Die Datenschutzpraxis stellt auf Ihrer Internetseite basierend auf dem Bußgeldkonzept der DSK einen Bußgeldrechner zur Verfügung, welcher Ihnen für einstellbare Tatbestände die Minimal- und Maximalbußgelder für Ihr Unternehmen ausrechnet.
Den Bußgeldrechner finden Sie unter:
https://www.datenschutz-praxis.de/dsgvo-bussgeldrechner
Der zweite Tätigkeitsbericht im Zeitalter der Europäischen Datenschutzgrundverordnung (DSGVO) des Sächsischen Datenschutzbeauftragten ist veröffentlicht. Schwerpunkte der Tätigkeit des Datenschutzbeauftragten waren allgemeine Beratungen zur DSGVO sowie Bearbeiten von Beschwerden durch Betroffenen, Bearbeitung von Meldungen zu Datenpannen in Unternehmen und Verwaltung, Verarbeitungen auf Basis von Einwilligungen und Prüfung von Videoüberwachungen.
Der Tätigkeitsbericht ist nach Themenbereichen übersichtlich aufgebaut und gibt eine wertvolle Orientierung zum Umgang mit den unterschiedlichsten Datenschutzaspekten in Unternehmen und öffentlichen Einrichtungen.
Hier finden Sie den Tätigkeitsbericht des Sächsischen Datenschutzbeauftragten 2019
https://datenschutz.prodatis.com/downloads/taetigkeitsbericht_2019.pdf
Hier finden Sie die Informationen des Sächsischen Datenschutzbeauftragten zum Tätigkeitsbericht:
https://datenschutz.prodatis.com/downloads/handout_zur_veroeffentlichung_2019.pdf
Datenschützer und Politiker vieler Parteien sind empört über einen Vorschlag des Gemeindetagspräsidenten Uwe Brandl. Er hatte eine Handyüberwachung vorgeschlagen, um die Einhaltung der 15-Kilometer-Regel in Pandemie-Hotspots zu kontrollieren.
Der Bundesdatenschutzbeauftragte Professor Ulrich Kelber lehnt Brandls Vorschlag strikt ab und macht klar: „Das ist keine Lösung. GPS-Daten können noch nicht mal zwischen Tiefgarage und viertem Stock in einem Haus unterscheiden.“ Auch eine Funkzellenabfrage zeige nicht verlässlich an, in welcher Straße eine Person gewesen sei.
Lesen Sie mehr unter:
http://datenschutz.prodatis.com/downloads/15_kilometer_regel_handyueberwachung_abgelehnt.pdf
Manchmal bestätigt ein Urteil schlicht das, was man „eigentlich“ schon wusste. Aber gerade darin kann sein besonderer Wert liegen – vor allem, wenn der Europäische Gerichtshof (EuGH) entschieden hat. Der Fall, um den es geht, stammt aus Rumänien. Er könnte sich aber überall in der EU abspielen. Der EuGH nimmt ihn zum Anlass, das Thema „Einwilligung“ genau unter die Lupe zu nehmen.
Ausgangspunkt ist der Abschluss eines Vertrags über Mobilfunkleistungen, also ein „Telefonvertrag“. Der Mobilfunkanbieter kopiert beim Vertragsschluss die Ausweisdokumente des neuen Kunden. Rechtsgrundlage hierfür ist angeblich jeweils eine individuelle Einwilligung des Kunden. Der Mobilfunkanbieter heftet die Ausweiskopien an den Mobilfunkvertrag. Dann bewahrt er sie zusammen mit dem Vertrag auf.
Lesen Sie mehr unter:
http://datenschutz.prodatis.com/downloads/einwilligung_des_kunden_nachweisen.pdf
In den letzten Monaten warnten Sicherheitsbehörden vor Phishing-Wellen im Zusammenhang mit der Covid-19-Pandemie. Schon zuvor war Phishing eine ernstzunehmende Gefahr für den Schutz personenbezogener Daten. Grund genug, eine spezielle Schulung anzubieten. Wer dabei Phishing-Simulationen nutzt, sollte das genau vorbereiten.
Es ist deshalb wichtig, auch dieses Thema in der Datenschutz-Schulung regelmäßig zu behandeln, wie die Datendiebe Menschen austricksen und wie die Beschäftigten sich am besten schützen. Zur Aufklärung bieten zum Beispiel das BSI und die Polizeiliche Kriminalprävention der Länder und des Bundes (ProPK) Checklisten und Flyer an.
Beim Thema Phishing kommen bei Schulungen aber auch Simulationen zum Einsatz. Es starten simulierte Phishing-Attacken, um zu sehen, wie die Mitarbeiterinnen und Mitarbeiter als Empfänger der angeblichen Phishing-Mails reagieren.
Lesen Sie mehr unter:
http://datenschutz.prodatis.com/downloads/phishing-simulationen.pdf
Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz – DSK) hat sich am 25. und 26. November 2020 per Video zu ihrer 100. Sitzung seit ihrem Bestehen getroffen (siehe Pressemitteilung der DSK vom 19. November 2020).
Die Jubiläumssitzung fand unter dem turnusgemäßen Vorsitz des Sächsischen Datenschutzbeauftragten Andreas Schurig statt. Die Konferenz befasste sich u. a. mit der Frage des datenschutzkonformen Einsatzes von Windows 10 (Version „Enterprise“), mit der durch die deutsche EU-Ratspräsidentschaft ergriffenen Initiative zur Aufweichung von Ende-zu-Ende-Verschlüsselungen zugunsten von Sicherheitsbehörden und Nachrichtendiensten, mit der gesetzlichen Ausgestaltung der Telekommunikations-Bestandsdatenauskunft, mit Initiativen zur Zentralisierung der Datenschutz-Aufsicht sowie mit der in Deutschland noch immer ausstehenden Umsetzung der „ePrivacy“-Richtlinie (RL 2002/58/EG).
Lesen Sie mehr unter:
https://www.datenschutzkonferenz-online.de/media/pm/20202711_pm_100_dsk.pdf
Das Bayerisches Landesamt für Datenschutzaufsicht erreichen zahlreiche Anfragen und Beschwerden im Zusammenhang mit der Befreiung vom Tragen einer Mund-Nasen-Bedeckung. Gemäß § 1 Abs. 2 Infektionsschutzmaßnahmenverordnung (7. BayIfSMV) sind Personen, die glaubhaft machen können, dass ihnen das Tragen einer Mund-Nasen-Bedeckung aufgrund einer Behinderung oder aus gesundheitlichen Gründen nicht möglich oder unzumutbar ist, von der Trageverpflichtung befreit. Die Glaubhaftmachung ist in § 294 ZPO näher geregelt. Hiernach ist festzustellen, dass die Vorschrift eine Ausnahmeregelung darstellt, die es erlaubt, einen Tatsachennachweis zu erbringen, ohne dass dazu die volle Überzeugung von der Wahrheit einer Tatsache erreicht werden muss. Ausreichend ist vielmehr eine hinreichende bzw. überwiegende Wahrscheinlichkeit.
Die Stelle, die für die Überprüfung der Befreiung zuständig ist (also beispielsweise der Gastwirt, die Filialleitung im Einzelhandel, etc.) darf die dafür erforderlichen Daten erheben. (Quelle: BayLDA)
Lesen Sie mehr unter:
https://www.lda.bayern.de/media/veroeffentlichungen/Befreiung_MNB.pdf
Der Europäische Datenschutzausschuss (EDSA) hat am 11.11.2020 ein Papier zu sog. zusätzlichen Maßnahmen veröffentlicht, die Unternehmen und andere Datenexporteure ggf. ergreifen müssen, wenn sie personenbezogene Daten in Drittländer übermitteln.
Anlass ist das Urteil des Europäischen Gerichtshofs (EuGH) in vom 16.07.2020 („Schrems II“), in dem der EuGH betont hat, dass Datenexporteure, die personenbezogene Daten in Drittländer auf der Grundlage von sog. Garantien nach Art. 46 DSGVO (z.B. auf Grundlage von Standarddatenschutzklauseln) übermitteln möchten, die Pflicht haben zu prüfen, ob die Daten angesichts der Rechtslage im Drittland einen gleichwertigen Schutz mit dem in der EU geltenden Schutz genießen.
Das Papier des EDSA gibt Anwendern wichtige Hinweise dazu, welche Gesichtspunkte sie im Rahmen der von Ihnen vorzunehmenden Prüfung der Rechtslage im Drittland berücksichtigen müssen sowie eine Reihe typischer Szenarien („Use Cases“) Hinweise dazu, inwieweit es möglich ist, überhaupt mit Hilfe zusätzlicher Maßnahmen das geforderte Schutzniveau zu erreichen, und inwieweit dies ggf. für bestimmte Fallgruppen nicht möglich ist.
Unternehmen und andere Datenexporteuren ist nachdrücklich zu raten, die Ausführungen des EDSA sorgfältig zu lesen. Sie haben – wie der EuGH im o.g. Urteil betont hat – die Pflicht, vor einer Übermittlung personenbezogener Daten in ein Drittland zu prüfen, ob das o.g. Schutzniveau gewährleistet ist; ist dies nicht der Fall – und kann ein mit der EU vergleichbarer Schutz auch nicht mit Hilfe „zusätzlicher Maßnahmen“ gewährleistet werden -, darf die Übermittlung nicht stattfinden. (Quelle: BayLDA)
Lesen Sie mehr unter:
https://www.lda.bayern.de/de/thema_supplementary_measures.html
Download der Empfehlungen:
https://edpb.europa.eu/our-work-tools/public-consultations-art-704/2020/recommendations-012020-measures-supplement-transfer_de
Die DSGVO fordert von Verantwortlichen und Auftragsverarbeitern in Art. 32 DSGVO ein Schutzniveau, das dem Risiko für die Rechte und Freiheiten natürlicher Personen angemessenen ist. Dabei sollen zur Gewährleistung der Sicherheit der insbesondere die Risiken berücksichtigt werden, die aus einer Verletzung der Verfügbarkeit, Vertraulichkeit und Integrität der personenbezogenen Daten, der an deren Verarbeitung beteiligten IT-Systeme, Dienste und Fachprozesse hervorgehen können. Ziel ist es, diese Risiken einzudämmen, indem wirksame technische und organisatorische Maßnahmen (TOM) umgesetzt werden. Da die DSGVO technikneutral formuliert wurde, finden sich darin jedoch keine konkreten Maßnahmen, die Schritt für Schritt abgearbeitet werden können.
Das Bayerisches Landesamt für Datenschutzaufsicht hat nun eine Checkliste für kleine und mittlere Unternehmen veröffentlicht, um eine Auswahl an TOM anzubieten, die bei geläufigen Verarbeitungstätigkeiten innerhalb eines Betriebs verwendet werden können. Es werden häufig in der Praxis adressierte Punkte behandelt wie bauliche Schutzmaßnahmen, Einsatz von mobilen Endgeräten, internetfähige Arbeitsplatzumgebung und Sensibilisierung von Mitarbeitern – dies entspricht einem generischen Ansatz bei IT-gestützten Datenverarbeitungen. (Quelle: BayLDA)
Donwload Checkliste:
https://www.lda.bayern.de/media/checkliste/baylda_checkliste_tom.pdf
Viele Beschäftigte arbeiten bereits wieder im Homeoffice, ein Teil davon mit privaten Geräten – und das oft völlig ungeregelt. Mit einer Kombination aus Betriebsvereinbarung und individueller Vereinbarung lässt sich BYOD gut in den Griff bekommen. Das hier vorgestellte Muster einer Betriebsvereinbarung ist eine gute Ausgangsbasis, mit der Unternehmen für klare und sichere Verhältnisse sorgen.
Lesen Sie mehr unter:
https://datenschutz.prodatis.com/downloads/mobiles_arbeiten_byod_revisited.pdf
Download Muster Betriebsvereinbarung:
https://datenschutz.prodatis.com/downloads/Betriebsvereinbarung-BYOD.doc
