Home / Aktuelles & Termine / it.sec blog

Ab 2019 stellt Microsoft seine Cloud-Dienste aus Rechenzentren in Deutschland bereit

04.12.2018 09:07

Carmen Ströhl

Tags: Cloud , Datenschutz , Drittstaaten , DSGVO , Microsoft , Rechenzentren , Rechenzentrum

Microsoft wird sein Cloud-Angebot in Deutschland erheblich erweitern und plant den Bau von zwei Datenzentren in Berlin und Frankfurt. Die Rechenzentren sollen die gleiche Leistung wie die bereits vorhandenen Rechenanlagen bieten. Die Inbetriebnahme ist für 2019 und 2020 geplant. Aus den neuen Rechenzentren werden Microsoft Azure, Office 365 und Dynamics 365 in vollem Funktionsumfang bereitgestellt. Damit kann Microsoft individuelle Compliance-Anforderungen erfüllen.

 

Die neuen Rechenzentrums-Regionen in Deutschland werden, so Microsoft, als Teil des globalen Microsoft-Cloud-Netzwerks die gleichen Service-Level und Sicherheitsstandards bieten wie die weltweiten Microsoft-Cloud-Angebote.

 

Microsoft bekennt sich zur Einhaltung der EU-Datenschutz-Grundverordnung (DSGVO) für die Cloud-Dienste und hat, so das Unternehmen, entsprechende Regelungen in die vertraglichen Verpflichtungen aufgenommen.

 

Die neuen, deutschen Rechenzentren sind eine Reaktion auf neue und veränderte Geschäftsanforderungen. Es wurden, so teilt das Unternehmen mit, Strategien entwickelt, mit denen die Umsetzung der DSGVO für die Kunden vereinfacht werden sollen.

 

Zukünftig können Neukunden wählen, ob sie die derzeit schon verfügbaren europäischen Regionen oder die neuen Regionen in Deutschland nutzen wollen.

 

Aus datenschutzrechtlicher Sicht wäre die Speicherung von Daten in Deutschland sehr begrüßenswert. Dennoch wird einem eine genaue Überprüfung der vertraglichen Gestaltung nicht erspart bleiben. Auch Datenübermittlungen in Drittstaaten ohne angemessenes Datenschutzniveau sind dadurch nicht automatisch ausgeschlossen. Denn bereits der Zugriff auf die in Deutschland gespeicherten Daten aus Drittstaaten, bspw. durch die System-Administratoren von Microsoft, stellt eine Datenübermittlung i.S.v. Art. 44 ff DSGVO dar und muss entsprechend abgesichert werden.

 

Michaela Dötsch

 

Rechtsanwältin

ITSECX – Vom Netzwerklabor zur internationalen Konferenz

29.11.2018 14:26

Sarah Ohrnberger

Tags: Head of Cyber Security Architectur , IT-Security , ITSECX , Keynote , Konferenz , Netzwerklabor , Österreich , Referenten , Sponsoren , Studenten

Die ITSECX in Österreich ist mittlerweile zu einer der bekanntesten IT-Security Konferenzen aufgestiegen. Internationale Referenten und motivierte Studenten treffen sich einmal im Jahr an der Fachhochschule St. Pölten und tauschen ihr Wissen aus. Die it.sec war dieses Jahr mit den Wienern Kollegen das erste Mal dabei!

Entstanden ist die ITSECX im Jahre 2007. Die Konferenz bestand damals aus ca. 30 Studenten und Professoren, welche zusammen in einem Netzwerklabor Systeme gehackt und Vorträge gehalten haben.

Mittlerweile ist das anders: Circa 600 Teilnehmer kommen Jahr für Jahr an die Fachhochschule– Tendenz steigend! Die Konferenz ist kostenlos und die Qualität der Vorträge und der Referenten ist sehr hoch. Dieses Jahr konnte die ITSECX den Head of Cyber Security Architecture von Airbus, Dr. Kevin Jones für seine Keynote gewinnen.

Unter den Gästen befanden sich auch etliche Firmen welche als Sponsoren und Aussteller fungierten. Auch die it.sec darf sich in diesem Jahr als Sponsor der ITSECX bezeichnen und ist Stolz, an einer Konferenz wie dieser mitgewirkt zu haben.

Zusätzlich hatten wir die Möglichkeit, einen Vortrag über ein paar Ergebnisse aus einem aktuellen Research Projekt von uns zu präsentieren. Der Titel des Vortrags war "Alexa Top 1 Million Security – Hacking the Big Ones" und die Unterlagen dazu können unter https://itsecx.fhstp.ac.at/wp-content/uploads/2018/11/05_David-Wind_it.sec_.pdf abgerufen werden. Alle Vorträge zu der Konferenz können hier (auch teilweise zum Nachschauen auf Youtube) abgerufen werden: https://itsecx.fhstp.ac.at/vortraege-2018/

Wir werden auch nächstes Jahr wieder ein Teil dieser Konferenz sein und hoffen, auch Sie dort begrüßen zu dürfen.

Aktueller Status zur Diskussion um die Klingelschilder an Mietshäusern

27.11.2018 10:07

Carmen Ströhl

Tags: Aufsichtsbehörde , Datenschutz , Datenverarbeitung , DSGVO , Hausverwaltung , Klingelschilder , Mieter , Wohnung

Die Klingelschild-Debatte wurde losgetreten durch die Beschwerde eines Mieters bei einer Wohnungsbaugesellschaft in Österreich und griff dann sogleich auf Deutschland über.Unter großer medialer Aufmerksamkeit wurde angenommen, dass die Namen auf den Klingelschildern nun überall entfernt werden müssen, da die damit verbundene Datenverarbeitung nach der Datenschutzgrundverordnung (DSGVO) unzulässig sei.

Aufsichtsbehörden und Fachliteratur haben sich zu Recht verwundert gezeigt, über die plötzlich aufkommende Diskussion, die mehr von „Panikmache“ und weniger von „fachliche[r] Auseinandersetzung“ (Engelhardt/Riess: Die datenschutzrechtliche Zulässigkeit des Klingelschilds, in: ZD-Aktuell 2018, 06349) bestimmt wurde.

Auf Klingelschildern am Hauseingang stehen üblicherweise die (Nach-) Namen der Mieter und sind für jeden einsehbar, der vor dem Haus steht oder daran vorbeigeht. Namensangaben und Wohnungsanschrift sind auch definitiv personenbezogene Daten.

Die Frage ist nun, wie diese Datenverarbeitung nach der DSGVO zu bewerten ist:

Bringt der Mieter seinen Namen auf dem Klingelschild selbst an, fällt diese Datenverarbeitung schon nicht unter die DSGVO. Als betroffene natürliche Person darf der Mieter mit seinen personenbezogenen Daten machen, was er möchte. Auf jeden Fall aber unterliegt diese Datenverarbeitung dem ausschließlich persönlichen oder familiären Bereich, so dass die DSGVO schon gemäß Art. 2 Abs. 2 lit. c) DSGVO nicht gilt.

Werden die Klingelschilder jedoch vom Vermieter angebracht, ist der Anwendungsbereich der DSGVO eröffnet. Der Vermieter (bzw. die Hausverwaltung) ist Verantwortlicher i.S.v. Art. 4 Nr. 7 DSGVO, da die Datenverarbeitung zu geschäftlichen Zwecken vorgenommen wird.

Einige Aufsichtsbehörden nehmen an, dass auch in diesem Fall der Anwendungsbereich der DSGVO wegen Art 2 Abs. 1 DSGVO nicht eröffnet ist, da „das Ausstatten der Klingelschilder mit Namen für sich genommen (…) weder eine automatisierte Verarbeitung noch eine tatsächliche oder beabsichtigte Speicherung in Dateisystemen dar[stellt].“

Die Aufsichtsbehörden in Sachsen und Schleswig-Holstein teilen diese Auffassung zwar nicht. Die Datenverarbeitung ist aber dennoch zulässig nach Art. 6 Abs. 1 lit. b) oder f) DSGVO: Entweder weil der zwischen Mieter und Vermieter abgeschlossene Mietvertrag eine solche Datenverarbeitung erforderlich macht. Hier kommt es auf die konkrete Ausgestaltung des Vertragsverhältnisses an. In jedem Fall haben aber Vermieter oder Dritte (Postdienstleister, Lieferanten, Rettungsdienst etc.) ein berechtigtes Interesse an der Datenverarbeitung (hierzu auch ausführlich: Engelhardt/Riess: Die datenschutzrechtliche Zulässigkeit des Klingelschilds, in: ZD-Aktuell 2018, 06349).

Sofern die Datenverarbeitung auf Art. 6 Abs. 1 lit. f) DSGVO gestützt wird, hat der Mieter selbstverständlich auch das Recht, der Anbringung seines Namens auf dem Klingelschild zu widersprechen gemäß Art. 21 Abs. 1 DSGVO. Allerdings steht dem Mieter dieses Recht nur zu, sofern sich aus seiner besonderen persönlichen Situation schutzwürdige Interessen am Ausschluss der Datenverarbeitung ergeben, bspw. wenn er gefährdet ist aufgrund seiner Prominenz, Opfer von Stalking ist oder sich im Zeugenschutzprogramm befindet.

Die Aufsichtsbehörden führen an, man hätte sich vorab bei ihnen „nach der Rechtslage erkundigen“ sollen, anstatt mit haltlosen Behauptungen die DSGVO „als ‚weltfremdes europäisches Recht‘ [zu] diskreditieren“.

S. Kieselmann

Beraterin für Datenschutz

Dipl.sc.pol.Univ.

E-Rechnung und X-Rechnung: Kommunen aufgepasst!

20.11.2018 10:00

Carmen Ströhl

Tags: Bund , Datenschutz , Datensicherheit , DSGVO , E-Rechnung , Kommune , KoSIT , Papierrechnung , X-Rechnung

Das E-Government-Gesetz

 

Unscheinbar kam sie daher, die Richtlinie 2014/55/EU über die elektronische Rechnungsstellung bei öffentlichen Aufträgen im Jahre 2014. In formelles nationales Recht wurde sie erst im April 2017 umgesetzt, durch eine Änderung des E-Government-Gesetzes, doch nun geht es Schlag auf Schlag. Der Bund hat seine E-Rechnungs-Verordnung schon letztes Jahr verabschiedet und die Länder sollen noch in diesem Monat folgen. Der Bund will bereits in diesem Monat mit seinem zentralen E-Rechnungs-Portal online gehen. Doch was ist die Konsequenz?

 

Bis spätestens April 2020 müssen auch die Kommunen in Deutschland die Voraussetzung dafür schaffen, dass sie elektronische Rechnungen empfangen und weiterverarbeiten können. Wer sich bislang noch nicht damit beschäftigt hat, sollte dies schleunigst nachholen, wissen wir doch spätestens seit der Umsetzung der DSGVO, dass kleine Verordnungen durchaus große praktische Auswirkungen haben können und dass derartige Anpassungen nicht von heute auf morgen zu schaffen sind.

 

Konkret: Jede Kommune (und auch alle weiteren öffentlichen Einrichtungen der Länder und natürlich auch des Bundes) ist in Zukunft verpflichtet, E-Rechnungen zu empfangen und zu bearbeiten. Bei geschätzten 75,8 Millionen Rechnungen pro Jahr alleine auf kommunaler Ebene keine Kleinigkeit. Wo bislang Papierrechnungen von Schreibtisch zu Schreibtisch wandern, geprüft, freigegeben, gestempelt, gelocht und abgelegt werden, sollen nun durch den digitalen Workflow viel Arbeit, Zeit und Ressourcen eingespart werden.

 

Was ist eine X-Rechnung?

 

Der Empfang von E-Rechnung bedeutet nicht, dass die Kommune auch Rechnungen als PDF im digitalen Postfach akzeptiert. Es handelt sich bei der E-Rechnung um ein eigenes, maschinenlesbares Format, in Deutschland X-Rechnung genannt, welches ein auf XML basierendes semantischen Datenmodell darstellt und damit den für Deutschland verbindlichen Standard definiert. Zur Bearbeitung von E-Rechnungen werden seitens der KoSIT (Koordinierungsstelle für IT-Standards) kostenlose Tools sowohl für Unternehmen als auch für die Behörden bereitgestellt, mittels derer Rechnungen einerseits erstellt werden, dann aber auch durch die Behörden weiterverarbeitet werden können.

 

Der Vorteil für die Unternehmen? Jedem Lieferanten einer Kommune oder eines sonstigen öffentlichen Auftraggebers ist es dann erlaubt, seine Rechnungen online an die Kommunen zu übermitteln, wo sie schneller bearbeitet werden können, so dass die Lieferanten ihr Geld schneller bekommen. Die Kommunen erhalten durch E-Rechnungen den Überblick über eingegangene aber unbezahlte Rechnungen, es lässt sich nachvollziehen, auf welchem Schreibtisch sich welche Rechnung gerade zur Freigabe befindet und Vorgänge lassen sich elektronisch natürlich deutlich schneller suchen und nachvollziehen.

 

Was ist zu tun?

 

Die Herausforderung für die Kommunen ist es einerseits, ihre Arbeitsprozesse auch entsprechend anzupassen. Keinem ist geholfen, wenn die Rechnungen nur ausgedruckt und dann weiter „traditionell“ in Papierform bearbeitet werden. Das heißt, neue Workflows müssen definiert werden, um die digitale Bearbeitung sicherzustellen.

 

Im Sinne des Datenschutzes sollten dann Berechtigungskonzepte neu überdacht und implementiert werden, denn auch in den X-Rechnungen werden sich in Zukunft zahlreiche personenbezogen Daten finden, seien es Ansprechpartner, persönliche Telefonnummern von Sachbearbeitern aber vor allem die personenbezogenen Daten in den Buchungstexten sind trotz E-Rechnung durch die DSGVO geschützt.

 

Datenschutz und Datensicherheit

 

Weiß man, wer wem wann welche Rechnung gestellt hat, so sagt dies einiges über die beteiligten Parteien aus. Daher werden auch an die Ansprüche an die Datensicherheit in den Kommunen wachsen. Regelmäßige IT-Health-Checks und Pentests sollten auch in den Kommunen durchgeführt werden. Die Verzeichnisse für Verarbeitungstätigkeiten (ehemals Verfahrensverzeichnisse) sollten den neuen Prozessen angepasst werden bzw. neue Prozesse müssen definiert werden. Sofern Sie noch keine Projektgruppe gebildet haben, sollte dies umgehend passieren. Da es sich um eine gesetzliche Vorgabe handelt, müssen die entsprechenden Mittel zur Umsetzung eingeplant und bereitgestellt werden.

 

Wenn Sie bei der Umsetzung feststellen sollten, dass Sie hierbei Unterstützung benötigen, kommen Sie gerne auf uns zu.

 

Céline Lürmann

 

Rechtsanwältin

 

Consultant für Datenschutz

Whistleblowing und DSGVO

13.11.2018 09:57

Carmen Ströhl

Tags: Betroffenenrechte , Datenschutz , DSGVO , Löschungsrecht , Meldung , Strafverfolgung , Verstöße , Whistleblowing

Was ist Whistleblowing?

 

Beim Whistleblowing geht es darum, Mitarbeitern in einem Unternehmen die Möglichkeit zu geben, zu melden, wenn sie bei Kollegen verbotenes Verhalten feststellen. Banken sind verpflichtet, einen Whistleblowing-Prozess einzuführen. Andere Branchen müssen dies im Rahmen der Korruptionsbekämpfung.

 

Was hat Whistleblowing mit Datenschutz zu tun?

 

Mit der Meldung von Verstößen müssen üblicherweise personenbezogene Daten erhoben, verarbeitet und genutzt werden. So kommt eine Meldung nicht ohne Angabe der Beschuldigten, etwaiger Zeugen und ggf. auch des Meldenden aus. Neben der möglichen Weiterleitung an Strafverfolgungsbehörden kann es sein, dass die so erhobenen Daten innerhalb des Konzerns und damit verbunden in Drittstaaten übermittelt werden.

 

Rechtsgrundlagen

 

Auch für den Datenverarbeitungsvorgang des Whistleblowings muss eine Rechtsgrundlage gegeben sein. Dafür kann Art. 88 Abs.1 DSGVO, § 26 Abs. 1 S. 2 BDSG herangezogen werden, wonach zur Aufdeckung von Straftaten Beschäftigtendaten unter bestimmten Voraussetzungen erhoben und verarbeitet werden dürfen. Nach Auffassung der Aufsichtsbehörden sollte der Hinweisgeber anonym bleiben oder seine Daten nur mit seiner informierten Einwilligung verarbeitet werden, Art. 6 Abs. 1 lit. a) DSGVO, § 26 Abs. 2 BDSG.

 

Mitarbeiterinformation

 

Regelungen über das Whistleblowing (z.B. Betriebsvereinbarungen) müssen im Unternehmen bekannt gemacht werden und zwar so, dass es für alle Arbeitnehmer möglich ist, ohne großen Aufwand vom Inhalt der Regeln Kenntnis zu bekommen. Die Betroffenenrechte wie Auskunftsrecht, das Berichtigungsrecht und das Löschungsrecht sind in diesem Zusammenhang nochmal deutlich zu erwähnen.

 

Information der Beschuldigten

 

Über Ermittlungen aufgrund von Whistleblower-Meldungen sind beschuldigte Personen gem. Art. 14 DSGVO umfassend zu informieren. Die Information an den Beschuldigten darf nach Art. 14 Abs. 5 lit. b) DSGVO zurückgehalten werden, wenn der Ermittlungserfolg durch eine frühzeitige Information gefährdet wäre. Allerdings muss der Verantwortliche seine Informationspflicht nachholen, wenn die Gefährdungslage nicht mehr gegeben ist. Dies ergibt sich aus Art. 14 Abs. 5 lit. b) S. 2 DSGVO, wonach der Verantwortliche geeignete Maßnahmen zum Schutz der Rechte und Freiheiten sowie der berechtigten Interessen des Beschuldigten ergreifen muss.

 

Löschung

 

Unverzügliche Datenlöschung bei unbegründeter Meldung, ansonsten spätestens 2 Monate nach Beendigung des Untersuchungsverfahrens. Eine längere Speicherung ist nur bei der Durchführung eines Disziplinar- oder Strafverfahrens möglich. Wird ein Sachverhalt gemeldet, der den Verdacht einer Straftat begründet, dürfen die Daten für die Dauer der Untersuchung bzw. solange aufbewahrt werden bis sich daran anschließende rechtliche Maßnahmen und Verfahren abgeschlossen sind.

 

Maßnahmen vor Einführung des Whistleblowings

 

  • Datenschutz-Folgenabschätzung nach Art. 35 DSGVO
  • Aufnahme ins Verzeichnis von Verarbeitungstätigkeiten, Art. 30 Abs.1 DSGVO
  • Erfüllung von Informationspflichten Art. 13, 14 DSGVO
  • Betriebsrat beteiligen
  • Falls ein Dienstleister beteiligt ist (Anbieter eine Hotline) ADV mit dem Dienstleister nach Art. 28 DSGVO abschließen
  • Regellöschfristen festlegen

 

 

 

Michaela Dötsch

 

Rechtsanwältin

Erstes Bußgeld für einen Datenschutz Verstoß

06.11.2018 09:48

Carmen Ströhl

Tags: Bußgeld , Datenschutz , DSGVO , Gericht , Gesundheitsdaten , Patientendaten , Strafe , Verstoß , Zugriff

Die Datenschutzgrundverordnung (DSGVO) ist nun bald ein halbes Jahr alt. Die anfängliche Aufregung war spürbar, doch seit ein paar Monaten ist es ruhiger geworden um die DSGVO. Nun droht aber das erste ernstzunehmende europäische Bußgeld für ein Krankenhaus in Portugal.

Ein Krankenhaus bei Lissabon soll insgesamt 400.000 Euro Strafe zahlen, weil u.a. zu viele Personen Zugriff auf Patientendaten hatten. Das Krankenhaus will nun gerichtlich gegen das Bußgeld vorgehen.

Obwohl aktuell nur knapp 300 Ärzte in dem Krankenhaus arbeiten, waren im System knapp 1000 aktive Benutzer als „Arzt“ registriert. Es wurde somit ein umfangreicher Zugriff auf besonders schützenswerte Gesundheitsdaten ermöglicht. Gesundheitsdaten sind personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen, Art. 4 Nr. 15 DSGVO. Gerade für diese Daten müssen die Zugriffe so eng wie möglich ausgestaltet sein.

Aufgrund der Sensibilität der hier verarbeiteten Daten und des doch erheblichen Verstoßes hätte die Strafe hier auch durchaus noch höher ausfallen können.

Dr. Bettina Kraft

Teamleitung und Senior Consultant für Datenschutz

Volljuristin

Browser-Hersteller kündigen Support-Ende für TLS 1.0 und TLS 1.1 an

30.10.2018 10:11

Carmen Ströhl

Tags: Angriff , BEAST , Browser , Google , Hash-Verfahren , MD5 , POODLE , SHA1 , sicher , Support , TLS

Die größten Browserhersteller Mozilla, Google, Apple und Microsoft haben angekündigt, dass ihre Browser ab 2020 die älteren Versionen von TLS, nämlich TLS 1.0 und TLS 1.1, nicht mehr unterstützen. Das bedeutet, dass Seiten, die nicht mindestens TLS 1.2 unterstützen, dann nicht mehr aufrufbar sein könnten, mindestens aber als unsicher markiert werden.

Dies wurde von den Browserherstellern zeitgleich bekannt gegeben. Nachdem nun von Chrome auch Seiten ohne HTTPS als "nicht sicher" klassifiziert werden, ist dies ein weiterer Schritt, um Benutzer sicherer surfen zu lassen.

Grund für die Abschaffung sind hauptsächlich schwache Hash-Verfahren wie beispielsweise MD5 und SHA1, welche momentan beide gebrochen werden können. Sollte ein Angreifer also lesend Zugriff auf Netzwerkverkehr erhalten, so kann er versuchen, die Verschlüsselung zu brechen. Hierdurch erhält er unter Umständen Zugriff auf sensible Informationen seines Opfers, beispielsweise die Zugangsdaten.

Außerdem bieten die alten TLS Versionen weitere Angriffsmöglichkeiten, wie z. B. BEAST oder POODLE.

Momentan stellen Verbindungen, welche mit TLS 1.0 und TLS 1.1 gesichert werden, allerdings nur einen verschwindend geringen Anteil dar: laut Google's Security Blog werden nur 0.5% aller HTTPS-Verbindungen mit TLS 1.0 oder TLS 1.1 aufgebaut. Da TLS 1.2 schon 2008 als Empfehlung galt, war genug Zeit, um auf die neueren Versionen umzustellen.

Tatsächlich spielt nicht nur die verwendete Version des TLS-Protokolls eine Rolle, sondern auch die angebotenen Cipher. Unter einem Cipher versteht man die bei SSL/TLS eingesetzte Kombination von Verschlüsselungs-, Signatur- und Hashverfahren. Werden diese zu schwach gewählt, kann die Verschlüsselung potenziell gebrochen werden. Zwar wird standardmäßig der stärkste verfügbare Cipher zwischen Client und Server ausgehandelt, jedoch kann ein Angreifer hier eingreifen und eine sehr schwache Verbindung zwischen seinem Opfer und dem Server erzwingen. Diese Attacken werden "TLS Protocol Downgrade Attacks" genannt.

Christian Stehle

IT Security Consultant

Gierig, gierig - Auftragsverarbeiter wollen erst mit Extra-Bezahlung Datenschutz einhalten

23.10.2018 10:32

Carmen Ströhl

Tags: Auftragsverarbeiter , Datenschutz , Dienstleister , DSGVO , Extra-Bezahlung , Extra-Kosten , Folgenabschätzung , Informationspflichten

Unternehmen setzen oftmals Dienstleister ein (z.B. IT-Dienstleister, Fachentsorger, etc.), die personenbezogene Daten im Auftrag für den Verantwortlichen verarbeiten und dabei nur weisungsgebunden mit diesen Daten umgehen dürfen.

 

Zur Absicherung dieser Auftragsverarbeitung muss zwischen dem Unternehmen (Verantwortlicher) und dem Dienstleister (Auftragsverarbeiter) ein Vertrag zur Auftragsverarbeitung abgeschlossen werden. Dieser Vertrag muss den Vorgaben von Art. 28 Abs. 3 DSGVO entsprechen. U.a. müssen die Unterstützungspflichten des Dienstleisters gegenüber dem Verantwortlichen dort geregelt sein:

 

  • Unterstützung bei der Erfüllung der Informationspflichten aus Art. 13, 14 DSGVO.
  • Unterstützung bei der Wahrung der Rechte der betroffenen Personen aus Art. 15 ff DSGVO
  • Unverzügliche Mitteilung, wenn eine Weisung des Auftraggebers gegen DSGVO oder sonstige Datenschutzbestimmungen verstößt
  • Unverzügliche Mitteilung einer Datenschutzverletzung
  • Unterstützung bei Melde- und Benachrichtigungspflichten aus Art. 33, 34 DSGVO.
  • Unterstützung bei einer Datenschutz-Folgenabschätzung aus Art. 35 DSGVO.
  • Ermöglichen von Kontrollen (auch vor Ort)

 

Die meisten Dienstleister stellen eine entsprechende Vertragsvorlage bereits von sich aus zur Verfügung. Häufig enthalten diese Vertragsmuster jedoch Klauseln, in denen der Dienstleister dem Verantwortlichen Unterstützungsleistungen im Bereich Datenschutz in Rechnung stellt. Als ob man in einem Restaurant einen Aufpreis zahlen müsste, wenn man das Essen nach Hygiene-Vorschriften zubereitet haben möchte!

 

Der Bayerische Landesbeauftrage für den Datenschutz hat daher nun klargestellt, dass Verantwortliche „darauf achten [sollten], dass sie sich für die Ausübung ihrer gesetzlichen Kontrollrechte nicht zu einem besonderen Entgelt verpflichten lassen“. Denn solche Extra-Kosten würden den Verantwortlichen an der Ausübung seiner datenschutzrechtlichen Pflichten und damit einhergehenden Rechte gegenüber dem Dienstleister „entgegenwirken“ und „abschreckende Wirkung entfalten.“

 

Dienstleister sollten also zukünftig auf solche Klauseln verzichten, wenn sie nicht möchten, dass der Schutzzweck des Art. 28 DSGVO ausgehebelt wird. Denn auch sie haben mit Sanktionen zu rechnen, wenn ein Vertrag zur Auftragsverarbeitung nicht ordnungsgemäß abgeschlossen wurde.

 

 

S. Kieselmann

 

Beraterin für Datenschutz

 

Dipl.sc.pol.Univ.

Bayerisches Datenschutzgesetz (BayDSG)

16.10.2018 11:32

Carmen Ströhl

Tags: Anwendung , BayDSG , Bayerisches Datenschutzgesetz , Bußgelder , Datenschutz , DSGVO , Öffnungsklauseln , Pflichten , Rechte , Regelungsaufträge

Die DSGVO sieht im öffentlichen Bereich Regelungsaufträge und Öffnungsklauseln vor, die die Mitgliedstaaten ermächtigen, in einigen Bereichen eigene Regelungen zu erlassen. Das BayDSG wurde daher neu gefasst und ist am 25.05.2018 in Kraft getreten.

Die Regelungssystematik, nach der bayerische öffentliche Stellen personenbezogene Daten verarbeiten dürfen, ist eher ein Regelungschaos:

Sofern diese Stellen personenbezogene Daten verarbeiten, gilt die DSGVO, Art. 2 S. 1 BayDSG. Eine Ausnahme von diesem Grundsatz besteht, wenn es eine anderweitige Regelung gibt, Art. 2 Abs. 1 S. 1 BayDSG. Diese anderweitige Regelung kann sich aus dem BayDSG selbst ergeben (z.B. Art. 2 S. 2 BayDSG) oder auch aus bereichsspezifischen Rechtsvorschriften, die dem BayDSG vorgehen, Art. 1 Abs. 5 BayDSG. Beispiele für bereichsspezifische Rechtsvorschriften sind z.B. Regelungen der DSGVO selbst oder Art. 103 ff. Bayerisches Beamtengesetz (BayBG). Hierbei muss immer beachtet werden, dass diese anderweitigen Regelungen oder bereichsspezifischen Rechtsvorschriften der DSGVO nicht widersprechen.

Der Bayerische Landesbeauftragte für den Datenschutz sagt in einem Überblick hierzu: „Der Regelungsgehalt des neuen Bayerischen Datenschutzgesetzes ist aus sich heraus in der Regel nicht mehr verständlich“ und die „Regelungssystematik (…) anspruchsvoll.“

Die wichtigsten Vorschriften zum BayDSG, bezogen auf die DSGVO, sollen nachfolgend dennoch aufgelistet werden:

Anwendungsbereich: Die Vorschriften des BayDSG gelten für Behörden und sonstige öffentliche Stellen in Bayern, Art. 1 Abs. 1 S. 1 BayDSG.

Für nicht-öffentliche Stellen sowie öffentliche Stellen, die als Unternehmen am Wettbewerb teilnehmen, gelten die Vorschriften des BayDSG nicht, Art. 1 Abs. 3 S. 1 BayDSG. Ausnahmen:

  • Für nicht-öffentliche Stellen, die hoheitliche Aufgaben der öffentlichen Verwaltung in Bayern wahrnehmen, gelten die Vorschriften BayDSG, Art. 1 Abs. 4 BayDSG.
  • Art. 38 BayDSG gilt auch für nicht-öffentliche Stellen, Art. 1 Abs. 1 S. 4 BayDSG.

Zuständige Aufsichtsbehörde für sämtliche öffentliche Stellen, d.h. auch solche, die als Unternehmen am Wettbewerb teilnehmen, ist der Bayerische Landesbeauftragte für den Datenschutz, Art. 1 Abs. 3 S. 2 BayDSG.

Bußgelder: Gegen öffentliche Stellen werden keine Bußgelder verhängt, wenn sie gegen datenschutzrechtliche Bestimmungen verstoßen, Art. 22 BayDSG. Eine Ausnahme besteht gegenüber öffentlichen Stellen, die als Unternehmen am Wettbewerb teilnehmen.

Datengeheimnis: Die Beamten sowie nicht-verbeamteten Beschäftigten der öffentlichen Stellen sind zur Wahrung des Datengeheimnisses zu verpflichten. Diese Pflicht besteht auch nach Beendigung ihrer Tätigkeit bei der öffentlichen Stelle fort, Art. 11 BayDSG.

Datenverarbeitung:

  • Die Erhebung personenbezogener Daten bestimmt sich nach Art. 4 Abs. 1, Abs. 2 BayDSG. Es gilt ein Direkterhebungsgebot.
  • Die Verarbeitung der personenbezogenen Daten bestimmt sich nach Art. 4 Abs. 1 BayDSG.
  • Die Übermittlung bzw. Offenlegung personenbezogener Daten bestimmt sich nach Art. 5 BayDSG. Hiermit ist wohl nicht nur die Datenübermittlung an Dritte, sondern generell die Offenlegung gegenüber Empfängern (z.B. auch Auftragsverarbeitern) gemeint.
  • Die spätere Verarbeitung personenbezogener Daten zu geänderten Zwecken (Weiterverarbeitung) bestimmt sich nach Art. 6 Abs. 2 BayDSG.
  • Die Einrichtung automatisierter Verfahren zur Übermittlung personenbezogener Daten durch Abruf oder der gemeinsame Betrieb automatisierter Verfahren i.S.v. Art. 26 DSGVO bestimmt sich nach Art. 7 BayDSG.
  • Die Verarbeitung besonderer Kategorien personenbezogener Daten i.S.v. Art. 9 Abs. 1 DSGVO bestimmt sich nach Art. 8 BayDSG.
  • Die Verarbeitung personenbezogener Daten im Rahmen der Videoüberwachung bestimmt sich nach Art. 24 BayDSG.
  • Die Verarbeitung personenbezogener Daten zu journalistischen, künstlerischen oder literarischen Zwecken bestimmt sich nach Art. 38 BayDSG. Diese Vorschrift gilt für öffentliche und nicht-öffentliche Stellen, Art. 1 Abs. 1 S. 4 BayDSG.
  • Bei der Löschung personenbezogener Daten ist zusätzlich Art. 26 Abs. 6 BayDSG zu beachten.

Auftragsverarbeitung: Es gilt Art. 28 DSGVO. IT-Dienstleister, die die Prüfung und (Fern-)Wartung von Datenverarbeitungssystemen und -anlagen übernehmen, gelten als Auftragsverarbeiter, Art. 5 Abs. 3 S. 1 BayDSG.

Joint Control: Es gilt Art. 26 DSGVO, ergänzt durch Art. 7 Abs. 2 BayDSG.

Informationspflichten: Die betroffenen Personen müssen über die Datenverarbeitung informiert werden gemäß Art. 13, 14 DSGVO („mit deren Kenntnis“, Art. 4 Abs. 2 S. 1 BayDSG).

Ausnahmen von der Informationspflicht sind gemäß Art. 4 Abs. 2 S. 4, Art. 9 BayDSG vorgesehen für die Fälle von Art. 4 Abs. 2 Nr. 1, Nr. 2 BayDSG, Art. 6 Abs. 2 Nr. 3 lit. a), b), d) BayDSG. Eine Ausnahme kann ggf. auch für den Fall von Art. 10 Abs. 1 S. 2 BayDSG bestehen.

Auskunftsrecht: Betroffene Personen haben in den Fällen des Art. 10 Abs. 1 S. 1 und 2, Abs. 2 Nr. 1 bis 5 lit. a), b) BayDSG kein Recht, Auskunft zu den über sie verarbeiteten personenbezogenen Daten zu verlangen.

Benachrichtigungspflicht aus Art. 34 DSGVO: Die Benachrichtigung betroffener Personen über Datenschutzverletzungen kann in den Fällen von Art. 6 Abs. 2 Nr. 3 lit. a), b), d) BayDSG unterbleiben, Art. 13 BayDSG.

Verzeichnisses von Verarbeitungstätigkeiten: Das Führen eines solchen Verzeichnisses wird in Art. 2 S. 2 BayDSG eingeschränkt.

Datenschutz-Folgenabschätzung: Die Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung wird in Art. 2 S. 2 sowie Art. 14 BayDSG eingeschränkt.

S. Kieselmann

Beraterin für Datenschutz

Dipl.sc.pol.Univ.

Datenschutzrelevante Ereignisse

09.10.2018 08:59

Carmen Ströhl

Tags: Abo-Falle , Arbeitgeber , Arbeitnehmer , BGH , Daten , Datenschutz , Datenschutzauskunft-Zentrale , datenschutzkonform , Datenverarbeitung , DSGVO , Erhebung , EuGH , Facebook , Fanpagebetreiber , Feedback , Kundenzufriedenheit , Messenger , Mitarbeiter , Mitbewerber , Plattformbetreiber , privat , Privatsphäre , Telefonnummer , Werbung , WhatsApp

In unserem heutigen Blogbeitrag möchten wir zusammenfassend über datenschutzrelevante Ereignisse der letzten Monate informieren:

 

 

  • Mit der Entscheidung des Landgerichts Würzburg (LG Würzburg, Beschluss vom 13.9.2018, Az. 11 O 1741/18), können Verstöße gegen die DSGVO von Mitbewerbern abgemahnt werden. Bisher bestand hier erhebliche Unsicherheit, ob es sich bei der DSGVO überhaupt um eine drittschützende Norm im Sinne des § 3a UWG handelt.

 

 

  • Derzeit verschickt die sog. "Datenschutzauskunft-Zentrale“ ein Schreiben, in dem Unternehmen aufgefordert werden, Angaben über ihren Betrieb zu machen, "um ihrer gesetzlichen Pflicht zur Umsetzung des Datenschutzes nachzukommen". Hierbei handelt es sich um eine Abo-Falle. .

 

 

  • Laut dem Thüringer Landesarbeitsgericht (Urteil vom 16.05.2018, Az. 6 Sa 442/17) ist die Erhebung der privaten Telefonnummer durch den Arbeitgeber ein erheblicher Eingriff in die Persönlichkeitsrechte des Mitarbeiters.

 

S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.

« Zurück Weiter » 1 2 3 4 5 6 7 8 ...13

50 Millionen Abbinder Abmahnung Abmahnungen Abo-Falle ADCERT Airbnb Angemessenheitsbeschluss Angriff Anklage Anwendbarkeit Anwendung Arbeitgeber Arbeitnehmer Arbeitsrecht Art. 17 DSGVO Art. 25 DSGVO Art. 26 DSGVO Art. 32 DSGVO Art. 37 DSGVO Art. 4 Nr. 12 DSGVO Art. 45 DSGVO Art. 8 MRK Art. 9 DSGVO Auchfsichtsbehörde Audit Aufsichtsbehörde Auftragsverarbeiter Auftragsverarbeitung Auskunftei Auskunftsrecht Automatisierte Einzelentscheidung Autsch Backup Baden-Württemberg BAG BayDSG Bayerisches Datenschutzgesetz BDSG-Neu BEAST Begrifflichkeiten Beherbergungsstätten BEM Benachrichtigungspflicht Beschäftigtendatenschutz besondere Kategorien personenbezogener Daten betriebliche Eingliederungsmanagement betriebliche Nutzung betrieblicher E-Mail-Account betrieblicher Internetzugang Betriebsvereinbarung betroffene Personen Betroffenenrechte BfDI BGH Bildberichterstattung Bildrechte biometrische Daten Biometrische und genetische Daten Bitcoins Bitkom Bonitätsprüfung Brexit Browser Bund Bundesarbeitsgericht Bundesnetzagentur Bußgeld Bußgelder BVG Citizen-Score Cloud CNIL Compliance Cookie Custom Audience Cyber Dashcam Daten Datenaustausch Datenerhebung Datenlöschung Datenminimierung Datenpanne Datenschutz Datenschutz Grundverordnung Datenschutz-Folgenabschätzung Datenschutz-Schulungen Datenschutzabkommen Datenschutzauskunft-Zentrale Datenschutzbeauftragte Datenschutzbeauftragter Datenschutzerklärung Datenschutzgrundsätze Datenschutzgrundverordnung datenschutzkonform Datenschutzprinzipien Datenschutzverletzung Datensicherheit Datentransfer Datenübermittlung Datenübermittlung an Dritte Datenübermittlung in Drittstaaten Datenverarbeitung Dating Dating-Portale Deutsche Bahn Diebstahl Dienstleister Diesel-Fahrverbot Dieselfahrverbot Dieselskandal Direktwerbung Do not track-Funktion Donald Trump Dritter Drittstaat ohne angemessenes Datenschutzniveau Drittstaaten DSAnpUG-EU DSG DSGVO DSK dynamische IP-Adresse E-Mail e-Privacy-Verordnung E-Rechnung eCall-Technologie EES EFAIL Einwilligung Einwilligungserklärung Einwilligungserklärungen Empfänger Entsorgung Erhebung Erhebung personenbezogener Daten Erwägungsgrund 48 der DSGVO eSafety-Initiative ETIAS EU EU-Datenschutz-Grundverordnung EU-Parlament EuGH Europäische Aufsichtsbehörde Europäische Union Extra-Bezahlung Extra-Kosten Facebook Facebook-Fanpages Facebook-Pixel Fachbereich Fahrzeugdaten Fahrzeuge Fanpage Fanpagebetreiber FBI Feedback Fernmeldegeheimnis FlugDaG Fluggastdaten Folgenabschätzung Foto Funkmäuse Funktastaturen Geldbörse Gemeinsam Verantwortliche Gericht Gesetz gegen den Unlauteren Wettbewerb gestohlen Gesundheitsdaten Gewährleistung Google Google Analytics grenzüberschreitend Groß-Britannien hacken Hacker Hackerangriff Hash-Verfahren Hausverwaltung Head of Cyber Security Architectur Höchstvermietungsdauer Home Office Immobilienmakler Informationspflicht Informationspflichten Informationssicherheit Infrastruktur Inhalteanbieter Insights interner Datenschutzbeauftragter Investition IP-Adresse Irland ISO/IEC 27001 IT Governance IT GRC IT-Forensik IT-forensische Untersuchung IT-Security IT-Sicherheit IT-Systeme ITSECX Japan Jin-hyok Joint Control Kanada Kennzeichen-Scan Keynote Klagebefugnis Klingelschilder Kommune Konferenz Kontaktdaten Kontakte Konzern konzerninterner Datentransfer KoSIT Kriminalität KUG Kundenbindung Kundenzufriedenheit Kunsturhebergesetz Laptop Lazarus Leistungs- und Verhaltenskontrolle LfDI Baden-Württemberg Löschung personenbezogener Daten Löschungsrecht Lösegeld Malware Markennamen Markenrecht Marktortprinzip MD5 Meldepflicht Meldescheine Meldung Meltdown Messenger Microsoft Mieter Misch-Account Mitarbeiter Mitbewerber MouseJack-Angriffe Netzwerklabor NIST No-Deal-Brexit Nordkorea Notebook Nutzungsbedingungen Öffnungsklauseln One Stop Shop One-Stop-Shop Österreich Papierrechnung Passenger Name Records Passwort Passwörter Passwörter. 2016 Passwortfilters Passwortregeln Passwortschutz Patientendaten Penetrationstest Personalausweiskopien personenbezogene Daten Personenbilder Persönlichkeitsrechte Pflichten Plattformbetreiber PNR-Daten PNR-Instrumente POODLE Privacy by Default Privacy by Design Privacy Shield privat private Handynummer private Mobilfunknummer Privatnutzung Privatnutzungsverbot Privatsphäre Profiling Quantencomputer Ransomware reale Infrastruktur Rechenzentren Rechenzentrum Recht auf Achtung des Privat- und Familienlebens Recht auf Berichtigung Recht auf Datenübertragbarkeit Recht auf Einschränkung Recht auf Löschung Rechte Rechte der betroffenen Person Referenten Regelungsaufträge Reichweitenanalyse Risiko Risikomanagement Risk & Compliance Management Rufschädigung SamSam Sanktionen Schaden Schadprogramm schutzwürdige Interessen Schweiz Seitenbetreiber SHA1 sicher Sicherheitsvorfall Sicherheitsvorfälle kritische Infrastrukturen IT-Sicherheitsbeauftragten ISMS Sicherung der Daten Siegel Skype Smartphone Software Software-Entwicklung Sony Sony PSN Soziale Netzwerke Spectre Speicherdauer Sponsoren Standardvertragsklauseln Strafe Strafverfolgung Studenten Supercomputer Risikolage Support Technische & organisatorische Maßnahmen technische & organisatorische Maßnahmen Telefonnummer Telefonwerbung Telemediendienst Telemediengesetz Telstra Security Report TKG TLS TMG Tracking Tracking Tools Twitter Übermittlung personenbezogener Daten Überwachungssoftware Umfrage Umsetzungsfrist unerlaubt unpersonalisierter Benutzer-Account Unternehmensgruppe US-Regierung USA UWG Verantwortlicher Verantwortung Vereinbarung verloren Verlust Vernichtung von Datenträgern Veröffentlichung Verordnung (EU) 2015/758 verschlüsseln Verschlüsselte E-Mails Verschlüsselungsverfahren Verstoß Verstöße Vertrag zur Auftragsverarbeitung Verwaltungsakt Verwaltungsgericht Karlsruhe Videoüberwachung Virus Vorteile WannaCry Webseite Webseiten Webtracking Webtrecking Werbeaussage Werbung Wettbewerb Wettbewerbsrecht wettbewerbsrechtliche Abmahnung Wettbewerbsverstöße WhatsApp Whistleblowing Widerruf Widerrufsrecht Widerspruchsrecht Wohnung X-Rechnung Zertifikat Zertifizierung Zugangsdaten Zugriff zulässig Zulässigkeit zuständig § 15 TMG § 26 BDSG-Neu § 32 BDSG § 32 DSGVO § 35 BDSG-Neu § 38 BDSG-Neu § 3a UWG § 42a BDSG § 42b BDSG § 88 TKG

Tags

Archiv

Februar 2019

Mo Di Mi Do Fr Sa So
        1 2 3
4 5 6 7 8 9 10
11 12 13 14 15 16 17
18 19 20 21 22 23 24
25 26 27 28