Ein Bußgeld in Höhe von 1,2 Millionen Euro muss die AOK Baden-Württemberg zahlen. Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI BW) verhängte das Millionen-Bußgeld wegen einer fehlenden Einwilligung.
Pressemitteilung des LfDI BW:
https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2020/06/PM_Bußgeld-gegen-AOK.pdf
Interview des SWR mit Stefan Brink:
https://twitter.com/SWRAktuellBW/status/1277958650657599491
Nicht der oder die Datenschutzbeauftragte ist verantwortlich für den Datenschutz, sondern die sogenannte verantwortliche Stelle. Wer verantwortlich oder gemeinsam verantwortlich ist, kommt auf die Datenverarbeitung und die Auftragsverarbeitung an. Wir geben einen Überblick zum Verantwortlichen, auch zu Fragen der Haftung und zur Verantwortung bei Datenschutzverletzungen.
Lesen Sie mehr unter:
https://datenschutz.prodatis.com/downloads/verantwortlicher_nach_dsgvo.pdf
Bewerbungs- und Einstellungsprozesse sind ohne personenbezogene Daten undenkbar. Doch Verantwortliche müssen darauf achten, wirklich nur mit solchen Informationen zu arbeiten, die unbedingt erforderlich sind.
In Ergänzung zu den allgemeinen Pflichten der Datenschutz-Grundverordnung (DSGVO) bei der Verarbeitung personenbezogener Daten regelt § 26 Bundesdatenschutzgesetz (BDSG) für Deutschland weitere Eckpunkte zum Beschäftigtendatenschutz.
So umfasst der Beschäftigtenbegriff u.a. Bewerber der Unternehmen (§ 26 Abs. 8 Satz 2 BDSG).
Was müssen Verantwortliche nun im Zuge der gesetzlichen Rahmenbedingungen beim Onboarding, also bei der Einstellung und Einführung eines neuen Mitarbeiters in seinen Einsatzbereich, beachten? Wie müssen sie ihren Recruiting-Prozess strukturieren?
Lesen Sie mehr unter:
https://datenschutz.prodatis.com/downloads/neue_mitarbeiter.pdf
In der Personaldienstleistungsbranche sind gemeinsame Verantwortlichkeiten eher die Regel als die Ausnahme. Eine Einzelfallbetrachtung, wie die Beteiligten im konkreten Fall datenschutzrechtlich einzuordnen sind, ist dennoch unentbehrlich.
Verleiher und Entleiher schließen im Rahmen der Arbeitnehmerüberlassung oft einen Vertrag zur Auftragsverarbeitung (AV) ab. Und zwar obwohl im konkreten Fall überhaupt keine Auftragsverarbeitung vorliegt.
Darauf weist auch der aktuelle Tätigkeitsbericht des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI) hin.
Doch warum ist es rechtlich falsch, einen AV-Vertrag abzuschließen?
Lesen Sie mehr unter:
https://datenschutz.prodatis.com/downloads/arbeitnehmerueberlassung.pdf
Sie benötigen ein Muster zum Vertrag bei gemeinsamer Verantwortlichkeit gemäß Art. 26 DSGVO?
Gern stellen wir Ihnen dieses auf Anfrage in deutsch und/oder englisch zur Verfügung.
Ehemalige Beschäftigte können gewollt oder ungewollt zu einem großen Datenrisiko werden. Nur ein durchdachtes Verfahren für Kolleginnen und Kollegen, die aus dem Unternehmen ausscheiden, kann hier gegensteuern. Prüfen Sie deshalb diese Verarbeitungstätigkeit Ihres Unternehmens oder Ihrer Behörde.
Ausscheidende Beschäftigte sind ein Risiko für personenbezogene Daten ebenso wie für Geschäftsgeheimnisse.
Ehemalige Mitarbeiterinnen und Mitarbeiter dürfen keine Berechtigungen und Rollen behalten, die ihnen ermöglichen, weiterhin auf Daten zuzugreifen (Angriffsrisiko „unbefugte Zugriffe“ durch fehlerhafte Berechtigungssysteme und veraltete Rollenkonzepte). In der Praxis geschieht allerdings genau das.
Lesen Sie mehr unter:
https://datenschutz.prodatis.com/downloads/ausscheidende_mitarbeiter.pdf
Viele Fragen ranken sich um das Thema Sicherheit im Home-Office auch Telearbeit genannt. Auch hier gilt, dass beabsichtigte Regelungen in Unternehmen und öffenlichen Einrichtungen dokumentiert, umgesetzt und kontrolliert werden müssen. Aber auch Maßnahmen und Handlungsempfehlungen für Notfälle wie Datenpannen sind proaktiv zu organisieren.
Das Bundeamt für Sicherheit in der Informationstechnik hat als Bestandteil des IT-Grundschutzes auch die folgenden “Umsetzungshinweise zum Baustein OPS.1.2.4 Telearbeit” veröffentlicht. Diese geben eine nützliche Unterstützung bei der Planung und Konzeption, der Umsetzung und auch die Notfallvorsorge bei Arbeiten im Home-Office.
Umsetzungshinweise zum Baustein OPS.1.2.4 Telearbeit
Empfehlungen des BSI: Home-Office? – Aber sicher!
Ergänzend hierzu kann die Checkliste „Datenschutzrechtliche Regelungen bei Homeoffice“ des Bayerischen Landesamts für Datenschutzaufsicht zu Rate gezogen werden:
Selbst-Check: Datenschutzrechtliche Regelungen bei Homeoffice
Benötigen Sie eine interne Home-Office-Richtlinie oder Betriebsvereinbarung für Ihr Unternehmen oder öffentliche Einrichtung? Wir stellen Ihnen dazu gern auf Anforderung ein Muster zur Verfügung.
Wir unterstützen Sie auch gern beim Erstellen der obligatorischen Dokumentationen zur IT-Sicherheit und Datenschutz im Unternehmen oder öffentlichen Einrichtung z.B. eines IT-Sicherheitskonzeptes, Notfallkonzeptes, Löschkonzeptes etc.
Gern erstellen wir Ihnen ein individuelles Angebot, Sie erreichen uns unter den unten stehenden Kontaktinformationen.
Die neue Corona-Warn-App ist zum Herunterladen und Nutzen bereitgestellt. Vorallem aus Sicht des Datenschutzes wirft sie viele Fragen bei den Nutzern auf.
Verschiedene Experten und Aufsichtbehörden haben sich nun zu Wort gemeldet. Lesen Sie nachfolgend die aktuellen Pressemitteilungen:
Mitteilung des Bundesbeauftraten für den Datenschutz und Informationsfreiheit:
https://www.bfdi.bund.de/DE/Infothek/Pressemitteilungen/2020/12_Corona-Warn-App.html
Mitteilung der DSK-Datenschutzkonferenz:
https://www.datenschutzkonferenz-online.de/media/pm/20200616_pm_corona_warn_app.pdf
Mitteilung des Landesbeauftragten für den Datenschutz und Informationsfreiheit Rheinland-Pfalz:
https://www.datenschutz.rlp.de/de/aktuelles/detail/news/detail/News/corona-warn-app-ist-aus-datenschutz-sicht-okay-kugelmann-app-darf-aber-nicht-zur-dauerloesung-we/
Nach dem Urteil des Europäischen Gerichtshofes musste sich nun auch der Bundesgerichtshof in Deutschland mit der Rechtmäßigkeit zur Speicherung von Cookies beschäftigten. Das Urteil bestätigt die allgemeine Auffassung der Aufsichtsbehörden nach Inkrafttreten der EU-Datenschutzgrundverordnung: Eine Einwilligung in Werbe- und Tracking-Cookies. Hierbei sind auch die neuen Leitlinien des Europäischen Datenschutzausschusses (EDSA) mit zu berücksichtigen. Das Erfordernis der Einwilligung, welche auch durch die noch gültige ePrivacy-Richtlinie gefordert wird, konnte in Deutschland bis jetzt über § 15 Absatz 3 Telemediengesetz umgangen werden, welches eine Opt-Out-Lösung erlaubte, die „Geburtsstunde“ der „einfachen“ Cookiebanner.
Durch das EuGH- und jetzt auch das BGH-Urteil wurde bestätigt, dass dieser deutsche Sonderweg geändert werden muss. Die neue ePrivacy-Verordnung sieht im Entwurf auch eine solche Einwilligung vor.
Werbe-Cookies nur mit aktiver Einwilligung
Alle nicht unbedingt erforderlichen Cookies benötigen eine aktive Einwilligung – da dieses Urteil
aber für den Fall Planet49 gilt, bleibt die Sachlage weiterhin unklar, bis der deutsche Gesetzgeber,
die Datenschutzbehörden und Gerichte hier tätig geworden sind und klären, wann Cookies „unbedingt erforderlich“ sind, und wann nicht. Zum heutigen Stand wird zumindest für Cookies, die der Erstellung von Nutzerprofilen für Zwecke der Werbung und Marktforschung dienen, eine Einwilligung notwendig sein.
Ebenfalls ist noch unklar, wie die Einwilligungs-Banner letzten Endes aussehen und was sie beinhalten müssen. Hier kann eine Orientierung an den anderen EU-Staaten hilfreich sein, welche die ePrivacy-Richtlinie (die sogenannte Cookie-Richtlinie) bereits in nationales Recht überführt haben.
Ein Beispiel aus der Praxis:
Bei der Nutzung von Google Analytics auf Ihrer Webseite – welches als Musterbeispiel eines großen Datenkraken angesehen wird, da umfangreiche Nutzerprofile für Werbezwecke erstellt werden – ist das Einholen einer Einwilligung über ein sogenanntes Consent-Tool, das das aktuelle Cookie-Banner ersetzen sollte, dringend anzuraten.
Wie können Cookies zukünftig gesetzeskonform eingesetzt werden?
Unter Beachtung der Urteile und auch der gesetzlichen Vorgaben in der DSGVO sowie der bald geltenden ePrivacy-Verordnung ist hier wichtig, dass:
Nach der Integration eines Consent-Tools muss die Datenschutzerklärung entsprechend aktualisiert werden. So ist z.B. bei Verwendung von Google Analytics die Grundlage der Verarbeitung gemäß DSGVO eine Einwilligung (Art. 6 Abs. 1 lit. a) und nicht mehr ein berechtigtes Interesse (Art. 6 Abs. 1 lit. f).
Keine Einwilligung wird benötigt, wenn das Setzen der Cookies rechtmäßig ist, aufgrund von:
Weiterführende Informationen
Cookies und Co.: Neue Leitlinien für Webseiten:
https://datenschutz.prodatis.com/downloads/cookies_neue_leitlinien_fuer_webseiten.pdf
BGH-Urteil zur Einwilligung in die Speicherung von Cookies:
https://www.bundesgerichtshof.de/SharedDocs/Pressemitteilungen/DE/2020/2020067.html?nn=10690868
Was nutzen Sie auf Ihrer Webseite?
Gern überprüfen wir Ihre Webseite und/oder Ihres Online-Shop auf Gesetzeskonformität
Das Audit umfasst
Mit dem Auditbericht erhalten Sie Hinweise und Handlungsempfehlungen, ggf. Textbausteine zur schnellen und sicheren Umsetzung auf Ihrer Webseite.
Die aktuelle Entwicklung rund um das Covid-19-Virus hält auch den Datenschutz auf Trab. Welche personenbezogenen Daten darf der Arbeitgeber in solchen Extremsituationen eigentlich verarbeiten?
Lesen Sie mehr unter:
https://datenschutz.prodatis.com/downloads/gesundheitsdaten_von_beschaeftigten.pdf
In vielen Bundesländern öffnen gastronomische und weitere Betriebe. Nun müssen die Betreiber plötzlich Daten ihrer Gäste und Kunden erheben. Das fordern die Landesverordnungen der einzelnen Länder. Lesen Sie, was hierbei aus Datenschutzsicht zu beachten ist.
Lesen Sie mehr unter:
https://datenschutz.prodatis.com/downloads/datenerhebung_gaeste_kunden.pdf
