Blog

Vielen Organisationen fällt es schwer, Löschregeln für personenbezogene Daten festzulegen. Dadurch kann es zu Umsetzungsdefiziten bei den rechtlichen Löschvorgaben kommen.

Am 31. August 2023 hat der Verein „noyb – Europäisches Zentrum für digitale Rechte“ in drei Ländern (Österreich, Niederlande und Italien) Beschwerden gegen Fitbit, den Anbieter der gleichnamigen Fitness-Tracker, eingelegt. Fitbit, das seit 2021 zu Google gehört, wird vor allem mangelnde Transparenz und fehlende Informationen zu Drittlandsübermittlungen vorgeworfen.

Der Gesetzgeber spricht von einer "Verletzung des Schutzes personenbezogener Daten" und meint damit die Vernichtung, die unbefugte Offenlegung, die unbefugte Veränderung von, sowie den unbefugten Zugang zu personenbezogenen Daten. Dabei ist es unerheblich, ob den Verantwortlichen ein Verschulden trifft oder nicht.

Die zentralen Prinzipien des Datenschutzes des Art. 5 DSGVO – oft wird an ihnen nur auf dem Weg zu den Rechtsgrundlagen des Art. 6 vorbeigeblättert. Dabei sind sie die abstrahierte Basis vieler Detailregeln, die sich in der Verordnung finden. Bei Verständnisfragen zu anderen Normen, aber auch bei der Überprüfung der Datenschutzkonformität von Verarbeitungstätigkeiten lohnt es, sich die dort definierten sechs Verarbeitungsgrundsätze ins Gedächtnis zu rufen.

Was ist das Trans-Atlantic Data Privacy Framework (TADPF)? Wie bewerten die Datenschutzbehörden (kirchlich und weltlich) den Angemessenheitsbeschluss? Und fällt mit dem Angemessenheitsbeschluss die Notwendigkeit einer Datenschutzfolgeabschätzung weg? In unserem FAQ widmen wir uns den wichtigsten Fragen zum neuen Beschluss.

Standfester Rechtsrahmen oder Schrems III? Am 10.07.2023, hat die EU-Kommission ihren Angemessenheitsbeschluss für den neuen Datenschutzrahmen EU-USA (Data Privacy Framework) angenommen und damit wieder die rechtliche Basis für den Transfer personenbezogener Daten in die USA geschaffen.

Ab dem 1. Januar 2021 können alle gesetzlich Versicherten von ihrer Krankenkasse eine elektronische Patientenakte (ePA) erhalten, in der medizinische Befunde und Informationen aus früheren Untersuchungen und Behandlungen über Praxis- und Krankenhausgrenzen hinweg umfassend gespeichert werden können. Die ePA ist eine versichertengeführte elektronische Akte, deren Nutzung für die Versicherten freiwillig ist. Die Versicherten entscheiden selbst, ob und wie sie die ePA nutzen wollen.

Im Mai 2023 hat der Europäische Gerichtshof gleich drei grundlegende Urteile in Bezug auf die Datenschutz-Grundverordnung veröffentlicht. Die Entscheidungen betreffen den Begriff „Kopie“ im Rahmen des Auskunftsrechts gem. Art. 15 Abs. 3 DSGVO, den Schadensersatz nach der DSGVO und die (nicht) Unrechtrechtmäßigkeit der Verarbeitung bei Verstoß gegen die Rechenschaftspflicht nach Art. 5 DSGVO.

Das neue Abkommen soll die problematischen Datenexporte in die USA auf eine rechtssichere Grundlage stellen. Erklärtes Ziel des transatlantischen Datenschutzrahmens ist, durch Umsetzung der vereinbarten Executive Orders das Schutzniveau in den USA so anzuheben, dass ein Angemessenheitsbeschluss nach Art. 45 DSGVO wieder möglich wird.

Von ChatGPT hat bestimmt schon jeder gehört. Seit der Veröffentlichung am 30. November 2022 meldeten sich innerhalb der ersten fünf Tage rund eine Million Nutzer an. Im Januar 2023 sind es bereits über 100 Millionen Nutzer. Damit ist ChatGPT die am schnellsten wachsende Verbraucheranwendung, die es je gab.

Der Bundesbeauftragte für Datenschutz und Informationsfreiheit (BfDI), Herr Ulrich Kelber, ist kein Fan von Facebook-Fanpages. Seine Einschätzungen dazu veröffentlichte er in mehreren Rundschreiben an öffentliche Stellen (Mai 2019 und Juni 2021). Nach seiner Einschätzung ist der datenschutzkonforme Betrieb einer solchen Facebook-Fanpage nicht möglich.

Geschafft! 16 Teilnehmende aus ganz Deutschland haben den Zertifikatskurs Datenschutzmanagement in Kooperation mit Althammer & Kill, Heise und der Hochschule erfolgreich abgeschlossen.

Wir gratulieren den Profis und wünschen viel Erfolg beim Umsetzen des Gelernten in den Berufsalltag.

Als eines der zentralen Prinzipien des Datenschutzes findet sich der Grundsatz der Datenminimierung in der DSGVO wieder. Gemäß Art. 5 Abs. 1 lit. c) DSGVO muss die Verarbeitung personenbezogener Daten „dem Zweck angemessen und erheblich sowie auf das für den Zweck der Datenverarbeitung notwendige Maß beschränkt“ sein. Es dürfen also nur diejenigen personenbezogenen Daten verarbeitet werden, die auch wirklich notwendig sind.

Ohnehin schon als „Digitalisierungs-Bremse“ verschrien, hat die DSGVO bei einer Berufsgruppe einen besonders schweren Stand: Marketing-Abteilungen scheinen besonders häufig an der DSGVO und ihren Vorgaben zu verzweifeln. Aber möchte die DSGVO grundsätzlich die Nutzung von Daten „zu Werbezwecken“ verbieten?

Das LG München hat ein richtungweisendes Urteil gesprochen. Dem Opfer einer Datenschutz-Verletzung wurde ein deutlicher Schadensersatz zugesprochen. Dabei stellte das Gericht fest, dass es nicht auf einen tatsächlichen Schaden ankommt, und nicht einmal auf die konkrete Möglichkeit eines Schadens.

Spätestens seit dem Cambridge-Analytica (CA)-Skandal 2018 hätten die User der Plattform Facebook hellhörig werden müssen. Damals wurden die Daten von Millionen Facebook-Usern für ein politisches Microtargeting genutzt, um die US-Wahl im Jahre 2018 auf ein politisches Meinungsbild zu lenken. So führte Donald Trump seinen Onlinewahlkampf und konnte damit höchstwahrscheinlich das Wahlverhalten der Wählenden beeinflussen. Auch das Brexit-Referendum 2016 wurde durch intensives Microtargeting begleitet.

Schrems I und II, Angemessenheitsbeschlüsse, Standardvertragsklauseln, geeignete Garantien, Transfer Impact Assessments – die meisten Lesenden werden diese Begriffe entweder aus der Beratungspraxis oder aus ihrer betriebsinternen Tätigkeit im Rahmen des Datenschutzes kennen. Inzwischen sträuben sich vielleicht bei dem einen oder anderen die Haare, sobald sie diese Schlagwörter hören. In manchen Momenten lässt sich nachvollziehbar die Frage stellen, ob die ursprüngliche Idee des Wettbewerbsvorteils durch die DSGVO sich wirklich realisiert hat oder überhaupt noch realisieren kann.

Im § 293 Abs. 8 SGB V ist die Erstellung eines bundesweiten Verzeichnisses der ambulanten Leistungserbringer sowie der bei den Leistungserbringern beschäftigten Personen geregelt. Dabei werden die Beschäftigten erfasst, die „häusliche Krankenpflege nach § 37, außerklinische Intensivpflege nach § 37c oder Leistungen der häuslichen Pflegehilfe im Sinne des § 36 Absatz 1 des Elften Buches erbringen.“

Die Idee eines digitalen Universums tauchte erstmals 1992 in dem Roman "Snow Crash" des Autors Neal Stephenson auf. In diesem Roman konnten die Figuren mit Hilfe ihrer Avatare Zuflucht in einer solchen digitalen Welt suchen. Dreißig Jahre später sind wir dieser Vision eines digitalen Universums näher als je zuvor. Laut dem Metaverse-Bericht des European Parliamentary Research Services könnte das Metaverse innerhalb der nächsten 10 bis 15 Jahre Realität werden.

Am Donnerstag, den 15.09.2022 hat Microsoft einen neuen Nachtrag zum Datenschutz veröffentlicht (engl. Data Protection Addendum). Ein weiterer Schritt in Richtung Datenschutz und "pro DSGVO"?

Ein Grundsatz ist mittlerweile den meisten Online-Werbetreibenden bekannt: Keine personalisierte Werbung ohne Einwilligung der Betroffenen. Hintergrund ist, dass Voraussetzung für die Anzeige „interessengerechter“ Werbeangebote eine möglichst genaue Kenntnis des Nutzungsverhaltens der betreffenden Nutzenden ist.

Die Auftragsverarbeitung nach Art. 28 DSGVO birgt viele Fallstricke. Nach welchen Normen (DSGVO, KDG oder DSG-EKD) muss der Vertrag verfasst sein?

Ein immer noch wichtiges Mittel für die Gestaltung von Webseiten sind Schriften. Häufig werden die kostenlosen Schriftarten des US Konzerns Google auf Internetseiten verwendet – die so genannten Google Fonts.

Spätestens seit dem „Schrems-II“-Urteil des EuGH im Juli 2020 ist allgemein bekannt, dass US-amerikanische Sicherheitsbehörden Zugriff auf bei US-Cloudanbietern und Tech-Unternehmen liegende Daten haben. Und das, auch wenn diese Nicht-US-Bürgern gehören und physisch nicht in den USA gespeichert sind.

Die Diskussion um die Nutzung von Microsoft Teams ist aktueller denn je. Erst kürzlich beschlossen die Datenschutzaufsichtsbehörden in Baden-Württemberg und Rheinland-Pfalz, dass Microsoft Teams an Schulen nicht länger für Videokonferenzen genutzt werden darf. Dies wirft die Frage auf, ob eine datenschutzkonforme Gestaltung dieser Nutzung überhaupt möglich ist und wenn ja, wie diese aussehen kann.

Seit dem 01.04.2017 ist die Videosprechstunde als erste telemedizinische Leistung in die Regelversorgung aufgenommen. Wenn Arztpraxen und Kliniken Videosprechstunden anbieten wollen, haben sie sicherzustellen, dass der Datenschutz und das Patientengeheimnis in gleicher Weise gewahrt bleiben wie bei Vor-Ort-Sprechstunden.

Die meisten Unternehmen sind durch eine eigene Unternehmensseite (zum Beispiel eine Facebook-„Fanpage“) auf Social-Media-Plattformen vertreten – schließlich bieten sie sowohl für die Öffentlichkeitsarbeit als auch für den kundennahen Kontakt besonders gute Kommunikationsmöglichkeiten. Doch schon seit mehreren Jahren stehen Social-Media-Plattformen, darunter insbesondere Facebook beziehungsweise Meta, in der Kritik des Bundesbeauftragten für Datenschutz Ulrich Kelber und der Konferenz der unabhängigen Datenschutzbehörden (DSK).

Am 25.03.2022 verkündeten Ursula von der Leyen (EU-Kommissionspräsidentin) und Joe Biden (US-Präsident) eine "grundsätzliche Einigung" über ein neues Regelwerk, das einen datenschutzkonformen Transfer zwischen den USA und der EU ermöglichen soll. Kritik ließ nicht lange auf sich warten – vor allem von Maximilian Schrems, dem Juristen, Datenschutzaktivisten und Namensgeber der "Schrems-Urteile".

Am 20.03.2022 ist das geänderte Infektionsschutzgesetz in Kraft getreten. Im Vorfeld, aber auch nach der Verabschiedung gab es kontroverse Debatten und Aussagen.

Was passiert, wenn man wissenschaftliche Erkenntnisse und fundiertes Praxiswissen miteinander kombiniert? Es entsteht eine Kooperation von Althammer & Kill mit der Hochschule Hannover.

Würde die „interne Meldestelle“ jemals Daten herausgeben?

Spätestens seit dem 17. Dezember ist die EU-Whistleblower-Richtlinie (EU-WBRL) ein großes Thema. Der Bundestag unterlag nämlich bis zum 17. Dezember 2021 einer Umsetzungsfrist für die EU-Whistleblowing-Richtlinie. Diese Frist hat er leider verpasst. Seit November 2020 liegt zwar ein Referentenentwurf vor – dieser wurde aber aufgrund von Meinungsverschiedenheiten innerhalb der großen Koalition nicht verabschiedet.

Unternehmen, die im Zuge ihrer Aufträge personenbezogene Daten verarbeiten, fallen unter die Datenschutzgrundverordnung DSGVO. Dies gilt auch für IT-Dienstleister, da sie oftmals die IT- und Softwarestruktur für andere Unternehmen umsetzen. Regelmäßig werden hierbei personenbezogene Daten im Auftrag dieser Unternehmen durch den IT-Dienstleister verarbeitet.

Seit nunmehr 3½ Jahren ist die DSGVO in Kraft. War anfangs die Aufregung um das neue Datenschutzgesetz groß, ist sie inzwischen weitestgehend verklungen – ist doch die befürchtete Welle von Bußgeldern ausgeblieben.

Welche Daten müssen wann gelöscht werden? Wie lange darf ich die Daten speichern? Spätestens beim Eintragen der Speicherdauer in das Verarbeitungsverzeichnis rückt dieses abstrakte Thema in den Vordergrund.

Die dynamische Einbindung von Google Fonts ohne Einwilligung ist rechtswidrig – so lautet das Urteil der Richter am Landgericht München (20.01.2022). In diesem Blog-Beitrag erläutern wir, wie es zu diesem wegweisenden Urteil kam und welche Handlungen nun zu tätigen sind.

Seit dem 28. Januar 2007 wird der Europäische Datenschutztag begangen. Initiiert vom Europarat soll dieser Aktionstag die Bürger für Datenschutz zu sensibilisieren – meistens mittels von öffentlichen Stellen organisierten Kampagnen und Veranstaltungen.

Bereits seit 1. Januar 2022 ist die digitale Übermittlung der Arbeitsunfähigkeitsbescheinigung (AU) von Arztpraxen an die Krankenkassen verpflichtend, ab 1. Juli 2022 soll die Krankschreibung dann auch elektronisch an den Arbeitgeber übermittelt werden – und zwar von den Krankenkassen. Arbeitnehmende müssen den „gelben Schein“ dann nicht mehr selbst im Unternehmen abgeben. Was müssen Unternehmen beachten?

Vor dem Hintergrund hoher Fallzahlen in der 4. Corona-Infektionswelle und der unlängst auf der Bildfläche erschienenen Omikron-Variante des Virus werden Forderungen laut, den Schutz der Nutzerdaten vor allem der Corona-Warn-App (CWA) zu reduzieren.

Manche Datenschützer benutzen IP-Geodaten-Dienste, um den Standort von Servern zu ermitteln und dann über den Datentransfer zu entscheiden. Das ist so, als würde man einen Holzhammer benutzen, um Tomatenscheiben zu schneiden – es ist das falsche Werkzeug. Denn die IP-Lokalisierungs-Dienste sind nur dafür gedacht, den Standort von Web-Usern zu bestimmen, um ihnen Vor-Ort-Werbung zu liefern. Wenn es um den Standort von Servern geht, treffen sie oft nicht einmal den richtigen Kontinent.

Die Datenschutzgrundverordnung (DSGVO) hat eine enorme Durchsetzungskraft. Diese beruht vor allem darauf, dass nun die Aufsichtsbehörden gemäß Art. 83 DSGVO hohe Bußgelder verhängen können. Wir werfen einen Blick auf die Entwicklung der Bußgelder nach dreieinhalb Jahren DSGVO.

Seit dem 24.11.2021 greift die Novelle des Infektionsschutzgesetzes (IfSG) – unter anderem gilt jetzt die 3G-Regel am Arbeitsplatz. Was bedeutet das für Ihr Unternehmen? Wir haben für Sie die wesentlichen Punkte zusammengefasst und geben Tipps zur datenschutzkonformen Umsetzung, sowie kostenlose Vorlagen für Corona Datenschutzhinweise DSG-EKD, KDG & DSGVO.

Zu den Grundlagen der Datenverarbeitung gehört unter anderem der Grundsatz der Integrität und Vertraulichkeit. Informationssicherheitsbeauftragte wissen damit umzugehen.

Um unseren Alltag während der Corona-Pandemie zu unterstützen und die Ausbreitung des Virus einzudämmen, ist die Kontaktnachverfolgung ein wichtiges Kernelement. In diesem Rahmen entschieden sich im Frühjahr diesen Jahres 13 Bundesländer für Einsatz der Luca-App.

Die Frage, ob Mitarbeitenden die private Nutzung des Internets auf Dienstcomputern erlaubt werden sollte, stellt sich Arbeitgebern regelmäßig. Auf der einen Seite handelt es sich um einen netten Benefit, der ein Unternehmen nichts kostet und zu einer höheren Mitarbeiterzufriedenheit führt. Auf der anderen Seite ergeben sich hieraus diverse juristische Folgeprobleme, die nicht immer absehbar sind.

Oft wird man als Datenschutzberater von Klienten gefragt, wo genau die eine oder andere Verfahrensweise im Umfeld des Datenschutzes eigentlich konkret in der Datenschutz-Grundverordnung (DSGVO) zu finden ist. Fast ebenso oft lautet die Antwort, dass sie sich aus den dort formulierten Prinzipien ableiten lässt. Was aber bedeutet das anschaulich?

Das jüngste Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien (TTDSG) soll ab Dezember 2021 mehr Rechtssicherheit und Rechtsklarheit zum Schutz der Privatsphäre in der Online-Welt ermöglichen – aber werden die Bestimmungen auch ein nutzerfreundlicheres digitales Neuland schaffen?

Unabhängig davon ob im Umgang mit Verschlüsselungstrojaner, Datenschutzverletzung, Compliance-Vorfall oder eines sonstigen Krisenereignisses in der Organisation – professionelle Krisenkommunikation folgt bestimmbaren Grundprinzipien. Wir haben acht Erfolgsfaktoren zur wirksamen Prävention für Sie zusammengefasst.

Jahrzehntelang galt das Telefax als vertrauensvolles Kommunikationsmittel zwischen Absender und Empfänger, da im Bereich der Telekom das Telefax dem Fernmeldegeheimnis unterlag. Damit konnten auch sensible personenbezogenen Daten übertragen werden. Der Inhalt des Telefaxes wurde auf dem Übertragungsweg zwischen dem Absender, der Telekom und dem Empfänger nicht zwischengespeichert; das Fernmeldegeheimnis endete, sobald das Dokument dem Empfänger zugestellt worden war.

Web Application Firewalls sichern Webanwendungen und die darin verarbeiteten personenbezogenen Daten wirksam ab. Doch sie schaffen auch neue Datenschutz-Risiken. Nur eine differenzierte Betrachtung löst den Widerspruch auf.

Das digitale Briefgeheimnis ist de facto beerdigt: Am 6. Juli 2021 hat eine Mehrheit von 537 der 694 Abgeordneten des EU-Parlamentes einer Ausnahmeverordnung zugestimmt, die es Chat- und Messenger-Providern erlaubt, private Chats, Nachrichten und E-Mails verdachtslos und flächendeckend auf verdächtige Inhalte zu durchsuchen; die Zustimmung des Rates gilt als sicher. Es ist außerdem geplant, aus dieser Erlaubnis zeitnah eine Verpflichtung zu machen. Als Begründung für diesen gravierenden Eingriff in die freiheitlichen Grundrechte dient der Kampf gegen Kindesmissbrauch und Cyber-Grooming.

Die Datenschutz-Folgenabschätzung (DSFA) im Sinne des Art. 35 DSGVO (vgl. § 34 DSG-EKD/ § 35 KDG) verlangt eine Betrachtung neuer Verarbeitungstätigkeiten, bevor diese eingeführt werden. Gesetzlich zwar normiert, stellt die Herangehensweise doch viele vor grundlegende Probleme und zwangsläufig stellt sich die Frage, wann und vor allem wie eine DSFA durchzuführen ist. Einen kurzen Überblick möchten wir Ihnen hier an die Hand geben.

Um den Schutz von Betriebs- und Geschäftsgeheimnissen in Europa auf einen einheitlichen Mindeststandard zu heben, ist am 26. April 2019 das Gesetz zum Schutz von Geschäftsgeheimnissen – kurz Geschäftsgeheimnisgesetz (GeschGehG) – in Kraft getreten. Das Gesetz dient der Verhinderung des unerlaubten Erwerbs, Nutzung und Offenlegung von Geschäftsgeheimnissen.

Auch in diesem Jahr fand am vergangenen Freitag (11.06.) die jährliche Verleihung der BigBrotherAwards statt. Es handelt sich hierbei um eine internationale Veranstaltung, die Datensünder in Wirtschaft und Politik mit dem – wie die Zeitung Le Monde es formuliert hat – „Oscar für Datenkraken“ auszeichnet.

Jeder kennt es, das kleine gelbe Heft mit dem Logo der WHO und dem Aufdruck „Internationale Bescheinigungen über Impfungen und Impfbuch“. Nachdem das Dokument von vielen seiner Besitzer lange Zeit eher stiefmütterlich behandelt wurde, hat ihm die Corona-Pandemie nun erhöhte Wertschätzung verliehen. Der Eintrag einer vollständigen Corona-Schutzimpfung ist begehrt – erleichtert er doch schon jetzt den Zugang zu vielen Facetten des öffentlichen Lebens und erspart Wartezeiten auf Reisen.

Schon vor einiger Zeit wurde bekannt, dass einige bundesdeutsche Datenschutzaufsichtsbehörden Kontrollen des Transfers personenbezogener Daten in die USA vorbereiten* – nun ist es so weit: Die Landesbeauftragten für Datenschutz aus Baden-Württemberg, Bayern, Berlin, Bremen, Brandenburg, Hamburg, Niedersachsen, Rheinland-Pfalz und dem Saarland verschicken in diesen Tagen Fragebögen auf Basis eines gemeinsamen Fragenkataloges.

Am 25.05.2018 endete die Übergangsfrist zur Umsetzung der „Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG“ – kurz der DSGVO.

Die Erhebung von Gesundheitsdaten durch medizinische Labore aufgrund einer ärztlichen Beauftragung ist ein alltäglicher Vorgang. Wegen der Sensibilität von Gesundheitsdaten lohnt es sich jedoch genauer hinzuschauen, welche datenschutzrechtlichen Vorkehrungen notwendig sind.

Der Messenger-Dienst WhatsApp ändert seine Nutzungsbedingungen zum 15. Mai 2021. Zustimmen muss jeder, der ihn auch danach noch nutzen möchte. Das ruft gewohnheitsmäßig Verbraucherschutzbehörden und die Datenschutzaufsicht auf den Plan. Wir klären, was es mit der Änderung auf sich hat.

Nutzer von Microsoft 365, Azure und Dynamics 365 können auf vollständige DSGVO-Konformität hoffen. Gute Neuigkeiten erreichten uns heute, 06. Mai 2021 aus Redmond (USA). Microsoft verspricht seinen gewerblichen und öffentlichen Kunden in der Europäischen Union zukünftig eine komplette Speicherung und Verarbeitung ihrer Daten in den Rechenzentren in Europa zu ermöglichen.

Am 3. Mai war „Internationaler Tag der Pressefreiheit“ – initiiert von der UNESCO soll er seit 1994 jährlich für die grundlegende Bedeutung von Meinungs- und Pressefreiheit in Demokratien sensibilisieren. Wie aber kann freie Berichterstattung mit Datenschutz vereinbart werden?

Immer häufiger machen Bußgelder der Aufsichtsbehörden für den Datenschutz Schlagzeilen. Dabei geht es von wenigen hundert Euro an eine Privatperson für das Versenden einer unverschlüsselten E-Mail mit Beweismaterial zu Verkehrsverstößen an die Bußgeldabteilung einer Stadt bis hin zu mehreren Millionen Euro an ein Unternehmen wegen der Überwachung hunderter Mitarbeitender.

Aktuell sind vermehrt Phishing-Mails im Zusammenhang mit der Corona-Pandemie im Umlauf. Insbesondere der Gesundheitssektor erlebt seit dem ersten Lockdown im März 2020 eine um 200% gestiegene Anzahl von Phishing-Attacken.

„Google stellt das individuelle Tracking ein“ – so oder so ähnlich lauten aktuelle Meldungen, die insbesondere die Branche der Onlinehändler und die Werbeindustrie in Aufruhr versetzen.

Unternehmen werden zum Einsatz internationaler Software-as-a-Service-Anbieter wie Office 365, Amazon Web Services (AWS) und anderen befragt.

Die Strukturen in IT-Landschaften verändern sich zunehmend mehr in die Richtung von Cloudangeboten mit modernen Arbeitsplatzumgebungen.

Der Europäische Datenschutztag geht auf eine Initiative des Europarates zurück und wurde erstmals am 28. Januar 2007 begangen.

Der Brexit ist vollzogen – und auf den letzten Drücker gab es doch noch eine Einigung über die zukünftigen Handelsbeziehungen. Wie sieht es jetzt aber mit dem Austausch von Daten aus?

Weihnachten steht vor der Tür und damit endet ein Jahr wie keins zuvor – wir freuen uns auf das neue und wünschen eine gute Zeit.

Genügt Ihr Unternehmen den Anforderungen der DSGVO? Mit einem Audit kann untersucht werden, ob Prozesse und Richtlinien die geforderten Standards erfüllen.

Markt und Straßen steh`n verlassen – der Weihnachtsmann kommt trotzdem!

Was lange währt, wird endlich gut! Doch ist dem so? Anfang Juli hat der Bundestag das Gesetz zum Schutz elektronischer Patientendaten in der Telematikinfrastruktur verabschiedet.

Viele Unternehmen in Niedersachsen bekommen derzeit Post von der Landesbeauftragten für den Datenschutz Niedersachsen. Hintergrund ist eine Umstellung des Verfahrens zur Meldung des Datenschutzbeauftragten (DSB) an die Aufsichtsbehörde, die schon am 1. Oktober 2018 erfolgt ist: Seit diesem Datum betreibt die LfD zu diesem Zweck ein eigenes Meldeportal unter der URL „https://nds.dsb-meldung.de/“.

Eine Frage, die sich Unternehmen bei der Nutzung von Clouddiensten immer stellen müssen, lautet: „Wo werden meine Daten gespeichert und verarbeitet?“. Bei einigen Anbietern ist diese Frage noch relativ einfach zu beantworten, doch können Sie das auch bei einem Anbieter wie Microsoft mit seinem komplexen Cloudangebot „Microsoft 365“?

Die Sensibilität für das Phänomen Social Engineering noch immer gering – dabei sind die Angriffe, die der der Logik der "Manipulation des Menschen" folgen, mittlerweile zahlreich. Ob „Spear Fishing“, „CEO Fraud“ oder der einfache Anruf unter falschem Namen, um an wichtige Informationen zu kommen: Es wird geschummelt und getrickst – zum Leidwesen der Angegriffenen. Doch wie begegnet ein Unternehmen solchen Angriffen effektiv?

In dieser Woche wollen wir einen Blick über den Atlantik werfen und einmal beleuchten, wie die Amerikaner über das Scheitern des EU-US Privacy Shield denken. Die nachfolgenden Zeilen spiegeln dabei nicht unsere Meinung wider, sondern sind lediglich die nüchterne Darlegung des Sachverhaltes – aber eben aus amerikanischer Sicht.

Am 01.10.2020 hat der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, Prof. Dr. Johannes Caspar, ein bemerkenswertes Bußgeld gegen die Modekette H&M Hennes & Mauritz Online Shop A.B. & Co. KG erlassen. Was macht dieses Bußgeld so bemerkenswert?

Seit unserem letzten Update sind bereits zwei Wochen vergangen und wir möchten Sie über die aktuellen Ereignisse rund um das Scheitern des EU-US Privacy Shield und den Diskussionen der letzten Tage informieren.

In den letzten Tagen und Wochen hat sich die Aufregung um das Scheitern des EU-US Privacy Shield etwas gelegt. Jedoch ist zu beobachten, dass nun, knapp 7 Wochen nach dem „Urknall“, in vielen Köpfen die Erkenntnis gereift ist: Das Urteil geht an meiner Organisation nicht spurlos vorbei.

Nachdem wir letzte Woche den Handlungsbedarf auf Webseiten erörtert haben, zeigt dieser Sondernewsletter den Handlungsbedarf sowie die dazugehörigen Optionen bei allen Verarbeitungstätigkeiten, an denen Auftragsverarbeiter und/oder Subauftragnehmer in Drittländern beteiligt sind.

Immer wieder stellt sich in der Praxis die Frage nach der zivilrechtlichen Haftung des internen Datenschutzbeauftragten (DSB) und seinem eingeschränkten Kündigungsrecht, und tatsächlich ist das Thema nicht ganz ohne Fallstricke.

Das EuGH-Urteil (Schrems II) ist noch keinen Monat alt – umso logischer erscheint es, dass vielerorts noch immer Unsicherheit herrscht, wie nun weiter verfahren werden soll. Es werden Stimmen laut, die davon ausgehen, dass es zeitnah ein neues Abkommen zwischen der EU und den USA geben wird.

Nachdem wir letzte Woche auf das European Data Protection Board (EDPB) geschaut haben, hat sich nun auch die Datenschutzkonferenz (DSK) zum Scheitern des EU-US Privacy Shield geäußert. Auf die wesentlichen Entscheidungen der DSK nehmen wir in diesem Sondernewsletter Bezug.

Die aktuellen Geschäftspraktiken des Unternehmens Clearview AI aus den USA geben wieder einmal Anlass dazu, über biometrische Daten im Zusammenhang mit neuen Technologien zur Gesichtserkennung nachzudenken. Denn für Ermittlungsarbeit benutzen Behörden weltweit vermehrt Bilddaten, die private Unternehmen aus öffentlich zugänglichen Datensammlungen entnehmen und als Dienstleistung anbieten.

Auch in dieser Woche möchten wir Sie über die aktuellen Ereignisse rund um das Scheitern des EU-US Privacy Shield informieren. Nachdem es in der ersten Woche nach bekanntwerden des Urteils noch ruhig blieb, gibt es nun einige Antworten auf die zahlreichen Fragen. Das Heft hat hier unter anderem das EDPM (European Data Protection Board) in die Hand genommen.

Die Corona-Pandemie wirft in Deutschland eine Vielzahl an datenschutzrechtlichen Fragestellungen auf. Nicht zuletzt durch die Corona-Krise werden viele Gesellschafter und Inhaber von Betrieben gezwungen sein, Ihr Unternehmen oder einzelne Gesellschaftsanteile zu veräußern oder gar Insolvenzantrag zu stellen.

Bereits in der vergangenen Woche haben wir Sie über die Entscheidung des Europäischen Gerichtshof (EuGH) zum EU-US Privacy Shield informiert. Da dies potenziell Auswirkung auf alle europäischen Unternehmen hat, möchten wir Sie in den kommenden Wochen regelmäßig über neue Entwicklungen informieren.

Der Europäische Gerichtshof hat am heutigen Tag das EU-US Privacy Shield gekippt. Dies hat enorme Auswirkungen für Organisationen in der gesamten EU.

Die Softwareprodukte der Firma Microsoft, allen voran „Microsoft 365“ (früher „Office 365“), wandern mehr und mehr in die „Cloud“ – ein Trend, der auch bei vielen anderen Anbietern zu beobachten ist. Das hat für die Anwender viele Vorteile, als Nebeneffekt bedeutet es aber einen gewissen Kontrollverlust hinsichtlich der verarbeiteten Daten und damit u.U. Probleme bei der Datenschutz-Compliance.

Einige Monate später als ursprünglich geplant ging am Dienstag die „Corona-Warn-App“ (CWA) der Bundesregierung an den Start und steht nun für iOS- und Android-Endgeräte zum Download bereit. Ursache für die Verzögerung war unter anderem die emotional geführte Debatte zu den Datenschutzaspekten der App. Wie ist es jetzt darum bestellt?

Nicht nur privat, sondern auch in Unternehmen ist es wegen der Corona-Pandemie für viele nötig gewesen, neue Wege zu finden, die Kommunikation aufrecht zu erhalten. Einer dieser Wege ist die Nutzung von Videokonferenzsystemen. Bei der Einführung kann man aber viele Fehler machen.

Microsoft 365 (der neue Name von Office 365) wird bereits von vielen Unternehmen eingesetzt oder der Einsatz befindet sich in Planung. Dies ist allerdings nur eins der bekanntesten Beispiele, bei denen es aus Datenschutzsicht um eine Übermittlung und Verarbeitung personenbezogener Daten außerhalb der EU geht. Wie kann die Datenübermittlung rechtssicher gestaltet werden?

Von vielen heiß ersehnt dürfen ab Montag (04.05.2020) Friseurbetriebe wieder ihre Dienste anbieten – zumindest einen Teil davon und unter den gebotenen Sicherheitsmaßregeln. Dazu gehören auch einige Auflagen, die den Datenschutz berühren. Was ist also zu beachten?

Seit März 2020 hat SARS-CoV-2 Deutschland und seine Wirtschaft fest im Griff. Um weiterhin handlungsfähig zu bleiben, haben eine Vielzahl von Unternehmen entschieden, ihre Mitarbeitenden im umgangssprachlichen „Homeoffice“ arbeiten zu lassen. Wir sprechen in den meisten Fällen nicht von einem im vornerein strukturierten und bis ins kleinste Detail durchgeplanten Prozess, sondern eher von einer schnell umgesetzten bedarfsmäßigen Übergangslösung. Datenschutzkonform? Wohl eher nicht...

Bereits vier von zehn Unternehmen erlauben ihren Mitarbeitern, ihre Arbeitsleistung von zu Hause aus zu erbringen – das umgangssprachliche „Homeoffice“. Diese Zahl erscheint im ersten Moment vielleicht hoch, aber sie zeigt, dass zumindest sechs von zehn Unternehmen noch keine internen Regelungen hierzu getroffen haben.

Im Alltag muss man sich an vielen Stellen darauf verlassen können, dass die Dinge in einem geordneten Rahmen verlaufen und dass wichtige Abläufe überprüft werden. Doch gilt das, was für die Lebensmittelsicherheit und das Auto gilt, auch für den Datenschutz? Oder anders gefragt: Kann man Datenschutz zertifizieren lassen?

Mittels Video-Konferenzsysteme können Mitarbeitende, Lieferanten und Kunden Meetings abhalten und gemeinsam arbeiten, ohne dafür am selben Ort sein zu müssen. In Zeiten von Ausgangsbeschränkungen vermutlich die einzig praktikable Maßnahme, um weiter kollaborativ arbeiten zu können.

Grundsätzlich können Mitarbeitende Papierakten mit nach Hause nehmen! Aber ...

Auch in Zeiten von Corona gilt, den Grundsatz der Verhältnismäßigkeit sowie die gesetzlichen Grundlagen zu beachten. Dient die Erhebung der Gesundheitsdaten jedoch dem Ziel, die Corona-Pandemie einzudämmen und zu bekämpfen, kann dies als legitim angesehen werden.

Keine Thematik bewegt die Welt derzeit so stark, wie das Corona-Virus. Die Zahl der Neu-Infektionen steigt täglich und verlangt nach geeigneten Schutzmaßnahmen, sowohl privat, als auch im öffentlichen Bereich und im beruflichen Kontext. Der Schutz der Beschäftigten ist essenziell – nicht zuletzt auch vor dem Hintergrund der Vermeidung von Standort- oder Einrichtungsschließungen. Neben Akut-Maßnahmen, wie der Förderung des Arbeitens im Home-Office und der Umstellung auf Video- und Telefonkonferenzen, die den direkten persönlichen Kontakt unterbinden sollen, gibt es auch zahlreiche weitere Ansätze.

Das Corona-Virus SARS-CoV-2 (COVID-19) hat Deutschland und damit seine Wirtschaft voll im Griff. Als Reaktion darauf, insbesondere um handlungsfähig zu bleiben, verordnen Unternehmen ihren Mitarbeitern umgangssprachlich „Homeoffice“.

Grundsätzlich dürfen Unternehmen Besucherlisten führen. So zum Beispiel, um schon unter normalen Umständen feststellen zu können, welche Personen sich im Gebäude aufhalten.

Sehr geehrte Kunden und Geschäftspartner,

wir möchten Sie gern persönlich darüber informieren, wie wir bei Althammer & Kill mit der aktuellen Situation bezüglich der COVID-19-Pandemie umgehen.

Das Corona-Virus erfordert von vielen Unternehmen ein Umstellen auf „Homeoffice“. Dieses bedarf einer näheren Betrachtung der Maßnahmen in Unterscheidung von Telearbeit, mobilem Arbeiten und Bring-Your-Own-Device und der damit verbundenen datenschutzrechtlichen Problematik.

Mobilität ist eines der Stichworte, die die vergangenen Jahre bestimmt haben und auch die nächsten bestimmen werden. Kaum jemand mag sich vorstellen, die Wohnung ohne Smartphone zu verlassen. Oft ersetzt der Westentaschencomputer schon das stationäre Gerät zu Hause – sei es teilweise oder sogar ganz. Was aber beim Schreibtischgerät üblich und bis zu einem gewissen Grad relativ leicht umzusetzen ist, gestaltet sich beim Handy bisweilen aufwendiger: Schutz vor Tracking.

Sicherlich besteht weitestgehend Einigkeit darüber, dass Schul- und Kindergartenkinder wirksam vor Masern geschützt werden müssen. Diesbezüglich hat der Bundestag im November vergangenen Jahres das sogenannte „Gesetz für den Schutz vor Masern und zur Stärkung der Impfprävention“ (oder kurz: Masernschutzgesetz) beschlossen – es gilt ab dem 01. März 2020.

Sicherlich kann man darüber streiten, ob Datenschutzgesetze sexy sind. Personenbezogene Daten sind jedoch unbestritten wertvoll und werden auch gerne als Rohstoff des 21. Jahrhunderts bezeichnet. Das wertvolle Dinge geschützt werden sollten, versteht sich eigentlich von selbst. Somit ist Datenschutz zweifellos zumindest attraktiv.

Der internationale Safer Internet Day 2020 findet am 11. Februar statt. Unter dem Motto "Together for a better internet" hat die Initiative der Europäischen Kommission wieder weltweit zu Veranstaltungen und Aktionen rund um das Thema Internetsicherheit aufgerufen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) lud am vergangenen Dienstag zur Vorstellung des neuen "Cloud Computing Compliance Criteria Catalogue" (C5) in die Bankenmetropole Frankfurt am Main.

Der Support für die Betriebssysteme Windows 7 und Windows Server 2008 bzw. 2008 R2 ist abgelaufen. Privatleute wie Unternehmen sollten bereits auf ein aktuelles Betriebssystem umgestiegen sein. Was sind die Konsequenzen, wenn dies nicht geschieht? Welche Möglichkeiten gibt es jetzt noch?

Die Hiobsbotschaften zum Jahresende 2019 häuften sich. Ob die Universität Gießen, die Stadtverwaltung Alsfeld oder Frankfurt am Main, Hackerattacken und Virenbefall, z.B. durch Emotet, ließen die IT-Infrastruktur zahlreicher großer Unternehmen und Behörden in die Kniee gehen.

Die Datenschutzgrundverordnung (DSGVO) wirft immer noch viele Fragen auf, dies auch gerade im Hinblick auf die Anforderungen an die IT-Sicherheit. Denn diese ist nun fester Bestandteil der datenschutzrechtlichen Vorgaben (Art. 5; Art. 32 DSGVO).

Wie jedes Jahr ist es kurz vor Weihnachten Zeit für den Weihnachtsmann nicht nur die Weihnachtsroute zu planen, alle Schlitten durchzuchecken und die Rentiere noch einmal an ihre Sportübungen zu erinnern, damit sie die geplanten Routen auch in der der dafür vorgesehenen Zeit schaffen, nein es ist auch die Zeit für das alljährliche Datenschutzresümee.

Weihnachten steht vor der Tür und damit vielfach ein Anlass, vermehrt Geld den Besitzer wechseln zu lassen. Um das möglichst leichtzumachen, drängen immer mehr neuartige Bezahlsysteme auf den Markt, doch diese haben es im technologie-konservativen Deutschland schwer. Selbst die 18-34-jährigen „Millennials“ wollen nach einer Umfrage des britischen Meinungsforschungsunternehmens YouGov mehrheitlich die Bezahlmöglichkeit per Handy nicht nutzen. Ist diese Skepsis angebracht?

Stirbt eine Person, wird dies meist über eine Traueranzeige in einer Zeitung oder auf Social-Media-Plattformen bekannt gegeben. Zunehmend wird in diesen Anzeigen darauf verwiesen, dass von Blumen oder Kranzspenden abzusehen sei und stattdessen an soziale und wohltätige Organisationen gespendet werden soll. Häufig verlangen die Angehörigen die Übermittlung der Spenderliste vom Spendenempfänger, um den Spendern persönlich danken zu können.

Die Datenschutzgrundverordnung (DSGVO) wirft auch nach 18 Monaten „Betrieb“ noch viele Fragen auf, gerade im Hinblick auf das Auskunftsrecht des Betroffenen. Und das obwohl dieses kein neues Recht ist, sondern bereits unter dem BDSG vorhanden war. Wir beantworten in diesem Beitrag die sechs wichtigsten Fragen zum Thema.

Der Europäische Datenschutzausschuss (EDSA) hat am 16.10.2019 Leitlinien zur Verarbeitung von personenbezogenen Daten im Rahmen (vor-)vertraglicher Maßnahmen im Bereich der Online-Dienste veröffentlicht.

Mit der Verabschiedung des dritten Telemedienänderungsgesetz am 30.06.2017 bezweckte der Gesetzgeber die Rechtsunsicherheit über die Haftungslage beim Betrieb von WLANs aufzuheben, um somit die Verbreitung von offenen Netzen in Deutschland, die im Vergleich zu anderen Ländern deutlich geringer ausfällt, zu fördern.

Heutzutage benötigt jede europäische Website eine eigene Datenschutzerklärung. Wenn Sie Websites gewerblich betreiben, dann wird schon eine mangelhafte Datenschutzerklärung als ein Wettbewerbsverstoß angesehen, welcher im Interesse der Konkurrenz teuer abgemahnt werden kann. Die Strafen für rechtmäßige Abmahnungen nach Datenschutzgrundverordnung (DSGVO) können theoretisch in Millionenhöhe ergehen – aber wie zeigt sich dieses Risiko in der Praxis?