ULD schickt "IZG-Anfrage zu Ihrer Meldung als Datenschutzbeauftragte/r"

Heute haben wir gleich mehrere gleichlautende Anfragen des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD) erhalten:

Betreff: IZG-Anfrage zu Ihrer Meldung als Datenschutzbeauftragte/r

Wir haben folgende E-Mail vom ULD erhalten. Die E-Mail-Adresse des Absenders lautet dsb-auskunft@datenschutzzentrum.de.

"Sehr geehrte Dame, sehr geehrter Herr, 

nach unseren Informationen wurden Sie als Datenschutzbeauftragte/r bestellt. Im Rahmen der Meldepflicht nach Artikel 37 Abs. 1 Datenschutzgrundverordnung (DSGVO) müssen Verantwortliche der zuständigen Aufsichtsbehörde melden, wer ihre Datenschutzbeauftragten sind. Dem Unabhängigen Landeszentrum für Datenschutz (ULD) wurden Vorname, Nachname und E-Mail (Pflichtfelder) sowie freiwillig Postanschrift und Telefonnummer gemeldet.

E-Mail des ULD an yourIT: IZG-Anfrage zu Ihrer Meldung als Datenschutzbeauftragter

Kundenanfrage: Darf mein Personalausweis als Pfand verlangt werden?

Immer wieder gibt es Situationen, in denen es zumindest üblich erscheint, den Personalausweis als eine Art Pfand zu hinterlegen. Was sagt das Gesetz dazu? Und was ist unter Sicherheitsaspekten zu bedenken?

Unser Datenschutz-Team hat sich in der Vergangenheit immer wieder mit Anfragen zum Thema Personalausweis beschäftigt. Hier eine kurze Zusammenfassung mit passenden Beispielen zur Frage: Darf mein Personalausweis als Pfand verlangt werden?

yourIT-Datenschutz-Team zur Kundenanfrage: Darf mein Personalausweis als Pfand verlangt werden?

Außerdem gehen wir zum Schluss auch noch auf die Frage ein, ob und unter welchen Bedingungen eine Ablichtung als Kopie oder Scan des Personalausweises erlaubt ist und welche Vorsichtsmaßnahmen Sie treffen sollten.

Beschäftigtendatenschutz Teil 1 - "Der Bewerbungsprozess"

Ein einheitliches Arbeitsrecht existiert nicht. Die Regelungen sind verstreut über das Einkommensteuergesetz, das vierte Sozialgesetzbuch und letztlich auch über die EU-DSGVO und BDSG-neu. Hier folgen einige Tipps für Arbeitgeber aus dem Datenschutzrecht. Teil 1 dieser Serie beschäftigt sich mit dem Fragerecht im Bewerbungsprozess.

Beschäftigte nach § 26 Abs. 8 BDSG-neu

Das neuen Bundesdatenschutzgesetz hat den Begriff Beschäftigte in § 26 Abs. 8 sehr weit gefasst und gewährleistet somit einen umfassenden Schutz - auch für alle Bewerberinnen und Bewerber.

Der Bewerbungsprozess steckt voller Tücken.

Was muss der Arbeitgeber beachten?

Im Bewerbungsprozess treffen Bewerber und der neue potentielle Arbeitgeber zum ersten Mal aufeinander. Der Bewerber versucht sich mit den Bewerbungsunterlagen von der besten Seite zu zeigen und der Arbeitgeber strebt an, möglichst viele Informationen zu bekommen. Doch bereits hier gibt es einiges zu beachten...

Datenschutz-Praxis: Ausgeschiedene Mitarbeiter als Adressaten von E-Mails – was tun mit den Mails?

Hier mal wieder ein typischer Fall aus unserer Datenschutz-Praxis: Datenschutz im "Offboarding-Prozess". Ein Mitarbeiter scheidet also aus dem Unternehmen aus. Kann der Arbeitgeber den E-Mail-Account dieses Mitarbeiters einfach schließen? Können die E-Mails an einen Kollegen weitergeleitet werden? Wie ist mit E-Mails umzugehen, die ausdrücklich an ihn gerichtet sind? Das Bayerische Landesamt für Datenschutzaufsicht bietet in seinem Tätigkeitsbericht für 2015/2016 einige Orientierungshilfen für diese Fragen.

Existieren schon Regelungen zum Offboarding?

Vorab sei auf Folgendes hingewiesen: Falls zu diesem Thema eine Betriebsvereinbarung / Verfahrensanweisung / Arbeitsanweisung existiert, ist alles klar. Es gelten die darin getroffenen Regelungen. Manchmal treffen das Unternehmen und der ausscheidende Mitarbeiter auch eine ausdrückliche Vereinbarung bezüglich der E-Mail-Accounts und der nach dem Ausscheiden eingehenden E-Mails, etwa in einem Aufhebungsvertrag. Schön für alle Beteiligten! Denn das schafft Klarheit.

Eingehende E-Mails für ausgeschiedene Mitarbeiter - ein Datenschutz-Problem

Und wenn nicht?

Aber was ist, wenn es an Beidem fehlt? Vielleicht lässt sich noch über eine einvernehmliche Regelung reden. Aber manchmal erscheint das kaum vorstellbar, etwa nach einer fristlosen Kündigung. In solchen Fällen hilft die Meinung der Datenschutzaufsicht weiter.

Websites: Mehr als die Datenschutzerklärung

Sind Sie mit dem Webbrowser im Internet unterwegs, können Ihre personenbezogenen Daten schnell in Gefahr geraten. Viele Webseiten haben Datenschutzmängel. Dabei ist eine unvollständige Datenschutzerklärung nur ein Beispiel.

Datenschutz bei Webseiten oftmals mangelhaft

Wer glaubt, weniger prominente Webauftritte sind in Datenschutzfragen ein Risiko, bekannte Webseiten dagegen nicht, der irrt sich. Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat vor einigen Monaten Websites mit sehr großer Reichweite untersucht. Obwohl sich einige der prominentesten Internetdienste unter den Geprüften befanden, fiel das Ergebnis aus Datenschutzsicht ernüchternd aus: Im Umgang mit Passwörtern und Tracking-Werkzeugen erkannte das Landesamt zahlreiche Mängel.

Websites: Mehr als die Datenschutzerklärung

Ähnliche Resultate erhielt auch der Europäische Datenschutzbeauftragte (EDPS). Seine Prüfungen bei den Websites der wichtigsten EU-Organe und -Einrichtungen ergab, dass bei sieben von zehn geprüften Websites Datenschutz- und Datensicherheits-probleme aufgetreten sind. Eines der Probleme war das Tracking durch Dritte ohne vorherige Zustimmung. Weitere Schwachstellen betrafen die Verwendung von Trackern für Webanalysen ohne vorherige Zustimmung der Besucher und die Übermittlung personenbezogener Daten, die die Webseitenbetreiber über Webformulare mithilfe unverschlüsselter Verbindungen erfassten.

Einwilligung von Kunden in mangelhafte Datensicherheit möglich?

Datenschutz macht Arbeit. Das gilt besonders für Maßnahmen der Datensicherheit, wie etwa die Verschlüsselung von E-Mails. Kann man sich solche Mühen sparen, wenn ein Kunde damit ausdrücklich einverstanden ist?

Datensicherheit verlangt Differenzierung

Gleich zu Beginn eine Klarstellung: Nein, es steht nirgends in der EU-Datenschutzgrundverordnung (EU-DSGVO), dass E-Mails immer verschlüsselt werden müssten. Aber die EU-DSGVO verlangt, dass man sich Gedanken darüber macht, wann dies nötig ist. Wir sprechen hier von einer "risikobasierten Vorgehensweise". Die sehr umfangreiche Regelung über die Sicherheit der Verarbeitung in Art. 32 EU-DSGVO zwingt Unternehmen dazu, sich zu entscheiden. Ist das Risiko für den Datenschutz so hoch, dass eine Verschlüsselung notwendig ist?Oder ist das nicht der Fall?

Einwilligung von Kunden in mangelhafte Datensicherheit möglich?

Der Zwang zur Entscheidung gilt auch für viele andere Fragen rund um die Sicherheit der Verarbeitung. So ist etwa eine Entscheidung nötig, wie intensiv eine Zugangskontrolle sein muss. In einem großen Rechenzentrum wird sie sicher anders aussehen als in einer Werbeagentur mit einigen wenigen Kundenlisten. Oder nehmen Sie nur ein Krankenhaus als Beispiel...

Datenschutz-Verstöße: Geldbußen gegen Mitarbeiter?

Geldbußen gegen Mitarbeiter von Unternehmen sieht die EU-DSGVO nicht vor. So liest man in der letzten Zeit häufig. Doch stimmt das überhaupt? Die ehrliche Antwort auf diese Frage lautet: Meist schon, aber keineswegs immer!

Datenschutz-Verstoß eines Mitarbeiters

Ein Mitarbeiter übermittelt Daten, obwohl die Datenschutz-Grundverordnung (EU-DSGVO) das nicht zulässt. Der Grund: Er kennt sich mit den Vorschriften nicht richtig aus und hat sie falsch interpretiert. Eigentlich hätte ihm dies nicht passieren dürfen, denn er hat eine betriebsinterne Datenschutz-Schulung besucht. Aber wie es so geht: Gerade als diese Frage behandelt wurde, war er gedanklich woanders.

Datenschutz-Verstöße: Geldbußen gegen Mitarbeiter?

Das ist ein typischer Fall von Fahrlässigkeit. Dass er bloß fahrlässig gehandelt hat, würde dem Mitarbeiter für sich allein allerdings nichts helfen. Denn die Regelung zur Verhängung von Geldbußen in Art. 83 EU-DSGVO kennt auch Geldbußen für fahrlässiges Handeln.

Die DSGVO-Pannen-Show

Auf dem diesjährigen Chaos Communication Camp präsentierte der LfDI BW die "DSGVO-Pannen-Show", mit einem Quiz und vielen Fallbeispielen.

"Der Chaos Computer Club e. V. (CCC) ist die größte europäische Hackervereinigung und seit über dreißig Jahren Vermittler im Spannungsfeld technischer und sozialer Entwicklungen" heißt es auf der eigenen Website. Der CCC organisiert alle vier Jahre das Chaos Communication Camp, welches vom 21. - 25. August 2019 bei Berlin stattfand. 

Der LfDI testet das Wissen der Besucher!

EU-DSGVO - Entsorgung von Datenträgern - Darauf sollten Sie achten!

Fehler bei der Entsorgung von Datenträgern gehören unverändert zu den häufigsten Datenpannen. Eine überraschend große Zahl einschlägiger Verletzungsmeldungen an die Aufsichtsbehörden für den Datenschutz zeigt: Die Aufmerksamkeit bei der Entsorgung von Datenträgern darf nicht nachlassen!

Papier als klassischer Datenträger

Klassischer „Datenträger“ ist Papier. Büros ganz ohne personenbezogene Daten auf Papier sind nach wie vor selten. Fast jeder druckt gelegentlich eine E-Mail aus. Und Notizzettel aller Art finden sich auch fast überall. All dies landet im Papierkorb. Hoffentlich im richtigen. Denn sollte zum Beispiel für Kunststoffabfälle auch noch ein „gelber Sack“ bereitstehen, findet immer wieder so mancher Zettel seinen Weg unzulässigerweise dorthin.

Altbestände

Oft gibt es noch „Altbestände“ in Form von Ordnern voller Papier oder auch in Form von Schachteln voller loser Blätter.

EU-DSGVO - Entsorgung von Datenträgern - Darauf sollten Sie achten!

Das Verzeichnis von Verarbeitungstätigkeiten (VvV)

„Verzeichnis“ – das hört sich nach Bürokratie und Arbeit an. Und was bitte bedeutet der seltsame Begriff „Verarbeitungstätigkeiten“? In jedem Fall sollten Sie wissen: Unternehmen droht Ärger, wenn sie kein solches Verzeichnis von Verarbeitungstätigkeiten (VvV) haben. Also helfen Sie mit, es zu erstellen, wenn man Sie darum bittet.

Neue Regeln seit 25. Mai 2018

Unternehmen müssen seit 25. Mai 2018 die Europäische Datenschutz-Grundverordnung (EU-DSGVO) beachten. Sie ist ein EU-Gesetz. Das hat sich herumgesprochen. Weniger bekannt ist den meisten, dass die EU-DSGVO neue Formalien mit sich bringt. Kernstück ist dabei das „Verzeichnis von Verarbeitungstätigkeiten“ - kurz VvV.

Ohne Stress zum Verzeichnis von Verarbeitungstätigkeiten (VvV) - mit Unterstützung durch yourIT

Irisches Datentransferweltende: Schrems II, der EuGH und die (Un)Freiheiten der Aufsichtsbehörden

Irisches Datentransferweltende: Schrems II, der EuGH und die (Un)Freiheiten der Aufsichtsbehörden

Wir haben uns gestern näher mit dem „Schrems II“-Fall vor dem EuGH beschäftigt. Hintergrund war die Anhörung in Luxemburg am 09.07.2019. Offizielles Ziel war, rauszufinden, ob das Verfahren unsere Kunden betrifft, inoffiziell wollten wir nur eine Bestätigung, dass das uns nicht betrifft. Hat leider nicht ganz geklappt. 


Kurz zum Fall: Die irische Aufsichtsbehörde lässt beim EuGH anfragen (nachdem der Datenschutzaktivist Max Schrems gegen Facebook in Irland vorgegangen ist und ein nationales Gericht den Fall an den EuGH verwiesen hat), wie sie die Übertragung von personenbezogene Daten an Facebook USA bewerten soll, wenn diese Übertragung auf dem Privacy Shield sowie Standardvertragsklauseln basiert. 

Aus Sicht des Datenschutzes ist die Irische See manchmal kleiner als gedacht

Bundestag verabschiedet Anpassung zum BDSG-neu

Die Grenze für die Pflicht zur Benennung eines Datenschutzbeauftragten wird auf 20 Personen heraufgesetzt - oder wie der Gesetzgeber neue Bußgeldfallen stellt.

Der Bundestag hat am Donnerstag, 27. Juni 2019 den Entwurf der Bundesregierung für ein zweites Gesetz zur Anpassung des Datenschutzrechts an die EU-Verordnung 2016 / 679 beschlossen. Am meisten Aufmerksamkeit hat dabei Veränderung der Benennungspflicht bekommen.

Das zweites Datenschutz-Anpassungs- und Umsetzungsgesetz (2. DSAnpUG-EU) bietet aber noch mehr Gesprächsstoff. Z.B. das 'Bundesamt für Sicherheit in der Informationstechnik' (BSI) – „die mit dem IT-Grundschutz“ - wird vor Betroffenenanfragen geschützt durch Einschränkung der Auskunftsrechte. Es gibt berechtigte Zweifel, ob dies sinnvoll ist, wenn nun DIE Behörde für Informationssicherheit weniger transparent arbeiten darf - vertrauensbildende Maßnahmen sehen jedenfalls anders aus. 

Schön, wenn wenigstens für die Bürokratie die Bürokratie abgebaut wird. Wie aber ist nun zu bewerten, dass jetzt nur noch Unternehmen, in denen mehr als 20, statt bisher 10 Personen mit der Verarbeitung personenbezogener Daten beschäftigt sind, verpflichtend einen Datenschutzbeauftragen bestellen müssen?

Zukünftige Pflicht zu Benennung eines DSB ab 20 Mitarbeitern - Wann es sich lohn, durchzählen

Achtung! Gefälschte E-Mails von IHK-Studien.de im Umlauf

Wieder sind gefälschte E-Mails im Umlauf und dabei besser getarnt denn je. Daher gilt es: Gehen Sie behutsam mit empfangenen E-Mails um. Öffnen Sie die Anhänge nicht wahllos und klicken Sie nicht auf die Links.

Falls Sie heute oder in den nächsten Tagen und Wochen eine E-Mail der IHK-Studien erhalten, welche mehrere Links erhält, dann klicken Sie bitte keinen hiervon an. Informieren Sie sofort Ihren IT-Administrator oder Ihr zuständiges IT-Systemhaus.

Gefälschte E-Mails sind besser getarnt denn je!

Der Aufbau der E-Mail entspricht diesem Schema:
_____________________________________________
Von: Andre Schneider <schneider@ihk-studien.de>

Gesendet: Montag, 24.06.2019 09:01
An: Musterfirma <info@musterfirma.de>
Betreff: [MASSMAIL]Re: Angebotsanfrage Studie New Work Arbeitswelt

EU-DSGVO - So vermeiden Sie Datenpannen durch Fehlversendungen per Post und per E-Mail

Eine Mail mit personenbezogenen Daten geht per CC versehentlich an Adressaten, die sie gar nicht erhalten sollten. Personalunterlagen werden per Post an den falschen Herrn Meier geschickt. Alles nicht so schlimm? Eine kurze freundliche Entschuldigung, und alles ist wieder gut? So einfach ist es leider nicht!

EU-DSGVO und die Pflicht, Datenpannen zu melden

Die EU-Datenschutzgrundverordnung (EU-DSGVO) enthält eine Verpflichtung, Verletzungen des Schutzes personenbezogener Daten an die zuständige Aufsichtsbehörde für den Datenschutz zu melden. Dies muss im Normalfall binnen 72 Stunden geschehen. Eine Ausnahme hiervon gilt nur dann, wenn voraussichtlich nicht mit Risiken für die betroffenen Personen zu rechnen ist. So regelt es Art. 33 Abs. 1 EU-DSGVO.

EU-DSGVO - So vermeiden Sie Datenpannen durch Fehlversendungen per Post und per E-Mail

Jedes Unternehmen muss sich so organisieren, dass es Datenpannen tatsächlich bemerkt. Anders gesagt: Es muss seine Mitarbeiterinnen und Mitarbeiter dazu verpflichten, Datenpannen auch zu melden.

Jetzt ESF-Fördermittel für unsere Datenschutz-Beratung nutzen

Bereits seit 2013 werden unsere Beratungsangebote für Datenschutz, IT- bzw. Informationssicherheit, Digitalisierung und Organisation durch den Europäischen Sozialfonds (ESF) gefördert. Allein im Jahr 2018 haben wir über 75 geförderte Beratungen durchgeführt - vor allem im Bereich Datenschutz aufgrund der Umstellung auf die EU-DSGVO. Mittlerweile haben wir so mehrere hunderttausend Euro Fördermittel in den deutschen Mittelstand zurückgeholt.

Ein Unternehmen zu führen kann ganz schön anstrengend sein: Datenschutz, IT-Sicherheit, Digitalisierung, Organisation, EDV, neue Technologien oder Innovation – als Unternehmer müssen Sie sich mit vielen Themen vertraut machen. Wer dabei nur auf „learning by doing“ setzt, zahlt nicht selten hohes Lehrgeld. Schlimmer noch: Informationsdefizite sind die zweithäufigste Ursache für das Aus von Unternehmen.

Wir bieten Ihnen Unterstützung durch unsere Beratungsleistungen an. Unser Ziel ist es, die Wettbewerbsfähigkeit Ihres Unternehmens im globalen Markt zu erhalten und zu erhöhen.

BAFA-ESF-Beraterprofil-Thomas-Ströbele-yourIT

Das Bundesamt für Wirtschaft und Ausfuhrkontrolle (BAFA) betreut im Auftrag des Bundesministeriums für Wirtschaft und Technologie (BMWi) die Förderung von Unternehmensberatungen für kleine und mittlere Unternehme sowie Freie Berufe.

Nicht vergessen: Mitarbeiterschulung zum Datenschutz

Neben den vielen Datenschutzregeln gibt es einen Faktor der nicht zu vergessen ist: Der Mensch. Immerhin ist nichts normaler, als menschliche Fehlbarkeit. Aus diesem Grund sollten Unternehmen die Mitarbeiter zum Datenschutz schulen. Wir bieten hier Unterstützung.

Update: Im Rahmen der yourIT Academy bieten wir fortan u.a. Datenschutzschulungen an. Alle Schulungen finden Sie hier, Informationen hier.

Viele Unternehmen haben sich insbesondere in den letzten Jahren mit dem Datenschutz beschäftigt. Es wurden neue Betriebsvereinbarungen/Richtlinien, Regelungen, Anweisungen, Handbücher, Vorgaben und und und ... geschrieben. An all dies hat sich der Mitarbeiter - neben seiner hauptsächlichen Arbeit - zu halten.

Mit der Datenschutzschulung holen wir die Mitarbeiter an Board

Und seien wir mal ehrlich, einmal gelesen, gewinnen im hektischen Arbeitsalltag die Richtlinien zur EU-DSGVO leider nicht an Bedeutung. Deshalb empfiehlt es sich, die Mitarbeiter zum Thema Datenschutz zu schulen.

Lernen Sie unser Datenschutz-Team kennen!

Bei Fragen zu Datenschutz und Informationssicherheit bietet sich eine Kontaktaufnahme zu Experten an.

Was viele Unternehmen aus der Region (noch) nicht wissen: Direkt an der Bundesstraße B27 zwischen Balingen und Engstlatt sitzt seit 2019 das Deutsche Zentrums für Datenschutz & Informationssicherheit (DZDI) - als Teil der yourIT Group. 30 Mitarbeiter bieten hier technische, organisatorische und juristische Datenschutz- und Informationssicherheitsberatung aus regionaler Herstellung für die Region und weit darüber hinaus. Ziel: Die Digitalisierung kleiner und mittelständischer Unternehmen (sog. KMU).

Egal ob Sie bereits Erfahrung mit anderen externen Datenschutz-Beauftragten haben oder nicht. Ob Sie bisher zufrieden sind oder an einem Wechsel des DSB interessiert sind. Es lohnt sich immer, sich mit uns zu unterhalten.

Unser yourIT-Datenschutz-Team ist breit aufgestellt. Hier treffen Sie u.a. auf Kaufleute, Techniker, Juristen, Informationssicherheitsbeauftragte, Hacker und Fördermittel-Experten.

Übrigens: Neben Beratern für Datenschutz und Informationssicherheit finden Sie im Hause yourIT auch die richtigen Gesprächspartner für eine breite Palette von Digitalisierungsthemen.

Wir sind zwar deutschlandweit im Einsatz, aber natürlich liegen uns regionale Unternehmen besonders am Herzen.

Lernen Sie jetzt das yourIT-Datenschutz-Team kennen!

Es gibt viele Möglichkeiten, unser Datenschutz-Team kennen zu lernen:

LfDI-BW plant fast 20 mal mehr Datenschutz-Kontrollen im Ländle

Der Baden-Württembergische Landesdatenschützer Stefan Brink plant einer Meldung der Stuttgarter Zeitung (StZ) zufolge, die Zahl der Kontrollen im Ländle durch seine Behörde massiv aufzustocken. Da nicht genügend Personal zur Verfügung steht, soll dafür die Zahl der Beratungen für kleine Unternehmen und Vereine zurückgefahren werden.

Der Landesdatenschutz Baden-Württemberg will 2019 viel mehr kontrollieren als bisher

Kurswechsel in 2019 - Kontrolle geht jetzt vor Beratung

Das Landesamt für Datenschutz und Informationssicherheit Baden-Württemberg (kurz: LfDI-BW) ist eine Landesbehörde mit derzeit nur etwa 60 Mitarbeitern. Von diesen wurden im vergangenen Jahr gerade mal 13 Kontrollen durchgeführt. Stattdessen wurde großer Wert auf den Beratungsauftrag des LfDI-BW gelegt.

Das soll sich nun ändern.

Bis zu 50% EU-Fördermittel für Datenschutz-Ausbildung in Baden-Württemberg

Seit Anfang 2018 arbeiten wir im Bereich Datenschutz-Schulungen mit unserem Partner Verein zur Förderung der Berufsbildung e. V., kurz VFB, zusammen. Der VFB ist die Bildungseinrichtung der IHK-Bezirkskammern Ludwigsburg und Böblingen und bringt 35 Jahre Erfahrung in der beruflichen Aus- und Weiterbildung mit. Die Partnerschaft ohne viel Blabla: der VFB organisiert, yourIT schult. Ab können unsere Datenschutz-Schulungen auch mit EU-Fördermitteln mit bis zu 50% der Kosten gefördert.

Bis zu 50% EU-Fördermittel auf Datenschutz-Schulungen von yourIT

yourIT setzt bereits seit 2013 sehr erfolgreich ESF-Fördermittel ein, um mittelständischen Unternehmen die Datenschutz-Initialprozesse Analyse und (Erst-) Beratung (kurz: Phase A+B) attraktiv anzubieten (weitere Infos hierzu unter https://www.mitgroup.eu) . So haben wir in den letzten Jahren über 200 geförderte Beratungen im Mittelstand durchgeführt. Der Rückfluß an Fördermitteln an die Unternehmen betrug weit über 300.000 EUR.

Videoüberwachung nach EU-DSGVO

Mit der Videoüberwachung wird eine vermeintlich schnelle und einfache Lösung geboten, um Sicherheitsprobleme zu identifizieren und zu verhindern. Doch die Videoüberwachung muss nach den Grundsätzen der EU-DSGVO eingerichtet werden.

Mit der Videoüberwachung wird eine vermeintlich schnelle und einfache Lösung geboten, um Sicherheitsprobleme zu identifizieren und zu verhindern. Gebäude können so auch außerhalb der Geschäfts-/Arbeitszeiten überwacht werden und das, ohne den Personalaufwand zu erhöhen. Dennoch gilt zu beachten, dass Videoüberwachung in das Persönlichkeitsrecht der aufgezeichneten Person eingreift. Aus diesem Grund bedarf es einer genaueren Betrachtung.

Ist die Videoüberwachung wirklich die vermeintlich schnelle und einfache Lösung?

Jeder Mensch hat das Recht, sich in der Öffentlichkeit zu bewegen, ohne dass sein Verhalten permanent mit Hilfe von Kameras beobachtet oder aufgezeichnet wird.

Einschränken, Löschen oder Vernichten - Kennen Sie den Unterschied?

Reicht es, Daten zu löschen, oder muss man gleich das ganze Speichermedium vernichten? Was hat es mit der Einschränkung der Verarbeitung auf sich? Verschaffen Sie sich den Durchblick!

Das Problem mit dem Löschen

Warum soll ich die Daten denn löschen, wir haben doch genug Speicherplatz, und vielleicht kann man die Daten später nochmals gebrauchen, so denken Sie vielleicht manchmal, wenn Sie Daten früherer Kunden löschen sollen. Die Antwort ist schnell gegeben: Die früheren Kunden haben ein Recht darauf, so will es die EU-Datenschutzgrundverordnung (EU-DSGVO).

Einschränken, Löschen oder Vernichten - Kennen Sie den Unterschied?

Das Löschen ist aber auch aus Unternehmenssicht sinnvoll: Gelöschte Daten lassen sich nicht mehr stehlen und missbrauchen. Datenlöschung ist Datenschutz, spart Speicherkosten und vereinfacht die Datenverwaltung. Wichtig ist es allerdings, dass die Daten auch sicher und vollständig gelöscht werden.

Gemeinsame Verantwortung von Unternehmen im Datenschutz - Was Sie aus den EuGH-Fällen lernen können

Manchmal wirken mehrere Unternehmen bei der Verarbeitung von personenbezogenen Daten zusammen. Klassisches Beispiel: Um einen Vertrag zu erfüllen, werden Subunternehmer eingeschaltet. Wer trägt dann datenschutzrechtlich gesehen die Verantwortung für die Daten? Neue Entscheidungen des Europäischen Gerichtshofs (EuGH) führen dazu, dass Unternehmen hier genauer hinschauen müssen. Dabei stellen sich Fragen, die auf den ersten Blick merkwürdig wirken. Sie richten sich an die Fachabteilungen in den Unternehmen. Deshalb sollten Sie darauf vorbereitet sein.

Eine absurde Ausgangslage?

Ein Unternehmen hat auf bestimmte personenbezogene Daten überhaupt keinen Zugriff. Dennoch soll es datenschutzrechtlich dafür verantwortlich sein, was ein anderes Unternehmen mit diesen Daten tut. Sie meinen, das könne überhaupt nicht sein? Dann unterschätzen Sie die Kreativität des EuGH im Hinblich auf Art. 26 EU-DSGVO "Gemeinsam Verantwortliche" oder auch "Joint Controllership".

Gemeinsame Verantwortung von Unternehmen im Datenschutz - Was Sie aus den EuGH-Fällen lernen können

Denn genau so hat er gleich in zwei Fällen entschieden. Beim ersten Fall ging es um Facebook, beim zweiten um die Zeugen Jehovas. Aus beiden Fällen lassen sich allgemeine Regeln ableiten, die in den Alltag zahlreicher Unternehmen hineinwirken.

Weiterleitung von E-Mails „nach Hause“ - Darf man das?

Viele Arbeitnehmer tun es gelegentlich: Sie leiten eine dienstliche Mail nach Hause auf den privaten E-Mail-Account um. Alles kein Problem? Es kommt darauf an! Nicht alles, was einem Arbeitnehmer vernünftig erscheint, ist es auch aus der Sicht der Gerichte.

Vernünftige Gründe

Die Gründe für das Weiterleiten einer E-Mail sind unterschiedlich. Ein Beispiel: Tags-über hat die Zeit nicht gereicht, um eine wichtige, aber ziemlich umfangreiche Mail zu lesen. Also möchte man das abends zuhause nachholen. Ein weiteres Beispiel: Eigentlich möchte man am nächsten Tag im Homeoffice (auch: Home-Office) das dienstliche mobile Gerät nutzen. Gerade jetzt „spinnt“ es aber. Also weicht man mit den wichtigsten E-Mail-Nachrichten sozusagen auf den privaten PC aus.

Weiterleitung von Mails nach Hause - Darf man das?

Ein problematischer Fall

Diese Argumente hören sich vernünftig an. Doch dass man auch rasch in ein problematisches Licht geraten kann, musste ein Arbeitnehmer in einem Fall erfahren, den das Landesarbeitsgericht Berlin-Brandenburg am 16. Mai 2017 entschieden hat.

Einwilligung nach EU-DSGVO - Kurzpapier Nr. 20 der DSK veröffentlicht

Die Datenschutzkonferenz (DSK) veröffentlicht seit Juli 2017 Auslegungshilfen zur EU-DSGVO. In diesen Kurzpapieren werden unter den deutschen Aufsichtsbehörden abgestimmte einheitliche Sichtweisen zu verschiedenen Kernthemen der EU-DSGVO wiedergegeben. Neu ist das Kurzpapier Nr. 20 zum Thema "Einwilligung".

Nach Art. 6 Abs. 1 EU-DSGVO ist die Einwilligung die zentrale Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten und wird in Art. 2 Abs. 11 EU-DSGVO näher definiert.

Abgabe der Einwilligungserklärung

Die Einwilligung muss nicht zwingend schriftlich abgegeben werden, auch die elektronische oder mündliche Abgabe der Einwilligung ist datenschutzkonform. Hierbei zu beachten ist die Nachweispflicht. Nach Art. 7 Abs. 1 EU-DSGVO steht der Verantwortliche in der Pflicht nachzuweisen, dass die betroffene Person in die Verarbeitung der personenbezogenen Daten eingewilligt hat. Diese Pflicht trifft den Verantwortlichen nicht nur dann, wenn das Vorliegen der Einwilligung bestritten wird, sondern bereits bei Kontrollen der Aufsichtsbehörden muss der Nachweis über die erteilte Einwilligung vorliegen.

Einwilligung nach EU-DSGVO? Nur dann, wenn Sie das Häkchen selbst setzen!

Meldung von Datenpannen nach EU-DSGVO (2)

Die EU-DSGVO hat die Meldepflicht für Datenpannen wesentlich verschärft. Was geht das den „normalen Mitarbeiter“ an? Deutlich mehr, als viele glauben!

Der Klassiker: Versendungspannen beim E-Mail-Versand

Versendungspannen gehören zu den häufigsten Datenpannen. Einer der Klassiker: Eine E-Mail soll an eine größere Zahl von Adressaten gehen. Diese wissen nichts voneinander - und das soll eigentlich auch so bleiben. Doch statt im BCC-Feld landet die Adressatenliste versehentlich im CC-Feld. Die Folge: Jeder Adressat sieht die Mailadressen aller anderen Adressaten!

Versendungspannen sind schnell passiert - Was verlangt die EU-DSGVO?

Neuer Bundesdatenschutzbeauftragter äußert sich zu WhatsApp

Seit dem 01. Januar 2019 ist mit Ulrich Kelber erstmals ein Informatiker der Bundesbeauftragte für den Datenschutz und die Informationssicherheit – er folgt auf Andrea Voßhoff. In einem Interview äußert sich Kelber zum Thema WhatsApp.

Neuer Bundesdatenschutzbeauftragter

Ende November wurde der SPD-Abgeordnete Ulrich Kelber zum neuen Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) gewählt. Kelber wurde zum Nachfolger von Andrea Voßhoff (CDU). Das Amt trat Kelber zum 01. Januar 2019 an und legte dafür sein Bundestagsmandat nieder.

Neuer Bundesdatenschutzbeauftragter äußert sich zu WhatsApp

Klare Aussage gegen den Messenger-Dienst WhatsApp

In einem Interview mit Legal Tribune Online (LTO) stellt Ulrich Kelber dar, ...

Facebook, Whatsapp und Co. - So regeln Sie Ihren digitalen Nachlass

Nur 20% aller Internetnutzer haben irgendwie geregelt, was nach ihrem Tod mit den Accounts bei Facebook, Whatsapp & Co. geschehen soll. Bei den Internetnutzern der Generation 65 plus sind es – man mag es kaum glauben – sogar nur 4%! Das ist das Ergebnis einer repräsentativen Umfrage des Digitalverbands Bitkom. Alles nicht so schlimm? Dieser lockere Spruch trägt so lange, bis es ernst wird.

Digitales Leben

Viele Menschen leben heute regelrecht digital. Die Bankverbindung, der Stromvertrag – alles läuft über das Internet, schriftliche Unterlagen existieren überhaupt keine mehr. Bilder sind in einer Cloud abgelegt oder auf einem Smartphone, beides natürlich mit Passwort gesichert. Der gesamte Austausch mit Freunden und Bekannten läuft über Facebook, Threema usw.

Facebook, Whatsapp und Co. - So regeln Sie Ihren digitalen Nachlass

E-Mail-Account am Arbeitsplatz

Und was geschieht im Todesfall?

Einwilligung - Was fordert die EU-DSGVO?

Ging es Ihnen auch so? Um den Umstellungstermin auf die EU-DSGVO am 25.05.2018 wurden wir alle zugemüllt mit angeblich zwingend erforderlichen datenschutzrechtlichen Einwilligungen. „Wenn man Daten von Kunden oder Mitarbeitern verarbeiten will, braucht man jetzt immer erst einmal eine Einwilligung!“ So ist seither oft zu hören. Aber stimmt das wirklich?

Wunderliche Erlebnisse

Erlebnisse dieser Art waren in den letzten Monaten alltäglich:
• Ein Mann geht zum selben Arzt wie immer. Jetzt soll er plötzlich eine „Einverständniserklärung in die Datenverarbeitung“ unterschreiben. Sonst könne man ihn leider nicht mehr behandeln, erklärt ihm die Arzthelferin.
• Eine Frau will wie gewohnt im Herbst in der Autowerkstatt die Reifen wechseln und bis zum nächsten Frühjahr lagern lassen. Auf einmal soll das nur noch möglich sein, wenn sie eine „Einwilligung in die Datenverarbeitung“ unterschreibt.

Datenschutzrechtliche Einwilligung nach EU-DSGVO - Wie geht das?

Beides ergibt keinen Sinn. Weshalb?