Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit in Baden-Württemberg (LfDI BW) hat auf eine Anfrage über die Internetplattform „FragDenStaat“ seinen Fragebogen zur Videoüberwachung veröffentlicht.
Lesen Sie mehr unter:
https://datenschutz.prodatis.com/downloads/Kontrolle_von_Videoueberwachung.pdf
Schadenersatzansprüche sind zunehmend ein Thema. Das Arbeitsgericht Düsseldorf hat z.B. aktuell die Kriterien zur Bußgeldbemessung herangezogen, um einen immateriellen Schaden zu bewerten. Sensibilisieren Sie die Geschäftsleitung auch für dieses Risiko.
Die Datenschutz-Grundverordnung (DSGVO) hält einige Überraschungen bereit. Ein bisher unterschätztes Risiko sind z.B. die Schadenersatzansprüche.
Lesen Sie mehr unter:
https://datenschutz.prodatis.com/downloads/Schadensersatz_DSGVO.pdf
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Professor Ulrich Kelber, stellte in der letzten Woche den 28. Tätigkeitsbericht zum Datenschutz und den 7. Tätigkeitsbericht zur Informationsfreiheit vor.
Der 28. Tätigkeitsbericht zum Datenschutz 2019 beleuchtet die wichtigsten datenschutzpolitischen Themen, mit denen sich der BfDI 2019 befasst hat, stellt die Beratungen und Kontrollen in Deutschland dar, geht auf die zunehmend engere Zusammenarbeit der europäischen Aufsichtsbehörden zur Umsetzung der DSGVO in der Europäischen Union ein, enthält eine Reihe von Statistiken zur Arbeit des BfDI, gibt eine Übersicht, wie es um die Umsetzung der Empfehlungen des BfDI aus den Vorjahren steht.
Lesen Sie mehr unter:
https://datenschutz.prodatis.com/downloads/Taetigkeitsbericht_des_BfDI.pdf
Mit Urteil vom 16.07.2020 (Az: C-311/18) hat sich der Europäische Gerichtshof mit der Zulässigkeit der EU-Standardvertragsklauseln in der Variante „Controller-to-Processor“ (2010/87/EU) sowie des Angemessenheitsbeschlusses der EU-Kommission zum EU-US Privacy Shields (Durchführungsbeschluss (EU) 2016/1250) befasst.
Der EuGH hat hierbei das EU-US Privacy Shield als Nachfolgeregelung für das Safe Harbor Abkommen für ungültig erklärt. Grund hierfür sind mögliche Zugriffe auf personenbezogene Daten von EU-Bürgern durch US-amerikanische Sicherheitsbehörden auf Grund vorrangiger Erfordernisse der nationalen Sicherheit, des öffentlichen Interesses oder zur Durchführung von Gesetzen, was nicht in Einklang mit den Grundrechten der EU-Bürger zu bringen ist.
Verantwortliche oder Auftragsverarbeiter können ab dem 16.07.2020 keine personenbezogenen Daten mehr auf Basis des EU-US Privacy Shields an Empfänger in den Vereinigten Staaten übermitteln, so z.B. via Google, WhatsApp oder Facebook.
Die EU-Standardvertragsklauseln bleiben hingegen gültig. Zwar bestünde auch hier das Risiko für Betroffene, dass öffentliche Stellen Rechte und Freiheiten durch einen Zugriff auf personenbezogene Daten verletzen, allerdings wären die in den Standardvertragsklausen vorgesehenen Schutzmechanismen grundsätzlich erweiterbar.
Verantwortliche werden durch den EuGH in die Pflicht genommen, für jeden Datenexport in ein Drittland zu untersuchen, ob der Empfänger die Zusicherungen der Vertragsklauseln einhalten kann oder ob lokale Gesetze ihm dies verbieten. Ergeben sich Hinweise, dass die EU-Standardvertragsklauseln nicht mehr eingehalten werden können, ist – neben dem Aussetzen des Exports – die Aufsichtsbehörde zu informieren, die wiederum ihrerseits eine diesbezügliche Prüfung anstrebt und ein Aussetzen ihrerseits verlangen kann.
Der EuGH wählt in seinem Urteil eine formale Herangehensweise an die EU-Standardvertragsklauseln, das die ohnehin bestehenden Pflichten für Exporteure und Importeure nochmals beleuchtet. Unklar bleibt für Verantwortliche, welche Hinweise im Drittland den Export personenbezogener Daten als unzulässig erscheinen lassen bzw. welche technisch-organisatorischen Maßnahmen ergänzend zu treffen sind.
Lesen Sie mehr unter:
https://www.gdd.de/aktuelles/startseite/eugh-faellt-urteil-zum-eu-us-privacy-shield-und-den-eu-standardvertragsklauseln
Pressemitteilung des EuGH zum Urteil:
https://curia.europa.eu/jcms/upload/docs/application/pdf/2020-07/cp200091de.pdf
Ein Bußgeld in Höhe von 1,2 Millionen Euro muss die AOK Baden-Württemberg zahlen. Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI BW) verhängte das Millionen-Bußgeld wegen einer fehlenden Einwilligung.
Pressemitteilung des LfDI BW:
https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2020/06/PM_Bußgeld-gegen-AOK.pdf
Interview des SWR mit Stefan Brink:
https://twitter.com/SWRAktuellBW/status/1277958650657599491
Nicht der oder die Datenschutzbeauftragte ist verantwortlich für den Datenschutz, sondern die sogenannte verantwortliche Stelle. Wer verantwortlich oder gemeinsam verantwortlich ist, kommt auf die Datenverarbeitung und die Auftragsverarbeitung an. Wir geben einen Überblick zum Verantwortlichen, auch zu Fragen der Haftung und zur Verantwortung bei Datenschutzverletzungen.
Lesen Sie mehr unter:
https://datenschutz.prodatis.com/downloads/verantwortlicher_nach_dsgvo.pdf
Bewerbungs- und Einstellungsprozesse sind ohne personenbezogene Daten undenkbar. Doch Verantwortliche müssen darauf achten, wirklich nur mit solchen Informationen zu arbeiten, die unbedingt erforderlich sind.
In Ergänzung zu den allgemeinen Pflichten der Datenschutz-Grundverordnung (DSGVO) bei der Verarbeitung personenbezogener Daten regelt § 26 Bundesdatenschutzgesetz (BDSG) für Deutschland weitere Eckpunkte zum Beschäftigtendatenschutz.
So umfasst der Beschäftigtenbegriff u.a. Bewerber der Unternehmen (§ 26 Abs. 8 Satz 2 BDSG).
Was müssen Verantwortliche nun im Zuge der gesetzlichen Rahmenbedingungen beim Onboarding, also bei der Einstellung und Einführung eines neuen Mitarbeiters in seinen Einsatzbereich, beachten? Wie müssen sie ihren Recruiting-Prozess strukturieren?
Lesen Sie mehr unter:
https://datenschutz.prodatis.com/downloads/neue_mitarbeiter.pdf
In der Personaldienstleistungsbranche sind gemeinsame Verantwortlichkeiten eher die Regel als die Ausnahme. Eine Einzelfallbetrachtung, wie die Beteiligten im konkreten Fall datenschutzrechtlich einzuordnen sind, ist dennoch unentbehrlich.
Verleiher und Entleiher schließen im Rahmen der Arbeitnehmerüberlassung oft einen Vertrag zur Auftragsverarbeitung (AV) ab. Und zwar obwohl im konkreten Fall überhaupt keine Auftragsverarbeitung vorliegt.
Darauf weist auch der aktuelle Tätigkeitsbericht des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI) hin.
Doch warum ist es rechtlich falsch, einen AV-Vertrag abzuschließen?
Lesen Sie mehr unter:
https://datenschutz.prodatis.com/downloads/arbeitnehmerueberlassung.pdf
Sie benötigen ein Muster zum Vertrag bei gemeinsamer Verantwortlichkeit gemäß Art. 26 DSGVO?
Gern stellen wir Ihnen dieses auf Anfrage in deutsch und/oder englisch zur Verfügung.
Ehemalige Beschäftigte können gewollt oder ungewollt zu einem großen Datenrisiko werden. Nur ein durchdachtes Verfahren für Kolleginnen und Kollegen, die aus dem Unternehmen ausscheiden, kann hier gegensteuern. Prüfen Sie deshalb diese Verarbeitungstätigkeit Ihres Unternehmens oder Ihrer Behörde.
Ausscheidende Beschäftigte sind ein Risiko für personenbezogene Daten ebenso wie für Geschäftsgeheimnisse.
Ehemalige Mitarbeiterinnen und Mitarbeiter dürfen keine Berechtigungen und Rollen behalten, die ihnen ermöglichen, weiterhin auf Daten zuzugreifen (Angriffsrisiko „unbefugte Zugriffe“ durch fehlerhafte Berechtigungssysteme und veraltete Rollenkonzepte). In der Praxis geschieht allerdings genau das.
Lesen Sie mehr unter:
https://datenschutz.prodatis.com/downloads/ausscheidende_mitarbeiter.pdf
Viele Fragen ranken sich um das Thema Sicherheit im Home-Office auch Telearbeit genannt. Auch hier gilt, dass beabsichtigte Regelungen in Unternehmen und öffenlichen Einrichtungen dokumentiert, umgesetzt und kontrolliert werden müssen. Aber auch Maßnahmen und Handlungsempfehlungen für Notfälle wie Datenpannen sind proaktiv zu organisieren.
Das Bundeamt für Sicherheit in der Informationstechnik hat als Bestandteil des IT-Grundschutzes auch die folgenden “Umsetzungshinweise zum Baustein OPS.1.2.4 Telearbeit” veröffentlicht. Diese geben eine nützliche Unterstützung bei der Planung und Konzeption, der Umsetzung und auch die Notfallvorsorge bei Arbeiten im Home-Office.
Umsetzungshinweise zum Baustein OPS.1.2.4 Telearbeit
Empfehlungen des BSI: Home-Office? – Aber sicher!
Ergänzend hierzu kann die Checkliste „Datenschutzrechtliche Regelungen bei Homeoffice“ des Bayerischen Landesamts für Datenschutzaufsicht zu Rate gezogen werden:
Selbst-Check: Datenschutzrechtliche Regelungen bei Homeoffice
Benötigen Sie eine interne Home-Office-Richtlinie oder Betriebsvereinbarung für Ihr Unternehmen oder öffentliche Einrichtung? Wir stellen Ihnen dazu gern auf Anforderung ein Muster zur Verfügung.
Wir unterstützen Sie auch gern beim Erstellen der obligatorischen Dokumentationen zur IT-Sicherheit und Datenschutz im Unternehmen oder öffentlichen Einrichtung z.B. eines IT-Sicherheitskonzeptes, Notfallkonzeptes, Löschkonzeptes etc.
Gern erstellen wir Ihnen ein individuelles Angebot, Sie erreichen uns unter den unten stehenden Kontaktinformationen.
