Home / Aktuelles & Termine / it.sec blog

H&M wurde durch den Hamburgischen Datenschutzbeauftragten wegen der Überwachung von Mitarbeitern in einem Servicecenter in Nürnberg ein Rekordbußgeld von 35,3 Millionen Euro auferlegt.

 

Seit mindestens sechs Jahren wurden von einem Teil der Beschäftigten des Servicecenters umfangreich deren private Lebensumstände erfasst und auf einem Netzlaufwerk dauerhaft gespeichert. Bekannt wurde dies im Oktober 2019, weil die Notizen durch einen Konfigurationsfehler für einige Stunden unternehmensweit einsehbar waren.

 

Nach Angaben des hamburgischen Datenschutzbeauftragten führten die Vorgesetzten nach Urlaubs- und Krankheitsabwesenheiten der Mitarbeiter sog. Welcome Back Talks durch. Dadurch erlangtes Wissen wurde in etlichen Fällen festgehalten, z.B. konkrete Urlaubserlebnisse der Mitarbeiter oder Krankheitssymptome und Diagnosen. Die Vorgesetzten eigneten sich zusätzlich durch Einzel- oder Flurgespräche ein umfangreiches Wissen über das Privatleben der Mitarbeiter an, das von harmlosen Details bis zu familiären Problemen oder religiösen Bekenntnissen reichte. Diese Informationen wurden teilweise aufgezeichnet, digital gespeichert und konnten von bis zu 50 Führungskräften am Standort eingesehen werden. Die Aufzeichnungen waren zum Teil sehr detailliert und wurden laufend fortgeschrieben. Die so erhobenen Daten wurden neben einer akribischen Auswertung der individuellen Arbeitsleistung u.a. genutzt, um ein Profil der Mitarbeiter für Maßnahmen und Entscheidungen im Arbeitsverhältnis zu erhalten.

 

Die Kombination aus der Ausforschung des Privatlebens und der laufenden Erfassung, welcher Tätigkeit sie jeweils nachgingen, führte nach Angaben des Hamburgischen Datenschutzbeauftragten zu einem besonders intensiven Eingriff in die Rechte der betroffenen Personen und stellt eine schwere Missachtung des Beschäftigtendatenschutzes dar. Vor diesem Hintergrund sei das Bußgeld in seiner Höhe angemessen und geeignet, Unternehmen von Verletzungen der Privatsphäre ihrer Beschäftigten abzuschrecken.

 

Positiv bewertet wurde das Bekenntnis der Unternehmensleitung zur Unternehmensverantwortung nach einem Datenschutzverstoß. Es wurde ein umfassendes Datenschutzkonzept vorgelegt, die Unternehmensleitung hat sich ausdrücklich bei den Betroffenen entschuldigt und bemüht sich um Wiedergutmachung. In diesem Zuge soll den Betroffenen ein unbürokratischer Schadensersatz in beachtlicher Höhe ausgezahlt werden.

 

Dieses Bußgeld von 35,3 Millionen Euro übersteigt alle seit Inkrafttreten der Datenschutzgrundverordnung (DSGVO) in Deutschland verhängten Bußgelder deutlich und ist trotz der transparenten Aufklärung und Kooperation des Unternehmens hoch ausgefallen. Die Aufsichtsbehörden verschärfen also scheinbar ihr Vorgehen bei Datenschutzverstößen. Die Einhaltung der Vorschriften der DSGVO ist daher zur Vermeidung von (hohen) Bußgeldern unerlässlich.

 

Julia Eisenacher
Juristin (Univ.)
Consultant für Datenschutz

In den Art. 12 ff. Datenschutzgrundverordnung (DSGVO) sind die Rechte der betroffenen Personen geregelt. Art. 15 DSGVO regelt das Auskunftsrecht der betroffenen Personen, dessen Reichweite und Grenzen schon einige Gerichte beschäftigt hat und auch in Zukunft noch beschäftigen wird.

 

Das Bundesverwaltungsgericht (Urteil vom 16.9.2020, Az. 6 C 10.19) hat nun entschieden, dass der Insolvenzverwalter vom Finanzamt keine Auskunft über das Steuerkonto des Insolvenzschuldners, dessen Vermögen er verwaltet, verlangen kann, weil er nicht betroffene Person im Sinne der DSGVO ist.

 

Betroffene Person ist nach Art. 4 Nr. 1 DSGVO nur diejenige natürliche Person, die durch die personenbezogenen Daten identifiziert oder identifizierbar ist.

 

Nach Art. 15 Abs. 1 DSGVO hat die betroffene Person das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende, personenbezogene Daten verarbeitet werden. Ist dies der Fall, hat die betroffene Person das Recht auf Auskunft über diese personenbezogenen Daten und die in Art. 15 Abs. 1 DSGVO genannten Informationen (z.B. Verarbeitungszwecke, Kategorien personenbezogener Daten, die verarbeitet werden). Nach Art. 15 Abs. 3 DSGVO hat die betroffene Person ferner das Recht auf den Erhalt einer Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind.

 

Das Auskunftsrecht ist ein höchstpersönliches Recht der betroffenen Person und gehört als solches nicht zur Insolvenzmasse und geht deshalb nicht mit Eröffnung des Insolvenzverfahrens auf den Insolvenzverwalter über. Als höchstpersönliches Recht ist es auch nicht darauf gerichtet, Dritten Informationen über die bei staatlichen Stellen vorhandenen Informationen zu verschaffen.

 

Eine Erweiterung des Auskunftsrechts auf den Insolvenzverwalter stehe dem Sinn und Zweck der Betroffenenrechte entgegen. Denn diese dienen dem Schutz des Grundrechts auf Achtung der Privatsphäre aus Art. 8 der Charta der Grundrechte der Europäischen Union. Dafür muss sich die betroffene Person von der Richtigkeit der Daten und der Zulässigkeit der Verarbeitung vergewissern können, was mit dem Auskunftsanspruch erreicht werden kann. Der Insolvenzverwalter wollte damit jedoch potentiell anfechtungsrelevante Sachverhalte zur Mehrung der Insolvenzmasse ermitteln und damit Auskunft über Informationen mit vermögensrechtlichem Bezug.

 

Julia Eisenacher
Juristin (Univ.)
Consultant für Datenschutz

Schrems II Urteil des EuGH

 

Nachdem der EuGH mit seinem Urteil vom 16. Juli 2020, Rechtssache C-311/18 — „Schrems II“ den EU – U.S. Privacy Shield für unwirksam erklärt hat, genügt die Teilnahme am U.S. Privacy Shield nicht mehr, um innerhalb der EU als datenschutzkonform zu gelten.

 

Schweizer Bundesbeauftragte für Datenschutz und Information (FDPIC) prüft Swiss- U.S. Privacy Shield

 

Zwar ist die Schweiz nicht Mitglied der EU und daher nicht an das Urteil des EuGH gebunden. Dennoch wurde der Swiss- U.S. Privacy Shield nun vor dem Hintergrund des EuGH Urteils neu bewertet. In seinem Positionspapier vom 08.09.2020 kommt der Schweizer Bundesbeauftragte für Datenschutz und Information (FDPIC) zu dem Schluss, dass auch der Swiss- U.S. Privacy Shield kein angemessenes Sicherheitsniveau für den Datenaustausch zwischen der Schweiz und der USA bietet.

 

Einschätzung desSchweizer Bundesbeauftragte für Datenschutz und Information (FDPIC)

 

Seit dem 11.01.2017 gilt die USA bei der Schweiz als Land mit „angemessenem Schutzniveau unter bestimmten Umständen“. Das bedeutet, dass Datentransfers bzgl. personenbezogener Daten zwischen der Schweiz und U.S. Unternehmen, welche sich für den Swiss- U.S. Privacy Shield zertifizieren haben lassen, als geschützt gelten.

 

Doch auch der Schweizer Bundesbeauftragte für Datenschutz und Information (FDPIC) bemängelt in dem Positionspapier vom 08.09.2020 unter anderem den Zugriff auf personenbezogene Daten durch die U.S. Behörden. Betroffene Personen aus der Schweiz haben demnach keine ausreichend durchsetzbaren Rechte in den USA. Dies gilt umso mehr, nachdem die Wirksamkeit des Ombudsmann- Prinzips, welches einen Rechtbehelf innerhalb der USA zusichern soll, mangels Transparenz nicht eingeschätzt werden kann. Zudem fehlen hinreichende Garantien der USA hinsichtlich der Beschränkung des Zugriffsrechts der U.S. Behörden auf personenbezogene Daten. Der Bundesbeauftragte für Datenschutz und Information (FDPIC) erklärt im Positionspapier weiter, dass ein solcher Eingriff durch U.S. Behörden in die Privatsphäre und die informationelle Selbstbestimmung der betroffenen Personen in der Schweiz vor diesem Hintergrund gegen die Grundsätze der rechtmäßigen Bearbeitung von personenbezogener Daten im Sinne des Schweizer Datenschutzgesetzes verstößt.

 

Hat die Einschätzung desSchweizer Bundesbeauftragte für Datenschutz und Information (FDPIC) Auswirkungen auf den Swiss- U.S. Privacy Shield?

 

Die Einschätzung des Schweizer Bundesbeauftragte für Datenschutz und Information (FDPIC) hat keinen direkten Einfluss auf die Anwendung des Swiss- U.S. Privacy Shield. Derzeit gibt es hierzu auch noch keine Rechtsprechung der Schweizer Gerichte. Es bleibt daher ungewiss, ob ein Zugriff der U.S. Behören auf personenbezogene Daten beim internationalen Datentransfers mit dem Schweizer Datenschutzgesetz konform ist.

 

Fazit

 

Zwar wurden im Positionspapier vom 08.09.2020 bereits Handlungsstrategien für betroffene Unternehmen veröffentlicht, wie zum Beispiel die Benutzung der EU Standarddatenschutzklauseln. Hierbei handelt es sich jedoch lediglich um eine Empfehlung und keine zwingend einzuhaltende Vorgabe.

 

Letztlich können sich Schweizer und U.S. Unternehmen daher derzeit noch weiterhin auf den Swiss- U.S. Privacy Shield berufen.

 

Laura Piater

 

Justiziarin

 

Consultant für Datenschutz

Der Europäische Gerichtshof hat heute Morgen die Datenschutzvereinbarung „Privacy Shield“ zwischen der EU und den USA gekippt. Dies war die informelle Absprache auf dem Gebiet des Datenschutzrechts, die zwischen der Europäischen Union und der USA ausgehandelt wurde. Die Absprache regelte den Schutz personenbezogener Daten, die aus einem Mitgliedsstaat der Europäischen Union in die USA übertragen wurden. Eine Datenübertragung in die USA und andere Staaten ist aber weiterhin auf Grundlage der sog. EU-Standardvertragsklauseln möglich. Diese bieten Garantien dafür, dass bei der Übermittlung von Daten das europäische Datenschutzniveau eingehalten wird.

Auch das „Privacy Shield“ hat Standards für den Umgang mit europäischen Daten in den USA festgelegt. Die Unternehmen, die ihre Datenübertragung darauf gestützt haben, stehen jedoch nun vor dem Problem, dass diese mit dem Wegfall des Privacy Shields unzulässig geworden ist. Diese Unternehmen müssen jetzt also nach Alternativen suchen. In Betracht kommt entweder die Nutzung von o.g. EU- Standardvertragsklauseln oder der Wechsel zu Dienstleistern und Rechenzentren ausschließlich in Europa oder in Staaten mit einem angemessenen Datenschutzniveau. Bei Verstößen gegen die DSGVO kann es jedenfalls teuer werden, wie einige Fälle bereits gezeigt haben. Es drohen Geldbußen von bis zu 20 Millionen Euro oder bis zu 4% des gesamten weltweit erzielten Jahresumsatzes eines Unternehmens, wenn man Daten ohne angemessenes Datenschutzniveau in ein Drittland übermittelt.

Der österreichische Datenschutzaktivist Max Schrems hatte in diesem Fall beanstandet, dass Facebook Irland seine Daten an den Mutterkonzern in den USA weiterleitet. Denn dort ist Facebook dazu verpflichtet, den US-Behörden (z.B. FBI, NSA) Zugang zu den Daten zu gewähren – und das ohne richterlichen Beschluss oder die Möglichkeit der betroffenen Personen dagegen vorzugehen. Der Rechtsschutz ist für die betroffenen Personen daher unzureichend. Aufgrund dieser Zugriffsmöglichkeiten ist nach Ansicht der Luxemburger Richter der Datenschutz nicht gewährleistet und erklärte dem EU-US Privacy Shield eine Absage.

Unternehmen müssen nun dringend handeln und entweder die Datenverarbeitung mit ehemals Privacy Shield zertifizierten Unternehmen einstellen oder mit diesen unverzüglich EU-Standardvertragsklauseln schließen.

 

Julia Eisenacher
Juristin (Univ.)
Consultant für Datenschutz

 

EU-US-Datenschutzvereinbarung „Privacy Shield“ ungültig

Videokonferenzdienste haben während der Corona-Krise an Bedeutung gewonnen. Der anfangs sehr beliebte US-amerikanische Anbieter Zoom, geriet dabei aufgrund diverser Sicherheits- und Datenschutzmängel zunehmend in die Kritik (wir berichteten).

 

Nach einem Sicherheitsvorfall an einer Schule, hat der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI BW) im April eine Warnung vor der Nutzung des Dienstes ausgesprochen, die er nun nach Verbesserungen durch Zoom zurückgenommen hat.

 

In Zusammenarbeit mit dem LfDI BW hat Zoom mit der Version Zoom 5.0 folgende Verbesserungen vorgenommen:

 

  • Privacy by Default: Die Einrichtung eines Warteraums und die passwortgeschützte Einwahl ist nun voreingestellt.
  • Zoom schließt jetzt ausdrücklich die Verwendung von Nutzerdaten (einschließlich der Benutzer-IDs der Endgeräte) zu wirtschaftlichen Zwecken aus.
  • Die Video-Kommunikation wird künftig Ende-zu-Ende verschlüsselt sein – zumindest in der kostenpflichtigen Geschäftskunden-Version.
  • Außerdem hat Zoom nun einen Vertreter in der EU benannt, was für die Erreichbarkeit von Zoom durch seine Nutzer und die Durchsetzung von Betroffenenrechten wichtig ist, da Zoom als US-amerikanisches Unternehmen keine Niederlassung in Europa hat.

 

Der LfDI BW bewertete die Fortschritte bei Zoom als positiv, weswegen die Nutzungswarnung zurückgenommen werden konnte. Es sei jedoch noch zu klären, inwieweit Daten bei Zoom zu unternehmenseigenen Zwecken genutzt werden.

 

Der LfDI BW betonte aber auch, dass Verantwortliche weiterhin für die von ihnen initiierte Verarbeitung personenbezogener Daten verantwortlich und gegenüber den betroffenen Personen rechenschaftspflichtig seien. Aus datenschutzrechtlicher Sicht haben noch fast alle Videokonferenzsysteme Nachbesserungsbedarf.

 

Bei der Nutzung von Videokonferenzsystemen sollten Sie deshalb immer genau hinschauen, welche Daten durch deren Nutzung freigegeben werden.

 

Julia Eisenacher
Juristin (Univ.)
Consultant für Datenschutz

 

Die Datenschutzbehörde in Baden-Württemberg erließ heute ein Bußgeld gegen die AOK Baden-Württemberg in Höhe von 1,24 Mio Euro wegen rechtswidriger Datenverarbeitung beim Direktmarketing und unzureichender technischer und organisatorischer Maßnahmen.

 

Die AOK Baden-Württemberg veranstaltete u.a. mehrere Online-Gewinnspiele und erhob dabei personenbezogene Daten der Gewinnspielteilnehmer sowie deren aktuelle Krankenkassenzugehörigkeit. Dabei wurden Daten von mehr als 500 Gewinnspielteilnehmern ohne deren Einwilligung zu Werbezwecken verwendet.

 

Dabei stellte die Datenschutzaufsichtsbehörde klar, dass sowohl die aktuelle Situation als auch die umfangreichen internen Überprüfungen und Anpassungen der technischen und organisatorischen Maßnahmen sowie die konstruktive Zusammenarbeit mit der Aufsichtsbehörde bei der Festsetzung des Bußgeldes positiv ins Gewicht fielen.

 

Man darf aber auch in Zeiten von Corona nicht vergessen, dass der Datenschutzbeauftragte im Unternehmen eine wichtige Stellung einnimmt, die gerade in Zeiten des dezentralen Arbeitens nicht vernachlässigt werden darf. Auch darauf wies die Aufsichtsbehörde noch einmal explizit hin.

 

 

Dr. Bettina Kraft

 

Teamleitung und Senior Consultant für Datenschutz

 

Volljuristin

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat eine Orientierungshilfe verabschiedet, in der sie die Anforderungen an die Verfahren zum Versand und zur Entgegennahme von E-Mails dargelegt hat. Diese basiert auf den Vorgaben der Art. 5 Abs. 1 lit. f, 25 und 32 Abs. 1 Datenschutzgrundverordnung (DSGVO).

 

Werden E-Mails, die personenbezogene Daten enthalten oder aus denen sich Informationen über natürliche Personen ableiten lassen, nicht verschlüsselt, besteht das Risiko, dass unbefugte Personen mitlesen. Dies stellt eine Datenschutzverletzung i.S.d. Art. 33 DSGVO dar. Um dies abzuwenden sollten solche E-Mails standardmäßig verschlüsselt werden.

 

Inanspruchnahme von E-Mail-Diensteanbietern

 

Öffentliche E-Mail-Diensteanbieter müssen zum Schutz der Vertraulichkeit und Integrität die Anforderungen der Technischen Richtlinie „Sicherer E-Mail-Transport“ des Bundesamts für Sicherheit in der Informationstechnik (BSI TR-03108-1) einhalten.

 

Bei Inanspruchnahme öffentlicher E-Mail-Diensteanbieter müssen Verantwortliche sicherstellen, dass die Diensteanbieter hinreichende Garantien für die Einhaltung der Anforderungen aus der DSGVO und insbesondere der genannten Technischen Richtlinie bieten. Dies umfasst auch die sichere Anbindung eigener Systeme und Endgeräte an die Diensteanbieter.

 

Außerdem müssen die Verantwortlichen das Risiko für die Rechte und Freiheiten der natürlichen Personen, das sich aus der Verarbeitung personenbezogener Daten ergibt, abschätzen. Entsprechend der Einordnung des Risikos als normal oder hoch, müssen ggf. zusätzliche Maßnahmen ergriffen werden.

 

Entgegennahme von personenbezogenen Daten

 

Nimmt der Verantwortliche per E-Mail gezielt personenbezogene Daten entgegen, muss er folgende Anforderungen erfüllen:

 

Bei einem normalen Risiko für die Rechte und Freiheiten der natürlichen Personen muss der Verantwortliche den sicheren Empfang der E-Mails über einen verschlüsselten Kanal sicherstellen. Der Empfangsserver muss mindestens den Aufbau von TLS-Verbindungen (direkt per SMTPS oder nach Erhalt eines STARTTLS-Befehls über SMTP) ermöglichen und darf ausschließlich die in der TR 02102-2 aufgeführten Algorithmen verwenden.

 

Bei einem hohen Risiko muss der Verantwortliche eine qualifizierte Transportverschlüsselung und den Empfang von Ende-zu-Ende verschlüsselten Nachrichten ermöglichen. Außerdem muss er bestehende (PGP- oder S/MIME-) Signaturen qualifiziert prüfen.

 

Versand von E-Mails

 

Stellt der Bruch der Vertraulichkeit beim Versand von E-Mails mit personenbezogenen Daten ein normales Risiko für die Rechte und Freiheiten der natürlichen Personen dar, muss der Verantwortliche eine obligatorische Transportverschlüsselung sicherstellen und sollte sich an der Technischen Richtlinie „Sicherer E-Mail-Transport“ des Bundesamts für Sicherheit in der Informationstechnik (BSI TR-03108-1) orientieren.

 

Bei einem hohen Risiko muss der Verantwortliche eine Ende-zu-Ende-Verschlüsselung und eine qualifizierte Transportverschlüsselung sicherstellen. Ggf. kann auf einzelne Anforderungen verzichtet werden, dies hängt jedoch von den bestehenden Risiken, der konkreten Ausgestaltung des Übertragungsweges und kompensierenden Maßnahmen ab.

 

Ist der Verantwortliche gemäß § 203 StGB zur Geheimhaltung von Kommunikationsinhalten verpflichtet, muss zusätzlich zu den o.g. Maßnahmen zwingend eine Verschlüsselung vorgenommen werden, sodass nur diejenigen, an die die Inhalte der Nachrichten offenbart werden dürfen, eine Entschlüsselung vornehmen können.

 

Verschlüsselungs- und Signaturverfahren

 

Die folgenden Verschlüsselungs- und Signaturverfahren kommen dabei in Betracht:

 

Eine Transportverschlüsselung ist das Mindestmaß, das zur Erfüllung der gesetzlichen Anforderungen erforderlich ist. Hierdurch wird das normale Risiko, das sich aus der Verarbeitung personenbezogener Daten ergibt, bereits ausreichend gemindert.

 

Durch eine obligatorische Transportverschlüsselung soll eine unverschlüsselte Übermittlung der Nachrichten ausgeschlossen werden. Dabei sind die Anforderungen der Technischen Richtlinie „Kryptographische Verfahren: Empfehlungen und Schlüssellängen“ des Bundesamts für Sicherheit in der Informationstechnik (BSI TR-02102-2) zu erfüllen sind.

 

Durch eine qualifizierte Transportverschlüsselung wird ein ausreichender Schutz gegen aktive Angriffe von Dritten in den Netzverkehr gewährleistet.

 

Eine Ende-zu-Ende-Verschlüsselung mit den Verfahren S/MIME und OpenPGP gewährt den durchgreifendsten Schutz der Vertraulichkeit der Inhaltsdaten. Neben dem Transportweg wird auch die Zwischenspeicherung und -verarbeitung auf den an der Übermittlung beteiligten Server geschützt.

 

Eine Signatur mit dem S/MIME- oder OpenPGP-Verfahren ermöglicht einen nachhaltigen Schutz der Integrität der E-Mail-Inhalte gegen unbefugte Beeinträchtigung. Der Schutz umfasst neben dem Transportweg auch die Zwischenspeicherung und -verarbeitung auf den an der Übermittlung beteiligten Servern.

 

Fazit

 

Eine E-Mail-Verschlüsselung ist daher als technische und organisatorische Maßnahme i.S.d. Art. 32 DSGVO vorzunehmen, wobei die Verschlüsselungs- und Signaturverfahren dem entsprechenden Risiko angepasst werden müssen.

 

Falls Sie hierbei Unterstützung benötigen oder weitere Fragen haben, sprechen Sie uns gerne an.

 

Julia Eisenacher
Juristin (Univ.)
Consultant für Datenschutz

 

Während der Arbeit in der Corona-Krise müssen oft viele Informationen schnell ausgetauscht werden. Dazu kommt, dass viele Mitarbeiter im Home Office arbeiten und die Umstellung darauf unter Umständen sehr schnell erfolgte. Das erhöht die Gefahr einer Datenschutzverletzung, d.h. von Vernichtung, Verlust, Veränderung, unbefugter Offenlegung oder unbefugtem Zugang zu personenbezogenen Daten.

 

Allgemein gilt: Sie sollten immer gewissenhaft mit personenbezogenen Daten wie beispielsweise Namen und Adressen umgehen. Seien Sie besonders vorsichtig beim Umgang mit sensiblen Daten wie Gesundheitsdaten, Daten über politische Meinungen oder zu religiösen oder weltanschaulichen Überzeugungen.

 

Hier sind noch einige organisatorische Tipps, die Ihnen dabei helfen sollen personenbezogene Daten zu schützen und Datenschutzverletzungen zu vermeiden:

 

  • Beachten Sie bei der Erstellung neuer Formulare alle Sicherheitsmaßnahmen, damit personenbezogene Daten sicher aufbewahrt und nicht unbeabsichtigt weitergegeben werden können.
  • Stellen Sie bei der Verwendung von Vorlagen zur Erfassung personenbezogener Daten sicher, dass stets eine leere/unbenutzte Vorlage ausgegeben wird.
  • Benutzen Sie komplexe Passwörter und für jeden Dienst/jede Anwendung ein eigenes Passwort. Dabei können Sie unterstützend ein Passwort-Verwaltungsprogramm einsetzen.

 

Bei der Arbeit im Home Office sollte folgendes beachtet werden:

 

  • Weisen Sie Ihre Mitarbeiter im Home Office darauf hin, dass auch weiterhin auf einen sicheren E-Mail-Versand geachtet werden muss, d.h. insbesondere: Kontrolle der Empfänger und Anhänge und Verwendung der BCC-Funktion.
  • Bei der Arbeit im Home Office mit personenbezogenen Daten, für die der Arbeitgeber verantwortlich ist, muss die Sicherheit der Daten an diesen Verarbeitungsstandorten ebenso gewährleistet sein. Es muss sichergestellt sein, dass keine unbefugte Einsichtnahme auf den Bildschirm oder in Papier-Unterlagen durch Dritte stattfinden kann – das umfasst auch Familienmitglieder oder Mitbewohner!

 

Sollte es dennoch zu einer Datenschutzverletzung kommen, melden Sie diese unverzüglich Ihrem Datenschutzbeauftragen, damit dieser eine Risikoabwägung durchführen kann und ggf. eine Meldung der Datenschutzverletzung innerhalb der Frist des Art. 33 DSGVO an die Aufsichtsbehörde erfolgen kann.

 

 

 

Working during the corona crisis, a lot of information often has to be exchanged quickly. In addition, many employees now work from home and the transition to it may have taken place very quickly. This increases the risk of a data breach, i.e. the accidental or unlawful destruction, loss, alteration, unauthorised disclosure of, or access to, personal data.

 

In general, you should always handle personal data such as names and addresses conscientiously. Be especially careful when handling sensitive data such as health data, data on political opinions or on religious or ideological beliefs.

 

Here are some organizational tips to help you protect personal data and prevent data protection violations:

 

  • When creating new forms, take all security measures to ensure that personal data is kept secure and cannot be inadvertently disclosed.
  • When using templates to enter personal data, ensure that an empty/unused template is always output.
  • Use complex passwords and a separate password for each service/application. You may use a password management program to help you do this.

 

The following should be observed when working in the home office:

 

  • Point out to your home workers that they must continue to ensure secure e-mail transmission, in particular by checking the recipients and attachments and using the BCC function.
  • When working from home with personal data for which the employer is responsible, the security of the data at these processing locations must also be guaranteed. It must be ensured that no unauthorised access to the screen or to paper documents by third parties can take place - this includes family members or flatmates!

 

Should a data breach occur nevertheless, please report it immediately to your data protection officer so that he can weigh up the risks and, if necessary, report the data breach to the supervisory authority within the period stipulated in Art. 33 GDPR.

 

 

Julia Eisenacher
Juristin (Univ.)
Consultant für Datenschutz

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit, Maja Smoltczyk, hat am 3. April 2020 ihren Jahresbericht für das Jahr 2019 vorgelegt.

Besonders erwähnenswert ist in diesem Zusammenhang das bisher höchste Bußgeld in der Bundesrepublik Deutschland unter der DSGVO. Dieses wurde wegen Verstößen im Zeitraum Mai 2018 bis März 2019 gegen die Deutsche Wohnen SE verhängt. Sie hatte umfangreiche Datensätze mit sensiblen Dokumenten wie Ausweiskopien oder Arbeitsverträgen entgegen der gesetzlichen Verpflichtung nicht gelöscht und war auch einer diesbezüglichen Aufforderung der Aufsichtsbehörde aus dem Jahr 2017 nicht nachgekommen. Die Höhe des verhängten Bußgeldes beträgt stolze 14,5 Millionen Euro. Der gesamte mögliche Bußgeldrahmen von 28 Millionen Euro wurde allerdings nicht ausgeschöpft. Die Deutsche Wohnen hat Einspruch gegen den Bußgeldbescheid eingelegt. Eine endgültige Entscheidung der Aufsichtsbehörde bzw. die mögliche gerichtliche Klärung stehen noch aus.

Die dienstliche Nutzung von Messenger-Apps ist immer noch ein Thema. Hier sollte die Bereitstellung eines dienstlichen Messengers erwogen werden, um Probleme zu vermeiden. Das automatische Auslesen des gesamten Adressbuchs ist nach wie vor ein Problem bei WhatsApp (Facebook). Vor allem sollten niemals vertrauliche Dokumente in WhatsApp-Gruppen geteilt werden.

Künstliche Intelligenz bzw. maschinelles Lernen birgt Risiken für die Persönlichkeitsrechte. Diese Risiken bestehen insbesondere in der systematischen Diskriminierung von Bevölkerungsgruppen im Rahmen intransparenter und voreingenommener Entscheidungsprozesse ohne menschliche Eingriffsmöglichkeit. Dahingehende Bemühungen von Unternehmen sind also unbedingt frühzeitig durch die Verantwortlichen mit dem Datenschutzbeauftragten abzustimmen.

Die Anfertigung von Fotos für den Zutritt zu Coworking-Spaces lässt sich nicht allein zur Gefahrenabwehr und Beweissicherung rechtfertigen. Wenn mildere Mittel wie das Erfassen der Personalien mittels einer Besucherliste zur Verfügung stehen, ist ein solches Vorgehen unzulässig.

Nach Beendigung des Beschäftigungsverhältnisses sind personenbezogene Daten zu löschen, wenn dem keine zwingenden Aufbewahrungspflichten entgegenstehen. Insbesondere bei auf der Homepage eingestellten Fotos und Informationen zum persönlichen Werdegang ist erhöhte Aufmerksamkeit geboten!

Bei Betroffenenanfragen muss der jeweils Verantwortliche - also das Unternehmen - sicherstellen, dass diese weitergeleitet und beantwortet werden. Die Aufsichtsbehörde stellt klar, dass mangelnde interne Organisation keinen Entschuldigungsgrund darstellt.

Gesundheits-Apps verarbeiten regelmäßig besonders sensible personenbezogene Daten. Speziell bei cloud-basierter Verarbeitung dieser Daten wird sich die Berliner Datenschutzbeauftragte künftig genaue Konzepte zu den technischen Schutzmechanismen vorlegen lassen.

Sobald die Übergangsphase für den Brexit endet (voraussichtlich mit Ablauf des Monats Dezember 2020), sind Datenflüsse in das Vereinigte Königreich vertraglich neu abzusichern. Eine Möglichkeit sind z.B. die von der EU-Kommission bereitgestellten Standardvertragsklauseln.

Wir werden unseren Kunden hierzu noch ein ausführlicheres Merkblatt zur Verfügung stellen. Bleiben sie gesund und achten Sie auf Ihre personenbezogenen Daten!

Florian S.
Justiziar | M.A.
Consultant für Datenschutz

Die Bekämpfung der Ausbreitung des Coronavirus hat unser gesellschaftliches Leben weiterhin fest im Griff. Bund und Länder haben sich darauf geeinigt, die aktuell geltenden Kontaktbeschränkungen vorerst bis zum 19. April aufrechtzuerhalten. Dabei ist auch der Datenschutz weiterhin von großer Bedeutung.

 

Teilweise wird eine Einschränkung des Datenschutzes gefordert, um besser gegen die schnelle Ausbreitung des Virus vorgehen zu können. Es geht darum, wie personenbezogene Daten zu diesem Zweck eingesetzt und verarbeitet werden können. Im Gespräch ist in diesem Zusammenhang z.B. immer wieder eine App (hierzu berichten wir in einem separaten Blog), die aufgrund von Bewegungsdaten Kontaktpersonen von Infizierten schnell informieren und auf ihr Ansteckungsrisiko hinweisen soll.

 

Solche Maßnahmen können jedoch je nach Ausgestaltung zu tiefen Grundrechtseingriffen führen. Auch wenn der Datenschutz im Angesicht der Corona-Krise und der Gesundheitsbeeinträchtigungen eher „unwichtig“ wirkt, weist der Bundesbeauftragte für den Datenschutz und die Informationssicherheit (BfDI) zu Recht darauf hin, dass der Grundrechtsschutz auch und gerade in Krisenzeiten ein wesentliches Merkmal unserer freiheitlich demokratischen Grundordnung darstelle, der unter allen Umständen aufrecht zu erhalten sei. Deshalb werden die Datenschutzbehörden auch weiterhin darauf hinwirken, dass die Datenschutzrechte aller betroffenen Personen gewahrt werden.

 

Aktuelle datenschutzrechtliche Informationen des BfDI und anderer Stellen zur Corona-Krise finden Sie hier.

 

Julia Eisenacher
Juristin (Univ.)
Consultant für Datenschutz

20 Mitarbeiter 50 Millionen A1 Digital Abbinder Abmahnung Abmahnungen Abo-Falle Abstandsmessung Abstandsüberwachung Abstimmung Abwehr terroristischer Straftaten ADCERT Adressbuch AfD Airbnb Amnesty Anbieter Angemessenheitsbeschluss Angemessenheitsentscheid Angreifer Angriff Anklage Anonymisierung Ansteckungsgefahr Anwendbarkeit Anwendung Anwesenheit AOK Apple Applikationen AppLocker Arbeitgeber Arbeitnehmer Arbeitsabläufe Arbeitsgericht Arbeitsmittel Arbeitsrecht Arbeitsunfähigkeitsbescheinigung Arbeitszeit Art. 17 DSGVO Art. 25 DSGVO Art. 26 DSGVO Art. 32 DSGVO Art. 37 DSGVO Art. 4 Nr. 12 DSGVO Art. 45 DSGVO Art. 8 MRK Art. 9 DSGVO Attacken Auchfsichtsbehörde Audit Aufsichtsbehörde Aufsichtsbehörden Auftragsverarbeiter Auftragsverarbeitung Aufzeichnung Auskunft Auskunftei Auskunftsanspruch Auskunftsansprüche Auskunftsrecht Auskunftsverlangen auslisten Ausnutzung Ausspähen Austritt Austrittsabkommen Auswertung Authentizität Automatisierte Einzelentscheidung Autsch Avast Backup Baden-Württemberg BAG BayDSG Bayerisches Datenschutzgesetz BDSG BDSG-Neu Beamte BEAST Bedrohung Beekeeper Begrifflichkeiten Beherbergungsstätten BEM Benachrichtigungspflicht Benutzerauthentifizierung Berechtigungen Berufsgeheimnis Beschäftigtendatenschutz Beschäftigtenumfragen Beschluss Beschlussfassung Beschwerde besondere Kategorien personenbezogener Daten Besucherdaten betriebliche Eingliederungsmanagement betriebliche Nutzung betrieblicher E-Mail-Account betrieblicher Internetzugang Betriebsrat Betriebsratssitzung Betriebsvereinbarung Betriebsverfassungsgesetz Betriebsversammlungen betroffene Person betroffene Personen Betroffenenanfragen Betroffenendaten Betroffenenrechte BetrVG Bewegungsprofil Bewerberdaten BfDI BGH Bildaufnahmen Bildberichterstattung Bildersuche Bildrechte biometrische Daten Biometrische und genetische Daten Bitcoins Bitkom BKA Black- bzw. Whitelisting Technologie Bonität Bonitätsprüfung Bounty Brexit Britische Datenschutzbehörde Browser BSI Bug-Bounty-Programm Bund Bundesamt für Sicherheit in der Informationstechnik Bundesarbeitsgericht Bundesfinanzministerium Bundeskartellamt Bundesnetzagentur Bundesregierung Bürokratieentlastungsgesetz Bußgeld Bußgelder Bußgeldverfahren BVG Callcenter Cambridge Analytics Citizen-Score Cloud Cloud-Lösung CNIL Compliance Computer Cookie Cookies Corona Coronavirus COVID-19 CovidLock Malware Coworking-Spaces Custom Audience Cyber Cyber-Attacken Cyberangriffe Cyberkriminalität Cyberkriminelle Cybersicherheit Cyble c`t Darknet Dashcam data breaches data protection officer Daten Daten-für-alle-Gesetz Datenaustausch Datenerhebung Datenlöschung Datenminimierung Datenmonopol Datenpanne Datenpannen Datenschutz Datenschutz Grundverordnung Datenschutz und Informationsfreiheit Datenschutz- und Informationssicherheitsbeauftragten Datenschutz-Folgenabschätzung Datenschutz-Schulungen Datenschutzabkommen Datenschutzaufsichtsbehörde Datenschutzauskunft-Zentrale Datenschutzbeauftragte Datenschutzbeauftragten Datenschutzbeauftragter Datenschutzbehörde Datenschutzerklärung Datenschutzgesetz Datenschutzgrundsätze Datenschutzgrundverordnung Datenschutzkonferenz datenschutzkonform Datenschutzmängel Datenschutzniveau Datenschutzprinzipien Datenschutzvereinbarung Datenschutzverletzung Datenschutzverletzungen Datenschutzverstöße Datenschutzverstößen Datensicherheit Datentransfer Datenübermittlung Datenübermittlung an Dritte Datenübermittlung in Drittstaaten Datenübertragung Datenverarbeitung Datenverarbeitungsprozesse Dating Dating-Portale Deutsch deutsch Deutsche Bahn Deutsche Bundesbank deutsche Telemediengesetz Deutsche Wohnen SE Diagnose Diebstahl Dienste Diensteanbieter Dienstleister Diesel-Fahrverbot Dieselfahrverbot Dieselskandal Direktwerbung Do not track-Funktion Dokumentation Donald Trump Dritter Drittland Drittstaat Drittstaat ohne angemessenes Datenschutzniveau Drittstaaten DSAnpUG-EU DSG DSGVO DSK Durchsuchung Dynamic Data Exchange Protokoll dynamische IP-Adresse E-Mail E-Mail-Kampagnen e-Privacy-Verordnung E-Rechnung eCall-Technologie EDÖB EES EFAIL ehrenamtlich tätiger Vereine Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte Eigentum Einhaltung Einschränkungen Einsichtnahme Einwilligung Einwilligungserklärung Einwilligungserklärungen Einzelfall elektronische Kommunikation Empfänger Ende-zu-Ende Ende-zu-Ende-Verschlüsselung Englisch ENISA Entlastung Entsorgung ePrivacy ePVO Erfassung Ergebnisliste Erhebung Erhebung personenbezogener Daten Erhebungsverbot Ernährung Erwägungsgrund 48 der DSGVO eSafety-Initiative Essenswünsche Ethik ETIAS EU EU Kommission EU-Bürger EU-Datenschutz-Grundverordnung EU-Datenschutzgrundverordnung EU-Mitgliedsstaaten EU-Parlament EU-Richtlinie EU-Standardvertragsklauseln EU-Vertreter EuGH Euratom Europa Europäische Atomgemeinschaft Europäische Aufsichtsbehörde Europäische Kommision Europäische Union europäischen Vorschriften Europäischer Gerichtshof EWR externe Quellen Extra-Bezahlung Extra-Kosten Facebook Facebook-Fanpages Facebook-Pixel Fachbereich Fahrzeugdaten Fahrzeuge Fanpage Fanpagebetreiber Faxgerät FBI FDPIC Feedback Fernmeldegeheimnis Festplatte Finanzamt Finanzsektor Fingerabdruck Fingerabdruckscanner Firmensitz FlugDaG Fluggast Fluggastdaten Fluggastdatengesetz Folgenabschätzung Formalien Foto Framework freiwillig fristlose Kündigung Funkmäuse Funktastaturen Fürsorgepflicht GDPR gefährdet Geheimhaltung Geldbörse Geldbußen Geldstrafe Gemeinsam Verantwortliche Gericht Gerichtsbeschluss Gesellschaft für Informatik Gesetz Gesetz gegen den Unlauteren Wettbewerb Gesetz gegen Wettbewerbsbeschränkungen gestohlen Gesundheitsdaten Gewährleistung ginlo Business Google Google Analytics GPS grenzüberschreitend Groß-Britannien Großbritannien Grundrechte Grundrechtsabwägung Grundrechtseingriffen Grundsatz der Zweckbindung GWB H & M H&M Hack hack day Hackathon hacken Hacker Hackerangriff hackfest halal Handy-Tracking Hash-Verfahren Hausverwaltung Head of Cyber Security Architectur Health Checks Hinweisgeber Hoccer höchstpersönlich Höchstvermietungsdauer Home Office Home-Office Homeoffice Hygiene Immobilienmakler Infomationen Information Informationen Informationsfreiheit Informationspflicht Informationspflichten Informationssicherheit Informationssicherheitsbeauftragte Infrastruktur Inhalteanbieter Insights Insolvenzmasse Insolvenzverfahren Insolvenzverwalter Installation Integrität interner Datenschutzbeauftragter Internet Intrusion-Prevention-Systeme Investition iOs-App IP-Adresse iPad iPhone IPS Irland ISO/IEC 27001 IT Governance IT GRC IT-Forensik IT-forensische Untersuchung IT-Mitarbeiter IT-Security IT-Sicherheit IT-Systeme Italien ITSECX Jahresbericht Japan Jin-hyok Joint Control Kanada Kennzeichen-Scan Keynote Klagebefugnis Klingelschilder KNLTB kollektive Daten Kommune Kommunikation Kommunikationsmedium Konferenz Kontaktbeschränkungen Kontaktdaten Kontakte Kontaktpersonen Kontaktsperre Konzern konzerninterner Datentransfer Körpertemperatur KoSIT Krankenkasse Krankheit Kriminalität Kriminelle Krise KUG Kundenbindung Kundenzufriedenheit Künstliche Intelligenz Kunsturhebergesetz Kurzarbeit Landesarbeitsgericht Landesbeauftragte Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg Landesdatenschutzbeauftragten Landesdatenschutzgesetz Landesverband Laptop Lazarus Lebensweise Lehrer Leistungs- und Verhaltenskontrolle LfDI Baden-Württemberg LfDI BW Like-Button LLC Löschpflicht Löschung personenbezogener Daten Löschungsrecht Löschverlangen Lösegeld Machtposition Mail Makler Malware Markennamen Markenrecht marktbeherrschende Stellung Marktforschung Marktortprinzip Maßnahmen MD5 Meldebehörde Meldepflicht meldepflichtige Krankheit Meldeportal Meldescheine Meldesystem Meldung Meltdown Menschenrecht Menschrechtsverletzungen Messenger Messung Microsoft Mieter Mietverhältnis Minutien Misch-Account Missbrauch Missbrauch von Kundendaten missbräuchlich Mitarbeiter Mitbestimmung Mitbestimmungsrecht Mitbewerber Mitglieder Mitgliedsstaaten Mitwirkung Mobiltelefon MouseJack-Angriffe natürliche Person Nebenjob Nebentätigkeit Netzwerklabor Neutrale Schule nicht datenschutzkonform Niederlande NIST No-Deal-Brexit Nordkorea Notebook Nutzer Nutzung Nutzungsbedingungen Oberlandesgericht Düsseldorf öffentliche Stelle Office Office 365 Öffnungsklauseln OLG OLG Stuttgart One Stop Shop One-Stop-Shop Online Online-Gewinnspiel Online-Kommunikationstools OpenPGP Opfer Österreich Pandemie Papierrechnung Passenger Name Records Passwort Passwort-Sicherheit Passwörter Passwörter. 2016 Passwortfilters Passwortregeln Passwortschutz Patientendaten Penetration Tests Penetrationstest Penetrationstests personal data Personalabteilung Personalausweiskopien Personalfragebogen Personalverantwortliche personenbezogene Daten personenbezogenen Daten Personenbilder persönliche Daten Persönlichkeitsrechte Pflichten Pharmalobbyist Phishing Phishing-Kampagnen Phising Plattformbetreiber PNR-Daten PNR-Instrumente Polizei POODLE Power Query PowerShell-Umgebung Prävention Praxistipps Privacy by Default Privacy by Design Privacy Shield privat private Endgeräte private Handynummer private Mobilfunknummer private Telefonnummer Privatleben Privatnutzung Privatnutzungsverbot Privatspäre Privatsphäre Problem Profiling Quantencomputer Quarantäne Ransomware reale Infrastruktur Rechenzentren Rechenzentrum Recht auf Achtung des Privat- und Familienlebens Recht auf Berichtigung Recht auf Datenübertragbarkeit Recht auf Einschränkung Recht auf Löschung Rechte Rechte der betroffenen Person Rechtmäßigkeitsvoraussetzungen Rechtsabteilung rechtswidrig Referenten Regelungsaufträge Reichweitenanalyse Risiken Risiko Risikogruppen Risikomanagement Risk & Compliance Management Robert-Koch-Institut Rufschädigung Ruhezeiten S/MIME SamSam Sanktion Sanktionen Schaden Schadensersatz Schadprogramm Schadsoftware Schrems II Schüler Schulung Schutz schützenswert Schutzmaßnahmen Schutzniveau schutzwürdige Interessen Schwachstellen Schweiz SDSG second line of defense Security by Design Seitenbetreiber Sensibilisierung SHA1 sicher Sicherheit Sicherheits- und Datenschutzmängel Sicherheitslücke Sicherheitslücken Sicherheitsmängel Sicherheitsstandards Sicherheitsvorfall Sicherheitsvorfälle kritische Infrastrukturen IT-Sicherheitsbeauftragten ISMS Sicherung der Daten Siegel Signal Signatur Sitzungen Skype Smartphone Social Plugin Software Software-Entwicklung Sony Sony PSN Soziale Netzwerke soziale Netzwerke SPD Spectre Speicherdauer Sponsoren Sprache Sprachkenntnis Standarddatenschutzklauseln Standardvertragsklauseln Standort Steuer Steuerberater Strafe Strafverfolgung Studenten Suchanfrage Suchdienst Suchmaschine Supercomputer Risikolage supervisory authority Support Swiss IT Security Gruppe Swiss- U.S. Privacy Shield Swiss-US Privacy Shield Synergiepotenziale Systemadministrator Technische & organisatorische Maßnahmen technische & organisatorische Maßnahmen Technische und organisatorische Maßnahmen technische und organisatorische Maßnahmen Telefonnummer Telefonwerbung Telemarketing Telemediendienst Telemediengesetz Teleselling Telstra Security Report Tennisclub Threema Work TIBER TIBER-DE TKG TLS TMG TOM Tools Totalrevision Tracking Tracking Tools Tracking-Tools Transportverschlüsselung Twitter Übergangsphase Übermittlung personenbezogener Daten Übernahme Übertragung Überwachung Überwachungssoftware Umfrage Umsetzungsfrist Unberechtigte Datenabfrage unerlaubt Unionsbürger unpersonalisierter Benutzer-Account Unterlassungsanspruch Unternehmen Unternehmensgröße Unternehmensgruppe Unternehmenssprache unverschlüsselt unzulässig Update Urlaub Urteil US-Behörden US-Regierung USA UWG Vegan Vegetarier Verantwortlicher Verantwortung Verarbeitung Verarbeitungsverbot Verbot Verbraucher Verbraucherzentralen Verdachtsfälle Vereinbarung Vereinigte Königreich Vereinigtes Königreich Großbritannien und Nordirland Verfahren C-311/18 Vergessenwerden Verlängerung verloren Verlust Vermieter Vernichtung von Datenträgern Veröffentlichung Verordnung (EU) 2015/758 verschlüsseln Verschlüsselte E-Mails Verschlüsselung Verschlüsselungsverfahren Verstoß Verstöße Vertrag zur Auftragsverarbeitung Vertragsanbahnung Verwaltungsakt Verwaltungsgericht Karlsruhe VG Mainz Video-Kommunikation Videokamera Videokonferenz Videokonferenzen Videoüberwachung Virus Voraussetzungen Voreinstellungen Vorgesetzte Vorsicht Vorteile Wachstum WAF WannaCry Warnung Web-Applikation-Firewalls Webcast Webseite Webseiten Webseitenbesucher Webseitenbetreiber Website Website-Betreiber Webtracking Webtrecking weisungsunabhängig Weitergabe Weitergabe an Dritte Weltanschauung Werbeaussage Werbezwecke Werbung Wettbewerb Wettbewerbsrecht wettbewerbsrechtliche Abmahnung Wettbewerbsverstöße WhatsApp Whistleblower Whistleblowing Widerruf Widerrufsrecht Widerspruchsrecht Wien Windows Wire Enterprise Wirklichkeitsmodell Wohnung X-Rechnung Youtube Zeiterfassung zentralisierte Verwaltung Zertifikat Zertifizierung Zoom Zoom Video Zugangsdaten Zugriff Zugriffsmöglichkeiten Zugriffsrechte Zugriffsverwaltung Zukauf zulässig Zulässigkeit zusätzliche Maßnahmen Zusatzschutz zuständig Zwangsgeld Zweck Zweckbindung Zweckbindungsgrundsatz § 15 TMG § 26 BDSG-Neu § 32 BDSG § 32 DSGVO § 35 BDSG-Neu § 38 BDSG-Neu § 3a UWG § 42a BDSG § 42b BDSG § 88 TKG

Tags

Mo Di Mi Do Fr Sa So
      1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30 31