Beiträge

15.04.2019

Einiger Artikel auf dem Portal Heise.de ist zu entnehmen, dass Office365 es nach wie vor nicht so genau nimmt mit der Einhaltung der DSGVO. Ebenfalls kann man dort lesen:

„Die EU-Datenschutzbehörde EDPS untersucht, ob die Verträge der EU-Dienststellen mit Microsoft der seit Ende 2018 geltenden Datenschutzgrundverordnung (DSGVO) entsprechen. Das teilte die Behörde, die für die Überwachung und Durchsetzung des Datenschutzes in der Europäischen Union zuständig ist, am Montag in Brüssel mit.“

Einmal mehr dürfen wir gespannt sein welche Ergebnisse diese Untersuchungen zu Tage fördern.

Wir wunderten uns schon bei Facebook, dass abermillionen von Kennwörten unverschlüsselt abgelegt wurden oder werden. Offensichtlich sind die Dinge bei Microsoft nicht wesentlich besser gelöstals bei Facebook, denn auch dort sollen unverschlüsselte Kennwörter über das Netz transportiert oder gespeichert werden.

30.01.2019

Gehört Ihr Unternehmen auch zu denen, die bislang wenig oder gar nichts bzgl. des Datenschutzes unternommen hat?

Lesen Sie das Interview des Spiegel mit dem Datenschutzbeauftragten von Baden Württemberg

Zum Spiegelinterview

24.01.2019

BfDI Pressemitteilung :

Bundesdatenschutzbeauftragter mahnt Zurückhaltung bei Gesichtserkennung an
Wie der Hamburgische Datenschutzbeauftragte hält auch der BfDI die biometrische Auswertung von Videomaterial ohne eine neue Rechtsgrundlage für rechtswidrig.

Bei immer größer werdenden Datenbeständen und umfangreicheren Methoden zu deren Auswertung steigt ohne eine klar begrenzte Regelung das Risiko, unschuldig in das Visier der Behörden zu geraten. Außerdem könne das dauernde Gefühl einer Überwachung bewusst und unbewusst zur Vermeidung völlig legaler Verhaltensweisen, wie zum Beispiel der Teilnahme an Demonstrationen, führen.

Hierzu erklärt Ulrich Kelber: »Für eine automatisierte biometrische Gesichtserkennung gibt es derzeit keine Rechtsgrundlage! Nur weil es mittlerweile technisch möglich ist, große Datenmengen detailliert biometrisch auszuwerten, ist ein entsprechendes Verfahren noch lange nicht rechtlich zulässig.

Ein derart erheblicher Grundrechtseingriff kann nicht mit einem Rückgriff auf die weiten Generalklauseln der StPO legitimiert werden. Diese stammen überwiegend noch aus den 70er und 80er Jahren, als Datenverarbeitungen, wie die hier in Rede stehenden, noch pure Science Fiction waren. Die technischen Methoden und Bedingungen, mit denen Sicherheitsbehörden Datenbestände auswerten und analysieren dürfen, müssen daher zwingend neu gefasst werden und in diesem Zusammenhang auch entsprechend ihrer Eingriffsintensität und potentiellen Streubreite klar eingegrenzt werden.

Bereits heute streuen wir alle inzwischen eine breite Datenspur, wenn wir das Internet benutzen, ein eingeschaltetes Telefon mit uns führen, reisen, öffentliche Verkehrsmittel benutzen, Auto fahren oder einkaufen. Werden all diese Daten noch mit einer uferlosen Flut an biometrischem Videomaterial ergänzt, besteht die reelle Gefahr, sich nicht mehr unbeobachtet in der Öffentlichkeit bewegen zu können. Wenn Menschen deshalb beispielsweise aus Angst darauf verzichten, gewisse Aktivitäten freiheitlich wahrzunehmen, ist eine Grenze überschritten, die auch das Bundesverfassungsgericht immer als klare rote Linie für hoheitliche Eingriffe festgelegt hat. Hierzu darf es nicht kommen!«

In der letzten Woche hat Hamburgs Innensenator gegen eine Anordnung des Hamburgischen Datenschutzbeauftragten geklagt, mit der dieser die Löschung einer Datenbank mit aus Videos gewonnenen biometrischen Informationen tausender Bürgerinnen und Bürger gefordert hatte. Das relevante Videomaterial, das rund um den G20-Gipfel aufgenommenen wurde, stammt von der Polizei, aber auch von Handyvideos privater Personen oder von Überwachungskameras aus dem öffentlichen Nahverkehr. Mit der Klage soll geklärt werden, ob die bestehenden Vorschriften der Strafprozessordnung die biometrische Auswertung von Videomaterial ermöglichen.

21.01.2019

Ein kleines Unternehmen wurde mangels Vertrag zur Auftragsverarbeitung mit Bescheid vom 17.12.2018 zu einem Bußgeld in Höhe von von 5.000,– Euro plus 250,– Euro Bearbeitungsgebühr verurteilt. Auslöser hierfür war das Unternehmen selbst durch eine Anfrage bei der Landesaufsichtsbehörde.

Hintergrund war eine Pflicht des verantwortlichen Unternehmens die es selbst aber nicht wahrnehmen wollte.

Lesen Sie hier bei Heise.de mehr dazu.

Wir empfehlen unseren Kunden eine gute Kooperation mit den Aufsichtsbehörden und gewissenhafte Umsetzung der gesetzlichen Vorgaben. Alles andere verdoppelt die Kosten, und schadet dem Image.

Das Bundesland NRW hat beispielsweise bisher laut Presseberichten 33 Bußgelder verhängt. Hamburg und Baden Württemberg haben ebenfalls inzwischen Bußgelder ausgesprochen.

Der höchste Einzelbetrag in Deutschland wurde verhängt, da Gesundheitsdaten aufgrund mangelhafter interne Kontrollsysteme ins Internet gelangten. Das Bußgeld betrug hier 80.000,– Euro.

Weitere Vergehen die geahndet wurden waren u.a.:

Eine Feuerwehr zeichnete alle geführten Telefonate auf statt nur der Notrufe.
Ein Hotel konnte nicht ausschliessen, dass aufgrund eines erpresserischen Hackerangriffs Kreditkarten- und andere Kundendaten gestohlen wurden.
Unzulässige Webemails
Unzulässige Dashcamnutzung
Unzulässige Videoüberwachung
 

21.01.2019

Durch das Verlassen der EU wird Großbritannien zum Drittland. Dazu ist einiges zu beachten. Die Aufsichtsbehörde Rheinland Pfalz schreibt am 15.01.2019 dazu:

Gleich, ob am Ende ein ungeregelter Austritt Groß-Britannien steht oder eine verhandelte Lösung, wird davon ein großer Teil rheinland-pfälzischer Unternehmen betroffen sein. Dies hat nicht zuletzt auch datenschutzrechtliche Folgen.

„Mit der Digitalisierung von Geschäftsprozessen bei Entwicklung und Produktion, Marketing und Vertrieb oder der Pflege von Kundenbeziehungen, bestehen vielfältige wirtschaftliche und technische Verflechtungen über Unternehmens- und Ländergrenzen hinweg. Viele Unternehmen übermitteln Beschäftigten- oder Kundendaten nach Groß-Britannien oder nutzen IT-Leistungen, die von dortigen Anbietern oder in dortigen Rechenzentren erbracht werden“, so der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz, Prof. Dr. Dieter Kugelmann. Betroffen sind sie als Konzern-Unternehmen, im  Rahmen von Joint-Ventures, Lieferketten und anderen IT-gestützten Prozessen. Solche Datenübermittlungen bedürfen auch nach einem Brexit einer rechtlichen Grundlage. Um zu vermeiden, dass wichtige rechtliche Dokumente kurzfristig angepasst oder gar erst erstellt und dann noch ins Tagesgeschäft eingespeist werden müssen, sollten nicht-öffentliche und öffentliche Stellen, die personenbezogene Daten in das Vereinigte Königreich übermitteln, sich schon jetzt auf das „Worst Case Scenario“ vorbereiten, denn der 29. März 2019 rückt unaufhaltsam näher“ so Kugelmann. „Fakt ist, dass das Vereinigte Königreich nach Austritt aus der EU zu einem „Drittland“ im Sinne der Datenschutz-Grundverordnung (DS-GVO)

Damit müssen verantwortliche Stellen in der EU, also auch die mit Sitz in Rheinland-Pfalz, in jedem Fall die folgenden Bestimmungen berücksichtigen und ggf. Dokumente entsprechend überarbeiten und zwar unabhängig davon, ob es zu einem „deal“ zwischen der EU und dem UK kommt oder nicht:

 

Im Informationsblatt zur Datenverarbeitung und in der Datenschutzerklärung einer Website ist gemäß Art. 13 Abs. 1 lit. f bzw. Art. 14 Abs. 1 lit. f DS-GVO über die Datenübermittlung in ein Drittland zu informieren.
Wenn eine betroffene Person von ihrem Auskunftsrecht Gebrauch macht, ist sie gemäß Art. 15 Abs. 1 lit. c, Abs. 2 DS-GVO auch über die Datenübermittlung in Drittländer zu beauskunften.
Im Verzeichnis von Verarbeitungstätigkeiten sind Datenübermittlungen in Drittländer gemäß Art. 30 Abs. 1 lit. d und lit. e DS-GVO bzw. Art. 30 Abs. 2 lit. c DS-GVO als solche zu bezeichnen und die weiteren in diesem Zusammenhang geforderten Angaben zu machen.
Ggf. sind Datenschutz-Folgenabschätzungen erstmals durchzuführen oder bereits erfolgte zu überprüfen, soweit es um die Datenübermittlung in das UK als Drittland geht (Art. 35 DS-GVO).

18.01.2019

Viele Unternehmen verfahren bei der Benennung ihres Datenschutzbeauftragten aktuell noch sehr pragmatisch, doch unter Umständen birgt das Stolperfallen.

 Egal ob Sie einen internen oder einen externen Datenschutzbeauftragten berufen, folgendes sollten Sie dabei unbedingt beachten:

 

1. Der Datenschutzbeauftragte darf kein Mitglied der Geschäftsführung sein. Darunter fallen z.B.

Geschäftsführer, Prokuristen und Personalleiter.

 

2. Der Datenschutzbeauftragte darf nicht verwandt mit der oben genannten Personengruppe sein, da es in einer solchen Konstellation offensichtlich zu Interessenskonflikten kommt.

 

3. Der Datenschutzbeauftragte darf kein IT-Administrator oder IT-Manager sein. Wobei hier der Begriff sicher auszuweiten ist, da oftmals z.B. auch Programmierer, Webentwickler oder Supportmitarbeiter Zugriffsrechte auf viele oder gar alle Unternehmensdaten haben. Bitte beachten Sie auch, dass externe IT-Dienstleister nicht selten gleiche oder ähnliche Zugriffsrechte auf Unternehmensdaten haben können, und diese daher ebenfalls nicht als Datenschutzbeauftragte in Betracht kommen. Sie würden sich ansonsten selbst kontrollieren. 

 

Fachkundige IT-Dienstleister weisen aber auch auf diesen Umstand hin, und verweigern die Benennung als Datenschutzbeauftragter. 

Es ist aus unserer Sicht noch rechtlich zu klären, ob Spin Offs aus IT-Dienstleistungsunternehmen nicht ähnlich wie Verwandte zu betrachten sind, da sie nicht selten unter einem „Dach“ agieren, und es daher ebenfalls zu Interessenskonflikten kommen kann.

 

Die tragfähigste Lösung für die Zukunft ist daher sicherlich eine, bei der Sie auf strikte Trennung  achten. 

 

Weitere Informationen dazu z.B. hier

08.01.2019

Anbei Pressemitteilung der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit des Bundes vom 31.12.2018 zur akuellen Lage im Bereich Datenschutz.

Lesen Sie die Pressemitteilung hier.

20.12.2018

Wie aktuell bekannt wurde, hat Amazon sich einen ordentlichen Lapsus erlaubt.

Nicht nur das massenhaft sehr private Gespräche aufgezeichnet und gespeichert werden, diese werden auch noch an falsche Empfänger weitergegeben. Das Unternehmen hat das wohl mit den Worten kommentiert, dass dieses auf einen Fehler eines Mitarbeiters zurückzuführen sei. Man fragt sich warum Amazon wie in diesem Fall 1.700 Gesprächsmitschnitte vorhält.

Offenbar wurde auch kein Prozess für die Handhabung von Datenpannen etabliert. Sonst hätte sich Amazon wohl gebührend zu dieser peinlichen Datenpanne geäussert anstatt erst einmal zu schweigen.

Warum Amazon die vom Gesetzgeber vorgegebenen 4 Wochen Frist zur Beantwortung einer Anfrage nicht einhält fällt dagegen wohl nur Fachleuten auf.

Weitere Infos bekommen Sie hier

03.12.2018

In den letzten Wochen ist die Zahl der Beschwerden und Datenpannen offenbar stetig angestiegen. Die Schulungen bzw. Sensibilisierung der Betroffenen in den Betrieben, sowie die Information von Betroffenen macht sich ganz offensichtlich bemerkbar. Die Aufsichtsbehörden sprechen teilweis von stark ansteigenden Fallzahlen.

Trotzdem konnten sich nach unseren Erfahrungen viele Unternehmen noch nicht dazu durchringen ihren Pflichten nachzukommen. Ob das noch die richtige Strategie ist wird sich in Kürze zeigen, denn die Aufsichtbehörden beginnen mit anlasslosen Kontrollen.

Es ist dann wohl auch eine Frage des Zufalles ob ein Unternehmen kontrolliert wird oder nicht.

Oftmals werden wir in diesem Zusammenhang gefragt ob man als Unternehmen Mut zur Lücke haben sollte. Wir meinen: Auf gar keinen Fall.

Lesen Sie auch zu diesem Thema eine Einschätzung auf wbs-law.de