Analyse

Aktuelle Gerichtsurteile zeigen, dass Geschädigte vermehrt Schadensersatzansprüche durchsetzen können. Verantwortliche minimieren die Risiken, indem sie ihre Verarbeitungsprozesse prüfen und Beschäftigte schulen. Dafür ist es sinnvoll, die häufigsten Schwachstellen zu kennen.

Die Security empfiehlt ein Zero-Trust-Konzept: Unternehmen sollten nicht darauf vertrauen, dass die interne IT sicher ist und alle Angriffe von außen kommen. Was heißt das für den Datenschutz?

Wer ohnehin schon großen Schaden hat, darf zusätzlich noch eine Geldbuße zahlen. So erging es einem Unternehmen, das Opfer einer Ransomware-Attacke wurde. Denn die Datenschutzaufsicht konnte dem Unternehmen nachweisen, dass es am Erfolg des Angriffs selbst schuld war. Dass der Fall in Großbritannien spielt, ist ohne Bedeutung. Denn auch dort wendet die Datenschutzaufsicht nach wie vor die DSGVO an.

Am 13. Dezember 2022 hat die EU-Kommission den lange erwarteten Entwurf für einen Angemessenheitsbeschluss zu Datenübermittlungen in die USA vorgelegt. Der Beitrag schildert, worauf sich Unternehmen schon jetzt konkret einstellen können und sollten.

Wie sieht es in bezug auf Consent-Tools aus, wenn Funktionen, die einwilligungspflichtig sind, nur auf dem Webserver existieren? Ein Beispiel ist das serverseitige Tracking, das je nach Rechtsgrundlage entweder gar nicht oder nur in begrenztem Umfang Nutzerdaten verarbeiten soll.

Die Bundesnetzagentur hat die Dokumentation von Telefonwerbung-Einwilligungen gemäß UWG neu ausgelegt. Im Detail ergeben sich Unklarheiten im Zusammenspiel mit dem Datenschutz und dadurch Handlungsbedarf für Datenschutzbeauftragte.

Viele Unternehmen stellen Formulare, den Speiseplan der Kantine, aber auch Registrierungen etc. im Intranet bereit. Bei der Nutzung verarbeiten sie personenbezogene Daten der Mitarbeiter. Damit stellt sich die Frage nach dem anwendbaren Datenschutzrecht: TTDSG oder DSGVO?

Wie sieht ein BR-Löschkonzept aus? Warum braucht der BR ein eigenes Rollen- und Berechtigungskonzept? Sind eigene Datenschutzhinweise erforderlich? Und wenn ja, in welcher Form?

Einerseits gilt es, Daten vor ungewolltem Löschen zu schützen. Andererseits sollen Berechtigte sie unkompliziert vernichten können. Neue technische Lösungen auf dem Markt versprechen nun „unzerstörbare“ Daten, die sich bei entsprechender Berechtigung aber löschen lassen.

Zwar hat der Gesetzgeber mittlerweile klargestellt, dass der Betriebsrat Teil des Verantwortlichen ist. Doch schließen sich an diese Feststellung einige weitere Fragen an, die es zu beantworten gilt.

Die Anonymisierung personenbezogener Daten ist eine komplexe Herausforderung für Verantwortliche. Der Begriff „Differential Privacy“ taucht dabei häufig als der Goldstandard für datenschutzfreundliche Technologien auf und soll im Folgenden genauer beleuchtet werden.

Wer personenbezogene Daten in die USA übermitteln will, muss einschätzen und dokumentieren, ob US-Behörden möglicherweise auf diese Daten zugreifen. Der jährliche „Transparenzbericht“ der US-Geheimdienste bietet sich dafür als Hilfsmittel an. Er zeigt allerdings auch, wie unterschiedlich sich der Begriff der Transparenz verstehen lässt.

Bei Datenschutz-Grundverordnung (DSGVO) und Bundesdatenschutzgesetz (BDSG) stellt sich die Frage, über welche Qualifikation der Datenschutzbeauftragte (DSB) verfügen muss. Die Anforderungen sind sehr breit gefächert.

Beschäftigungsbezogene Maßnahmen, um die Corona-Pandemie zu bekämpfen, haben in Erinnerung gerufen, wie sehr das Thema „Einwilligung im Beschäftigungsverhältnis“ mit datenschutzrechtlichen Fragen verbunden ist. Konkrete Beispiele zeigen, was geht und was nicht.

Die DSK hat in ihrer neuen Fassung der Orientierungshilfe zur Direktwerbung einige Aspekte konkretisiert und ergänzt – und die Zügel angezogen. Die Bedeutung für die Praxis ist nicht zu unterschätzen.

Derzeit müssen sich einige Gerichte mit datenschutzrechtlichen Bußgeldverfahren befassen. Worauf kommt es dabei für Verantwortliche an, und was müssen die Aufsichtsbehörden für den Datenschutz nachweisen? Die Antworten sind noch umstritten.

Die Schutzmaßnahmen gegen Social Engineering werden wie die Angriffe immer intelligenter. Sensibilisieren Sie die Beteiligten im Unternehmen dafür, dass der Schutz vor Angreifern nicht selbst zum Risiko werden darf, der die Privatsphäre der Nutzerinnen und Nutzer aushöhlt.

Datenschutz – das hat etwas mit elektronischen Daten zu tun! So denken auch heute noch viele. Sie vergessen dabei, dass gerade die DSGVO Daten auf Papier im Ergebnis voll einbezieht. Das zwingt dazu, diese Art von Daten mehr denn je im Blick zu behalten.

Welche datenschutzrechtlichen Fragen stellen sich bei der neuesten Version des Microsoft-Betriebssystems? Ein Vergleich mit Windows 10.

Datenschutz durch Technikgestaltung und datenschutzfreund­liche Voreinstellungen beginnt auf der Ebene der IT-Infrastruk­turen, nicht erst bei den Anwendungen. Wir geben Beispiele für Privacy-­Infra­strukturen und zeigen auf, wie weit die Datenschutz-Technologien reichen.

Inzwischen ist der Auskunftsanspruch nach Art. 15 DSGVO in vielen Unternehmen gefürchtet. Der Beitrag gibt einen Überblick über die Struktur des ­Auskunftsrechts und über Streitfragen. Die neuen Leitlinien des EDSA zum Auskunftsanspruch sind besonders berücksichtigt.

Kann die betroffene Person auf den Schutz durch Art. 32 DSGVO – also auf Maßnahmen zur Sicherheit der Verarbeitung – ganz oder teil­weise verzichten? Anders formuliert: Kann sie den Verantwortlichen von ­diesen Pflichten befreien? Die DSK hat hierzu Stellung genommen.

Das TTDSG hat neue Regelungen zum Einsatz von E-Mail, Messenger und Videokonferenzsystemen geschaffen. Die Rechtslage hat sich dadurch gravierend geändert. Wichtig: Das gilt nicht nur für Anbieter von Kommunikationsdiensten, sondern auch für diejenigen, die sie nutzen.

Ende Januar 2022 hat die Datenschutzkonferenz (DSK) ein Gutachten veröffentlicht, das sich mit dem „US-Überwachungsrecht“ befasst. Lesen Sie, wie dieses Gutachten einzuordnen ist.

Die Idee hinter „synthetischen Daten“ besteht darin, einen ursprüng­lichen Datensatz zu verwenden und daraus neue, künstliche Daten mit ähnlichen statistischen Eigenschaften zu erstellen. KI-Modelle sollen sich auf diese Weise datenschutzfreundlich trainieren lassen.

Cookies gelangen nicht nur über den Desktop-Browser auf Endgeräte. Auch mobile Apps arbeiten mit Cookies. Um das Cookie-Management und die Datenschutzerklärungen steht es bei Apps aber noch schlechter als bei klassischen Websites. Informieren Sie die Nutzerinnen und Nutzer.

Ein Unternehmen soll in der EU nur eine einzige Datenschutzaufsichtsbehörde als Ansprechpartnerin haben. In Ausnahmefällen kann es mit einer Aufsicht aus einem anderen Mitgliedstaat konfrontiert sein. Ein aktueller Fall zeigt, wie wichtig dann die Rolle des EDSA ist.

Auch wenn es nicht funktioniert hat, die Whistleblowing-Richtlinie der EU termingerecht in deutsches Recht umzusetzen, lohnt ein Blick darauf. Denn zum einen könnten sich Gerichte an der Richtlinie orientieren. Zum anderen muss sie früher oder später deutsches Recht werden.

Für viele DSB ist es ein Albtraum, wenn Automatismen Nutzerinnen und Nutzer dabei beobachten, wie sie eine bestimmte Software nutzen. ­Deshalb sollten Sie sich Delve und MyAnalytics in MS 365 genauer anschauen. Erfahren Sie, was für Ihre Prüfungen relevant ist.

Das Telekommunikations-Telemedien-Datenschutzgesetz (TTDSG) tritt am 01.12.2021 in Kraft und regelt den Datenschutz in der elektronischen Kommunikation. Dafür ist u.a. die Sicherheit der Verarbeitung zentral – doch das TTDSG macht es den Anwendern nicht gerade leicht.

Die Datenschutz-Grundverordnung (DSGVO) kennt in Art. 9 den Begriff der besonderen Kategorien personenbezogener Daten. Ihre Verarbeitung ist nur unter besonderen Voraussetzungen erlaubt und kann eine Datenschutz-Folgenabschätzung notwendig machen. Deshalb ist es wichtig, genau zu wissen, welche Daten unter diesen Begriff fallen.

Cloud Service Provider und andere Auftragsverarbeiter werden mit der Datenschutz-Grundverordnung (DSGVO / GDPR) stark in die Pflicht genommen. Sie nehmen dem Auftraggeber aber keine Verantwortung ab, sondern werden selbst auch verantwortlich. Was heißt das konkret?

Die Datenschutz-Grundverordnung (DSGVO) verpflichtet in Art. 59 DSGVO alle Aufsichtsbehörden, einen Jahresbericht über ihre Tätigkeit (TB) zu erstellen. Was waren 2020 die Schwerpunkte, was fehlt, was fällt besonders auf?

Das Telekommunikations-Telemedien-Datenschutzgesetz (TTDSG) regelt die Anforderungen an den Datenschutz im Bereich Telekommunikation und Telemedien – schreibt aber in einigen Bereichen nur die alten Regelungen fort. Das kann Segen und Fluch zugleich sein.

Microsoft Teams ist eine Anwendung, die viele Organisationen derzeit intensiv einsetzen. In einem mehrstufigen Prüfplan erfahren Sie, was Sie sich als Datenschutzbeauftragte für Ihre Prüfungen anschauen sollten.

Für die Übermittlung personenbezogener Daten in Drittländer außerhalb der EU hat die Europäische Kommission völlig neu gestaltete Standardvertragsklauseln vorgelegt. Erstmals stehen darüber hinaus auch offizielle Standardvertragsklauseln für die Auftragsverarbeitung zur Verfügung.

Wie hilft Ihnen Microsoft 365 (MS 365) dabei, Aufbewahrungs- und Löschfristen umzusetzen sowie Betroffenenanfragen zu beantworten? Erfahren Sie, wie Sie diese praktischen Aufgaben als Datenschutzbeauftragter (DSB) mit dem Admin Center Sicherheit lösen.

Wer Scoring-Verfahren einsetzt, muss zahlreiche Datenschutz-Vorgaben beachten, unter anderem aus dem neuen Bundesdatenschutzgesetz. Daher ist es wichtig, die Bedeutung von Scoring zu verstehen und den Personenbezug von Score-Werten zu erkennen.

Wie lässt sich die Identität einer Auskunft suchenden betroffenen Person überprüfen, insbesondere im Rahmen von Online-Diensten? Kann die Online-Ausweisfunktion des Personalausweises helfen? Wie sind andere digitale Identitätsdienste zu beurteilen?

Im letzten Teil zu Microsoft 365 (MS 365) haben Sie erfahren, wie Sie den Compliance-Manager für Ihre Prüfungen verwenden, wenn MS 365 bereits vorhanden ist. Wie starten Sie jedoch, wenn Sie erst vor der Einführung stehen?

Damit eine Einwilligung in die Verarbeitung personenbezogener Daten rechtswirksam ist, müssen Unternehmen viele Anforderungen aus dem Datenschutz erfüllen. Dazu ist es erforderlich, zu wissen, was die Datenschutz-Grundverordnung (DSGVO) hierzu regelt.

Der erste Teil zu den ergänzenden technischen Maßnahmen hat ihre Bedeutung betrachtet und Maßnahmen wie Verschlüsselung und Pseudonymisierung in ihren generellen Möglichkeiten hinterfragt. Nun geht es um die Wirksamkeit einzelner Maßnahmen und die Hinweise, die der Europäische Datenschutzausschuss dazu gibt.

Im zweiten Teil schauen wir uns das Compliance Center von Microsoft 365 und insbesondere den Compliance-Manager genauer an. Sie erfahren, wie Sie den Manager für Ihre Prüfungen nutzen können.

Das Vereinigte Königreich Großbritannien und Nordirland (UK) ist seit dem 01.01.2021 nicht mehr Mitglied der EU. Es ist damit nach dem Brexit ein Drittland im Sinne der DSGVO. Das wirkt sich zwar bis spätestens 30.06.2021 noch nicht voll aus. Doch es gilt, vorbereitet zu sein.

Sind ergänzende Maßnahmen für die Datenübermittlung in einen Drittstaat erforderlich, spielen die technischen Schutzmaßnahmen eine wesentliche Rolle. Es gibt bisher keine allgemeingültigen Vorgaben, wohl aber Empfehlungen. Wie lassen sie sich in der Praxis umsetzen?

Was können Sie für einen möglichst datenschutzfreundlichen Einsatz tun? Was ist zu prüfen? Was sind Prüfkriterien und die Inhalte eines Prüfplans? Welche Hilfsmittel bietet MS 365? Wie kommen Sie ins Handeln bei diesem vermeintlich riesigen Aufgabenberg?

Joint Controllership und Auftragsverarbeitung (AV) schließen einander aus. So weit die Theorie. In der Praxis sind viele Verantwortliche jedoch unsicher. Der EU-Datenschutzausschuss hat nun einen Entwurf für Leitlinien veröffentlicht, der LfDI Baden-Württemberg FAQ dazu.

„Ist Produkt X datenschutzkonform?“ Gerade bei den am weitesten verbreiteten Produkten, zu denen auch die Office-Familie von Microsoft gehört, ist dies eine Frage, die wohl jeden behördlichen oder betrieblichen DSB schon einmal umgetrieben hat.

Welche Richtlinien brauchen Verantwortliche im Datenschutz? Wie viele Richt­linien sind ein „gesundes Maß“, welche sollten keinesfalls fehlen? Und wie sollten sie aufgebaut sein? Sind sie bekannt, befolgen die Mitarbeitenden sie? Gehen Sie diesen Fragen doch einmal auf den Grund.

Ein betriebliches Gesundheitsmanagement datenschutzkonform umzusetzen, ist zwar keine unlösbare Aufgabe, aber eine Herausforderung.

In der Entscheidung „Schrems II“ hält der EuGH Datenübermittlungen in die USA auf Basis der EU-Standardvertragsklauseln weiterhin für möglich. Allerdings fordert er „zusätzliche Maßnahmen“. Der Beitrag diskutiert, was das Gericht damit meinen könnte.

Die Tätigkeitsberichte der Aufsichtsbehörden sind für DSB und Unternehmen eine wichtige Informationsquelle und Arbeitshilfe. Sie enthalten oft spannende datenschutzrechtliche Fragen und Antworten aus der Praxis.

Seit Kurzem kursiert der Entwurf für ein „Telekommunikations-Telemedien-Datenschutzgesetz – TTDSG“. Da kommt die Frage auf: Fortschritt, Status quo oder Rückschritt? Jedenfalls wird das Gesetz, so es denn kommt, ein Zwischenschritt bis zur ePrivacy-Verordnung.

Die EuGH-Entscheidung „Schrems II“ hat den Privacy Shield über Nacht gekippt. Das führt zu der Frage, welche Wege noch offen­bleiben, um personenbezogene Daten rechtssicher in die USA zu übermitteln. Die Möglichkeiten hierfür sind recht begrenzt.

In einem Urteil vom 16. Juli hat der Europäische Gerichtshof (EuGH) die Regelungen des Privacy Shield für nicht mehr anwendbar erklärt. Die Verwendung von Standardvertragsklauseln bei der Übermittlung von Daten in Länder außerhalb der EU (also etwa in die USA) knüpft das Gericht an Voraussetzungen, die voraussichtlich kaum zu erfüllen sind.

Bei KI-Verfahren fehlt meist die Transparenz, wie sie personenbezogene Daten verarbeiten. Zudem erfolgt die Datenverarbeitung oft in einem US-Cloud-Dienst. KI-Chips könnten dies ändern, indem sie Teile der KI-basierten Datenverarbeitung direkt auf den Geräten ermöglichen.

Schadenersatzansprüche sind zunehmend ein Thema. Das Arbeitsgericht Düsseldorf hat z.B. aktuell die Kriterien zur Bußgeldbemessung herangezogen, um einen immateriellen Schaden zu bewerten. Sensibilisieren Sie die Geschäftsleitung auch für dieses Risiko.

Manchmal sagen DSB, die nicht zugleich Rechtsanwälte sind, „Ich darf dazu keine Auskunft geben, das wäre Rechtsberatung“. Was an diesem Satz dran ist und ob ein DSB nicht verpflichtet ist, zu datenschutzrechtlichen Fragen Stellung zu nehmen und zu beraten, klärt dieser Beitrag.

Nicht der oder die Datenschutzbeauftragte ist verantwortlich für den Datenschutz, sondern die sogenannte verantwortliche Stelle. Wer verantwortlich oder gemeinsam verantwortlich ist, kommt auf die Datenverarbeitung und die Auftragsverarbeitung an. Wir geben einen Überblick zum Verantwortlichen, auch zu Fragen der Haftung und zur Verantwortung bei Datenschutzverletzungen.

Verschiedene deutsche Datenschutzaufsichtsbehörden haben sich jüngst zum Einsatz von Videokonferenzen geäußert. Welche Punkte sind danach für Verantwortliche besonders wichtig?

Geht es um Sanktionen der Aufsichtsbehörden, gilt meist der erste Gedanke den Geldbußen. Doch es gibt weit mehr Möglichkeiten, wie eine Aufsichtsbehörde gegen Verantwortliche vorgehen kann.

In der Personaldienstleistungsbranche sind gemeinsame Verantwortlichkeiten eher die Regel als die Ausnahme. Eine Einzelfallbetrachtung, wie die Beteiligten im konkreten Fall datenschutzrechtlich einzuordnen sind, ist dennoch unentbehrlich.

Die DSGVO verwenden die meisten Menschen in Europa als Synonym für Datenschutz. Doch es gibt u.a. in den großen Kirchen Deutschlands eigene, autonome Datenschutzgesetze.

Ereignisse wie die Corona-Pandemie zeigen, wie wichtig es ist, in der IT auf Krisen und Angriffe vorbereitet zu sein, statt hektisch reagieren zu müssen. Eine gute Grundorganisation ist dabei als Basis unabdingbar.

Sind Geburtstagslisten zulässig? Und wenn ja, welche Fallstricke sind zu beachten? Diese Fragen gehören zu den Klassikern des „Alltags-Datenschutzes“. Die DSGVO bereichert die Antworten um neue Aspekte.

Seit 25. Mai 2018 ist nun die DSGVO anzuwenden. Trotzdem werden immer noch Umfragen zur Umsetzung der DSGVO veröffentlicht. Der Grund: Es gibt weiterhin deutliche Lücken in der Umsetzung. Nutzen Sie die neuen Studien als Grundlage für eigene interne Untersuchungen.

Die Datenschutz-Diskussion zu Microsoft Windows 10 hat bei zahlreichen Unternehmen das Thema „Telemetrie-Daten“ auf die Agenda gebracht. Doch Windows 10 ist nur ein Beispiel von vielen.

Wer in der Datenschutz-Grundverordnung (DSGVO) nach dem Begriff „Videoüberwachung“ sucht, erhält genau Null Suchtreffer. Daher gilt es, die allgemeinen Anforderungen der DSGVO auf den Einsatz sogenannter opto-elektronischer Systeme anzuwenden. Lesen Sie, was das in der Praxis genau heißt.

Die DSGVO hat die Karten neu gemischt, was die private Nutzung von Internet und E-Mail angeht. Sie eröffnet Verantwortlichen nun eine weitere Möglichkeit, den Zugriff auf diese Daten zu begründen.

Sicherheitsforscher haben entdeckt, dass sich Likes und Inhalte auf den Seiten sozialer Netzwerke manipulieren lassen. Gerade im Hinblick auf die gemeinsame Verantwortung fragt sich: Was bedeutet das für den Datenschutz?

Eine relativ hohe Zufriedenheit mit der eigenen Datenschutz-Situation prägte noch vor Kurzem das Bewusstsein vieler Krankenhäuser. Dieses Selbstbild hat erhebliche Risse bekommen.

Um die Frage, ob Steuerberater Auftragsverarbeiter sind, wenn sie z.B. die Lohnabrechnung übernehmen, gab es heftige Auseinandersetzungen. Das neugefasste Steuerberatungsgesetz sorgt für Klarheit.

Das Prüfschema, das die Datenschutzkonferenz zu Windows 10 beschlossen hat, ist ein gutes Beispiel, wie Prüfungen aussehen können. Es lässt sich daraus ein allgemeines Vorgehen ableiten.

Ein Praxisleitfaden des TeleTrust soll bei der Frage helfen, welche technischen und organisatorischen Maßnahmen ein Muss sind und was der Stand der Technik ist. Wie ist der Leitfaden zu bewerten?

Um den Einzelnen davor zu schützen, dass seine Persönlichkeitsrechte verletzt werden, sehen gesetzliche Vorschriften wie die Datenschutz-Grundverordnung vor, dem Betroffenen zahlreiche Rechte gegenüber verantwortlichen Stellen einzuräumen.

Anfang September gab es Wirbel um ein vermeintlich „geheimes Bußgeldmodell“ der Aufsichtsbehörden. Die Datenschutzkonferenz hat das Modell mittlerweile veröffentlicht. Was bedeutet es für die Praxis?

Für viele Verantwortliche klingt die Interessenabwägung wie ein Freifahrtschein zur Datenverarbeitung. Das gilt insbesondere beim Einsatz von Tracking-Tools auf Websites und bei Apps. Doch wer hier nicht sorgfältig prüft, dem kann das schnell zum Verhängnis werden.

Ohne Webstatistik ist es unmöglich, Internetangebote zielgerichtet zu verbessern. Die meisten Lösungen für Webanalysen kommen aber ohne zusätzliche Datenschutz-Vorkehrungen nicht aus. Was müssen Sie daher tun, um datenschutzkonform zu sein?

Mit Rollenkonzepten lässt sich die Zuteilung von Berechtigungen vereinfachen. Doch dabei kommen dynamische Risiken ins Spiel, wie dies in Zero-Trust-Modellen der Fall ist. Andernfalls sind Rollenkonzepte zu starr für die sich ändernden Bedrohungen der Datensicherheit.

Was hat sich geändert? Oder hat sich etwa gar nichts geändert? Das Ergebnis der EuGH-Entscheidung und damit ihre Auswirkungen sind nicht so offensichtlich, wie es scheint. Denn das Gericht hat sich – überspitzt formuliert – mit einer zum Zeitpunkt der Entscheidung in Deutschland nicht geltenden Cookie-Regelung befasst.

Einmal anmelden statt vielfach: Statt sich zahlreiche verschiedene Zugangsdaten zu merken, können Nutzer von zentralen Identitätsdiensten und SSO-Funktionen (Single Sign-on) mit nur einer Anmeldung mehrere Online-Dienste nutzen. Das hat nicht nur Vorteile.

Die enorm hohen Geldbußen, die die DSGVO vorsieht, führen bei Unternehmen zu erheblichen Unsicherheiten. Fraglich ist, wann diese Unsicherheit endet, sprich ab welchem Zeitpunkt Unternehmen keine Verfolgung durch Aufsichtsbehörden mehr befürchten müssen.

Die Datenschutz-Grundverordnung (DSGVO) fordert Sicherheitsmaßnahmen nach dem Stand der Technik. Doch woher wissen Sie als Datenschutzbeauftragter, was Stand der Technik ist?

Mit ihrer enormen Speicherkapazität sind USB-Sticks längst keine kleinen Speicherstifte mehr. Sie können den kompletten Datenbestand eines Projekts in sich tragen. Daher muss die Datensicherheit bei USB-Sticks stimmen. Lesen Sie, welche Tests nötig sind.

Smart Glasses, auch als Datenbrillen bezeichnet, reichern das visuelle Bild mit zusätzlichen Informationen an, erheben aber auch personenbezogene Daten und übertragen sie an Cloud-Dienste. Bevor Verantwortliche Datenbrillen einsetzen, ist es wichtig, eine Datenschutz-Folgenabschätzung zu machen und die Beschäftigten zu schulen.

CRM-Lösungen haben eine zentrale Bedeutung, wenn es um den Schutz von Kundendaten und die Umsetzung der Datenschutz-Grundverordnung (DSGVO / GDPR) geht. Wir geben einen Überblick über neue Datenschutz-Funktionen von CRM-Lösungen.

Lassen sich Unternehmensinhaber, Vorstände und Geschäftsführer persönlich für Datenschutzverstöße zur Verantwortung ziehen? Lesen Sie einen Überblick zur Haftung der Führungsebene.

In vielen Berufen tragen Mitarbeiter Namensschilder, sei es im Krankenhaus oder im Bekleidungsgeschäft. Auf Kongressen sollen Namensschilder das Netzwerken vereinfachen. Doch die Verunsicherung ist groß. Sind solche Schilder noch erlaubt? Und wenn ja, was ist zu beachten?

Im Gegensatz zur Zertifizierung erfahren Verhaltensregeln nach DSGVO noch wenig Beachtung in der Praxis. Das sollte sich ändern: Genehmigte Verhaltensregeln können nicht nur als Grundlage für Datenschutznachweise dienen, sie helfen auch in der Unterweisung.

Meist benötigen Cyberkriminelle für erfolgreiche Angriffe keine besonders raffinierten Techniken oder Insider-Wissen – sie profitieren von einfachen Fehlern der Online-Anbieter. Was sind die gesetzlichen Anforderungen zur Sicherheit bei Websites? Und wie gelingt es, Angriffe abzuwehren und Lücken zu schließen?

Viele Websites entsprechen immer noch nicht den Vorgaben der Datenschutz-Grundverordnung (DSGVO). Das zeigen aktuelle Prüfungen der Datenschutz-Aufsichtsbehörden. Unternehmen sollten die vorhandenen Orientierungshilfen und Tools nutzen, um ihre Internet-Auftritte auf Einhaltung der DSGVO zu überprüfen.

Für Zertifizierungsverfahren bietet die ISO-Welt bereits Blaupausen. Derzeit sind Managementsysteme als Zertifizierungsgegenstand nach DSGVO aber ausgeschlossen, obwohl gute Argumente dagegen sprechen.

Bisher wenig beachtet, aber doch wichtig: den Standpunkt der betroffenen Personen zu einer Verarbeitung einzuholen, die der Folgenabschätzung unterliegt. Lesen Sie, was genau dahintersteckt.

Kann ein Betroffener darin einwilligen, dass notwendige Maßnahmen der Datensicherheit unterbleiben? Kann er etwa generell darauf verzichten, dass per E-Mail übermittelte Daten verschlüsselt werden?

Mit dem Datenschutz-Anpassungs- und Umsetzungsgesetz EU (DSAnpUG-EU) kam auch eine Neukonzeption des Bundesdatenschutzgesetzes (BDSG). Das betrifft unter anderem die Datenschutzkontrollen und die Datensicherheit. Worauf müssen Sie bei den TOMs achten?

Verschlüsselung spielt in der DSGVO eine wichtige Rolle. Doch geht der Schutz durch Verschlüsselung so weit, dass verschlüsselte Daten keine personenbezogenen Daten mehr sind? Es kommt darauf an! Informieren Sie deshalb die Mitarbeiterinnen und Mitarbeiter über die Details.

Künstliche Intelligenz (KI) dringt in viele Lebensbereiche vor. Geben Sie daher doch einmal den Kolleginnen und Kollegen in einem besonders sensiblen Bereich wie der Medizin Einblick in die Entwicklung.

Missstände in Unternehmen zu melden, ist nicht immer mit dem Gang an die Öffentlichkeit verbunden wie bei Edward Snowden. Viele Unternehmen arbeiten mit internen Hinweisgeber-Systemen. Das sollte allerdings nicht ohne den Datenschutz ablaufen.

Niemand kann sieben Tage die Woche, 24 Stunden am Tag, ohne Urlaub und Krankheit arbeiten. Wie steht es daher mit einem Stellvertreter für den Datenschutzbeauftragten?

Unternehmen müssen Geschäfts­geheimnisse angemessen absichern, wollen sie von dem Schutz durch das neue Geschäftsgeheimnis­gesetz profitieren. Die notwendigen Schutzmaßnahmen für Geschäftsgeheimnisse und die für den Datenschutz ermöglichen Synergien.

Keine ungewöhnliche Situation: Die Polizei ruft an und fordert dazu auf, Informationen zu übermitteln: Bilder der Videoüberwachung, Mitarbeiternamen, IP-Adressen oder den Fahrernamen eines Firmenwagens. Aber wann darf überhaupt eine Herausgabe erfolgen?

Ein nachweisbarer Datenschutz ist entscheidend für das Vertrauen der Kunden und oft die Voraussetzung für einen Auftrag. Entsprechend hoch ist das Interesse an Datenschutz-Zertifikaten, entsprechend viele Datenschutz-Siegel gibt es. Doch wie unterscheiden sich gegenwärtige Datenschutz-Zertifikate von Zertifikaten nach DSGVO?

Die Benennungspflicht eines EU-Vertreters ist für internationale Unternehmen ohne EU-Sitz wichtig. Aber auch externe DSBs, die in der Stellung als EU-Vertreter einen Baustein ihres Portfolios sehen, kommen um eine rechtliche Einarbeitung in diesen Komplex nicht herum.

USB-Sticks sind als Massenspeicher auf der einen Seite überaus praktisch. Auf der anderen Seite sind sie eine nicht zu unterschätzende Gefahrenquelle für Datenschutz und IT-Sicherheit. Welche Möglichkeiten gibt es, Risiken zu minimieren?

Ein Unternehmen sucht eine IT-Führungskraft. Es melden sich nur wenige Bewerber, darunter jemand, der noch in den USA arbeitet. Er bietet an, die Gespräche per Skype for Business zu führen. Der Verantwortliche bittet seinen DSB, zu prüfen, welche Voraussetzungen zu erfüllen sind.

Viele Datenschutzbeauftragte fragen sich, welche Aufgaben sie nach der Datenschutz-Grundverordnung (DSGVO) eigentlich erfüllen müssen. Die Darstellung konzentriert sich auf die Pflichtaufgaben, die ein DSB in jedem Fall erfüllen muss, und auf die Haftungsfrage.

Mit dem deutlich gestärkten Instrument der Verhaltensregeln hat der Verband „Die Wirtschaftsauskunfteien“ die Frage der Löschung personenbezogener Daten erstmals auf nationaler Ebene einheitlich geklärt. Der Beitrag gibt einen Überblick über die nun gefundenen Regelungen.

Viele Unternehmen nutzen Umfragen um Kunden und Interessenten nach Ihrer Meinung zu fragen. Doch Umfragen können zum Datenrisiko werden – gerade Umfragen im Internet sind kritisch. Das müssen Sie bei der Teilnahme beachten.

Ein ungeordneter Ausstieg wird immer wahrscheinlicher. Wie können sich Unternehmen dafür wappnen, sollte das Vereinigte Königreich Drittland und damit der Datentransfer schwieriger werden?

Viele Datenpannen beginnen mit der Datenübertragung auf ein mobiles Speichermedium oder Endgerät, das später verloren geht. Oder Daten werden gestohlen, indem Angreifer sie über unkontrollierte Schnittstellen kopieren. Die Schnittstellenkontrolle gehört deshalb zur Datenschutzkontrolle dazu. Sie darf aber nicht zur Mitarbeiterüberwachung ausarten.

Jedes Unternehmen lebt davon, Nachwuchs zu rekrutieren. Dabei muss es im Einklang mit den Vorgaben der DSGVO den Bewerber transparent über den Umgang mit seinen Daten informieren. Was sich einfach anhört, ist in der Praxis eine echte Herausforderung.

Müssen personenbezogene Daten gelöscht werden, stellt sich die Frage: Reicht es aus, die Daten aus der Datenbank zu entfernen, oder sind die Speichermedien, auf denen sich die Daten befinden, zu vernichten? Wie so oft im Datenschutz lautet die Antwort: Es kommt darauf an!

Welche Rechtsregeln gelten angesichts der DSGVO für Bilder von Personen? Dazu gibt es viele Veröffentlichungen, die teils ziemlich aufgeregt formuliert sind. Der Beitrag stellt im Überblick dar, welche Fragen schon geklärt sind und wo zu Recht noch Streit besteht.

Vielerorts ist zu lesen, dass ein berechtigtes Interesse als Grundlage – sogar für E-Mail-Werbung – genügen soll. Datenschutzrechtlich ist das nur die halbe Wahrheit. Ein genauerer Blick ist daher zwingend.

„Externe DSB können nicht als Rechtsanwalt zugelassen sein.“ Solche Äußerungen hat eine Entscheidung des BGH vom 2. Juli 2018 ausgelöst. Sie betrifft jedoch nur „Syndikus-Anwälte“. Was ist das eigentlich? Und wann kann ein externer DSB nun als Rechtsanwalt zugelassen sein?

Im zweiten Teil lesen Sie Vorschläge zu praktischen Vorgehensweisen in einzelnen Bereichen und erste Klarstellungen der Landesdatenschutzbehörden. Darüber hinaus beleuchten wir die gemeinschaftliche Berufsausübung in ihren datenschutzrechtlichen Auswirkungen.

Persönlichkeitstests bei künftigen oder bereits beschäftigen Mitarbeitern sollen helfen, Personalentscheidungen zu verbessern. Es liegt in der Natur der Sache, dass dabei eine Vielzahl personenbezogener Daten verarbeitet wird. Doch was ist datenschutzrechtlich erlaubt?

Durch die DSGVO lebt die Diskussion, ob der Betriebsrat datenschutzrechtlich eine eigene verantwortliche Stelle ist, wieder auf. Die Frage ist umstritten, je nach Antwort können sich weitreichende Konsequenzen ergeben. Der Artikel gibt einen Überblick und Praxistipps.

Wie alle gesetzlichen Regelungen kann auch die Datenschutz-Grundverordnung (DSGVO) nur dann ihre Wirkung entfalten, wenn sie richtig umgesetzt wird. Das stellen die Datenschutzaufsichtsbehörden mit ihren Kontrollen sicher. Womit müssen Verantwortliche rechnen?

Künstliche Intelligenz (KI) soll in naher Zukunft zu fast jedem Arbeitsplatz gehören. Da stellt sich die Frage, wo der Datenschutz bei KI heute steht und wie er sich weiter entwickeln wird.

Wie personenbezogene Daten schützen, wenn der einfache Passwortschutz nicht ausreicht? Dafür bieten sich Verfahren der Zwei-Faktor-Authentifizierung an. Doch Vorsicht: Auch diesen verstärktem Zugangsschutz haben Angreifer schon geknackt. Was bedeutet das für den Datenschutz?

WhatsApp ist auch in Unternehmen kaum wegzudenken. Doch nur, weil viele den Messenger nutzen, lösen sich die Fragen zum datenschutzkonformen Einsatz nicht in Luft auf. Was geht, was nicht?

Gesundheitsdaten unterliegen den Anforderungen für besondere Kategorien von Daten. Schon allein daraus ergaben sich Fragen, die noch nicht alle geklärt sind. Informationen verschiedener Datenschutz-Aufsichtsbehörden unterstützen nun Arztpraxen und andere Gesundheitsberufe.

Blockchain ist einer der Top-Trends der IT in 2018. Gleichzeitig besteht aber Unsicherheit darüber, was sich dahinter genau verbirgt und welche Folgen die neue Technologie für den Datenschutz hat. Lesen Sie, wie die Blockchain funktioniert, welche Anwendungen es schon gibt und welche Sicherheitsmaßnahmen nötig sind.

Was sich trivial anhört, ist doch einer der Klassiker: Wer kennt nicht die vergessenen Kopien oder Unterlagen? Die vertraulichen Schreiben, die aus Versehen an eine externe Faxnummer oder E-Mail-Adresse gingen?

Der Datenschutz im Internet beginnt nicht erst damit, Online-Attacken abzuwehren, sondern mit dem datenschutzgerechten Internetauftritt eines jeden Unternehmens. Die Datenschutz-Grundverordnung (DSGVO / GDPR) macht hierzu zahlreiche Vorgaben.

Das Frühjahr 2018 hat nicht nur das neue europäische Datenschutzrecht wirksam werden lassen, sondern auch die begleitende Gesetzgebung von Bund und Ländern. Welche Unterschiede gibt es dabei zwischen öffentlichen und nichtöffentlichen Datenverarbeitern?

In vielen Fällen findet eine Datenverarbeitung mit Unterstützung eines anderen Unternehmens statt. Um die Rechtmäßigkeit der Verarbeitung zu gewährleisten, ist es von großer Bedeutung, solche Sachverhalte korrekt einzuordnen. Beteiligte müssen wissen, ob sie Verantwortliche, Auftragsverarbeiter oder Joint Controller sind.

Bietet sich partout keine andere Rechtsgrundlage für eine Datenverarbeitung, bleibt als letzte Möglichkeit die Einwilligung. Hier warten allerdings so einige Stolpersteine, die es zu beachten gilt.

Webbrowser, wie Chrome und Firefox, bieten Funktionen, mit denen Nutzer den Betreibern von Webseiten automatisch mitteilen können, dass sie kein Tracking wünschen. Wir sehen uns hier an, warum Chrome und Firefox beim Tracking-Schutz zu kurz greifen.

Die DSGVO führt u.a. das Recht auf Auskunft und auf Datenportabilität ein. Unstrittig ist, dass auch Arbeitnehmern diese Rechte zustehen. Die im Unternehmen Verantwortlichen müssen sich daher im Vorfeld Gedanken machen, wie sie die neuen Anforderungen in die Praxis umsetzen.

Die Videoüberwachung an öffentlichen Plätzen, aber auch in Unternehmen nimmt zu. Aus gutem Grund sieht daher die Datenschutz-Grundverordnung vor der weiträumigen Videoüberwachung öffentlicher Bereiche eine Datenschutz-Folgenabschätzung vor. Dazu gehört, die geplante Speicherdauer zu prüfen.

Traum oder Albtraum? „Maschinen“, die den Menschen so unterstützen, dass er gefährliche, monotone oder schwere Arbeiten nicht mehr selbst erledigen muss, sind keine Zukunftsmusik, sondern Realität. Wie funktioniert das? Welche Datenschutzfragen treten dabei auf?

Die Europäische Kommission, Generaldirektion, Justiz und Verbraucher, hat am 9. Januar 2018 ein Papier online gestellt, das sich mit den Folgen des Brexit für den Datenschutz beim Transfer von Daten in das Vereinigte Königreich befasst. Es muss allen DSBs bekannt sein, deren Unternehmen Daten ins Vereinigte Königreich transferieren oder dies in Zukunft beabsichtigen. Wie ist das Papier einzuordnen?

Die horrenden Geldbußen der DSGVO haben für schlaflose Nächte bei manchen Unternehmern gesorgt. Etwas Beruhigung könnte ein Urteil des BGH zu Compliance-Management-Systemen bringen. Es lässt sich auf die zukünftige Praxis der Aufsichtsbehörden übertragen, ebenso wie einige andere, schon vorhandene Regelungen.

Nicht nur im Datenschutz warten wir auf einheitliche Gütesiegel und Zertifizierungen. Auch die IT-Sicherheit von Produkten ist noch nicht transparent genug. Die aktuellen Arbeiten an einem IT-Sicherheitskennzeichen helfen dem Datenschutz gleich mehrfach.

Ursprünglich sollte die E-Privacy-Verordnung, die die Datenschutzrichtlinie für elektronische Kommunikation (RL 2002/58/EG) einschließlich der sogenannten Cookie-Richtlinie (2009/136/EU) ablösen wird, zeitgleich mit der DSGVO am 25. Mail 2018 anwendbar werden. Nach jüngsten Verlautbarungen aus Kreisen der EU-Kommission ist dieses Ziel wohl aber nicht mehr realistisch.

Kurze Darstellungen zu einzelnen Aspekten der DSGVO sind für Praktiker oft sehr hilfreich. Der Beitrag bietet einen Überblick darüber, was die Aufsichtsbehörden kostenlos zur Verfügung stellen. Ergänzend geht er auf einige wichtige Papiere anderer Stellen ein.

Die elektronische Gesundheitskarte (eGK) soll die Qualität und Transparenz der Behandlung erhöhen. Dafür speichert sie eine Vielzahl von sensiblen Daten. Welche Maßnahmen schützen diese Informationen?

Daten zu archivieren, ist eine Herausforderung. In vielen Unternehmen gibt es daher trotz der strikten Vorgaben zur Datenlöschung entweder gar kein oder nur ein sehr übersichtliches Archivierungskonzept. Die Datenschutz-Grundverordnung (DSGVO) fordert allerdings ein solches ein. Eine wichtige Praxisfrage für viele Unternehmen ist dabei, unter welchen Voraussetzungen die bislang bekannte Sperrung zulässig sein wird.

Ein zentrales Problem im Datenschutz ist die Klassifizierung der personenbezogenen Daten, um ihren Schutzbedarf festzulegen. In Zeiten von Big Data sind Lösungen gefragt, die hierbei deutlich unterstützen können. Wir zeigen Beispiele.

Nicht nur für Whistleblower wären anonyme E-Mails hilfreich. Auch Spammer wollen E-Mails, die sich möglichst nicht bis zum Urheber zurückverfolgen lassen. Doch gibt es Anonymität bei E-Mails wirklich? Oder lassen sich alle Mails zurückverfolgen?

Apps und Social Media sind auch in der Schule nicht mehr wegzudenken. Sind Lehrer-Apps und die Kommunikation über WhatsApp zulässig? Und dürfen Eltern bei Schulveranstaltungen fotografieren? In der Praxis handhaben manche Schulen den Datenschutz etwas locker. Informieren und ermutigen Sie Ihre Kollegen, auch im Alltag ihre Datenschutzrechte einzufordern.

„Da ist alles so abstrakt, dass ich gar nicht weiß, was genau zu tun ist.“ So lautet ein häufiger Stoßseufzer, kommt die Sprache auf die Datenschutz-Grundverordnung (DSGVO). Sicher steckt darin ein wahrer Kern. Möglicherweise stellt sich aber Vieles anders dar, wenn man einmal fragt: Welche Schwerpunkte setzt die Grundverordnung denn völlig anders als das Bundesdatenschutzgesetz (BDSG)?

Der Pseudonymisierung kommt in der Datenschutz-Grundverordnung (DSGVO) eine deutlich höhere Bedeutung zu, als dies gegenwärtig im Bundesdatenschutzgesetz (BDSG) der Fall ist. Zum einen handelt es sich bei der Pseudonymisierung um eine zentrale technische und organisatorische Sicherungsmaßnahme, die die DSGVO wiederholt in unterschiedlichem Zusammenhang erwähnt. Darüber hinaus kann die Anwendung von Pseudonymisierungstechniken erheblichen Einfluss auf die Zulässigkeit einer Verarbeitung personenbezogener Daten haben.

Fitness-Tracker, mit denen sich Gesundheitswerte und persönliches Verhalten aufzeichnen lassen, werden immer beliebter. Etwa ein Drittel der Bevölkerung verwendet die am Körper getragenen Kleincomputer – die Wearables – oder auf mobilen Endgeräten installierte Anwendungsprogramme – sogenannte Gesundheits-Apps. Nur wenige Nutzer machen sich jedoch Gedanken darüber, was mit den entstehenden Daten passiert. Wo landen die Daten? Wer hat Interesse daran, sie zu nutzen? Und wie sind sie überhaupt geschützt?

Die Datenschutz-Grundverordnung (DSGVO) sichert die Stellung des betrieblichen Datenschutzbeauftragten, und zu Sorgen besteht kein Anlass. So hört man es oft, und das trifft auch zu – jedenfalls im Prinzip. Eine Orientierungshilfe der Gruppe nach Art. 29 vom 13. Dezember 2016 zeigt jedoch, dass sich trotzdem einige neue Perspektiven ergeben. Jeder DSB sollte sich damit befassen. Sonst läuft er Gefahr, persönliche Chancen nicht zu erkennen und sie zu versäumen.

Viele Datenschutzbeauftragte, Gewerkschaften und Betriebsräte sehen besorgt in Richtung Unternehmen, die mittels moderner IT möglichst viele Daten über ihre Mitarbeiter sammeln und auswerten möchten. Ohne Frage ist das ein reales Problem – aber ist es wirklich das größte?