Blog

Knowledge Base der Datenbeschützerin

Am 16.07.2020 hat der Europäische Gerichtshof das Privacy Shield für ungültig erklärt.

Die nachfolgende kurze Zusammenfassung stellt natürlich keine Rechtsberatung dar. Aufgrund der Aktualität des Urteils werden sich die Handlungsvorschläge von Behörden und Verbänden in den nächsten Wochen und Monaten sicherlich noch konkretisieren.

Continue reading „EuGH kippt Privacy Shield – Fehlende Sicherheit der Daten beim Datenaustausch zwischen der EU und den USA“

Diesen Beitrag teilen

Knowledge Base der Datenbeschützerin

Am Freitag, den 17.07.2020, wurde vom Bundesverfassungsgericht in Karlsruhe in einem Urteil beschlossen, dass Teile des Kommunikationsgesetzes verfassungswidrig sind.

Begründung ist, dass das Gesetz unverhältnismäßig in das informationelle Selbstbestimmungsrecht und das Telekommunikationsgeheimins eingreife.

Für Polizei und Verfassungsschutz bedeutet dies eine Einschränkung in der Auswertung von Nutzungsdaten von Mobilgeräten und der Internetnutzung. Diese Daten dürfen zukünftig nur noch unter strengen Voraussetzungen von Sicherheitsbehörden abgefragt werden.

Im Urteil geht es nicht grundsätzlich um die Zulässigkeit der Verwendung der Daten für die Verfolgung von Straftaten, sondern um die Schwelle, wann diese Daten herausgegeben werden dürfen. Voraussetzung müsse eine konkrete Gefahr oder ein Anfangsverdacht sein.

Quelle:

Handelsblatt „News am Abend“ vom Freitag 17.07.2020

Diesen Beitrag teilen

Corona Warn App im Blick auf Datenschutz und Datensicherheit

Am 16.06.2020 wurde nun die Corona Warn App veröffentlicht. Sie soll uns helfen, die Pandemie weiter im Griff zu behalten und die Infektionsketten schnellstmöglich zu brechen. Wie es bei der Corona Warn App (CWA) mit Datenschutz und Sicherheit aussieht, möchten wir in diesem Artikel beleuchten.

Wir wollen und können nicht den Quellcode prüfen und die App auf die Schnelle prüfen (lassen). Aber darum geht es auch nicht.

Wenn Sie uns kennen, wissen Sie, dass wir gut und ausführlich recherchieren. Wir arbeiten nach bestem Wissen und Gewissen und kennzeichnen deutlich, wenn bestimmte Aussagen unsere persönliche Meinung darstellen. Beachten Sie – wie immer – dass es sich hierbei aber um keine Rechtsberatung handelt.

Continue reading „Corona Warn App – Wie steht’s um Sicherheit und Datenschutz?“

Diesen Beitrag teilen

Datenschutzanalyse deutscher Webseiten

Gastbeitrag von Dr. Klaus Meffert

Dr. Meffert beschäftigt sich mit dem Thema Datenschutz auf Webseiten. In diesem Gastbeitrag berichtet er, wie Webseiten DSGVO-konform gemacht werden können. Dieser Bericht geht auch auf die häufigsten Probleme in Bezug auf rechtssichere Webseiten (Schwerpunkt Datenschutz) ein und zeigt, welche Maßnahmen zur Abhilfe es gibt.

Hier beschreibt Dr. Meffert wie die DSGVO für Webseiten eingehalten werden kann. Zusätzliche Vorschriften für Webseiten wie die Anbieterkennzeichnung (Impressumspflicht), die Ausgestaltung von AGB oder von Einkaufsprozessen in Internet-Shops werden hier nicht thematisiert. Es geht nur um die datenschutzrechtlichen Betrachtungen, die allerdings sehr wichtig sind. Schließlich kann jede Webseite zu jeder Zeit von jedem, der es möchte, angeschaut, untersucht und bei Bedarf kritisiert werden. Die Webseite ist der öffentlichste Teil jedes Unternehmens.

Continue reading „So entstehen rechtssichere Webseiten“

Diesen Beitrag teilen

Fortbildung des Datenschutzbeauftragten nach Art. 37 (5) DSGVO

Vorweg, im Folgenden wird vom Datenschutzbeauftragten in der männlichen Form gesprochen. Der Einfachheit halber beim Lesen unterscheiden wir nicht. Es sind natürlich alle Geschlechter angesprochen.

In einem vorherigen Blogbeitrag haben wir bereits die zahlreichen Aufgaben des Datenschutzbeauftragten vorgestellt. Neben der Überwachung und Einhaltung der DSGVO, Beratungstätigkeiten und Mitarbeitersensibilisierung ist ein wichtiger Aspekt nicht zu vergessen: Die Weiterbildung des Datenschutzbeauftragten im fachlichen Sinne.

Doch wie und vor allem wo kann ein Datenschutzbeauftragter eine Datenschutzfortbildung absolvieren? Welche Angebote entsprechen den gesetzlichen Anforderungen? Kann man auch ohne Schulungen auf dem laufenden bleiben?

Diese Fragen stellen sich insbesondere interne Datenschutzbeauftragte. In vielen Fällen übt nämlich der interne Datenschutzbeauftragte seine Rolle als DSB zusätzlich zu einer bereits bestehenden Tätigkeit aus. Es bleibt meist wenig Zeit für eine qualifizierte Fortbildung und einen Austausch mit Gleichgesinnten in einem Netzwerk.

In diesem Blogartikel möchte ich Ihnen diese Fragen beantworten und auch einen Lösungsansatz anbieten.

Continue reading „Erfüllen Sie als Datenschutzbeauftragter Ihre Pflicht zur Weiterbildung?“

Diesen Beitrag teilen

Videokonferenzsysteme und Datenschutz

Videokonferenzen oder Onlinemeetings haben aufgrund der Corona-Krise von einem Tag auf den anderen Einzug in die Unternehmen erhalten. Wer hätte gedacht, dass die Digitalisierung in diesem Bereich nun doch so schnell vonstattengeht?

Es ist nicht ganz einfach, aus der großen Auswahl von Onlinemeeting Tools den richtigen Meeting-Service auszuwählen. Neben den Anforderungen an die Benutzerfreundlichkeit ist auch die Einhaltung der Datenschutzanforderungen eine wichtige Komponente.

In diesem Beitrag möchten wir Ihnen eine Übersicht über die gängigsten Videokonferenzsysteme und deren Aspekte zum Datenschutz geben. Zudem zeigen wir vorab auf, was bei der Auswahl eines Systems in Bezug auf die Sicherheit personenbezogener Daten beachtet werden soll.
Abschließend geben wir noch ein paar Tipps, was beim Einsatz und der Durchführung von Onlinemeeting-Tools zu beachten ist.

Hinweis: Bei diesem Beitrag handelt es sich um keine Rechtsberatung. Der Inhalt stellt auch keine Werbung dar. Wir listen in diesem Beitrag objektive Kriterien auf und geben unsere subjektive Meinung ab. Dies ist aber auch extra gekennzeichnet („Erfahrung / Einschätzung der Datenbeschützerin).

Continue reading „Welches Videokonferenzsystem erfüllt die Anforderungen an den Datenschutz?“

Diesen Beitrag teilen

Knowledge Base der Datenbeschützerin

In Zeiten des Coronavirus steht an erster Stelle, die Anzahl der Neuinfizierungen über einen längeren Zeitraum zu strecken. Dies führt zu drastischen, noch nie da gewesenen Maßnahmen. Sie als Unternehmen, Behörde, Verein oder sonstige Institution, sind verpflichtet mitzuwirken.

Was bedeutet das nun aber für die Regeln des Datenschutzes? Sind die DSGVO und das BDSG aufgrund der Corona-Krise außer Kraft gesetzt?

Natürlich Nicht!

Auf was Sie als Verantwortlicher achten müssen, erfahren Sie in diesem Beitrag!

Auf den Punkt gebracht: Datenschutz und Corona

Auf den Punkt gebracht: Datenübermittlung in Drittländer
  • Die Erhebung und Verarbeitung besonders schützenswerter Daten nach Art. 9 DSGVO ist für die Eindämmung einer Pandemie erlaubt
  • Die Rechtsgrundlagen der Verarbeitung können abweichen von den üblichen Rechtsgrundlagen im Beschäftigungsverhältnis
  • Denken Sie and die Erweiterung Ihrer Informationspflicht für die neue Datenverarbeitung
  • Stellen Sie den besonderen Schutz der Gesundheitsdaten sicher

Wie verhält es sich mit dem Beschäftigtendatenschutz beim Coronavirus?

Der Bundesdatenschutzbeauftragte (BfDI) gibt einige Hinweise für Arbeitgeber heraus. Hier wird auf den Umgang mit personenbezogenen Daten, die durch die Corona-Pandemie entstehen, hingewiesen. Nachfolgend eine Zusammenfassung, der für Sie relevanten Punkte:

Besonders schützenswerte Daten nach Art. 9 DSGVO

Wenn es um Daten zu Betroffenen der Pandemie geht, ist man mehr oder weniger sofort bei besonders schützenswerten Daten nach Art. 9 DSGVO. Diese müssen höher geschützt werden, als „normale“ personenbezogene Daten. Zudem muss ein wichtiger Zweck vorliegen, damit die Daten überhaupt verarbeitet werden dürfen.

Die Maßnahmen zum Schutz der Verzögerung der Ausweitung der Corona-Pandemie gelten als wichtiger Zweck. Natürlich aber auch der Schutz der Mitarbeiter. Trotzdem ist es wichtig, dass auch zu diesem Zweck der Datenschutz eingehalten wird. Das BfDI weißt auch auf die Einhaltung der Verhältnismäßigkeit bei der Datenverarbeitung hin!

Hinweis zu personenbezogenen Daten besonderer Kategorien (Art. 9 DSGVO)

Sehr häufig haben wir die Anfrage bzw. die Annahme, dass die Verarbeitung von Daten, die unter Artikel 9 DSGVO fallen, einen Datenschutzbeauftragten voraussetzen. Dies könnte man beim schnellen Durchlesen, aus Art. 37 (1) lit. c DSGVO heraus lesen.

Beim genauen lesen sieht man allerdings, dass es sich bei der Verarbeitung dieser Daten um die Kerntätigkeit des Verantwortlichen handeln muss. Ebenfalls muss es sich dann noch um eine umfangreiche Verarbeitung dieser Daten handeln. Da fallen nicht mal Ärzte darunter!

Das heißt nun für Sie, als Verantwortlicher im Umgang mit Datenschutz und Corona, dass Sie deswegen nicht plötzlich einen Datenschutzbeauftragten benennen müssen.

Datenschutzrechtlich erlaubte Erhebungs- und Verarbeitungszwecke im Umgang mit Covid-19 Daten

Diese Liste ist übernommen vom Bundesdatenschutzbeauftragten:

  • Personenbezogene Daten (inklusive benötigter Gesundheitsdaten) zur Verhinderung weiterer Ausbreitung des Corona-Virus bei Mitarbeitern und Führungskräften (dies gilt in angemessenen Umgang auch für Vereine und andere Organisationen).
    • Personen, bei denen eine Infektion festgestellt wurde
    • Personen, die Kontakt zu einer nachweislich infizierten Person hatten
    • Personen, die sich im relevanten Zeitraum in einem Risikogebiet aufgehalten haben (Risikogebiete werden vom Robert-Koch-Institiut eingestuft)
  • Daten von Gästen und Besuchern, ebenfalls inklusive der benötigten Gesundheitsdaten dürfen erhoben und verarbeitet werden, wenn
    • diese infiziert sind oder Kontakt mit einer nachweislich infizierten Person hatten
    • sich im relevanten Zeitraum in einem Risikogebiet aufgehalten haben
  • Die Offenlegung dieser Daten von nachweislich infizierten bzw. unter Verdacht stehenden Personen, sich infiziert zu haben ist mit größter Vorsicht zu behandeln. Dies ist nur erlaubt, wenn diese Informationen für die Vorsorgemaßnahmen der Kontaktpersonen ausnahmsweise erforderlich ist.

Rechtsgrundlagen zur Verarbeitung der Daten im Zusammenhang mit der Corona-Pandemie

Auf der Seite des BfDI ist dies sehr ausführlich erläutert. Hier geben wir Ihnen einen kurzen Überblick.

  • Artikel 6 (1) lit. e DSGVO: Verarbeitung von Mitarbeiterdaten für die Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt;
  • Art. 6 (1) lit. c DSGVO: Auch weiterhin ist natürlich die Erfüllung (eventuell neuer) gesetzlicher Anforderungen eine Grundlage
  • §26 (3) BDSG: Erlaubte Verarbeitung von Daten nach Art. 9 DSGVO zur sozialen Sicherheit und des Sozialschutzes;
  • Art. 9 (2) lit. g DSGVO: Verarbeitung aus Gründen des öffentlichen Interesses
  • §22 Abs. 1 (1) lit. c BDSG: Verarbeitung von Daten besonderer Kategorien im öffentlichen Interesse und zur öffentlichen Gesundheit

Schutz der personenbezogenen Daten für die Verarbeitung zur Eindämmung der Corona-Pandemie

Natürlich müssen diese Daten entsprechend der Anforderungen mit Maßnahmen nach Art. 32 DSGVO geschützt werden.

Besonders ist auf die höhere Sicherheit der Verarbeitung hinzuweisen, wenn Daten nach Art. 9 DSGVO (also besonders schutzwürdige Daten) verarbeitet werden. Beispielsweise muss die Übertragung der Daten höher geschützt sein.

Bei der Erhebung und Verarbeitung handelt es sich um einen temporären Notfallprozess. Hier sollten Sie neben dem Datenschutz noch ein paar weitere Details beachten. Ausführlich finden Sie das im Blogbeitrag zum Notfallplan.

Löschung von Daten für Zwecke der Pandemie-Eindämmung

Nachdem der Verarbeitungszweck erloschen ist (laut BfDI nach Ende der Pandemie – spätestens), müssen die Daten unverzüglich gelöscht werden.

Einwilligung oder Information der Betroffenen bei der Erhebung von Gesundheitsdaten über Corona?

Da mit den oben genannten Rechtsgrundlagen die Verarbeitung zulässig ist, sollte von einer Einwilligung abgesehen werden.

Die Information nach Art. 13 und Art. 14 der Betroffenen über die Datenverarbeitung ist ausreichen. Sie können hierfür folgende Beispielsformulierung entnehmen.

Passage für die Informationspflicht nach Art. 13 und Art. 14 DSGVO zum Zwecke der Eindämmung der Pandemie

„Zur Eindämmung der Pandemie und zum Schutz der Gesundheit unserer Mitarbeiter werden zum aktuellen Zeitpunkt folgende zusätzliche Daten nach Art. 9 DSGVO von unseren Mitarbeitern erhoben: [Bitte hier eine Aufzählung der erhobenen Daten einfügen].

Die Verarbeitung der Daten beruht auf einer gesetzlichen Grundlage nach Art. 6 Abs. 1 lit. c DSGVO, zur Wahrnehmung der Aufgaben des öffentlichen Interesses nach Art. 6 Abs. 1 lit. e DSGVO, sowie aufgrund des Gesundheitsschutzes nach §22 Abs. 1 (1) lit. c BDSG [ggf. hier – falls zutreffend noch weitere Rechtsgrundlagen einfügen].

Die Daten verbleiben intern und werden nur auf Anfrage seitens der Gesundheitsbehörde an diese übermittelt. Die erhobenen Daten werden unverzüglich nach Beendigung der Pandemie gelöscht.“

Quellen:

Die ausführlichen Hinweise des BfDI finden Sie hier.

Weitere interessante Links zum Thema Beschäftigtendatenschutz bei einer Pandemie

Linksammlung der GDD:

https://www.gdd.de/aktuelles/startseite/linksammlung-zu-datenschutz-und-corona

Stellungnahme des Datenschutzbeauftragten aus Baden-Württemberg:

https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2020/03/FAQ-Corona.pdf

Diesen Beitrag teilen

Notfallplan bei Pandemie (Coronavirus)

Im Frühjahr 2020 spricht die ganze Welt nur noch von der Bedrohung des Coronavirus (Covid-19). Primär gilt die Sorge der Gesundheit in der Familie. Die Unternehmer beschäftigt allerdings die zentrale Frage nach der Aufrechterhaltung des Geschäftsbetriebs des Unternehmens.

In diesem Artikel möchte ich Ihnen praxisnah und kurzfristig umsetzbare Methoden und Vorgehensweisen an die Hand geben. Damit können Sie Notfallstrategien für den leider gar nicht so unwahrscheinlichen Ernstfall planen.

Auf folgende Themen geht dieser Artikel ein:

Natürlich unterstützen wir Sie auch gerne direkt und – soweit möglich – kurzfristig, wenn Sie diesbezüglich Fragen haben oder Hilfe benötigen. Wir verfügen im Fachgebiet Risikomanagement und Business Continuity Management über langjährige Expertise.

So, nun aber genug mit der Eigenwerbung. Was ist wichtig für Sie zu wissen und wie sollten Sie vorgehen?

Continue reading „Notfallplan im Unternehmen bei Pandemie (Coronavirus) – Muster beziehbar“

Diesen Beitrag teilen

WhatsApp im Unternehmen, Messenger Alternativen

Dieser Artikel basiert auf unserer Erfahrung im täglichen Geschäft mit Kunden, die uns zum Einsatz von WhatsApp im Unternehmen kontaktieren. Der Bericht wurde nicht bezahlt. Der Beitrag kann aber im Einzelfall als Werbung für verschiedene Produkte, die erwähnt werden, verstanden werden. 

Im Juli 2018, kurz nach dem „DSGVO-Stichtag“, hat WhatsApp die Nutzungsbedingungen aktualisiert. Im Dezember 2019 kam eine weitere Neuerung des Messenger-Betreibers zur Verwendung von Broadcast Listen.

Was bedeutet das für den Einsatz des Messengers in Firmen? Ist die App DSGVO-konform und darf WhatsApp im Unternehmen verwendet werden? Gibt es eigentlich (sinnvolle und praktikable) Alternativen zu WhatsApp?

Auf diese und weitere Themen rund um den Messenger WhatsApp in Unternehmen möchte ich in diesem Artikel eingehen.

Continue reading „WhatsApp im Unternehmen – Welche Messenger Alternativen sind in der Firma möglich?“

Diesen Beitrag teilen

Knowledge Base der Datenbeschützerin

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg hat Anfang 2019 ein Papier veröffentlicht mit Tipps und Informationen für starke Passwörter.

Dieses Thema betrifft aber nicht nur den Anwender, sondern auch die Entwickler. Diese müssen auf Seiten der Anwendung sicherstellen, dass den Anmeldeinformationen ein höchstmöglicher Schutz gewährt wird.

Nachfolgende Empfehlungen gibt der Landesbeauftragte für den Datenschutz und die Informationsfreiheit zum Thema starke Passwörter.

Rechtliche Grundlagen für Verantwortliche von Plattformen und Anwendungen

Die sichere Authentifizierung basiert rechtlich u.a. auf Artikel 32 DSGVO. Es geht darum, die Vertraulichkeit, Integrität und Verfügbarkeit der Daten, Systeme und Dienste entsprechen sicherzustellen.

Continue reading „Starke Passwörter und sicherer Umgang für Anwender und Entwickler“

Diesen Beitrag teilen