Blog

Darf personalisierte Werbung nach der DSGVO noch versendet werden? Dürfen Kunden telefonisch auf neue Produkte hingewiesen werden? Und vor allem, darf ich jedem Kunden einen Newsletter zusenden?

Continue reading „Werbung und Datenschutz – Welche Voraussetzungen sind bei Newsletter und postalischer Werbung zu beachten?“

Diesen Beitrag teilen

Informationssicherheit

Warum ein Informationssicherheits-managementsystem?

Ein Informationssicherheitsmanagementsystem – kurz ISMS – unterstützt dabei, die Sicherheit der Informationen im Unternehmen zu gewährleisten und vor allem strukturiert und geführt, kontinuierlich zu verbessern.

Dabei geht es nicht darum, ein von extern vorgegebenes Sicherheitsniveau technisch umzusetzen. Viel mehr geht es darum, das eigene Sicherheitslevel als Basis zu identifizieren. An dieser Basis orientieren sich nachfolgend die Schutzmaßnahmen eines erfolgreich umgesetzten ISMS.

Berichte über Sicherheitslücken in Soft- und Hardwarekomponenten sowie Sicherheitsvorfälle großer Konzerne rücken seitdem zunehmend in den Fokus der Medien und des öffentlichen Interesses. Vor diesem Hintergrund nehmen auch wir im Gespräch mit unseren Kunden eine steigende Nachfrage nach Möglichkeiten zur Verbesserung der Informationssicherheit in den eigenen Organisationen wahr.

Beim ISMS geht es allerdings nicht nur um die technische Sicherheit. Das Informationssicherheitsmanagementsystem betrachtet neben der IT-Sicherheit auch die organisatorischen Maßnahmen und vor allem den Weg zu einer guten Informationssicherheit.

Wie führt man ein ISMS im Unternehmen ein?

Ein erfolgreich umgesetztes ISMS besteht aus mehreren Bausteinen. Natürlich gehört dazu auch der formelle Teil mit Vorgabedokumenten und Leitlinien. Richtig interessant wird es aber spätestens dann, wenn es an die aktive Umsetzung geht. Begonnen mit der Identifizierung der Unternehmenswerte, der Risikoanalyse ….
Einen Überblick über die Schritte der Einführung eines Informationssicherheitsmanagementsystems soll Ihnen dieser Artikel geben.

Nicht nur IT-Aufgabe!

Wurde die Informationssicherheit noch vor wenigen Jahren den Administratoren oder IT-Abteilungen als Teil ihrer Zuständigkeit untergeschoben, ist sie mittlerweile zur Chefsache geworden.

Continue reading „Informationssicherheits-managementsystem – ISMS nach ISO 27001“

Diesen Beitrag teilen

Knowledge Base der Datenbeschützerin

Auf den Punkt gebracht: Recht auf Löschung

Auf den Punkt gebracht: Besondere personenbezogene Daten
  • Artikel 17 Abs. 1 der DSGVO gibt an, wann Daten durch den Verantwortlichen gelöscht werden müssen.
  • Es bestehen auch Ausnahmen von der Pflicht auf Löschung der Daten. Diese werden in Artikel 17 Abs. 3 DSGVO genannt. Ebenfalls nennt §35 BDSG-neu Gründe für die Einschränkung der Löschpflicht.
  • Das Recht auf Vergessenwerden hat zum Ziel, personenbezogene Daten auf Wunsch des Betroffenen zu löschen, die zum Beispiel im Internet einer großen Öffentlichkeit zugänglich sind.
  • Nichtbeachtung von Löschanfragen und Löschpflichten kann zu hohen Bußgeldern führen, wie bereits Urteile zeigen.


Mit einem Kurzpapier gibt die DSK Hilfestellung auf ein weiteres Betroffenenrecht: Das Recht auf Löschung. Die zentralen Fragen werden hier erläutert: Wann sind Daten zwingend zu löschen? Wann bestehen Ausnahmen der Löschpflicht?

Continue reading „Summary DSK-Papier Nr. 11: Recht auf Löschung / Recht auf Vergessenwerden“

Diesen Beitrag teilen

Knowledge Base der Datenbeschützerin

Auf den Punkt gebracht: Datenübermittlung in Drittländer

Auf den Punkt gebracht: Datenübermittlung in Drittländer
  • Als Drittländer gelten alle nicht EU-Staaten. Es wird zwischen sicheren und unsicheren Drittstaaten unterschieden. In sichere Drittländer ist die Datenübermittlung gestattet.
  • Folgende Möglichkeiten erlauben die Übertragung der Daten in ein Drittland: Angemessenheitsbeschluss liegt vor (sicheres Drittland), Es liegen geeignete Garantien für den Datenversand vor (Verhaltensregeln, Vertragsklauseln…)
  • Die Übertragung ist ebenfalls gestattet, wenn eine Einwilligung des Betroffenen vorliegt, die Verarbeitung für die Vertragserfüllung notwendig ist oder ein zwingendes berechtigtes Interesse vorliegt.


Ist die Datenübermittlung überhaupt noch zulässig? Wenn ja, was müssen Sie bei den Sicherheitsmaßnahmen und den Nachweisen beachten? Das DSK-Papier Nr. 4 gibt Antwort auf diese Fragen.

Continue reading „Summary DSK-Papier Nr. 4: Datenübermittlung in Drittländer“

Diesen Beitrag teilen

Im Juli 2019 beschloss der EuGH in einem Urteil, dass der Webseitenbetreiber für Like-Buttons gemeinsam mit Facebook verantwortlich ist. [Interessanter Fun Fact an dieser Stelle: die Seite des EuGH mit den Rechtsprechungen ist nicht verschlüsselt 🙂 ]

Zudem ergibt sich aus dem Urteil die Einwilligungspflicht für viele Plugins auf der Webseite.

Beim Urteil des EuGH wurde explizit auf die Übertragung der Daten durch Social Media Plugins eingegangen. Natürlich kann man dies auch auf andere Plugins übertragen. Nicht eingegangen wurde allerdings im Urteil auf die Übertragung reiner IP-Adressen aus funktionellen Gründen (ohne Analyse und Marketing-Zwecke). Dass hierfür eine Einwilligung nötig sei, geht unserem Verständnis nach aus diesem Urteil nicht hervor.

Continue reading „Was bedeutet das EuGH Urteil zu Like-Buttons und Cookie Opt-in für Webseitenbetreiber?“

Diesen Beitrag teilen

Knowledge Base der Datenbeschützerin

Auf den Punkt gebracht: Besondere personenbezogene Daten

Auf den Punkt gebracht: Besondere personenbezogene Daten
  • Besondere Kategorien personenbezogener Daten sind noch höher zu schützen, als „normale“ personenbezogene Daten.
  • Unter die besonderen Daten fallen zum Beispiel: politische Meinung, religiöse Überzeugungen, Gewerkschaftszugehörigkeit
    Gesundheitsdaten
    (auch z.B. Medikamenteneinnahme), Sexuelle Orientierung
  • Grundsätzlich dürfen diese Daten NICHT verarbeitet werden, es sei denn, es liegt ein Erlaubnistatbestand nach Art. 9 vor
  • Die Voraussetzungen des Art. 9 (wann dürfen besonders schützenswerte Daten verarbeitet werden) und des Art. 6 DSGVO (wann ist eine Verarbeitung grundsätzlich rechtmäßig) sind bei der Verarbeitung zu beachten.


Das DSK-Papier beschäftigt mit der Verarbeitung von besonderen Kategorien personenbezogener Daten nach Art. 9 DSGVO. Wer darf diese Daten überhaupt verarbeiten? Wer benötigt für die Verarbeitung eine Einwilligung? Dies sind die zentralen Fragen.

Continue reading „Summary DSK-Papier Nr. 17: Besondere Kategorien personenbezogener Daten“

Diesen Beitrag teilen

In vielen Gesprächen und auch in den Artikeln auf diesem Blog verwenden wir Fachbegriffe. Einer der Grundlegenden ist der Begriff der Datensicherheit. Wahrscheinlich ist auch Ihnen dieses Wort schon regelmäßig untergekommen. Datensicherheit – was ist das eigentlich genau? Was versteht man darunter? Was ist der Unterschied zum Datenschutz? Warum ist denn Datensicherheit überhaupt so wichtig? Und vor allem, wie kann man Datensicherheit gewährleisten?

Continue reading „Datensicherheit – Definition und Ziele“

Diesen Beitrag teilen

Knowledge Base der Datenbeschützerin

Auf den Punkt gebracht: Kopien von Personalausweis und Führerschein

Auf den Punkt gebracht: Führerschein- und Ausweiskopien nach der DSGVO
  • Sie dürfen Kopien von Ausweisen und Führerschein anfertigen, wenn es einen DSGVO-konformen Zweck dafür gibt (siehe Beispiele)
  • In vielen Fällen ist allerdings nur eine Sichtkontrolle zulässig
  • Die Hinterlegung von Ausweisen als Pfand (z.B. beim Fahrradverleih), ist nicht zulässig

Der Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen veröffentlichte im Juni 2019 eine Hilfestellung für den Umgang mit Personalausweisdaten. 

Continue reading „Sind Führerschein- und Ausweiskopie nach der DSGVO erlaubt?“

Diesen Beitrag teilen

Geschichte des Datenschutzes

Wann begann der „Irrsinn“ des Datenschutzes?

In den letzten Jahrhunderten ist viel passierte und es wurden unzählige wirtschaftliche Ereignisse und Prozessen in Bewegung gesetzt. Sei es nun die Industrialisierung im 19. Jahrhundert oder die Digitalisierung im 20. Jahrhundert. Auch die Gesetzgebung durchlebt einen Wandel; neue Gesetze treten in oder außer Kraft.

Continue reading „Geschichte des Datenschutzes“

Diesen Beitrag teilen

Einwilligungserklärung Datenschutz nach Artikel 6 (1) lit. a DSGVO

Inhaltsverzeichnis

…oder das fehlende Verständnis für Artikel 6 (1) DSGVO

Heute muss ich mal spontan einen sehr impulsiven Beitrag los werden. Zum gefühlt 5326 Mal habe ich heute wieder eine Einwilligungserklärung vorgelegt bekommen. Diese muss ich natürlich unterzeichnen.

HINWEIS: Es handelt sich hierbei um keine Rechtsberatung, sondern lediglich um eine grundsätzliche Information. Es muss immer der Einzelfall betrachtet werden, welche Rechtsgrundlage vorliegt bei der Verarbeitung von Daten.

Einwilligungserklärung zum Datenschutz beim Tanzen

Meine Tochter möchte am Tanzkurs teilnehmen. Ich fülle eine Probemitgliedschaft aus und bekomme prompt noch eine Einwilligungserklärung zum Datenschutz nachgereicht. Wenn ich nicht zustimme, dass die Daten für die Probemitgliedschaft gespeichert werden dürfen, kann die Kleine nicht am Tanzunterricht teilnehmen.

Continue reading „Warum die Einwilligungserklärung die DSGVO kaputt macht“

Diesen Beitrag teilen