Home / Aktuelles & Termine / it.sec blog

Der Europäische Gerichtshof hat heute Morgen die Datenschutzvereinbarung „Privacy Shield“ zwischen der EU und den USA gekippt. Dies war die informelle Absprache auf dem Gebiet des Datenschutzrechts, die zwischen der Europäischen Union und der USA ausgehandelt wurde. Die Absprache regelte den Schutz personenbezogener Daten, die aus einem Mitgliedsstaat der Europäischen Union in die USA übertragen wurden. Eine Datenübertragung in die USA und andere Staaten ist aber weiterhin auf Grundlage der sog. EU-Standardvertragsklauseln möglich. Diese bieten Garantien dafür, dass bei der Übermittlung von Daten das europäische Datenschutzniveau eingehalten wird.

Auch das „Privacy Shield“ hat Standards für den Umgang mit europäischen Daten in den USA festgelegt. Die Unternehmen, die ihre Datenübertragung darauf gestützt haben, stehen jedoch nun vor dem Problem, dass diese mit dem Wegfall des Privacy Shields unzulässig geworden ist. Diese Unternehmen müssen jetzt also nach Alternativen suchen. In Betracht kommt entweder die Nutzung von o.g. EU- Standardvertragsklauseln oder der Wechsel zu Dienstleistern und Rechenzentren ausschließlich in Europa oder in Staaten mit einem angemessenen Datenschutzniveau. Bei Verstößen gegen die DSGVO kann es jedenfalls teuer werden, wie einige Fälle bereits gezeigt haben. Es drohen Geldbußen von bis zu 20 Millionen Euro oder bis zu 4% des gesamten weltweit erzielten Jahresumsatzes eines Unternehmens, wenn man Daten ohne angemessenes Datenschutzniveau in ein Drittland übermittelt.

Der österreichische Datenschutzaktivist Max Schrems hatte in diesem Fall beanstandet, dass Facebook Irland seine Daten an den Mutterkonzern in den USA weiterleitet. Denn dort ist Facebook dazu verpflichtet, den US-Behörden (z.B. FBI, NSA) Zugang zu den Daten zu gewähren – und das ohne richterlichen Beschluss oder die Möglichkeit der betroffenen Personen dagegen vorzugehen. Der Rechtsschutz ist für die betroffenen Personen daher unzureichend. Aufgrund dieser Zugriffsmöglichkeiten ist nach Ansicht der Luxemburger Richter der Datenschutz nicht gewährleistet und erklärte dem EU-US Privacy Shield eine Absage.

Unternehmen müssen nun dringend handeln und entweder die Datenverarbeitung mit ehemals Privacy Shield zertifizierten Unternehmen einstellen oder mit diesen unverzüglich EU-Standardvertragsklauseln schließen.

 

Julia Eisenacher
Juristin (Univ.)
Consultant für Datenschutz

 

EU-US-Datenschutzvereinbarung „Privacy Shield“ ungültig

Mit Spannung haben die Datenschützer in Europa auf den Dezember 2019 gewartet, sollte doch der Schlussantrag des Generalanwalts im Verfahren C-311/18 ein Indiz dafür geben, ob der Datenaustausch mit den USA weiterhin auf den Privacy Shield gestützt werden kann, ja ob der Privacy Shield an sich überhaupt die Qualität hat, die Daten der EU-Bürger in den USA sicher zu schützen.

Doch es kam anders.

Ausgangsfrage

Eigentlich geht es in dem Verfahren nämlich gar nicht um den Privacy Shield, sondern um die Standardvertragsklauseln gem. Beschluss 2010/87/EU. Der Beschwerdeführer Herr Schrems beruft sich im Wesentlichen auf die Unangemessenheit dieser vertraglichen Garantien unter Hinweis auf die Eingriffe in die Ausübung seiner Grundrechte, die sich aus der Tätigkeit der amerikanischen Nachrichtendienste ergeben. Daher sollte der EuGH in einer Vorabentscheidung prüfen, ob in den USA ein angemessener Schutz der Daten von Unionsbürgern sichergestellt ist und falls nicht, im Anschluss feststellen, ob dann ggfs. ein Rückgriff auf den Privacy Shield zulässig sei mit der Folge, dass dieser ebenfalls auf dem Prüfstand stünde.

Wirksamkeit der Standardvertragsklauseln

Der Generalanwalt stellte fest, dass die Standardvertragsklauseln nicht bereits dadurch unwirksam würden, weil diese die Behörden im Drittland nicht selbst zur Einhaltung der in den Standardvertragsklauseln niedergelegten Grundsätze verpflichten. Es müsse vielmehr untersucht werden, ob eine Pflicht für den Verantwortlichen oder die jeweilige Kontrollstelle (in der Regel die Aufsichtsbehörde) bestünde, die Übertragung auszusetzen oder zu verbieten, sofern die Standardvertragsklauseln aufgrund des Rechtes des Drittlandes nicht eingehalten werden könnten. Dies sei durch Art. 58 Abs. 2 litt. f) und j) DSGVO sichergestellt, so dass die datenschutzrechtlichen Belange der Unionsbürger ausreichend gewahrt seien. In der zu überprüfenden Entscheidung gehe es damit ausschließlich um die Frage, ob die irische Aufsichtsbehörde im konkreten Fall ihren Befugnissen zur Ergreifung von Maßnahmen korrekt nachgekommen sei. Konkret: Die irische Aufsichtsbehörde hätte die Befugnisse der nationalen Sicherheitsbehörden in den USA selbst abwägen sollen und je nach Ergebnis dann die Übermittlung der Daten erlauben oder verbieten können. Dies zu beurteilen, sei jedoch Aufgabe des vorlegenden Gerichts.

Wirksamkeit des Privacy Shields

Eine Entscheidung zur Wirksamkeit des Privacy Shields hält der Generalanwalt in diesem Verfahren folgerichtig nicht für notwendig, da der vorliegende Rechtsstreit ausschließlich die korrekte Anwendung der DSGVO durch die Irische Aufsichtsbehörde betreffe. Zudem verweist der Generalanwalt auf die offene Rechtssache T-738/16, eine Nichtigkeitsklage die Gültigkeit des Privacy Shields betreffend. Ob die Ausführungen, die der Generalanwalt hilfsweise in seinem Schlussantrag zur Wirksamkeit des Privacy Shields gemacht hat, dort ebenfalls Berücksichtigung finden werden, bleibt abzuwarten.

Pragmatismus

Bereits zu Beginn seiner Stellungnahme wies der Generalanwalt darauf hin, dass seine Analyse ein vernünftiges Maß an Pragmatismus enthalte, um die Interaktion mit anderen Teilen der Welt zu ermöglichen („reasonable degree of pragmatism in order to allow interaction with other parts of the world“). Es bleibt zu hoffen, dass das zweite Ziel, nämlich die Notwendigkeit, die in den Rechtsordnungen der EU anerkannten Grundwerte durchzusetzen, hierbei nicht auf der Strecke bleibt.

Im Lichte des Pragmatismus wäre es jedenfalls für die Rechtsanwender, die Unternehmen und die Datenschutzbeauftragten deutlich einfacher gewesen, der Generalanwalt hätte schon jetzt eine deutliche Empfehlung hinsichtlich der Wirksamkeit des Privacy Shields ausgesprochen. Stattdessen möchte er die konkrete Entscheidung, ob die Rechte von Unionsbürger in einem Drittland ausreichend gewahrt werden, und welche Maßnahmen im gegenteiligen Fall zu treffen sind, den mehr als 40 verschiedenen Datenschutz-Aufsichtsbehörden selbst überantworten.

Vielleicht hat der EuGH ja ein Einsehen mit den vor allem europaweit vertretenen Unternehmen, die sich gerne an die gesetzlichen Vorgaben halten möchten und denen es aus unserer Sicht nicht zugemutet werden kann, sich ggfs. je nach unterschiedlicher Auffassung der lokalen zuständigen Aufsichtsbehörde unterschiedlich zu verhalten.

Wir werden Sie wie immer über die aktuellen Entscheidungen auf dem Laufenden halten.

C. Lürmann

Rechtsanwältin

Consultant für Datenschutz

Letzte Woche hat das EU-Parlament für eine Aussetzung des EU-US-Privacy Shields (informelle datenschutzrechtliche Absprache, zwischen der Europäischen Union und den USA) gestimmt. Und zwar so lange bis die USA ausnahmslos alle Bedingungen des Datenschutzabkommens erfüllen.

Das EU-Parlament hat mit 303 zu 223 Stimmen für eine Nachbesserung gestimmt. Wenn diese nicht zügig erfolgt, wird das Privacy Shield ab 1.September 2018, mit großen Folgen für die Wirtschaft, ausgesetzt. Das Privacy Shield ist schlichtweg mangelhaft. Es wurde eine lange Mängelliste aufgeführt. Hauptsächlich werden hier die mangelnden Zusagen der US-Regierung und die weitreichenden Zugriffsmöglichkeiten der amerikanischen Behörden auf persönliche Daten von EU-Bürgern kritisiert. Es bietet aktuell kein angemessenes Schutzniveau, wie es seitens der EU gefordert wird.

Es bleibt abzuwarten in welche Richtung man hier tendiert, wir halten Sie dazu auf dem Laufenden.

Dr. Bettina Kraft

Teamleitung und Senior Consultant für Datenschutz

Volljuristin

Im Kontext des Safe Harbor-Urteils des EuGH vom 06.10.2015 stellten die Aufsichtsbehörden ebenso die Zulässigkeit des alternativen Rechtsinstruments der Standardvertragsklauseln für Datenübermittlungen in die USA in Frage. Da die derzeitige Gesetzeslage in den USA den Sicherheitsbehörden eine grundrechtswidrige Massenüberwachung erlaube, kann der Datenimporteur eben gerade nicht garantieren, dass er seines Wissens keinen Gesetzen unterliegt, die ihm die Befolgung der Anweisungen des Datenexporteurs und die Einhaltung seiner vertraglichen Pflichten unmöglich machen bzw. sich nachteilig auf die Garantien und Pflichten auswirken, die die Klauseln bieten sollen (vgl. Klausel 5 der Standardvertragsklauseln).

Die Aufsichtsbehörden haben daher gemäß den Beschlüssen der EU-Kommission, die im Annex die Standardvertragsklauseln enthalten, die Möglichkeit, Datenübermittlungen in die USA auf Grundlage von Standardvertragsklauseln per verwaltungsrechtlicher Anordnung zu verbieten (vgl. Art. 4 Abs. 1 lit. a) des Beschlusses 2010/87/EU). Max Schrems hatte die irische Aufsichtsbehörde mittels einer Beschwerde darauf verwiesen.

Daraufhin hatte die Aufsichtsbehörde die rechtliche Prüfung der Wirksamkeit der Standardvertragsklauseln an den irischen High Court weitergeleitet. Dieser legte die Frage zur Gültigkeit der Standardvertragsklauseln als Grundlage für Datenübermittlungen in Drittstaaten dem EuGH zur Entscheidung vor.

Es bleibt abzuwarten, wie das Urteil des EuGHs ausfallen wird. Sollte er entscheiden, dass eine Datenübermittlung nicht rechtssicher auf der Grundlage der Standardvertragsklauseln möglich ist, könnte dies die Beauftragung von Dienstleistern in den USA aufgrund der damit verbundenen Datenübermittlungen erheblich erschweren. Denn bei weitem nicht alle US-Unternehmen sind Privacy Shield-zertifiziert.

Insbesondere, wäre dann zu klären, ob die Klauseln dennoch einbezogen werden können, wenn aus den USA zwar auf Daten zugegriffen wird, die Daten dort selbst aber nicht physisch gespeichert werden, sondern in der EU verbleiben (z.B. bei Fernwartungsdienstleistungen). Ein US-Berufungsgericht urteilte unlängst, dass Unternehmen den amerikanischen Sicherheitsbehörden auf deren Anforderung hin den Zugang zu Servern in der EU verweigern dürfen, und hatte damit die Gesetzeslage in den USA etwas abgemildert.

Lisa Benjowski
Informationsjuristin (LL.B.), Consultant für Datenschutz

Die EU-Justizkommissarin Vera Jourova droht mit Kündigung des Privacy Shield. Von Beginn an stand das Privacy Shield Abkommen zwischen der Europäischen Union und den USA unter Kritik.

Das Privacy Shield (Nachfolger von Safe Harbour) ist ein informelles Übereinkommen im Bereich des Datenschutzrechts, das zwischen der Europäischen Union und den USA ausgehandelt wurde. Die Kommission hat am 12. Juli 2016 beschlossen, dass die Vorgaben des Privacy Shields dem Datenschutzniveau der Europäischen Union entsprechen.

Das Übereinkommen regelt den Schutz personenbezogener Daten, die aus einem Mitgliedsstaat der Europäischen Union in die USA übertragen werden.

Jetzt soll damit eventuell schon wieder Schluss sein. Die EU-Justizkommissarin will sich Ende März mit Vertretern der neuen US-Regierung treffen um das Thema neu zu besprechen. Nach Trumps Executive Order vom 25.01.2017 werden Nicht-US-Bürger nämlich vom Schutz des Privacy Act ausgenommen. Das US-Justizministerium hat jedoch versichert, dass die USA weiter zum Privacy Shield stehe. Bei dem Termin Ende März soll nun geklärt werden, ob die bisher zugesagten Bedingungen von der USA tatsächlich eingehalten werden.

Andernfalls will die EU-Justizkommissarin das Privacy Shield-Abkommen außer Kraft setzen.

Dr. Bettina Kraft
Beraterin für Datenschutz
Justiziarin

Seit der Verkündung des EuGH-Urteils vom 06.10.2015 ist die Übermittlung personenbezogener Daten in die USA auf Grundlage von Safe Harbor rechtswidrig. Die Aufsichtsbehörden konnten ab sofort gegen Unternehmen, die auf Safe Harbor basierende Daten-Übermittlungen in die USA vornehmen, Untersagungsanordnungen aussprechen bzw. Bußgelder verhängen. Nun ist ein Nachfolge-Abkommen, das EU-US Privacy Shield, am 12. 07.2016 von der Europäischen Kommission verabschiedet worden.

Die folgende Aufstellung soll einen kurzen Überblick über die aktuell anwendbaren Rechtsgrundlagen für Datenübermittlungen in die USA geben:

Einwilligung der Betroffenen

Eine Datenübermittlung in die USA ist grundsätzlich zulässig gemäß § 4c Abs. 1 S.1 Nr. 1 BDSG bzw. Art. 49 Abs. 1 lit. a DSGVO, sofern der Betroffene in die Übermittlung seiner personenbezogenen Daten in die USA eingewilligt hat.

VORAUSSETZUNG:Die Einwilligung muss den Anforderungen aus § 4a BDSG bzw. Art. 7 DSGVO gerecht werden. Der Betroffene muss zudem über die für ihn bestehenden möglichen Risiken derartiger Datenübermittlungen in Drittstaaten ohne angemessenes Datenschutzniveau vor Abgabe seiner Einwilligung unterrichtet werden.

EINSCHRÄNKUNG: Einwilligungen von Betroffenen sind i.d.R. nicht wirksam, wenn diese aufgrund von Abhängigkeiten (z.B. wirtschaftliche Abhängigkeit der Beschäftigten vom Arbeitgeber) und / oder unzureichender Informationen erteilt werden. Des Weiteren hat der EuGH in seinem Urteil ausgeführt, dass die anlasslose Massenüberwachung der amerikanischen Behörden den Wesensgehalt des Grundrechts auf Achtung des Privatlebens verletzt. In derartige Eingriffe kann auch der Grundrechtsträger selbst gemäß ständiger Rechtsprechung des Bundesverfassungsgerichts nicht einwilligen.

Vertragserfüllung

Eine Datenübermittlung in die USA ist zulässig gemäß § 4c Abs. 1 S. 1 Nr. 2 BDSG bzw. Art. 49 Abs. 1 lit. b DSGVO, sofern die Übermittlung der personenbezogenen Daten

  • für die Erfüllung eines Vertrages, der zwischen dem Betroffenen und dem Verantwortlichen geschlossen wurde, oder zur Durchführung von vorvertraglichen Maßnahmen auf Antrag der betroffenen Person erforderlich ist und
  • dem Interesse des Betroffenen entspricht, der im Vertrag seinen Ausdruck gefunden hat.

VORAUSSETZUNG: Die Erfüllung des Vertrags bzw. die Durchführung von vorvertraglichen Maßnahmen darf nicht anders zu bewirken sein als durch die Datenübermittlung gerade in die USA (z.B. wenn für Beschäftigte im Rahmen von Einsätzen in den USA Visa beantragt, Hotelzimmer, Flugticket und Mietwagen gebucht werden müssen).

EINSCHRÄNKUNG: Bei der Zentralisierung der Gehaltsabrechnung oder der Errichtung einer Personaldatenbank beim Mutterkonzern oder einer Schwestergesellschaft in den USA fehlt es bereits an der Erforderlichkeit sowie dem Interesse des Betroffenen.

Vertrag zu Gunsten des Betroffenen

Eine Datenübermittlung in die USA ist zulässig gemäß § 4c Abs. 1 S. 1 Nr. 3 BDSG bzw. Art. 49 Abs. 1 lit. c DSGVO, sofern

  • ein Vertrag zwischen dem Verantwortlichen und einem Dritten im Interesse des Betroffenen geschlossen wurde,
  • die Übermittlung zum Abschluss oder zur Erfüllung dieses Vertrages erforderlich ist und
  • die Übermittlung dem Interesse des Betroffenen entspricht, der in diesem Vertrag seinen Ausdruck gefunden hat.

VORAUSSETZUNG: Es muss sich um einen Vertrag i.S.v. § 328 BGB handeln, d.h. der Betroffene erwirbt unmittelbar das Recht, die Leistung zu fordern, die zwischen dem Verantwortlichen und dem Dritten vertraglich vereinbart wurde, und die Erfüllung des Vertrags darf nicht anders zu bewirken sein als durch die Datenübermittlung gerade in die USA (z.B. Auslandsversicherungen für Mitarbeiter, Kreditkartenverträge).

EINSCHRÄNKUNG: Bei der Zentralisierung der Gehaltsabrechnung oder der Errichtung einer Personaldatenbank beim Mutterkonzern oder einer Schwestergesellschaft in den USA fehlt es bereits an der Erforderlichkeit sowie dem Interesse des Betroffenen.

Angemessenheitsbeschluss der EU-Kommission

Eine Datenübermittlung in die USA darf vorgenommen werden gemäß Art. 45 DSGVO, wenn die EU-Kommission in einem Durchführungsrechtsakt beschließt, dass die USA ein angemessenes Datenschutzniveau aufweist.

Gemäß dem Durchführungsbeschluss (EU) 2016/1250 der Kommission vom 12.07.2016 hat die EU-Kommission festgestellt, dass die USA aufgrund der Abreden zum EU-US Privacy Shield (Grundsätze, die am 07.07.2016 vom US-Handelsministerium herausgegeben wurden, offizielle Erklärungen und Zusagen unterschiedlicher Repräsentanten der US-Administration in den Anhängen zum Durchführungsbeschluss) ein angemessenes Datenschutzniveau gewährleisten.

VORAUSSETZUNG: Das US-Unternehmen, an welches personenbezogene Daten übermittelt werden, muss eine Privacy-Shield-Zertifizierung besitzen.

EINSCHRÄNKUNG: Die Artikel-29-Gruppe bzw. der Europäische Datenschutzausschuss hat den Beschluss der EU-Kommission kritisiert und behält sich vor, die Wirksamkeit der Privacy-Shield-Mechanismen in 2017 zu überprüfen. Des Weiteren ist die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder der Auffassung, dass das EU-US Privacy Shield in seiner jetzigen Fassung noch nicht ausreicht und hat den deutschen Gesetzgeber aufgefordert, ein eigenständiges Klagerecht für die unabhängigen Datenschutzbehörden vorzusehen.

Standardvertragsklauseln

Gemäß Art. 46 Abs. 2 lit. c DSGVO darf eine Datenübermittlung erfolgen, wenn ein entsprechender EU-Standardvertrag abgeschlossen wurde zwischen dem Datenexporteur (= Verantwortlicher mit Sitz in der EU/EWR) und dem Datenimporteur (Verantwortlicher / Auftragsverarbeiter mit Sitz in den USA).

VORAUSSETZUNG: Die Standardvertragsklauseln sind im Annex zum Beschluss der EU-Kommission vom 05.02.2010 (2010/87/EU) oder der Entscheidung der EU-Kommission vom 15.06.2001 (2001/497/EG) bzw. vom 27.12.2004 (2004/915/EG) vorgegeben. Sie können gemäß Erwägungsgrund 109 der DSGVO in umfangreichen Verträgen aufgenommen werden und um weitere Klauseln oder zusätzliche Garantien ergänzt werden, solange diese weder mittelbar noch unmittelbar im Widerspruch zu den von der EU-Kommission oder einer Aufsichtsbehörde erlassenen Standard-Datenschutzklauseln stehen oder die Grundrechte und Grundfreiheiten der betroffenen Personen beschneiden. Wir empfehlen, die Standardvertragsklauseln in Wortlaut und Inhalt aus dem jeweiligen Annex zu übernehmen, gemäß den Vorgaben der nationalen Aufsichtsbehörden zu ergänzen und als EU-Standardvertrag gesondert abzuschließen.

EINSCHRÄNKUNG: Die nationalen Aufsichtsbehörden haben gemäß Art. 4 des Beschlusses 2010/87/EU bzw. der Entscheidung 2001/497/EG der EU-Kommission die Möglichkeit, Datenübermittlungen in die USA auf Grundlage des Standardvertrags 2010 per verwaltungsrechtlicher Anordnung zu verbieten. Im Rahmen des Safe Harbor-Urteils haben die nationalen Aufsichtsbehörden daher angekündigt, auch die Zulässigkeit der Standardvertragsklauseln als Grundlage für Datenübermittlugen in die USA zu prüfen. Diesbezüglich sind noch keine Ergebnisse bekannt.

Binding Corporate Rules

Gemäß Art. 47 DSGVO können verbindliche interne Datenschutzvorschriften (Binding Corporate Rules, BCR) innerhalb einer Unternehmensgruppe oder einer Gruppe von Unternehmen getroffen werden.

VORAUSSETZUNG: Die BCR bedürfen der Genehmigung der Aufsichtsbehörden.

EINSCHRÄNKUNG: Die Genehmigung der Aufsichtsbehörde für solche BCR gilt grundsätzlich nur innerhalb des jeweiligen EU-Mitgliedstaates, in dem die Genehmigung erteilt wurde. Allerdings sind Aufsichtsbehörden gemäß Art. 63 DSGVO dazu angehalten, untereinander und gegebenenfalls mit der EU-Kommission zusammenzuarbeiten (Kohärenzverfahren).

Fazit

Für den Fall, dass der Angemessenheitsbeschluss der EU-Kommission zum EU-US Privacy Shield durch ein EuGH-Urteil erneut aufgehoben wird, empfehlen wir, weiterhin die Standardvertragsklauseln einzusetzen.

Falls auch die Standardvertragsklauseln zukünftig nicht mehr als anwendbare Übermittlungsgrundlage für Datentransfers in die USA in Betracht kommen, empfehlen wir, Alternativen zu prüfen, um personenbezogene Daten langfristig ausschließlich innerhalb der EU/EWR (EU-Mitgliedstaaten, Island, Norwegen, Liechtenstein) verarbeiten zu lassen.

Sabrina Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.

20 Mitarbeiter 50 Millionen A1 Digital Abbinder Abmahnung Abmahnungen Abo-Falle Abstandsmessung Abstandsüberwachung Abstimmung Abwehr terroristischer Straftaten ADCERT Adressbuch AfD Airbnb Amnesty Anbieter Angemessenheitsbeschluss Angemessenheitsentscheid Angreifer Angriff Anklage Anonymisierung Ansteckungsgefahr Anwendbarkeit Anwendung Anwesenheit AOK Apple Applikationen AppLocker Arbeitgeber Arbeitnehmer Arbeitsabläufe Arbeitsgericht Arbeitsmittel Arbeitsrecht Arbeitsunfähigkeitsbescheinigung Arbeitszeit Art. 17 DSGVO Art. 25 DSGVO Art. 26 DSGVO Art. 32 DSGVO Art. 37 DSGVO Art. 4 Nr. 12 DSGVO Art. 45 DSGVO Art. 8 MRK Art. 9 DSGVO Attacken Auchfsichtsbehörde Audit Aufsichtsbehörde Aufsichtsbehörden Auftragsverarbeiter Auftragsverarbeitung Aufzeichnung Auskunft Auskunftei Auskunftsanspruch Auskunftsansprüche Auskunftsrecht Auskunftsverlangen auslisten Ausnutzung Ausspähen Austritt Austrittsabkommen Auswertung Authentizität Automatisierte Einzelentscheidung Autsch Avast Backup Baden-Württemberg BAG BayDSG Bayerisches Datenschutzgesetz BDSG BDSG-Neu Beamte BEAST Bedrohung Beekeeper Begrifflichkeiten Beherbergungsstätten BEM Benachrichtigungspflicht Benutzerauthentifizierung Berechtigungen Berufsgeheimnis Beschäftigtendatenschutz Beschäftigtenumfragen Beschluss Beschlussfassung Beschwerde besondere Kategorien personenbezogener Daten Besucherdaten betriebliche Eingliederungsmanagement betriebliche Nutzung betrieblicher E-Mail-Account betrieblicher Internetzugang Betriebsrat Betriebsratssitzung Betriebsvereinbarung Betriebsverfassungsgesetz Betriebsversammlungen betroffene Person betroffene Personen Betroffenenanfragen Betroffenendaten Betroffenenrechte BetrVG Bewegungsprofil Bewerberdaten BfDI BGH Bildaufnahmen Bildberichterstattung Bildersuche Bildrechte biometrische Daten Biometrische und genetische Daten Bitcoins Bitkom BKA Black- bzw. Whitelisting Technologie Bonität Bonitätsprüfung Bounty Brexit Britische Datenschutzbehörde Browser BSI Bug-Bounty-Programm Bund Bundesamt für Sicherheit in der Informationstechnik Bundesarbeitsgericht Bundesfinanzministerium Bundeskartellamt Bundesnetzagentur Bundesregierung Bürokratieentlastungsgesetz Bußgeld Bußgelder Bußgeldverfahren BVG Callcenter Cambridge Analytics Citizen-Score Cloud Cloud-Lösung CNIL Compliance Computer Cookie Cookies Corona Coronavirus COVID-19 CovidLock Malware Coworking-Spaces Custom Audience Cyber Cyber-Attacken Cyberangriffe Cyberkriminalität Cyberkriminelle Cybersicherheit Cyble c`t Darknet Dashcam data breaches data protection officer Daten Daten-für-alle-Gesetz Datenaustausch Datenerhebung Datenlöschung Datenminimierung Datenmonopol Datenpanne Datenpannen Datenschutz Datenschutz Grundverordnung Datenschutz und Informationsfreiheit Datenschutz- und Informationssicherheitsbeauftragten Datenschutz-Folgenabschätzung Datenschutz-Schulungen Datenschutzabkommen Datenschutzaufsichtsbehörde Datenschutzauskunft-Zentrale Datenschutzbeauftragte Datenschutzbeauftragten Datenschutzbeauftragter Datenschutzbehörde Datenschutzerklärung Datenschutzgesetz Datenschutzgrundsätze Datenschutzgrundverordnung Datenschutzkonferenz datenschutzkonform Datenschutzmängel Datenschutzniveau Datenschutzprinzipien Datenschutzvereinbarung Datenschutzverletzung Datenschutzverletzungen Datenschutzverstöße Datensicherheit Datentransfer Datenübermittlung Datenübermittlung an Dritte Datenübermittlung in Drittstaaten Datenübertragung Datenverarbeitung Datenverarbeitungsprozesse Dating Dating-Portale Deutsch deutsch Deutsche Bahn Deutsche Bundesbank deutsche Telemediengesetz Deutsche Wohnen SE Diebstahl Dienste Diensteanbieter Dienstleister Diesel-Fahrverbot Dieselfahrverbot Dieselskandal Direktwerbung Do not track-Funktion Dokumentation Donald Trump Dritter Drittland Drittstaat Drittstaat ohne angemessenes Datenschutzniveau Drittstaaten DSAnpUG-EU DSG DSGVO DSK Durchsuchung Dynamic Data Exchange Protokoll dynamische IP-Adresse E-Mail E-Mail-Kampagnen e-Privacy-Verordnung E-Rechnung eCall-Technologie EDÖB EES EFAIL ehrenamtlich tätiger Vereine Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte Eigentum Einhaltung Einschränkungen Einsichtnahme Einwilligung Einwilligungserklärung Einwilligungserklärungen Einzelfall elektronische Kommunikation Empfänger Ende-zu-Ende Ende-zu-Ende-Verschlüsselung Englisch ENISA Entlastung Entsorgung ePrivacy ePVO Erfassung Ergebnisliste Erhebung Erhebung personenbezogener Daten Erhebungsverbot Ernährung Erwägungsgrund 48 der DSGVO eSafety-Initiative Essenswünsche Ethik ETIAS EU EU Kommission EU-Bürger EU-Datenschutz-Grundverordnung EU-Datenschutzgrundverordnung EU-Mitgliedsstaaten EU-Parlament EU-Richtlinie EU-Standardvertragsklauseln EU-Vertreter EuGH Euratom Europa Europäische Atomgemeinschaft Europäische Aufsichtsbehörde Europäische Kommision Europäische Union europäischen Vorschriften Europäischer Gerichtshof EWR externe Quellen Extra-Bezahlung Extra-Kosten Facebook Facebook-Fanpages Facebook-Pixel Fachbereich Fahrzeugdaten Fahrzeuge Fanpage Fanpagebetreiber Faxgerät FBI FDPIC Feedback Fernmeldegeheimnis Festplatte Finanzamt Finanzsektor Fingerabdruck Fingerabdruckscanner Firmensitz FlugDaG Fluggast Fluggastdaten Fluggastdatengesetz Folgenabschätzung Formalien Foto Framework freiwillig fristlose Kündigung Funkmäuse Funktastaturen Fürsorgepflicht GDPR gefährdet Geheimhaltung Geldbörse Geldbußen Geldstrafe Gemeinsam Verantwortliche Gericht Gerichtsbeschluss Gesellschaft für Informatik Gesetz Gesetz gegen den Unlauteren Wettbewerb Gesetz gegen Wettbewerbsbeschränkungen gestohlen Gesundheitsdaten Gewährleistung ginlo Business Google Google Analytics GPS grenzüberschreitend Groß-Britannien Großbritannien Grundrechte Grundrechtsabwägung Grundrechtseingriffen Grundsatz der Zweckbindung GWB H & M Hack hack day Hackathon hacken Hacker Hackerangriff hackfest halal Handy-Tracking Hash-Verfahren Hausverwaltung Head of Cyber Security Architectur Health Checks Hinweisgeber Hoccer höchstpersönlich Höchstvermietungsdauer Home Office Home-Office Homeoffice Hygiene Immobilienmakler Infomationen Information Informationen Informationsfreiheit Informationspflicht Informationspflichten Informationssicherheit Informationssicherheitsbeauftragte Infrastruktur Inhalteanbieter Insights Insolvenzmasse Insolvenzverfahren Insolvenzverwalter Installation Integrität interner Datenschutzbeauftragter Internet Intrusion-Prevention-Systeme Investition iOs-App IP-Adresse iPad iPhone IPS Irland ISO/IEC 27001 IT Governance IT GRC IT-Forensik IT-forensische Untersuchung IT-Mitarbeiter IT-Security IT-Sicherheit IT-Systeme Italien ITSECX Jahresbericht Japan Jin-hyok Joint Control Kanada Kennzeichen-Scan Keynote Klagebefugnis Klingelschilder KNLTB kollektive Daten Kommune Kommunikation Kommunikationsmedium Konferenz Kontaktbeschränkungen Kontaktdaten Kontakte Kontaktpersonen Kontaktsperre Konzern konzerninterner Datentransfer Körpertemperatur KoSIT Krankenkasse Kriminalität Kriminelle Krise KUG Kundenbindung Kundenzufriedenheit Künstliche Intelligenz Kunsturhebergesetz Kurzarbeit Landesarbeitsgericht Landesbeauftragte Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg Landesdatenschutzbeauftragten Landesdatenschutzgesetz Landesverband Laptop Lazarus Lebensweise Lehrer Leistungs- und Verhaltenskontrolle LfDI Baden-Württemberg LfDI BW Like-Button LLC Löschpflicht Löschung personenbezogener Daten Löschungsrecht Löschverlangen Lösegeld Machtposition Mail Makler Malware Markennamen Markenrecht marktbeherrschende Stellung Marktforschung Marktortprinzip Maßnahmen MD5 Meldebehörde Meldepflicht meldepflichtige Krankheit Meldeportal Meldescheine Meldesystem Meldung Meltdown Menschenrecht Menschrechtsverletzungen Messenger Messung Microsoft Mieter Mietverhältnis Minutien Misch-Account Missbrauch Missbrauch von Kundendaten missbräuchlich Mitarbeiter Mitbestimmung Mitbestimmungsrecht Mitbewerber Mitglieder Mitgliedsstaaten Mitwirkung Mobiltelefon MouseJack-Angriffe natürliche Person Nebenjob Nebentätigkeit Netzwerklabor Neutrale Schule nicht datenschutzkonform Niederlande NIST No-Deal-Brexit Nordkorea Notebook Nutzer Nutzung Nutzungsbedingungen Oberlandesgericht Düsseldorf öffentliche Stelle Office Office 365 Öffnungsklauseln OLG OLG Stuttgart One Stop Shop One-Stop-Shop Online Online-Gewinnspiel Online-Kommunikationstools OpenPGP Opfer Österreich Pandemie Papierrechnung Passenger Name Records Passwort Passwort-Sicherheit Passwörter Passwörter. 2016 Passwortfilters Passwortregeln Passwortschutz Patientendaten Penetration Tests Penetrationstest Penetrationstests personal data Personalabteilung Personalausweiskopien Personalfragebogen Personalverantwortliche personenbezogene Daten personenbezogenen Daten Personenbilder persönliche Daten Persönlichkeitsrechte Pflichten Pharmalobbyist Phishing Phishing-Kampagnen Phising Plattformbetreiber PNR-Daten PNR-Instrumente Polizei POODLE Power Query PowerShell-Umgebung Prävention Praxistipps Privacy by Default Privacy by Design Privacy Shield privat private Endgeräte private Handynummer private Mobilfunknummer private Telefonnummer Privatnutzung Privatnutzungsverbot Privatspäre Privatsphäre Problem Profiling Quantencomputer Quarantäne Ransomware reale Infrastruktur Rechenzentren Rechenzentrum Recht auf Achtung des Privat- und Familienlebens Recht auf Berichtigung Recht auf Datenübertragbarkeit Recht auf Einschränkung Recht auf Löschung Rechte Rechte der betroffenen Person Rechtmäßigkeitsvoraussetzungen Rechtsabteilung rechtswidrig Referenten Regelungsaufträge Reichweitenanalyse Risiken Risiko Risikogruppen Risikomanagement Risk & Compliance Management Robert-Koch-Institut Rufschädigung Ruhezeiten S/MIME SamSam Sanktion Sanktionen Schaden Schadensersatz Schadprogramm Schadsoftware Schrems II Schüler Schulung Schutz schützenswert Schutzmaßnahmen Schutzniveau schutzwürdige Interessen Schwachstellen Schweiz SDSG second line of defense Security by Design Seitenbetreiber Sensibilisierung SHA1 sicher Sicherheit Sicherheits- und Datenschutzmängel Sicherheitslücke Sicherheitslücken Sicherheitsmängel Sicherheitsstandards Sicherheitsvorfall Sicherheitsvorfälle kritische Infrastrukturen IT-Sicherheitsbeauftragten ISMS Sicherung der Daten Siegel Signal Signatur Sitzungen Skype Smartphone Social Plugin Software Software-Entwicklung Sony Sony PSN Soziale Netzwerke soziale Netzwerke SPD Spectre Speicherdauer Sponsoren Sprache Sprachkenntnis Standarddatenschutzklauseln Standardvertragsklauseln Standort Steuer Steuerberater Strafe Strafverfolgung Studenten Suchanfrage Suchdienst Suchmaschine Supercomputer Risikolage supervisory authority Support Swiss IT Security Gruppe Swiss- U.S. Privacy Shield Swiss-US Privacy Shield Synergiepotenziale Systemadministrator Technische & organisatorische Maßnahmen technische & organisatorische Maßnahmen Technische und organisatorische Maßnahmen technische und organisatorische Maßnahmen Telefonnummer Telefonwerbung Telemarketing Telemediendienst Telemediengesetz Teleselling Telstra Security Report Tennisclub Threema Work TIBER TIBER-DE TKG TLS TMG TOM Tools Totalrevision Tracking Tracking Tools Tracking-Tools Transportverschlüsselung Twitter Übergangsphase Übermittlung personenbezogener Daten Übernahme Übertragung Überwachungssoftware Umfrage Umsetzungsfrist Unberechtigte Datenabfrage unerlaubt Unionsbürger unpersonalisierter Benutzer-Account Unterlassungsanspruch Unternehmen Unternehmensgröße Unternehmensgruppe Unternehmenssprache unverschlüsselt unzulässig Update Urteil US-Behörden US-Regierung USA UWG Vegan Vegetarier Verantwortlicher Verantwortung Verarbeitung Verarbeitungsverbot Verbot Verbraucher Verbraucherzentralen Verdachtsfälle Vereinbarung Vereinigte Königreich Vereinigtes Königreich Großbritannien und Nordirland Verfahren C-311/18 Vergessenwerden Verlängerung verloren Verlust Vermieter Vernichtung von Datenträgern Veröffentlichung Verordnung (EU) 2015/758 verschlüsseln Verschlüsselte E-Mails Verschlüsselung Verschlüsselungsverfahren Verstoß Verstöße Vertrag zur Auftragsverarbeitung Vertragsanbahnung Verwaltungsakt Verwaltungsgericht Karlsruhe VG Mainz Video-Kommunikation Videokamera Videokonferenz Videokonferenzen Videoüberwachung Virus Voraussetzungen Voreinstellungen Vorsicht Vorteile Wachstum WAF WannaCry Warnung Web-Applikation-Firewalls Webcast Webseite Webseiten Webseitenbesucher Webseitenbetreiber Website Website-Betreiber Webtracking Webtrecking weisungsunabhängig Weitergabe Weitergabe an Dritte Weltanschauung Werbeaussage Werbezwecke Werbung Wettbewerb Wettbewerbsrecht wettbewerbsrechtliche Abmahnung Wettbewerbsverstöße WhatsApp Whistleblower Whistleblowing Widerruf Widerrufsrecht Widerspruchsrecht Wien Windows Wire Enterprise Wirklichkeitsmodell Wohnung X-Rechnung Youtube Zeiterfassung zentralisierte Verwaltung Zertifikat Zertifizierung Zoom Zoom Video Zugangsdaten Zugriff Zugriffsmöglichkeiten Zugriffsrechte Zugriffsverwaltung Zukauf zulässig Zulässigkeit zusätzliche Maßnahmen Zusatzschutz zuständig Zwangsgeld Zweck Zweckbindung Zweckbindungsgrundsatz § 15 TMG § 26 BDSG-Neu § 32 BDSG § 32 DSGVO § 35 BDSG-Neu § 38 BDSG-Neu § 3a UWG § 42a BDSG § 42b BDSG § 88 TKG

Tags

Mo Di Mi Do Fr Sa So
  1 2 3 4 5 6
7 8 9 10 11 12 13
14 15 16 17 18 19 20
21 22 23 24 25 26 27
28 29 30