Home / Aktuelles & Termine / it.sec blog

Gemäß Art. 6 Abs. 1 DSGVO ist eine Verarbeitung personenbezogener Daten nach der Datenschutzgrundverordnung nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

  • Die betroffene Person hat ihre Einwilligung Art. 6 Abs. 1 lit. a DSGVO zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben.
    • Form: ausdrückliche Erklärung oder zumindest unmissverständliche Handlung, die auch durch Mausklick oder per E-Mail erfolgen kann. Wichtig ist, dass der Verantwortliche nachweisen kann, dass eine Einwilligung abgegeben wurde (Dokumentation).
    • Informiertheit: Der Betroffene ist vorab über die Identität des Datenverarbeiters, über die Zwecke der Datenverarbeitung und über sein jederzeitiges, freies Widerrufsrecht ohne entsprechende Rückwirkung zu informieren.
    • Bei Unterbringung u.a. in Allgemeinen Geschäftsbedingungen muss die Einwilligung deutlich hervorgehoben und klar verständlich sein.
    • Vertragliche Einwilligungsklauseln sind in der Regel unwirksam, wenn sie sich auf Daten erstrecken, die für die Erfüllung des Vertrages nicht erforderlich sind.
    • Einwilligungserklärungen sind unwirksam, wenn ein klares Ungleichgewicht zwischen dem Verantwortlichen und dem Betroffenen besteht. Ein solches ist in der Regel beispielsweise, wie bisher auch schon, zwischen Arbeitgeber und Arbeitnehmer gegeben. Da auch im Massenverkehr zwischen Unternehmern und Verbrauchern regelmäßig davon auszugehen ist, wird der rechtskonforme Datenverkehr mit Verbrauchern erheblich erschwert.
    • Das Mindestalter für die Einwilligung beträgt in der Regel 16 Jahre.

Zusammenfassend lässt sich sagen, dass die Rechtslage zur „Einwilligung” im Großen und Ganzen unverändert bleibt. Letztlich bleiben alle Erfordernisse, die bisher bestanden, bestehen. Hinzu gekommen sind das Mindestalter sowie die Problematik eines möglichen Ungleichgewichts zwischen dem Verantwortlichen und dem Betroffenen. Teilweise wurden Regelungen, die bisher nicht explizit niedergeschrieben wurden, in den Gesetzestext aufgenommen.

  • Die Verarbeitung ist für die Erfüllung eines Vertrags, Art. 6 Abs. 1 lit. b DSGVO, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgt.
  • Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung, Art. 6 Abs. 1 lit. c DSGVO, erforderlich, der der Verantwortliche unterliegt. Die Rechtsgrundlage für eine solche Verarbeitung wird durch Unionsrecht oder das Recht der Mitgliedsstaaten, dem der Verantwortliche unterliegt, festgelegt.
  • Die Verarbeitung erforderlich ist, um lebenswichtige Interessen, Art. 6 Abs. 1 lit. d DSGVO, der betroffenen Person oder einer anderen natürlichen Person zu schützen.
  • Die Verarbeitung ist für die Wahrnehmung einer Aufgabe, Art. 6 Abs. 1 lit. e DSGVO, erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde.
  • Die Verarbeitung ist zur Wahrung der berechtigten Interessen, Art. 6 Abs. 1 lit. f DSGVO, des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.
    • Mit jeder Form der Datenverarbeitung wird ein bestimmtes Interesse von unterschiedlichen Ausprägungen verfolgt.
    • Ob das verfolgte Interesse berechtigt ist, ist eine reine Wertungsfrage, deren Maßstäbe aus den allgemeinen Datenschutzgrundsätzen abzuleiten sind.
    • Nach Erwägungsgrund 47 S. 1-4 DSGVO kommt es dabei auf die vernünftigen Erwartungen der Betroffenen an.

Erfolgt im Anschluss eine Weiterverarbeitung von Daten zu einem vereinbaren Zweck, so bedarf es keiner gesonderten Rechtsgrundlage für eine solche Weiterverarbeitung, Art. 6 Abs. 4 DSGVO. Um festzustellen, ob ein Zweck der Weiterverarbeitung mit dem Zweck, für den die personenbezogenen Daten ursprünglich erhoben wurden, vereinbar ist, sollte der Verantwortliche nach Einhaltung aller Anforderungen für die Rechtmäßigkeit der ursprünglichen Verarbeitung unter anderem prüfen:

  • ob ein Zusammenhang zwischen den Zwecken, für die die personenbezogenen Daten erhoben wurden, und den Zwecken der beabsichtigten Weiterverarbeitung besteht,
  • in welchem Kontext die Daten erhoben wurden, insbesondere die vernünftigen Erwartungen der betroffenen Person, die auf ihrer Beziehung zu dem Verantwortlichen beruhen,
  • in Bezug auf die weitere Verwendung dieser Daten, um welche Art von personenbezogenen Daten es sich handelt,
  • welche Folgen die beabsichtigte Weiterverarbeitung für die betroffenen Personen hat und ob sowohl beim ursprünglichen als auch beim beabsichtigten Weiterverarbeitungsvorgang geeignete Garantien bestehen.

Mit der EU-Datenschutzgrundverordnung kommt somit viel Neues aber auch viel alt Bekanntes und Bewehrtes. Die Unternehmen sind gefordert, hier schnell geeignete Umsetzungsorganismen zu implementieren.

Bettina Kraft
Justiziarin, Consultant für Datenschutz
bkraft@it-sec.de

Seit der Verkündung des EuGH-Urteils vom 06.10.2015 ist die Übermittlung personenbezogener Daten in die USA auf Grundlage von Safe Harbor rechtswidrig. Die Aufsichtsbehörden konnten ab sofort gegen Unternehmen, die auf Safe Harbor basierende Daten-Übermittlungen in die USA vornehmen, Untersagungsanordnungen aussprechen bzw. Bußgelder verhängen. Nun ist ein Nachfolge-Abkommen, das EU-US Privacy Shield, am 12. 07.2016 von der Europäischen Kommission verabschiedet worden.

Die folgende Aufstellung soll einen kurzen Überblick über die aktuell anwendbaren Rechtsgrundlagen für Datenübermittlungen in die USA geben:

Einwilligung der Betroffenen

Eine Datenübermittlung in die USA ist grundsätzlich zulässig gemäß § 4c Abs. 1 S.1 Nr. 1 BDSG bzw. Art. 49 Abs. 1 lit. a DSGVO, sofern der Betroffene in die Übermittlung seiner personenbezogenen Daten in die USA eingewilligt hat.

VORAUSSETZUNG:Die Einwilligung muss den Anforderungen aus § 4a BDSG bzw. Art. 7 DSGVO gerecht werden. Der Betroffene muss zudem über die für ihn bestehenden möglichen Risiken derartiger Datenübermittlungen in Drittstaaten ohne angemessenes Datenschutzniveau vor Abgabe seiner Einwilligung unterrichtet werden.

EINSCHRÄNKUNG: Einwilligungen von Betroffenen sind i.d.R. nicht wirksam, wenn diese aufgrund von Abhängigkeiten (z.B. wirtschaftliche Abhängigkeit der Beschäftigten vom Arbeitgeber) und / oder unzureichender Informationen erteilt werden. Des Weiteren hat der EuGH in seinem Urteil ausgeführt, dass die anlasslose Massenüberwachung der amerikanischen Behörden den Wesensgehalt des Grundrechts auf Achtung des Privatlebens verletzt. In derartige Eingriffe kann auch der Grundrechtsträger selbst gemäß ständiger Rechtsprechung des Bundesverfassungsgerichts nicht einwilligen.

Vertragserfüllung

Eine Datenübermittlung in die USA ist zulässig gemäß § 4c Abs. 1 S. 1 Nr. 2 BDSG bzw. Art. 49 Abs. 1 lit. b DSGVO, sofern die Übermittlung der personenbezogenen Daten

  • für die Erfüllung eines Vertrages, der zwischen dem Betroffenen und dem Verantwortlichen geschlossen wurde, oder zur Durchführung von vorvertraglichen Maßnahmen auf Antrag der betroffenen Person erforderlich ist und
  • dem Interesse des Betroffenen entspricht, der im Vertrag seinen Ausdruck gefunden hat.

VORAUSSETZUNG: Die Erfüllung des Vertrags bzw. die Durchführung von vorvertraglichen Maßnahmen darf nicht anders zu bewirken sein als durch die Datenübermittlung gerade in die USA (z.B. wenn für Beschäftigte im Rahmen von Einsätzen in den USA Visa beantragt, Hotelzimmer, Flugticket und Mietwagen gebucht werden müssen).

EINSCHRÄNKUNG: Bei der Zentralisierung der Gehaltsabrechnung oder der Errichtung einer Personaldatenbank beim Mutterkonzern oder einer Schwestergesellschaft in den USA fehlt es bereits an der Erforderlichkeit sowie dem Interesse des Betroffenen.

Vertrag zu Gunsten des Betroffenen

Eine Datenübermittlung in die USA ist zulässig gemäß § 4c Abs. 1 S. 1 Nr. 3 BDSG bzw. Art. 49 Abs. 1 lit. c DSGVO, sofern

  • ein Vertrag zwischen dem Verantwortlichen und einem Dritten im Interesse des Betroffenen geschlossen wurde,
  • die Übermittlung zum Abschluss oder zur Erfüllung dieses Vertrages erforderlich ist und
  • die Übermittlung dem Interesse des Betroffenen entspricht, der in diesem Vertrag seinen Ausdruck gefunden hat.

VORAUSSETZUNG: Es muss sich um einen Vertrag i.S.v. § 328 BGB handeln, d.h. der Betroffene erwirbt unmittelbar das Recht, die Leistung zu fordern, die zwischen dem Verantwortlichen und dem Dritten vertraglich vereinbart wurde, und die Erfüllung des Vertrags darf nicht anders zu bewirken sein als durch die Datenübermittlung gerade in die USA (z.B. Auslandsversicherungen für Mitarbeiter, Kreditkartenverträge).

EINSCHRÄNKUNG: Bei der Zentralisierung der Gehaltsabrechnung oder der Errichtung einer Personaldatenbank beim Mutterkonzern oder einer Schwestergesellschaft in den USA fehlt es bereits an der Erforderlichkeit sowie dem Interesse des Betroffenen.

Angemessenheitsbeschluss der EU-Kommission

Eine Datenübermittlung in die USA darf vorgenommen werden gemäß Art. 45 DSGVO, wenn die EU-Kommission in einem Durchführungsrechtsakt beschließt, dass die USA ein angemessenes Datenschutzniveau aufweist.

Gemäß dem Durchführungsbeschluss (EU) 2016/1250 der Kommission vom 12.07.2016 hat die EU-Kommission festgestellt, dass die USA aufgrund der Abreden zum EU-US Privacy Shield (Grundsätze, die am 07.07.2016 vom US-Handelsministerium herausgegeben wurden, offizielle Erklärungen und Zusagen unterschiedlicher Repräsentanten der US-Administration in den Anhängen zum Durchführungsbeschluss) ein angemessenes Datenschutzniveau gewährleisten.

VORAUSSETZUNG: Das US-Unternehmen, an welches personenbezogene Daten übermittelt werden, muss eine Privacy-Shield-Zertifizierung besitzen.

EINSCHRÄNKUNG: Die Artikel-29-Gruppe bzw. der Europäische Datenschutzausschuss hat den Beschluss der EU-Kommission kritisiert und behält sich vor, die Wirksamkeit der Privacy-Shield-Mechanismen in 2017 zu überprüfen. Des Weiteren ist die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder der Auffassung, dass das EU-US Privacy Shield in seiner jetzigen Fassung noch nicht ausreicht und hat den deutschen Gesetzgeber aufgefordert, ein eigenständiges Klagerecht für die unabhängigen Datenschutzbehörden vorzusehen.

Standardvertragsklauseln

Gemäß Art. 46 Abs. 2 lit. c DSGVO darf eine Datenübermittlung erfolgen, wenn ein entsprechender EU-Standardvertrag abgeschlossen wurde zwischen dem Datenexporteur (= Verantwortlicher mit Sitz in der EU/EWR) und dem Datenimporteur (Verantwortlicher / Auftragsverarbeiter mit Sitz in den USA).

VORAUSSETZUNG: Die Standardvertragsklauseln sind im Annex zum Beschluss der EU-Kommission vom 05.02.2010 (2010/87/EU) oder der Entscheidung der EU-Kommission vom 15.06.2001 (2001/497/EG) bzw. vom 27.12.2004 (2004/915/EG) vorgegeben. Sie können gemäß Erwägungsgrund 109 der DSGVO in umfangreichen Verträgen aufgenommen werden und um weitere Klauseln oder zusätzliche Garantien ergänzt werden, solange diese weder mittelbar noch unmittelbar im Widerspruch zu den von der EU-Kommission oder einer Aufsichtsbehörde erlassenen Standard-Datenschutzklauseln stehen oder die Grundrechte und Grundfreiheiten der betroffenen Personen beschneiden. Wir empfehlen, die Standardvertragsklauseln in Wortlaut und Inhalt aus dem jeweiligen Annex zu übernehmen, gemäß den Vorgaben der nationalen Aufsichtsbehörden zu ergänzen und als EU-Standardvertrag gesondert abzuschließen.

EINSCHRÄNKUNG: Die nationalen Aufsichtsbehörden haben gemäß Art. 4 des Beschlusses 2010/87/EU bzw. der Entscheidung 2001/497/EG der EU-Kommission die Möglichkeit, Datenübermittlungen in die USA auf Grundlage des Standardvertrags 2010 per verwaltungsrechtlicher Anordnung zu verbieten. Im Rahmen des Safe Harbor-Urteils haben die nationalen Aufsichtsbehörden daher angekündigt, auch die Zulässigkeit der Standardvertragsklauseln als Grundlage für Datenübermittlugen in die USA zu prüfen. Diesbezüglich sind noch keine Ergebnisse bekannt.

Binding Corporate Rules

Gemäß Art. 47 DSGVO können verbindliche interne Datenschutzvorschriften (Binding Corporate Rules, BCR) innerhalb einer Unternehmensgruppe oder einer Gruppe von Unternehmen getroffen werden.

VORAUSSETZUNG: Die BCR bedürfen der Genehmigung der Aufsichtsbehörden.

EINSCHRÄNKUNG: Die Genehmigung der Aufsichtsbehörde für solche BCR gilt grundsätzlich nur innerhalb des jeweiligen EU-Mitgliedstaates, in dem die Genehmigung erteilt wurde. Allerdings sind Aufsichtsbehörden gemäß Art. 63 DSGVO dazu angehalten, untereinander und gegebenenfalls mit der EU-Kommission zusammenzuarbeiten (Kohärenzverfahren).

Fazit

Für den Fall, dass der Angemessenheitsbeschluss der EU-Kommission zum EU-US Privacy Shield durch ein EuGH-Urteil erneut aufgehoben wird, empfehlen wir, weiterhin die Standardvertragsklauseln einzusetzen.

Falls auch die Standardvertragsklauseln zukünftig nicht mehr als anwendbare Übermittlungsgrundlage für Datentransfers in die USA in Betracht kommen, empfehlen wir, Alternativen zu prüfen, um personenbezogene Daten langfristig ausschließlich innerhalb der EU/EWR (EU-Mitgliedstaaten, Island, Norwegen, Liechtenstein) verarbeiten zu lassen.

Sabrina Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.

Die EU-Datenschutz-Grundverordnung (DSGVO) löst die Datenschutzrichtlinie 95/46/EG von 1995 ab. Im Unterschied zur Datenschutzrichtlinie gilt die DSGVO unmittelbar in der gesamten Europäischen Union. Die DSGVO ist am 25.05.2016 in Kraft getreten und ist nach einer Umsetzungsfrist von zwei Jahren ab dem 25.05.2018 unmittelbar geltendes Recht in allen Mitgliedsstaaten.

Mit Hilfe der in den nächsten Wochen folgenden Blogbeiträge möchten wir Sie bezüglich der Änderungen sensibilisieren, damit die zu treffenden Anpassungen zeitnah bei Ihnen in die Wege geleitet werden können. Alle Unternehmen sollten die Übergangsfrist nutzen, um ihre gesamten Datenverarbeitungstätigkeiten inhaltlich und formal an die Anforderungen der DSGVO anzupassen. Spätestens ab dem 25.05.2018 muss jedes betroffene Unternehmen die neuen Anforderungen einhalten. Andernfalls drohen drastische Bußgelder.

Anwendbarkeit der DSGVO

Die Datenschutzgrundverordnung gilt für alle Datenverarbeitungsprozesse, die sich auf personenbezogene Daten von betroffenen Personen, die sich in der europäischen Union befinden, beziehen. Das gilt bei einer Verarbeitung im Rahmen einer EU-Niederlassung, dem Angebot von Waren und Dienstleistungen in der EU sowie bei der Verhaltensbeobachtung von Personen in der EU.

Sie gilt für ganz oder teilweise automatisierte Verarbeitungen personenbezogener Daten sowie für die nicht automatisierte Verarbeitung personenbezogener Daten, die in einer Datei gespeichert sind oder gespeichert werden sollen.

Begrifflichkeiten

Im Rahmen der DSGVO werden auch genetische und biometrische Daten unter den Begriff der sensiblen personenbezogenen Daten gefasst, Art. 4 und 9 DSGVO. Auch haben sich Begrifflichkeiten geändert, so wird beispielsweise der Auftragsdatenverarbeiter zum Auftragsverarbeiter und die verantwortliche Stelle zum Verantwortlichen.

Besondere personenbezogene Daten

Die besonderen Kategorien personenbezogener Daten finden sich in Art. 9 DSGVO. Folgende Kategorien sind dabei erfasst:

  • rassische oder ethnische Herkunft,
  • politische Meinungen,
  • religiöse oder weltanschauliche Überzeugungen,
  • Gewerkschaftszugehörigkeit,
  • genetische Daten
  • biometrische Daten,
  • Gesundheitsdaten,
  • Sexualleben sowie sexuelle Orientierung.

Insofern sind gegenüber dem BDSG nur drei weitere Kategorien hinzugekommen: die genetischen und biometrischen Daten sowie die sexuelle Orientierung.

Die Verarbeitung dieser besonderen Daten bleibt grundsätzlich verboten. Diese dürfen nur dann verarbeitet werden, wenn eine der folgenden Voraussetzungen gegeben ist:

  • Einwilligung: Diese Erklärung muss ausdrücklich durch den Betroffenen erfolgen.
  • Die Verarbeitung Zwecken der Gesundheitsvorsorge und Arbeitsmedizin etc. dient.
  • Im öffentlichen Interesse liegende Wissenschafts- und Archivzwecke.
  • Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
  • Öffnungsklausel für genetische, biometrische oder gesundheitliche Daten (die Mitgliedstaaten haben hier die Möglichkeit, zusätzliche Regelungen zu schaffen).
  • Zum Schutz lebenswichtiger Interessen, oder die Daten wurden durch den Betroffenen offenkundig öffentlich gemacht.
  • Mit der Datenschutzgrundverordnung gibt es zudem eine separate Regelung in Art. 10 DSGVO bezüglich der Datenverarbeitung von Straftaten oder strafrechtlichen Verurteilungen.

Auch an anderen Stellen der DSGVO wird auf die besonderen Datenkategorien konkret Bezug genommen. Beispielsweise bei der Folgenabschätzung in Art. 35 DSGVO oder bei der Pflicht zur Führung eines Verfahrensverzeichnisses in Artikel 30 DSGVO.

Fazit

Alle Datenverarbeitungsprozesse die sich auf personenbezogene Daten von betroffenen Personen, die sich in der EU befinden, beziehen, unterliegen der DSGVO.

Die Begrifflichkeiten haben sich leicht geändert, hinter ihnen versteckt sich jedoch das gleiche Konstrukt. Auch die besonderen personenbezogenen Daten wurden erweitert, jedoch hat sich im Grundsatz nichts daran geändert, dass deren Verarbeitung grundsätzlich verboten ist.

Bettina Kraft
Justiziarin, Consultant für Datenschutz
bkraft@it-sec.de

Die EU-Datenschutz-Grundverordnung (DSGVO) löst die Datenschutzrichtlinie 95/46/EG von 1995 ab. Im Unterschied zur Datenschutzrichtlinie gilt die DSGVO unmittelbar in der gesamten Europäischen Union. Die DSGVO ist am 24.05.2016 in Kraft getreten und ist nach einer Umsetzungsfrist von zwei Jahren ab dem 25.05.2018 unmittelbar geltendes Recht in allen Mitgliedsstaaten. Steht eine Verordnung im Konflikt mit einem nationalen Gesetz, so hat die Verordnung Vorrang. Das BDSG findet dann über weite Strecken keine Anwendung mehr und wird vom Gesetzgeber in naher Zukunft reformiert werden.

Mit Hilfe der in den nächsten Wochen folgenden Blogbeiträge möchten wir Sie bezüglich der Änderungen sensibilisieren, damit die zu treffenden Anpassungen zeitnah bei Ihnen in die Wege geleitet werden können. Alle Unternehmen sollten die Übergangsfrist nutzen, um ihre gesamten Datenverarbeitungstätigkeiten inhaltlich und formal an die Anforderungen der DSGVO anzupassen. Spätestens ab dem 25.05.2018 muss jedes betroffene Unternehmen die neuen Anforderungen einhalten. Andernfalls drohen drastische Bußgelder.

Die Datenschutzerklärung

Alle Datenschutzerklärungen sind bis 2018 zu ergänzen. Die Informationsrechte der Betroffenen sind in der Datenschutzgrundverordnung stark erweitert worden. Es sind dem Betroffenen u.a. nun folgende Informationen mitzuteilen:

  • Angabe zur Identität und Kontaktdaten des Datenschutzbeauftragten.
  • Zweck und Rechtsgrundlage der Datenverarbeitung.
  • Bei Übermittlung der Daten in ein Land außerhalb der EU muss der Betroffene explizit darüber informiert werden (incl. entsprechender Rechtsgrundlage). Bei EU-Standardvertragsklauseln oder Binding Corporate Rules muss eine Kopie oder zumindest ein Link zu diesen bereitgestellt werden.Stützt der Verantwortliche den Verarbeitungsprozess auf berechtigte Interessen gemäß Art. 6 Abs. 1 Satz 1 lit. f DSGVO ist er verpflichtet, die jeweiligen Interessen anzugeben.
  • Die Betroffenen sind auf ihre Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit Widerspruch und Beschwerderecht bei der Aufsichtsbehörde hinzuweisen.

Diese Informationen müssen gemäß Art. 12 DSGVO in leicht verständlicher Sprache für den Betroffenen leicht erreichbar sein. Sie können auf einer Webseite im Rahmen der Datenschutzerklärung oder in einer anderen elektronischen Form zur Verfügung stehen.

Bettina Kraft
Justiziarin, Consultant für Datenschutz
bkraft@it-sec.de

ADCERT Angemessenheitsbeschluss Anwendbarkeit Art. 17 DSGVO Art. 25 DSGVO Art. 26 DSGVO Art. 32 DSGVO Art. 4 Nr. 12 DSGVO Art. 45 DSGVO Art. 8 MRK Art. 9 DSGVO Audit Aufsichtsbehörde Auftragsverarbeitung Auskunftei Auskunftsrecht Automatisierte Einzelentscheidung Autsch BAG BDSG-Neu Begrifflichkeiten Beherbergungsstätten Benachrichtigungspflicht Beschäftigtendatenschutz besondere Kategorien personenbezogener Daten betrieblicher E-Mail-Account betrieblicher Internetzugang Betroffenenrechte BfDI BGH biometrische Daten Biometrische und genetische Daten Bitkom Bonitätsprüfung Brexit Bundesarbeitsgericht Bußgeld BVG Cloud CNIL Compliance Cookie Datenlöschung Datenpanne Datenschutz Datenschutz Grundverordnung Datenschutzerklärung Datenschutzgrundverordnung Datenschutzprinzipien Datenschutzverletzung Datensicherheit Datenübermittlung Datenübermittlung an Dritte Datenübermittlung in Drittstaaten Datenverarbeitung Do not track-Funktion Donald Trump Dritter Drittstaat ohne angemessenes Datenschutzniveau DSAnpUG-EU DSGVO dynamische IP-Adresse eCall-Technologie Einwilligung Einwilligungserklärung Entsorgung Erhebung personenbezogener Daten Erwägungsgrund 48 der DSGVO eSafety-Initiative EU-Datenschutz-Grundverordnung EuGH Facebook Fahrzeugdaten Fahrzeuge Fernmeldegeheimnis Fluggastdaten Gemeinsam Verantwortliche Home Office Informationspflichten Informationssicherheit IP-Adresse Irland IT-Forensik IT-forensische Untersuchung IT-Sicherheit Joint Control Kanada Konzern konzerninterner Datentransfer Leistungs- und Verhaltenskontrolle Löschung personenbezogener Daten Marktortprinzip Meldepflicht Meldescheine Microsoft NIST One Stop Shop Passwort Passwörter Passwörter. 2016 Passwortregeln Passwortschutz Personalausweiskopien personenbezogene Daten Privacy by Default Privacy by Design Privacy Shield Privatnutzung Privatnutzungsverbot Profiling Recht auf Achtung des Privat- und Familienlebens Recht auf Berichtigung Recht auf Datenübertragbarkeit Recht auf Einschränkung Recht auf Löschung Rechte der betroffenen Person Sicherheitsvorfälle kritische Infrastrukturen IT-Sicherheitsbeauftragten ISMS Siegel Skype Sony PSN Standardvertragsklauseln Technische & organisatorische Maßnahmen technische & organisatorische Maßnahmen Telemediendienst Telemediengesetz TKG TMG Tracking Tracking Tools Twitter Übermittlung personenbezogener Daten Überwachungssoftware Umfrage Umsetzungsfrist unpersonalisierter Benutzer-Account Unternehmensgruppe USA Vereinbarung Vernichtung von Datenträgern Verordnung (EU) 2015/758 Vertrag zur Auftragsverarbeitung Verwaltungsakt Verwaltungsgericht Karlsruhe Videoüberwachung Vorteile Webseite Webseiten Webtracking Webtrecking Werbung Widerrufsrecht Widerspruchsrecht Zertifikat Zertifizierung Zulässigkeit § 15 TMG § 26 BDSG-Neu § 32 BDSG § 32 DSGVO § 42a BDSG § 42b BDSG § 88 TKG

An dieser Stelle wollen wir von Zeit zu Zeit unsere Web-Logs ("blogs") pflegen und unsere Meinung zu bestimmten Themen kundtun.

Die einzelnen Posts stellen jeweils die Meinung des Autors dar und nicht zwangsläufig jene der it.sec. Die Inhalte sind stellen keine Beratung dar und übernehmen für die Inhalte keine Haftung.

Tags

Mo Di Mi Do Fr Sa So
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 31