Home / Aktuelles & Termine / it.sec blog

Dem Europäischen Gerichtshof (EuGH) wurde durch das Bundesarbeitsgericht (BAG) die Frage zur Entscheidung vorgelegt, ob der deutsche Sonderkündigungsschutz im Arbeitsrecht für Datenschutzbeauftragte mit der DSGVO vereinbar ist und ob Betriebsratsvorsitzende die Position des betrieblichen Datenschutzbeauftragten bekleiden können, ohne dass hierbei ein Interessenkonflikt besteht.

Im zugrunde liegenden Fall, welchen das BAG zu entscheiden hat, wurde ein zum betrieblichen Datenschutzbeauftragter ernannter Betriebsratsvorsitzender mit dem Hinweis abberufen, beide Ämter gleichzeitig in Personalunion zu betreiben. Dies würde zwingend zu einem mit den Amtspflichten unvereinbaren Interessenkonflikt führen und stelle somit einen wichtigen Grund iSd § 626 BGB zur Kündigung der Tätigkeit als Datenschutzbeauftragter dar.

Das BAG hingegen ist der Auffassung, ein wichtiger Grund für eine Abberufung würde nicht vorliegen. Für die Frage, ob der Datenschutzbeauftragte abberufen werden kann, kommt es jedoch auf die Auslegung der DSGVO als Unionsrecht an, welches durch den EuGH geklärt werden muss.

Im Rahmen eines Vorabentscheidungsverfahrens hat sich der 9. Senat des BAG daher an den EuGH gewandt. Dabei soll zunächst die Frage geklärt werden, ob neben Art. 38 Abs. 3 Satz 2 DSGVO nationale Regelungen wie § 38 Abs. 2 iVm. § 6 Abs. 4 Satz 1 BDSG anwendbar sind, wenn die Voraussetzungen für eine Abberufung durch das nationale Recht wesentlich verschärft werden.

Entscheidet sich der EuGH für die Anwendbarkeit der nationalen Regelungen gemäß BDSG, so soll weiterhin die Frage geklärt werden, ob die Ausübung der Tätigkeit des betrieblichen Datenschutzbeauftragten neben der Tätigkeit als Betriebsratsvorsitzender zu einem Interessenkonflikt gemäß Art. 38 Abs. 6 Satz 2 DSGVO führt.

Es bleibt abzuwarten, wie der EuGH in dieser Sache entscheidet, da dies auch Auswirkungen auf weitere streitige Themen hat, wie beispielsweise, ob der Betriebsrat ein eigener Verantwortlicher iSd DSGVO darstellt.

Laura Piater

Consultant für Datenschutz

Volljuristin

Reaktion von Microsoft auf die Empfehlungen des Europäischen Datenschutzausschusses in Folge des „Schrems II“-Urteils des EuGH

 

Seit der EuGH in seinem „Schrems II"-Urteil das „Privacy Shield“ zwischen der EU und den USA gekippt hat, kann eine Datenübermittlung in die USA nicht mehr hierauf gestützt werden. Wir haben hierüber bereits berichtet (siehe Blog-Beitrag "EU-US-Datenschutzvereinbarung „Privacy Shield“ ungültig").

Einzig praktikable Möglichkeit zur Absicherung der Datenübermittlung in die USA ist derzeit der Abschluss der EU-Standardvertragsklauseln mit dem Datenimporteur. Allerdings müssen hierbei zusätzlich weitere Maßnahmen ergriffen werden, um ein Datenschutzniveau, das dem innerhalb des Europäischen Wirtschaftsraums entspricht, sicherzustellen. In diesem Zusammenhang hat der Europäische Datenschutzausschuss am 11.11.2020 Empfehlungen für Transfer- und Überwachungsmaßnahmen im Rahmen des internationalen Datentransfers ausgesprochen.

 

Als Reaktion auf diese Empfehlungen hat Microsoft in einem Anhang zu den Standardvertragsklauseln („Additional Safeguards Addendum to Standard Contractual Clauses“ – abrufbar unter https://aka.ms/defendingyourdataterms) neue Datenschutzmaßnahmen festgelegt, die neben den bereits implementierten Maßnahmen zum Einsatz kommen sollen und nach Angaben von Microsoft die Empfehlungen des Europäischen Datenschutzausschusses sogar übersteigen:

 

  • Microsoft verpflichtet sich dazu, jede Anfrage einer staatlichen Stelle nach Daten seiner Kunden anzufechten, wenn es dafür eine rechtliche Grundlage gibt.
  • Microsoft gewährt Nutzern seiner Kunden, deren Daten aufgrund einer Anfrage einer staatlichen Stelle unter Verletzung der EU-Datenschutz-Grundverordnung (EU-DSGVO) von Microsoft offengelegt werden mussten, eine finanzielle Entschädigung.

 

 

Geltung nur für Unternehmenskunden und Kunden aus dem öffentlichen Sektor

 

Zu beachten ist, dass die neuen Maßnahmen nur für Unternehmenskunden und Kunden aus dem öffentlichen Sektor gelten sollen. Privatkunden sind demnach hiervon nicht erfasst.

 

 

Zumindest teilweise positive Rezeption durch die Aufsichtsbehörden

 

Zwar wird durch die neuen Datenschutzmaßnahmen von Microsoft die bei der Datenübermittlung in die USA problematische Möglichkeit des Zugriffs von amerikanischen Behörden auf personenbezogene Daten nicht verhindert. Dennoch werden sie zumindest von den bayerischen, baden-württembergischen und hessischen Aufsichtsbehörden honoriert, die die Bereitschaft von Microsoft, europäische Datenschutzstandards einzuhalten, und die dahingehende Anpassung der Verträge begrüßen.

 

 

Fazit

 

Da die neuen Maßnahmen von Microsoft zwar einen Schritt in die richtige Richtung darstellen, jedoch letztlich die Problematik des Drittlandtransfers nicht abschließend lösen, sind Unternehmen gut damit beraten, die sich bei der Verwendung von Microsoft-Produkten ergebenden Risiken im Rahmen einer Datenschutz-Folgenabschätzung (DSFA) abzuwägen.

 

 

Bettina Förster

 

Consultant für Datenschutz

In unserer heutigen Kommunikation sind Videokonferenzen nicht mehr wegzudenken. Deren Bedeutung hat sich durch die Corona-Krise noch weiter vergrößert. Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat aus diesem Grund im Oktober 2020 eine Orientierungshilfe veröffentlicht, in der sie die datenschutzrechtlichen Anforderungen an die Durchführung von Videokonferenzen erläutert. Die wichtigsten Punkte werden im Folgenden zusammengefasst.

 

Der Verantwortliche hat verschiedene Möglichkeiten ein Videokonferenzsystem zu betreiben. Er kann das Videokonferenzsystem selbst betreiben, durch einen externen IT-Dienstleister betreiben lassen oder einen Online-Dienst nutzen.

 

Selbst betriebener Dienst

 

Aus datenschutzrechtlicher Sicht ist es am vorteilhaftesten das Videokonferenzsystem selbst zu betreiben, da der Verantwortliche dadurch selbst entscheiden kann, welche Software verwendet wird und welche Daten verarbeitet werden. Auch muss dann kein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO abgeschlossen werden. Allerdings liegt es in diesem Fall am Verantwortlichen geeignete technische und organisatorische Maßnahmen zum Schutz der Daten zu ergreifen und das Videokonferenzsystem zu betreiben und zu warten, d.h. der Verantwortliche muss dazu sowohl in technischer als auch in personeller Sicht in der Lage sein.

 

Externer Dienstleister

 

Der Verantwortliche kann einen externen IT-Dienstleister zum Betrieb der Software beauftragen und mit diesem einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO schließen. Der Auftragsverarbeiter ist unter besonderer Berücksichtigung seiner Zuverlässigkeit und der Geeignetheit, der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auswählen. Hinsichtlich der Software ist zu prüfen, ob Datenabflüsse an den Hersteller oder Dritte erfolgen. Für die Datenabflüsse muss entweder eine Rechtsgrundlage bestehen oder sie müssen unterbunden werden.

 

Online Dienst

 

Der Verantwortliche kann schließlich auch bereits bestehende Online-Dienste nutzen. Auch in diesem Fall muss er einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO abschließen. Bei der Auswahl des Anbieters muss der Verantwortliche insbesondere darauf achten, dass die Anforderungen der DSGVO eingehalten werden und geeignete technische und organisatorische Maßnahmen vorhanden sind.

 

Da viele Anbieter von Videokonferenzsystem die Daten in den USA verarbeiten, sind zusätzlich die Anforderungen der Art. 44 ff. DSGVO zu beachten. Eine Datenübermittlung in die USA kann seit der Ungültigkeitserklärung des Privacy Shield durch den EuGH nicht mehr auf dieses gestützt werden. Denkbar ist aber eine Verwendung von Standardvertragsklauseln und anderen vertraglichen Garantien, es müssen jedoch zusätzliche Maßnahmen ergriffen werden, um das gleiche Datenschutzniveau wie in den EU-Mitgliedsstaaten gewährleisten zu können. Es ist deshalb eine sorgfältige Prüfung vorzunehmen! Im Zweifel muss der Datenexport unterbleiben.

 

Außerdem muss der Verantwortliche die Software prüfen, z.B. auf Datenabflüsse und Zugriffsrechte, und ggf. Anpassungen vornehmen. Sollte der Anbieter Daten auch zu eigenen Zwecken oder Zwecken Dritter (z.B. zum Nutzerverhalten oder Tracking zu Werbezwecken) verarbeiten, ist für jede Offenlegung von personenbezogenen Daten eine Rechtsgrundlage erforderlich. Für diesen Fall ist außerdem eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO zu prüfen und ggf. eine entsprechende Vereinbarung abzuschließen.

 

Pflichten des Verantwortlichen

 

Der Verantwortliche hat bei der Nutzung von Videokonferenzsystem verschiedene Pflichten. Er muss insbesondere:

 

  • seine Informationspflichten aus Art. 13, 14 DSGVO erfüllen und die Teilnehmer klar und eindeutig über die mit der Nutzung des Dienstes verbundenen Datenverarbeitungen informieren.
  • Die Datenverarbeitungen nur bei Vorliegen einer Rechtsgrundlage vorzunehmen.
  • die Betroffenenrechte gemäß Art. 15 bis 21 DSGVO gewährleisten.
  • Auftragsverarbeitungsverträge nach Art. 28 DSGVO abschließen.
  • die Veranstaltung der Videokonferenz in das Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO) aufnehmen.
  • sorgfältig prüfen, ob Daten in Drittländer (insbesondere die USA) übermittelt werden dürfen. Hierbei müssen zusätzliche Maßnahmen ergriffen werden, um das gleiche Datenschutzniveau wie in den EU-Mitgliedsstaaten gewährleisten zu können.

 

Fazit

 

Prüfen Sie vor der Einführung eines Videokonferenzsystems daher sorgfältig, ob es datenschutzkonform ist und welche weiteren Anforderungen beachtet werden müssen.

 

Es ist außerdem empfehlenswert eine Richtlinie zur Durchführung von Videokonferenzen im Unternehmen zu implementieren, um einen reibungslosen Ablauf zu gewährleisten und die Mitarbeiter darin gleichzeitig aufzuklären und zu sensibilisieren.

 

Julia Eisenacher
Juristin (Univ.)
Consultant für Datenschutz

Schrems II Urteil des EuGH

 

Nachdem der EuGH mit seinem Urteil vom 16. Juli 2020, Rechtssache C-311/18 — „Schrems II“ den EU – U.S. Privacy Shield für unwirksam erklärt hat, genügt die Teilnahme am U.S. Privacy Shield nicht mehr, um innerhalb der EU als datenschutzkonform zu gelten.

 

Schweizer Bundesbeauftragte für Datenschutz und Information (FDPIC) prüft Swiss- U.S. Privacy Shield

 

Zwar ist die Schweiz nicht Mitglied der EU und daher nicht an das Urteil des EuGH gebunden. Dennoch wurde der Swiss- U.S. Privacy Shield nun vor dem Hintergrund des EuGH Urteils neu bewertet. In seinem Positionspapier vom 08.09.2020 kommt der Schweizer Bundesbeauftragte für Datenschutz und Information (FDPIC) zu dem Schluss, dass auch der Swiss- U.S. Privacy Shield kein angemessenes Sicherheitsniveau für den Datenaustausch zwischen der Schweiz und der USA bietet.

 

Einschätzung desSchweizer Bundesbeauftragte für Datenschutz und Information (FDPIC)

 

Seit dem 11.01.2017 gilt die USA bei der Schweiz als Land mit „angemessenem Schutzniveau unter bestimmten Umständen“. Das bedeutet, dass Datentransfers bzgl. personenbezogener Daten zwischen der Schweiz und U.S. Unternehmen, welche sich für den Swiss- U.S. Privacy Shield zertifizieren haben lassen, als geschützt gelten.

 

Doch auch der Schweizer Bundesbeauftragte für Datenschutz und Information (FDPIC) bemängelt in dem Positionspapier vom 08.09.2020 unter anderem den Zugriff auf personenbezogene Daten durch die U.S. Behörden. Betroffene Personen aus der Schweiz haben demnach keine ausreichend durchsetzbaren Rechte in den USA. Dies gilt umso mehr, nachdem die Wirksamkeit des Ombudsmann- Prinzips, welches einen Rechtbehelf innerhalb der USA zusichern soll, mangels Transparenz nicht eingeschätzt werden kann. Zudem fehlen hinreichende Garantien der USA hinsichtlich der Beschränkung des Zugriffsrechts der U.S. Behörden auf personenbezogene Daten. Der Bundesbeauftragte für Datenschutz und Information (FDPIC) erklärt im Positionspapier weiter, dass ein solcher Eingriff durch U.S. Behörden in die Privatsphäre und die informationelle Selbstbestimmung der betroffenen Personen in der Schweiz vor diesem Hintergrund gegen die Grundsätze der rechtmäßigen Bearbeitung von personenbezogener Daten im Sinne des Schweizer Datenschutzgesetzes verstößt.

 

Hat die Einschätzung desSchweizer Bundesbeauftragte für Datenschutz und Information (FDPIC) Auswirkungen auf den Swiss- U.S. Privacy Shield?

 

Die Einschätzung des Schweizer Bundesbeauftragte für Datenschutz und Information (FDPIC) hat keinen direkten Einfluss auf die Anwendung des Swiss- U.S. Privacy Shield. Derzeit gibt es hierzu auch noch keine Rechtsprechung der Schweizer Gerichte. Es bleibt daher ungewiss, ob ein Zugriff der U.S. Behören auf personenbezogene Daten beim internationalen Datentransfers mit dem Schweizer Datenschutzgesetz konform ist.

 

Fazit

 

Zwar wurden im Positionspapier vom 08.09.2020 bereits Handlungsstrategien für betroffene Unternehmen veröffentlicht, wie zum Beispiel die Benutzung der EU Standarddatenschutzklauseln. Hierbei handelt es sich jedoch lediglich um eine Empfehlung und keine zwingend einzuhaltende Vorgabe.

 

Letztlich können sich Schweizer und U.S. Unternehmen daher derzeit noch weiterhin auf den Swiss- U.S. Privacy Shield berufen.

 

Laura Piater

 

Justiziarin

 

Consultant für Datenschutz

Mit Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) wurde das Recht des Einzelnen manifestiert, dass seine personenbezogenen Daten zu einem, zu bestimmenden, Zeitpunkt wieder gelöscht werden müssen. Unterschieden wurde in Art. 17 DSGVO zwischen unveröffentlichten Daten (Abs. 1) und veröffentlichten Daten (Abs. 2).Grundgedanke der Regelung des Art. 17 Abs. 2 DSGVO war dabei, dass Informationen über Personen nur so lange öffentlich auffindbar sein sollen, wie diese auch benötigt werden. Es war ein Versuch den Ausspruch: „Das Internet vergisst nicht“ umzukehren und dem Verantwortlichen die Pflicht aufzuerlegen, einmal veröffentlichte Daten auch wieder zu „ent-öffentlichen“.

 

Sowohl selbstständig veröffentlichende Verantwortliche, insbesondere (Online-)Zeitungen oder auch Verbände und Unternehmen mittels Pressemitteilungen als auch Suchmaschinenbetreiber, die lediglich bereits online vorhandene Informationen darstellen, sind in diesem Zusammenhang besonders gefordert: Wann müssen Informationen über Personen gelöscht werden, welche Informationen über Personen dürfen nicht (mehr) angezeigt werden?

 

Rechtsprechung des Bundesgerichtshofs (BGH)

 

Mit seinem jüngsten Urteil hat der BGH nun die Grenzen des Rechts auf Vergessenwerdens aufgezeigt. Im Verfahren VI ZR 405/18 ging es darum, dass ein ehemaliger Geschäftsführer eines Verbands erreichen wollte, dass ein erschienener Artikel über finanzielle Unregelmäßigkeiten in der Ergebnisliste eines Internet-Suchdienstes nicht mit seinem Namen in Verbindung gebracht werden sollte. Während das oberste deutsche Gericht (BGH) bislang davon ausging, dass die Schutzinteressen der betroffenen Personen regelmäßig Vorrang genießen, wies es nun darauf hin, dass bei Prüfung eines Löschverlangens zwischen den Interessen der betroffenen Personen und denen der Öffentlichkeit abgewogen werden müssen. Darüber hinaus könne sich die betroffene Person im Rahmen der Grundrechtsabwägung nicht auf nationale Vorschriften berufen, da das Datenschutzrecht abschließend Europäisch geregelt ist und damit Anwendungsvorrang genießt. Die Klage blieb hier erfolglos, da die Berichterstattung im konkreten Fall rechtmäßig war.

 

Im Rahmen eines weiteren Verfahrens VI Z8R 476/18 kam es gerade auf die Rechtmäßigkeit der Berichterstattung an. Hier bestritten die betroffenen Personen die Rechtmäßigkeit einer Berichterstattung und verlangten die Löschung ihrer Namen und Bilder vom beklagten Suchmaschinen-Betreiber. In diesem Fall legte der BGH dem EuGH zwei Fragen zur Vorabentscheidung vor:

 

  1. Darf in einer vorzunehmenden Grundrechtsabwägung maßgeblich darauf abgestellt werden, dass der betroffenen Person andere Rechtsmittel (etwa eine einstweilige Verfügung gegen den Webseitenbetreiber, zu dem ein Link führt) zur Verfügung stehen?
  2. Muss bei einer Bildersuche der Kontext einer Berichterstattung mit berücksichtigt werden auch wenn der Kontext nicht mit angezeigt wird?

 

Bewertung

 

Durch das erste Verfahren wurde seitens des BGH der europäische Kontext der Datenschutz-Grundverordnung gestärkt. Er hat deutlich gemacht, dass Europäische Normen nur im Europäischen Wertekontext zu messen sind. Darüber hinaus hat das Gericht jedoch auch deutlich gemacht, dass bei der Kollision zwischen verschiedenen europäischen Grundrechten eine Abwägung im Einzelfall vorzunehmen ist, ebenso wie dies bei nationalen Grundrechten auf nationaler Ebene der Fall ist. Das Gericht ebnet damit den Weg zu einer einheitlichen Europäischen Rechts- und damit Werteordnung.

 

Die Entscheidung des EuGHs zu den beiden Vorabfragen darf mit Spannung erwartet werden. Insbesondere bei Bejahung der zweiten Frage wäre die Entwicklung künstlicher Intelligenz zur Feststellung eines Kontextes, in dem ein Bild veröffentlicht wird, offensichtlich stark gefordert.

 

C. Lürmann

 

Rechtsanwältin

 

Consultant für Datenschutz

EuGH-Urteil

 

Nach dem Urteil des EuGH vom 14.05.2019 (C‑55/18) müssen Unternehmen die Arbeitszeiten ihrer Arbeitnehmer erheben und speichern, und zwar vollumfänglich. Denn ohne eine solche Arbeitszeiterfassung, entfalte die EU-Richtlinie zur Verbesserung der Sicherheit und des Gesundheitsschutzes der Arbeitnehmer bei der Arbeit keinerlei Wirkung. Hierüber hatten wir bereits berichtet.

 

Bisher sind Unternehmen in Deutschland nur vereinzelt verpflichtet, Arbeitszeiten zu erfassen: So müssen bspw. die Überstunden der Mitarbeiter (§ 16 ArbZG), die Arbeitszeiten von Jugendlichen (§ 50 JArbSchG) sowie die Arbeitszeiten von geringfügig Beschäftigten oder solchen, die in besonderen Wirtschaftsbereichen (z.B. Gaststättengewerbe) tätig sind, (§ 17 MiLoG) aufgezeichnet werden.

 

Konsequenzen des EuGH-Urteil

 

Die Mitgliedstaaten müssen nun entsprechende Gesetze erlassen, die die Unternehmen verpflichten, „ein objektives, verlässliches und zugängliches System einzurichten, um die von einem jeden Arbeitnehmer geleistete tägliche Arbeitszeit zu erfassen.“ Derzeit ist in Deutschland ein entsprechender Gesetzesentwurf noch nicht veröffentlicht, so dass über die genaue Regelung noch spekuliert werden darf. Laut Information einer Sprecherin des Bundesarbeitsministeriums am 13.01.2020 laufen jedoch bereits Vorarbeiten.

 

Datenschutzrechtliche Herausforderungen

 

Unternehmen sollten gleichwohl bereits jetzt beginnen, ein Verfahren zur Arbeitszeiterfassung einzuführen. Dabei ist aus datenschutzrechtlicher Sicht folgendes zu beachten:

 

- Das zur Arbeitszeiterfassung ausgewählte Datenverarbeitungssystem muss den Anforderungen von Privacy by Design & Privacy by Default entsprechen und - sofern es sich um einen Cloud-Dienst handelt - die Vorgaben der DSK (Gremium der deutschen Datenschutzaufsichtsbehörden) erfüllen. Es sollte hierbei darauf geachtet werden, dass keine Daten erfasst werden, die nicht benötigt werden. Außerdem sollte das System unbedingt über eine Löschfunktion verfügen.

 

- Die für den Zweck erforderlichen Datenarten sowie die Regellöschfristen sind im Vorfeld zu bestimmen. Hier wäre es wünschenswert, dass der Gesetzgeber diese bereits vorgibt.

 

- Es sollte abgeklärt werden, welche Auswertungen des Datenbestands notwendig sind, um die Einhaltung der Arbeitszeitregeln effektiv kontrollieren zu können. Sofern Sie planen, diese Daten für Produktivitätsplanungen zu verwenden achten Sie darauf, dass eine Anonymisierungsfunktion enthalten ist, die Sie auch nach der Löschung der personenbezogenen Daten noch weiterhin verwenden können.

 

- Empfänger der Daten/Auswertungen bzw. zum Zugriff Berechtigte sind ebenfalls festzulegen, u.a. Serverstandorte, Arbeitnehmer selbst, interne Stellen im Unternehmen (Vorgesetzte, Personalabteilung, IT), Auftragsverarbeiter, ggf. Berechtigte anderer Konzerngesellschaften oder öffentliche Stellen. Empfehlenswert ist ein differenziertes Zugriffskonzept, welches nach dem Need-to-know Prinzip Berechtigungen vergibt. So muss der Mitarbeiter aus der Abteilung Lohn und Gehalt ggfs. einen Abwesenheitsgrund kennen, um die Lohnzahlung zu bestimmen, bei der Personaleinsatzplanung reicht es zu wissen, dass ein Mitarbeiter nicht da sein wird. Hinterfragen Sie auch kritisch, ob die Daten bei den Empfängern tatsächlich benötigt werden, oder ob ggfs. anonymisierte Daten für die Zwecke ausreichen.

 

- Erforderliche Verträge (Verträge zur Auftragsverarbeitung, Joint Control-, Intercompany-Vertrag) sind abzuschließen und etwaige Datenübermittlungen in Drittstaaten nach Art. 44 ff DSGVO abzusichern. Hier ist zum einen an den Anbieter der Software zu denken, zum anderen an einen etwaigen Austausch der Daten innerhalb einer Unternehmensgruppe, insbesondere, wenn eine einheitliche Lösung für sämtliche Unternehmen einer Gruppe geplant ist.

 

- Die Arbeitnehmer sind über die damit verbundene Datenverarbeitung und über die Auswirkungen, die die Auswertungen für sie haben, zu informieren. Hierzu sollten Sie die datenschutzrechtliche Mitarbeiterinformation entsprechend anpassen bzw. ergänzen. Sofern vorhanden, ist der Betriebsrat von Beginn an einzubeziehen.

 

- Die Daten müssen durch geeignete Maßnahmen geschützt werden, und zwar bereits bei der Migration der Daten aus anderen Systemen sowie beim Betrieb des neuen Datenverarbeitungssystems selbst. Gerade hierbei sollten Sie darauf achten, dass die teilweise sensiblen Daten möglichst verschlüsselt vorliegen, so dass diejenigen, die den Transfer der Daten durchführen nicht davon Kenntnis nehmen können.

 

Wenn Sie ein Zeiterfassungssystem einführen möchten und hierbei datenschutzrechtliche Unterstützung benötigen, unterstützen wir Sie selbstverständlich gerne.

 

C. Lürmann

 

Rechtsanwältin

 

Consultant für Datenschutz

Mit Spannung haben die Datenschützer in Europa auf den Dezember 2019 gewartet, sollte doch der Schlussantrag des Generalanwalts im Verfahren C-311/18 ein Indiz dafür geben, ob der Datenaustausch mit den USA weiterhin auf den Privacy Shield gestützt werden kann, ja ob der Privacy Shield an sich überhaupt die Qualität hat, die Daten der EU-Bürger in den USA sicher zu schützen.

Doch es kam anders.

Ausgangsfrage

Eigentlich geht es in dem Verfahren nämlich gar nicht um den Privacy Shield, sondern um die Standardvertragsklauseln gem. Beschluss 2010/87/EU. Der Beschwerdeführer Herr Schrems beruft sich im Wesentlichen auf die Unangemessenheit dieser vertraglichen Garantien unter Hinweis auf die Eingriffe in die Ausübung seiner Grundrechte, die sich aus der Tätigkeit der amerikanischen Nachrichtendienste ergeben. Daher sollte der EuGH in einer Vorabentscheidung prüfen, ob in den USA ein angemessener Schutz der Daten von Unionsbürgern sichergestellt ist und falls nicht, im Anschluss feststellen, ob dann ggfs. ein Rückgriff auf den Privacy Shield zulässig sei mit der Folge, dass dieser ebenfalls auf dem Prüfstand stünde.

Wirksamkeit der Standardvertragsklauseln

Der Generalanwalt stellte fest, dass die Standardvertragsklauseln nicht bereits dadurch unwirksam würden, weil diese die Behörden im Drittland nicht selbst zur Einhaltung der in den Standardvertragsklauseln niedergelegten Grundsätze verpflichten. Es müsse vielmehr untersucht werden, ob eine Pflicht für den Verantwortlichen oder die jeweilige Kontrollstelle (in der Regel die Aufsichtsbehörde) bestünde, die Übertragung auszusetzen oder zu verbieten, sofern die Standardvertragsklauseln aufgrund des Rechtes des Drittlandes nicht eingehalten werden könnten. Dies sei durch Art. 58 Abs. 2 litt. f) und j) DSGVO sichergestellt, so dass die datenschutzrechtlichen Belange der Unionsbürger ausreichend gewahrt seien. In der zu überprüfenden Entscheidung gehe es damit ausschließlich um die Frage, ob die irische Aufsichtsbehörde im konkreten Fall ihren Befugnissen zur Ergreifung von Maßnahmen korrekt nachgekommen sei. Konkret: Die irische Aufsichtsbehörde hätte die Befugnisse der nationalen Sicherheitsbehörden in den USA selbst abwägen sollen und je nach Ergebnis dann die Übermittlung der Daten erlauben oder verbieten können. Dies zu beurteilen, sei jedoch Aufgabe des vorlegenden Gerichts.

Wirksamkeit des Privacy Shields

Eine Entscheidung zur Wirksamkeit des Privacy Shields hält der Generalanwalt in diesem Verfahren folgerichtig nicht für notwendig, da der vorliegende Rechtsstreit ausschließlich die korrekte Anwendung der DSGVO durch die Irische Aufsichtsbehörde betreffe. Zudem verweist der Generalanwalt auf die offene Rechtssache T-738/16, eine Nichtigkeitsklage die Gültigkeit des Privacy Shields betreffend. Ob die Ausführungen, die der Generalanwalt hilfsweise in seinem Schlussantrag zur Wirksamkeit des Privacy Shields gemacht hat, dort ebenfalls Berücksichtigung finden werden, bleibt abzuwarten.

Pragmatismus

Bereits zu Beginn seiner Stellungnahme wies der Generalanwalt darauf hin, dass seine Analyse ein vernünftiges Maß an Pragmatismus enthalte, um die Interaktion mit anderen Teilen der Welt zu ermöglichen („reasonable degree of pragmatism in order to allow interaction with other parts of the world“). Es bleibt zu hoffen, dass das zweite Ziel, nämlich die Notwendigkeit, die in den Rechtsordnungen der EU anerkannten Grundwerte durchzusetzen, hierbei nicht auf der Strecke bleibt.

Im Lichte des Pragmatismus wäre es jedenfalls für die Rechtsanwender, die Unternehmen und die Datenschutzbeauftragten deutlich einfacher gewesen, der Generalanwalt hätte schon jetzt eine deutliche Empfehlung hinsichtlich der Wirksamkeit des Privacy Shields ausgesprochen. Stattdessen möchte er die konkrete Entscheidung, ob die Rechte von Unionsbürger in einem Drittland ausreichend gewahrt werden, und welche Maßnahmen im gegenteiligen Fall zu treffen sind, den mehr als 40 verschiedenen Datenschutz-Aufsichtsbehörden selbst überantworten.

Vielleicht hat der EuGH ja ein Einsehen mit den vor allem europaweit vertretenen Unternehmen, die sich gerne an die gesetzlichen Vorgaben halten möchten und denen es aus unserer Sicht nicht zugemutet werden kann, sich ggfs. je nach unterschiedlicher Auffassung der lokalen zuständigen Aufsichtsbehörde unterschiedlich zu verhalten.

Wir werden Sie wie immer über die aktuellen Entscheidungen auf dem Laufenden halten.

C. Lürmann

Rechtsanwältin

Consultant für Datenschutz

Am 01.10.2019 erging ein entscheidendes Urteil des EuGH zum Einsatz von Cookies. Der EuGH hat Folgendes dabei klargestellt:

 

- Das Endgerät des Website-Besuchers und die in diesen Geräten gespeicherten Informationen sind Teil seiner Privatsphäre.

 

- Die Einwilligung in das Platzieren und Abrufen der Cookies muss durch eine aktive Handlung erfolgen, etwa durch Anklicken eines Kästchens. Der Haken darf nicht bereits voreingestellt sein.

 

- Der Website-Besucher muss vollständig über die verwendeten Cookies und deren Funktionsweise informiert werden.

 

Aus dem Urteil ergeben sich folgende Aufgaben für Website-Betreiber:

 

Cookies überprüfen

 

Auch wenn es im Urteil nicht explizit erwähnt wird, so dürfen für den Betrieb einer Website technisch notwendige Cookies auch weiterhin ohne Einwilligung eingesetzt werden, bspw. Cookies zur Benutzer-Authentifizierung im Log-In-Bereich einer Website. Für alle anderen - und das dürfte der Großteil der verwendeten Cookies sein - muss die Einwilligung eingeholt werden.

 

HINWEIS: Es ist notwendig, dass der Betreiber die Funktionsweise der Cookies und etwaige Empfänger kennt. Andernfalls kann er die Website-Besucher nicht ausreichend hierüber in der Datenschutzerklärung informieren.

 

 

Einwilligung einholen

 

Über ein Auswahlmenü muss es den Website-Besuchern möglich sein, die jeweiligen Cookies bzw. Cookie-Kategorien auszuwählen und sich hierüber gezielt zu informieren (u.a. zu den Zwecken, Empfängern und zur Speicherdauer), um dann zu entscheiden, ob sie diese aktivieren möchten oder nicht.

 

Bis zur Erteilung der Einwilligung oder wenn keine Einwilligung erteilt wird, dürfen die Cookies nicht platziert werden.

 

Widerruf beachten

 

Da die Website Besucher ihre erteilte Einwilligung auch jederzeit widerrufen können, sollte eine Widerrufslösung technisch implementiert werden.

 

 

Vorgaben der Aufsichtsbehörden umsetzen

 

Der EuGH hat in seinem Urteil die Auffassung der deutschen Aufsichtsbehörden vom 26. April 2018 bestätigt.

 

HINWEIS: Die Aufsichtsbehörden verlangen aber nicht nur eine Einwilligung für das Setzen von Cookies, sondern für alle Verfahren, bei denen potentiell Daten und Informationen zu den Website-Besuchern gesammelt werden, ohne dass dies für den Betrieb der Website erforderlich ist, bspw. auch für Verfahren zur Verfolgung der Website-Besucher durch Zählpixel oder Browser-Fingerprinting. Auch diese Verfahren sollten daher in die technische Einwilligungslösung einbezogen werden.

 

S. Kieselmann

 

Beraterin für Datenschutz

Verwendet ein Internetnutzer die Google-Suchmaschine, wird seine Suche zu der jeweiligen Domain des Staates weitergeleitet, welche anhand seiner IP-Adresse identifiziert wird. Nutzt er also eine IP-Adresse, die ihn bspw. in Frankreich ansässig erscheinen lässt, werden ihm ggf. Einträge zu einem anderen Menschen gar nicht erst angezeigt, wenn er diesen anhand von dessen Namen sucht.

So musste Google gemäß der Entscheidung des EuGH vom 13.05.2014 Einträge zu einem Betroffenen, die ihn namentlich erwähnten samt Angaben zu seinen Schulden, „auslisten“. Die Links zu von Dritten veröffentlichten Internetseiten mit Informationen zu ihm tauchten dann in der Ergebnisliste auf die entsprechende Suchanfrage hin nicht mehr auf.

Mit seinem Urteil vom 24.09.2019 hat der EuGH nun klargestellt, wie weit diese „Löschpflicht“ von Google reicht: Hat eine betroffene Person ein Recht auf eine solche Auslistung, ergibt sich damit noch nicht, dass dieses Recht über das Hoheitsgebiet der Mitgliedstaaten hinausgeht. Das bedeutet, dass die Einträge zu dieser Person erst einmal weiterhin über Domains anderer Staaten, die keine EU-Mitglieder sind, abrufbar bleiben. Google muss die entsprechenden Einträge dort nicht auslisten, sondern nur wirksam verhindern, dass Internetnutzer in EU-Mitgliedstaaten diese Einträge in ihrer Ergebnisliste auffinden.

Der EuGH weist aber darauf hin, dass eine Aufsichtsbehörde dennoch in Einzelfällen befugt sein kann, Suchmaschinenbetreiber wie Google anzuweisen, die Einträge in allen Versionen ihrer Suchmaschine auszulisten, wenn eine Grundrechtsabwägung ergibt, dass das Recht der betroffenen Person auf Achtung ihres Privatlebens und auf Schutz der sie betreffenden personenbezogenen Daten höher zu werten ist als das Recht auf freie Information.

S. Kieselmann

Beraterin für Datenschutz

Der Europäische Gerichtshof (EuGH) hat am 29.07.2019 über die Konsequenzen einer Einbindung des Facebook-Like-Buttons auf der Website entschieden. Seitenbetreiber müssen die Nutzer in diesem Fall informieren und deren Einwilligung einholen.

 

Schon lange findet man den Like-Button als Social-Media-Plugin auch auf Webseiten außerhalb von Facebook. Die Seitenbesucher können dadurch ihre Meinung kundtun und Inhalte schnell und unkompliziert auf Facebook teilen.

 

Das Problem am Like-Button ist, dass die Website, auf der er eingebunden ist, Daten an Facebook überträgt – und zwar mit Öffnen der Website und unabhängig davon, ob der Like-Button betätigt wird oder man überhaupt bei Facebook angemeldet oder registriert ist. Zu diesen Daten gehören z.B. die IP-Adresse und Cookies.

 

Der EuGH hat sich nun mit der Frage beschäftigt, wer für den Like-Button verantwortlich ist, und hat sich – ähnlich wie bei seiner Entscheidung zu Facebook-Fanpage-Betreibern – für eine gemeinsame Verantwortlichkeit von Facebook und dem Webseitenbetreiber entschieden. Denn der Seitenbetreiber und Facebook entscheiden auch gemeinsam über die Mittel und Zwecke des Datentransfers. Dies gilt allerdings nur für die Erhebung und Übermittlung der Daten an Facebook, nicht jedoch für die spätere Datenverarbeitung durch Facebook.

 

Konsequenz dieses Urteils ist, dass die Webseitenbetreiber die Seitenbesucher hinsichtlich dieser Datenerhebung und -übermittlung informieren und deren Einwilligung diesbezüglich einholen müssen. Dies kann beispielsweise durch ein Pop-Up geschehen, das auf die Datenschutzerklärung verweist und in dem die Seitenbesucher explizit die Social-Media-Funktionen aktivieren können.

 

Auch andere Anbeiter, wie z.B. Google, Twitter oder Pinterest, bieten solche Social Plugins an. Aufgrund des EuGH-Urteils sollten auch in diesen Fällen die Seitenbesucher entsprechend informiert und deren Einwilligung eingeholt werden. Andere Plugins, die ähnlich funktionieren, z.B. von Werbeanbietern, dürften davon ebenfalls betroffen sein.

 

Julia Eisenacher
Juristin (Univ.)
Consultant für Datenschutz

130 OWiG 2 AZR 342/20 20 Mitarbeiter 20.04.2021 50 Millionen 72 Stunden A1 Digital Abbinder Abkommen Abmahnung Abmahnungen Abo-Falle Absenderinformationen irreführend Absicherung Abstandsmessung Abstandsüberwachung Abstimmung Abwehr terroristischer Straftaten Active Directory Certificate Services ADCERT Adressbuch AfD Aggregierte Daten ähnliche Betrugsmaschen Airbnb Amazon amerikanische Behörden Amnesty Anbieter Angemessenheitsbeschluss Angemessenheitsentscheid Angestellte Angreifer Angriff Anklage Anonymisierung Anschein Ansteckungsgefahr Anwendbarkeit Anwendung Anwesenheit Anwesenheitskontrolle AOK Apple Applikationen AppLocker Arbeitgeber Arbeitnehmer Arbeitsabläufe Arbeitsagentur Arbeitsgericht Arbeitsmittel Arbeitsrecht Arbeitsschutzverordnung Arbeitsunfähigkeitsbescheinigung Arbeitsverhältnis Arbeitszeit Arbeitszeitgesetz ArbGG Art 6 und 9 DSGVO Art. 13 DSGVO Art. 17 DSGVO Art. 25 DSGVO Art. 26 DSGVO Art. 28 DSGVO Art. 32 DSGVO Art. 37 DSGVO Art. 4 Nr. 12 DSGVO Art. 45 DSGVO Art. 5 Abs. 1 Art. 8 MRK Art. 9 DSGVO Attacken Auchfsichtsbehörde Audit Aufsichtsbehörde Aufsichtsbehörden Auftragsverarbeiter Auftragsverarbeitung Auftragsverarbeitungsvertrag Aufzeichnung Auskunft Auskunftei Auskunftsanspruch Auskunftsansprüche Auskunftspflicht Auskunftsrecht Auskunftsverlangen Ausländerbehörde auslisten Ausnutzung Ausspähen Austritt Austrittsabkommen Auswertung Authentizität Automatisierte Einzelentscheidung Autsch Avast Backup Baden-Württemberg BAG Bankkonto Base64 Decodierer BayDSG Bayerisches Datenschutzgesetz BDSG BDSG-Neu Beamte BEAST Bedrohung Beekeeper Befunde Begrifflichkeiten Beherbergungsstätten Bekanntwerden Belarus BEM Benachrichtigungspflicht Benutzerauthentifizierung Berechtigungen Berichte Bertroebrätemoderniesierungsgesetz Berufsgeheimnis Beschäftigte Beschäftigtendaten Beschäftigtendatenschutz Beschäftigtenumfragen Beschluss Beschlussfassung Beschwerde besondere Kategorien personenbezogener Daten Besucherdaten Betreff passt nicht betriebliche Eingliederungsmanagement betriebliche Nutzung betrieblicher Datenschutzbeauftrage betrieblicher Datenschutzbeauftragter betrieblicher E-Mail-Account betrieblicher Internetzugang Betriebsrat Betriebsratssitzung Betriebsratsvorsitzende Betriebsvereinbarung Betriebsverfassungsgesetz Betriebsversammlungen betroffene betroffene Person betroffene Personen Betroffenenanfragen Betroffenendaten Betroffenenrechte Betrüger Betrugsmasche BetrVG Bewegungsprofil Bewerberdaten Bewerberportal BfDI BGH Bildaufnahmen Bildberichterstattung Bilder Bildersuche Bildrecht Bildrechte Binding Corporate Rules biometrische Daten Biometrische und genetische Daten Bitcoins Bitkom BKA Black- bzw. Whitelisting Technologie Bonität Bonitätsprüfung Bounty Brexit Britische Datenschutzbehörde Browser BSI Bug-Bounty-Programm Bund Bundesamt für Sicherheit Bundesamt für Sicherheit in der Informationstechnik Bundesarbeitsgericht Bundesdatenschutzbeauftragter Bundesdatenschutzgesetz Bundesfinanzministerium Bundesgesundheitsministerium Bundeskartellamt Bundesnetzagentur Bundesregierung Bürokratieentlastungsgesetz Bußgeld Bußgeldbehörden Bußgelder Bußgeldrahmen Bußgeldverfahren BVG C-311/18 Callcenter Caller ID Spoofing Cambridge Analytics Captcha-Funktion CEO-Fraud Certified Pre-Owned Checkliste Citizen-Score Cloud Cloud-Lösung CNIL Compliance Computer Cookie Cookies Corona Corona Testangebot Coronaimpfung Coronavirus Corporate Design COVID-19 COVID-19-Hilfen CovidLock Malware Coworking-Spaces Cross Site Scripting Custom Audience CVE-2020-1456 CVE-2020-35753 CVE-2021-26857 CVE-2021-26858 CVE-2021-27065 Cyber Cyber-Attacken Cyberangriffe Cyberkriminalität Cyberkriminelle Cybersicherheit Cyble c`t Darknet Dashcam data breaches data protection officer Daten Daten-für-alle-Gesetz Datenabflüsse Datenaustausch Datenerhebung Datenklau Datenlöschung Datenminimierung Datenmissbrauch Datenmonopol Datenpanne Datenpannen Datenschutz Datenschutz Grundverordnung Datenschutz und Informationsfreiheit Datenschutz- und Informationssicherheitsbeauftragten Datenschutz-Folgenabschätzung Datenschutz-Keule Datenschutz-Schulungen Datenschutzabkommen Datenschutzaufsichtsbehörde Datenschutzaufsichtsbehörden Datenschutzauskunft-Zentrale Datenschutzbeauftragte Datenschutzbeauftragten Datenschutzbeauftragter Datenschutzbehörde Datenschutzerklärung Datenschutzgesetz Datenschutzgrundsätze Datenschutzgrundverordnung Datenschutzkonferenz datenschutzkonform Datenschutzmanagement Datenschutzmängel Datenschutzniveau Datenschutzpanne Datenschutzprinzipien Datenschutzrecht Datenschutzvereinbarung Datenschutzverletzung Datenschutzverletzungen Datenschutzverordnung Datenschutzverstoß Datenschutzverstöße Datenschutzverstößen Datenschutzvorfall Datensicherheit Datentranfer in Drittstaaten Datentransfer Datenübermittlung Datenübermittlung an Dritte Datenübermittlung in Drittstaaten Datenübertragung Datenverarbeitung Datenverarbeitungsprozesse Dating Dating-Portale Denial of Service Deutsch deutsch Deutsche Bahn Deutsche Bundesbank deutsche Telemediengesetz Deutsche Wohnen Deutsche Wohnen SE Diagnose Diebstahl Dienste Diensteanbieter Dienstleister Diesel-Fahrverbot Dieselfahrverbot Dieselskandal Direktwerbung Dispokredit Do not track-Funktion Dokumentation Donald Trump DoS Drittanbieter Dritter Drittland Drittlandtransfers Drittstaat Drittstaat ohne angemessenes Datenschutzniveau Drittstaaten Drohung DSAnpUG-EU DSDVO DSFA DSG DSGVO DSGVOÜberwachungstool DSK DSV DSVGO DSVO Durchsuchung Dynamic Data Exchange Protokoll dynamische IP-Adresse E-Mail E-Mail-Kampagnen E-Mail-Kommunikation e-Privacy-Verordnung E-Rechnung E-SBC eCall-Technologie EDÖB EDPB eDSB EES EFAIL ehrenamtlich tätiger Vereine Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte eigenes Unternehmen Eigentum Einhaltung Einschränkungen Einsichtnahme Einwilligung Einwilligungserfordernis Einwilligungserklärung Einwilligungserklärungen Einzelfall elektronische Kommunikation elektronische Patientenakte Empfänger Empfehlungen Empfehlungen für Transfer- und Überwachungsmaßnahmen Ende-zu-Ende Ende-zu-Ende-Verschlüsselung Englisch ENISA Entlastung Entschädigungszahlungen Entsorgung ePA ePrivacy ePVO Erfassung Ergebnisliste Erhebung Erhebung personenbezogener Daten Erhebungsverbot erhöhter Kundenkontakt Ernährung Erwägungsgrund 48 der DSGVO eSafety-Initiative Essenswünsche Ethik ETIAS EU EU Kommission EU-Bürger EU-Datenschutz-Grundverordnung EU-Datenschutzgrundverordnung EU-Mitgliedsstaaten EU-Parlament EU-Richtlinie EU-Standardvertragsklauseln EU-Vertreter EuGH Euratom Europa Europäische Atomgemeinschaft Europäische Aufsichtsbehörde Europäische Kommision Europäische Kommission Europäische Union europäischen Vorschriften Europäischer Gerichtshof European Data Protection Board Evaluation abgeschlossen EWR Exchange-Servern externe Quellen Extra-Bezahlung Extra-Kosten Facebook Facebook-Fanpages Facebook-Pixel Fachbereich Fahrzeugdaten Fahrzeuge Falschmeldung Fanpage Fanpagebetreiber Fax faxen Faxgerät Faxgeräte FBI FDPIC Feedback fehlende TOM Fehler Fernmeldegeheimnis Festplatte Finanzamt Finanzsektor Finbold Fingerabdruck Fingerabdruckscanner Fingerabdrucksystem Firmensitz FlugDaG Fluggast Fluggastdaten Fluggastdatengesetz Folgenabschätzung Formalien Foto Foto-Funktion Fotos auf der Webseite ohne die Einwilligung Framework freiwillig Frist Fristbeginn fristlose Kündigung Führungsperson Funkmäuse Funktastaturen Fürsorgepflicht GCP GDPR Geburtsdaten gefährdet gefälscht Email Gehaltsvorstellung Geheimhaltung Geldbörse Geldbußen Geldstrafe Geldsumme Gemeinsam Verantwortliche Gericht Gerichtsbeschluss Gesellschaft für Informatik Gesetz Gesetz gegen den Unlauteren Wettbewerb Gesetz gegen Wettbewerbsbeschränkungen gestohlen gesundheitsbedingten Abwesenheit Gesundheitsdaten Gewährleistung ginlo Business Google Google Analytics Google IAP GPS grenzüberschreitend Groß-Britannien Großbritannien Grundrechte Grundrechtsabwägung Grundrechtseingriffen Grundsatz der Zweckbindung GWB H & M H&M Hack hack day Hackathon hacken Hacker Hackerangriff Hackerangriff auf Microsoft Exchange-Server hackfest halal Handelsabkommen Handy-Tracking Hash-Verfahren Hausverwaltung Head of Cyber Security Architectur Health Checks Hilfestellung Hinweisgeber Hinweispflicht Hoccer höchstpersönlich Höchstvermietungsdauer Home Office Home-Office Homeoffice Homepage Hygiene Identitätsdiebstahl Immobilienmakler Impfstatus Impfung Incident Response Incident Response Modus Infektionsrisiko Infomationen Information Informationen Informationsfreiheit Informationspflicht Informationspflichten Informationssicherheit Informationssicherheitsbeauftragte Infrastruktur Inhalteanbieter INPS Insights Insolvenzmasse Insolvenzverfahren Insolvenzverwalter Installation Integrität Interessenkonflikt internationaler Datentranfer interne Informationen interner Datenschutzbeauftragter Internet Intrusion-Prevention-Systeme Investition iOs-App IP-Adresse iPad iPhone IPS Irland ISO/IEC 27001 IT Governance IT GRC IT-Abteilung IT-Forensik IT-forensische Untersuchung IT-Mitarbeiter IT-Security IT-Sicherheit IT-Systeme Italien ITSECX Jahresbericht Japan Jin-hyok Joint Control Kameras Kanada Kenntnis Kennzeichen-Scan Keynote Klagebefugnis Klartextpasswort Klingelschilder KNLTB kollektive Daten Kommune Kommunikation Kommunikationsmedium Kommunikationsnetzwerke auf IP-Basis Konferenz konkrete Handlung Kontaktaufnahme trotz Löschungsverfahren Kontaktbeschränkungen Kontaktdaten Kontakte Kontaktpersonen Kontaktsperre Kontrolle Konzern konzerninterner Datentransfer Kooperation mit der Aufsichtsbehörde Kooperationsabkommen Körpertemperatur KoSIT Krankenkasse Krankenkassen Krankheit Kriminalität Kriminelle Krise KUG Kunden Kundenbindung Kundenzufriedenheit Künstliche Intelligenz Kunsturhebergesetz Kurzarbeit Landesarbeitsgericht Landesbeauftragte Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg Landesbeauftragte für den Datenschutz Landesdatenschutzbeauftragten Landesdatenschutzgesetz Landesverband Landgericht Landgericht Berlin Laptop Lazarus Leads Work Limited Lebensweise Lehrer Leistungs- und Verhaltenskontrolle Leitungspersonen LfD LfDI Baden-Württemberg LfDI BW Like-Button Link geklickt Link klicken Link öffnen LLC Loginprozess Löschpflicht Löschung personenbezogener Daten Löschungsrecht Löschungsverfahren Löschverlangen Lösegeld Machtposition Mail Makler Malware Mängel Manipulation eines Request Manipulation eines Requests Manipulation von Requests Markennamen Markenrecht marktbeherrschende Stellung Marktforschung Marktortprinzip Maßnahmen MD5 Meldebehörde Meldepflicht meldepflichtige Krankheit Meldeportal Meldescheine Meldesystem Meldevorhaben Meldung Meltdown Menschenrecht Menschrechtsverletzungen Messenger Messenger-Dienste Messung Microsoft Microsoft Office Mieter Mieterdaten Mietverhältnis Minutien Misch-Account Missbrauch Missbrauch von Kundendaten missbräuchlich Mitarbeiter Mitarbeiterüberwachung Mitbestimmung Mitbestimmungsrecht Mitbewerber Mitglieder Mitgliedsstaaten Mitwirkung Mobiltelefon MouseJack-Angriffe Nachverfolgung Nationale Institut für Sicherheit Nationale Schule für Justiz natürliche Person Nebenjob Nebentätigkeit Netzwerklabor Neutrale Schule nicht datenschutzkonform Niederlande Niedersachsen NIST No-Deal-Brexit Nordkorea Notebook notebooksbilliger.de Nutzer Nutzung Nutzungsbedingungen Oberlandesgericht Düsseldorf öffentliche Stelle Office Office 365 Öffnungsklauseln OLG OLG Stuttgart One Stop Shop One-Stop-Shop Online Online-Dienste Online-Gewinnspiel Online-Kommunikationstools OpenPGP Opfer Oracle Oracle Communications Enterprise Session Border Controller organisatorische Absicherung Original oder Betrug Österreich Pandemie Pandemiebekämpfung Papierrechnung Passenger Name Records Passwort Passwort-Sicherheit Passwörter Passwörter. 2016 Passwortfilters Passwortregeln Passwortschutz Patientendaten Penetration Tests Penetrationstest Penetrationstests Persis Online personal data Personal Information Protection Law Personalabteilung Personalausweiskopien Personalfragebogen Personalverantwortliche personenbezogene Daten personenbezogenen Daten Personenbezug Personenbilder persönliche Daten Persönlichkeitsrecht Persönlichkeitsrechte Persönlichkeitsverletzung Pflichten Pharmalobbyist Phishing Phishing-Kampagnen Phishing-Mail Phishingmail Phising PIPL Plattformbetreiber PNR-Daten PNR-Instrumente Polizei POODLE Power Query Powershell-Skript PowerShell-Umgebung Prävention Praxistipps Privacy by Default Privacy by Design Privacy Shield privat private Endgeräte private Handynummer private Mobilfunknummer private Telefonnummer Privatleben Privatnutzung Privatnutzungsverbot Privatspäre Privatsphäre Problem Produktivitätswert Profiling Prozesskosten Quantencomputer Quarantäne Ransomware reale Infrastruktur Rechenzentren Rechenzentrum Recht am eigenen Bild Recht auf Achtung des Privat- und Familienlebens Recht auf Berichtigung Recht auf Datenübertragbarkeit Recht auf Einschränkung Recht auf Löschung Rechte Rechte der betroffenen Person Rechte der betroffenen Personen Rechtmäßigkeitsvoraussetzungen Rechtsabteilung Rechtschreibung fehlerhaft Rechtsgrundlage rechtswidrig Referenten Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien Regelungsaufträge Reichweitenanalyse Reputationsschaden Reschtssicherheit Research Research Team Risiken Risiko Risikobewusstsein Risikogruppen Risikomanagement Risk & Compliance Management Robert-Koch-Institut Rufschädigung Ruhezeiten S/MIME SamSam Sanktion Sanktionen SCC Schaden Schadensersatz Schadensersatzanspruch Schadprogramm Schadsoftware Schmerzensgeld Schnelltest Schrems II Schufa Schüler Schulung Schulungsplattform Schutz Schutz der Privatsphäre schützenswert Schutzmaßnahmen Schutzniveau schutzwürdige Interessen Schwachstelle Schwachstelle in Google Cloud Plattform Schwachstellen Schweiz SDSG second line of defense Security by Design Seitenbetreiber Self-XSS Sensibilisierung SHA1 SharePoint sicher Sicherheit Sicherheits- und Datenschutzmängel Sicherheitslücke Sicherheitslücken Sicherheitsmängel Sicherheitsstandards Sicherheitsvorfall Sicherheitsvorfälle kritische Infrastrukturen IT-Sicherheitsbeauftragten ISMS Sicherheitswarnung des BSI Sicherung der Daten Siegel Signal Signatur Sitzbereiche Sitzungen Skype Smartphone Social Media Inhalt Social Plugin sofort Handeln Software Software-Entwicklung Sony Sony PSN Soziale Netzwerke soziale Netzwerke Spammails SPD Spectre Speicherdauer Sponsoren Sprache Sprachkenntnis staatliche Überwachung Standarddatenschutzklauseln Standardschutzklauseln Standardvertragsklauseln Standort Statistik Tool Steuer Steuerberater Strafe Strafen Straftaten Strafverfolgung Stresssituation Studenten Suchanfrage Suchdienst Suchmaschine Supercomputer Risikolage supervisory authority Support Swiss IT Security Gruppe Swiss- U.S. Privacy Shield Swiss-US Privacy Shield Synergiepotenziale Systemadministrator Tathandlung Technische & organisatorische Maßnahmen technische & organisatorische Maßnahmen Technische Absicherung Technische und organisatorische Maßnahmen technische und organisatorische Maßnahmen Telefax Telefonanruf Telefonat Telefonnummer Telefonwerbung Telekommunikation-Telemedien-Datenschutzgesetz Telekommunikationsgesetz Telemarketing Telemediendienst Telemediengesetz Teleselling Telstra Security Report Tennisclub Testangebot Testpflicht Threema Threema Work TIBER TIBER-DE TKG TLS TMG TOM Tools Totalrevision Tracking Tracking Tools Tracking-Tools Transfer- und Überwachungsmaßnahmen Transportkontrolle Transportverschlüsselung TTDSG Twitter Übergangsfrist Übergangsphase Übermittlung personenbezogener Daten Übernahme Übernahme von Windows-Domänen Übertragung Überwachung Überwachungssoftware Überweisung ins Ausland überzogen Umfrage Umsetzungsfrist Unberechtigte Datenabfrage unerlaubt Unionsbürger unlauterer Wettbewerb unpersonalisierter Benutzer-Account unterlassen Sicherungsmaßnahme Unterlassungsanspruch Unternehmen Unternehmensgröße Unternehmensgruppe Unternehmensnetzwerk Unternehmenssprache unverschlüsselt unverschlüsselter E-Mail Anhang Unwirksamkeit unzulässig Update Urlaub Urteil Urteil BAG 27.04.2021 - 2 AZR 342/20 US-Behörden US-Regierung USA UWG Vegan Vegetarier Verantwortlichen Verantwortlicher Verantwortung Verarbeitung Verarbeitung von Mieterdaten Verarbeitungsverbot Verbot Verbraucher Verbraucherzentralen Verdachtsfälle Vereinbarung Vereinigte Königreich Vereinigtes Königreich Großbritannien und Nordirland Verfahren Verfahren C-311/18 Vergessenwerden Verhaltensweise Verkaufsraum Verlängerung Verletzung der Meldepflicht verloren Verlust Vermieter Vermietung Vernichtung von Datenträgern Veröffentlichung Verordnung (EU) 2015/758 verschlüsseln Verschlüsselte E-Mails Verschlüsselung Verschlüsselungsverfahren Versicherte Verstoß Verstöße Vertrag zur Auftragsverarbeitung Vertragsanbahnung Vertrauen Vertrauenswürdigkeit Verwaltungsakt Verwaltungsgericht Karlsruhe VG Mainz Video-Kommunikation Videokamera Videokamera Attrappen Videokonferenz Videokonferenzen Videokonferenzsysteme Videoüberwachung Videoüberwachung der Beschäftigten Virtual Private Network Virus Vishing Vodafone Voraussetzungen Voreinstellungen Vorgesetzte Vorsicht Vorteile Wachstum WAF WannaCry Warnung Web-Applikation-Firewalls Webcast Webseite Webseiten Webseitenbesucher Webseitenbetreiber Website Website-Betreiber Webtracking Webtrecking weisungsunabhängig Weiterempfehlung von Stellenausschreibungen Weitergabe Weitergabe an Dritte Weiterleitung E-Mail Weltanschauung Werbe SMS ohne Einwilligung Werbeaussage Werbezwecke Werbung Wettbewerb Wettbewerbsrecht wettbewerbsrechtliche Abmahnung Wettbewerbsverstöße WhatsApp Whistleblower Whistleblowing Widerruf Widerrufsrecht Widerspruchsrecht Wien Windows Wire Enterprise Wirklichkeitsmodell Wohnung Workplace Analytics X-Rechnung Xing XSS Youtube Zahlungsverkehr Kontrollmechanismen Zeitdruck Zeiterfassung zentralisierte Verwaltung Zertifikat Zertifizierung Zoom Zoom Video Zugang zu Daten Zugangsdaten Zugriff Zugriffsmöglichkeiten Zugriffsrechte Zugriffsverwaltung Zukauf zulässig Zulässigkeit zusätzliche Maßnahmen Zusatzschutz zuständig Zwangsgeld Zweck Zweckbindung Zweckbindungsgrundsatz § 15 TMG § 26 BDSG-Neu § 26 Bundesdatenschutzgesetz § 32 BDSG § 32 DSGVO § 35 BDSG-Neu § 38 BDSG-Neu § 3a UWG § 42a BDSG § 42b BDSG § 7a UWG § 88 TKG §§ 30

Tags

Mo Di Mi Do Fr Sa So
    1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 30 31