Praxisbericht

Trotz langjähriger Praxiserfahrung stoßen Datenschutzbeauftragte immer wieder auf Themen, denen sie bislang zu wenig Aufmerksamkeit schenkten. Mir ging es mit Umzügen so. Erfahren Sie, weshalb dieses Thema für Sie als DSB relevant ist und worauf Organisationen dabei achten sollten.

Der Beitrag skizziert aus der Perspektive von Datenschutzbeauftragten (DSB) die Vorteile einer Mehr-Faktor-Authentifizierung sowie die datenschutzrechtlichen Herausforderungen, etwa wenn es darum geht, private Endgeräte oder Kontaktdaten einzubinden.

Von den vielfältigen Möglichkeiten von Excel wissen die meisten Nutzer kaum etwas. Gerade das kann zu Datenpannen führen. Ein Ratgeber des Bayerischen Landesbeauftragten für den Datenschutz zu diesem Thema lässt sich in weniger als einer halben Stunde durcharbeiten.

Die Cloud-Software Lexoffice setzen zahlreiche Unternehmen für ihre Buchhaltung ein. Wir zeigen in diesem Beitrag, welche Einstellungen für den Datenschutz und die Datensicherheit gesetzt sein sollten.

Kennen Sie dieses besondere Gefühl, wenn Sie eine Begehung machen oder am Telefon eine Anfrage erhalten, dass sich da das eine oder andere anders verhält als zunächst gedacht? Nennen wir es ruhig den 7. Sinn von Datenschutzbeauftragten. Fasst man Erkenntnisse dieser Art zusammen, entsteht ein überaus spannendes Datenschutzhandbuch, aus dem Sie heute erste Kapitel lesen.

Geht es darum, personenbezogene Daten mit hoher Sensibilität zu versenden, ist es immer gut, einen professionellen Kurierdienst zu beauftragen. Dieser Dienst sollte erfahren und zuverlässig sein. Das ist leider nicht immer gewährleistet …

Bei den Grundsätzen der Verarbeitung personenbezogener Daten tauchen gleich zu Beginn Fragen auf. Art. 5 Abs. 1 Buchst. a DSGVO spricht von „Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“. Für die Rechtmäßigkeit gibt es Art. 6 DSGVO, für Transparenz Art. 13 & 14 DSGVO. Aber was meint „Treu und Glauben“?

DATEV Unternehmen online ist eine cloudbasierte Lösung, um Dokumente zwischen Unternehmen und Steuerberatern auszutauschen. Sie kommt in der Praxis v.a. in kleinen und mittleren Unternehmen zum Einsatz. Welche Einstellungen sind hier für den Datenschutz wichtig?

Das Datenschutzhandbuch fasst die wichtigsten Unterlagen und Dokumente zu den zentralen Datenschutzaktivitäten der Organisation zusammen. Wer führt es, wie ist es aufgebaut, was gehört hinein?

Es ist einer der Klassiker bei Datenschutz-Prüfungen: der nicht gesperrte Bildschirm am verlassenen Arbeitsplatz. Manche Mitarbeitende interpretieren diesen Klassiker ganz neu für sich.

Ortsbegehungen sind v.a. spannend, wenn es um Bereiche mit besonderen Kategorien von Daten geht. Ganz genau sollten Datenschutzbeauftragte hier bei den Türen hinschauen. Haben sie einen festen Türknauf, der sich von außen nur mit Schlüssel oder Transponder öffnen lässt? Oder gibt es lediglich Türklinken, sodass die Beschäftigten die Türen eigens verschließen müssen, wenn sie den Raum verlassen?

DSB sollen beraten, überwachen und als Ansprechpartner für die Aufsicht dienen. Diese Aufgaben haben eher strategischen Charakter. In der betrieblichen Realität kommen oft operative Aufgaben hinzu. Welche Tätigkeiten können DSB übernehmen und welche nicht?

Bei Ortsbegehungen zum Datenschutz gilt es, wenig beachtete Prozesse zu finden, bei denen jeder gedankenlos mitarbeitet, die aber personenbezogene Daten in großen Mengen verarbeiten. Ideales Zielobjekt dafür sind Multifunktionsgeräte.

Eine sorgfältige Datensicherung ist unverzichtbar und ohne Alternative. Aber Datensicherung muss auch funktionieren. Dazu gehört u.a. die Erkenntnis, dass alles, was gut funktionieren soll, Geld kostet. Hier am falschen Ende zu sparen, kann sehr teuer werden und großen Aufwand verursachen.

Unmittelbar nach Anwendbarkeit der DSGVO überprüfte die französische Aufsichtsbehörde CNIL den Online-Verkäufer Spartoo, der Schuhe in 13 EU-Länder verkauft. Sie verhängte im Juli 2020 eine Geldbuße von 250.000 €, u.a. wegen Verstößen gegen die Datenminimierung. Wie hätte sich das verhindern lassen?

Geht es um Webbrowser und Online-Tracking, dreht sich bisher fast alles um Cookies und Cookie-Manager. Die Werbewirtschaft ist jedoch kreativ und findet immer neue Alternativen. Konzipieren Sie daher die Sensibilisierung zu diesen Themen neu. Lesen Sie, worauf es ankommt.

Auch bei größter Vorsicht können Notfälle auf dem Arbeitsweg oder im Betrieb passieren. Da ist es wichtig, die Daten von Notfallkontakten zur Hand zu haben. Wie lässt sich das datenschutzkonform organisieren?

USB-Sticks, auf denen sich Schadsoftware versteckt, sind ein klassisches Einfallstor für Cyberkriminelle. Testen Sie doch mal, wie gut die letzten Datenschutz-Schulungen zu diesem Thema gewirkt haben …

Ein Angreifer aus dem Internet hat es im Grunde leicht: Er muss nur eine Lücke in den Schutzmaßnahmen ­finden, schon ist eine Cyberattacke sehr wahrscheinlich erfolgversprechend. Fahnden Sie daher nach typischen Lücken in Sicherheitskonzepten – und bieten Sie Lösungsansätze.

Bevor ein biometrisches Verfahren zum Einsatz kommt, sind viele Fragen zu klären. Wie steht es um Rechtsgrundlagen, Akzeptanz, Nutzerfreundlichkeit, mögliche Schwachstellen und Angriffe? Ein neues Biometrie-Evaluations-Zentrum (BEZ) zeigt, wie sich Antworten finden lassen.

Conversion Tracking verfolgt eine gewünschte Nutzeraktion wie einen Produktkauf zurück auf eine bestimmte Werbemaßnahme. Wer dafür Cookies nutzt, benötigt gewöhnlich eine Einwilligung. Mit geeigneten Mitteln gelingt das Conversion Tracking jedoch auch ohne Einwilligung.

Bei Datenschutzüberprüfungen im Zusammenhang mit Auftragsverarbeitung erlebt man als Datenschutzbeauftragter immer wieder interessante Situationen. Je nach Auftrag sind dabei auch Überprüfungen vorzunehmen, die im wahrsten Sinne des Wortes etwas brenzliger ausfallen.

Über Telefonie, Chat, Videokonferenzen, Webinare, Bildschirmfreigaben und Dateiübermittlung bis hin zur Einbindung externer Apps und Funktionalitäten ist (fast) alles möglich. Für das Beschäftigungsverhältnis bedeutet das einige datenschutzrechtliche Gefahren. Um diesen Gefahren praxisorientiert begegnen zu können, ist es notwendig, entsprechende unternehmens- oder behördeninterne Regelungen zu schaffen.

Aktenvernichtung erfüllt eine bedeutende Aufgabe bei den technischen und organisatorischen Maßnahmen. Sie dient v.a. dazu, die Vertraulichkeit zu wahren. Das klappt allerdings nicht immer so wie geplant.

Ein Datenschutz-Audit ist ein systematischer und dokumentierter Prozess, um zu prüfen, ob eine Organisation die gesetzlichen Bestimmungen im Bereich des Datenschutzes einhält. Zu einem Audit gehört, Schwächen zu identifizieren und Maßnahmen, um sie zu beseitigen. Ziel ist es, Erkenntnisse über die datenschutzrechtliche Konformität zu erlangen. Lesen Sie, wie Sie dazu am besten vorgehen.

Zu den Schutzmaßnahmen, die die Datenschutz-Grundverordnung (DSGVO) fordert, gehört auch der Schutz der Daten vor Vernichtung. Dass jemand aus Versehen personenbezogene Daten vernichtet, ist noch einzusehen. Aber wie kann es sein, dass jemand absichtlich Daten vernichtet?

Die Pflicht, personenbezogene Daten zu löschen, und die Rechenschaftspflicht, die verlangt, die Löschung zu dokumentieren, widersprechen einander auf den ersten Blick. Erfahren Sie, wie sich dieser Widerspruch auflösen lässt.

Ist das Produkt oder die Dienstleistung geliefert, verschicken Unternehmen häufig E-Mails, die Kundinnen und Kunden nach ihrer Zufriedenheit befragen. Unter welchen Voraussetzungen ist dies zulässig?

Jede Webseite verarbeitet personenbezogene Daten. Zugleich ist die Webseite der öffentlichste Teil eines Unternehmens. Umso wichtiger ist es, Datenschutzgesetze einzuhalten und Fehler abzustellen. Doch wie lassen sich Probleme ermitteln und Lösungen finden?

Im Gegensatz zu den unbewusst handelnden Innentätern (siehe Heft 11/21) stoßen wir bei den bewusst handelnden die Tür zu illegalen bzw. zu kriminellen Akten auf. Gar nicht so selten wird dann die Staatsanwaltschaft aktiv. Welche Typen gibt es, wie erkennt man diese Täter, was lässt sich im Vorfeld gegen sie tun?

Was sind personenbezogene Daten wert? Darf eine betroffene Person mit ihren Daten statt mit Geld „bezahlen“? Sind Paywalls bei Websites zulässig? Über diese und weitere Fragen diskutiert die Digitalwirtschaft seit Jahren. Der EU-Gesetzgeber schafft mit der Digitale-Inhalte-Richtlinie nun Regeln, um Daten zu monetarisieren.

Viele Beschäftigte wünschen sich, auch im beruflichen Umfeld Messenger nutzen zu können. Dafür müssen aber zahlreiche Punkte im Vorfeld geklärt sein. Zunächst die rechtliche Grundlage. Dann: Was soll der Messenger können, wofür soll er genau zum Einsatz kommen?

Wie ist ein betriebliches Eingliederungsmanagement (BEM) strukturiert? Welche Herausforderungen entstehen daraus für Unternehmen aus Sicht des Datenschutzes? Und welche konkreten Überwachungsaufgaben ergeben sich damit für Datenschutzbeauftragte (DSB)?

Ist ein bestimmter Dienstleister aus Datenschutzsicht vertretbar oder muss er zusätzlich technische und organisatorische Maßnahmen erfüllen? Diese Fragen stellen sich nicht nur, aber besonders im Finanzsektor. Hier müssen Datenschutzbeauftragte beim Outsourcing intensiv beratend begleiten.

Wann wurde in Ihrer Organisation das letzte Mal über Innentäter gesprochen? Falls Sie sich nicht erinnern können: War das überhaupt schon einmal Thema? Ist man sich des Risikos bewusst oder wird es verdrängt? Da etwa zwei Drittel der Angriffe von innen erfolgen, setzen Sie den Punkt unbedingt auf die Tagesordnung.

SAP bietet in seinen Produkten verschiedene Möglichkeiten, den Datenschutz zu verbessern. Allerdings muss bereits die Projektplanung diese Funktionen berücksichtigen. Sensibilisieren Sie die Beteiligten daher dafür, dass sie frühzeitig an den Datenschutz denken.

Anfragen von betroffenen Personen sind mittlerweile sehr häufig. Zeigen Sie anhand von Praxisbeispielen etwa zur telefonischen Auskunft, wie die Kolleginnen und Kollegen mit Betroffenenrechten korrekt verfahren.

Wie verhindern Verantwortliche, dass es bei Wartungsarbeiten zu Datenpannen kommt, weil Techniker auf Daten zugreifen, die nicht für sie bestimmt sind? Wir stellen weitere Maßnahmen zur Absicherung der Fernwartung vor und beleuchten, wie es sich mit der Sicherheit bei IoT-Geräten verhält.

Mit Art. 6 Abs. 1 Buchst. f brachte die DSGVO eine neue Rechtsgrundlage für die Datenverarbeitung: das „berechtigte Interesse“. Was genau verbirgt sich dahinter, und welche Voraussetzungen müssen erfüllt sein, um die Verarbeitung personenbezogener Daten darauf stützen zu können?

Maschinen in der Produktion müssen gewartet werden. Dazu sind entweder Wartungsintervalle vorgegeben oder es erfolgt eine Ad-hoc-Wartung, wenn es zu einer Störung kommt. Wie verhindern Verantwortliche, dass es dabei zu Datenpannen kommt, weil Techniker auf Daten zugreifen, die nicht für sie bestimmt sind?

Unternehmen und Behörden setzen immer häufiger auf Apps für Smartphones und Tablets, um dienstliche Abläufe zu optimieren. Welche datenschutzrechtlichen Aspekte müssen Verantwortliche und Datenschutzbeauftragte bei der Einführung einer solchen App beachten?

360-Grad-Feedback, also die Bewertung von Arbeitsleistung und Verhalten von Beschäftigten aus allen erdenklichen Perspektiven, ist kein Novum. Relativ neu ist jedoch der Einsatz digitaler Tools auf sämtlichen Hierarchiestufen. Damit einher gehen einige Fragen des Datenschutzes.

Die Hauptaufgabe von DSB ist es, zu beraten und zu überwachen. In größeren Unternehmen ist es sinnvoll, weitere Aufgaben zu übernehmen und ein Team weiterzuführen oder aufzubauen, das dabei unterstützt. Angesichts der Themenvielfalt gilt es, den Überblick zu behalten. Geeignete Prozesse und Tools helfen hier bei der Organisation, um Arbeitsabläufe zu vereinfachen.

Jeder kann nach Wartungsarbeiten plötzlich die Gehaltsabrechnung aller anderen Kolleginnen und Kollegen einsehen – was ist da bloß passiert? Lesen Sie, wie Sie solche Datenschutzvorfälle umschiffen.

Arbeiten viele medizinische Fachbereiche z.B. im Krankenhaus zusammen, birgt das großes Risikopotenzial für Datenschutzverstöße. Sind Teile der verarbeiteten sensiblen Daten für Außenstehende „versteckt“, ist es noch höher. Wie identifizieren Sie solche Daten und v.a.: Wie vermeiden Sie sie?

Ein Kollege ist krank. Sein Vorgesetzter leitet die Information weiter – aus Versehen per Mailverteiler an alle Empfänger im Unternehmen. Wie lassen sich solche Datenschutzpannen effektiv verhindern?

So gut wie alle Unternehmen haben Kundenkontakt. Früher oder später trifft die heute übliche Eigenart, alles Mögliche zu filmen und zu posten, daher auch jeden Betrieb und jede Behörde. Bereiten Sie Ihre Kolleginnen und Kollegen mit den folgenden Hinweisen auf diese Situation vor.

Kürzlich hat das ULD seinen Tätigkeitsbericht für 2019 vorgelegt. Lesen Sie, welche Fälle daraus für die Datenschutz-Praxis besonders wichtig sind. Der Bericht zeigt auch, dass das ULD von Bußgeldern bisher keinen Gebrauch macht.

Studierende der Universität Passau haben eine Suchmaschine erstellt, die Berichte des Zentralarchivs für Tätigkeitsberichte der Bundes- und der Landesdatenschutzbeauftragten sowie der Aufsichtsbehörden für den Datenschutz (ZAfTDa) durchsuchbar macht. Das ist eine wertvolle Hilfe für Datenschutzbeauftragte.

Früher galt Bluetooth als Kabelersatz und als Kurzstrecken-Funk. Die neuen Versionen ermöglichen jedoch auch Verbindungen über größere Distanzen. Die Folge: Sie brauchen mehr Sicherheits-Maßnahmen. Das gilt besonders im Internet of Things (IoT).

Welche Regeln des Datenschutzes gelten für die Verarbeitung von Fotos Beschäftigter? Nicht weniger als fünf deutsche Aufsichtsbehörden haben sich in ihren aktuellen Tätigkeitsberichten dazu geäußert, teils sogar relativ ausführlich.

Ein Beschäftigter kann an seinem Arbeitsplatz auf Daten von Kunden zugreifen. Das missbraucht er für rein private Zwecke. Kann die Aufsichtsbehörde deshalb gegen ihn ein Bußgeld verhängen?

Die Umsätze mit mobilen Apps in Deutschland sind auf einem Rekordhoch. Leider gilt das auch für die mobilen Datenrisiken. Viele Apps kollidieren mit der Datenschutz-Grundverordnung (DSGVO). Doch es gibt Lösungen, wie Apps datenschutzkonform werden. Ein Beispiel: die AVARE-App.

Wie lässt sich die DSGVO bloß praktisch umsetzen? Manchmal hilft es, bei anderen zu schauen. Etwa in Anwenderberichten, die erfolgreiche Projekte zur Datenschutz-Grundverordnung beschreiben. Oder in die Tätigkeitsberichte der Datenschutzaufsichten.

Könnte Ihr Unternehmen im Fall der Fälle – nämlich bei einer entsprechenden Anfrage der Datenschutzaufsicht – die nötigen Antworten geben? Ein Fragebogen hilft dabei, das besser einzuschätzen.

Die DSGVO gilt in vollem Umfang auch für Arztpraxen. Welche Anforderungen Ärzte erfüllen müssen und wo es Hilfestellung bei Unklarheiten gibt, lesen Sie im folgenden Beitrag.

Die DSGVO brachte viele kleinere und mittlere Kommunen in Unruhe: Wieder eine neue Last, die Brüssel auf ihre Schultern legt. Jetzt benötigt auch die kleinste Verwaltung einen Datenschutzbeauftragten. Zwingend! Ohne Ausnahme! Die Lösung: ein gemeinsamer DSB.

Von Marketing-Abteilungen geliebt – von Datenschützern kritisiert: Facebook Custom Audiences unterstützt Online-Werbung und die gezielte Ansprache von Kunden auf Facebook. Was geht, was nicht?

Hat der europäische Gesetzgeber in seinem Streben nach einem „Goldstandard“ für den Datenschutz in der digitalen Welt tatsächlich wichtige Fallgestaltungen unseres oft immer noch analogen Alltags übersehen? Nein, hat er nicht – man muss nur manchmal etwas genauer hinschauen.

„Nicht ernsthaft, oder?“ So lautete ein noch halbwegs freundlicher Kommentar zu einem Dokument, das alle Sprachfassungen der DSGVO umfassend korrigiert. Und dies wenige Tage, bevor die DSGVO ab 25. Mai 2018 allgemein gilt. Geht so etwas überhaupt? Und welche praktischen Schwierigkeiten ergeben sich daraus?

Die Einwilligung ist eine wesentliche Rechtsgrundlage für die Werbewirtschaft, um personenbezogene Daten zu nutzen. Ein neues Tool soll zukünftig für DSGVO-konforme Einwilligungen sorgen.

Die Frage, ob Minderjährige wirksam in den Umgang mit ihren Daten einwilligen können, wurde schon unter dem Bundesdatenschutzgesetz diskutiert. Die Datenschutz-Grundverordnung sieht dazu nun zumindest bei internetbasierten Diensten Regelungen vor, die Klarheit schaffen.