News Archiv • Seite 12 von 20 • Datenschutzberatung Sachsen in Dresden

Datenschützer setzen sich für „digitale Souveränität“ der öffentlichen Verwaltung ein – Datenschutzkonferenz fasst verschiedene Beschlüsse

Die DSK hat eine Reihe von Handlungsempfehlungen zur digitalen Souveränität verabschiedet und fordert in diesen Bund, Länder und Kommunen dazu auf, langfristig nur Hard- und Software-Produkte einzusetzen, die den Verantwortlichen die ausschließliche und vollständige Kontrolle über die von ihnen genutzte Informationstechnik belässt.

Aus der Sicht der Verantwortlichen in der öffentlichen Verwaltung bedeutet Digitale Souveränität insbesondere, eigenständig entscheiden zu können, wie die in Art. 1 Datenschutz-Grundverordnung (DS-GVO) formulierten Ziele im Einklang mit den in Art. 5 DS-GVO festgelegten Grundsätzen für die Verarbeitung personenbezogener Daten, wie Rechtmäßigkeit, Transparenz, Zweckbindung und Sicherheit der Verarbeitung, umzusetzen sind. Dies erfordert nach Ansicht der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz) Wahlfreiheit und vollständige Kontrolle der Verantwortlichen über die eingesetzten Mittel und Verfahren bei der digitalen Verarbeitung von personenbezogenen Daten, gegebenenfalls unter Hinzuziehung des jeweiligen Auftragsverarbeiters.

Lesen Sie mehr unter:
https://datenschutz.prodatis.com/downloads/top8_entschliessung_digitale_souveraenitaet.pdf

Neue Orientierungshilfe zur Videoüberwachung

Im Fahrstuhl, an der Haustür des Nachbarn, im Supermarkt oder am Arbeitsplatz – Videoüberwachung ist weit verbreitet und kann jeden treffen. Was datenschutzrechtlich zu beachten ist, zeigt die Datenschutzkonferenz (DSK) in ihrer neuen Orientierungshilfe zur Videoüberwachung durch nicht-öffentliche Stellen.

Lesen Sie mehr unter:
https://datenschutz.prodatis.com/downloads/neue_orientierungshilfe_zur_videoueberwachung.pdf

DSK Orientierungshilfe Videoüberwachung durch nicht-öffentliche Stellen:
https://www.datenschutzkonferenz-online.de/media/oh/20200903_oh_v%C3%BC_dsk.pdf

DSGVO: Die Rechenschaftspflicht im Datenschutz

Dokumentation gehört nicht nur im Datenschutz zu den eher unbeliebten Aufgaben. Doch wer seine Datenschutz-Maßnahmen nicht nachweisen kann, erfüllt auch nicht die Rechenschaftspflicht nach der Datenschutz-Grundverordnung (DSGVO). Was gehört alles zur Nachweis- bzw. Rechenschaftspflicht?
Unternehmen und öffentliche Einrichtungen wie Behörden sind dafür verantwortlich, die Vorgaben aus der DSGVO einzuhalten. Und das müssen sie auch nachweisen, so sagt Artikel 5 DSGVO zur Rechenschaftspflicht (Accountability).

Um der Rechenschafts- oder Nachweispflicht nachzukommen, empfehlen die Datenschutz-Aufsichtsbehörden, wesentliche Aktivitäten und Arbeitsergebnisse, die dazu dienen, die DSGVO umzusetzen, festzuhalten.

Lesen Sie mehr unter:
https://datenschutz.prodatis.com/downloads/dsgvo_die_rechenschaftspflicht_im_datenschutz.pdf

Was unter dem Widerspruchsrecht zu verstehen ist

Geht es um die Betroffenenrechte, stehen meist das Recht auf Löschung und das Recht auf Auskunft im Zentrum. Über das Recht auf Widerspruch hingegen hört man wenig. Zu Unrecht, denn es ist ein entscheidendes Instrument, um in eine Datenverarbeitung einzugreifen.

Nach Artikel 21 Datenschutz-Grundverordnung (DSGVO) hat eine betroffene Person aus Gründen, die sich aus ihrer besonderen Situation ergeben, grundsätzlich ein allgemeines Widerspruchsrecht gegen eine an sich rechtmäßige Datenverarbeitung.

Dabei bezieht sich das Recht auf Widerspruch auf die Fälle einer Datenverarbeitung, in denen die Datenverarbeitung auch ohne Einwilligung zulässig ist

Lesen Sie mehr unter:
https://datenschutz.prodatis.com/downloads/was_unter_dem_widerspruchsrecht_zu_verstehen_ist.pdf

Datenverarbeitung von der Bewerbung bis zum Jobwechsel

Nirgends im Unternehmen finden sich so viele personenbezogene Daten wie in der Personalabteilung, auch Human Ressources genannt: Vom Namen über Geburtsdatum, von Adresse, über Gehaltsangaben bis zu Daten, welche unter «sensibel» klassifiziert werden. Letztere sind als besondere Kategorien personenbezogener Daten zu verstehen und in der gesetzlichen Terminologie gemäss Art. 9 DSGVO als spezielle Kategorien von Daten bezeichnet. Dazu gehören Daten, die in die sehr private, wenn nicht intime Sphäre eines Individuums fallen. Etwa Angaben zur Religionszugehörigkeit, zur politischen Meinung oder zur Gesundheit.

Doch was müssen Unternehmen beachten, um «Human Ressources»-Daten (HR-Daten) sicher zu verarbeiten? Was gilt es datenschutzrechtlich zu beachten? Mithilfe des vorliegenden Beitrags soll ein Grundverständnis rund um die Thematik des Datenschutzes im Beschäftigtenverhältnis geschaffen werden.

Lesen Sie mehr unter:
https://datenschutz.prodatis.com/downloads/datenverarbeitung_bewerbung_bis_jobwechsel.pdf

Von Skype bis Zoom: Videokonferenzdienste fallen durch

Die Ampel steht auf rot – für Skype, Teams, Zoom und andere führende Videokonferenzsysteme. Die großen Anbieter fallen bei der aktuellen rechtlichen Kurzprüfung der Berliner Beauftragten für Datenschutz und Informationsfreiheit (BlnBDI) durch.

Die Behörde veröffentlichte am Freitag auf ihrer Webseite die Ergebnisse der Kurzprüfung von Videokonferenzdiensten verschiedener Anbieter.
Die Liste ist als Hilfestellung für Berliner Unternehmen, Behörden, Vereine und Freiberufler gedacht. Trotzdem gilt die Einschätzung der Datenschützerin bundesweit.

Lesen Sie mehr unter:
https://datenschutz.prodatis.com/downloads/Videokonferenzdienste_fallen_durch.pdf

So wird die Videoüberwachung durch die Aufsichtsbehörden kontrolliert

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit in Baden-Württemberg (LfDI BW) hat auf eine Anfrage über die Internetplattform „FragDenStaat“ seinen Fragebogen zur Videoüberwachung veröffentlicht.

Lesen Sie mehr unter:
https://datenschutz.prodatis.com/downloads/Kontrolle_von_Videoueberwachung.pdf

Schadensersatz und Schadenersatzansprüche: Das unterschätzte Risiko der DSGVO

Schadenersatzansprüche sind zunehmend ein Thema. Das Arbeitsgericht Düsseldorf hat z.B. aktuell die Kriterien zur Bußgeldbemessung herangezogen, um einen immateriellen Schaden zu bewerten. Sensibilisieren Sie die Geschäftsleitung auch für dieses Risiko.

Die Datenschutz-Grundverordnung (DSGVO) hält einige Überraschungen bereit. Ein bisher unterschätztes Risiko sind z.B. die Schadenersatzansprüche.

Lesen Sie mehr unter:
https://datenschutz.prodatis.com/downloads/Schadensersatz_DSGVO.pdf

Tätigkeitsbericht des BfDI: Erstes hohes Bußgeld

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Professor Ulrich Kelber, stellte in der letzten Woche den 28. Tätigkeitsbericht zum Datenschutz und den 7. Tätigkeitsbericht zur Informationsfreiheit vor.

Der 28. Tätigkeitsbericht zum Datenschutz 2019 beleuchtet die wichtigsten datenschutzpolitischen Themen, mit denen sich der BfDI 2019 befasst hat, stellt die Beratungen und Kontrollen in Deutschland dar, geht auf die zunehmend engere Zusammenarbeit der europäischen Aufsichtsbehörden zur Umsetzung der DSGVO in der Europäischen Union ein, enthält eine Reihe von Statistiken zur Arbeit des BfDI, gibt eine Übersicht, wie es um die Umsetzung der Empfehlungen des BfDI aus den Vorjahren steht.

Lesen Sie mehr unter:
https://datenschutz.prodatis.com/downloads/Taetigkeitsbericht_des_BfDI.pdf

EuGH fällt Urteil zum EU-US Privacy Shield und den EU-Standardvertragsklauseln

Mit Urteil vom 16.07.2020 (Az: C-311/18) hat sich der Europäische Gerichtshof mit der Zulässigkeit der EU-Standardvertragsklauseln in der Variante „Controller-to-Processor“ (2010/87/EU) sowie des Angemessenheitsbeschlusses der EU-Kommission zum EU-US Privacy Shields (Durchführungsbeschluss (EU) 2016/1250) befasst.

Der EuGH hat hierbei das EU-US Privacy Shield als Nachfolgeregelung für das Safe Harbor Abkommen für ungültig erklärt. Grund hierfür sind mögliche Zugriffe auf personenbezogene Daten von EU-Bürgern durch US-amerikanische Sicherheitsbehörden auf Grund vorrangiger Erfordernisse der nationalen Sicherheit, des öffentlichen Interesses oder zur Durchführung von Gesetzen, was nicht in Einklang mit den Grundrechten der EU-Bürger zu bringen ist.
Verantwortliche oder Auftragsverarbeiter können ab dem 16.07.2020 keine personenbezogenen Daten mehr auf Basis des EU-US Privacy Shields an Empfänger in den Vereinigten Staaten übermitteln, so z.B. via Google, WhatsApp oder Facebook.

Die EU-Standardvertragsklauseln bleiben hingegen gültig. Zwar bestünde auch hier das Risiko für Betroffene, dass öffentliche Stellen Rechte und Freiheiten durch einen Zugriff auf personenbezogene Daten verletzen, allerdings wären die in den Standardvertragsklausen vorgesehenen Schutzmechanismen grundsätzlich erweiterbar.
Verantwortliche werden durch den EuGH in die Pflicht genommen, für jeden Datenexport in ein Drittland zu untersuchen, ob der Empfänger die Zusicherungen der Vertragsklauseln einhalten kann oder ob lokale Gesetze ihm dies verbieten. Ergeben sich Hinweise, dass die EU-Standardvertragsklauseln nicht mehr eingehalten werden können, ist – neben dem Aussetzen des Exports – die Aufsichtsbehörde zu informieren, die wiederum ihrerseits eine diesbezügliche Prüfung anstrebt und ein Aussetzen ihrerseits verlangen kann.

Der EuGH wählt in seinem Urteil eine formale Herangehensweise an die EU-Standardvertragsklauseln, das die ohnehin bestehenden Pflichten für Exporteure und Importeure nochmals beleuchtet. Unklar bleibt für Verantwortliche, welche Hinweise im Drittland den Export personenbezogener Daten als unzulässig erscheinen lassen bzw. welche technisch-organisatorischen Maßnahmen ergänzend zu treffen sind.

Lesen Sie mehr unter:
https://www.gdd.de/aktuelles/startseite/eugh-faellt-urteil-zum-eu-us-privacy-shield-und-den-eu-standardvertragsklauseln

Pressemitteilung des EuGH zum Urteil:
https://curia.europa.eu/jcms/upload/docs/application/pdf/2020-07/cp200091de.pdf