Unser Blog

Notfallmanagement als Teil von technische-organisatorische-Maßnahmen in unruhigen Zeiten

6. April 2020

Die letz­ten Jah­re waren geprägt von gro­ßen Her­aus­for­de­run­gen für Unter­neh­men.  Neh­men wir die lan­ge und star­ke Hit­ze im Som­mer 2018. Die­se führ­te zu star­ken Belas­tun­gen bei den Mit­ar­bei­tern und bei der IT. Wäh­rend die Kli­ma­ge­rä­te der Ser­ver­räu­me wah­re Höchst­leis­tun­gen voll­brach­ten, waren krea­ti­ve Ide­en für die Büros der Mit­ar­bei­ter gefragt. Eins haben Mit­ar­bei­ter und IT-Gerä­­­te näm­lich gemein­sam. Bei zu gro­ßer Hit­ze kön­nen sie nicht mehr ordent­lich arbei­ten. Hier kam es immer wie­der zu Aus­fäl­len, sowohl bei über­las­te­ten Kli­ma­an­la­gen als auch bei Mit­ar­bei­tern auf­grund von zu stark erhitz­ten Büros.   Dann der Win­ter 2018/19, wel­cher ganz Süd­deutsch­land mit extre­men Schnee­ver­hält­nis­sen über Wochen hin­weg belas­te­te. Hier konn­ten, auf­grund der Stra­ßen­ver­hält­nis­se und der immer neu­en Lawi­nen­ab­gän­ge, Mit­ar­bei­ter und Logis­tik nicht immer zeit­ge­recht das Unter­neh­men errei­chen. Hier­durch ent­stan­den oft Ver­zö­ge­run­gen in ver­schie­de­nen Unter­neh­mens­pro­zes­sen.  Und dann die Coro­­­na-Pan­­­de­­­mie 2020. Aktu­ell gibt es noch kei­ne gesi­cher­ten Erkennt­nis­se, wie lan­ge die Ein­schrän­kun­gen in den sozia­len Kon­tak­ten und die emp­foh­le­nen Ver­hal­tens­wei­sen bei zwi­schen­mensch­li­chen Kon­tak­ten noch auf­recht­erhal­ten wer­den sol­len. Die dras­tisch erhöh­te Anzahl an Home­of­­­fice-Arbeits­­­plät­­­zen stellt für vie­le Unter­neh­men voll­kom­men neue Her­aus­for­de­run­gen bezüg­lich der Aus­ge­stal­tung der Arbeits­plät­ze und der Anbin­dung an das Unter­neh­mens­netz­werk dar. Häu­fig sind zu wenig Lap­tops im Unter­neh­men vor­han­den und die Anbin­dung des Unter­neh­mens an das Inter­net mit den vie­len Ver­bin­dun­gen von außen aus den Home­of­­­fice-Arbeits­­­plät­­­zen über­las­tet.  Eins haben alle Fall­bei­spie­le gemein­sam. Sie stel­len die Unter­neh­men in sehr kur­zer Zeit vor gro­ße, z.T. schwer bewäl­tig­ba­re Her­aus­for­de­run­gen. Die Res­sour­cen des Unter­neh­mens wer­den knapp und die Geschäfts­pro­zes­se kom­men ins Sto­cken oder im schlimms­ten Fall zum Erlie­gen.  Nun ist nicht jeder Geschäfts­pro­zess eines Unter­neh­mens gleich wich­tig. Es gibt sol­che, die…

Wei­ter­le­sen

Datenschutz in Zeiten von Corona

30. März 2020

Die Welt steht vor einer der größ­ten Her­aus­for­de­run­gen unse­rer Zeit. Sowohl die Daten­schutz­be­hör­den in Deutsch­land, als auch der Euro­päi­sche Daten­schutz­aus­schuss (EDSA) haben sich zum The­ma Daten­ver­ar­bei­tung in Zei­ten von Coro­na geäu­ßert. Die Grun­dät­ze der Daten­ver­ar­bei­tung in der Daten­schutz­grund­ver­ord­nung (DSGVO) blei­ben unbe­rührt, jedoch müs­sen auch ande­re natio­na­le Rechts­vor­schrif­ten mit in die Betrach­tung ein­flie­ßen. Zu der Recht­mä­ßig­keit der Daten­ver­ar­bei­tung deu­tet der EDSA an, dass die DSGVO Regeln vor­sieht, die auch für die Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten im Rah­men von COVID-19 gel­ten. Die DSGVO ermög­licht Gesund­heits­be­hör­den und Arbeit­ge­bern, im Ein­klang des jewei­li­gen natio­na­len Rech­tes, per­so­nen­be­zo­ge­ne Daten zu ver­ar­bei­ten, . Somit besteht unter Umstän­den kei­ne Not­wen­dig­keit, sich auf die Ein­wil­li­gung (Art. 6 Abs. 1 lit. a) DSGVO) von Ein­zel­per­so­nen zu ver­las­sen. In sei­ner Stel­lung­nah­me führt der EDSA auf, dass in Bezug auf die Ver­ar­bei­tung von Tele­kom­mu­ni­ka­ti­ons­da­ten (z.B. Stand­ort­da­ten) gel­ten­de natio­na­le Bestim­mun­gen zur Umset­zung der (Daten­schutz­richt­li­nie für elek­tro­ni­sche Kom­mu­ni­ka­ti­on 2002/58E/G, spä­ter 2009/136/EC) ein­ge­hal­ten wer­den müs­sen. Die Richt­li­nie ermög­licht es den Mit­glied­staa­ten, gesetz­ge­be­ri­sche Maß­nah­men zur Wah­rung der öffent­li­chen Sicher­heit ein­zu­füh­ren. Eine sol­che außer­ge­wöhn­li­che Gesetz­ge­bung ist nur mög­lich, wenn sie eine not­wen­di­ge, ange­mes­se­ne und ver­hält­nis­mä­ßi­ge Maß­nah­me inner­halb einer demo­kra­ti­schen Gesell­schaft dar­stellt. Die­se Maß­nah­men müs­sen im Ein­klang mit der Char­ta der Grund­rech­te und der Euro­päi­schen Kon­ven­ti­on zum Schutz der Men­schen­rech­te und der grund­le­gen­den Frei­heit sein. Dar­über hin­aus unter­liegt die­ses der gericht­li­chen Kon­trol­le des Euro­päi­schen Gerichts­hofs und dem Euro­päi­schen Gerichts­hof für Men­schen­rech­te. Die­se Stel­lung ist wich­tig im Zusam­men­hang mit der Fra­ge, ob Regie­run­gen per­so­nen­be­zo­ge­ne Daten ver­ar­bei­ten dür­fen, die sich auf den Han­dy­stand­ort (Tracking) von Ein­zel­per­so­nen bezie­hen, damit die Ver­brei­tung…

Wei­ter­le­sen

Datenschutz im Home-Office

23. März 2020

In unse­rer heu­ti­gen Zeit gewinnt Home-Office zuneh­mend an Bedeu­tung. Es gibt ver­schie­de­ne Grün­de, wes­halb Unter­neh­men Home-Office anbie­ten: sei es die Fle­xi­bi­li­tät der Mit­ar­bei­ter, Reduk­ti­on der Weg­zei­ten zur Arbeit oder aber auch durch das Coro­na­vi­rus Covid ‑19 ver­ur­sacht.   Auf­grund des Coro­na­vi­rus steht das Home-Office mehr denn je im Fokus. Zahl­rei­che Unter­neh­men haben den Ent­schluss gefasst mehr und mehr Mit­ar­bei­tern das Arbei­ten im Home-Office zu ermög­li­chen.   Nur was ändert sich jetzt aus daten­schutz­recht­li­cher Sicht im Home-Office?  Die gesetz­li­chen Bestim­mun­gen der DSGVO sowie die inter­nen Rege­lun­gen zur Umset­zung des Daten­schut­zes wel­che im Unter­neh­men gel­ten, gel­ten auch im Home-Office. Daher möch­ten wir Ihnen einen kur­zen Über­blick dar­über ver­schaf­fen, was zu beach­ten ist. 1. Zugriff auf dienst­li­che Unter­la­gen in Papier- und elek­tro­ni­scher Form Die dienst­lich genutz­ten Unter­la­gen (in Papier- und elek­tro­ni­scher Form) dür­fen nur dem betref­fen­den Arbeit­neh­mer zugäng­lich sein. Der Betrof­fe­ne ist ver­pflich­tet, dafür zu sor­gen, dass kein Drit­ter Ein­sicht auf sei­nen Rech­ner oder auf sei­ne dienst­li­chen Unter­la­gen hat. Auch die mit dem in Home-Office Arbei­ten­den in häus­li­cher Gemein­schaft leben­den Per­so­nen dür­fen kei­nen Zugriff auf dienst­li­che Unter­la­gen haben. Der Mit­ar­bei­ter muss daher alle sen­si­blen und ver­trau­li­chen Unter­la­gen in einem abschließ­ba­ren Schrank aufbewah­ren. Dazu gehö­ren alle mobi­len Mas­sen­spei­cher­ge­rä­te wie CDs, DVDs, USB-Lauf­wer­ke, Harddisks‑, NAS-Sto­ra­ges etc. Des Wei­te­ren ist er dazu ver­pflich­tet beim Ver­las­sen sei­nes Arbeits­plat­zes sei­nen Bild­schirm zu sper­ren, auch wenn sein Ver­las­sen nur von kurz­zei­ti­ger Dau­er ist. Die nöti­gen Maß­nah­men hat der Arbeit­neh­mer zu tref­fen.  2. Soft­ware Damit eine umfas­sen­de Daten­si­cher­heit gewähr­leis­tet wer­den kann müs­sen Fire­wall, Viren­schutz auch im Home-Office aktiv auf dem neu­es­ten Stand sein. Fer­ner müs­sen Arbeit­neh­mer siche­re Pass­wör­ter (mind. 8 Zei­chen lang, Groß ‑und Klein­buch­sta­ben sowie Son­der­zei­chen) benut­zen und dar­auf ach­ten, dass kei­ne pri­va­te Hard- und Soft­ware…

Wei­ter­le­sen

Der Umgang mit der Anonymisierung von personenbezogenen Daten

16. März 2020

Vor einem Monat hat der Bun­des­be­auf­trag­te für Daten­schutz und Infor­ma­ti­ons­si­cher­heit (BfDI) ein Posi­ti­ons­pa­pier zum The­ma Anony­mi­sie­rung per­so­nen­be­zo­ge­ner Daten ver­öf­fent­licht, um den Ver­ant­wort­li­chen eine Ori­en­tie­rungs­hil­fe zu geben. In der Vor­ge­hens­wei­se des BfDI ist die Anony­mi­sie­rung als eine Ver­ar­bei­tungs­tä­tig­keit gem. der DSGVO zu sehen. Aus die­sem Grund muss sie auch recht­mä­ßig sein, d.h. es müss­te eine recht­li­che Grund­la­ge vor­lie­gen, die uns erlaubt die per­so­nen­be­zo­ge­nen Daten zu ver­ar­bei­ten. Ziel der Anony­mi­sie­rung ist es, dass kei­ne Rück­schlüs­se auf die betrof­fe­ne Per­son ent­ste­hen kön­nen, so dass kei­ne Re-Iden­­­ti­­­fi­zie­­­rung mög­lich ist. Um das zu ermög­li­chen wer­den zuerst Ele­men­te von den Daten ent­fernt und dadurch wird der Inhalt der Daten ver­än­dert. Die Anony­mi­sie­rung als Ver­ar­bei­tungs­tä­tig­keit bedarf einer Rechts­grund­la­ge aus Art. 6, Abs. 1 DSGVO. Wel­che Rechts­grund­la­ge zutrifft, ist von der kon­kre­ten Kon­stel­la­ti­on abhän­gig. An ers­ter Stel­le kann die Anony­mi­sie­rung auf eine wirk­sam erteil­te Ein­wil­li­gung gestützt wer­den. Das birgt aber fol­gen­des Risi­ko:  die betrof­fe­ne Per­son kann die Ein­wil­li­gung jeder­zeit mit Wir­kung für die Zukunft wider­ru­fen. Als nächs­te mög­li­che Rechts­grund­la­ge kommt Art. 6, Abs. 4 DSGVO, der die Vor­aus­set­zung der Ver­ein­bar­keit setzt, in Betracht. Hier ist fol­gen­des zu berück­sich­ti­gen: in der Regel wur­den die per­so­nen­be­zo­ge­nen Daten, die anony­mi­siert wer­den müs­sen, ursprüng­lich zu einem ande­ren Zweck erho­ben. Damit die Anony­mi­sie­rung gem. Art. 6, Abs. 4 DSGVO recht­mä­ßig sein kann, muss der Zweck für den die Daten wei­ter­ver­ar­bei­tet wer­den mit dem ursprüng­li­chen Erhe­bungs­zweck ver­ein­bar sein. Bei der Beur­tei­lung, ob eine Ver­ein­bar­keit mög­lich ist, gibt Art. 6, Abs. 4 DSGVO fol­gen­de Kri­te­ri­en, die berück­sich­tigt wer­den müs­sen: jede Ver­bin­dung zwi­schen den Zwe­cken, für…

Wei­ter­le­sen

Auskunftsersuchen Schritt 3 – Form und Folgen

9. März 2020

Frag­lich ist, wie lan­ge das Unter­neh­men Zeit hat, um dem Aus­kunfts­er­su­chen des Herrn M. nach­zu­kom­men. Das Unter­neh­men müss­te dem Aus­kunfts­er­su­chen des Herrn M. spä­tes­tens inner­halb eines Monats nach­kom­men. Nur in begrün­de­ten Aus­nah­me­fäl­len kann die Monats­frist über­schrit­ten wer­den, wor­über dann auch Herr M. zu infor­mie­ren wäre. Vor­lie­gend wur­de die Aus­kunft inner­halb von zwei Wochen ab Zugang des Aus­kunfts­an­tra­ges an Herrn M. erteilt. Damit erfolg­te dies noch im Rah­men der ein­mo­na­ti­gen Frist und kos­ten­los.   Wäre das Unter­neh­men dem Aus­kunfts­er­su­chen des Herrn M. nicht oder nicht voll­stän­dig nach­ge­kom­men, wäre es mit einem Buß­geld bedroht. Das Buß­geld kann bis zu 20 Mio. Euro oder 4% des welt­wei­ten Jah­res­um­sat­zes aus­ma­chen. Die­ser Fall zeigt deut­lich, dass es bei der Ertei­lung eines Aus­kunfts­er­su­chens wesent­li­che Schrit­te zu beach­ten gibt. Bis dato wur­den bereits meh­re­re Buß­gel­der wegen feh­len­der oder feh­ler­haf­ter Aus­kunfts­er­tei­lung ver­hängt. Dadurch ist zu sehen, dass die Betrof­fe­nen­rech­te ein wich­ti­ges The­ma für die Auf­sichts­be­hör­den dar­stel­len und somit ernst zu neh­men sind. Falls Sie bei Ertei­lung eines Aus­kunfts­er­su­chens oder den ande­ren Betrof­fe­nen­rech­ten Hil­fe brau­chen, wen­den Sie sich bit­te an uns. Wir zei­gen Ihnen wie Sie Ihren Pflich­ten rechts­kon­form nach­kom­men.

Wei­ter­le­sen

Auskunftsersuchen Schritt 2- Inhaltliche Anforderungen

2. März 2020

Nach­dem die Iden­ti­tät von Herrn M. fest­ge­stellt wur­de, hat die­ser eine E‑Mail von sei­nem beschäf­tig­ten Unter­neh­men erhal­ten. Dar­in waren fol­gen­de Infor­ma­tio­nen ent­hal­ten:  zu wel­chem Zweck die Daten des Herrn M. ver­ar­bei­tet wur­den  Wel­che Kate­go­ri­en von per­so­nen­be­zo­ge­nen Daten über ihn ver­ar­bei­tet wur­den  an wen sei­ne Daten über­mit­telt wur­den  die geplan­te Spei­cher­dau­er sei­ner per­so­nen­be­zo­ge­nen Daten Hin­weis auf die Betrof­fe­nen­rech­te des Herrn M.   die Her­kunft sei­ner per­so­nen­be­zo­ge­nen Daten, falls die­se nicht bei Ihm direkt erho­ben wur­den  und schließ­lich ob sei­ne Daten einer auto­ma­ti­sier­ten Ent­schei­dung, ein­schließ­lich Pro­filing, unter­wor­fen sind.     Bis wann die Aus­kunfts­er­tei­lung erfol­gen muss erfah­ren Sie nächs­te Woche in unse­rem Blog­bei­trag.  

Wei­ter­le­sen

Auskunftsersuchen Schritt 1 – Identifizierung der betroffenen Person

25. Febru­ar 2020

Bevor über­haupt einem Aus­kunfts­er­su­chen nach­ge­kom­men wer­den kann, muss der Ver­ant­wort­li­che ver­ge­wis­sern, dass der Anfra­gen­de auch der Betrof­fe­ne ist.    Je nach­dem, auf wel­chem Wege die Aus­kunfts­an­fra­ge nach Arti­kel 15 DSGVO erfolgt, gibt es ver­schie­de­ne Mög­lich­kei­ten der Iden­ti­täts­prü­fung.  Vor­lie­gend schrieb Herr M. eine E‑Mail an das Unter­neh­men.   Da Herr M. bereits zuvor Kon­takt per E‑Mail hat­te, kann die E‑Mail-Adres­­­se einen Hin­weis auf die Iden­ti­tät von Herrn M. geben. Sofern die E‑Mail-Adres­­­se nicht bekannt gewe­sen wäre, lie­ße sich dar­aus auch nicht die wah­re Iden­ti­tät der betrof­fe­nen Per­son schlie­ßen.   Um sich zu ver­ge­wis­sern, ruft das Unter­neh­men, die von Herrn M. hin­ter­leg­te Tele­fonnummer an. Zum Abgleich, ob auch Herr M. die E‑Mail geschrie­ben hat, for­dert das Unter­neh­men zusätz­li­che Infor­ma­tio­nen, wie z.B. die Post­an­schrift und das Geburts­da­tum des Betrof­fe­nen. Nach­dem Herr M. die rich­ti­gen Anga­ben erteilt hat­te, bestan­den kei­ne Zwei­fel dar­an, dass der Anfra­gen­de auch der Aus­kunfts­be­rech­tig­te ist. Somit wur­de die Iden­ti­tät des Herrn M. sicher­ge­stellt.  Wie das Unter­neh­men nach der Iden­ti­fi­zie­rung von Herrn M. vor­zu­ge­hen hat, erfah­ren Sie nächs­te Woche in unse­rem Blog­bei­trag.  

Wei­ter­le­sen

Verstöße gegen das Auskunftsersuchen nach Artikel 15 DSGVO können teuer werden

18. Febru­ar 2020

In den letz­ten Mona­ten haben sich Buß­gel­der wegen feh­len­der Aus­kunfts­er­tei­lung gehäuft. Aber nicht nur eine feh­len­de Aus­kunfts­er­tei­lung, son­dern auch eine unge­nau erteil­te Aus­kunft kann ein Buß­geld mit sich brin­gen. Dies wur­de durch das Amts­ge­richt Wert­heim bestä­tigt, wel­ches einem Unter­neh­men ein Buß­geld in Höhe von 15.000 Euro auf­grund unge­nau­er Aus­kunfts­er­tei­lung ver­hängt hat.  Aus die­sem Grun­de möch­ten wir Ihnen am Fall­bei­spiel von Herrn M. auf­füh­ren, wie bei einem Aus­kunfts­er­su­chen nach Arti­kel 15 DSGVO rich­tig vor­zu­ge­hen ist.  Herr M. ist seit Jah­ren Ange­stell­ter in einem Unter­neh­men. Über­all sei es beim Arzt, im Inter­net unter Kol­le­gen geht es um die Daten­schutz­grund­ver­ord­nung (DSGVO). Als die­ser mit­be­kom­men hat, dass es die Mög­lich­keit eines Aus­kunfts­er­su­chens nach Arti­kel 15 DSGVO gibt, möch­te er die­se Gele­gen­heit aus­nut­zen. Somit schreibt er eine E‑Mail an das Post­fach für Daten­schutz sei­nes beschäf­tig­ten Unter­neh­mens und möch­te von sei­nem Aus­kunfts­recht nach Arti­kel 15 DSGVO Gebrauch machen.  Wie hat das Unter­neh­men bei einem Aus­kunfts­er­su­chen nach Arti­kel 15 DSGVO vor­zu­ge­hen?  Mehr über die ein­zel­nen Schrit­te erfah­ren Sie nächs­te Woche in unse­rem Blog­bei­trag. 

Wei­ter­le­sen

Die digitalen Bewerbermanagement-Plattformen

10. Febru­ar 2020

In der digi­ta­li­sier­ten Welt von heut­zu­ta­ge Bewer­bungs­un­ter­la­gen per Post zu schi­cken fühlt sich schon alt­mo­disch an. Auf dem Markt gibt es genug Bewer­ber-Tools, die sowohl die Besei­ti­gung der Papier­do­ku­men­ta­ti­on und des beglei­ten­den Cha­os abschaf­fen, als auch Geschwin­dig­keit und Effek­ti­vi­tät anbie­ten und zudem preis­wer­ter sind. Was ist vor der Umset­zung einer Bewer­ber­platt­form zu berück­sich­ti­gen? Das hört sich schon wun­der­schön an, birgt aber Gefah­ren die aus daten­schutz­recht­li­cher Sicht beson­de­re Risi­ken für bei­de Sei­ten (Ver­ant­wort­li­cher und Betrof­fe­ne) dar­stel­len. Vom Prin­zip der Daten­mi­ni­mie­rung (Art. 5, Abs. 1, Buch­sta­be c DSGVO) und der sog. Rechen­schafts­pflicht (Art.5, Abs.2 DSGVO) bis zur Aus­wahl eines kon­for­men Bewer­ber­tools gibt es vie­les zu berück­sich­ti­gen. Der Rechen­schafts­pflicht ist erst dann nach­ge­kom­men, wenn die Pro­zes­se, in denen per­so­nen­be­zo­ge­ne Daten ver­ar­bei­tet wer­den trans­pa­rent und über­sicht­lich ange­legt sind (doku­men­tiert sind). Das natür­lich liegt in enge­rem Zusam­men­hang mit der Art des Bewer­ber­tools (z.B. Cloud-basiert). Auf­grund der Anzahl der per­so­nen­be­zo­ge­nen Daten, die im Bewer­bungs­pro­zess bear­bei­tet wer­den müs­sen (von Kon­takt­da­ten bis zu sen­si­blen Daten) fällt es den Unter­neh­men schwer den Über­blick zu behal­ten. Des­we­gen sind vor der Umset­zung des Bewer­ber-Tools u.a. fol­gen­de Fra­gen zu beant­wor­ten: Han­delt es sich um eine Auf­trags­ver­ar­bei­tung, gemein­sa­me Ver­ant­wort­lich­keit oder unab­hän­gig von einem ande­ren Ver­ant­wort­li­chen? Wer ist berech­tigt Zugriff auf die Daten zu haben? Wel­che Fris­ten müs­sen bei der Spei­che­rung von Daten berück­sich­tigt wer­den? Darf ich Soci­al-Media Accounts von Bewer­bern ver­knüp­fen? und vie­le ande­re. Die Ein­fach­heit birgt Gefah­ren. Defi­ni­tiv als posi­tiv zu sehen ist, das Ein­set­zen eines Lösch­kon­zepts, da vie­le Bewer­ber­platt­for­men auto­ma­ti­sche Erin­­­ne­­­rungs- oder Lösch­op­tio­nen ent­hal­ten. Ein wei­te­rer Grund war­um sol­che Tools immer…

Wei­ter­le­sen

Der Gesetzesentwurf zur Bekämpfung des Rechtsextremismus und der Hasskriminalität – Auswirkungen für Unternehmen

3. Febru­ar 2020

Der Ent­wurf des Geset­zes zur Bekämp­fung des Rechts­ex­tre­mis­mus und der Hass­kri­mi­na­li­tät ver­pflich­tet alle Inter­net­dienst­leis­ter zur umfas­sen­den Koope­ra­ti­on mit den Ermitt­lungs­be­hör­den und Geheim­diens­ten. Somit haben alle Tele­me­di­en­dienst­an­bie­ter auf Ver­lan­gen die Bestands- und Nut­zungs­da­ten ihrer Nut­zer her­aus­zu­ge­ben. Wel­che Neue­run­gen beinhal­tet der Geset­zes­ent­wurf? Eine der wich­tigs­ten Neue­run­gen ist die Ver­pflich­tung sozia­ler Netz­wer­ke dem Bun­des­kri­mi­nal­amt als Zen­tral­stel­le bestimm­te straf­ba­re Inhal­te zu mel­den, die dem sozia­len Netz­werk durch eine Beschwer­de bekannt und von ihnen ent­fernt oder gesperrt wur­den. Dies wird nicht nur von Daten­schutz­be­auf­trag­ten kri­ti­siert, son­dern auch von der Digi­ta­len Gesell­schaft. In dem Geset­zes­ent­wurf heißt es, dass Anbie­ter von Tele­me­di­en­diens­ten dazu ver­pflich­tet wer­den sol­len auf Ver­lan­gen die Bestands- und Nut­zungs­da­ten ihrer Nut­zer her­aus­zu­ge­ben. Die Pro­ble­ma­tik betrifft nicht nur die Bekämp­fung der Hass­kri­mi­na­li­tät, son­dern auch die Erschaf­fung von umfas­sen­den Über­wa­chungs­rech­ten für Staat und Behör­de. Schon bis­her bestand die Mög­lich­keit für Staats­an­waltschaf­ten auf Basis des TMG Bestands­da­ten inklu­si­ve Zugangs­in­for­ma­tio­nen zu ver­lan­gen. Die Bun­des­re­gie­rung begrün­det die Ände­run­gen mit der Aus­sa­ge, dass bis­lang das Aus­kunfts­verfah­ren im TMG nur „rudi­men­tär“ gere­gelt sei. Aus Daten­schutz­sicht sind Pass­wör­ter beson­ders zu schüt­zen und deren Her­aus­ga­be wäre ein Ver­stoß gegen die daten­schutz­recht­li­chen Vor­schrif­ten. Aus Daten­schutzgründen dür­fen Pass­wör­ter nicht im Klar­text gespei­chert wer­den, son­dern als Hash­wert. Die Digi­ta­le Gesell­schaft kri­ti­siert die vor­ge­se­he­nen Ände­run­gen, weil das Aus­pro­bie­ren der Pass­wör­ter für ande­re Accounts des Betrof­fe­nen eine denk­ba­re ver­fas­sungs­wid­ri­ge Ver­wen­dung dar­stel­len kann. Zudem ist es pro­ble­ma­tisch, dass künf­tig kein recht­li­cher Beschluss nötig wird, son­dern die Auf­for­de­rung einer Behör­de oder Poli­zei­di­nest­stel­le aus­rei­chend ist. Hin­zu kommt, dass der Nut­zer von der Her­aus­ga­be sei­ner Daten an ers­ter Stel­le nicht durch den…

Wei­ter­le­sen

2. DSAnpUG – Änderung der Benennungspflicht eines DSB bei nicht-öffentlichen Stellen und deren Auswirkung auf die Arztpraxen

20. Janu­ar 2020

Mit der Mehr­heit der Stim­men durch die Frak­tio­nen von CDU, CSU und SPD beschloss der Bun­des­tag am 28.08.2019 das 2. DSAn­­­pUG-EU ( Zwei­tes Gesetz zur Anpas­sung des Daten­schutz­rechts an die Ver­ord­nung (EU) 2016/679 und zur Umset­zung der Richt­li­nie (EU) 2016/680). Das 2. DSAn­pUG ist von Sei­ten des Bun­des­ra­tes zustim­mungs­be­dürf­tig und tritt am Tag nach der Ver­kün­di­gung im Bun­des­ge­setz­blatt in Kraft. Durch die Ände­run­gen sind mehr als 150 Geset­ze betrof­fen, ins­be­son­de­re das BDSG. Durch das 2. DSAn­pUG sind sowohl Begriffs­be­stim­mun­gen und Rechts­grund­la­gen für die Daten­ver­ar­bei­tung als auch Rege­lun­gen zu den Betrof­fe­nen­rech­ten ange­passt. Eine der wich­tigs­ten Ände­run­gen betrifft die Benen­nungs­pflicht eines Daten­schutz­be­auf­trag­ten (§ 38 BDSG). Bis­lang bestand nach § 38, Abs. 1, S. 1 BDSG die Benen­nungs­pflicht eines Daten­schutz­be­auf­trag­ten, wenn in der Regel min­des­tens 10 Per­so­nen stän­dig mit der auto­ma­ti­sier­ten Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten beschäf­tigt sind. Nach der vor­ge­nom­me­nen Ände­rung lau­tet die­ser fol­gen­der­wei­se: “Ergän­zend zu Arti­kel 38 Absatz 1 Buch­sta­be b und c der Ver­ord­nung (EU) 2016/679 benen­nen der Ver­ant­wort­li­che und der Auf­trags­ver­ar­bei­ter eine Daten­schutz­be­auf­trag­te oder einen Daten­schutz­be­auf­trag­ten, soweit sie in der Regel min­des­tens 20 Per­so­nen stän­dig mit der auto­ma­ti­sier­ten Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten beschäf­ti­gen.“ Ziel die­ser Ände­rung ist der sog. ‘‘Büro­kra­tie­ab­bau‘‘, damit klei­ne­re Betrie­be und Ver­ei­ne nicht unver­hält­nis­mä­ßig belas­tet sind. Die­se Erleich­te­rung bedeu­tet jedoch nicht, dass auch ande­re Daten­schutz­pflich­ten kom­plett weg­fal­len. Unab­hän­gig von der Per­so­nen­an­zahl sind sol­che Ver­ant­wort­li­che und Auf­trags­ver­ar­bei­ter zur Bestel­lung eines Daten­schutz­be­auf­trag­ten ver­pflich­tet, die nach Art. 35 DSGVO einer Daten­­­schutz-Fol­ge­a­b­­­schät­zung unter­lie­gen, oder wenn sie für Zwe­cke der Markt- oder Mei­nungs­for­schung oder geschäfts­mä­ßig zum Zweck der Über­mitt­lung, der anony­mi­sier­ten Über­mitt­lung per­so­nen­be­zo­ge­ne Daten ver­ar­bei­ten.…

Wei­ter­le­sen

Facebook Pixel: Ist das Tracking per Pixel erlaubt?

16. Dezem­ber 2019

  Der Baye­ri­sche Blut­spen­de­dienst kämpft mit der Anschul­di­gung einer mas­si­ven Daten­pan­ne, nach­dem er sen­si­ble Daten von Blut­spen­dern an Face­book über­mit­telt hat, dar­un­ter auch Anga­ben zu Schwan­ger­schaf­ten, Dro­gen­kon­sum, HIV-Infe­k­­­ti­o­­­nen oder Dia­be­tes. Inter­es­sen­ten konn­ten sich durch Beant­wor­tung von Fra­gen in Form eines Spen­­­de-Checks auf der Web­sei­te des Baye­ri­schen Roten Kreu­zes (BRK) vor­ab infor­mie­ren, ob Sie über­haupt als Spen­der in Fra­ge kom­men. Die­ser Test war Anlass eines Ver­fah­rens des Lan­des­am­tes für Daten­schutz­auf­sicht gegen das BRK gewe­sen. Denn zu Ana­ly­se­zwe­cken wur­de das Tracking­tool Face­book Pixel instal­liert, wel­ches durch sei­ne fal­sche Kon­fi­gu­ra­ti­on sen­si­ble Daten an Face­book über­mit­telt hat. Kon­kret wur­den die beant­wor­te­ten Fra­gen mit Ja und Nein mit dem sozia­len Netz­werk geteilt. Dadurch ist es Face­book mög­lich, Rück­schlüs­se auf Erkran­kun­gen der Betrof­fe­nen zu zie­hen. Ob der Ein­satz des Face­book-Pixels recht­mä­ßig war ist zur­zeit Gegen­stand des Prüf­ver­fah­rens. Bei Ein­satz eines Tracking-Tools über­mit­telt nicht der Web­sei­ten­be­trei­ber, die Daten an den Anbie­ter des Tracking-Tools, son­dern der Anbie­ter selbst erhebt die Daten direkt vom Nut­zer. Nicht­des­to­trotz wird dies erst durch die Ein­bin­dung auf der Web­site ermög­licht. Auch Face­book ver­bie­tet expli­zit die Nut­zung von Pixel in die­ser Form. In sei­ner Stel­lung­nah­me heißt es: ‘‘Für die Ver­wen­dung des Pixels haben wir kla­re Regeln für Wer­be­trei­ben­de: Es dür­fen kei­ne sen­si­blen Nut­zer­da­ten wie Infor­ma­tio­nen zu Gesund­heit oder Finan­zen an uns geschickt wer­den.‘‘ Die­ser Fall zeigt deut­lich, dass mit wenig Auf­wand über den Brow­ser nicht nur die Auf­sichts­be­hör­den Web­sites prü­fen, son­dern jeder­mann tes­ten kann, wel­che Tracking-Tools auf einer Web­site ein­ge­bun­den sind. Das Risi­ko, dass Nut­zer auf einen Ver­stoß auf­merk­sam wer­den und die­ses der Auf­sichts­be­hör­de…

Wei­ter­le­sen

Windows 10 datenschutzkonform einsetzen.

2. Dezem­ber 2019

Das Betriebs­sys­tem Win­dows 10 ist schon län­ger im Visier der deut­schen und euro­päi­schen Daten­schutz­be­hör­den. Es geht hier­bei um den nicht offen­sicht­li­chen Daten­ver­sand vom Betriebs­sys­tem an den Soft­ware­her­stel­ler. Auch wenn Micro­soft bestrebt war in der Ver­gan­gen­heit die­se Pro­ble­ma­tik nach­zu­bes­sern, hat der Kon­zern bis heu­te noch kei­ne Lösung vor­ge­legt, die die Daten­schutz­be­hör­den zufrie­den stellt. Die­ses ist der Grund dafür, dass die deut­schen Daten­schutz­be­hör­den ein Prü­fungs­sche­ma erstellt haben, wel­ches durch jeden Ver­ant­wort­li­chen im Unter­neh­men umge­setzt und abge­ar­bei­tet wer­den muss. Die Anwen­dungs­hin­wei­se der DSK, wel­che das Prüf­sche­ma zu Win­dows 10 ent­hal­ten, sind in zwei Doku­men­te unter­glie­dert. Das ers­te Doku­ment ent­hält das eigent­li­che Prüf­sche­ma und dient als Leit­fa­den für den Ver­ant­wort­li­chen, den Daten­schutz­be­auf­trag­ten und den IT-Ver­­­an­t­wor­t­­­li­chen/ IT-Diens­t­­­leis­­­ter zur daten­schutz­kon­for­men Ver­wen­dung von Win­dows 10. Die­se Prüf­sche­ma muss für jede ein­ge­setz­te Win­dows 10 Ver­si­on durch­lau­fen wer­den. Das bedeu­tet auch, dass jedes Funk­ti­ons­up­date (1809, 1903, 1909 usw.), wel­ches im Unter­neh­men ein­ge­spielt wer­den soll, eine erneu­te Prü­fung anstößt. Das zwei­te Doku­ment ent­hält wei­ter­ge­hen­de Infor­ma­tio­nen zu Win­dows 10 und die Kon­fi­gu­ra­ti­ons­mög­lich­kei­ten. Die­se kön­nen die IT-Ver­­­an­t­wor­t­­­li­chen / IT-Diens­t­­­leis­­­ter nut­zen, um die Kon­fi­gu­ra­ti­on im Unter­neh­men daten­schutz­kon­form umzu­set­zen. Die bei­den Anwen­dungs­hin­wei­se fin­den sie hier auf der Sei­te der Daten­schutz­kon­fe­renz: Prüf­sche­ma Win­dows 10: https://www.datenschutzkonferenz-online.de/media/ah/20191106_win10_pruefschema_dsk.pdf Anla­ge 1 zum Prüf­sche­ma Win­dows 10: https://www.datenschutzkonferenz-online.de/media/ah/20191106_win10_pr%C3%BCfschema_hinweise_dsk.pdf    

Wei­ter­le­sen

Messe und Kongress für IT-Sicherheit

4. Okto­ber 2019

Besu­chen Sie uns beim Stand der Secure.Bayern auf der dies­jäh­ri­gen Mes­se und Kon­fe­renz für IT-Sicher­heit it-sa in Nürn­berg vom 8. bis 10. Okto­ber. https://www.it-sa.de/ Wir freu­en uns auf den fach­li­chen Aus­tausch mit Ihnen!    

Wei­ter­le­sen

EUGH hat entschieden: Cookies erfordern aktive Einwilligung

2. Okto­ber 2019

In sei­nem Urteil (Rechts­sa­che C‑673/17 ‚1. Okto­ber 2019, Urteil in der Bun­des­ver­band der Ver­brau­cher­zen­tra­len und Ver­brau­cher­ver­bän­de – Ver­brau­cher­zen­tra­le Bun­des­ver­band e. V. / Planet49 GmbH) ent­schied der EUGH, „dass die für die Spei­che­rung aber auch den Abruf von Coo­kies auf dem Gerät des Besu­chers einer Web­site erfor­der­li­che Ein­wil­li­gung durch ein vor­ein­ge­stell­tes Ankreuz­käst­chen, das der Nut­zer zur Ver­wei­ge­rung sei­ner Ein­wil­li­gung abwäh­len muss, nicht wirk­sam erteilt wird.“ Beson­ders erwäh­nens­wert ist, dass der EUGH hier­bei expli­zit kei­ne Unter­schei­dung zwi­schen per­so­nen­be­zo­ge­nen und sons­ti­gen Daten macht. Begrün­det wird dies mit dem im Recht der EU ver­an­ker­ten Prin­zip, den Nut­zer vor jedem Ein­griff in sei­ne Pri­vat­sphä­re zu schüt­zen. Der EUGH setzt damit noch­mal ein deut­li­ches Zei­chen. Bemer­kens­wert ist dies auch, weil Deutsch­land in der Umset­zung der EU-Pri­va­­­cy Richt­li­nie bis­her einen Son­der­weg beschrit­ten hat. Aus Sicht der Regie­­­rung- und ent­ge­gen der Auf­fas­sung der Auf­­­­­sichts­be­­­hör­­­den- ent­spricht das deut­sche Tele­me­di­en­ge­setz näm­lich die­ser Umset­zung. Im Rah­men des TMG wäre eine Opt-Out-Lösung für Coo­kies mög­lich. Das Urteil muss des­halb auch dahin­ge­hend gewer­tet wer­den, dass die­se Ansicht (spä­tes­tens jetzt) nicht mehr halt­bar ist. Da die Ein­füh­rung der EU-Pri­va­­­cy Ver­ord­nung wohl noch län­ger dau­ern wird, muss sich der Gesetz­ge­ber über­le­gen, ob eine EU-rechts­­­kon­­­for­­­me Umset­zung der Richt­li­nie nicht doch noch not­wen­dig ist. Geklagt hat­te der Bun­des­ver­band der Ver­brau­cher­zen­tra­len und Ver­brau­cher­ver­bän­de gegen das Unter­neh­men Planet49 GmbH. Was bedeu­tet dies für Unter­neh­men und Web­site­be­trei­ber? Wir hat­ten schon mehr­mals dar­auf hin­ge­wie­sen, dass eine rechts­kon­for­me Ein­wil­li­gung ein akti­ves Han­deln des Nut­zers  erfor­der­lich macht. Auch die Coo­kie-Ban­­­ner müs­sen den, nun­mehr durch das Urteil des EUGH bestä­tig­ten Anfor­de­run­gen ange­passt wer­den. Denn…

Wei­ter­le­sen

Bundesgesundheitsminister fordert Nachbesserungen beim Datenschutz im Gesundheitswesen

19. Sep­tem­ber 2019

In den letz­ten zwei Wochen waren meh­re­re Daten­pan­nen bzw. ver­meint­li­che Daten­pan­nen im Gesund­heits­we­sen publik gewor­den. Das BayL­DA über­prüft nach eige­nen Anga­ben der­zeit die (even­tu­ell erfolg­te) Wei­ter­ga­be von Gesund­heits­da­ten eines Blut­spen­de­diens­tes an Face­book. Nun berich­ten eini­ge Medi­en, gemein­sa­me Recher­chen des Bay­ri­schen Rund­funks und von Pro­Pu­bli­ca hät­ten erge­ben, dass sen­si­ble Gesund­heits­da­ten von Mil­lio­nen Nut­zern auf unge­si­cher­ten Ser­vern gele­gen hät­ten. Jens Spahn nimmt dies zum Anlass, für Pati­en­ten­da­ten höchs­te Daten­schutz­stan­dards ein­zu­for­dern. Er wird mit den Wor­ten zitiert, dass „vie­le das The­ma noch zu sehr auf die leich­te Schul­ter neh­men wür­den“. Sicher­lich lässt sich nicht pau­scha­li­sie­ren, dass Dienst­leis­ter oder Unter­neh­men aus dem Gesund­heits­we­sen beson­ders nach­läs­sig mit dem The­ma Daten­schutz umge­hen wür­den. Der Bun­des­ge­sund­heits­mi­nis­ter mag aber mit sei­ner Ein­schät­zung dahin­ge­hend durch­aus rich­tig lie­gen, dass das Bewusst­sein für die beson­de­re Sen­si­bi­li­tät von Gesund­heits­da­ten noch nicht bei allen Markt­teil­neh­mern aus­rei­chend vor­han­den ist. Der Ver­lust bzw. die unbe­fug­te Ein­sicht­nah­me die­ser Daten, etwa durch Ver­si­che­run­gen oder Arbeit­ge­ber, hat aber für die betrof­fe­ne Per­son unter Umstän­den weit­rei­chen­de nega­ti­ve Kon­se­quen­zen. Die blu Sys­tems GmbH wird des­halb aus (lei­der) aktu­el­lem Anlass gegen Ende des Jah­res eine Kon­fe­renz für das The­ma „Heal­t­h­­­ca­­­re-Daten­­­schutz“ aus­rich­ten. Wir infor­mie­ren Sie recht­zei­tig.

Wei­ter­le­sen

US-amerikanisches Datenschutzgesetz?

19. Sep­tem­ber 2019

Der Aus­tausch per­so­nen­be­zo­ge­ner Daten mit US-ame­­­ri­­­ka­­­ni­­­schen Unter­neh­men wird für vie­le deut­sche Unter­neh­men All­tag sein. Nicht zuletzt ste­hen vie­le Ser­ver auf US-ame­­­ri­­­ka­­­ni­­­schem Boden. Für die USA hat die Euro­päi­sche Kom­mis­si­on per Ange­mes­sen­heits­be­schluss ein ange­mes­se­nes Daten­schutz­ni­veau bestä­tigt, unter der Vor­aus­set­zung dass der Emp­fän­ger dem so bezeich­ne­ten US-Pri­va­­­cy Shield ange­hört. Vie­le Daten­schüt­zer stel­len jedoch in Fra­ge, ob man das US-ame­­­ri­­­ka­­­ni­­­sche Daten­schutz­ni­veau guten Gewis­sens dem Euro­päi­schen gleich­set­zen kann. Nicht zuletzt die in den letz­ten Mona­ten häu­fig auf­ge­tre­te­nen Daten­pan­nen gro­ßer ame­ri­ka­ni­scher Kon­zer­ne las­sen Zwei­fel auf­kom­men. Und nicht weni­ge äußern, dass es sich von Sei­ten der Euro­päi­schen Kom­mis­si­on wohl eher um eine poli­ti­sche, denn eine aus Sicht des Daten­schut­zes fun­dier­te Ent­schei­dung han­delt, den USA die Ange­mes­sen­heit des Niveaus zu bestä­ti­gen. Die Grup­pe der „Zweif­ler“ wird sich seit letz­ter Woche eher bestä­tigt sehen. Über 50 Schwer­ge­wich­te der US-ame­­­ri­­­ka­­­ni­­­schen Wirt­schaft haben in einem offe­nen Brief an den US-Kon­gress ein Bun­des­wei­tes Daten­schutz­ge­setz gefor­dert. Begrün­det wird dies unter ande­rem mit wirt­schaft­li­chen Argu­men­ten (feh­len­de Wett­be­werbs­fä­hig­keit ame­ri­ka­ni­scher Unter­neh­men durch die Erschwer­nis­se des Daten­schut­zes). Hin­ter­grund ist, dass zuletzt eini­ge Bun­des­staa­ten Daten­schutz­ge­set­ze erlas­sen hat­ten, teil­wei­se mit dem Vor­bild DSGVO, weil eine bun­des­wei­te Rege­lung bis­her fehlt. Der Vor­schlag der Unter­neh­men, „Frame­work for Con­su­mer Pri­va­cy Legis­la­ti­on“ liest sich ober­fläch­lich betrach­tet zunächst so, als hät­ten die Unter­neh­men begrif­fen, dass die Sen­si­bi­li­tät für den Schutz per­so­nen­be­zo­ge­ner Daten vor­nehm­lich im letz­ten Jahr deut­lich zuge­nom­men hat. Fast wöchent­lich erschei­nen­de Pres­se­nach­rich­ten von gro­ßen Daten­pan­nen ame­ri­ka­ni­scher Kon­zer­ne dürf­ten den jewei­li­gen Public Affairs Abtei­lun­gen nicht gefal­len haben. Wer genau­er hin­sieht wird jedoch schnell eines Bes­se­ren belehrt. Im letz­ten Satz des Doku­men­tes heißt es…

Wei­ter­le­sen

Schwere Datenpannen und Kopplungsverbot

5. Sep­tem­ber 2019

Schwe­re Daten­pan­nen In der ver­gan­ge­nen Woche, so berich­ten meh­re­re Medi­en über­ein­stim­mend, gab es wie­der meh­re­re gro­ße Daten­pan­nen. Einer­seits fällt sicher der Vor­fall beim Mas­­­ter­­­card-Bonus­­­pro­gramm in die­se Kate­go­rie, da von bis zu 90.000 Daten­sät­zen die Rede ist, die teil­wei­se sogar Kre­dit­kar­ten­da­ten ent­hal­ten sol­len. Fast schon als „nor­mal“ zu bezeich­nen ist die gera­de eben ver­öf­fent­lich­te Mel­dung, bei Face­book hät­te es eine wei­te­re Daten­pan­ne gege­ben, dies­mal sind (ver­mut­lich) über 400 Mil­lio­nen Tele­fon­num­mern von Face­book-Nut­­­zern in die fal­schen Hän­de gelangt. Zuneh­mend höhe­re Buß­gel­der durch deut­sche Auf­sichts­be­hör­den? In die­sem Kon­text scheint es erwäh­nens­wert, dass die deut­schen Auf­sichts­be­hör­den die bis­her gepfleg­te Zurück­hal­tung bei der Ver­hän­gung hoher Buß­gel­der immer mehr able­gen. Wie aus einer Mel­dung der Ber­li­ner Beauf­trag­ten für Daten­schutz und Infor­ma­ti­ons­frei­heit her­vor­geht, wird dem­nächst von der Behör­de ein Buß­geld „in bis zu zwei­stel­li­ger Mil­lio­nen­hö­he“ ver­hängt, nach­dem zuvor bereits zwei hohe Buß­gel­der im sechs­stel­li­gen Bereich ver­hängt wur­den. Ent­schei­dung des OLG Frank­furt zum Kopp­lungs­ver­bot Von eher prak­ti­scher Rele­vanz aus Sicht der Unter­neh­men dürf­te es sich bei einer kürz­lich ergan­ge­nen Ent­schei­dung des OLG Frank­furt (6 U 6/19 v. 27.06.2019) han­deln. Im ent­schie­de­nen Rechts­streit ging es um die bis­lang häu­fig dis­ku­tier­te Fra­ge­stel­lung, ob eine Ein­wil­li­gung (in die­sem Fall für den Emp­fang des News­let­ters des Unter­neh­mens) mit einer Teil­nah­me an einem Gewinn­spiel ver­knüpft wer­den kann. Nach über­wie­gend ver­tre­te­ner Mei­nung wider­sprach dies dem in der DSGVO ver­an­ker­ten Kopp­lungs­ver­bot. In der Über­zeu­gung der Frank­fur­ter Rich­ter über­wiegt der Ansatz der Frei­wil­lig­keit der Ein­wil­li­gung. Der Ver­brau­cher, so die Urteils­be­grün­dung, kön­ne und müs­se selbst ent­schei­den, ob ihm die Teil­nah­me an einem Gewinn­spiel unter der Bedin­gung einer…

Wei­ter­le­sen

EuGH-Urteil zum Datenschutz: die Verantwortung für Seitenbetreiber wächst

8. August 2019

Es ist ein bekann­tes Bild: auf einer Unter­neh­mens­web­site befin­det sich ein Face­book „Like“-Button. Vie­le Unter­neh­men nut­zen die­ses Mit­tel, aus unter­schied­li­chen, meist mar­ke­ting­stra­te­gi­schen Grün­den. Bis­her aller­dings, ohne dafür eine geson­der­te Ein­wil­li­gung des Web­site­nut­zers ein­zu­ho­len. Die­ses Vor­ge­hen könn­te zukünf­tig mit einem erhöh­ten Buß­gel­dri­si­ko behaf­tet sein. Durch die Ein­bin­dung des Face­book „Like“-Buttons wer­den näm­lich per­so­nen­be­zo­ge­ne Daten des Nut­zers ver­ar­bei­tet und an Face­book wei­ter­ge­lei­tet und zwar unab­hän­gig davon, ob der But­ton betä­tigt wird oder nicht. Der EuGH, der in sei­ner Ent­schei­dung den Aus­füh­run­gen des Gene­ral­an­walts gefolgt ist, erkennt dar­in eine (gemein­sa­me) Ver­ant­wort­lich­keit des Web­site­be­trei­bers mit der Kon­se­quenz, für die­se Daten­ver­ar­bei­tung eine recht­li­che Grund­la­ge lie­fern zu müs­sen, in aller Regel eine Ein­wil­li­gung. Zudem müs­sen die Infor­ma­ti­ons­pflich­ten und/oder die Daten­schutz­er­klä­rung dem­entspre­chend ange­passt wer­den. In der Pra­xis wird der Nut­zer nun sehr häu­fig noch nach einer zusätz­li­chen Ein­wil­li­gung gefragt wer­den. Frag­lich ist noch, wel­che Aus­strahl­wir­kung das EuGH-Urteil ent­fal­ten wird. Es ist aber zu erwar­ten, dass sich die Ver­wen­dung von Soci­al-Media-Plugins auf Web­siten grund­le­gend ändern wird.

Wei­ter­le­sen

No-Deal-Brexit- welche Auswirkungen hat dies auf den Datenschutz?

23. Juli 2019

Über­ein­stim­mend mel­den meh­re­re Medi­en, dass die neue bri­ti­sche Regie­rung an einer „No-Deal-Brexit“-Lösung arbei­ten wür­de. Staats­mi­nis­ter Micha­el Gove wird mit den Wor­ten zitiert, „…ein No Deal ist jetzt eine rea­lis­ti­sche Annah­me und dar­auf müs­sen wir vor­be­rei­tet sein. Die gesam­te Maschi­ne­rie der Regie­rung wird auf Hoch­tou­ren arbei­ten“. Unter­neh­men ist des­halb drin­gend zu emp­feh­len, sich auf die­se Situa­ti­on auch unter daten­schutz­recht­li­chen Gesichts­punk­ten vor­zu­be­rei­ten. Soll­te das Ver­ei­nig­te König­reich ohne eine Ver­ein­ba­rung mit der EU aus­tre­ten, wür­de dies bedeu­ten, dass es zum Dritt­land i.S.d. der DSGVO wer­den wür­de, mit allen dras­ti­schen Kon­se­quen­zen. Auch eine Über­gangs­frist für die Gel­tung der DSGVO im VK wäre unter die­sen Vor­aus­set­zun­gen nicht anzu­neh­men. In ihrem Beschluss vom 8. März 2019 hat die Kon­fe­renz der unab­hän­gi­gen Daten­schutz­auf­sichts­be­hör­den des Bun­des und der Län­der bereits klar­ge­stellt, dass eine Daten­über­mitt­lung per­so­nen­be­zo­ge­ner Daten in das VK dann nur noch unter Maß­ga­be der für Dritt­län­der in der DSGVO vor­ge­se­hen Mecha­nis­men mög­lich sei, zumal  ein Ange­mes­sen­heits­be­schluss der Euro­päi­schen Kom­mis­si­on nach Art. 45 DSGVO der­zeit für das VK nicht exis­tiert. Der Euro­päi­sche Daten­schutz­aus­schuss (EDSA) ver­öf­fent­lich­te eine  Infor­ma­ti­on , die von allen daten­über­mit­teln­den Stel­len unbe­dingt zu beach­ten ist. Zur Sicher­stel­lung der Ein­hal­tung eines ange­mes­senen Daten­schutz­ni­veaus muss dem­nach eine der fol­gen­den Garan­ti­en die Grund­la­ge der Daten­ver­ar­bei­tung bzw. –über­tra­gung bil­den: Stan­dard­da­ten­schutz­klau­seln (Art. 46 Abs. 2 lit. c) und d) DSGVO) Unter­neh­men kön­nen hier­für die drei durch die Euro­päi­sche Kom­mis­si­on bereits ver­öf­fent­lich­ten Stan­dard­da­ten­schutz­klau­seln (Doku­ment 32001D0497, Doku­ment 32004D0915, Doku­ment 32010D0087) ver­wen­den. Aller­dings muss dar­auf hin­ge­wie­sen wer­den, dass der Euro­päi­sche Gerichts­hof (EuGH) aktu­ell die Recht­mä­ßig­keit der EU-Stan­dar­d­­­ver­­­­­trags­­­klau­­­seln immer noch über­prüft. Die Ver­wen­dung der Klau­seln ist bis zu einer Ent­schei­dung…

Wei­ter­le­sen

Das Zweite Datenschutzanpassungsgesetz- was ändert sich für Unternehmen?

14. Juli 2019

Am 27.06.2019 beschloss der deut­sche Bun­des­tag mit der Mehr­heit der Stim­men durch die Frak­tio­nen von CDU, CSU und SPD das zwei­te deut­sche Datenschutzanpassungsgesetz.Über hun­dert Geset­ze sind durch die geplan­te Ände­rung betrof­fen, viel­fach dis­ku­tiert wird aber eine (mög­li­che) Auf­wei­chung der Benen­nungs­pflicht eines DSB von Unter­neh­men. Die DSGVO als Büro­kra­tie­mons­ter? In der öffent­li­chen Wahr­neh­mung wird die DSGVO, die nun seit etwas über einem Jahr gül­tig ist, als büro­kra­ti­sches Hin­der­nis wahr­ge­nom­men. Ins­be­son­de­re Ver­ei­ne und KMU haben im letz­ten Jahr medi­al ihren Unmut über die Anfor­de­run­gen der DSGVO kund­ge­tan, die als zu umständ­lich und auf­wen­dig emp­fun­den wer­den.  So ver­wun­dert es denn auch nicht, dass beson­ders Wirt­schafts­ver­bän­de oder etwa die CDU-Mit­­­­­tel­­­stan­d­s­­­ver­­­ei­­­ni­gung die als zu hoch wahr­ge­nom­me­ne Belas­tung für klei­ne und mit­tel­stän­di­sche Unter­neh­men redu­zie­ren wol­len. 10 oder 20? Gewis­ser­ma­ßen sym­bo­lisch ent­zün­de­te sich die­se Dis­kus­si­on an der Fra­ge, ab wie vie­len (per­so­nen­be­zo­ge­ne Daten ver­ar­bei­ten­den) Mit­ar­bei­tern von Sei­ten des Unter­neh­mens ein DSB zu bestel­len ist. Bis­her, so ist es im BDSG-neu fest­ge­hal­ten, sind dies zehn Mit­ar­bei­ter. Dort lässt sich in § 38 BDSG-neu nach­le­sen: „Ergän­zend zu Arti­kel 37 Absatz 1 Buch­sta­be b und c der Ver­ord­nung (EU) 2016/679 benen­nen der Ver­ant­wort­li­che und der Auf­trags­ver­ar­bei­ter eine Daten­schutz­be­auf­trag­te oder einen Daten­schutz­be­auf­trag­ten, soweit sie in der Regel min­des­tens zehn Per­so­nen stän­dig mit der auto­ma­ti­sier­ten Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten beschäf­ti­gen.“ Die­se Per­so­nen­gren­ze von zehn Mit­ar­bei­tern, so die Mit­tel­stands­ver­tre­ter, sei deut­lich zu nied­rig ange­setzt und belas­te daher klei­ne Unter­neh­men unver­hält­nis­mä­ßig. Glei­ches Recht für alle? Tat­säch­lich ist es der Ansatz der DSGVO, im Prin­zip, von eini­gen Aus­nah­men wie etwa die Ver­hält­nis­mä­ßig­keit bei TOMs abge­se­hen, kei­nen Unter­schied zwi­schen…

Wei­ter­le­sen

Unser wöchentlicher Datenschutzblog

14. Juli 2019
Unser wöchentlicher Datenschutzblog

In unse­rem Blog wol­len wir Ihnen wöchent­lich aktu­el­le Ent­wick­lun­gen, Fra­ge­stel­lun­gen aber auch Hand­lungs­emp­feh­lun­gen aus dem Bereich Daten­schutz vor­stel­len und mit Ihnen dis­ku­tie­ren.