Datenschutz

Das zwischen den USA und der EU geschlossene Datenschutzabkommen “Privacy Shield” wurde am 16.07.2020 vom europäischen Gerichtshof (EuGH) für ungültig erklärt.
Bürgerrechtler jubeln, die Digitalwirtschaft ist geschockt.
Diese Entscheidung betrifft alle Personendatenübermittlungen und Cloud-Dienste, die in den USA gehostet werden.

Seit 2015 ist das damalige "Safe Harbor" Datenschutzabkommen, unter dem Personendaten in die USA übertragen werden durften, nicht mehr zulässig. Die EU und die USA hatten sich 2016 als Ersatz auf ein neues Datenschutzabkommen “EU-US-Privacy Shield” geeinigt.
Diese neue Regelung hatte allerdings ziemliche ‘Schlagseite’, denn der Schutz vor Zugriffen der US-Behörden auf Daten von EU-Bürgern war mit dem neuen Abkommen in keiner Weise gegeben.

Die EU hat sich wohl schon seit Wochen auf das Scheitern von Privacy Shield eingestellt.

Schrems kommentiert, dass "Privacy Shield" einfach das alte Ding mit neuem Titel ist. Und die EU-Justizkommissarin habe wohl wieder vor, einen weiteren ähnlichen Deal zu machen.

Firmen werden sich nun wohl auf "Standardvertragsklauseln" berufen oder auf die Einwilligung nach DSGVO Art. 49, Abs a).
Schrems kommentiert zur Nutzung von Standardvertragsklauseln: "Der EuGH sagt, man kann so etwas unterschreiben. Aber wenn es dann Überwachungsgesetze in den USA gibt, die genau das Gegenteil verlangen, dann darf ich diesen unterschriebenen Zettel nicht verwenden."

Der EuGH sagt ganz ausdrücklich, dass in diesen Fällen sogar die Behörden einschreiten und den Datenfluss stoppen müssen, obwohl diese Standardvertragsklauseln unterschrieben worden sind.
Im Moment besteht große Rechtsunsicherheit bei der Datenübertragung von personenbezogenen Daten in die USA.


Microsoft sperrt willkürlich und ohne Begründung MS Konten.
Die Sperrung ist nach Anerkennung der AGB juristisch nicht anfechtbar.
Der Nutzer verliert damit ersatzlos seine gesamten mit dem Konto verbundenen Daten und Lizenzen.

Die Nutzung von Software mit MS-Konten ist grob fahrlässig und ein unkalkulierbares Sicherheitsrisiko.

Zentrale Ansprechstellen
Cybercrime der Polizeien für Wirtschaftsunternehmen


Die Vereinten Nationen wurden im Juli 2019 mit EMOTET gehackt.
Möglich wurde das, weil nicht gepatcht worden war.
Im Bericht steht laut dem verlinkten Artikel, dass der Angriff mit einem einfachen Patch zur Behebung eines Softwarefehlers hätte vermieden werden können.
Der Hack war sehr ausgefeilt und wird staatsnahen Gruppen zugeschrieben.
Unter den dutzenden kompromittierten UN-Servern waren auch Systeme in den Menschenrechtsbüros und der Personalabteilung. Dabei wurden auch Administratorkonten übernommen, so ein vertraulicher UN-Bericht, der New Humanitarian vorliegt. Der Hack ist einer der größten, der jemals in der UN bekannt wurde.
Beim Hack wurden Personaldaten, die Krankenversicherungsdaten von Mitarbeitern und die Daten von Handelsverträgen kompromittiert. Die Mitarbeiter wurden gebeten, ihre Passwörter zu ändern, aber niemand informierte sie über den Hack.

Und dann wollte man das alles unter der Decke halten.
Das kam durch Zufall ans Tageslicht, weil Journalisten von The New Humanitarian bei einer Recherche auf einen vertraulichen Bericht stießen, der den Hack beschrieb.

Aufgrund der diplomatischen Immunität ist die UNO nicht verpflichtet, den Hack öffentlich zu machen oder die Betroffenen zu benachrichtigen.

Quelle: Borncity, BleepingComputer


Der Berliner Datenschutzbeauftragte hat das zweithöchste Bußgeld seit Inkrafttreten der DSGVO verhängt.
Die Immobiliengesellschaft "Deutsche Wohnen" hatte personenbezogene Daten gespeichert, ohne zu überprüfen, ob eine Speicherung zulässig oder überhaupt erforderlich ist.

Dieser Entscheid ist aus mehreren Gründen bedeutsam.

• Wie erwartet steigen die DSGVO-Bußgelder in Deutschland
• Löschfristen werden ein wichtiges Thema
• Überprüfen Sie Ihre Datenverarbeitung auf eine Rechtsgrundlage nach DSGVO Art. 6

Auskünfte muß der Verantwortliche erteilen, nicht der Datenschutzbeauftragte.
Tip: Gründen Sie ein Datenschutz-Team, in dem der Datenschutzbeauftragte mitwirkt.

Informationspflicht besteht nach DSGVO Art.13 bei allen Erhebungen von personenbezogenen Daten, egal ob am Telefon, im Internet oder Papier.
Es müssen alle Informationen, die sich auf die Verarbeitung der Daten beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache übermittelt werden. Dazu gehören neben den Kontaktdaten auch Zweck der Verarbeitung, rechtliche Grundlage der Verarbeitung, ggf. Übermittlung an Dritte, Aufbewahrungsdauer sowie die Betroffenenrechte (Auskunfts- Änderungs- / Löschungs- und Besschwerderecht).
Die gleichen Informationspflichten bestehen laut DSGVO Art.14 bei der Verarbeitung von Daten, die durch Dritte erhoben wurden.

Die Rechtssprechung ist sich inzwischen einig, dass die Informationspflichten nicht rückwirkend für Informationen gelten, die vor Inkrafttreten der DSGVO erhoben wurden. Allerdings wird die Informationspflicht bei einer erneuten Verarbeitung der Daten fällig.

Über die Internetseite präsentiert sich ein Unternehmen öffentlich und an keiner Stelle ist man so angreifbar für Versöße gegen die DSGVO.
Das gilt überwiegend gegenüber Abmahnern, aber letztendlich auch gegenüber Datenschutz-Behörden und Kunden.

Internetseiten übertragen systembedingt Kundendaten an den Webprovider.

Oft können auf Internetseiten Daten eingegeben werden, sei es in Kontaktformularen, Kommentaren oder Blogs, bei Logins oder Übermittlung von Bankingdaten, Zählerständen usw.

Viele Webseiten verwenden Cookies, um Informationen für einige Zeit lokal auf dem PC zwischenzuspeichern und bei Bedarf dem Webserver wieder zur Verfügung zu stellen.

Häufig werden Google Webfonts verwendet, um eine einheitliche Darstellung des Schriftbildes bei allen Anwendern zu erreichen.

Richtig kompliziert wird es bei der Nutzung von Sozial Media Plugins und Einbindung von Seiten von Drittanbietern.

Beim Arbeitsmedizinischen Dienst liegt eine eigenständige Verarbeitung vor, ein Vertrag zur Auftragsverarbeitung ist nicht erforderlich.

Begründung:
Keine Auftragsverarbeitung liegt lt. DSK Kurzpapier Nr. 13 vor bei Inanspruchnahme fremder Fachleistungen bei einem eigenständig Verantwortlichen, der für die Verarbeitung personenbezogener Daten eine eigene Rechtsgrundlage gemäß Art. 6 DSGVO besitzt.
Beispiele dafür sind die Einbeziehung eines Berufsgeheimnisträgers wie Steuerberater, Rechtsanwälte, Wirtschaftsprüfer oder ext.Betriebsarzt.
Es besteht autonome Entscheidungskompetenz mit einem unabhängigen Zweck der Verarbeitung.

Die Datenverarbeitung findet auf Rechtsgrundlage DSGVO Art. 9 Abs. 2 Lit. h) statt.

Unser Angebot - Ihr externer Datenschutzbeauftragter.

Der Umfang hängt erheblich davon ab, welche Voraussetzungen vorhanden sind (z.B. Firmengröße, Art der verarbeiteten Daten, Datenschutzdokumente, Sicherheitskonzepte, Verfahrensverzeichnis, vorhandene Schulungen und Dienstanweisungen) und welche Leistungen Sie selbst erbringen möchten.
Zunächst fallen Kosten für die Analyse der Ausgangssituation sowie der anschließenden Schaffung des erforderlichen Datenschutzniveaus an. Hier kann der Leistungsbedarf je nach Unternehmen sehr verschieden bemessen sein. Die Abrechnung erfolgt überwiegend auf Stundenbasis.

Ist das Datenschutzniveau erreicht, übt der externe Datenschutzbeauftragte fortan seine Kontrollfunktion aus und steht als Ansprechpartner zur Verfügung. Die Abrechnung erfolgt monatsbezogen pauschal oder auf Basis der erbrachten Einzelleistungen.
Die Kosten betragen je nach Umfang ab ca. 150,- EUR p.m. Netto.


Für Unternehmen bedeuten die DS-GVO einige Anpassungen und einen deutlichen organisatorischen Mehraufwand.
Wir stehen für Sie unter anderem für folgende Aufgaben mit oder ohne Vertrag (außer ext. Datenschutzbeauftragter) zur Verfügung:
  • kostenloses Beratungsgespräch vor Ort
  • Benennung als Ihr externer Datenschutzbeauftragter
  • Unterstützung Ihres internen Datenschutzbeauftragten
  • Beratung in Datenschutz und IT-Grundschutz
  • Schulung, Senibilisierung und regelmäßige Information zu aktuellen Datenschutz-Themen
  • Einrichtung einer Datenschutz-Management Software zur Dokumentation und vereinfachten Bearbeitung aller Vorgänge
  • Überprüfung der Internetseite auf Datenschutz-Konformität, Erstellung einer Datenschutzerklärung
  • Erarbeitung von Mitarbeiterverpflichtungen und Unternehmensrichtlinien
  • Überprüfung Ihrer Partnerverträge, Erarbeitung einer Vereinbarung zur Auftragsdatenverarbeitung
  • Iststand-Analyse und Erstellung einer Anlage TOM (Technisch organisatorische Maßnahmen)
  • Unterstützung bei der Erarbeitung eines Verfahrensverzeichnisses
  • Erarbeitung von Formularen, Informationsblättern und Verfahren für den datenschutzkonformen Umgang mit Personendaten
  • Unterstützung bei der Bearbeitung von Datenschutzvorfällen oder Betroffenenanfragen
  • Datenschutzrechtliche Beurteilung von Prozessen und Verfahren
Aus gesetzlichen Gründen leisten wir keine Rechtsberatung.

 
- Seite: 1 -