Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Analyse

CRM-Systeme - eine grafische Darstellung
Bild: Lena_Datsiuk / iStock / Getty Images
Datenschutz-Grundverordnung und Kundendaten

CRM-Lösungen haben eine zentrale Bedeutung, wenn es um den Schutz von Kundendaten und die Umsetzung der Datenschutz-Grundverordnung (DSGVO / GDPR) geht. Wir geben einen Überblick über Datenschutz-Funktionen von CRM-Lösungen.

Lesson learned

Begehung im Bürogebäude. Der Weg führt in das Büro des Geschäftsführers. Eckbüro mit massiver Tür und einem schmalen Glasstreifen daneben.

Wer ist in einem Unternehmen Verantwortlicher nach DSGVO? Hier symbolisiert durch einen jungen Mann, der mit Papieren in der Hand vor seinem, Laptop sitzt
Bild: Nastco / iStock / Getty Images
Verantwortung im Datenschutz

Nicht der oder die Datenschutzbeauftragte ist verantwortlich für den Datenschutz, sondern die sogenannte verantwortliche Stelle. Wer verantwortlich oder gemeinsam verantwortlich ist, kommt auf die Datenverarbeitung und die Auftragsverarbeitung an. Wir geben einen Überblick zum Verantwortlichen, auch zu Fragen der Haftung und zur Verantwortung bei Datenschutzverletzungen.

Verzeichnis von Verarbeitungstätigkeiten

Als ich neulich wieder einmal aus einem Datenschutzalbtraum erwachte, schrieb ich sofort folgende Geschichte auf: die digitale Protokollierung der Toilettenreinigung.

Sichere USB-Sticks: Darauf kommt es an
Bild: Jeffrey Hamilton / iStock / Thinkstock
Mobile Speichermedien & Datenschutz

Mit ihrer enormen Speicherkapazität sind USB-Sticks längst keine kleinen Speicherstifte mehr. Sie können den kompletten Datenbestand eines Projekts in sich tragen. In Zeiten von Homeoffices und mobiler Arbeit könnte es schnell zu solchen Datentransporten per USB-Stick kommen. Daher muss die Datensicherheit bei USB-Sticks stimmen. Lesen Sie, welche Tests nötig sind.

DSGVO / BDSG: Datenschutzkontrollen

Neben rechtlichen Anforderungen an den Datenschutz sind es neue Bedrohungslagen und neue, digitale Technologien, die Änderungen am Konzept für die Datensicherheit und bei den technisch-organisatorischen Maßnahmen (TOMs) notwendig machen. An welche TOMs sollten Sie dabei denken?

Rechtsgrundlagen für die Verarbeitung personenbezogener Daten

Damit eine Einwilligung in die Verarbeitung personenbezogener Daten rechtswirksam ist, müssen Unternehmen viele Anforderungen aus dem Datenschutz erfüllen. Dazu ist es erforderlich, zu wissen, was die Datenschutz-Grundverordnung (DSGVO) hierzu regelt.

Abgrenzung und Inhalte

Eine Abgrenzung der Verantwortlichkeiten ist kompliziert – eine Fehleinschätzung und die Verarbeitung personenbezogener Daten ist nicht DSGVO-konform. Der Europäische Gerichtshof (EuGH) und die Leitlinien zu den Begriffen „Verantwortlicher“ und „Auftragsverarbeiter“ des Europäischen Datenschutzausschusses (EDSA) helfen bei der Orientierung.

Maschinendaten können personenbeziehbare Daten sein
Bild: iStock.com / greenbutterfly
Industrie 4.0 / OT (Operational Technology)

Geht es um vernetzte Maschinen und Anlagen, scheinen personenbezogene Daten keine Rolle zu spielen. Doch weit gefehlt: Auch Industrie 4.0 ist ein Thema für den Datenschutz. Nicht nur in der IT (Informationstechnologie) gibt es Datenrisiken, auch in der OT (Betriebstechnologie). Hier besteht noch deutlicher Bedarf an Sensibilisierung für mehr Datenschutz.

BDSG & DSGVO

Wer Scoring-Verfahren einsetzt, muss zahlreiche Datenschutz-Vorgaben beachten, unter anderem aus dem Bundesdatenschutzgesetz und einem Urteil des Europäischen Gerichtshofs (EuGH). Daher ist es wichtig, die Bedeutung von Scoring zu verstehen und den Personenbezug von Score-Werten zu erkennen.

DP+
Copilot und Bing Chat in Windows 11 & Microsoft Edge
Bild: iStock Editorial / NguyenDucQuang
KI-Anwendungen

Setzen Unternehmen Windows 11 23H2 und Microsoft Edge ein, gibt es im Bereich Datenschutz einiges zu beachten. Das gilt v.a., wenn Künstliche Intelligenz (KI) in Form von Bing Chat oder Windows-Copilot im Einsatz ist. Wir zeigen, worauf es ankommt.

Spannungsfall(e) Datenschutzbeauftragte

DSB sehen sich heute mehr denn je in einem Konflikt zwischen ihren Aufgaben, die sich aus Art. 37 ff. DSGVO und § 5 bis 7 BDSG ergeben, und dem, was Unternehmen gern als „pragmatische Umsetzung“ adressieren. Wo liegen die Hauptgründe dafür und was lässt sich dagegen tun?

Datenschutzgerechte Webstatistiken - gewusst wie!
Bild: Bigandt_Photography / iStock / Thinkstock
Webanalysen

Ohne Webstatistik ist es kaum möglich, Internetangebote zielgerichtet zu verbessern. Die meisten Lösungen für Webanalysen kommen aber ohne zusätzliche Datenschutz-Vorkehrungen nicht aus. Was müssen Sie daher tun, um datenschutzkonform zu sein?

DP+
Der Fragebogen prüft Kernbereiche rund um den DSB wie Geeignetheit, Einbindung, Ressourcen, Berichtswege und Unabhängigkeit. Damit zeigt er auch nicht direkt betroffenen Unternehmen, welche Erwartungen die Behörden haben
Bild: iStock.com / Nuthawut Somsuk
Fragebogen der Aufsichtsbehörden

Aktuell läuft EU-weit eine Prüfaktion der Aufsichtsbehörden zur Rolle von DSB. Der verschickte Fragebogen widmet sich den DSB, ihrer Stellung, Rolle und Aufgaben. Wir stellen den Fragebogen sowie die dort lauernden Fallstricke vor und liefern eine passende Checkliste.

Sicherheit der Verarbeitung

Das Arbeitspapier zum „Stand der Technik“ des IT-Sicherheitsverbunds TeleTrusT adressiert Maßnahmen zur IT-Sicherheit. Bei der Verarbeitung personenbezogener Daten lohnt sich ein Blick samt Einordnung auf den aktuellen Stand des Jahres 2023.

EU-US Data Privacy Framework & SCC

Seit der EuGH die Anwendung des Privacy Shield gestoppt hatte, griffen viele Unternehmen auf die EU-Standardvertragsklauseln zurück. Wird das noch nötig sein, nachdem das EU-US Data Privacy Framework (DPF) anwendbar ist? Die Antwort darauf fällt differenziert aus.

DP+
Es bleibt bei einer gewissen Rechtsunsicherheit bei dem Thema private Internet- und E-Mail-Nutzung am Arbeitsplatz
Bild: iStock.com / Feodora Chiosea.
Beschäftigtendatenschutz

Der Umgang mit Internet und E-Mail im Betrieb führt immer wieder nicht nur bei Beschäftigten, sondern auch bei vielen Arbeitgebern zu (datenschutzrechtlichen) Fragen: Dürfen Kontrollen stattfinden? Und falls ja, welche Vorgaben sind dabei zu beachten?

DSB & ISB

Ereignisse wie die Corona-Pandemie zeigen, wie wichtig es ist, in der IT auf Krisen und Angriffe vorbereitet zu sein, statt hektisch reagieren zu müssen. Eine gute Grundorganisation ist dabei als Basis unabdingbar.

Europarechtskonforme Auslegung erforderlich

Datenschutzbeauftragte (DSB) sollten nach dem Urteil des österreichischen Verfassungsgesichtshofs den journalistischen Bereich in den Blick nehmen. Auch wenn im Kernbereich der journalistischen Tätigkeit die DSGVO eine Randerscheinung bleibt, wirft die Entscheidung ihre Schatten voraus.

DP+
ChatGPT & Co sind eine Blackbox und kaum datenschutzkonform zu betreiben
Bild: iStock.com / Userba011d64_201
Künstliche Intelligenz (KI)

KI-Anwendungen bieten viel Zukunftspotenzial, aber auch ungeklärte Rechtsfragen. Neben Haftung und Urheberrecht betrifft das v.a. auch das Datenschutzrecht. Zeit für eine datenschutzrechtliche Analyse.

Update: Überblick über aktuelle Urteile

Aktuelle Gerichtsurteile zeigen, dass Geschädigte vermehrt Schadensersatzansprüche durchsetzen können. Verantwortliche minimieren die Risiken, indem sie ihre Verarbeitungsprozesse prüfen und Beschäftigte schulen. Dafür ist es sinnvoll, die häufigsten Schwachstellen zu kennen.

Analyse zu neuen IT-Sicherheitskonzepten

Die Security empfiehlt ein Zero-Trust-Konzept: Unternehmen sollten nicht darauf vertrauen, dass die interne IT sicher ist und alle Angriffe von außen kommen. Was heißt das für den Datenschutz?

Eine Warnung für alle Unternehmen

Wer ohnehin schon großen Schaden hat, darf zusätzlich noch eine Geldbuße zahlen. So erging es einem Unternehmen, das Opfer einer Ransomware-Attacke wurde. Denn die Datenschutzaufsicht konnte dem Unternehmen nachweisen, dass es am Erfolg des Angriffs selbst schuld war. Dass der Fall in Großbritannien spielt, ist ohne Bedeutung. Denn auch dort wendet die Datenschutzaufsicht nach wie vor die DSGVO an.

DP+
Es geht voran mit dem Angemessenheitsbeschluss zum Transatlantic Data Privacy Framework
Bild: iStock.com / MicroStockHub
Der Nachfolger des Privacy Shield

Am 13. Dezember 2022 hat die EU-Kommission den lange erwarteten Entwurf für einen Angemessenheitsbeschluss zu Datenübermittlungen in die USA vorgelegt. Der Beitrag schildert, worauf sich Unternehmen schon jetzt konkret einstellen können und sollten.

DP+
Irreführende Coockie-Banner verstoßen klar gegen die DSGVO. Der Verein Noyb reicht 226 Beschwerden gegen Webseitenbetreiber bei den Datenschutzbehörden ein.
Bild: bakhtiar_zein / iStock / Getty Images Plus
Einwilligungen

Wie sieht es in bezug auf Consent-Tools aus, wenn Funktionen, die einwilligungspflichtig sind, nur auf dem Webserver existieren? Ein Beispiel ist das serverseitige Tracking, das je nach Rechtsgrundlage entweder gar nicht oder nur in begrenztem Umfang Nutzerdaten verarbeiten soll.

Werbeeinwilligung von Endkunden

Die Bundesnetzagentur hat die Dokumentation von Telefonwerbung-Einwilligungen gemäß UWG neu ausgelegt. Im Detail ergeben sich Unklarheiten im Zusammenspiel mit dem Datenschutz und dadurch Handlungsbedarf für Datenschutzbeauftragte.

Telemedien-Datenschutz

Viele Unternehmen stellen Formulare, den Speiseplan der Kantine, aber auch Registrierungen etc. im Intranet bereit. Bei der Nutzung verarbeiten sie personenbezogene Daten der Mitarbeiter. Damit stellt sich die Frage nach dem anwendbaren Datenschutzrecht: TTDSG oder DSGVO?

Lösch-, Rollen- und Berechtigungskonzept

Wie sieht ein BR-Löschkonzept aus? Warum braucht der BR ein eigenes Rollen- und Berechtigungskonzept? Sind eigene Datenschutzhinweise erforderlich? Und wenn ja, in welcher Form?

Löschkonzept

Einerseits gilt es, Daten vor ungewolltem Löschen zu schützen. Andererseits sollen Berechtigte sie unkompliziert vernichten können. Neue technische Lösungen auf dem Markt versprechen nun „unzerstörbare“ Daten, die sich bei entsprechender Berechtigung aber löschen lassen.

Verarbeitungsverzeichnis, Datenlöschung

Zwar hat der Gesetzgeber mittlerweile klargestellt, dass der Betriebsrat Teil des Verantwortlichen ist. Doch schließen sich an diese Feststellung einige weitere Fragen an, die es zu beantworten gilt.

Stand der Technik

Die Anonymisierung personenbezogener Daten ist eine komplexe Herausforderung für Verantwortliche. Der Begriff „Differential Privacy“ taucht dabei häufig als der Goldstandard für datenschutzfreundliche Technologien auf und soll im Folgenden genauer beleuchtet werden.

Bestellung eines DSB: Das sagt die Datenschutz-Grundverordnung

Bei Datenschutz-Grundverordnung (DSGVO) und Bundesdatenschutzgesetz (BDSG) stellt sich die Frage, über welche Qualifikation der Datenschutzbeauftragte (DSB) verfügen muss. Die Anforderungen sind sehr breit gefächert.

DP+
Einwilligungen sind gerade im Beschäftigungsverhältnis mit besonderer Vorsicht zu genießen
Bild: iStock.com / ilkercelik
Beschäftigtendatenschutz

Beschäftigungsbezogene Maßnahmen, um die Corona-Pandemie zu bekämpfen, haben in Erinnerung gerufen, wie sehr das Thema „Einwilligung im Beschäftigungsverhältnis“ mit datenschutzrechtlichen Fragen verbunden ist. Konkrete Beispiele zeigen, was geht und was nicht.

Orientierungshilfe der DSK

Die DSK hat in ihrer neuen Fassung der Orientierungshilfe zur Direktwerbung einige Aspekte konkretisiert und ergänzt – und die Zügel angezogen. Die Bedeutung für die Praxis ist nicht zu unterschätzen.

Aktuelle Rechtsprechung

Derzeit müssen sich einige Gerichte mit datenschutzrechtlichen Bußgeldverfahren befassen. Worauf kommt es dabei für Verantwortliche an, und was müssen die Aufsichtsbehörden für den Datenschutz nachweisen? Die Antworten sind noch umstritten.

DP+
Selbst wenn die Zahl der Phishing-Attacken abgenommen hat: Auch ein Großteil der anderen Angriffe beginnt mit Social Engineering, der Manipulation von Beschäftigten. Die Kriminellen nutzen den „Faktor Mensch“ als schwächstes Glied der Kette aus.
Bild: drogatnev / iStock.com / Getty Images
Damit der Datenschutz nicht zum Datenrisiko wird

Die Schutzmaßnahmen gegen Social Engineering werden wie die Angriffe immer intelligenter. Sensibilisieren Sie die Beteiligten im Unternehmen dafür, dass der Schutz vor Angreifern nicht selbst zum Risiko werden darf, der die Privatsphäre der Nutzerinnen und Nutzer aushöhlt.

DSGVO: Aufräumen bei Papierdaten!
Bild: iStock.com / happymoon77
Vorgaben der DSGVO

Datenschutz – das hat etwas mit elektronischen Daten zu tun! So denken auch heute noch viele. Sie vergessen dabei, dass gerade die DSGVO Daten auf Papier im Ergebnis voll einbezieht. Das zwingt dazu, diese Art von Daten mehr denn je im Blick zu behalten.

Betriebssysteme

Welche datenschutzrechtlichen Fragen stellen sich bei der neuesten Version des Microsoft-Betriebssystems? Ein Vergleich mit Windows 10.

Privacy by Design and by Default

Datenschutz durch Technikgestaltung und datenschutzfreund­liche Voreinstellungen beginnt auf der Ebene der IT-Infrastruk­turen, nicht erst bei den Anwendungen. Wir geben Beispiele für Privacy-­Infra­strukturen und zeigen auf, wie weit die Datenschutz-Technologien reichen.

Schwerpunkte

Viele Datenschutzbeauftragte fragen sich, welche Aufgaben sie nach der Datenschutz-Grundverordnung (DSGVO) eigentlich erfüllen müssen. Die Darstellung konzentriert sich auf die Pflichtaufgaben, die ein DSB in jedem Fall erfüllen muss, und auf die Haftungsfrage.

DP+
Auf die Motive eines Antragstellers kommt es beim Auskunftsanspruch nach DSGVO nicht an, auch nicht darauf, wie aufwendig es für einen Verantwortlichen ist, die Auskunft zu erteilen
Bild: iStock.com / anyaberkut
Manches ist klar, anderes nicht

Inzwischen ist der Auskunftsanspruch nach Art. 15 DSGVO in vielen Unternehmen gefürchtet. Der Beitrag gibt einen Überblick über die Struktur des ­Auskunftsrechts und über Streitfragen. Die neuen Leitlinien des EDSA zum Auskunftsanspruch sind besonders berücksichtigt.

Art. 32 DSGVO

Kann die betroffene Person auf den Schutz durch Art. 32 DSGVO – also auf Maßnahmen zur Sicherheit der Verarbeitung – ganz oder teil­weise verzichten? Anders formuliert: Kann sie den Verantwortlichen von ­diesen Pflichten befreien? Die DSK hat hierzu Stellung genommen.

Messenger, Videokonferenzdienste & Co.

Das TTDSG hat neue Regelungen zum Einsatz von E-Mail, Messenger und Videokonferenzsystemen geschaffen. Die Rechtslage hat sich dadurch gravierend geändert. Wichtig: Das gilt nicht nur für Anbieter von Kommunikationsdiensten, sondern auch für diejenigen, die sie nutzen.

Datenschutz-Technologien

Die Idee hinter „synthetischen Daten“ besteht darin, einen ursprüng­lichen Datensatz zu verwenden und daraus neue, künstliche Daten mit ähnlichen statistischen Eigenschaften zu erstellen. KI-Modelle sollen sich auf diese Weise datenschutzfreundlich trainieren lassen.

Die Cookie-Regelungen des TTDSG gelten auch für mobile Apps
Bild: iStock.com / ferrantraite
Beschäftigte schulen

Cookies gelangen nicht nur über den Desktop-Browser auf Endgeräte. Auch mobile Apps arbeiten mit Cookies. Um das Cookie-Management und die Datenschutzerklärungen steht es bei Apps aber noch schlechter als bei klassischen Websites. Informieren Sie die Nutzerinnen und Nutzer.

DP+
Muss die Bundesregierung ihre Facebook-Fanpage einstellen? Das klärt nun das Verwaltungsgericht Köln, nach der Klage gegen den BfDI.
Bild: iStock.com / Fritz-Jorgensen
Die Rolle des Europäischen Datenschutzausschusses (EDSA)

Ein Unternehmen soll in der EU nur eine einzige Datenschutzaufsichtsbehörde als Ansprechpartnerin haben. In Ausnahmefällen kann es mit einer Aufsicht aus einem anderen Mitgliedstaat konfrontiert sein. Ein aktueller Fall zeigt, wie wichtig dann die Rolle des EDSA ist.

Whistleblowing & Datenschutz

Auch wenn es nicht funktioniert hat, die Whistleblowing-Richtlinie der EU termingerecht in deutsches Recht umzusetzen, lohnt ein Blick darauf. Denn zum einen könnten sich Gerichte an der Richtlinie orientieren. Zum anderen muss sie früher oder später deutsches Recht werden.

Datenschutz bei Microsoft 365

Für viele DSB ist es ein Albtraum, wenn Automatismen Nutzerinnen und Nutzer dabei beobachten, wie sie eine bestimmte Software nutzen. ­Deshalb sollten Sie sich Delve und MyAnalytics in MS 365 genauer anschauen. Erfahren Sie, was für Ihre Prüfungen relevant ist.

ePrivacy

Das Telekommunikations-Telemedien-Datenschutzgesetz (TTDSG) tritt am 01.12.2021 in Kraft und regelt den Datenschutz in der elektronischen Kommunikation. Dafür ist u.a. die Sicherheit der Verarbeitung zentral – doch das TTDSG macht es den Anwendern nicht gerade leicht.

Wichtige Datenschutz-Begriffe

Die Datenschutz-Grundverordnung (DSGVO) kennt in Art. 9 den Begriff der besonderen Kategorien personenbezogener Daten. Ihre Verarbeitung ist nur unter besonderen Voraussetzungen erlaubt und kann eine Datenschutz-Folgenabschätzung notwendig machen. Deshalb ist es wichtig, genau zu wissen, welche Daten unter diesen Begriff fallen.

Datenschutz-Grundverordnung und gemeinsame Verantwortlichkeit

Cloud Service Provider und andere Auftragsverarbeiter werden mit der Datenschutz-Grundverordnung (DSGVO / GDPR) stark in die Pflicht genommen. Sie nehmen dem Auftraggeber aber keine Verantwortung ab, sondern werden selbst auch verantwortlich. Was heißt das konkret?

Das TTDSG setzt u.a. die Cookie- Regelung der ePrivacy-Richtlinie um
Bild: iStock.com / Guzaliia-Filimonova
Ein paar neue und viele alte Anforderungen

Das Telekommunikations-Telemedien-Datenschutzgesetz (TTDSG) regelt die Anforderungen an den Datenschutz im Bereich Telekommunikation und Telemedien – schreibt aber in einigen Bereichen nur die alten Regelungen fort. Das kann Segen und Fluch zugleich sein.

Datenschutz bei Microsoft 365

Microsoft Teams ist eine Anwendung, die viele Organisationen derzeit intensiv einsetzen. In einem mehrstufigen Prüfplan erfahren Sie, was Sie sich als Datenschutzbeauftragte für Ihre Prüfungen anschauen sollten.

Zwei Musterformulare vom 4. Juni 2021

Für die Übermittlung personenbezogener Daten in Drittländer außerhalb der EU hat die Europäische Kommission völlig neu gestaltete Standardvertragsklauseln vorgelegt. Erstmals stehen darüber hinaus auch offizielle Standardvertragsklauseln für die Auftragsverarbeitung zur Verfügung.

Datenschutz bei Microsoft 365

Wie hilft Ihnen Microsoft 365 (MS 365) dabei, Aufbewahrungs- und Löschfristen umzusetzen sowie Betroffenenanfragen zu beantworten? Erfahren Sie, wie Sie diese praktischen Aufgaben als Datenschutzbeauftragter (DSB) mit dem Admin Center Sicherheit lösen.

Betroffenenrechte und Sicherheit der Identitäten

Wie lässt sich die Identität einer Auskunft suchenden betroffenen Person überprüfen, insbesondere im Rahmen von Online-Diensten? Kann die Online-Ausweisfunktion des Personalausweises helfen? Wie sind andere digitale Identitätsdienste zu beurteilen?

Datenschutz bei Microsoft 365

Im letzten Teil zu Microsoft 365 (MS 365) haben Sie erfahren, wie Sie den Compliance-Manager für Ihre Prüfungen verwenden, wenn MS 365 bereits vorhanden ist. Wie starten Sie jedoch, wenn Sie erst vor der Einführung stehen?

Ergänzende Maßnahmen: Technik

Der erste Teil zu den ergänzenden technischen Maßnahmen hat ihre Bedeutung betrachtet und Maßnahmen wie Verschlüsselung und Pseudonymisierung in ihren generellen Möglichkeiten hinterfragt. Nun geht es um die Wirksamkeit einzelner Maßnahmen und die Hinweise, die der Europäische Datenschutzausschuss dazu gibt.

Datenschutz bei Microsoft 365

Im zweiten Teil schauen wir uns das Compliance Center von Microsoft 365 und insbesondere den Compliance-Manager genauer an. Sie erfahren, wie Sie den Manager für Ihre Prüfungen nutzen können.

Ergänzende Maßnahmen: Technik

Sind ergänzende Maßnahmen für die Datenübermittlung in einen Drittstaat erforderlich, spielen die technischen Schutzmaßnahmen eine wesentliche Rolle. Es gibt bisher keine allgemeingültigen Vorgaben, wohl aber Empfehlungen. Wie lassen sie sich in der Praxis umsetzen?

Datenschutz bei Microsoft 365

Was können Sie für einen möglichst datenschutzfreundlichen Einsatz tun? Was ist zu prüfen? Was sind Prüfkriterien und die Inhalte eines Prüfplans? Welche Hilfsmittel bietet MS 365? Wie kommen Sie ins Handeln bei diesem vermeintlich riesigen Aufgabenberg?

Etwas weniger Verwirrung

Joint Controllership und Auftragsverarbeitung (AV) schließen einander aus. So weit die Theorie. In der Praxis sind viele Verantwortliche jedoch unsicher. Der EU-Datenschutzausschuss hat nun einen Entwurf für Leitlinien veröffentlicht, der LfDI Baden-Württemberg FAQ dazu.

Software datenschutzkonform einsetzen

„Ist Produkt X datenschutzkonform?“ Gerade bei den am weitesten verbreiteten Produkten, zu denen auch die Office-Familie von Microsoft gehört, ist dies eine Frage, die wohl jeden behördlichen oder betrieblichen DSB schon einmal umgetrieben hat.

Richtlinienkonzept

Welche Richtlinien brauchen Verantwortliche im Datenschutz? Wie viele Richt­linien sind ein „gesundes Maß“, welche sollten keinesfalls fehlen? Und wie sollten sie aufgebaut sein? Sind sie bekannt, befolgen die Mitarbeitenden sie? Gehen Sie diesen Fragen doch einmal auf den Grund.

Beschäftigtendatenschutz

Ein betriebliches Gesundheitsmanagement datenschutzkonform umzusetzen, ist zwar keine unlösbare Aufgabe, aber eine Herausforderung.

DP+
Datenschutz-Aufsicht: Darauf achtet sie besonders
Bild: iStock.com / PeopleImages
Aktuelle Tätigkeitsberichte

Die Tätigkeitsberichte der Aufsichtsbehörden sind für DSB und Unternehmen eine wichtige Informationsquelle und Arbeitshilfe. Sie enthalten oft spannende datenschutzrechtliche Fragen und Antworten aus der Praxis.

Gesetzgebung

Seit Kurzem kursiert der Entwurf für ein „Telekommunikations-Telemedien-Datenschutzgesetz – TTDSG“. Da kommt die Frage auf: Fortschritt, Status quo oder Rückschritt? Jedenfalls wird das Gesetz, so es denn kommt, ein Zwischenschritt bis zur ePrivacy-Verordnung.

Paukenschlag des EuGH

In einem Urteil vom 16. Juli hat der Europäische Gerichtshof (EuGH) die Regelungen des Privacy Shield für nicht mehr anwendbar erklärt. Die Verwendung von Standardvertragsklauseln bei der Übermittlung von Daten in Länder außerhalb der EU (also etwa in die USA) knüpft das Gericht an Voraussetzungen, die voraussichtlich kaum zu erfüllen sind.

Sanktionen

Schadenersatzansprüche sind zunehmend ein Thema. Das Arbeitsgericht Düsseldorf hat z.B. aktuell die Kriterien zur Bußgeldbemessung herangezogen, um einen immateriellen Schaden zu bewerten. Sensibilisieren Sie die Geschäftsleitung auch für dieses Risiko.

DP+
DSB und die Rechtsberatung
Bild: iStock.com / http://www.fotogestoeber.de
Gefährliche Zurückhaltung

Manchmal sagen DSB, die nicht zugleich Rechtsanwälte sind, „Ich darf dazu keine Auskunft geben, das wäre Rechtsberatung“. Was an diesem Satz dran ist und ob ein DSB nicht verpflichtet ist, zu datenschutzrechtlichen Fragen Stellung zu nehmen und zu beraten, klärt dieser Beitrag.

Mehr als Geldbußen

Geht es um Sanktionen der Aufsichtsbehörden, gilt meist der erste Gedanke den Geldbußen. Doch es gibt weit mehr Möglichkeiten, wie eine Aufsichtsbehörde gegen Verantwortliche vorgehen kann.

Auftragsverarbeitung oder gemeinsame Verantwortlichkeit?

In der Personaldienstleistungsbranche sind gemeinsame Verantwortlichkeiten eher die Regel als die Ausnahme. Eine Einzelfallbetrachtung, wie die Beteiligten im konkreten Fall datenschutzrechtlich einzuordnen sind, ist dennoch unentbehrlich.

DP+
Berührungspunkte zwischen DSGVO und KDG
Bild: iStock.com / sakkmesterke
Kirchlicher Datenschutz

Die DSGVO verwenden die meisten Menschen in Europa als Synonym für Datenschutz. Doch es gibt u.a. in den großen Kirchen Deutschlands eigene, autonome Datenschutzgesetze.

Datenschutzklassiker in Unternehmen & Behörden

Sind Geburtstagslisten zulässig? Und wenn ja, welche Fallstricke sind zu beachten? Diese Fragen gehören zu den Klassikern des „Alltags-Datenschutzes“. Die DSGVO bereichert die Antworten um neue Aspekte.

Datenschutz-Grundverordnung: Umfragen & Studien

Seit 25. Mai 2018 ist nun die DSGVO anzuwenden. Trotzdem werden immer noch Umfragen zur Umsetzung der DSGVO veröffentlicht. Der Grund: Es gibt weiterhin deutliche Lücken in der Umsetzung. Nutzen Sie die neuen Studien als Grundlage für eigene interne Untersuchungen.

DP+
Mehr Datenschutz bei Telemetrie-Daten
Bild: iStock.com / nadla
Nicht nur bei Windows 10

Die Datenschutz-Diskussion zu Microsoft Windows 10 hat bei zahlreichen Unternehmen das Thema „Telemetrie-Daten“ auf die Agenda gebracht. Doch Windows 10 ist nur ein Beispiel von vielen.

Videoüberwachung unter der DSGVO
Bild: iStock.com / DSCimage
Rechtsgrundlagen, Informationspflichten, DSFA & Co.

Wer in der Datenschutz-Grundverordnung (DSGVO) nach dem Begriff „Videoüberwachung“ sucht, erhält genau Null Suchtreffer. Daher gilt es, die allgemeinen Anforderungen der DSGVO auf den Einsatz sogenannter opto-elektronischer Systeme anzuwenden. Lesen Sie, was das in der Praxis genau heißt.

Wachsende Nervosität

Eine relativ hohe Zufriedenheit mit der eigenen Datenschutz-Situation prägte noch vor Kurzem das Bewusstsein vieler Krankenhäuser. Dieses Selbstbild hat erhebliche Risse bekommen.

Änderung des Steuerberatungsgesetzes

Um die Frage, ob Steuerberater Auftragsverarbeiter sind, wenn sie z.B. die Lohnabrechnung übernehmen, gab es heftige Auseinandersetzungen. Das neugefasste Steuerberatungsgesetz sorgt für Klarheit.

Prüfungsschema

Das Prüfschema, das die Datenschutzkonferenz zu Windows 10 beschlossen hat, ist ein gutes Beispiel, wie Prüfungen aussehen können. Es lässt sich daraus ein allgemeines Vorgehen ableiten.

Datenschutz-Begriffe

Um den Einzelnen davor zu schützen, dass seine Persönlichkeitsrechte verletzt werden, sehen gesetzliche Vorschriften wie die Datenschutz-Grundverordnung vor, dem Betroffenen zahlreiche Rechte gegenüber verantwortlichen Stellen einzuräumen.

Sanktionen der DSGVO

Anfang September gab es Wirbel um ein vermeintlich „geheimes Bußgeldmodell“ der Aufsichtsbehörden. Die Datenschutzkonferenz hat das Modell mittlerweile veröffentlicht. Was bedeutet es für die Praxis?

Alternativen zur Einwilligung

Für viele Verantwortliche klingt die Interessenabwägung wie ein Freifahrtschein zur Datenverarbeitung. Das gilt insbesondere beim Einsatz von Tracking-Tools auf Websites und bei Apps. Doch wer hier nicht sorgfältig prüft, dem kann das schnell zum Verhängnis werden.

Update für Rollenkonzept und Berechtigungen
Bild: Rawpixel Ltd / iStock / Thinkstock
Rollenkonzepte in Zeiten von Zero Trust

Mit Rollenkonzepten lässt sich die Zuteilung von Berechtigungen vereinfachen. Doch dabei kommen dynamische Risiken ins Spiel, wie dies in Zero-Trust-Modellen der Fall ist. Andernfalls sind Rollenkonzepte zu starr für die sich ändernden Bedrohungen der Datensicherheit.

DP+
EuGH und Cookies: Was gilt nun?
Bild: iStock.com / #Urban-Photographer
Verbraucherzentrale Bundesverband e.V. ./. Planet49 GmbH

Was hat sich geändert? Oder hat sich etwa gar nichts geändert? Das Ergebnis der EuGH-Entscheidung und damit ihre Auswirkungen sind nicht so offensichtlich, wie es scheint. Denn das Gericht hat sich – überspitzt formuliert – mit einer zum Zeitpunkt der Entscheidung in Deutschland nicht geltenden Cookie-Regelung befasst.

Digitale Identitäten

Einmal anmelden statt vielfach: Statt sich zahlreiche verschiedene Zugangsdaten zu merken, können Nutzer von zentralen Identitätsdiensten und SSO-Funktionen (Single Sign-on) mit nur einer Anmeldung mehrere Online-Dienste nutzen. Das hat nicht nur Vorteile.

DP+
Wann verjähren Datenschutzverstöße?
Bild: iStock.com / Stadtratte
Geldbußen nach der DSGVO

Die enorm hohen Geldbußen, die die DSGVO vorsieht, führen bei Unternehmen zu erheblichen Unsicherheiten. Fraglich ist, wann diese Unsicherheit endet, sprich ab welchem Zeitpunkt Unternehmen keine Verfolgung durch Aufsichtsbehörden mehr befürchten müssen.

Datenschutz bei Datenbrillen

Smart Glasses, auch als Datenbrillen bezeichnet, reichern das visuelle Bild mit zusätzlichen Informationen an, erheben aber auch personenbezogene Daten und übertragen sie an Cloud-Dienste. Bevor Verantwortliche Datenbrillen einsetzen, ist es wichtig, eine Datenschutz-Folgenabschätzung zu machen und die Beschäftigten zu schulen.

DP+
Inwieweit haften Inhaber und Geschäftsführer?
Bild: iStock.com / filadendron
Schadensersatzansprüche und Geldbußen

Lassen sich Unternehmensinhaber, Vorstände und Geschäftsführer persönlich für Datenschutzverstöße zur Verantwortung ziehen? Lesen Sie einen Überblick zur Haftung der Führungsebene.

Tipps zur Mitarbeiterinformation

In vielen Berufen tragen Mitarbeiter Namensschilder, sei es im Krankenhaus oder im Bekleidungsgeschäft. Auf Kongressen sollen Namensschilder das Netzwerken vereinfachen. Doch die Verunsicherung ist groß. Sind solche Schilder noch erlaubt? Und wenn ja, was ist zu beachten?

Sind Ihre Webseiten DSGVO-konform?
Bild: iStock.com / #Urban-Photographer
Datenschutz-Hilfsmittel

Viele Websites entsprechen immer noch nicht den Vorgaben der Datenschutz-Grundverordnung (DSGVO). Das zeigen aktuelle Prüfungen der Datenschutz-Aufsichtsbehörden. Unternehmen sollten die vorhandenen Orientierungshilfen und Tools nutzen, um ihre Internet-Auftritte auf Einhaltung der DSGVO zu überprüfen.

DP+
Konsultation der Betroffenen bei einer DSFA – wann, wie, warum?
Bild: iStock.com / http://www.fotogestoeber.de
Datenschutz-Folgenabschätzung

Bisher wenig beachtet, aber doch wichtig: den Standpunkt der betroffenen Personen zu einer Verarbeitung einzuholen, die der Folgenabschätzung unterliegt. Lesen Sie, was genau dahintersteckt.

Datenschutz und Verschlüsselung

Verschlüsselung spielt in der DSGVO eine wichtige Rolle. Doch geht der Schutz durch Verschlüsselung so weit, dass verschlüsselte Daten keine personenbezogenen Daten mehr sind? Es kommt darauf an! Informieren Sie deshalb die Mitarbeiterinnen und Mitarbeiter über die Details.

DP+
Künstliche Intelligenz in der Medizin
Bild: iStock.com / PhonlamaiPhoto
Chancen und Risiken

Künstliche Intelligenz (KI) dringt in viele Lebensbereiche vor. Geben Sie daher doch einmal den Kolleginnen und Kollegen in einem besonders sensiblen Bereich wie der Medizin Einblick in die Entwicklung.

Tipps zur Mitarbeitersensibilisierung

Missstände in Unternehmen zu melden, ist nicht immer mit dem Gang an die Öffentlichkeit verbunden wie bei Edward Snowden. Viele Unternehmen arbeiten mit internen Hinweisgeber-Systemen. Das sollte allerdings nicht ohne den Datenschutz ablaufen.

Öffentlicher und nicht-öffentlicher Bereich

Niemand kann sieben Tage die Woche, 24 Stunden am Tag, ohne Urlaub und Krankheit arbeiten. Wie steht es daher mit einem Stellvertreter für den Datenschutzbeauftragten?

Neues Geschäftsgeheimnis­gesetz - ein Argument für den Datenschutz

Unternehmen müssen Geschäfts­geheimnisse angemessen absichern, wollen sie von dem Schutz durch das neue Geschäftsgeheimnis­gesetz profitieren. Die notwendigen Schutzmaßnahmen für Geschäftsgeheimnisse und die für den Datenschutz ermöglichen Synergien.

Auskunftsverlangen der Polizei
Bild: iStock.com / no_limit_pictures
Risiko Datenübermittlung

Keine ungewöhnliche Situation: Die Polizei ruft an und fordert dazu auf, Informationen zu übermitteln: Bilder der Videoüberwachung, Mitarbeiternamen, IP-Adressen oder den Fahrernamen eines Firmenwagens. Aber wann darf überhaupt eine Herausgabe erfolgen?

Art. 27 DSGVO

Die Benennungspflicht eines EU-Vertreters ist für internationale Unternehmen ohne EU-Sitz wichtig. Aber auch externe DSBs, die in der Stellung als EU-Vertreter einen Baustein ihres Portfolios sehen, kommen um eine rechtliche Einarbeitung in diesen Komplex nicht herum.

Schnittstellen­kontrolle statt Mitarbeiter­überwachung
Bild: Mathias Rosenthal / iStock / Thinkstock
Arbeitnehmerdatenschutz

Viele Datenpannen beginnen mit der Datenübertragung auf ein mobiles Speichermedium oder Endgerät, das später verloren geht. Oder Daten werden gestohlen, indem Angreifer sie über unkontrollierte Schnittstellen kopieren. Die Schnittstellenkontrolle gehört deshalb zur Datenschutzkontrolle dazu. Sie darf aber nicht zur Mitarbeiterüberwachung ausarten.

Beschäftigtendatenschutz

Jedes Unternehmen lebt davon, Nachwuchs zu rekrutieren. Dabei muss es im Einklang mit den Vorgaben der DSGVO den Bewerber transparent über den Umgang mit seinen Daten informieren. Was sich einfach anhört, ist in der Praxis eine echte Herausforderung.

DP+
Löschen oder Vernichten: Was ist der Unterschied?
Bild: iStock.com / Sanchez Real Loid
Recht auf Löschung

Müssen personenbezogene Daten gelöscht werden, stellt sich die Frage: Reicht es aus, die Daten aus der Datenbank zu entfernen, oder sind die Speichermedien, auf denen sich die Daten befinden, zu vernichten? Wie so oft im Datenschutz lautet die Antwort: Es kommt darauf an!

Beschäftigtendatenschutz

Welche Rechtsregeln gelten angesichts der DSGVO für Bilder von Personen? Dazu gibt es viele Veröffentlichungen, die teils ziemlich aufgeregt formuliert sind. Der Beitrag stellt im Überblick dar, welche Fragen schon geklärt sind und wo zu Recht noch Streit besteht.

Grundlage für Direktwerbung

Vielerorts ist zu lesen, dass ein berechtigtes Interesse als Grundlage – sogar für E-Mail-Werbung – genügen soll. Datenschutzrechtlich ist das nur die halbe Wahrheit. Ein genauerer Blick ist daher zwingend.

Beschäftigtendatenschutz

Persönlichkeitstests bei künftigen oder bereits beschäftigen Mitarbeitern sollen helfen, Personalentscheidungen zu verbessern. Es liegt in der Natur der Sache, dass dabei eine Vielzahl personenbezogener Daten verarbeitet wird. Doch was ist datenschutzrechtlich erlaubt?

Eine schwierige Frage

Durch die DSGVO lebt die Diskussion, ob der Betriebsrat datenschutzrechtlich eine eigene verantwortliche Stelle ist, wieder auf. Die Frage ist umstritten, je nach Antwort können sich weitreichende Konsequenzen ergeben. Der Artikel gibt einen Überblick und Praxistipps.

Darauf müssen sich Verantwortliche vorbereiten

Wie alle gesetzlichen Regelungen kann auch die Datenschutz-Grundverordnung (DSGVO) nur dann ihre Wirkung entfalten, wenn sie richtig umgesetzt wird. Das stellen die Datenschutzaufsichtsbehörden mit ihren Kontrollen sicher. Womit müssen Verantwortliche rechnen?

Zwei-Faktor-Authentifizierung: Sinnvoll oder nicht?
Bild: nicescene / iStock / Getty Images
Sicherheit der Verarbeitung

Wie personenbezogene Daten schützen, wenn der einfache Passwortschutz nicht ausreicht? Dafür bieten sich Verfahren der Zwei-Faktor-Authentifizierung an. Doch Vorsicht: Auch diesen verstärktem Zugangsschutz haben Angreifer schon geknackt. Was bedeutet das für den Datenschutz?

DP+
WhatsApp auf geschäftlichen Mobilgeräten
Bild: iStock.com / bombuscreative
Möglich oder nicht?

WhatsApp ist auch in Unternehmen kaum wegzudenken. Doch nur, weil viele den Messenger nutzen, lösen sich die Fragen zum datenschutzkonformen Einsatz nicht in Luft auf. Was geht, was nicht?

Auch Arztpraxen können Auftragsverarbeiter beauftragen
Bild: metamorworks / iStock / Getty Images
Verarbeitung medizinischer Daten

Gesundheitsdaten unterliegen den Anforderungen für besondere Kategorien von Daten. Schon allein daraus ergaben sich Fragen, die noch nicht alle geklärt sind. Informationen verschiedener Datenschutz-Aufsichtsbehörden unterstützen nun Arztpraxen und andere Gesundheitsberufe.

Online-Datenschutz

Der Datenschutz im Internet beginnt nicht erst damit, Online-Attacken abzuwehren, sondern mit dem datenschutzgerechten Internetauftritt eines jeden Unternehmens. Die Datenschutz-Grundverordnung (DSGVO / GDPR) macht hierzu zahlreiche Vorgaben.

Einige Spezialvorschriften

Das Frühjahr 2018 hat nicht nur das neue europäische Datenschutzrecht wirksam werden lassen, sondern auch die begleitende Gesetzgebung von Bund und Ländern. Welche Unterschiede gibt es dabei zwischen öffentlichen und nichtöffentlichen Datenverarbeitern?

Auskunft und Datenübertragbarkeit

Die DSGVO führt u.a. das Recht auf Auskunft und auf Datenportabilität ein. Unstrittig ist, dass auch Arbeitnehmern diese Rechte zustehen. Die im Unternehmen Verantwortlichen müssen sich daher im Vorfeld Gedanken machen, wie sie die neuen Anforderungen in die Praxis umsetzen.

Datenschutz-Grundverordnung und Videoüberwachung

Die Videoüberwachung an öffentlichen Plätzen, aber auch in Unternehmen nimmt zu. Aus gutem Grund sieht daher die Datenschutz-Grundverordnung vor der weiträumigen Videoüberwachung öffentlicher Bereiche eine Datenschutz-Folgenabschätzung vor. Dazu gehört, die geplante Speicherdauer zu prüfen.

DP+
Sperrung nach der Datenschutz-Grundverordnung: Das ist neu
Bild: wildpixel / iStock / Thinkstock
Löschen statt sperren?

Daten zu archivieren, ist eine Herausforderung. In vielen Unternehmen gibt es daher trotz der strikten Vorgaben zur Datenlöschung entweder gar kein oder nur ein sehr übersichtliches Archivierungskonzept. Die Datenschutz-Grundverordnung (DSGVO) fordert allerdings ein solches ein. Eine wichtige Praxisfrage für viele Unternehmen ist dabei, unter welchen Voraussetzungen die bislang bekannte Sperrung zulässig sein wird.

Tools für den Datenschutzbeauftragten

Ein zentrales Problem im Datenschutz ist die Klassifizierung der personenbezogenen Daten, um ihren Schutzbedarf festzulegen. In Zeiten von Big Data sind Lösungen gefragt, die hierbei deutlich unterstützen können. Wir zeigen Beispiele.

Lassen sich E-Mails eigentlich zurück­verfolgen?
Bild: supershabashnyi / iStock / Thinkstock
Datenschutz und Anonymität bei E-Mail

Nicht nur für Whistleblower wären anonyme E-Mails hilfreich. Auch Spammer wollen E-Mails, die sich möglichst nicht bis zum Urheber zurückverfolgen lassen. Doch gibt es Anonymität bei E-Mails wirklich? Oder lassen sich alle Mails zurückverfolgen?

Datenschutz im Alltag fördern

Apps und Social Media sind auch in der Schule nicht mehr wegzudenken. Sind Lehrer-Apps und die Kommunikation über WhatsApp zulässig? Und dürfen Eltern bei Schulveranstaltungen fotografieren? In der Praxis handhaben manche Schulen den Datenschutz etwas locker. Informieren und ermutigen Sie Ihre Kollegen, auch im Alltag ihre Datenschutzrechte einzufordern.

DP+
Pseudonymisierung in der DSGVO
Bild: Zoonar RF / Zoonar / Thinkstock
Vorteil bei der Datenverarbeitung

Der Pseudonymisierung kommt in der Datenschutz-Grundverordnung (DSGVO) eine deutlich höhere Bedeutung zu, als dies gegenwärtig im Bundesdatenschutzgesetz (BDSG) der Fall ist. Zum einen handelt es sich bei der Pseudonymisierung um eine zentrale technische und organisatorische Sicherungsmaßnahme, die die DSGVO wiederholt in unterschiedlichem Zusammenhang erwähnt. Darüber hinaus kann die Anwendung von Pseudonymisierungstechniken erheblichen Einfluss auf die Zulässigkeit einer Verarbeitung personenbezogener Daten haben.

1 von 0
Datenschutz PRAXIS - Der Podcast
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.