragten Daten zu übermitteln. An der Stelle ist wichtig zu erwähnen, dass es sich um Organisationen handelt deren Firmensitz in den USA ist. Was beinhaltet ein National Security Letter? Unter anderem können folgende Informationen angefragt werden: DSL-Account Informationen Datum, an dem das Konto eröffnet oder geschlossen wurde Adressen, die im Zusammenhang mit dem Konto stehen Alle sonstigen Informationen, von denen der Provider glaubte, dass es sich um eine elektronische Kommunikation handelt (‘‘Any other information which…
WeiterlesenVertrauen schaffen trotz Cloud Act
26. Mai 2020Immer wieder hört oder liest man diverse Aussagen zum Cloud Act (Clarifying Lawful Overseas Use of Data Act), so z.B., dass der Cloud Act von den Strafverfolgungsbehörden der Vereinigten Staaten von Amerika ausgenutzt wird und dass Sie auf alle (personenbezogene) Daten zugreifen können. In der Theorie ist es zwar möglich, aber in der Praxis schaut es ein wenig anders aus! Grundsätzlich lässt sich eines sagen, „Ein Umzug in die Cloud setzt Vertrauen voraus“. Ohne Vertrauen in neue Techniken und auch in den Dienstleister (Auftragsverarbeiter), sollte ein Umzug in die Cloud nicht durchgeführt werden. Um es ein wenig härter auszudrücken, „wer nur schwarzmalt, sollte besser daheimbleiben!“ Was erlaubt der Cloud Act? Der Cloud Act ermöglicht amerikanischen Strafverfolgungsbehörden auf Basis einer Ermittlungsanordnung, Informationen durch amerikanische IT-Dienstleister (u.a. Amazon, Google, Apple, etc.) über Betroffene zu erhalten – auch wenn diese Daten außerhalb der USA gespeichert werden. Durch den Cloud Act wird die Reichweite klarer formuliert. Hiervon betroffen sind alle Kommunikationsanbieter mit Sitz in den USA – unter anderem auch Microsoft. Gibt es nur den Cloud Act? Da die meisten namenhaften Kommunikations- und IT-Dienstleistungsunternehmen aus den USA stammen, ist auch klar, dass der Cloud Act im Mittelpunkt steht. Jedoch sollte man nicht vergessen, dass es in der EU eine ähnliche Verordnung bzw. Initiative gibt – die electronic-evidene. Somit ist es gleichgültig, ob der Dienstleister in der EU oder in den USA seinen Sitz hat. Was wird durch den Cloud Act erreicht? Der Cloud Act schafft eine Ermächtigungsgrundlage und den Rahmen zum Abschluss eines internationalen…
WeiterlesenBringt der EDSA endlich Klarheit zum Thema Cookie-Einwilligung?
20. Mai 2020Der Europäische Datenschutzausschuss hat Anfang Mai 2020 die Leitlinie zur Einwilligung in die Nutzung von Internetseiten aktualisiert. Somit haben Fragen wie ‘‘Stellt das Nutzen der Website ohne Akzeptanz der Cookies eine konkludente Einwilligung dar?‘‘ oder ‘‘Soll das Nutzen von Websitediensten von der Erlaubnis der Cookies abhängig sein?‘‘ eine klare Antwort gefunden. Die Leitlinie präzisiert und stellt deutlich klar, dass die Einwilligung nicht erzwungen werden kann. So bestätigt die Leitlinie noch einmal das Prinzip der Freiwilligkeit der Einwilligung, dass in der DSGVO hinterlegt ist. Die sog. Cookie-Walls auf der Internetseite fordern, dass der Websitebesucher die Cookies akzeptiert, um Dienste der Website nutzen zu können. Nach der Aktualisierung der Leitlinie ist das ein ‘‘No-Go‘‘. Also die Angebote/Dienste auf der Website sollen ohne Tracking verfügbar sein. Die Zulässigkeit der Cookie-Walls ist in einem Ausnahmefall möglich – wenn ein vergleichbarer Dienst ohne Tracking auf der Website angeboten wird. Des Weiteren erläutert die Leitlinie, dass das bloße Scrollen auf der Website, ohne die Cookies akzeptiert zu haben, keine konkludente Einwilligung darstellt. Dies wird dadurch begründet, dass es an einer konkreten bestätigenden Handlung fehlt (die aktive Handlung ist eine Voraussetzung der Einwilligung nach der DSGVO). Den kompletten Text der aktualisierten Leitlinie finden Sie auf der Website des Europäischen Datenschutzausschusses. Wenn Sie Fragen zum Thema haben, stehen wir selbstverständlich gerne zur Verfügung.
WeiterlesenAnwesenheitslisten beim Friseurbesuch
15. Mai 2020Seit dem 11.05.2020 sind die strengen Maßnahmen gegen COVID-19 locker geworden. So kann man zum normalen Leben zurückkehren, oder mindestens so sieht es aus. Am Montag dieser Woche sind die Änderungen der Niedersächsischen Verordnung zum Schutz vor Neuinfektionen mit Corona-Virus in Kraft getreten, mit Ausnahme vom Art. 2 der Verordnung (Restaurationsbetriebe), der am 18.05. in Kraft tritt. Gemäß der Verordnung besteht für zahlreiche Gewerbebetriebe und Bildungseinrichtungen die Pflicht die Kontaktdaten der Kundendaten/Teilnehmenden zu erfassen, darunter auch der Zeitpunkt des Betretens und Verlassens des Betriebs. Die Aufbewahrungspflicht für diese Daten beträgt 3 Wochen, bzw. 1 Monat. Deswegen überraschen Sie sich bitte nicht, wenn Sie zum Friseur gehen und einige Daten mitteilen sollen. Wenn Sie damit aber nicht einverstanden sind, dürfen Sie nicht bedient werden. Wichtig ist, dass andere Personen, außer dem Betroffenen, die in den Listen erfassten Daten, nicht zur Kenntnis nehmen können. Des Weiteren soll der Verantwortliche seiner Pflicht nach Art. 13 DSGVO nachkommen und die Betroffenen über die Datenerhebung informieren. Die erhobenen Daten dürfen zu keinem anderen Zweck verwendet werden. Das Gesundheitsamt oder andere öffentliche Stellen können die Listen oder Auszüge aus den Listen schriftlich anfordern und die entsprechenden Informationen müssen an die verantwortlichen Stellen übermittelt werden. Aufgrund der Rechenschaftspflicht gem. Art. 5 Abs. 2 DSGVO (sog. Nachweispflicht) sollen die Aufforderungen zur Übermittlung und selbst die Datenübermittlung dokumentiert werden. Die beim Friseur erfassten Listen, sind nach drei Wochen nach dem letzten Kontakt mit dem Betroffenen datenschutzkonform zu vernichten – entweder mit einem Aktenvernichter bei Papierunterlagen oder mit entsprechenden Löschtools,…
WeiterlesenCloud Computing – ist das die Zukunft?
6. Mai 2020Die technische Innovation unserer Zeit ändert die Grenzen der Unmöglichkeit. Was vor einigen Jahren undenkbar war, ist schon Realität. Festplattenspeicherung oder überhaupt Datenverarbeitung auf einer Festplatte kann in der Vergangenheit bleiben. Die sog. ‘‘Cloud‘‘ bietet nicht nur eine Vielzahl an diversen Möglichkeiten an, um Daten zu verarbeiten, sondern auch Flexibilität, Reduktion der bisher eher komplexen Verarbeitungsvorgänge und eine Bezahlung, die vom Verbrauch abhängig ist. Die Zahl der Cloud-Provider auf nationaler und internationaler Ebene nimmt an, denn viele Unternehmen haben den Bedarf ihre Daten in die Cloud umzuziehen. Die häufigsten Cloud-Dienstleistungen, die auf dem Markt gefunden werden können, sind: Software as a Service (Saas), Infrastructure as a Service (Iaas) und Plattform as a Service (PaaS), je nach Bedarf des Unternehmens. Es bleibt die Frage, wie man einzelne Cloud-Dienstleistungen miteinander integrieren kann und ob eine Standardisierung der unterschiedlichen Services erforderlich ist und wenn ja, ob dieses möglich ist. Wie sieht die Frage aus datenschutzrechtlicher Sicht für das Unternehmen aus? Im Rahmen des Cloud-Computing verarbeitet der Cloud-Provider personenbezogene Daten (z.B. Mitarbeiter‑, Kunden‑, Lieferantendaten usw.). Wir verstehen, dass es nicht einfach ist, die Kontrolle komplett dem Cloud-Provider zu übergeben (ist auch nicht nötig). Vor allem muss man an erster Stelle die sichere technische und organisatorische Datenverarbeitung gewährleisten können. Im Regelfall verarbeitet der Cloud-Provider die Daten im Auftrag des Verantwortlichen. Das setzt den Abschluss einen Auftragsverarbeitungsvertrags zwischen dem Verantwortlichen (Unternehmen) und dem Cloud-Anbieter (Auftragnehmer) vor. So bleibt das Unternehmen der ‘‘Herr der Daten‘‘ und der Cloud-Provider bearbeitet die Daten nach den Weisungen des Verantwortlichen. Klingt…
WeiterlesenLücke in Apple’s Mail-App bedroht den Datenschutz
27. April 2020Seit letzter Woche ist eine Lücke in Apple’s Mail App öffentlich bekannt. Diese Lücke wird durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) folgendermaßen zusammengefasst: Aussage des BSI „Die integrierte iOS-App „Mail“ ist auf allen iOS-Versionen, rückwirkend bis iOS 6, von zwei schwerwiegenden Sicherheitslücken betroffen. Angreifern ist es dadurch möglich, durch das Senden einer E‑Mail das betreffende iPhone oder iPad zu kompromittieren. Damit ist potenziell das Lesen, Verändern und Löschen von E‑Mails möglich.“ (Quelle: BSI) Apple bestreitet Kritikalität Apple bestreitet zwar derzeit die Kritikalität der Lücken, jedoch ist Vorsorge besser als Nachsorge. Insbesondere dann, wenn es sich um Sicherheitslücken in Softwareprodukten handelt. Da es zum aktuellen Zeitpunkt noch keinen Patch für die Lücke in Apple’s Mail-App gibt, hat man zwei Optionen um eine Ausnutzung der Lücke zu verhindern: Löschen der Mail-App vom iPhone oder iPad. Lange auf das App Icon tippen und „App löschen“ auswählen. Die App kann über den App Store erneut installiert werden, sobald Apple die Lücke geschlossen hat. Deaktivierung der Synchronisation für alle verknüpften E‑Mail-Accounts Öffnen der „Einstellungen“ auf dem iPhone oder iPad. Auswahl des Menüs „Passwörter & Accounts“. Folgende Schritte für jeden eingebunden E‑Mail-Account durchführen: Umstellen des blauen Schalters neben „Mail“. Sobald man jetzt ins Menü zurückkehrt, steht unter dem Account „Inaktiv“ in der Liste. Außerdem sollte der „Datenabgleich“ am Ende des Menüs vorerst pausiert werden. Als Alternativen können andere Apps von anderen Herstellern genutzt werden. Ein kurzer Test von Macwelt zu alternativen Apps gibt es hier. Häufig stellen Mail-Provider auch Weboberflächen für den Zugriff…
WeiterlesenPflichten des Arbeitgebers in Zeiten von Corona
20. April 2020Das Coronavirus breitet sich von Tag zu Tag immer weiter aus. Viele Betriebe fürchten wirtschaftliche Konsequenzen. Wie beeinflusst das Virus deutsche Arbeitsverhältnisse? Welche Pflichten müssen die Arbeitgeber treffen? Diese und viele weitere Fragen stellen sich derzeit den Arbeitgebern und Arbeitnehmern in Deutschland. 1. Fürsorgepflicht des Arbeitgebers Arbeitgeber sind gegenüber Ihren Mitarbeitern verpflichtet die Fürsorgepflicht i.S.d. § 618 BGB, einzuhalten. Das bedeutet, dass der Arbeitgeber für die Unversehrtheit von Leben und Gesundheit der Arbeitnehmer Sorge zu tragen hat. Er hat die Verpflichtung die Gefahren für die Sicherheit und Gesundheit für seine Beschäftigten zu beurteilen sog. Gefährdungsbeurteilung und entsprechende Maßnahmen hieraus abzuleiten. Hierzu gehören Aufklärungsmaßnahmen, sowie die Zurverfügungstellung des erforderlichen Hygieneschutzes, wie etwa Desinfektionsmittel. Des Weiteren können die Maßnahmen auch technisch und organisatorisch sein, wie z.B. die Beschränkung der Mitarbeiterzahl im Büro oder die Abtrennung der Arbeitsbereiche unter Einhaltung des erforderlichen Abstands (2 Meter). Gegebenenfalls kann auch Home Office angeordnet werden. Grundsätzlich besteht ein gesetzlicher Anspruch, von zu Hause aus zu arbeiten nicht. Ob Homeoffice vom Arbeitnehmer gefordert, bzw. vom Arbeitgeber angeordnet werden kann, ergibt sich aus der zwischen den Parteien geschlossenen vertraglichen Vereinbarung. Eine solche Abrede kann auch nachträglich vereinbart werden. Dabei hat der Arbeitgeber alle nötigen Betriebsmittel zur Verfügung zu stellen. Gibt es im Betrieb einen Betriebsrat, ist dieser bei der Umsetzung der Maßnahmen, die Fragen der Ordnung des Betriebs und des Verhaltens der Beschäftigten im Betrieb berühren, nach § 87 Nr.1 und Nr. 7 BetrVG und § 75 Abs. 3 Nr. 11 und 15 BPersVG mitbestimmungspflichtig. Letztlich ist das…
WeiterlesenHandyortung im Kampf gegen Corona
14. April 2020Länder wie Israel, China und Südkorea setzen im Kampf gegen die Ausbreitung des Coronavirus (Covid-19) auf die Überwachung von Smartphones. Eine App auf dem Handy ortet und überwacht den Nutzer und soll Ihre Nutzer anonym bei Kontakt mit Infizierten warnen. Damit wurden bereits positive Ergebnisse erzielt. Diese Maßnahmen sind auch mittlerweile in Deutschland angekommen. Es wird stark diskutiert, ob die Ausbreitung des Coronavirus in Deutschland anhand der Handyortung verlangsamt werden kann. Dazu hat der Gesundheitsminister Jens Spahn bereits ein Gesetz ins Kabinett eingebracht, um die COVID-19 Krise in Deutschland bekämpfen zu können. In dem Gesetzesentwurf hieß es, dass Spahn technische Mittel einsetzen möchte, die Gesundheitsbehörden dazu legitimieren, Kontaktpersonen von Infizierten anhand von Handy-Standortdaten zu ermitteln. Dadurch sollen Behörden die Bewegungen von Kontaktpersonen verfolgen, um sie im Verdachtsfall kontaktieren zu können. Beteiligt an diesen Planungen ist auch das Robert-Koch-Institut, welche zur Erforschung der Ausbreitung des Coronavirus Bewegungsdaten von Handynutzern im Netz der Deutschen Telekom erhalten hat. Mit diesen Daten lässt sich nachvollziehen, wann, wo und wie lange die Menschen Ihre Handys benutzen. Nur was ist dabei aus datenschutzrechtlicher Sicht zu beachten? Der Bundesdatenschutzbeauftragte Ulrich Kelber wies darauf hin, dass alle Maßnahmen der Datenverarbeitung ‘‘erforderlich, geeignet und verhältnismäßig‘‘ sein müssen. Es müsste genauer konkretisiert werden wie lange die Daten gespeichert werden, was der Zweck der Datenverarbeitung ist und wer Zugriff auf welche Daten hat Bislang bleiben diese Fragen noch offen. Zudem müsste die App freiwillig und unter Kontrolle der Nutzer auf dem Handy installiert werden können. Die Apps müssen so gestaltet…
WeiterlesenNotfallmanagement als Teil von technische-organisatorische-Maßnahmen in unruhigen Zeiten
6. April 2020Die letzten Jahre waren geprägt von großen Herausforderungen für Unternehmen. Nehmen wir die lange und starke Hitze im Sommer 2018. Diese führte zu starken Belastungen bei den Mitarbeitern und bei der IT. Während die Klimageräte der Serverräume wahre Höchstleistungen vollbrachten, waren kreative Ideen für die Büros der Mitarbeiter gefragt. Eins haben Mitarbeiter und IT-Geräte nämlich gemeinsam. Bei zu großer Hitze können sie nicht mehr ordentlich arbeiten. Hier kam es immer wieder zu Ausfällen, sowohl bei überlasteten Klimaanlagen als auch bei Mitarbeitern aufgrund von zu stark erhitzten Büros. Dann der Winter 2018/19, welcher ganz Süddeutschland mit extremen Schneeverhältnissen über Wochen hinweg belastete. Hier konnten, aufgrund der Straßenverhältnisse und der immer neuen Lawinenabgänge, Mitarbeiter und Logistik nicht immer zeitgerecht das Unternehmen erreichen. Hierdurch entstanden oft Verzögerungen in verschiedenen Unternehmensprozessen. Und dann die Corona-Pandemie 2020. Aktuell gibt es noch keine gesicherten Erkenntnisse, wie lange die Einschränkungen in den sozialen Kontakten und die empfohlenen Verhaltensweisen bei zwischenmenschlichen Kontakten noch aufrechterhalten werden sollen. Die drastisch erhöhte Anzahl an Homeoffice-Arbeitsplätzen stellt für viele Unternehmen vollkommen neue Herausforderungen bezüglich der Ausgestaltung der Arbeitsplätze und der Anbindung an das Unternehmensnetzwerk dar. Häufig sind zu wenig Laptops im Unternehmen vorhanden und die Anbindung des Unternehmens an das Internet mit den vielen Verbindungen von außen aus den Homeoffice-Arbeitsplätzen überlastet. Eins haben alle Fallbeispiele gemeinsam. Sie stellen die Unternehmen in sehr kurzer Zeit vor große, z.T. schwer bewältigbare Herausforderungen. Die Ressourcen des Unternehmens werden knapp und die Geschäftsprozesse kommen ins Stocken oder im schlimmsten Fall zum Erliegen. Nun ist nicht jeder Geschäftsprozess eines Unternehmens gleich wichtig. Es gibt solche, die…
WeiterlesenDatenschutz in Zeiten von Corona
30. März 2020Die Welt steht vor einer der größten Herausforderungen unserer Zeit. Sowohl die Datenschutzbehörden in Deutschland, als auch der Europäische Datenschutzausschuss (EDSA) haben sich zum Thema Datenverarbeitung in Zeiten von Corona geäußert. Die Grundätze der Datenverarbeitung in der Datenschutzgrundverordnung (DSGVO) bleiben unberührt, jedoch müssen auch andere nationale Rechtsvorschriften mit in die Betrachtung einfließen. Zu der Rechtmäßigkeit der Datenverarbeitung deutet der EDSA an, dass die DSGVO Regeln vorsieht, die auch für die Verarbeitung von personenbezogenen Daten im Rahmen von COVID-19 gelten. Die DSGVO ermöglicht Gesundheitsbehörden und Arbeitgebern, im Einklang des jeweiligen nationalen Rechtes, personenbezogene Daten zu verarbeiten, . Somit besteht unter Umständen keine Notwendigkeit, sich auf die Einwilligung (Art. 6 Abs. 1 lit. a) DSGVO) von Einzelpersonen zu verlassen. In seiner Stellungnahme führt der EDSA auf, dass in Bezug auf die Verarbeitung von Telekommunikationsdaten (z.B. Standortdaten) geltende nationale Bestimmungen zur Umsetzung der (Datenschutzrichtlinie für elektronische Kommunikation 2002/58E/G, später 2009/136/EC) eingehalten werden müssen. Die Richtlinie ermöglicht es den Mitgliedstaaten, gesetzgeberische Maßnahmen zur Wahrung der öffentlichen Sicherheit einzuführen. Eine solche außergewöhnliche Gesetzgebung ist nur möglich, wenn sie eine notwendige, angemessene und verhältnismäßige Maßnahme innerhalb einer demokratischen Gesellschaft darstellt. Diese Maßnahmen müssen im Einklang mit der Charta der Grundrechte und der Europäischen Konvention zum Schutz der Menschenrechte und der grundlegenden Freiheit sein. Darüber hinaus unterliegt dieses der gerichtlichen Kontrolle des Europäischen Gerichtshofs und dem Europäischen Gerichtshof für Menschenrechte. Diese Stellung ist wichtig im Zusammenhang mit der Frage, ob Regierungen personenbezogene Daten verarbeiten dürfen, die sich auf den Handystandort (Tracking) von Einzelpersonen beziehen, damit die Verbreitung…
WeiterlesenDatenschutz im Home-Office
23. März 2020In unserer heutigen Zeit gewinnt Home-Office zunehmend an Bedeutung. Es gibt verschiedene Gründe, weshalb Unternehmen Home-Office anbieten: sei es die Flexibilität der Mitarbeiter, Reduktion der Wegzeiten zur Arbeit oder aber auch durch das Coronavirus Covid ‑19 verursacht. Aufgrund des Coronavirus steht das Home-Office mehr denn je im Fokus. Zahlreiche Unternehmen haben den Entschluss gefasst mehr und mehr Mitarbeitern das Arbeiten im Home-Office zu ermöglichen. Nur was ändert sich jetzt aus datenschutzrechtlicher Sicht im Home-Office? Die gesetzlichen Bestimmungen der DSGVO sowie die internen Regelungen zur Umsetzung des Datenschutzes welche im Unternehmen gelten, gelten auch im Home-Office. Daher möchten wir Ihnen einen kurzen Überblick darüber verschaffen, was zu beachten ist. 1. Zugriff auf dienstliche Unterlagen in Papier- und elektronischer Form Die dienstlich genutzten Unterlagen (in Papier- und elektronischer Form) dürfen nur dem betreffenden Arbeitnehmer zugänglich sein. Der Betroffene ist verpflichtet, dafür zu sorgen, dass kein Dritter Einsicht auf seinen Rechner oder auf seine dienstlichen Unterlagen hat. Auch die mit dem in Home-Office Arbeitenden in häuslicher Gemeinschaft lebenden Personen dürfen keinen Zugriff auf dienstliche Unterlagen haben. Der Mitarbeiter muss daher alle sensiblen und vertraulichen Unterlagen in einem abschließbaren Schrank aufbewahren. Dazu gehören alle mobilen Massenspeichergeräte wie CDs, DVDs, USB-Laufwerke, Harddisks‑, NAS-Storages etc. Des Weiteren ist er dazu verpflichtet beim Verlassen seines Arbeitsplatzes seinen Bildschirm zu sperren, auch wenn sein Verlassen nur von kurzzeitiger Dauer ist. Die nötigen Maßnahmen hat der Arbeitnehmer zu treffen. 2. Software Damit eine umfassende Datensicherheit gewährleistet werden kann müssen Firewall, Virenschutz auch im Home-Office aktiv auf dem neuesten Stand sein. Ferner müssen Arbeitnehmer sichere Passwörter (mind. 8 Zeichen lang, Groß ‑und Kleinbuchstaben sowie Sonderzeichen) benutzen und darauf achten, dass keine private Hard- und Software…
WeiterlesenDer Umgang mit der Anonymisierung von personenbezogenen Daten
16. März 2020Vor einem Monat hat der Bundesbeauftragte für Datenschutz und Informationssicherheit (BfDI) ein Positionspapier zum Thema Anonymisierung personenbezogener Daten veröffentlicht, um den Verantwortlichen eine Orientierungshilfe zu geben. In der Vorgehensweise des BfDI ist die Anonymisierung als eine Verarbeitungstätigkeit gem. der DSGVO zu sehen. Aus diesem Grund muss sie auch rechtmäßig sein, d.h. es müsste eine rechtliche Grundlage vorliegen, die uns erlaubt die personenbezogenen Daten zu verarbeiten. Ziel der Anonymisierung ist es, dass keine Rückschlüsse auf die betroffene Person entstehen können, so dass keine Re-Identifizierung möglich ist. Um das zu ermöglichen werden zuerst Elemente von den Daten entfernt und dadurch wird der Inhalt der Daten verändert. Die Anonymisierung als Verarbeitungstätigkeit bedarf einer Rechtsgrundlage aus Art. 6, Abs. 1 DSGVO. Welche Rechtsgrundlage zutrifft, ist von der konkreten Konstellation abhängig. An erster Stelle kann die Anonymisierung auf eine wirksam erteilte Einwilligung gestützt werden. Das birgt aber folgendes Risiko: die betroffene Person kann die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen. Als nächste mögliche Rechtsgrundlage kommt Art. 6, Abs. 4 DSGVO, der die Voraussetzung der Vereinbarkeit setzt, in Betracht. Hier ist folgendes zu berücksichtigen: in der Regel wurden die personenbezogenen Daten, die anonymisiert werden müssen, ursprünglich zu einem anderen Zweck erhoben. Damit die Anonymisierung gem. Art. 6, Abs. 4 DSGVO rechtmäßig sein kann, muss der Zweck für den die Daten weiterverarbeitet werden mit dem ursprünglichen Erhebungszweck vereinbar sein. Bei der Beurteilung, ob eine Vereinbarkeit möglich ist, gibt Art. 6, Abs. 4 DSGVO folgende Kriterien, die berücksichtigt werden müssen: jede Verbindung zwischen den Zwecken, für…
WeiterlesenAuskunftsersuchen Schritt 3 – Form und Folgen
9. März 2020Fraglich ist, wie lange das Unternehmen Zeit hat, um dem Auskunftsersuchen des Herrn M. nachzukommen. Das Unternehmen müsste dem Auskunftsersuchen des Herrn M. spätestens innerhalb eines Monats nachkommen. Nur in begründeten Ausnahmefällen kann die Monatsfrist überschritten werden, worüber dann auch Herr M. zu informieren wäre. Vorliegend wurde die Auskunft innerhalb von zwei Wochen ab Zugang des Auskunftsantrages an Herrn M. erteilt. Damit erfolgte dies noch im Rahmen der einmonatigen Frist und kostenlos. Wäre das Unternehmen dem Auskunftsersuchen des Herrn M. nicht oder nicht vollständig nachgekommen, wäre es mit einem Bußgeld bedroht. Das Bußgeld kann bis zu 20 Mio. Euro oder 4% des weltweiten Jahresumsatzes ausmachen. Dieser Fall zeigt deutlich, dass es bei der Erteilung eines Auskunftsersuchens wesentliche Schritte zu beachten gibt. Bis dato wurden bereits mehrere Bußgelder wegen fehlender oder fehlerhafter Auskunftserteilung verhängt. Dadurch ist zu sehen, dass die Betroffenenrechte ein wichtiges Thema für die Aufsichtsbehörden darstellen und somit ernst zu nehmen sind. Falls Sie bei Erteilung eines Auskunftsersuchens oder den anderen Betroffenenrechten Hilfe brauchen, wenden Sie sich bitte an uns. Wir zeigen Ihnen wie Sie Ihren Pflichten rechtskonform nachkommen.
WeiterlesenAuskunftsersuchen Schritt 2- Inhaltliche Anforderungen
2. März 2020Nachdem die Identität von Herrn M. festgestellt wurde, hat dieser eine E‑Mail von seinem beschäftigten Unternehmen erhalten. Darin waren folgende Informationen enthalten: zu welchem Zweck die Daten des Herrn M. verarbeitet wurden Welche Kategorien von personenbezogenen Daten über ihn verarbeitet wurden an wen seine Daten übermittelt wurden die geplante Speicherdauer seiner personenbezogenen Daten Hinweis auf die Betroffenenrechte des Herrn M. die Herkunft seiner personenbezogenen Daten, falls diese nicht bei Ihm direkt erhoben wurden und schließlich ob seine Daten einer automatisierten Entscheidung, einschließlich Profiling, unterworfen sind. Bis wann die Auskunftserteilung erfolgen muss erfahren Sie nächste Woche in unserem Blogbeitrag.
WeiterlesenAuskunftsersuchen Schritt 1 – Identifizierung der betroffenen Person
25. Februar 2020Bevor überhaupt einem Auskunftsersuchen nachgekommen werden kann, muss der Verantwortliche vergewissern, dass der Anfragende auch der Betroffene ist. Je nachdem, auf welchem Wege die Auskunftsanfrage nach Artikel 15 DSGVO erfolgt, gibt es verschiedene Möglichkeiten der Identitätsprüfung. Vorliegend schrieb Herr M. eine E‑Mail an das Unternehmen. Da Herr M. bereits zuvor Kontakt per E‑Mail hatte, kann die E‑Mail-Adresse einen Hinweis auf die Identität von Herrn M. geben. Sofern die E‑Mail-Adresse nicht bekannt gewesen wäre, ließe sich daraus auch nicht die wahre Identität der betroffenen Person schließen. Um sich zu vergewissern, ruft das Unternehmen, die von Herrn M. hinterlegte Telefonnummer an. Zum Abgleich, ob auch Herr M. die E‑Mail geschrieben hat, fordert das Unternehmen zusätzliche Informationen, wie z.B. die Postanschrift und das Geburtsdatum des Betroffenen. Nachdem Herr M. die richtigen Angaben erteilt hatte, bestanden keine Zweifel daran, dass der Anfragende auch der Auskunftsberechtigte ist. Somit wurde die Identität des Herrn M. sichergestellt. Wie das Unternehmen nach der Identifizierung von Herrn M. vorzugehen hat, erfahren Sie nächste Woche in unserem Blogbeitrag.
WeiterlesenVerstöße gegen das Auskunftsersuchen nach Artikel 15 DSGVO können teuer werden
18. Februar 2020In den letzten Monaten haben sich Bußgelder wegen fehlender Auskunftserteilung gehäuft. Aber nicht nur eine fehlende Auskunftserteilung, sondern auch eine ungenau erteilte Auskunft kann ein Bußgeld mit sich bringen. Dies wurde durch das Amtsgericht Wertheim bestätigt, welches einem Unternehmen ein Bußgeld in Höhe von 15.000 Euro aufgrund ungenauer Auskunftserteilung verhängt hat. Aus diesem Grunde möchten wir Ihnen am Fallbeispiel von Herrn M. aufführen, wie bei einem Auskunftsersuchen nach Artikel 15 DSGVO richtig vorzugehen ist. Herr M. ist seit Jahren Angestellter in einem Unternehmen. Überall sei es beim Arzt, im Internet unter Kollegen geht es um die Datenschutzgrundverordnung (DSGVO). Als dieser mitbekommen hat, dass es die Möglichkeit eines Auskunftsersuchens nach Artikel 15 DSGVO gibt, möchte er diese Gelegenheit ausnutzen. Somit schreibt er eine E‑Mail an das Postfach für Datenschutz seines beschäftigten Unternehmens und möchte von seinem Auskunftsrecht nach Artikel 15 DSGVO Gebrauch machen. Wie hat das Unternehmen bei einem Auskunftsersuchen nach Artikel 15 DSGVO vorzugehen? Mehr über die einzelnen Schritte erfahren Sie nächste Woche in unserem Blogbeitrag.
WeiterlesenDie digitalen Bewerbermanagement-Plattformen
10. Februar 2020In der digitalisierten Welt von heutzutage Bewerbungsunterlagen per Post zu schicken fühlt sich schon altmodisch an. Auf dem Markt gibt es genug Bewerber-Tools, die sowohl die Beseitigung der Papierdokumentation und des begleitenden Chaos abschaffen, als auch Geschwindigkeit und Effektivität anbieten und zudem preiswerter sind. Was ist vor der Umsetzung einer Bewerberplattform zu berücksichtigen? Das hört sich schon wunderschön an, birgt aber Gefahren die aus datenschutzrechtlicher Sicht besondere Risiken für beide Seiten (Verantwortlicher und Betroffene) darstellen. Vom Prinzip der Datenminimierung (Art. 5, Abs. 1, Buchstabe c DSGVO) und der sog. Rechenschaftspflicht (Art.5, Abs.2 DSGVO) bis zur Auswahl eines konformen Bewerbertools gibt es vieles zu berücksichtigen. Der Rechenschaftspflicht ist erst dann nachgekommen, wenn die Prozesse, in denen personenbezogene Daten verarbeitet werden transparent und übersichtlich angelegt sind (dokumentiert sind). Das natürlich liegt in engerem Zusammenhang mit der Art des Bewerbertools (z.B. Cloud-basiert). Aufgrund der Anzahl der personenbezogenen Daten, die im Bewerbungsprozess bearbeitet werden müssen (von Kontaktdaten bis zu sensiblen Daten) fällt es den Unternehmen schwer den Überblick zu behalten. Deswegen sind vor der Umsetzung des Bewerber-Tools u.a. folgende Fragen zu beantworten: Handelt es sich um eine Auftragsverarbeitung, gemeinsame Verantwortlichkeit oder unabhängig von einem anderen Verantwortlichen? Wer ist berechtigt Zugriff auf die Daten zu haben? Welche Fristen müssen bei der Speicherung von Daten berücksichtigt werden? Darf ich Social-Media Accounts von Bewerbern verknüpfen? und viele andere. Die Einfachheit birgt Gefahren. Definitiv als positiv zu sehen ist, das Einsetzen eines Löschkonzepts, da viele Bewerberplattformen automatische Erinnerungs- oder Löschoptionen enthalten. Ein weiterer Grund warum solche Tools immer…
WeiterlesenDer Gesetzesentwurf zur Bekämpfung des Rechtsextremismus und der Hasskriminalität – Auswirkungen für Unternehmen
3. Februar 2020Der Entwurf des Gesetzes zur Bekämpfung des Rechtsextremismus und der Hasskriminalität verpflichtet alle Internetdienstleister zur umfassenden Kooperation mit den Ermittlungsbehörden und Geheimdiensten. Somit haben alle Telemediendienstanbieter auf Verlangen die Bestands- und Nutzungsdaten ihrer Nutzer herauszugeben. Welche Neuerungen beinhaltet der Gesetzesentwurf? Eine der wichtigsten Neuerungen ist die Verpflichtung sozialer Netzwerke dem Bundeskriminalamt als Zentralstelle bestimmte strafbare Inhalte zu melden, die dem sozialen Netzwerk durch eine Beschwerde bekannt und von ihnen entfernt oder gesperrt wurden. Dies wird nicht nur von Datenschutzbeauftragten kritisiert, sondern auch von der Digitalen Gesellschaft. In dem Gesetzesentwurf heißt es, dass Anbieter von Telemediendiensten dazu verpflichtet werden sollen auf Verlangen die Bestands- und Nutzungsdaten ihrer Nutzer herauszugeben. Die Problematik betrifft nicht nur die Bekämpfung der Hasskriminalität, sondern auch die Erschaffung von umfassenden Überwachungsrechten für Staat und Behörde. Schon bisher bestand die Möglichkeit für Staatsanwaltschaften auf Basis des TMG Bestandsdaten inklusive Zugangsinformationen zu verlangen. Die Bundesregierung begründet die Änderungen mit der Aussage, dass bislang das Auskunftsverfahren im TMG nur „rudimentär“ geregelt sei. Aus Datenschutzsicht sind Passwörter besonders zu schützen und deren Herausgabe wäre ein Verstoß gegen die datenschutzrechtlichen Vorschriften. Aus Datenschutzgründen dürfen Passwörter nicht im Klartext gespeichert werden, sondern als Hashwert. Die Digitale Gesellschaft kritisiert die vorgesehenen Änderungen, weil das Ausprobieren der Passwörter für andere Accounts des Betroffenen eine denkbare verfassungswidrige Verwendung darstellen kann. Zudem ist es problematisch, dass künftig kein rechtlicher Beschluss nötig wird, sondern die Aufforderung einer Behörde oder Polizeidineststelle ausreichend ist. Hinzu kommt, dass der Nutzer von der Herausgabe seiner Daten an erster Stelle nicht durch den…
Weiterlesen2. DSAnpUG – Änderung der Benennungspflicht eines DSB bei nicht-öffentlichen Stellen und deren Auswirkung auf die Arztpraxen
20. Januar 2020Mit der Mehrheit der Stimmen durch die Fraktionen von CDU, CSU und SPD beschloss der Bundestag am 28.08.2019 das 2. DSAnpUG-EU ( Zweites Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680). Das 2. DSAnpUG ist von Seiten des Bundesrates zustimmungsbedürftig und tritt am Tag nach der Verkündigung im Bundesgesetzblatt in Kraft. Durch die Änderungen sind mehr als 150 Gesetze betroffen, insbesondere das BDSG. Durch das 2. DSAnpUG sind sowohl Begriffsbestimmungen und Rechtsgrundlagen für die Datenverarbeitung als auch Regelungen zu den Betroffenenrechten angepasst. Eine der wichtigsten Änderungen betrifft die Benennungspflicht eines Datenschutzbeauftragten (§ 38 BDSG). Bislang bestand nach § 38, Abs. 1, S. 1 BDSG die Benennungspflicht eines Datenschutzbeauftragten, wenn in der Regel mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Nach der vorgenommenen Änderung lautet dieser folgenderweise: “Ergänzend zu Artikel 38 Absatz 1 Buchstabe b und c der Verordnung (EU) 2016/679 benennen der Verantwortliche und der Auftragsverarbeiter eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten, soweit sie in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.“ Ziel dieser Änderung ist der sog. ‘‘Bürokratieabbau‘‘, damit kleinere Betriebe und Vereine nicht unverhältnismäßig belastet sind. Diese Erleichterung bedeutet jedoch nicht, dass auch andere Datenschutzpflichten komplett wegfallen. Unabhängig von der Personenanzahl sind solche Verantwortliche und Auftragsverarbeiter zur Bestellung eines Datenschutzbeauftragten verpflichtet, die nach Art. 35 DSGVO einer Datenschutz-Folgeabschätzung unterliegen, oder wenn sie für Zwecke der Markt- oder Meinungsforschung oder geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung personenbezogene Daten verarbeiten.…
WeiterlesenFacebook Pixel: Ist das Tracking per Pixel erlaubt?
16. Dezember 2019Der Bayerische Blutspendedienst kämpft mit der Anschuldigung einer massiven Datenpanne, nachdem er sensible Daten von Blutspendern an Facebook übermittelt hat, darunter auch Angaben zu Schwangerschaften, Drogenkonsum, HIV-Infektionen oder Diabetes. Interessenten konnten sich durch Beantwortung von Fragen in Form eines Spende-Checks auf der Webseite des Bayerischen Roten Kreuzes (BRK) vorab informieren, ob Sie überhaupt als Spender in Frage kommen. Dieser Test war Anlass eines Verfahrens des Landesamtes für Datenschutzaufsicht gegen das BRK gewesen. Denn zu Analysezwecken wurde das Trackingtool Facebook Pixel installiert, welches durch seine falsche Konfiguration sensible Daten an Facebook übermittelt hat. Konkret wurden die beantworteten Fragen mit Ja und Nein mit dem sozialen Netzwerk geteilt. Dadurch ist es Facebook möglich, Rückschlüsse auf Erkrankungen der Betroffenen zu ziehen. Ob der Einsatz des Facebook-Pixels rechtmäßig war ist zurzeit Gegenstand des Prüfverfahrens. Bei Einsatz eines Tracking-Tools übermittelt nicht der Webseitenbetreiber, die Daten an den Anbieter des Tracking-Tools, sondern der Anbieter selbst erhebt die Daten direkt vom Nutzer. Nichtdestotrotz wird dies erst durch die Einbindung auf der Website ermöglicht. Auch Facebook verbietet explizit die Nutzung von Pixel in dieser Form. In seiner Stellungnahme heißt es: ‘‘Für die Verwendung des Pixels haben wir klare Regeln für Werbetreibende: Es dürfen keine sensiblen Nutzerdaten wie Informationen zu Gesundheit oder Finanzen an uns geschickt werden.‘‘ Dieser Fall zeigt deutlich, dass mit wenig Aufwand über den Browser nicht nur die Aufsichtsbehörden Websites prüfen, sondern jedermann testen kann, welche Tracking-Tools auf einer Website eingebunden sind. Das Risiko, dass Nutzer auf einen Verstoß aufmerksam werden und dieses der Aufsichtsbehörde…
WeiterlesenWindows 10 datenschutzkonform einsetzen.
2. Dezember 2019Das Betriebssystem Windows 10 ist schon länger im Visier der deutschen und europäischen Datenschutzbehörden. Es geht hierbei um den nicht offensichtlichen Datenversand vom Betriebssystem an den Softwarehersteller. Auch wenn Microsoft bestrebt war in der Vergangenheit diese Problematik nachzubessern, hat der Konzern bis heute noch keine Lösung vorgelegt, die die Datenschutzbehörden zufrieden stellt. Dieses ist der Grund dafür, dass die deutschen Datenschutzbehörden ein Prüfungsschema erstellt haben, welches durch jeden Verantwortlichen im Unternehmen umgesetzt und abgearbeitet werden muss. Die Anwendungshinweise der DSK, welche das Prüfschema zu Windows 10 enthalten, sind in zwei Dokumente untergliedert. Das erste Dokument enthält das eigentliche Prüfschema und dient als Leitfaden für den Verantwortlichen, den Datenschutzbeauftragten und den IT-Verantwortlichen/ IT-Dienstleister zur datenschutzkonformen Verwendung von Windows 10. Diese Prüfschema muss für jede eingesetzte Windows 10 Version durchlaufen werden. Das bedeutet auch, dass jedes Funktionsupdate (1809, 1903, 1909 usw.), welches im Unternehmen eingespielt werden soll, eine erneute Prüfung anstößt. Das zweite Dokument enthält weitergehende Informationen zu Windows 10 und die Konfigurationsmöglichkeiten. Diese können die IT-Verantwortlichen / IT-Dienstleister nutzen, um die Konfiguration im Unternehmen datenschutzkonform umzusetzen. Die beiden Anwendungshinweise finden sie hier auf der Seite der Datenschutzkonferenz: Prüfschema Windows 10: https://www.datenschutzkonferenz-online.de/media/ah/20191106_win10_pruefschema_dsk.pdf Anlage 1 zum Prüfschema Windows 10: https://www.datenschutzkonferenz-online.de/media/ah/20191106_win10_pr%C3%BCfschema_hinweise_dsk.pdf
WeiterlesenBenötige ich als Verantwortlicher ein Consent-Banner beim Tracking (Cookie-Banner)?
28. November 2019In der Regel benötigt jeder ein Consent-Banner, der Trackingtools (Third-Party-Cookies) auf seiner Webseite verwendet. Es gibt jedoch Trackingtools (First-Party-Cookies), bei denen Sie kein Consent-Banner benötigen. Wir möchten Ihnen daher eine kurze Hilfestellung mit auf dem Weg geben. Stellen Sie sich als Verantwortlicher einfach folgende Fragen: Verknüpfe ich als Verantwortlicher Nutzungsdaten der Webseite mit anderen Daten des einzelnen Nutzers? Verwendet der Anbieter die erhobenen Daten auch für seine eigenen Zwecke? Benötige ich die Daten des Nutzers nicht nur für die statistische Analyse der Webseite (Zweck der Verarbeitung)? Ist die Speicherung der Daten begrenzt und definiert? Gebe ich dem Betroffenen eine Möglichkeit des Widerspruches (Opt-Out-Verfahren)? Erfolgt eine Profilbildung, damit ich dem Nutzer seine Merkmale sowie seine Interessen zuordne? Wenn Sie als Verantwortlicher alle Fragen mit „Nein“ beantworten können, dann können Sie sich auf das berechtigte Interesse gem. Art. 6 Abs. 1 f) DSGVO berufen und müssen kein Consent-Banner für das Tracking zur Verfügung stellen. Sehr gerne beraten wir Sie zu diesem Thema – rufen Sie uns einfach an. Ihr Datenschutzteam der blu Systems
WeiterlesenMesse und Kongress für IT-Sicherheit
4. Oktober 2019Besuchen Sie uns beim Stand der Secure.Bayern auf der diesjährigen Messe und Konferenz für IT-Sicherheit it-sa in Nürnberg vom 8. bis 10. Oktober. https://www.it-sa.de/ Wir freuen uns auf den fachlichen Austausch mit Ihnen!
WeiterlesenEUGH hat entschieden: Cookies erfordern aktive Einwilligung
2. Oktober 2019In seinem Urteil (Rechtssache C‑673/17 ‚1. Oktober 2019, Urteil in der Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e. V. / Planet49 GmbH) entschied der EUGH, „dass die für die Speicherung aber auch den Abruf von Cookies auf dem Gerät des Besuchers einer Website erforderliche Einwilligung durch ein voreingestelltes Ankreuzkästchen, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss, nicht wirksam erteilt wird.“ Besonders erwähnenswert ist, dass der EUGH hierbei explizit keine Unterscheidung zwischen personenbezogenen und sonstigen Daten macht. Begründet wird dies mit dem im Recht der EU verankerten Prinzip, den Nutzer vor jedem Eingriff in seine Privatsphäre zu schützen. Der EUGH setzt damit nochmal ein deutliches Zeichen. Bemerkenswert ist dies auch, weil Deutschland in der Umsetzung der EU-Privacy Richtlinie bisher einen Sonderweg beschritten hat. Aus Sicht der Regierung- und entgegen der Auffassung der Aufsichtsbehörden- entspricht das deutsche Telemediengesetz nämlich dieser Umsetzung. Im Rahmen des TMG wäre eine Opt-Out-Lösung für Cookies möglich. Das Urteil muss deshalb auch dahingehend gewertet werden, dass diese Ansicht (spätestens jetzt) nicht mehr haltbar ist. Da die Einführung der EU-Privacy Verordnung wohl noch länger dauern wird, muss sich der Gesetzgeber überlegen, ob eine EU-rechtskonforme Umsetzung der Richtlinie nicht doch noch notwendig ist. Geklagt hatte der Bundesverband der Verbraucherzentralen und Verbraucherverbände gegen das Unternehmen Planet49 GmbH. Was bedeutet dies für Unternehmen und Websitebetreiber? Wir hatten schon mehrmals darauf hingewiesen, dass eine rechtskonforme Einwilligung ein aktives Handeln des Nutzers erforderlich macht. Auch die Cookie-Banner müssen den, nunmehr durch das Urteil des EUGH bestätigten Anforderungen angepasst werden. Denn…
WeiterlesenBundesgesundheitsminister fordert Nachbesserungen beim Datenschutz im Gesundheitswesen
19. September 2019In den letzten zwei Wochen waren mehrere Datenpannen bzw. vermeintliche Datenpannen im Gesundheitswesen publik geworden. Das BayLDA überprüft nach eigenen Angaben derzeit die (eventuell erfolgte) Weitergabe von Gesundheitsdaten eines Blutspendedienstes an Facebook. Nun berichten einige Medien, gemeinsame Recherchen des Bayrischen Rundfunks und von ProPublica hätten ergeben, dass sensible Gesundheitsdaten von Millionen Nutzern auf ungesicherten Servern gelegen hätten. Jens Spahn nimmt dies zum Anlass, für Patientendaten höchste Datenschutzstandards einzufordern. Er wird mit den Worten zitiert, dass „viele das Thema noch zu sehr auf die leichte Schulter nehmen würden“. Sicherlich lässt sich nicht pauschalisieren, dass Dienstleister oder Unternehmen aus dem Gesundheitswesen besonders nachlässig mit dem Thema Datenschutz umgehen würden. Der Bundesgesundheitsminister mag aber mit seiner Einschätzung dahingehend durchaus richtig liegen, dass das Bewusstsein für die besondere Sensibilität von Gesundheitsdaten noch nicht bei allen Marktteilnehmern ausreichend vorhanden ist. Der Verlust bzw. die unbefugte Einsichtnahme dieser Daten, etwa durch Versicherungen oder Arbeitgeber, hat aber für die betroffene Person unter Umständen weitreichende negative Konsequenzen. Die blu Systems GmbH wird deshalb aus (leider) aktuellem Anlass gegen Ende des Jahres eine Konferenz für das Thema „Healthcare-Datenschutz“ ausrichten. Wir informieren Sie rechtzeitig.
WeiterlesenUS-amerikanisches Datenschutzgesetz?
19. September 2019Der Austausch personenbezogener Daten mit US-amerikanischen Unternehmen wird für viele deutsche Unternehmen Alltag sein. Nicht zuletzt stehen viele Server auf US-amerikanischem Boden. Für die USA hat die Europäische Kommission per Angemessenheitsbeschluss ein angemessenes Datenschutzniveau bestätigt, unter der Voraussetzung dass der Empfänger dem so bezeichneten US-Privacy Shield angehört. Viele Datenschützer stellen jedoch in Frage, ob man das US-amerikanische Datenschutzniveau guten Gewissens dem Europäischen gleichsetzen kann. Nicht zuletzt die in den letzten Monaten häufig aufgetretenen Datenpannen großer amerikanischer Konzerne lassen Zweifel aufkommen. Und nicht wenige äußern, dass es sich von Seiten der Europäischen Kommission wohl eher um eine politische, denn eine aus Sicht des Datenschutzes fundierte Entscheidung handelt, den USA die Angemessenheit des Niveaus zu bestätigen. Die Gruppe der „Zweifler“ wird sich seit letzter Woche eher bestätigt sehen. Über 50 Schwergewichte der US-amerikanischen Wirtschaft haben in einem offenen Brief an den US-Kongress ein Bundesweites Datenschutzgesetz gefordert. Begründet wird dies unter anderem mit wirtschaftlichen Argumenten (fehlende Wettbewerbsfähigkeit amerikanischer Unternehmen durch die Erschwernisse des Datenschutzes). Hintergrund ist, dass zuletzt einige Bundesstaaten Datenschutzgesetze erlassen hatten, teilweise mit dem Vorbild DSGVO, weil eine bundesweite Regelung bisher fehlt. Der Vorschlag der Unternehmen, „Framework for Consumer Privacy Legislation“ liest sich oberflächlich betrachtet zunächst so, als hätten die Unternehmen begriffen, dass die Sensibilität für den Schutz personenbezogener Daten vornehmlich im letzten Jahr deutlich zugenommen hat. Fast wöchentlich erscheinende Pressenachrichten von großen Datenpannen amerikanischer Konzerne dürften den jeweiligen Public Affairs Abteilungen nicht gefallen haben. Wer genauer hinsieht wird jedoch schnell eines Besseren belehrt. Im letzten Satz des Dokumentes heißt es…
WeiterlesenSchwere Datenpannen und Kopplungsverbot
5. September 2019Schwere Datenpannen In der vergangenen Woche, so berichten mehrere Medien übereinstimmend, gab es wieder mehrere große Datenpannen. Einerseits fällt sicher der Vorfall beim Mastercard-Bonusprogramm in diese Kategorie, da von bis zu 90.000 Datensätzen die Rede ist, die teilweise sogar Kreditkartendaten enthalten sollen. Fast schon als „normal“ zu bezeichnen ist die gerade eben veröffentlichte Meldung, bei Facebook hätte es eine weitere Datenpanne gegeben, diesmal sind (vermutlich) über 400 Millionen Telefonnummern von Facebook-Nutzern in die falschen Hände gelangt. Zunehmend höhere Bußgelder durch deutsche Aufsichtsbehörden? In diesem Kontext scheint es erwähnenswert, dass die deutschen Aufsichtsbehörden die bisher gepflegte Zurückhaltung bei der Verhängung hoher Bußgelder immer mehr ablegen. Wie aus einer Meldung der Berliner Beauftragten für Datenschutz und Informationsfreiheit hervorgeht, wird demnächst von der Behörde ein Bußgeld „in bis zu zweistelliger Millionenhöhe“ verhängt, nachdem zuvor bereits zwei hohe Bußgelder im sechsstelligen Bereich verhängt wurden. Entscheidung des OLG Frankfurt zum Kopplungsverbot Von eher praktischer Relevanz aus Sicht der Unternehmen dürfte es sich bei einer kürzlich ergangenen Entscheidung des OLG Frankfurt (6 U 6/19 v. 27.06.2019) handeln. Im entschiedenen Rechtsstreit ging es um die bislang häufig diskutierte Fragestellung, ob eine Einwilligung (in diesem Fall für den Empfang des Newsletters des Unternehmens) mit einer Teilnahme an einem Gewinnspiel verknüpft werden kann. Nach überwiegend vertretener Meinung widersprach dies dem in der DSGVO verankerten Kopplungsverbot. In der Überzeugung der Frankfurter Richter überwiegt der Ansatz der Freiwilligkeit der Einwilligung. Der Verbraucher, so die Urteilsbegründung, könne und müsse selbst entscheiden, ob ihm die Teilnahme an einem Gewinnspiel unter der Bedingung einer…
WeiterlesenEuGH-Urteil zum Datenschutz: die Verantwortung für Seitenbetreiber wächst
8. August 2019Es ist ein bekanntes Bild: auf einer Unternehmenswebsite befindet sich ein Facebook „Like“-Button. Viele Unternehmen nutzen dieses Mittel, aus unterschiedlichen, meist marketingstrategischen Gründen. Bisher allerdings, ohne dafür eine gesonderte Einwilligung des Websitenutzers einzuholen. Dieses Vorgehen könnte zukünftig mit einem erhöhten Bußgeldrisiko behaftet sein. Durch die Einbindung des Facebook „Like“-Buttons werden nämlich personenbezogene Daten des Nutzers verarbeitet und an Facebook weitergeleitet und zwar unabhängig davon, ob der Button betätigt wird oder nicht. Der EuGH, der in seiner Entscheidung den Ausführungen des Generalanwalts gefolgt ist, erkennt darin eine (gemeinsame) Verantwortlichkeit des Websitebetreibers mit der Konsequenz, für diese Datenverarbeitung eine rechtliche Grundlage liefern zu müssen, in aller Regel eine Einwilligung. Zudem müssen die Informationspflichten und/oder die Datenschutzerklärung dementsprechend angepasst werden. In der Praxis wird der Nutzer nun sehr häufig noch nach einer zusätzlichen Einwilligung gefragt werden. Fraglich ist noch, welche Ausstrahlwirkung das EuGH-Urteil entfalten wird. Es ist aber zu erwarten, dass sich die Verwendung von Social-Media-Plugins auf Websiten grundlegend ändern wird.
WeiterlesenNo-Deal-Brexit- welche Auswirkungen hat dies auf den Datenschutz?
23. Juli 2019Übereinstimmend melden mehrere Medien, dass die neue britische Regierung an einer „No-Deal-Brexit“-Lösung arbeiten würde. Staatsminister Michael Gove wird mit den Worten zitiert, „…ein No Deal ist jetzt eine realistische Annahme und darauf müssen wir vorbereitet sein. Die gesamte Maschinerie der Regierung wird auf Hochtouren arbeiten“. Unternehmen ist deshalb dringend zu empfehlen, sich auf diese Situation auch unter datenschutzrechtlichen Gesichtspunkten vorzubereiten. Sollte das Vereinigte Königreich ohne eine Vereinbarung mit der EU austreten, würde dies bedeuten, dass es zum Drittland i.S.d. der DSGVO werden würde, mit allen drastischen Konsequenzen. Auch eine Übergangsfrist für die Geltung der DSGVO im VK wäre unter diesen Voraussetzungen nicht anzunehmen. In ihrem Beschluss vom 8. März 2019 hat die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder bereits klargestellt, dass eine Datenübermittlung personenbezogener Daten in das VK dann nur noch unter Maßgabe der für Drittländer in der DSGVO vorgesehen Mechanismen möglich sei, zumal ein Angemessenheitsbeschluss der Europäischen Kommission nach Art. 45 DSGVO derzeit für das VK nicht existiert. Der Europäische Datenschutzausschuss (EDSA) veröffentlichte eine Information , die von allen datenübermittelnden Stellen unbedingt zu beachten ist. Zur Sicherstellung der Einhaltung eines angemessenen Datenschutzniveaus muss demnach eine der folgenden Garantien die Grundlage der Datenverarbeitung bzw. –übertragung bilden: Standarddatenschutzklauseln (Art. 46 Abs. 2 lit. c) und d) DSGVO) Unternehmen können hierfür die drei durch die Europäische Kommission bereits veröffentlichten Standarddatenschutzklauseln (Dokument 32001D0497, Dokument 32004D0915, Dokument 32010D0087) verwenden. Allerdings muss darauf hingewiesen werden, dass der Europäische Gerichtshof (EuGH) aktuell die Rechtmäßigkeit der EU-Standardvertragsklauseln immer noch überprüft. Die Verwendung der Klauseln ist bis zu einer Entscheidung…
WeiterlesenDas Zweite Datenschutzanpassungsgesetz- was ändert sich für Unternehmen?
14. Juli 2019Am 27.06.2019 beschloss der deutsche Bundestag mit der Mehrheit der Stimmen durch die Fraktionen von CDU, CSU und SPD das zweite deutsche Datenschutzanpassungsgesetz.Über hundert Gesetze sind durch die geplante Änderung betroffen, vielfach diskutiert wird aber eine (mögliche) Aufweichung der Benennungspflicht eines DSB von Unternehmen. Die DSGVO als Bürokratiemonster? In der öffentlichen Wahrnehmung wird die DSGVO, die nun seit etwas über einem Jahr gültig ist, als bürokratisches Hindernis wahrgenommen. Insbesondere Vereine und KMU haben im letzten Jahr medial ihren Unmut über die Anforderungen der DSGVO kundgetan, die als zu umständlich und aufwendig empfunden werden. So verwundert es denn auch nicht, dass besonders Wirtschaftsverbände oder etwa die CDU-Mittelstandsvereinigung die als zu hoch wahrgenommene Belastung für kleine und mittelständische Unternehmen reduzieren wollen. 10 oder 20? Gewissermaßen symbolisch entzündete sich diese Diskussion an der Frage, ab wie vielen (personenbezogene Daten verarbeitenden) Mitarbeitern von Seiten des Unternehmens ein DSB zu bestellen ist. Bisher, so ist es im BDSG-neu festgehalten, sind dies zehn Mitarbeiter. Dort lässt sich in § 38 BDSG-neu nachlesen: „Ergänzend zu Artikel 37 Absatz 1 Buchstabe b und c der Verordnung (EU) 2016/679 benennen der Verantwortliche und der Auftragsverarbeiter eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten, soweit sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.“ Diese Personengrenze von zehn Mitarbeitern, so die Mittelstandsvertreter, sei deutlich zu niedrig angesetzt und belaste daher kleine Unternehmen unverhältnismäßig. Gleiches Recht für alle? Tatsächlich ist es der Ansatz der DSGVO, im Prinzip, von einigen Ausnahmen wie etwa die Verhältnismäßigkeit bei TOMs abgesehen, keinen Unterschied zwischen…
WeiterlesenUnser wöchentlicher Datenschutzblog
14. Juli 2019
In unserem Blog wollen wir Ihnen wöchentlich aktuelle Entwicklungen, Fragestellungen aber auch Handlungsempfehlungen aus dem Bereich Datenschutz vorstellen und mit Ihnen diskutieren.