Archive: News

100. Datenschutzkonferenz tagte erfolgreich

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz – DSK) hat sich am 25. und 26. November 2020 per Video zu ihrer 100. Sitzung seit ihrem Bestehen getroffen (siehe Pressemitteilung der DSK vom 19. November 2020).

Die Jubiläumssitzung fand unter dem turnusgemäßen Vorsitz des Sächsischen Datenschutzbeauftragten Andreas Schurig statt. Die Konferenz befasste sich u. a. mit der Frage des datenschutzkonformen Einsatzes von Windows 10 (Version „Enterprise“), mit der durch die deutsche EU-Ratspräsidentschaft ergriffenen Initiative zur Aufweichung von Ende-zu-Ende-Verschlüsselungen zugunsten von Sicherheitsbehörden und Nachrichtendiensten, mit der gesetzlichen Ausgestaltung der Telekommunikations-Bestandsdatenauskunft, mit Initiativen zur Zentralisierung der Datenschutz-Aufsicht sowie mit der in Deutschland noch immer ausstehenden Umsetzung der „ePrivacy“-Richtlinie (RL 2002/58/EG).

Lesen Sie mehr unter:
https://www.datenschutzkonferenz-online.de/media/pm/20202711_pm_100_dsk.pdf

Datenschutz im Zusammenhang mit der Befreiung vom Tragen einer Mund-Nasen-Bedeckung

Das Bayerisches Landesamt für Datenschutzaufsicht erreichen zahlreiche Anfragen und Beschwerden im Zusammenhang mit der Befreiung vom Tragen einer Mund-Nasen-Bedeckung. Gemäß § 1 Abs. 2 Infektionsschutzmaßnahmenverordnung (7. BayIfSMV) sind Personen, die glaubhaft machen können, dass ihnen das Tragen einer Mund-Nasen-Bedeckung aufgrund einer Behinderung oder aus gesundheitlichen Gründen nicht möglich oder unzumutbar ist, von der Trageverpflichtung befreit. Die Glaubhaftmachung ist in § 294 ZPO näher geregelt. Hiernach ist festzustellen, dass die Vorschrift eine Ausnahmeregelung darstellt, die es erlaubt, einen Tatsachennachweis zu erbringen, ohne dass dazu die volle Überzeugung von der Wahrheit einer Tatsache erreicht werden muss. Ausreichend ist vielmehr eine hinreichende bzw. überwiegende Wahrscheinlichkeit.

Die Stelle, die für die Überprüfung der Befreiung zuständig ist (also beispielsweise der Gastwirt, die Filialleitung im Einzelhandel, etc.) darf die dafür erforderlichen Daten erheben. (Quelle: BayLDA)

Lesen Sie mehr unter:
https://www.lda.bayern.de/media/veroeffentlichungen/Befreiung_MNB.pdf

Europäischer Datenschutzausschuss veröffentlicht ein Papier mit Empfehlungen zu „zusätzlichen Maßnahmen“ für Datenübermittlungen in Drittländer

Der Europäische Datenschutzausschuss (EDSA) hat am 11.11.2020 ein Papier zu sog. zusätzlichen Maßnahmen veröffentlicht, die Unternehmen und andere Datenexporteure ggf. ergreifen müssen, wenn sie personenbezogene Daten in Drittländer übermitteln.

Anlass ist das Urteil des Europäischen Gerichtshofs (EuGH) in vom 16.07.2020 („Schrems II“), in dem der EuGH betont hat, dass Datenexporteure, die personenbezogene Daten in Drittländer auf der Grundlage von sog. Garantien nach Art. 46 DSGVO (z.B. auf Grundlage von Standarddatenschutzklauseln) übermitteln möchten, die Pflicht haben zu prüfen, ob die Daten angesichts der Rechtslage im Drittland einen gleichwertigen Schutz mit dem in der EU geltenden Schutz genießen.

Das Papier des EDSA gibt Anwendern wichtige Hinweise dazu, welche Gesichtspunkte sie im Rahmen der von Ihnen vorzunehmenden Prüfung der Rechtslage im Drittland berücksichtigen müssen sowie eine Reihe typischer Szenarien („Use Cases“) Hinweise dazu, inwieweit es möglich ist, überhaupt mit Hilfe zusätzlicher Maßnahmen das geforderte Schutzniveau zu erreichen, und inwieweit dies ggf. für bestimmte Fallgruppen nicht möglich ist.

Unternehmen und andere Datenexporteuren ist nachdrücklich zu raten, die Ausführungen des EDSA sorgfältig zu lesen. Sie haben – wie der EuGH im o.g. Urteil betont hat – die Pflicht, vor einer Übermittlung personenbezogener Daten in ein Drittland zu prüfen, ob das o.g. Schutzniveau gewährleistet ist; ist dies nicht der Fall – und kann ein mit der EU vergleichbarer Schutz auch nicht mit Hilfe „zusätzlicher Maßnahmen“ gewährleistet werden -, darf die Übermittlung nicht stattfinden. (Quelle: BayLDA)

Lesen Sie mehr unter:
https://www.lda.bayern.de/de/thema_supplementary_measures.html

Download der Empfehlungen:
https://edpb.europa.eu/our-work-tools/public-consultations-art-704/2020/recommendations-012020-measures-supplement-transfer_de

Good Practice bei technischen und organisatorischen Maßnahmen

Die DSGVO fordert von Verantwortlichen und Auftragsverarbeitern in Art. 32 DSGVO ein Schutzniveau, das dem Risiko für die Rechte und Freiheiten natürlicher Personen angemessenen ist. Dabei sollen zur Gewährleistung der Sicherheit der insbesondere die Risiken berücksichtigt werden, die aus einer Verletzung der Verfügbarkeit, Vertraulichkeit und Integrität der personenbezogenen Daten, der an deren Verarbeitung beteiligten IT-Systeme, Dienste und Fachprozesse hervorgehen können. Ziel ist es, diese Risiken einzudämmen, indem wirksame technische und organisatorische Maßnahmen (TOM) umgesetzt werden. Da die DSGVO technikneutral formuliert wurde, finden sich darin jedoch keine konkreten Maßnahmen, die Schritt für Schritt abgearbeitet werden können.

Das Bayerisches Landesamt für Datenschutzaufsicht hat nun eine Checkliste für kleine und mittlere Unternehmen veröffentlicht, um eine Auswahl an TOM anzubieten, die bei geläufigen Verarbeitungstätigkeiten innerhalb eines Betriebs verwendet werden können. Es werden häufig in der Praxis adressierte Punkte behandelt wie bauliche Schutzmaßnahmen, Einsatz von mobilen Endgeräten, internetfähige Arbeitsplatzumgebung und Sensibilisierung von Mitarbeitern – dies entspricht einem generischen Ansatz bei IT-gestützten Datenverarbeitungen. (Quelle: BayLDA)

Donwload Checkliste:
https://www.lda.bayern.de/media/checkliste/baylda_checkliste_tom.pdf

Mobiles Arbeiten: Bring your own Device revisited

Viele Beschäftigte arbeiten bereits wieder im Homeoffice, ein Teil davon mit privaten Geräten – und das oft völlig ungeregelt. Mit einer Kombination aus Betriebsvereinbarung und individueller Vereinbarung lässt sich BYOD gut in den Griff bekommen. Das hier vorgestellte Muster einer Betriebsvereinbarung ist eine gute Ausgangsbasis, mit der Unternehmen für klare und sichere Verhältnisse sorgen.

Lesen Sie mehr unter:
https://datenschutz.prodatis.com/downloads/mobiles_arbeiten_byod_revisited.pdf

Download Muster Betriebsvereinbarung:
https://datenschutz.prodatis.com/downloads/Betriebsvereinbarung-BYOD.doc

Pandemie-Bekämpfung und Datenschutz

der Sächsiche Datenschutzbeauftragte stellt auf seiner Webseite Hinweise und Hilfestellungen zur Pandemie-Bekämpfung in Zusammenhang mit dem Datenschutz zur Verfügung.
Insbesondere werden die Aspekte der Kontaktdatenerfassung zur Risikoprävention, der Gestaltung von Homeoffice-Lösungen und Meldepflichten betrachtet.

Lesen Sie mehr unter:
https://www.saechsdsb.de/corona-pandemie

DSK-Kurzpapier zum Beschäftigtendatenschutz wurde überarbeitet

Die Datenschutzkonferenz hat ihr Kurzpapier Nr. 14 zum Thema Beschäftigtendatenschutz überarbeitet und kleinere Änderungen vorgenommen, u.a. wird die Freiwilligkeit einer Einwilligung eines Beschäftigten gegenüber seinem Arbeitgeber etwas genauer beleuchtet. Die Grundaussage, dass eine wirksame Einwilligung in einem Beschäftigungsverhältnis regelmäßig nicht in Betracht kommt bleibt bestehen. Nur in sehr eng gesteckten Rahmen kann eine solche Einwilligung wirksam sein. Hierzu verweist das Kurzpapier auf § 26 Abs. 2 BDSG und erläutert die entsprechenden Kriterien, wann von einer Freiwilligkeit ausgegangen werden kann. Auch der Umgang mit besonderen Kategorien von personenbezogenen Daten gemäß Art. 9 DSGVO erfährt in der Überarbeitung eine kurze Konkretisierung.

Das aktualisierte Kurzpapier finden Sie unter:
https://datenschutz.prodatis.com/downloads/dsk_kpnr_14.pdf

DSK-Kurzpapier zum Beschäftigtendatenschutz wurde überarbeitet

Die Datenschutzkonferenz hat ihr Kurzpapier Nr. 14 zum Thema Beschäftigtendatenschutz überarbeitet und kleinere Änderungen vorgenommen, u.a. wird die Freiwilligkeit einer Einwilligung eines Beschäftigten gegenüber seinem Arbeitgeber etwas genauer beleuchtet. Die Grundaussage, dass eine wirksame Einwilligung in einem Beschäftigungsverhältnis regelmäßig nicht in Betracht kommt bleibt bestehen. Nur in sehr eng gesteckten Rahmen kann eine solche Einwilligung wirksam sein. Hierzu verweist das Kurzpapier auf § 26 Abs. 2 BDSG und erläutert die entsprechenden Kriterien, wann von einer Freiwilligkeit ausgegangen werden kann. Auch der Umgang mit besonderen Kategorien von personenbezogenen Daten gemäß Art. 9 DSGVO erfährt in der Überarbeitung eine kurze Konkretisierung.

Das aktualisierte Kurzpapier finden Sie unter:
https://datenschutz.prodatis.com/downloads/dsk_kpnr_14.pdf

Emotet-Trojaner immer noch gefährlich unterwegs

Aus aktuellem Anlass möchten wir hier auf den immer noch aktiven Emotet-Trojaner aufmerksam machen. Unternehmen oder auch öffentliche Einrichtungen infizieren weiterhin sich mit diesem Trojaner, was zu großen wirtschaftlichen Schäden führt. Das BayLDA hatte dazu Ende letztes Jahr eine Pressemitteilung herausgegeben, die wir Ihnen gern nochmal nachfolgend mitsenden mit der Bitte um Beachtung und Schulung/Sensibilisierung Ihrer Beschäftigten insbesondere zum Öffnen von eingehenden E-Mails.

Lesen Sie mehr unter:
https://www.lda.bayern.de/media/pm/pm2019_15.pdf

Datenschützer sehen Microsoft 365 in Behörden als nicht rechtskonform an

Deutsche Behörden und öffentliche Einrichtungen wie Schulen sollten die Finger von Microsoft 365 lassen. Zu diesem Ergebnis ist laut einer Meldung des Magazins Der Spiegel der Ende 2019 eingesetzte Unterarbeitskreis der Datenschutzkonferenz von Bund und Ländern (DSK) gekommen, der sich speziell mit Microsoft 365 (vormals Office 365) befasst hat. Die Programmsuite, die Produkte wie Word, Excel, PowerPoint, die Kommunikationsanwendung Teams sowie den Cloud-Speicher OneDrive umfasst, lässt sich demnach nicht regelkonform verwenden.

Lesen Sie mehr unter:
https://datenschutz.prodatis.com/downloads/microsoft_365_nicht_rechtskonform.pdf