Home / Aktuelles & Termine / it.sec blog

 

Während der Arbeit in der Corona-Krise müssen oft viele Informationen schnell ausgetauscht werden. Dazu kommt, dass viele Mitarbeiter im Home Office arbeiten und die Umstellung darauf unter Umständen sehr schnell erfolgte. Das erhöht die Gefahr einer Datenschutzverletzung, d.h. von Vernichtung, Verlust, Veränderung, unbefugter Offenlegung oder unbefugtem Zugang zu personenbezogenen Daten.

 

Allgemein gilt: Sie sollten immer gewissenhaft mit personenbezogenen Daten wie beispielsweise Namen und Adressen umgehen. Seien Sie besonders vorsichtig beim Umgang mit sensiblen Daten wie Gesundheitsdaten, Daten über politische Meinungen oder zu religiösen oder weltanschaulichen Überzeugungen.

 

Hier sind noch einige organisatorische Tipps, die Ihnen dabei helfen sollen personenbezogene Daten zu schützen und Datenschutzverletzungen zu vermeiden:

 

  • Beachten Sie bei der Erstellung neuer Formulare alle Sicherheitsmaßnahmen, damit personenbezogene Daten sicher aufbewahrt und nicht unbeabsichtigt weitergegeben werden können.
  • Stellen Sie bei der Verwendung von Vorlagen zur Erfassung personenbezogener Daten sicher, dass stets eine leere/unbenutzte Vorlage ausgegeben wird.
  • Benutzen Sie komplexe Passwörter und für jeden Dienst/jede Anwendung ein eigenes Passwort. Dabei können Sie unterstützend ein Passwort-Verwaltungsprogramm einsetzen.

 

Bei der Arbeit im Home Office sollte folgendes beachtet werden:

 

  • Weisen Sie Ihre Mitarbeiter im Home Office darauf hin, dass auch weiterhin auf einen sicheren E-Mail-Versand geachtet werden muss, d.h. insbesondere: Kontrolle der Empfänger und Anhänge und Verwendung der BCC-Funktion.
  • Bei der Arbeit im Home Office mit personenbezogenen Daten, für die der Arbeitgeber verantwortlich ist, muss die Sicherheit der Daten an diesen Verarbeitungsstandorten ebenso gewährleistet sein. Es muss sichergestellt sein, dass keine unbefugte Einsichtnahme auf den Bildschirm oder in Papier-Unterlagen durch Dritte stattfinden kann – das umfasst auch Familienmitglieder oder Mitbewohner!

 

Sollte es dennoch zu einer Datenschutzverletzung kommen, melden Sie diese unverzüglich Ihrem Datenschutzbeauftragen, damit dieser eine Risikoabwägung durchführen kann und ggf. eine Meldung der Datenschutzverletzung innerhalb der Frist des Art. 33 DSGVO an die Aufsichtsbehörde erfolgen kann.

 

 

 

Working during the corona crisis, a lot of information often has to be exchanged quickly. In addition, many employees now work from home and the transition to it may have taken place very quickly. This increases the risk of a data breach, i.e. the accidental or unlawful destruction, loss, alteration, unauthorised disclosure of, or access to, personal data.

 

In general, you should always handle personal data such as names and addresses conscientiously. Be especially careful when handling sensitive data such as health data, data on political opinions or on religious or ideological beliefs.

 

Here are some organizational tips to help you protect personal data and prevent data protection violations:

 

  • When creating new forms, take all security measures to ensure that personal data is kept secure and cannot be inadvertently disclosed.
  • When using templates to enter personal data, ensure that an empty/unused template is always output.
  • Use complex passwords and a separate password for each service/application. You may use a password management program to help you do this.

 

The following should be observed when working in the home office:

 

  • Point out to your home workers that they must continue to ensure secure e-mail transmission, in particular by checking the recipients and attachments and using the BCC function.
  • When working from home with personal data for which the employer is responsible, the security of the data at these processing locations must also be guaranteed. It must be ensured that no unauthorised access to the screen or to paper documents by third parties can take place - this includes family members or flatmates!

 

Should a data breach occur nevertheless, please report it immediately to your data protection officer so that he can weigh up the risks and, if necessary, report the data breach to the supervisory authority within the period stipulated in Art. 33 GDPR.

 

 

Julia Eisenacher
Juristin (Univ.)
Consultant für Datenschutz

Der Einsatz von WhatsApp wird von den Aufsichtsbehörden nach wie vor als kritisch eingestuft, weswegen diese in Unternehmen davon abraten. Wir haben uns nach datenschutzfreundlichen Alternativen zu WhatsApp umgesehen und Informationen der nachfolgenden Messengerdienste zu ihren Funktionen und den Angaben der Betreiber zum Datenschutz zusammengefasst.

 

Threema Work

 

Threema Work ist ein Messengerdienst aus der Schweiz, der speziell auf die Nutzung in Unternehmen zugeschnitten ist. Threema Work ist eigenen Angaben zufolge DSGVO-konform.

 

Bei Threema Work müssen keine personenbezogenen Daten (z.B. E-Mail-Adresse oder Handynummer) angegeben werden und es kann ohne Zugriff auf das Adressbuch genutzt werden. Es wird lediglich eine zufällig generierte ID vergeben (sog. Threema-ID), unter der man anderen Nutzern angezeigt wird. Man kann jedoch seinen eigenen Namen angeben. E-Mail-Adressen und Telefonnummern des lokalen Adressbuchs können zum Abgleich anonymisiert („gehasht“) an Threema übermittelt werden und werden umgehend wieder von den Servern gelöscht.

 

Die gesamte Kommunikation ist Ende-zu-Ende verschlüsselt und auch die auf dem Endgerät gespeicherten Chats und Medien sind mit AES-256 (256 Bit Schlüssellänge unter Android) verschlüsselt.

 

Auch seitens der Aufsichtsbehörden wird Threema als gute Alternative empfohlen.

 

Signal

 

Bei Signal muss der Nutzer die eigene Telefonnummer und einen Nutzernamen angeben. Als Nutzername ist aber auch ein Pseudonym ausreichend. Man kann Signal Zugriff auf das Adressbuch gewähren, damit andere Signal-Nutzer angezeigt werden, oder die Telefonnummern händisch eingeben. Beim Abgleich mit dem Adressbuch werden die Kontakte anonymisiert und danach wieder von den Servern gelöscht.

 

Die Chats sind Ende-zu-Ende verschlüsselt. Signal ist Open Source, d.h. die Software ist transparent und kann überprüft werden. Das Unternehmen sitzt in den USA.

 

Seit Februar 2020 ist Signal die empfohlene Anwendung für öffentliches Instant-Messaging in der Europäischen Kommission.

 

Hoccer

 

Bei Hoccer, einem Messengerdienst aus Deutschland, müssen keine personenbezogenen Daten (wie z.B. Telefonnummer oder E-Mail-Adresse) angegeben werden. Dem Nutzer wird eine zufällige Identifikationsnummer zugewiesen durch die er sich mit anderen Nutzern verbinden kann, Hoccer kann also anonym genutzt werden. Hoccer greift auch nicht auf das Adressbuch zu. Alle Informationen werden verschlüsselt an deutsche Server übermittelt und danach gelöscht.

 

Es ist jedoch unklar, ob Hoccer weiterentwickelt wird, da die aktuelle Version aus dem Jahr 2018 (Android) bzw. 2017 (iOS) stammt. Unter diesem Gesichtspunkt können wir Ihnen die Nutzung von Hoccer momentan nur eingeschränkt empfehlen.

 

Wire Enterprise

 

Wire Enterprise ist ein Dienst, der speziell auf die Kommunikation in Unternehmen zugeschnitten ist. Zur Anmeldung muss eine E-Mail-Adresse angegeben werden, ein Zugriff auf das Adressbuch ist nicht erforderlich. Neben der Nutzung des Messenger-Dienstes besteht auch die Möglichkeit, über VoIP zu telefonieren. Wire kann sowohl auf Smartphones, Tablets als auch auf Desktop-Geräten genutzt werden.

 

Die gesamte Kommunikation ist Ende-zu-Ende verschlüsselt. Wire ist Open Source, d.h. die Software ist transparent und kann überprüft werden. Das Unternehmen sitzt in der Schweiz und hat seine Server in der EU.

 

ginlo Business

 

ginlo Business ist eine Version des Messenger-Dienstes für Unternehmen, die auch auf Desktop-Geräten genutzt werden kann. Es können Einzel- oder Gruppenchats und Channels für eine unternehmensweite Kommunikation erstellt werden. Die Chats sind auf bis zu 10 Geräten gleichzeitig verfügbar. Die gesamte Kommunikation ist Ende-zu-Ende verschlüsselt und die Serverstandorte in Deutschland sind mit ISO 27001 zertifiziert.

 

Beekeeper

 

Der Messengerdienst Beekeeper richtet sich speziell an Unternehmen. Für die Anmeldung ist keine E-Mail-Adresse erforderlich, es ist eine einfache Anmeldung über QR-Codes möglich. Beekeeper kann sowohl auf mobilen Endgeräten als auch auf Desktop-Geräten genutzt werden.

 

Dokumente, Links und Bilder können einfach gespeichert und freigegeben werden, es können News Streams eingerichtet werden und Mitarbeiterumfragen durchgeführt werden. Der Dienst arbeitet mit ISO 27001 zertifizierten Rechenzentren.

 

Fazit

 

Es gibt einige datenschutzfreundliche Messengerdienste auf dem Markt, die sich für den Einsatz im Unternehmen eignen. Eine vollständige datenschutzrechtliche Prüfung kann und soll dieses Merkblatt aber nicht ersetzen. Binden Sie bei der Einführung immer den Datenschutzbeauftragten mit ein.

Julia Eisenacher
Juristin (Univ.)
Consultant für Datenschutz

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit, Maja Smoltczyk, hat am 3. April 2020 ihren Jahresbericht für das Jahr 2019 vorgelegt.

 

Besonders erwähnenswert ist in diesem Zusammenhang das bisher höchste Bußgeld in der Bundesrepublik Deutschland unter der DSGVO. Dieses wurde wegen Verstößen im Zeitraum Mai 2018 bis März 2019 gegen die Deutsche Wohnen SE verhängt. Sie hatte umfangreiche Datensätze mit sensiblen Dokumenten wie Ausweiskopien oder Arbeitsverträgen entgegen der gesetzlichen Verpflichtung nicht gelöscht und war auch einer diesbezüglichen Aufforderung der Aufsichtsbehörde aus dem Jahr 2017 nicht nachgekommen. Die Höhe des verhängten Bußgeldes beträgt stolze 14,5 Millionen Euro. Der gesamte mögliche Bußgeldrahmen von 28 Millionen Euro wurde allerdings nicht ausgeschöpft. Die Deutsche Wohnen hat Einspruch gegen den Bußgeldbescheid eingelegt. Eine endgültige Entscheidung der Aufsichtsbehörde bzw. die mögliche gerichtliche Klärung stehen noch aus.

 

Die dienstliche Nutzung von Messenger-Apps ist immer noch ein Thema. Hier sollte die Bereitstellung eines dienstlichen Messengers erwogen werden, um Probleme zu vermeiden. Das automatische Auslesen des gesamten Adressbuchs ist nach wie vor ein Problem bei WhatsApp (Facebook). Vor allem sollten niemals vertrauliche Dokumente in WhatsApp-Gruppen geteilt werden.

 

Künstliche Intelligenz bzw. maschinelles Lernen birgt Risiken für die Persönlichkeitsrechte. Diese Risiken bestehen insbesondere in der systematischen Diskriminierung von Bevölkerungsgruppen im Rahmen intransparenter und voreingenommener Entscheidungsprozesse ohne menschliche Eingriffsmöglichkeit. Dahingehende Bemühungen von Unternehmen sind also unbedingt frühzeitig durch die Verantwortlichen mit dem Datenschutzbeauftragten abzustimmen.

 

Die Anfertigung von Fotos für den Zutritt zu Coworking-Spaces lässt sich nicht allein zur Gefahrenabwehr und Beweissicherung rechtfertigen. Wenn mildere Mittel wie das Erfassen der Personalien mittels einer Besucherliste zur Verfügung stehen, ist ein solches Vorgehen unzulässig.

 

Nach Beendigung des Beschäftigungsverhältnisses sind personenbezogene Daten zu löschen, wenn dem keine zwingenden Aufbewahrungspflichten entgegenstehen. Insbesondere bei auf der Homepage eingestellten Fotos und Informationen zum persönlichen Werdegang ist erhöhte Aufmerksamkeit geboten!

 

Bei Betroffenenanfragen muss der jeweils Verantwortliche - also das Unternehmen - sicherstellen, dass diese weitergeleitet und beantwortet werden. Die Aufsichtsbehörde stellt klar, dass mangelnde interne Organisation keinen Entschuldigungsgrund darstellt.

 

Gesundheits-Apps verarbeiten regelmäßig besonders sensible personenbezogene Daten. Speziell bei cloud-basierter Verarbeitung dieser Daten wird sich die Berliner Datenschutzbeauftragte künftig genaue Konzepte zu den technischen Schutzmechanismen vorlegen lassen.

 

Sobald die Übergangsphase für den Brexit endet (voraussichtlich mit Ablauf des Monats Dezember 2020), sind Datenflüsse in das Vereinigte Königreich vertraglich neu abzusichern. Eine Möglichkeit sind z.B. die von der EU-Kommission bereitgestellten Standardvertragsklauseln.

 

Wir werden unseren Kunden hierzu noch ein ausführlicheres Merkblatt zur Verfügung stellen. Bleiben sie gesund und achten Sie auf Ihre personenbezogenen Daten!

 

Florian Strutwolf
Justiziar | M.A.
Consultant für Datenschutz

Die Niederländische Datenschutzbehörde hat gegen den Tennisclub KNLTB ein Bußgeld in Höhe von 525.000 Euro verhängt, weil dieser Daten seiner Mitglieder an Sponsoren verkauft hat.

 

Ein Sponsor erhielt ca. 50.000 Datensätze, ein anderer Sponsor sogar ca. 300.000 Datensätze. Übermittelt wurden u.a. Vor- und Nachname, Adresse, E-Mail-Adresse, Geschlecht, Telefon- und Handynummer und Geburtsdatum der Mitglieder. Einige Monate vor der Weitergabe der Daten, kündigte der Tennisclub seinen Mitgliedern dies in seinem Newsletter und auf der Webseite an und wies darauf hin, dass die Mitglieder der Weitergabe widersprechen können.

 

Daraufhin wurden die Mitglieder postalisch und in ca. 40.000 Fällen auch telefonisch vom Sponsor kontaktiert.

 

Der Tennisclub rechtfertigte die Weitergabe der Daten damit, dass dies einen Mehrwert für die Mitglieder schaffen sollte (z.B. in Form von tennisbezogenen und anderen Angeboten) und dadurch außerdem die sinkenden Einnahmen wegen rückläufiger Mitgliederzahlen ausgeglichen werden sollten.

 

Dies erkannte die Niederländische Datenschutzbehörde nicht als ausreichend an, sondern sah darin eine unerlaubte Weitergabe von Daten und damit ein Verstoß gegen die DSGVO. Die Datenschutzbehörde wertete die Handlungen des Tennisclubs als schweren Verstoß. Der Tennisclub habe sich insbesondere nicht ausreichend informiert.

 

Die Entscheidung ist noch nicht rechtskräftig, der Tennisclub hat bereits angekündigt, Rechtsmittel einlegen zu wollen.

 

Die Weitergabe von Daten bedarf immer einer rechtlichen Grundlage gemäß Art. 6 DSGVO. Als eine solche kommt vorliegend lediglich eine Einwilligung in Betracht, die jedoch ausdrücklich, informiert und freiwillig erteilt werden muss. Ein bloßer Hinweis auf ein bestehendes Widerspruchsrecht, das aktiv ausgeübt werden muss, weil ansonsten das Schweigen als Einwilligung gewertet wird, ist nicht ausreichend und zulässig!

 

Ein weiteres Beispiel, dass uns zeigt, dass die Rechtsgrundlage für die Datenverarbeitung immer sorgfältig abgewogen werden muss. Binden Sie vor solchen Aktionen immer Ihren Datenschutzbeauftragten mit ein, um hier auf der sicheren Seite zu sein.

 

Julia Eisenacher
Juristin (Univ.)
Consultant für Datenschutz

Urteil des OLG Stuttgart vom 27.2.2020, 2 U 257/19

In seinem noch nicht rechtskräftigen Urteil beschäftigt sich das OLG Stuttgart mit der Frage, ob eine fehlende Datenschutzerklärung auf der Webseite eines Händlers für einen Interessensverband abmahnfähig ist.

Insbesondere die Frage zur Abmahnfähigkeit einer fehlenden Datenschutzerklärung wird seit Inkrafttreten der Datenschutzgrundverordnung (DSGVO) heftig diskutiert und wurde durch die Gerichte in den verschiedenen ersten Instanzen jeweils unterschiedlich beantwortet. Die OLG Stuttgart geht in seiner jüngsten Entscheidung hierzu davon aus, dass Art. 13 DSGVO die entsprechende Norm aus dem Telemediengesetz (§ 13 TMG) als niederrangiges (nationales) Recht verdrängt und damit alleinige Anwendung findet.

Das Gericht stellte fest, dass die datenschutzrechtlichen Informationspflichten auch dazu dienten, dem Verbraucher die Kontaktaufnahme mit dem Webseitenbetreiber zu ermöglichen und geht daher davon aus, dass Datenschutz auch dem Verbraucherschutz dient. Verbraucher hätten auch ein Interesse daran u.a. zu erfahren, zu welchen Zwecken die Daten verarbeitet werden. Sowie was passiert, wenn der Verbraucher die gewünschten Daten nicht bereitstellt. Daher sei ein Bezug zum Wettbewerbsrecht gegeben. Die Einzelheiten hierzu sind in dem Urteil nachzulesen.

Im Übrigen bejaht das Gericht auch eine Klagebefugnis des klagenden Interessenverbands. Durch die Datenschutzgrundverordnung sei nicht abschließend geregelt, wie private Rechtsansprüche durchgesetzt werden. Die Klagebefugnis der Verbände füge sich vielmehr in den Wertungsrahmen der DSGVO ein und diene dazu, dass auch die Mitbewerber bei der Überwachung der Datenschutzregeln einen wesentlichen Beitrag leisten können.

Konsequenzen des Urteils

Nachdem die ursprünglich befürchtete Abmahnwelle mit Beginn der Geltung der DSGVO bezüglich fehlender oder fehlerhafter Datenschutzerklärung auf den Webseiten zunächst ausgeblieben war, ist aufgrund und unter Verweis auf das vorliegende Urteil mit einer rapide ansteigenden Zahl von Abmahnungen zu rechnen. Umfassende Rechtsklarheit zur Frage der Abmahnfähigkeit wird zwar erst die Entscheidung des BGH hierzu bringen. Gleichwohl ist allen Webseitenbetreibern dringend anzuraten, sich nochmals ausgiebig mit den Datenschutzerklärungen auf ihren Webseiten zu befassen und eine umfassende und gesetzeskonforme Erklärung zu implementieren.

Falls Sie hierbei Unterstützung benötigen, sprechen Sie uns gerne an.

C. Lürmann

Rechtsanwältin

Consultant für Datenschutz

Die Ausweitung der digitalen Nutzung und die allgemeine Hektik während der jetzigen Corona-Pandemie wird derzeit leider vermehrt von Cyberkriminellen missbraucht. Hierauf hatten wir in unserem Blogbeitrag von gestern bereits hingewiesen und Maßnahmen empfohlen, die wir heute in Teil 2 gerne ergänzen möchten:

Machen Sie regelmäßig Backups von Ihren Unternehmensdaten

Im Fall eines Cyber-Angriffs, bei dem bspw. sämtliche Daten verschlüsselt werden, um Ihr Unternehmen auf diese Weise zu erpressen, hilft Ihnen ein gutes Backup-Verfahren.

Wichtig ist, dass die Backupdaten getrennt von den Produktivdaten geschützt aufbewahrt werden und regelmäßig geprüft wird, ob die Datensicherungen vollständig und wiederherstellbar sind.

Sensibilisieren Sie Ihre Mitarbeiter

Sensibilisieren Sie Ihre Mitarbeiter, insbesondere hinsichtlich

  • der Passwort-Sicherheit;
  • der verantwortungsvollen Nutzung von betrieblichem E-Mail- sowie Internet-Zugang;
  • der Preisgabe von Informationen über soziale Netzwerke, bspw. was neue Entwicklungen in Ihrem Unternehmen betrifft.
Zeigen Sie Cyber-Attacken bei der Polizei an

Wird Ihr Unternehmen Opfer einer solchen Cyber-Attacke, schalten Sie die Polizei ein und erstatten Sie Strafanzeige.

Beachten Sie bitte auch, dass die Pflicht aus Art. 33 DSGVO, solche Datenpannen an die Aufsichtsbehörden zu melden, auch in der jetzigen Situation weiterbesteht.

Die Liste an Maßnahmen, sowohl für den Arbeitgeber als auch den Arbeitnehmer, ist sehr umfassend, kommen Sie bei Fragen dazu bitte direkt auf uns zu!

Gerne unterstützen und beraten wir Sie auch kurzfristig zu weiteren Themen wie z.B.

  • Zugriffsrechte
  • Speicherdauer und Informationspflichten
  • Umgang mit Besucherdaten
  • Übermittlung von Betroffenendaten an Öffentliche Stellen
  • Kurzschulungen für Mitarbeiter im Homeoffice
  • Verpflichtungen der Mitarbeiter im Homeoffice

(Hier geht's zu Teil-1 des Blogbeitrags!)

Unsere Kontaktdaten für Ihre Datenschutz-Fragen:

Dr. Bettina Kraft

Tel. +49 731 20589-0

datenschutz@it-sec.de

Bleiben Sie gesund!

Ihre it.sec GmbH

Auch die Datenschutzbehörden Österreichs und der Schweiz haben auf die aktuelle Situation reagiert und aktuelle Mitteilungen zum datenschutzrechtlichen Umgang mit Daten rund um das Coronavirus veröffentlicht:

Österreich

Die österreichische Datenschutzbehörde stellt zunächst klar, dass es sich bei Daten über Infektionen mit dem Coronavirus und auch bei Verdachtsfällen um sensible Gesundheitsdaten i.S.d. Art. 9 DSGVO handelt, die besonders schützenswert sind. Dennoch können solche Daten zur Eindämmung des Virus und zum Schutz der Mitmenschen verwendet werden.

Folgende Rechtsgrundlagen kommen hierfür grundsätzlich in Betracht:

 

  • Verarbeitung zum Zwecke der Gesundheitsvorsorge, Art. 9 Abs. 2 lit. h DSGVO
  • Verarbeitung zum Zwecke der Erfüllung arbeits- und sozialrechtlicher Pflichten, Art. 9 Abs. 2 lit. b DSGVO: Arbeitgeber sind gegenüber ihren Arbeitnehmern zur Fürsorge verpflichtet, hierzu gehört auch der Ausschluss von Gesundheitsrisiken am Arbeitsplatz.
  • Verarbeitung aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, Art. 9 Abs. 2 lit. i DSGVO: Für die Übermittlung der Gesundheitsdaten an die Gesundheitsbehörden.
  • Der Arbeitgeber kann darüber hinaus nach § 5 Abs. 3 Epidemiegesetz 1950 auf Verlangen zur Auskunftserteilung an die Bezirksverwaltungsbehörden verpflichtet sein.

 

Weiterhin ist es ausnahmsweise zulässig die private Telefonnummer von Mitarbeitern zu erheben, um die Mitarbeiter kurzfristig über aktuelle interne Maßnahmen zur Eindämmung der Pandemie (z.B. Standortschließungen) zu informieren oder vor einer Ansteckungsgefahr zu waren. Die Mitteilung der privaten Telefonnummer ist jedoch freiwillig.

Bei allen Datenverarbeitungen ist der Grundsatz der Zweckbindung gemäß Art. 5 Abs. 1 lit. a DSGVO zu beachten, d.h. eine Verarbeitung der Daten zu anderen Zwecken ist unzulässig. Darüber hinaus gilt auch der Grundsatz der Speicherbegrenzung nach Art. 5 Abs. 1 lit. e DSGVO, wonach alle Daten nach Zweckwegfall wieder zu löschen sind.

Schweiz

In der Schweiz wurde nach Art. 7 Epidemiengesetz (EpG) eine „außerordentliche Lage“ ausgerufen. Dadurch können personenbezogene Gesundheitsdaten nach Maßgabe des Art. 58 EpG verarbeitet werden.

Das Bundesamt für Gesundheit (BAG), die zuständigen kantonalen Behörden und die mit Aufgaben nach dem EpG betrauten öffentlichen und privaten Institutionen können nach Art. 58 EpG personenbezogene Gesundheitsdaten verarbeiten, soweit dies zur Identifizierung von kranken, krankheitsverdächtigen, angesteckten, ansteckungsverdächtigen und Krankheitserreger ausscheidenden Personen im Hinblick auf Maßnahmen zum Schutz der öffentlichen Gesundheit, insbesondere zur Erkennung, Überwachung und Bekämpfung übertragbarer Krankheiten, erforderlich ist. Zudem sind die allgemeinen Grundsätze der Datenschutzgesetzgebungen zu beachten.

Private, d.h. insbesondere Arbeitgeber, müssen bei Datenverarbeitungen die Grundsätze des Art. 4 des Bundesgesetzes über den Datenschutz einhalten:

 

  • Gesundheitsdaten dürfen grundsätzlich nicht gegen den Willen der betroffenen Personen beschafft werden, da sie einem besonderen Schutz unterliegen.
  • Die Verarbeitung der Gesundheitsdaten muss zweckgebunden und verhältnismäßig sein, d.h. sie muss nötig und geeignet sein, weitere Ansteckungen zu verhindern und darf auch nicht über das zur Zielerreichung erforderliche hinausgehen.
  • Daten über Grippesymptome (wie z.B. Fieber) sollen durch die betroffenen Personen selbst erhoben und weitergegeben werden.
  • Die Erhebung und Weiterverarbeitung von Gesundheitsdaten muss den betroffenen Personen gegenüber offengelegt werden.

 

Bei der Erhebung von medizinischen Daten (z.B. Körpertemperatur) beim Betreten von Gebäuden oder Arbeitsplätzen ist zu beachten, dass diese nur zur Zweckerreichung (Verhinderung von Ansteckungen) verarbeitet werden dürfen. Dies gilt sowohl inhaltlich als auch zeitlich. Ungeeignet und unverhältnismäßig ist jedoch das Beantworten zahlreicher Fragen zum Gesundheitszustand der betroffenen Personen. Alle personenbezogenen Daten, die in dem Zusammenhang verarbeitet werden, sind spätestens nach Ende der Pandemie zu löschen.

Kommen Sie bei datenschutzrechtlichen Fragen zu diesen Themen gerne auf uns zu.

Julia Eisenacher
Juristin (Univ.)
Consultant für Datenschutz

Am 31. Januar 2020 ist das Vereinigte Königreich aus der Europäischen Union und der Europäischen Atomgemeinschaft (Euratom) ausgetreten. Das Austrittsabkommen ist zum 1. Februar 2020 in Kraft getreten und sieht einen Übergangszeitraum bis zum 31. Dezember 2020 vor, in dem das EU-Recht für das Vereinigte Königreich weiterhin mindestens gilt.

 

Am 3. Februar 2020 hat nun die Europäische Kommission den ersten Schritt zur Aufnahme von Verhandlungen mit dem Vereinigten Königreich unternommen und dem Rat eine Empfehlung vorgelegt. Darin wird auch die große Bedeutung des Datenschutzes hervorgehoben. Die Kommission betont, dass die geplante Partnerschaft angesichts der Bedeutung des Datenflusses eine Verpflichtung zu einem hohen Niveau des Schutzes personenbezogener Daten gewährleisten muss. Außerdem sei es wichtig, dass die Vorschriften der Union über den Schutz personenbezogener Daten uneingeschränkt respektiert werden – ebenso wie die Entscheidungsprozesse der Union in Bezug auf Angemessenheitsentscheidungen. Eine solche Angemessenheitsentscheidung wird erforderlich, da das Vereinigte Königreich aus datenschutzrechtlicher Sicht nach dem Übergangszeitraum zu einem Drittstaat wird. Mit dem Angemessenheitsbeschluss der EU-Kommission – sofern die Bedingungen dafür erfüllt sind – wird das Vereinigte Königreich als ein Drittland mit angemessenem Schutzniveau eingestuft.

 

Ein solcher Angemessenheitsbeschluss sollte auch die Zusammenarbeit und den Informationsaustausch, insbesondere im Bereich der Strafverfolgung und der justiziellen Zusammenarbeit in Strafsachen ermöglichen.

 

Darüber hinaus sollte die Partnerschaft nach der Empfehlung der Kommission im Zusammenhang mit der Digitalisierung des Waren- und Dienstleistungsverkehrs für den Schutz der Verbraucher im Internet sorgen, einschließlich des Schutzes vor unerbetener Direktmarketingkommunikation.

 

Julia Eisenacher
Juristin (Univ.)
Consultant für Datenschutz

Ein IT-Mitarbeiter hatte ohne Wissen seines Arbeitgebers eine Sicherheitslücke bei einem Kunden-Unternehmen entdeckt und ausgenutzt.

Hierfür bediente er sich der Kundendaten (Namensangaben von Ansprechpartnern etc.), die sein Arbeitgeber auf eigenen Systemen gespeichert hatte.

Beweggrund des IT-Mitarbeiters war wohl, dem Kunden die Sicherheitsmängel deutlich zu machen. Vielleicht gut gemeint, aber leider auch ein Verstoß gegen die DSGVO. Denn bei jeder Datenverarbeitung ist die Zweckbindung einzuhalten. Und Zweck der Daten war nicht, Sicherheitslücken aufzudecken oder sogar auch noch auszunutzen. Weder der Arbeitgeber noch der Kunde, die für die Daten datenschutzrechtlich verantwortlich sind, hatten eine solche Erlaubnis erteilt.

Folge der unbedachten Aktion war die fristlose Kündigung. Das Arbeitsgericht erachtete die Kündigung auch als gerechtfertigt, da der IT-Mitarbeiter „gegen seine Pflicht zur Rücksichtnahme auf die Interessen des Arbeitgebers eklatant verstoßen“ habe.

Dies zeigt einmal mehr, wie wichtig es ist, dass Unternehmen ihre Mitarbeiter im Umgang mit personenbezogenen Daten durch regelmäßige Awareness-Maßnahmen sensibilisieren und sie mit den rechtlichen sowie vertraglichen Vorgaben insbesondere bei der Verarbeitung von Kundendaten vertraut machen.

S. Kieselmann

Senior Consultant Datenschutz

Dipl.sc.pol.Univ.

EuGH-Urteil

 

Nach dem Urteil des EuGH vom 14.05.2019 (C‑55/18) müssen Unternehmen die Arbeitszeiten ihrer Arbeitnehmer erheben und speichern, und zwar vollumfänglich. Denn ohne eine solche Arbeitszeiterfassung, entfalte die EU-Richtlinie zur Verbesserung der Sicherheit und des Gesundheitsschutzes der Arbeitnehmer bei der Arbeit keinerlei Wirkung. Hierüber hatten wir bereits berichtet.

 

Bisher sind Unternehmen in Deutschland nur vereinzelt verpflichtet, Arbeitszeiten zu erfassen: So müssen bspw. die Überstunden der Mitarbeiter (§ 16 ArbZG), die Arbeitszeiten von Jugendlichen (§ 50 JArbSchG) sowie die Arbeitszeiten von geringfügig Beschäftigten oder solchen, die in besonderen Wirtschaftsbereichen (z.B. Gaststättengewerbe) tätig sind, (§ 17 MiLoG) aufgezeichnet werden.

 

Konsequenzen des EuGH-Urteil

 

Die Mitgliedstaaten müssen nun entsprechende Gesetze erlassen, die die Unternehmen verpflichten, „ein objektives, verlässliches und zugängliches System einzurichten, um die von einem jeden Arbeitnehmer geleistete tägliche Arbeitszeit zu erfassen.“ Derzeit ist in Deutschland ein entsprechender Gesetzesentwurf noch nicht veröffentlicht, so dass über die genaue Regelung noch spekuliert werden darf. Laut Information einer Sprecherin des Bundesarbeitsministeriums am 13.01.2020 laufen jedoch bereits Vorarbeiten.

 

Datenschutzrechtliche Herausforderungen

 

Unternehmen sollten gleichwohl bereits jetzt beginnen, ein Verfahren zur Arbeitszeiterfassung einzuführen. Dabei ist aus datenschutzrechtlicher Sicht folgendes zu beachten:

 

- Das zur Arbeitszeiterfassung ausgewählte Datenverarbeitungssystem muss den Anforderungen von Privacy by Design & Privacy by Default entsprechen und - sofern es sich um einen Cloud-Dienst handelt - die Vorgaben der DSK (Gremium der deutschen Datenschutzaufsichtsbehörden) erfüllen. Es sollte hierbei darauf geachtet werden, dass keine Daten erfasst werden, die nicht benötigt werden. Außerdem sollte das System unbedingt über eine Löschfunktion verfügen.

 

- Die für den Zweck erforderlichen Datenarten sowie die Regellöschfristen sind im Vorfeld zu bestimmen. Hier wäre es wünschenswert, dass der Gesetzgeber diese bereits vorgibt.

 

- Es sollte abgeklärt werden, welche Auswertungen des Datenbestands notwendig sind, um die Einhaltung der Arbeitszeitregeln effektiv kontrollieren zu können. Sofern Sie planen, diese Daten für Produktivitätsplanungen zu verwenden achten Sie darauf, dass eine Anonymisierungsfunktion enthalten ist, die Sie auch nach der Löschung der personenbezogenen Daten noch weiterhin verwenden können.

 

- Empfänger der Daten/Auswertungen bzw. zum Zugriff Berechtigte sind ebenfalls festzulegen, u.a. Serverstandorte, Arbeitnehmer selbst, interne Stellen im Unternehmen (Vorgesetzte, Personalabteilung, IT), Auftragsverarbeiter, ggf. Berechtigte anderer Konzerngesellschaften oder öffentliche Stellen. Empfehlenswert ist ein differenziertes Zugriffskonzept, welches nach dem Need-to-know Prinzip Berechtigungen vergibt. So muss der Mitarbeiter aus der Abteilung Lohn und Gehalt ggfs. einen Abwesenheitsgrund kennen, um die Lohnzahlung zu bestimmen, bei der Personaleinsatzplanung reicht es zu wissen, dass ein Mitarbeiter nicht da sein wird. Hinterfragen Sie auch kritisch, ob die Daten bei den Empfängern tatsächlich benötigt werden, oder ob ggfs. anonymisierte Daten für die Zwecke ausreichen.

 

- Erforderliche Verträge (Verträge zur Auftragsverarbeitung, Joint Control-, Intercompany-Vertrag) sind abzuschließen und etwaige Datenübermittlungen in Drittstaaten nach Art. 44 ff DSGVO abzusichern. Hier ist zum einen an den Anbieter der Software zu denken, zum anderen an einen etwaigen Austausch der Daten innerhalb einer Unternehmensgruppe, insbesondere, wenn eine einheitliche Lösung für sämtliche Unternehmen einer Gruppe geplant ist.

 

- Die Arbeitnehmer sind über die damit verbundene Datenverarbeitung und über die Auswirkungen, die die Auswertungen für sie haben, zu informieren. Hierzu sollten Sie die datenschutzrechtliche Mitarbeiterinformation entsprechend anpassen bzw. ergänzen. Sofern vorhanden, ist der Betriebsrat von Beginn an einzubeziehen.

 

- Die Daten müssen durch geeignete Maßnahmen geschützt werden, und zwar bereits bei der Migration der Daten aus anderen Systemen sowie beim Betrieb des neuen Datenverarbeitungssystems selbst. Gerade hierbei sollten Sie darauf achten, dass die teilweise sensiblen Daten möglichst verschlüsselt vorliegen, so dass diejenigen, die den Transfer der Daten durchführen nicht davon Kenntnis nehmen können.

 

Wenn Sie ein Zeiterfassungssystem einführen möchten und hierbei datenschutzrechtliche Unterstützung benötigen, unterstützen wir Sie selbstverständlich gerne.

 

C. Lürmann

 

Rechtsanwältin

 

Consultant für Datenschutz

20 Mitarbeiter 50 Millionen A1 Digital Abbinder Abmahnung Abmahnungen Abo-Falle Abstimmung Abwehr terroristischer Straftaten ADCERT Adressbuch AfD Airbnb Amnesty Angemessenheitsbeschluss Angemessenheitsentscheid Angreifer Angriff Anklage Anonymisierung Ansteckungsgefahr Anwendbarkeit Anwendung Anwesenheit Apple Applikationen AppLocker Arbeitgeber Arbeitnehmer Arbeitsabläufe Arbeitsgericht Arbeitsmittel Arbeitsrecht Arbeitsunfähigkeitsbescheinigung Arbeitszeit Art. 17 DSGVO Art. 25 DSGVO Art. 26 DSGVO Art. 32 DSGVO Art. 37 DSGVO Art. 4 Nr. 12 DSGVO Art. 45 DSGVO Art. 8 MRK Art. 9 DSGVO Attacken Auchfsichtsbehörde Audit Aufsichtsbehörde Aufsichtsbehörden Auftragsverarbeiter Auftragsverarbeitung Aufzeichnung Auskunftei Auskunftsansprüche Auskunftsrecht Auskunftsverlangen auslisten Ausspähen Austritt Austrittsabkommen Auswertung Authentizität Automatisierte Einzelentscheidung Autsch Avast Backup Baden-Württemberg BAG BayDSG Bayerisches Datenschutzgesetz BDSG BDSG-Neu Beamte BEAST Bedrohung Beekeeper Begrifflichkeiten Beherbergungsstätten BEM Benachrichtigungspflicht Benutzerauthentifizierung Berechtigungen Berufsgeheimnis Beschäftigtendatenschutz Beschäftigtenumfragen Beschluss Beschlussfassung Beschwerde besondere Kategorien personenbezogener Daten Besucherdaten betriebliche Eingliederungsmanagement betriebliche Nutzung betrieblicher E-Mail-Account betrieblicher Internetzugang Betriebsrat Betriebsratssitzung Betriebsvereinbarung Betriebsverfassungsgesetz Betriebsversammlungen betroffene Personen Betroffenenanfragen Betroffenendaten Betroffenenrechte BetrVG Bewegungsprofil Bewerberdaten BfDI BGH Bildberichterstattung Bildrechte biometrische Daten Biometrische und genetische Daten Bitcoins Bitkom BKA Black- bzw. Whitelisting Technologie Bonität Bonitätsprüfung Bounty Brexit Britische Datenschutzbehörde Browser BSI Bug-Bounty-Programm Bund Bundesamt für Sicherheit in der Informationstechnik Bundesarbeitsgericht Bundesfinanzministerium Bundesnetzagentur Bundesregierung Bürokratieentlastungsgesetz Bußgeld Bußgelder Bußgeldverfahren BVG Callcenter Cambridge Analytics Citizen-Score Cloud Cloud-Lösung CNIL Compliance Computer Cookie Cookies Corona Coronavirus COVID-19 CovidLock Malware Coworking-Spaces Custom Audience Cyber Cyber-Attacken Cyberangriffe Cyberkriminalität Cyberkriminelle Cybersicherheit Cyble c`t Darknet Dashcam data breaches data protection officer Daten Daten-für-alle-Gesetz Datenaustausch Datenerhebung Datenlöschung Datenminimierung Datenmonopol Datenpanne Datenpannen Datenschutz Datenschutz Grundverordnung Datenschutz und Informationsfreiheit Datenschutz- und Informationssicherheitsbeauftragten Datenschutz-Folgenabschätzung Datenschutz-Schulungen Datenschutzabkommen Datenschutzauskunft-Zentrale Datenschutzbeauftragte Datenschutzbeauftragten Datenschutzbeauftragter Datenschutzbehörde Datenschutzerklärung Datenschutzgesetz Datenschutzgrundsätze Datenschutzgrundverordnung Datenschutzkonferenz datenschutzkonform Datenschutzniveau Datenschutzprinzipien Datenschutzverletzung Datenschutzverletzungen Datenschutzverstöße Datensicherheit Datentransfer Datenübermittlung Datenübermittlung an Dritte Datenübermittlung in Drittstaaten Datenverarbeitung Datenverarbeitungsprozesse Dating Dating-Portale Deutsch deutsch Deutsche Bahn Deutsche Bundesbank Deutsche Wohnen SE Diebstahl Dienste Dienstleister Diesel-Fahrverbot Dieselfahrverbot Dieselskandal Direktwerbung Do not track-Funktion Dokumentation Donald Trump Dritter Drittland Drittstaat Drittstaat ohne angemessenes Datenschutzniveau Drittstaaten DSAnpUG-EU DSG DSGVO DSK Durchsuchung Dynamic Data Exchange Protokoll dynamische IP-Adresse E-Mail E-Mail-Kampagnen e-Privacy-Verordnung E-Rechnung eCall-Technologie EDÖB EES EFAIL ehrenamtlich tätiger Vereine Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte Eigentum Einschränkungen Einsichtnahme Einwilligung Einwilligungserklärung Einwilligungserklärungen elektronische Kommunikation Empfänger Ende-zu-Ende-Verschlüsselung Englisch ENISA Entlastung Entsorgung ePrivacy ePVO Erfassung Ergebnisliste Erhebung Erhebung personenbezogener Daten Erhebungsverbot Ernährung Erwägungsgrund 48 der DSGVO eSafety-Initiative Essenswünsche Ethik ETIAS EU EU Kommission EU-Bürger EU-Datenschutz-Grundverordnung EU-Mitgliedsstaaten EU-Parlament EU-Richtlinie EU-Vertreter EuGH Euratom Europa Europäische Atomgemeinschaft Europäische Aufsichtsbehörde Europäische Kommision Europäische Union EWR externe Quellen Extra-Bezahlung Extra-Kosten Facebook Facebook-Fanpages Facebook-Pixel Fachbereich Fahrzeugdaten Fahrzeuge Fanpage Fanpagebetreiber FBI Feedback Fernmeldegeheimnis Finanzsektor Firmensitz FlugDaG Fluggast Fluggastdaten Fluggastdatengesetz Folgenabschätzung Formalien Foto Framework freiwillig fristlose Kündigung Funkmäuse Funktastaturen Fürsorgepflicht GDPR gefährdet Geheimhaltung Geldbörse Geldstrafe Gemeinsam Verantwortliche Gericht Gerichtsbeschluss Gesellschaft für Informatik Gesetz Gesetz gegen den Unlauteren Wettbewerb gestohlen Gesundheitsdaten Gewährleistung ginlo Business Google Google Analytics GPS grenzüberschreitend Groß-Britannien Großbritannien Grundrechtseingriffen Grundsatz der Zweckbindung H & M Hack hack day Hackathon hacken Hacker Hackerangriff hackfest halal Handy-Tracking Hash-Verfahren Hausverwaltung Head of Cyber Security Architectur Health Checks Hinweisgeber Hoccer Höchstvermietungsdauer Home Office Home-Office Homeoffice Hygiene Immobilienmakler Informationen Informationsfreiheit Informationspflicht Informationspflichten Informationssicherheit Informationssicherheitsbeauftragte Infrastruktur Inhalteanbieter Insights Installation Integrität interner Datenschutzbeauftragter Intrusion-Prevention-Systeme Investition iOs-App IP-Adresse iPad iPhone IPS Irland ISO/IEC 27001 IT Governance IT GRC IT-Forensik IT-forensische Untersuchung IT-Mitarbeiter IT-Security IT-Sicherheit IT-Systeme Italien ITSECX Jahresbericht Japan Jin-hyok Joint Control Kanada Kennzeichen-Scan Keynote Klagebefugnis Klingelschilder KNLTB kollektive Daten Kommune Kommunikation Konferenz Kontaktbeschränkungen Kontaktdaten Kontakte Kontaktpersonen Kontaktsperre Konzern konzerninterner Datentransfer Körpertemperatur KoSIT Krankenkasse Kriminalität Kriminelle Krise KUG Kundenbindung Kundenzufriedenheit Künstliche Intelligenz Kunsturhebergesetz Landesbeauftragte Landesdatenschutzbeauftragten Landesverband Laptop Lazarus Lebensweise Lehrer Leistungs- und Verhaltenskontrolle LfDI Baden-Württemberg Like-Button LLC Löschpflicht Löschung personenbezogener Daten Löschungsrecht Lösegeld Machtposition Mail Makler Malware Markennamen Markenrecht Marktortprinzip Maßnahmen MD5 Meldebehörde Meldepflicht meldepflichtige Krankheit Meldeportal Meldescheine Meldesystem Meldung Meltdown Menschenrecht Menschrechtsverletzungen Messenger Messung Microsoft Mieter Mietverhältnis Misch-Account Missbrauch von Kundendaten Mitarbeiter Mitbestimmung Mitbewerber Mitglieder Mitwirkung Mobiltelefon MouseJack-Angriffe Nebenjob Nebentätigkeit Netzwerklabor Neutrale Schule nicht datenschutzkonform Niederlande NIST No-Deal-Brexit Nordkorea Notebook Nutzung Nutzungsbedingungen Oberlandesgericht Düsseldorf öffentliche Stelle Office Office 365 Öffnungsklauseln OLG OLG Stuttgart One Stop Shop One-Stop-Shop Online Online-Kommunikationstools OpenPGP Opfer Österreich Pandemie Papierrechnung Passenger Name Records Passwort Passwort-Sicherheit Passwörter Passwörter. 2016 Passwortfilters Passwortregeln Passwortschutz Patientendaten Penetration Tests Penetrationstest Penetrationstests personal data Personalabteilung Personalausweiskopien Personalfragebogen Personalverantwortliche personenbezogene Daten Personenbilder persönliche Daten Persönlichkeitsrechte Pflichten Pharmalobbyist Phishing Phishing-Kampagnen Phising Plattformbetreiber PNR-Daten PNR-Instrumente Polizei POODLE Power Query PowerShell-Umgebung Prävention Praxistipps Privacy by Default Privacy by Design Privacy Shield privat private Endgeräte private Handynummer private Mobilfunknummer private Telefonnummer Privatnutzung Privatnutzungsverbot Privatspäre Privatsphäre Problem Profiling Quantencomputer Quarantäne Ransomware reale Infrastruktur Rechenzentren Rechenzentrum Recht auf Achtung des Privat- und Familienlebens Recht auf Berichtigung Recht auf Datenübertragbarkeit Recht auf Einschränkung Recht auf Löschung Rechte Rechte der betroffenen Person Rechtsabteilung rechtswidrig Referenten Regelungsaufträge Reichweitenanalyse Risiken Risiko Risikogruppen Risikomanagement Risk & Compliance Management Robert-Koch-Institut Rufschädigung Ruhezeiten S/MIME SamSam Sanktion Sanktionen Schaden Schadprogramm Schadsoftware Schüler Schulung schützenswert Schutzmaßnahmen Schutzniveau schutzwürdige Interessen Schwachstellen Schweiz SDSG second line of defense Security by Design Seitenbetreiber Sensibilisierung SHA1 sicher Sicherheit Sicherheits- und Datenschutzmängel Sicherheitslücke Sicherheitslücken Sicherheitsmängel Sicherheitsstandards Sicherheitsvorfall Sicherheitsvorfälle kritische Infrastrukturen IT-Sicherheitsbeauftragten ISMS Sicherung der Daten Siegel Signal Signatur Sitzungen Skype Smartphone Social Plugin Software Software-Entwicklung Sony Sony PSN Soziale Netzwerke SPD Spectre Speicherdauer Sponsoren Sprache Sprachkenntnis Standardvertragsklauseln Standort Steuerberater Strafe Strafverfolgung Studenten Suchanfrage Suchmaschine Supercomputer Risikolage supervisory authority Support Swiss IT Security Gruppe Swiss-US Privacy Shield Synergiepotenziale Systemadministrator Technische & organisatorische Maßnahmen technische & organisatorische Maßnahmen Technische und organisatorische Maßnahmen technische und organisatorische Maßnahmen Telefonnummer Telefonwerbung Telemarketing Telemediendienst Telemediengesetz Teleselling Telstra Security Report Tennisclub Threema Work TIBER TIBER-DE TKG TLS TMG TOM Tools Totalrevision Tracking Tracking Tools Tracking-Tools Twitter Übergangsphase Übermittlung personenbezogener Daten Übernahme Übertragung Überwachungssoftware Umfrage Umsetzungsfrist Unberechtigte Datenabfrage unerlaubt Unionsbürger unpersonalisierter Benutzer-Account Unternehmen Unternehmensgröße Unternehmensgruppe Unternehmenssprache unzulässig Update Urteil US-Regierung USA UWG Vegan Vegetarier Verantwortlicher Verantwortung Verarbeitung Verarbeitungsverbot Verbot Verbraucher Verdachtsfälle Vereinbarung Vereinigte Königreich Vereinigtes Königreich Großbritannien und Nordirland Verfahren C-311/18 Verlängerung verloren Verlust Vermieter Vernichtung von Datenträgern Veröffentlichung Verordnung (EU) 2015/758 verschlüsseln Verschlüsselte E-Mails Verschlüsselung Verschlüsselungsverfahren Verstoß Verstöße Vertrag zur Auftragsverarbeitung Vertragsanbahnung Verwaltungsakt Verwaltungsgericht Karlsruhe VG Mainz Videokamera Videokonferenz Videoüberwachung Virus Voreinstellungen Vorsicht Vorteile Wachstum WAF WannaCry Web-Applikation-Firewalls Webcast Webseite Webseiten Website Website-Betreiber Webtracking Webtrecking weisungsunabhängig Weitergabe Weitergabe an Dritte Weltanschauung Werbeaussage Werbung Wettbewerb Wettbewerbsrecht wettbewerbsrechtliche Abmahnung Wettbewerbsverstöße WhatsApp Whistleblower Whistleblowing Widerruf Widerrufsrecht Widerspruchsrecht Wien Windows Wire Enterprise Wirklichkeitsmodell Wohnung X-Rechnung Youtube Zeiterfassung zentralisierte Verwaltung Zertifikat Zertifizierung Zoom Zugangsdaten Zugriff Zugriffsrechte Zugriffsverwaltung Zukauf zulässig Zulässigkeit Zusatzschutz zuständig Zwangsgeld Zweck Zweckbindung § 15 TMG § 26 BDSG-Neu § 32 BDSG § 32 DSGVO § 35 BDSG-Neu § 38 BDSG-Neu § 3a UWG § 42a BDSG § 42b BDSG § 88 TKG

Tags

Mo Di Mi Do Fr Sa So
        1 2 3
4 5 6 7 8 9 10
11 12 13 14 15 16 17
18 19 20 21 22 23 24
25 26 27 28 29 30 31