Das Standard-Datenschutzmodell (SDM) musste sich in der Vergangenheit einiger Kritik aus der Praxis stellen. Mit der umfassenden Überarbeitung und Veröffentlichung der Version 3.0 hat es nun an Logik sowie Interaktivität und somit Praxistauglichkeit gewonnen.
Die Beauftragung von Dienstleistern mit Datenverarbeitungen ist höchst praxisrelevant. Da die datenschutzrechtliche Verantwortlichkeit bei den Auftraggebern verbleibt, sind regelmäßige Kontrollen anzuraten.
Der erste Teil des Beitrags in der März-Ausgabe von Datenschutz PRAXIS hat die Bestandteile des überarbeiteten Standard-Datenschutzmodells 3.0 dargestellt. Nun folgt der „Clou“: die datenschutzrechtliche Risikobetrachtung der Verarbeitungstätigkeit mit dem „SDM-Würfel“.
Wollen Behörden und Unternehmen KI einsetzen, müssen sie neben der Art der KI-Technologie Fragen zum Einsatzzweck, zu den verwendeten Daten und zum Betrieb klären. Damit dabei der Datenschutz nicht auf der Strecke bleibt, bieten sich Checklisten für die strukturierte Prüfung an. Eine davon sei hier vorgestellt.
Das Verzeichnis von Verarbeitungstätigkeiten (VVT) dient als zentrales Nachweiswerkzeug und ermöglicht eine Übersicht über alle Datenverarbeitungsprozesse. Angesichts fortschreitender Digitalisierung, der Nutzung von KI und neuer gesetzlicher Anforderungen müssen Unternehmen ihr VVT regelmäßig aktualisieren.
Gerade mit dem aktuellen Vormarsch von KI-Systemen ist die Durchführung einer Datenschutz-Folgenabschätzung wichtiger denn je und ein wertvolles Instrument: nicht nur, um den gesetzlichen Anforderungen zu genügen, sondern auch, um etwaige Risiken entdecken und adressieren zu können.
Ungekürzte Netzwerkadressen von Website-Besuchern in Protokolldateien zu speichern, ist diskussionswürdig, u.a. weil die Website-Anbieter auf diese Weise anlasslos personenbezogene Daten erfassen (Stichwort Vorratsdatenspeicherung). Welche Vorgehensweise können Sie als DSB stattdessen empfehlen?
DSB vernachlässigen oft die Tätigkeitsberichte, obwohl diese einen großen Mehrwert für die Datenschutz-Compliance bieten. Denn die Berichte geben einen Überblick über Abhilfemaßnahmen oder aktuelle Themen. Vor allem aber liefern sie Umsetzungstipps für bestimmte (Problem-)Bereiche im Unternehmen.
Der Hype um generative künstliche Intelligenz (KI) wie ChatGPT hat die Microsoft-Flaggschiffe Microsoft 365 und das Betriebssystem Windows 11 erreicht. Die KI kann vielfältige Aufgaben übernehmen und lässt sich mit natürlicher Sprache steuern. Copilot ist daher einen genaueren Blick wert.
Zertifizierungen nach der internationalen Norm ISO/IEC 27001 werden immer wichtiger. Dabei gilt es allerdings, sich diese genau anzusehen. Denn was viele nicht beachten: Nicht die Zertifizierung an sich, sondern der Gegenstand der Zertifizierung ist dabei von entscheidender Bedeutung.
Wer als Vermietender, Wohnungseigentümer oder Hausverwaltung im Datenschutz wann was zu tun oder zu lassen hat, ist den Handelnden oft unklar. Daher bekommen die Aufsichtsbehörden immer wieder Beschwerden. Der Artikel zeigt Praxisfälle für DSB, die in dieser Branche beraten.
Künstliche Intelligenz (KI) ist Teil der Unternehmensstrategie geworden. Der AI Act (KI-Verordnung) zur Regelung des Einsatzes von KI ist in Kraft. Die ersten Umsetzungsfristen laufen im Februar 2025 ab. Nicht alle Mitarbeitenden müssen das Wissen von „KI-Beauftragten“ haben, aber alle müssen wissen, was sie (nicht) dürfen. Eine KI-Richtline ist deshalb ein wichtiges Compliance-Element.
Eine Offline-KI läuft auf einem eigenen Server. Sie muss keine Daten mit Dritten austauschen, kann aber bei Bedarf auf das Internet zugreifen oder mit anderen IT-Systemen kommunizieren. Oft leistet eine solche KI mehr als ChatGPT. Wann lohnt sich eine Offline-KI und was bietet sie genau?
Einen schnellen Zugriff auf wichtige Informationen sowie eine einfache interne Kommunikation – Mitarbeiter-Apps machen es möglich. Doch was ist aus Sicht des Datenschutzes zu beachten?
In der Praxis steht und fällt die Rechtmäßigkeit der Videoüberwachung nicht-öffentlicher Stellen oft mit dem Nachweis des berechtigten Interesses. Auch wenn es darum geht, die Erforderlichkeit zu begründen und die Maßnahme auszugestalten, gibt es klassische Fehlerquellen.
Früher galt Bluetooth als Kabelersatz und als Kurzstrecken-Funk. Die neuen Versionen ermöglichen jedoch auch Verbindungen über größere Distanzen. Die Folge: Sie brauchen mehr Sicherheits-Maßnahmen. Das gilt besonders im Internet of Things (IoT).
Fast alle personenbezogenen Daten, sofern sie nicht in analoger Form vorliegen, laufen über Netzwerke. Es gehört also zu den Aufgaben von DSB, regelmäßig zu kontrollieren, ob die Netzwerktechnologie den Anforderungen der DSGVO und anderen nationalen Rechtsvorschriften entspricht. Was ist dabei alles zu tun?
Als Perimetrie wird das Gelände zwischen der Außengrenze und den Gebäuden des Unternehmens bezeichnet. Um diesen Bereich zu schützen, ist Videoüberwachung Standard. Doch Datenschutzbeauftragte (DSB) können hier einige mildere Mittel empfehlen.
Eigentlich könnte man meinen, dass das Thema „Personalakten und Datenschutz“ mittlerweile jedes Unternehmen im Griff hat. Doch weit gefehlt. Vor allem durch die ständig wachsende Digitalisierung und durch verstärkte Verwebungen von Gesellschaften ist es Zeit, sich wieder einmal den Personalakten zu widmen.
In der DSGVO finden sich etliche Anforderungen, die sich auf den aktuellen Status personenbezogener Daten beziehen. Eine Anforderung, die den gesamten Lebenszyklus betrifft, ist hingegen die Richtigkeit personenbezogener Daten. Klingt einfach, ist es aber nicht.
In Unternehmen ist es weit verbreitet, geeignete Mitarbeitende durch Aktionen wie „Mitarbeiter werben Mitarbeiter“ zu finden. Im Rahmen dieses Prozesses werden allerdings personenbezogene Daten eines quasi „Externen“ verarbeitet. Was ist dabei aus Datenschutzsicht zu beachten?
Unternehmen und Behörden setzen immer häufiger auf Apps für Smartphones und Tablets, um dienstliche Abläufe zu optimieren. Welche datenschutzrechtlichen Aspekte müssen Verantwortliche und Datenschutzbeauftragte bei der Einführung einer solchen App beachten?
360-Grad-Feedback, also die Bewertung von Arbeitsleistung und Verhalten von Beschäftigten aus allen erdenklichen Perspektiven, ist kein Novum. Relativ neu ist jedoch der Einsatz digitaler Tools auf sämtlichen Hierarchiestufen. Damit einher gehen einige Fragen des Datenschutzes.
Die Hauptaufgabe von DSB ist es, zu beraten und zu überwachen. In größeren Unternehmen ist es sinnvoll, weitere Aufgaben zu übernehmen und ein Team weiterzuführen oder aufzubauen, das dabei unterstützt. Angesichts der Themenvielfalt gilt es, den Überblick zu behalten. Geeignete Prozesse und Tools helfen hier bei der Organisation, um Arbeitsabläufe zu vereinfachen.
Darf die Müllabfuhr Sperrmüll fotografieren, bevor sie ihn abholt? Die Frage mag leicht kurios wirken. Sie führt aber zu hochinteressanten Datenschutz-Überlegungen, die allgemeine Bedeutung haben.
Jemand stört sich an einer Videoüberwachung. Und das völlig zurecht. So sieht es sogar die zuständige Datenschutzbehörde. Dennoch wird sie bewusst nicht aktiv. Ist so etwas in Ordnung?
Wie wirken sich die Löschpflichten, die sich aus der Datenschutz-Grundverordnung (DSGVO) ergeben, auf die Datenlöschung auf Sicherungskopien und Archive aus? Und was ist überhaupt der Unterschied zwischen einem Backup, also einer Datensicherung, und einem Archiv?
Dass eine Lehrkraft manchmal Schwierigkeiten hat, sich die Namen aller Schülerinnen und Schüler zu merken, ist nachvollziehbar. Aber darf sie deshalb alle Schulkinder ihrer Klassen fotografieren und eine Fotodatenbank anlegen? Sie ahnen es: Das gibt Probleme.
Trotz langjähriger Praxiserfahrung stoßen Datenschutzbeauftragte immer wieder auf Themen, denen sie bislang zu wenig Aufmerksamkeit schenkten. Mir ging es mit Umzügen so. Erfahren Sie, weshalb dieses Thema für Sie als DSB relevant ist und worauf Organisationen dabei achten sollten.
Der Beitrag skizziert aus der Perspektive von Datenschutzbeauftragten (DSB) die Vorteile einer Mehr-Faktor-Authentifizierung sowie die datenschutzrechtlichen Herausforderungen, etwa wenn es darum geht, private Endgeräte oder Kontaktdaten einzubinden.
Von den vielfältigen Möglichkeiten von Excel wissen die meisten Nutzer kaum etwas. Gerade das kann zu Datenpannen führen. Ein Ratgeber des Bayerischen Landesbeauftragten für den Datenschutz zu diesem Thema lässt sich in weniger als einer halben Stunde durcharbeiten.
Die Cloud-Software Lexoffice setzen zahlreiche Unternehmen für ihre Buchhaltung ein. Wir zeigen in diesem Beitrag, welche Einstellungen für den Datenschutz und die Datensicherheit gesetzt sein sollten.
Kennen Sie dieses besondere Gefühl, wenn Sie eine Begehung machen oder am Telefon eine Anfrage erhalten, dass sich da das eine oder andere anders verhält als zunächst gedacht? Nennen wir es ruhig den 7. Sinn von Datenschutzbeauftragten. Fasst man Erkenntnisse dieser Art zusammen, entsteht ein überaus spannendes Datenschutzhandbuch, aus dem Sie heute erste Kapitel lesen.
Geht es darum, personenbezogene Daten mit hoher Sensibilität zu versenden, ist es immer gut, einen professionellen Kurierdienst zu beauftragen. Dieser Dienst sollte erfahren und zuverlässig sein. Das ist leider nicht immer gewährleistet …
Bei den Grundsätzen der Verarbeitung personenbezogener Daten tauchen gleich zu Beginn Fragen auf. Art. 5 Abs. 1 Buchst. a DSGVO spricht von „Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“. Für die Rechtmäßigkeit gibt es Art. 6 DSGVO, für Transparenz Art. 13 & 14 DSGVO. Aber was meint „Treu und Glauben“?
DATEV Unternehmen online ist eine cloudbasierte Lösung, um Dokumente zwischen Unternehmen und Steuerberatern auszutauschen. Sie kommt in der Praxis v.a. in kleinen und mittleren Unternehmen zum Einsatz. Welche Einstellungen sind hier für den Datenschutz wichtig?
Das Datenschutzhandbuch fasst die wichtigsten Unterlagen und Dokumente zu den zentralen Datenschutzaktivitäten der Organisation zusammen. Wer führt es, wie ist es aufgebaut, was gehört hinein?
Es ist einer der Klassiker bei Datenschutz-Prüfungen: der nicht gesperrte Bildschirm am verlassenen Arbeitsplatz. Manche Mitarbeitende interpretieren diesen Klassiker ganz neu für sich.
Ortsbegehungen sind v.a. spannend, wenn es um Bereiche mit besonderen Kategorien von Daten geht. Ganz
genau sollten Datenschutzbeauftragte hier bei den Türen hinschauen. Haben sie einen festen Türknauf, der
sich von außen nur mit Schlüssel oder Transponder öffnen lässt? Oder gibt es lediglich Türklinken, sodass die
Beschäftigten die Türen eigens verschließen müssen, wenn sie den Raum verlassen?
DSB sollen beraten, überwachen und als Ansprechpartner für die Aufsicht dienen. Diese Aufgaben haben eher strategischen Charakter. In der betrieblichen Realität kommen oft operative Aufgaben hinzu. Welche Tätigkeiten können DSB übernehmen und welche nicht?
Bei Ortsbegehungen zum Datenschutz gilt es, wenig beachtete Prozesse zu finden, bei denen jeder gedankenlos mitarbeitet, die aber personenbezogene Daten in großen Mengen verarbeiten. Ideales Zielobjekt dafür sind Multifunktionsgeräte.
Eine sorgfältige Datensicherung ist unverzichtbar und ohne Alternative. Aber Datensicherung muss auch
funktionieren. Dazu gehört u.a. die Erkenntnis, dass alles, was gut funktionieren soll, Geld kostet. Hier am falschen Ende zu sparen, kann sehr teuer werden und großen Aufwand verursachen.
Unmittelbar nach Anwendbarkeit der DSGVO überprüfte die französische Aufsichtsbehörde CNIL den Online-Verkäufer Spartoo, der Schuhe in 13 EU-Länder verkauft. Sie verhängte im Juli 2020 eine Geldbuße von 250.000 €, u.a. wegen Verstößen gegen die Datenminimierung. Wie hätte sich das verhindern lassen?
Geht es um Webbrowser und Online-Tracking, dreht sich bisher fast alles um Cookies und Cookie-Manager. Die Werbewirtschaft ist jedoch kreativ und findet immer neue Alternativen. Konzipieren Sie daher die Sensibilisierung zu diesen Themen neu. Lesen Sie, worauf es ankommt.
Auch bei größter Vorsicht können Notfälle auf dem Arbeitsweg oder im Betrieb passieren. Da ist es wichtig, die Daten von Notfallkontakten zur Hand zu haben. Wie lässt sich das datenschutzkonform organisieren?
USB-Sticks, auf denen sich Schadsoftware versteckt, sind ein klassisches Einfallstor für Cyberkriminelle. Testen Sie doch mal, wie gut die letzten Datenschutz-Schulungen zu diesem Thema gewirkt haben …
Ein Angreifer aus dem Internet hat es im Grunde leicht: Er muss nur eine Lücke in den Schutzmaßnahmen finden, schon ist eine Cyberattacke sehr wahrscheinlich erfolgversprechend. Fahnden Sie daher nach typischen Lücken in Sicherheitskonzepten – und bieten Sie Lösungsansätze.
Conversion Tracking verfolgt eine gewünschte Nutzeraktion wie einen Produktkauf zurück auf eine bestimmte Werbemaßnahme. Wer dafür Cookies nutzt, benötigt gewöhnlich eine Einwilligung. Mit geeigneten Mitteln gelingt das Conversion Tracking jedoch auch ohne Einwilligung.
Bei Datenschutzüberprüfungen im Zusammenhang mit Auftragsverarbeitung erlebt man als Datenschutzbeauftragter immer wieder interessante Situationen. Je nach Auftrag sind dabei auch Überprüfungen vorzunehmen,
die im wahrsten Sinne des Wortes etwas brenzliger ausfallen.
Über Telefonie, Chat, Videokonferenzen, Webinare, Bildschirmfreigaben und Dateiübermittlung bis hin zur Einbindung externer Apps und Funktionalitäten ist (fast) alles möglich. Für das Beschäftigungsverhältnis bedeutet das einige datenschutzrechtliche Gefahren. Um diesen Gefahren praxisorientiert begegnen zu können, ist es notwendig, entsprechende unternehmens- oder behördeninterne Regelungen zu schaffen.
Aktenvernichtung erfüllt eine bedeutende Aufgabe bei den technischen und organisatorischen Maßnahmen. Sie dient v.a. dazu, die Vertraulichkeit zu wahren. Das klappt allerdings nicht immer so wie geplant.
Ein Datenschutz-Audit ist ein systematischer und dokumentierter Prozess, um zu prüfen, ob eine Organisation die gesetzlichen Bestimmungen im Bereich des Datenschutzes einhält. Zu einem Audit gehört, Schwächen zu identifizieren und Maßnahmen, um sie zu beseitigen. Ziel ist es, Erkenntnisse über die datenschutzrechtliche Konformität zu erlangen. Lesen Sie, wie Sie dazu am besten vorgehen.
Zu den Schutzmaßnahmen, die die Datenschutz-Grundverordnung (DSGVO) fordert, gehört auch der Schutz
der Daten vor Vernichtung. Dass jemand aus Versehen personenbezogene Daten vernichtet, ist noch einzusehen.
Aber wie kann es sein, dass jemand absichtlich Daten vernichtet?
Die Pflicht, personenbezogene Daten zu löschen, und die Rechenschaftspflicht, die verlangt, die Löschung zu dokumentieren, widersprechen einander auf den ersten Blick. Erfahren Sie, wie sich dieser Widerspruch auflösen lässt.
Ist das Produkt oder die Dienstleistung geliefert, verschicken Unternehmen häufig E-Mails, die Kundinnen und Kunden nach ihrer Zufriedenheit befragen. Unter welchen Voraussetzungen ist dies zulässig?
Jede Webseite verarbeitet personenbezogene Daten. Zugleich ist die Webseite der öffentlichste Teil eines Unternehmens. Umso wichtiger ist es, Datenschutzgesetze einzuhalten und Fehler abzustellen. Doch wie lassen sich Probleme ermitteln und Lösungen finden?
Im Gegensatz zu den unbewusst handelnden Innentätern (siehe Heft 11/21) stoßen wir bei den bewusst handelnden die Tür zu illegalen bzw. zu kriminellen Akten auf. Gar nicht so selten wird dann die Staatsanwaltschaft aktiv. Welche Typen gibt es, wie erkennt man diese Täter, was lässt sich im Vorfeld gegen sie tun?
Was sind personenbezogene Daten wert? Darf eine betroffene Person mit ihren Daten statt mit Geld „bezahlen“? Sind Paywalls bei Websites zulässig? Über diese und weitere Fragen diskutiert die Digitalwirtschaft seit Jahren. Der EU-Gesetzgeber schafft mit der Digitale-Inhalte-Richtlinie nun Regeln, um Daten zu monetarisieren.
Viele Beschäftigte wünschen sich, auch im beruflichen Umfeld Messenger nutzen zu können. Dafür müssen aber zahlreiche Punkte im Vorfeld geklärt sein. Zunächst die rechtliche Grundlage. Dann: Was soll der Messenger können, wofür soll er genau zum Einsatz kommen?
Wie ist ein betriebliches Eingliederungsmanagement (BEM) strukturiert? Welche Herausforderungen entstehen daraus für Unternehmen aus Sicht des Datenschutzes? Und welche konkreten Überwachungsaufgaben ergeben sich damit für Datenschutzbeauftragte (DSB)?
Ist ein bestimmter Dienstleister aus Datenschutzsicht vertretbar oder muss er zusätzlich technische und organisatorische Maßnahmen erfüllen? Diese Fragen stellen sich nicht nur, aber besonders im Finanzsektor. Hier müssen Datenschutzbeauftragte beim Outsourcing intensiv beratend begleiten.
Wann wurde in Ihrer Organisation das letzte Mal über Innentäter gesprochen? Falls Sie sich nicht erinnern können: War das überhaupt schon einmal Thema? Ist man sich des Risikos bewusst oder wird es verdrängt? Da etwa zwei Drittel der Angriffe von innen erfolgen, setzen Sie den Punkt unbedingt auf die Tagesordnung.
SAP bietet in seinen Produkten verschiedene Möglichkeiten, den Datenschutz zu verbessern. Allerdings muss bereits die Projektplanung diese Funktionen berücksichtigen. Sensibilisieren Sie die Beteiligten daher dafür, dass sie frühzeitig an den Datenschutz denken.
Anfragen von betroffenen Personen sind mittlerweile sehr häufig. Zeigen Sie anhand von Praxisbeispielen etwa zur telefonischen Auskunft, wie die Kolleginnen und Kollegen mit Betroffenenrechten korrekt verfahren.
Wie verhindern Verantwortliche, dass es bei Wartungsarbeiten zu Datenpannen kommt, weil Techniker auf Daten zugreifen, die nicht für sie bestimmt sind? Wir stellen weitere Maßnahmen zur Absicherung der Fernwartung vor und beleuchten, wie es sich mit der Sicherheit bei IoT-Geräten verhält.
Mit Art. 6 Abs. 1 Buchst. f brachte die DSGVO eine neue Rechtsgrundlage für die Datenverarbeitung: das „berechtigte Interesse“. Was genau verbirgt sich dahinter, und welche Voraussetzungen müssen erfüllt sein, um die Verarbeitung personenbezogener Daten darauf stützen zu können?
Maschinen in der Produktion müssen gewartet werden. Dazu sind entweder Wartungsintervalle vorgegeben oder es erfolgt eine Ad-hoc-Wartung, wenn es zu einer Störung kommt. Wie verhindern Verantwortliche, dass es dabei zu Datenpannen kommt, weil Techniker auf Daten zugreifen, die nicht für sie bestimmt sind?
Jeder kann nach Wartungsarbeiten plötzlich die Gehaltsabrechnung aller anderen Kolleginnen und Kollegen einsehen – was ist da bloß passiert? Lesen Sie, wie Sie solche Datenschutzvorfälle umschiffen.
Arbeiten viele medizinische Fachbereiche z.B. im Krankenhaus zusammen, birgt das großes Risikopotenzial für Datenschutzverstöße. Sind Teile der verarbeiteten sensiblen Daten für Außenstehende „versteckt“, ist es noch höher. Wie identifizieren Sie solche Daten und v.a.: Wie vermeiden Sie sie?
Ein Kollege ist krank. Sein Vorgesetzter leitet die Information weiter – aus Versehen per Mailverteiler an alle Empfänger im Unternehmen. Wie lassen sich solche Datenschutzpannen effektiv verhindern?
So gut wie alle Unternehmen haben Kundenkontakt. Früher oder später trifft die heute übliche Eigenart, alles Mögliche zu filmen und zu posten, daher auch jeden Betrieb und jede Behörde. Bereiten Sie Ihre Kolleginnen und Kollegen mit den folgenden Hinweisen auf diese Situation vor.
Welche Regeln des Datenschutzes gelten für die Verarbeitung von Fotos Beschäftigter? Nicht weniger als fünf deutsche Aufsichtsbehörden haben sich in ihren aktuellen Tätigkeitsberichten dazu geäußert, teils sogar relativ ausführlich.
Die Umsätze mit mobilen Apps in Deutschland sind auf einem Rekordhoch. Leider gilt das auch für die mobilen Datenrisiken. Viele Apps kollidieren mit der Datenschutz-Grundverordnung (DSGVO). Doch es gibt Lösungen, wie Apps datenschutzkonform werden. Ein Beispiel: die AVARE-App.
Wie lässt sich die DSGVO bloß praktisch umsetzen? Manchmal hilft es, bei anderen zu schauen. Etwa in Anwenderberichten, die erfolgreiche Projekte zur Datenschutz-Grundverordnung beschreiben. Oder in die Tätigkeitsberichte der Datenschutzaufsichten.
Hat der europäische Gesetzgeber in seinem Streben nach einem „Goldstandard“ für den Datenschutz in der digitalen Welt tatsächlich wichtige Fallgestaltungen unseres oft immer noch analogen Alltags übersehen? Nein, hat er nicht – man muss nur manchmal etwas genauer hinschauen.
Die Frage, ob Minderjährige wirksam in den Umgang mit ihren Daten einwilligen können, wurde schon unter dem Bundesdatenschutzgesetz diskutiert. Die Datenschutz-Grundverordnung sieht dazu nun zumindest bei internetbasierten Diensten Regelungen vor, die Klarheit schaffen.
1 von 0
Datenschutz PRAXIS - Der Podcast
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.