Archiv: News

Die Sächsische Datenschutz- und Transparenzbeauftragte Dr. Juliane Hundert hat ihren Tätigkeitsbericht für den Zeitraum 1. Januar bis 31. Dezember 2024 veröffentlicht. In diesem wurde wiederholt ein Anstieg der Beschwerden, Datenpannen und Beratungsanfragen im Vergleich zum Vorjahr festgestellt.

• Über 1.000 gemeldete Datenpannen – ein neuer Höchststand.
• Rund 1.260 Beschwerden und 740 schriftliche Beratungsanfragen.
• KI und Datenschutz: Pilotprojekte wie der Schulassistent KAI zeigen, wie datenschutzkonforme Lösungen aussehen können.
• Datenschutzkontrollen bei über 30.000 Websites – viele Verbesserungen, aber auch Nachholbedarf, z. B. beim Einsatz von Google Analytics.
• Klare Kritik an der automatisierten Gesichtserkennung in Strafverfahren – derzeit keine ausreichende gesetzliche Grundlage.

Der Tätigkeitsbericht ist nach Themenbereichen übersichtlich aufgebaut und gibt eine wertvolle Orientierung zum Umgang mit den unterschiedlichsten Datenschutzaspekten in Unternehmen und öffentlichen Einrichtungen. Neben statistischen Auswertungen werden zahlreiche Einzelfälle, Gesetzesinitiativen und Entwicklungen im Bereich Digitalisierung und Datenschutz beleuchtet.

Hier finden Sie den Tätigkeitsbericht für 2024:
https://www.datenschutz.sachsen.de/download/taetigkeitsberichte/Taetigkeitsbericht_Datenschutz_2024.pdf

Hier finden Sie die Pressemitteilung zum Tätigkeitsbericht:
https://www.medienservice.sachsen.de/medien/news/1085765

Werden von Datenschutz-Aufsichtsbehörden Bußgelder oder andere Sanktionen gegen Unternehmen ausgesprochen, soll dies der Durchsetzung der gesetzlichen Vorgaben aus der DSGVO dienen. 

Warum hört man so wenig über deutsche Bußgelder?
Tatsächlich verhängen die deutschen Datenschutzbehörden jedes Jahr zahlreiche Bußgelder – allein in Berlin waren es 2022 ganze 326 Fälle, im Vergleich dazu in ganz Spanien 378. Dennoch bleiben die meisten davon unter dem Radar. Der Grund: In Deutschland gibt es keine Verpflichtung, verhängte Bußgelder zu veröffentlichen. Anders als in Spanien oder Schweden, wo Behörden die Verstöße transparent machen, erscheinen hierzulande nur vereinzelt Informationen in den jährlichen Tätigkeitsberichten der Aufsichtsbehörden oder in Pressemitteilungen.

Europäischer Vergleich: Mehr Transparenz anderswo
Im Gegensatz zu den deutschen Behörden setzen Aufsichtsbehörden in anderen EU-Ländern auf mehr Offenheit, z.B.:

• Spanien veröffentlicht Bußgelder direkt auf der Webseite der Datenschutzbehörde.
• Schweden informiert über Datenschutzverstöße sowohl online als auch in Newslettern.
• Italien nutzt die Veröffentlichung von Bußgeldern sogar als ergänzende Sanktion.

Was bedeutet das für die Praxis?
Die geringe Sichtbarkeit von DSGVO-Verstößen in Deutschland darf jedoch nicht darüber hinwegtäuschen, dass Bußgelder verhängt und Sanktionen ausgesprochen werden, insbesondere für „Wiederholungstäter“.

Um Datenschutz-, Compliance- und monetäre Risiken frühzeitig für Ihr Unternehmen zu erkennen und geeignete Maßnahmen zur Vermeidung zu ergreifen, sollten Ihnen diese bekannt sein. Wenn Sie sich über die Vergabe von DSGVO-Bußgeldern in Deutschland informieren möchten, erhalten Sie Zusammenfassungen in den Tätigkeitsberichten des Datenschutzbeauftragten im jeweiligen Bundesland. Des Weiteren können Sie sich auf europäische Vergleiche stützen.

Eine aktuelle Übersicht über verhängte Strafen finden Sie unter:
https://www.dsgvo-portal.de/dsgvo-bussgeld-datenbank/

Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) sowie das Bundesamt für Sicherheit in der Informationstechnik (BSI) haben am 10. Dezember 2024 eine praxisnahe Handreichung mit dem Titel „Kommunale IT-Krisen: Handlungsfähigkeit sichern“ veröffentlicht.

Ziel dieses Leitfadens ist es, Städte und Gemeinden gezielt dabei zu unterstützen, sich gegen Cyberangriffe zu wappnen und IT-Notfälle effektiv zu bewältigen.

Auch wenn der Leitfaden primär für die öffentliche Verwaltung konzipiert wurde, sind viele der enthaltenen Prinzipien und Strategien ebenso für Unternehmen von Interesse, die ihre IT-Sicherheit verbessern möchten.

Download der Orientierungshilfe unter:
https://www.bbk.bund.de/SharedDocs/Downloads/DE/Mediathek/Publikationen/KRITIS/wegweiser-kommunale-it-krisen_download.pdf?__blob=publicationFile&v=11

Die Prüfungen und Beschwerden in Bezug auf datenschutzkonforme Einwilligungen bei der Nutzung von Cookies auf Webseiten und Social Media Tools nehmen zu. Die meisten Verstöße gegen die gesetzlichen Vorschriften der Datenschutzgrundverordnung und anderen relevanten Gesetzen sind insbesondere bei Webseiten und Social Media Auftritten (wie z.B. Instagram, Meta, LinkedIn) mit:

• fehlenden bzw. fehlerhaften Einwilligungen für Marketing-Cookies
• unzureichend transparenten Informationen zur Datenverarbeitung
• unvollständigen oder veralteten Datenschutzerklärungen und Impressum

Um möglichen Beanstandungen, Beschwerden und Bußgeldern vorzubeugen, empfehlen wir Ihnen, folgende Punkte zu überprüfen und ggf. anzupassen:

Einwilligungen für Dienste und Cookies:

• Stellen Sie sicher, dass alle einwilligungspflichtigen Dienste (z.B. Tracking- und Analyse-Tools) sowie Cookies über ein rechtskonformes Consent-Management-System eingebunden sind.
• Die Einwilligung muss freiwillig, informiert und nachweisbar erfolgen. Eine rein implizite Zustimmung reicht nicht aus.

Transparenz der Datenverarbeitung:

• Dokumentieren Sie klar, welche personenbezogenen Daten auf Ihrer Webseite verarbeitet werden und zu welchen Zwecken.
• Diese Informationen müssen leicht zugänglich und verständlich in Ihrer Datenschutzerklärung dargestellt sein.

Aktualität der Datenschutzerklärung:

• Überprüfen Sie regelmäßig, ob Ihre Datenschutzerklärung auf dem neuesten Stand ist.
• Berücksichtigen Sie Änderungen in Ihrem Webauftritt, in der verwendeten Technik (z.B. neue Tools, Cookies) und rechtliche Neuerungen.

Microsoft revolutioniert das digitale Arbeiten mit Copilot, einer leistungsfähigen KI-Lösung, die auf natürlicher Sprache basiert und jetzt in Microsoft 365 sowie Windows 11 integriert ist. Was bietet Copilot wirklich? Vom Erstellen komplexer Dokumente bis hin zur Verwaltung umfangreicher Daten: Die KI eröffnet neue Möglichkeiten für Unternehmen und Benutzer.

Doch wie sieht es mit dem Datenschutz aus? Microsoft Graph fungiert als zentraler Datenknoten, der Daten effizient verarbeitet, aber auch datenschutzrechtliche Fragen aufwirft. Eine wesentliche Rolle spielt hier auch das Datenschutz-Tool „Purview“, das Kontrolle über den Umgang mit KI-gestützten Diensten wie Copilot bieten soll. Die umfassende Nutzung dieser KI-Plattform birgt neben Produktivitätspotenzial auch Herausforderungen, die einen genaueren Blick wert sind.

Lesen Sie mehr unter:
https://www.datenschutz-prodatis.com/nl/Microsoft_Copilot_aus_Sicht_des_Datenschutzes.pdf

Seit August führt Microsoft mit dem Update auf Windows 11 24H2 das neue Outlook ein – eine Plattform, die Anwendungen wie Windows Mail und den Kalender ersetzen soll. Diese Umstellung birgt erhebliche datenschutzrechtliche Herausforderungen, da alle E-Mails und Anmeldedaten über Microsoft-Server laufen. Dies gilt auch für Nutzer, deren Postfach bisher nicht bei Microsoft gehostet war, was neue Pflichten nach sich zieht.

Wichtige Datenschutz-Aspekte Besonders relevant für Unternehmen und Datenschutzverantwortliche: Viele zentrale Datenschutzfunktionen wie das Trust Center fehlen in der neuen Version. Zudem unterstützt das neue Outlook aktuell nur Exchange Online – ein potenzielles Problem für Nutzer, die lokale Exchange-Postfächer betreiben. Auch die Einbindung von speziellen Erweiterungen oder Sicherheitslösungen muss getestet werden, um die Kompatibilität sicherzustellen.

Handlungsbedarf für Unternehmen Das klassische Outlook bleibt voraussichtlich bis 2029 verfügbar, aber Unternehmen sollten sich frühzeitig Gedanken machen, ob und wie sie den Wechsel auf das neue Outlook angehen – insbesondere, um Datenschutzfragen im Voraus zu klären. IT- und Datenschutzabteilungen stehen vor der Aufgabe, diese Umstellung sicher zu begleiten und gegebenenfalls Maßnahmen wie das Blockieren des neuen Outlooks zu prüfen.

Lesen Sie mehr unter:
https://www.datenschutz-prodatis.com/nl/Datenschutz_mit_der_neuen_Version_von_MS_Outlook.pdf

Der Bayerische Landesbeauftragte für den Datenschutz (BayLfD) hat eine neue Orientierungshilfe zur Gemeinsamen Verantwortlichkeit nach Artikel 26 der DSGVO veröffentlicht. Diese Rechtsfigur, die oft für Unsicherheiten sorgt, regelt die vertragliche Zusammenarbeit zwischen gemeinsam Verantwortlichen und wird laut BayLfD häufiger angewendet als bislang angenommen.

Die Orientierungshilfe bietet konkrete Handlungsempfehlungen für öffentliche Stellen in Bayern, ist aber auch für Verantwortliche außerhalb des Bundeslandes relevant. Ziel ist es, Berührungsängste abzubauen und mehr Klarheit im Umgang mit der gemeinsamen Verantwortlichkeit zu schaffen.

Zuvor haben bereits die Datenschutzkonferenz und der Datenschutzbeauftragte Baden-Württembergs durch Veröffentlichungen und Vertragsmuster zur Klärung beigetragen. Auch die Gesellschaft für Datenschutz und Datensicherheit (GDD) hat mit einer Praxishilfe und einer Checkliste zusätzliche Unterstützung für Datenschutzpraktiker bereitgestellt.

Lesen Sie mehr unter:
https://www.datenschutz-bayern.de/infothek/OH_Gemeinsame_Verantwortlichkeit.pdf

Microsoft hat kürzlich eine Stellungnahme zur Datenschutz-Folgenabschätzung (DSFA) für Office 365 veröffentlicht. Laut Microsofts eigener Aussage ist die Nutzung von Office 365 in der bereitgestellten Form nicht automatisch mit einem Risiko verbunden, das eine DSFA nach Art. 35 DSGVO erfordert. Ob eine solche Bewertung notwendig wird, hängt vielmehr davon ab, wie Sie als Verantwortlicher Office 365 konfigurieren und verwenden.

Wichtiger Hinweis für Datenverantwortliche

Microsoft betont, dass erst durch die spezifische Art und Weise, wie Sie die Software einsetzen, potenzielle Risiken entstehen können, die eine DSFA notwendig machen könnten. Unabhängig davon, ob man diese Auffassung für überzeugend hält, können interessierte Verantwortliche auf den Seiten von Microsoft einen neuen Leitfaden abrufen. Dieser soll Sie als Datenverantwortlicher dabei unterstützen, zu entscheiden, ob eine DSFA erforderlich ist und wie Sie diese gegebenenfalls umsetzen.

Inhalt des neuen Leitfadens

• Teil 1: Bietet grundlegende Informationen zu Office 365 und hilft Ihnen bei der Entscheidung, ob eine DSFA erforderlich ist.
• Teil 2: Enthält allgemeine Antworten und die notwendigen Elemente für eine DSFA, relevant für alle Office-365-Dienste.
• Teil 3: Stellt produktspezifische Informationen bereit, die auf die wichtigsten Bedürfnisse der Kunden abgestimmt sind. Zusätzlich wird ein anpassbares DSFA-Dokument bereitgestellt, das Ihnen die Durchführung erleichtern soll.

Welche Dienste sind betroffen?

Office 365 umfasst eine Vielzahl an Anwendungen und Diensten, darunter Exchange Online, SharePoint, OneDrive für Arbeit und Schule, Viva Engage und Microsoft Teams. Eine vollständige Liste der verfügbaren Dienste finden Sie in den Tabellen des Leitfadens.

Lesen Sie mehr unter:
https://learn.microsoft.com/de-de/compliance/regulatory/gdpr-dpia-office365

Die Sächsische Datenschutz- und Transparenzbeauftragte (SDTB) hat eine neue Auflage der Broschüre „Achtung Kamera!“ veröffentlicht. Diese richtet sich an Privatpersonen, Unternehmen und Behörden und bietet umfassende Informationen zur datenschutzkonformen Videoüberwachung.

Die Broschüre behandelt folgende zentrale Themen:

1. Rechtliche Rahmenbedingungen: Sie erklärt die gesetzlichen Vorgaben der DSGVO und des BDSG, die für Videoüberwachung gelten. Insbesondere wird auf die Notwendigkeit einer klaren Rechtsgrundlage für jede Form der Datenverarbeitung hingewiesen.
2. Transparenz- und Informationspflichten: Es wird erläutert, wie Überwachungskameras gekennzeichnet werden müssen, damit Betroffene ausreichend informiert sind. Dies umfasst auch die Pflicht, durch Hinweisschilder auf die Überwachung aufmerksam zu machen und welche Details darauf enthalten sein müssen.
3. Datensparsamkeit und Speicherfristen: Die Broschüre betont die Wichtigkeit der Datensparsamkeit und fordert, dass Daten nur so lange wie nötig gespeichert und danach gelöscht werden müssen.
4. Betroffenenrechte: Es wird auf die Rechte der überwachten Personen eingegangen, einschließlich ihres Rechts auf Auskunft über die gespeicherten Daten und deren Löschung.
5. Praktische Empfehlungen: Die Broschüre enthält konkrete Beispiele und Hinweise, wie typische Fehler bei der Videoüberwachung vermieden werden können.

Die Broschüre zielt darauf ab, das Bewusstsein für den verantwortungsvollen und rechtskonformen Einsatz von Videoüberwachung zu schärfen und den Schutz der Privatsphäre zu stärken.

Lesen Sie mehr unter:
https://www.datenschutz.sachsen.de/download/Achtung_Kamera.pdf

Seit dem 17. Februar 2024 gelten die neuen Vorschriften des Digital Services Act (DSA) für alle Online-Plattformen. Der Digital Services Act ist eine EU-Verordnung zur Bekämpfung rechtswidriger Inhalte im Internet. Diese Verordnung legt umfassende Verpflichtungen für Online-Dienste fest. Das Digitale-Dienste-Gesetz (DDG) regelt die Umsetzung dieser Verpflichtungen in Deutschland.

Das DDG trat am 14. Mai 2024 in Kraft und löste das Telemediengesetz (TMG) ab, das nun im DSA und DDG aufgeht. Zudem wurde das Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG) in Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) umbenannt.

Diese Gesetzesänderungen betreffen alle Unternehmen auf nationaler Ebene, da „Telemedien“ nun als „Digitale Dienste“ bezeichnet werden.

Daraus ergeben sich hauptsächlich redaktionelle Änderungen, die wie folgt umzusetzen sind:

Überarbeitung der Webseite:

• Änderung der Begrifflichkeit „Telemedien“ zu „Digitale Dienste“ und Überprüfung, ob weitere Anpassungen notwendig sind.
• Die „Allgemeinen Informationspflichten“ im Impressum ergeben sich nun aus § 5 DDG (zuvor § 5 TMG). Die „Besonderen Pflichten bei kommerziellen Kommunikationen“ ergeben sich aus § 6 DDG (zuvor § 6 TMG).
• Im CMP/Cookie-Banner ist der Verweis auf § 25 TTDSG zu § 25 TDDDG zu ändern und der Begriff „Telemedien“ durch „Digitale Dienste“ zu ersetzen.
• Datenschutzinformationen auf der Webseite sind von TMG zu DDG und von TTDSG zu TDDDG zu ändern.
• Eigene Erklärungen auf der Webseite müssen auf die Formulierungen „Telemedien“ sowie die alten Gesetzesbezeichnungen überprüft werden.

Datenschutzerklärungen gemäß Artt. 13 und 14 DS-GVO:

• Sämtliche Datenschutzerklärungen (z. B. für Kunden, Lieferanten, Bewerber, Beschäftigte) sind auf Verweise auf das TMG und TTDSG zu überprüfen und „Telemedien“ ist durch „Digitale Dienste“ zu ersetzen.
• Verweise auf die Rechtsgrundlagen sind entsprechend anzupassen.
• Eine Information der Betroffenen über die abgeänderten Datenschutzerklärungen ist nicht erforderlich.

Verpflichtungserklärung zum Datenschutz für Beschäftigte:

• Überprüfung und Anpassung aller datenschutzrechtlichen Verpflichtungserklärungen auf Verweise zum TMG und TTDSG. Insbesondere sind Verweise auf das Fernmeldegeheimnis (zuvor § 3 TTDSG oder § 88 TKG) gemäß § 3 TDDDG zu ändern. Auch hier ist „Telemedien“ durch „Digitale Dienste“ zu ersetzen.
• Bereits unterschriebene Verpflichtungserklärungen mit Beschäftigten müssen nicht geändert werden.

Lesen Sie mehr unter:
https://www.gdd.de/aktuelles/checkliste-des-neu-eingefuehrten-ddg-und-tdddg/