Archiv: News

In Zusammenarbeit mit unseren Kunden haben wir das HintPortal entwickelt, das praxisorientiert und einfach die Vorgaben des Hinweisgeberschutzgesetzes umsetzt. Gleichzeitig können Sie auch Hinweise in Bezug auf das Lieferkettensorgfaltspflichtengesetzes (LkSG) entgegennehmen.

Durch unseren sicheren und digitalen Meldekanal ermöglichen Sie es Ihren Beschäftigten oder auch Geschäftspartnern vertraulich auf Missstände wie Korruption, Amtsmissbrauch oder Diskriminierung intern aufmerksam zu machen, bevor Beschwerden an die Öffentlichkeit gelangen.

Ihr Nutzen

• In wenigen Schritten compliant
• Übersichtliche Verwaltung von eingegangenen Hinweisen, ob anonym oder persönliche Meldung
• Automatische und fristgerechte Bestätigung des Eingangs an den Hinweisgeber
• Lückenlose Dokumentation der Hinweise vom Eingang bis zur Archivierung
• Schnelle Integration durch einen Hyperlink auf Ihrer Webseite
• Schutz und Vertraulichkeit des Hinweisgebers während der Bearbeitung der Meldung und danach

Zusätzlich zur Nutzung unseres HintPORTALs übernehmen wir auf Wunsch die Aufgabe der sogenannten internen Meldestelle Ihres Unternehmens / öffentlichen Einrichtung und stellen einen direkten Ansprechpartner für die Kommunikation mit dem Hinweisgeber und dem Auftraggeber zur Verfügung.

Weitere Informationen finden Sie unter
www.hint-portal.com

Sollten wir Sie bereits im Datenschutz als externe Datenschutzbeauftragte betreuen, erhalten Sie Sonderkonditionen bei der Nutzung unseres HintPortal.

Bitte beachten Sie:
Unternehmen und öffentliche Verwaltungen mit 250 oder mehr Beschäftigten hatten bis Anfang Juli 2023 die Frist, die Vorgaben des Hinweisgeberschutzgesetzes umzusetzen. Der Stichtag für Unternehmen und öffentliche Verwaltungen mit 50 bis 249 Beschäftigten ist der 17.12.2023. Dabei sind interne Meldestellen und Konzepte zum Schutz von Hinweisgebern einzurichten.

Für Fragen oder eine Live-Demonstration stehen wir Ihnen gern unter 0351 266 23 30 zur Verfügung.

Ein Arbeitnehmer kommt für eine „Mehrarbeitsschicht“ auf das Werksgelände. Noch bevor die Schicht beginnt, geht er wieder heim. Die Nachtschicht leistete er nicht, ließ sich diese aber trotzdem bezahlen. Zeugen für sein Verhalten gab es nicht, wohl aber Videoaufnahmen von einer Videokamera am Tor zum Werksgelände.

Darf das Arbeitsgericht die Aufnahme verwenden, obwohl sie „ein bisschen“ gegen den Datenschutz verstößt?

Lesen Sie mehr unter:
https://datenschutz-prodatis.com/nl/Video_als_Beweis_fuer_Arbeitszeitbetrug.pdf

Wollen Unternehmen die Leistung und das Verhalten ihrer Beschäftigten überwachen, ist dies entweder gar nicht oder nur unter engen Voraussetzungen möglich. Hinweise dazu gibt ein Urteil des Verwaltungsgerichts (VG) Hannover. In dem Fall, den das VG Hannover entschieden hat, betreibt das verantwortliche Unternehmen ein Logistikzentrum auf einer Betriebsfläche von 64.000 qm mit bis zu 2.200 Beschäftigten, die im Durchschnitt pro Tag 220.000 Pakete für den Versand abfertigen. Das entspricht 153 Paketen pro Minute.

Da der Paketversand einer Termingarantie unterliegt, stehen zwischen Auftragseingang und der Übergabe der Pakete an ein Transportunternehmen nur etwa vier Stunden zur Verfügung. Die Beschäftigten arbeiten mit Handscannern, die in Echtzeit jeden Arbeitsschritt dokumentieren und das Unternehmen verwendet diese minutengenauen Leistungswerte, um die Logistikprozesse zu steuern, so z.B. auf eine zu langsame Abfertigung von Paketen in einzelnen Prozessbereichen durch Umverteilung von Beschäftigten zu reagieren.

Lesen Sie mehr unter:
https://datenschutz-prodatis.com/nl/Leistungsdaten_in_Echtzeit.pdf

Die Sächsische Datenschutz- und Transparenzbeauftragte (SDTB) Dr. Juliane Hundert hat der Sächsischen Staatskanzlei den Betrieb ihrer Facebook-Fanpage »facebook.com/Freistaat.Sachsen« untersagt.

„Wesentliche Kritikpunkte, die sich hauptsächlich aus der bisherigen Rechtsprechung und einem Gutachten der Datenschutzkonferenz ergeben, konnten in der Stellungnahme der Sächsischen Staatskanzlei nicht entkräftet werden. Nach wie vor besteht bei der Verarbeitung der personenbezogenen Daten durch die Nutzung einer Facebook-Fanpage eine gemeinsame Verantwortlichkeit mit dem Meta-Konzern. Danach ist die Staatskanzlei verpflichtet, die Einhaltung der Grundsätze des Datenschutzrechts nachzuweisen. Das kann sie aktuell nicht. Es ist jedoch essenziell, dass die Grundrechte der Bürgerinnen und Bürger geschützt werden. Auch aufgrund ihrer Vorbildwirkung sollten sich öffentliche Stellen an Recht und Gesetz halten.“

Abschließend macht Dr. Juliane Hundert deutlich: „Das Verfahren gegen die Sächsische Staatskanzlei ist exemplarisch. Auch andere öffentliche Stellen im Freistaat Sachsen nutzen Facebook und sind zu rechtmäßigem Handeln verpflichtet. Sie sollten sich nicht hinter dem Verfahren gegen die Sächsische Staatskanzlei verstecken, sondern aktiv und umgehend die datenschutzwidrige Nutzung ihrer Facebook-Fanpages beenden.“

(Quelle: https://www.datenschutz.sachsen.de)

Lesen Sie mehr unter:
https://www.datenschutz.sachsen.de/staatskanzlei-muss-facebook-fanpage-abschalten-6249.html

Sie haben zu Ihrer eigenen Facebook-Fanpage fragen? Nutzen Sie dazu unsere Informationen zu einer Datenschutz-Ist-Analyse sowie Datenschutzberatung und -angebote.

Seit Inkrafttreten der EU-Datenschutzgrundverordnung sind nun mittlerweile über fünf Jahre vergangen. Viele offene Fragen konnten seitdem geklärt werden.

Das Bayerische Landesamt für Datenschutzaufsicht hat auf seiner Webseite eine hilfreiche Zusammenstellung von alltäglichen Fragen zum Datenschutz mit kurzen Antworten für Unternehmen und Verwaltungen veröffentlicht. Die FAQ nehmen Stellung zu bspw. folgenden Fragen:

• Wann liegt eine Auftragsverarbeitung vor?
• Dürfen externe Videos z.B. YouTube oder Vimeo auf der Website eingebunden werden?
• Darf WhatsApp für die Kommunikation innerhalb meines Unternehmens eingesetzt werden?
• Müssen Besucher einer öffentlichen Veranstaltung darüber informiert werden, dass Fotos im Internet veröffentlicht werden?
• Wie muss ein Cookie-Banner gestaltet sein, damit die Einwilligung zulässig ist?
• Sind Kundenzufriedenheitsbefragungen per E-Mail erlaubt?

Den entsprechenden Link finden Sie hier:
https://www.lda.bayern.de/de/faq.html

Das finale Hinweisgeberschutzgesetz (HinSchG) mit Änderungsvorschlägen des Vermittlungsausschusses wurde am 12.05.2023 verabschiedet. Das Gesetz tritt Mitte Juni 2023 in Kraft, nachdem es vom Bundespräsidenten unterzeichnet und nach der Verkündigung im Bundesgesetzblatt veröffentlicht wurde. Beschäftigte sollen die Möglichkeit erhalten – im Zusammenhang mit ihrer Beschäftigung stehende – Fälle von bspw. Gesetzesverstößen, Betrug, unethischem Verhalten, Diskriminierung, Belästigung, Korruption, Diebstahl von Firmeneigentum oder auch Datenschutzverstößen anonym und ohne Benachteiligungen zu melden.

Unternehmen und öffentliche Verwaltungen mit 250 oder mehr Beschäftigten haben dann einen Monat Zeit, die Vorgaben des Gesetzes umzusetzen. Der Stichtag für Unternehmen und öffentliche Verwaltungen mit 50 bis 249 Beschäftigten ist der 17.12.2023. Umzusetzen sind interne Meldestellen und Konzepte zum Schutz von Hinweisgebern. Erfolgt dies nicht, drohen Bußgelder von bis zu 50.000 €.

Einfache Umsetzung mit digitalen Hinweisgebersystemen

Es empfiehlt sich die digitale Implementierung eines Hinweisgebersystems, um die Anforderungen des Gesetzes schnell und unkompliziert umzusetzen. Bei der Einrichtung einer internen E-Mailadresse zur Meldung von Hinweisen kann bspw. nicht gewährleistet werden, dass die IT-Abteilung die Mails mitliest oder der Mailaccount kompromittiert wird.

Vorteile von digitalen Hinweisgebersystemen

• Anonyme Meldung von Missständen ist möglich.
• Eingang von Hinweisen wird automatisch innerhalb von 7 Tagen bestätigt. 
• Hinweisgeber wird innerhalb von 3 Monaten über die bereits getroffenen Maßnahmen informiert.
• Identität des Hinweisgebers wird nur den Personen bekannt sein, die im Unternehmen zur Bearbeitung der Hinweise bestimmt wurden.

Die PRODATIS stellt Ihnen ein digitales, gesetzeskonformes Hinweisgebersystem zur Verfügung und kann im Bedarfsfall die Meldungen von Beschäftigten vertraulich als Meldestelle zur weiteren Bearbeitung entgegennehmen.
Sprechen Sie uns an, unter: +49 (0) 351 266 23 30

Was ist aus Datenschutzsicht zu beachten?

Die neuen Meldestellen müssen sich streng an datenschutzrechtliche Vorgaben halten, denn sie nehmen die Meldungen entgegen, verarbeiten personenbezogene Daten und dokumentieren die Hinweise. Weitere Anforderungen sind insbesondere: 

• vor der Einführung des Verfahrens eine Datenschutzfolgenabschätzung durchführen,
• bei der Einrichtung einer internen Meldestelle die neue Funktion in das Verzeichnis der Verarbeitungstätigkeiten(gem. Art. 30 DSGVO) aufnehmen 
• Erstellen und zur Verfügung stellen von Datenschutzhinweisen für betroffene Personen (Informationspflichten gem. Art. 13 und 14 DSGVO)
• drei Jahre nach Abschluss des Verfahrens alle Daten löschen. 

Die Sächsische Datenschutz- und Transparentbeauftragte (SDTB), Frau Dr. Juliane Hundert, hat am 16.05.2023 den Tätigkeitsbericht Datenschutz für das Jahr 2022 vorgelegt. Mehr als 1.000 Beschwerden wurden von der Behörde in diesem Zeitraum bearbeitet. Schwerpunkte im Berichtsjahr waren u.a. 

• Vorgänge, die im Zusammenhang mit Datenpannen standen,
• Auskunftsrecht (3.2.),
• Abo-Modelle im Online-Bereich (2.3.6),
• Websites und Apps (4.1.1; 4.3.1),
• Themen zum Schutz und der Verarbeitung von Gesundheitsdaten, beispielsweise um den Auskunftsanspruch bei Patientenakten (3.2.3),
• Übermittlung von Gesundheitsdaten an Inkassounternehmen (2.4.1),
• Auch die ergriffenen Maßnahmen zur Corona-Pandemie waren Anfang des Jahres 2022 noch ein Thema (1.4, 1.5, 2.2.8),
• Begleitung von Rechtsetzungsvorhaben durch die SDTB (6.2.8).

Auf über 230 Seiten sind die Schwerpunkte der Datenschutzaufsicht, Statistiken, Hinweise zur Auslegung der Datenschutz-Grundverordnung, zur Sanktionspraxis und Datenschutz-Rechtsprechung zusammengefasst.

Lesen Sie mehr unter: 
https://www.datenschutz.sachsen.de/taetigkeitsbericht-datenschutz-2022-vorgelegt-6144.html

Die Website der Sächsischen Datenschutz- und Transparenzbeauftragten wurde neu gestaltet und ist ab sofort unter www.datenschutz.sachsen.de erreichbar. Der Internetauftritt wurde in den letzten Monaten inhaltlich, optisch und technisch überarbeitet. Das Informationsangebot ist nun nach Zielgruppen unterteilt und enthält themenspezifische Inhalte, wie zum Beispiel Datenschutz in der Schule, im Homeoffice, bei Videokonferenzsystemen und in vielen weiteren Bereichen.

Die neue Website richtet sich an Bürgerinnen und Bürger sowie an die Wirtschaft und Verwaltung. Im Vergleich zum alten Auftritt sind viele neue Inhalte hinzugekommen, um betroffene Personen und Verantwortliche umfangreicher über ihre Rechte und Pflichten zu informieren. Die Datenschutz- und Transparenzbeauftragte hofft, dass durch frühzeitige Berücksichtigung des Datenschutzes etliche Beschwerden und Verstöße verhindert werden können. In den kommenden Monaten wird das Angebot um weitere praxisnahe Informationen erweitert, da Prävention besser als Intervention ist. 

Die Überarbeitung der Website hat auch die Darstellung für mobile Endgeräte verbessert und präsentiert Inhalte nun auch barrierefrei. Eigens entwickelte Symbole und Grafiken helfen bei der Orientierung und Navigation. 

Neue E-Mail-Adressen

Die E-Mail-Adressen haben sich geändert, sodass statt »@slt.sachsen.de« ab sofort »@sdtb.sachsen.de« verwendet wird. Das zentrale E-Mail-Postfach ist nun »post@sdtb.sachsen.de«.

Falls die alten Angaben in einer Datenschutzerklärung eingebunden wurden, sollten die Kontaktdaten der Aufsichtsbehörde aktualisiert werden, zum Beispiel auf einer Website. Beachten Sie, dass E-Mails an die bisherigen Postfächer der Sächsischen Datenschutz- und Transparenzbeauftragten nur noch bis Ende Juni 2023 an die neuen Adressen weitergeleitet werden.

Über die Sächsische Datenschutz- und Transparenzbeauftragte

Die Sächsische Datenschutzbeauftragte ist die unabhängige Datenschutz-Aufsichtsbehörde für Sachsen gemäß Artikel 51 Absatz 1 der Datenschutz-Grundverordnung (DSGVO). Die Zuständigkeit ergibt sich aus § 14 Absatz 2 des Sächsischen Datenschutzdurchführungsgesetzes für nicht-öffentliche Stellen wie Unternehmen und Vereine und aus § 14 Absatz 1 desselben Gesetzes für öffentliche Stellen wie Behörden. Seit 2022 wird das Amt von Dr. Juliane Hundert in Dresden geleitet und von etwa 40 Mitarbeiterinnen und Mitarbeitern unterstützt. Die Sächsische Datenschutzbeauftragte überwacht die Einhaltung der Datenschutzvorschriften und bearbeitet Beschwerden von Bürgern. Zu ihren weiteren Aufgaben gehört die Beratung von sächsischen Verantwortlichen bei datenschutzrechtlichen Fragen. Seit dem Inkrafttreten des Sächsischen Transparenzgesetzes zum 1.1.2023 ist Dr. Juliane Hundert auch als Transparenzbeauftragte tätig.

Pressemitteilung der Sächsischen Datenschutz- und Transparenzbeauftragten:
https://www.medienservice.sachsen.de/medien/news/1066198

Spätestens seit Anwendbarkeit der Datenschutz-Grundverordnung (DSGVO) müssen Unternehmen, die personenbezogene Daten verarbeiten, Strategien zur deren Löschung haben. Denn der drastisch erhöhte Bußgeldrahmen bei Datenschutzverletzungen duldet keine Nachlässigkeiten mehr.

Was müssen Verantwortliche hierbei zur Löschung personenbezogener Daten und den dazugehörigen Nachweispflichten wissen? Welche Pflichten sieht die DSGVO vor? Welche Dokumentationsmaßnahmen sind hierbei sinnvoll?

Ohne Löschkonzept kein Einhalten der DSGVO-Grundprinzipien (Art. 5 DSGVO):

• Speicherbegrenzung,
• Datenminimierung und
• Zweckbindung.

Zum Einhalten dieser Grundprinzipien ist für Unternehmen ein Löschkonzept notwendig. Dieses stellt sicher, dass personenbezogene Daten dann gelöscht werden, wenn der Zweck wegfällt, auf dessen Grundlage die Daten verarbeitet wurden.

Lesen Sie mehr unter:
https://datenschutz.prodatis.com/nl/So_laesst_sich_die_Loeschung_von_Daten_dokumentieren.pdf

Schritt für Schritt zum Löschkonzept:
https://datenschutz.prodatis.com/nl/schritt_fuer_schritt_zum_loeschkonzept.pdf

Das Löschkonzept – ein Beispiel:
https://datenschutz.prodatis.com/nl/das_loeschkonzept_ein_beispiel.pdf

Das CERT-AT weist auf eine Zunahme an Spear-Phishing-Angriffen auf österreichische und deutsche Unternehmen hin. Bei diesem Spear-Phishing versuchen Betrüger, Rechnungszahlungen auf falsche Konten unter ihrer Kontrolle umzuleiten.

Die Betrüger kommen recht einfach an die für ihre Betrugsmasche nötigen Informationen. Über Ausschreibungen, Blog-Beiträge, Pressemitteilungen oder Ankündigungen in sozialen Medien lassen sich Geschäftsbeziehungen zwischen Unternehmen erkennen. An diese Unternehmen schicken die Cyberkriminellen unverdächtige E-Mail-Anfragen, auf die sie Antworten im Corporate Identity (CI) erhalten, der offiziellen Unternehmensoptik und -aufmachung.

Darauf basierend fälschen die Betrüger täuschend echt aufgemachte E-Mails des Unternehmens, mit leicht abgewandelter E-Mail-Adresse, die öfter sogar mit ähnlich klingenden Domains versehen sind. Mit diesen fragen sie z.B. bei den Lieferanten des Unternehmens nach noch offenen Rechnungen.

Die Lieferanten schöpften hierbei kaum Verdacht, da sie das Geld für ihre Leistungen gerne haben möchten. Die so erhaltenen Rechnungen, z.B. im PDF-Format manipulieren die Betrüger und ändern die Kontoverbindung auf ein Bankkonto unter ihrer Kontrolle – in der Regel im Ausland – und senden sie an das Kunden-Unternehmen. In den betrügerischen E-Mails weisen sie dann sogar auf die geänderte Bankverbindung hin.

(Quelle: www.heise.de)

Lesen Sie mehr unter:
https://heise.de/-7538772