Datenschutz

Die Datenschutzkonferenz (DSK), die Gemeinschaft der deutschen Datenschutzbehörden, hat im Oktober die Liste aktualisiert, für welche Arten von Datenverarbeitungen auf jeden Fall eine Datenschutz-Folgenabschätzung durchgeführt werden sollte.
Selbst wenn keine der eigenen Verarbeitungen einem der 17 genannten Szenarien entspricht, bietet die Liste einen guten Überblick, welche Art von Verarbeitungen nach einer Datenschutz-Folgenabschätzung gemäß Art. 35. DSGVO verlangt.

Anfang September waren rund 808.000 E-Mail-Adressen sowie 1.872.000 Pseudonyme und Passwörter von Knuddels-Nutzern im Netz aufgetaucht.
Für die unverschlüsselte Speicherung muss das Forum nun zahlen.
Damit habe das Unternehmen aus Karlsruhe nach DSGVO Art. 32 gegen die Pflicht verstoßen, die Sicherheit von personenbezogenen Daten zu gewährleisten, teilte der baden-württembergische Datenschutzbeauftragte Stefan Brink mit.

Laut Brink ist dies die erste Strafe nach DSGVO in Deutschland.

Immer mehr Menschen kommunizieren im privaten und zunehmend auch im geschäftlichen Umfeld mit Messengern.
Die Kommunikation ist unkompliziert, schnell und ergänzt oder verdrängt häufig klassische Kommunikationswege wie Brief oder E-Mail.
Als Datenschutzbeauftragter wurde ich nach meiner Einschätzung zur Nutzung gefragt.
Dabei stehen die Datenschutz-Bedenken oft gar nicht im Vordergrund.

1. Lizenzrecht
Nicht jeder Messenger ist für die kommerzielle Nutzung frei gegeben.
Die Nutzung ohne Genehmigung einer kommerziellen Nutzung führt zu einer Vertrags- und Urheberrechtsverletzung, die entsprechende Unterlassungs- und Schadenersatzansprüche des Betreibers nach sich ziehen kann. Darüber hinaus können Urheberrechtsverletzungen sogar strafrechtlich relevant sein (§ 106 UrhG).

2. Datenschutz
Wenn ein Messenger-Dienst nach Anmeldung auf einem Firmen-Smartphone auf das gesamte Kontaktverzeichnis des Anmelders zugreift, um zu überprüfen, welche Kontakte des Anmelders bereits bei dem entsprechenden Dienst registriert sind, würden regelmäßig auch die Kontaktdaten von Personen, die nicht als Nutzer bei dem jeweiligen Dienst registriert sind, an diesen übermittelt.
Für diese Übermittlung fehlt es jedoch datenschutzrechtlich an der notwendigen Legitimation (DSGVO Art. 6).
Die Nutzung stellt einen bußgeldbewährten Verstoß gegen die DSGVO dar.

3. Datensicherheit
In Chats werden oft sensible Firmendaten und Personendaten übermittelt.
Ein Messenger-Dienst muss hier ähnlich wie ein E-Mail-Dienst betrachtet werden.
Eine durchgehende Ende-zu-Ende Verschlüsselung ist notwendig zum Schutz der o.g. Daten. Sie ist andererseits auch notwendig, um den datenschutzrechtlichen Verpflichtungen zum Ergreifen technischer und organisatorischer Maßnahmen zum Schutz personenbezogener Daten, die im Rahmen der Chat-Verläufe ausgetauscht werden könnten, vor unbefugtem Zugriff gerecht zu werden.

4. Unternehmerische Form-Pflichten
Wird ein Messenger-Dienst betrieblich genutzt, sind unternehmerische Pflichten auch im Rahmen der Form dieser Kommunikation gegenüber Kunden einzuhalten.
Ein Geschäftsbrief ist jede nach außen gerichtete Mitteilung des Unternehmens, die inhaltlich deren geschäftliche Betätigung betrifft, und muß bestimmte Mindestangaben wie Rechtsform, Sitz der Gesellschaft, das Registergericht etc. beinhalten.

5. Aufbewahrungspflichten nach HGB und AO
So wie bei E-Mails besteht auch bei Chat-Nachrichten eine Archivierungspflicht.

Fazit
Die dargestellten Handlungspflichten der Unternehmen machen es notwendig, Nutzungsregelungen zum Umgang mit den Messenger-Diensten aufzustellen, die die jeweiligen Pflichten widerspiegeln.

Nur ausgewählte Business-Lösungen erfüllen alle genannten Anforderungen.
Mehr dazu im Artikel.

Das niederländische Ministerium für Sicherheit und Rechtbeauftragte Spezialisten mit der Prüfung, ob die eingesetzte Software die Privatsphärenvorgaben im Hinblick auf öffentliche oder gesetzliche Vorgaben erfüllen.
Die Ergebnisse dieser Data Protection Impact Assessment (DPIA) sind alarmierend.

Microsoft sammelt und speichert personenbezogene Daten über das Verhalten einzelner Mitarbeiter in großem Umfang ohne jegliche öffentliche Dokumentation.
Die konkreten Punkte finden Sie im Artikel.

Microsoft bietet zudem Dienste über das Internet an, die in Office 365 (und auch Office 2016 und 2019) prominent beworben und heraus gestellt werden. Aus technischer Sicht ist es aber unvermeidlich, dass Nutzer Microsoft Daten wie den Header ihrer E-Mail und ihre IP-Adresse zur Verfügung stellen müssen, um die Dienste nutzen zu können. Das alleine sind aber schon persönliche Informationen, die nach DSGVO ohne explizite Zustimmung des Benutzers nicht verarbeitet und gespeichert werden.
Wer also Office 2016 in Firmen einsetzt, verstößt als DSGVO-Verantwortlicher gegen die DSGVO.

Noch in diesem Jahr würden Bußgelder „in erheblichem Umfang anfallen“, sagte der Chef der Behörde in Baden-Württemberg, Stefan Brink, dem Handelsblatt.
Als Beispiele für DSGVO-Verstöße nannte Brink rechtswidrige Videoüberwachungen sowie Verletzungen des Schutzes personenbezogener Daten.
Auch die anderen Bundesländer haben bereits Verwarnungen ausgesprochen und Bußgeldverfahren laufen.

Bei einer Volksabstimmung im Rahmen der hessischen Landtagswahl am 28. Oktober 2018 haben die Wähler nicht nur die Todesstrafe abgelehnt, sondern mit 90,9 Prozent auch ein Grundrecht auf Datenschutz in der Verfassung des Landes verankert.



Unser Angebot - Ihr externer Datenschutzbeauftragter.

Im Unterschied zu den vielen Online-Angeboten wollen wir den Ablauf in Ihrem Unternehmen wirklich sehen und arbeiten mit diesem Angebot nur regional.

Sie haben Interesse? Bitte sprechen Sie uns an.
E-Mail: dsb@bianka-kernchen.de
Telefon: +49 / 3 44 66 / 71 242

Zunächst fallen Kosten für die Analyse der Ausgangssituation sowie der anschließenden Schaffung des erforderlichen Datenschutzniveaus an. Hier kann der Leistungsbedarf je nach Unternehmen sehr verschieden bemessen sein. Die Abrechnung erfolgt überwiegend auf Stundenbasis.

Ist das Datenschutzniveau erreicht, übt der externe Datenschutzbeauftragte fortan seine Kontrollfunktion aus und steht als Ansprechpartner zur Verfügung. Die Abrechnung erfolgt monatsbezogen pauschal oder auf Basis der erbrachten Einzelleistungen.


Für Unternehmen bedeuten die DS-GVO einige Anpassungen und einen deutlichen organisatorischen Mehraufwand.
Wir stehen für Sie unter anderem für folgende Aufgaben mit oder ohne Vertrag (außer ext. Datenschutzbeauftragter) zur Verfügung:
  • kostenloses Beratungsgespräch vor Ort
  • Benennung als Ihr externer Datenschutzbeauftragter
  • Unterstützung Ihres internen Datenschutzbeauftragten
  • Beratung in Datenschutz und IT-Grundschutz
  • Schulung, Senibilisierung und regelmäßige Information zu aktuellen Datenschutz-Themen
  • Einrichtung einer Datenschutz-Management Software zur Dokumentation und vereinfachten Bearbeitung aller Vorgänge
  • Überprüfung der Internetseite auf Datenschutz-Konformität, Erstellung einer Datenschutzerklärung
  • Erarbeitung von Mitarbeiterverpflichtungen und Unternehmensrichtlinien
  • Überprüfung Ihrer Partnerverträge, Erarbeitung einer Vereinbarung zur Auftragsdatenverarbeitung
  • Iststand-Analyse und Erstellung einer Anlage TOM (Technisch organisatorische Maßnahmen)
  • Unterstützung bei der Erarbeitung eines Verfahrensverzeichnisses
  • Erarbeitung von Formularen, Informationsblättern und Verfahren für den datenschutzkonformen Umgang mit Personendaten
  • Unterstützung bei der Bearbeitung von Datenschutzvorfällen oder Betroffenenanfragen
  • Datenschutzrechtliche Beurteilung von Prozessen und Verfahren
Aus gesetzlichen Gründen leisten wir keine Rechtsberatung.

In Portugal ist die europaweit erste substanzielle Geldstrafe wegen eines Verstoßes gegen die neue EU-Datenschutz-Grundverordnung verhängt worden.
Die Datenschutzbehörde CNPD hat am Montag (22.10.2018) bekannt gegeben, dass das Krankenhaus Barreiro Montijo 400.000 Euro bezahlen soll.
Der Großteil davon ist die Strafe dafür, dass viel zu viele Personen und nicht nur Ärzte Zugriff auf Patientendaten hatten.

Die kommunale Hausverwaltung in Wien entfernte bei 220.000 Wohnungen die Namen vom Klingelschild, weil sich ein Mieter über mangelnden Datenschutz beschwert hatte.
Nach Einschätzung österreichischer Datenschutzbehörden verstoße das gegen die DSGVO.
Auch der thüringische Landesbeauftragte für den Datenschutz teilte diese Meinung.

Nun stellte das die Bundesdatenschutzbeauftragte Andrea Voßhoff richtig und der Leiter der Bayrischen Landesdatenschutzaufsicht sagt deutlich: diese Behauptungen sind unsinnig und diskreditieren die sehr gute DSGVO als ‚weltfremdes europäisches Recht‘.

 
- Seite: 1 -