Home / Aktuelles & Termine / it.sec blog

Corona macht auch vor dem Datenschutz nicht halt. Die jetzt notwendigen Maßnahmen verlangen Unternehmen und ihren Mitarbeitern einiges ab. Umso besser, wenn datenschutzrechtliche Bestimmungen frühzeitig in die Überlegungen einbezogen werden, um betroffene Personen nicht noch stärker zu belasten.

 

Wir haben nachfolgend die wichtigsten Themen für Sie zusammengefasst:

 

Rundmail vom Mutterkonzern

 

Es gibt vermehrt Konzerne, die eine Richtlinie mit Verhaltensregeln herausgeben, um die Gefahr der Ansteckung mit dem Coronavirus innerhalb der Belegschaft einzudämmen (z.B. Verbot des Händeschüttelns). Hier müssen ggf. mitbestimmungsrechtliche Vorgaben beachtet und der Betriebsrat vorab eingebunden werden. Die Erhebung der betrieblichen E-Mail-Adressen aller aktiven Mitarbeiter konzernweit zum Versand der Rundmail, um über die Konzernrichtlinie zu informieren, kann auf ein berechtigtes Interesse gestützt werden, da es internen Verwaltungszwecken dient. Sehen Betriebsvereinbarungen Einschränkungen vor bei der konzernweiten Adressverarbeitung, müssen diese beachtet werden. Die konzernweite Adressverarbeitung sollte auch bereits in den Intercompany-Vertrag aufgenommen worden sein. Vor Versand der Rundmail müssen die E-Mail-Adressen ins „BCC“-Feld eingetragen werden. Ein offener E-Mail-Verteiler stellt ggf. eine unbefugte Datenverarbeitung dar.

 

 

Frage des Arbeitgebers nach der letzten Urlaubsreise

 

So ist eine in Zusammenhang mit dem Coronavirus erfolgte Umfrage bei Mitarbeitern nach der letzten Urlaubsreise nach Art. 9 DSGVO, §§ 26 Abs. 3, 22 Abs. 1 Nr. 1 lit. b) BDSG abgedeckt. Im Sinne des Verhältnismäßigkeitsgrundsatzes gilt jedoch: Die Frage des Arbeitgebers muss sich darauf beschränken, ob der Mitarbeiter sich in einem Risikogebiet aufgehalten hat. Die Erhebung des genauen Urlaubsortes ist nicht zulässig. Um Missverständnissen vorzubeugen, sollte der Arbeitgeber die aktuellen Risikogebiete aufzählen.

 

Abklärung von Risikogruppen

 

Der Arbeitgeber darf ebenso abklären, ob einzelne Beschäftigte zu einer Risikogruppe[1] gehören. Zweck muss dabei sein, diese bereits im besonderen Maße vor der Gefahr einer Ansteckung zu schützen, bspw. in dem sie von Schulungen, Seminaren, Messen oder sonstigen Veranstaltungen befreit werden oder die Erlaubnis für einen Home-Office-Arbeitsplatz erhalten.

 

Umgang mit Verdachtsfällen

 

Aufgrund seiner arbeitsvertraglichen Nebenpflichten hat der Mitarbeiter eine Informationspflicht, wenn eine Ansteckungsgefahr mit dem Coronavirus besteht, bspw. weil er selbst positiv auf das Virus getestet wurde oder möglicherweise infiziert ist, weil er in den letzten 14 Tagen unmittelbaren Kontakt hatte mit einer infizierten Person. Der Arbeitgeber muss aufgrund seiner Fürsorgepflicht die übrigen Beschäftigten informieren, wenn diese einer Ansteckungsgefahr durch einen Kollegen ausgesetzt waren. Eine Übermittlung der Namensangaben oder sonstiger Angaben, die den (möglicherweise) infizierten Kollegen identifizieren, ist in der Regel jedoch nicht zulässig.

 

Notfallkontakte für Warnungen / Schließungen / Quarantäne-Maßnahmen etc.

 

Grundsätzlich ist die Preisgabe der privaten Telefonnummern ein erheblicher Eingriff in die Persönlichkeitsrechte der Mitarbeiter. Für Notfälle wie die jetzige Pandemie mit dem Coronavirus ist die Erhebung von Notfallkontaktdaten wie privaten Telefonnummern ausnahmsweise nach Art. 6 Abs. 1 lit. f) DSGVO zulässig, seitens des Mitarbeiters jedoch freiwillig und widerrufbar. Der Arbeitgeber darf die Daten ausschließlich verwenden, um die Mitarbeiter kurzfristig über die aktuellen internen Maßnahmen zur Eindämmung der Pandemie (z.B. Standortschließungen) zu informieren oder vor einer Ansteckungsgefahr zu waren.

 

Home-Office

 

Als Präventionsmaßnahme sowie wegen der vorläufigen Schließung von Kitas und Schulen, weichen Mitarbeiter nun vermehrt auf Home-Office-Arbeitsplätze aus.

 

Sofern in Privatwohnungen personenbezogene Daten, für die der Arbeitgeber verantwortlich ist, verarbeitet werden, muss der Arbeitgeber dafür Sorge tragen, dass die Sicherheit der Daten an diesen Verarbeitungsstandorten ebenso gewährleistet ist. Der Arbeitgeber sollte daher frühzeitig entsprechende Arbeitsmittel bereitstellen (festplattenverschlüsselte Notebooks, sichere VPN-Verbindung, Sichtschutzfolien etc.) und Mitarbeitern konkrete Vorgaben machen zum vertraulichen Umgang mit Daten im Home-Office.

 

Die Liste an Maßnahmen, sowohl für den Arbeitgeber als auch den Arbeitnehmer, ist sehr umfassend, kommen Sie bei Fragen dazu bitte direkt auf uns zu!

 

Gerne unterstützen und beraten wir Sie auch kurzfristig zu weiteren Themen wie z.B.

 

  • Zugriffsrechte, Speicherdauer und Informationspflichten
  • Umgang mit Besucherdaten
  • Übermittlung von Betroffenendaten an Öffentliche Stellen

 

Unsere Kontaktdaten für Ihre Datenschutz-Fragen:

 

Dr. Bettina Kraft

 

Tel. +49 731 20589-0

 

datenschutz@it-sec.de

 

 

Bleiben Sie gesund!

 

Ihre it.sec GmbH

 

 

[1]https://www.rki.de/DE/Content/InfAZ/N/Neuartiges_Coronavirus/Steckbrief.html#doc13776792bodyText2

Am 31. Januar 2020 ist das Vereinigte Königreich aus der Europäischen Union und der Europäischen Atomgemeinschaft (Euratom) ausgetreten. Das Austrittsabkommen ist zum 1. Februar 2020 in Kraft getreten und sieht einen Übergangszeitraum bis zum 31. Dezember 2020 vor, in dem das EU-Recht für das Vereinigte Königreich weiterhin mindestens gilt.

 

Am 3. Februar 2020 hat nun die Europäische Kommission den ersten Schritt zur Aufnahme von Verhandlungen mit dem Vereinigten Königreich unternommen und dem Rat eine Empfehlung vorgelegt. Darin wird auch die große Bedeutung des Datenschutzes hervorgehoben. Die Kommission betont, dass die geplante Partnerschaft angesichts der Bedeutung des Datenflusses eine Verpflichtung zu einem hohen Niveau des Schutzes personenbezogener Daten gewährleisten muss. Außerdem sei es wichtig, dass die Vorschriften der Union über den Schutz personenbezogener Daten uneingeschränkt respektiert werden – ebenso wie die Entscheidungsprozesse der Union in Bezug auf Angemessenheitsentscheidungen. Eine solche Angemessenheitsentscheidung wird erforderlich, da das Vereinigte Königreich aus datenschutzrechtlicher Sicht nach dem Übergangszeitraum zu einem Drittstaat wird. Mit dem Angemessenheitsbeschluss der EU-Kommission – sofern die Bedingungen dafür erfüllt sind – wird das Vereinigte Königreich als ein Drittland mit angemessenem Schutzniveau eingestuft.

 

Ein solcher Angemessenheitsbeschluss sollte auch die Zusammenarbeit und den Informationsaustausch, insbesondere im Bereich der Strafverfolgung und der justiziellen Zusammenarbeit in Strafsachen ermöglichen.

 

Darüber hinaus sollte die Partnerschaft nach der Empfehlung der Kommission im Zusammenhang mit der Digitalisierung des Waren- und Dienstleistungsverkehrs für den Schutz der Verbraucher im Internet sorgen, einschließlich des Schutzes vor unerbetener Direktmarketingkommunikation.

 

Julia Eisenacher
Juristin (Univ.)
Consultant für Datenschutz

Ein IT-Mitarbeiter hatte ohne Wissen seines Arbeitgebers eine Sicherheitslücke bei einem Kunden-Unternehmen entdeckt und ausgenutzt.

Hierfür bediente er sich der Kundendaten (Namensangaben von Ansprechpartnern etc.), die sein Arbeitgeber auf eigenen Systemen gespeichert hatte.

Beweggrund des IT-Mitarbeiters war wohl, dem Kunden die Sicherheitsmängel deutlich zu machen. Vielleicht gut gemeint, aber leider auch ein Verstoß gegen die DSGVO. Denn bei jeder Datenverarbeitung ist die Zweckbindung einzuhalten. Und Zweck der Daten war nicht, Sicherheitslücken aufzudecken oder sogar auch noch auszunutzen. Weder der Arbeitgeber noch der Kunde, die für die Daten datenschutzrechtlich verantwortlich sind, hatten eine solche Erlaubnis erteilt.

Folge der unbedachten Aktion war die fristlose Kündigung. Das Arbeitsgericht erachtete die Kündigung auch als gerechtfertigt, da der IT-Mitarbeiter „gegen seine Pflicht zur Rücksichtnahme auf die Interessen des Arbeitgebers eklatant verstoßen“ habe.

Dies zeigt einmal mehr, wie wichtig es ist, dass Unternehmen ihre Mitarbeiter im Umgang mit personenbezogenen Daten durch regelmäßige Awareness-Maßnahmen sensibilisieren und sie mit den rechtlichen sowie vertraglichen Vorgaben insbesondere bei der Verarbeitung von Kundendaten vertraut machen.

S. Kieselmann

Senior Consultant Datenschutz

Dipl.sc.pol.Univ.

EuGH-Urteil

 

Nach dem Urteil des EuGH vom 14.05.2019 (C‑55/18) müssen Unternehmen die Arbeitszeiten ihrer Arbeitnehmer erheben und speichern, und zwar vollumfänglich. Denn ohne eine solche Arbeitszeiterfassung, entfalte die EU-Richtlinie zur Verbesserung der Sicherheit und des Gesundheitsschutzes der Arbeitnehmer bei der Arbeit keinerlei Wirkung. Hierüber hatten wir bereits berichtet.

 

Bisher sind Unternehmen in Deutschland nur vereinzelt verpflichtet, Arbeitszeiten zu erfassen: So müssen bspw. die Überstunden der Mitarbeiter (§ 16 ArbZG), die Arbeitszeiten von Jugendlichen (§ 50 JArbSchG) sowie die Arbeitszeiten von geringfügig Beschäftigten oder solchen, die in besonderen Wirtschaftsbereichen (z.B. Gaststättengewerbe) tätig sind, (§ 17 MiLoG) aufgezeichnet werden.

 

Konsequenzen des EuGH-Urteil

 

Die Mitgliedstaaten müssen nun entsprechende Gesetze erlassen, die die Unternehmen verpflichten, „ein objektives, verlässliches und zugängliches System einzurichten, um die von einem jeden Arbeitnehmer geleistete tägliche Arbeitszeit zu erfassen.“ Derzeit ist in Deutschland ein entsprechender Gesetzesentwurf noch nicht veröffentlicht, so dass über die genaue Regelung noch spekuliert werden darf. Laut Information einer Sprecherin des Bundesarbeitsministeriums am 13.01.2020 laufen jedoch bereits Vorarbeiten.

 

Datenschutzrechtliche Herausforderungen

 

Unternehmen sollten gleichwohl bereits jetzt beginnen, ein Verfahren zur Arbeitszeiterfassung einzuführen. Dabei ist aus datenschutzrechtlicher Sicht folgendes zu beachten:

 

- Das zur Arbeitszeiterfassung ausgewählte Datenverarbeitungssystem muss den Anforderungen von Privacy by Design & Privacy by Default entsprechen und - sofern es sich um einen Cloud-Dienst handelt - die Vorgaben der DSK (Gremium der deutschen Datenschutzaufsichtsbehörden) erfüllen. Es sollte hierbei darauf geachtet werden, dass keine Daten erfasst werden, die nicht benötigt werden. Außerdem sollte das System unbedingt über eine Löschfunktion verfügen.

 

- Die für den Zweck erforderlichen Datenarten sowie die Regellöschfristen sind im Vorfeld zu bestimmen. Hier wäre es wünschenswert, dass der Gesetzgeber diese bereits vorgibt.

 

- Es sollte abgeklärt werden, welche Auswertungen des Datenbestands notwendig sind, um die Einhaltung der Arbeitszeitregeln effektiv kontrollieren zu können. Sofern Sie planen, diese Daten für Produktivitätsplanungen zu verwenden achten Sie darauf, dass eine Anonymisierungsfunktion enthalten ist, die Sie auch nach der Löschung der personenbezogenen Daten noch weiterhin verwenden können.

 

- Empfänger der Daten/Auswertungen bzw. zum Zugriff Berechtigte sind ebenfalls festzulegen, u.a. Serverstandorte, Arbeitnehmer selbst, interne Stellen im Unternehmen (Vorgesetzte, Personalabteilung, IT), Auftragsverarbeiter, ggf. Berechtigte anderer Konzerngesellschaften oder öffentliche Stellen. Empfehlenswert ist ein differenziertes Zugriffskonzept, welches nach dem Need-to-know Prinzip Berechtigungen vergibt. So muss der Mitarbeiter aus der Abteilung Lohn und Gehalt ggfs. einen Abwesenheitsgrund kennen, um die Lohnzahlung zu bestimmen, bei der Personaleinsatzplanung reicht es zu wissen, dass ein Mitarbeiter nicht da sein wird. Hinterfragen Sie auch kritisch, ob die Daten bei den Empfängern tatsächlich benötigt werden, oder ob ggfs. anonymisierte Daten für die Zwecke ausreichen.

 

- Erforderliche Verträge (Verträge zur Auftragsverarbeitung, Joint Control-, Intercompany-Vertrag) sind abzuschließen und etwaige Datenübermittlungen in Drittstaaten nach Art. 44 ff DSGVO abzusichern. Hier ist zum einen an den Anbieter der Software zu denken, zum anderen an einen etwaigen Austausch der Daten innerhalb einer Unternehmensgruppe, insbesondere, wenn eine einheitliche Lösung für sämtliche Unternehmen einer Gruppe geplant ist.

 

- Die Arbeitnehmer sind über die damit verbundene Datenverarbeitung und über die Auswirkungen, die die Auswertungen für sie haben, zu informieren. Hierzu sollten Sie die datenschutzrechtliche Mitarbeiterinformation entsprechend anpassen bzw. ergänzen. Sofern vorhanden, ist der Betriebsrat von Beginn an einzubeziehen.

 

- Die Daten müssen durch geeignete Maßnahmen geschützt werden, und zwar bereits bei der Migration der Daten aus anderen Systemen sowie beim Betrieb des neuen Datenverarbeitungssystems selbst. Gerade hierbei sollten Sie darauf achten, dass die teilweise sensiblen Daten möglichst verschlüsselt vorliegen, so dass diejenigen, die den Transfer der Daten durchführen nicht davon Kenntnis nehmen können.

 

Wenn Sie ein Zeiterfassungssystem einführen möchten und hierbei datenschutzrechtliche Unterstützung benötigen, unterstützen wir Sie selbstverständlich gerne.

 

C. Lürmann

 

Rechtsanwältin

 

Consultant für Datenschutz

Da hat es sich Facebook wohl zu einfach gemacht. Lapidar hat das Unternehmen behauptet, kein Mitglied ihrer Rechtsabteilung habe ausreichende deutsche Sprachkenntnisse, um Beschwerden, Gerichtsbeschlüsse oder Mitteilungen auf Deutsch in vollem Umfang zu verstehen. Zu Unrecht, wie das OLG Düsseldorf im Rahmen eines Kostenfestsetzungsverfahrens im Dezember 2019 festgestellt hat:

 

Sachverhalt

 

Das Landgericht Düsseldorf hatte Facebook in Irland im Wege der Rechtshilfe einen Beschluss in deutscher Sprache zustellen lassen. Facebook verweigerte die Annahme wegen einer fehlenden englischen Übersetzung und argumentierte, dass der Beschluss damit nicht zugestellt worden sei.

 

 

Entscheidung des OLG

 

Davon ließ sich das OLG jedoch nicht beeindrucken. Es komme bei der Beurteilung der Verständnisfähigkeit nicht darauf an, ob konkrete Mitglieder der Geschäftsleitung oder der jeweiligen Rechtsabteilung über entsprechende Sprachkenntnisse verfügen, sondern auf die Organisation des Unternehmens insgesamt. Dass das Unternehmen den Beschluss nicht verstehen könne, sei in diesem Fall eine reine Schutzbehauptung.

 

 

Facebook habe Millionen von Nutzern in Deutschland, mit denen ausdrücklich auf Deutsch kommuniziert wird. Sämtliche im Verhältnis zwischen Unternehmen und Nutzern bestehenden Vertragsdokumente (AGB, Gemeinschaftsstandards, Nutzungsbedingungen) würden auf Deutsch vorliegen, auch das deutsche Recht würde in den entsprechenden Dokumenten besonders berücksichtigt, so z.B. das Deutsche Produkthaftungsgesetz. Derartige Formulierungen seien ohne profunde Kenntnisse der deutschen Sprache und des deutschen Rechts nicht möglich. Das Gericht sah es damit als erwiesen an, dass Facebook über ausreichende Deutschkenntnisse verfügt, so dass die Verweigerung der Annahme des gerichtlichen Schriftstücks durch Facebook unzulässig und rechtsmißbräuchlich gewesen sei.

 

 

Fazit

 

Bei der Entscheidung zeigt sich einmal mehr, wie eine kleine Rechtsstreitigkeit über einen nur geringen dreistelligen Betrag, große Wirkung entfalten kann. Die Notwendigkeit, mit den international tätigen und auftretenden Unternehmen nur in der jeweiligen Sprache des Hauptsitzes kommunizieren zu müssen, scheint jedenfalls aufgrund dieser Entscheidung zu entfallen.

 

 

 

C. Lürmann

 

Rechtsanwältin

 

Consultant für Datenschutz

Wir hatten bereits in unserem Blogbeitrag im Juli 2019 darüber berichtet und seit November 2019 ist es auch „amtlich“: Unternehmen müssen erst ab 20 Mitarbeitern, die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, einen Datenschutzbeauftragten benennen.

Seit dem 26.11.2019 ist der neue § 38 Abs. 1 S. 1 BDSG in Kraft getreten.

Natürlich müssen Unternehmen auch ohne einen Datenschutzbeauftragten ihren Pflichten aus der Datenschutzgrundverordnung (DSGVO) vollständig nachkommen.

Die Anzahl der Personen spielt aber auch weiterhin keine Rolle, wenn Unternehmen

- Verarbeitungen personenbezogener Daten vornehmen, die einer Datenschutz-Folgenabschätzung bedürfen (§ 38 Abs. 1 S. 2 BDSG)

oder

- personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeiten (§ 38 Abs. 1 S. 2 BDSG).

In diesen Fällen muss ein Datenschutzbeauftragter weiterhin benannt werden.

S. Kieselmann

Senior Consultant Datenschutz

Dipl.sc.pol.Univ.

Die Aufsichtsbehörden in Hamburg und Bayern haben ausdrücklich darauf hingewiesen, dass Google Analytics-Cookies nur mit Einwilligung gesetzt werden dürfen.

 

Eine weitere wichtige Aussage in diesem Zusammenhang ist außerdem, dass die Aufsichtsbehörden Google LLC nicht mehr als Auftragsverarbeiter der Website-Betreiber ansehen: „Das Produkt Google Analytics wurde in den vergangenen Jahren so fortentwickelt, dass es in der aktuellen Gestaltung keine Auftragsverarbeitung mehr darstellt. Vielmehr räumt sich Google als Anbieter das Recht ein, die Daten auch zu eigenen Zwecken zu verwenden.“

 

Die Konsequenz hieraus ist, dass nach Ansicht der Aufsichtsbehörden Google LLC damit aktuell gegen seine eigenen Auftragsverarbeitungsbedingungen (Ziffer 5.2, Weisungsgebundenheit) verstoßen würde. Leider sind bislang aus dieser Auffassung keine sichtbaren Schritte seitens der Aufsichtsbehörden gegen Google LLC an die Öffentlichkeit gedrungen.

 

Website-Betreibern ist zu empfehlen, sich den Einsatz von Google Analytics gut zu überlegen. Zwar haben die Aufsichtsbehörden immer wieder beteuert, man werde sich zunächst an die Hersteller/Anbieter wenden, wenn diese für die Vertragsgestaltung verantwortlich sind (so zum Beispiel auch im Zusammenhang mit Microsoft), allerdings ist das datenschutzrechtliche Verhältnis zwischen Website-Betreiber und Google LLC zumindest ungeklärt und damit auch angreifbar.

 

S. Kieselmann

 

Senior Consultant Datenschutz

 

Dipl.sc.pol.Univ.

So ist es zumindest in der Datenschutzerklärung auf der Webseite zu lesen.

Es bleibt zu hoffen, dass zumindest die Daten der Webseitenbesucher geschützt sind, den aktuellen Medienberichten zufolge scheint dies für die Mitarbeiterdaten nicht ganz zuzutreffen. Zumindest hat der Landesdatenschutzbeauftragte von Hamburg, Johannes Caspar, ein Bußgeldverfahren eingeleitet, da sich der Verdacht massiver Verstöße gegen die Rechte der Beschäftigten erhärtet hat.

In einem exklusiven Interview mit der FAZ sprach Herr Caspar von systematischen Aufzeichnungen, die von Vorgesetzten über deren Mitarbeiter detailliert erstellt worden seien. Dabei wurden angeblich auch gesundheitliche Diagnosen, privaten Streitigkeiten oder Urlaubserlebnisse der Mitarbeiter festgehalten. Diese Informationen stammten aus offiziellen Gesprächen einerseits, seien aber auch mit „privat gewonnenen Informationen“ etwa aus Plauderrunden oder während Raucherpausen angereichert worden.

Dem Unternehmen H&M droht bei einem festgestellten Verstoß ein Bußgeld, welches sich am Umsatz des Konzerns orientiert. Nach eigenen Angaben lag dieser im Jahr 2018 bei 3,14 Milliarden Euro. Nach dem erst im November 2019 durch die Datenschutzkonferenz (DSK) veröffentlichten Bußgeldkonzept würde der Tagessatz für ein Bußgeld damit bei 8,7 Millionen Euro liegen. Dieser Tagessatz wäre dann – je nach Verstoß – mit einem Faktor zwischen 1 und 14,4, je nach Schwere des Verstoßes, zu multiplizieren. Falls die Daten sich wie behauptet tatsächlich ungeschützt und unverschlüsselt auf einem internen Laufwerk befanden, dürfte dies auch bei der Festlegung des Tagessatzes und damit bei der Festlegung des Bußgelds eine große Rolle spielen.

Sollten sich die Vorwürfe bewahrheiten und ein Millionenbußgeld verhängt werden, würde sich wieder einmal zeigen, dass es sich auch finanziell lohnt, den Datenschutz tatsächlich wichtig zu nehmen und schon im Vorhinein für einen ordnungsgemäßen Umgang mit den im Unternehmen vorhandenen personenbezogenen Daten zu sorgen. Die rechtzeitige Beauftragung von Datenschutzexperten und die notwendige Umsetzung der Vorgaben der DSGVO wäre mit Sicherheit günstiger gekommen.

C. Lürmann

Rechtsanwältin

Consultant für Datenschutz

Welche Bedeutung hat es für die Übertragung von Daten, wenn Großbritannien zum 31.01.2020 die Europäische Union verlassen wird?

 

Zunächst bleibt alles beim Alten. Bis zum 31.12.2020 wird Großbritannien so behandelt, als gehöre es noch zur EU. Diese sogenannte Übergangsphase dient dazu, das zukünftige Verhältnis zwischen den Partnern zu regeln. Zwar hat die EU Großbritannien die theoretische Möglichkeit einer Verlängerung der Übergangsphase um ein oder zwei Jahre bis maximal Ende 2022 eingeräumt. Diese Möglichkeit wurde allerdings durch das im britischen Unterhaus beschlossene Gesetz ausgeschlossen.

 

Ob und wie die endgültigen Regelungen getroffen werden, dürfte in den nächsten Monaten Gegenstand weiterer intensiver Verhandlungen sein. Die von der EU gewährte Verlängerungsoption muss bis Ende Juni 2020 durch Großbritannien in Anspruch genommen werden, ansonsten haben wir Ende 2020 dann doch eine ungeregelte Rechtslage. Andererseits wurden den Briten seitens der EU immer wieder Verlängerungen gewährt, so dass auch diesbezüglich noch alle Fragen offen sind. Es dürfte im Interesse von Großbritannien liegen, die Verhandlungen zügig zu führen, denn im Übergangszeitraum muss das Land weiterhin Beiträge zur EU zahlen, ohne jedoch ein Mitspracherecht zu haben.

 

Nach Ablauf des Übergangszeitraums ist Großbritannien dann aus datenschutzrechtlicher Sicht ein Drittstaat, für den die besonderen Regelungen der Art. 44 bis 49 DSGVO gelten. Um weiterhin unproblematisch den Datenaustausch zwischen den Partnern zu gewährleisten wäre es wünschenswert, wenn Großbritannien ebenso als „Drittland mit angemessenem Schutzniveau“ eingestuft würde wie etwa die Schweiz. Bis zum Ende der Übergangsfrist sollte die EU-Kommission über einen Angemessenheitsbeschluss gem. Art. 45 DSGVO entscheiden

 

Allerdings kann eine entsprechende Einschätzung durch die Kommission natürlich erst dann erfolgen, wenn bekannt wird, welche eigenen Datenschutzgesetze Großbritannien sich selbst geben wird, womit der erste Schritt wieder einmal durch die Briten gemacht werden muss.

 

Wir werden Sie weiter auf dem Laufenden halten.

 

C. Lürmann

 

Rechtsanwältin

 

Consultant für Datenschutz

Mit Spannung haben die Datenschützer in Europa auf den Dezember 2019 gewartet, sollte doch der Schlussantrag des Generalanwalts im Verfahren C-311/18 ein Indiz dafür geben, ob der Datenaustausch mit den USA weiterhin auf den Privacy Shield gestützt werden kann, ja ob der Privacy Shield an sich überhaupt die Qualität hat, die Daten der EU-Bürger in den USA sicher zu schützen.

Doch es kam anders.

Ausgangsfrage

Eigentlich geht es in dem Verfahren nämlich gar nicht um den Privacy Shield, sondern um die Standardvertragsklauseln gem. Beschluss 2010/87/EU. Der Beschwerdeführer Herr Schrems beruft sich im Wesentlichen auf die Unangemessenheit dieser vertraglichen Garantien unter Hinweis auf die Eingriffe in die Ausübung seiner Grundrechte, die sich aus der Tätigkeit der amerikanischen Nachrichtendienste ergeben. Daher sollte der EuGH in einer Vorabentscheidung prüfen, ob in den USA ein angemessener Schutz der Daten von Unionsbürgern sichergestellt ist und falls nicht, im Anschluss feststellen, ob dann ggfs. ein Rückgriff auf den Privacy Shield zulässig sei mit der Folge, dass dieser ebenfalls auf dem Prüfstand stünde.

Wirksamkeit der Standardvertragsklauseln

Der Generalanwalt stellte fest, dass die Standardvertragsklauseln nicht bereits dadurch unwirksam würden, weil diese die Behörden im Drittland nicht selbst zur Einhaltung der in den Standardvertragsklauseln niedergelegten Grundsätze verpflichten. Es müsse vielmehr untersucht werden, ob eine Pflicht für den Verantwortlichen oder die jeweilige Kontrollstelle (in der Regel die Aufsichtsbehörde) bestünde, die Übertragung auszusetzen oder zu verbieten, sofern die Standardvertragsklauseln aufgrund des Rechtes des Drittlandes nicht eingehalten werden könnten. Dies sei durch Art. 58 Abs. 2 litt. f) und j) DSGVO sichergestellt, so dass die datenschutzrechtlichen Belange der Unionsbürger ausreichend gewahrt seien. In der zu überprüfenden Entscheidung gehe es damit ausschließlich um die Frage, ob die irische Aufsichtsbehörde im konkreten Fall ihren Befugnissen zur Ergreifung von Maßnahmen korrekt nachgekommen sei. Konkret: Die irische Aufsichtsbehörde hätte die Befugnisse der nationalen Sicherheitsbehörden in den USA selbst abwägen sollen und je nach Ergebnis dann die Übermittlung der Daten erlauben oder verbieten können. Dies zu beurteilen, sei jedoch Aufgabe des vorlegenden Gerichts.

Wirksamkeit des Privacy Shields

Eine Entscheidung zur Wirksamkeit des Privacy Shields hält der Generalanwalt in diesem Verfahren folgerichtig nicht für notwendig, da der vorliegende Rechtsstreit ausschließlich die korrekte Anwendung der DSGVO durch die Irische Aufsichtsbehörde betreffe. Zudem verweist der Generalanwalt auf die offene Rechtssache T-738/16, eine Nichtigkeitsklage die Gültigkeit des Privacy Shields betreffend. Ob die Ausführungen, die der Generalanwalt hilfsweise in seinem Schlussantrag zur Wirksamkeit des Privacy Shields gemacht hat, dort ebenfalls Berücksichtigung finden werden, bleibt abzuwarten.

Pragmatismus

Bereits zu Beginn seiner Stellungnahme wies der Generalanwalt darauf hin, dass seine Analyse ein vernünftiges Maß an Pragmatismus enthalte, um die Interaktion mit anderen Teilen der Welt zu ermöglichen („reasonable degree of pragmatism in order to allow interaction with other parts of the world“). Es bleibt zu hoffen, dass das zweite Ziel, nämlich die Notwendigkeit, die in den Rechtsordnungen der EU anerkannten Grundwerte durchzusetzen, hierbei nicht auf der Strecke bleibt.

Im Lichte des Pragmatismus wäre es jedenfalls für die Rechtsanwender, die Unternehmen und die Datenschutzbeauftragten deutlich einfacher gewesen, der Generalanwalt hätte schon jetzt eine deutliche Empfehlung hinsichtlich der Wirksamkeit des Privacy Shields ausgesprochen. Stattdessen möchte er die konkrete Entscheidung, ob die Rechte von Unionsbürger in einem Drittland ausreichend gewahrt werden, und welche Maßnahmen im gegenteiligen Fall zu treffen sind, den mehr als 40 verschiedenen Datenschutz-Aufsichtsbehörden selbst überantworten.

Vielleicht hat der EuGH ja ein Einsehen mit den vor allem europaweit vertretenen Unternehmen, die sich gerne an die gesetzlichen Vorgaben halten möchten und denen es aus unserer Sicht nicht zugemutet werden kann, sich ggfs. je nach unterschiedlicher Auffassung der lokalen zuständigen Aufsichtsbehörde unterschiedlich zu verhalten.

Wir werden Sie wie immer über die aktuellen Entscheidungen auf dem Laufenden halten.

C. Lürmann

Rechtsanwältin

Consultant für Datenschutz

2 AZR 342/20 20 Mitarbeiter 20.04.2021 50 Millionen 72 Stunden A1 Digital Abbinder Abkommen Abmahnung Abmahnungen Abo-Falle Absenderinformationen irreführend Absicherung Abstandsmessung Abstandsüberwachung Abstimmung Abwehr terroristischer Straftaten ADCERT Adressbuch AfD ähnliche Betrugsmaschen Airbnb amerikanische Behörden Amnesty Anbieter Angemessenheitsbeschluss Angemessenheitsentscheid Angestellte Angreifer Angriff Anklage Anonymisierung Anschein Ansteckungsgefahr Anwendbarkeit Anwendung Anwesenheit Anwesenheitskontrolle AOK Apple Applikationen AppLocker Arbeitgeber Arbeitnehmer Arbeitsabläufe Arbeitsagentur Arbeitsgericht Arbeitsmittel Arbeitsrecht Arbeitsschutzverordnung Arbeitsunfähigkeitsbescheinigung Arbeitsverhältnis Arbeitszeit ArbGG Art 6 und 9 DSGVO Art. 13 DSGVO Art. 17 DSGVO Art. 25 DSGVO Art. 26 DSGVO Art. 28 DSGVO Art. 32 DSGVO Art. 37 DSGVO Art. 4 Nr. 12 DSGVO Art. 45 DSGVO Art. 8 MRK Art. 9 DSGVO Attacken Auchfsichtsbehörde Audit Aufsichtsbehörde Aufsichtsbehörden Auftragsverarbeiter Auftragsverarbeitung Auftragsverarbeitungsvertrag Aufzeichnung Auskunft Auskunftei Auskunftsanspruch Auskunftsansprüche Auskunftsrecht Auskunftsverlangen Ausländerbehörde auslisten Ausnutzung Ausspähen Austritt Austrittsabkommen Auswertung Authentizität Automatisierte Einzelentscheidung Autsch Avast Backup Baden-Württemberg BAG Bankkonto Base64 Decodierer BayDSG Bayerisches Datenschutzgesetz BDSG BDSG-Neu Beamte BEAST Bedrohung Beekeeper Befunde Begrifflichkeiten Beherbergungsstätten Bekanntwerden BEM Benachrichtigungspflicht Benutzerauthentifizierung Berechtigungen Berichte Bertroebrätemoderniesierungsgesetz Berufsgeheimnis Beschäftigte Beschäftigtendaten Beschäftigtendatenschutz Beschäftigtenumfragen Beschluss Beschlussfassung Beschwerde besondere Kategorien personenbezogener Daten Besucherdaten Betreff passt nicht betriebliche Eingliederungsmanagement betriebliche Nutzung betrieblicher Datenschutzbeauftrage betrieblicher Datenschutzbeauftragter betrieblicher E-Mail-Account betrieblicher Internetzugang Betriebsrat Betriebsratssitzung Betriebsratsvorsitzende Betriebsvereinbarung Betriebsverfassungsgesetz Betriebsversammlungen betroffene betroffene Person betroffene Personen Betroffenenanfragen Betroffenendaten Betroffenenrechte Betrüger Betrugsmasche BetrVG Bewegungsprofil Bewerberdaten Bewerberportal BfDI BGH Bildaufnahmen Bildberichterstattung Bilder Bildersuche Bildrecht Bildrechte Binding Corporate Rules biometrische Daten Biometrische und genetische Daten Bitcoins Bitkom BKA Black- bzw. Whitelisting Technologie Bonität Bonitätsprüfung Bounty Brexit Britische Datenschutzbehörde Browser BSI Bug-Bounty-Programm Bund Bundesamt für Sicherheit Bundesamt für Sicherheit in der Informationstechnik Bundesarbeitsgericht Bundesdatenschutzbeauftragter Bundesfinanzministerium Bundesgesundheitsministerium Bundeskartellamt Bundesnetzagentur Bundesregierung Bürokratieentlastungsgesetz Bußgeld Bußgeldbehörden Bußgelder Bußgeldverfahren BVG C-311/18 Callcenter Caller ID Spoofing Cambridge Analytics Captcha-Funktion CEO-Fraud Citizen-Score Cloud Cloud-Lösung CNIL Compliance Computer Cookie Cookies Corona Corona Testangebot Coronavirus Corporate Design COVID-19 COVID-19-Hilfen CovidLock Malware Coworking-Spaces Cross Site Scripting Custom Audience CVE-2020-1456 CVE-2020-35753 CVE-2021-26857 CVE-2021-26858 CVE-2021-27065 Cyber Cyber-Attacken Cyberangriffe Cyberkriminalität Cyberkriminelle Cybersicherheit Cyble c`t Darknet Dashcam data breaches data protection officer Daten Daten-für-alle-Gesetz Datenabflüsse Datenaustausch Datenerhebung Datenklau Datenlöschung Datenminimierung Datenmonopol Datenpanne Datenpannen Datenschutz Datenschutz Grundverordnung Datenschutz und Informationsfreiheit Datenschutz- und Informationssicherheitsbeauftragten Datenschutz-Folgenabschätzung Datenschutz-Keule Datenschutz-Schulungen Datenschutzabkommen Datenschutzaufsichtsbehörde Datenschutzaufsichtsbehörden Datenschutzauskunft-Zentrale Datenschutzbeauftragte Datenschutzbeauftragten Datenschutzbeauftragter Datenschutzbehörde Datenschutzerklärung Datenschutzgesetz Datenschutzgrundsätze Datenschutzgrundverordnung Datenschutzkonferenz datenschutzkonform Datenschutzmanagement Datenschutzmängel Datenschutzniveau Datenschutzpanne Datenschutzprinzipien Datenschutzvereinbarung Datenschutzverletzung Datenschutzverletzungen Datenschutzverordnung Datenschutzverstöße Datenschutzverstößen Datenschutzvorfall Datensicherheit Datentranfer in Drittstaaten Datentransfer Datenübermittlung Datenübermittlung an Dritte Datenübermittlung in Drittstaaten Datenübertragung Datenverarbeitung Datenverarbeitungsprozesse Dating Dating-Portale Denial of Service Deutsch deutsch Deutsche Bahn Deutsche Bundesbank deutsche Telemediengesetz Deutsche Wohnen Deutsche Wohnen SE Diagnose Diebstahl Dienste Diensteanbieter Dienstleister Diesel-Fahrverbot Dieselfahrverbot Dieselskandal Direktwerbung Dispokredit Do not track-Funktion Dokumentation Donald Trump Dritter Drittland Drittlandtransfers Drittstaat Drittstaat ohne angemessenes Datenschutzniveau Drittstaaten Drohung DSAnpUG-EU DSDVO DSFA DSG DSGVO DSGVOÜberwachungstool DSK DSV DSVGO Durchsuchung Dynamic Data Exchange Protokoll dynamische IP-Adresse E-Mail E-Mail-Kampagnen E-Mail-Kommunikation e-Privacy-Verordnung E-Rechnung eCall-Technologie EDÖB EDPB eDSB EES EFAIL ehrenamtlich tätiger Vereine Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte eigenes Unternehmen Eigentum Einhaltung Einschränkungen Einsichtnahme Einwilligung Einwilligungserklärung Einwilligungserklärungen Einzelfall elektronische Kommunikation elektronische Patientenakte Empfänger Empfehlungen Empfehlungen für Transfer- und Überwachungsmaßnahmen Ende-zu-Ende Ende-zu-Ende-Verschlüsselung Englisch ENISA Entlastung Entsorgung ePA ePrivacy ePVO Erfassung Ergebnisliste Erhebung Erhebung personenbezogener Daten Erhebungsverbot erhöhter Kundenkontakt Ernährung Erwägungsgrund 48 der DSGVO eSafety-Initiative Essenswünsche Ethik ETIAS EU EU Kommission EU-Bürger EU-Datenschutz-Grundverordnung EU-Datenschutzgrundverordnung EU-Mitgliedsstaaten EU-Parlament EU-Richtlinie EU-Standardvertragsklauseln EU-Vertreter EuGH Euratom Europa Europäische Atomgemeinschaft Europäische Aufsichtsbehörde Europäische Kommision Europäische Kommission Europäische Union europäischen Vorschriften Europäischer Gerichtshof European Data Protection Board EWR Exchange-Servern externe Quellen Extra-Bezahlung Extra-Kosten Facebook Facebook-Fanpages Facebook-Pixel Fachbereich Fahrzeugdaten Fahrzeuge Falschmeldung Fanpage Fanpagebetreiber Faxgerät FBI FDPIC Feedback fehlende TOM Fehler Fernmeldegeheimnis Festplatte Finanzamt Finanzsektor Fingerabdruck Fingerabdruckscanner Fingerabdrucksystem Firmensitz FlugDaG Fluggast Fluggastdaten Fluggastdatengesetz Folgenabschätzung Formalien Foto Foto-Funktion Fotos auf der Webseite ohne die Einwilligung Framework freiwillig Frist Fristbeginn fristlose Kündigung Führungsperson Funkmäuse Funktastaturen Fürsorgepflicht GCP GDPR Geburtsdaten gefährdet gefälscht Email Gehaltsvorstellung Geheimhaltung Geldbörse Geldbußen Geldstrafe Geldsumme Gemeinsam Verantwortliche Gericht Gerichtsbeschluss Gesellschaft für Informatik Gesetz Gesetz gegen den Unlauteren Wettbewerb Gesetz gegen Wettbewerbsbeschränkungen gestohlen gesundheitsbedingten Abwesenheit Gesundheitsdaten Gewährleistung ginlo Business Google Google Analytics Google IAP GPS grenzüberschreitend Groß-Britannien Großbritannien Grundrechte Grundrechtsabwägung Grundrechtseingriffen Grundsatz der Zweckbindung GWB H & M H&M Hack hack day Hackathon hacken Hacker Hackerangriff Hackerangriff auf Microsoft Exchange-Server hackfest halal Handelsabkommen Handy-Tracking Hash-Verfahren Hausverwaltung Head of Cyber Security Architectur Health Checks Hilfestellung Hinweisgeber Hoccer höchstpersönlich Höchstvermietungsdauer Home Office Home-Office Homeoffice Homepage Hygiene Identitätsdiebstahl Immobilienmakler Incident Response Incident Response Modus Infektionsrisiko Infomationen Information Informationen Informationsfreiheit Informationspflicht Informationspflichten Informationssicherheit Informationssicherheitsbeauftragte Infrastruktur Inhalteanbieter INPS Insights Insolvenzmasse Insolvenzverfahren Insolvenzverwalter Installation Integrität Interessenkonflikt internationaler Datentranfer interne Informationen interner Datenschutzbeauftragter Internet Intrusion-Prevention-Systeme Investition iOs-App IP-Adresse iPad iPhone IPS Irland ISO/IEC 27001 IT Governance IT GRC IT-Abteilung IT-Forensik IT-forensische Untersuchung IT-Mitarbeiter IT-Security IT-Sicherheit IT-Systeme Italien ITSECX Jahresbericht Japan Jin-hyok Joint Control Kameras Kanada Kenntnis Kennzeichen-Scan Keynote Klagebefugnis Klingelschilder KNLTB kollektive Daten Kommune Kommunikation Kommunikationsmedium Konferenz konkrete Handlung Kontaktaufnahme trotz Löschungsverfahren Kontaktbeschränkungen Kontaktdaten Kontakte Kontaktpersonen Kontaktsperre Kontrolle Konzern konzerninterner Datentransfer Kooperation mit der Aufsichtsbehörde Kooperationsabkommen Körpertemperatur KoSIT Krankenkasse Krankenkassen Krankheit Kriminalität Kriminelle Krise KUG Kunden Kundenbindung Kundenzufriedenheit Künstliche Intelligenz Kunsturhebergesetz Kurzarbeit Landesarbeitsgericht Landesbeauftragte Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg Landesbeauftragte für den Datenschutz Landesdatenschutzbeauftragten Landesdatenschutzgesetz Landesverband Landgericht Landgericht Berlin Laptop Lazarus Leads Work Limited Lebensweise Lehrer Leistungs- und Verhaltenskontrolle Leitungspersonen LfD LfDI Baden-Württemberg LfDI BW Like-Button Link geklickt Link klicken Link öffnen LLC Löschpflicht Löschung personenbezogener Daten Löschungsrecht Löschungsverfahren Löschverlangen Lösegeld Machtposition Mail Makler Malware Mängel Manipulation eines Request Manipulation eines Requests Manipulation von Requests Markennamen Markenrecht marktbeherrschende Stellung Marktforschung Marktortprinzip Maßnahmen MD5 Meldebehörde Meldepflicht meldepflichtige Krankheit Meldeportal Meldescheine Meldesystem Meldevorhaben Meldung Meltdown Menschenrecht Menschrechtsverletzungen Messenger Messung Microsoft Microsoft Office Mieter Mieterdaten Mietverhältnis Minutien Misch-Account Missbrauch Missbrauch von Kundendaten missbräuchlich Mitarbeiter Mitbestimmung Mitbestimmungsrecht Mitbewerber Mitglieder Mitgliedsstaaten Mitwirkung Mobiltelefon MouseJack-Angriffe Nachverfolgung Nationale Institut für Sicherheit Nationale Schule für Justiz natürliche Person Nebenjob Nebentätigkeit Netzwerklabor Neutrale Schule nicht datenschutzkonform Niederlande Niedersachsen NIST No-Deal-Brexit Nordkorea Notebook notebooksbilliger.de Nutzer Nutzung Nutzungsbedingungen Oberlandesgericht Düsseldorf öffentliche Stelle Office Office 365 Öffnungsklauseln OLG OLG Stuttgart One Stop Shop One-Stop-Shop Online Online-Dienste Online-Gewinnspiel Online-Kommunikationstools OpenPGP Opfer organisatorische Absicherung Original oder Betrug Österreich Pandemie Pandemiebekämpfung Papierrechnung Passenger Name Records Passwort Passwort-Sicherheit Passwörter Passwörter. 2016 Passwortfilters Passwortregeln Passwortschutz Patientendaten Penetration Tests Penetrationstest Penetrationstests Persis Online personal data Personalabteilung Personalausweiskopien Personalfragebogen Personalverantwortliche personenbezogene Daten personenbezogenen Daten Personenbilder persönliche Daten Persönlichkeitsrecht Persönlichkeitsrechte Persönlichkeitsverletzung Pflichten Pharmalobbyist Phishing Phishing-Kampagnen Phishing-Mail Phishingmail Phising Plattformbetreiber PNR-Daten PNR-Instrumente Polizei POODLE Power Query Powershell-Skript PowerShell-Umgebung Prävention Praxistipps Privacy by Default Privacy by Design Privacy Shield privat private Endgeräte private Handynummer private Mobilfunknummer private Telefonnummer Privatleben Privatnutzung Privatnutzungsverbot Privatspäre Privatsphäre Problem Produktivitätswert Profiling Prozesskosten Quantencomputer Quarantäne Ransomware reale Infrastruktur Rechenzentren Rechenzentrum Recht am eigenen Bild Recht auf Achtung des Privat- und Familienlebens Recht auf Berichtigung Recht auf Datenübertragbarkeit Recht auf Einschränkung Recht auf Löschung Rechte Rechte der betroffenen Person Rechte der betroffenen Personen Rechtmäßigkeitsvoraussetzungen Rechtsabteilung Rechtschreibung fehlerhaft rechtswidrig Referenten Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien Regelungsaufträge Reichweitenanalyse Reputationsschaden Research Research Team Risiken Risiko Risikobewusstsein Risikogruppen Risikomanagement Risk & Compliance Management Robert-Koch-Institut Rufschädigung Ruhezeiten S/MIME SamSam Sanktion Sanktionen SCC Schaden Schadensersatz Schadensersatzanspruch Schadprogramm Schadsoftware Schmerzensgeld Schnelltest Schrems II Schufa Schüler Schulung Schulungsplattform Schutz Schutz der Privatsphäre schützenswert Schutzmaßnahmen Schutzniveau schutzwürdige Interessen Schwachstelle Schwachstelle in Google Cloud Plattform Schwachstellen Schweiz SDSG second line of defense Security by Design Seitenbetreiber Self-XSS Sensibilisierung SHA1 SharePoint sicher Sicherheit Sicherheits- und Datenschutzmängel Sicherheitslücke Sicherheitslücken Sicherheitsmängel Sicherheitsstandards Sicherheitsvorfall Sicherheitsvorfälle kritische Infrastrukturen IT-Sicherheitsbeauftragten ISMS Sicherheitswarnung des BSI Sicherung der Daten Siegel Signal Signatur Sitzbereiche Sitzungen Skype Smartphone Social Media Inhalt Social Plugin sofort Handeln Software Software-Entwicklung Sony Sony PSN Soziale Netzwerke soziale Netzwerke Spammails SPD Spectre Speicherdauer Sponsoren Sprache Sprachkenntnis Standarddatenschutzklauseln Standardschutzklauseln Standardvertragsklauseln Standort Statistik Tool Steuer Steuerberater Strafe Strafen Straftaten Strafverfolgung Stresssituation Studenten Suchanfrage Suchdienst Suchmaschine Supercomputer Risikolage supervisory authority Support Swiss IT Security Gruppe Swiss- U.S. Privacy Shield Swiss-US Privacy Shield Synergiepotenziale Systemadministrator Tathandlung Technische & organisatorische Maßnahmen technische & organisatorische Maßnahmen Technische Absicherung Technische und organisatorische Maßnahmen technische und organisatorische Maßnahmen Telefax Telefonanruf Telefonat Telefonnummer Telefonwerbung Telekommunikation-Telemedien-Datenschutzgesetz Telekommunikationsgesetz Telemarketing Telemediendienst Telemediengesetz Teleselling Telstra Security Report Tennisclub Testangebot Testpflicht Threema Work TIBER TIBER-DE TKG TLS TMG TOM Tools Totalrevision Tracking Tracking Tools Tracking-Tools Transfer- und Überwachungsmaßnahmen Transportkontrolle Transportverschlüsselung TTDSG Twitter Übergangsfrist Übergangsphase Übermittlung personenbezogener Daten Übernahme Übertragung Überwachung Überwachungssoftware Überweisung ins Ausland überzogen Umfrage Umsetzungsfrist Unberechtigte Datenabfrage unerlaubt Unionsbürger unpersonalisierter Benutzer-Account unterlassen Sicherungsmaßnahme Unterlassungsanspruch Unternehmen Unternehmensgröße Unternehmensgruppe Unternehmensnetzwerk Unternehmenssprache unverschlüsselt unverschlüsselter E-Mail Anhang Unwirksamkeit unzulässig Update Urlaub Urteil Urteil BAG 27.04.2021 - 2 AZR 342/20 US-Behörden US-Regierung USA UWG Vegan Vegetarier Verantwortlichen Verantwortlicher Verantwortung Verarbeitung Verarbeitung von Mieterdaten Verarbeitungsverbot Verbot Verbraucher Verbraucherzentralen Verdachtsfälle Vereinbarung Vereinigte Königreich Vereinigtes Königreich Großbritannien und Nordirland Verfahren Verfahren C-311/18 Vergessenwerden Verhaltensweise Verkaufsraum Verlängerung Verletzung der Meldepflicht verloren Verlust Vermieter Vermietung Vernichtung von Datenträgern Veröffentlichung Verordnung (EU) 2015/758 verschlüsseln Verschlüsselte E-Mails Verschlüsselung Verschlüsselungsverfahren Versicherte Verstoß Verstöße Vertrag zur Auftragsverarbeitung Vertragsanbahnung Vertrauen Verwaltungsakt Verwaltungsgericht Karlsruhe VG Mainz Video-Kommunikation Videokamera Videokonferenz Videokonferenzen Videokonferenzsysteme Videoüberwachung Videoüberwachung der Beschäftigten Virtual Private Network Virus Vishing Vodafone Voraussetzungen Voreinstellungen Vorgesetzte Vorsicht Vorteile Wachstum WAF WannaCry Warnung Web-Applikation-Firewalls Webcast Webseite Webseiten Webseitenbesucher Webseitenbetreiber Website Website-Betreiber Webtracking Webtrecking weisungsunabhängig Weiterempfehlung von Stellenausschreibungen Weitergabe Weitergabe an Dritte Weiterleitung E-Mail Weltanschauung Werbe SMS ohne Einwilligung Werbeaussage Werbezwecke Werbung Wettbewerb Wettbewerbsrecht wettbewerbsrechtliche Abmahnung Wettbewerbsverstöße WhatsApp Whistleblower Whistleblowing Widerruf Widerrufsrecht Widerspruchsrecht Wien Windows Wire Enterprise Wirklichkeitsmodell Wohnung Workplace Analytics X-Rechnung Xing XSS Youtube Zahlungsverkehr Kontrollmechanismen Zeitdruck Zeiterfassung zentralisierte Verwaltung Zertifikat Zertifizierung Zoom Zoom Video Zugang zu Daten Zugangsdaten Zugriff Zugriffsmöglichkeiten Zugriffsrechte Zugriffsverwaltung Zukauf zulässig Zulässigkeit zusätzliche Maßnahmen Zusatzschutz zuständig Zwangsgeld Zweck Zweckbindung Zweckbindungsgrundsatz § 15 TMG § 26 BDSG-Neu § 26 Bundesdatenschutzgesetz § 32 BDSG § 32 DSGVO § 35 BDSG-Neu § 38 BDSG-Neu § 3a UWG § 42a BDSG § 42b BDSG § 88 TKG

Tags

Mo Di Mi Do Fr Sa So
      1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30 31