Eine Abgrenzung der Verantwortlichkeiten ist kompliziert – eine Fehleinschätzung und die Verarbeitung personenbezogener Daten ist nicht DSGVO-konform. Der Europäische Gerichtshof (EuGH) und die Leitlinien zu den Begriffen „Verantwortlicher“ und „Auftragsverarbeiter“ des Europäischen Datenschutzausschusses (EDSA) helfen bei der Orientierung.
Geht es um vernetzte Maschinen und Anlagen, scheinen personenbezogene Daten keine Rolle zu spielen. Doch weit gefehlt: Auch Industrie 4.0 ist ein Thema für den Datenschutz. Nicht nur in der IT (Informationstechnologie) gibt es Datenrisiken, auch in der OT (Betriebstechnologie). Hier besteht noch deutlicher Bedarf an Sensibilisierung für mehr Datenschutz.
Wer Scoring-Verfahren einsetzt, muss zahlreiche Datenschutz-Vorgaben beachten, unter anderem aus dem Bundesdatenschutzgesetz und einem Urteil des Europäischen Gerichtshofs (EuGH). Daher ist es wichtig, die Bedeutung von Scoring zu verstehen und den Personenbezug von Score-Werten zu erkennen.
Setzen Unternehmen Windows 11 23H2 und Microsoft Edge ein, gibt es im Bereich Datenschutz einiges zu beachten. Das gilt v.a., wenn Künstliche Intelligenz (KI) in Form von Bing Chat oder Windows-Copilot im Einsatz ist. Wir zeigen, worauf es ankommt.
DSB sehen sich heute mehr denn je in einem Konflikt zwischen ihren Aufgaben, die sich aus Art. 37 ff. DSGVO und § 5 bis 7 BDSG ergeben, und dem, was Unternehmen gern als „pragmatische Umsetzung“ adressieren. Wo liegen die Hauptgründe dafür und was lässt sich dagegen tun?
Ohne Webstatistik ist es kaum möglich, Internetangebote zielgerichtet zu verbessern. Die meisten Lösungen für Webanalysen kommen aber ohne zusätzliche Datenschutz-Vorkehrungen nicht aus. Was müssen Sie daher tun, um datenschutzkonform zu sein?
Aktuell läuft EU-weit eine Prüfaktion der Aufsichtsbehörden zur Rolle von DSB. Der verschickte Fragebogen widmet sich den DSB, ihrer Stellung, Rolle und Aufgaben. Wir stellen den Fragebogen sowie die dort lauernden Fallstricke vor und liefern eine passende Checkliste.
Das Arbeitspapier zum „Stand der Technik“ des IT-Sicherheitsverbunds TeleTrusT adressiert Maßnahmen zur IT-Sicherheit. Bei der Verarbeitung personenbezogener Daten lohnt sich ein Blick samt Einordnung auf den aktuellen Stand des Jahres 2023.
Seit der EuGH die Anwendung des Privacy Shield gestoppt hatte, griffen viele Unternehmen auf die EU-Standardvertragsklauseln zurück. Wird das noch nötig sein, nachdem das EU-US Data Privacy Framework (DPF) anwendbar ist? Die Antwort darauf fällt differenziert aus.
Der Umgang mit Internet und E-Mail im Betrieb führt immer wieder nicht nur bei Beschäftigten, sondern auch bei vielen Arbeitgebern zu (datenschutzrechtlichen) Fragen: Dürfen Kontrollen stattfinden? Und falls ja, welche Vorgaben sind dabei zu beachten?
Ereignisse wie die Corona-Pandemie zeigen, wie wichtig es ist, in der IT auf Krisen und Angriffe vorbereitet zu sein, statt hektisch reagieren zu müssen. Eine gute Grundorganisation ist dabei als Basis unabdingbar.
Datenschutzbeauftragte (DSB) sollten nach dem Urteil des österreichischen Verfassungsgesichtshofs den journalistischen Bereich in den Blick nehmen. Auch wenn im Kernbereich der journalistischen Tätigkeit die DSGVO eine Randerscheinung bleibt, wirft die Entscheidung ihre Schatten voraus.
KI-Anwendungen bieten viel Zukunftspotenzial, aber auch ungeklärte Rechtsfragen. Neben Haftung und Urheberrecht betrifft das v.a. auch das Datenschutzrecht. Zeit für eine datenschutzrechtliche Analyse.
Aktuelle Gerichtsurteile zeigen, dass Geschädigte vermehrt Schadensersatzansprüche durchsetzen können. Verantwortliche minimieren die Risiken, indem sie ihre Verarbeitungsprozesse prüfen und Beschäftigte schulen. Dafür ist es sinnvoll, die häufigsten Schwachstellen zu kennen.
Die Security empfiehlt ein Zero-Trust-Konzept: Unternehmen sollten nicht darauf vertrauen, dass die interne IT sicher ist und alle Angriffe von außen kommen. Was heißt das für den Datenschutz?
Wer ohnehin schon großen Schaden hat, darf zusätzlich noch eine Geldbuße zahlen. So erging es einem Unternehmen, das Opfer einer Ransomware-Attacke wurde. Denn die Datenschutzaufsicht konnte dem Unternehmen nachweisen, dass es am Erfolg des Angriffs selbst schuld war. Dass der Fall in Großbritannien spielt, ist ohne Bedeutung. Denn auch dort wendet die Datenschutzaufsicht nach wie vor die DSGVO an.
Am 13. Dezember 2022 hat die EU-Kommission den lange erwarteten Entwurf für einen Angemessenheitsbeschluss zu Datenübermittlungen in die USA vorgelegt. Der Beitrag schildert, worauf sich Unternehmen schon jetzt konkret einstellen können und sollten.
Wie sieht es in bezug auf Consent-Tools aus, wenn Funktionen, die einwilligungspflichtig sind, nur auf dem Webserver existieren? Ein Beispiel ist das serverseitige Tracking, das je nach Rechtsgrundlage entweder gar nicht oder nur in begrenztem Umfang Nutzerdaten verarbeiten soll.
Die Bundesnetzagentur hat die Dokumentation von Telefonwerbung-Einwilligungen gemäß UWG neu ausgelegt. Im Detail ergeben sich Unklarheiten im Zusammenspiel mit dem Datenschutz und dadurch Handlungsbedarf für Datenschutzbeauftragte.
Viele Unternehmen stellen Formulare, den Speiseplan der Kantine, aber auch Registrierungen etc. im Intranet bereit. Bei der Nutzung verarbeiten sie personenbezogene Daten der Mitarbeiter. Damit stellt sich die Frage nach dem anwendbaren Datenschutzrecht: TTDSG oder DSGVO?
Wie sieht ein BR-Löschkonzept aus? Warum braucht der BR ein eigenes Rollen- und Berechtigungskonzept? Sind eigene Datenschutzhinweise erforderlich? Und wenn ja, in welcher Form?
Einerseits gilt es, Daten vor ungewolltem Löschen zu schützen. Andererseits sollen Berechtigte sie unkompliziert vernichten können. Neue technische Lösungen auf dem Markt versprechen nun „unzerstörbare“ Daten, die sich bei entsprechender Berechtigung aber löschen lassen.
Zwar hat der Gesetzgeber mittlerweile klargestellt, dass der Betriebsrat Teil des Verantwortlichen ist. Doch schließen sich an diese Feststellung einige weitere Fragen an, die es zu beantworten gilt.
Die Anonymisierung personenbezogener Daten ist eine komplexe Herausforderung für Verantwortliche.
Der Begriff „Differential Privacy“ taucht dabei häufig als der Goldstandard für datenschutzfreundliche
Technologien auf und soll im Folgenden genauer beleuchtet werden.
Bei Datenschutz-Grundverordnung (DSGVO) und Bundesdatenschutzgesetz (BDSG) stellt sich die Frage, über welche Qualifikation der Datenschutzbeauftragte (DSB) verfügen muss. Die Anforderungen sind sehr breit gefächert.
Beschäftigungsbezogene Maßnahmen, um die Corona-Pandemie zu bekämpfen, haben in Erinnerung gerufen, wie sehr das Thema „Einwilligung im Beschäftigungsverhältnis“ mit datenschutzrechtlichen Fragen verbunden ist. Konkrete Beispiele zeigen, was geht und was nicht.
Die DSK hat in ihrer neuen Fassung der Orientierungshilfe zur Direktwerbung einige Aspekte konkretisiert und ergänzt – und die Zügel angezogen. Die Bedeutung für die Praxis ist nicht zu unterschätzen.
Derzeit müssen sich einige Gerichte mit datenschutzrechtlichen Bußgeldverfahren befassen. Worauf kommt es dabei für Verantwortliche an, und was müssen die Aufsichtsbehörden für den Datenschutz nachweisen? Die Antworten sind noch umstritten.
Die Schutzmaßnahmen gegen Social Engineering werden wie die Angriffe immer intelligenter. Sensibilisieren Sie die Beteiligten im Unternehmen dafür, dass der Schutz vor Angreifern nicht selbst zum Risiko werden darf, der die Privatsphäre der Nutzerinnen und Nutzer aushöhlt.
Datenschutz – das hat etwas mit elektronischen Daten zu tun! So denken auch heute noch viele. Sie vergessen dabei, dass gerade die DSGVO Daten auf Papier im Ergebnis voll einbezieht. Das zwingt dazu, diese Art von Daten mehr denn je im Blick zu behalten.
Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen beginnt auf der Ebene der IT-Infrastrukturen, nicht erst bei den Anwendungen. Wir geben Beispiele für Privacy-Infrastrukturen und zeigen auf, wie weit die Datenschutz-Technologien reichen.
Viele Datenschutzbeauftragte fragen sich, welche Aufgaben sie nach der Datenschutz-Grundverordnung (DSGVO) eigentlich erfüllen müssen. Die Darstellung konzentriert sich auf die Pflichtaufgaben, die ein DSB in jedem Fall erfüllen muss, und auf die Haftungsfrage.
Inzwischen ist der Auskunftsanspruch nach Art. 15 DSGVO in vielen Unternehmen gefürchtet. Der Beitrag gibt einen Überblick über die Struktur des Auskunftsrechts und über Streitfragen. Die neuen Leitlinien des EDSA zum Auskunftsanspruch sind besonders berücksichtigt.
Kann die betroffene Person auf den Schutz durch Art. 32 DSGVO – also auf Maßnahmen zur Sicherheit der Verarbeitung – ganz oder teilweise verzichten? Anders formuliert: Kann sie den Verantwortlichen von diesen Pflichten befreien? Die DSK hat hierzu Stellung genommen.
Das TTDSG hat neue Regelungen zum Einsatz von E-Mail, Messenger und Videokonferenzsystemen geschaffen. Die Rechtslage hat sich dadurch gravierend geändert. Wichtig: Das gilt nicht nur für Anbieter von Kommunikationsdiensten, sondern auch für diejenigen, die sie nutzen.
Die Idee hinter „synthetischen Daten“ besteht darin, einen ursprünglichen Datensatz zu verwenden und daraus neue, künstliche Daten mit ähnlichen statistischen Eigenschaften zu erstellen. KI-Modelle sollen sich auf diese Weise datenschutzfreundlich trainieren lassen.
Cookies gelangen nicht nur über den Desktop-Browser auf Endgeräte. Auch mobile Apps arbeiten mit Cookies. Um das Cookie-Management und die Datenschutzerklärungen steht es bei Apps aber noch schlechter als bei klassischen Websites. Informieren Sie die Nutzerinnen und Nutzer.
Ein Unternehmen soll in der EU nur eine einzige Datenschutzaufsichtsbehörde als Ansprechpartnerin haben. In Ausnahmefällen kann es mit einer Aufsicht aus einem anderen Mitgliedstaat konfrontiert sein. Ein aktueller Fall zeigt, wie wichtig dann die Rolle des EDSA ist.
Auch wenn es nicht funktioniert hat, die Whistleblowing-Richtlinie der EU termingerecht in deutsches Recht umzusetzen, lohnt ein Blick darauf. Denn zum einen könnten sich Gerichte an der Richtlinie orientieren. Zum anderen muss sie früher oder später deutsches Recht werden.
Für viele DSB ist es ein Albtraum, wenn Automatismen Nutzerinnen und Nutzer dabei beobachten, wie sie eine bestimmte Software nutzen. Deshalb sollten Sie sich Delve und MyAnalytics in MS 365 genauer anschauen. Erfahren Sie, was für Ihre Prüfungen relevant ist.
Das Telekommunikations-Telemedien-Datenschutzgesetz (TTDSG) tritt am 01.12.2021 in Kraft und regelt den Datenschutz in der elektronischen Kommunikation. Dafür ist u.a. die Sicherheit der Verarbeitung zentral – doch das TTDSG macht es den Anwendern nicht gerade leicht.
Die Datenschutz-Grundverordnung (DSGVO) kennt in Art. 9 den Begriff der besonderen Kategorien personenbezogener Daten. Ihre Verarbeitung ist nur unter besonderen Voraussetzungen erlaubt und kann eine Datenschutz-Folgenabschätzung notwendig machen. Deshalb ist es wichtig, genau zu wissen, welche Daten unter diesen Begriff fallen.
Cloud Service Provider und andere Auftragsverarbeiter werden mit der Datenschutz-Grundverordnung (DSGVO / GDPR) stark in die Pflicht genommen. Sie nehmen dem Auftraggeber aber keine Verantwortung ab, sondern werden selbst auch verantwortlich. Was heißt das konkret?
Das Telekommunikations-Telemedien-Datenschutzgesetz (TTDSG) regelt die Anforderungen an den Datenschutz im Bereich Telekommunikation und Telemedien – schreibt aber in einigen Bereichen nur die alten Regelungen fort. Das kann Segen und Fluch zugleich sein.
Microsoft Teams ist eine Anwendung, die viele Organisationen derzeit intensiv einsetzen. In einem mehrstufigen Prüfplan erfahren Sie, was Sie sich als Datenschutzbeauftragte für Ihre Prüfungen anschauen sollten.
Für die Übermittlung personenbezogener Daten in Drittländer außerhalb der EU hat die Europäische Kommission völlig neu gestaltete Standardvertragsklauseln vorgelegt. Erstmals stehen darüber hinaus auch offizielle Standardvertragsklauseln für die Auftragsverarbeitung zur Verfügung.
Wie hilft Ihnen Microsoft 365 (MS 365) dabei, Aufbewahrungs- und Löschfristen umzusetzen sowie Betroffenenanfragen zu beantworten? Erfahren Sie, wie Sie diese praktischen Aufgaben als Datenschutzbeauftragter (DSB) mit dem Admin Center Sicherheit lösen.
Wie lässt sich die Identität einer Auskunft suchenden betroffenen Person überprüfen, insbesondere im Rahmen von Online-Diensten? Kann die Online-Ausweisfunktion des Personalausweises helfen? Wie sind andere digitale Identitätsdienste zu beurteilen?
Im letzten Teil zu Microsoft 365 (MS 365) haben Sie erfahren, wie Sie den Compliance-Manager für Ihre Prüfungen verwenden, wenn MS 365 bereits vorhanden ist. Wie starten Sie jedoch, wenn Sie erst vor der Einführung stehen?
Damit eine Einwilligung in die Verarbeitung personenbezogener Daten rechtswirksam ist, müssen Unternehmen viele Anforderungen aus dem Datenschutz erfüllen. Dazu ist es erforderlich, zu wissen, was die Datenschutz-Grundverordnung (DSGVO) hierzu regelt.
Der erste Teil zu den ergänzenden technischen Maßnahmen hat ihre Bedeutung betrachtet und Maßnahmen wie Verschlüsselung und Pseudonymisierung in ihren generellen Möglichkeiten hinterfragt. Nun geht es um die Wirksamkeit einzelner Maßnahmen und die Hinweise, die der Europäische Datenschutzausschuss dazu gibt.
Im zweiten Teil schauen wir uns das Compliance Center von
Microsoft 365 und insbesondere den Compliance-Manager genauer an. Sie erfahren, wie Sie den Manager für Ihre Prüfungen nutzen können.
Sind ergänzende Maßnahmen für die Datenübermittlung in einen
Drittstaat erforderlich, spielen die technischen Schutzmaßnahmen
eine wesentliche Rolle. Es gibt bisher keine allgemeingültigen Vorgaben, wohl aber Empfehlungen. Wie lassen sie sich in der Praxis umsetzen?
Was können Sie für einen möglichst datenschutzfreundlichen Einsatz tun? Was ist zu prüfen? Was sind Prüfkriterien und die Inhalte eines Prüfplans? Welche Hilfsmittel bietet MS 365? Wie kommen Sie ins Handeln bei diesem vermeintlich riesigen Aufgabenberg?
Joint Controllership und Auftragsverarbeitung (AV) schließen einander aus. So weit die Theorie. In der Praxis sind viele Verantwortliche jedoch unsicher. Der EU-Datenschutzausschuss hat nun einen Entwurf für Leitlinien veröffentlicht, der LfDI Baden-Württemberg FAQ dazu.
„Ist Produkt X datenschutzkonform?“ Gerade bei den am weitesten verbreiteten Produkten, zu denen auch die Office-Familie von Microsoft gehört, ist dies eine Frage, die wohl jeden behördlichen oder betrieblichen DSB schon einmal umgetrieben hat.
Welche Richtlinien brauchen Verantwortliche im Datenschutz? Wie viele Richtlinien sind ein „gesundes Maß“, welche sollten keinesfalls fehlen? Und wie sollten sie aufgebaut sein? Sind sie bekannt, befolgen die Mitarbeitenden sie? Gehen Sie diesen Fragen doch einmal auf den Grund.
Die Tätigkeitsberichte der Aufsichtsbehörden sind für DSB und Unternehmen eine wichtige Informationsquelle und Arbeitshilfe. Sie enthalten oft spannende datenschutzrechtliche Fragen und Antworten aus der Praxis.
Seit Kurzem kursiert der Entwurf für ein „Telekommunikations-Telemedien-Datenschutzgesetz – TTDSG“. Da kommt die Frage auf: Fortschritt, Status quo oder Rückschritt? Jedenfalls wird das Gesetz, so es denn kommt, ein Zwischenschritt bis zur ePrivacy-Verordnung.
In einem Urteil vom 16. Juli hat der Europäische Gerichtshof (EuGH) die Regelungen des Privacy Shield für nicht mehr anwendbar erklärt. Die Verwendung von Standardvertragsklauseln bei der Übermittlung von Daten in Länder außerhalb der EU (also etwa in die USA) knüpft das Gericht an Voraussetzungen, die voraussichtlich kaum zu erfüllen sind.
Schadenersatzansprüche sind zunehmend ein Thema. Das Arbeitsgericht Düsseldorf hat z.B. aktuell die Kriterien zur Bußgeldbemessung herangezogen, um einen immateriellen Schaden zu bewerten. Sensibilisieren Sie die Geschäftsleitung auch für dieses Risiko.
Manchmal sagen DSB, die nicht zugleich Rechtsanwälte sind, „Ich darf dazu keine Auskunft geben, das wäre Rechtsberatung“. Was an diesem Satz dran ist und ob ein DSB nicht verpflichtet ist, zu datenschutzrechtlichen Fragen Stellung zu nehmen und zu beraten, klärt dieser Beitrag.
Nicht der oder die Datenschutzbeauftragte ist verantwortlich für den Datenschutz, sondern die sogenannte verantwortliche Stelle. Wer verantwortlich oder gemeinsam verantwortlich ist, kommt auf die Datenverarbeitung und die Auftragsverarbeitung an. Wir geben einen Überblick zum Verantwortlichen, auch zu Fragen der Haftung und zur Verantwortung bei Datenschutzverletzungen.
Geht es um Sanktionen der Aufsichtsbehörden, gilt meist der erste Gedanke den Geldbußen. Doch es gibt weit mehr Möglichkeiten, wie eine Aufsichtsbehörde gegen Verantwortliche vorgehen kann.
In der Personaldienstleistungsbranche sind gemeinsame Verantwortlichkeiten eher die Regel als die Ausnahme. Eine Einzelfallbetrachtung, wie die Beteiligten im konkreten Fall datenschutzrechtlich einzuordnen sind, ist dennoch unentbehrlich.
Die DSGVO verwenden die meisten Menschen in Europa als Synonym für Datenschutz. Doch es gibt u.a. in den großen Kirchen Deutschlands eigene, autonome Datenschutzgesetze.
Sind Geburtstagslisten zulässig? Und wenn ja, welche Fallstricke sind zu beachten? Diese Fragen gehören zu den Klassikern des „Alltags-Datenschutzes“. Die DSGVO bereichert die Antworten um neue Aspekte.
Seit 25. Mai 2018 ist nun die DSGVO anzuwenden. Trotzdem werden immer noch Umfragen zur Umsetzung der DSGVO veröffentlicht. Der Grund: Es gibt weiterhin deutliche Lücken in der Umsetzung. Nutzen Sie die neuen Studien als Grundlage für eigene interne Untersuchungen.
Die Datenschutz-Diskussion zu Microsoft Windows 10 hat bei zahlreichen Unternehmen das Thema „Telemetrie-Daten“ auf die Agenda gebracht. Doch Windows 10 ist nur ein Beispiel von vielen.
Wer in der Datenschutz-Grundverordnung (DSGVO) nach dem Begriff „Videoüberwachung“ sucht, erhält genau Null Suchtreffer. Daher gilt es, die allgemeinen Anforderungen der DSGVO auf den Einsatz sogenannter opto-elektronischer Systeme anzuwenden. Lesen Sie, was das in der Praxis genau heißt.
Eine relativ hohe Zufriedenheit mit der eigenen Datenschutz-Situation prägte noch vor Kurzem das Bewusstsein vieler Krankenhäuser. Dieses Selbstbild hat erhebliche Risse bekommen.
Um die Frage, ob Steuerberater Auftragsverarbeiter sind, wenn sie z.B. die Lohnabrechnung übernehmen, gab es heftige Auseinandersetzungen. Das neugefasste Steuerberatungsgesetz sorgt für Klarheit.
Das Prüfschema, das die Datenschutzkonferenz zu Windows 10 beschlossen hat, ist ein gutes Beispiel, wie Prüfungen aussehen können. Es lässt sich daraus ein allgemeines Vorgehen ableiten.
Um den Einzelnen davor zu schützen, dass seine Persönlichkeitsrechte verletzt werden, sehen gesetzliche Vorschriften wie die Datenschutz-Grundverordnung vor, dem Betroffenen zahlreiche Rechte gegenüber verantwortlichen Stellen einzuräumen.
Anfang September gab es Wirbel um ein vermeintlich „geheimes Bußgeldmodell“ der Aufsichtsbehörden. Die Datenschutzkonferenz hat das Modell mittlerweile veröffentlicht. Was bedeutet es für die Praxis?
Für viele Verantwortliche klingt die Interessenabwägung wie ein Freifahrtschein zur Datenverarbeitung. Das gilt insbesondere beim Einsatz von Tracking-Tools auf Websites und bei Apps. Doch wer hier nicht sorgfältig prüft, dem kann das schnell zum Verhängnis werden.
Mit Rollenkonzepten lässt sich die Zuteilung von Berechtigungen vereinfachen. Doch dabei kommen dynamische Risiken ins Spiel, wie dies in Zero-Trust-Modellen der Fall ist. Andernfalls sind Rollenkonzepte zu starr für die sich ändernden Bedrohungen der Datensicherheit.
Was hat sich geändert? Oder hat sich etwa gar nichts geändert? Das Ergebnis der EuGH-Entscheidung und damit ihre Auswirkungen sind nicht so offensichtlich, wie es scheint. Denn das Gericht hat sich – überspitzt formuliert – mit einer zum Zeitpunkt der Entscheidung in Deutschland nicht geltenden Cookie-Regelung befasst.
Einmal anmelden statt vielfach: Statt sich zahlreiche verschiedene Zugangsdaten zu merken, können Nutzer von zentralen Identitätsdiensten und SSO-Funktionen (Single Sign-on) mit nur einer Anmeldung mehrere Online-Dienste nutzen. Das hat nicht nur Vorteile.
Die enorm hohen Geldbußen, die die DSGVO vorsieht, führen bei Unternehmen zu erheblichen Unsicherheiten. Fraglich ist, wann diese Unsicherheit endet, sprich ab welchem Zeitpunkt Unternehmen keine Verfolgung durch Aufsichtsbehörden mehr befürchten müssen.
Mit ihrer enormen Speicherkapazität sind USB-Sticks längst keine kleinen Speicherstifte mehr. Sie können den kompletten Datenbestand eines Projekts in sich tragen. Daher muss die Datensicherheit bei USB-Sticks stimmen. Lesen Sie, welche Tests nötig sind.
Smart Glasses, auch als Datenbrillen bezeichnet, reichern das visuelle Bild mit zusätzlichen Informationen an, erheben aber auch personenbezogene Daten und übertragen sie an Cloud-Dienste. Bevor Verantwortliche Datenbrillen einsetzen, ist es wichtig, eine Datenschutz-Folgenabschätzung zu machen und die Beschäftigten zu schulen.
CRM-Lösungen haben eine zentrale Bedeutung, wenn es um den Schutz von Kundendaten und die Umsetzung der Datenschutz-Grundverordnung (DSGVO / GDPR) geht. Wir geben einen Überblick über neue Datenschutz-Funktionen von CRM-Lösungen.
Lassen sich Unternehmensinhaber, Vorstände und Geschäftsführer persönlich für Datenschutzverstöße zur Verantwortung ziehen? Lesen Sie einen Überblick zur Haftung der Führungsebene.
In vielen Berufen tragen Mitarbeiter Namensschilder, sei es im Krankenhaus oder im Bekleidungsgeschäft. Auf Kongressen sollen Namensschilder das Netzwerken vereinfachen. Doch die Verunsicherung ist groß. Sind solche Schilder noch erlaubt? Und wenn ja, was ist zu beachten?
Viele Websites entsprechen immer noch nicht den Vorgaben der Datenschutz-Grundverordnung (DSGVO). Das zeigen aktuelle Prüfungen der Datenschutz-Aufsichtsbehörden. Unternehmen sollten die vorhandenen Orientierungshilfen und Tools nutzen, um ihre Internet-Auftritte auf Einhaltung der DSGVO zu überprüfen.
Bisher wenig beachtet, aber doch wichtig: den Standpunkt der betroffenen Personen zu einer Verarbeitung einzuholen, die der Folgenabschätzung unterliegt. Lesen Sie, was genau dahintersteckt.
Mit dem Datenschutz-Anpassungs- und Umsetzungsgesetz EU (DSAnpUG-EU) kam auch eine Neukonzeption des Bundesdatenschutzgesetzes (BDSG). Das betrifft unter anderem die Datenschutzkontrollen und die Datensicherheit. Worauf müssen Sie bei den TOMs achten?
Verschlüsselung spielt in der DSGVO eine wichtige Rolle. Doch geht der Schutz durch Verschlüsselung so weit, dass verschlüsselte Daten keine personenbezogenen Daten mehr sind? Es kommt darauf an! Informieren Sie deshalb die Mitarbeiterinnen und Mitarbeiter über die Details.
Künstliche Intelligenz (KI) dringt in viele Lebensbereiche vor. Geben Sie daher doch einmal den Kolleginnen und Kollegen in einem besonders sensiblen Bereich wie der Medizin Einblick in die Entwicklung.
Missstände in Unternehmen zu melden, ist nicht immer mit dem Gang an die Öffentlichkeit verbunden wie bei Edward Snowden. Viele Unternehmen arbeiten mit internen Hinweisgeber-Systemen. Das sollte allerdings nicht ohne den Datenschutz ablaufen.
Niemand kann sieben Tage die Woche, 24 Stunden am Tag, ohne Urlaub und Krankheit arbeiten. Wie steht es daher mit einem Stellvertreter für den Datenschutzbeauftragten?
Unternehmen müssen Geschäftsgeheimnisse angemessen absichern, wollen sie von dem Schutz durch das neue Geschäftsgeheimnisgesetz profitieren. Die notwendigen Schutzmaßnahmen für Geschäftsgeheimnisse und die für den Datenschutz ermöglichen Synergien.
Keine ungewöhnliche Situation: Die Polizei ruft an und fordert dazu auf, Informationen zu übermitteln: Bilder der Videoüberwachung, Mitarbeiternamen, IP-Adressen oder den Fahrernamen eines Firmenwagens. Aber wann darf überhaupt eine Herausgabe erfolgen?
Die Benennungspflicht eines EU-Vertreters ist für internationale Unternehmen ohne EU-Sitz wichtig. Aber auch externe DSBs, die in der Stellung als EU-Vertreter einen Baustein ihres Portfolios sehen, kommen um eine rechtliche Einarbeitung in diesen Komplex nicht herum.
Viele Unternehmen nutzen Umfragen um Kunden und Interessenten nach Ihrer Meinung zu fragen. Doch Umfragen können zum Datenrisiko werden – gerade Umfragen im Internet sind kritisch. Das müssen Sie bei der Teilnahme beachten.
Viele Datenpannen beginnen mit der Datenübertragung auf ein mobiles Speichermedium oder Endgerät, das später verloren geht. Oder Daten werden gestohlen, indem Angreifer sie über unkontrollierte Schnittstellen kopieren. Die Schnittstellenkontrolle gehört deshalb zur Datenschutzkontrolle dazu. Sie darf aber nicht zur Mitarbeiterüberwachung ausarten.
Jedes Unternehmen lebt davon, Nachwuchs zu rekrutieren. Dabei muss es im Einklang mit den Vorgaben der DSGVO den Bewerber transparent über den Umgang mit seinen Daten informieren. Was sich einfach anhört, ist in der Praxis eine echte Herausforderung.
Müssen personenbezogene Daten gelöscht werden, stellt sich die Frage: Reicht es aus, die Daten aus der Datenbank zu entfernen, oder sind die Speichermedien, auf denen sich die Daten befinden, zu vernichten? Wie so oft im Datenschutz lautet die Antwort: Es kommt darauf an!
Welche Rechtsregeln gelten angesichts der DSGVO für Bilder von Personen? Dazu gibt es viele Veröffentlichungen, die teils ziemlich aufgeregt formuliert sind. Der Beitrag stellt im Überblick dar, welche Fragen schon geklärt sind und wo zu Recht noch Streit besteht.
Vielerorts ist zu lesen, dass ein berechtigtes Interesse als Grundlage – sogar für E-Mail-Werbung – genügen soll. Datenschutzrechtlich ist das nur die halbe Wahrheit. Ein genauerer Blick ist daher zwingend.
Persönlichkeitstests bei künftigen oder bereits beschäftigen Mitarbeitern sollen helfen, Personalentscheidungen zu verbessern. Es liegt in der Natur der Sache, dass dabei eine Vielzahl personenbezogener Daten verarbeitet wird. Doch was ist datenschutzrechtlich erlaubt?
Durch die DSGVO lebt die Diskussion, ob der Betriebsrat datenschutzrechtlich eine eigene verantwortliche Stelle ist, wieder auf. Die Frage ist umstritten, je nach Antwort können sich weitreichende Konsequenzen ergeben. Der Artikel gibt einen Überblick und Praxistipps.
Wie alle gesetzlichen Regelungen kann auch die Datenschutz-Grundverordnung (DSGVO) nur dann ihre Wirkung entfalten, wenn sie richtig umgesetzt wird. Das stellen die Datenschutzaufsichtsbehörden mit ihren Kontrollen sicher. Womit müssen Verantwortliche rechnen?
Wie personenbezogene Daten schützen, wenn der einfache Passwortschutz nicht ausreicht? Dafür bieten sich Verfahren der Zwei-Faktor-Authentifizierung an. Doch Vorsicht: Auch diesen verstärktem Zugangsschutz haben Angreifer schon geknackt. Was bedeutet das für den Datenschutz?
WhatsApp ist auch in Unternehmen kaum wegzudenken. Doch nur, weil viele den Messenger nutzen, lösen sich die Fragen zum datenschutzkonformen Einsatz nicht in Luft auf. Was geht, was nicht?
Gesundheitsdaten unterliegen den Anforderungen für besondere Kategorien von Daten. Schon allein daraus ergaben sich Fragen, die noch nicht alle geklärt sind. Informationen verschiedener Datenschutz-Aufsichtsbehörden unterstützen nun Arztpraxen und andere Gesundheitsberufe.
Der Datenschutz im Internet beginnt nicht erst damit, Online-Attacken abzuwehren, sondern mit dem datenschutzgerechten Internetauftritt eines jeden Unternehmens. Die Datenschutz-Grundverordnung (DSGVO / GDPR) macht hierzu zahlreiche Vorgaben.
Das Frühjahr 2018 hat nicht nur das neue europäische Datenschutzrecht wirksam werden lassen, sondern auch die begleitende Gesetzgebung von Bund und Ländern. Welche Unterschiede gibt es dabei zwischen öffentlichen und nichtöffentlichen Datenverarbeitern?
Die DSGVO führt u.a. das Recht auf Auskunft und auf Datenportabilität ein. Unstrittig ist, dass auch Arbeitnehmern diese Rechte zustehen. Die im Unternehmen Verantwortlichen müssen sich daher im Vorfeld Gedanken machen, wie sie die neuen Anforderungen in die Praxis umsetzen.
Die Videoüberwachung an öffentlichen Plätzen, aber auch in Unternehmen nimmt zu. Aus gutem Grund sieht daher die Datenschutz-Grundverordnung vor der weiträumigen Videoüberwachung öffentlicher Bereiche eine Datenschutz-Folgenabschätzung vor. Dazu gehört, die geplante Speicherdauer zu prüfen.
Daten zu archivieren, ist eine Herausforderung. In vielen Unternehmen gibt es daher trotz der strikten Vorgaben zur Datenlöschung entweder gar kein oder nur ein sehr übersichtliches Archivierungskonzept. Die Datenschutz-Grundverordnung (DSGVO) fordert allerdings ein solches ein. Eine wichtige Praxisfrage für viele Unternehmen ist dabei, unter welchen Voraussetzungen die bislang bekannte Sperrung zulässig sein wird.
Ein zentrales Problem im Datenschutz ist die Klassifizierung der personenbezogenen Daten, um ihren Schutzbedarf festzulegen. In Zeiten von Big Data sind Lösungen gefragt, die hierbei deutlich unterstützen können. Wir zeigen Beispiele.
Nicht nur für Whistleblower wären anonyme E-Mails hilfreich. Auch Spammer wollen E-Mails, die sich möglichst nicht bis zum Urheber zurückverfolgen lassen. Doch gibt es Anonymität bei E-Mails wirklich? Oder lassen sich alle Mails zurückverfolgen?
Apps und Social Media sind auch in der Schule nicht mehr wegzudenken. Sind Lehrer-Apps und die Kommunikation über WhatsApp zulässig? Und dürfen Eltern bei Schulveranstaltungen fotografieren? In der Praxis handhaben manche Schulen den Datenschutz etwas locker. Informieren und ermutigen Sie Ihre Kollegen, auch im Alltag ihre Datenschutzrechte einzufordern.
Der Pseudonymisierung kommt in der Datenschutz-Grundverordnung (DSGVO) eine deutlich höhere Bedeutung zu, als dies gegenwärtig im Bundesdatenschutzgesetz (BDSG) der Fall ist. Zum einen handelt es sich bei der Pseudonymisierung um eine zentrale technische und organisatorische Sicherungsmaßnahme, die die DSGVO wiederholt in unterschiedlichem Zusammenhang erwähnt. Darüber hinaus kann die Anwendung von Pseudonymisierungstechniken erheblichen Einfluss auf die Zulässigkeit einer Verarbeitung personenbezogener Daten haben.
1 von 0
Datenschutz PRAXIS - Der Podcast
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.
