News

Das digitale Briefgeheimnis ist de facto beerdigt: Am 6. Juli 2021 hat eine Mehrheit von 537 der 694 Abgeordneten des EU-Parlamentes einer Ausnahmeverordnung zugestimmt, die es Chat- und Messenger-Providern erlaubt, private Chats, Nachrichten und E-Mails verdachtslos und flächendeckend auf verdächtige Inhalte zu durchsuchen; die Zustimmung des Rates gilt als sicher. Es ist außerdem geplant, aus dieser Erlaubnis zeitnah eine Verpflichtung zu machen. Als Begründung für diesen gravierenden Eingriff in die freiheitlichen Grundrechte dient der Kampf gegen Kindesmissbrauch und Cyber-Grooming.

Die Datenschutz-Folgenabschätzung (DSFA) im Sinne des Art. 35 DSGVO (vgl. § 34 DSG-EKD/ § 35 KDG) verlangt eine Betrachtung neuer Verarbeitungstätigkeiten, bevor diese eingeführt werden. Gesetzlich zwar normiert, stellt die Herangehensweise doch viele vor grundlegende Probleme und zwangsläufig stellt sich die Frage, wann und vor allem wie eine DSFA durchzuführen ist. Einen kurzen Überblick möchten wir Ihnen hier an die Hand geben.

Um den Schutz von Betriebs- und Geschäftsgeheimnissen in Europa auf einen einheitlichen Mindeststandard zu heben, ist am 26. April 2019 das Gesetz zum Schutz von Geschäftsgeheimnissen – kurz Geschäftsgeheimnisgesetz (GeschGehG) – in Kraft getreten. Das Gesetz dient der Verhinderung des unerlaubten Erwerbs, Nutzung und Offenlegung von Geschäftsgeheimnissen.

Auch in diesem Jahr fand am vergangenen Freitag (11.06.) die jährliche Verleihung der BigBrotherAwards statt. Es handelt sich hierbei um eine internationale Veranstaltung, die Datensünder in Wirtschaft und Politik mit dem – wie die Zeitung Le Monde es formuliert hat – „Oscar für Datenkraken“ auszeichnet.

Jeder kennt es, das kleine gelbe Heft mit dem Logo der WHO und dem Aufdruck „Internationale Bescheinigungen über Impfungen und Impfbuch“. Nachdem das Dokument von vielen seiner Besitzer lange Zeit eher stiefmütterlich behandelt wurde, hat ihm die Corona-Pandemie nun erhöhte Wertschätzung verliehen. Der Eintrag einer vollständigen Corona-Schutzimpfung ist begehrt – erleichtert er doch schon jetzt den Zugang zu vielen Facetten des öffentlichen Lebens und erspart Wartezeiten auf Reisen.

Schon vor einiger Zeit wurde bekannt, dass einige bundesdeutsche Datenschutzaufsichtsbehörden Kontrollen des Transfers personenbezogener Daten in die USA vorbereiten* – nun ist es so weit: Die Landesbeauftragten für Datenschutz aus Baden-Württemberg, Bayern, Berlin, Bremen, Brandenburg, Hamburg, Niedersachsen, Rheinland-Pfalz und dem Saarland verschicken in diesen Tagen Fragebögen auf Basis eines gemeinsamen Fragenkataloges.

Am 25.05.2018 endete die Übergangsfrist zur Umsetzung der „Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG“ – kurz der DSGVO.

Die Erhebung von Gesundheitsdaten durch medizinische Labore aufgrund einer ärztlichen Beauftragung ist ein alltäglicher Vorgang. Wegen der Sensibilität von Gesundheitsdaten lohnt es sich jedoch genauer hinzuschauen, welche datenschutzrechtlichen Vorkehrungen notwendig sind.

Der Messenger-Dienst WhatsApp ändert seine Nutzungsbedingungen zum 15. Mai 2021. Zustimmen muss jeder, der ihn auch danach noch nutzen möchte. Das ruft gewohnheitsmäßig Verbraucherschutzbehörden und die Datenschutzaufsicht auf den Plan. Wir klären, was es mit der Änderung auf sich hat.

Nutzer von Microsoft 365, Azure und Dynamics 365 können auf vollständige DSGVO-Konformität hoffen. Gute Neuigkeiten erreichten uns heute, 06. Mai 2021 aus Redmond (USA). Microsoft verspricht seinen gewerblichen und öffentlichen Kunden in der Europäischen Union zukünftig eine komplette Speicherung und Verarbeitung ihrer Daten in den Rechenzentren in Europa zu ermöglichen.

Am 3. Mai war „Internationaler Tag der Pressefreiheit“ – initiiert von der UNESCO soll er seit 1994 jährlich für die grundlegende Bedeutung von Meinungs- und Pressefreiheit in Demokratien sensibilisieren. Wie aber kann freie Berichterstattung mit Datenschutz vereinbart werden?

Immer häufiger machen Bußgelder der Aufsichtsbehörden für den Datenschutz Schlagzeilen. Dabei geht es von wenigen hundert Euro an eine Privatperson für das Versenden einer unverschlüsselten E-Mail mit Beweismaterial zu Verkehrsverstößen an die Bußgeldabteilung einer Stadt bis hin zu mehreren Millionen Euro an ein Unternehmen wegen der Überwachung hunderter Mitarbeitender.

Aktuell sind vermehrt Phishing-Mails im Zusammenhang mit der Corona-Pandemie im Umlauf. Insbesondere der Gesundheitssektor erlebt seit dem ersten Lockdown im März 2020 eine um 200% gestiegene Anzahl von Phishing-Attacken.

„Google stellt das individuelle Tracking ein“ – so oder so ähnlich lauten aktuelle Meldungen, die insbesondere die Branche der Onlinehändler und die Werbeindustrie in Aufruhr versetzen.

Unternehmen werden zum Einsatz internationaler Software-as-a-Service-Anbieter wie Office 365, Amazon Web Services (AWS) und anderen befragt.

Die Strukturen in IT-Landschaften verändern sich zunehmend mehr in die Richtung von Cloudangeboten mit modernen Arbeitsplatzumgebungen.

Der Europäische Datenschutztag geht auf eine Initiative des Europarates zurück und wurde erstmals am 28. Januar 2007 begangen.

Der Brexit ist vollzogen – und auf den letzten Drücker gab es doch noch eine Einigung über die zukünftigen Handelsbeziehungen. Wie sieht es jetzt aber mit dem Austausch von Daten aus?

Weihnachten steht vor der Tür und damit endet ein Jahr wie keins zuvor – wir freuen uns auf das neue und wünschen eine gute Zeit.

Genügt Ihr Unternehmen den Anforderungen der DSGVO? Mit einem Audit kann untersucht werden, ob Prozesse und Richtlinien die geforderten Standards erfüllen.

Markt und Straßen steh`n verlassen – der Weihnachtsmann kommt trotzdem!

Was lange währt, wird endlich gut! Doch ist dem so? Anfang Juli hat der Bundestag das Gesetz zum Schutz elektronischer Patientendaten in der Telematikinfrastruktur verabschiedet.

Viele Unternehmen in Niedersachsen bekommen derzeit Post von der Landesbeauftragten für den Datenschutz Niedersachsen. Hintergrund ist eine Umstellung des Verfahrens zur Meldung des Datenschutzbeauftragten (DSB) an die Aufsichtsbehörde, die schon am 1. Oktober 2018 erfolgt ist: Seit diesem Datum betreibt die LfD zu diesem Zweck ein eigenes Meldeportal unter der URL „https://nds.dsb-meldung.de/“.

Eine Frage, die sich Unternehmen bei der Nutzung von Clouddiensten immer stellen müssen, lautet: „Wo werden meine Daten gespeichert und verarbeitet?“. Bei einigen Anbietern ist diese Frage noch relativ einfach zu beantworten, doch können Sie das auch bei einem Anbieter wie Microsoft mit seinem komplexen Cloudangebot „Microsoft 365“?

Die Sensibilität für das Phänomen Social Engineering noch immer gering – dabei sind die Angriffe, die der der Logik der "Manipulation des Menschen" folgen, mittlerweile zahlreich. Ob „Spear Fishing“, „CEO Fraud“ oder der einfache Anruf unter falschem Namen, um an wichtige Informationen zu kommen: Es wird geschummelt und getrickst – zum Leidwesen der Angegriffenen. Doch wie begegnet ein Unternehmen solchen Angriffen effektiv?

In dieser Woche wollen wir einen Blick über den Atlantik werfen und einmal beleuchten, wie die Amerikaner über das Scheitern des EU-US Privacy Shield denken. Die nachfolgenden Zeilen spiegeln dabei nicht unsere Meinung wider, sondern sind lediglich die nüchterne Darlegung des Sachverhaltes – aber eben aus amerikanischer Sicht.

Am 01.10.2020 hat der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, Prof. Dr. Johannes Caspar, ein bemerkenswertes Bußgeld gegen die Modekette H&M Hennes & Mauritz Online Shop A.B. & Co. KG erlassen. Was macht dieses Bußgeld so bemerkenswert?

Seit unserem letzten Update sind bereits zwei Wochen vergangen und wir möchten Sie über die aktuellen Ereignisse rund um das Scheitern des EU-US Privacy Shield und den Diskussionen der letzten Tage informieren.

In den letzten Tagen und Wochen hat sich die Aufregung um das Scheitern des EU-US Privacy Shield etwas gelegt. Jedoch ist zu beobachten, dass nun, knapp 7 Wochen nach dem „Urknall“, in vielen Köpfen die Erkenntnis gereift ist: Das Urteil geht an meiner Organisation nicht spurlos vorbei.

Nachdem wir letzte Woche den Handlungsbedarf auf Webseiten erörtert haben, zeigt dieser Sondernewsletter den Handlungsbedarf sowie die dazugehörigen Optionen bei allen Verarbeitungstätigkeiten, an denen Auftragsverarbeiter und/oder Subauftragnehmer in Drittländern beteiligt sind.

Immer wieder stellt sich in der Praxis die Frage nach der zivilrechtlichen Haftung des internen Datenschutzbeauftragten (DSB) und seinem eingeschränkten Kündigungsrecht, und tatsächlich ist das Thema nicht ganz ohne Fallstricke.

Das EuGH-Urteil (Schrems II) ist noch keinen Monat alt – umso logischer erscheint es, dass vielerorts noch immer Unsicherheit herrscht, wie nun weiter verfahren werden soll. Es werden Stimmen laut, die davon ausgehen, dass es zeitnah ein neues Abkommen zwischen der EU und den USA geben wird.

Nachdem wir letzte Woche auf das European Data Protection Board (EDPB) geschaut haben, hat sich nun auch die Datenschutzkonferenz (DSK) zum Scheitern des EU-US Privacy Shield geäußert. Auf die wesentlichen Entscheidungen der DSK nehmen wir in diesem Sondernewsletter Bezug.

Die aktuellen Geschäftspraktiken des Unternehmens Clearview AI aus den USA geben wieder einmal Anlass dazu, über biometrische Daten im Zusammenhang mit neuen Technologien zur Gesichtserkennung nachzudenken. Denn für Ermittlungsarbeit benutzen Behörden weltweit vermehrt Bilddaten, die private Unternehmen aus öffentlich zugänglichen Datensammlungen entnehmen und als Dienstleistung anbieten.

Auch in dieser Woche möchten wir Sie über die aktuellen Ereignisse rund um das Scheitern des EU-US Privacy Shield informieren. Nachdem es in der ersten Woche nach bekanntwerden des Urteils noch ruhig blieb, gibt es nun einige Antworten auf die zahlreichen Fragen. Das Heft hat hier unter anderem das EDPM (European Data Protection Board) in die Hand genommen.

Die Corona-Pandemie wirft in Deutschland eine Vielzahl an datenschutzrechtlichen Fragestellungen auf. Nicht zuletzt durch die Corona-Krise werden viele Gesellschafter und Inhaber von Betrieben gezwungen sein, Ihr Unternehmen oder einzelne Gesellschaftsanteile zu veräußern oder gar Insolvenzantrag zu stellen.

Bereits in der vergangenen Woche haben wir Sie über die Entscheidung des Europäischen Gerichtshof (EuGH) zum EU-US Privacy Shield informiert. Da dies potenziell Auswirkung auf alle europäischen Unternehmen hat, möchten wir Sie in den kommenden Wochen regelmäßig über neue Entwicklungen informieren.

Der Europäische Gerichtshof hat am heutigen Tag das EU-US Privacy Shield gekippt. Dies hat enorme Auswirkungen für Organisationen in der gesamten EU.

Die Softwareprodukte der Firma Microsoft, allen voran „Microsoft 365“ (früher „Office 365“), wandern mehr und mehr in die „Cloud“ – ein Trend, der auch bei vielen anderen Anbietern zu beobachten ist. Das hat für die Anwender viele Vorteile, als Nebeneffekt bedeutet es aber einen gewissen Kontrollverlust hinsichtlich der verarbeiteten Daten und damit u.U. Probleme bei der Datenschutz-Compliance.

Einige Monate später als ursprünglich geplant ging am Dienstag die „Corona-Warn-App“ (CWA) der Bundesregierung an den Start und steht nun für iOS- und Android-Endgeräte zum Download bereit. Ursache für die Verzögerung war unter anderem die emotional geführte Debatte zu den Datenschutzaspekten der App. Wie ist es jetzt darum bestellt?

Nicht nur privat, sondern auch in Unternehmen ist es wegen der Corona-Pandemie für viele nötig gewesen, neue Wege zu finden, die Kommunikation aufrecht zu erhalten. Einer dieser Wege ist die Nutzung von Videokonferenzsystemen. Bei der Einführung kann man aber viele Fehler machen.

Microsoft 365 (der neue Name von Office 365) wird bereits von vielen Unternehmen eingesetzt oder der Einsatz befindet sich in Planung. Dies ist allerdings nur eins der bekanntesten Beispiele, bei denen es aus Datenschutzsicht um eine Übermittlung und Verarbeitung personenbezogener Daten außerhalb der EU geht. Wie kann die Datenübermittlung rechtssicher gestaltet werden?

Von vielen heiß ersehnt dürfen ab Montag (04.05.2020) Friseurbetriebe wieder ihre Dienste anbieten – zumindest einen Teil davon und unter den gebotenen Sicherheitsmaßregeln. Dazu gehören auch einige Auflagen, die den Datenschutz berühren. Was ist also zu beachten?

Seit März 2020 hat SARS-CoV-2 Deutschland und seine Wirtschaft fest im Griff. Um weiterhin handlungsfähig zu bleiben, haben eine Vielzahl von Unternehmen entschieden, ihre Mitarbeitenden im umgangssprachlichen „Homeoffice“ arbeiten zu lassen. Wir sprechen in den meisten Fällen nicht von einem im vornerein strukturierten und bis ins kleinste Detail durchgeplanten Prozess, sondern eher von einer schnell umgesetzten bedarfsmäßigen Übergangslösung. Datenschutzkonform? Wohl eher nicht...

Bereits vier von zehn Unternehmen erlauben ihren Mitarbeitern, ihre Arbeitsleistung von zu Hause aus zu erbringen – das umgangssprachliche „Homeoffice“. Diese Zahl erscheint im ersten Moment vielleicht hoch, aber sie zeigt, dass zumindest sechs von zehn Unternehmen noch keine internen Regelungen hierzu getroffen haben.

Im Alltag muss man sich an vielen Stellen darauf verlassen können, dass die Dinge in einem geordneten Rahmen verlaufen und dass wichtige Abläufe überprüft werden. Doch gilt das, was für die Lebensmittelsicherheit und das Auto gilt, auch für den Datenschutz? Oder anders gefragt: Kann man Datenschutz zertifizieren lassen?

Mittels Video-Konferenzsysteme können Mitarbeitende, Lieferanten und Kunden Meetings abhalten und gemeinsam arbeiten, ohne dafür am selben Ort sein zu müssen. In Zeiten von Ausgangsbeschränkungen vermutlich die einzig praktikable Maßnahme, um weiter kollaborativ arbeiten zu können.

Grundsätzlich können Mitarbeitende Papierakten mit nach Hause nehmen! Aber ...

Auch in Zeiten von Corona gilt, den Grundsatz der Verhältnismäßigkeit sowie die gesetzlichen Grundlagen zu beachten. Dient die Erhebung der Gesundheitsdaten jedoch dem Ziel, die Corona-Pandemie einzudämmen und zu bekämpfen, kann dies als legitim angesehen werden.

Keine Thematik bewegt die Welt derzeit so stark, wie das Corona-Virus. Die Zahl der Neu-Infektionen steigt täglich und verlangt nach geeigneten Schutzmaßnahmen, sowohl privat, als auch im öffentlichen Bereich und im beruflichen Kontext. Der Schutz der Beschäftigten ist essenziell – nicht zuletzt auch vor dem Hintergrund der Vermeidung von Standort- oder Einrichtungsschließungen. Neben Akut-Maßnahmen, wie der Förderung des Arbeitens im Home-Office und der Umstellung auf Video- und Telefonkonferenzen, die den direkten persönlichen Kontakt unterbinden sollen, gibt es auch zahlreiche weitere Ansätze.

Das Corona-Virus SARS-CoV-2 (COVID-19) hat Deutschland und damit seine Wirtschaft voll im Griff. Als Reaktion darauf, insbesondere um handlungsfähig zu bleiben, verordnen Unternehmen ihren Mitarbeitern umgangssprachlich „Homeoffice“.

Grundsätzlich dürfen Unternehmen Besucherlisten führen. So zum Beispiel, um schon unter normalen Umständen feststellen zu können, welche Personen sich im Gebäude aufhalten.

Sehr geehrte Kunden und Geschäftspartner,

wir möchten Sie gern persönlich darüber informieren, wie wir bei Althammer & Kill mit der aktuellen Situation bezüglich der COVID-19-Pandemie umgehen.

Das Corona-Virus erfordert von vielen Unternehmen ein Umstellen auf „Homeoffice“. Dieses bedarf einer näheren Betrachtung der Maßnahmen in Unterscheidung von Telearbeit, mobilem Arbeiten und Bring-Your-Own-Device und der damit verbundenen datenschutzrechtlichen Problematik.

Mobilität ist eines der Stichworte, die die vergangenen Jahre bestimmt haben und auch die nächsten bestimmen werden. Kaum jemand mag sich vorstellen, die Wohnung ohne Smartphone zu verlassen. Oft ersetzt der Westentaschencomputer schon das stationäre Gerät zu Hause – sei es teilweise oder sogar ganz. Was aber beim Schreibtischgerät üblich und bis zu einem gewissen Grad relativ leicht umzusetzen ist, gestaltet sich beim Handy bisweilen aufwendiger: Schutz vor Tracking.

Sicherlich besteht weitestgehend Einigkeit darüber, dass Schul- und Kindergartenkinder wirksam vor Masern geschützt werden müssen. Diesbezüglich hat der Bundestag im November vergangenen Jahres das sogenannte „Gesetz für den Schutz vor Masern und zur Stärkung der Impfprävention“ (oder kurz: Masernschutzgesetz) beschlossen – es gilt ab dem 01. März 2020.

Sicherlich kann man darüber streiten, ob Datenschutzgesetze sexy sind. Personenbezogene Daten sind jedoch unbestritten wertvoll und werden auch gerne als Rohstoff des 21. Jahrhunderts bezeichnet. Das wertvolle Dinge geschützt werden sollten, versteht sich eigentlich von selbst. Somit ist Datenschutz zweifellos zumindest attraktiv.

Der internationale Safer Internet Day 2020 findet am 11. Februar statt. Unter dem Motto "Together for a better internet" hat die Initiative der Europäischen Kommission wieder weltweit zu Veranstaltungen und Aktionen rund um das Thema Internetsicherheit aufgerufen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) lud am vergangenen Dienstag zur Vorstellung des neuen "Cloud Computing Compliance Criteria Catalogue" (C5) in die Bankenmetropole Frankfurt am Main.

Der Support für die Betriebssysteme Windows 7 und Windows Server 2008 bzw. 2008 R2 ist abgelaufen. Privatleute wie Unternehmen sollten bereits auf ein aktuelles Betriebssystem umgestiegen sein. Was sind die Konsequenzen, wenn dies nicht geschieht? Welche Möglichkeiten gibt es jetzt noch?

Die Hiobsbotschaften zum Jahresende 2019 häuften sich. Ob die Universität Gießen, die Stadtverwaltung Alsfeld oder Frankfurt am Main, Hackerattacken und Virenbefall, z.B. durch Emotet, ließen die IT-Infrastruktur zahlreicher großer Unternehmen und Behörden in die Kniee gehen.

Die Datenschutzgrundverordnung (DSGVO) wirft immer noch viele Fragen auf, dies auch gerade im Hinblick auf die Anforderungen an die IT-Sicherheit. Denn diese ist nun fester Bestandteil der datenschutzrechtlichen Vorgaben (Art. 5; Art. 32 DSGVO).

Wie jedes Jahr ist es kurz vor Weihnachten Zeit für den Weihnachtsmann nicht nur die Weihnachtsroute zu planen, alle Schlitten durchzuchecken und die Rentiere noch einmal an ihre Sportübungen zu erinnern, damit sie die geplanten Routen auch in der der dafür vorgesehenen Zeit schaffen, nein es ist auch die Zeit für das alljährliche Datenschutzresümee.

Weihnachten steht vor der Tür und damit vielfach ein Anlass, vermehrt Geld den Besitzer wechseln zu lassen. Um das möglichst leichtzumachen, drängen immer mehr neuartige Bezahlsysteme auf den Markt, doch diese haben es im technologie-konservativen Deutschland schwer. Selbst die 18-34-jährigen „Millennials“ wollen nach einer Umfrage des britischen Meinungsforschungsunternehmens YouGov mehrheitlich die Bezahlmöglichkeit per Handy nicht nutzen. Ist diese Skepsis angebracht?

Wir möchten unser Know-how unentgeltlich an Kinder und Jugendliche weitergeben. Aus diesem Grund bieten wir 2020 kostenlose Veranstaltungen und Workshops für Kindergärten und Schulen an.

Stirbt eine Person, wird dies meist über eine Traueranzeige in einer Zeitung oder auf Social-Media-Plattformen bekannt gegeben. Zunehmend wird in diesen Anzeigen darauf verwiesen, dass von Blumen oder Kranzspenden abzusehen sei und stattdessen an soziale und wohltätige Organisationen gespendet werden soll. Häufig verlangen die Angehörigen die Übermittlung der Spenderliste vom Spendenempfänger, um den Spendern persönlich danken zu können.

Die Datenschutzgrundverordnung (DSGVO) wirft auch nach 18 Monaten „Betrieb“ noch viele Fragen auf, gerade im Hinblick auf das Auskunftsrecht des Betroffenen. Und das obwohl dieses kein neues Recht ist, sondern bereits unter dem BDSG vorhanden war. Wir beantworten in diesem Beitrag die sechs wichtigsten Fragen zum Thema.

Der Europäische Datenschutzausschuss (EDSA) hat am 16.10.2019 Leitlinien zur Verarbeitung von personenbezogenen Daten im Rahmen (vor-)vertraglicher Maßnahmen im Bereich der Online-Dienste veröffentlicht.

Mit der Verabschiedung des dritten Telemedienänderungsgesetz am 30.06.2017 bezweckte der Gesetzgeber die Rechtsunsicherheit über die Haftungslage beim Betrieb von WLANs aufzuheben, um somit die Verbreitung von offenen Netzen in Deutschland, die im Vergleich zu anderen Ländern deutlich geringer ausfällt, zu fördern.

Heutzutage benötigt jede europäische Website eine eigene Datenschutzerklärung. Wenn Sie Websites gewerblich betreiben, dann wird schon eine mangelhafte Datenschutzerklärung als ein Wettbewerbsverstoß angesehen, welcher im Interesse der Konkurrenz teuer abgemahnt werden kann. Die Strafen für rechtmäßige Abmahnungen nach Datenschutzgrundverordnung (DSGVO) können theoretisch in Millionenhöhe ergehen – aber wie zeigt sich dieses Risiko in der Praxis?