Archive: News

Der Landesdatenschutzbeauftragte von Baden-Württemberg Stefan Brink stellte in Stuttgart seinen Bericht für 2019 vor. Demnach gingen im vergangenen Jahr insgesamt 1.824 Meldungen über Datenschutzverstöße ein. 2018 waren es vom Inkrafttreten neuer europäischer Datenschutzregeln im Mai bis zum Jahresende noch 774 Meldungen gewesen.

In Baden-Württemberg werden immer mehr Datenpannen gemeldet. Bei der Polizei etwa wurden Verstöße beim Einsatz von Bodycams festgestellt. Auch Bäckereien sind im Fokus der Datenschützer, welche illegal Kameras genutzt hatten, um Mitarbeiter zu kontrollieren. Wenn überhaupt, müssten die Kameras so ausgerichtet sein, dass sie nur Kunden filmen. Diese müsse die Bäckerei darüber hinaus rechtzeitig, also vor dem überwachten Bereich, über die Videoüberwachung informieren.

Lesen Sie weiter unter
https://www.swr.de/swraktuell/baden-wuerttemberg/Diese-Datenpannen-in-Baden-Wuerttemberg-bereiten-Landesdatenschuetzer-Sorgen,datenpannen-in-baden-wuerttemberg-100.html

(Quelle: www.swr.de)

Der erste Tätigkeitsbericht im Zeitalter der Europäischen Datenschutzgrundverordnung (DSGVO) des Sächsischen Datenschutzbeauftragten ist veröffentlicht. Schwerpunkte der Tätigkeit des Datenschutzbeauftragten waren allgemeine Beratungen zur DSGVO sowie Bearbeiten von Beschwerden durch Betroffenen, Bearbeitung von Meldungen zu Datenpannen in Unternehmen und Verwaltung, Verarbeitungen auf Basis von Einwilligungen und Prüfung von Videoüberwachungen.

Der Tätigkeitsbericht ist nach Themenbereichen übersichtlich aufgebaut und gibt eine wertvolle Orientierung zum Umgang mit den unterschiedlichsten Datenschutzaspekten in Unternehmen und öffentlichen Einrichtungen.

Auszug aus den Informationen des Sächsischen Datenschutzbeauftragten zum Tätigkeitsbericht

„Die Aufsichtsbehörden wurden durch die erhöhte Aufmerksamkeit vor neue Herausforderungen gestellt. Petitionen und Beratungen steigerten sich auf das Dreifache. So haben Informationen, Benachrichtigungen und Einwilligungen um den 25. Mai 2018 verstärkt zu Auskunftsersuchen gegenüber Unternehmen und öffentlichen Stellen geführt, die teilweise unbefriedigend bzw. nicht ordnungsgemäß beantwortet wurden, was zu vielen Beschwerdevorgängen führte. Auch bei den datenverarbeitenden Stellen, die Verordnung spricht von ‚Verantwortlichen‘, bestand und besteht hoher Beratungsbedarf, wobei sich der Inhalt der Anfragen verschoben hat“

Hier finden Sie die Informationen des Sächsischen Datenschutzbeauftragten zum Tätigkeitsbericht:
https://datenschutz.prodatis.com/downloads/Handout_zur_Pressekonferenz_18_12_19_rs.pdf

Hier finden Sie den Tätigkeitsbericht des Sächsischen Datenschutzbeauftragten 2017/2018
https://datenschutz.prodatis.com/downloads/Taetigkeitsbericht_2017_2018.pdf

Im kommenden Jahr wird die Sächsische Datenschutzaufsichtsbehörde den Vorsitz der Konferenz der unabhängigen Datenschutzbehörden (DSK) des Bundes und der Länder übernehmen und die 100. Datenschutzkonferenz durchführen.

1. Vorsicht bei Einbindung von Analyse-Diensten auf Websites

Aufgrund einer Vielzahl von Anfragen, Beschwerden und Kontrollanregungen weist der Sächsische Datenschutzbeauftragte auf Folgendes hin:

Hinsichtlich der rechtlichen Bewertung der Einbindung von Analyse-Diensten auf Websites und Apps haben sich die Aufsichtsbehörden des Bundes und der Länder in der Orientierungshilfe für Anbieter von Telemedien auf ein gemeinsames Rechtsverständnis geeinigt.

Rechtsauffassungen, die unter Berücksichtigung der Rechtslage vor dem 25.05.2018 veröffentlicht wurden, wie z. B. die „Hinweise des HmbBfDI zum Einsatz von Google Analytics“, sind überholt und werden von den Aufsichtsbehörden des Bundes und der Länder nicht mehr vertreten.

Lesen Sie dazu mehr unter folgendem Link:
https://www.saechsdsb.de/presse/597-presseerklaerung-vorsicht-bei-einbindung-von-analyse-diensten-auf-websites-website-betreiber-sollten-ihr-angebot-ueberpruefen

---

2. Checkliste: Interessenabwägung zum Tracking auf Websites

Viele Website-Betreiber geben an, den Einsatz von Tracking-Tools auf Art. 6 Abs. 1 Buchst. f DSGVO zu stützen, da sie ein „berechtigtes Interesse an Werbung“ haben. Manch Website-Betreiber meint, damit sei es getan. Schließlich steht in der DSGVO Schwarz auf Weiß, dass Werbung ein berechtigtes Interesse ist. Doch ganz so einfach ist es nicht.

Dass das eigene Interesse daran, Tracking-Tools einzusetzen, das der betroffenen Nutzer überwiegt, müssen Website-Betreiber nachweisen. Die reine Behauptung, dass es so sei, wird keiner Datenschutz-Aufsicht reichen.

Verantwortliche müssen sogar mit einem Bußgeld rechnen, wenn er die Abwägung ungenügend oder gar nicht durchgeführt und zugleich seine Rechenschaftspflicht verletzt hat.

Damit es nicht so weit kommt, sollten Verantwortliche ihre Interessenabwägung immer dokumentieren, z.B. mit einer Checkliste.

Download Checkliste:
https://datenschutz.prodatis.com/downloads/Checkliste Interessenabwaegung zum Tracking auf Websites.docx

(Quelle: www.datenschutz-praxis.de)

---

3. FAQ zu Cookies und Tracking

Der Landesbeauftragter für den Datenschutz und die Informationsfreiheit Baden-Württemberg hat auf seiner Seite FAQ zum Thema Cookies und Tracking veröffentlicht. Betreiber von Webseiten, aber auch Hersteller von Smartphone-Apps (sog. „Anbieter von Telemediendiensten“) müssen sicherstellen, dass bei der Verarbeitung personenbezogener Daten alle Vorgaben der Datenschutz-Grundverordnung (DSGVO) eingehalten werden.

Lesen Sie dazu mehr unter folgendem Link:
https://www.baden-wuerttemberg.datenschutz.de/faq-zu-cookies-und-tracking-2/

FAQs als Download:
https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2019/04/FAQ-zu-Cookies-und-Tracking.pdf

Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien:
https://datenschutz.prodatis.com/downloads/Orientierungshilfe-der-Aufsichtsbehörden-für-Anbieter-von-Telemedien.pdf

Schritt für Schritt: Rechtsgrundlage ermitteln nach Art. 6 DSGVO

Bevor ein Verantwortlicher personenbezogene Daten verarbeitet, muss er die Rechtmäßigkeit der Verarbeitung prüfen. Rechtsgrundlagen bietet die DSGVO v.a. in Art. 6. Machen Sie den Kollegen klar, dass sie dabei möglichst nicht mit der Einwilligung anfangen sollten, wie es die DSGVO scheinbar nahelegt.

Lesen Sie dazu mehr unter folgendem Link:
https://datenschutz.prodatis.com/downloads/Rechtsgrundlage_ermitteln_nach_Art_6_DSGVO.pdf

---

Geldbußen nach der DSGVO auch gegen Beschäftigte?

Ein Beschäftigter kann an seinem Arbeitsplatz auf Daten von Kunden zugreifen. Das missbraucht er für rein private Zwecke. Kann die Aufsichtsbehörde deshalb gegen ihn ein Bußgeld verhängen?

Lesen Sie dazu mehr unter folgendem Link:
https://datenschutz.prodatis.com/downloads/Geldbussen_nach_der_DSGVO_auch_gegen_Beschaeftigte.pdf

---

DSGVO: Anforderungen an Betriebsvereinbarungen

Betriebsvereinbarungen sind ein wichtiges Instrument, um Beschäftigtendaten rechtskonform zu verarbeiten. Wie müssen solche Vereinbarungen ausgestaltet sein, und welche Vorgaben gilt es zu beachten?

Lesen Sie dazu mehr unter folgendem Link:
https://datenschutz.prodatis.com/downloads/Anforderungen_an_Betriebsvereinbarungen.pdf

Um seinen Löschpflichten nachkommen zu können, ist es notwendig, dass der Verantwortliche ein Löschkonzept erstellt, dokumentiert und umsetzt. Dieser Artikel gibt Tipps zum Aufbau eines solchen Konzepts.

Mitten im Block der Betroffenenrechte findet sich in der Datenschutz-Grundverordnung (DSGVO) der Artikel 17 mit seinem „Recht auf Löschung“, auch „Recht auf Vergessenwerden“ genannt. Da liegt es nahe, zu denken, dass dies etwas ist, was die betroffene Person aktiv wahrnimmt. Wer so denkt, denkt nicht weit genug.

Lesen Sie dazu mehr unter folgendem Link:
https://datenschutz.prodatis.com/downloads/das_loeschkonzept_ein_beispiel.pdf

Die ISO/IEC 21964 basiert auf der der DIN 66399, die in der internationalen Norm übernommen wurde. Die Entwicklung der DIN 66399-1 bis 3 hat gezeigt, wie diese Normung durch die Berücksichtigung des Stands der Technik, erhöhte Sicherheitsanforderungen für Vernichtungsmaschinen und -prozesse bei Dienstleistern bzw. Unternehmen positiv angenommen wurde.

Die DIN 66399 hat sich bei Herstellern, Dienstleistern und innerhalb der Unternehmen etabliert und maßgeblich zu mehr Sicherheit von lokalen bzw. dezentralen Vernichtungsprozessen geführt. Dies wurde auch international anerkannt.

Durch die Aktualisierung des Ratgebers sind Gesetzesänderungen aber auch das Einbringen von Auslegungshinweisen bei Unsicherheiten der Anwendung der DIN 66399 vom GDD-Arbeitskreis „Datenträgervernichtung“ aufgenommen und berücksichtigt worden.

Lesen Sie dazu mehr unter folgendem Link:
https://www.gdd.de/gdd-arbeitshilfen/gdd-ratgeber/datenschutzgerechte-datentraegervernichtung-4-aufl-2019-1

Die enorm hohen Geldbußen, die die DSGVO vorsieht, führen bei Unternehmen zu erheblichen Unsicherheiten. Fraglich ist, wann diese Unsicherheit endet, sprich ab welchem Zeitpunkt Unternehmen keine Verfolgung durch Aufsichtsbehörden mehr befürchten müssen.

Die Geldbußen der Datenschutz-Grundverordnung (DSGVO) sollten eigentlich nicht der einzige Anreiz für Unternehmen sein, datenschutzkonform mit personenbezogenen Daten umzugehen.

Lesen Sie dazu mehr unter folgendem Link:
https://datenschutz.prodatis.com/downloads/Wann_verjaehren_Datenschutzverstoesse.pdf

Verstoß gegen DSGVO: Deutsche Wohnen soll 14,5 Millionen Euro zahlen:
https://www.heise.de/newsticker/meldung/Verstoss-gegen-DSGVO-Deutsche-Wohnen-soll-14-5-Millionen-Euro-zahlen-4578269.html

Derzeit ist Office 365 unter den Datenschutzaufsichtsbehörden ein großes Diskussionsthema. Wie lässt sich Office 365 datenschutzkonform einsetzen Was müssen Unternehmen und öffentliche Einrichtungen als Verantwortliche für die Datenverarbeitung beachten?

Lesen Sie dazu mehr unter folgenden Links:
https://datenschutz.prodatis.com/downloads/office_365_unter_windows.pdf

https://www.heise.de/newsticker/meldung/Windows-10-erneut-im-Fokus-der-EU-Datenschuetzer-4509119.html

Die Datenschutz-Aufsichtsbehörden haben sich auf ihrer Sitzung im September auf ein Modell zur Berechnung von Bußgeldern geeinigt. Informationen dazu finden Sie im folgenden Artikel von „Latham & Watkins LLP“:

https://www.lathamgermany.de/2019/09/datenschutzbehorden-verabschieden-modell-zur-berechnung-von-busgeldern/

DSGVO-Bußgelder – das ist neu

Das neue Modell zur Bußgeldbemessung orientiert sich im Wesentlichen an den Vorgaben des Art. 83 DSGVO und unterteilt sich in fünf Schritte:

1. Zunächst wird das verantwortliche Unternehmen in eine Größenklasse kategorisiert, die sich nach dem weltweit erzielten Jahresumsatz des vorangegangen Geschäftsjahres richtet.
2. Anschließend wird der mittlere Jahresumsatz der jeweiligen Untergruppe (Kleinstunternehmen, kleine und mittlere Unternehmen oder Großunternehmen) bestimmt, in die das Unternehmen eingeordnet wurde.
3. Auf dieser Grundlage wird der wirtschaftlichen Grundwert des Unternehmens ermittelt: Die Behörden errechnen einen sogenannten Tagessatz indem sie den weltweiten Vorjahresumsatz des Unternehmens durch 360 teilen.
4. Danach wird der Verstoß mithilfe tatbezogener Einzelfallumstände einem bestimmten Schweregrad zugeordnet und mit einem entsprechenden Faktor multipliziert.
5. Zuletzt erfolgt eine Anpassung des Grundwertes anhand aller sonstigen, bisher nicht berücksichtigten Umstände des Einzelfalls. Dabei müssen alle für und gegen das verantwortliche Unternehmen sprechenden, täterbezogenen sowie sonstigen Umstände, berücksichtigt werden.

Quelle: www.computerwoche.de

DSGVO-Verstoß: 110 Millionen Euro Bußgeld für Hotelkette Marriott:
https://www.heise.de/newsticker/meldung/DSGVO-Strafe-110-Millionen-Euro-Bussgeld-fuer-Hotelkette-Marriott-angesetzt-4466555.html

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) untersucht in einer fokussierten Datenschutzprüfung die Website des Blutspendedienstes des Bayerischen Roten Kreuzes. Anlass der Prüfung war der Einsatz von Tracking-Tools auf der Website des Blutspendedientes. Das BayLDA prüft insbesondere, ob sensible Gesundheitsdaten der Nutzer durch Facebook verarbeitet wurden.

Lesen Sie dazu mehr unter folgendem Link:
https://www.lda.bayern.de/media/pm/pm2019_10.pdf