Home / Aktuelles & Termine / it.sec blog

Seit dem 1. Januar 2021 stellen Krankenkassen die elektronische Patientenakte gemäß des neuen Patientendaten-Schutz-Gesetzes zur Verfügung. Ziel ist laut Bundesregierung, eine sichere, nutzerfreundliche und barrierefreie digitale Kommunikation zwischen Behandelnden und PatientInnen zu ermöglichen.

 

Zunächst können PatientInnen Befunde, Arztberichte oder auch Röntgenbilder speichern und entsprechend freigeben. Ab dem Jahr 2022 folgen dann auch der Impfausweis, der Mutterpass, das gelbe Untersuchungsheft für Kinder und das Zahnbonusheft.

 

Ein weiteres Feature, welches im Jahr 2022 erst verfügbar sein wird, ist die manuelle separate Freigabe von Datensätzen. So können NutzerInnen im kommenden Jahr selbst in der App entscheiden, welche Daten, wem frei gegeben werden.

 

Genau dieses Feature im Hinblick auf die elektronische Patientenakte verlangt Bundesdatenschutzbeauftragter Ulrich Kelber von den Krankenkassen. In einer offenen Stellungnahme warnte er vor aufsichtsrechtlichen Maßnahmen gegen Krankenkassen seitens seiner Behörde. Denn, wenn das Gesetz in seiner jetzigen Form umgesetzt wird, verstoße es gegen europäisches Datenschutzrecht (DSGVO).

 

Das Bundesgesundheitsministerium hingegen spricht davon, „dass der Patient Herr seiner Daten werde“. Weiter führt das Ministerium aus: „Die Nutzung der ePA ist freiwillig. Der Versicherte entscheidet, welche Daten in der ePA gespeichert und welche wieder gelöscht werden. Er entscheidet auch in jedem Einzelfall, wer auf die ePA zugreifen darf.“ Dadurch sollen z.B. doppelte Untersuchungen vermieden werden.

 

Problematisch aus Sicht des Datenschutzes sei, dass im ersten Jahr der ePA personenbezogene Daten offengelegt werden, obwohl dies gegen Grundprinzipien (Zweckbindung) der DSGVO verstoße, so die Landesdatenschutzbeauftrage Niedersachsen Thiel. So kann jeder Arzt und jede Ärztin des Nutzers – im Jahre 2021 – Befunde, Berichte, Bilder etc. jeder anderen Praxis einsehen. Darüber hinaus geht es hierbei nicht um Daten mit einem niedrigen Risiko für die Betroffenen, sondern um sensible Daten besonderer Kategorien i.S.d DSGVO. So können z.B. Informationen intimster Natur wie psychische Erkrankungen oder Schwangerschaftsabbrüche bei dem behandelnden Augenarzt offengelegt werden.

 

Weiterer Kritikpunkt auch der Datenschützer, dass es zu einer Ungleichbehandlung beim Grundrecht auf informationelle Selbstbestimmung kommt. Bisher können nämlich nur „Nutzende von geeigneten Endgeräten wie Mobiltelefonen oder Tablets einen datenschutzrechtlich ausreichenden Zugriff auf ihre eigene ePA erhalten“.

Letztlich wird noch das Authentifizierungsverfahren für die ePA kritisiert da es keine technischen und organisatorischen Maßnahmen entsprechend der Vorgaben der DSGVO bietet. Insbesondere bei Anmeldungen ohne Einsatz der elektronischen Gesundheitskarte entspreche das Authentifizierungsverfahren nicht dem aktuellen Stand der Technik.

 

Fazit:

 

Die Krankenkassen befinden sich in einer schwierigen Situation. Auf der einen Seiten müssen sie ihren Versicherten die Chance einer nutzerfreundlichen und barrierefreien digitalen Kommunikation bieten. Auf der anderen Seite verstößt die durch das deutsche Gesetz vorgeschrieben Vorgehensweise gegen europäisches Datenschutzrecht, was das Risiko aufsichtsrechtlicher Maßnahmen mit sich bringt. Es ist abzuwarten, wie das Bundesgesundheitsministerium, der Bundesdatenschutzbeauftragte oder ein damit betrautes Gericht entscheiden.

 

Als betroffene Person ist man derzeit also nur begrenzt „Herr seiner Daten“. Es bleibt also– wie so oft – eine Abwägung zwischen den eigenen Interessen: Digitale und leichtere Kommunikation oder Datenschutz.

 

 

Jan Brinkmann

 

Consultant für Datenschutz

 

Volljurist

In den Art. 12 ff. Datenschutzgrundverordnung (DSGVO) sind die Rechte der betroffenen Personen geregelt. Art. 15 DSGVO regelt das Auskunftsrecht der betroffenen Personen, dessen Reichweite und Grenzen schon einige Gerichte beschäftigt hat und auch in Zukunft noch beschäftigen wird.

 

Das Bundesverwaltungsgericht (Urteil vom 16.9.2020, Az. 6 C 10.19) hat nun entschieden, dass der Insolvenzverwalter vom Finanzamt keine Auskunft über das Steuerkonto des Insolvenzschuldners, dessen Vermögen er verwaltet, verlangen kann, weil er nicht betroffene Person im Sinne der DSGVO ist.

 

Betroffene Person ist nach Art. 4 Nr. 1 DSGVO nur diejenige natürliche Person, die durch die personenbezogenen Daten identifiziert oder identifizierbar ist.

 

Nach Art. 15 Abs. 1 DSGVO hat die betroffene Person das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende, personenbezogene Daten verarbeitet werden. Ist dies der Fall, hat die betroffene Person das Recht auf Auskunft über diese personenbezogenen Daten und die in Art. 15 Abs. 1 DSGVO genannten Informationen (z.B. Verarbeitungszwecke, Kategorien personenbezogener Daten, die verarbeitet werden). Nach Art. 15 Abs. 3 DSGVO hat die betroffene Person ferner das Recht auf den Erhalt einer Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind.

 

Das Auskunftsrecht ist ein höchstpersönliches Recht der betroffenen Person und gehört als solches nicht zur Insolvenzmasse und geht deshalb nicht mit Eröffnung des Insolvenzverfahrens auf den Insolvenzverwalter über. Als höchstpersönliches Recht ist es auch nicht darauf gerichtet, Dritten Informationen über die bei staatlichen Stellen vorhandenen Informationen zu verschaffen.

 

Eine Erweiterung des Auskunftsrechts auf den Insolvenzverwalter stehe dem Sinn und Zweck der Betroffenenrechte entgegen. Denn diese dienen dem Schutz des Grundrechts auf Achtung der Privatsphäre aus Art. 8 der Charta der Grundrechte der Europäischen Union. Dafür muss sich die betroffene Person von der Richtigkeit der Daten und der Zulässigkeit der Verarbeitung vergewissern können, was mit dem Auskunftsanspruch erreicht werden kann. Der Insolvenzverwalter wollte damit jedoch potentiell anfechtungsrelevante Sachverhalte zur Mehrung der Insolvenzmasse ermitteln und damit Auskunft über Informationen mit vermögensrechtlichem Bezug.

 

Julia Eisenacher
Juristin (Univ.)
Consultant für Datenschutz

Mit Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) wurde das Recht des Einzelnen manifestiert, dass seine personenbezogenen Daten zu einem, zu bestimmenden, Zeitpunkt wieder gelöscht werden müssen. Unterschieden wurde in Art. 17 DSGVO zwischen unveröffentlichten Daten (Abs. 1) und veröffentlichten Daten (Abs. 2).Grundgedanke der Regelung des Art. 17 Abs. 2 DSGVO war dabei, dass Informationen über Personen nur so lange öffentlich auffindbar sein sollen, wie diese auch benötigt werden. Es war ein Versuch den Ausspruch: „Das Internet vergisst nicht“ umzukehren und dem Verantwortlichen die Pflicht aufzuerlegen, einmal veröffentlichte Daten auch wieder zu „ent-öffentlichen“.

 

Sowohl selbstständig veröffentlichende Verantwortliche, insbesondere (Online-)Zeitungen oder auch Verbände und Unternehmen mittels Pressemitteilungen als auch Suchmaschinenbetreiber, die lediglich bereits online vorhandene Informationen darstellen, sind in diesem Zusammenhang besonders gefordert: Wann müssen Informationen über Personen gelöscht werden, welche Informationen über Personen dürfen nicht (mehr) angezeigt werden?

 

Rechtsprechung des Bundesgerichtshofs (BGH)

 

Mit seinem jüngsten Urteil hat der BGH nun die Grenzen des Rechts auf Vergessenwerdens aufgezeigt. Im Verfahren VI ZR 405/18 ging es darum, dass ein ehemaliger Geschäftsführer eines Verbands erreichen wollte, dass ein erschienener Artikel über finanzielle Unregelmäßigkeiten in der Ergebnisliste eines Internet-Suchdienstes nicht mit seinem Namen in Verbindung gebracht werden sollte. Während das oberste deutsche Gericht (BGH) bislang davon ausging, dass die Schutzinteressen der betroffenen Personen regelmäßig Vorrang genießen, wies es nun darauf hin, dass bei Prüfung eines Löschverlangens zwischen den Interessen der betroffenen Personen und denen der Öffentlichkeit abgewogen werden müssen. Darüber hinaus könne sich die betroffene Person im Rahmen der Grundrechtsabwägung nicht auf nationale Vorschriften berufen, da das Datenschutzrecht abschließend Europäisch geregelt ist und damit Anwendungsvorrang genießt. Die Klage blieb hier erfolglos, da die Berichterstattung im konkreten Fall rechtmäßig war.

 

Im Rahmen eines weiteren Verfahrens VI Z8R 476/18 kam es gerade auf die Rechtmäßigkeit der Berichterstattung an. Hier bestritten die betroffenen Personen die Rechtmäßigkeit einer Berichterstattung und verlangten die Löschung ihrer Namen und Bilder vom beklagten Suchmaschinen-Betreiber. In diesem Fall legte der BGH dem EuGH zwei Fragen zur Vorabentscheidung vor:

 

  1. Darf in einer vorzunehmenden Grundrechtsabwägung maßgeblich darauf abgestellt werden, dass der betroffenen Person andere Rechtsmittel (etwa eine einstweilige Verfügung gegen den Webseitenbetreiber, zu dem ein Link führt) zur Verfügung stehen?
  2. Muss bei einer Bildersuche der Kontext einer Berichterstattung mit berücksichtigt werden auch wenn der Kontext nicht mit angezeigt wird?

 

Bewertung

 

Durch das erste Verfahren wurde seitens des BGH der europäische Kontext der Datenschutz-Grundverordnung gestärkt. Er hat deutlich gemacht, dass Europäische Normen nur im Europäischen Wertekontext zu messen sind. Darüber hinaus hat das Gericht jedoch auch deutlich gemacht, dass bei der Kollision zwischen verschiedenen europäischen Grundrechten eine Abwägung im Einzelfall vorzunehmen ist, ebenso wie dies bei nationalen Grundrechten auf nationaler Ebene der Fall ist. Das Gericht ebnet damit den Weg zu einer einheitlichen Europäischen Rechts- und damit Werteordnung.

 

Die Entscheidung des EuGHs zu den beiden Vorabfragen darf mit Spannung erwartet werden. Insbesondere bei Bejahung der zweiten Frage wäre die Entwicklung künstlicher Intelligenz zur Feststellung eines Kontextes, in dem ein Bild veröffentlicht wird, offensichtlich stark gefordert.

 

C. Lürmann

 

Rechtsanwältin

 

Consultant für Datenschutz

Videokonferenzdienste haben während der Corona-Krise an Bedeutung gewonnen. Der anfangs sehr beliebte US-amerikanische Anbieter Zoom, geriet dabei aufgrund diverser Sicherheits- und Datenschutzmängel zunehmend in die Kritik (wir berichteten).

 

Nach einem Sicherheitsvorfall an einer Schule, hat der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI BW) im April eine Warnung vor der Nutzung des Dienstes ausgesprochen, die er nun nach Verbesserungen durch Zoom zurückgenommen hat.

 

In Zusammenarbeit mit dem LfDI BW hat Zoom mit der Version Zoom 5.0 folgende Verbesserungen vorgenommen:

 

  • Privacy by Default: Die Einrichtung eines Warteraums und die passwortgeschützte Einwahl ist nun voreingestellt.
  • Zoom schließt jetzt ausdrücklich die Verwendung von Nutzerdaten (einschließlich der Benutzer-IDs der Endgeräte) zu wirtschaftlichen Zwecken aus.
  • Die Video-Kommunikation wird künftig Ende-zu-Ende verschlüsselt sein – zumindest in der kostenpflichtigen Geschäftskunden-Version.
  • Außerdem hat Zoom nun einen Vertreter in der EU benannt, was für die Erreichbarkeit von Zoom durch seine Nutzer und die Durchsetzung von Betroffenenrechten wichtig ist, da Zoom als US-amerikanisches Unternehmen keine Niederlassung in Europa hat.

 

Der LfDI BW bewertete die Fortschritte bei Zoom als positiv, weswegen die Nutzungswarnung zurückgenommen werden konnte. Es sei jedoch noch zu klären, inwieweit Daten bei Zoom zu unternehmenseigenen Zwecken genutzt werden.

 

Der LfDI BW betonte aber auch, dass Verantwortliche weiterhin für die von ihnen initiierte Verarbeitung personenbezogener Daten verantwortlich und gegenüber den betroffenen Personen rechenschaftspflichtig seien. Aus datenschutzrechtlicher Sicht haben noch fast alle Videokonferenzsysteme Nachbesserungsbedarf.

 

Bei der Nutzung von Videokonferenzsystemen sollten Sie deshalb immer genau hinschauen, welche Daten durch deren Nutzung freigegeben werden.

 

Julia Eisenacher
Juristin (Univ.)
Consultant für Datenschutz

 

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit, Maja Smoltczyk, hat am 3. April 2020 ihren Jahresbericht für das Jahr 2019 vorgelegt.

Besonders erwähnenswert ist in diesem Zusammenhang das bisher höchste Bußgeld in der Bundesrepublik Deutschland unter der DSGVO. Dieses wurde wegen Verstößen im Zeitraum Mai 2018 bis März 2019 gegen die Deutsche Wohnen SE verhängt. Sie hatte umfangreiche Datensätze mit sensiblen Dokumenten wie Ausweiskopien oder Arbeitsverträgen entgegen der gesetzlichen Verpflichtung nicht gelöscht und war auch einer diesbezüglichen Aufforderung der Aufsichtsbehörde aus dem Jahr 2017 nicht nachgekommen. Die Höhe des verhängten Bußgeldes beträgt stolze 14,5 Millionen Euro. Der gesamte mögliche Bußgeldrahmen von 28 Millionen Euro wurde allerdings nicht ausgeschöpft. Die Deutsche Wohnen hat Einspruch gegen den Bußgeldbescheid eingelegt. Eine endgültige Entscheidung der Aufsichtsbehörde bzw. die mögliche gerichtliche Klärung stehen noch aus.

Die dienstliche Nutzung von Messenger-Apps ist immer noch ein Thema. Hier sollte die Bereitstellung eines dienstlichen Messengers erwogen werden, um Probleme zu vermeiden. Das automatische Auslesen des gesamten Adressbuchs ist nach wie vor ein Problem bei WhatsApp (Facebook). Vor allem sollten niemals vertrauliche Dokumente in WhatsApp-Gruppen geteilt werden.

Künstliche Intelligenz bzw. maschinelles Lernen birgt Risiken für die Persönlichkeitsrechte. Diese Risiken bestehen insbesondere in der systematischen Diskriminierung von Bevölkerungsgruppen im Rahmen intransparenter und voreingenommener Entscheidungsprozesse ohne menschliche Eingriffsmöglichkeit. Dahingehende Bemühungen von Unternehmen sind also unbedingt frühzeitig durch die Verantwortlichen mit dem Datenschutzbeauftragten abzustimmen.

Die Anfertigung von Fotos für den Zutritt zu Coworking-Spaces lässt sich nicht allein zur Gefahrenabwehr und Beweissicherung rechtfertigen. Wenn mildere Mittel wie das Erfassen der Personalien mittels einer Besucherliste zur Verfügung stehen, ist ein solches Vorgehen unzulässig.

Nach Beendigung des Beschäftigungsverhältnisses sind personenbezogene Daten zu löschen, wenn dem keine zwingenden Aufbewahrungspflichten entgegenstehen. Insbesondere bei auf der Homepage eingestellten Fotos und Informationen zum persönlichen Werdegang ist erhöhte Aufmerksamkeit geboten!

Bei Betroffenenanfragen muss der jeweils Verantwortliche - also das Unternehmen - sicherstellen, dass diese weitergeleitet und beantwortet werden. Die Aufsichtsbehörde stellt klar, dass mangelnde interne Organisation keinen Entschuldigungsgrund darstellt.

Gesundheits-Apps verarbeiten regelmäßig besonders sensible personenbezogene Daten. Speziell bei cloud-basierter Verarbeitung dieser Daten wird sich die Berliner Datenschutzbeauftragte künftig genaue Konzepte zu den technischen Schutzmechanismen vorlegen lassen.

Sobald die Übergangsphase für den Brexit endet (voraussichtlich mit Ablauf des Monats Dezember 2020), sind Datenflüsse in das Vereinigte Königreich vertraglich neu abzusichern. Eine Möglichkeit sind z.B. die von der EU-Kommission bereitgestellten Standardvertragsklauseln.

Wir werden unseren Kunden hierzu noch ein ausführlicheres Merkblatt zur Verfügung stellen. Bleiben sie gesund und achten Sie auf Ihre personenbezogenen Daten!

Florian S.
Justiziar | M.A.
Consultant für Datenschutz

Die Ausweitung der digitalen Nutzung und die allgemeine Hektik während der jetzigen Corona-Pandemie wird derzeit leider vermehrt von Cyberkriminellen missbraucht. Hierauf hatten wir in unserem Blogbeitrag von gestern bereits hingewiesen und Maßnahmen empfohlen, die wir heute in Teil 2 gerne ergänzen möchten:

Machen Sie regelmäßig Backups von Ihren Unternehmensdaten

Im Fall eines Cyber-Angriffs, bei dem bspw. sämtliche Daten verschlüsselt werden, um Ihr Unternehmen auf diese Weise zu erpressen, hilft Ihnen ein gutes Backup-Verfahren.

Wichtig ist, dass die Backupdaten getrennt von den Produktivdaten geschützt aufbewahrt werden und regelmäßig geprüft wird, ob die Datensicherungen vollständig und wiederherstellbar sind.

Sensibilisieren Sie Ihre Mitarbeiter

Sensibilisieren Sie Ihre Mitarbeiter, insbesondere hinsichtlich

  • der Passwort-Sicherheit;
  • der verantwortungsvollen Nutzung von betrieblichem E-Mail- sowie Internet-Zugang;
  • der Preisgabe von Informationen über soziale Netzwerke, bspw. was neue Entwicklungen in Ihrem Unternehmen betrifft.
Zeigen Sie Cyber-Attacken bei der Polizei an

Wird Ihr Unternehmen Opfer einer solchen Cyber-Attacke, schalten Sie die Polizei ein und erstatten Sie Strafanzeige.

Beachten Sie bitte auch, dass die Pflicht aus Art. 33 DSGVO, solche Datenpannen an die Aufsichtsbehörden zu melden, auch in der jetzigen Situation weiterbesteht.

Die Liste an Maßnahmen, sowohl für den Arbeitgeber als auch den Arbeitnehmer, ist sehr umfassend, kommen Sie bei Fragen dazu bitte direkt auf uns zu!

Gerne unterstützen und beraten wir Sie auch kurzfristig zu weiteren Themen wie z.B.

  • Zugriffsrechte
  • Speicherdauer und Informationspflichten
  • Umgang mit Besucherdaten
  • Übermittlung von Betroffenendaten an Öffentliche Stellen
  • Kurzschulungen für Mitarbeiter im Homeoffice
  • Verpflichtungen der Mitarbeiter im Homeoffice

(Hier geht's zu Teil-1 des Blogbeitrags!)

Unsere Kontaktdaten für Ihre Datenschutz-Fragen:

Dr. Bettina Kraft

Tel. +49 731 20589-0

datenschutz@it-sec.de

Bleiben Sie gesund!

Ihre it.sec GmbH

Spätestens das In-Kraft-Treten der Datenschutzgrundverordnung (DSGVO) und die damit verbundene Androhung drastischer Bußgelder sollte Unternehmen dazu motivieren, ihre Praxis der Datenverarbeitung zu überprüfen und anzupassen.

 

Dennoch erhielt ein Unternehmen von der Bundesnetzagentur nun ein Bußgeld von 300.000 €, weil es Telefonnummern betroffener Personen ohne deren ausdrückliche Einwilligung für Werbezwecke genutzt hatte.

Zwar kann Direktwerbung als ein berechtigtes Interesse des werbenden Unternehmens betrachtet werden (Erwägungsgrund 47 der DSGVO). Aber auch mit Inkrafttreten der DSGVO gilt § 7 Abs. 2 Nr. 2 des Gesetzes gegen den unlauteren Wettbewerb (UWG) weiterhin. Daher muss nach wie vor die Einwilligung der betroffenen Personen eingeholt werden, wenn man deren Daten zum Zwecke der Telefonwerbung verarbeiten möchte. Ohne Einwilligung ist Telefonwerbung nur in sehr restriktivem Maße erlaubt.

 

Darüber hinaus erhob das Unternehmen die Daten der betroffenen Personen wohl teilweise bei unseriösen Quellen, übermittelte die Daten in Drittstaaten ohne angemessenes Datenschutzniveau und soll mitunter Subunternehmen für die Datenverarbeitung eingesetzt haben, die bereits negativ wegen entsprechender Praktiken aufgefallen waren.

 

Ergebnis der unbefugten Datenverarbeitung war, dass die Angerufenen „äußerst hartnäckig, aggressiv, beleidigend und teilweise bedrohend“ werblich angesprochen worden sein sollen. Auch ihr Recht aus Art. 21 Abs. 2 DSGVO, einer solchen Datenverarbeitung zu Werbezwecken zu widersprechen, wurde laut Bundesnetzagentur ignoriert: So wurden betroffene Personen „häufig mehrmals kontaktiert, obwohl sie weitere Anrufe bereits im ersten Gespräch untersagt hatten“.

Der Bußgeldbescheid der Bundesnetzagentur ist noch nicht rechtskräftig (Stand: 10.12.2018). Der weitere Fortgang des Bußgeldverfahrens bleibt daher abzuwarten.

 

S. Kieselmann

 

Beraterin für Datenschutz

 

Dipl.sc.pol.Univ.

Was ist Whistleblowing?

 

Beim Whistleblowing geht es darum, Mitarbeitern in einem Unternehmen die Möglichkeit zu geben, zu melden, wenn sie bei Kollegen verbotenes Verhalten feststellen. Banken sind verpflichtet, einen Whistleblowing-Prozess einzuführen. Andere Branchen müssen dies im Rahmen der Korruptionsbekämpfung.

 

Was hat Whistleblowing mit Datenschutz zu tun?

 

Mit der Meldung von Verstößen müssen üblicherweise personenbezogene Daten erhoben, verarbeitet und genutzt werden. So kommt eine Meldung nicht ohne Angabe der Beschuldigten, etwaiger Zeugen und ggf. auch des Meldenden aus. Neben der möglichen Weiterleitung an Strafverfolgungsbehörden kann es sein, dass die so erhobenen Daten innerhalb des Konzerns und damit verbunden in Drittstaaten übermittelt werden.

 

Rechtsgrundlagen

 

Auch für den Datenverarbeitungsvorgang des Whistleblowings muss eine Rechtsgrundlage gegeben sein. Dafür kann Art. 88 Abs.1 DSGVO, § 26 Abs. 1 S. 2 BDSG herangezogen werden, wonach zur Aufdeckung von Straftaten Beschäftigtendaten unter bestimmten Voraussetzungen erhoben und verarbeitet werden dürfen. Nach Auffassung der Aufsichtsbehörden sollte der Hinweisgeber anonym bleiben oder seine Daten nur mit seiner informierten Einwilligung verarbeitet werden, Art. 6 Abs. 1 lit. a) DSGVO, § 26 Abs. 2 BDSG.

 

Mitarbeiterinformation

 

Regelungen über das Whistleblowing (z.B. Betriebsvereinbarungen) müssen im Unternehmen bekannt gemacht werden und zwar so, dass es für alle Arbeitnehmer möglich ist, ohne großen Aufwand vom Inhalt der Regeln Kenntnis zu bekommen. Die Betroffenenrechte wie Auskunftsrecht, das Berichtigungsrecht und das Löschungsrecht sind in diesem Zusammenhang nochmal deutlich zu erwähnen.

 

Information der Beschuldigten

 

Über Ermittlungen aufgrund von Whistleblower-Meldungen sind beschuldigte Personen gem. Art. 14 DSGVO umfassend zu informieren. Die Information an den Beschuldigten darf nach Art. 14 Abs. 5 lit. b) DSGVO zurückgehalten werden, wenn der Ermittlungserfolg durch eine frühzeitige Information gefährdet wäre. Allerdings muss der Verantwortliche seine Informationspflicht nachholen, wenn die Gefährdungslage nicht mehr gegeben ist. Dies ergibt sich aus Art. 14 Abs. 5 lit. b) S. 2 DSGVO, wonach der Verantwortliche geeignete Maßnahmen zum Schutz der Rechte und Freiheiten sowie der berechtigten Interessen des Beschuldigten ergreifen muss.

 

Löschung

 

Unverzügliche Datenlöschung bei unbegründeter Meldung, ansonsten spätestens 2 Monate nach Beendigung des Untersuchungsverfahrens. Eine längere Speicherung ist nur bei der Durchführung eines Disziplinar- oder Strafverfahrens möglich. Wird ein Sachverhalt gemeldet, der den Verdacht einer Straftat begründet, dürfen die Daten für die Dauer der Untersuchung bzw. solange aufbewahrt werden bis sich daran anschließende rechtliche Maßnahmen und Verfahren abgeschlossen sind.

 

Maßnahmen vor Einführung des Whistleblowings

 

  • Datenschutz-Folgenabschätzung nach Art. 35 DSGVO
  • Aufnahme ins Verzeichnis von Verarbeitungstätigkeiten, Art. 30 Abs.1 DSGVO
  • Erfüllung von Informationspflichten Art. 13, 14 DSGVO
  • Betriebsrat beteiligen
  • Falls ein Dienstleister beteiligt ist (Anbieter eine Hotline) ADV mit dem Dienstleister nach Art. 28 DSGVO abschließen
  • Regellöschfristen festlegen

 

 

 

Michaela Dötsch

 

Rechtsanwältin

In Art. 15 bis 22 der Datenschutzgrundverordnung (DSGVO) werden die Rechte der betroffenen Personen geregelt, die jede betroffene Person gegenüber dem Verantwortlichen, der ihre personenbezogenen Daten verarbeitet, per Antrag geltend machen kann:

  • Recht auf Auskunft über die beim Verantwortlichen verarbeiteten personenbezogenen Daten gemäß Art. 15 DSGVO.
  • Recht auf Berichtigung unrichtiger personenbezogener Daten, die die betroffene Person betreffen, gemäß Art. 16 DSGVO.
  • Recht auf Löschung der beim Verantwortlichen verarbeiteten personenbezogenen Daten in den Fällen des Art. 17 Abs. 1 lit. a) bis f) DSGVO.
  • Recht auf Einschränkung / Sperrung der beim Verantwortlichen verarbeiteten personenbezogenen Daten gemäß Art. 18 Abs. 1 DSGVO.
  • Recht auf Datenübertragbarkeit, d.h. die betroffene Person kann, sofern die Voraussetzungen des Art. 20 Abs. 1 DSGVO vorliegen, verlangen, dass der Verantwortliche die bei ihm verarbeiteten personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format der betroffenen Person selbst oder einem von der betroffenen Person bestimmten Dritten übermittelt.
  • Recht, der weiteren Datenverarbeitung beim Verantwortlichen zu widersprechen gemäß Art. 21 DSGVO.
  • Recht, keiner automatisierten Einzelentscheidung unterworfen zu werden, gemäß Art. 22 Abs. 1 DSGVO bzw. Einspruchsrecht gegen eine erfolgte automatisierte Einzelentscheidung gemäß Art. 22 Abs. 3 i.V.m. Art. 22 Abs. 2 lit. a) oder c) DSGVO.

Die Informationen über die ergriffenen Maßnahmen auf den Antrag der betroffenen Person hin, sind der betroffenen Person unverzüglich, spätestens jedoch einen Monat nach Eingang des Antrags der betroffenen Person zur Verfügung zu stellen. Sofern es erforderlich ist, die Frist aufgrund der Komplexität und Anzahl von Anträgen um 2 Monate zu verlängern, unterrichtet der Verantwortliche die betroffene Person spätestens einen Monat nach Eingang des Antrags über die Fristverlängerung sowie die Gründe für die Verzögerung.

Wird der Verantwortliche auf Antrag der betroffenen Person nicht tätig, unterrichtet er die betroffene Person ohne Verzögerung, spätestens jedoch einen Monat nach Eingang des Antrags der betroffenen Person über die Gründe hierfür. Insbesondere unterrichtet der Verantwortliche die betroffene Person, wenn er in den Fällen des Art. 11 Abs. 2 DSGVO nicht in der Lage ist, die betroffene Person im System zu identifizieren, dies glaubhaft darlegt und daher ihrem Antrag nicht nachkommen kann.

Im Fall einer Pflicht zur Berichtigung, Löschung oder Einschränkung der Daten, informiert der Verantwortliche die Empfänger der personenbezogenen Daten gemäß Art. 19 DSGVO, damit diese etwaige bei ihnen vorhandene Kopien oder Replikationen dieser personenbezogenen Daten ebenfalls berichtigen, löschen oder einschränken.

S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.

20 Mitarbeiter 50 Millionen A1 Digital Abbinder Abmahnung Abmahnungen Abo-Falle Abstandsmessung Abstandsüberwachung Abstimmung Abwehr terroristischer Straftaten ADCERT Adressbuch AfD Airbnb Amnesty Anbieter Angemessenheitsbeschluss Angemessenheitsentscheid Angestellte Angreifer Angriff Anklage Anonymisierung Ansteckungsgefahr Anwendbarkeit Anwendung Anwesenheit AOK Apple Applikationen AppLocker Arbeitgeber Arbeitnehmer Arbeitsabläufe Arbeitsgericht Arbeitsmittel Arbeitsrecht Arbeitsunfähigkeitsbescheinigung Arbeitsverhältnis Arbeitszeit ArbGG Art. 17 DSGVO Art. 25 DSGVO Art. 26 DSGVO Art. 32 DSGVO Art. 37 DSGVO Art. 4 Nr. 12 DSGVO Art. 45 DSGVO Art. 8 MRK Art. 9 DSGVO Attacken Auchfsichtsbehörde Audit Aufsichtsbehörde Aufsichtsbehörden Auftragsverarbeiter Auftragsverarbeitung Auftragsverarbeitungsvertrag Aufzeichnung Auskunft Auskunftei Auskunftsanspruch Auskunftsansprüche Auskunftsrecht Auskunftsverlangen auslisten Ausnutzung Ausspähen Austritt Austrittsabkommen Auswertung Authentizität Automatisierte Einzelentscheidung Autsch Avast Backup Baden-Württemberg BAG BayDSG Bayerisches Datenschutzgesetz BDSG BDSG-Neu Beamte BEAST Bedrohung Beekeeper Befunde Begrifflichkeiten Beherbergungsstätten BEM Benachrichtigungspflicht Benutzerauthentifizierung Berechtigungen Berichte Berufsgeheimnis Beschäftigtendatenschutz Beschäftigtenumfragen Beschluss Beschlussfassung Beschwerde besondere Kategorien personenbezogener Daten Besucherdaten betriebliche Eingliederungsmanagement betriebliche Nutzung betrieblicher E-Mail-Account betrieblicher Internetzugang Betriebsrat Betriebsratssitzung Betriebsvereinbarung Betriebsverfassungsgesetz Betriebsversammlungen betroffene betroffene Person betroffene Personen Betroffenenanfragen Betroffenendaten Betroffenenrechte BetrVG Bewegungsprofil Bewerberdaten Bewerberportal BfDI BGH Bildaufnahmen Bildberichterstattung Bilder Bildersuche Bildrechte biometrische Daten Biometrische und genetische Daten Bitcoins Bitkom BKA Black- bzw. Whitelisting Technologie Bonität Bonitätsprüfung Bounty Brexit Britische Datenschutzbehörde Browser BSI Bug-Bounty-Programm Bund Bundesamt für Sicherheit in der Informationstechnik Bundesarbeitsgericht Bundesdatenschutzbeauftragter Bundesfinanzministerium Bundesgesundheitsministerium Bundeskartellamt Bundesnetzagentur Bundesregierung Bürokratieentlastungsgesetz Bußgeld Bußgelder Bußgeldverfahren BVG Callcenter Cambridge Analytics Captcha-Funktion Citizen-Score Cloud Cloud-Lösung CNIL Compliance Computer Cookie Cookies Corona Coronavirus COVID-19 CovidLock Malware Coworking-Spaces Cross Site Scripting Custom Audience CVE-2020-1456 CVE-2020-35753 Cyber Cyber-Attacken Cyberangriffe Cyberkriminalität Cyberkriminelle Cybersicherheit Cyble c`t Darknet Dashcam data breaches data protection officer Daten Daten-für-alle-Gesetz Datenabflüsse Datenaustausch Datenerhebung Datenlöschung Datenminimierung Datenmonopol Datenpanne Datenpannen Datenschutz Datenschutz Grundverordnung Datenschutz und Informationsfreiheit Datenschutz- und Informationssicherheitsbeauftragten Datenschutz-Folgenabschätzung Datenschutz-Schulungen Datenschutzabkommen Datenschutzaufsichtsbehörde Datenschutzaufsichtsbehörden Datenschutzauskunft-Zentrale Datenschutzbeauftragte Datenschutzbeauftragten Datenschutzbeauftragter Datenschutzbehörde Datenschutzerklärung Datenschutzgesetz Datenschutzgrundsätze Datenschutzgrundverordnung Datenschutzkonferenz datenschutzkonform Datenschutzmängel Datenschutzniveau Datenschutzprinzipien Datenschutzvereinbarung Datenschutzverletzung Datenschutzverletzungen Datenschutzverstöße Datenschutzverstößen Datensicherheit Datentransfer Datenübermittlung Datenübermittlung an Dritte Datenübermittlung in Drittstaaten Datenübertragung Datenverarbeitung Datenverarbeitungsprozesse Dating Dating-Portale Denial of Service Deutsch deutsch Deutsche Bahn Deutsche Bundesbank deutsche Telemediengesetz Deutsche Wohnen SE Diagnose Diebstahl Dienste Diensteanbieter Dienstleister Diesel-Fahrverbot Dieselfahrverbot Dieselskandal Direktwerbung Do not track-Funktion Dokumentation Donald Trump Dritter Drittland Drittstaat Drittstaat ohne angemessenes Datenschutzniveau Drittstaaten DSAnpUG-EU DSG DSGVO DSGVOÜberwachungstool DSK Durchsuchung Dynamic Data Exchange Protokoll dynamische IP-Adresse E-Mail E-Mail-Kampagnen e-Privacy-Verordnung E-Rechnung eCall-Technologie EDÖB EDPB EES EFAIL ehrenamtlich tätiger Vereine Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte Eigentum Einhaltung Einschränkungen Einsichtnahme Einwilligung Einwilligungserklärung Einwilligungserklärungen Einzelfall elektronische Kommunikation elektronische Patientenakte Empfänger Empfehlungen Ende-zu-Ende Ende-zu-Ende-Verschlüsselung Englisch ENISA Entlastung Entsorgung ePA ePrivacy ePVO Erfassung Ergebnisliste Erhebung Erhebung personenbezogener Daten Erhebungsverbot Ernährung Erwägungsgrund 48 der DSGVO eSafety-Initiative Essenswünsche Ethik ETIAS EU EU Kommission EU-Bürger EU-Datenschutz-Grundverordnung EU-Datenschutzgrundverordnung EU-Mitgliedsstaaten EU-Parlament EU-Richtlinie EU-Standardvertragsklauseln EU-Vertreter EuGH Euratom Europa Europäische Atomgemeinschaft Europäische Aufsichtsbehörde Europäische Kommision Europäische Kommission Europäische Union europäischen Vorschriften Europäischer Gerichtshof European Data Protection Board EWR externe Quellen Extra-Bezahlung Extra-Kosten Facebook Facebook-Fanpages Facebook-Pixel Fachbereich Fahrzeugdaten Fahrzeuge Fanpage Fanpagebetreiber Faxgerät FBI FDPIC Feedback Fernmeldegeheimnis Festplatte Finanzamt Finanzsektor Fingerabdruck Fingerabdruckscanner Firmensitz FlugDaG Fluggast Fluggastdaten Fluggastdatengesetz Folgenabschätzung Formalien Foto Foto-Funktion Framework freiwillig fristlose Kündigung Funkmäuse Funktastaturen Fürsorgepflicht GDPR gefährdet Geheimhaltung Geldbörse Geldbußen Geldstrafe Gemeinsam Verantwortliche Gericht Gerichtsbeschluss Gesellschaft für Informatik Gesetz Gesetz gegen den Unlauteren Wettbewerb Gesetz gegen Wettbewerbsbeschränkungen gestohlen Gesundheitsdaten Gewährleistung ginlo Business Google Google Analytics GPS grenzüberschreitend Groß-Britannien Großbritannien Grundrechte Grundrechtsabwägung Grundrechtseingriffen Grundsatz der Zweckbindung GWB H & M H&M Hack hack day Hackathon hacken Hacker Hackerangriff hackfest halal Handy-Tracking Hash-Verfahren Hausverwaltung Head of Cyber Security Architectur Health Checks Hinweisgeber Hoccer höchstpersönlich Höchstvermietungsdauer Home Office Home-Office Homeoffice Homepage Hygiene Immobilienmakler Infomationen Information Informationen Informationsfreiheit Informationspflicht Informationspflichten Informationssicherheit Informationssicherheitsbeauftragte Infrastruktur Inhalteanbieter Insights Insolvenzmasse Insolvenzverfahren Insolvenzverwalter Installation Integrität interner Datenschutzbeauftragter Internet Intrusion-Prevention-Systeme Investition iOs-App IP-Adresse iPad iPhone IPS Irland ISO/IEC 27001 IT Governance IT GRC IT-Forensik IT-forensische Untersuchung IT-Mitarbeiter IT-Security IT-Sicherheit IT-Systeme Italien ITSECX Jahresbericht Japan Jin-hyok Joint Control Kanada Kennzeichen-Scan Keynote Klagebefugnis Klingelschilder KNLTB kollektive Daten Kommune Kommunikation Kommunikationsmedium Konferenz Kontaktbeschränkungen Kontaktdaten Kontakte Kontaktpersonen Kontaktsperre Kontrolle Konzern konzerninterner Datentransfer Körpertemperatur KoSIT Krankenkasse Krankenkassen Krankheit Kriminalität Kriminelle Krise KUG Kundenbindung Kundenzufriedenheit Künstliche Intelligenz Kunsturhebergesetz Kurzarbeit Landesarbeitsgericht Landesbeauftragte Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg Landesdatenschutzbeauftragten Landesdatenschutzgesetz Landesverband Landgericht Laptop Lazarus Lebensweise Lehrer Leistungs- und Verhaltenskontrolle LfDI Baden-Württemberg LfDI BW Like-Button LLC Löschpflicht Löschung personenbezogener Daten Löschungsrecht Löschverlangen Lösegeld Machtposition Mail Makler Malware Manipulation eines Request Manipulation eines Requests Markennamen Markenrecht marktbeherrschende Stellung Marktforschung Marktortprinzip Maßnahmen MD5 Meldebehörde Meldepflicht meldepflichtige Krankheit Meldeportal Meldescheine Meldesystem Meldung Meltdown Menschenrecht Menschrechtsverletzungen Messenger Messung Microsoft Microsoft Office Mieter Mietverhältnis Minutien Misch-Account Missbrauch Missbrauch von Kundendaten missbräuchlich Mitarbeiter Mitbestimmung Mitbestimmungsrecht Mitbewerber Mitglieder Mitgliedsstaaten Mitwirkung Mobiltelefon MouseJack-Angriffe natürliche Person Nebenjob Nebentätigkeit Netzwerklabor Neutrale Schule nicht datenschutzkonform Niederlande NIST No-Deal-Brexit Nordkorea Notebook Nutzer Nutzung Nutzungsbedingungen Oberlandesgericht Düsseldorf öffentliche Stelle Office Office 365 Öffnungsklauseln OLG OLG Stuttgart One Stop Shop One-Stop-Shop Online Online-Dienste Online-Gewinnspiel Online-Kommunikationstools OpenPGP Opfer Österreich Pandemie Papierrechnung Passenger Name Records Passwort Passwort-Sicherheit Passwörter Passwörter. 2016 Passwortfilters Passwortregeln Passwortschutz Patientendaten Penetration Tests Penetrationstest Penetrationstests Persis Online personal data Personalabteilung Personalausweiskopien Personalfragebogen Personalverantwortliche personenbezogene Daten personenbezogenen Daten Personenbilder persönliche Daten Persönlichkeitsrecht Persönlichkeitsrechte Pflichten Pharmalobbyist Phishing Phishing-Kampagnen Phising Plattformbetreiber PNR-Daten PNR-Instrumente Polizei POODLE Power Query PowerShell-Umgebung Prävention Praxistipps Privacy by Default Privacy by Design Privacy Shield privat private Endgeräte private Handynummer private Mobilfunknummer private Telefonnummer Privatleben Privatnutzung Privatnutzungsverbot Privatspäre Privatsphäre Problem Produktivitätswert Profiling Prozesskosten Quantencomputer Quarantäne Ransomware reale Infrastruktur Rechenzentren Rechenzentrum Recht auf Achtung des Privat- und Familienlebens Recht auf Berichtigung Recht auf Datenübertragbarkeit Recht auf Einschränkung Recht auf Löschung Rechte Rechte der betroffenen Person Rechtmäßigkeitsvoraussetzungen Rechtsabteilung rechtswidrig Referenten Regelungsaufträge Reichweitenanalyse Reputationsschaden Research Research Team Risiken Risiko Risikogruppen Risikomanagement Risk & Compliance Management Robert-Koch-Institut Rufschädigung Ruhezeiten S/MIME SamSam Sanktion Sanktionen SCC Schaden Schadensersatz Schadprogramm Schadsoftware Schrems II Schüler Schulung Schutz schützenswert Schutzmaßnahmen Schutzniveau schutzwürdige Interessen Schwachstelle Schwachstellen Schweiz SDSG second line of defense Security by Design Seitenbetreiber Sensibilisierung SHA1 SharePoint sicher Sicherheit Sicherheits- und Datenschutzmängel Sicherheitslücke Sicherheitslücken Sicherheitsmängel Sicherheitsstandards Sicherheitsvorfall Sicherheitsvorfälle kritische Infrastrukturen IT-Sicherheitsbeauftragten ISMS Sicherung der Daten Siegel Signal Signatur Sitzungen Skype Smartphone Social Plugin Software Software-Entwicklung Sony Sony PSN Soziale Netzwerke soziale Netzwerke Spammails SPD Spectre Speicherdauer Sponsoren Sprache Sprachkenntnis Standarddatenschutzklauseln Standardvertragsklauseln Standort Statistik Tool Steuer Steuerberater Strafe Strafverfolgung Studenten Suchanfrage Suchdienst Suchmaschine Supercomputer Risikolage supervisory authority Support Swiss IT Security Gruppe Swiss- U.S. Privacy Shield Swiss-US Privacy Shield Synergiepotenziale Systemadministrator Technische & organisatorische Maßnahmen technische & organisatorische Maßnahmen Technische und organisatorische Maßnahmen technische und organisatorische Maßnahmen Telefonnummer Telefonwerbung Telemarketing Telemediendienst Telemediengesetz Teleselling Telstra Security Report Tennisclub Threema Work TIBER TIBER-DE TKG TLS TMG TOM Tools Totalrevision Tracking Tracking Tools Tracking-Tools Transfer- und Überwachungsmaßnahmen Transportverschlüsselung Twitter Übergangsphase Übermittlung personenbezogener Daten Übernahme Übertragung Überwachung Überwachungssoftware Umfrage Umsetzungsfrist Unberechtigte Datenabfrage unerlaubt Unionsbürger unpersonalisierter Benutzer-Account Unterlassungsanspruch Unternehmen Unternehmensgröße Unternehmensgruppe Unternehmenssprache unverschlüsselt unzulässig Update Urlaub Urteil US-Behörden US-Regierung USA UWG Vegan Vegetarier Verantwortlicher Verantwortung Verarbeitung Verarbeitungsverbot Verbot Verbraucher Verbraucherzentralen Verdachtsfälle Vereinbarung Vereinigte Königreich Vereinigtes Königreich Großbritannien und Nordirland Verfahren C-311/18 Vergessenwerden Verlängerung verloren Verlust Vermieter Vernichtung von Datenträgern Veröffentlichung Verordnung (EU) 2015/758 verschlüsseln Verschlüsselte E-Mails Verschlüsselung Verschlüsselungsverfahren Versicherte Verstoß Verstöße Vertrag zur Auftragsverarbeitung Vertragsanbahnung Verwaltungsakt Verwaltungsgericht Karlsruhe VG Mainz Video-Kommunikation Videokamera Videokonferenz Videokonferenzen Videokonferenzsysteme Videoüberwachung Virus Voraussetzungen Voreinstellungen Vorgesetzte Vorsicht Vorteile Wachstum WAF WannaCry Warnung Web-Applikation-Firewalls Webcast Webseite Webseiten Webseitenbesucher Webseitenbetreiber Website Website-Betreiber Webtracking Webtrecking weisungsunabhängig Weiterempfehlung von Stellenausschreibungen Weitergabe Weitergabe an Dritte Weltanschauung Werbeaussage Werbezwecke Werbung Wettbewerb Wettbewerbsrecht wettbewerbsrechtliche Abmahnung Wettbewerbsverstöße WhatsApp Whistleblower Whistleblowing Widerruf Widerrufsrecht Widerspruchsrecht Wien Windows Wire Enterprise Wirklichkeitsmodell Wohnung Workplace Analytics X-Rechnung XSS Youtube Zeiterfassung zentralisierte Verwaltung Zertifikat Zertifizierung Zoom Zoom Video Zugangsdaten Zugriff Zugriffsmöglichkeiten Zugriffsrechte Zugriffsverwaltung Zukauf zulässig Zulässigkeit zusätzliche Maßnahmen Zusatzschutz zuständig Zwangsgeld Zweck Zweckbindung Zweckbindungsgrundsatz § 15 TMG § 26 BDSG-Neu § 32 BDSG § 32 DSGVO § 35 BDSG-Neu § 38 BDSG-Neu § 3a UWG § 42a BDSG § 42b BDSG § 88 TKG

Tags

Mo Di Mi Do Fr Sa So
        1 2 3
4 5 6 7 8 9 10
11 12 13 14 15 16 17
18 19 20 21 22 23 24
25 26 27 28 29 30 31