Aktuelles2021-06-18T08:58:57+02:00

„Jedes zweite deutsche Unternehmen hat sich bei der Datenschutz-Einführung festgefahren.“

Sabrina Daniel
Unternehmensberaterin und
Externe Datenschutzbeauftragte (DSB)
Sabrina Daniel

„Jedes zweite deutsche Unternehmen hat sich bei der Datenschutz-Einführung festgefahren.“

Sabrina Daniel
Unternehmensberaterin und
Externe Datenschutzbeauftragte (DSB)

Aktuelles

Neues zum Thema Datenschutz & Digitalisierung für
Entscheider in Wirtschaft und Verwaltung

Datenschutz ist juristisch, technisch und organisatorisch ein komplexes Thema. Wir von ds² haben es uns zur Aufgabe gemacht, jene in allgemeinverständlicher Sprache in einem offenen Blog auf dem Laufenden zu halten, die den Datenschutz letztendlich verantworten müssen: die Unternehmer, Vorstände, Geschäftsführer, Entscheider. Darüber hinaus versorgen wir unsere Mandanten mit einem geschlossenen Informationsdienst über aktuelle Entwicklungen und Lösungsansätze. Wir wünschen viel Freude beim Lesen. Sollten Sie zu einem bestimmten Thema Fragen haben, sprechen Sie uns einfach an. Danke!

Datenschutzhinweise richtig erteilen

Die höchsten Bußgelder im Mai verhängte die spanische Aufsichtsbehörde - gleich zwei Unternehmen erhielten ein Bußgeld in Höhe von jeweils 1,5 Millionen Euro wegen unzureichender Informationen gem. Art. 13 DSGVO (insbesondere wegen fehlendem Hinweis auf die Betroffenenrechte gem.  Art. 15 ff. DSGVO und Rechtsgrundlage).

Angemessenheitsbeschluss Großbritannien

Die höchsten Bußgelder im Mai verhängte die spanische Aufsichtsbehörde - gleich zwei Unternehmen erhielten ein Bußgeld in Höhe von jeweils 1,5 Millionen Euro wegen unzureichender Informationen gem. Art. 13 DSGVO (insbesondere wegen fehlendem Hinweis auf die Betroffenenrechte gem.  Art. 15 ff. DSGVO und Rechtsgrundlage).

Bußgeld wegen mangelhafter Einbindung des Datenschutzbeauftragten

Die höchsten Bußgelder im Mai verhängte die spanische Aufsichtsbehörde - gleich zwei Unternehmen erhielten ein Bußgeld in Höhe von jeweils 1,5 Millionen Euro wegen unzureichender Informationen gem. Art. 13 DSGVO (insbesondere wegen fehlendem Hinweis auf die Betroffenenrechte gem.  Art. 15 ff. DSGVO und Rechtsgrundlage).

Top 5 Bußgelder aus dem Monat Mai

Die höchsten Bußgelder im Mai verhängte die spanische Aufsichtsbehörde - gleich zwei Unternehmen erhielten ein Bußgeld in Höhe von jeweils 1,5 Millionen Euro wegen unzureichender Informationen gem. Art. 13 DSGVO (insbesondere wegen fehlendem Hinweis auf die Betroffenenrechte gem.  Art. 15 ff. DSGVO und Rechtsgrundlage).

Aufsichtsbehördliche Kontrollen

Die deutschen Aufsichtsbehörden haben nun bekannt gegeben, dass sie gemeinsam abgestimmte Kontrollen durchführen wollen, um die Einhaltung datenschutzrechtlicher Vorgaben zu internationalen Datenübermittlungen zu überprüfen.

Corona-Warn-App

Die von SAP und der Telekom entwickelte Corona-Warn-App steht seit dem 16.06.2020 zum Download bereit. Die Bleutooth-gestützte App dient der Nachverfolgung von Infektionsrisiken. Dabei wird durch Bildung eines Dauer- und Entfernungsprofils nach statistischen Berechnungsvorschriften ein individueller Risiko-Score ermittelt. Wir beleuchten die datenschutzrechtlichen Themen in diesem Zusammenhang.

SMS Betrug

Aktuell werden SMS verschickt, die angebliche Pakete ankündigen. Bei einem Klick auf den Link wird Schadsoftware auf dem Smartphone installiert. Wir zeigen Ihnen, wie Sie Phishing erkennen und wie Sie sich schützen können.

Missbrauch von Betroffenenrechten

Im Auftrag von Betroffenen wird ein immaterieller Schadensersatz wegen Verletzung von Betroffenenrechten durch Rechtsanwälte und die dafür entstandenen Rechtsanwaltskosten geltend gemacht. Bei einem Nicht Tätigwerden droht der Rechtsanwalt die gerichtliche Durchsetzung des Anspruchs an. Lesen Sie hier, was sich dahinter verbirgt und was im Falle eines Falles zu tun ist.

Tag der offenen Tür für Hacker

Am 05.03.2021 informierte das Bundesamt für Sicherheit in der Informationstechnik (BSI) in einer Pressemitteilung über eine kritische Schwachstelle in Exchange-Servern, von der schätzungsweise zehntausende Server in Deutschland betroffen seien.

Unzureichende Sicherung von Krankenakten

Die niederländische Datenschutzbehörde Autoriteit Persoonsgegevens, hat im Februar 2021 ein Bußgeld in Höhe von 440.000 € gegen ein Amsterdamer Krankenhaus erhoben. Dies ist nicht das erste Bußgeld dieser Art gegen ein Krankenhaus.

Eine Website ohne Cookie-Banner?

Das Thema Cookie-Banner ist in aller Munde. Und dennoch besteht diesbezüglich in vielen Unternehmen (teilweise sogar Werbeagenturen) Unsicherheit. Wann muss man einen Cookie-Banner setzen und kann eine Website eigentlich auch ohne Cookie-Banner rechtskonform sein?

„In Branchen wie der Gesundheitswirtschaft rückt
Datenschutz immer mehr in den Fokus der Patienten.“

Andrea Backer-Heuveldop
Prokuristin; Unternehmensberaterin und
Externe Datenschutzbeauftragte (DSB)
Andrea Backer-Heuveldop

„In Branchen wie der Gesundheitswirtschaft rückt Datenschutz immer mehr in den Fokus der Patienten.“

Andrea Backer-Heuveldop
Prokuristin; Unternehmensberaterin und
Externe Datenschutzbeauftragte (DSB)

Häufige Fragen aus der Beratungspraxis

Wir von ds² lieben es, Kompliziertes so einfach wie möglich zu machen. Speziell für die Verantwortlichen in Firmen, Behörden und Einrichtungen – die Unternehmer, Vorstände, Geschäftsführer und Entscheider – haben wir dieses FAQ geschrieben. Sollte Ihnen ein Thema fehlen, freuen wir uns auf Ihren Hinweis an info[at]ds-quadrat.de. Danke vorab.

Darf ich Auskünfte über einen Mitarbeiter an die Polizei geben?2021-06-10T10:47:29+02:00

Viele Unternehmen gehen davon aus, dass die Polizei beim Arbeitgeber nur Auskunft über personenbezogene Daten verlangt, wenn dies gerechtfertigt ist und geben daher bereitwillig Auskunft. Die Legitimation der Polizei impliziert jedoch nicht gleich einen Rechtfertigungsgrund des Arbeitgebers für die Herausgabe der Daten. Deshalb sollten personen-bezogene Daten nicht ohne vorherige Prüfung, vor allem nicht telefonisch, herausgegeben werden.

Zu prüfen wäre also in erster Linie die Rechtsgrundlage des Arbeitgebers bzw. des ausführenden Mitarbeiters für die Datenweitergabe an die Polizei. Die Herausgabe der Daten stellt eine „Weiterverarbeitung“ dar. Die Weiterverarbeitung muss einen Zweck verfolgen, der mit dem Zweck der Erhebung vereinbar ist. In diesem Fall ist keine andere gesonderte Rechtsgrundlage erforderlich als diejenige für die Erhebung der personenbezogenen Daten. Stützt sich die Weiterverarbeitung auf eine Einwilligung oder auf eine Rechtsvorschrift zur Verfolgung von Straftaten, kann auf die Prüfung der Zweckkompatibilität verzichtet werden.

Prüfen Sie vor einer Auskunft jedoch eingehend die Behörde, lassen Sie sich das Aktenzeichen und den Zweck der Anfrage, den Tatvorwurf und die Rechtsgrundlage geben und dokumentieren Sie entsprechend Ihren internen Verfahren zu Auskunftserteilung.

Darf man Auskünfte über aktuelle oder ehemalige Mitarbeiter geben?2021-06-10T10:44:52+02:00

Auskünfte über aktuelle oder ehemalige Mitarbeiter stellen personenbezogene Daten dar. Personenbezogene Daten dürfen nur erhoben, verarbeitet oder genutzt werden, wenn bspw. eine rechtliche Vorschrift dies eindeutig gestattet oder wenn der Betroffene dem zustimmt. Auch Arbeitnehmer müssen die datenschutzrechtlichen Grundsätze einhalten. Die Zustimmung bzw. im Datenschutz-Jargon unter „Einwilligung“ bekannt, ist nur wirksam, wenn die Einwilligungserklärung klar und eindeutig ist, ausreichend informiert und freiwillig erfolgt, sie jederzeit widerrufen werden kann und die Person in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist. Besondere Kategorien personenbezogener Daten sind noch strenger geschützt. Also insbesondere die Auskunft, ob und warum der Mitarbeiter krankheitsbedingt ausfällt, ist strengen Anforderungen unterworfen und sollte im Zweifelsfall unterlassen werden.

Alles in allem ist eine Prüfung im Einzelfall erforderlich, ob eine Erlaubnis zur Weitergabe der Informationen durch die DSGVO gegeben ist.

Wovon hängt die Höhe des Bußgeldes ab?2021-04-23T11:14:55+02:00

Die Obergrenze der Bußgeldhöhe wird zunächst per Gesetz festgelegt. So liegt die Bußgeldhöhe gem. Art. 83 Abs. 4 DSGVO bei Verstößen gegen

  • die Pflichten der Verantwortlichen und der Auftragsverbeiter (Art. 8, 11, 25 bis 39, 42 und 43),
  • die Pflichten der Zertifizierungs-stelle (Art. 42 und 43) und
  • die Pflichten der Überwachungs-stelle (Art. 41 Abs. 4)

bei bis zu 10.000.000 EUR oder im Fall eines Unternehmens bei bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres, je nachdem, welcher der Beträge höher ist.

Bei Verstößen gegen

  • die Grundsätze der Verarbeitung (Art. 5, 6, 7 und 9 DSGVO),
  • die Betroffenenrechte (Art. 12 bis 22 DSGVO),
  • die Drittlandsübermittlung (Art. 44 bis 49 DSGVO),
  • alle Pflichten gem. den Rechtsvorschriften der Mitgliedstaaten, die im Rahmen des Kapitels IX der DSGVO erlassen wurden,
  • Nichtbefolgung einer Anweisung oder einer vorübergehenden oder endgültigen Beschränkung oder Aussetzung der Datenübermittlung durch die Aufsichtsbehörde (Art. 58 Abs. 2 DSGVO) oder Nichtgewährung des Zugangs (Art. 58 Abs. 1 DSGVO)

werden Geldbußen von bis zu 20.000.000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt, je nachdem, welcher der Beträge höher ist. Daraufhin entscheidet die Aufsichtsbehörde nach Einzelfall aufgrund der Größe des Unter-nehmens, der Schwere der Verletzung, des Risikos für die Betroffenen und der Kooperations-bereitschaft des Verantwortlichen mit der Aufsichtsbehörde, wie hoch letztendlich das individuelle Bußgeld ausfällt.

Was ist eine Datenschutzverletzung?2021-04-23T11:15:42+02:00

Eine Datenschutzverletzung, ein Datenschutzverstoß oder auch Datenpanne genannt, ist laut DSGVO eine Verletzung des Schutzes personenbezogener Daten. Gem. Art. 4 Nr. 12 DSGVO ist unter „Verletzung des Schutzes personenbezogener Daten“ eine Verletzung der Sicherheit zu verstehen, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden. Personenbezogene Daten gelten als „vernichtet“, wenn ihre Existenz zerstört wurde (z.B. durch unwiderrufliche Löschung). Existieren die Daten noch, befinden sich jedoch nicht mehr im Besitz des Verantwortlichen, handelt es sich um einen „Verlust“ der personenbezogenen Daten (z.B. Diebstahl eines USB-Sticks, auf dem personenbezogene Daten gespeichert waren). Dies ist außerdem der Fall, wenn der Verantwortliche den Zugang zu oder die Kontrolle über die Daten verloren hat (z.B. Hacker haben die Daten verschlüsselt, sodass die Daten zwar noch auf dem Server liegen, aber für den Verantwortlichen nicht abrufbar sind). Ob eine Verletzung des Schutzes personenbezogener Daten vorliegt beurteilt sich stets anhand des Einzelfalls.

Wie kann ich meinen WLAN-Router vor Zugriffen schützen?2021-04-23T11:10:59+02:00

Nicht nur beim Rechner und beim Smartphone, sondern auch beim WLAN-Router sollte ein sicheres Passwort genutzt werden.

Es empfiehlt sich, das voreingestellte Passwort aus Sicherheits-gründen direkt nach Kauf des Routers zu ändern. Gäste sollten höchstens über ein separates Gast-Netz mit temporären Passwort Zugriff haben.

Zudem sollte immer darauf geachtet werden, dass stets die aktuellste Geräte-Firmware genutzt wird. Um keine wichtigen Updates zu verpassen, können automatische Updates eingeschaltet werden.

Da das Wi-Fi Protected Setup (WPS) und das Universal Plug and Play (UPnP) immer wieder von Angreifern missbraucht werden, empfiehlt es sich, diese über das Webinterface des Routers auszuschalten

Welche Einstellungen zum Datenschutz kann ich bei meinem Browser vornehmen?2021-04-23T11:10:19+02:00

Beim Browser sollten Sie stets darauf achten, die aktuellste Version zu nutzen. Bei Mozilla Firefox können Sie beispielsweise unter „Extras“ → „Einstellungen“ →   „Allgemein“ → „Firefox-Updates“ einstellen, dass Firefox sich automatisch die aktuellsten Updates zieht. Regelmäßig sollten auch die Add-ons gecheckt werden. Denn diese haben oftmals umfassende Zugriffsmöglichkeiten auf die Inhalte der besuchten Websites. Ungenutzte Add-ons sollten daher entfernt werden.

Viele Websites nutzen Tracking-Tools, um die Aktivitäten nachvollziehen zu können. Im Browser können Sie diese (teilweise durch Erweiterungen) blockieren. Bei Mozilla Firefox können Sie beispielsweise unter „Extras“ → „Datenschutz & Sicherheit“ → „Browser-Datenschutz“ einstellen, dass Websites eine „Do Not Track“-Information gesendet wird, dass die eigenen Aktivitäten nicht verfolgt werden sollen.

Außerdem empfiehlt es sich, die Berechtigungen hinsichtlich des Zugriffs auf die Kamera, das Mikrofon und den Standort je nach Erforderlichkeit zu vergeben (bei Mozilla Firefox ebenfalls unter „Datenschutz & Datensicherheit“).

Welche Aufgaben hat der Datenschutzbeauftragte?2021-04-23T11:00:36+02:00

Die Aufgaben des Datenschutzbeauftragten werden in Art. 39 DSGVO festgehalten. Demnach hat er die Aufgaben, den Verantwortlichen oder Auftragsverarbeiter und deren Beschäftigte, die Verarbeitungen von personenbezogenen Daten durchführen, bezüglich ihrer Pflichten nach der DSGVO und anderen Datenschutzvorschriften zu unterrichten und zu beraten. Darüber hinaus ist es seine Aufgabe, zu überwachen, ob der Verantwortliche oder der Auftragsverarbeiter die datenschutz-rechtlichen Bestimmungen einhält. Hierzu zählt auch, die Beschäftigten zu sensibilisieren (beispielsweise durch Schulungen oder Unterlagen wie unserem Mitarbeiter-Informationsdienst). Auf Anfrage berät er den Verantwortlichen hinsichtlich Datenschutzfolgenabschätzungen und überwacht ihre Durchführung gem. Art. 35 DSGVO. Auch ist der Datenschutzbeauftragte als Anlaufstelle für die Aufsichtsbehörden tätig, um Fragen im Zusammenhang mit der Verarbeitung personenbezogener Daten zu klären.

Wie groß muss ein Datenschutz-Team sein?2021-04-23T11:16:43+02:00

Die Größe ist abhängig von der Menge der Aufgaben und damit von der Größe des Unternehmens oder der Organisation. Mittelständische Unternehmen haben oftmals intern einen – in der Regel weitergebildeten – Datenschutz-Koordinator und einen externen Datenschutzbeauftragten. Bei großen Einheiten kann es hilfreich sein, intern mehrere Koordinatoren in allen relevanten Abteilungen einzusetzen und diese durch ein Experten-Team beraten und prüfen zu lassen. Unternehmen, bei denen der Datenschutz aufgrund einer ausgeprägten Endkundenorientierung im Fokus der Öffentlichkeit steht, installieren darüber hinaus häufig einen Beirat, der den Vorstand oder die Geschäftsführung direkt in allen Fragen zum Thema Datenschutz berät.

Wofür steht die Formel „ds²“?2021-04-23T11:17:40+02:00

Wir sind der Meinung, dass den Themen Datenschutz und Digitalisierung in diesem Zeitalter eine noch größere Rolle zukommt, als vielen bislang klar ist. Datenschutz kann man Prozessen überstülpen oder damit Prozesse lähmen. Wir wissen, dass man datenschutzkonforme Prozesse auch beschleunigen kann. Werden Datenschutz und Digitalisierung als gleichwertige Faktoren betrachtet und aufeinander abgestimmt, verspricht das daraus resultierende Produkt mehr Erfolg als die Summe der Einzelteile. Deshalb glauben wir an den hohen Nutzen für die Arbeits- und Lebenswelt von morgen, wenn Digitalisierung und Datenschutz Hand in Hand gehen und Projekte hier einen integrativen Ansatz verfolgen.

Was kostet Datenschutz pro Jahr?2021-04-23T11:18:21+02:00

Diese Frage klingt einfach, ist aber schwierig zu beantworten. Durchschnittswerte gibt es nicht, da der Aufwand je nach Unternehmenszweck und Unternehmensgröße extrem unterschiedlich ist. Wer viel mit personenbezogenen Daten zu tun hat, wird einen größeren Aufwand betreiben müssen als jene, die davon weniger berührt sind. Üblicherweise ist der Anfangsaufwand höher, im laufenden Betrieb sind die Kosten mit anderen Bereichen vergleichbar, die einer Überwachung und Rezertifizierung bedürfen.

Was macht die Auswahl der/des richtigen Datenschutzbeauftragten so kompliziert?2021-04-23T11:22:07+02:00

Je komplexer die Aufgabenstellung, desto mehr Know-how sollte ein/e Datenschutzbeauftragte/r mitbringen – und dabei geht es nicht nur um Datenschutzrecht, sondern vor allem auch um Prozess-Know-how und IT-Verständnis. Und je größer das Unternehmen ist, desto mehr Kapazitäten braucht es, um die Projekte in angemessener Zeit zum Erfolg zu führen. Kleine und mittlere Unternehmen besetzen das Amt gerne mit nachgeschulten internen Mitarbeitern. Damit diese nicht scheitern, sollte man ihnen externe Sparringspartner sowohl für die Einführung als auch für Problemfälle zur Seite stellen.

Wird eine Einwilligung nach bestimmter Zeit ungültig?2021-04-23T10:44:31+02:00

Grundsätzlich ist eine erteilte Einwilligung so lange gültig, bis die betroffene Person diese widerruft. Die Parteien können in der Einwilligung jedoch auch festlegen, dass diese nur für einen bestimmten Zeitraum gelten soll. In diesem Fall endet die Gültigkeit der Einwilligung dann automatisch zum festgelegten Zeitpunkt. Der Widerruf einer datenschutzrechtlichen Einwilligung darf jederzeit erfolgen. Durch den Widerruf wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten
Verarbeitung nicht berührt.

Downloads & Dokumente

Gerne stellen wir Ihnen eine kleine Übersicht über unternehmensrelevante Dokumente rund um das Thema „Datenschutz“ zur Verfügung. Gerne helfen wir Ihnen auch mit weiteren Unterlagen aus. Rufen Sie uns einfach an.

Informationen zum Datenschutz im Homeoffice

Plötzlich im Homeoffice

Muster Homeoffice-Richtlinie

Checkliste Homeoffice

Hinweisschilder zur Mitarbeitersensibilisierung am Arbeitsplatz

Die folgenden Dokumente dienen der Sensibilisierung der Mitarbeiter. Sie können die einzelnen Hinweisschilder z.B. ausdrucken und im Büro aufhängen, sodass sie immer im Blick sind.

Hinweisschild zur Datenschutzverletzung

Hinweisschild zum Umgang mit Passwörtern

Hinweisschild zum sicheren Arbeitsplatz

Hinweisschild zu Schadsoftware

Hinweise zu Clean Desk

Datenschutz kompakt

Kontakt

Schreiben Sie uns eine Mail an info[at]ds-quadrat.de
oder rufen Sie uns an

+49 5421 308950

Kontakt

Schreiben Sie uns eine Mail an info[at]ds-quadrat.de
oder rufen Sie uns an

+49 5421 308950
Nach oben