Unser Blog

Reifegradanalyse Informationssicherheit – Eine erste Bestandsaufnahme

11. Sep­tem­ber 2020

Aller Anfang ist schwer! Das Sprich­wort „Aller Anfang ist schwer!“ ist all­seits bekannt und trifft auch auf die Imple­men­tie­rung eines Infor­ma­ti­ons­si­cher­heits­frame­works zu. Die Ein­füh­rung eines sol­chen Frame­works erfor­dert von allen Betei­lig­ten einen offe­nen Umgang mit Pro­ble­men und Kri­tik. Es wer­den immer wie­der Situa­tio­nen auf­tau­chen, in denen das „Das machen wir schon immer so“ eine belieb­te Aus­sa­ge sein wird, um den aktu­el­len, opti­mier­ba­ren Zustand zu beschrei­ben. Aber genau die­se „Das machen wir schon immer so“ und „Das haben wir bestimmt irgend­wo (doku­men­tiert)“ sind die Punk­te, die durch eine ers­te Rei­fe­grad­ana­ly­se ange­spro­chen wer­den sol­len. Zusätz­lich natür­lich zu den Berei­chen die bis­her ggf. noch nie betrach­tet wur­den. Eine sol­che Rei­fe­grad­ana­ly­se, z. T. auch Audit genannt, spricht alle Teil­aspek­te der Infor­ma­ti­ons­si­cher­heit an und prüft, wo ent­spre­chen­de Opti­mie­rungs­mög­lich­kei­ten bestehen um anschlie­ßend einen Plan zur Umset­zung der Mög­lich­kei­ten zu erar­bei­ten. TISAX Das Pro­jekt „Unter­neh­mensum­zug in die vir­tu­el­le Welt“ bei der knoo­ing GmbH hat als ein Teil­pro­jekt die Opti­mie­rung der Infor­ma­ti­ons­si­cher­heit. Hier wur­de, wie oben beschrie­ben, eine Rei­fe­grad­ana­ly­se anhand des VDA ISA – Frame­works (TISAX) durch­ge­führt. Da die knoo­ing GmbH vie­le Kun­den aus dem Bereich der Auto­mo­bil­in­dus­trie hat und TISAX sich an dem inter­na­tio­nal aner­kann­ten Stan­dard ISO 27001 ori­en­tiert, ist die Ent­schei­dung auf eben die­ses Frame­work gefal­len. Ana­ly­se Für die Ana­ly­se wur­den die 52 Con­trols aus dem Bereich der Infor­ma­ti­ons­si­cher­heit bzgl. ihres Rei­fe­gra­des bewer­tet und die Hin­wei­se aus dem TISAX – Kata­log durch­ge­ar­bei­tet. Dar­aus ent­stan­den ist eine umfang­rei­che Lis­te mit mög­li­chen Punk­ten für eine Opti­mie­rung der Infor­ma­ti­ons­si­cher­heit. Die­se wird im wei­te­ren Ver­lauf des Pro­jek­tes immer wie­der her­an­ge­zo­gen,…

Read more

Erfassung der IT-Infrastruktur – Alles wird unter die Lupe genommen

3. Sep­tem­ber 2020

Für die vir­tua­li­sie­rung eines Unter­neh­mens, also den voll­stän­di­gen Ver­zicht auf Büro­ar­beits­plät­ze und somit aus­schließ­lich orts­un­ab­hän­gi­ges Arbei­ten, ist eine genaue Ana­ly­se der bestehen­den IT – Infra­struk­tur unab­ding­bar. Es gilt zu ermit­teln was genau alles in die Cloud umzie­hen muss und was auf­grund der Nut­zung von moder­nen SaaS – Anwen­dun­gen (SaaS: Soft­ware as a Ser­vice) schon in der Cloud ist. Dies geschieht anhand der Sich­tung von bestehen­den Doku­me­na­tio­nen und einer Vor-Ort-Bege­hung in den Räum­lich­kei­ten des Unter­neh­mens. Dabei wer­den Ser­vices und Hard­ware, falls noch nicht gesche­hen, doku­men­tiert. Beleuch­tet wer­den die Arbeits­plät­ze, das Netz­werk, Pere­phe­rie, Cloud-Ser­­­vices und nicht zuletzt auch ande­re an das Netz­werk ange­bun­den „IT-Gerä­­­te“ wie z.B. Smart-TVs in Bespre­chungs­räu­men. Für ein zusam­men­hän­gen­des Bild soll­ten auch die­se nicht klasi­schen IT-Gerä­­­te mit auf­ge­nom­men wer­den. Ins­be­son­de­re ist dies wich­tig, wenn es, wie in die­sem Pro­jekt bei der knoo­ing GmbH, auch dar­um geht die bestehen­de Infra­struk­tur bis zum end­gül­ti­gen Wan­del zum vir­tu­el­len Unter­neh­men infor­ma­ti­ons­si­cher­heits­tech­nisch zu opti­mie­ren. So war auch in die­sem Pro­jekt bei der knoo­ing GmbH der ers­te Schritt nach Pro­jekt­be­ginn die Ana­ly­se der IT-Infra­­­stru­­k­­­tur. Die Doku­men­ta­ti­on war ein wenig in die Jah­re gekom­men und so viel in die­sem Fall der Anteil der Vor-Ort-Bege­hung etwas grö­ßer aus. Lis­ten wur­den aktua­li­siert und Doku­men­ta­tio­nen auf den neus­ten Stand gebracht. Zudem wur­den ers­te Ideen für eine Opti­mie­rung mit den Ver­ant­wort­li­chen aus­ge­tauscht. Die Arbeit der IST-Ana­­­ly­­­se kann jetzt im Fol­gen­den für die wei­te­ren Arbeits­pa­ke­te im Pro­jekt genutzt wer­den. Die bestehen­de Daten­schutz­do­ku­men­ta­ti­on kann bei Bedarf aktua­li­siert wer­den und für die Arbeit in der Infor­ma­ti­ons­si­cher­heit ist eine aktu­el­le Doku­men­ta­ti­on der IT-Infra­­­stru­­k­­­tur eben­falls…

Read more

Google Streetview bekommt Konkurrenz von Apple Look Around – Datenschützer hat Bedenken

27. August 2020

Nach Goog­le möch­te jetzt auch Apple sei­nen Kar­ten­dienst mit Bil­dern von Stra­ßen­zü­gen opti­mie­ren. Eine Ver­öf­fent­li­chung der Bil­der wie bei Street­view ist aber der­zeit noch nicht geplant. Vor den Auf­nah­me­fahr­ten ist Apple am Anfang des Jah­res an das Bay­ri­sche Lan­des­amt für Daten­schutz­auf­sicht (BayL­DA) her­an­ge­tre­ten und hat sein Daten­schutz­kon­zept prü­fen las­sen. Das Ergeb­nis sowie wei­ter­füh­ren­de Infor­ma­tio­nen kön­nen beim BayL­DA auf der Web­sei­te abge­ru­fen wer­den. Zusam­men­ge­fasst konn­te das BayL­DA kei­ne daten­schutz­recht­li­chen Hin­der­nis­se fin­den und gab das Vor­ha­ben frei. Trans­pa­ren­te Vor­ge­hens­wei­se Geplant sind Fahr­ten durch ver­schie­dens­te Regi­on in Deutsch­land. Dabei wer­den die Auf­nah­men noch im Auto ver­schlüs­selt und auf einer Fest­plat­te gespei­chert. Anschlie­ßend wer­den die ver­schlüs­sel­ten Daten in die USA über­tra­gen und dort zur wei­te­ren Ver­wen­dung wie­der ent­schlüs­selt. Gesich­ter sowie Kenn­zei­chen wer­den für die wei­te­re Ver­ar­bei­tung unkennt­lich gemacht. Auch ohne eine Ver­öf­fent­li­chung der Auf­nah­men im Inter­net kön­nen Betrof­fe­ne der Ver­ar­bei­tung bereits jetzt wider­spre­chen. Auch dafür befin­den sich die Infor­ma­tio­nen auf der Web­sei­te des BayL­DA. Vor einer Ver­öf­fent­li­chung der Bil­der im Inter­net, müss­te Apple über die­se Art der Ver­wen­dung der Auf­nah­men infor­mie­ren. Trotz der trans­pa­ren­ten und vom BayL­DA geneh­mig­ten Vor­ge­hens­wei­se hat der Lan­des­da­ten­schutz­be­auf­trag­te des Lan­des Meck­­­len­­­burg-Vor­­­­­pom­­­mern, Heinz Mül­ler, Kri­tik geäu­ßert. Kri­tik aus Meck­­­len­­­burg-Vor­­­­­pom­­­mern Er sieht die, bis zu 36 Mona­te lan­ge, Spei­che­rung der Roh­da­ten auf Ser­vern in den USA kri­tisch, weil die Gesich­ter und Kenn­zei­chen in die­sen nicht ver­pi­xelt wer­den. Auch äußert er Kri­tik an der Opt-Out Metho­de zur Spei­che­rung der Daten. Nut­zer müs­sen aktiv der Spei­che­rung ihrer Häu­ser­fas­sa­de, ihres KFZ-Ken­n­­­zei­chens oder ihrer Per­son wider­spre­chen, um eine Unkennt­lich­ma­chung, auch in den Roh­da­ten, durch Apple zu…

Read more

MS Defender für MacOS

20. August 2020

Gute Nach­rich­ten für Fir­men, die sowohl Micro­soft Win­dows, als auch App­les MacOS in ihrem Fir­men­um­feld benut­zen, sei es im Rah­men von Home-Office, BYOD, oder bedingt durch ver­schie­de­ne Ein­satz­zwe­cke. Mit dem Micro­soft End­point Mana­ger kön­nen IT-Admi­­­nis­­­tra­­­to­­­ren von einer ein­zi­gen Platt­form aus Arbeits­da­ten auf allen End­ge­rä­ten bereit­stel­len, ver­wal­ten und sichern. Micro­soft hat sei­nen “Win­dows Defen­der” hier­für zu einem uni­ver­sell ein­setz­ba­ren Pro­dukt umge­baut, wel­ches jetzt auch unter dem Namen “Micro­soft Defen­der” bewor­ben wird. Die­se Lösung zur Advan­ced Thre­at Pro­tec­tion unter­stützt Unter­neh­men dabei moderns­te Bedro­hun­gen durch Cyber­at­ta­cken abzu­wen­den, die­se zu unter­su­chen und ent­spre­chend dar­auf zu reagie­ren. Das gilt nun auch für MacOS. Micro­soft Defen­der Advan­ced Thre­at Pro­tec­tion für MacOS ist jetzt als eigen­stän­di­ge Anwen­dung inner­halb des Micro­soft End­point Mana­gers ver­füg­bar, mit dem Admi­nis­tra­to­ren die wich­tigs­ten Ein­stel­lun­gen schnell und ein­fach vor­neh­men kön­nen. Ein­stel­lun­gen und Kon­fi­gu­ra­tio­nen sind jetzt direkt von der End­point Mana­­­ger-Kon­­­so­­­le aus sicht­bar. Frü­her muss­ten Admi­nis­tra­to­ren Schlüssel/Wertpaare manu­ell in einer Ein­stel­lungs­da­tei defi­nie­ren und hoch­la­den oder *.plist-Datei­en regel­mä­ßig anpas­sen. Durch den End­point Mana­ger wer­den die­se müßi­gen Schrit­te über­flüs­sig und durch die auto­ma­ti­sche Anpas­sung aller Signa­tu­ren siche­rer. Anläss­lich unse­res Pro­jekts bei der knoo­ing GmbH konn­te die­se Funk­tio­na­li­tät voll aus­ge­reizt wer­den, da hier als End­ge­rä­te sowohl Win­dows, als auch Apple (MacOS) im Ein­satz sind. Im Rah­men des Pro­jek­tes wur­de das kom­plet­te Unter­neh­men in ein “Vir­tu­al Office“ umge­zo­gen. Um Micro­soft Defen­der ATP hin­zu­zu­fü­gen, mel­den Sie sich beim Micro­soft End­point Mana­ger Admin Cen­ter an und wäh­len Sie den Anwen­dungs­typ als macOS unter dem Micro­soft Defen­der ATP-Feld aus. Für eine detail­lier­te Kon­fi­gu­ra­ti­on von Micro­soft Defen­der ATP für Mac in Micro­soft…

Read more

Die Akarion Compliance Cloud als Mittel der Wahl zur Unterstützung von Informationssicherheits- & Datenschutzmanagementsystemen

13. August 2020

Jeder der schon­mal den Doku­men­ta­ti­ons­wahn­sinn eines Manage­ment­sys­tem erlebt hat, ist froh ein Tool zu haben, wel­ches die Arbeit im Manage­ment­sys­tem unter­stützt. Nach vie­len Tests und vie­len Stun­den des Kli­ckens in den ver­schie­de­nen Tools, sind wir vor guten 18 Mona­ten auf die Com­pli­an­ce Cloud (damals noch Niõ­Ba­se) von Aka­ri­on gesto­ßen und sind bei ihr geblie­ben. Die Com­pli­an­ce Cloud bie­tet dem Nut­zer ver­schie­de­ne Modu­le für ver­schie­de­ne Anwen­dungs­zwe­cke. Da wären Modu­le für Daten­schutz, Infor­ma­ti­ons­si­cher­heit, Busi­ness Con­ti­nui­ty, Audits und e‑Learning. Der größ­te Vor­teil dabei ist, dass die Modu­le nicht für sich allein­ste­hen, son­dern unter­ein­an­der die Daten tei­len. So kön­nen die Ver­ant­wort­li­chen für die ein­zel­nen Bereich in ihrem Modul arbei­ten und wenn z.B. der Infor­ma­ti­ons­si­cher­heits­be­auf­trag­te (ISB) eine Maß­nah­me zur Absi­che­rung eines Ser­vers ein­trägt, kann der Daten­schutz­be­auf­trag­te (DSB) die­se Maß­nah­me direkt als Tech­­­ni­­­sche-Orga­­­ni­­­sa­­­to­­­ri­­­sche-Maß­­­nah­­­me nach Art 32 DSGVO für die Ver­ar­bei­tungs­tä­tig­kei­ten nut­zen. Die­se enge Ver­zah­nung der Modu­le ist eine gute Unter­stüt­zung für die von DSGVO und Infor­ma­ti­ons­si­cher­heits­frame­works (z.B. ISO 27001) gefor­der­te Zusam­men­ar­beit von Daten­schutz und Infor­ma­ti­ons­si­cher­heit. Eben die­se Unter­stüt­zung bei den viel­fäl­ti­gen Auf­ga­ben in der Infor­ma­ti­ons­si­cher­heit und im Daten­schutz ließ uns auch im aktu­el­len Pro­jekt bei der knoo­ing GmbH wie­der zu die­sem Tool grei­fen. Nicht zuletzt, weil die Com­pli­an­ce Cloud selbst Cloud-basiert ist und die Auf­ga­ben damit auch zukünf­tig orts­un­ab­hän­gig erle­digt wer­den kön­nen. Die Orts­un­ab­hän­gig­keit des Arbei­tens und die Spei­che­rung von Unter­neh­mens­da­ten in der Cloud stel­len beson­de­re Ansprü­che an die Infor­ma­ti­ons­si­cher­heit und den Daten­schutz. Die Com­pli­an­ce Cloud unter­stützt dabei den ISB und den DSB durch eine über­sicht­li­che Dar­stel­lung der Daten­flüs­se und Spei­cher­or­te. ISB und DSB kön­nen durch…

Read more

Abmahnungen gegen DSGVO-Verstöße? Neuer Gesetzesentwurf

28. Juli 2020

In der Pra­xis kommt es öfters dazu, dass man durch bestimm­te Tools Web­siten scannt, um erzielt nach Feh­lern zu suchen (am meis­ten in dem Daten­schutz­hin­weis oder in den All­ge­mei­nen Geschäfts­be­din­gun­gen). Infol­ge­des­sen nutzt man die­se Mög­lich­keit aus, um Abmah­nun­gen zu ver­schi­cken. Die­se geziel­te Suche nach abmahn­fä­hi­gen Feh­lern auf den Web­siten möch­te die Bun­des­re­gie­rung durch den Ent­wurf eines Geset­zes zur Stär­kung des fai­ren Wett­be­werbs unter­bre­chen. Man sieht meh­re­re Maß­nah­men zur Stär­kung des Wett­be­werbs vor, was im Gegen­zug zu Ände­run­gen des Geset­zes gegen den unlau­te­ren Wett­be­werb (UWG) führt. Wesent­li­cher Inhalt des Geset­zes­ent­wurfs Unter die­sem Punkt hat man unter ande­rem fol­gen­des erwähnt: ‘‘Der Gesetz­ent­wurf sieht zur Ein­däm­mung miss­bräuch­li­cher Abmah­nun­gen ins­be­son­de­re eine Redu­zie­rung der finan­zi­el­len Anrei­ze für Abmah­nun­gen vor. Abmah­nun­gen sol­len im Inter­es­se eines rechts­neu­tra­len Wett­be­werbs bezie­hungs­wei­se der Durch­set­zung von Ver­brau­cher­recht erfol­gen und nicht zur Gene­rie­rung von Auf­wen­dungs­er­satz und Ver­trags­stra­fen genutzt wer­den. Aus die­sem Grund ist Kern­vor­schlag des Gesetz­ent­wurfs der Aus­schluss des Auf­wen­dungs­er­sat­zes bei beson­ders abmahn­träch­ti­gen Ver­stö­ßen gegen Infor­­­ma­­­ti­ons- und Kenn­zeich­nungs­pflich­ten im Inter­net sowie bei Daten­schutz­ver­stö­ßen durch Kleinst­un­ter­neh­men, klei­ne Unter­neh­men und ver­gleich­ba­re Ver­ei­ne. Gleich­falls aus­ge­schlos­sen ist in die­sen Fäl­len bei einer erst­ma­li­gen Abmah­nung die Ver­ein­ba­rung einer Ver­trags­stra­fe.‘‘ Man könn­te gesetz­li­che Ken­n­­­zeich­­­nung- und Infor­ma­ti­ons­pflich­ten  noch abge­mah­nen. Die Mit­be­wer­ber hät­ten kei­nen Anspruch auf Erstat­tung der Kos­ten mehr. Wer darf künf­tig abmah­nen? Im Ent­wurf sieht man die Ein­füh­rung einer Lis­te von sog. qua­li­fi­zier­ten Wirt­schafts­ver­bän­den vor. Wirt­schafts­ver­bän­de soll­ten nur dann abmah­nen dür­fen, wenn sie vom Bun­des­amt für Jus­tiz über­prüft wur­den und auf der o.g. Lis­te ste­hen. Man möch­te den finan­zi­el­len Anreiz ver­rin­gern. So sieht man vor, dass die Ver­trags­stra­fen…

Read more

EuGH kippt das EU-US-Datenschutzabkommen „Privacy Shield“

20. Juli 2020

Was ist über­haupt der „Pri­va­cy Shield“? Der EU-US Pri­va­cy Shield („Daten­schutz­schild“) ist ein Abkom­men zwi­schen der euro­päi­schen Uni­on und den Ver­ei­nig­ten Staa­ten von Ame­ri­ka, wel­ches euro­päi­schen Unter­neh­men eine Rechts­grund­la­ge für die Über­mitt­lung von per­so­nen­be­zo­ge­nen Daten in die USA schaff­te. Denn gemäß der DSGVO dür­fen per­so­nen­be­zo­ge­ne Daten nur dann in ein Dritt­land über­mit­telt wer­den, wenn dort ein ange­mes­se­nes Schutz­ni­veau für per­so­nen­be­zo­ge­ne Daten exis­tiert (vgl. Art. 44 DSGVO). Durch den wenig regu­lier­ten Umgang mit per­so­nen­be­zo­ge­nen Daten in den USA muss­te somit eine Rechts­grund­la­ge geschaf­fen wer­den, damit euro­päi­sche Unter­neh­men per­so­nen­be­zo­ge­ne Daten in die USA über­tra­gen konn­ten. Ursprüng­lich wur­de das Safe-Har­­­bor-Abkom­­­men aus­ge­han­delt, wel­ches dann im Okto­ber 2015 vom EuGH für ungül­tig erklä­ren wor­den ist. Sodann stell­te der Pri­va­cy Shield eine Grund­la­ge für die Über­mit­te­lung der per­so­nen­be­zo­ge­nen Daten dar. Nun wur­de aller­dings auch der Pri­va­cy Shield gekippt – Ist es noch mög­lich, Daten in die USA zu über­mit­teln? Aus­lö­ser für den Rechts­streit war der Jurist Max Schrems. Laut Schrems kann die USA nicht fähig sein, Daten von EU-Bür­­­gern ange­mes­sen zu schüt­zen, weil die Geset­ze in den USA Geheim­diens­te und ande­re Behör­den (NSA und FBI) dazu ermäch­tigt, auf die Daten von EU-Bür­­­gern zuzu­grei­fen. Bei­spiels­wei­se ist Face­book in den USA dazu ver­pflich­tet, die Daten auch Behör­den wie dem FBI oder der NSA zugäng­lich zu machen, ohne dass sich der Betrof­fe­ne dage­gen weh­ren kann. Damit ver­stößt der Pri­va­cy Shield auch gegen Art. 47 der Euro­päi­schen Grun­­­d­­­rech­­­te-Char­­­ta, wonach jeder Per­son ein wirk­sa­mer Rechts­be­helf gegen Grund­rechts­ein­grif­fe zuste­hen muss. Stan­dard­ver­trags­klau­seln blei­ben wirk­sam Anders als der Pri­va­cy Shield sieht der EuGH die…

Read more

Der Gesetzgeber – die elektronische Patientenakte und der Datenschutz

14. Juli 2020

Ab dem 01.01.2021 kön­nen Pati­en­ten eine elek­tro­ni­sche Pati­en­ten­ak­te (ePA) von ihrer Kran­ken­kas­se erhal­ten. Dadurch besteht die Mög­lich­keit, ihre gesund­heits­be­zo­ge­nen Daten all den­je­ni­gen zur Ver­fü­gung zu stel­len, die an ihrer medi­zi­ni­schen Behand­lung betei­ligt sind – ob Ärz­te, Zahn­ärz­te, Psy­cho­the­ra­peu­ten oder Apo­the­ker. Die Vor­tei­le durch die ePA lie­gen auf der Hand. Zum einen soll eine pati­en­ten­zen­trier­te Ver­sor­gung ermög­licht und zum ande­ren die Sou­ve­rä­ni­tät der Bür­ger gestärkt wer­den.   Wel­che Daten kön­nen in der ePA gespei­chert wer­den? Bei Gesund­heits­da­ten han­delt es sich um sehr sen­si­ble Daten i.S.d Arti­kel 9 DSGVO. Daher muss im Umgang mit ihnen eine hohe Sorg­falt gel­ten. Fol­gen­de Infor­ma­tio­nen kön­nen in Zukunft – sofern der Pati­ent dies wünscht – in der elek­tro­ni­schen Pati­en­ten­ak­te gespei­chert wer­den: Befun­de Dia­gno­sen The­ra­pie­maß­nah­men Behand­lungs­be­rich­te Imp­fun­gen elek­tro­ni­sche Medi­ka­ti­ons­plä­ne elek­tro­ni­sche Arzt­brie­fe Not­fall­da­ten­sät­ze Neben die­sen Daten der Ärz­te kön­nen auch eige­ne Daten, wie z. B. ein Tage­buch über Blut­zu­cker­mes­sun­gen, abge­legt wer­den. Möch­te der Pati­ent nicht, dass sei­ne Daten in der elek­tro­ni­schen Pati­en­ten­ak­te hin­ter­legt wer­den, so wird über­haupt kei­ne Akte ange­legt. Grund­vor­aus­set­zung für die Füh­rung einer ePA ist näm­lich, dass sie frei­wil­lig erfolgt. Des Wei­te­ren kann der Pati­ent in der App selbst sehen, wel­che Daten über ihn gespei­chert wor­den sind, d.h. er kann ent­schei­den, wel­che Daten er in der Akte haben möch­te und wer dar­auf Zugriff hat. Auch Ärz­te kön­nen ohne Zustim­mung des Pati­en­ten kei­ne Ein­sicht in die Akte neh­men. Liegt sodann eine Ein­wil­li­gung des Pati­en­ten vor, lädt der zustän­di­ge Arzt bestimm­te Daten aus sei­nem Pra­xis­ver­al­tungs­sys­tem (PVS) in die ePA hoch. Bei den Daten in der ePA han­delt es…

Read more

Welche Daten darf ein Betriebsrat verarbeiten?

6. Juli 2020

Betriebs­rä­te gibt es seit 100 Jah­ren. Der Schutz der Mit­ar­bei­ter war und ist immer noch einer der wich­tigs­ten Auf­ga­ben der Betriebs­rä­te. Nichts­des­to­trotz müs­sen sich Betriebs­rä­te an die aktu­el­len recht­li­chen Anfor­de­run­gen anpas­sen. Im täg­li­chen Geschäft arbei­tet man öfters mit per­so­nen­be­zo­ge­nen Daten. Wel­ches Ver­hält­nis besteht zwi­schen dem Betriebs­rat und der Per­so­nal­ab­tei­lung eines Unter­neh­mens? Darf der Betriebs­rat jeder­zeit, wann er will per­so­nen­be­zo­ge­ne Daten von Mit­ar­bei­tern ein­se­hen? Der Betriebs­rat darf zwar per­so­nen­be­zo­ge­ne Daten der Mit­ar­bei­ter ver­ar­bei­ten, aller­dings unter wel­chen Bedin­gun­gen? Betriebs­rä­te sind unter ande­rem grund­le­gend an das Betriebs­ver­fas­sungs­ge­setz gebun­den. Die Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten ist zuläs­sig, soweit dies zur Wahr­neh­mung der Auf­ga­ben des Betriebs­rats nach dem BetrVG erfor­der­lich ist, z. B. von Mit­be­stim­mungs­rech­ten (§§ 87, 91, 94 Abs. 1, 95, 98, 99 Abs. 4, 102 Abs. 3, 104, 112 BetrVG), von Mit­­­­­wir­­­kungs- und Bera­tungs­rech­ten (§§ 80 Abs. 2, 89 Abs. 2, 90, 92, 96, 97, 99 Abs. 1, 111 BetrVG) und sei­ner Kon­­­troll- und Über­wa­chungs­auf­ga­ben gem. § 80 Abs. 1 Nr. 1 BetrVG. Zur Wahr­neh­mung der Arbeit­neh­mer­inter­es­sen ver­ar­bei­tet der Betriebs­rat  per­so­nen­be­zo­ge­ne Daten und fällt somit unter den Anfor­de­run­gen der DSGVO und des BDSG (Bun­des­da­ten­schutz­ge­setz). Inner­halb des Betriebs­rats darf jedes Mit­glied die Daten erhal­ten, die er für die Erfül­lung sei­ner Auf­ga­ben benö­tigt. Der Betriebs­rat soll die Daten nur für den vom Betriebs­rat vor­ge­se­he­nen Zweck ver­wen­den, ein pau­scha­ler Zugang auf alle Mit­ar­bei­ter­da­ten soll nicht mög­lich sein. Zu den übli­chen Daten­ver­ar­bei­tun­gen vom Betriebs­rat gehö­ren: Siche­rung und För­de­rung der Beschäf­ti­gung (§92a BetrVG), Ver­mei­dung von Qua­­­li­­­fi­­­zie­­­rungs-Defi­­­zi­­­ten (§§ 81 Abs. 4, § 97 Abs. 2 BetrVG), Rege­lun­gen für und Pla­nung…

Read more

4me als mögliches ITSM Tool für den Bereich Datenschutz

23. Juni 2020

Was ist 4me? 4me ist eine „Soft­ware as a Ser­vice“ IT Ser­vice Manage­ment Lösung, wel­ches den Unter­neh­men die Zusam­men­ar­beit mit inter­nen und exter­nen Dienst­leis­tern ermög­licht. Der gro­ße Vor­teil ist, dass sowohl IT Ser­vices als auch Non IT Ser­vices schnell und kos­ten­güns­tig bereit­ge­stellt wer­den kön­nen. Zudem bie­tet die Self-Ser­­­vice Funk­tio­na­li­tät von 4me dem Mit­ar­bei­ter der Orga­ni­sa­ti­on die bereit­ge­stell­ten Ser­vices und Online Sup­port für jeg­li­che Anfra­gen über Stö­run­gen, Pro­ble­men oder Ver­än­de­run­gen an. Daten­pan­ne nach der DSGVO mit 4me Eine der nun häu­figs­ten Fra­gen nach der Ein­füh­rung der DSGVO ist wohl, wann ist eine Daten­schutz­ver­let­zung gege­ben? Eine Ver­let­zung per­so­nen­be­zo­ge­ner Daten liegt nach Art. 4 Nr. 12 DSGVO vor, wenn per­so­nen­be­zo­ge­ne Daten ver­lo­ren­ge­gan­gen sind bzw. ver­än­dert oder unbe­fugt offen­ge­legt wur­den. Kurz beschrie­ben, Sie fah­ren mit der Bahn und ver­lie­ren Ihren Lap­top oder Ihr Mobil­te­le­fon mit per­so­nen­be­zo­ge­nen Daten oder Hacker bzw. unbe­kann­te Per­so­nen grei­fen auf Ihre per­so­nen­be­zo­ge­nen Daten zu und steh­len die­se. Nach der neu­en Rege­lung muss bei einer Daten­pan­ne, die­se unver­züg­lich an die zustän­di­ge Daten­schutz­be­hör­de inner­halb von 72 Stun­den ange­zeigt wer­den. Dabei ist es wich­tig ver­schie­de­ne Infor­ma­tio­nen an die Auf­sichts­be­hör­de zu mel­den wie bei­spiels­wei­se: Wel­che Art von Ver­let­zung liegt vor? In wel­che Kate­go­rie fal­len die Betrof­fe­nen? Wel­che Art von Ver­let­zung liegt vor? In wel­che Kate­go­rie fal­len die Betrof­fe­nen? Wie vie­le Betrof­fe­ne gibt es? Wel­che Kate­go­rien von Daten­sät­zen sind betrof­fen? Name und Anschrift des Daten­schutz­be­auf­trag­ten. Wel­che Fol­gen zieht die Schutz­ver­let­zung nach sich? (z.B. finan­zi­el­le Nach­tei­le) Wel­che Schutz­maß­nah­men haben Sie ergrif­fen oder möch­ten Sie ergrei­fen? Wel­che Gegen­maß­nah­men sind noch denk­bar? Damit die­ses For­mu­lar im digi­ta­len Zeit­al­ter…

Read more

National Security Letters

4. Juni 2020

Zahl­rei­che deut­sche und euro­päi­sche Unter­neh­men nut­zen die Cloud-Diens­­­te eines ame­ri­ka­ni­schen Cloud-Anbie­­­ters (sei es Micro­soft, Goog­le, Apple, Ama­zon und etc.). Für den Daten­schutz auf euro­päi­scher Ebe­ne nimmt sowohl das The­ma ‘‘Cloud Act‘‘, als auch das The­ma ‘‘Patri­ot Act‘‘ immer mehr an Bedeu­tung. In unse­rem letz­ten Blog­bei­trag haben wir bereits das The­ma “Cloud Act“ aus­führ­lich dar­ge­stellt und möch­ten Sie in die­sem auf den Patri­ot Act auf­merk­sam machen und wie genau er in Ver­bin­dung mit der Daten­ver­ar­bei­tung steht. Was ist der Patri­ot Act und was erlaubt er? Durch den Patri­ot Act (2001) haben die Ver­ei­nig­ten Staa­ten die Befug­nis­se ihrer Geheim­diens­te und Ermitt­lungs­be­hör­de erwei­tert. Hin­ter­grund für die Erwei­te­rung der Befug­nis­se war die Ter­ror­be­kämp­fung und die Spio­na­ge­ab­wehr. Der For­eign Intel­li­gence Sur­veil­lan­ce Court kann einen Beschluss gegen z.B. eine Orga­ni­sa­ti­on erlas­sen. Somit ist das Unternehe­men ver­pflich­tet, die bei ihm gespei­cher­ten Daten her­aus­zu­ge­ben. Wenn aber kein Beschluss des Gerichts vor­liegt hat das FBI eine ande­re Mög­lich­keit – die sog. Natio­nal Secu­ri­ty Let­ters (NSL). Die Natio­nal Secu­ri­ty Let­ters unter­lie­gen kei­nen Gerichts­be­schluss. Das FBI kann die­se selbst erlas­sen und somit das Unter­neh­men ver­pflich­ten die ange­frag­ten Daten zu über­mit­teln. An der Stel­le ist wich­tig zu erwäh­nen, dass es sich um Orga­ni­sa­tio­nen han­delt deren Fir­men­sitz in den USA ist. Was beinhal­tet ein Natio­nal Secu­ri­ty Let­ter? Unter ande­rem kön­nen fol­gen­de Infor­ma­tio­nen ange­fragt wer­den: DSL-Account Infor­ma­tio­nen Datum, an dem das Kon­to eröff­net oder geschlos­sen wur­de Adres­sen, die im Zusam­men­hang mit dem Kon­to ste­hen Alle sons­ti­gen Infor­ma­tio­nen, von denen der Pro­vi­der glaub­te, dass es sich um eine elek­tro­ni­sche Kom­mu­ni­ka­ti­on han­delt (‘‘Any other infor­ma­ti­on which…

Read more

Vertrauen schaffen trotz Cloud Act

26. Mai 2020

Immer wie­der hört oder liest man diver­se Aus­sa­gen zum Cloud Act (Clari­fy­ing Law­ful Over­seas Use of Data Act), so z.B., dass der Cloud Act von den Straf­ver­fol­gungs­be­hör­den der Ver­ei­nig­ten Staa­ten von Ame­ri­ka aus­ge­nutzt wird und dass Sie auf alle (per­so­nen­be­zo­ge­ne) Daten zugrei­fen kön­nen. In der Theo­rie ist es zwar mög­lich, aber in der Pra­xis schaut es ein wenig anders aus! Grund­sätz­lich lässt sich eines sagen, „Ein Umzug in die Cloud setzt Ver­trau­en vor­aus“. Ohne Ver­trau­en in neue Tech­ni­ken und auch in den Dienst­leis­ter (Auf­trags­ver­ar­bei­ter), soll­te ein Umzug in die Cloud nicht durch­ge­führt wer­den. Um es ein wenig här­ter aus­zu­drü­cken, „wer nur schwarz­malt, soll­te bes­ser daheim­blei­ben!“ Was erlaubt der Cloud Act? Der Cloud Act ermög­licht ame­ri­ka­ni­schen Straf­ver­fol­gungs­be­hör­den auf Basis einer Ermitt­lungs­an­ord­nung, Infor­ma­tio­nen durch ame­ri­ka­ni­sche IT-Dienst­­­leis­­­ter (u.a. Ama­zon, Goog­le, Apple, etc.) über Betrof­fe­ne zu erhal­ten – auch wenn die­se Daten außer­halb der USA gespei­chert wer­den. Durch den Cloud Act wird die Reich­wei­te kla­rer for­mu­liert. Hier­von betrof­fen sind alle Kom­mu­ni­ka­ti­ons­an­bie­ter mit Sitz in den USA – unter ande­rem auch Micro­soft. Gibt es nur den Cloud Act? Da die meis­ten namen­haf­ten Kom­­­mu­­­ni­­­ka­­­ti­ons- und IT-Dienst­­­leis­­­tungs­­­un­­­­­ter­­­neh­­­men aus den USA stam­men, ist auch klar, dass der Cloud Act im Mit­tel­punkt steht. Jedoch soll­te man nicht ver­ges­sen, dass es in der EU eine ähn­li­che Ver­ord­nung bzw. Initia­ti­ve gibt – die elec­­­tro­­­nic-evi­­­de­­­ne. Somit ist es gleich­gül­tig, ob der Dienst­leis­ter in der EU oder in den USA sei­nen Sitz hat. Was wird durch den Cloud Act erreicht? Der Cloud Act schafft eine Ermäch­ti­gungs­grund­la­ge und den Rah­men zum Abschluss eines inter­na­tio­na­len…

Read more

Anwesenheitslisten beim Friseurbesuch

15. Mai 2020

Seit dem 11.05.2020 sind die stren­gen Maß­nah­men gegen COVID-19 locker gewor­den. So kann man zum nor­ma­len Leben zurück­keh­ren, oder min­des­tens so sieht es aus. Am Mon­tag die­ser Woche sind die Ände­run­gen der Nie­der­säch­si­schen Ver­ord­nung zum Schutz vor Neu­in­fek­tio­nen mit Coro­­­na-Virus in Kraft getre­ten, mit Aus­nah­me vom Art. 2 der Ver­ord­nung (Restau­ra­ti­ons­be­trie­be), der am 18.05. in Kraft tritt. Gemäß der Ver­ord­nung besteht für zahl­rei­che Gewer­be­be­trie­be und Bil­dungs­ein­rich­tun­gen die Pflicht die Kon­takt­da­ten der Kundendaten/Teilnehmenden zu erfas­sen, dar­un­ter auch der Zeit­punkt des Betre­tens und Ver­las­sens des Betriebs. Die Auf­be­wah­rungs­pflicht für die­se Daten beträgt 3 Wochen, bzw. 1 Monat. Des­we­gen über­ra­schen Sie sich bit­te nicht, wenn Sie zum Fri­seur gehen und eini­ge Daten mit­tei­len sol­len. Wenn Sie damit aber nicht ein­ver­stan­den sind, dür­fen Sie nicht bedient wer­den. Wich­tig ist, dass ande­re Per­so­nen, außer dem Betrof­fe­nen, die in den Lis­ten erfass­ten Daten, nicht zur Kennt­nis neh­men kön­nen. Des Wei­te­ren soll der Ver­ant­wort­li­che sei­ner Pflicht nach Art. 13 DSGVO nach­kom­men und die Betrof­fe­nen über die Daten­er­he­bung infor­mie­ren. Die erho­be­nen  Daten dür­fen zu kei­nem ande­ren Zweck ver­wen­det wer­den.  Das Gesund­heits­amt oder ande­re öffent­li­che Stel­len kön­nen die Lis­ten oder Aus­zü­ge aus den Lis­ten schrift­lich anfor­dern und die ent­spre­chen­den Infor­ma­tio­nen müs­sen an die ver­ant­wort­li­chen Stel­len über­mit­telt wer­den. Auf­grund der Rechen­schafts­pflicht gem. Art. 5 Abs. 2 DSGVO (sog. Nach­weis­pflicht) sol­len die Auf­for­de­run­gen zur Über­mitt­lung und selbst die Daten­über­mitt­lung doku­men­tiert wer­den. Die beim Fri­seur erfass­ten Lis­ten, sind nach drei Wochen nach dem letz­ten Kon­takt mit dem Betrof­fe­nen daten­schutz­kon­form zu ver­nich­ten – ent­we­der mit einem Akten­ver­nich­ter bei Papier­un­ter­la­gen oder mit ent­spre­chen­den Lösch­tools,…

Read more

Cloud Computing – ist das die Zukunft?

6. Mai 2020

Die tech­ni­sche Inno­va­ti­on unse­rer Zeit ändert die Gren­zen der Unmög­lich­keit. Was vor eini­gen Jah­ren undenk­bar war, ist schon Rea­li­tät. Fest­plat­ten­spei­che­rung oder über­haupt Daten­ver­ar­bei­tung auf einer Fest­plat­te kann in der Ver­gan­gen­heit blei­ben. Die sog. ‘‘Cloud‘‘ bie­tet nicht nur eine Viel­zahl an diver­sen Mög­lich­kei­ten an, um Daten zu ver­ar­bei­ten, son­dern auch Fle­xi­bi­li­tät, Reduk­ti­on der bis­her eher kom­ple­xen Ver­ar­bei­tungs­vor­gän­ge und eine Bezah­lung, die vom Ver­brauch abhän­gig ist. Die Zahl der Cloud-Pro­­­­­vi­­­der auf natio­na­ler und inter­na­tio­na­ler Ebe­ne nimmt an, denn vie­le Unter­neh­men haben den Bedarf ihre Daten in die Cloud umzu­zie­hen. Die häu­figs­ten Cloud-Dienst­­­leis­­­tun­­­­­gen, die auf dem Markt gefun­den wer­den kön­nen, sind: Soft­ware as a Ser­vice (Saas), Infra­st­ruc­tu­re as a Ser­vice (Iaas) und Platt­form as a Ser­vice (PaaS), je nach Bedarf des Unter­neh­mens. Es bleibt die Fra­ge, wie man ein­zel­ne Cloud-Dienst­­­leis­­­tun­­­­­gen mit­ein­an­der inte­grie­ren kann und ob eine Stan­dar­di­sie­rung der unter­schied­li­chen Ser­vices erfor­der­lich ist und wenn ja, ob die­ses mög­lich ist. Wie sieht die Fra­ge aus daten­schutz­recht­li­cher Sicht für das Unter­neh­men aus? Im Rah­men des Cloud-Com­­­pu­­­ting ver­ar­bei­tet der Cloud-Pro­­­­­vi­­­der per­so­nen­be­zo­ge­ne Daten (z.B. Mitarbeiter‑, Kunden‑, Lie­fe­ran­ten­da­ten usw.). Wir ver­ste­hen, dass es nicht ein­fach ist, die Kon­trol­le kom­plett dem Cloud-Pro­­­­­vi­­­der zu über­ge­ben (ist auch nicht nötig). Vor allem muss man an ers­ter Stel­le die siche­re tech­ni­sche und orga­ni­sa­to­ri­sche Daten­ver­ar­bei­tung gewähr­leis­ten kön­nen. Im Regel­fall ver­ar­bei­tet der Cloud-Pro­­­­­vi­­­der die Daten im Auf­trag des Ver­ant­wort­li­chen. Das setzt den Abschluss einen Auf­trags­ver­ar­bei­tungs­ver­trags zwi­schen dem Ver­ant­wort­li­chen (Unter­neh­men) und dem Cloud-Anbie­­­ter (Auf­trag­neh­mer) vor. So bleibt das Unter­neh­men der ‘‘Herr der Daten‘‘ und der Cloud-Pro­­­­­vi­­­der bear­bei­tet die Daten nach den Wei­sun­gen des Ver­ant­wort­li­chen. Klingt…

Read more

Lücke in Apple’s Mail-App bedroht den Datenschutz

27. April 2020

Seit letz­ter Woche ist eine Lücke in Apple’s Mail App öffent­lich bekannt. Die­se Lücke wird durch das Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik (BSI) fol­gen­der­ma­ßen zusam­men­ge­fasst: Aus­sa­ge des BSI „Die inte­grier­te iOS-App „Mail“ ist auf allen iOS-Ver­­­­­si­o­­­nen, rück­wir­kend bis iOS 6, von zwei schwer­wie­gen­den Sicher­heits­lü­cken betrof­fen. Angrei­fern ist es dadurch mög­lich, durch das Sen­den einer E‑Mail das betref­fen­de iPho­ne oder iPad zu kom­pro­mit­tie­ren. Damit ist poten­zi­ell das Lesen, Ver­än­dern und Löschen von E‑Mails mög­lich.“ (Quel­le: BSI) Apple bestrei­tet Kri­ti­ka­li­tät Apple bestrei­tet zwar der­zeit die Kri­ti­ka­li­tät der Lücken, jedoch ist Vor­sor­ge bes­ser als Nach­sor­ge. Ins­be­son­de­re dann, wenn es sich um Sicher­heits­lü­cken in Soft­ware­pro­duk­ten han­delt. Da es zum aktu­el­len Zeit­punkt noch kei­nen Patch für die Lücke in Apple’s Mail-App gibt, hat man zwei Optio­nen um eine Aus­nut­zung der Lücke zu ver­hin­dern: Löschen der Mail-App vom iPho­ne oder iPad. Lan­ge auf das App Icon tip­pen und „App löschen“ aus­wäh­len. Die App kann über den App Store erneut instal­liert wer­den, sobald Apple die Lücke geschlos­sen hat. Deak­ti­vie­rung der Syn­chro­ni­sa­ti­on für alle ver­knüpf­ten E‑Mail-Accounts Öff­nen der „Ein­stel­lun­gen“ auf dem iPho­ne oder iPad. Aus­wahl des Menüs „Pass­wör­ter & Accounts“. Fol­gen­de Schrit­te für jeden ein­ge­bun­den E‑Mail-Account durch­füh­ren: Umstel­len des blau­en Schal­ters neben „Mail“. Sobald man jetzt ins Menü zurück­kehrt, steht unter dem Account „Inak­tiv“ in der Lis­te. Außer­dem soll­te der „Daten­ab­gleich“ am Ende des Menüs vor­erst pau­siert wer­den. Als Alter­na­ti­ven kön­nen ande­re Apps von ande­ren Her­stel­lern genutzt wer­den. Ein kur­zer Test von Mac­welt zu alter­na­ti­ven Apps gibt es hier. Häu­fig stel­len Mail-Pro­­­­­vi­­­der auch Web­ober­flä­chen für den Zugriff…

Read more

Pflichten des Arbeitgebers in Zeiten von Corona

20. April 2020

Das Coro­na­vi­rus brei­tet sich von Tag zu Tag immer wei­ter aus. Vie­le Betrie­be fürch­ten wirt­schaft­li­che Kon­se­quen­zen. Wie beein­flusst das Virus deut­sche Arbeits­ver­hält­nis­se? Wel­che Pflich­ten müs­sen die Arbeit­ge­ber tref­fen? Die­se und vie­le wei­te­re Fra­gen stel­len sich der­zeit den Arbeit­ge­bern und Arbeit­neh­mern in Deutsch­land. 1. Für­sor­ge­pflicht des Arbeit­ge­bers Arbeit­ge­ber sind gegen­über Ihren Mit­ar­bei­tern ver­pflich­tet die Für­sor­ge­pflicht i.S.d. § 618 BGB, ein­zu­hal­ten. Das bedeu­tet, dass der Arbeit­ge­ber für die Unver­sehrt­heit von Leben und Gesund­heit der Arbeit­neh­mer Sor­ge zu tra­gen hat. Er hat die Ver­pflich­tung die Gefah­ren für die Sicher­heit und Gesund­heit für sei­ne Beschäf­tig­ten zu beur­tei­len sog. Gefähr­dungs­be­ur­tei­lung und ent­spre­chen­de Maß­nah­men hier­aus abzu­lei­ten. Hier­zu gehö­ren Auf­klä­rungs­maß­nah­men, sowie die Zur­ver­fü­gung­stel­lung des erfor­der­li­chen Hygie­neschut­zes, wie etwa Des­in­fek­ti­ons­mit­tel. Des Wei­te­ren kön­nen die Maß­nah­men auch tech­nisch und orga­ni­sa­to­risch sein, wie z.B.  die Beschrän­kung der Mit­ar­bei­ter­zahl im Büro oder die Abtren­nung der Arbeits­be­rei­che unter Ein­hal­tung des erfor­der­li­chen Abstands (2 Meter). Gege­be­nen­falls kann auch Home Office ange­ord­net wer­den. Grund­sätz­lich besteht ein gesetz­li­cher Anspruch, von zu Hau­se aus zu arbei­ten nicht. Ob Home­of­fice vom Arbeit­neh­mer gefor­dert, bzw. vom Arbeit­ge­ber ange­ord­net wer­den kann, ergibt sich aus der zwi­schen den Par­tei­en geschlos­se­nen ver­trag­li­chen Ver­ein­ba­rung. Eine sol­che Abre­de kann auch nach­träg­lich ver­ein­bart wer­den. Dabei hat der Arbeit­ge­ber alle nöti­gen Betriebs­mit­tel zur Ver­fü­gung zu stel­len. Gibt es im Betrieb einen Betriebs­rat, ist die­ser bei der Umset­zung der Maß­nah­men, die Fra­gen der Ord­nung des Betriebs und des Ver­hal­tens der Beschäf­tig­ten im Betrieb berüh­ren, nach § 87 Nr.1 und Nr. 7 BetrVG und § 75 Abs. 3 Nr. 11 und 15 BPersVG mit­be­stim­mungs­pflich­tig. Letzt­lich ist das…

Read more

Handyortung im Kampf gegen Corona

14. April 2020

  Län­der wie Isra­el, Chi­na und Süd­ko­rea set­zen im Kampf gegen die Aus­brei­tung des Coro­na­vi­rus (Covid-19)  auf die Über­wa­chung von Smart­pho­nes. Eine App auf dem Han­dy ortet und über­wacht den Nut­zer und soll Ihre Nut­zer anonym bei Kon­takt mit Infi­zier­ten war­nen. Damit wur­den bereits posi­ti­ve Ergeb­nis­se erzielt. Die­se Maß­nah­men sind auch mitt­ler­wei­le in Deutsch­land ange­kom­men. Es wird stark dis­ku­tiert, ob die Aus­brei­tung des Coro­na­vi­rus in Deutsch­land anhand der Han­dy­or­tung ver­lang­samt wer­den kann. Dazu hat der Gesund­heits­mi­nis­ter Jens Spahn bereits ein Gesetz ins Kabi­nett ein­ge­bracht, um die COVID-19 Kri­se in Deutsch­land bekämp­fen zu kön­nen. In dem Geset­zes­ent­wurf hieß es, dass Spahn tech­ni­sche Mit­tel ein­set­zen möch­te, die Gesund­heits­be­hör­den dazu legi­ti­mie­ren, Kon­takt­per­so­nen von Infi­zier­ten anhand von Han­­­dy-Stan­­d­or­­t­­­da­­­ten zu ermit­teln. Dadurch sol­len Behör­den die Bewe­gun­gen von Kon­takt­per­so­nen ver­fol­gen, um sie im Ver­dachts­fall kon­tak­tie­ren zu kön­nen. Betei­ligt an die­sen Pla­nun­gen ist auch das Robert-Koch-Insti­­­tut, wel­che zur Erfor­schung der Aus­brei­tung des Coro­na­vi­rus Bewe­gungs­da­ten von Han­dy­nut­zern im Netz der Deut­schen Tele­kom erhal­ten hat. Mit die­sen Daten lässt sich nach­voll­zie­hen, wann, wo und wie lan­ge die Men­schen Ihre Han­dys benut­zen. Nur was ist dabei aus daten­schutz­recht­li­cher Sicht zu beach­ten? Der Bun­des­da­ten­schutz­be­auf­trag­te Ulrich Kel­ber wies dar­auf hin, dass alle Maß­nah­men der Daten­ver­ar­bei­tung ‘‘erfor­der­lich, geeig­net und ver­hält­nis­mä­ßig‘‘ sein müs­sen. Es müss­te genau­er kon­kre­ti­siert wer­den wie lan­ge die Daten gespei­chert wer­den, was der Zweck der Daten­ver­ar­bei­tung ist und wer Zugriff auf wel­che Daten hat Bis­lang blei­ben die­se Fra­gen noch offen. Zudem müss­te die App frei­wil­lig und unter Kon­trol­le der Nut­zer auf dem Han­dy instal­liert wer­den kön­nen. Die Apps müs­sen so gestal­tet…

Read more

Notfallmanagement als Teil von technische-organisatorische-Maßnahmen in unruhigen Zeiten

6. April 2020

Die letz­ten Jah­re waren geprägt von gro­ßen Her­aus­for­de­run­gen für Unter­neh­men.  Neh­men wir die lan­ge und star­ke Hit­ze im Som­mer 2018. Die­se führ­te zu star­ken Belas­tun­gen bei den Mit­ar­bei­tern und bei der IT. Wäh­rend die Kli­ma­ge­rä­te der Ser­ver­räu­me wah­re Höchst­leis­tun­gen voll­brach­ten, waren krea­ti­ve Ideen für die Büros der Mit­ar­bei­ter gefragt. Eins haben Mit­ar­bei­ter und IT-Gerä­­­te näm­lich gemein­sam. Bei zu gro­ßer Hit­ze kön­nen sie nicht mehr ordent­lich arbei­ten. Hier kam es immer wie­der zu Aus­fäl­len, sowohl bei über­las­te­ten Kli­ma­an­la­gen als auch bei Mit­ar­bei­tern auf­grund von zu stark erhitz­ten Büros.   Dann der Win­ter 2018/19, wel­cher ganz Süd­deutsch­land mit extre­men Schnee­ver­hält­nis­sen über Wochen hin­weg belas­te­te. Hier konn­ten, auf­grund der Stra­ßen­ver­hält­nis­se und der immer neu­en Lawi­nen­ab­gän­ge, Mit­ar­bei­ter und Logis­tik nicht immer zeit­ge­recht das Unter­neh­men errei­chen. Hier­durch ent­stan­den oft Ver­zö­ge­run­gen in ver­schie­de­nen Unter­neh­mens­pro­zes­sen.  Und dann die Coro­­­na-Pan­­­de­­­mie 2020. Aktu­ell gibt es noch kei­ne gesi­cher­ten Erkennt­nis­se, wie lan­ge die Ein­schrän­kun­gen in den sozia­len Kon­tak­ten und die emp­foh­le­nen Ver­hal­tens­wei­sen bei zwi­schen­mensch­li­chen Kon­tak­ten noch auf­recht­erhal­ten wer­den sol­len. Die dras­tisch erhöh­te Anzahl an Home­of­­­fice-Arbeits­­­plä­­t­­­zen stellt für vie­le Unter­neh­men voll­kom­men neue Her­aus­for­de­run­gen bezüg­lich der Aus­ge­stal­tung der Arbeits­plät­ze und der Anbin­dung an das Unter­neh­mens­netz­werk dar. Häu­fig sind zu wenig Lap­tops im Unter­neh­men vor­han­den und die Anbin­dung des Unter­neh­mens an das Inter­net mit den vie­len Ver­bin­dun­gen von außen aus den Home­of­­­fice-Arbeits­­­plä­­t­­­zen über­las­tet.  Eins haben alle Fall­bei­spie­le gemein­sam. Sie stel­len die Unter­neh­men in sehr kur­zer Zeit vor gro­ße, z.T. schwer bewäl­tig­ba­re Her­aus­for­de­run­gen. Die Res­sour­cen des Unter­neh­mens wer­den knapp und die Geschäfts­pro­zes­se kom­men ins Sto­cken oder im schlimms­ten Fall zum Erlie­gen.  Nun ist nicht jeder Geschäfts­pro­zess eines Unter­neh­mens gleich wich­tig. Es gibt sol­che, die…

Read more

Datenschutz in Zeiten von Corona

30. März 2020

Die Welt steht vor einer der größ­ten Her­aus­for­de­run­gen unse­rer Zeit. Sowohl die Daten­schutz­be­hör­den in Deutsch­land, als auch der Euro­päi­sche Daten­schutz­aus­schuss (EDSA) haben sich zum The­ma Daten­ver­ar­bei­tung in Zei­ten von Coro­na geäu­ßert. Die Grun­dät­ze der Daten­ver­ar­bei­tung in der Daten­schutz­grund­ver­ord­nung (DSGVO) blei­ben unbe­rührt, jedoch müs­sen auch ande­re natio­na­le Rechts­vor­schrif­ten mit in die Betrach­tung ein­flie­ßen. Zu der Recht­mä­ßig­keit der Daten­ver­ar­bei­tung deu­tet der EDSA an, dass die DSGVO Regeln vor­sieht, die auch für die Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten im Rah­men von COVID-19 gel­ten. Die DSGVO ermög­licht Gesund­heits­be­hör­den und Arbeit­ge­bern, im Ein­klang des jewei­li­gen natio­na­len Rech­tes, per­so­nen­be­zo­ge­ne Daten zu ver­ar­bei­ten, . Somit besteht unter Umstän­den kei­ne Not­wen­dig­keit, sich auf die Ein­wil­li­gung (Art. 6 Abs. 1 lit. a) DSGVO) von Ein­zel­per­so­nen zu ver­las­sen. In sei­ner Stel­lung­nah­me führt der EDSA auf, dass in Bezug auf die Ver­ar­bei­tung von Tele­kom­mu­ni­ka­ti­ons­da­ten (z.B. Stand­ort­da­ten) gel­ten­de natio­na­le Bestim­mun­gen zur Umset­zung der (Daten­schutz­richt­li­nie für elek­tro­ni­sche Kom­mu­ni­ka­ti­on 2002/58E/G, spä­ter 2009/136/EC) ein­ge­hal­ten wer­den müs­sen. Die Richt­li­nie ermög­licht es den Mit­glied­staa­ten, gesetz­ge­be­ri­sche Maß­nah­men zur Wah­rung der öffent­li­chen Sicher­heit ein­zu­füh­ren. Eine sol­che außer­ge­wöhn­li­che Gesetz­ge­bung ist nur mög­lich, wenn sie eine not­wen­di­ge, ange­mes­se­ne und ver­hält­nis­mä­ßi­ge Maß­nah­me inner­halb einer demo­kra­ti­schen Gesell­schaft dar­stellt. Die­se Maß­nah­men müs­sen im Ein­klang mit der Char­ta der Grund­rech­te und der Euro­päi­schen Kon­ven­ti­on zum Schutz der Men­schen­rech­te und der grund­le­gen­den Frei­heit sein. Dar­über hin­aus unter­liegt die­ses der gericht­li­chen Kon­trol­le des Euro­päi­schen Gerichts­hofs und dem Euro­päi­schen Gerichts­hof für Men­schen­rech­te. Die­se Stel­lung ist wich­tig im Zusam­men­hang mit der Fra­ge, ob Regie­run­gen per­so­nen­be­zo­ge­ne Daten ver­ar­bei­ten dür­fen, die sich auf den Han­dy­stand­ort (Tracking) von Ein­zel­per­so­nen bezie­hen, damit die Ver­brei­tung…

Read more

Datenschutz im Home-Office

23. März 2020

In unse­rer heu­ti­gen Zeit gewinnt Home-Office zuneh­mend an Bedeu­tung. Es gibt ver­schie­de­ne Grün­de, wes­halb Unter­neh­men Home-Office anbie­ten: sei es die Fle­xi­bi­li­tät der Mit­ar­bei­ter, Reduk­ti­on der Weg­zei­ten zur Arbeit oder aber auch durch das Coro­na­vi­rus Covid ‑19 ver­ur­sacht.   Auf­grund des Coro­na­vi­rus steht das Home-Office mehr denn je im Fokus. Zahl­rei­che Unter­neh­men haben den Ent­schluss gefasst mehr und mehr Mit­ar­bei­tern das Arbei­ten im Home-Office zu ermög­li­chen.   Nur was ändert sich jetzt aus daten­schutz­recht­li­cher Sicht im Home-Office?  Die gesetz­li­chen Bestim­mun­gen der DSGVO sowie die inter­nen Rege­lun­gen zur Umset­zung des Daten­schut­zes wel­che im Unter­neh­men gel­ten, gel­ten auch im Home-Office. Daher möch­ten wir Ihnen einen kur­zen Über­blick dar­über ver­schaf­fen, was zu beach­ten ist. 1. Zugriff auf dienst­li­che Unter­la­gen in Papier- und elek­tro­ni­scher Form Die dienst­lich genutz­ten Unter­la­gen (in Papier- und elek­tro­ni­scher Form) dür­fen nur dem betref­fen­den Arbeit­neh­mer zugäng­lich sein. Der Betrof­fe­ne ist ver­pflich­tet, dafür zu sor­gen, dass kein Drit­ter Ein­sicht auf sei­nen Rech­ner oder auf sei­ne dienst­li­chen Unter­la­gen hat. Auch die mit dem in Home-Office Arbei­ten­den in häus­li­cher Gemein­schaft leben­den Per­so­nen dür­fen kei­nen Zugriff auf dienst­li­che Unter­la­gen haben. Der Mit­ar­bei­ter muss daher alle sen­si­blen und ver­trau­li­chen Unter­la­gen in einem abschließ­ba­ren Schrank aufbewah­ren. Dazu gehö­ren alle mobi­len Mas­sen­spei­cher­ge­rä­te wie CDs, DVDs, USB-Lauf­­­wer­­­ke, Harddisks‑, NAS-Sto­ra­­ges etc. Des Wei­te­ren ist er dazu ver­pflich­tet beim Ver­las­sen sei­nes Arbeits­plat­zes sei­nen Bild­schirm zu sper­ren, auch wenn sein Ver­las­sen nur von kurz­zei­ti­ger Dau­er ist. Die nöti­gen Maß­nah­men hat der Arbeit­neh­mer zu tref­fen.  2. Soft­ware Damit eine umfas­sen­de Daten­si­cher­heit gewähr­leis­tet wer­den kann müs­sen Fire­wall, Viren­schutz auch im Home-Office aktiv auf dem neu­es­ten Stand sein. Fer­ner müs­sen Arbeit­neh­mer siche­re Pass­wör­ter (mind. 8 Zei­chen lang, Groß ‑und Klein­buch­sta­ben sowie Son­der­zei­chen) benut­zen und dar­auf ach­ten, dass kei­ne pri­va­te Hard- und Soft­ware…

Read more

Der Umgang mit der Anonymisierung von personenbezogenen Daten

16. März 2020

Vor einem Monat hat der Bun­des­be­auf­trag­te für Daten­schutz und Infor­ma­ti­ons­si­cher­heit (BfDI) ein Posi­ti­ons­pa­pier zum The­ma Anony­mi­sie­rung per­so­nen­be­zo­ge­ner Daten ver­öf­fent­licht, um den Ver­ant­wort­li­chen eine Ori­en­tie­rungs­hil­fe zu geben. In der Vor­ge­hens­wei­se des BfDI ist die Anony­mi­sie­rung als eine Ver­ar­bei­tungs­tä­tig­keit gem. der DSGVO zu sehen. Aus die­sem Grund muss sie auch recht­mä­ßig sein, d.h. es müss­te eine recht­li­che Grund­la­ge vor­lie­gen, die uns erlaubt die per­so­nen­be­zo­ge­nen Daten zu ver­ar­bei­ten. Ziel der Anony­mi­sie­rung ist es, dass kei­ne Rück­schlüs­se auf die betrof­fe­ne Per­son ent­ste­hen kön­nen, so dass kei­ne Re-Iden­­­ti­­­fi­­­zie­­­rung mög­lich ist. Um das zu ermög­li­chen wer­den zuerst Ele­men­te von den Daten ent­fernt und dadurch wird der Inhalt der Daten ver­än­dert. Die Anony­mi­sie­rung als Ver­ar­bei­tungs­tä­tig­keit bedarf einer Rechts­grund­la­ge aus Art. 6, Abs. 1 DSGVO. Wel­che Rechts­grund­la­ge zutrifft, ist von der kon­kre­ten Kon­stel­la­ti­on abhän­gig. An ers­ter Stel­le kann die Anony­mi­sie­rung auf eine wirk­sam erteil­te Ein­wil­li­gung gestützt wer­den. Das birgt aber fol­gen­des Risi­ko:  die betrof­fe­ne Per­son kann die Ein­wil­li­gung jeder­zeit mit Wir­kung für die Zukunft wider­ru­fen. Als nächs­te mög­li­che Rechts­grund­la­ge kommt Art. 6, Abs. 4 DSGVO, der die Vor­aus­set­zung der Ver­ein­bar­keit setzt, in Betracht. Hier ist fol­gen­des zu berück­sich­ti­gen: in der Regel wur­den die per­so­nen­be­zo­ge­nen Daten, die anony­mi­siert wer­den müs­sen, ursprüng­lich zu einem ande­ren Zweck erho­ben. Damit die Anony­mi­sie­rung gem. Art. 6, Abs. 4 DSGVO recht­mä­ßig sein kann, muss der Zweck für den die Daten wei­ter­ver­ar­bei­tet wer­den mit dem ursprüng­li­chen Erhe­bungs­zweck ver­ein­bar sein. Bei der Beur­tei­lung, ob eine Ver­ein­bar­keit mög­lich ist, gibt Art. 6, Abs. 4 DSGVO fol­gen­de Kri­te­ri­en, die berück­sich­tigt wer­den müs­sen: jede Ver­bin­dung zwi­schen den Zwe­cken, für…

Read more

Auskunftsersuchen Schritt 3 – Form und Folgen

9. März 2020

Frag­lich ist, wie lan­ge das Unter­neh­men Zeit hat, um dem Aus­kunfts­er­su­chen des Herrn M. nach­zu­kom­men. Das Unter­neh­men müss­te dem Aus­kunfts­er­su­chen des Herrn M. spä­tes­tens inner­halb eines Monats nach­kom­men. Nur in begrün­de­ten Aus­nah­me­fäl­len kann die Monats­frist über­schrit­ten wer­den, wor­über dann auch Herr M. zu infor­mie­ren wäre. Vor­lie­gend wur­de die Aus­kunft inner­halb von zwei Wochen ab Zugang des Aus­kunfts­an­tra­ges an Herrn M. erteilt. Damit erfolg­te dies noch im Rah­men der ein­mo­na­ti­gen Frist und kos­ten­los.   Wäre das Unter­neh­men dem Aus­kunfts­er­su­chen des Herrn M. nicht oder nicht voll­stän­dig nach­ge­kom­men, wäre es mit einem Buß­geld bedroht. Das Buß­geld kann bis zu 20 Mio. Euro oder 4% des welt­wei­ten Jah­res­um­sat­zes aus­ma­chen. Die­ser Fall zeigt deut­lich, dass es bei der Ertei­lung eines Aus­kunfts­er­su­chens wesent­li­che Schrit­te zu beach­ten gibt. Bis dato wur­den bereits meh­re­re Buß­gel­der wegen feh­len­der oder feh­ler­haf­ter Aus­kunfts­er­tei­lung ver­hängt. Dadurch ist zu sehen, dass die Betrof­fe­nen­rech­te ein wich­ti­ges The­ma für die Auf­sichts­be­hör­den dar­stel­len und somit ernst zu neh­men sind. Falls Sie bei Ertei­lung eines Aus­kunfts­er­su­chens oder den ande­ren Betrof­fe­nen­rech­ten Hil­fe brau­chen, wen­den Sie sich bit­te an uns. Wir zei­gen Ihnen wie Sie Ihren Pflich­ten rechts­kon­form nach­kom­men.

Read more

Auskunftsersuchen Schritt 2- Inhaltliche Anforderungen

2. März 2020

Nach­dem die Iden­ti­tät von Herrn M. fest­ge­stellt wur­de, hat die­ser eine E‑Mail von sei­nem beschäf­tig­ten Unter­neh­men erhal­ten. Dar­in waren fol­gen­de Infor­ma­tio­nen ent­hal­ten:  zu wel­chem Zweck die Daten des Herrn M. ver­ar­bei­tet wur­den  Wel­che Kate­go­rien von per­so­nen­be­zo­ge­nen Daten über ihn ver­ar­bei­tet wur­den  an wen sei­ne Daten über­mit­telt wur­den  die geplan­te Spei­cher­dau­er sei­ner per­so­nen­be­zo­ge­nen Daten Hin­weis auf die Betrof­fe­nen­rech­te des Herrn M.   die Her­kunft sei­ner per­so­nen­be­zo­ge­nen Daten, falls die­se nicht bei Ihm direkt erho­ben wur­den  und schließ­lich ob sei­ne Daten einer auto­ma­ti­sier­ten Ent­schei­dung, ein­schließ­lich Pro­filing, unter­wor­fen sind.     Bis wann die Aus­kunfts­er­tei­lung erfol­gen muss erfah­ren Sie nächs­te Woche in unse­rem Blog­bei­trag.  

Read more

Auskunftsersuchen Schritt 1 – Identifizierung der betroffenen Person

25. Febru­ar 2020

Bevor über­haupt einem Aus­kunfts­er­su­chen nach­ge­kom­men wer­den kann, muss der Ver­ant­wort­li­che ver­ge­wis­sern, dass der Anfra­gen­de auch der Betrof­fe­ne ist.    Je nach­dem, auf wel­chem Wege die Aus­kunfts­an­fra­ge nach Arti­kel 15 DSGVO erfolgt, gibt es ver­schie­de­ne Mög­lich­kei­ten der Iden­ti­täts­prü­fung.  Vor­lie­gend schrieb Herr M. eine E‑Mail an das Unter­neh­men.   Da Herr M. bereits zuvor Kon­takt per E‑Mail hat­te, kann die E‑Mail-Adres­­­se einen Hin­weis auf die Iden­ti­tät von Herrn M. geben. Sofern die E‑Mail-Adres­­­se nicht bekannt gewe­sen wäre, lie­ße sich dar­aus auch nicht die wah­re Iden­ti­tät der betrof­fe­nen Per­son schlie­ßen.   Um sich zu ver­ge­wis­sern, ruft das Unter­neh­men, die von Herrn M. hin­ter­leg­te Tele­fonnummer an. Zum Abgleich, ob auch Herr M. die E‑Mail geschrie­ben hat, for­dert das Unter­neh­men zusätz­li­che Infor­ma­tio­nen, wie z.B. die Post­an­schrift und das Geburts­da­tum des Betrof­fe­nen. Nach­dem Herr M. die rich­ti­gen Anga­ben erteilt hat­te, bestan­den kei­ne Zwei­fel dar­an, dass der Anfra­gen­de auch der Aus­kunfts­be­rech­tig­te ist. Somit wur­de die Iden­ti­tät des Herrn M. sicher­ge­stellt.  Wie das Unter­neh­men nach der Iden­ti­fi­zie­rung von Herrn M. vor­zu­ge­hen hat, erfah­ren Sie nächs­te Woche in unse­rem Blog­bei­trag.  

Read more

Verstöße gegen das Auskunftsersuchen nach Artikel 15 DSGVO können teuer werden

18. Febru­ar 2020

In den letz­ten Mona­ten haben sich Buß­gel­der wegen feh­len­der Aus­kunfts­er­tei­lung gehäuft. Aber nicht nur eine feh­len­de Aus­kunfts­er­tei­lung, son­dern auch eine unge­nau erteil­te Aus­kunft kann ein Buß­geld mit sich brin­gen. Dies wur­de durch das Amts­ge­richt Wert­heim bestä­tigt, wel­ches einem Unter­neh­men ein Buß­geld in Höhe von 15.000 Euro auf­grund unge­nau­er Aus­kunfts­er­tei­lung ver­hängt hat.  Aus die­sem Grun­de möch­ten wir Ihnen am Fall­bei­spiel von Herrn M. auf­füh­ren, wie bei einem Aus­kunfts­er­su­chen nach Arti­kel 15 DSGVO rich­tig vor­zu­ge­hen ist.  Herr M. ist seit Jah­ren Ange­stell­ter in einem Unter­neh­men. Über­all sei es beim Arzt, im Inter­net unter Kol­le­gen geht es um die Daten­schutz­grund­ver­ord­nung (DSGVO). Als die­ser mit­be­kom­men hat, dass es die Mög­lich­keit eines Aus­kunfts­er­su­chens nach Arti­kel 15 DSGVO gibt, möch­te er die­se Gele­gen­heit aus­nut­zen. Somit schreibt er eine E‑Mail an das Post­fach für Daten­schutz sei­nes beschäf­tig­ten Unter­neh­mens und möch­te von sei­nem Aus­kunfts­recht nach Arti­kel 15 DSGVO Gebrauch machen.  Wie hat das Unter­neh­men bei einem Aus­kunfts­er­su­chen nach Arti­kel 15 DSGVO vor­zu­ge­hen?  Mehr über die ein­zel­nen Schrit­te erfah­ren Sie nächs­te Woche in unse­rem Blog­bei­trag. 

Read more

Die digitalen Bewerbermanagement-Plattformen

10. Febru­ar 2020

In der digi­ta­li­sier­ten Welt von heut­zu­ta­ge Bewer­bungs­un­ter­la­gen per Post zu schi­cken fühlt sich schon alt­mo­disch an. Auf dem Markt gibt es genug Bewer­­­ber-Tools, die sowohl die Besei­ti­gung der Papier­do­ku­men­ta­ti­on und des beglei­ten­den Cha­os abschaf­fen, als auch Geschwin­dig­keit und Effek­ti­vi­tät anbie­ten und zudem preis­wer­ter sind. Was ist vor der Umset­zung einer Bewer­ber­platt­form zu berück­sich­ti­gen? Das hört sich schon wun­der­schön an, birgt aber Gefah­ren die aus daten­schutz­recht­li­cher Sicht beson­de­re Risi­ken für bei­de Sei­ten (Ver­ant­wort­li­cher und Betrof­fe­ne) dar­stel­len. Vom Prin­zip der Daten­mi­ni­mie­rung (Art. 5, Abs. 1, Buch­sta­be c DSGVO) und der sog. Rechen­schafts­pflicht (Art.5, Abs.2 DSGVO) bis zur Aus­wahl eines kon­for­men Bewer­ber­tools gibt es vie­les zu berück­sich­ti­gen. Der Rechen­schafts­pflicht ist erst dann nach­ge­kom­men, wenn die Pro­zes­se, in denen per­so­nen­be­zo­ge­ne Daten ver­ar­bei­tet wer­den trans­pa­rent und über­sicht­lich ange­legt sind (doku­men­tiert sind). Das natür­lich liegt in enge­rem Zusam­men­hang mit der Art des Bewer­ber­tools (z.B. Cloud-basiert). Auf­grund der Anzahl der per­so­nen­be­zo­ge­nen Daten, die im Bewer­bungs­pro­zess bear­bei­tet wer­den müs­sen (von Kon­takt­da­ten bis zu sen­si­blen Daten) fällt es den Unter­neh­men schwer den Über­blick zu behal­ten. Des­we­gen sind vor der Umset­zung des Bewer­­­ber-Tools u.a. fol­gen­de Fra­gen zu beant­wor­ten: Han­delt es sich um eine Auf­trags­ver­ar­bei­tung, gemein­sa­me Ver­ant­wort­lich­keit oder unab­hän­gig von einem ande­ren Ver­ant­wort­li­chen? Wer ist berech­tigt Zugriff auf die Daten zu haben? Wel­che Fris­ten müs­sen bei der Spei­che­rung von Daten berück­sich­tigt wer­den? Darf ich Social-Media Accounts von Bewer­bern ver­knüp­fen? und vie­le ande­re. Die Ein­fach­heit birgt Gefah­ren. Defi­ni­tiv als posi­tiv zu sehen ist, das Ein­set­zen eines Lösch­kon­zepts, da vie­le Bewer­ber­platt­for­men auto­ma­ti­sche Erin­­­ne­­­rungs- oder Lösch­op­tio­nen ent­hal­ten. Ein wei­te­rer Grund war­um sol­che Tools immer…

Read more

Der Gesetzesentwurf zur Bekämpfung des Rechtsextremismus und der Hasskriminalität – Auswirkungen für Unternehmen

3. Febru­ar 2020

Der Ent­wurf des Geset­zes zur Bekämp­fung des Rechts­ex­tre­mis­mus und der Hass­kri­mi­na­li­tät ver­pflich­tet alle Inter­net­dienst­leis­ter zur umfas­sen­den Koope­ra­ti­on mit den Ermitt­lungs­be­hör­den und Geheim­diens­ten. Somit haben alle Tele­me­di­en­dienst­an­bie­ter auf Ver­lan­gen die Bestands- und Nut­zungs­da­ten ihrer Nut­zer her­aus­zu­ge­ben. Wel­che Neue­run­gen beinhal­tet der Geset­zes­ent­wurf? Eine der wich­tigs­ten Neue­run­gen ist die Ver­pflich­tung sozia­ler Netz­wer­ke dem Bun­des­kri­mi­nal­amt als Zen­tral­stel­le bestimm­te straf­ba­re Inhal­te zu mel­den, die dem sozia­len Netz­werk durch eine Beschwer­de bekannt und von ihnen ent­fernt oder gesperrt wur­den. Dies wird nicht nur von Daten­schutz­be­auf­trag­ten kri­ti­siert, son­dern auch von der Digi­ta­len Gesell­schaft. In dem Geset­zes­ent­wurf heißt es, dass Anbie­ter von Tele­me­di­en­diens­ten dazu ver­pflich­tet wer­den sol­len auf Ver­lan­gen die Bestands- und Nut­zungs­da­ten ihrer Nut­zer her­aus­zu­ge­ben. Die Pro­ble­ma­tik betrifft nicht nur die Bekämp­fung der Hass­kri­mi­na­li­tät, son­dern auch die Erschaf­fung von umfas­sen­den Über­wa­chungs­rech­ten für Staat und Behör­de. Schon bis­her bestand die Mög­lich­keit für Staats­an­waltschaf­ten auf Basis des TMG Bestands­da­ten inklu­si­ve Zugangs­in­for­ma­tio­nen zu ver­lan­gen. Die Bun­des­re­gie­rung begrün­det die Ände­run­gen mit der Aus­sa­ge, dass bis­lang das Aus­kunfts­verfah­ren im TMG nur „rudi­men­tär“ gere­gelt sei. Aus Daten­schutz­sicht sind Pass­wör­ter beson­ders zu schüt­zen und deren Her­aus­ga­be wäre ein Ver­stoß gegen die daten­schutz­recht­li­chen Vor­schrif­ten. Aus Daten­schutzgründen dür­fen Pass­wör­ter nicht im Klar­text gespei­chert wer­den, son­dern als Hash­wert. Die Digi­ta­le Gesell­schaft kri­ti­siert die vor­ge­se­he­nen Ände­run­gen, weil das Aus­pro­bie­ren der Pass­wör­ter für ande­re Accounts des Betrof­fe­nen eine denk­ba­re ver­fas­sungs­wid­ri­ge Ver­wen­dung dar­stel­len kann. Zudem ist es pro­ble­ma­tisch, dass künf­tig kein recht­li­cher Beschluss nötig wird, son­dern die Auf­for­de­rung einer Behör­de oder Poli­zei­di­nest­stel­le aus­rei­chend ist. Hin­zu kommt, dass der Nut­zer von der Her­aus­ga­be sei­ner Daten an ers­ter Stel­le nicht durch den…

Read more

2. DSAnpUG – Änderung der Benennungspflicht eines DSB bei nicht-öffentlichen Stellen und deren Auswirkung auf die Arztpraxen

20. Janu­ar 2020

Mit der Mehr­heit der Stim­men durch die Frak­tio­nen von CDU, CSU und SPD beschloss der Bun­des­tag am 28.08.2019 das 2. DSAn­­­pUG-EU ( Zwei­tes Gesetz zur Anpas­sung des Daten­schutz­rechts an die Ver­ord­nung (EU) 2016/679 und zur Umset­zung der Richt­li­nie (EU) 2016/680). Das 2. DSAn­pUG ist von Sei­ten des Bun­des­ra­tes zustim­mungs­be­dürf­tig und tritt am Tag nach der Ver­kün­di­gung im Bun­des­ge­setz­blatt in Kraft. Durch die Ände­run­gen sind mehr als 150 Geset­ze betrof­fen, ins­be­son­de­re das BDSG. Durch das 2. DSAn­pUG sind sowohl Begriffs­be­stim­mun­gen und Rechts­grund­la­gen für die Daten­ver­ar­bei­tung als auch Rege­lun­gen zu den Betrof­fe­nen­rech­ten ange­passt. Eine der wich­tigs­ten Ände­run­gen betrifft die Benen­nungs­pflicht eines Daten­schutz­be­auf­trag­ten (§ 38 BDSG). Bis­lang bestand nach § 38, Abs. 1, S. 1 BDSG die Benen­nungs­pflicht eines Daten­schutz­be­auf­trag­ten, wenn in der Regel min­des­tens 10 Per­so­nen stän­dig mit der auto­ma­ti­sier­ten Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten beschäf­tigt sind. Nach der vor­ge­nom­me­nen Ände­rung lau­tet die­ser fol­gen­der­wei­se: “Ergän­zend zu Arti­kel 38 Absatz 1 Buch­sta­be b und c der Ver­ord­nung (EU) 2016/679 benen­nen der Ver­ant­wort­li­che und der Auf­trags­ver­ar­bei­ter eine Daten­schutz­be­auf­trag­te oder einen Daten­schutz­be­auf­trag­ten, soweit sie in der Regel min­des­tens 20 Per­so­nen stän­dig mit der auto­ma­ti­sier­ten Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten beschäf­ti­gen.“ Ziel die­ser Ände­rung ist der sog. ‘‘Büro­kra­tie­ab­bau‘‘, damit klei­ne­re Betrie­be und Ver­ei­ne nicht unver­hält­nis­mä­ßig belas­tet sind. Die­se Erleich­te­rung bedeu­tet jedoch nicht, dass auch ande­re Daten­schutz­pflich­ten kom­plett weg­fal­len. Unab­hän­gig von der Per­so­nen­an­zahl sind sol­che Ver­ant­wort­li­che und Auf­trags­ver­ar­bei­ter zur Bestel­lung eines Daten­schutz­be­auf­trag­ten ver­pflich­tet, die nach Art. 35 DSGVO einer Daten­­­schutz-Fol­­­ge­a­­b­­­schä­­t­­­zung unter­lie­gen, oder wenn sie für Zwe­cke der Markt- oder Mei­nungs­for­schung oder geschäfts­mä­ßig zum Zweck der Über­mitt­lung, der anony­mi­sier­ten Über­mitt­lung per­so­nen­be­zo­ge­ne Daten ver­ar­bei­ten.…

Read more

Facebook Pixel: Ist das Tracking per Pixel erlaubt?

16. Dezem­ber 2019

  Der Baye­ri­sche Blut­spen­de­dienst kämpft mit der Anschul­di­gung einer mas­si­ven Daten­pan­ne, nach­dem er sen­si­ble Daten von Blut­spen­dern an Face­book über­mit­telt hat, dar­un­ter auch Anga­ben zu Schwan­ger­schaf­ten, Dro­gen­kon­sum, HIV-Infe­­k­­­ti­o­­­nen oder Dia­be­tes. Inter­es­sen­ten konn­ten sich durch Beant­wor­tung von Fra­gen in Form eines Spen­­­de-Checks auf der Web­sei­te des Baye­ri­schen Roten Kreu­zes (BRK) vor­ab infor­mie­ren, ob Sie über­haupt als Spen­der in Fra­ge kom­men. Die­ser Test war Anlass eines Ver­fah­rens des Lan­des­am­tes für Daten­schutz­auf­sicht gegen das BRK gewe­sen. Denn zu Ana­ly­se­zwe­cken wur­de das Tracking­tool Face­book Pixel instal­liert, wel­ches durch sei­ne fal­sche Kon­fi­gu­ra­ti­on sen­si­ble Daten an Face­book über­mit­telt hat. Kon­kret wur­den die beant­wor­te­ten Fra­gen mit Ja und Nein mit dem sozia­len Netz­werk geteilt. Dadurch ist es Face­book mög­lich, Rück­schlüs­se auf Erkran­kun­gen der Betrof­fe­nen zu zie­hen. Ob der Ein­satz des Face­­­book-Pixels recht­mä­ßig war ist zur­zeit Gegen­stand des Prüf­ver­fah­rens. Bei Ein­satz eines Tracking-Tools über­mit­telt nicht der Web­sei­ten­be­trei­ber, die Daten an den Anbie­ter des Tracking-Tools, son­dern der Anbie­ter selbst erhebt die Daten direkt vom Nut­zer. Nicht­des­to­trotz wird dies erst durch die Ein­bin­dung auf der Web­site ermög­licht. Auch Face­book ver­bie­tet expli­zit die Nut­zung von Pixel in die­ser Form. In sei­ner Stel­lung­nah­me heißt es: ‘‘Für die Ver­wen­dung des Pixels haben wir kla­re Regeln für Wer­be­trei­ben­de: Es dür­fen kei­ne sen­si­blen Nut­zer­da­ten wie Infor­ma­tio­nen zu Gesund­heit oder Finan­zen an uns geschickt wer­den.‘‘ Die­ser Fall zeigt deut­lich, dass mit wenig Auf­wand über den Brow­ser nicht nur die Auf­sichts­be­hör­den Web­sites prü­fen, son­dern jeder­mann tes­ten kann, wel­che Tracking-Tools auf einer Web­site ein­ge­bun­den sind. Das Risi­ko, dass Nut­zer auf einen Ver­stoß auf­merk­sam wer­den und die­ses der Auf­sichts­be­hör­de…

Read more

Windows 10 datenschutzkonform einsetzen.

2. Dezem­ber 2019

Das Betriebs­sys­tem Win­dows 10 ist schon län­ger im Visier der deut­schen und euro­päi­schen Daten­schutz­be­hör­den. Es geht hier­bei um den nicht offen­sicht­li­chen Daten­ver­sand vom Betriebs­sys­tem an den Soft­ware­her­stel­ler. Auch wenn Micro­soft bestrebt war in der Ver­gan­gen­heit die­se Pro­ble­ma­tik nach­zu­bes­sern, hat der Kon­zern bis heu­te noch kei­ne Lösung vor­ge­legt, die die Daten­schutz­be­hör­den zufrie­den stellt. Die­ses ist der Grund dafür, dass die deut­schen Daten­schutz­be­hör­den ein Prü­fungs­sche­ma erstellt haben, wel­ches durch jeden Ver­ant­wort­li­chen im Unter­neh­men umge­setzt und abge­ar­bei­tet wer­den muss. Die Anwen­dungs­hin­wei­se der DSK, wel­che das Prüf­sche­ma zu Win­dows 10 ent­hal­ten, sind in zwei Doku­men­te unter­glie­dert. Das ers­te Doku­ment ent­hält das eigent­li­che Prüf­sche­ma und dient als Leit­fa­den für den Ver­ant­wort­li­chen, den Daten­schutz­be­auf­trag­ten und den IT-Ver­­­an­­t­­­wor­­t­­­li­chen/ IT-Dienst­­­leis­­­ter zur daten­schutz­kon­for­men Ver­wen­dung von Win­dows 10. Die­se Prüf­sche­ma muss für jede ein­ge­setz­te Win­dows 10 Ver­si­on durch­lau­fen wer­den. Das bedeu­tet auch, dass jedes Funk­ti­ons­up­date (1809, 1903, 1909 usw.), wel­ches im Unter­neh­men ein­ge­spielt wer­den soll, eine erneu­te Prü­fung anstößt. Das zwei­te Doku­ment ent­hält wei­ter­ge­hen­de Infor­ma­tio­nen zu Win­dows 10 und die Kon­fi­gu­ra­ti­ons­mög­lich­kei­ten. Die­se kön­nen die IT-Ver­­­an­­t­­­wor­­t­­­li­chen / IT-Dienst­­­leis­­­ter nut­zen, um die Kon­fi­gu­ra­ti­on im Unter­neh­men daten­schutz­kon­form umzu­set­zen. Die bei­den Anwen­dungs­hin­wei­se fin­den sie hier auf der Sei­te der Daten­schutz­kon­fe­renz: Prüf­sche­ma Win­dows 10: https://www.datenschutzkonferenz-online.de/media/ah/20191106_win10_pruefschema_dsk.pdf Anla­ge 1 zum Prüf­sche­ma Win­dows 10: https://www.datenschutzkonferenz-online.de/media/ah/20191106_win10_pr%C3%BCfschema_hinweise_dsk.pdf    

Read more

Messe und Kongress für IT-Sicherheit

4. Okto­ber 2019

Besu­chen Sie uns beim Stand der Secure.Bayern auf der dies­jäh­ri­gen Mes­se und Kon­fe­renz für IT-Sicher­heit it-sa in Nürn­berg vom 8. bis 10. Okto­ber. https://www.it-sa.de/ Wir freu­en uns auf den fach­li­chen Aus­tausch mit Ihnen!    

Read more

EUGH hat entschieden: Cookies erfordern aktive Einwilligung

2. Okto­ber 2019

In sei­nem Urteil (Rechts­sa­che C‑673/17 ‚1. Okto­ber 2019, Urteil in der Bun­des­ver­band der Ver­brau­cher­zen­tra­len und Ver­brau­cher­ver­bän­de – Ver­brau­cher­zen­tra­le Bun­des­ver­band e. V. / Planet49 GmbH) ent­schied der EUGH, „dass die für die Spei­che­rung aber auch den Abruf von Coo­kies auf dem Gerät des Besu­chers einer Web­site erfor­der­li­che Ein­wil­li­gung durch ein vor­ein­ge­stell­tes Ankreuz­käst­chen, das der Nut­zer zur Ver­wei­ge­rung sei­ner Ein­wil­li­gung abwäh­len muss, nicht wirk­sam erteilt wird.“ Beson­ders erwäh­nens­wert ist, dass der EUGH hier­bei expli­zit kei­ne Unter­schei­dung zwi­schen per­so­nen­be­zo­ge­nen und sons­ti­gen Daten macht. Begrün­det wird dies mit dem im Recht der EU ver­an­ker­ten Prin­zip, den Nut­zer vor jedem Ein­griff in sei­ne Pri­vat­sphä­re zu schüt­zen. Der EUGH setzt damit noch­mal ein deut­li­ches Zei­chen. Bemer­kens­wert ist dies auch, weil Deutsch­land in der Umset­zung der EU-Pri­­­va­­­cy Richt­li­nie bis­her einen Son­der­weg beschrit­ten hat. Aus Sicht der Regie­­­rung- und ent­ge­gen der Auf­fas­sung der Auf­­­­­sichts­­­be­­­hör­­­den- ent­spricht das deut­sche Tele­me­di­en­ge­setz näm­lich die­ser Umset­zung. Im Rah­men des TMG wäre eine Opt-Out-Lösung für Coo­kies mög­lich. Das Urteil muss des­halb auch dahin­ge­hend gewer­tet wer­den, dass die­se Ansicht (spä­tes­tens jetzt) nicht mehr halt­bar ist. Da die Ein­füh­rung der EU-Pri­­­va­­­cy Ver­ord­nung wohl noch län­ger dau­ern wird, muss sich der Gesetz­ge­ber über­le­gen, ob eine EU-rechts­­­kon­­­for­­­me Umset­zung der Richt­li­nie nicht doch noch not­wen­dig ist. Geklagt hat­te der Bun­des­ver­band der Ver­brau­cher­zen­tra­len und Ver­brau­cher­ver­bän­de gegen das Unter­neh­men Planet49 GmbH. Was bedeu­tet dies für Unter­neh­men und Web­site­be­trei­ber? Wir hat­ten schon mehr­mals dar­auf hin­ge­wie­sen, dass eine rechts­kon­for­me Ein­wil­li­gung ein akti­ves Han­deln des Nut­zers  erfor­der­lich macht. Auch die Coo­­­kie-Ban­­­ner müs­sen den, nun­mehr durch das Urteil des EUGH bestä­tig­ten Anfor­de­run­gen ange­passt wer­den. Denn…

Read more

Bundesgesundheitsminister fordert Nachbesserungen beim Datenschutz im Gesundheitswesen

19. Sep­tem­ber 2019

In den letz­ten zwei Wochen waren meh­re­re Daten­pan­nen bzw. ver­meint­li­che Daten­pan­nen im Gesund­heits­we­sen publik gewor­den. Das BayL­DA über­prüft nach eige­nen Anga­ben der­zeit die (even­tu­ell erfolg­te) Wei­ter­ga­be von Gesund­heits­da­ten eines Blut­spen­de­diens­tes an Face­book. Nun berich­ten eini­ge Medi­en, gemein­sa­me Recher­chen des Bay­ri­schen Rund­funks und von Pro­Pu­bli­ca hät­ten erge­ben, dass sen­si­ble Gesund­heits­da­ten von Mil­lio­nen Nut­zern auf unge­si­cher­ten Ser­vern gele­gen hät­ten. Jens Spahn nimmt dies zum Anlass, für Pati­en­ten­da­ten höchs­te Daten­schutz­stan­dards ein­zu­for­dern. Er wird mit den Wor­ten zitiert, dass „vie­le das The­ma noch zu sehr auf die leich­te Schul­ter neh­men wür­den“. Sicher­lich lässt sich nicht pau­scha­li­sie­ren, dass Dienst­leis­ter oder Unter­neh­men aus dem Gesund­heits­we­sen beson­ders nach­läs­sig mit dem The­ma Daten­schutz umge­hen wür­den. Der Bun­des­ge­sund­heits­mi­nis­ter mag aber mit sei­ner Ein­schät­zung dahin­ge­hend durch­aus rich­tig lie­gen, dass das Bewusst­sein für die beson­de­re Sen­si­bi­li­tät von Gesund­heits­da­ten noch nicht bei allen Markt­teil­neh­mern aus­rei­chend vor­han­den ist. Der Ver­lust bzw. die unbe­fug­te Ein­sicht­nah­me die­ser Daten, etwa durch Ver­si­che­run­gen oder Arbeit­ge­ber, hat aber für die betrof­fe­ne Per­son unter Umstän­den weit­rei­chen­de nega­ti­ve Kon­se­quen­zen. Die blu Sys­tems GmbH wird des­halb aus (lei­der) aktu­el­lem Anlass gegen Ende des Jah­res eine Kon­fe­renz für das The­ma „Heal­t­h­­­ca­­­re-Daten­­­schutz“ aus­rich­ten. Wir infor­mie­ren Sie recht­zei­tig.

Read more

US-amerikanisches Datenschutzgesetz?

19. Sep­tem­ber 2019

Der Aus­tausch per­so­nen­be­zo­ge­ner Daten mit US-ame­­­ri­­­ka­­­ni­­­schen Unter­neh­men wird für vie­le deut­sche Unter­neh­men All­tag sein. Nicht zuletzt ste­hen vie­le Ser­ver auf US-ame­­­ri­­­ka­­­ni­­­schem Boden. Für die USA hat die Euro­päi­sche Kom­mis­si­on per Ange­mes­sen­heits­be­schluss ein ange­mes­se­nes Daten­schutz­ni­veau bestä­tigt, unter der Vor­aus­set­zung dass der Emp­fän­ger dem so bezeich­ne­ten US-Pri­­­va­­­cy Shield ange­hört. Vie­le Daten­schüt­zer stel­len jedoch in Fra­ge, ob man das US-ame­­­ri­­­ka­­­ni­­­sche Daten­schutz­ni­veau guten Gewis­sens dem Euro­päi­schen gleich­set­zen kann. Nicht zuletzt die in den letz­ten Mona­ten häu­fig auf­ge­tre­te­nen Daten­pan­nen gro­ßer ame­ri­ka­ni­scher Kon­zer­ne las­sen Zwei­fel auf­kom­men. Und nicht weni­ge äußern, dass es sich von Sei­ten der Euro­päi­schen Kom­mis­si­on wohl eher um eine poli­ti­sche, denn eine aus Sicht des Daten­schut­zes fun­dier­te Ent­schei­dung han­delt, den USA die Ange­mes­sen­heit des Niveaus zu bestä­ti­gen. Die Grup­pe der „Zweif­ler“ wird sich seit letz­ter Woche eher bestä­tigt sehen. Über 50 Schwer­ge­wich­te der US-ame­­­ri­­­ka­­­ni­­­schen Wirt­schaft haben in einem offe­nen Brief an den US-Kon­­­gress ein Bun­des­wei­tes Daten­schutz­ge­setz gefor­dert. Begrün­det wird dies unter ande­rem mit wirt­schaft­li­chen Argu­men­ten (feh­len­de Wett­be­werbs­fä­hig­keit ame­ri­ka­ni­scher Unter­neh­men durch die Erschwer­nis­se des Daten­schut­zes). Hin­ter­grund ist, dass zuletzt eini­ge Bun­des­staa­ten Daten­schutz­ge­set­ze erlas­sen hat­ten, teil­wei­se mit dem Vor­bild DSGVO, weil eine bun­des­wei­te Rege­lung bis­her fehlt. Der Vor­schlag der Unter­neh­men, „Frame­work for Con­su­mer Pri­va­cy Legis­la­ti­on“ liest sich ober­fläch­lich betrach­tet zunächst so, als hät­ten die Unter­neh­men begrif­fen, dass die Sen­si­bi­li­tät für den Schutz per­so­nen­be­zo­ge­ner Daten vor­nehm­lich im letz­ten Jahr deut­lich zuge­nom­men hat. Fast wöchent­lich erschei­nen­de Pres­se­nach­rich­ten von gro­ßen Daten­pan­nen ame­ri­ka­ni­scher Kon­zer­ne dürf­ten den jewei­li­gen Public Affairs Abtei­lun­gen nicht gefal­len haben. Wer genau­er hin­sieht wird jedoch schnell eines Bes­se­ren belehrt. Im letz­ten Satz des Doku­men­tes heißt es…

Read more

Schwere Datenpannen und Kopplungsverbot

5. Sep­tem­ber 2019

Schwe­re Daten­pan­nen In der ver­gan­ge­nen Woche, so berich­ten meh­re­re Medi­en über­ein­stim­mend, gab es wie­der meh­re­re gro­ße Daten­pan­nen. Einer­seits fällt sicher der Vor­fall beim Mas­­­ter­­­card-Bonus­­­pro­­­gramm in die­se Kate­go­rie, da von bis zu 90.000 Daten­sät­zen die Rede ist, die teil­wei­se sogar Kre­dit­kar­ten­da­ten ent­hal­ten sol­len. Fast schon als „nor­mal“ zu bezeich­nen ist die gera­de eben ver­öf­fent­lich­te Mel­dung, bei Face­book hät­te es eine wei­te­re Daten­pan­ne gege­ben, dies­mal sind (ver­mut­lich) über 400 Mil­lio­nen Tele­fon­num­mern von Face­­­book-Nut­­­zern in die fal­schen Hän­de gelangt. Zuneh­mend höhe­re Buß­gel­der durch deut­sche Auf­sichts­be­hör­den? In die­sem Kon­text scheint es erwäh­nens­wert, dass die deut­schen Auf­sichts­be­hör­den die bis­her gepfleg­te Zurück­hal­tung bei der Ver­hän­gung hoher Buß­gel­der immer mehr able­gen. Wie aus einer Mel­dung der Ber­li­ner Beauf­trag­ten für Daten­schutz und Infor­ma­ti­ons­frei­heit her­vor­geht, wird dem­nächst von der Behör­de ein Buß­geld „in bis zu zwei­stel­li­ger Mil­lio­nen­hö­he“ ver­hängt, nach­dem zuvor bereits zwei hohe Buß­gel­der im sechs­stel­li­gen Bereich ver­hängt wur­den. Ent­schei­dung des OLG Frank­furt zum Kopp­lungs­ver­bot Von eher prak­ti­scher Rele­vanz aus Sicht der Unter­neh­men dürf­te es sich bei einer kürz­lich ergan­ge­nen Ent­schei­dung des OLG Frank­furt (6 U 6/19 v. 27.06.2019) han­deln. Im ent­schie­de­nen Rechts­streit ging es um die bis­lang häu­fig dis­ku­tier­te Fra­ge­stel­lung, ob eine Ein­wil­li­gung (in die­sem Fall für den Emp­fang des News­let­ters des Unter­neh­mens) mit einer Teil­nah­me an einem Gewinn­spiel ver­knüpft wer­den kann. Nach über­wie­gend ver­tre­te­ner Mei­nung wider­sprach dies dem in der DSGVO ver­an­ker­ten Kopp­lungs­ver­bot. In der Über­zeu­gung der Frank­fur­ter Rich­ter über­wiegt der Ansatz der Frei­wil­lig­keit der Ein­wil­li­gung. Der Ver­brau­cher, so die Urteils­be­grün­dung, kön­ne und müs­se selbst ent­schei­den, ob ihm die Teil­nah­me an einem Gewinn­spiel unter der Bedin­gung einer…

Read more

EuGH-Urteil zum Datenschutz: die Verantwortung für Seitenbetreiber wächst

8. August 2019

Es ist ein bekann­tes Bild: auf einer Unter­neh­mens­web­site befin­det sich ein Face­book „Like“-Button. Vie­le Unter­neh­men nut­zen die­ses Mit­tel, aus unter­schied­li­chen, meist mar­ke­ting­stra­te­gi­schen Grün­den. Bis­her aller­dings, ohne dafür eine geson­der­te Ein­wil­li­gung des Web­site­nut­zers ein­zu­ho­len. Die­ses Vor­ge­hen könn­te zukünf­tig mit einem erhöh­ten Buß­gel­dri­si­ko behaf­tet sein. Durch die Ein­bin­dung des Face­book „Like“-Buttons wer­den näm­lich per­so­nen­be­zo­ge­ne Daten des Nut­zers ver­ar­bei­tet und an Face­book wei­ter­ge­lei­tet und zwar unab­hän­gig davon, ob der But­ton betä­tigt wird oder nicht. Der EuGH, der in sei­ner Ent­schei­dung den Aus­füh­run­gen des Gene­ral­an­walts gefolgt ist, erkennt dar­in eine (gemein­sa­me) Ver­ant­wort­lich­keit des Web­site­be­trei­bers mit der Kon­se­quenz, für die­se Daten­ver­ar­bei­tung eine recht­li­che Grund­la­ge lie­fern zu müs­sen, in aller Regel eine Ein­wil­li­gung. Zudem müs­sen die Infor­ma­ti­ons­pflich­ten und/oder die Daten­schutz­er­klä­rung dem­entspre­chend ange­passt wer­den. In der Pra­xis wird der Nut­zer nun sehr häu­fig noch nach einer zusätz­li­chen Ein­wil­li­gung gefragt wer­den. Frag­lich ist noch, wel­che Aus­strahl­wir­kung das EuGH-Urteil ent­fal­ten wird. Es ist aber zu erwar­ten, dass sich die Ver­wen­dung von Social-Media-Plugins auf Web­siten grund­le­gend ändern wird.

Read more

No-Deal-Brexit- welche Auswirkungen hat dies auf den Datenschutz?

23. Juli 2019

Über­ein­stim­mend mel­den meh­re­re Medi­en, dass die neue bri­ti­sche Regie­rung an einer „No-Deal-Brexit“-Lösung arbei­ten wür­de. Staats­mi­nis­ter Micha­el Gove wird mit den Wor­ten zitiert, „…ein No Deal ist jetzt eine rea­lis­ti­sche Annah­me und dar­auf müs­sen wir vor­be­rei­tet sein. Die gesam­te Maschi­ne­rie der Regie­rung wird auf Hoch­tou­ren arbei­ten“. Unter­neh­men ist des­halb drin­gend zu emp­feh­len, sich auf die­se Situa­ti­on auch unter daten­schutz­recht­li­chen Gesichts­punk­ten vor­zu­be­rei­ten. Soll­te das Ver­ei­nig­te König­reich ohne eine Ver­ein­ba­rung mit der EU aus­tre­ten, wür­de dies bedeu­ten, dass es zum Dritt­land i.S.d. der DSGVO wer­den wür­de, mit allen dras­ti­schen Kon­se­quen­zen. Auch eine Über­gangs­frist für die Gel­tung der DSGVO im VK wäre unter die­sen Vor­aus­set­zun­gen nicht anzu­neh­men. In ihrem Beschluss vom 8. März 2019 hat die Kon­fe­renz der unab­hän­gi­gen Daten­schutz­auf­sichts­be­hör­den des Bun­des und der Län­der bereits klar­ge­stellt, dass eine Daten­über­mitt­lung per­so­nen­be­zo­ge­ner Daten in das VK dann nur noch unter Maß­ga­be der für Dritt­län­der in der DSGVO vor­ge­se­hen Mecha­nis­men mög­lich sei, zumal  ein Ange­mes­sen­heits­be­schluss der Euro­päi­schen Kom­mis­si­on nach Art. 45 DSGVO der­zeit für das VK nicht exis­tiert. Der Euro­päi­sche Daten­schutz­aus­schuss (EDSA) ver­öf­fent­lich­te eine  Infor­ma­ti­on , die von allen daten­über­mit­teln­den Stel­len unbe­dingt zu beach­ten ist. Zur Sicher­stel­lung der Ein­hal­tung eines ange­mes­senen Daten­schutz­ni­veaus muss dem­nach eine der fol­gen­den Garan­tien die Grund­la­ge der Daten­ver­ar­bei­tung bzw. –über­tra­gung bil­den: Stan­dard­da­ten­schutz­klau­seln (Art. 46 Abs. 2 lit. c) und d) DSGVO) Unter­neh­men kön­nen hier­für die drei durch die Euro­päi­sche Kom­mis­si­on bereits ver­öf­fent­lich­ten Stan­dard­da­ten­schutz­klau­seln (Doku­ment 32001D0497, Doku­ment 32004D0915, Doku­ment 32010D0087) ver­wen­den. Aller­dings muss dar­auf hin­ge­wie­sen wer­den, dass der Euro­päi­sche Gerichts­hof (EuGH) aktu­ell die Recht­mä­ßig­keit der EU-Stan­­­dar­­d­­­ver­­­­­trags­­­­­klau­­­seln immer noch über­prüft. Die Ver­wen­dung der Klau­seln ist bis zu einer Ent­schei­dung…

Read more

Das Zweite Datenschutzanpassungsgesetz- was ändert sich für Unternehmen?

14. Juli 2019

Am 27.06.2019 beschloss der deut­sche Bun­des­tag mit der Mehr­heit der Stim­men durch die Frak­tio­nen von CDU, CSU und SPD das zwei­te deut­sche Datenschutzanpassungsgesetz.Über hun­dert Geset­ze sind durch die geplan­te Ände­rung betrof­fen, viel­fach dis­ku­tiert wird aber eine (mög­li­che) Auf­wei­chung der Benen­nungs­pflicht eines DSB von Unter­neh­men. Die DSGVO als Büro­kra­tie­mons­ter? In der öffent­li­chen Wahr­neh­mung wird die DSGVO, die nun seit etwas über einem Jahr gül­tig ist, als büro­kra­ti­sches Hin­der­nis wahr­ge­nom­men. Ins­be­son­de­re Ver­ei­ne und KMU haben im letz­ten Jahr medi­al ihren Unmut über die Anfor­de­run­gen der DSGVO kund­ge­tan, die als zu umständ­lich und auf­wen­dig emp­fun­den wer­den.  So ver­wun­dert es denn auch nicht, dass beson­ders Wirt­schafts­ver­bän­de oder etwa die CDU-Mit­­­­­tel­­­stan­d­s­­­ver­­­ei­­­ni­­­gung die als zu hoch wahr­ge­nom­me­ne Belas­tung für klei­ne und mit­tel­stän­di­sche Unter­neh­men redu­zie­ren wol­len. 10 oder 20? Gewis­ser­ma­ßen sym­bo­lisch ent­zün­de­te sich die­se Dis­kus­si­on an der Fra­ge, ab wie vie­len (per­so­nen­be­zo­ge­ne Daten ver­ar­bei­ten­den) Mit­ar­bei­tern von Sei­ten des Unter­neh­mens ein DSB zu bestel­len ist. Bis­her, so ist es im BDSG-neu fest­ge­hal­ten, sind dies zehn Mit­ar­bei­ter. Dort lässt sich in § 38 BDSG-neu nach­le­sen: „Ergän­zend zu Arti­kel 37 Absatz 1 Buch­sta­be b und c der Ver­ord­nung (EU) 2016/679 benen­nen der Ver­ant­wort­li­che und der Auf­trags­ver­ar­bei­ter eine Daten­schutz­be­auf­trag­te oder einen Daten­schutz­be­auf­trag­ten, soweit sie in der Regel min­des­tens zehn Per­so­nen stän­dig mit der auto­ma­ti­sier­ten Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten beschäf­ti­gen.“ Die­se Per­so­nen­gren­ze von zehn Mit­ar­bei­tern, so die Mit­tel­stands­ver­tre­ter, sei deut­lich zu nied­rig ange­setzt und belas­te daher klei­ne Unter­neh­men unver­hält­nis­mä­ßig. Glei­ches Recht für alle? Tat­säch­lich ist es der Ansatz der DSGVO, im Prin­zip, von eini­gen Aus­nah­men wie etwa die Ver­hält­nis­mä­ßig­keit bei TOMs abge­se­hen, kei­nen Unter­schied zwi­schen…

Read more

Unser wöchentlicher Datenschutzblog

14. Juli 2019
Unser wöchentlicher Datenschutzblog

In unse­rem Blog wol­len wir Ihnen wöchent­lich aktu­el­le Ent­wick­lun­gen, Fra­ge­stel­lun­gen aber auch Hand­lungs­emp­feh­lun­gen aus dem Bereich Daten­schutz vor­stel­len und mit Ihnen dis­ku­tie­ren.