News

19.01.2024  Schnellcheckliste DSGVO für Unternehmen zum Download

Die Schnellcheckliste ist immer noch aktuell und hilft Ihnen einfach festzustellen, ob grundsätzlich Handlungsbedarf in Sachen DSGVO - Umsetzung bei Ihnen im Unternehmen besteht. Die Liste nennt beispielhaft Themen, die nach den Vorgaben der DSGVO in Unternehmen zu behandeln sind.

Kann zu einem oder gar mehreren Themen keine Aussage getroffen werden, besteht in jedem Fall Handlungsbedarf.

DIe Schnellcheckliste finden Sie hier zum download.

Auch die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) beschäftigt sich mit dem Thema KI und versucht auf Gesetzgebungsvorgänge in der EU einzuwirken. Dies belegt eine Pressemitteilung, in der die DSK  für das beabsichtigte europäischen Gesetz über Künstliche Intelligenz (KI-Verordnung) eine sachgerechte Zuweisung von Verantwortlichkeiten entlang der gesamten KI-Wertschöpfungskette fordert. Auch hier zeigt sich, wie unklar das Thema KI momentan aus rechtlicher Sicht ist.

Die Pressemitteilung der DSK finden sie  hier.

Auch die Aufsichtsbehörden widmen sich langsam dem Thema Künstliche Intelligenz. Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit hat eine Checkliste zum Einsatz von LLM (Large Language Models) Modellen wie ChatGPT veröffentlicht. Dies ist ein wichtiger Beitrag zur aktuellen Diskussion über den Einsatz von AI in Bezug auf den Datenschutz. Noch sind hier leider viele Dinge ungeklärt und die technische Entwicklung und auch der Einsatz dieser neuen Technik sind dabei, den Rechtsrahmen teilweise abzuhängen.

Die Checkliste finden sie  hier.

Lange hat es gedauert, viele haben darauf gewartet. Die EU Komission hat einen Angemessenheitsbeschluß für die USA getroffen. Damit kann - unter den Voraussetzungen der getroffenen Regelungen des "Datenschutzrahmen EU-USA" auf englisch "EU-U.S. Data Privacy Framework"- davon ausgegangen werden, dass in den USA ein angemessenes und dem der EU vergleichbares Datenschutzniveau herrscht, was die Übertragung von personenbezogenen Daten in die USA deutlich vereinfacht.

Es ist damit zu rechnen, dass die Kritiker der vorangegangenen Datenschutzabmachungen zwischen der EU und den USA (z.B. Privacy Shield) auch das neue EU-U.S. Data Privacy Framework angreifen und vom EuGH prüfen lassen werden. Wie die Aussichten hierfür sind, wird unterschiedlich beurteilt. Auf jeden Fall dürfte nun für einige Zeit etwas Ruhe beim Thema Dritllandsübertragung in die USA einkehren. Die Standardvertragsklauseln, die in der Zwischenzeit oft die Grundlage von Datenübertragungen von der EU in die USA waren, sollten jedoch nicht "ad acta" gelegt werden, sie können schneller wieder hochaktuell werden, als man denkt.

Die Pressemitteilung der EU findet sich hier.

Die Entscheidung der Komission finden Sie hier.

Der Landesbeauftragte für den Datenschutz des Landes Sachsen-Anhalt hat einen sehr informativen Flyer mit einer Übersicht über die häufigsten Ursachen van Datenschutzverletzungen, die der Behörde gemäß Art. 33 DSGVO gemeldet wurden, zur Verfügung gestellt.

Hilfreich ist, dass nicht nur die Verstöße aufgelistet werden, sondern, dass auch Maßnahmen zur Behebung der Datenschutzverletzung bzw. zur Abmilderung der nachteiligen Auswirkungen der Verletzung sowie technisch organisatorische Vorsichtsmaßnahmen zur präventiven Vermeidung der Datenschutzverletzungen genannt werden.

Die Range der genannten Verstöße geht dabei von Vorfällen, wie dem Fehlversand von einzelnen Briefen bis zu Angriffen auf die zentrale IT-Infrastruktur unter Ausnutzung von Sicherheitslücken. Die rein informative Übersicht kann einem als ein Anhaltspunkt beim Vorgehen im Fall von Datenschutzverstößen dienen und ersetzt natürlich nicht die jeweilige Prüfung im Einzelfall, worauf die Behörde auch hinweist.

Zudem kann man die Übersicht nutzen, um die eigene Datenschutzorganisation im Unternehmen zu prüfen bzw. zu hinterfragen. So kann man insbesondere aus den genannten technisch organisatorischen Vorsichtsmaßnahmen zur präventiven Vermeidung der jeweiligen Datenschutzverletzungen Hinweise darauf ablesen, was man vor einem Datenschutzverstoß im Rahmen der Verpflichtung als Verantwortlicher die DSGVO einzuhalten und dies auch nachweisen zu können (vgl. Art. 5 Abs. (2), 24 Abs. (1), Art. 28 Abs. (3) und Art 32 DSGVO) hätte umsetzen sollen bzw. müssen.

Die Übersicht Häufige Ursachen von Datenschutzverletzungen und Abwehrmaßnahmen des Landesbeauftragten für den Datenschutz von Sachsen-Anhalt finden sie hier.

26.09.2021  Ende der Möglichkeit die alten Standardvertragsklauseln (SCC) für den Drittlandstransfer abzuschließen

Gemäß dem Beschluss der EU-Kommission vom 4. Juni 2021 können in Verträgen, die vor dem 27. September 2021 geschlossen wurden, die "alten" Standardvertragsklauseln für den Drittlandstransfer verwendet werden und bis zum 27. Dezember 2022 gelten, sofern die Verarbeitungsvorgänge, die Gegenstand des Vertrags sind, unverändert bleiben und die Anwendung dieser Klauseln gewährleistet, dass die Übermittlung personenbezogener Daten geeigneten Garantien unterliegt.

Ansonsten sind für Neuabschlüsse von Verträgen ab dem 27. September 2021 die neuen Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer zu verwenden.

Achtung:

Dies ist insbesondere beim Neuabschluß von Verträgen ab dem 27. September 2021 zu berücksichtigen. Haben Dienstleitungsunternehmen ab diesem Zeitpunkt z.B. nicht umgestellt und die neuen SCC in die Neuverträge einbezogen, stellen die alten SCC kein angemessenes Datenschutznievau mehr dar und die Verarbeitung kann dann rechtswidrig sein.

Am 4. Juni 2021 hat die EU-Kommission einen Durchführungsbeschluss  über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer gemäß der Verordnung (EU) 2016/679 erlassen.

Diese neuen SCC sind nun modular aufgebaut und decken folgende Anwednungsbereiche ab:

- Datenübermittlung des EU-Verantwortlichen an andere Verantwortliche (Controller to Controller)

- Datenübermittlung eines Auftragsverarbeiters in der EU an einen Auftragsverarbeiter im Drittland (Processor to Processor)

- Neu: Datenübermittlung eines Auftragsverarbeiters in der EU an einen Verantwortlichen im Drittland (Processor to Controller)

-Datenübermittlung eines Verantwortlichen in der EU an einen Auftragsverarbeiter im Drittland (Controller to Processor)

Den Beschluss zur Veröffentlichung und die neuen SCC finden Sie hier zum download auf den Seiten der EU-Kommission.

22.02.2021  Neue Schnellcheckliste DSGVO für Unternehmen zum Download

Unsere neue Schnellcheckliste hilft Ihnen einfach festzustellen, ob Handlungsbedarf in Sachen DSGVO - Umsetzung bei Ihnen im Unternehmen besteht. Die Liste nennt beispielhaft Themen, die nach den Vorgaben der DSGVO in Unternehmen zu behandeln sind.

Kann zu einem oder gar mehreren Themen keine Aussage getroffen werden, besteht in jedem Fall Handlungsbedarf.

DIe Schnellcheckliste erhalten Sie hier zum download.

Die Landesbeauftragte für den Datenschutz (LfD) Niedersachsen hat eine Geldbuße über 10,4 Millionen Euro gegenüber der notebooksbilliger.de AG ausgesprochen. Das Unternehmen hatte angeblich über mindestens zwei Jahre seine Beschäftigten per Video überwacht, ohne dass dafür eine Rechtsgrundlage vorlag. Das Unternehmen hat Einspruch gegen den Bußgeldbescheid eingelegt und wird dagegen vorgehen.

Interessant wird es sein zu sehen, ob das hohe Bußgeld, dessen Berechnung auf der Grundlage von Abspachen der Aufsichtsbehörden erfolgte, vor Gericht tatächlich bestand hat.

Die vollständige Pressemitteilung des LfD Niedersachsen finden Sie hier: Pressemitteilung,

Im Nachgang des Schrems II Uretils des EuGH, mit dem die Übetragung von personenbezogenen Daten in Drittländer und vor allem die USA vor neue Hürden gestellt wurde, hat der EDSA nun erste Empfehlungen veröffentlicht.

Darin wird die EU-Rechtslage nach dem Urteil des EuGH zusammenfassend dargestellt. DIe Schlüsse, die der ESDA für mögliche zusätzliche Maßnahmen über die bestehdnen SCC (Standardvertragsklauseln) zur Erreichung eines vergleichbaren Datenschutzniveaus zieht, werden für viel Diskussionen sorgen. So werden Beispiele für technischee, organisatorische und vertragliche Maßnahmen angesprochen - insbesondere aber für den Fall, dass ein Auftragsverarbeiter, z.B. SaaS Dienstleister, in den USA die aus Europa übertragenen (ggf. verschlüsselt übertragenen und sogar verschlüsselt abgelegten) Daten für die Datenverarbeitung bei der Ergbringung seiner Leitungen / Services entschlüsseln kann bzw. auch muss - weil er sie sonst nicht erbringen kann - ist man der Ansicht, dass dann keine ausrechenden Maßnahmen zur gewährleistung eines ausreichenden Schutzniveaus vorliegen.

Auch geht der Tenor der Empfehlungen dahin, dass rein vertragliche und organisatorische Maßnahmen ohne technische Maßnahmen nicht ausreichen sollen.

Es ist damit zu rechnen, dass diese sehr strengen Ansichten im Rahmen der "public consultation" - Phase kritisch hinterfragt und angemerkt wurden. Es bleibt abzuwarten, wie die endgültigen Empfehlungen des EDSA nach Verarbeitung der Anmerkungen, die man in der Phase der public consultaion bekommen hat, aussehen werden.

Die "Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data" des EDSA finden sie unter diesem Link.

21.10.2020  Erste Reaktion der U.S.-Regierung auf das EuGH Urteil zum Privacy Shield

Auf der Seite des U.S. Department of Commerce finden sich ein offener Brief und ein White Paper zum Umgang mit den Ergebnissen des Schrems II Urteils. Dies stellt eine erste Reaktion der US Behörden auf das EuGH Urteil da.

Eine Lösung der nun bestehenden Probleme beim Datentransfer in die USA kann das White Paper zwar auch nicht bieten - es gibt jedoch Ansätze für mögliche Argumente, die man im Sinne des EuGH Urteil zusätzlich zu den Standardvertragsklauseln anführen kann.

Dabei wird allerdings auch damit argumentiert, dass der EuGH in seinem Urteil nicht alle Aspekte des US-Rechts berücksichtigt hätte und dass z.B. der mögliche geheimdienstliche Datenzugriff gar nicht so schlimm sei, weil die Daten für die Geheimdienste meist uninteressant wären und dies ohnehin alle Geheimdienste, auch die europäischen, so verfahren würden.

Den Brief und das White Paper mit dem Titel:
"Information on U.S. Privacy Safeguards Relevant to SCCs and Other EU Legal Bases for EU-U.S. Data Transfers after Schrems II" finden sie hier.

Der Europäische Gerichtshof (EuGH) hart mit einem viel beachteten Urteil (C311/18), die Privacy Shield Absprache zwischen der EU und den USA, die für viele Datenübertragungen und Übermittlungen in die USA als Rechtsgrundlage diente, für ungültig erklärt. Die US-Behörden haben so weitreichende Zugriffsbefugnisse auf die Daten bei US-Unternehmen, dass dies nicht DSGVO-konform erfolgen kann. Die Presseerklärung des EuGH finden sie hier.

Viele Datenübermittlungen in die USA beruhen bislang auf dem sogenannten Privacy Shield Abkommen zwischen der EU und den USA, nachdem sich US-Unternehmen diesem unterwerfen konnten und damit für Datenübermittliungen aus der EU ein angemessenes Datenschutzniveau nachweisen konnten. Dies ist jetzt Geschichte, Privacy Shield kann nicht mehr als Rechtsgrundlage für die Übermittlung personenbezogener Daten in die USA herangezogen werden.

Darüber hinaus bestätigte der EuGH zwar die weitere Anwendbarkeit der sogenannten Standardvertragsklauseln, die mit Vertragspartnern vereinbart werden können, um ein angemessenes Datenschutzniveau für eine Übermittlung in ein Drittland zu rechtfertigen (Art. 46 Abs. (2) DSGVO), stellte jedoch kaum zu überwindende Hürden für deren Verwendung auf. Der Verwender der Standardvertragsklauseln muss nötigenfalls zusammen mit dem Empfänger der Daten in den USA prüfen und sicher stellen, dass der Empfänger der Daten in den USA die Inhalte der Klauseln in seinem Land und im Rahmen der dort geltenden Rechtsordnung auch umsetzen kann. Vor dem Hintergrund, dass der EuGH die Eingriffsrechte der US-Behörden aufgrund der dort geltenden Sicherheitsgesetze für zu weitreichend und den Rechtsschutz gegen diese Eingriffe für die betroffenen EU-Bürger für nicht ausreichend erachtet, dürfte es für EU-Unternehmen sehr schwer werden, davon ausgehen zu können, dass Vertragspartner in den USA die Standardvertragsklauseln überhaupt einhalten können. Bei einer Prüfung durch Aufsichtsbehörden für den Datenschutz aus der EU ist damit zu rechnen, dass auch hier eine Rechtswidrigkeit angenommen wird, mit allen möglichen Folgen von Bußgeld bis Schadenersatz etc.

Betroffene Unternehmen sollten schnellstmöglich feststellen inwieweit sie US-Dienstleister einsetzen oder personenbezogene Daten in die USA übermitteln. Dies betrifft nicht nur Cloud-Dienste und Ähnliches, sondern insbesondere z.B. auch Tools auf Webseiten.

In der Folge stehen die Entscheidungen an, rechtswidrige Datenübermittlungen sofort zu unterlassen und z.B. auf Europäische Anbieter zu wechseln bzw. - zumindest für eine Übergangsphase - wenigstens Standardvertragsklauseln als ein (letztlich wohl auch nicht ausreichendes) Minimum mit den US-Partnern zu vereinbaren und sich ggf.  über neue Rechtsgrundlagen Gedanken zu machen, was angesichts des restriktiven Charakters der Ausnahmeregelungen in Art. 49 DSGVO nur sehr eingeschränkt möglich ist.

Es bleibt abzuwarten, wie US-Unternehmen reagieren (z.B. indem sie schnell Standardvertragsklauseln in ihre AGB aufnehmen) und ob es der EU und den USA gelingt, schnell ein neues Abkommen zum Datenschutz zu schließen. Der EuGH wird den Datenschutz auch weiter nicht als "kleine Münze" behandeln, er hat mit dem Urteil ein Machtwort zur Durchsetzung der Rechtsordnung der EU gesprochen - was für betroffene Unternehmen leider zu einer Rechtsunsicherheit führt, die man sich gerade im Datenschutz nicht gewünscht hätte.

Die Bußgeldstelle des LfDI Baden-Württemberg hat mit Bescheid vom 25.06.2020 gegen die  AOK Baden-Württemberg  eine  Geldbuße  von  1.240.000,- Euro verhängt. Hintergrund ist, dass die AOK bei der Veranstaltung von Gewinnspielen Daten der Teilnehmer für Werbezwecke nutze, die dafür keine Einwilligung gegeben hatten. Die AOK wollte zwar nur die Daten der Teilnehmer, die eingewilligt hatten, für Werbung nutzen, die dafür vorgesehenen technischen und organisatorischen Maßnahmen waren jedoch unzureichend, so dass es zu der (so nicht beabsichtigten) Verwendung der Teilnehmerdaten kam.

Die AOK kooperierte mit dem LfDI und unterzog sämtliche Abläufe einer Prüfung. Zudem wurden eine Taskforce Datenschutz gegründet und  insbesondere Einwilligungen sowie interne Prozesse und Kontrollstrukturen angepasst. Weitere Maßnahmen sollen in Abstimmung mit dem LfDI erfolgen.

Dieser Fall zeigt, dass nicht nur die Bußgelder und ein möglicher Imageverlust ein Unternehmen, dass als "Datenschutzsünder" da steht treffen, sondern dass man dann die Behörde quasi "im Haus" hat. So kann es sein, dass die zur Sicherstellung des Datenschutzes umzusetzenden Maßnahmen einen höheren Aufwand als das Bußgeld mit sich bringen. Es ist also ratsam, entprechende technische und organisatorische Maßnahmen umfassend rechtzeitig zu treffen und zu dokumentieren.

Die Pressemitteilung des LfDI Baden-Württemberg finden Sie hier: Pressemitteilung

Das lang erwartete Urteil nahm wie erwartet die Rechtsprechung des EuGH (Rechtssache C‑673/17), dem der BGH Vorlagefragen vorgelegt hatte, auf und bestätigte, dass im entschiedenen Sachverhalt keine wirksame Einwilligung in das Setzen von Cookies für Analyse / Tracking  und Nutzerverfolgung mit Auswertung des Surfverhaltens vorliegt, wenn dem Nutzer eine Einwilligungserklärung gezeigt wird, auf der das "ja" zur Einwilligung bereits angekreuzt ist.

Dafür wurde der § 15 Abs. 3 Telemediengesetz "europarechtskonform" ausgelegt, d.h. der eigentlich vom Wortlaut anders zu verstehende Gesetzestext (nämlich, dass der Nutzer Cookies zu solchen Zwecken widersprechen muss, sie also erst einmal gesetzt werden können - sog. Opt-Out) wird, damit das deutsche Gesetz nicht gegen das Europarecht verstößt, so verstanden, dass "...für den Einsatz von Cookies zur Erstellung von Nutzerprofilen für Zwecke der Werbung oder Marktforschung die Einwilligung des Nutzers erforderlich ist."

Das hat für alle Webseitenbetreiber, die solche Cookies (oder auch andere Trackingmethoden) einsetzen weitreichende Folgen, die aber im Einzelfall geprüft werden müssen.

Grundsätzlich besteht nun aber die Pflicht, für das Setzen von Cookies zur Erstellung von Nutzerprofilen für Zwecke der Werbung oder Marktforschung eine nach der DSGVO wirksame (!) und zu dokmentierende Einwilligung der Nutzer einzuholen. Dafür entstehen gerade verschiedenste Software-Tools, die sicher stellen sollen, dass dies DSGVO-konform geschieht.

Die Pressemitteilung des BGH finden Sie hier: Pressemitteilung

Für eine genaue Analyse der Folgen des Urteils auch für andere Tracking- und Marktforschungsmethoden wie Pixel etc. muss die Urteilsbegründung abgewartet werden.

Die französische Datenschutzbehörde Commission Nationale de l’Informatique et des Libertés (CNIL) hat gegen Google eine sehr hohe Strafe verhängt. Es geht insbesondere um Verstöße gegen die DSGVO wegen Intransparenz bei der Datennutzung und um die Wirksamkeit von Einwilligungen für Werbezwecke. Der Artikel bei netzpolitik.org

Bei der Autovermietung Buchbinder waren Kundendaten im Netz zugänglich - laut heise-online eines der  "größten Datenlecks in der Geschichte der Bundesrepublik". Was das für das Unternehmen bedeutet und wie man sich an die Kunden wendet, finden Sie hier und hierbei heise online.

Die DSGVO beinhaltet für Unternehmen und Gewerbetreibende viele Pflichten, deren EInhaltung nachweisbar erfolgen muss. Als ein erster Überblick kann die folgende Liste dienen. Sollten Sie im Unternehmen in einem der folgenden Bereiche keine Umsetzung vorgenommen haben, besteht Handlungsbedarf. Pflichten aus der DSGVO treffen Unternehmen insbesondere

in Bezug auf:

- Nachweis und Dokumentation der Einhaltung der DSGVO
- Führung eines Verzeichnisses von Verarbeitungstätigkeiten
- Verträge zur Auftragsverarbeitung
- Verträge zur gemeinsamen Verantwortlichkeit

- Umgang mit Betroffenenanfragen und Betroffenenrechten (Auskunft, Löschung etc.)

- erweiterte Informationspflichten bei Datenerhebung
- erweiterte Meldepflichten mit Fristen z.B. bei Datenpannen
- technische und organisatorische Maßnahmen zur Datensicherheit (TOMs), IT-Sicherheit
- Bestellung eines Datenschutzbeauftragten
- Datenschutz-Folgenabschätzung
- Datenschutzmanagement
- Berücksichtigung des Grundsatzes von Datenschutz durch Technikgestaltung (Privacy by Design)
- Berücksichtigung des Grundsatzes von datenschutzfreundlichen Voreinstellungen (Privacy by Default)

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hat den Telekommunikationsdienstleister 1&1 Telecom GmbH mit einer Geldbuße in Höhe von 9.550.000 Euro belegt.

Das Unternehmen hatte keine hinreichenden technisch-organisatorischen Maßnahmen ergriffen, um zu verhindern, dass Unberechtigte bei der telefonischen Kundenbetreuung Auskünfte zu Kundendaten erhalten können.